[发明专利]一种银行USBKey证书申请防篡改保护方法及系统

说明书

本发明公开了一种银行USBKey证书申请防篡改保护方法及系统，方法包括：S100、网银应用调用证书申请模块并传入证书请求参数；S200、证书申请模块获取证书请求参数中的网银证书用途信息，向USBKey发送密钥对生成指令；S300、USBKey根据密钥对生成指令生成相应的密钥对，并将密钥对绑定网银证书用途信息；S400、证书申请模块向USBKey发送签名生成指令；S500、USBKey解析获取证书请求信息原文中的公钥和网银证书用途信息，根据公钥获取密钥对绑定的网银证书用途信息；S600、USBKey将证书请求信息原文中的网银证书用途信息与密钥对绑定的网银证书用途信息进行比对；S700、证书申请模块组织证书请求数据返回给网银应用。本发明能够解决网银证书用途在下证过程中被篡改的问题。

技术领域

本发明涉及银行网银应用领域，具体涉及一种银行USBKey证书申请防篡改保护方法及系统。

背景技术

由于银行定义了证书的应用场景，定义了网银证书用途，即交易签名证书只能用于对特定格式的数据签名，普通签名证书只能用于非特定格式数据签名。在证书下载过程中证书请求环节，USBKey的生成密钥对过程，网银应用请求的用途，在生成密钥对时存在被篡改的风险，为避免该风险，需要针对用途做防篡改防护。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种银行USBKey证书申请防篡改保护方法及系统，通过该方法及系统能够解决网银证书用途在下证过程中被篡改的问题。

为实现上述目的，本发明采用的技术方案如下：

一种银行USBKey证书申请防篡改保护方法，包括：

(1)网银应用调用证书申请模块并传入证书请求参数；

(2)所述证书申请模块解析所述参数，获取所述证书请求参数中的网银证书用途信息，根据所述网银证书用途信息向USBKey发送密钥对生成指令；

(3)所述USBKey接收所述网银证书用途信息和所述密钥对生成指令，根据所述密钥对生成指令生成相应的密钥对，并将所述密钥对绑定所述网银证书用途信息；

(4)所述证书申请模块将获取的所述USBKey生成的所述密钥对的公钥，解析所述参数获取的网银证书用途信息和其他信息组织并生成证书请求信息原文，根据所述证书请求信息原文向USBKey发送签名生成指令；

(5)所述USBKey接收所述证书请求信息原文和所述签名生成指令，解析获取所述证书请求信息原文中的公钥和网银证书用途信息，根据所述公钥获取所述密钥对绑定的网银证书用途信息；

(6)所述USBKey根据所述签名生成指令将所述证书请求信息原文中的网银证书用途信息与所述密钥对绑定的网银证书用途信息进行比对，若一致，则生成相应的签名，并将签名结果返回给所述证书申请模块；

(7)所述证书申请模块根据所述签名结果组织证书请求数据，将所述证书请求数据返回给所述网银应用。

进一步，如上所述的方法，步骤(1)包括：

网银应用通过调用者调用证书申请模块并传入参数；

所述调用者包括：安装程序进程，卸载程序进程，以及其他需要处理占用问题的程序进程。

进一步，如上所述的方法，步骤(3)中，将所述密钥对绑定所述网银证书用途信息包括：

将所述密钥对中的私钥绑定所述网银证书用途信息；

步骤(5)中，根据所述公钥获取所述密钥对绑定的网银证书用途信息包括：

根据所述公钥获取对应的私钥，获取该私钥绑定的网银证书用途信息。

进一步，如上所述的方法，步骤(6)还包括：