一种基础的数字证书管理方法与流程

本发明涉及身份认证技术，更具体地说，涉及一种基础的数字证书管理方法。

技术背景

随着网络技术的高速发展，个人和企业越来越多地把业务活动放到网络上，因此网络的安全问题就更加关键和重要。据统计，在全球范围内，由于信息系统的脆弱性而导致的经济损失，每年达到数十亿元，并且呈逐年上升的趋势。利用数字证书、pki、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的身份认证系统，确保网上信息有效、安全地进行。同时，ca数字证书、pki构架系统国家已立法，而且相关应用也已成熟，全国各地均建立了相关的证书中心，提供标准数字证书编程接口。

在现有技术中，通常使用的是基于radius协议的数字证书认证系统。radius是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。但是由于协议本身的缺陷，比如基于udp的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务，仅支持非可靠udp传输协议，属性设置仅采用8比特标识符等，都使得它不太适应当前网络的发展，需要进一步改进。

新一代的aaa协议——diameter协议的出现使得提供一种新的数字证书的管理系统和方法成为可能。

技术实现要素：

本发明的目的是提供一种基础的数字证书管理方法。

根据本发明的一方面，提供一种数字证书管理方法，通过管理服务器认证客户端的数字证书，使得通过数字证书认证的客户端可以访问一应用系统，包括：客户端需要登陆一应用系统，首先启动客户端拨号程序，使用该客户端在管理服务器上的用户名登陆管理服务器，选择与所述应用系统相对应的数字证书；对所选择的数字证书计算数字签名；对该数字签名计算摘要；将所述数字证书、数字签名和摘要提供给管理服务器，并等待管理服务器回应；管理服务器是收到登陆管理服务器的请求，解析所述用户名；根据所述用户名，比较所提供的数字证书与一预定的数字证书，如果两者相符，则进入下一步骤，如果两者不符，则拒绝该用户名对应的客户端登陆所述应用系统；根据所述用户名，比较所提供的摘要与一预定的摘要，如果两者相符，则进入下一步骤，如果两者不符，则拒绝该用户名对应的客户端登陆所述应用系统；根据所述用户名，比较所提供的数字签名与一预定的数字签名，如果两者相符，则进入下一步骤，如果两者不符，则拒绝该用户名对应的客户端登陆所述应用系统；通知应用系统，允许所述用户名对应的客户端登陆所述应用系统。

根据一实施例，如果客户端被允许登陆所述应用系统，则继续向该管理服务器发送计费请求，由该管理服务器进行计费，该管理服务器在客户端完成对应用系统的访问之后生成计费统计。

根据一实施例，该管理服务器采用diameter/radius协议进行计费。

根据一实施例，一管理计算机控制该管理服务器对保存在该管理服务器上的数据进行管理。比如，对保存在该管理服务器上的数据进行管理包括：核心接口调用，用户操作，行政区域管理，客户端操作，组操作，地址池操作，日志操作，统计信息操作，证书操作，卡号操作，域名操作，报表管理，以及全局设置。

附图说明

本发明的上述的以及其他的特征、性质和优势将通过下面结合附图对实施例的描述而变得更加明显，在附图中，相同的附图标记始终表示相同的特征，其中：

图1是根据本发明的一实施例的数字证书管理方法的流程图；

图2是根据本发明的一实施例的数字证书管理系统的结构图；

图3a-图3h是根据本发明的一具体实现，其中各个软件模块之间的运作关系图。

具体实施方式

首先介绍一下传统的radius协议和新的diameter协议。radius是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。但是由于协议本身的缺陷，比如基于udp的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务，都使得它不太适应当前网络的发展，需要进一步改进。

随着新的接入技术的引入(如无线接入、dsl、移动ip和以太网)和接入网络的快速扩容，越来越复杂的路由器和接入服务器大量投入使用，对aaa协议提出了新的要求，使得传统的radius结构的缺点日益明显。目前，3g网络正逐步向全ip网络演进，不仅在核心网络使用支持ip的网络实体，在接入网络也使用基于ip的技术，而且移动终端也成为可激活的ip客户端。如在wcdma当前规划的r6版本就新增以下特性：utran和cn传输增强；无线接口增强；多媒体广播和多播(mbms)；数字权限管理(drm)；wlan-umts互通；优先业务；通用用户信息(gup)；网络共享；不同网络间的互通等。在这样的网络中，移动ip将被广泛使用。支持移动ip的终端可以在注册的家乡网络中移动，或漫游到其他运营商的网络。当终端要接入到网络，并使用运营商提供的各项业务时，就需要严格的aaa过程。aaa服务器要对移动终端进行认证，授权允许用户使用的业务，并收集用户使用资源的情况，以产生计费信息。这就需要采用新一代的aaa协议--diameter。此外，在ieee的无线局域网协议802.16e的建议草案中，网络参考模型里也包含了鉴别和授权服务器asaserver，以支持移动台在不同基站之间的切换。可见，在未来移动通信系统中，aaa服务器占据了很重要的位置。

经过讨论，ietf的aaa工作组同意将diameter协议作为下一代的aaa协议标准。diameter(为直径，意为着diameter协议是radius协议的升级版本)协议包括基本协议，nas(网络接入服务)协议，eap(可扩展鉴别)协议，mip(移动ip)协议，cms(密码消息语法)协议等。diameter协议支持移动ip、nas请求和移动代理的认证、授权和计费工作，协议的实现和radius类似，也是采用avp，属性值对(采用attribute-length-value三元组形式)来实现，但是其中详细规定了错误处理，failover机制，采用tcp协议，支持分布式计费，克服了radius的许多缺点，是最适合未来移动通信系统的aaa协议。

相对radius，diameter可以说具备很多技术优势。顾名思义，radius(远程认证拨号接入用户服务)最初是开发用于拨号接入认证；diameter则设计用于提供强大的接入控制功能，以克服最初radius中很多固有的缺陷。例如，radius仅支持非可靠udp传输协议，而diameter支持可靠和正式tcp以及流式控制传输协议(sctp)传输，因而应用更加广泛。而且，radius属性设置采用8比特标识符；diameter则采用32位代码值，因而最大可支持40亿个属性。

diameter是对radius协议的扩展，主要是为网络接入、移动ip等具体应用中使用的认证、授权、计费提供一个基本的框架，它可以用于本地及漫游情况下的认证、授权与计费。在由3gpp所制定的ims系统中将diameter协议作为认证、授权、计费的候选协议，但由于目前移动ip以及ims仅在一定范围内试验或应用，并没有广泛地应用。为此diameter协议的应用也没有大规模地采用。与radius协议相比，diameter协议在使用时除了radius协议使用时采用的客户端、服务器外还需要网络代理、重定向代理、变换代理、中继器、diameter节点等实现用户漫游认证等功能。diameter协议在使用过程中需要与其他协议相互配合。

现在的互联网协议ipv4支持的地址空间十分有限，而全球移动用户却不断高速增长，达到如此庞大的规模，这就给目前使用的ip协议--ipv4在未来移动通信全ip网络中的应用--带来如此沉重的压力。为了解决地址严重不足的问题，人们提出了新版本的ip协议--ipv6。ipv6能够支持的3.4×10e38个惟一的128位地址，令ipv4望尘莫及。由于全球数十亿个设备和用户都需要各自惟一的ip地址，因此这种巨大的编址容量将是实现“始终在线”通信的关键因素。尽管人们主要关注的是ipv6的寻址能力，但它还拥有其它许多重要优点，如改进和简化的路由。ipv6还引进了新的安全等级并改善了对移动业务--包括基于wcdma技术的网络的支持，这将随着中国等人口众多的国家采用3g而日益重要。因此未来移动通信网络中的aaa协议一定是基于移动ipv6的支持分布式处理的协议。不过，业界需要考虑和解决的问题仍然有许多。ipv4可能是一种成熟而逐渐过时的协议，但它仍然可以做出重要贡献，并可能在未来一段时间内与ipv6共存和互通。diameter作为瞄准未来网络同时又兼容当前网络的aaa协议，提供了对这两种版本mip的支持(当然目前主要是对mipv4的支持)。

本发明提供一种基于新的diameter协议的数字证书管理方法，其中也兼顾使用了radius协议。

参考图1，本发明提供一种数字证书管理方法100，通过管理服务器认证客户端的数字证书，使得通过数字证书认证的客户端可以访问一应用系统，该方法包括：

102.客户端需要登陆一应用系统，首先启动客户端拨号程序，使用该客户端在管理服务器上的用户名登陆管理服务器，选择与应用系统相对应的数字证书；

104.对所选择的数字证书计算数字签名；

106.对该数字签名计算摘要；

108.将数字证书、数字签名和摘要提供给管理服务器，并等待管理服务器回应；

110.管理服务器是收到登陆管理服务器的请求，解析用户名；

112.根据用户名，比较所提供的数字证书与一预定的数字证书，如果两者相符，则进入下一步骤，如果两者不符，则拒绝该用户名对应的客户端登陆应用系统；

114.根据用户名，比较所提供的摘要与一预定的摘要，如果两者相符，则进入下一步骤，如果两者不符，则拒绝该用户名对应的客户端登陆应用系统；

116.根据用户名，比较所提供的数字签名与一预定的数字签名，如果两者相符，则进入下一步骤，如果两者不符，则拒绝该用户名对应的客户端登陆应用系统；

118.通知应用系统，允许用户名对应的客户端登陆应用系统。

继续参考图1，在图1所示的实施例中，该方法100还包括：

120.如果客户端被允许登陆所述应用系统，则继续向该管理服务器发送计费请求，由该管理服务器进行计费，该管理服务器在客户端完成对应用系统的访问之后生成计费统计。其中，该管理服务器采用diameter/radius协议进行计费。

此外，根据图1所示的实施例100，该方法还包括：

122.一管理计算机控制该管理服务器对保存在该管理服务器上的数据进行管理。该对保存在该管理服务器上的数据进行管理包括：核心接口调用，用户操作，行政区域管理，客户端操作，组操作，地址池操作，日志操作，统计信息操作，证书操作，卡号操作，域名操作，报表管理，以及全局设置。

参考图2，本发明还提供一种数字证书管理系统200，包括：

数据通信网络202；

应用系统204，连接到该数据通信网络202；

客户端206，连接到该数据通信网络202，当客户端要通过该数据通信网络202登陆该应用系统204时，首先启动客户端拨号程序，使用该客户端在一管理服务器208上的用户名向管理服务器发出登陆请求，并选择与应用系统相对应的数字证书；对所选择的数字证书计算数字签名；对该数字签名计算摘要；以及将数字证书、数字签名和摘要通过数据通信网络提供给管理服务器，并等待管理服务器回应；

基于diameter/radius的管理服务器是一套3a服务器。为远程用户提供接入的证书认证，认证后的ip地址授权；和用户登入和登出的记费功能；认证服务的所有用户、ip、组、客户端的管理功能。用户通过radius/diameter认证服务器的证书认证方式后，被授予内网的ip地址，以及指定的dns和网关地址，用户可根据其在各自应用系统的权限去访问对应的应用服务器。

该子程序包括核心接口调用模块，用户操作模块，行政区域管理模块，客户端操作模块，组操作模块，地址池操作模块，日志操作模块，统计信息操作模块，证书操作操作模块，卡号操作模块，域名操作模块，报表管理模块，以及全局设置模块。

核心接口调用模块用来申明核心lgetknlv2.dll的各接口函数。

用户操作模块实现对用户的各项操作。如添加，编辑，删除用户

行政区管理模块实现对于城市，区(县)，单位，部门的添加，编辑和删除。

客户端作模块实现对客户端的各项操作。如添加，编辑，删除客户端

组操作模块实现对组的各项操作。如添加，编辑，删除组

地址池操作模块实现对地址池的各项操作。如添加，编辑，删除地址池

日志操作模块实现对日志的各项操作。如查看，删除日志

统计信息操作模块实现对统计信息的各项操作。如查看统计信息

证书操作模块实现证书的各项操作。如分配证书。

卡号操作模块实现卡号的各项操作。如生成卡号。

域名操作模块实现域名的各项操作。如生成域名。

报表操作模块实现报表的各项操作。如生成报表。

全局设置操作模块实现对管理界面在使用时所需要的各项参数存取。

各模块的关系如图3f所示。

采用本发明的技术方案，提供一种新的基于diameter协议的新的数字证书的管理系统和管理方法，提供安全有效的数字证书认证和管理。

上述实施例是提供给熟悉本领域内的人员来实现或使用本发明的，熟悉本领域的人员可在不脱离本发明的发明思想的情况下，对上述实施例做出种种修改或变化，因而本发明保护范围并不被上述实施例所限，而应该是符合权利要求书提到的创新性特征的最大范围。