技术领域
[0001] 本
发明涉及网络通信领域,尤其是涉及一种能够实现数字证书精确化认证的方法、装置及基于上述技术的云认证服务系统。
背景技术
[0002] 21世纪是
信息时代,信息已成为社会发展的重要战略资源,社会的信息化已成为当今世界发展的潮流和核心,而信息安全在信息社会中将扮演极为重要的
角色,它直接关系到国家安全、企业经营和人们的日常生活。目前,公开密钥
基础设施(Public Key Infrastructure,PKI)是保障大型开放式网络环境下网络和信息系统安全的最可行、最有效的措施。基于PKI理论体系的数字证书,具有数字签名防篡改、不可抵赖以及不对称加解密等优点和特性,因此,越来越多的基于互联网的信息系统开始使用数字证书以保障系统安全。
[0003] 据工信部安全协调司统计,截至2012年4月30日,全国有效数字证书持有量合计达到44,566,039张,相比去年同期的17,620,373张,多了26,945,266张,同比增长60%。这些增长的证书中除了正常的新增数字证书用户,还包含大量已经持有一张数字证书的用户
申请的多张证书。
[0004] 一个用户申请多张证书,造成了大量的数据冗余,究其原因是因为现有基于数字证书的解决方案不能解决数字证书“一证多用”和“一证通用”的难题。
[0005] 数字证书的介质主要是USBKey,必须安装USBKey驱动才能正常使用。如果用户持有多个品牌的USBKey,那么就必须在终端安装多个USBKey驱动。另外,数字证书的应用都是配合安全控件或者安全
中间件使用的,如果安全控件、安全中间件升级变更,或者USBKey驱动程序发生变更,都需要由CA机构通知数字证书用户,让用户去完成这些繁琐的操作。这样的处理方式极容易带来各种问题,给数字证书的使用者带来极大不便。对CA机构来说,为这些出现问题的数字证书用户提供技术服务支持,需要建立庞大的技术服务体系。
[0006] 对于CA机构来说,机构所签发的数字证书通常都是基于某一特定证书应用系统的,且证书应用系统会对证书的信息项有特定要求。以某地税的应用系统为例:该系统要求证书主题项中将OU项设置为“税务管理码”,以方便系统智能操作相关业务。而某国税应用系统中,明确要求OU项为“国地税统一税务登记证号”,这就造成了同一企业或个人需要两张证书分别满足某地税和某国税的要求。诸如此类的证书应用系统越多,企业或个人所要持有的数字证书也将越多。这就是数字证书难以“一证多用”的难题。
[0007] 现在许多基于身份认证的信息系统都是面向互联网的。从PKI技术角度来讲,基于客户端证书和服务端证书的相互认证,双方证书只有在同一信任链下(即双方证书由同一业务CA证
书签发),才能实现相互的身份认证,从而建立安全连接。反之,如若双方证书不在同一信任链下,就无法完成身份的相互认证。从实际应用角度上来讲,由于受到各CA机构证书不能交叉互信的制约,这些基于数字证书的信息系统只能基于一家CA机构的数字证书,具有较强的地域限制。因此,即使用户持有其他CA机构所签发的数字证书,也无法使用,只能在当地CA机构再申请一张,这样才能通过信息系统的身份认证。这就是数字证书难以“一证通用”的难题。
[0008] 另外,传统基于数字证书的身份认证方案,除了验证CA证书的签名,也会校验黑名单(即CRL,证书注销列表),一旦发现通信对方的证书在这张列表中,就不能通过验证,从而有效保障系统的安全。黑名单的存在解决了“谁不能进入应用系统”的难题,但受本身特性所限,无法解决“谁可以进入应用系统”的难题,即现有方案无法做到对数字证书的精确化控制。
发明内容
[0009] 为了解决上述问题,本发明的目的在于提供一种数字证书的精确化认证方法,使用户持有一张数字证书即可进行各系统的登陆和认证,同时解决“一证多用”和“一证通用”的难题,极大地减少了数据冗余,节省存储空间和网络资源。
[0010] 为达到上述目的,本发明提供以下技术方案:
[0011] 一种数字证书精确化认证方法,包括如下步骤:
[0012] 根据不同的数字证书应用,创建唯一的白名单数据,所述创建白名单数据的过程包括:建立一条新的白名单数据,将可应用的数字证书序列号和该证书的具体应用系统信息写入该条白名单数据中;根据预先设定的映射规则对数字证书中的信息项进行映射,将映射关系和数据录入该条白名单数据中;
[0013] 将所述白名单数据加入至白名单列表中;
[0014] 各网络安全
服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。
[0015] 更进一步地,所述的映射规则包括:根据不同数字证书之间的差异为数字证书
叠加信息项、增加数字证书本身不存在的信息项和扩展数字证书中原有信息项,所述各映射规则可以单独使用或组合使用。
[0016] 一种数字证书精确化认证装置,包括:
[0017] 白名单数据创建模
块,用于根据不同的数字证书应用,创建唯一的白名单数据;所述白名单数据创建模块包括初始数据生成单元和数据映射单元,所述初始数据生成单元用于建立一条新的白名单数据,将可应用的数字证书序列号和该证书的具体应用系统信息写入该条白名单数据中;所述数据映射单元用于根据预先设定的映射规则对数字证书中的信息项进行映射,将映射关系和数据录入该条白名单数据中;
[0018] 白名单数据添加模块,用于将所述白名单数据加入至白名单列表中;
[0019] 数字证书认证模块,各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。
[0020] 更进一步地,数据映射单元中所述映射规则包括:根据不同数字证书之间的差异为数字证书叠加信息项、增加数字证书本身不存在的信息项和扩展数字证书中原有信息项,上述各映射规则可以单独使用或组合使用。
[0021] 一种云认证服务系统,其特征在于,包括:
[0022] 包括数字证书精确化认证装置、证书应用发布模块、证书应用申请模块、CA机构导入模块及系统管理模块;
[0023] 所述数字证书精确化认证装置包括,
[0024] 白名单数据创建模块,用于根据不同的数字证书应用,创建唯一的白名单数据;
[0025] 白名单数据添加模块,用于将所述白名单数据加入至白名单列表中;
[0026] 数字证书认证模块,各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过;
[0027] 所述证书应用发布模块包括,证书应用添加发布单元、证书应用叠加审核单元和证书应用叠加报表单元,证书应用添加发布单元用于提交数字证书应用申请,证书应用叠加审核单元用于审核数字证书应用开通申请,证书应用叠加报表单元用于查询到本方提供的所有被申请开通的数字证书应用列表及付费信息;
[0028] 证书应用申请模块包括证书应用系统导航单元、证书应用叠加申请单元、证书应用叠加支付单元,证书应用系统导航单元用于查询系统中所有可用的数字证书应用,证书应用叠加申请单元用于提交证书应用的开通申请,证书应用叠加支付单元用于链接到支付平台上进行支付操作;
[0029] CA机构导入模块包括CA黑名单导入单元,CA黑名单导入单元用于导入本CA机构列出的证书注销列表;
[0030] 系统管理模块包括证书应用添加审核单元、白名单管理与发布单元、证书应用供应商管理单元、CA机构管理单元,证书应用添加审核单元用于查询应用提供商添加的数字证书应用申请信息并加以审核,白名单管理与发布单元用于查询白名单列表的内容并进行相关操作,证书应用供应商管理单元和CA机构管理单元分别用于查询证书应用供应商和CA机构列表并进行相关操作。
[0031] 更进一步地,所述CA机构导入模块中包括CA信任链导入单元,用于验证数字证书签发者;证书应用添加审核单元包括证书验证子单元,用于根据CA机构导入的信任链验证应用提供商添加的数字证书应用申请中数字证书的签发者,并将验证情况显示在页面上。
[0032] 更进一步地,本系统与下载服务器连接,通过白名单管理与发布单元能将白名单列表和黑名单发布至专
门的下载服务器以供网络安全服务器下载。
[0033] 更进一步地,本系统还包括证书助手模块,该模块为客户端
软件,安装于数字证书用户的电脑终端,主要包括以下单元:
[0034] USBKey驱动的智能化管理单元,用于自动完成USBKey驱动的安装与升级;
[0035] 自动系统检测与修复单元,用于自动检测数字证书使用的系统环境并对发现的问题进行自动修复;
[0036] 安全控件与安全中间件智能化管理单元,用于自动完成安全控件与安全中间件的升级与变更;
[0037] 由于采用了上述的技术方案,本发明与
现有技术相比,具有以下的优点和积极效果:
[0038] 1.通过白名单加黑名单认证方式,实现对数字证书的精确化控制,同时可解决数字证书无法“一证多用”、“一证通用”的难题。
[0039] 2.云认证服务系统为数字证书应用提供了通用管理平台,从数字应用的提出、审核、申请进行了有效地管理。
[0040] 3.CA信任链导入单元与证书验证子单元相配合,以验证数字证书签发者,增加白名单的可靠性;
[0041] 4.证书助手基本都是自动化操作,对于数字证书用户来说提高了易用性,同时极大地减少了客户端操作错误的可能性。对CA机构来说,由于数字证书用户使用中出现的问题减少,也会降低技术服务成本,节省了资源。
附图说明
[0042] 为了更清楚地说明本申请或现有技术中的技术方案,下面将对本申请或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些
实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0043] 图1为本发明提供的数字证书精确化认证方法的
流程图。
[0044] 图2为本发明提供的数字证书精确化认证装置的结构示意图。
具体实施方式
[0045] 下面结合附图和具体实施方式,进一步阐明本发明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0046] 本发明中提到了“白名单”的概念,顾名思义,“白名单”与“黑名单”相反,白名单为应用系统允许验证通过的数字证书列表,所有进入白名单的证书序列号所对应的数字证书都是允许进入应用系统的合法证书。
[0047] 图1为本发明提供的数字证书精确化认证方法的流程图,包括如下步骤:
[0048] 根据不同的数字证书应用,创建唯一的白名单数据。
[0049] 所述创建的具体过程包括:建立一条新的白名单数据,将可应用的数字证书序列号和该证书的具体应用系统信息写入该条白名单数据中;
[0050] 根据预先设定的映射规则对数字证书中的信息项进行映射,将映射关系和数据录入该条白名单数据中;
[0051] 将所述白名单数据加入至白名单列表中;
[0052] 各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。
[0053] 其中,具体的映射方法例举如下:根据不同数字证书之间的差异为数字证书叠加信息项,如OU项映射为“税务管理码”和“国地税统一税务登记证号”两种甚至更多,叠加信息设置在为不同的数字证书应用创建的白名单信息中;增加数字证书本身不存在的信息项,如在白名单中设置该数字证书在应用系统中的有效截止日期;扩展数字证书中原有信息项,如扩展OID的对应值,还可根据需要适用其他常用映射规则。
[0054] 根据需要,上述映射规则可单独使用或组合使用,所有叠加、扩展的信息都设置在白名单数据中,为了适应日益增加的数字证书应用所带来的信息项的逐步叠加和扩展,白名单数据可以无限扩展。
[0055] 与数字证书精确化认证方法相对应,如图2所示,本发明还提供了一种数字证书精确化认证装置,包括:
[0056] 白名单数据创建模块,用于根据不同的数字证书应用,创建唯一的白名单数据;
[0057] 白名单数据添加模块,用于将所述白名单数据加入至白名单列表中;
[0058] 数字证书认证模块,各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。
[0059] 其中,所述白名单数据创建模块包括:
[0060] 初始数据生成单元,建立一条新的白名单数据,将可应用的数字证书序列号和该证书的具体应用系统信息写入该条白名单数据中;
[0061] 数据映射单元,根据预先设定的映射规则对数字证书中的信息项进行映射,将映射关系和数据录入该条白名单数据中。数据映射单元中所述映射规则包括:根据不同数字证书之间的差异为数字证书叠加信息项、增加数字证书本身不存在的信息项和扩展数字证书中原有信息项,所述各映射规则可以单独使用或组合使用。
[0062] 基于上述数字证书精确化认证方法和装置的云认证服务系统,包括数字证书精确化认证装置、证书应用发布模块、证书应用申请模块、CA机构导入模块及系统管理模块。 [0063] 其中,证书应用发布模块中包括证书应用添加发布单元、证书应用叠加审核单元和证书应用叠加报表单元,证书应用添加发布单元用于提交数字证书应用申请,证书应用叠加审核单元用于审核数字证书应用开通申请,证书应用叠加报表单元用于查询到本方提供的所有被申请开通的数字证书应用列表及付费信息;
[0064] 证书应用申请模块包括证书应用系统导航单元、证书应用叠加申请单元、证书应用叠加支付单元,证书应用系统导航单元用于查询系统中所有可用的数字证书应用,证书应用叠加申请单元用于提交证书应用的开通申请,证书应用叠加支付单元用于链接到支付平台上进行支付操作;
[0065] CA机构导入模块包括CA黑名单导入单元,CA黑名单导入单元用于导入本CA机构列出的证书注销列表,CA机构导入模块中还可进一步包括CA信任链导入单元,以验证数字证书签发者,增加白名单的可靠性;
[0066] 系统管理模块包括证书应用添加审核单元、白名单管理与发布单元、证书应用供应商管理单元、CA机构管理单元等,证书应用添加审核单元用于查询应用提供商添加的数字证书应用申请信息并加以审核,白名单管理与发布单元用于查询白名单列表的内容并进行相关操作,证书应用供应商管理单元和CA机构管理单元分别用于查询证书应用供应商和CA机构列表并进行相关操作。系统管理模块中还应提供如系统设置、系统维护、数据查询等常规管理功能。
[0067] 所述数字证书精确化认证装置包括:
[0068] 白名单数据创建模块,用于根据不同的数字证书应用,创建唯一的白名单数据;
[0069] 白名单数据添加模块,用于将所述白名单数据加入至白名单列表中;
[0070] 数字证书认证模块,各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。
[0071] 本系统的用户分为以下几种:证书应用提供商,数字证书用户,CA机构和系统管理员。各用户的使用权限如下:证书应用提供商能够登陆本系统使用证书应用发布模块进行证书应用发布的相关操作,数字证书用户登陆本系统使用证书应用申请模块进行数字证书应用申请的相关操作,CA机构登陆本系统进行CA信任链和黑名单的导入操作,系统管理员登陆本系统进行系统高级管理操作。
[0072] CA机构能够通过CA信任链导入单元导入本CA机构的信任链,该信任链中包括本CA机构颁发的所有数字证书的序列号。 CA机构通过CA黑名单导入单元导入本CA机构列出的证书注销列表。
[0073] 证书应用提供商通过证书应用添加发布单元发布数字证书应用申请,将数字证书序列号、数字证书、应用系统信息通过系统操作页面提交至系统管理员,系统管理员通过证书应用添加审核单元查询应用提供商添加的数字证书应用申请信息并加以审核,证书应用添加审核单元应优选包括证书验证子单元,用于根据CA机构导入的信任链验证应用提供商添加的数字证书应用申请中数字证书的签发者,并将验证情况显示在页面上供系统管理员审核时参考;当系统管理员审核通过时,证书应用在本系统上发布,白名单数据创建模块为该应用创建唯一的白名单数据,该数据中包括数字证书序列号及所应用的系统信息;同时,数字证书用户能够通过证书应用系统导航单元查询到新发布的数字证书应用,每个能够查询到的应用都提供相应的申请功能。为了进一步为数字证书用户提供便利,证书应用系统导航单元优选提供证书应用对应的信息系统的地址链接,方便数字证书用户通过本云认证服务系统的证书应用系统导航界面,方便快捷地登陆已购买的证书应用所对应的证书应用信息系统,省却了用户记录证书应用系统网址的繁琐。
[0074] 数字证书用户通过证书应用系统导航单元能够查询到系统中所有可用的数字证书应用,并可根据实际需要,提交某证书应用的开通申请。该开通申请信息提交至证书应用提供商,证书应用提供商通过证书应用叠加审核单元查询到该数字证书应用开通申请信息并加以审核,审核通过后,数字证书用户能够通过证书应用叠加支付单元链接到支付平台上进行支付操作,支付完成后,白名单数据添加模块将该证书应用所对应的白名单数据加入至白名单列表中去。
[0075] 支付平台反馈的支付完成信息传送至证书应用提供商,证书应用提供商能够通过证书应用叠加报表单元查询到本方提供的所有被申请开通的数字证书应用列表及相应的付费信息。
[0076] 系统管理员通过白名单管理与发布单元能够查询到白名单列表的内容,作为优选,还可根据需要进行删除和
修改,通过本单元还能将白名单列表和黑名单发布至专门的下载服务器以供网络安全服务器下载。系统也可定期、实时(即白名单列表或黑名单列表更新时)或通过系统管理员手动将白名单列表和黑名单列表直接发送至各网络安全服务器。
[0077] 网络安全服务器中安装有数字证书认证模块,终端用户通过如IE、手机浏览器等各种证书应用信息系统连接上网络安全服务器时,所述认证模块根据本服务器中加载的白名单和黑名单进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书验证通过。
[0078] 本系统中还进一步提供了证书助手模块,该模块为客户端软件,安装于数字证书用户的电脑终端,主要包括以下单元:
[0079] USBKey驱动的智能化管理单元。可自动完成USBKey驱动的安装与升级。
[0080] 自动系统检测与修复单元。可自动检测数字证书使用的系统环境并对发现的问题进行自动修复。
[0081] 安全控件与安全中间件智能化管理单元。可自动完成安全控件与安全中间件的升级与变更。
[0082] 方便的自助服务单元。可通过证书助手实现数字证书业务的在线办理,提供在线帮助解决证书使用的问题,还可提供证书应用系统导航功能。
[0083] 证书助手基本都是自动化操作,对于数字证书用户来说提高了易用性,同时极大地减少了客户端操作错误的可能性。对CA机构来说,由于数字证书用户使用中出现的问题减少,也会降低技术服务成本,节省资源。
[0084] 为了描述的方便,描述以上系统时以功能分为各种模块、单元或装置分别描述。当然,在实施本发明时可以把各模块或装置的功能在同一个或多个软件和/或
硬件中实现。
[0085] 通过以上实施方式的描述,本领域的技术人员可以清楚地了解到本申请可借助软件加必须的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
[0086] 本发明方案所公开的技术方案不仅限于上述实施例所公开的技术手段,在不冲突的情况下,还包括由以上技术特征任意组合所组成的技术方案。
