CN109409041A - 一种基于多证书应用的服务端安全认证方法及*** - Google Patents
一种基于多证书应用的服务端安全认证方法及*** Download PDFInfo
- Publication number
- CN109409041A CN109409041A CN201811027897.1A CN201811027897A CN109409041A CN 109409041 A CN109409041 A CN 109409041A CN 201811027897 A CN201811027897 A CN 201811027897A CN 109409041 A CN109409041 A CN 109409041A
- Authority
- CN
- China
- Prior art keywords
- client
- certificate
- communication server
- safety communication
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于多证书应用的服务端安全认证方法及***,其特征在于,包括:位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USB key;根据业务操作需求,所述安全通讯服务器利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证;所述客户端接收所述安全通讯服务器的CA根证书,并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪;当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。
Description
技术领域
本发明涉及数据安全技术领域,并且更具体地,涉及一种基于多证书应用的服务端安全认证方法及***。
背景技术
近年来提高政务信息化程度、金融结算效率、丰富业务种类、加强内部管理成了各政府机构和企业提高自身服务能力和竞争力的主要目标,因此政务信息化、金融电子化等一系列高科技手段开始被广大政企单位所应用,在带来利益的同时,也带来了新的安全问题。业务远程办理方式普及之后,涉及到互联网外部用户数据交互,司局内网业务数据处理等环节,牵涉到司局内网与互联网的数据交换,***安全时刻受到现今复杂多变的内网(局域网)、外网(互联网)环境的挑战。
随着办公OA的普及,有些地区司局在局域网内部使用USB key内置数字证书及安全U盘功能,实现了业务的保密性和安全性。初期部署的多种类型的服务***,基本上由如图1所示的窗口浏览器控件以及后台网络版应用服务器、核心业务服务器和数据验证处理服务器构成,提高了***的业务处理能力,增强了***使用的灵活性,在一定程度上满足了当时服务端和用户人员的普遍需求。伴随着***信息化进程的逐步推进,用户互联网端引入了数字证书***,对数据进行签名,保障了用户端数据的安全性。但是在司局内网,服务终端(自助机和窗口业务处理计算机)和服务端后台服务器的数据交换,仅使用基本的数据加密通道进行传输,如图2所示,只能基本能保障业务整体的安全性,并未对服务终端和后台服务器的身份进行认证。
因此,需要一种实现服务终端和后台服务器相互认证,并在数据交互时保证保密性和安全性问题。
发明内容
本发明提出一种基于多证书应用的服务端安全认证方法及***,以解决服务终端和后台服务器相互认证,并在数据交互时保证保密性和安全性的问题。
为了解决上述问题,根据本发明的一个方面,提供了一种基于多证书应用的服务端安全认证方法,其特征在于,所述方法包括:
位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USB key;其中,多证书应用时支持导入多个CA根证书;
根据业务操作需求,所述安全通讯服务器接收所述USB key发送的与业务操作类型对应的CA根证书和客户端证书,并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证;
所述客户端接收所述安全通讯服务器的CA根证书,并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪;
当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。
优选地,其中所述方法还包括:
根据所述业务操作需求确定数据加密方式和数据传输接口,并附加客户端证书,以使得数据业务操作数据安全快速地传输。
优选地,其中所述方法还包括:
在业务操作处理阶段,对客户端用户的身份信息进行采集,以对客户端用户的身份进行认证;其中,认证方式包括:指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。
优选地,其中所述方法还包括:
在所述安全通讯服务器中设置准入列表,并当所述客户端通过所述安全通讯服务器的验证后,更新准入列表中当前客户端对应的属性信息;其中,所述准入列表中的属性包括:操作权限、访问控制和活跃指数;不同的业务操作类型对应的CA根证书对应不同的操作权限。
优选地,其中所述方法还包括:
当所述客户端通过所述安全通讯服务器的验证后,增加所述客户端的证书序列号的活跃指数,并在所述证书序列号的活跃指数达到预设活跃阈值时,设置所述客户端的证书序列号的有效期限。
优选地,其中所述方法还包括:
根据预设的审计周期对所述准入列表进行审计,删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号,并对对应的客户端进行降低权限处理。
优选地,其中所述方法还包括:记录客户端的证书序列号,并将所述证书序列号的导入和删除操作均记录于日志用于审计;其中,所述日志采用不能修改且循环覆盖的方式。
根据本发明的另一个方面,提供了一种基于多证书应用的服务端安全认证***,其特征在于,所述***包括:
发行制证模块,用于位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USB key;其中,多证书应用时支持导入多个CA根证书;
客户端身份认证模块,用于根据业务操作需求,所述安全通讯服务器接收所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书,并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证;
安全通讯服务器身份认证模块,用于所述客户端接收所述安全通讯服务器的CA根证书,并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪;
数据传输模块,用于当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。
优选地,其中所述数据传输模块,还包括:
根据所述业务操作需求确定数据加密方式和数据传输接口,并附加客户端证书,以使得数据业务操作数据安全快速地传输。
优选地,其中所述***还包括:
用户身份认证模块,用于在业务操作处理阶段,对客户端用户的身份信息进行采集,以对客户端用户的身份进行认证;其中,认证方式包括:指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。
优选地,其中所述***还包括:
准入列表更新模块,用于在所述安全通讯服务器中设置准入列表,并当所述客户端通过所述安全通讯服务器的验证后,更新准入列表中当前客户端对应的属性信息;其中,所述准入列表中的属性包括:操作权限、访问控制和活跃指数;不同的业务操作类型对应的CA根证书对应不同的操作权限。
优选地,其中所述准入列表更新模块,还包括:
活跃指数更新单元,用于当所述客户端通过所述安全通讯服务器的验证后,增加所述客户端的证书序列号的活跃指数,并在所述证书序列号的活跃指数达到预设活跃阈值时,设置所述客户端的证书序列号的有效期限。
优选地,其中所述准入列表更新模块,还包括:
审计单元,用于根据预设的审计周期对所述准入列表进行审计,删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号,并对对应的客户端进行降低权限处理。
优选地,其中所述准入列表更新模块,还包括:
证书序列号记录单元,用于记录客户端的证书序列号,并将所述证书序列号的导入和删除操作均记录于日志用于审计;其中,所述日志采用不能修改且循环覆盖的方式。
本发明提供了一种基于多证书应用的服务端安全认证方法及***,包括:位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USB key;根据业务操作需求,所述安全通讯服务器利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证;所述客户端利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪;当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。本发明整合多种证书应用,将客户端多种usb类key设备整合成一个,结合业务程序中的客户端接口,可以完成服务器及客户端的双重认证,避免任一方被攻陷或有漏洞时,造成秘钥及数据的泄露;安全通讯服务器增强的数字证书认证功能,权限审计等技术,完成OA及政企业务功能的整合,做到一套***服务完成多项功能,避免重复配置造成的服务器资源浪费;适用于多种***,可将证书使用方法移植,以增强现有***安全性;可以为网络交易***提供安全保密数据通信服务,防止网上各种欺诈行为的发生;适用于各种类型的信息***,尤其适用于跨地区、跨机构的交易***;能够实时地为主机提供密钥管理、消息验证、数据加密、签名的产生和验证等密码服务,保证数据从产生、传输、接收到管理整个过程的安全性、有效性、完整性、不可抵赖性等安全问题,可广泛用于财政、税务、社保等计算机网络***中,具有明显的社会效益和经济效益。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为初期部署的多种类型的服务***的示意图;
图2为现有的升级后的服务***的示意图;
图3为根据本发明实施方式的基于多证书应用的服务端安全认证方法300的流程图;
图4为根据本发明实施方式的增加USB key和安全通讯服务器的服务***示意图;
图5为根据本发明实施方式的基于多证书应用的服务端安全认证***500的结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图3为根据本发明实施方式的基于多证书应用的服务端安全认证方法300的流程图。如图3所示,本发明的实施方式提供了一种基于多证书应用的服务端安全认证方法,整合多种证书应用,将客户端多种usb类key设备整合成一个,结合业务程序中的客户端接口,可以完成服务器及客户端的双重认证,避免任一方被攻陷或有漏洞时,造成秘钥及数据的泄露;安全通讯服务器增强的数字证书认证功能,权限审计等技术,完成OA及政企业务功能的整合,做到一套***服务完成多项功能,避免重复配置造成的服务器资源浪费;适用于多种***,可将证书使用方法移植,以增强现有***安全性;可以为网络交易***提供安全保密数据通信服务,防止网上各种欺诈行为的发生;适用于各种类型的信息***,尤其适用于跨地区、跨机构的交易***;能够实时地为主机提供密钥管理、消息验证、数据加密、签名的产生和验证等密码服务,保证数据从产生、传输、接收到管理整个过程的安全性、有效性、完整性、不可抵赖性等安全问题,可广泛用于财政、税务、社保等计算机网络***中,具有明显的社会效益和经济效益。本发明的实施方式提供的基于多证书应用的服务端安全认证方法300从步骤301处开始,在步骤301位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USBkey。其中,多证书应用时支持导入多个CA根证书。
优选地,在步骤302根据业务操作需求,所述安全通讯服务器接收所述USB key发送的与业务操作类型对应的CA根证书和客户端证书,并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证。
优选地,在步骤303所述客户端接收所述安全通讯服务器的CA根证书,并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪。
优选地,在步骤304当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。
优选地,其中所述方法还包括:
根据所述业务操作需求确定数据加密方式和数据传输接口,并附加客户端证书,以使得数据业务操作数据安全快速地传输。
优选地,其中所述方法还包括:
在业务操作处理阶段,对客户端用户的身份信息进行采集,以对客户端用户的身份进行认证;其中,认证方式包括:指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。
优选地,其中所述方法还包括:
在所述安全通讯服务器中设置准入列表,并当所述客户端通过所述安全通讯服务器的验证后,更新准入列表中当前客户端对应的属性信息;其中,所述准入列表中的属性包括:操作权限、访问控制和活跃指数;不同的业务操作类型对应的CA根证书对应不同的操作权限。
优选地,其中所述方法还包括:
当所述客户端通过所述安全通讯服务器的验证后,增加所述客户端的证书序列号的活跃指数,并在所述证书序列号的活跃指数达到预设活跃阈值时,设置所述客户端的证书序列号的有效期限。
优选地,其中所述方法还包括:
根据预设的审计周期对所述准入列表进行审计,删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号,并对对应的客户端进行降低权限处理。
优选地,其中所述方法还包括:记录客户端的证书序列号,并将所述证书序列号的导入和删除操作均记录于日志用于审计;其中,所述日志采用不能修改且循环覆盖的方式。
图4为根据本发明实施方式的增加USB key和安全通讯服务器的服务***示意图。如图4所示,在本发明的实施方式中,从国密局对信息***信息安全未来所提要求的角度出发,在现有的核心业务服务器基础上,前置一台安全通讯服务器如图3所示,所述安全通讯服务器上能够运行CA证书管理和SSL支持,司局内网客户端采用USB key的方式,处理端采用软证书,外网用户可以使用现有的用户数字证书。
服务器端每省配备一台(或一对主备机)安全通讯服务器,用于客户端身份鉴别,保障数据传输安全。安全通讯服务器存储核心业务服务器CA根证书及服务器证书,USB key存储CA根证书及客户端证书。服务器端不存储客户端证书,通讯会话过程开始阶段,客户端传递自身证书或证书序列号,以便服务器鉴别客户端真伪,会话过程使用随机秘钥加密数据,并附加自身证书序列号,以便数据安全快速传输。将发行后的USB key***已安装配套驱动程序的客户端计算机上,即可通过安全通讯服务器与核心业务服务器进行数据交互。
本发明实施方式中的服务器端(安全通讯服务器)不存储客户端证书,做业务时传递客户端证书用于身份鉴权;设计通用的数据传输及加密接口,满足多种***要求,增强移植性;设置准入列表,具有登录权限、访问控制、活跃指数等多种属性,可以用于完成客户端权限、变更日志审计等功能。记录客户端证书序列号,序列号的导入、删除等操作均记录日志用于审计,日志采用不能修改且循环覆盖的方式;服务器端验证通过客户端后,准入列表对应证书活跃指数增加,当活跃指数达到预设活跃阈值,则设置所述客户端的证书序列号的有效期限;定期对准入列表进行审计,删除长期未使用或不活跃的证书序列号,对长久不使用的客户端进行降权,避免资源浪费,避免僵尸客户端证书占用服务器资源。
本发明实施方式中的客户端使用USB key作为与安全通讯服务器配套使用的客户终端加密认证设备,确保关键信息如密钥、证书和权限属性等安全地保存在硬件设备中;具有身份认证、绑定专有业务和安全U盘功能,硬件内部分区,防止软件漏洞跨区访问;在使用过程中,客户端使用写入的服务器根证书鉴别服务器真伪;支持多证书应用,满足多种复杂应用场景需求;在业务操作过程中,进行身份采集,和客户端USB key中存储的身份信息进行实时校验确认,确保是“实人、实名、实客户端”,身份采集方式包括:
指纹、虹膜、密码和数字身份证、手机和数字证书、电子认证以及刷脸认证方式,根据岗位要求及各地实际情况,用户可以选择合适的身份认证方式。
本发明的实施方式,通过引入多证书应用、服务端和客户端双向认证以及权限审计等技术,能够保障服务器与客户端的安全,避免服务器绑架及客户端伪造,导致数据泄露等。利用审计功能能够避免产生浪费资源以及出现容易被恶意利用的僵尸客户端的情况发生。
图5为根据本发明实施方式的基于多证书应用的服务端安全认证***500的结构示意图。如图5所示,本发明的实施方式提供的基于多证书应用的服务端安全认证***500,包括:发行制证模块501、客户端身份认证模块502、安全通讯服务器身份认证模块503和数据传输模块504。
优选地,所述发行制证模块501,用于位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USB key;其中,多证书应用时支持导入多个CA根证书。
优选地,所述客户端身份认证模块502,用于根据业务操作需求,所述安全通讯服务器接收所述USB key发送的与业务操作类型对应的CA根证书和客户端证书,并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证。
优选地,其中所述数据传输模块502,还包括:根据所述业务操作需求确定数据加密方式和数据传输接口,并附加客户端证书,以使得数据业务操作数据安全快速地传输。
优选地,所述安全通讯服务器身份认证模块503,用于所述客户端接收所述安全通讯服务器的CA根证书,并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪。
优选地,所述数据传输模块504,用于当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。
优选地,其中所述***还包括:用户身份认证模块,用于在业务操作处理阶段,对客户端用户的身份信息进行采集,以对客户端用户的身份进行认证;其中,认证方式包括:指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。
优选地,其中所述***还包括:准入列表更新模块,用于在所述安全通讯服务器中设置准入列表,并当所述客户端通过所述安全通讯服务器的验证后,更新准入列表中当前客户端对应的属性信息;其中,所述准入列表中的属性包括:操作权限、访问控制和活跃指数;不同的业务操作类型对应的CA根证书对应不同的操作权限。
优选地,其中所述准入列表更新模块,还包括:活跃指数更新单元,用于当所述客户端通过所述安全通讯服务器的验证后,增加所述客户端的证书序列号的活跃指数,并在所述证书序列号的活跃指数达到预设活跃阈值时,设置所述客户端的证书序列号的有效期限。优选地,其中所述准入列表更新模块,还包括:审计单元,用于根据预设的审计周期对所述准入列表进行审计,删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号,并对对应的客户端进行降低权限处理。优选地,其中所述准入列表更新模块,还包括:证书序列号记录单元,用于记录客户端的证书序列号,并将所述证书序列号的导入和删除操作均记录于日志用于审计;其中,所述日志采用不能修改且循环覆盖的方式。
本发明的实施例的基于多证书应用的服务端安全认证***500与本发明的另一个实施例的基于多证书应用的服务端安全认证方法100相对应,在此不再赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (14)
1.一种基于多证书应用的服务端安全认证方法,其特征在于,所述方法包括:
位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USB key;其中,多证书应用时支持导入多个CA根证书;
根据业务操作需求,所述安全通讯服务器接收所述USB key发送的与业务操作类型对应的CA根证书和客户端证书,并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证;
所述客户端接收所述安全通讯服务器的CA根证书,并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪;
当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述业务操作需求确定数据加密方式和数据传输接口,并附加客户端证书,以使得数据业务操作数据安全快速的传输。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在业务操作处理阶段,对客户端用户的身份信息进行采集,以对客户端用户的身份进行认证;其中,认证方式包括:指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述安全通讯服务器中设置准入列表,并当所述客户端通过所述安全通讯服务器的验证后,更新准入列表中当前客户端对应的属性信息;其中,所述准入列表中的属性包括:操作权限、访问控制和活跃指数;不同的业务操作类型对应的CA根证书对应不同的操作权限。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当所述客户端通过所述安全通讯服务器的验证后,增加所述客户端的证书序列号的活跃指数,并在所述证书序列号的活跃指数达到预设活跃阈值时,设置所述客户端的证书序列号的有效期限。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据预设的审计周期对所述准入列表进行审计,删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号,并对对应的客户端进行降低权限处理。
7.根据权利要求4所述的方法,其特征在于,所述方法还包括:记录客户端的证书序列号,并将所述证书序列号的导入和删除操作均记录于日志用于审计;其中,所述日志采用不能修改且循环覆盖的方式。
8.一种基于多证书应用的服务端安全认证***,其特征在于,所述***包括:
发行制证模块,用于位于服务器端的安全通讯服务器与位于客户端的USB key进行认证,生成与业务操作类型对应的CA根证书,并分别导入至安全通讯服务器和USB key;其中,多证书应用时支持导入多个CA根证书;
客户端身份认证模块,用于根据业务操作需求,所述安全通讯服务器接收所述USB key发送的与业务操作类型对应的CA根证书和客户端证书,并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较,对客户端的身份进行验证;
安全通讯服务器身份认证模块,用于所述客户端接收所述安全通讯服务器的CA根证书,并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较,验证所述安全通讯服务器的真伪;
数据传输模块,用于当所述安全通讯服务器和客户端的USB key验证通过后,根据所述业务操作需求进行数据的传输。
9.根据权利要求8所述的***,其特征在于,所述数据传输模块,还包括:
根据所述业务操作需求确定数据加密方式和数据传输接口,并附加客户端证书,以使得数据业务操作数据安全快速的传输。
10.根据权利要求8所述的***,其特征在于,所述***还包括:
用户身份认证模块,用于在业务操作处理阶段,对客户端用户的身份信息进行采集,以对客户端用户的身份进行认证;其中,认证方式包括:指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。
11.根据权利要求8所述的***,其特征在于,所述***还包括:
准入列表更新模块,用于在所述安全通讯服务器中设置准入列表,并当所述客户端通过所述安全通讯服务器的验证后,更新准入列表中当前客户端对应的属性信息;其中,所述准入列表中的属性包括:操作权限、访问控制和活跃指数;不同的业务操作类型对应的CA根证书对应不同的操作权限。
12.根据权利要求11所述的***,其特征在于,所述准入列表更新模块,还包括:
活跃指数更新单元,用于当所述客户端通过所述安全通讯服务器的验证后,增加所述客户端的证书序列号的活跃指数,并在所述证书序列号的活跃指数达到预设活跃阈值时,设置所述客户端的证书序列号的有效期限。
13.根据权利要求11所述的***,其特征在于,所述准入列表更新模块,还包括:
审计单元,用于根据预设的审计周期对所述准入列表进行审计,删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号,并对对应的客户端进行降低权限处理。
14.根据权利要求11所述的***,其特征在于,所述准入列表更新模块,还包括:
证书序列号记录单元,用于记录客户端的证书序列号,并将所述证书序列号的导入和删除操作均记录于日志用于审计;其中,所述日志采用不能修改且循环覆盖的方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811027897.1A CN109409041A (zh) | 2018-09-04 | 2018-09-04 | 一种基于多证书应用的服务端安全认证方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811027897.1A CN109409041A (zh) | 2018-09-04 | 2018-09-04 | 一种基于多证书应用的服务端安全认证方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109409041A true CN109409041A (zh) | 2019-03-01 |
Family
ID=65463812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811027897.1A Pending CN109409041A (zh) | 2018-09-04 | 2018-09-04 | 一种基于多证书应用的服务端安全认证方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109409041A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
| CN112153032A (zh) * | 2020-09-15 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、计算机可读存储介质及*** |
| CN112800411A (zh) * | 2021-02-19 | 2021-05-14 | 浪潮云信息技术股份公司 | 支持多协议、多方式的安全可靠身份认证方法及装置 |
| CN113672897A (zh) * | 2021-07-22 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 数据通信方法、装置、电子设备及存储介质 |
| CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271042A (zh) * | 2011-08-25 | 2011-12-07 | 北京神州绿盟信息安全科技股份有限公司 | 数字证书认证方法、***、USB Key设备和服务器 |
-
2018
- 2018-09-04 CN CN201811027897.1A patent/CN109409041A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271042A (zh) * | 2011-08-25 | 2011-12-07 | 北京神州绿盟信息安全科技股份有限公司 | 数字证书认证方法、***、USB Key设备和服务器 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
| CN112153032A (zh) * | 2020-09-15 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、计算机可读存储介质及*** |
| CN112800411A (zh) * | 2021-02-19 | 2021-05-14 | 浪潮云信息技术股份公司 | 支持多协议、多方式的安全可靠身份认证方法及装置 |
| CN112800411B (zh) * | 2021-02-19 | 2023-04-14 | 浪潮云信息技术股份公司 | 支持多协议、多方式的安全可靠身份认证方法及装置 |
| CN113672897A (zh) * | 2021-07-22 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 数据通信方法、装置、电子设备及存储介质 |
| CN113672897B (zh) * | 2021-07-22 | 2024-03-08 | 北京奇艺世纪科技有限公司 | 数据通信方法、装置、电子设备及存储介质 |
| CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021203598B2 (en) | Systems and mechanism to control the lifetime of an access token dynamically based on access token use | |
| US9892404B2 (en) | Secure identity authentication in an electronic transaction | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| CN109409041A (zh) | 一种基于多证书应用的服务端安全认证方法及*** | |
| CN108804906B (zh) | 一种用于应用登陆的***和方法 | |
| JP6514218B2 (ja) | 社会関係データを用いたクライアント認証 | |
| CN110569658B (zh) | 基于区块链网络的用户信息处理方法、装置、电子设备及存储介质 | |
| US9691067B2 (en) | Validation database resident on a network server and containing specified distinctive identifiers of local/mobile computing devices may be used as a digital hardware key in the process of gaining authorized access to a users online website account such as, but not limited to, e-commerce website account, online financial accounts and online email accounts | |
| CN117579281A (zh) | 用于使用区块链的所有权验证的方法和*** | |
| CN104364790B (zh) | 用于实施多因素认证的***和方法 | |
| CN107306183A (zh) | 客户端、服务端、方法和身份验证*** | |
| KR101876674B1 (ko) | 블록 체인을 이용한 공동 계좌 관리 방법 및 이를 실행하는 시스템 | |
| CN100397814C (zh) | 一种基于网络的统一认证方法及*** | |
| CN104424676A (zh) | 身份信息发送方法、装置和门禁读卡器及门禁*** | |
| CN113515756B (zh) | 基于区块链的高可信数字身份管理方法及*** | |
| CN106789024A (zh) | 一种远程解锁方法、装置和*** | |
| US20190288833A1 (en) | System and Method for Securing Private Keys Behind a Biometric Authentication Gateway | |
| US20190306153A1 (en) | Adaptive risk-based password syncronization | |
| US10915888B1 (en) | Contactless card with multiple rotating security keys | |
| US11234235B2 (en) | Resource distribution hub generation on a mobile device | |
| CN108183906B (zh) | 时间银行管理方法、服务器、终端、存储介质及电子设备 | |
| CN109413200A (zh) | 一种资源导入的方法、客户端、mes及电子设备 | |
| CN101588243A (zh) | 一种电子交易历史记录查询方法和*** | |
| CN117795505A (zh) | 用于非接触式卡通信和多设备密钥对加密认证的***与方法 | |
| CN109934009A (zh) | 一种个人信息数据查询交互授权方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190301 |