CN114125027B - 一种通信建立方法、装置、电子设备及存储介质 - Google Patents

一种通信建立方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114125027B
CN114125027B CN202111405094.7A CN202111405094A CN114125027B CN 114125027 B CN114125027 B CN 114125027B CN 202111405094 A CN202111405094 A CN 202111405094A CN 114125027 B CN114125027 B CN 114125027B
Authority
CN
China
Prior art keywords
terminal
communication link
gateway
server
access request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111405094.7A
Other languages
English (en)
Other versions
CN114125027A (zh
Inventor
吴良华
谭翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Para Software Co ltd
Original Assignee
Shanghai Para Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Para Software Co ltd filed Critical Shanghai Para Software Co ltd
Priority to CN202111405094.7A priority Critical patent/CN114125027B/zh
Publication of CN114125027A publication Critical patent/CN114125027A/zh
Application granted granted Critical
Publication of CN114125027B publication Critical patent/CN114125027B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Abstract

本发明公开了一种通信建立方法、装置、电子设备及存储介质。该方法包括:接收终端发送的访问请求,并验证所述终端是否可信;在终端可信时,建立客户端网关与终端之间的第一通信链路;向验证服务器发送访问请求,以使得验证服务器验证客户端网关是否可信;在客户端网关可信时,建立客户端网关与服务端网关之间的第二通信链路;通过第一通信链路连接终端,并通过第二通信链路连接服务端网关,以形成终端与服务端网关之间的第三通信链路。本发明实施例解决了终端使用共享线路访问数据资源被劫持,造成数据资源无法访问的问题,通过客户端网关形成终端与服务端网关之间的通信链路,实现各个通信链路在网络中的隔离,避免了使用共享线路造成的病毒感染。

Description

一种通信建立方法、装置、电子设备及存储介质
技术领域
本发明实施例涉及通信技术,尤其涉及一种通信建立方法、装置、电子设备及存储介质。
背景技术
随着计算技术的发展,使用互联网获取信息资源和进行网络信息传输,在信息资源获取的过程中终端访问数据资源,利用终端至服务端的共享线路传输网络信息。由于终端访问数据资源使用共享线路导致数据流量容易被劫持,进一步的使得数据资源访问线路被入侵,使得其他数据资源再使用共享线路时受到感染导致无法访问对应的数据资源。
发明内容
本发明提供一种通信建立方法、装置、电子设备及存储介质,解决了终端使用共享线路访问数据资源被劫持,造成其他数据资源无法访问的问题,实现了网络隔离,避免了使用共享线路造成的病毒感染。
第一方面,本发明实施例提供了一种通信建立方法,应用于客户端网关,该方法包括:
接收终端发送的访问请求,并验证所述终端是否可信;
在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
进一步的,所述验证所述终端是否可信,包括:
确定从所述验证服务器中获取的已注册终端信息中是否存在所述终端的标识信息;
当所述已注册终端信息中存在所述终端的标识信息,确定所述终端可信。
进一步的,所述验证所述终端是否可信,包括:
向所述验证服务器发送所述终端的标识信息,以使得所述验证服务器根据所述终端的标识信息验证所述终端是否可信,并接收所述验证服务器发送的可信验证消息,所述可信验证消息用于指示所述终端是否可信。
进一步的,所述通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路,包括:
确定所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求是否一致;
当所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求一致,通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
进一步的,在所述通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路之后,还包括:
加密所述第一通信链路,并加密所述第二通信链路;
通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路。
进一步的,通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路,包括:
向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;
向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥。
进一步的,所述向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥之后,还包括:
通过所述第一通信链路接收所述终端发送的第一加密访问请求,并使用所述第一加密密钥对应的第一解密密钥对所述第一加密访问请求进行解密,得到所述访问请求,所述第一加密访问请求由所述终端利用所述第一加密密钥对所述访问请求加密得到;
利用所述第二解密密钥对应的第二加密密钥对所述访问请求进行加密得到第二加密访问请求,通过所述第二通信链路将所述第二加密访问请求发送给所述服务端网关,以使得所述服务端网关使用所述第二解密密钥解密所述第二加密访问请求得到所述访问请求。
第二方面,本发明实施例还提供了一种通信建立装置,该装置包括:
访问接收模块,用于接收终端发送的访问请求,并验证所述终端是否可信;
第一链路建立模块,用于在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
可信验证模块,用于向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
第二链路建立模块,用于在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
第三链路建立模块,用于通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现所述的通信建立方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现所述的通信建立方法。
本发明实施例,通过接收终端发送的访问请求,并验证所述终端是否可信;在终端可信时,建立客户端网关与终端之间的第一通信链路;向验证服务器发送访问请求,以使得验证服务器验证客户端网关是否可信;在客户端网关可信时,建立客户端网关与服务端网关之间的第二通信链路;通过第一通信链路连接终端,并通过第二通信链路连接服务端网关,以形成终端与服务端网关之间的第三通信链路。即本发明实施例解决了终端使用共享线路访问数据资源被劫持,造成其他数据资源无法访问的问题,利用客户端网关分别与终端和服务端网关建立链路,并通过客户端网关形成终端与服务端网关之间的通信链路,实现各个通信链路在网络中的隔离,避免了使用共享线路造成的病毒感染。
附图说明
图1是本发明实施例提供的通信建立方法的一个流程示意图;
图2是本发明实施例提供的通信建立方法的另一个流程示意图;
图3是本发明实施例提供的通信建立装置的结构示意图;
图4是本发明实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
图1为本发明实施例提供的通信建立方法的一个流程示意图,该方法可以由本发明实施例提供的通信装置来执行,该装置可采用软件和/或硬件的方式实现。在一个具体的实施例中,该装置可以集成在电子设备中,电子设备比如可以是服务器。以下实施例将以该装置集成在电子设备中为例进行说明,参考图1,该方法具体可以包括如下步骤:
步骤110、接收终端发送的访问请求,并验证所述终端是否可信;
示例地,访问请求可以理解为根据用户侧的需求从终端发出的访问服务端数据的请求,其中,访问请求可以是由终端发送给客户端网关,客户端网关接收访问请求后转发给验证服务器。客户端网关可以是安装在用户侧的安全网关,也可以是安装在用户侧的用户认证网关,当客户端网关为用户侧的安全网关具有应用级过滤作用,根据需求设置的防止不安全因素侵入到验证服务器、服务端网关和服务端的数据资源;当客户端网关为用户的安全认证网关需要具有用户身份认证代理的功能,用于通过身份认证的方式验证终端身份,确认是否转发给验证服务器。终端可以理解为与计算系统相连接的输入输出设备,用于发送根据用户需求生成的访问请求,同时也接收服务端返回的访问请求对应的服务端数据。
具体实现中,根据需求在终端生成访问请求发送给客户端网关,客户端网关接收终端发送的访问请求,验证终端是否可信,如果终端可信将终端发送的访问请求发送给验证服务器,并根据终端发送的访问请求和终端地址信息使得终端与客户端网关之间建立第一通信链路;如果终端不可信将终端发送的访问请求过滤掉作为非法请求或恶意请求。
步骤120、在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
示例地,第一通信链路可以理解为终端与客户端网关之间的传输信息的链路,可以直接通过第一通信链路将终端的访问请求直接发送给客户端网关,或将客户端网关根据访问请求返回的信息传输给终端,使得每个终端与客户端网关之间具有专属的通信链路。
具体实现中,根据验证服务器上存储的已注册终端信息中是否包含终端的标识信息确定终端是否可信。如果已注册终端消息中包含终端的标识信息,则说明终端可信,建立客户端网关与终端之间的第一通信链路,确保终端的合法信,增强链路通信的安全性;如果已注册终端消息中不包含终端的标识信息,则说明终端不可信,不可以建立终端与客户端网关之间的第一通信链路。建立第一通信链路。
步骤130、向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
示例地,验证服务器可以理解为可以根据注册情况对客户端网关和服务端网关进行可信验证的计算机,根据存储的已注册客户端网关信息和已注册服务端网关信息对客户端网关和服务端网关进行可信验证。其中,验证服务器在开启状态下具备注册服务,可以根据客户端网关和服务端网关发送的身份验证消息确认合法性,将具备合法性的客户端网关的标识信息和服务端网关的标识信息对应存储至已注册客户端网关信息和已注册服务端网关信息,以便于根据已注册客户端网关信息和已注册服务端网关信息对客户端网关和服务端网关进行可信验证。
具体实现中,客户端网关接收终端发送的访问请求,验证终端是否可信,如果终端可信将终端发送的访问请求发送给验证服务器,验证服务器通过客户端网关接收终端发送的访问请求。根据访问请求确定发送访问请求的客户端网关的标识信息,确定已注册客户端网关信息中是否存在该客户端网关的标识信息。如果已注册客户端网关信息中存在该客户端网关的标识信息,则说明客户端网关可信,通过了身份验证并在验证服务器中已注册。如果已注册客户端网关信息中不存在该客户端网关的标识信息,则说明客户端网关不可信,未通过身份验证,也未在验证服务器中注册。
步骤140、在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
示例地,第二通信链路可以理解为终端与客户端网关之间的传输信息的链路,终端可以直接通过第二通信链路将访问请求直接发送给客户端网关,或客户端可以直接通过第二通信链路将访问请求返回的信息传输给终端,使得每个终端与客户端网关之间具有专属的通信链路。
具体实现中,根据验证服务器上存储的已注册终端信息中是否包含客户端网关的标识信息确定客户端网关是否可信。如果已注册终端消息中包含客户端网关的标识信息,则说明客户端网关可信,建立客户端网关与服务端网关之间的第二通信链路,确保客户端网关的合法信,增强链路通信的安全性;如果已注册终端消息中不包含客户端网关的标识信息,则说明客户端网关不可信,不可以建立终端与客户端网关之间的第二通信链路。其中,服务端网关是验证服务器根据访问请求对应的待访问资源确定的,可以根据获得待访问资源的路径长短和各服务端网关的负载情况,以及获取待访问资源的难易程度等,确定具体的服务端网关。
步骤150、通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
示例地,第三通信链路可以理解为终端与服务端网关之间的传输信息的链路,终端可以直接通过第三通信链路将访问请求直接发送给服务端网关,或服务端网关可以直接通过第三通信链路将访问请求返回的信息传输给终端,根据访问请求使得每个终端与服务端网关之间具有专属的通信链路。
具体实现中,验证终端可信,客户端网关与终端建立第一通信链路;验证客户端网关可信,服务端网关与客户端网关建立第二通信链路;根据访问请求确定第一通信链路与第二通信链路对应的终端和服务端网关是否一致,如果根据访问请求确定第一通信链路与第二通信链路确定终端对应的客户端网关与服务端网关对应的客户端网关是否一致,根据访问请求和客户端网关连接第一通信链路与第二通信链路形成终端与服务端网关之间的第三通信链路,即根据每个访问请求生成对应的第三通信链路,使得每个访问请求终端通过对应的第三通信链路与服务端网关之间传送消息,避免终端访问资源使用共享线路,防止病毒入侵导致其他访问资源被感染,通信隔离的效果。
本发明实施例,通过接收终端发送的访问请求,并验证所述终端是否可信;在终端可信时,建立客户端网关与终端之间的第一通信链路;向验证服务器发送访问请求,以使得验证服务器验证客户端网关是否可信;在客户端网关可信时,建立客户端网关与服务端网关之间的第二通信链路;通过第一通信链路连接终端,并通过第二通信链路连接服务端网关,以形成终端与服务端网关之间的第三通信链路。即本发明实施例解决了终端使用共享线路访问数据资源被劫持,造成其他数据资源无法访问的问题,利用客户端网关分别与终端和服务端网关建立链路,并通过客户端网关形成终端与服务端网关之间的通信链路,实现各个通信链路在网络中的隔离,避免了使用共享线路造成的病毒感染。
下面进一步描述本发明实施例提供的通信建立方法,如图2所示,该方法具体可以包括如下步骤:
步骤210、接收终端发送的访问请求,并验证所述终端是否可信;
步骤220、在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
步骤230、向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
步骤240、在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
步骤250、确定所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求是否一致;
示例地,第一通信链路对应的访问请求可以理解为建立第一通信链路时客户端网关接收的访问请求;第二通信链路对应的访问请求可以理解为建立第二通信链路时服务端网关接收的访问请求,可以是验证服务器接收的服务请求。
具体实现中,确定第一通信链路对应的访问请求与第二通信链路对应的访问请求是否一致,实质上是确定第一通信链路传输的访问请求对应的访问资源与第二通信链路传输的访问请求对应的访问资源是否一致,如果第一通信链路对应的访问请求与第二通信链路对应的访问请求一致,则说明第一通信链路与第二通信链路上将要传输的访问资源一致,并可以确定第一通信链路与第二通信链路确定终端对应的客户端网关与服务端网关对应的客户端网关一致,根据访问请求和客户端网关连接第一通信链路与第二通信链路形成终端与服务端网关之间的第三通信链路。
步骤260、当所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求一致,通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
具体实现中,确定第一通信链路对应的访问请求与第二通信链路对应的访问请求一致,实质上是确定第一通信链路传输的访问请求对应的访问资源与第二通信链路传输的访问请求对应的访问资源一致。在同一客户端网关建立第一通信链路与第二通信链路,且对应的访问资源一致,根据访问请求和客户端网关连接第一通信链路与第二通信链路形成终端与服务端网关之间的第三通信链路,使得终端与服务端网关通过客户端网关形成直接的通信链路。
进一步的,所述验证所述终端是否可信,包括:
确定从所述验证服务器中获取的已注册终端信息中是否存在所述终端的标识信息;
当所述已注册终端信息中存在所述终端的标识信息,确定所述终端可信。
示例地,终端的标识信息可以理解为在网络中的标识,用于区分网络中不同的终端,可以是终端的IP地址(IP地址包括网络号和终端机号),也可以是终端名称和地址生成的唯一标识。已注册终端信息可以理解为验证服务器中存储的确定身份合法的终端的标识信息的集合。
具体实现中,根据访问请求确定发送访问请求的终端的标识信息,确定已注册终端信息中是否存在该终端的标识信息。如果已注册终端信息中存在该终端的标识信息,则说明终端可信,通过了身份验证并在验证服务器中已注册。如果已注册终端信息中不存在该终端的标识信息,则说明终端不可信,未通过身份验证,也未在验证服务器中注册,身份不合法。
进一步的,所述验证所述终端是否可信,包括:
向所述验证服务器发送所述终端的标识信息,以使得所述验证服务器根据所述终端的标识信息验证所述终端是否可信,并接收所述验证服务器发送的可信验证消息,所述可信验证消息用于指示所述终端是否可信。
具体实现中,验证终端是否可信,也可以是将访问请求发送给验证服务器进行验证,验证服务器根据接收的终端的标识信息确定在已注册终端信息中是否存在该终端的标识信息,如果已注册终端信息中存在该终端的标识信息,则说明终端可信,通过了身份验证并在验证服务器中已注册,终端可信作为可信验证消息发送给客户端网关;如果已注册终端信息中不存在该终端的标识信息,则说明终端不可信,未通过身份验证,也未在验证服务器中注册,终端不可信作为可信验证消息发送给客户端网关。
进一步的,在所述通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路之后,还包括:
加密所述第一通信链路,并加密所述第二通信链路;
通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路。
具体实现中,验证终端可信,客户端网关与终端建立第一通信链路,并对该第一通信链路进行加密,使得对传输在第一通信链路上的所有信息进行加密是数据链路层的加密,信息在第一通信链路上的终端或客户端网关都可以对接收的消息解密,对发送的消息加密;验证客户端网关可信,服务端网关与客户端网关建立第二通信链路,客户端网关对该第二通信链路进行加密,使得对传输在第二通信链路上的所有信息进行加密,信息在第二通信链路上的服务端网关或客户端网关都可以对接收的消息解密,对发送的消息加密。客户端网关通过加密之后的第一通信链路连接终端,并通过加密之后的第二通信链路连接服务端网关,以形成终端与服务端网关之间的加密的所述第三通信链路。其中,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路之后,客户端网关相当于一个链路中的节点,仅用于对连接的两个链路中传输的数据进行加解密。
进一步的,通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路,包括:
向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;
向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥。
示例地,第一加密密钥可以理解为终端或客户端网关将消息在第一通信链路中传输之前加密所使用的密钥,以便于将第一通信链路中的消息变为加密后的消息,避免消息泄露带来的损失。第二解密密钥可以理解为客户端网关或服务端网关接收第二通信链路传输的消息进行解密所使用的密钥,以便于对第二通信链路中的消息进行解密得到正确的消息。
具体实现中,验证终端可信,客户端网关与终端建立第一通信链路,并对该第一通信链路进行加密,使得对传输在第一通信链路上的所有信息进行加密,在客户端网关对第一通信链路加密,向终端发送第一通信链路中加密所使用的第一加密密钥,同步给终端第一通信链路中加解密的密钥,以便于终端对接收的消息进行解密,对发送的消息进行加密。验证客户端网关可信,服务端网关与客户端网关建立第二通信链路,同时客户端网关对该第二通信链路进行加密,并向服务端网关发送第二通信链路中解密所使用的第二解密密钥,同步给服务端网关第二通信链路中加解密的密钥,以便于服务端网关对接收的消息进行解密,对发送的消息进行加密。
进一步的,所述向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥之后,还包括:
通过所述第一通信链路接收所述终端发送的第一加密访问请求,并使用所述第一加密密钥对应的第一解密密钥对所述第一加密访问请求进行解密,得到所述访问请求,所述第一加密访问请求由所述终端利用所述第一加密密钥对所述访问请求加密得到;
利用所述第二解密密钥对应的第二加密密钥对所述访问请求进行加密得到第二加密访问请求,通过所述第二通信链路将所述第二加密访问请求发送给所述服务端网关,以使得所述服务端网关使用所述第二解密密钥解密所述第二加密访问请求得到所述访问请求。
示例地,第一解密密钥可以理解为客户端网关或终端接收第一通信链路传输的消息进行解密所使用的密钥,以便于对第一通信链路中的消息进行解密得到正确的消息。第二加密密钥可以理解为服务端网关或客户端网关将消息在第二通信链路中传输之前加密所使用的密钥,以便于将第二通信链路中的消息变为加密后的消息,避免消息泄露带来的损失。
具体实现中,通过第一通信链路接收终端发送的第一加密访问请求,并使用第一加密密钥对应的第一解密密钥对第一加密访问请求进行解密,得到访问请求,第一加密访问请求由终端利用第一加密密钥对访问请求加密得到;利用第二解密密钥对应的第二加密密钥对访问请求进行加密得到第二加密访问请求,通过第二通信链路将所述第二加密访问请求发送给服务端网关,以使得服务端网关使用第二解密密钥解密第二加密访问请求得到访问请求。接收服务端网关使用第二加密密钥返回的第二加密访问资源,并根据第二解密密钥得到该访问资源,并通过第一加密密钥对该访问资源进行加密得到第一加密访问资源,通过第一通信链路将第一加密访问资源传输给终端,终端通过第一解密密钥对第一加密访问资源解密得到访问资源。
本发明实施例,通过接收终端发送的访问请求,并验证所述终端是否可信;在终端可信时,建立客户端网关与终端之间的第一通信链路;向验证服务器发送访问请求,以使得验证服务器验证客户端网关是否可信;在客户端网关可信时,建立客户端网关与服务端网关之间的第二通信链路;通过第一通信链路连接终端,并通过第二通信链路连接服务端网关,以形成终端与服务端网关之间的第三通信链路。即本发明实施例解决了终端使用共享线路访问数据资源被劫持,造成其他数据资源无法访问的问题,利用客户端网关分别与终端和服务端网关建立链路,并通过客户端网关形成终端与服务端网关之间的通信链路,实现各个通信链路在网络中的隔离,避免了使用共享线路造成的病毒感染。
图3是本发明实施例提供的通信建立装置的结构示意图,如图3所示,该通信装置包括:
访问接收模块310,用于接收终端发送的访问请求,并验证所述终端是否可信;
第一链路建立模块320,用于在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
可信验证模块330,用于向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
第二链路建立模块340,用于在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
第三链路建立模块350,用于通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
一实施例中,所述访问接收模块310验证所述终端是否可信,包括:
确定从所述验证服务器中获取的已注册终端信息中是否存在所述终端的标识信息;
当所述已注册终端信息中存在所述终端的标识信息,确定所述终端可信。
一实施例中,所述访问接收模块310验证所述终端是否可信,包括:
向所述验证服务器发送所述终端的标识信息,以使得所述验证服务器根据所述终端的标识信息验证所述终端是否可信,并接收所述验证服务器发送的可信验证消息,所述可信验证消息用于指示所述终端是否可信。
一实施例中,所述第三链路建立模块350通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路,包括:
确定所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求是否一致;
当所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求一致,通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
一实施例中,所述第三链路建立模块350在通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路之后,还包括:
加密所述第一通信链路,并加密所述第二通信链路;
通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路。
一实施例中,所述第三链路建立模块350通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路,包括:
向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;
向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥。
一实施例中,所述第三链路建立模块350向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥之后,还包括:
通过所述第一通信链路接收所述终端发送的第一加密访问请求,并使用所述第一加密密钥对应的第一解密密钥对所述第一加密访问请求进行解密,得到所述访问请求,所述第一加密访问请求由所述终端利用所述第一加密密钥对所述访问请求加密得到;
利用所述第二解密密钥对应的第二加密密钥对所述访问请求进行加密得到第二加密访问请求,通过所述第二通信链路将所述第二加密访问请求发送给所述服务端网关,以使得所述服务端网关使用所述第二解密密钥解密所述第二加密访问请求得到所述访问请求。
本发明实施例,通过接收终端发送的访问请求,并验证所述终端是否可信;在终端可信时,建立客户端网关与终端之间的第一通信链路;向验证服务器发送访问请求,以使得验证服务器验证客户端网关是否可信;在客户端网关可信时,建立客户端网关与服务端网关之间的第二通信链路;通过第一通信链路连接终端,并通过第二通信链路连接服务端网关,以形成终端与服务端网关之间的第三通信链路。即本发明实施例解决了终端使用共享线路访问数据资源被劫持,造成其他数据资源无法访问的问题,利用客户端网关分别与终端和服务端网关建立链路,并通过客户端网关形成终端与服务端网关之间的通信链路,实现各个通信链路在网络中的隔离,避免了使用共享线路造成的病毒感染。
图4为本发明实施例提供的一种电子设备的结构示意图。图4示出了适于用来实现本发明实施方式的示例性电子设备12的框图。图4显示的电子设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备12以通用计算设备的形式表现。电子设备12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该电子设备12交互的设备通信,和/或与使得该电子设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与电子设备12的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元16通过运行存储在系统存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的通信建立方法,该方法包括:
接收终端发送的访问请求,并验证所述终端是否可信;
在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如所述的通信建立方法,该方法包括:
接收终端发送的访问请求,并验证所述终端是否可信;
在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种通信建立方法,其特征在于,应用于客户端网关,包括:
接收终端发送的访问请求,并验证所述终端是否可信;
在所述终端可信时,建立所述客户端网关与所述终端之间的第一通信链路;
向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
2.根据权利要求1所述的方法,其特征在于,所述验证所述终端是否可信,包括:
确定从所述验证服务器中获取的已注册终端信息中是否存在所述终端的标识信息;
当所述已注册终端信息中存在所述终端的标识信息,确定所述终端可信。
3.根据权利要求1所述的方法,其特征在于,所述验证所述终端是否可信,包括:
向所述验证服务器发送所述终端的标识信息,以使得所述验证服务器根据所述终端的标识信息验证所述终端是否可信,并接收所述验证服务器发送的可信验证消息,所述可信验证消息用于指示所述终端是否可信。
4.根据权利要求1所述的方法,其特征在于,所述通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路,包括:
确定所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求是否一致;
当所述第一通信链路对应的访问请求与所述第二通信链路对应的访问请求一致,通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
5.根据权利要求4所述的方法,其特征在于,所述通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路,包括:
加密所述第一通信链路,并加密所述第二通信链路;
通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路。
6.根据权利要求5所述的方法,其特征在于,在通过加密之后的所述第一通信链路连接所述终端,并通过加密之后的所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的加密的所述第三通信链路之后,还包括:
向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;
向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥。
7.根据权利要求6所述的方法,其特征在于,所述向所述终端发送所述第一通信链路中加密所使用的第一加密密钥;向所述服务端网关发送所述第二通信链路中解密所使用的第二解密密钥之后,还包括:
通过所述第一通信链路接收所述终端发送的第一加密访问请求,并使用所述第一加密密钥对应的第一解密密钥对所述第一加密访问请求进行解密,得到所述访问请求,所述第一加密访问请求由所述终端利用所述第一加密密钥对所述访问请求加密得到;
利用所述第二解密密钥对应的第二加密密钥对所述访问请求进行加密得到第二加密访问请求,通过所述第二通信链路将所述第二加密访问请求发送给所述服务端网关,以使得所述服务端网关使用所述第二解密密钥解密所述第二加密访问请求得到所述访问请求。
8.一种通信建立装置,其特征在于,包括:
访问接收模块,用于接收终端发送的访问请求,并验证所述终端是否可信;
第一链路建立模块,用于在所述终端可信时,建立客户端网关与所述终端之间的第一通信链路;
可信验证模块,用于向验证服务器发送所述访问请求,以使得所述验证服务器验证所述客户端网关是否可信;
第二链路建立模块,用于在所述客户端网关可信时,建立所述客户端网关与服务端网关之间的第二通信链路;
第三链路建立模块,用于通过所述第一通信链路连接所述终端,并通过所述第二通信链路连接所述服务端网关,以形成所述终端与所述服务端网关之间的第三通信链路。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至7中任一所述的通信建立方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一所述的通信建立方法。
CN202111405094.7A 2021-11-24 2021-11-24 一种通信建立方法、装置、电子设备及存储介质 Active CN114125027B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111405094.7A CN114125027B (zh) 2021-11-24 2021-11-24 一种通信建立方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111405094.7A CN114125027B (zh) 2021-11-24 2021-11-24 一种通信建立方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114125027A CN114125027A (zh) 2022-03-01
CN114125027B true CN114125027B (zh) 2024-04-05

Family

ID=80372210

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111405094.7A Active CN114125027B (zh) 2021-11-24 2021-11-24 一种通信建立方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114125027B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074845B (zh) * 2023-04-06 2023-06-13 中诚华隆计算机技术有限公司 一种数据安全传输方法和装置
CN116980231B (zh) * 2023-09-19 2023-11-28 成都交大光芒科技股份有限公司 一种双链路冗余安全通信方法和装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106664522A (zh) * 2014-09-26 2017-05-10 苹果公司 用于移动设备的网络带宽共享
CN107040513A (zh) * 2016-06-30 2017-08-11 北京动石科技有限公司 一种可信访问认证处理方法、用户终端和服务端
WO2018096449A1 (en) * 2016-11-23 2018-05-31 Telefonaktiebolaget Lm Ericsson (Publ) User identity privacy protection in public wireless local access network, wlan, access
CN108810023A (zh) * 2018-07-19 2018-11-13 北京智芯微电子科技有限公司 安全加密方法、密钥共享方法以及安全加密隔离网关
CN110235456A (zh) * 2017-01-09 2019-09-13 云丁网络技术(北京)有限公司 智能设备入网方法、移动终端、云服务器、设备及系统
CN111371798A (zh) * 2020-02-24 2020-07-03 迈普通信技术股份有限公司 数据安全传输方法、系统、装置及存储介质
CN113472758A (zh) * 2021-06-21 2021-10-01 北京沃东天骏信息技术有限公司 访问控制方法、装置、终端、连接器及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005159431A (ja) * 2003-11-20 2005-06-16 Nec Infrontia Corp シグナリング方法並びにサーバ及びゲートウェイ端末

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106664522A (zh) * 2014-09-26 2017-05-10 苹果公司 用于移动设备的网络带宽共享
CN107040513A (zh) * 2016-06-30 2017-08-11 北京动石科技有限公司 一种可信访问认证处理方法、用户终端和服务端
WO2018096449A1 (en) * 2016-11-23 2018-05-31 Telefonaktiebolaget Lm Ericsson (Publ) User identity privacy protection in public wireless local access network, wlan, access
CN110235456A (zh) * 2017-01-09 2019-09-13 云丁网络技术(北京)有限公司 智能设备入网方法、移动终端、云服务器、设备及系统
CN108810023A (zh) * 2018-07-19 2018-11-13 北京智芯微电子科技有限公司 安全加密方法、密钥共享方法以及安全加密隔离网关
CN111371798A (zh) * 2020-02-24 2020-07-03 迈普通信技术股份有限公司 数据安全传输方法、系统、装置及存储介质
CN113472758A (zh) * 2021-06-21 2021-10-01 北京沃东天骏信息技术有限公司 访问控制方法、装置、终端、连接器及存储介质

Also Published As

Publication number Publication date
CN114125027A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
US10554420B2 (en) Wireless connections to a wireless access point
US7886339B2 (en) Radius security origin check
EP2973188B1 (en) Secondary device as key for authorizing access to resources
CN114125027B (zh) 一种通信建立方法、装置、电子设备及存储介质
US20150172064A1 (en) Method and relay device for cryptographic communication
US10257171B2 (en) Server public key pinning by URL
CN111835774B (zh) 数据处理方法、装置、设备及存储介质
US20180375648A1 (en) Systems and methods for data encryption for cloud services
CN111586021B (zh) 一种远程办公业务授权方法、终端及系统
CN113225351B (zh) 一种请求处理方法、装置、存储介质及电子设备
CN111914229A (zh) 一种身份验证方法、装置、电子设备及存储介质
CN112118242A (zh) 零信任认证系统
CN115333839A (zh) 数据安全传输方法、系统、设备及存储介质
CN109960935B (zh) 确定tpm可信状态的方法、装置及存储介质
CN113965425B (zh) 物联网设备的接入方法、装置、设备及计算机可读存储介质
CN108989302B (zh) 一种基于密钥的opc代理连接系统和连接方法
CN114301967B (zh) 窄带物联网控制方法、装置及设备
US9071596B2 (en) Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
CN113992734A (zh) 会话连接方法及装置、设备
KR20180031435A (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
KR100924951B1 (ko) 네트워크 연동 보안 게이트웨이 장치 및 방법
CN111628972A (zh) 一种数据加解密装置、方法、系统及存储介质
CN114584299B (zh) 数据处理方法、装置、电子设备和存储介质
WO2023078106A1 (zh) 加密流量的访问控制方法、装置及系统
CN116074129B (zh) 一种集成与兼容第三方认证的登录方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant