數字證書安全保護方法

專利名稱：數字證書安全保護方法
技術領域：
本發明涉及一種網絡服務安全保護方法，特別涉及一種數字證書安全保護的方法。
背景技術：
在互聯網上，識別用戶身份的方式有用戶名+密碼(ID+Password)、數字證書、動態口令卡等方式。對銀行用戶來說，這些識別方式的信息或設備都是從銀行柜臺或客戶經理那里設置并獲得的。
在使用數字證書識別用戶身份的系統中，第一客戶終端(計算機)在使用專業版軟件時，必須經過一個服務器驗證步驟，即激活獲取數字證書。用戶在其他客戶終端上使用上述專業版軟件時，必須將第一客戶終端的數字證書備份、并安裝恢復到該專業版軟件中，專業版軟件采取多重的復雜加密變換來保護本地數據。對攻擊者來說，相對于分布在多處需要多種運算加以解密的本地數據而言，盜取用戶的數字證書備份文件及其保護密碼再做證書恢復操作，要容易得多。

發明內容
本發明所要解決的技術問題在于，提供一種數字證書安全保護方法，以加強數字證書驗證方式中數字證書的保護。
本發明的技術方案是，提供一種數字證書安全保護方法，包括證書備份步驟和證書恢復步驟，所述證書備份步驟包括設置身份驗證步驟，所述證書恢復步驟包括身份驗證步驟。其中設置身份驗證步驟包括通過證書備份模塊設置用于身份驗證的問題及答案、并將問題和答案存儲到服務器端的存儲器的步驟；身份驗證步驟包括以下步驟服務器端的安全驗證模塊選擇存儲器上存儲的用于身份驗證的問題、客戶終端的證書恢復模塊通過人機交互界面答復驗證問題、服務器端的安全驗證模塊通過比較存儲于存儲器的驗證答案驗證問題答案、若通過驗證，客戶終端的證書恢復模塊執行證書恢復。
上述數字證書安全保護方法中，所述設置身份驗證步驟設置的問題為1個以上。
上述數字證書安全保護方法中，所述身份驗證的問題的選擇步驟首先選擇最后一次答錯的問題、從未問過的問題或時間間隔最長的問題。
本發明還提供一種數字證書安全保護方法，包括證書備份步驟和證書恢復步驟，所述證書備份步驟包括設置身份驗證步驟，所述證書恢復步驟包括身份驗證步驟。其中身份驗證步驟包括以下步驟服務器端的安全驗證模塊產生身份確認號、服務器端的安全驗證模塊根據存儲器中存儲的用戶信息通過短信服務平臺將身份確認號發送到用戶登記的手機、用戶終端的證書恢復模塊通過人機交互界面接收身份確認號的輸入、若通過驗證，客戶終端的證書恢復模塊執行證書恢復。
本發明還提供一種數字證書安全保護方法，包括證書備份步驟和證書恢復步驟，所述證書備份步驟包括設置身份驗證步驟，所述證書恢復步驟包括身份驗證步驟。身份驗證步驟包括以下步驟服務器端的安全驗證模塊產生身份確認號、服務器端的安全驗證模塊根據存儲器中存儲的用戶信息通過存儲器中存儲的登記電話發送身份確認號、用戶終端的證書恢復模塊通過人機交互界面接收身份確認號的輸入、若通過驗證，客戶終端的證書恢復模塊執行證書恢復。
上述數字證書安全保護方法中，所述身份驗證步驟還包括安全驗證模塊查詢存儲器中存儲的用戶信息驗證固定電話號碼的步驟。
本發明的數字證書安全保護方法，可防止數字證書驗證方式中數字證書被盜取帶來的安全隱患，提高了數字證書恢復過程中的安全性。


圖1是本發明的數字證書安全保護方法的系統結構圖。
圖2是本發明的數字證書安全保護方法的數字證書備份的流程圖。
圖3是本發明的數字證書安全保護方法的數字證書恢復的流程圖。
具體實施例方式
如圖1所示，系統服務器11一般位于遠程的服務端，如銀行內，其用于儲存系統數據，提供系統服務如安全驗證等。短信平臺12與系統服務器11連接，可將系統服務器11的驗證信息發送到手機13。客服電話系統14也與系統服務器11連接。使用者可通過固定電話15經由客服電話系統14向系統服務器11發送驗證請求。系統服務器11響應請求后將驗證信息通過客服電話系統14發送到客戶端的固定電話15。用戶終端16為使用者提供操作平臺，通過與服務器系統的交互，實現特定功能，所述用戶終端16可以有多個(圖1中僅示出一個)。
用戶終端16包括人機交互界面163、證書備份模塊162、證書恢復模塊163以及通訊接口161。人機交互界面163為用戶提供操作界面，用戶可通過該界面，輸入特定的控制命令，實現與系統的交互。證書備份模塊162用于實現證書備份時的數字證書備份文件，以及數字證書備份文件中的安全設置。證書恢復模塊163用于實現數字證書的恢復，以及數字證書恢復過程中的安全驗證。通訊接口161用于實現用戶終端16與系統服務器11的數據交互。
系統服務器11包括用于與用戶終端16、短信平臺12、客服電話系統14連接的通訊接口113。系統服務器11還包括用于實現數字證書備份及恢復過程中的安全驗證的安全驗證模塊112及存儲驗證信息的存儲器111。存儲器111中還存儲有用戶信息及對應的數字證書。
當用戶終端16第一次使用特定專用軟件，或重裝特定專用軟件、又沒有備份所述專用軟件的數字證書，就需要申請授權碼，經驗證身份，得到一個授權碼，即完成了證書申請。在進行身份驗證時，可登記特定的手機號碼或固定電話的號碼。然后在用戶終端16輸入授權碼，激活數字證書。
如圖2所示，在進行數字證書備份中，首先登錄用戶終端16的軟件系統(步驟S21)，并通過人機交互界面163控制證書備份模塊162進行證書備份作業(S22)，證書備份模塊162通過通訊接口161發送到系統服務器11端，安全驗證模塊112查詢存儲器111中的數據證書備份作業的歷史記錄并根據查詢結果判斷是否已經進行安全設置(步驟S23)。如果還未進行安全設置，則用戶終端16的證書備份模塊162通過人機交互界面163提示要求進行設置用于安全驗證的提示問題(步驟S24)，在本實施例中，設置的問題數至少為5個，以提高安全性。安全驗證模塊112將設置的安全信息存入存儲器111并在存儲器中存儲數字證書已設置安全驗證的記錄。然后證書備份模塊162進行證書備份(步驟S25)。如果已經進行安全設置，則直接進入步驟S25，進行證書備份。上述設置的問題可以是“你曾就讀的學校校名”，“你某親友的生日/電話號碼”，其中該親友可用一個漢字來標識。此外，由于本實施例的證書備份步驟與一般證書備份相同，在此不作贅述。
如圖3所示，在進行證書恢復時，首先通過人機交互界面163向證書恢復模塊163發送證書恢復命令，以進行證書恢復(步驟S311)，證書恢復模塊163判斷是否選擇使用身份驗證碼進行驗證(步驟S312)。如果不采用身份驗證碼進行驗證，則系統服務器11的安全驗證模塊112從存儲器111中存儲的數字證書備份步驟中設置的問題中選擇一個，進行提問(步驟S313)。安全驗證模塊112在挑選問題時，其選擇策略是首先選擇最后一次答錯的問題，從未問過的問題或者正確回答過而時間間隔最長的問題。人機交互界面163根據提示，接收使用者輸入的答案(步驟S314)。安全驗證模塊112根據存儲器111中存儲的數字證書備份的數據，判斷是否通過驗證，即用戶終端16接收的答案是否與設置時的一致(步驟S318)。若通過驗證，則進行證書恢復(步驟S321)；若未通過驗證，則提示恢復失敗(步驟S320)。
如果采用身份驗證碼驗證，則安全驗證模塊112產生一個身份確認號(步驟S315)，并判斷根據使用者的選擇判斷是否使用手機短信方式驗證(步驟S316)。若采用手機短信方式驗證，則系統服務器11根據存儲器111中存儲的用戶信息通過短信平臺12發送身份確認號到使用者的已登記的手機13(步驟S317)，用戶終端16接收身份驗證碼輸入，并通過互聯網發送到系統服務器11，系統服務器11判斷用戶終端是否通過驗證，即身份驗證碼是否與其發送的驗證碼一致(步驟S318)。若通過驗證，則執行步驟S321，否則執行步驟S320。
如果不采用手機短信驗證，則通過已登記的固定電話15呼叫客服電話系統14，要求身份驗證(步驟S319)，系統服務器11根據存儲器111中存儲的用戶信息通過客服電話系統14發送身份驗證碼(步驟S317)，并依次執行隨后的步驟。
權利要求
1.一種數字證書安全保護方法，包括證書備份步驟和證書恢復步驟，其特征在于，所述證書備份步驟包括設置身份驗證步驟，所述證書恢復步驟包括身份驗證步驟。
2.根據權利要求1所述數字證書安全保護方法，其特征在于，所述設置身份驗證步驟包括通過證書備份模塊設置用于身份驗證的問題及答案、并將問題和答案存儲到服務器端的存儲器的步驟。
3.根據權利要求1所述數字證書安全保護方法，其特征在于，所述設置身份驗證步驟設置的問題為1個以上。
4.根據權利要求2所述數字證書安全保護方法，其特征在于，所述身份驗證步驟包括以下步驟服務器端的安全驗證模塊選擇存儲器上存儲的用于身份驗證的問題；客戶終端的證書恢復模塊通過人機交互界面答復驗證問題；服務器端的安全驗證模塊通過比較存儲于存儲器的驗證答案驗證問題答案；若通過驗證，客戶終端的證書恢復模塊執行證書恢復。
5.根據權利要求4所述數字證書安全保護方法，其特征在于，所述身份驗證的問題的選擇步驟首先選擇最后一次答錯的問題、從未問過的問題或時間間隔最長的問題。
6.根據權利要求1所述數字證書安全保護方法，其特征在于，所述身份驗證步驟包括以下步驟服務器端的安全驗證模塊產生身份確認號；服務器端的安全驗證模塊根據存儲器中存儲的用戶信息通過短信服務平臺將身份確認號發送到用戶登記的手機；用戶終端的證書恢復模塊通過人機交互界面接收身份確認號的輸入；若通過驗證，客戶終端的證書恢復模塊執行證書恢復。
7.根據權利要求1所述數字證書安全保護方法，其特征在于，所述身份驗證步驟包括以下步驟服務器端的安全驗證模塊產生身份確認號；服務器端的安全驗證模塊根據存儲器中存儲的用戶信息通過存儲器中存儲的登記電話發送身份確認號；用戶終端的證書恢復模塊通過人機交互界面接收身份確認號的輸入；若通過驗證，客戶終端的證書恢復模塊執行證書恢復。
8.根據權利要求7所述數字證書安全保護方法，其特征在于，所述身份驗證步驟還包括安全驗證模塊查詢存儲器中存儲的用戶信息驗證固定電話號碼的步驟。
全文摘要
本發明涉及一種數字證書安全保護方法，包括證書備份步驟和證書恢復步驟，所述證書備份步驟包括設置身份驗證步驟，所述證書恢復步驟包括身份驗證步驟其中身份驗證步驟可以通過問答方式或實時的身份驗證碼方式。本發明的數字證書安全保護方法，可防止數字證書驗證方式中數字證書被盜取帶來的安全隱患，提高了數字證書恢復過程中的安全性。
文檔編號H04L9/32GK1725684SQ20041005084
公開日2006年1月25日 申請日期2004年7月23日 優先權日2004年7月23日
發明者(要求不公開發明人姓名) 申請人:招商銀行股份有限公司