專利名稱:一種實現數字證書身份驗證及敏感數據加密的系統的制作方法
技術領域:
本實用新型涉及一種面向互聯網的Web應用服務中的身份驗證及數據加密
的系統。
背景技術:
Web計算機應用技術近年來己得到廣泛應用,以Web為核心的企業內部網, 用戶可以通過低成本、簡單易用的客戶游覽器即可隨時隨地到企業的Web站點 上査閱自己所需的數據。Web信息動態的、交互式的發布方式改變了企業的服務質量。
作為國家的重點項目一"國家電力巿場交易運營系統"是國家電力市場交 易運營技術支撐平臺,國家電力市場各交易品種的交易可以通過"國家電力市 場交易運營系統"進行。市場成員進行市場活動,必須保證用戶登錄名的合法 性和安全性,即用戶帳戶的無法假冒性和敏感數據的安全性。
為達到以上目的,"國家電力市場交易運營系統"采用了 CFCA (中國金融 認證中心)的數字證書進行身份的確認和對敏感數據進行加密。所以有必要建 立一種可識別登錄用戶的合法性的配套系統。
發明內容
本實用新型的目的是提供一種實現數字證書身份驗證及敏感數據加密的系
統;其可對系統的用戶身份采用證書方式加密及對敏感數據進行加密;在用戶
登陸訪問系統的時候對其進行驗證通過。
為實現上述目的,本實用新型采取以下設計方案 一種實現數字證書身份驗證及敏感數據加密的系統,它包含有 具有USB規范接口并可登陸互聯網的客戶端計算機;掌控在各用戶手中的電子鑰匙,各用戶手中的電子鑰匙內置一存儲包含有 該用戶唯一身份認證數字證書的芯片;
一用于識別證書有效性的證書身份識別服務器,可以通過互聯網與客戶端 計算機及應用服務器通信;電子鑰匙通過USB接口接入客戶端計算機。
所述的證書身份識別服務器與應用服務器可以為一體化服務器為或分體式 組合的服務器。
本實用新型的優點是
1、 安全可靠,作為商業的數字證書CFCA的證書系統可以滿足商業應用數
據的安全需求;
2、 實用方便,用本文所述的方式應用該證書系統可以方便地完成對用戶身 份認證的加密需求和對敏感數據的加密需求。
圖1為本實用新型系統構成原理示意圖具體實施方式
如圖1所示,本實用新型實現數字證書身份驗證及敏感數據加密的系統的 構成包含有客戶端計算機l、掌控在各用戶手中的電子鑰匙用于識別證書有效 性的證書身份識別服務器3及應用服務器4。
所述的客戶端計算機1應具有USB規范接口,并可登陸互聯網與系統的應 用服務器信息交流。
所述的掌控在各用戶手中的電子鑰匙2就是分發給每個用戶唯一的數字證 書,即每個合法用戶分發給一個唯一的電子鑰匙,該電子鑰匙(采用USB為佳) 內包含有用于識別該用戶身份的唯一數字證書(換言之,各用戶手中的電子鑰 匙內存儲包含有該用戶唯一身份認證數字證書的芯片)。對于身份認證數字證 書加密,就是對每一個用戶分發唯一與之對應的數字證書,在登陸系統的時候, 該數字證書配合用戶名和密碼作為用戶的唯一標識,沒有數字證書的用戶無法進入系統;對于敏感數據采用數字證書對其加密后存儲或傳輸,當達到解密條 件時再調用對應的數字證書進行解密。用戶登錄系統之前,首先在登錄系統的 客戶端計算機上安裝電子鑰匙驅動程序,以便客戶端計算機可以正確識別數字 證書。電子鑰匙通過USB接口接入客戶端計算機。
所述的證書身份識別服務器3是本實用新型實現數字證書身份驗證及敏感 數據加密的系統的核心,其可以是一臺獨立的計算機,可以通過互聯網與客戶 端計算機及應用服務器通信,證書身份識別服務器內置應用程序,執行該程序 可以識別登錄系統的客戶的證書有效性,即用于識別用戶密碼及與之配合的數 字證書是否與分發給該用戶的證書一致,如一致則允許該用戶進入系統,如不 一致則拒絕該用戶進入系統。因為證書系統本身的安全性高,因此保證了系統 身份認證的安全和可靠。另執行該程序還可對一些敏感數據進行加密。
本實施例中所述的應用服務器4采用Web應用服務器,其內裝有國家電力 巿場交易運營服務程序芯片。
所述的證書身份識別服務器與應用服務器可以一體部署或分體部署。
如圖l所示,本實用新型構建時首先部署基于證書識別的身份認證服務器, 然后部署應用服務器,部署后由身份認證服務器控制對應用服務器的訪問;需
要時,兩個服務器也可以部署在同一服務器內。
其工作原理是客戶端用戶通過本機1上的USB接口插入電子鑰匙2后, 向證書身份識別服務器3發出申請,證書身份識別服務器驗證用戶名、密碼及 證書正確后,通過驗證,用戶接入應用服務,完成身份認證。
數據加密傳輸時,與此類似,對于敏感數據,通過調用數字證書,對敏感 數據進行加密,加密后,數據上傳至應用服務器,加密保存,必要時通過調用 數字證書解密數據,供使用。
由于登陸用戶使用的電子鑰匙可以采用USB,其易定制加工,且攜帶方便,
安全可靠,所以即方便了用戶的使用,又保證了整個系統及每個用戶的使用安全。
權利要求1、一種實現數字證書身份驗證及敏感數據加密的系統,其特征在于它包含有具有USB規范接口并可登陸互聯網的客戶端計算機;掌控在各用戶手中的電子鑰匙,各用戶手中的電子鑰匙內存儲包含有該用戶唯一身份認證數字證書的芯片;一用于識別證書有效性的證書身份識別服務器,可以通過互聯網與客戶端計算機及應用服務器通信;電子鑰匙通過USB接口接入客戶端計算機。
2、 根據權利要求1所述的實現數字證書身份驗證及敏感數據加密的系統,其特征在于所述的應用服務器為裝有國家電力市場交易運營服務程序的應用服務器,所述電子鑰匙內置的芯片為存儲包含有"國家電力巿場交易運營系統"專用的C F C A數字證書的芯片。
3、 根據權利要求1所述的實現數字證書身份驗證及敏感數據加密的系統,其特征在于所述的證書身份識別服務器與應用服務器可以為一體化服務器為或分體式組合的服務器。
專利摘要一種實現數字證書身份驗證及敏感數據加密的系統,它包含有具有USB規范接口并可登陸互聯網的客戶端計算機;掌控在各用戶手中的電子鑰匙,各用戶手中的電子鑰匙內存儲包含有該用戶唯一身份認證數字證書的芯片;一用于識別證書有效性的證書身份識別服務器,可以通過互聯網與客戶端計算機及應用服務器通信;電子鑰匙通過USB接口接入客戶端計算機。本實用新型安全可靠,實用方便,可以滿足商業應用數據的安全需求。
文檔編號H04L29/06GK201266949SQ200820110170
公開日2009年7月1日 申請日期2008年9月10日 優先權日2008年9月10日
發明者冬 劉, 杰 劉, 劉大為, 史述紅, 周海明, 屈富敏, 雪 張, 張學松, 李偉剛, 楊占勇, 勇 梁, 野 梁, 文 王, 王海寧, 薛家興, 顯 趙, 陳乃仕, 陳西穎, 力 陶, 高春城 申請人:北京科東電力控制系統有限責任公司