专利名称:账户信息与证书绑定的系统和方法
技术领域:
本发明涉及信息安全领域,尤其涉及账户信息与证书绑定的系统和方法。
背景技术:
随着信息网络技术的高速发展,网络安全问题已经成为目前最大的网络安 全隐患,网上银行、网络游戏、支付平台、网上证券交易等各方面,密码无处 不在,带给人们更多的安全。但是密码在给人们必要的安全保障的同时,也存 在一些问题, 一旦密码丢失或被盗,则带来很多的麻烦。现有技术中时常发生 的网络密码被盗,木马病毒,自我保护意识差被网络钓鱼,或者密码被暴力破 解等都是造成密码安全问题的因素,为此有必要采取一些密码安全的保障措施, 为保护网上密码增设一道屏障。信息安全设备(也称智能密钥装置)是一种通
过标准的个人主积4妄口,如通用串行总线(Universal Serial Bus,以下简称 USB)接口等,提供信息加密处理的便携式设备,利用它能够提高身份认证强度, 它内置单片机或智能卡芯片,可以存储密钥或数字证书,利用其内置的密码算 法可以对信息加密或进行身份识别等。信息安全设备具有公钥J^i设施(Public Key Infrastructure, PKI)应用、数字签名、信息加密、安全网络登录和访问安 全套接层(Secure Sockets Layer,以下简称SSL)安全网络等功能,并且具有保 证用户的私钥永远不离开硬件的特征,同时信息安全设备还具有物理上防止非 法获取其内部敏感信息等特性。
PKI是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用 PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。PKI技 术采用证书管理公钥,通过第三方的可信任机构认证中心把用户的公钥和用户 的其他标识信息捆绑在一起,在互联网上验证用户的身份。目前,通用的办法 是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和 签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息 的安全传输。PKI是基于公钥算法和技术,为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其 核心元素是数字证书,核心执行者是认证机构。认证中心是一个负责发放和管 理数字证书的权威机构。认证中心通常采用多层次的分级结构,上级认证中心 负责签发和管理下级认证中心的证书,最下一级的认_〖正中心直接面向最终用户。
认证中心的主要功能证书的颁发、证书的更新、证书的查询、证书的作废、 证书的归档。
现有技术中,用户信息安全设备的持有者通常执行如下步骤来获得合法的 数字证书首先向认证中心提出申请,将用户身份信息和信息安全设备的硬件 信息发送给认证中心;认证中心判明申请者的身份之后,便为他分配一个公钥, 并且认证中心将该公钥与申请者的身份信息及信息安全设备的硬件信息绑在一 起,并为之签字后,便形成证书发给信息安全设备的持有者。这样一来,该智 能密钥装置中便保存了认证中心颁发的证书。
由认证中心签发证书,将公钥和账户绑定,以网银服务为例,在这样的过 程中往往是用户在银行的营业网点开通一个网银账户,先向安全中心登记这个 网银账户,安全终端为这个网^J长户分配一个账户号和一个验证码,用户获得 信息安全设备、用户账号和验证码后,通过互联网自己下载证书,用户在下载 证书的过程中,如出现如网络通信故障、计算环境故障、未遵守使用方针等因 素,就将导致证书下载失败。 一旦失败,就将通知安全中心来重新审核这个网 银账户,或者要这个申请失效。在实现上述用户获得证书的过程中,发明人发 现现有技术中至少存在如下问题 一方面,用户在拿到信息安全设备后,必须 通过计算机网络执行证书下载的过程,这种操作易出错,且用户无法在第一时 间获取合法的数字证书,增加了用户的操作繁瑣性;另一方面,用户因通过不 安全的网络下载证书,从而产生了个人私密信息被截获的安全隐患。
发明内容
本发明提供一种账户信息与证书绑定的系统和方法,用户无需通过互联网 即可直接获取将用户的账户信息与证书绑定的信息安全设备,保障了用户私密 信息的安全性。为达到上述目的,本发明的实施例采用如下技术方案 一种账户信息与证书绑定的系统,包括
绑定设备,分别与所述绑定设备相连接的信息安全设备和应用终端;其中,
所述信息安全设备,用于存储证书和密钥对,并执行智能密钥运算;
所述绑定设备,用于生成账户信息、将所述账户信息与所述信息安全设备 的证书的标识信息进行绑定生成第一数据包,接收所述信息安全设备利用私钥 对所述第一数据包进行签名后生成的第二数据包,并将所述第一数据包和所述 第二数据包及所述信息安全设备的证书信息发送到应用终端;
所述应用终端,用于接收所述绑定设备发送的信息,验证所述第二数据包 的有效性。
进一步地,所述绑定设备包括
网络接口控制单元,用于与所述应用终端进行连接;
USB接口单元,用于与所述信息安全设备进行连接;
绑定单元,用于将所述账户信息与所述信息安全设备的证书的标识信息进 行绑定。
进一步地,所述网络接口控制单元包括 网络接口模块,用于与所述应用终端进行连接; 网络控制模块,用于控制所述绑定设备执行网络操作。 所述绑定单元包括
查找模块,用于查找所述信息安全设备的证书的标识信息和所述信息安全 设备中的密钥对;
生成模块,用于根据初始用户信息生成账户信息,并根据所述账户信息、 所述信息安全设备的证书的标识信息生成第一数据包;
存储模块,用于存储所述信息安全设备的证书信息、所述信息安全设备的 证书的标识信息、所述信息安全设备的私钥对所述第一数据包进行签名后生成 的第二数据包;
进一步地,所述生成模块具体包括
账户信息生成子模块,用于根据初始用户信息生成账户信息;第一数据包生成子模块,用于根据所述账户信息、所述信息安全设备的证 书的标识信息生成第 一数据包。
进一步地,所述信息安全设备包括 第一接口单元,用于与所述绑定设备连接;
第一存储单元,用于存储密钥对、密钥生成算法、所述信息安全设备的证 书的标识信息和i正书信息;
生成单元,用于根据密钥生成算法生成密钥对;
签名单元,用于利用所述信息安全设备的私钥对所述绑定设备生成的第一 数据包进行签名,生成第二数据包,并将所述第二数据包发送给所述绑定设备。 进一步地,所述应用终端包括 第二接口单元,用于与所述绑定设备连接;
第二存储单元,用于存储所述绑定设备发送的第一数据包、第二数据包和 所述信息安全设备的证书信息;
解析验证单元,用于解析和处理所述绑定设备发送的第二数据包,并验证 所述第二数据包的有效性。
进一步地,所述解析验证单元验证所述第二数据包的有效性具体为利用 所述信息安全设备的公钥验证所述第二数据包的签名的有效性,当验证所述第 二数据包的签名有效时,通知所述第二存储单元存储所述第二数据包;当验证 所述第二数据包的签名无效时,则提示出错信息。
进一步地,当所述解析验证单元验证所述第二数据包的签名有效时,所述 应用终端向所述绑定设备发送验证通过消息,所述绑定设备接收到所述验证通 过消息后,将所述第二数据包存储到所述信息安全设备中。
进一步地,所述信息安全设备的证书的标识信息为证书序列号,所述证书 序列号与所述信息安全设备的序列号一致。
进一步地,所述信息安全设备的证书信息包括所述密钥对中的公钥、证 书全文。
本发明提供一种账户信息与证书绑定的系统,通过绑定设备将账户信息与 证书绑定,用户可以直接获取绑定了账户信息与证书的信息安全设备,保障了用户私密信息的安全性。
一种账户信息与证书绑定的方法,包括
绑定设备将用户的账户信息与信息安全设备的证书的标识信息绑定后生成 第一数据包,接收所述信息安全设备利用密钥对中的私钥对所述第一数据包进 行签名后生成的第二数据包,并将所述第一数据包和所述第二数据包及所述信 息安全设备的证书信息发送到应用终端;
所述应用终端接收所述绑定设备发送的信息,验证所述第二数据包的有效性。
进一步地,所述信息安全设备的证书信息包括所述密钥对中的公钥、证 书全文。
进一步地,在所述绑定设备将用户的账户信息与信息安全设备的证书的标 识信息绑定后生成第一数据包之前还包括所述绑定"&备生成账户信息,为 所述绑定设备根据用户提交的初始用户信息生成账户信息,或所述绑定设备调 取存储在所述绑定设备内的账户信息。
进一步地,所述应用终端接收所述绑定设备发送的信息,验证所述第二数 据包的有效性的过程具体为
所述应用终端从所述信息安全设备的证书信息中获取所述信息安全设备的 公钥,利用所述信息安全设备的公钥验证所述第二数据包的签名的有效性,若 验证所述第二数据包的签名有效,则存储所述绑定^殳备发送的信息,否则提示 出错信息。
进一步地,当所述应用终端验证所述第二数据包的签名有效时,则所述应 用终端向所述绑定设备发送验证通过消息,所述绑定设备接收到所述验证通过 消息后,将所述第二数据包存储到所述信息安全设备中;当所述应用终端验证 所述第二数据包的签名无效时,则提示出错信息。
进一步地,所述信息安全设备的证书的标识信息为证书序列号,所述证书 序列号与所述信息安全i殳备的序列号 一致。
本发明实施例提供一种账户信息与证书绑定的方法,通过绑定设备将账户 信息与证书绑定,用户可以直接获取绑定了账户信息与证书的信息安全设备,搡作筒单,保障了用户私密信息的安全性。
图1为本发明实施例一提供的账户信息与证书绑定的系统结构示意图; 图2为本发明实施例二提供的账户信息与证书绑定的系统结构示意图; 图3为本发明实施例三提供的账户信息与证书绑定的方法流程图; 图4为本发明实施例四提供的账户信息与证书绑定的方法流程图。
具体实施例方式
本发明提供一种账户信息与证书绑定的系统和方法,用户不通过网络就可 以直接获取将账户信息和证书绑定的信息安全设备,操作安全简单。下面结合 附图对本发明实施例的账户信息与证书绑定的系统和方法进行详细描述。
实施例一
如图1所示,本发明实施例提供的账户信息与证书绑定的系统包括绑定 设备l,分别与绑定设备1相连的信息安全设备2和应用终端3;其中,信息安 全设备2,用于存储证书和密钥对,并执行智能密钥运算;绑定设备l用于生成 账户信息、将账户信息与信息安全设备2的证书的标识信息进行绑定生成第一 数据包,接收信息安全设备2利用私钥对第一数据包进行签名后生成的第二数 据包,并将第一数据包和第二数据包及信息安全设备2的证书信息发送到应用 终端3;应用终端3,用于接收绑定设备l发送的信息,验证第二数据包的有效 性。
本发明实施例提供一种账户信息与证书绑定的系统,通过绑定设备将账户 信息与证书绑定,用户可以直接获取绑定了账户信息与证书的信息安全设备, 保障了用户私密信息的安全性。
实施例二
在实施例一的基础上,进一步地,绑定设备l包括网络接口控制单元ll, 用于与应用终端3进行连接;USB接口单元12,用于与信息安全设备2进行连 接;绑定单元13,用于将用户的账户信息与信息安全设备2的证书的标识信息 进行绑定。进一步地,网络接口控制单元11包括网络接口模块lll,用于与应用终 端3进行连接;网络控制模块112,用于控制绑定设备l执行网络操作。
进一步地,绑定单元13包括查找模块131,用于查找信息安全设备2的 证书的标识信息和信息安全设备2中的密钥对;生成模块132,用于根据初始用 户信息生成账户信息,并根据账户信息、信息安全设备2的证书的标识信息生 成第一数据包;存储模块133,用于存储信息安全设备2的证书信息、信息安全 设备2的证书的标识信息、信息安全设备2的私钥对第一数据包进行签名后生 成的第二数据包。
进一步地,生成模块132包括账户信息生成子模块1321,用于根据初始 用户信息生成账户信息;第一数据包生成子模块1322,用于根据账户信息、信 息安全设备2的证书的标识信息生成第一数据包。
进一步地,信息安全设备2包括第一接口单元21,用于与绑定设备l连 接;第一存储单元22,用于存储密钥对、密钥生成算法,信息安全设备2的证 书的标识信息和证书信息;生成单元23,用于根据密钥生成算法生成密钥对; 签名单元24,用于利用信息安全设备2的私钥对绑定i殳备1生成的第一数据包 进行签名,生成第二数据包,并将第二数据包发送给绑定设备l。
进一步地,应用终端3包括第二接口单元31,用于与绑定设备l连接; 第二存储单元32,用于存储绑定设备l发送的第一数据包、第二数据包和信息 安全设备2的证书信息;解析验证单元33,用于解析和处理绑定设备1发送的 第二数据包,并验证所述第二数据包的有效性。其中,解析验证单元33验证第 二数据包的有效性具体为利用信息安全设备2的公钥验证第二数据包的签名 的有效性,当验证第二数据包的签名有效时,则通知第二存储单元存储第二数 据包;当验证第二数据包的签名无效时,则提示出错信息。
或者,当解析验证单元33验证第二数据包的签名有效时,应用终端3向绑 定设备1发送验证通过消息,绑定设备1接收到验证通过消息后,将第二数据 包存储到信息安全设备2中。需要说明的是,信息安全设备2的证书的标识信 息为证书序列号,该证书序列号与信息安全设备2的序列号一致。信息安全设 备2的证书信息包括密钥对中的公钥、证书全文。本发明实施例提供一种账户信息与证书绑定的系统,通过绑定设备将账户 信息与证书绑定,用户可以直接获取绑定了账户信息与证书的信息安全设备, 操作简单,且保障了用户私密信息的安全性。
实施例三
如图3所示,本实施例提供一种账户信息与证书绑定的方法,包括
步骤1001、绑定设备将用户的账户信息与信息安全设备的证书的标识信息
绑定后生成第一数据包,接收信息安全设备利用密钥对中的私钥对第一数据包
进行签名后生成的第二数据包,并将第 一数椐包和第二数据包及信息安全设备
的证书信息发送到应用终端;
步骤1002、应用终端接收所述绑定设备发送的信息,验证第二数据包的有效性。
本实施例提供一种账户信息与证书绑定的方法,通过绑定设备将账户信息 与证书绑定,用户可以直接获取绑定了账户信息与证书的信息安全设备,操作 简单,保障了用户私密信息的安全性。
实施例四
如图4所示,本实施例提供一种账户信息与证书绑定的方法,在本实施例 中,信息安全设备为USBKey,应用终端为网络银行应用终端,该系统应用在网 络银行环境中,来进行具体说明网络银行的信息安全i殳备如何实现将用户的账 户信息和USB Key的证书进行绑定的流程,即一种账户信息与证书绑定的方法, 具体实现步骤如下
步骤2001、用户向绑定设备提交用户的初始用户信息;
步骤2002、绑定设备根据初始用户信息生成包括用户ID、用户密码在内的 账户信息;
在本实施例中,账户信息还可以预先存储在绑定设备内部的数据库中,则 本步骤为绑定设备调取存储在绑定设备内的账户信息。
步骤2003、绑定设备利用账户信息和USB Key的证书的标识信息生成第一 数据包,并将第一数据包发送给USB Key;
进一步地,第一数据包还包括USB Key的证书的标识信息、USB Key的密钥对中的公钥。USB Key的"^正书的标识信息具体为序列号,该序列号与USBKey的 序列号一致,该序列号可以为字母信息、数字信息、自带校验位的信息及字 母信息、数字信息、自带校验位的信息集合,在本实施例中,USBKey的序列号 具体为数字信息。
步骤2004、 USB Key利用密钥对中的私钥对第一数据包进行签名生成第二 数据包,并将第二数据包发送给绑定设备;
步骤2005、绑定设备将第一数据包和第二数据包及USB Key的证书信息发 送到网络^l艮行应用终端;
USB Key的证书信息包括密钥对中的公钥、证书全文。
步骤2006、网络4艮行应用终端从USB Key的证书信息中获取USB Key的/> 钥,并利用USB Key的公钥验证第二数据包的签名是否有效;若是,则执行步 骤2007,若否,则执行步骤2009;
在本步骤中,当网络#>行应用终端验证第二数据包的签名有效时,还可以 是,应用终端向绑定设备发送验证通过消息,绑定设备接收到验证通过消息后, 将第二数据包存储到信息安全设备中。
步骤2007、网络银行应用终端将绑定设备发送的信息存储到数据库中; 在本实施例中,本步骤还可以为网络银行应用终端向绑定设备发送验证
通过消息,绑定设备接收到验证通过消息后,将第二数据包存储到USB Key中。 步骤2008、用户通过绑定设备获取绑定账户信息及证书的USB Key,执行
安全操作;
步骤2009、网络4艮行应用终端提示出错信息。
本发明实施例提供了 一种账户信息与证书绑定的方法,通过绑定设备将账 户信息与证书绑定,用户可以直接获取绑定了账户信息与证书的信息安全设备, 操作简单,保障了用户私密信息的安全性。
以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于 此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到 变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应 以权利要求的保护范围为准。
权利要求
1、一种账户信息与证书绑定的系统,其特征在于,包括绑定设备,分别与所述绑定设备相连接的信息安全设备和应用终端;其中,所述信息安全设备,用于存储证书和密钥对,并执行智能密钥运算;所述绑定设备,用于生成账户信息、将所述账户信息与所述信息安全设备的证书的标识信息进行绑定生成第一数据包,接收所述信息安全设备利用私钥对所述第一数据包进行签名后生成的第二数据包,并将所述第一数据包和所述第二数据包及所述信息安全设备的证书信息发送到应用终端;所述应用终端,用于接收所述绑定设备发送的信息,验证所述第二数据包的有效性。
2、 根据权利要求l所述的账户信息与证书绑定的系统,其特征在于, 所述绑定设备包括网络接口控制单元,用于与所述应用终端进行连接; USB接口单元,用于与所述信息安全设备进行连接;绑定单元,用于将所述账户信息与所述信息安全设备的证书的标识信息进 行绑定。
3、 根据权利要求2所述的账户信息与证书绑定的系统,其特征在于, 所述网络接口控制单元包括网络接口模块,用于与所述应用终端进行连接; 网络控制模块,用于控制所述绑定设备执行网络操作。
4、 根据权利要求2所述的账户信息与证书绑定的系统,其特征在于, 所述绑定单元包括查找模块,用于查找所述信息安全设备的证书的标识信息和所述信息安全 设备中的密钥对;生成模块,用于根据初始用户信息生成账户信息,并根据所述账户信息、 所述信息安全设备的证书的标识信息生成第 一数据包。存储模块,用于存储所述信息安全设备的证书信息、所述信息安全设备的 证书的标识信息、所述信息安全设备的私钥对所述第一数据包进行签名后生成 的第二数据包。
5、 根据权利要求4所述的账户信息与证书绑定的系统,其特征在于, 所述生成^t块具体包括账户信息生成子模块,用于根据初始用户信息生成账户信息; 第一数据包生成子模块,用于根据所述账户信息、所述信息安全设备的证 书的标识信息生成第 一数据包。
6、 根据权利要求1所述的账户信息与证书绑定的系统,其特征在于, 所述信息安全设备包括第一接口单元,用于与所述绑定设备连接;第一存储单元,用于存储密钥对、密钥生成算法、所述信息安全设备的证 书的标识信息和证书信息;生成单元,用于根据密钥生成算法生成密钥对;签名单元,用于利用所述信息安全设备的私钥对所述绑定设备生成的第一 数据包进行签名,生成第二数据包,并将所述第二数据包发送给所述绑定设备。
7、 根据权利要求1所述的账户信息与证书绑定的系统,其特征在于, 所述应用终端包括第二接口单元,用于与所述绑定设备连接;第二存储单元,用于存储所述绑定设备发送的第一数据包、第二数据包和 所述信息安全设备的证书信息;解析验证单元,用于解析和处理所述绑定设备发送的第二数据包,并验证 所述第二数据包的有效性。
8、 根据权利要求7所述的账户信息与证书绑定的系统,其特征在于,所述 解析验证单元验证所述第二数据包的有效性具体为利用所述信息安全设备的 公钥验证所述第二数据包的签名的有效性,当验证所述第二数据包的签名有效 时,通知所述第二存储单元存储所述第二数据包;当验证所述第二数据包的签 名无效时,则提示出错信息。
9、 根据权利要求8所述的账户信息与证书绑定的系统,其特征在于,当所 述解析验证单元验证所述第二数据包的签名有效时,所述应用终端向所述绑定 设备发送验证通过消息,所述绑定设备接收到所述验证通过消息后,将所述第二数据包存储到所述信息安全设备中。
10、 根据权利要求l所述的账户信息与证书绑定的系统,其特征在于,所述信息安全设备的证书的标识信息为证书序列号,所述证书序列号与所 述信息安全设备的序列号一致。
11、 根据权利要求1所述的账户信息与证书绑定的系统,其特征在于,所述信息安全设备的证书信息包括所述密钥对中的公钥、证书全文。
12、 一种账户信息与证书绑定的方法,其特征在于,包括 绑定设备将用户的账户信息与信息安全设备的证书的标识信息绑定后生成第一数据包,接收所述信息安全设备利用密钥对中的私钥对所述第一数据包进 行签名后生成的第二数据包,并将所述第一数据包和所述第二数据包及所述信 息安全设备的证书信息发送到应用终端;所述应用终端接收所述绑定设备发送的信息,验证所述第二数据包的有效性。
13、 根据权利要求12所述的账户信息与证书绑定的方法,其特征在于,所 述信息安全设备的证书信息包括所述密钥对中的公钥、证书全文。
14、 根据权利要求12所述的账户信息与证书绑定的方法,其特征在于,在 所述绑定设备将用户的账户信息与信息安全设备的证书的标识信息绑定后生成 第一数据包之前还包括所述绑定设备生成账户信息,具体为所迷绑定设备 根据用户提交的初始用户信息生成账户信息,或所述绑定设备调取存储在所述 绑定设备内的账户信息。
15、 根据权利要求12所述的账户信息与证书绑定的方法,其特征在于,所 述应用终端接收所述绑定设备发送的信息,验证所述第二数据包的有效性的过 程具体为所述应用终端从所述信息安全设备的证书信息中获取所述信息安全设备的 公钥,利用所述信息安全设备的公钥验证所述第二lt据包的签名的有效性,若 验证所述第二数据包的签名有效,则存储所述绑定设备发送的信息,否则提示 出错信息。
16、 根据权利要求12所述的账户信息与证书绑定的方法,其特征在于,当所述应用终端^r证所述第二数据包的签名有效时,所述应用终端向所述 绑定设备发送验证通过消息,所述绑定设备接收到所述验证通过消息后,将所述第二数据包存储到所述信息安全设备中;当所述应用终端验证所述第二数据包的签名无效时,则提示出错信息。
17、根据权利要求12所述的账户信息与证书绑定的方法,其特征在于, 所述信息安全设备的证书的标识信息为证书序列号,所述证书序列号与所 述信息安全设备的序列号一致。
全文摘要
本发明提供了一种账户信息与证书绑定的系统和方法,涉及信息安全领域,解决了用户使用信息安全设备操作繁琐、安全性低的技术问题。账户信息与证书绑定的系统,包括绑定设备,分别与绑定设备相连接的信息安全设备和应用终端;其中,信息安全设备,用于存储证书和密钥对,并执行智能密钥运算;绑定设备,用于生成账户信息、将账户信息与信息安全设备的证书的标识信息进行绑定生成第一数据包,接收信息安全设备利用私钥对第一数据包进行签名后生成的第二数据包,并将第一数据包和第二数据包及信息安全设备的证书信息发送到应用终端;应用终端,用于接收绑定设备发送的信息,验证第二数据包的有效性。本发明应用于网络银行的信息安全。
文档编号G06Q40/00GK101527634SQ20081024705
公开日2009年9月9日 申请日期2008年12月31日 优先权日2008年12月31日
发明者于华章, 舟 陆 申请人:北京飞天诚信科技有限公司