CN110602066A - 一种证书校验终端、方法及装置 - Google Patents

一种证书校验终端、方法及装置 Download PDF

Info

Publication number
CN110602066A
CN110602066A CN201910808197.4A CN201910808197A CN110602066A CN 110602066 A CN110602066 A CN 110602066A CN 201910808197 A CN201910808197 A CN 201910808197A CN 110602066 A CN110602066 A CN 110602066A
Authority
CN
China
Prior art keywords
verification
certificate
server
token
application server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910808197.4A
Other languages
English (en)
Inventor
李俊昌
霍文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Wave Intelligent Technology Co Ltd
Original Assignee
Suzhou Wave Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Wave Intelligent Technology Co Ltd filed Critical Suzhou Wave Intelligent Technology Co Ltd
Priority to CN201910808197.4A priority Critical patent/CN110602066A/zh
Publication of CN110602066A publication Critical patent/CN110602066A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种证书校验终端,包括开启双向证书认证的证书校验服务器和未开启双向证书认证的token校验服务器。还公开了一种证书校验方法,包括以下步骤:用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验;证书校验服务器将校验结果返回至应用服务器,应用服务器将返回校验结果发送至token校验服务器;token校验服务器进行匹配校验,将校验结果反馈至应用服务器。最后公开了一种证书校验装置,需要使用的服务端只需要对接下相应的地址,即可进行双向证书认证操作,非常方便;而且动态生成证书后,无需进行系统重启即可实现证书热加载。

Description

一种证书校验终端、方法及装置
技术领域
本发明涉及信息安全技术领域,尤其是一种证书校验终端、方法及装置。
背景技术
目前,大部分的web网站都需要进行用户登录操作,但是,很多网站还都停留在用简单的用户名+密码的方式进行登录,非常不安全。在这种情况下,需要一种安全的方式对用户登录进行保护,即使用户的用户名跟密码被窃取,但是没有对应的证书的话,仍无法进行登录。
Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat时,它实际上作为一个与Apache独立的进程单独运行的。
Tomcat中,通过修改tomcat目录/conf/server.xml中的配置项,开启证书认证,并且增加trustManagerClassName配置,令其指向动态加载证书的java类,配置完成后,启动tomcat,便完成了tomcat的双向证书配置。目前这种技术需要对tomcat服务进行修改,会造成tomcat服务下其他不需要开启双向证书的服务也不得不开启双向证书服务或者迁移的问题,而且由于需要修改tomcat配置文件,非常不方便。
发明内容
本发明的目的是提供一种证书校验终端、方法及装置,通过微服务的方式对外提供证书认证地址,可以方便实现双向证书认证操作,动态生成证书后,无需进行系统重启即可实现证书热加载,易于集成实现。
为实现上述目的,本发明采用下述技术方案:
本发明第一方面提供了一种证书校验终端,包括开启双向证书认证的证书校验服务器和未开启双向证书认证的token校验服务器。
本发明第二方面提供了一种证书校验方法,包括以下步骤:
用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验;
证书校验服务器将校验结果返回至应用服务器,应用服务器将返回校验结果发送至token校验服务器;
token校验服务器进行匹配校验,将校验结果反馈至应用服务器。
结合第二方面,在第二方面第一种可能的实现方式中,所述用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验,具体包括:
应用服务器定向到证书校验服务器地址,并传入认证结束后的回调地址;
证书校验服务器对传入的回调地址以及用户选择的证书进行校验。
结合第二方面,在第二方面第二种可能的实现方式中,所述证书校验服务器将校验结果返回至应用服务器,具体包括:
证书校验服务器生成一条随机token,在redis中存储证书标识跟token的记录;
证书校验服务器将认证结果及生成的token返回给应用服务器回调地址。
结合第二方面,在第二方面第三种可能的实现方式中,所述应用服务器将返回校验结果发送至token校验服务器,具体包括:
应用服务器增加token参数重新进行用户登录;
应用服务器进行用户登录校验,校验通过后,将用户标识以及token传给token校验服务器。
结合第二方面,在第二方面第四种可能的实现方式中,所述token校验服务器进行匹配校验,将校验结果反馈至应用服务器,具体包括:
token校验服务器根据用户标识从redis中进行token查找,并与应用服务器传回的token进行比对,验证通过后,进行证书生成,并返回提示证书生成成功。
本发明第三方面提供了一种基于微服务的证书校验装置,包括:
证书校验服务器校验模块,用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验;
应用服务器校验模块,证书校验服务器将校验结果返回至应用服务器,应用服务器将返回校验结果发送至token校验服务器;
token校验服务器校验模块,token校验服务器进行匹配校验,将校验结果反馈至应用服务器。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明通过微服务的方式对外提供证书认证地址,证书校验服务是基于微服务方式的证书管理系统之上的,通过redis存储证书用户名,并通过spring boot微服务的方式对外提供接口和地址,实现证书的认证流程。需要使用的服务端只需要对接下相应的地址,即可进行双向证书认证操作,非常方便;而且动态生成证书后,无需进行系统重启即可实现证书热加载。
应用服务器在现有系统基础上只需要修改跳转到认证地址、登录增加token标识、后台登录token标识校验三处业务即可实现动态证书认证操作,非常的易于集成。通过springboot进行代码服务化开发,每个功能都是一个单独的项目;通过redis的方式进行token存储,读写速度都非常快。
附图说明
图1是本发明证书校验终端结构示意图;
图2是本发明证书校验方法实施例一流程图;
图3是本发明证书校验方法实施例二流程图;
图4是本发明证书校验装置示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,一种证书校验终端,包括开启双向证书认证的证书校验服务器11和未开启双向证书认证的token校验服务器12。
如图2所示,一种证书校验方法,包括以下步骤:
S1、用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验;
S2、证书校验服务器将校验结果返回至应用服务器,应用服务器将返回校验结果发送至token校验服务器;
S3、token校验服务器进行匹配校验,将校验结果反馈至应用服务器。
如图3所示,一种证书校验方法,包括以下步骤:
S1、应用服务用户在浏览器输入应用服务地址;
S2、应用服务器定向到证书校验服务器地址,并传入认证结束后的回调地址;
S3、证书校验服务器对传入的回调地址以及浏览器中用户选择的证书进行校验;
S4、证书校验服务器生成一条随机token,在redis中存储证书标识跟token的记录,证书校验服务器将认证结果及生成的token返回给应用服务器回调地址;
S5、应用服务器增加token参数重新进行用户登录;
S6、应用服务器进行用户登录校验,校验通过后,将用户标识以及token传给token校验服务器;
S7、token校验服务器根据用户标识从redis中进行token查找,并与应用服务器传回的token进行比对,验证通过后,进行证书生成,并返回提示证书生成成功。
本方案的关键点是微服务方式的证书认证系统。本证书校验服务是基于微服务方式的证书管理系统之上的,通过redis存储证书用户名,并通过spring boot微服务的方式对外提供接口和地址,实现证书的认证流程。应用服务对接证书校验服务后,应用服务的用户登录应用服务时,首先跳转到证书校验服务地址,并传入一个回调地址;证书校验服务对回调地址以及用户的浏览器证书进行校验,校验通过后,生成一个token字符串,保存在redis中并将校验结果以及token返回给应用服务;应用服务进行用户登录后,在后台再将证书校验服务返回的token以及用户的标识传给token校验服务;token校验服务对传递的token以及用户标识从redis服务中查找,并进行匹配,将匹配结果返回给应用服务。
应用服务器在现有系统基础上只需要修改跳转到认证地址、登录增加token标识、后台登录token标识校验三处业务即可实现动态证书认证操作,非常的易于集成。通过微服务的方式对外提供证书认证地址,需要使用的服务端只需要对接下相应的地址,即可进行双向证书认证操作,非常方便;而且动态生成证书后,无需进行系统重启即可实现证书热加载。
如图4所示,一种基于微服务的证书校验装置,包括:
证书校验服务器校验模块101,用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验;
应用服务器校验模块102,证书校验服务器将校验结果返回至应用服务器,应用服务器将返回校验结果发送至token校验服务器;
token校验服务器校验模块103,token校验服务器进行匹配校验,将校验结果反馈至应用服务器。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (7)

1.一种证书校验终端,其特征是,包括开启双向证书认证的证书校验服务器和未开启双向证书认证的token校验服务器。
2.一种证书校验方法,采用权利要求1所述的证书校验终端,其特征是,包括以下步骤:
用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验;
证书校验服务器将校验结果返回至应用服务器,应用服务器将返回校验结果发送至token校验服务器;
token校验服务器进行匹配校验,将校验结果反馈至应用服务器。
3.如权利要求2所述的证书校验方法,其特征是,所述用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验,具体包括:
应用服务器定向到证书校验服务器地址,并传入认证结束后的回调地址;
证书校验服务器对传入的回调地址以及用户选择的证书进行校验。
4.如权利要求3所述的证书校验方法,其特征是,所述证书校验服务器将校验结果返回至应用服务器,具体包括:
证书校验服务器生成一条随机token,在redis中存储证书标识跟token的记录;
证书校验服务器将认证结果及生成的token返回给应用服务器回调地址。
5.如权利要求4所述的证书校验方法,其特征是,所述应用服务器将返回校验结果发送至token校验服务器,具体包括:
应用服务器增加token参数重新进行用户登录;
应用服务器进行用户登录校验,校验通过后,将用户标识以及token传给token校验服务器。
6.如权利要求5所述的证书校验方法,其特征是,所述token校验服务器进行匹配校验,将校验结果反馈至应用服务器,具体包括:
token校验服务器根据用户标识从redis中进行token查找,并与应用服务器传回的token进行比对,验证通过后,进行证书生成,并返回提示证书生成成功。
7.一种基于微服务的证书校验装置,其特征是,包括:
证书校验服务器校验模块,用户端登录应用服务器时跳转到证书校验服务器,证书校验服务器进行校验;
应用服务器校验模块,证书校验服务器将校验结果返回至应用服务器,应用服务器将返回校验结果发送至token校验服务器;
token校验服务器校验模块,token校验服务器进行匹配校验,将校验结果反馈至应用服务器。
CN201910808197.4A 2019-08-29 2019-08-29 一种证书校验终端、方法及装置 Pending CN110602066A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910808197.4A CN110602066A (zh) 2019-08-29 2019-08-29 一种证书校验终端、方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910808197.4A CN110602066A (zh) 2019-08-29 2019-08-29 一种证书校验终端、方法及装置

Publications (1)

Publication Number Publication Date
CN110602066A true CN110602066A (zh) 2019-12-20

Family

ID=68856228

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910808197.4A Pending CN110602066A (zh) 2019-08-29 2019-08-29 一种证书校验终端、方法及装置

Country Status (1)

Country Link
CN (1) CN110602066A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113553051A (zh) * 2021-06-01 2021-10-26 中电万维信息技术有限责任公司 一种基于redis缓存技术的文件数据比对方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050160297A1 (en) * 2002-02-13 2005-07-21 Hideharu Ogawa User authentication method and user authentication system
CN102571340A (zh) * 2010-12-23 2012-07-11 普天信息技术研究院有限公司 证书认证装置及该装置的访问和证书更新方法
CN106030509A (zh) * 2014-02-24 2016-10-12 谷歌公司 从认证设备向未认证设备转移授权

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050160297A1 (en) * 2002-02-13 2005-07-21 Hideharu Ogawa User authentication method and user authentication system
CN102571340A (zh) * 2010-12-23 2012-07-11 普天信息技术研究院有限公司 证书认证装置及该装置的访问和证书更新方法
CN106030509A (zh) * 2014-02-24 2016-10-12 谷歌公司 从认证设备向未认证设备转移授权

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
佚名: "《OAuth2.0 授权模式》", 《百度搜索HTTPS://WWW.JIANSHU.COM/P/979A01CE7BA3?UTM_CAMPAIGN=MALESKINE&UTM_CONTENT=NOTE&UTM_MEDIUM=SEO_NOTES&UTM_SOURCE=RECOMMENDATION》 *
佚名: "《OAuth2.0 授权模式》", 《百度搜索HTTPS://WWW.JIANSHU.COM/P/979A01CE7BA3?UTM_CAMPAIGN=MALESKINE&UTM_CONTENT=NOTE&UTM_MEDIUM=SEO_NOTES&UTM_SOURCE=RECOMMENDATION》, 24 January 2018 (2018-01-24) *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113553051A (zh) * 2021-06-01 2021-10-26 中电万维信息技术有限责任公司 一种基于redis缓存技术的文件数据比对方法
CN113553051B (zh) * 2021-06-01 2022-06-21 中电万维信息技术有限责任公司 一种基于redis缓存技术的文件数据比对方法

Similar Documents

Publication Publication Date Title
US9954855B2 (en) Login method and apparatus, and open platform system
CN105337949B (zh) 一种SSO认证方法、web服务器、认证中心和token校验中心
CN101662364B (zh) 一种安全登陆的方法和系统
CN104735066B (zh) 一种面向网页应用的单点登录方法、装置和系统
US9794329B2 (en) Cloud application with secure local access
CN103139200A (zh) 一种web service单点登录的方法
US9819687B2 (en) Reducing web browsing overheads with external code certification
CN109495486B (zh) 一种基于JWT的单页Web应用集成CAS的方法
CN113239308B (zh) 一种页面访问方法、装置、设备及存储介质
CN111523102A (zh) 小程序登录方法、装置、设备及计算机可读存储介质
CN115037557B (zh) 一种用于用户访问应用的临时身份认证方法和装置
CN110708313B (zh) 一种支持多模式的单点登录的系统
CN113360865A (zh) 基于数字证书的bmc认证登录方法、装置、设备及介质
CN112434054A (zh) 一种审计日志的更新方法及装置
CN105791249A (zh) 一种第三方应用处理方法、装置以及系统
CN110602066A (zh) 一种证书校验终端、方法及装置
CN105100068A (zh) 一种实现单点登录的系统及方法
CN114430340A (zh) 一种跨域单点登录方法、装置及设备
CN114024727B (zh) 一种跨域单点登录方法、系统、鉴权服务器和可读介质
CN107992734B (zh) 一种cpu卡读写服务方法、电子设备、存储介质、系统
WO2022042504A1 (zh) 云桌面访问认证方法、电子设备和计算机可读存储介质
CN112491931B (zh) 一种基于jwt的用户认证的限流方法及装置
CN115473668A (zh) 一种数据验证方法及装置
CN115001807A (zh) 应用程序的用户登录处理方法及装置
CN111931159B (zh) 一种网页数据接口合法性验证的方法及其系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191220

RJ01 Rejection of invention patent application after publication