专利名称:局域网内Direct Client系统认证的方法
技术领域:
本发明涉及Direct Client系统认证领域,尤其涉及一种局域网内DirectClient系统认证的方法。
背景技术:
CA(Certificate Authority,证书授权)中心,又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。在数字证书认证的过程中,CA中心作为权威的、公正的、可信赖的第三方,其作用是至关重要的。CA中心负责发放和管理数字证书,并允许管理员撤销已发放的数字证书,在证书废止列表中添加新项并周期性地发布这一数字签名的证书废止列表。在用户使用数字证书进行身份验证时,必须同时使用有效的数字证书和证书废止列表。
PKCS(Public Key Cryptography Standards,公钥密码系统标准)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书废止列表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。其中PKCS#11,定义了一套独立于技术的程序设计接口,用于智能卡之类的加密设备,以便用户完成与设备建立连接,加解密与数据管理等任务。
Direct是CFCA(China Financial Certification Authority,中国金融认证中心)为使用高级证书的客户提供的一种安全代理软件。Direct安全代理软件是处于应用层面并直接面向证书用户的。Direct由Direct Server和DirectClient两部分组成Direct Server主要用于网站用户;Direct Client主要用于需要网上服务的最终用户。Direct的主要作用就是在客户的浏览器和网站的服务器之间建立一个安全通道,使得相互之间可以安全地传递信息,同时完成对证书的自动管理。
Direct Client在事先设置好的配置文件中指定下载数字证书和证书废止列表的服务器的IP地址和端口,用户通过该地址和端口从CA中心下载用户数字证书和证书废止列表。当用户使用Direct Client向CA中心申请下载数字证书时,Direct Client会要求用户指定一个数字证书存放的路径,下载后将数字证书存放在此路径下,同时把下载的证书废止列表也保存在此路径下,该路径会作为一个附带的数据对象保存在用户数字证书的一个数据结构中。当用户使用下载的数字证书进行身份认证时,Direct Client会从数字证书中读取该数据对象,并到该数据对象指定的路径下查找证书废止列表。如果该路径下保存有有效的证书废止列表,Direct Client无需连接CA中心服务器就可以使用该数字证书进行用户身份认证、数据加解密、签名及验证签名等证书相关操作;如果该路径下没有证书废止列表或者证书废止列表过期或失效,Direct Client会自动根据配置文件到指定的服务器地址和端口下载有效的证书废止列表,如果此时无法连接指定的服务器和相应的端口,DirectClient就会报错,无法使用数字证书。
当在银行内部使用Direct Client时,会受到一定的限制。一般为了保证银行系统的高安全性,防止外部攻击,银行的内部网络相对于互联网是独立的,在银行内部网络中无法连通Direct Client指定的下载数字证书和证书废止列表的服务器及端口。在银行为客户或其内部工作人员申请数字证书时,不能使用银行内部网络的计算机操作,必须使用连接互联网的计算机进行操作,才能正常下载数字证书及证书废止列表。
为了更好地解决这一问题,现有技术中通常把数字证书保存在软盘或智能密钥装置中。智能密钥装置是一种USB接口设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用智能密钥装置内置的密码算法实现对用户身份的认证。智能密钥装置具有保证用户的私钥永远不离开硬件的特征,安全性极高。随着信息技术的高速发展,为了满足人们对信息交流和私密性的双重需要,出现了一种包括智能密钥装置和海量存储装置的复合设备,即在智能密钥装置基础上增加用于存储数据的海量存储装置,不仅保证了密钥的安全还能实现大量信息的存储。
使用软盘作为数字证书存储介质时,用户指定的数字证书存放的路径为软盘上的路径,数字证书和证书废止列表都保存在软盘上的指定路径中,该路径也同时被保存在数字证书附带的数据对象中。在银行内部网络中使用保存在软盘上的数字证书时,Direct Client根据从数字证书中的数据对象得到的路径可以从软盘上相应的路径中得到有效的证书废止列表,从而保证Direct Client可以进行用户身份认证等正常操作。但是这种使用软盘作为存储介质的方法具有一定的缺陷,即软盘内容容易被恶意分子复制,安全性较低。
使用智能密钥装置作为证书存储介质的情况下,Direct Client会自动将数字证书存储在智能密钥装置中,但是证书废止列表仍保存在下载数字证书时使用的计算机中,不会自动保存在智能密钥装置中。这里所说的智能密钥装置为简单的智能密钥装置,此时保存在智能密钥装置中的数字证书附带的数据对象所指向的证书废止列表存储路径只有在下载数字证书时使用的计算机上有效。当存有数字证书的智能密钥装置在银行内部网络的计算机上使用时,需要在当前的计算机上重新登录Direct Client,由于该路径指向的当前计算机上没有证书废止列表,Direct Client会自动尝试通过配置文件指定的服务器地址和端口下载证书废止列表,而银行内部网络与互联网是相互独立的,Direct Client无法和该服务器地址及端口连通,也就无法下载证书废止列表,此时就会出错,导致无法登录Direct Client,因此也就无法进行用户身份的认证,数据加解密、签名及验证签名等相关操作。
发明内容
为了克服用户使用Direct Client系统进行认证时无法正确读取有效证书废止列表的缺陷,本发明的目的在于提供一种局域网内Direct Client系统认证的方法,在无法连通Direct Client配置文件中指定的下载证书废止列表的服务器及端口的局域网内使用Direct Client系统时,利用智能密钥装置可以确保用户顺利进行身份认证等操作。
本发明提供的一种局域网内Direct Client系统认证的方法,在所述局域网内的计算机上登录Direct Client系统时,执行以下步骤步骤A将存储有数字证书和证书废止列表的智能密钥装置连接到局域网内的计算机上;步骤B修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向保存所述证书废止列表的有效路径;步骤CDirect Client系统读取所述智能密钥装置中的数字证书以及所述数据对象中修改后的路径信息,根据该路径信息找到并读取所述证书废止列表,进行用户身份认证。
所述步骤B中修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息的步骤可以为先将所述智能密钥装置中的证书废止列表复制到所述局域网内的计算机上,然后修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上保存所述证书废止列表的路径。
所述步骤B中修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息的步骤还可以为先修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上将要保存所述证书废止列表的路径,然后将所述智能密钥装置中的证书废止列表按照修改后的路径复制到所述局域网内的计算机上。
本发明还提供一种局域网内Direct Client系统认证的方法,在所述局域网内的计算机上登录Direct Client系统时,所述方法包括以下步骤步骤A`将存储有数字证书和证书废止列表的复合设备连接到局域网内的计算机上;步骤B`修改所述复合设备中的数字证书附带的数据对象中的路径信息,使其指向保存所述证书废止列表的有效路径;步骤C`Direct Client系统读取所述复合设备中的数字证书以及所述数据对象中修改后的路径信息,根据该路径信息找到并读取所述证书废止列表,进行用户身份认证。
所述复合设备包括智能密钥装置和海量存储装置,所述数字证书被存储在所述智能密钥装置中,所述证书废止列表被存储在所述海量存储装置中。
所述步骤B`中修改所述复合设备中的数字证书附带的数据对象中的路径信息的步骤可以为
先将所述海量存储装置中的证书废止列表复制到所述局域网内的计算机上,然后修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上保存所述证书废止列表的路径。
所述步骤B`中修改所述复合设备中的数字证书附带的数据对象中的路径信息的步骤还可以为先修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上将要保存所述证书废止列表的路径,然后将所述海量存储装置中的证书废止列表按照修改后的路径复制到所述局域网内的计算机上。
所述步骤B`中修改所述复合设备中的数字证书附带的数据对象中的路径信息的步骤还可以为修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述海量存储装置中保存所述证书废止列表的路径在所述局域网内的计算机上映射的有效路径。
本发明的有益效果是利用智能密钥装置或复合设备存储数字证书和证书废止列表,通过修改数字证书附带的数据对象中的路径信息,使DirectClient系统可以正确地找到证书废止列表,从而进行用户身份的认证,不但增强了金融交易的安全性,还提高了认证过程的可用性和易用性。
图1为本发明使用智能密钥装置或复合设备下载并存储数字证书和证书废止列表的系统示意图;图2为本发明在局域网内使用智能密钥装置支持Direct Client系统认证的方法流程图;图3为本发明在局域网内使用复合设备支持Direct Client系统认证的方法流程图;图4为本发明在局域网内使用复合设备支持Direct Client系统认证的另一种方法流程图。
具体实施例方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。
参见图1,为本发明使用智能密钥装置或复合设备下载并存储数字证书和证书废止列表的系统示意图。当用户向CA中心申请或更新认证信息时,首先将智能密钥装置或复合设备连接到能够连入互联网的计算机上,用户使用此计算机上的Direct Client系统通过互联网访问CFCA服务器,即向CA中心发起申请或更新认证信息的请求,根据Direct Client系统的配置文件从指定的服务器及端口下载数字证书和证书废止列表。
智能密钥装置不能被计算机的操作系统的文件系统识别和管理,当使用智能密钥装置通过互联网下载数字证书和证书废止列表时,Direct Client系统将数字证书直接下载到智能密钥装置中;或者先将数字证书下载到当前计算机的硬盘上,然后由用户通过执行相应的应用程序读取硬盘上的数字证书,并调用PKCS#11接口在智能密钥装置中创建数字证书数据对象,再把数字证书保存到所述数字证书数据对象中,从而完成了复制数字证书到智能密钥装置中的过程;Direct Client系统将证书废止列表下载到当前计算机的硬盘上,再由用户通过执行相应的应用程序读取硬盘上的证书废止列表,并调用PKCS#11接口在智能密钥装置中创建证书废止列表数据对象,然后把证书废止列表保存到所述证书废止列表数据对象中,从而完成了复制证书废止列表到智能密钥装置中的过程。
复合设备包括智能密钥装置和海量存储装置,海量存储装置能够被计算机的操作系统的文件系统识别和管理。当把复合设备连接到计算机上时,计算机会识别此硬件,通过计算机操作系统的文件系统可以读取海量存储装置的存储内容,也可以将数据存储到海量存储装置中。当使用复合设备通过互联网下载数字证书和证书废止列表时,Direct Client系统将数字证书下载到智能密钥装置中;或者先将数字证书下载到当前计算机的硬盘上,然后由用户通过执行相应的应用程序读取硬盘上的数字证书,并通过调用PKCS#11接口在智能密钥装置中创建数字证书数据对象,再将数字证书保存到所述数字证书数据对象中,从而完成了复制数字证书到智能密钥装置中的过程;Direct Client系统将证书废止列表下载到当前计算机的硬盘上,再由用户通过执行复制命令将证书废止列表复制到海量存储装置中;用户也可以在配置文件中指定Direct Client系统的证书废止列表下载路径为海量存储装置在当前计算机上映射的有效路径,此时Direct Client系统将证书废止列表直接下载到海量存储装置中。
下载完成后,存储有数字证书和证书废止列表的智能密钥装置或复合设备就可以在无法连通Direct Client配置文件中指定的服务器及端口的局域网内使用了。
参见图2,为本发明在局域网内使用智能密钥装置支持Direct Client系统认证的方法流程图。当在无法连通Direct Client配置文件中指定的下载数字证书和证书废止列表服务器及端口的局域网内使用智能密钥装置进行用户身份认证时,执行以下步骤步骤201将存储有数字证书和证书废止列表的智能密钥装置连接到上述局域网内的计算机上;步骤202用户通过执行相应的应用程序,调用PKCS#11接口读取智能密钥装置中的证书废止列表,并把证书废止列表以证书废止列表文件的形式复制到计算机的硬盘上;步骤203用户通过PKCS#11接口读取智能密钥装置中的数字证书附带的数据对象中的数据,该数据就是证书废止列表在下载时的保存路径;然后判断该数据指定的路径与所述计算机上保存所述证书废止列表的路径是否相同,如果相同则不修改该数据;如果不相同则修改该数据,使其指向所述计算机上保存所述证书废止列表的路径,再通过PKCS#11接口用所述修改后的数据即保存有新的路径信息的数据覆盖智能密钥装置中数字证书附带的数据对象中的原有数据;上述步骤203也可以在步骤202之前执行,即先执行修改数字证书附带的数据对象中的路径信息的操作,然后再执行保存证书废止列表到计算机上的操作,只要保证修改后的路径与证书废止列表在计算机上保存的路径一致即可;步骤204Direct Client系统读取智能密钥装置中的数字证书以及该数字证书附带的数据对象中被修改后的路径信息;步骤205Direct Client系统根据读取的路径找到并读取证书废止列表,进行用户身份的认证。
参见图3,为本发明在局域网内使用复合设备支持Direct Client系统认证的方法流程图。当在无法连通Direct Client配置文件中指定的下载数字证书和证书废止列表服务器及端口的局域网内使用复合设备进行用户身份认证时,执行以下步骤步骤301将存储有数字证书和证书废止列表的复合设备连接到上述局域网内的计算机上;步骤302用户通过PKCS#11接口读取复合设备的智能密钥装置中的数字证书附带的数据对象中的数据,该数据就是证书废止列表在下载时的保存路径;然后判断该数据指定的路径与复合设备的海量存储装置中保存所述证书废止列表的路径在所述计算机上映射的有效路径是否相同,如果相同则不修改该数据;如果不相同则修改该数据,使其指向复合设备的海量存储装置中保存所述证书废止列表的路径在所述计算机上映射的有效路径,再通过PKCS#11接口用所述修改后的数据即保存有新的路径信息的数据覆盖复合设备的智能密钥装置中的数字证书附带的数据对象中的原有数据;步骤303Direct Client系统读取复合设备的智能密钥装置中的数字证书以及该数字证书附带的数据对象中被修改后的路径信息;步骤304Direct Client系统根据读取的路径找到并读取证书废止列表,进行用户身份的认证。
参见图4,本发明还提供在局域网内使用复合设备支持Direct Client系统认证的方法的另一个实施例,与图3所示的方法相比仅步骤302有所不同,具体步骤如下步骤401将存储有数字证书和证书废止列表的复合设备连接到上述局域网内的计算机上;步骤402用户执行复制命令将复合设备的海量存储装置中的证书废止列表复制到所述计算机的硬盘上;步骤403通过PKCS#11接口读取复合设备的智能密钥装置中的数字证书附带的数据对象中的数据,该数据就是证书废止列表在下载时的保存路径;然后判断该数据指定的路径与所述计算机上保存所述证书废止列表的路径是否相同,如果相同则不修改该数据;如果不相同则修改该数据,使其指向所述计算机上保存所述证书废止列表的路径,再通过PKCS#11接口用所述修改后的数据即保存有新的路径信息的数据覆盖复合设备的智能密钥装置中的数字证书附带的数据对象中的原有数据;上述步骤403也可以在步骤402之前执行,即先执行修改数字证书附带的数据对象中的路径信息的操作,然后再执行复制证书废止列表到计算机上的操作,只要保证修改后的路径与证书废止列表在计算机上保存的路径一致即可;步骤404Direct Client系统读取复合设备的智能密钥装置中的数字证书以及该数字证书附带的数据对象中被修改后的路径信息;步骤405Direct Client系统根据读取的路径信息找到并读取证书废止列表,进行用户身份的认证。
以上所述的实施例,只是本发明较优选的具体实施方式
的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换,都应包含在本发明的保护范围内。
权利要求
1.一种局域网内Direct Client系统认证的方法,其特征在于,在所述局域网内的计算机上登录Direct Client系统时,所述方法包括以下步骤步骤A将存储有数字证书和证书废止列表的智能密钥装置连接到局域网内的计算机上;步骤B修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向保存所述证书废止列表的有效路径;步骤CDirect Client系统读取所述智能密钥装置中的数字证书以及所述数据对象中修改后的路径信息,根据该路径信息找到并读取所述证书废止列表,进行用户身份认证。
2.根据权利要求1所述的局域网内Direct Client系统认证的方法,其特征在于,所述步骤B中修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息的步骤具体为先将所述智能密钥装置中的证书废止列表复制到所述局域网内的计算机上,然后修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上保存所述证书废止列表的路径。
3.根据权利要求1所述的局域网内Direct Client系统认证的方法,其特征在于,所述步骤B中修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息的步骤具体为先修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上将要保存所述证书废止列表的路径,然后将所述智能密钥装置中的证书废止列表按照修改后的路径复制到所述局域网内的计算机上。
4.一种局域网内Direct Client系统认证的方法,其特征在于,在所述局域网内的计算机上登录Direct Client系统时,所述方法包括以下步骤步骤A`将存储有数字证书和证书废止列表的复合设备连接到局域网内的计算机上;步骤B`修改所述复合设备中的数字证书附带的数据对象中的路径信息,使其指向保存所述证书废止列表的有效路径;步骤C`Direct Client系统读取所述复合设备中的数字证书以及所述数据对象中修改后的路径信息,根据该路径信息找到并读取所述证书废止列表,进行用户身份认证。
5.根据权利要求4所述的局域网内Direct Client系统认证的方法,其特征在于,所述复合设备包括智能密钥装置和海量存储装置,所述数字证书被存储在所述智能密钥装置中,所述证书废止列表被存储在所述海量存储装置中。
6.根据权利要求5所述的局域网内Direct Client系统认证的方法,其特征在于,所述步骤B`中修改所述复合设备中的数字证书附带的数据对象中的路径信息的步骤具体为先将所述海量存储装置中的证书废止列表复制到所述局域网内的计算机上,然后修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上保存所述证书废止列表的路径。
7.根据权利要求5所述的局域网内Direct Client系统认证的方法,其特征在于,所述步骤B`中修改所述复合设备中的数字证书附带的数据对象中的路径信息的步骤具体为先修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述局域网内的计算机上将要保存所述证书废止列表的路径,然后将所述海量存储装置中的证书废止列表按照修改后的路径复制到所述局域网内的计算机上。
8.根据权利要求5所述的局域网内Direct Client系统认证的方法,其特征在于,所述步骤B`中修改所述复合设备中的数字证书附带的数据对象中的路径信息的步骤具体为修改所述智能密钥装置中的数字证书附带的数据对象中的路径信息,使其指向所述海量存储装置中保存所述证书废止列表的路径在所述局域网内的计算机上映射的有效路径。
全文摘要
本发明提供一种局域网内Direct Client系统认证的方法,属于Direct Client系统认证领域。在无法连通Direct Client配置文件中指定的下载数字证书和证书废止列表的服务器及端口的局域网内使用Direct Client系统进行用户身份认证时,本发明利用智能密钥装置或复合设备存储数字证书和证书废止列表,通过修改数字证书附带的数据对象中的路径信息,使Direct Client系统可以正确地找到证书废止列表,从而进行用户身份的认证,不但增强了金融交易的安全性,还提高了认证过程的可用性和易用性。
文档编号H04L29/06GK1866827SQ20061008754
公开日2006年11月22日 申请日期2006年6月14日 优先权日2006年6月14日
发明者陆舟, 于华章, 闫岩 申请人:北京飞天诚信科技有限公司, 北京捷德智能卡系统有限公司