一种基于多证书应用的服务端安全认证方法及系统技术方案

本发明专利技术公开了一种基于多证书应用的服务端安全认证方法及系统，其特征在于，包括：位于服务器端的安全通讯服务器与位于客户端的USB key进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USB key；根据业务操作需求，所述安全通讯服务器利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；所述客户端接收所述安全通讯服务器的CA根证书，并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较，验证所述安全通讯服务器的真伪；当所述安全通讯服务器和客户端的USB key验证通过后，根据所述业务操作需求进行数据的传输。

【技术实现步骤摘要】
一种基于多证书应用的服务端安全认证方法及系统
本专利技术涉及数据安全
，并且更具体地，涉及一种基于多证书应用的服务端安全认证方法及系统。
技术介绍
近年来提高政务信息化程度、金融结算效率、丰富业务种类、加强内部管理成了各政府机构和企业提高自身服务能力和竞争力的主要目标，因此政务信息化、金融电子化等一系列高科技手段开始被广大政企单位所应用，在带来利益的同时，也带来了新的安全问题。业务远程办理方式普及之后，涉及到互联网外部用户数据交互，司局内网业务数据处理等环节，牵涉到司局内网与互联网的数据交换，系统安全时刻受到现今复杂多变的内网(局域网)、外网(互联网)环境的挑战。随着办公OA的普及，有些地区司局在局域网内部使用USBkey内置数字证书及安全U盘功能，实现了业务的保密性和安全性。初期部署的多种类型的服务系统，基本上由如图1所示的窗口浏览器控件以及后台网络版应用服务器、核心业务服务器和数据验证处理服务器构成，提高了系统的业务处理能力，增强了系统使用的灵活性，在一定程度上满足了当时服务端和用户人员的普遍需求。伴随着系统信息化进程的逐步推进，用户互联网端引入了数字证书系统，对数据进行签名，保障了用户端数据的安全性。但是在司局内网，服务终端(自助机和窗口业务处理计算机)和服务端后台服务器的数据交换，仅使用基本的数据加密通道进行传输，如图2所示，只能基本能保障业务整体的安全性，并未对服务终端和后台服务器的身份进行认证。因此，需要一种实现服务终端和后台服务器相互认证，并在数据交互时保证保密性和安全性问题。
技术实现思路
本专利技术提出一种基于多证书应用的服务端安全认证方法及系统，以解决服务终端和后台服务器相互认证，并在数据交互时保证保密性和安全性的问题。为了解决上述问题，根据本专利技术的一个方面，提供了一种基于多证书应用的服务端安全认证方法，其特征在于，所述方法包括：位于服务器端的安全通讯服务器与位于客户端的USBkey进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USBkey；其中，多证书应用时支持导入多个CA根证书；根据业务操作需求，所述安全通讯服务器接收所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书，并利用所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；所述客户端接收所述安全通讯服务器的CA根证书，并利用所述安全通讯服务器的CA根证书和所述USBkey写入的服务器的CA根证书进行比较，验证所述安全通讯服务器的真伪；当所述安全通讯服务器和客户端的USBkey验证通过后，根据所述业务操作需求进行数据的传输。优选地，其中所述方法还包括：根据所述业务操作需求确定数据加密方式和数据传输接口，并附加客户端证书，以使得数据业务操作数据安全快速地传输。优选地，其中所述方法还包括：在业务操作处理阶段，对客户端用户的身份信息进行采集，以对客户端用户的身份进行认证；其中，认证方式包括：指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。优选地，其中所述方法还包括：在所述安全通讯服务器中设置准入列表，并当所述客户端通过所述安全通讯服务器的验证后，更新准入列表中当前客户端对应的属性信息；其中，所述准入列表中的属性包括：操作权限、访问控制和活跃指数；不同的业务操作类型对应的CA根证书对应不同的操作权限。优选地，其中所述方法还包括：当所述客户端通过所述安全通讯服务器的验证后，增加所述客户端的证书序列号的活跃指数，并在所述证书序列号的活跃指数达到预设活跃阈值时，设置所述客户端的证书序列号的有效期限。优选地，其中所述方法还包括：根据预设的审计周期对所述准入列表进行审计，删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号，并对对应的客户端进行降低权限处理。优选地，其中所述方法还包括：记录客户端的证书序列号，并将所述证书序列号的导入和删除操作均记录于日志用于审计；其中，所述日志采用不能修改且循环覆盖的方式。根据本专利技术的另一个方面，提供了一种基于多证书应用的服务端安全认证系统，其特征在于，所述系统包括：发行制证模块，用于位于服务器端的安全通讯服务器与位于客户端的USBkey进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USBkey；其中，多证书应用时支持导入多个CA根证书；客户端身份认证模块，用于根据业务操作需求，所述安全通讯服务器接收所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书，并利用所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；安全通讯服务器身份认证模块，用于所述客户端接收所述安全通讯服务器的CA根证书，并利用所述安全通讯服务器的CA根证书和所述USBkey写入的服务器的CA根证书进行比较，验证所述安全通讯服务器的真伪；数据传输模块，用于当所述安全通讯服务器和客户端的USBkey验证通过后，根据所述业务操作需求进行数据的传输。优选地，其中所述数据传输模块，还包括：根据所述业务操作需求确定数据加密方式和数据传输接口，并附加客户端证书，以使得数据业务操作数据安全快速地传输。优选地，其中所述系统还包括：用户身份认证模块，用于在业务操作处理阶段，对客户端用户的身份信息进行采集，以对客户端用户的身份进行认证；其中，认证方式包括：指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。优选地，其中所述系统还包括：准入列表更新模块，用于在所述安全通讯服务器中设置准入列表，并当所述客户端通过所述安全通讯服务器的验证后，更新准入列表中当前客户端对应的属性信息；其中，所述准入列表中的属性包括：操作权限、访问控制和活跃指数；不同的业务操作类型对应的CA根证书对应不同的操作权限。优选地，其中所述准入列表更新模块，还包括：活跃指数更新单元，用于当所述客户端通过所述安全通讯服务器的验证后，增加所述客户端的证书序列号的活跃指数，并在所述证书序列号的活跃指数达到预设活跃阈值时，设置所述客户端的证书序列号的有效期限。优选地，其中所述准入列表更新模块，还包括：审计单元，用于根据预设的审计周期对所述准入列表进行审计，删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号，并对对应的客户端进行降低权限处理。优选地，其中所述准入列表更新模块，还包括：证书序列号记录单元，用于记录客户端的证书序列号，并将所述证书序列号的导入和删除操作均记录于日志用于审计；其中，所述日志采用不能修改且循环覆盖的方式。本专利技术提供了一种基于多证书应用的服务端安全认证方法及系统，包括：位于服务器端的安全通讯服务器与位于客户端的USBkey进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USBkey；根据业务操作需求，所述安全通讯服务器利用所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；所述客户端利用所述安全通讯服务器的CA根证书和所述USBkey写入本文档来自技高网...

【技术保护点】
1.一种基于多证书应用的服务端安全认证方法，其特征在于，所述方法包括：位于服务器端的安全通讯服务器与位于客户端的USB key进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USB key；其中，多证书应用时支持导入多个CA根证书；根据业务操作需求，所述安全通讯服务器接收所述USB key发送的与业务操作类型对应的CA根证书和客户端证书，并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；所述客户端接收所述安全通讯服务器的CA根证书，并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较，验证所述安全通讯服务器的真伪；当所述安全通讯服务器和客户端的USB key验证通过后，根据所述业务操作需求进行数据的传输。

【技术特征摘要】
1.一种基于多证书应用的服务端安全认证方法，其特征在于，所述方法包括：位于服务器端的安全通讯服务器与位于客户端的USBkey进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USBkey；其中，多证书应用时支持导入多个CA根证书；根据业务操作需求，所述安全通讯服务器接收所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书，并利用所述USBkey发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；所述客户端接收所述安全通讯服务器的CA根证书，并利用所述安全通讯服务器的CA根证书和所述USBkey写入的服务器的CA根证书进行比较，验证所述安全通讯服务器的真伪；当所述安全通讯服务器和客户端的USBkey验证通过后，根据所述业务操作需求进行数据的传输。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据所述业务操作需求确定数据加密方式和数据传输接口，并附加客户端证书，以使得数据业务操作数据安全快速的传输。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：在业务操作处理阶段，对客户端用户的身份信息进行采集，以对客户端用户的身份进行认证；其中，认证方式包括：指纹认证、虹膜认证、密码和数字身份认证、手机和数字证书认证、电子认证以及刷脸认证。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述安全通讯服务器中设置准入列表，并当所述客户端通过所述安全通讯服务器的验证后，更新准入列表中当前客户端对应的属性信息；其中，所述准入列表中的属性包括：操作权限、访问控制和活跃指数；不同的业务操作类型对应的CA根证书对应不同的操作权限。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：当所述客户端通过所述安全通讯服务器的验证后，增加所述客户端的证书序列号的活跃指数，并在所述证书序列号的活跃指数达到预设活跃阈值时，设置所述客户端的证书序列号的有效期限。6.根据权利要求4所述的方法，其特征在于，所述方法还包括：根据预设的审计周期对所述准入列表进行审计，删除在预设时间段内未使用或者未达到预设活跃指数阈值的客户端证书序列号，并对对应的客户端进行降低权限处理。7.根据权利要求4所述的方法，其特征在于，所述方法还包括：记录客户端的证书序列号，并将所述证书序列号的导入和删除操作均记录于日志用于审计；其中，所述日志采用不能修改且循环覆盖的方式。8.一种基于多证书应用的服务端安全认证系统，其特征在于，所述系统包括：发行制证模块，用于位于服务器端的安全通讯服务器与位于客户端的U...

【专利技术属性】
技术研发人员：黄和石，缪云青，李继，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京,11