專利名稱:局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及Direct Client系統(tǒng)認證領(lǐng)域���,尤其涉及一種局域網(wǎng)內(nèi)DirectClient系統(tǒng)認證的方法。
背景技術(shù):
CA(Certificate Authority��,證書授權(quán))中心�,又稱為數(shù)字證書認證中心,作為電子商務交易中受信任的第三方�����,專門解決公鑰體系中公鑰的合法性問題����。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書���,數(shù)字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書��。在數(shù)字證書認證的過程中�����,CA中心作為權(quán)威的、公正的�����、可信賴的第三方�����,其作用是至關(guān)重要的�。CA中心負責發(fā)放和管理數(shù)字證書,并允許管理員撤銷已發(fā)放的數(shù)字證書�,在證書廢止列表中添加新項并周期性地發(fā)布這一數(shù)字簽名的證書廢止列表。在用戶使用數(shù)字證書進行身份驗證時���,必須同時使用有效的數(shù)字證書和證書廢止列表�����。
PKCS(Public Key Cryptography Standards�,公鑰密碼系統(tǒng)標準)是由美國RSA數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學標準��,其中包括證書申請�、證書更新、證書廢止列表發(fā)布��、擴展證書內(nèi)容以及數(shù)字簽名、數(shù)字信封的格式等方面的一系列相關(guān)協(xié)議���。其中PKCS#11���,定義了一套獨立于技術(shù)的程序設計接口,用于智能卡之類的加密設備��,以便用戶完成與設備建立連接����,加解密與數(shù)據(jù)管理等任務。
Direct是CFCA(China Financial Certification Authority�,中國金融認證中心)為使用高級證書的客戶提供的一種安全代理軟件。Direct安全代理軟件是處于應用層面并直接面向證書用戶的���。Direct由Direct Server和DirectClient兩部分組成Direct Server主要用于網(wǎng)站用戶�����;Direct Client主要用于需要網(wǎng)上服務的最終用戶。Direct的主要作用就是在客戶的瀏覽器和網(wǎng)站的服務器之間建立一個安全通道����,使得相互之間可以安全地傳遞信息���,同時完成對證書的自動管理。
Direct Client在事先設置好的配置文件中指定下載數(shù)字證書和證書廢止列表的服務器的IP地址和端口�,用戶通過該地址和端口從CA中心下載用戶數(shù)字證書和證書廢止列表。當用戶使用Direct Client向CA中心申請下載數(shù)字證書時����,Direct Client會要求用戶指定一個數(shù)字證書存放的路徑,下載后將數(shù)字證書存放在此路徑下��,同時把下載的證書廢止列表也保存在此路徑下��,該路徑會作為一個附帶的數(shù)據(jù)對象保存在用戶數(shù)字證書的一個數(shù)據(jù)結(jié)構(gòu)中��。當用戶使用下載的數(shù)字證書進行身份認證時�,Direct Client會從數(shù)字證書中讀取該數(shù)據(jù)對象,并到該數(shù)據(jù)對象指定的路徑下查找證書廢止列表�。如果該路徑下保存有有效的證書廢止列表,Direct Client無需連接CA中心服務器就可以使用該數(shù)字證書進行用戶身份認證����、數(shù)據(jù)加解密、簽名及驗證簽名等證書相關(guān)操作����;如果該路徑下沒有證書廢止列表或者證書廢止列表過期或失效�����,Direct Client會自動根據(jù)配置文件到指定的服務器地址和端口下載有效的證書廢止列表��,如果此時無法連接指定的服務器和相應的端口����,DirectClient就會報錯�����,無法使用數(shù)字證書���。
當在銀行內(nèi)部使用Direct Client時���,會受到一定的限制。一般為了保證銀行系統(tǒng)的高安全性�����,防止外部攻擊����,銀行的內(nèi)部網(wǎng)絡相對于互聯(lián)網(wǎng)是獨立的,在銀行內(nèi)部網(wǎng)絡中無法連通Direct Client指定的下載數(shù)字證書和證書廢止列表的服務器及端口����。在銀行為客戶或其內(nèi)部工作人員申請數(shù)字證書時,不能使用銀行內(nèi)部網(wǎng)絡的計算機操作���,必須使用連接互聯(lián)網(wǎng)的計算機進行操作���,才能正常下載數(shù)字證書及證書廢止列表。
為了更好地解決這一問題�,現(xiàn)有技術(shù)中通常把數(shù)字證書保存在軟盤或智能密鑰裝置中。智能密鑰裝置是一種USB接口設備���,它內(nèi)置單片機或智能卡芯片�,可以存儲用戶的密鑰或數(shù)字證書��,利用智能密鑰裝置內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證�。智能密鑰裝置具有保證用戶的私鑰永遠不離開硬件的特征,安全性極高����。隨著信息技術(shù)的高速發(fā)展,為了滿足人們對信息交流和私密性的雙重需要,出現(xiàn)了一種包括智能密鑰裝置和海量存儲裝置的復合設備�����,即在智能密鑰裝置基礎上增加用于存儲數(shù)據(jù)的海量存儲裝置���,不僅保證了密鑰的安全還能實現(xiàn)大量信息的存儲�����。
使用軟盤作為數(shù)字證書存儲介質(zhì)時���,用戶指定的數(shù)字證書存放的路徑為軟盤上的路徑,數(shù)字證書和證書廢止列表都保存在軟盤上的指定路徑中���,該路徑也同時被保存在數(shù)字證書附帶的數(shù)據(jù)對象中����。在銀行內(nèi)部網(wǎng)絡中使用保存在軟盤上的數(shù)字證書時���,Direct Client根據(jù)從數(shù)字證書中的數(shù)據(jù)對象得到的路徑可以從軟盤上相應的路徑中得到有效的證書廢止列表����,從而保證Direct Client可以進行用戶身份認證等正常操作。但是這種使用軟盤作為存儲介質(zhì)的方法具有一定的缺陷�,即軟盤內(nèi)容容易被惡意分子復制,安全性較低�����。
使用智能密鑰裝置作為證書存儲介質(zhì)的情況下�,Direct Client會自動將數(shù)字證書存儲在智能密鑰裝置中��,但是證書廢止列表仍保存在下載數(shù)字證書時使用的計算機中�����,不會自動保存在智能密鑰裝置中�����。這里所說的智能密鑰裝置為簡單的智能密鑰裝置��,此時保存在智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象所指向的證書廢止列表存儲路徑只有在下載數(shù)字證書時使用的計算機上有效�。當存有數(shù)字證書的智能密鑰裝置在銀行內(nèi)部網(wǎng)絡的計算機上使用時,需要在當前的計算機上重新登錄Direct Client����,由于該路徑指向的當前計算機上沒有證書廢止列表���,Direct Client會自動嘗試通過配置文件指定的服務器地址和端口下載證書廢止列表,而銀行內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)是相互獨立的�,Direct Client無法和該服務器地址及端口連通,也就無法下載證書廢止列表��,此時就會出錯��,導致無法登錄Direct Client��,因此也就無法進行用戶身份的認證����,數(shù)據(jù)加解密、簽名及驗證簽名等相關(guān)操作�����。
發(fā)明內(nèi)容
為了克服用戶使用Direct Client系統(tǒng)進行認證時無法正確讀取有效證書廢止列表的缺陷��,本發(fā)明的目的在于提供一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法��,在無法連通Direct Client配置文件中指定的下載證書廢止列表的服務器及端口的局域網(wǎng)內(nèi)使用Direct Client系統(tǒng)時����,利用智能密鑰裝置可以確保用戶順利進行身份認證等操作��。
本發(fā)明提供的一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法�,在所述局域網(wǎng)內(nèi)的計算機上登錄Direct Client系統(tǒng)時�����,執(zhí)行以下步驟步驟A將存儲有數(shù)字證書和證書廢止列表的智能密鑰裝置連接到局域網(wǎng)內(nèi)的計算機上���;步驟B修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向保存所述證書廢止列表的有效路徑���;步驟CDirect Client系統(tǒng)讀取所述智能密鑰裝置中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息�,根據(jù)該路徑信息找到并讀取所述證書廢止列表�����,進行用戶身份認證�。
所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟可以為先將所述智能密鑰裝置中的證書廢止列表復制到所述局域網(wǎng)內(nèi)的計算機上,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使其指向所述局域網(wǎng)內(nèi)的計算機上保存所述證書廢止列表的路徑�����。
所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟還可以為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向所述局域網(wǎng)內(nèi)的計算機上將要保存所述證書廢止列表的路徑��,然后將所述智能密鑰裝置中的證書廢止列表按照修改后的路徑復制到所述局域網(wǎng)內(nèi)的計算機上����。
本發(fā)明還提供一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法,在所述局域網(wǎng)內(nèi)的計算機上登錄Direct Client系統(tǒng)時���,所述方法包括以下步驟步驟A`將存儲有數(shù)字證書和證書廢止列表的復合設備連接到局域網(wǎng)內(nèi)的計算機上�;步驟B`修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�,使其指向保存所述證書廢止列表的有效路徑;步驟C`Direct Client系統(tǒng)讀取所述復合設備中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息��,根據(jù)該路徑信息找到并讀取所述證書廢止列表�����,進行用戶身份認證����。
所述復合設備包括智能密鑰裝置和海量存儲裝置,所述數(shù)字證書被存儲在所述智能密鑰裝置中����,所述證書廢止列表被存儲在所述海量存儲裝置中�����。
所述步驟B`中修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟可以為
先將所述海量存儲裝置中的證書廢止列表復制到所述局域網(wǎng)內(nèi)的計算機上���,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向所述局域網(wǎng)內(nèi)的計算機上保存所述證書廢止列表的路徑����。
所述步驟B`中修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟還可以為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向所述局域網(wǎng)內(nèi)的計算機上將要保存所述證書廢止列表的路徑��,然后將所述海量存儲裝置中的證書廢止列表按照修改后的路徑復制到所述局域網(wǎng)內(nèi)的計算機上�����。
所述步驟B`中修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟還可以為修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�,使其指向所述海量存儲裝置中保存所述證書廢止列表的路徑在所述局域網(wǎng)內(nèi)的計算機上映射的有效路徑��。
本發(fā)明的有益效果是利用智能密鑰裝置或復合設備存儲數(shù)字證書和證書廢止列表���,通過修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�,使DirectClient系統(tǒng)可以正確地找到證書廢止列表,從而進行用戶身份的認證�,不但增強了金融交易的安全性,還提高了認證過程的可用性和易用性��。
圖1為本發(fā)明使用智能密鑰裝置或復合設備下載并存儲數(shù)字證書和證書廢止列表的系統(tǒng)示意圖�����;圖2為本發(fā)明在局域網(wǎng)內(nèi)使用智能密鑰裝置支持Direct Client系統(tǒng)認證的方法流程圖����;圖3為本發(fā)明在局域網(wǎng)內(nèi)使用復合設備支持Direct Client系統(tǒng)認證的方法流程圖;圖4為本發(fā)明在局域網(wǎng)內(nèi)使用復合設備支持Direct Client系統(tǒng)認證的另一種方法流程圖���。
具體實施例方式
下面結(jié)合附圖和具體實施例對本發(fā)明作進一步說明��,但不作為對本發(fā)明的限定�����。
參見圖1���,為本發(fā)明使用智能密鑰裝置或復合設備下載并存儲數(shù)字證書和證書廢止列表的系統(tǒng)示意圖。當用戶向CA中心申請或更新認證信息時,首先將智能密鑰裝置或復合設備連接到能夠連入互聯(lián)網(wǎng)的計算機上��,用戶使用此計算機上的Direct Client系統(tǒng)通過互聯(lián)網(wǎng)訪問CFCA服務器�����,即向CA中心發(fā)起申請或更新認證信息的請求�����,根據(jù)Direct Client系統(tǒng)的配置文件從指定的服務器及端口下載數(shù)字證書和證書廢止列表�����。
智能密鑰裝置不能被計算機的操作系統(tǒng)的文件系統(tǒng)識別和管理�����,當使用智能密鑰裝置通過互聯(lián)網(wǎng)下載數(shù)字證書和證書廢止列表時���,Direct Client系統(tǒng)將數(shù)字證書直接下載到智能密鑰裝置中�����;或者先將數(shù)字證書下載到當前計算機的硬盤上,然后由用戶通過執(zhí)行相應的應用程序讀取硬盤上的數(shù)字證書���,并調(diào)用PKCS#11接口在智能密鑰裝置中創(chuàng)建數(shù)字證書數(shù)據(jù)對象��,再把數(shù)字證書保存到所述數(shù)字證書數(shù)據(jù)對象中�����,從而完成了復制數(shù)字證書到智能密鑰裝置中的過程��;Direct Client系統(tǒng)將證書廢止列表下載到當前計算機的硬盤上���,再由用戶通過執(zhí)行相應的應用程序讀取硬盤上的證書廢止列表,并調(diào)用PKCS#11接口在智能密鑰裝置中創(chuàng)建證書廢止列表數(shù)據(jù)對象��,然后把證書廢止列表保存到所述證書廢止列表數(shù)據(jù)對象中����,從而完成了復制證書廢止列表到智能密鑰裝置中的過程。
復合設備包括智能密鑰裝置和海量存儲裝置����,海量存儲裝置能夠被計算機的操作系統(tǒng)的文件系統(tǒng)識別和管理。當把復合設備連接到計算機上時�����,計算機會識別此硬件,通過計算機操作系統(tǒng)的文件系統(tǒng)可以讀取海量存儲裝置的存儲內(nèi)容�����,也可以將數(shù)據(jù)存儲到海量存儲裝置中��。當使用復合設備通過互聯(lián)網(wǎng)下載數(shù)字證書和證書廢止列表時����,Direct Client系統(tǒng)將數(shù)字證書下載到智能密鑰裝置中;或者先將數(shù)字證書下載到當前計算機的硬盤上����,然后由用戶通過執(zhí)行相應的應用程序讀取硬盤上的數(shù)字證書,并通過調(diào)用PKCS#11接口在智能密鑰裝置中創(chuàng)建數(shù)字證書數(shù)據(jù)對象��,再將數(shù)字證書保存到所述數(shù)字證書數(shù)據(jù)對象中���,從而完成了復制數(shù)字證書到智能密鑰裝置中的過程���;Direct Client系統(tǒng)將證書廢止列表下載到當前計算機的硬盤上�,再由用戶通過執(zhí)行復制命令將證書廢止列表復制到海量存儲裝置中;用戶也可以在配置文件中指定Direct Client系統(tǒng)的證書廢止列表下載路徑為海量存儲裝置在當前計算機上映射的有效路徑,此時Direct Client系統(tǒng)將證書廢止列表直接下載到海量存儲裝置中����。
下載完成后,存儲有數(shù)字證書和證書廢止列表的智能密鑰裝置或復合設備就可以在無法連通Direct Client配置文件中指定的服務器及端口的局域網(wǎng)內(nèi)使用了�。
參見圖2,為本發(fā)明在局域網(wǎng)內(nèi)使用智能密鑰裝置支持Direct Client系統(tǒng)認證的方法流程圖��。當在無法連通Direct Client配置文件中指定的下載數(shù)字證書和證書廢止列表服務器及端口的局域網(wǎng)內(nèi)使用智能密鑰裝置進行用戶身份認證時��,執(zhí)行以下步驟步驟201將存儲有數(shù)字證書和證書廢止列表的智能密鑰裝置連接到上述局域網(wǎng)內(nèi)的計算機上��;步驟202用戶通過執(zhí)行相應的應用程序���,調(diào)用PKCS#11接口讀取智能密鑰裝置中的證書廢止列表�����,并把證書廢止列表以證書廢止列表文件的形式復制到計算機的硬盤上�;步驟203用戶通過PKCS#11接口讀取智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的數(shù)據(jù)���,該數(shù)據(jù)就是證書廢止列表在下載時的保存路徑���;然后判斷該數(shù)據(jù)指定的路徑與所述計算機上保存所述證書廢止列表的路徑是否相同���,如果相同則不修改該數(shù)據(jù);如果不相同則修改該數(shù)據(jù)�����,使其指向所述計算機上保存所述證書廢止列表的路徑�����,再通過PKCS#11接口用所述修改后的數(shù)據(jù)即保存有新的路徑信息的數(shù)據(jù)覆蓋智能密鑰裝置中數(shù)字證書附帶的數(shù)據(jù)對象中的原有數(shù)據(jù)��;上述步驟203也可以在步驟202之前執(zhí)行����,即先執(zhí)行修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的操作,然后再執(zhí)行保存證書廢止列表到計算機上的操作���,只要保證修改后的路徑與證書廢止列表在計算機上保存的路徑一致即可��;步驟204Direct Client系統(tǒng)讀取智能密鑰裝置中的數(shù)字證書以及該數(shù)字證書附帶的數(shù)據(jù)對象中被修改后的路徑信息��;步驟205Direct Client系統(tǒng)根據(jù)讀取的路徑找到并讀取證書廢止列表��,進行用戶身份的認證����。
參見圖3��,為本發(fā)明在局域網(wǎng)內(nèi)使用復合設備支持Direct Client系統(tǒng)認證的方法流程圖�。當在無法連通Direct Client配置文件中指定的下載數(shù)字證書和證書廢止列表服務器及端口的局域網(wǎng)內(nèi)使用復合設備進行用戶身份認證時,執(zhí)行以下步驟步驟301將存儲有數(shù)字證書和證書廢止列表的復合設備連接到上述局域網(wǎng)內(nèi)的計算機上�����;步驟302用戶通過PKCS#11接口讀取復合設備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的數(shù)據(jù)�,該數(shù)據(jù)就是證書廢止列表在下載時的保存路徑;然后判斷該數(shù)據(jù)指定的路徑與復合設備的海量存儲裝置中保存所述證書廢止列表的路徑在所述計算機上映射的有效路徑是否相同�����,如果相同則不修改該數(shù)據(jù)�;如果不相同則修改該數(shù)據(jù),使其指向復合設備的海量存儲裝置中保存所述證書廢止列表的路徑在所述計算機上映射的有效路徑�,再通過PKCS#11接口用所述修改后的數(shù)據(jù)即保存有新的路徑信息的數(shù)據(jù)覆蓋復合設備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的原有數(shù)據(jù);步驟303Direct Client系統(tǒng)讀取復合設備的智能密鑰裝置中的數(shù)字證書以及該數(shù)字證書附帶的數(shù)據(jù)對象中被修改后的路徑信息����;步驟304Direct Client系統(tǒng)根據(jù)讀取的路徑找到并讀取證書廢止列表,進行用戶身份的認證�。
參見圖4��,本發(fā)明還提供在局域網(wǎng)內(nèi)使用復合設備支持Direct Client系統(tǒng)認證的方法的另一個實施例����,與圖3所示的方法相比僅步驟302有所不同��,具體步驟如下步驟401將存儲有數(shù)字證書和證書廢止列表的復合設備連接到上述局域網(wǎng)內(nèi)的計算機上��;步驟402用戶執(zhí)行復制命令將復合設備的海量存儲裝置中的證書廢止列表復制到所述計算機的硬盤上����;步驟403通過PKCS#11接口讀取復合設備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的數(shù)據(jù),該數(shù)據(jù)就是證書廢止列表在下載時的保存路徑�����;然后判斷該數(shù)據(jù)指定的路徑與所述計算機上保存所述證書廢止列表的路徑是否相同���,如果相同則不修改該數(shù)據(jù)�;如果不相同則修改該數(shù)據(jù)�����,使其指向所述計算機上保存所述證書廢止列表的路徑,再通過PKCS#11接口用所述修改后的數(shù)據(jù)即保存有新的路徑信息的數(shù)據(jù)覆蓋復合設備的智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的原有數(shù)據(jù)�;上述步驟403也可以在步驟402之前執(zhí)行,即先執(zhí)行修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的操作��,然后再執(zhí)行復制證書廢止列表到計算機上的操作����,只要保證修改后的路徑與證書廢止列表在計算機上保存的路徑一致即可��;步驟404Direct Client系統(tǒng)讀取復合設備的智能密鑰裝置中的數(shù)字證書以及該數(shù)字證書附帶的數(shù)據(jù)對象中被修改后的路徑信息����;步驟405Direct Client系統(tǒng)根據(jù)讀取的路徑信息找到并讀取證書廢止列表,進行用戶身份的認證���。
以上所述的實施例�,只是本發(fā)明較優(yōu)選的具體實施方式
的一種�����,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案范圍內(nèi)進行的通常變化和替換���,都應包含在本發(fā)明的保護范圍內(nèi)�。
權(quán)利要求
1.一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法���,其特征在于��,在所述局域網(wǎng)內(nèi)的計算機上登錄Direct Client系統(tǒng)時���,所述方法包括以下步驟步驟A將存儲有數(shù)字證書和證書廢止列表的智能密鑰裝置連接到局域網(wǎng)內(nèi)的計算機上�����;步驟B修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使其指向保存所述證書廢止列表的有效路徑���;步驟CDirect Client系統(tǒng)讀取所述智能密鑰裝置中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息,根據(jù)該路徑信息找到并讀取所述證書廢止列表�����,進行用戶身份認證���。
2.根據(jù)權(quán)利要求1所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法����,其特征在于,所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先將所述智能密鑰裝置中的證書廢止列表復制到所述局域網(wǎng)內(nèi)的計算機上���,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息��,使其指向所述局域網(wǎng)內(nèi)的計算機上保存所述證書廢止列表的路徑��。
3.根據(jù)權(quán)利要求1所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法�����,其特征在于,所述步驟B中修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息��,使其指向所述局域網(wǎng)內(nèi)的計算機上將要保存所述證書廢止列表的路徑�����,然后將所述智能密鑰裝置中的證書廢止列表按照修改后的路徑復制到所述局域網(wǎng)內(nèi)的計算機上���。
4.一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法���,其特征在于,在所述局域網(wǎng)內(nèi)的計算機上登錄Direct Client系統(tǒng)時,所述方法包括以下步驟步驟A`將存儲有數(shù)字證書和證書廢止列表的復合設備連接到局域網(wǎng)內(nèi)的計算機上����;步驟B`修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向保存所述證書廢止列表的有效路徑����;步驟C`Direct Client系統(tǒng)讀取所述復合設備中的數(shù)字證書以及所述數(shù)據(jù)對象中修改后的路徑信息,根據(jù)該路徑信息找到并讀取所述證書廢止列表����,進行用戶身份認證。
5.根據(jù)權(quán)利要求4所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法��,其特征在于�,所述復合設備包括智能密鑰裝置和海量存儲裝置,所述數(shù)字證書被存儲在所述智能密鑰裝置中��,所述證書廢止列表被存儲在所述海量存儲裝置中����。
6.根據(jù)權(quán)利要求5所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法,其特征在于���,所述步驟B`中修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先將所述海量存儲裝置中的證書廢止列表復制到所述局域網(wǎng)內(nèi)的計算機上��,然后修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息��,使其指向所述局域網(wǎng)內(nèi)的計算機上保存所述證書廢止列表的路徑����。
7.根據(jù)權(quán)利要求5所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法,其特征在于��,所述步驟B`中修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為先修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息�����,使其指向所述局域網(wǎng)內(nèi)的計算機上將要保存所述證書廢止列表的路徑���,然后將所述海量存儲裝置中的證書廢止列表按照修改后的路徑復制到所述局域網(wǎng)內(nèi)的計算機上�。
8.根據(jù)權(quán)利要求5所述的局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法�����,其特征在于���,所述步驟B`中修改所述復合設備中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息的步驟具體為修改所述智能密鑰裝置中的數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使其指向所述海量存儲裝置中保存所述證書廢止列表的路徑在所述局域網(wǎng)內(nèi)的計算機上映射的有效路徑�����。
全文摘要
本發(fā)明提供一種局域網(wǎng)內(nèi)Direct Client系統(tǒng)認證的方法,屬于Direct Client系統(tǒng)認證領(lǐng)域��。在無法連通Direct Client配置文件中指定的下載數(shù)字證書和證書廢止列表的服務器及端口的局域網(wǎng)內(nèi)使用Direct Client系統(tǒng)進行用戶身份認證時��,本發(fā)明利用智能密鑰裝置或復合設備存儲數(shù)字證書和證書廢止列表����,通過修改數(shù)字證書附帶的數(shù)據(jù)對象中的路徑信息,使Direct Client系統(tǒng)可以正確地找到證書廢止列表�����,從而進行用戶身份的認證����,不但增強了金融交易的安全性,還提高了認證過程的可用性和易用性�����。
文檔編號H04L29/06GK1866827SQ20061008754
公開日2006年11月22日 申請日期2006年6月14日 優(yōu)先權(quán)日2006年6月14日
發(fā)明者陸舟, 于華章, 閆巖 申請人:北京飛天誠信科技有限公司, 北京捷德智能卡系統(tǒng)有限公司