本發明公開了一種銀行USBKey證書申請防篡改保護方法及系統，方法包括：S100、網銀應用調用證書申請模塊并傳入證書請求參數；S200、證書申請模塊獲取證書請求參數中的網銀證書用途信息，向USBKey發送密鑰對生成指令；S300、USBKey根據密鑰對生成指令生成相應的密鑰對，并將密鑰對綁定網銀證書用途信息；S400、證書申請模塊向USBKey發送簽名生成指令；S500、USBKey解析獲取證書請求信息原文中的公鑰和網銀證書用途信息，根據公鑰獲取密鑰對綁定的網銀證書用途信息；S600、USBKey將證書請求信息原文中的網銀證書用途信息與密鑰對綁定的網銀證書用途信息進行比對；S700、證書申請模塊組織證書請求數據返回給網銀應用。本發明能夠解決網銀證書用途在下證過程中被篡改的問題。

技術領域

本發明涉及銀行網銀應用領域，具體涉及一種銀行USBKey證書申請防篡改保護方法及系統。

背景技術

由于銀行定義了證書的應用場景，定義了網銀證書用途，即交易簽名證書只能用于對特定格式的數據簽名，普通簽名證書只能用于非特定格式數據簽名。在證書下載過程中證書請求環節，USBKey的生成密鑰對過程，網銀應用請求的用途，在生成密鑰對時存在被篡改的風險，為避免該風險，需要針對用途做防篡改防護。

發明內容

針對現有技術中存在的缺陷，本發明的目的在于提供一種銀行USBKey證書申請防篡改保護方法及系統，通過該方法及系統能夠解決網銀證書用途在下證過程中被篡改的問題。

為實現上述目的，本發明采用的技術方案如下：

一種銀行USBKey證書申請防篡改保護方法，包括：

(1)網銀應用調用證書申請模塊并傳入證書請求參數；

(2)所述證書申請模塊解析所述參數，獲取所述證書請求參數中的網銀證書用途信息，根據所述網銀證書用途信息向USBKey發送密鑰對生成指令；

(3)所述USBKey接收所述網銀證書用途信息和所述密鑰對生成指令，根據所述密鑰對生成指令生成相應的密鑰對，并將所述密鑰對綁定所述網銀證書用途信息；

(4)所述證書申請模塊將獲取的所述USBKey生成的所述密鑰對的公鑰，解析所述參數獲取的網銀證書用途信息和其他信息組織并生成證書請求信息原文，根據所述證書請求信息原文向USBKey發送簽名生成指令；

(5)所述USBKey接收所述證書請求信息原文和所述簽名生成指令，解析獲取所述證書請求信息原文中的公鑰和網銀證書用途信息，根據所述公鑰獲取所述密鑰對綁定的網銀證書用途信息；

(6)所述USBKey根據所述簽名生成指令將所述證書請求信息原文中的網銀證書用途信息與所述密鑰對綁定的網銀證書用途信息進行比對，若一致，則生成相應的簽名，并將簽名結果返回給所述證書申請模塊；

(7)所述證書申請模塊根據所述簽名結果組織證書請求數據，將所述證書請求數據返回給所述網銀應用。

進一步，如上所述的方法，步驟(1)包括：

網銀應用通過調用者調用證書申請模塊并傳入參數；

所述調用者包括：安裝程序進程，卸載程序進程，以及其他需要處理占用問題的程序進程。

進一步，如上所述的方法，步驟(3)中，將所述密鑰對綁定所述網銀證書用途信息包括：

將所述密鑰對中的私鑰綁定所述網銀證書用途信息；

步驟(5)中，根據所述公鑰獲取所述密鑰對綁定的網銀證書用途信息包括：

根據所述公鑰獲取對應的私鑰，獲取該私鑰綁定的網銀證書用途信息。

進一步，如上所述的方法，步驟(6)還包括：