一种基于数字证书的身份认证方法、系统及可读存储介质与流程

本发明涉及身份访问管理领域，尤其是涉及一种基于数字证书的身份认证方法、系统及可读存储介质。

背景技术：

1、数字证书是一种基于公钥密码学的技术，用于验证网络通信中的身份和信任，数字证书使用数字签名和加密等技术，通过可信的数字证书认证机构（ca）来验证证书的有效性。

2、目前数字证书已广泛应用于网络通信安全和身份认证和授权等领域中，如员工连接企业内网时，数字证书可以用于员工的身份认证。

3、然而，当普通用户（如一些中小企业）想要使用数字证书进行身份认证时需要建立一个数字证书认证机构，并在客户端上建立和管理证书使用，使用客户端将客户端证书下发到用户电脑，由于数字证书技术的实施与搭建操作比较繁琐且技术门槛较高，因此普通用户可能没有足够的技术能力来建立、运营数字证书认证机构。

技术实现思路

1、本技术提供了一种基于数字证书的身份认证方法、系统及可读存储介质，用于在收到服务端发送的证书缺失请求的情况下，数字证书认证机构根据服务端数据生成当前服务端证书和与当前服务端证书对应的认证机构证书，并将当前服务端证书和认证机构证书发送给服务端，数字证书认证机构根据客户端数据生成与认证机构证书对应的当前客户端证书，并将该当前客户端证书和认证机构证书发送给客户端，使得服务端发送证书缺失请求即可完成数字证书技术验证客户端身份，简化数字证书的使用流程，使得普通用户无需自己搭建数字证书认证机构，更容易进行数字证书身份认证。

2、第一方面，本技术提供了一种基于数字证书的身份认证方法，该方法包括：数字证书认证机构在收到服务端发送的证书缺失请求的情况下，该数字证书认证机构根据服务端数据生成当前服务端证书和与该当前服务端证书对应的认证机构证书，该证书缺失请求包括服务端数据和客户端数据，该证书缺失请求为该服务端在与该客户端进行数字证书认证时，确定缺失服务端证书和客户端证书的的情况下发出的；该数字证书认证机构将该当前服务端证书和该认证机构证书发送给该服务端；该数字证书认证机构根据该客户端数据生成与该认证机构证书对应的当前客户端证书；该数字证书认证机构将该当前客户端证书和该认证机构证书发送给该当前客户端。

3、通过采用上述技术方案，在收到服务端发送的证书缺失请求的情况下，数字证书认证机构根据服务端数据生成当前服务端证书和与当前服务端证书对应的认证机构证书并将当前服务端证书和认证机构证书发送给服务端，数字证书认证机构根据客户端数据生成与认证机构证书对应的当前客户端证书并将该当前客户端证书和认证机构证书发送给当前客户端，使得服务端发送证书缺失请求即可完成数字证书技术验证客户端身份，简化数字证书的使用流程，使得普通用户无需自己搭建数字证书认证机构，更容易进行数字证书身份认证。

4、结合第一方面的一些实施例，在一些实施例中，在该数字证书认证机构将该当前客户端证书和该认证机构证书发送给该当前客户端的步骤之后，该步骤还包括：该服务端发送该当前服务端证书给该客户端，使该客户端对该当前服务端证书进行验证，该当前服务端证书包括服务端签名、服务端加密算法、服务端证书内容；在该服务端收到该当前客户端发送的验证成功指令和该当前客户端证书的情况下，该服务端利用该认证机构证书解密客户端签名得到第一哈希值，该当前客户端证书包括客户端签名、客户端加密算法、客户端证书内容；该服务端利用该服务端加密算法对该当前客户端证书内容进行加密得到第二哈希值；该服务端判断该第一哈希值与该第二哈希值是否相同；若相同，则允许该客户端与该服务端进行联网。

5、通过采用上述技术方案，服务端利用认证机构证书解密客户端签名得到第一哈希值，利用该服务端加密算法对当前客户端证书内容进行加密得到第二哈希值，若第一哈希值与第二哈希值相同，则允许客户端与服务端进行联网，能够确保客户端的身份真实性和合法性，可以防止身份伪装和中间人攻击等安全威胁，增强了身份认证的安全性。

6、结合第一方面的一些实施例，在一些实施例中，该服务端发送该当前服务端证书给该客户端，使该客户端对该当前服务端证书进行验证，该步骤具体包括：该服务端发送该当前服务端证书给该客户端；该客户端接收该服务端发送的该当前服务端证书；该客户端利用认证机构证书解密该服务端签名得到第三哈希值。该客户端利用该服务端加密算法对该服务端证书内容进行加密得到第四哈希值；该客户端判断该第三哈希值与该第四哈希值是否相同；若相同，则该客户端发送该当前客户端证书和验证成功指令给该服务端。

7、通过采用上述技术方案，客户端利用认证机构证书解密服务端签名得到第三哈希值，并利用服务端加密算法对该当前服务端证书内容进行加密得到第四哈希值，若第三哈希值与第四哈希值相同则客户端发送当前客户端证书和验证成功指令给服务端，使得客户端能够确保服务端的身份真实性与合法性，为客户端提供了更强的安全保障。

8、结合第一方面的一些实施例，在一些实施例中，在数字证书认证机构在收到服务端发送的证书缺失请求的情况下，该数字证书认证机构根据服务端数据生成当前服务端证书和与该当前服务端证书对应的认证机构证书的步骤之前，该步骤还包括：当数字证书认证机构接收到服务端发送的创建证书请求和证书数据时，该数字证书认证机构根据该证书数据生成创建证书指令信息；向该服务端发送创建证书指令信息，使该服务端将该创建证书指令信息输入第三方数字证书认证机构得到第三方认证机构证书；在该数字证书认证机构接收到该服务端发送的该第三方认证机构证书的情况下，该数字证书认证机构将该第三方认证机构证书配置为与该服务端对应的认证机构证书。

9、通过采用上述技术方案，服务端可以将数字证书认证机构提供的创建证书指令信息输入第三方数字证书认证机构获取第三方认证机构证书，使得服务端可以根据需求选择所需第三方认证机构证书，给予了服务端可选择性，以帮助服务端满足特定的安全性要求。

10、结合第一方面的一些实施例，在一些实施例中，在该数字证书认证机构根据该客户端数据生成与该认证机构证书对应的当前客户端证书的步骤之后，该步骤还包括：该数字证书认证机构从预设员工数据库中获取该客户端数据对应的员工工作状态；当该员工工作状态为已离职时，该数字证书认证机构将该客户端证书的证书状态更新为已吊销。

11、通过采用上述技术方案，若员工工作状态为已离职时，数字证书认证机构将客户端证书的证书状态更新为已吊销，可以有效地阻止已离职的员工访问服务端的敏感信息和系统，防止离职员工滥用权限或利用证书继续访问公司资源从而提高安全性，保护数据和系统。

12、结合第一方面的一些实施例，在一些实施例中，在该数字证书认证机构根据该客户端数据生成与该认证机构证书对应的当前客户端证书的步骤之后，该步骤还包括：该数字证书认证机构根据预设检测周期对该当前客户端证书的证书剩余有效期进行检测；若该证书剩余有效期小于预设续签时间，该数字证书认证机构对该当前客户端证书进行续签，使该证书剩余有效期更新至该预设续签时间。

13、通过采用上述技术方案，当客户端证书的证书有效期小于预设续签时间则对该客户端证书进行续签使其证书剩余有效期更新至预设续签时间，可以确保客户端证书的持续有效性，从而保持对系统和资源的安全访问，同时不需要进行手动续签可以减少人工干预的需求，简化证书管理过程。

14、结合第一方面的一些实施例，在一些实施例中，在该数字证书认证机构将该当前客户端证书和该认证机构证书发送给该当前客户端的步骤之后，该步骤还包括：该数字证书认证机构根据该认证机构证书的证书序列号将该认证机构证书进行排列显示；当该当前服务端对该证书序列号进行点击操作时，该计算机显示该认证机构证书的详细信息，该详细信息包括证书有效期、证书主体、证书颁发者。

15、通过采用上述技术方案，当服务端对书序列号进行点击操作时可以显示认证机构证书的详细信息，可以帮助服务端验证证书的有效性和真实性，助于保护用户和系统的安全。

16、第二方面，本技术实施例提供一种基于数字证书的身份认证系统，该身份认证系统包括服务端和客户端，该身份认证系统包括数字证书认证机构，该数字证书认证机构包括：判断模块，发送模块，写入模块，获取模块，同步模块。

17、第一生成模块，在收到服务端发送的证书缺失请求的情况下，根据服务端数据生成当前服务端证书和与该当前服务端证书对应的认证机构证书，该证书缺失请求包括服务端数据和客户端数据，该证书缺失请求为该服务端在与该客户端进行数字证书认证时，确定缺失服务端证书和客户端证书的的情况下发出的；

18、第一发送模块，将该当前服务端证书和该认证机构证书发送给该服务端；

19、第二生成模块，根据客户端数据生成当前客户端证书和与该当前客户端证书对应的认证机构证书；

20、第二发送模块，将该当前客户端证书和该认证机构证书发送给该客户端。

21、第三方面，本技术实施例提供了一种基于数字证书的身份认证系统，该系统包括：一个或多个处理器和存储器；该存储器与该一个或多个处理器耦合，该存储器用于存储计算机程序代码，该计算机程序代码包括计算机指令，该一个或多个处理器调用该计算机指令以使得该系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。

22、第四方面，本技术实施例提供一种基于数字证书的身份认证系统可读存储介质，包括指令，当上述指令在系统上运行时，使得上述系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。

23、本技术实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

24、1.本技术通过在收到服务端发送的证书缺失请求的情况下，数字证书认证机构根据服务端数据生成当前服务端证书和与当前服务端证书对应的认证机构证书并将当前服务端证书和认证机构证书发送给服务端，数字证书认证机构根据客户端数据生成与认证机构证书对应的当前客户端证书并将该当前客户端证书和认证机构证书发送给当前客户端，使得服务端发送证书缺失请求即可完成数字证书技术验证客户端身份，简化数字证书的使用流程，使得普通用户无需自己搭建数字证书认证机构，更容易进行数字证书身份认证。

25、2.本技术通过服务端利用认证机构证书解密客户端签名得到第一哈希值，利用该服务端加密算法对当前客户端证书内容进行加密得到第二哈希值，若第一哈希值与第二哈希值相同，则允许客户端与服务端进行联网，能够确保客户端的身份真实性和合法性，可以防止身份伪装和中间人攻击等安全威胁，增强了身份认证的安全性。

26、3.本技术通过服务端可以将数字证书认证机构提供的创建证书指令信息输入第三方数字证书认证机构获取第三方认证机构证书，使得服务端可以根据需求选择所需第三方认证机构证书，给予了服务端可选择性，以帮助服务端满足特定的安全性要求。