一种新型的便携式数字证书应用方法和装置

一种新型的便携式数字证书应用方法和装置

　　技术领域

　　本发明提供一种新型的便携式数字证书应用的方法与装置。引入智能手机、pad等智能便携式终端设备，通过创新设计，替代传统USBKey证书硬件介质，方便用户在不同终端环境下安全地使用数字证书实现安全登录、数字签名的业务需求，提升用户体验，降低成本。

　　背景技术

　　在当前互联网大时代下，以数字证书为核心的电子签名、安全登录需求将会越来越普及，但是传统的证书硬件介质（USBKey、SDKey、USIMKey、蓝牙Key等）的不方便和高成本越来越成为电子签名普及的障碍，长期以来，诞生过的各种各样的替代方案，但是一直在安全性和方便性难以兼顾。本发明的提出正是基于这种背景，旨在通过创新的设计，提供一种新型的便携式数字证书应用方法和装置，有效弥补当前数字证书签名应用的不足。

　　发明内容

　　1. 本发明一种新型的便携式数字证书应用方法。在用户需要实现电子签名或安全登录等证书相关操作时，首先利用二维码扫码、蓝牙通信、NFC等近场通信技术，借助装置在智能手机、pad等智能便携式终端设备和电脑工作站上的专用软件，通过数据传输建立对应关系；当用户在电脑工作站上发起证书相关操作时，电脑工作站上的专用软件向专用的中间服务器装置发起对应请求，专用中间件服务器根据请求中携带的便携式终端的通信地址向对应的便携式终端转发操作请求；携式终端设备上的专用软件接收到中间服务器装置的请求后进行对应操作，并将操作结果返回中间服务器装置；中间服务器装置根据实际业务流程向电脑工作站返回操作结果；在便携式终端设备、电脑工作站和中间服务器上是否保留操作结果视具体应用需求而定；

　　2. 本发明提供了一种利用便携式智能终端安全便捷实现数字证书签名的方法。首先便携式智能终端在通过数据传输与电脑工作站建立对应关系后，尤其是通过二维码扫描方式，二者不再有直接的通信联系，证书相关操作均由便携式智能终端独立完成，从这个角度，较之一直与电脑工作站连接的硬件介质方式更好地隔离了针对电脑工作站的各种可能的在线恶意攻击，有更高的安全性，这样，用户不需要携带额外的硬件介质而安全方便迪使用数字证书签名；

　　3. 本发明提供了一种利用便携式智能终端安全便捷地替代数字证书硬件介质的方法，通过证书私钥的分割存储和使用、全封闭处理、以及特定访问控制权限设定，从而没有专用硬件介质时的有效防范了私钥窃取和调用的安全防范；

　　4. 本发明提供了一种免密的数字证书签名的方法，，通过便携式智能终端上证书应用操作的安全性策略设置，可以实现安全迪免密操作；

　　5. 本发明提供了一种新型的物联网环境下数字证书应用的方法；在不要求物联网终端智能设备支持证书安全存储介质和证书相关能力的情况下，通过适合物联网终端智能设备的认证手段，访问数字证书应用中间装置并实现身份认证后，再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能。其典型应用场景包括智能家居、智能监控；

　　6. 本发明提供了一种新型的多用户终端下数字证书应用一体化的方法。用户同时拥有电脑、手机、pad等不同智能终端时，用户通过不同智能终端支持的动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段，访问数字证书应用中间装置并实现身份认证后，再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能，实现在用户多终端条件下实现用户数字证书的一致性和一体化，避免因为多终端出现一个用户多个身份（多个数字证书）；

　　7. 本发明提供了一种新型的数字证书应用云服务方法。用户通过动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段，访问数字证书应用中间装置并实现身份认证后，再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能，不依赖于特定的证书安全存储介质，为用户提供云端数字证书相关服务；

　　8. 本发明提供了一种新型的数字证书应用的简易方法。在不要求用户智能终端支持证书特定安全存储介质和证书相关能力的情况下，用户通过智能终端，以动态口令、手机短信、生物特征识别、第二通道认证等可靠身份认证手段访问数字证书应用中间装置并实现身份认证后，再通过数字证书应用中间装置连接并使用在线宿主设备上的用户数字证书及其全部功能，满足针对普通大众用户和大众应用的网络信任保障要求；

　　9. 本发明提供了一种新型的数字证书应用中间装置。该装置定位是数字证书安全存储介质（含数字证书）及其宿主机与用户终端之间的中间装置，其功能定位主要包括两个方面，一方面实现对用户或者终端设备的可靠身份认证，具体手段可以是数字证书、动态口令、手机短信、生物特征识别、第二通道认证等任何可靠身份认证技术；另一方面是在认证通过后，代理用户或者终端设备在线调用与其相连的宿主机上的数字证书安全存储介质（含数字证书）的相关功能。其组成包括数字证书应用中间装置及其运行在用户终端侧的对应客户端软件共同组成；

　　10.本发明涉及一种新型装置，该装置是一个逻辑概念，具体存在形式可以是硬件设备、软件逻辑模块、服务平台或者云平台等，其部署方式可以是独立部署的专用设备或者平台，也可以与其他设备和系统集成在一起；

　　11.本发明涉及的智能终端包括但不限于智能手机、pad、物联网智能传感器或者其他专用智能终端；在线宿主设备可包括但不限于用户电脑、单位/家庭服务器、工作站、加密机、智能手机等；宿主设备上的用户数字证书可以存储在加密机、USBKey、SDKey、SIMKey、计算机硬盘或者其他安全存储设备；

　　12.本发明涉及对应的安全策略设计，包括但不限于在用户和证书应用装置之间建立安全通道，在证书应用装置和证书安全存储介质之间实现直接的双向认证和安全通道，避开宿主机等中间环节等手段，最后，本发明涉及的数字证书是指以非对称密钥体系为基础的数字证书技术，不限于具体密码算法，本发明涉及一种新型设计思想和方法，不受具体实现技术、设备形态和部署方式的限制。

　　【有益效果】本发明提供了一种提供新型数字证书应用的方法与装置。极大地突破了当前网络信任保障体系的局限性，经济有效地解决了目前复杂网络环境下数字证书应用的诸多关键问题，对于巩固完善新一代网络信任基础设施体系具有重要意义，适应新形势下网络世界对网络信任安全保障的要求，有较强一定的市场价值。

　　【附图说明】

　　图1说明系统结构示意图，通过引入新型的数字证书应用中间装置，用户或设备可以在其上通过动态口令、手机短信、生物特征识别、第二通道认证等其他可靠身份认证手段实现身份认证，摆脱传统信任体系对数字证书终端安全介质的依赖，再通过数字证书应用中间装置调用用户对应的数字证书相关服务，将数字证书技术在敏感信息保护方面的优势及其在责任认定方面的无可替代性与其他便利可靠的身份认证手段有机结合，共同构成新一代网络信任基础设施。适应当前不同使用人群、多种智能终端、各类传输网络、差异化服务形态等复杂网络环境下数字证书应用的需要；

　　图2说明整个调用过程的示意图，在用户需要实现电子签名或安全登录等证书相关操作时，首先利用二维码扫码、蓝牙通信、NFC等近场通信技术，借助装置在智能手机、pad等智能便携式终端设备和电脑工作站上的专用软件，通过数据传输建立对应关系；当用户在电脑工作站上发起证书相关操作时，电脑工作站上的专用软件向专用的中间服务器装置发起对应请求，专用中间件服务器根据请求中携带的便携式终端的通信地址向对应的便携式终端转发操作请求；携式终端设备上的专用软件接收到中间服务器装置的请求后进行对应操作，并将操作结果返回中间服务器装置；中间服务器装置根据实际业务流程向电脑工作站返回操作结果；在便携式终端设备、电脑工作站和中间服务器上是否保留操作结果视具体应用需求而定。