本发明专利技术公开了实现https双向验证的方法、装置和系统。该方法包括:在验证网站身份的合法性时,https任务响应于客户端发送的服务器证书请求,将服务器根级证书和/或服务器二级证书发送至客户端;其中,服务器二级证书是根据服务器根级证书生成的级联证书,服务器二级证书的私钥签名可以通过服务器根级证书的公钥来验证;客户端根据服务器根级证书,对执行https任务的服务器进行合法性验证;或客户端根据服务器二级证书,对执行https任务的服务器进行合法性验证。该方法中,在任一服务器出现了证书有关的故障时,将其与客户端的连接切换到其它的任一个正常服务器,提高了网页服务的可靠性,提升了用户体验。
【技术实现步骤摘要】
实现https双向验证的方法、装置及系统
本专利技术属于互联网应用
,具体涉及实现https双向验证的方法、装置及系统。
技术介绍
服务器与客户端之间的常规认证为单向认证。单向认证时,服务器与客户端之间传输的是加密后的数据。但是单向认证这种方式很容易被仿冒,如第三方恶意软件在传输过程中截取数据,向服务器仿冒客户端,向客户端仿冒服务器,就可以拿到传输的明文数据。因此针对安全性要求比较高的业务,如金融、支付等,就必须提高安全性,这时,服务器与客户端之间采用https双向认证。目前,服务器与客户端之间在实现双向认证时,认证手续繁琐,认证效率低。
技术实现思路
针对现有技术的不足,本专利技术提供实现https双向验证的方法、装置及系统,以简化认证手续并提高认证效率。第一方面,本专利技术提供一种实现https双向验证的方法,包括:在验证网站身份的合法性时,https任务响应于客户端发送的服务器证书请求,将服务器根级证书和/或服务器二级证书发送至客户端;其中,服务器二级证书是根据服务器根级证书生成的级联证书,服务器二级证书的私钥签名可以通过服务器根级证书的公钥来验证;客户端根据服务器根级证书,对执行https任务的服务器进行合法性验证;或客户端根据服务器二级证书,对执行https任务的服务器进行合法性验证。具体地,所述的方法,还包括:在与执行https任务的服务器协商对称加密密钥时,客户端根据服务器根级证书的公钥,处理从执行https任务的服务器获取的加密后对称密钥,以确定执行https任务的服务器主张的对称密钥;或在与执行https任务的服务器协商对称加密密钥时,客户端根据服务器二级证书的公钥,处理从执行https任务的服务器获取的加密后对称密钥,以确定执行https任务的服务器主张的对称密钥。具体地,所述的方法,执行https任务的服务器有多个,其中,任一个执行https任务的服务器对应于服务器根级证书,其他执行https任务的服务器分别对应一个服务器二级证书;在检测到客户端连接的执行https任务的服务器故障时,将与客户端建立连接的https任务切换到另一台正常执行https任务的服务器上。具体地,所述的方法,执行https任务的服务器有多个,其中,任一个执行https任务的服务器分别对应一个服务器二级证书,且该服务器二级证书与服务器根级证书为级联证书;在检测到客户端连接的执行https任务的服务器故障时,将与客户端建立连接的https任务切换到另一台正常执行https任务的服务器上。具体地,所述的方法,在与客户端建立连接https任务切换到另一台正常执行https任务的服务器后,正常执行https任务的服务器将服务器根级证书和/或与其对应的服务器二级证书发送至客户端;客户端根据服务器根级证书,对执行https任务的服务器进行合法性验证;或客户端根据服务器二级证书,对执行https任务的服务器进行合法性验证。具体地,所述的方法,在与客户端建立连接https任务切换到另一台正常执行https任务的服务器后,正常执行https任务的服务器将服务器根级证书和/或与其对应的服务器二级证书发送至客户端;在与正常执行https任务的服务器协商对称加密密钥时,客户端根据服务器根级证书的公钥,处理从https任务获取的加密后对称密钥,以确定https任务主张的对称密钥;或客户端根据服务器二级证书的公钥,处理从https任务获取的加密后对称密钥,以确定https任务主张的对称密钥。具体地,所述的方法,所述https任务由nigix协同PCRE安装包、OpenSSL安装包和ZLIB安装包实现。第二方面,本专利技术提供一种实现https双向验证的装置,包括:服务器证书发送模块,用于:在验证网站身份的合法性时,使得https任务响应于客户端发送的服务器证书请求,将服务器根级证书和/或服务器二级证书发送至客户端;其中,服务器二级证书是根据服务器根级证书生成的级联证书,服务器二级证书的私钥签名可以通过服务器根级证书的公钥来验证;https任务合法性验证模块,用于使得客户端根据服务器根级证书,对执行https任务的服务器进行合法性验证;或客户端根据服务器二级证书,对执行https任务的服务器进行合法性验证。具体地,所述的装置,还包括:对称密钥确定模块,用于在与执行https任务的服务器协商对称加密密钥时,使得客户端根据服务器根级证书的公钥,处理从执行https任务的服务器获取的加密后对称密钥,以确定执行https任务的服务器主张的对称密钥;或在与执行https任务的服务器协商对称加密密钥时,使得客户端根据服务器二级证书的公钥,处理从执行https任务的服务器获取的加密后对称密钥,以确定执行https任务的服务器主张的对称密钥。第三方面,本专利技术提供一种实现https双向验证的系统,包括:至少一个执行https任务的客户端,多个执行https任务的服务器,其中,任一个执行https任务的服务器分别对应一个服务器二级证书,且该服务器二级证书与服务器根级证书为级联证书;在检测到客户端连接的执行https任务的服务器故障时,将与客户端建立连接的https任务切换到另一台正常执行https任务的服务器上。本专利技术实施例的实现https双向验证的方法、装置和系统中,多个具有级联证书的服务器互为热备份。在任一服务器出现了证书有关的故障时,将其与客户端的连接切换到其它的任一个正常服务器,实现网站服务的无缝、透明切换,提高了网页服务的可靠性,提升了用户体验。附图说明通过参考下面的附图,可以更为完整地理解本专利技术的示例性实施方式:图1为本专利技术优选实施方式的实现https双向验证的方法的流程图;图2为本专利技术优选实施方式的实现https双向验证的装置的组成示意图;图3为本专利技术优选实施方式的实现https双向验证的系统的组成示意图。具体实施方式现在参考附图介绍本专利技术的示例性实施方式,然而,本专利技术可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本专利技术,并且向所属
的技术人员充分传达本专利技术的范围。对于表示在附图中的示例性实施方式中的术语并不是对本专利技术的限定。在附图中,相同的单元/元件使用相同的附图标记。除非另有说明,此处使用的术语(包括科技术语)对所属
的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。公钥基础设施,PublicKeyInfrastructure,简称PKI。证书签发机构,Certificatio本文档来自技高网...
【技术保护点】
1.一种实现https双向验证的方法,其特征在于,包括:/n在验证网站身份的合法性时,https任务响应于客户端发送的服务器证书请求,将服务器根级证书和/或服务器二级证书发送至客户端;/n其中,服务器二级证书是根据服务器根级证书生成的级联证书,服务器二级证书的私钥签名可以通过服务器根级证书的公钥来验证;/n客户端根据服务器根级证书,对执行https任务的服务器进行合法性验证;或/n客户端根据服务器二级证书,对执行https任务的服务器进行合法性验证。/n
【技术特征摘要】
1.一种实现https双向验证的方法,其特征在于,包括:
在验证网站身份的合法性时,https任务响应于客户端发送的服务器证书请求,将服务器根级证书和/或服务器二级证书发送至客户端;
其中,服务器二级证书是根据服务器根级证书生成的级联证书,服务器二级证书的私钥签名可以通过服务器根级证书的公钥来验证;
客户端根据服务器根级证书,对执行https任务的服务器进行合法性验证;或
客户端根据服务器二级证书,对执行https任务的服务器进行合法性验证。
2.根据权利要求1所述的方法,其特征在于,还包括:
在与执行https任务的服务器协商对称加密密钥时,客户端根据服务器根级证书的公钥,处理从执行https任务的服务器获取的加密后对称密钥,以确定执行https任务的服务器主张的对称密钥;或
在与执行https任务的服务器协商对称加密密钥时,客户端根据服务器二级证书的公钥,处理从执行https任务的服务器获取的加密后对称密钥,以确定执行https任务的服务器主张的对称密钥。
3.根据权利要求1所述的方法,其特征在于,
执行https任务的服务器有多个,其中,任一个执行https任务的服务器对应于服务器根级证书,其他执行https任务的服务器分别对应一个服务器二级证书;
在检测到客户端连接的执行https任务的服务器故障时,将与客户端建立连接的https任务切换到另一台正常执行https任务的服务器上。
4.根据权利要求1所述的方法,其特征在于,
执行https任务的服务器有多个,其中,任一个执行https任务的服务器分别对应一个服务器二级证书,且该服务器二级证书与服务器根级证书为级联证书;
在检测到客户端连接的执行https任务的服务器故障时,将与客户端建立连接的https任务切换到另一台正常执行https任务的服务器上。
5.根据权利要求3或4所述的方法,其特征在于,
在与客户端建立连接https任务切换到另一台正常执行https任务的服务器后,
正常执行https任务的服务器将服务器根级证书和/或与其对应的服务器二级证书发送至客户端;
客户端根据服务器根级证书,对执行https任务的服务器进行合法性验证;或
客户端根据服务器二级证书,对执行https任务的服务器进行合法性验证。
6.根据权利要求3或4所述的方法,其...
【专利技术属性】
技术研发人员:王斌,
申请(专利权)人:航天信息股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。