[发明专利]一种基于多证书应用的服务端安全认证方法及系统

说明书

本发明公开了一种基于多证书应用的服务端安全认证方法及系统，其特征在于，包括：位于服务器端的安全通讯服务器与位于客户端的USB key进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USB key；根据业务操作需求，所述安全通讯服务器利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；所述客户端接收所述安全通讯服务器的CA根证书，并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较，验证所述安全通讯服务器的真伪；当所述安全通讯服务器和客户端的USB key验证通过后，根据所述业务操作需求进行数据的传输。

技术领域

本发明涉及数据安全技术领域，并且更具体地，涉及一种基于多证书应用的服务端安全认证方法及系统。

背景技术

近年来提高政务信息化程度、金融结算效率、丰富业务种类、加强内部管理成了各政府机构和企业提高自身服务能力和竞争力的主要目标，因此政务信息化、金融电子化等一系列高科技手段开始被广大政企单位所应用，在带来利益的同时，也带来了新的安全问题。业务远程办理方式普及之后，涉及到互联网外部用户数据交互，司局内网业务数据处理等环节，牵涉到司局内网与互联网的数据交换，系统安全时刻受到现今复杂多变的内网(局域网)、外网(互联网)环境的挑战。

随着办公OA的普及，有些地区司局在局域网内部使用USB key内置数字证书及安全U盘功能，实现了业务的保密性和安全性。初期部署的多种类型的服务系统，基本上由如图1所示的窗口浏览器控件以及后台网络版应用服务器、核心业务服务器和数据验证处理服务器构成，提高了系统的业务处理能力，增强了系统使用的灵活性，在一定程度上满足了当时服务端和用户人员的普遍需求。伴随着系统信息化进程的逐步推进，用户互联网端引入了数字证书系统，对数据进行签名，保障了用户端数据的安全性。但是在司局内网，服务终端(自助机和窗口业务处理计算机)和服务端后台服务器的数据交换，仅使用基本的数据加密通道进行传输，如图2所示，只能基本能保障业务整体的安全性，并未对服务终端和后台服务器的身份进行认证。

因此，需要一种实现服务终端和后台服务器相互认证，并在数据交互时保证保密性和安全性问题。

发明内容

本发明提出一种基于多证书应用的服务端安全认证方法及系统，以解决服务终端和后台服务器相互认证，并在数据交互时保证保密性和安全性的问题。

为了解决上述问题，根据本发明的一个方面，提供了一种基于多证书应用的服务端安全认证方法，其特征在于，所述方法包括：

位于服务器端的安全通讯服务器与位于客户端的USB key进行认证，生成与业务操作类型对应的CA根证书，并分别导入至安全通讯服务器和USB key；其中，多证书应用时支持导入多个CA根证书；

根据业务操作需求，所述安全通讯服务器接收所述USB key发送的与业务操作类型对应的CA根证书和客户端证书，并利用所述USB key发送的与业务操作类型对应的CA根证书和客户端证书与所述安全通讯服务器存储的CA根证书进行比较，对客户端的身份进行验证；

所述客户端接收所述安全通讯服务器的CA根证书，并利用所述安全通讯服务器的CA根证书和所述USB key写入的服务器的CA根证书进行比较，验证所述安全通讯服务器的真伪；

当所述安全通讯服务器和客户端的USB key验证通过后，根据所述业务操作需求进行数据的传输。

优选地，其中所述方法还包括：

根据所述业务操作需求确定数据加密方式和数据传输接口，并附加客户端证书，以使得数据业务操作数据安全快速地传输。

优选地，其中所述方法还包括：