一種根據(jù)數(shù)字證書認(rèn)證用戶身份的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,特別涉及一種根據(jù)數(shù)字證書認(rèn)證用戶身份的方法及裝置。
【背景技術(shù)】
[0002]隨著信息安全技術(shù)的普及,數(shù)字簽名技術(shù)被越來越多用戶認(rèn)可。實際應(yīng)用中,與基于用戶名和密碼的認(rèn)證方式相比,數(shù)字簽名技術(shù)具有不可篡改、不可抵賴、不可復(fù)制等優(yōu)點,在網(wǎng)絡(luò)信息安全領(lǐng)域得到了廣泛的應(yīng)用。
[0003]數(shù)字證書是數(shù)字簽名技術(shù)的一種具體應(yīng)用,數(shù)字證書是由第三方CA (CertificateAuthority,證書授權(quán))機構(gòu)簽發(fā)的,其中包含了第三方CA機構(gòu)的簽名和用戶身份信息等,其中,用戶身份信息可以是用戶身份證號碼、電子郵箱地址、電話號碼等等。數(shù)字證書一旦簽發(fā)完成,其中所包含的內(nèi)容將不可更改,即數(shù)字證書的應(yīng)用環(huán)境受數(shù)字證書中包含的用戶身份信息等的限制。
[0004]假設(shè),某一數(shù)字證書中包含的用戶身份信息僅僅為用戶身份證號碼,則該數(shù)字證書只能應(yīng)用在需通過用戶身份證號碼認(rèn)證用戶身份的系統(tǒng)中,若用戶欲在需通過用戶的電話號碼認(rèn)證用戶身份的系統(tǒng)中使用數(shù)字證書認(rèn)證時,只能再申請新的包含用戶電話號碼的數(shù)字證書才能實現(xiàn)。
[0005]可見,應(yīng)用現(xiàn)有技術(shù),通過數(shù)字證書認(rèn)證用戶身份時,由于數(shù)字證書簽發(fā)后所包含的信息不可更改,因此,其應(yīng)用環(huán)境受數(shù)字證書所包含的用戶屬性信息的限制,不便于用戶使用數(shù)字證書。
【發(fā)明內(nèi)容】
[0006]本發(fā)明實施例公開了一種根據(jù)數(shù)字證書認(rèn)證用戶身份的方法及裝置,以使得用戶使用數(shù)字證書認(rèn)證用戶身份時不受數(shù)字證書中包含的用戶身份信息的限制,便于用戶使用數(shù)字證書。
[0007]為達(dá)到上述目的,本發(fā)明實施例公開了一種根據(jù)數(shù)字證書認(rèn)證用戶身份的方法,應(yīng)用于服務(wù)器端,所述方法包括:
[0008]接收針對用戶數(shù)字證書的查詢請求,其中,所述查詢請求中,攜帶所述用戶數(shù)字證書;
[0009]根據(jù)所述查詢請求,獲得與所述用戶數(shù)字證書綁定的證書擴展項,其中,所述證書擴展項中,攜帶所述證書擴展項的標(biāo)識和符合預(yù)設(shè)標(biāo)準(zhǔn)的所述證書擴展項的結(jié)構(gòu)體;
[0010]向客戶端發(fā)送針對所述用戶數(shù)字證書的查詢結(jié)果,其中,所述查詢結(jié)果中,攜帶與所述用戶數(shù)字證書綁定的證書擴展項,所述與所述用戶數(shù)字證書綁定的證書擴展項用于為所述客戶端提供用戶身份認(rèn)證信息。
[0011]較佳的,所述符合預(yù)設(shè)標(biāo)準(zhǔn)的所述證書擴展項的結(jié)構(gòu)體,包括:
[0012]符合ASN.1標(biāo)準(zhǔn)的所述證書擴展項的結(jié)構(gòu)體。
[0013]較佳的,所述據(jù)數(shù)字證書認(rèn)證用戶身份的方法還包括:
[0014]接收針對證書擴展項的創(chuàng)建請求,其中,所述創(chuàng)建請求中,攜帶客戶端標(biāo)識、至少一個證書擴展項標(biāo)識、與所述證書擴展項標(biāo)識對應(yīng)的證書擴展項參數(shù)和所述用戶數(shù)字證書的簽名;
[0015]檢測所述創(chuàng)建請求中所攜帶的信息是否有效;
[0016]若為是,則創(chuàng)建與所述創(chuàng)建請求中攜帶的所述證書擴展項的標(biāo)識對應(yīng)的證書擴展項。
[0017]較佳的,所述根據(jù)所述查詢請求,獲得與所述用戶數(shù)字證書綁定的證書擴展項,包括:
[0018]根據(jù)所述查詢請求,驗證所述用戶數(shù)字證書是否有效;
[0019]若為是,獲得與所述用戶數(shù)字證書綁定的證書擴展項。
[0020]較佳的,所述根據(jù)所述查詢請求,獲得與所述用戶數(shù)字證書綁定的證書擴展項,包括:
[0021]根據(jù)所述查詢請求中攜帶的所述用戶數(shù)字證書,驗證所述用戶數(shù)字證書是否有效;
[0022]向客戶端發(fā)送針對所述用戶數(shù)字證書的驗證結(jié)果;
[0023]接收所述客戶端發(fā)送的證書擴展項獲得請求;
[0024]根據(jù)所述證書擴展項獲得請求,獲得與所述用戶數(shù)字證書綁定的證書擴展項。
[0025]較佳的,所述根據(jù)所述查詢請求,獲得與所述用戶數(shù)字證書綁定的證書擴展項,包括:
[0026]根據(jù)所述查詢請求中攜帶的所述用戶數(shù)字證書,確定所述用戶數(shù)字證書是否已綁定證書擴展項;
[0027]若為是,獲得所述用戶數(shù)字證書已綁定的證書擴展項;
[0028]若為否,為所述用戶數(shù)字證書綁定證書擴展項。
[0029]較佳的,所述為所述用戶數(shù)字證書綁定證書擴展項,包括:
[0030]向客戶端發(fā)送所述客戶端對應(yīng)的證書擴展項信息,以供用戶確定待綁定證書擴展項;
[0031]接收所述待綁定證書擴展項對應(yīng)的擴展項信息,其中,所述擴展項信息中,攜帶所述待綁定證書擴展項的結(jié)構(gòu)體取值和所述用戶數(shù)字證書的簽名;
[0032]對所述擴展項信息進(jìn)行審核,若審核通過,則為所述用戶數(shù)字證書綁定證書擴展項。
[0033]較佳的,所述據(jù)數(shù)字證書認(rèn)證用戶身份的方法還包括:
[0034]接收針對所述證書擴展項的更新請求,其中,所述更新請求中,攜帶所述用戶數(shù)字證書的簽名、待更新的證書擴展項和更新操作的標(biāo)識,所述更新操作,包括:綁定待更新的證書擴展項、解除綁定待更新的證書擴展項和修改待更新的證書擴展項。
[0035]較佳的,所述查詢結(jié)果中,還攜帶所述用戶數(shù)字證書的簽名和/或所述服務(wù)器端數(shù)字證書的簽名。
[0036]為達(dá)到上述目的,本發(fā)明實施例公開了一種根據(jù)數(shù)字證書認(rèn)證用戶身份的裝置,應(yīng)用于服務(wù)器端,所述裝置包括:
[0037]查詢請求接收模塊,用于接收針對用戶數(shù)字證書的查詢請求,其中,所述查詢請求中,攜帶所述用戶數(shù)字證書;
[0038]證書擴展項獲得模塊,用于根據(jù)所述查詢請求,獲得與所述用戶數(shù)字證書綁定的證書擴展項,其中,所述證書擴展項中,攜帶所述證書擴展項的標(biāo)識和符合預(yù)設(shè)標(biāo)準(zhǔn)的所述證書擴展項的結(jié)構(gòu)體;
[0039]查詢結(jié)果發(fā)送模塊,用于向客戶端發(fā)送針對所述用戶數(shù)字證書的查詢結(jié)果,其中,所述查詢結(jié)果中,攜帶與所述用戶數(shù)字證書綁定的證書擴展項,所述與所述用戶數(shù)字證書綁定的證書擴展項用于為所述客戶端提供用戶身份認(rèn)證信息。
[0040]較佳的,所述符合預(yù)設(shè)標(biāo)準(zhǔn)的所述證書擴展項的結(jié)構(gòu)體,包括:
[0041]符合ASN.1標(biāo)準(zhǔn)的所述證書擴展項的結(jié)構(gòu)體。
[0042]較佳的,所述根據(jù)數(shù)字證書認(rèn)證用戶身份的裝置還包括:
[0043]創(chuàng)建請求接收模塊,用于接收針對證書擴展項的創(chuàng)建請求,其中,所述創(chuàng)建請求中,攜帶客戶端標(biāo)識、至少一個證書擴展項標(biāo)識、與所述證書擴展項標(biāo)識對應(yīng)的證書擴展項參數(shù)和所述用戶數(shù)字證書的簽名;
[0044]信息檢測模塊,用于檢測所述創(chuàng)建請求中所攜帶的信息是否有效;
[0045]證書擴展項創(chuàng)建模塊,用于在所述信息檢測模塊的檢測結(jié)果為是的情況下,創(chuàng)建與所述創(chuàng)建請求中攜帶的所述證書擴展項的標(biāo)識對應(yīng)的證書擴展項。
[0046]較佳的,所述證書擴展項獲得模塊,包括:
[0047]第一數(shù)字證書驗證子模塊,用于根據(jù)所述查詢請求,驗證所述用戶數(shù)字證書是否有效;
[0048]第一證書擴展項獲得子模塊,用于在所述第一數(shù)字證書驗證子模塊的驗證結(jié)果為是的情況下,獲得與所述用戶數(shù)字證書綁定的證書擴展項。
[0049]較佳的,所述證書擴展項獲得模塊,包括:
[0050]第二數(shù)字證書驗證子模塊,用于根據(jù)所述查詢請求中攜帶的所述用戶數(shù)字證書,驗證所述用戶數(shù)字證書是否有效;
[0051]驗證結(jié)果發(fā)送子模塊,用于向客戶端發(fā)送針對所述用戶數(shù)字證書的驗證結(jié)果;
[0052]獲得請求接收子模塊,用于接收所述客戶端發(fā)送的證書擴展項獲得請求;
[0053]第二證書擴展項獲得子模塊,用于根據(jù)所述證書擴展項獲得請求,獲得與所述用戶數(shù)字證書綁定的證書擴展項。
[0054]較佳的,所述證書擴展項獲得模塊,包括:綁定狀態(tài)確定子模塊、第三證書擴展項獲得子模塊和證書擴展項綁定子模塊;
[0055]所述綁定狀態(tài)確定子模塊,用于根據(jù)所述查詢請求中攜帶的所述用戶數(shù)字證書,確定所述用戶數(shù)字證書是否已綁定證書擴展項,若為是,觸發(fā)所述第三證書擴展項獲得子模塊,獲得已綁定的證書擴展項,若為否,觸發(fā)所述證書擴展項綁定子模塊,綁定證書擴展項;
[0056]所述第三證書擴展項獲得子模塊,用于獲得所述用戶數(shù)字證書已綁定的證書擴展項;
[0057]所述證書擴展項綁定子模塊,用于為所述用戶數(shù)字證書綁定證書擴展項。
[0058]較佳的,所述證書擴展項綁定子模塊,包括:
[0059]證書擴展項信息發(fā)送單元,用于向客戶端發(fā)送所述客戶端對應(yīng)的證書擴展項信息,以供用戶確定待綁定證書擴展項;
[0060]擴展項信息接收單元,用于接收所述待綁定證書擴展項對應(yīng)的擴展項信息,其中,所述擴展項信息中,攜帶所述待綁定證書擴展項的結(jié)構(gòu)體取值和所述用戶數(shù)字證書的簽名