一种实现终端解绑和重绑的方法及系统技术方案

本发明专利技术提供一种实现终端解绑和重绑的方法及系统，属于信息安全领域。特权级服务器接收终端发送的密钥管理指令并判断密钥管理指令的类型，如为特权级重新绑定指令则根据终端证书标识、服务器证书标识和特权级服务器证书生成特权级重新绑定数据包并发送给终端进行验证，如验证成功则终端清除保存的所有密钥，用特权级重新绑定数据包中的特权级服务器证书替换普通服务器证书；如密钥管理指令的类型为特权级解绑指令则特权级服务器根据终端证书标识和服务器证书标识组成特权级解绑数据包并发送给终端进行验证，如验证成功则终端清除保存的所有密钥和普通服务器证书。本发明专利技术适用终端失去执行“解除绑定”或是“重新绑定”的情况，安全可靠，成本低。

【技术实现步骤摘要】
一种实现终端解绑和重绑的方法及系统
本专利技术涉及信息安全领域，尤其涉及一种实现终端解绑和重绑的方法及系统。
技术介绍
终端在和服务器完成绑定以后，终端会因各种原因失去了执行“解除绑定”或“重新绑定”的能力。例如当服务器的私钥泄露，需要通过一种方法进行重新绑定新的服务器，现有技术中如果遇到终端失去了执行“解除绑定”或是“重新绑定”的能力，只能进行返厂处理，操作繁琐成本高，使用也不便。
技术实现思路
本专利技术的目的是为了克服现有技术的不足，提供一种实现终端解绑和重绑的方法及系统。本专利技术提供了一种实现终端解绑和重绑的方法，在终端预先保存有特权级数据包认证证书、普通服务器证书和特权级服务器认证公钥，在特权级服务器中预先保存有特权级服务器证书和多个普通服务器证书，所述方法包括：步骤S1：当所述终端接收到用户的触发信息时给所述特权级服务器发送密钥管理指令；步骤S2：所述特权级服务器接收所述密钥管理指令并判断所述密钥管理指令的类型，如为特权级重新绑定指令则执行步骤S3，如为特权级解绑指令则执行步骤S6；步骤S3：所述特权级服务器根据所述特权级重新绑定指令获取对应的终端证书标识和普通服务器标识，根据所述终端证书标识、与所述普通服务器标识对应的普通服务器证书中的服务器证书标识和保存的特权级服务器证书生成特权级重新绑定数据包并发送给所述终端；步骤S4：所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证，如验证成功则执行步骤S5，如验证失败则报错；步骤S5：所述终端清除保存的所有密钥，用所述特权级重新绑定数据包中的特权级服务器证书替换保存的普通服务器证书；步骤S6：所述特权级服务器根据所述特权级解绑指令获取对应的终端证书标识和普通服务器标识，根据所述终端证书标识、与普通服务器标识对应的普通服务器证书中的服务器证书标识组成特权级解绑数据包并发送给所述终端；步骤S7：所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包进行验证，如验证成功则执行步骤S8，如验证失败则报错；步骤S8：所述终端清除保存的所有密钥和普通服务器证书；所述步骤S4中的所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证，具体为：步骤a1：所述终端使用保存的特权级数据包认证证书对所述特权级重新绑定数据包中的第一签名值进行验证，如验证成功则继续，如验证失败则报错；步骤b1：所述终端判断所述特权级重新绑定数据包中的终端证书标识是否与保存的终端证书标识匹配，是则继续，否则验证失败，报错；步骤c1：所述终端判断所述特权级重新绑定数据包中的服务器证书标识是否与保存的普通服务器证书中的服务器证书标识匹配，是则继续，否则验证失败，报错；步骤d1：所述终端使用保存的特权级服务器认证公钥验证特权级重新绑定数据包中的特权级服务器证书，如验证成功则继续，如验证失败则报错；步骤e1：所述终端判断所述特权级重新绑定数据包中的特权级服务器证书是否有效，是则继续，否则验证失败，报错；所述步骤a1和所述步骤d1验证成功且所述步骤b1、所述步骤c1和所述步骤e1判断均为是时所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证成功；所述步骤S7中的所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包进行验证，具体为：步骤m1：所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证，如验证成功则继续，如验证失败则报错；步骤n1：所述终端判断所述特权级解绑数据包中的终端证书标识是否与保存的终端证书标识匹配，是则继续，否则验证失败，报错；步骤k1：所述终端判断所述特权级重新绑定数据包中的服务器证书标识是否与保存的普通服务器证书中的服务器证书标识匹配，是则继续，否则验证失败，报错；所述步骤m1验证成功且所述步骤n1和所述步骤k1均判断为是时所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证成功。进一步地，所述步骤S2包括：所述特权级服务器判断所述密钥管理指令中的预设字节数据，如为第一数值则为特权级解绑指令，如为第二数值则为特权级重新绑定指令。进一步地，所述步骤S3包括：所述特权级服务器从所述特权级重新绑定指令中获取终端标识和普通服务器标识，根据所述终端标识获取保存的对应的终端证书标识，从与普通服务器标识对应的普通服务器证书中获取服务器证书标识，将所述终端证书标识、所述服务器证书标识和特权级服务器证书顺序拼接生成待签名数据，对所述待签名数据进行哈希运算得到第一哈希运算结果，使用特权级数据包认证证书中的私钥对所述第一哈希运算结果进行加密得到第一签名值，将所述终端证书标识、所述服务器证书标识、所述特权级服务器证书和所述第一签名值顺序拼接生成特权级重新绑定数据包。进一步地，所述步骤a1中的所述终端使用保存的特权级数据包认证证书对所述特权级重新绑定数据包中的第一签名值进行验证包括：所述终端将所述特权级重新绑定数据包中的终端证书标识、服务器证书标识和特权级服务器证书顺序拼接生成第一拼接结果，对所述第一拼接结果进行哈希运算得到第一哈希结果，并使用保存的特权级数据包认证证书中的公钥对所述特权级重新绑定数据包中的第一签名值进行解密得到第一解密结果，判断所述第一哈希结果与所述第一解密结果是否一致，是则验证成功，否则验证失败。进一步地，所述步骤d1中的所述终端使用保存的特权级服务器认证公钥验证特权级重新绑定数据包中的特权级服务器证书包括：所述终端使用保存的特权级服务器认证公钥对所述特权级重新绑定数据包中的特权级服务器证书中的签名值进行解密得到第二解密结果，对所述特权级重新绑定数据包中的特权级服务器证书中的待签名数据进行哈希运算得到第二哈希结果，判断所述第二解密结果与所述第二哈希结果是否一致，是则验证成功，否则验证失败。进一步地，所述步骤e1中的所述终端判断所述特权级重新绑定数据包中的特权级服务器证书是否有效包括：所述终端判断所述特权级重新绑定数据包中的特权级服务器证书中的有效日期是否小于当前日期，是则所述特权级服务器证书有效，否则所述特权级服务器证书无效。进一步地，所述步骤S6包括：所述特权级服务器从特权级重新绑定指令中获取终端标识和普通服务器标识，根据所述终端标识获取保存的对应的终端证书标识，从与所述普通服务器标识对应的普通服务器证书中获取服务器证书标识，将所述终端证书标识、所述服务器证书标识顺序拼接得到第一拼接值，对所述第一拼接值进行哈希运算得到第二哈希运算结果，使用特权级数据包认证证书中的私钥对所述第二哈希运算结果进行加密得到第二签名值，将所述终端证书标识、所述服务器证书标识、所述第二签名值顺序拼接得到特权级解绑数据包。进一步地，所述步骤m1中的所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证本文档来自技高网...

【技术保护点】
1.一种实现终端解绑和重绑的方法，其特征在于，在终端预先保存有特权级数据包认证证书、普通服务器证书和特权级服务器认证公钥，在特权级服务器中预先保存有特权级服务器证书和多个普通服务器证书，所述方法包括：/n步骤S1：当所述终端接收到用户的触发信息时给所述特权级服务器发送密钥管理指令；/n步骤S2：所述特权级服务器接收所述密钥管理指令并判断所述密钥管理指令的类型，如为特权级重新绑定指令则执行步骤S3，如为特权级解绑指令则执行步骤S6；/n步骤S3：所述特权级服务器根据所述特权级重新绑定指令获取对应的终端证书标识和普通服务器标识，根据所述终端证书标识、与所述普通服务器标识对应的普通服务器证书中的服务器证书标识和保存的特权级服务器证书生成特权级重新绑定数据包并发送给所述终端；/n步骤S4：所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证，如验证成功则执行步骤S5，如验证失败则报错；/n步骤S5：所述终端清除保存的所有密钥，用所述特权级重新绑定数据包中的特权级服务器证书替换保存的普通服务器证书；/n步骤S6：所述特权级服务器根据所述特权级解绑指令获取对应的终端证书标识和普通服务器标识，根据所述终端证书标识、与普通服务器标识对应的普通服务器证书中的服务器证书标识组成特权级解绑数据包并发送给所述终端；/n步骤S7：所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包进行验证，如验证成功则执行步骤S8，如验证失败则报错；/n步骤S8：所述终端清除保存的所有密钥和普通服务器证书；/n所述步骤S4中的所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证，具体为：/n步骤a1：所述终端使用保存的特权级数据包认证证书对所述特权级重新绑定数据包中的第一签名值进行验证，如验证成功则继续，如验证失败则报错；/n步骤b1：所述终端判断所述特权级重新绑定数据包中的终端证书标识是否与保存的终端证书标识匹配，是则继续，否则验证失败，报错；/n步骤c1：所述终端判断所述特权级重新绑定数据包中的服务器证书标识是否与保存的普通服务器证书中的服务器证书标识匹配，是则继续，否则验证失败，报错；/n步骤d1：所述终端使用保存的特权级服务器认证公钥验证特权级重新绑定数据包中的特权级服务器证书，如验证成功则继续，如验证失败则报错；/n步骤e1：所述终端判断所述特权级重新绑定数据包中的特权级服务器证书是否有效，是则继续，否则验证失败，报错；/n所述步骤a1和所述步骤d1验证成功且所述步骤b1、所述步骤c1和所述步骤e1判断均为是时所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证成功；/n所述步骤S7中的所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包进行验证，具体为：/n步骤m1：所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证，如验证成功则继续，如验证失败则报错；/n步骤n1：所述终端判断所述特权级解绑数据包中的终端证书标识是否与保存的终端证书标识匹配，是则继续，否则验证失败，报错；/n步骤k1：所述终端判断所述特权级重新绑定数据包中的服务器证书标识是否与保存的普通服务器证书中的服务器证书标识匹配，是则继续，否则验证失败，报错；/n所述步骤m1验证成功且所述步骤n1和所述步骤k1均判断为是时所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证成功。/n...

【技术特征摘要】
1.一种实现终端解绑和重绑的方法，其特征在于，在终端预先保存有特权级数据包认证证书、普通服务器证书和特权级服务器认证公钥，在特权级服务器中预先保存有特权级服务器证书和多个普通服务器证书，所述方法包括：
步骤S1：当所述终端接收到用户的触发信息时给所述特权级服务器发送密钥管理指令；
步骤S2：所述特权级服务器接收所述密钥管理指令并判断所述密钥管理指令的类型，如为特权级重新绑定指令则执行步骤S3，如为特权级解绑指令则执行步骤S6；
步骤S3：所述特权级服务器根据所述特权级重新绑定指令获取对应的终端证书标识和普通服务器标识，根据所述终端证书标识、与所述普通服务器标识对应的普通服务器证书中的服务器证书标识和保存的特权级服务器证书生成特权级重新绑定数据包并发送给所述终端；
步骤S4：所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证，如验证成功则执行步骤S5，如验证失败则报错；
步骤S5：所述终端清除保存的所有密钥，用所述特权级重新绑定数据包中的特权级服务器证书替换保存的普通服务器证书；
步骤S6：所述特权级服务器根据所述特权级解绑指令获取对应的终端证书标识和普通服务器标识，根据所述终端证书标识、与普通服务器标识对应的普通服务器证书中的服务器证书标识组成特权级解绑数据包并发送给所述终端；
步骤S7：所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包进行验证，如验证成功则执行步骤S8，如验证失败则报错；
步骤S8：所述终端清除保存的所有密钥和普通服务器证书；
所述步骤S4中的所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证，具体为：
步骤a1：所述终端使用保存的特权级数据包认证证书对所述特权级重新绑定数据包中的第一签名值进行验证，如验证成功则继续，如验证失败则报错；
步骤b1：所述终端判断所述特权级重新绑定数据包中的终端证书标识是否与保存的终端证书标识匹配，是则继续，否则验证失败，报错；
步骤c1：所述终端判断所述特权级重新绑定数据包中的服务器证书标识是否与保存的普通服务器证书中的服务器证书标识匹配，是则继续，否则验证失败，报错；
步骤d1：所述终端使用保存的特权级服务器认证公钥验证特权级重新绑定数据包中的特权级服务器证书，如验证成功则继续，如验证失败则报错；
步骤e1：所述终端判断所述特权级重新绑定数据包中的特权级服务器证书是否有效，是则继续，否则验证失败，报错；
所述步骤a1和所述步骤d1验证成功且所述步骤b1、所述步骤c1和所述步骤e1判断均为是时所述终端使用保存的特权级数据包认证证书和特权级服务器认证公钥对所述特权级重新绑定数据包进行验证成功；
所述步骤S7中的所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包进行验证，具体为：
步骤m1：所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证，如验证成功则继续，如验证失败则报错；
步骤n1：所述终端判断所述特权级解绑数据包中的终端证书标识是否与保存的终端证书标识匹配，是则继续，否则验证失败，报错；
步骤k1：所述终端判断所述特权级重新绑定数据包中的服务器证书标识是否与保存的普通服务器证书中的服务器证书标识匹配，是则继续，否则验证失败，报错；
所述步骤m1验证成功且所述步骤n1和所述步骤k1均判断为是时所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证成功。


2.如权利要求1所述的方法，其特征在于，所述步骤S2包括：所述特权级服务器判断所述密钥管理指令中的预设字节数据，如为第一数值则为特权级解绑指令，如为第二数值则为特权级重新绑定指令。


3.如权利要求1所述的方法，其特征在于，所述步骤S3包括：所述特权级服务器从所述特权级重新绑定指令中获取终端标识和普通服务器标识，根据所述终端标识获取保存的对应的终端证书标识，从与普通服务器标识对应的普通服务器证书中获取服务器证书标识，将所述终端证书标识、所述服务器证书标识和特权级服务器证书顺序拼接生成待签名数据，对所述待签名数据进行哈希运算得到第一哈希运算结果，使用特权级数据包认证证书中的私钥对所述第一哈希运算结果进行加密得到第一签名值，将所述终端证书标识、所述服务器证书标识、所述特权级服务器证书和所述第一签名值顺序拼接生成特权级重新绑定数据包。


4.如权利要求1所述的方法，其特征在于，所述步骤a1中的所述终端使用保存的特权级数据包认证证书对所述特权级重新绑定数据包中的第一签名值进行验证包括：所述终端将所述特权级重新绑定数据包中的终端证书标识、服务器证书标识和特权级服务器证书顺序拼接生成第一拼接结果，对所述第一拼接结果进行哈希运算得到第一哈希结果，并使用保存的特权级数据包认证证书中的公钥对所述特权级重新绑定数据包中的第一签名值进行解密得到第一解密结果，判断所述第一哈希结果与所述第一解密结果是否一致，是则验证成功，否则验证失败。


5.如权利要求1所述的方法，其特征在于，所述步骤d1中的所述终端使用保存的特权级服务器认证公钥验证特权级重新绑定数据包中的特权级服务器证书包括：所述终端使用保存的特权级服务器认证公钥对所述特权级重新绑定数据包中的特权级服务器证书中的签名值进行解密得到第二解密结果，对所述特权级重新绑定数据包中的特权级服务器证书中的待签名数据进行哈希运算得到第二哈希结果，判断所述第二解密结果与所述第二哈希结果是否一致，是则验证成功，否则验证失败。


6.如权利要求1所述的方法，其特征在于，所述步骤e1中的所述终端判断所述特权级重新绑定数据包中的特权级服务器证书是否有效包括：所述终端判断所述特权级重新绑定数据包中的特权级服务器证书中的有效日期是否小于当前日期，是则所述特权级服务器证书有效，否则所述特权级服务器证书无效。


7.如权利要求1所述的方法，其特征在于，所述步骤S6包括：所述特权级服务器从特权级重新绑定指令中获取终端标识和普通服务器标识，根据所述终端标识获取保存的对应的终端证书标识，从与所述普通服务器标识对应的普通服务器证书中获取服务器证书标识，将所述终端证书标识、所述服务器证书标识顺序拼接得到第一拼接值，对所述第一拼接值进行哈希运算得到第二哈希运算结果，使用特权级数据包认证证书中的私钥对所述第二哈希运算结果进行加密得到第二签名值，将所述终端证书标识、所述服务器证书标识、所述第二签名值顺序拼接得到特权级解绑数据包。


8.如权利要求7所述的方法，其特征在于，所述步骤m1中的所述终端使用保存的特权级数据包认证证书对所述特权级解绑数据包中的第二签名值进行验证包括：所述终端将所述特权级解绑数据包中的终端证书标识、服务器证书标识顺序拼接生成第二拼接结果，对所述第二拼接结果进行哈希运算得到第三哈希结果，并使用保存的特权级数据包认证证书中的公钥对所述特权级解绑数据包中的第二签名值进行解密得到第三解密结果，判断所述第三哈希结果与所述第三解密结果是否一致，是则验证成功，继续，否则验证失败，报错。


9.如权利要求1所述的方法，其特征在于，所述步骤S2与所述步骤S3之间还包括：
步骤A1：所述特权级服务器给所述终端返回接收成功响应；
步骤A2：所述终端生成随机数并发送给所述特权级服务器；
步骤A3：所述特权级服务器接收所述随机数并丢弃；
所述步骤S2与所述步骤S6之间还包括：
步骤B1：所述特权级服务器给所述终端返回接收成功响应；
步骤B2：所述终端生成随机数并发送给所述特权级服务器；
步骤B3：所述特权级服务器接收所述随机数并丢弃。


10.一种实现终端解绑和重绑的系统，其特征在于，所述系统包括终端和特权级服务器，在...

【专利技术属性】
技术研发人员：陆舟，于华章，
申请(专利权)人：飞天诚信科技股份有限公司，
类型：发明
国别省市：北京;11