CN114257410A

CN114257410A - 基于数字证书的身份认证方法、装置、计算机设备

Info

Publication number: CN114257410A
Application number: CN202111386980.XA
Authority: CN
Inventors: 余志文; 梅发茂; 吴勤勤; 邓大为; 惠想
Original assignee: Guangdong Power Grid Co Ltd; Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Current assignee: Guangdong Power Grid Co Ltd; Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date: 2021-11-22
Filing date: 2021-11-22
Publication date: 2022-03-29

Abstract

本申请涉及基于数字证书的身份认证方法、装置、计算机设备。所述方法包括：响应于客户端发送的证书请求信息，向客户端返回第一数字证书；证书请求信息包括账户标识，第一数字证书为根据账户标识查验得到的数字证书；接收客户端通过安全通信链路发送的待认证信息；待认证信息包括账户信息和第二数字证书；账户信息包括账户密码和密钥密码；若账户信息与第二数字证书满足预设匹配条件，根据账户密码和密钥密码，对第二数字证书进行身份认证，得到身份认证结果；若身份认证结果满足预设认证条件，向客户端反馈认证执行信息，以使客户端根据认证执行信息执行认证操作。采用本方法能够在信息安全的基础上建立数字证书的身份认证过程，提升了安全性。

Description

基于数字证书的身份认证方法、装置、计算机设备

技术领域

本申请涉及网络安全技术领域，特别是涉及一种基于数字证书的身份认证方法、装置、计算机设备和存储介质。

背景技术

数字证书作为一个数字认证，可以在互联网通讯中表明通讯各方身份信息，用户基于数字证书能够识别对方的身份，其提供了一种在互联网中验证身份的方式。

对于基于数字证书的业务和日常使用，需要在使用数字证书时进行身份认证，但由于网上安全问题仍是一个很薄弱的环节，许多网络欺诈和盗取犯罪对用户造成了严重损失，个人数字证书进行身份认证的过程中容易遭受各种网络攻击，被他人冒用。

因此，相关技术中存在网上数字证书身份认证困难，身份认证过程安全环节较薄弱的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种能够解决上述问题的一种基于数字证书的身份认证方法、装置、计算机设备和存储介质。

一种基于数字证书的身份认证方法，应用于证书服务器，所述证书服务器与客户端通过安全通信链路进行连接，所述方法包括：

响应于所述客户端发送的证书请求信息，向所述客户端返回第一数字证书；所述证书请求信息包括账户标识，所述第一数字证书为根据所述账户标识查验得到的数字证书；

接收所述客户端通过所述安全通信链路发送的待认证信息；所述待认证信息包括账户信息和第二数字证书；所述账户信息包括账户密码和密钥密码；

若所述账户信息与所述第二数字证书满足预设匹配条件，根据所述账户密码和所述密钥密码，对所述第二数字证书进行身份认证，得到身份认证结果；

若所述身份认证结果满足预设认证条件，向所述客户端反馈认证执行信息，以使所述客户端根据所述认证执行信息执行认证操作。

在一个实施例中，在所述向所述客户端返回第一数字证书的步骤之前，还包括：

根据所述证书请求信息中的账户标识进行查验，确定待返回数字证书的密级类型；所述密级类型包括高保密类型：

当所述密级类型为所述高保密类型时，对所述待返回数字证书进行密钥加密，生成所述第一数字证书。

在一个实施例中，在所述若所述账户信息与所述第二数字证书满足预设匹配条件的步骤之前，还包括：

在安全模式下，将所述账户信息与所述第二数字证书进行比对；

若所述账户信息与所述第二数字证书相匹配，判定所述账户信息与所述第二数字证书满足预设匹配条件；

若所述账户信息与所述第二数字证书不相匹配，向所述客户端发送匹配错误信息。

一种基于数字证书的身份认证方法，应用于客户端，所述客户端与证书服务器通过安全通信链路进行连接，所述方法包括：

在检测到指定时间段内的密码输入操作时，生成证书请求信息并发送至所述证书服务器；所述证书请求信息包括所述密码输入操作对应的账户标识；

接收所述证书服务器返回的第一数字证书，根据账户信息对所述第一数字证书进行密钥交换匹配，确定第二数字证书；所述第一数字证书为所述证书服务器根据所述账户标识查验得到的数字证书；所述账户信息包括基于所述密码输入操作获取的账户密码和密钥密码；

通过所述安全通信链路向所述证书服务器发送待认证信息；所述待认证信息包括所述账户信息和所述第二数字证书；

接收所述证书服务器反馈的认证执行信息，采用所述认证执行信息执行认证操作。

在一个实施例中，所述检测到指定时间段内的密码输入操作，包括：

获取针对密码输入操作的指定时间信息；所述指定时间信息包括指定时间段；所述密码输入操作包括账户密码输入操作和密钥密码输入操作；

在所述指定时间段的时间范围内，检测所述账户密码输入操作和所述密钥密码输入操作。

在一个实施例中，所述根据账户信息对所述第一数字证书进行密钥交换匹配，确定第二数字证书，包括：

当根据所述账户信息，基于密钥交换匹配到所述第一数字证书时，确定所述第一数字证书的加密状态信息；所述加密状态信息包括已加密状态和未加密状态；

若所述加密状态信息为已加密状态，解密所述第一数字证书，得到所述第二数字证书；

若所述加密状态信息为未加密状态，将所述第一数字证书作为所述第二数字证书。

一种基于数字证书的身份认证装置，应用于证书服务器，所述证书服务器与客户端通过安全通信链路进行连接，所述装置包括：

证书请求信息接收模块，用于响应于所述客户端发送的证书请求信息，向所述客户端返回第一数字证书；所述证书请求信息包括账户标识，所述第一数字证书为根据所述账户标识查验得到的数字证书；

待认证信息接收模块，用于接收所述客户端通过所述安全通信链路发送的待认证信息；所述待认证信息包括账户信息和第二数字证书；所述账户信息包括账户密码和密钥密码；

身份认证模块，用于若所述账户信息与所述第二数字证书满足预设匹配条件，根据所述账户密码和所述密钥密码，对所述第二数字证书进行身份认证，得到身份认证结果；

认证执行信息反馈模块，若所述身份认证结果满足预设认证条件，向所述客户端反馈认证执行信息，以使所述客户端根据所述认证执行信息执行认证操作。

一种基于数字证书的身份认证装置，应用于客户端，所述客户端与证书服务器通过安全通信链路进行连接，所述装置包括：

证书请求信息发送模块，用于在检测到指定时间段内的密码输入操作时，生成证书请求信息并发送至所述证书服务器；所述证书请求信息包括所述密码输入操作对应的账户标识；

证书匹配模块，用于接收所述证书服务器返回的第一数字证书，根据账户信息对所述第一数字证书进行密钥交换匹配，确定第二数字证书；所述第一数字证书为所述证书服务器根据所述账户标识查验得到的数字证书；所述账户信息包括基于所述密码输入操作获取的账户密码和密钥密码；

待认证信息发送模块，用于通过所述安全通信链路向所述证书服务器发送待认证信息；所述待认证信息包括所述账户信息和所述第二数字证书；

认证操作执行模块，用于接收所述证书服务器反馈的认证执行信息，采用所述认证执行信息执行认证操作。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现如上所述的基于数字证书的身份认证方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的基于数字证书的身份认证方法的步骤。

上述一种基于数字证书的身份认证方法、装置、计算机设备和存储介质，通过响应于客户端发送的证书请求信息，向客户端返回第一数字证书，证书请求信息包括账户标识，第一数字证书为根据账户标识查验得到的数字证书，然后接收客户端通过安全通信链路发送的待认证信息，待认证信息包括账户信息和第二数字证书，账户信息包括账户密码和密钥密码，若账户信息与第二数字证书满足预设匹配条件，根据账户密码和密钥密码，对第二数字证书进行身份认证，得到身份认证结果，若身份认证结果满足预设认证条件，向客户端反馈认证执行信息，以使客户端根据认证执行信息执行认证操作，实现了在信息安全的基础上建立数字证书的身份认证过程，通过基于安全通信链路进行连接，根据匹配条件和认证条件对用户的数字证书进行身份认证，将用户与数字证书密切连接，采用一对一的数字证书匹配，能够防止第三方等他人的非法冒用，提升了安全性，具有安全便捷、高效的优点。

附图说明

图1为一个实施例中一种基于数字证书的身份认证方法的应用环境图；

图2为一个实施例中一种基于数字证书的身份认证方法的流程示意图；

图3为一个实施例中另一种基于数字证书的身份认证方法的流程示意图；

图4为一个实施例中一种基于数字证书的身份认证流程的示意图；

图5为一个实施例中一种基于数字证书的身份认证装置的结构框图；

图6为一个实施例中另一种基于数字证书的身份认证装置的结构框图；

图7为一个实施例中一种计算机设备的内部结构图；

图8为一个实施例中另一种计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的一种基于数字证书的身份认证方法，可以应用于如图1所示的应用环境中。其中，客户端101可以通过安全通信链路与证书服务器102建立连接，客户端101可以为终端，终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，证书服务器102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在一个实施例中，如图2所示，提供了一种基于数字证书的身份认证方法，以该方法应用于图1中的证书服务器102为例进行说明，该证书服务器可以与客户端通过安全通信链路进行连接，包括以下步骤：

步骤201，响应于所述客户端发送的证书请求信息，向所述客户端返回第一数字证书；所述证书请求信息包括账户标识，所述第一数字证书为根据所述账户标识查验得到的数字证书；

其中，证书服务器可以为CA服务器。

在具体实现中，证书服务器可以接收客户端发送的证书请求信息，从证书请求信息中获取账户标识，进而可以根据账户标识进行数字证书查验，并可以向客户端返回查验得到的第一数字证书。

在一个可选实施例中，可以通过检测客户端和CA服务器周围预定范围内的无线信号，在客户端和CA服务器之间建立安全的无线通信链路，以开始身份认证操作；也可以根据用户需求在特定时间开启检测功能，或进行自动检测。

步骤202，接收所述客户端通过所述安全通信链路发送的待认证信息；所述待认证信息包括账户信息和第二数字证书；所述账户信息包括账户密码和密钥密码；

在实际应用中，证书服务器可以接收客户端通过安全通信链路发送的待认证信息，该待认证信息可以包括账户信息和第二数字证书，账户信息可以包括账户密码和密钥密码，以进一步可以根据获取的账户信息和第二数字证书进行身份认证。

在一个可选实施例中，证书服务器可以接收客户端发送的待认证信息后，将账户信息和第二数字证书进行存储，以提供给后续身份认证进行数据调用。

步骤203，若所述账户信息与所述第二数字证书满足预设匹配条件，根据所述账户密码和所述密钥密码，对所述第二数字证书进行身份认证，得到身份认证结果；

在获取账户信息和第二数字证书后，可以对账户信息和第二数字证书进行比对，以判定账户信息和第二数字证书是否匹配，进而可以在账户信息与第二数字证书满足预设匹配条件时，即验证身份通过，根据账户密码和密钥密码对第二数字证书进行身份认证，得到身份认证结果。

在一示例中，通过将获取的账户信息和第二数字证书进行比对，可以判定账户信息和第二数字证书是否匹配，进而在账户信息与第二数字证书满足匹配条件的情况下进行身份认证，可以避免数据被篡改，防止第三方等他人非法冒用。

在又一示例中，根据账户信息与第二数字证书进行身份验证时，可以基于用户独立的身份认证信息进行验证，其可以包括个人联名账户、电子签名和账户密码中的一项或多项。

步骤204，若所述身份认证结果满足预设认证条件，向所述客户端反馈认证执行信息，以使所述客户端根据所述认证执行信息执行认证操作。

在得到身份认证结果后，证书服务器可以在身份认证结果满足预设认证条件时，向客户端反馈认证执行信息，以使客户端根据认证执行信息执行认证操作。

具体地，当身份认证成功时，证书服务器可以向客户端反馈认证执行信息，以使客户端根据认证执行信息，采用数字证书执行相关的认证操作；当身份认证成功未通过时，证书服务器可以重新接收客户端发送的证书请求信息，以针对重新选择的用户进行身份认证。

在一个可选实施例中，针对身份认证过程，证书服务器可以实时产生数字证书状态请求对应的状态请求数据，并提供数据传输与数据储存。每个数字证书均由统一的CA机构发布，数字证书具有CA机构发布的数字证书唯一标识。

在一示例中，CA服务器(即证书服务器)具有多个数字证书，可以根据需求对不同的用户进行独立的身份认证过程。需要说明的是，由于数字证书的版本、型号不同，同一名称的数字证书可以对应有多个版本，在身份认证过程中，可以对数字证书的名称信息进行记录，还可以对该数字证书对应的相关信息进行记录，如证书版本、证书用途(身份验证、加密、签名等)、颁发者、有效期等信息。通过采用记录的信息对数字证书加以标识和区分，可以维护数字证书的实用性。

通过本申请实施例中基于数字证书的身份认证方法，能够运用特定的身份认证方式设定数字证书的认证方式，从而独立可以用于每个用户进行认证，加快了处理进程，提升了配对匹配程度，使得身份认证的过程得以优化，减少了配对失败或配对错误的发生率，具有广泛的利用价值，可以为使用者提供更友善、简易的操作。

在本申请实施例中，通过响应于客户端发送的证书请求信息，向客户端返回第一数字证书，证书请求信息包括账户标识，第一数字证书为根据账户标识查验得到的数字证书，然后接收客户端通过安全通信链路发送的待认证信息，待认证信息包括账户信息和第二数字证书，账户信息包括账户密码和密钥密码，若账户信息与第二数字证书满足预设匹配条件，根据账户密码和密钥密码，对第二数字证书进行身份认证，得到身份认证结果，若身份认证结果满足预设认证条件，向客户端反馈认证执行信息，以使客户端根据认证执行信息执行认证操作，实现了在信息安全的基础上建立数字证书的身份认证过程，通过基于安全通信链路进行连接，根据匹配条件和认证条件对用户的数字证书进行身份认证，将用户与数字证书密切连接，采用一对一的数字证书匹配，能够防止第三方等他人的非法冒用，提升了安全性，具有安全便捷、高效的优点。

在一个实施例中，在所述向所述客户端返回第一数字证书的步骤之前，可以包括如下步骤：

根据所述证书请求信息中的账户标识进行查验，确定待返回数字证书的密级类型；所述密级类型包括高保密类型：当所述密级类型为所述高保密类型时，对所述待返回数字证书进行密钥加密，生成所述第一数字证书。

在获取待认证信息后，证书服务器可以从证书请求信息中确定账户标识，进而可以根据该账户标识进行查验，确定待返回数字证书的密级类型，以根据密级类型生成第一数字证书并发送至客户端。

例如，当查验到数字证书属于高保密型数字证书时，可以对当前查验到的数字证书进行密钥加密，并向客户端返回密钥加密后的数字证书。

通过上述实施例根据证书请求信息中的账户标识进行查验，确定待返回数字证书的密级类型，密级类型包括高保密类型，进而当密级类型为高保密类型时，对待返回数字证书进行密钥加密，生成第一数字证书，可以通过查验数字证书的密级类型，针对高保密型数字证书进行密钥加密后发送，提升了传输安全性。

在一个实施例中，在所述若所述账户信息与所述第二数字证书满足预设匹配条件的步骤之前，可以包括如下步骤：

在安全模式下，将所述账户信息与所述第二数字证书进行比对；若所述账户信息与所述第二数字证书相匹配，判定所述账户信息与所述第二数字证书满足预设匹配条件；若所述账户信息与所述第二数字证书不相匹配，向所述客户端发送匹配错误信息。

在实际应用中，当判定身份认证环境安全时，证书服务器可以进入安全模式，对账户信息与第二数字证书进行比对，进而当账户信息与第二数字证书匹配成功时，即验证身份通过，可以对匹配成功的账户信息与第二数字证书进行身份认证并输出，当账户信息与第二数字证书匹配失败时，可以通过客户端显示匹配错误信息。

通过上述实施例在安全模式下，将账户信息与第二数字证书进行比对，若账户信息与第二数字证书相匹配，判定账户信息与第二数字证书满足预设匹配条件，若账户信息与第二数字证书不相匹配，向客户端发送匹配错误信息，可以在验证身份通过的情况下进行后续身份认证，能够避免数据被篡改，防止第三方等他人非法冒用。

在一个实施例中，如图3所示，提供了另一种基于数字证书的身份认证方法，以该方法应用于图1中的客户端101为例进行说明，该客户端可以与证书服务器通过安全通信链路进行连接，包括以下步骤：

步骤301，在检测到指定时间段内的密码输入操作时，生成证书请求信息并发送至所述证书服务器；所述证书请求信息包括所述密码输入操作对应的账户标识；

在具体实现中，客户端可以通过在指定时间段内检测密码输入操作，在检测到密码输入操作时，获取密码输入操作对应的账户标识，进而可以生成证书请求信息并发送至证书服务器。

步骤302，接收所述证书服务器返回的第一数字证书，根据账户信息对所述第一数字证书进行密钥交换匹配，确定第二数字证书；所述第一数字证书为所述证书服务器根据所述账户标识查验得到的数字证书；所述账户信息包括基于所述密码输入操作获取的账户密码和密钥密码；

在实际应用中，客户端可以接收证书服务器查验到并返回的第一数字证书，进而可以在客户端，根据账户信息中的账户密码和密钥密码，对第一数字证书进行密钥交换匹配，得到第二数字证书。

具体地，可以通过客户端验证第一数字证书与账户信息是否匹配，并检测该第一数字证书的加密状态，进而可以根据加密状态生成第二数字证书。

步骤303，通过所述安全通信链路向所述证书服务器发送待认证信息；所述待认证信息包括所述账户信息和所述第二数字证书；

在得到账户信息和第二数字证书后，客户端可以通过安全通信链路向证书服务器发送包括账户信息和第二数字证书的待认证信息，以进一步通过证书服务器进行身份认证。

步骤304，接收所述证书服务器反馈的认证执行信息，采用所述认证执行信息执行认证操作。

在具体实现中，客户端可以接收证书服务器反馈的认证执行信息，进而可以采用身份认证通过的数字证书执行相关的认证操作。

在一示例中，本申请实施例中基于数字证书的身份认证方法可以应用于银行个人联名账户的网上银行业务，也可以应用于移动终端的对人共管电子账户。

在本申请实施例中，通过在检测到指定时间段内的密码输入操作时，生成证书请求信息并发送至证书服务器，证书请求信息包括密码输入操作对应的账户标识，然后接收证书服务器返回的第一数字证书，根据账户信息对第一数字证书进行密钥交换匹配，确定第二数字证书，第一数字证书为证书服务器根据账户标识查验得到的数字证书，账户信息包括基于密码输入操作获取的账户密码和密钥密码，进而通过安全通信链路向证书服务器发送待认证信息，待认证信息包括账户信息和第二数字证书，接收证书服务器反馈的认证执行信息，采用认证执行信息执行认证操作，实现了在信息安全的基础上建立数字证书的身份认证过程，通过基于安全通信链路进行连接，在客户端根据账户信息进行密钥交换匹配出数字证书，进而发送至证书服务器进行身份认证，将用户与数字证书密切连接，采用一对一的数字证书匹配，能够防止第三方等他人的非法冒用，提升了安全性，具有安全便捷、高效的优点。

在一个实施例中，所述检测到指定时间段内的密码输入操作，可以包括如下步骤：

获取针对密码输入操作的指定时间信息；所述指定时间信息包括指定时间段；所述密码输入操作包括账户密码输入操作和密钥密码输入操作；在所述指定时间段的时间范围内，检测所述账户密码输入操作和所述密钥密码输入操作。

在实际应用中，通过获取针对密码输入操作的指定时间信息，可以从指定时间信息中确定指定时间段，进而客户端可以在指定时间段的时间范围内进行密码输入操作检测，如账户密码输入操作和密钥密码输入操作。

例如，用户可以根据操作细则，通过客户端在规定的时间内输入账户密码和密钥密码。

通过上述实施例获取针对密码输入操作的指定时间信息，指定时间信息包括指定时间段，密码输入操作包括账户密码输入操作和密钥密码输入操作，进而在指定时间段的时间范围内，检测账户密码输入操作和密钥密码输入操作，可以基于指定时间段检测密码输入操作，增强了身份认证过程的安全性。

在一个实施例中，所述根据账户信息对所述第一数字证书进行密钥交换匹配，确定第二数字证书，可以包括如下步骤：

当根据所述账户信息，基于密钥交换匹配到所述第一数字证书时，确定所述第一数字证书的加密状态信息；所述加密状态信息包括已加密状态和未加密状态；若所述加密状态信息为已加密状态，解密所述第一数字证书，得到所述第二数字证书；若所述加密状态信息为未加密状态，将所述第一数字证书作为所述第二数字证书。

在实际应用中，可以完成密钥交换匹配到对应的第一数字证书时，检测该第一数字证书的加密状态，即确定第一数字证书的加密状态信息，进而可以根据加密状态生成第二数字证书。

例如，当数字证书匹配成功且为已加密状态时，可以通过解密从CA服务器接收到的已加密数字证书，将已解密的数字证书进行输出，发送至证书服务器；当数字证书匹配成功且为未加密状态(如普通数字证书)时，可以将该数字证书直接发送至证书服务器。

在一示例中，如图4所示，为基于数字证书进行身份认证的流程图，其可以表征证书服务器与客户端之间通过安全通信链路进行身份认证的交互过程，实现了在信息安全的基础上建立数字证书的身份认证过程，通过根据匹配条件和认证条件对用户的数字证书进行身份认证，将用户与数字证书密切连接，采用一对一的数字证书匹配，能够防止第三方等他人的非法冒用，提升了安全性，具有安全便捷、高效的优点。

通过上述实施例当根据账户信息，基于密钥交换匹配到第一数字证书时，确定第一数字证书的加密状态信息，加密状态信息包括已加密状态和未加密状态，若加密状态信息为已加密状态，解密第一数字证书，得到第二数字证书；若加密状态信息为未加密状态，将第一数字证书作为第二数字证书，能够防止第三方等他人的非法冒用，提升了安全性。

应该理解的是，虽然图1-4的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1-4中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图5所示，提供了一种基于数字证书的身份认证装置，应用于证书服务器，该证书服务器可以与客户端通过安全通信链路进行连接，包括：

证书请求信息接收模块501，用于响应于所述客户端发送的证书请求信息，向所述客户端返回第一数字证书；所述证书请求信息包括账户标识，所述第一数字证书为根据所述账户标识查验得到的数字证书；

待认证信息接收模块502，用于接收所述客户端通过所述安全通信链路发送的待认证信息；所述待认证信息包括账户信息和第二数字证书；所述账户信息包括账户密码和密钥密码；

身份认证模块503，用于若所述账户信息与所述第二数字证书满足预设匹配条件，根据所述账户密码和所述密钥密码，对所述第二数字证书进行身份认证，得到身份认证结果；

认证执行信息反馈模块504，若所述身份认证结果满足预设认证条件，向所述客户端反馈认证执行信息，以使所述客户端根据所述认证执行信息执行认证操作。

在一个实施例中，还包括：

查验模块，用于根据所述证书请求信息中的账户标识进行查验，确定待返回数字证书的密级类型；所述密级类型包括高保密类型：

密钥加密模块，用于当所述密级类型为所述高保密类型时，对所述待返回数字证书进行密钥加密，生成所述第一数字证书。

在一个实施例中，还包括：

比对模块，用于在安全模式下，将所述账户信息与所述第二数字证书进行比对；

相匹配模块，用于若所述账户信息与所述第二数字证书相匹配，判定所述账户信息与所述第二数字证书满足预设匹配条件；

不相匹配模块，用于若所述账户信息与所述第二数字证书不相匹配，向所述客户端发送匹配错误信息。

在一个实施例中，如图6所示，提供了另一种基于数字证书的身份认证装置，应用于客户端，该客户端可以与证书服务器通过安全通信链路进行连接，包括：

证书请求信息发送模块601，用于在检测到指定时间段内的密码输入操作时，生成证书请求信息并发送至所述证书服务器；所述证书请求信息包括所述密码输入操作对应的账户标识；

证书匹配模块602，用于接收所述证书服务器返回的第一数字证书，根据账户信息对所述第一数字证书进行密钥交换匹配，确定第二数字证书；所述第一数字证书为所述证书服务器根据所述账户标识查验得到的数字证书；所述账户信息包括基于所述密码输入操作获取的账户密码和密钥密码；

待认证信息发送模块603，用于通过所述安全通信链路向所述证书服务器发送待认证信息；所述待认证信息包括所述账户信息和所述第二数字证书；

认证操作执行模块604，用于接收所述证书服务器反馈的认证执行信息，采用所述认证执行信息执行认证操作。

在一个实施例中，所述证书请求信息发送模块601包括：

指定时间段确定子模块，用于获取针对密码输入操作的指定时间信息；所述指定时间信息包括指定时间段；所述密码输入操作包括账户密码输入操作和密钥密码输入操作；

检测操作子模块，用于在所述指定时间段的时间范围内，检测所述账户密码输入操作和所述密钥密码输入操作。

在一个实施例中，所述证书匹配模块602包括：

加密状态确定子模块，用于当根据所述账户信息，基于密钥交换匹配到所述第一数字证书时，确定所述第一数字证书的加密状态信息；所述加密状态信息包括已加密状态和未加密状态；

解密子模块，用于若所述加密状态信息为已加密状态，解密所述第一数字证书，得到所述第二数字证书；

未加密子模块，用于若所述加密状态信息为未加密状态，将所述第一数字证书作为所述第二数字证书。

关于一种基于数字证书的身份认证装置的具体限定可以参见上文中对于一种基于数字证书的身份认证方法的限定，在此不再赘述。上述一种基于数字证书的身份认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储基于数字证书的身份认证数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现基于数字证书的身份认证方法。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现基于数字证书的身份认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图7或图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

在一个实施例中，处理器执行计算机程序时还实现上述其他实施例中的基于数字证书的身份认证方法的步骤。

在一个实施例中，提供了另一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

在一个实施例中，计算机程序被处理器执行时还实现上述其他实施例中的基于数字证书的身份认证方法的步骤。

在一个实施例中，提供了另一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.一种基于数字证书的身份认证方法，其特征在于，应用于证书服务器，所述证书服务器与客户端通过安全通信链路进行连接，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，在所述向所述客户端返回第一数字证书的步骤之前，还包括：

3.根据权利要求1或2所述的方法，其特征在于，在所述若所述账户信息与所述第二数字证书满足预设匹配条件的步骤之前，还包括：

4.一种基于数字证书的身份认证方法，其特征在于，应用于客户端，所述客户端与证书服务器通过安全通信链路进行连接，所述方法包括：

5.根据权利要求4所述的方法，其特征在于，所述检测到指定时间段内的密码输入操作，包括：

6.根据权利要求4或5所述的方法，其特征在于，所述根据账户信息对所述第一数字证书进行密钥交换匹配，确定第二数字证书，包括：

7.一种基于数字证书的身份认证装置，其特征在于，应用于证书服务器，所述证书服务器与客户端通过安全通信链路进行连接，所述装置包括：

8.一种基于数字证书的身份认证装置，其特征在于，应用于客户端，所述客户端与证书服务器通过安全通信链路进行连接，所述装置包括：

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的基于数字证书的身份认证方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的基于数字证书的身份认证方法的步骤。