CN109359977A - 网络通信方法、装置、计算机设备和存储介质 - Google Patents
网络通信方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN109359977A CN109359977A CN201811050998.0A CN201811050998A CN109359977A CN 109359977 A CN109359977 A CN 109359977A CN 201811050998 A CN201811050998 A CN 201811050998A CN 109359977 A CN109359977 A CN 109359977A
- Authority
- CN
- China
- Prior art keywords
- communication
- server
- certificate
- signed data
- communication certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 253
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004590 computer program Methods 0.000 claims description 29
- 238000012795 verification Methods 0.000 claims description 27
- 239000000725 suspension Substances 0.000 claims description 8
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 241001269238 Data Species 0.000 description 3
- 238000012937 correction Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及终端安全,尤其是一种网络通信方法、装置、计算机设备和存储介质。所述方法包括:与服务器建立连接,并向服务器发送通信证书获取请求;接收服务器返回的与所述通信证书获取请求对应的通信证书;通过终端内预置的第一签名数据对所述通信证书进行校验,所述第一签名数据为根据所述通信证书预先生成的;当通过终端内预置的第一签名数据对所述通信证书校验失败时,则中止与所述服务器的连接。采用本方法能够提高网络通信的安全性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种网络通信方法、装置、计算机设备和存储介质。
背景技术
移动支付行业中,移动客户端与服务器的相互认证是安全方面很重要的一环,其中尤以服务器合法性验证为重。众所周知,如果移动客户端无法判定正在交互的远程服务器是合法或者非法,将给支付的安全性带来巨大的风险。
目前较为通用的办法是CA认证,也即通过操作系统内置CA根通信证书验证服务器下发的通信证书链是否合法的方式来判断,但这种判断有个缺陷:如果终端上导入了第三方根通信证书,那么信任机制便能信任第三方根通信证书所签发的其他通信证书,从而允许假冒网站使用这种第三方签发通信证书,通过中间人攻击的方式拦截移动应用的网络通讯数据,给移动应用通讯协议的保密性带来巨大威胁。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高网络通信安全的网络通信方法、装置、计算机设备和存储介质。
一种网络通信方法,所述方法包括:
与服务器建立连接,并向服务器发送通信证书获取请求;
接收服务器返回的与所述通信证书获取请求对应的通信证书;
通过终端内预置的第一签名数据对所述通信证书进行校验,所述第一签名数据为根据所述通信证书预先生成的;
当通过终端内预置的第一签名数据对所述通信证书校验失败时,则中止与所述服务器的连接。
在其中一个实施例中,所述第一签名数据为根据所述通信证书生成的数字散列码或者所述通信证书的第一公钥。
在其中一个实施例中,所述方法还包括:
向与服务器约定的地址发送加密数据获取请求,所述加密数据是服务器通过应用程序的第二私钥对存储在服务器的第二签名数据加密得到的;
接收服务器返回的与所述加密数据获取请求对应的加密后的第二签名数据;
获取所述应用程序的第二公钥,并通过所述第二公钥对加密后的第二签名数据进行解密得到第二签名数据;
所述通过终端内预置的第一签名数据对所述通信证书进行校验之后,还包括:
通过所述第二签名数据对所述通信证书进行校验;
所述中止与所述服务器的连接,包括:
当通过所述第二签名数据对所述通信证书也校验失败时,则中止与所述服务器的链接。
在其中一个实施例中,所述方法还包括:
当通过所述第一签名数据对所述通信证书校验成功或者通过所述第二签名数据对所述通信证书校验成功时,则与所述服务器继续通信。
在其中一个实施例中,所述第二签名数据为根据所述通信证书生成的数字散列码或者所述通信证书的第一公钥。
在其中一个实施例中,所述接收服务器返回的与所述通信证书获取请求对应的通信证书之后,还包括:
获取终端的操作系统中内置的根证书对应的第三公钥;
通过所述第三公钥对所述通信证书进行校验;
当通过所述第三公钥对所述通信证书校验成功时,则继续通过终端内预置的第一签名数据对所述通信证书进行校验。
一种网络通信装置,所述装置包括:
连接建立模块,用于与服务器建立连接,并向服务器发送通信证书获取请求;
通信证书接收模块,用于接收服务器返回的与所述通信证书获取请求对应的通信证书;
第一验证模块,用于通过终端内预置的第一签名数据对所述通信证书进行校验,所述第一签名数据为根据所述通信证书预先生成的;
连接中止模块,用于当通过终端内预置的第一签名数据对所述通信证书校验失败时,则中止与所述服务器的连接。
在其中一个实施例中,所述第一签名数据为根据所述通信证书生成的数字散列码或者所述通信证书的第一公钥。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
上述网络通信方法、装置、计算机设备和存储介质,在终端与服务器建立连接后,终端请求向服务器请求通信证书,并通过终端内预置的第一签名数据对通信证书进行校验,而第一签名数据为根据通信证书预先生成的,其与第三方机构等无任何关系,因此即使假冒网站使用了第三方机构签发的证书,该证书也不会通过终端的校验,从而不会出现由于中间人攻击的方式拦截了终端的通信数据的情况,保证了网络通信的安全。
附图说明
图1为一个实施例中网络通信方法的应用场景图;
图2为一个实施例中网络通信方法的流程示意图;
图3为另一个实施例中网络通信方法的流程示意图;
图4为一个实施例中网络通信装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网络通信方法,可以应用于如图1所示的应用环境中。其中,终端100通过网络与服务器200进行通信。终端100在与服务器200建立连接后,会确认所连接到的服务器200是否为合法的服务器200,从而避免将通信数据发送至非法服务器,因此终端100在与服务器200建立连接后,首先向服务器200请求通信证书,并通过本地终端内预置的第一签名数据对通信证书进行校验,其中第一签名数据是预先根据通信证书生成后存储至终端100内的,当通信证书校验失败时,则认为与终端100连接的服务器200是非法服务器,终端100中止与服务器200的连接,从而可以避免终端100将涉及隐私的通信数据发送至非法服务器,保证了通信安全。其中,终端100可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器200可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种网络通信方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
S202:与服务器建立连接,并向服务器发送通信证书获取请求。
具体地,终端为了与服务器进行通信,首先与服务器建立连接,例如通过握手方式进行连接,具体地可以通过ssl(Secure Sockets Layer安全套接层)机制进行,在终端与服务器建立连接后,终端向服务器发送通信证书获取请求。
其中通信证书可以是终端中安装的应用程序与服务器事先预定的通信证书,例如CA证书,该通信证书是第三方机构根据应用程序的属性所生成,例如应用程序开发者、应用程序的发布时间、公司名称、服务器域名、有效期等。通信证书获取请求是在用户点击终端中安装的应用程序后,应用程序所生成的,从而终端可以将该通信证书获取请求发送至与应用程序对应的服务器。
S204:接收服务器返回的与通信证书获取请求对应的通信证书。
具体地,服务器在接收到终端发送的通信证书获取请求后,查询与通信证书获取请求对应的通信证书,并将所查询到的通信证书返回给对应的终端。例如服务器在接收到多个终端发送的通信证书获取请求后,可以多个线程分别去获取到通信证书,然后将通信证书返回给对应的终端。
S206:通过终端内预置的第一签名数据对通信证书进行校验,第一签名数据为根据通信证书预先生成的。
具体地,终端在接收到服务器下发的通信证书后,查询到本地预置的第一签名数据,通过该第一签名数据对通信证书进行验证。其中第一签名数据是根据通信证书预先生成的,因此终端可以首先获取第一签名数据的生成方式,然后按照该生成方式根据通信证书生成对应的校验签名数据,比较该校验签名数据与第一签名数据是否相同,如果相同,则说明通信证书校验成功,如果不相同,则通信证书校验失败。
可选地,第一签名数据可以为根据通信证书生成的数字散列码或者通信证书的第一公钥。
当第一签名数据为本地预置的与通信证书对应的数字散列码,例如SHA256散列码,其中还可以是通信证书的公钥的散列码时,终端接收到服务器下方的通信证书后,首先计算所接收到的通信证书的散列码,然后将所计算得到的散列码与本地预置的第一签名数据,即本地预存的数字散列码进行比对,如果比对成功,则说明服务器合法,终端可以与服务器进行通信,如果比对失败,则说明服务器不合法,终端需要中止与服务器的通信。
当第一签名数据为本地预置的与通信证书的对应的第一公钥时,则终端接收到服务器下方的通信证书后,首先计算所接收到的通信证书的第一公钥,然后将所计算得到的第一公钥与本地预置的第一签名数据,即本地预存的公钥进行比对,如果比对成功,则说明服务器合法,终端可以与服务器进行通信,如果比对失败,则说明服务器不合法,终端需要中止与服务器的通信。
S208:当通过终端内预置的第一签名数据对通信证书校验失败时,则中止与服务器的连接。
具体地,当通过终端内预置的第一签名数据对通信证书校验失败时,则与终端连接的服务器是非法服务器,因此为了保证通信数据的安全,终端将中止与服务器的连接。
上述过程中,安装在终端的移动应用可在网络通讯握手期间,在拿到服务端下发的CA证书信息,还增加一个环节的证书验证:安装在终端的移动应用本地先预置一份该服务器的CA证书的第一签名数据,网络通讯通过验证后,再对对端服务器的CA证书进行计算,比对计算结果是否等于预置的原始签名数据,如果不是,说明对端服务器的证书已经被篡改,必须中止通讯。
上述网络通信方法,在终端与服务器建立连接后,终端请求向服务器请求通信证书,并通过终端内预置的第一签名数据对通信证书进行校验,而第一签名数据为根据通信证书预先生成的,其与第三方机构等无任何关系,因此即使假冒网站使用了第三方机构签发的证书,该证书也不会通过终端的校验,从而不会出现由于中间人攻击的方式拦截了终端的通信数据的情况,保证了网络通信的安全。
在其中一个实施例中,上述网络通信方法还可以包括:向与服务器约定的地址发送加密数据获取请求,加密数据是服务器通过应用程序的第二私钥对存储在服务器的第二签名数据加密得到的;接收服务器返回的与加密数据获取请求对应的加密后的第二签名数据;获取应用程序的第二公钥,并通过第二公钥对加密后的第二签名数据进行解密得到第二签名数据。从而通过终端内预置的第一签名数据对通信证书进行校验之后,还可以包括:通过第二签名数据对通信证书进行校验。进而中止与服务器的连接,可以包括:当通过第二签名数据对通信证书也校验失败时,则中止与服务器的链接。
在其中一个实施例中,上述网络通信方法还可以包括:当通过第一签名数据对通信证书校验成功或者通过第二签名数据对通信证书校验成功时,则与服务器继续通信。
在其中一个实施例中,第二签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。
具体地,请参阅图3,图3为另一实施例中网络通信方法的流程图,在该实施例中,终端还可以存储有针对第一签名数据更新后的第二签名数据。由于服务器通信证书信息可以定期更新,如果合法服务器通信证书有效期过了,重新购买了新的通信证书,那么上面的措施便会判定新通信证书非法,导致无法进行正常通讯。为了解决这个问题,在移动应用引入了“更新并存储证书数字散列码”的机制,启动时会独立于业务网络通讯之外,额外启动线程去指定服务器下载加密的第二签名数据并将其存储到本地。
具体地签名数据的更新可以包括:终端可以向与服务器预先约定的地址请求加密数据,即向与服务器约定的地址发送加密数据获取请求,该加密数据是服务器通过应用程序的第二字要对存储在服务器的第二签名数据加密得到的;可选地,终端可以在每次应用程序启动后,通过第一线程去获取通信证书并验证,即向服务器发送通信证书获取请求,通过第二线程去获取更新后的第二签名数据,即向与服务器约定的地址发送加密数据获取请求。服务器在接收到该加密数据获取请求后,查询对应的地址是否存在加密数据,如果不存在,则向终端返回无内容,即没有更新。如果存在,则向终端返回经过移动应用的第二私钥加密后的第二签名数据,终端在接收到该通过第二私钥加密后的第二签名数据后,查询到与第二私钥对应的第二公钥,然后通过第二公钥对该签名数据进行解密得到第二签名数据的明文,并将解密得到的第二签名数据的明文进行存储。这样当对服务器下发的通信证书进行校验时,不仅需要通过第一签名数据对该通信证书进行验证,还需要通过更新后的第二签名数据对该通信证书进行校验,当第一签名数据和第二签名数据对该通信证书进行校验时,其中一个通过,则可以继续通信,当两者都不通过时,则中止通信。
具体地,参阅图3,终端首先与服务器建立连接,然后向服务器发送通信证书获取请求,服务器在接收到该通信证书获取请求后,查询到与该通信证书获取请求对应的通信证书,然后将通信证书发送给终端,终端在接收到该通信证书后,通过终端内预置的第一签名数据对下发的通信证书进行第一校验,并通过更新的第二签名数据对该通信证书进行第二校验,获取第一校验的第一校验结果和第二校验的第二校验结果,当第一校验结果或第二校验结果中至少有一个表示校验成功时,则与终端连接的服务器合法,当第一校验结果和第二校验结果均表示校验失败时,则表示与终端连接的服务器是不合法的,此时终端需要中止与服务器的连接。即握手期间终端除了与特定预置第一签名数据的比对之外,还要跟本地存储的解密后的第二签名数据比对,只要有一个通过,说明合法,可以进行后续的网络通讯。且指定服务器下载加密的第二签名数据时,为了安全起见,第二签名数据使用移动应用签名用的RSA私钥,即第二私钥加密,移动应用自带了该RSA公钥,可以用于解密。需要注意的是:部分公司采用购买较长时间的通信证书方案,这样短期内服务器证书无需更新,移动应用只需预置比对数字散列码即可,暂时不用考虑更新与存储的机制。
可选地,第二签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。例如当第二签名数据为根据通信证书生成的数字散列码时,第二签名数据的更新流程可以包括:终端向服务器预先约定的地址请求加密内容;服务器如果返回无内容,则结束;服务器返回经过移动应用的第二私钥加密后的SHA256数字散列码;终端将解密后的SHA256数字散列码存储在本地,待前一流程使用。
上述实施例中,握手期间比对第二签名数据时,除了与特定预置第一签名数据的比对之外,还要跟本地存储的解密后的第二签名数据比对,只要有一个通过,说明合法,可以进行后续的网络通讯。
在其中一个实施例中,接收服务器返回的与通信证书获取请求对应的通信证书之后,还可以包括:获取终端的操作系统中内置的根证书对应的第三公钥;通过第三公钥对通信证书进行校验;当通过第三公钥对通信证书校验成功时,则继续通过终端内预置的第一签名数据对通信证书进行校验。
在接收服务器返回的与通信证书获取请求对应的通信证书之后,还包括操作系统的证书校验。具体地,通信证书的生成过程包括:服务器定期向通信机构付费申请通信证书,该通信证书中包含公司名称、服务器域名、有效期等信息,以上信息经过付费机构的根证书的RSA私钥签名,具有防篡改的性质。该通信证书可被部署在服务器上,用于网络通讯中的身份认定与加密通讯。
通信证书的操作系统的根证书校验步骤包括:终端的操作系统中内置有付费机构的根证书的RSA公钥,即上述第三公钥,当移动应用进行网络加密通讯时先会进行SSL握手,该过程中移动应用会拿到服务端下发的通信证书,并用根证书的RSA公钥,即第三公钥解密,能解密成功并验证有效期、所属域名和网站域名一致等校验通过后,则认为服务器是合法的,可以继续通讯,即再继续上文中的第一校验和/或第二校验。
上述实施例中,安装在终端的移动应用可在网络通讯握手期间,在拿到服务端下发的通信证书,并通过操作系统的证书校验后,再增加一个环节的证书验证:安装在终端的移动应用本地先预置一份与该服务器的通信证书对应的第一签名数据,网络通讯通过验证后,再对对端服务器的通信证书进行计算,比对计算结果是否等于预置的第一签名数据,如果不是,说明对端服务器的证书已经被篡改,必须中止通讯。此外,当存在第二签名数据时,还需要通过第二签名数据对通信证书进行校验,从而在网络通讯通过验证后,即握手通过后,不仅操作系统中的根证书对通信证书进行验证,只有通过操作系统中的根证书对通信证书验证成功后,才可以通过第一签名数据和第二签名数据分别对通信证书进行验证,且第一签名数据和第二签名数据中有一个对通信证书验证成功,则表示服务器合法。
应该理解的是,虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图4所示,提供了一种网络通信装置,包括:连接建立模块100、通信证书接收模块200、第一验证模块300和连接中止模块400,其中:
连接建立模块100,用于与服务器建立连接,并向服务器发送通信证书获取请求。
通信证书接收模块200,用于接收服务器返回的与通信证书获取请求对应的通信证书。
第一验证模块300,用于通过终端内预置的第一签名数据对通信证书进行校验,第一签名数据为根据通信证书预先生成的。
连接中止模块400,用于当通过终端内预置的第一签名数据对通信证书校验失败时,则中止与服务器的连接。
在其中一个实施例中,第一签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。
在其中一个实施例中,上述网络通信装置还可以包括:
发送模块,用于向与服务器约定的地址发送加密数据获取请求,加密数据是服务器通过应用程序的第二私钥对存储在服务器的第二签名数据加密得到的。
接收模块,用于接收服务器返回的与加密数据获取请求对应的加密后的第二签名数据。
解密模块,用于获取应用程序的第二公钥,并通过第二公钥对加密后的第二签名数据进行解密得到第二签名数据。
第二校验模块,用于在通过终端内预置的第一签名数据对通信证书进行校验之后,通过第二签名数据对通信证书进行校验。
连接中止模块400还用于当通过第二签名数据对通信证书也校验失败时,则中止与服务器的链接。
在其中一个实施例中,连接建立模块100还可以用于当通过第一签名数据对通信证书校验成功或者通过第二签名数据对通信证书校验成功时,则与服务器继续通信。
在其中一个实施例中,第二签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。
在其中一个实施例中,上述网络通信装置还可以包括:
获取模块,用于在接收服务器返回的与通信证书获取请求对应的通信证书之后,获取终端的操作系统中内置的根证书对应的第三公钥。
第三校验模块,用于通过第三公钥对通信证书进行校验。
第一校验模块还用于当通过第三公钥对通信证书校验成功时,则继续通过终端内预置的第一签名数据对通信证书进行校验。
关于网络通信装置的具体限定可以参见上文中对于网络通信方法的限定,在此不再赘述。上述网络通信装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络通信方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现以下步骤:与服务器建立连接,并向服务器发送通信证书获取请求;接收服务器返回的与通信证书获取请求对应的通信证书;通过终端内预置的第一签名数据对通信证书进行校验,第一签名数据为根据通信证书预先生成的;当通过终端内预置的第一签名数据对通信证书校验失败时,则中止与服务器的连接。
在一个实施例中,处理器执行计算机程序时所涉及的第一签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:向与服务器约定的地址发送加密数据获取请求,加密数据是服务器通过应用程序的第二私钥对存储在服务器的第二签名数据加密得到的;接收服务器返回的与加密数据获取请求对应的加密后的第二签名数据;获取应用程序的第二公钥,并通过第二公钥对加密后的第二签名数据进行解密得到第二签名数据;处理器执行计算机程序时所实现的通过终端内预置的第一签名数据对通信证书进行校验之后,还可以包括:通过第二签名数据对通信证书进行校验;处理器执行计算机程序时所实现的中止与服务器的连接,可以包括:当通过第二签名数据对通信证书也校验失败时,则中止与服务器的链接。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当通过第一签名数据对通信证书校验成功或者通过第二签名数据对通信证书校验成功时,则与服务器继续通信。
在一个实施例中,处理器执行计算机程序时所涉及的第二签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。
在一个实施例中,处理器执行计算机程序时所实现的接收服务器返回的与通信证书获取请求对应的通信证书之后,还可以包括:获取终端的操作系统中内置的根证书对应的第三公钥;通过第三公钥对通信证书进行校验;当通过第三公钥对通信证书校验成功时,则继续通过终端内预置的第一签名数据对通信证书进行校验。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:与服务器建立连接,并向服务器发送通信证书获取请求;接收服务器返回的与通信证书获取请求对应的通信证书;通过终端内预置的第一签名数据对通信证书进行校验,第一签名数据为根据通信证书预先生成的;当通过终端内预置的第一签名数据对通信证书校验失败时,则中止与服务器的连接。
在一个实施例中,计算机程序被处理器执行时所涉及的第一签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:向与服务器约定的地址发送加密数据获取请求,加密数据是服务器通过应用程序的第二私钥对存储在服务器的第二签名数据加密得到的;接收服务器返回的与加密数据获取请求对应的加密后的第二签名数据;获取应用程序的第二公钥,并通过第二公钥对加密后的第二签名数据进行解密得到第二签名数据;计算机程序被处理器执行时所实现的通过终端内预置的第一签名数据对通信证书进行校验之后,还可以包括:通过第二签名数据对通信证书进行校验;计算机程序被处理器执行时所实现的中止与服务器的连接,可以包括:当通过第二签名数据对通信证书也校验失败时,则中止与服务器的链接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当通过第一签名数据对通信证书校验成功或者通过第二签名数据对通信证书校验成功时,则与服务器继续通信。
在一个实施例中,计算机程序被处理器执行时所涉及的第二签名数据为根据通信证书生成的数字散列码或者通信证书的第一公钥。
在一个实施例中,计算机程序被处理器执行时所实现的接收服务器返回的与通信证书获取请求对应的通信证书之后,还可以包括:获取终端的操作系统中内置的根证书对应的第三公钥;通过第三公钥对通信证书进行校验;当通过第三公钥对通信证书校验成功时,则继续通过终端内预置的第一签名数据对通信证书进行校验。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络通信方法,所述方法包括:
与服务器建立连接,并向服务器发送通信证书获取请求;
接收服务器返回的与所述通信证书获取请求对应的通信证书;
通过终端内预置的第一签名数据对所述通信证书进行校验,所述第一签名数据为根据所述通信证书预先生成的;
当通过终端内预置的第一签名数据对所述通信证书校验失败时,则中止与所述服务器的连接。
2.根据权利要求1所述的方法,其特征在于,所述第一签名数据为根据所述通信证书生成的数字散列码或者所述通信证书的第一公钥。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
向与服务器约定的地址发送加密数据获取请求,所述加密数据是服务器通过应用程序的第二私钥对存储在服务器的第二签名数据加密得到的;
接收服务器返回的与所述加密数据获取请求对应的加密后的第二签名数据;
获取所述应用程序的第二公钥,并通过所述第二公钥对加密后的第二签名数据进行解密得到第二签名数据;
所述通过终端内预置的第一签名数据对所述通信证书进行校验之后,还包括:
通过所述第二签名数据对所述通信证书进行校验;
所述中止与所述服务器的连接,包括:
当通过所述第二签名数据对所述通信证书也校验失败时,则中止与所述服务器的链接。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当通过所述第一签名数据对所述通信证书校验成功或者通过所述第二签名数据对所述通信证书校验成功时,则与所述服务器继续通信。
5.根据权利要求4所述的方法,其特征在于,所述第二签名数据为根据所述通信证书生成的数字散列码或者所述通信证书的第一公钥。
6.根据权利要求1或2所述的方法,其特征在于,所述接收服务器返回的与所述通信证书获取请求对应的通信证书之后,还包括:
获取操作系统中内置的根证书对应的第三公钥;
通过所述第三公钥对所述通信证书进行校验;
当通过所述第三公钥对所述通信证书校验成功时,则继续通过终端内预置的第一签名数据对所述通信证书进行校验。
7.一种网络通信装置,其特征在于,所述装置包括:
连接建立模块,用于与服务器建立连接,并向服务器发送通信证书获取请求;
通信证书接收模块,用于接收服务器返回的与所述通信证书获取请求对应的通信证书;
第一验证模块,用于通过终端内预置的第一签名数据对所述通信证书进行校验,所述第一签名数据为根据所述通信证书预先生成的;
连接中止模块,用于当通过终端内预置的第一签名数据对所述通信证书校验失败时,则中止与所述服务器的连接。
8.根据权利要求7所述的装置,其特征在于,所述第一签名数据为根据所述通信证书生成的数字散列码或者所述通信证书的第一公钥。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811050998.0A CN109359977A (zh) | 2018-09-10 | 2018-09-10 | 网络通信方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811050998.0A CN109359977A (zh) | 2018-09-10 | 2018-09-10 | 网络通信方法、装置、计算机设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109359977A true CN109359977A (zh) | 2019-02-19 |
Family
ID=65350765
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811050998.0A Pending CN109359977A (zh) | 2018-09-10 | 2018-09-10 | 网络通信方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109359977A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110300096A (zh) * | 2019-05-22 | 2019-10-01 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
CN111526159A (zh) * | 2020-05-25 | 2020-08-11 | 普联技术有限公司 | 建立数据连接的方法、装置、终端设备及存储介质 |
CN111614660A (zh) * | 2020-05-19 | 2020-09-01 | 北京字节跳动网络技术有限公司 | 安全验证缺陷检测的方法、装置以及电子设备 |
CN112995158A (zh) * | 2021-02-09 | 2021-06-18 | 建信金融科技有限责任公司 | 通信方法、终端、服务器及通信系统 |
CN113556230A (zh) * | 2020-04-24 | 2021-10-26 | 华控清交信息科技(北京)有限公司 | 数据安全传输方法、证书相关方法、服务端、系统及介质 |
CN114070587A (zh) * | 2021-10-27 | 2022-02-18 | 阿里云计算有限公司 | 一种ssl证书的检测方法和装置 |
CN114282237A (zh) * | 2021-12-21 | 2022-04-05 | 北京百度网讯科技有限公司 | 一种通信方法、装置、设备及存储介质 |
CN115250186A (zh) * | 2021-04-12 | 2022-10-28 | 顺丰科技有限公司 | 网络连接认证方法、装置、计算机设备和存储介质 |
CN113556230B (zh) * | 2020-04-24 | 2024-05-31 | 华控清交信息科技(北京)有限公司 | 数据安全传输方法、证书相关方法、服务端、系统及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
CN102123157A (zh) * | 2011-03-03 | 2011-07-13 | 上海华为技术有限公司 | 一种认证方法及系统 |
CN103051453A (zh) * | 2012-12-17 | 2013-04-17 | 连连银通电子支付有限公司 | 一种基于数字证书的移动终端网络安全交易系统与方法 |
CN105337977A (zh) * | 2015-11-16 | 2016-02-17 | 苏州通付盾信息技术有限公司 | 一种动态双向认证的安全移动通讯架构及其实现方法 |
CN107959684A (zh) * | 2017-12-08 | 2018-04-24 | 上海壹账通金融科技有限公司 | 安全通信方法、装置、计算机设备及存储介质 |
-
2018
- 2018-09-10 CN CN201811050998.0A patent/CN109359977A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
CN102123157A (zh) * | 2011-03-03 | 2011-07-13 | 上海华为技术有限公司 | 一种认证方法及系统 |
CN103051453A (zh) * | 2012-12-17 | 2013-04-17 | 连连银通电子支付有限公司 | 一种基于数字证书的移动终端网络安全交易系统与方法 |
CN105337977A (zh) * | 2015-11-16 | 2016-02-17 | 苏州通付盾信息技术有限公司 | 一种动态双向认证的安全移动通讯架构及其实现方法 |
CN107959684A (zh) * | 2017-12-08 | 2018-04-24 | 上海壹账通金融科技有限公司 | 安全通信方法、装置、计算机设备及存储介质 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110300096A (zh) * | 2019-05-22 | 2019-10-01 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
WO2020233308A1 (zh) * | 2019-05-22 | 2020-11-26 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
CN113556230A (zh) * | 2020-04-24 | 2021-10-26 | 华控清交信息科技(北京)有限公司 | 数据安全传输方法、证书相关方法、服务端、系统及介质 |
CN113556230B (zh) * | 2020-04-24 | 2024-05-31 | 华控清交信息科技(北京)有限公司 | 数据安全传输方法、证书相关方法、服务端、系统及介质 |
CN111614660B (zh) * | 2020-05-19 | 2022-01-18 | 北京字节跳动网络技术有限公司 | 安全验证缺陷检测的方法、装置以及电子设备 |
CN111614660A (zh) * | 2020-05-19 | 2020-09-01 | 北京字节跳动网络技术有限公司 | 安全验证缺陷检测的方法、装置以及电子设备 |
CN111526159A (zh) * | 2020-05-25 | 2020-08-11 | 普联技术有限公司 | 建立数据连接的方法、装置、终端设备及存储介质 |
CN112995158A (zh) * | 2021-02-09 | 2021-06-18 | 建信金融科技有限责任公司 | 通信方法、终端、服务器及通信系统 |
CN115250186A (zh) * | 2021-04-12 | 2022-10-28 | 顺丰科技有限公司 | 网络连接认证方法、装置、计算机设备和存储介质 |
CN115250186B (zh) * | 2021-04-12 | 2024-04-16 | 顺丰科技有限公司 | 网络连接认证方法、装置、计算机设备和存储介质 |
CN114070587A (zh) * | 2021-10-27 | 2022-02-18 | 阿里云计算有限公司 | 一种ssl证书的检测方法和装置 |
CN114282237A (zh) * | 2021-12-21 | 2022-04-05 | 北京百度网讯科技有限公司 | 一种通信方法、装置、设备及存储介质 |
CN114282237B (zh) * | 2021-12-21 | 2023-01-17 | 北京百度网讯科技有限公司 | 一种通信方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109359977A (zh) | 网络通信方法、装置、计算机设备和存储介质 | |
CN108322451B (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
US11657392B2 (en) | On-boarding server for remotely authorizing use of a terminal | |
US10045210B2 (en) | Method, server and system for authentication of a person | |
KR101744747B1 (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
US20230125083A1 (en) | Blockchain data access authorization method, apparatus, and device | |
CN107682160B (zh) | 一种生产设备的认证方法及装置、电子设备 | |
KR101210260B1 (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
KR20180013710A (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
CN112800393B (zh) | 授权认证、软件开发工具包生成方法、装置及电子设备 | |
CN109657170B (zh) | 网页加载方法、装置、计算机设备及存储介质 | |
US9674272B2 (en) | Information processing apparatus and method, and program | |
JP5277888B2 (ja) | アプリケーション発行システム、装置及び方法 | |
KR101836236B1 (ko) | 애플리케이션 간 인증을 이용한 사용자 인증방법 및 장치, 그 프로그램 | |
US20240113898A1 (en) | Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity | |
KR20240044407A (ko) | 대역-외 관리를 통해 결제 hsm을 호스팅하고 원격으로 프로비저닝하기 위한 시스템 및 방법 | |
US20180212784A1 (en) | Method to secure an applicative function in a cloud-based virtual secure element implementation | |
US20220100485A1 (en) | Applet package sending method and device, electronic apparatus, and computer readable medium | |
US20200195638A1 (en) | Secure access to encrypted data of a user terminal | |
CN107846274B (zh) | 一种控制方法及终端、服务器、处理器 | |
CN108154361B (zh) | 一种移动终端内嵌u盾的访问方法及移动终端 | |
CN112822020B (zh) | 网络请求方法、装置、计算机设备及存储介质 | |
KR102086406B1 (ko) | 사용자 통합 인증 서비스 시스템 및 그 방법 | |
CN115914192A (zh) | 插件下载方法、装置,及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |