双向认证系统的制作方法

1.本公开的实施例涉及计算机技术领域，具体涉及双向认证系统。


背景技术：

2.双向认证是前端设备或用户终端注册到视频监控安全管理平台时，双方互相确认对方合法身份的过程。在双向认证过程中，为了验证对方发来的数字签名信息，需要获得对方的数字证书。目前，在获取对方的数字证书时，通常采用的方式为：通过ldap(lightweight directory access protocol，轻型目录访问协议)在ca系统里在线查询认证对方的数字证书或者在认证前预先导入另一方的数字证书。
3.然而，当采用上述方式获取对方的数字证书时，经常会存在如下技术问题：
4.第一，通过ldap获取数字证书时，需要认证双方连接到ca ldap服务器，若无法连接到ca ldap服务器，则无法进行双向认证；
5.第二，通过预先导入数字证书的方式，特别是服务端，会随着导入的数字证书的增加，占用大量的内存，增加了资源的消耗。


技术实现要素：

6.本公开的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。
7.本公开的一些实施例提出了双向认证系统，来解决以上背景技术部分提到的技术问题中的一项或多项。
8.本公开的一些实施例提供了一种双向认证系统，该系统包括：前端和服务端；上述前端，用于向上述服务端发送第一请求信息；上述服务端，用于响应于接收到上述第一请求信息，根据上述第一请求信息生成第一响应信息，以及将上述第一响应信息返回至上述前端；上述前端，还用于响应于接收到上述第一响应信息，根据上述第一响应信息，生成第二请求信息，以及将上述第二请求信息发送至上述服务端；上述服务端，还用于响应于接收到上述第二请求信息，根据上述第二请求信息，生成第二响应信息，以及将上述第二响应信息返回至上述前端；上述前端，还用于接收上述第二响应信息，以及验证上述第二响应信息是否合法。
9.本公开的上述各个实施例中具有如下有益效果：通过本公开的一些实施例的双向认证系统，认证双方能够在无法连接到ca ldap服务器的情况下，通过获取对方发送的数字证书来完成双向认证。具体来说，造成认证双方无法连接到ca ldap服务器就无法完成双向认证的原因在于：前端和服务端的数字证书均预先存储在ca ldap服务器中，后续前端和服务端需要连接到ca ldap服务器才能获取对方的数字证书。基于此，本公开的一些实施例的双向认证系统，首先，上述前端向上述服务端发送第一请求信息。然后，上述服务端响应于接收到上述第一请求信息，根据上述第一请求信息生成第一响应信息，以及将上述第一响
应信息返回至上述前端。由此，前端可以根据接收到的第一响应信息开始与服务端进行双向认证。再然后，上述前端响应于接收到上述第一响应信息，根据上述第一响应信息，生成第二请求信息，以及将上述第二请求信息发送至上述服务端。由此，前端可以根据接收到的第一响应信息向服务端发送第二请求信息，以进行双向认证中的服务端对前端的认证。之后，上述服务端响应于接收到上述第二请求信息，根据上述第二请求信息，生成第二响应信息，以及将上述第二响应信息返回至上述前端。由此，服务端可以根据接收到的第二请求信息向前端发送第二响应信息，以进行双向认证中的前端对服务端的认证。最后，上述前端接收上述第二响应信息，以及验证上述第二响应信息是否合法。由此，前端可以根据接收到的第二响应信息完成双向认证中前端对服务端的认证，至此完成双向认证。也因为通过在认证过程中向对方发送自己的数字证书，实现了在无法连接到ca ldap服务器的情况下，前端和服务端之间的双向认证。
附图说明
10.结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，元件和元素不一定按照比例绘制。
11.图1是本公开的一些实施例的双向认证系统的一个系统架构示意图；
12.图2是根据本公开的双向认证系统的一些实施例的时序图。
具体实施方式
13.下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例。相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。
14.另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。
15.需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。
16.下面将参考附图并结合实施例来详细说明本公开。
17.图1是本公开的一些实施例的双向认证系统的一个系统架构100。
18.如图1所示，系统架构100可以包括前端101，网络102和服务端103。网络102用以在前端101和服务端103之间提供通信链路的介质。网络102可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。前端101可以是前端设备(例如网络摄像机)，也可以是用户终端(例如视频监控客户端)，还可以是视频监控下级平台(例如视频监控安全管理平台子平台)。前端101可以接收服务端103发送的响应信息，并对该响应信息进行相应的处理。服务端103可以是提供各种服务的服务器。服务端103可以接收前端101发送的请求信息，并对该请求信息进行相应的处理。
19.应该理解，图1中的前端、服务端和网络的数目仅仅是示意性的。根据实现需要，可以具有任意数目的前端、服务端和网络。
20.继续参考图2，示出了根据本公开的双向认证系统的一些实施例的时序图200。该双向认证系统，包括前端和服务端，其中，前端和服务端用于执行以下步骤：
21.步骤201，向服务端发送第一请求信息。
22.在一些实施例中，前端(如图1所示的前端101)可以通过有线连接方式或者无线连接方式(如图1所示的网络102)向服务端发送第一请求信息。其中，上述第一请求信息是双向认证过程中前端向服务端发送的注册请求信息。需要指出的是，上述无线连接方式可以包括但不限于3g/4g连接、wifi连接、蓝牙连接、wimax连接、zigbee连接、uwb(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
23.步骤202，响应于接收到第一请求信息，根据第一请求信息生成第一响应信息，以及将第一响应信息返回至前端。
24.在一些实施例中，服务端(如图1所示的服务端103)可以响应于接收到上述第一请求信息，根据上述第一请求信息生成第一响应信息，以及将上述第一响应信息返回至上述前端。其中，上述第一响应信息是服务端在接收到上述第一请求信息后向前端发送的应答信息。
25.由此，前端可以根据接收到的第一响应信息开始与服务端进行双向认证。
26.步骤203，响应于接收到第一响应信息，根据第一响应信息，生成第二请求信息，以及将第二请求信息发送至服务端。
27.在一些实施例中，上述前端在接收到上述第一响应信息后，可以根据上述第一响应信息，生成第二请求信息，以及将上述第二请求信息发送至上述服务端。其中，上述第二请求信息是前端接收到上述第一响应信息后向服务端发送的前端身份认证信息。
28.由此，前端可以根据接收到的第一响应信息向服务端发送第二请求信息，以进行双向认证中的服务端对前端的认证。
29.可选地，上述前端在向服务端发送第一请求信息之前，可以执行以下步骤：
30.第一步，生成前端私钥和前端公钥。
31.第二步，基于上述前端公钥，获取前端数字证书。其中，上述前端数字证书包括上述前端公钥。
32.由此，上述前端私钥和上述前端数字证书可以为前端生成第二请求信息提供数据支持。
33.可选地，上述前端在向服务端发送第一请求信息之前，可以执行以下步骤：
34.获取至少一个第一电子认证机构ca的证书，得到第一ca证书集合。
35.可选地，上述前端在向服务端发送第一请求信息之前，可以执行以下步骤：
36.定期获取上述第一ca证书集合中各个第一ca证书的证书吊销列表，得到第一证书吊销列表集合。
37.由此，获取的第一ca证书集合和第一证书吊销列表集合可以为前端验证服务端数字证书的合法性提供验证支持。
38.在一些实施例的一些可选的实现方式中，上述前端响应于接收到第一响应信息，根据第一响应信息，生成第二请求信息，可以包括以下步骤：
39.第一步，响应于接收到上述第一响应信息，根据上述第一响应信息，生成请求认证信息。
40.其中，上述请求认证信息的生成方法可以参照gb35114《公共安全视频监控联网信息安全技术要求》标准中的步骤，这里不再赘述。
41.第二步，利用上述前端私钥对上述请求认证信息进行签名，得到签名请求认证信息。
42.第三步，将上述签名请求认证信息和上述前端数字证书确定为第二请求信息。
43.由此，前端可以根据上述第一响应信息生成请求认证信息，并将上述请求认证信息和前端数字证书封装成第二请求信息发送给上述服务端，以进行服务端对前端的认证。
44.步骤204，响应于接收到第二请求信息，根据第二请求信息，生成第二响应信息，以及将第二响应信息返回至前端。
45.在一些实施例中，上述服务端在接收到上述第二请求信息后，可以根据上述第二请求信息，生成第二响应信息，以及将上述第二响应信息返回至上述前端。其中，上述第二响应信息是服务端在接收到上述第二请求信息后向前端发送的服务端身份认证信息。
46.由此，服务端可以根据接收到的第二请求信息向前端发送第二响应信息，以进行双向认证中前端对服务端的认证。
47.可选地，上述服务端可以执行以下步骤：
48.第一步，生成服务端私钥和服务端公钥。
49.第二步，基于上述服务端公钥，获取服务端数字证书。其中，上述服务端数字证书包括上述服务端公钥。
50.由此，上述服务端私钥和上述服务端数字证书可以为服务端生成第二响应信息提供数据支持。
51.可选地，上述服务端可以执行以下步骤：
52.获取至少一个第二ca的证书，得到第二ca证书集合。
53.可选地，上述服务端可以执行以下步骤：
54.定期获取上述第二ca证书集合中各个第二ca证书的证书吊销列表，得到第二证书吊销列表集合。
55.由此，获取的第二ca证书集合和第二证书吊销列表集合可以为服务端验证前端数字证书的合法性提供验证支持。
56.在一些实施例的一些可选的实现方式中，上述服务端响应于接收到上述第二请求信息，根据上述第二请求信息，生成第二响应信息，可以包括以下步骤：
57.第一步，响应于接收到上述第二请求信息，利用上述第二ca证书集合和上述第二证书吊销列表集合，验证上述第二请求信息包括的前端数字证书是否合法，得到第一验证结果。
58.其中，上述服务端在接收到上述第二请求信息后，可以利用上述第二ca证书集合验证上述第二请求信息包括的前端数字证书是否是上述第二ca证书集合中的某个第二ca证书签发的数字证书并且可以利用当前系统时间验证上述第二请求信息包括的前端数字证书是否过期，以及可以利用上述第二证书吊销列表集合验证上述前端数字证书是否在上述第二证书吊销列表集合中的某个第二证书吊销列表上，得到第一验证结果。
59.第二步，响应于确定上述第一验证结果表征验证合法，利用上述第二请求信息包括的前端数字证书中的前端公钥验证上述第二请求信息包括的签名请求认证信息是否合
法，得到第二验证结果。
60.其中，上述服务端可以利用上述第二ca证书集合确定上述第二请求信息包括的前端数字证书是上述第二ca证书集合中的某个第二ca证书签发的数字证书并且利用当前系统时间确定上述第二请求信息包括的前端数字证书未过期，以及利用上述第二证书吊销列表集合确定上述前端数字证书不在上述第二证书吊销列表集合中的某个第二证书吊销列表上，确定上述第一验证结果表征验证合法。
61.第三步，响应于确定上述第二验证结果表征验证合法，根据上述第二请求信息，生成响应认证信息。
62.其中，上述响应认证信息的生成方法可以参照gb35114《公共安全视频监控联网信息安全技术要求》标准中的步骤，这里不再赘述。
63.第四步，利用服务端私钥对上述响应认证信息进行签名，得到签名响应认证信息。
64.第五步，将上述签名响应认证信息和上述服务端数字证书确定为第二响应信息。
65.由此，服务端可以根据接收到的第二请求信息完成双向认证中服务端对前端的认证，然后服务端发送第二响应信息给前端，以进行前端对服务端的认证。
66.步骤205，接收第二响应信息，以及验证第二响应信息是否合法。
67.在一些实施例中，上述前端可以接收第二响应信息，以及验证第二响应信息是否合法。由此，前端可以根据接收到的第二响应信息完成双向认证中前端对服务端的认证，至此完成双向认证。
68.在一些实施例的一些可选的实现方式中，上述前端接收第二响应信息，以及验证第二响应信息是否合法，可以执行以下步骤：
69.第一步，响应于接收到上述第二响应信息，利用上述第一ca证书集合和上述第一证书吊销列表集合，验证上述第二响应信息包括的服务端数字证书是否合法，得到第三验证结果。
70.其中，上述前端在接收到上述第二响应信息后，可以利用第上述一ca证书集合验证上述第二响应信息包括的服务端数字证书是否是上述第一ca证书集合中的某个第一ca证书签发的数字证书并且可以利用当前系统时间验证上述第二响应信息包括的服务端数字证书是否过期，以及可以利用上述第一证书吊销列表集合验证上述服务端数字证书是否在上述第一证书吊销列表集合中的某个第一证书吊销列表上，得到第三验证结果。
71.第二步，响应于确定上述第三验证结果表征验证合法，利用上述第二响应信息包括的服务端数字证书中的服务端公钥验证上述第二响应信息包括的签名响应认证信息是否合法，得到第四验证结果。
72.其中，上述前端可以利用第一ca证书集合确定上述第二响应信息包括的服务端数字证书是上述第一ca证书集合中的某个第一ca证书签发的数字证书并且利用当前系统时间确定上述第二响应信息包括的服务端数字证书未过期，以及利用第一证书吊销列表集合确定上述服务端数字证书不在上述第一证书吊销列表集合中的某个第一证书吊销列表上，确定上述第三验证结果表征验证合法。
73.第三步，响应于确定上述第四验证结果表征验证合法，确定双向认证成功。
74.本公开的上述各个实施例中具有如下有益效果：通过本公开的一些实施例的双向认证系统，认证双方能够在无法连接到ca ldap服务器的情况下，通过获取对方发送的数字
证书来完成双向认证。具体来说，造成认证双方无法连接到ca ldap服务器就无法完成双向认证的原因在于：前端和服务端的数字证书均预先存储在ca ldap服务器中，后续前端和服务端需要连接到ca ldap服务器才能获取对方的数字证书。基于此，本公开的一些实施例的双向认证系统，首先，上述前端向上述服务端发送第一请求信息。然后，上述服务端响应于接收到上述第一请求信息，根据上述第一请求信息生成第一响应信息，以及将上述第一响应信息返回至上述前端。由此，前端可以根据接收到的第一响应信息开始与服务端进行双向认证。再然后，上述前端响应于接收到上述第一响应信息，根据上述第一响应信息，生成第二请求信息，以及将上述第二请求信息发送至上述服务端。由此，前端可以根据接收到的第一响应信息向服务端发送第二请求信息，以进行双向认证中的服务端对前端的认证。之后，上述服务端响应于接收到上述第二请求信息，根据上述第二请求信息，生成第二响应信息，以及将上述第二响应信息返回至上述前端。由此，服务端可以根据接收到的第二请求信息向前端发送第二响应信息，以进行双向认证中的前端对服务端的认证。最后，上述前端接收上述第二响应信息，以及验证上述第二响应信息是否合法。由此，前端可以根据接收到的第二响应信息完成双向认证中前端对服务端的认证，至此完成双向认证。也因为通过在认证过程中向对方发送自己的数字证书，实现了在无法连接到ca ldap服务器的情况下，前端和服务端之间的双向认证。
75.在一些实施方式中，前端、服务端可以利用诸如http(hypertext transfer protocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“lan”)，广域网(“wan”)，网际网(例如，互联网)以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。
76.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)——连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
77.附图中的时序图和系统架构图，图示了按照本公开各种实施例的系统可能实现的体系架构。在这点上，时序图或系统架构图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，系统架构图和/或时序图中的每个方框、以及系统架构图和/或时序图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
78.本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例
如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑设备(cpld)等等。
79.以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开的实施例中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。