CN102638346B - 一种用户数字证书的认证方法及装置 - Google Patents
一种用户数字证书的认证方法及装置 Download PDFInfo
- Publication number
- CN102638346B CN102638346B CN201210146021.5A CN201210146021A CN102638346B CN 102638346 B CN102638346 B CN 102638346B CN 201210146021 A CN201210146021 A CN 201210146021A CN 102638346 B CN102638346 B CN 102638346B
- Authority
- CN
- China
- Prior art keywords
- ssl
- digital certificate
- certification
- content options
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种用户数字证书的认证装置,该装置应用于服务器上,该装置包括:存储单元,用于保存认证策略,该策略包括用户数字证书认证过程中需要认证的内容选项;收发单元,用于在用户通过客户端向服务器发起连接后,向客户端发出重定向指令;SSL处理单元,接收客户端的建立SSL连接请求,并在SSL协商过程中根据所述需要认证的内容选项从用户的数字证书提取相应的内容选项进行校验,并将结果作为证书认证结果。本发明通过在SSL协商过程中指定更为简化的认证策略,使得对于用户数字证书的认证过程被简化,而且通过认证少量的重要的内容选项,确保了较高的安全性,同时大幅度节约了服务端的处理资源。
Description
技术领域
本发明涉及认证技术,尤其涉及一种用户数字证书的认证方法及装置。
背景技术
随着网络技术的发展,各种网络的规模迅速扩大,网络上各种安全问题变得日益复杂,建设可管、可控、可信的网络成为进一步推进网络应用发展的前提。随着网络所承载的业务日益复杂,保障使用网络的用户信息的安全也是一个重要的安全问题。
在现有技术中,为了保障用户信息安全,需要对用户进行身份认证,这也是绝大多数应用系统必不可少的一个重要功能。而认证方式也是多种多样的,主要有用户名密码认证、硬件码认证以及使用USBKEY的数字证书认证。其中最便捷也最安全的认证方式是数字证书认证方式。
数字证书认证是指通过计算机可识别的数字信息来唯一验证操作人的物理身份的一种手段,利用以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性和唯一性。在网络上存在大量待验证的用户时,这对服务端的处理性能会构成极大的考验,如何保证验证过程的快速、稳定同时又不失安全性是业界面临的技术难题。
发明内容
本发明提供一种用户数字证书的认证装置,该装置应用于服务器上,该装置包括:
存储单元,用于通过配置接口接收管理者下发的认证策略,所述认证策略包括用户数字证书认证过程中需要认证的内容选项;
收发单元,用于在用户通过客户端向服务器发起连接后,向客户端发出重定向指令,其中该重定向指令包括表征SSL应用的目标端口号;
SSL处理单元,接收客户端的建立SSL连接请求,并在SSL协商过程中根据所述需要认证的内容选项从用户的数字证书中提取相应的内容选项进行校验,并将校验结果输出作为用户数字证书认证结果,并在用户数字证书认证通过时与用户客户端在SSL连接上收发业务数据。
本发明还提供一种用户数字证书的认证方法,该方法应用于服务器上,该方法包括:
A、通过配置接口接收管理者下发的认证策略,所述认证策略包括用户数字证书认证过程中需要认证的内容选项;
B、在用户通过客户端向服务器发起连接后,向客户端发出重定向指令,其中该重定向指令包括表征SSL应用的目标端口号;
C、接收客户端的建立SSL连接请求,并在SSL协商过程中根据所述需要认证的内容选项从用户的数字证书中提取相应的内容选项进行校验,并将校验结果输出作为用户数字证书认证结果,并在用户数字证书认证通过时与用户客户端在SSL连接上收发业务数据。
本发明通过在SSL协商过程中指定更为简化的认证策略,使得对于用户数字证书的认证过程被简化,而且通过认证少量的重要的内容选项,确保了较高的安全性,同时大幅度节约了服务端的处理资源。
附图说明
图1是本发明一种实施方式中数字证书认证装置的逻辑结构图。
具体实施方式
下面结合附图及以计算机程序实现为例对本发明再作进一步详细的说明。本发明通过预先设定证书认证策略并借助SSL握手协商过程与协商结果在保证证书认证安全性的前提下完成证书认证过程。请参考图1,本发明一种的实施方式中(以计算机程序实现为例)的数字证书认证装置包括存储单元、配置接口、身份认证单元、SSL处理单元以及收发单元。以下结合SSL握手协商过程描述本发明如何实现简洁有效的证书认证过程。
步骤101,存储单元通过配置接口接收管理者下发的认证策略,所述认证策略包括用户数字证书认证过程中需要认证的内容选项;
在本实施方式中,证书的认证是在SSL握手协商过程中完成的,而证书中有许多内容选项,用户下发的需要认证的内容选项是用户根据自己的安全需求以及实际应用场景所指定的,通常并不是全部内容选项,而是部分内容选项,一般不超过三项;通常来说,可以仅包括用户的CA签名一个内容选项即可确保较高的安全性。
步骤102,用户通过自身的客户端向服务器发起连接;
步骤103,身份认证单元向用户的客户端发送登录界面,通过收发单元接收来自客户端的用户名与密码,并对用户名和密码进行校验;
用户登录系统进行证书认证之前,为了提高安全性,比如防止某些消耗服务端资源的暴力攻击等,很多系统都会前置用户名与密码校验的页面,甚至可以包括登录验证码的输入要求。当然在实际应用中步骤103并不不是必须的,在安全环境较佳的场景这一步骤可以省略。
步骤104,收发单元向客户端发出重定向指令,该重定向指令包括表征SSL应用的目标端口号;
如果系统不要求用户输入用户名和密码,即没有前述登录界面,收到用户的连接请求后就可以发送所述重定向指令;如果系统要执行步骤103中的用户名和密码校验则,在用户名和密码校验通过后向用户客户端发送重定向指令。重定向指令通常是在网络服务的网络位置(比如IP地址)发生变化时要求客户端(如IE浏览器)向一个新的网络位置发起连接来获取其想得到的网络服务。本发明中重定向的指令依然指向服务器本身,但通过目标端口号的变化,指令客户端连接到一个与该目标端口号对应的新应用(即SSL应用,或者说SSL处理单元)上来。用户收到所述重定向指令后会向中定向指令指定的目标端口号重新发起连接。
步骤105,SSL处理单元接收客户端的建立SSL连接请求,并在SSL协商过程中根据所述需要认证的内容选项从用户的数字证书相应的内容选项进行校验,并将校验结果输出作为用户数字证书认证结果,并在用户数字证书认证通过时与用户客户端在SSL连接上收发业务数据。
SSL是建立在TCP层上的,其通常包括几个步骤:
(1)初始化
(2)选择会话协议
在利用OpenSSL开始SSL会话之前,需要为客户端和服务器制定本次会话采用的协议,目前能够使用的协议包括TLSv1.0、SSLv2、SSLv3、SSLv2/v3。需要注意的是,客户端和服务器必须使用相互兼容的协议,否则SSL会话将无法正常进行。
(3)创建会话环境
当SSL会话环境申请成功后,还要根据实际的需要设置CTX的属性,通常的设置是指定SSL握手阶段证书的验证方式和加载自己的证书。在将证书和私钥加载到SSL会话环境之后,就可以调用相关的函数来验证私钥和证书是否相符
(4)建立SSL套接字
(5)进行SSL协商(或者说SSL握手)
在成功创建SSL套接字后,对服务器来讲可以使用相关函数来完成握手过程,并且需要获取了客户端的数字证书的内容,以便进行相应的验证。在本发明中SSL处理单元会根据事先已经保存好的认证策略提取对应的内容选项,而非提取全部的内容选项,比如说认证策略中仅仅指定了CA签名,那么SSL处理单元根据这个认证策略仅仅需要提取CA签名进行认证即可。如果CA签名校验成功则视为数据证书认证成功,否则视为失败。
(6)进行业务数据传输
(7)结束SSL通信
当客户端和服务器之间的业务数据通信完成之后,调用相关的函数来释放已经申请的SSL资源释放SSL会话环境。
本发明通过在SSL协商过程中指定更为简化的认证策略,使得对于用户数字证书的认证过程被简化,而且通过认证少量的重要的内容选项,确保了较高的安全性,而又可以不浪费资源去验证一些与安全性关系很小的内容选项,如电子邮件、姓名、公司、部门等等。在网络中用户数量较多时,本发明能够在保证较高安全性的前提下大幅度地节约服务端的处理资源,确保服务端有足够的资源应对用户的访问需求。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种用户数字证书的认证装置,该装置应用于服务器上,该装置包括:
存储单元,用于通过配置接口接收管理者下发的认证策略,所述认证策略包括用户数字证书认证过程中需要认证的内容选项;
收发单元,用于在用户通过客户端向服务器发起连接后,向客户端发出重定向指令,其中该重定向指令包括表征SSL应用的目标端口号;
SSL处理单元,接收客户端的建立SSL连接请求,并在SSL协商过程中根据所述需要认证的内容选项从用户的数字证书中提取相应的内容选项进行校验,并将校验结果输出作为用户数字证书认证结果,并在用户数字证书认证通过时与用户客户端在SSL连接上收发业务数据。
2.如权利要求1所述的装置,其特征在于,所述需要认证的内容选项是CA签名。
3.如权利要求1所述的装置,其特征在于,所述需要认证的内容选项不超过三项,其中至少有一项为CA签名。
4.如权利要求1所述的装置,其特征在于,还包括身份认证单元,用于通过收发单元向所述客户端推送用户名与密码输入界面,并对通过收发单元接收到用户名与密码进行校验,所述收发单元在用户名和密码校验成功时向客户端发送重定向指令。
5.如权利要求1所述的装置,其特征在于,所述重定向指令包括特定的表征服务器上SSL应用的端口号。
6.一种用户数字证书的认证方法,该方法应用于服务器上,该方法包括:
A、通过配置接口接收管理者下发的认证策略,所述认证策略包括用户数字证书认证过程中需要认证的内容选项;
B、在用户通过客户端向服务器发起连接后,向客户端发出重定向指令,其中该重定向指令包括表征SSL应用的目标端口号;
C、接收客户端的建立SSL连接请求,并在SSL协商过程中根据所述需要认证的内容选项从用户的数字证书中提取相应的内容选项进行校验,并将校验结果输出作为用户数字证书认证结果,并在用户数字证书认证通过时与用户客户端在SSL连接上收发业务数据。
7.如权利要求6所述的方法,其特征在于,所述需要认证的内容选项是CA签名。
8.如权利要求6所述的方法,其特征在于,所述需要认证的内容选项不超过三项,其中至少有一项为CA签名。
9.如权利要求6所述的方法,其特征在于,还包括
D、向所述客户端推送用户名与密码输入界面,对接收到用户名与密码进行校验,并在用户名和密码校验成功时向客户端发送重定向指令。
10.如权利要求6所述的方法,其特征在于,所述重定向指令包括特定的表征服务器上SSL应用的目标端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210146021.5A CN102638346B (zh) | 2012-05-12 | 2012-05-12 | 一种用户数字证书的认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210146021.5A CN102638346B (zh) | 2012-05-12 | 2012-05-12 | 一种用户数字证书的认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102638346A CN102638346A (zh) | 2012-08-15 |
| CN102638346B true CN102638346B (zh) | 2014-09-10 |
Family
ID=46622599
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210146021.5A Active CN102638346B (zh) | 2012-05-12 | 2012-05-12 | 一种用户数字证书的认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102638346B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219207B (zh) * | 2013-05-31 | 2017-10-17 | 杭州迪普科技股份有限公司 | 一种安全协商装置和方法 |
| CN104426834B (zh) * | 2013-08-19 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 一种网页请求方法、客户端、服务器以及系统 |
| CN104735058B (zh) * | 2015-03-04 | 2018-03-16 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
| CN106330449A (zh) * | 2015-07-02 | 2017-01-11 | 西安西电捷通无线网络通信股份有限公司 | 一种验证数字证书有效性的方法及其鉴别服务器 |
| CN105592051A (zh) * | 2015-09-08 | 2016-05-18 | 杭州华三通信技术有限公司 | 安全套接字层ssl会话建立方法和装置 |
| CN107404469B (zh) * | 2016-05-20 | 2021-02-19 | 阿里巴巴(中国)有限公司 | 一种会话安全处理系统、设备、装置及方法 |
| CN106375340B (zh) * | 2016-10-11 | 2020-03-31 | 北京元心科技有限公司 | 提高证书验证安全性的方法和系统 |
| CN106878434A (zh) * | 2017-02-28 | 2017-06-20 | 杭州迪普科技股份有限公司 | 一种重定向的方法及装置 |
| CN106961439B (zh) * | 2017-03-31 | 2019-09-17 | 杭州迪普科技股份有限公司 | 一种https加密传输方法及装置 |
| CN110766409A (zh) * | 2019-10-24 | 2020-02-07 | 深圳前海微众银行股份有限公司 | Ssl证书校验方法、装置、设备及计算机存储介质 |
| CN113794564A (zh) * | 2021-07-26 | 2021-12-14 | 浪潮软件股份有限公司 | 一种移动端的本地ssl自签名证书升级策略实现方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119274A (zh) * | 2007-09-12 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
| CN102104483A (zh) * | 2009-12-18 | 2011-06-22 | 杭州华三通信技术有限公司 | 一种基于负载均衡的单点登录方法、系统和负载均衡设备 |
-
2012
- 2012-05-12 CN CN201210146021.5A patent/CN102638346B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119274A (zh) * | 2007-09-12 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
| CN102104483A (zh) * | 2009-12-18 | 2011-06-22 | 杭州华三通信技术有限公司 | 一种基于负载均衡的单点登录方法、系统和负载均衡设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102638346A (zh) | 2012-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102638346B (zh) | 一种用户数字证书的认证方法及装置 | |
| CN114788226B (zh) | 用于建立分散式计算机应用的非托管工具 | |
| CN108064440B (zh) | 基于区块链的fido认证方法、装置及系统 | |
| KR101904177B1 (ko) | 데이터 처리 방법 및 장치 | |
| US11102191B2 (en) | Enabling single sign-on authentication for accessing protected network services | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| CN104065653A (zh) | 一种交互式身份验证方法、装置、系统和相关设备 | |
| JP2012530311A5 (zh) | ||
| CN103888429A (zh) | 虚拟机启动方法、相关设备和系统 | |
| EP2902934B1 (en) | Portable Security Device, Method for Securing a Data Exchange and Computer Program Product | |
| Abdelrazig Abubakar et al. | Blockchain-based identity and authentication scheme for MQTT protocol | |
| CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
| WO2011141579A2 (en) | System and method for providing security for cloud computing resources using portable security devices | |
| CN116232683A (zh) | 一种工业微服务系统的认证方法、装置和计算机介质 | |
| WO2010136830A1 (en) | Method and equipment for establishing secure connection on communication network | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
| CN105072136A (zh) | 一种基于虚拟驱动的设备间安全认证方法和系统 | |
| KR20160012546A (ko) | 이동단말기의 원격제어시스템 | |
| CN102647273B (zh) | 可信计算平台用户根密钥和用户密钥生成方法和装置 | |
| KR101879842B1 (ko) | Otp를 이용한 사용자 인증 방법 및 시스템 | |
| CN111079109A (zh) | 兼容多浏览器本地安全授权登录方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310000 No. 68 in the 6 storey building Patentee after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310000 No. 68 in the 6 storey building Patentee before: Hangzhou Dipu Technology Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181102 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Depp Information Technology Co., Ltd. Address before: 310000, 6 floor, Chung Cai mansion, 68 Tong he road, Binjiang District, Hangzhou, Zhejiang. Patentee before: Hangzhou Dipu Polytron Technologies Inc |