专利名称:一种数字证书操作强审计方法
技术领域:
本发明涉及一种计算机信息安全领域的审计方法,特别涉及一种适用于电子政
务、电子商务身份信息保护的数字证书操作强审计方法。
背景技术:
数字证书是一种权威性的电子文档,它提供了一种在Internet上验证身份的方 式。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户 自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一 把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一 份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这 样信息就可以安全无误地到达目的地,通过数字证书的手段保证加密过程是一个不可逆过 程。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密 钥。 目前的问题是,无法确认关联数字证书与真实人员的一致性,虽然,在发布数字证 书时可以审核申请人真实的身份,而且要使用数字证书需要有数字证书持有人设置的PIN 码,但是数字证书加PIN码只是加强了数字证书使用过程的安全性,仍然无法提供数字证 书使用过程中的身份确认问题,仍然存在数字证书和PIN码一起被盗用的情况。类似的问 题在真实社会中,一般通过其他设备或者手段解决,例如,在银行卡和密码都丢失的情况 下,取款时的摄像头信息和书写笔迹可以提供取款人真实信息作为审计追踪证据。在互联 网虚拟社会中,同样需要更多的审计信息来辅助数字证书作为证据链,将数据证书的使用 操作过程记录下来。 为了解决上述问题,特别需要一种数字证书操作强审计方法,在数字证书的操作 使用过程中,记录每一个使用的过程信息,包括但不限于环境信息(标准时间、IP地址、操 作系统登录名等)、计算机软件信息(操作系统、浏览器信息等)、计算机硬件信息(MAC地 址、硬盘序列号等)、身份信息(指纹、声纹等),从而记录下数字证书使用过程中的各项证 据,为数字证书操作审计提供依据。
发明内容
本发明的目的在于提供一种数字证书操作强审计方法,可以记录和使用者真实身
份有关的相关信息(如使用环境,时间等),确保留下真实使用者信息,从而使得数字证书
信息与真实的人关联起来,达到防止智能卡冒用的目的。 本发明所解决的技术问题可以采用以下技术方案来实现 —种数字证书操作强审计方法,其特征在于,它包括如下步骤 (1)在读取含有数字证书的载体中的数字证书时,通过读写设备读取数字证书的 使用时间信息; (2)以读取的时间信息为索引记录其他环境信息、软件信息、硬件信息和身份信息
3并构成一个完整的使用记录存储到读写设备中;
(3)读写设备将自身的相关信息写入载体中; (4)在读写设备空闲时,将存储在读写设备中的使用记录上传到相应的审计系统 中; (5)当含有数字证书的载体访问应用系统时,应用系统记录含有数字证书的载体 的访问信息并将访问信息发送到相应的审计系统中。 在本发明的一个实施例中,所述读写设备为读写设备为读卡器、数据连接线、显示 设备、读写器等。 在本发明的一个实施例中,所述含有数字证书的载体为智能卡、usbkey等。
在本发明的一个实施例中,所述审计系统为审计监控系统、司法追踪系统等。
在本发明的一个实施例中,所述使用时间信息可以为联网的同步时间信息,如果 不联网,为本地时间信息,或者为所述读写设备的内部计时信息。 在本发明的一个实施例中,所述读写设备通过重定向和代理访问相结合的方式将 存储在所述读写设备上的使用记录上传到相应的审计系统中。 在本发明的一个实施例中,当所述读写设备中存储的使用记录存满后,将从头存 在本发明的一个实施例中,数据信息在所述读写设备、含有数字证书的载体和应 用系统之间流转传输。 在本发明的一个实施例中,当用户丢含有数字证书的载体或者信息遭窃取访问时 候,可以通过所述审计系统中的审计信息,和用户的真实身份关联,从而找到非法用户或者 发现用户的非法操作。 本发明的数字证书操作强审计方法,通过含有数字证书的载体、读写设备、应用系 统和审计系统之间进行互相联动;含有数字证书的载体在读写设备上使用时,记录时间操 作等信息并将信息传输给审计系统,同时读写设备也会将相关的信息写到含有数字证书的 载体中;含有数字证书的载体在访问应用系统时候,应用系统也会记录相关的操作信息,并 将信息发送到审计系统;在数字证书的操作使用过程中,记录每一个使用的过程信息,从而 得到一个综合的并与真实身份相关联的审计信息,以达到审计的目的,实现本发明的目的。
本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了 解。
图1为本发明的数字证书操作强审计方法的流程示意图。
具体实施例方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结
合具体图示,进一步阐述本发明。
实施例 本发明的数字证书操作强审计方法,它包括如下步骤 (1)在读取含有数字证书的载体中的数字证书时,通过读写设备读取数字证书的
4使用时间信息; (2)以读取的时间信息为索引记录其他环境信息、软件信息、硬件信息和身份信息 并构成一个完整的使用记录存储到读写设备中;
(3)读写设备将自身的相关信息写入载体中; (4)在读写设备空闲时,将存储在读写设备中的使用记录上传到相应的审计系统 中; (5)当含有数字证书的载体访问应用系统时,应用系统记录含有数字证书的载体 的访问信息并将访问信息发送到相应的审计系统中。 在本发明中,所述读写设备为读卡器、数据连接线、显示设备、读写器等。 在本发明中,所述含有数字证书的载体为智能卡、usbkey等。 在本发明中,所述审计系统为审计监控系统、司法追踪系统等。 在本发明中,所述使用时间信息可以为联网的同步时间信息,如果不联网,为本地
时间信息,或者为所述读写设备的内部计时信息。 在本发明中,所述读写设备通过重定向和代理访问相结合的方式将存储在所述读
写设备上的使用记录上传到相应的审计系统中;先使用重定向技术将连接重定向到所述读
写设备,再使用代理模式进行访问,对所有经过安全网关的网络流量都进行处理,然后传递
给被保护的应用系统,使用户可以自由访问网关保护的多个应用系统,保证了访问的安全。 在本发明中,当所述读写设备中存储的使用记录存满后,将从头存储覆盖。 在本发明中,数据信息在所述读写设备、含有数字证书的载体和应用系统之间流
转传输。 在本发明中,当用户丢含有数字证书的载体或者信息遭窃取访问时候,可以通过 所述审计系统中的审计信息,和用户的真实身份关联,从而找到非法用户或者发现用户的 非法操作。 以下以读写设备为读卡器,含有数字证书的载体为含有数字证书的智能卡为例说 明本发明的数字证书操作强审计方法。 如图1所示,其中,包括含有数字证书的智能卡10、读卡器20、应用系统30和审计 系统40 ;智能卡10向审计系统40发送审计信息,读卡器20和智能卡10的数字证书之间 相互写操作信息,读卡器20向审计系统40发送审计信息,应用系统30向审计系统40发送 审计信息,以及智能卡10和读卡器20,读卡器20和应用系统30之间数据交换的过程。
为了实现本发明的数字证书操作强审计方法,需要在读取数字证书的读卡器20 中保留一个专用的安全存储空间,以及智能卡10中有专有的空间存有专有的审计信息。方 法实现过程如下 1、读卡器20记录智能卡10的使用时间信息,使用时间信息可以是联网的时间同
步信息,如果不联网,记录本地时间,但另做标记,或者记录读卡器20的内部计时信息; 2、以使用时间信息为索弓l,读卡器20记录其他环境信息、软件信息、硬件信息和
身份信息,构成一个完整的使用记录,存储到读取数字证书的读卡器20中; 3、同时,将读卡器20的相关信息如读卡器ID,智能卡10刷卡时间等写回智能卡
IO,这样,智能卡IO在下次使用时候就知道上次的使用时间和使用的地点; 4、当读卡器20使用为空闲时候,定时将这些与真实身份信息相关联的记录上穿到审计系统40,以便后续的审计追踪; 5、当读取数字证书的读卡器20中的使用记录存储器存满后,从头覆盖; 6、用户访问应用系统30,应用系统30会记录智能卡10的访问信息,如时间、操作、
访问的资源等,并将这些信息记录发送到审计系统40 ; 7、数据信息在智能卡10、读卡器20、应用系统30之间流动。 智能卡10在读卡器20操作,互相记录审计信息,智能卡10在读卡器20上使用, 读卡器20首先将智能卡10的型号,数字证书使用者,时间等相关信息记录到本地,并同时 记录和用户真实身份相关联的信息如(指纹等)。同时读卡器20将本机器的ID和智能卡 IO刷卡时间写回智能卡IO,这样就知道智能卡10何时何地在那一台读卡器20上使用,便 于以后的审计追踪。 应用系统30中数字证书相关的审计信息,用户通过读卡器20访问应用时候,应用 系统30会记录智能卡10的访问的信息,如时间、操作、访问的资源等信息,并将这些信息记 录发送到审计系统40。 智能卡IO在使用过程中,需要对智能卡10中的数字证书的使用进行审计,智能卡 10通常是在读卡器20上使用,在这个过程中,读卡器20记录用户的使用信息和与用户相关 联的真实信息,并且将相关信息通过合适的途径发送到对应的审计系统40,同时智能卡10 在访问应用系统30如网银等,应用系统30也记录了用户访问的相关信息,这些信息也传输 到对应的审计系统40。通过这些记录的信息,可以很好的判断及审计智能卡10中的数字证 书的使用是否正常等,达到对用户的强审计和追踪。 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术 人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本 发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变 化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其 等效物界定。
权利要求
一种数字证书操作强审计方法,其特征在于,它包括如下步骤(1)在读取含有数字证书的载体中的数字证书时,通过读写设备读取数字证书的使用时间信息;(2)以读取的时间信息为索引记录其他环境信息、软件信息、硬件信息和身份信息并构成一个完整的使用记录存储到读写设备中;(3)读写设备将自身的相关信息写入载体中;(4)在读写设备空闲时,将存储在读写设备中的使用记录上传到相应的审计系统中;(5)当含有数字证书的载体访问应用系统时,应用系统记录含有数字证书的载体的访问信息并将访问信息发送到相应的审计系统中。
2. 如权利要求1所述的数字证书操作强审计方法,其特征在于,所述读写设备为读卡 器、数据连接线、显示设备、读写器。
3. 如权利要求1所述的数字证书操作强审计方法,其特征在于,所述含有数字证书的 载体为智能卡、usbkey。
4. 如权利要求1所述的数字证书操作强审计方法,其特征在于,所述审计系统为审计 监控系统、司法追踪系统。
5. 如权利要求1所述的数字证书操作强审计方法,其特征在于,所述使用时间信息可 以为联网的同步时间信息,如果不联网,为本地时间信息,或者为所述读写设备的内部计时 信息。
6. 如权利要求1所述的数字证书操作强审计方法,其特征在于,所述读写设备通过重 定向和代理访问相结合的方式将存储在所述读写设备上的使用记录上传到相应的审计系 统中。
7. 如权利要求1所述的数字证书操作强审计方法,其特征在于,当所述读写设备中存 储的使用记录存满后,将从头存储覆盖。
8. 如权利要求1所述的数字证书操作强审计方法,其特征在于,数据信息在所述读写 设备、含有数字证书的载体和应用系统之间流转传输。
9. 如权利要求1所述的数字证书操作强审计方法,其特征在于,当用户丢含有数字证 书的载体或者信息遭窃取访问时候,可以通过所述审计系统中的审计信息,和用户的真实 身份关联,从而找到非法用户或者发现用户的非法操作。
全文摘要
本发明的目的在于公开一种数字证书操作强审计方法,通过含有数字证书的载体、读写设备、应用系统和审计系统之间进行互相联动;含有数字证书的载体在读写设备上使用时,记录时间操作等信息并将信息传输给审计系统,同时读写设备也会将相关的信息写到含有数字证书的载体中;含有数字证书的载体在访问应用系统时候,应用系统也会记录相关的操作信息,并将信息发送到审计系统;在数字证书的操作使用过程中,记录每一个使用的过程信息,从而得到一个综合的并与真实身份相关联的审计信息,以达到审计的目的,实现本发明的目的。
文档编号G06K7/00GK101763478SQ20091024785
公开日2010年6月30日 申请日期2009年12月31日 优先权日2009年12月31日
发明者倪力舜, 刘旻斐, 姚静晶, 张勇, 朱政洪, 杭强伟, 沈寒辉, 王福, 胡永涛, 邹翔, 金波, 陈兵 申请人:公安部第三研究所