一種實現數字證書跨銀行通用的系統與方法
2023-10-08 18:08:14 2
專利名稱:一種實現數字證書跨銀行通用的系統與方法
技術領域:
本發明涉及信息安全技術領域,特別是一種通過數字數據傳輸實現數字證書跨銀行通用的系統與方法。
背景技術:
目前,我國包括四大國有銀行在內的全部全國性商業銀行網上銀行都採用了安全認證技術。但由於PKI/CA技術在網上銀行應用的時間還比較短,包括認證機構、銀行自身、數字證書客戶、政府監管部門在內的各方對安全認證技術的應用和管理都還屬於探索階段,我國網上銀行安全認證建設在認證體系規劃、認證技術標準統一、認證機構管理、相關法律制定上還存在較大的不足,而其中最為突出的一個問題就是通過各家網上銀行申請的同一認證機構的數字證書仍相互獨立,無法實現跨行通用。該問題的根源體現在如下幾個方面1)大部分商業銀行的網上銀行向其用戶提供的都是由同一家CA籤發的數字證書,但各行網上銀行對數字證書的個性化需求造成數字證書中部分數據域的內容和涵義有所不同;2)各家銀行網上銀行端對數字證書的認證業務規則不同;3)各銀行網上銀行無法提供同一家認證機構籤發的它行數字證書在本行通用的功能。
因此,數字證書無法跨銀行通用,給用戶跨銀行通用帶來困難。
發明內容
本發明的目的在於提供一種通過數字數據傳輸實現數字證書跨銀行通用的系統與方法。
本發明要解決的問題是,持有從某家銀行申請的、由權威第三方認證機構(CA)籤發的數字證書的用戶通過本發明提供的系統與方法,可以實現數字證書在其它銀行的網上銀行中通用,它是我國金融領域建立基於公鑰基礎設施(PKI)機制的統一信任域提供一種實現手段,屬於信息安全技術在網上銀行中的應用。
本發明除了可以運用於網上銀行領域當中之外,按照本發明提供的系統與方法也可以實現在其它領域,如電子商務、電子支付、稅務等其它行業中各機構之間的數字證書通用。
一種實現數字證書跨銀行通用的系統,包括數字證書跨行通用註冊申報系統與軟體實現的與銀行業務系統間的接口,具體由資料庫、應用伺服器、Web伺服器、路由器、專網或公共網、數字證書用戶客戶端和銀行客戶端組成,證書用戶客戶端和銀行客戶端通過專網或公共網與數字證書跨行通用註冊申報系統聯繫。
所述應用伺服器可以根據用戶已有數字證書中的DN生成一個唯一的,不重複的編碼(註冊碼)。
所述客戶端包括數字證書用戶訪問數字證書註冊申報系統的客戶端和銀行訪問註冊申報系統的客戶端。
所述數字證書用戶通過專用客戶端軟體或瀏覽器訪問註冊申報系統時,使用已有的數字證書進行數字籤名的方法來實現對用戶身份的認證,並產生會話密鑰來實現用戶端與伺服器端數據的加密傳輸,同時獲取用於註冊申報的編碼(註冊碼)。
所述的編碼為註冊碼。
所述銀行客戶端根據用戶的註冊碼來提取與註冊碼對應的用戶數字證書的DN。
數字證書跨行通用方法由跨行籤約的方法實現,本發明提出一種用戶數字證書跨行籤約的方法,包括以下步驟①數字證書跨行通用註冊申報系統接受數字證書用戶客戶端提出的跨行通用申請;②數字證書跨行通用註冊申報系統驗證用戶已有數字證書的有效性;③系統自動提取用戶數字證書中的DN(Distinguished Name,甄別名),並根據一定規則返回用於到另一家銀行進行跨行籤約的註冊碼;④銀行籤約系統接受用戶提交的註冊碼;⑤銀行客戶端根據註冊碼向註冊申報系統提交獲取對應DN的請求;⑥註冊申報系統判斷其有效後,返回用戶的DN信息。
本發明達到的目標及有益效果①支持個人數字證書和企業數字證書;②支持數字證書用戶進行跨行通用的申請;③支持申請數字證書跨行通用的用戶查詢註冊碼,以及銀行操作員查詢DN和跨行籤約信息;④支持銀行對本行用戶的籤約信息進行維護;⑤支持通過專線或公共網與系統的連接。
經過檢索,國內目前還沒有類似技術。
圖1是本發明的數字證書跨行通用註冊申報系統總體架構圖。
圖2是本發明的數字證書跨銀行通用的系統方法的流程圖。
圖3是本發明的數字證書跨行通用註冊申報系統數字證書用戶端處理流程圖。
圖4是本發明的數字證書跨行通用註冊申報系統銀行端處理流程圖。
圖5是本發明的數字證書跨行通用註冊申報系統模塊組成圖。
具體實施例方式
以下實施例用於說明本發明,但不用來限制本發明的範圍。
圖1是本發明的數字證書跨行通用註冊申報系統總體架構,包括數字證書跨行通用註冊申報系統與軟體實現的與銀行業務系統間的接口,具體由資料庫、應用伺服器、Web伺服器、防火牆、路由器、專網或公共網、數字證書用戶客戶端和銀行客戶端組成。數字證書用戶客戶端和銀行客戶端通過專網或公共網與數字證書跨行通用註冊申報系統聯繫。數字證書跨行通用註冊申報系統將基於Web伺服器+應用伺服器+資料庫伺服器的三層結構。用戶、銀行操作員通過建立SSL(加密套接字協議層)安全通道與數字證書跨行通用註冊申報系統連接;銀行端的伺服器直接與應用伺服器連接。在網絡結構上,用戶通過Internet訪問數字證書跨行通用註冊申報系統;銀行操作員可以根據各行的實際情況,通過Internet或專網訪問數字證書跨行通用註冊申報系統。
網上銀行用戶申請數字證書跨行通用時,首先需要使用在某一家銀行申請的,由認證機構(CA)籤發的數字證書登錄到CA的註冊申報系統中,獲得註冊碼;用戶再持相關證件和該註冊碼到另一家銀行的營業網點進行籤約,銀行審核通過後,將註冊碼上傳至註冊申報系統,同時從註冊申報系統中獲得數字證書DN並留存。之後用戶只需持該張數字證書便可同時在這兩家銀行的網上銀行當中使用。
圖2是本發明的數字證書跨銀行通用的系統方法,步驟如下①數字證書跨行通用註冊申報系統接受數字證書用戶客戶端提出的跨行通用申請;②數字證書跨行通用註冊申報系統驗證用戶已有數字證書的有效性;③系統自動提取用戶數字證書中的DN,並根據一定規則返回用於到另一家銀行進行跨行籤約的註冊碼;④銀行籤約系統接受用戶提交的註冊碼;⑤銀行客戶端根據註冊碼向註冊申報系統提交獲取對應DN的請求;⑥註冊申報系統判斷其有效後,返回用戶的DN信息。
圖3是本發明的數字證書跨行通用註冊申報系統數字證書用戶端處理流程。數字證書用戶端處理流程,其具體步驟如下(1)用戶提出跨行申請數字證書跨行通用註冊申報系統接受用戶提出的跨行通用申請,申請的前提就是需要用戶提供自己在某一家銀行申請的,由CA籤發的數字證書,該數字證書是用戶進入註冊申報系統的必要條件。用戶持該張數字證書即可登錄CA的數字證書註冊申報系統,開始後續操作。
(2)系統驗證數字證書有效性註冊申報系統接收到用戶的申請之後,需要識別與驗證數字證書用戶身份的真實性、有效性。驗證數字證書有效性包括如下5個步驟1)驗證用戶數字證書產生的數字籤名數據;2)驗證用戶數字證書的有效性,追溯到根CA數字證書;3)判斷數字證書的有效期;4)查詢CRL(Certificate Revocation List,數字證書撤銷列表),檢查數字證書是否已經被撤銷;5)查詢ARL(CA撤銷列表),檢查CA數字證書是否被撤銷。
(3)系統提取用戶的DN系統通過程序中的一段命令語言來調用用戶數字證書中的DN。因為籤發數字證書的CA有自己的DN標準,所以要判斷該DN是否符合標準。如果符合的話,再進一步判斷該DN或者說該數字證書是否已經籤過約,也就是說該DN已經有對應的註冊碼存在,如果有對應的註冊碼存在則證明該數字證書已籤約,如果沒有系統生成對應的註冊碼。
(4)系統生成註冊碼系統根據該DN生成一個唯一的,與資料庫中原有註冊碼信息不會重複的編碼,作為用戶的註冊碼。
(5)返回註冊碼系統將此註冊碼通過用戶操作界面返回給用戶。
圖4是本發明的數字證書跨行通用註冊申報系統銀行端處理流程。其步驟如下銀行端處理流程(1)用戶向銀行提交註冊碼用戶獲得註冊碼後,可以持相關證件和該註冊碼到另一家銀行的營業網點進行籤約,要求進行數字證書跨行通用。
(2)銀行向註冊申報系統提交請求銀行操作員根據用戶提交的註冊碼,登錄CA的註冊申報系統提交請求,要求查詢與註冊碼相對應的用戶數字證書DN。
(3)註冊申報系統查詢對應的DN註冊申報系統接收到銀行提交的註冊碼後,在資料庫中查詢是否有與其相對應的DN。若有則返回對應於該註冊碼的用戶數字證書DN;若未在資料庫中查詢到對應的DN,則說明輸入的註冊碼有錯或用戶的註冊碼過期或用戶從未進行過註冊。
(4)返回DN註冊申報系統向銀行端返回查詢到的DN信息。
圖5是本發明的數字證書跨行通用註冊申報系統模塊組成。包括用戶端子系統和銀行端子系統。
(1)用戶端子系統用戶端子系統主要負責處理最終用戶進行的數字證書跨行註冊申報操作,包括註冊碼生成模塊、註冊碼維護模塊、註冊碼查詢模塊、籤約信息查詢模塊。
i)註冊碼生成模塊●功能用於用戶數字證書DN的提取,註冊碼的生成,並將註冊碼和DN存儲到資料庫中。
●描述驗證數字證書是否有效,若有效則將其數字證書中的DN值取出來。因為DN有一定的標準,所以要判斷該DN是否符合標準,如果符合的話,再進一步判斷該DN或者說該數字證書是否已經籤過約,也就是說該DN已經有對應的註冊碼存在,如果有對應的註冊碼存在則證明該數字證書已籤約,如果沒有系統自動生成新的註冊碼,並將該註冊碼和DN對應後放到資料庫中,同時把註冊碼返回給用戶,用戶得到註冊碼。
ii)註冊碼維護模塊●功能用於註冊碼和DN表的管理,定期清理過期的註冊碼。支持通過瀏覽器進行在線管理。
●描述因為註冊碼申請後都是有有效期的,如果在有效期內該註冊碼沒有到銀行進行籤約,那麼這個註冊碼就會自動失效,成為過期的註冊碼。如果籤約用戶將數字證書註銷掉,那麼系統將把DN和註冊碼的綁定關係取消,並將綁定記錄從資料庫中刪除。
iii)註冊碼查詢模塊●功能用於用戶數字證書DN的提取,為用戶提供通過Internet基於用戶數字證書DN查詢自己的註冊碼的接口。
iv)籤約信息查詢模塊用於用戶數字證書DN的提取,為用戶提供通過Internet基於用戶數字證書DN查詢用戶與各銀行籤約信息的接口。
(2)銀行端子系統銀行端子系統主要負責處理用戶籤約信息的維護操作,這些操作包括籤約信息的查詢、添加、和刪除。
i)信息查詢模塊包括基於註冊碼查詢用戶DN與籤約信息和基於用戶DN查詢籤約信息兩部分。
ii)信息維護模塊對用戶的籤約信息進行添加、刪除操作的模塊。
權利要求
1.一種實現數字證書跨銀行通用的系統,包括數字證書跨行通用註冊申報系統與軟體實現的與銀行業務系統間的接口,具體由資料庫、應用伺服器、Web伺服器、路由器、專網或公共網、客戶端組成。
2.根據權利要求1所述的實現數字證書跨銀行通用的系統,其特徵在於,數字證書跨行通用註冊申報系統,包括用戶端子系統和銀行端子系統(1)用戶端子系統用戶端子系統主要負責處理最終用戶進行的數字證書跨行註冊申報操作,包括註冊碼生成模塊、註冊碼維護模塊、註冊碼查詢模塊、籤約信息查詢模塊i)註冊碼生成模塊●用於用戶數字證書DN的提取,註冊碼的生成,並將註冊碼和DN存儲到資料庫中;●驗證數字證書是否有效,若有效則將其數字證書中的DN值取出來,判斷該DN是否符合標準,如果符合的話,再進一步判斷該DN或者說該數字證書是否已經籤過約,也就是說該DN已經有對應的註冊碼存在,如果有對應的註冊碼存在則證明該數字證書已籤約,如果沒有系統自動生成新的註冊碼,並將該註冊碼和DN對應後放到資料庫中,同時把註冊碼返回給用戶,用戶得到註冊碼;ii)註冊碼維護模塊●用於註冊碼和DN表的管理,定期清理過期的註冊碼,支持通過瀏覽器進行在線管理;●因為註冊碼申請後都是有有效期的,如果在有效期內該註冊碼沒有到銀行進行籤約,這個註冊碼就會自動失效,成為過期的註冊碼,如果籤約用戶將數字證書註銷掉,系統將把DN和註冊碼的綁定關係取消,並將綁定記錄從資料庫中刪除;iii)註冊碼查詢模塊用於用戶數字證書DN的提取,為用戶提供通過Internet基於用戶數字證書DN查詢自己的註冊碼的接口;iv)籤約信息查詢模塊用於用戶數字證書DN的提取,為用戶提供通過Internet基於用戶數字證書DN查詢用戶與各銀行籤約信息的接口;(2)銀行端子系統銀行端子系統主要負責處理用戶籤約信息的維護操作,這些操作包括籤約信息的查詢、添加、和刪除i)信息查詢模塊包括基於註冊碼查詢用戶DN與籤約信息和基於用戶DN查詢籤約信息兩部分;ii)信息維護模塊對用戶的籤約信息進行添加、刪除操作的模塊。
3.根據權利要求1所述的實現數字證書跨銀行通用的系統,其特徵在於,所述應用伺服器可以根據用戶已有數字證書中的DN生成一個唯一的,不重複的編碼,即註冊碼。
4.根據權利要求1所述的實現數字證書跨銀行通用的系統,其特徵在於,所述客戶端包括數字證書用戶訪問數字證書註冊申報系統的客戶端和銀行訪問註冊申報系統的客戶端。
5.根據權利要求4所述的實現數字證書跨銀行通用的系統,其特徵在於,所述數字證書用戶通過專用客戶端軟體或瀏覽器訪問註冊申報系統時,使用已有的數字證書進行數字籤名的方法來實現對用戶身份的認證,並產生會話密鑰來實現用戶端與伺服器端數據的加密傳輸,同時獲取用於註冊申報的編碼,即註冊碼。
6.根據權利要求4所述的實現數字證書跨銀行通用的系統,其特徵在於,所述銀行客戶端根據用戶的註冊碼來提取與註冊碼對應的用戶數字證書的DN。
7.一種用戶數字證書跨行籤約的方法,包括以下步驟①數字證書跨行通用註冊申報系統接受用戶客戶端提出的跨行通用申請;②數字證書跨行通用註冊申報系統驗證用戶已有數字證書的有效性;③系統自動提取用戶數字證書中的DN,並根據一定規則返回用於到另一家銀行進行跨行籤約的註冊碼;④銀行籤約系統接受用戶提交的註冊碼;⑤銀行客戶端根據註冊碼向註冊申報系統提交獲取對應DN的請求;⑥註冊申報系統判斷其有效後,返回用戶數字證書的DN信息。
8.根據權利要求7所述的用戶數字證書跨行籤約的方法,其特徵在於,步驟①數字證書跨行通用註冊申報系統接受用戶客戶端提出的跨行通用申請;具體步驟如下(1)用戶提出跨行申請數字證書跨行通用註冊申報系統接受用戶提出的跨行通用申請,申請的前提就是需要用戶提供自己在某一家銀行申請的,由CA籤發的數字證書,該數字證書是用戶進入註冊申報系統的必要條件,用戶持該張數字證書即可登錄CA的數字證書註冊申報系統,開始後續操作;(2)系統驗證數字證書有效性註冊申報系統接收到用戶的申請之後,需要識別與驗證數字證書用戶身份的真實性、有效性,驗證數字證書有效性;(3)系統提取用戶的DN系統通過程序中的一段命令語言來調用用戶數字證書中的DN,因為籤發數字證書的CA有自己的DN標準,所以要判斷該DN是否符合標準,如果符合的話,再進一步判斷該DN或者說該數字證書是否已經籤過約,也就是說該DN已經有對應的註冊碼存在,如果有對應的註冊碼存在則證明該數字證書已籤約,如果沒有系統生成對應的註冊碼;(4)系統生成註冊碼系統根據該DN生成一個唯一的,與資料庫中原有註冊碼信息不會重複的編碼,作為用戶的註冊碼;(5)返回註冊碼系統將此註冊碼通過用戶操作界面返回給用戶。
9.根據權利要求7所述的用戶數字證書跨行籤約的方法,其特徵在於,步驟②系統驗證數字證書有效性,包括如下5個步驟1)驗證用戶數字證書產生的數字籤名數據;2)驗證用戶數字證書的有效性,追溯到根CA數字證書;3)判斷數字證書的有效期;4)查詢CRL,檢查數字證書是否已經被撤銷;5)查詢ARL,檢查CA數字證書是否被撤銷。
10.根據權利要求7所述的用戶數字證書跨行籤約的方法,其特徵在於,步驟⑤銀行客戶端根據註冊碼向註冊申報系統提交獲取對應DN的請求,具體步驟如下(1)用戶向銀行提交註冊碼用戶獲得註冊碼後,可以持相關證件和該註冊碼到另一家銀行的營業網點進行籤約,要求進行數字證書跨行通用;(2)銀行向註冊申報系統提交請求銀行操作員根據用戶提交的註冊碼,登錄CA的註冊申報系統提交請求,要求查詢與註冊碼相對應的用戶數字證書DN;(3)註冊申報系統查詢對應的DN註冊申報系統接收到銀行提交的註冊碼後,在資料庫中查詢是否有與其相對應的DN,若有則返回對應於該註冊碼的用戶數字證書DN;若未在資料庫中查詢到對應的DN,則說明輸入的註冊碼有錯或用戶的註冊碼過期或用戶從未進行過註冊;(4)返回DN註冊申報系統向銀行端返回查詢到的DN信息。
全文摘要
本發明涉及信息安全技術領域,特別是通過數字數據傳輸實現數字證書跨銀行通用的系統與方法。系統包括數字證書跨行通用註冊申報系統與銀行的接口,由資料庫、應用伺服器、Web伺服器、路由器、專網或公共網、客戶端組成。方法包括①數字證書跨行通用註冊申報系統接受用戶客戶端提出的跨行申請;②數字證書跨行通用註冊申報系統驗證用戶已有數字證書的有效性;③系統自動提取用戶數字證書的DN,並返回跨行籤約的註冊碼;④銀行籤約系統接受用戶提交的註冊碼;⑤銀行客戶端根據註冊碼向註冊申報系統提交對應DN的請求;⑥註冊申報系統判斷其有效後,返回用戶DN信息。該系統實現了網上銀行用戶只要申請一張數字證書就可在不同銀行的網上銀行中通用。
文檔編號G06Q40/00GK1996371SQ20061014426
公開日2007年7月11日 申請日期2006年11月30日 優先權日2006年11月30日
發明者張昊, 黃蓉嶸, 邵志遠, 史佳樂, 李麗仙 申請人:銀聯金融認證中心有限公司