CN101013941A - 数字证书认证/管理系统及认证/管理方法 - Google Patents
数字证书认证/管理系统及认证/管理方法 Download PDFInfo
- Publication number
- CN101013941A CN101013941A CN 200710037344 CN200710037344A CN101013941A CN 101013941 A CN101013941 A CN 101013941A CN 200710037344 CN200710037344 CN 200710037344 CN 200710037344 A CN200710037344 A CN 200710037344A CN 101013941 A CN101013941 A CN 101013941A
- Authority
- CN
- China
- Prior art keywords
- authentication
- management server
- digital certificate
- client
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明揭示了一种数字证书认证/管理方法,通过认证/管理服务器认证客户端的数字证书,使得通过数字证书认证的客户端可以访问一应用系统,包括:客户端需要登陆一应用系统,首先登陆认证/管理服务器,通过与应用系统相对应的数字证书、数字签名和摘要验证该客户端是否被允许访问该应用系统。本发明还揭示了一种数字证书认证/管理系统。采用本发明的技术方案,提供一种新的基于Diameter协议的新的数字证书的认证/管理系统和认证/管理方法,提供安全有效的数字证书认证和管理。
Description
技术领域
本发明涉及身份认证技术,更具体地说,涉及一种数字证书认证/管理系统及认证/管理方法。
背景技术
随着网络技术的高速发展,个人和企业越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达到数十亿元,并且呈逐年上升的趋势。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行。同时,CA数字证书、PKI构架系统国家已立法,而且相关应用也已成熟,全国各地均建立了相关的证书中心,提供标准数字证书编程接口。
在现有技术中,通常使用的是基于Radius协议的数字证书认证系统。RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。但是由于协议本身的缺陷,比如基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务,仅支持非可靠UDP传输协议,属性设置仅采用8比特标识符等,都使得它不太适应当前网络的发展,需要进一步改进。
新一代的AAA协议——Diameter协议的出现使得提供一种新的数字证书的认证/管理系统和方法成为可能。
发明内容
本发明的目的是提供一种基于Diameter协议的新的数字证书的认证/管理系统和认证/管理方法。
根据本发明的一方面,提供一种数字证书认证/管理方法,通过认证/管理服务器认证客户端的数字证书,使得通过数字证书认证的客户端可以访问一应用系统,包括:客户端需要登陆一应用系统,首先启动客户端拨号程序,使用该客户端在认证/管理服务器上的用户名登陆认证/管理服务器,选择与所述应用系统相对应的数字证书;对所选择的数字证书计算数字签名;对该数字签名计算摘要;将所述数字证书、数字签名和摘要提供给认证/管理服务器,并等待认证/管理服务器回应;认证/管理服务器是收到登陆认证/管理服务器的请求,解析所述用户名;根据所述用户名,比较所提供的数字证书与一预定的数字证书,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆所述应用系统;根据所述用户名,比较所提供的摘要与一预定的摘要,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆所述应用系统;根据所述用户名,比较所提供的数字签名与一预定的数字签名,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆所述应用系统;通知应用系统,允许所述用户名对应的客户端登陆所述应用系统。
根据一实施例,如果客户端被允许登陆所述应用系统,则继续向该认证/管理服务器发送计费请求,由该认证/管理服务器进行计费,该认证/管理服务器在客户端完成对应用系统的访问之后生成计费统计。
根据一实施例,该认证/管理服务器采用Diameter/Radius协议进行计费。
根据一实施例,一管理计算机控制该认证/管理服务器对保存在该认证/管理服务器上的数据进行管理。比如,对保存在该认证/管理服务器上的数据进行管理包括:核心接口调用,用户操作,行政区域管理,客户端操作,组操作,地址池操作,日志操作,统计信息操作,证书操作,卡号操作,域名操作,报表管理,以及全局设置。
根据本发明的另一方面,提供一种数字证书认证/管理系统,包括:数据通信网络;应用系统,连接到该数据通信网络;客户端,连接到该数据通信网络,当客户端要通过该数据通信网络登陆该应用系统时,首先启动客户端拨号程序,使用该客户端在一认证/管理服务器上的用户名向认证/管理服务器发出登陆请求,并选择与所述应用系统相对应的数字证书;对所选择的数字证书计算数字签名;对该数字签名计算摘要;以及将所述数字证书、数字签名和摘要通过数据通信网络提供给认证/管理服务器,并等待认证/管理服务器回应;认证/管理服务器,连接到数据通信网络,在收到客户端发送的登陆认证/管理服务器的请求后,解析所述用户名;根据所述用户名,比较所提供的数字证书与一预定的数字证书,比较所提供的摘要与一预定的摘要,比较所提供的数字签名与一预定的数字签名,如果上述三项中有任意一项不符,则通过数据通信网络发送信息拒绝该用户名对应的客户端登陆所述应用系统;如果上述三项全部符合,则通过数据通信网络发送信息通知应用系统允许所述用户名对应的客户端登陆所述应用系统。
根据一实施例,如果客户端被允许登陆所述应用系统,则该客户端继续通过数据通信网络向该认证/管理服务器发送计费请求,由该认证/管理服务器进行计费,该认证/管理服务器在客户端完成对应用系统的访问之后生成计费统计。
根据一实施例,该认证/管理服务器采用Diameter/Radius协议进行计费。
根据一实施例,该数字证书认证/管理系统还包括:管理计算机,连接到该认证/管理服务器,对保存在该认证/管理服务器上的数据进行管理。比如,该管理计算机包括:核心接口调用模块,用户操作模块,行政区域管理模块,客户端操作模块,组操作模块,地址池操作模块,日志操作模块,统计信息操作模块,证书操作操作模块,卡号操作模块,域名操作模块,报表管理模块,以及全局设置模块。
采用本发明的技术方案,提供一种新的基于Diameter协议的新的数字证书的认证/管理系统和认证/管理方法,提供安全有效的数字证书认证和管理。
附图说明
本发明的上述的以及其他的特征、性质和优势将通过下面结合附图对实施例的描述而变得更加明显,在附图中,相同的附图标记始终表示相同的特征,其中:
图1是根据本发明的一实施例的数字证书认证/管理方法的流程图;
图2是根据本发明的一实施例的数字证书认证/管理系统的结构图;
图3A-图3H是根据本发明的一具体实现,其中各个软件模块之间的运作关系图。
具体实施方式
Diameter/Radius协议
首先介绍一下传统的Radius协议和新的Diameter协议。Radius是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。但是由于协议本身的缺陷,比如基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务,都使得它不太适应当前网络的发展,需要进一步改进。
随着新的接入技术的引入(如无线接入、DSL、移动IP和以太网)和接入网络的快速扩容,越来越复杂的路由器和接入服务器大量投入使用,对AAA协议提出了新的要求,使得传统的Radius结构的缺点日益明显。目前,3G网络正逐步向全IP网络演进,不仅在核心网络使用支持IP的网络实体,在接入网络也使用基于IP的技术,而且移动终端也成为可激活的IP客户端。如在WCDMA当前规划的R6版本就新增以下特性:UTRAN和CN传输增强;无线接口增强;多媒体广播和多播(MBMS);数字权限管理(DRM);WLAN-UMTS互通;优先业务;通用用户信息(GUP);网络共享;不同网络间的互通等。在这样的网络中,移动IP将被广泛使用。支持移动IP的终端可以在注册的家乡网络中移动,或漫游到其他运营商的网络。当终端要接入到网络,并使用运营商提供的各项业务时,就需要严格的AAA过程。AAA服务器要对移动终端进行认证,授权允许用户使用的业务,并收集用户使用资源的情况,以产生计费信息。这就需要采用新一代的AAA协议--Diameter。此外,在IEEE的无线局域网协议802.16e的建议草案中,网络参考模型里也包含了鉴别和授权服务器ASA Server,以支持移动台在不同基站之间的切换。可见,在未来移动通信系统中,AAA服务器占据了很重要的位置。
经过讨论,IETF的AAA工作组同意将Diameter协议作为下一代的AAA协议标准。Diameter(为直径,意为着Diameter协议是Radius协议的升级版本)协议包括基本协议,NAS(网络接入服务)协议,EAP(可扩展鉴别)协议,MIP(移动IP)协议,CMS(密码消息语法)协议等。Diameter协议支持移动IP、NAS请求和移动代理的认证、授权和计费工作,协议的实现和RADIUS类似,也是采用AVP,属性值对(采用Attribute-Length-Value三元组形式)来实现,但是其中详细规定了错误处理,failover机制,采用TCP协议,支持分布式计费,克服了Radius的许多缺点,是最适合未来移动通信系统的AAA协议。
相对Radius,Diameter可以说具备很多技术优势。顾名思义,Radius(远程认证拨号接入用户服务)最初是开发用于拨号接入认证;Diameter则设计用于提供强大的接入控制功能,以克服最初Radius中很多固有的缺陷。例如,Radius仅支持非可靠UDP传输协议,而Diameter支持可靠和正式TCP以及流式控制传输协议(SCTP)传输,因而应用更加广泛。而且,Radius属性设置采用8比特标识符;Diameter则采用32位代码值,因而最大可支持40亿个属性。
Diameter是对Radius协议的扩展,主要是为网络接入、移动IP等具体应用中使用的认证、授权、计费提供一个基本的框架,它可以用于本地及漫游情况下的认证、授权与计费。在由3GPP所制定的IMS系统中将Diameter协议作为认证、授权、计费的候选协议,但由于目前移动IP以及IMS仅在一定范围内试验或应用,并没有广泛地应用。为此Diameter协议的应用也没有大规模地采用。与Radius协议相比,Diameter协议在使用时除了Radius协议使用时采用的客户端、服务器外还需要网络代理、重定向代理、变换代理、中继器、Diameter节点等实现用户漫游认证等功能。Diameter协议在使用过程中需要与其他协议相互配合。
现在的互联网协议IPv4支持的地址空间十分有限,而全球移动用户却不断高速增长,达到如此庞大的规模,这就给目前使用的IP协议--IPv4在未来移动通信全IP网络中的应用--带来如此沉重的压力。为了解决地址严重不足的问题,人们提出了新版本的IP协议--IPv6。IPv6能够支持的3.4×10E38个惟一的128位地址,令IPv4望尘莫及。由于全球数十亿个设备和用户都需要各自惟一的IP地址,因此这种巨大的编址容量将是实现“始终在线”通信的关键因素。尽管人们主要关注的是IPv6的寻址能力,但它还拥有其它许多重要优点,如改进和简化的路由。IPv6还引进了新的安全等级并改善了对移动业务--包括基于WCDMA技术的网络的支持,这将随着中国等人口众多的国家采用3G而日益重要。因此未来移动通信网络中的AAA协议一定是基于移动IPv6的支持分布式处理的协议。不过,业界需要考虑和解决的问题仍然有许多。IPv4可能是一种成熟而逐渐过时的协议,但它仍然可以做出重要贡献,并可能在未来一段时间内与IPv6共存和互通。Diameter作为瞄准未来网络同时又兼容当前网络的AAA协议,提供了对这两种版本MIP的支持(当然目前主要是对MIPv4的支持)。
数字证书认证/管理方法
本发明提供一种基于新的Diameter协议的数字证书认证/管理方法,其中也兼顾使用了Radius协议。
参考图1,本发明提供一种数字证书认证/管理方法100,通过认证/管理服务器认证客户端的数字证书,使得通过数字证书认证的客户端可以访问一应用系统,该方法包括:
102.客户端需要登陆一应用系统,首先启动客户端拨号程序,使用该客户端在认证/管理服务器上的用户名登陆认证/管理服务器,选择与应用系统相对应的数字证书;
104.对所选择的数字证书计算数字签名;
106.对该数字签名计算摘要;
108.将数字证书、数字签名和摘要提供给认证/管理服务器,并等待认证/管理服务器回应;
110.认证/管理服务器是收到登陆认证/管理服务器的请求,解析用户名;
112.根据用户名,比较所提供的数字证书与一预定的数字证书,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆应用系统;
114.根据用户名,比较所提供的摘要与一预定的摘要,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆应用系统;
116.根据用户名,比较所提供的数字签名与一预定的数字签名,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆应用系统;
118.通知应用系统,允许用户名对应的客户端登陆应用系统。
继续参考图1,在图1所示的实施例中,该方法100还包括:
120.如果客户端被允许登陆所述应用系统,则继续向该认证/管理服务器发送计费请求,由该认证/管理服务器进行计费,该认证/管理服务器在客户端完成对应用系统的访问之后生成计费统计。其中,该认证/管理服务器采用Diameter/Radius协议进行计费。
此外,根据图1所示的实施例100,该方法还包括:
122.一管理计算机控制该认证/管理服务器对保存在该认证/管理服务器上的数据进行管理。该对保存在该认证/管理服务器上的数据进行管理包括:核心接口调用,用户操作,行政区域管理,客户端操作,组操作,地址池操作,日志操作,统计信息操作,证书操作,卡号操作,域名操作,报表管理,以及全局设置。
数字证书认证/管理系统
参考图2,本发明还提供一种数字证书认证/管理系统200,包括:
数据通信网络202;
应用系统204,连接到该数据通信网络202;
客户端206,连接到该数据通信网络202,当客户端要通过该数据通信网络202登陆该应用系统204时,首先启动客户端拨号程序,使用该客户端在一认证/管理服务器208上的用户名向认证/管理服务器发出登陆请求,并选择与应用系统相对应的数字证书;对所选择的数字证书计算数字签名;对该数字签名计算摘要;以及将数字证书、数字签名和摘要通过数据通信网络提供给认证/管理服务器,并等待认证/管理服务器回应;
认证/管理服务器208,连接到数据通信网络202,在收到客户端发送的登陆认证/管理服务器的请求后,解析用户名;根据用户名,比较所提供的数字证书与一预定的数字证书,比较所提供的摘要与一预定的摘要,比较所提供的数字签名与一预定的数字签名,如果上述三项中有任意一项不符,则通过数据通信网络202发送信息拒绝该用户名对应的客户端206登陆应用系统204;如果上述三项全部符合,则通过数据通信网络202发送信息通知应用系统204允许该用户名对应的客户端206登陆该应用系统204;其中,如果客户端206被允许登陆应用系统204,则该客户端206继续通过数据通信网络202向该认证/管理服务器208发送计费请求,由该认证/管理服务器208进行计费,该认证/管理服务器208在客户端206完成对应用系统204的访问之后生成计费统计。其中,该认证/管理服务器采用Diameter/Radius协议进行计费。
根据图2所示的实施例,该数字证书认证/管理系统200还包括:管理计算机210,连接到该认证/管理服务器208,对保存在该认证/管理服务器208上的数据进行管理。该管理计算机可包括:核心接口调用模块,用户操作模块,行政区域管理模块,客户端操作模块,组操作模块,地址池操作模块,日志操作模块,统计信息操作模块,证书操作操作模块,卡号操作模块,域名操作模块,报表管理模块,以及全局设置模块。
实现实例
基于Diameter/Radius的认证/管理服务器是一套3A服务器。为远程用户提供接入的证书认证,认证后的IP地址授权;和用户登入和登出的记费功能;认证服务的所有用户、IP、组、客户端的管理功能。用户通过RADIUS/DIAMETER认证服务器的证书认证方式后,被授予内网的IP地址,以及指定的DNS和网关地址,用户可根据其在各自应用系统的权限去访问对应的应用服务器,可以通过下述的具体代码实现:
1.初始化证书,调用函数:
C_Initialize(CK_VOID_PTR plnitArgs
);
2.取得证书信息,调用函数:
C_Getlnfo (CK_INFO_PTR plnfo
);
3.签名,调用函数:
C_Signlnit ( CK_SESSION_HANDLE hSession,
CK_MECHANISM_PTR pMechanism,
CK_OBJECT_HANDLE hKey
);
以及:
C_Sign ( CK_SESSION_HANDLE hSession,
CK_BYTE_PTR pData,
CK_U LONG ulDataLen,
CK_BYTE_PTR pSignature,
CK_ULONG_PTR pulSignatureLen
);
4.做哈希,哈希函数自己实现。
5.验签,调用函数:
C_VerifyInit( CK_SESSION_HANDLE hSession,
CK_MECHANISM_PTR pMechanism,
CK_OBJECT_HANDLE hKey
);
以及:
C_Verify ( CK_SESSION_HANDLE hSession,
CK_BYTE_PTR pData,
CK_ULONG ulDataLen,
CK_BYTE_PTR pSignature,
CK_ULONG ulSignatureLen
);
服务器程序模块:
以下是服务器端的所有的文件,对应于相应的功能模块。
LgetKnlV2.dll操作数据库的动态连接库。
LgetDataServer.exe数据服务,为认证服务和数据库之间的中间件。
LgetKnlServer.exe认证服务,该服务接收RADIUS数据包,作用户的各项认证,并返回结果。
LgetDataServerConfigure.exe数据服务配置,配置数据服务所需要的参数。
LgetKnlServerConfigure.exe认证服务配置,配置认证服务所需要的参数。
LgetCert.dll证书认证模块,由认证服务调用。认证用户证书的合法性和有效性。
NewRadiusTray.exe管理程序。
WEB管理程序模块
上述的各子程序模块之间的关系参考图3A所示。
客户端程序模块
Afd.exe证书拨号程序,需要输入用户名,密码和证书信息进行。
系统子程序模块的组织结构
1.核心LgetKnlV2.dll子程序
该子程序分为数据库存取模块,内存操作模块,对外接口提供模块。
数据库存取模块包括对数据库中,用户表,客户端表,组表,地址表,用户信息表,城市表,单位表,部门表各表的操作,每个表的操作使用一个类进行实现,类的标识以Lget开头RecordSet结尾。每个类对应各个表提供对数据库各表的添加,修改,删除操作的接口。
内存操作模块对运行中长驻内存的数据进行管理维护。内存中的数据包括用户的各项认证时所需要的数据。使用一个类对该功能进行实现,类的标识以Lget开头以Queue结尾。
接口提供模块是核心DLL向外部程序提供接口的模块,该模块调用上述两个模块的操作以统一的Lget开头的函数形式向外部程序提供相应接口。
整个子程序的模块关系如图3B所示。
2.数据服务LgetDateServer.exe子程序
该子程序分为响应操作请求模块,内存操作模块,数据处理模块。
响应操作请求模块,对外开放端口默认16000接收外部程序的操作请求,如:取得用户信息,添加用户,修改用户,删除用户等请求。各项请求以Long型数据进行标识。通过该模块的判断发送到数据处理模块的不同函数中。
内存操作模块,调用核心DLL的接口函数,对数据内存进行操作。
数据处理模块,调用内存操作模块,以完成响应操作请求模块的各项操作。其中操作包括取得各项用户信息的操作。以及组,地址的各项操作。
整个子程序的模块关系如图3C所示。
3.认证服务LgetKnlServer.exe子程序
该子程序分为响应操作请求模块,数据处理模块。
响应操作请求模块,对外开放端口默认1645接收外部程序的操作请求,如:用户认证等请求。各项请求以Long型数据进行标识。通过该模块的判断发送到数据处理模块的不同函数中。
数据处理模块,根据响应操作请求模块接收到的认证请求,对用户名,用户密码,用户证书信息进行认证,然后按照标准RADIUS协议给出认证结果。
上述子程序接口参考图3D所示。
4.数据服务配置LgetDataServerConfigure.exe子程序
该子程序以界面的形式对外提供给用户,对数据服务的各项参数进行配置。参数包括:端口,数据库地址,数据库用户名,数据库密码,以及数据源名。各项设置的保存都存放在注册表的特定地方。
5.认证服务配置LgetKnlServerConfigure.exe子程序
该子程序以界面的形式对外提供给用户,对认证服务的各项参数进行配置。参数包括:端口,数据服务的IP地址,数据服务开放的端口。各项设置的保存都存放在注册表的特定地方。
6.证书认证模块LgetCert.dll子程序
该子程序包括CA证书处理接口模块,外部程序接口模块。
CA证书处理接口模块调用证书公司提供的COM接口函数,对证书的各项操作进行处理。
外部程序接口模块为认证服务提供证书处理接口。
各模块之间关系如图3E所示。
7.管理界面NewRadiusTray.exe子程序
该子程序包括核心接口调用模块,用户操作模块,行政区域管理模块,客户端操作模块,组操作模块,地址池操作模块,日志操作模块,统计信息操作模块,证书操作操作模块,卡号操作模块,域名操作模块,报表管理模块,以及全局设置模块。
核心接口调用模块用来申明核心LgetKnlV2.dll的各接口函数。
用户操作模块实现对用户的各项操作。如添加,编辑,删除用户
行政区管理模块实现对于城市,区(县),单位,部门的添加,编辑和删除。
客户端作模块实现对客户端的各项操作。如添加,编辑,删除客户端
组操作模块实现对组的各项操作。如添加,编辑,删除组
地址池操作模块实现对地址池的各项操作。如添加,编辑,删除地址池
日志操作模块实现对日志的各项操作。如查看,删除日志
统计信息操作模块实现对统计信息的各项操作。如查看统计信息
证书操作模块实现证书的各项操作。如分配证书。
卡号操作模块实现卡号的各项操作。如生成卡号。
域名操作模块实现域名的各项操作。如生成域名。
报表操作模块实现报表的各项操作。如生成报表。
全局设置操作模块实现对管理界面在使用时所需要的各项参数存取。
各模块的关系如图3F所示。
8、WEB管理程序接口
该子程序实现了分布于不同地域的用户通过登陆Radius认证系统的Web管理页面,对用户进行管理。
该子程序接口调用的是一个由VB实现的包装了各需要使用到的核心接口COM程序。
上述程序接口参考图3G所示。
9、证书拨号程序Afd.exe接口
该程序实现了用户通过VPDN平台拨号进入网络。
该程序接口调用的是电子证书Ekey驱动程序。
上述程序接口参考图3H所示。
采用本发明的技术方案,提供一种新的基于Diameter协议的新的数字证书的认证/管理系统和认证/管理方法,提供安全有效的数字证书认证和管理。
上述实施例是提供给熟悉本领域内的人员来实现或使用本发明的,熟悉本领域的人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变化,因而本发明保护范围并不被上述实施例所限,而应该是符合权利要求书提到的创新性特征的最大范围。
Claims (10)
1.一种数字证书认证/管理方法,通过认证/管理服务器认证客户端的数字证书,使得通过数字证书认证的客户端可以访问一应用系统,其特征在于,包括:
客户端需要登陆一应用系统,首先启动客户端拨号程序,使用该客户端在认证/管理服务器上的用户名登陆认证/管理服务器,选择与所述应用系统相对应的数字证书;
对所选择的数字证书计算数字签名;
对该数字签名计算摘要;
将所述数字证书、数字签名和摘要提供给认证/管理服务器,并等待认证/管理服务器回应;
认证/管理服务器是收到登陆认证/管理服务器的请求,解析所述用户名;
根据所述用户名,比较所提供的数字证书与一预定的数字证书,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆所述应用系统;
根据所述用户名,比较所提供的摘要与一预定的摘要,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆所述应用系统;
根据所述用户名,比较所提供的数字签名与一预定的数字签名,如果两者相符,则进入下一步骤,如果两者不符,则拒绝该用户名对应的客户端登陆所述应用系统;
通知应用系统,允许所述用户名对应的客户端登陆所述应用系统。
2.如权利要求1所述的数字证书认证/管理方法,其特征在于,如果客户端被允许登陆所述应用系统,则继续向该认证/管理服务器发送计费请求,由该认证/管理服务器进行计费,该认证/管理服务器在客户端完成对应用系统的访问之后生成计费统计。
3.如权利要求2所述的数字证书认证/管理方法,其特征在于,该认证/管理服务器采用Diameter/Radius协议进行计费。
4.如权利要求3所述的数字证书认证/管理方法,其特征在于,一管理计算机控制该认证/管理服务器对保存在该认证/管理服务器上的数据进行管理。
5.如权利要求4所述的数字证书认证/管理方法,其特征在于,所述对保存在该认证/管理服务器上的数据进行管理包括:
核心接口调用,用户操作,行政区域管理,客户端操作,组操作,地址池操作,日志操作,统计信息操作,证书操作,卡号操作,域名操作,报表管理,以及全局设置。
6.一种数字证书认证/管理系统,其特征在于,包括:
数据通信网络;
应用系统,连接到该数据通信网络;
客户端,连接到该数据通信网络,当客户端要通过该数据通信网络登陆该应用系统时,首先启动客户端拨号程序,使用该客户端在一认证/管理服务器上的用户名向认证/管理服务器发出登陆请求,并选择与所述应用系统相对应的数字证书;对所选择的数字证书计算数字签名;对该数字签名计算摘要;以及将所述数字证书、数字签名和摘要通过数据通信网络提供给认证/管理服务器,并等待认证/管理服务器回应;
认证/管理服务器,连接到数据通信网络,在收到客户端发送的登陆认证/管理服务器的请求后,解析所述用户名;根据所述用户名,比较所提供的数字证书与一预定的数字证书,比较所提供的摘要与一预定的摘要,比较所提供的数字签名与一预定的数字签名,如果上述三项中有任意一项不符,则通过数据通信网络发送信息拒绝该用户名对应的客户端登陆所述应用系统;如果上述三项全部符合,则通过数据通信网络发送信息通知应用系统允许所述用户名对应的客户端登陆所述应用系统。
7.如权利要求6所述的数字证书认证/管理系统,其特征在于,如果客户端被允许登陆所述应用系统,则该客户端继续通过数据通信网络向该认证/管理服务器发送计费请求,由该认证/管理服务器进行计费,该认证/管理服务器在客户端完成对应用系统的访问之后生成计费统计。
8.如权利要求7所述的数字证书认证/管理系统,其特征在于,该认证/管理服务器采用Diameter/Radius协议进行计费。
9.如权利要求8所述的数字证书认证/管理系统,其特征在于,还包括:
管理计算机,连接到该认证/管理服务器,对保存在该认证/管理服务器上的数据进行管理。
10.如权利要求9所述的数字证书认证/管理系统,其特征在于,该管理计算机包括:
核心接口调用模块,用户操作模块,行政区域管理模块,客户端操作模块,组操作模块,地址池操作模块,日志操作模块,统计信息操作模块,证书操作操作模块,卡号操作模块,域名操作模块,报表管理模块,以及全局设置模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710037344 CN101013941A (zh) | 2007-02-09 | 2007-02-09 | 数字证书认证/管理系统及认证/管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710037344 CN101013941A (zh) | 2007-02-09 | 2007-02-09 | 数字证书认证/管理系统及认证/管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101013941A true CN101013941A (zh) | 2007-08-08 |
Family
ID=38701248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710037344 Pending CN101013941A (zh) | 2007-02-09 | 2007-02-09 | 数字证书认证/管理系统及认证/管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101013941A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101334884A (zh) * | 2008-07-29 | 2008-12-31 | 北京飞天诚信科技有限公司 | 提高转账安全性的方法和系统 |
| WO2010057428A1 (zh) * | 2008-11-21 | 2010-05-27 | 华为终端有限公司 | 网络接入控制的方法、服务器、用户网络设备和通信系统 |
| CN101483522B (zh) * | 2008-01-09 | 2012-04-04 | 华为技术有限公司 | 一种控制接入可信网络的方法、系统和设备 |
| CN103427995A (zh) * | 2013-08-02 | 2013-12-04 | 北京星网锐捷网络技术有限公司 | 用户认证方法、ssl vpn服务器及ssl vpn系统 |
| CN103906050A (zh) * | 2012-12-30 | 2014-07-02 | 航天信息股份有限公司 | 基于移动终端的wpki安全监控方法和系统 |
| CN104348790A (zh) * | 2013-07-30 | 2015-02-11 | 华耀(中国)科技有限公司 | 一种实现自定义配置aaa框架的方法及系统 |
| CN105491062A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种客户端软件保护方法、装置及客户端 |
| CN107580000A (zh) * | 2017-10-20 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 数字证书认证方法及装置 |
| CN109150844A (zh) * | 2018-07-26 | 2019-01-04 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN111342960A (zh) * | 2020-02-24 | 2020-06-26 | 洪心科技(广州)有限公司 | 数字证书的管理方法及装置 |
-
2007
- 2007-02-09 CN CN 200710037344 patent/CN101013941A/zh active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483522B (zh) * | 2008-01-09 | 2012-04-04 | 华为技术有限公司 | 一种控制接入可信网络的方法、系统和设备 |
| CN101334884B (zh) * | 2008-07-29 | 2016-01-20 | 飞天诚信科技股份有限公司 | 提高转账安全性的方法和系统 |
| CN101334884A (zh) * | 2008-07-29 | 2008-12-31 | 北京飞天诚信科技有限公司 | 提高转账安全性的方法和系统 |
| WO2010057428A1 (zh) * | 2008-11-21 | 2010-05-27 | 华为终端有限公司 | 网络接入控制的方法、服务器、用户网络设备和通信系统 |
| CN103906050A (zh) * | 2012-12-30 | 2014-07-02 | 航天信息股份有限公司 | 基于移动终端的wpki安全监控方法和系统 |
| CN104348790A (zh) * | 2013-07-30 | 2015-02-11 | 华耀(中国)科技有限公司 | 一种实现自定义配置aaa框架的方法及系统 |
| CN103427995A (zh) * | 2013-08-02 | 2013-12-04 | 北京星网锐捷网络技术有限公司 | 用户认证方法、ssl vpn服务器及ssl vpn系统 |
| CN103427995B (zh) * | 2013-08-02 | 2017-01-25 | 北京星网锐捷网络技术有限公司 | 用户认证方法、ssl vpn服务器及ssl vpn系统 |
| CN105491062A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种客户端软件保护方法、装置及客户端 |
| CN105491062B (zh) * | 2015-12-30 | 2019-07-02 | 北京神州绿盟信息安全科技股份有限公司 | 一种客户端软件保护方法、装置及客户端 |
| CN107580000A (zh) * | 2017-10-20 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 数字证书认证方法及装置 |
| CN109150844A (zh) * | 2018-07-26 | 2019-01-04 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN109150844B (zh) * | 2018-07-26 | 2021-07-27 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN111342960A (zh) * | 2020-02-24 | 2020-06-26 | 洪心科技(广州)有限公司 | 数字证书的管理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101013941A (zh) | 数字证书认证/管理系统及认证/管理方法 | |
| CN1534921B (zh) | 用于独立网络间的公共认证和授权的方法 | |
| US7221935B2 (en) | System, method and apparatus for federated single sign-on services | |
| EP2027666B1 (en) | Access to services in a telecommunications network | |
| CN102036227B (zh) | 一种数据业务的用户标识获取方法、系统及装置 | |
| CN1689369B (zh) | 用于经由接入网建立连接的方法和系统 | |
| EP1842353B1 (en) | Method for selecting an access point name (apn) for a mobile terminal in a packet switched telecommunications network | |
| US8422990B2 (en) | Switching system and corresponding method for unicast or multicast end-to-end data and/or multimedia stream transmissions between network nodes | |
| CN100370869C (zh) | 为用户提供网络漫游的方法和系统 | |
| US20040248547A1 (en) | Integration of billing between cellular and wlan networks | |
| US20030171112A1 (en) | Generic wlan architecture | |
| CN100413273C (zh) | 全球微波接入互操作网接入互联网协议多媒体子域的方法 | |
| WO2007019771A1 (en) | An access control method of the user altering the visited network, the unit and the system thereof | |
| EP1741268A1 (en) | A method for verifying a first identity and a second identity of an entity | |
| CN101160920A (zh) | 对用户终端进行鉴权的方法及鉴权系统 | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| WO2011026404A1 (zh) | 一种认证授权计费会话更新方法、装置和系统 | |
| WO2007124694A1 (fr) | Procédé, système et dispositif de facturation réseau | |
| US20100242100A1 (en) | Network access authentication | |
| WO2005053220A1 (en) | Systems and methods for controlling access to a public data network from a visited access provider | |
| CN102457816B (zh) | 集群信息管理的方法、集群接入网关及相应的集群系统 | |
| US7716723B1 (en) | System and method for network user authentication | |
| US20050240760A1 (en) | Broker-based interworking using hierarhical certificates | |
| US9226148B2 (en) | Access method in a WLAN for an IP mobile telephone with authentication by means of an HLR | |
| CN101984724A (zh) | 一种融合网络中隧道建立的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070808 |