数字证书的管理方法及装置与流程

本发明涉及数字证书管理领域，特别涉及一种数字证书的管理方法及装置。

背景技术：

随着网络技术的高速发展，个人和企业越来越多地把业务活动放到网络上，因此网络的安全问题就更加关键和重要。利用数字证书、pki、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的身份认证系统，确保网上信息有效、安全地进行。同时，ca数字证书、pki构架系统国家已立法，而且相关应用也已成熟，全国各地均建立了相关的证书中心，提供标准数字证书编程接口。

通常使用的是基于radius协议的数字证书认证系统。radius是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。但是由于协议本身的缺陷，比如：简单的丢包机制、没有关于重传的规定和集中式计费服务，仅支持非可靠udp传输协议，使得不太适应当前网络的发展进。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种能提供安全有效的数字证书认证和管理的数字证书的管理方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种数字证书的管理方法，包括如下步骤：

a)当客户端登录应用软件系统时，在客户端启动拨号app，使用所述客户端在oauth服务器上的用户名登录所述oauth服务器，并选择与所述应用软件系统相对应的数字证书；

b)对选择的所述数据证书计算数字签名；

c)对所述数字签名采用加密算法变成固定长度的数字摘要；

d)将所述数字证书、数字签名和数字摘要提供给所述oauth服务器，并等待所述oauth服务器的响应；

e)所述oauth服务器收到登录所述oauth服务器的请求，对所述用户名进行分析；

f)判断当前提供的所述数字证书与预先设定的数字证书是否一致，如是，执行步骤g)；否则，执行步骤j)；

g)判断当前提供的数字签名与预先设定的数字签名是否一致，如是，执行步骤h)；否则，执行步骤j)；

h)判断当前提供的数字摘要与预先设定的数字摘要是否一致，如是，执行步骤i)；否则，执行步骤j)；

i)通知所述应用软件系统允许所述客户端登录所述应用软件系统；

j)所述客户端没有权限登录所述应用软件系统。

在本发明所述的数字证书的管理方法中，所述加密算法为md5加密算法、sha1加密算法、sha256加密算法、hmacmd5加密算法、hmacsha1加密算法或hmacsha256。

在本发明所述的数字证书的管理方法中，手机app通过无线方式控制所述oauth服务器对保存在所述oauth服务器上的数据进行管理。

在本发明所述的数字证书的管理方法中，如果所述客户端被允许登陆所述应用软件系统，则继续向所述oauth服务器发送计费请求，由所述oauth服务器进行计费，所述oauth服务器在所述客户端完成对所述应用软件系统的访问后生成计费统计。

本发明还涉及一种实现上述数字证书的管理方法的装置，包括：

数字证书选择单元：用于当客户端登录应用软件系统时，在客户端启动拨号app，使用所述客户端在oauth服务器上的用户名登录所述oauth服务器，并选择与所述应用软件系统相对应的数字证书；

数字签名计算单元：用于对选择的所述数据证书计算数字签名；

数字摘要获取单元：用于对所述数字签名采用加密算法变成固定长度的数字摘要；

响应单元：用于将所述数字证书、数字签名和数字摘要提供给所述oauth服务器，并等待所述oauth服务器的响应；

用户名分析单元：用于使所述oauth服务器收到登录所述oauth服务器的请求，对所述用户名进行分析；

数字证书判断单元：用于判断当前提供的所述数字证书与预先设定的数字证书是否一致；

数字签名判断单元：用于判断当前提供的数字签名与预先设定的数字签名是否一致；

数字摘要判断单元：用于判断当前提供的数字摘要与预先设定的数字摘要是否一致；

通知单元：用于通知所述应用软件系统允许所述客户端登录所述应用软件系统；

无权限单元：用于所述客户端没有权限登录所述应用软件系统。

在本发明所述的装置中，所述加密算法为md5加密算法、sha1加密算法、sha256加密算法、hmacmd5加密算法、hmacsha1加密算法或hmacsha256。

在本发明所述的装置中，手机app通过无线方式控制所述oauth服务器对保存在所述oauth服务器上的数据进行管理。

在本发明所述的装置中，如果所述客户端被允许登陆所述应用软件系统，则继续向所述oauth服务器发送计费请求，由所述oauth服务器进行计费，所述oauth服务器在所述客户端完成对所述应用软件系统的访问后生成计费统计。

实施本发明的数字证书的管理方法及装置，具有以下有益效果：由于oauth服务器对用户名进行分析，并将当前提供的数字证书、数字签名和数字摘要分别进行认证，全部认证通过后，应用软件系统才会允许客户端登录应用软件系统，本发明能提供安全有效的数字证书认证和管理。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明数字证书的管理方法及装置一个实施例中方法的流程图；

图2为所述实施例中装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明数字证书的管理方法及装置实施例中，其数字证书的管理方法通过oauth服务器认证客户端的数字证书，使得通过数字证书认证的客户端可以访问应用软件系统。该数字证书的管理方法的流程图如图1所示。图1中，该数字证书的管理方法包括如下步骤：

步骤s01当客户端登录应用软件系统时，在客户端启动拨号app，使用客户端在oauth服务器上的用户名登录oauth服务器，并选择与应用软件系统相对应的数字证书：本步骤中，当客户端需要登录应用软件系统时，首先在客户端启动拨号app，用于进行拨号，使用该客户端在oauth服务器上的用户名登录oauth服务器，选择与应用软件系统相对应的数字证书。

oauth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是oauth的授权不会使第三方触及到用户的帐号信息(如用户名与密码)，即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此oauth是安全的。

任何第三方都可以使用oauth认证服务，任何服务提供商都可以实现自身的oauth认证服务，因而oauth是开放的。业界提供了oauth的多种实现如php、javascript，java，ruby等各种语言开发包，大大节约了程序员的时间，因而oauth是简易的。互联网很多服务如openapi，很多大公司如google，yahoo，microsoft等都提供了oauth认证服务，这些都足以说明oauth标准逐渐成为开放资源授权的标准。

oauth具有三种认证方式：第一种，resourceownerpasswordcredentialsgrant(资源所有者密码凭据许可)；第二种，implicitgrant(隐式许可)；第三种，authorizationcodegrant(授权码许可)。

资源所有者密码凭据许可：当用户有某个网站的账号和密码时，用户可以通过账号密码登陆，在该网站上操作用户自己的资源。

隐式许可：当用户想要登陆一个小型的网站，对该网站的资源进行操作，但是，该网站太小了，用户不能完全的信任，不放心把自己的密码交给网站，这时候小型的网站一般是这样操作的，当需要账号密码登陆的时候，会重定向到大型网站的认证登陆系统去登陆，大型网站会让用户输入账号密码登陆，并且询问用户是否允许该小型网站来访问大型的网站，如果用户确认的话，那么将页面重定向到小型网站，同时捎带一个“token”，这时候小型网站可以通过token去访问大型网站获取用户信息。在整个过程中，小型网站是不会接触到用户的账号和密码的。

大型网站是如何信任这个小型网站的呢？当然，小型网站需要在大型网站上去注册，大型网站会给小型的网站发送add_id，app_secret，去唯一标识这个小型网站，并对该小型网站发送token，通过这样操作，大型网站才能信任小型网站。

隐式许可：token其实说的更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作。

授权码许可：token是以明文(url中携带token信息)的方式发送给浏览器，虽然是https不会被别人窃取，但是在浏览器的历史记录和访问日志中都能找到。那么有什么办法可以解决吗？当然，仅仅只有token是不够的，这时候还需要授权码将token隐藏。授权码虽然也是暴露的，但是这个授权码是和add_id和app_secret相关联的，所以就算授权码被获取到也是无用的。

步骤s02对选择的数据证书计算数字签名：本步骤中，对选择的数据证书计算数字签名。

步骤s03对数字签名采用加密算法变成固定长度的数字摘要：本步骤中，对数字签名采用加密算法变成固定长度的数字摘要，加密算法可以是md5加密算法、sha1加密算法、sha256加密算法、hmacmd5加密算法、hmacsha1加密算法或hmacsha256等，在实际应用中，还可以根据具体需求选择其他加密算法。

步骤s04将数字证书、数字签名和数字摘要提供给oauth服务器，并等待oauth服务器的响应：本步骤中，将数字证书、数字签名和数字摘要通过无线方式提供给oauth服务器，并等待oauth服务器的响应。无线方式可以是5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合。通过设置多种无线通讯方式，不仅可以增加无线通讯方式的灵活性，还能满足不同用户和不同场合的需求。尤其是采用lora模块时，其通讯距离较远，且通讯性能较为稳定，适用于对通讯质量要求较高的场合。采用5g通讯方式可以达到高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。

步骤s05oauth服务器收到登录oauth服务器的请求，对用户名进行分析：本步骤中，oauth服务器收到登录oauth服务器的请求，对用户名开始进行分析。

步骤s06判断当前提供的数字证书与预先设定的数字证书是否一致：本步骤中，判断当前提供的数字证书与预先设定的数字证书是否一致，如果判断的结果为是，则执行步骤s07；否则，执行步骤s10。

步骤s07判断当前提供的数字签名与预先设定的数字签名是否一致：如果当前提供的数字证书与预先设定的数字证书一致，则执行本步骤。本步骤中，判断当前提供的数字签名与预先设定的数字签名是否一致，如果判断的结果为是，则执行步骤s08；否则，执行步骤s10。

步骤s08判断当前提供的数字摘要与预先设定的数字摘要是否一致：如果当前提供的数字签名与预先设定的数字签名一致，则执行本步骤。本步骤中，判断当前提供的数字摘要与预先设定的数字摘要是否一致，如果判断的结果为是，则执行步骤s09；否则，执行步骤s10。

步骤s09通知应用软件系统允许客户端登录应用软件系统：如果当前提供的数字摘要与预先设定的数字摘要一致，则执行本步骤。本步骤中，通知应用软件系统允许用户名对应的客户端登录应用软件系统。如果客户端被允许登录应用软件系统，则继续向oauth服务器发送计费请求，由oauth服务器进行计费，该oauth服务器在客户端完成对应用软件系统的访问后生成计费统计。该oauth服务器采用oauth协议进行计费。

步骤s10客户端没有权限登录应用软件系统：本步骤中，上述用户名对应的客户端没有权限登录应用软件系统。手机app通过无线方式控制oauth服务器对保存在oauth服务器上的数据进行管理。对保存在该oauth服务器上的数据进行管理包括：核心接口调用、用户操作、区域管理、客户端操作、证书操作等。

本发明的方法通过使用oauth服务器，该oauth服务器使用oauth协议，使得本发明的方法能提供安全有效的数字证书认证和管理。

客户端连接到无线通信网络，当客户端要通过无线通信网络登录该应用软件系统时，首先启动客户端的拨号app，使用该客户端在oauth服务器上的用户名向oauth服务器发出登录请求，并选择与应用软件系统相对应的数字证书；对所选择的数字证书计算数字签名；对该数字签名计算数字摘要；以及将数字证书、数字签名和数字摘要通过无线通信网络提供给oauth服务器，并等待oauth服务器响应。无线通信网络可以是5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合。

oauth服务器为远程用户提供接入的证书认证、认证后的ip地址授权以及用户登入和登出的记费功能。用户通过oauth服务器的证书认证方式后，被授予内网的ip地址，以及指定的dns和网关地址，用户可根据其在各自应用系统的权限去访问对应的应用服务器。

本实施例还涉及一种实现上述数字证书的管理方法的装置，该装置的结构示意图如图2所示。图2中，该装置包括数字证书选择单元1、数字签名计算单元2、数字摘要获取单元3、响应单元4、用户名分析单元5、数字证书判断单元6、数字签名判断单元7、数字摘要判断单元8、通知单元9和无权限单元10；其中，数字证书选择单元1用于当客户端登录应用软件系统时，在客户端启动拨号app，使用客户端在oauth服务器上的用户名登录oauth服务器，并选择与应用软件系统相对应的数字证书。

数字签名计算单元2用于对选择的数据证书计算数字签名；数字摘要获取单元3用于对数字签名采用加密算法变成固定长度的数字摘要；加密算法可以是md5加密算法、sha1加密算法、sha256加密算法、hmacmd5加密算法、hmacsha1加密算法或hmacsha256等，在实际应用中，还可以根据具体需求选择其他加密算法。

响应单元4用于将数字证书、数字签名和数字摘要提供给oauth服务器，并等待oauth服务器的响应；无线方式可以是5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合。通过设置多种无线通讯方式，不仅可以增加无线通讯方式的灵活性，还能满足不同用户和不同场合的需求。尤其是采用lora模块时，其通讯距离较远，且通讯性能较为稳定，适用于对通讯质量要求较高的场合。采用5g通讯方式可以达到高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。

用户名分析单元5用于使oauth服务器收到登录oauth服务器的请求，对用户名进行分析；数字证书判断单元6用于判断当前提供的数字证书是否与预先设定的数字证书是否一致；数字签名判断单元7用于判断当前提供的数字签名与预先设定的数字签名是否一致；数字摘要判断单元8用于判断当前提供的数字摘要与预先设定的数字摘要是否一致；通知单元9用于通知应用软件系统允许客户端登录应用软件系统；如果客户端被允许登录应用软件系统，则继续向oauth服务器发送计费请求，由oauth服务器进行计费，该oauth服务器在客户端完成对应用软件系统的访问后生成计费统计。该oauth服务器采用oauth协议进行计费。无权限单元10用于客户端没有权限登录应用软件系统。

本发明的装置通过使用oauth服务器，该oauth服务器使用oauth协议，使得本发明的装置能提供安全有效的数字证书认证和管理。

总之，由于oauth服务器对用户名进行分析，并将当前提供的数字证书、数字签名和数字摘要分别进行认证，全部认证通过后，应用软件系统才会允许客户端登录应用软件系统，本发明能提供安全有效的数字证书认证和管理。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。