一種基于sm2算法的應(yīng)用服務(wù)系統(tǒng)的制作方法
【專利摘要】本發(fā)明適用于數(shù)字證書安全【技術(shù)領(lǐng)域】�����,提供了一種基于SM2算法的應(yīng)用服務(wù)系統(tǒng)�,所述基于SM2算法的應(yīng)用服務(wù)系統(tǒng)包括:證書管理子系統(tǒng),用于對數(shù)字證書進(jìn)行管理�����;證書認(rèn)證服務(wù)子系統(tǒng)�,與所述證書管理子系統(tǒng)連接,用于為證書管理子系統(tǒng)提供認(rèn)證服務(wù)��;集成證書操作控件����,與所述證書認(rèn)證服務(wù)子系統(tǒng)連接���,用于實現(xiàn)集成數(shù)字證書應(yīng)用;本發(fā)明創(chuàng)新設(shè)計發(fā)證平臺����,保證證書應(yīng)用業(yè)務(wù)和發(fā)證的嚴(yán)格分離,便于統(tǒng)計證書信息采用更高效率����,耦合性更低���、可移植性更好的Quartz技術(shù)框架來實現(xiàn)CRL定時發(fā)布任務(wù)�,即省卻了開發(fā)時間��,采用大量的Jqery和ajax技術(shù)����,來保證在注冊提交的過程中,把數(shù)據(jù)格式校驗和數(shù)據(jù)唯一性校驗等都放在頁面上就極大的提升界面友好度��。
【專利說明】-種基于SM2算法的應(yīng)用服務(wù)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于數(shù)字證書安全【技術(shù)領(lǐng)域】��,尤其涉及一種基于SM2算法的應(yīng)用服務(wù)系 統(tǒng)。
【背景技術(shù)】
[0002] 在數(shù)字證書安全領(lǐng)域����,作為國密最新頒布的SM2算法在安全性上比傳統(tǒng)的RSA算 法提高很多,其中其子系統(tǒng)應(yīng)用服務(wù)平臺主要提供SM2證書應(yīng)用的認(rèn)證服務(wù)功能�,包括簽 名驗簽,私鑰加解密���、時間戳簽名驗簽以及SSL雙向身份認(rèn)證等����,為了提高網(wǎng)絡(luò)信任安全產(chǎn) 品的等級�����,進(jìn)一步完善數(shù)字證書安全性���,解決SM2算法與數(shù)字認(rèn)證安全的關(guān)聯(lián)性��。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明實施例的目的在于提供一種基于SM2算法的應(yīng)用服務(wù)系統(tǒng)����,旨在解決SM2 算法在數(shù)字認(rèn)證安全應(yīng)用的問題。
[0004] 本發(fā)明實施例是這樣實現(xiàn)的��,一種基于SM2算法的應(yīng)用服務(wù)系統(tǒng)���,所述基于SM2算 法的應(yīng)用服務(wù)系統(tǒng)包括:
[0005] 證書管理子系統(tǒng)���,用于對數(shù)字證書進(jìn)行管理;
[0006] 證書認(rèn)證服務(wù)子系統(tǒng)��,與所述證書管理子系統(tǒng)連接�,用于為證書管理子系統(tǒng)提供 認(rèn)證服務(wù);
[0007] 集成證書操作控件���,與所述證書認(rèn)證服務(wù)子系統(tǒng)連接��,用于實現(xiàn)集成數(shù)字證書應(yīng) 用。
[0008] 進(jìn)一步�、所述證書管理子系統(tǒng)還包括:
[0009] 信息錄入模塊,用于證書用戶信息的錄入�����;
[0010] 系統(tǒng)審核模塊�����,與所述信息錄入模塊連接,用于對錄入的信息進(jìn)行審核���;
[0011] 安全審計模塊�,與所述系統(tǒng)審核模塊�����,用于對證書用戶的信息進(jìn)行審計����;
[0012] 證書生成簽發(fā)模塊,與所述安全審計模塊�����,用于證書的生成和簽發(fā)���;
[0013] 系統(tǒng)協(xié)議模塊�����,與所述證書生成簽發(fā)模塊連接�����,用于提供證書的協(xié)議支持�;
[0014] CRL生成簽發(fā)模塊,與所述系統(tǒng)協(xié)議模塊連接�,用于實現(xiàn)CRL定時發(fā)布任務(wù);
[0015] 證書模板模塊��,與所述CRL生成簽發(fā)模塊連接�,用于提供證書的模板;
[0016] 證書歸檔恢復(fù)模塊����,與所述證書模板模塊連接,用于對簽發(fā)的證書進(jìn)行存檔和恢 復(fù)�����。
[0017] 進(jìn)一步�、所述證書認(rèn)證服務(wù)子系統(tǒng)還包括:
[0018] SSL雙向身份認(rèn)證服務(wù)模塊�����,用于通過反向代理的方式實現(xiàn)對應(yīng)用添加 SSL雙向 身份認(rèn)證����;
[0019] 時間戳簽名驗簽服務(wù)模塊�,與所述SSL雙向身份認(rèn)證服務(wù)模塊連接��,用于進(jìn)行對 客戶端數(shù)據(jù)的時間戳簽名驗簽����;
[0020] 權(quán)限管理模塊,與所述時間戳簽名驗簽服務(wù)模塊連接����,用于通過ActiveX控件實 現(xiàn)調(diào)用私鑰進(jìn)行簽名,加密運算接口以及獲得證書�����;
[0021] 簽名驗簽服務(wù)模塊�,與所述權(quán)限管理模塊連接,用于進(jìn)行簽名驗簽�;
[0022] 系統(tǒng)配置模塊,與所述簽名驗簽服務(wù)模塊連接�,用于提供配置功能;
[0023] 私鑰加解密服務(wù)模塊���,與所述系統(tǒng)配置模塊連接����,用于進(jìn)行私鑰加解密運算; [0024]日志處理模塊��,與所述私鑰加解密服務(wù)模塊連接�,用于準(zhǔn)確清晰的記錄系統(tǒng)日志、 日志中記錄時間發(fā)生時間��,事件的請求者和執(zhí)行者以及系統(tǒng)和相關(guān)者的簽名信息����;
[0025] HTTP協(xié)議API模塊,與所述日志處理模塊連接�����,用于以HTTP協(xié)議為基礎(chǔ)開發(fā)簽名 驗簽接口���、私鑰加解密運算接口�����、時間戳簽名驗簽接口�。
【專利附圖】
【附圖說明】
[0026] 圖1是本發(fā)明實施例提供的基于SM2算法的應(yīng)用服務(wù)系統(tǒng)的結(jié)構(gòu)框圖��。
【具體實施方式】
[0027] 為了使本發(fā)明的目的�、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合實施例���,對本發(fā)明 進(jìn)行進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解���,此處所描述的具體實施例僅僅用以解釋本發(fā)明�����,并不用于 限定本發(fā)明�����。
[0028] 如圖1所示�,本發(fā)明實施例提供的基于SM2算法的應(yīng)用服務(wù)系統(tǒng)包括:
[0029] 證書管理子系統(tǒng)1���,用于對數(shù)字證書進(jìn)行管理���;
[0030] 證書認(rèn)證服務(wù)子系統(tǒng)2,與所述證書管理子系統(tǒng)連接�����,用于為證書管理子系統(tǒng)提供 認(rèn)證服務(wù)�����;
[0031] 集成證書操作控件3,與所述證書認(rèn)證服務(wù)子系統(tǒng)連接�,用于實現(xiàn)集成數(shù)字證書應(yīng) 用���。
[0032] 證書管理子系統(tǒng)1具體的包括:
[0033] 信息錄入模塊�,用于證書用戶信息的錄入����;
[0034] 系統(tǒng)審核模塊,與所述信息錄入模塊連接��,用于對錄入的信息進(jìn)行審核���;
[0035] 安全審計模塊���,與所述系統(tǒng)審核模塊,用于對證書用戶的信息進(jìn)行審計;
[0036] 證書生成簽發(fā)模塊����,與所述安全審計模塊�,用于證書的生成和簽發(fā);
[0037] 系統(tǒng)協(xié)議模塊���,與所述證書生成簽發(fā)模塊連接�����,用于提供證書的協(xié)議支持��;
[0038] CRL生成簽發(fā)模塊�,與所述系統(tǒng)協(xié)議模塊連接���,用于實現(xiàn)CRL定時發(fā)布任務(wù)�����;
[0039] 證書模板模塊�,與所述CRL生成簽發(fā)模塊連接��,用于提供證書的模板�����;
[0040] 證書歸檔恢復(fù)模塊,與所述證書模板模塊連接�����,用于對簽發(fā)的證書進(jìn)行存檔和恢 復(fù)��。
[0041] 證書用戶通過證書管理子系統(tǒng)1完成證書申請等業(yè)務(wù)操作���;證書認(rèn)證服務(wù)子系統(tǒng) 2為應(yīng)用系統(tǒng)提供認(rèn)證服務(wù)��;應(yīng)用系統(tǒng)通過集成證書操作控件3實現(xiàn)集成數(shù)字證書應(yīng)用���;
[0042] 證書應(yīng)用服務(wù)子系統(tǒng)2完全獨立,可任意組合封裝����,實現(xiàn)基于SM2數(shù)字證書的網(wǎng)絡(luò) 安全服務(wù),具體包括以下模塊:
[0043] SSL雙向身份認(rèn)證服務(wù)模塊���,主要通過反向代理的方式實現(xiàn)對應(yīng)用添加SSL雙向 身份認(rèn)證���,還包括根證書的設(shè)置等其他參數(shù)的設(shè)置�����;
[0044] 時間戳簽名驗簽服務(wù)模塊���,主要通過提供HTTP協(xié)議的時間戳簽名驗簽服務(wù)接口 供客戶端調(diào)用���,進(jìn)行對客戶端數(shù)據(jù)的時間戳簽名驗簽��,其中還包括時間戳服務(wù)的參數(shù)設(shè) 置���;
[0045] 權(quán)限管理模塊,通過ActiveX控件實現(xiàn)調(diào)用私鑰進(jìn)行簽名�����,加密運算接口以及獲 得證書等功能��;
[0046] 簽名驗簽服務(wù)模塊����,主要通過提供HTTP協(xié)議的簽名延期服務(wù)接口供客戶端調(diào)用, 進(jìn)行簽名驗簽,其中還包括簽名延期的參數(shù)設(shè)置����;
[0047] 系統(tǒng)配置模塊,提供配置功能�,包括服務(wù)系統(tǒng)名稱、時間��、IP以及系統(tǒng)其他參數(shù)設(shè) 置�����;
[0048] 私鑰加解密服務(wù)模塊����,主要通過提供HTTP協(xié)議的私鑰加解密服務(wù)接口供客戶端 調(diào)用,進(jìn)行私鑰加解密運算�����,其中還包括私鑰加解密的參數(shù)設(shè)置��;
[0049] 日志處理模塊���,用于系統(tǒng)中的日志模塊��,準(zhǔn)確清晰的記錄系統(tǒng)日志��、日志中記錄時 間發(fā)生時間��,事件的請求者和執(zhí)行者以及系統(tǒng)和相關(guān)者的簽名信息�;
[0050] HTTP協(xié)議API模塊,主要以HTTP協(xié)議為基礎(chǔ)開發(fā)簽名驗簽接口���、私鑰加解密運算 接口���、時間戳簽名驗簽接口。
[0051] 本發(fā)明的原理為:創(chuàng)新設(shè)計發(fā)證平臺��,保證證書應(yīng)用業(yè)務(wù)和發(fā)證的嚴(yán)格分離��,便于 統(tǒng)計證書信息���,作為標(biāo)準(zhǔn)的PKI體系的CA(證書認(rèn)證中心)系統(tǒng),往往只包含2個子系統(tǒng)����, 艮P :CA(證書認(rèn)證中心)、RA(證書注冊中心)���,RA(證書注冊中心)完成證書用戶信息的 注冊�����、審核����,CA(證書認(rèn)證中心)完成用戶證書的簽發(fā)等業(yè)務(wù)操作,其基本的工作原理是���, RA(證書注冊中心)獲取到用戶完整的注冊信息后��,構(gòu)造證書簽發(fā)請求����,然后將請求發(fā)給 CA(證書認(rèn)證中心)���,由CA(證書認(rèn)證中心)來進(jìn)行證書的簽發(fā)���,但是由于各省運營CA(證 書認(rèn)證中心)的策略以及市場領(lǐng)域的差異化,所帶來的問題便是��,不能有效的滿足各省的 業(yè)務(wù)需求���,僅僅滿足了各省CA(證書認(rèn)證中心)基本的發(fā)證需求而已�,而在證書的應(yīng)用領(lǐng) 域上,比如�,對證書應(yīng)用行業(yè)的管理,證書應(yīng)用項目的管理�����,以及在這些發(fā)證基礎(chǔ)上來進(jìn)行 的統(tǒng)計工作����,都難以有效的進(jìn)行準(zhǔn)確統(tǒng)計,在本發(fā)明中�,我們創(chuàng)新性的大膽提出,發(fā)證平臺 的設(shè)計��,即在RA(證書注冊中心)之外��,再開發(fā)一個發(fā)證平臺�,其保證證書應(yīng)用業(yè)務(wù)和發(fā)證 的嚴(yán)格分離�����,所有在行業(yè)���、項目等應(yīng)用的管理��,均可以在發(fā)證平臺完成���,其工作原理為���,發(fā)證 平臺根據(jù)不同行業(yè)項目接受注冊請求,封裝請求����,并打包轉(zhuǎn)發(fā)給RA(證書注冊中心),再有 RA (證書注冊中心)轉(zhuǎn)發(fā)給CA(證書認(rèn)證中心)�����,這種方式在實施上����,滿足了一省CA (證書 認(rèn)證中心)多RA(證書注冊中心),并下級發(fā)證平臺的3級管理體系��,同時在統(tǒng)計上也可以 很好的精確到各個發(fā)證點��,各個行業(yè)的證書信息�。
[0052] 本發(fā)明采用更高效率�����,耦合性更低���、可移植性更好的Quartz技術(shù)框架來實現(xiàn)CRL 定時發(fā)布任務(wù),即省卻了開發(fā)時間�����,又提高了定時發(fā)布CRL的穩(wěn)定性以及有效性��,Quartz技 術(shù)包含了 3個概念�,調(diào)度器、觸發(fā)器���、和作業(yè)(定時任務(wù)內(nèi)容�����,被執(zhí)行的程序),它利用java 對job接口進(jìn)行封裝�,模擬底層的定時觸發(fā)任務(wù)機(jī)制,從原理上來說�����,保證了項目在定時發(fā) 布crl上的平臺無關(guān)性,極大的擴(kuò)展了項目的平臺部署空間����,滿足了項目的一個重要的特 性,跨平臺性���。
[0053] 應(yīng)用Jquery和ajax技術(shù)����,提升界面的友好性����,作為一個面向運營類的項目,其在 設(shè)計的時候就要考慮大量的人機(jī)互動操作的界面友好性���。而采用何種技術(shù)���,來花大量的代 碼來進(jìn)行這種友好界面的開發(fā),也是我們在做項目的過程中需要考慮的一個難點�����,在其他 同類產(chǎn)品中,由于過多的注重于服務(wù)端的開發(fā)質(zhì)量�����,往往忽視了 View層的復(fù)雜的設(shè)計工 作��。比如����,在注冊系統(tǒng)中,當(dāng)注冊完成的時候��,同類項目往往只是在頁面上進(jìn)行一次單項的 格式校驗�,與數(shù)據(jù)庫的數(shù)據(jù)校驗往往是放在servlet中進(jìn)行,帶來的問題便是�����,當(dāng)用戶輸入 重復(fù)數(shù)據(jù)并且提交��,用戶需要等待提交過程結(jié)束才能看到返回的���,數(shù)據(jù)唯一性錯誤�����,而在本 發(fā)明中���,尤其是在ECBMP(發(fā)證平臺)子系統(tǒng)中,采用了大量的Jqery和ajax技術(shù)���,來保證 在注冊提交的過程中����,把數(shù)據(jù)格式校驗和數(shù)據(jù)唯一性校驗等都放在頁面上��,利用js來模擬 serlvet請求進(jìn)行提交���,做到在不刷新頁面的情況下完成對數(shù)據(jù)的所有有效性校驗����。這樣���, 就極大的提升了界面友好度����。
[0054] 以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明��,凡在本發(fā)明的精 神和原則之內(nèi)所作的任何修改��、等同替換和改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1. 一種基于SM2算法的應(yīng)用服務(wù)系統(tǒng)�,其特征在于,所述基于SM2算法的應(yīng)用服務(wù)系統(tǒng) 包括: 證書管理子系統(tǒng)�����,用于對數(shù)字證書進(jìn)行管理�; 證書認(rèn)證服務(wù)子系統(tǒng),與所述證書管理子系統(tǒng)連接����,用于為證書管理子系統(tǒng)提供認(rèn)證 服務(wù); 集成證書操作控件���,與所述證書認(rèn)證服務(wù)子系統(tǒng)連接�����,用于實現(xiàn)集成數(shù)字證書應(yīng)用����。
2. 如權(quán)利要求1所述的基于SM2算法的應(yīng)用服務(wù)系統(tǒng),其特征在于��,所述證書管理子系 統(tǒng)還包括: 信息錄入模塊���,用于證書用戶信息的錄入; 系統(tǒng)審核模塊�����,與所述信息錄入模塊連接�����,用于對錄入的信息進(jìn)行審核��; 安全審計模塊��,與所述系統(tǒng)審核模塊�,用于對證書用戶的信息進(jìn)行審計; 證書生成簽發(fā)模塊�,與所述安全審計模塊�,用于證書的生成和簽發(fā)��; 系統(tǒng)協(xié)議模塊���,與所述證書生成簽發(fā)模塊連接���,用于提供證書的協(xié)議支持; CRL生成簽發(fā)模塊����,與所述系統(tǒng)協(xié)議模塊連接,用于實現(xiàn)CRL定時發(fā)布任務(wù)���; 證書模板模塊�,與所述CRL生成簽發(fā)模塊連接����,用于提供證書的模板; 證書歸檔恢復(fù)模塊���,與所述證書模板模塊連接�,用于對簽發(fā)的證書進(jìn)行存檔和恢復(fù)����。
3. 如權(quán)利要求1所述的基于SM2算法的應(yīng)用服務(wù)系統(tǒng)��,其特征在于���,所述證書認(rèn)證服務(wù) 子系統(tǒng)還包括: SSL雙向身份認(rèn)證服務(wù)模塊,用于通過反向代理的方式實現(xiàn)對應(yīng)用添加 SSL雙向身份 認(rèn)證����; 時間戳簽名驗簽服務(wù)模塊�,與所述SSL雙向身份認(rèn)證服務(wù)模塊連接,用于進(jìn)行對客戶 端數(shù)據(jù)的時間戳簽名驗簽�����; 權(quán)限管理模塊����,與所述時間戳簽名驗簽服務(wù)模塊連接,用于通過ActiveX控件實現(xiàn)調(diào) 用私鑰進(jìn)行簽名��,加密運算接口以及獲得證書�; 簽名驗簽服務(wù)模塊,與所述權(quán)限管理模塊連接��,用于進(jìn)行簽名驗簽; 系統(tǒng)配置模塊�����,與所述簽名驗簽服務(wù)模塊連接���,用于提供配置功能����; 私鑰加解密服務(wù)模塊���,與所述系統(tǒng)配置模塊連接�����,用于進(jìn)行私鑰加解密運算��; 日志處理模塊�,與所述私鑰加解密服務(wù)模塊連接���,用于準(zhǔn)確清晰的記錄系統(tǒng)日志�、日志 中記錄時間發(fā)生時間����,事件的請求者和執(zhí)行者以及系統(tǒng)和相關(guān)者的簽名信息��; HTTP協(xié)議API模塊���,與所述日志處理模塊連接,用于以HTTP協(xié)議為基礎(chǔ)開發(fā)簽名驗簽 接口����、私鑰加解密運算接口、時間戳簽名驗簽接口��。
【文檔編號】H04L29/06GK104052596SQ201310075573
【公開日】2014年9月17日 申請日期:2013年3月11日 優(yōu)先權(quán)日:2013年3月11日
【發(fā)明者】何穎飛 申請人:江蘇國盾科技實業(yè)有限責(zé)任公司