CN101841525A - 安全接入方法、系统及客户端 - Google Patents
安全接入方法、系统及客户端 Download PDFInfo
- Publication number
- CN101841525A CN101841525A CN201010117069A CN201010117069A CN101841525A CN 101841525 A CN101841525 A CN 101841525A CN 201010117069 A CN201010117069 A CN 201010117069A CN 201010117069 A CN201010117069 A CN 201010117069A CN 101841525 A CN101841525 A CN 101841525A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- safety
- information
- intelligent card
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000012545 processing Methods 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 7
- 230000007547 defect Effects 0.000 abstract 1
- 238000003780 insertion Methods 0.000 description 16
- 230000037431 insertion Effects 0.000 description 16
- 238000007726 management method Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 9
- 238000010200 validation analysis Methods 0.000 description 8
- 230000002950 deficient Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010297 mechanical methods and process Methods 0.000 description 1
- 230000005226 mechanical processes and functions Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种安全接入方法、系统及客户端,安全接入方法包括:采用安全智能卡的内置数字证书对其内部的信息进行签名和加密;将签名和加密后的安全智能卡的信息发送给平台,以供所述平台对信息的合法性、数字证书的有效性进行验证;当对所述信息的合法性与所述数字证书的有效性验证均通过后,采用所述数字证书对接入请求进行签名和加密,向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。本发明实例提供的安全接入方法、系统及客户端,解决了现有技术实现网络接入时无法保证硬件KEY的合法性的缺陷,提高了网络接入的安全性。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种安全接入方法、系统及客户端。
背景技术
随着企业信息化程度的不断推进,越来越多的企业通过互联网(Internet)来满足员工、客户以及合作伙伴远程访问企业内部网络资源,这势必会给企业的内部网络带来一定的安全威胁,所以需要有一种安全接入机制来保障通信以及敏感信息的安全。目前企业通过Internet实现安全接入的主要方式有网际安全虚拟专用网(IP Security Virtual PrivateNetwork;简称为:IPSec VPN)和安全套接字层虚拟专用网(Security SocketLayer Virtual Private Network;简称为:SSL VPN)两种。其中,由于SSLVPN方式支持网络侧通过第三方对客户端侧进行认证,通过硬件KEY对数据进行安全加密和解密,具有无须安装客户端软件、安全等级较高,以及维护成本低、网络适应性强等优势,而被普遍采用。
基于SSL VPN方法的安全接入系统包括五个部分:VPN客户端、VPN网关、安全认证模块、计时计费模块及业务系统。其中VPN客户端又被称为“客户端侧”,其余四个部分均被称为“网络侧”。具体工作流程为:VPN客户端向网络侧的VPN网关发起安全接入请求,并使用硬件KEY对接入请求数据进行加密和签名。网络侧在接收到安全接入请求后,通过第三方提供的安全认证模块对VPN客户端进行身份认证;认证通过后,VPN客户端与网络侧建立安全通道。VPN客户端将待发送的数据传送给硬件KEY进行加密和认证并重新打包后,通过安全通道发送到网络侧的业务系统;同时VPN客户端还用于接收经安全通道接收到的加密数据传送给硬件KEY进行解密和认证,并将结果呈现给用户;其中,通过计时计费模块对安全接入用户的访问时间和流量进行实时监控。其中VPN客户端和计时计费模块可由企业开发;VPN网关和安全认证模块由第三方提供,并与VPN客户端和计时计费模块采用统一协议,以实现安全接入业务系统。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:现有安全接入的方法和系统未能有效保证硬件KEY和客户端使用的合法性,同时也未对硬件KEY做有效监控,例如若因硬件KEY遗失或者被非法获取后,非合法用户通过该硬件KEY实现接入操作时,将会影响接入系统的安全性,因此,现有基于硬件KEY实现网络接入的方法在安全性上仍有缺陷。
发明内容
本发明实例提供一种安全接入方法、系统及客户端,用以解决现有技术实现网络接入时无法保证硬件KEY的合法性的缺陷,提高网络接入的安全性。
本发明实例提供一种安全接入方法,包括:
采用安全智能卡的内置数字证书对安全智能卡的信息进行签名和加密;
将签名和加密后的安全智能卡的信息发送给平台,以供所述平台对所述信息的合法性、数字证书的有效性进行验证;
当对所述信息的合法性与所述数字证书的有效性的验证均通过后,采用所述数字证书对接入请求进行签名和加密,向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。
本发明实例提供一种客户端,包括:
第一加密模块,用于采用安全智能卡的内置数字证书对安全智能卡的信息进行签名和加密;
第一发送模块,用于将签名和加密后的安全智能卡的信息发送给平台,以供所述平台对信息的合法性、数字证书的有效性进行验证;
第一处理模块,用于在对所述信息的合法性与所述数字证书的有效性的验证均通过后,采用所述数字证书对接入请求进行签名和加密,向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。
本发明实例提供一种安全接入系统,包括本发明实施例提供的客户端、平台和网关。所述平台,用于对所述安全智能卡的合法性和所述安全智能卡的内置数字证书的有效性进行验证,并将验证结果返回给所述客户端;
所述网关,用于根据接收到的来自所述客户端的接入请求,对所述客户端进行身份认证,并在身份认证通过后建立所述客户端与网络侧设备之间的安全数据通道,实现网络的安全接入。
本发明实例的安全接入方法、系统及客户端,通过安全智能卡实现网络的安全接入,首先对安全智能卡的合法性和其内的内置的数字证书的有效性进行验证,并用通过验证的安全智能卡的内置数字证书对数据进行签名和加密,实现客户端与网络侧设备之间数据的安全交互;本发明技术方案基于对安全智能卡的合法性验证通过后实现,与现有技术相比,进一步提高了网络接入的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实例一的安全接入方法的流程图;
图2为本发明实施例二的基于安全SIM卡和3G上网卡实现移动办公的方法流程图;
图3为本发明实例三的客户端的结构示意图。
具体实施方式
为使本发明实例的目的、技术方案和优点更加清楚,下面将结合本发明实例中的附图,对本发明实例中的技术方案进行清楚、完整的描述,显然所描述的实例是本发明的一部分实例,而不是全部的实例。基于本发明中的实例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实例,都属于本发明保护的范围。
安全用户身份识别(Subscriber Identity Module;简称为:SIM)卡是一种7816接口的小巧硬件设备,与标准SIM卡兼容,具有电信功能,可以适配于不同的终端设备,例如手机、无线上网本等。该安全SIM卡内置智能卡芯片(例如中央处理器)、芯片操作系统,智能卡芯片存储空间大于128K,可以存储用户密钥和数字证书,使用安全SIM卡内置的加密算法(模块)和安全机制来实现对用户的身份认证。
安全SIM卡可以对电子邮件加密、数字签名,用户私钥保存在安全SIM卡内,使用任何方式都不可读取和导出,内部智能卡芯片采用了防差分功耗分析攻击(Differential Power Analysis;简称为:DPA)或简单能量分析攻击(Simple Power Analysis;简称为:SPA)等防攻击设计措施,保证了用户认证的安全性。安全SIM卡能适应多元化的需求,SIM接口可以和读卡器以及附带读卡器的通用串行总线(Universal Serial BUS;简称为:USB)设备连接,实现USB KEY的功能,也可以插入手机或第三代数字通讯(3rd Generation;简称为:3G)上网卡的全球用户身份识别(Universal Subscriber IdentityModule;简称为:USIM)卡插槽中,通过手机终端或3G上网卡实现无线接入时用户身份识别、消费、移动办公等领域的身份确认。
安全数字卡(即SD KEY)是微型Micro SD卡接口形式的iPASS产品,该产品内置国家密码管理局审核的专用安全芯片,安全芯片内存储有用户私钥、用户数字证书等安全信息,具备智能安全运算能力和存储能力,该硬件产品采用Micro SD标准接口。用户可以将该安全数字卡(SD KEY)插入到配置有安全数字卡插槽的、具有电信功能的终端设备中应用终端设备的上网功能,例如将安全数字卡插入第三代数字通讯(3rd Generation;简称为:3G)上网卡的微型闪存卡(Trans-Flash;简称为:TF)插槽中应用3G上网功能,而具有电信功能的终端设备通过安全数字卡(SD KEY)可以实现安全接入集团内网办公。
本发明技术方案基于上述安全SIM卡或安全数字卡(SD KEY)实现,即本发明技术方案中的安全智能卡可以为安全SIM卡或者安全数字卡(SDKEY)。在本发明技术方案中,安全智能卡由平台进行统一管理,例如,负责对安全智能卡自身信息和内置数字证书、私钥等信息的合法性、用户身份的有效性等的管理,负责对由安全智能卡实现的接入网络或是终端的合法性、有效性等的管理。同时,平台还允许用户对安全智能卡进行申请、注销、报备、更新等操作,例如,当用户丢失安全智能卡时,可以及时向平台挂失,平台会将该安全智能卡注销,以避免非法用户使用该安全智能卡;又例如,安全智能卡还可以更新内置数字证书、私钥等信息。本发明以下各实施例均基于此实现。
图1为本发明实例一的安全接入方法的流程图,如图1所示,本实例的安全接入方法包括:
步骤11,采用安全智能卡的内置数字证书对安全智能卡的信息进行签名和加密;
安全智能卡的信息包括安全智能卡的基本信息、数字证书的信息等;数字证书包括用户的私钥,用数字证书对安全智能卡的信息进行签名和加密,具体操作是应用用户的私钥对安全智能卡的信息进行签名和加密。
步骤12,将签名和加密后的安全智能卡的信息发送给平台,以供平台对信息的合法性、数字证书的有效性进行验证;
步骤13,判断数字证书是否有效;
若平台验证数字证书无效,则向客户端返回更新数字证书的信息,以再次判断安全智能卡的合法性和有效性,客户端根据接收到的信息执行步骤14;反之,若平台验证数字证书有效,则转去执行步骤15;
步骤14,更新数字证书,用更新后的数字证书签名和加密安全智能卡的信息,并将重新签名和加密后的安全智能卡的信息发送给平台,以供平台对信息的合法性、数字证书的有效性进行验证;并执行步骤141;
步骤141,判断更新后的数字证书是否有效;
其中,数字证书的有效性和该安全智能卡的用户身份的合法性相关联;例如若安全智能卡丢失后被挂失,则由于平台将相应的信息已注销,因此,平台仍会判断该数字证书无效,相应说明该安全智能卡被非法用户使用,因此,平台向用户终端返回验证失败消息,并执行步骤17;反之,则转去执行步骤15;
其中,更新数字证书的具体操作包括:当所用数字证书的权限级别不正确时,平台向客户端返回下载相应的数字证书的信息,例如下载匿名数字证书或者下载实名数字证书;当所用数字证书到期时,平台向客户端返回更新数字证书的信息,例如更新匿名数字证书或者更新实名数字证书。
步骤15,判断安全智能卡的信息是否合法;
具体的,平台验证安全智能卡的各项信息,并在所有信息均合法后向客户端返回验证均通过的信息,客户端执行步骤16;反之,说明安全智能卡本身是无效的,相应说明该安全智能卡的用户可能为非法用户,例如该安全智能卡可能在丢失后被挂失,则由于相应信息被注销,因平台无法获取安全智能卡的相关信息,而判断该安全智能卡的信息不合法,则平台向用户终端返回验证失败的消息;若基于该安全智能卡实现网络的接入,可能会影响网络的安全性。因此,在安全智能卡的信息不合法时,执行步骤17;
步骤16,采用数字证书对接入请求进行签名和加密,向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入;
步骤17,结束。
该步骤用于当对信息的合法性与数字证书的有效性的验证均通过后,向网络侧设备发起连接请求,以实现网络的安全接入。其中网络侧设备可以是要求接入网络的网关,可以负责对客户端与网络侧交互数据的转发,也可以就是要求接入网络中的主机或服务器等设备。
本实例的安全接入方法,基于安全智能卡实现,在发送接入请求之前首先利用安全智能卡内置的数字证书对安全智能卡的信息进行签名和加密,通过平台验证安全智能卡的合法性以及数字证书的有效性,并在验证均通过后,基于安全智能卡实现网络的接入;本发明实例的安全接入方法,在接入之前先对接入过程中的核心模块安全智能卡进行验证,避免了现有基于硬件KEY实现网络接入时无法保证硬件KEY的合法性的缺陷,进一步提高了客户端实现网络接入时的安全性。
进一步,在对安全智能卡的合法性以及数字证书的有效性进行验证之前,还包括通过安全智能卡的PIN码对安全智能卡使用者身份的合法性进行验证。在实际操作过程中,客户端在启动后会自动检测安全智能卡是否存在,并在检测到安全智能卡存在后,要求使用者输入安全智能卡的PIN码,以对使用者身份进行验证;该技术方案用于保证对安全智能卡使用的合法性,避免了现有基于硬件KEY实现接入时因丢失等原因造成硬件KEY被非法使用而带来的安全隐患,进一步提高了基于安全智能卡实现网络接入时的安全性,满足涉及国家安全、高度机密电子政务等对安全产品和服务的要求。
进一步,本实例在实现网络接入后,还包括通过数字证书对客户端发送给网络侧设备的数据进行签名和加密后发送给网络侧设备;以及接收网络侧设备发送的已加密的响应数据,并通过数字证书对响应数据进行解密,并将解密后的响应数据呈现给用户,本实施例中用户指安全智能卡的使用者。
在本发明实例中,平台负责对安全智能卡内置的数字证书的管理,即平台存储有安全智能卡以及其内置数字证书有关的信息,例如与私钥对应的公钥信息,数字证书的申请日期和期限等信息以及数字证书的权限级别等信息,以实现对安全智能卡和其内置数字证书的相关验证。同时由于存在专门管理安全智能卡的平台,因此,安全智能卡内置的数字证书可以根据平台的验证结果进行实时更新,同时本发明技术方案中安全智能卡内置的数字证书还可以在线发放,并且支持多种权限。
另外,网络侧设备也存储有与私钥相应的公钥信息,用于对接收到的由私钥加密后的数据进行解密,以及对发送给客户端的数据进行加密。
下面以实际应用为例,即以采用安全SIM卡和3G上网卡实现移动办公为例,对本发明技术方案做进一步说明。
图2为本发明实施例二的基于安全SIM卡和3G上网卡实现移动办公的方法流程图。如图2所示,本实施例的实现移动办公的方法包括:
步骤21,启动客户端设备;
步骤22,客户端相应软件自动检测安全SIM卡的存在,并在检测到安全SIM卡存在后,提示用户输入安全SIM卡的个人标识码(Personal IdentificationNumber;简称为:PIN码);
该步骤用于保证对安全SIM卡的使用权限,即只有输入正确PIN码的用户才是该安全SIM卡的合法使用者。
步骤23,对安全SIM卡的使用权限验证通过后,获取安全SIM卡的有效身份信息,并用安全SIM卡内置的数字证书对有效身份信息进行签名和加密;
步骤24,客户端将签名和加密后的有效身份信息发送给安全SIM卡管理平台请求对安全SIM卡的合法性进行验证;
其中安全SIM卡管理平台负责对安全SIM卡内置的数字证书的管理,即该安全SIM卡管理平台存储有安全SIM卡以及其内置数字证书有关的信息,例如与私钥对应的公钥信息,数字证书的申请日期和期限等信息以及数字证书的权限级别等信息,以实现对安全SIM卡和其内置数字证书的相关验证。
步骤25,安全SIM卡管理平台利用存储的公钥对签名和加密的有效身份信息进行解密后,逐一检查身份信息的合法性,并将最终结果返回给用户;
其中,安全SIM卡管理平台利用公钥对签名和加密的有效身份信息进行解密的同时,验证了数字证书的有效性,即只有数字证书有效,才能实现对签名和加密后的有效身份信息的解密。
客户端接收安全SIM卡管理平台返回的验证结果,并根据验证结果执行相应的操作;
其中,若验证结果为数字证书无效,则客户端根据具体情况可以执行下载匿名数字证书、下载实名数字证书、更新匿名数字证书或更新实名数字证书等操作后,用更新后的数字证书重新签名和加密安全SIM卡的有效身份信息,并重新对安全SIM卡进行合法性验证;其后续操作与数字证书有效时的情况相同,因此,本实例以数字证书有效为例进行说明。
若验证结果为安全SIM卡身份验证合格,则后续操作如步骤26所述;反之,则结束;本实例以验证结果为安全SIM卡身份验证合格为例对后续操作进行说明。
步骤26,客户端向集团内网的网关发起接入请求,并使用安全SIM卡内置数字证书对该接入请求进行签名和加密;
步骤27,网关在接收到接入请求后通过第三方认证对请求接入的集团内网中的设备的身份进行认证;
其中,第三方与客户端和安全SIM卡管理平台不同,具体指发放数字证书的一方。本步骤通过数字证书发放者对请求接入的设备的身份进行认证,具体根据第三方接收到的接入请求,通过验证数字证书的有效性实现,该验证过程与现有技术相同,在此不再详细论述。
步骤28,在认证通过后,网关为客户端建立接入集团内网的安全数据通道,以安全接入集团内网实现移动办公。
步骤29,客户端通过安全数据通道向集团内网中的设备发送数据,并使用安全SIM卡内置数字证书对该数据进行签名和加密;
步骤30,集团内网中的设备接收到数据后,利用公钥对数据进行解密,并向客户端返回响应数据,其中集团内网中的设备通过公钥对响应数据进行加密。
直到客户端与集团内网中的设备之间的交互结束,安全数据通道被释放。
本实例的基于安全SIM卡和3G上网卡实现的移动办公,客户端可以随时基于3G上网卡和安全SIM卡安全接入集团内网实现移动办公,由于本实例在接入集团内网时,对安全SIM卡使用者的身份以及安全SIM卡本身的合法性进行了验证,并通过安全SIM卡内置数字证书对数据进行签名和加密,既保证了接入的安全性又保证了交互数据之间的安全性,实现了真正意义上的安全接入。
上述采用安全SIM卡和3G上网卡实现移动办公的技术方案,也可以采用安全数字卡(SD KEY)与3G上网卡相结合来实现。两种方法的工作原理和流程相似,其区别仅在于,安全SIM卡是一种具有电信功能的认证存储卡,而安全数字卡是一种不具有电信功能的认证存储卡,只能依赖于具有电信功能的设备实现安全接入,但是两者与3G上网卡结合实现移动办公的技术方案相似,故下面只简单说明基于安全数字卡(SD KEY)与3G上网卡实现移动办公的过程:
客户端在启动3G上网卡后,将与安全数字卡(SD KEY)管理平台进行身份认证,以确保安全数字卡(SD KEY)产品本身的合法性及其内置数字证书的有效性。只有在两者验证均通过后,才能使用SD KEY实现移动办公的安全接入,这充分保证了安全数字卡(SD KEY)应用的安全性,同时通过对安全数字卡(SD KEY)的使用者合法性的验证,降低了安全数字卡(SD KEY)丢失带来的数据安全风险。
安全数字卡(SD KEY)的合法性和其内置数字证书的有效性验证通过后,实现移动办公业务的过程为:通过安全数字卡(SD KEY)内置的数字证书签名和加密接入请求,集团内网中的网关通过第三方认证服务器对基于安全数字卡(SD KEY)实现接入的集团内网中的设备进行身份认证;认证通过后,网关会在公网上建立一条安全数据通道,用于与集团内网的连接,从而实现外网对内网的访问,实现客户端远程接入集团内网以实现移动办公。
图3为本发明实例三的客户端的结构示意图,如图3所示,本实例的客户端包括:第一加密模块31、第一发送模块32、第一处理模块33。
第一加密模块31用于采用安全智能卡内置的数字证书对安全智能卡的信息进行签名和加密;
其中安全智能卡可以是安全SIM卡或者安全数字卡(SD KEY),安全SIM卡是一种安全硬件介质,它在符合SIM卡电信应用规范的基础上,增加了与安全相关的模块和算法。安全SIM卡存储所有安全相关的数据,如数字证书、私钥等,并执行签名、验签、数据加解密等各种安全算法运算。在实际应用过程中,可以依据安全级别使用中特有的安全机制,保证相关数据如私钥等不会被从安全SIM卡导出。安全数字卡(SD KEY)是微型(Micro)SD卡接口形式的iPASS产品,该产品内置国家密码管理局审核的专用安全芯片,安全芯片内存储用户私钥、用户数字证书等安全信息,具备智能安全运算能力和存储能力。
第一发送模块32,用于将签名和加密后的安全智能卡的信息发送给平台,以供平台对信息的合法性、数字证书的有效性进行验证。
第一处理模块33用于在接收到平台发送信息的合法性和数字证书的有效性均通过的消息后,采用数字证书对接入请求进行签名和加密,并向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。其中,网络侧设备一般是集团内网或是局域网的网关,用于根据接入请求对接入者的身份通过第三方认证并在认证通过后,建立客户端与网络侧的安全数据通道,实现网络的安全接入;网络侧设备也可以是集团内网或是局域网内的主机或服务器等设备,用于直接实现网络的安全接入。若信息的合法性和/或数字证书的有效性未通过验证,则说明该客户端的使用者为非法用户,平台拒绝对该客户端的后续操作,以避免该客户端被非法用户使用。
本实例的客户端,可以执行本发明实例提供的安全接入方法,基于安全智能卡实现网络接入,在接入之前通过对安全智能卡的合法性以及数字证书的有效性进行验证,只有两者验证均通过后,才能实现网络的接入,克服了现有基于硬件KEY实现网络接入时无法保证硬件KEY使用的合法性的缺陷,进一步提高了网络接入的安全性。
进一步,本实施例的客户端还包括:第二发送模块34、接收模块35、第二处理模块36、第二加密模块37、第三发送模块38、第三处理模块39和验证模块40。
其中,第二发送模块34用于在客户端与网络侧建立安全数据通道,即实现网络接入后,通过数字证书对数据进行签名和加密后发送给网络侧设备,并由网络测设备将该数据转发给网络内部。接收模块35用于接收网络测设备发送的已加密的响应数据,并通过数字证书对已加密的响应数据进行解密,已呈现给用户。其中客户端与网络侧交互的数据(包括客户端发给网络侧的数据和网络侧发送给客户端的响应数据)可以由网络侧设备进行转发,网络侧设备一般指网关。
第二处理模块36、第二加密模块37、第三发送模块38和第三处理模块39用于在数字证书的有效性验证未通过时执行相应的操作。具体工作流程如下:
第二处理模块36用于在数字证书的有效性验证未通过时,更新数字证书;其中更新数字证书的操作具体包括:权限级别不符合时,下载相适应的数字证书,例如下载匿名数字证书、下载实名数字证书;或者是数字证书期限到期时,更新数字证书的期限,例如更新匿名数字证书或是更新实名数字证书等。
第二加密模块37用于使用更新后的数字证书对安全智能卡的信息进行签名和加密;第三发送模块38用于将用更新后的数字证书签名和加密后的安全智能卡的信息发送给平台,以供平台对信息的合法性、更新后的数字证书的有效性进行验证;第三处理模块39用于在对信息的合法性和更新后的数字证书的有效性的验证均通过后,采用更新后的数字证书对接入请求进行签名和加密,并向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。若信息的合法性和/或更新后的数字证书的有效性未通过验证,则说明该客户端的使用者为非法用户,平台拒绝对该客户端的后续操作,以避免该客户端被非法用户使用。
其中在具体实现过程中,上述第二加密模块37、第三发送模块38和第三处理模块39可以分别是与第一加密模块31、第一发送模块32和第一处理模块33不同的模块,也可以就是第一加密模块31、第一发送模块32和第一处理模块33,其区别在于仅在于所需处理的数据有所不同。
验证模块40用于在对安全智能卡的合法性以及数字证书的有效性进行验证之前,对安全智能卡使用者身份进行验证;具体通过要求使用者输入安全智能卡的PIN码实现。通过验证模块40对使用者身份进行验证,保证安全智能卡使用的合法性。
本实例的客户端基于安全智能卡使用的合法、安全智能卡本身合法以及其内置数字证书的有效实现网络的接入,克服了现有技术中无法保证硬件KEY的合法性和使用合法性的缺陷,真正保证了网络接入的安全性。
本发明实例四提供一种安全接入系统,包括本发明上述实施例提供的客户端、平台和网关;
其中,平台用于对安全智能卡的合法性和安全智能卡内置的数字证书的有效性进行验证,并将验证结果返回给客户端;
网关,为客户端所要接入网络的网关,用于根据接收到的来自客户端的接入请求,对客户端进行身份认证,并在身份认证通过后建立客户端与网络侧之间的安全数据通道,实现网络的安全接入;其中在实现网络的安全接入之后,客户端与网络侧通过安全数据通道进行数据交互。
基于本发明实例提供的客户端,本实施例的安全接入系统同样可以克服现有技术实现网络接入时无法保证硬件KEY的合法性的缺陷,使用安全智能卡实现网络接入,在保证交互数据安全性的同时,还可以保证安全智能卡的合法性以及数字证书的有效性,进一步还可以保证安全智能卡使用的合法性,提高了网络接入时的安全等级。
本领域普通技术人员可以理解:实现上述方法实例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实例技术方案的精神和范围。
Claims (13)
1.一种安全接入方法,其特征在于,包括:
采用安全智能卡的内置数字证书对安全智能卡的信息进行签名和加密;
将签名和加密后的安全智能卡的信息发送给平台,以供所述平台对所述信息的合法性、数字证书的有效性进行验证;
当对所述信息的合法性与所述数字证书的有效性的验证均通过后,采用所述数字证书对接入请求进行签名和加密,向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。
2.根据权利要求1所述的安全接入方法,其特征在于,在实现网络的安全接入之后还包括:
通过所述数字证书对数据进行签名和加密后发送给所述网络侧设备;
接收所述网络侧设备发送的已加密的、与所述数据相应的响应数据,并通过所述数字证书解密已加密的响应数据,以呈现给用户。
3.根据权利要求1所述的安全接入方法,其特征在于,还包括:
当对所述数字证书的有效性的验证不通过后,更新所述数字证书;采用更新后的数字证书对所述安全智能卡的信息进行签名和加密;将签名和加密后的安全智能卡的信息发送给所述平台,以供所述平台对信息的合法性、更新后的数字证书的有效性进行验证;
当对所述信息的合法性和所述更新后的数字证书的有效性的验证均通过后,采用所述更新后的数字证书对接入请求进行签名和加密,向所述网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。
4.根据权利要求1所述的安全接入方法,其特征在于,采用安全智能卡的内置数字证书对安全智能卡的信息进行签名和加密之前,还包括:
根据所述安全智能卡的个人标识码对所述安全智能卡的使用者进行合法性验证。
5.根据权利要求3所述的安全接入方法,其特征在于,更新所述数字证书包括:下载匿名数字证书、下载实名数字证书、更新匿名数字证书或者更新实名数字证书。
6.根据权利要求1-5任一项所述的安全接入方法,其特征在于,所述安全智能卡为安全用户身份识别卡或者安全数字卡。
7.一种客户端,其特征在于,包括:
第一加密模块,用于采用安全智能卡的内置数字证书对安全智能卡的信息进行签名和加密;
第一发送模块,用于将签名和加密后的安全智能卡的信息发送给平台,以供所述平台对信息的合法性、数字证书的有效性进行验证;
第一处理模块,用于在对所述信息的合法性与所述数字证书的有效性的验证均通过后,采用所述数字证书对接入请求进行签名和加密,向网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。
8.根据权利要求7所述的客户端,其特征在于,还包括:
第二发送模块,用于通过所述数字证书对数据进行签名和加密后发送给所述网络侧设备;
接收模块,用于接收所述网络侧设备发送的已加密的、与所述数据相应的响应数据,并通过所述数字证书解密已加密的响应数据,以呈现给用户。
9.根据权利要求7所述的客户端,其特征在于,还包括:
第二处理模块,用于在对所述数字证书的有效性的验证不通过后,更新所述数字证书;
第二加密模块,用于使用更新后的数字证书对所述安全智能卡的信息进行签名和加密;
第三发送模块,用于将签名和加密后的安全智能卡的信息发送给所述平台,以供所述平台对信息的合法性、更新后的数字证书的有效性进行验证;
第三处理模块,用于在对所述信息的合法性和所述更新后的数字证书的有效性的验证均通过后,采用所述更新后的数字证书对接入请求进行签名和加密,向所述网络侧设备发送签名和加密后的接入请求,实现网络的安全接入。
10.根据权利要求7所述的客户端,其特征在于,还包括:
验证模块,用于根据所述安全智能卡的个人标识码对所述安全智能卡的使用者进行合法性验证。
11.根据权利要求9所述的客户端,其特征在于,更新所述数字证书包括:下载匿名数字证书、下载实名数字证书、更新匿名数字证书或者更新实名数字证书。
12.根据权利要求7-11任一项所述的客户端,其特征在于,所述安全智能卡为安全SIM卡或者安全数字卡。
13.一种包括如权利要求7-12任一项所述的客户端的安全接入系统,其特征在于,还包括:平台和网关;
所述平台,用于对所述安全智能卡的合法性和所述安全智能卡的内置数字证书的有效性进行验证,并将验证结果返回给所述客户端;
所述网关,用于根据接收到的来自所述客户端的接入请求,对所述客户端进行身份认证,并在身份认证通过后建立所述客户端与网络侧设备之间的安全数据通道,实现网络的安全接入。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010117069A CN101841525A (zh) | 2010-03-02 | 2010-03-02 | 安全接入方法、系统及客户端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010117069A CN101841525A (zh) | 2010-03-02 | 2010-03-02 | 安全接入方法、系统及客户端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101841525A true CN101841525A (zh) | 2010-09-22 |
Family
ID=42744650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010117069A Pending CN101841525A (zh) | 2010-03-02 | 2010-03-02 | 安全接入方法、系统及客户端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101841525A (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
CN103020547A (zh) * | 2012-11-13 | 2013-04-03 | 中兴通讯股份有限公司 | 执行命令的方法、装置、智能卡及移动终端 |
CN103532987A (zh) * | 2013-11-11 | 2014-01-22 | 国家电网公司 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
CN103560929A (zh) * | 2013-10-29 | 2014-02-05 | 武汉大学 | 针对功耗分析的实用型智能卡通用测试系统 |
CN104244221A (zh) * | 2013-06-24 | 2014-12-24 | 吴勇军 | 一种手机sim卡应用 |
CN104349321A (zh) * | 2014-10-27 | 2015-02-11 | 东莞宇龙通信科技有限公司 | 一种安全访问鉴权方法、访问请求发送方法及装置 |
CN105052072A (zh) * | 2012-12-28 | 2015-11-11 | 威斯科数据安全国际有限公司 | 远程认证和业务签名 |
CN105100040A (zh) * | 2014-05-05 | 2015-11-25 | 恩智浦有限公司 | 用于过滤数字证书的系统和方法 |
CN105591744A (zh) * | 2014-10-24 | 2016-05-18 | 金联汇通信息技术有限公司 | 一种网络实名认证方法及系统 |
CN106100855A (zh) * | 2016-08-19 | 2016-11-09 | 江南信安(北京)科技有限公司 | 可穿戴式移动密码机 |
CN106850200A (zh) * | 2017-01-25 | 2017-06-13 | 中钞信用卡产业发展有限公司北京智能卡技术研究院 | 一种使用基于区块链的数字货币的方法、系统及终端 |
CN106936588A (zh) * | 2017-04-13 | 2017-07-07 | 北京深思数盾科技股份有限公司 | 一种硬件控制锁的托管方法、装置及系统 |
CN107026738A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 数字证书更新方法、数字签名校验方法和数字认证装置 |
CN107040495A (zh) * | 2016-02-03 | 2017-08-11 | 重庆小目科技有限责任公司 | 一种应用于工业通信和业务的多级联合身份认证方法 |
CN107147614A (zh) * | 2017-03-14 | 2017-09-08 | 中国科学院信息工程研究所 | 一种通信安全处理的方法、信令处理器、用户设备及系统 |
WO2018218764A1 (zh) * | 2017-06-01 | 2018-12-06 | 深圳市科迈爱康科技有限公司 | 远程无线数据传输方法、装置及计算可读存储介质 |
CN109698815A (zh) * | 2017-10-23 | 2019-04-30 | 中国电信股份有限公司 | 嵌入式芯片卡、卡应用服务器及应用数据传输系统和方法 |
CN111092734A (zh) * | 2019-12-19 | 2020-05-01 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
CN114124584A (zh) * | 2022-01-28 | 2022-03-01 | 卓望数码技术(深圳)有限公司 | 远程接入办公网络的方法、装置、系统、接网设备及介质 |
CN115296814A (zh) * | 2022-07-25 | 2022-11-04 | 浪潮云信息技术股份公司 | 一种基于用户的签名验签方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1477810A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 基于数字证书实现的动态口令认证方法 |
CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
US20090320118A1 (en) * | 2005-12-29 | 2009-12-24 | Axsionics Ag | Security Token and Method for Authentication of a User with the Security Token |
-
2010
- 2010-03-02 CN CN201010117069A patent/CN101841525A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1477810A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 基于数字证书实现的动态口令认证方法 |
CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
US20090320118A1 (en) * | 2005-12-29 | 2009-12-24 | Axsionics Ag | Security Token and Method for Authentication of a User with the Security Token |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
CN103020547A (zh) * | 2012-11-13 | 2013-04-03 | 中兴通讯股份有限公司 | 执行命令的方法、装置、智能卡及移动终端 |
CN105052072A (zh) * | 2012-12-28 | 2015-11-11 | 威斯科数据安全国际有限公司 | 远程认证和业务签名 |
CN104244221A (zh) * | 2013-06-24 | 2014-12-24 | 吴勇军 | 一种手机sim卡应用 |
CN103560929A (zh) * | 2013-10-29 | 2014-02-05 | 武汉大学 | 针对功耗分析的实用型智能卡通用测试系统 |
CN103532987B (zh) * | 2013-11-11 | 2016-06-29 | 国家电网公司 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
CN103532987A (zh) * | 2013-11-11 | 2014-01-22 | 国家电网公司 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
CN105100040A (zh) * | 2014-05-05 | 2015-11-25 | 恩智浦有限公司 | 用于过滤数字证书的系统和方法 |
CN105100040B (zh) * | 2014-05-05 | 2019-01-01 | 恩智浦有限公司 | 用于过滤数字证书的系统和方法 |
CN105591744A (zh) * | 2014-10-24 | 2016-05-18 | 金联汇通信息技术有限公司 | 一种网络实名认证方法及系统 |
CN105591744B (zh) * | 2014-10-24 | 2019-03-05 | 金联汇通信息技术有限公司 | 一种网络实名认证方法及系统 |
CN104349321A (zh) * | 2014-10-27 | 2015-02-11 | 东莞宇龙通信科技有限公司 | 一种安全访问鉴权方法、访问请求发送方法及装置 |
CN104349321B (zh) * | 2014-10-27 | 2018-12-25 | 东莞宇龙通信科技有限公司 | 一种安全访问鉴权方法、访问请求发送方法及装置 |
CN107026738B (zh) * | 2016-02-01 | 2020-05-19 | 阿里巴巴集团控股有限公司 | 数字证书更新方法、数字签名校验方法和数字认证装置 |
CN107026738A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 数字证书更新方法、数字签名校验方法和数字认证装置 |
CN107040495A (zh) * | 2016-02-03 | 2017-08-11 | 重庆小目科技有限责任公司 | 一种应用于工业通信和业务的多级联合身份认证方法 |
CN107040495B (zh) * | 2016-02-03 | 2021-07-13 | 重庆小目科技有限责任公司 | 一种应用于工业通信和业务的多级联合身份认证方法 |
CN106100855A (zh) * | 2016-08-19 | 2016-11-09 | 江南信安(北京)科技有限公司 | 可穿戴式移动密码机 |
CN106850200A (zh) * | 2017-01-25 | 2017-06-13 | 中钞信用卡产业发展有限公司北京智能卡技术研究院 | 一种使用基于区块链的数字货币的方法、系统及终端 |
CN106850200B (zh) * | 2017-01-25 | 2019-10-22 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种使用基于区块链的数字货币的安全方法、系统及终端 |
CN107147614A (zh) * | 2017-03-14 | 2017-09-08 | 中国科学院信息工程研究所 | 一种通信安全处理的方法、信令处理器、用户设备及系统 |
CN106936588B (zh) * | 2017-04-13 | 2020-04-24 | 北京深思数盾科技股份有限公司 | 一种硬件控制锁的托管方法、装置及系统 |
CN106936588A (zh) * | 2017-04-13 | 2017-07-07 | 北京深思数盾科技股份有限公司 | 一种硬件控制锁的托管方法、装置及系统 |
WO2018218764A1 (zh) * | 2017-06-01 | 2018-12-06 | 深圳市科迈爱康科技有限公司 | 远程无线数据传输方法、装置及计算可读存储介质 |
CN109698815A (zh) * | 2017-10-23 | 2019-04-30 | 中国电信股份有限公司 | 嵌入式芯片卡、卡应用服务器及应用数据传输系统和方法 |
CN109698815B (zh) * | 2017-10-23 | 2021-08-31 | 中国电信股份有限公司 | 嵌入式芯片卡、卡应用服务器及应用数据传输系统和方法 |
CN111092734A (zh) * | 2019-12-19 | 2020-05-01 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
CN111092734B (zh) * | 2019-12-19 | 2021-12-28 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
CN114124584A (zh) * | 2022-01-28 | 2022-03-01 | 卓望数码技术(深圳)有限公司 | 远程接入办公网络的方法、装置、系统、接网设备及介质 |
CN115296814A (zh) * | 2022-07-25 | 2022-11-04 | 浪潮云信息技术股份公司 | 一种基于用户的签名验签方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101841525A (zh) | 安全接入方法、系统及客户端 | |
CN108684041B (zh) | 登录认证的系统和方法 | |
CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
US8724819B2 (en) | Credential provisioning | |
CA2838763C (en) | Credential authentication methods and systems | |
EP2442204B1 (en) | System and method for privilege delegation and control | |
CN101588245B (zh) | 一种身份认证的方法、系统及存储设备 | |
CN111416807A (zh) | 数据获取方法、装置及存储介质 | |
CN106452782A (zh) | 为终端设备生成安全通信信道的方法和系统 | |
TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
CN110336788B (zh) | 一种物联网设备与移动终端的数据安全交互方法 | |
EP2827529B1 (en) | Method, device, and system for identity authentication | |
CN103326859A (zh) | 基于目录的安全认证系统及方法 | |
CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
CN111065081A (zh) | 一种基于蓝牙的信息交互方法及其装置 | |
CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
CN106656955A (zh) | 一种通信方法及系统、客户端 | |
CN112235276B (zh) | 主从设备交互方法、装置、系统、电子设备和计算机介质 | |
CN111435389A (zh) | 一种配电终端运维工具安全防护系统 | |
CN109474431A (zh) | 客户端认证方法及计算机可读存储介质 | |
CN111147501A (zh) | 一种蓝牙钥匙查询方法及其装置 | |
CN111127715A (zh) | 一种蓝牙钥匙更换方法及其装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100922 |