技術領域

本發明涉及認證技術，尤其涉及一種用戶數字證書的認證方法及裝置。

背景技術

隨著網絡技術的發展，各種網絡的規模迅速擴大，網絡上各種安全問題變得日益復雜，建設可管、可控、可信的網絡成為進一步推進網絡應用發展的前提。隨著網絡所承載的業務日益復雜，保障使用網絡的用戶信息的安全也是一個重要的安全問題。

在現有技術中，為了保障用戶信息安全，需要對用戶進行身份認證，這也是絕大多數應用系統必不可少的一個重要功能。而認證方式也是多種多樣的，主要有用戶名密碼認證、硬件碼認證以及使用USBKEY的數字證書認證。其中最便捷也最安全的認證方式是數字證書認證方式。

數字證書認證是指通過計算機可識別的數字信息來唯一驗證操作人的物理身份的一種手段，利用以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性和唯一性。在網絡上存在大量待驗證的用戶時，這對服務端的處理性能會構成極大的考驗，如何保證驗證過程的快速、穩定同時又不失安全性是業界面臨的技術難題。

發明內容

本發明提供一種用戶數字證書的認證裝置，該方法應用于服務器上，該裝置包括：

存儲單元，用于通過配置接口接收管理者下發的認證策略，所述認證策略包括用戶數字證書認證過程中需要認證的內容選項；

收發單元，用于在用戶通過客戶端向服務器發起連接后，向客戶端發出HTTPS重定向指令，其中該重定向指令包括表征SSL應用的目標端口號；

SSL處理單元，接收客戶端的建立SSL連接請求，并在SSL協商過程中根據所述需要認證的內容選項從用戶的數字證書中提取相應的內容選項進行校驗，并將校驗結果輸出作為用戶數字證書認證結果，并在用戶數字證書認證通過時與用戶客戶端在SSL連接上收發業務數據。

本發明還提供一種用戶數字證書的認證方法，該方法應用于服務器上，該方法包括：

A、通過配置接口接收管理者下發的認證策略，所述認證策略包括用戶數字證書認證過程中需要認證的內容選項；

B、在用戶通過客戶端向服務器發起連接后，向客戶端發出HTTPS重定向指令，其中該重定向指令包括表征SSL應用的目標端口號；

C、接收客戶端的建立SSL連接請求，并在SSL協商過程中根據所述需要認證的內容選項從用戶的數字證書中提取相應的內容選項進行校驗，并將校驗結果輸出作為用戶數字證書認證結果，并在用戶數字證書認證通過時與用戶客戶端在SSL連接上收發業務數據。

本發明通過在SSL協商過程中指定更為簡化的認證策略，使得對于用戶數字證書的認證過程被簡化，而且通過認證少量的重要的內容選項，確保了較高的安全性，同時大幅度節約了服務端的處理資源。

附圖說明

圖1是本發明一種實施方式中數字證書認證裝置的邏輯結構圖。

具體實施方式

下面結合附圖及以計算機程序實現為例對本發明再作進一步詳細的說明。本發明通過預先設定證書認證策略并借助SSL握手協商過程與協商結果在保證證書認證安全性的前提下完成證書認證過程。請參考圖1，本發明一種的實施方式中（以計算機程序實現為例）的數字證書認證裝置包括存儲單元、配置接口、身份認證單元、SSL處理單元以及收發單元。以下結合SSL握手協商過程描述本發明如何實現簡潔有效的證書認證過程。

步驟101，存儲單元通過配置接口接收管理者下發的認證策略，所述認證策略包括用戶數字證書認證過程中需要認證的內容選項；

在本實施方式中，證書的認證是在SSL握手協商過程中完成的，而證書中有許多內容選項，用戶下發的需要認證的內容選項是用戶根據自己的安全需求以及實際應用場景所指定的，通常并不是全部內容選項，而是部分內容選項，一般不超過三項；通常來說，可以僅包括用戶的CA簽名一個內容選項即可確保較高的安全性。

步驟102，用戶通過自身的客戶端向服務器發起連接；

步驟103，身份認證單元向用戶的客戶端發送登錄界面，通過收發單元接收來自客戶端的用戶名與密碼，并對用戶名和密碼進行校驗；

用戶登錄系統進行證書認證之前，為了提高安全性，比如防止某些消耗服務端資源的暴力攻擊等，很多系統都會前置用戶名與密碼校驗的頁面，甚至可以包括登錄驗證碼的輸入要求。當然在實際應用中步驟103并不是必須的，在安全環境較佳的場景這一步驟可以省略。

步驟104，收發單元向客戶端發出HTTPS重定向指令，該重定向指令包括表征SSL應用的目標端口號；