本發(fā)明涉及通信技術(shù)領(lǐng)域，更具體地說，涉及一種基于證書的通信方法及系統(tǒng)。

背景技術(shù)：

隨著通信技術(shù)的發(fā)展，客戶端和服務(wù)器之間越來越多地采用證書來驗證登錄請求。現(xiàn)有技術(shù)提供了一種商用客戶端登錄服務(wù)器的方法。具體包括：客戶端與服務(wù)器建立連接后，將登錄請求發(fā)送至服務(wù)器、注冊證書；服務(wù)器驗證登錄請求通過后信任對應(yīng)注冊的證書；客戶端基于注冊的證書實現(xiàn)對服務(wù)器的登錄。

然而在用上述商用客戶端登錄服務(wù)器的方法時，如果攻擊方偽裝成服務(wù)器，獲取客戶端創(chuàng)建的證書，就能以此證書登錄到服務(wù)器，從而達(dá)到攻擊目的。

綜上所述，如何降低攻擊方利用證書非法登錄服務(wù)器的風(fēng)險性是目前本領(lǐng)域技術(shù)人員亟待解決的問題。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是提供一種基于證書的通信方法，其能解決如何降低攻擊方利用證書非法登錄服務(wù)器的風(fēng)險性的技術(shù)問題。本發(fā)明還提供了一種基于證書的通信系統(tǒng)。

為了實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種基于證書的通信方法，包括：

連接服務(wù)器，發(fā)送驗證憑據(jù)至所述服務(wù)器；

接收所述服務(wù)器發(fā)送的驗證結(jié)果，所述驗證結(jié)果為所述服務(wù)器驗證所述驗證憑據(jù)是否通過后發(fā)送的；

解析所述驗證結(jié)果，若所述驗證結(jié)果表明所述服務(wù)器驗證所述驗證憑據(jù)通過，則向所述服務(wù)器申請csr；

接收所述服務(wù)器發(fā)送的所述csr，判斷所述csr是否有效，若有效，則基于所述csr簽署第一證書，發(fā)送所述第一證書至所述服務(wù)器，以利用所述第一證書登錄所述服務(wù)器。

優(yōu)選的，所述連接服務(wù)器包括：

與服務(wù)器建立第一次連接；

所述接收所述服務(wù)器發(fā)送的驗證結(jié)果之后，所述向所述服務(wù)器申請csr之前還包括：

斷開所述第一次連接；

所述斷開所述第一次連接之后，所述向所述服務(wù)器申請csr之前還包括：

與所述服務(wù)器建立第二次連接；

所述發(fā)送所述第一證書至所述服務(wù)器之后還包括：

斷開所述第二次連接。

優(yōu)選的，所述與服務(wù)器建立第一次連接包括：

與服務(wù)器基于ssl協(xié)議建立第一次連接；

所述與所述服務(wù)器建立第二次連接包括：

與所述服務(wù)器基于ssl協(xié)議建立第二次連接。

優(yōu)選的，所述發(fā)送驗證憑據(jù)至所述服務(wù)器包括：

發(fā)送驗證憑據(jù)至所述服務(wù)器，所述驗證憑據(jù)包括用戶名、密碼、ca根證書和crl。

優(yōu)選的，所述連接服務(wù)器之前還包括：

獲取服務(wù)器的第二證書；

驗證所述第二證書是否合法，若合法，則利用所述第二證書登錄所述服務(wù)器，若不合法，則執(zhí)行所述連接服務(wù)器的步驟。

本發(fā)明還提供了一種基于證書的通信系統(tǒng)，包括：

第一連接裝置，用于連接服務(wù)器，發(fā)送驗證憑據(jù)至所述服務(wù)器；

第一接收裝置，用于接收所述服務(wù)器發(fā)送的驗證結(jié)果，所述驗證結(jié)果為所述服務(wù)器驗證所述驗證憑據(jù)是否通過后發(fā)送的；

解析裝置，用于解析所述驗證結(jié)果，若所述驗證結(jié)果表明所述服務(wù)器驗證所述驗證憑據(jù)通過，則向所述服務(wù)器申請csr；

第二接收裝置，用于接收所述服務(wù)器發(fā)送的所述csr，判斷所述csr是否有效，若有效，則基于所述csr簽署第一證書，發(fā)送所述第一證書至所述服務(wù)器，以利用所述第一證書登錄所述服務(wù)器。

優(yōu)選的，所述第一連接裝置包括：

第一連接模塊，用于在所述連接裝置發(fā)送驗證憑據(jù)至所述服務(wù)器之前，與服務(wù)器建立第一次連接；

所述系統(tǒng)還包括：

第一斷開裝置，用于在所述第一接收裝置接收所述驗證結(jié)果之后，所述解析裝置向所述服務(wù)器申請csr之前，斷開所述第一次連接；

第二連接裝置，用于在所述第一連接模塊斷開所述第一次連接之后，所述解析裝置向所述服務(wù)器申請csr之前，與所述服務(wù)器建立第二次連接；

第二斷開裝置，用于在所述第二接收裝置發(fā)送所述第一證書至所述服務(wù)器之后，斷開所述第二次連接。

優(yōu)選的，所述第一連接模塊包括：

第一連接單元，用于與服務(wù)器基于ssl協(xié)議建立第一次連接；

所述第二連接裝置包括：

第二連接模塊，用于與所述服務(wù)器基于ssl協(xié)議建立第二次連接。

優(yōu)選的，所述第一連接裝置包括：

發(fā)送模塊，用于發(fā)送驗證憑據(jù)至所述服務(wù)器，所述驗證憑據(jù)包括用戶名、密碼、ca根證書和crl。

優(yōu)選的，還包括：

獲取裝置，用于在所述第一連接裝置連接服務(wù)器之前，獲取服務(wù)器的第二證書；

驗證裝置，用于驗證所述獲取裝置獲取的所述第二證書是否合法，若合法，則利用所述第二證書登錄所述服務(wù)器，若不合法，則提示所述第一連接裝置連接服務(wù)器。

本發(fā)明提供的一種基于證書的通信方法，包括：連接服務(wù)器，發(fā)送驗證憑據(jù)至服務(wù)器；接收服務(wù)器發(fā)送的驗證結(jié)果，驗證結(jié)果為服務(wù)器驗證驗證憑據(jù)是否通過后發(fā)送的；解析驗證結(jié)果，若驗證結(jié)果表明服務(wù)器驗證驗證憑據(jù)通過，則向服務(wù)器申請csr；接收服務(wù)器發(fā)送的csr，判斷csr是否有效，若有效，則基于csr簽署第一證書，發(fā)送第一證書至服務(wù)器，以利用第一證書登錄服務(wù)器。本發(fā)明提供的一種基于安全證書的通信方法在與服務(wù)器建立連接后，先將驗證憑據(jù)發(fā)送給服務(wù)器，服務(wù)器驗證驗證憑據(jù)是否通過，若驗證通過，還需要在驗證服務(wù)器的csr有效的情況下才可以為服務(wù)器頒發(fā)必定能實現(xiàn)登錄服務(wù)器的第一證書，本發(fā)明不僅需要服務(wù)器驗證驗證憑據(jù)是否通過，還需要驗證csr是否有效，驗證次數(shù)比現(xiàn)有技術(shù)多，而且攻擊方在獲取證書時不僅需要偽裝成服務(wù)器，還需要偽裝成需要登錄服務(wù)器的一端，與現(xiàn)有技術(shù)中攻擊方僅僅需要偽裝成服務(wù)器便可獲得證書相比，偽裝次數(shù)多，提高了證書被攻擊方獲得的難度。綜上所述，本發(fā)明提供的一種基于證書的通信方法解決了如何降低攻擊方利用證書非法登錄服務(wù)器的風(fēng)險性的技術(shù)問題。本發(fā)明所提供的一種基于證書的通信系統(tǒng)也解決了相應(yīng)的技術(shù)問題。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本發(fā)明實施例提供的一種基于證書的通信方法的流程圖；

圖2為本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)的結(jié)構(gòu)示意圖；

圖3為實際應(yīng)用中一種基于證書的通信方法的流程圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。

請參閱圖1，圖1為本發(fā)明實施例提供的一種基于證書的通信方法的流程圖。

本發(fā)明所提供的一種基于證書的通信方法中各個動作的執(zhí)行主體可以為客戶端本身，而該客戶端內(nèi)可以設(shè)置有基于證書的通信系統(tǒng)，因此本發(fā)明所提供的一種基于證書的通信方法中各個動作的執(zhí)行主體也可以為內(nèi)置于客戶端的系統(tǒng)，本發(fā)明在這里不做具體限定。為了描述方便，下面將本方法中各個動作的執(zhí)行主體設(shè)定為客戶端。

本發(fā)明實施例提供的一種基于證書的通信方法可以包括以下步驟：

步驟s1：連接服務(wù)器，發(fā)送驗證憑據(jù)至服務(wù)器。

由于客戶端需要與服務(wù)器進(jìn)行信息交互，所以需要先連接服務(wù)器?？蛻舳诉B接服務(wù)器是為了實現(xiàn)客戶端與服務(wù)器之間互相驗證，可以將客戶端連接服務(wù)器設(shè)置為維持短時間的連接，在客戶端與服務(wù)器完成互相驗證后即可斷開連接。當(dāng)然，根據(jù)不同的實際需要，也可將客戶端連接服務(wù)器設(shè)置為可維持長時間的連接，本發(fā)明在這里不做具體限定。

步驟s2：接收服務(wù)器發(fā)送的驗證結(jié)果，驗證結(jié)果為服務(wù)器驗證驗證憑據(jù)是否通過后發(fā)送的。

服務(wù)器可以比較客戶端發(fā)送的驗證憑據(jù)是否合法來驗證驗證憑據(jù)是否通過，若驗證憑據(jù)合法，則驗證驗證憑據(jù)通過，若驗證憑據(jù)不合法，則驗證驗證憑據(jù)未通過。在實際應(yīng)用中，根據(jù)不同的應(yīng)用場景，可以選擇不同的方法來驗證驗證憑據(jù)是否合法。

這里的服務(wù)器驗證驗證憑據(jù)是否通過可以用來表示服務(wù)器是否信任客戶端，如果服務(wù)器驗證驗證憑據(jù)通過則表示服務(wù)器信任客戶端，如果服務(wù)器驗證驗證憑據(jù)未通過則表示服務(wù)器不信任客戶端。服務(wù)器驗證驗證憑據(jù)后會向客戶端發(fā)送一個驗證結(jié)果，以便客戶端得知服務(wù)器驗證驗證憑據(jù)后的結(jié)果。

步驟s3：解析驗證結(jié)果，若驗證結(jié)果表明服務(wù)器驗證驗證憑據(jù)通過，則向服務(wù)器申請csr。

客戶端只有在解析驗證結(jié)果得出驗證結(jié)果表明服務(wù)器驗證驗證憑據(jù)通過的情況下，才會向服務(wù)器申請csr(certificatesigningrequest，證書簽名請求)以及執(zhí)行步驟s4。

如果客戶端解析驗證結(jié)果得出驗證結(jié)果表明服務(wù)器驗證驗證憑據(jù)未通過，則客戶端可以結(jié)束與服務(wù)器之間的連接，也可以有其他操作，本發(fā)明在這里不做具體限定。

步驟s4：接收服務(wù)器發(fā)送的csr，判斷csr是否有效，若有效，則基于csr簽署第一證書，發(fā)送第一證書至服務(wù)器，以利用第一證書登錄服務(wù)器。

客戶端接收服務(wù)器發(fā)送的csr后，先判斷csr是否有效，若有效，則表明客戶端信任服務(wù)器，可以為服務(wù)器頒發(fā)證書；若csr無效，則表明客戶端不信任服務(wù)器，客戶端可以結(jié)束與服務(wù)器之間的連接，也可以有其他操作，本發(fā)明在這里不做具體限定。

客戶端在判斷csr有效的情況下，可以基于csr簽署第一證書，然后發(fā)送第一證書至服務(wù)器，即客戶端為服務(wù)器頒發(fā)第一證書。由于第一證書是在服務(wù)器驗證驗證憑據(jù)通過而且客戶端判斷csr有效的情況下，即服務(wù)器信任客戶端而且客戶端信任服務(wù)器的情況下，客戶端頒發(fā)給服務(wù)器的，所以第一證書為客戶端登錄服務(wù)器的安全證書。

本申請中的csr可以與驗證憑據(jù)對應(yīng)，進(jìn)一步的，由于csr是與客戶端發(fā)送至服務(wù)器的驗證憑據(jù)對應(yīng)的，所以客戶端可以通過判斷csr是否與驗證憑據(jù)對應(yīng)來判斷csr的有效性，若csr與驗證憑據(jù)對應(yīng)，則csr有效，若csr與驗證憑據(jù)不對應(yīng)，則csr無效，當(dāng)然也可以有其他判斷csr是否有效的方法，本發(fā)明在這里不做具體限定?？蛻舳嗽谂袛郼sr有效的情況下，可以根據(jù)csr中包含的證書有效時間、名稱等信息制作出和這些信息對應(yīng)的第一證書。

本發(fā)明提供的一種基于安全證書的通信方法在與服務(wù)器建立連接后，先將驗證憑據(jù)發(fā)送給服務(wù)器，服務(wù)器驗證驗證憑據(jù)是否通過，若驗證通過，還需要在客戶端驗證服務(wù)器的csr有效的情況下才可以為服務(wù)器頒發(fā)必定能實現(xiàn)登錄服務(wù)器的第一證書，本發(fā)明不僅需要服務(wù)器驗證驗證憑據(jù)是否通過，還需要客戶端驗證csr是否有效，可見本申請中需要通過實現(xiàn)多次驗證最終實現(xiàn)服務(wù)器的登錄，且攻擊方在獲取證書時不僅需要偽裝成客戶端還要偽裝成服務(wù)器，與現(xiàn)有技術(shù)中攻擊方僅僅需要偽裝成服務(wù)器便可獲得證書相比，提高了證書被攻擊方獲得的難度。綜上所述，本發(fā)明提供的一種基于證書的通信方法解決了如何降低攻擊方利用證書非法登錄服務(wù)器的風(fēng)險性的技術(shù)問題。

本發(fā)明實施例提供的一種基于證書的通信方法中，連接服務(wù)器可以包括：

與服務(wù)器建立第一次連接；

在接收服務(wù)器發(fā)送的驗證結(jié)果之后，向服務(wù)器申請csr之前還可以包括：

斷開第一次連接；

在斷開第一次連接之后，向服務(wù)器申請csr之前還可以包括：

與服務(wù)器建立第二次連接；

在發(fā)送第一證書至服務(wù)器之后還可以包括：

斷開第二次連接。

可以在接收服務(wù)器發(fā)送的驗證結(jié)果之后，解析驗證結(jié)果之前，斷開第一次連接，這種情況下，可以是在斷開第一次連接之后，解析驗證結(jié)果之前，與服務(wù)器建立第二次連接，也可以是在解析驗證結(jié)果之后，向服務(wù)器申請csr之前，與服務(wù)器建立第二次連接；也可以在解析驗證結(jié)果之后，向服務(wù)器申請csr之前斷開第一次連接，本發(fā)明在這里不做具體限定。

在斷開第一次連接之后，向服務(wù)器申請csr之前，可以與服務(wù)器建立第二次連接。如果是在接收服務(wù)器發(fā)送的驗證結(jié)果之后，解析驗證結(jié)果之前，斷開第一次連接，則可以是在斷開第一次連接之后，解析驗證結(jié)果之前，與服務(wù)器建立第二次連接，也可以是在解析驗證結(jié)果之后，向服務(wù)器申請csr之前，與服務(wù)器建立第二次連接；如果是在解析驗證結(jié)果之后，向服務(wù)器申請csr之前，斷開第一次連接，則可以是在斷開第一次連接之后，向服務(wù)器申請csr之前，與服務(wù)器建立第二次連接。本發(fā)明在這里不做具體限定。

在實際應(yīng)用中，客戶端可以通過與服務(wù)器進(jìn)行多次連接來完成為服務(wù)器頒發(fā)證書的過程，比如可以通過兩次連接來完成。這樣進(jìn)行多次連接的好處是，在有攻擊方攻擊服務(wù)器的情況下，由于客戶端與服務(wù)器之間進(jìn)行多次連接，所以攻擊方不僅需要在偽裝成客戶端的時候與服務(wù)器進(jìn)行多次連接，而且需要在偽裝成服務(wù)器的時候與客戶端進(jìn)行多次連接，使得攻擊方在攻擊服務(wù)器時與客戶端和服務(wù)器之間的連接關(guān)系變得復(fù)雜，進(jìn)一步提高證書被攻擊方獲得的困難，從而降低證書被攻擊的風(fēng)險性。

本發(fā)明實施例提供的一種基于證書的通信方法中，與服務(wù)器建立第一次連接可以包括：

與服務(wù)器基于ssl協(xié)議建立第一次連接；

與服務(wù)器建立第二次連接可以包括：

與服務(wù)器基于ssl協(xié)議建立第二次連接。

在與服務(wù)器基于ssl協(xié)議建立連接的過程中，客戶端可以先發(fā)送ssl連接請求至服務(wù)器，服務(wù)器接收ssl連接請求后判斷是否與客戶端建立連接，若是，則與客戶端建立連接，若否，則不與客戶端建立連接。

客戶端在與服務(wù)器建立連接的時候可以根據(jù)不同的應(yīng)用場景選擇不同的協(xié)議，本發(fā)明在這里不做具體限定。優(yōu)選的，本發(fā)明在這里選擇ssl協(xié)議，因為選擇ssl協(xié)議可以使得客戶端連接服務(wù)器的過程簡單易實現(xiàn)。

本發(fā)明實施例提供的一種基于證書的通信方法中，發(fā)送驗證憑據(jù)至服務(wù)器可以包括：

發(fā)送驗證憑據(jù)至服務(wù)器，驗證憑據(jù)可以包括用戶名、密碼、ca根證書和crl。

在不同的應(yīng)用場景下，客戶端可以向服務(wù)器發(fā)送不同的驗證憑據(jù)，比如只發(fā)送用戶名和密碼，只發(fā)送ca根證書(carootcertificate，數(shù)字認(rèn)證機(jī)構(gòu)的根證書)和crl(certificaterevocationlist，證書吊銷列表)等，本發(fā)明在這里不做具體限定。優(yōu)選的，本發(fā)明選擇客戶端向服務(wù)器發(fā)送包括用戶名、密碼、ca根證書和crl的驗證憑據(jù)，因為驗證憑據(jù)的內(nèi)容越多，服務(wù)器驗證驗證憑據(jù)的結(jié)果更準(zhǔn)確，從而攻擊方越難攻擊服務(wù)器，進(jìn)一步降低證書被攻擊方獲得風(fēng)險性。

服務(wù)器接收到客戶端發(fā)送的用戶名、密碼、ca根證書和crl后，可以比較客戶端發(fā)送的用戶名、密碼跟服務(wù)器自身存儲的對應(yīng)用戶名、密碼是否一致，具體為判斷客戶端發(fā)送的用戶名與自身存儲的用戶名是否一致的同時判斷客戶端發(fā)送的密碼與自身存儲的密碼是否一致；以及判斷ca根證書和crl是否合法，若客戶端發(fā)送的用戶名、密碼跟服務(wù)器自身存儲的用戶名、密碼一致且ca根證書和crl合法，則驗證驗證憑據(jù)通過，否則則驗證驗證憑據(jù)未通過。當(dāng)然，也可以有其他驗證驗證憑據(jù)是否通過的方法，本發(fā)明在這里不做具體限定。

服務(wù)器判斷ca根證書和crl是否合法也即判斷服務(wù)器是否認(rèn)可客戶端，若ca根證書和crl合法，則服務(wù)器認(rèn)可客戶端，否則服務(wù)器不認(rèn)可客戶端。這里的服務(wù)器認(rèn)可客戶端只是服務(wù)器信任客戶端的一部分，只有在服務(wù)器認(rèn)可客戶端以及驗證其他驗證憑據(jù)通過的情況下，服務(wù)器才信任客戶端。

優(yōu)選的，服務(wù)器在驗證驗證憑據(jù)通過的情況下，可以添加ca根證書和crl到服務(wù)器的信任庫中。服務(wù)器可以生成與ca根證書和crl對應(yīng)的csr，相應(yīng)的，客戶端在驗證csr是否有效時可以驗證csr是否為與自身的ca根證書和crl對應(yīng)的csr，若是對應(yīng)的，則csr有效，否則csr無效。由于csr跟ca根證書和crl之間的對應(yīng)關(guān)系，如果服務(wù)器將ca根證書和crl添加到服務(wù)器的信任庫中，那么可以為客戶端驗證csr以及基于csr簽署第一證書提供進(jìn)一步的安全保證。

本發(fā)明實施例提供的一種基于證書的通信方法中，連接服務(wù)器之前還可以包括：

獲取服務(wù)器的第二證書；

驗證第二證書是否合法，若合法，則利用第二證書登錄服務(wù)器，若不合法，則執(zhí)行連接服務(wù)器的步驟。

實際應(yīng)用場景中，客戶端在與服務(wù)器建立連接前可以先驗證服務(wù)器的第二證書是否合法，若是，則可以利用第二證書直接登錄服務(wù)器，不需要進(jìn)行為服務(wù)器頒發(fā)證書的過程，從而節(jié)省客戶端登錄服務(wù)器的時間，提高效率。

這里客戶端驗證服務(wù)器的第二證書是否合法也即驗證服務(wù)器的第二證書是否是客戶端頒發(fā)給服務(wù)器的，如果服務(wù)器的第二證書合法，則服務(wù)器的第二證書是客戶端頒發(fā)給服務(wù)器的，第二證書為客戶端登錄服務(wù)器的安全證書；如果服務(wù)器的第二證書不合法，則服務(wù)器的第二證書不是客戶端頒發(fā)給服務(wù)器的，第二證書不是客戶端登錄服務(wù)器的安全證書，這時需要客戶端為服務(wù)器頒發(fā)新的證書。

這里的獲取服務(wù)器的第二證書及驗證第二證書是否合法的過程也是客戶端利用頒發(fā)給服務(wù)器的證書登錄服務(wù)器的過程，如果服務(wù)器的第二證書是客戶端頒發(fā)給服務(wù)器的，則允許客戶端直接登錄服務(wù)器。

由于客戶端在為服務(wù)器頒發(fā)證書的過程中會為證書簽署證書指紋，所以客戶端可以通過判斷服務(wù)器的第二證書的證書指紋是否是客戶端簽署的來驗證第二證書是否合法，如果第二證書的證書指紋是客戶端簽署的，則第二證書合法，如果第二證書的證書指紋不是客戶端簽署的，則第二證書不合法。也可以有其他驗證第二證書是否合法的方法，本發(fā)明在這里不做具體限定。

實際應(yīng)用中，在客戶端登錄服務(wù)器后，還可以刪除客戶端為服務(wù)器頒發(fā)的第一證書，這樣做的好處是可以避免攻擊方僅僅需要獲得第一證書便可利用第一證書攻擊服務(wù)器，提高攻擊方攻擊服務(wù)器的困難度。當(dāng)然也可以不刪除第一證書，本發(fā)明在這里不做具體限定。

本發(fā)明還提供了一種基于證書的通信系統(tǒng)，其具有本發(fā)明提供的一種基于證書的通信方法具有的對應(yīng)效果。請參閱圖2，圖2為本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)的結(jié)構(gòu)示意圖。

本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)可以包括：

第一連接裝置a1，用于連接服務(wù)器，發(fā)送驗證憑據(jù)至服務(wù)器；

第一接收裝置a2，用于接收服務(wù)器發(fā)送的驗證結(jié)果，驗證結(jié)果為服務(wù)器驗證驗證憑據(jù)是否通過后發(fā)送的；

解析裝置a3，用于解析驗證結(jié)果，若驗證結(jié)果表明服務(wù)器驗證驗證憑據(jù)通過，則向服務(wù)器申請csr；

第二接收裝置a4，用于接收服務(wù)器發(fā)送的csr，判斷csr是否有效，若有效，則基于csr簽署第一證書，發(fā)送第一證書至服務(wù)器，以利用第一證書登錄服務(wù)器。

本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)中，連接裝置可以包括：

第一連接模塊，用于在連接裝置發(fā)送驗證憑據(jù)至服務(wù)器之前，與服務(wù)器建立第一次連接；

通信系統(tǒng)還可以包括：

第一斷開裝置，用于在第一接收裝置接收驗證結(jié)果之后，解析裝置向服務(wù)器申請csr之前，斷開第一次連接；

第二連接裝置，用于在第一連接模塊斷開第一次連接之后，解析裝置向服務(wù)器申請csr之前，與服務(wù)器建立第二次連接；

第二斷開裝置，用于在第二接收裝置發(fā)送第二證書至服務(wù)器之后，斷開第二次連接。

本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)中，第一連接模塊可以包括：

第一連接單元，用于與服務(wù)器基于ssl協(xié)議建立第一次連接；

第二連接裝置可以包括：

第二連接模塊，用于與服務(wù)器基于ssl協(xié)議建立第二次連接。

本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)中，第一連接裝置可以包括：

發(fā)送模塊，用于發(fā)送驗證憑據(jù)至服務(wù)器，驗證憑據(jù)包括用戶名、密碼、ca根證書和crl。

本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)中，還可以包括：

獲取裝置，用于在第一連接裝置連接服務(wù)器之前，獲取服務(wù)器的第二證書；

驗證裝置，用于驗證獲取裝置獲取的第二證書是否合法，若合法，則利用第二證書登錄服務(wù)器，若不合法，則提示第一連接裝置連接服務(wù)器。

本發(fā)明實施例提供的一種基于證書的通信系統(tǒng)中相關(guān)部分的說明請參見本發(fā)明實施例提供的一種基于證書的通信方法中對應(yīng)部分的詳細(xì)說明，在此不再贅述。另外，本發(fā)明實施例提供的上述技術(shù)方案中與現(xiàn)有技術(shù)中對應(yīng)技術(shù)方案實現(xiàn)原理一致的部分并未詳細(xì)說明，以免過多贅述。

在實際應(yīng)用中，根據(jù)不同的應(yīng)用場景，可以選擇不同的方法來降低證書被攻擊方獲得的風(fēng)險性。請參閱3，圖3為實際應(yīng)用中一種基于證書的通信方法的流程圖。

此實際應(yīng)用中，服務(wù)器部署有自簽名證書，客戶端登錄服務(wù)器可以包括以下步驟：

客戶端請求服務(wù)器的自簽名證書，服務(wù)器發(fā)送自簽名證書至客戶端，客戶端驗證自簽名證書是否合法，若合法，則利用自簽名證書直接登錄服務(wù)器，若不合法，則執(zhí)行后續(xù)步驟；

客戶端通過第一ssl連接請求連接服務(wù)器，將用戶名、密碼、ca根證書和crl作為驗證憑據(jù)發(fā)送至服務(wù)器，服務(wù)器驗證驗證憑據(jù)是否通過，若通過，則添加ca根證書和crl到信任庫，斷開第一ssl連接；

客戶端通過第二ssl連接請求連接服務(wù)器，向服務(wù)器申請csr；服務(wù)器發(fā)送csr至客戶端；客戶端驗證csr是否有效，若有效，則基于csr簽署證書，發(fā)送證書至服務(wù)器，斷開第二ssl連接；服務(wù)器用客戶端簽署的證書替換自簽名證書；

客戶端通過第三ssl連接請求連接服務(wù)器，利用簽署的證書登錄服務(wù)器。

對所公開的實施例的上述說明，使本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。