本发明专利技术提供了一种账户信息与证书绑定的系统和方法,涉及信息安全领域,解决了用户使用信息安全设备操作繁琐、安全性低的技术问题。账户信息与证书绑定的系统,包括:绑定设备,分别与绑定设备相连接的信息安全设备和应用终端;其中,信息安全设备,用于存储证书和密钥对,并执行智能密钥运算;绑定设备,用于生成账户信息、将账户信息与信息安全设备的证书的标识信息进行绑定生成第一数据包,接收信息安全设备利用私钥对第一数据包进行签名后生成的第二数据包,并将第一数据包和第二数据包及信息安全设备的证书信息发送到应用终端;应用终端,用于接收绑定设备发送的信息,验证第二数据包的有效性。本发明专利技术应用于网络银行的信息安全。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,尤其涉及。
技术介绍
随着信息网络技术的高速发展,网络安全问题已经成为目前最大的网络安 全隐患,网上银行、网络游戏、支付平台、网上证券交易等各方面,密码无处 不在,带给人们更多的安全。但是密码在给人们必要的安全保障的同时,也存 在一些问题, 一旦密码丢失或被盗,则带来很多的麻烦。现有技术中时常发生 的网络密码被盗,木马病毒,自我保护意识差被网络钓鱼,或者密码被暴力破 解等都是造成密码安全问题的因素,为此有必要采取一些密码安全的保障措施, 为保护网上密码增设一道屏障。信息安全设备(也称智能密钥装置)是一种通过标准的个人主积4妄口,如通用串行总线(Universal Serial Bus,以下简称 USB)接口等,提供信息加密处理的便携式设备,利用它能够提高身份认证强度, 它内置单片机或智能卡芯片,可以存储密钥或数字证书,利用其内置的密码算 法可以对信息加密或进行身份识别等。信息安全设备具有公钥J^i设施(Public Key Infrastructure, PKI)应用、数字签名、信息加密、安全网络登录和访问安 全套接层(Secure Sockets Layer,以下简称SSL)安全网络等功能,并且具有保 证用户的私钥永远不离开硬件的特征,同时信息安全设备还具有物理上防止非 法获取其内部敏感信息等特性。PKI是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用 PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。PKI技 术采用证书管理公钥,通过第三方的可信任机构认证中心把用户的公钥和用户 的其他标识信息捆绑在一起,在互联网上验证用户的身份。目前,通用的办法 是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和 签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息 的安全传输。PKI是基于公钥算法和技术,为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其 核心元素是数字证书,核心执行者是认证机构。认证中心是一个负责发放和管 理数字证书的权威机构。认证中心通常采用多层次的分级结构,上级认证中心 负责签发和管理下级认证中心的证书,最下一级的认_〖正中心直接面向最终用户。认证中心的主要功能证书的颁发、证书的更新、证书的查询、证书的作废、 证书的归档。现有技术中,用户信息安全设备的持有者通常执行如下步骤来获得合法的 数字证书首先向认证中心提出申请,将用户身份信息和信息安全设备的硬件 信息发送给认证中心;认证中心判明申请者的身份之后,便为他分配一个公钥, 并且认证中心将该公钥与申请者的身份信息及信息安全设备的硬件信息绑在一 起,并为之签字后,便形成证书发给信息安全设备的持有者。这样一来,该智 能密钥装置中便保存了认证中心颁发的证书。由认证中心签发证书,将公钥和账户绑定,以网银服务为例,在这样的过 程中往往是用户在银行的营业网点开通一个网银账户,先向安全中心登记这个 网银账户,安全终端为这个网^J长户分配一个账户号和一个验证码,用户获得 信息安全设备、用户账号和验证码后,通过互联网自己下载证书,用户在下载 证书的过程中,如出现如网络通信故障、计算环境故障、未遵守使用方针等因 素,就将导致证书下载失败。 一旦失败,就将通知安全中心来重新审核这个网 银账户,或者要这个申请失效。在实现上述用户获得证书的过程中,专利技术人发 现现有技术中至少存在如下问题 一方面,用户在拿到信息安全设备后,必须 通过计算机网络执行证书下载的过程,这种操作易出错,且用户无法在第一时 间获取合法的数字证书,增加了用户的操作繁瑣性;另一方面,用户因通过不 安全的网络下载证书,从而产生了个人私密信息被截获的安全隐患。
技术实现思路
本专利技术提供一种,用户无需通过互联网 即可直接获取将用户的账户信息与证书绑定的信息安全设备,保障了用户私密 信息的安全性。为达到上述目的,本专利技术的实施例采用如下技术方案 一种账户信息与证书绑定的系统,包括绑定设备,分别与所述绑定设备相连接的信息安全设备和应用终端;其中,所述信息安全设备,用于存储证书和密钥对,并执行智能密钥运算;所述绑定设备,用于生成账户信息、将所述账户信息与所述信息安全设备 的证书的标识信息进行绑定生成第一数据包,接收所述信息安全设备利用私钥 对所述第一数据包进行签名后生成的第二数据包,并将所述第一数据包和所述 第二数据包及所述信息安全设备的证书信息发送到应用终端;所述应用终端,用于接收所述绑定设备发送的信息,验证所述第二数据包 的有效性。进一步地,所述绑定设备包括网络接口控制单元,用于与所述应用终端进行连接;USB接口单元,用于与所述信息安全设备进行连接;绑定单元,用于将所述账户信息与所述信息安全设备的证书的标识信息进 行绑定。进一步地,所述网络接口控制单元包括 网络接口模块,用于与所述应用终端进行连接; 网络控制模块,用于控制所述绑定设备执行网络操作。 所述绑定单元包括查找模块,用于查找所述信息安全设备的证书的标识信息和所述信息安全 设备中的密钥对;生成模块,用于根据初始用户信息生成账户信息,并根据所述账户信息、 所述信息安全设备的证书的标识信息生成第一数据包;存储模块,用于存储所述信息安全设备的证书信息、所述信息安全设备的 证书的标识信息、所述信息安全设备的私钥对所述第一数据包进行签名后生成 的第二数据包;进一步地,所述生成模块具体包括账户信息生成子模块,用于根据初始用户信息生成账户信息;第一数据包生成子模块,用于根据所述账户信息、所述信息安全设备的证 书的标识信息生成第 一数据包。进一步地,所述信息安全设备包括 第一接口单元,用于与所述绑定设备连接;第一存储单元,用于存储密钥对、密钥生成算法、所述信息安全设备的证 书的标识信息和i正书信息;生成单元,用于根据密钥生成算法生成密钥对;签名单元,用于利用所述信息安全设备的私钥对所述绑定设备生成的第一 数据包进行签名,生成第二数据包,并将所述第二数据包发送给所述绑定设备。 进一步地,所述应用终端包括 第二接口单元,用于与所述绑定设备连接;第二存储单元,用于存储所述绑定设备发送的第一数据包、第二数据包和 所述信息安全设备的证书信息;解析验证单元,用于解析和处理所述绑定设备发送的第二数据包,并验证 所述第二数据包的有效性。进一步地,所述解析验证单元验证所述第二数据包的有效性具体为利用 所述信息安全设备的公钥验证所述第二数据包的签名的有效性,当验证所述第 二数据包的签名有效时,通知所述第二存储单元存储所述第二数据包;当验证 所述第二数据包的签名无效时,则提示出错信息。进一步地,当所述解析验证单元验证所述第二数据包的签名有效时,所述 应用终端向所述绑定设备发送验证通过消息,所述绑定设备接收到所述验证通 过消息后,将所述第二数据包存储到所述信息安全设备中。进一步地,所述信息安全设备的证书的标识信息为证书序列号,所述证书 序列号与所述信息安全设备的序列号一致。进一步地,所述信息安全设备的证书信息包括所述密钥对中的公钥、证 书全文。本专利技术提供一种账户信息与证书绑定的系统,通过绑定设备将账户信息与 证书绑定,用户可以直接获取绑定了本文档来自技高网...
【技术保护点】
一种账户信息与证书绑定的系统,其特征在于,包括: 绑定设备,分别与所述绑定设备相连接的信息安全设备和应用终端;其中, 所述信息安全设备,用于存储证书和密钥对,并执行智能密钥运算; 所述绑定设备,用于生成账户信息、将所述账户 信息与所述信息安全设备的证书的标识信息进行绑定生成第一数据包,接收所述信息安全设备利用私钥对所述第一数据包进行签名后生成的第二数据包,并将所述第一数据包和所述第二数据包及所述信息安全设备的证书信息发送到应用终端; 所述应用终端,用于接 收所述绑定设备发送的信息,验证所述第二数据包的有效性。
【技术特征摘要】
【专利技术属性】
技术研发人员:陆舟,于华章,
申请(专利权)人:北京飞天诚信科技有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。