客户端证书认证方法、服务器和客户端技术

本发明专利技术提供一种客户端证书认证方法、服务器和客户端，包括：服务器接收客户端发送的证书链，所述证书链二级CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一MD5值，所述客户端临时证书中包含所述硬件特征码；所述服务器验证所述证书链是否合法，若所述证书链合法，则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值，比较所述第一MD5值与所述第二MD5值是否相同，若相同，则确定所述客户端身份有效。由于MD5值的唯一性，若客户端临时证书被盗，则第二MD5值必然与第一MD5值不同。从而使客户端不可仿冒，避免了现有技术中因数字证书被盗引起的身份误认。

【技术实现步骤摘要】
客户端证书认证方法、服务器和客户端
本专利技术涉及通信技术，尤其涉及一种客户端证书认证方法、服务器和客户端。
技术介绍
随着互联网技术的发展，身份认证问题成为互联网应用需要解决的问题之一。根据安全等级的不同要求和所配备的外部认证设施，用户可以通过多种方式进行身份认证，其中安全性较高的方式是数字证书认证。数字证书中包含公钥和证书持有者、颁发者的信息，证书持有者有对应的私钥和公钥，证书认证中心（CertificationAuthority，简称CA）证书为可以签发子证书的证书，顶级CA证书称为根证书，下面有二级CA证书等。客户端证书认证过程中，服务端如果拥有客户端证书的颁发者颁发的CA证书，那么就能验证客户端CA证书的有效期。传统的客户端证书认证方式，如果数字证书和密码被盗会引起泄密，给客户带来不可估量的损失。
技术实现思路
本专利技术提供一种客户端证书认证方法、服务器和客户端，通过将数字证书和客户端硬件特征绑定，防止数字证书被盗引起的泄密。本专利技术第一方面提供一种客户端证书认证方法，包括：服务器接收客户端发送的证书链，所述证书链包括二级证书认证中心CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值，所述客户端临时证书中包含所述硬件特征码；所述服务器验证所述证书链是否合法，若所述证书链合法，则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值，比较所述第一MD5值与所述第二MD5值是否相同，若相同，则确定所述客户端身份有效。如上所述的方法，所述客户端临时证书由所述二级CA证书签发。如上所述的方法，所述服务器接收客户端发送的证书链包括：所述服务器在安全套接字层SSL重协商的加密通道中接收所述客户端发送的所述证书链。本专利技术第二方面提供一种客户端证书认证方法，包括：客户端采集自身的硬件特征码；所述客户端向服务器发送证书链，所述证书链包括二级证书认证中心CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值，所述客户端临时证书中包含所述硬件特征码。如上所述的方法，所述客户端向服务器发送证书链之前，还包括：所述客户端向所述服务器申请所述二级CA证书；所述客户端通过所述二级CA证书签发所述客户端临时证书。如上所述的方法，所述客户端向服务器发送证书链，包括：所述客户端在安全套接字层SSL重协商的加密通道中向所述服务器发送所述证书链。本专利技术第三方面提供一种服务器，包括：接收模块，用于接收客户端发送的证书链，所述证书链包括二级证书认证中心CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值，所述客户端临时证书中包含所述硬件特征码；验证模块，用于验证所述证书链是否合法，若所述证书链合法，则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值，比较所述第一MD5值与所述第二MD5值是否相同，若相同，则确定所述客户端身份有效。如上所述的服务器，所述客户端临时证书由所述二级CA证书签发。如上所述的服务器，所述接收模块具体用于：在安全套接字层SSL重协商的加密通道中接收所述客户端发送的所述证书链。本专利技术第四方面提供一种客户端，包括：硬件特征码采集模块，用于采集所述客户端的硬件特征码；发送模块，用于向服务器发送证书链，所述证书链包括二级证书认证中心CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值，所述客户端临时证书中包含所述硬件特征码。如上所述的客户端，还包括：证书申请模块，用于向所述服务器申请所述二级CA证书；证书签发模块，用于通过所述二级CA证书签发所述客户端临时证书。如上所述的客户端，所述发送模块具体用于：在安全套接字层SSL重协商的加密通道中向所述服务器发送所述证书链。本专利技术提供的方法，通过将客户端证书和客户端的硬件特征码绑定，在认证过程中，服务器根据客户端临时证书中包含的硬件特征码生成对应的第二MD5值，比较第二MD5值与二级CA证书中包含的客户端的硬件特征码对应的第一MD5值，若第一MD5值和第二MD5值相同，则确认验证客户端身份的有效性。由于MD5值的唯一性，若客户端临时证书被盗，客户端的硬件特征码被修改，则生成的第二MD5值和第一MD5值不同，服务器确认客户端身份无效。从而使客户端不可仿冒，避免了现有技术中因数字证书被盗引起的身份误认。附图说明图1为本专利技术客户端证书认证方法实施例一的流程图；图2为本专利技术客户端证书认证方法实施例二的流程图；图3为本专利技术客户端证书认证方法实施例三的流程图；图4为本专利技术实施例四提供的服务器的结构示意图；图5为本专利技术实施例五提供的客户端的结构示意图。具体实施方式图1为本专利技术客户端证书认证方法实施例一的流程图，如图1所示，本实施例提供的方法包括以下步骤：步骤101、服务器接收客户端发送的证书链，证书链包括二级CA证书、客户端临时证书，二级CA证书中包含客户端的硬件特征码对应的第一MD5值，客户端临时证书中包含硬件特征码。其中，客户端临时证书由二级CA证书签发，二级CA证书由一级CA证书签发，当服务器需要验证客户端的身份时，客户端通过本地的二级CA证书签发一张客户端临时证书，该客户端临时证书的有效期很短，如1分钟或者30秒，当客户端身份验证完成后，该客户端临时证书就失效了，所以每次需要验证客户端的身份时，客户端都临时签发一张客户端临时证书用来验证。二级CA证书是由一级CA证书签发的，在客户端生成客户端临时证书之前，需要向一级CA证书申请二级CA证书，申请的该二级CA证书能够签发子证书。一级CA证书由客户端向服务器申请的，或者向电子商务授权机构申请的，由于一级CA证书可以保存在服务器，因此，在证书链中可以不包括一级CA证书。当服务器端不保存有一级CA证书时，需要在证书链携带一级CA证书。数字证书一般包括证书持有者的信息、证书颁发者的信息、证书持有者具有私钥和公钥，私钥和公钥一一对应，数字证书还包括证书的有效期，证书的属性信息，例如证书是否能够签发子证书。本实施例中，各证书除了包含上述信息外，客户端临时证书中包含客户端的硬件特征码，客户端的硬件特征码可以为硬盘的物理序列号，逻辑分区的序号，中央处理器（CentralProcessingUnit，简称CPU）序号，网卡的媒体接入控制地址（MediaAccessControl，简称MAC）地址，主板序号等，只要能够用来唯一标识该客户端的硬件特征都可以。二级CA证书中包含该硬件特征码对应的信息-摘要算法（Message-DigestAlgorithm5，简称MD5）值，MD5的作用是对大容量信息在用密钥进行数字签名之前，将信息压缩成定长的十六进制数字串，即对一段信息产生信息摘要，由于产生的MD5值是唯一的，只要这段信息做了任何改动，其MD5值多会发生变化，因此，利用MD5值的这种特点可以防止信息被篡改。步骤102、服务器验证证书链是否合法，若证书链合法，则根据客户端临时证书中所包含的硬件特征码生成对应的第二MD5值，比较第一MD5值与第二MD5值是否相同，若相同，则确定客户端身份有效。要验证一份证书的合法性，即验证该证书信息的摘要签名是否有本文档来自技高网...

【技术保护点】
一种客户端证书认证方法，其特征在于，包括：服务器接收客户端发送的证书链，所述证书链包括二级证书认证中心CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值，所述客户端临时证书中包含所述硬件特征码；所述服务器验证所述证书链是否合法，若所述证书链合法，则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值，比较所述第一MD5值与所述第二MD5值是否相同，若相同，则确定所述客户端身份有效。

【技术特征摘要】
1.一种客户端证书认证方法，其特征在于，包括：服务器接收客户端发送的证书链，所述证书链包括二级证书认证中心CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值，所述客户端临时证书中包含所述硬件特征码且由所述二级CA证书签发；所述服务器验证所述证书链是否合法，若所述证书链合法，则根据所述客户端临时证书中所包含的硬件特征码生成对应的第二MD5值，比较所述第一MD5值与所述第二MD5值是否相同，若相同，则确定所述客户端身份有效。2.根据权利要求1所述的方法，其特征在于，所述服务器接收客户端发送的证书链包括：所述服务器在安全套接字层SSL重协商的加密通道中接收所述客户端发送的所述证书链。3.一种客户端证书认证方法，其特征在于，包括：客户端采集自身的硬件特征码；所述客户端向服务器发送证书链，所述证书链包括二级证书认证中心CA证书、客户端临时证书，所述二级CA证书中包含所述客户端的硬件特征码对应的第一信息摘要算法MD5值，所述客户端临时证书中包含所述硬件特征码且由所述二级CA证书签发。4.根据权利要求3所述的方法，其特征在于，所述客户端向服务器发送证书链之前，还包括：所述客户端向所述服务器申请所述二级CA证书；所述客户端通过所述二级CA证书签发所述客户端临时证书。5.根据权利要求3或4所述的方法，其特征在于，所述客户端向服务器发送证书链，包括：所述客户端在安全套接字层SSL重协商的加密通道中向所...

【专利技术属性】
技术研发人员：刘桂源，
申请(专利权)人：北京星网锐捷网络技术有限公司，
类型：发明
国别省市：