CN1447269A - 基于硬件特征的证书认证系统和方法 - Google Patents
基于硬件特征的证书认证系统和方法 Download PDFInfo
- Publication number
- CN1447269A CN1447269A CN 03114180 CN03114180A CN1447269A CN 1447269 A CN1447269 A CN 1447269A CN 03114180 CN03114180 CN 03114180 CN 03114180 A CN03114180 A CN 03114180A CN 1447269 A CN1447269 A CN 1447269A
- Authority
- CN
- China
- Prior art keywords
- certificate
- hardware
- client
- server
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于硬件特征的证书认证系统和方法,其方法包含以下步骤:认证服务器使用包含客户端硬件特征的硬件证书加密数字证书后形成加密文件发给客户端;客户端使用硬件证书对收到的加密文件解密后得到数字证书提供给应用服务器;应用服务器把数字证书提供给认证服务器核对完成认证。其系统包括客户端硬件特征采集器,用于根据采集的客户端硬件特征生成硬件证书;认证服务器;客户端;应用服务器。本发明因为采用了上述方法和系统,使得每次对客户端进行认证时,客户端都要采集自身的硬件特征生成一次硬件证书,才能完成认证过程,从而使客户端不可仿冒,避免了现有技术中因数字证书或密码被盗而引起的身份误认。
Description
[技术领域]
本发明涉及网络上的证书认证系统和方法,特别是涉及一种基于硬件特征的证书认证系统和方法。
[背景技术]
在互联网应用越来越多的今天,身份认证问题成为互联网应用需要解决的核心问题之一。简单的身份认证有用户名和密码认证体系;稍微复杂的系统如网上银行等则需要用专门的数字证书进行身份认证。
在传统的身份认证系统中使用的是CA服务器统一分发的证书进行认证。CA(Certification Authority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。数字证书实际是一串很长的数学编码,包含有客户的基本信息及CA的签字,通常保存在电脑硬盘或IC卡中。证明证书主体("证书申请者"获得CA认证中心签发的证书后即成为"证书主体")与证书中所包含的公钥的唯一对应关系。证书在通信时用来出示给对方,证明自己的身份。
数字证书的工作原理,通常来讲,在网上系统中存在三种证书:CA服务器自身的根证书,应用服务器证书,和每个用户在浏览器端的客户证书。有了这三个证书,就可以在浏览器与应用服务器之间建立起SSL(安全连接层)连接。这样,你的浏览器与应用服务器之间就有了一个安全的加密信道。你的证书可以使与你通讯的对方验证你的身份(你确实是你所声称的那个你),同样,你也可以用与你通讯的对方的证书验证他的身份(他确实是他所声称的那个他),而这一验证过程是由系统自动完成的。
这些传统方案中,网上的用户名和密码容易被盗用;而传统的数字证书因为由CA服务器统一颁发,也存在被复制和盗用的风险,引起使用过程中的冒名顶替,容易给用户造成不可估量的损失。
[发明内容]
本发明的目的是提供一种基于硬件特征的证书认证系统和方法,在使用过程中不容易被复制或盗用。
本发明的目的是这样实现的:构建一种基于硬件特征的证书认证方法,包含以下步骤:
第一步,认证服务器使用包含客户端硬件特征的硬件证书加密数字证书后形成加密文件发给客户端;
第二步,客户端使用硬件证书对收到的加密文件解密后得到数字证书提供给应用服务器;
第三步,应用服务器把数字证书提供给认证服务器核对完成认证。
构建一种基于硬件特征的证书认证系统,其特征在于包括
客户端硬件特征采集器,用于根据采集的客户端硬件特征生成硬件证书;
认证服务器,用于存储客户端硬件特征采集器提供的硬件证书,给客户端生成数字证书,并用所述硬件证书加密后生成加密文件提供给客户端;
客户端,用于接收认证服务器的加密文件,并控制客户端硬件特征采集器临时生成硬件证书,对加密文件解密后得到数字证书,以备身份认证;
应用服务器,用于接收客户端的数字证书,提供给认证服务器核对完成认证。
本发明因为采用了上述方法和系统,使得每次对客户端进行认证时,客户端都要采集自身的硬件特征生成一次硬件证书,才能完成认证过程,从而使客户端不可仿冒,避免了现有技术中因数字证书或密码被盗而引起的身份误认。并且还能通过硬件证书验证客户端的有效性,加强CA系统的安全特性,在同类型解决方案中由于没有加入额外的硬件,因此具有成本低,部署简单等优点。
[附图说明]
图1是本发明硬件证书的生成示意图;
图2是本发明认证过程的示意图。
[具体实施方式]
下面结合附图和实施例对本发明作进一步的阐述。
图1和图2体现了基于PC硬件特征的认证系统(SinforCA)工作过程。
如图1所示,在客户端PC上设置了硬件特征采集器,可以根据硬件特征通过某些加密算法生成硬件证书文件。加密算法可以各种通用的加密算法,比如包括但不限于RSA,3DES,AES等通用算法,加密位数在128位以上。PC上的硬件特征包括但不限于硬盘的物理序列号,逻辑分区的序号,CPU序号,网卡MAC地址,主板序号等。硬件证书文件中应该包含证书的生成日期,硬件特征,和校验和,但不限于以上信息。硬件证书为1K以上的数字序列。
将硬件证书通过安全的手段传送到认证服务器(CA Server),服务器通过ID号生成器客户分配一个用户ID号。安全的传送手段包括但不限于加密的邮件、通过保密的物理介质传输等方法。
如图2所示,认证时,第一步,客户端先将ID通过密文或明文报给CA服务器。第二步,CA服务器通过随机数生成器为当前客户分配一个临时的唯一认证号码和加密密码B。为保证唯一性,该认证号码应当至少大于64位,一般为128位以上。该认证号码在每一次认证过程完成后失效,或在较短时间(比如30秒)后失效。CA服务器再使用用户ID和硬件证书生成新密钥后,再用新密钥加密认证号码序号和密码B(加解密算法可以使用但不限于AES,3DES等对称加密算法),形成用硬件证书加密后的数字证书文件。其中数字证书的内容主要包括用户ID号、认证号码和加密密码B等。第三步,CA服务器把加密后的文件回传给客户端。
第四步,客户端用收到加密后的文件后,再临时生成硬件证书,使用硬件证书加密ID生成新密钥后,再用新密钥解密认证号码和密码B(数字证书的主要内容)。第五步,用密码B加密认证号码并和用户ID一起形成数字证书发送到应用服务器进行身份认证。第六步,应用服务器将数字证书(加密的认证号码和用户ID)发到CA服务器进行身份确认。
上述应用服务器和CA服务器可以是同一个服务器。
本方案只描述单向认证过程,如果是双向认证过程,则应用服务器和客户端的逻辑位置倒置,重复该认证过程即可。
本发明的客户端不仅仅限于PC机和笔记本,还可包括PDA以及未来3G的手持设备。硬件特征还可以根据具体的设备包括更多的特征。硬件证书的生成算法可以使用多种加密算法。硬件证书的传输手段可以采用多种安全方式。认证过程可以使用其他简化的认证过程,核心过程是需要使用硬件证书进行认证。比如:客户端可以直接使用硬件证书按某种算法和用户ID一起生成的某种序号,发到CA服务器进行身份认证,身份被确认后,使用该序号和应用服务器进行交换。
本发明的最大优点是防止证书和密码被盗用。在同类型解决方案中由于没有加入额外的硬件,因此具有成本低,部署简单等优点,可广泛使用于防火墙、VPN等网络安全系统、网上交易,网上银行等电子商务系统、OA等电子政务系统。能大大提高系统的安全等级。
Claims (8)
1.一种基于硬件特征的证书认证方法,包含以下步骤:
第一步,认证服务器使用包含客户端硬件特征的硬件证书加密数字证书后形成加密文件发给客户端;
第二步,客户端使用硬件证书对收到的加密文件解密后得到数字证书提供给应用服务器;
第三步,应用服务器把数字证书提供给认证服务器核对完成认证。
2.根据权利要求1所述的基于硬件特征的证书认证方法,其特征在于,在所述第一步之前,还包含硬件证书生成步骤:
采集客户端的硬件特征形成硬件证书存储于认证服务器中。
3.根据权利要求1所述的基于硬件特征的证书认证方法,其特征在于,所述第一步包含以下步骤:
步骤101,认证服务器根据客户端提供的ID号,分配一个临时的唯一认证号码和加密密码B;
步骤102,认证服务器使用用户ID和硬件证书生成新密钥后,再用新密钥加密认证号码序号和密码B,形成用硬件证书加密后的数字证书文件;
步骤103,认证服务器把加密后的文件传给客户端。
4.根据权利要求1所述的基于硬件特征的证书认证方法,其特征在于,所述第二步包含以下步骤:
步骤201,客户端收到所述加密后的文件后,临时生成硬件证书;
步骤202,客户端使用硬件证书和用户ID生成新密钥后,再用新密钥解密所述加密后的文件获得认证号码和密码B;
步骤203,用密码B加密认证号码并和用户ID一起形成数字证书发送到应用服务器。
5.一种基于硬件特征的证书认证系统,其特征在于包括:
客户端硬件特征采集器,用于根据采集的客户端硬件特征生成硬件证书;
认证服务器,用于存储客户端硬件特征采集器提供的硬件证书,给客户端生成数字证书,并用所述硬件证书加密后生成加密文件提供给客户端;
客户端,用于接收认证服务器的加密文件,并控制客户端硬件特征采集器临时生成硬件证书,对加密文件解密后得到数字证书,以备身份认证;
应用服务器,用于接收客户端的数字证书,提供给认证服务器核对完成认证。
6.根据权利要求5所述的基于硬件特征的证书认证系统,其特征在于:
所述认证服务器包括一个ID号生成器,用于给客户端提供ID号。
7.根据权利要求5所述的基于硬件特征的证书认证系统,其特征在于:
所述认证服务器还包括一个随机数产生器,用于根据客户端提供的ID号,分配给客户端一个临时的唯一认证号码和加密密码B。
8.根据权利要求5、6或7所述的基于硬件特征的证书认证系统,其特征在于:所述认证服务器和应用服务器是同一个服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03114180 CN1447269A (zh) | 2003-04-10 | 2003-04-10 | 基于硬件特征的证书认证系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03114180 CN1447269A (zh) | 2003-04-10 | 2003-04-10 | 基于硬件特征的证书认证系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1447269A true CN1447269A (zh) | 2003-10-08 |
Family
ID=28050338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03114180 Pending CN1447269A (zh) | 2003-04-10 | 2003-04-10 | 基于硬件特征的证书认证系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1447269A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100419773C (zh) * | 2006-03-02 | 2008-09-17 | 王清华 | 一种电子文档的许可认证方法和系统 |
| CN101316167A (zh) * | 2008-07-04 | 2008-12-03 | 宇龙计算机通信科技(深圳)有限公司 | 一种安全认证的注册及登录方法、系统和移动终端 |
| CN101091156B (zh) * | 2004-10-29 | 2010-09-29 | 高通股份有限公司 | 提供多证书验证协议的系统及方法 |
| CN101916346A (zh) * | 2010-08-16 | 2010-12-15 | 鸿富锦精密工业(深圳)有限公司 | 可防盗版的电子装置及其防盗版方法 |
| CN101308537B (zh) * | 2007-05-18 | 2011-05-11 | 华硕电脑股份有限公司 | 在电脑装置中产生加解密金钥及使用该加解密金钥的方法 |
| CN102801722A (zh) * | 2012-08-09 | 2012-11-28 | 福建物联天下信息科技有限公司 | 物联网认证方法及系统 |
| CN103189872A (zh) * | 2010-09-16 | 2013-07-03 | 凡瑞斯公司 | 联网环境中的安全和有效内容筛选 |
| CN101674304B (zh) * | 2009-10-15 | 2013-07-10 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN103229452A (zh) * | 2010-09-30 | 2013-07-31 | 因特塞克特国际有限公司 | 移动手持设备的识别和通信认证 |
| CN103414699A (zh) * | 2013-07-23 | 2013-11-27 | 北京星网锐捷网络技术有限公司 | 客户端证书认证方法、服务器和客户端 |
| CN103632078A (zh) * | 2013-12-03 | 2014-03-12 | 广东数字证书认证中心有限公司 | 硬证书生成方法和系统、证书存储设备 |
| US9189955B2 (en) | 2000-02-16 | 2015-11-17 | Verance Corporation | Remote control signaling using audio watermarks |
| US9208334B2 (en) | 2013-10-25 | 2015-12-08 | Verance Corporation | Content management using multiple abstraction layers |
| US9251549B2 (en) | 2013-07-23 | 2016-02-02 | Verance Corporation | Watermark extractor enhancements based on payload ranking |
| US9262794B2 (en) | 2013-03-14 | 2016-02-16 | Verance Corporation | Transactional video marking system |
| US9323902B2 (en) | 2011-12-13 | 2016-04-26 | Verance Corporation | Conditional access using embedded watermarks |
| US9596521B2 (en) | 2014-03-13 | 2017-03-14 | Verance Corporation | Interactive content acquisition using embedded codes |
| CN107231631A (zh) * | 2017-05-31 | 2017-10-03 | 广东网金控股股份有限公司 | 一种移动终端的网络安全认证的方法及移动终端 |
| WO2022155718A1 (pt) | 2021-01-22 | 2022-07-28 | Carvalho Rogerio Atem De | Dispositivo e método para autenticação de hardware e/ou software embarcado |
-
2003
- 2003-04-10 CN CN 03114180 patent/CN1447269A/zh active Pending
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9189955B2 (en) | 2000-02-16 | 2015-11-17 | Verance Corporation | Remote control signaling using audio watermarks |
| CN101091156B (zh) * | 2004-10-29 | 2010-09-29 | 高通股份有限公司 | 提供多证书验证协议的系统及方法 |
| CN100419773C (zh) * | 2006-03-02 | 2008-09-17 | 王清华 | 一种电子文档的许可认证方法和系统 |
| CN101308537B (zh) * | 2007-05-18 | 2011-05-11 | 华硕电脑股份有限公司 | 在电脑装置中产生加解密金钥及使用该加解密金钥的方法 |
| CN101316167A (zh) * | 2008-07-04 | 2008-12-03 | 宇龙计算机通信科技(深圳)有限公司 | 一种安全认证的注册及登录方法、系统和移动终端 |
| CN101674304B (zh) * | 2009-10-15 | 2013-07-10 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN101916346A (zh) * | 2010-08-16 | 2010-12-15 | 鸿富锦精密工业(深圳)有限公司 | 可防盗版的电子装置及其防盗版方法 |
| CN103189872A (zh) * | 2010-09-16 | 2013-07-03 | 凡瑞斯公司 | 联网环境中的安全和有效内容筛选 |
| CN103189872B (zh) * | 2010-09-16 | 2016-05-18 | 凡瑞斯公司 | 联网环境中的安全和有效内容筛选的方法和装置 |
| CN103229452A (zh) * | 2010-09-30 | 2013-07-31 | 因特塞克特国际有限公司 | 移动手持设备的识别和通信认证 |
| CN103229452B (zh) * | 2010-09-30 | 2016-11-16 | 因特塞克特国际有限公司 | 移动手持设备的识别和通信认证 |
| US9323902B2 (en) | 2011-12-13 | 2016-04-26 | Verance Corporation | Conditional access using embedded watermarks |
| CN102801722A (zh) * | 2012-08-09 | 2012-11-28 | 福建物联天下信息科技有限公司 | 物联网认证方法及系统 |
| US9262794B2 (en) | 2013-03-14 | 2016-02-16 | Verance Corporation | Transactional video marking system |
| US9251549B2 (en) | 2013-07-23 | 2016-02-02 | Verance Corporation | Watermark extractor enhancements based on payload ranking |
| CN103414699A (zh) * | 2013-07-23 | 2013-11-27 | 北京星网锐捷网络技术有限公司 | 客户端证书认证方法、服务器和客户端 |
| CN103414699B (zh) * | 2013-07-23 | 2017-04-26 | 北京星网锐捷网络技术有限公司 | 客户端证书认证方法、服务器和客户端 |
| US9208334B2 (en) | 2013-10-25 | 2015-12-08 | Verance Corporation | Content management using multiple abstraction layers |
| CN103632078A (zh) * | 2013-12-03 | 2014-03-12 | 广东数字证书认证中心有限公司 | 硬证书生成方法和系统、证书存储设备 |
| CN103632078B (zh) * | 2013-12-03 | 2017-08-04 | 数安时代科技股份有限公司 | 硬证书生成方法和系统、证书存储设备 |
| US9596521B2 (en) | 2014-03-13 | 2017-03-14 | Verance Corporation | Interactive content acquisition using embedded codes |
| CN107231631A (zh) * | 2017-05-31 | 2017-10-03 | 广东网金控股股份有限公司 | 一种移动终端的网络安全认证的方法及移动终端 |
| WO2022155718A1 (pt) | 2021-01-22 | 2022-07-28 | Carvalho Rogerio Atem De | Dispositivo e método para autenticação de hardware e/ou software embarcado |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101674304B (zh) | 一种网络身份认证系统及方法 | |
| JP3595109B2 (ja) | 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体 | |
| EP2020797B1 (en) | Client-server Opaque token passing apparatus and method | |
| US8327142B2 (en) | System and method for facilitating secure online transactions | |
| JP4625234B2 (ja) | トークン使用可能公開鍵インフラストラクチャ・システムにおけるユーザ証明書/秘密鍵の割り当て | |
| CN1447269A (zh) | 基于硬件特征的证书认证系统和方法 | |
| RU2584500C2 (ru) | Криптографический способ аутентификации и идентификации с шифрованием в реальном времени | |
| US20080022085A1 (en) | Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system | |
| EP1129541A1 (en) | Method and system for authenticating and utilizing secure resources in a computer system | |
| CN101695038A (zh) | 检测ssl加密数据安全性的方法及装置 | |
| CN101393628A (zh) | 一种新型的网上安全交易系统和方法 | |
| JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
| CN108737376A (zh) | 一种基于指纹和数字证书的双因子认证方法及系统 | |
| JP2001249901A (ja) | 認証装置およびその方法、並びに、記憶媒体 | |
| CN114513339A (zh) | 一种安全认证方法、系统及装置 | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| EP2070248B1 (en) | System and method for facilitating secure online transactions | |
| CN1980127A (zh) | 口令认证系统及口令认证方法 | |
| CN110176989A (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和系统 | |
| Dandash et al. | Fraudulent Internet Banking Payments Prevention using Dynamic Key. | |
| Russell | Fast checking of individual certificate revocation on small systems | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| CN115632797A (zh) | 一种基于零知识证明的安全身份验证方法 | |
| JP2009267583A (ja) | 秘匿認証システム | |
| KR20030097550A (ko) | 인가된 키 복구 서비스 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |