一种客户端主导的客户端鉴权的方法

技术领域

本发明涉及通信网络安全技术领域，尤其涉及一种设备间鉴权的方法。

背景技术

随着因特网业务的蓬勃发展和无线网络的广泛应用，移动用户的安全性已经对于无线系统提出了越来越多的要求：除了设备鉴权、用户鉴权和服务授权等等，无线用户与接入点或基站之间的安全通道的建立，保密信息的交换，以及BS和鉴权者，鉴权者和鉴权服务器之间的保密通道，保密信息的交换等等都是以往在专用网络中所不需要考虑而目前需要得到大量关注的问题了。

在现有技术中，网络结构主要包括C/S结构，B/S 结构两种类型。

C/S(Client/Server)结构，即客户端/服务器端结构；B/S(Browser/Server) 结构，即浏览器端/服务器端结构。其中B/S结构是在C/S结构基础上发展而来 的，浏览器端实质上也是一种客户端程序，它将HTML脚本转换成可视的界面。 通过这两种结构可以充分利用两端硬件环境的优势，将任务合理分配到客户端或 浏览器端和服务器端来实现，降低了系统的通讯开销。目前大多数应用软件系统 都是C/S或B/S形式的两层结构。

对于C/S结构，由于每个服务器均与大量客户端相连，因此承担了很重的服务任务，当大量客户端同时连接服务器时，会造成服务器负荷变大，运行变慢，导致服务质量变差，服务器维护成本大量增加。

服务器最重要的功能之一为客户端的鉴权功能，使得客户端能够获取相应的服务，当服务器由于负荷过重导致拥塞时，鉴权过程会受到影响，使得用户无法登录服务器，用户体验变差。而且鉴权过程中传递大量信息，对于移动客户端用户会产生较大流量，加大用户的经济负担。

发明内容

本发明提供了一种客户端主导的客户端鉴权的方法，应用于服务器/客户端架构的网络中，其特征在于，包括：

步骤202、服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置；

步骤204、向服务器申请鉴权的所述第一客户端向服务器发送鉴权请求，其中包括所述第一客户端的识别序列号和地理位置以及第二客户端的识别序列号；

步骤206、服务器接收到鉴权请求时，判断其中是否包含鉴权失败消息，若否，则进入步骤208；若是，则进入步骤222；

步骤208、服务器在鉴权数据库中查找所述第二客户端的识别序列号；若未找到匹配的第二客户端，则进入步骤222；若找到匹配的第二客户端，则判断该第二客户端信用水平是否在一定的等级之上，若符合信用等级要求，则获取所述第二客户端地理位置，与所述第一客户端的地理位置相比较，得到两者之间的距离，进入步骤210，若信用等级不符合要求，则进入步骤222；

步骤210、将该距离与预设的阈值相比较，判断所述距离是否小于阈值；若是，则向所述第二客户端发送鉴权转移消息，其中包括所述第一客户端和第二客户端的识别序列号，进入步骤212；若否，进入步骤222；

步骤212、 所述第二客户端根据所述鉴权转移消息判断所述第一客户端是否通过鉴权，若鉴权成功，则进入步骤214；若鉴权失败，则所述第二客户端向第一客户端发送鉴权失败消息，其中包括第一客户端和第二客户端的识别序列号和地理位置，进入步骤218；

步骤214、所述第二客户端将鉴权成功消息发送给所述服务器，所述鉴权成功消息中包括第一客户端和第二客户端的识别序列号和地理位置；

步骤216、服务器接收鉴权成功消息，并将第一客户端的识别序列号和地理位置存入所述鉴权数据库中，将鉴权成功消息转发给所述第一客户端，进入步骤224；

步骤218、第一客户端接收到鉴权失败消息后，判断其中是否包括服务器的识别序列号；若是，则进入步骤224；若否，则进一步判断其中是否包括其他客户端的识别序列号，若是，则进入步骤220，若否，进入步骤224；

步骤220、第一客户端重新向服务器发起鉴权请求，其中包括该鉴权失败消息，进入步骤206；

步骤222、服务器对第一客户端进行鉴权；若鉴权成功，则将第一客户端的识别序列号和地理位置存入所述鉴权数据库中，并向所述第一客户端发送鉴权成功消息，其中包括第一客户端和服务器的识别序列号，进入步骤224；若鉴权失败，则向所述第一客户端发送鉴权失败消息，其中包括第一客户端和服务器的识别序列号，进入步骤218；

步骤224、鉴权结束。

优选的，第一客户端和第二客户端之间通过近场通信的方式传递数据。

优选的，第一客户端和第二客户端之间通过蓝牙或红外的方式传递数据。

本发明中，由待鉴权的客户端指定其他客户端用于鉴权，利用所申请的附近的客户端的资源，将本应由服务器承担的鉴权任务下放到具有良好资质的附近的客户端中。通过这种一个客户端向另一个客户端获取鉴权信息的方式来完成鉴权过程的方式，减轻了服务器的负担，使得服务器能够将资源用于更重要的服务中，也减小了对服务器性能上的需求。而且，客户端之间进行鉴权时使用近场通信的方式，节约了移动网络的流量，降低了用户的花费。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明服务器/客户端结构图；

图2为本发明实施例一流程图A；

图3为本发明实施例一流程图B；

图4为本发明实施例一流程图C；

图5为本发明实施例一流程图D。

附图标记：1-服务器；2-第一客户端；3-第二客户端。 

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下将通过具体实施例和相关附图，对本发明作进一步详细说明。

实施例一

本发明实施例一提供了一种客户端主导的客户端鉴权的方法，应用于服务器/客户端架构的网络中，其特征在于，包括：

步骤202、服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置；

步骤204、向服务器申请鉴权的所述第一客户端向服务器发送鉴权请求，其中包括所述第一客户端的识别序列号和地理位置以及第二客户端的识别序列号；

步骤206、服务器接收到鉴权请求时，判断其中是否包含鉴权失败消息，若否，则进入步骤208；若是，则进入步骤222；

步骤208、服务器在鉴权数据库中查找所述第二客户端的识别序列号；若未找到匹配的第二客户端，则进入步骤222；若找到匹配的第二客户端，则判断该第二客户端信用水平是否在一定的等级之上，若符合信用等级要求，则获取所述第二客户端地理位置，与所述第一客户端的地理位置相比较，得到两者之间的距离，进入步骤210，若信用等级不符合要求，则进入步骤222；

步骤210、将该距离与预设的阈值相比较，判断所述距离是否小于阈值；若是，则向所述第二客户端发送鉴权转移消息，其中包括所述第一客户端和第二客户端的识别序列号，进入步骤212；若否，进入步骤222；

步骤212、 所述第二客户端根据所述鉴权转移消息判断所述第一客户端是否通过鉴权，若鉴权成功，则进入步骤214；若鉴权失败，则所述第二客户端向第一客户端发送鉴权失败消息，其中包括第一客户端和第二客户端的识别序列号和地理位置，进入步骤218；

步骤214、所述第二客户端将鉴权成功消息发送给所述服务器，所述鉴权成功消息中包括第一客户端和第二客户端的识别序列号和地理位置；

步骤216、服务器接收鉴权成功消息，并将第一客户端的识别序列号和地理位置存入所述鉴权数据库中，将鉴权成功消息转发给所述第一客户端，进入步骤224；

步骤218、第一客户端接收到鉴权失败消息后，判断其中是否包括服务器的识别序列号；若是，则进入步骤224；若否，则进一步判断其中是否包括其他客户端的识别序列号，若是，则进入步骤220，若否，进入步骤224；

步骤220、第一客户端重新向服务器发起鉴权请求，其中包括该鉴权失败消息，进入步骤206；

步骤222、服务器对第一客户端进行鉴权；若鉴权成功，则将第一客户端的识别序列号和地理位置存入所述鉴权数据库中，并向所述第一客户端发送鉴权成功消息，其中包括第一客户端和服务器的识别序列号，进入步骤224；若鉴权失败，则向所述第一客户端发送鉴权失败消息，其中包括第一客户端和服务器的识别序列号，进入步骤218；

步骤224、鉴权结束。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

上列较佳实施例，对本发明的目的、技术方案和优点进行了进一步详细说明，所应理解的是，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。