的算法與客戶端生成第一驗(yàn)證碼的算法相同。
[0166]本發(fā)明實(shí)施例根據(jù)第二密鑰和客戶端當(dāng)前時(shí)間生成第二驗(yàn)證碼���,由于生成第二密鑰采用的算法與CA中心生成第一密鑰的算法相同���,因此當(dāng)?shù)诙?yàn)證碼與第一驗(yàn)證碼相同時(shí)�,說明客戶端上傳的認(rèn)證參數(shù)與CA中心的相同�����;根據(jù)第二密鑰和系統(tǒng)時(shí)間生成第三驗(yàn)證碼���,由于生成第二驗(yàn)證碼采用的算法與客戶端生成第一驗(yàn)證碼的算法相同,因此當(dāng)?shù)谌?yàn)證碼與第一驗(yàn)證碼相同時(shí)���,說明客戶端上傳的客戶端當(dāng)前時(shí)間與系統(tǒng)時(shí)間的相同����,當(dāng)客戶端上傳的認(rèn)證參數(shù)與CA中心的相同且客戶端當(dāng)前時(shí)間與系統(tǒng)時(shí)間相同時(shí)��,由此可以看出���,在服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證的過程中�,并不需要向CA中心獲取服務(wù)器的認(rèn)證參數(shù)����,而是根據(jù)計(jì)算判斷客戶端是否合法,所以即使CA中心的查詢服務(wù)不可用�、CA中心故障或者服務(wù)器與CA中心間網(wǎng)絡(luò)故障時(shí)���,服務(wù)器仍然可以繼續(xù)對(duì)客戶端進(jìn)行認(rèn)證,進(jìn)而不會(huì)影響客戶端的服務(wù)使用�����,保證服務(wù)可以正常使用�����。
[0167]實(shí)施例六
[0168]本發(fā)明實(shí)施例提供了一種服務(wù)器���,參見圖7��,該服務(wù)器包括:
[0169]接收模塊601����,用于接收客戶端發(fā)送的認(rèn)證請(qǐng)求���,該認(rèn)證請(qǐng)求包括:認(rèn)證參數(shù)���、月艮務(wù)過期時(shí)間、客戶端當(dāng)前時(shí)間和第一驗(yàn)證碼并獲取系統(tǒng)時(shí)間�,認(rèn)證參數(shù)包括客戶名稱��、序列號(hào)��、業(yè)務(wù)標(biāo)識(shí)��、型號(hào)和版本中的至少一個(gè)。
[0170]其中�����,第一驗(yàn)證碼是客戶端在請(qǐng)求認(rèn)證前根據(jù)第一密鑰和客戶端當(dāng)前時(shí)間生成的���,其中第一密鑰是由CA中心根據(jù)認(rèn)證參數(shù)和服務(wù)過期時(shí)間生成的���,第一密鑰隨著License配置到客戶端,且第一密鑰是具有有效期限制的��,該有限期也是客戶端服務(wù)過期時(shí)間��,如最大有效期不超過24小時(shí)�����,所以在第一密鑰失效之前����,客戶端需要及時(shí)進(jìn)行認(rèn)證����。
[0171]獲取模塊602�,用于獲取服務(wù)器收到認(rèn)證請(qǐng)求時(shí)的系統(tǒng)時(shí)間。
[0172]處理模塊603��,用于根據(jù)服務(wù)過期時(shí)間和認(rèn)證參數(shù)生成第二密鑰����,根據(jù)第二密鑰和客戶端當(dāng)前時(shí)間生成第二驗(yàn)證碼;
[0173]比較第二驗(yàn)證碼與第一驗(yàn)證碼是否相同��,如果第二驗(yàn)證碼與第一驗(yàn)證碼相同���,根據(jù)第二密鑰和系統(tǒng)時(shí)間生成第三驗(yàn)證碼�,比較第三驗(yàn)證碼與第一驗(yàn)證碼是否相同��,如果第三驗(yàn)證碼與第一驗(yàn)證碼相同�,判定客戶端認(rèn)證結(jié)果為成功。
[0174]需要說明的是����,這里生成第二密鑰采用的算法與CA中心生成第一密鑰的算法相同��;生成第二驗(yàn)證碼采用的算法與客戶端生成第一驗(yàn)證碼的算法相同�;生成第三驗(yàn)證碼采用的算法與客戶端生成第一驗(yàn)證碼的算法相同�����。
[0175]一方面���,由于生成第二密鑰采用的算法與CA中心生成第一密鑰的算法相同,因此當(dāng)?shù)诙?yàn)證碼與第一驗(yàn)證碼相同時(shí)�����,說明客戶端上傳的認(rèn)證參數(shù)與CA中心的相同����。另一方面,由于生成第三驗(yàn)證碼采用的算法與客戶端生成第一驗(yàn)證碼的算法相同�����,因此當(dāng)?shù)谌?yàn)證碼與第一驗(yàn)證碼相同時(shí)�����,說明客戶端上傳的客戶端當(dāng)前時(shí)間與系統(tǒng)時(shí)間的相同,此時(shí)判定客戶端認(rèn)證結(jié)果為成功��。
[0176]在本實(shí)施例中��,處理模塊603采用下述方式計(jì)算第二密鑰:
[0177]采用Key=genKey (pi, p2..., pn, expire)計(jì)算第二密鑰,
[0178]其中���,Key為第二密鑰��,genKey為密鑰生成算法�,pi?pn為認(rèn)證參數(shù)��,expire為服務(wù)過期時(shí)間����。
[0179]在本實(shí)施例中,處理模塊603包括:
[0180]判斷單元�����,用于判斷客戶端當(dāng)前時(shí)間所在的時(shí)間窗口�,時(shí)間窗口為一個(gè)時(shí)間段。
[0181]查找單元��,用于確定時(shí)間窗口內(nèi)的第一時(shí)間T。該第一時(shí)間用于計(jì)算第二驗(yàn)證碼�����,且該第一時(shí)間可以是事先設(shè)定的��,在一個(gè)時(shí)間窗口內(nèi)第一時(shí)間可以是該時(shí)間窗口的起始時(shí)間�����、結(jié)束時(shí)間或任意設(shè)定時(shí)間點(diǎn)��。
[0182]計(jì)算單元,用于采用code=genCode (Key, T)計(jì)算第二驗(yàn)證碼���。
[0183]其中,code為第二驗(yàn)證碼��,genCode為驗(yàn)證碼生成算法���,Key為第二密鑰�����。
[0184]需要說明的是�,對(duì)于時(shí)間窗口的劃分,可以事先在客戶端和服務(wù)器中預(yù)設(shè)�,以保證時(shí)間窗口劃分的一致性。
[0185]進(jìn)一步地��,處理模塊603��,還用于在根據(jù)服務(wù)過期時(shí)間和認(rèn)證參數(shù)生成第二密鑰之前����,確定出系統(tǒng)時(shí)間未超過服務(wù)過期時(shí)間。
[0186]當(dāng)系統(tǒng)時(shí)間未超過服務(wù)過期時(shí)間時(shí)�����,根據(jù)服務(wù)過期時(shí)間和認(rèn)證參數(shù)生成第二密鑰����。
[0187]需要說明的是,若處理模塊603確定出系統(tǒng)時(shí)間超過服務(wù)過期時(shí)間���,則判斷客戶端認(rèn)證結(jié)果為失敗����,同時(shí)將認(rèn)證結(jié)果返回客戶端�����。
[0188]服務(wù)器通過比較服務(wù)過期時(shí)間是否已超過系統(tǒng)時(shí)間,來判斷客戶端服務(wù)是否過期�,當(dāng)系統(tǒng)時(shí)間超過服務(wù)過期時(shí)間時(shí),判斷客戶端認(rèn)證結(jié)果為失敗���,但這種方式只能判斷出如實(shí)上報(bào)服務(wù)過期時(shí)間的那些客戶端是否過期��,對(duì)于沒有如實(shí)上報(bào)服務(wù)過期時(shí)間的客戶端需要通過后續(xù)步驟繼續(xù)判斷�。這種方式可以提高認(rèn)證效率�。
[0189]具體地,處理模塊603�����,還用于當(dāng)?shù)谌?yàn)證碼與第一驗(yàn)證碼不相同時(shí)���,以系統(tǒng)時(shí)間所在的時(shí)間窗口為基準(zhǔn),在預(yù)定范圍內(nèi)移動(dòng)時(shí)間窗口 �����;采用第二密鑰和移動(dòng)后的時(shí)間窗口生成第四驗(yàn)證碼��;比較第四驗(yàn)證碼與第一驗(yàn)證碼是否相同,如果第四驗(yàn)證碼與第一驗(yàn)證碼相同���,判定客戶端認(rèn)證結(jié)果為成功���。
[0190]另外,如果計(jì)算出的一個(gè)第四驗(yàn)證碼與第一驗(yàn)證碼不同���,重新移動(dòng)時(shí)間窗口��,計(jì)算第四驗(yàn)證碼����,直到移動(dòng)出的所有時(shí)間窗口計(jì)算出的第四驗(yàn)證碼與第一驗(yàn)證碼均不相同��,此時(shí)判斷客戶端認(rèn)證結(jié)果為失敗��。
[0191]時(shí)間窗口是指一個(gè)時(shí)間段���,例如從10點(diǎn)到10點(diǎn)零5分���,我們稱之為一個(gè)長度為5分鐘的時(shí)間窗口。從步驟204中的公式可以看出����,對(duì)于一個(gè)時(shí)間窗口而言����,屬于該時(shí)間窗口內(nèi)的所有時(shí)間點(diǎn)計(jì)算第二驗(yàn)證碼時(shí)����,如果Key相同,則計(jì)算結(jié)果相同����。
[0192]在這個(gè)時(shí)間窗口中的任意時(shí)間,在Key相同時(shí),genCode生成的驗(yàn)證碼相同����。
[0193]由于客戶端與服務(wù)器的時(shí)間不一致,可能先于服務(wù)器����,或者晚于服務(wù)器;為了容錯(cuò)��,我們可以通過移動(dòng)時(shí)間窗口來解決這個(gè)問題����。當(dāng)客戶端當(dāng)前時(shí)間和服務(wù)器時(shí)間之間差異不大時(shí),仍可以通過認(rèn)證��。時(shí)間窗口可以移動(dòng)的大小��,取決于系統(tǒng)預(yù)設(shè)的對(duì)時(shí)間偏差的容忍度����。如果客戶端當(dāng)前時(shí)間偏離系統(tǒng)時(shí)間超過預(yù)定,服務(wù)器將拒絕提供服務(wù)���。移動(dòng)時(shí)間窗口是為了容錯(cuò)���。例如,客戶端當(dāng)前時(shí)間為10點(diǎn)24分���,系統(tǒng)時(shí)間為10點(diǎn)32分(屬于10點(diǎn)30分到10點(diǎn)35分這個(gè)時(shí)間窗口)���,如果允許向前或者向后移動(dòng)3個(gè)時(shí)間窗口(即從10點(diǎn)15分到10點(diǎn)50分),最終在10點(diǎn)20分到10點(diǎn)25分這個(gè)窗口�����,計(jì)算出相同的第三驗(yàn)證碼與第一驗(yàn)證碼相同��,則認(rèn)證通過。
[0194]進(jìn)一步地����,該服務(wù)器還包括發(fā)送模塊604,用于將認(rèn)證結(jié)果返回給客戶端��。
[0195]進(jìn)一步地����,在認(rèn)證成功時(shí),認(rèn)證結(jié)果包括系統(tǒng)時(shí)間與客戶端當(dāng)前時(shí)間的時(shí)間差值��。使得客戶端在下次請(qǐng)求時(shí)�,可以根據(jù)這個(gè)時(shí)間差值調(diào)整上報(bào)的客戶端當(dāng)前時(shí)間,這樣服務(wù)器就不需要通過移動(dòng)時(shí)間窗口來認(rèn)證�����,從而縮短認(rèn)證的時(shí)間����。
[0196]進(jìn)一步地,在認(rèn)證失敗時(shí)����,認(rèn)證結(jié)果還可以通過返回不同的錯(cuò)誤碼來告知客戶端認(rèn)證失敗的原因���。例如�,錯(cuò)誤碼0x0006019A表示服務(wù)過期,即系統(tǒng)時(shí)間超過過期時(shí)間����;錯(cuò)誤碼表示信息錯(cuò)誤,即客戶端上傳給服務(wù)器的認(rèn)證信息與上傳給CA中心的認(rèn)證信息不同����;錯(cuò)誤碼0x000701A0表示時(shí)間錯(cuò)誤,即客戶端當(dāng)前時(shí)間與系統(tǒng)時(shí)間不同或超過預(yù)設(shè)的偏差�。
[0197]本發(fā)明實(shí)施例根據(jù)第二密鑰和客戶端當(dāng)前時(shí)間生成第二驗(yàn)證碼,由于生成第二密鑰采用的算法與CA中心生成第一密鑰的算法相同�,因此當(dāng)?shù)诙?yàn)證碼與第一驗(yàn)證碼相同時(shí),說明客戶端上傳的認(rèn)證參數(shù)與CA中心的相同���;根據(jù)第二密鑰和系統(tǒng)時(shí)間生成第三驗(yàn)證碼�����,由于生成第二驗(yàn)證碼采用的算法與客戶端生成第一驗(yàn)證碼的算法相同�����,因此當(dāng)?shù)谌?yàn)證碼與第一驗(yàn)證碼相同時(shí)�����,說明客戶端上傳的客戶端當(dāng)前時(shí)間與系統(tǒng)時(shí)間的相同�,當(dāng)客戶端上傳的認(rèn)證參數(shù)與CA中心的相同且客戶端當(dāng)前時(shí)間與系統(tǒng)時(shí)間相同時(shí),在此過程中服務(wù)器不需要向CA中心進(jìn)行驗(yàn)證����,所以即使CA中心的查詢服務(wù)不可用、CA中心故障或者服務(wù)器與CA中心間網(wǎng)絡(luò)故障時(shí)�,服務(wù)器仍然可以繼續(xù)對(duì)客戶端進(jìn)行認(rèn)證,進(jìn)而不會(huì)影響客戶端的服務(wù)使用�。
[0198]在具體的實(shí)施方式中,前述圖6�、7中的服務(wù)器可以是一般的服務(wù)器,如圖8所示��。其一般包括存儲(chǔ)器71����、處理器72、接收器73和發(fā)送器74等部件����。本領(lǐng)域技術(shù)人員可以理解�,圖8中所示出的結(jié)構(gòu)并不構(gòu)成對(duì)本裝置的限定�,可以包括比圖示更多或更少的部件,或者組合某些部件���,或者不同的部件布置。
[0199]下面結(jié)合圖8對(duì)服務(wù)器70的各個(gè)構(gòu)成部件進(jìn)行具體的介紹:
[0200]存儲(chǔ)器71可用于存儲(chǔ)軟件程序以及應(yīng)用模塊����,處理器72通過運(yùn)行存儲(chǔ)在存儲(chǔ)器71的軟件程序以及應(yīng)用模塊,從而執(zhí)行服務(wù)器70的各種功能應(yīng)用以及數(shù)據(jù)處理�����。存儲(chǔ)器71可主要包括存儲(chǔ)程序區(qū)和存儲(chǔ)數(shù)據(jù)區(qū)���,其中�����,存儲(chǔ)程序區(qū)可存儲(chǔ)操作系統(tǒng)���、至少一個(gè)功能所需的應(yīng)用程序(比如驗(yàn)證碼計(jì)算)等;存儲(chǔ)數(shù)據(jù)區(qū)可存儲(chǔ)根據(jù)服務(wù)器70的處理所創(chuàng)建的數(shù)據(jù)。此外����,存儲(chǔ)器71可以包括高速RAM(Random Access Memory,隨機(jī)存取存儲(chǔ)器),還可以包括非易失性存儲(chǔ)器(non-volatile memory),例如至少一個(gè)磁盤存儲(chǔ)器件、閃存器件�����、或其他易失性固態(tài)存儲(chǔ)器件���。
[0201]處理器72是服務(wù)器70的控制中心�����,利用各種接口和線路連接整個(gè)計(jì)算機(jī)的各個(gè)部分����。
[0202]具體地�,處理器72通過運(yùn)行或執(zhí)行存儲(chǔ)在存儲(chǔ)器71內(nèi)的軟件程序和/或應(yīng)用模塊,以及調(diào)用存儲(chǔ)在存儲(chǔ)器71內(nèi)的數(shù)據(jù)���,處理器72可以實(shí)現(xiàn)�����,通過接收器73接收客戶端發(fā)送的認(rèn)證請(qǐng)求��,認(rèn)證請(qǐng)求包括:認(rèn)證參數(shù)���、服務(wù)過期時(shí)間�����、客戶端當(dāng)前時(shí)間和第一驗(yàn)證碼��,認(rèn)證參數(shù)包括客戶名稱、序列號(hào)�、業(yè)務(wù)標(biāo)識(shí)、型號(hào)和版本中的至少一個(gè)����,第一驗(yàn)證碼是客戶端根據(jù)第一密鑰和客戶端當(dāng)前時(shí)間生成的,第一密鑰是由證書授權(quán)中心根據(jù)認(rèn)證參數(shù)和服務(wù)過期時(shí)間生成的���;
[0203]獲取服務(wù)器收到認(rèn)證請(qǐng)求時(shí)的系統(tǒng)時(shí)間���;
[0204]采用服務(wù)過期時(shí)間和認(rèn)證參數(shù)生成第二密鑰,生成第二密鑰采用的算法與證書授權(quán)中心生成第一密鑰的算法相同�����;
[0205]采用第二密鑰和客戶端當(dāng)前時(shí)間生成第二驗(yàn)證碼,生成第二驗(yàn)證碼采用的算法與客戶端生成第一驗(yàn)證碼的算法相同���;
[0206]比較第二驗(yàn)證碼與第一驗(yàn)證碼是否相同�����;
[0207]如果第二驗(yàn)證碼與第一驗(yàn)證碼相同�,根據(jù)第二密鑰和系統(tǒng)時(shí)間生成第三驗(yàn)證碼�,生成第三驗(yàn)證碼采用的算法與客戶端生成第一驗(yàn)證碼的算法相同;
[0208]比較第三驗(yàn)證碼