本申请提供了一种证书认证方法及装置,属于计算机技术领域。本申请中,当终端上更新了新证书时,由于新证书中包含根据该终端的旧证书的私钥生成的签名,因此,认证服务器可以使用终端的旧证书中的公钥来验证终端的新证书中的签名,在新证书中的签名验证通过的情况下,说明该认证请求的新证书是来自该终端的(即,对该终端认证通过),从而在终端上已经切换成新证书时,即使认证服务器上保存的仍然是该终端的老证书,也可以实现对该终端进行证书认证。因而,本申请的方案可以在保证证书认证的安全性的基础上,避免新旧证书切换期间由于终端和认证服务器上证书不同步导致认证失败的情况,从而实现平滑地认证。从而实现平滑地认证。从而实现平滑地认证。
【技术实现步骤摘要】
证书认证方法及装置
[0001]本申请涉及计算机
,特别涉及一种证书认证方法及装置。
技术介绍
[0002]证书认证是一种基于数字证书的身份鉴别方式。证书认证涉及三个角色:终端、证书签发服务器以及认证服务器。证书签发服务器负责为终端签发证书。终端会使用签发的证书向认证服务器发起认证流程。认证服务器会根据证书进行认证。
[0003]在证书认证场景下经常存在替换证书的需求。例如,当终端使用的证书过期、私钥文件丢失、损坏或发生泄漏等情况发生时,通常需要从证书签发服务器获取新证书,且将旧证书切换为新证书。
[0004]目前,在上述过程中,会存在因认证服务器上保存的终端的证书与终端上保存的证书不一致而导致终端认证失败的问题;即,在新旧证书切换期间,现有技术存在无法平滑地进行认证的问题。
技术实现思路
[0005]本申请实施例提供了一种证书认证方法及装置,有助于在新旧证书切换期间实现平滑地认证。所述技术方案如下。
[0006]第一方面,提供了一种证书认证方法。从认证服务器的角度来看,所述方法包括:接收来自终端的认证请求,所述认证请求包括第一证书以及所述终端的标识,所述第一证书包括签名;根据保存的标识与证书之间的关联关系,确定与所述终端的标识关联的第二证书;根据所述第二证书的公钥对所述第一证书中的签名进行验证。
[0007]在以上方法中,当终端上更新了证书时,由于新证书中包含根据该终端的旧证书的私钥生成的签名,因此,认证服务器可以使用终端的旧证书中的公钥来验证终端的新证书中的签名,在新证书中的签名验证通过的情况下,说明该认证请求的新证书是来自该终端的(即,对该终端认证通过),从而在终端上的证书已经切换成新证书时,即使认证服务器上保存的证书仍然是该终端的老证书,也可以实现对该终端进行证书认证。因而,本申请的方案可以在保证证书认证的安全性的基础上,避免新旧证书切换期间由于终端和认证服务器上证书不同步导致认证失败的情况,从而实现平滑地认证。
[0008]可选地,所述根据所述第二证书的公钥对所述第一证书中的签名进行验证包括:
[0009]根据所述第二证书的公钥以及所述第一证书中的第一信息,对所述第一证书中的签名进行验证;或者,
[0010]根据所述第二证书的公钥及所述终端的标识关联的第二信息,对所述第一证书中的签名进行验证。
[0011]可选地,所述第一信息为可识别名DN。
[0012]可选地,所述接收来自终端的认证请求之前,所述方法还包括:
[0013]接收所述终端的标识和所述第二证书,将所述终端的标识与所述第二证书加入到
所述保存的标识与证书之间的关联关系中。
[0014]可选地,所述方法还包括:接收第一服务器的证书;根据所述第一服务器的证书,验证所述第一证书是否由所述第一服务器签发。
[0015]第一服务器是提供签发证书服务的设备,第一服务器也可以称为证书签发服务器。
[0016]认证服务器通过利用签发者(如第一服务器)的证书,验证设备发来的证书是否由特定的签发者签发,从而避免非法机构签发的证书认证通过的情况,进一步提高认证的安全性。
[0017]可选地,所述接收来自终端的认证请求之后,所述方法还包括:在所述第一证书中的签名通过验证的情况下,将所述保存的标识与证书之间的关联关系中与所述终端的标识关联的所述第二证书更新为所述第一证书。
[0018]认证服务器在发现本地保存的证书为旧证书时,认证服务器通过将本地保存的证书替换为新证书,当后续认证服务器再次接收到终端的认证请求时,认证服务器能够直接使用本地保存的新证书对终端进行认证,从而避免认证服务器后续再次基于旧证书中的公钥对签名进行认证会产生的开销,从而更加便捷和高效。
[0019]第二方面,提供了一种证书获取方法,所述方法由终端执行,所述方法包括:
[0020]生成证书请求文件,所述证书请求文件包括根据所述终端的原证书的私钥生成的签名;
[0021]生成证书签发请求,所述证书签发请求指示第一服务器根据所述证书请求文件签发包括所述签名的证书;
[0022]向所述第一服务器发送所述证书签发请求;
[0023]接收来自所述第一服务器的目标证书,所述目标证书包括所述签名。
[0024]第一服务器是提供签发证书服务的设备,第一服务器也可以称为证书签发服务器。
[0025]终端通过使用原证书中的私钥生成签名,在证书请求文件中携带该签名,利用该证书请求文件来请求新证书,从而获得包含原证书的私钥签名的新证书。一方面,方便认证服务器通过原证书的公钥进行签名验证从而验证新证书的合法性,另一方面,能够自动化地替换证书,从而提高替换证书的效率。
[0026]可选地,所述签名是根据所述原证书的私钥对所述目标证书中的第一信息进行加密得到的;或者,
[0027]所述签名是根据所述原证书的私钥对所述第一信息的哈希值进行加密得到的;或者,
[0028]所述签名是根据所述原证书的私钥对所述终端的标识关联的第二信息进行加密得到的;或者,
[0029]所述签名是根据所述原证书的私钥对所述第二信息的哈希值进行加密得到的。
[0030]可选地,所述第一信息为可识别名DN。
[0031]可选地,所述接收来自所述第一服务器的目标证书之后,所述方法还包括:
[0032]根据所述目标证书生成认证请求,所述认证请求包括所述终端的标识和所述目标证书;
[0033]向第二服务器发送所述认证请求。
[0034]第二服务器是提供认证服务的设备,第二服务器也可以称为认证服务器。
[0035]可选地,所述向第二服务器发送所述认证请求之前,所述方法还包括:
[0036]向所述第二服务器发送所述终端的标识与所述原证书之间的关联关系,以便于所述第二服务器根据所述关联关系确定所述原证书。
[0037]可选地,所述向第二服务器发送所述认证请求之前,所述方法还包括:
[0038]向所述第二服务器发送所述第一服务器的证书,以便于所述第二服务器根据所述第一服务器的证书验证所述第一证书是否由所述第一服务器签发。
[0039]可选地,所述证书签发请求包括所述证书请求文件;或者,所述方法还包括:向所述第一服务器发送所述证书请求文件。
[0040]第三方面,提供了一种服务器,该服务器具有实现上述第一方面或第一方面任一种可选方式的功能。该服务器包括至少一个单元,至少一个单元用于实现上述第一方面或第一方面任一种可选方式所提供的方法。
[0041]在一些实施例中,服务器中的单元通过软件实现,服务器中的单元是程序模块。在另一些实施例中,服务器中的单元通过硬件或固件实现。第三方面提供的服务器的具体细节可参见上述第一方面或第一方面任一种可选方式,此处不再赘述。
[0042]第四方面,提供了一种终端,所述终端包括:
[0043]处理单元,用于生成证书请求文件,所述证书请求文本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种证书认证方法,其特征在于,所述方法包括:接收来自终端的认证请求,所述认证请求包括第一证书以及所述终端的标识,所述第一证书包括签名;根据保存的标识与证书之间的关联关系,确定与所述终端的标识关联的第二证书;根据所述第二证书的公钥对所述第一证书中的签名进行验证。2.根据权利要求1所述的方法,其特征在于,所述根据所述第二证书的公钥对所述第一证书中的签名进行验证包括:根据所述第二证书的公钥以及所述第一证书中的第一信息,对所述第一证书中的签名进行验证;或者,根据所述第二证书的公钥及所述终端的标识关联的第二信息,对所述第一证书中的签名进行验证。3.根据权利要求2所述的方法,其特征在于,所述第一信息为可识别名DN。4.根据权利要求1至3中任一项所述的方法,其特征在于,所述接收来自终端的认证请求之前,所述方法还包括:接收所述终端的标识和所述第二证书,将所述终端的标识与所述第二证书加入到所述保存的标识与证书之间的关联关系中。5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:接收第一服务器的证书;根据所述第一服务器的证书,验证所述第一证书是否由所述第一服务器签发。6.根据权利要求1至5中任一项所述的方法,其特征在于,所述接收来自终端的认证请求之后,所述方法还包括:在所述第一证书中的签名通过验证的情况下,将所述保存的标识与证书之间的关联关系中与所述终端的标识关联的所述第二证书更新为所述第一证书。7.一种服务器,其特征在于,所述服务器包括:接收单元,用于接收来自终端的认证请求,所述认证请求包括第一证书以及所述终端的标识,所述第一证书包括签名;处理单元,用于根据保存的标识与证书之间的关联关系,确定与所述终端的标识关联的第二证书;所述处理单元,还用于根据所述第二证书的公钥对所述第一证书中的签名进行验证。8.根据权利要求7...
【专利技术属性】
技术研发人员:李林茂,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。