客戶端證書認證方法�、服務(wù)器�、客戶端及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種客戶端證書認證方法�、服務(wù)器、客戶端及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展���,互聯(lián)網(wǎng)應(yīng)用中身份認證技術(shù)也更加多樣化。其中�����,數(shù)字證書認證是一種安全性能較高的身份認證技術(shù)����,數(shù)字證書認證通過數(shù)字證書(License)來完成客戶端身份的認證,License是由權(quán)威機構(gòu)一證書授權(quán)(Certificate Authority,簡稱“CA”)中心發(fā)行的�����。
[0003]具體地,數(shù)字證書認證過程如下:CA中心制作License,隨客戶端或產(chǎn)品一起發(fā)布���,并將License授權(quán)相關(guān)信息保存在數(shù)據(jù)庫中��;在服務(wù)使用前�����,服務(wù)使用者安裝客戶端及License ;客戶端向服務(wù)器發(fā)出認證請求�,該認證請求中包括License信息;服務(wù)器根據(jù)License信息向CA中心查詢驗證客戶端身份��;服務(wù)器將認證結(jié)果返回給客戶端��。
[0004]發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題:
[0005]如果CA中心的查詢服務(wù)不可用����、CA中心故障或者服務(wù)器與CA中心間網(wǎng)絡(luò)故障,會因為無法進行查詢驗證��,而影響客戶端認證�����,進而導(dǎo)致服務(wù)無法正常使用�。
【發(fā)明內(nèi)容】
[0006]為了解決現(xiàn)有技術(shù)中因CA中心的查詢服務(wù)不可用、CA中心故障或者服務(wù)器與CA中心間網(wǎng)絡(luò)故障���,而導(dǎo)致服務(wù)無法正常使用的問題���,本發(fā)明實施例提供了一種客戶端證書認證方法����、服務(wù)器����、客戶端及系統(tǒng)�。所述技術(shù)方案如下:
[0007]第一方面,本發(fā)明實施例提供了一種客戶端證書認證方法�,由服務(wù)器執(zhí)行,所述方法包括:
[0008]接收客戶端發(fā)送的認證請求�����,所述認證請求包括:認證參數(shù)���、服務(wù)過期時間�、客戶端當(dāng)前時間和第一驗證碼�,所述認證參數(shù)包括客戶名稱、序列號���、業(yè)務(wù)標(biāo)識����、型號和版本中的至少一個��,所述第一驗證碼是所述客戶端根據(jù)第一密鑰和所述客戶端當(dāng)前時間生成的,所述第一密鑰是由證書授權(quán)中心根據(jù)所述認證參數(shù)和所述服務(wù)過期時間生成的��;
[0009]獲取所述服務(wù)器收到所述認證請求時的系統(tǒng)時間���;
[0010]采用所述服務(wù)過期時間和所述認證參數(shù)生成第二密鑰�,生成所述第二密鑰采用的算法與所述證書授權(quán)中心生成所述第一密鑰的算法相同����;
[0011]采用所述第二密鑰和所述客戶端當(dāng)前時間生成第二驗證碼,生成所述第二驗證碼采用的算法與所述客戶端生成所述第一驗證碼的算法相同�;
[0012]比較所述第二驗證碼與所述第一驗證碼是否相同;
[0013]如果所述第二驗證碼與所述第一驗證碼相同��,根據(jù)所述第二密鑰和所述系統(tǒng)時間生成第三驗證碼���,生成所述第三驗證碼采用的算法與所述客戶端生成所述第一驗證碼的算法相同����;
[0014]比較所述第三驗證碼與所述第一驗證碼是否相同����;
[0015]如果所述第三驗證碼與所述第一驗證碼相同,判定所述客戶端認證結(jié)果為成功�����。
[0016]結(jié)合第一方面��,在第一方面的第一種可能的實現(xiàn)方式中�,所述根據(jù)所述第二密鑰和所述客戶端當(dāng)前時間生成第二驗證碼,包括:
[0017]判斷所述客戶端當(dāng)前時間所在的時間窗口 �����;
[0018]確定所述時間窗口內(nèi)的第一時間T �����;
[0019]采用code=genCode (Key, T)計算所述第二驗證碼,其中��,code為所述第二驗證碼��,所述genCode算法為驗證碼生成算法���,Key為所述第二密鑰���。
[0020]結(jié)合第一方面,在第一方面的第二種可能的實現(xiàn)方式中���,在所述根據(jù)所述服務(wù)過期時間和所述認證參數(shù)生成第二密鑰之前�,還包括:
[0021]確定出所述系統(tǒng)時間未超過所述服務(wù)過期時間。
[0022]結(jié)合第一方面���,在第一方面的第三種可能的實現(xiàn)方式中�,如果所述第三驗證碼與所述第一驗證碼不相同�,所述方法還包括:
[0023]以所述系統(tǒng)時間所在的時間窗口為基準(zhǔn),在預(yù)定范圍內(nèi)移動所述時間窗口 ����;
[0024]采用所述第二密鑰和移動后的時間窗口生成第四驗證碼;
[0025]比較所述第四驗證碼與所述第一驗證碼是否相同����;
[0026]如果所述第四驗證碼與所述第一驗證碼相同,判斷所述客戶端認證結(jié)果為成功��。
[0027]結(jié)合第一方面��,在第一方面的第四種可能的實現(xiàn)方式中�,所述方法還包括:
[0028]將認證結(jié)果返回給所述客戶端。
[0029]結(jié)合第一方面的第四種可能的實現(xiàn)方式�,在第一方面的第五種可能的實現(xiàn)方式中,當(dāng)所述認證結(jié)果為成功時�����,所述認證結(jié)果包括所述系統(tǒng)時間與所述客戶端當(dāng)前時間的時間差值。
[0030]第二方面�����,本發(fā)明實施例還提供了一種客戶端證書認證方法���,由客戶端執(zhí)行,所述方法包括:
[0031]獲取第一密鑰��,以及服務(wù)過期時間和認證參數(shù)��,所述認證參數(shù)包括客戶名稱��、序列號����、業(yè)務(wù)標(biāo)識、型號和版本中的至少一個�,所述第一密鑰是由證書授權(quán)中心根據(jù)所述認證參數(shù)和所述服務(wù)過期時間生成的;
[0032]采用所述第一密鑰和所述客戶端當(dāng)前時間生成第一驗證碼�;
[0033]生成認證請求,并將所述認證請求發(fā)送給服務(wù)器�,所述認證請求攜帶:所述認證參數(shù)�����、所述服務(wù)過期時間��、所述客戶端當(dāng)前時間和所述第一驗證碼���。
[0034]結(jié)合第二方面,在第二方面的第一種可能的實現(xiàn)方式中����,所述采用所述第一密鑰和所述客戶端當(dāng)前時間生成第一驗證碼,包括:
[0035]判斷所述客戶端當(dāng)前時間所在的時間窗口 �;
[0036]確定所述時間窗口內(nèi)的第一時間T ;
[0037]采用code=genCode (Key, T)計算所述第一驗證碼,其中�,code為所述第一驗證碼,所述genCode算法為驗證碼生成算法�,Key為所述第一密鑰。
[0038]結(jié)合第二方面����,在第二方面的第二種可能的實現(xiàn)方式中,所述將所述認證請求發(fā)送給服務(wù)器之后�����,所述方法還包括:
[0039]接收所述服務(wù)器發(fā)送的認證結(jié)果。
[0040]結(jié)合第二方面的第二種可能的實現(xiàn)方式��,在第二方面的第三種可能的實現(xiàn)方式中��,當(dāng)所述認證結(jié)果為成功時���,所述認證結(jié)果包括所述服務(wù)器接收到所述認證請求時的系統(tǒng)時間與所述客戶端當(dāng)前時間的時間差值����。
[0041]第三方面�,本發(fā)明實施例還提供了一種服務(wù)器���,所述服務(wù)器包括:
[0042]接收模塊���,用于接收客戶端發(fā)送的認證請求,所述認證請求包括:認證參數(shù)�����、服務(wù)過期時間����、客戶端當(dāng)前時間和第一驗證碼���,所述認證參數(shù)包括客戶名稱、序列號��、業(yè)務(wù)標(biāo)識�����、型號和版本中的至少一個�,所述第一驗證碼是所述客戶端根據(jù)第一密鑰和所述客戶端當(dāng)前時間生成的,所述第一密鑰是由證書授權(quán)中心根據(jù)所述認證參數(shù)和所述服務(wù)過期時間生成的�����;
[0043]獲取模塊�����,用于獲取所述服務(wù)器收到所述認證請求時的系統(tǒng)時間�;
[0044]處理模塊,用于采用所述服務(wù)過期時間和所述認證參數(shù)生成第二密鑰����,采用所述第二密鑰和所述客戶端當(dāng)前時間生成第二驗證碼,生成所述第二密鑰采用的算法與所述證書授權(quán)中心生成所述第一密鑰的算法相同,生成所述第二驗證碼采用的算法與所述客戶端生成所述第一驗證碼的算法相同����;
[0045]比較所述第二驗證碼與所述第一驗證碼是否相同,如果所述第二驗證碼與所述第一驗證碼相同�����,根據(jù)所述第二密鑰和所述系統(tǒng)時間生成第三驗證碼�,比較所述第三驗證碼與所述第一驗證碼是否相同,如果所述第三驗證碼與所述第一驗證碼相同����,判定所述客戶端認證結(jié)果為成功,生成所述第三驗證碼采用的算法與所述客戶端生成所述第一驗證碼的算法相同�����。
[0046]結(jié)合第三方面�,在第三方面的第一種可能的實現(xiàn)方式中����,所述處理模塊,包括:
[0047]判斷單元���,用于判斷所述客戶端當(dāng)前時間所在的時間窗口 ���;
[0048]查找單元����,用于確定所述時間窗口內(nèi)的第一時間T �;
[0049]計算單元,用于采用code=genCode (Key, T)計算所述第二驗證碼,
[0050]其中��,code為所述第二驗證碼��,所述genCode算法為驗證碼生成算法��,Key為所述第二密鑰�。
[0051]結(jié)合第三方面,在第三方面的第二種可能的實現(xiàn)方式中����,所述處理模塊,還用于在所述根據(jù)所述服務(wù)過期時間和所述認證參數(shù)生成第二密鑰之前���,確定出所述系統(tǒng)時間未超過所述服務(wù)過期時間�����。
[0052]結(jié)合第三方面���,在第三方面的第三種可能的實現(xiàn)方式中���,所述處理模塊,還用于當(dāng)所述第三驗證碼與所述第一驗證碼不相同時�����,以所述系統(tǒng)時間所在的時間窗口為基準(zhǔn)���,在預(yù)定范圍內(nèi)移動所述時間窗口 ����;��;采用所述第二密鑰和移動后的時間窗口生成第四驗證碼����;比較所述第四驗證碼與所述第一驗證碼是否相同����;如果所述第四驗證碼與所述第一驗證碼相同,判斷所述客戶端認證結(jié)果為成功。
[0053]結(jié)合第三方面�,在第三方面的第四種可能的實現(xiàn)方式中,所述服務(wù)器還包括:
[0054]發(fā)送模塊�����,用于將認證結(jié)果返回給所述客戶端����。
[0055]第四方面,本發(fā)明實施例還提供了一種客戶端�,所述客戶端包括:
[0056]獲取模塊,用于獲取第一密鑰��,以及服務(wù)過期時間和認證參數(shù)���,所述認證參數(shù)包括客戶名稱��、序列號����、業(yè)務(wù)標(biāo)識�����、型號和版本中的至少一個,所述第一密鑰是由證書授權(quán)中心根據(jù)所述認證參數(shù)和所述服務(wù)過期時間生成的�;
[0057]處理模塊,用于采用所述第一密鑰和所述客戶端當(dāng)前時間生成第一驗證碼���;
[0058]生成認證請求����,所述認證請求攜帶:所述認證參數(shù)���、所述服務(wù)過期時間����、所述客戶端當(dāng)前時間和所述第一驗證碼�;
[0059]發(fā)送模塊,用于將將所述認證請求發(fā)送給服務(wù)器��。
[0060]所述處理模塊�,包括:
[0061]結(jié)合第四方面,在第四方面的第一種可能的實現(xiàn)方式中�,判斷單元,用于判斷所述客戶端當(dāng)前時間所在的時間窗口����;
[0062]查找單元,用于確定所述時間窗口內(nèi)的第一時間T ��;
[0063]計算單元,用于采用code=genCode (Key, T)計算所述第一驗證碼,其中��,code為所述第一驗證碼����,所述genCode算法為驗證碼生成算法,Key為所述第一密鑰�����。
[0064]結(jié)合第四方面����,在第四方面的第二種可能的實現(xiàn)方式中,所述客戶端還包括:
[0065]接收模塊�,用于接收所述服務(wù)器發(fā)送的認證結(jié)果。
[0066]第五方面����,本發(fā)明實施例還提供了一種客戶端證書認證系統(tǒng),所述客戶端系統(tǒng):
[0067]證