[发明专利]一种双向认证方法、装置、计算机设备和计算机可读存储介质

说明书

本申请提供了一种双向认证方法及装置，包括：接收服务端响应认证请求发送的服务端证书、第二随机数、目标密码套件和服务端公钥，若检查到服务端证书为预设签发机构签发，获取服务端证书中的数据，若与服务端提供的一致，生成第三随机数，并通过预设的密钥交换算法，生成第一主通讯密码；利用服务端公钥对第三随机数进行加密，得到加密后的第三随机数，并利用第一主通讯密码和目标密码套件，生成客户端通讯密文；将加密后的第三随机数、客户端证书和客户端通讯密文发送至服务端；接收到服务端返回的服务端通讯密文后，根据第一主通讯密码和目标密码套件，对服务端通讯密文进行解密，若服务端通讯密文中携带的数据未被篡改，确认双向认证通过。

技术领域

本申请涉及网络安全领域，具体而言，涉及一种双向认证方法及装置。

背景技术

Nginx(enginex)是一个高性能、轻量级的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务，在BSD-like协议下发行。其特点是占有内存少，并发能力强，使用OpenSSL生成服务端证书。

客户端在访问Nginx时，向Nginx发送认证请求，Nginx将服务端证书传输至客户端，客户端在验证服务端证书后，接入Nginx，与Nginx进行通信。但该认证方法，客户端利用Https协议对服务端进行安全访问的单向认证，由于服务端不对客户端进行认证，会导致一些恶意客户端频繁访问服务端，对服务端发起恶意web攻击，降低了服务端的安全性，也导致服务端性能下降。

发明内容

有鉴于此，本申请的目的在于提供一种双向认证方法及装置，以提高代理服务器的安全性。

第一方面，本申请实施例提供了一种双向认证方法，应用于客户端，该方法包括：

将认证请求发送至服务端；所述认证请求携带有第一随机数和所述客户端支持的客户端密码套件；

接收所述服务端响应所述认证请求发送的服务端证书、第二随机数、从所述客户端密码套件中选取的目标密码套件和服务端公钥，并检查所述服务端证书是否为预设签发机构签发；

若所述服务端证书为所述预设签发机构签发，获取所述服务端证书中的域名和服务端证书公钥，判断是否与对应的预先存储的所述服务端的域名和接收的所述服务端公钥一致；

若均一致，生成第三随机数，并通过预设的密钥交换算法，对所述第一随机数、第二随机数和第三随机数进行运算，生成第一主通讯密码；

利用所述服务端公钥对所述第三随机数进行加密，得到加密后的第三随机数，并利用所述第一主通讯密码和目标密码套件，对所述第一随机数、第二随机数、服务端证书和服务端公钥进行加密，生成客户端通讯密文；

将所述加密后的第三随机数、客户端证书和客户端通讯密文发送至服务端；

接收到所述服务端返回的服务端通讯密文后，根据所述第一主通讯密码和目标密码套件，对所述服务端通讯密文进行解密，验证解密后的所述服务端通讯密文中携带的第一随机数、第二随机数、服务端证书、目标密码套件、服务端公钥和客户端证书是否被篡改；

若均未被篡改，向所述服务端发送双向认证通过信息。

在一些实施例中，该方法还包括：

若所述服务端证书不为所述预设签发机构签发，则生成警告信息，并通知所述客户端的用户；

若接收到所述用户输入的继续认证指令，执行所述获取所述服务端证书中的域名和服务端证书公钥的步骤。

在一些实施例中，所述通过预设的密钥交换算法，对所述第一随机数、第二随机数和第三随机数进行运算，生成第一主通讯密码，包括：所述预设的密钥交换算法包括迪菲赫尔曼算法；

将所述第一随机数、第二随机数和第三随机数输入到迪菲赫尔曼算法中，得到第一主通讯密码。