电子银行pki服务方法及其系统的制作方法

电子银行pki服务方法及其系统的制作方法
【专利摘要】本发明提供一种电子银行PKI服务方法，包括：步骤1：电子银行页面客户端与本地服务端建立基于websocket协议的双向数据交换通道；步骤2：所述电子银行页面客户端通过所述双向数据交换通道向所述本地服务端发送PKI业务处理请求；其中，所述PKI业务处理请求包含有具体业务类型、用户信息数据以及类型；步骤3：所述本地服务端根据接收的PKI业务处理请求，调用PKI业务处理端获取业务处理结果，并将所述业务处理结果通过所述双向数据交换通道发送给所述电子银行页面客户端。本发明提出的方法及系统，是基于WebSocket技术实现的，能够替代即将被淘汰的PKI服务插件来完成浏览器客户进行PKI服务的功能。
【专利说明】电子银行PKI服务方法及其系统

【技术领域】
[0001]本发明涉及银行业PKI服务领域，具体涉及一种电子银行PKI服务方法及其系统。

【背景技术】
[0002]目前页面版电子银行主要通过浏览器插件形式为客户提供PKI服务，保证交易安全。但随着web技术和浏览器技术的发展，这种方法存在以下几种问题:
[0003](I)插件技术种类繁多且无法统一
[0004]微软IE浏览器支持的ActiveX插件技术与谷歌等多种浏览器支持的NPAPI技术各成一派难以统一，这就造成电子银行往往需要提供多种版本的插件供不同浏览器加载使用。这不但增加了用户使用复杂度，也提高了网络银行PKI服务系统的开发维护成本。
[0005](2)插件技术存在安全和性能上的漏洞
[0006]插件的执行效果严重依赖于浏览器的实现，造成不同浏览器、相同浏览器不同版本直接执行插件的效果存在差异。另外，ActiveX技术已被证实存在安全漏洞。同样的，NPAPI技术也因为架构问题被视为造成浏览器崩溃、挂起等故障的主要原因之一。
[0007](3)电子银行PKI插件技术面临淘汰
[0008]出于跨平台以及安全方面的考虑，新型浏览器开始采用以沙箱技术为代表的浏览器引擎架构，禁止浏览器客户端对计算机本地资源的访问。现阶段IE浏览器中ActiveX已默认被阻止；Google Chrome及Mozilla Firefox也已经给出了淘汰NPAPI插件明确的时间表。


【发明内容】

[0009]有鉴于此，本发明提出了一种基于WebSocket技术实现的电子银行PKI服务方法及其系统，用以替代即将被淘汰的PKI服务插件。
[0010]本发明提出的电子银行PKI服务方法，包括:
[0011]步骤1:电子银行页面客户端与本地服务端建立基于websocket协议的双向数据交换通道；
[0012]步骤2:所述电子银行页面客户端通过所述双向数据交换通道向所述本地服务端发送PKI业务处理请求；其中，所述PKI业务处理请求包含有具体业务类型、用户信息数据以及类型；
[0013]步骤3:所述本地服务端根据接收的PKI业务处理请求，调用PKI业务处理端获取业务处理结果，并将所述业务处理结果通过所述双向数据交换通道发送给所述电子银行页面客户端。
[0014]所述步骤I包括:
[0015]步骤1.1:浏览器加载电子银行指定页面以启动所述电子银行页面客户端，所述电子银行页面客户端获取用户对所述电子银行指定页面操作产生的第一操作信息；
[0016]步骤1.2:所述电子银行页面客户端根据用户的第一操作信息生成连接请求并发送给所述本地服务端；其中，所述连接请求包含有电子银行页面客户端地址信息、用户身份识别信息以及业务摘要信息；
[0017]步骤1.3:所述本地服务端对接收的连接请求进行信息验证，在通过验证后，建立与所述电子银行页面客户端之间的双向数据交换通道。
[0018]在所述步骤1.2中，所述电子银行页面客户端对所述连接请求加密后再发送给所述本地服务端。
[0019]在所述步骤1.3中，所述本地服务端对接收的连接请求解密后再进行信息验证。
[0020]所述步骤I还包括:步骤1.4:所述本地服务端根据所述连接请求中的业务摘要信息加载所述PKI业务处理端中的相应业务处理模块。
[0021]所述步骤2包括:
[0022]步骤2.1:所述电子银行页面客户端获取用户对所述电子银行指定页面操作产生的第二操作信息；
[0023]步骤2.2:所述电子银行页面客户端根据用户的第二操作信息生成PKI业务处理请求并通过所述双向数据交换通道发送给所述本地服务端。
[0024]在所述步骤2.2中，所述电子银行页面客户端对所述PKI业务处理请求加密后再发送给所述本地服务端。
[0025]所述步骤3包括:
[0026]步骤3.1:所述本地服务端对接收的PKI业务处理请求进行信息验证；
[0027]步骤3.2:所述本地服务端根据通过验证的PKI业务处理请求调用所述PKI业务处理端，获取业务处理结果；
[0028]步骤3.3:所述本地服务端将所述业务处理结果封装成应答报文并通过所述双向数据交换通道发送给所述本地服务端。
[0029]在所述步骤3.1中，所述本地服务端对接收的PKI业务处理请求解密后再进行信息验证。
[0030]在所述步骤3.1中，所述本地服务端根据所述PKI业务处理请求中的具体业务类型，对相关参数进行校验。
[0031]所述步骤3还包括:
[0032]步骤3.4:所述本地服务端接收并解析所述应答报文，并将解析结果通过刷新所述电子银行指定页面进行显示。
[0033]在所述步骤3.3中，所述本地服务端对所述应答报文加密后再进行发送；在所述步骤3.4中，所述本地服务端对接收的应答报文解密后再进行解析。
[0034]在所述步骤3.2中，所述PKI业务处理端访问本地系统资源，处理具体PKI业务，得到业务处理结果。
[0035]本发明还提供了一种电子银行PKI服务系统，包括:电子银行页面客户端、本地服务端以及PKI业务处理端，其中，
[0036]所述电子银行页面客户端，在浏览器加载电子银行指定页面时被启动，用于与本地服务端建立基于websocket协议的双向数据交换通道；并通过所述双向数据交换通道向所述本地服务端发送PKI业务处理请求；其中，所述PKI业务处理请求包含有具体业务类型、用户信息数据以及类型；
[0037]所述本地服务端，用于根据接收的PKI业务处理请求，调用PKI业务处理端获取业务处理结果，并将所述业务处理结果通过所述双向数据交换通道发送给所述电子银行页面客户端。
[0038]所述PKI业务处理端，用于访问本地系统资源，处理具体PKI业务，得到业务处理结果。
[0039]所述电子银行页面客户端包括:电子银行页面模块、第一报文处理模块、第一websocket通信模块，其中，
[0040]所述电子银行页面模块，用于启动所述电子银行指定页面，获取用户对所述电子银行指定页面进行操作所产生的操作信息；并通过刷新所述电子银行指定页面来显示业务处理结果。
[0041]所述第一报文处理模块，用于根据用户的操作信息生成连接请求以及PKI业务处理请求；其中，所述连接请求包含有电子银行页面客户端地址信息、用户身份识别信息以及业务摘要信息；
[0042]所述第一 websocket通信模块，用于将所述第一报文处理模块生成的连接请求以及PKI业务处理请求发送给所述本地服务端；以及从所述本地服务端接收业务处理结果。
[0043]所述本地服务端包括:第二 websocket通信模块，第二报文处理模块以及PKI业务调度模块，其中，
[0044]所述第二 websocket通信模块，用于接收所述电子银行页面客户端发送的连接请求以及PKI业务处理请求；并向所述电子银行页面客户端发送封装的业务处理结果；
[0045]所述第二报文处理模块，用于对接收的连接请求以及PKI业务处理请求进行信息验证；以及对业务处理结果进行封装；
[0046]所述PKI业务调度模块，用于加载、调用、管理和释放所述PKI业务处理端的相应业务处理模块，以及获得所述相应业务处理模块的业务处理结果。
[0047]所述第一报文处理模块对所述连接请求或PKI业务处理请求进行加密处理。
[0048]所述第二报文处理模块对接收的连接请求或PKI业务处理请求解密后再进行信息验证。
[0049]所述PKI业务调度模块根据所述连接请求中的业务摘要信息加载所述PKI业务处理端中的相应业务处理模块。
[0050]所述PKI业务调度模块根据所述PKI业务处理请求中的具体业务类型调用所述PKI业务处理端中的相应业务处理模块。
[0051]所述第二报文处理模块根据所述PKI业务处理请求中的具体业务类型，对相关参数进行校验。
[0052]所述第二报文处理模块对所述应答报文进行加密处理。
[0053]所述所述PKI业务处理端包括多个不同的PKI业务处理模块以及设备通信模块，其中，
[0054]所述业务处理模块，用于执行各自具体的PKI业务流程，调度相应的硬件设备，得出业务处理结果；
[0055]所述通信模块，用于相关的系统资源的调用。
[0056]综上所述，本发明的电子银行PKI服务方法及其系统，是基于WebSocket技术实现的，能够替代即将被淘汰的PKI服务插件来完成浏览器客户进行PKI服务的功能。

【专利附图】

【附图说明】
[0057]为了更清楚地说明本发明实施例或现有技术中的方案，下面将对实施例中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0058]图1为本发明一实施例提供的一种电子银行PKI服务方法的流程示意图；
[0059]图2为本发明一实施例提供的一种电子银行PKI服务系统的结构示意图。

【具体实施方式】
[0060]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0061]如图1所示，本发明一实施例提供了一种电子银行PKI服务方法，该方法包括:
[0062]步骤1:电子银行页面客户端与本地服务端建立基于websocket协议的双向数据交换通道；具体包括:
[0063]步骤1.1:浏览器加载电子银行指定页面以启动所述电子银行页面客户端，所述电子银行页面客户端获取用户对所述电子银行指定页面操作产生的第一操作信息；第一操作信息为与PKI业务模块相对应的电子银行加载页面信息、电子银行页面客户端地址信息、电子银行页面客户端身份验证信息等。
[0064]步骤1.2:所述电子银行页面客户端根据用户的第一操作信息生成连接请求并发送给所述本地服务端；其中，所述连接请求包含有电子银行页面客户端地址信息、用户身份识别信息以及业务摘要信息；可选地，为了确保信息传送的安全性，防止信息被恶意监听或窃取，导致客户信息的泄露，所述电子银行页面客户端可以对所述连接请求进行加密处理，然后再发送给所述本地服务端。
[0065]步骤1.3:所述本地服务端对接收的连接请求进行信息验证，在通过验证后，建立与所述电子银行页面客户端之间的双向数据交换通道。相应地，当电子银行页面客户端对连接请求进行加密处理时，所述本地服务端需要对接收的连接请求进行相应的解密操作，然后再进行信息验证。
[0066]可选地，为了提高PKI业务处理的速度，所述本地服务端还可以根据所述连接请求中的业务摘要信息，预先加载所述PKI业务处理端中的相应业务处理模块，以避免后续处理具体业务时再进行业务处理模块加载所产生的不必要的时间。
[0067]步骤2:所述电子银行页面客户端通过所述双向数据交换通道向所述本地服务端发送PKI业务处理请求；其中，所述PKI业务处理请求包含有具体业务类型、用户信息数据以及类型；具体地，所述步骤2包括:
[0068]步骤2.1:所述电子银行页面客户端获取用户对所述电子银行指定页面操作产生的第二操作信息；所述第二操作信息包括用户输入的，为实现加密、签名等PKI业务所必须的的用户信息、PIN码信息，调用的PKI业务摘要等信息。
[0069]步骤2.2:所述电子银行页面客户端根据用户的第二操作信息生成PKI业务处理请求并通过所述双向数据交换通道发送给所述本地服务端。可选地，为了确保信息传送的安全性，防止信息被恶意监听或窃取，导致客户信息的泄露，所述电子银行页面客户端对所述PKI业务处理请求进行加密处理，然后再发送给所述本地服务端。
[0070]步骤3:所述本地服务端根据接收的PKI业务处理请求，调用PKI业务处理端获取业务处理结果，并将所述业务处理结果通过所述双向数据交换通道发送给所述电子银行页面客户端。具体地，所述步骤3包括:
[0071]步骤3.1:所述本地服务端对接收的PKI业务处理请求进行信息验证:根据所述PKI业务处理请求中的具体业务类型，对相关参数进行校验。当所述电子银行页面客户端对PKI业务处理请求进行加密处理时，所述本地服务端需要对接收的PKI业务处理请求进行相应的解密操作，然后再进行信息验证。其中，相关参数是指与具体业务类型相对应的数据信息，例如，当进行签名操作时，本地服务根据签名操作的要求，会对传入的签名算法、签名原文进行校验以判断这些参数是否合法。
[0072]步骤3.2:所述本地服务端根据通过验证的PKI业务处理请求调用所述PKI业务处理端，获取业务处理结果；具体地，所述PKI业务处理端访问本地系统资源，处理具体PKI业务，得到业务处理结果。所述PKI业务处理端通过Windows CryptoAPI或Pll协议等多种方式访问本地系统资源，处理具体PKI业务请求。所述系统资源是指系统CSP、硬件加密卡、USBKey 等。
[0073]步骤3.3:所述本地服务端将所述业务处理结果封装成应答报文并通过所述双向数据交换通道发送给所述本地服务端。
[0074]可选地，所述步骤3还包括:
[0075]步骤3.4:所述本地服务端接收并解析所述应答报文，并将解析结果通过刷新所述电子银行指定页面进行显示。
[0076]同样地，为了保证信息的安全性，在所述步骤3.3中，所述本地服务端对所述应答报文加密后再进行发送；相应地，在所述步骤3.4中，所述本地服务端对接收的应答报文解密后再进行解析。
[0077]如图2所示，本发明另一实施例提供了一种电子银行PKI服务系统，包括:电子银行页面客户端、本地服务端以及PKI业务处理端，其中，
[0078]所述电子银行页面客户端，属于电子银行指定页面所集成的业务功能模块，其能够在浏览器加载所述电子银行指定页面时被启动，用于与本地服务端建立基于websocket协议的双向数据交换通道；并通过所述双向数据交换通道向所述本地服务端发送PKI业务处理请求；其中，所述PKI业务处理请求包含有具体业务类型、用户信息数据以及类型；具体地，所述电子银行页面客户端包括:电子银行页面模块、第一报文处理模块、第一websocket通信模块，其中，
[0079]所述电子银行页面模块，用于启动所述电子银行指定页面，获取用户对所述电子银行指定页面进行操作所产生的操作信息；并通过刷新所述电子银行指定页面进行显示业务处理结果。
[0080]所述第一报文处理模块，用于根据用户的操作信息生成连接请求以及PKI业务处理请求；其中，所述连接请求包含有电子银行页面客户端地址信息、用户身份识别信息以及业务摘要信息；可选地，为了确保信息传送的安全性，防止信息被恶意监听或窃取，导致客户信息的泄露，所述第一报文处理模块对所述连接请求或PKI业务处理请求进行加密处理。
[0081]所述第一 websocket通信模块，用于将所述第一报文处理模块生成的连接请求以及PKI业务处理请求发送给所述本地服务端；以及从所述本地服务端接收业务处理结果。
[0082]所述本地服务端，用于根据接收的PKI业务处理请求，调用PKI业务处理端获取业务处理结果，并将所述业务处理结果通过所述双向数据交换通道发送给所述电子银行页面客户端。具体地，所述本地服务端包括:第二 websocket通信模块，第二报文处理模块以及PKI业务调度模块，其中，
[0083]所述第二 websocket通信模块，用于接收所述电子银行页面客户端发送的连接请求以及PKI业务处理请求；并向所述电子银行页面客户端发送封装的业务处理结果；
[0084]所述第二报文处理模块，用于对接收的连接请求以及PKI业务处理请求进行信息验证，即根据所述PKI业务处理请求中的具体业务类型，对相关参数进行校验。；以及对业务处理结果进行封装；当电子银行页面客户端对连接请求或PKI业务处理请求进行加密处理时，相应地，所述第二报文处理模块需要对接收的连接请求或PKI业务处理请求进行解密处理，然后再进行信息验证。
[0085]为了确保信息传送的安全性，防止信息被恶意监听或窃取，导致客户信息的泄露，所述第二报文处理模块对所述应答报文进行加密处理。在这种情况下，电子银行页面客户端的第一报文处理模块需要相应地对接收到的应答文件进行解密处理。
[0086]所述PKI业务调度模块，用于加载、调用、管理和释放所述PKI业务处理端的相应业务处理模块，以及获得所述相应业务处理模块的业务处理结果。具体地，所述PKI业务调度模块根据所述连接请求中的业务摘要信息加载所述PKI业务处理端中的相应业务处理模块，根据所述PKI业务处理请求中的具体业务类型调用所述PKI业务处理端中的相应业务处理模块。
[0087]所述PKI业务处理端，运行于本地服务进程中，由本地服务器加载，通过WindowsCryptoAPI或Pll协议等多种方式访问本地系统资源，处理具体PKI业务请求，得到业务处理结果。具体地，所述PKI业务处理端包括多个不同的PKI业务处理模块以及通信模块，其中，
[0088]所述业务处理模块，用于执行各自具体的PKI业务流程，调度相应的硬件设备，得出业务处理结果；
[0089]所述通信模块，用于相关的系统资源的调用。其中，所述系统资源是指系统CSPj^件加密卡、USBKey等。
[0090]最后应说明的是:以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【权利要求】
1.一种电子银行PKI服务方法，其特征在于，所述方法包括: 步骤1:电子银行页面客户端与本地服务端建立基于websocket协议的双向数据交换通道； 步骤2:所述电子银行页面客户端通过所述双向数据交换通道向所述本地服务端发送PKI业务处理请求；其中，所述PKI业务处理请求包含有具体业务类型、用户信息数据以及类型； 步骤3:所述本地服务端根据接收的PKI业务处理请求，调用PKI业务处理端获取业务处理结果，并将所述业务处理结果通过所述双向数据交换通道发送给所述电子银行页面客户端。
2.根据权利要求1所述的电子银行PKI服务方法，其特征在于，所述步骤I包括: 步骤1.1:浏览器加载电子银行指定页面以启动所述电子银行页面客户端，所述电子银行页面客户端获取用户对所述电子银行指定页面进行操作产生的第一操作信息； 步骤1.2:所述电子银行页面客户端根据用户的第一操作信息生成连接请求并发送给所述本地服务端；其中，所述连接请求包含有电子银行页面客户端地址信息、用户身份识别信息以及业务摘要信息； 步骤1.3:所述本地服务端对接收的连接请求进行信息验证，在通过验证后，建立与所述电子银行页面客户端之间的双向数据交换通道。
3.根据权利要求2所述的电子银行PKI服务方法，其特征在于，在所述步骤1.2中，所述电子银行页面客户端对所述连接请求加密后再发送给所述本地服务端。
4.根据权利要求3所述的电子银行PKI服务方法，其特征在于，在所述步骤1.3中，所述本地服务端对接收的连接请求解密后再进行信息验证。
5.根据权利要求1所述的电子银行PKI服务方法，其特征在于，所述步骤2包括: 步骤2.1:所述电子银行页面客户端获取用户对所述电子银行指定页面操作产生的第二操作信息； 步骤2.2:所述电子银行页面客户端根据用户的第二操作信息生成PKI业务处理请求并通过所述双向数据交换通道发送给所述本地服务端。
6.根据权利要求1所述的电子银行PKI服务方法，其特征在于，所述步骤3包括: 步骤3.1:所述本地服务端对接收的PKI业务处理请求进行信息验证； 步骤3.2:所述本地服务端根据通过验证的PKI业务处理请求调用所述PKI业务处理端，获取业务处理结果； 步骤3.3:所述本地服务端将所述业务处理结果封装成应答报文并通过所述双向数据交换通道发送给所述本地服务端； 步骤3.4:所述本地服务端接收并解析所述应答报文，并将解析结果通过刷新所述电子银行指定页面进行显示。
7.一种电子银行PKI服务系统，其特征在于，所述系统包括:电子银行页面客户端、本地服务端以及PKI业务处理端，其中， 所述电子银行页面客户端，在浏览器加载电子银行指定页面时被启动，用于与本地服务端建立基于websocket协议的双向数据交换通道；并通过所述双向数据交换通道向所述本地服务端发送PKI业务处理请求；其中，所述PKI业务处理请求包含有具体业务类型、用户信息数据以及类型； 所述本地服务端，用于根据接收的PKI业务处理请求，调用PKI业务处理端获取业务处理结果，并将所述业务处理结果通过所述双向数据交换通道发送给所述电子银行页面客户端。 所述PKI业务处理端，用于访问本地系统资源，处理具体PKI业务，得到业务处理结果。
8.根据权利要求7所述的电子银行PKI服务系统，其特征在于，所述电子银行页面客户端包括:电子银行页面模块、第一报文处理模块、第一 websocket通信模块，其中， 所述电子银行页面模块，用于获取用户对所述电子银行指定页面操作产生的操作信息；并通过刷新所述电子银行指定页面进行显示业务处理结果。 所述第一报文处理模块，用于根据用户的操作信息生成连接请求以及PKI业务处理请求；其中，所述连接请求包含有电子银行页面客户端地址信息、用户身份识别信息以及业务摘要信息； 所述第一 websocket通信模块，用于将所述第一报文处理模块生成的连接请求以及PKI业务处理请求发送给所述本地服务端；以及从所述本地服务端接收业务处理结果。
9.根据权利要求8所述的电子银行PKI服务系统，其特征在于，所述本地服务端包括:第二 websocket通信模块，第二报文处理模块以及PKI业务调度模块，其中， 所述第二 websocket通信模块，用于接收所述电子银行页面客户端发送的连接请求以及PKI业务处理请求；并向所述电子银行页面客户端发送封装的业务处理结果； 所述第二报文处理模块，用于对接收的连接请求以及PKI业务处理请求进行信息验证；以及对业务处理结果进行封装； 所述PKI业务调度模块，用于加载、调用、管理和释放所述PKI业务处理端的相应业务处理模块，以及获得所述相应业务处理模块的业务处理结果。
【文档编号】H04L29/06GK104484823SQ201410698411
【公开日】2015年4月1日 申请日期:2014年11月26日 优先权日:2014年11月26日
【发明者】秘相友, 肖强 申请人:中金金融认证中心有限公司