技術領域

本發明涉及一種安全認證系統及方法，尤其涉及一種基于目錄的安全認證系統及方法。背景技術

在國外PKI技術已廣泛應用，網絡上許多應用已經在使用PKI技術以保證網絡的認證、非否認、加解密和密鑰管理，盡管如此PKI技術仍在發展和完善之中。PKI技術將成為所有應用的計算基礎結構的核心部件，包括那些越出傳統網絡界限的應用。PKI技術，作為一項關鍵的密碼技術，在網絡應用中的認證、加解密的密鑰管理、非否認服務只有PKI技術才能提供。

通過PKI技術解決了身份認證問題，而在實際生產中還要考慮證書可能丟失、被盜用，身份可能被冒充，諸如此類的身份保護和安全交易難題已經不容回避。因此，基于PKI身份認證方案基礎上，構建更加廣泛的、專業的安全認證方案就越來越受到關注。

通過調研分析發現，目前相關研究和方案，絕大部分是基于PKI技術實現CA認證系統建立，也有基于CA中心整合目錄、門戶系統的案例；還有基于CA中心并使用USBKey進行證書保護的案例；甚至有基于CA中心，并結合USBKey進行客戶端版權保護的案例。這些方案分為兩類：一類目標是構建一個認證中心；另一類是在認證中心基礎上，提供安全防護的解決方案。第一類方案不贅述了，內容已經包括在第二類方案里。第二類方案又可以分為幾種：第一種：借助USBKey等硬件技術保存用戶證書，防止用戶證書被盜用；第二種是借助USBKey保存用戶證書，同時解決USBKey的客戶端驗證功能，進行客戶端驗證。

通過分析我們也發現這些方案都有其實際應用領域，在安全認證技術逐步發展過程中滿足了不同階段的安全需求。同樣的，這些方案也因此存在著一些局限性：

（1）單純的基于PKI的CA中心方案不能滿足實際生產中的絕大部分安全需求。

（2）基于PKI的CA中心方案并借助于USBKey客戶端方案，能夠在一定程度上保護用戶身份，還能進行借助USBKey進行客戶端的驗證功能，但是在簡單的客戶端功能不足以支持更高要求的身份驗證需求和安全交易需求。

（3）難以發揮服務端用戶身份資源完善、驗證關口單一、可靠高效的特點。

現有技術中是由服務器檢驗用戶的數字簽名來實現身份認證的，如果通過了認證則允許在線播放或者下載,需要安裝客戶端，不具備跨平臺的特性；只是實現了對用戶的身份認證，對具體權限無控制手段。

發明內容

本發明的目的就是為了解決上述問題，提供一種基于目錄的安全認證系統及方法，它具有實現構建企業身份認證平臺、保護用戶身份信息、提供和增強用戶在門戶系統和其它信息系統上的身份認證功能，保證用戶認證過程中信息傳輸的安全性與保密性，確保信息的真實性、可靠性和不可抵賴性，實現身份認證與信息安全存儲的結合的優點。

為了實現上述目的，本發明采用如下技術方案：

一種基于目錄的安全認證系統，它包括：

目錄系統，其管理安全認證系統和企業網站的用戶資源和身份數據，并通過同步接口將用戶資源數據送入到安全認證系統中的認證數據庫；

安全認證系統：其通過CA中心對用戶發放數字證書和USBKey、數字證書管理，利用身份認證服務模塊為企業應用提供身份認證，通過身份認證的用戶進入網站繼續業務操作；

ActiveX控件：用于檢測用戶是否插入USBKey，同時監控USBKey與身份認證服務模塊的通信是否正常。

所述安全認證系統包括：

USBKey發放模塊：為管理員和普通用戶發放USBKey，并將證書信息保存在USBKey中；

管理員證書管理模塊：為安全認證系統的管理員頒發證書，以及凍結、解凍、吊銷、補發、延期管理員證書，并對該用戶所用機器地址進行綁定；

用戶證書管理模塊：為普通用戶頒發證書，以及凍結、解凍、吊銷、補發、延期用戶證書，并用該用戶所用機器地址進行綁定；

認證數據庫：為所述USBKey發放模塊、管理員證書管理模塊、用戶證書管理模塊提供用戶身份數據；

身份認證服務模塊：統一從認證數據庫獲取用戶身份數據，對用戶證書和管理員證書進行驗簽，并對隨機碼密文進行驗證，對用戶登錄設備和來源進行驗證，通過驗證的請求被放行，用戶繼續后續業務操作，否則提示用戶身份驗證失敗及原因。

所述目錄系統與用戶數據庫連接，直接同步企業網站的用戶信息。

一種利用基于目錄的安全認證系統的認證方法，具體步驟為：

步驟一：用戶訪問認證服務的身份認證頁面，由該頁面通過ActiveX控件檢測本機USB端口是否已經插入USBKey；