CN105099680B - 一种根据数字证书认证用户身份的方法及装置 - Google Patents
一种根据数字证书认证用户身份的方法及装置 Download PDFInfo
- Publication number
- CN105099680B CN105099680B CN201410186553.0A CN201410186553A CN105099680B CN 105099680 B CN105099680 B CN 105099680B CN 201410186553 A CN201410186553 A CN 201410186553A CN 105099680 B CN105099680 B CN 105099680B
- Authority
- CN
- China
- Prior art keywords
- certificate
- extensions
- digital certificate
- binding
- customer digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种根据数字证书认证用户身份的方法及装置,涉及信息安全技术领域,应用于服务器端,该方法包括:接收针对用户数字证书的查询请求,其中,查询请求中,携带用户数字证书;根据查询请求,获得与用户数字证书绑定的证书扩展项,其中,证书扩展项中,携带证书扩展项的标识和符合预设标准的证书扩展项的结构体;向客户端发送针对用户数字证书的查询结果,其中,查询结果中,携带与用户数字证书绑定的证书扩展项,与用户数字证书绑定的证书扩展项用于为客户端提供用户身份认证信息。本发明实施例提供的方法,可以通过服务器端记录的一个或多个与用户数字证书绑定的证书扩展项认证用户身份,方便了用户使用数字证书。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种根据数字证书认证用户身份的方法及装置。
背景技术
随着信息安全技术的普及,数字签名技术被越来越多用户认可。实际应用中,与基于用户名和密码的认证方式相比,数字签名技术具有不可篡改、不可抵赖、不可复制等优点,在网络信息安全领域得到了广泛的应用。
数字证书是数字签名技术的一种具体应用,数字证书是由第三方CA(CertificateAuthority,证书授权)机构签发的,其中包含了第三方CA机构的签名和用户身份信息等,其中,用户身份信息可以是用户身份证号码、电子邮箱地址、电话号码等等。数字证书一旦签发完成,其中所包含的内容将不可更改,即数字证书的应用环境受数字证书中包含的用户身份信息等的限制。
假设,某一数字证书中包含的用户身份信息仅仅为用户身份证号码,则该数字证书只能应用在需通过用户身份证号码认证用户身份的系统中,若用户欲在需通过用户的电话号码认证用户身份的系统中使用数字证书认证时,只能再申请新的包含用户电话号码的数字证书才能实现。
可见,应用现有技术,通过数字证书认证用户身份时,由于数字证书签发后所包含的信息不可更改,因此,其应用环境受数字证书所包含的用户属性信息的限制,不便于用户使用数字证书。
发明内容
本发明实施例公开了一种根据数字证书认证用户身份的方法及装置,以使得用户使用数字证书认证用户身份时不受数字证书中包含的用户身份信息的限制,便于用户使用数字证书。
为达到上述目的,本发明实施例公开了一种根据数字证书认证用户身份的方法,应用于服务器端,所述方法包括:
接收针对用户数字证书的查询请求,其中,所述查询请求中,携带所述用户数字证书;
根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,其中,所述证书扩展项中,携带所述证书扩展项的标识和符合预设标准的所述证书扩展项的结构体;
向客户端发送针对所述用户数字证书的查询结果,其中,所述查询结果中,携带与所述用户数字证书绑定的证书扩展项,所述与所述用户数字证书绑定的证书扩展项用于为所述客户端提供用户身份认证信息。
较佳的,所述符合预设标准的所述证书扩展项的结构体,包括:
符合ASN.1标准的所述证书扩展项的结构体。
较佳的,所述据数字证书认证用户身份的方法还包括:
接收针对证书扩展项的创建请求,其中,所述创建请求中,携带客户端标识、至少一个证书扩展项标识、与所述证书扩展项标识对应的证书扩展项参数和所述用户数字证书的签名;
检测所述创建请求中所携带的信息是否有效;
若为是,则创建与所述创建请求中携带的所述证书扩展项的标识对应的证书扩展项。
较佳的,所述根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,包括:
根据所述查询请求,验证所述用户数字证书是否有效;
若为是,获得与所述用户数字证书绑定的证书扩展项。
较佳的,所述根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,包括:
根据所述查询请求中携带的所述用户数字证书,验证所述用户数字证书是否有效;
向客户端发送针对所述用户数字证书的验证结果;
接收所述客户端发送的证书扩展项获得请求;
根据所述证书扩展项获得请求,获得与所述用户数字证书绑定的证书扩展项。
较佳的,所述根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,包括:
根据所述查询请求中携带的所述用户数字证书,确定所述用户数字证书是否已绑定证书扩展项;
若为是,获得所述用户数字证书已绑定的证书扩展项;
若为否,为所述用户数字证书绑定证书扩展项。
较佳的,所述为所述用户数字证书绑定证书扩展项,包括:
向客户端发送所述客户端对应的证书扩展项信息,以供用户确定待绑定证书扩展项;
接收所述待绑定证书扩展项对应的扩展项信息,其中,所述扩展项信息中,携带所述待绑定证书扩展项的结构体取值和所述用户数字证书的签名;
对所述扩展项信息进行审核,若审核通过,则为所述用户数字证书绑定证书扩展项。
较佳的,所述据数字证书认证用户身份的方法还包括:
接收针对所述证书扩展项的更新请求,其中,所述更新请求中,携带所述用户数字证书的签名、待更新的证书扩展项和更新操作的标识,所述更新操作,包括:绑定待更新的证书扩展项、解除绑定待更新的证书扩展项和修改待更新的证书扩展项。
较佳的,所述查询结果中,还携带所述用户数字证书的签名和/或所述服务器端数字证书的签名。
为达到上述目的,本发明实施例公开了一种根据数字证书认证用户身份的装置,应用于服务器端,所述装置包括:
查询请求接收模块,用于接收针对用户数字证书的查询请求,其中,所述查询请求中,携带所述用户数字证书;
证书扩展项获得模块,用于根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,其中,所述证书扩展项中,携带所述证书扩展项的标识和符合预设标准的所述证书扩展项的结构体;
查询结果发送模块,用于向客户端发送针对所述用户数字证书的查询结果,其中,所述查询结果中,携带与所述用户数字证书绑定的证书扩展项,所述与所述用户数字证书绑定的证书扩展项用于为所述客户端提供用户身份认证信息。
较佳的,所述符合预设标准的所述证书扩展项的结构体,包括:
符合ASN.1标准的所述证书扩展项的结构体。
较佳的,所述根据数字证书认证用户身份的装置还包括:
创建请求接收模块,用于接收针对证书扩展项的创建请求,其中,所述创建请求中,携带客户端标识、至少一个证书扩展项标识、与所述证书扩展项标识对应的证书扩展项参数和所述用户数字证书的签名;
信息检测模块,用于检测所述创建请求中所携带的信息是否有效;
证书扩展项创建模块,用于在所述信息检测模块的检测结果为是的情况下,创建与所述创建请求中携带的所述证书扩展项的标识对应的证书扩展项。
较佳的,所述证书扩展项获得模块,包括:
第一数字证书验证子模块,用于根据所述查询请求,验证所述用户数字证书是否有效;
第一证书扩展项获得子模块,用于在所述第一数字证书验证子模块的验证结果为是的情况下,获得与所述用户数字证书绑定的证书扩展项。
较佳的,所述证书扩展项获得模块,包括:
第二数字证书验证子模块,用于根据所述查询请求中携带的所述用户数字证书,验证所述用户数字证书是否有效;
验证结果发送子模块,用于向客户端发送针对所述用户数字证书的验证结果;
获得请求接收子模块,用于接收所述客户端发送的证书扩展项获得请求;
第二证书扩展项获得子模块,用于根据所述证书扩展项获得请求,获得与所述用户数字证书绑定的证书扩展项。
较佳的,所述证书扩展项获得模块,包括:绑定状态确定子模块、第三证书扩展项获得子模块和证书扩展项绑定子模块;
所述绑定状态确定子模块,用于根据所述查询请求中携带的所述用户数字证书,确定所述用户数字证书是否已绑定证书扩展项,若为是,触发所述第三证书扩展项获得子模块,获得已绑定的证书扩展项,若为否,触发所述证书扩展项绑定子模块,绑定证书扩展项;
所述第三证书扩展项获得子模块,用于获得所述用户数字证书已绑定的证书扩展项;
所述证书扩展项绑定子模块,用于为所述用户数字证书绑定证书扩展项。
较佳的,所述证书扩展项绑定子模块,包括:
证书扩展项信息发送单元,用于向客户端发送所述客户端对应的证书扩展项信息,以供用户确定待绑定证书扩展项;
扩展项信息接收单元,用于接收所述待绑定证书扩展项对应的扩展项信息,其中,所述扩展项信息中,携带所述待绑定证书扩展项的结构体取值和所述用户数字证书的签名;
证书扩展项绑定单元,用于对所述扩展项信息进行审核,若审核通过,则为所述用户数字证书绑定证书扩展项。
较佳的,所述根据数字证书认证用户身份的装置还包括:
更新请求接收模块,用于接收针对所述证书扩展项的更新请求,其中,所述更新请求中,携带所述用户数字证书的签名、待更新的证书扩展项和更新操作的标识,所述更新操作,包括:绑定待更新的证书扩展项、解除绑定待更新的证书扩展项和修改待更新的证书扩展项。
较佳的,所述查询结果中,还携带所述用户数字证书的签名和/或所述服务器端数字证书的签名。
由以上可见,本发明实施例提供的方案中,通过用户数字证书和与该用户数字证书绑定的证书扩展项,认证用户身份,因此,应用本发明实施例提供的方法认证用户身份时,不再受限于数字证书签发时所包含的用户身份信息,除了可以通过数字证书认证,还可以通过服务器端记录的一个或多个与用户数字证书绑定的证书扩展项认证用户身份,方便了用户使用数字证书。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的根据数字证书认证用户身份的方法的第一种流程示意图;
图2为本发明实施例提供的根据数字证书认证用户身份的方法的第二种流程示意图;
图3为本发明实施例提供的根据数字证书认证用户身份的方法的第三种流程示意图;
图4为本发明实施例提供的根据数字证书认证用户身份的方法的第四种流程示意图;
图5为本发明实施例提供的根据数字证书认证用户身份的装置的第一种结构示意图;
图6为本发明实施例提供的根据数字证书认证用户身份的装置的第二种结构示意图;
图7为本发明实施例提供的根据数字证书认证用户身份的装置的第三种结构示意图;
图8为本发明实施例提供的根据数字证书认证用户身份的装置的第四种结构示意图。
具体实施方式
本发明实施例提供了一种根据数字证书认证用户身份的方法,应用该方法认证用户身份时,服务器端首先接收客户端或者用户通过用户设备发送的针对用户数字证书的查询请求,再根据该查询请求,获得与该数字证书绑定的证书扩展项,并将该查询结果发送给客户端,客户端接收到查询结果后,根据其中携带的与用户数字证书绑定的证书扩展项认证用户身份。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的根据数字证书认证用户身份的方法的第一种流程示意图,该方法应用于服务器端,包括:
S101:接收针对用户数字证书的查询请求。
实际应用中,服务器端所接收的针对用户数字证书的查询请求,可以是客户端发送的,也可以是用户通过用户设备发送的。
具体的,例如,用户通过点击客户端的按钮等形式向客户端发送访问请求,客户端在接收到该访问请求后,为用户提供客户端登录页面,用户通过该登录页面向客户端发送用户数字证书,客户端接收到该数字证书后,向服务器端发送针对该数字证书的查询请求。
另外,用户通过点击客户端的按钮等形式向客户端发送访问请求,客户端为用户提供客户端登录页面后,用户还可以在用户设备上,通过该登录页面向服务器端发送针对该数字证书的查询请求,而不是将先将用户数字证书发送至客户端,再由客户端向服务器端发送针对该数字证书的查询请求。
其中,查询请求中,至少携带用户数字证书,当然,本申请并不对查询请求中所携带的信息进行限定,具体应用中可以根据实际情况确定,例如,查询请求中还可以携带客户端的标识等等。
S102:根据查询请求,获得与用户数字证书绑定的证书扩展项。
其中,证书扩展项中,携带证书扩展项的标识和符合预设标准的证书扩展项的结构体,该证书扩展项的结构体可以是符合ASN.1标准的证书扩展项的结构体,当然,该证书扩展项结构体还可以是符合与ASN.1标准相关的其他标准的证书扩展项的结构体。
在实际应用中,本步骤可以有多种实现方式,具体可以参见图2-图4所示实施例提供的方法。
S103:向客户端发送针对用户数字证书的查询结果,其中,查询结果中,携带与用户数字证书绑定的证书扩展项,与用户数字证书绑定的证书扩展项用于为客户端提供用户身份认证信息。
在本发明的一个较佳实施例中,查询结果中,还可以携带用户数字证书的签名和/或服务器端数字证书的签名。客户端在接收到该查询结果后,可以通过验证其中携带的用户数字证书的签名和/或服务器端数字证书的签名提高系统安全性。
实际应用中,服务器端除了可以向客户端提供查询结果外,还可以创建证书扩展项,在本发明的一个具体实施例中,服务器端还可以接收针对证书扩展项的创建请求,并检测该创建请求中所携带的信息是否有效,若有效,创建与该创建请求中携带的证书扩展项的标识对应的证书扩展项。
其中,创建请求中,携带客户端标识、至少一个证书扩展项标识、与证书扩展项标识对应的证书扩展项参数和用户数字证书的签名,当然,本申请并不对创建请求中所携带的信息进行限定,实际应用中可以根据具体情况确定。。
在证书扩展项的结构体为符合ASN.1标准的结构体时,检测创建请求中所携带的信息是否有效,可以是检测创建请求中携带的证书扩展项参数是否符合ASN.1标准等等。
进一步的,实际应用中,还可以限定具有创建证书扩展项权限的用户,例如,设定管理员具有该权限,当服务器端接收到创建请求后,验证其中携带的用户数字证书的签名是否为管理员的数字证书签名,若是,则根据该创建请求创建相应的证书扩展项,若不是,则通知用户其不具有该权限。
另外,服务器端还可以对各个用户的数字证书所绑定的证书扩展项进行更新,在本发明的另一个具体实施例中,服务器端可以根据所接收的针对证书扩展项的更新请求,对证书扩展项进行更新。
具体的,该更新请求中,可以携带用户数字证书的签名、待更新的证书扩展项和更新操作的标识等等,其中,更新操作,可以包括:绑定待更新的证书扩展项、解除绑定待更新的证书扩展项和修改待更新的证书扩展项等等。
需要说明的是,本申请并不对更新请求和更新操作中所包含的信息进行限定,实际应用中可以根据具体情况确定。
由于数字证书具有有效期、使用环境的限制等等,所以服务器端在获得与用户数字证书绑定的证书扩展项之前,需先验证用户数字证书是否有效。
在本发明的一个具体实施例中,参见图2,提供了根据查询请求,获得与用户数字证书绑定的证书扩展项的第一种具体实现方法,该方法可以包括:
S102A:根据查询请求,验证用户数字证书是否有效,若为是,执行S102B,否则,执行S102C。
验证用户数字证书是否有效,可以通过验证数字证书的签名、有效期、CRL(Certificate Revocation List,证书吊销列表)等信息进行,例如,判断当前日期是否在数字证书的有效期内等。
S102B:获得与用户数字证书绑定的证书扩展项。
实际应用中,有多种获得用户数字证书绑定的证书扩展项的方法,例如,通过具有唯一性的数字证书的指纹获得与用户数字证书绑定的证书扩展项,当然,获得与该数字证书绑定的证书扩展项时,所利用的信息并不仅限于数字证书的指纹信息,例如,还可以利用数字证书的标识、客户端的标识等等。
S102C:向客户端发送用户数字证书无效提示信息。
在本发明的一个具体实施例中,参见图3,提供了根据查询请求,获得与用户数字证书绑定的证书扩展项的第二种具体实现方法,该方法可以包括:
S102D:根据查询请求中携带的用户数字证书,验证用户数字证书是否有效。
S102E:向客户端发送针对用户数字证书的验证结果。
S102F:接收客户端发送的证书扩展项获得请求。
客户端可以根据S102E中服务器端发送的验证结果,判断数字证书是否有效,在该数字证书有效的情况下,可以向服务器端发送证书扩展项获得请求。
具体的,客户端在判断得用户数字证书有效的情况下,可以先通过用户数字证书认证用户身份,在应用用户数字证书认证用户身份失败的情况,再向服务器端发送证书扩展项获得请求。
另外,客户端也可以在判断得用户数字证书有效的后,即向服务器端发送证书扩展项获得请求。
S102G:根据证书扩展项获得请求,获得与用户数字证书绑定的证书扩展项。
需要说明的是,实际应用中,服务器端在验证用户数字证书有效的情况下,可以根据用户数字证书获得与该数字证书绑定的证书扩展项,并将针对用户数字证书的验证结果和与该数字证书绑定的证书扩展项一起发送给客户端。
根据用户数字证书绑定用户身份时,用户的数字证书可能已绑定证书扩展项,也可能未绑定证书扩展项,在未绑定证书扩展项的情况下,服务器所获得的与用户数字证书绑定的证书扩展项为空,则客户端无法通过证书扩展项认证用户身份,为此,在本发明的一个具体实施例中,参见图4,提供了根据查询请求,获得与用户数字证书绑定的证书扩展项的第三种具体实现方法,该方法可以包括:
S102H:根据查询请求中携带的用户数字证书,确定用户数字证书是否已绑定证书扩展项,若为是,执行S102I,否则,执行S102J。
S102I:获得用户数字证书已绑定的证书扩展项。
S102J:为用户数字证书绑定证书扩展项。
在为用户数字证书绑定证书扩展项时,可以先向客户端发送客户端对应的证书扩展项信息,以供用户确定待绑定证书扩展项,在用户根据上述证书扩展项信息确定待绑定证书扩展项后,服务器端接收待绑定证书扩展项对应的扩展项信息,并对所接收的扩展项信息进行审核,若审核通过,则为用户数字证书绑定证书扩展项。其中,扩展项信息中,携带待绑定证书扩展项的结构体取值和用户数字证书的签名,当然,本申请并不对扩展项信息中携带的信息进行限定。
由以上可见,本实施例提供的方案中,通过用户数字证书和与该用户数字证书绑定的证书扩展项,认证用户身份,因此,应用本发明实施例提供的方法认证用户身份时,不再受限于数字证书签发时所包含的用户身份信息,除了可以通过数字证书认证,还可以通过服务器端记录的一个或多个与用户数字证书绑定的证书扩展项认证用户身份,方便了用户使用数字证书。
图5为本发明实施例提供的根据数字证书认证用户身份的装置的第一种结构示意图,该装置应用于服务器端,包括:查询请求接收模块501、证书扩展项获得模块502和查询结果发送模块503。
其中,查询请求接收模块501,用于接收针对用户数字证书的查询请求,其中,所述查询请求中,携带所述用户数字证书;
证书扩展项获得模块502,用于根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,其中,所述证书扩展项中,携带所述证书扩展项的标识和符合预设标准的所述证书扩展项的结构体;
查询结果发送模块503,用于向客户端发送针对所述用户数字证书的查询结果,其中,所述查询结果中,携带与所述用户数字证书绑定的证书扩展项,所述与所述用户数字证书绑定的证书扩展项用于为所述客户端提供用户身份认证信息。
具体的,所述符合预设标准的所述证书扩展项的结构体,包括:
符合ASN.1标准的所述证书扩展项的结构体。
在本发明的一个具体实施例中,该装置还可以包括:创建请求接收模块、信息检测模块和证书扩展项创建模块(图中未示出)。
其中,创建请求接收模块,用于接收针对证书扩展项的创建请求,其中,所述创建请求中,携带客户端标识、至少一个证书扩展项标识、与所述证书扩展项标识对应的证书扩展项参数和所述用户数字证书的签名;信息检测模块,用于检测所述创建请求中所携带的信息是否有效;证书扩展项创建模块,用于在所述信息检测模块的检测结果为是的情况下,创建与所述创建请求中携带的所述证书扩展项的标识对应的证书扩展项。
在本发明的另一个具体实施例中,该装置还可以包括:更新请求接收模块(图中未示出)。
其中,更新请求接收模块,用于接收针对所述证书扩展项的更新请求,其中,所述更新请求中,携带所述用户数字证书的签名、待更新的证书扩展项和更新操作的标识,所述更新操作,包括:绑定待更新的证书扩展项、解除绑定待更新的证书扩展项和修改待更新的证书扩展项。
具体的,查询结果中,还可以携带所述用户数字证书的签名和/或所述服务器端数字证书的签名。
在本发明的一个优选实施例中,参见图6,提供了根据数字证书认证用户身份的装置的第二种结构示意图,与图1所示实施例相比,证书扩展项获得模块502可以包括:第一数字证书验证子模块5021和第一证书扩展项获得子模块5022。
其中,第一数字证书验证子模块5021,用于根据所述查询请求,验证所述用户数字证书是否有效;
第一证书扩展项获得子模块5022,用于在所述第一数字证书验证子模块5021的验证结果为是的情况下,获得与所述用户数字证书绑定的证书扩展项。
在本发明的一个优选实施例中,参见图7,提供了根据数字证书认证用户身份的装置的第三种结构示意图,与图1所示实施例相比,证书扩展项获得模块502可以包括:第二数字证书验证子模块5023、验证结果发送子模块5024、获得请求接收子模块5025和第二证书扩展项获得子模块5026。
其中,第二数字证书验证子模块5023,用于根据所述查询请求中携带的所述用户数字证书,验证所述用户数字证书是否有效;
验证结果发送子模块5024,用于向客户端发送针对所述用户数字证书的验证结果;
获得请求接收子模块5025,用于接收所述客户端发送的证书扩展项获得请求;
第二证书扩展项获得子模块5026,用于根据所述证书扩展项获得请求,获得与所述用户数字证书绑定的证书扩展项。
在本发明的一个优选实施例中,参见图8,提供了根据数字证书认证用户身份的装置的第四种结构示意图,与图1所示实施例相比,证书扩展项获得模块502可以包括:绑定状态确定子模块5027、第三证书扩展项获得子模块5028和证书扩展项绑定子模块5029。
其中,绑定状态确定子模块5027,用于根据所述查询请求中携带的所述用户数字证书,确定所述用户数字证书是否已绑定证书扩展项,若为是,触发所述第三证书扩展项获得子模块5028,获得已绑定的证书扩展项,若为否,触发所述证书扩展项绑定子模块5029,绑定证书扩展项;
第三证书扩展项获得子模块5028,用于获得所述用户数字证书已绑定的证书扩展项;
证书扩展项绑定子模块5029,用于为所述用户数字证书绑定证书扩展项。
较佳的,证书扩展项绑定子模块5029可以包括:证书扩展项信息发送单元、扩展项信息接收单元和证书扩展项绑定单元(图中未示出)。
其中,证书扩展项信息发送单元,用于向客户端发送所述客户端对应的证书扩展项信息,以供用户确定待绑定证书扩展项;扩展项信息接收单元,用于接收所述待绑定证书扩展项对应的扩展项信息,其中,所述扩展项信息中,携带所述待绑定证书扩展项的结构体取值和所述用户数字证书的签名;证书扩展项绑定单元,用于对所述扩展项信息进行审核,若审核通过,则为所述用户数字证书绑定证书扩展项。
由以上可见,本实施例提供的方案中,通过用户数字证书和与该用户数字证书绑定的证书扩展项,认证用户身份,因此,应用本发明实施例提供的方法认证用户身份时,不再受限于数字证书签发时所包含的用户身份信息,除了可以通过数字证书认证,还可以通过服务器端记录的一个或多个与用户数字证书绑定的证书扩展项认证用户身份,方便了用户使用数字证书。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种根据数字证书认证用户身份的方法,应用于服务器端,其特征在于,所述方法包括:
接收用户设备通过登录页面发送的、针对用户数字证书的查询请求,其中,所述查询请求中,携带所述用户数字证书,所述登录页面为:客户端为用户提供的登录所述客户端的登录页面;
根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,其中,所述证书扩展项中,携带所述证书扩展项的标识和符合预设标准的所述证书扩展项的结构体;
向客户端发送针对所述用户数字证书的查询结果,其中,所述查询结果中,携带与所述用户数字证书绑定的证书扩展项,所述与所述用户数字证书绑定的证书扩展项用于为所述客户端提供用户身份认证信息;
其中,所述方法还包括:
接收针对证书扩展项的创建请求,其中,所述创建请求中,携带客户端标识、至少一个证书扩展项标识、与所述证书扩展项标识对应的证书扩展项参数和所述用户数字证书的签名;
检测所述创建请求中所携带的信息是否有效;
若为是,则创建与所述创建请求中携带的所述证书扩展项的标识对应的证书扩展项。
2.根据权利要求1所述的方法,其特征在于,所述符合预设标准的所述证书扩展项的结构体,包括:
符合ASN.1标准的所述证书扩展项的结构体。
3.根据权利要求1-2中任一项所述的方法,其特征在于,所述根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,包括:
根据所述查询请求,验证所述用户数字证书是否有效;
若为是,获得与所述用户数字证书绑定的证书扩展项。
4.根据权利要求1-2中任一项所述的方法,其特征在于,所述根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,包括:
根据所述查询请求中携带的所述用户数字证书,验证所述用户数字证书是否有效;
向客户端发送针对所述用户数字证书的验证结果;
接收所述客户端发送的证书扩展项获得请求;
根据所述证书扩展项获得请求,获得与所述用户数字证书绑定的证书扩展项。
5.根据权利要求1-2中任一项所述的方法,其特征在于,所述根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,包括:
根据所述查询请求中携带的所述用户数字证书,确定所述用户数字证书是否已绑定证书扩展项;
若为是,获得所述用户数字证书已绑定的证书扩展项;
若为否,为所述用户数字证书绑定证书扩展项。
6.根据权利要求5所述的方法,其特征在于,所述为所述用户数字证书绑定证书扩展项,包括:
向客户端发送所述客户端对应的证书扩展项信息,以供用户确定待绑定证书扩展项;
接收所述待绑定证书扩展项对应的扩展项信息,其中,所述扩展项信息中,携带所述待绑定证书扩展项的结构体取值和所述用户数字证书的签名;
对所述扩展项信息进行审核,若审核通过,则为所述用户数字证书绑定证书扩展项。
7.根据权利要求1所述的方法,及其特征在于,所述方法还包括:
接收针对所述证书扩展项的更新请求,其中,所述更新请求中,携带所述用户数字证书的签名、待更新的证书扩展项和更新操作的标识,所述更新操作,包括:绑定待更新的证书扩展项、解除绑定待更新的证书扩展项和修改待更新的证书扩展项。
8.根据权利要求1所述的方法,其特征在于,所述查询结果中,还携带所述用户数字证书的签名和/或所述服务器端数字证书的签名。
9.一种根据数字证书认证用户身份的装置,应用于服务器端,其特征在于,所述装置包括:
查询请求接收模块,用于接收用户设备通过登录页面发送的、针对用户数字证书的查询请求,其中,所述查询请求中,携带所述用户数字证书,所述登录页面为:客户端为用户提供的登录所述客户端的登录页面;
证书扩展项获得模块,用于根据所述查询请求,获得与所述用户数字证书绑定的证书扩展项,其中,所述证书扩展项中,携带所述证书扩展项的标识和符合预设标准的所述证书扩展项的结构体;
查询结果发送模块,用于向客户端发送针对所述用户数字证书的查询结果,其中,所述查询结果中,携带与所述用户数字证书绑定的证书扩展项,所述与所述用户数字证书绑定的证书扩展项用于为所述客户端提供用户身份认证信息;
其中,所述装置还包括:
创建请求接收模块,用于接收针对证书扩展项的创建请求,其中,所述创建请求中,携带客户端标识、至少一个证书扩展项标识、与所述证书扩展项标识对应的证书扩展项参数和所述用户数字证书的签名;
信息检测模块,用于检测所述创建请求中所携带的信息是否有效;
证书扩展项创建模块,用于在所述信息检测模块的检测结果为是的情况下,创建与所述创建请求中携带的所述证书扩展项的标识对应的证书扩展项。
10.根据权利要求9所述的装置,其特征在于,所述符合预设标准的所述证书扩展项的结构体,包括:
符合ASN.1标准的所述证书扩展项的结构体。
11.根据权利要求9-10中任一项所述的装置,其特征在于,所述证书扩展项获得模块,包括:
第一数字证书验证子模块,用于根据所述查询请求,验证所述用户数字证书是否有效;
第一证书扩展项获得子模块,用于在所述第一数字证书验证子模块的验证结果为是的情况下,获得与所述用户数字证书绑定的证书扩展项。
12.根据权利要求9-10中任一项所述的装置,其特征在于,所述证书扩展项获得模块,包括:
第二数字证书验证子模块,用于根据所述查询请求中携带的所述用户数字证书,验证所述用户数字证书是否有效;
验证结果发送子模块,用于向客户端发送针对所述用户数字证书的验证结果;
获得请求接收子模块,用于接收所述客户端发送的证书扩展项获得请求;
第二证书扩展项获得子模块,用于根据所述证书扩展项获得请求,获得与所述用户数字证书绑定的证书扩展项。
13.根据权利要求9-10中任一项所述的装置,其特征在于,所述证书扩展项获得模块,包括:绑定状态确定子模块、第三证书扩展项获得子模块和证书扩展项绑定子模块;
所述绑定状态确定子模块,用于根据所述查询请求中携带的所述用户数字证书,确定所述用户数字证书是否已绑定证书扩展项,若为是,触发所述第三证书扩展项获得子模块,获得已绑定的证书扩展项,若为否,触发所述证书扩展项绑定子模块,绑定证书扩展项;
所述第三证书扩展项获得子模块,用于获得所述用户数字证书已绑定的证书扩展项;
所述证书扩展项绑定子模块,用于为所述用户数字证书绑定证书扩展项。
14.根据权利要求13所述的装置,其特征在于,所述证书扩展项绑定子模块,包括:
证书扩展项信息发送单元,用于向客户端发送所述客户端对应的证书扩展项信息,以供用户确定待绑定证书扩展项;
扩展项信息接收单元,用于接收所述待绑定证书扩展项对应的扩展项信息,其中,所述扩展项信息中,携带所述待绑定证书扩展项的结构体取值和所述用户数字证书的签名;
证书扩展项绑定单元,用于对所述扩展项信息进行审核,若审核通过,则为所述用户数字证书绑定证书扩展项。
15.根据权利要求9所述的装置,及其特征在于,所述装置还包括:
更新请求接收模块,用于接收针对所述证书扩展项的更新请求,其中,所述更新请求中,携带所述用户数字证书的签名、待更新的证书扩展项和更新操作的标识,所述更新操作,包括:绑定待更新的证书扩展项、解除绑定待更新的证书扩展项和修改待更新的证书扩展项。
16.根据权利要求9所述的装置,其特征在于,所述查询结果中,还携带所述用户数字证书的签名和/或所述服务器端数字证书的签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410186553.0A CN105099680B (zh) | 2014-05-05 | 2014-05-05 | 一种根据数字证书认证用户身份的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410186553.0A CN105099680B (zh) | 2014-05-05 | 2014-05-05 | 一种根据数字证书认证用户身份的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105099680A CN105099680A (zh) | 2015-11-25 |
| CN105099680B true CN105099680B (zh) | 2019-02-12 |
Family
ID=54579321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410186553.0A Active CN105099680B (zh) | 2014-05-05 | 2014-05-05 | 一种根据数字证书认证用户身份的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105099680B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107645381B (zh) * | 2016-07-21 | 2021-07-13 | 阿里巴巴集团控股有限公司 | 安全验证实现方法及装置 |
| CN107786344B (zh) * | 2017-10-30 | 2020-05-19 | 阿里巴巴集团控股有限公司 | 数字证书申请、使用的实现方法和装置 |
| CN109246143A (zh) * | 2018-10-29 | 2019-01-18 | 航天信息股份有限公司 | 基于数字证书的身份认证的方法、装置和存储介质 |
| CN112953959A (zh) * | 2021-03-10 | 2021-06-11 | 中国民航信息网络股份有限公司 | 一种认证方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
| CN101414909A (zh) * | 2008-11-28 | 2009-04-22 | 中国移动通信集团公司 | 网络应用用户身份验证系统、方法和移动通信终端 |
| CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
| CN102420690A (zh) * | 2010-09-28 | 2012-04-18 | 上海可鲁系统软件有限公司 | 一种工业控制系统中身份与权限的融合认证方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741848B (zh) * | 2009-12-22 | 2012-10-24 | 北京九恒星科技股份有限公司 | 系统用户的数字证书绑定方法、系统及数字证书认证中心 |
| CN101777980B (zh) * | 2009-12-31 | 2011-11-16 | 公安部第三研究所 | 一种数字证书扩展项信息保护方法 |
| US20130219481A1 (en) * | 2012-02-16 | 2013-08-22 | Robert Matthew Voltz | Cyberspace Trusted Identity (CTI) Module |
| CN102811218B (zh) * | 2012-07-24 | 2013-07-31 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务系统 |
| CN103475485B (zh) * | 2013-09-16 | 2017-03-22 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
-
2014
- 2014-05-05 CN CN201410186553.0A patent/CN105099680B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
| CN101414909A (zh) * | 2008-11-28 | 2009-04-22 | 中国移动通信集团公司 | 网络应用用户身份验证系统、方法和移动通信终端 |
| CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
| CN102420690A (zh) * | 2010-09-28 | 2012-04-18 | 上海可鲁系统软件有限公司 | 一种工业控制系统中身份与权限的融合认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105099680A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110958118B (zh) | 证书认证管理方法、装置、设备及计算机可读存储介质 | |
| CN104378376B (zh) | 基于soa的单点登录方法、认证服务器和浏览器 | |
| TWI717728B (zh) | 身份校驗、登錄方法、裝置及電腦設備 | |
| CN106105139B (zh) | 由网关进行的自动检测的认证方法及系统 | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| CN106161392B (zh) | 一种身份验证方法和设备 | |
| CN104604204B (zh) | 在同步通信中安全地操控服务器证书错误 | |
| CN105024975B (zh) | 账号登录的方法、装置及系统 | |
| CN109413096B (zh) | 一种多应用的登录方法及装置 | |
| CN105100067B (zh) | 一种云端激活方法与系统 | |
| CN105099680B (zh) | 一种根据数字证书认证用户身份的方法及装置 | |
| CN105516948B (zh) | 一种设备控制方法及装置 | |
| CN104540129B (zh) | 第三方应用的注册和登录方法及系统 | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| CN106357629B (zh) | 基于数字证书的智能终端身份认证与单点登录系统及方法 | |
| CN103475484B (zh) | USB key认证方法及系统 | |
| CN105337997A (zh) | 一种应用客户端的登录方法及相关设备 | |
| CN109067785A (zh) | 集群认证方法、装置 | |
| WO2018022387A1 (en) | Bulk joining of computing devices to an identity service | |
| CN110324344A (zh) | 账号信息认证的方法及装置 | |
| CN106330812A (zh) | 文件安全性识别方法及装置 | |
| CN110224851B (zh) | 账户信息的合并方法、装置、计算机设备及计算机存储介质 | |
| CN108390848A (zh) | 一种信息见证方法及装置 | |
| CN104468616B (zh) | 一种图片验证码的生成方法及客户端 | |
| GB2567715A (en) | Authentication system, method and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |