專利名稱:一種網(wǎng)上物流利用usbkey加密認證存儲的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種網(wǎng)上物流利用USBKEY加密認證存儲的裝置,屬于信息技術(shù)中的USBKEY安全設(shè)備擴展設(shè)計領(lǐng)域及物流網(wǎng)站安全用戶認證和WEB服務(wù)應(yīng)用領(lǐng)域。
背景技術(shù):
在現(xiàn)有技術(shù)中有一種USBKEY存儲加密技術(shù),它是一種USB接口的硬件設(shè)備;它內(nèi)置單片機或智能卡芯片,有一定的存儲空間,可以存儲用戶的私鑰以及數(shù)字證書,利用 USB KEY內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。絕大多數(shù)銀行都采用USBKEY來實現(xiàn)保密通信和數(shù)字認證,如工商銀行的U盾,招商銀行的優(yōu)KEY等等。PKI (Public Key hfrastructure)技術(shù),它是基于公開密鑰理論和技術(shù)建立起來的安全體系,是提供信息安全服務(wù)具有普遍性的安全基礎(chǔ)設(shè)施。該體系在統(tǒng)一的安全認證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供了在線身份認證,是CA認證、數(shù)字證書、數(shù)字簽名以及相關(guān)的安全應(yīng)用組件的集合?;赑KI架構(gòu)的數(shù)字證書認證方式可以有效保證用戶的身份安全和數(shù)據(jù)安全,但是數(shù)字證書存在被復(fù)制的危險?,F(xiàn)有USBKEY普遍采用PKI技術(shù)中廣泛使用的非對稱加密算法,如RSA算法、DSA算法、橢圓曲線算法等。由于密鑰運算在USBKEY中進行,只有USBKEY 的持有人利用PIN碼激活USBKEY后才能操作,所以保證了用戶身份和數(shù)字證書的安全性。SSL技術(shù),Socket Layer的縮寫,即安全套接層協(xié)議,是由網(wǎng)景 (Netscape)公司推出的一種安全通信協(xié)議,它能夠?qū)€人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協(xié)議。在SSL中,采用了公開密鑰和私有密鑰兩種加密方法。身份認證需要SSL技術(shù)(https協(xié)議,443端口),這是最有效的方式服務(wù)器采用 SSL協(xié)議來確保從用戶端瀏覽器到服務(wù)器之間的機密信息傳輸被高強度加密,從而確保傳輸安全,而客戶端的身份認證則可以采用USBKEY來實現(xiàn)。—般USBKEY都是使用SSL協(xié)議與服務(wù)器連接的。通俗的講,SSL需要用到證書, 而證書存儲在USBKEY中。SSL僅用來保護數(shù)據(jù)在傳輸過程中不被竊取和篡改?,F(xiàn)有USBKEY結(jié)構(gòu)單片機或智能卡芯片(CPU)、存儲器、芯片操作系統(tǒng)(COS) 存在的問題或缺點第一結(jié)構(gòu)單一,只有一個USBKEY,一個USBKEY中只劃分一個區(qū),用
于存儲證書和私鑰;
第二與網(wǎng)站服務(wù)應(yīng)用結(jié)合不緊密,只做單一的身份認證,無其它內(nèi)容的操作讀寫; 身份認證中與線下認證不結(jié)合,即無法使用USBKEY在線下進行身份認證;管理員安全操作有待提高,即沒有從硬件上將真實的管理員同非法獲得管理權(quán)限的普通用戶相分開。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)存在的不足,而提供一種網(wǎng)上物流利用USBKEY 加密認證存儲的系統(tǒng),它能解決用戶KEY中的數(shù)字證書的制作、存儲、導(dǎo)入、導(dǎo)出等安全問題,利用現(xiàn)有基于PKI體系的客戶端解決方案,結(jié)合自身的物流網(wǎng)站,提供給用戶一種專屬于物流網(wǎng)站的USBKEY裝置,以求網(wǎng)站操作的快捷性和安全性,樹立交易雙方之間的誠信機制。本發(fā)明的目的是通過如下技術(shù)方案來完成的,它主要包括由一個客戶KEY,一個管理KEY,一個寫卡機構(gòu)成的硬件部分和由寫卡軟件、網(wǎng)站控件以及數(shù)字證書構(gòu)成的軟件部分組成,其特征在于所述的客戶KEY分成四個區(qū)塊,即用戶基本區(qū)、用戶特征區(qū)、用戶安全區(qū)、 用戶存儲區(qū),分別對應(yīng)不同的存儲內(nèi)容;所述的管理KEY由如下三個部分組成,第一個部分是負責(zé)將數(shù)據(jù)通過USB 口與PC機相連的USB通信芯片,第二個部分是負責(zé)數(shù)據(jù)的加密和解密處理的單片機,第三部分是負責(zé)保存加密數(shù)據(jù)的數(shù)據(jù)存儲器;所述的寫卡機用于連接用戶KEY和管理KEY,并由如下兩個部分組成一是負責(zé)寫卡機和PC的USB數(shù)據(jù)交換、以及中轉(zhuǎn)管理KEY以及用戶KEY和寫卡機數(shù)據(jù)交換的USB端口擴充芯片及相關(guān)電路(USB HUB),二是負責(zé)接受管理軟件的指令來控制用戶KEY端口、當(dāng)管理軟件要讀或?qū)懹脩鬕EY時、向單片機發(fā)出指令、才會打開用戶KEY端口、才能對用戶KEY進行數(shù)據(jù)讀寫的單片機控制芯片。所述的用戶基本區(qū)對應(yīng)的存儲內(nèi)容包括全球唯一序列號物流盾KEYID,物流盾用戶名和密碼,物流盾二級密碼(即PIN碼),固定網(wǎng)址如http://WWW. com (*代表任意個數(shù)的字符或數(shù)字);用戶特征區(qū)對應(yīng)的存儲內(nèi)容包括用戶會員消費分類,會員歷史操作記錄,會員分類;用戶安全區(qū)對應(yīng)的存儲內(nèi)容包括SSL客戶端數(shù)字證書、用于服務(wù)器、客戶端驗證和代碼簽名的CA根證書;用戶存儲區(qū)物流盾用戶真實姓名,物流盾用戶有效身份證, 物流盾用戶有效身份證掃描件。所述的寫卡軟件采用C++編寫,用于發(fā)出用戶KEY讀寫操作指令,網(wǎng)站控件用于讀寫用戶KEY中的數(shù)據(jù)信息,和寫卡軟件類似,網(wǎng)站采用客戶端腳本語言JavMcript調(diào)用控件,用戶在網(wǎng)站操作過程中會觸發(fā)用戶KEY前三個區(qū)的方法(函數(shù)),由此進行數(shù)據(jù)讀寫,此控件經(jīng)過代碼簽名證書的簽名認證,保證使用前無任何篡改;數(shù)字證書采用用于安全通信最著名的開放庫OpenSSL制作。本發(fā)明具有如下技術(shù)效果
1.通過使用所述USBKEY,用戶可以將屬于自己的數(shù)字證書和私鑰,以及自己網(wǎng)站操作過程中自動保存的記錄(參考用戶KEY四大區(qū)內(nèi)容)存儲在USBKEY里,受PIN碼保護,有效防止木馬等病毒竊取用戶重要信息;使用過程中采用加密傳輸,安全可靠;通過USBKEY 中的固定網(wǎng)站,可以實現(xiàn)用戶的自動登錄。2.對于管理員而言,無管理KEY情況下,寫卡軟件無法打開,普通用戶即使具有寫卡軟件和用戶KEY,也無法對用戶KEY進行讀寫操作。即使拿到管理KEY,沒有寫卡機的配套使用,仍無法完成操作;數(shù)字證書為管理員生成后一次性導(dǎo)入到USBKEY中,無法復(fù)制和導(dǎo)出并使用。3.通過使用所述USBKEY,網(wǎng)站提高了安全度、誠信度、業(yè)務(wù)處理度;抓住了核心資金流和個性化信息商流。
圖1是本發(fā)明所述系統(tǒng)的硬件構(gòu)成框架示意圖。
具體實施例方式下面將結(jié)合附圖及具體實施例對本發(fā)明作詳細的介紹本發(fā)明主要包括由一個客戶KEY1,一個管理KEY2,一個寫卡機3構(gòu)成的硬件部分和由寫卡軟件、網(wǎng)站控件以及數(shù)字證書構(gòu)成的軟件部分組成,所述的客戶KEYl分成四個區(qū)塊,即用戶基本區(qū)、用戶特征區(qū)、用戶安全區(qū)、用戶存儲區(qū),分別對應(yīng)不同的存儲內(nèi)容;所述的管理KEY2由如下三個部分組成, 第一個部分是負責(zé)將數(shù)據(jù)通過USB 口與PC機相連的USB通信芯片,第二個部分是負責(zé)數(shù)據(jù)的加密和解密處理的單片機,第三部分是負責(zé)保存加密數(shù)據(jù)的數(shù)據(jù)存儲器;所述的寫卡機 3通過用戶KEY接口 4和管理KEY接口 5用于連接用戶KEYl和管理KEY2,并由如下兩個部分組成一是負責(zé)寫卡機和PC的USB數(shù)據(jù)交換、以及中轉(zhuǎn)管理KEY以及用戶KEY和寫卡機數(shù)據(jù)交換的USB端口擴充芯片及相關(guān)電路6 (USB HUB),二是負責(zé)接受管理軟件的指令來控制用戶KEY端口、當(dāng)管理軟件要讀或?qū)懹脩鬕EY時、向單片機7發(fā)出指令、才會打開用戶 KEY端口、才能對用戶KEY進行數(shù)據(jù)讀寫的單片機控制芯片。所述的用戶基本區(qū)對應(yīng)的存儲內(nèi)容包括全球唯一序列號物流盾KEYID,物流盾用戶名和密碼,物流盾二級密碼(即PIN碼),固定網(wǎng)址如http://WWW. com (*代表任意個數(shù)的字符或數(shù)字);用戶特征區(qū)對應(yīng)的存儲內(nèi)容包括用戶會員消費分類,如為點卡用戶,則增加金額點數(shù)(類型為float格式化保留一位小數(shù));如為包月或包年用戶,則要求增加起始時間和到期時間,會員歷史操作記錄,會員分類,物流企業(yè)、生產(chǎn)貿(mào)易企業(yè)、服務(wù)企業(yè)、個人車主、個人貨主;用戶安全區(qū)對應(yīng)的存儲內(nèi)容包括SSL客戶端數(shù)字證書、用于服務(wù)器、客戶端驗證和代碼簽名的CA根證書;用戶存儲區(qū)物流盾用戶真實姓名,物流盾用戶有效身份證,物流盾用戶有效身份證掃描件。所述的寫卡軟件采用C++編寫,用于發(fā)出用戶KEY讀寫操作指令,網(wǎng)站控件用于讀寫用戶KEY中的數(shù)據(jù)信息,和寫卡軟件類似,網(wǎng)站采用客戶端腳本語言JavMcript調(diào)用控件,用戶在網(wǎng)站操作過程中會觸發(fā)用戶KEY前三個區(qū)的方法(函數(shù)),由此進行數(shù)據(jù)讀寫,此控件經(jīng)過代碼簽名證書的簽名認證,保證使用前無任何篡改;數(shù)字證書采用用于安全通信最著名的開放庫OpenSSL制作。
實施例
以局域網(wǎng)架構(gòu)網(wǎng)站進行全程測試為例,為了便于區(qū)分,實例中采用三臺相同配置的計算機,分別提供不同功能。計算機一具有可插入所述USBKEY的USB接口,用于登陸網(wǎng)站和連接WEB服務(wù)
ο計算機二 用于安裝寫卡軟件和證書制作軟件。計算機三作為TOB應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器,即數(shù)據(jù)庫服務(wù)器和網(wǎng)站服務(wù)器為同一計算機,數(shù)據(jù)庫軟件為Mysql,版本5. 1. 51-community,網(wǎng)站數(shù)據(jù)庫中包含基本表 網(wǎng)站會員表,USBKEY管理員表。TOB服務(wù)器軟件為Microsoft-IIS版本6. 0。過程
首先使用所述USBKEY成套設(shè)備(即管理KEY+用戶KEY+寫卡機)連接到計算機二上,接下來的過程如下
1.在計算機二中啟動寫卡軟件,進入USBKEY管理員登陸窗口,輸入密碼和分公司名稱。軟件后臺連接計算機三數(shù)據(jù)庫,結(jié)合USBKEY管理員表進行驗證,不通過會出現(xiàn)以下界面(不通過的情況包括1.只插用戶KEY到計算機USB接口上,并啟動寫卡軟件2.用寫卡機連接計算機USB 口,只插入用戶KEY 3.用寫卡機連接計算機USB 口,用戶KEY插入到寫卡機中的管理KEY接口上),通過則進入以下主界面,管理員可在主界面中進行相關(guān)操作。2.主界面操作之存儲區(qū)操作
如連接的用戶KEY中之前無數(shù)據(jù)錄入,則首先輸入姓名、身份證,并上傳掃描文件,點擊“設(shè)置存儲區(qū)”按鈕。設(shè)置完成后可點擊讀取存儲區(qū)查看。(設(shè)置和讀取存儲區(qū)需要管理 key的接入)
3.主界面操作之信息記錄
點擊“信息記錄”按鈕,輸入用戶名、密碼、密保問題和答案、用戶PIN碼(二級密碼),選擇會員分類,消費類型,輸入卡上余額,如消費類型為包月或包年,需輸入申請時間和到期時間。點卡用戶只需輸入申請時間。最后點擊保存。(信息記錄只可保存一次)
4.主界面操作之充值記錄
點擊“充值記錄”按鈕,軟件會自動調(diào)用點卡分類,充值時間為當(dāng)前時間,輸入充值金額后點擊保存即可完成會員充值。5.主界面操作之信息修改和顯示
點擊“信息修改”按鈕,可修改用戶名,用戶密碼,用戶問題,用戶回答及用戶PIN碼。如不修改,可留空,最后保存。點擊信息修改后的信息顯示按鈕,可查看USBKEY用戶的基本信息,除了用戶密碼和用戶PIN碼外。6.主界面操作之網(wǎng)上用戶關(guān)聯(lián)
點擊“網(wǎng)上用戶關(guān)聯(lián)”按鈕,輸入需要關(guān)聯(lián)的用戶名。軟件后臺判斷此用戶名是否存在并且是否已擁有USBKEY,如已存在用戶名但沒有USBKEY,則顯示關(guān)聯(lián)成功,反之顯示不成功。以上操作與數(shù)據(jù)庫同步修改,而且必須是以數(shù)據(jù)庫作為基礎(chǔ),即先檢查數(shù)據(jù)庫, 通過返回值來判斷KEY,設(shè)置的數(shù)據(jù)保存到數(shù)據(jù)庫和USBKEY中。以下操作直接操作USBKEY。1.主界面操作之消費總數(shù)和消費查詢
點擊“消費總數(shù)”按鈕可查詢當(dāng)前插入的用戶KEY的消費記錄數(shù)。點擊“消費查詢”,進入子界面后,可以自己設(shè)定查詢不同時間段的充值或消費記錄。2.主界面操作之插拔總數(shù)和插拔查詢
點擊“插拔總數(shù)”按鈕可查詢當(dāng)前插入的用戶KEY的插拔記錄數(shù)。點擊“插拔查詢”,進入子界面后,可以自己設(shè)定查詢不同時間段的插拔記錄。3.主界面操作之消費類別獲取和設(shè)置
點擊“獲取消費類別”可查看到當(dāng)前用戶KEY的消費類別信息。當(dāng)網(wǎng)站數(shù)據(jù)庫和用戶 KEY中的數(shù)據(jù)不一致時,可以設(shè)置用戶消費類別,進入子界面后,修改相應(yīng)數(shù)據(jù),最后保存即可。4.主界面操作之保存數(shù)字證書
數(shù)字證書分為客戶端證書和根證書。操作過程為選擇文件,將保存在計算機二中的通過證書制作軟件制作好的客戶端證書和根證書分別記錄到相應(yīng)的文本框中,其中客戶端證書涉及到客戶端證書的私鑰,需一起保存。最后點擊保存證書或保存根證書。(不能一起同步保存兩個證書)
配置計算機三的WEB服務(wù)應(yīng)用打開IIS,在網(wǎng)站上單擊右鍵屬性,在目錄安全性
選項卡中點擊服務(wù)器證書按鈕,將服務(wù)器證書錄入。在網(wǎng)站中的文件上單擊右鍵屬性, 在目錄安全性選項卡中點擊編輯按鈕,如果需要SSL,勾上要求安全通道(SSL),勾上要求1 位加密,選擇要求客戶端證書,點擊確定按鈕。如果不需要SSL,則不勾上要求安全通道(SSL)和要求1 位加密,并選擇忽略客戶端證書。如果需要SSL, 但不需要客戶端證書驗證,則勾上要求安全通道(SSL)和要求1 位加密,并選擇接收客戶端證書。 以上操作完成后,取剛才寫好數(shù)據(jù)的客戶KEY,單獨插入計算機一的USB接口中, 打開IE瀏覽器,輸入連接計算機三的TOB服務(wù)地址http://WWW. 56man. cn。登錄進入會員中心,會員中心頁面需要使用https協(xié)議進行瀏覽,其中貨源和車源管理模塊需要客戶端證書的驗證才能訪問。
權(quán)利要求
1.一種網(wǎng)上物流利用USBKEY加密認證存儲的系統(tǒng),它主要包括由一個客戶KEY,一個管理KEY,一個寫卡機構(gòu)成的硬件部分和由寫卡軟件、網(wǎng)站控件以及數(shù)字證書構(gòu)成的軟件部分組成,其特征在于所述的客戶KEY分成四個區(qū)塊,即用戶基本區(qū)、用戶特征區(qū)、用戶安全區(qū)、用戶存儲區(qū),分別對應(yīng)不同的存儲內(nèi)容;所述的管理KEY由如下三個部分組成,第一個部分是負責(zé)將數(shù)據(jù)通過USB 口與PC機相連的USB通信芯片,第二個部分是負責(zé)數(shù)據(jù)的加密和解密處理的單片機,第三部分是負責(zé)保存加密數(shù)據(jù)的數(shù)據(jù)存儲器;所述的寫卡機用于連接用戶KEY和管理KEY,并由如下兩個部分組成一是負責(zé)寫卡機和PC的USB數(shù)據(jù)交換、 以及中轉(zhuǎn)管理KEY以及用戶KEY和寫卡機數(shù)據(jù)交換的USB端口擴充芯片及相關(guān)電路(USB HUB),二是負責(zé)接受管理軟件的指令來控制用戶KEY端口、當(dāng)管理軟件要讀或?qū)懹脩鬕EY 時、向單片機發(fā)出指令、才會打開用戶KEY端口、才能對用戶KEY進行數(shù)據(jù)讀寫的單片機控制芯片。
2.根據(jù)權(quán)利要求1所述的網(wǎng)上物流利用USBKEY加密認證存儲的系統(tǒng),其特征在于所述的用戶基本區(qū)對應(yīng)的存儲內(nèi)容包括全球唯一序列號物流盾KEYID,物流盾用戶名和密碼, 物流盾二級密碼(即PIN碼),固定網(wǎng)址如http://WWW. com (*代表任意個數(shù)的字符或數(shù)字);用戶特征區(qū)對應(yīng)的存儲內(nèi)容包括用戶會員消費分類,會員歷史操作記錄,會員分類; 用戶安全區(qū)對應(yīng)的存儲內(nèi)容包括SSL客戶端數(shù)字證書、用于服務(wù)器、客戶端驗證和代碼簽名的CA根證書;用戶存儲區(qū)物流盾用戶真實姓名,物流盾用戶有效身份證,物流盾用戶有效身份證掃描件。
3.根據(jù)權(quán)利要求1所述的網(wǎng)上物流利用USBKEY加密認證存儲的系統(tǒng),其特征在于所述的寫卡軟件采用C++編寫,用于發(fā)出用戶KEY讀寫操作指令,網(wǎng)站控件用于讀寫用戶KEY 中的數(shù)據(jù)信息,和寫卡軟件類似,網(wǎng)站采用客戶端腳本語言JavMcript調(diào)用控件,用戶在網(wǎng)站操作過程中會觸發(fā)用戶KEY前三個區(qū)的方法(函數(shù)),由此進行數(shù)據(jù)讀寫,此控件經(jīng)過代碼簽名證書的簽名認證,保證使用前無任何篡改;數(shù)字證書采用用于安全通信最著名的開放庫OpenSSL制作。
全文摘要
一種網(wǎng)上物流利用USBKEY加密認證存儲的系統(tǒng),它主要包括由一個客戶KEY,一個管理KEY,一個寫卡機構(gòu)成的硬件部分和由寫卡軟件、網(wǎng)站控件以及數(shù)字證書構(gòu)成的軟件部分組成,所述的客戶KEY分成四個區(qū)塊,即用戶基本區(qū)、用戶特征區(qū)、用戶安全區(qū)、用戶存儲區(qū),分別對應(yīng)不同的存儲內(nèi)容;所述的管理KEY由如下三個部分組成,第一個部分是負責(zé)將數(shù)據(jù)通過USB口與PC機相連的USB通信芯片,第二個部分是負責(zé)數(shù)據(jù)的加密和解密處理的單片機,第三部分是負責(zé)保存加密數(shù)據(jù)的數(shù)據(jù)存儲器;所述的寫卡機用于連接用戶KEY和管理KEY,通過使用所述USBKEY,用戶可以將屬于自己的數(shù)字證書和私鑰,以及自己網(wǎng)站操作過程中自動保存的記錄存儲在USBKEY里,受PIN碼保護,有效防止木馬等病毒竊取用戶重要信息等。
文檔編號G06Q10/00GK102332068SQ201110213638
公開日2012年1月25日 申請日期2011年7月28日 優(yōu)先權(quán)日2011年7月28日
發(fā)明者史建民, 趙琴飛, 陳會祥 申請人:杭州藍恩網(wǎng)絡(luò)科技有限公司