[发明专利]一种数字证书远程在线管理装置及方法

说明书

本发明公开了一种数字证书远程在线管理装置及方法，将数字证书的管理与居民身份证认证和生物特征识别等多种身份识别认证技术结合在一起，通过近场通信、摄像头、麦克风、指纹采集模块等设备获取的用户居民身份证信息和人像、虹膜、视网膜、声纹及指纹等生物特征信息，综合使用身份证信息验证和生物特征识别等多种身份识别认证技术来确定使用终端进行证书操作的用户本人的真实身份，以保证只有合法的用户本人使用合法的终端才能进行证书操作，确立证书与用户的对应和绑定的正确性，杜绝证书管理过程中用户身份被冒充等问题，实现安全的证书远程在线管理，具备高安全性、实现灵活方便等优点。

技术领域

本发明涉及数字证书技术领域，具体涉及一种数字证书远程在线管理装置及方法。

背景技术

服务器通常需要在提供服务之前对用户的身份进行认证，并可能对后续的通信数据进行加密保护，以控制只有合法的用户才能使用相关资源、服务或功能。而随着系统的不断丰富，如果众多的应用服务都各自使用一套自有的身份认证和通信保护机制，将带来操作上的不便和安全上的隐患，使用数字证书是目前解决该问题的一种常用安全机制。通过使用与用户绑定的数字证书，利用PKI体系、VPN技术等，可简化用户使用时的复杂度，提高身份认证的安全性。而实现证书的有效安全管理是使用证书实现各类安全功能的基础，因此需要确保证书管理的安全性。

为实现证书的申请和发放等证书管理功能，如图1所示，传统的数字证书管理方案中的实现过程如下：用户使用终端证书应用程序申请证书时，首先调用安全模块生成公私密钥对和证书申请请求，并将证书申请请求通发送至证书管理服务器；证书管理服务器颁发证书给终端证书应用；终端证书应用接收到证书后将证书下发至安全模块，完成证书的申请和发放流程。为了提高安全性，普通的数字证书管理方案实施时通常会将终端中的外置安全模块取出后，人工连接到安全的管理终端进行证书发放，或通过终端标识比对等方式实现对终端的简单认证后，发放证书。

居民身份证是我国公民的法定身份证件，国内所有年满十六周岁的中国公民都应申领居民身份证，而当前的居民身份证已经内置安全芯片，安全芯片使用国密算法，具备与外界通信的能力，与外界通信的所有信息都经过加密处理，避免了身份证被伪造、信息篡改或泄漏等安全威胁。而人手一张、有通信接口和加密安全的特性，结合目前公安部正在推行的居民身份证挂失系统，为居民身份证参与远程认证提供了有利条件。

人像、虹膜、视网膜、声纹及指纹等各类生物特征识别技术日益成熟，当前对人像、指纹等多种生物特征的识别准确率已经可以到达商用的水平，并开始逐步大规模在各类服务中使用，如支付宝、券商和运营商等的开户服务等。而公安机关已建设的人口库有已覆盖全国公民的人像、指纹等信息，为实施生物特征识别业务提供了良好的基础环境，在此之上可提供可靠的生物特征识别服务，确认用户本人的真身身份。

现有数字证书管理装置及方法仅使用简单标识对比等方式确认请求合法性，未涉及对用户本人自身真实身份的识别内容，因此在实现远程证书管理时，存在严重的用户身份伪造的安全问题。特别是在面对用户量大、身份复杂和证书远程发放等情况时，因身份认证不完善导致的各类安全性问题时有发生，在很大程度上限制了证书管理方法及装置的使用。

发明内容

针对现有技术的不足，本发明旨在提供一种数字证书远程在线管理装置及方法，基于居民身份证核验和生物特征识别等多种身份识别技术，对证书申请下发过程中的用户身份识别不再完全依靠简单标识信息比对等方式进行，而是通过综合对用户居民身份证的核验和对用户各类生物特征的识别等多种身份识别技术，来完成识别认证的核心功能，防止出现用户、终端、安全模块或应用服务被伪造篡改，也不会出现证书被发放给非法用户或证书未能与用户进行有效关联等现象，将有效保证证书管理的安全性，减少证书被冒用等安全隐患出现的可能性。

为了实现上述目的，本发明采用如下技术方案：

一种数字证书远程在线管理装置，包括：终端密码模块、终端证书应用、证书管理服务器、识别认证服务器、证书授权中心和终端设备；