数字证书认证方法及装置与流程

本发明涉及电子金融安全技术领域，具体而言，涉及一种数字证书认证方法及装置。

背景技术：

随着电商和互联网金融的发展，电商与互联网金融企业往往与多个银行有电子接口。例如，所有银行发放的u盾都要直接插在企业所持有的通讯主机的usb接口上。主机usb接口数量有限，难以冗余部署，通讯主机通常部署在企业的互联网数据中心(internetdatacenter，idc)机房内，新增更换u盾要去机房部署，这给互联网金融企业的运维工作带来不便。另外，idc机房内的u盾极易被拔下而丢失，增加了企业资金安全的风险。

技术实现要素：

为了克服上述现有技术中的不足，本发明提供一种数字证书认证方法及装置，可对数字证书集中部署，降低运维难度，并提高企业金融安全水平，进而解决上述问题。

为了实现上述目的，本发明较佳实施例所提供的技术方案如下所示：

本发明较佳实施例提供一种数字证书认证方法，应用于与服务器通信连接的认证终端，所述服务器与用户终端通信连接，所述认证终端与至少一个用户账户相关联；所述方法包括：

获取所述服务器发送的第一认证信息，其中，所述第一认证信息由所述服务器根据目标用户终端针对目标用户账户发出的业务请求生成，所述第一认证信息包括所述目标用户账户的信息；

根据预先存储在所述认证终端的至少一个数字证书对所述第一认证信息进行认证，以判断所述目标用户终端对应的账户的信息是否有效；

当所述第一认证信息认证通过时，向所述服务器发送认证通过的指令，以使所述服务器响应所述业务请求。

在本发明的较佳实施例中，上述方法还包括：

当所述第一认证信息认证不通过时，向所述服务器发送认证不通过的指令，以使所述服务器停止响应所述业务请求。

在本发明的较佳实施例中，上述方法还包括：

获取所述业务请求对应的执行数据，所述执行数据包括汇款/转账金额、汇款/转账时间、汇款/转账对象中的至少一种；

记录并展示所述执行数据。

在本发明的较佳实施例中，上述当所述第一认证信息认证通过时，向所述服务器发送认证通过的指令，以使所述服务器响应所述业务请求的步骤，包括：

当所述第一认证信息认证通过时，接收第一触发信号，并根据所述第一触发信号生成所述认证通过的指令，所述认证通过的指令包括用于使所述服务器响应所述业务请求的第一控制指令；

向所述服务器发送所述第一控制指令，以使所述服务器响应所述业务请求。

在本发明的较佳实施例中，上述当所述第一认证信息认证通过时，向所述服务器发送认证通过的指令，以使所述服务器响应所述业务请求的步骤，包括：

当所述第一认证信息认证通过时，接收第二触发信号，并根据所述第二触发信号生成所述认证通过的指令，所述认证通过的指令包括用于使所述服务器停止响应所述业务请求的第二控制指令；

向所述服务器发送所述第二控制指令，以使所述服务器停止响应所述业务请求。

在本发明的较佳实施例中，上述向所述服务器发送所述第二控制指令，以使所述服务器停止响应所述业务请求的步骤，包括：

根据发送的所述第二控制指令，使所述服务器断开该服务器与所述用户终端之间的通信连接。

在本发明的较佳实施例中，上述根据预先存储在所述认证终端的至少一个数字证书对所述第一认证信息进行认证的步骤之前，所述方法还包括：

接收第二认证信息，并将所述第二认证信息与预先存储在所述认证终端的认证信息进行验证；

当所述第二认证信息验证通过后，将至少一个与用户终端的账户对应的数字证书存储在所述认证终端，其中，一个数字证书与用户终端中的一个账户的身份信息相关联。

本发明的较佳实施例还提供一种数字证书认证装置，应用于与服务器通信连接的认证终端，所述服务器与用户终端通信连接，所述认证终端与至少一个用户账户相关联；所述数字证书认证装置包括：

第一获取单元，用于获取所述服务器发送的第一认证信息，其中，所述第一认证信息由所述服务器根据目标用户终端针对目标用户账户发出的业务请求生成，所述第一认证信息包括所述目标用户账户的信息；

认证判断单元，用于根据预先存储在所述认证终端的至少一个数字证书对所述第一认证信息进行认证，以判断所述目标用户终端对应的账户的信息是否有效；

发送执行单元，用于当所述第一认证信息认证通过时，向所述服务器发送认证通过的指令，以使所述服务器响应所述业务请求。

在本发明的较佳实施例中，上述数字证书认证装置还包括：

第二获取单元，用于获取所述业务请求对应的执行数据，所述执行数据包括汇款/转账金额、汇款/转账时间、汇款/转账对象中的至少一种；

记录显示单元，用于记录并展示所述执行数据。

在本发明的较佳实施例中，上述发送执行单元还用于：

当所述第一认证信息认证通过时，接收第一触发信号，并根据所述第一触发信号生成所述认证通过的指令，所述认证通过的指令包括用于使所述服务器响应所述业务请求的第一控制指令；

向所述服务器发送所述第一控制指令，以使所述服务器响应所述业务请求。

相对于现有技术而言，本发明提供的数字证书认证方法及装置至少具有以下有益效果：该方法及装置通过获取服务器发送的第一认证信息，其中，第一认证信息由服务器根据目标用户终端针对目标用户账户发出的业务请求生成，第一认证信息包括目标用户账户的信息；根据预先存储在认证终端的数字证书对第一认证信息进行认证，以判断目标用户终端对应的账户的信息是否有效；当第一认证信息认证通过时，向服务器发送认证通过的指令，以使服务器响应该业务请求。本发明提供的方案可将多个数字证书集中部署在认证终端，通过认证终端认证用户账户的有效性，降低了运维难度，还有助于提高用户金融安全水平。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举本发明较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明较佳实施例提供的认证终端、服务器及用户终端的交互示意图。

图2为本发明较佳实施例提供的认证终端的方框示意图。

图3为本发明较佳实施例提供的数字证书认证方法的流程示意图之一。

图4为本发明较佳实施例提供的数字证书认证方法的流程示意图之二。

图5为本发明较佳实施例提供的数字证书认证装置的方框示意图之一。

图6为本发明较佳实施例提供的数字证书认证装置的方框示意图之二。

图标：10-认证终端；11-处理单元；12-通信单元；13-存储单元；20-服务器；30-用户终端；40-网络；100-数字证书认证装置；110-第一获取单元；120-认证判断单元；130-发送执行单元；140-第二获取单元；150-记录显示单元。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。此外，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

下面结合附图，对本发明的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请参照图1，是本发明较佳实施例提供的认证终端10、服务器20及用户终端30的交互示意图。在本实施例中，至少一个认证终端10可通过网络40与服务器20通信连接，以实现认证终端10与服务器20的数据交互。服务器20可通过网络40与至少一个用户终端30通信连接，以实现服务器20与用户终端30的数据交互。另外，认证终端10也可以通网络40与用户终端30通信连接，以进行数据交互。其中，上述各通信连接的方式可以为通过虚拟专用网络(virtualprivatenetwork，vpn)进行连接，也可以是其他稳固的网络40进行连接，这里不作具体限定。

可理解地，认证终端10、服务器20、用户终端30及网络40可组成认证系统，该认证系统可对至少一个用户账户的信息进行验证。而每一个用户终端30可配置(或存储)一个或多个用户账户。

请参照图2，是本发明较佳实施例提供的认证终端10的方框示意图。在本实施例中，所述认证终端10可为独立于服务器20及用户终端30的一种装置或设备。用户或企业所持有的认证终端10可从权威机构(比如银行)获得。所述认证终端10可以包括处理单元11、通信单元12、存储单元13以及数字证书认证装置100，所述处理单元11、通信单元12、存储单元13以及数字证书认证装置100各个元件之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

所述处理单元11可以是处理器。例如，该处理器可以是中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)、图形处理器(graphicsprocessingunit，gpu)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。

所述通信单元12用于通过网络40建立认证终端10与服务器20之间的通信连接，或建立认证终端10与用户终端30之间的通信连接，并通过该网络40收发数据。

所述存储单元13可以是，但不限于随机存取存储器，只读存储器，可编程只读存储器，可擦除可编程只读存储器，电可擦除可编程只读存储器等。在本实施例中，所述存储单元13可以用于存储数字证书、数字证书控件及与至少一个用户账户相关联的信息等。当然，所述存储器还可以用于存储程序，所述处理单元11在接收到执行指令后，执行该程序。

可选地，所述认证终端10还可以包括显示单元，该显示单元可以是，但不限于液晶显示屏或触控显示屏等，可用于显示服务器20响应用户终端30发送的业务请求而对应的执行数据，所述执行数据包括但不限于汇款/转账金额、汇款/转账时间、汇款/转账对象中的至少一种。

进一步地，所述数字证书认证装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储单元13中或固化在所述认证终端10中的软件功能模块。所述处理单元11用于执行所述存储单元13中存储的可执行模块，例如数字证书认证装置100所包括的软件功能模块及计算机程序等。

可以理解的是，图2所示的结构仅为认证终端10的一种结构示意图，所述认证终端10还可以包括比图2所示更多或更少的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。

在本实施例中，所述服务器20与金融机构(比如银行)的相关业务关联，可响应用户账户发送的业务请求，以使用户账户可执行相关业务操作。可理解地，该服务器20为金融机构所持有。该业务操作包括但不限于转账、汇款、更改权限或密码等操作。可选地，所述服务器20可以是，但不限于云服务器、集群服务器、分布式服务器等。

在本实施例中，所述用户终端30可以是，但不限于智能手机、个人电脑(personalcomputer，pc)、平板电脑、个人数字助理(personaldigitalassistant，pda)、移动上网设备(mobileinternetdevice，mid)等。所述网络40可以是，但不限于有线网络或无线网络。例如，操作者可以利用pc机的键盘鼠标使pc机连接服务器20，经认证终端10认证通过后，才能执行转账操作。

请参照图3，是本发明较佳实施例提供的数字证书认证方法的流程示意图之一。本发明的较佳实施例提供一种数字证书认证方法，该方法可应用于上述与服务器20通信连接的认证终端10，该认证终端10与至少一个用户账户相关联。该方法通过将至少一个数字证书存储(或部署)在认证终端10，通过认证终端10对用户账户的信息进行验证。相比于现有技术需要将多个u盾插接在通讯主机的usb接口而言，简化了数字证书的部署，可解决现有技术中银行通讯接口机的冗余部署的问题，便于对认证系统进行运维。

下面对图3中所示的数字证书认证方法的具体流程和步骤进行详细阐述。在本实施例中，所述数字证书认证方法可以包括以下步骤：

步骤s210，获取服务器20发送的第一认证信息，其中，所述第一认证信息由所述服务器20根据目标用户终端针对目标用户账户发出的业务请求生成，所述第一认证信息包括所述目标用户账户的信息。

在本实施例中，在执行步骤s210之前，目标用户账户对应的目标用户终端将向服务器20发送针对该目标用户账户的业务请求，服务器20在接收到该业务请求后，将向认证终端10发送根据该业务请求生成的第一认证信息。可理解地，所述目标用户账户为当前在执行操作的用户账户，目标用户终端为目标用户账户对应的用户终端30。

可选地，认证终端10可预先存入用户账户与用户终端30相关联的信息，第一认证信息还可以包括目标用户终端的信息，可以用于认证目标用户账户与目标用户终端是否相对应，在目标用户账户与目标用户终端相对应时，再对目标用户账户的信息进行验证。

步骤s220，根据预先存储在所述认证终端10的至少一个数字证书对所述第一认证信息进行认证，以判断所述目标用户终端对应的账户的信息是否有效。

在本实施例中，该方法利用存储在认证终端10中的数字证书对第一认证信息进行认证，以判断目标用户账户与认证终端10中的数字证书是否对应，若目标用户账户与认证终端10中的数字证书相对应，则目标用户终端对应的账户的信息有效，反之，目标用户终端对应的账户的信息无效。

可选地，在步骤s210或步骤s220之前，该方法还可以包括接收第二认证信息，并将所述第二认证信息与预先存储在所述认证终端10的认证信息进行验证；当所述第二认证信息验证通过后，将至少一个与用户终端30的账户对应的数字证书存储在所述认证终端10，其中，一个数字证书与用户终端30中的一个账户的身份信息相关联。

可理解地，若认证终端10并未存储数字证书或用户需要在该认证终端10终中添加其他用户账户对应的数字证书时，需要获得权限才可向该认证终端10导入数字证书。所述第二认证信息可以直接或间接通过认证终端10得到。

例如，该第二认证信息为人为通过用户终端30输入的密码信息，或者该第二认证信息为由用户终端30采集目标用户的生物特征信息，包括脸谱、瞳孔、声音、指纹等信息。然后有用户终端30将该认证信息发送至认证终端10以进行验证。当然，认证终端10上可以设置数字钮或其他采集模块，比如摄像头、麦克风、指纹采集器，以分别采集目标用户的脸谱(瞳孔)、声音、指纹等信息。也就是目标用户可直接通过认证终端10得生成得到第二认证信息。

该方法通过对第二认证信息进行验证，在目标用户获得权限时才向认证终端10存入数字证书，避免无权限的用户导入数字证书。也就是该方法进一步提高了认证终端10的认证安全的级别，有利于提高用户或企业的金融安全水平。

值得说明的是，在执行步骤s210或步骤s220还可以包括判断认证终端10中是否存储有数字证书的步骤。若认证终端10中无数字证书，则发出提示，以使用户通过用户终端30或其他设备向认证终端10导入相应的数字证书，若认证终端10存储有数字证书，则进行对应的步骤s210或步骤s220。优选地，该认证终端10只可导入数字证书，不可导出数字证书，以避免数字证书被替换而降低认证的安全可靠性。

步骤s230，当所述第一认证信息认证通过时，向所述服务器20发送认证通过的指令，以使所述服务器20响应所述业务请求。

可理解地，若第一认证信息通过，认证终端10便向服务器20发送认证通过的指令，服务器20根据该指令响应用户终端30发送的业务请求，以执行相应的操作(比如汇款、转账等操作)。

可选地，步骤s230可以具体包括：当所述第一认证信息认证通过时，接收第一触发信号，并根据所述第一触发信号生成所述认证通过的指令，所述认证通过的指令包括用于使所述服务器20响应所述业务请求的第一控制指令；向所述服务器20发送所述第一控制指令，以使所述服务器20响应所述业务请求。

在其他实施方式中，步骤s230可以具体包括：当所述第一认证信息认证通过时，接收第二触发信号，并根据所述第二触发信号生成所述认证通过的指令，所述认证通过的指令包括用于使所述服务器20停止响应所述业务请求的第二控制指令；向所述服务器20发送所述第二控制指令，以使所述服务器20停止响应所述业务请求。

值得说明的是，若认证终端10在第一认证信息认证通过后的预设时间段内未接收到第一触发信号或第二触发信号，可向所述服务器20发送第二控制指令，以使所述服务器20停止响应所述业务请求。

其中，所述第一触发信号及第二触发信号可以是由人为触发认证终端10上的按钮或触摸屏而形成的不同的认证通过的指令。可理解地，第一触发信号与第一控制指令对应，用于使服务器20响应业务请求，以使用户终端30可执行汇款、转账等业务操作。第二触发信号与第二控制指令对应，用于使服务器20停止响应业务请求，以使阻止用户终端30执行汇款、转账等业务操作。也就是对应同一用户终端30，同一时间只能执行上述两种操作中的一种。

例如，在企业中，财务总监可持有该认证终端10，若会计人员需要使用企业账户对外汇款，企业账户对应的用户终端30向服务器20发送业务请求，服务器20根据该业务请求生成第一认证信息，该第一认证信息经认证终端10认证通过后，认证终端10可显示是否确认执行对外汇款的操作，财务总监可手动选择确认执行对外汇款的操作，服务器20便会响应该业务请求，以针对该企业账户向其他账户汇款；或者财务总监可手动选择拒绝执行对外汇款的操作，以使服务器20停止响应业务请求，也就阻止了会计人员通过用户终端30进行的汇款操作。

另外，在现有技术中，企业会计通常需要到财务总监拿取u盾以获得业务操作的权限，在u盾交接过程中，u盾容易丢失。而本发明中的认证终端10可放置在固定的位置，只要该认证终端10部署在服务器20(或银行接口机)网络40可达的tcp/ip网络即可，进而可避免因数字证书丢失而带来的安全隐患。

又例如，对于老年人群，其亲属可持有该认证终端10，若老人需要向外转账，需要持有该认证终端10的亲属通过该认证终端10确认转账的操作，老人才能进行转账，其具体实现方式与应用于企业场景的实现过程相同，这里不再赘述。

可选地，所述向所述服务器20发送所述第二控制指令，以使所述服务器20停止响应所述业务请求的步骤，还可以包括：根据发送的所述第二控制指令，使所述服务器20断开该服务器20与所述用户终端30之间的通信连接，以阻止用户通过用户终端30执行转账、汇款等业务操作。

在本实施例中，该方法通过在认证终端10确认是否使服务器20响应业务请求，可进一步提高认证终端10认证的可靠性及安全性，以进一步提高用户或企业资金的安全。

可选地，该方法还包括：当所述第一认证信息认证不通过时，向所述服务器20发送认证不通过的指令，以使所述服务器20停止响应所述业务请求。

请参照图4，是本发明较佳实施例提供的数字证书认证方法的流程示意图之二。在本实施例中，该方法还可以包括步骤s240及步骤s250。

步骤s240，获取所述业务请求对应的执行数据，所述执行数据包括汇款/转账金额、汇款/转账时间、汇款/转账对象中的至少一种。

步骤s250，记录并展示所述执行数据。

可理解地，该执行数据可以是从用户终端30直接获取得到，也可以是从服务器20获取得到。该执行数据还可以包括其他数据，比如，新增导入数字证书的时间，更改预先存储在认证终端10的认证信息的时间等，这里不再赘述。该方法通过记录及展示所述执行数据，有助于用户查看当前及历史执行的业务记录，便于相关人员核对业务操作是否正确，以增强资金流转的实时监控能力，进而提高认证终端10的对业务操作认证的准确性及可靠性。

请参照图5，是本发明较佳实施例提供的数字证书认证装置100的方框示意图之一。本发明提供的数字证书认证装置100可以应用于上述的数字证书认证方法，通过将数字证书集中部署在认证终端10，简化了数字证书的部署方式，以便于维护认证系统。也就是该认证终端10只要处于用户终端30和服务器20之间的网络40可达的任意位置，均可实现对用户账户信息进行认证以对执行的业务操作进行确认，降低了部署数字证书的网络环境的要求。其中，该数字证书认证装置100可包括第一获取单元110、认证判断单元120以及发送执行单元130。

第一获取单元110，用于获取所述服务器20发送的第一认证信息，其中，所述第一认证信息由所述服务器20根据目标用户终端针对目标用户账户发出的业务请求生成，所述第一认证信息包括所述目标用户账户的信息。具体地，第一获取单元110可以用于执行图3所示的步骤s210，具体执行的操作内容可参照对步骤s210的详细描述，这里不再赘述。

认证判断单元120，用于根据预先存储在所述认证终端10的至少一个数字证书对所述第一认证信息进行认证，以判断所述目标用户终端对应的账户的信息是否有效。具体地，认证判断单元120可以用于执行图3所示的步骤s220，具体执行的操作内容可参照对步骤s220的详细描述，这里不再赘述。

发送执行单元130，用于当所述第一认证信息认证通过时，向所述服务器20发送认证通过的指令，以使所述服务器20响应所述业务请求。

进一步地，所述发送执行单元130还用于：当所述第一认证信息认证通过时，接收第一触发信号，并根据所述第一触发信号生成所述认证通过的指令，所述认证通过的指令包括用于使所述服务器20响应所述业务请求的第一控制指令；向所述服务器20发送所述第一控制指令，以使所述服务器20响应所述业务请求。

具体地，发送执行单元130可以用于执行图3所示的步骤s230，具体执行的操作内容可参照对步骤s230的详细描述，这里不再赘述。

请参照图6，是本发明较佳实施例提供的数字证书认证装置100的方框示意图之二。可选地，所述数字证书认证装置100还可以包括第二获取单元140以及记录显示单元150。

第二获取单元140，用于获取所述业务请求对应的执行数据，所述执行数据包括汇款/转账金额、汇款/转账时间、汇款/转账对象中的至少一种。具体地，第二获取单元140可以用于执行图4所示的步骤s240，具体执行的操作内容可参照对步骤s240的详细描述，这里不再赘述。

记录显示单元150，用于记录并展示所述执行数据。具体地，记录显示单元150可以用于执行图4所示的步骤s250，具体执行的操作内容可参照对步骤s250的详细描述，这里不再赘述。

综上所述，本发明提供一种数字证书认证方法及装置。该方法及装置通过获取服务器发送的第一认证信息，其中，第一认证信息由服务器根据目标用户终端针对目标用户账户发出的业务请求生成，第一认证信息包括目标用户账户的信息；根据预先存储在认证终端的数字证书对第一认证信息进行认证，以判断目标用户终端对应的账户的信息是否有效；当第一认证信息认证通过时，向服务器发送认证通过的指令，以使服务器响应该业务请求。本发明提供的方案可将多个数字证书集中部署在认证终端，通过认证终端认证用户账户的有效性，降低了运维难度，还有助于提高用户金融安全水平。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。