[发明专利]一种基于受信任证书的动态权限验证系统及方法

说明书

技术领域

本发明涉及计算机应用技术领域，具体地说是一种基于受信任证书的动态权限验证系统及方法。

背景技术

超文本传输协议（HTTP协议）被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。

为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议（HTTPS协议）。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下几点：

一、https协议需要到CA申请证书。

二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。

三、http的连接很简单，是无状态的。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

近年来，由于计算机网络的迅速发展，一些关键业务系统的权限验证安全性得到了越来越多的重视，而基于受信任证书的权限验证方式是其中重要的一种，基于此，本发明提供一种于受信任证书的动态权限验证的技术。

发明内容

本发明的技术任务是针对以上不足之处，提供一种基于受信任证书的动态权限验证系统及方法。

一种基于受信任证书的动态权限验证系统，包括，

客户端；

服务端；

信任库，以列表形式存储所有可信任证书信息，用于客户端、服务端之间信息加密通信时的证书验证。

所述信任库用于服务端验证接收到的客户端证书是否可信任，该验证通过动态验证类实现，所述动态验证类的验证过程为：

首先动态验证类判断信任库是否被修改过，如果信任库已发生改变，重新加载信任库的内容，重新加载信任库完成之后，判断当前客户端证书是否在信任证书列表中；

如果信任库未发生改变，直接判断当前客户端证书是否在信任证书列表中。

所述动态验证类通过一个可全局访问的属性作为标识来判断信任库是否被修改过，该属性包括全局变量、磁盘上的文件、数据库中的记录。

一种基于受信任证书的动态权限验证方法，基于上述系统，其实现步骤为：

一、首先验证客户端、服务端的证书版本信息是否合法；

二、验证合法后，服务端通过信任库判断客户端证书是否合法；

三、选择加密方案，服务端使用收到的公钥加密后发送给客户端；

四、客户端使用私钥解密后产生新的对称加密密钥，加密后发送给服务端；

五、服务端使用私钥解密，获得对称加密密钥；

六、客户端、服务端进行对称加密，确保通信安全。

所述步骤一的过程为：

客户端发送客户端证书版本信息给服务端；

服务端给客户端返回服务端证书版本、随机数信息，以及服务器公钥；

客户端校验服务端证书是否合法，合法继续，否则告警。

所述步骤二中，在验证合法后，客户端将自己的证书及公钥发送至服务端，服务端对客户端证书进行校验，校验结束后获得客户端公钥，然后客户端发送自己可支持的对称加密方案给服务端，供服务端选择。

服务端对客户端证书进校验的过程为：

首先配置一标识，来表示信任库是否被修改过；

判断上述标识，如果信任库已经修改，则重新加载信任库，重新加载信任库完成之后，将全局标识重置为未修改的状态，然后判断当前客户端证书是否在信任证书列表中；

如果信任库未发生改变，直接判断当前客户端证书是否在信任证书列表中。

所述标识为一个可全局访问的属性，该属性包括全局变量、磁盘上的文件、数据库中的记录，表示信任库是否被修改过。

所述步骤三的过程为：

服务端根据客户端发送来的对称加密方案选择加密方式；

服务端将选择好的加密方案使用客户端公钥进行加密后发送给客户端。

所述步骤四的过程为：

客户端收到加密方式后，使用私钥进行解密，产生随机码，作为对称加密密钥，使用服务端公钥进行加密后，发送给服务端，然后再由服务端使用私钥对加密进行进行解密，获得对称加密的密钥。