本發明公開了一種基于多證書應用的服務端安全認證方法及系統，其特征在于，包括：位于服務器端的安全通訊服務器與位于客戶端的USB key進行認證，生成與業務操作類型對應的CA根證書，并分別導入至安全通訊服務器和USB key；根據業務操作需求，所述安全通訊服務器利用所述USB key發送的與業務操作類型對應的CA根證書和客戶端證書與所述安全通訊服務器存儲的CA根證書進行比較，對客戶端的身份進行驗證；所述客戶端接收所述安全通訊服務器的CA根證書，并利用所述安全通訊服務器的CA根證書和所述USB key寫入的服務器的CA根證書進行比較，驗證所述安全通訊服務器的真偽；當所述安全通訊服務器和客戶端的USB key驗證通過后，根據所述業務操作需求進行數據的傳輸。

技術領域

本發明涉及數據安全技術領域，并且更具體地，涉及一種基于多證書應用的服務端安全認證方法及系統。

背景技術

近年來提高政務信息化程度、金融結算效率、豐富業務種類、加強內部管理成了各政府機構和企業提高自身服務能力和競爭力的主要目標，因此政務信息化、金融電子化等一系列高科技手段開始被廣大政企單位所應用，在帶來利益的同時，也帶來了新的安全問題。業務遠程辦理方式普及之后，涉及到互聯網外部用戶數據交互，司局內網業務數據處理等環節，牽涉到司局內網與互聯網的數據交換，系統安全時刻受到現今復雜多變的內網(局域網)、外網(互聯網)環境的挑戰。

隨著辦公OA的普及，有些地區司局在局域網內部使用USB key內置數字證書及安全U盤功能，實現了業務的保密性和安全性。初期部署的多種類型的服務系統，基本上由如圖1所示的窗口瀏覽器控件以及后臺網絡版應用服務器、核心業務服務器和數據驗證處理服務器構成，提高了系統的業務處理能力，增強了系統使用的靈活性，在一定程度上滿足了當時服務端和用戶人員的普遍需求。伴隨著系統信息化進程的逐步推進，用戶互聯網端引入了數字證書系統，對數據進行簽名，保障了用戶端數據的安全性。但是在司局內網，服務終端(自助機和窗口業務處理計算機)和服務端后臺服務器的數據交換，僅使用基本的數據加密通道進行傳輸，如圖2所示，只能基本能保障業務整體的安全性，并未對服務終端和后臺服務器的身份進行認證。

因此，需要一種實現服務終端和后臺服務器相互認證，并在數據交互時保證保密性和安全性問題。

發明內容

本發明提出一種基于多證書應用的服務端安全認證方法及系統，以解決服務終端和后臺服務器相互認證，并在數據交互時保證保密性和安全性的問題。

為了解決上述問題，根據本發明的一個方面，提供了一種基于多證書應用的服務端安全認證方法，其特征在于，所述方法包括：

位于服務器端的安全通訊服務器與位于客戶端的USB key進行認證，生成與業務操作類型對應的CA根證書，并分別導入至安全通訊服務器和USB key；其中，多證書應用時支持導入多個CA根證書；

根據業務操作需求，所述安全通訊服務器接收所述USB key發送的與業務操作類型對應的CA根證書和客戶端證書，并利用所述USB key發送的與業務操作類型對應的CA根證書和客戶端證書與所述安全通訊服務器存儲的CA根證書進行比較，對客戶端的身份進行驗證；

所述客戶端接收所述安全通訊服務器的CA根證書，并利用所述安全通訊服務器的CA根證書和所述USB key寫入的服務器的CA根證書進行比較，驗證所述安全通訊服務器的真偽；

當所述安全通訊服務器和客戶端的USB key驗證通過后，根據所述業務操作需求進行數據的傳輸。

優選地，其中所述方法還包括：

根據所述業務操作需求確定數據加密方式和數據傳輸接口，并附加客戶端證書，以使得數據業務操作數據安全快速地傳輸。

優選地，其中所述方法還包括：