【技术实现步骤摘要】
本专利技术涉及信息安全
,特别涉及一种密钥保护方法和一种密钥保护系统。
技术介绍
近年来,伴随互联网以及金融信息化的快速发展,网上银行因其便利、高效等优点迅速得到用户和银行业界的普遍推崇,其中数字证书是通过网上银行进行交易时用户和银行服务器的身份标识,可以保证网上交易的安全。目前,用户公钥证书的生成均由银行服务器完成,经过第三方电子商务认证服务器认证之后再下发给用户所使用的终端。存在的问题是,银行服务器在下发的用户公钥证书给终端的过程中,银行服务器可能不知道所发送的具体终端,从而有可能遭到拦截,用户公钥证书在下发的过程中存在被盗取的安全隐患,同时在交易的过程中不能保证用户私钥的安全,存在安全隐患。
技术实现思路
本专利技术的目的旨在至少解决上述技术缺陷之一。为达到上述目的,本专利技术 第一个目的在于提出一种密钥保护方法,该方法包括以下步骤a、移动终端接收注册指令,并根据所述注册指令生成用户公钥和私钥,以及在所述移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,所述移动银行服务器将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书并保存山、所述移动银行服务器根据所述用户公钥证书对所述移动终端发送的加密的用户交易信息进行验证,在验证通过之后,所述银行综合前置服务器执行交易;以及C、所述移动终端在所述交易执行之后生成更新私钥保护参数,并将所述更新私钥保护参数发送至所述移动银行服务器,所述移动终端接收所述移动银行服务器更新成功结果,根据更新私钥保护参数对所述用户私钥进行加密存储。根据本专利技术实施例的密钥保护方法,在移动终...
【技术保护点】
一种密钥保护方法,其特征在于,该方法包括:a、移动终端接收注册指令,并根据所述注册指令生成用户公钥和私钥,以及在所述移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,所述移动银行服务器将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书并保存;b、所述移动银行服务器根据所述用户公钥证书对所述移动终端发送的加密的用户交易信息进行验证,在验证通过之后,所述银行综合前置服务器执行交易;以及c、所述移动终端在所述交易执行之后生成更新私钥保护参数,并将所述更新私钥保护参数发送至所述移动银行服务器,所述移动终端接收所述移动银行服务器更新成功结果,根据更新私钥保护参数对所述用户私钥进行加密存储。
【技术特征摘要】
1.一种密钥保护方法,其特征在于,该方法包括a、移动终端接收注册指令,并根据所述注册指令生成用户公钥和私钥,以及在所述移动终端通过移动银行服务器和银行综合前置服务器的身份认证时,所述移动银行服务器将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书并保存;b、所述移动银行服务器根据所述用户公钥证书对所述移动终端发送的加密的用户交易信息进行验证,在验证通过之后,所述银行综合前置服务器执行交易;以及C、所述移动终端在所述交易执行之后生成更新私钥保护参数,并将所述更新私钥保护参数发送至所述移动银行服务器,所述移动终端接收所述移动银行服务器更新成功结果,根据更新私钥保护参数对所述用户私钥进行加密存储。2.根据权利要求1所述的方法,其特征在于,所述步骤a包括al、所述移动终端获取移动银行服务器的公钥和银行综合前置服务器的公钥,对所述移动银行服务器的公钥和所述银行综合前置服务器的公钥进行验证,以及在验证通过之后根据所述注册指令与所述移动银行服务器建立连接,并生成所述用户公钥和私钥;a2、所述移动终端根据所述移动银行服务器的公钥对账号信息、第一验证信息以及第一随机加密参数进行加密,并将加密之后的信息发送至所述移动银行服务器;a3、所述移动银行服务器根据所述移动银行服务器的私钥对来自所述移动终端的信息进行解密,以获得所述账号信息、第一验证信息以及第一随机加密参数,并对所述第一验证信息进行验证,验证通过后将所述账号信息发送至银行综合前置服务器;a4、所述银行综合前置服务器对来自所述移动银行服务器的所述账号信息进行验证,发送验证结果至所述移动银行服务器;a5、在所述验证结果为正确时,所述移动银行服务器生成第二随机加密参数和第二验证信息,并将所述第二随机加密参数和第二验证信息发送至所述移动终端;a6、所述移动终端根据所述第一随机加密参数和第二随机加密参数加密所述第二验证信息和用户公钥生成第三验证信息,并将所述第三验证信息发送至所述移动银行服务器;以及a7、所述移动银行服务器对来自所述移动终端的所述第三验证信息进行验证,并在验证通过后将所述用户公钥发送至第三方电子商务认证服务器进行认证签名,以生成所述用户公钥证书。3.根据权利要求2所述的方法,其特征在于,所述步骤a2还包括所述移动终端根据所述移动银行服务器的公钥对所述移动终端的硬件信息进行加密,其中,所述硬件信息为硬件特征信息或硬件特征信息的哈希值,所述硬件特征信息包括设备序列号和/或网卡的MAC地址。4.根据权利要求3所述的方法,其特征在于,所述账号信息包括手机号码、银行卡号和登录密码,所述步骤a2包括所述移动终端接收所述移动银行服务器生成的所述第一验证信息,其中所述第一验证信息为图形验证码;以及所述移动终端根据所述移动银行服务器的公钥对所述手机号码、银行卡号、计算得到的登录密码的哈希值、硬件信息、第一随机加密参数和第一验证信息进行加密,并将加密之后的信息发送至所述移动银行服务器,其中所述第一随机加密参数由所述移动终端生成。5.根据权利要求2所述的方法,其特征在于,所述步骤a5中将所述第二随机加密参数和所述第二验证信息发送至所述移动终端的步骤包括所述移动银行服务器根据所述第一随机加密参数对所述第二随机加密参数进行加密,并将加密后的所述第二随机加密参数发送至所述移动终端,以及将所述第二验证信息以短信的形式发送至所述移动终端。6.根据权利要求5所述的方法,其特征在于,将所述第二随机加密参数和所述第二验证信息发送至所述移动终端的步骤之后,步骤a6之前,所述方法还包括所述移动终端根据所述第一随机加密参数对加密后的所述第二随机加密参数进行解密,获得所述第二随机加密参数;并接收用户输入的第二验证信息。7.根据权利要求3所述的方法,其特征在于,所述步骤a6包括所述移动终端根据所述第一随机加密参数和第二随机加密参数对所述第二验证信息和用户公钥进行加密以生成所述第三验证信息,并根据所述用户私钥对所述硬件信息进行签名以生成第一签名信息,并将所述第三验证信息、用户公钥和第一签名信息发送至所述移动银行服务器。8.根据权利要求7所述的方法,其特征在于,所述步骤a7中所述移动银行服务器对来自所述移动终端的所述第三验证信息进行验证的步骤包括所述移动银行服务器根据存储的所述第一随机加密参数和第二随机加密参数对所述第二验证信息和用户公钥进行加密以生成第四验证信息,并根据所述用户公钥对所述第一签名信息进行验签,并判断所述第三验证信息与所述第四验证信息是否一致,所述第一签名信息是否通过验签;如果一致并通过验签,则验证通过。9.根据权利要求2或7所述的方法,其特征在于,步骤a6中所述生成第三验证信息的步骤包括根据所述第一随机加密参数和所述第二随机加密参数对所述第二验证信息和用户公钥进行分段做MAC。10.根据权利要求1所述的方法,其特征在于,所述步骤b包括bl、移动终端接收用户的交易信息,并生成第一随机数,其中所述交易信息至少包括交易账号和交易金额;b2、所述移动终端根据所述第一随机数、移动终端的硬件信息、用户私钥、移动银行服务器的公钥及银行综合前置服务器的公钥对所述交易信息进行加密以生成交易报文,并将所述交易报文发送至所述移动银行服务器,其中所述硬件信息为硬件特征信息或硬件特征信息的哈希值;b3、所述移动银行服务器根据所述移动银行服务器的私钥和存储的所述移动终端的硬件信息对所述交易报文进行解密,并根据所述用户公钥证书进行验证;b4、如果验证通过,所述移动银行服务器生成加密密钥,并根据所述加密密钥、移动银行服务器的私钥、银行综合前置服务器的公钥和交易信息生成数字信封,并将所述数字信封发送至所述银行综合前置服务器;以及b5、所述银行综合前置服务器根据所述银行综合前置服务器的私钥和移动银行服务器的公钥对所述数字信封进行解密获取所述交易信息,并根据所述移动银行服务器的公钥进打验签,并在通过验签后,完成交易。11.根据权利要求10方法,其特征在于,所述步骤b2包括所述移动终端根据所述银行综合前置服务器的公钥对交易密码或交易密码的哈希值进行加密获得交易密码的密文,并根据所述用户私钥对所述交易信息和所述交易密码的密文进行签名以生成第一数字签名;所述移动终端根据所述第一随机数和所述移动终端的硬件信息生成加密参数密钥,并根据所述加密参数密钥对所述交易信息和所述交易密码的密文进行加密以生成第一报文密文;所述移动终端根据所述移动银行服务器的公钥对所述第一随机数进行加密以生成第一密钥密文;以及所述移动终端将所述第一数字签名、所述第一报文密文和所述第一密钥密文作为所述交易报文发送至所述移动银行服务器。12.根据权利要求11所述的方法,其特征在于,所述步骤b3包括以下步骤所述移动银行服务器根据所述移动银行服务器的私钥对所述第一密钥密文进行解密以获取所述第一随机数;所述移动银行服务器根据所述第一随机数和存储的所述移动终端的硬件信息生成所述加密参数密钥,并根据所述加密参数密钥对所述第一报文密文进行解密以获取所述交易信息和所述交易密码的密文;以及所述移动银行服务器根据存储的所述用户公钥证书对所述第一数字签名进行验签。13.根据权利要求12所述的方法,其特征在于,所述步骤b4包括所述移动银行服务器生成所述加密密钥;所述移动银行服务器根据所述加密密钥对所述交易信息和所述交易密码的密文进行加密以生成第二报文密文;所述移动银行服务器根据所述银行综合前置服务器的公钥对所述加密密钥进行加密以生成第二密钥密文;所述移动银行服务器根据所述移动银行服务器的私钥对所述交易信息和所述交易密码的密文进行签名以生成第二数字签名;以及所述移动银行服务器将所述第二数字签名、所述第二报文密文和所述第二密钥密文作为所述数字信封发送至所述银行综合前置服务器。14.根据权利要求13所述的方法,其特征在于,所述步骤b5包括所述银行综合前置服务器根据所述银行综合前置服务器的私钥对所述第二密钥密文进行解密以获取所述加密密钥;所述银行综合前置服务器根据所述加密密钥对所述第二报文密文进行解密以获取所述交易信息和所述交易密码的密文;所述银行综合前置服务器根据所述移动银行服务器的公钥对所述第二数字签名进行验签;以及如果通过验签,则所述银行综合前置服务器根据所述交易信息完成交易。15.根据权利要求12所述的方法,其特征在于,所述加密密钥为对称加密密钥。16.根据权利要求1所述的方法,其特征在于,所述步骤c包括Cl、移动终端在预设区域加密存储由所述用户私钥生成的用户私钥文件;c2、所述移动终端在所述交易时进行用户身份验证,并在验证通过之后生成第二随机数,根据所述第二随机数从所述移动银行服务器获取第一私钥保护参数和第二私钥保护参数;c3、所述移动终端根据所述第二私钥保护参数解密所述存储的用户私钥文件,并验证解密之后的所述用户私钥文件;c4、如果所述用户私钥文件通过验证,则根据所述用户私钥文件执行交易,并更新私钥保护参数更新标识;c5、如果所述用户私钥文件未通过验证,则根据所述第一私钥保护参数解密所述存储的用户私钥文件,并验证解密之后的所述用户私钥文件;c6、如果所述用户私钥文件通过验证,则根据所述用户私钥文件执行交易,并更新所述私钥保护参数更新标识;c7、所述移动终端根据接收到的交易结果生成更新私钥保护参数,发送所述更新私钥保护参数及所述私钥保护参数更新标识至移动银行服务器;以及c8、所述移动终端根据所述移动银行服务器的更新成功结果,利用更新私钥保护参数对所述用户私钥重新进行加密存储。17.根据权利要求16所述的方法,其特征在于,所述步骤Cl包括根据用户私钥保护密钥对所述用户私钥文件进行加密并存储;所述用户私钥文件包括用户私钥和所述移动终端的硬件信息;以及所述用户私钥保护密钥为由所述移动终端的硬件信息/硬件特征信息的哈希值的全部或部分信息、登录密码/登陆密码的哈希值的全部或部分信息和私钥保护参数生成。18.根据权利要求16所述的方法,其特征在于,所述步骤c4或c6中更新所述私钥保护参数更新标识的步骤包括根据解密所述用户私钥文件的所述第一私钥保护参数或第二私钥保护参数更新所述私钥保护参数更新标识。19.根据权利要求16所述的方法,其特征在于,所述步骤c7和所述步骤c8之间还包括如果所述私钥保护参数更新标识为所述第二私钥保护参数对应的标识,则所述移动银行服务器根据所述更新私钥保护参数更新所述第二私钥保护参数,并根据所述第二私钥保护参数更新所述第一私钥保护参数;如果所述私钥保护参数更新标识为所述第一私钥保护参数对应的标识,则所述移动银行服务器根据所述更新私钥保护参数更新所述第二私钥保护参数;所述移动银行服务器返回更新成功结果至所述移动终端。20.根据权利要求19所述的方法,其特征在于,所述步骤c7所述发送所述更新私钥保护参数及所述私钥保护参数更新标识至移动银行服务器包括所述移动终端根据所述移动银行服务器的公钥对所述更新私钥保护参数和所述私钥保护参数更新标识进行加密,并将加密之后的所述更新私钥保护参数和所述私钥保护参数更新标识发送至所述移动银行服务器;所述步骤c7和所述步骤c8之间还包括所述移动银行服务器根据所述移动银行服务器的私钥对所述移动终端发送的信息进行解密以获取所述更新私钥保护参数和所述私钥保护参数更新标识。21.根据权利要求16所述的方法,其特征在于,步骤c3中所述验证解密之后的所述用户私钥文件包括利用所述硬件信息验证解密之后的所述用户私钥文件。22.根据权利要求16-21任一项所述的方法,其特征在于,步骤c2中所述根据所述第二随机数从移动银行服务器获取第一私钥保护参数和第二私钥保护参数的步骤包括所述移动终端根据所述移动银行服务器的公钥对所述第二随机数进行加密,并将加密之后的所述第二随机数发送至所述移动银行服务器;所述移动银行服务器根据所述移动银行服务器的私钥对所述移动终端发送的加密信息进行解密以获取...
【专利技术属性】
技术研发人员:李东声,
申请(专利权)人:天地融科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。