一种新型的终端数字证书授权使用的方法与装置

一种新型的终端数字证书授权使用的方法与装置

技术领域

本发明旨在提供一种新型的终端数字证书授权使用的方法与装置，针对终端（相对于服务端）数字证书服务实现授权使用，增强终端证书服务的安全性和自主性。

背景技术

目前终端数字证书相关服务基本上都是开放式地接受使用方的调用，原则上，应用方只要知道终端证书服务接口，即可调用终端证书服务，缺乏必要的授权控制考虑；只有涉及私钥运算等关键操作时，选择性地通过用户手动输入的外部认证口令或者指纹认证机制来保证，缺乏自动控制的授权访问机制，这样不仅安全强度不够，而且对应用方缺乏必要的自主可控性，尤其是对于自动设备类证书的调用，由于没有人的参与，安全性很难保障，这对于针对终端数字证书的互联网服务和物联网的证书应用比较重要；本发明旨在提供一种新型的授权使用数字证书的方法。通过新型的第三方授权服务装置，在应用方和终端证书服务之间构建一套授权访问机制，增强终端证书服务的安全性和自主可控性。

本发明的目的是提供一种新型的终端数字证书授权使用的方法与装置，增强终端证书服务的安全性和自主可控性。为终端数字证书的互联网服务和物联网终端的证书应用奠定基础。

发明内容

本发明提供了一种新型的终端数字证书授权使用的方法与装置。增强终端证书服务的安全性和自主可控性，具体发明内容如下：1，本发明提供了一种新型的终端数字证书授权使用的方法，通过新型的第三方授权服务装置，在应用方和终端证书服务之间构建一套授权访问机制。第三方授权服务装置负责建立并管理应用方和终端证书服务之间的权威授权关系，应用方和终端证书服务模块之间以之为基础实现授权访问控制；2，本发明提供了一种新型的终端数字证书授权使用的装置，该装置由后台授权服务装置和终端访问代理装置两大部分组成，其中后台授权服务装置主要由授权管理模块、访问控制模块和安全保障模块全部或者部分组成；授权管理模块负责建立和管理应用方和终端证书服务基本信息，并根据具体实现流程提供对应的授权服务；访问控制模块则根据具体实现流程需要为终端证书服务模块对应用方进行在线实时鉴权，并将结果返回给终端代理装置；安全保障模块则负责整个授权访问体系的安全保障，包括后台服务装置对应用方和终端证书服务模块的身份认证、以及加密传输与保存机制等；终端访问代理装置则负责代表终端证书服务与后台授权装置和应用方交互，并进行必要的本地数据管理，比如授权信息。3，本发明提供了一种新型的终端数字证书授权使用的方法和装置，根据实际应用需要，该装置提供在线授权鉴权，也提供离线授权鉴权；应用方可以在调用终端证书服务时实时申请授权，也可以预先申请授权后再进行授权访问；终端证书服务模块可以通过终端代理装置在线请求后台授权服务装置提供鉴权服务，也可以由终端代理根据本地鉴权信息和策略直接在本地独立完成鉴权，本地鉴权信息可以是终端代理装置在线主动向后台授权服务装置拉取，也可以是后台授权服务装置推送到终端代理装置，也可以是离线获得后导入或者配置到终端代理装置中。总之，本发明提供的是一种新型的终端数字证书授权使用的方法和装置，与具体实现方式无关，只要符合本发明精神，均属于本发明申请保护范围。4，本发明提供了一种新型的终端数字证书授权使用的方法和装置，根据实际应用需要，该装置可以是由后台授权服务装置和终端访问代理装置组成的、包括授权管理、访问控制服务以及安全保障等在内的完整服务系统，也可以仅仅是无后台管理和服务的终端访问代理装置，后台管理装置功能则通过其他方式，或者完全由用户手工实现。总之，本发明提供的是一种新型的终端数字证书授权使用的方法和装置，与具体实现方式无关，只要符合本发明精神，均属于本发明申请保护范围。5，本发明提供了一种新型的终端数字证书授权使用的方法和装置。根据不同应用场景，对应装置可以是不同的软硬件存在形态、不同的接口服务形态、不同的实现方法、不同的功能配置，只要符合本发明精神，均属于本发明申请保护范围。

实现过程：1，在终端证书服务和应用方之间建立授权关系。可以通过后台授权服务装置统一建立和维护，也可以不通过第三方后台授权服务装置参与，直接由终端证书服务和应用方之间直接建立并维护；2，应用方通过授权访问方式使用终端证书服务。可以通过后台授权服务装置统一提供鉴权服务，也可以由终端代理装置在本地独立完成鉴权。

附图说明

图1说明了本发明的基本原理,本节是为了示意本发明的原理，不代表本发明的唯一实现流程，只要符合本发明的精神，均视为在本发明所要求的权利描述范围之内。