CN113689214A

CN113689214A - 企业安全认证证书激活方法、终端及服务器

Info

Publication number: CN113689214A
Application number: CN202110979082.9A
Authority: CN
Inventors: 张依墨; 刘尧; 王乾; 盛昌东
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2021-08-25
Filing date: 2021-08-25
Publication date: 2021-11-23
Anticipated expiration: 2041-08-25
Also published as: CN113689214B

Abstract

本发明提供了一种企业安全认证证书激活方法、终端及服务器，可用于信息安全技术领域，所述方法包括：根据客户终端传输的证书激活申请确定企业信息和客户身份信息；对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书；若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书，本发明可提升U盾证书激活的便捷性。

Description

企业安全认证证书激活方法、终端及服务器

技术领域

本发明涉及互联网技术领域，特征涉及信息安全技术领域，尤其涉及一种企业安全认证证书激活方法、终端及服务器。

背景技术

银行等金融机构在向企业客户提供企业电子银行服务时，一般会将USB key(后称U盾)介质作为获取客户信息及登录的工具使用。工作人员可通过主机等渠道调取法人客户系统客户CIS表下的企业信息，并将信息灌入U盾供客户进行企业电子银行登录、交易使用。由于企业U盾风险级别高，客户在申请新U盾时，银行一般会让客户赴网点进行实体U盾的领取。如领取人非法人代表本人，则U盾自动进入冻结状态，需对客户信息进行验证后，解冻完成方可使用，上述流程统称为U盾激活。目前的U盾激活方式为电话银行外拨核实，通过电话向企业客户核实法人或财务主管信息后解冻U盾完成激活。

客户向金融机构申请新U盾证书后，金融机构服务器完成U盾证书制作后，调取企业客户的基本信息表，通过证书领取人的信息判断领取人是否法人。若领取人为法人时，服务器将证书状态置为解冻。而当领取人非法人时，上送企业信息、企业联系人信息、证书信息至电话银行CCIS系统，生成呼出外拨任务。工作人员通过系统留存的企业客户的法人或财务主管的联系方式进行电话外拨，向客户核实企业信息、法人/财务主管身份信息、证书信息以及领取人信息，核实通过后受理激活指令，完成证书激活操作并记录结果。

然而，由于目前电话外拨只能由银行服务器进行发起，客户只能被动等待电话，从而联系客户完成证书激活的不确定性较高，导致企业突发的使用需求无法得到确定性满足。

发明内容

本发明的一个目的在于提供一种企业安全认证证书激活方法，提升U盾证书激活的便捷性。本发明的另一个目的在于提供一种客户终端。本发明的再一个目的在于提供一种计算机设备。本发明的还一个目的在于提供一种可读介质。

为了达到以上目的，本发明一方面公开了一种企业安全认证证书激活方法，包括：

根据客户终端传输的证书激活申请确定企业信息和客户身份信息；

对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书；

若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

优选的，进一步包括在接收客户终端传输的证书激活申请，之前：

接收客户终端传输的证书申请信息，所述证书申请信息包括客户身份信息；

根据所述证书申请信息生成证书；

根据所述证书申请信息确定所述客户身份信息，并确定所述客户身份信息是否与预设用户对应，若是，激活所述待激活证书，若否，标记所述证书为所述待激活证书。

优选的，所述根据客户终端传输的证书激活申请确定企业信息和客户身份信息具体包括：

确定是否能够根据所述证书激活申请确定企业信息和客户身份信息；

若否，向客户终端反馈信息采集申请以使所述客户终端反馈所述信息采集申请；

接收所述客户终端传输的客户输入的企业信息和客户身份信息。

优选的，所述对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书并激活具体包括：

获取预存的所述企业信息对应的预设用户信息；

确定所述客户身份信息是否与所述预设用户信息一致；

若是，将所述企业信息和客户身份信息传输至证书管理系统以使所述证书管理系统确定所述企业信息对应的所有待激活证书。

优选的，所述激活所述待激活证书具体包括：

接收所述证书管理系统传输的所有待激活证书并传输至客户终端以使所述客户终端向客户反馈所有待激活证书，接收客户输入的证书验证信息；

接收所述客户终端传输的证书验证信息并传输至所述证书管理系统以使所述证书管理系统对所述证书验证信息进行校验，若校验通过，将所述待激活证书标记为可用状态。

优选的，所述对所述证书验证信息进行校验，若校验通过，将所述待激活证书标记为可用状态具体包括：

确定所述客户身份信息是否与所述待激活证书的预设用户信息对应，若是，接收证书管理系统传输的校验通过信息，形成信息采集请求并将所述信息采集请求传输至客户终端以使所述客户终端采集客户生物特征信息；

接收所述客户终端传输的客户生物特征信息，对采集的所述客户生物特征信息进行校验，若校验通过，将所述待激活证书标记为可用状态。

优选的，所述通过预设途径与所述预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书具体包括：

通过预设用户信息中的手机号对外拔号与预设用户的终端设备建立通信连接；

接收所述预设用户的终端设备采集的预设用户的语音信息；

对所述语音信息进行校验，若校验通过，则将所述待激活证书标记为可用状态。

向客户终端反馈共享指令以使所述客户终端生成共享信息并传输至所述预设用户的终端设备以与预设用户建立通信连接；

接收预设用户的终端设备传输的预设用户的客户生物特征信息，对采集的所述客户生物特征信息进行校验，若校验通过，将所述待激活证书标记为可用状态。

本发明还公开了一种企业安全认证证书激活方法，包括：

向金融机构服务器发送证书激活申请以使所述金融机构服务器根据客户终端传输的证书激活申请确定企业信息和客户身份信息；对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书；若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

本发明还公开了一种金融机构服务器，包括：

信息解析模块，用于根据客户终端传输的证书激活申请确定企业信息和客户身份信息；

信息校验模块，用于对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书；

证书激活模块，用于若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

本发明还公开了一种客户终端，被配置为向金融机构服务器发送证书激活申请以使所述金融机构服务器根据客户终端传输的证书激活申请确定企业信息和客户身份信息；对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书；若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

本发明还公开了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，

所述处理器执行所述程序时实现如上所述方法。

本发明还公开了一种计算机可读介质，其上存储有计算机程序，

该程序被处理器执行时实现如上所述方法。

本发明企业安全认证证书激活方法根据客户终端传输的证书激活申请确定企业信息和客户身份信息，对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书，若否，通过预设途径与所述预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。从而，本发明可以接收客户终端发起的证书激活申请，对证书激活申请中的客户身份信息进行校验，确定当前发起证书激活申请的客户身份信息符合激活的条件。若校验通过，可根据证书激活申请中的企业信息确定对应的待激活证书，并激活得到的待激活证书。若校验不通过，可通过预设途径与预设用户建立通信连接，通过与预设用户的信息交互对证书激活申请进行激活校验，如果校验通过，则激活所述待激活证书。由此可知，本发明允许客户从客户终端主动发起对待激活证书的证书激活申请，客户终端可通过互联网将证书激活申请发送至金融机构服务器，通过线上渠道对证书进行在线激活，从而本发明允许客户通过个人的客户终端申请证书激活，克服了现有证书激活必须通过企业内部网络的设备发起的限制，在保证证书激活安全性的前提下极大地提升U盾证书激活的便捷性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本发明企业安全认证证书激活系统具体实施例的结构图；

图2示出本发明企业安全认证证书激活方法具体实施例的流程图；

图3示出本发明企业安全认证证书激活方法具体实施例S000的流程图；

图4示出本发明企业安全认证证书激活方法具体实施例S100的流程图；

图5示出本发明企业安全认证证书激活方法具体实施例S200的流程图；

图6示出本发明企业安全认证证书激活方法具体实施例S300激活证书的流程图；

图7示出本发明企业安全认证证书激活方法具体实施例S300客户为预设用户时证书激活的流程图；

图8示出本发明企业安全认证证书激活方法具体实施例S300对外拔号途径的流程图；

图9示出本发明企业安全认证证书激活方法具体实施例S300共享指令途径的流程图；

图10示出本发明金融机构服务器具体实施例的结构图；

图11示出适于用来实现本发明实施例的计算机设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本申请公开的一种企业安全认证证书激活方法、终端及服务器可用于信息安全技术领域，也可用于除信息安全技术领域之外的任意领域，本申请公开的一种企业安全认证证书激活方法、终端及服务器的应用领域不做限定。

为了便于理解本申请提供的技术方案，下面先对本申请技术方案的相关内容进行说明。本发明实施例提供的企业安全认证证书激活方法可以接收客户终端发起的证书激活申请，对证书激活申请中的客户身份信息进行校验，确定当前发起证书激活申请的客户身份信息符合激活的条件。若校验通过，可根据证书激活申请中的企业信息确定对应的待激活证书，并激活得到的待激活证书。若校验不通过，可通过预设途径与预设用户建立通信连接，通过与预设用户的信息交互对证书激活申请进行激活校验，如果校验通过，则激活所述待激活证书。由此可知，本发明允许客户从客户终端主动发起对待激活证书的证书激活申请，通过线上渠道对证书进行在线激活，在保证证书激活安全性的前提下极大地提升U盾证书激活的便捷性。

图1是本发明实施例提供的企业安全认证证书激活系统的结构示意图，如图1所示，本发明实施例提供的企业安全认证证书激活系统包括至少一个客户终端1和金融机构服务器2。

其中，客户终端1可基于客户的操作形成证书激活申请并将该证书激活申请传输至金融机构服务器2。

金融机构服务器2可根据客户终端传输的证书激活申请确定企业信息和客户身份信息，对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书，若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

其中，需要说明的是，金融机构服务器2可以是银行服务器，也可以是其他金融机构的服务器，本发明对此并不作限定。

下面以金融机构服务器2作为执行主体为例，说明本发明实施例提供的企业安全认证证书激活方法的实现过程。可理解的是，本发明实施例提供的企业安全认证证书激活方法的执行主体包括但不限于该金融机构服务器2。

根据本发明的一个方面，本实施例公开了一种企业安全认证证书激活方法。如图2所示，本实施例中，所述方法包括：

S100：根据客户终端传输的证书激活申请确定企业信息和客户身份信息。

S200：对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书。

S300：若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

在优选的实施方式中，如图3所示，所述方法进一步包括在接收客户终端传输的证书激活申请之前的步骤S000：

S010：接收客户终端传输的证书申请信息，所述证书申请信息包括客户身份信息。

S020：根据所述证书申请信息生成证书。

S030：根据所述证书申请信息确定所述客户身份信息，并确定所述客户身份信息是否与预设用户对应，若是，激活所述待激活证书，若否，标记所述证书为所述待激活证书。

具体的，可以理解的是，在对待激活证书进行激活之前，需要先向金融机构申请U盾证书。由此，在该优选的实施方式中，支持客户通过客户终端向银行机构服务器进行线上申请U盾证书。具体的，客户终端可与客户进行信息交互，从而客户可在客户终端上发起U盾证书申请的操作，客户终端基于客户的操作及客户身份信息形成证书申请信息，金融机构服务器接收客户终端传输的证书申请信息后，可解析该证书申请信息得到客户身份信息。证书申请信息中进一步还可包括申请证书的企业信息等，对该证书申请信息进行解析可得到企业信息，根据企业信息可制作得到U盾证书。

在U盾证书制作完成后，可校验客户身份信息是否与企业信息的预设用户对应，即证书申请信息中的客户身份信息是否为预设用户的预设用户信息，若是，表明当前发送证书申请信息的客户为允许授权激活的预设用户，可直接在证书申请时对生成的待激活证书进行激活。而当证书申请信息中的客户身份信息不与预设用户的预设用户信息对应，则需要先将制作得到的证书标记为待激活证书，以使后续客户通过客户终端向金融机构服务器发送证书激活申请进行证书激活。

其中，需要说明的是，客户终端可以是用户手机、IPAD等移动终端设备，该移动终端设备上可设置金融机构客户端或第三方应用提供的服务接口，以与客户进行信息交互。例如，可通过个人手机银行、微信小程序提供的信息交互渠道向客户展示信息，并接收客户输入的指令和信息，实现客户与银行金融服务器的信息交互。

在优选的实施方式中，如图4所示，所述S100根据客户终端传输的证书激活申请确定企业信息和客户身份信息具体包括：

S110：确定是否能够根据所述证书激活申请确定企业信息和客户身份信息。

S120：若否，向客户终端反馈信息采集申请以使所述客户终端反馈所述信息采集申请。

S130：接收所述客户终端传输的客户输入的企业信息和客户身份信息。

具体的，可以理解的是，当客户通过登陆金融机构客户端形成证书激活申请，则客户终端上的金融机构客户端预存有客户身份信息，可直接根据客户身份信息和客户待激活证书的企业信息形成证书激活申请。而当客户通过页面或者小程序等第三方应用提供的接口发起证书激活申请时，证书激活申请中可能不存在客户身份信息和企业信息。当对证书激活申请进行解析确定证书激活申请中不包含客户身份信息和企业信息时，则可向客户终端反馈信息采集申请，客户终端可向客户反馈该信息采集申请，以使客户可输入客户身份信息和企业信息，客户终端可将客户输入的客户身份信息和企业信息传输给金融机构服务器以使金融机构服务器对客户身份信息进行校验。由此，该优选的实施方式中，支持客户终端自动采集预存的客户身份信息和企业信息以及用户输入客户身份信息和企业信息的多种信息获取和设置方式，提高证书激活过程的灵活性，提高用户体验。

在优选的实施方式中，如图5所示，所述S200对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书并激活具体包括：

S210：获取预存的所述企业信息对应的预设用户信息。

S220：确定所述客户身份信息是否与所述预设用户信息一致。

S230：若是，将所述企业信息和客户身份信息传输至证书管理系统以使所述证书管理系统确定所述企业信息对应的所有待激活证书。

具体的，可以理解的是，企业在申请U盾证书后需要激活后才能使用，而制作得到的待激活证书需要得到预设用户的授权确认才能够激活。其中，预设用户可以是企业的法人或财务主管，该预设用户可以是企业在银行开设账户时设置的，即需要预先确认预设用户信息，并将该预设用户信息与企业信息对应，当证书激活申请中的客户身份信息与预设用户信息一致，即客户身份信息与预设用户对应时，确认为预设用户本人申请对待激活证书进行激活。

此外，在该优选的实施方式中，企业安全认证证书激活系统进一步还可包括证书管理系统。该证书管理系统可对证书进行统一管理，通过证书管理系统将证书的管理与业务处理的金融机构服务器分离，以便于更好的保证证书的安全性。则金融机构服务器可将校验通过的客户身份信息与企业信息传输至证书管理系统以使证书管理系统确定企业信息对应的所有待激活证书并返回给金融机构服务器。

其中，需要说明的是，客户身份信息和预设用户信息可包括客户的姓名及身份证号等信息。企业信息可包括企业名称、企业编号及联系人信息等信息。

在优选的实施方式中，如图6所示，所述S300激活所述待激活证书具体包括：

S311：接收所述证书管理系统传输的所有待激活证书并传输至客户终端以使所述客户终端向客户反馈所有待激活证书，接收客户输入的证书验证信息。

S312：接收所述客户终端传输的证书验证信息并传输至所述证书管理系统以使所述证书管理系统对所述证书验证信息进行校验，若校验通过，将所述待激活证书标记为可用状态。

具体的，金融机构服务器在确定企业信息对应的所有待激活证书后，可将所有待激活证书的列表返回给客户终端，客户终端可将待激活证书的列表向客户展示以使客户输入想要激活的待激活证书的证书验证信息，客户终端将客户的证书验证信息传输至金融机构服务器，则金融机构服务器可将证书验证信息传输至证书管理系统以使证书管理系统对证书校验信息进行校验，若校验通过，则可将待激活证书标记为可用状态，则在后续企业交易时才能够使用证书保证交易的安全性。其中，证书校验信息可包括待激活证书的证书序列号及客户身份信息等信息。

在优选的实施方式中，如图7所示，所述S300对所述证书验证信息进行校验，若校验通过，将所述待激活证书标记为可用状态具体包括：

S321：确定所述客户身份信息是否与所述待激活证书的预设用户信息对应，若是，接收证书管理系统传输的校验通过信息，形成信息采集请求并将所述信息采集请求传输至客户终端以使所述客户终端采集客户生物特征信息。

S322：接收所述客户终端传输的客户生物特征信息，对采集的所述客户生物特征信息进行校验，若校验通过，将所述待激活证书标记为可用状态。

具体的，若客户身份信息与预设用户信息对应，则表示申请激活证书的客户为预设用户本人，可直接对发起证书激活申请的客户进行身份校验，若校验通过，即可将待激活证书标记为可用状态。由于生物特征信息具有唯一性且不可篡改，可通过客户终端采集客户的生物特征信息，可将采集的生物特征信息与预存的预设用户信息的生物特征信息进行比对校验以校验客户是否为预设用户。

在一个具体例子中，用于校验的生物特征信息可采用人脸信息，即可通过客户终端设置的图像采集设备采集客户的人脸信息，可在金融机构服务器中存储预设用户的人脸信息以对采集的客户人脸信息进行比对校验。在其他实施方式中，由于预设人脸识别系统可提供居民人脸信息，可将采集的人脸信息上传至预设人脸识别系统进行人脸识别比对得到客户生物特征信息的校验结果，若预设人脸识别系统比对一致，则校验通过，可将所述待激活证书标记为可用状态。在其他实施方式中，也可采用其他生物特征信息对客户身份进行校验，本发明对此并不作限定。

在优选的实施方式中，所述S322接收所述客户终端传输的客户生物特征信息，对采集的所述客户生物特征信息进行校验，若校验通过之后，进一步包括：

S323：通过预设安全校验规则校验所述客户终端及证书激活申请是否合规，若校验通过，则将所述待激活证书标记为可用状态。

具体的，当客户使用个人的客户终端设备通过互联网向金融机构服务器发送证书激活申请时，客户终端及发起证书激活申请的渠道为互联网渠道，存在一定的不安全性，为了进一步确定客户终端及接收的证书激活申请的安全性，在该优选的实施方式中，通过预设安全校验规则进一步对客户终端及证书激活申请进行合规校验，若校验通过，则允许将待激活证书标记为可用状态。

安全校验规则得到校验结果后，可向客户展示相应的提示信息，以使客户可针对提示信息对客户终端及证书激活申请存在的问题进行排除，保证客户线上渠道激活证书的安全性。其中，在一个具体例子中，安全校验规则及对应的校验结果和提示信息如表1所示。

表1

在优选的实施方式中，如图8所示，所述S300通过预设途径与所述预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书具体包括：

S331：通过预设用户信息中的手机号对外拔号与预设用户的终端设备建立通信连接。

S332：接收所述预设用户的终端设备采集的预设用户的语音信息。

S333：对所述语音信息进行校验，若校验通过，则将所述待激活证书标记为可用状态。

具体的，可以理解的是，当发起证书激活申请的客户并非预设用户时，需要通过预设途径与预设用户建立通信连接以使预设用户可对激活申请进行授权确认，在预设用户授权确认可以激活证书时才可将待激活证书的状态修改为可用状态。在该优选的实施方式中，预设途径为拔号，即可从企业信息对应的预设用户信息中解析得到预设用户的手机号，通过对外拔号预设用户的手机号与预设用户的手机等设备建立通信连接，从而可通过预设用户的手机等设备采集预设用户的语音信息，对该语音信息进行分析校验以确定预设用户是否进行了激活授权，在校验通过后，表示预设用户已授权可以激活证书，则可将所述待激活证书标记为可用状态。

在优选的实施方式中，如图9所示，所述S300通过预设途径与所述预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书具体包括：

S341：向客户终端反馈共享指令以使所述客户终端生成共享信息并传输至所述预设用户的终端设备以与预设用户建立通信连接。

S342：接收预设用户的终端设备传输的预设用户的客户生物特征信息，对采集的所述客户生物特征信息进行校验，若校验通过，将所述待激活证书标记为可用状态。

具体的，可以理解的是，当发起证书激活申请的客户并非预设用户时，需要通过预设途径与预设用户建立通信连接以使预设用户可对激活申请进行授权确认，在预设用户授权确认可以激活证书时才可将待激活证书的状态修改为可用状态。在该优选的实施方式中，预设途径为信息共享，即可向客户终端反馈共享指令，以使客户终端将共享指令传输给预设用户的终端设备以使预设用户终端通过共享指令与金融机构服务器建立通信连接。其中，客户终端可通过直接传输的方式将共享指令发送给预设用户的终端设备，客户终端也可通过金融机构服务器将共享指令发送给预设用户的终端设备，本发明对此并不作限定。

在一个具体例子中，客户终端可基于共享指令形成用于访问金融机构服务器的共享信息，预设用户的终端设备(例如，手机)在接收到客户终端发送的共享信息后，可根据该共享信息与金融机构服务器建立通信连接。例如，共享信息包括金融机构服务器的访问链接，预设用户的终端设备可通过访问链接访问金融机构服务器进行证书激活的授权。其中，共享信息还可包括待激活证书的证书验证信息、客户身份信息及预设用户信息等信息。

其中，预设用户通过共享信息与金融机构服务器建立通信连接时，可进一步通过手机号校验等方式校验预设用户的终端设备的合法性，若校验通过，确定预设用户的终端设备合法才能够对预设用户的身份进行校验。优选的，金融机构服务器也可通过网关认证进行安全校验，取预设用户的终端设备中的sim卡对应秘钥验证码，与运营商对应实名数据信息比对，比对通过则校验通过。

类似的，由于生物特征信息具有唯一性且不可篡改，可通过预设用户的终端设备采集预设用户的生物特征信息，可将采集的生物特征信息与预存的预设用户信息的生物特征信息进行比对校验以校验预设用户的身份。

在一个具体例子中，用于预设用户的身份校验的生物特征信息可采用人脸信息，即可通过预设用户的终端设备的图像采集设备采集预设用户的人脸信息，可在金融机构服务器中存储预设用户的人脸信息以对采集的预设用户的人脸信息进行比对校验。在其他实施方式中，由于预设人脸识别系统可提供居民人脸信息，可将采集的人脸信息上传至预设人脸识别系统进行人脸识别比对得到客户生物特征信息的校验结果，若预设人脸识别系统比对一致，则校验通过，可将所述待激活证书标记为可用状态。其中，预设人脸识别系统可采用公安部人脸识别系统，当然金融机构也可以预设自己的人脸识别系统，通过预存的所有用户的人脸信息对实时采集的人脸信息进行比对校验。在其他实施方式中，也可采用其他生物特征信息对客户身份进行校验，本发明对此并不作限定。

在优选的实施方式中，所述S342对采集的所述客户生物特征信息进行校验，若校验通过之后，进一步包括：

S343：通过预设安全校验规则校验所述预设用户的终端设备及证书激活申请是否合规，若校验通过，则将所述待激活证书标记为可用状态。

具体的，当预设用户使用个人的终端设备通过互联网与金融机构服务器建立通信连接时，信息传输的渠道为互联网渠道，存在一定的不安全性，为了进一步确定预设用户的终端设备及接收的证书激活申请的安全性，在该优选的实施方式中，通过预设安全校验规则进一步对预设用户的终端设备及证书激活申请进行合规校验，若校验通过，则允许将待激活证书标记为可用状态。

安全校验规则得到校验结果后，可向客户展示相应的提示信息，以使客户可针对提示信息对预设用户的终端设备及证书激活申请存在的问题进行排除，保证客户线上渠道激活证书的安全性。其中，在一个具体例子中，安全校验规则及对应的校验结果和提示信息如表1所示。

本发明在U盾证书激活时，提供客户主动发起途径，提升U盾激活及时性的前提下，运用人脸识别新技术手段，保证客户信息安全性。本发明通过对证书管理系统、客户终端以及金融机构服务器的整合优化，实现了企业客户线上自主激活U盾的需求。其中，当为法人或财务主管等预设用户本人操作时，可直接从客户终端通过本人个人客户身份信息认证+证书认证+人脸识别手段完成企业证书激活；而当企业其他人员(人事、财务经办人等角色)操作时可通过预填法人/财务主管等预设用户信息+证书校验信息，通过多种预设途径通知法人/财务主管等预设用户进行身份核验，并通过预设人脸识别系统完成核验后激活证书。解决了目前由于客户被动等待电话不确定性较高，证书激活等待时间长的问题，通过为提供客户一种主动发起的激活途径提升了U盾证书解冻的便捷性，提升了企业银行U盾证书的激活效率。

下面通过一个具体例子来对本发明作一步的说明。在该具体例子中，金融机构服务器为银行服务器，预设用户为法人或财务主管，企业安全认证证书激活方法包括以下步骤：

Step1，客户向银行服务器申请新U盾证书。

Step2，银行柜员可通过银行柜面等渠道完成证书制。

Step3，向客户核实领取人，系统通过领取人姓名、身份证号判断领取人是否法人。

Step4，领取人为法人时，银行服务器自动激活证书。

Step5，领取人非法人时，银行服务器上送企业信息、预设用户信息、证书信息至证书管理系统，证书管理系统记录当笔数，并生成待激活指令，其中，证书信息包括证书序列号等信息。

Step8，客户通过个人手机银行、企业手机银行或微信小程序等渠道发起证书激活交易。企业电子银行服务端新增激活渠道记录，接收法人/财务主管发起的激活申请后，上送渠道编号给证书管理系统。

Step9，银行服务器判断是否能识别到客户身份信息。开放个人手机银行、微信小程序的企业证书激活入口，支持二应用调用证书管理系统接口获取集团中所有待激活的证书信息。

Step10，客户通过已登录的个人端发起，则系统可识别客户身份信息。调取系统留存的企业信息，校验核实当前办理客户是否法人/财务主管本人，是则自动带入姓名、身份证号字段。其中，增加链路供个人客户端将客户的个人信息上传给证书管理系统，并在证书管理系统新增表进行记录的同时，通过客户姓名、证件信息在节点库中核对客户在集团中的身份。

Step11，系统无法识别客户身份或识别出当前办理人非法人/财务主管本人时，客户可手工录入姓名和身份证号等客户身份信息。

Step12，调取留存的企业信息，校验手工录入的法人/财务主管信息准确性。客户终端上送客户输入的信息给证书管理系统，系统调取节点库，通过客户姓名、证件信息核对客户在企业中的身份并新增表进行记录。

Step13，银行服务器上送法人/财务主管姓名、身份证、企业信息到证书管理系统，获取待处理激活任务。客户终端将验证通过的信息上送银行服务器，银行服务器通过企业信息中的企业编号获取其待激活证书。

Step14，在客户终端前段操作页面展示当前批次可领取的待激活证书列表，提示客户验证证书信息。银行服务器获取到待激活证书后，将证书信息下传给客户发起的渠道，并记录在渠道表中。

Step15，录入证书序列号及客户身份信息得到证书校验信息。

Step16，证书管理系统核实证书校验信息的信息准确性；即核对渠道表中的信息准确性，并进行记录。

Step17，根据本人是否法人/财务主管选择操作。

Step18，如办理客户非法人/财务主管，则进入Step 24。

Step19，如办理客户是法人/财务主管，则通过活体检测录入本人人脸信息。

Step20，人脸信息的影像信息可留存在银行电子影像及文档服务器中。

Step21，通过联网核查将影像信息上传人脸信息至预设人脸识别系统人脸识别系统进行比对。客户终端将采集的预设用户信息调取公安部人联核查接口查询该信息与法人/财务主管预留的姓名及身份证号码是否一致。匹配通过后再对客户终端和接收的证书激活申请进行安全校验规则的安全校验，若校验通过，进入下一步。

Step22，激活证书并在证书管理系统记录激活渠道。其中，证书管理系统调主机接口，将证书状态置为解冻(可用状态)，并在系统激活表中记录激活渠道。

Step23，在电话银行记录该待激活证书无需外拨，客户已激活。其中，下传激活表中记录的激活渠道给内管、电话银行CCIS、企业手机银行等应用，并删除电话银行CCIS的外拨任务。

Step24，如办理客户非法人/财务主管，则证书管理系统记录该待激活证书，保留办理客户分享前输入的所有信息：法人/财务主管信息(预设用户信息)、客户身份信息、证书信息。

Step25，银行服务端通过法人/财务主管身份证号识别客户身份后，支持将该条激活记录通过加密的分享至个人客户手机银行。

Step26，法人/财务主管通过办理客户传输的分享信息的页面点击进入功能，录入手机号，银行服务器可根据手机号确认是否为法人/财务主管的手机号。

Step27，通过信息收发平台获取验证码。

Step28，银行服务器核实手机号为预设用户手机号并校验验证码。

Step29，页面展示办理客户分享前输入的所有信息。

Step30，法人/财务主管核实信息后，通过活体检测录入本人人脸信息。

Step31，影像信息留存在银行电子影像及文档服务器。

Step32，通过联网核查将影像信息上传预设人脸识别系统进行比对。比对通过后再对法人/财务主管的手机和接收的证书激活申请进行安全校验规则的安全校验，若校验通过，进入下一步。

Step33，激活证书并在证书管理系统记录激活渠道。

Step34，在电话银行记录该待激活证书无需外拨，客户已激活。

基于相同原理，本实施例还公开了一种企业安全认证证书激活方法。本实施例中，所述方法包括：

由于该方法解决问题的原理与以上方法类似，因此本方法的实施可以参见方法的实施，在此不再赘述。

基于相同原理，本实施例还公开了一种金融机构服务器。本实施例中，如图10所示，所述金融机构服务器包括信息解析模块11、信息校验模块12和证书激活模块13。

其中，信息解析模块11用于根据客户终端传输的证书激活申请确定企业信息和客户身份信息。

信息校验模块12用于对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书。

证书激活模块13用于若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

由于该服务器解决问题的原理与以上方法类似，因此本服务器的实施可以参见方法的实施，在此不再赘述。

基于相同原理，本实施例还公开了一种客户终端。该客户终端被配置为向金融机构服务器发送证书激活申请以使所述金融机构服务器根据客户终端传输的证书激活申请确定企业信息和客户身份信息；对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书；若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

由于该客户终端解决问题的原理与以上方法类似，因此本客户终端的实施可以参见方法的实施，在此不再赘述。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机设备，具体的，计算机设备例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

在一个典型的实例中计算机设备具体包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的由客户端执行的方法，或者，所述处理器执行所述程序时实现如上所述的由服务器执行的方法。

下面参考图11，其示出了适于用来实现本申请实施例的计算机设备600的结构示意图。

如图11所示，计算机设备600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM))603中的程序而执行各种适当的工作和处理。在RAM603中，还存储有系统600操作所需的各种程序和数据。CPU601、ROM602、以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(CRT)、液晶反馈器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡，调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口606。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装如存储部分608。

特别地，根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包括用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种企业安全认证证书激活方法，其特征在于，包括：

2.根据权利要求1所述的企业安全认证证书激活方法，其特征在于，进一步包括在接收客户终端传输的证书激活申请，之前：

根据所述证书申请信息生成证书；

3.根据权利要求1所述的企业安全认证证书激活方法，其特征在于，所述根据客户终端传输的证书激活申请确定企业信息和客户身份信息具体包括：

4.根据权利要求1所述的企业安全认证证书激活方法，其特征在于，所述对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书并激活具体包括：

获取预存的所述企业信息对应的预设用户信息；

确定所述客户身份信息是否与所述预设用户信息一致；

5.根据权利要求1所述的企业安全认证证书激活方法，其特征在于，所述激活所述待激活证书具体包括：

6.根据权利要求5所述的企业安全认证证书激活方法，其特征在于，所述对所述证书验证信息进行校验，若校验通过，将所述待激活证书标记为可用状态具体包括：

7.根据权利要求5所述的企业安全认证证书激活方法，其特征在于，所述通过预设途径与所述预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书具体包括：

接收所述预设用户的终端设备采集的预设用户的语音信息；

8.根据权利要求5所述的企业安全认证证书激活方法，其特征在于，所述通过预设途径与所述预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书具体包括：

9.一种企业安全认证证书激活方法，其特征在于，包括：

10.一种金融机构服务器，其特征在于，包括：

11.一种客户终端，其特征在于，被配置为向金融机构服务器发送证书激活申请以使所述金融机构服务器根据客户终端传输的证书激活申请确定企业信息和客户身份信息；对所述客户身份信息进行校验，若校验通过，根据所述企业信息确定对应的待激活证书，并激活所述待激活证书；若否，通过预设途径与预设用户建立通信连接以对所述证书激活申请进行激活校验，若校验通过，激活所述待激活证书。

12.一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，

所述处理器执行所述程序时实现如权利要求1-9任一项所述方法。

13.一种计算机可读介质，其上存储有计算机程序，其特征在于，

该程序被处理器执行时实现如权利要求1-9任一项所述方法。