CN107306251B - 一种信息认证方法及网关设备 - Google Patents
一种信息认证方法及网关设备 Download PDFInfo
- Publication number
- CN107306251B CN107306251B CN201610249161.3A CN201610249161A CN107306251B CN 107306251 B CN107306251 B CN 107306251B CN 201610249161 A CN201610249161 A CN 201610249161A CN 107306251 B CN107306251 B CN 107306251B
- Authority
- CN
- China
- Prior art keywords
- domain name
- name information
- server
- certificate
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 238000012545 processing Methods 0.000 claims abstract description 66
- 238000012795 verification Methods 0.000 claims description 29
- 230000005540 biological transmission Effects 0.000 claims description 19
- 238000001514 detection method Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims 2
- 230000003993 interaction Effects 0.000 description 12
- 238000012546 transfer Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种信息认证方法及网关设备,所述方法包括:网关设备获取域名信息;查找所述域名信息对应证书所属的根证书;根据所述根证书对服务器证书进行认证处理,得到认证处理结果。
Description
技术领域
本发明涉及信息处理技术,尤其涉及一种信息认证方法及网关设备。
背景技术
为了实现对超文本传输协议的安全版(Hyper Text Transfer Protocol overSecure Socket Layer,HTTPS)报文进行内容计费,目前业界普遍采用基于加密层,如传输层安全(Transport Layer Security,TLS)流程中的初始协商消息中所携带的明文字段,即服务器名称指示(Server Name Indication,SNI),所述明文字段SNI用于标识业务的域名信息,这样内容计费可以借用所述SNI字段作为业务类型识别和内容计费字段。
然而,如果客户端和服务器配合作假,即将所述SNI字段设置为免流字段,那么会造成严重的流量盗用。因此,如何校验SNI字段的真实性是一个亟待解决的问题。
发明内容
有鉴于此,本发明实施例为解决现有技术中存在的问题而提供一种信息认证方法及网关设备。
本发明实施例的技术方案是这样实现的:
本发明实施例提供一种信息认证方法,所述方法包括:
获取域名信息;
查找所述域名信息对应证书所属的根证书;
根据所述根证书对服务器证书进行认证处理,得到认证处理结果,所述服务器证书为传输层安全TLS协商时服务器所传递的数字证书。
在一实施方式中,所述获取域名信息包括:
解析域名标识字段,得到域名信息;
检测所述域名信息是否处在可信任列表中;
若未处在可信任列表中,则记录所述域名信息。
在一实施方式中,所述根据所述根证书对服务器证书进行认证处理,得到认证处理结果,包括:
根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证;
对所述服务器证书的有效期进行验证,得到验证结果。
在一实施方式中,所述方法还包括:
若所述认证通过,则将所述域名信息记为白名单,并进行与所述白名单相应的内容计费处理。
在一实施方式中,所述方法还包括:
若所述认证未通过,则将所述域名信息记为黑名单,并进行与所述黑名单相应的内容计费处理。
本发明实施例还提供一种网关设备,所述网关设备包括获取模块、查找模块和认证处理模块;
所述获取模块,用于获取域名信息;
所述查找模块,用于查找所述域名信息对应证书所属的根证书;
所述认证处理模块,用于根据所述根证书对服务器证书进行认证处理,得到认证处理结果,所述服务器证书为传输层安全TLS协商时服务器所传递的数字证书。
在一实施方式中,所述获取模块包括解析单元、检测单元和记录单元;
所述解析单元,用于解析域名标识字段,得到域名信息;
所述检测单元,用于检测所述域名信息是否处在可信任列表中;
所述记录单元,用于若未处在可信任列表中,则记录所述域名信息。
在一实施方式中,所述认证处理模块包括第一验证单元和第二验证单元;
所述第一验证单元,用于根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证;
所述第二验证单元,用于对所述服务器证书的有效期进行验证,得到验证结果。
在一实施方式中,所述网关设备还包括计费处理模块;
所述计费处理模块,用于若所述认证通过,则将所述域名信息记为白名单,并进行与所述白名单相应的内容计费处理。
在一实施方式中,所述网关设备还包括计费处理模块;
所述计费处理模块,用于若所述认证未通过,则将所述域名信息记为黑名单,并进行与所述黑名单相应的内容计费处理。
本发明实施例中,网关设备获取域名信息;查找所述域名信息对应证书所属的根证书;根据所述根证书对服务器证书进行认证处理,得到认证处理结果。如此,网关设备作为中间网元,在TLS协商过程通过识别服务器所传递的服务器证书,并基于预制的根证书对服务器证书的真实性进行验证,从而实现在TLS交互过程中验证SNI字段的真实性,整个验证过程仅涉及网关设备,不需要客户端和服务器的配合,更易于现网实施。
附图说明
图1为本发明实施例一信息认证方法的实现流程示意图;
图2为本发明实施例二信息认证方法的实现流程示意图;
图3为本发明实施例三信息认证方法的实现流程示意图;
图4为本发明实施例四信息认证方法的实现流程示意图;
图5为本发明一应用示例信息认证方法的具体实现流程示意图;
图6为本发明实施例网关设备的组成结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
实施例一:
本发明实施例提供一种信息认证方法,如图1所述,所述方法包括:
步骤101、获取域名信息;
其中,所述域名信息用于表示网络业务的域名;在基于TLS的交互流程中,所述域名信息通常携带于TLS初始协议消息中的SNI字段中,以实现用户UE、网关、及服务器之间域名信息的传递。当然,所述域名字段还可以携带于用户自定义的字段中进行传递。
具体地,网关设备在TLS建链的初始阶段,通过透传方式实现UE与服务器之间SNI字段的传输,进一步在传输所述SNI字段的过程中,解析所述SNI字段,以获得域名信息。
步骤102、查找所述域名信息对应证书所属的根证书;
这里,网关设备预先会存储有预制域名对应证书所属的根证书列表。相应的,当网关设备可以在获取到当前网络业务的域名信息后,直接在预制域名对应证书所属的根证书列表中找到所述域名信息对应证书所属的根证书。
步骤103、根据所述根证书对服务器证书进行认证处理,得到认证处理结果。
其中,所述服务器证书为TLS协商时服务器所传递的数字证书。
具体地,网关设备在与服务器进行TLS协商过程中,服务器会主动传递服务器证书;当网关设备获取到服务器所传递的服务器证书后,进一步根据所述根证书对服务器证书进行认证处理,以认证所述服务器证书的真实性和完整性,从而确定出所述SNI字段中域名信息的真实性。
这里,当所述认证通过,则所述SNI字段中的域名信息真实,即说明域名和服务器网络协议Server IP的对应关系正确;相反,若所述认证未通过,则所述SNI字段的域名信息不真实,即说明域名和服务器网络协议Server IP的对应关系不正确,可能存在客户端和服务器配合作假的问题。
通过本发明实施例所述信息认证方法,网关设备获取域名信息;查找所述域名信息对应证书所属的根证书;根据所述根证书对服务器证书进行认证处理,得到认证处理结果。如此,网关设备作为中间网元,在TLS协商过程通过识别服务器所传递的服务器证书,并基于预制的根证书对服务器证书的真实性进行验证,从而实现在TLS交互过程中验证SNI字段的真实性,且整个验证过程仅涉及网关设备,不需要客户端和服务器的配合,更易于现网实施。
实施例二
本发明实施例提供一种信息认证方法,如图2所述,所述方法包括:
步骤1011、解析域名标识字段,得到域名信息;
其中,所述域名信息用于表示网络业务的域名;在基于TLS的交互流程中,所述域名信息通常携带于TLS初始协议消息中的SNI字段中,以实现用户UE、网关、及服务器之间域名信息的传递。当然,所述域名字段还可以携带于用户自定义的字段中进行传递。
具体地,网关设备在TLS建链的初始阶段,通过透传方式实现UE与服务器之间SNI字段的传输,进一步在传输所述SNI字段的过程中,解析所述SNI字段,以获得域名信息。
步骤1012、检测所述域名信息是否处在可信任列表中;
其中,所述可信任列表包括白名单列表和黑名单列表。
具体地,网关设备检测所述域名信息和Server IP在白名单列表和/或黑名单列表中是否存在对应关系,若在白名单列表中存在对应关系,则确定所述域名信息为真实的,此时所述域名信息处在可信任列表中,可以将安全标识符(security Identifier,SID)设置为后向计费;若黑名单列表中存在对应关系,则确定所述域名信息为真实的,此时所述域名信息未处在可信任列表中,可以将SID设置为前向计费;若在白名单列表和黑名单列表中均不存在对应关系,则可以确定所述域名信息未处在可信任列表中,则继续执行后续步骤1013。
这里,所述后向计费是指客户通过2G/3G/4G/WLAN网络访问互联网时,产生的数据流量费用减免,由集团客户后向统付。
步骤1013、若未处在可信任列表中,则记录所述域名信息;
步骤102、查找所述域名信息对应证书所属的根证书;
这里,网关设备预先会存储有预制域名对应证书所属的根证书列表。相应的,当网关设备可以在获取到当前网络业务的域名信息后,直接在预制域名对应证书所属的根证书列表中找到所述域名信息对应证书所属的根证书。
步骤103、根据所述根证书对服务器证书进行认证处理,得到认证处理结果。
其中,所述服务器证书为TLS协商时服务器所传递的数字证书。
具体地,网关设备在与服务器进行TLS协商过程中,服务器会主动传递服务器证书;当网关设备获取到服务器所传递的服务器证书后,进一步根据所述根证书对服务器证书进行认证处理,以认证所述服务器证书的真实性和完整性,从而确定出所述SNI字段中域名信息的真实性。
这里,当所述认证通过,则所述SNI字段中的域名信息真实,即说明域名和服务器网络协议Server IP的对应关系正确;相反,若所述认证未通过,则所述SNI字段的域名信息不真实,即说明域名和服务器网络协议Server IP的对应关系不正确,可能存在客户端和服务器配合作假的问题。
通过本发明实施例所述信息认证方法,网关设备作为中间网元,在TLS协商过程通过识别服务器所传递的服务器证书,并基于预制的根证书对服务器证书的真实性进行验证,从而实现在TLS交互过程中验证SNI字段的真实性,且整个验证过程仅涉及网关设备,不需要客户端和服务器的配合,更易于现网实施。
实施例三:
本发明实施例提供一种信息认证方法,如图3所述,所述方法包括:
步骤101、获取域名信息;
其中,所述域名信息用于表示网络业务的域名;在基于TLS的交互流程中,所述域名信息通常携带于TLS初始协议消息中的SNI字段中,以实现用户UE、网关、及服务器之间域名信息的传递。当然,所述域名字段还可以携带于用户自定义的字段中进行传递。
具体地,网关设备在TLS建链的初始阶段,通过透传方式实现UE与服务器之间SNI字段的传输,进一步在传输所述SNI字段的过程中,解析所述SNI字段,以获得域名信息。
步骤102、查找所述域名信息对应证书所属的根证书;
这里,网关设备预先会存储有预制域名对应证书所属的根证书列表。相应的,当网关设备可以在获取到当前网络业务的域名信息后,直接在预制域名对应证书所属的根证书列表中找到所述域名信息对应证书所属的根证书。
步骤1031、根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证;
其中,所述服务器证书为TLS协商时服务器所传递的数字证书。
具体地,网关设备在与服务器进行TLS协商过程中,服务器会主动传递服务器证书;当网关设备获取到服务器所传递的服务器证书后,进一步根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证,以验证所述服务器证书的真实性和完整性,从而确定出所述SNI字段中域名信息的真实性。
步骤1032、对所述服务器证书的有效期进行验证,得到验证结果。
具体地,网关设备验证所述服务器整数的有效期是否截止,若截止,则所述验证失败,即认证未通过,若未截止,则所述验证有效,即认证通过。
这里,通过步骤1031~1032对服务器证书的认证过程,当所述认证通过,即则所述SNI字段中的域名信息真实,即说明域名和服务器网络协议Server IP的对应关系正确;相反,若所述认证未通过,则所述SNI字段的域名信息不真实,即说明域名和服务器网络协议Server IP的对应关系不正确,可能存在客户端和服务器配合作假的问题。
通过本发明实施例所述信息认证方法,网关设备获取域名信息;查找所述域名信息对应证书所属的根证书;根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证;对所述服务器证书的有效期进行验证,得到验证结果。如此,网关设备作为中间网元,在TLS协商过程通过识别服务器所传递的服务器证书,并基于预制的根证书对服务器证书的真实性进行验证,从而实现在TLS交互过程中验证SNI字段的真实性,且整个验证过程仅涉及网关设备,不需要客户端和服务器的配合,更易于现网实施。
实施例四:
本发明实施例提供一种信息认证方法,如图4所述,所述方法包括:
步骤101、获取域名信息;
其中,所述域名信息用于表示网络业务的域名;在基于TLS的交互流程中,所述域名信息通常携带于TLS初始协议消息中的SNI字段中,以实现用户UE、网关、及服务器之间域名信息的传递。当然,所述域名字段还可以携带于用户自定义的字段中进行传递。
具体地,网关设备在TLS建链的初始阶段,通过透传方式实现UE与服务器之间SNI字段的传输,进一步在传输所述SNI字段的过程中,解析所述SNI字段,以获得域名信息。
步骤102、查找所述域名信息对应证书所属的根证书;
这里,网关设备预先会存储有预制域名对应证书所属的根证书列表。相应的,当网关设备可以在获取到当前网络业务的域名信息后,直接在预制域名对应证书所属的根证书列表中找到所述域名信息对应证书所属的根证书。
步骤103、根据所述根证书对服务器证书进行认证处理,得到认证处理结果;
其中,所述服务器证书为TLS协商时服务器所传递的数字证书。
具体地,网关设备在与服务器进行TLS协商过程中,服务器会主动传递服务器证书;当网关设备获取到服务器所传递的服务器证书后,进一步根据所述根证书对服务器证书进行认证处理,以认证所述服务器证书的真实性和完整性,从而确定出所述SNI字段中域名信息的真实性。
这里,当所述认证通过,则所述SNI字段中的域名信息真实,即说明域名和服务器网络协议Server IP的对应关系正确,继续执行后续步骤401;相反,若所述认证未通过,则所述SNI字段的域名信息不真实,即说明域名和服务器网络协议Server IP的对应关系不正确,可能存在客户端和服务器配合作假的问题,继续执行后续步骤402。
步骤401:若所述认证通过,则将所述域名信息记为白名单,并进行与所述白名单相应的内容计费处理。
具体地,网关设备在确定所述认证通过后,则将所述域名信息记为白名单,即所述域名信息和Server IP添加到白名单列表中,此时所述域名信息已处在可信任列表中,可以将SID设置为后向计费,以进一步进行与所述白名单相应的内容计费处理。
步骤402:若所述认证未通过,则将所述域名信息记为黑名单,并进行与所述黑名单相应的内容计费处理。
具体地,网关设备在确定所述认证未通过后,则将所述域名信息记为黑名单,即所述域名信息和Server IP添加到黑名单列表中,此时所述域名信息已处在可信任列表中,可以将SID设置为前向计费,以进一步进行与所述黑名单相应的内容计费处理。
通过本发明实施例所述信息认证方法,网关设备作为中间网元,在TLS协商过程通过识别服务器所传递的服务器证书,并基于预制的根证书对服务器证书的真实性进行验证,从而实现在TLS交互过程中验证SNI字段的真实性,且整个验证过程仅涉及网关设备,不需要客户端和服务器的配合,更易于现网实施。进一步地,若所述认证通过,则将所述域名信息记为白名单,并进行与所述白名单相应的内容计费处理,若所述认证未通过,则将所述域名信息记为黑名单,并进行与所述黑名单相应的内容计费处理;这样,网关设备根据认证处理结果,将所述域名信息记为白名单或黑名单,并进行相应的内容计费处理。如此,通过生成黑白名单的方式对认证结果进行留存,减少每次校验的多余消耗,完善基于SNI字段的内容计费。
应用示例
基于本发明实施例一至四所述的信息认证方法,下面通过一个具体的应用示例来详细说明本发明实现信息认证的过程,具体结合用户UE、网关设备GGSN/P-GW、及服务供应商,即服务器SP之间的TLS信息交互过程,如图5所示,所述信息认证过程包括:
步骤1,在TCP建链过程中,透传建链消息,得到此次连接对应的Server IP地址。
具体地,分别通过UE和GGSN/P-GW、GGSN/P-GW和SP之间的TCP三次握手(标准TLS端口号)操作,实现三者之间的TCP建链,得到此次TCP建链连接对应的Server IP地址。
步骤2,在TLS建链的初始阶段,网关设备GGSN/P-GW识别SNI的值,当域名和ServerIP不在可信任列表中,网关对服务器SP发来的数字证书进行验证。
具体地,在TLS建链的初始阶段,通过透传消息,获得携带有域名信息的SNI字段;解析所述SNI字段,如果SNI字段中的域名信息和Server IP在白名单中有对应关系,则将SID设为后向计费。如果SNI字段中的域名信息和Server IP在白名单中有对应关系,则将SID设为正常的前向计费。如果Server IP和域名对应关系在黑白名单中都不存在,,即不在可信任列表中,则记录SNI中的所述域名信息。
步骤3,查找所述域名信息对应证书所属的根证书;根据所述根证书对服务器证书进行认证处理,得到认证处理结果。
其中,所述服务器证书为传输层安全TLS协商时服务器所传递的数字证书。
具体地,网关设备GGSN/P-GW中预先存储有预制域名对应证书所属的根证书,使用根证书对TLS协商时服务器传递的数字证书进行验证,即,使用根证书的公钥对数字证书的电子签名进行完整性和真实性验证,同时验证证书的有效期。
步骤4,认证通过后,说明域名和Server IP的对应关系正确,记为白名单,否则记为黑名单,进行相应的内容计费处理。
具体地,网关设备GGSN/P-GW在确定所述认证未通过后,则将所述域名信息记为黑名单,即所述域名信息和Server IP添加到黑名单列表中,此时所述域名信息已处在可信任列表中,可以将SID设置为前向计费,以进一步进行与所述黑名单相应的内容计费处理。
当然,所述信息认证方法还可以用于在其他自定义字段中传递域名信息进行内容计费的场景。
通过本发明应用示例所述信息认证方法,能够有效实现在TLS交互过程中验证SNI字段的真实性,且整个验证过程仅涉及网关设备理,不需要客户端和服务器的配合,更易于现网实施。另外,通过生成黑白名单的方式对认证结果进行留存,减少每次校验的多余消耗,完善基于SNI字段的内容计费。
实施例五
本发明实施例提供了一种网关设备,如图6所示,所述网关设备60包括获取模块601、查找模块602和认证处理模块603;
所述获取模块601,用于获取域名信息;
所述查找模块602,用于查找所述域名信息对应证书所属的根证书;
所述认证处理模块603,用于根据所述根证书对服务器证书进行认证处理,得到认证处理结果,所述服务器证书为传输层安全TLS协商时服务器所传递的数字证书。
在一实施方式中,如图6所示,所述获取模块601包括解析单元6011、检测单元6012和记录单元6013;
所述解析单元6011,用于解析域名标识字段,得到域名信息;
所述检测单元6012,用于检测所述域名信息是否处在可信任列表中;
所述记录单元6013,用于若未处在可信任列表中,则记录所述域名信息。
在一实施方式中,如图6所示,所述认证处理模块603包括第一验证单元6031和第二验证单元6032;
所述第一验证单元6031,用于根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证;
所述第二验证单元6032,用于对所述服务器证书的有效期进行验证,得到验证结果。
在一实施方式中,如图6所示,所述网关设备60还包括计费处理模块604;
所述计费处理模块604,用于若所述认证通过,则将所述域名信息记为白名单,并进行与所述白名单相应的内容计费处理。
在一实施方式中,所述计费处理模块604,还用于若所述认证未通过,则将所述域名信息记为黑名单,并进行与所述黑名单相应的内容计费处理。
在实际应用中,所述网关设备所包括的获取模块601、查找模块602、认证处理模块603及计费处理模块604及其各模块所包括的单元的具体结构均可对应于处理器。所述处理器具体的结构可以为中央处理器CPU、微处理器MCU、数字信号处理器DSP或可编程逻辑器件PLC等具有处理功能的电子元器件或电子元器件的集合。其中,所述处理器包括可执行代码,所述可执行代码存储在存储介质中,所述处理器可以通过总线等通信接口与所述存储介质中相连,在执行具体的各模块的对应功能时,从所述存储介质中读取并运行所述可执行代码。所述存储介质用于存储所述可执行代码的部分优选为非瞬间存储介质。
所述获取模块601、查找模块602、认证处理模块603及计费处理模块604可以集成对应于同一处理器,或分别对应不同的处理器;当集成对应于同一处理器时,所述处理器采用时分处理所述获取模块601、查找模块602、认证处理模块603及计费处理模块604对应的功能。
本发明实施例五所述网关设备,为实施例一至四所述的方法提供了具体实现的硬件,能用于实现实施例一至四中任意所述的技术方案,同样的,能够有效实现在TLS交互过程中验证SNI字段的真实性,且整个验证过程仅涉及网关设备,不需要客户端和服务器的配合,更易于现网实施。另外,通过生成黑白名单的方式对认证结果进行留存,减少每次校验的多余消耗,完善基于SNI字段的内容计费。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种信息认证方法,其特征在于,应用于网关设备;所述方法包括:
获取域名信息;
查找所述域名信息对应证书所属的根证书;
根据所述根证书对服务器证书进行认证处理,得到认证处理结果,所述服务器证书为传输层安全TLS协商时服务器所传递的数字证书;其中,
所述获取域名信息,包括:
在TLS建链的初始阶段,通过透传方式实现终端UE与服务器之间服务器名称指示SNI字段的传输,并在传输所述SNI字段的过程中,解析所述SNI字段,以获得域名信息。
2.根据权利要求1所述的方法,其特征在于,所述获取域名信息,还包括:
检测所述域名信息是否处在可信任列表中;
若未处在可信任列表中,则记录所述域名信息。
3.根据权利要求1所述的方法,其特征在于,所述根据所述根证书对服务器证书进行认证处理,得到认证处理结果,包括:
根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证;
对所述服务器证书的有效期进行验证,得到验证结果。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述认证通过,则将所述域名信息记为白名单,并进行与所述白名单相应的内容计费处理。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述认证未通过,则将所述域名信息记为黑名单,并进行与所述黑名单相应的内容计费处理。
6.一种网关设备,其特征在于,所述网关设备包括获取模块、查找模块和认证处理模块;
所述获取模块,用于获取域名信息;
所述查找模块,用于查找所述域名信息对应证书所属的根证书;
所述认证处理模块,用于根据所述根证书对服务器证书进行认证处理,得到认证处理结果,所述服务器证书为传输层安全TLS协商时服务器所传递的数字证书;其中,
所述获取模块包括解析单元;
所述解析单元,用于在TLS建链的初始阶段,通过透传方式实现UE与服务器之间SNI字段的传输,并在传输所述SNI字段的过程中,解析所述SNI字段,以获得域名信息。
7.根据权利要求6所述的网关设备,其特征在于,所述获取模块还包括检测单元和记录单元;
所述检测单元,用于检测所述域名信息是否处在可信任列表中;
所述记录单元,用于若未处在可信任列表中,则记录所述域名信息。
8.根据权利要求6所述的网关设备,其特征在于,所述认证处理模块包括第一验证单元和第二验证单元;
所述第一验证单元,用于根据所述根证书的公钥对服务器证书的电子签名进行完整性和真实性验证;
所述第二验证单元,用于对所述服务器证书的有效期进行验证,得到验证结果。
9.根据权利要求6所述的网关设备,其特征在于,所述网关设备还包括计费处理模块;
所述计费处理模块,用于若所述认证通过,则将所述域名信息记为白名单,并进行与所述白名单相应的内容计费处理。
10.根据权利要求6所述的网关设备,其特征在于,所述网关设备还包括计费处理模块;
所述计费处理模块,用于若所述认证未通过,则将所述域名信息记为黑名单,并进行与所述黑名单相应的内容计费处理。
11.一种存储介质,所述介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610249161.3A CN107306251B (zh) | 2016-04-20 | 2016-04-20 | 一种信息认证方法及网关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610249161.3A CN107306251B (zh) | 2016-04-20 | 2016-04-20 | 一种信息认证方法及网关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107306251A CN107306251A (zh) | 2017-10-31 |
CN107306251B true CN107306251B (zh) | 2020-03-17 |
Family
ID=60152388
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610249161.3A Active CN107306251B (zh) | 2016-04-20 | 2016-04-20 | 一种信息认证方法及网关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107306251B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108156160B (zh) * | 2017-12-27 | 2021-05-28 | 杭州迪普科技股份有限公司 | 连接建立方法和装置 |
CN108737111B (zh) * | 2018-05-24 | 2021-07-27 | 中国互联网络信息中心 | 一种数字证书处理方法及装置 |
CN109088876A (zh) * | 2018-08-30 | 2018-12-25 | 北京金惠新悦科技有限公司 | 一种互联网加密网站(https)流量的审核方法 |
CN110737920B (zh) * | 2019-09-25 | 2021-11-09 | 哈尔滨哈工智慧嘉利通科技股份有限公司 | 一种数字证书管控方法、装置和注册审核服务器 |
CN114401143B (zh) * | 2022-01-19 | 2023-03-21 | 欧瑞科斯科技产业(集团)有限公司 | 一种基于dns的证书加强认证系统及认证方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8850526B2 (en) * | 2010-06-23 | 2014-09-30 | K7 Computing Private Limited | Online protection of information and resources |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7506369B2 (en) * | 2004-05-27 | 2009-03-17 | Microsoft Corporation | Secure federation of data communications networks |
CN100479570C (zh) * | 2006-01-18 | 2009-04-15 | 华为技术有限公司 | 连接建立方法、系统、网络应用实体及用户终端 |
US7877784B2 (en) * | 2007-06-07 | 2011-01-25 | Alcatel Lucent | Verifying authenticity of webpages |
US9571482B2 (en) * | 2011-07-21 | 2017-02-14 | Intel Corporation | Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol |
-
2016
- 2016-04-20 CN CN201610249161.3A patent/CN107306251B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8850526B2 (en) * | 2010-06-23 | 2014-09-30 | K7 Computing Private Limited | Online protection of information and resources |
Also Published As
Publication number | Publication date |
---|---|
CN107306251A (zh) | 2017-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107306251B (zh) | 一种信息认证方法及网关设备 | |
CN106233663B (zh) | 用于在不同信道上携载强验证事件的系统和方法 | |
CN103229479B (zh) | 一种网站识别方法、装置及网络系统 | |
CN101873331B (zh) | 一种安全认证方法和系统 | |
CN112291240B (zh) | 一种信息处理方法及装置 | |
CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
WO2016078182A1 (zh) | 敏感数据的授权方法、装置和系统 | |
US20160021111A1 (en) | Method, Terminal Device, and Network Device for Improving Information Security | |
EP3534584A1 (en) | Service implementation method and apparatus | |
CN103905194B (zh) | 身份溯源认证方法及系统 | |
CN110175448B (zh) | 一种可信设备登录认证方法及具有认证功能的应用系统 | |
CN101635714A (zh) | 提高网络应用安全性的方法和系统 | |
CN114268508A (zh) | 物联网设备安全接入方法、装置、设备及介质 | |
CN111314381A (zh) | 安全隔离网关 | |
US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
CN112738121B (zh) | 密码安全态势感知方法、装置、设备和可读存储介质 | |
CN110324416A (zh) | 下载路径跟踪方法、装置、服务器、终端及介质 | |
CN117768214A (zh) | 一种网络数据安全信息传输系统 | |
CN111654591B (zh) | 图片防篡改方法、计算机设备及存储介质 | |
CN109101577A (zh) | 一种数据流通方法、装置及系统 | |
CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
CN112383577A (zh) | 授权方法、装置、系统、设备和存储介质 | |
CN106453418A (zh) | 一种验证方法及系统 | |
CN107566410B (zh) | 一种数据保全报文请求处理方法和装置 | |
EP3573310A1 (en) | Pluggable control system for fallback website access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |