专利名称:基于硬件特征的证书认证系统和方法
专利说明基于硬件特征的证书认证系统和方法 本发明涉及网络上的证书认证系统和方法,特别是涉及一种基于硬件特征的证书认证系统和方法。在互联网应用越来越多的今天,身份认证问题成为互联网应用需要解决的核心问题之一。简单的身份认证有用户名和密码认证体系;稍微复杂的系统如网上银行等则需要用专门的数字证书进行身份认证。
在传统的身份认证系统中使用的是CA服务器统一分发的证书进行认证。CA(Certification Authority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。数字证书实际是一串很长的数学编码,包含有客户的基本信息及CA的签字,通常保存在电脑硬盘或IC卡中。证明证书主体("证书申请者"获得CA认证中心签发的证书后即成为"证书主体")与证书中所包含的公钥的唯一对应关系。证书在通信时用来出示给对方,证明自己的身份。
数字证书的工作原理,通常来讲,在网上系统中存在三种证书CA服务器自身的根证书,应用服务器证书,和每个用户在浏览器端的客户证书。有了这三个证书,就可以在浏览器与应用服务器之间建立起SSL(安全连接层)连接。这样,你的浏览器与应用服务器之间就有了一个安全的加密信道。你的证书可以使与你通讯的对方验证你的身份(你确实是你所声称的那个你),同样,你也可以用与你通讯的对方的证书验证他的身份(他确实是他所声称的那个他),而这一验证过程是由系统自动完成的。
这些传统方案中,网上的用户名和密码容易被盗用;而传统的数字证书因为由CA服务器统一颁发,也存在被复制和盗用的风险,引起使用过程中的冒名顶替,容易给用户造成不可估量的损失。本发明的目的是提供一种基于硬件特征的证书认证系统和方法,在使用过程中不容易被复制或盗用。
本发明的目的是这样实现的构建一种基于硬件特征的证书认证方法,包含以下步骤第一步,认证服务器使用包含客户端硬件特征的硬件证书加密数字证书后形成加密文件发给客户端;第二步,客户端使用硬件证书对收到的加密文件解密后得到数字证书提供给应用服务器;第三步,应用服务器把数字证书提供给认证服务器核对完成认证。
构建一种基于硬件特征的证书认证系统,其特征在于包括客户端硬件特征采集器,用于根据采集的客户端硬件特征生成硬件证书;认证服务器,用于存储客户端硬件特征采集器提供的硬件证书,给客户端生成数字证书,并用所述硬件证书加密后生成加密文件提供给客户端;客户端,用于接收认证服务器的加密文件,并控制客户端硬件特征采集器临时生成硬件证书,对加密文件解密后得到数字证书,以备身份认证;应用服务器,用于接收客户端的数字证书,提供给认证服务器核对完成认证。
本发明因为采用了上述方法和系统,使得每次对客户端进行认证时,客户端都要采集自身的硬件特征生成一次硬件证书,才能完成认证过程,从而使客户端不可仿冒,避免了现有技术中因数字证书或密码被盗而引起的身份误认。并且还能通过硬件证书验证客户端的有效性,加强CA系统的安全特性,在同类型解决方案中由于没有加入额外的硬件,因此具有成本低,部署简单等优点。
图1是本发明硬件证书的生成示意图;图2是本发明认证过程的示意图。下面结合附图和实施例对本发明作进一步的阐述。
图1和图2体现了基于PC硬件特征的认证系统(SinforCA)工作过程。
如图1所示,在客户端PC上设置了硬件特征采集器,可以根据硬件特征通过某些加密算法生成硬件证书文件。加密算法可以各种通用的加密算法,比如包括但不限于RSA,3DES,AES等通用算法,加密位数在128位以上。PC上的硬件特征包括但不限于硬盘的物理序列号,逻辑分区的序号,CPU序号,网卡MAC地址,主板序号等。硬件证书文件中应该包含证书的生成日期,硬件特征,和校验和,但不限于以上信息。硬件证书为1K以上的数字序列。
将硬件证书通过安全的手段传送到认证服务器(CA Server),服务器通过ID号生成器客户分配一个用户ID号。安全的传送手段包括但不限于加密的邮件、通过保密的物理介质传输等方法。
如图2所示,认证时,第一步,客户端先将ID通过密文或明文报给CA服务器。第二步,CA服务器通过随机数生成器为当前客户分配一个临时的唯一认证号码和加密密码B。为保证唯一性,该认证号码应当至少大于64位,一般为128位以上。该认证号码在每一次认证过程完成后失效,或在较短时间(比如30秒)后失效。CA服务器再使用用户ID和硬件证书生成新密钥后,再用新密钥加密认证号码序号和密码B(加解密算法可以使用但不限于AES,3DES等对称加密算法),形成用硬件证书加密后的数字证书文件。其中数字证书的内容主要包括用户ID号、认证号码和加密密码B等。第三步,CA服务器把加密后的文件回传给客户端。
第四步,客户端用收到加密后的文件后,再临时生成硬件证书,使用硬件证书加密ID生成新密钥后,再用新密钥解密认证号码和密码B(数字证书的主要内容)。第五步,用密码B加密认证号码并和用户ID一起形成数字证书发送到应用服务器进行身份认证。第六步,应用服务器将数字证书(加密的认证号码和用户ID)发到CA服务器进行身份确认。
上述应用服务器和CA服务器可以是同一个服务器。
本方案只描述单向认证过程,如果是双向认证过程,则应用服务器和客户端的逻辑位置倒置,重复该认证过程即可。
本发明的客户端不仅仅限于PC机和笔记本,还可包括PDA以及未来3G的手持设备。硬件特征还可以根据具体的设备包括更多的特征。硬件证书的生成算法可以使用多种加密算法。硬件证书的传输手段可以采用多种安全方式。认证过程可以使用其他简化的认证过程,核心过程是需要使用硬件证书进行认证。比如客户端可以直接使用硬件证书按某种算法和用户ID一起生成的某种序号,发到CA服务器进行身份认证,身份被确认后,使用该序号和应用服务器进行交换。
本发明的最大优点是防止证书和密码被盗用。在同类型解决方案中由于没有加入额外的硬件,因此具有成本低,部署简单等优点,可广泛使用于防火墙、VPN等网络安全系统、网上交易,网上银行等电子商务系统、OA等电子政务系统。能大大提高系统的安全等级。
权利要求
1.一种基于硬件特征的证书认证方法,包含以下步骤第一步,认证服务器使用包含客户端硬件特征的硬件证书加密数字证书后形成加密文件发给客户端;第二步,客户端使用硬件证书对收到的加密文件解密后得到数字证书提供给应用服务器;第三步,应用服务器把数字证书提供给认证服务器核对完成认证。
2.根据权利要求1所述的基于硬件特征的证书认证方法,其特征在于,在所述第一步之前,还包含硬件证书生成步骤采集客户端的硬件特征形成硬件证书存储于认证服务器中。
3.根据权利要求1所述的基于硬件特征的证书认证方法,其特征在于,所述第一步包含以下步骤步骤101,认证服务器根据客户端提供的ID号,分配一个临时的唯一认证号码和加密密码B;步骤102,认证服务器使用用户ID和硬件证书生成新密钥后,再用新密钥加密认证号码序号和密码B,形成用硬件证书加密后的数字证书文件;步骤103,认证服务器把加密后的文件传给客户端。
4.根据权利要求1所述的基于硬件特征的证书认证方法,其特征在于,所述第二步包含以下步骤步骤201,客户端收到所述加密后的文件后,临时生成硬件证书;步骤202,客户端使用硬件证书和用户ID生成新密钥后,再用新密钥解密所述加密后的文件获得认证号码和密码B;步骤203,用密码B加密认证号码并和用户ID一起形成数字证书发送到应用服务器。
5.一种基于硬件特征的证书认证系统,其特征在于包括客户端硬件特征采集器,用于根据采集的客户端硬件特征生成硬件证书;认证服务器,用于存储客户端硬件特征采集器提供的硬件证书,给客户端生成数字证书,并用所述硬件证书加密后生成加密文件提供给客户端;客户端,用于接收认证服务器的加密文件,并控制客户端硬件特征采集器临时生成硬件证书,对加密文件解密后得到数字证书,以备身份认证;应用服务器,用于接收客户端的数字证书,提供给认证服务器核对完成认证。
6.根据权利要求5所述的基于硬件特征的证书认证系统,其特征在于所述认证服务器包括一个ID号生成器,用于给客户端提供ID号。
7.根据权利要求5所述的基于硬件特征的证书认证系统,其特征在于所述认证服务器还包括一个随机数产生器,用于根据客户端提供的ID号,分配给客户端一个临时的唯一认证号码和加密密码B。
8.根据权利要求5、6或7所述的基于硬件特征的证书认证系统,其特征在于所述认证服务器和应用服务器是同一个服务器。
全文摘要
本发明公开了一种基于硬件特征的证书认证系统和方法,其方法包含以下步骤认证服务器使用包含客户端硬件特征的硬件证书加密数字证书后形成加密文件发给客户端;客户端使用硬件证书对收到的加密文件解密后得到数字证书提供给应用服务器;应用服务器把数字证书提供给认证服务器核对完成认证。其系统包括客户端硬件特征采集器,用于根据采集的客户端硬件特征生成硬件证书;认证服务器;客户端;应用服务器。本发明因为采用了上述方法和系统,使得每次对客户端进行认证时,客户端都要采集自身的硬件特征生成一次硬件证书,才能完成认证过程,从而使客户端不可仿冒,避免了现有技术中因数字证书或密码被盗而引起的身份误认。
文档编号G06F15/16GK1447269SQ03114180
公开日2003年10月8日 申请日期2003年4月10日 优先权日2003年4月10日
发明者何朝曦 申请人:深圳市深信服电子科技有限公司