本发明专利技术公开了一种文件数字证书安全控制方法及系统,解决目前的文件数字证书安全性低,易被盗取的问题。所述方法包括:在数字证书客户端生成唯一的设备识别码,发送给服务器;服务器验证所述设备识别码是否与登记的设备识别码相同,若相同,则验证通过;若不同,服务器对数字证书使用者的身份进行核实,若核实通过,则重新建立新的设备识别码与数字证书的对应关系;若核实未通过,则验证过程失败。本发明专利技术提高了文件数字证书的安全性,可以有效防止不法分子窃取他人文件证书后。而且,本发明专利技术对用户使用文件数字证书的操作流程影响非常小。
【技术实现步骤摘要】
本专利技术涉及数字证书技术,特别是涉及一种文件数字证书安全控制方法及 系统。
技术介绍
目前,为了提高身份验证的可靠性,互联网业务中广泛采用了数字证书方式标识信息系统使用者的合法身份。数字证书一般采用两种方式存储 一种是 以硬件USB Key (是一种智能存储设备,可用于存放网银证书,可进行数字签 名和签名验证的运算)作为存储介质的移动证书, 一种是以文件形式保存于硬 盘等普通存储介质中的文件数字证书。其中,移动证书通过USBKey中的安全控制芯片以硬件方式保护数字证书 的安全,在正常情况下,不法分子无法从USBKey中复制出数字证书,除非窃 取用户的USB Key,其他人一般无法冒用用户的数字证书身份信息伪冒用户身 份进行欺诈活动。因此,移动证书的可靠性相对较高。而文件数字证书通常以文件形式保存在用户的计算机中,依靠安全控制系 统(如IE浏览器、客户端软件等)以软件方式保护其安全。由于文件数字证 书保存在用户计算机中,移动应用性较差,因此为便于用户在其他计算机中使 用,所述安全控制软件提供了文件数字证书导出功能,在用户不进行安全限制 的情况下,不法分子可以轻易地利用该功能窃取用户的文件数字证书。因此, 文件数字证书的安全性相对寿交低。以IE浏览器中的数字证书管理为例,具体说明不法分子盗取文件数字证 书的过程。用户将数字证书下载后导入IE浏览器中,导入时由用户选择是否 可以备份密钥。为了可以在其他计算机中使用,大多数用户均选择可以备份密 钥,也就是说,用户可以将IE浏览器中的数字证书(包括密钥)导出,复制 到其他计算机中。因此,不法分子可通过在用户计算机中植入木马或病毒,由 木马或病毒调用IE浏览器的证书导出功能,非法获得用户的数字证书,然后 将数字证书导入其他计算机中进行使用,窃取用户的账户资金。由上例可知,文件数字证书极易被盗取,安全问题存在隐患。但在实际应用中,虽然移动证书的安全性相对较高,但是由于移动证书使用USBKey保存 证书,用户需要另行购买USB Key硬件设备,增加了用户的使用成本;同时, 大多数USBKey使用时需安装驱动程序,用户易用性相对较差。从目前数字证 书的使用情况来看,大多数用户仍然广泛使用保存于硬盘等普通存储介质中的 文件数字证书。因此,文件数字证书的安全性问题急待解决。
技术实现思路
本专利技术所要解决的技术问题是提供一种文件数字证书安全控制方法及系 统,以解决目前的文件数字证书安全性低,易被盗取的问题。为解决上述技术问题,根据本专利技术提供的具体实施例,本专利技术公开了以下 技术方案文件数字证书安全控制方法,包括在数字证书客户端生成唯一的设备识别码,发送给服务器; 服务器验证所述设备识别码是否与登记的设备识别码相同,若相同,则验 证通过;若不同,服务器对数字证书使用者的身份进行核实,若核实通过,则重新 建立新的设备识别码与数字证书的对应关系;若核实未通过,则验证过程失败。优选的,所述方法还包括服务器生成随机密钥,发送给申请验证的客户 端;客户端利用所述密钥对设备识别码进行加密后,再发送给服务器;相应的, 服务器解密获得设备识别码后,再进行验证。其中,所述服务器登记设备识别码的步骤包括客户端第一次生成设备识 别码并发送给服务器时,服务器将该设备识别码与对应该客户端的文件数字证 书绑定。其中,所述数字证书客户端生成唯一设备识别码的步骤包括获取至少一 个计算机设备的标识信息,并进行字符变换;对变换后的字符串进行移位和异 或操作;釆用信息-摘要算法计算字符串,生成设备识别码。或者,所述数字证书客户端生成唯一设备识别码的步骤包括获取至少一 个计算机设备的标识信息,并进行字符变换;采用安全哈希算法计算字符串, 生成消息摘要;对所述消息摘要进行移位和异或操作;再次进行字符变换,生成设备识别码。其中,所述计算机设备的标识信息包括CPU序列号、硬盘序列号及网卡MAC地址。其中,所述身份核实包括核实数字证书使用者的姓名、身份证号及联系电话。文件数字证书安全控制系统,包括 计算机设备,用于保存文件数字证书;专用插件,安装于所述计算机设备,用于生成唯一的设备识别码,并通过 计算机设备发送给验证服务器;验证服务器,用于验证所述计算机设备发来的设备识别码是否与登记的设 备识别码相同,若相同,则验证通过;若不同,则对数字证书使用者的身份进 行核实,若核实通过,则重新建立新的设备识别码与数字证书的对应关系;若 核实未通过,则验证过程失败。优选的,所述专用插件将设备识别码发送给验证服务器的过程包括专用 插件通过计算机设备向验证服务器发送验证设备识别码请求;验证服务器生成 随机密钥,通过计算机设备发送给专用插件;专用插件利用所述密钥对设备识 别码进行加密,并发送给验证服务器;验证服务器解密获得设备识别码后,再 进行验证。其中,所述验证服务器在第一次收到计算机设备发来的设备识别码时,将 该设备识别码与对应该计算机设备的文件数字证书绑定。其中,所述专用插件利用计算机设备的CPU序列号、硬盘序列号及网卡 MAC地址计算生成唯一的设备识别码。一种用于文件数字证书安全控制的客户端装置,包括采集单元,用于收集用户计算机的标识信息;计算单元,用于对所述标识信息计算生成唯一的设备识别码;加密单元,用于对所述i殳备识别码进行加密处理。其中,所述加密单元利用验证服务器发来的随机密钥对设备识别码进行加密。其中,所述釆集单元收集的计算机标识信息包括CPU序列号、硬盘序列号 及网卡MAC地址。其中,所述计算单元保存有字符变换表,用于在生成设备识别码的过程中, 对计算机标识信息进行字符变换。根据本专利技术提供的具体实施例,本专利技术公开了以下技术效果本专利技术实施例提供了 一种基于设备识别码的文件数字证书防盗系统及方 法,利用设备识别码唯一标识一台计算机设备,将用户使用的文件数字证书与 其计算机的设备识别码绑定,并在身份验证时将文件证书与该设备识别码相结合进行验证身份验证机构首先判别用户计算机的设备识别码,对发起文件数 字证书验证请求的计算机验证是否发生变化,如果发生变化则需要用户进行附 加的身份验证,从而有效防止不法分子窃取他人文件证书后,将证书导入其他 计算机中伪冒合法用户进行的欺诈活动。本专利技术提高了文件数字证书的安全 性。而且,采用所述验证技术后,对设备识别码的验证过程在后台进行,用户 使用文件数字证书的流程与原来的流程相同,仅在用户将文件数字证书导入其 它计算机使用,或者更换计算机中用于计算设备识别码的主要部件(如CPU、 硬盘、网卡等部件)时才需要进行附加的身份验证。因此,对用户使用文件数 字证书的操作流程影响非常小。附图说明图1是本专利技术所述文件数字证书安全控制方法实施例的步骤流程图2是本专利技术实施例所述文件数字证书安全控制系统的结构图3是插件与用户计算机设备10及验证服务器20的数据交互关系示意图4是本专利技术所述一种用于文件数字证书安全控制的客户端装置的结构 示意图。具体实施例方式为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本专利技术作进一步详细的说明。本专利技术实施例提出一种基于设备识别码的文件数字证书安全控制方法及 系统,利用设备识别码唯一标识一台计算机设备,将用户使用的文件数字证书与其计算机的设备识别码绑本文档来自技高网...
【技术保护点】
文件数字证书安全控制方法,其特征在于,包括: 在数字证书客户端生成唯一的设备识别码,发送给服务器; 服务器验证所述设备识别码是否与登记的设备识别码相同,若相同,则验证通过; 若不同,服务器对数字证书使用者的身份进行核实,若核实通过,则重新建立新的设备识别码与数字证书的对应关系;若核实未通过,则验证过程失败。
【技术特征摘要】
1、文件数字证书安全控制方法,其特征在于,包括在数字证书客户端生成唯一的设备识别码,发送给服务器;服务器验证所述设备识别码是否与登记的设备识别码相同,若相同,则验证通过;若不同,服务器对数字证书使用者的身份进行核实,若核实通过,则重新建立新的设备识别码与数字证书的对应关系;若核实未通过,则验证过程失败。2、 根据权利要求1所述的方法,其特征在于,还包括服务器生成随机 密钥,发送给申请验证的客户端;客户端利用所述密钥对设备识别码进行加密 后,再发送给服务器;相应的,服务器解密获得设备识别码后,再进行验证。3、 根据权利要求1所述的方法,其特征在于,所述服务器登记设备识别 码的步骤包括客户端第一次生成设备识别码并发送给服务器时,服务器将该 设备识别码与对应该客户端的文件数字证书绑定。4、 根据权利要求1所述的方法,其特征在于,所述数字证书客户端生成 唯一设备识别码的步骤包括获取至少一个计算机设备的标识信息,并进行字符变换;对变换后的字符串进行移位和异或操作;采用信息_摘要算法计算字符串,生成设备识别码。5、 根据权利要求1所述的方法,其特征在于,所述数字证书客户端生成 唯一设备识别码的步骤包括获取至少 一个计算机设备的标识信息,并进行字符变换; 采用安全哈希算法计算字符串,生成消息摘要; 对所述消息摘要进行移位和异或操作; 再次进行字符变换,生成设备识别码。6、 根据权利要求4或5所述的方法,其特征在于所述计算机设备的标 识信息包括CPU序列号、硬盘序列号及网卡MAC地址。7、 根据权利要求1所述的方法,其特征在于所述身份核实包括核实数 字证书使用者的姓名、身份证号及联系电话。8、 文件数字证书安全控制系统,其特征在于,包括计算机设备,用于保存文件数字证书;专用插件,安装于所述计算机设备,...
【专利技术属性】
技术研发人员:彭桂林,袁晓寒,闵勇,陈晨,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。