[发明专利]一种基于证书的分布式身份验证方法及系统

权利要求书

1.一种基于证书的分布式身份验证方法，其特征在于，包括：

当需要申请证书时，客户端生成一包含公钥和私钥的密码对，并将所述公钥及用户信息发送至验证服务器；所述验证服务器接收到客户端发送的公钥及用户信息后，对所述用户信息进行验证；若验证成功，则签发客户端的证书并返回至客户端；当客户端接收到验证服务器返回的证书时，将所述证书与私钥合并保存在客户端；

当需要对所述证书进行续签、对所述证书的验证信息进行修改或者对所述证书的功能进行变更时，则客户端重新生成一个包含公钥和私钥的密码对，使用当前证书向所述验证服务器发起连接，并提交重新生成的公钥；所述验证服务器在验证当前证书的合法性后，根据重新生成的公钥签发新的证书并返回至客户端；

当需要发起业务请求时，所述客户端使用当前证书对业务服务器发起连接，并提交业务功能所需的数据；所述业务服务器验证当前证书的合法性，若验证通过，则读取证书中的身份信息和附加信息，验证其是否有访问所述业务功能的权限，并在有权情况下执行相应业务功能，返回结果至客户端。

2.根据权利要求1所述的基于证书的分布式身份验证方法，其特征在于，还包括：

将一证书颁发机构本身的证书和对应的私钥或由上层证书颁发机构签发的证书以及对应的私钥，配置于所述验证服务器；

将配置于所述验证服务器的证书配置于所述业务服务器和客户端，以使所述业务服务器和客户端信任此证书作为可信的证书颁发机构；并将所述证书中的校验信息配置于所述业务服务器，以便对所述证书颁发机构进行验证。

3.根据权利要求1所述的基于证书的分布式身份验证方法，其特征在于，还包括：

所述客户端使用当前证书对业务服务器发起高安全限定业务连接请求；

所述业务服务器验证当前证书的合法性；

若验证通过，则所述业务服务器生成一个随机值，将所述随机值与当前证书关联记录在所述业务服务器的本地内存中，并将随机值返回至客户端。

4.根据权利要求3所述的基于证书的分布式身份验证方法，其特征在于，还包括：

所述客户端使用当前证书向所述验证服务器发起连接，并将所述随机值作为待签名的数据块提交至所述验证服务器；

所述验证服务器在验证当前证书的合法性后，检验所述数据块是否符合签名的要求，若符合，则使用验证服务器自身证书的私钥对所述数据块进行签名，并发回客户端。

5.根据权利要求4所述的基于证书的分布式身份验证方法，其特征在于，还包括：

所述客户端使用当前证书向所述业务服务器发起连接，并将已签名的数据块一同发送至所述业务服务器；

所述业务服务器在验证当前证书的合法性后，提取已签名的数据块，并检验所述数据块的签名是否为所述证书颁发机构本身的证书对应的私钥对此数据块的签名；若是，则将当前证书中的识别信息加入特别授信列表。

6.根据权利要求5所述的基于证书的分布式身份验证方法，其特征在于，还包括：

所述客户端使用当前证书向所述业务服务器发起高安全限定业务连接；

所述业务服务器在验证当前证书合法性后，读取当前证书中的信息，检查当前证书的识别信息是否在所述特别授信列表内；

若当前证书的识别信息在所述特别授信列表内，则执行对应的高安全限定业务的功能。