一种数字证书请求分发方法与流程

1.本发明涉及信息安全技术领域，特别是涉及一种适用于移动终端信息安全认证代理系统并具有自主可控性的数字证书请求分发方法。


背景技术：

2.信息安全认证系统是通过对生存周期内的数字证书进行全过程管理，以保证信息传输的安全系统，目前，信息安全认证系统主要包括签发服务器、注册服务器、密钥管理服务器以及证书管理终端，其中，签发服务器是用于对生存周期内的数字证书进行全过程管理的控制模块，负责系统的初始化、用户资料管理、用户证书管理、签发服务器配置管理以及签发服务器策略信息管理等；注册服务器作为身份认证系统的注册模块，负责用户信息的录入、用户信息的审核、证书申请、证书注销以及证书更新等；密钥管理服务器主要是实现对密钥信息的管理，包括密钥管理服务器的初始化以及密钥监控服务；证书管理终端主要是对系统进行管理，包括系统的初始化、用户申请的审核上传等。
3.然而，上述信息安全认证系统主要采用第三方认证的方式来进行数字证书的认证，数字证书的使用需要通过第三方授权来实现，系统的发证则需要通过签发服务器进行，如此一来，信息安全认证系统必须要依赖第三方认证服务器才能实现，在信息安全认证系统与第三方认证服务器断联的情况下，难以实现对信息安全认证系统的认证，信息安全认证系统的自主可控性不足，制约了信息安全认证系统的安全性。


技术实现要素：

4.基于此，有必要针对现有技术的不足，提供一种适用于移动终端信息安全认证代理系统并具有自主可控性的数字证书请求分发方法。
5.一种数字证书请求分发方法，该方法基于加载在移动终端的安全代理app、数字证书app以及认证服务器，所述方法包括以下步骤：s1：安全代理app判断认证服务器地址是否有效，若地址有效，则进入步骤s2；若地址无效，显示认证服务器信息；s2：判断移动终端中是否有认证服务器证书，若无证书，则安全代理app从web后台下载认证服务器证书；若有证书，则进入步骤s3；s3：安全代理app向认证服务器发起挑战应答，并在挑战应答成功时查询移动终端是否绑定数字证书；若未绑定，则进入制证流程；若已绑定，则进入步骤s4；s4：查询移动终端中是否有数字证书app，若无，则通过安全代理app将数字证书app下载到移动终端；若有，则进行步骤s5；s5：启动数字证书app并向安全代理app发起心跳检测。
6.在其中一个实施例中，步骤s1中，判断认证服务器地址是否有效，包括：s11：判断安全代理app是否为初次启动，若是，则进入步骤s12；若否，则进入步骤s13；
s12：填写认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息；s13：读取认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息。
7.在其中一个实施例中，步骤s12中所述填写认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息，包括：s121：填写认证服务器信息；s122：通过tcp连接测试认证服务器信息是否有效；s123：将有效的认证服务器信息写入安全代理app配置文件中。
8.在其中一个实施例中，步骤s13中所述读取认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息，包括：s131：从安全代理app配置文件中读取认证服务器信息；s132：通过telnet 检测认证服务器信息是否有效；s133：若认证服务器信息无效，则显示配置认证服务器的信息，并重复步骤s132，直至认证服务器信息有效。
9.在其中一个实施例中，认证服务器信息包括认证服务器地址和端口信息。
10.在其中一个实施例中，步骤s2中，所述安全代理app从web后台下载认证服务器证书包括：s21：通过http方式下载认证服务器证书；s22：将认证服务器证书存放在安全代理app的目录下。
11.在其中一个实施例中，步骤s2中，步骤s3中，所述制证流程包括：s31：安全代理app输出并控制移动终端的显示器显示申请证书表单；s32：输入用户姓名、联系方式信息并发送至制证系统后台；s33：管理员接收制证申请信息，并进入制证界面制作数字证书。
12.在其中一个实施例中，步骤s5之前，还包括判断数字证书app是否启动，若未启动，则手动启动数字证书app或在安全代理app上执行命令启动数字证书app。
13.实施本发明的数字证书请求分发方法，其基于加载在移动终端上的安全代理app、数字证书app以及认证服务器，在app内验证认证服务器证书以及是否绑定数字证书，实现数字证书的请求；通过数字证书app向安全代理app发起心跳检测，来实现数字证书的分发，数字证书的请求和分发均在app内进行，无需依托第三方认证服务器，用户可以自主操控移动终端进行数字证书的请求和分发作业，使得网络信息安全认证系统的认证自主可控，提高了系统的可靠性和安全性。
附图说明
14.图1为本发明的一个实施例中数字证书请求分发方法的流程图；图2为本发明的一个实施例中数字证书请求分发方法的逻辑图；图3为本发明的一个实施例中认证服务器信息有效性判断的逻辑图；图4为本发明的一个实施例中认证服务器信息有效性判断的流程图；图5为本发明的一个实施例中安全代理app初次启动时的认证服务器信息有效性
判断的流程图；图6为本发明的一个实施例中安全代理app非初次启动时的认证服务器信息有效性判断的流程图；图7为本发明的一个实施例中认证服务器地址界面图；图8为本发明的一个实施例中制证流程的示意图；图9为本发明的一个实施例中安全代理app的界面图；图10为本发明的一个实施例中安全代理app的界面变化图。
具体实施方式
15.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似改进，因此本发明不受下面公开的具体实施例的限制。
16.本发明提供了一种适用于移动终端信息安全认证代理系统并具有自主可控性的数字证书请求分发方法，该方法基于加载在移动终端的安全代理app、数字证书app以及认证服务器，其中，安全代理app与数字证书app关联，并可通过安全代理app向数字证书app发送指令，以使得数字证书app做出响应，也可以理解为，安全代理app可以作为数字证书app的输入界面。本实施例中，安全代理app、数字证书app以及认证服务器两两进行信息交互，安全代理app包括地址判断模块、证书检测模块、验证查询模块、app查询模块以及心跳检测模块，其中，地址判断模块用于判断认证服务器的地址是否有效；证书查验模块用于查验移动终端本地是否存储有认证服务器证书；验证查询模块用于向认证服务器发起挑战应答并查询移动终端有无存储数字证书；app查询模块用于查询移动终端内是否加载数字证书app；心跳检测模块用于与数字证书app进行心跳检测。
17.数字证书app包括证书查验模块、验证授权模块、制证模块以及目录，其中，证书查验模块用于查验目录中是否存在数字证书，以便于判断数字证书app是否为初次启动，并根据启动的次序执行不同的认证程序；验证授权模块用于接收用户从移动终端的app界面上发送的信息，并根据信息与认证服务器进行单向或双向挑战应答，使得用户输入的信息与认证服务器内的信息匹配；制证模块用于在挑战应答成功的情况下从认证服务器将证书和私钥加载至目录进行保存，以便数字证书app后续启动时直接调用数字证书；或在目录已下载证书的情况下，将用户输入的信息与已加载的数字证书进行对比，以保证系统的安全性。认证服务器包括存储器和处理器，存储器中存储有数字证书信息和认证服务器信息，并与外部的存储有合法用户数据信息的用户数据库连接，处理器用于与数字证书app和安全代理app进行交互。需要说明的是，本实施例中，安全代理app仅在与认证服务器有效连接后，才能访问和查询移动终端的信息，并在查询到数字证书app时与数字证书app建立连接。
18.请结合图1、图2以及图3，本实施例的数字证书请求分发方法包括以下步骤：s1：安全代理app判断认证服务器地址是否有效，若地址有效，则进入步骤s2；若地址无效，显示认证服务器信息。本实施例中，认证服务器信息包括认证服务器地址和端口信息，其他实施例中认证服务器信息可参考此解释。
19.需要说明的是，判断认证服务器地址是否有效，是为了判定安全代理app能否与认
证服务器有效连接，是安全代理app与认证服务器之间进行挑战应答的先决条件。
20.请参阅图4，步骤s1中，判断认证服务器地址是否有效，包括：s11：判断安全代理app是否为初次启动，若是，则进入步骤s12；若否，则进入步骤s13；s12：填写认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息；s13：读取认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息。
21.本实施例中，通过查询安全代理app内是否存储有认证服务器地址及端口信息，来判断安全代理app是否为初次启动，一般来说，在安全代理app安装并初始化时，默认安全代理app初次启动。当安全代理app为初次启动时，安全代理app弹出输入界面供用户填写认证服务器信息，并对认证服务器信息进行验证；当安全代理app非初次启动时，安全代理app直接读取存储的认证服务器信息并验证其有效性。
22.进一步的，请参阅图5，当安全代理app为初次启动时，步骤s12中填写认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息，包括：s121：填写认证服务器信息；s122：通过tcp连接测试认证服务器信息是否有效；s123：将有效的认证服务器信息写入安全代理app配置文件中。
23.具体的，用户从安全代理app输入界面中填写认证服务器的地址及端口信息，信息填写后，采用tcp连接测试认证服务器信息是否有效，即，安全代理app与认证服务器能否有效连接，当tcp连接测试有效时，将认证服务器信息写入安全代理app的配置文件中保存；当tcp连接测试无效时，安全代理app再度返回认证服务器信息填写界面，以供用户填写新的认证服务器信息并进行测试，直至测试有效为止。本实施例中，采用tcp连接测试安全代理app与认证服务器的连接情况，tcp是一种面向连接的传输控制协议，其位于ip层与应用层之间，能够实现端到端的通信，采用字节流方式，以字节为单位传输字节序列，具有高可靠性，确保传输数据的正确性，不会出现丢失或乱序。
24.请参阅图6，当安全代理app非初次启动时，步骤s13中读取认证服务器信息并测试认证服务器信息是否有效，保存有效的认证服务器信息，包括：s131：从安全代理app配置文件中读取认证服务器信息；s132：通过telnet 检测认证服务器信息是否有效；s133：若认证服务器信息无效，则显示配置认证服务器的信息，并重复步骤s132，直至认证服务器信息有效。
25.也就是说，在安全代理app非初次启动时，可直接调用安全代理app配置文件中的认证服务器信息并进行连接检测。本实施例中，若认证服务器信息无效，即安全代理app不能与认证服务器连接，则在安全代理app上显示图7所示的界面，并实时返回步骤s132，重新通过telnet检测二者是否连接，直至有效连接为止。telnet检测认证服务器信息无效的情况主要由网络异常引起，当网络断开时，安全代理app无法与认证服务器进行连接，从而显示认证服务器信息无效，因此，需要重复进行检测，直至网络恢复正常后，安全代理app与认证服务器正常连接为止。
26.s2：判断移动终端中是否有认证服务器证书，若无证书，则安全代理app从web后台下载认证服务器证书；若有证书，则进入步骤s3。
27.具体的，安全代理app访问移动终端内存，并查询移动终端中是否存储有认证服务器证书，该认证服务器证书作为公钥使用。在步骤s2中，安全代理app从web后台下载认证服务器证书包括：s21：通过http方式下载认证服务器证书；s22：将认证服务器证书存放在安全代理app的目录下。
28.具体的，当移动终端内未存储有认证服务器证书时，安全代理app通过内网wifi网络，请求到web后台下载认证服务器证书，并存储在安全代理app的目录下，同时还将认证服务器证书同步到移动终端的内存中进行存储。
29.s3：安全代理app向认证服务器发起挑战应答，并在挑战应答成功时查询移动终端是否绑定数字证书；若未绑定，则进入制证流程；若已绑定，则进入步骤s4。
30.本实施例中，安全代理app向认证服务器发起挑战应答，具体包括：用户通过安全代理app的输入界面填写用户名、密码信息及身份信息后，安全代理app向认证服务器发送用户名及其身份信息，由认证服务器在用户数据库中进行查询，并在用户身份合法的情况下，生成随机数作为挑战发送至安全代理app，安全代理app将用户名和随机数合并后，采用hash函数生成字符串并发送至认证服务器进行应答，认证服务器将应答串与自身对查询到的用户信息进行计算的结果进行对比，若一致，则认证成功。在此情况下，安全代理app访问移动终端内存并查询移动终端内是否绑定数字证书，若未绑定数字证书，则进入制证流程，以在移动终端内加载数字证书。
31.请结合图8-10，步骤s3中，制证流程包括：s31：安全代理app输出并控制移动终端的显示器显示申请证书表单；s32：输入用户姓名、联系方式信息并发送至制证系统后台；s33：管理员接收制证申请信息，并进入制证界面制作数字证书。
32.具体的，通过点击安全代理app页面上的“制证管理”，进入安全代理app的证书表单申请界面，用户通过在申请界面内输入姓名、手机号码以及如教育信息、入职信息和认证信息等信息，并将上述信息发送至安全代理app的制证系统后台，制证管理员收到制证申请消息后，点击查看直接进入到制证界面，经审核后制作数字证书，并将数字证书保存在安全代理app的目录下，同时同步到移动终端的内存进行保存。
33.s4：查询移动终端中是否有数字证书app，若无，则通过安全代理app将数字证书app下载到移动终端；若有，则进行步骤s5。
34.数字证书查验完成后，安全代理app访问移动终端，并查询移动终端内是否加载有数字证书app，当移动终端内未下载数字证书app时，安全代理app访问移动终端的软件下载中心，并通过移动终端的软件下载中心从web后台下载数字证书app，以便后续安全代理app与数字证书app进行交互。
35.s5：启动数字证书app并向安全代理app发起心跳检测。
36.心跳检测技术是一种检测网络连接故障的技术，根据服务端和客户端各自的心跳检测软件，相互之间发送消息即心跳报文来检测故障，判断网络连接是否正常，系统是否工作，从而保证服务端和客户端的可靠连接。本实施例中，数字证书app将数字证书发送至安
全代理app进行应答认证，若认证失败，则认证服务器提示非法证书，本实施例的心跳检测仅用于检出数字证书app与安全代理app验证失败的情况，二者验证成功并不进行提示。在数字证书app与安全代理app进行心跳检测的过程中，安全代理app内部产生一个随机数并发送至数字证书app，数字证书app将该随机数与数字证书信息进行合并，并使用hash函数生成字符串进行应答，随后由安全代理app将应答串与其内存储的数字证书信息处理后的结果进行比较，以保证数字证书app与安全代理app连接的安全性和可靠性。
37.本实施例中，通过发起心跳检测数字证书app与安全代理app的连接情况，以保证在数字证书请求及分发的过程中，数字证书app始终与安全代理app连接，以便通过调用数字证书app的数字证书进行信息系统的安全验证。
38.一实施例中，步骤s5之前，还包括判断数字证书app是否启动，若未启动，则手动启动数字证书app或在安全代理app上执行命令启动数字证书app，以便数字证书app与安全代理app连接并进行心跳检测。
39.本实施例中，数字证书app用于实现数字证书的认证，并将数字证书下载至app内，即下载至移动终端本地，以便在安全代理app请求数字证书时，将数字证书分发至安全代理app并进行调用。在数字证书的认证过程中，当数字证书app初次启动时，数字证书app与认证服务器进行单向挑战应答，并在认证成功时，向认证服务器发送消息，以请求下载证书和私钥，随后由数字证书app解密证书和私钥并进行保存，即，将数字证书下载并存储在移动终端内，以便后续调用。在数字证书app非初次启动的情况下，数字证书app首先与认证服务器进行单向挑战应答并认证身份，在身份合法的情况下，数字证书app与认证服务器进行双向挑战应答。具体包括认证服务器生成随机数作为挑战发送至数字证书app，数字证书app对随机数进行处理后生成字符串并发送至认证服务器进行应答；若应答成功，则数字证书app生成随机数作为挑战发送至认证服务器，认证服务器将存储的数字证书信息与随机数合并，并使用hash函数生成字符串作为应答，数字证书app的验证授权模块将应答串与自身计算的目录中数字证书相关的计算结果进行比较，若二者相同，则认证成功一次双向挑战应答，以保证数字证书app使用的安全性和可靠性。在数字证书的分发及请求过程中，数字证书app同时向安全代理app和认证服务器发起心跳，以保证正常连接。
40.实施本发明的数字证书请求分发方法，其基于加载在移动终端上的安全代理app、数字证书app以及认证服务器，在app内验证认证服务器证书以及是否绑定数字证书，实现数字证书的请求；通过数字证书app向安全代理app发起心跳检测，来实现数字证书的分发，数字证书的请求和分发均在app内进行，无需依托第三方认证服务器，用户可以自主操控移动终端进行数字证书的请求和分发作业，使得网络信息安全认证系统的认证自主可控，提高了系统的可靠性和安全性。
41.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
42.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。