CN112995158B - 通信方法、终端、服务器及通信系统 - Google Patents

通信方法、终端、服务器及通信系统 Download PDF

Info

Publication number
CN112995158B
CN112995158B CN202110177904.1A CN202110177904A CN112995158B CN 112995158 B CN112995158 B CN 112995158B CN 202110177904 A CN202110177904 A CN 202110177904A CN 112995158 B CN112995158 B CN 112995158B
Authority
CN
China
Prior art keywords
certificate
server
terminal
link
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110177904.1A
Other languages
English (en)
Other versions
CN112995158A (zh
Inventor
何伟明
廖敏飞
刘丽娟
成楚天
赖敷君
刘红波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Construction Bank Corp
Original Assignee
China Construction Bank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Construction Bank Corp filed Critical China Construction Bank Corp
Priority to CN202110177904.1A priority Critical patent/CN112995158B/zh
Publication of CN112995158A publication Critical patent/CN112995158A/zh
Application granted granted Critical
Publication of CN112995158B publication Critical patent/CN112995158B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种通信方法、终端、服务器及通信系统,该通信方法包括:在启动终端应用时,向服务器发送建立SSL链接请求;接收服务器针对建立SSL链接请求反馈的链接校验信息;利用终端本地的可信证书对服务器反馈的链接校验信息进行校验;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;在链接校验信息校验通过时发送校验通过的消息至服务器,建立终端应用与服务器的SSL链接通信。本发明可信证书为服务器对不同终端上送的证书进行孤点分析确定的,对于切换根证或签发新根证的情况自适应适配,能够提高证书校验的灵活性;利用从服务器同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。

Description

通信方法、终端、服务器及通信系统
技术领域
本发明涉及通信安全技术领域,尤其涉及通信方法、终端、服务器及通信系统。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
在终端与服务器建立链接的过程中,会遇到恶意分子通过架设特殊网络,利用中间人攻击的方式,截取和篡改通信报文,达到攻击通信系统的目的。目前,主要可以通过以下方式对中间人攻击进行识别和防护:
(1)进行root、模拟器、框架检测,部分特殊抓包工具需要进行hook操作,而这依赖于root及特殊框架,然而许多抓包工具不需要root或者安装框架,导致该检测及防护方法不够准确。
(2)进行代理检测,绝大部分的中间人攻击都是通过架设代理进行,拒绝代理可以很一定程度上解决该问题。但由于不是所有的中间人攻击都通过代理进行,同时普通用户也有正常使用需代理的求,故该方式会将正常使用需代理的用户拦截掉,导致该检测及防护方法依然不够准确。
(3)进行证书绑定,将根证书或者二级证书或者域名证书写死于客户端进行校验,拒绝非预埋的证书。然而,在发生证书/根证书变化的情况(域名证书一年一换,假如证书厂商变更则根证书也会变化),则预埋了证书的存量客户端将无法使用,导致该方案证书校验不够灵活。
因此,现有的中间人攻击检测及防护方法存在准确性低及证书校验灵活性差的问题。
发明内容
本发明实施例提供一种通信方法,应用于终端,用以避免中间人攻击及提高证书校验的灵活性,该通信方法包括:
在启动终端应用时,向服务器发送建立SSL链接请求;
接收服务器针对建立SSL链接请求反馈的链接校验信息;
利用终端本地的可信证书对服务器反馈的链接校验信息进行校验;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;所述服务器是通过以下方式对不同终端上送的证书进行孤点分析的:服务器接收不同终端上送的证书形成服务器端证书集合,利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;将可信证书下发至终端;
在链接校验信息校验通过时发送校验通过的消息至服务器,建立终端应用与服务器的SSL链接通信。
本发明实施例还提供一种终端,用以避免中间人攻击及提高证书校验的灵活性,该终端包括:
请求发送模块,用于在启动终端应用时,向服务器发送建立SSL链接请求;
校验信息接收模块,用于接收服务器针对建立SSL链接请求反馈的链接校验信息;
校验模块,用于利用终端本地的可信证书对服务器反馈的链接校验信息进行校验;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;所述服务器是通过以下方式对不同终端上送的证书进行孤点分析的:服务器接收不同终端上送的证书形成服务器端证书集合,利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;将可信证书下发至终端;
通信建立模块,用于在链接校验信息校验通过时,建立终端应用与服务器的SSL链接通信。
本发明实施例提供一种通信方法,应用于服务器,用以避免中间人攻击及提高证书校验的灵活性,该通信方法包括:
接收终端发送的建立SSL链接请求;
针对建立SSL链接请求反馈链接校验信息至终端;
接收终端发送的利用终端本地的可信证书对链接校验信息校验通过的消息,建立终端应用与服务器的SSL链接通信;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;
接收不同终端上送的证书形成服务器端证书集合;
利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;
将可信证书下发至终端。
本发明实施例还提供一种服务器,用以避免中间人攻击及提高证书校验的灵活性,该服务器包括:
请求接收模块,用于接收终端发送的建立SSL链接请求;
校验信息反馈模块,用于针对建立SSL链接请求反馈链接校验信息至终端;
链接建立模块,用于接收终端发送的利用终端本地的可信证书对链接校验信息校验通过的消息,建立终端应用与服务器的SSL链接通信;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;
证书接收模块,用于接收不同终端上送的证书形成服务器端证书集合;
证书标识模块,用于利用孤点分析确定服务器端证书集合中的可信证书和不可信证书;证书标识模块包括证书标识单元,用于利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;
可信证书下发模块,用于将可信证书下发至终端。
本发明实施例提供一种通信方法,用以避免中间人攻击及提高证书校验的灵活性,该通信方法包括:
终端在启动终端应用时,向服务器发送建立SSL链接请求;
服务器接收终端发送的建立SSL链接请求;
服务器针对建立SSL链接请求反馈链接校验信息至终端;
终端接收服务器针对建立SSL链接请求反馈的链接校验信息;
终端利用终端本地的可信证书对服务器反馈的链接校验信息进行校验;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;
终端在链接校验信息校验通过时发送校验通过的消息至服务器,建立终端应用与服务器的SSL链接通信;
所述服务器是通过以下方式对不同终端上送的证书进行孤点分析的:服务器接收不同终端上送的证书形成服务器端证书集合;利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;将可信证书下发至终端。
本发明实施例还提供一种通信系统,用以避免中间人攻击及提高证书校验的灵活性,该通信系统包括上述实施例所述的终端及上述实施例所述的服务器。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述通信方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述通信方法的计算机程序。
本发明实施例中,在终端应用与服务器建立SSL链接的过程中,服务器针对建立SSL链接请求反馈链接校验信息;服务器将对不同终端上送的证书进行孤点分析确定的可信证书同步至终端,终端利用从服务器同步的可信证书对服务器反馈的链接校验信息直接进行校验,在链接校验信息校验通过时建立终端应用与服务器的SSL链接通信。鉴于可信证书为服务器对不同终端上送的证书进行孤点分析确定的,对于终端切换根证或者签发新根证的情况可以自适应适配,无需事前进行根证书配置,也不会因证书变更导致存量终端不可用的情况,能够提高证书校验的灵活性;另外本发明利用从服务器同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例提供的通信方法的实现流程图;
图2为本发明实施例提供的通信方法的另一实现流程图;
图3为本发明实施例提供的通信方法的再一实现流程图;
图4为本发明实施例提供的通信方法中步骤301的实现流程图;
图5为本发明实施例提供的通信方法中步骤302的实现流程图;
图6为本发明实施例提供的终端的模块结构图;
图7为本发明实施例提供的终端的另一模块结构图;
图8为本发明实施例提供的终端的再一模块结构图;
图9为本发明实施例提供的终端中证书上送模块801的结构框图;
图10为本发明实施例提供的终端中可信证书接收模块802模块框图;
图11为本发明实施例提供的通信方法的实现流程图;
图12为本发明实施例提供的通信方法的另一实现流程图;
图13为本发明实施例提供的通信方法的再一实现流程图;
图14为本发明实施例提供的通信方法中步骤1302的实现流程图;
图15为本发明实施例提供的通信方法的又一实现流程图;
图16为本发明实施例提供的通信方法中步骤1303的实现流程图;
图17为本发明实施例提供的服务器的模块结构图;
图18为本发明实施例提供的服务器的另一模块结构图;
图19为本发明实施例提供的服务器的再一模块结构图;
图20为本发明实施例提供的服务器中证书标识模块1902的结构框图;
图21为本发明实施例提供的服务器的又一模块结构图;
图22为本发明实施例提供的服务器中可信证书下发模块1903模块框图;
图23为本发明实施例提供的通信方法的实现流程图;
图24为本发明实施例提供的通信系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
图1示出了本发明实施例提供的通信方法的实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
如图1所示,通信方法,其包括:
步骤101,在启动终端应用时,向服务器2402发送建立SSL链接请求;
步骤102,接收服务器2402针对建立SSL链接请求反馈的链接校验信息;
步骤103,利用终端本地的可信证书对服务器2402反馈的链接校验信息进行校验;终端本地的可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的;
步骤104,在链接校验信息校验通过时发送校验通过的消息至服务器2402,建立终端应用与服务器2402的SSL链接通信。
在终端应用与服务器2402进行SSL(Secure Sockets Layer,安全套接字协议)链接通信时,终端2401在启动终端应用后时向服务器2402端发送建立SSL链接请求,进而终端2401接收服务器2402针对该SSL链接请求反馈的链接校验信息,该链接校验信息包括SSL证书。然后,终端2401利用终端本地存储的可信证书对服务器2402反馈的链接校验信息进行校验。
其中,终端2401包括移动电话、个人电脑、智能平板及智能电视及各类型终端。终端本地存储的可信证书为从服务器2402同步的可信证书。在确定可信证书时服务器2402接收不同终端2401上送的证书形成服务器2402端证书集合,服务器2402利用孤点分析对服务器2402端证书集合进行分析,以确定可信证书及不可信证书,最后服务器2402将可信证书同步下发至终端2401,以便终端2401下载保存可信证书。进而终端2401利用该可信证书对服务器2402反馈的链接校验信息进行校验。其中,终端2401上送给服务器2402的证书包括根证书、中间证书(二级证书及多级证书)以及域名证书。服务器2402下发给终端2401的可信证书包括根证书、中间证书(二级证书及多级证书)。
在链接校验信息校验通过时,终端2401发送校验通过的消息至服务器2402,进而建立终端应用与服务器2402的SSL链接通信。
在本发明实施例中,在终端应用与服务器2402建立SSL链接的过程中,服务器2402针对建立SSL链接请求反馈链接校验信息;服务器2402将对不同终端2401上送的证书进行孤点分析确定的可信证书同步至终端2401,终端2401利用从服务器2402同步的可信证书对服务器2402反馈的链接校验信息直接进行校验,在链接校验信息校验通过时建立终端应用与服务器2402的SSL链接通信。鉴于可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的,对于终端2401切换根证或者签发新根证的情况可以自适应适配,无需事前进行根证书配置,也不会因证书变更导致存量终端2401不可用的情况,能够提高证书校验的灵活性;另外本发明利用从服务器2402同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。
图2示出了本发明实施例提供的通信方法的另一实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高通信安全,如图2所示,在上述图1所示方法步骤的基础上,通信方法,还包括:
步骤201,在链接校验信息校验失败时,拒绝建立终端应用与服务器2402的SSL链接通信。
有些情况下可以校验通过,然而在有些情况下还存在校验失败的情况。故为了提高通信安全,在链接校验信息校验失败时,拒绝建立终端应用与服务器2402的SSL链接通信。具体的,针对校验失败、不可信任的域名证书,拒绝建立终端应用与服务器2402的SSL链接通信。同时采集当前的设备证书库信息及设备指纹信息,作为证书库黑名单上传到到服务器2402。
在本发明实施例中,在链接校验信息校验失败时,拒绝建立终端应用与服务器2402的SSL链接通信,能够提高通信安全。
图3示出了本发明实施例提供的通信方法的再一实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高证书校验的灵活性,如图3所示,在上述方法步骤的基础上,通信方法还包括:
步骤301,在启动终端应用时,将从终端本地采集的证书上传至服务器2402形成服务器2402端证书集合;
步骤302,接收服务器2402下发的可信证书。
不同的终端2401在启动终端应用(例如浏览器等)时,从不同终端本地采集证书,进而将从不同终端本地采集到的证书上传至服务器2402形成服务器2402端证书集合,服务器2402利用孤点分析确定服务器2402端证书集合的可信证书及不可信证书,进而将服务器2402端证书集合的可信证书下发至终端2401,终端2401接收服务器2402下发的可信证书,并保存至终端本地。
鉴于服务器2402下发至终端2401的可信证书是对不同终端2401上送的证书形成的服务器2402端证书集合进行孤点分析确定的,对于当前终端2401切换根证书或者签发新根证书等情况可以自适应匹配,同时无需事前进行根证书配置,也不会发生因证书变更导致存量终端2401不可用的情况,因此能够提高证书校验的灵活性。
在本发明实施例中,在启动终端应用时,将从终端本地采集的证书上传至服务器2402形成服务器2402端证书集合,接收服务器2402下发的可信证书,能够提高证书校验的灵活性。
图4示出了本发明实施例提供的通信方法中步骤301的实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高防护中间人攻击的有效性或减少资源消耗,如图4所示,步骤301,在启动终端应用时,将从终端本地采集的证书上传至服务器2402形成服务器2402端证书集合,包括:
步骤401,在启动终端应用时,通过查询终端本地缓存获取终端本地的证书;
步骤402,将从终端本地采集的证书通过全量同步或者增量同步的方式上传至服务器2402形成服务器2402端证书集合。
终端2401上送证书至服务器2402的过程中,在启动终端应用时通过查询终端本地缓存,以获取终端本地的证书,进而在首次上送时将终端本地采集的证书通过全量同步的方式上传至服务器2402,以提高防护中间人攻击的有效性;在后续上送时将终端本地采集的证书通过增量同步的方式上传至服务器2402,以减少资源消耗。
在本发明实施例中,在启动终端应用时,通过查询终端本地缓存获取终端本地的证书,将从终端本地采集的证书通过全量同步的方式上传至服务器2402,能够提高防护中间人攻击的有效性;将从终端本地采集的证书通过增量同步的方式上传至服务器2402,能够减少资源消耗。
图5示出了本发明实施例提供的通信方法中步骤302的实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高防护中间人攻击的有效性或减少资源消耗,如图5所示,步骤302,接收服务器2402下发的可信证书,包括:
步骤501,接收服务器2402通过全量同步或者增量同步的方式下发的可信证书。
终端2401在接收服务器2402下发的可信证书时,首次接收时可以通过全量同步的方式接收服务器2402下发的可信证书,以提高防护中间人攻击的有效性;在后续接收时可以通过增量同步的方式接收服务器2402下发的可信证书,以减少资源消耗。
在本发明实施例中,首次接收时通过全量同步的方式接收服务器2402下发的可信证书,能够提高防护中间人攻击的有效性;在后续接收时通过增量同步的方式接收服务器2402下发的可信证书,能够减少资源消耗。
本发明实施例还提供一种终端2401,如下面的实施例所述。由于这些终端2401解决问题的原理与上述应用于终端2401的通信方法相似,因此这些终端2401的实施可以参见方法的实施,重复之处不再赘述。
图6示出了本发明实施例提供的终端的功能模块,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
参考图6,所述终端2401所包含的各个模块用于执行图1对应实施例中的各个步骤,具体请参阅图1以及图1对应实施例中的相关描述,此处不再赘述。本发明实施例中,所述终端2401包括请求发送模块601、校验信息接收模块602、校验模块603及通信建立模块604。
请求发送模块601,用于在启动终端应用时,向服务器2402发送建立SSL链接请求。
校验信息接收模块602,用于接收服务器2402针对建立SSL链接请求反馈的链接校验信息。
校验模块603,用于利用终端本地的可信证书对服务器2402反馈的链接校验信息进行校验,终端本地的可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的。
通信建立模块604,用于在链接校验信息校验通过时,建立终端应用与服务器2402的SSL链接通信。
在本发明实施例中,在终端应用与服务器2402建立SSL链接的过程中,服务器2402针对建立SSL链接请求反馈链接校验信息;服务器2402将对不同终端2401上送的证书进行孤点分析确定的可信证书同步至终端2401,终端2401校验模块603利用从服务器2402同步的可信证书对服务器2402反馈的链接校验信息直接进行校验,通信建立模块604在链接校验信息校验通过时建立终端应用与服务器2402的SSL链接通信。鉴于可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的,对于终端2401切换根证或者签发新根证的情况可以自适应适配,无需事前进行根证书配置,也不会因证书变更导致存量终端2401不可用的情况,能够提高证书校验的灵活性;另外本发明利用从服务器2402同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。
图7示出了本发明实施例提供的终端的另一模块结构,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高通信安全,参考图7,所述终端2401所包含的各个模块用于执行图2对应实施例中的各个步骤,具体请参阅图2以及图2对应实施例中的相关描述,此处不再赘述。本发明实施例中,在上述图6所示模块结构的基础上,所述终端2401还包括拒绝通信模块701。
拒绝通信模块701,用于在链接校验信息校验失败时,拒绝建立终端应用与服务器2402的SSL链接通信。
在本发明实施例中,拒绝通信模块701在链接校验信息校验失败时,拒绝建立终端应用与服务器2402的SSL链接通信,能够提高通信安全。
图8示出了本发明实施例提供的终端的再一模块结构,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高证书校验的灵活性,参考图8,所述终端2401所包含的各个模块用于执行图3对应实施例中的各个步骤,具体请参阅图3以及图3对应实施例中的相关描述,此处不再赘述。本发明实施例中,所述终端2401包括证书上送模块801及可信证书接收模块802。
证书上送模块801,用于在启动终端应用时,将从终端本地采集的证书上传至服务器2402形成服务器2402端证书集合。
可信证书接收模块802,用于接收服务器2402下发的可信证书。
在本发明实施例中,证书上送模块801在启动终端应用时,将从终端本地采集的证书上传至服务器2402形成服务器2402端证书集合,可信证书接收模块802接收服务器2402下发的可信证书,能够提高证书校验的灵活性。
图9示出了本发明实施例提供的终端中证书上送模块801的结构示意,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高防护中间人攻击的有效性或减少资源消耗,参考图9,所述证书上送模块801所包含的各个单元用于执行图4对应实施例中的各个步骤,具体请参阅图4以及图4对应实施例中的相关描述,此处不再赘述。本发明实施例中,所述证书上送模块801包括证书采集单元901及证书上送单元902。
证书采集单元901,用于在启动终端应用时,通过查询终端本地缓存获取终端本地的证书。
证书上送单元902,用于将从终端本地采集的证书通过全量同步或者增量同步的方式上传至服务器2402形成服务器2402端证书集合。
在本发明实施例中,证书采集单元901在启动终端应用时,通过查询终端本地缓存获取终端本地的证书,证书上送单元902将从终端本地采集的证书通过全量同步的方式上传至服务器2402,能够提高防护中间人攻击的有效性;证书上送单元902将从终端本地采集的证书通过增量同步的方式上传至服务器2402,能够减少资源消耗。
图10示出了本发明实施例提供的终端中可信证书接收模块802的结构示意,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高防护中间人攻击的有效性或减少资源消耗,参考图10,所述可信证书接收模块802所包含的各个单元用于执行图5对应实施例中的各个步骤,具体请参阅图5以及图5对应实施例中的相关描述,此处不再赘述。本发明实施例中,所述可信证书接收模块802包括可信证书收单元1001。
可信证书收单元1001,用于接收服务器2402通过全量同步或者增量同步的方式下发的可信证书。
在本发明实施例中,首次接收时可信证书收单元1001通过全量同步的方式接收服务器2402下发的可信证书,能够提高防护中间人攻击的有效性;在后续接收时可信证书收单元1001通过增量同步的方式接收服务器2402下发的可信证书,能够减少资源消耗。
图11示出了本发明实施例提供的通信方法的实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
如图11所示,通信方法,应用于服务器2402,其包括:
步骤1101,接收终端2401发送的建立SSL链接请求;
步骤1102,针对建立SSL链接请求反馈链接校验信息至终端2401;
步骤1103,接收终端2401发送的利用终端本地的可信证书对链接校验信息校验通过的消息,建立终端应用与服务器2402的SSL链接通信;终端本地的可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的。
在终端应用与服务器2402进行SSL(Secure Sockets Layer,安全套接字协议)链接通信时,终端2401在启动终端应用后时向服务器2402端发送建立SSL链接请求,进而服务器2402在接收终端2401发送的建立SSL链接请求时,针对该建立SSL链接请求反馈链接校验信息至终端2401,该链接校验信息包括SSL证书。终端2401在接收到服务器2402反馈的链接校验信息后,利用终端本地存储的可信证书对服务器2402反馈的链接校验信息进行校验。
其中,终端2401包括移动电话、个人电脑、智能平板及智能电视及各类型终端2401。终端本地存储的可信证书为从服务器2402同步的可信证书。在确定可信证书时服务器2402接收不同终端2401上送的证书形成服务器2402端证书集合,服务器2402利用孤点分析对服务器2402端证书集合进行分析,以确定可信证书及不可信证书,最后服务器2402将可信证书同步下发至终端2401,以便终端2401下载保存可信证书。进而终端2401利用该可信证书对服务器2402反馈的链接校验信息进行校验。
在链接校验信息校验通过时,终端2401发送校验通过的消息至服务器2402,服务器2402接收终端2401发送的校验通过的消息,进而建立终端应用与服务器2402的SSL链接通信。
在本发明实施例中,在终端应用与服务器2402建立SSL链接的过程中,服务器2402针对建立SSL链接请求反馈链接校验信息;服务器2402将对不同终端2401上送的证书进行孤点分析确定的可信证书同步至终端2401,终端2401利用从服务器2402同步的可信证书对服务器2402反馈的链接校验信息直接进行校验,在链接校验信息校验通过时建立终端应用与服务器2402的SSL链接通信。鉴于可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的,对于终端2401切换根证或者签发新根证的情况可以自适应适配,无需事前进行根证书配置,也不会因证书变更导致存量终端2401不可用的情况,能够提高证书校验的灵活性;另外本发明利用从服务器2402同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。
图12示出了本发明实施例提供的通信方法的另一实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高通信安全,如图12所示,在上述图11所述方法步骤的基础上,通信方法还包括:
步骤1201,接收终端2401发送的对链接校验信息校验失败的消息,拒绝建立终端应用与服务器2402的SSL链接通信。
有些情况下可以校验通过,然而在有些情况下还存在校验失败的情况。故为了提高通信安全,在服务器2402接收到终端2401发送的对链接校验信息校验失败的消息时,拒绝建立终端应用与服务器2402的SSL链接通信。具体的,针对校验失败、不可信任的域名证书,拒绝建立终端应用与服务器2402的SSL链接通信。同时采集当前的设备证书库信息及设备指纹信息,作为证书库黑名单上传到到服务器2402。
在本发明实施例中,接收终端2401发送的对链接校验信息校验失败的消息,拒绝建立终端应用与服务器2402的SSL链接通信,能够提高通信安全。
图13示出了本发明实施例提供的通信方法的再一的实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高证书校验的灵活性,如图13所示,在上述方法步骤的基础上,通信方法还包括:
步骤1301,接收不同终端2401上送的证书形成服务器2402端证书集合;
步骤1302,利用孤点分析确定服务器2402端证书集合中的可信证书和不可信证书;
步骤1303,将可信证书下发至终端2401。
不同的终端2401在启动终端应用(例如浏览器等)时,从不同终端本地采集证书,进而将从不同终端本地采集到的证书上传至服务器2402,服务器2402接收不同终端2401上传的证书形成服务器2402端证书集合,进而服务器2402利用孤点分析确定服务器2402端证书集合的可信证书及不可信证书,将服务器2402端证书集合的可信证书下发至终端2401,终端2401接收服务器2402下发的可信证书,并保存至终端本地。
鉴于服务器2402下发至终端2401的可信证书是对不同终端2401上送的证书形成的服务器2402端证书集合进行孤点分析确定的,对于当前终端2401切换根证书或者签发新根证书等情况可以自适应匹配,同时无需事前进行根证书配置,也不会发生因证书变更导致存量终端2401不可用的情况,因此能够提高证书校验的灵活性。
在本发明实施例中,接收不同终端2401上送的证书形成服务器2402端证书集合,利用孤点分析确定服务器2402端证书集合中的可信证书和不可信证书,将可信证书下发至终端2401,能够提高证书校验的灵活性。
图14示出了本发明实施例提供的通信方法中步骤1302的实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高证书校验的准确性,如图14所示,步骤1302,利用孤点分析确定服务器2402端证书集合中的可信证书和不可信证书,包括:
步骤1401,利用孤点分析将服务器2402端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器2402端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书。
服务器2402具体在确定服务器2402端证书集合中的可信证书和不可信证书时,利用孤点分析将证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器2402端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书,将不可信任证书从服务器2402端证书集合中剔除,剩下的即为可信任证书。
其中,预设普及度为预先设定的普及度,本领域技术人员可以根据实际情况和具体需求预先设定该预设普及度。例如,本领域技术人员预先设定该预设普及度为3%,可以理解的是,本领域技术人员还可以预先设定该预设普及度为3%之外的其它数值,例如本领域技术人员预先设定该预设普及度为1%或者5%等,本发明实施例对此不作特别的限制。
在本发明实施例中,利用孤点分析将服务器2402端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器2402端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书,能够提高证书校验的准确性。
图15示出了本发明实施例提供的通信方法的又一实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了进一步提高证书校验的准确性,如图15所示,在上述方法步骤的基础上,通信方法还包括:
步骤1501,按照预设时间间隔对服务器2402端证书集合中的可信任证书及不可信任证书进行更新。
服务器2402还可以对服务器2402端证书集合中的可信任证书及不可信任证书进行更新,例如按照预设时间间间隔对服务器2402端证书集合中的可信任证书及不可信任证书进行更新,或者在预定时刻,例如每天的0点或者每个小时的起始时刻,后者每半个小时进行更新等。即该预设时间间隔为预先设定的时间间隔,本领域技术人员可以根据实际情况和具体需求预先设定该预设时间间隔。例如,本领域技术人员预先设定该预设时间间隔两小时,可以理解的是,本领域技术人员还可以预先设定该预设时间间隔为两小时之外的其它数值,例如本领域技术人员预先设定该预设时间间隔为一小时或者半小时,或者每天等,本发明实施例对此不作特别的限制。
在本发明实施例中,按照预设时间间隔对服务器2402端证书集合中的可信任证书及不可信任证书进行更新,能够进一步提高证书校验的准确性。
图16示出了本发明实施例提供的通信方法中步骤1303的实现流程,为便于描述,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高防护中间人攻击的有效性或减少资源消耗,如图16所示,步骤1303,将可信证书下发至终端2401,包括:
步骤1601,通过全量同步或增量同步的方式将可信证书下发至终端2401。
服务器2402在向终端2401下发可信证书时,首次下发可以通过全量同步的方式将可信证书下发至终端2401,以提高防护中间人攻击的有效性;后续下发可以通过增量同步的方式将可信证书下发至终端2401,以减少资源消耗。
在本发明实施例中,首次下发服务器2402通过全量同步的方式将可信证书下发至终端2401,能够提高防护中间人攻击的有效性;后续下发服务器2402通过增量同步的方式将可信证书下发至终端2401,能够减少资源消耗。
本发明实施例还提供一种服务器2402,如下面的实施例所述。由于这些服务器2402解决问题的原理与上述应用于服务器2402的通信方法相似,因此这些服务器2402的实施可以参见方法的实施,重复之处不再赘述。
图17示出了本发明实施例提供的服务器2402的功能模块,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
参考图17,所述服务器2402所包含的各个模块用于执行图11对应实施例中的各个步骤,具体请参阅图11以及图11对应实施例中的相关描述,此处不再赘述。本发明实施例中,所述服务器2402包括请求接收模块1701、校验信息反馈模块1702及链接建立模块1703。
请求接收模块1701,用于接收终端2401发送的建立SSL链接请求。
校验信息反馈模块1702,用于针对建立SSL链接请求反馈链接校验信息至终端2401。
链接建立模块1703,用于接收终端2401发送的利用终端本地的可信证书对链接校验信息校验通过的消息,建立终端应用与服务器2402的SSL链接通信;终端本地的可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的。
在本发明实施例中,在终端应用与服务器2402建立SSL链接的过程中,服务器2402校验信息反馈模块1702针对建立SSL链接请求反馈链接校验信息;服务器2402将对不同终端2401上送的证书进行孤点分析确定的可信证书同步至终端2401,终端2401利用从服务器2402同步的可信证书对服务器2402反馈的链接校验信息直接进行校验,链接建立模块1703在链接校验信息校验通过时建立终端应用与服务器2402的SSL链接通信。鉴于可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的,对于终端2401切换根证或者签发新根证的情况可以自适应适配,无需事前进行根证书配置,也不会因证书变更导致存量终端2401不可用的情况,能够提高证书校验的灵活性;另外本发明利用从服务器2402同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。
图18示出了本发明实施例提供的服务器2402的另一模块结构,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高通信安全,参考图18,所述服务器2402所包含的各个模块用于执行图12对应实施例中的各个步骤,具体请参阅图12以及图12对应实施例中的相关描述,此处不再赘述。本发明实施例中,在上述图17所示模块结构的基础上,所述服务器2402还包括拒绝链接模块1801。
拒绝链接模块1801,用于接收终端2401发送的对链接校验信息校验失败的消息,拒绝建立终端应用与服务器2402的SSL链接通信。
在本发明实施例中,拒绝链接模块1801接收终端2401发送的对链接校验信息校验失败的消息,拒绝建立终端应用与服务器2402的SSL链接通信,能够提高通信安全。
图19示出了本发明实施例提供的服务器2402的再一模块结构,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高证书校验的灵活性,参考图19,所述服务器2402所包含的各个模块用于执行图13对应实施例中的各个步骤,具体请参阅图13以及图13对应实施例中的相关描述,此处不再赘述。本发明实施例中,在上述模块结构的基础上,所述服务器2402还包括证书接收模块1901、证书标识模块1902及可信证书下发模块1903。
证书接收模块1901,用于接收不同终端2401上送的证书形成服务器2402端证书集合。
证书标识模块1902,用于利用孤点分析确定服务器2402端证书集合中的可信证书和不可信证书。
可信证书下发模块1903,用于将可信证书下发至终端2401。
在本发明实施例中,证书接收模块1901接收不同终端2401上送的证书形成服务器2402端证书集合,证书标识模块1902利用孤点分析确定服务器2402端证书集合中的可信证书和不可信证书,可信证书下发模块1903将可信证书下发至终端2401,能够提高证书校验的灵活性。
图20示出了本发明实施例提供的服务器2402中证书标识模块1902的结构示意,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高证书校验的准确性,参考图20,所述证书标识模块1902所包含的各个单元用于执行图14对应实施例中的各个步骤,具体请参阅图14以及图14对应实施例中的相关描述,此处不再赘述。本发明实施例中,所述证书标识模块1902包括证书标识单元2001。
证书标识单元2001,用于利用孤点分析将服务器2402端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器2402端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书。
在本发明实施例中,证书标识单元2001利用孤点分析将服务器2402端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器2402端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书,能够提高证书校验的准确性。
图21示出了本发明实施例提供的服务器2402的另一模块结构,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了进一步提高证书校验的准确性,参考图21,所述服务器2402所包含的各个模块用于执行图15对应实施例中的各个步骤,具体请参阅图15以及图15对应实施例中的相关描述,此处不再赘述。本发明实施例中,在上述模块结构的基础上,所述服务器2402还包括更新模块2101。
更新模块2101,用于按照预设时间间隔对服务器2402端证书集合中的可信任证书及不可信任证书进行更新。
在本发明实施例中,更新模块2101按照预设时间间隔对服务器2402端证书集合中的可信任证书及不可信任证书进行更新,能够进一步提高证书校验的准确性。
图22示出了本发明实施例提供的服务器2402中可信证书下发模块1903的结构示意,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在本发明的一实施例中,为了提高防护中间人攻击的有效性或减少资源消耗,参考图22,所述可信证书下发模块1903所包含的各个单元用于执行图16对应实施例中的各个步骤,具体请参阅图16以及图16对应实施例中的相关描述,此处不再赘述。本发明实施例中,所述可信证书下发模块1903包括可信证书下发单元2201。
可信证书下发单元2201,用于通过全量同步或增量同步的方式将可信证书下发至终端2401。
在本发明实施例中,首次下发可信证书下发单元2201通过全量同步的方式将可信证书下发至终端2401,能够提高防护中间人攻击的有效性;后续下发可信证书下发单元2201通过增量同步的方式将可信证书下发至终端2401,能够减少资源消耗。
图23示出了本发明实施例提供的通信方法的实现流程,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
如图23所示,通信方法,包括:
步骤101,终端2401在启动终端应用时,向服务器2402发送建立SSL链接请求;
步骤1101,服务器2402接收终端2401发送的建立SSL链接请求;
步骤1102,服务器2402针对建立SSL链接请求反馈链接校验信息至终端2401;
步骤102,终端2401接收服务器2402针对建立SSL链接请求反馈的链接校验信息;
步骤103,终端2401利用终端本地的可信证书对服务器2402反馈的链接校验信息进行校验;终端本地的可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的;
步骤104,终端2401在链接校验信息校验通过时发送校验通过的消息至服务器2402,建立终端应用与服务器2402的SSL链接通信。
本发明实施例提供的通信方法与图1及图11实施例提供的通信方法过程及原理相同,具体请参阅图1及图11实施例的内容,此处不在详细赘述。
在本发明实施例中,在终端应用与服务器2402建立SSL链接的过程中,服务器2402针对建立SSL链接请求反馈链接校验信息;服务器2402将对不同终端2401上送的证书进行孤点分析确定的可信证书同步至终端2401,终端2401利用从服务器2402同步的可信证书对服务器2402反馈的链接校验信息直接进行校验,在链接校验信息校验通过时建立终端应用与服务器2402的SSL链接通信。鉴于可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的,对于终端2401切换根证或者签发新根证的情况可以自适应适配,无需事前进行根证书配置,也不会因证书变更导致存量终端2401不可用的情况,能够提高证书校验的灵活性;另外本发明利用从服务器2402同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。
图24示出了本发明实施例提供的通信系统的结构示意,为便于说明,仅示出了与本发明实施例相关的部分,详述如下:
如图24所示,通信系统,包括上述任一实施例所述终端2401,及上述任一实施例所述服务器2402。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述通信方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述通信方法的计算机程序。
综上所述,本发明实施例中,在终端应用与服务器2402建立SSL链接的过程中,服务器2402针对建立SSL链接请求反馈链接校验信息;服务器2402将对不同终端2401上送的证书进行孤点分析确定的可信证书同步至终端2401,终端2401利用从服务器2402同步的可信证书对服务器2402反馈的链接校验信息直接进行校验,在链接校验信息校验通过时建立终端应用与服务器2402的SSL链接通信。鉴于可信证书为服务器2402对不同终端2401上送的证书进行孤点分析确定的,对于终端2401切换根证或者签发新根证的情况可以自适应适配,无需事前进行根证书配置,也不会因证书变更导致存量终端2401不可用的情况,能够提高证书校验的灵活性;另外本发明利用从服务器2402同步的可信证书直接对链接校验信息进行校验,能够从根本上杜绝中间人攻击。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (22)

1.一种通信方法,其特征在于,应用于终端,包括:
在启动终端应用时,向服务器发送建立SSL链接请求;
接收服务器针对建立SSL链接请求反馈的链接校验信息;
利用终端本地的可信证书对服务器反馈的链接校验信息进行校验;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;所述服务器是通过以下方式对不同终端上送的证书进行孤点分析的:服务器接收不同终端上送的证书形成服务器端证书集合,利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;将可信证书下发至终端;
在链接校验信息校验通过时发送校验通过的消息至服务器,建立终端应用与服务器的SSL链接通信。
2.如权利要求1所述的通信方法,其特征在于,还包括:
在链接校验信息校验失败时,拒绝建立终端应用与服务器的SSL链接通信。
3.如权利要求1所述的通信方法,其特征在于,还包括:
在启动终端应用时,将从终端本地采集的证书上传至服务器形成服务器端证书集合;
接收服务器下发的可信证书。
4.如权利要求3所述的通信方法,其特征在于,在启动终端应用时,将从终端本地采集的证书上传至服务器形成服务器端证书集合,包括:
在启动终端应用时,通过查询终端本地缓存获取终端本地的证书;
将从终端本地采集的证书通过全量同步或者增量同步的方式上传至服务器形成服务器端证书集合。
5.如权利要求3所述的通信方法,其特征在于,接收服务器下发的可信证书,包括:
接收服务器通过全量同步或者增量同步的方式下发的可信证书。
6.一种终端,其特征在于,包括:
请求发送模块,用于在启动终端应用时,向服务器发送建立SSL链接请求;
校验信息接收模块,用于接收服务器针对建立SSL链接请求反馈的链接校验信息;
校验模块,用于利用终端本地的可信证书对服务器反馈的链接校验信息进行校验;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;所述服务器是通过以下方式对不同终端上送的证书进行孤点分析的:服务器接收不同终端上送的证书形成服务器端证书集合,利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;将可信证书下发至终端;
通信建立模块,用于在链接校验信息校验通过时,建立终端应用与服务器的SSL链接通信。
7.如权利要求6所述的终端,其特征在于,还包括:
拒绝通信模块,用于在链接校验信息校验失败时,拒绝建立终端应用与服务器的SSL链接通信。
8.如权利要求6所述的终端,其特征在于,还包括:
证书上送模块,用于在启动终端应用时,将从终端本地采集的证书上传至服务器形成服务器端证书集合;
可信证书接收模块,用于接收服务器下发的可信证书。
9.如权利要求8所述的终端,其特征在于,证书上送模块包括:
证书采集单元,用于在启动终端应用时,通过查询终端本地缓存获取终端本地的证书;
证书上送单元,用于将从终端本地采集的证书通过全量同步或者增量同步的方式上传至服务器形成服务器端证书集合。
10.如权利要求8所述的终端,其特征在于,可信证书接收模块包括:
可信证书收单元,用于接收服务器通过全量同步或者增量同步的方式下发的可信证书。
11.一种通信方法,其特征在于,应用于服务器,包括:
接收终端发送的建立SSL链接请求;
针对建立SSL链接请求反馈链接校验信息至终端;
接收终端发送的利用终端本地的可信证书对链接校验信息校验通过的消息,建立终端应用与服务器的SSL链接通信;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;
接收不同终端上送的证书形成服务器端证书集合;
利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;
将可信证书下发至终端。
12.如权利要求11所述的通信方法,其特征在于,还包括:
接收终端发送的对链接校验信息校验失败的消息,拒绝建立终端应用与服务器的SSL链接通信。
13.如权利要求11所述的通信方法,其特征在于,还包括:
按照预设时间间隔对服务器端证书集合中的可信任证书及不可信任证书进行更新。
14.如权利要求11所述的通信方法,其特征在于,将可信证书下发至终端,包括:
通过全量同步或增量同步的方式将可信证书下发至终端。
15.一种服务器,其特征在于,包括:
请求接收模块,用于接收终端发送的建立SSL链接请求;
校验信息反馈模块,用于针对建立SSL链接请求反馈链接校验信息至终端;
链接建立模块,用于接收终端发送的利用终端本地的可信证书对链接校验信息校验通过的消息,建立终端应用与服务器的SSL链接通信;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;
证书接收模块,用于接收不同终端上送的证书形成服务器端证书集合;
证书标识模块,用于利用孤点分析确定服务器端证书集合中的可信证书和不可信证书;证书标识模块包括证书标识单元,用于利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;
可信证书下发模块,用于将可信证书下发至终端。
16.如权利要求15所述的服务器,其特征在于,还包括:
拒绝链接模块,用于接收终端发送的对链接校验信息校验失败的消息,拒绝建立终端应用与服务器的SSL链接通信。
17.如权利要求15所述的服务器,其特征在于,还包括:
更新模块,用于按照预设时间间隔对服务器端证书集合中的可信任证书及不可信任证书进行更新。
18.如权利要求15所述的服务器,其特征在于,可信证书下发模块包括:
可信证书下发单元,用于通过全量同步或增量同步的方式将可信证书下发至终端。
19.一种通信方法,其特征在于,包括:
终端在启动终端应用时,向服务器发送建立SSL链接请求;
服务器接收终端发送的建立SSL链接请求;
服务器针对建立SSL链接请求反馈链接校验信息至终端;
终端接收服务器针对建立SSL链接请求反馈的链接校验信息;
终端利用终端本地的可信证书对服务器反馈的链接校验信息进行校验;终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的;
终端在链接校验信息校验通过时发送校验通过的消息至服务器,建立终端应用与服务器的SSL链接通信;
所述服务器是通过以下方式对不同终端上送的证书进行孤点分析的:服务器接收不同终端上送的证书形成服务器端证书集合;利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书,将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书;将可信证书下发至终端。
20.一种通信系统,其特征在于,包括如权利要求6至10任一项所述终端,及如权利要求15至18任一项所述服务器。
21.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5,11至14任一项所述通信方法。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至5,11至14任一项所述通信方法的计算机程序。
CN202110177904.1A 2021-02-09 2021-02-09 通信方法、终端、服务器及通信系统 Active CN112995158B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110177904.1A CN112995158B (zh) 2021-02-09 2021-02-09 通信方法、终端、服务器及通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110177904.1A CN112995158B (zh) 2021-02-09 2021-02-09 通信方法、终端、服务器及通信系统

Publications (2)

Publication Number Publication Date
CN112995158A CN112995158A (zh) 2021-06-18
CN112995158B true CN112995158B (zh) 2022-11-08

Family

ID=76392670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110177904.1A Active CN112995158B (zh) 2021-02-09 2021-02-09 通信方法、终端、服务器及通信系统

Country Status (1)

Country Link
CN (1) CN112995158B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103763356A (zh) * 2014-01-08 2014-04-30 深圳大学 一种安全套接层连接的建立方法、装置及系统
CN108604988A (zh) * 2016-05-03 2018-09-28 华为技术有限公司 一种证书通知方法及装置
CN110225013A (zh) * 2019-05-30 2019-09-10 世纪龙信息网络有限责任公司 服务证书的监控和更新系统
CN111526159A (zh) * 2020-05-25 2020-08-11 普联技术有限公司 建立数据连接的方法、装置、终端设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100456770C (zh) * 2005-12-26 2009-01-28 北京航空航天大学 面向服务的信任证保护处理方法
US20090113543A1 (en) * 2007-10-25 2009-04-30 Research In Motion Limited Authentication certificate management for access to a wireless communication device
CN109194631A (zh) * 2018-08-17 2019-01-11 郑州云海信息技术有限公司 一种身份校验方法以及相关装置
CN109359977A (zh) * 2018-09-10 2019-02-19 平安科技(深圳)有限公司 网络通信方法、装置、计算机设备和存储介质
CN110300096B (zh) * 2019-05-22 2022-09-23 深圳壹账通智能科技有限公司 基于本地证书的自校验方法、装置、设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103763356A (zh) * 2014-01-08 2014-04-30 深圳大学 一种安全套接层连接的建立方法、装置及系统
CN108604988A (zh) * 2016-05-03 2018-09-28 华为技术有限公司 一种证书通知方法及装置
CN110225013A (zh) * 2019-05-30 2019-09-10 世纪龙信息网络有限责任公司 服务证书的监控和更新系统
CN111526159A (zh) * 2020-05-25 2020-08-11 普联技术有限公司 建立数据连接的方法、装置、终端设备及存储介质

Also Published As

Publication number Publication date
CN112995158A (zh) 2021-06-18

Similar Documents

Publication Publication Date Title
CN107396360B (zh) 区块验证方法及装置
CN107993149B (zh) 账户信息管理方法、系统以及可读存储介质
CN107566323B (zh) 一种应用系统登录方法和装置
CN105306490A (zh) 支付验证系统、方法及装置
CN111510333B (zh) 基于k3s平台的联盟区块链系统、实现方法及装置
CN111698315B (zh) 针对区块的数据处理方法、数据处理装置及计算机设备
CN103888255A (zh) 一种身份认证方法、装置及系统
CN111898124B (zh) 进程访问控制方法和装置、存储介质及电子设备
CN112491776B (zh) 安全认证方法及相关设备
CN111461720A (zh) 基于区块链的身份验证方法、装置、存储介质及电子设备
CN102970308A (zh) 一种用户认证方法及服务器
CN115022047A (zh) 基于多云网关的账户登录方法、装置、计算机设备及介质
CN110995682A (zh) 防止多终端异地登录的方法及装置
CN112651044B (zh) 基于区块链技术的业务交易方法、系统及存储介质
CN111541649B (zh) 一种密码重置方法、装置、服务器及存储介质
CN111385256A (zh) 迁移批量应用的方法、装置、设备及介质
CN112995158B (zh) 通信方法、终端、服务器及通信系统
CN106254373B (zh) 数字证书同步方法、数字签名服务器及数字证书同步系统
GB2567715A (en) Authentication system, method and program
CN112182009A (zh) 区块链的数据更新方法及装置、可读存储介质
CN111698204A (zh) 一种双向身份认证的方法及装置
CN111371811A (zh) 一种资源调用方法、资源调用装置、客户端及业务服务器
CN115482132A (zh) 基于区块链的电子合同的数据处理方法、装置和服务器
CN111369246B (zh) 智能合约的调用鉴权方法、装置、电子设备及存储介质
GB2520938A (en) Mobile device location

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20221026

Address after: 25 Financial Street, Xicheng District, Beijing 100033

Applicant after: CHINA CONSTRUCTION BANK Corp.

Address before: 12 / F, 15 / F, No. 99, Yincheng Road, Shanghai pilot Free Trade Zone, 200120

Applicant before: Jianxin Financial Science and Technology Co.,Ltd.