[发明专利]数字证书精确化认证方法、装置及云认证服务系统

说明书

技术领域

本发明涉及网络通信领域，尤其是涉及一种能够实现数字证书精确化认证的方法、装置及基于上述技术的云认证服务系统。 

  

背景技术

21世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化已成为当今世界发展的潮流和核心，而信息安全在信息社会中将扮演极为重要的角色，它直接关系到国家安全、企业经营和人们的日常生活。目前，公开密钥基础设施（Public Key Infrastructure，PKI）是保障大型开放式网络环境下网络和信息系统安全的最可行、最有效的措施。基于PKI理论体系的数字证书，具有数字签名防篡改、不可抵赖以及不对称加解密等优点和特性，因此，越来越多的基于互联网的信息系统开始使用数字证书以保障系统安全。 

据工信部安全协调司统计，截至2012年4月30日，全国有效数字证书持有量合计达到44,566,039张，相比去年同期的17,620,373张，多了26,945,266张，同比增长60%。这些增长的证书中除了正常的新增数字证书用户，还包含大量已经持有一张数字证书的用户申请的多张证书。 

一个用户申请多张证书，造成了大量的数据冗余，究其原因是因为现有基于数字证书的解决方案不能解决数字证书“一证多用”和“一证通用”的难题。 

数字证书的介质主要是USBKey，必须安装USBKey驱动才能正常使用。如果用户持有多个品牌的USBKey，那么就必须在终端安装多个USBKey驱动。另外，数字证书的应用都是配合安全控件或者安全中间件使用的，如果安全控件、安全中间件升级变更，或者USBKey驱动程序发生变更，都需要由CA机构通知数字证书用户，让用户去完成这些繁琐的操作。这样的处理方式极容易带来各种问题，给数字证书的使用者带来极大不便。对CA机构来说，为这些出现问题的数字证书用户提供技术服务支持，需要建立庞大的技术服务体系。 

对于CA机构来说，机构所签发的数字证书通常都是基于某一特定证书应用系统的，且证书应用系统会对证书的信息项有特定要求。以某地税的应用系统为例：该系统要求证书主题项中将OU项设置为“税务管理码”，以方便系统智能操作相关业务。而某国税应用系统中，明确要求OU项为“国地税统一税务登记证号”，这就造成了同一企业或个人需要两张证书分别满足某地税和某国税的要求。诸如此类的证书应用系统越多，企业或个人所要持有的数字证书也将越多。这就是数字证书难以“一证多用”的难题。 

现在许多基于身份认证的信息系统都是面向互联网的。从PKI技术角度来讲，基于客户端证书和服务端证书的相互认证，双方证书只有在同一信任链下（即双方证书由同一业务CA证书签发），才能实现相互的身份认证，从而建立安全连接。反之，如若双方证书不在同一信任链下，就无法完成身份的相互认证。从实际应用角度上来讲，由于受到各CA机构证书不能交叉互信的制约，这些基于数字证书的信息系统只能基于一家CA机构的数字证书，具有较强的地域限制。因此，即使用户持有其他CA机构所签发的数字证书，也无法使用，只能在当地CA机构再申请一张，这样才能通过信息系统的身份认证。这就是数字证书难以“一证通用”的难题。 

另外，传统基于数字证书的身份认证方案，除了验证CA证书的签名，也会校验黑名单（即CRL，证书注销列表），一旦发现通信对方的证书在这张列表中，就不能通过验证，从而有效保障系统的安全。黑名单的存在解决了“谁不能进入应用系统”的难题，但受本身特性所限，无法解决“谁可以进入应用系统”的难题，即现有方案无法做到对数字证书的精确化控制。 

  

发明内容

为了解决上述问题，本发明的目的在于提供一种数字证书的精确化认证方法，使用户持有一张数字证书即可进行各系统的登陆和认证，同时解决“一证多用”和“一证通用”的难题，极大地减少了数据冗余，节省存储空间和网络资源。 

为达到上述目的，本发明提供以下技术方案： 

    一种数字证书精确化认证方法，包括如下步骤：

根据不同的数字证书应用，创建唯一的白名单数据；

将所述白名单数据加入至白名单列表中；

各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证，仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。

    更进一步地，所述创建白名单数据的过程包括： 

    建立一条新的白名单数据，将可应用的数字证书序列号和该证书的具体应用系统信息写入该条白名单数据中；