CN111953493A - 一种新型的便携式数字证书应用方法和装置 - Google Patents
一种新型的便携式数字证书应用方法和装置 Download PDFInfo
- Publication number
- CN111953493A CN111953493A CN201910403946.5A CN201910403946A CN111953493A CN 111953493 A CN111953493 A CN 111953493A CN 201910403946 A CN201910403946 A CN 201910403946A CN 111953493 A CN111953493 A CN 111953493A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- user
- terminal
- intermediate device
- identity authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000005516 engineering process Methods 0.000 claims abstract description 9
- 238000012790 confirmation Methods 0.000 claims abstract description 3
- 230000010354 integration Effects 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000006855 networking Effects 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 7
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种提供新型数字证书应用的方法与装置。通过引入新型的数字证书应用中间装置;在满足数字证书认证的同时,实现对动态口令、手机短信、生物特征识别、第二通道认证等其他可靠身份认证手段的兼容,摆脱传统信任体系对数字证书终端安全介质的依赖,并有机结合数字证书技术在敏感信息保护方面的优势及其在责任认定方面的无可替代性,共同构成新一代网络信任基础设施。极大地突破了当前网络信任保障体系的局限性,经济有效地解决了目前不同使用人群、多种智能终端、各类传输网络、差异化服务形态等复杂网络环境下数字证书应用的等诸多困扰业界多年的关键问题,巩固完善新一代网络信任基础设施体系。
Description
技术领域
本发明提供一种新型的便携式数字证书应用的方法与装置。引入智能手机、pad等智能便携式终端设备,通过创新设计,替代传统USBKey证书硬件介质,方便用户在不同终端环境下安全地使用数字证书实现安全登录、数字签名的业务需求,提升用户体验,降低成本。
背景技术
在当前互联网大时代下,以数字证书为核心的电子签名、安全登录需求将会越来越普及,但是传统的证书硬件介质(USBKey、SDKey、USIMKey、蓝牙Key等)的不方便和高成本越来越成为电子签名普及的障碍,长期以来,诞生过的各种各样的替代方案,但是一直在安全性和方便性难以兼顾。本发明的提出正是基于这种背景,旨在通过创新的设计,提供一种新型的便携式数字证书应用方法和装置,有效弥补当前数字证书签名应用的不足。
发明内容
1. 本发明一种新型的便携式数字证书应用方法。在用户需要实现电子签名或安全登录等证书相关操作时,首先利用二维码扫码、蓝牙通信、NFC等近场通信技术,借助装置在智能手机、pad等智能便携式终端设备和电脑工作站上的专用软件,通过数据传输建立对应关系;当用户在电脑工作站上发起证书相关操作时,电脑工作站上的专用软件向专用的中间服务器装置发起对应请求,专用中间件服务器根据请求中携带的便携式终端的通信地址向对应的便携式终端转发操作请求;携式终端设备上的专用软件接收到中间服务器装置的请求后进行对应操作,并将操作结果返回中间服务器装置;中间服务器装置根据实际业务流程向电脑工作站返回操作结果;在便携式终端设备、电脑工作站和中间服务器上是否保留操作结果视具体应用需求而定;
2. 本发明提供了一种利用便携式智能终端安全便捷实现数字证书签名的方法。首先便携式智能终端在通过数据传输与电脑工作站建立对应关系后,尤其是通过二维码扫描方式,二者不再有直接的通信联系,证书相关操作均由便携式智能终端独立完成,从这个角度,较之一直与电脑工作站连接的硬件介质方式更好地隔离了针对电脑工作站的各种可能的在线恶意攻击,有更高的安全性,这样,用户不需要携带额外的硬件介质而安全方便迪使用数字证书签名;
3. 本发明提供了一种利用便携式智能终端安全便捷地替代数字证书硬件介质的方法,通过证书私钥的分割存储和使用、全封闭处理、以及特定访问控制权限设定,从而没有专用硬件介质时的有效防范了私钥窃取和调用的安全防范;
4. 本发明提供了一种免密的数字证书签名的方法,,通过便携式智能终端上证书应用操作的安全性策略设置,可以实现安全迪免密操作;
5. 本发明提供了一种新型的物联网环境下数字证书应用的方法;在不要求物联网终端智能设备支持证书安全存储介质和证书相关能力的情况下,通过适合物联网终端智能设备的认证手段,访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能。其典型应用场景包括智能家居、智能监控;
6. 本发明提供了一种新型的多用户终端下数字证书应用一体化的方法。用户同时拥有电脑、手机、pad等不同智能终端时,用户通过不同智能终端支持的动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段,访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,实现在用户多终端条件下实现用户数字证书的一致性和一体化,避免因为多终端出现一个用户多个身份(多个数字证书);
7. 本发明提供了一种新型的数字证书应用云服务方法。用户通过动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段,访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,不依赖于特定的证书安全存储介质,为用户提供云端数字证书相关服务;
8. 本发明提供了一种新型的数字证书应用的简易方法。在不要求用户智能终端支持证书特定安全存储介质和证书相关能力的情况下,用户通过智能终端,以动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,满足针对普通大众用户和大众应用的网络信任保障要求;
9. 本发明提供了一种新型的数字证书应用中间装置。该装置定位是数字证书安全存储介质(含数字证书)及其宿主机与用户终端之间的中间装置,其功能定位主要包括两个方面,一方面实现对用户或者终端设备的可靠身份认证,具体手段可以是数字证书、动态口令、手机短信、生物特征识别、第二通道认证等任何可靠身份认证技术;另一方面是在认证通过后,代理用户或者终端设备在线调用与其相连的宿主机上的数字证书安全存储介质(含数字证书)的相关功能。其组成包括数字证书应用中间装置及其运行在用户终端侧的对应客户端软件共同组成;
10.本发明涉及一种新型装置,该装置是一个逻辑概念,具体存在形式可以是硬件设备、软件逻辑模块、服务平台或者云平台等,其部署方式可以是独立部署的专用设备或者平台,也可以与其他设备和系统集成在一起;
11.本发明涉及的智能终端包括但不限于智能手机、pad、物联网智能传感器或者其他专用智能终端;在线宿主设备可包括但不限于用户电脑、单位/家庭服务器、工作站、加密机、智能手机等;宿主设备上的用户数字证书可以存储在加密机、USBKey、SDKey、SIMKey、计算机硬盘或者其他安全存储设备;
12.本发明涉及对应的安全策略设计,包括但不限于在用户和证书应用装置之间建立安全通道,在证书应用装置和证书安全存储介质之间实现直接的双向认证和安全通道,避开宿主机等中间环节等手段,最后,本发明涉及的数字证书是指以非对称密钥体系为基础的数字证书技术,不限于具体密码算法,本发明涉及一种新型设计思想和方法,不受具体实现技术、设备形态和部署方式的限制。
【有益效果】本发明提供了一种提供新型数字证书应用的方法与装置。极大地突破了当前网络信任保障体系的局限性,经济有效地解决了目前复杂网络环境下数字证书应用的诸多关键问题,对于巩固完善新一代网络信任基础设施体系具有重要意义,适应新形势下网络世界对网络信任安全保障的要求,有较强一定的市场价值。
【附图说明】
图1说明系统结构示意图,通过引入新型的数字证书应用中间装置,用户或设备可以在其上通过动态口令、手机短信、生物特征识别、第二通道认证等其他可靠身份认证手段实现身份认证,摆脱传统信任体系对数字证书终端安全介质的依赖,再通过数字证书应用中间装置调用用户对应的数字证书相关服务,将数字证书技术在敏感信息保护方面的优势及其在责任认定方面的无可替代性与其他便利可靠的身份认证手段有机结合,共同构成新一代网络信任基础设施。适应当前不同使用人群、多种智能终端、各类传输网络、差异化服务形态等复杂网络环境下数字证书应用的需要;
图2说明整个调用过程的示意图,在用户需要实现电子签名或安全登录等证书相关操作时,首先利用二维码扫码、蓝牙通信、NFC等近场通信技术,借助装置在智能手机、pad等智能便携式终端设备和电脑工作站上的专用软件,通过数据传输建立对应关系;当用户在电脑工作站上发起证书相关操作时,电脑工作站上的专用软件向专用的中间服务器装置发起对应请求,专用中间件服务器根据请求中携带的便携式终端的通信地址向对应的便携式终端转发操作请求;携式终端设备上的专用软件接收到中间服务器装置的请求后进行对应操作,并将操作结果返回中间服务器装置;中间服务器装置根据实际业务流程向电脑工作站返回操作结果;在便携式终端设备、电脑工作站和中间服务器上是否保留操作结果视具体应用需求而定。
Claims (8)
1.本发明提供了一种提供新型数字证书应用的方法,其特征在于:通过引入数字证书应用中间装置,在认证环节兼容动态口令、手机短信、生物特征识别、第二通道认证等其他可靠身份认证手段,摆脱传统信任体系对数字证书特定终端安全存储介质依赖,同时,有机结合数字证书技术在敏感信息保护方面的优势及其在责任认定方面的无可替代性,共同构建新一代网络信任体系。
2.本发明提供了一种新型的移动数字证书应用的方法,其特征在于:在不要求用户移动终端支持证书安全存储介质和证书相关能力的情况下,用户通过移动终端支持的动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段,访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,构建移动网络环境下完整的网络信任保障体系,其典型应用场景包括医生移动查房、企业移动办公等。
3.本发明提供了一种新型的物联网环境下数字证书应用的方法;其特征在于:在不要求物联网终端智能设备支持证书安全存储介质和证书相关能力的情况下,通过适合物联网终端智能设备的认证手段,访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,构建物联网环境下完整的网络信任保障体系,其典型应用场景包括智能家居、智能监控。
4.本发明提供了一种新型的多用户终端下数字证书应用一体化的方法,其特征在于:用户同时拥有电脑、手机、pad等不同智能终端时,用户通过不同智能终端支持的动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段,访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,实现在用户多终端条件下实现用户数字证书的一致性和一体化,避免因为多终端出现一个用户多个身份(多个数字证书)。
5.本发明提供了一种新型的数字证书应用云服务方法,其特征在于:用户通过动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段,访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,不依赖于特定的证书安全存储介质,为用户提供云端数字证书相关服务。
6.本发明提供了一种新型的数字证书应用的简易方法,其特征在于:在不要求用户智能终端支持证书特定安全存储介质和证书相关能力的情况下,用户通过智能终端,以动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段访问数字证书应用中间装置并实现身份认证后,再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能,满足针对普通大众用户和大众应用的网络信任保障要求。
7.本发明提供了一种新型的数字证书应用中间装置,其特征在于:该装置定位是数字证书安全存储介质(含数字证书)及其宿主机与用户终端之间的中间装置,其功能定位主要包括两个方面,一方面实现对用户或者终端设备的可靠身份认证,具体手段可以是数字证书、动态口令、手机短信、生物特征识别、第二通道认证等任何可靠身份认证技术;另一方面是在认证通过后,代理用户或者终端设备在线调用与其相连的宿主机上的数字证书安全存储介质(含数字证书)的相关功能,其组成包括数字证书应用中间装置及其运行在用户终端侧和证书服务侧的对应客户端软件共同组成。
8.本发明涉及的智能终端,其特征在于:包括但不限于智能手机、pad、物联网智能传感器或者其他专用智能终端;在线宿主设备可包括但不限于用户电脑、单位/家庭服务器、工作站、加密机、智能手机等;宿主设备上的用户数字证书可以存储在加密机、USBKey、SDKey、SIMKey、计算机硬盘或者其他安全存储设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910403946.5A CN111953493A (zh) | 2019-05-16 | 2019-05-16 | 一种新型的便携式数字证书应用方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910403946.5A CN111953493A (zh) | 2019-05-16 | 2019-05-16 | 一种新型的便携式数字证书应用方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111953493A true CN111953493A (zh) | 2020-11-17 |
Family
ID=73336492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910403946.5A Pending CN111953493A (zh) | 2019-05-16 | 2019-05-16 | 一种新型的便携式数字证书应用方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111953493A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104052713A (zh) * | 2013-03-11 | 2014-09-17 | 李华 | 一种新型的网络信任保障服务方法和装置 |
| CN106302352A (zh) * | 2015-06-05 | 2017-01-04 | 上海铠射信息科技有限公司 | 一种新型数字证书应用的方法与装置 |
| CN109150548A (zh) * | 2015-12-01 | 2019-01-04 | 神州融安科技(北京)有限公司 | 一种数字证书签名、验签方法及系统、数字证书系统 |
-
2019
- 2019-05-16 CN CN201910403946.5A patent/CN111953493A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104052713A (zh) * | 2013-03-11 | 2014-09-17 | 李华 | 一种新型的网络信任保障服务方法和装置 |
| CN106302352A (zh) * | 2015-06-05 | 2017-01-04 | 上海铠射信息科技有限公司 | 一种新型数字证书应用的方法与装置 |
| CN109150548A (zh) * | 2015-12-01 | 2019-01-04 | 神州融安科技(北京)有限公司 | 一种数字证书签名、验签方法及系统、数字证书系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108512862B (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN113347206B (zh) | 一种网络访问方法和装置 | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| CA2654381C (en) | Policy driven, credential delegation for single sign on and secure access to network resources | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN102625294B (zh) | 以usb作为虚拟sim卡的移动业务管理方法 | |
| TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| JP2018038068A (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
| KR20170106515A (ko) | 다중 팩터 인증 기관 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN103237305B (zh) | 面向移动终端上的智能卡密码保护方法 | |
| CN110705989B (zh) | 身份认证方法、实现免登授权组件的方法及各自装置 | |
| CN111818100A (zh) | 一种跨网配置通道的方法、相关设备及存储介质 | |
| CN112055344B (zh) | 一种工程机械蓝牙设备身份认证系统及方法 | |
| CN107612949B (zh) | 一种基于射频指纹的无线智能终端接入认证方法及系统 | |
| CN109145628A (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
| CN112507320A (zh) | 访问控制方法、装置、系统、电子设备和存储介质 | |
| CN105790945B (zh) | 一种实现用户唯一身份认证的认证方法、装置和系统 | |
| US11349818B2 (en) | Secure virtual personalized network | |
| CN104994498A (zh) | 一种终端应用与手机卡应用交互的方法及系统 | |
| CN113051611B (zh) | 在线文件的权限控制方法和相关产品 | |
| CN111953493A (zh) | 一种新型的便携式数字证书应用方法和装置 | |
| CN115314217A (zh) | 跨多接入边缘计算系统登录方法及装置 | |
| CN115065703A (zh) | 物联网系统及其认证与通信方法、相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |