[发明专利]一种用于身份认证的安全网络中间件及其实现方法和装置

权利要求书

1.一种用于身份认证的安全网络中间件的实现方法，其特征在于，所述实现方法包括：

中间件接收客户端发送的用户身份信息，发送验证认证平台的认证信号至认证平台；

所述认证平台接收认证信号，发送认证平台信息至中间件；

所述中间件根据所述认证平台信息，生成数字签名；

所述中间件验签所述数字签名；

如果验签通过，加密所述用户身份信息，得到数字信封报文，发送至第三方网络应用；

所述中间件根据所述认证平台信息，生成数字签名的步骤包括：

所述认证平台信息，利用哈希函数，生成第一平台信息摘要；

利用非对称加密算法的私钥对所述第一平台信息摘要加密，生成数字签名；

所述如果验签通过，加密所述用户身份信息，得到数字信封报文，发送至第三方网络应用的步骤包括：

如果验签通过，生成一个随机数作为对称密钥；

利用对称秘钥加密用户身份信息，得到数字信封报文，发送至第三方网络应用。

2.根据权利要求1所述的实现方法，其特征在于，所述中间件验签所述数字签名的步骤包括：

认证平台信息利用哈希函数，生成第二平台信息摘要；

利用非对称加密算法的公钥对所述数字签名解密，得到第三平台信息摘要；

判断第二平台信息摘要和第三平台信息摘要是否相同；

如果相同，则验签通过。

3.根据权利要求1所述的实现方法，其特征在于，所述数字信封报文的格式为ASN.1格式，所述数字信封报文还包括数字信封版本和第三方网络应用信息。

4.一种用于身份认证的安全网络中间件的实现装置，其特征在于，所述实现装置包括：

第一接收单元，用于中间件接收客户端发送的用户身份信息，发送验证认证平台的认证信号至认证平台；

第一发送单元，用于所述认证平台接收认证信号，发送认证平台信息至中间件；

第一生成单元，用于所述中间件根据所述认证平台信息，生成数字签名；

验签单元，用于所述中间件验签所述数字签名；

第二发送单元，用于如果验签通过，加密所述用户身份信息，得到数字信封报文，发送至第三方网络应用；

所述第一生成单元包括：

第二生成单元，用于所述认证平台信息，利用哈希函数，生成第一平台信息摘要；

第三生成单元，用于利用非对称加密算法的私钥对所述平台信息摘要加密，生成数字签名；

所述第二发送单元包括：

第五生成单元，用于如果验签通过，生成一个随机数作为对称密钥；

第三发送单元，用于利用对称秘钥加密用户身份信息，得到数字信封报文，发送至第三方网络应用。

5.根据权利要求4所述的实现装置，其特征在于，所述验签单元包括：

第四生成单元，用于认证平台信息利用哈希函数，生成第二平台信息摘要；

解密单元，用于利用非对称加密算法的公钥对所述数字签名解密，得到第三平台信息摘要；

判断单元，用于判断第二平台信息摘要和第三平台信息摘要是否相同；

如果相同，则验签通过。

6.根据权利要求4所述的实现装置，其特征在于，所述数字信封报文的格式为ASN.1格式，所述数字信封报文还包括数字信封版本和第三方网络应用信息。

7.一种用于身份认证的安全网络中间件，其特征在于，所述中间件应用权利要求1所述的实现方法，所述中间件包括接口层、功能层和引擎层；

所述接口层位于所述功能层的之上，用于提供客户端调用中间件的渠道；

所述功能层位于所述引擎层的之上，用于向所述接口层提供业务接口，负责中间件的业务实现，所述业务包括签名、验签、加密和解密；

所述引擎层，包括国密算法引擎、OpenSSL算法引擎和硬件算法引擎，其中，所述国密算法引擎基于所述OpenSSL算法引擎实现，向所述功能层提供国密算法；所述硬件算法引擎向功能层提供国密算法接口；

所述国密算法包括非对称加密算法、哈希算法和对称加密算法。

8.根据权利要求7所述的安全网络中间件，其特征在于，所述接口层包括ios接口、Android接口和Windows接口。