数字证书的生成方法和系统的制作方法

文档序号：7550121阅读：563来源：国知局

专利名称：数字证书的生成方法和系统的制作方法
技术领域：
本发明涉及信息安全技术领域，特别涉及一种数字证书的生成方法和一种数字证书的生成系统。
背景技术：
近年来，伴随互联网以及金融信息化的快速发展，网上银行因其便利、高效等优点迅速得到用户和银行业界的普遍推崇，其中数字证书是通过网上银行进行交易时用户和银行服务器的身份标识，可以保证网上交易的安全。目前，用户数字证书的生成均由银行服务器完成，经过第三方电子商务认证服务器认证之后再下发给用户所使用的终端。存在的问题是，银行服务器在下发的数字证书给终端的过程中，银行服务器可能不知道所发送的具体终端，从而有可能遭到拦截，数字证书在下发的过程中存在被盗取的安全隐患。

发明内容
本发明的目的旨在至少解决上述技术缺陷之一。为达到上述目的，本发明第一个目的在于提出一种数字证书的生成方法，该方法包括以下步骤a、移动终端接收注册指令，并根据所述注册指令与银行综合服务器建立连接，以及生成一对用户公钥和私钥；b、所述移动终端根据所述银行综合服务器的公钥对用户信息进行加密，并将加密之后的所述用户信息发送至所述银行综合服务器；c、所述银行综合服务器根据所述银行综合服务器的私钥对所述移动终端发送的加密之后的所述用户信息进行解密并验证，并在验证通过后向所述移动终端发送验证信息；d、所述移动终端接收所述银行综合服务器发送的验证信息之后，对用户公钥进行加密，并将加密后的用户公钥发送给所述银行综合服务器；以及e、所述银行综合服务器验证所述用户公钥的正确性，并在验证通过之后将所述用户公钥发送至第三方电子商务认证服务器进行认证签名以生成用户公钥证书。根据本发明实施例的数字证书的生成方法，在移动终端生成用户公钥和私钥，将用户信息和用户公钥发送至银行综合服务器之前，移动终端和银行综合服务器双方进行验证，并在验证之后以数字证书的方式存储在银行，保证用户公钥传输通路的安全性，增加攻击的难度。同时银行综合服务器经过对移动终端进行验证，可以明确知道与自己通信的是哪个移动终端，防止假冒移动终端与银行进行交互，保证了安全。为达到上述目的，本发明第二个目的在于提出一种数字证书的生成系统，该系统包括移动终端、银行综合服务器和第三方电子商务认证服务器，其中，所述移动终端，用于接收注册指令，并根据所述注册指令与所述银行综合服务器建立连接，以及生成一对用户公钥和私钥，并根据所述银行综合服务器的公钥对用户信息进行加密，并将加密之后的所述用户信息发送至所述银行综合服务器；所述银行综合服务器，用于根据所述银行综合服务器的私钥对所述移动终端发送的加密之后的所述用户信息进行解密并验证，并在验证通过后向所述移动终端发送验证信息；所述移动终端，还用于接收所述银行综合服务器发送的验证信息之后，对用户公钥进行加密，并将加密后的用户公钥发送给所述银行综合服务器；所述银行综合服务器，还用于验证所述用户公钥的正确性，并在验证通过之后将所述用户公钥发送至第三方电子商务认证服务器进行认证签名以生成用户公钥证书。根据本发明实施例的数字证书的生成系统，在移动终端生成用户公钥和私钥，分别将用户信息和用户公钥发送至银行综合服务器之前，移动终端和银行综合服务器双方进行验证，使得用户公钥在验证之后以数字证书的形式存储在银行，保证用户公钥传输通路的安全性，增加攻击的难度。同时移动银行服务器经过对移动终端进行验证，可以明确知道与自己通信的是哪个移动终端，防止假冒移动终端与银行进行交互，保证了安全。本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中图1为根据本发明一个实施例的数字证书的生成方法的流程图；图2为根据本发明一个具体实施例的数字证书的生成方法的流程图；图3为根据本发明一个实施例的数字证书的生成系统的结构示意图；以及

图4为根据本发明一个具体实施例的数字证书的生成系统的结构示意图。
具体实施例方式下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。下面参考附图描述根据本发明实施例的数字证书的生成方法和系统。图1为根据本发明一个实施例的数字证书的生成方法的流程图。
如图1所示，根据本发明实施例的数字证书的生成方法包括下述步骤。步骤S101，移动终端接收注册指令，并根据注册指令与银行综合服务器建立连接，以及生成一对用户公钥和私钥。具体地，移动终端下载银行客户端软件，在安装客户端软件时，从所加载的软件中获取银行综合服务器的公钥，并根据注册指令对银行综合服务器的公钥进行验证，以及在验证通过之后根据注册指令与银行综合服务器建立连接，并将验证通过之后的银行综合服务器的公钥保存在移动终端中，生成一对用户公钥和私钥，当用户启动银行客户端软件之后可以进入登陆/注册界面。步骤S102，移动终端根据银行综合服务器的公钥对用户信息进行加密，并将加密之后的用户信息发送至银行综合服务器。其中，用户信息包括手机号码、银行卡号、注册完毕后的登录密码；或者手机号码、银行卡号、注册完毕后的登录密码的哈希值。在本步骤中，发送加密的用户信息的同时，还可以发送验证信息，以便银行综合服务器对移动终端进行验证，保证安全性。步骤S103，银行综合服务器根据银行综合服务器的私钥对移动终端发送的加密之后的用户信息进行解密并验证，并在验证通过后向移动终端发送验证信息。

步骤S104，移动终端接收银行综合服务器发送的验证信息之后，对用户公钥进行加密，并将加密后的用户公钥发送给银行综合服务器。步骤S105，银行综合服务器验证用户公钥的正确性，并在验证通过之后将用户公钥发送至第三方电子商务认证服务器进行认证签名以生成用户公钥证书。具体地，第三方电子商务认证服务器对用户的公钥进行认证签名，可以防止用户公钥被冒充，并将签名之后的用户公钥储存在银行综合服务器中，银行综合服务器存储签名的用户公钥之后提示用户公钥证书生成成功。根据本发明实施例的数字证书的生成方法，在移动终端生成用户公钥和私钥，分别将用户信息和用户公钥发送至银行综合服务器之前，移动终端和银行综合服务器双方进行验证，使得用户公钥在验证之后以数字证书的形式存储在银行，保证用户公钥传输通路的安全性，增加攻击的难度。同时移动银行服务器经过对移动终端进行验证，可以明确知道与自己通信的是哪个移动终端，防止假冒移动终端与银行进行交互，保证了安全。图2为根据本发明一个具体实施例的数字证书的生成方法的流程图。如图2所示，根据本发明实施例的数字证书的生成方法包括下述步骤。步骤S201，移动终端接收注册指令，并根据注册指令与银行综合服务器建立连接，以及生成一对用户公钥和私钥。具体的，移动终端下载银行客户端软件，在安装客户端软件时，从所加载的软件中获取银行综合服务器的公钥，并根据注册指令对银行综合服务器的公钥进行验证，以及在验证通过之后根据注册指令与银行综合服务器建立连接。具体地，银行客户端软件在进行安装时，银行综合服务器的公钥的根证书提前预置在移动终端中，在发送注册请求时，可以根据预置的根证书验证银行综合服务器的公钥是否正确，其中在银行综合服务器的公钥正确时才可以继续执行下述步骤，在银行综合服务器的公钥错误时提示错误信息。在本发明的一个实施例中，银行综合服务器包括移动银行服务器和银行综合前置服务器，移动终端从所加载的软件(例如银行客户端软件)中获取移动银行服务器的公钥和银行综合前置服务器的公钥，并根据注册指令对移动银行服务器的公钥和银行综合前置服务器的公钥进行验证，以及在验证通过之后根据注册指令与移动银行服务器建立连接。具体地，银行客户端软件在进行安装时，移动银行服务器的公钥和银行综合前置服务器的公钥的根证书提前预置在移动终端中，在发送注册请求时，可以根据预置的根证书验证移动银行服务器的公钥和银行综合前置服务器的公钥是否正确，其中在移动银行服务器的公钥和银行综合前置服务器的公钥正确时才可以继续执行下述步骤，在移动银行服务器的公钥和银行综合前置服务器的公钥错误时提示错误信息。其中，移动银行服务端的私钥存储在移动银行服务器中，移动银行服务器的公钥和私钥用于对移动终端与移动银行服务端之间的通讯数据进行加密；银行服务端的私钥存储在银行综合前置服务器中，银行综合前置服务器的公钥和私钥用于对交易过程中的银行卡等敏感信息进行加密。步骤S202，移动终端接收移动银行服务器生成的图形验证码。其中采用图形验证码的方式进行注册可以有效地防止攻击。

具体的，移动终端可以接收移动银行服务器生成的图形验证码并将该图形验证码显示出来，以供用户查看并输入。当然，上述步骤S201中，生成的用户公钥和私钥的步骤也可以在本步骤中同时执行。步骤S203，移动终端根据移动银行服务器的公钥对手机号码、银行卡号、登录密码/登陆密码的哈希值、硬件特征信息/硬件特征信息的哈希值、第一随机数和图形验证码进行加密，并将加密之后的用户信息发送至移动银行服务器，其中第一随机数由移动终端生成。本实施例中的用户信息包括手机号码、银行卡号、登录密码、硬件特征信息；或者用户信息包括手机号码、银行卡号、登录密码的哈希值、硬件特征信息；或者用户信息包括手机号码、银行卡号、登录密码、硬件特征信息的哈希值；或者用户信息包括手机号码、银行卡号、登录密码的哈希值、硬件特征信息的哈希值。在本发明的一个实施例中，移动终端接收移动银行服务器生成的图形验证码；移动终端根据移动银行服务器的公钥对用户输入的手机号码、用户输入的银行卡号、用户输入的登录密码/计算得到的该登陆密码的哈希值、用户输入的硬件特征信息/计算得到的该硬件特征信息的哈希值、生成的第一随机数和用户输入的图形验证码显示的字符进行加密，并将加密之后的用户信息发送至移动银行服务器。具体地，移动终端提取硬件特征信息，硬件特征信息可以包括移动终端的设备序列号或网卡的MAC地址等，以便移动银行服务器对移动终端进行绑定和验证，当然，本实施例中，移动终端提取移动终端的硬件特征信息后，还可以计算该硬件特征信息的哈希值，从而可以防止在信息传输过程中硬件特征信息被获取。同时，移动终端还可以生成第一随机数。当然，上述步骤S201中，生成的用户公钥和私钥的步骤也可以在本步骤与提取硬件特征信息和/或生成第一随机数同时执行。
步骤S204，移动银行服务器根据移动银行服务器的私钥对移动终端发送的加密之后的用户信息进行解密以获得用户信息，并在图形验证码验证通过之后将手机号码和银行卡号发送至银行综合前置服务器。步骤S205，银行综合前置服务器在手机号码和银行卡号验证通过之后发送验证通过信息至移动银行服务器。其中，银行综合前置服务器和移动银行服务器之间建立加密通道，数据全部加密传送。步骤S206，移动银行服务器根据验证通过信息生成第二随机数和短信验证码，并根据第一随机数对第二随机数进行加密，并将短信验证码和加密后的第二随机数作为验证信息发送至移动终端。具体的，短信验证码以短信的形式发送至移动终端，例如以银行特服号955XX的方式发送至移动终端。步骤S207，移动终端根据第一随机数和第二随机数对短信验证码和用户公钥进行加密以生成第一分段消息验证码，并根据用户私钥对硬件特征信息/硬件特征信息的哈希值进行签名以生成第一签名信息，并将第一分段消息验证码、用户公钥和第一签名信息发送至移动银行服务器。首先，移动终端根据第一随机数对第二随机数进行解密以获取第二随机数。然后，根据第一随机数和第二随机数对用户输入的短信验证码和用户公钥进行加密以生成第一分段消息验证码，此时移动终端使用第一随机数和第二随机数作为新的密钥。再重新提取硬件特征信息/计算提取的硬件特征信息的哈希值，并根据用户私钥对硬件特征信息/硬件特征信息的哈希值进行签名以生成第一签名信息，并将第一分段消息验证码、用户公钥和第一签名信息发送至移动银行服务器。另外，移动终端在发送上述信息之前还可以通过移动银行服务器的公钥对第一分段消息验证码、用户公钥和第一签名信息进行加密。步骤S208，移动银行服务器根据存储的第一随机数和第二随机数对短信验证码和用户公钥进行加密以生成第二分段消息验证码，并根据用户公钥对第一签名信息进行验签，并判断第一分段消息验证码与第二分段消息验证码是否一致，第一签名信息是否通过验签。具体地，移动银行服务器对接收到移动终端发送的第一分段消息验证码、用户公钥和第一签名信息之后，移动银行服务器根据自己存储的第一随机数和第二随机数对短信验证码和用户公钥进行加密以生成第二分段消息验证码，并根据用户公钥对第一签名信息进行验签，然后判断第一分段消息验证码与第二分段消息验证码是否一致，第一签名信息是否通过验签。步骤S209，如果判断出第一分段消息验证码与第二分段消息验证码一致，第一签名信息通过验签，则验证通过。步骤S210，移动银行服务器在验证通过之后将用户公钥发送至第三方电子商务认证服务器进行认证签名以生成用户公钥证书。在本发明的一个实施例中，移动终端还生成第三随机数，根据硬件特征信息/硬件特征信息的哈希值、登录密码/登陆密码的哈希值和第三随机数生成对称密钥，并根据对称密钥对用户私钥进行加密保存。其中，将第三随机数发送至移动银行服务器进行保存，移动银行服务器可以利用第三随机数在交易时验证用户私钥。根据本发明实施例的数字证书的生成方法，在移动终端生成用户公钥和私钥，分别将用户信息和用户公钥发送至银行综合服务器之前，移动终端和银行综合服务器双方进行验证，使得用户公钥在验证之后以数字证书的形式存储在银行，保证用户公钥传输通路的安全性，增加攻击的难度。同时移动银行服务器经过对移动终端进行验证，可以明确知道与自己通信的是哪个移动终端，防止假冒移动终端与银行进行交互，保证了安全。图3为根据本发明一个实施例的数字证书的生成系统的结构框图。如图3所示，根据本发明实施例的交易系统包括移动终端10、银行综合服务器20和第三方电子商务认证服务器30。具体地，移动终端10用于接收注册指令，并根据注册指令与银行综合服务器20建立连接，以及生成一对用户公钥和私钥，并根据预存的银行综合服务器20的公钥对用户信息进行加密，并将加密之后的用户信息发送至银行综合服务器20。具体地，移动终端10下载银行客户端软件，在安装客户端软件时，从所加载的软件中获取银行综合服务器20的公钥，并根据注册指令对银行综合服务器20的公钥进行验证，以及在验证通过之后根据注册指令与银行综合服务器20建立连接，并将验证通过之后的银行综合服务器20的公钥保存在移动终端10中，生成一对用户公钥和私钥，当用户启动银行客户端软件之后可以进入登陆/注册界面。银行综合服务器20用于根据银行综合服务器20的私钥对移动终端10发送的加密之后的用户信息进行解密并验证，并在验证通过后向移动终端10发送验证信息。其中，用户信息包括手机号码、银行卡号、注册完毕后的登录密码；或者手机号码、银行卡号、注册完毕后的登录密码的哈希值。移动终端10发送加密的用户信息的同时，还可以发送验证信息，以便银行综合服务器20对移动终端10进行验证，保证安全性。移动终端10还用于接收银行综合服务器20发送的验证信息，对用户公钥进行加密，并将加密后的用户公钥发送给银行综合服务器20，银行综合服务器20还用于验证用户公钥的正确性，并在验证通过之后将用户公钥发送至第三方电子商务认证服务器30进行认证签名以生成用户公钥证书。第三方电子商务认证服务器30对用户的公钥进行认证签名，可以防止用户公钥被冒充，并将签名之后的用户公钥储存在银行综合服务器20中，银行综合服务器20存储签名的用户公钥之后提示用户公钥证书生成成功。根据本发明实施例的数字证书的生成系统，在移动终端生成用户公钥和私钥，分别将用户信息和用户公钥发送至银行综合服务器之前，移动终端和银行综合服务器双方进行验证，使得用户公钥在验证之后以数字证书的形式存储在银行，保证用户公钥传输通路的安全性，增加攻击的难度。同时移动银行服务器经过对移动终端进行验证，可以明确知道与自己通信的是哪个移动终端，防止假冒移动终端与银行进行交互，保证了安全。图4为根据本发明一个具体实施例的数字证书的生成系统的结构框图。如图4所示，根据本发明实施例的交易系统包括移动终端10、银行综合服务器20、移动银行服务器21、银行综合前置服务器22和第三方电子商务认证服务器30。其中，银行综合服务器20包括移动银行服务器21和银行综合前置服务器22。
在本发明的一个实施例中，在图3所示实施例的基础上，移动终端10还用于从所加载的软件中获取移动银行服务器21的公钥和银行综合前置服务器22的公钥，并根据注册指令对移动银行服务器21的公钥和银行综合前置服务器22的公钥进行验证，以及在验证通过之后根据注册指令与移动银行服务器21建立连接。其中，移动银行服务端21的私钥存储在移动银行服务器21中，移动银行服务器21的公钥和私钥用于对移动终端10与移动银行服务端21之间的通讯数据进行加密；银行服务端22的私钥存储在银行综合前置服务器22中，银行综合前置服务器22的公钥和私钥用于对交易过程中的银行卡等敏感信息进行加密。移动终端10还用于接收移动银行服务器21生成的图形验证码，其中采用图形验证码可以防止攻击，并根据移动银行服务器21的公钥对手机号码、银行卡号、登录密码/登陆密码的哈希值、硬件特征信息/硬件特征信息的哈希值、第一随机数和用户输入的图形验证码进行加密，并将加密之后的用户信息发送至移动银行服务器21，其中第一随机数由移动终端10生成。本实施例中的用户信息包括手机号码、银行卡号、登录密码、硬件特征信息；或者用户信息包括手机号码、银行卡号、登录密码的哈希值、硬件特征信息；或者用户信息包括手机号码、银行卡号、登录密码、硬件特征信息的哈希值；或者用户信息包括手机号码、银行卡号、登录密码的哈希值、硬件特征信息的哈希值。本实施例中，移动终端10还用于接收移动银行服务器21生成的图形验证码，并根据移动银行服务器21的公钥对用户输入的手机号码、用户输入的银行卡号、用户数输入的登录密码/计算得到的该登陆密码的哈希值、提取的硬件特征信息/计算得到的该硬件特征信息的哈希值、生成的第一随机数和用户输入的图形验证码显示的字符进行加密，并将加密之后的用户信息发送至移动银行服务器21。具体地，移动终端10提取硬件特征信息，硬件特征信息可以包括移动终端10的设备序列号或网卡的MAC地址等，以便移动银行服务器21对移动终端10进行绑定和验证，当然，本实施例中，移动终端10提取移动终端的硬件特征信息后，还可以计算该硬件特征信息的哈希值，从而可以防止在信息传输过程中硬件特征信息被获取。在本发明的一个实施例中，移动银行服务器21还用于根据移动银行服务器21的私钥对移动终端10发送的加密之后的用户信息进行解密以获得用户信息，并在图形验证码验证通过之后将手机号码和银行卡号发送至银行综合前置服务器22，其中，银行综合前置服务器22和移动银行服务器21之间建立加密通道，数据全部加密传送，银行综合前置服务器22还用于在手机号码和银行卡号验证通过之后发送验证通过信息至移动银行服务器21，移动银行服务器21根据验证通过信息生成第二随机数和短信验证码，并根据第一随机数对第二随机数进行加密，并将短信验证码和加密后的第二随机数作为验证信息发送至移动终端10。其中，短信验证码可以以短信的形式发送至移动终端10，例如以银行特服号955XX的方式发送至移动终端10。在本发明的一个实施例中，移动终端10还用于根据第一随机数和第二随机数对短信验证码和用户公钥进行加密以生成第一分段消息验证码，并根据用户私钥对硬件特征信息/硬件特征信息的哈希值进行签名以生成第一签名信息，并将第一分段消息验证码、用户公钥和第一签名信息发送至移动银行服务器21。具体地，移动终端10根据第一随机数对第二随机数进行解密以获取第二随机数。然后，根据第一随机数和第二随机数对短信验证码和用户公钥进行加密以生成第一分段消息验证码，此时移动终端10使用第一随机数和第二随机数作为新的密钥。再重新提取硬件特征信息/计算提取的硬件特征信息的哈希值，并根据用户私钥对硬件特征信息/硬件特征信息的哈希值进行签名以生成第一签名信息，并将第一分段消息验证码、用户公钥和第一签名信息发送至移动银行服务器21。另外，移动终端10在发送上述信息之前利用移动银行服务器21的公钥对第一分段消息验证码、用户公钥和第一签名信息进行加密。移动银行服务器21在验证通过之后将用户公钥发送至第三方电子商务认证服务器30进行认证签名以生成用户公钥证书。在本发明的一个实施例中，移动银行服务器21还用于根据存储的第一随机数和第二随机数对短信验证码和用户公钥进行加密以生成第二分段消息验证码，并根据用户公钥对第一签名信息进行验签，并判断第一分段消息验证码与第二分段消息验证码是否一致，第一签名信息是否通过验签，在判断出第一分段消息验证码与第二分段消息验证码一致，第一签名信息通过验签后，通过验证。在本发明的一个实施例中，移动终端10还用于生成第三随机数，根据硬件特征信息/硬件特征信息的哈希值、登录密码/登陆密码的哈希值和第三随机数生成对称密钥，并根据对称密钥对用户私钥进行加密保存。其中，将第三随机数发送至移动银行服务器21进行保存，移动银行服务器21可以利用第三随机数在交易时验证用户私钥。根据本发明实施例的数字证书的生成系统，在移动终端生成用户公钥和私钥，分别将用户信息和用户公钥发送至银行综合服务器之前，移动终端和银行综合服务器双方进行验证，使得用户公钥在验证之后以数字证书的形式存储在银行，保证用户公钥传输通路的安全性，增加攻击的难度。同时移动银行服务器经过对移动终端进行验证，可以明确知道与自己通信的是哪个移动终端，防止假冒移动终端与银行进行交互，保证了安全。尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同限定。
权利要求
1.一种数字证书的生成方法，其特征在于，该方法包括 a、移动终端接收注册指令，并根据所述注册指令与银行综合服务器建立连接，以及生成一对用户公钥和私钥； b、所述移动终端根据所述银行综合服务器的公钥对用户信息进行加密，并将加密之后的所述用户信息发送至所述银行综合服务器； C、所述银行综合服务器根据所述银行综合服务器的私钥对所述移动终端发送的加密之后的所述用户信息进行解密并验证，并在验证通过后向所述移动终端发送验证信息； d、所述移动终端接收所述银行综合服务器发送的验证信息之后，对用户公钥进行加密，并将加密后的用户公钥发送给所述银行综合服务器；以及 e、所述银行综合服务器验证所述用户公钥的正确性，并在验证通过之后将所述用户公钥发送至第三方电子商务认证服务器进行认证签名以生成用户公钥证书。
2.根据权利要求1所述的方法，其特征在于，所述银行综合服务器包括移动银行服务器和银行综合前置服务器，所述步骤a中的移动终端接收注册指令，并根据所述注册指令与银行综合服务器建立连接的步骤包括所述移动终端从所加载的软件中获取移动银行服务器的公钥和银行综合前置服务器的公钥，并根据所述注册指令对所述移动银行服务器的公钥和所述银行综合前置服务器的公钥进行验证，以及在验证通过之后根据所述注册指令与所述移动银行服务器建立连接。
3.根据权利要求1所述的方法，其特征在于，所述银行综合服务器包括移动银行服务器和银行综合前置服务器，所述步骤b包括所述移动终端接收所述移动银行服务器生成的图形验证码；以及所述移动终端根据所述移动银行服务器的公钥对手机号码、银行卡号、登录密码、硬件特征信息、第一随机数和所述图形验证码进行加密，并将加密之后的所述用户信息发送至所述移动银行服务器，其中所述第一随机数由所述移动终端生成。
4.根据权利要求1所述的方法，其特征在于，所述银行综合服务器包括移动银行服务器和银行综合前置服务器，所述步骤b包括所述移动终端接收所述移动银行服务器生成的图形验证码；所述移动终端根据所述移动银行服务器的公钥对接收的手机号码、接收的银行卡号、计算得到的登录密码的哈希值、计算得到的硬件特征信息的哈希值、生成的第一随机数和接收的所述图形验证码进行加密，并将加密之后的所述用户信息发送至所述移动银行服务器。
5.根据权利要求3或4所述的方法，其特征在于，所述步骤c包括所述移动银行服务器根据所述移动银行服务器的私钥对所述移动终端发送的加密之后的所述用户信息进行解密以获得所述用户信息，并在所述图形验证码验证通过之后将所述手机号码和银行卡号发送至银行综合前置服务器；所述银行服务器在所述手机号码和银行卡号验证通过之后发送验证通过信息至所述移动银行服务器；所述移动银行服务器根据所述验证通过信息生成第二随机数和短信验证码，并根据所述第一随机数对所述第二随机数进行加密，并将所述短信验证码和所述加密后的第二随机数作为所述验证信息发送至所述移动终端。
6.根据权利要求5所述的方法，其特征在于，所述步骤d包括所述移动终端根据所述第一随机数和所述第二随机数对所述短信验证码和所述用户公钥进行加密以生成第一分段消息验证码，并根据所述用户私钥对所述硬件特征信息进行签名以生成第一签名信息，并将所述第一分段消息验证码、用户公钥和第一签名信息发送至所述移动银行服务器。
7.根据权利要求6所述的方法，其特征在于，所述步骤e中的所述移动银行服务器验证所述用户公钥的正确性的步骤包括所述移动银行服务器根据存储的所述第一随机数和所述第二随机数对所述短信验证码和所述用户公钥进行加密以生成第二分段消息验证码，并根据所述用户公钥对所述第一签名信息进行验签，并判断所述第一分段消息验证码与所述第二分段消息验证码是否一致，所述第一签名信息是否通过验签；以及如果所述第一分段消息验证码与所述第二分段消息验证码一致，所述第一签名信息通过验签，则所述用户公钥通过验证。
8.根据权利要求5所述的方法，其特征在于，所述短信验证码以短信的形式发送至所述移动终端，所述移动终端在所述用户输入所述短信验证码之后根据所述第一随机数对所述第二随机数进行解密。
9.根据权利要求3所述的方法，其特征在于，该方法还包括所述移动终端还生成第三随机数，根据所述硬件特征信息、所述登录密码和所述第三随机数生成对称密钥，并根据所述对称密钥对所述用户私钥进行加密保存；或所述移动终端还生成第三随机数，根据所述硬件特征信息的哈希值、所述登录密码的哈希值和所述第三随机数生成对称密钥，并根据所述对称密钥对所述用户私钥进行加密保存。
10.一种数字证书的生成系统，其特征在于，该系统包括移动终端、银行综合服务器和第三方电子商务认证服务器，其中，所述移动终端，用于接收注册指令，并根据所述注册指令与所述银行综合服务器建立连接，以及生成一对用户公钥和私钥，并根据所述银行综合服务器的公钥对用户信息进行加密，并将加密之后的所述用户信息发送至所述银行综合服务器；所述银行综合服务器，用于根据所述银行综合服务器的私钥对所述移动终端发送的加密之后的所述用户信息进行解密并验证，并在验证通过后向所述移动终端发送验证信息；所述移动终端，还用于接收所述银行综合服务器发送的验证信息之后，对用户公钥进行加密，并将加密后的用户公钥发送给所述银行综合服务器；所述银行综合服务器，还用于验证所述用户公钥的正确性，并在验证通过之后将所述用户公钥发送至第三方电子商务认证服务器进行认证签名以生成用户公钥证书。
11.根据权利要求10所述的系统，其特征在于，所述银行综合服务器包括移动银行服务器和银行综合前置服务器，所述移动终端还用于从所加载的软件中获取移动银行服务器的公钥和银行综合前置服务器的公钥，并根据所述注册指令对所述移动银行服务器的公钥和所述银行综合前置服务器的公钥进行验证，以及在验证通过之后根据所述注册指令与所述移动银行服务器建立连接。
12.根据权利要求10所述的系统，其特征在于，所述银行综合服务器包括移动银行服务器和银行综合前置服务器，所述移动终端还用于接收所述移动银行服务器生成的图形验证码，并根据所述移动银行服务器的公钥对手机号码、银行卡号、登录密码、硬件特征信息、第一随机数和所述图形验证码进行加密，并将加密之后的所述用户信息发送至所述移动银行服务器，其中所述第一随机数由所述移动终端生成。
13.根据权利要求10所述的系统，其特征在于，所述银行综合服务器包括移动银行服务器和银行综合前置服务器，所述移动终端还用于接收所述移动银行服务器生成的图形验证码，并根据所述移动银行服务器的公钥对接收的手机号码、接收的银行卡号、计算得到的登录密码的哈希值、计算得到的硬件特征信息的哈希值、生成的第一随机数和接收的所述图形验证码进行加密，并将加密之后的所述用户信息发送至所述移动银行服务器。
14.根据权利要求12或13所述的系统，其特征在于，所述移动银行服务器还用于根据所述移动银行服务器的私钥对所述移动终端发送的加密之后的所述用户信息进行解密以获得所述用户信息，并在所述图形验证码验证通过之后将所述手机号码和银行卡号发送至银行综合前置服务器；所述银行综合前置服务器还用于在所述手机号码和银行卡号验证通过之后发送验证通过信息至所述移动银行服务器；其中，所述移动银行服务器根据所述验证通过信息生成第二随机数和短信验证码，并根据所述第一随机数对所述第二随机数进行加密，并将所述短信验证码和所述加密后的第二随机数作为所述验证信息发送至所述移动终端。
15.根据权利要求14所述的系统，其特征在于，所述移动终端还用于根据所述第一随机数和所述第二随机数对所述短信验证码和所述用户公钥进行加密以生成第一分段消息验证码，并根据所述用户私钥对所述硬件特征信息进行签名以生成第一签名信息，并将所述第一分段消息验证码、用户公钥和第一签名信息发送至所述移动银行服务器。
16.根据权利要求15所述的系统，其特征在于，所述移动银行服务器还用于根据存储的所述第一随机数和所述第二随机数对所述短信验证码和所述用户公钥进行加密以生成第二分段消息验证码，并根据所述用户公钥对所述第一签名信息进行验签，并判断所述第一分段消息验证码与所述第二分段消息验证码是否一致，所述第一签名信息是否通过验签，并在所述第一分段消息验证码与所述第二分段消息验证码一致，所述第一签名信息通过验签后，判断所述用户公钥通过验证。
17.根据权利要求14所述的系统，其特征在于，所述短信验证码以短信的形式发送至所述移动终端，所述移动终端在所述用户输入所述短信验证码之后根据所述第一随机数对所述第二随机数进行解密。
18.根据权利要求12所述的系统，其特征在于，所述移动终端还用于生成第三随机数，根据所述硬件特征信息、所述登录密码和所述第三随机数生成对称密钥，并根据所述对称密钥对所述用户私钥进行加密保存；或生成第三随机数，根据所述硬件特征信息的哈希值、所述登录密码的哈希值和所述第三随机数生成对称密钥，并根据所述对称密钥对所述用户私钥进行加密保存。
全文摘要
本发明提出一种数字证书的生成方法和系统，其中该方法包括以下步骤移动终端接收注册指令，并与银行综合服务器建立连接，生成一对用户公钥和私钥；移动终端根据银行综合服务器的公钥对用户信息加密并发送至银行综合服务器；银行综合服务器对用户信息进行解密并验证，并在验证通过后向移动终端发送验证信息；移动终端接收验证信息之后，对用户公钥进行加密，并将加密后的用户公钥发送给银行综合服务器；以及银行综合服务器验证用户公钥的正确性，并在验证通过之后将用户公钥发送至第三方电子商务认证服务器进行认证签名以生成用户公钥证书。根据本发明可增加攻击的难度，提高安全性。
文档编号H04L9/32GK103067402SQ20131000956
公开日2013年4月24日申请日期2013年1月10日优先权日2013年1月10日
发明者李东声申请人:天地融科技股份有限公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：李东声
技术所有人：天地融科技股份有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。