CN107733659A - 密钥证书处理方法、装置以及密钥证书认证方法和装置 - Google Patents

密钥证书处理方法、装置以及密钥证书认证方法和装置 Download PDF

Info

Publication number
CN107733659A
CN107733659A CN201711104772.XA CN201711104772A CN107733659A CN 107733659 A CN107733659 A CN 107733659A CN 201711104772 A CN201711104772 A CN 201711104772A CN 107733659 A CN107733659 A CN 107733659A
Authority
CN
China
Prior art keywords
key certificate
certificate
customer
state
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711104772.XA
Other languages
English (en)
Other versions
CN107733659B (zh
Inventor
宋爽
肖遥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN201711104772.XA priority Critical patent/CN107733659B/zh
Publication of CN107733659A publication Critical patent/CN107733659A/zh
Application granted granted Critical
Publication of CN107733659B publication Critical patent/CN107733659B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

本发明提供了一种密钥证书处理方法、装置以及密钥证书认证方法和装置,密钥证书处理方法包括:若接收到网上银行服务器发送的密钥证书申请请求,更新密钥证书开通状态和密钥证书状态,生成密钥证书有效期和随机码;若接收到网上银行服务器发送的密钥证书下载请求,对客户号进行证书下载校验,并在校验通过后生成初始证书唯一标识;基于初始证书唯一标识生成私钥证书;若接收到网上银行服务器发送的反馈信息,更新密钥证书状态、密钥证书有效期和随机码;生成证书唯一标识,建立客户号和所述证书唯一标识之间的映射关系。这就实现了客户私钥证书的唯一性,并且由于可利用客户号直接管理私钥证书,从而避免靠第三方公证来解决标识和密钥的捆绑问题。

Description

密钥证书处理方法、装置以及密钥证书认证方法和装置
技术领域
本发明涉及认证技术领域,更具体地说,涉及密钥证书处理方法、装置以及密钥证书认证方法和装置。
背景技术
认证系统是电子商务建立信任体系的证明系统,其核心为建立合理的签名机制,而签名机制的实现需要合理的密钥管理。因此,密钥证书管理技术成为构建认证系统的核心问题。
现有的密钥证书管理系统多是基于PKI技术建立的。PKI本身是靠层次化的CA机构(Certification Authority)和庞大的证书库LDAP来运行,靠第三方公证来解决标识和密钥的捆绑问题。为此,密钥证书管理系统不但需要建立庞大的层次化的CA机构,还要依赖在线运行的证书库的支持,而证书库的在线运行会引发大量网络信息流量,例如一方为了获得通信对方的证书,就需要向CA机构层层认证。
发明内容
有鉴于此,本发明提供一种密钥证书处理方法、装置以及密钥证书认证方法和装置,以解决现有密钥证书管理系统基于PKI技术认证所带来的靠第三方公证来解决标识和密钥的捆绑问题,技术方案如下:
一种密钥证书处理方法,应用于注册认证服务器,包括:
当接收到网上银行服务器发送的携带有客户号的密钥证书申请请求时,将所述客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成所述客户号对应的密钥证书有效期和随机码;
当接收到所述网上银行服务器发送的携带有所述客户号的密钥证书下载请求时,根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验,并在所述客户号校验通过后,根据所述客户号、所述密钥证书有效期和所述随机码生成初始证书唯一标识;
基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,并发送至所述网上银行服务器;
当接收到所述网上银行服务器发送的用于表征客户端成功下载私钥证书的反馈信息时,将所述密钥证书状态更新为激活状态,并更新所述密钥证书有效期和所述随机码;
根据所述客户号、更新后的所述密钥证书有效期和更新后的随机码生成证书唯一标识,并建立所述客户号和所述证书唯一标识之间的映射关系。
优选的,所述将所述客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成所述客户号对应的密钥证书有效期和随机码,包括:
判断预设关系数据库中是否存在所述客户号对应的目标用户表,所述目标用户表包含有所述客户号和密钥证书开通状态;
当所述预设关系数据库中存在所述目标用户表时,判断所述密钥证书开通状态是否为开通状态;
若所述密钥证书开通状态不为所述开通状态,将所述密钥证书开通状态更新为所述开通状态,并在所述预设关系数据库中生成包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书状态为未下载状态;
若所述密钥证书开通状态为所述开通状态,在所述预设关系数据库中获取所述客户号所对应的目标证书标识表,所述目标证书标识表包含有所述客户号、密钥证书有效期、密钥证书状态和随机码;
若所述密钥证书状态不为所述未下载状态,将所述密钥证书状态更新为所述未下载状态;
当所述预设关系数据库中不存在所述目标用户表时,在所述预设关系数据路中生成包含有所述客户号和密钥证书开通状态的目标用户表以及包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书开通状态为开通状态,所述密钥证书状态为未下载状态。
优选的,所述根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验,包括:
判断当前密钥证书开通状态是否为开通状态;
当所述当前密钥证书开通状态为所述开通状态时,判断当前密钥证书状态是否为未下载状态;
若是,确定所述客户号校验通过;
若否,确定所述客户号校验未通过;
当所述当前密钥证书开通状态为所述开通状态时,确定所述客户号校验未通过。
优选的,所述基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,包括:
基于所述初始证书唯一标识和预设组合公私钥矩阵生成相应的私钥;
生成包含有所述私钥的私钥证书。
一种密钥证书处理装置,包括:更新生成模块、校验生成模块、证书生成模块、更新模块和生成建立模块;
所述更新生成模块,用于当接收到网上银行服务器发送的携带有客户号的密钥证书申请请求时,将所述客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成所述客户号对应的密钥证书有效期和随机码;
所述校验生成模块,用于当接收到所述网上银行服务器发送的携带有所述客户号的密钥证书下载请求时,根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验,并在所述客户号校验通过后,根据所述客户号、所述密钥证书有效期和所述随机码生成初始证书唯一标识;
所述证书生成模块,用于基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,并发送至所述网上银行服务器;
所述更新模块,用于当接收到所述网上银行服务器发送的用于表征客户端成功下载私钥证书的反馈信息时,将所述密钥证书状态更新为激活状态,并更新所述密钥证书有效期和所述随机码;
所述生成建立模块,用于根据所述客户号、更新后的所述密钥证书有效期和更新后的随机码生成证书唯一标识,并建立所述客户号和所述证书唯一标识之间的映射关系。
优选的,所述更新生成模块,具体用于:
判断预设关系数据库中是否存在所述客户号对应的目标用户表,所述目标用户表包含有所述客户号和密钥证书开通状态;当所述预设关系数据库中存在所述目标用户表时,判断所述密钥证书开通状态是否为开通状态;若所述密钥证书开通状态不为所述开通状态,将所述密钥证书开通状态更新为所述开通状态,并在所述预设关系数据库中生成包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书状态为未下载状态;若所述密钥证书开通状态为所述开通状态,在所述预设关系数据库中获取所述客户号所对应的目标证书标识表,所述目标证书标识表包含有所述客户号、密钥证书有效期、密钥证书状态和随机码;若所述密钥证书状态不为所述未下载状态,将所述密钥证书状态更新为所述未下载状态;当所述预设关系数据库中不存在所述目标用户表时,在所述预设关系数据路中生成包含有所述客户号和密钥证书开通状态的目标用户表以及包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书开通状态为开通状态,所述密钥证书状态为未下载状态。
优选的,用于根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验的所述校验生成模块,具体用于:
判断当前密钥证书开通状态是否为开通状态;当所述当前密钥证书开通状态为所述开通状态时,判断当前密钥证书状态是否为未下载状态;若是,确定所述客户号校验通过;若否,确定所述客户号校验未通过;当所述当前密钥证书开通状态为所述开通状态时,确定所述客户号校验未通过。
优选的,用于基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书的所述证书生成模块,具体用于:
基于所述初始证书唯一标识和预设组合公私钥矩阵生成相应的私钥;生成包含有所述私钥的私钥证书。
一种密钥证书认证方法,应用于注册认证服务器,包括:
当接收到网上银行服务器发送的携带有目标客户号的密钥证书认证请求时,判断所述目标客户号所对应的密钥证书状态是否为激活状态;
若是,根据预先建立的客户号和证书唯一标识之间的映射关系,确定所述目标客户号所对应的目标证书唯一标识,所述客户号和证书唯一标识之间的映射关系是按照上述任意一项技术方案所述的密钥证书处理方法建立的;
基于所述目标证书唯一标识和预设组合公私钥矩阵生成相应的公钥,并发送至所述网上银行服务器;
当接收到所述网上银行服务器发送的携带有签名明文、签名密文和所述公钥的验签请求时,利用所述公钥对所述签名密文进行解密;
根据解密后的所述签名密文对所述签名明文进行验签,并将验签结果发送至所述网上银行服务器,以使所述网上银行服务器按照所述验签结果对客户端交易进行相应处理。
一种密钥证书认证装置,包括:判断模块、确定模块、公钥生成模块、解密模块和验签模块;
所述判断模块,用于当接收到网上银行服务器发送的携带有目标客户号的密钥证书认证请求时,判断所述目标客户号所对应的密钥证书状态是否为激活状态;若是,则触发所述确定模块;
所述确定模块,用于根据预先建立的客户号和证书唯一标识之间的映射关系,确定所述目标客户号所对应的目标证书唯一标识,所述客户号和证书唯一标识之间的映射关系是按照上述任意一项技术方案所述的密钥证书处理方法建立的;
所述公钥生成模块,用于基于所述目标证书唯一标识和预设组合公私钥矩阵生成相应的公钥,并发送至所述网上银行服务器;
所述解密模块,用于当接收到所述网上银行服务器发送的携带有签名明文、签名密文和所述公钥的验签请求时,利用所述公钥对所述签名密文进行解密;
所述验签模块,用于根据解密后的所述签名密文对所述签名明文进行验签,并将验签结果发送至所述网上银行服务器,以使所述网上银行服务器按照所述验签结果对客户端交易进行相应处理。
相较于现有技术,本发明实现的有益效果为:
以上本发明提供的一种密钥证书处理方法、装置以及密钥证书认证方法和装置,该密钥证书处理方法采用多标识组合的形式生成证书唯一标识,这就保证了客户私钥证书的唯一性,并且,通过建立客户号与证书唯一标识的映射关系,可实现利用客户号直接管理私钥证书,从而避免靠第三方公证来解决标识和密钥的捆绑问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的密钥证书处理方法的方法流程图;
图2为本发明实施例提供的密钥证书处理方法的部分方法流程图;
图3为密钥证书的状态流转图;
图4为本发明实施例提供的密钥证书处理方法的另一部分方法流程图;
图5为本发明实施例提供的密钥证书处理装置的结构示意图;
图6为本发明实施例提供的密钥证书认证方法的方法流程图;
图7为本发明实施例提供的密钥证书认证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种密钥证书处理方法,该方法应用于注册认证服务器,方法流程图如图1所示,包括如下步骤:
S10,当接收到网上银行服务器发送的携带有客户号的密钥证书申请请求时,将客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成客户号对应的密钥证书有效期和随机码;
在执行步骤S10的过程中,网上银行服务器在接收到客户端或者银行柜面前端发送的密钥证书申请请求时,可首先验证用户身份,对于采用客户端登录网上银行的用户来说,可利用动态验证码验证,并且在验证通过后获取此用户所对应的预先设置的客户号,而对于采用银行柜面前端登录网上银行的用户来说,可直接接收银行工作人员输入的此用户所对应的客户号。
注册认证服务器接收到网上银行服务器将携带有客户号的密钥证书申请请求时,可通过更新该客户号所对应的密钥证书开通状态和密钥证书状态向网上银行服务器反馈密钥证书申请结果。
在具体实现过程中,步骤S10中“将客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成客户号对应的密钥证书有效期和随机码”可以具体采用以下步骤,方法流程图如图2所示:
S101,判断预设关系数据库中是否存在客户号对应的目标用户表,所述目标用户表包含有客户号和密钥证书开通状态;若是,则执行步骤S102;若否,则执行步骤S106;
在执行步骤S101的过程中,可利用用户表记录客户号所对应的客户信息、密钥证书与客户号以及应用的对应关系等,其中,所记录的密钥证书开通状态包括开通状态和未开通状态,可利用标识来区别密钥证书开通状态,例如,开通状态用标识“1”表示,未开通状态用标识“0”表示。
S102,判断密钥证书开通状态是否为开通状态;若否,则执行步骤S103;若是,则执行步骤S104;
在执行步骤S102的过程中,可通过识别用户表中密钥证书开通状态的标识来判断是否为开通状态。
S103,将密钥证书开通状态更新为开通状态,并在预设关系数据库中生成包含有客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书状态为未下载状态;
在执行步骤S103的过程中,由于判断密钥证书为未开通状态,因此,预设关系数据库中并不存在此客户号所对应的证书标识表,则需要将其状态更新为开通状态,并在预设关系数据库中生成一个该客户号所对应的证书标识表,此证书标识表中记录有客户号、密钥证书有效期、密钥证书状态、随机码,由于密钥证书当前并未激活,因此密钥证书有效期和随机码均为初始值,在密钥证书激活后还需进行更新,而对于密钥证书状态可分为未下载状态、激活状态、挂失状态和注销状态四种,图3示出密钥证书的状态流转图。
S104,在预设关系数据库中获取客户号所对应的目标证书标识表,所述目标证书标识表包含有客户号、密钥证书有效期、密钥证书状态和随机码;
S105,若密钥证书状态不为未下载状态,将密钥证书状态更新为未下载状态;
S106,在预设关系数据路中生成包含有客户号和密钥证书开通状态的目标用户表以及包含有客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书开通状态为开通状态,所述密钥证书状态为未下载状态。
S20,当接收到网上银行服务器发送的携带有客户号的密钥证书下载请求时,根据当前密钥证书开通状态和当前密钥证书状态对客户号进行证书下载校验,并在客户号校验通过后,根据客户号、密钥证书有效期和随机码生成初始证书唯一标识;
在客户号校验通过后,假设客户号为“100100”,密钥证书有效期为20170101-20220101,随机码为“123456”则初始证书唯一标识为hash(1001002017010120220101123456)。
在具体实现过程中,步骤S20中“根据当前密钥证书开通状态和当前密钥证书状态对客户号进行证书下载校验”可以具体采用以下步骤,方法流程图如图4所示:
S201,判断当前密钥证书开通状态是否为开通状态;若是,则执行步骤S202;若否,则执行步骤S205;
S202,判断当前密钥证书状态是否为未下载状态;若是,则执行步骤S203;若否,则执行步骤S204;
S203,确定客户号校验通过;
S204,确定客户号校验未通过;
S205,确定客户号校验未通过。
S30,基于初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,并发送至网上银行服务器;
在执行步骤S30的过程中,可基于初始证书唯一标识和预设组合公私钥矩阵生成相应的私钥,当然在此过程中,也会相应生成公钥,由于仅需将私钥证书发送至客户,因此,公钥可存储于预设组合公私钥矩阵中,还可删除;进一步,利用私钥生成私钥证书。
S40,当接收到网上银行服务器发送的用于表征客户端成功下载私钥证书的反馈信息时,将密钥证书状态更新为激活状态,并更新密钥证书有效期和随机码;
在执行步骤S40的过程中,当密钥证书更新为激活状态时,将密钥证书有效期中的起始日期确定为当前系统日期,而截至日期则为当前系统日期加上3年的日期,为保证安全性,随机码也会相应更新。
S50,根据客户号、更新后的密钥证书有效期和更新后的随机码生成证书唯一标识,并建立所述客户号和所述证书唯一标识之间的映射关系。
以上步骤S101~步骤S106仅仅是本申请实施例公开的步骤S10中“将客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成客户号对应的密钥证书有效期和随机码”过程的一种优选的实现方式,有关此过程的具体实现方式可根据自己的需求任意设置,在此不做限定。
以上步骤S201~步骤S205仅仅是本申请实施例公开的步骤S20中“根据当前密钥证书开通状态和当前密钥证书状态对客户号进行证书下载校验”过程的一种优选的实现方式,有关此过程的具体实现方式可根据自己的需求任意设置,在此不做限定。
本发明实施例提供的密钥证书处理方法采用多标识组合的形式生成证书唯一标识,这就保证了客户私钥证书的唯一性,并且,通过建立客户号与证书唯一标识的映射关系,可实现利用客户号直接管理私钥证书,从而避免靠第三方公证来解决标识和密钥的捆绑问题。
基于上述实施例提供的密钥证书处理方法,本发明实施例则对应提供执行上述密钥证书处理方法的装置,其结构示意图如图5所示,包括:更新生成模块10、校验生成模块20、证书生成模块30、更新模块40和生成建立模块50;
更新生成模块10,用于当接收到网上银行服务器发送的携带有客户号的密钥证书申请请求时,将客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成客户号对应的密钥证书有效期和随机码;
校验生成模块20,用于当接收到网上银行服务器发送的携带有客户号的密钥证书下载请求时,根据当前密钥证书开通状态和当前密钥证书状态对客户号进行证书下载校验,并在客户号校验通过后,根据客户号、密钥证书有效期和随机码生成初始证书唯一标识;
证书生成模块30,用于基于初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,并发送至网上银行服务器;
更新模块40,用于当接收到网上银行服务器发送的用于表征客户端成功下载私钥证书的反馈信息时,将密钥证书状态更新为激活状态,并更新密钥证书有效期和随机码;
生成建立模块50,用于根据客户号、更新后的密钥证书有效期和更新后的随机码生成证书唯一标识,并建立客户号和证书唯一标识之间的映射关系。
可选的,更新生成模块10,具体用于:
判断预设关系数据库中是否存在客户号对应的目标用户表,所述目标用户表包含有客户号和密钥证书开通状态;当预设关系数据库中存在目标用户表时,判断密钥证书开通状态是否为开通状态;若密钥证书开通状态不为开通状态,将密钥证书开通状态更新为开通状态,并在预设关系数据库中生成包含有客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书状态为未下载状态;若密钥证书开通状态为开通状态,在预设关系数据库中获取客户号所对应的目标证书标识表,所述目标证书标识表包含有客户号、密钥证书有效期、密钥证书状态和随机码;若密钥证书状态不为未下载状态,将密钥证书状态更新为未下载状态;当预设关系数据库中不存在目标用户表时,在预设关系数据路中生成包含有客户号和密钥证书开通状态的目标用户表以及包含有客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书开通状态为开通状态,所述密钥证书状态为未下载状态。
可选的,用于根据当前密钥证书开通状态和当前密钥证书状态对客户号进行证书下载校验的所述校验生成模块20,具体用于:
判断当前密钥证书开通状态是否为开通状态;当当前密钥证书开通状态为开通状态时,判断当前密钥证书状态是否为未下载状态;若是,确定客户号校验通过;若否,确定客户号校验未通过;当当前密钥证书开通状态为开通状态时,确定客户号校验未通过。
可选的,用于基于初始证书唯一标识和预设组合公私钥矩阵生成私钥证书的证书生成模块30,具体用于:
基于初始证书唯一标识和预设组合公私钥矩阵生成相应的私钥;生成包含有私钥的私钥证书。
本发明实施例提供的密钥证书处理装置,采用多标识组合的形式生成证书唯一标识,这就保证了客户私钥证书的唯一性,并且,通过建立客户号与证书唯一标识的映射关系,可实现利用客户号直接管理私钥证书,从而避免靠第三方公证来解决标识和密钥的捆绑问题。
基于上述实施例提供的密钥证书处理方法,本发明实施例提供一种密钥证书认证方法,该方法应用于注册认证服务器,方法流程图如图6所示,包括如下步骤:
S60,当接收到网上银行服务器发送的携带有目标客户号的密钥证书认证请求时,判断目标客户号所对应的密钥证书状态是否为激活状态;若是,则执行步骤S70;
在执行步骤S60的过程中,用户通过客户端登录网上银行申请交易时,网上银行服务器可向注册认证服务器申请证书验证,注册认证服务器首先判断目标客户号所对应的密钥证书状态是否为激活状态,若不是,则表示向网上银行服务器报错退出交易,网上银行服务器向客户端发送交易验证失败并请检查密钥证书状态的提示信息。
S70,根据预先建立的客户号和证书唯一标识之间的映射关系,确定目标客户号所对应的目标证书唯一标识,所述客户号和证书唯一标识之间的映射关系是按照上述实施例提供的密钥证书处理方法建立的;
S80,基于目标证书唯一标识和预设组合公私钥矩阵生成相应的公钥,并发送至网上银行服务器;
S90,当接收到网上银行服务器发送的携带有签名明文、签名密文和公钥的验签请求时,利用公钥对所述签名密文进行解密;
在执行步骤S90的过程中,网上银行服务器利用私钥证书对交易信息进行加密得到签名密文,同时将携带有交易信息的签名明文和公钥发送至注册认证服务器,注册认证服务器利用公钥对签名密文进行解密,
S100,根据解密后的签名密文对签名明文进行验签,并将验签结果发送至所述网上银行服务器,以使所述网上银行服务器按照所述验签结果对客户端交易进行相应处理。
在执行步骤S100的过程中,若注册认证服务器利用公钥未成功解密签名密文,则表示验签失败,反之,若成功解密,则进一步校验解密后的签名密文和签名明文是否一致,若一致,则验签成功,若不一致,则验签失败;将验签结果发送至网上银行服务器,若接收到验签成功的验签结果,网上银行服务器则通过客户端的用户交易,反之,若接收到验签失败的验签结果,网上银行服务器则拒绝通过客户端的用户交易。
本发明实施例提供的密钥证书认证方法,可实现利用客户号与证书唯一标识之间的映射关系完成验签,这就简化了验签的流程,降低了注册服务器的数据处理量。
基于上述实施例提供的密钥证书认证方法,本发明实施例则对应提供执行上述密钥证书认证方法的装置,其结构示意图如图7所示,包括:判断模块60、确定模块70、公钥生成模块80、解密模块90和验签模块100;
判断模块60,用于当接收到网上银行服务器发送的携带有目标客户号的密钥证书认证请求时,判断目标客户号所对应的密钥证书状态是否为激活状态;若是,则触发确定模块70;
确定模块70,用于根据预先建立的客户号和证书唯一标识之间的映射关系,确定目标客户号所对应的目标证书唯一标识,客户号和证书唯一标识之间的映射关系是按照上述实施例提供的密钥证书处理方法建立的;
公钥生成模块80,用于基于目标证书唯一标识和预设组合公私钥矩阵生成相应的公钥,并发送至网上银行服务器;
解密模块90,用于当接收到网上银行服务器发送的携带有签名明文、签名密文和公钥的验签请求时,利用公钥对签名密文进行解密;
验签模块100,用于根据解密后的签名密文对签名明文进行验签,并将验签结果发送至网上银行服务器,以使网上银行服务器按照验签结果对客户端交易进行相应处理。
本发明实施例提供的密钥证书认证装置,可实现利用客户号与证书唯一标识之间的映射关系完成验签,这就简化了验签的流程,降低了注册服务器的数据处理量。
以上对本发明所提供的密钥证书处理方法、装置以及密钥证书认证方法和装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素,或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种密钥证书处理方法,其特征在于,应用于注册认证服务器,包括:
当接收到网上银行服务器发送的携带有客户号的密钥证书申请请求时,将所述客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成所述客户号对应的密钥证书有效期和随机码;
当接收到所述网上银行服务器发送的携带有所述客户号的密钥证书下载请求时,根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验,并在所述客户号校验通过后,根据所述客户号、所述密钥证书有效期和所述随机码生成初始证书唯一标识;
基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,并发送至所述网上银行服务器;
当接收到所述网上银行服务器发送的用于表征客户端成功下载私钥证书的反馈信息时,将所述密钥证书状态更新为激活状态,并更新所述密钥证书有效期和所述随机码;
根据所述客户号、更新后的所述密钥证书有效期和更新后的随机码生成证书唯一标识,并建立所述客户号和所述证书唯一标识之间的映射关系。
2.根据权利要求1所述的方法,其特征在于,所述将所述客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成所述客户号对应的密钥证书有效期和随机码,包括:
判断预设关系数据库中是否存在所述客户号对应的目标用户表,所述目标用户表包含有所述客户号和密钥证书开通状态;
当所述预设关系数据库中存在所述目标用户表时,判断所述密钥证书开通状态是否为开通状态;
若所述密钥证书开通状态不为所述开通状态,将所述密钥证书开通状态更新为所述开通状态,并在所述预设关系数据库中生成包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书状态为未下载状态;
若所述密钥证书开通状态为所述开通状态,在所述预设关系数据库中获取所述客户号所对应的目标证书标识表,所述目标证书标识表包含有所述客户号、密钥证书有效期、密钥证书状态和随机码;
若所述密钥证书状态不为所述未下载状态,将所述密钥证书状态更新为所述未下载状态;
当所述预设关系数据库中不存在所述目标用户表时,在所述预设关系数据路中生成包含有所述客户号和密钥证书开通状态的目标用户表以及包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书开通状态为开通状态,所述密钥证书状态为未下载状态。
3.根据权利要求1所述的方法,其特征在于,所述根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验,包括:
判断当前密钥证书开通状态是否为开通状态;
当所述当前密钥证书开通状态为所述开通状态时,判断当前密钥证书状态是否为未下载状态;
若是,确定所述客户号校验通过;
若否,确定所述客户号校验未通过;
当所述当前密钥证书开通状态为所述开通状态时,确定所述客户号校验未通过。
4.根据权利要求1所述的方法,其特征在于,所述基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,包括:
基于所述初始证书唯一标识和预设组合公私钥矩阵生成相应的私钥;
生成包含有所述私钥的私钥证书。
5.一种密钥证书处理装置,其特征在于,包括:更新生成模块、校验生成模块、证书生成模块、更新模块和生成建立模块;
所述更新生成模块,用于当接收到网上银行服务器发送的携带有客户号的密钥证书申请请求时,将所述客户号对应的密钥证书开通状态和密钥证书状态分别更新为开通状态和未下载状态,并生成所述客户号对应的密钥证书有效期和随机码;
所述校验生成模块,用于当接收到所述网上银行服务器发送的携带有所述客户号的密钥证书下载请求时,根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验,并在所述客户号校验通过后,根据所述客户号、所述密钥证书有效期和所述随机码生成初始证书唯一标识;
所述证书生成模块,用于基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书,并发送至所述网上银行服务器;
所述更新模块,用于当接收到所述网上银行服务器发送的用于表征客户端成功下载私钥证书的反馈信息时,将所述密钥证书状态更新为激活状态,并更新所述密钥证书有效期和所述随机码;
所述生成建立模块,用于根据所述客户号、更新后的所述密钥证书有效期和更新后的随机码生成证书唯一标识,并建立所述客户号和所述证书唯一标识之间的映射关系。
6.根据权利要求5所述的装置,其特征在于,所述更新生成模块,具体用于:
判断预设关系数据库中是否存在所述客户号对应的目标用户表,所述目标用户表包含有所述客户号和密钥证书开通状态;当所述预设关系数据库中存在所述目标用户表时,判断所述密钥证书开通状态是否为开通状态;若所述密钥证书开通状态不为所述开通状态,将所述密钥证书开通状态更新为所述开通状态,并在所述预设关系数据库中生成包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书状态为未下载状态;若所述密钥证书开通状态为所述开通状态,在所述预设关系数据库中获取所述客户号所对应的目标证书标识表,所述目标证书标识表包含有所述客户号、密钥证书有效期、密钥证书状态和随机码;若所述密钥证书状态不为所述未下载状态,将所述密钥证书状态更新为所述未下载状态;当所述预设关系数据库中不存在所述目标用户表时,在所述预设关系数据路中生成包含有所述客户号和密钥证书开通状态的目标用户表以及包含有所述客户号、密钥证书有效期、密钥证书状态和随机码的目标证书标识表,所述密钥证书开通状态为开通状态,所述密钥证书状态为未下载状态。
7.根据权利要求5所述的装置,其特征在于,用于根据当前密钥证书开通状态和当前密钥证书状态对所述客户号进行证书下载校验的所述校验生成模块,具体用于:
判断当前密钥证书开通状态是否为开通状态;当所述当前密钥证书开通状态为所述开通状态时,判断当前密钥证书状态是否为未下载状态;若是,确定所述客户号校验通过;若否,确定所述客户号校验未通过;当所述当前密钥证书开通状态为所述开通状态时,确定所述客户号校验未通过。
8.根据权利要求5所述的装置,其特征在于,用于基于所述初始证书唯一标识和预设组合公私钥矩阵生成私钥证书的所述证书生成模块,具体用于:
基于所述初始证书唯一标识和预设组合公私钥矩阵生成相应的私钥;生成包含有所述私钥的私钥证书。
9.一种密钥证书认证方法,其特征在于,应用于注册认证服务器,包括:
当接收到网上银行服务器发送的携带有目标客户号的密钥证书认证请求时,判断所述目标客户号所对应的密钥证书状态是否为激活状态;
若是,根据预先建立的客户号和证书唯一标识之间的映射关系,确定所述目标客户号所对应的目标证书唯一标识,所述客户号和证书唯一标识之间的映射关系是按照权利要求1~4任意一项所述的密钥证书处理方法建立的;
基于所述目标证书唯一标识和预设组合公私钥矩阵生成相应的公钥,并发送至所述网上银行服务器;
当接收到所述网上银行服务器发送的携带有签名明文、签名密文和所述公钥的验签请求时,利用所述公钥对所述签名密文进行解密;
根据解密后的所述签名密文对所述签名明文进行验签,并将验签结果发送至所述网上银行服务器,以使所述网上银行服务器按照所述验签结果对客户端交易进行相应处理。
10.一种密钥证书认证装置,其特征在于,包括:判断模块、确定模块、公钥生成模块、解密模块和验签模块;
所述判断模块,用于当接收到网上银行服务器发送的携带有目标客户号的密钥证书认证请求时,判断所述目标客户号所对应的密钥证书状态是否为激活状态;若是,则触发所述确定模块;
所述确定模块,用于根据预先建立的客户号和证书唯一标识之间的映射关系,确定所述目标客户号所对应的目标证书唯一标识,所述客户号和证书唯一标识之间的映射关系是按照权利要求1~4任意一项所述的密钥证书处理方法建立的;
所述公钥生成模块,用于基于所述目标证书唯一标识和预设组合公私钥矩阵生成相应的公钥,并发送至所述网上银行服务器;
所述解密模块,用于当接收到所述网上银行服务器发送的携带有签名明文、签名密文和所述公钥的验签请求时,利用所述公钥对所述签名密文进行解密;
所述验签模块,用于根据解密后的所述签名密文对所述签名明文进行验签,并将验签结果发送至所述网上银行服务器,以使所述网上银行服务器按照所述验签结果对客户端交易进行相应处理。
CN201711104772.XA 2017-11-10 2017-11-10 密钥证书处理方法、装置以及密钥证书认证方法和装置 Active CN107733659B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711104772.XA CN107733659B (zh) 2017-11-10 2017-11-10 密钥证书处理方法、装置以及密钥证书认证方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711104772.XA CN107733659B (zh) 2017-11-10 2017-11-10 密钥证书处理方法、装置以及密钥证书认证方法和装置

Publications (2)

Publication Number Publication Date
CN107733659A true CN107733659A (zh) 2018-02-23
CN107733659B CN107733659B (zh) 2020-10-30

Family

ID=61214947

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711104772.XA Active CN107733659B (zh) 2017-11-10 2017-11-10 密钥证书处理方法、装置以及密钥证书认证方法和装置

Country Status (1)

Country Link
CN (1) CN107733659B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340282A (zh) * 2008-05-28 2009-01-07 北京易恒信认证科技有限公司 复合公钥的生成方法
CN101778381A (zh) * 2009-12-31 2010-07-14 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
CN102215488A (zh) * 2011-05-27 2011-10-12 中国联合网络通信集团有限公司 智能手机数字证书的应用方法和系统
US20150019863A1 (en) * 2008-10-22 2015-01-15 Blackberry Limited Method of handling a certification request

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340282A (zh) * 2008-05-28 2009-01-07 北京易恒信认证科技有限公司 复合公钥的生成方法
US20150019863A1 (en) * 2008-10-22 2015-01-15 Blackberry Limited Method of handling a certification request
CN101778381A (zh) * 2009-12-31 2010-07-14 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
CN102215488A (zh) * 2011-05-27 2011-10-12 中国联合网络通信集团有限公司 智能手机数字证书的应用方法和系统

Also Published As

Publication number Publication date
CN107733659B (zh) 2020-10-30

Similar Documents

Publication Publication Date Title
CN107171794B (zh) 一种基于区块链和智能合约的电子文书签署方法
US10728039B2 (en) Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer
CA2492986C (en) System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US9397839B2 (en) Non-hierarchical infrastructure for managing twin-security keys of physical persons or of elements (IGCP/PKI)
US5745574A (en) Security infrastructure for electronic transactions
CN103490881B (zh) 认证服务系统、用户认证方法、认证信息处理方法及系统
CN102420690B (zh) 一种工业控制系统中身份与权限的融合认证方法及系统
CN108768988A (zh) 区块链访问控制方法、设备及计算机可读存储介质
CN109067801A (zh) 一种身份认证方法、身份认证装置及计算机可读介质
CN110175467A (zh) 基于区块链的签名文件保存方法、装置和计算机设备
CN108696360A (zh) 一种基于cpk密钥的ca证书发放方法及系统
CN102404347A (zh) 一种基于公钥基础设施的移动互联网接入认证方法
CN106101160B (zh) 一种系统登录方法及装置
CN101291216B (zh) P2p网络系统及其认证方法
CN109327309A (zh) 一种基于ibc与pki混合体系的跨域密钥管理方法
US7162736B2 (en) Remote unblocking with a security agent
Gulati et al. Self-sovereign dynamic digital identities based on blockchain technology
Boontaetae et al. RDI: Real digital identity based on decentralized PKI
Dumas et al. LocalPKI: An interoperable and IoT friendly PKI
JPH1165443A (ja) 個人認証情報の管理方式
CN107733659A (zh) 密钥证书处理方法、装置以及密钥证书认证方法和装置
Baldimtsi et al. Recovering lost device-bound credentials
Kim mNPKI for Mobile Government in Developing Countries.
CN117254947A (zh) 一种去中心化的账号管理方法
Lehmann et al. Recovering Lost Device-Bound Credentials

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant