[发明专利]远程使用证书与密钥进行认证的方法、装置及系统

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种远程使用证书与密钥进行认证的方法、装置及系统。

背景技术

远程应用发布属于应用虚拟化技术，其将应用程序的人机交互逻辑(应用程序界面、键盘及鼠标的操作、音频输入输出、读卡器、打印输出等)与计算逻辑隔离开来，在用户访问一个服务器虚拟化后的应用时，用户终端设备只需要把人机交互逻辑通过RDP/ICA等远程桌面协议传送到服务器端，服务器端为用户开设独立的会话空间，应用程序的计算逻辑在这个会话空间中运行，把变化后的人机交互逻辑传送给用户终端设备，并且在用户终端设备的相应显示设备中展示出来，从而使用户获得如同运行本地应用程序一样的访问感受。

随着虚拟化技术的逐渐成熟，远程应用发布功能逐渐成为SSL VPN(Secure Sockets Layer Virtual Private Network，安全套接层虚拟专用网络)产品的一项必备功能；与传统的客户端-服务器模式相比，远程应用发布更具信息安全性、部署方便性和终端易维护性。

目前，对于各种OA(Office Automatic，办公自动化)系统，远程应用发布均只支持利用鼠标、键盘等可输入的方式来认证，如短信认证、动态令牌、口令等，而需要使用证书和Dkey(Dispersion Key，分散密钥)认证的系统则无法作为远程应用发布资源来使用。对于证书认证，可以通过为每个windows(窗口操作系统)用户账号导入对应的用户证书来解决，但这些证书需要通过管理员批量导入或用户远程登录到远程应用发布服务器自行导入，因此在安全性和易用性上都无法满足客户需求。对于Dkey认证用户来说，不可能通过在发布服务器上插入自己的Dkey来使用OA系统，所以Dkey认证现在还无法应用于远程应用发布的OA系统上。

有厂商直接做USB(Universal Serial Bus，通用串行总线)映射的方案，该方案将用户PC(Personal Computer，个人计算机)的USB接口映射到服务器，这样用户虽然可以在其PC的USB接口上直接插入Dkey实现认证，但用户同样可通过在其PC的USB接口上使用U盘和其他移动存储设备，不受限制的进行文件的上传和下载，这给远程应用服务器带来信息泄露与病毒感染的危险。

发明内容

本发明的主要目的是提供一种远程使用证书与密钥进行认证的方法，旨在通过将原需要在远程应用发布服务器上执行的证书认证流程转移到用户PC的客户端上执行，达到远程应用支持证书、Dkey认证的目的，同时使用户无感知的直接使用OA系统。

本发明公开了一种远程使用证书与密钥进行认证的方法，包括以下步骤：

证书认证拦截模块拦截证书/Dkey认证模块发送的用户证书和签名的请求信息，通过证书认证转发模块将所述请求信息转发至证书认证应答模块；

证书认证应答模块接收到认证请求后进行签名，通过证书认证转发模块将用户证书和签名结果转发至证书认证拦截模块；

证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块。

优选地，所述证书认证拦截模块拦截用户证书和签名的请求信息进一步包括：

利用函数挂钩技术，通过调用符合CSP(Cryptographic Service Provider，加密模块接口标准)和使用证书相关的各函数进行挂钩，将所述的用户证书和签名的请求信息进行拦截。

优选地，所述证书认证拦截模块返回用户证书和签名的结果至证书/Dkey认证模块的步骤具体为：

在所述挂钩函数在执行拦截用户证书和签名的请求信息的中断处将用户证书和签名的结果进行返回。

优选地，所述方法还包括步骤：

证书/Dkey认证模块根据用户证书和签名结果返回认证结果，判断是否通过认证。

本发明还公开了一种远程使用证书与密钥进行认证的装置，包括：

证书认证拦截模块，用于拦截证书/Dkey认证模块发送的用户证书和签名的请求信息，并将其下发给证书认证转发模块；还用于返回用户证书和签名的结果至证书/Dkey认证模块；

证书认证转发模块，用于将证书认证拦截模块下发的请求信息转发给证书认证应答模块；还用于将证书认证应答模块发送的用户证书和签名结果转发至证书认证拦截模块；

证书认证应答模块，用于应答用户证书和签名的请求信息，提供用户证书和签名。

优选地，所述证书认证拦截模块具体用于：