WO2019109533A1 - 安全通信方法、装置、计算机设备及存储介质 - Google Patents

Abstract

本申请涉及一种安全通信方法、装置、计算机设备及存储介质，该方法包括获取接收端标识；根据接收端标识查询由接收端生成的自签名的第一根证书；通过第一根证书对通信数据进行加密；将加密后通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密，第一私钥与第一根证书相对应。上述安全通信方法、装置、计算机设备及存储介质，通过向通信的对方发送自签名的根证书，例如接收端向发送端发送自签名的根证书，从而发送端可以根据接收端自签名的根证书对通信数据进行签名，这样只有拥有对应的私钥的终端，即接收端才能够获取到通信数据的明文，可以防止通信服务器获取到通信数据的明文，以及保证私钥的安全性，提高了通信数据的安全性。

Description

安全通信方法、装置、计算机设备及存储介质

本申请申明享有2017年12月8日递交的申请号为201711293155.9、名称为“安全通信方法、装置、计算机设备及存储介质”的中国专利申请的优先权，该中国专利申请的整体内容以参考的方式结合在本申请中。

技术领域

本申请涉及计算机技术领域，特别是涉及一种安全通信方法、装置、计算机设备及存储介质。

背景技术

通常通信过程中的安全是由通信服务器和通信双方共同保证的，即通信服务器端是可以看到通信双方的通信内容的，从而通信服务器端可以获取到通信内容，这样会导致通信内容泄露。传统上，为了避免这种情况，通信客户端向权威的证书提供商CA来申请签发证书，并用该签发的证书来保证通信双发。但是在该种情况下，信息安全完全依赖于证书提供商，一旦证书提供商将证书泄露，则仍旧会造成通信内容泄露。

发明内容

基于此，有必要针对上述通信内容泄露的问题，提供一种安全通信方法、装置、计算机设备及存储介质。

一种安全通信方法，所述方法包括：获取接收端标识，所述接收端标识可以唯一确定接收端；根据所述接收端标识查询由接收端生成的自签名的第一根证书；通过所述第一根证书对通信数据进行加密；将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。

一种安全通信装置，所述装置包括：

接收端标识获取模块，用于获取接收端标识，所述接收端标识可以唯一确定接收端；

查询模块，用于根据所述接收端标识查询由接收端生成的自签名的第一根证书；

第一加密模块，用于通过所述第一根证书对通信数据进行加密；

发送模块，用于将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。

一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：获取接收端标识，所述接收端标识可以唯一确定接收端；根据所述接收端标识查询由接收端生成的自签名的第一根证书；通过所述第一根证书对通信数据进行加密；将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。

一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以下步骤：获取接收端标识，所述接收端标识可以唯一确定接收端；根据所述接收端标识查询由接收端生成的自签名的第一根证书；通过所述第一根证书对通信数据进行加密；将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。

上述安全通信方法、装置、计算机设备及存储介质，通过向通信的对方发送自签名的根证书，例如接收端向发送端发送自签名的根证书，从而发送端可以根据接收端自签名的根证书对通信数据进行签名，这样只有拥有对应的私钥的终端，即接收端才能够获取到通信数据的明文，可以防止通信服务 器获取到通信数据的明文，以及保证私钥的安全性，提高了通信数据的安全性。

附图说明

图1为一实施例中安全通信方法的应用环境图；

图2为一实施例中的安全通信方法的流程图；

图3为一实施例中数据流向的时序图；

图4为一实施例中的密钥生成步骤的流程图；

图5为一实施例中的安装步骤的流程图；

图6为一实施例中邮件发送界面的示意图；

图7为一实施例中邮件接收界面的示意图；

图8为一实施例中密码输入界面的示意图；

图9为一实施例中证书存储路径界面的示意图；

图10为一实施例中第二根证书安装界面的示意图；

图11为一实施例中加密邮件的示意图；

图12为一实施例中的安全通信装置的示意图；

图13为一实施例中的计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本申请，并不用于限定本申请。

在详细说明根据本申请的实施例前，应该注意到的是，所述的实施例主要在于与安全通信方法、装置、计算机设备及存储介质相关的步骤和系统组件的组合。因此，所属系统组件和方法步骤已经在附图中通过常规符号在适当的位置表示出来了，并且只示出了与理解本申请的实施例有关的细节，以 免因对于得益于本申请的本领域普通技术人员而言显而易见的那些细节模糊了本申请的公开内容。

本申请提供的安全通信方法，可以应用于如图1所示的应用环境中。其中，发送端通过网络与接收端相连接，其中发送端和接收端可以是但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。其中发送端和接收端的通信可以是短信通信或者是通过其中安装的通信客户端进行通信，例如邮件客户端、微信、QQ等即使通信客户端。

在一个实施例中，如图2所示，提供了一种安全通信方法，以该方法应用于图1中的发送端为例进行说明，包括以下步骤：

S202：获取接收端标识，接收端标识可以唯一确定接收端。

具体地，接收端标识可以唯一地确定接收端，其可以是接收端的用户名、接收端的账号等。

S204：根据接收端标识查询由接收端生成的自签名的第一根证书。

具体地，第一根证书是由接收端生成的，接收端生成自签名的第一根证书和第一私钥，并将第一根证书和第一私钥进行安装，保证了只有接收端授权的发送端才可以使用该第一根证书对通信数据进行加密，从而保证只有接收端才能看到通信数据的明文。

S206：通过第一根证书对通信数据进行加密。

具体地，发送端通过接收端标识获取到第一根证书后，则通过第一根证书对通信数据进行加密，从而保证只有具有与第一根证书对应的第一私钥的接收端才可以获取到通信数据的明文，保证了通信数据的安全性。且通过下发到发送端的第一根证书对数据进行加密，而不是通过发送端本身的第二私钥进行加密，可以保证只有具有第一私钥的接收端才可以获取到通信数据的明文，进一步保障了数据的安全性。

S208：将加密后的通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密，第一私钥与第一根证书相对应。

具体地，将通过第一根证书加密的通信数据发送至接收端，接收端通过已安装的第一私钥对加密的通信数据进行解密即可以看到明文，且在发送过程中，通信服务器是无法看到该通信数据的明文的，因为通信服务器并没有相应的第一私钥，从而保证了通信数据的安全性。

上述安全通信方法，通过向通信的对方发送自签名的根证书，使得发送端可以根据接收端自签名的根证书对通信数据进行签名，这样只有拥有对应的私钥的终端，可以防止通信服务器获取到通信数据的明文，以及保证私钥的安全性，提高了通信数据的安全性。

在其中一个实施例中，上述安全通信方法还可以包括一预处理步骤，该预处理步骤可以是在图2所示的实施例之前被执行，该预处理步骤可以包括：生成自签名的第二根证书以及与第二根证书对应的第二私钥；安装自签名的第二根证书以及第二私钥；将自签名的第二根证书发送至接收端，以使接收端安装第二根证书。

上述实施例中，通过生成自签名的根证书和私钥，将自签名的根证书发送给授权的通信终端，可以保证只有拥有私钥的通信终端可以看到通过根证书加密的通信数据，提高了通信数据的安全性。

在其中一个实施例中，上述安全通信方法还包括一双层加密的步骤，该双层加密的步骤可以是在通过第一根证书对通信数据进行加密的步骤之后被执行，该双层加密的步骤可以包括：通过第二私钥对经过第一根证书加密后的通信数据进行加密。从而将加密后的通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密的步骤可以包括：将经过第一根证书和第二私钥加密后的通信数据发送至接收端，以使接收端通过第二证书以及第一私钥对通信数据进行解密。

参见图3，图3为一实施例中数据流向的时序图，在该实施例中，发送端生成并安装自签名的第二根证书和第二私钥，并将第二根证书发送至接收端进行安装；接收端生成并安装自签名的第一根证书和第一私钥，并将第一 根证书发送至发送端进行安装。

具体地，当发送端需要向接收端发送通信数据时，首先查询与接收端标识对应的第一根证书，并通过第一根证书对通信数据进行加密，然后通过发送端生成的自签名的第二私钥对该加密后的通信数据再进行一次加密，双层加密的方式可以增加数据的安全性，将经过双层加密后的通信数据发送给接收端。接收端接收到该通信数据后，首先根据发送端标识进行查询，获取到第二根证书，通过该第二根证书对该双层加密后的通信数据进行解密；然后获取到接收端安装的第一私钥，再通过第一私钥进行解密后得到通信数据的明文并显示。

该实施例中，通过双层加密的方式对通信数据进行加密，进一步保证了通信数据的安全性。

在其中一个实施例中，参见图4，图4为一实施例中的密钥生成步骤的流程图，该密钥生成步骤，即生成自签名的第二根证书以及与第二根证书对应的第二私钥的步骤可以包括：

S402：通过开源工具生成第二根证书的公私钥。

S404：获取与第二根证书对应的用户信息。

S406：根据用户信息和公私钥生成自签名的第二根证书。

S408：获取与第二私钥对应的第一密码。

S410：根据第一密码生成与第二根证书对应的第二私钥。

上述实施例中，第二根证书和第二私钥包含了用户信息，保证了第二根证书和第二私钥的唯一性，另外给第二私钥设置了第一密码，进一步保证了第二私钥的安全性。

在其中一个实施例中，参见图5，图5为一实施例中的安装步骤的流程图，该安装步骤，即安装自签名的第二根证书以及第二私钥的步骤可以包括：

S502：将自签名的第二根证书以及第二私钥存储至通信客户端。

具体地，为了将第二根证书和第二私钥安装到发送端的通信客户端中， 例如安装到发送端的邮箱客户端或即时通信客户端等。其中以邮件客户端为例进行说明，可以通过第三终端登录邮箱客户端，然后将该第二根证书和第二私钥通过该第三终端中的邮箱客户端发送到自己的邮箱中，例如以附件的形式进行发送，如图6所示。然后在发送端的邮箱客户端接收到该邮件以实现对第二根证书和第二私钥的存储，如图7所示。在其他实施例中通信客户端可以是即时通信客户端，其也可以通过第三终端发送该第二根证书和第二私钥，从而在发送端接收到该第二根证书和第二私钥，以实现将第二根证书和第二私钥存储至通信终端。

S504：接收针对第二私钥的第一安装指令以及与第一安装指令对应的第二密码。

具体地，用户可以通过点击通信客户端中的第二私钥以向发送端发送针对第二私钥的第一安装指令，当发送端接收到该第一安装指令时，则显示密码输入界面，如图8所示，用户向该密码输入界面输入第二密码，从而发送端可以接收到该第二密码。

S506：当第二密码与第一密码相同时，则安装第二私钥。

具体地，发送端在接收到该第二密码后，则将第二密码与第一密码进行比较，只有当第一密码和第二密码相同时，才会安装第二私钥，这样可以保证第二私钥的安全性。参阅图9，在安装完该第二私钥后，可以查看该安装的第二私钥，具体路径为：设置->通用->描述文件与配置管理。

S508：接收针对第二根证书的第二安装指令；根据第二安装指令安装第二根证书

具体地，在安装完第二私钥后，发送端再对第二根证书进行安装，如图10所示，从而将该第二根证书和第二私钥部署在发送端。对于接收端的第一根证书和第一私钥的部署过程可以参见上文中在发送端部署第二根证书和第二私钥的过程，在此不再赘述。

上述实施例中，对第二私钥通过密码进行了保护，保证了第二私钥的安 全性，从而可以提高通信数据的安全性。

在其中一个实施例中，该安全通信的方法还可以包括：接收接收端发送的通过第二根证书加密的自签名的第一根证书；通过第二私钥对加密的第一根证书进行解密得到解密后的第一根证书；安装解密后的第一根证书。

上述实施例中，通过发送端的自签名的第二证书来对第一根证书进行加密，保证了第一根证书在传输过程中的安全性，从而可以保证后续传输过程的安全性。

在其中一个实施例中，为了保证第一根证书的安全性，安装第一根证书的步骤之前，还可以包括：接收第三终端发送的由接收端自签名的第一根证书；当所接收的第三终端发送的由接收端自签名的第一根证书与解密后的第一根证书相同时，则安装第一根证书。

其中该第三终端可以是U盘等终端，此处是为了保证通过U盘等终端发送的第一根证书的安全性，即通过第三终端接收的自签名的第一根证书是没有进行加密传输的，其极易被篡改等，为了保证此种情况下第一根证书的安全性，可以再通过加密的方式传输一次第一根证书，即接收端通过第二根证书加密第一根证书，并将第一根证书发送至发送端，发送端接收到该加密的第一根证书后，通过第二私钥进行解密得到第一根证书，再将该第一根证书与通过第三终端发送的第一根证书进行比较，只有两者相同，才会安装该第一根证书。参见图11，在实际应用中，以邮箱客户端为例，发送端接收到电子邮件后，电子邮件的发件人的位置处可以设置一个标识，图11中为一个打钩的符号，这个符号说明该电子邮件是经过第二根证书加密的电子邮件，可以通过点击该符号进一步查看第一根证书的详细信息，例如还可以点击“显示证书”按钮查看到第一根证书的标识并判断该第一根证书的标识与通过U盘等渠道获取到的第一根证书的标识是否一致，如果一致，则可以安装该第一根证书。

上述实施例中，通过对第一根证书进行了进一步地验证，保证了第一根 证书的安全性，进一步为后续安全通信奠定了基础。

应该理解的是，虽然图2-5的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-5中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图12所示，提供了一种安全通信装置，装置包括：

接收端标识获取模块100，用于获取接收端标识，接收端标识可以唯一确定接收端。查询模块200，用于根据接收端标识查询由接收端生成的自签名的第一根证书。第一加密模块300，用于通过第一根证书对通信数据进行加密。通信数据发送模块400，用于将加密后的通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密，第一私钥与第一根证书相对应。

在其中一个实施例中，该安全通信装置还可以包括：生成模块，用于生成自签名的第二根证书以及与第二根证书对应的第二私钥。第一安装模块，用于安装自签名的第二根证书以及第二私钥。证书发送模块，用于将自签名的第二根证书发送至接收端，以使接收端安装第二根证书。

在其中一个实施例中，该安全通信装置还可以包括：第二加密模块，用于在通过第一根证书对通信数据进行加密后，通过第二私钥对经过第一根证书加密后的通信数据进行加密。通信数据发送模块还用于将经过第一根证书和第二私钥加密后的通信数据发送至接收端，以使接收端通过第二证书以及第一私钥对通信数据进行解密。

在其中一个实施例中，生成模块可以包括：公私钥生成单元，用于通过 开源工具生成第二根证书的公私钥。用户信息获取单元，用于获取与第二根证书对应的用户信息。根证书生成单元，用于根据用户信息和公私钥生成自签名的第二根证书。密码获取单元，用于获取与第二私钥对应的第一密码。私钥生成单元，用于根据第一密码生成与第二根证书对应的第二私钥。

在其中一个实施例中，第一安装模块可以包括：存储单元，用于将自签名的第二根证书以及第二私钥存储至通信客户端。第一安装指令接收单元，用于接收针对第二私钥的第一安装指令以及与第一安装指令对应的第二密码。第一安装单元，用于当第二密码与第一密码相同时，则安装第二私钥。第二安装指令接收单元，用于接收针对第二根证书的第二安装指令。第二安装单元，用于根据第二安装指令安装第二根证书。

在其中一个实施例中，该安全通信装置还可以包括：第一接收模块，用于接收接收端发送的通过第二根证书加密的自签名的第一根证书。解密模块，用于通过第二私钥对加密的第一根证书进行解密得到解密后的第一根证书。第二安装模块，用于安装解密后的第一根证书。

在其中一个实施例中，该安全通信装置还可以包括：第二接收模块，用于接收第三终端发送的由接收端自签名的第一根证书。第二安装模块还用于当所接收的第三终端发送的由接收端自签名的第一根证书与解密后的第一根证书相同时，则安装第一根证书。

上述安全通信装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图13所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介 质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种安全通信方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等

本领域技术人员可以理解，图13中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：获取接收端标识，接收端标识可以唯一确定接收端；根据接收端标识查询由接收端生成的自签名的第一根证书；通过第一根证书对通信数据进行加密；将加密后的通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密，第一私钥与第一根证书相对应。

在其中一个实施例中，处理器执行计算机程序时还实现以下步骤：生成自签名的第二根证书以及与第二根证书对应的第二私钥；安装自签名的第二根证书以及第二私钥；将自签名的第二根证书发送至接收端，以使接收端安装第二根证书。

在其中一个实施例中，处理器执行计算机程序时所实现的通过第一根证书对通信数据进行加密的步骤之后，还可以包括：通过第二私钥对经过第一根证书加密后的通信数据进行加密；从而处理器执行计算机程序时所实现的将加密后的通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密的步骤，可以包括：将经过第一根证书和第二私钥加密后的通信数据 发送至接收端，以使接收端通过第二证书以及第一私钥对通信数据进行解密。

在其中一个实施例中，处理器执行计算机程序时所实现的生成自签名的第二根证书以及与第二根证书对应的第二私钥的步骤可以包括：通过开源工具生成第二根证书的公私钥；获取与第二根证书对应的用户信息；根据用户信息和公私钥生成自签名的第二根证书；获取与第二私钥对应的第一密码；根据第一密码生成与第二根证书对应的第二私钥。

在其中一个实施例中，处理器执行计算机程序时所实现的安装自签名的第二根证书以及第二私钥的步骤可以包括：将自签名的第二根证书以及第二私钥存储至通信客户端；接收针对第二私钥的第一安装指令以及与第一安装指令对应的第二密码；当第二密码与第一密码相同时，则安装第二私钥；接收针对第二根证书的第二安装指令；根据第二安装指令安装第二根证书。

在其中一个实施例中，处理器执行计算机程序时还可以实现以下步骤：接收接收端发送的通过第二根证书加密的自签名的第一根证书；通过第二私钥对加密的第一根证书进行解密得到解密后的第一根证书；安装解密后的第一根证书。

在其中一个实施例中，处理器执行计算机程序时所实现的安装第一根证书的步骤之前，还可以包括：接收第三终端发送的由接收端自签名的第一根证书；当所接收的第三终端发送的由接收端自签名的第一根证书与解密后的第一根证书相同时，则继续安装第一根证书的步骤。

在其中一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：获取接收端标识，接收端标识可以唯一确定接收端；根据接收端标识查询由接收端生成的自签名的第一根证书；通过第一根证书对通信数据进行加密；将加密后的通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密。

在其中一个实施例中，计算机程序被处理器执行时还实现以下步骤：生 成自签名的第二根证书以及与第二根证书对应的第二私钥；安装自签名的第二根证书以及第二私钥；将自签名的第二根证书发送至接收端，以使接收端安装第二根证书。

在其中一个实施例中，计算机程序被处理器执行时所实现的通过第一根证书对通信数据进行加密的步骤之后，还可以包括：通过第二私钥对经过第一根证书加密后的通信数据进行加密；从而处理器执行计算机程序时所实现的将加密后的通信数据发送至接收端，以使接收端通过第一私钥对通信数据进行解密的步骤，可以包括：将经过第一根证书和第二私钥加密后的通信数据发送至接收端，以使接收端通过第二证书以及第一私钥对通信数据进行解密。

在其中一个实施例中，计算机程序被处理器执行时所实现的生成自签名的第二根证书以及与第二根证书对应的第二私钥的步骤可以包括：通过开源工具生成第二根证书的公私钥；获取与第二根证书对应的用户信息；根据用户信息和公私钥生成自签名的第二根证书；获取与第二私钥对应的第一密码；根据第一密码生成与第二根证书对应的第二私钥。

在其中一个实施例中，计算机程序被处理器执行时所实现的安装自签名的第二根证书以及第二私钥的步骤可以包括：将自签名的第二根证书以及第二私钥存储至通信客户端；接收针对第二私钥的第一安装指令以及与第一安装指令对应的第二密码；当第二密码与第一密码相同时，则安装第二私钥；接收针对第二根证书的第二安装指令；根据第二安装指令安装第二根证书。

在其中一个实施例中，计算机程序被处理器执行时还可以实现以下步骤：接收接收端发送的通过第二根证书加密的自签名的第一根证书；通过第二私钥对加密的第一根证书进行解密得到解密后的第一根证书；安装解密后的第一根证书。

在其中一个实施例中，计算机程序被处理器执行时所实现的安装第一根证书的步骤之前，还可以包括：接收第三终端发送的由接收端自签名的第一 根证书；当所接收的第三终端发送的由接收端自签名的第一根证书与解密后的第一根证书相同时，则继续安装第一根证书的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)、DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (20)

1. 一种安全通信方法，其特征在于，所述方法包括：

   获取接收端标识，所述接收端标识可以唯一确定接收端；根据所述接收端标识查询由接收端生成的自签名的第一根证书；通过所述第一根证书对通信数据进行加密；将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括：生成自签名的第二根证书以及与所述第二根证书对应的第二私钥；安装所述自签名的第二根证书以及所述第二私钥；将所述自签名的第二根证书发送至所述接收端，以使所述接收端安装所述第二根证书。
3. 根据权利要求2所述的方法，其特征在于，所述通过所述第一根证书对通信数据进行加密的步骤之后，还包括：通过所述第二私钥对经过所述第一根证书加密后的通信数据进行加密；所述将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密的步骤，包括：将经过所述第一根证书和所述第二私钥加密后的所述通信数据发送至所述接收端，以使所述接收端通过所述第二证书以及第一私钥对所述通信数据进行解密。
4. 根据权利要求2所述的方法，其特征在于，所述生成自签名的第二根证书以及与所述第二根证书对应的第二私钥的步骤，包括：通过开源工具生成第二根证书的公私钥；获取与所述第二根证书对应的用户信息；根据所述用户信息和所述公私钥生成自签名的第二根证书；获取与第二私钥对应的第一密码；根据所述第一密码生成与所述第二根证书对应的第二私钥。
5. 根据权利要求4所述的方法，其特征在于，所述安装所述自签名的第二根证书以及所述第二私钥的步骤，包括：将所述自签名的第二根证书以 及所述第二私钥存储至通信客户端；接收针对所述第二私钥的第一安装指令以及与所述第一安装指令对应的第二密码；当所述第二密码与所述第一密码相同时，则安装所述第二私钥；接收针对所述第二根证书的第二安装指令；根据所述第二安装指令安装所述第二根证书。
6. 根据权利要求2至5任一项所述的方法，其特征在于，所述方法还包括：接收所述接收端发送的通过所述第二根证书加密的自签名的第一根证书；通过所述第二私钥对加密的第一根证书进行解密得到解密后的第一根证书；安装所述解密后的第一根证书。
7. 根据权利要求6所述的方法，其特征在于，所述安装所述第一根证书的步骤之前，还包括：接收第三终端发送的由所述接收端自签名的第一根证书；当所接收的第三终端发送的由所述接收端自签名的第一根证书与解密后的第一根证书相同时，则继续安装所述第一根证书的步骤。
8. 一种安全通信装置，其特征在于，所述装置包括：

   接收端标识获取模块，用于获取接收端标识，所述接收端标识可以唯一确定接收端；查询模块，用于根据所述接收端标识查询由接收端生成的自签名的第一根证书；第一加密模块，用于通过所述第一根证书对通信数据进行加密；发送模块，用于将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。
9. 一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现以下步骤：获取接收端标识，所述接收端标识可以唯一确定接收端；根据所述接收端标识查询由接收端生成的自签名的第一根证书；通过所述第一根证书对通信数据进行加密；将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。
10. 根据权利要求9所述的计算机设备，其特征在于，所述处理器执行所述计算机程序时还实现以下步骤：生成自签名的第二根证书以及与所述第二根证书对应的第二私钥；安装所述自签名的第二根证书以及所述第二私钥；将所述自签名的第二根证书发送至所述接收端，以使所述接收端安装所述第二根证书。
11. 根据权利要求10所述的计算机设备，其特征在于，所述通过所述第一根证书对通信数据进行加密的步骤之后，还包括：通过所述第二私钥对经过所述第一根证书加密后的通信数据进行加密；所述将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密的步骤，包括：将经过所述第一根证书和所述第二私钥加密后的所述通信数据发送至所述接收端，以使所述接收端通过所述第二证书以及第一私钥对所述通信数据进行解密。
12. 根据权利要求10所述的计算机设备，其特征在于，所述生成自签名的第二根证书以及与所述第二根证书对应的第二私钥的步骤，包括：通过开源工具生成第二根证书的公私钥；获取与所述第二根证书对应的用户信息；根据所述用户信息和所述公私钥生成自签名的第二根证书；获取与第二私钥对应的第一密码；根据所述第一密码生成与所述第二根证书对应的第二私钥。
13. 根据权利要求12所述的计算机设备，其特征在于，所述安装所述自签名的第二根证书以及所述第二私钥的步骤，包括：将所述自签名的第二根证书以及所述第二私钥存储至通信客户端；接收针对所述第二私钥的第一安装指令以及与所述第一安装指令对应的第二密码；当所述第二密码与所述第一密码相同时，则安装所述第二私钥；接收针对所述第二根证书的第二安装指令；根据所述第二安装指令安装所述第二根证书。
14. 根据权利要求10-13中任一项所述的计算机设备，其特征在于，所述处理器执行所述计算机程序时还实现以下步骤：接收所述接收端发送的通 过所述第二根证书加密的自签名的第一根证书；通过所述第二私钥对加密的第一根证书进行解密得到解密后的第一根证书；接收第三终端发送的由所述接收端自签名的第一根证书；当所接收的第三终端发送的由所述接收端自签名的第一根证书与解密后的第一根证书相同时，则继续安装所述第一根证书的步骤。
15. 一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现以下步骤：获取接收端标识，所述接收端标识可以唯一确定接收端；根据所述接收端标识查询由接收端生成的自签名的第一根证书；通过所述第一根证书对通信数据进行加密；将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密，所述第一私钥与所述第一根证书相对应。
16. 根据权利要求15所述的存储介质，其特征在于，该计算机程序被处理器执行时还实现以下步骤：生成自签名的第二根证书以及与所述第二根证书对应的第二私钥；安装所述自签名的第二根证书以及所述第二私钥；将所述自签名的第二根证书发送至所述接收端，以使所述接收端安装所述第二根证书。
17. 根据权利要求16所述的存储介质，其特征在于，所述通过所述第一根证书对通信数据进行加密的步骤之后，还包括：通过所述第二私钥对经过所述第一根证书加密后的通信数据进行加密；所述将加密后的所述通信数据发送至所述接收端，以使所述接收端通过第一私钥对所述通信数据进行解密的步骤，包括：将经过所述第一根证书和所述第二私钥加密后的所述通信数据发送至所述接收端，以使所述接收端通过所述第二证书以及第一私钥对所述通信数据进行解密。
18. 根据权利要求16所述的存储介质，其特征在于，所述生成自签名的第二根证书以及与所述第二根证书对应的第二私钥的步骤，包括：通过开源工具生成第二根证书的公私钥；获取与所述第二根证书对应的用户信息； 根据所述用户信息和所述公私钥生成自签名的第二根证书；获取与第二私钥对应的第一密码；根据所述第一密码生成与所述第二根证书对应的第二私钥。
19. 根据权利要求18所述的存储介质，其特征在于，所述安装所述自签名的第二根证书以及所述第二私钥的步骤，包括：将所述自签名的第二根证书以及所述第二私钥存储至通信客户端；接收针对所述第二私钥的第一安装指令以及与所述第一安装指令对应的第二密码；当所述第二密码与所述第一密码相同时，则安装所述第二私钥；接收针对所述第二根证书的第二安装指令；根据所述第二安装指令安装所述第二根证书。
20. 根据权利要求15-19中任一项所述的存储介质，其特征在于，所述处理器执行所述计算机程序时还实现以下步骤：接收所述接收端发送的通过所述第二根证书加密的自签名的第一根证书；通过所述第二私钥对加密的第一根证书进行解密得到解密后的第一根证书；接收第三终端发送的由所述接收端自签名的第一根证书；当所接收的第三终端发送的由所述接收端自签名的第一根证书与解密后的第一根证书相同时，则继续安装所述第一根证书的步骤。

Images