[发明专利]基于数字证书互联互通的身份认证支撑平台及认证方法

说明书

 

技术领域

本发明涉及一种数字证书的身份认证支撑平台及身份认证方法。

背景技术

近年来，数字证书在电子商务、电子金融、电子政务等领域的应用取得了较大的发展。但是不同证书颁发机构所颁发的数字证书独立分散、各自为政，无法实现真正的互联互通。各种重复发证、重复认证增加了用户的使用成本与使用繁琐度，更是限制了数字证书在发行、应用上的拓展，弱化了数字证书在信息传输中的保密性、数据交换的完整性、发送信息的不可抵赖性和交易者身份信息的确认等方面的优势。打破证书间各自为政的僵局，实现信息的共享，降低用户使用成本，突出证书优势，进而推动我国证书应用发展，形成集中效应已经刻不容缓。

以下说明现有应用系统中的CA电子认证存在的缺陷。

请参阅图1，其为现有的应用系统CA电子认证原理结构示意图。应用系统11包括电子商务、金融、电子政务等系统。用户包括企业用户12和个人用户11。用户再使用数字证书登录应用系统时，应用系统11会根据证书网关获取证书中包含的证书序列号等信息，证书网关一般还会到对接的证书服务机构验证证书的有效性，应用系统11根据证书序列号再去应用系统11对应的用户信息库中比对已经绑定的证书序列号和身份信息，比对符合则登录验证通过，用户进入应用系统11。这种数字证书身份认证方式存在以下缺陷：

首先，以上操作仅适用于应用系统11已经对特定的数字证书做过对接开发，不同行业的数字证书中证书的标准也不一致，每对接一种数字证书都要做定制开发，所以应用系统11一般对接的CA数字证书非常有限。

其次，数字证书都有有效性验证的要求，证书服务机构都会提供验证接口，应用系统可供使用的数字证书种类越多，系统需要对接验证接口也会越多。

最后，由于不同行业证书信息格式不一致，且大部分企业用户12、个人用户13数字证书中只有证书序列号，欠缺相应的身份信息，所以用户并不能在众多已经做过CA电子认证对接的系统直接应用自己的数字证书，用户在使用之前，需要向应用系统管理员提供自己的数字证书序列号和身份信息，并且需要证明数字证书和身份信息是一致的。

发明内容

本发明的第一目的在于提供一种基于数字证书互联互通的身份认证支撑平台，以解决现有数字证书应用中重复发证、重复认证、用户的使用成本高与、使用繁琐的问题，并将虚拟网络的身份与现实世界的身份关联起来。

本申请的第二目的在于提供一种基于数字证书互联互通的身份认证方法，以解决现有数字证书应用中重复发证、重复认证、用户的使用成本高与、使用繁琐的问题，并将虚拟网络的身份与现实世界的身份关联起来。

本发明的技术方案为：

基于数字证书互联互通的身份认证支撑平台，包括以下部分：

证书服务机构存储单元311，用于存储证书服务机构信息；证书服务机构信息包括证书服务机构标识、证书服务机构接口；

认证记录存储单元312，用于存储用户每一次数字证书身份认证记录，包括每一次使用数字证书进行身份认证涉及到的用户身份信息、身份认证请求时间、应用平台标识； 

证书信息存储单元313，用于存储用户用来进行数字证书身份认证的数字证书信息，包括数字证书的序列号、有效期限、颁发单位、证书是否有效、是否有在支撑平台完成证书信息绑定，平台每完成一次数字证书身份认证，即会更新一次数字证书信息；

电子证照信息存储单元314，用来存储进行过数字证书身份认证的企业、个人的证照信息，平台每完成一次数字证书身份认证，如果用户身份信息不在电子证照信息存储单元中，即会做更新信息；

授权记录存储单元315，用来存储用户的第三方应用系统登录授权记录、身份信息授权记录，第三方应用系统登录授权记录用户被授权的证书序列号、被授权的第三方应用系统信息、授权时间，身份信息授权记录用户被授权身份证照信息、授权时间；

认证请求接收单元321，用于接收和处理来自于应用平台的数字证书用户的身份认证请求，如果数字证书的用户身份信息在数据库中存在，认证请求接受单元连接证书服务机构，确认数字证书的有效性，如数字证书有效，则返回数据库中已经存储的用户身份信息，如数字证书无效，则向用户返回数字证书异常信息，如果数字证书的用户身份信息在数据库中不存在，则转向到身份授权单元；

认证转发单元322，用户的数字证书认证通过后，认证转发单元将用户身份信息一并发送至应用系统；