CN111818100A - 一种跨网配置通道的方法、相关设备及存储介质 - Google Patents
一种跨网配置通道的方法、相关设备及存储介质 Download PDFInfo
- Publication number
- CN111818100A CN111818100A CN202010918604.XA CN202010918604A CN111818100A CN 111818100 A CN111818100 A CN 111818100A CN 202010918604 A CN202010918604 A CN 202010918604A CN 111818100 A CN111818100 A CN 111818100A
- Authority
- CN
- China
- Prior art keywords
- server
- authentication information
- channel
- relay device
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例涉及云服务领域,并提供一种跨网配置通道的方法、相关设备及存储介质,该方法包括:第一服务器分别与处于不同网络环境的通信设备、中继设备之间进行双向认证,建立第一服务器与中继设备之间的第一通道,第一服务器与通信设备之间的第二通道。因此,当第一服务器收到通信设备的访问第二服务器的消息时,第一服务器通过各种证书进行认证流程,无需通信设备提供账号密码,将从第二通道接收的第二消息,通过第一通道向中继设备发送。中继设备对第三认证信息验证通过后向第二服务器发送第二消息,第二服务器基于该第二消息的第一响应按照原路返回至通信设备。本方案能够提高内网访问外网的安全性、客户端在不同时间内访问不同内网的效率。
Description
技术领域
本申请实施例涉及云服务技术领域,尤其涉及一种跨网配置通道的方法、相关设备及存储介质。
背景技术
客户端从外网访问内网的业务服务器时,一般采用方式一和方式二:方式一中,代理通道来实现客户端从外网访问内网的目的。一般是在内网中设置一个代理器,然后由该代理器对外提供代理服务,当客户端首次访问内网业务时,客户端与代理器之间需要创建一个代理通道,然后基于该代理通道进行数据交互。方式二中,在内网中设置一个虚拟私人网络(英文全称:Virtual Private Network,英文简称:VPN)服务器,然后由该VPN服务器对外提供VPN服务,当客户端首次访问内网业务时,客户端与代理器之间需要创建一个VPN专用通道,然后基于该VPN专用通道进行数据交互。
在对现有技术的研究和实践过程中,本申请实施例的发明人发现,在方式一中,内网需要对外暴露自身的服务,存在安全隐患;在方式二中,内网需要对外提供VPN服务,即需要有外网IP地址并且对外暴露内网的对外IP地址。由此可见,目前的外网访问内网的机制均存在安全性问题。
发明内容
本申请实施例提供了一种跨网配置通道的方法、相关设备及存储介质,能够提高内网访问外网的安全性、提高客户端在不同时间内访问不同内网的效率,简化访问流程,降低流量开销,且不依赖于物理专线,能够有效降低运营成本。
第一方面中,从第一服务器角度介绍本申请实施例提供的一种跨网配置通道的方法,所述方法包括:
第一服务器从中继设备接收第一连接请求,向所述中继设备发送第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
在确定所述中继设备根据预置第一根证书对所述第一认证信息验证通过后,所述第一服务器向所述中继设备发送第一消息,所述第一消息用于获取所述中继设备的第二认证信息;
所述第一服务器根据预置的第二根证书验证所述第二认证信息通过后,与所述中继设备之间建立第一通道;
所述第一服务器从通信设备接收第二连接请求,向所述通信设备发送所述第一认证信息;所述通信设备与所述中继设备处于不同网络环境;
所述第一服务器从所述通信设备接收第三认证信息,根据中继设备的第二认证信息验证所述第三认证信息通过后,与所述通信设备之间建立所述第二通道;
所述第一服务器建立所述第一通道与所述第二通道之间的关联关系。
一种可能的设计中,所述第一服务器根据第二认证信息对所述第三认证信息验证之前,所述方法还包括:
所述第一服务器获取所述第三认证信息的授权范围;
当确定所述第三认证信息的授权范围为有效时,所述第一服务器根据第二认证信息对所述第三认证信息验证。
第二方面中,从中继设备角度介绍本申请实施例提供的一种跨网配置通道的方法,所述方法包括:
中继设备向第一服务器发送第一连接请求,从所述第一服务器接收第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
所述中继设备根据预置的第一根证书对所述第一认证信息验证通过后,从所述第一服务器接收第一消息,所述第一消息用于获取所述中继设备的第二认证信息;
所述中继设备向所述第一服务器发送所述第二认证信息;
在确定所述第一服务器根据预置的第二根证书验证所述第二认证信息通过后,所述中继设备与所述第一服务器之间建立第一通道。
一种可能的设计中,所述方法还包括:
设置所述第三认证信息的授权范围。
一种可能的设计中,所述方法还包括:
更新所述第三认证信息的授权范围。
第三方面中,从通信设备角度介绍本申请实施例提供的一种跨网配置通道的方法,所述方法包括:
通信设备向所述第一服务器发送第二连接请求,所述第二连接请求用于请求访问所述第二服务器;
所述通信设备从所述第一服务器接收第一认证信息,根据所述第一认证信息验证所述第一服务器的合法身份;
所述通信设备向所述第一服务器发送第三认证信息,在所述第一服务器根据所述第二认证信息验证所述第三认证信息通过后,与所述第一服务器之间建立所述第二通道。
一种可能的设计中,所述与所述第一服务器之间建立所述第二通道之后,所述方法还包括:
通信设备根据访问需求选择第二通道,通过所述第二通道向第一服务器发送第二消息,所述第二消息携带所述通信设备的第三认证信息,所述第二消息用于访问第二服务器;其中,所述通信设备与所述第二服务器处于不同网络环境;
所述通信设备从所述第二通道接收第一响应,所述第一响应由所述第一服务器通过第一通道从中继设备获取,所述第一响应来自所述第二服务器基于所述第二消息生成。
一种可能的设计中,所述与所述第一服务器之间建立所述第二通道,包括:
所述通信设备从所述第一服务器接收第一加密策略,基于所述第一加密策略生成第一协议密钥;
所述通信设备向所述第一服务器发送所述第一协议密钥,所述第一协议密钥用于加密所述通信设备与所述第一服务器之间传输的数据。
第四方面中,本申请实施例提供一种服务器,具有实现对应于上述第一方面提供的跨网配置通道的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述服务器包括:
收发模块,用于从中继设备接收第一连接请求,向所述中继设备发送第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
所述收发模块还用于在确定所述中继设备根据预置的第一根证书对所述第一认证信息验证通过后,所述第一服务器向所述中继设备发送第一消息,所述第一消息用于获取所述中继设备的第二认证信息;
处理模块,用于根据预置的第二根证书验证所述第二认证信息通过后,控制所述第一服务器与所述中继设备之间建立第一通道;
所述收发模块还用于从通信设备接收第二连接请求,向所述通信设备发送所述第一认证信息;所述通信设备与所述中继设备处于不同网络环境;
所述处理模块还用于在通过所述收发模块从所述通信设备接收第三认证信息,根据中继设备的第二认证信息验证所述第三认证信息通过后,控制所述第一服务器与所述通信设备之间建立第二通道;
所述处理模块还用于建立所述第一通道与所述第二通道之间的关联关系。
第五方面中,本申请实施例提供一种中继设备,具有实现对应于上述第二方面提供的跨网配置通道的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述中继设备包括:
收发模块,用于向第一服务器发送第一连接请求,从所述第一服务器接收第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
处理模块,用于根据第一根证书对所述第一认证信息验证通过后,通过所述收发模块从所述第一服务器接收第一消息,所述第一消息用于获取所述中继设备的第二认证信息;通过所述收发模块向所述第一服务器发送所述第二认证信息,在确定所述第一服务器根据预置的第二根证书验证所述第二认证信息通过后,控制所述中继设备与所述第一服务器之间建立第一通道。
第六方面中,本申请实施例提供一种通信设备,具有实现对应于上述第三方面提供的跨网配置通道的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述通信设备包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
收发模块,用于向所述第一服务器发送第二连接请求,所述第二连接请求用于请求访问所述第二服务器;
处理模块,用于通过所述收发模块从所述第一服务器接收第一认证信息后,根据所述第一认证信息验证所述第一服务器的合法身份;通过所述收发模块向所述第一服务器发送第三认证信息,在所述第一服务器根据所述第二认证信息验证所述第三认证信息通过后,控制通信设备与所述第一服务器之间建立所述第二通道。
本申请实施例又一方面提供了一种通信装置,其包括至少一个连接的处理器、存储器和收发器,其中,所述存储器用于存储计算机程序,所述处理器用于调用所述存储器中的计算机程序来执行上述各方面所述的方法。
本申请实施例又一方面提供了一种计算机可读存储介质,其包括指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述第一方面、或者第二方面中提供的方法、或者第三方面以及第三方面中的各种可能的设计中提供的方法。
本申请实施例提供的方案中,由于第一服务器与的中继设备之间进行了双向认证并建立第一通道,以及第一服务器与通信设备之间进行了双向认证并建立第二通道,而中继设备与通信设备处于不同网络环境。因此,通信设备向第二服务器发送的第二消息通过第二通道传输至第一服务器,再由第一服务器通过第一通道传输至中继设备,以将该第二消息传输至第二服务器。第二服务器基于该消息的响应按照原路返回至通信设备。可见,即便中继设备与通信设备处于不同网络环境,通过本申请实施例中的第二通道和第一通道,也能够实现不同网络环境内的两个网络设备之间的通信交互(例如实现外网和内网之间的通信交互)且安全性较高。
可见,相较于在内网对外网提供VPN服务而言,一方面中,由于本申请实施例不需要向外网暴露内网的IP地址,即便用户在不同时段切换访问多个内网,也无需来回切换VPN连接。对于用户而言,在不同时段切换访问多个内网时,能够减少输入成本,提供便利;对于服务器而言,不会将外网的流量加载在服务器上,因此,相较于VPN和代理两种方式,本申请实施例能够降低流量开销以及减少服务负荷。另一方面中,本申请实施例不局限于物理专线的部署位置、能够有效降低部署物理专线所带来的各项成本。
附图说明
图1为本申请实施例中通信系统的一种网络拓扑示意图;
图2为本申请实施例中跨网配置通道的方法的一种信令流程示意图;
图3a为本申请实施例中创建第一通道的一种流程示意图;
图3b为本申请实施例中创建第二通道的一种流程示意图;
图4为本申请实施例中通信交互方法的一种信令流程示意图;
图5a为本申请实施例中在第一服务器配置连接器证书和建立第一通道的一种示意图;
图5b为本申请实施例中验证中心在通信系统各端部署证书的一种示意图;
图5c为本申请实施例中连接器证书、服务器证书和客户端证书之间的一种关联关系示意图;
图5d为本申请实施例中客户端首次访问业务服务器的验证流程示意图;
图6为本申请实施例中通信交互方法的一种信令流程示意图;
图7为本申请实施例中第一服务器的一种结构示意图;
图8为本申请实施例中中继设备的一种结构示意图;
图9为本申请实施例中通信设备的一种结构示意图;
图10为本申请实施例中执行跨网配置通道的方法的实体设备的一种结构示意图;
图11为本申请实施例中服务器的一种结构示意图;
图12为本申请实施例中通信设备的一种结构示意图。
具体实施方式
本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序,例如第一服务器和第二服务器仅用于区分实现不同功能的服务器。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请实施例中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请实施例中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请实施例方案的目的。
本申请实施例供了一种跨网配置通道的方法、相关设备及存储介质,可用于任意两个网络之间的通信交互,例如,能够用于隔离区(demilitarized zone,DMZ)与内网之间的通信交互,或者公网与内网之间的通信交互,或者表层网与深网之间的通信交互等。无论两个网络之间是否互通,均可采用本申请实施例的方案来实现这两个网络之间的通信交互,例如,也可以解决原本两个不互通的网络之间的通信交互问题。本申请实施例仅以外网和内网之间的通信交互方式为例,其他任意网络环境的网络之间的通信交互场景不作赘述。一些实施方式中,如图1所示的通信系统主要包括至少一个通信设备、至少一个第一服务器、至少一个中继设备、以及至少一个第二服务器。以下进行详细说明。
通信设备为处于第一类网络环境的网络设备(例如为网络侧设备或者终端侧设备,本申请实施例以终端侧设备为例),例如处于外网的设备,可将该通信设备看作部署了第二服务器提供的业务的客户端。
第一服务器部署于第一类网络环境与第二类网络环境中之间,例如部署于外网和内网之间。通过该第一服务器即可实现外网和内网或者DMZ和内网的通信交互,以及通过自建TLS证书来保证数据安全、端安全以及实现用户免登录认证。该服务器可部署于共有云或DMZ、缓冲区。其中,两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内网低。DMZ是指为了解决安装防火墙后外网的访问用户不能访问内网服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业的内网和外网之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护内网。
其中,中继设备是指第二类网络环境中的设备,例如为处于内网的设备,也可将第二中继设备看作部署第二类网络环境的设备,例如将中继设备看作一个局域网,例如一个内网环境或者一个企业,中继设备能够与多个客户端通信,中继设备可基于中继设备的认证信息生成多个通信设备的认证信息(例如客户端的认证信息)。例如,对于一个企业而言,一个企业包括多个员工,每一个员工都配置一个客户端证书。本申请实施例采用上述图1所示的三层结构,主要用于实现下述两方面的功能:
一方面,将授权客户端证书的工作由企业自身完成,因此,企业可以在允许范围内生成众多客户端证书;
另一方面,用于控制企业的授权时长。例如,中继设备的证书A过期了,所有基于该证书A签名验证过的客户端证书也都将失效,因此便于管理。
该第二服务器为业务服务器,即为通信设备提供业务服务的服务器,也就是处于内网中的服务器。例如,第二服务器为企业A的内部论坛服务器。
本申请实施例中,中继设备可为独立于第二服务器的功能模块,也可以与第二服务器分离式部署在第二类网络环境中。第二服务器可为一个逻辑上划分的业务服务模块,该业务服务模块与连接器模块分离式部署于第二类网络环境中,该业务服务模块可为物理机、虚拟机或容器,只要能够实现中继设备与第二服务器的解耦即可,本申请实施例不对此作限定。
其中,需要特别说明的是,本申请实施例涉及的服务器(例如第一服务器、第二服务器)可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
本申请实施例涉及的通信设备(例如通信设备),可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。例如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语音和/或数据。例如,个人通信业务(英文全称:Personal Communication Service,英文简称:PCS)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(Wireless Local Loop,英文简称:WLL)站、个人数字助理(英文全称:Personal Digital Assistant,英文简称:PDA)等设备。
本申请实施例主要提供以下技术方案:
在外网和内网之间的共有云部署第一服务器,通过建立第一服务器与中继设备之间的第一通道,以及该第一服务器创建与通信设备之间的第二通道。通信设备与第一服务器之间,以及第一服务器与中继设备之间均进行密钥协商,以保证通信设备与第二服务器之间的数据在第二通道和第一通道传输时的安全性。后续,通信设备向第二服务器发送的访问消息则通过第二通道传输至第一服务器,再由第一服务器通过第一通道将访问消息传输至中继设备,以将该访问消息传输至第二服务器。第二服务器基于该访问消息的访问响应按照原路返回至通信设备。可见,通过第一通道和第二通道,即可实现外网和内网之间的通信交互。
本申请实施例中,客户端与第一服务器之间需要基于安全协议进行相互认证,第一服务器与中继设备之间需要基于安全协议进行相互认证。二者基于的安全协议均可为传输层安全协议(Transport Layer Security,TLS)协议。该TLS协议包括TLS记录协议和TLS握手协议。本申请实施例中,可采用TLS记录协议用于服务器和客户端在应用层协议传输或接收第一个字节数据之前验证彼此的身份并协商一个加密算法和加密密钥,以及采用TLS握手协议传输消息来进行密钥协商,并提供安全连接。本申请实施例不对上述安全协议作限定。
相较于在内网对外网提供VPN服务而言,一方面中,由于本申请实施例不需要向外网暴露内网的IP地址,即便用户在不同时段切换访问多个内网,也无需来回切换VPN连接。对于用户而言,在不同时段切换访问多个内网时,能够减少输入成本,提供便利;对于服务器而言,不会将外网的流量加载在服务器上,因此,相较于VPN和代理两种方式,本申请实施例能够降低流量开销以及减少服务负荷。另一方面中,本申请实施例不局限于物理专线的部署位置、能够有效降低部署物理专线所带来的各项成本。
参照图2-图3b,以下介绍本申请实施例所提供的一种跨网配置通道的方法,通信设备与第二服务器处于不同网络环境,中继设备与第二服务器可处于不同或同一网络环境,中继设备可为独立于第二服务器的功能模块或网络侧设备,也可以与第二服务器分离式部署在第二类网络环境中。下面先介绍在通信设备、第一服务器与中继设备之间完成双向认证,并创建用于通信的第二通道和第一通道,具体来说,如图2所示,本申请实施例包括下述步骤101至步骤111:
101、中继设备向第一服务器发送第一连接请求。
其中,所述第一连接请求用于请求与所述第一服务器建立通信连接。例如,请求与所述第一服务器之间建立第一通道。该第一连接请求可为中继设备首次或非首次向第一服务器发起的连接请求,该“首次”是指中继设备之前未通过第一服务器向通信设备提供访问服务,“非首次”则是指中继设备之前与第一服务器建立过第一通道,并通过第一服务器向通信设备提供访问服务,但第一通道的有效期到期了,所以需要再次发起密钥协商和创建第一通道的流程,本申请实施例不对此作限定。
102、第一服务器从中继设备接收第一连接请求,向所述中继设备发送第一认证信息。
其中,所述第一认证信息用于验证所述第一服务器的合法身份。该第一认证信息为第一服务器的认证信息,例如可称为服务器证书。该第一认证信息包括第一服务器的签名信息,该第一认证信息为验证中心签发。
103、中继设备从所述第一服务器接收第一认证信息,根据第一根证书对所述第一认证信息进行验证。
如果中继设备对第一认证信息验证通过,那么第一服务器会收到来自中继设备的一个“确认”反馈消息。
其中,第一根证书为预置在中继设备的证书,该第一根证书可由中继设备从验证中心获取。该第一根证书可称作客户端证书、签名信息或签约信息等,本申请实施例不对此作限定。
具体来说,中继设备在验证第一认证信息时,可使用第一根证书对第一认证信息中的签名信息进行验证。若验证通过,则进入步骤104。
104、所述第一服务器向所述中继设备发送第一消息。
其中,所述第一消息用于获取所述中继设备的第二认证信息。例如,中继设备对第一服务器的身份验证通过后,为了建立第一通道,第一服务器还可要求中继设备提供身份证明(例如第二认证信息),例如,第一服务器要求连接器出示身份证明(例如连接器证书)。
105、中继设备从所述第一服务器接收第一消息,向所述第一服务器发送所述第二认证信息。
该第二认证信息用于第一服务器验证中继设备,以及用于通信设备访问第二服务器时,验证通信设备的身份(例如验证第三认证信息)。
举例来说,连接器使用预埋的根证书对第一服务器的身份证明验证通过后,如果收到第一服务器要求出示身份证明的消息,则连接器向第一服务器发送自身的身份证明(即第二认证信息)。
106、所述第一服务器接收第二认证信息,根据第二根证书验证所述第二认证信息通过后,与所述中继设备之间建立第一通道。
其中,第二根证书是指未被签名的公钥证书或自签名的证书,第二根证书为验证中心预埋在该第一服务器的证书。第二根证书用于第一服务器对第二认证信息的签名信息进行验证。第二根证书包括第三认证信息对应的用户信息、该用户的公钥以及验证中心对该第二根证书中的信息的签名信息。
该第一通道为第一服务器与中继设备在为通信设备与业务服务器之间的通信交互时使用的专用通道。
第一服务器可使用该第二根证书验证第二认证消息的签名信息,若验证通过,则建立上述第一通道。
一些实施方式中,第一服务器或中继设备还可为第一通道设置第二有效期,这样,保证第一服务器能够在该有效期内访问中继设备,结合通信设备通过第二通道与第一服务器通信交互,双重结合保证通信设备在第一有效期内可以免认证访问第二服务器。例如,将该第一通道的第二有效期设为2个月,那么客户端在2个月内可以免认证访问业务服务器。如果通信设备超过该有效期通过第一服务器访问第二服务器,那么,第一服务器可向通信设备返回访问失败的响应消息,通信设备可再次向第一服务器发起密钥协商、创建第二通道等流程。
一些实施方式中,第二有效期的起始时刻不晚于第一有效期的起始时刻,第二有效期的结束时刻不早于(即等于或晚于)第一有效期的结束时刻,这样能够保证通信设备在第一有效期内免认证的正常访问第二服务器。本申请实施例不对第二有效期内,第一服务器先后服务多少个通过免认证访问第二服务器的通信设备的数量作限定。在第二有效期内,可以覆盖一个或至少两个第一有效期,一方面中,这样可以保证第一服务器在为多个通信设备先后服务的同时,不会因为频繁需要与中继设备之间进行重新互相认证而导致更新期间无法为通信设备服务的情况;另一方面中,在保证第一通道的安全性的同时,也能减少不必要的相互之间的重复认证次数。
具体来说,第一服务器接收到第三认证信息后,可读取该第三认证信息的签名,然后通过该第二认证信息验证第三认证信息的签名,如果验证通过,则建立第一服务器与通信设备之间的第二通道。该第二通道为通信设备在访问第二服务器时,通信设备与第一服务器之间进行通信的专用通道。通过建立第二通道,在保证通信设备能够访问第二服务器的同时,保证第二服务器不对通信设备暴露,因此,能够避免通信设备(例如为非法或者被胁持时)的异常访问行为导致第二服务器遭受攻击。
在本申请实施例中,可通过对称加密和非对称加密共同实现第一服务器与中继设备之间的通信安全性,例如,在密钥协商阶段,通过非对称加密保证数据传输安全,在密钥协商完成后,则通过对称加密对用户数据进行加密。
一些实施方式中,为提高第一服务器与中继设备之间的通信安全性,还可以对二者之间的通信进行加密,具体来说,中继设备与所述第一服务器之间建立所述第一通道之后,如图3a所示,本申请实施例还包括:
201、第一服务器向中继设备发送第二加密策略。
一些实施方式中,第二加密策略可以从中继设备侧直接获取(例如为第一服务器自身生成)或间接获取,例如,当第二加密策略从中继设备获取时,具体流程可包括:
所述中继设备向所述第一服务器发送至少一种加密策略,第一服务器从至少一种加密策略中选择第二加密策略,或者基于至少一种加密策略生成第二加密策略。即所述第二加密策略可为所述至少一种加密策略中的策略。本申请实施例不对第二加密策略的获取方式或获取来源做限定。然后,第一服务器向中继设备发送第二加密策略。
为保证第二加密策略的安全性、防泄密以及防篡改,第一服务器获取第二加密策略后,还可以使用第二公钥对所述第二加密策略加密后发送给中继设备。与前述第一公钥的方案同理,即,为保证第一加密策略的安全性、防泄密以及防篡改,中继设备获取第二加密策略后,还可以使用第二公钥对所述第二加密策略加密并发送给所述第一服务器,即通过非对称加密的方式发送对称加密所使用的第二加密策略(即密钥)。本申请实施例不对采用的非对称加密算法作限定。
202、中继设备从所述第一服务器接收第二加密策略。
具体来说,中继设备是通过第一通道从第一服务器接收第二加密策略。
203、中继设备基于所述第二加密策略生成第二协议密钥。
其中,所述第二协议密钥用于加密所述中继设备与所述第一服务器之间传输的数据。所述第二协议密钥可为对称加密的密钥,例如可为随机串或者基于预设规则生成,本申请实施例不对此作限定。
204、所述中继设备向所述第一服务器发送所述第二协议密钥。
可见,在通信设备与第一服务器之间,以及在第一服务器与中继设备之间,通过对称加密和非对称加密来共同实现密钥协商,在密钥协商时,通过非对称加密来保证数据传输安全,密钥协商完成后,则通过对称加密来完成对用户数据进行加密。
107、所述通信设备向所述第一服务器发送第二连接请求。
其中,所述第二连接请求用于请求访问所述第二服务器,该第二连接请求中可包括用户账号、账号密码、业务类型等信息,本申请实施例不对此作限定。
一些实施方式中,第二连接请求为通信设备首次或非首次连接到第一服务器时向第一服务器发送的消息。第二连接请求用于发起通信设备与第一服务器之间的密钥协商,以及创建第二通道。
一些实施方式中,通信设备与第一服务器建立第二通道之前,可以通过其他通信协议或者正常通信通道来进行通信交互,本申请实施例不对通信设备与第一服务器建立第二通道之前的通信方式做限定。
108、所述第一服务器从通信设备接收第二连接请求,向所述通信设备发送所述第一认证信息。
其中,所述第一认证信息用于验证所述第一服务器的合法身份。第一认证信息为第一服务器的认证信息,例如可称为服务器证书,该第一认证信息包括第一服务器的签名信息。
所述通信设备与所述中继设备处于不同网络环境,由于中继设备用于服务第二服务器且二者部署关系不限定,因此,也可认为所述通信设备与所述第二服务器处于不同网络环境,本申请实施例不对此作区分。
109、所述通信设备从所述第一服务器接收第一认证信息,根据所述第一认证信息验证所述第一服务器的合法身份。
具体来说,所述通信设备可采用预置的第三根证书对所述第一认证信息中的签名信息验证第一服务器的身份是否合法。
110、所述通信设备向所述第一服务器发送第三认证信息。
其中,第三认证信息为通信设备的认证信息,该第三认证信息可用于认证通信设备的身份。
一些实施方式中,该第三认证信息由中继设备生成和分发,因此,第三认证信息还可具备授权范围,该授权范围包括访问时段、访问次数、访问权限等信息,本申请实施例不对此作限定。另一些实施方式中,第三认证信息还可包括用户状态信息,该用户状态信息可报考用户是否处于在职状态、停职状态或离职状态中的至少一种。当第三认证信息中包括用户状态信息时,第一服务器还可判断该第三认证信息对应的用户是否为合法用户(即合法访问第二服务器的业务服务的用户),若否,则可以确定该用户验证不通过。
第三认证信息可称作客户端证书、签名信息或签约信息等,本申请实施例不对此作限定。第三认证信息为通信设备的认证信息,例如,通信设备为企业A的局域网1中的授权客户端,那么,该第三认证信息为客户端证书,第三认证信息包括摘要和签名。
111、所述第一服务器从所述通信设备接收第三认证信息,根据所述第二认证信息验证所述第三认证信息通过后,与所述通信设备之间建立第二通道。
该第二通道为通信设备请求与中继设备对应的业务服务器(例如第二服务器)进行通信时的专用通道,第二通道也可称作第一隧道、第一链路、第一通信链路、第一传输路径等名称,本申请实施例不对此作限定。
一些实施方式中,第一服务器还可为第二通道设置第一有效期,通信设备在该第一有效期内可以免认证访问第二服务器。例如,第一有效期为2个月,那么客户端在2个月内可以免认证访问业务服务器。如果通信设备超过该第一有效期通过第一服务器访问第二服务器,那么,第一服务器可向通信设备返回访问失败的响应消息,通信设备可再次向第一服务器发起密钥协商、创建第二通道等流程。
具体来说,第一服务器接收到第三认证信息后,可读取该第三认证信息的签名,然后通过该第二认证信息验证第三认证信息的签名,如果验证通过,则建立第一服务器与通信设备之间的第二通道。该第二通道为通信设备在访问第二服务器时,通信设备与第一服务器之间进行通信的专用通道。通过建立第二通道,在保证通信设备能够访问第二服务器的同时,保证第二服务器不对通信设备暴露,因此,能够避免通信设备(例如为非法或者被胁持时)的异常访问行为导致第二服务器遭受攻击。
在本申请实施例中,可通过对称加密和非对称加密共同实现通信设备与第一服务器之间的通信安全性,例如,在密钥协商阶段,通过非对称加密保证数据传输安全,在密钥协商完成后,则通过对称加密对用户数据进行加密。
一些实施方式中,为进一步加强通信设备与业务服务器之间的通信交互的安全性,还可以对通信设备与业务服务器之间的通信进行加密设置,具体来说,如图3b所示,第一服务器建立所述第二通道,包括:
301、第一服务器向所述通信设备发送第一加密策略。
一些实施方式中,第一加密策略可以从通信设备侧直接获取(由通信设备生成)或间接获取,例如,从通信设备间接获取第一加密策略的流程可为:
通信设备向第一服务器发送至少一种加密策略。其中,加密策略是指对通信设备与第一服务器之间的交互数据进行加密的策略。加密策略也可称作加密规则、加密方式或密钥等,本申请实施例不对此作限定。
第一服务器从所述通信设备接收至少一种加密策略后,从所述至少一种加密策略中选择或生成第一加密策略。即第一加密策略可为所述至少一种加密策略中的策略,也可根据至少一种所述加密策略生成得到,本申请实施例不对第一加密策略的获取方式和获取来源作限定。例如,第一服务器选择加密策略K,当通信设备从第一服务器接收到基于加密策略K加密的消息a后,可使用该加密策略K对该加密的消息a进行解密。
一些实施方式中,由于第一服务器会与多个通信设备通信连接,因此,为了第一服务器与各通信设备之间的数据安全性,本申请实施例可采用非对称加密算法对二者之间的数据进行加密和解密。该非对称加密算法能够避免通信设备直接向第一服务器传递密钥所导致的泄露风险。基于该非堆成加密算法的密钥包括一个公钥和一个私钥。其中,公钥对任何通信设备开放,私钥只有第一服务器知道,公钥加密的信息不能被公钥解密,只能被私钥解密。为保证第一加密策略的安全性、防泄密以及防篡改,第一服务器获取第一加密策略后,还可以使用第一公钥对所述第一加密策略加密并发送给所述通信设备,即通过非对称加密的方式发送对称加密所使用的第一加密策略(即密钥)。本申请实施例不对采用的非对称加密算法作限定。
302、通信设备向第一服务器发送第一协议密钥。
其中,所述第一协议密钥为所述通信设备基于所述第一加密策略生成。第一协议密钥通信设备与第一服务器之间通信交互时的默认密钥,通信设备根据第一协议密钥即可解析第一服务器发送的数据,同理,第一服务器可根据第一协议密钥解析来自通信设备的数据。第一协议密钥也可乘坐协商密钥、握手密钥、约定密钥等,本申请实施例不对此作限定。第一协议密钥可为数字、字母、字符串、符号、表情、音频信号、视频信号等中的至少一种组合,例如,第一协议密钥为S2。
一些实施方式中,所述第一协议密钥用于加密所述通信设备与所述第一服务器之间传输的数据。
303、第一服务器从所述通信设备接收第一协议密钥。
可见,通过建立上述第二通道,能够为后续通信设备请求与第二服务器通信交互时提供专用的通信通道,进而简化通信设备的用户访问第二服务器的流程。
此外,本申请实施例中,每一个通信设备都拥有一个唯一的认证信息,该通信设备在第一次通过第一服务器登录第二业务服务器提供的业务服务时,通信设备的用户需要输入一次账号和密码进行激活,在后续其与第二业务服务器之间的通信交互都不需要输入账号和密码,可直接通过本地保存的认证信息进行认证。
以企业内网,第三认证信息为客户端证书为例,客户端证书中包含企业用户的用户数据,客户端证书的通用名(Common Name)记录了企业用户的账号。在可信认认证过程中,第一服务器可从第二消息中获取到该企业用户的客户端证书的信息,然后根据这些判断该企业用户的企业状态,如在职还是离职等,根据企业状态、客户端证书的信息综合判断该企业用户是否允许访问该企业的业务服务器。
112、所述第一服务器建立所述第一通道与所述第二通道之间的关联关系。
其中,该关联关系可用于后续第一服务器接收到来自通信设备的访问消息时,快速的定位出该访问消息所对应的业务服务器,这样就可以直接找到能够处理该访问消息的链路(即第一通道→第二通道),以及第一服务器接收到来自业务服务器的访问响应时,能够快速的定位出该访问响应的回程链路(第二通道→第一通道)。
该关联关系可根据所述通信设备的设备信息与所述中继设备的设备信息建立,本申请实施例不对该关联关系的保存方式、保存位置等作限定。
与现有技术相比,本申请实施例中,由于第一服务器与的中继设备之间进行了双向认证并建立第一通道,以及第一服务器与通信设备之间进行了双向认证并建立第二通道,因此,即便中继设备与通信设备处于不同网络环境,通过本申请实施例中的第二通道和第一通道,也能够实现不同网络环境内的两个网络设备之间的通信交互(例如实现外网和内网之间的通信交互)且安全性较高。可见,一方面中,由于第一服务器部署于共有云等环境,并作为关联第二通道和第一通道的中间设备,而第二通道是连接到处于第一类网络环境的通信设备,第一通道是连接到处于第二类网络环境的中继设备。因此,第一服务器能够脱离物理专线(例如现有技术中的VPN服务)的地理位置的限制,进而能够有效降低部署成本和维护成本。
另一方面中,由于第一服务器和中继设备去对接通信设备,因此,无需专门为每个第二服务器专门部署一套对应的独立代理,因此,能够进行集中管理,提高管理效率的同时还能节省部署成本。
在通信设备、第一服务器与中继设备之间完成双向认证并创建了用于通信的第二通道和第一通道后,以下以通信设备非首次访问第二服务器为例,对本申请实施例的跨网免认证通信的流程进行介绍,如图4所示,本申请实施例包括:
401、通信设备通过第二通道向第一服务器发送第二消息。
其中,第二消息携带通信设备的第三认证信息,该第二消息用于访问第二服务器。第三认证信息也可称作客户端证书、签名信息或签约信息等,本申请实施例不对此作限定。第三认证信息为通信设备的认证信息,例如,通信设备为企业A的局域网1中的授权客户端,那么,该第三认证信息为客户端证书。处于第一类网络环境的通信设备在通过第一服务器向处于第二类网络环境中的第二服务器发送第二消息过程中,登录通信设备的用户无需输入账号和密码。
在本申请实施例中,由于通信设备可能先后访问过一个或至少两个第二服务器,即通信设备先后访问过一个或至少两个业务服务。那么,当通信设备有访问需求时,通信设备可根据访问需求选择第二通道,例如当前访问需求为业务服务1,那么就可以选择提供该业务服务1的第二通道,该第二通道为通信设备与第一服务器互相通过认证的通道。第一服务器仅面向通信设备暴露第二通道,第一服务器与至少一个中继设备之间的第一通道不向通信设备暴露。
一些实施方式中,该第三认证信息由中继设备生成和分发,因此,第三认证信息还可具备授权范围,该授权范围包括访问时段、访问次数、访问权限等信息,本申请实施例不对此作限定。另一些实施方式中,第三认证信息还可包括用户状态信息,该用户状态信息可报考用户是否处于在职状态、停职状态或离职状态中的至少一种。当第三认证信息中包括用户状态信息时,第一服务器还可判断该第三认证信息对应的用户是否为合法用户(即合法访问第二服务器的业务服务的用户),若否,则可以确定该用户验证不通过。
该第二通道为通信设备请求与中继设备对应的业务服务器(例如第二服务器)进行通信时的专用通道,第二通道也可称作第一隧道、第一链路、第一通信链路、第一传输路径等名称,本申请实施例不对此作限定,后文中的第一通道同理,不作赘述。
402、第一服务器从第二通道接收第二消息。
本申请实施例中,接收到第二消息时,第一服务器通过域名即可自动识别出该第二消息请求的属于哪个第二服务器提供的业务服务,然后选择对应的第二通道即可。由于第三认证信息中包括当前登录通信设备的用户的用户信息(例如用户账号),因此,第一服务器可以根据该第三认证信息确定第一通道,即确定与通信设备要访问的第二服务器处于同一第二类网络环境的中继设备。
本申请实施例中,第一服务器仅面向通信设备暴露第二通道,第一服务器与至少一个中继设备之间的第一通道不向通信设备暴露。
403、第一服务器根据所述第三认证信息确定第一通道,并根据第二认证信息对所述第三认证信息验证通过后,根据第二根证书验证所述第二认证信息。
其中,第二认证信息为与所述第一通道关联的中继设备的认证信息,该第二认证信息用于验证所述第三认证信息的签名信息。第一服务器根据第二认证信息对所述第三认证信息验证时,可通过验证第三认证信息的签名信息来对通信设备进行身份验证。
第二根证书是指未被签名的公钥证书或自签名的证书,第二根证书为验证中心预埋在该第一服务器的证书。第二根证书用于第一服务器对第二认证信息的签名信息进行验证。第二根证书包括第三认证信息对应的用户信息、该用户的公钥以及验证中心对该第二根证书中的信息的签名信息。
一些实施方式中,该第三认证信息由中继设备生成和分发,因此,第三认证信息还可具备授权范围,该授权范围包括访问时段、访问次数、访问权限等信息,本申请实施例不对此作限定。为便于对授权的至少一个通信设备进行高效的管理,例如,集中授权哪些用户可以访问第二服务器的业务服务,以及集中更新即集中控制企业的授权时长,中继设备还可设置所述第三认证信息的授权范围,以及更新所述第三认证信息的授权范围。
相应的,第一服务器根据第二认证信息对所述第三认证信息验证之前,还需要获取所述第三认证信息的授权范围,当确定所述第三认证信息的授权范围为有效时,所述第一服务器根据第二认证信息对所述第三认证信息验证。
第一服务器可从第三认证信息中的签名信息获取第三认证信息的授权范围,也可从第二认证信息中的签名信息中获取,也可直接从中继设备获取,还可从预先存储的第三认证信息与第二服务器的对应关系中获取。本申请实施例不对第一服务器获取第三认证信息的授权范围的方式作限定。
404、第一服务器对所述第二认证信息验证通过后,通过第一通道向所述第三认证信息对应的中继设备发送所述第二消息。
其中,中继设备是指局域网,例如一个内网环境或者一个企业,中继设备能够与多个通信设备通信,中继设备可基于中继设备的认证信息生成多个通信设备的认证信息(例如客户端的认证信息)。例如,对于一个企业而言,一个企业包括多个员工,每一个员工都配置一个客户端证书。可见,一方面中,通过将授权通信设备的认证信息的工作由内网中的中继设备自身完成,使得中继设备可以在允许范围内生成众多通信设备的认证信息;另一方面中,由中继设备控制各通信设备的认证信息的授权时长,以提高管理效率。
该第一通道为第一服务器与中继设备在为通信设备与业务服务器之间的通信交互时使用的专用通道。
在本申请实施例的一些实施例中,在通信设备与业务服务器之间进行通信交互时,第二消息通过第二通道发送到第一服务器,那么为保证该第二消息能够完整的送达业务服务器,以及保证业务服务器不暴露给在外网的第一服务器和通信设备,本申请实施例中,还提供一种下述流程来实现第二消息送达业务服务器,以及向通信设备返回响应的流程。具体来说,如图4所示,所述第一服务器通过第一通道向所述第三认证信息对应的中继设备发送所述第二消息之后,本申请实施例包括下述步骤405-步骤409:
405、中继设备通过第一通道,从第一服务器接收第二消息。
该第二消息携带通信设备的第三认证信息。
由于该第一通道为第一服务器与中继设备之间专用于与第二服务器进行通信交互的通道,且在部署时中继设备与第一服务器之间已经互相通过认证,因此,中继设备在通过第一通道接收第一服务器转发的来自通信设备的第二消息时,能够在隔离通信设备与第二服务器的同时,还能保证第二消息能够准确的传输至与第二服务器同处于第二类网络环境中的中继设备,从而保证通信设备与第二服务器之间的通信交互。
406、中继设备对所述第三认证信息验证通过后,向第二服务器发送所述第二消息。
该第二服务器为业务服务器,即为通信设备提供业务服务的服务器,也就是处于内网中的服务器。
具体来说,中继设备可使用自身的第二认证信息验证第三认证信息中的签名信息。由中继设备再次认证第三认证信息,能够减少第一服务器被胁持或者第三认证信息被篡改的风险。
407、第二服务器向中继设备发送基于第二消息的第一响应。
其中,所述第一响应为所述中继设备对所述第三认证信息验证通过后由第二服务器返回的响应。例如,第二消息为通信设备向第二业务服务器发送的业务访问请求,由于第二服务器能够通过中继设备访问到该第一服务器,因此,当第二服务器对该第二消息做出响应操作后,即可通过中继设备将第一响应传输至第一服务器,这样处于共有云的第一服务器就能够向处于第一类网络环境中的通信设备转发第一响应。
408、第一服务器通过所述第一通道,从所述中继设备接收所述第一响应。
由于处于共有云的第一服务器与处于第二类网络环境的中继设备之间存在第一通道,即该第一通道为第一服务器与中继设备之间专用于与第二服务器进行通信交互的通道,且在部署时中继设备与第一服务器之间已经互相通过认证,因此,该第一服务器可通过该第一通道从中继设备接收来自第二业务服务器的第一响应,相应的,第一服务器在通过第一通道从中继设备接收来自第二服务器的第一响应时,能够在隔离通信设备与第二服务器的同时,还能保证第一响应能够准确的传输至处于第一类网络环境中的通信设备,从而保证通信设备与第二服务器之间的通信交互。也就是说,可见,第一响应从第二服务器传递至第一服务器的过程中,第一服务器都没有直接与第二服务器进行通信交互,因此,能够保证第二服务器的隐私和安全。
409、第一服务器通过所述第二通道,向所述通信设备发送所述第一响应。
由于处于共有云的第一服务器与处于第一类网络环境的通信设备之间存在第二通道,即第二通道为第一服务器与通信设备之间专用于访问第二服务器的通道,且在部署时通过认证,因此,该第一服务器可通过该第二通道向通信设备转发该来自第二业务服务器的第一响应,相应的,第二服务器在转发来自第二服务器的第一响应时,能够在隔离通信设备与第二服务器的同时,还能保证通信设备与第二服务器之间的通信交互。
相应的,通信设备通过所述第二通道,从所述第一服务器接收第一响应,至此便完成通信设备与第二服务器之间的一次数据交互。
与现有技术相比,本申请实施例中,从以下方面a-方面f来保证通信交互的安全性、效率等:
方面a:在通信设备与第一服务器之间,以及在第一服务器与中继设备之间,通过对称加密和非对称加密来共同实现密钥协商,在密钥协商时,通过非对称加密来保证数据传输安全,密钥协商完成后,则通过对称加密来完成对用户数据进行加密。
方面b:进行通信交互时,分三个阶段保障通信交互的安全性,分别是服务器和连接器创建安全隧道阶段、服务器和客户端创建安全隧道阶段、以及数据传输阶段。因此,不需要第二服务器所处的网络(例如内网)对通信设备所处的网络(例如外网)暴露第二服务器的业务服务、网络地址等隐私信息。
方面c:由于各通信设备的认证信息(例如第三认证信息)的授权和生成均由中继设备决定,因此,只要通信设备的认证信息在授权范围内,通信设备只需要在首次创建第二通道和第一通道时进行认证信息的输入以及验证,后续在授权范围内,通信设备与第二服务器之间的通信交互并不需要进行验证。因此,即便该通信设备在不同时间访问不同的第二服务器,该通信设备也无需在这些时间内来回切换,通信设备只需要向第一服务器发起访问请求(携带对应第二服务器的认证信息)即可,后面切换到哪个第二服务器的流程均由第一服务器去查询。因此,对于使用通信设备的用户而言,使用起来效率很高,且无需手动来回切换VPN连接,也无需记忆多个VPN的账号和密码,进而提高便利性和用户体验,也减少用户手动来回切换网络的时延。例如,客户端主要是给用户使用,在第一次登录的时候,用户需要输入账号密码,后续都是通过客户端证书认证,无需再输入账号和密码。因此,用户通过在客户端选择通道C1,点击连接通道C1,即可访问该通道C1的对应的内网环境。
方面d:由于第一服务器部署于共有云等环境,并作为关联第二通道和第一通道的中间设备,而第二通道是连接到处于第一类网络的通信设备,第一通道是连接到处于第二类网络的中继设备。因此,第一服务器能够脱离物理专线(例如现有技术中的VPN服务)的地理位置的限制,进而能够有效降低部署成本和维护成本。
方面e:由于第一服务器和中继设备去对接通信设备,因此,无需专门为每个第二服务器专门部署一套对应的独立代理,因此,能够进行集中管理,提高管理效率的同时还能节省部署成本。
方面f:由于第一服务器并不主动或直接去与中继设备或者第二服务器进行通信连接,而是由中继设备反向与第一服务器建立通信连接(即上述第一通道)。因此,第二服务器所处的网络不会有对通信设备所处的网络暴露的服务,对外暴露的仅为中继设备,即使遭受攻击也仅存在中继设备受到攻击,可见,一定程度上能够提高第二服务器的安全性和稳定性。
为便于理解,下面以企业A使用本申请实施例的通信系统对外网提供业务服务为例。如图5a所示,首先在共有云上部署第一服务器,启动第一服务器后监听两个端口:39001和39002。其中,39001是接收来自客户端的数据,39002接收来自中继设备(即连接器)的数据,这两个端口均并对外暴露,第一服务器的作用主要是关联第二通道和第一通道。将客户端时访问业务服务器的连接地址称作连接地址A。在客户端与第一服务器建立连接后,将客户端与第一服务器之间的连接关系称作连接关系B,由于客户端时访问业务服务器的连接地址A,因此,第一服务器会保存一组关系:iO.copy(A,B),便于后续客户端再次通过第一服务器访问连接地址为A的业务服务器时,快速的定位到与该连接地址A对应的连接关系B,这样就能将基于该连接关系B找到第一通道。同理,第一服务器也会保存第一服务器与连接器之间的连接关系C,以及保存另一组关系:iO.copy(B,C),便于后续转发客户端与业务服务器之间的数据。
为保证数据和端的安全,本申请实施例提供四套证书来完整验证和加密,分别是连接器证书和私钥、服务器证书和私钥、客户端证书和私钥以及根证书和私钥。一些实施方式中,四套证书的部署图可参考图5b。一些实施方式中,连接器证书、服务器证书和客户端证书之间的一种关联关系示意图可参考图5c。本申请实施例中,客户端与第一服务器之间的相互认证可基于TLS协议,第一服务器与中继设备之间的相互认证也可基于TLS协议。基于第二通道和第一通道传输的数据均可基于TLS协议进行加密。
下面分别介绍各套证书的部署流程:
一、在第一服务器预配置连接器证书,以及建立第一通道。
当企业A要使用上述通信系统时,如图5c所示,通信系统生成一个连接器证书和密钥,并用根证书进行签名,该连接器证书包含了该企业A的信息,例如企业标识和证书有效期等。企业客户在内网环境部署连接器,并且预埋了连接器证书和根证书。连接器连接服务器端的39002端口经过一系列认证,如图5c所示,第一服务器与中继设备之间通过TCP协议握手和TLS协议握手以后,即创建了第一通道。第一服务器维护该第一通道,并且记录该第一通道的信息。例如,记录该第一通道属于哪个连接器、企业标识等信息,也可以对第一通道与连接器、企业标识进行关联存储,例如以对应关系的形式存储。至此便完成整个通信系统的准备工作。
图5c中,每一个客户端或者每一个员工都有自己的证书,该证书代表着该员工的身份。员工在第一次登录时,用户需要输入一次账号密码来激活本地客户端,后续的都不需要输入账号密码,通过本地的客户端证书进行认证;认证流程见“保证端的可信认”的说明。客户端证书里有员工的信息,证书的Common Name记录了员工的账号。在可信认认证过程中,服务器端拿到该员工的证书的信息,判断员工状态,如在职还是离职等,根据判断策略来确实该员工是否允许访问。
二、在客户端预配置连接器证书,以及建立第二通道。
当该企业A的用户需要访问该企业A的内网中的某项业务A时,如图5d所示,企业管理员可在后台生成新的客户端证书和密钥,该客户端证书包含了该用户的信息,如账号等,并用连接器证书进行签名。用户拿到客户端证书和密钥,在客户端配置该连接器证书,另外客户端自身已经预埋了根证书。
如图5d所示,启动客户端,如果用户第一次在此客户端使用,则需要输入账号和密码,或者输入其他验证方式出发激活操作,激活成功后,该用户用此客户端访问均不需要再重新登录。该用户登录成功后,客户端即可连接第一服务器的39001端口,客户端与第一服务器之间经过TCP协议握手和TLS协议握手(如图6)后,以及第一服务器验证了从客户端证书获得用户信息对应的用户状态(如在职离职等信息),并创建该客户端与第一服务器之间的第二通道。
三、关联第二通道和第一通道
在完成第二通道和第一通道的建立后,第一服务器可根据客户端信息和连接器信息,关联第二通道和第一通道。这时完成整个通信系统的通道创建流程。
因此,内网的连接器和外网的用户客户端之间通过TLS协议进行双向认证,以创建两条加密通道(即第二通道和第一通道),这样,处于公有云上的第一服务器就可以基于这两条加密通道(即第二通道和第一通道)转发客户端和连接器的数据,最终由连接器将数据转发给内网的业务服务器(例如第一业务服务器),完成数据通信。具体来说,当该企业A的用户需要访问该企业A的内网中的某项业务A时,通过协商好的对称加密密钥对用户数据进行加密,用户数据通过第二通道和第一通道传输至连接器后,连接器对用户数据进行解密,然后连接器将解密得到的明文数据转发给业务服务器。
图6为客户端访问企业A的通信系统时的数据传输流程示意图,能够看出该通信系统通过TLS双向认证,并建立加密通道A1和加密通道A2。这样,客户端通过加密通道A2向第一服务器发起内网业务(携带客户端证书)时,第一服务器通过加密通道A1向连接器请求内网业务,连接器将用户数据进行解密为明文数据,然后向业务服务器发起内网业务,等待业务服务器基于该内网业务返回的数据。由此可见,整个内网业务处理过程中,处于内网的业务服务器至始至终都没有向客户端暴露业务服务器的信息,因此,采用本方案,能够同时保证端的可信任,保证数据传输的安全性,保证内网服务不暴露。此外,客户端发起内网业务时,只需要通过加密通道A2向第一服务器发送客户端证书,无需输入账号和密码,因此,能够实现客户端免认证通信的目的。
四、通过验证身份以保证端到端之间的信任
由于客户端、第一服务器、连接器都预埋了各自的证书和密钥,代表着各自的身份。因此,为保证端到端之间的信任,还需要对各自进行身份验证,具体来说:
当连接器要连接第一服务器时,第一服务器会把自己的服务器证书出示给连接器,连接器用预埋的根证书对该身份证进行核对,核对成功说明连接的服务器是合法服务。验证服务器身份完成后,服务器要求连接器出示连接器证书,连接器出示连接器证书,服务器端也用预埋的根证书对连接器出示的连接器证书进行核对,若确认身份合法,则同意后续的操作,如果非法身份则断开连接,拒绝后续操作。
客户端连接服务器时的流程与连接器连接服务器的流程基本一致,不作赘述。由于因为服务器证书和连接器证书都是通过根证书签名,因此,连接器和服务器互认的时都是通过根证书来验证。如图6所示,所以使用根证书来验证连接器证书中的签名信息。而客户端的证书是通过连接器证书进行的签名,服务器端在验证客户端证书的时候,首先用连接器证书验证客户端证书的签名,如果验证通过,则再次用根证书来验证连接器证书的签名(连接器证书过期也会验证失败),两次验证都通过了,则允许后续操作。任意一次验证失败,则拒绝访问。如上的流程完成验证了三个端之间的信任关系。
现有技术中,如果业务A要被外网的用户访问到,一般需要对外暴露服务。但是随着网络的复杂化,很多网络环境并不能直接对外提供服务。本方案设计之初就是为了不对外直接暴露业务服务。如图6中服务器和连接器之间创建第一通道的阶段所示,有一个细节,服务器并不是直接去连连接器或者业务服务器,而是连接器反向连接服务器。这样做的好处是,私有云或者私有网络不会有对外暴露的服务,对外暴露的只是该中继设备,即使遭受攻击也是第一服务器和中继设备受到攻击。私有网络只需要能够访问共有云的第一服务器。当连接器连接第一服务器完成后,则创建了具备安全性、且加密的第一通道,因此,当第一服务器收到客户端的访问请求时,第一服务器通过识别访问请求中的域名信息即可自动识别该访问请求是属于哪个企业的服务,然后选择对应的第一通道,将来自该客户端的数据通过该第一通道转发给企业内网的连接器,连接器再转发给对应的业务服务器,劲儿完成客户端与业务服务器之间的通信。
可见,本申请实施例通过第二通道、第一通道连通内网与外网之间的通信,一方面中,通过TLS协议加密流经第二通道、第一通道的数据,进而保证数据在第二通道、第一通道中的安全传输。另一方面,端也是通过TLS协议双向认证,保证了端的安全;并且使用成本很低,不像物理专线需要支付高额的费用;降低的用户的使用成本,比VPN更安全。
图1至图6中任一项所对应的实施例中所提及的任一技术特征也同样适用于本申请实施例中的图7至图12所对应的实施例,后续类似之处不再赘述。
以上对本申请实施例中一种跨网配置通道的方法进行说明,以下对执行上述跨网配置通道的方法的服务器、中继设备以及通信设备分别进行介绍。
一、参阅图7,如图7所示的一种服务器70的结构示意图,其可应用于对接通信设备与第二服务器之间的数据通信,该服务器70可部署于公有云、隔离区等网络环境。本申请实施例中的服务器70能够实现对应于上述图1-6所对应的实施例中第一服务器所执行的跨网配置通道的方法的步骤。服务器70实现的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。所述服务器70可包括处理模块701和收发模块702,所述处理模块、所述收发模块的功能实现可参考图1-6所对应的实施例中所执行接收第二消息、发送第二消息、第一认证信息等操作,此处不作赘述。例如,所述处理模块可用于控制所述收发模块的收发操作。
一些实施方式中,所述收发模块702可用于从中继设备接收第一连接请求,向所述中继设备发送第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
所述收发模块702还用于在确定所述中继设备根据预置的第一根证书对所述第一认证信息验证通过后,所述第一服务器向所述中继设备发送第一消息,所述第一消息用于获取所述中继设备的第二认证信息;
所述处理模块701,可用于根据预置的第二根证书验证所述第二认证信息通过后,控制所述第一服务器与所述中继设备之间建立第一通道;
所述收发模块702还用于从通信设备接收第二连接请求,向所述通信设备发送所述第一认证信息;所述通信设备与所述中继设备处于不同网络环境;
所述处理模块701还用于在通过所述收发模块702从所述通信设备接收第三认证信息,根据中继设备的第二认证信息验证所述第三认证信息通过后,控制所述第一服务器与所述通信设备之间建立第二通道;
所述处理模块701还用于建立所述第一通道与所述第二通道之间的关联关系。
一些实施方式中,所述收发模块702还可用于从第二通道接收通信设备发送的第二消息,所述第二消息携带所述通信设备的第三认证信息,其中,所述第二消息用于访问第二服务器;所述通信设备与所述第二服务器处于不同网络环境;
所述处理模块701还可用于根据所述第三认证信息确定第一通道,并根据第二认证信息对所述收发模块接收的所述第三认证信息验证通过后,根据第二根证书验证所述第二认证信息;所述第二认证信息为与所述第一通道关联的中继设备的认证信息;
所述收发模块702还用于在所述处理模块对所述第三认证信息验证通过后,通过第一通道,向所述第三认证信息对应的中继设备发送所述第二消息。
一些实施方式中,所述收发模块702通过第一通道向所述中继设备发送所述第二消息之后,还用于:
通过所述第一通道,从所述中继设备接收第一响应,所述第一响应为所述中继设备对所述第三认证信息验证通过后由第二服务器返回的响应;
通过所述第二通道,向所述通信设备发送所述第一响应。
一些实施方式中,所述收发模块702具体用于:
向所述通信设备发送第一加密策略;
从所述通信设备接收第一协议密钥,所述第一协议密钥为所述通信设备基于所述第一加密策略生成,所述第一协议密钥用于加密所述通信设备与所述第一服务器之间传输的数据。
一些实施方式中,所述收发模块702具体用于:
向所述中继设备发送第二加密策略;
从所述中继设备接收第二协议密钥,所述第二协议密钥为所述中继设备基于所述第二加密策略生成,所述第二协议密钥用于加密所述中继设备与所述第一服务器之间传输的数据。
一些实施方式中,所述处理模块701根据第二认证信息对所述第三认证信息验证之前,还用于:
获取所述第三认证信息的授权范围;
当确定所述第三认证信息的授权范围为有效时,根据第二认证信息对所述第三认证信息验证。
二、参阅图8,如图8所示的一种中继设备80的结构示意图,其可应用于对接第一服务器与第二服务器之间的数据通信。本申请实施例中的中继设备80能够实现对应于上述图1-6所对应的实施例中中继设备所执行的跨网配置通道的方法的步骤。中继设备80实现的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。所述中继设备80可包括处理模块801和收发模块802,所述处理模块801、所述收发模块802的功能实现可参考图1-6所对应的实施例中所执行接收第二消息、第一响应、第一认证信息以及第二加密策略,发送第一连接请求、第二协议密钥等操作,此处不作赘述。例如,所述处理模块801可用于控制所述收发模块802的收发操作。
一些实施方式中,所述收发模块802可用于向第一服务器发送第一连接请求,从所述第一服务器接收第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
所述处理模块801可用于根据第一根证书对所述第一认证信息验证通过后,通过所述收发模块从所述第一服务器接收第一消息,所述第一消息用于获取所述中继设备的第二认证信息;通过所述收发模块向所述第一服务器发送所述第二认证信息,在确定所述第一服务器根据预置的第二根证书验证所述第二认证信息通过后,控制所述中继设备与所述第一服务器之间建立第一通道。
一些实施方式中,所述收发模块802还可用于通过第一通道,从第一服务器接收第二消息,所述第二消息携带所述通信设备的第三认证信息,其中,所述第二消息用于访问第二服务器;所述通信设备与所述第二服务器处于不同网络环境;
所述处理模块801还可用于对所述第三认证信息验证通过后,向第二服务器发送所述第二消息;
所述收发模块802还用于接收所述第二服务器基于所述第二消息的第一响应,并通过所述第一通道向所述第一服务器发送所述第一响应。
一些实施方式中,所述处理模块801在实施中继设备与所述第一服务器之间建立所述第一通道之后,还用于:
通过所述收发模块802从所述第一服务器接收第二加密策略,基于所述第二加密策略生成第二协议密钥,所述第二协议密钥用于加密所述中继设备与所述第一服务器之间传输的数据;
通过所述收发模块802向所述第一服务器发送所述第二协议密钥。
一些实施方式中,所述处理模块801还用于:
设置所述第三认证信息的授权范围。
一些实施方式中,所述处理模块801还用于:
更新所述第三认证信息的授权范围。
三、参阅图9,如图9所示的一种通信设备90的结构示意图,其可应用于云技术,该通信设备处于第一类网络,能够通过第一服务器和中继设备访问第二类网络中的业务服务器。本申请实施例中的通信设备90能够实现对应于上述图1-图6任一所对应的实施例中中继设备所执行的跨网配置通道的方法的步骤。通信设备90实现的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。所述通信设备90可包括处理模块901和收发模块902,所述处理模块901、所述收发模块902的功能实现可参考图1-图6任一所对应的实施例中所执行发送第二消息、第二连接请求、第一协议密钥和第一认证信息,以及接收第一响应、第三认证信息以及第二加密策略,发送第一连接请求、第一加密策略等操作,此处不作赘述。例如,所述处理模块901可用于建立第二通道,以及控制所述收发模块902的收发操作。
一些实施方式中,所述收发模块902可用于向所述第一服务器发送第二连接请求,所述第二连接请求用于请求访问所述第二服务器;
说是处理模块901可用于通过所述收发模块902从所述第一服务器接收第一认证信息后,根据所述第一认证信息验证所述第一服务器的合法身份;通过所述收发模块902向所述第一服务器发送第三认证信息,在所述第一服务器根据所述第二认证信息验证所述第三认证信息通过后,控制通信设备与所述第一服务器之间建立所述第二通道。
一些实施方式中,所述收发模块902还可用于通过第二通道向第一服务器发送第二消息,所述第二消息携带所述通信设备的第三认证信息,其中,所述第二消息用于访问第二服务器;所述通信设备与所述第二服务器处于不同网络环境;
以及用于从所述第二通道接收第一响应,所述第一响应由所述第一服务器通过第一通道从所述中继设备获取,所述第一响应来自第二服务器基于所述第二消息生成。
一种可能的设计中,所述收发模块902具体用于:
从所述第一服务器接收第一加密策略,基于所述第一加密策略生成第一协议密钥;
向所述第一服务器发送所述第一协议密钥,所述第一协议密钥用于加密所述通信设备与所述第一服务器之间传输的数据。
上面从模块化功能实体的角度对本申请实施例中的服务器、中继设备以及通信设备分别进行了描述,下面从硬件处理的角度分别对本申请实施例中的执行跨网配置通道的方法的通信装置(例如包括、中继设备以及通信设备)进行描述。需要说明的是,在本申请实施例图7-图9中任一所对应的实施例中所有的收发模块对应的实体设备可以为输入/输出单元、收发器、射频电路、通信模块和输出接口等,所有的处理模块对应的实体设备可以为处理器。
当图7所示的服务器70具有如图10所示的结构时,图10中的处理器和收发器能够实现前述对应该服务器70的装置实施例提供的处理模块701、收发模块702相同或相似的功能,图10中的存储器存储处理器执行上述跨网配置通道的方法时需要调用的计算机程序。
当图8所示的中继设备80具有如图10所示的结构时,图10中的处理器和收发器能够实现前述对应该中继设备80的装置实施例提供的处理模块801、收发模块802相同或相似的功能,图10中的存储器存储处理器执行上述跨网配置通道的方法时需要调用的计算机程序。
当图9所示的通信设备90具有如图10所示的结构时,图10中的处理器和收发器能够实现前述对应该通信设备90的装置实施例提供的处理模块901和收发模块902相同或相似的功能,图10中的存储器存储处理器执行上述跨网配置通道的方法时需要调用的计算机程序。
图11是本申请实施例提供的一种通信装置1020(包括第一服务器、中继设备,也可包括通信设备)结构示意图,该通信装置1020可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(英文全称:central processing units,英文简称:CPU)1022(例如,一个或一个以上处理器)和存储器1032,一个或一个以上存储应用程序1042或数据1044的存储介质1030(例如一个或一个以上海量存储设备)。其中,存储器1032和存储介质1030可以是短暂存储或持久存储。存储在存储介质1030的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1022可以设置为与存储介质1030通信,在服务器1020上执行存储介质1030中的一系列指令操作。
通信设备1020还可以包括一个或一个以上电源1026,一个或一个以上有线或无线网络接口1050,一个或一个以上输入输出接口1058,和/或,一个或一个以上操作系统1041,例如Windows Server,Mac OS X,Unix, Linux,FreeBSD等等。
上述实施例中由第一服务器或中继设备所执行的步骤均可以基于该图10所示的通信装置1020的结构。例如,上述实施例中由图7所示的服务器70所执行的步骤可以基于该图10所示的通信装置1020结构。例如,所述处理器1022通过调用存储器1032中的指令,执行以下操作:
通过有线或无线网络接口1050从第二通道接收通信设备发送的第二消息,所述第二消息携带所述通信设备的第三认证信息,其中,所述第二消息用于访问第二服务器;所述通信设备与所述第二服务器处于不同网络环境;
根据所述第三认证信息确定第一通道,并根据第二认证信息对所述收发模块接收的所述第三认证信息验证通过后,根据第二根证书验证所述第二认证信息;所述第二认证信息为与所述第一通道关联的中继设备的认证信息;
在对所述第二认证信息验证通过后,控制有线或无线网络接口1050通过第一通道,向所述第三认证信息对应的中继设备发送所述第二消息。
又例如,上述实施例中由图8所示的中继设备80所执行的步骤可以基于该图10所示的通信装置1020结构。例如,所述处理器1022通过调用存储器1032中的指令,执行以下操作:
控制有线或无线网络接口1050通过第一通道,从第一服务器接收第二消息,所述第二消息携带所述通信设备的第三认证信息;
对所述第三认证信息验证通过后,向第二服务器发送所述第二消息;
通过有线或无线网络接口1050接收所述第二服务器基于所述第二消息的第一响应,并控制有线或无线网络接口1050通过所述第一通道向所述第一服务器发送所述第一响应。
本申请实施例还提供了另一种通信设备,如图12所示,为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示的,请参照本申请实施例方法部分。该终端设备可以为包括手机、平板电脑、个人数字助理(英文全称:Personal Digital Assistant,英文简称:PDA)、销售终端(英文全称:Point of Sales,英文简称:POS)、车载电脑等任意终端设备,以终端为手机为例:
图12示出的是与本申请实施例提供的终端设备相关的手机的部分结构的框图。参考图12,手机包括:射频(英文全称:Radio Frequency,英文简称:RF)电路119、存储器1120、输入单元1130、显示单元1140、传感器1150、音频电路1160、无线保真(英文全称:wirelessfidelity,英文简称:Wi-Fi)模块1170、处理器1180、以及电源1190等部件。本领域技术人员可以理解,图11中示出的手机结构并不构成对手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图12对手机的各个构成部件进行具体的介绍:
RF电路119可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器1180处理;另外,将设计上行的数据发送给基站。通常,RF电路119包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(英文全称:Low NoiseAmplifier,英文简称:LNA)、双工器等。此外,RF电路119还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(英文全称:Global System of Mobile communication,英文简称:GSM)、通用分组无线服务(英文全称:General Packet Radio Service,英文简称:GPRS)、码分多址(英文全称:Code Division Multiple Access,英文简称:CDMA)、宽带码分多址(英文全称:WidebandCode Division Multiple Access, 英文简称:WCDMA)、长期演进(英文全称:Long TermEvolution,英文简称:LTE)、电子邮件、短消息服务(英文全称:Short Messaging Service,英文简称:SMS)等。
存储器1120可用于存储软件程序以及模块,处理器1180通过运行存储在存储器1120的软件程序以及模块,从而执行手机的各种功能应用以及数据处理。存储器1120可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器1120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元1130可用于接收输入的数字或字符信息,以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地,输入单元1130可包括触控面板1131以及其他输入设备1132。触控面板1131,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1131上或在触控面板1131附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板1131可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器1180,并能接收处理器1180发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1131。除了触控面板1131,输入单元1130还可以包括其他输入设备1132。具体地,其他输入设备1132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元1140可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元1140可包括显示面板1141,可选的,可以采用液晶显示器(英文全称:Liquid Crystal Display,英文简称:LCD)、有机发光二极管(英文全称:Organic Light-Emitting Diode, 英文简称:OLED)等形式来配置显示面板1141。进一步的,触控面板1131可覆盖显示面板1141,当触控面板1131检测到在其上或附近的触摸操作后,传送给处理器1180以确定触摸事件的类型,随后处理器1180根据触摸事件的类型在显示面板1141上提供相应的视觉输出。虽然在图9中,触控面板1131与显示面板1141是作为两个独立的部件来实现手机的输入和输入功能,但是在某些实施例中,可以将触控面板1131与显示面板1141集成而实现手机的输入和输出功能。
手机还可包括至少一种传感器1150,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1141的亮度,接近传感器可在手机移动到耳边时,关闭显示面板1141和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等; 至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路1160、扬声器1161,传声器1162可提供用户与手机之间的音频接口。音频电路1160可将接收到的音频数据转换后的电信号,传输到扬声器1161,由扬声器1161转换为声音信号输出;另一方面,传声器1162将收集的声音信号转换为电信号,由音频电路1160接收后转换为音频数据,再将音频数据输出处理器1180处理后,经RF电路119以发送给比如另一手机,或者将音频数据输出至存储器1120以便进一步处理。
Wi-Fi属于短距离无线传输技术,手机通过Wi-Fi模块1170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图12示出了Wi-Fi模块1170,但是可以理解的是,其并不属于手机的必须构成,完全可以根据需要在不改变申请的本质的范围内而省略。
处理器1180是手机的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器1120内的软件程序和/或模块,以及调用存储在存储器1120内的数据,执行手机的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器1180可包括一个或多个处理单元;优选的,处理器1180可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1180中。
手机还包括给各个部件供电的电源1190(比如电池),优选的,电源可以通过电源管理系统与处理器1180逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,手机还可以包括摄像头、蓝牙模块等,在此不再赘述。
在本申请实施例中,该手机所包括的处理器1180还具有控制由通信设备90中各模块的所执行的步骤的功能。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请实施例各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上对本申请实施例所提供的技术方案进行了详细介绍,本申请实施例中应用了具体个例对本申请实施例的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请实施例的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请实施例的限制。
Claims (13)
1.一种跨网配置通道的方法,其特征在于,所述方法包括:
第一服务器从中继设备接收第一连接请求,向所述中继设备发送第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
在确定所述中继设备根据预置的第一根证书对所述第一认证信息验证通过后,所述第一服务器向所述中继设备发送第一消息,所述第一消息用于获取所述中继设备的第二认证信息;
所述第一服务器根据预置的第二根证书对从所述中继设备接收的所述第二认证信息验证通过后,与所述中继设备之间建立第一通道;
所述第一服务器从通信设备接收第二连接请求,向所述通信设备发送所述第一认证信息;所述通信设备与所述中继设备处于不同网络环境;
所述第一服务器从所述通信设备接收第三认证信息,根据中继设备的第二认证信息验证所述第三认证信息通过后,与所述通信设备之间建立第二通道;
所述第一服务器建立所述第一通道与所述第二通道之间的关联关系。
2.根据权利要求1所述的方法,其特征在于,所述建立所述第一通道与所述第二通道之间的关联关系之后,所述方法还包括:
所述第一服务器从所述第二通道接收通信设备发送的第二消息,所述第二消息携带所述第三认证信息,其中,所述第二消息用于访问第二服务器;
所述第一服务器根据所述第三认证信息确定第一通道,并根据第二认证信息对所述第三认证信息验证通过后,根据第二根证书验证所述第二认证信息;所述第二认证信息为与所述第一通道关联的中继设备的认证信息;
对所述第二认证信息验证通过后,所述第一服务器通过所述第一通道向所述中继设备发送所述第二消息。
3.根据权利要求2所述的方法,其特征在于,所述第一服务器通过所述第一通道向所述中继设备发送所述第二消息之后,所述方法还包括:
所述第一服务器通过所述第一通道,从所述中继设备接收第一响应,所述第一响应为所述中继设备对所述第三认证信息验证通过后由第二服务器返回的响应;
所述第一服务器通过所述第二通道,向所述通信设备发送所述第一响应。
4.根据权利要求3所述的方法,其特征在于,所述第二消息还携带域名信息,所述第一服务器从第二通道接收通信设备发送的第二消息之后,所述通过所述第一通道向所述中继设备发送所述第二消息之前,所述方法还包括:
根据所述域名信息确定所述通信设备对应的第二服务器;
根据所述第二服务器与中继设备之间的对应关系,确定所述中继设备为所述第三认证信息对应的中继设备。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述与所述通信设备之间建立所述第二通道,包括:
所述第一服务器向所述通信设备发送第一加密策略;
所述第一服务器从所述通信设备接收第一协议密钥,所述第一协议密钥为所述通信设备基于所述第一加密策略生成,所述第一协议密钥用于加密所述通信设备与所述第一服务器之间传输的数据。
6.根据权利要求1-4中任一项所述的方法,其特征在于,所述与所述中继设备之间建立所述第一通道,包括:
所述第一服务器向所述中继设备发送第二加密策略;
所述第一服务器从所述中继设备接收第二协议密钥,所述第二协议密钥为所述中继设备基于所述第二加密策略生成,所述第二协议密钥用于加密所述中继设备与所述第一服务器之间传输的数据。
7.一种跨网配置通道的方法,其特征在于,所述方法包括:
中继设备向第一服务器发送第一连接请求,从所述第一服务器接收第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
所述中继设备根据预置的第一根证书对所述第一认证信息验证通过后,从所述第一服务器接收第一消息,所述第一消息用于获取所述中继设备的第二认证信息;
所述中继设备向所述第一服务器发送所述第二认证信息;
在确定所述第一服务器根据预置的第二根证书验证所述第二认证信息通过后,所述中继设备与所述第一服务器之间建立第一通道。
8.根据权利要求7所述的方法,其特征在于,所述中继设备与所述第一服务器之间建立所述第一通道之后,所述方法还包括:
所述中继设备通过第二通道,从所述第一服务器接收来自通信设备的第二消息,所述第二消息携带第一认证信息,所述第二消息用于访问第二服务器;其中,所述通信设备与所述中继设备处于不同网络环境;
所述中继设备对所述第一认证信息验证通过后,向所述第二服务器发送所述第二消息;
所述中继设备接收所述第二服务器基于所述第二消息的第一响应,并通过所述第二通道向所述第一服务器发送所述第一响应。
9.根据权利要求7或8所述的方法,其特征在于,所述中继设备与所述第一服务器之间建立所述第一通道之后,所述方法还包括:
所述中继设备从所述第一服务器接收第二加密策略,基于所述第二加密策略生成第二协议密钥,所述第二协议密钥用于加密所述中继设备与所述第一服务器之间传输的数据;
所述中继设备向所述第一服务器发送所述第二协议密钥。
10.一种跨网通道配置装置,其特征在于,所述第一服务器包括:
收发模块,用于从中继设备接收第一连接请求,向所述中继设备发送第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证第一服务器的合法身份;
所述收发模块还用于在确定所述中继设备根据预置的第一根证书对所述第一认证信息验证通过后,所述第一服务器向所述中继设备发送第一消息,所述第一消息用于获取所述中继设备的第二认证信息;
处理模块,用于根据预置的第二根证书验证所述第二认证信息通过后,控制所述第一服务器与所述中继设备之间建立第一通道;
所述收发模块还用于从通信设备接收第二连接请求,向所述通信设备发送所述第一认证信息;所述通信设备与所述中继设备处于不同网络环境;
所述处理模块还用于在通过所述收发模块从所述通信设备接收第三认证信息,根据中继设备的第二认证信息验证所述第三认证信息通过后,控制所述第一服务器与所述通信设备之间建立第二通道;
所述处理模块还用于建立所述第一通道与所述第二通道之间的关联关系。
11.一种中继设备,其特征在于,所述中继设备包括:
收发模块,用于向第一服务器发送第一连接请求,从所述第一服务器接收第一认证信息;所述第一连接请求用于请求与所述第一服务器建立通信连接;所述第一认证信息用于验证所述第一服务器的合法身份;
处理模块,用于根据第一根证书对所述第一认证信息验证通过后,通过所述收发模块从所述第一服务器接收第一消息,所述第一消息用于获取所述中继设备的第二认证信息;在确定所述第一服务器根据预置的第二根证书验证所述第二认证信息通过后,控制所述中继设备与所述第一服务器之间建立第一通道。
12.一种通信装置,其特征在于,所述通信装置包括:
至少一个处理器、存储器和收发器;
其中,所述存储器用于存储计算机程序,所述处理器用于调用所述存储器中存储的计算机程序来执行如权利要求1-6中任一项由第一服务器执行的方法,或者执行如权利要求7-9中任一项由中继设备执行的方法。
13.一种计算机可读存储介质,其特征在于,其包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-6中任一项由第一服务器执行的方法,或者执行如权利要求7-9中任一项由中继设备执行的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010918604.XA CN111818100B (zh) | 2020-09-04 | 2020-09-04 | 一种跨网配置通道的方法、相关设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010918604.XA CN111818100B (zh) | 2020-09-04 | 2020-09-04 | 一种跨网配置通道的方法、相关设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111818100A true CN111818100A (zh) | 2020-10-23 |
| CN111818100B CN111818100B (zh) | 2021-02-02 |
Family
ID=72860651
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010918604.XA Active CN111818100B (zh) | 2020-09-04 | 2020-09-04 | 一种跨网配置通道的方法、相关设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111818100B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637154A (zh) * | 2020-12-09 | 2021-04-09 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
| CN112738103A (zh) * | 2020-12-29 | 2021-04-30 | 北京深思数盾科技股份有限公司 | 信息校验方法、装置及电子设备 |
| CN112769675A (zh) * | 2020-12-31 | 2021-05-07 | 北京金色大数据有限公司 | 一种提升实时消息通讯速度的方法和系统 |
| CN112866351A (zh) * | 2020-12-31 | 2021-05-28 | 成都佳华物链云科技有限公司 | 数据交互方法、装置、服务器及存储介质 |
| CN113179381A (zh) * | 2021-03-22 | 2021-07-27 | 北京金茂绿建科技有限公司 | 一种通话方法及中继器 |
| US20220021522A1 (en) * | 2020-07-20 | 2022-01-20 | Fujitsu Limited | Storage medium, relay device, and communication method |
| CN114765627A (zh) * | 2021-01-14 | 2022-07-19 | 京东科技控股股份有限公司 | 数据传输方法、设备、存储介质及计算机程序产品 |
| CN114826754A (zh) * | 2022-05-06 | 2022-07-29 | 中国光大银行股份有限公司 | 一种不同网络间的通信方法及系统、存储介质、电子装置 |
| CN115941766A (zh) * | 2022-11-22 | 2023-04-07 | 京东科技信息技术有限公司 | 一种运维数据的处理方法和装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102946398A (zh) * | 2012-11-26 | 2013-02-27 | 国网信息通信有限公司 | 一种双网隔离环境下的数字证书系统 |
| US20140237585A1 (en) * | 2013-02-19 | 2014-08-21 | Cisco Technology, Inc. | Use of Virtual Network Interfaces and a Websocket Based Transport Mechanism to Realize Secure Node-to-Site and Site-to-Site Virtual Private Network Solutions |
| CN105162787A (zh) * | 2015-09-17 | 2015-12-16 | 深圳市深信服电子科技有限公司 | 外网终端访问厂商设备或内网终端的方法和装置 |
| CN106790194A (zh) * | 2016-12-30 | 2017-05-31 | 中国银联股份有限公司 | 一种基于ssl协议的访问控制方法及装置 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| CN108768979A (zh) * | 2018-05-17 | 2018-11-06 | 网宿科技股份有限公司 | 企业内网访问的方法、用于企业内网访问的装置及其系统 |
| CN110278192A (zh) * | 2019-05-20 | 2019-09-24 | 平安科技(深圳)有限公司 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
| CN110572265A (zh) * | 2019-10-24 | 2019-12-13 | 国网山东省电力公司信息通信公司 | 一种基于量子通信的终端安全接入网关方法、装置及系统 |
| CN110943913A (zh) * | 2019-07-31 | 2020-03-31 | 广东互动电子网络媒体有限公司 | 一种工业安全隔离网关 |
-
2020
- 2020-09-04 CN CN202010918604.XA patent/CN111818100B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102946398A (zh) * | 2012-11-26 | 2013-02-27 | 国网信息通信有限公司 | 一种双网隔离环境下的数字证书系统 |
| US20140237585A1 (en) * | 2013-02-19 | 2014-08-21 | Cisco Technology, Inc. | Use of Virtual Network Interfaces and a Websocket Based Transport Mechanism to Realize Secure Node-to-Site and Site-to-Site Virtual Private Network Solutions |
| CN105162787A (zh) * | 2015-09-17 | 2015-12-16 | 深圳市深信服电子科技有限公司 | 外网终端访问厂商设备或内网终端的方法和装置 |
| CN106790194A (zh) * | 2016-12-30 | 2017-05-31 | 中国银联股份有限公司 | 一种基于ssl协议的访问控制方法及装置 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| CN108768979A (zh) * | 2018-05-17 | 2018-11-06 | 网宿科技股份有限公司 | 企业内网访问的方法、用于企业内网访问的装置及其系统 |
| CN110278192A (zh) * | 2019-05-20 | 2019-09-24 | 平安科技(深圳)有限公司 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
| CN110943913A (zh) * | 2019-07-31 | 2020-03-31 | 广东互动电子网络媒体有限公司 | 一种工业安全隔离网关 |
| CN110572265A (zh) * | 2019-10-24 | 2019-12-13 | 国网山东省电力公司信息通信公司 | 一种基于量子通信的终端安全接入网关方法、装置及系统 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220021522A1 (en) * | 2020-07-20 | 2022-01-20 | Fujitsu Limited | Storage medium, relay device, and communication method |
| CN112637154A (zh) * | 2020-12-09 | 2021-04-09 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
| CN112738103A (zh) * | 2020-12-29 | 2021-04-30 | 北京深思数盾科技股份有限公司 | 信息校验方法、装置及电子设备 |
| CN112738103B (zh) * | 2020-12-29 | 2022-03-22 | 北京深思数盾科技股份有限公司 | 信息校验方法、装置及电子设备 |
| CN112866351A (zh) * | 2020-12-31 | 2021-05-28 | 成都佳华物链云科技有限公司 | 数据交互方法、装置、服务器及存储介质 |
| CN112769675B (zh) * | 2020-12-31 | 2021-09-07 | 北京金色大数据有限公司 | 一种提升实时消息通讯速度的方法和系统 |
| CN112769675A (zh) * | 2020-12-31 | 2021-05-07 | 北京金色大数据有限公司 | 一种提升实时消息通讯速度的方法和系统 |
| CN112866351B (zh) * | 2020-12-31 | 2023-08-04 | 成都佳华物链云科技有限公司 | 数据交互方法、装置、服务器及存储介质 |
| CN114765627A (zh) * | 2021-01-14 | 2022-07-19 | 京东科技控股股份有限公司 | 数据传输方法、设备、存储介质及计算机程序产品 |
| CN113179381A (zh) * | 2021-03-22 | 2021-07-27 | 北京金茂绿建科技有限公司 | 一种通话方法及中继器 |
| CN113179381B (zh) * | 2021-03-22 | 2022-11-11 | 北京金茂人居环境科技有限公司 | 一种通话方法及中继器 |
| CN114826754A (zh) * | 2022-05-06 | 2022-07-29 | 中国光大银行股份有限公司 | 一种不同网络间的通信方法及系统、存储介质、电子装置 |
| CN114826754B (zh) * | 2022-05-06 | 2024-06-11 | 中国光大银行股份有限公司 | 一种不同网络间的通信方法及系统、存储介质、电子装置 |
| CN115941766A (zh) * | 2022-11-22 | 2023-04-07 | 京东科技信息技术有限公司 | 一种运维数据的处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111818100B (zh) | 2021-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111818100B (zh) | 一种跨网配置通道的方法、相关设备及存储介质 | |
| CN112733107B (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| US11456864B2 (en) | Information storage method, device, and computer-readable storage medium | |
| WO2021027554A1 (zh) | 信息共享方法、终端设备、存储介质及计算机程序产品 | |
| EP3605989B1 (en) | Information sending method, information receiving method, apparatus, and system | |
| JP6594449B2 (ja) | モバイルプラットフォーム用のマイクロvpnトンネリング | |
| KR102036758B1 (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
| US9300663B2 (en) | Communication session transfer between devices | |
| KR101839140B1 (ko) | 모바일 디바이스 관리 기능 제공 | |
| CN106663162B (zh) | 安全地将计算设备配对 | |
| JP6909863B2 (ja) | ピアツーピア通信に基づく仮想プライベート・ネットワーキング | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| EP3633954B1 (en) | Providing virtualized private network tunnels | |
| WO2018010146A1 (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| JP2018518738A (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| CN108881103B (zh) | 一种接入网络的方法及装置 | |
| WO2020164526A1 (zh) | 一种分布式系统中的节点控制方法和相关装置 | |
| US20160241544A1 (en) | User identity verification method and system, password protection apparatus and storage medium | |
| EP3005764A1 (en) | Systems and methods for enabling an application management service to remotely access enterprise application store | |
| JP2018525855A (ja) | 位置に基づくデバイスの有効化 | |
| EP2978192B1 (en) | Peer to peer remote control method between one or more mobile devices | |
| CN112425130A (zh) | 使用与装置相关联的身份数据来将通信引导至另一装置 | |
| CN115001841A (zh) | 一种身份认证方法、装置及存储介质 | |
| CN113037741A (zh) | 一种鉴权方法和相关装置 | |
| US9590974B2 (en) | Communication apparatus, communication system, and recording medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40030778 Country of ref document: HK |