安全盾、数字证书管理系统和方法技术方案
Safety shield, digital certificate management system and method
The invention provides a safety shield, a digital certificate management system and method. The safety shield includes a communication interface and a smart chip, the smart chip comprises a storage unit connected with the communication interface and receiving and storing activation data sub key ADK key and the public key certificate CPK; activation unit is connected with the communication interface to receive the activation data, using ADK sub key to decrypt the activation data to activate the smart chip; and processing unit is connected with the communication interface to receive the application of AIC to install the certificate and public key infrastructure PKI application based on CPK to verify the PKI installation and application of AIC in the case of verification. With the invention, the management of at least one digital certificate can be achieved.
【技术实现步骤摘要】
安全盾、数字证书管理系统和方法
本专利技术涉及金融领域,尤其涉及一种安全盾、一种数字证书管理系统和方法。
技术介绍
在如今社会,人们越来越少采用现金进行交易,取而代之地,则使用网上银行和手机银行来进行交易。然而,安全问题制约着网上银行和手机银行的进一步发展。对于网上银行,通常采用的方式是U盾。然而,现在用于网上银行的U盾都是一家银行发一个U盾,这种方式一方面一个用户往往同时拥有多个U盾,不利于管理,同时也是资源的极大浪费。对于手机银行,为了保证手机支付的安全,一些银行采用通过手机号码和账号绑定,每次消费时,通过短信发送验证码和用户口令的组合方式来保证支付的安全,并且通过设置最大消费额度的方式来降低风险。也有相关第三方支付公司采用SD卡的方式引入数字证书的方式来确保支付的安全。通过手机号码和用户账号绑定的方式,虽然能够一定程度上保护手机银行的安全,但是现在基于Android和IOS系统的智能手机本身就有很多安全的漏洞,进一步因为现在各种开发的客户端应用本身并没有行业安全检验标准就上线,漏洞多且不可控,其短信内容和手机银行客户端应用,非常容易被攻击者监听和伪造,用户每...
【技术保护点】
一种安全盾,其特征在于,该安全盾包括通信接口和智能芯片,该通信接口为音频接口或USB接口,其中智能芯片包括:存储单元,与通信接口相连并接收和存储激活数据子密钥ADK子密钥以及证书公钥CPK;激活单元,与通信接口相连以接收激活数据、利用ADK子密钥来解密激活数据以激活智能芯片;以及处理单元,与通信接口相连以接收应用安装证书AIC和公钥基础设施PKI应用,根据CPK来验证AIC并在验证通过的情况下安装PKI应用,处理单元在已经安装PKI应用的情况下从通信接口接收至少一个金融机构的数字证书并将保存在存储单元中,处理单元根据证书标识符AID来调用对应的金融机构的数字证书。
【技术特征摘要】
1.一种安全盾,其特征在于,该安全盾包括通信接口和智能芯片,该通信接口为音频接口或USB接口,其中智能芯片包括:存储单元,与通信接口相连并接收和存储激活数据子密钥ADK子密钥以及证书公钥CPK;激活单元,与通信接口相连以接收激活数据、利用ADK子密钥来解密激活数据以激活智能芯片;以及处理单元,与通信接口相连以接收应用安装证书AIC和公钥基础设施PKI应用,根据CPK来验证AIC并在验证通过的情况下安装PKI应用,处理单元在已经安装PKI应用的情况下从通信接口接收至少一个金融机构的数字证书并将保存在存储单元中,处理单元根据证书标识符AID来调用对应的金融机构的数字证书。2.如权利要求1所述的安全盾,其特征在于,处理单元能够删除和更新数字证书。3.如权利要求1所述的安全盾,其特征在于,处理单元从通信接口接收应用删除证书ADC,根据CPK验证ADC并在验证通过时删除PKI应用。4.如权利要求1-3之一所述的安全盾,其特征在于,该安全盾还包括和处理单元相连的物理键盘,用于输出安全盾访问口令至处理单元,该安全盾还包括交易确认物理键,用户通过该交易确认物理键输入交易使能信号至处理单元。5.如权利要求1-3之一所述的安全盾,其特征在于,安全盾还包括加解密单元和数模-模数转换单元,其中加解密单元,其与处理单元相连,用于加密来自处理单元的数据并将加密后的数据返回至处理单元;以及数模-模数转换单元,其连接在处理单元和通信接口之间。6.一种数字证书管理系统,其特征在于,包括证书管理中心CMS、可信服务管理中心TSM、至少一个金融机构服务器、客户端设备、如上述权利要求1~5任意一项所述的安全盾,其中CMS生成激活数据密钥ADK、证书公钥CPK和证书私钥CSK;利用分散算法以芯片参数UID为分散因子来分散ADK以得到ADK子密钥;将ADK子密钥和CPK写入智能芯片的存储单元中;第一金融机构服务器获得UID;第一金融机构服务器发送芯片注册请求和UID至CMS;CMS根据UID生成并发送激活数据至第一金融机构服务器;第一金融机构服务器将激活数据转发至TSM;用户经客户端设备发送包括用户身份信息的安全盾激活请求至TSM;TSM在用户身份信息验证通过的情况下将激活数据经客户端设备发送至安全盾的激活单元;安全盾的激活单元根据ADK子密钥来解密激活数据以激活安全盾;第二金融机构服务器向CMS发送包括公钥基础设施PKI应用参数文件的PKI应用注册请求;CMS根据PKI应用参数文件和CSK来生成与该PKI应用相对应的应用安装证书AIC并将其发送至第二金融机构服务器;第二金融机构服务器将AIC和PKI应用发送至TSM;用户经客户端设备向TSM发送包括第二金融机构标识符的应用安装请求;TSM根据第二金融机构标识符将与第二金融机构对应的AIC和PKI应用经客户端设备发送至安全盾的处理单元;安全盾的处理单元根据CPK验证AIC并在验证通过的情况下安装PKI应用,用户经客户端设备向第二金融机构服务器发送包括用户身份信息的数字证书下载请求;第二金融机构服务器验证身份信息并在验证通过的情况下将数字证书经客户端设备发送至安全盾的处理单元,处理单元在处理交易请求时根据客户端设备所发送的应用标识符AID来调用对应的数字证书。7.如权利要求6所述的数字证书管理系统,其特征在于,用户通过交易确认物理键输入交易使能信号至处理单元。8.如权利要求6所述的数字证书管理系统,其特征在于,CMS还根据PKI应用参数文件和CSK生成应用删除证书ADC并将ADC发送至第二金融机构服务器;第二金融机构服务器将ADC转发至TSM;用户经客户端设备向TSM发送包括第二金融机构标...
【专利技术属性】
技术研发人员:彭敏,周钰,严翔翔,郑建宾,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。