專利名稱:局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及Direct Client系統(tǒng)認(rèn)證領(lǐng)域,尤其涉及一種局域網(wǎng)內(nèi)DirectClient系統(tǒng)認(rèn)證的方法�。
背景技術(shù):
CA(Certificate Authority,證書授權(quán))中心�����,又稱為數(shù)字證書認(rèn)證中心��,作為電子商務(wù)交易中受信任的第三方�,專門解決公鑰體系中公鑰的合法性問題���。CA中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書�,數(shù)字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)��。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書�����。在數(shù)字證書認(rèn)證的過程中,CA中心作為權(quán)威的���、公正的�����、可信賴的第三方���,其作用是至關(guān)重要的。CA中心負(fù)責(zé)發(fā)放和管理數(shù)字證書�,并允許管理員撤銷已發(fā)放的數(shù)字證書,在證書廢止列表中添加新項(xiàng)并周期性地發(fā)布這一數(shù)字簽名的證書廢止列表�。在用戶使用數(shù)字證書進(jìn)行身份驗(yàn)證時(shí),必須同時(shí)使用有效的數(shù)字證書和證書廢止列表���。
PKCS(Public Key Cryptography Standards���,公鑰密碼系統(tǒng)標(biāo)準(zhǔn))是由美國RSA數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學(xué)標(biāo)準(zhǔn),其中包括證書申請���、證書更新�、證書廢止列表發(fā)布、擴(kuò)展證書內(nèi)容以及數(shù)字簽名��、數(shù)字信封的格式等方面的一系列相關(guān)協(xié)議���。其中PKCS#11��,定義了一套獨(dú)立于技術(shù)的程序設(shè)計(jì)接口�����,用于智能卡之類的加密設(shè)備��,以便用戶完成與設(shè)備建立連接���,加解密與數(shù)據(jù)管理等任務(wù)。
Direct是CFCA(China Financial Certification Authority�����,中國金融認(rèn)證中心)為使用高級(jí)證書的客戶提供的一種安全代理軟件��。Direct安全代理軟件是處于應(yīng)用層面并直接面向證書用戶的���。Direct由Direct Server和DirectClient兩部分組成Direct Server主要用于網(wǎng)站用戶;Direct Client主要用于需要網(wǎng)上服務(wù)的最終用戶。Direct的主要作用就是在客戶的瀏覽器和網(wǎng)站的服務(wù)器之間建立一個(gè)安全通道����,使得相互之間可以安全地傳遞信息,同時(shí)完成對證書的自動(dòng)管理����。
Direct Client在事先設(shè)置好的配置文件中指定下載數(shù)字證書和證書廢止列表的服務(wù)器的IP地址和端口,用戶通過該地址和端口從CA中心下載用戶數(shù)字證書和證書廢止列表�����。當(dāng)用戶使用Direct Client向CA中心申請下載數(shù)字證書時(shí)���,Direct Client會(huì)要求用戶指定一個(gè)數(shù)字證書存放的路徑�,下載后將數(shù)字證書存放在此路徑下�����,同時(shí)把下載的證書廢止列表也保存在此路徑下�,該路徑會(huì)作為一個(gè)附帶的數(shù)據(jù)對象保存在用戶數(shù)字證書的一個(gè)數(shù)據(jù)結(jié)構(gòu)中。當(dāng)用戶使用下載的數(shù)字證書進(jìn)行身份認(rèn)證時(shí)�����,Direct Client會(huì)從數(shù)字證書中讀取該數(shù)據(jù)對象,并到該數(shù)據(jù)對象指定的路徑下查找證書廢止列表�。如果該路徑下保存有有效的證書廢止列表,Direct Client無需連接CA中心服務(wù)器就可以使用該數(shù)字證書進(jìn)行用戶身份認(rèn)證��、數(shù)據(jù)加解密��、簽名及驗(yàn)證簽名等證書相關(guān)操作����;如果該路徑下沒有證書廢止列表或者證書廢止列表過期或失效,Direct Client會(huì)自動(dòng)根據(jù)配置文件到指定的服務(wù)器地址和端口下載有效的證書廢止列表���,如果此時(shí)無法連接指定的服務(wù)器和相應(yīng)的端口��,DirectClient就會(huì)報(bào)錯(cuò)�����,無法使用數(shù)字證書�����。
當(dāng)在銀行內(nèi)部使用Direct Client時(shí),會(huì)受到一定的限制�����。一般為了保證銀行系統(tǒng)的高安全性,防止外部攻擊�,銀行的內(nèi)部網(wǎng)絡(luò)相對于互聯(lián)網(wǎng)是獨(dú)立的,在銀行內(nèi)部網(wǎng)絡(luò)中無法連通Direct Client指定的下載數(shù)字證書和證書廢止列表的服務(wù)器及端口�����。在銀行為客戶或其內(nèi)部工作人員申請數(shù)字證書時(shí)����,不能使用銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)操作,必須使用連接互聯(lián)網(wǎng)的計(jì)算機(jī)進(jìn)行操作����,才能正常下載數(shù)字證書及證書廢止列表。
為了更好地解決這一問題�,現(xiàn)有技術(shù)中通常把數(shù)字證書保存在軟盤或智能密鑰裝置中。智能密鑰裝置是一種USB接口設(shè)備�,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書��,利用智能密鑰裝置內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證��。智能密鑰裝置具有保證用戶的私鑰永遠(yuǎn)不離開硬件的特征�,安全性極高��。隨著信息技術(shù)的高速發(fā)展�,為了滿足人們對信息交流和私密性的雙重需要��,出現(xiàn)了一種包括智能密鑰裝置和海量存儲(chǔ)裝置的復(fù)合設(shè)備����,即在智能密鑰裝置基礎(chǔ)上增加用于存儲(chǔ)數(shù)據(jù)的海量存儲(chǔ)裝置,不僅保證了密鑰的安全還能實(shí)現(xiàn)大量信息的存儲(chǔ)�����。
使用軟盤作為數(shù)字證書存儲(chǔ)介質(zhì)時(shí)�����,用戶指定的數(shù)字證書存放的路徑為軟盤上的路徑��,數(shù)字證書和證書廢止列表都保存在軟盤上的指定路徑中��,該路徑也同時(shí)被保存在數(shù)字證書附帶的數(shù)據(jù)對象中�����。在銀行內(nèi)部網(wǎng)絡(luò)中使用保存在軟盤上的數(shù)字證書時(shí),Direct Client根據(jù)從數(shù)字證書中的數(shù)據(jù)對象得到的路徑可以從軟盤上相應(yīng)的路徑中得到有效的證書廢止列表����,從而保證Direct Client可以進(jìn)行用戶身份認(rèn)證等正常操作�����。但是這種使用軟盤作為存儲(chǔ)介質(zhì)的方法具有一定的缺陷�����,即軟盤內(nèi)容容易被惡意分子復(fù)制�����,安全性較低�。
使用智能密鑰裝置作為證書存儲(chǔ)介質(zhì)的情況下,Direct Client會(huì)自動(dòng)將數(shù)字證書存儲(chǔ)在智能密鑰裝置中����,但是證書廢止列表仍保存在下載數(shù)字證書時(shí)使用的計(jì)算機(jī)中,不會(huì)自動(dòng)保存在智能密鑰裝置中�。這里所說的智能密鑰裝置為簡單的智能密鑰裝置,此時(shí)保存在智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象所指向的證書廢止列表存儲(chǔ)路徑只有在下載數(shù)字證書時(shí)使用的計(jì)算機(jī)上有效�。當(dāng)存有數(shù)字證書的智能密鑰裝置在銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)上使用時(shí),需要在當(dāng)前的計(jì)算機(jī)上重新登錄Direct Client���,由于該路徑指向的當(dāng)前計(jì)算機(jī)上沒有證書廢止列表���,Direct Client會(huì)自動(dòng)嘗試通過配置文件指定的服務(wù)器地址和端口下載證書廢止列表��,而銀行內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)是相互獨(dú)立的���,Direct Client無法和該服務(wù)器地址及端口連通,也就無法下載證書廢止列表�,此時(shí)就會(huì)出錯(cuò),導(dǎo)致無法登錄Direct Client����,因此也就無法進(jìn)行用戶身份的認(rèn)證,數(shù)據(jù)加解密����、簽名及驗(yàn)證簽名等相關(guān)操作。
發(fā)明內(nèi)容
為了克服用戶使用Direct Client系統(tǒng)進(jìn)行認(rèn)證時(shí)無法正確讀取有效證書廢止列表的缺陷���,本發(fā)明的目的在于提供一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法����,在無法連通Direct Client配置文件中指定的下載證書廢止列表的服務(wù)器及端口的局域網(wǎng)內(nèi)使用Direct Client系統(tǒng)時(shí),利用智能密鑰裝置可以確保用戶順利進(jìn)行身份認(rèn)證等操作���。
本發(fā)明提供的一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法���,在所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上登錄Direct Client系統(tǒng)時(shí),執(zhí)行以下步驟步驟A將存儲(chǔ)有數(shù)字證書和證書廢止列表的智能密鑰裝置連接到局域網(wǎng)內(nèi)的計(jì)算機(jī)上��;步驟B修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使其指向保存所述證書廢止列表的有效路徑��;步驟CDirect Client系統(tǒng)讀取所述智能密鑰裝置中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息���,根據(jù)該路徑信息找到并讀取所述證書廢止列表,進(jìn)行用戶身份認(rèn)證��。
所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟可以為先將所述智能密鑰裝置中的證書廢止列表復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上��,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息��,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上保存所述證書廢止列表的路徑��。
所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟還可以為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上將要保存所述證書廢止列表的路徑��,然后將所述智能密鑰裝置中的證書廢止列表按照修改后的路徑復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上����。
本發(fā)明還提供一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法,在所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上登錄Direct Client系統(tǒng)時(shí)�����,所述方法包括以下步驟步驟A`將存儲(chǔ)有數(shù)字證書和證書廢止列表的復(fù)合設(shè)備連接到局域網(wǎng)內(nèi)的計(jì)算機(jī)上����;步驟B`修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向保存所述證書廢止列表的有效路徑�;步驟C`Direct Client系統(tǒng)讀取所述復(fù)合設(shè)備中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息,根據(jù)該路徑信息找到并讀取所述證書廢止列表�,進(jìn)行用戶身份認(rèn)證。
所述復(fù)合設(shè)備包括智能密鑰裝置和海量存儲(chǔ)裝置��,所述數(shù)字證書被存儲(chǔ)在所述智能密鑰裝置中���,所述證書廢止列表被存儲(chǔ)在所述海量存儲(chǔ)裝置中���。
所述步驟B`中修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟可以為
先將所述海量存儲(chǔ)裝置中的證書廢止列表復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上��,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息���,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上保存所述證書廢止列表的路徑。
所述步驟B`中修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟還可以為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息��,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上將要保存所述證書廢止列表的路徑�,然后將所述海量存儲(chǔ)裝置中的證書廢止列表按照修改后的路徑復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上。
所述步驟B`中修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟還可以為修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使其指向所述海量存儲(chǔ)裝置中保存所述證書廢止列表的路徑在所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上映射的有效路徑�����。
本發(fā)明的有益效果是利用智能密鑰裝置或復(fù)合設(shè)備存儲(chǔ)數(shù)字證書和證書廢止列表��,通過修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�,使DirectClient系統(tǒng)可以正確地找到證書廢止列表����,從而進(jìn)行用戶身份的認(rèn)證,不但增強(qiáng)了金融交易的安全性��,還提高了認(rèn)證過程的可用性和易用性。
圖1為本發(fā)明使用智能密鑰裝置或復(fù)合設(shè)備下載并存儲(chǔ)數(shù)字證書和證書廢止列表的系統(tǒng)示意圖����;圖2為本發(fā)明在局域網(wǎng)內(nèi)使用智能密鑰裝置支持Direct Client系統(tǒng)認(rèn)證的方法流程圖;圖3為本發(fā)明在局域網(wǎng)內(nèi)使用復(fù)合設(shè)備支持Direct Client系統(tǒng)認(rèn)證的方法流程圖���;圖4為本發(fā)明在局域網(wǎng)內(nèi)使用復(fù)合設(shè)備支持Direct Client系統(tǒng)認(rèn)證的另一種方法流程圖�。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例對本發(fā)明作進(jìn)一步說明���,但不作為對本發(fā)明的限定��。
參見圖1�����,為本發(fā)明使用智能密鑰裝置或復(fù)合設(shè)備下載并存儲(chǔ)數(shù)字證書和證書廢止列表的系統(tǒng)示意圖���。當(dāng)用戶向CA中心申請或更新認(rèn)證信息時(shí),首先將智能密鑰裝置或復(fù)合設(shè)備連接到能夠連入互聯(lián)網(wǎng)的計(jì)算機(jī)上��,用戶使用此計(jì)算機(jī)上的Direct Client系統(tǒng)通過互聯(lián)網(wǎng)訪問CFCA服務(wù)器����,即向CA中心發(fā)起申請或更新認(rèn)證信息的請求�����,根據(jù)Direct Client系統(tǒng)的配置文件從指定的服務(wù)器及端口下載數(shù)字證書和證書廢止列表����。
智能密鑰裝置不能被計(jì)算機(jī)的操作系統(tǒng)的文件系統(tǒng)識(shí)別和管理�����,當(dāng)使用智能密鑰裝置通過互聯(lián)網(wǎng)下載數(shù)字證書和證書廢止列表時(shí)��,Direct Client系統(tǒng)將數(shù)字證書直接下載到智能密鑰裝置中����;或者先將數(shù)字證書下載到當(dāng)前計(jì)算機(jī)的硬盤上�����,然后由用戶通過執(zhí)行相應(yīng)的應(yīng)用程序讀取硬盤上的數(shù)字證書���,并調(diào)用PKCS#11接口在智能密鑰裝置中創(chuàng)建數(shù)字證書數(shù)據(jù)對象�����,再把數(shù)字證書保存到所述數(shù)字證書數(shù)據(jù)對象中����,從而完成了復(fù)制數(shù)字證書到智能密鑰裝置中的過程;Direct Client系統(tǒng)將證書廢止列表下載到當(dāng)前計(jì)算機(jī)的硬盤上���,再由用戶通過執(zhí)行相應(yīng)的應(yīng)用程序讀取硬盤上的證書廢止列表��,并調(diào)用PKCS#11接口在智能密鑰裝置中創(chuàng)建證書廢止列表數(shù)據(jù)對象��,然后把證書廢止列表保存到所述證書廢止列表數(shù)據(jù)對象中����,從而完成了復(fù)制證書廢止列表到智能密鑰裝置中的過程����。
復(fù)合設(shè)備包括智能密鑰裝置和海量存儲(chǔ)裝置,海量存儲(chǔ)裝置能夠被計(jì)算機(jī)的操作系統(tǒng)的文件系統(tǒng)識(shí)別和管理����。當(dāng)把復(fù)合設(shè)備連接到計(jì)算機(jī)上時(shí),計(jì)算機(jī)會(huì)識(shí)別此硬件����,通過計(jì)算機(jī)操作系統(tǒng)的文件系統(tǒng)可以讀取海量存儲(chǔ)裝置的存儲(chǔ)內(nèi)容�,也可以將數(shù)據(jù)存儲(chǔ)到海量存儲(chǔ)裝置中��。當(dāng)使用復(fù)合設(shè)備通過互聯(lián)網(wǎng)下載數(shù)字證書和證書廢止列表時(shí)�,Direct Client系統(tǒng)將數(shù)字證書下載到智能密鑰裝置中;或者先將數(shù)字證書下載到當(dāng)前計(jì)算機(jī)的硬盤上�����,然后由用戶通過執(zhí)行相應(yīng)的應(yīng)用程序讀取硬盤上的數(shù)字證書����,并通過調(diào)用PKCS#11接口在智能密鑰裝置中創(chuàng)建數(shù)字證書數(shù)據(jù)對象,再將數(shù)字證書保存到所述數(shù)字證書數(shù)據(jù)對象中���,從而完成了復(fù)制數(shù)字證書到智能密鑰裝置中的過程���;Direct Client系統(tǒng)將證書廢止列表下載到當(dāng)前計(jì)算機(jī)的硬盤上,再由用戶通過執(zhí)行復(fù)制命令將證書廢止列表復(fù)制到海量存儲(chǔ)裝置中�;用戶也可以在配置文件中指定Direct Client系統(tǒng)的證書廢止列表下載路徑為海量存儲(chǔ)裝置在當(dāng)前計(jì)算機(jī)上映射的有效路徑����,此時(shí)Direct Client系統(tǒng)將證書廢止列表直接下載到海量存儲(chǔ)裝置中。
下載完成后�,存儲(chǔ)有數(shù)字證書和證書廢止列表的智能密鑰裝置或復(fù)合設(shè)備就可以在無法連通Direct Client配置文件中指定的服務(wù)器及端口的局域網(wǎng)內(nèi)使用了��。
參見圖2��,為本發(fā)明在局域網(wǎng)內(nèi)使用智能密鑰裝置支持Direct Client系統(tǒng)認(rèn)證的方法流程圖�����。當(dāng)在無法連通Direct Client配置文件中指定的下載數(shù)字證書和證書廢止列表服務(wù)器及端口的局域網(wǎng)內(nèi)使用智能密鑰裝置進(jìn)行用戶身份認(rèn)證時(shí)�,執(zhí)行以下步驟步驟201將存儲(chǔ)有數(shù)字證書和證書廢止列表的智能密鑰裝置連接到上述局域網(wǎng)內(nèi)的計(jì)算機(jī)上��;步驟202用戶通過執(zhí)行相應(yīng)的應(yīng)用程序�,調(diào)用PKCS#11接口讀取智能密鑰裝置中的證書廢止列表,并把證書廢止列表以證書廢止列表文件的形式復(fù)制到計(jì)算機(jī)的硬盤上���;步驟203用戶通過PKCS#11接口讀取智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的數(shù)據(jù)����,該數(shù)據(jù)就是證書廢止列表在下載時(shí)的保存路徑�;然后判斷該數(shù)據(jù)指定的路徑與所述計(jì)算機(jī)上保存所述證書廢止列表的路徑是否相同,如果相同則不修改該數(shù)據(jù)���;如果不相同則修改該數(shù)據(jù)�,使其指向所述計(jì)算機(jī)上保存所述證書廢止列表的路徑,再通過PKCS#11接口用所述修改后的數(shù)據(jù)即保存有新的路徑信息的數(shù)據(jù)覆蓋智能密鑰裝置中數(shù)字證書附帶的數(shù)據(jù)對象中的原有數(shù)據(jù)�;上述步驟203也可以在步驟202之前執(zhí)行,即先執(zhí)行修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的操作�,然后再執(zhí)行保存證書廢止列表到計(jì)算機(jī)上的操作,只要保證修改后的路徑與證書廢止列表在計(jì)算機(jī)上保存的路徑一致即可����;步驟204Direct Client系統(tǒng)讀取智能密鑰裝置中的數(shù)字證書以及該數(shù)字證書附帶的數(shù)據(jù)對象中被修改后的路徑信息;步驟205Direct Client系統(tǒng)根據(jù)讀取的路徑找到并讀取證書廢止列表�,進(jìn)行用戶身份的認(rèn)證。
參見圖3���,為本發(fā)明在局域網(wǎng)內(nèi)使用復(fù)合設(shè)備支持Direct Client系統(tǒng)認(rèn)證的方法流程圖����。當(dāng)在無法連通Direct Client配置文件中指定的下載數(shù)字證書和證書廢止列表服務(wù)器及端口的局域網(wǎng)內(nèi)使用復(fù)合設(shè)備進(jìn)行用戶身份認(rèn)證時(shí)��,執(zhí)行以下步驟步驟301將存儲(chǔ)有數(shù)字證書和證書廢止列表的復(fù)合設(shè)備連接到上述局域網(wǎng)內(nèi)的計(jì)算機(jī)上��;步驟302用戶通過PKCS#11接口讀取復(fù)合設(shè)備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的數(shù)據(jù)�����,該數(shù)據(jù)就是證書廢止列表在下載時(shí)的保存路徑�����;然后判斷該數(shù)據(jù)指定的路徑與復(fù)合設(shè)備的海量存儲(chǔ)裝置中保存所述證書廢止列表的路徑在所述計(jì)算機(jī)上映射的有效路徑是否相同�����,如果相同則不修改該數(shù)據(jù)����;如果不相同則修改該數(shù)據(jù),使其指向復(fù)合設(shè)備的海量存儲(chǔ)裝置中保存所述證書廢止列表的路徑在所述計(jì)算機(jī)上映射的有效路徑�����,再通過PKCS#11接口用所述修改后的數(shù)據(jù)即保存有新的路徑信息的數(shù)據(jù)覆蓋復(fù)合設(shè)備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的原有數(shù)據(jù)�;步驟303Direct Client系統(tǒng)讀取復(fù)合設(shè)備的智能密鑰裝置中的數(shù)字證書以及該數(shù)字證書附帶的數(shù)據(jù)對象中被修改后的路徑信息;步驟304Direct Client系統(tǒng)根據(jù)讀取的路徑找到并讀取證書廢止列表���,進(jìn)行用戶身份的認(rèn)證��。
參見圖4���,本發(fā)明還提供在局域網(wǎng)內(nèi)使用復(fù)合設(shè)備支持Direct Client系統(tǒng)認(rèn)證的方法的另一個(gè)實(shí)施例,與圖3所示的方法相比僅步驟302有所不同����,具體步驟如下步驟401將存儲(chǔ)有數(shù)字證書和證書廢止列表的復(fù)合設(shè)備連接到上述局域網(wǎng)內(nèi)的計(jì)算機(jī)上��;步驟402用戶執(zhí)行復(fù)制命令將復(fù)合設(shè)備的海量存儲(chǔ)裝置中的證書廢止列表復(fù)制到所述計(jì)算機(jī)的硬盤上�;步驟403通過PKCS#11接口讀取復(fù)合設(shè)備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的數(shù)據(jù)�,該數(shù)據(jù)就是證書廢止列表在下載時(shí)的保存路徑;然后判斷該數(shù)據(jù)指定的路徑與所述計(jì)算機(jī)上保存所述證書廢止列表的路徑是否相同���,如果相同則不修改該數(shù)據(jù)����;如果不相同則修改該數(shù)據(jù)����,使其指向所述計(jì)算機(jī)上保存所述證書廢止列表的路徑,再通過PKCS#11接口用所述修改后的數(shù)據(jù)即保存有新的路徑信息的數(shù)據(jù)覆蓋復(fù)合設(shè)備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的原有數(shù)據(jù)�;上述步驟403也可以在步驟402之前執(zhí)行,即先執(zhí)行修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的操作�����,然后再執(zhí)行復(fù)制證書廢止列表到計(jì)算機(jī)上的操作�����,只要保證修改后的路徑與證書廢止列表在計(jì)算機(jī)上保存的路徑一致即可;步驟404Direct Client系統(tǒng)讀取復(fù)合設(shè)備的智能密鑰裝置中的數(shù)字證書以及該數(shù)字證書附帶的數(shù)據(jù)對象中被修改后的路徑信息�����;步驟405Direct Client系統(tǒng)根據(jù)讀取的路徑信息找到并讀取證書廢止列表��,進(jìn)行用戶身份的認(rèn)證���。
以上所述的實(shí)施例,只是本發(fā)明較優(yōu)選的具體實(shí)施方式
的一種�,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案范圍內(nèi)進(jìn)行的通常變化和替換,都應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)����。
權(quán)利要求
1.一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法,其特征在于��,在所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上登錄Direct Client系統(tǒng)時(shí)���,所述方法包括以下步驟步驟A將存儲(chǔ)有數(shù)字證書和證書廢止列表的智能密鑰裝置連接到局域網(wǎng)內(nèi)的計(jì)算機(jī)上���;步驟B修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向保存所述證書廢止列表的有效路徑�����;步驟CDirect Client系統(tǒng)讀取所述智能密鑰裝置中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息,根據(jù)該路徑信息找到并讀取所述證書廢止列表�,進(jìn)行用戶身份認(rèn)證。
2.根據(jù)權(quán)利要求1所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法���,其特征在于�����,所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先將所述智能密鑰裝置中的證書廢止列表復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上�,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上保存所述證書廢止列表的路徑�。
3.根據(jù)權(quán)利要求1所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法,其特征在于��,所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上將要保存所述證書廢止列表的路徑�����,然后將所述智能密鑰裝置中的證書廢止列表按照修改后的路徑復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上。
4.一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法�,其特征在于,在所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上登錄Direct Client系統(tǒng)時(shí)����,所述方法包括以下步驟步驟A`將存儲(chǔ)有數(shù)字證書和證書廢止列表的復(fù)合設(shè)備連接到局域網(wǎng)內(nèi)的計(jì)算機(jī)上��;步驟B`修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�,使其指向保存所述證書廢止列表的有效路徑;步驟C`Direct Client系統(tǒng)讀取所述復(fù)合設(shè)備中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息�����,根據(jù)該路徑信息找到并讀取所述證書廢止列表����,進(jìn)行用戶身份認(rèn)證。
5.根據(jù)權(quán)利要求4所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法����,其特征在于,所述復(fù)合設(shè)備包括智能密鑰裝置和海量存儲(chǔ)裝置���,所述數(shù)字證書被存儲(chǔ)在所述智能密鑰裝置中�����,所述證書廢止列表被存儲(chǔ)在所述海量存儲(chǔ)裝置中��。
6.根據(jù)權(quán)利要求5所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法�,其特征在于,所述步驟B`中修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先將所述海量存儲(chǔ)裝置中的證書廢止列表復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上����,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上保存所述證書廢止列表的路徑���。
7.根據(jù)權(quán)利要求5所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法���,其特征在于,所述步驟B`中修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息���,使其指向所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上將要保存所述證書廢止列表的路徑�,然后將所述海量存儲(chǔ)裝置中的證書廢止列表按照修改后的路徑復(fù)制到所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上���。
8.根據(jù)權(quán)利要求5所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法���,其特征在于���,所述步驟B`中修改所述復(fù)合設(shè)備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向所述海量存儲(chǔ)裝置中保存所述證書廢止列表的路徑在所述局域網(wǎng)內(nèi)的計(jì)算機(jī)上映射的有效路徑��。
全文摘要
本發(fā)明提供一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認(rèn)證的方法�,屬于Direct Client系統(tǒng)認(rèn)證領(lǐng)域。在無法連通Direct Client配置文件中指定的下載數(shù)字證書和證書廢止列表的服務(wù)器及端口的局域網(wǎng)內(nèi)使用Direct Client系統(tǒng)進(jìn)行用戶身份認(rèn)證時(shí)����,本發(fā)明利用智能密鑰裝置或復(fù)合設(shè)備存儲(chǔ)數(shù)字證書和證書廢止列表�����,通過修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使Direct Client系統(tǒng)可以正確地找到證書廢止列表��,從而進(jìn)行用戶身份的認(rèn)證�����,不但增強(qiáng)了金融交易的安全性,還提高了認(rèn)證過程的可用性和易用性��。
文檔編號(hào)H04L29/06GK1866827SQ20061008754
公開日2006年11月22日 申請日期2006年6月14日 優(yōu)先權(quán)日2006年6月14日
發(fā)明者陸舟, 于華章, 閆巖 申請人:北京飛天誠信科技有限公司, 北京捷德智能卡系統(tǒng)有限公司