[发明专利]一种证书校验终端、方法及装置

说明书

本发明公开了一种证书校验终端，包括开启双向证书认证的证书校验服务器和未开启双向证书认证的token校验服务器。还公开了一种证书校验方法，包括以下步骤：用户端登录应用服务器时跳转到证书校验服务器，证书校验服务器进行校验；证书校验服务器将校验结果返回至应用服务器，应用服务器将返回校验结果发送至token校验服务器；token校验服务器进行匹配校验，将校验结果反馈至应用服务器。最后公开了一种证书校验装置，需要使用的服务端只需要对接下相应的地址，即可进行双向证书认证操作，非常方便；而且动态生成证书后，无需进行系统重启即可实现证书热加载。

技术领域

本发明涉及信息安全技术领域，尤其是一种证书校验终端、方法及装置。

背景技术

目前，大部分的web网站都需要进行用户登录操作，但是，很多网站还都停留在用简单的用户名+密码的方式进行登录，非常不安全。在这种情况下，需要一种安全的方式对用户登录进行保护，即使用户的用户名跟密码被窃取，但是没有对应的证书的话，仍无法进行登录。

Tomcat服务器是一个免费的开放源代码的Web应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache服务器，可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache服务器的扩展，但运行时它是独立运行的，所以当你运行tomcat时，它实际上作为一个与Apache独立的进程单独运行的。

Tomcat中，通过修改tomcat目录/conf/server.xml中的配置项，开启证书认证，并且增加trustManagerClassName配置，令其指向动态加载证书的java类，配置完成后，启动tomcat，便完成了tomcat的双向证书配置。目前这种技术需要对tomcat服务进行修改，会造成tomcat服务下其他不需要开启双向证书的服务也不得不开启双向证书服务或者迁移的问题，而且由于需要修改tomcat配置文件，非常不方便。

发明内容

本发明的目的是提供一种证书校验终端、方法及装置，通过微服务的方式对外提供证书认证地址，可以方便实现双向证书认证操作，动态生成证书后，无需进行系统重启即可实现证书热加载，易于集成实现。

为实现上述目的，本发明采用下述技术方案：

本发明第一方面提供了一种证书校验终端，包括开启双向证书认证的证书校验服务器和未开启双向证书认证的token校验服务器。

本发明第二方面提供了一种证书校验方法，包括以下步骤：

用户端登录应用服务器时跳转到证书校验服务器，证书校验服务器进行校验；

证书校验服务器将校验结果返回至应用服务器，应用服务器将返回校验结果发送至token校验服务器；

token校验服务器进行匹配校验，将校验结果反馈至应用服务器。

结合第二方面，在第二方面第一种可能的实现方式中，所述用户端登录应用服务器时跳转到证书校验服务器，证书校验服务器进行校验，具体包括：

应用服务器定向到证书校验服务器地址，并传入认证结束后的回调地址；

证书校验服务器对传入的回调地址以及用户选择的证书进行校验。

结合第二方面，在第二方面第二种可能的实现方式中，所述证书校验服务器将校验结果返回至应用服务器，具体包括：

证书校验服务器生成一条随机token，在redis中存储证书标识跟token的记录；

证书校验服务器将认证结果及生成的token返回给应用服务器回调地址。