1.本技术涉及计算机技术领域,尤其涉及电子证照、数字凭证的认证技术。
背景技术:
2.本技术针对的电子证照、数字凭证的认证技术,主要是指对电子证照、数字凭证文件在认证中心的认证过程及认证结果的处理相关技术。
3.而常规技术中对电子证照、数字凭证文件认证的主要流程如下:
4.1、认证请求端直接将电子证照、数字凭证文件上传,请求认证中心进行认证;
5.2、认证中心接收到认证请求后直接调用服务进行认证;
6.3、认证结果直接返回给认证请求端。
7.以上认证流程,在实际操作过程中存在较大的不确定性安全风险,主要表现在以下几个方面:
8.(1)对认证请求端请求认证的电子证照、电子凭证文件信息缺乏有效的保密性防护;
9.(2)认证中心在认证过程中缺乏对认证服务缺乏有效的安全防护;
10.(3)认证中心对认证的结果缺乏有效的安全防护,无法做到认证结果的真实性、完整性和不可篡改性。
11.因此,为了能够对电子证照、数字凭证文件进行安全、有效、可信的认证,需要在目前技术上,进行针对性的完善和优化,可有效防止中间攻击行为,实现认证过程和认证结果的安全、有效和可信。
技术实现要素:
12.针对现有电子证照、数字凭证技术在安全性方面所存在的问题,本发明的目的在于提供一种电子证照、数字凭证类黑箱认证方法,提高电子证照、数字凭证认证的安全性和可信性;本发明还在此基础上进一步提供实现该方法的系统,以及相关设备。
13.为了达到上述目的,本发明所提供的电子证照、数字凭证类黑箱认证方法,包括:
14.认证中心公开发布可信的数字证书信息;
15.认证请求发起端发起电子证照、数字凭证类的认证请求;
16.认证中心接收到请求发起端的认证请求后,在关联的认证服务中调用验证模块进行认证,在关联的认证服务中完成认证后,对验证的结果信息进行数字签名保护后形成认证结果信息,并返回验证的认证结果信息;
17.请求发起端接收到认证结果后可进一步验证认证结果信息的可信性。
18.进一步地,所述认证方法中认证请求发起端可预先通过认证中心公开发布的公钥数字证书对认证请求信息进行加密后再发起认证请求。
19.进一步地,所述认证方法中认证中心接收到请求发起端的认证请求时,包括:
20.根据认证请求数据格式进行预处理;
21.认证中心通过调用电子证照、数字凭证类黑箱认证模块请求关联的认证服务,在关联的认证服务中调用验证模块进行验证;
22.认证中心在关联的认证服务中完成认证后,对验证的结果信息,通过认证中心公开发布的数字证书所对应的私钥进行数字签名保护后形成认证结果信息,再发送给认证请求发起端。
23.进一步地,对验证的结果信息进行数字签名保护时,数字签名信息可附加时间戳信息。
24.进一步地,所述认证方法中认证请求发起端接收到认证结果后,可进一步验证认证结果信息的数字签名信息。
25.进一步地,所述认证方法中认证请求发起端接收到认证结果后,验证认证结果信息中的数字证书合法性、有效性。
26.进一步地,所述认证方法中认证请求发起端接收到认证结果后,验证认证结果信息中附加的时间戳有效性。
27.进一步地,所述黑箱认证模块可隶属于认证中心的一部分或独立为第三方认证服务。
28.为了达到上述目的,本发明所提供的电子证照、数字凭证类黑箱认证系统,包括:
29.认证请求模块,所述认证请求模块运行在认证请求发起端,形成电子证照、数字凭证类的认证请求信息,并向认证中心发送认证请求;
30.认证模块,所述认证模块运行在认证中心,接收到认证请求模块的认证请求后在关联的认证服务中调用验证模块进行认证,在关联的认证服务中完成认证后,对验证的结果信息进行数字签名保护后形成认证结果信息,并返回验证的认证结果信息;
31.认证结果验证模块,所述认证结果验证模块运行在认证请求发起端,接收认证模块返回的认证结果并进一步验证认证结果信息的可信性。
32.进一步地,所述认证模块调用电子证照、数字凭证类黑箱认证模块,进行请求验证。
33.进一步地,所述认证模块对验证的结果信息,通过认证中心公开发布的数字证书所对应的私钥进行数字签名保护后形成认证结果信息再返回。
34.进一步地,所述认证模块对验证的结果信息进行数字签名保护,数字签名信息附加时间戳信息。
35.为了达到上述目的,本发明提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现上述电子证照、数字凭证类黑箱认证方法的步骤。
36.为了达到上述目的,本发明提供了一种处理器,所述处理器用于运行程序,所述程序运行时执行上述电子证照、数字凭证类黑箱认证方法的步骤。
37.为了达到上述目的,本发明提供了一种终端设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,所述程序代码由所述处理器加载并执行以实现上述电子证照、数字凭证类黑箱认证方法的步骤。
38.为了达到上述目的,本发明提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行上述电子证照、数字凭证类黑箱认证方法的步骤。
39.本发明提供的方案采用基于密码技术对电子证照、数字凭证类的认证请求信息和
认证结果信息的可信认证,提高了信息的安全性和可信性。
40.本发明提供的方案作为区块链技,其可用于可信环境和非可信环境中的云计算、云服务的可信验证。
具体实施方式
41.为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实例,进一步阐述本发明。
42.本技术中所述的电子证照、数字凭证的认证技术,主要是指对电子证照、数字凭证文件在认证中心的认证过程及认证结果的处理相关技术。
43.这里的认证技术中:
44.(1)请求认证的信息是指电子证照、数字凭证类的电子文件,其带电子签章或电子签名信息;
45.(2)认证中心基于密码技术对电子证照、数字凭证进行验章的有效性、电子签名有效性,以及电子证照、数字凭证的有效期、状态等信息进行验证。
46.据此,本技术方案中所述的电子证照、数字凭证类的认证,是基于密码技术对电子证照、数字凭证类的认证请求信息和认证结果信息进行可信认证,由此来提高信息的安全性和可信性。
47.据此,本专利方案给出一种电子证照、数字凭证类黑箱认证方法,实现对电子证照、数字凭证类的认证请求信息和认验证结果信息进行可信认证。
48.本方案中的电子证照、数字凭证类黑箱认证过程,主要由认证中心完成。认证中心通过请求关联的认证服务,在关联的认证服务中调用验证模块进行验证,可有效防止认证中心服务器沦陷后其认证结果的不可信,提高认证服务的安全性;认证中心在关联的认证服务中完成认证后,对验证的结果信息进行数字签名保护形成认证结果信息,确保认证结果的真实性、完整性和不可篡改性。
49.具体的,本认证方法主要涉及认证中心和认证请求发起端。其中,认证中心即为认证系统的服务端,以及配套的认证网站等组成,公开发布认证的数字证书,接收认证请求发起端的请求认证信息,并对之进行调度,提供认证服务。
50.由此,本方案在实现时,主要包括如下步骤:
51.s1:认证中心公开发布可信的数字证书信息。
52.s2:认证请求发起端发起电子证照、数字凭证类的认证请求。
53.s3:认证中心接收到请求发起端的认证请求后进行验证处理,并返回验证的认证结果信息。
54.该步骤中,认证中心在关联的认证服务中调用验证模块进行认证,可有效防止认证中心服务器沦陷后其认证结果的不可信;同时,认证中心在关联的认证服务完成认证后,对验证的结果信息进行数字签名保护后形成认证结果信息,确保认证结果的真实性、完整性和不可篡改性。
55.s4:认证请求发起端接收到认证结果信息后可进一步通过验证认证结果信息的可信性,以确立最终验证结果的可信性。
56.在一些本方案的实施方式中,本方案中认证中心公开发布可信的数字证书信息采
用符合x.509公钥证书的格式标准,确保数字证书的公开、标准化和可验证性。
57.在一些本方案的实施方式中,本方案中认证请求发起端在发起电子证照、数字凭证类的认证请求信息时,可预先通过认证中心发布的公钥数字证书进行加密后再发起认证请求。这里从认证请求发起端对电子证照、电子凭证类电子文件数据进行加密保护,可有效防止中间攻击行为,确保数据源的保密性和可信性。
58.在一些本方案的实施方式中,本方案中认证请求发起端发起电子证照、数字凭证类的验证请求信息,也可不通过公钥证书进行加密直接请求认证中心的验证服务。
59.在一些本方案的实施方式中,本方案中认证中心在接收到请求发起端的验证请求服务时,首先根据接收到的验证请求数据格式进行预处理。如若是通过公钥证书加密后,则通过认证中心的对应私钥进行解密。
60.接着,认证中心调用电子证照、数字凭证类黑箱认证模块,进行认证:
61.(1)电子证照、数字凭证类黑箱认证模块通过请求关联的认证服务,在关联的认证服务中调用验证模块进行验证,这样可有效防止认证中心服务器沦陷后其认证结果的不可信,提高认证服务的安全性;
62.(2)认证中心在关联的认证服务中完成认证后,对验证的结果信息进行数字签名保护后形成认证结果信息,确保认证结果的真实性、完整性和不可篡改性。
63.需要指出说明的,这里所采用到的黑箱认证可以隶属于认证中心的一部分,也可以独立为第三方认证服务。
64.最后,针对验证的结果信息进行数字签名保护时,可通过认证中心公开发布的数字证书所对应的私钥进行数字签名保护后形成认证结果信息,再发送给认证请求发起端。通过对验证的结果信息进行数字签名保护可确保认证结果的真实性、完整性和不可篡改性,同时认证请求发起端可对认证的结果信息进行公开的数字签名验证。
65.在此基础上,本方案在对验证结果信息进行标准的数字签名保护时,其数字签名信息可附加时间戳信息。这里通过附加时间戳信息,可进一步确保认证中心认证行为有效性,必要时可进行认证行为溯源。
66.在一些本方案的实施方式中,本方案中的认证请求发起端在接收到认证结果后,进一步验证认证结果信息可信性时,可通过验证认证结果的数字签名信息,确保认证中心返回的认证结果的真实性、完整性、不可篡改性和有效性。
67.作为举例,本方案中在验证认证结果的数字签名信息,可进一步通过验证认证结果中的数字证书与认证中心公开发布的数字证书进行比较,确保认证结果的合法性、有效性。
68.根据需要还可进一步可验证附加的时间戳有效性,由此来验证认证结果信息可信性。
69.另外作为举例,本方案在验证认证结果信息可信性时所采用验证方式包括但不限于:认证中心提供的验证工具,如本地验证工具,服务端验证工具;或独立的第三方验证工具。
70.由此形成电子证照、数字凭证类黑箱认证方法,在具体应用时,可结合密码技术实现认证:
71.(1)认证请求端请求发起认证,即:将带电子签章或电子签名信息的电子证照、数
字凭证文件发送给认证中心;
72.(2)认证请求端请求发起认证,可通过认证中心公开的数字证书,可对电子证照、数字凭证文件进行加密处理;
73.(3)认证中心接收到认证请求的电子证照、数字凭证文件,通过类黑箱认证方式验证其所有电子签章或电子签名信息的有效性,并同步验证电子证照、数字凭证的有效期、状态等信息;
74.(4)认证中心将返回的认证结果信息采用与公开数字证书(公钥称为s1)相对应的密钥s2进行数字签名,与认证结果一起返回给请求端;
75.(5)请求端接收到后,可以通过公开的数字证书(s1)进行签名验证,确保认证结果是真实的、合法的、有效的。
76.针对本方案给出的电子证照、数字凭证类黑箱认证方案,在具体应用时,可构成相应的软件程序,形成相应的电子证照、数字凭证类黑箱认证系统。该软件程序在运行时,将执行上述的电子证照、数字凭证类黑箱认证方法,同时存储于相应的存储介质中,以供处理器调取执行。
77.由此形成的电子证照、数字凭证类黑箱认证系统在功能上主要包括:认证请求模块,认证模块,认证结果验证模块。
78.其中,本系统中的认证请求模块运行在认证请求发起端,形成电子证照、数字凭证类的认证请求信息,并向认证中心发送认证请求。
79.该认证请求模块可预先通过认证中心发布的公钥数字证书进行加密后再发起认证请求认证中心的认证服务。
80.本系统中的认证模块运行在认证中心,接收到认证请求模块的认证请求后进行验证处理,并返回验证的认证结果信息。
81.具体的,本认证模块首先根据接收到的认证请求数据格式进行预处理;如若该认证请求信息通过公钥证书加密,则认证中心接收到认证请求信息后采用公开发布的数字证书所对应的私钥进行解密。
82.本认证模块针对预处理后的认证请求数据调用电子证照、数字凭证类黑箱认证模块,进行请求认证;同时对验证的结果信息,通过认证中心公开发布的数字证书所对应的私钥进行数字签名保护后形成认证结果信息再发送给认证请求发起端。
83.对于电子证照、数字凭证类黑箱认证模块的请求认证过程如上所述,此处不加以赘述。
84.根据需要,本认证模块对验证结果信息进行标准的数字签名保护,其数字签名信息可附加时间戳信息。
85.本系统中的认证结果验证模块运行在认证请求发起端,接收认证模块返回的认证结果并进一步验证认证结果信息的可信性。
86.具体的,本认证结果验证模块针对接收到认证结果进行验证认证结果信息可信性时,可验证的信息包括:
87.验证数字签名的真实性、有效性;
88.验证数字证书合法性、有效性;
89.验证附加的时间戳有效性。
90.由此形成的电子证照、数字凭证类黑箱认证系统在运行时,可实现对电子证照、数字凭证类的认证请求信息和认验证结果信息的可信认证,从而提高了信息的安全性和可信性。如此,本系统用于可信环境和非可信环境中的云计算、云服务的可信验证。
91.作为进一步地补充实例方案:
92.本方案还提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现上述电子证照、数字凭证类黑箱认证方法的步骤。
93.本方案还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述电子证照、数字凭证类黑箱认证方法的步骤。
94.本方案还提供了一种终端设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,所述程序代码由所述处理器加载并执行以实现上述电子证照、数字凭证类黑箱认证方法的步骤。
95.本方案还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行上述电子证照、数字凭证类黑箱认证方法的步骤。
96.在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
97.所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
98.本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
99.本发明是参照本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
100.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
101.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
102.在一个典型的配置中,计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
103.存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/
或非易失性内存等形式,如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
104.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
105.还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
106.本领域技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
107.以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。