專利名稱:一種實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng)與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域�,特別是一種通過數(shù)字?jǐn)?shù)據(jù)傳輸實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng)與方法��。
背景技術(shù):
目前,我國(guó)包括四大國(guó)有銀行在內(nèi)的全部全國(guó)性商業(yè)銀行網(wǎng)上銀行都采用了安全認(rèn)證技術(shù)�����。但由于PKI/CA技術(shù)在網(wǎng)上銀行應(yīng)用的時(shí)間還比較短�,包括認(rèn)證機(jī)構(gòu)、銀行自身�、數(shù)字證書客戶、政府監(jiān)管部門在內(nèi)的各方對(duì)安全認(rèn)證技術(shù)的應(yīng)用和管理都還屬于探索階段��,我國(guó)網(wǎng)上銀行安全認(rèn)證建設(shè)在認(rèn)證體系規(guī)劃��、認(rèn)證技術(shù)標(biāo)準(zhǔn)統(tǒng)一�、認(rèn)證機(jī)構(gòu)管理、相關(guān)法律制定上還存在較大的不足��,而其中最為突出的一個(gè)問題就是通過各家網(wǎng)上銀行申請(qǐng)的同一認(rèn)證機(jī)構(gòu)的數(shù)字證書仍相互獨(dú)立�,無法實(shí)現(xiàn)跨行通用����。該問題的根源體現(xiàn)在如下幾個(gè)方面1)大部分商業(yè)銀行的網(wǎng)上銀行向其用戶提供的都是由同一家CA簽發(fā)的數(shù)字證書,但各行網(wǎng)上銀行對(duì)數(shù)字證書的個(gè)性化需求造成數(shù)字證書中部分?jǐn)?shù)據(jù)域的內(nèi)容和涵義有所不同��;2)各家銀行網(wǎng)上銀行端對(duì)數(shù)字證書的認(rèn)證業(yè)務(wù)規(guī)則不同�����;3)各銀行網(wǎng)上銀行無法提供同一家認(rèn)證機(jī)構(gòu)簽發(fā)的它行數(shù)字證書在本行通用的功能。
因此��,數(shù)字證書無法跨銀行通用��,給用戶跨銀行通用帶來困難���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種通過數(shù)字?jǐn)?shù)據(jù)傳輸實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng)與方法���。
本發(fā)明要解決的問題是,持有從某家銀行申請(qǐng)的�、由權(quán)威第三方認(rèn)證機(jī)構(gòu)(CA)簽發(fā)的數(shù)字證書的用戶通過本發(fā)明提供的系統(tǒng)與方法,可以實(shí)現(xiàn)數(shù)字證書在其它銀行的網(wǎng)上銀行中通用�,它是我國(guó)金融領(lǐng)域建立基于公鑰基礎(chǔ)設(shè)施(PKI)機(jī)制的統(tǒng)一信任域提供一種實(shí)現(xiàn)手段,屬于信息安全技術(shù)在網(wǎng)上銀行中的應(yīng)用����。
本發(fā)明除了可以運(yùn)用于網(wǎng)上銀行領(lǐng)域當(dāng)中之外,按照本發(fā)明提供的系統(tǒng)與方法也可以實(shí)現(xiàn)在其它領(lǐng)域�����,如電子商務(wù)�����、電子支付、稅務(wù)等其它行業(yè)中各機(jī)構(gòu)之間的數(shù)字證書通用����。
一種實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng),包括數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)與軟件實(shí)現(xiàn)的與銀行業(yè)務(wù)系統(tǒng)間的接口�,具體由數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器��、Web服務(wù)器����、路由器、專網(wǎng)或公共網(wǎng)�、數(shù)字證書用戶客戶端和銀行客戶端組成,證書用戶客戶端和銀行客戶端通過專網(wǎng)或公共網(wǎng)與數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)聯(lián)系�����。
所述應(yīng)用服務(wù)器可以根據(jù)用戶已有數(shù)字證書中的DN生成一個(gè)唯一的����,不重復(fù)的編碼(注冊(cè)碼)���。
所述客戶端包括數(shù)字證書用戶訪問數(shù)字證書注冊(cè)申報(bào)系統(tǒng)的客戶端和銀行訪問注冊(cè)申報(bào)系統(tǒng)的客戶端��。
所述數(shù)字證書用戶通過專用客戶端軟件或?yàn)g覽器訪問注冊(cè)申報(bào)系統(tǒng)時(shí)�����,使用已有的數(shù)字證書進(jìn)行數(shù)字簽名的方法來實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證�,并產(chǎn)生會(huì)話密鑰來實(shí)現(xiàn)用戶端與服務(wù)器端數(shù)據(jù)的加密傳輸,同時(shí)獲取用于注冊(cè)申報(bào)的編碼(注冊(cè)碼)��。
所述的編碼為注冊(cè)碼�����。
所述銀行客戶端根據(jù)用戶的注冊(cè)碼來提取與注冊(cè)碼對(duì)應(yīng)的用戶數(shù)字證書的DN��。
數(shù)字證書跨行通用方法由跨行簽約的方法實(shí)現(xiàn)��,本發(fā)明提出一種用戶數(shù)字證書跨行簽約的方法�,包括以下步驟①數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)接受數(shù)字證書用戶客戶端提出的跨行通用申請(qǐng);②數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)驗(yàn)證用戶已有數(shù)字證書的有效性���;③系統(tǒng)自動(dòng)提取用戶數(shù)字證書中的DN(Distinguished Name�,甄別名)����,并根據(jù)一定規(guī)則返回用于到另一家銀行進(jìn)行跨行簽約的注冊(cè)碼�����;④銀行簽約系統(tǒng)接受用戶提交的注冊(cè)碼�;⑤銀行客戶端根據(jù)注冊(cè)碼向注冊(cè)申報(bào)系統(tǒng)提交獲取對(duì)應(yīng)DN的請(qǐng)求��;⑥注冊(cè)申報(bào)系統(tǒng)判斷其有效后�,返回用戶的DN信息。
本發(fā)明達(dá)到的目標(biāo)及有益效果①支持個(gè)人數(shù)字證書和企業(yè)數(shù)字證書����;②支持?jǐn)?shù)字證書用戶進(jìn)行跨行通用的申請(qǐng);③支持申請(qǐng)數(shù)字證書跨行通用的用戶查詢注冊(cè)碼��,以及銀行操作員查詢DN和跨行簽約信息����;④支持銀行對(duì)本行用戶的簽約信息進(jìn)行維護(hù);⑤支持通過專線或公共網(wǎng)與系統(tǒng)的連接�。
經(jīng)過檢索,國(guó)內(nèi)目前還沒有類似技術(shù)����。
圖1是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)總體架構(gòu)圖。
圖2是本發(fā)明的數(shù)字證書跨銀行通用的系統(tǒng)方法的流程圖�。
圖3是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)數(shù)字證書用戶端處理流程圖。
圖4是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)銀行端處理流程圖�����。
圖5是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)模塊組成圖�����。
具體實(shí)施例方式
以下實(shí)施例用于說明本發(fā)明�,但不用來限制本發(fā)明的范圍。
圖1是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)總體架構(gòu)��,包括數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)與軟件實(shí)現(xiàn)的與銀行業(yè)務(wù)系統(tǒng)間的接口����,具體由數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器�、Web服務(wù)器、防火墻�、路由器、專網(wǎng)或公共網(wǎng)�、數(shù)字證書用戶客戶端和銀行客戶端組成。數(shù)字證書用戶客戶端和銀行客戶端通過專網(wǎng)或公共網(wǎng)與數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)聯(lián)系。數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)將基于Web服務(wù)器+應(yīng)用服務(wù)器+數(shù)據(jù)庫(kù)服務(wù)器的三層結(jié)構(gòu)����。用戶、銀行操作員通過建立SSL(加密套接字協(xié)議層)安全通道與數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)連接��;銀行端的服務(wù)器直接與應(yīng)用服務(wù)器連接���。在網(wǎng)絡(luò)結(jié)構(gòu)上�,用戶通過Internet訪問數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)���;銀行操作員可以根據(jù)各行的實(shí)際情況�,通過Internet或?qū)>W(wǎng)訪問數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)���。
網(wǎng)上銀行用戶申請(qǐng)數(shù)字證書跨行通用時(shí)�����,首先需要使用在某一家銀行申請(qǐng)的���,由認(rèn)證機(jī)構(gòu)(CA)簽發(fā)的數(shù)字證書登錄到CA的注冊(cè)申報(bào)系統(tǒng)中,獲得注冊(cè)碼�����;用戶再持相關(guān)證件和該注冊(cè)碼到另一家銀行的營(yíng)業(yè)網(wǎng)點(diǎn)進(jìn)行簽約,銀行審核通過后��,將注冊(cè)碼上傳至注冊(cè)申報(bào)系統(tǒng)����,同時(shí)從注冊(cè)申報(bào)系統(tǒng)中獲得數(shù)字證書DN并留存���。之后用戶只需持該張數(shù)字證書便可同時(shí)在這兩家銀行的網(wǎng)上銀行當(dāng)中使用����。
圖2是本發(fā)明的數(shù)字證書跨銀行通用的系統(tǒng)方法����,步驟如下①數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)接受數(shù)字證書用戶客戶端提出的跨行通用申請(qǐng);②數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)驗(yàn)證用戶已有數(shù)字證書的有效性����;③系統(tǒng)自動(dòng)提取用戶數(shù)字證書中的DN,并根據(jù)一定規(guī)則返回用于到另一家銀行進(jìn)行跨行簽約的注冊(cè)碼��;④銀行簽約系統(tǒng)接受用戶提交的注冊(cè)碼��;⑤銀行客戶端根據(jù)注冊(cè)碼向注冊(cè)申報(bào)系統(tǒng)提交獲取對(duì)應(yīng)DN的請(qǐng)求;⑥注冊(cè)申報(bào)系統(tǒng)判斷其有效后��,返回用戶的DN信息���。
圖3是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)數(shù)字證書用戶端處理流程���。數(shù)字證書用戶端處理流程,其具體步驟如下(1)用戶提出跨行申請(qǐng)數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)接受用戶提出的跨行通用申請(qǐng)��,申請(qǐng)的前提就是需要用戶提供自己在某一家銀行申請(qǐng)的�,由CA簽發(fā)的數(shù)字證書,該數(shù)字證書是用戶進(jìn)入注冊(cè)申報(bào)系統(tǒng)的必要條件����。用戶持該張數(shù)字證書即可登錄CA的數(shù)字證書注冊(cè)申報(bào)系統(tǒng),開始后續(xù)操作�。
(2)系統(tǒng)驗(yàn)證數(shù)字證書有效性注冊(cè)申報(bào)系統(tǒng)接收到用戶的申請(qǐng)之后,需要識(shí)別與驗(yàn)證數(shù)字證書用戶身份的真實(shí)性�、有效性。驗(yàn)證數(shù)字證書有效性包括如下5個(gè)步驟1)驗(yàn)證用戶數(shù)字證書產(chǎn)生的數(shù)字簽名數(shù)據(jù)��;2)驗(yàn)證用戶數(shù)字證書的有效性�����,追溯到根CA數(shù)字證書;3)判斷數(shù)字證書的有效期���;4)查詢CRL(Certificate Revocation List����,數(shù)字證書撤銷列表)���,檢查數(shù)字證書是否已經(jīng)被撤銷�����;5)查詢ARL(CA撤銷列表),檢查CA數(shù)字證書是否被撤銷��。
(3)系統(tǒng)提取用戶的DN系統(tǒng)通過程序中的一段命令語(yǔ)言來調(diào)用用戶數(shù)字證書中的DN�。因?yàn)楹灠l(fā)數(shù)字證書的CA有自己的DN標(biāo)準(zhǔn),所以要判斷該DN是否符合標(biāo)準(zhǔn)��。如果符合的話���,再進(jìn)一步判斷該DN或者說該數(shù)字證書是否已經(jīng)簽過約�,也就是說該DN已經(jīng)有對(duì)應(yīng)的注冊(cè)碼存在�����,如果有對(duì)應(yīng)的注冊(cè)碼存在則證明該數(shù)字證書已簽約,如果沒有系統(tǒng)生成對(duì)應(yīng)的注冊(cè)碼����。
(4)系統(tǒng)生成注冊(cè)碼系統(tǒng)根據(jù)該DN生成一個(gè)唯一的,與數(shù)據(jù)庫(kù)中原有注冊(cè)碼信息不會(huì)重復(fù)的編碼���,作為用戶的注冊(cè)碼����。
(5)返回注冊(cè)碼系統(tǒng)將此注冊(cè)碼通過用戶操作界面返回給用戶�����。
圖4是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)銀行端處理流程���。其步驟如下銀行端處理流程(1)用戶向銀行提交注冊(cè)碼用戶獲得注冊(cè)碼后����,可以持相關(guān)證件和該注冊(cè)碼到另一家銀行的營(yíng)業(yè)網(wǎng)點(diǎn)進(jìn)行簽約��,要求進(jìn)行數(shù)字證書跨行通用��。
(2)銀行向注冊(cè)申報(bào)系統(tǒng)提交請(qǐng)求銀行操作員根據(jù)用戶提交的注冊(cè)碼,登錄CA的注冊(cè)申報(bào)系統(tǒng)提交請(qǐng)求����,要求查詢與注冊(cè)碼相對(duì)應(yīng)的用戶數(shù)字證書DN。
(3)注冊(cè)申報(bào)系統(tǒng)查詢對(duì)應(yīng)的DN注冊(cè)申報(bào)系統(tǒng)接收到銀行提交的注冊(cè)碼后�,在數(shù)據(jù)庫(kù)中查詢是否有與其相對(duì)應(yīng)的DN。若有則返回對(duì)應(yīng)于該注冊(cè)碼的用戶數(shù)字證書DN���;若未在數(shù)據(jù)庫(kù)中查詢到對(duì)應(yīng)的DN����,則說明輸入的注冊(cè)碼有錯(cuò)或用戶的注冊(cè)碼過期或用戶從未進(jìn)行過注冊(cè)���。
(4)返回DN注冊(cè)申報(bào)系統(tǒng)向銀行端返回查詢到的DN信息。
圖5是本發(fā)明的數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)模塊組成�。包括用戶端子系統(tǒng)和銀行端子系統(tǒng)。
(1)用戶端子系統(tǒng)用戶端子系統(tǒng)主要負(fù)責(zé)處理最終用戶進(jìn)行的數(shù)字證書跨行注冊(cè)申報(bào)操作���,包括注冊(cè)碼生成模塊���、注冊(cè)碼維護(hù)模塊、注冊(cè)碼查詢模塊���、簽約信息查詢模塊�����。
i)注冊(cè)碼生成模塊●功能用于用戶數(shù)字證書DN的提取�,注冊(cè)碼的生成,并將注冊(cè)碼和DN存儲(chǔ)到數(shù)據(jù)庫(kù)中��。
●描述驗(yàn)證數(shù)字證書是否有效��,若有效則將其數(shù)字證書中的DN值取出來�����。因?yàn)镈N有一定的標(biāo)準(zhǔn)�����,所以要判斷該DN是否符合標(biāo)準(zhǔn)�,如果符合的話,再進(jìn)一步判斷該DN或者說該數(shù)字證書是否已經(jīng)簽過約�,也就是說該DN已經(jīng)有對(duì)應(yīng)的注冊(cè)碼存在,如果有對(duì)應(yīng)的注冊(cè)碼存在則證明該數(shù)字證書已簽約���,如果沒有系統(tǒng)自動(dòng)生成新的注冊(cè)碼����,并將該注冊(cè)碼和DN對(duì)應(yīng)后放到數(shù)據(jù)庫(kù)中,同時(shí)把注冊(cè)碼返回給用戶����,用戶得到注冊(cè)碼。
ii)注冊(cè)碼維護(hù)模塊●功能用于注冊(cè)碼和DN表的管理���,定期清理過期的注冊(cè)碼�。支持通過瀏覽器進(jìn)行在線管理��。
●描述因?yàn)樽?cè)碼申請(qǐng)后都是有有效期的����,如果在有效期內(nèi)該注冊(cè)碼沒有到銀行進(jìn)行簽約,那么這個(gè)注冊(cè)碼就會(huì)自動(dòng)失效�,成為過期的注冊(cè)碼。如果簽約用戶將數(shù)字證書注銷掉�����,那么系統(tǒng)將把DN和注冊(cè)碼的綁定關(guān)系取消����,并將綁定記錄從數(shù)據(jù)庫(kù)中刪除。
iii)注冊(cè)碼查詢模塊●功能用于用戶數(shù)字證書DN的提取���,為用戶提供通過Internet基于用戶數(shù)字證書DN查詢自己的注冊(cè)碼的接口�����。
iv)簽約信息查詢模塊用于用戶數(shù)字證書DN的提取���,為用戶提供通過Internet基于用戶數(shù)字證書DN查詢用戶與各銀行簽約信息的接口���。
(2)銀行端子系統(tǒng)銀行端子系統(tǒng)主要負(fù)責(zé)處理用戶簽約信息的維護(hù)操作�����,這些操作包括簽約信息的查詢�����、添加����、和刪除。
i)信息查詢模塊包括基于注冊(cè)碼查詢用戶DN與簽約信息和基于用戶DN查詢簽約信息兩部分。
ii)信息維護(hù)模塊對(duì)用戶的簽約信息進(jìn)行添加�����、刪除操作的模塊���。
權(quán)利要求
1.一種實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng)��,包括數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)與軟件實(shí)現(xiàn)的與銀行業(yè)務(wù)系統(tǒng)間的接口���,具體由數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器�����、Web服務(wù)器��、路由器�����、專網(wǎng)或公共網(wǎng)�����、客戶端組成����。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng),其特征在于��,數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)���,包括用戶端子系統(tǒng)和銀行端子系統(tǒng)(1)用戶端子系統(tǒng)用戶端子系統(tǒng)主要負(fù)責(zé)處理最終用戶進(jìn)行的數(shù)字證書跨行注冊(cè)申報(bào)操作��,包括注冊(cè)碼生成模塊��、注冊(cè)碼維護(hù)模塊�、注冊(cè)碼查詢模塊���、簽約信息查詢模塊i)注冊(cè)碼生成模塊●用于用戶數(shù)字證書DN的提取�����,注冊(cè)碼的生成�����,并將注冊(cè)碼和DN存儲(chǔ)到數(shù)據(jù)庫(kù)中���;●驗(yàn)證數(shù)字證書是否有效�����,若有效則將其數(shù)字證書中的DN值取出來���,判斷該DN是否符合標(biāo)準(zhǔn),如果符合的話�,再進(jìn)一步判斷該DN或者說該數(shù)字證書是否已經(jīng)簽過約,也就是說該DN已經(jīng)有對(duì)應(yīng)的注冊(cè)碼存在�����,如果有對(duì)應(yīng)的注冊(cè)碼存在則證明該數(shù)字證書已簽約���,如果沒有系統(tǒng)自動(dòng)生成新的注冊(cè)碼�����,并將該注冊(cè)碼和DN對(duì)應(yīng)后放到數(shù)據(jù)庫(kù)中����,同時(shí)把注冊(cè)碼返回給用戶���,用戶得到注冊(cè)碼����;ii)注冊(cè)碼維護(hù)模塊●用于注冊(cè)碼和DN表的管理���,定期清理過期的注冊(cè)碼�����,支持通過瀏覽器進(jìn)行在線管理�����;●因?yàn)樽?cè)碼申請(qǐng)后都是有有效期的���,如果在有效期內(nèi)該注冊(cè)碼沒有到銀行進(jìn)行簽約,這個(gè)注冊(cè)碼就會(huì)自動(dòng)失效����,成為過期的注冊(cè)碼,如果簽約用戶將數(shù)字證書注銷掉�,系統(tǒng)將把DN和注冊(cè)碼的綁定關(guān)系取消,并將綁定記錄從數(shù)據(jù)庫(kù)中刪除���;iii)注冊(cè)碼查詢模塊用于用戶數(shù)字證書DN的提取����,為用戶提供通過Internet基于用戶數(shù)字證書DN查詢自己的注冊(cè)碼的接口;iv)簽約信息查詢模塊用于用戶數(shù)字證書DN的提取���,為用戶提供通過Internet基于用戶數(shù)字證書DN查詢用戶與各銀行簽約信息的接口����;(2)銀行端子系統(tǒng)銀行端子系統(tǒng)主要負(fù)責(zé)處理用戶簽約信息的維護(hù)操作���,這些操作包括簽約信息的查詢����、添加����、和刪除i)信息查詢模塊包括基于注冊(cè)碼查詢用戶DN與簽約信息和基于用戶DN查詢簽約信息兩部分;ii)信息維護(hù)模塊對(duì)用戶的簽約信息進(jìn)行添加�����、刪除操作的模塊�����。
3.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng),其特征在于���,所述應(yīng)用服務(wù)器可以根據(jù)用戶已有數(shù)字證書中的DN生成一個(gè)唯一的���,不重復(fù)的編碼�,即注冊(cè)碼。
4.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng)�����,其特征在于���,所述客戶端包括數(shù)字證書用戶訪問數(shù)字證書注冊(cè)申報(bào)系統(tǒng)的客戶端和銀行訪問注冊(cè)申報(bào)系統(tǒng)的客戶端�。
5.根據(jù)權(quán)利要求4所述的實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng)�,其特征在于,所述數(shù)字證書用戶通過專用客戶端軟件或?yàn)g覽器訪問注冊(cè)申報(bào)系統(tǒng)時(shí)���,使用已有的數(shù)字證書進(jìn)行數(shù)字簽名的方法來實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證����,并產(chǎn)生會(huì)話密鑰來實(shí)現(xiàn)用戶端與服務(wù)器端數(shù)據(jù)的加密傳輸,同時(shí)獲取用于注冊(cè)申報(bào)的編碼��,即注冊(cè)碼����。
6.根據(jù)權(quán)利要求4所述的實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng),其特征在于��,所述銀行客戶端根據(jù)用戶的注冊(cè)碼來提取與注冊(cè)碼對(duì)應(yīng)的用戶數(shù)字證書的DN���。
7.一種用戶數(shù)字證書跨行簽約的方法���,包括以下步驟①數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)接受用戶客戶端提出的跨行通用申請(qǐng);②數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)驗(yàn)證用戶已有數(shù)字證書的有效性�����;③系統(tǒng)自動(dòng)提取用戶數(shù)字證書中的DN���,并根據(jù)一定規(guī)則返回用于到另一家銀行進(jìn)行跨行簽約的注冊(cè)碼����;④銀行簽約系統(tǒng)接受用戶提交的注冊(cè)碼���;⑤銀行客戶端根據(jù)注冊(cè)碼向注冊(cè)申報(bào)系統(tǒng)提交獲取對(duì)應(yīng)DN的請(qǐng)求�����;⑥注冊(cè)申報(bào)系統(tǒng)判斷其有效后�,返回用戶數(shù)字證書的DN信息。
8.根據(jù)權(quán)利要求7所述的用戶數(shù)字證書跨行簽約的方法�����,其特征在于�����,步驟①數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)接受用戶客戶端提出的跨行通用申請(qǐng)�;具體步驟如下(1)用戶提出跨行申請(qǐng)數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)接受用戶提出的跨行通用申請(qǐng)�����,申請(qǐng)的前提就是需要用戶提供自己在某一家銀行申請(qǐng)的�,由CA簽發(fā)的數(shù)字證書,該數(shù)字證書是用戶進(jìn)入注冊(cè)申報(bào)系統(tǒng)的必要條件���,用戶持該張數(shù)字證書即可登錄CA的數(shù)字證書注冊(cè)申報(bào)系統(tǒng)���,開始后續(xù)操作�����;(2)系統(tǒng)驗(yàn)證數(shù)字證書有效性注冊(cè)申報(bào)系統(tǒng)接收到用戶的申請(qǐng)之后����,需要識(shí)別與驗(yàn)證數(shù)字證書用戶身份的真實(shí)性��、有效性���,驗(yàn)證數(shù)字證書有效性�����;(3)系統(tǒng)提取用戶的DN系統(tǒng)通過程序中的一段命令語(yǔ)言來調(diào)用用戶數(shù)字證書中的DN��,因?yàn)楹灠l(fā)數(shù)字證書的CA有自己的DN標(biāo)準(zhǔn)����,所以要判斷該DN是否符合標(biāo)準(zhǔn)��,如果符合的話,再進(jìn)一步判斷該DN或者說該數(shù)字證書是否已經(jīng)簽過約�����,也就是說該DN已經(jīng)有對(duì)應(yīng)的注冊(cè)碼存在����,如果有對(duì)應(yīng)的注冊(cè)碼存在則證明該數(shù)字證書已簽約,如果沒有系統(tǒng)生成對(duì)應(yīng)的注冊(cè)碼���;(4)系統(tǒng)生成注冊(cè)碼系統(tǒng)根據(jù)該DN生成一個(gè)唯一的�,與數(shù)據(jù)庫(kù)中原有注冊(cè)碼信息不會(huì)重復(fù)的編碼�,作為用戶的注冊(cè)碼;(5)返回注冊(cè)碼系統(tǒng)將此注冊(cè)碼通過用戶操作界面返回給用戶��。
9.根據(jù)權(quán)利要求7所述的用戶數(shù)字證書跨行簽約的方法���,其特征在于,步驟②系統(tǒng)驗(yàn)證數(shù)字證書有效性��,包括如下5個(gè)步驟1)驗(yàn)證用戶數(shù)字證書產(chǎn)生的數(shù)字簽名數(shù)據(jù)��;2)驗(yàn)證用戶數(shù)字證書的有效性�����,追溯到根CA數(shù)字證書;3)判斷數(shù)字證書的有效期�;4)查詢CRL,檢查數(shù)字證書是否已經(jīng)被撤銷��;5)查詢ARL�,檢查CA數(shù)字證書是否被撤銷。
10.根據(jù)權(quán)利要求7所述的用戶數(shù)字證書跨行簽約的方法�,其特征在于,步驟⑤銀行客戶端根據(jù)注冊(cè)碼向注冊(cè)申報(bào)系統(tǒng)提交獲取對(duì)應(yīng)DN的請(qǐng)求��,具體步驟如下(1)用戶向銀行提交注冊(cè)碼用戶獲得注冊(cè)碼后����,可以持相關(guān)證件和該注冊(cè)碼到另一家銀行的營(yíng)業(yè)網(wǎng)點(diǎn)進(jìn)行簽約,要求進(jìn)行數(shù)字證書跨行通用�����;(2)銀行向注冊(cè)申報(bào)系統(tǒng)提交請(qǐng)求銀行操作員根據(jù)用戶提交的注冊(cè)碼���,登錄CA的注冊(cè)申報(bào)系統(tǒng)提交請(qǐng)求����,要求查詢與注冊(cè)碼相對(duì)應(yīng)的用戶數(shù)字證書DN;(3)注冊(cè)申報(bào)系統(tǒng)查詢對(duì)應(yīng)的DN注冊(cè)申報(bào)系統(tǒng)接收到銀行提交的注冊(cè)碼后��,在數(shù)據(jù)庫(kù)中查詢是否有與其相對(duì)應(yīng)的DN�����,若有則返回對(duì)應(yīng)于該注冊(cè)碼的用戶數(shù)字證書DN��;若未在數(shù)據(jù)庫(kù)中查詢到對(duì)應(yīng)的DN����,則說明輸入的注冊(cè)碼有錯(cuò)或用戶的注冊(cè)碼過期或用戶從未進(jìn)行過注冊(cè);(4)返回DN注冊(cè)申報(bào)系統(tǒng)向銀行端返回查詢到的DN信息��。
全文摘要
本發(fā)明涉及信息安全技術(shù)領(lǐng)域�����,特別是通過數(shù)字?jǐn)?shù)據(jù)傳輸實(shí)現(xiàn)數(shù)字證書跨銀行通用的系統(tǒng)與方法�。系統(tǒng)包括數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)與銀行的接口,由數(shù)據(jù)庫(kù)����、應(yīng)用服務(wù)器����、Web服務(wù)器���、路由器、專網(wǎng)或公共網(wǎng)��、客戶端組成��。方法包括①數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)接受用戶客戶端提出的跨行申請(qǐng)�;②數(shù)字證書跨行通用注冊(cè)申報(bào)系統(tǒng)驗(yàn)證用戶已有數(shù)字證書的有效性;③系統(tǒng)自動(dòng)提取用戶數(shù)字證書的DN�,并返回跨行簽約的注冊(cè)碼;④銀行簽約系統(tǒng)接受用戶提交的注冊(cè)碼���;⑤銀行客戶端根據(jù)注冊(cè)碼向注冊(cè)申報(bào)系統(tǒng)提交對(duì)應(yīng)DN的請(qǐng)求����;⑥注冊(cè)申報(bào)系統(tǒng)判斷其有效后����,返回用戶DN信息。該系統(tǒng)實(shí)現(xiàn)了網(wǎng)上銀行用戶只要申請(qǐng)一張數(shù)字證書就可在不同銀行的網(wǎng)上銀行中通用����。
文檔編號(hào)G06Q40/00GK1996371SQ20061014426
公開日2007年7月11日 申請(qǐng)日期2006年11月30日 優(yōu)先權(quán)日2006年11月30日
發(fā)明者張昊, 黃蓉嶸, 邵志遠(yuǎn), 史佳樂, 李麗仙 申請(qǐng)人:銀聯(lián)金融認(rèn)證中心有限公司