[发明专利]双向认证的管理/执行方法/系统、介质、管理/代理端

说明书

本发明提供一种双向认证的管理/执行方法/系统、介质、管理/代理端，双向认证的管理方法适用于与至少一客户端通信连接的管理服务端；管理服务端与一代理服务端通信连接；代理服务端与至少一项目对应的待访问服务端连接；双向认证的管理方法包括：部署用于提供证书申请及证书下载链接的公钥基础设施管理平台；根据不同项目所定义的待访问服务端的域名及客户端的名称，通过公钥基础设施管理平台为待访问服务端颁发认证授权证书和服务端证书，及为客户端颁发客户端证书。本发明使用NGINX前端代理EMQTT后，单台服务器就实现多个域名的双向认证。在保证通讯安全的同时，也提高了EMQTT的吞吐量，提升了资源的利用率，此外也降低了维护和部署的成本和难度。

技术领域

本发明属于信息安全技术领域，涉及一种管理/执行方法和系统，特别是涉及一种双向认证的管理/执行方法/系统、介质、管理/代理端。

背景技术

当前出于安全的考虑，每个项目访问emqtt需要有不同的域名，但emqtt提供的双向认证机制只支持单个域名的证书。若要部署新的域名证书，只能在新的机器上重新部署emqtt。随着项目的增多，维护和部署的成本将变得难以控制，且单个域名的emqtt存在一定的性能浪费，资源利用率较低。

因此，如何提供一种双向认证的管理/执行方法/系统、介质、管理/代理端，以解决现有技术在每个项目访问emqtt时，只支持单个域名的证书，导致在项目增多的情况下，单个域名的emqtt存在性能浪费，资源利用率较低等缺陷，实已成为本领域技术人员亟待解决的技术问题。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种双向认证的管理/执行方法/系统、介质、管理/代理端，用于解决现有技术在每个项目访问emqtt时，只支持单个域名的证书，导致在项目增多的情况下，单个域名的emqtt存在性能浪费，资源利用率较低的问题。

为实现上述目的及其他相关目的，本发明一方面提供一种双向认证的管理方法，适用于与至少一客户端通信连接的管理服务端；所述管理服务端与一代理服务端通信连接；所述代理服务端与至少一项目对应的待访问服务端连接；所述双向认证的管理方法包括：部署用于提供证书申请及证书下载链接的公钥基础设施管理平台；根据不同项目所定义的待访问服务端的域名及客户端的名称，通过所述公钥基础设施管理平台为所述待访问服务端颁发认证授权证书和服务端证书，及为所述客户端颁发客户端证书。

于本发明的一实施例中，所述认证授权证书是验证证书颁发机构是否合法的安全证书；所述服务端证书是证书颁发机构为待访问服务端的域名签发的安全证书；所述客户端证书是证书颁发机构为客户端签发的安全证书。

于本发明的一实施例中，客户端利用所述公钥基础设施管理平台的应用程序编程接口申请所述客户端证书，并提供客户端证书下载链接。

本发明另一方面提供一种双向认证的执行方法，适用于代理服务端，所述代理服务端分别与至少一客户端、管理服务端及至少一待访问服务端连接；所述双向认证的执行方法包括：接收源于所述管理服务端颁发的认证授权证书和服务端证书；将认证授权证书和服务端证书包括的信息添加至用于双向认证的配置参数中；待接收到客户端发送的访问请求后，要求所述客户端出示其客户端证书，以验证该客户端的身份是否合法，验证通过后，将所述访问请求转发至所述待访问服务端；同时将所述服务端证书转发至所述客户端，以便所述客户端验证待访问服务端是否合法。

于本发明的一实施例中，所述代理服务端的前端还加入负载均衡设备；所述负载均衡设备用于代理多个代理服务端；所述双向认证的执行方法还包括利用加入的负载均衡设备解析待访问服务端(emqtt)的域名，并在所述代理服务端上添加待访问服务端的域名和负载均衡设备的IP地址。