系统用户的数字证书绑定方法、系统及数字证书认证中心 【技术领域】
本发明实施例涉及信息安全技术领域,尤其涉及一种系统用户的数字证书绑定方法、系统及数字证书认证中心。
背景技术
随着信息网络技术的高速发展,网络安全问题已经成为目前最大的网络安全隐患,网上银行、支付平台、网上证券交易等各个方面都涉及到用户的个人隐私信息,需要相关的信息安全技术对网络中传输这些用户信息进行安全保护。于是,数字证书技术应运而生,作为一种应用较为广泛的信息安全保护技术,第三方权威认证机构为系统中的用户签发并管理的数字证书,具有真实性、防抵赖和防篡改的功能,可对用户在网上传输的信息进行有效保护和安全的传递,从而保证了交易过程的安全。
对于系统的每一个用户而言,数字证书相当于一个电子身份证,存储在特定的存储介质,例如“USB Key”中,当用户因为存储介质的丢失或损坏等原因,而造成数字证书不能使用,需要对其进行更换时,该用户需要向证书颁发中心申请一新的数字证书,以供用户的重新使用。在该新的数字证书的申请过程中,用户向证书颁发中心发送一用于指示证书颁发中心重新为其生成数字证书的请求,以及与该用户相关的用户信息,证书颁发中心若验明该用户信息的身份,将重新为该用户绑定一新的数字证书。
这种数字证书的重建方法对于系统中的普通用户来说,具有一定的可行性,但是对于系统中操作权限较高的系统用户而言,却存在一定的弊端。系统用户在整个系统中负责对所有普通用户进行管理,为系统中比较重要的“角色”,因此在实际应用中,若系统用户重新生成数字证书的过程不够严谨,当恶意的软件模拟系统用户生成重新绑定数字证书的请求,以及生成相应的用户信息并发送给认证中心时,认证中心接收到该请求,经过简单的身份验证后,便为其生成新的数字证书。此时会导致系统中真正的系统用户无法通过原有的数字证书进行相关功能的操作,从而会给系统对普通用户信息的管理带来了安全隐患,进一步地可能为整个系统、以及系统的各用户带来重大的经济损失。
【发明内容】
本发明实施例提供一种系统用户的数字证书绑定方法、系统及数字证书认证中心,用以为系统中的系统用户提供一种当数字安全证书遗失或损坏时的、更为安全可靠的数字证书的生成及绑定的方法。
本发明实施例提供一种系统用户的数字证书绑定方法,包括:
接收到数个系统用户中一系统用户发送的、携带有用户信息的数字证书重新绑定请求后,向所述数个系统用户分别发送口令输入提示信息;
分别接收所述数个系统用户根据所述口令输入提示信息而返回的口令,并对接收到的数个口令进行验证;
若验证成功,则生成与所述用户信息绑定的数字证书,并将所述数字证书返回给发送所述数字证书重新绑定请求的系统用户。
本发明实施例提供一种数字证书认证中心,包括:
第一发送模块,用于接收到数个系统用户中一系统用户发送的、携带有用户信息的数字证书重新绑定请求后,向所述数个系统用户分别发送口令输入提示信息;
口令验证模块,用于分别接收所述数个系统用户根据所述口令输入提示信息而返回的口令,并对接收到的数个口令进行验证;
数字证书生成模块,用于若验证成功,则生成与所述用户信息绑定的数字证书,并将所述数字证书返回给发送所述数字证书重新绑定请求的系统用户。
本发明实施例提供一种系统用户的数字证书绑定系统,包括:多个系统用户以及上述的数字证书认证中心。
本发明实施例的系统用户的数字证书绑定方法、系统及数字证书认证中心,通过在系统的数字证书认证中心接收到系统用户发送的数字证书重新绑定请求后,并不立即直接为其生成绑定的新的数字证书,而是只有在接收到了系统地多个系统用户再次返回的正确的口令后,才为其绑定生成新的证书,从而保证了新的数字证书生成是在基于一真实可靠的申请请求下产生的,避免了因恶意软件模拟系统用户进行的数字证书重新绑定请求,而给整个系统带来的安全隐患。
【附图说明】
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明系统用户的数字证书绑定方法实施例一流程图;
图2为本发明系统用户的数字证书绑定方法实施例二流程图;
图3为本发明数字证书认证中心实施例结构示意图;
图4为本发明系统用户的数字证书绑定系统实施例结构示意图。
【具体实施方式】
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明系统用户的数字证书绑定方法实施例一流程图,如图1所示,本实施例的方法至少包括如下步骤:
步骤100,接收到数个系统用户中一系统用户发送的、携带有用户信息的数字证书重新绑定请求后,向数个系统用户分别发送口令输入提示信息;
在一个信息系统中,尤其是在一个对安全性的要求较高、涉及到的用户信息(例如资金)较为敏感、对用户的创建以及管理的要求比较严格的信息系统中,通常会包括多个用户角色,例如普通的个人用户、普通的企业用户,以及用于对这些普通用户进行管理的系统用户。其中,不同的用户角色对应着不同的权限以及功能,系统用户作为整个系统的核心,不仅负责对普通用户的权限及功能进行管理,还负责对新的普通用户的创建进行相关的审核。通常一个系统中可以同时设置多个系统用户,每个单独的系统用户对应不同的操作权限功能,各个系统用户分工合作,共同对整个系统中的所有用户进行管理。例如,系统用户中可以包括:负责给用户分配口令、发放数字证书的用户管理员;负责指派用户角色的权限管理员;以及负责对用户角色进行复核和对用户角色的权限进行激活的安全审计员等。
系统中普通用户的数字证书以及登录口令可以由系统用户予以分配及发放,但是对于系统用户自身而言,系统的数字证书认证中心也会对其绑定一数字证书,该数字证书用于保证系统用户的信息传递的安全。若某一系统用户的数字证书发生遗失或者损坏,该系统用户通过重新申请,可以获得数字认证中心为其重新生成的新的数字证书。但是鉴于系统用户在系统中角色的重要性,实际应用中,若系统为系统用户重新生成数字证书的过程不够严谨,当恶意的软件模拟系统用户生成数字证书重新绑定的请求,以及模拟生成相应的用户信息发送给认证中心时,认证中心接收到该请求,经过简单的验证后,便为其生成新的数字证书,此时会导致真正的系统用户无法通过原有的数字证书进行相关功能的操作,从而会造成系统的混乱,并给用户信息的管理带来了安全隐患,进一步地可能为整个系统带来重大的经济损失。
因此,在本发明实施例中,提出了一种更为安全可靠的数字证书的生成及绑定的方法。具体地,系统中的任一系统用户若发生了数字证书遗失或损坏,需要重新申请绑定一新的数字证书时,向数字证书认证中心发送一携带有其用户信息的数字证书重新绑定请求。数字证书认证中心接收到该请求后,得知该系统用户的数字证书需要进行更换,即需要为其重新绑定一新的证书。于是,为了更加确保该请求的准确性以及可靠性,数字证书认证中心此时并不立即为其生成及绑定新的数字证书,而是向该系统中的多个系统用户都发送一口令输入提示信息。此处所指的系统中的多个系统用户可以为系统中所有的系统用户,其中甚至包括了发送数字证书重新绑定请求的系统用户,而该口令输入提示信息则用于提示各系统用户,分别输入其预先设置的登录口令,以用于数字证书认证中心在生成新的数字证书之前,对所有系统用户输入的该登录口令进行验证,从而确保此次数字证书重新绑定请求的真实性。
步骤101,分别接收数个系统用户根据所述口令输入提示信息而返回的口令,并对接收到的数个口令进行验证;
系统中的多个系统用户在接收到数字证书认证中心发送的口令输入提示信息后,可以通过相互询问或者其他的方式,确认是否存在一系统用户需要更换数字证书的事实。若确认到此情况属实,则可以在操作界面上输入其预设的口令,从而发送给数字证书认证中心。而数字证书认证中心接收到各个系统用户返回的各个口令后,对接收到的与各个系统用户对应的多个口令进行验证,以确认接收到的口令是否正确。
步骤102,若验证成功,则生成与用户信息绑定的数字证书,并将生成的数字证书发送给发送数字证书重新绑定请求的系统用户。
具体地,若数字证书认证中心对接收到的所有口令进行验证后,验证的结果为多个系统用户的口令均为正确的预设口令,即验证成功时,数字证书认证中心由此得知此时接收到的、系统用户发送的数字证书重新绑定请求为一真实可信的请求。于是,认证中心根据该请求中携带的用户信息,为该系统用户生成一与该用户信息绑定新的数字证书,并将该生成的新的数字证书返回发送该数字证书重新绑定请求的系统用户,至此,数字证书认证中心为系统用户生成一新的数字证书的过程完成。
本实施例的系统用户的数字证书绑定方法,通过在系统的数字证书认证中心接收到系统用户发送的数字证书重新绑定请求后,并不立即直接为其生成绑定的新的数字证书,而是只有在接收到了系统的多个系统用户再次返回的正确的口令后,才为其绑定生成新的证书,从而保证了新的数字证书生成是在基于一真实可靠的申请请求下产生的,避免了因恶意软件模拟系统用户进行的数字证书重新绑定请求,而给整个系统带来的安全隐患。
图2为本发明系统用户的数字证书绑定方法实施例二流程图,如图2所示,本实施例的方法至少包括如下步骤:
步骤200,系统中的一系统用户在数字证书遗失或损坏时,向数字证书认证中心发送携带有用户信息的数字证书重新绑定请求;
当一个信息系统中,多个系统用户中的任一系统用户由于数字证书发生遗失或损坏,需要重新申请绑定一新的数字证书时,向数字证书认证中心发送一数字证书重新绑定请求,以向数字证书认证中心申请为其生成并绑定一新的数字证书。该数字证书重新绑定请求中携带有用于生成新的数字证书的、与该系统用户相关的用户信息。
步骤201,数字证书认证中心向系统中的数个系统用户分别发送口令输入提示信息;
数字证书认证中心接收到系统用户发送的数字证书重新绑定请求后,得知该系统用户的数字证书需要进行更换,即需要为其重新绑定生成一新的数字证书。但是,为了更加确保接收到的该请求的真实准确性及可靠性,数字证书认证中心此时并不立即开始进行新的绑定数字证书的生成,而是首先向系统中的所有的系统用户发送一口令输入提示信息。该口令输入提示信息用于提示各系统用户分别向数字证书认证中心输入其预先设置的登录口令,以用于数字证书认证中心在进行新的数字证书的生成之前,对所有的系统用户输入的登录口令进行验证。
步骤202,各系统用户根据接收到的口令输入提示信息,分别返回各自的口令给数字证书认证中心;
系统中的所有系统用户在接收到数字证书认证中心发送的口令输入提示信息后,得知此时有一系统用户需要进行数字证书的重新绑定及生成,于是各系统用户可以通过相互查询或者其他的方式,确认是否存在这样的真正现象。具体地,此时包括了两种情况:
第一种情况,对于发送数字证书重新绑定请求的系统用户自身而言,其可以通过该接收到的数字证书认证中心发送的口令输入提示信息,判断自身是否在之前发出过数字证书重新绑定的请求。若没有,则可以断定之前数字证书认证中心接收到的请求为恶意软件伪造的请求,于是,该系统用户忽略接收到的口令输入提示信息,无需输入其预设的口令,而数字证书认证中心若接收不到其返回的口令后,将不会执行后续的操作,从而不会为其生成新的数字证书;
第二种情况,对于系统中其他的系统用户而言,在接收到该口令输入提示信息后,可以彼此证实是否存在系统用户向认证中心发出数字证书重新绑定请求的现象。若通过查询证实了这一现象,则其他的系统用户输入其预设的口令,返回给数字证书认证中心,以用于后续的验证。
步骤203,数字证书认证中心对接收到的多个口令进行验证,若验证成功,执行步骤204,若验证失败,执行步骤206;
数字证书认证中心接收到所有的系统用户返回的各个口令后,对该多个口令进行验证,与其数据库中存储的与各个系统用户对应的口令进行对比,若全都一致,则验证成功,继续下述的数字证书生成的步骤,若有任意有一个不一致,则表示验证失败,于是转而进行其他的步骤。
步骤204,数字证书认证中心生成与所述用户信息绑定的数字证书,并将该数字证书发送给请求发送数字证书重新绑定请求的系统用户;
具体地,若在上述步骤203中,数字证书认证中心通过对接收到的所有口令的验证,得到的结果为所有口令均正确,即验证成功,则代表之前接收到的、系统用户发送的数字证书重新绑定请求为一真实可信的请求。于是,数字证书认证中心从接收到的数字证书重新绑定请求中,提取出其中携带的系统用户的用户信息,为其生成一与该用户信息绑定新的数字证书,并将该生成新的数字证书发送对应的系统用户,完成了新的数字证书的绑定过程。
具体地,本步骤中新的数字证书的生成及绑定过程包括:数字证书认证中心根据提取出的用户信息,判明申请者的真实身份后,为该申请者,即系统用户分配一个公钥;接着,数字证书认证中心将生成的该公钥与提取出的用户信息进行绑定,并为其签字后,便形成了一新的数字证书,从而可以将该新的数字证书发送给申请方的系统用户。
需要说明的是,在本步骤中,本实施例只是具体列举了一种较为普遍的数字证书的生成方法,而对于现有技术中其他的数字证书生成的具体方法都应在本发明实施例中所保护的范围之内。
步骤205,数字证书认证中心删除与上述系统用户绑定的原有数字证书,结束本流程;
而数字证书认证中心在为系统用户生成一新的数字证书的后,为了使该系统用户能够准确运用该新的数字证书进行信息的传递,还需将其数据库中之前存储的与该系统用户对应的原有数字证书进行删除,从而使得其数据库中保存的为系统用户的新的数字证书。
步骤206,数字证书认证中心发送验证失败信息给所有的系统用户。
而若在上述步骤203中,数字证书认证中心通过对接收到的所有口令的验证,得到验证失败的结果,数字证书认证中心则会发送验证失败信息给所有的系统用户,以告知此次验证不成功,不能执行新的数字证书绑定的结果。具体地,此处所指的验证失败包括多种情况,例如:接收到的所有系统用户的多个口令中有任一或者多个口令是不正确的,或者没有接收到所有系统用户返回的口令,即存在有系统用户没有返回口令的情况。无论哪种情况下,只要数字证书认证中心的在上述步骤203中对系统用户返回的口令的验证结果为失败,数字证书认证中心都将认为此次接收到的数字证书重新绑定请求为一不真实可靠的请求,从而不会执行为其生成新的绑定数字证书的操作。
本实施例的系统用户的数字证书绑定方法,通过在系统的数字证书认证中心接收到系统用户发送的数字证书重新绑定请求后,并不立即直接为其生成绑定的新的数字证书,而是只有在接收到了系统的所有系统用户再次返回的正确的口令后,才为其绑定生成新的证书,从而保证了新的数字证书生成是在基于一真实可靠的申请请求下产生的,避免了因恶意软件模拟系统用户进行的数字证书重新绑定请求,而给整个系统带来的安全隐患。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图3为本发明数字证书认证中心实施例结构示意图,如图3所示,本实施例的数字证书认证中心包括:第一发送模块11、口令验证模块12和数字证书生成模块13。其中,第一发送模块11用于接收到数个系统用户中一系统用户发送的、携带有用户信息的数字证书重新绑定请求后,向数个系统用户分别发送口令输入提示信息;口令验证模块12用于分别接收数个系统用户根据口令输入提示信息而返回的口令,并对接收到的数个口令进行验证;数字证书生成模块13则用于若验证成功,则生成与用户信息绑定的数字证书,并将数字证书返回给发送数字证书重新绑定请求的系统用户。
具体地,本实施例中的上述所有模块所涉及的具体工作过程,可以参考上述系统用户的数字证书绑定方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的数字证书认证中心,通过在接收到系统用户发送的数字证书重新绑定请求后,并不立即直接为其生成绑定的新的数字证书,而是只有在接收到了系统的所有系统用户再次返回的正确的口令后,才为其绑定生成新的证书,从而保证了新的数字证书生成是在基于一真实可靠的申请请求下产生的,避免了因恶意软件模拟系统用户进行的数字证书重新绑定请求,而给整个系统带来的安全隐患。
进一步地,在上述技术方案的基础上,本实施例的数字证书认证中心还可以包括第二发送模块14和原数字证书删除模块15。其中第二发送模块14用于若口令验证模块12对接收到的数个口令的验证失败时,向数个系统用户发送验证失败的信息,此处所指的验证失败指的是对数个口令中的任一口令的验证失败;而原数字证书删除模块15则用于在数字证书生成模块13生成与用户信息绑定的数字证书的同时,删除数据库中与该系统用户绑定的原有数字证书。
更进一步地,本实施例数字证书认证中心的数字证书生成模块13还可以进一步地包括:公钥分配子模块131、信息绑定子模块132和数字证书发送子模块133。其中,公钥分配子模块131用于从接收到的数字证书重新绑定请求中提取出用户信息,并为用户信息分配一公钥;信息绑定子模块132用于将公钥分配子模块131分配的公钥与用户信息进行绑定,并签名生成数字证书;而数字证书发送子模块133则用于将数字证书发送给发送数字证书重新绑定请求的系统用户。
具体地,上述所有模块所涉及的具体工作过程,同样可以参考上述系统用户的数字证书绑定方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
图4为本发明系统用户的数字证书绑定系统实施例结构示意图,如图4所示,本实施例的系统用户的数字证书绑定系统包括:多个系统用户1,以及与多个系统用户1连接的数字证书认证中心2。具体地,本实施例中的数字证书认证中心2中所包括的所有功能模块,以及这些功能模块所涉及的具体工作过程,可以参考上述系统用户的数字证书绑定方法、以及数字证书认证中心所涉及的相关实施例披露的相关内容,在此不再赘述。
本实施例的系统用户的数字证书绑定系统,通过在系统的数字证书认证中心接收到系统用户发送的数字证书重新绑定请求后,并不立即直接为其生成绑定的新的数字证书,而是只有在接收到了系统的所有系统用户再次返回的正确的口令后,才为其绑定生成新的证书,从而保证了新的数字证书生成是在基于一真实可靠的申请请求下产生的,避免了因恶意软件模拟系统用户进行的数字证书重新绑定请求,而给整个系统带来的安全隐患。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。