本發明提供一種申請證書的方法，包括第一步驟，用戶終端向銀行子系統發送證書申請請求，所述證書申請請求包括用戶終端的設備ID；第二步驟，所述銀行子系統將所述證書申請請求發送給所述認證中心；第三步驟，所述認證中心中的移動密鑰中心根據所述證書申請請求中的設備ID，確定所述用戶終端的真偽，如果所述用戶終端為真，則將所述證書申請請求發送給所述銀行子系統，所述銀行子系統將所述證書申請請求發送給所述認證中心的證書認證服務器，以從所述證書認證服務器中申請證書。根據本發明，能夠使得證書的申請與特定的移動設備關聯起來，防止由于安全措施被篡改或者劫持而導致的安全性降低或喪失。

技術領域

本發明涉及計算機領域，更具體地，涉及移動端的金融交易安全領域。

背景技術

在現有的移動交易中，安裝有APP(例如銀行APP)的移動終端在申請數字證書時，通常可以將證書申請請求發送到銀行，銀行在將給請求轉發到CA認證中心。

但是，在現有技術中，證書的發送與所持有的設備沒有任何關聯，即證書的發放不依賴于特定終端。

這造成的缺陷在于，APP中相應的安全措施可能會被劫持或者篡改，從而在其他終端上也可以進行交易。這大大降低了移動交易的安全性。

發明內容

本發明的目的在于客戶現有技術中證書申請安全級別較低的缺陷。

根據本發明的第一方面，提供一種申請證書的方法，包括：第一步驟，用戶終端向銀行子系統發送證書申請請求，所述證書申請請求包括用戶終端的設備ID；第二步驟，所述銀行子系統將所述證書申請請求發送給所述認證中心；第三步驟，所述認證中心中的移動密鑰中心根據所述證書申請請求中的設備ID，確定所述用戶終端的真偽，如果所述用戶終端為真，則將所述證書申請請求發送給所述銀行子系統，所述銀行子系統將所述證書申請請求發送給所述認證中心的證書認證服務器，以從所述證書認證服務器中申請證書。

根據本發明的一個實施方式，其中，所述用戶終端包括安全單元SE，可信執行環境TEE和富執行環境REE，其中，所述SE用于存儲密鑰；所述TEE中用于存儲與所述密鑰相對應的可信應用TA；以及運行在所述REE中的APP，所述APP的運行基于所述SE中的密鑰和TEE中的TA；所述第一步驟包括：所述SE中的Applet生成密鑰對，并將所述密鑰對中的公鑰發送給所述TA；所述TA將所述公鑰和設備ID發送給REE中的APP；所述APP生成包括所述設備ID的證書申請請求，并將所述證書申請請求發送給所述銀行子系統。

根據本發明的一個實施方式，其中，所述銀行子系統包括應用服務器和證書注冊審核系統RA，所述第二步驟包括：所述應用服務器接收所述證書申請請求；所述應用服務器將所接收到的證書申請請求轉發給所述RA。

根據本發明的一個實施方式，其中，所述第三步驟包括：移動密鑰中心從所述RA中接收證書申請請求，并根據所述證書申請請求中的設備ID，確定所述用戶終端的真偽；如果所述用戶終端為真，則將所述證書申請請求發送給RA；所述RA將所述證書申請請求發送給所述認證中心的證書認證服務器CA，以從所述證書認證服務器中申請證書。

根據本發明的一個實施方式，將所申請的證書存儲在所述用戶終端的SE中或存儲在TEE中。

根據本發明第二方面，提供一種申請證書的系統，包括：用戶終端、與所述用戶終端通信的銀行子系統以及與所述銀行子系統通信的認證中心，其中，用戶終端配置為，向銀行子系統發送證書申請請求，所述證書申請請求包括用戶終端的設備ID；所述銀行子系統配置為，將所述證書申請請求發送給所述認證中心；所述認證中心包括移動密鑰中心和證書認證服務器，所述移動密鑰中心根據所述證書申請請求中的設備ID，確定所述用戶終端的真偽，如果所述用戶終端為真，則將所述證書申請請求發送給所述銀行子系統，所述銀行子系統將所述證書申請請求發送給所述證書認證服務器，以從所述證書認證服務器中申請證書。