客户端证书认证方法、服务器和客户端技术

技术编号:9383633 阅读:112 留言:0更新日期:2013-11-28 01:36
本发明专利技术提供一种客户端证书认证方法、服务器和客户端,包括:服务器接收客户端发送的证书链,所述证书链二级CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一MD5值,所述客户端临时证书中包含所述硬件特征码;所述服务器验证所述证书链是否合法,若所述证书链合法,则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值,比较所述第一MD5值与所述第二MD5值是否相同,若相同,则确定所述客户端身份有效。由于MD5值的唯一性,若客户端临时证书被盗,则第二MD5值必然与第一MD5值不同。从而使客户端不可仿冒,避免了现有技术中因数字证书被盗引起的身份误认。

【技术实现步骤摘要】
客户端证书认证方法、服务器和客户端
本专利技术涉及通信技术,尤其涉及一种客户端证书认证方法、服务器和客户端。
技术介绍
随着互联网技术的发展,身份认证问题成为互联网应用需要解决的问题之一。根据安全等级的不同要求和所配备的外部认证设施,用户可以通过多种方式进行身份认证,其中安全性较高的方式是数字证书认证。数字证书中包含公钥和证书持有者、颁发者的信息,证书持有者有对应的私钥和公钥,证书认证中心(CertificationAuthority,简称CA)证书为可以签发子证书的证书,顶级CA证书称为根证书,下面有二级CA证书等。客户端证书认证过程中,服务端如果拥有客户端证书的颁发者颁发的CA证书,那么就能验证客户端CA证书的有效期。传统的客户端证书认证方式,如果数字证书和密码被盗会引起泄密,给客户带来不可估量的损失。
技术实现思路
本专利技术提供一种客户端证书认证方法、服务器和客户端,通过将数字证书和客户端硬件特征绑定,防止数字证书被盗引起的泄密。本专利技术第一方面提供一种客户端证书认证方法,包括:服务器接收客户端发送的证书链,所述证书链包括二级证书认证中心CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值,所述客户端临时证书中包含所述硬件特征码;所述服务器验证所述证书链是否合法,若所述证书链合法,则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值,比较所述第一MD5值与所述第二MD5值是否相同,若相同,则确定所述客户端身份有效。如上所述的方法,所述客户端临时证书由所述二级CA证书签发。如上所述的方法,所述服务器接收客户端发送的证书链包括:所述服务器在安全套接字层SSL重协商的加密通道中接收所述客户端发送的所述证书链。本专利技术第二方面提供一种客户端证书认证方法,包括:客户端采集自身的硬件特征码;所述客户端向服务器发送证书链,所述证书链包括二级证书认证中心CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值,所述客户端临时证书中包含所述硬件特征码。如上所述的方法,所述客户端向服务器发送证书链之前,还包括:所述客户端向所述服务器申请所述二级CA证书;所述客户端通过所述二级CA证书签发所述客户端临时证书。如上所述的方法,所述客户端向服务器发送证书链,包括:所述客户端在安全套接字层SSL重协商的加密通道中向所述服务器发送所述证书链。本专利技术第三方面提供一种服务器,包括:接收模块,用于接收客户端发送的证书链,所述证书链包括二级证书认证中心CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值,所述客户端临时证书中包含所述硬件特征码;验证模块,用于验证所述证书链是否合法,若所述证书链合法,则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值,比较所述第一MD5值与所述第二MD5值是否相同,若相同,则确定所述客户端身份有效。如上所述的服务器,所述客户端临时证书由所述二级CA证书签发。如上所述的服务器,所述接收模块具体用于:在安全套接字层SSL重协商的加密通道中接收所述客户端发送的所述证书链。本专利技术第四方面提供一种客户端,包括:硬件特征码采集模块,用于采集所述客户端的硬件特征码;发送模块,用于向服务器发送证书链,所述证书链包括二级证书认证中心CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值,所述客户端临时证书中包含所述硬件特征码。如上所述的客户端,还包括:证书申请模块,用于向所述服务器申请所述二级CA证书;证书签发模块,用于通过所述二级CA证书签发所述客户端临时证书。如上所述的客户端,所述发送模块具体用于:在安全套接字层SSL重协商的加密通道中向所述服务器发送所述证书链。本专利技术提供的方法,通过将客户端证书和客户端的硬件特征码绑定,在认证过程中,服务器根据客户端临时证书中包含的硬件特征码生成对应的第二MD5值,比较第二MD5值与二级CA证书中包含的客户端的硬件特征码对应的第一MD5值,若第一MD5值和第二MD5值相同,则确认验证客户端身份的有效性。由于MD5值的唯一性,若客户端临时证书被盗,客户端的硬件特征码被修改,则生成的第二MD5值和第一MD5值不同,服务器确认客户端身份无效。从而使客户端不可仿冒,避免了现有技术中因数字证书被盗引起的身份误认。附图说明图1为本专利技术客户端证书认证方法实施例一的流程图;图2为本专利技术客户端证书认证方法实施例二的流程图;图3为本专利技术客户端证书认证方法实施例三的流程图;图4为本专利技术实施例四提供的服务器的结构示意图;图5为本专利技术实施例五提供的客户端的结构示意图。具体实施方式图1为本专利技术客户端证书认证方法实施例一的流程图,如图1所示,本实施例提供的方法包括以下步骤:步骤101、服务器接收客户端发送的证书链,证书链包括二级CA证书、客户端临时证书,二级CA证书中包含客户端的硬件特征码对应的第一MD5值,客户端临时证书中包含硬件特征码。其中,客户端临时证书由二级CA证书签发,二级CA证书由一级CA证书签发,当服务器需要验证客户端的身份时,客户端通过本地的二级CA证书签发一张客户端临时证书,该客户端临时证书的有效期很短,如1分钟或者30秒,当客户端身份验证完成后,该客户端临时证书就失效了,所以每次需要验证客户端的身份时,客户端都临时签发一张客户端临时证书用来验证。二级CA证书是由一级CA证书签发的,在客户端生成客户端临时证书之前,需要向一级CA证书申请二级CA证书,申请的该二级CA证书能够签发子证书。一级CA证书由客户端向服务器申请的,或者向电子商务授权机构申请的,由于一级CA证书可以保存在服务器,因此,在证书链中可以不包括一级CA证书。当服务器端不保存有一级CA证书时,需要在证书链携带一级CA证书。数字证书一般包括证书持有者的信息、证书颁发者的信息、证书持有者具有私钥和公钥,私钥和公钥一一对应,数字证书还包括证书的有效期,证书的属性信息,例如证书是否能够签发子证书。本实施例中,各证书除了包含上述信息外,客户端临时证书中包含客户端的硬件特征码,客户端的硬件特征码可以为硬盘的物理序列号,逻辑分区的序号,中央处理器(CentralProcessingUnit,简称CPU)序号,网卡的媒体接入控制地址(MediaAccessControl,简称MAC)地址,主板序号等,只要能够用来唯一标识该客户端的硬件特征都可以。二级CA证书中包含该硬件特征码对应的信息-摘要算法(Message-DigestAlgorithm5,简称MD5)值,MD5的作用是对大容量信息在用密钥进行数字签名之前,将信息压缩成定长的十六进制数字串,即对一段信息产生信息摘要,由于产生的MD5值是唯一的,只要这段信息做了任何改动,其MD5值多会发生变化,因此,利用MD5值的这种特点可以防止信息被篡改。步骤102、服务器验证证书链是否合法,若证书链合法,则根据客户端临时证书中所包含的硬件特征码生成对应的第二MD5值,比较第一MD5值与第二MD5值是否相同,若相同,则确定客户端身份有效。要验证一份证书的合法性,即验证该证书信息的摘要签名是否有本文档来自技高网...
客户端证书认证方法、服务器和客户端

【技术保护点】
一种客户端证书认证方法,其特征在于,包括:服务器接收客户端发送的证书链,所述证书链包括二级证书认证中心CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值,所述客户端临时证书中包含所述硬件特征码;所述服务器验证所述证书链是否合法,若所述证书链合法,则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值,比较所述第一MD5值与所述第二MD5值是否相同,若相同,则确定所述客户端身份有效。

【技术特征摘要】
1.一种客户端证书认证方法,其特征在于,包括:服务器接收客户端发送的证书链,所述证书链包括二级证书认证中心CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值,所述客户端临时证书中包含所述硬件特征码且由所述二级CA证书签发;所述服务器验证所述证书链是否合法,若所述证书链合法,则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值,比较所述第一MD5值与所述第二MD5值是否相同,若相同,则确定所述客户端身份有效。2.根据权利要求1所述的方法,其特征在于,所述服务器接收客户端发送的证书链包括:所述服务器在安全套接字层SSL重协商的加密通道中接收所述客户端发送的所述证书链。3.一种客户端证书认证方法,其特征在于,包括:客户端采集自身的硬件特征码;所述客户端向服务器发送证书链,所述证书链包括二级证书认证中心CA证书、客户端临时证书,所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值,所述客户端临时证书中包含所述硬件特征码且由所述二级CA证书签发。4.根据权利要求3所述的方法,其特征在于,所述客户端向服务器发送证书链之前,还包括:所述客户端向所述服务器申请所述二级CA证书;所述客户端通过所述二级CA证书签发所述客户端临时证书。5.根据权利要求3或4所述的方法,其特征在于,所述客户端向服务器发送证书链,包括:所述客户端在安全套接字层SSL重协商的加密通道中向所...

【专利技术属性】
技术研发人员:刘桂源
申请(专利权)人:北京星网锐捷网络技术有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1