【技术实现步骤摘要】
本专利技术涉及金融数据安全保护及数据处理,尤其涉及一种基于客户端设备匹配的协同签名安全开通方法及系统。
技术介绍
1、协同签名服务的基本原理时采用对应算法将证书及私钥拆分为两部分,分别在客户端和服务器生成并安全存储。在使用过程中,单独破解客户端的私钥分量无法破解完整私钥(服务器端的私钥分量存储在加密机硬件中),因此能够提高私钥被盗用的难度。签名结果由两部分私钥分别签名并合成,与ukey中证书、文件证书等通用证书的签名结果格式一致后验证通过。对应的,协同签名产品包括客户端sdk与服务器两部分,协同签名产品证书对应私钥拆分为两部分,分别在客户端sdk和服务器中生成和存储,签名结果由两部分私钥分量加签并合成,其中客户端sdk集成于业务系统的客户端中,如手机银行app、网银浏览器端、银企直连客户端。ca证书服务器提供证书管理(证书申请、下证、注销、更新等)服务。
2、协同签名作为一种新型的安全且使用便捷的文件证书产品,已逐步应用于手机银行、网银、银企直连等网银渠道以及政企系统,满足用户安全交易转账、电子合同签署、报文加密等的诉求。开通流程主要涉及业务系统、协同签名产品自身以及ca证书服务。业务系统分为客户端和服务器两部分,如柜面系统、手机银行、网银、银企直连以及政企系统,可认证客户(或用户)持有的协同签名产品中证书签名的电子签名结果,提供转账交易、电子合同签署等服务。相比于传统的ukey,协同签名使用安全性较低,但使用便捷,客户体验好——无需额外携带设备、无需安装额外软件、手机端无需开启手机系统的定位、蓝牙或音频权限。>
3、典型的协同签名开通流程主要分为四个步骤,包括:步骤1、认证客户身份,主要由业务系统实施;步骤2、分散生成协同签名私钥以及绑定设备指纹;步骤3、验证设备指纹以及加签生成证书请求信息,主要由协同签名产品的客户端和服务端协同完成;步骤4、申请和下载证书(证书绑定客户信息、公钥信息),主要由业务系统和ca证书服务器完成。其中设备指纹为协同签名产品证书所在设备软件和硬件等信息及运算衍生唯一id。手机平台设备指纹信息包括mac地址、ip、imei、app信息等;pc端设备指纹包括mac地址、ip、磁盘序列号、进程信息等。
4、由此可知,现有的协同签名处理过程中仅在步骤2和步骤3执行对设备指纹进行绑定和认证的操作(确保协同签名中产品证书及对应私钥对应同一设备),但其他步骤执行时没有对设备指纹的绑定以及认证,造成实际应用过程中四个步骤的具体执行存在时间或空间的独立性。由于步骤1和步骤4缺乏对设备指纹的认证和绑定,开通过程中未对客户持有设备进行授权认证,无法保障协同签名产品证书下载在客户持有的授权设备中(证书对应的客户端私钥分量在授权设备中生成和存储),即协同签名开通流程中未对全流程进行认证设备指纹。例如,以银企直连渠道开通协同签名产品为例,客户临柜进行身份认证,身份认证通过后(线下完成步骤1),返回公司后在办公电脑或机房设备上,登录业务系统,使用协同签名产品服务,申请并下载协同签名证书至办公电脑或机房设备(线上完成步骤2、步骤3和步骤4)。当存在恶意攻击情况时,攻击者可利用开通流程步骤的独立性和未全过程认证设备指纹,将协同签名产品的证书下载到非客户设备或非授权设备上。
5、另外,在某些机构的业务场景下,由于其业务系统无法与ca证书服务器直接通讯交互,步骤4申请和下载证书需线下完成,客户需将步骤3的证书请求信息,登录ca证书服务器系统申请和下载证书,然后返回业务系统和协同签名产品系统写入证书,使用体验较差且难以控制风险。
6、协同签名产品证书及私钥的生成、存储、使用(签名),需复用客户持有的设备(如手机、电脑、pad、服务器等)作为载体,目前的技术及安全防护主要集中于协同签名的证书及私钥安全性。相对于ukey,银行对证书载体的ukey等设备有完善的重空(重要空白凭证)管控流程,但目前协同签名产品缺乏对客户持有设备的有效认证。
技术实现思路
1、为解决现有技术的不足,本专利技术提出一种基于客户端设备匹配的协同签名安全开通方法及系统,在处理协同签名开通过程的全流程匹配认证设备指纹,在保持各步骤的独立性同时,业务系统在协同签名开通流程中证书信息与设备指纹信息、客户信息三者进行绑定,确保协同签名产品证书及对应私钥在业务系统授权设备中生成、存储及使用,从而保障协同签名产品证书下载和使用协同签名的安全性。
2、为实现以上目的,本专利技术所采用的技术方案包括:
3、一种基于客户端设备匹配的协同签名安全开通方法,其特征在于,包括:
4、s1、依据协同签名开通申请执行用户认证操作生成用户认证信息,所述用户认证操作包括用户身份验证;
5、s2、获取客户端的第一设备指纹,判断用户认证操作是否通过;
6、s3、当判断用户认证操作通过时,将用户认证信息与第一设备指纹绑定;
7、s4、依据密钥生成请求提交对应客户端的第二设备指纹,使用用户认证信息生成协同签名私钥,并将协同签名私钥与第二设备指纹绑定;
8、s5、依据加签请求提交对应客户端的第二设备指纹,判断第二设备指纹是否匹配验证条件,当判断第二设备指纹匹配验证条件时,依据加签请求生成证书请求;
9、s6、判断第二设备指纹是否匹配第一设备指纹;
10、s7、当判断第二设备指纹匹配第一设备指纹时,依据证书请求使用用户认证信息和第一设备指纹申请生成用户证书,所述用户证书包括公钥信息和第一设备指纹;
11、s8、存储用户证书,客户端依据业务请求下载对应用户证书执行协同签名验证。
12、进一步地,所述第一设备指纹和第二设备指纹包括mac地址、ip信息、imei信息、app信息、磁盘序列号、进程信息中的任意一种或多种组合。
13、进一步地,所述使用用户认证信息生成协同签名私钥包括:
14、使用用户认证信息分别生成并加密存储第一私钥分量和第二私钥分量;
15、所述第一私钥分量对应服务器端;
16、所述第二私钥分量对应客户端。
17、进一步地,所述生成证书请求包括:
18、依据加签请求生成请求信息;
19、使用第一私钥分量对请求信息执行第一加签操作,判断第一加签操作执行是否成功;
20、当判断第一加签操作执行成功时,使用第二私钥分量对请求信息执行第二加签操作,生成证书请求。
21、进一步地,所述步骤s8还包括:
22、依据业务请求提交第三设备指纹;
23、判断第三设备指纹是否匹配第一设备指纹;
24、当判断第三设备指纹匹配第一设备指纹时,下载对应用户证书执行协同签名验证。
25、进一步地,所述第一私钥分量和第二私钥分量分别独立加密存储。
26、本专利技术还涉及一种基于客户端设备匹配的协同签名安全开通系统,其特征在于,包括:
27、用户认证模块,用于依据协同签本文档来自技高网...
【技术保护点】
1.一种基于客户端设备匹配的协同签名安全开通方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述第一设备指纹和第二设备指纹包括MAC地址、IP信息、IMEI信息、APP信息、磁盘序列号、进程信息中的任意一种或多种组合。
3.如权利要求1所述的方法,其特征在于,所述使用用户认证信息生成协同签名私钥包括:
4.如权利要求3所述的方法,其特征在于,所述生成证书请求包括:
5.如权利要求1所述的方法,其特征在于,所述步骤S8还包括:
6.如权利要求3所述的方法,其特征在于,所述第一私钥分量和第二私钥分量分别独立加密存储。
7.一种基于客户端设备匹配的协同签名安全开通系统,其特征在于,包括:
8.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法。
9.一种电子设备,其特征在于,包括处理器和存储器;
10.一种计算机程序产品,包括计算机程序和/或指令,其特征在于,该计算机程序和/或指令
...【技术特征摘要】
1.一种基于客户端设备匹配的协同签名安全开通方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述第一设备指纹和第二设备指纹包括mac地址、ip信息、imei信息、app信息、磁盘序列号、进程信息中的任意一种或多种组合。
3.如权利要求1所述的方法,其特征在于,所述使用用户认证信息生成协同签名私钥包括:
4.如权利要求3所述的方法,其特征在于,所述生成证书请求包括:
5.如权利要求1所述的方法,其特征在于,所述步骤s8还包括:
6.如权利要求3所...
【专利技术属性】
技术研发人员:刘军,童庆峰,于宝新,尚杰,
申请(专利权)人:中信银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。