CN102523214A - 基于数字证书的文档服务器访问方法和系统 - Google Patents
基于数字证书的文档服务器访问方法和系统 Download PDFInfo
- Publication number
- CN102523214A CN102523214A CN2011104197405A CN201110419740A CN102523214A CN 102523214 A CN102523214 A CN 102523214A CN 2011104197405 A CN2011104197405 A CN 2011104197405A CN 201110419740 A CN201110419740 A CN 201110419740A CN 102523214 A CN102523214 A CN 102523214A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- authentication
- archive server
- certificate
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于数字证书的文档服务器访问方法,包括步骤:A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向文档服务器颁发文档服务器证书和文档服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;B、用户终端接入到提供文档访问服务的文档服务器,基于用户终端、文档服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和文档服务器完成相互、双向的身份验证,以及完成用户终端和文档服务器间用于文档传送时保密的数据密钥的同步;C、完成相互、双向身份验证的用户终端和文档服务器利用所述数据密钥进行文档的保密传输。本发明还公开了一种基于数字证书的文档服务器访问系统。
Description
技术领域
本发明涉及电子信息技术领域,尤其涉及一种基于数字证书的文档服务器访问方法和系统。
背景技术
随着网络技术的不断发展,电子化办公的日益普及,越来越多的文件都以电子文档的形式传输。电子文档极易复制传输且不留痕迹。这些不安全特性容易导致企业或组织内部的信息泄露。由于企业可能存在企业外部远程办公的问题,电子文件在公共网络上传输,极可能存在文档传输过程中泄露、非法用户终端非法获取涉密文件等各种信息安全问题。为了彻底解决电子文档形式的信息泄露,实现企业或组织的安全电子化办公,需要提供文档的安全防护系统。
发明内容
本发明实施例提出一种基于数字证书的文档服务器访问方法和系统,能够解决对于目前文档服务器系统的访问过程中,用户终端与文档服务器的相互、双向的身份验证,文档传送的数据保密等问题。
本发明实施例提供一种基于数字证书的文档服务器访问方法,包括步骤:
A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向文档服务器颁发文档服务器证书和文档服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;
B、用户终端接入到提供文档访问服务的文档服务器,基于用户终端、文档服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和文档服务器完成相互、双向的身份验证,以及完成用户终端和文档服务器间用于文档传送时保密的数据密钥的同步;
C、完成相互、双向身份验证的用户终端和文档服务器利用所述数据密钥进行文档的保密传输。
另外,本发明实施例还对应提供一种基于数字证书的文档服务器访问系统,该系统包括利用网络连接进行相互通信的身份验证服务器、提供文档访问服务的文档服务器和用户终端;其中,所述身份验证服务器持有身份验证服务器证书和身份验证服务器私钥,并向文档服务器颁发文档服务器证书和文档服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;所述用户终端接入到文档服务器时,基于用户终端、文档服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和文档服务器完成相互、双向的身份验证,以及完成用户终端和文档服务器间用于文档传送时保密的数据密钥的同步;而完成相互、双向身份验证的用户终端和文档服务器利用所述数据密钥进行文档的保密传输。
实施本发明实施例,具有如下有益效果:
1、通过建立一个统一的文档服务器系统,使得用户终端可以以同一个身份访问不同文档服务器,用户终端不需要进行多余的注册等操作即可访问该系统中不同的文档服务器。
2、用户终端在进行文档传送的过程中,为了保证文档数据的安全性,文档数据须在加密通道中传输,即使有人员非法窃取数据,也没办法使用和篡改。
3、用户终端和文档服务器通过身份验证服务器验证双方的身份后,文档服务器向用户终端分发数据密钥,用于进行文档数据的保密传输,避免了网络非法入侵者截获数据并使用。
4、本发明赋予文档服务器以独立的身份,基于文档服务器身份的可区分性,方便监管,同时用户终端、文档服务器、以及身份验证服务器之间在接入过程中的通信无需经过额外的安全信道,节约了使用成本。
附图说明
图1是本发明所提供的基于数字证书的文档服务器访问系统的结构框图。
图2是本发明所提供的基于数字证书的文档服务器访问方法的流程图。
图3是图2所示文档服务器访问方法中用户终端接入文档服务器的具体流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,本发明的基于数字证书的文档服务器访问系统包括利用网络连接进行相互通信的身份验证服务器10、提供文档访问服务的文档服务器20和用户终端30。其中,所述身份验证服务器10持有身份验证服务器证书和身份验证服务器私钥,并向文档服务器20颁发文档服务器证书和文档服务器私钥以及向用户终端30颁发用户终端证书和用户终端私钥;所述用户终端30接入到文档服务器20时,基于用户终端30、文档服务器20和身份验证服务器10持有的证书和对应的私钥进行身份信息验证,使用户终端30和文档服务器20完成相互、双向的身份验证,以及完成用户终端30和文档服务器20间用于文档传送时保密的数据密钥的同步;而完成相互、双向身份验证的用户终端30和文档服务器20利用所述数据密钥进行文档的保密传输。
较佳地,所述用户终端30通过有线或无线网络访问文档服务器20,文档服务器20通过专用网络或者互联网连接到管理机构的身份验证服务器10。
所述身份验证服务器10负责对文档服务器20和用户终端30的证书颁发和状态维护、证书验证等的管理,具体地,所述身份验证服务器10包括身份验证模块11、第一存储模块12和注册模块13,其中:
第一存储模块12存储身份验证服务器的证书和私钥、文档服务器和用户终端的注册信息等;
注册模块13负责对用户终端和文档服务器进行注册,发放证书和私钥;
身份验证模块11接收文档服务器20发送的身份验证请求消息,验证用户终端30和文档服务器20的身份有效性,并构建身份验证响应消息发送给文档服务器20。
所述文档服务器20包括第一接入处理模块21、第二存储模块22及第一数据传输模块23,其中:
第二存储模块22存储身份验证服务器的证书、文档服务器的证书和私钥、接入用户终端的证书、身份验证密钥、数据密钥、随机数、文档数据等;
第一接入处理模块21接收并解析用户终端30的接入请求消息,构建身份验证请求消息发送给身份验证服务器10,接收并解析身份验证服务器10的身份验证响应消息,构建接入响应消息,接收并解析接入确认消息,使用身份验证密钥推导出数据密钥;
第一数据传输模块23负责从第二存储模块22中读取数据密钥,将文档数据进行加密后向用户终端30发送,并且可以解密第二数据传输模块发来的文档数据密文。
所述用户终端30包括第二接入处理模块31、第三存储模块32以及第二数据传输模块33。其中,
第三存储模块32存储身份验证服务器的证书、用户终端的证书和私钥、文档服务器的证书、身份验证密钥、数据密钥、随机数、文档数据等;
第二接入处理模块31在用户终端30接入系统时,向文档服务器20发起接入请求消息,接收并解析文档服务器20的接入响应消息,构建接入确认消息发送给文档服务器20,使用身份验证密钥推导出数据密钥;
第二数据传输模块33负责接收文档服务器第一数据传输模块23发送的文档数据密文,进行解密后供用户终端使用,并且可以加密发送给第一数据传输模块23的文档数据密文。
下面,结合图2和图3,对本发明提供的基于数字证书的文档服务器访问方法进行详细的描述。本发明所提供的基于数字证书的文档服务器访问方法,适用于基于数字证书的文档服务器访问系统中,其中该文档服务器系统包括利用网络连接进行相互通信的身份验证服务器10、提供文档访问服务的文档服务器20和用户终端30,本发明的基于数字证书的文档服务器访问方法包括步骤:
S101、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器10分别向文档服务器20颁发文档服务器证书和文档服务器私钥以及向用户终端30颁发用户终端证书和用户终端私钥;
S102、用户终端30接入到提供文档访问服务的文档服务器20,基于用户终端30、文档服务器20和身份验证服务器10持有的证书和对应的私钥进行身份信息验证,使用户终端30和文档服务器20完成相互、双向的身份验证,以及完成用户终端30和文档服务器20间用于文档传送时保密的数据密钥的同步;
S103、完成相互、双向身份验证的用户终端30和文档服务器20利用所述数据密钥进行文档的保密传输。
其中,在步骤S101中,实现的是由身份验证服务器10对用户终端30和文档服务器20进行注册和颁发数字证书的过程。身份验证服务器10本地持有一个身份验证服务器证书,身份验证服务器证书的私钥用于对颁发文档服务器20、用户终端30的证书进行签名,并维护证书的有效性等相关信息。当一个文档服务器20接入到系统中时,需要向身份验证服务器10申请颁发一个文档服务器证书和对应的私钥,并且在本地缓存身份验证服务器证书。用户终端30接入到文档服务器系统中时,同样需要身份验证服务器10颁发一个用户终端证书和对应的私钥,并在本地缓存身份验证服务器证书。文档服务器20和用户终端30使用证书代表各自的身份。而身份验证服务器10的注册模块13负责对用户终端30和文档服务器20进行注册,发放证书和私钥。身份验证服务器的证书和私钥、文档服务器和用户终端的注册信息等存储在第一存储模块12中。
在步骤S102中,主要是完成用户终端接入到提供文档访问服务的文档服务器的过程,以实现用户终端和文档服务器完成相互、双向的身份验证,以及完成用户终端和文档服务器间用于文档传送时保密的数据密钥的同步;具体包括:
S1021:用户终端30向文档服务器20发送主要由所述用户终端证书构建的并经过用户终端私钥签名的接入请求消息;
在该步骤中,用户终端30开始接入到文档服务器系统时,由第二接入处理模块31产生一个用户终端随机数,将用户终端信息,用户终端证书和用户终端随机数等字段组成接入请求消息,并使用用户终端私钥对消息进行签名后发送接入请求消息给需要提供文档访问服务的文档服务器20。
S1022:文档服务器20接收所述接入请求消息并对所述接入请求消息进行解析和验证;验证通过后,向所述身份验证服务器10发送主要由所述用户终端证书、文档服务器证书构建的并经过文档服务器私钥签名的身份验证请求消息;
在该步骤中,具体地,当文档服务器20的第一接入处理模块21接收到第二接入处理模块31发送接入请求消息后,进行如下处理:
a)文档服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证,具体包括:使用用户终端证书公钥验证消息签名的有效性;从第二存储模块22中读取身份验证服务器证书,使用身份验证服务器的证书公钥验证用户终端证书签名的有效性,若验证失败,则接入过程失败,否则执行b);
b)若验证通过,并确定用户终端信息有效,则在第二存储模块22中保存用户终端随机数和产生的文档服务器随机数;然后向所述身份验证服务器10发送主要由所述用户终端证书、文档服务器证书、用户终端随机数和文档服务器随机数构建的并经过文档服务器私钥签名的身份验证请求消息。
S1023:身份验证服务器10接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证;验证通过后获得证书验证结果,并向所述文档服务器20发送主要由所述证书验证结果、用户终端证书和文档服务器证书中提取出的身份信息构建的并经过身份验证服务器私钥签名的身份验证响应消息;
在该步骤中,具体地,身份验证服务器10的身份验证模块11收到文档服务器20发来的身份验证请求消息后,进行如下处理:
a)身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证,具体包括:使用文档服务器证书公钥验证消息签名的有效性;从第一存储模块12中读取身份验证服务器私钥,使用身份验证服务器私钥验证文档服务器证书和用户终端证书签名的有效性;以及通过验证文档服务器和用户终端证书的有效期、吊销信息、使用用途和策略信息以判断文档服务器和用户终端证书的有效性;
b)若验证通过,则构造文档服务器和用户终端的证书验证结果,并向所述文档服务器发送主要由所述证书验证结果、用户终端和文档服务器身份从证书中提取出的证书持有者,证书颁发者,证书序列号等的组合信息)、用户终端随机数和文档服务器随机数构建的并经过身份验证服务器私钥签名的身份验证响应消息。
S1024:文档服务器20接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证;验证通过后,将预先产生的身份验证密钥进行加密,并绑定到身份验证密钥信息中;然后向所述用户终端30发送主要由身份验证响应消息、文档服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过文档服务器私钥签名的接入响应消息;
在该步骤中,文档服务器20的第一接入处理模块21收到身份验证服务器10的身份验证响应消息后,进行如下处理:
a)文档服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证,具体包括:从第二存储模块22中读取身份验证服务器证书,使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;判断身份验证服务器和用户终端的证书验证结果是否有效;读取第二存储模块22中的文档服务器、用户终端的随机数和身份验证响应消息中的随机数进行对比,确定一致;判断文档服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行b);
b)验证通过后,根据文档服务器预先产生的身份验证密钥,使用用户终端证书公钥对身份验证密钥进行加密,同时将密钥绑定到身份验证密钥信息中,身份验证密钥信息包含身份验证密钥的索引等信息;然后向所述用户终端发送主要由身份验证响应消息、文档服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过文档服务器私钥签名的接入响应消息。
S1025:用户终端30接收所述接入响应消息并对所述接入响应消息进行解析和验证;验证通过后,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥;然后向所述文档服务器20发送主要由用户终端身份、文档服务器身份和身份验证密钥信息构建的接入确认消息;
在该步骤中,用户终端30的第二接入处理模块31收到接入响应消息后,进行如下处理:
a)用户终端30接收所述接入响应消息并对所述接入响应消息进行解析和验证,具体包括:从第三存储模块32中读取身份验证服务器证书,使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;使用文档服务器证书公钥判断接入响应消息签名的有效性;判断文档服务器和用户终端的证书验证结果是否有效;读取从第三存储模块32中的用户终端随机数和接入响应消息中的随机数进行对比,确定一致;判断文档服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行b);
b)验证通过后,从第三存储模块32中读取用户终端私钥,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥,且在第三存储模块32中存储所述身份验证密钥信息和数据密钥;然后向所述文档服务器20发送主要由用户终端身份、文档服务器身份、身份验证密钥信息、用户终端随机数和文档服务器随机数构建的接入确认消息,并使用身份验证密钥计算得到消息鉴别码附在接入确认消息后。
S1026:文档服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证;验证通过后,利用身份验证密钥推导出数据密钥。
在该步骤中,文档服务器20的第一接入处理模块21收到用户终端30的接入确认消息后,进行如下处理:
a)文档服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证,具体包括:计算接入确认消息的消息鉴别码,比较本地计算和接收到的消息鉴别码,判断是否一致;读取第二存储模块22存储的用户终端随机数和文档服务器随机数,和接入确认消息中的随机数进行对比,确定一致;判断文档服务器和用户终端身份是否相同;判断身份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同;如以上任一项验证未通过,则接入过程失败,否则执行b);
b)验证通过后,利用身份验证密钥推导出数据密钥并存储到第二存储模块22中。
至此,用户终端30成功接入至文档服务器20,完成了双向、相互的身份验证,同时完成用户终端30和文档服务器20间用于文档传送时保密的数据密钥的同步。
文档服务器20和用户终端30完成双向相互的身份验证和数据密钥同步后,即可进行文档的保密传输,即进行步骤S103,在该步骤中,具体地,例如:
用户终端30如需下载文档,则构造文档下载请求消息,由第二数据传输模块33发送该文档下载请求消息给文档服务器20。文档服务器的第一数据传输模块23收到用户终端30的文档下载请求消息后,则读取第二存储模块22中的数据密钥对请求的文档数据进行加密,然后将文档数据密文通过第一数据传输模块23发送至用户终端30,而用户终端30的第二数据传输模块33收到文档数据密文后,读取第三存储模块32的数据密钥,对文档数据密文进行解密,得到可使用的文档数据明文。
用户终端30如需上传文档,则读取第三存储模块32的数据密钥,加密文档数据,并构造文档上传请求消息(消息中携带文档数据密文),由第二数据传输模块33发送该文档上传请求消息给文档服务器20。文档服务器20的第一数据传输模块23收到用户终端30的文档上传请求消息后,则读取第二存储模块22中的数据密钥对文档数据进行解密,并将解密后的文档存储于第二存储模块22中。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种基于数字证书的文档服务器访问方法,其特征在于包括步骤:
A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向文档服务器颁发文档服务器证书和文档服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;
B、用户终端接入到提供文档访问服务的文档服务器,基于用户终端、文档服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和文档服务器完成相互、双向的身份验证,以及完成用户终端和文档服务器间用于文档传送时保密的数据密钥的同步;
C、完成相互、双向身份验证的用户终端和文档服务器利用所述数据密钥进行文档的保密传输。
2.如权利要求1所述的文档服务器访问方法,其特征在于,所述步骤B具体包括:
B1、用户终端向文档服务器发送主要由所述用户终端证书构建的并经过用户终端私钥签名的接入请求消息;
B2、文档服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证;验证通过后,向所述身份验证服务器发送主要由所述用户终端证书、文档服务器证书构建的并经过文档服务器私钥签名的身份验证请求消息;
B3、身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证;验证通过后获得证书验证结果,并向所述文档服务器发送主要由所述证书验证结果、用户终端证书和文档服务器证书中提取出的身份信息构建的并经过身份验证服务器私钥签名的身份验证响应消息;
B4、文档服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证;验证通过后,将预先产生的身份验证密钥进行加密,并绑定到身份验证密钥信息中;然后向所述用户终端发送主要由身份验证响应消息、文档服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过文档服务器私钥签名的接入响应消息;
B5、用户终端接收所述接入响应消息并对所述接入响应消息进行解析和验证;验证通过后,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥;然后向所述文档服务器发送主要由用户终端身份、文档服务器身份和身份验证密钥信息构建的接入确认消息;
B6、文档服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证;验证通过后,利用身份验证密钥推导出数据密钥。
3.如权利要求2所述的文档服务器访问方法,其特征在于:
所述接入请求消息主要由用户终端产生的用户终端随机数、用户终端信息和用户终端证书组成;
所述身份验证请求消息主要由所述用户终端证书、文档服务器证书、用户终端随机数和文档服务器产生的文档服务器随机数组成;
所述身份验证响应消息主要由所述证书验证结果、用户终端证书和文档服务器证书中提取出的身份信息、用户终端随机数和文档服务器随机数组成;
所述接入响应消息主要由所述身份验证响应消息、文档服务器证书、身份验证密钥密文和身份验证密钥信息组成;
所述接入确认消息主要由用户终端身份、文档服务器身份和身份验证密钥信息、用户终端随机数和文档服务器随机数组成。
4.如权利要求3所述的文档服务器访问方法,其特征在于,所述用户终端和文档服务器在本地均缓存有身份验证服务器证书,所述步骤B2具体包括:
B21、文档服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证,具体包括:使用用户终端证书公钥验证消息签名的有效性以及使用身份验证服务器的证书公钥验证用户终端证书签名的有效性,若验证失败,则接入过程失败,否则执行B22;
B22、若验证通过,并确定用户终端信息有效,则保存用户终端随机数和产生的文档服务器随机数;并向所述身份验证服务器发送主要由所述用户终端证书、文档服务器证书、用户终端随机数和文档服务器随机数构建的并经过文档服务器私钥签名的身份验证请求消息。
5.如权利要求4所述的文档服务器访问方法,其特征在于,所述步骤B3具体包括:
B31、身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证,具体包括:使用文档服务器证书公钥验证消息签名的有效性、使用身份验证服务器私钥验证文档服务器证书和用户终端证书签名的有效性以及通过验证文档服务器和用户终端证书的有效期、吊销信息、使用用途和策略信息以判断文档服务器和用户终端证书的有效性;
B32、若验证通过,则构造文档服务器和用户终端的证书验证结果,并向所述文档服务器发送主要由所述证书验证结果、用户终端身份、文档服务器身份、用户终端随机数和文档服务器随机数构建的并经过身份验证服务器私钥签名的身份验证响应消息。
6.如权利要求5所述的文档服务器访问方法,其特征在于,所述步骤B4具体包括:
B41、文档服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证,具体包括:使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;判断身份验证服务器和用户终端的证书验证结果是否有效;读取存储的文档服务器、用户终端随机数和身份验证响应消息中的随机数进行对比,确定一致;判断文档服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行B42;
B42、验证通过后,根据文档服务器预先产生的身份验证密钥,使用用户终端证书公钥对身份验证密钥进行加密,同时将密钥绑定到身份验证密钥信息中,身份验证密钥信息包含身份验证密钥的索引等信息;然后向所述用户终端发送主要由身份验证响应消息、文档服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过文档服务器私钥签名的接入响应消息。
7.如权利要求6所述的文档服务器访问方法,其特征在于,所述步骤B5具体包括:
B51、用户终端接收所述接入响应消息并对所述接入响应消息进行解析和验证,具体包括:使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;使用文档服务器证书公钥判断接入响应消息签名的有效性;判断文档服务器和用户终端的证书验证结果是否有效;读取存储的用户终端随机数和接入响应消息中的随机数进行对比,确定一致;判断文档服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行B52;
B52、验证通过后,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥,且存储所述身份验证密钥信息和数据密钥;然后向所述文档服务器发送主要由用户终端身份、文档服务器身份、身份验证密钥信息、用户终端随机数和文档服务器随机数构建的并附有由消息身份验证密钥计算得到的消息鉴别码的接入确认消息。
8.如权利要求7所述的文档服务器访问方法,其特征在于,所述步骤B6具体包括:
B61、文档服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证,具体包括:计算接入确认消息的消息鉴别码,比较本地计算和接收到的消息鉴别码,判断是否一致;读取存储的用户终端随机数和文档服务器随机数,和接入确认消息中的随机数进行对比,确定一致;判断文档服务器和用户终端身份是否相同;判断身份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同;如以上任一项验证未通过,则接入过程失败,否则执行B62;
B62、验证通过后,利用身份验证密钥推导出数据密钥并存储。
9.如权利要求1所述的文档服务器访问方法,其特征在于,所述步骤C具体包括:
C1、用户终端如需下载文档,则向所述文档服务器发送文档下载请求消息;所述文档服务器接收到所述文档下载请求消息后,利用存储的数据密钥对请求的文档数据进行加密,然后将文档数据密文发送至用户终端,而用户终端接收到所述文档数据密文后,利用存储的数据密钥对所述文档数据密文进行解密,得到可使用的文档数据明文;
C2、用户终端如需上传文档,则利用存储的数据密钥加密文档数据,并构造文档上传请求消息发送给所述文档服务器;所述文档服务器接收到所述文档上传请求消息后,则利用存储的数据密钥对文档数据进行解密,并将解密后的文档存储。
10.一种基于数字证书的文档服务器访问系统,其特征在于包括利用网络连接进行相互通信的身份验证服务器、提供文档访问服务的文档服务器和用户终端;其中,所述身份验证服务器持有身份验证服务器证书和身份验证服务器私钥,并向文档服务器颁发文档服务器证书和文档服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;所述用户终端接入到文档服务器时,基于用户终端、文档服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和文档服务器完成相互、双向的身份验证,以及完成用户终端和文档服务器间用于文档传送时保密的数据密钥的同步;而完成相互、双向身份验证的用户终端和文档服务器利用所述数据密钥进行文档的保密传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104197405A CN102523214A (zh) | 2011-12-14 | 2011-12-14 | 基于数字证书的文档服务器访问方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104197405A CN102523214A (zh) | 2011-12-14 | 2011-12-14 | 基于数字证书的文档服务器访问方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102523214A true CN102523214A (zh) | 2012-06-27 |
Family
ID=46294006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011104197405A Pending CN102523214A (zh) | 2011-12-14 | 2011-12-14 | 基于数字证书的文档服务器访问方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102523214A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220295A (zh) * | 2013-04-26 | 2013-07-24 | 福建伊时代信息科技股份有限公司 | 一种文档加密及解密的方法、装置和系统 |
CN106203054A (zh) * | 2015-05-28 | 2016-12-07 | 株式会社理光 | 信息处理系统、信息处理装置和电子证书管理方法 |
CN106575341A (zh) * | 2014-08-12 | 2017-04-19 | 惠普发展公司,有限责任合伙企业 | 复合文档访问 |
CN109995737A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 去中心化的数字证书管理方法及装置、节点、系统 |
CN110071901A (zh) * | 2018-01-23 | 2019-07-30 | 西门子(中国)有限公司 | 物联网设备的注册方法、装置、系统和存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101547097A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的数字媒体管理系统及管理方法 |
-
2011
- 2011-12-14 CN CN2011104197405A patent/CN102523214A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101547097A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的数字媒体管理系统及管理方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220295A (zh) * | 2013-04-26 | 2013-07-24 | 福建伊时代信息科技股份有限公司 | 一种文档加密及解密的方法、装置和系统 |
CN106575341A (zh) * | 2014-08-12 | 2017-04-19 | 惠普发展公司,有限责任合伙企业 | 复合文档访问 |
CN106575341B (zh) * | 2014-08-12 | 2021-01-01 | 惠普发展公司,有限责任合伙企业 | 复合文档访问 |
CN106203054A (zh) * | 2015-05-28 | 2016-12-07 | 株式会社理光 | 信息处理系统、信息处理装置和电子证书管理方法 |
CN106203054B (zh) * | 2015-05-28 | 2019-08-02 | 株式会社理光 | 信息处理系统、信息处理装置和电子证书管理方法 |
CN109995737A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 去中心化的数字证书管理方法及装置、节点、系统 |
CN109995737B (zh) * | 2018-01-02 | 2021-08-10 | 中国移动通信有限公司研究院 | 去中心化的数字证书管理方法及装置、节点、系统 |
CN110071901A (zh) * | 2018-01-23 | 2019-07-30 | 西门子(中国)有限公司 | 物联网设备的注册方法、装置、系统和存储介质 |
CN110071901B (zh) * | 2018-01-23 | 2022-03-22 | 西门子(中国)有限公司 | 物联网设备的注册方法、装置、系统和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102497581B (zh) | 基于数字证书的视频监控数据传输方法和系统 | |
CN101340437B (zh) | 时间源校正方法及其系统 | |
CN101783800B (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
CN106576043A (zh) | 病毒式可分配可信消息传送 | |
CN103685323A (zh) | 一种基于智能云电视网关的智能家居安全组网实现方法 | |
CN100421372C (zh) | 一种安全发送传输密钥的方法 | |
CN101777978A (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
CN102238191A (zh) | 一种法院电子文书送达服务器端、客户端、系统及方法 | |
CN104662941A (zh) | 密钥使用的支持 | |
CN105656920A (zh) | 一种基于快递的寄件数据的加解密方法及系统 | |
CN103580868A (zh) | 一种电子公文安全传输系统的安全传输方法 | |
CN109905371A (zh) | 双向加密认证系统及其应用方法 | |
CN105554760A (zh) | 无线接入点认证方法、装置及系统 | |
CN113079215B (zh) | 一种基于区块链的配电物联网无线安全接入方法 | |
CN102523214A (zh) | 基于数字证书的文档服务器访问方法和系统 | |
CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
CN104202170A (zh) | 一种基于标识的身份认证系统和方法 | |
CN103973714A (zh) | 电子邮件账户生成方法及系统 | |
CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
CN104702408A (zh) | 基于iBeacon的连接认证方法及其系统 | |
CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
CN102938762B (zh) | 一种基于移动终端的文件安全管理系统 | |
CN102811210B (zh) | 一种基于ws协议的信息卡认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120627 |