CN105099679B - 一种应用数字证书认证用户身份的方法及装置 - Google Patents
一种应用数字证书认证用户身份的方法及装置 Download PDFInfo
- Publication number
- CN105099679B CN105099679B CN201410186551.1A CN201410186551A CN105099679B CN 105099679 B CN105099679 B CN 105099679B CN 201410186551 A CN201410186551 A CN 201410186551A CN 105099679 B CN105099679 B CN 105099679B
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- attribute information
- customer attribute
- user
- user identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种应用数字证书认证用户身份的方法及装置,涉及信息安全技术领域,应用于客户端,该方法包括:获得用户的数字证书;向服务器端发送验证请求,其中,所述验证请求中,至少携带所述数字证书;接收服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由服务器端根据验证请求确定;根据验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份。应用本发明实施例提供的方法认证用户身份时,可以通过服务器端记录的一个或多个与用户的数字证书绑定的用户属性信息认证用户身份,方便了用户使用数字证书。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种应用数字证书认证用户身份的方法及装置。
背景技术
随着信息安全技术的普及,数字签名技术被越来越多用户认可。实际应用中,与基于用户名和密码的认证方式相比,数字签名技术具有不可篡改、不可抵赖、不可复制等优点,在网络信息安全领域得到了广泛的应用。
数字证书是数字签名技术的一种具体应用,数字证书是由第三方CA(CertificateAuthority,证书授权)机构签发的,其中包含了第三方CA机构的签名和用户身份信息等,其中,用户身份信息可以是用户身份证号码、电子邮箱地址、电话号码等等。数字证书一旦签发完成,其中所包含的内容将不可更改,即数字证书的应用环境受数字证书中包含的用户身份信息等的限制。
假设,某一数字证书中包含的用户身份信息仅仅为用户身份证号码,则该数字证书只能应用在需通过用户身份证号码认证用户身份的系统中,若用户欲在需通过用户的电话号码认证用户身份的系统中使用数字证书认证时,只能再申请新的包含用户电话号码的数字证书才能实现。
可见,应用现有技术,通过数字证书认证用户身份时,由于数字证书签发后所包含的信息不可更改,因此,其应用环境受数字证书所包含的用户属性信息的限制,不便于用户使用数字证书。
发明内容
本发明实施例公开了一种应用数字证书认证用户身份的方法及装置,以使得用户使用数字证书认证用户身份时不受数字证书中包含的用户身份信息的限制,便于用户使用数字证书。
为达到上述目的,本发明实施例公开了一种应用数字证书认证用户身份的方法,应用于客户端,所述方法包括:
获得用户的数字证书;
向服务器端发送验证请求,其中,所述验证请求中,至少携带所述数字证书;
接收所述服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,所述针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由所述服务器端根据所述验证请求确定;
根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份。
较佳的,在所述根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份之前,还包括:
判断所述与所述数字证书绑定的用户属性信息是否为空;
若为是,为用户提供初始认证方式,并根据所述初始认证方式对应的用户登录信息认证用户身份;
否则,进一步根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份。
较佳的,在所述为用户提供初始认证方式,并根据所述初始认证方式对应的用户登录信息认证用户身份成功之后,还包括:
获得待绑定的用户属性信息;
向所述服务器端发送用户属性信息绑定请求,其中,所述用户属性信息绑定请求中,至少携带所述数字证书和所述待绑定用户属性信息。
较佳的,所述接收所述服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,所述针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由所述服务器端根据所述验证请求确定,包括:
接收所述服务器端根据所述验证请求发送的针对所述数字证书的验证结果;
在所述验证结果表明所述数字证书有效的情况下,向所述服务器端发送用户属性信息查询请求;
接收所述服务器端根据所述用户属性信息查询请求发送的与所述数字证书绑定的用户属性信息。
较佳的,所述在所述验证结果表明所述数字证书有效的情况下,向所述服务器端发送用户属性信息查询请求,包括:
在所述验证结果表明所述数字证书有效的情况下,应用所述数字证书认证用户身份;
若认证用户身份失败,向所述服务器端发送用户属性信息查询请求。
较佳的,所述获得用户的数字证书,包括:
通过双向SSL机制或用户数字证书签名机制获得用户的数字证书。
较佳的,在根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份成功之后,还包括:
向所述服务器端发送用户属性信息更新请求,其中,所述更新请求中,携带所述数字证书、待更新的用户属性信息和更新操作的标识,所述更新操作,包括:绑定待更新的用户属性信息、解除绑定待更新的用户属性信息和修改待更新的用户属性信息。
为达到上述目的,本发明实施例公开了一种应用数字证书认证用户身份的装置,应用于客户端,所述装置包括:
数字证书获得模块,用于获得用户的数字证书;
验证请求发送模块,用于向服务器端发送验证请求,其中,所述验证请求中,至少携带所述数字证书;
信息接收模块,用于接收所述服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,所述针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由所述服务器端根据所述验证请求确定;
第一身份认证模块,用于根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份。
较佳的,所述应用数字证书认证用户身份的装置还包括:用户属性信息判断模块和第二身份认证模块;
所述用户属性信息判断模块,用于判断所述与所述数字证书绑定的用户属性信息是否为空,若为是,触发所述第二身份认证模块,认证用户身份,若为否,触发所述第一身份认证模块,认证用户身份;
所述第二身份认证模块,用于为用户提供初始认证方式,并根据所述初始认证方式对应的用户登录信息认证用户身份。
较佳的,所述应用数字证书认证用户身份的装置还包括:
用户属性信息获得模块,用于在所述第二身份认证模块认证用户身份成功之后,获得待绑定的用户属性信息;
绑定请求发送模块,用于向所述服务器端发送用户属性信息绑定请求,其中,所述用户属性信息绑定请求中,至少携带所述数字证书和所述待绑定用户属性信息。
较佳的,所述信息接收模块,包括:
验证结果接收子模块,用于接收所述服务器端根据所述验证请求发送的针对所述数字证书的验证结果;
查询请求发送子模块,用于在所述验证结果表明所述数字证书有效的情况下,向所述服务器端发送用户属性信息查询请求;
用户属性信息接收子模块,用于接收所述服务器端根据所述用户属性信息查询请求发送的与所述数字证书绑定的用户属性信息。
较佳的,所述查询请求发送子模块,包括:
身份认证单元,用于在所述验证结果表明所述数字证书有效的情况下,应用所述数字证书认证用户身份;
查询请求发送单元,用于在所述身份认证单元认证用户身份失败的情况下,向所述服务器端发送用户属性信息查询请求。
较佳的,所述数字证书获得模块,具体用于通过双向SSL机制或用户数字证书签名机制获得用户的数字证书。
较佳的,所述应用数字证书认证用户身份的装置还包括:
更新请求发送模块,用于在所述第一身份认证模块认证用户身份成功之后,向所述服务器端发送用户属性信息更新请求,其中,所述更新请求中,携带所述数字证书、待更新的用户属性信息和更新操作的标识,所述更新操作,包括:绑定待更新的用户属性信息、解除绑定待更新的用户属性信息和修改待更新的用户属性信息。
由以上可见,本发明实施例提供的方案中,通过用户的数字证书和与该用户的数字证书绑定的用户属性信息,认证用户身份,因此,应用本发明实施例提供的方法认证用户身份时,不再受限于数字证书签发时所包含的用户身份信息,除了可以通过数字证书认证,还可以通过服务器端记录的一个或多个与用户的数字证书绑定的用户属性信息认证用户身份,方便了用户使用数字证书。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的应用数字证书认证用户身份的方法的信令流程示意图;
图2为本发明实施例提供的应用数字证书认证用户身份的方法的第一种流程示意图;
图3为本发明实施例提供的应用数字证书认证用户身份的方法的第二种流程示意图;
图4为本发明实施例提供的应用数字证书认证用户身份的方法的第三种流程示意图;
图5为本发明实施例提供的一种接收服务器端发送的针对数字证书的验证结果和与数字证书绑定的用户属性信息的方法流程示意图;
图6为本发明实施例提供的应用数字证书认证用户身份的装置的第一种结构示意图;
图7为本发明实施例提供的应用数字证书认证用户身份的装置的第二种结构示意图;
图8为本发明实施例提供的应用数字证书认证用户身份的装置的第三种结构示意图;
图9为本发明实施例提供的一种信息接收模块的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种应用数字证书认证用户身份的方法,应用该方法认证用户身份时,涉及用户、客户端和服务器端三者之间的交互,具体的,参见图1,提供了用户、客户端和服务器端三者之间交互的信令流程示意图。实际应用中,用户欲访问客户端时,需先通过用户设备将用户的数字证书发送至客户端(S101),客户端接收到用户的数字证书后,根据具体应用情况向服务器端发送携带用户数字证书的验证请求(S102),服务器端接收到该验证请求后,首先验证用户的数字证书是否有效(S103),在验证得知该数字证书有效的情况,可进一步获得该数字证书绑定的用户属性信息(S104),之后,服务器端将包含验证结果和用户的数字证书绑定的用户属性信息发送给客户端(S105),以便于客户端根据所接收的信息进行身份认证(S106)。
下面通过具体的实施例对本发明进行详细介绍。
图2为本发明实施例提供的应用数字证书认证用户身份的方法的第一种流程示意图,该方法应用于客户端,包括:
S201:获得用户的数字证书。
实际应用中,用户可以通过点击客户端的按钮等形式向客户端发送访问请求,客户端在接收到该访问请求后,为用户提供客户端登录页面,用户通过该登录页面向客户端发送数字证书。
具体的,客户端获得用户的数字证书,可以通过双向SSL(Secure Sockets Layer,安全套接层)机制获得数字证书,也可以通过用户数字证书签名机制获得数字证书。当然,本申请只是以此为例进行说明,实际应用中获得用户数字证书的方式不仅限于此,例如,还可以通过单向SSL机制结合用户数字证书签名的方式,获得数字证书等等。
S202:向服务器端发送验证请求。
其中,验证请求中,至少携带用户的数字证书。本申请并不对验证请求中携带的信息进行限定,实际应用中,该验证请求中还可以携带客户端的标识等信息。
S203:接收服务器端发送的针对数字证书的验证结果和与数字证书绑定的用户属性信息。
上述的针对数字证书的验证结果和与数字证书绑定的用户属性信息,由服务器端根据验证请求确定。
具体的,客户端所接收的针对数字证书的验证结果和与数字证书绑定的用户属性信息,可以是由服务器端一次性发送给客户端的,也可以是服务器端先发送针对数字证书的验证结果,再根据实际应用情况,发送与该数字证书绑定的用户属性信息。
其中,由服务器端一次性发送针对数字证书的验证结果和与数字证书绑定的用户属性信息时,服务器端接收到验证请求后,先对该验证请求进行解析,获得其中携带的数字证书,再对该数字证书进行验证,验证该数字证书是否有效,可以通过验证数字证书的签名、有效期、CRL(Certificate Revocation List,证书吊销列表)等信息进行,例如,判断当前日期是否在数字证书的有效期内等,当验证得知数字证书有效后,查询与该数字证书绑定的用户属性信息,由于数字证书的指纹具有唯一性,所以可以利用数字证书的指纹信息查询与该数字证书绑定的用户属性信息,当然,查询与该数字证书绑定的用户属性信息时,所利用的信息并不仅限于数字证书的指纹信息。
服务器端按照上述步骤获得针对数字证书的验证结果和与数字证书绑定的用户属性信息的过程中,若经验证该数字证书无效,此时,无需再查询与该数字证书绑定的用户属性信息,可将该信息设置为空;另外,若经验证该数字证书有效,但是,经查询得知,该数字证书未绑定用户属性信息,此时,也可以将该信息设置为空。
服务器端先发送针对数字证书的验证结果,之后再发送与数字证书绑定的用户属性信息的一种具体情况,可参见图5所示实施例,这里不再详述。
S204:根据验证结果,利用数字证书和与数字证书绑定的用户属性信息,认证用户身份。
在认证用户身份时,可以先利用数字证书进行认证,若利用数字证书认证用户身份失败,再利用与该数字证书绑定的用户属性信息进行认证。当然也可以根据其他顺序进行认证,本申请并不对此进行限定。
另外,客户端所接收到的与数字证书绑定的用户属性信息可以是一个也可以是多个,当接收到多个与数字证书绑定的用户属性信息时,可以根据预设的顺序,利用用户属性信息认证用户身份。
在本发明的一个较佳实施例中,在根据验证结果,利用数字证书和与数字证书绑定的用户属性信息,认证用户身份成功之后,还可以向服务器端发送用户属性信息更新请求。
更新请求中,可以携带数字证书、待更新的用户属性信息和更新操作的标识等等,其中,更新操作可以包括:绑定待更新的用户属性信息、解除绑定待更新的用户属性信息和修改待更新的用户属性信息等等。
由以上可见,本实施例提供的方案中,通过用户的数字证书和与该用户的数字证书绑定的用户属性信息,认证用户身份,因此,应用本发明实施例提供的方法认证用户身份时,不再受限于数字证书签发时所包含的用户身份信息,除了可以通过数字证书认证,还可以通过服务器端记录的一个或多个与用户的数字证书绑定的用户属性信息认证用户身份,方便了用户使用数字证书。
在本发明的一个具体实施例中,参见图3,提供了应用数字证书认证用户身份的方法的第二种流程示意图,与图2所示实施例相比,该方法还包括:
S205:判断与数字证书绑定的用户属性信息是否为空,若为是,执行S206,否则,执行S204。
S206:为用户提供初始认证方式,并根据初始认证方式对应的用户登录信息认证用户身份。
实际应用中,本发明实施例提供的方法可以应用在对老旧系统的改造中,而这些老旧系统中一般未采用数字证书认证用户身份,因此,初始认证方式通常为非数字证书认证方式,例如,用户名和口令认证方式等等。
需要说明的是,实际应用中也可以将数字证书认证作为初始认证方式,此时,若该数字证书未绑定用户属性信息,则只能通过数字证书认证用户身份。
另外,在本发明的一个较佳实施例中,在为用户提供初始认证方式之前,还可以先通过数字证书认证用户身份,若通过数字证书认证用户身份失败,则进一步为用户提供初始认证方式,并通过初始认证方式认证用户身份。
由以上可见,本实施例提供的方案中,在数字证书未绑定用户属性信息时,采用初始认证方式认证用户身份,为用户登录客户端提供了多种方式,提高了用户体验效果。
在本发明的一个具体实施例中,参见图4,提供了应用数字证书认证用户身份的方法的第三种流程示意图,与图3所示实施例相比,该方法还包括:
S207:判断用户身份认证是否成功,若为是,执行S208,否则,执行S210。
S208:获得待绑定的用户属性信息。
具体的,客户端可以获得一个或多个待绑定的用户属性信息。
S209:向服务器端发送用户属性信息绑定请求。
其中,用户属性信息绑定请求中,至少携带数字证书和待绑定用户属性信息。本申请并不对用户属性信息绑定请求中携带的信息进行限定,实际应用中可以根据具体情况进行确定,例如,该请求中还可以携带客户端的标识等信息。
S210:提示用户身份认证失败。
由以上可见,本实施例提供的方案中,提供了一种为数字证书绑定用户属性信息的方法,便于用户为其所持有的数字证书绑定用户属性信息,提高了用户体验效果。
在本发明的一个具体实施例中,参见图5,提供了一种接收服务器端发送的针对数字证书的验证结果和与数字证书绑定的用户属性信息的方法流程示意图,该方法包括:
S203A:接收服务器端根据验证请求发送的针对数字证书的验证结果。
S203B:在验证结果表明数字证书有效的情况下,向服务器端发送用户属性信息查询请求。
其中,用户属性信息查询请求中,可以携带客户端标识、数字证书等信息,本申请并不对该查询请求中携带的信息进行限定,实际应用中,可以根据具体情况确定。
具体的,在验证结果表明数字证书有效的情况下,向服务器端发送用户属性信息查询请求时,可以先应用数字证书认证用户身份,若认证用户身份失败,再向服务器端发送用户属性信息查询请求。
S203C:接收服务器端根据用户属性信息查询请求发送的与数字证书绑定的用户属性信息。
由以上可见,本实施例提供的方案中,在应用数字证书验证用户身份失败的情况下,才向服务器端发送用户属性信息查询请求,一定程度上可加快认证用户身份的速度,提高用户体验效果。
图6为本发明实施例提供的应用数字证书认证用户身份的装置的第一种结构示意图,该装置应用于客户端,包括:数字证书获得模块601、验证请求发送模块602、信息接收模块603和第一身份认证模块604。
其中,数字证书获得模块601,用于获得用户的数字证书;
验证请求发送模块602,用于向服务器端发送验证请求,其中,所述验证请求中,至少携带所述数字证书;
信息接收模块603,用于接收所述服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,所述针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由所述服务器端根据所述验证请求确定;
第一身份认证模块604,用于根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份。
由以上可见,本实施例提供的方案中,通过用户的数字证书和与该用户的数字证书绑定的用户属性信息,认证用户身份,因此,应用本发明实施例提供的方法认证用户身份时,不再受限于数字证书签发时所包含的用户身份信息,除了可以通过数字证书认证,还可以通过服务器端记录的一个或多个与用户的数字证书绑定的用户属性信息认证用户身份,方便了用户使用数字证书。
在本发明的一个具体实施例中,参见图7,提供了应用数字证书认证用户身份的装置的第二种结构示意图,与图6所示实施例相比,该装置还包括:用户属性信息判断模块605和第二身份认证模块606。
其中,用户属性信息判断模块605,用于判断所述与所述数字证书绑定的用户属性信息是否为空,若为是,触发所述第二身份认证模块606,认证用户身份,若为否,触发所述第一身份认证模块604,认证用户身份;
第二身份认证模块606,用于为用户提供初始认证方式,并根据所述初始认证方式对应的用户登录信息认证用户身份。
由以上可见,本实施例提供的方案中,在数字证书未绑定用户属性信息时,采用初始认证方式认证用户身份,为用户登录客户端提供了多种方式,提高了用户体验效果。
在本发明的一个具体实施例中,参见图8,提供了应用数字证书认证用户身份的装置的第三种结构示意图,与图7所示实施例相比,该装置还包括:用户属性信息获得模块607和绑定请求发送模块608。
其中,用户属性信息获得模块607,用于在所述第二身份认证模块认证用户身份成功之后,获得待绑定的用户属性信息;
绑定请求发送模块608,用于向所述服务器端发送用户属性信息绑定请求,其中,所述用户属性信息绑定请求中,至少携带所述数字证书和所述待绑定用户属性信息。
由以上可见,本实施例提供的方案中,提供了一种为数字证书绑定用户属性信息的方法,便于用户为其所持有的数字证书绑定用户属性信息,提高了用户体验效果
在本发明的一个具体实施例中,参见图9,提供了信息接收模块603的一种具体结构示意图,该模块包括:验证结果接收子模块6031、查询请求发送子模块6032和用户属性信息接收子模块6033。
其中,验证结果接收子模块6031,用于接收所述服务器端根据所述验证请求发送的针对所述数字证书的验证结果;
查询请求发送子模块6032,用于在所述验证结果表明所述数字证书有效的情况下,向所述服务器端发送用户属性信息查询请求;
用户属性信息接收子模块6033,用于接收所述服务器端根据所述用户属性信息查询请求发送的与所述数字证书绑定的用户属性信息。
具体的,查询请求发送子模块6032,可以包括:身份认证单元、查询请求发送单元(图中未示出)。
其中,身份认证单元,用于在所述验证结果表明所述数字证书有效的情况下,应用所述数字证书认证用户身份;查询请求发送单元,用于在所述身份认证单元认证用户身份失败的情况下,向所述服务器端发送用户属性信息查询请求。
具体的,数字证书获得模块601,具体用于通过双向SSL机制或用户数字证书签名机制获得用户的数字证书。
在本发明的一个具体实施例中,该装置还可以包括:更新请求发送模块(图中未示出)。
其中,更新请求发送模块,用于在所述第一身份认证模块认证用户身份成功之后,向所述服务器端发送用户属性信息更新请求,其中,所述更新请求中,携带所述数字证书、待更新的用户属性信息和更新操作的标识,所述更新操作,包括:绑定待更新的用户属性信息、解除绑定待更新的用户属性信息和修改待更新的用户属性信息。
由以上可见,本实施例提供的方案中,在应用数字证书验证用户身份失败的情况下,才向服务器端发送用户属性信息查询请求,一定程度上可加快认证用户身份的速度,提高用户体验效果。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种应用数字证书认证用户身份的方法,应用于客户端,其特征在于,所述方法包括:
获得用户的数字证书;
向服务器端发送验证请求,其中,所述验证请求中,至少携带所述数字证书;
接收所述服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,所述针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由所述服务器端根据所述验证请求确定;
根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份;其中,所述利用所述数字证书和与所述数字证书绑定的用户属性信息认证用户身份的步骤包括:先利用所述数字证书进行认证,若利用所述数字证书认证用户身份失败,再利用与所述数字证书绑定的用户属性信息进行认证。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份之前,还包括:
判断所述与所述数字证书绑定的用户属性信息是否为空;
若为是,为用户提供初始认证方式,并根据所述初始认证方式对应的用户登录信息认证用户身份;
否则,进一步根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份。
3.根据权利要求2所述的方法,其特征在于,在所述为用户提供初始认证方式,并根据所述初始认证方式对应的用户登录信息认证用户身份成功之后,还包括:
获得待绑定的用户属性信息;
向所述服务器端发送用户属性信息绑定请求,其中,所述用户属性信息绑定请求中,至少携带所述数字证书和所述待绑定用户属性信息。
4.根据权利要求1所述的方法,其特征在于,所述接收所述服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,所述针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由所述服务器端根据所述验证请求确定,包括:
接收所述服务器端根据所述验证请求发送的针对所述数字证书的验证结果;
在所述验证结果表明所述数字证书有效的情况下,向所述服务器端发送用户属性信息查询请求;
接收所述服务器端根据所述用户属性信息查询请求发送的与所述数字证书绑定的用户属性信息。
5.根据权利要求4所述的方法,其特征在于,所述在所述验证结果表明所述数字证书有效的情况下,向所述服务器端发送用户属性信息查询请求,包括:
在所述验证结果表明所述数字证书有效的情况下,应用所述数字证书认证用户身份;
若认证用户身份失败,向所述服务器端发送用户属性信息查询请求。
6.根据权利要求1所述的方法,其特征在于,所述获得用户的数字证书,包括:
通过双向SSL机制或用户数字证书签名机制获得用户的数字证书。
7.根据权利要求1所述的方法,其特征在于,在根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份成功之后,还包括:
向所述服务器端发送用户属性信息更新请求,其中,所述更新请求中,携带所述数字证书、待更新的用户属性信息和更新操作的标识,所述更新操作,包括:绑定待更新的用户属性信息、解除绑定待更新的用户属性信息和修改待更新的用户属性信息。
8.一种应用数字证书认证用户身份的装置,应用于客户端,其特征在于,所述装置包括:
数字证书获得模块,用于获得用户的数字证书;
验证请求发送模块,用于向服务器端发送验证请求,其中,所述验证请求中,至少携带所述数字证书;
信息接收模块,用于接收所述服务器端发送的针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,其中,所述针对所述数字证书的验证结果和与所述数字证书绑定的用户属性信息,由所述服务器端根据所述验证请求确定;
第一身份认证模块,用于根据所述验证结果,利用所述数字证书和与所述数字证书绑定的用户属性信息,认证用户身份;其中,所述利用所述数字证书和与所述数字证书绑定的用户属性信息认证用户身份包括:先利用数字证书进行认证,若利用所述数字证书认证用户身份失败,再利用与所述数字证书绑定的用户属性信息进行认证。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:用户属性信息判断模块和第二身份认证模块;
所述用户属性信息判断模块,用于判断所述与所述数字证书绑定的用户属性信息是否为空,若为是,触发所述第二身份认证模块,认证用户身份,若为否,触发所述第一身份认证模块,认证用户身份;
所述第二身份认证模块,用于为用户提供初始认证方式,并根据所述初始认证方式对应的用户登录信息认证用户身份。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
用户属性信息获得模块,用于在所述第二身份认证模块认证用户身份成功之后,获得待绑定的用户属性信息;
绑定请求发送模块,用于向所述服务器端发送用户属性信息绑定请求,其中,所述用户属性信息绑定请求中,至少携带所述数字证书和所述待绑定用户属性信息。
11.根据权利要求8所述的装置,其特征在于,所述信息接收模块,包括:
验证结果接收子模块,用于接收所述服务器端根据所述验证请求发送的针对所述数字证书的验证结果;
查询请求发送子模块,用于在所述验证结果表明所述数字证书有效的情况下,向所述服务器端发送用户属性信息查询请求;
用户属性信息接收子模块,用于接收所述服务器端根据所述用户属性信息查询请求发送的与所述数字证书绑定的用户属性信息。
12.根据权利要求11所述的装置,其特征在于,所述查询请求发送子模块,包括:
身份认证单元,用于在所述验证结果表明所述数字证书有效的情况下,应用所述数字证书认证用户身份;
查询请求发送单元,用于在所述身份认证单元认证用户身份失败的情况下,向所述服务器端发送用户属性信息查询请求。
13.根据权利要求8所述的装置,其特征在于,
所述数字证书获得模块,具体用于通过双向SSL机制或用户数字证书签名机制获得用户的数字证书。
14.根据权利要求8所述的装置,其特征在于,所述装置还包括:
更新请求发送模块,用于在所述第一身份认证模块认证用户身份成功之后,向所述服务器端发送用户属性信息更新请求,其中,所述更新请求中,携带所述数字证书、待更新的用户属性信息和更新操作的标识,所述更新操作,包括:绑定待更新的用户属性信息、解除绑定待更新的用户属性信息和修改待更新的用户属性信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410186551.1A CN105099679B (zh) | 2014-05-05 | 2014-05-05 | 一种应用数字证书认证用户身份的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410186551.1A CN105099679B (zh) | 2014-05-05 | 2014-05-05 | 一种应用数字证书认证用户身份的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105099679A CN105099679A (zh) | 2015-11-25 |
CN105099679B true CN105099679B (zh) | 2019-02-12 |
Family
ID=54579320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410186551.1A Active CN105099679B (zh) | 2014-05-05 | 2014-05-05 | 一种应用数字证书认证用户身份的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105099679B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610157A (zh) * | 2009-07-28 | 2009-12-23 | 江苏先安科技有限公司 | 一种Web表单中使用数字证书自动签名的系统和方法 |
CN101741848A (zh) * | 2009-12-22 | 2010-06-16 | 北京九恒星科技股份有限公司 | 系统用户的数字证书绑定方法、系统及数字证书认证中心 |
CN101777978A (zh) * | 2008-11-24 | 2010-07-14 | 华为终端有限公司 | 一种基于无线终端的数字证书申请方法、系统及无线终端 |
CN102811218A (zh) * | 2012-07-24 | 2012-12-05 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务系统 |
CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
CN1306749C (zh) * | 2003-12-04 | 2007-03-21 | 上海格尔软件股份有限公司 | 数字证书跨信任域互通方法 |
US20060294381A1 (en) * | 2005-06-22 | 2006-12-28 | Mitchell Douglas P | Method and apparatus for establishing a secure connection |
CN101453334B (zh) * | 2008-11-28 | 2011-04-06 | 国网信息通信有限公司 | 基于Novell网络的访问管理方法和系统 |
CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
CN101931537B (zh) * | 2010-09-15 | 2012-08-29 | 北京数字认证股份有限公司 | 一种用于限定签名内容的数字证书生成方法 |
-
2014
- 2014-05-05 CN CN201410186551.1A patent/CN105099679B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101777978A (zh) * | 2008-11-24 | 2010-07-14 | 华为终端有限公司 | 一种基于无线终端的数字证书申请方法、系统及无线终端 |
CN101610157A (zh) * | 2009-07-28 | 2009-12-23 | 江苏先安科技有限公司 | 一种Web表单中使用数字证书自动签名的系统和方法 |
CN101741848A (zh) * | 2009-12-22 | 2010-06-16 | 北京九恒星科技股份有限公司 | 系统用户的数字证书绑定方法、系统及数字证书认证中心 |
CN102811218A (zh) * | 2012-07-24 | 2012-12-05 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务系统 |
CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105099679A (zh) | 2015-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11223614B2 (en) | Single sign on with multiple authentication factors | |
CN104378376B (zh) | 基于soa的单点登录方法、认证服务器和浏览器 | |
CN110958118B (zh) | 证书认证管理方法、装置、设备及计算机可读存储介质 | |
CN105007280B (zh) | 一种应用登录方法和装置 | |
CN105246073B (zh) | 无线网络的接入认证方法及服务器 | |
CN109413096B (zh) | 一种多应用的登录方法及装置 | |
CN103427995B (zh) | 用户认证方法、ssl vpn服务器及ssl vpn系统 | |
CN105871864B (zh) | 移动终端身份认证方法及装置 | |
CN106357629B (zh) | 基于数字证书的智能终端身份认证与单点登录系统及方法 | |
CN106161348B (zh) | 一种单点登录的方法、系统以及终端 | |
Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
CN105262588A (zh) | 基于动态口令的登录方法、账号管理服务器及移动终端 | |
CN109067785A (zh) | 集群认证方法、装置 | |
WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
CN105591745A (zh) | 对使用第三方应用的用户进行身份认证的方法和系统 | |
CN103117987A (zh) | 数字证书更新方法 | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
CN105956423B (zh) | 认证方法及装置 | |
CN108886530A (zh) | 企业移动管理中移动设备的激活 | |
CN105099680B (zh) | 一种根据数字证书认证用户身份的方法及装置 | |
CN106656507B (zh) | 一种基于移动终端的电子认证方法及装置 | |
CN106789930A (zh) | 一种Linux操作系统的单点登录方法 | |
CN105812138B (zh) | 登录的处理方法、装置、用户终端及登录系统 | |
CN105099681B (zh) | 一种应用数字证书认证用户身份的方法及装置 | |
CN103701823A (zh) | 单点登录方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |