技術領域

本發明涉及數字證書技術，特別是涉及一種文件數字證書安全控制方法及系統。

背景技術

目前，為了提高身份驗證的可靠性，互聯網業務中廣泛采用了數字證書方式標識信息系統使用者的合法身份。數字證書一般采用兩種方式存儲：一種是以硬件USB?Key(是一種智能存儲設備，可用于存放網銀證書，可進行數字簽名和簽名驗證的運算)作為存儲介質的移動證書，一種是以文件形式保存于硬盤等普通存儲介質中的文件數字證書。

其中，移動證書通過USB?Key中的安全控制芯片以硬件方式保護數字證書的安全，在正常情況下，不法分子無法從USB?Key中復制出數字證書，除非竊取用戶的USB?Key，其他人一般無法冒用用戶的數字證書身份信息偽冒用戶身份進行欺詐活動。因此，移動證書的可靠性相對較高。

而文件數字證書通常以文件形式保存在用戶的計算機中，依靠安全控制系統(如IE瀏覽器、客戶端軟件等)以軟件方式保護其安全。由于文件數字證書保存在用戶計算機中，移動應用性較差，因此為便于用戶在其他計算機中使用，所述安全控制軟件提供了文件數字證書導出功能，在用戶不進行安全限制的情況下，不法分子可以輕易地利用該功能竊取用戶的文件數字證書。因此，文件數字證書的安全性相對較低。

以IE瀏覽器中的數字證書管理為例，具體說明不法分子盜取文件數字證書的過程。用戶將數字證書下載后導入IE瀏覽器中，導入時由用戶選擇是否可以備份密鑰。為了可以在其他計算機中使用，大多數用戶均選擇可以備份密鑰，也就是說，用戶可以將IE瀏覽器中的數字證書(包括密鑰)導出，復制到其他計算機中。因此，不法分子可通過在用戶計算機中植入木馬或病毒，由木馬或病毒調用IE瀏覽器的證書導出功能，非法獲得用戶的數字證書，然后將數字證書導入其他計算機中進行使用，竊取用戶的賬戶資金。

由上例可知，文件數字證書極易被盜取，安全問題存在隱患。但在實際應用中，雖然移動證書的安全性相對較高，但是由于移動證書使用USB?Key保存證書，用戶需要另行購買USB?Key硬件設備，增加了用戶的使用成本；同時，大多數USB?Key使用時需安裝驅動程序，用戶易用性相對較差。從目前數字證書的使用情況來看，大多數用戶仍然廣泛使用保存于硬盤等普通存儲介質中的文件數字證書。因此，文件數字證書的安全性問題急待解決。

發明內容

本發明所要解決的技術問題是提供一種文件數字證書安全控制方法及系統，以解決目前的文件數字證書安全性低，易被盜取的問題。

為解決上述技術問題，根據本發明提供的具體實施例，本發明公開了以下技術方案：

文件數字證書安全控制方法，包括：

在數字證書客戶端生成唯一的設備識別碼，發送給服務器；

服務器驗證所述設備識別碼是否與登記的設備識別碼相同，若相同，則驗證通過；

若不同，服務器對數字證書使用者的身份進行核實，若核實通過，則重新建立新的設備識別碼與數字證書的對應關系；若核實未通過，則驗證過程失敗。

優選的，所述方法還包括：服務器生成隨機密鑰，發送給申請驗證的客戶端；客戶端利用所述密鑰對設備識別碼進行加密后，再發送給服務器；相應的，服務器解密獲得設備識別碼后，再進行驗證。?

其中，所述服務器登記設備識別碼的步驟包括：客戶端第一次生成設備識別碼并發送給服務器時，服務器將該設備識別碼與對應該客戶端的文件數字證書綁定。

其中，所述數字證書客戶端生成唯一設備識別碼的步驟包括：獲取至少一個計算機設備的標識信息，并進行字符變換；對變換后的字符串進行移位和異或操作；采用信息-摘要算法計算字符串，生成設備識別碼。

或者，所述數字證書客戶端生成唯一設備識別碼的步驟包括：獲取至少一個計算機設備的標識信息，并進行字符變換；采用安全哈希算法計算字符串，生成消息摘要；對所述消息摘要進行移位和異或操作；再次進行字符變換，生成設備識別碼。

其中，所述計算機設備的標識信息包括CPU序列號、硬盤序列號及網卡MAC地址。

其中，所述身份核實包括核實數字證書使用者的姓名、身份證號及聯系電話。

文件數字證書安全控制系統，包括：

計算機設備，用于保存文件數字證書；

專用插件，安裝于所述計算機設備，用于生成唯一的設備識別碼，并通過計算機設備發送給驗證服務器；