CN109194631A - 一种身份校验方法以及相关装置 - Google Patents
一种身份校验方法以及相关装置 Download PDFInfo
- Publication number
- CN109194631A CN109194631A CN201810942949.1A CN201810942949A CN109194631A CN 109194631 A CN109194631 A CN 109194631A CN 201810942949 A CN201810942949 A CN 201810942949A CN 109194631 A CN109194631 A CN 109194631A
- Authority
- CN
- China
- Prior art keywords
- certificate
- server
- terminal
- identity
- proof
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种身份校验方法,包括:服务器获取终端的第一证书,并对第一证书进行身份校验,第一证书为终端的自签名证书;当服务器对第一证书进行身份校验失败时,服务器向终端发送证书信息;服务器生成第二证书;服务器使用第二证书与终端之间建立通信连接。本发明实施例还公开了一种身份校验装置。本发明实施例提供了一种方法,终端在使用自签名证书进行身份校验时,向终端发送经过服务器认证的新签名证书,终端和服务器可以使用新签名证书进行通信,提升了身份校验的安全性,降低信息泄露的风险。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种身份校验方法以及相关装置。
背景技术
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在互联网上验证通信实体身份的方式,人们可以在网上用它来识别对方的身份,由受信任的证书授权中心(certificate authority,CA)在验证通信实体身份后颁发,具有身份验证和数据传输加密功能。
随着互联网技术的应用与发展,终端对网络通信的安全性提出了更高的要求。因此,超文本传输安全协议(hyper text transfer protocol over secure socket layer,HTTPS)得到了越来越广泛的应用。HTTPS是通过安全套接层(security socket layer,SSL)证书实现身份验证和数据加密。SSL证书是数字证书的一种。SSL证书可以由CA颁发也可以由服务器自签发,当SSL证书为服务器自签发时,称为自签名证书。当不同的通信实体之间进行通信时,需要使用数字证书进行身份校验,在校验成功后才可以建立安全通信通道。
当使用自签名证书进行身份校验时,采用的方法为对终端发送安全确认提示,当接收到终端的确认回复后,即通过身份校验。这种处理方法易形成安全漏洞,造成信息泄露。
发明内容
本发明实施例提供了一种身份校验方法以及相关装置,实现了终端在使用自签名证书进行身份校验时,服务器在对自签名证书进行校验后,向终端发送经过服务器认证的新签名证书,终端和服务器可以使用新签名证书进行通信,提升了身份校验的安全性,降低信息泄露的风险。
有鉴于此,本发明第一方面提供了一种身份校验方法,包括:
服务器获取终端的第一证书,并对所述第一证书进行身份校验,所述第一证书为所述终端的自签名证书;
当所述服务器对所述第一证书进行身份校验失败时,所述服务器向所述终端发送证书信息,所述证书信息中至少包括所述服务器的根证书,以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息;
所述服务器根据接收到的所述第一身份信息生成第二证书;
所述服务器使用所述第二证书与所述终端之间建立通信连接。
结合本发明实施例的第一方面,在第一方面的第一种可能的实现方式中,所述服务器获取终端的第一证书之前,所述方法还包括:
所述服务器接收所述终端发送的第二身份信息,所述第一身份信息中至少包括所述终端的统一资源定位符URL;
所述服务器获取终端的第一证书,包括:
所述服务器根据所述URL获取所述第一证书。
结合本发明实施例的第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述对所述第一证书进行身份校验,包括:
所述服务器使用所述根证书与所述第一证书进行对比;
若所述根证书与所述第一证书的对比结果一致,则身份校验成功;
若所述根证书与所述第一证书的对比结果不一致,则身份校验失败。
结合本发明实施例的第一方面的第二种可能的实现方式,本发明实施例的第一方面的第三种可能的实现方式中,所述服务器根据接收到的所述第一身份信息生成第二证书之后,所述方法还包括:
所述服务器向所述终端发送所述第二证书,以使得所述终端根据接收到的所述第二证书更新所述第一证书,并使用所述第二证书与所述服务器之间建立通信连接。
结合本发明实施例的第一方面至第一方面的第三种可能的实现方式中的任一种实现方式,本发明实施例的第一方面的第四种可能的实现方式中,所述服务器向所述终端发送所述证书信息之后,所述服务器根据接收到的所述第一身份信息生成第二证书之前,所述方法还包括:
所述服务器向所述终端发送要求证书请求,以使得所述终端根据所述要求证书请求发送所述第一身份信息。
本发明第二方面提供了一种身份校验装置,所述身份校验装置包括:
校验模块,用于服务器获取终端的第一证书,并对所述第一证书进行身份校验,所述第一证书为所述终端的自签名证书;
发送模块,用于当所述服务器对所述第一证书进行身份校验失败时,所述服务器向所述终端发送证书信息,所述证书信息中至少包括所述服务器的根证书,以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息;
生成模块,用于根据接收到的所述第一身份信息生成第二证书;
通信模块,用于所述服务器使用所述第二证书与所述终端之间建立通信连接。
结合本发明实施例的第二方面,在第二方面的第一种可能的实施例中,提供了一种身份校验装置,包括:
接收模块,用于接收所述终端发送的第二身份信息,所述第一身份信息中至少包括所述终端的统一资源定位符URL;
获取模块,用于根据所述URL获取所述第一证书。
结合本发明实施例的第二方面的第一种可能的实施例,在第二方面的第二种可能的实施例中,提供了一种身份校验装置,包括:
对比模块,用于使用所述根证书与所述第一证书进行对比;
若所述根证书与所述第一证书的对比结果一致,则身份校验成功;
若所述根证书与所述第一证书的对比结果不一致,则身份校验失败。
结合本发明实施例的第二方面的第二种可能的实施例,在第二方面的第三种可能的实施例中,提供了一种身份校验装置,包括:
发送模块,还用于向所述终端发送所述第二证书,以使得所述终端根据接收到的所述第二证书更新所述第一证书,并使用所述第二证书与所述服务器之间建立通信连接。
结合本发明实施例的第二方面至第一方面的第三种可能的实现方式中的任一种实现方式,本发明实施例的第二方面的第四种可能的实现方式中,提供了一种身份校验装置,包括:
发送模块,还用于所述服务器向所述终端发送要求证书请求,以使得所述终端根据所述要求证书请求发送所述第一身份信息。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,提供了一种身份校验方法,服务器获取终端的第一证书,并对所述第一证书进行身份校验,所述第一证书为所述终端的自签名证书;当所述服务器对所述第一证书进行身份校验失败时,所述服务器向所述终端发送证书信息,所述证书信息中至少包括所述服务器的根证书,以使得所述终端将所述根证书添加至信任列表中并向所述服务器发送第一身份信息;所述服务器根据接收到的所述第一身份信息生成第二证书;所述服务器使用所述第二证书与所述终端之间建立通信连接。通过上述方式,终端在使用自签名证书进行身份校验时,服务器在对自签名证书进行校验后,向终端发送经过服务器认证的新签名证书,终端和服务器可以使用新签名证书进行通信,提升了身份校验的安全性,降低信息泄露的风险。
附图说明
图1为本发明实施例中身份校验方法的***架构示意图;
图2为本发明实施例中身份校验方法的一个应用场景流程示意图;
图3为本发明实施例中身份校验方法的另一个应用场景流程示意图;
图4为本发明实施例中身份校验方法的一个实施例示意图;
图5为本发明实施例中身份校验装置的一个实施例示意图;
图6为本发明实施例中身份校验装置的一个实施例示意图;
图7为本发明实施例中身份校验装置的一个实施例示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供了一种身份校验方法以及相关装置,实现了终端在使用自签名证书进行身份校验时,服务器在对自签名证书进行校验后,向终端发送经过服务器认证的新签名证书,终端和服务器可以使用新签名证书进行通信,提升了身份校验的安全性,降低信息泄露的风险。
应理解,本发明应用于服务器与终端之间通信时对身份进行校验的场景,主要应用于对数字证书的处理。为了便于理解,如图1所示,图1为本发明实施例中身份校验方法的***架构示意图,图1中的终端可以以各种形式来实施,例如,可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(personal digital assistant,PDA)、便携式媒体播放器(portable media player,PMP)、导航装置、可穿戴设备、等移动终端,以及诸如数字电视、台式计算机等固定终端。图1中的服务器可以为独立的服务器或多个服务器组成的服务器集群。
其中,终端上安装有浏览器(或客户端),使用者可以通过浏览器向相应的服务器发送网络请求。本实施例中,该网络请求对应的网址为HTTPS网址,当终端通过浏览器向服务器发送网络请求时,会通过SSL协议与部署于服务器的HTTPS网站建立通信连接,该通信连接为套接字安全通道,还可以通过安全传输层协议(transport layer security,TLS)与部署于服务器的HTTPS网站建立通信连接,此处不作限定。在建立通信连接前,需要使用数字证书对身份进行校验,服务器需要对终端提供的数字证书进行校验,得到安全确认后才会建立安全的通信连接。
为了便于理解,下面结合图2介绍本发明,请参阅图2,图2为本发明实施例中身份校验方法的一个应用场景流程示意图,该应用场景为终端在使用自签名证书的情况下,首次向服务器发起网络请求的场景,如图所示,具体地:
步骤S1中,终端向服务器发起注册请求,包括输入终端的用户名、用户名对应的密码以及终端的URL;
步骤S2中,服务器接收到终端发起的注册请求后,根据请求中携带的终端的URL获取到终端的自签名证书,由于该终端是首次向该服务器发起网络请求,因此服务器不信任该自签名证书,此时返回异常并询问终端是否继续注册;
步骤S3中,当服务器接收到终端选择继续注册的请求时,服务器使用该证书在该服务器中进行注册。注册过程包括:对比来自终端的自签名证书与服务器本身提供的根证书(caRoot),根证书为CA颁发的应用于服务器的总的证书。对比的方式包括:1、检测自签名证书的证书格式与根证书的证书格式是否相符;2、检测自签名证书中特征代码与根证书中的特征代码是否相符,此处不对检测的方式进行限定。由于该终端是首次向该服务器发起网络请求且自签名证书不是由该服务器颁发的,因此对比的结果为不相符,注册失败;
步骤S4中,当服务器使用自签名证书进行注册失败后,通过SSL连接通道#1与终端建立连接,该连接通道为应用SSL协议建立的连接通道,服务器使用终端的用户与密码登录终端的***,并向终端发送经过服务器认证的根证书以及证书链(caCRL),证书链用于证明后续步骤中服务器发送的证书从属于根证书;
步骤S5中,终端在接收并确认服务器发送的用户名与密码后,授权予服务器,将根证书添加至位于终端的信任列表中,并断开SSL连接通道#1;
步骤S6中,当服务器检测到SSL连接通道#1断开后,服务器通过SSL连接通道#2与终端建立连接,还可以是当终端将该根证书添加至位于终端的信任列表之后,终端向服务器返回添加信任列表成功的反馈,服务器接收到该反馈后,通过SSL连接通道#2与终端建立连接,此处不作限定。建立连接后,服务器询问终端要求发送证书请求,终端接收到该询问后,向服务器发送证书请求,该请求中至少包括根证书的SSL指纹信息;
步骤S7中,当服务器接收到来自终端的证书请求后,生成一个基于该证书请求的新的数字证书,并通过SSL连接通道#2将该证书发送至终端;
步骤S8中,终端接收该新证书后,使用该证书更新位于终端的自签名证书,更新的方式包括删除自签名证书并存储新证书,还包括检测提取新证书与自签名证书不同的部分并存储至终端,此处不作限定;
步骤S9中,终端在更新了该新证书后,应用该新证书。通过SSL连接通道#3与服务器之间建立通信连接。
采用本方案终端在使用自签名证书的情况下,首次向服务器发起网络请求时,服务器在对自签名证书进行校验后,向终端发送经过服务器认证的新签名证书,终端和服务器可以使用新签名证书进行通信,提升了身份校验的安全性,降低信息泄露的风险。
请参阅图3,图3为本发明实施例中身份校验方法的另一个应用场景流程示意图,该应用场景为终端在已经有了服务器的根证书的情况下,向服务器发起网络请求的场景,如图所示,具体地:
步骤L1中,具体步骤与上述应用场景中步骤S1类似,此处不再赘述;
步骤L2中,服务器接收到终端发起的注册请求后,根据请求中携带的终端的URL获取到终端的自签名证书,由于该终端已有该服务器的根证书,因此服务器信任该自签名证书,此时服务器使用该证书在该服务器中进行注册。注册成功,通过SSL连接通道#1与终端建立连接,该连接通道为应用SSL协议建立的连接通道,服务器使用终端的用户与密码登录终端的***,并向终端发送经过服务器认证的根证书以及证书链(caCRL),证书链用于证明后续步骤中服务器发送的证书从属于根证书;
步骤L3中,终端在接收并确认服务器发送的用户名与密码后,授权予服务器,终端检查信任列表中是否包含有该根证书,若有则断开SSL连接通道#1,若无则将根证书添加至位于终端的信任列表中,并断开SSL连接通道#1;
步骤L4中,终端应用该自签名证书。通过SSL连接通道#2与服务器之间建立通信连接。
本方案提供了一种终端在使用自签名证书的情况下,当终端已经存储有服务器的根证书时,使用自签名证书建立通信连接的方法,提高了方案的实现灵活性。
请参阅图4,图4为本发明实施例中身份校验方法的第一个实施例示意图,本发明实施例中身份校验方法的一个实施例包括:
101、服务器获取终端的第一证书,并对第一证书进行身份校验;
本实施例中,服务器获取终端的第一证书,并对该第一证书进行身份校验,该第一证书为终端的自签名证书。
102、当服务器对第一证书进行身份校验失败时,服务器向终端发送证书信息;
本实施例中,当服务器对第一证书进行身份校验失败时,服务器向终端发送证书信息,证书信息中至少包括服务器的根证书,以使得终端将根证书确定为可信任证书并向服务器发送第一身份信息,身份信息中指示包括根证书的SSL指纹信息。
其中,将根证书确定为可信任证书包括将该根证书存储至信任列表中,还包括新增关联文件用于标识该根证书为可信任证书,此处不作限定。
103、服务器根据接收到的身份信息生成第二证书;
本实施例中,服务器根据接收到的身份信息包括根证书的SSL指纹信息以及证书链制作生成新的数字证书,该数字证书称为第二证书。
104、服务器使用第二证书与终端之间建立通信连接;
本实施例中,服务器可以使用第二证书与终端之间建立通信连接。
本发明实施例中,提供了一种身份校验方法,服务器在对自签名证书进行校验后,向终端发送经过服务器认证的新签名证书,终端和服务器可以使用新签名证书进行通信,提升了身份校验的安全性,降低了信息泄露的风险。
可选地,在图4对应的实施例的基础上,本发明实施例提供的第二种身份校验方法的实施例中,服务器获取终端的第一证书之前,方法还包括:
服务器接收终端发送的第二身份信息,身份信息中至少包括终端的统一资源定位符URL;
服务器获取终端的第一证书,包括:
服务器根据URL获取第一证书。
本实施例中,服务器在获取终端的第一证书之前,终端向服务器发送第二身份信息,至少包括终端的URL,还包括终端的用户名、用户名对应的密码,服务器接收到终端发送第二身份信息后,根据请求中携带的终端的URL获取到终端的第一证书,服务器获取终端的用户名以及用户名对应的密码,用于识别并记录当前向服务器发送网络请求的身份。
本发明实施例中,提供了一种利用URL地址获取证书方式,服务器可以根据URL地址去找到对应的证书,而URL地址与证书之间具有唯一的对应关系,因此,在有较多证书的情况下,利用一个URL地址获取相应的证书是具有可靠性的。
可选地,在图4对应的本发明实施例提供的第二种身份校验方法的实施例的基础上,本发明实施例提供的第三种身份校验方法的实施例中,对第一证书进行身份校验,包括:
服务器使用根证书与第一证书进行对比;
若根证书与第一证书的对比结果一致,则身份校验成功;
若根证书与第一证书的对比结果不一致,则身份校验失败。
本实施例中,服务器使用第一证书在该服务器中进行身份校验。身份校验过程包括:对比来自终端的第一证书与服务器本身提供的根证书,根证书为CA颁发的应用于服务器的总的证书。对比的方式包括:1、检测第一证书的证书格式与根证书的证书格式是否相符;2、检测第一证书中特征代码与根证书中的特征代码是否相符,此处不对检测的方式进行限定。当对比的一致,即相符时,身份校验成功;当对比的不一致,即不相符时,身份校验失败。
本发明实施例中,提供了一种对第一证书进行身份校验的方法,使用服务器本身存储的根证书与第一证书进行对比,由于根证书为服务器自带的证书,受到服务器的安全信任,因此当第一证书与根证书对比相符时,第一证书也可以得到服务器的安全信任,提高了方案的可行性。
可选地,在图4对应的本发明实施例提供的第三种身份校验方法的实施例的基础上,本发明实施例提供的第四种身份校验方法的实施例中,服务器根据接收到的第一身份信息生成第二证书之后,方法还包括:
服务器向终端发送第二证书,以使得终端根据接收到的第二证书更新第一证书,并使用第二证书与服务器之间建立通信连接。
本实施例中,服务器生成一个基于由根证书制作的新的数字证书,称为第二证书,并通过SSL连接通道将第二证书发送至终端,终端接收第二证书后,使用第二证书更新位于终端的第一证书,更新的方式包括删除第一证书并存储第二证书,还包括检测提取第二证书与第一证书不同的部分并存储至终端,此处不作限定,终端在更新了第二证书后,应用该第二证书。通过SSL连接通道与服务器之间建立通信连接。
本发明实施例中,服务器将生成的第二证书发送至终端,终端使用由服务器生成并得到服务器认证的第二证书更新本地的第一证书,终端使用第二证书与服务器之间建立通信连接,由于第二证书为服务器生成的证书,因此第二证书可成功通过服务器的身份校验,终端可成功地与服务器建立通信连接,提升了方案的可行性。
可选地,在图4对应的本发明实施例提供的第一种身份校验方法的实施例至第四中身份校验方法的实施例的基础上,本发明实施例提供的第五种身份校验方法的实施例中,服务器向终端发送证书信息之后,服务器根据接收到的第一身份信息生成第二证书之前,方法还包括:
服务器向终端发送要求证书请求,以使得终端根据要求证书请求发送第一身份信息。
本实施例中,当终端将该根证书确定为可信任证书之后,终端向服务器返回确定为可信任证书成功的反馈,服务器接收到该反馈后,通过SSL连接通道与终端建立连接。建立连接后,服务器向终端发送要求证书请求,终端终端接收到该请求后,向服务器发送第一身份信息,该第一身份信息中至少包括根证书的SSL指纹信息。
本发明实施例中,服务器向终端发送证书信息之后,服务器根据接收到的第一身份信息生成第二证书之前,可以通过向终端发送要求证书请求,获取终端的第一身份信息,服务器主动地向终端发送要求证书请求,缩短了等待获取第一身份信息的时长,提升了终端获取身份校验的自动化程度,提升了方案的可行性。
下面对本发明中身份校验装置进行详细描述,请参阅图5为本发明实施例中身份校验装置的一个实施例示意图,本发明实施例提供的身份校验装置20的第一个实施例中,身份校验装置20包括:
校验模块201,用于服务器获取终端的第一证书,并对所述第一证书进行身份校验,所述第一证书为所述终端的自签名证书;
发送模块202,用于当所述服务器对所述第一证书进行身份校验失败时,所述服务器向所述终端发送证书信息,所述证书信息中至少包括所述服务器的根证书,以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息;
生成模块203,用于根据接收到的所述第一身份信息生成第二证书;
通信模块204,用于所述服务器使用所述第二证书与所述终端之间建立通信连接。
本实施例中,校验模块201,用于服务器获取终端的第一证书,并对所述第一证书进行身份校验,所述第一证书为所述终端的自签名证书;发送模块202,用于当所述服务器对所述第一证书进行身份校验失败时,所述服务器向所述终端发送证书信息,所述证书信息中至少包括所述服务器的根证书,以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息;生成模块203,用于根据接收到的所述第一身份信息生成第二证书;通信模块204,用于所述服务器使用所述第二证书与所述终端之间建立通信连接。
本发明实施例中,提供了一种身份校验方法,服务器在对自签名证书进行校验后,向终端发送经过服务器认证的新签名证书,终端和服务器可以使用新签名证书进行通信,提升了身份校验的安全性,降低了信息泄露的风险。
可选地,在上述图5对应的实施例的基础上,请参阅图6,本发明实施例提供的身份校验装置20的第二个实施例中,身份校验装置20还包括:接收模块205,获取模块206;
接收模块205,用于接收所述终端发送的第二身份信息,所述第一身份信息中至少包括所述终端的统一资源定位符URL;
获取模块206,用于根据所述URL获取所述第一证书。
本发明实施例中,提供了一种利用URL地址获取证书方式,服务器可以根据URL地址去找到对应的证书,而URL地址与证书之间具有唯一的对应关系,因此,在有较多证书的情况下,利用一个URL地址获取相应的证书是具有可靠性的。
可选地,在上述图6对应的实施例的基础上,请参阅图7,本发明实施例提供的身份校验装置20的第三个实施例中,身份校验装置20还包括:对比模块207;
对比模块207,用于使用所述根证书与所述第一证书进行对比;
若所述根证书与所述第一证书的对比结果一致,则身份校验成功;
若所述根证书与所述第一证书的对比结果不一致,则身份校验失败。
本发明实施例中,提供了一种对第一证书进行身份校验的方法,使用服务器本身存储的根证书与第一证书进行对比,由于根证书为服务器自带的证书,受到服务器的安全信任,因此当第一证书与根证书对比相符时,第一证书也可以得到服务器的安全信任,提高了方案的可行性。
可选地,在上述图7对应的实施例的基础上,本发明实施例提供的身份校验装置20的第四个实施例中,
发送模块202,还用于向所述终端发送所述第二证书,以使得所述终端根据接收到的所述第二证书更新所述第一证书,并使用所述第二证书与所述服务器之间建立通信连接。
本发明实施例中,服务器将生成的第二证书发送至终端,终端使用由服务器生成并得到服务器认证的第二证书更新本地的第一证书,终端使用第二证书与服务器之间建立通信连接,由于第二证书为服务器生成的证书,因此第二证书可成功通过服务器的身份校验,终端可成功地与服务器建立通信连接,提升了方案的可行性。
可选地,在上述图7对应的实施例的基础上,请参阅图7,本发明实施例提供的身份校验装置20的第五个实施例中,
发送模块202,还用于所述服务器向所述终端发送要求证书请求,以使得所述终端根据所述要求证书请求发送所述第一身份信息。
本发明实施例中,服务器向终端发送证书信息之后,服务器根据接收到的第一身份信息生成第二证书之前,可以通过向终端发送要求证书请求,获取终端的第一身份信息,服务器主动地向终端发送要求证书请求,缩短了等待获取第一身份信息的时长,提升了终端获取身份校验的自动化程度,提升了方案的可行性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种身份校验方法,其特征在于,所述方法包括:
服务器获取终端的第一证书,并对所述第一证书进行身份校验,所述第一证书为所述终端的自签名证书;
当所述服务器对所述第一证书进行身份校验失败时,所述服务器向所述终端发送证书信息,所述证书信息中至少包括所述服务器的根证书,以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息;
所述服务器根据接收到的所述第一身份信息生成第二证书;
所述服务器使用所述第二证书与所述终端之间建立通信连接。
2.根据权利要求1所述的方法,其特征在于,所述服务器获取终端的第一证书之前,所述方法还包括:
所述服务器接收所述终端发送的第二身份信息,所述第一身份信息中至少包括所述终端的统一资源定位符URL;
所述服务器获取终端的第一证书,包括:
所述服务器根据所述URL获取所述第一证书。
3.根据权利要求2所述的方法,其特征在于,所述对所述第一证书进行身份校验,包括:
所述服务器使用所述根证书与所述第一证书进行对比;
若所述根证书与所述第一证书的对比结果一致,则身份校验成功;
若所述根证书与所述第一证书的对比结果不一致,则身份校验失败。
4.根据权利要求3所述的方法,其特征在于,所述服务器根据接收到的所述第一身份信息生成第二证书之后,所述方法还包括:
所述服务器向所述终端发送所述第二证书,以使得所述终端根据接收到的所述第二证书更新所述第一证书,并使用所述第二证书与所述服务器之间建立通信连接。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述服务器向所述终端发送所述证书信息之后,所述服务器根据接收到的所述第一身份信息生成第二证书之前,所述方法还包括:
所述服务器向所述终端发送要求证书请求,以使得所述终端根据所述要求证书请求发送所述第一身份信息。
6.一种身份校验装置,其特征在于,
校验模块,用于服务器获取终端的第一证书,并对所述第一证书进行身份校验,所述第一证书为所述终端的自签名证书;
发送模块,用于当所述服务器对所述第一证书进行身份校验失败时,所述服务器向所述终端发送证书信息,所述证书信息中至少包括所述服务器的根证书,以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息;
生成模块,用于根据接收到的所述第一身份信息生成第二证书;
通信模块,用于所述服务器使用所述第二证书与所述终端之间建立通信连接。
7.根据权利要求6所述的身份校验装置,其特征在于,
接收模块,用于接收所述终端发送的第二身份信息,所述第一身份信息中至少包括所述终端的统一资源定位符URL;
获取模块,用于根据所述URL获取所述第一证书。
8.根据权利要求7所述的身份校验装置,其特征在于,
对比模块,用于使用所述根证书与所述第一证书进行对比;
若所述根证书与所述第一证书的对比结果一致,则身份校验成功;
若所述根证书与所述第一证书的对比结果不一致,则身份校验失败。
9.根据权利要求8所述的身份校验装置,其特征在于,
发送模块,还用于向所述终端发送所述第二证书,以使得所述终端根据接收到的所述第二证书更新所述第一证书,并使用所述第二证书与所述服务器之间建立通信连接。
10.根据权利要求6至9中任一项所述的身份校验装置,其特征在于,
发送模块,还用于所述服务器向所述终端发送要求证书请求,以使得所述终端根据所述要求证书请求发送所述第一身份信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810942949.1A CN109194631A (zh) | 2018-08-17 | 2018-08-17 | 一种身份校验方法以及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810942949.1A CN109194631A (zh) | 2018-08-17 | 2018-08-17 | 一种身份校验方法以及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109194631A true CN109194631A (zh) | 2019-01-11 |
Family
ID=64918298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810942949.1A Pending CN109194631A (zh) | 2018-08-17 | 2018-08-17 | 一种身份校验方法以及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109194631A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300096A (zh) * | 2019-05-22 | 2019-10-01 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
| CN111080922A (zh) * | 2019-12-27 | 2020-04-28 | 吉林大学珠海学院 | 一种智能钥匙柜管理***及其实现方法 |
| CN111291369A (zh) * | 2020-01-20 | 2020-06-16 | 北京无限光场科技有限公司 | 一种信息检测方法和电子设备 |
| CN111526159A (zh) * | 2020-05-25 | 2020-08-11 | 普联技术有限公司 | 建立数据连接的方法、装置、终端设备及存储介质 |
| CN112995158A (zh) * | 2021-02-09 | 2021-06-18 | 建信金融科技有限责任公司 | 通信方法、终端、服务器及通信*** |
| CN113873027A (zh) * | 2021-09-24 | 2021-12-31 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101742508A (zh) * | 2009-12-21 | 2010-06-16 | 中兴通讯股份有限公司 | 一种wapi终端与应用服务器传输文件的***及方法 |
| CN102413103A (zh) * | 2010-09-20 | 2012-04-11 | 华为技术有限公司 | 一种消息验证方法、***及设备 |
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
| US8843750B1 (en) * | 2011-01-28 | 2014-09-23 | Symantec Corporation | Monitoring content transmitted through secured communication channels |
| CN107295000A (zh) * | 2017-07-12 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种基于证书的通信方法及*** |
| CN107864159A (zh) * | 2017-12-21 | 2018-03-30 | 有米科技股份有限公司 | 基于证书及信任链的通信方法和装置 |
-
2018
- 2018-08-17 CN CN201810942949.1A patent/CN109194631A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101742508A (zh) * | 2009-12-21 | 2010-06-16 | 中兴通讯股份有限公司 | 一种wapi终端与应用服务器传输文件的***及方法 |
| CN102413103A (zh) * | 2010-09-20 | 2012-04-11 | 华为技术有限公司 | 一种消息验证方法、***及设备 |
| US8843750B1 (en) * | 2011-01-28 | 2014-09-23 | Symantec Corporation | Monitoring content transmitted through secured communication channels |
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
| CN107295000A (zh) * | 2017-07-12 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种基于证书的通信方法及*** |
| CN107864159A (zh) * | 2017-12-21 | 2018-03-30 | 有米科技股份有限公司 | 基于证书及信任链的通信方法和装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300096A (zh) * | 2019-05-22 | 2019-10-01 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
| CN111080922A (zh) * | 2019-12-27 | 2020-04-28 | 吉林大学珠海学院 | 一种智能钥匙柜管理***及其实现方法 |
| CN111291369A (zh) * | 2020-01-20 | 2020-06-16 | 北京无限光场科技有限公司 | 一种信息检测方法和电子设备 |
| CN111291369B (zh) * | 2020-01-20 | 2022-05-20 | 北京无限光场科技有限公司 | 一种信息检测方法和电子设备 |
| CN111526159A (zh) * | 2020-05-25 | 2020-08-11 | 普联技术有限公司 | 建立数据连接的方法、装置、终端设备及存储介质 |
| CN112995158A (zh) * | 2021-02-09 | 2021-06-18 | 建信金融科技有限责任公司 | 通信方法、终端、服务器及通信*** |
| CN113873027A (zh) * | 2021-09-24 | 2021-12-31 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
| CN113873027B (zh) * | 2021-09-24 | 2024-02-27 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109194631A (zh) | 一种身份校验方法以及相关装置 | |
| US20220058655A1 (en) | Authentication system | |
| EP3175578B1 (en) | System and method for establishing trust using secure transmission protocols | |
| US8352738B2 (en) | Method and apparatus for secure online transactions | |
| CN104077689B (zh) | 一种信息验证的方法、相关装置及*** | |
| EP2304636B1 (en) | Mobile device assisted secure computer network communications | |
| JP6716745B2 (ja) | ブロックチェーン基盤の権限認証方法、端末及びこれを利用したサーバ | |
| CN107689944A (zh) | 身份认证方法、装置和*** | |
| CN106936792A (zh) | 安全认证方法和***以及用于安全认证的移动终端 | |
| WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| WO2010101476A1 (en) | Method and computer program for generation and verification of otp between server and mobile device using multiple channels | |
| CN108022100B (zh) | 一种基于区块链技术的交叉认证***及方法 | |
| CN102780674A (zh) | 一种具有多因素认证方法的网络业务处理方法及*** | |
| CN109844787A (zh) | 一种基于区块链的硬件钱包、交易***以及存储介质 | |
| US20150294310A1 (en) | Transaction system and transaction method | |
| CN106330838A (zh) | 一种动态签名方法及应用该方法的客户端和服务器 | |
| CN103905194A (zh) | 身份溯源认证方法及*** | |
| CN107113613A (zh) | 服务器、移动终端、网络实名认证***及方法 | |
| CN105429991A (zh) | 移动终端高效数据传输方法 | |
| CN104618307B (zh) | 基于可信计算平台的网银交易认证*** | |
| CN104821951B (zh) | 一种安全通信的方法和装置 | |
| CN105554008B (zh) | 用户终端、认证服务器、中间服务器、***和传送方法 | |
| CN110719252A (zh) | 用于通过通信信道授权交易的方法、***和计算机可读媒体 | |
| JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
| CN106656507A (zh) | 一种基于移动终端的电子认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190111 |