本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于數(shù)字證書實現(xiàn)客戶端和服務(wù)器端進(jìn)行雙向認(rèn)證的方法。

背景技術(shù)：

隨著計算機網(wǎng)絡(luò)使用越來越普及，網(wǎng)絡(luò)上的應(yīng)用越來越多，網(wǎng)絡(luò)安全問題已經(jīng)越來越被人們重視，網(wǎng)絡(luò)中應(yīng)用的身份認(rèn)證問題則是最被重視的問題之一，相對于傳統(tǒng)的用戶名密碼方式的身份認(rèn)證方式，基于數(shù)字證書的簽名驗簽技術(shù)，具有防篡改、防身份抵賴等特性，利用此技術(shù)實現(xiàn)的客戶端和服務(wù)端雙向認(rèn)證方法可以很好的解決網(wǎng)絡(luò)中應(yīng)用的身份認(rèn)證問題。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于：提供一種基于數(shù)字證書實現(xiàn)客戶端和服務(wù)器進(jìn)行雙向認(rèn)證的方法。

本發(fā)明所解決的技術(shù)問題可以采用以下技術(shù)方案來實現(xiàn)：

基于數(shù)字證書實現(xiàn)客戶端和服務(wù)器進(jìn)行雙向認(rèn)證的方法，包括以下步驟：

1)客戶端向服務(wù)器端發(fā)起請求；

2)服務(wù)器端產(chǎn)生隨機數(shù)發(fā)送至客戶端；

3)客戶端對服務(wù)器端產(chǎn)生的隨機數(shù)進(jìn)行簽名并產(chǎn)生隨機數(shù)，并將簽名結(jié)果、客戶端產(chǎn)生的隨機數(shù)、客戶端簽名證書提交至服務(wù)器端；

4)服務(wù)器端對客戶端的簽名結(jié)果和客戶端簽名證書進(jìn)行驗證，如果驗證成功，則對客戶端產(chǎn)生的隨機數(shù)進(jìn)行簽名，并將簽名結(jié)果、服務(wù)器端簽名證 書發(fā)送至客戶端；

5)客戶端對服務(wù)器端的簽名和服務(wù)器端簽名證書進(jìn)行驗證，并將驗證結(jié)果發(fā)送至服務(wù)器端；

6)服務(wù)器端根據(jù)客戶端的驗證結(jié)果向客戶端發(fā)送認(rèn)證通過或認(rèn)證不通過消息。

在本發(fā)明的一個優(yōu)選實施例中，所述步驟2)包括以下步驟：

2.1)服務(wù)器端產(chǎn)生隨機數(shù)，并將隨機數(shù)存儲在客戶端與服務(wù)器端的連接會話中；

2.3)將服務(wù)器端產(chǎn)生的隨機數(shù)隨著連接會話發(fā)送至客戶端。

在本發(fā)明的一個優(yōu)選實施例中，所述步驟3)包括以下步驟：

3.1)客戶端獲取服務(wù)器端產(chǎn)生的隨機數(shù)；

3.2)客戶端產(chǎn)生隨機數(shù)，并保存在客戶端，以便后續(xù)可以取出該隨機數(shù)；

3.3)客戶端調(diào)用內(nèi)置有客戶端簽名證書的智能密碼鑰匙對服務(wù)器端產(chǎn)生的隨機數(shù)進(jìn)行簽名；

3.4)客戶端獲取該智能密碼鑰匙內(nèi)的客戶端簽名證書；

3.5)客戶端將其產(chǎn)生的隨機數(shù)、簽名結(jié)果及客戶端簽名證書提交至服務(wù)器端。

在本發(fā)明的一個優(yōu)選實施例中，所述步驟4)包括以下步驟：

4.1)服務(wù)器端獲取客戶端產(chǎn)生的隨機數(shù)、客戶端簽名結(jié)果及客戶端簽名證書；

4.2)服務(wù)器端對客戶端簽名結(jié)果和客戶端簽名證書進(jìn)行驗證，如果驗證失敗，則向客戶端發(fā)送認(rèn)證不通過消息，如果驗證成功，將客戶端簽名證書作為登錄信息保存在客戶端與服務(wù)器端的連接會話中，并對客戶端產(chǎn)生的隨機數(shù)進(jìn)行簽名，并將服務(wù)器端簽名結(jié)果、服務(wù)器端簽名證書發(fā)送至客戶端。

在本發(fā)明的一個優(yōu)選實施例中，在所述步驟4.2)中，所述服務(wù)端對客戶 端簽名結(jié)果進(jìn)行驗證是指：驗證使用客戶端簽名證書解密客戶端簽名結(jié)果所得到的隨機數(shù)是否與保存在客戶端與服務(wù)器端的連接會話中的服務(wù)器產(chǎn)生的隨機數(shù)一致，所述服務(wù)端對客戶端簽名證書進(jìn)行驗證是指：驗證客戶端簽名證書的證書鏈和有效期是否符合要求。

在本發(fā)明的一個優(yōu)選實施例中，所述步驟5)包括以下步驟：

5.1)客戶端接收服務(wù)器端發(fā)送過來的消息；

5.2)若服務(wù)器端驗證失敗，則顯示認(rèn)證不通過消息；

5.3)若服務(wù)器端驗證成功，則對服務(wù)器端簽名結(jié)果和服務(wù)器簽名證書進(jìn)行驗證；

5.4)將客戶端對服務(wù)器端的簽名驗證結(jié)果提交至服務(wù)器端。

在本發(fā)明的一個優(yōu)選實施例中，在所述步驟5.3)中，所述客戶端對服務(wù)器端簽名結(jié)果進(jìn)行驗證是指：驗證使用服務(wù)器端簽名證書解密服務(wù)器端簽名結(jié)果所得到的隨機數(shù)是否與客戶端產(chǎn)生的隨機數(shù)一致；所述客戶端對服務(wù)器簽名證書進(jìn)行驗證是指：驗證服務(wù)器端簽名證書的證書鏈和有效期是否符合要求。

在本發(fā)明的一個優(yōu)選實施例中，所述步驟6)包括以下步驟：

6.1)服務(wù)器端接收客戶端的簽名驗證結(jié)果；

6.2)如果客戶端驗證服務(wù)器端的簽名失敗，則清空步驟4.2)中保存在客戶端與服務(wù)器端的連接會話中的客戶端簽名證書，并向客戶端發(fā)送認(rèn)證不通過消息；

6.3)如果客戶端驗證服務(wù)器端的簽名成功，則向客戶端發(fā)送認(rèn)證通過消息。

由于采用了如上的技術(shù)方案，本發(fā)明的有益效果在于：本發(fā)明基于數(shù)字證書的簽名驗簽技術(shù)，實現(xiàn)客戶端和服務(wù)器端雙向認(rèn)證，有效地解決網(wǎng)絡(luò)中應(yīng)用的身份認(rèn)證問題。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是客戶端的框架示意圖。

圖2是客戶端和服務(wù)器端進(jìn)行雙向認(rèn)證的流程圖。

具體實施方式

為了使本發(fā)明實現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本發(fā)明。

本發(fā)明的基于數(shù)字證書實現(xiàn)客戶端和服務(wù)器進(jìn)行雙向認(rèn)證的方法，包括以下步驟：

1)客戶端向服務(wù)器端發(fā)起請求；

2)服務(wù)器端產(chǎn)生隨機數(shù)發(fā)送至客戶端，具體地，該步驟2)包括以下步驟：

2.1)服務(wù)器端產(chǎn)生隨機數(shù)，并將隨機數(shù)存儲在客戶端與服務(wù)器端的連接會話中；

2.3)將服務(wù)器端產(chǎn)生的隨機數(shù)隨著連接會話發(fā)送至客戶端；

3)客戶端對服務(wù)器端產(chǎn)生的隨機數(shù)進(jìn)行簽名并產(chǎn)生隨機數(shù)，并將簽名結(jié)果、客戶端產(chǎn)生的隨機數(shù)、客戶端簽名證書提交至服務(wù)器端；具體地，該步驟3)包括以下步驟：

3.1)客戶端獲取服務(wù)器端產(chǎn)生的隨機數(shù)；

3.2)客戶端產(chǎn)生隨機數(shù)，并保存在客戶端，以便后續(xù)可以取出該隨機數(shù)；

3.3)客戶端調(diào)用內(nèi)置有客戶端簽名證書的智能密碼鑰匙對服務(wù)器端產(chǎn)生的隨機數(shù)進(jìn)行簽名；

3.4)客戶端獲取該智能密碼鑰匙內(nèi)的客戶端簽名證書；

3.5)客戶端將其產(chǎn)生的隨機數(shù)、簽名結(jié)果及客戶端簽名證書提交至服務(wù)器端；

4)服務(wù)器端對客戶端的簽名結(jié)果和客戶端簽名證書進(jìn)行驗證，如果驗證成功，則對客戶端產(chǎn)生的隨機數(shù)進(jìn)行簽名，并將簽名結(jié)果、服務(wù)器端簽名證書發(fā)送至客戶端；具體地，該步驟4包括以下步驟：

4.1)服務(wù)器端獲取客戶端產(chǎn)生的隨機數(shù)、客戶端簽名結(jié)果及客戶端簽名證書；

4.2)服務(wù)器端對客戶端簽名結(jié)果和客戶端簽名證書進(jìn)行驗證，其中，所述服務(wù)端對客戶端簽名結(jié)果進(jìn)行驗證是指：驗證使用客戶端簽名證書解密客戶端簽名結(jié)果所得到的隨機數(shù)是否與保存在客戶端與服務(wù)器端的連接會話中的服務(wù)器產(chǎn)生的隨機數(shù)一致；服務(wù)端對客戶端簽名證書進(jìn)行驗證是指：驗證客戶端簽名證書的證書鏈和有效期是否符合要求；如果驗證失敗，則向客戶端發(fā)送認(rèn)證不通過消息，如果驗證成功，將客戶端簽名證書作為登錄信息保存在客戶端與服務(wù)器端的連接會話中，并對客戶端產(chǎn)生的隨機數(shù)進(jìn)行簽名，并將服務(wù)器端簽名結(jié)果、服務(wù)器端簽名證書發(fā)送至客戶端；

5)客戶端對服務(wù)器端的簽名和服務(wù)器端簽名證書進(jìn)行驗證，并將驗證結(jié)果發(fā)送至服務(wù)器端；具體地，該步驟5)包括以下步驟：

5.1)客戶端接收服務(wù)器端發(fā)送過來的消息；

5.2)若服務(wù)器端驗證失敗，則顯示認(rèn)證不通過消息；

5.3)若服務(wù)器端驗證成功，則對服務(wù)器端簽名結(jié)果和服務(wù)器簽名證書進(jìn)行驗證，其中，客戶端對服務(wù)器端簽名結(jié)果進(jìn)行驗證是指：驗證使用服務(wù)器簽名證書解密服務(wù)器端簽名結(jié)果所得到的隨機數(shù)是否與客戶端產(chǎn)生的隨機數(shù) 一致；客戶端對服務(wù)器簽名證書進(jìn)行驗證是指：驗證服務(wù)器端簽名證書的證書鏈和有效期是否符合要求。

5.4)將客戶端對服務(wù)器端的簽名驗證結(jié)果提交至服務(wù)器端。

6)服務(wù)器端根據(jù)客戶端的驗證結(jié)果向客戶端發(fā)送認(rèn)證通過或認(rèn)證不通過消息；具體地，該步驟6)包括以下步驟：

6.1)服務(wù)器端接收客戶端的簽名驗證結(jié)果；

6.2)如果客戶端驗證服務(wù)器端的簽名失敗，則清空步驟4.2)中保存在客戶端與服務(wù)器端的連接會話中的客戶端簽名證書，并向客戶端發(fā)送認(rèn)證不通過消息；

6.3)如果客戶端驗證服務(wù)器端的簽名成功，則向客戶端發(fā)送認(rèn)證通過消息。

以下示出本發(fā)明的基于數(shù)字證書實現(xiàn)客戶端和服務(wù)器進(jìn)行雙向認(rèn)證的方法的實施例，該實例描述用戶瀏覽器訪問一個應(yīng)用(alice)時的詳細(xì)通訊和認(rèn)證步驟，該實例的實施環(huán)境主要由以下主體構(gòu)成，參見圖1和圖2：

瀏覽器，如internetexplorer，firefox等；

客戶端：安裝有智能密碼鑰匙的驅(qū)動，并且瀏覽器裝有插件來調(diào)用智能密碼鑰匙進(jìn)行簽名和獲取證書的操作；

服務(wù)器端：應(yīng)用alice。

參見圖2，示出了本發(fā)明步驟1)至6)的過程，即瀏覽器訪問應(yīng)用alice，其具體過程如下：

1、瀏覽器發(fā)起對應(yīng)用alice的訪問；

2、應(yīng)用alice收到請求判斷會話中是否有該客戶端的認(rèn)證信息，產(chǎn)生隨機數(shù)并保存到session中，并重定向到前端頁面，返回瀏覽器；

3、客戶端調(diào)用智能密碼鑰匙對應(yīng)用alice產(chǎn)生的隨機數(shù)進(jìn)行簽名并產(chǎn)生客戶端隨機數(shù)，將簽名結(jié)果、客戶端產(chǎn)生的隨機數(shù)、客戶端簽名證書ajax提 交到服務(wù)器端；

4、服務(wù)器端對瀏覽器端的簽名和簽名證書進(jìn)行驗證，如果驗證失敗，將驗證失敗的消息寫到客戶端；如果驗證成功，將客戶端簽名證書保存在session中作為用戶信息，并對客戶端產(chǎn)生的隨機數(shù)進(jìn)行簽名，將簽名結(jié)果、服務(wù)器端簽名證書寫到到客戶端；

5、客戶端解析服務(wù)器端的響應(yīng)，如果服務(wù)器端驗證客戶端簽名和客戶端簽名證書失敗，則提示用戶認(rèn)證失敗。否則，獲取服務(wù)器端響應(yīng)中的服務(wù)器端簽名證書和服務(wù)器端簽名結(jié)果，并調(diào)用瀏覽器插件對簽名結(jié)果進(jìn)行驗證，其中：

6、服務(wù)器端判斷客戶端驗證服務(wù)器簽名是否正確，驗證失敗，清空session中的用戶信息，并重定向到登錄失敗頁面，驗證成功則重定向到登錄成功頁面。

以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點。本行業(yè)的技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實施例的限制，上述實施例和說明書中描述的只是說明本發(fā)明的原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。