专利名称:一种实现数字证书身份验证及敏感数据加密的系统的制作方法
技术领域:
本实用新型涉及一种面向互联网的Web应用服务中的身份验证及数据加密
的系统。
背景技术:
Web计算机应用技术近年来己得到广泛应用,以Web为核心的企业内部网, 用户可以通过低成本、简单易用的客户游览器即可随时随地到企业的Web站点 上査阅自己所需的数据。Web信息动态的、交互式的发布方式改变了企业的服务质量。
作为国家的重点项目一"国家电力巿场交易运营系统"是国家电力市场交 易运营技术支撑平台,国家电力市场各交易品种的交易可以通过"国家电力市 场交易运营系统"进行。市场成员进行市场活动,必须保证用户登录名的合法 性和安全性,即用户帐户的无法假冒性和敏感数据的安全性。
为达到以上目的,"国家电力市场交易运营系统"采用了 CFCA (中国金融 认证中心)的数字证书进行身份的确认和对敏感数据进行加密。所以有必要建 立一种可识别登录用户的合法性的配套系统。
发明内容
本实用新型的目的是提供一种实现数字证书身份验证及敏感数据加密的系
统;其可对系统的用户身份采用证书方式加密及对敏感数据进行加密;在用户
登陆访问系统的时候对其进行验证通过。
为实现上述目的,本实用新型采取以下设计方案 一种实现数字证书身份验证及敏感数据加密的系统,它包含有 具有USB规范接口并可登陆互联网的客户端计算机;掌控在各用户手中的电子钥匙,各用户手中的电子钥匙内置一存储包含有 该用户唯一身份认证数字证书的芯片;
一用于识别证书有效性的证书身份识别服务器,可以通过互联网与客户端 计算机及应用服务器通信;电子钥匙通过USB接口接入客户端计算机。
所述的证书身份识别服务器与应用服务器可以为一体化服务器为或分体式 组合的服务器。
本实用新型的优点是
1、 安全可靠,作为商业的数字证书CFCA的证书系统可以满足商业应用数
据的安全需求;
2、 实用方便,用本文所述的方式应用该证书系统可以方便地完成对用户身 份认证的加密需求和对敏感数据的加密需求。
图1为本实用新型系统构成原理示意图具体实施方式
如图1所示,本实用新型实现数字证书身份验证及敏感数据加密的系统的 构成包含有客户端计算机l、掌控在各用户手中的电子钥匙用于识别证书有效 性的证书身份识别服务器3及应用服务器4。
所述的客户端计算机1应具有USB规范接口,并可登陆互联网与系统的应 用服务器信息交流。
所述的掌控在各用户手中的电子钥匙2就是分发给每个用户唯一的数字证 书,即每个合法用户分发给一个唯一的电子钥匙,该电子钥匙(采用USB为佳) 内包含有用于识别该用户身份的唯一数字证书(换言之,各用户手中的电子钥 匙内存储包含有该用户唯一身份认证数字证书的芯片)。对于身份认证数字证 书加密,就是对每一个用户分发唯一与之对应的数字证书,在登陆系统的时候, 该数字证书配合用户名和密码作为用户的唯一标识,没有数字证书的用户无法进入系统;对于敏感数据采用数字证书对其加密后存储或传输,当达到解密条 件时再调用对应的数字证书进行解密。用户登录系统之前,首先在登录系统的 客户端计算机上安装电子钥匙驱动程序,以便客户端计算机可以正确识别数字 证书。电子钥匙通过USB接口接入客户端计算机。
所述的证书身份识别服务器3是本实用新型实现数字证书身份验证及敏感 数据加密的系统的核心,其可以是一台独立的计算机,可以通过互联网与客户 端计算机及应用服务器通信,证书身份识别服务器内置应用程序,执行该程序 可以识别登录系统的客户的证书有效性,即用于识别用户密码及与之配合的数 字证书是否与分发给该用户的证书一致,如一致则允许该用户进入系统,如不 一致则拒绝该用户进入系统。因为证书系统本身的安全性高,因此保证了系统 身份认证的安全和可靠。另执行该程序还可对一些敏感数据进行加密。
本实施例中所述的应用服务器4采用Web应用服务器,其内装有国家电力 巿场交易运营服务程序芯片。
所述的证书身份识别服务器与应用服务器可以一体部署或分体部署。
如图l所示,本实用新型构建时首先部署基于证书识别的身份认证服务器, 然后部署应用服务器,部署后由身份认证服务器控制对应用服务器的访问;需
要时,两个服务器也可以部署在同一服务器内。
其工作原理是客户端用户通过本机1上的USB接口插入电子钥匙2后, 向证书身份识别服务器3发出申请,证书身份识别服务器验证用户名、密码及 证书正确后,通过验证,用户接入应用服务,完成身份认证。
数据加密传输时,与此类似,对于敏感数据,通过调用数字证书,对敏感 数据进行加密,加密后,数据上传至应用服务器,加密保存,必要时通过调用 数字证书解密数据,供使用。
由于登陆用户使用的电子钥匙可以采用USB,其易定制加工,且携带方便,
安全可靠,所以即方便了用户的使用,又保证了整个系统及每个用户的使用安全。
权利要求1、一种实现数字证书身份验证及敏感数据加密的系统,其特征在于它包含有具有USB规范接口并可登陆互联网的客户端计算机;掌控在各用户手中的电子钥匙,各用户手中的电子钥匙内存储包含有该用户唯一身份认证数字证书的芯片;一用于识别证书有效性的证书身份识别服务器,可以通过互联网与客户端计算机及应用服务器通信;电子钥匙通过USB接口接入客户端计算机。
2、 根据权利要求1所述的实现数字证书身份验证及敏感数据加密的系统,其特征在于所述的应用服务器为装有国家电力市场交易运营服务程序的应用服务器,所述电子钥匙内置的芯片为存储包含有"国家电力巿场交易运营系统"专用的C F C A数字证书的芯片。
3、 根据权利要求1所述的实现数字证书身份验证及敏感数据加密的系统,其特征在于所述的证书身份识别服务器与应用服务器可以为一体化服务器为或分体式组合的服务器。
专利摘要一种实现数字证书身份验证及敏感数据加密的系统,它包含有具有USB规范接口并可登陆互联网的客户端计算机;掌控在各用户手中的电子钥匙,各用户手中的电子钥匙内存储包含有该用户唯一身份认证数字证书的芯片;一用于识别证书有效性的证书身份识别服务器,可以通过互联网与客户端计算机及应用服务器通信;电子钥匙通过USB接口接入客户端计算机。本实用新型安全可靠,实用方便,可以满足商业应用数据的安全需求。
文档编号H04L29/06GK201266949SQ200820110170
公开日2009年7月1日 申请日期2008年9月10日 优先权日2008年9月10日
发明者冬 刘, 杰 刘, 刘大为, 史述红, 周海明, 屈富敏, 雪 张, 张学松, 李伟刚, 杨占勇, 勇 梁, 野 梁, 文 王, 王海宁, 薛家兴, 显 赵, 陈乃仕, 陈西颖, 力 陶, 高春城 申请人:北京科东电力控制系统有限责任公司