CN117749384A - 一种基于客户端设备匹配的协同签名安全开通方法及系统 - Google Patents
一种基于客户端设备匹配的协同签名安全开通方法及系统 Download PDFInfo
- Publication number
- CN117749384A CN117749384A CN202311733498.8A CN202311733498A CN117749384A CN 117749384 A CN117749384 A CN 117749384A CN 202311733498 A CN202311733498 A CN 202311733498A CN 117749384 A CN117749384 A CN 117749384A
- Authority
- CN
- China
- Prior art keywords
- certificate
- information
- client
- fingerprint
- user authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012795 verification Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 16
- 238000013475 authorization Methods 0.000 abstract description 6
- 238000012545 processing Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 239000000872 buffer Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于客户端设备匹配的协同签名安全开通方法及系统,在执行用户认证操作同时绑定对应的设备指纹,并通过匹配证书请求提交的设备指纹判断客户端设备是否为已认证状态,在处理协同签名开通过程的全流程匹配认证设备指纹,在保持各步骤的独立性同时,业务系统在协同签名开通流程中证书信息与设备指纹信息、客户信息三者进行绑定,确保协同签名产品证书及对应私钥在业务系统授权设备中生成、存储及使用,从而保障协同签名产品证书下载和使用协同签名的安全性。
Description
技术领域
本发明涉及金融数据安全保护及数据处理技术领域,尤其涉及一种基于客户端设备匹配的协同签名安全开通方法及系统。
背景技术
协同签名服务的基本原理时采用对应算法将证书及私钥拆分为两部分,分别在客户端和服务器生成并安全存储。在使用过程中,单独破解客户端的私钥分量无法破解完整私钥(服务器端的私钥分量存储在加密机硬件中),因此能够提高私钥被盗用的难度。签名结果由两部分私钥分别签名并合成,与UKey中证书、文件证书等通用证书的签名结果格式一致后验证通过。对应的,协同签名产品包括客户端SDK与服务器两部分,协同签名产品证书对应私钥拆分为两部分,分别在客户端SDK和服务器中生成和存储,签名结果由两部分私钥分量加签并合成,其中客户端SDK集成于业务系统的客户端中,如手机银行APP、网银浏览器端、银企直连客户端。CA证书服务器提供证书管理(证书申请、下证、注销、更新等)服务。
协同签名作为一种新型的安全且使用便捷的文件证书产品,已逐步应用于手机银行、网银、银企直连等网银渠道以及政企系统,满足用户安全交易转账、电子合同签署、报文加密等的诉求。开通流程主要涉及业务系统、协同签名产品自身以及CA证书服务。业务系统分为客户端和服务器两部分,如柜面系统、手机银行、网银、银企直连以及政企系统,可认证客户(或用户)持有的协同签名产品中证书签名的电子签名结果,提供转账交易、电子合同签署等服务。相比于传统的UKey,协同签名使用安全性较低,但使用便捷,客户体验好——无需额外携带设备、无需安装额外软件、手机端无需开启手机系统的定位、蓝牙或音频权限。
典型的协同签名开通流程主要分为四个步骤,包括:步骤1、认证客户身份,主要由业务系统实施;步骤2、分散生成协同签名私钥以及绑定设备指纹;步骤3、验证设备指纹以及加签生成证书请求信息,主要由协同签名产品的客户端和服务端协同完成;步骤4、申请和下载证书(证书绑定客户信息、公钥信息),主要由业务系统和CA证书服务器完成。其中设备指纹为协同签名产品证书所在设备软件和硬件等信息及运算衍生唯一ID。手机平台设备指纹信息包括MAC地址、IP、IMEI、APP信息等;PC端设备指纹包括MAC地址、IP、磁盘序列号、进程信息等。
由此可知,现有的协同签名处理过程中仅在步骤2和步骤3执行对设备指纹进行绑定和认证的操作(确保协同签名中产品证书及对应私钥对应同一设备),但其他步骤执行时没有对设备指纹的绑定以及认证,造成实际应用过程中四个步骤的具体执行存在时间或空间的独立性。由于步骤1和步骤4缺乏对设备指纹的认证和绑定,开通过程中未对客户持有设备进行授权认证,无法保障协同签名产品证书下载在客户持有的授权设备中(证书对应的客户端私钥分量在授权设备中生成和存储),即协同签名开通流程中未对全流程进行认证设备指纹。例如,以银企直连渠道开通协同签名产品为例,客户临柜进行身份认证,身份认证通过后(线下完成步骤1),返回公司后在办公电脑或机房设备上,登录业务系统,使用协同签名产品服务,申请并下载协同签名证书至办公电脑或机房设备(线上完成步骤2、步骤3和步骤4)。当存在恶意攻击情况时,攻击者可利用开通流程步骤的独立性和未全过程认证设备指纹,将协同签名产品的证书下载到非客户设备或非授权设备上。
另外,在某些机构的业务场景下,由于其业务系统无法与CA证书服务器直接通讯交互,步骤4申请和下载证书需线下完成,客户需将步骤3的证书请求信息,登录CA证书服务器系统申请和下载证书,然后返回业务系统和协同签名产品系统写入证书,使用体验较差且难以控制风险。
协同签名产品证书及私钥的生成、存储、使用(签名),需复用客户持有的设备(如手机、电脑、PAD、服务器等)作为载体,目前的技术及安全防护主要集中于协同签名的证书及私钥安全性。相对于UKey,银行对证书载体的UKey等设备有完善的重空(重要空白凭证)管控流程,但目前协同签名产品缺乏对客户持有设备的有效认证。
发明内容
为解决现有技术的不足,本发明提出一种基于客户端设备匹配的协同签名安全开通方法及系统,在处理协同签名开通过程的全流程匹配认证设备指纹,在保持各步骤的独立性同时,业务系统在协同签名开通流程中证书信息与设备指纹信息、客户信息三者进行绑定,确保协同签名产品证书及对应私钥在业务系统授权设备中生成、存储及使用,从而保障协同签名产品证书下载和使用协同签名的安全性。
为实现以上目的,本发明所采用的技术方案包括:
一种基于客户端设备匹配的协同签名安全开通方法,其特征在于,包括:
S1、依据协同签名开通申请执行用户认证操作生成用户认证信息,所述用户认证操作包括用户身份验证;
S2、获取客户端的第一设备指纹,判断用户认证操作是否通过;
S3、当判断用户认证操作通过时,将用户认证信息与第一设备指纹绑定;
S4、依据密钥生成请求提交对应客户端的第二设备指纹,使用用户认证信息生成协同签名私钥,并将协同签名私钥与第二设备指纹绑定;
S5、依据加签请求提交对应客户端的第二设备指纹,判断第二设备指纹是否匹配验证条件,当判断第二设备指纹匹配验证条件时,依据加签请求生成证书请求;
S6、判断第二设备指纹是否匹配第一设备指纹;
S7、当判断第二设备指纹匹配第一设备指纹时,依据证书请求使用用户认证信息和第一设备指纹申请生成用户证书,所述用户证书包括公钥信息和第一设备指纹;
S8、存储用户证书,客户端依据业务请求下载对应用户证书执行协同签名验证。
进一步地,所述第一设备指纹和第二设备指纹包括MAC地址、IP信息、IMEI信息、APP信息、磁盘序列号、进程信息中的任意一种或多种组合。
进一步地,所述使用用户认证信息生成协同签名私钥包括:
使用用户认证信息分别生成并加密存储第一私钥分量和第二私钥分量;
所述第一私钥分量对应服务器端;
所述第二私钥分量对应客户端。
进一步地,所述生成证书请求包括:
依据加签请求生成请求信息;
使用第一私钥分量对请求信息执行第一加签操作,判断第一加签操作执行是否成功;
当判断第一加签操作执行成功时,使用第二私钥分量对请求信息执行第二加签操作,生成证书请求。
进一步地,所述步骤S8还包括:
依据业务请求提交第三设备指纹;
判断第三设备指纹是否匹配第一设备指纹;
当判断第三设备指纹匹配第一设备指纹时,下载对应用户证书执行协同签名验证。
进一步地,所述第一私钥分量和第二私钥分量分别独立加密存储。
本发明还涉及一种基于客户端设备匹配的协同签名安全开通系统,其特征在于,包括:
用户认证模块,用于依据协同签名开通申请执行用户认证操作生成用户认证信息,并将用户认证信息与第一设备指纹绑定;
密钥生成模块,用于使用用户认证信息生成协同签名私钥,并将协同签名私钥与第二设备指纹绑定;
证书请求生成模块,用于依据加签请求生成证书请求;
证书反馈模块,用于判断第二设备指纹是否匹配第一设备指纹,以及依据证书请求使用用户认证信息和第一设备指纹申请生成用户证书。
本发明还涉及一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
本发明还涉及一种电子设备,其特征在于,包括处理器和存储器;
所述存储器,用于存储用户认证信息、设备指纹和用户证书;
所述处理器,用于通过调用用户认证信息、设备指纹和用户证书,执行上述的方法。
本发明还涉及一种计算机程序产品,包括计算机程序和/或指令,其特征在于,该计算机程序和/或指令被处理器执行时实现上述方法的步骤。
本发明的有益效果为:
采用本发明所述基于客户端设备匹配的协同签名安全开通方法及系统,在处理协同签名开通过程的全流程匹配认证设备指纹,在保持各步骤的独立性同时,业务系统在协同签名开通流程中证书信息与设备指纹信息、客户信息三者进行绑定,确保协同签名产品证书及对应私钥在业务系统授权设备中生成、存储及使用,在后续协同签名产品签名或加解密结果验证时,验证证书中设备指纹信息与业务系统存储的设备指纹信息是否一致,从而加强协同签名产品证书使用的可靠性,保障协同签名产品证书下载和使用协同签名的安全性。
附图说明
图1为本发明基于客户端设备匹配的协同签名安全开通方法流程示意图。
图2为本发明基于客户端设备匹配的协同签名安全开通系统结构示意图。
具体实施方式
为了更清楚的理解本发明的内容,将结合附图和实施例详细说明。
本发明第一方面涉及一种步骤流程如图1所示的基于客户端设备匹配的协同签名安全开通方法,包括:
S1、依据协同签名开通申请执行用户认证操作生成用户认证信息,所述用户认证操作包括用户身份验证。
以协同签名客户端分别连接业务系统和协同签名系统,并由业务系统连接CA证书服务器的部署架构为例,执行过程中客户启动业务系统客户端并登录业务系统,发起开通协同签名申请;业务系统服务器根据客户已开通的身份认证方式,下发客户端并引导客户选择认证方式。
S2、获取客户端的第一设备指纹,判断用户认证操作是否通过。
优选的,设备指纹包括MAC地址、IP信息、IMEI信息、APP信息、磁盘序列号、进程信息中的任意一种或多种组合。
示例执行中,业务系统客户端调用协同签名客户端SDK获取设备指纹。
S3、当判断用户认证操作通过时,将用户认证信息与第一设备指纹绑定。
示例执行中,业务系统客户端提交身份认证信息和设备指纹信息至业务系统服务器;业务系统服务器认证客户身份认证信息,通过后存储设备指纹信息,并与客户信息绑定。绑定完成后,返回业务系统客户端身份认证结果。
S4、依据密钥生成请求提交对应客户端的第二设备指纹,使用用户认证信息生成协同签名私钥,并将协同签名私钥与第二设备指纹绑定。
具体的,使用用户认证信息生成协同签名私钥包括:使用用户认证信息分别生成并加密存储第一私钥分量和第二私钥分量,特别是将第一私钥分量和第二私钥分量分别独立加密存储;所述第一私钥分量对应服务器端;所述第二私钥分量对应客户端。
示例执行中,业务系统客户端发起密钥对生成请求,并提交设备指纹信息;协同签名产品服务器生成并加密存储私钥分量1,并存储设备指纹信息;业务系统客户端调用协同签名产品客户端SDK生成并加密存储私钥分量2。
S5、依据加签请求提交对应客户端的第二设备指纹,判断第二设备指纹是否匹配验证条件,当判断第二设备指纹匹配验证条件时,依据加签请求生成证书请求。
具体的,生成证书请求包括:依据加签请求生成请求信息;使用第一私钥分量对请求信息执行第一加签操作,判断第一加签操作执行是否成功;当判断第一加签操作执行成功时,使用第二私钥分量对请求信息执行第二加签操作,生成证书请求。
示例执行中,业务系统客户端发起加签证书请求信息请求,并提交设备指纹信息;协同签名产品服务器验证设备指纹信息,私钥分量1加签证书请求信息,加签结果返回业务系统客户端;业务系统客户端调用协同签名产品客户端SDK私钥分量2加签证书请求信息,并生成证书请求PKCS10。
S6、判断第二设备指纹是否匹配第一设备指纹。
示例执行中,业务系统客户端提交证书请求PKCS10和设备指纹至业务系统服务器并进行对应判断。
S7、当判断第二设备指纹匹配第一设备指纹时,依据证书请求使用用户认证信息和第一设备指纹申请生成用户证书,所述用户证书包括公钥信息和第一设备指纹。
示例执行中,业务系统服务器验证设备指纹(是否该客户认证通过后存储的设备指纹是否一致),验证通过后,上送客户信息、证书请求PKCS10和设备指纹至CA证书服务器申请证书。其中,CA证书服务器生成证书,证书包括客户信息、公钥信息和设备指纹信息,并返回证书至业务系统服务器。
S8、存储用户证书,客户端依据业务请求下载对应用户证书执行协同签名验证。
优选的,还包括:依据业务请求提交第三设备指纹;判断第三设备指纹是否匹配第一设备指纹;当判断第三设备指纹匹配第一设备指纹时,下载对应用户证书执行协同签名验证。
示例执行中,业务系统服务器存储客户证书,并返回业务系统客户端;业务系统客户端调用协同签名产品SDK写入客户证书。
类似的,上述方法的执行同样适用于协同签名客户端分别连接业务系统和协同签名系统,并由业务系统连接CA证书服务器的部署架构。相较上述方法示例执行过程,该不同部署架构下的主要执行区别包括:
步骤S3的执行过程中,绑定完成后,返回业务系统客户端身份认证结果和客户信息(或为了隐私保护由客户信息转化后的客户ID),客户信息将于后续步骤由协同签名产品发起申请证书。
步骤S6的执行过程中,业务系统客户端提交证书请求PKCS10和设备指纹至协同签名产品服务器并进行对应判断。
步骤S7的执行过程中,协同签名产品服务器验证设备指纹,验证通过后,上送客户信息、证书请求PKCS10和设备指纹至CA证书服务器申请证书;CA证书服务器生成证书,证书包括客户信息、公钥信息和设备指纹信息,并返回证书至协同签名产品服务器。
步骤S8的执行过程中,协同签名产品服务器返回证书至业务系统客户端,业务系统客户端调用协同签名产品SDK写入证书。业务系统客户端上送证书至业务系统服务器,业务系统服务器验证证书中设备指纹是否与存储的客户信息绑定的设备指纹是否一致;验证通过后存储证书并绑定用户信息。业务系统服务器返回结果至业务系统客户端。
以下通过手机银行方式开通协同签名的具体应用场景为例,进一步说明上述方法的执行过程。
认证客户身份和设备,并绑定设备指纹:
客户启动业务系统客户端(手机银行APP)并登录业务系统,发起开通协同签名申请;
业务系统服务器根据客户已开通的身份认证方式,下发客户端并引导客户选择认证方式:客户已开通身份认证方式包括但不局限于UKey中证书签名、人脸识别、指纹识别。若客户未开通任何方式的认证方式,提示客户前往网点临柜进行身份认证(临柜进行身份认证也适合已开通其他身份认证方式的场景)。若客户只支持网银端一代UKey或二代UKey(不支持蓝牙或音频等扩展通讯方式在手机银行使用),提示客户在网银端使用;
业务系统客户端调用协同签名客户端SDK获取设备指纹:若临柜或网银端提交设备指纹信息,设备指纹可或二维码方式直接显示在客户端手机银行APP,方便输入;
业务系统客户端提交身份认证信息和设备指纹信息至业务系统服务器;
业务系统服务器认证客户身份认证信息,通过后存储设备指纹信息,并与客户信息绑定(如手机银行APP或网银端采用UKey中证书进行认证,可采用UKey证书加签设备指纹信息并上送业务系统,业务系统验证签名通过后);
返回业务系统客户端身份认证结果。
分散生成协同签名私钥,并绑定设备指纹:
业务系统客户端发起密钥对生成请求,并提交设备指纹信息;
协同签名产品服务器生成并加密存储私钥分量1,并存储设备指纹信息;
业务系统客户端调用协同签名产品客户端SDK生成并加密存储私钥分量2。
验证设备指纹,加签生成证书请求信息PKCS10:
业务系统客户端发起加签证书请求信息请求,并提交设备指纹信息;
协同签名产品服务器验证设备指纹信息,私钥分量1加签证书请求信息,加签结果返回业务系统客户端;
业务系统客户端调用协同签名产品客户端SDK私钥分量2加签证书请求信息;
并生成证书请求PKCS10。
验证设备指纹,申请和下载证书:
业务系统客户端提交证书请求PKCS10和设备指纹至业务系统服务器;
业务系统服务器验证设备指纹(是否该客户认证通过后存储的设备指纹是否一致),验证通过后,上送客户信息、证书请求PKCS10和设备指纹至CA证书服务器申请证书;
CA证书服务器生成证书,证书包括客户信息、公钥信息和设备指纹信息,并返回证书至业务系统服务器。为了个人隐私和客户信息保护,客户信息可以使用客户信息哈希运算(SM3哈希算法)转换的ID;
业务系统服务器存储客户证书,并返回业务系统客户端;
业务系统客户端调用协同签名产品SDK写入客户证书。
本发明另一方面还涉及一种基于客户端设备匹配的协同签名安全开通系统,其结构如图2所示,包括:
用户认证模块,用于依据协同签名开通申请执行用户认证操作生成用户认证信息,并将用户认证信息与第一设备指纹绑定;
密钥生成模块,用于使用用户认证信息生成协同签名私钥,并将协同签名私钥与第二设备指纹绑定;
证书请求生成模块,用于依据加签请求生成证书请求;
证书反馈模块,用于判断第二设备指纹是否匹配第一设备指纹,以及依据证书请求使用用户认证信息和第一设备指纹申请生成用户证书。
通过使用该系统,能够执行上述的运算处理方法并实现对应的技术效果。
本发明的实施例还提供能够实现上述实施例中的方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的方法的全部步骤。
本发明的实施例还提供一种用于执行上述方法的电子设备,作为该方法的实现装置,所述电子设备至少具备有处理器和存储器,特别是该存储器上存储有执行方法所需的数据和相关的计算机程序,例如用户认证信息、设备指纹和用户证书等,并通过由处理器调用存储器中的数据、程序执行实现方法的全部步骤,并获得对应的技术效果。
优选的,该电子设备可以包含有总线架构,总线可以包括任意数量的互联的总线和桥,总线将包括由一个或多个处理器和存储器的各种电路链接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和接收器和发送器之间提供接口。接收器和发送器可以是同一个元件,即收发机,提供用于在传输介质上与各种其他系统通信的单元。处理器负责管理总线和通常的处理,而存储器可以被用于存储处理器在执行操作时所使用的数据。
额外的,所述电子设备还可以进一步包括通信模块、输入单元、音频处理器、显示器、电源等部件。其所采用的处理器(或称为控制器、操作控件)可以包括微处理器或其他处理器装置和/或逻辑装置,该处理器接收输入并控制电子设备的各个部件的操作;存储器可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种,可储存上述有关的数据信息,此外还可存储执行有关信息的程序,并且处理器可执行该存储器存储的该程序,以实现信息存储或处理等;输入单元用于向处理器提供输入,例如可以为按键或触摸输入装置;电源用于向电子设备提供电力;显示器用于进行图像和文字等显示对象的显示,例如可为LCD显示器。通信模块即为经由天线发送和接收信号的发送机/接收机。通信模块(发送机/接收机)耦合到处理器,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)还经由音频处理器耦合到扬声器和麦克风,以经由扬声器提供音频输出,并接收来自麦克风的音频输入,从而实现通常的电信功能。音频处理器可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器还耦合到中央处理器,从而使得可以通过麦克风能够在本机上录音,且使得可以通过扬声器来播放本机上存储的声音。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
以上所述仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换等都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (10)
1.一种基于客户端设备匹配的协同签名安全开通方法,其特征在于,包括:
S1、依据协同签名开通申请执行用户认证操作生成用户认证信息,所述用户认证操作包括用户身份验证;
S2、获取客户端的第一设备指纹,判断用户认证操作是否通过;
S3、当判断用户认证操作通过时,将用户认证信息与第一设备指纹绑定;
S4、依据密钥生成请求提交对应客户端的第二设备指纹,使用用户认证信息生成协同签名私钥,并将协同签名私钥与第二设备指纹绑定;
S5、依据加签请求提交对应客户端的第二设备指纹,判断第二设备指纹是否匹配验证条件,当判断第二设备指纹匹配验证条件时,依据加签请求生成证书请求;
S6、判断第二设备指纹是否匹配第一设备指纹;
S7、当判断第二设备指纹匹配第一设备指纹时,依据证书请求使用用户认证信息和第一设备指纹申请生成用户证书,所述用户证书包括公钥信息和第一设备指纹;
S8、存储用户证书,客户端依据业务请求下载对应用户证书执行协同签名验证。
2.如权利要求1所述的方法,其特征在于,所述第一设备指纹和第二设备指纹包括MAC地址、IP信息、IMEI信息、APP信息、磁盘序列号、进程信息中的任意一种或多种组合。
3.如权利要求1所述的方法,其特征在于,所述使用用户认证信息生成协同签名私钥包括:
使用用户认证信息分别生成并加密存储第一私钥分量和第二私钥分量;
所述第一私钥分量对应服务器端;
所述第二私钥分量对应客户端。
4.如权利要求3所述的方法,其特征在于,所述生成证书请求包括:
依据加签请求生成请求信息;
使用第一私钥分量对请求信息执行第一加签操作,判断第一加签操作执行是否成功;
当判断第一加签操作执行成功时,使用第二私钥分量对请求信息执行第二加签操作,生成证书请求。
5.如权利要求1所述的方法,其特征在于,所述步骤S8还包括:
依据业务请求提交第三设备指纹;
判断第三设备指纹是否匹配第一设备指纹;
当判断第三设备指纹匹配第一设备指纹时,下载对应用户证书执行协同签名验证。
6.如权利要求3所述的方法,其特征在于,所述第一私钥分量和第二私钥分量分别独立加密存储。
7.一种基于客户端设备匹配的协同签名安全开通系统,其特征在于,包括:
用户认证模块,用于依据协同签名开通申请执行用户认证操作生成用户认证信息,并将用户认证信息与第一设备指纹绑定;
密钥生成模块,用于使用用户认证信息生成协同签名私钥,并将协同签名私钥与第二设备指纹绑定;
证书请求生成模块,用于依据加签请求生成证书请求;
证书反馈模块,用于判断第二设备指纹是否匹配第一设备指纹,以及依据证书请求使用用户认证信息和第一设备指纹申请生成用户证书。
8.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法。
9.一种电子设备,其特征在于,包括处理器和存储器;
所述存储器,用于存储用户认证信息、设备指纹和用户证书;
所述处理器,用于通过调用用户认证信息、设备指纹和用户证书,执行权利要求1至6中任一项所述的方法。
10.一种计算机程序产品,包括计算机程序和/或指令,其特征在于,该计算机程序和/或指令被处理器执行时实现权利要求1至6中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311733498.8A CN117749384A (zh) | 2023-12-15 | 2023-12-15 | 一种基于客户端设备匹配的协同签名安全开通方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311733498.8A CN117749384A (zh) | 2023-12-15 | 2023-12-15 | 一种基于客户端设备匹配的协同签名安全开通方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117749384A true CN117749384A (zh) | 2024-03-22 |
Family
ID=90250205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311733498.8A Pending CN117749384A (zh) | 2023-12-15 | 2023-12-15 | 一种基于客户端设备匹配的协同签名安全开通方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117749384A (zh) |
-
2023
- 2023-12-15 CN CN202311733498.8A patent/CN117749384A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
US20190073671A1 (en) | Payment authentication method, apparatus and system for onboard terminal | |
CN114788226B (zh) | 用于建立分散式计算机应用的非托管工具 | |
US8606234B2 (en) | Methods and apparatus for provisioning devices with secrets | |
CN102595404B (zh) | 用于存储和执行访问控制客户端的方法及装置 | |
US8438385B2 (en) | Method and apparatus for identity verification | |
WO2016177052A1 (zh) | 一种用户认证方法和装置 | |
CN112953970B (zh) | 一种身份认证方法及身份认证系统 | |
CN105027107A (zh) | 安全虚拟机迁移 | |
US8397281B2 (en) | Service assisted secret provisioning | |
CN111464295B (zh) | 银行卡制卡方法及装置 | |
CN102427442A (zh) | 组合请求相关元数据和元数据内容 | |
CN109922027B (zh) | 一种可信身份认证方法、终端及存储介质 | |
WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
CN110620763B (zh) | 一种基于移动端app的移动身份认证方法及系统 | |
WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
CN111641615A (zh) | 一种基于证书的分布式身份验证方法及系统 | |
CN111949959B (zh) | Oauth协议中的授权认证方法及装置 | |
CN113364597A (zh) | 一种基于区块链的隐私信息证明方法及系统 | |
CN111065081A (zh) | 一种基于蓝牙的信息交互方法及其装置 | |
CN111062059B (zh) | 用于业务处理的方法和装置 | |
CN106656507B (zh) | 一种基于移动终端的电子认证方法及装置 | |
CN107735788B (zh) | 自动供应设备以访问帐户 | |
CN113535852A (zh) | 基于区块链的文件处理方法、文件访问方法、装置及系统 | |
WO2023174350A1 (zh) | 身份认证方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |