基于硬件特征的證書認證系統和方法

專利名稱：基于硬件特征的證書認證系統和方法
專利說明基于硬件特征的證書認證系統和方法 本發明涉及網絡上的證書認證系統和方法，特別是涉及一種基于硬件特征的證書認證系統和方法。在互聯網應用越來越多的今天，身份認證問題成為互聯網應用需要解決的核心問題之一。簡單的身份認證有用戶名和密碼認證體系；稍微復雜的系統如網上銀行等則需要用專門的數字證書進行身份認證。
在傳統的身份認證系統中使用的是CA服務器統一分發的證書進行認證。CA(Certification Authority)是認證機構的國際通稱，它是對數字證書的申請者發放、管理、取消數字證書的機構。數字證書實際是一串很長的數學編碼，包含有客戶的基本信息及CA的簽字，通常保存在電腦硬盤或IC卡中。證明證書主體(＂證書申請者＂獲得CA認證中心簽發的證書后即成為＂證書主體＂)與證書中所包含的公鑰的唯一對應關系。證書在通信時用來出示給對方，證明自己的身份。
數字證書的工作原理，通常來講，在網上系統中存在三種證書CA服務器自身的根證書，應用服務器證書，和每個用戶在瀏覽器端的客戶證書。有了這三個證書，就可以在瀏覽器與應用服務器之間建立起SSL(安全連接層)連接。這樣，你的瀏覽器與應用服務器之間就有了一個安全的加密信道。你的證書可以使與你通訊的對方驗證你的身份(你確實是你所聲稱的那個你)，同樣，你也可以用與你通訊的對方的證書驗證他的身份(他確實是他所聲稱的那個他)，而這一驗證過程是由系統自動完成的。
這些傳統方案中，網上的用戶名和密碼容易被盜用；而傳統的數字證書因為由CA服務器統一頒發，也存在被復制和盜用的風險，引起使用過程中的冒名頂替，容易給用戶造成不可估量的損失。本發明的目的是提供一種基于硬件特征的證書認證系統和方法，在使用過程中不容易被復制或盜用。
本發明的目的是這樣實現的構建一種基于硬件特征的證書認證方法，包含以下步驟第一步，認證服務器使用包含客戶端硬件特征的硬件證書加密數字證書后形成加密文件發給客戶端；第二步，客戶端使用硬件證書對收到的加密文件解密后得到數字證書提供給應用服務器；第三步，應用服務器把數字證書提供給認證服務器核對完成認證。
構建一種基于硬件特征的證書認證系統，其特征在于包括客戶端硬件特征采集器，用于根據采集的客戶端硬件特征生成硬件證書；認證服務器，用于存儲客戶端硬件特征采集器提供的硬件證書，給客戶端生成數字證書，并用所述硬件證書加密后生成加密文件提供給客戶端；客戶端，用于接收認證服務器的加密文件，并控制客戶端硬件特征采集器臨時生成硬件證書，對加密文件解密后得到數字證書，以備身份認證；應用服務器，用于接收客戶端的數字證書，提供給認證服務器核對完成認證。
本發明因為采用了上述方法和系統，使得每次對客戶端進行認證時，客戶端都要采集自身的硬件特征生成一次硬件證書，才能完成認證過程，從而使客戶端不可仿冒，避免了現有技術中因數字證書或密碼被盜而引起的身份誤認。并且還能通過硬件證書驗證客戶端的有效性，加強CA系統的安全特性，在同類型解決方案中由于沒有加入額外的硬件，因此具有成本低，部署簡單等優點。

圖1是本發明硬件證書的生成示意圖；圖2是本發明認證過程的示意圖。下面結合附圖和實施例對本發明作進一步的闡述。
圖1和圖2體現了基于PC硬件特征的認證系統(SinforCA)工作過程。
如圖1所示，在客戶端PC上設置了硬件特征采集器，可以根據硬件特征通過某些加密算法生成硬件證書文件。加密算法可以各種通用的加密算法，比如包括但不限于RSA，3DES，AES等通用算法，加密位數在128位以上。PC上的硬件特征包括但不限于硬盤的物理序列號，邏輯分區的序號，CPU序號，網卡MAC地址，主板序號等。硬件證書文件中應該包含證書的生成日期，硬件特征，和校驗和，但不限于以上信息。硬件證書為1K以上的數字序列。
將硬件證書通過安全的手段傳送到認證服務器(CA Server)，服務器通過ID號生成器客戶分配一個用戶ID號。安全的傳送手段包括但不限于加密的郵件、通過保密的物理介質傳輸等方法。
如圖2所示，認證時，第一步，客戶端先將ID通過密文或明文報給CA服務器。第二步，CA服務器通過隨機數生成器為當前客戶分配一個臨時的唯一認證號碼和加密密碼B。為保證唯一性，該認證號碼應當至少大于64位，一般為128位以上。該認證號碼在每一次認證過程完成后失效，或在較短時間(比如30秒)后失效。CA服務器再使用用戶ID和硬件證書生成新密鑰后，再用新密鑰加密認證號碼序號和密碼B(加解密算法可以使用但不限于AES，3DES等對稱加密算法)，形成用硬件證書加密后的數字證書文件。其中數字證書的內容主要包括用戶ID號、認證號碼和加密密碼B等。第三步，CA服務器把加密后的文件回傳給客戶端。
第四步，客戶端用收到加密后的文件后，再臨時生成硬件證書，使用硬件證書加密ID生成新密鑰后，再用新密鑰解密認證號碼和密碼B(數字證書的主要內容)。第五步，用密碼B加密認證號碼并和用戶ID一起形成數字證書發送到應用服務器進行身份認證。第六步，應用服務器將數字證書(加密的認證號碼和用戶ID)發到CA服務器進行身份確認。
上述應用服務器和CA服務器可以是同一個服務器。
本方案只描述單向認證過程，如果是雙向認證過程，則應用服務器和客戶端的邏輯位置倒置，重復該認證過程即可。
本發明的客戶端不僅僅限于PC機和筆記本，還可包括PDA以及未來3G的手持設備。硬件特征還可以根據具體的設備包括更多的特征。硬件證書的生成算法可以使用多種加密算法。硬件證書的傳輸手段可以采用多種安全方式。認證過程可以使用其他簡化的認證過程，核心過程是需要使用硬件證書進行認證。比如客戶端可以直接使用硬件證書按某種算法和用戶ID一起生成的某種序號，發到CA服務器進行身份認證，身份被確認后，使用該序號和應用服務器進行交換。
本發明的最大優點是防止證書和密碼被盜用。在同類型解決方案中由于沒有加入額外的硬件，因此具有成本低，部署簡單等優點，可廣泛使用于防火墻、VPN等網絡安全系統、網上交易，網上銀行等電子商務系統、OA等電子政務系統。能大大提高系統的安全等級。
權利要求
1.一種基于硬件特征的證書認證方法，包含以下步驟第一步，認證服務器使用包含客戶端硬件特征的硬件證書加密數字證書后形成加密文件發給客戶端；第二步，客戶端使用硬件證書對收到的加密文件解密后得到數字證書提供給應用服務器；第三步，應用服務器把數字證書提供給認證服務器核對完成認證。
2.根據權利要求1所述的基于硬件特征的證書認證方法，其特征在于，在所述第一步之前，還包含硬件證書生成步驟采集客戶端的硬件特征形成硬件證書存儲于認證服務器中。
3.根據權利要求1所述的基于硬件特征的證書認證方法，其特征在于，所述第一步包含以下步驟步驟101，認證服務器根據客戶端提供的ID號，分配一個臨時的唯一認證號碼和加密密碼B；步驟102，認證服務器使用用戶ID和硬件證書生成新密鑰后，再用新密鑰加密認證號碼序號和密碼B，形成用硬件證書加密后的數字證書文件；步驟103，認證服務器把加密后的文件傳給客戶端。
4.根據權利要求1所述的基于硬件特征的證書認證方法，其特征在于，所述第二步包含以下步驟步驟201，客戶端收到所述加密后的文件后，臨時生成硬件證書；步驟202，客戶端使用硬件證書和用戶ID生成新密鑰后，再用新密鑰解密所述加密后的文件獲得認證號碼和密碼B；步驟203，用密碼B加密認證號碼并和用戶ID一起形成數字證書發送到應用服務器。
5.一種基于硬件特征的證書認證系統，其特征在于包括客戶端硬件特征采集器，用于根據采集的客戶端硬件特征生成硬件證書；認證服務器，用于存儲客戶端硬件特征采集器提供的硬件證書，給客戶端生成數字證書，并用所述硬件證書加密后生成加密文件提供給客戶端；客戶端，用于接收認證服務器的加密文件，并控制客戶端硬件特征采集器臨時生成硬件證書，對加密文件解密后得到數字證書，以備身份認證；應用服務器，用于接收客戶端的數字證書，提供給認證服務器核對完成認證。
6.根據權利要求5所述的基于硬件特征的證書認證系統，其特征在于所述認證服務器包括一個ID號生成器，用于給客戶端提供ID號。
7.根據權利要求5所述的基于硬件特征的證書認證系統，其特征在于所述認證服務器還包括一個隨機數產生器，用于根據客戶端提供的ID號，分配給客戶端一個臨時的唯一認證號碼和加密密碼B。
8.根據權利要求5、6或7所述的基于硬件特征的證書認證系統，其特征在于所述認證服務器和應用服務器是同一個服務器。
全文摘要
本發明公開了一種基于硬件特征的證書認證系統和方法，其方法包含以下步驟認證服務器使用包含客戶端硬件特征的硬件證書加密數字證書后形成加密文件發給客戶端；客戶端使用硬件證書對收到的加密文件解密后得到數字證書提供給應用服務器；應用服務器把數字證書提供給認證服務器核對完成認證。其系統包括客戶端硬件特征采集器，用于根據采集的客戶端硬件特征生成硬件證書；認證服務器；客戶端；應用服務器。本發明因為采用了上述方法和系統，使得每次對客戶端進行認證時，客戶端都要采集自身的硬件特征生成一次硬件證書，才能完成認證過程，從而使客戶端不可仿冒，避免了現有技術中因數字證書或密碼被盜而引起的身份誤認。
文檔編號G06F15/16GK1447269SQ03114180
公開日2003年10月8日 申請日期2003年4月10日 優先權日2003年4月10日
發明者何朝曦 申請人:深圳市深信服電子科技有限公司