CN1996371A - 一种实现数字证书跨银行通用的***与方法 - Google Patents
一种实现数字证书跨银行通用的***与方法 Download PDFInfo
- Publication number
- CN1996371A CN1996371A CNA200610144264XA CN200610144264A CN1996371A CN 1996371 A CN1996371 A CN 1996371A CN A200610144264X A CNA200610144264X A CN A200610144264XA CN 200610144264 A CN200610144264 A CN 200610144264A CN 1996371 A CN1996371 A CN 1996371A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- bank
- user
- registration code
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及信息安全技术领域,特别是通过数字数据传输实现数字证书跨银行通用的***与方法。***包括数字证书跨行通用注册申报***与银行的接口,由数据库、应用服务器、Web服务器、路由器、专网或公共网、客户端组成。方法包括:①数字证书跨行通用注册申报***接受用户客户端提出的跨行申请;②数字证书跨行通用注册申报***验证用户已有数字证书的有效性;③***自动提取用户数字证书的DN,并返回跨行签约的注册码;④银行签约***接受用户提交的注册码;⑤银行客户端根据注册码向注册申报***提交对应DN的请求;⑥注册申报***判断其有效后,返回用户DN信息。该***实现了网上银行用户只要申请一张数字证书就可在不同银行的网上银行中通用。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种通过数字数据传输实现数字证书跨银行通用的***与方法。
背景技术
目前,我国包括四大国有银行在内的全部全国性商业银行网上银行都采用了安全认证技术。但由于PKI/CA技术在网上银行应用的时间还比较短,包括认证机构、银行自身、数字证书客户、政府监管部门在内的各方对安全认证技术的应用和管理都还属于探索阶段,我国网上银行安全认证建设在认证体系规划、认证技术标准统一、认证机构管理、相关法律制定上还存在较大的不足,而其中最为突出的一个问题就是通过各家网上银行申请的同一认证机构的数字证书仍相互独立,无法实现跨行通用。该问题的根源体现在如下几个方面:
1)大部分商业银行的网上银行向其用户提供的都是由同一家CA签发的数字证书,但各行网上银行对数字证书的个性化需求造成数字证书中部分数据域的内容和涵义有所不同;
2)各家银行网上银行端对数字证书的认证业务规则不同;
3)各银行网上银行无法提供同一家认证机构签发的它行数字证书在本行通用的功能。
因此,数字证书无法跨银行通用,给用户跨银行通用带来困难。
发明内容
本发明的目的在于提供一种通过数字数据传输实现数字证书跨银行通用的***与方法。
本发明要解决的问题是,持有从某家银行申请的、由权威第三方认证机构(CA)签发的数字证书的用户通过本发明提供的***与方法,可以实现数字证书在其它银行的网上银行中通用,它是我国金融领域建立基于公钥基础设施(PKI)机制的统一信任域提供一种实现手段,属于信息安全技术在网上银行中的应用。
本发明除了可以运用于网上银行领域当中之外,按照本发明提供的***与方法也可以实现在其它领域,如电子商务、电子支付、税务等其它行业中各机构之间的数字证书通用。
一种实现数字证书跨银行通用的***,包括数字证书跨行通用注册申报***与软件实现的与银行业务***间的接口,具体由数据库、应用服务器、Web服务器、路由器、专网或公共网、数字证书用户客户端和银行客户端组成,证书用户客户端和银行客户端通过专网或公共网与数字证书跨行通用注册申报***联系。
所述应用服务器可以根据用户已有数字证书中的DN生成一个唯一的,不重复的编码(注册码)。
所述客户端包括数字证书用户访问数字证书注册申报***的客户端和银行访问注册申报***的客户端。
所述数字证书用户通过专用客户端软件或浏览器访问注册申报***时,使用已有的数字证书进行数字签名的方法来实现对用户身份的认证,并产生会话密钥来实现用户端与服务器端数据的加密传输,同时获取用于注册申报的编码(注册码)。
所述的编码为注册码。
所述银行客户端根据用户的注册码来提取与注册码对应的用户数字证书的DN。
数字证书跨行通用方法由跨行签约的方法实现,本发明提出一种用户数字证书跨行签约的方法,包括以下步骤:
①数字证书跨行通用注册申报***接受数字证书用户客户端提出的跨行通用申请;
②数字证书跨行通用注册申报***验证用户已有数字证书的有效性;
③***自动提取用户数字证书中的DN(Distinguished Name,甄别名),并根据一定规则返回用于到另一家银行进行跨行签约的注册码;
④银行签约***接受用户提交的注册码;
⑤银行客户端根据注册码向注册申报***提交获取对应DN的请求;
⑥注册申报***判断其有效后,返回用户的DN信息。
本发明达到的目标及有益效果:
①支持个人数字证书和企业数字证书;
②支持数字证书用户进行跨行通用的申请;
③支持申请数字证书跨行通用的用户查询注册码,以及银行操作员查询DN和跨行签约信息;
④支持银行对本行用户的签约信息进行维护;
⑤支持通过专线或公共网与***的连接。
经过检索,国内目前还没有类似技术。
附图说明
图1是本发明的数字证书跨行通用注册申报***总体架构图。
图2是本发明的数字证书跨银行通用的***方法的流程图。
图3是本发明的数字证书跨行通用注册申报***数字证书用户端处理流程图。
图4是本发明的数字证书跨行通用注册申报***银行端处理流程图。
图5是本发明的数字证书跨行通用注册申报***模块组成图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是本发明的数字证书跨行通用注册申报***总体架构,包括数字证书跨行通用注册申报***与软件实现的与银行业务***间的接口,具体由数据库、应用服务器、Web服务器、防火墙、路由器、专网或公共网、数字证书用户客户端和银行客户端组成。数字证书用户客户端和银行客户端通过专网或公共网与数字证书跨行通用注册申报***联系。数字证书跨行通用注册申报***将基于Web服务器+应用服务器+数据库服务器的三层结构。用户、银行操作员通过建立SSL(加密套接字协议层)安全通道与数字证书跨行通用注册申报***连接;银行端的服务器直接与应用服务器连接。在网络结构上,用户通过Internet访问数字证书跨行通用注册申报***;银行操作员可以根据各行的实际情况,通过Internet或专网访问数字证书跨行通用注册申报***。
网上银行用户申请数字证书跨行通用时,首先需要使用在某一家银行申请的,由认证机构(CA)签发的数字证书登录到CA的注册申报***中,获得注册码;用户再持相关证件和该注册码到另一家银行的营业网点进行签约,银行审核通过后,将注册码上传至注册申报***,同时从注册申报***中获得数字证书DN并留存。之后用户只需持该张数字证书便可同时在这两家银行的网上银行当中使用。
图2是本发明的数字证书跨银行通用的***方法,步骤如下:
①数字证书跨行通用注册申报***接受数字证书用户客户端提出的跨行通用申请;
②数字证书跨行通用注册申报***验证用户已有数字证书的有效性;
③***自动提取用户数字证书中的DN,并根据一定规则返回用于到另一家银行进行跨行签约的注册码;
④银行签约***接受用户提交的注册码;
⑤银行客户端根据注册码向注册申报***提交获取对应DN的请求;
⑥注册申报***判断其有效后,返回用户的DN信息。
图3是本发明的数字证书跨行通用注册申报***数字证书用户端处理流程。数字证书用户端处理流程,其具体步骤如下:
(1)用户提出跨行申请
数字证书跨行通用注册申报***接受用户提出的跨行通用申请,申请的前提就是需要用户提供自己在某一家银行申请的,由CA签发的数字证书,该数字证书是用户进入注册申报***的必要条件。用户持该张数字证书即可登录CA的数字证书注册申报***,开始后续操作。
(2)***验证数字证书有效性
注册申报***接收到用户的申请之后,需要识别与验证数字证书用户身份的真实性、有效性。验证数字证书有效性包括如下5个步骤:
1)验证用户数字证书产生的数字签名数据;
2)验证用户数字证书的有效性,追溯到根CA数字证书;
3)判断数字证书的有效期;
4)查询CRL(Certificate Revocation List,数字证书撤销列表),检查数字证书是否已经被撤销;
5)查询ARL(CA撤销列表),检查CA数字证书是否被撤销。
(3)***提取用户的DN
***通过程序中的一段命令语言来调用用户数字证书中的DN。因为签发数字证书的CA有自己的DN标准,所以要判断该DN是否符合标准。如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有***生成对应的注册码。
(4)***生成注册码
***根据该DN生成一个唯一的,与数据库中原有注册码信息不会重复的编码,作为用户的注册码。
(5)返回注册码
***将此注册码通过用户操作界面返回给用户。
图4是本发明的数字证书跨行通用注册申报***银行端处理流程。其步骤如下:
银行端处理流程
(1)用户向银行提交注册码
用户获得注册码后,可以持相关证件和该注册码到另一家银行的营业网点进行签约,要求进行数字证书跨行通用。
(2)银行向注册申报***提交请求
银行操作员根据用户提交的注册码,登录CA的注册申报***提交请求,要求查询与注册码相对应的用户数字证书DN。
(3)注册申报***查询对应的DN
注册申报***接收到银行提交的注册码后,在数据库中查询是否有与其相对应的DN。若有则返回对应于该注册码的用户数字证书DN;若未在数据库中查询到对应的DN,则说明输入的注册码有错或用户的注册码过期或用户从未进行过注册。
(4)返回DN
注册申报***向银行端返回查询到的DN信息。
图5是本发明的数字证书跨行通用注册申报***模块组成。包括:用户端子***和银行端子***。
(1)用户端子***
用户端子***主要负责处理最终用户进行的数字证书跨行注册申报操作,包括注册码生成模块、注册码维护模块、注册码查询模块、签约信息查询模块。
i)注册码生成模块:
●功能:用于用户数字证书DN的提取,注册码的生成,并将注册码和DN存储到数据库中。
●描述:验证数字证书是否有效,若有效则将其数字证书中的DN值取出来。因为DN有一定的标准,所以要判断该DN是否符合标准,如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有***自动生成新的注册码,并将该注册码和DN对应后放到数据库中,同时把注册码返回给用户,用户得到注册码。
ii)注册码维护模块
●功能:用于注册码和DN表的管理,定期清理过期的注册码。支持通过浏览器进行在线管理。
●描述:因为注册码申请后都是有有效期的,如果在有效期内该注册码没有到银行进行签约,那么这个注册码就会自动失效,成为过期的注册码。如果签约用户将数字证书注销掉,那么***将把DN和注册码的绑定关系取消,并将绑定记录从数据库中删除。
iii)注册码查询模块:
●功能:用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询自己的注册码的接口。
iv)签约信息查询模块:
用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询用户与各银行签约信息的接口。
(2)银行端子***
银行端子***主要负责处理用户签约信息的维护操作,这些操作包括签约信息的查询、添加、和删除。
i)信息查询模块:包括基于注册码查询用户DN与签约信息和基于用户DN查询签约信息两部分。
ii)信息维护模块:对用户的签约信息进行添加、删除操作的模块。
Claims (10)
1、一种实现数字证书跨银行通用的***,包括数字证书跨行通用注册申报***与软件实现的与银行业务***间的接口,具体由数据库、应用服务器、Web服务器、路由器、专网或公共网、客户端组成。
2、根据权利要求1所述的实现数字证书跨银行通用的***,其特征在于,数字证书跨行通用注册申报***,包括:用户端子***和银行端子***
(1)用户端子***
用户端子***主要负责处理最终用户进行的数字证书跨行注册申报操作,包括注册码生成模块、注册码维护模块、注册码查询模块、签约信息查询模块
i)注册码生成模块:
●用于用户数字证书DN的提取,注册码的生成,并将注册码和DN存储到数据库中;
●验证数字证书是否有效,若有效则将其数字证书中的DN值取出来,判断该DN是否符合标准,如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有***自动生成新的注册码,并将该注册码和DN对应后放到数据库中,同时把注册码返回给用户,用户得到注册码;
ii)注册码维护模块
●用于注册码和DN表的管理,定期清理过期的注册码,支持通过浏览器进行在线管理;
●因为注册码申请后都是有有效期的,如果在有效期内该注册码没有到银行进行签约,这个注册码就会自动失效,成为过期的注册码,如果签约用户将数字证书注销掉,***将把DN和注册码的绑定关系取消,并将绑定记录从数据库中删除;
iii)注册码查询模块:
用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询自己的注册码的接口;
iv)签约信息查询模块:
用于用户数字证书DN的提取,为用户提供通过Internet基于用户数字证书DN查询用户与各银行签约信息的接口;
(2)银行端子***
银行端子***主要负责处理用户签约信息的维护操作,这些操作包括签约信息的查询、添加、和删除
i)信息查询模块:包括基于注册码查询用户DN与签约信息和基于用户DN查询签约信息两部分;
ii)信息维护模块:对用户的签约信息进行添加、删除操作的模块。
3、根据权利要求1所述的实现数字证书跨银行通用的***,其特征在于,所述应用服务器可以根据用户已有数字证书中的DN生成一个唯一的,不重复的编码,即注册码。
4、根据权利要求1所述的实现数字证书跨银行通用的***,其特征在于,所述客户端包括数字证书用户访问数字证书注册申报***的客户端和银行访问注册申报***的客户端。
5、根据权利要求4所述的实现数字证书跨银行通用的***,其特征在于,所述数字证书用户通过专用客户端软件或浏览器访问注册申报***时,使用已有的数字证书进行数字签名的方法来实现对用户身份的认证,并产生会话密钥来实现用户端与服务器端数据的加密传输,同时获取用于注册申报的编码,即注册码。
6、根据权利要求4所述的实现数字证书跨银行通用的***,其特征在于,所述银行客户端根据用户的注册码来提取与注册码对应的用户数字证书的DN。
7、一种用户数字证书跨行签约的方法,包括以下步骤:
①数字证书跨行通用注册申报***接受用户客户端提出的跨行通用申请;
②数字证书跨行通用注册申报***验证用户已有数字证书的有效性;
③***自动提取用户数字证书中的DN,并根据一定规则返回用于到另一家银行进行跨行签约的注册码;
④银行签约***接受用户提交的注册码;
⑤银行客户端根据注册码向注册申报***提交获取对应DN的请求;
⑥注册申报***判断其有效后,返回用户数字证书的DN信息。
8、根据权利要求7所述的用户数字证书跨行签约的方法,其特征在于,步骤①数字证书跨行通用注册申报***接受用户客户端提出的跨行通用申请;具体步骤如下:
(1)用户提出跨行申请
数字证书跨行通用注册申报***接受用户提出的跨行通用申请,申请的前提就是需要用户提供自己在某一家银行申请的,由CA签发的数字证书,该数字证书是用户进入注册申报***的必要条件,用户持该张数字证书即可登录CA的数字证书注册申报***,开始后续操作;
(2)***验证数字证书有效性
注册申报***接收到用户的申请之后,需要识别与验证数字证书
用户身份的真实性、有效性,验证数字证书有效性;
(3)***提取用户的DN
***通过程序中的一段命令语言来调用用户数字证书中的DN,因为签发数字证书的CA有自己的DN标准,所以要判断该DN是否符合标准,如果符合的话,再进一步判断该DN或者说该数字证书是否已经签过约,也就是说该DN已经有对应的注册码存在,如果有对应的注册码存在则证明该数字证书已签约,如果没有***生成对应的注册码;
(4)***生成注册码
***根据该DN生成一个唯一的,与数据库中原有注册码信息不会重复的编码,作为用户的注册码;
(5)返回注册码
***将此注册码通过用户操作界面返回给用户。
9、根据权利要求7所述的用户数字证书跨行签约的方法,其特征在于,步骤②***验证数字证书有效性,包括如下5个步骤:
1)验证用户数字证书产生的数字签名数据;
2)验证用户数字证书的有效性,追溯到根CA数字证书;
3)判断数字证书的有效期;
4)查询CRL,检查数字证书是否已经被撤销;
5)查询ARL,检查CA数字证书是否被撤销。
10、根据权利要求7所述的用户数字证书跨行签约的方法,其特征在于,步骤⑤银行客户端根据注册码向注册申报***提交获取对应DN的请求,具体步骤如下:
(1)用户向银行提交注册码
用户获得注册码后,可以持相关证件和该注册码到另一家银行的营业网点进行签约,要求进行数字证书跨行通用;
(2)银行向注册申报***提交请求
银行操作员根据用户提交的注册码,登录CA的注册申报***提交请求,要求查询与注册码相对应的用户数字证书DN;
(3)注册申报***查询对应的DN
注册申报***接收到银行提交的注册码后,在数据库中查询是否有与其相对应的DN,若有则返回对应于该注册码的用户数字证书DN;若未在数据库中查询到对应的DN,则说明输入的注册码有错或用户的注册码过期或用户从未进行过注册;
(4)返回DN
注册申报***向银行端返回查询到的DN信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200610144264XA CN1996371A (zh) | 2006-11-30 | 2006-11-30 | 一种实现数字证书跨银行通用的***与方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200610144264XA CN1996371A (zh) | 2006-11-30 | 2006-11-30 | 一种实现数字证书跨银行通用的***与方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1996371A true CN1996371A (zh) | 2007-07-11 |
Family
ID=38251447
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200610144264XA Pending CN1996371A (zh) | 2006-11-30 | 2006-11-30 | 一种实现数字证书跨银行通用的***与方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1996371A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101873333A (zh) * | 2010-07-09 | 2010-10-27 | 中国工商银行股份有限公司 | 基于银行***的企业数据维护方法、装置及*** |
CN106559219A (zh) * | 2015-09-29 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种数字签名方法和***及其智能终端和业务*** |
-
2006
- 2006-11-30 CN CNA200610144264XA patent/CN1996371A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101873333A (zh) * | 2010-07-09 | 2010-10-27 | 中国工商银行股份有限公司 | 基于银行***的企业数据维护方法、装置及*** |
CN101873333B (zh) * | 2010-07-09 | 2013-08-07 | 中国工商银行股份有限公司 | 基于银行***的企业数据维护方法、装置及*** |
CN106559219A (zh) * | 2015-09-29 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种数字签名方法和***及其智能终端和业务*** |
CN106559219B (zh) * | 2015-09-29 | 2019-05-10 | 卓望数码技术(深圳)有限公司 | 一种数字签名方法和***及其智能终端和业务*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7109569B2 (ja) | デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム | |
CN110268678B (zh) | 基于pki的认证代理用户的登录方法及利用其的服务器 | |
CN110599213B (zh) | 一种基于区块链网络的物品管理方法、装置及电子设备 | |
RU2434340C2 (ru) | Инфраструктура верификации биометрических учетных данных | |
CN113239382A (zh) | 一种基于区块链智能合约的可信身份模型 | |
AU2017225928A1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
Al-Khouri | PKI in government digital identity management systems | |
CN111461917B (zh) | 一种基于区块链的电力***物资合同管理*** | |
KR20100066169A (ko) | 익명 인증을 이용한 개인 정보 관리 시스템 및 방법 | |
CN112199448A (zh) | 基于区块链的工商注册登记方法及*** | |
JP2003158517A (ja) | 公開鍵証明書の生成方法、検証方法、および装置 | |
CN113128951B (zh) | 一种基于企业链码的电子合同管理方法及*** | |
Khieu et al. | CBPKI: cloud blockchain-based public key infrastructure | |
US11563585B1 (en) | Systems and methods for smart contracts including arbitration attributes | |
CN1996371A (zh) | 一种实现数字证书跨银行通用的***与方法 | |
CN1529859A (zh) | 电子文档格式管理***及方法 | |
CN110635915A (zh) | 一种基于多ca的高并发数字证书注册管理方法 | |
KR100760028B1 (ko) | 전자서명 인증서의 장기검증방법 및 시스템 | |
TWM609299U (zh) | 行動銀行服務申請及交易系統 | |
CN111555887A (zh) | 区块链证书兼容性处理方法、装置及计算机存储介质 | |
CN111427954A (zh) | 基于区块链的用于交易主体数据共享的方法及装置 | |
CN109194489A (zh) | 一种证书认证和颁发管理*** | |
Gallersdörfer et al. | Mirroring public key infrastructures to blockchains for on-chain authentication | |
CN113472815B (zh) | 一种针对互联网发布的自动备案方法 | |
Jaafar et al. | A proposed Security Model for E-government Based on Primary Key Infrastructure and Fingerprints. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070711 |