[发明专利]支持多种CA身份认证的方法

说明书

  

技术领域

本发明涉及计算机技术领域，具体地说是一种支持多种CA身份认证的方法。 

背景技术

当今的计算机网络基本都是按照开放系统互连（为OSI）的国际标准建立起来的开放系统，开放系统可以使网络的使用和互连更加方便，但同时也造成了对网络安全的威胁。目前，计算机网络所面临的威胁大致可分为两种：一是对数据信息的威胁；二是对物理设备的威胁。 

造成网络安全威胁的因素非常多，主要有软件漏洞、配置不当、病毒、黑客攻击等等，这些威胁的目的更多的是针对网络信息窃取和对网络通信和信息提供服务的破坏。针对网络信息所面临的威胁，常用的网络安全对策有：认证技术，加密技术，防火墙和入侵检测技术，还有病毒保护、访问控制、审计等方法来保障网络信息安全。 

目前，数字证书是对身份认证和加密技术的综合运用，数字证书已经普遍地应用于网络身份识别、信息传输加密等网络安全技术中。标识；最后以统一数据标识为标准，进行数据的查询、整理和保存，形成决策有用的信息。 

但是随着CA技术的发展，CA厂商层出不穷，大多数厂商在使用我们的软件前，或多或少的已经采购了CA，这就涉及到了CA如何与我们软件集成，如何在减少工作量的基础上更好的集成CA的问题，目前大多数软件厂商采用的是根据要集成的CA厂商的接口更改后台的系统代码，集成一个CA更改一次，这样就带来了一系列的问题，一是工作量大，二是系统稳定性不高，三是产品成熟度不高。 

发明内容

本发明的技术任务是针对上述现有技术的不足，提供一种支持多种CA身份认证的方法。通过集成当前主流CA厂商的证书，抽取这几种CA认证、加密的共性和相关性作为基本属性，并以此为依据抽象为数字证书认证和加密接口，然后通过实现这个接口来集成第三方数字证书，将这个实现封装为程序集部署到软件系统中。然后更改软件系统的全局配置文件，指定当前的CA为要使用的CA，集成第三方CA完成。对于系统已集成的CA，只需要更改全局配置文件即可，不需要改动任何代码。 

本发明的技术任务是按以下方式实现的：一种支持多种CA身份认证的方法，包括： 

默认支持多种证书：系统默认支持多种当前主流的CA证书；

扩展性和兼容性：用高强度密码保护密钥，支持加密机、智能卡、USB Key等硬件设备，同时在认证的过程充分运用了CA认证、SSL加密通道、关键信息加密签名、时间戳等技术，保证了信息传递的保密性，真实性，有效防止了重放攻击；

高封装性：所有的数字证书申请，数据签名，吊销列表验证都封装在一个程序集dll中；

安全性和可靠性：用高强度密码保护密钥，支持加密机、智能卡、USB Key等硬件设备，同时在认证的过程充分运用了CA认证、SSL加密通道、关键信息加密签名、时间戳等技术，保证了信息传递的保密性，真实性，有效防止了重放攻击。

所述支持多种CA，不局限于某一个或者特定CA， 

目前系统支持多种当前主流的CA证书厂商；

        除了默认支持的这几种CA，可以随着业务系统的应用，可以扩展支持的另外的CA厂商。

        所述扩展性和兼容性，可以在目前默认支持的CA基础上扩展和兼容别的CA厂商， 

 首先提供符合国家规范，基于标准数字证书格式X509的数字证书认证接口，该接口包含根据过滤条件获取数字对象的集合方法，验证数字证书是否合法，包括是否被吊销，是否过期，是否信任CA颁发方法，数字证书签名和验签方法，

在该接口的基础上和要扩展的CA基础上，封装一个程序集，将该程序集部署到软件系统即可。

本发明的支持多种CA身份认证的方法还可以通过更改配置文件，而不更改后台代码的基础上，灵活的在默认支持的CA中指定当前要使用的CA。 

所述安全性包括： 

数字证书的实现原理和应用数字证书技术类似传统大使馆颁发、登记公民签证的方式，由大家所信任的公正第三者或认证机构（CA）以数字签名技术，将每一个用户的公钥和个人的身份数据签署成电子证书；

当用户收到他人的证书之后，可以使用CA的公钥验证所获得证书的正确性，确信此证书内所含的公开密钥、身份数据及其他相关内容确实是证书上声称的主体（持证人），而不是其他主体用户，如此可将用户身份与用户的公钥紧密地结合在一起，让攻击者无法伪冒他人，传送假的公钥欺骗其他网络用户；