一种银行USBKey证书申请防篡改保护方法及系统技术方案

本发明专利技术公开了一种银行USBKey证书申请防篡改保护方法及系统，方法包括：S100、网银应用调用证书申请模块并传入证书请求参数；S200、证书申请模块获取证书请求参数中的网银证书用途信息，向USBKey发送密钥对生成指令；S300、USBKey根据密钥对生成指令生成相应的密钥对，并将密钥对绑定网银证书用途信息；S400、证书申请模块向USBKey发送签名生成指令；S500、USBKey解析获取证书请求信息原文中的公钥和网银证书用途信息，根据公钥获取密钥对绑定的网银证书用途信息；S600、USBKey将证书请求信息原文中的网银证书用途信息与密钥对绑定的网银证书用途信息进行比对；S700、证书申请模块组织证书请求数据返回给网银应用。本发明专利技术能够解决网银证书用途在下证过程中被篡改的问题。

A tamper proof protection method and system for USBKEY certificate application

【技术实现步骤摘要】
一种银行USBKey证书申请防篡改保护方法及系统
本专利技术涉及银行网银应用领域，具体涉及一种银行USBKey证书申请防篡改保护方法及系统。
技术介绍
由于银行定义了证书的应用场景，定义了网银证书用途，即交易签名证书只能用于对特定格式的数据签名，普通签名证书只能用于非特定格式数据签名。在证书下载过程中证书请求环节，USBKey的生成密钥对过程，网银应用请求的用途，在生成密钥对时存在被篡改的风险，为避免该风险，需要针对用途做防篡改防护。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种银行USBKey证书申请防篡改保护方法及系统，通过该方法及系统能够解决网银证书用途在下证过程中被篡改的问题。为实现上述目的，本专利技术采用的技术方案如下：一种银行USBKey证书申请防篡改保护方法，包括：(1)网银应用调用证书申请模块并传入证书请求参数；(2)所述证书申请模块解析所述参数，获取所述证书请求参数中的网银证书用途信息，根据所述网银证书用途信息向USBKey发送密钥对生成指令；(3)所述USBKey接收所述网银证书用途信息和所述密钥对生成指令，根据所述密钥对生成指令生成相应的密钥对，并将所述密钥对绑定所述网银证书用途信息；(4)所述证书申请模块将获取的所述USBKey生成的所述密钥对的公钥，解析所述参数获取的网银证书用途信息和其他信息组织并生成证书请求信息原文，根据所述证书请求信息原文向USBKey发送签名生成指令；(5)所述USBKey接收所述证书请求信息原文和所述签名生成指令，解析获取所述证书请求信息原文中的公钥和网银证书用途信息，根据所述公钥获取所述密钥对绑定的网银证书用途信息；(6)所述USBKey根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的网银证书用途信息进行比对，若一致，则生成相应的签名，并将签名结果返回给所述证书申请模块；(7)所述证书申请模块根据所述签名结果组织证书请求数据，将所述证书请求数据返回给所述网银应用。进一步，如上所述的方法，步骤(1)包括：网银应用通过调用者调用证书申请模块并传入参数；所述调用者包括：安装程序进程，卸载程序进程，以及其他需要处理占用问题的程序进程。进一步，如上所述的方法，步骤(3)中，将所述密钥对绑定所述网银证书用途信息包括：将所述密钥对中的私钥绑定所述网银证书用途信息；步骤(5)中，根据所述公钥获取所述密钥对绑定的网银证书用途信息包括：根据所述公钥获取对应的私钥，获取该私钥绑定的网银证书用途信息。进一步，如上所述的方法，步骤(6)还包括：所述USBKey根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的的网银证书用途信息进行比对，若不一致，则拒绝签名。进一步，如上所述的方法，所述网银应用包括：银行跟证书相关的后台服务和网银客户端软件，所述证书申请模块为客户端支持下证的控件或动态库。本专利技术还提供一种银行USBKey证书申请防篡改保护系统，包括：网银应用、证书申请模块和USBKey；网银应用用于调用所述证书申请模块并传入证书请求参数；所述证书申请模块用于解析所述参数，获取所述证书请求参数中的网银证书用途信息，根据所述网银证书用途信息向USBKey发送密钥对生成指令；所述USBKey用于接收所述网银证书用途信息和所述密钥对生成指令，根据所述密钥对生成指令生成相应的密钥对，并将所述密钥对绑定所述网银证书用途信息；所述证书申请模块用于将获取的所述USBKey生成的所述密钥对的公钥，解析所述参数获取的网银证书用途信息和其他信息组织并生成证书请求信息原文，根据所述证书请求信息原文向USBKey发送签名生成指令；所述USBKey用于接收所述证书请求信息原文和所述签名生成指令，解析获取所述证书请求信息原文中的公钥和网银证书用途信息，根据所述公钥获取所述密钥对绑定的网银证书用途信息；所述USBKey用于根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的网银证书用途信息进行比对，若一致，则生成相应的签名，并将签名结果返回给所述证书申请模块；所述证书申请模块用于根据所述签名结果组织证书请求数据，将所述证书请求数据返回给所述网银应用。进一步，如上所述的系统，所述网银应用具体用于：通过调用者调用证书申请模块并传入参数；所述调用者包括：安装程序进程，卸载程序进程，以及其他需要处理占用问题的程序进程。进一步，如上所述的系统，所述USBKey具体用于：接收所述网银证书用途信息和所述密钥对生成指令，根据所述密钥对生成指令生成相应的密钥对，并将所述密钥对中的私钥绑定所述网银证书用途信息；还具体用于：接收所述证书请求信息原文和所述签名生成指令，解析获取所述证书请求信息原文中的公钥和网银证书用途信息，根据所述公钥获取对应的私钥，获取该私钥绑定的网银证书用途信息。进一步，如上所述的系统，所述USBKey还用于：根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的的网银证书用途信息进行比对，若不一致，则拒绝签名。进一步，如上所述的系统，所述网银应用包括：银行跟证书相关的后台服务和网银客户端软件，所述证书申请模块为客户端支持下证的控件或动态库。本专利技术的有益效果在于：本专利技术所提供的方法及系统，通过USBKey在进行数据签名之前检测网银证书用途信息在生成密钥对时是否被篡改，若检测结果为已被篡改则拒绝签名，只有检测结果为未被篡改时才进行数据签名，有效解决了网银证书用途在下证过程中被篡改的问题，提高了下证过程的安全性。附图说明图1为本专利技术实施例中提供的一种银行USBKey证书申请防篡改保护方法的流程示意图；图2为本专利技术实施例中提供的一种银行USBKey证书申请防篡改保护方法的整体框架图。具体实施方式下面结合说明书附图与具体实施方式对本专利技术做进一步的详细说明。如图1所示，一种银行USBKey证书申请防篡改保护方法，包括：S100、网银应用调用证书申请模块并传入证书请求参数；步骤S100包括：网银应用通过调用者调用证书申请模块并传入参数；调用者包括：安装程序进程，卸载程序进程，以及其他需要处理占用问题的程序进程。网银应用包括：银行跟证书相关的后台服务和网银客户端软件，证书申请模块为客户端支持下证的控件或动态库。S200、证书申请模块解析参数，获取证书请求参数中的网银证书用途信息，根据网银证书用途信息向USBKey发送密钥对生成指令；S300、USBKey接收网银证书用途信息和密钥对生成指令，根据密钥对生成指令生成相应的密钥对，并将密钥对绑定网银证书用途信息；步骤S300中，将密钥对绑定网银证书用途信息包括：<本文档来自技高网...

【技术保护点】
1.一种银行USBKey证书申请防篡改保护方法，其特征在于，包括：/n(1)网银应用调用证书申请模块并传入证书请求参数；/n(2)所述证书申请模块解析所述参数，获取所述证书请求参数中的网银证书用途信息，根据所述网银证书用途信息向USBKey发送密钥对生成指令；/n(3)所述USBKey接收所述网银证书用途信息和所述密钥对生成指令，根据所述密钥对生成指令生成相应的密钥对，并将所述密钥对绑定所述网银证书用途信息；/n(4)所述证书申请模块将获取的所述USBKey生成的所述密钥对的公钥，解析所述参数获取的网银证书用途信息和其他信息组织并生成证书请求信息原文，根据所述证书请求信息原文向USBKey发送签名生成指令；/n(5)所述USBKey接收所述证书请求信息原文和所述签名生成指令，解析获取所述证书请求信息原文中的公钥和网银证书用途信息，根据所述公钥获取所述密钥对绑定的网银证书用途信息；/n(6)所述USBKey根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的网银证书用途信息进行比对，若一致，则生成相应的签名，并将签名结果返回给所述证书申请模块；/n(7)所述证书申请模块根据所述签名结果组织证书请求数据，将所述证书请求数据返回给所述网银应用。/n...

【技术特征摘要】
1.一种银行USBKey证书申请防篡改保护方法，其特征在于，包括：
(1)网银应用调用证书申请模块并传入证书请求参数；
(2)所述证书申请模块解析所述参数，获取所述证书请求参数中的网银证书用途信息，根据所述网银证书用途信息向USBKey发送密钥对生成指令；
(3)所述USBKey接收所述网银证书用途信息和所述密钥对生成指令，根据所述密钥对生成指令生成相应的密钥对，并将所述密钥对绑定所述网银证书用途信息；
(4)所述证书申请模块将获取的所述USBKey生成的所述密钥对的公钥，解析所述参数获取的网银证书用途信息和其他信息组织并生成证书请求信息原文，根据所述证书请求信息原文向USBKey发送签名生成指令；
(5)所述USBKey接收所述证书请求信息原文和所述签名生成指令，解析获取所述证书请求信息原文中的公钥和网银证书用途信息，根据所述公钥获取所述密钥对绑定的网银证书用途信息；
(6)所述USBKey根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的网银证书用途信息进行比对，若一致，则生成相应的签名，并将签名结果返回给所述证书申请模块；
(7)所述证书申请模块根据所述签名结果组织证书请求数据，将所述证书请求数据返回给所述网银应用。


2.根据权利要求1所述的方法，其特征在于，步骤(1)包括：
网银应用通过调用者调用证书申请模块并传入参数；
所述调用者包括：安装程序进程，卸载程序进程，以及其他需要处理占用问题的程序进程。


3.根据权利要求1所述的方法，其特征在于，步骤(3)中，将所述密钥对绑定所述网银证书用途信息包括：
将所述密钥对中的私钥绑定所述网银证书用途信息；
步骤(5)中，根据所述公钥获取所述密钥对绑定的网银证书用途信息包括：
根据所述公钥获取对应的私钥，获取该私钥绑定的网银证书用途信息。


4.根据权利要求1所述的方法，其特征在于，步骤(6)还包括：
所述USBKey根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的的网银证书用途信息进行比对，若不一致，则拒绝签名。


5.根据权利要求1-4任一项所述的方法，其特征在于，所述网银应用包括：银行跟证书相关的后台服务和网银客户端软件，所述证书申请模块为客户端支持下证的控件或动态库。


6.一种银行USBKey证书申请防篡改保护系...

【专利技术属性】
技术研发人员：张伟，
申请(专利权)人：北京握奇智能科技有限公司，
类型：发明
国别省市：北京;11