专利名称:远程使用证书与密钥进行认证的方法、装置及系统的制作方法
技术领域:
本发明涉及计算机技术领域,尤其涉及一种远程使用证书与密钥进行认证的方法、装置及系统。
背景技术:
远程应用发布属于应用虚拟化技术,其将应用程序的人机交互逻辑(应用程序界面、键盘及鼠标的操作、音频输入输出、读卡器、打印输出等)与计算逻辑隔离开来,在用户访问一个服务器虚拟化后的应用时,用户终端设备只需要把人机交互逻辑通过RDP/ICA等远程桌面协议传送到服务器端,服务器端为用户开设独立的会话空间,应用程序的计算逻辑在这个会话空间中运行,把变化后的人机交互逻辑传送给用户终端设备,并且在用户终端设备的相应显示设备中展示出来,从而使用户获得如同运行本地应用程序一样的访问感受。随着虚拟化技术的逐渐成熟,远程应用发布功能逐渐成为SSL VPN(Secure Sockets Layer Virtual Private Network,安全套接层虚拟专用网络)产品的一项必备功能;与传统的客户端-服务器模式相比,远程应用发布更具信息安全性、部署方便性和终端易维护性。目前,对于各种OA (Office Automatic,办公自动化)系统,远程应用发布均只支持利用鼠标、键盘等可输入的方式来认证,如短信认证、动态令牌、口令等,而需要使用证书和Dkey (Dispersion Key,分散密钥)认证的系统则无法作为远程应用发布资源来使用。对于证书认证,可以通过为每个windows(窗口操作系统)用户账号导入对应的用户证书来解决,但这些证书需要通过管理员批量导入或用户远程登录到远程应用发布服务器自行导入,因此在安全性和易用性上都无法满足客户需求。对于Dkey认证用户来说,不可能通过在发布服务器上插入自己的Dkey来使用OA系统,所以Dkey认证现在还无法应用于远程应用发布的OA系统上。有厂商直接做USB(Universal Serial Bus,通用串行总线)映射的方案,该方案将用户PC (Personal Computer,个人计算机)的USB接口映射到服务器,这样用户虽然可以在其PC的USB接口上直接插入Dkey实现认证,但用户同样可通过在其PC的USB接口上使用 U盘和其他移动存储设备,不受限制的进行文件的上传和下载,这给远程应用服务器带来信息泄露与病毒感染的危险。
发明内容
本发明的主要目的是提供一种远程使用证书与密钥进行认证的方法,旨在通过将原需要在远程应用发布服务器上执行的证书认证流程转移到用户PC的客户端上执行,达到远程应用支持证书、Dkey认证的目的,同时使用户无感知的直接使用OA系统。本发明公开了一种远程使用证书与密钥进行认证的方法,包括以下步骤证书认证拦截模块拦截证书/Dkey认证模块发送的用户证书和签名的请求信息,通过证书认证转发模块将所述请求信息转发至证书认证应答模块;证书认证应答模块接收到认证请求后进行签名,通过证书认证转发模块将用户证书和签名结果转发至证书认证拦截模块;证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块。优选地,所述证书认证拦截模块拦截用户证书和签名的请求信息进一步包括利用函数挂钩技术,通过调用符合CSP (Cryptographic Service Provider,加密模块接口标准)和使用证书相关的各函数进行挂钩,将所述的用户证书和签名的请求信息进行拦截。优选地,所述证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块的步骤具体为在所述挂钩函数在执行拦截用户证书和签名的请求信息的中断处将用户证书和签名的结果进行返回。优选地,所述方法还包括步骤证书/Dkey认证模块根据用户证书和签名结果返回认证结果,判断是否通过认证。本发明还公开了一种远程使用证书与密钥进行认证的装置,包括证书认证拦截模块,用于拦截证书/Dkey认证模块发送的用户证书和签名的请求信息,并将其下发给证书认证转发模块;还用于返回用户证书和签名的结果至证书/Dkey 认证模块;证书认证转发模块,用于将证书认证拦截模块下发的请求信息转发给证书认证应答模块;还用于将证书认证应答模块发送的用户证书和签名结果转发至证书认证拦截模块;证书认证应答模块,用于应答用户证书和签名的请求信息,提供用户证书和签名。优选地,所述证书认证拦截模块具体用于利用函数挂钩技术,通过调用符合加密模块接口标准CSP和使用证书相关的各函数进行挂钩,将所述的用户证书和签名的请求信息进行拦截,然后再将其发送至证书认证转发模块。优选地,所述证书认证拦截模块具体用于在所述挂钩函数执行转发用户证书和签名请求信息的中断处进行返回所述用户证书和签名。优选地,所述认证装置还包括证书/Dkey认证模块用于根据用户证书和签名结果返回认证结果,判断是否通过认证。本发明还公开了一种远程使用证书与密钥进行认证的系统,包括OA服务器,包含证书/Dkey认证模块,用于向远程应用发布服务器请求用户证书和签名,并根据远程应用发布服务器返回的用户证书和签名结果,返回其认证结果,判断是否通过认证;远程应用发布服务器,包含证书认证拦截模块,用于拦截OA服务器发送的用户证书和签名的请求信息,并将其下发给远程应用发布技术环境;还用于将远程应用发布技术环境转发的用户证书和签名结果返回给OA服务器; 远程应用发布技术环境,包含证书认证转发模块,用于转发远程应用发布服务器下发的用户证书和签名请求信息以及用户个人计算机PC发送的用户证书和签名结果;
用户PC,包含证书认证应答模块,用于应答用户证书和签名的请求信息,提供用户证书和签名。优选地,所述远程应用发布服务器具体用于利用函数挂钩技术,通过调用符合加密模块接口标准CSP和使用证书相关的各函数进行挂钩,将所述的用户证书和签名的请求信息进行拦截;且在所述挂钩函数执行转发用户证书和签名请求信息的中断处将用户证书和签名结果返回给OA服务器。本发明公开的远程使用证书与密钥进行认证的方法、装置及系统,通过将认证流程从远程应用发布服务器转移到用户PC,达到了远程使用证书和Dkey进行认证的目的,同时使用户无感知的直接使用OA系统,提高了远程应用发布对OA系统认证的信息安全性、部署方便性和终端的易维护性。
图1是本发明远程使用证书与密钥进行认证的方法第一实施例的流程示意图;图2是本发明远程使用证书与密钥进行认证的方法第二实施例的流程示意图;图3是本发明远程使用证书与密钥进行认证的装置第一实施例的流程示意图;图4是本发明远程使用证书与密钥进行认证的装置第二实施例的流程示意图;图5是本发明远程使用证书与密钥进行认证的系统一实施例的流程示意图;图6是现有技术中远程应用发布的OA系统用户登录界面;图7是采用本发明远程使用证书与密钥进行认证的方法后,远程应用发布的OA系统用户登录界面。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。参照图1,图1是本发明远程使用证书与密钥进行认证的方法第一实施例的流程示意图,本发明远程使用证书与密钥进行认证的方法包括以下步骤S01、证书认证拦截模块拦截证书/Dkey认证模块发送的用户证书和签名的请求信息,通过证书认证转发模块将所述请求信息转发至证书认证应答模块;用户在PC上点击远程应用发布服务器发布出来的OA系统的证书认证按钮,相当于远程应用发布服务器上的OA系统客户端向OA服务器发出证书认证请求;当OA服务器收到远程应用发布服务器发出的证书认证请求时,OA服务器向远程应用发布服务器请求用户证书和签名;远程应用发布服务器中的证书认证拦截模块主要利用函数挂钩技术,如API 拦截技术,将发布在应用发布服务器上的应用程序,通过对其调用的符合CSP标准和使用证书相关的各个函数进行挂钩,将OA服务器上证书/Dkey认证模块对远程应用发布服务器发送的用户证书和签名的认证请求进行拦截,并通过证书认证转发模块把用户证书和签名的请求的内容转发到用户PC。所述远程应用发布技术环境主要包括SSL VPN环境,但并不限于使用SSLVPN环境,证书认证转发模块的部署方式也适用于用到远程发布技术的其他环境。S02、证书认证应答模块接收到认证请求后进行签名,通过证书认证转发模块将用户证书和签名结果转发至证书认证拦截模块;用户PC上的证书认证应答模块接收到证书认证转发模块转发的用户证书和签名的认证请求后,使用本地满足CSP标准的用户私钥进行签名,并把用户证书和签名结果传给证书认证转发模块;证书认证转发模块再将用户PC的用户证书和签名转发至证书认证拦截模块;S03、证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块。远程应用发布服务器中的证书认证拦截模块在步骤SOl所述的挂钩函数在执行转发用户证书和签名的请求信息的中断处,将用户PC的用户证书和签名结果返回给OA服务器的证书/Dkey认证模块。利用函数挂钩技术,通过将认证流程从远程应用发布服务器转移到用户PC上执行,达到了远程使用证书和密钥进行认证的目的,同时使用户无感知的直接使用OA系统, 提升了远程使用证书和密钥进行认证的信息安全性及部署方便性。参照图2,图2是本发明远程使用证书与密钥进行认证的方法第二实施例的流程示意图,本发明远程使用证书与密钥进行认证的方法还包括步骤S04、证书/Dkey认证模块根据用户证书和签名结果返回认证结果,判断是否通过认证。OA服务器收到远程应用发布服务器的应答信息后,证书/Dkey认证模块对用户证书和签名的应答信息进行认证处理同时返回认证结果通过认证则执行步骤S041 ;否则, 执行步骤S042。步骤S041、允许登录;步骤S042、拒绝登陆。参照图3,图3是本发明远程使用证书与密钥进行认证的装置第一实施例的流程示意图,本发明远程使用证书与密钥进行认证的装置包括证书认证拦截模块011,用于拦截证书/Dkey认证模块发送的用户证书和签名的请求信息,并下发给证书认证转发模块;还用于返回用户证书和签名的结果至证书/Dkey 认证模块;证书认证转发模块021,用于将证书认证拦截模块下发的请求信息转发给证书认证应答模块;还用于将证书认证应答模块发送的用户证书和签名结果转发至证书认证拦截模块; 证书认证应答模块031,用于应答用户证书和签名的请求信息,提供用户证书和签名。 当远程应用发布服务器接收到OA系统发出的用户证书和签名的请求后,证书认证拦截模块011利用函数挂钩技术,通过对其调用符合CSP标准和使用证书相关的各个函数进行挂钩,将OA服务器上证书/Dkey认证模块对远程应用发布服务器发送的认证请求进行拦截,并把请求内容发送到证书认证转发模块021 ;
证书认证转发模块021接收到证书认证拦截模块011发送的用户证书和签名的请求信息后,将其转发至用证书认证应答模块031 ;证书认证应答模块031接收到请求后,使用本地满足CSP标准的用户私钥进行签名,并把用户证书和签名结果传给证书认证转发模块021 ;证书认证转发模块021将用户证书和签名结果转发给证书认证拦截模块011,证书认证拦截模块011在挂钩函数执行转发用户证书和签名的请求信息的中断处,将用户证书和签名结果返回给OA服务器的证书/Dkey认证模块。利用函数挂钩技术,通过将认证流程从远程应用发布服务器转移到用户PC上执行,达到了远程使用证书和密钥进行认证的目的,使用户无感知的直接使用OA系统,提升了远程使用证书和密钥进行认证的信息安全性及部署方便性。参照图4,图4是本发明远程使用证书与密钥进行认证的装置第二实施例的流程示意图,本发明远程使用证书与密钥进行认证的装置还包括证书/Dkey认证模块041,用于根据用户证书和签名结果返回认证结果,判断是否通过认证。证书/Dkey认证模块041收到远程应用发布服务器返回的用户证书和签名的应答信息后,返回认证结果,判断是否通过认证通过认证则允许登录,否则拒绝登陆。参照图5,图5是本发明远程使用证书与密钥进行认证的系统一实施例的流程示意图,本发明远程使用证书与密钥进行认证的系统包括OA服务器04,包含证书/Dkey认证模块041,用于向远程应用发布服务器01请求用户证书和签名并根据远程应用发布服务器01返回的用户证书和签名结果,返回其认证结果,判断是否通过认证;远程应用发布服务器01,包含证书认证拦截模块011,用于拦截OA服务器04发送的用户证书和签名的请求信息并下发给远程应用发布技术环境02 ;还用于将远程应用发布技术环境02转发的用户证书和签名结果返回给OA服务器04 ;远程应用发布技术环境02,包含证书认证转发模块021,用于转发远程应用发布服务器01下发的用户证书和签名请求信息以及用户PC03发送的用户证书和签名结果;用户PC03,包含证书认证应答模块031,用于应答用户证书和签名的请求信息,提供用户证书和签名。在用户PC客户端,用户点击远程应用发布服务器01发布出来的OA系统的证书认证按钮,相当于远程应用发布服务器01上的OA系统客户端向OA服务器04发出证书认证请求;当OA服务器04收到远程应用发布服务器01发出的证书认证请求时,OA服务器04 向远程应用发布服务器01请求用户证书和签名;远程应用发布服务器01中的证书认证拦截模块主要利用函数挂钩技术,如API拦截技术,将发布在应用发布服务器01上的应用程序,通过对其调用的符合CSP标准和使用证书相关的各个函数进行挂钩,将OA服务器04对远程应用发布服务器01的认证请求进行拦截,并通过远程应用发布技术环境02把用户证书和签名的请求的内容转发到用户PC03。用户PC03接收到远程应用发布技术环境02转发的用户证书和签名的认证请求后,使用本地满足CSP标准的用户私钥进行签名,并把用户证书和签名结果传给远程应用发布技术环境02 ;远程应用发布技术环境02再将用户PC03的用户证书和签名转发至远程应用发布服务器01。远程应用发布服务器01在所述的挂钩函数执行转发用户证书和签名的请求信息的中断处,将用户PC03的用户证书和签名结果返回给OA服务器04。OA服务器04收到远程应用发布服务器01发送的用户证书和签名结果的应答信息后,OA服务器04对应答信息进行认证处理同时返回认证结果通过认证给予登陆;否则,拒绝登陆。本发明远程使用证书与密钥进行认证的方法、装置及系统的有益效果将参照图6 与图7的对比来进一步说明。参照图6,图6是现有技术中远程应用发布的OA系统用户登录界面,现有技术中, 在用户PC端插入Dkey,远程应用发布的OA系统在登录界面的用户栏内无法选择到要登录的用户,点击无效。参照图7,图7是采用本发明远程使用证书与密钥进行认证的方法后,远程应用发布的OA系统用户登录界面;使用本发明后,在用户PC端插入Dkey,远程应用发布的OA系统在登录界面的用户栏内显示用户名,点击登录后,用户可以顺利的登录OA系统进行访问。本发明远程使用证书与密钥进行认证的方法、装置及系统,主要利用函数挂钩技术,通过将证书与密钥的认证流程从远程应用发布服务器转移到用户PC客户端,达到了远程应用支持证书、Dkey认证的目的,同时使用户无感知的直接使用OA系统,提高了信息安全性、部署方便性和终端的易维护性。以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种远程使用证书与密钥进行认证的方法,其特征在于,包括以下步骤证书认证拦截模块拦截证书/Dkey认证模块发送的用户证书和签名的请求信息,通过证书认证转发模块将所述请求信息转发至证书认证应答模块;证书认证应答模块接收到认证请求后进行签名,通过证书认证转发模块将用户证书和签名结果转发至证书认证拦截模块;证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块。
2.根据权利要求1所述的方法,其特征在于,所述证书认证拦截模块拦截用户证书和签名的请求信息进一步包括利用函数挂钩技术,通过调用符合加密模块接口标准CSP和使用证书相关的各函数进行挂钩,将所述的用户证书和签名的请求信息进行拦截。
3.根据权利要求1或2所述的方法,其特征在于,所述证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块的步骤具体为在所述挂钩函数在执行拦截用户证书和签名的请求信息的中断处将用户证书和签名的结果进行返回。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括步骤证书/Dkey认证模块根据用户证书和签名结果返回认证结果,判断是否通过认证。
5.一种远程使用证书与密钥进行认证的装置,其特征在于,包括证书认证拦截模块,用于拦截证书/Dkey认证模块发送的用户证书和签名的请求信息,并将其下发给证书认证转发模块;还用于返回用户证书和签名的结果至证书/Dkey认证模块;证书认证转发模块,用于将证书认证拦截模块下发的请求信息转发给证书认证应答模块;还用于将证书认证应答模块发送的用户证书和签名结果转发至证书认证拦截模块; 证书认证应答模块,用于应答用户证书和签名的请求信息,提供用户证书和签名。
6.根据权利要求5所述的装置,其特征在于,所述证书认证拦截模块具体用于利用函数挂钩技术,通过调用符合加密模块接口标准CSP和使用证书相关的各函数进行挂钩,将所述的用户证书和签名的请求信息进行拦截,然后再将其发送至证书认证转发模块。
7.根据权利要求5或6所述的装置,其特征在于,所述证书认证拦截模块具体用于 在所述挂钩函数执行转发用户证书和签名请求信息的中断处返回所述用户证书和签名。
8.根据权利请求5所述的装置,其特征在于,所述认证装置还包括证书/Dkey认证模块用于根据用户证书和签名结果返回认证结果,判断是否通过认证。
9.一种远程使用证书与密钥进行认证的系统,其特征在于,包括OA服务器,包含证书/Dkey认证模块,用于向远程应用发布服务器请求用户证书和签名,并根据远程应用发布服务器返回的用户证书和签名结果,返回其认证结果,判断是否通过认证;远程应用发布服务器,包含证书认证拦截模块,用于拦截OA服务器发送的用户证书和签名的请求信息,并将其下发给远程应用发布技术环境;还用于将远程应用发布技术环境转发的用户证书和签名结果返回给OA服务器;远程应用发布技术环境,包含证书认证转发模块,用于转发远程应用发布服务器下发的用户证书和签名请求信息以及用户个人计算机PC发送的用户证书和签名结果;用户PC,包含证书认证应答模块,用于应答用户证书和签名的请求信息,提供用户证书和签名。
10.根据权利要求9所述的认证系统,其特征在于,所述远程应用发布服务器具体用于利用函数挂钩技术,通过调用符合加密模块接口标准CSP和使用证书相关的各函数进行挂钩,将所述的用户证书和签名的请求信息进行拦截;且在所述挂钩函数执行转发用户证书和签名请求信息的中断处将用户证书和签名结果返回给OA服务器。
全文摘要
本发明公开一种远程使用证书与密钥进行认证的方法、装置及系统,该认证方法包括以下步骤证书认证拦截模块拦截证书/Dkey认证模块发送的用户证书和签名的请求信息,通过证书认证转发模块将所述请求信息转发至证书认证应答模块;证书认证应答模块接收到认证请求后进行签名,通过证书认证转发模块将用户证书和签名结果转发至证书认证拦截模块;证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块。本发明主要利用函数挂钩技术,将原需在远程应用发布服务器上执行的证书操作转移到用户PC上的客户端进行执行,使用户无感知的直接使用OA系统,提高了远程应用发布的信息安全性、部署方便性和终端的易维护性。
文档编号H04L29/06GK102412969SQ20111035969
公开日2012年4月11日 申请日期2011年11月14日 优先权日2011年11月14日
发明者林彦, 林海长, 潘伟琛 申请人:深圳市深信服电子科技有限公司