一种身份校验方法以及相关装置制造方法及图纸

本发明专利技术实施例公开了一种身份校验方法，包括：服务器获取终端的第一证书，并对第一证书进行身份校验，第一证书为终端的自签名证书；当服务器对第一证书进行身份校验失败时，服务器向终端发送证书信息；服务器生成第二证书；服务器使用第二证书与终端之间建立通信连接。本发明专利技术实施例还公开了一种身份校验装置。本发明专利技术实施例提供了一种方法，终端在使用自签名证书进行身份校验时，向终端发送经过服务器认证的新签名证书，终端和服务器可以使用新签名证书进行通信，提升了身份校验的安全性，降低信息泄露的风险。

An Identity Checking Method and Related Devices

The embodiment of the present invention discloses an identity verification method, which includes: the server obtains the first certificate of the terminal and verifies the identity of the first certificate, the first certificate is the self-signed certificate of the terminal; when the server fails to verify the identity of the first certificate, the server sends the certificate information to the terminal; the server generates the second certificate; the server uses the second certificate and the terminal. Establish a communication connection between them. The embodiment of the present invention also discloses an identity verification device. The embodiment of the present invention provides a method for a terminal to send a new signature certificate authenticated by a server to the terminal when using self-signature certificate for identity verification. The terminal and the server can communicate with each other using the new signature certificate, which improves the security of identity verification and reduces the risk of information leakage.

【技术实现步骤摘要】
一种身份校验方法以及相关装置
本专利技术涉及网络安全领域，尤其涉及一种身份校验方法以及相关装置。
技术介绍
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在互联网上验证通信实体身份的方式，人们可以在网上用它来识别对方的身份，由受信任的证书授权中心(certificateauthority，CA)在验证通信实体身份后颁发，具有身份验证和数据传输加密功能。随着互联网技术的应用与发展，终端对网络通信的安全性提出了更高的要求。因此，超文本传输安全协议(hypertexttransferprotocoloversecuresocketlayer，HTTPS)得到了越来越广泛的应用。HTTPS是通过安全套接层(securitysocketlayer，SSL)证书实现身份验证和数据加密。SSL证书是数字证书的一种。SSL证书可以由CA颁发也可以由服务器自签发，当SSL证书为服务器自签发时，称为自签名证书。当不同的通信实体之间进行通信时，需要使用数字证书进行身份校验，在校验成功后才可以建立安全通信通道。当使用自签名证书进行身份校验时，采用的方法为对终端发送安全确认提示，当接收到终端的确认回复后，即通过身份校验。这种处理方法易形成安全漏洞，造成信息泄露。
技术实现思路
本专利技术实施例提供了一种身份校验方法以及相关装置，实现了终端在使用自签名证书进行身份校验时，服务器在对自签名证书进行校验后，向终端发送经过服务器认证的新签名证书，终端和服务器可以使用新签名证书进行通信，提升了身份校验的安全性，降低信息泄露的风险。有鉴于此，本专利技术第一方面提供了一种身份校验方法，包括：服务器获取终端的第一证书，并对所述第一证书进行身份校验，所述第一证书为所述终端的自签名证书；当所述服务器对所述第一证书进行身份校验失败时，所述服务器向所述终端发送证书信息，所述证书信息中至少包括所述服务器的根证书，以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息；所述服务器根据接收到的所述第一身份信息生成第二证书；所述服务器使用所述第二证书与所述终端之间建立通信连接。结合本专利技术实施例的第一方面，在第一方面的第一种可能的实现方式中，所述服务器获取终端的第一证书之前，所述方法还包括：所述服务器接收所述终端发送的第二身份信息，所述第一身份信息中至少包括所述终端的统一资源定位符URL；所述服务器获取终端的第一证书，包括：所述服务器根据所述URL获取所述第一证书。结合本专利技术实施例的第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述对所述第一证书进行身份校验，包括：所述服务器使用所述根证书与所述第一证书进行对比；若所述根证书与所述第一证书的对比结果一致，则身份校验成功；若所述根证书与所述第一证书的对比结果不一致，则身份校验失败。结合本专利技术实施例的第一方面的第二种可能的实现方式，本专利技术实施例的第一方面的第三种可能的实现方式中，所述服务器根据接收到的所述第一身份信息生成第二证书之后，所述方法还包括：所述服务器向所述终端发送所述第二证书，以使得所述终端根据接收到的所述第二证书更新所述第一证书，并使用所述第二证书与所述服务器之间建立通信连接。结合本专利技术实施例的第一方面至第一方面的第三种可能的实现方式中的任一种实现方式，本专利技术实施例的第一方面的第四种可能的实现方式中，所述服务器向所述终端发送所述证书信息之后，所述服务器根据接收到的所述第一身份信息生成第二证书之前，所述方法还包括：所述服务器向所述终端发送要求证书请求，以使得所述终端根据所述要求证书请求发送所述第一身份信息。本专利技术第二方面提供了一种身份校验装置，所述身份校验装置包括：校验模块，用于服务器获取终端的第一证书，并对所述第一证书进行身份校验，所述第一证书为所述终端的自签名证书；发送模块，用于当所述服务器对所述第一证书进行身份校验失败时，所述服务器向所述终端发送证书信息，所述证书信息中至少包括所述服务器的根证书，以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息；生成模块，用于根据接收到的所述第一身份信息生成第二证书；通信模块，用于所述服务器使用所述第二证书与所述终端之间建立通信连接。结合本专利技术实施例的第二方面，在第二方面的第一种可能的实施例中，提供了一种身份校验装置，包括：接收模块，用于接收所述终端发送的第二身份信息，所述第一身份信息中至少包括所述终端的统一资源定位符URL；获取模块，用于根据所述URL获取所述第一证书。结合本专利技术实施例的第二方面的第一种可能的实施例，在第二方面的第二种可能的实施例中，提供了一种身份校验装置，包括：对比模块，用于使用所述根证书与所述第一证书进行对比；若所述根证书与所述第一证书的对比结果一致，则身份校验成功；若所述根证书与所述第一证书的对比结果不一致，则身份校验失败。结合本专利技术实施例的第二方面的第二种可能的实施例，在第二方面的第三种可能的实施例中，提供了一种身份校验装置，包括：发送模块，还用于向所述终端发送所述第二证书，以使得所述终端根据接收到的所述第二证书更新所述第一证书，并使用所述第二证书与所述服务器之间建立通信连接。结合本专利技术实施例的第二方面至第一方面的第三种可能的实现方式中的任一种实现方式，本专利技术实施例的第二方面的第四种可能的实现方式中，提供了一种身份校验装置，包括：发送模块，还用于所述服务器向所述终端发送要求证书请求，以使得所述终端根据所述要求证书请求发送所述第一身份信息。从以上技术方案可以看出，本专利技术实施例具有以下优点：本专利技术实施例中，提供了一种身份校验方法，服务器获取终端的第一证书，并对所述第一证书进行身份校验，所述第一证书为所述终端的自签名证书；当所述服务器对所述第一证书进行身份校验失败时，所述服务器向所述终端发送证书信息，所述证书信息中至少包括所述服务器的根证书，以使得所述终端将所述根证书添加至信任列表中并向所述服务器发送第一身份信息；所述服务器根据接收到的所述第一身份信息生成第二证书；所述服务器使用所述第二证书与所述终端之间建立通信连接。通过上述方式，终端在使用自签名证书进行身份校验时，服务器在对自签名证书进行校验后，向终端发送经过服务器认证的新签名证书，终端和服务器可以使用新签名证书进行通信，提升了身份校验的安全性，降低信息泄露的风险。附图说明图1为本专利技术实施例中身份校验方法的系统架构示意图；图2为本专利技术实施例中身份校验方法的一个应用场景流程示意图；图3为本专利技术实施例中身份校验方法的另一个应用场景流程示意图；图4为本专利技术实施例中身份校验方法的一个实施例示意图；图5为本专利技术实施例中身份校验装置的一个实施例示意图；图6为本专利技术实施例中身份校验装置的一个实施例示意图；图7为本专利技术实施例中身份校验装置的一个实施例示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似本文档来自技高网...

【技术保护点】
1.一种身份校验方法，其特征在于，所述方法包括：服务器获取终端的第一证书，并对所述第一证书进行身份校验，所述第一证书为所述终端的自签名证书；当所述服务器对所述第一证书进行身份校验失败时，所述服务器向所述终端发送证书信息，所述证书信息中至少包括所述服务器的根证书，以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息；所述服务器根据接收到的所述第一身份信息生成第二证书；所述服务器使用所述第二证书与所述终端之间建立通信连接。

【技术特征摘要】
1.一种身份校验方法，其特征在于，所述方法包括：服务器获取终端的第一证书，并对所述第一证书进行身份校验，所述第一证书为所述终端的自签名证书；当所述服务器对所述第一证书进行身份校验失败时，所述服务器向所述终端发送证书信息，所述证书信息中至少包括所述服务器的根证书，以使得所述终端将所述根证书确定为可信任证书并向所述服务器发送第一身份信息；所述服务器根据接收到的所述第一身份信息生成第二证书；所述服务器使用所述第二证书与所述终端之间建立通信连接。2.根据权利要求1所述的方法，其特征在于，所述服务器获取终端的第一证书之前，所述方法还包括：所述服务器接收所述终端发送的第二身份信息，所述第一身份信息中至少包括所述终端的统一资源定位符URL；所述服务器获取终端的第一证书，包括：所述服务器根据所述URL获取所述第一证书。3.根据权利要求2所述的方法，其特征在于，所述对所述第一证书进行身份校验，包括：所述服务器使用所述根证书与所述第一证书进行对比；若所述根证书与所述第一证书的对比结果一致，则身份校验成功；若所述根证书与所述第一证书的对比结果不一致，则身份校验失败。4.根据权利要求3所述的方法，其特征在于，所述服务器根据接收到的所述第一身份信息生成第二证书之后，所述方法还包括：所述服务器向所述终端发送所述第二证书，以使得所述终端根据接收到的所述第二证书更新所述第一证书，并使用所述第二证书与所述服务器之间建立通信连接。5.根据权利要求1至4中任一项所述的方法，其特征在于，所述服务器向所述终端发送所述证书信息之后，所述服务器根据接收到的所述第一身份信息生成第二证书之前，所述...

【专利技术属性】
技术研发人员：马旭，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41