[发明专利]一种基于证书的分布式身份验证方法及系统

说明书

本发明公开了一种基于证书的分布式身份验证方法及系统，其中，方法包括：当需要申请证书时，客户端生成一包含公钥和私钥的密码对，并将公钥及用户信息发送至验证服务器；验证服务器接收到客户端发送的公钥及用户信息后，对用户信息进行验证；若验证成功，则签发客户端的证书并返回至客户端；当客户端接收到验证服务器返回的证书时，将证书与私钥合并保存在客户端；在客户端获得当前证书后，即可利用所述证书向验证服务器发起续签证书、修改验证信息、变更证书功能的连接，也可向业务服务器发起业务请求连接。本发明实施例即使通讯被完全截获，也无法通过所截获的信息进行其他操作，且减少了需要访问用户信息的服务器，节约了性能开销。

技术领域

本发明涉及通信技术领域，特别涉及一种基于证书的分布式身份验证方法及系统。

背景技术

在客户端、服务器分离的程序模型中，服务器需要对客户端进行验证，确认使用者的身份。在常见的场景中，例如一个登录界面，客户需要在界面中录入自己的身份信息，服务端确认信息正确后，方可允许客户端以此身份进行后续操作。在验证信息后，通常有两个问题需要解决：一是双方如何保存这种信任关系，也就是不需要客户每一步操作均需要填写自己的用户名和密码；二是如何控制信任关系的传递范围，即客户不希望任何人通过截获了自己的请求，就可以模拟自己的身份与服务器通讯；也不希望当服务器数量较多时，每台服务器均需要独立验证身份。目前常见的认证方法有三种：

1、客户端将自己的用户信息含验证信息(例如密码)以某种加密形式保存，并在每次访问服务器的时候，将这些信息提交到服务端。这个信息由客户端生成并保存。这种方法通常只能用于客户端应用，不能良好的适配网页浏览器。

2、客户端将自己的用户信息含验证信息以某种加密形式，放置于HTTP请求的cookie(cookie的类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据(通常经过加密)，由用户客户端计算机暂时或永久保存的信息)中。通常由服务器网页程序在验证用户身份后，设置这个cookie信息。在设置后，客户端每次访问服务器都会附带有这个cookie信息。

3、客户端在服务器网页验证用户身份后，服务器将用户信息(Session)保存，并发与客户端一个加密的序列号(可以保存在cookie中)。客户端将这个序列号保存，并在每次提交时附带这个序列号。

然而，如果通信被截获，截获者可以通过截取上述验证信息，并以此验证信息作为用户身份进行操作；在每次用户进行登录时，服务器均需对用户进行验证，带来诸多不便和额外性能开销。并且，一旦算法泄露，截获者可通过制造一个假的cookie来骗过服务器验证。因此，为了避免上述情况发生，服务器通常还会再记录这个用户的一些其他信息，比如访问者IP。但如果用户变更了自己的IP，会导致验证失败而重新验证。

发明内容

本发明的目的是提供一种基于证书的分布式身份验证方法及系统，旨在解决现有技术中因通讯被截获后截获者利用截取的信息进行操作而使用户遭受损失及用户进行操作时需多次向服务器进行验证而导致的额外性能开销等问题。

本发明实施例提供一种基于证书的分布式身份验证方法，其包括：

当需要申请证书时，客户端生成一包含公钥和私钥的密码对，并将所述公钥及用户信息发送至验证服务器；所述验证服务器接收到客户端发送的公钥及用户信息后，对所述用户信息进行验证；若验证成功，则签发客户端的证书并返回至客户端；当客户端接收到验证服务器返回的证书时，将所述证书与私钥合并保存在客户端；

当需要对所述证书进行续签、对所述证书的验证信息进行修改或者对所述证书的功能进行变更时，则客户端重新生成一个包含公钥和私钥的密码对，使用当前证书向所述验证服务器发起连接，并提交重新生成的公钥；所述验证服务器在验证当前证书的合法性后，根据重新生成的公钥签发新的证书并返回至客户端；