目前针对网络安全考虑,大多数具有注册用户的企业级信息系统都在自注册用户即用户名密码用户的基础上推出了数字证书用户。数字证书物理载体一般采用不可直接读写信息的U盘,U盘中的信息经过加密处理,只有证书颁发方特有的插件才可进行获取。
数字证书根据实际情况,一般具有大于普通注册用户的系统权限。那么数字证书是如何集成入信息系统之中的呢,基本的实现原理可概括如下:
1,用户使用数字证书安装程序(证书发放时连同证书一起获取)将数字证书安装在所使用的计算机上;
2,用户使用证书进行注册,浏览器端AxtiveX控件读取用户证书内的信息并显示在相应的注册项中,比如名称、号码等,同时用户填写证书中所不包含的其它信息,浏览器端ActiveX控件对这些注册信息进行签名和加密处理,并将生成的加密包上传到服务器端,由服务器端安全网关进行解密和验证签名。如果签名验证通过,则由后台应用系统将注册信息录入用户数据库中,完成新用户的线上注册;如果证书信息足够信息系统使用,则此步骤完全可以由系统在用户首次登录时后台进行,对用户透明,数字证书用户自动成为系统用户;
3,用户使用证书进行系统登录,浏览器端ActiveX控件对数字证书的唯一标记项进行签名和加密处理,并将生成的保密身份数据包上传到服务器端;在此过程中,也可以加入对随机数的签名,提高抗重放攻击能力;
4,服务器端安全网关接收到保密身份数据包之后,进行拆包、解密和验证签名处理。如果以上环节均成功,则由后台应用系统根据证书唯一标记项在用户数据库中查找,判断该用户是否为合法用户,如果是合法用户,则通过身份认证,允许用户登录并进行业务处理;否则,拒绝该用户登录。
5,用户登录后即由信息系统本身进行其它管理;
