专利名称:一种实现数字证书跨银行通用的系统与方法
技术领域:
本发明涉及信息安全技术领域:
,特别是一种通过数字数据传输实现数字证书跨银行通用的系统与方法。
背景技术:
目前,我国包括四大国有银行在内的全部全国性商业银行网上银行都采用了安全认证技术。但由于PKI/CA技术在网上银行应用的时间还比较短,包括认证机构、银行自身、数字证书客户、政府监管部门在内的各方对安全认证技术的应用和管理都还属于探索阶段,我国网上银行安全认证建设在认证体系规划、认证技术标准统一、认证机构管理、相关法律制定上还存在较大的不足,而其中最为突出的一个问题就是通过各家网上银行申请的同一认证机构的数字证书仍相互独立,无法实现跨行通用。该问题的根源体现在如下几个方面1)大部分商业银行的网上银行向其用户提供的都是由同一家CA签发的数字证书,但各行网上银行对数字证书的个性化需求造成数字证书中部分数据域的内容和涵义有所不同;2)各家银行网上银行端对数字证书的认证业务规则不同;3)各银行网上银行无法提供同一家认证机构签发的它行数字证书在本行通用的功能。
因此,数字证书无法跨银行通用,给用户跨银行通用带来困难。
发明内容本发明的目的在于提供一种通过数字数据传输实现数字证书跨银行通用的系统与方法。
本发明要解决的问题是,持有从某家银行申请的、由权威第三方认证机构(CA)签发的数字证书的用户通过本发明提供的系统与方法,可以实现数字证书在其它银行的网上银行中通用,它是我国金融领域建立基于公钥基础设施(PKI)机制的统一信任域提供一种实现手段,属于信息安全技术在网上银行中的应用。
本发明除了可以运用于网上银行领域当中之外,按照本发明提供的系统与方法也可以实现在其它领域,如电子商务、电子支付、税务等其它行业中各机构之间的数字证书通用。
一种实现数字证书跨银行通用的系统,包括数字证书跨行通用注册申报系统与软件实现的与银行业务系统间的接口,具体由数据库、应用服务器、Web服务器、路由器、专网或公共网、数字证书用户客户端和银行客户端组成,证书用户客户端和银行客户端通过专网或公共网与数字证书跨行通用注册申报系统联系。
所述应用服务器可以根据用户已有数字证书中的DN生成一个唯一的,不重复的编码(注册码)。
所述客户端包括数字证书用户访问数字证书注册申报系统的客户端和银行访问注册申报系统的客户端。
所述数字证书用户通过专用客户端软件或浏览器访问注册申报系统时,使用已有的数字证书进行数字签名的方法来实现对用户身份的认证,并产生会话密钥来实现用户端与服务器端数据的加密传输,同时获取用于注册申报的编码(注册码)。
所述的编码为注册码。
所述银行客户端根据用户的注册码来提取与注册码对应的用户数字证书的DN。
数字证书跨行通用方法由跨行签约的方法实现,本发明提出一种用户数字证书跨行签约的方法,包括以下步骤①数字证书跨行通用注册申报系统接受数字证书用户客户端提出的跨行通用申请;②数字证书跨行通用注册申报系统验证用户已有数字证书的有效性;③系统自动提取用户数字证书中的DN(Distinguished Name,甄别名),并根据一定规则返回用于到另一家银行进行跨行签约的注册码;④银行签约系统接受用户提交的注册码;⑤银行客户端根据注册码向注册申报系统提交获取对应DN的请求;⑥注册申报系统判断其有效后,返回用户的DN信息。
本发明达到的目标及有益效果①支持个人数字证书和企业数字证书;②支持数字证书用户进行跨行通用的申请;③支持申请数字证书跨行通用的用户查询注册码,以及银行操作员查询DN和跨行签约信息;④支持银行对本行用户的签约信息进行维护;⑤支持通过专线或公共网与系统的连接。
经过检索,国内目前还没有类似技术。
图1是本发明的数字证书跨行通用注册申报系统总体架构图。
图2是本发明的数字证书跨银行通用的系统方法的流程图。
图3是本发明的数字证书跨行通用注册申报系统数字证书用户端处理流程图。
图4是本发明的数字证书跨行通用注册申报系统银行端处理流程图。
图5是本发明的数字证书跨行通用注册申报系统模块组成图。
具体实施方式以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是本发明的数字证书跨行通用注册申报系统总体架构,包括数字证书跨行通用注册申报系统与软件实现的与银行业务系统间的接口,具体由数据库、应用服务器、Web服务器、防火墙、路由器、专网或公共网、数字证书用户客户端和银行客户端组成。数字证书用户客户端和银行客户端通过专网或公共网与数字证书跨行通用注册申报系统联系。数字证书跨行通用注册申报系统将基于Web服务器+应用服务器+数据库服务器的三层结构。用户、银行操作员通过建立SSL(加密套接字协议层)安全通道与数字证书跨行通用注册申报系统连接;银行端的服务器直接与应用服务器连接。在网络结构上,用户通过Internet访问数字证书跨行通用注册申报系统;银行操作员可以根据各行的实际情况,通过Internet或专网访问数字证书跨行通用注册申报系统。
网上银行用户申请数字证书跨行通用时,首先需要使用在某一家银行申请的,由认证机构(CA)签发的数字证书登录到CA的注册申报系统中,获得注册码;用户再持相关证件和该注册码到另一家银行的营业网点进行签约,银行审核通过后,将注册码上传至注册申报系统,同时从注册申报系统中获得数字证书DN并留存。之后用户只需持该张数字证书便可同时在这两家银行的网上银行当中使用。
图2是本发明的数字证书跨银行通用的系统方法,步骤如下①数字证书跨行通用注册申报系统接受数字证书用户客户端提出的跨行通用申请;②数字证书跨行通用注册申报系统验证用户已有数字证书的有效性;③系统自动提取用户数字证书中的DN,并根据一定规则返回用于到另一家银行进行跨行签约的注册码;④银行签约系统接受用户提交的注册码;⑤银行客户端根据注册码向注册申报系统提交获取对应DN的请求;⑥注册申报系统判断其有效后,返回用户的DN信息。
图3是本发明的数字证书跨行通用注册申报系统数字证书用户端处理流程。数字证书用户端处理流程,其具体步骤如下(1)用户提出跨行申请数字证书跨行通用注册申报系统接受用户提出的跨行通用申请,申请的前提就是需要用户提供自己在某一家银行申请的,由CA签发的数字证书,该数字证书是用户进入注册申报系统的必要条件。用户持该张数字证书即可登录CA的数字证书注册申报系统,开始后续操作。
(2)系统验证数字证书有效性注册申报系统接收到用户的申请之后,需要识别与验证数字证书用户身份的真实性、有效性。验证数字证书有效性包括如下5个步骤1)验证用户数字证书产生的数字签名数据;2)验证用户数字证书的有效性,追溯到根CA数字证书;3)判断数字证书的有效期;4)查询CRL(Certificate Revocation List,数字证书撤销列表),检查数字证书是否已经被撤销;5)查询ARL(CA撤销列表),检查CA数字证书是否被撤销。
(3)系统提取用户的DN系统通过程序中的一段命令语言来调用用户数字证书中的DN。因为签发数字证书的CA有自己的DN标准,所以要判断该DN是否符合标准。如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有系统生成对应的注册码。
(4)系统生成注册码系统根据该DN生成一个唯一的,与数据库中原有注册码信息不会重复的编码,作为用户的注册码。
(5)返回注册码系统将此注册码通过用户操作界面返回给用户。
图4是本发明的数字证书跨行通用注册申报系统银行端处理流程。其步骤如下银行端处理流程(1)用户向银行提交注册码用户获得注册码后,可以持相关证件和该注册码到另一家银行的营业网点进行签约,要求进行数字证书跨行通用。
(2)银行向注册申报系统提交请求银行操作员根据用户提交的注册码,登录CA的注册申报系统提交请求,要求查询与注册码相对应的用户数字证书DN。
(3)注册申报系统查询对应的DN注册申报系统接收到银行提交的注册码后,在数据库中查询是否有与其相对应的DN。若有则返回对应于该注册码的用户数字证书DN;若未在数据库中查询到对应的DN,则说明输入的注册码有错或用户的注册码过期或用户从未进行过注册。
(4)返回DN注册申报系统向银行端返回查询到的DN信息。
图5是本发明的数字证书跨行通用注册申报系统模块组成。包括用户端子系统和银行端子系统。
(1)用户端子系统用户端子系统主要负责处理最终用户进行的数字证书跨行注册申报操作,包括注册码生成模块、注册码维护模块、注册码查询模块、签约信息查询模块。
i)注册码生成模块●功能用于用户数字证书DN的提取,注册码的生成,并将注册码和DN存储到数据库中。
●描述验证数字证书是否有效,若有效则将其数字证书中的DN值取出来。因为DN有一定的标准,所以要判断该DN是否符合标准,如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有系统自动生成新的注册码,并将该注册码和DN对应后放到数据库中,同时把注册码返回给用户,用户得到注册码。
ii)注册码维护模块●功能用于注册码和DN表的管理,定期清理过期的注册码。支持通过浏览器进行在线管理。
●描述因为注册码申请后都是有有效期的,如果在有效期内该注册码没有到银行进行签约,那么这个注册码就会自动失效,成为过期的注册码。如果签约用户将数字证书注销掉,那么系统将把DN和注册码的绑定关系取消,并将绑定记录从数据库中删除。
iii)注册码查询模块●功能用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询自己的注册码的接口。
iv)签约信息查询模块用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询用户与各银行签约信息的接口。
(2)银行端子系统银行端子系统主要负责处理用户签约信息的维护操作,这些操作包括签约信息的查询、添加、和删除。
i)信息查询模块包括基于注册码查询用户DN与签约信息和基于用户DN查询签约信息两部分。
ii)信息维护模块对用户的签约信息进行添加、删除操作的模块。
权利要求
1.一种实现数字证书跨银行通用的系统,包括数字证书跨行通用注册申报系统与软件实现的与银行业务系统间的接口,具体由数据库、应用服务器、Web服务器、路由器、专网或公共网、客户端组成。
2.根据权利要求
1所述的实现数字证书跨银行通用的系统,其特征在于,数字证书跨行通用注册申报系统,包括用户端子系统和银行端子系统(1)用户端子系统用户端子系统主要负责处理最终用户进行的数字证书跨行注册申报操作,包括注册码生成模块、注册码维护模块、注册码查询模块、签约信息查询模块i)注册码生成模块●用于用户数字证书DN的提取,注册码的生成,并将注册码和DN存储到数据库中;●验证数字证书是否有效,若有效则将其数字证书中的DN值取出来,判断该DN是否符合标准,如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有系统自动生成新的注册码,并将该注册码和DN对应后放到数据库中,同时把注册码返回给用户,用户得到注册码;ii)注册码维护模块●用于注册码和DN表的管理,定期清理过期的注册码,支持通过浏览器进行在线管理;●因为注册码申请后都是有有效期的,如果在有效期内该注册码没有到银行进行签约,这个注册码就会自动失效,成为过期的注册码,如果签约用户将数字证书注销掉,系统将把DN和注册码的绑定关系取消,并将绑定记录从数据库中删除;iii)注册码查询模块用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询自己的注册码的接口;iv)签约信息查询模块用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询用户与各银行签约信息的接口;(2)银行端子系统银行端子系统主要负责处理用户签约信息的维护操作,这些操作包括签约信息的查询、添加、和删除i)信息查询模块包括基于注册码查询用户DN与签约信息和基于用户DN查询签约信息两部分;ii)信息维护模块对用户的签约信息进行添加、删除操作的模块。
3.根据权利要求
1所述的实现数字证书跨银行通用的系统,其特征在于,所述应用服务器可以根据用户已有数字证书中的DN生成一个唯一的,不重复的编码,即注册码。
4.根据权利要求
1所述的实现数字证书跨银行通用的系统,其特征在于,所述客户端包括数字证书用户访问数字证书注册申报系统的客户端和银行访问注册申报系统的客户端。
5.根据权利要求
4所述的实现数字证书跨银行通用的系统,其特征在于,所述数字证书用户通过专用客户端软件或浏览器访问注册申报系统时,使用已有的数字证书进行数字签名的方法来实现对用户身份的认证,并产生会话密钥来实现用户端与服务器端数据的加密传输,同时获取用于注册申报的编码,即注册码。
6.根据权利要求
4所述的实现数字证书跨银行通用的系统,其特征在于,所述银行客户端根据用户的注册码来提取与注册码对应的用户数字证书的DN。
7.一种用户数字证书跨行签约的方法,包括以下步骤①数字证书跨行通用注册申报系统接受用户客户端提出的跨行通用申请;②数字证书跨行通用注册申报系统验证用户已有数字证书的有效性;③系统自动提取用户数字证书中的DN,并根据一定规则返回用于到另一家银行进行跨行签约的注册码;④银行签约系统接受用户提交的注册码;⑤银行客户端根据注册码向注册申报系统提交获取对应DN的请求;⑥注册申报系统判断其有效后,返回用户数字证书的DN信息。
8.根据权利要求
7所述的用户数字证书跨行签约的方法,其特征在于,步骤①数字证书跨行通用注册申报系统接受用户客户端提出的跨行通用申请;具体步骤如下(1)用户提出跨行申请数字证书跨行通用注册申报系统接受用户提出的跨行通用申请,申请的前提就是需要用户提供自己在某一家银行申请的,由CA签发的数字证书,该数字证书是用户进入注册申报系统的必要条件,用户持该张数字证书即可登录CA的数字证书注册申报系统,开始后续操作;(2)系统验证数字证书有效性注册申报系统接收到用户的申请之后,需要识别与验证数字证书用户身份的真实性、有效性,验证数字证书有效性;(3)系统提取用户的DN系统通过程序中的一段命令语言来调用用户数字证书中的DN,因为签发数字证书的CA有自己的DN标准,所以要判断该DN是否符合标准,如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有系统生成对应的注册码;(4)系统生成注册码系统根据该DN生成一个唯一的,与数据库中原有注册码信息不会重复的编码,作为用户的注册码;(5)返回注册码系统将此注册码通过用户操作界面返回给用户。
9.根据权利要求
7所述的用户数字证书跨行签约的方法,其特征在于,步骤②系统验证数字证书有效性,包括如下5个步骤1)验证用户数字证书产生的数字签名数据;2)验证用户数字证书的有效性,追溯到根CA数字证书;3)判断数字证书的有效期;4)查询CRL,检查数字证书是否已经被撤销;5)查询ARL,检查CA数字证书是否被撤销。
10.根据权利要求
7所述的用户数字证书跨行签约的方法,其特征在于,步骤⑤银行客户端根据注册码向注册申报系统提交获取对应DN的请求,具体步骤如下(1)用户向银行提交注册码用户获得注册码后,可以持相关证件和该注册码到另一家银行的营业网点进行签约,要求进行数字证书跨行通用;(2)银行向注册申报系统提交请求银行操作员根据用户提交的注册码,登录CA的注册申报系统提交请求,要求查询与注册码相对应的用户数字证书DN;(3)注册申报系统查询对应的DN注册申报系统接收到银行提交的注册码后,在数据库中查询是否有与其相对应的DN,若有则返回对应于该注册码的用户数字证书DN;若未在数据库中查询到对应的DN,则说明输入的注册码有错或用户的注册码过期或用户从未进行过注册;(4)返回DN注册申报系统向银行端返回查询到的DN信息。
专利摘要
本发明涉及信息安全技术领域:
,特别是通过数字数据传输实现数字证书跨银行通用的系统与方法。系统包括数字证书跨行通用注册申报系统与银行的接口,由数据库、应用服务器、Web服务器、路由器、专网或公共网、客户端组成。方法包括①数字证书跨行通用注册申报系统接受用户客户端提出的跨行申请;②数字证书跨行通用注册申报系统验证用户已有数字证书的有效性;③系统自动提取用户数字证书的DN,并返回跨行签约的注册码;④银行签约系统接受用户提交的注册码;⑤银行客户端根据注册码向注册申报系统提交对应DN的请求;⑥注册申报系统判断其有效后,返回用户DN信息。该系统实现了网上银行用户只要申请一张数字证书就可在不同银行的网上银行中通用。
文档编号G06Q40/00GK1996371SQ200610144264
公开日2007年7月11日 申请日期2006年11月30日
发明者张昊, 黄蓉嵘, 邵志远, 史佳乐, 李丽仙 申请人:银联金融认证中心有限公司导出引文BiBTeX, EndNote, RefMan