CN111049798A - 一种信息处理方法、装置和计算机可读存储介质 - Google Patents
一种信息处理方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111049798A CN111049798A CN201911096379.XA CN201911096379A CN111049798A CN 111049798 A CN111049798 A CN 111049798A CN 201911096379 A CN201911096379 A CN 201911096379A CN 111049798 A CN111049798 A CN 111049798A
- Authority
- CN
- China
- Prior art keywords
- electronic device
- certificate information
- certificate
- information
- electronic equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种信息处理方法,方法包括:获取具有第一预设标识的第一证书信息;其中,所述第一预设标识至少用于标识所述第一证书信息包括的根证书和本地证书;基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息;发送认证请求至具有所述第一证书信息的第二电子设备;若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路;基于所述通信链路与所述第二电子设备进行数据传输。本发明的实施例同时还公开了一种信息处理装置和计算机可读存储介质。
Description
技术领域
本发明涉及计算机技术领域中的信息管理领域,尤其涉及一种信息处理方法、装置和计算机可读存储介质。
背景技术
传统的静态广域网(Wide Area Network,WAN)几十年来一直是电信行业的支柱,但随着企业、物联网以及数据中心互联需求的提高,服务提供商提供或变更静态WAN服务存在越来越多的问题;相关技术中在静态WAN场景下,存在设备之间信息传输的管理比较复杂且占用人力较多的问题,同时大部分用户只重视总部端数据中心的安全建设,而忽视分支端的安全建设,从而导致没有加密或只进行简单加密的数据在传输过程中存在被监听、拦截或窃取的风险。
发明内容
有鉴于此,本发明实施例期望提供一种信息处理方法、装置和计算机可读存储介质,解决了相关技术中设备之间信息传输的管理比较复杂且占用人力较多的问题,同时使得数据在网络传输过程中安全性更高。
为达到上述目的,本发明的技术方案是这样实现的:
一种信息处理方法,应用于第一电子设备,所述方法包括:
获取具有第一预设标识的第一证书信息;其中,所述第一预设标识至少用于标识所述第一证书信息包括的根证书和本地证书;
基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息;
发送认证请求至具有所述第一证书信息的第二电子设备;
若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路;
基于所述通信链路与所述第二电子设备进行数据传输。
可选的,所述获取具有第一预设标识的第一证书信息,包括:
通过与集中管理设备对应的端口,获取所述集中管理设备发送的所述第一证书信息;其中,具有所述第一预设标识的第一证书信息,是所述集中管理设备对具有第二预设标识的第一证书信息进行格式转换所得到的。
可选的,所述基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息,包括:
基于所述第一预设标识,对所述第一证书信息进行校验;
若对所述第一证书信息进行校验成功,对所述第一证书信息进行格式转换处理,得到所述第二证书信息。
可选的,所述方法还包括:
通过所述第一电子设备中的证书管理模块,对所述第一电子设备中的开源软件包中不同属性的软件接口进行封装,得到多个目标软件接口;
相应的,所述多个目标软件接口包括用于生成私钥的第一目标软件接口,所述基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息之后,还包括:
基于所述第二证书信息和所述第一目标软件接口,生成私钥,并将所述私钥存储至所述第一电子设备的安全芯片中。
可选的,所述多个目标软件接口包括用于验证的第二目标软件接口,所述若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路,包括:
通过所述第二目标软件接口获取所述第二电子设备对所述第一电子设备的认证结果;
若所述认证结果表征所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立所述通信链路。
可选的,所述多个目标软件接口包括用于加解密的第三目标软件接口,所述基于所述通信链路与所述第二电子设备进行数据传输,包括:
通过所述第三目标软件接口,基于所述通信链路与所述第二电子设备进行数据加解密传输。
可选的,所述多个目标软件接口包括用于验签的第四目标软件接口,所述基于所述通信链路与所述第二电子设备进行数据传输,包括:
通过所述第四目标软件接口,基于所述通信链路与所述第二电子设备进行数据验签传输。
一种信息处理装置,所述信息处理装置包括:
获取模块,所述获取模块用于获取具有第一预设标识的第一证书信息;其中,所述第一预设标识至少用于标识所述第一证书信息包括的根证书和本地证书;
第一处理模块,所述第一处理模块用于基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息;
发送模块,所述发送模块用于发送认证请求至具有所述第一证书信息的第二电子设备;
第二处理模块,所述第二处理模块用于若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路;
传输模块,所述传输模块用于基于所述通信链路与所述第二电子设备进行数据传输。
一种第一电子设备,所述第一电子设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中存储的信息处理程序,以实现以下步骤:
获取具有第一预设标识的第一证书信息;其中,所述第一预设标识至少用于标识所述第一证书信息包括的根证书和本地证书;
基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息;
发送认证请求至具有所述第一证书信息的第二电子设备;
若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路;
基于所述通信链路与所述第二电子设备进行数据传输。
一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上述所述的信息处理方法的步骤。
本发明实施例所提供的信息处理方法、装置和计算机可读存储介质,获取具有第一预设标识的第一证书信息;其中,第一预设标识至少用于标识第一证书信息包括的根证书和本地证书;基于第一预设标识对第一证书信息进行处理,得到第二证书信息;发送认证请求至具有第一证书信息的第二电子设备;若第二电子设备对第一电子设备认证通过,基于第二证书信息与第二电子设备之间建立通信链路;基于通信链路与第二电子设备进行数据传输;如此,通过获取具有一定标识的证书信息,同时对该证书信息进行处理,发送认证至与第一电子设备相关联的第二电子设备,并在认证通过后基于处理后的证书信息建立相应的通信链路实现相应的数据传输,解决了相关技术中设备之间信息传输的管理比较复杂且占用人力较多的问题,同时使得数据在网络传输过程中安全性更高。
附图说明
图1为本发明实施例提供的一种信息处理方法的流程示意图;
图2为本发明实施例提供的另一种信息处理方法的流程示意图;
图3为本发明实施例提供的另一种信息处理方法的流程示意图;
图4为本发明实施例提供的一种BBC与两个VPN网关之间信息传输的总体结构示意图;
图5为本发明实施例提供的一种第一电子设备的结构示意图;
图6为本发明实施例提供的另一种第一电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
应理解,说明书通篇中提到的“本发明实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“本发明实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中应。在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在未做特殊说明的情况下,第一电子设备执行本发明实施例中的任一步骤,可以是第一电子设备的处理器执行该步骤。还值得注意的是,本发明实施例并不限定第一电子设备执行下述步骤的先后顺序。第一电子设备执行下述任一步骤时,可以不依赖于其它步骤的执行。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种信息处理方法,应用于第一电子设备,如图1所示,该方法包括以下步骤:
步骤101、获取具有第一预设标识的第一证书信息。
其中,第一预设标识至少用于标识第一证书信息包括的根证书和本地证书。
本发明实施例中的第一电子设备可以为任一具有数据处理能力的设备,例如服务器者台式计算机等;在一种可行的实现方式中,第一电子设备可以为移动终端或手持移动终端,移动终端或手持移动终端可以包括笔记本电脑、平板电脑、掌上电脑等。
示例性的,第一证书信息可以是在WAN传输中的任意证书信息,且该证书信息可以通过任一形式来表征,在本发明实施例中,可以是通过证书列表形式来进行表征,进一步地,第一电子设备可以从证书列表中获取到第一证书信息包括的所有证书的信息说明,包括证书的大小、证书的类型、证书名称或证书编号等字段;在本发明实施例中,第一证书信息包括根证书和本地证书,其中根证书表征未被签名的公钥证书或自签名的证书。
在本发明实施例中,具有第一预设标识的第一证书信息可以是任一能够与第一电子设备进行信息交互的,例如网络管理中心或者网络管理设备发送至第一电子设备的,其中,第一预设标识可以用来标识第一证书信息中包括所有数据信息或文本信息;在本发明实施例中,第一证书信息包括根证书和本地证书,其中证书的数量不作任何限定。
示例性的,第一预设标识可以是将具有根证书和本地证书的第一证书信息通过校验秘钥打包成P12格式并封装在JavaScript对象简谱(JavaScript Object Notation,JSON)中,其中,P12格式是一种通用的且具有密码保护的二进制证书格式,相对于现有的一般格式证书如PEM格式、DER格式等来说更安全,处理起来更简单;进而言之,第一电子设备获取的具有第一预设标识的第一证书信息,该信息中必包括表征根证书和本地证书的证书列表以及多个P12格式的证书(包括根证书和本地证书)以及校验秘钥。
步骤102、基于第一预设标识对第一证书信息进行处理,得到第二证书信息。
在本发明实施例中,第一电子设备对获取得到第一证书信息基于第一预设标识进行处理,其中包括对获取到的第一证书信息进行相应的解密、校验以及转换得到第二证书信息,其中,第二证书信息相应的存储至第一电子设备中。
步骤103、发送认证请求至具有第一证书信息的第二电子设备。
在本发明实施例中,第二电子设备可以是与第一电子设备同种类型的设备,也可以是不同于第一电子设备的智能终端,只要通过无线通信能够实现第一电子设备与第二电子设备之间的信息交互即可。
示例性的,第一电子设备与第二电子设备之间进行信息交互之前需要经过相应的互相验证环节,在本发明实施例中,第一电子设备发送相应的认证请求信息至第二电子设备,其中,第二电子设备具体可以是与第一电子设备有相同特征的电子设备,即也是获取到第一证书信息并对第一证书信息进行相应的处理后得到第二证书的第二电子设备。
步骤104、若第二电子设备对第一电子设备认证通过,基于第二证书信息与第二电子设备之间建立通信链路。
在本发明实施例中,两个电子设备即第一电子设备与第二电子设备之间的建立通信链路的基础是:第二电子设备对第二电子设备的认证通过,且其中包括第一电子设备发送认证信息至第二电子设备,第二电子设备同时需要反馈自身的信息至第一电子设备,供第一电子设备对第二电子设备进行相应的验证,即双方都验证成功,则建立通信链路;在本发明实施例中,建立的通信链路是在两个电子设备都具有第一证书信息的基础上,且第一证书信息在第一电子设备和第二电子设备中同时都需要被转换成各电子设备需要格式,即第一电子设备需要通过第一电子设备对应的第二证书信息,与具有第二电子设备对应的第二证书信息的第二电子设备之间建立通信链路即通信隧道。
步骤105、基于通信链路与第二电子设备进行数据传输。
在本发明实施例中,第一电子设备与第二电子设备基于上述的各自对应的第二证书信息认证建立的通信链路,示例性的,可以是建立的互联网安全协议(InternetProtocol Security,IPsec)隧道,并在建立IPsec隧道上实现第一电子设备与第二电子设备的数据传输,更可以是第一电子设备对应的局域网1与第二电子设备对应的局域网2之间通过上述通信链路进行相应的数据传输。
本发明实施例所提供的信息处理方法,获取具有第一预设标识的第一证书信息;其中,第一预设标识至少用于标识第一证书信息包括的根证书和本地证书;基于第一预设标识对第一证书信息进行处理,得到第二证书信息;发送认证请求至具有第一证书信息的第二电子设备;若第二电子设备对第一电子设备认证通过,基于第二证书信息与第二电子设备之间建立通信链路;基于通信链路与第二电子设备进行数据传输;如此,通过获取具有一定标识的证书信息,同时对该证书信息进行处理,发送认证至与第一电子设备相关联的第二电子设备,并在认证通过后基于处理后的证书信息建立相应的通信链路实现相应的数据传输,解决了相关技术中设备之间信息传输的管理比较复杂且占用人力较多的问题,同时使得数据在网络传输过程中安全性更高。
基于前述实施例,本发明实施例提供一种信息处理方法,如图2所示,该方法包括以下步骤:
步骤201、第一电子设备通过与集中管理设备对应的端口,获取集中管理设备发送的第一证书信息。
其中,具有第一预设标识的第一证书信息,是集中管理设备对具有第二预设标识的第一证书信息进行格式转换所得到的。
在本发明实施例中,集中管理设备可以是某一网络管理中心或者网络管理设备,也可以是网络管理中心或者网络管理设备内部的具体模块,示例性的,可以是基于在软件定义广域网络(Software-Defined WAN,SD-WAN)基础上,通过集中管控中心(BranchBusiness Center,BBC)内部的证书集中分发模块,通过对需要发送至第一电子设备和第二电子设备的相对应的证书进行配置,生成或者导入相应的证书,将证书进行处理得到具有第一预设标识的第一证书信息。
示例性的,第一电子设备通过自身网关上的端口,在本发明实施例中可以具体是与BBC相对应的bbc_client服务来获取BBC下发的具有第一预设标志的第一证书信息。
在本发明实施例中,BBC的内部相应的处理模块会对需要下发的证书进行打包转换成第一电子设备需要的证书信息,即具有第一预设标志的证书信息,在此之前,BBC内部的证书格式具有第二预设标识即不同于第一预设标识的格式形式;在一种可行的实施方式中,第一预设标识可以表征封装在JSON数据中的P12格式证书;第二格式可以是不同于上述类型的任意证书格式,也就是说BBC与第一电子设备之间传输的信息或数据都是JSON格式的,且在本发明实施例中,P12格式的证书会被转换成JSON格式的数据中的某一数值,在BBC与第一电子设备的通信过程中,JSON格式的数据可以依次包含多个数值。
步骤202、第一电子设备基于第一预设标识对第一证书信息进行处理,得到第二证书信息。
步骤203、第一电子设备发送认证请求至具有第一证书信息的第二电子设备。
步骤204、若第二电子设备对第一电子设备认证通过,第一电子设备基于第二证书信息与第二电子设备之间建立通信链路。
步骤205、第一电子设备基于通信链路与第二电子设备进行数据传输。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的信息处理方法,通过获取具有一定标识的证书信息,同时对该证书信息进行处理,发送认证至与第一电子设备相关联的第二电子设备,并在认证通过后基于处理后的证书信息建立相应的通信链路实现相应的数据传输,解决了相关技术中设备之间信息传输的管理比较复杂且占用人力较多的问题,同时使得数据在网络传输过程中安全性更高。
基于前述实施例,本发明实施例提供一种信息处理方法,如图3所示,该方法包括以下步骤:
步骤301、第一电子设备通过与集中管理设备对应的端口,获取集中管理设备发送的第一证书信息。
其中,具有第一预设标识的第一证书信息,是集中管理设备对具有第二预设标识的第一证书信息进行格式转换所得到的。
步骤302、第一电子设备基于第一预设标识,对第一证书信息进行校验。
在本发明实施例中,第一电子设备接收到具有第一预设标识的第一证书信息后,需要对该证书信息进行初步的合法性校验,在进行合法性校验之前还需对该证书信息进行数据解密,这是因为具有第一预设标识的第一证书信息是通过校验秘钥进行相应的加密所形成的。其中执行合法性校验的过程是第一电子设备的bbc_client服务端口来操作的。
步骤303、若对第一证书信息进行校验成功,第一电子设备对第一证书信息进行格式转换处理,得到第二证书信息。
在本发明实施例中,第一电子设备中的bbc_client服务端口对第一证书信息进行合法性校验成功,即校验通过后,需要对该第一证书信息进行相应的处理,得到本地配置格式的证书信息,也即是第二证书信息。
在一种可行的实施方式中,第一电子设备会将接收到的表征第一证书信息的JSON格式数据作为参考参数,然后第一电子设备基于该参考参数对本机环回地址发送超文本传输协议(hypertext transfer protocol,http)请求,其中发送http请求的方式在本发明中不作任何限定,在具有(Representational State Transfer ful,RESTful)服务器的第一电子设备接收并处理该请求,对该数据参数实行进一步检验及配置转换,将其转换为具有本地配置格式的第二证书信息。
步骤304、第一电子设备发送认证请求至具有第一证书信息的第二电子设备。
步骤305、若第二电子设备对第一电子设备认证通过,第一电子设备基于第二证书信息与第二电子设备之间建立通信链路。
步骤306、第一电子设备基于通信链路与第二电子设备进行数据传输。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的信息处理方法,通过获取具有一定标识的证书信息,同时对该证书信息进行处理,发送认证至与第一电子设备相关联的第二电子设备,并在认证通过后基于处理后的证书信息建立相应的通信链路实现相应的数据传输,解决了相关技术中设备之间信息传输的管理比较复杂且占用人力较多的问题,同时使得数据在网络传输过程中安全性更高。
在本发明其他实施例中,该信息处理方法还可以同时执行以下步骤A:
步骤A、通过第一电子设备中的证书管理模块,第一电子设备对第一电子设备中的开源软件包中不同属性的软件接口进行封装,得到多个目标软件接口。
在本发明实施例中,第一电子设备可以是具有证书管理模块的电子设备,且该第一电子设备基于该证书管理模块对第一电子设备内部的开放式安全套接层协议(opensecure socket layer,openssl)进行封装处理;在一种可行的实施方式中,证书管理模块对openssl内部提供的接口进行封装处理,这是基于openssl内部本身提供的多个不同属性接口如提取公钥接口、提取私钥接口、加解密接口或验签接口的调用函数比较多,为了统一管理进行相应的封装处理,得到相对应的比较统一的多个目标软件接口,即提取公钥接口、提取私钥接口、加解密接口或验签接口信息。
相应的,在一种实施方式中,第一电子设备执行完步骤102、步骤202或步骤303之后还可以执行以下步骤B:
步骤B、第一电子设备基于第二证书信息和第一目标软件接口,生成私钥,并将私钥存储至第一电子设备的安全芯片中。
其中,多个目标软件接口包括用于生成私钥的第一目标软件接口。
在本发明实施例中,第一电子设备内部的证书管理模块经过对openssl进行处理后的多个目标接口,该目标软件接口包括用于提取私钥接口即生成私钥的接口,也就是第一目标软件接口。
示例性的,第一电子设备通过调用该第一目标接口,使用已经转换为本地格式的第二证书信息内部的相应证书信息来生成私钥,通过提取私钥中用于解密及签名需要用到参数,例如可以是通过与在SM2算法计算出椭圆曲线参数相类似的算法提取相应的x、y、z,将该代表私钥的参数与本网关的唯一(Identity Document,ID)进行加密运算得到加密参数,然后通过调用第一电子设备的私有硬件接口,将加密后的参数存储至安全芯片。
在本发明实施例中,第一电子设备同时将转换为本地格式的第二证书信息直接存储在第一电子设备的本地磁盘,其中,第二证书信息包括第一电子设备本地格式的根证书和本地证书,第一电子设备可以通过本地格式的根证书和本地证书来提取公钥信息。
相应的,在一种实施方式中,第一电子设备执行步骤104、步骤204或步骤305可以通过以下步骤a1至步骤a2来执行:
步骤a1、第一电子设备通过第二目标软件接口获取第二电子设备对第一电子设备的认证结果。
其中,多个目标软件接口包括用于验证的第二目标软件接口。
在本发明实施例中,第一电子设备内部的证书管理模块经过对openssl进行处理后的多个目标接口包括用于验证接口,即第二目标软件接口。
示例性的,第一电子设备内部的上层(Internet Protocol Security VirtualPrivate Nertwork,IPsec VPN)模块通过发送第一电子设备的本地证书至第二电子设备,且第二电子设备同样通过内部的IPsec VPN模块通过发送第一电子设备的本地证书至第一电子设备,且第二电子设备在接收第一电子设备发送的本地证书信息之前所执行的操作与第一电子设备相同,即也需要获取BBC发送的具有第一预设标志的第一证书信息并将其进行相应的格式转换等处理。
步骤a2、若认证结果表征第二电子设备对第一电子设备的认证通过,第一电子设备基于第二证书信息与第二电子设备之间建立通信链路。
在本发明实施例中,第一电子设备与第二电子设备在互相发送各自的本地证书过程中,具体是通过现有技术中的IPsec协议来获取到对方的本地证书,再通过封装后的验证接口,即第二目标软件接口对互相接收到对方的本地证书进行有效检验,若检验成功且通过后,则第一电子设备与第二电子设备之间成功建立IPsec隧道。其中,第一电子设备与第二电子设备之间校验证书的先后顺序可以不同,这取决于具体是第一电子设备还是第二电子设备谁先发起的认证。图4给出了本发明实施例提供的一种BBC与两个VPN网关之间信息传输的总体结构示意图,如图4所示,BBC通过其内部的证书集中分发模块下发相应的证书至两个VPN网关,这里的VPN网关可以是电子设备,在本发明实施例中具体指代第一电子设备和第二电子设备,其中,两个VPN网关内部各自的证书管理模块通过对openssl进行封装生成相应的软件接口,且两个VPN网关使用该软件接口相对应的生成私钥存至安全芯片,以及使用相对应的的软件接口通过验证第一电子设备与第二电子设备之间通过IPsec VPN的建立IPsec隧道是否成功,若成功,两个VPN网关即两个电子设备之间通过建立的IPsec实现数据传输。
相应的,在一种实施方式中,第一电子设备执行步骤105、步骤205或步骤306可以通过以下步骤b或步骤c来执行:
步骤b、第一电子设备通过第三目标软件接口,基于通信链路与第二电子设备进行数据加解密传输。
其中,多个目标软件接口包括用于加解密的第三目标软件接口。
在本发明实施例中,第一电子设备内部的证书管理模块经过对openssl进行处理后的多个目标接口包括用于加解密接口,即第三目标软件接口。
示例性的,在第一电子设备与第二电子设备之间的通信链路建立成功后,可实现数据通信时,在第一电子设备与第二电子设备之间的数据传输需要一定的机密性的前提下,不想让除第一电子设备和第二电子设备以外的第三方查看到真实数据信息时,需要对传输的数据进行加解密,也就是说,通过第一电子设备内部的加解密接口,与第二电子设备内部的加解密接口来相应的传输进行加密后的数据,在本发明实施例中,第二电子设备执行的前期操作与第一电子设备相同,也就是说第二电子设备内部也具有证书管理模块,也可对其自身的openssl进行处理后的多个目标接口,该目标接口与第一电子设备内部的目标接口相对应。进一步地说,第一电子设备与第二电子设备进行数据加解密传输时具体可以是由第一电子设备发送加密数据,第二电子设备接收该加密数据并解密。
步骤c、第一电子设备通过第四软件接口,基于通信链路与第二电子设备进行数据验签传输。
其中,多个目标软件接口包括用于验签的第四目标软件接口
在本发明实施例中,第一电子设备内部的证书管理模块经过对openssl进行处理后的多个目标接口包括用于验签接口,即第四目标软件接口。
示例性的,在第一电子设备与第二电子设备之间的通信链路建立成功后,可实现数据通信时,在两者之间的数据传输需要进行互相验证的前提下,即需要保证传输的数据的可靠性,也就是需要确定传输的某信息确定是否为某固定计算机发出的,但不想让第三方进行伪造并传输该信息时,需要对传输的数据信息进行签名与验签,也就是说,通过第一电子设备内部的验签接口,与第二电子设备内部的验签接口来相应的传输验签数据。进一步地说,第一电子设备与第二电子设备进行数据验签传输时,具体可以是第一电子设备发送带有签名的数据,第二电子设备接收并对该带有签名的数据进行验签,即完成本次数据通信过程。需要说明的是,验签可以理解为验证签名;数据验签传输可以理解为第一电子设备将自身生成的签名,与第二电子设备传过来的签名作对比,如果相等确定验签成功,并进行数据传输。
基于前述实施例,本发明实施例提供一种信息处理装置5,参照图5所示,该信息处理装置5可用于实现图1~3所示的信息处理方法的步骤,该信息处理装置5包括:获取模块51、第一处理模块52、发送模块53、第二处理模块54和传输模块55。
获取模块51,获取具有第一预设标识的第一证书信息;其中,第一预设标识至少用于标识第一证书信息包括的根证书和本地证书;
第一处理模块52,基于第一预设标识对第一证书信息进行处理,得到第二证书信息;
发送模块53,发送认证请求至具有第一证书信息的第二电子设备;
第二处理模块54,若第二电子设备对第一电子设备认证通过,基于第二证书信息与第二电子设备之间建立通信链路;
传输模块55,基于通信链路与第二电子设备进行数据传输。
需要说明的是,本实施例中各功能模块所执行的步骤的具体实现过程,可以参照图1~3对应的实施例提供的信息处理方法中的实现过程,此处不再赘述。
基于前述实施例,本发明实施例提供了又一种第一电子设备6,参照图6所示,该第一电子设备6可用于实现图1~3所示的信息处理方法的步骤,该第一电子设备6(图6中的第一电子设备与图5中的信息处理装置对应)包括:处理器61、存储器62和通信总线63;
通信总线63用于实现处理器61和存储器62之间的通信连接;
处理器61用于执行储存器62中储存的信息处理程序,以实现以下步骤:
获取具有第一预设标识的第一证书信息;其中,第一预设标识至少用于标识第一证书信息包括的根证书和本地证书;
基于第一预设标识对第一证书信息进行处理,得到第二证书信息;
发送认证请求至具有第一证书信息的第二电子设备;
若第二电子设备对第一电子设备认证通过,基于第二证书信息与第二电子设备之间建立通信链路;
基于通信链路与第二电子设备进行数据传输。
在本发明的其他实施例中,处理器61用于执行存储器62中存储的获取具有第一预设标识的第一证书信息,以实现以下步骤:
通过与集中管理设备对应的端口,获取集中管理设备发送的第一证书信息;其中,具有第一预设标识的第一证书信息,是集中管理设备对具有第二预设标识的第一证书信息进行格式转换所得到的。
在本发明的其他实施例中,处理器61用于执行存储器62中存储的基于第一预设标识对第一证书信息进行处理,得到第二证书信息,以实现以下步骤:
基于第一预设标识,对第一证书信息进行校验;
若对第一证书信息进行校验成功,对第一证书信息进行格式转换处理,得到第二证书信息。
在本发明的其他实施例中,处理器61用于执行存储器62中存储的信息处理程序,还可以实现以下步骤:
通过第一电子设备中的证书管理模块,对第一电子设备中的开源软件包中不同属性的软件接口进行封装,得到多个目标软件接口;
相应的,多个目标软件接口包括用于生成私钥的第一目标软件接口,基于第一预设标识对第一证书信息进行处理得到第二证书信息之后,还包括:
基于第二证书信息和第一目标软件接口,生成私钥,并将私钥存储至第一电子设备的安全芯片中。
在本发明的其他实施例中,处理器61用于执行存储器62中存储的多个目标软件接口包括用于验证的第二目标软件接口,若第二电子设备对第一电子设备的认证请求通过,基于第二证书信息与第二电子设备之间建立通信链路,以实现以下步骤:
通过第二目标软件接口获取第二电子设备对第一电子设备的认证结果;
若认证结果表征第二电子设备对第一电子设备认证通过,基于第二证书信息与第二电子设备之间建立通信链路。
在本发明的其他实施例中,处理器61用于执行存储器62中存储的多个目标软件接口包括用于加解密的第三目标软件接口,基于通信链路与第二电子设备进行数据传输,以实现以下步骤:
通过第三目标软件接口,基于通信链路与第二电子设备进行数据加解密传输。
在本发明的其他实施例中,处理器61用于执行存储器62中存储的多个目标软件接口包括用于验签的第四目标软件接口,基于通信链路与第二电子设备进行数据传输,以实现以下步骤:
通过第四目标软件接口,基于通信链路与第二电子设备进行数据验签传输。
需要说明的是,本实施例中处理器所执行的步骤的具体实现过程,可以参照图1~3对应的实施例提供的信息处理方法中的实现过程,此处不再赘述。
本发明实施例所提供的第一电子设备,通过获取具有一定标识的证书信息,同时对该证书信息进行处理,发送认证至与第一电子设备相关联的第二电子设备,并在认证通过后基于处理后的证书信息建立相应的通信链路实现相应的数据传输,解决了相关技术中设备之间信息传输的管理比较复杂且占用人力较多的问题,同时使得数据在网络传输过程中安全性更高。
基于前述实施例,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有一个或多个程序,一个或多个程序可被一个或多个处理器执行,以实现如图1~3对应的实施例提供的信息处理方法中的步骤,此处不再赘述。
需要说明的是,上述处理器可以是特定用途集成电路(Application SpecificIntegrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。可以理解地,实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种信息处理方法,应用于第一电子设备,所述方法包括:
获取具有第一预设标识的第一证书信息;
基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息;
发送认证请求至具有所述第一证书信息的第二电子设备;
若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路;
基于所述通信链路与所述第二电子设备进行数据传输。
2.根据权利要求1所述的方法,其特征在于,所述第一预设标识至少用于标识所述第一证书信息包括的根证书和本地证书,所述获取具有第一预设标识的第一证书信息,包括:
通过与集中管理设备对应的端口,获取所述集中管理设备发送的所述第一证书信息;其中,具有所述第一预设标识的第一证书信息,是所述集中管理设备对具有第二预设标识的第一证书信息进行格式转换所得到的。
3.根据权利要求1所述的方法,其特征在于,所述基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息,包括:
基于所述第一预设标识,对所述第一证书信息进行校验;
若对所述第一证书信息进行校验成功,对所述第一证书信息进行格式转换处理,得到所述第二证书信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述第一电子设备中的证书管理模块,对所述第一电子设备中的开源软件包中不同属性的软件接口进行封装,得到多个目标软件接口;
相应的,所述多个目标软件接口包括用于生成私钥的第一目标软件接口,所述基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息之后,还包括:
基于所述第二证书信息和所述第一目标软件接口,生成私钥,并将所述私钥存储至所述第一电子设备的安全芯片中。
5.根据权利要求4所述方法,其特征在于,所述多个目标软件接口包括用于验证的第二目标软件接口,所述若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路,包括:
通过所述第二目标软件接口获取所述第二电子设备对所述第一电子设备的认证结果;
若所述认证结果表征所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立所述通信链路。
6.根据权利要求4所述的方法,其特征在于,所述多个目标软件接口包括用于加解密的第三目标软件接口,所述基于所述通信链路与所述第二电子设备进行数据传输,包括:
通过所述第三目标软件接口,基于所述通信链路与所述第二电子设备进行数据加解密传输。
7.根据权利要求4所述的方法,其特征在于,所述多个目标软件接口包括用于验签的第四目标软件接口,所述基于所述通信链路与所述第二电子设备进行数据传输,包括:
通过所述第四目标软件接口,基于所述通信链路与所述第二电子设备进行数据验签传输。
8.一种信息处理装置,其特征在于,所述信息处理装置包括:
获取模块,所述获取模块用于获取具有第一预设标识的第一证书信息;其中,所述第一预设标识至少用于标识所述第一证书信息包括的根证书和本地证书;
第一处理模块,所述第一处理模块用于基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息;
发送模块,所述发送模块用于发送认证请求至具有所述第一证书信息的第二电子设备;
第二处理模块,所述第二处理模块用于若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路;
传输模块,所述传输模块用于基于所述通信链路与所述第二电子设备进行数据传输。
9.一种第一电子设备,其特征在于,所述第一电子设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中存储的信息处理程序,以实现以下步骤:
获取具有第一预设标识的第一证书信息;其中,所述第一预设标识至少用于标识所述第一证书信息包括的根证书和本地证书;
基于所述第一预设标识对所述第一证书信息进行处理,得到第二证书信息;
发送认证请求至具有所述第一证书信息的第二电子设备;
若所述第二电子设备对所述第一电子设备认证通过,基于所述第二证书信息与所述第二电子设备之间建立通信链路;
基于所述通信链路与所述第二电子设备进行数据传输。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至7中任一项所述的信息处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911096379.XA CN111049798B (zh) | 2019-11-11 | 2019-11-11 | 一种信息处理方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911096379.XA CN111049798B (zh) | 2019-11-11 | 2019-11-11 | 一种信息处理方法、装置和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049798A true CN111049798A (zh) | 2020-04-21 |
| CN111049798B CN111049798B (zh) | 2022-08-09 |
Family
ID=70232371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911096379.XA Active CN111049798B (zh) | 2019-11-11 | 2019-11-11 | 一种信息处理方法、装置和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049798B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113873027A (zh) * | 2021-09-24 | 2021-12-31 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547341A (zh) * | 2003-12-04 | 2004-11-17 | 上海格尔软件股份有限公司 | 数字证书跨信任域互通方法 |
| US20090198618A1 (en) * | 2008-01-15 | 2009-08-06 | Yuen Wah Eva Chan | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce |
| CN101521883A (zh) * | 2009-03-23 | 2009-09-02 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
| US20100299520A1 (en) * | 2003-06-12 | 2010-11-25 | Minolta Co., Ltd. | Communication system and method in public key infrastructure |
-
2019
- 2019-11-11 CN CN201911096379.XA patent/CN111049798B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100299520A1 (en) * | 2003-06-12 | 2010-11-25 | Minolta Co., Ltd. | Communication system and method in public key infrastructure |
| CN1547341A (zh) * | 2003-12-04 | 2004-11-17 | 上海格尔软件股份有限公司 | 数字证书跨信任域互通方法 |
| US20090198618A1 (en) * | 2008-01-15 | 2009-08-06 | Yuen Wah Eva Chan | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce |
| CN101521883A (zh) * | 2009-03-23 | 2009-09-02 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113873027A (zh) * | 2021-09-24 | 2021-12-31 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
| CN113873027B (zh) * | 2021-09-24 | 2024-02-27 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049798B (zh) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108512846B (zh) | 一种终端与服务器之间的双向认证方法和装置 | |
| CN104618108B (zh) | 安全通信系统 | |
| CN107800675B (zh) | 一种数据传输方法、终端以及服务器 | |
| CN112218294A (zh) | 基于5g的物联网设备的接入方法、系统及存储介质 | |
| CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
| WO2016107319A1 (zh) | 加载安全密钥存储硬件的方法和浏览器客户端装置 | |
| CN104580190B (zh) | 安全浏览器的实现方法和安全浏览器装置 | |
| WO2022111102A1 (zh) | 建立安全连接的方法、系统、装置、电子设备和机器可读存储介质 | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| CN106534086B (zh) | 一种设备认证方法、终端设备、服务器及系统 | |
| CN105812334B (zh) | 一种网络认证方法 | |
| EP3157195A1 (en) | Communication protocol testing method, and tested device and testing platform thereof | |
| CN110601815B (zh) | 一种区块链数据处理方法以及设备 | |
| CN110381075B (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN112543166B (zh) | 实名登录的方法及装置 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN110839240B (zh) | 一种建立连接的方法及装置 | |
| CN111130769A (zh) | 一种物联网终端加密方法及装置 | |
| CN109272314A (zh) | 一种基于两方协同签名计算的安全通信方法及系统 | |
| CN107729760B (zh) | 基于Android系统的CSP实现方法及智能终端 | |
| CN114584386B (zh) | 全局多级加密网络通信方法 | |
| CN110351254B (zh) | 访问操作的执行方法及装置 | |
| CN111049798B (zh) | 一种信息处理方法、装置和计算机可读存储介质 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |