技術領域

本實用新型涉及一種面向互聯網的Web應用服務中的身份驗證及數據加密的系統。

背景技術

Web計算機應用技術近年來已得到廣泛應用，以Web為核心的企業內部網，用戶可以通過低成本、簡單易用的客戶游覽器即可隨時隨地到企業的Web站點上查閱自己所需的數據。Web信息動態的、交互式的發布方式改變了企業的服務質量。

作為國家的重點項目—“國家電力市場交易運營系統”是國家電力市場交易運營技術支撐平臺，國家電力市場各交易品種的交易可以通過“國家電力市場交易運營系統”進行。市場成員進行市場活動，必須保證用戶登錄名的合法性和安全性，即用戶帳戶的無法假冒性和敏感數據的安全性。

為達到以上目的，“國家電力市場交易運營系統”采用了CFCA(中國金融認證中心)的數字證書進行身份的確認和對敏感數據進行加密。所以有必要建立一種可識別登錄用戶的合法性的配套系統。

發明內容

本實用新型的目的是提供一種實現數字證書身份驗證及敏感數據加密的系統；其可對系統的用戶身份采用證書方式加密及對敏感數據進行加密；在用戶登陸訪問系統的時候對其進行驗證通過。

為實現上述目的，本實用新型采取以下設計方案：

一種實現數字證書身份驗證及敏感數據加密的系統，它包含有：

具有USB規范接口并可登陸互聯網的客戶端計算機；

掌控在各用戶手中的電子鑰匙，各用戶手中的電子鑰匙內置一存儲包含有該用戶唯一身份認證數字證書的芯片；

一用于識別證書有效性的證書身份識別服務器，可以通過互聯網與客戶端計算機及應用服務器通信；電子鑰匙通過USB接口接入客戶端計算機。

所述的證書身份識別服務器與應用服務器可以為一體化服務器為或分體式組合的服務器。

本實用新型的優點是：

1、安全可靠，作為商業的數字證書CFCA的證書系統可以滿足商業應用數據的安全需求；

2、實用方便，用本文所述的方式應用該證書系統可以方便地完成對用戶身份認證的加密需求和對敏感數據的加密需求。

附圖說明

圖1為本實用新型系統構成原理示意圖

具體實施方式

如圖1所示，本實用新型實現數字證書身份驗證及敏感數據加密的系統的構成包含有：客戶端計算機1、掌控在各用戶手中的電子鑰匙用于識別證書有效性的證書身份識別服務器3及應用服務器4。

所述的客戶端計算機1應具有USB規范接口，并可登陸互聯網與系統的應用服務器信息交流。

所述的掌控在各用戶手中的電子鑰匙2就是分發給每個用戶唯一的數字證書，即每個合法用戶分發給一個唯一的電子鑰匙，該電子鑰匙(采用USB為佳)內包含有用于識別該用戶身份的唯一數字證書(換言之，各用戶手中的電子鑰匙內存儲包含有該用戶唯一身份認證數字證書的芯片)。對于身份認證數字證書加密，就是對每一個用戶分發唯一與之對應的數字證書，在登陸系統的時候，該數字證書配合用戶名和密碼作為用戶的唯一標識，沒有數字證書的用戶無法進入系統；對于敏感數據采用數字證書對其加密后存儲或傳輸，當達到解密條件時再調用對應的數字證書進行解密。用戶登錄系統之前，首先在登錄系統的客戶端計算機上安裝電子鑰匙驅動程序，以便客戶端計算機可以正確識別數字證書。電子鑰匙通過USB接口接入客戶端計算機。

所述的證書身份識別服務器3是本實用新型實現數字證書身份驗證及敏感數據加密的系統的核心，其可以是一臺獨立的計算機，可以通過互聯網與客戶端計算機及應用服務器通信，證書身份識別服務器內置應用程序，執行該程序可以識別登錄系統的客戶的證書有效性，即用于識別用戶密碼及與之配合的數字證書是否與分發給該用戶的證書一致，如一致則允許該用戶進入系統，如不一致則拒絕該用戶進入系統。因為證書系統本身的安全性高，因此保證了系統身份認證的安全和可靠。另執行該程序還可對一些敏感數據進行加密。

本實施例中所述的應用服務器4采用Web應用服務器，其內裝有國家電力市場交易運營服務程序芯片。

所述的證書身份識別服務器與應用服務器可以一體部署或分體部署。

如圖1所示，本實用新型構建時首先部署基于證書識別的身份認證服務器，然后部署應用服務器，部署后由身份認證服務器控制對應用服務器的訪問；需要時，兩個服務器也可以部署在同一服務器內。

其工作原理是：客戶端用戶通過本機1上的USB接口插入電子鑰匙2后，向證書身份識別服務器3發出申請，證書身份識別服務器驗證用戶名、密碼及證書正確后，通過驗證，用戶接入應用服務，完成身份認證。