密钥保护方法和系统技术方案

技术编号:8633480 阅读:205 留言:0更新日期:2013-04-27 17:34
本发明专利技术提出一种密钥保护方法和系统,该方法包括:移动终端接收注册指令,并根据注册指令生成用户公钥和私钥,以及在移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,移动银行服务器将用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成用户公钥证书并保存;移动银行服务器根据用户公钥证书对移动终端发送的加密的用户交易信息进行验证,在验证通过之后,银行综合前置服务器执行交易;移动终端在交易执行之后生成更新私钥保护参数,并将更新私钥保护参数发送至移动银行服务器,移动终端接收移动银行服务器更新成功结果,根据更新私钥保护参数对用户私钥进行加密存储。根据本发明专利技术可增加攻击的难度,提高安全性。

【技术实现步骤摘要】

本专利技术涉及信息安全
,特别涉及一种密钥保护方法和一种密钥保护系统。
技术介绍
近年来,伴随互联网以及金融信息化的快速发展,网上银行因其便利、高效等优点迅速得到用户和银行业界的普遍推崇,其中数字证书是通过网上银行进行交易时用户和银行服务器的身份标识,可以保证网上交易的安全。目前,用户公钥证书的生成均由银行服务器完成,经过第三方电子商务认证服务器认证之后再下发给用户所使用的终端。存在的问题是,银行服务器在下发的用户公钥证书给终端的过程中,银行服务器可能不知道所发送的具体终端,从而有可能遭到拦截,用户公钥证书在下发的过程中存在被盗取的安全隐患,同时在交易的过程中不能保证用户私钥的安全,存在安全隐患。
技术实现思路
本专利技术的目的旨在至少解决上述技术缺陷之一。为达到上述目的,本专利技术 第一个目的在于提出一种密钥保护方法,该方法包括以下步骤a、移动终端接收注册指令,并根据所述注册指令生成用户公钥和私钥,以及在所述移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,所述移动银行服务器将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书并保存山、所述移动银行服务器根据所述用户公钥证书对所述移动终端发送的加密的用户交易信息进行验证,在验证通过之后,所述银行综合前置服务器执行交易;以及C、所述移动终端在所述交易执行之后生成更新私钥保护参数,并将所述更新私钥保护参数发送至所述移动银行服务器,所述移动终端接收所述移动银行服务器更新成功结果,根据更新私钥保护参数对所述用户私钥进行加密存储。根据本专利技术实施例的密钥保护方法,在移动终端生成用户公钥和私钥,并通过移动银行服务器和银行综合前置服务器多方对移动终端进行验证,并在验证之后移动银行服务器将用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成用户公钥证书,同时在交易时,移动银行服务器可以通过用户公钥证书进行验证,并在交易完成更新用户私钥的私钥保护参数,由此,在用户公钥证书的生成中移动银行服务器经过对移动终端进行验证,可以明确知道与自己通信的是哪个移动终端,防止假冒移动终端与移动银行服务器进行交互,保证了安全,增加攻击的难度,同时在交易的过程中通过用户公钥证书进行验签,可以保证交易安全性,且在交易执行之后更新私钥保护参数以对用户私钥进行加密存储,进一步保证安全性。为达到上述目的,本专利技术第二个目的在于提出一种密钥保护系统,该系统包括移动终端、移动银行服务器和银行综合前置服务器,其中,所述移动终端,用于接收注册指令,并根据所述注册指令生成用户公钥和私钥;所述移动银行服务器在移动终端进行注册时,将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书并保存;所述移动银行服务器根据所述用户数字证书对所述移动终端发送的加密的用户交易信息进行验证,并在验证通过之后,所述银行综合前置服务器执行交易;所述移动终端在所述交易执行之后生成更新私钥保护参数,并将所述更新私钥保护参数发送至所述移动银行服务器,所述移动终端接收所述移动银行服务器更新成功结果,根据更新私钥保护参数对所述用户私钥进行加密存储。根据本专利技术实施例的密钥保护系统,在移动终端生成用户公钥和私钥,并通过移动银行服务器和银行综合前置服务器多方对移动终端进行验证,并在验证之后移动银行服务器将用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成用户公钥证书,同时在交易时,移动银行服务器可以通过用户公钥证书进行验证,并在交易完成更新用户私钥的私钥保护参数,由此,在用户公钥证书的生成中移动银行服务器经过对移动终端进行验证,可以明确知道与自己通信的是哪个移动终端,防止假冒移动终端与移动银行服务器进行交互,保证了安全,增加攻击的难度,同时在交易的过程中通过用户公钥证书进行验签,可以保证交易安全性,且在交易执行之后更新私钥保护参数以对用户私钥进行加密存储,进一步保证安全性。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中图1为本专利技术实施例的密钥保护方法的流程图;图2为本专利技术一个实施例的用户公钥证书生成方法的流程 图3为本专利技术另一个实施例的用户公钥证书生成方法的流程图;图4为本专利技术一个实施例的交易方法的流程图;图5为本专利技术另一个实施例的交易方法的流程图;图6为本专利技术一个实施例的用户私钥的存储方法的流程图;以及图7为根据本专利技术实施例的密钥保护系统的结构框图。具体实施例方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能理解为对本专利技术的限制。相反,本专利技术的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。在本专利技术的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本专利技术的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本专利技术中的具体含义。此外,在本专利技术的描述中,除非另有说明,“多个”的含义是两个或两个以上。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本专利技术的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本专利技术的实施例所属
的技术人员所理解。下面参考附图描述根据本专利技术实施例的密钥保护方法和密钥保护系统。图1为本专利技术实施例的密钥保护方法的流程图。如图1所示,根据本专利技术实施例的密钥保护方法包括下述步骤步骤S101,移动终端接收注册指令,并根据注册指令生成用户公钥和私钥,以及在移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,移动银行服务器将用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成用户公钥证书并保存。具体地,移动终端下载银行客户端软件,移动终端通过银行客户端软件进行注册,当移动终端接收到用户的注册指令之后,在移动终端中生成用户公钥和私钥,并在注册的过程中移动银行服务器和银行综合前置服务器对移动终端的身份进行认证,如果移动终端的身份认证通过之后,移动银行服务器将用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成用户公钥证书并保存,其中用户公钥证书存储在移动银行服务器和银行综合前置服务器中。步骤S102,移动银行服务器根据用户公钥证书对移动终端发送的加密的用户交易信息进行验证,在验证通过之后,银行综合前置服务器执行交易。`具体地,用户公钥证书生成之后,用户可以通过移动终端与移动银行服务器和银行综合前置服务器进行交易,移动银行服务器根据存储的用户公钥证书对移本文档来自技高网
...

【技术保护点】
一种密钥保护方法,其特征在于,该方法包括:a、移动终端接收注册指令,并根据所述注册指令生成用户公钥和私钥,以及在所述移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,所述移动银行服务器将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书并保存;b、所述移动银行服务器根据所述用户公钥证书对所述移动终端发送的加密的用户交易信息进行验证,在验证通过之后,所述银行综合前置服务器执行交易;以及c、所述移动终端在所述交易执行之后生成更新私钥保护参数,并将所述更新私钥保护参数发送至所述移动银行服务器,所述移动终端接收所述移动银行服务器更新成功结果,根据更新私钥保护参数对所述用户私钥进行加密存储。

【技术特征摘要】
1.一种密钥保护方法,其特征在于,该方法包括a、移动终端接收注册指令,并根据所述注册指令生成用户公钥和私钥,以及在所述移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,所述移动银行服务器将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书并保存;b、所述移动银行服务器根据所述用户公钥证书对所述移动终端发送的加密的用户交易信息进行验证,在验证通过之后,所述银行综合前置服务器执行交易;以及C、所述移动终端在所述交易执行之后生成更新私钥保护参数,并将所述更新私钥保护参数发送至所述移动银行服务器,所述移动终端接收所述移动银行服务器更新成功结果,根据更新私钥保护参数对所述用户私钥进行加密存储。2.根据权利要求1所述的方法,其特征在于,所述步骤a包括al、所述移动终端获取移动银行服务器的公钥和银行综合前置服务器的公钥,对所述移动银行服务器的公钥和所述银行综合前置服务器的公钥进行验证,以及在验证通过之后根据所述注册指令与所述移动银行服务器建立连接,并生成所述用户公钥和私钥;a2、所述移动终端根据所述移动银行服务器的公钥对账号信息、第一验证信息以及第一随机加密参数进行加密,并将加密之后的信息发送至所述移动银行服务器;a3、所述移动银行服务器根据所述移动银行服务器的私钥对来自所述移动终端的信息进行解密,以获得所述账号信息、第一验证信息以及第一随机加密参数,并对所述第一验证信息进行验证,验证通过后将所述账号信息发送至银行综合前置服务器;a4、所述银行综合前置服务器对来自所述移动银行服务器的所述账号信息进行验证,发送验证结果至所述移动银行服务器;a5、在所述验证结果为正确时,所述移动银行服务器生成第二随机加密参数和第二验证信息,并将所述第二随机加密参数和第二验证信息发送至所述移动终端;a6、所述移动终端根据所述第一随机加密参数和第二随机加密参数加密所述第二验证信息和用户公钥生成第三验证信息,并将所述第三验证信息发送至所述移动银行服务器;以及a7、所述移动银行服务器对来自所述移动终端的所述第三验证信息进行验证,并在验证通过后将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书。3.根据权利要求2所述的方法,其特征在于,所述步骤a2还包括所述移动终端根据所述移动银行服务器的公钥对所述移动终端的硬件信息进行加密,其中,所述硬件信息为硬件特征信息或硬件特征信息的哈希值,所述硬件特征信息包括设备序列号和/或网卡的MAC地址。4.根据权利要求3所述的方法,其特征在于,所述账号信息包括手机号码、银行卡号和登录密码,所述步骤a2包括所述移动终端接收所述移动银行服务器生成的所述第一验证信息,其中所述第一验证信息为图形验证码;以及所述移动终端根据所述移动银行服务器的公钥对所述手机号码、银行卡号、计算得到的登录密码的哈希值、硬件信息、第一随机加密参数和第一验证信息进行加密,并将加密之后的信息发送至所述移动银行服务器,其中所述第一随机加密参数由所述移动终端生成。5.根据权利要求2所述的方法,其特征在于,所述步骤a5中将所述第二随机加密参数和所述第二验证信息发送至所述移动终端的步骤包括所述移动银行服务器根据所述第一随机加密参数对所述第二随机加密参数进行加密,并将加密后的所述第二随机加密参数发送至所述移动终端,以及将所述第二验证信息以短信的形式发送至所述移动终端。6.根据权利要求5所述的方法,其特征在于,将所述第二随机加密参数和所述第二验证信息发送至所述移动终端的步骤之后,步骤a6之前,所述方法还包括所述移动终端根据所述第一随机加密参数对加密后的所述第二随机加密参数进行解密,获得所述第二随机加密参数;并接收用户输入的第二验证信息。7.根据权利要求3所述的方法,其特征在于,所述步骤a6包括所述移动终端根据所述第一随机加密参数和第二随机加密参数对所述第二验证信息和用户公钥进行加密以生成所述第三验证信息,并根据所述用户私钥对所述硬件信息进行签名以生成第一签名信息,并将所述第三验证信息、用户公钥和第一签名信息发送至所述移动银行服务器。8.根据权利要求7所述的方法,其特征在于,所述步骤a7中所述移动银行服务器对来自所述移动终端的所述第三验证信息进行验证的步骤包括所述移动银行服务器根据存储的所述第一随机加密参数和第二随机加密参数对所述第二验证信息和用户公钥进行加密以生成第四验证信息,并根据所述用户公钥对所述第一签名信息进行验签,并判断所述第三验证信息与所述第四验证信息是否一致,所述第一签名信息是否通过验签;如果一致并通过验签,则验证通过。9.根据权利要求2或7所述的方法,其特征在于,步骤a6中所述生成第三验证信息的步骤包括根据所述第一随机加密参数和所述第二随机加密参数对所述第二验证信息和用户公钥进行分段做MAC。10.根据权利要求1所述的方法,其特征在于,所述步骤b包括bl、移动终端接收用户的交易信息,并生成第一随机数,其中所述交易信息至少包括交易账号和交易金额;b2、所述移动终端根据所述第一随机数、移动终端的硬件信息、用户私钥、移动银行服务器的公钥及银行综合前置服务器的公钥对所述交易信息进行加密以生成交易报文,并将所述交易报文发送至所述移动银行服务器,其中所述硬件信息为硬件特征信息或硬件特征信息的哈希值;b3、所述移动银行服务器根据所述移动银行服务器的私钥和存储的所述移动终端的硬件信息对所述交易报文进行解密,并根据所述用户公钥证书进行验证;b4、如果验证通过,所述移动银行服务器生成加密密钥,并根据所述加密密钥、移动银行服务器的私钥、银行综合前置服务器的公钥和交易信息生成数字信封,并将所述数字信封发送至所述银行综合前置服务器;以及b5、所述银行综合前置服务器根据所述银行综合前置服务器的私钥和移动银行服务器的公钥对所述数字信封进行解密获取所述交易信息,并根据所述移动银行服务器的公钥进打验签,并在通过验签后,完成交易。11.根据权利要求10方法,其特征在于,所述步骤b2包括所述移动终端根据所述银行综合前置服务器的公钥对交易密码或交易密码的哈希值进行加密获得交易密码的密文,并根据所述用户私钥对所述交易信息和所述交易密码的密文进行签名以生成第一数字签名;所述移动终端根据所述第一随机数和所述移动终端的硬件信息生成加密参数密钥,并根据所述加密参数密钥对所述交易信息和所述交易密码的密文进行加密以生成第一报文密文;所述移动终端根据所述移动银行服务器的公钥对所述第一随机数进行加密以生成第一密钥密文;以及所述移动终端将所述第一数字签名、所述第一报文密文和所述第一密钥密文作为所述交易报文发送至所述移动银行服务器。12.根据权利要求11所述的方法,其特征在于,所述步骤b3包括以下步骤所述移动银行服务器根据所述移动银行服务器的私钥对所述第一密钥密文进行解密以获取所述第一随机数;所述移动银行服务器根据所述第一随机数和存储的所述移动终端的硬件信息生成所述加密参数密钥,并根据所述加密参数密钥对所述第一报文密文进行解密以获取所述交易信息和所述交易密码的密文;以及所述移动银行服务器根据存储的所述用户公钥证书对所述第一数字签名进行验签。13.根据权利要求12所述的方法,其特征在于,所述步骤b4包括所述移动银行服务器生成所述加密密钥;所述移动银行服务器根据所述加密密钥对所述交易信息和所述交易密码的密文进行加密以生成第二报文密文;所述移动银行服务器根据所述银行综合前置服务器的公钥对所述加密密钥进行加密以生成第二密钥密文;所述移动银行服务器根据所述移动银行服务器的私钥对所述交易信息和所述交易密码的密文进行签名以生成第二数字签名;以及所述移动银行服务器将所述第二数字签名、所述第二报文密文和所述第二密钥密文作为所述数字信封发送至所述银行综合前置服务器。14.根据权利要求13所述的方法,其特征在于,所述步骤b5包括所述银行综合前置服务器根据所述银行综合前置服务器的私钥对所述第二密钥密文进行解密以获取所述加密密钥;所述银行综合前置服务器根据所述加密密钥对所述第二报文密文进行解密以获取所述交易信息和所述交易密码的密文;所述银行综合前置服务器根据所述移动银行服务器的公钥对所述第二数字签名进行验签;以及如果通过验签,则所述银行综合前置服务器根据所述交易信息完成交易。15.根据权利要求12所述的方法,其特征在于,所述加密密钥为对称加密密钥。16.根据权利要求1所述的方法,其特征在于,所述步骤c包括Cl、移动终端在预设区域加密存储由所述用户私钥生成的用户私钥文件;c2、所述移动终端在所述交易时进行用户身份验证,并在验证通过之后生成第二随机数,根据所述第二随机数从所述移动银行服务器获取第一私钥保护参数和第二私钥保护参数;c3、所述移动终端根据所述第二私钥保护参数解密所述存储的用户私钥文件,并验证解密之后的所述用户私钥文件;c4、如果所述用户私钥文件通过验证,则根据所述用户私钥文件执行交易,并更新私钥保护参数更新标识;c5、如果所述用户私钥文件未通过验证,则根据所述第一私钥保护参数解密所述存储的用户私钥文件,并验证解密之后的所述用户私钥文件;c6、如果所述用户私钥文件通过验证,则根据所述用户私钥文件执行交易,并更新所述私钥保护参数更新标识;c7、所述移动终端根据接收到的交易结果生成更新私钥保护参数,发送所述更新私钥保护参数及所述私钥保护参数更新标识至移动银行服务器;以及c8、所述移动终端根据所述移动银行服务器的更新成功结果,利用更新私钥保护参数对所述用户私钥重新进行加密存储。17.根据权利要求16所述的方法,其特征在于,所述步骤Cl包括根据用户私钥保护密钥对所述用户私钥文件进行加密并存储;所述用户私钥文件包括用户私钥和所述移动终端的硬件信息;以及所述用户私钥保护密钥为由所述移动终端的硬件信息/硬件特征信息的哈希值的全部或部分信息、登录密码/登陆密码的哈希值的全部或部分信息和私钥保护参数生成。18.根据权利要求16所述的方法,其特征在于,所述步骤c4或c6中更新所述私钥保护参数更新标识的步骤包括根据解密所述用户私钥文件的所述第一私钥保护参数或第二私钥保护参数更新所述私钥保护参数更新标识。19.根据权利要求16所述的方法,其特征在于,所述步骤c7和所述步骤c8之间还包括如果所述私钥保护参数更新标识为所述第二私钥保护参数对应的标识,则所述移动银行服务器根据所述更新私钥保护参数更新所述第二私钥保护参数,并根据所述第二私钥保护参数更新所述第一私钥保护参数;如果所述私钥保护参数更新标识为所述第一私钥保护参数对应的标识,则所述移动银行服务器根据所述更新私钥保护参数更新所述第二私钥保护参数;所述移动银行服务器返回更新成功结果至所述移动终端。20.根据权利要求19所述的方法,其特征在于,所述步骤c7所述发送所述更新私钥保护参数及所述私钥保护参数更新标识至移动银行服务器包括所述移动终端根据所述移动银行服务器的公钥对所述更新私钥保护参数和所述私钥保护参数更新标识进行加密,并将加密之后的所述更新私钥保护参数和所述私钥保护参数更新标识发送至所述移动银行服务器;所述步骤c7和所述步骤c8之间还包括所述移动银行服务器根据所述移动银行服务器的私钥对所述移动终端发送的信息进行解密以获取所述更新私钥保护参数和所述私钥保护参数更新标识。21.根据权利要求16所述的方法,其特征在于,步骤c3中所述验证解密之后的所述用户私钥文件包括利用所述硬件信息验证解密之后的所述用户私钥文件。22.根据权利要求16-21任一项所述的方法,其特征在于,步骤c2中所述根据所述第二随机数从移动银行服务器获取第一私钥保护参数和第二私钥保护参数的步骤包括所述移动终端根据所述移动银行服务器的公钥对所述第二随机数进行加密,并将加密之后的所述第二随机数发送至所述移动银行服务器;所述移动银行服务器根据所述移动银行服务器的私钥对所述移动终端发送的加密信息进行解密以获取...

【专利技术属性】
技术研发人员:李东声
申请(专利权)人:天地融科技股份有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1