本發明提供一種實現終端解綁和重綁的方法及系統，屬于信息安全領域。特權級服務器接收終端發送的密鑰管理指令并判斷密鑰管理指令的類型，如為特權級重新綁定指令則根據終端證書標識、服務器證書標識和特權級服務器證書生成特權級重新綁定數據包并發送給終端進行驗證，如驗證成功則終端清除保存的所有密鑰，用特權級重新綁定數據包中的特權級服務器證書替換普通服務器證書；如密鑰管理指令的類型為特權級解綁指令則特權級服務器根據終端證書標識和服務器證書標識組成特權級解綁數據包并發送給終端進行驗證，如驗證成功則終端清除保存的所有密鑰和普通服務器證書。本發明適用終端失去執行“解除綁定”或是“重新綁定”的情況，安全可靠，成本低。

技術領域

本發明涉及信息安全領域，尤其涉及一種實現終端解綁和重綁的方法及系統。

背景技術

終端在和服務器完成綁定以后，終端會因各種原因失去了執行“解除綁定”或“重新綁定”的能力。例如當服務器的私鑰泄露，需要通過一種方法進行重新綁定新的服務器，現有技術中如果遇到終端失去了執行“解除綁定”或是“重新綁定”的能力，只能進行返廠處理，操作繁瑣成本高，使用也不便。

發明內容

本發明的目的是為了克服現有技術的不足，提供一種實現終端解綁和重綁的方法及系統。

本發明提供了一種實現終端解綁和重綁的方法，在終端預先保存有特權級數據包認證證書、普通服務器證書和特權級服務器認證公鑰，在特權級服務器中預先保存有特權級服務器證書和多個普通服務器證書，所述方法包括：

步驟S1：當所述終端接收到用戶的觸發信息時給所述特權級服務器發送密鑰管理指令；

步驟S2：所述特權級服務器接收所述密鑰管理指令并判斷所述密鑰管理指令的類型，如為特權級重新綁定指令則執行步驟S3，如為特權級解綁指令則執行步驟S6；

步驟S3：所述特權級服務器根據所述特權級重新綁定指令獲取對應的終端證書標識和普通服務器標識，根據所述終端證書標識、與所述普通服務器標識對應的普通服務器證書中的服務器證書標識和保存的特權級服務器證書生成特權級重新綁定數據包并發送給所述終端；

步驟S4：所述終端使用保存的特權級數據包認證證書和特權級服務器認證公鑰對所述特權級重新綁定數據包進行驗證，如驗證成功則執行步驟S5，如驗證失敗則報錯；

步驟S5：所述終端清除保存的所有密鑰，用所述特權級重新綁定數據包中的特權級服務器證書替換保存的普通服務器證書；

步驟S6：所述特權級服務器根據所述特權級解綁指令獲取對應的終端證書標識和普通服務器標識，根據所述終端證書標識、與普通服務器標識對應的普通服務器證書中的服務器證書標識組成特權級解綁數據包并發送給所述終端；

步驟S7：所述終端使用保存的特權級數據包認證證書對所述特權級解綁數據包進行驗證，如驗證成功則執行步驟S8，如驗證失敗則報錯；

步驟S8：所述終端清除保存的所有密鑰和普通服務器證書；

所述步驟S4中的所述終端使用保存的特權級數據包認證證書和特權級服務器認證公鑰對所述特權級重新綁定數據包進行驗證，具體為：

步驟a1：所述終端使用保存的特權級數據包認證證書對所述特權級重新綁定數據包中的第一簽名值進行驗證，如驗證成功則繼續，如驗證失敗則報錯；

步驟b1：所述終端判斷所述特權級重新綁定數據包中的終端證書標識是否與保存的終端證書標識匹配，是則繼續，否則驗證失敗，報錯；

步驟c1：所述終端判斷所述特權級重新綁定數據包中的服務器證書標識是否與保存的普通服務器證書中的服務器證書標識匹配，是則繼續，否則驗證失敗，報錯；