本發(fā)明涉及通信技術(shù)，尤其涉及一種客戶端證書認(rèn)證方法、服務(wù)器和客戶端。

背景技術(shù)：
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，身份認(rèn)證問題成為互聯(lián)網(wǎng)應(yīng)用需要解決的問題之一。根據(jù)安全等級(jí)的不同要求和所配備的外部認(rèn)證設(shè)施，用戶可以通過多種方式進(jìn)行身份認(rèn)證，其中安全性較高的方式是數(shù)字證書認(rèn)證。數(shù)字證書中包含公鑰和證書持有者、頒發(fā)者的信息，證書持有者有對(duì)應(yīng)的私鑰和公鑰，證書認(rèn)證中心（CertificationAuthority，簡(jiǎn)稱CA）證書為可以簽發(fā)子證書的證書，頂級(jí)CA證書稱為根證書，下面有二級(jí)CA證書等?？蛻舳俗C書認(rèn)證過程中，服務(wù)端如果擁有客戶端證書的頒發(fā)者頒發(fā)的CA證書，那么就能驗(yàn)證客戶端CA證書的有效期。傳統(tǒng)的客戶端證書認(rèn)證方式，如果數(shù)字證書和密碼被盜會(huì)引起泄密，給客戶帶來不可估量的損失。

技術(shù)實(shí)現(xiàn)要素：
本發(fā)明提供一種客戶端證書認(rèn)證方法、服務(wù)器和客戶端，通過將數(shù)字證書和客戶端硬件特征綁定，防止數(shù)字證書被盜引起的泄密。本發(fā)明第一方面提供一種客戶端證書認(rèn)證方法，包括：服務(wù)器接收客戶端發(fā)送的證書鏈，所述證書鏈包括二級(jí)證書認(rèn)證中心CA證書、客戶端臨時(shí)證書，所述二級(jí)CA證書中包含所述客戶端的硬件特征碼對(duì)應(yīng)的第一信息摘要算法MD5值，所述客戶端臨時(shí)證書中包含所述硬件特征碼；所述服務(wù)器驗(yàn)證所述證書鏈?zhǔn)欠窈戏?，若所述證書鏈合法，則根據(jù)所述客戶端臨時(shí)證書中所包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較所述第一MD5值與所述第二MD5值是否相同，若相同，則確定所述客戶端身份有效。如上所述的方法，所述客戶端臨時(shí)證書由所述二級(jí)CA證書簽發(fā)。如上所述的方法，所述服務(wù)器接收客戶端發(fā)送的證書鏈包括：所述服務(wù)器在安全套接字層SSL重協(xié)商的加密通道中接收所述客戶端發(fā)送的所述證書鏈。本發(fā)明第二方面提供一種客戶端證書認(rèn)證方法，包括：客戶端采集自身的硬件特征碼；所述客戶端向服務(wù)器發(fā)送證書鏈，所述證書鏈包括二級(jí)證書認(rèn)證中心CA證書、客戶端臨時(shí)證書，所述二級(jí)CA證書中包含所述客戶端的硬件特征碼對(duì)應(yīng)的第一信息摘要算法MD5值，所述客戶端臨時(shí)證書中包含所述硬件特征碼。如上所述的方法，所述客戶端向服務(wù)器發(fā)送證書鏈之前，還包括：所述客戶端向所述服務(wù)器申請(qǐng)所述二級(jí)CA證書；所述客戶端通過所述二級(jí)CA證書簽發(fā)所述客戶端臨時(shí)證書。如上所述的方法，所述客戶端向服務(wù)器發(fā)送證書鏈，包括：所述客戶端在安全套接字層SSL重協(xié)商的加密通道中向所述服務(wù)器發(fā)送所述證書鏈。本發(fā)明第三方面提供一種服務(wù)器，包括：接收模塊，用于接收客戶端發(fā)送的證書鏈，所述證書鏈包括二級(jí)證書認(rèn)證中心CA證書、客戶端臨時(shí)證書，所述二級(jí)CA證書中包含所述客戶端的硬件特征碼對(duì)應(yīng)的第一信息摘要算法MD5值，所述客戶端臨時(shí)證書中包含所述硬件特征碼；驗(yàn)證模塊，用于驗(yàn)證所述證書鏈?zhǔn)欠窈戏?，若所述證書鏈合法，則根據(jù)所述客戶端臨時(shí)證書中所包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較所述第一MD5值與所述第二MD5值是否相同，若相同，則確定所述客戶端身份有效。如上所述的服務(wù)器，所述客戶端臨時(shí)證書由所述二級(jí)CA證書簽發(fā)。如上所述的服務(wù)器，所述接收模塊具體用于：在安全套接字層SSL重協(xié)商的加密通道中接收所述客戶端發(fā)送的所述證書鏈。本發(fā)明第四方面提供一種客戶端，包括：硬件特征碼采集模塊，用于采集所述客戶端的硬件特征碼；發(fā)送模塊，用于向服務(wù)器發(fā)送證書鏈，所述證書鏈包括二級(jí)證書認(rèn)證中心CA證書、客戶端臨時(shí)證書，所述二級(jí)CA證書中包含所述客戶端的硬件特征碼對(duì)應(yīng)的第一信息摘要算法MD5值，所述客戶端臨時(shí)證書中包含所述硬件特征碼。如上所述的客戶端，還包括：證書申請(qǐng)模塊，用于向所述服務(wù)器申請(qǐng)所述二級(jí)CA證書；證書簽發(fā)模塊，用于通過所述二級(jí)CA證書簽發(fā)所述客戶端臨時(shí)證書。如上所述的客戶端，所述發(fā)送模塊具體用于：在安全套接字層SSL重協(xié)商的加密通道中向所述服務(wù)器發(fā)送所述證書鏈。本發(fā)明提供的方法，通過將客戶端證書和客戶端的硬件特征碼綁定，在認(rèn)證過程中，服務(wù)器根據(jù)客戶端臨時(shí)證書中包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較第二MD5值與二級(jí)CA證書中包含的客戶端的硬件特征碼對(duì)應(yīng)的第一MD5值，若第一MD5值和第二MD5值相同，則確認(rèn)驗(yàn)證客戶端身份的有效性。由于MD5值的唯一性，若客戶端臨時(shí)證書被盜，客戶端的硬件特征碼被修改，則生成的第二MD5值和第一MD5值不同，服務(wù)器確認(rèn)客戶端身份無效。從而使客戶端不可仿冒，避免了現(xiàn)有技術(shù)中因數(shù)字證書被盜引起的身份誤認(rèn)。附圖說明圖1為本發(fā)明客戶端證書認(rèn)證方法實(shí)施例一的流程圖；圖2為本發(fā)明客戶端證書認(rèn)證方法實(shí)施例二的流程圖；圖3為本發(fā)明客戶端證書認(rèn)證方法實(shí)施例三的流程圖；圖4為本發(fā)明實(shí)施例四提供的服務(wù)器的結(jié)構(gòu)示意圖；圖5為本發(fā)明實(shí)施例五提供的客戶端的結(jié)構(gòu)示意圖。具體實(shí)施方式圖1為本發(fā)明客戶端證書認(rèn)證方法實(shí)施例一的流程圖，如圖1所示，本實(shí)施例提供的方法包括以下步驟：步驟101、服務(wù)器接收客戶端發(fā)送的證書鏈，證書鏈包括二級(jí)CA證書、客戶端臨時(shí)證書，二級(jí)CA證書中包含客戶端的硬件特征碼對(duì)應(yīng)的第一MD5值，客戶端臨時(shí)證書中包含硬件特征碼。其中，客戶端臨時(shí)證書由二級(jí)CA證書簽發(fā)，二級(jí)CA證書由一級(jí)CA證書簽發(fā)，當(dāng)服務(wù)器需要驗(yàn)證客戶端的身份時(shí)，客戶端通過本地的二級(jí)CA證書簽發(fā)一張客戶端臨時(shí)證書，該客戶端臨時(shí)證書的有效期很短，如1分鐘或者30秒，當(dāng)客戶端身份驗(yàn)證完成后，該客戶端臨時(shí)證書就失效了，所以每次需要驗(yàn)證客戶端的身份時(shí)，客戶端都臨時(shí)簽發(fā)一張客戶端臨時(shí)證書用來驗(yàn)證。二級(jí)CA證書是由一級(jí)CA證書簽發(fā)的，在客戶端生成客戶端臨時(shí)證書之前，需要向一級(jí)CA證書申請(qǐng)二級(jí)CA證書，申請(qǐng)的該二級(jí)CA證書能夠簽發(fā)子證書。一級(jí)CA證書由客戶端向服務(wù)器申請(qǐng)的，或者向電子商務(wù)授權(quán)機(jī)構(gòu)申請(qǐng)的，由于一級(jí)CA證書可以保存在服務(wù)器，因此，在證書鏈中可以不包括一級(jí)CA證書。當(dāng)服務(wù)器端不保存有一級(jí)CA證書時(shí)，需要在證書鏈攜帶一級(jí)CA證書。數(shù)字證書一般包括證書持有者的信息、證書頒發(fā)者的信息、證書持有者具有私鑰和公鑰，私鑰和公鑰一一對(duì)應(yīng)，數(shù)字證書還包括證書的有效期，證書的屬性信息，例如證書是否能夠簽發(fā)子證書。本實(shí)施例中，各證書除了包含上述信息外，客戶端臨時(shí)證書中包含客戶端的硬件特征碼，客戶端的硬件特征碼可以為硬盤的物理序列號(hào)，邏輯分區(qū)的序號(hào)，中央處理器（CentralProcessingUnit，簡(jiǎn)稱CPU）序號(hào)，網(wǎng)卡的媒體接入控制地址（MediaAccessControl，簡(jiǎn)稱MAC）地址，主板序號(hào)等，只要能夠用來唯一標(biāo)識(shí)該客戶端的硬件特征都可以。二級(jí)CA證書中包含該硬件特征碼對(duì)應(yīng)的信息-摘要算法（Message-DigestAlgorithm5，簡(jiǎn)稱MD5）值，MD5的作用是對(duì)大容量信息在用密鑰進(jìn)行數(shù)字簽名之前，將信息壓縮成定長(zhǎng)的十六進(jìn)制數(shù)字串，即對(duì)一段信息產(chǎn)生信息摘要，由于產(chǎn)生的MD5值是唯一的，只要這段信息做了任何改動(dòng)，其MD5值多會(huì)發(fā)生變化，因此，利用MD5值的這種特點(diǎn)可以防止信息被篡改。步驟102、服務(wù)器驗(yàn)證證書鏈?zhǔn)欠窈戏ǎ糇C書鏈合法，則根據(jù)客戶端臨時(shí)證書中所包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較第一MD5值與第二MD5值是否相同，若相同，則確定客戶端身份有效。要驗(yàn)證一份證書的合法性，即驗(yàn)證該證書信息的摘要簽名是否有效。服務(wù)器在收到客戶端發(fā)送的證書鏈后，首先驗(yàn)證證書鏈的合法性，具體的，服務(wù)器首先驗(yàn)證客戶端臨時(shí)證書中的摘要簽名是否有效，臨時(shí)客戶端證書的摘要簽名是用二級(jí)CA證書的私鑰簽的，服務(wù)器根據(jù)二級(jí)CA證書中包含該客戶端臨時(shí)證書的擁有者即二級(jí)CA證書的信息，用該二級(jí)CA證書的公鑰解密，確定該客戶端臨時(shí)證書是否由二級(jí)CA證書簽發(fā)。在確定臨時(shí)客戶端證書的由二級(jí)CA證書簽發(fā)后，需要驗(yàn)證二級(jí)CA證書的合法性，二級(jí)CA證書由一級(jí)CA簽發(fā)，二級(jí)CA證書中摘要簽名是用一級(jí)CA證書的私鑰簽的，服務(wù)器在驗(yàn)證時(shí)，用一級(jí)CA證書的公鑰解密該二級(jí)CA證書，最后，還需要驗(yàn)證一級(jí)CA證書的合法性，這里一級(jí)CA證書作為根證書，根證書是特殊的數(shù)字證書，頒發(fā)者是它自身，下載根證書表明用戶對(duì)該根證書所簽發(fā)的證書都表示信任。服務(wù)器上預(yù)先保存有根證書，在本實(shí)施例中，服務(wù)器上保存有一級(jí)CA證書，一級(jí)CA證書的摘要簽名是它自身的私鑰，服務(wù)器根據(jù)一級(jí)CA證書的公鑰驗(yàn)證該一級(jí)CA證書的摘要簽名。證書鏈的驗(yàn)證方法為現(xiàn)有技術(shù)，這里只做簡(jiǎn)單的介紹。在驗(yàn)證證書鏈的合法性后，服務(wù)器解密二級(jí)CA證書得到客戶端的硬件特征碼的第一MD5值，以及解密客戶端臨時(shí)證書得到的客戶端的硬件特征碼，根據(jù)客戶端臨時(shí)證書中所包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較第一MD5值和第二MD5值，第一MD5值和第二MD5值都是根據(jù)客戶端的硬件特征碼生成的，若臨時(shí)客戶端證書中的硬件特征碼沒有被篡改，則生成的第二MD2值等于第一MD5值。若臨時(shí)客戶端證書中的硬件特征碼被篡改了，則第二MD2值不等于第一MD5值，服務(wù)器根據(jù)比較結(jié)果確定硬件特征碼是否被修改了。若比較結(jié)果硬件特征碼被修改了，可知該臨時(shí)客戶端證書被盜了，盜用者用自己的客戶端登陸時(shí)，使用的是其自身客戶端的硬件特征碼，與原來的客戶端的硬件特征碼不一樣，因此，可驗(yàn)證客戶端的合法性。上述方案中，通過將客戶端臨時(shí)證書和客戶端綁定，該客戶端臨時(shí)證書只能用于該客戶端的認(rèn)證，即使客戶端臨時(shí)證書被盜，被盜者使用該客戶端臨時(shí)證書在其自身客戶端向服務(wù)器發(fā)送證書認(rèn)證時(shí)，也不能通過認(rèn)證，從而保證客戶信息的安全。本實(shí)施例提供的方法，通過將客戶端證書和客戶端的硬件特征碼綁定，在認(rèn)證過程中，服務(wù)器根據(jù)客戶端臨時(shí)證書中包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較第二MD5值與二級(jí)CA證書中包含的客戶端的硬件特征碼對(duì)應(yīng)的第一MD5值，若第一MD5值和第二MD5值相同，則確認(rèn)驗(yàn)證客戶端身份的有效性。由于MD5值的唯一性，若客戶端臨時(shí)證書被盜，客戶端的硬件特征碼被修改，則生成的第二MD5值和第一MD5值不同，服務(wù)器確認(rèn)可客戶端身份無效。從而使客戶端不可仿冒，避免了現(xiàn)有技術(shù)中因數(shù)字證書被盜引起的身份誤認(rèn)。圖2為本發(fā)明客戶端證書認(rèn)證方法實(shí)施例二的流程圖，如圖2所示，本實(shí)施例提供的方法，包括以下步驟：步驟201、客戶端采集自身的硬件特征碼。當(dāng)需要進(jìn)行客戶端驗(yàn)證時(shí)，客戶端掃描獲取硬件特征碼，當(dāng)然也可以實(shí)時(shí)的采集硬件特征碼，客戶端的硬件特征碼可以為硬盤的物理序列號(hào)，邏輯分區(qū)的序號(hào)，CPU序號(hào)，網(wǎng)卡的MAC地址，主板序號(hào)等，只要能夠用來唯一標(biāo)識(shí)該客戶端的硬件特征都可以。可在客戶端PC機(jī)上設(shè)置硬件特征采集器，專門用戶采集客戶端的硬件特征碼。步驟202、客戶端向服務(wù)器發(fā)送證書鏈，證書鏈包括二級(jí)CA證書、客戶端臨時(shí)證書，二級(jí)CA證書中包含客戶端的硬件特征碼對(duì)應(yīng)的第一MD5值，客戶端臨時(shí)證書中包含硬件特征碼。本實(shí)施例中，客戶端根據(jù)采集到的硬件特征碼生成硬件特征碼對(duì)應(yīng)的第一MD5，然后將第一MD5值包含在二級(jí)CA證書中，并將采集到的硬件特征碼包含在客戶端臨時(shí)證書中，實(shí)現(xiàn)將硬件特征和客戶端臨時(shí)證書綁定。以便服務(wù)器在接收到證書鏈后，驗(yàn)證證書鏈的合法性，以及驗(yàn)證客戶端臨時(shí)證書的硬件特征碼對(duì)應(yīng)的第二MD5值和二級(jí)CA證書中的包含的客戶端硬件特征碼對(duì)應(yīng)的第一MD5值是否相同。以驗(yàn)證客戶端的身份是否有效。本實(shí)施例中，客戶端向服務(wù)器發(fā)送證書鏈之前，還包括：客戶端通過二級(jí)CA證書簽發(fā)客戶端臨時(shí)證書。客戶端每次認(rèn)證是，都通過二級(jí)CA證書簽發(fā)一張客戶端臨時(shí)證書，該證書的有效期很短。客戶端二級(jí)CA證書能夠簽發(fā)子證書，該二級(jí)CA證書需要向服務(wù)器申請(qǐng)?？蛻舳嗽谕ㄟ^二級(jí)CA證書簽發(fā)客戶端臨時(shí)證書之前，還向服務(wù)器申請(qǐng)一張二級(jí)CA證書，以后就可以通過該二級(jí)CA證書簽發(fā)客戶端臨時(shí)證書了。本實(shí)施例提供的方法，客戶端在認(rèn)證時(shí)，采集自身的硬件特征碼，將硬件特征碼包含在臨時(shí)客戶端證書中，并將硬件特征碼對(duì)應(yīng)的第一MD5值包含在二級(jí)CA證書中，將證書鏈發(fā)送給服務(wù)器，以使服務(wù)器根據(jù)客戶端臨時(shí)證書中的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較第一MD5值和第二MD5值是否相同，若第一MD5值和第二MD5值相同，則確認(rèn)客戶端身份有效。本實(shí)施例提供的方法，可以應(yīng)用在SSLVPN技術(shù)中，通過瀏覽器安全的進(jìn)行VPN訪問。傳統(tǒng)的SSL客戶端證書認(rèn)證主要有以下兩種方式：第一種方式，在首次進(jìn)行SSL握手時(shí)，服務(wù)器向客戶端發(fā)送認(rèn)證請(qǐng)求，要求客戶端發(fā)送客戶端證書，客戶端將包含其用私鑰簽名的簽名摘要攜帶在證書中發(fā)送給服務(wù)器，服務(wù)器根據(jù)客戶端證書進(jìn)行驗(yàn)證。通過驗(yàn)證后，建立一條加密通道，之后的數(shù)據(jù)都通過該加密通道進(jìn)行傳輸，從而保證信息的安全性。但是加密之前發(fā)送的客戶端證書是在沒有加密的通道中發(fā)送的，容易被盜。第二種方式，客戶端與服務(wù)端之間通過SSL握手建立一條加密通道。在需要對(duì)客戶端身份進(jìn)行認(rèn)證時(shí)，服務(wù)端發(fā)送一條hellorequest請(qǐng)求報(bào)文，請(qǐng)求客戶端再一次握手，接著客戶端在當(dāng)前加密的安全套接字層(SecuritySocketLayer，簡(jiǎn)稱SSL)通道中再次和服務(wù)端進(jìn)行握手，稱為重協(xié)商。在重協(xié)商中，服務(wù)端又主動(dòng)發(fā)送認(rèn)證請(qǐng)求報(bào)文要求客戶端發(fā)送其證書，重協(xié)商過程中所有的通信都是在加密通道中進(jìn)行的。本發(fā)明提供的方法，適用于上述兩種方式，及客戶端可以在首次與服務(wù)器建立SSL通道時(shí)，發(fā)送證書鏈，完成證書認(rèn)證的過程，也可以在重協(xié)商的加密通道中向服務(wù)器發(fā)送證書鏈，由于重協(xié)商過程中發(fā)送的證書認(rèn)證信息都是在加密通道中，從而能夠保證證書的安全性。實(shí)施例三將具體描述在重協(xié)商過程中的認(rèn)證。圖3為本發(fā)明客戶端證書認(rèn)證方法實(shí)施例三的流程圖，如圖3所示，本實(shí)施例提供的方法包括以下步驟：步驟301、客戶端和服務(wù)器之間建立一條SSL加密通道。步驟302、服務(wù)器向客戶端發(fā)送認(rèn)證請(qǐng)求消息。這里服務(wù)器向客戶端發(fā)送認(rèn)證請(qǐng)求消息是通過SSL重協(xié)商加密通道發(fā)送的，用于請(qǐng)求客戶端發(fā)送認(rèn)證信息。步驟303、客戶端采集自身的硬件特征。步驟304、客戶端通過二級(jí)CA證書簽發(fā)客戶端臨時(shí)證書。客戶端通過二級(jí)CA證書簽發(fā)客戶端臨時(shí)證書之前，需要向服務(wù)器申請(qǐng)二級(jí)CA證書，然后在需要認(rèn)證時(shí)，簽發(fā)一張客戶端臨時(shí)證書，該客戶端臨時(shí)證書中包括采集到的硬件特征碼。本發(fā)明中，客戶端臨時(shí)證書由客戶端自己簽發(fā)，客戶端通過申請(qǐng)一張能夠簽發(fā)二子證書的二級(jí)CA證書，通過二級(jí)CA簽發(fā)客戶端臨時(shí)證書?？蛻舳伺R時(shí)證書的有效期很短，可能為1分鐘，或者30秒，或者更短的時(shí)間，驗(yàn)證完成后，該證書就失效了。本發(fā)明中，客戶端通過動(dòng)態(tài)的簽發(fā)臨時(shí)客戶端證書，進(jìn)一步地提高了證書驗(yàn)證的安全性。步驟305、客戶端在SSL重協(xié)商的加密通道中向服務(wù)器發(fā)送證書鏈，證書鏈包括二級(jí)CA證書、客戶端臨時(shí)證書，二級(jí)CA證書中包含客戶端的硬件特征碼對(duì)應(yīng)的第一MD5值，客戶端臨時(shí)證書中包含硬件特征碼。證書鏈?zhǔn)窃诩用芡ǖ乐邪l(fā)送，保證客戶端臨時(shí)證書中的硬件特征碼不會(huì)泄露。步驟306、服務(wù)器在SSL重協(xié)商的加密通道中接收客戶端發(fā)送的證書鏈。步驟307、服務(wù)器驗(yàn)證證書鏈?zhǔn)欠窈戏?，若證書鏈合法，則根據(jù)客戶端臨時(shí)證書中所包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較第一MD5值與第二MD5值是否相同，若相同，則確定客戶端身份有效。具體地，服務(wù)器根據(jù)客戶端臨時(shí)證書中所包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較二級(jí)CA證書中的第一MD5值和生成的第二MD5值是否相同，若臨時(shí)客戶端證書中的硬件特征碼被篡改了，則第二MD2值不等于第一MD5值，服務(wù)器根據(jù)比較結(jié)果確定硬件特征碼被修改了，客戶端驗(yàn)證結(jié)果無效。若比較結(jié)果第一MD5值和第二MD5值相同，則確定客戶端省份有效。圖4為本發(fā)明實(shí)施例四提供的服務(wù)器的結(jié)構(gòu)示意圖，如圖4所示，本實(shí)施例提供的服務(wù)器包括：接收模塊41、驗(yàn)證模塊42。其中，接收模塊41，用于接收客戶端發(fā)送的證書鏈，證書鏈包括二級(jí)CA證書、客戶端臨時(shí)證書，二級(jí)CA證書中包含客戶端的硬件特征碼對(duì)應(yīng)的第一MD5值，客戶端臨時(shí)證書中包含硬件特征碼；驗(yàn)證模塊42，用于驗(yàn)證證書鏈?zhǔn)欠窈戏ǎ糇C書鏈合法，則根據(jù)客戶端臨時(shí)證書中所包含的硬件特征碼生成對(duì)應(yīng)的第二MD5值，比較第一MD5值與第二MD5值是否相同，若相同，則確定客戶端身份有效。其中，客戶端臨時(shí)證書由二級(jí)CA證書簽發(fā)，二級(jí)CA證書由一級(jí)CA證書簽發(fā)。在一種實(shí)現(xiàn)方式中，接收模塊41具體用于：在SSL重協(xié)商的加密通道中接收客戶端發(fā)送的證書鏈。本實(shí)施例提供的服務(wù)器，可用于執(zhí)行上述任一方法實(shí)施例提供的技術(shù)方案，具體實(shí)現(xiàn)方式和技術(shù)效果類似，故不再贅述。圖5為本發(fā)明實(shí)施例五提供的客戶端的結(jié)構(gòu)示意圖，如圖5所示，本實(shí)施例提供的客戶端包括：硬件特征碼采集模塊51，用于采集客戶端的硬件特征碼；發(fā)送模塊52，用于向服務(wù)器發(fā)送證書鏈，證書鏈包括二級(jí)CA證書、客戶端臨時(shí)證書，二級(jí)CA證書中包含客戶端的硬件特征碼對(duì)應(yīng)的第一MD5值，客戶端臨時(shí)證書中包含硬件特征碼。客戶端還包括：證書簽發(fā)模塊53，用于通過二級(jí)CA證書簽發(fā)客戶端臨時(shí)證書。證書申請(qǐng)模塊54，用于向服務(wù)器申請(qǐng)二級(jí)CA證書。一種實(shí)現(xiàn)方式中，發(fā)送模塊52具體用于：在SSL重協(xié)商的加密通道中向服務(wù)器發(fā)送證書鏈。本實(shí)施例提供的客戶端可用于執(zhí)行上述任一的方法實(shí)施例，具體實(shí)現(xiàn)方式和技術(shù)效果類似，這里不再贅述。本領(lǐng)域普通技術(shù)人員可以理解：實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成。前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。該程序在執(zhí)行時(shí)，執(zhí)行包括上述各方法實(shí)施例的步驟；而前述的存儲(chǔ)介質(zhì)包括：ROM、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。最后應(yīng)說明的是：以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案，而非對(duì)其限制；盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。