技術(shù)領(lǐng)域

本發(fā)明方案涉及信息安全領(lǐng)域，尤其涉及一種數(shù)字證書的認(rèn)證方法、系統(tǒng)、USB?Key設(shè)備和服務(wù)器。?

背景技術(shù)

隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，USB?Key作為網(wǎng)絡(luò)用戶身份識(shí)別和數(shù)據(jù)保護(hù)的“電子鑰匙”，正在被越來(lái)越多的用戶所認(rèn)識(shí)和使用。?

USB?Key設(shè)備是一種基于USB接口的智能存儲(chǔ)身份認(rèn)證設(shè)備，內(nèi)置有CPU、存儲(chǔ)器、芯片操作系統(tǒng)(COS)和安全文件系統(tǒng)，用于在服務(wù)器和用戶之間相互進(jìn)行身份認(rèn)證。?

每一個(gè)USB?Key設(shè)備中都可保存數(shù)字證書，所述數(shù)字證書是由一個(gè)第三方的權(quán)威機(jī)構(gòu)——數(shù)字證書認(rèn)證中心(Certificate?Authority，CA)發(fā)行的，是一種權(quán)威性的電子文檔，使用USB?Key設(shè)備的用戶通過(guò)數(shù)字證書來(lái)表明身份。由此可見(jiàn)，數(shù)字證書對(duì)于USB?Key設(shè)備來(lái)講是至關(guān)重要的。?

如圖1所示，為現(xiàn)有技術(shù)中，USB?Key設(shè)備從服務(wù)器處下載數(shù)字證書的一種典型方式，包括以下步驟：?

步驟101：USB?Key設(shè)備通過(guò)USB接口接入客戶端，并通過(guò)客戶端向服務(wù)器發(fā)送一個(gè)攜帶用戶登錄信息的請(qǐng)求消息。?

所述用戶信息可以是表明使用該USB?Key設(shè)備用戶的信息，如用戶名、登錄密碼等。?

步驟102：服務(wù)器接收到來(lái)自客戶端的請(qǐng)求消息后，首先根據(jù)請(qǐng)求消息中攜帶的用戶信息校驗(yàn)用戶的合法性，校驗(yàn)通過(guò)后查找到記錄在本地?cái)?shù)據(jù)庫(kù)中與該用戶對(duì)應(yīng)的USB?Key設(shè)備的硬件標(biāo)識(shí)。?

在現(xiàn)有的方案中，當(dāng)用戶申請(qǐng)USB?Key設(shè)備時(shí)，銀行等柜臺(tái)工作人員將?該用戶的用戶信息與對(duì)應(yīng)的USB?Key設(shè)備進(jìn)行綁定，用戶與硬件標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系存儲(chǔ)到服務(wù)器數(shù)據(jù)庫(kù)中，因此，在本步驟102中，當(dāng)服務(wù)器接收到攜帶用戶信息的請(qǐng)求消息后，可以從服務(wù)器數(shù)據(jù)庫(kù)存儲(chǔ)的用戶信息與USB?Key設(shè)備的對(duì)應(yīng)關(guān)系中，查找出請(qǐng)求消息中的用戶信息對(duì)應(yīng)的USB?Key設(shè)備的硬件標(biāo)識(shí)。?

步驟103：服務(wù)器將查找的USB?Key設(shè)備的硬件標(biāo)識(shí)發(fā)送給客戶端。?

步驟104：客戶端接收到服務(wù)器發(fā)送的USB?Key設(shè)備的硬件標(biāo)識(shí)后，與客戶端從當(dāng)前接入的USB?Key設(shè)備中讀取的USB?Key設(shè)備的硬件標(biāo)識(shí)進(jìn)行比較，若兩個(gè)USB?Key設(shè)備的硬件標(biāo)識(shí)一致，則確定當(dāng)前接入的USB?Key設(shè)備是合法設(shè)備，跳轉(zhuǎn)至步驟105；否則，確定USB?Key設(shè)備是非法設(shè)備，提示用戶使用正確的硬件設(shè)備，結(jié)束數(shù)字證書的下載過(guò)程。?

步驟105：USB?Key設(shè)備在本地生成一組公私密鑰對(duì)，并利用私鑰對(duì)用戶公鑰、用戶信息的摘要信息(如md5哈希值)進(jìn)行簽名，將公鑰信息、用戶信息及簽名信息生成一個(gè)用于下載數(shù)字證書的pkcs#10格式的證書請(qǐng)求數(shù)據(jù)包。?

步驟106：USB?Key設(shè)備通過(guò)客戶端將攜帶所述數(shù)據(jù)包的證書下載請(qǐng)求發(fā)送給服務(wù)器。?

步驟107：服務(wù)器接收到所述下載請(qǐng)求后，首先利用公鑰解密簽名信息，若簽名認(rèn)證通過(guò)，則提取證書請(qǐng)求包中的公鑰和用戶信息生成X.509數(shù)字證書發(fā)送給客戶端，并通過(guò)客戶端存儲(chǔ)到USB?Key設(shè)備中；否則，返回給用戶錯(cuò)誤提示信息。?

在圖1所示的下載數(shù)字證書的方案中，是由客戶端對(duì)服務(wù)器發(fā)送的USB?Key設(shè)備的硬件標(biāo)識(shí)以及從USB?Key設(shè)備中獲取的硬件標(biāo)識(shí)進(jìn)行比較，如果客戶端受的攻擊(例如，受到木馬程序的攻擊)，成為非法客戶端，則客戶端對(duì)USB?Key設(shè)備的硬件標(biāo)識(shí)進(jìn)行比較的過(guò)程很容易被模擬，進(jìn)而繞過(guò)硬件識(shí)別，非法用戶可以將一個(gè)與合法的USB?Key設(shè)備同型號(hào)的非法USB?Key設(shè)備與非法客戶端進(jìn)行連接，利用木馬竊取的的用戶登錄信息、硬件標(biāo)識(shí)模擬上述步驟?101～步驟107的過(guò)程，使非法USB?Key設(shè)備獲取到合法的數(shù)字證書，導(dǎo)致數(shù)字證書的非法使用，合法用戶的業(yè)務(wù)安全性受到較大威脅。?

另外，與非法客戶端連接的合法USB?Key設(shè)備還可以通過(guò)兩碼(指參考碼和授權(quán)碼，作用是為USB?Key設(shè)備和服務(wù)器建立關(guān)聯(lián))方式，從服務(wù)器處獲取數(shù)字證書，非法客戶端在盜取該兩碼信息后，利用與合法USB?Key設(shè)備同型號(hào)的非法USB?Key設(shè)備，也可以從服務(wù)器處非法獲取數(shù)字證書，導(dǎo)致數(shù)字證書的非法使用，合法用戶的業(yè)務(wù)安全性受到較大威脅。?

發(fā)明內(nèi)容

本發(fā)明方案提供了一種數(shù)字證書的認(rèn)證方法、系統(tǒng)、USB?Key設(shè)備和服務(wù)器，用于解決數(shù)字證書非法使用的問(wèn)題，提高合法用戶的業(yè)務(wù)安全性。?

一種數(shù)字證書的認(rèn)證方法，該方法包括：?