CN106656955A - 一种通信方法及系统、客户端 - Google Patents
一种通信方法及系统、客户端 Download PDFInfo
- Publication number
- CN106656955A CN106656955A CN201610850759.8A CN201610850759A CN106656955A CN 106656955 A CN106656955 A CN 106656955A CN 201610850759 A CN201610850759 A CN 201610850759A CN 106656955 A CN106656955 A CN 106656955A
- Authority
- CN
- China
- Prior art keywords
- server
- digital certificate
- communication information
- digest value
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 198
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 43
- 230000005540 biological transmission Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 239000002184 metal Substances 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种通信方法及系统、客户端,其中,方法应用于客户端,包括:获取第三方认证平台提供的第一数字证书;将其发送至服务器,服务器在确定其状态为有效时,向客户端发送由第三方认证平台提供的第二数字证书;在确定第二数字证书的状态为有效时,获取第一通信信息;计算第一通信信息的第一摘要值,利用第二数字证书携带的第二公钥加密第一摘要值以形成第一数字签名;将第一通信信息和第一数字签名发送至服务器,以使服务器计算第一通信信息的第二摘要值,并根据对应的钥解密第一数字签名以获取第一摘要值,在第一摘要值与第二摘要值相同时,根据第一通信信息进行相应的业务处理。通过本发明的技术方案,可提高信息通信的安全性。
Description
技术领域
本发明涉及信息通信技术领域,特别涉及一种通信方法及系统、客户端。
背景技术
随着信息通信的不断发展,在人与人互不见面的互联网上进行信息通信时,如何确保信息通信的安全性一直是我们所面临且需要解决的问题。
目前,为了提高信息通信的安全性,确保通信信息由指定的用户发送至服务器,通常需要对通信信息进行加密,用户可在客户端将相应的身份信息发送至服务器,同时利用对应当前用户的加密秘钥及加密算法将通信信息进行加密以形成密文后发送至服务器,服务器根据相应的解密算法和解密秘钥解密接收的密文以得到通信信息,即可根据该通信信息及用户的身份信息进行相应的业务处理(比如订单申报)。
但是,上述技术方案中,服务器无法确定在客户端发送该通信信息和身份信息的用户是否为入侵者,同时,服务器无法确定接收的通信信息是否在传输过程中被入侵者恶意修改,信息通信的安全性极低。
发明内容
本发明实施例提供了一种通信方法及系统、客户端,可提高信息通信的安全性。
第一方面,本发明提供了一种通信方法,应用于客户端,包括:
获取并安装第三方认证平台提供的第一数字证书;
将所述第一数字证书发送至服务器,以使服务器在确定所述第一数字证书的状态为有效时,向客户端发送由第三方认证平台提供并安装在服务器内的第二数字证书;
接收服务器发送的第二数字证书,确定所述第二数字证书的状态是否为有效;
在所述第二数字证书的状态为有效时,获取第一通信信息;
计算所述第一通信信息的第一摘要值,并利用所述第二数字证书携带的第二公钥加密所述第一摘要值以形成第一数字签名;
将所述第一通信信息和所述第一数字签名发送至服务器,以使服务器接收并计算所述第一通信信息的第二摘要值,并根据对应所述第二公钥的第二私钥解密所述第一数字签名以获取所述第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
优选地,
在所述获取第一通信信息之前,还包括:
获取用户登录信息,向服务器发送携带所述登录信息的登录请求,以使服务器在确定所述登录信息与所述第一数字证书携带的用户信息相同时,允许当前客户端向服务器发送通信信息。
优选地,还包括:
接收服务器发送的第二通信信息以及第二数字签名,其中,所述第二数字签名由服务器计算所述第二通信信息的第三摘要值,并利用所述第一数字证书携带的第一公钥加密所述第三摘要值以形成;
计算所述第二通信信息的第四摘要值,并根据对应所述第一公钥的第一私钥解密所述第二数字签名以获取所述第二通信信息的第三摘要值;
在所述第三摘要值与所述第四摘要值相同时,根据所述第二通信信息进行相应的业务处理。
优选地,
所述获取并安装第三方认证平台提供的第一数字证书,包括:
从外部可移动存储介质中读取并安装由第三方认证平台灌装至外部可移动存储介质的第一数字证书。
第二方面,本发明实施例提供了一种客户端,包括:
证书获取单元,用于获取并安装第三方认证平台提供的第一数字证书;
证书发送单元,用于将所述第一数字证书发送至服务器,以使服务器在确定所述第一数字证书的状态为有效时,向客户端发送由第三方认证平台提供并安装在服务器内的第二数字证书;
证书认证单元,用于接收服务器发送的第二数字证书,确定所述第二数字证书的状态是否为有效;
信息获取单元,在所述第二数字证书的状态为有效时,获取第一通信信息;
加密处理单元,用于计算所述第一通信信息的第一摘要值,并利用所述第二数字证书携带的第二公钥加密所述第一摘要值以形成第一数字签名;
信息发送单元,用于将所述第一通信信息和所述第一数字签名发送至服务器,以使服务器接收并计算所述第一通信信息的第二摘要值,并根据对应所述第二公钥的第二私钥解密所述第一数字签名以获取所述第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
优选地,还包括:
登录处理单元,用于获取用户登录信息,向服务器发送携带所述登录信息的登录请求,以使服务器在确定所述登录信息与所述第一数字证书携带的用户信息相同时,允许当前客户端向服务器发送通信信息。
优选地,还包括:
信息接收单元,用于接收服务器发送的第二通信信息以及第二数字签名,其中,所述第二数字签名由服务器计算所述第二通信信息的第三摘要值,并利用所述第一数字证书携带的第一公钥加密所述第三摘要值以形成;
数据处理单元,用于计算所述第二通信信息的第四摘要值,并根据对应所述第一公钥的第一私钥解密所述第二数字签名以获取所述第二通信信息的第三摘要值;
业务处理单元,用于在所述第三摘要值与所述第四摘要值相同时,根据所述第二通信信息进行相应的业务处理。
优选地,
所述证书获取单元,用于从外部可移动存储介质中读取并安装由第三方认证平台灌装至外部可移动存储介质的第一数字证书。
第三方面,本发明实施例提供了一种通信系统,包括:
服务器、第三方认证平台,以及如上述第二方面中任一所述的客户端;其中,
所述第三方认证平台,用于向所述客户端提供第一数字证书,向所述服务器提供第二数字证书;
所述服务器,用于安装所述第三方认证平台提供的第二数字证书;在确定所述客户端发送的第一数字证书的状态为有效时,向所述客户端发送所述第二数字证书;计算所述客户端发送的第一通信信息的第二摘要值,并根据对应于所述第二数字证书携带的第二公钥的第二私钥,解密所述客户端发送的第一数字签名以获取第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
优选地,还包括:
可移动存储介质,用于存储由所述第三方认证平台灌装的第一数字证书。
本发明实施例提供了一种通信方法及系统、客户端,在该方法中,一方面,当存在用户需要通过客户端与服务器进行通信时,客户端获取并安装第三方认证平台提供的第一数字证书,并将第一数字证书发送至服务器,以使服务器在确定第一数字证书有效时,将由第三方认证平台提供并安装在服务器中的第二数字证书发送至当前客户端,进而由当前客户端确定接收的第二数字证书是否有效,如此,通过客户端与服务器互换第一数字证书和第二数字证书,以分别确定第一数字证书和第二数字证书的有效性,可实现对通信双方的身份进行认证,避免入侵者通过客户端恶意向服务器发送通信信息;另一方面,在针对通信双方的身份认证通过后,客户端获取第一通信信息,计算第一通信信息的第一摘要值,利用第二数字证书携带的第二公钥加密该第二摘要值以形成第一数字签名,并将第一数字签名和第一通信信息发送至服务器,使得服务器接收并计算出第一通信信息的第二摘要值,并根据对应于第二公钥的第二私钥解密第一数字签名以获取该第一摘要值,如果第一通信消息在传输过程中被入侵者恶意修改,那么服务器计算出的第二摘要值与第一摘要值则并不相同,因此,服务器只有在确定第一摘要值和第二摘要值相同时,才根据第一通信信息进行相应的业务处理;综上可见,服务器通过与客户端互换由第三方认证平台提供的数字证书以实现对通信双方的身份进行认证,避免入侵者通过客户端恶意向服务器发送通信信息,同时,服务器只有在确定客户端向服务器发送的通信信息在传输过程中未被入侵者恶意修改时,才根据通信信息进行相应的处理,可提高信息通信的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的通信方法的流程图;
图2是本发明一实施例提供的一种客户端的结构示意图;
图3是本发明一实施例提供的另一种客户端的结构示意图;
图4是本发明一实施例提供的一种通信系统的结构示意图;
图5是本发明一实施例提供的另一种通信系统的结构示意图;
图6是本发明一实施例提供的另一种通信方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种通信方法,应用于客户端,包括:
步骤101,获取并安装第三方认证平台提供的第一数字证书;
步骤102,将所述第一数字证书发送至服务器,以使服务器在确定所述第一数字证书的状态为有效时,向客户端发送由第三方认证平台提供并安装在服务器内的第二数字证书;
步骤103,接收服务器发送的第二数字证书,确定所述第二数字证书的状态是否为有效;
步骤104,在所述第二数字证书的状态为有效时,获取第一通信信息;
步骤105,计算所述第一通信信息的第一摘要值,并利用所述第二数字证书携带的第二公钥加密所述第一摘要值以形成第一数字签名;
步骤106,将所述第一通信信息和所述第一数字签名发送至服务器,以使服务器接收并计算所述第一通信信息的第二摘要值,并根据对应所述第二公钥的第二私钥解密所述第一数字签名以获取所述第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
本发明上述实施例中,一方面,当存在用户需要通过客户端与服务器进行通信时,客户端获取并安装第三方认证平台提供的第一数字证书,并将第一数字证书发送至服务器,以使服务器在确定第一数字证书有效时,将由第三方认证平台提供并安装在服务器中的第二数字证书发送至当前客户端,进而由当前客户端确定接收的第二数字证书是否有效,如此,通过客户端与服务器互换第一数字证书和第二数字证书,以分别确定第一数字证书和第二数字证书的有效性,可实现对通信双方的身份进行认证,避免入侵者通过客户端恶意向服务器发送通信信息;另一方面,在针对通信双方的身份认证通过后,客户端获取第一通信信息,计算第一通信信息的第一摘要值,利用第二数字证书携带的第二公钥加密该第二摘要值以形成第一数字签名,并将第一数字签名和第一通信信息发送至服务器,使得服务器接收并计算出第一通信信息的第二摘要值,并根据对应于第二公钥的第二私钥解密第一数字签名以获取该第一摘要值,如果第一通信消息在传输过程中被入侵者恶意修改,那么服务器计算出的第二摘要值与第一摘要值则并不相同,因此,服务器只有在确定第一摘要值和第二摘要值相同时,才根据第一通信信息进行相应的业务处理;综上可见,服务器通过与客户端互换由第三方认证平台提供的数字证书以实现对通信双方的身份进行认证,避免入侵者通过客户端恶意向服务器发送通信信息,同时,服务器只有在确定客户端向服务器发送的通信信息在传输过程中未被入侵者恶意修改时,才根据通信信息进行相应的处理,可提高信息通信的安全性。
应当理解的是,客户端和服务器分别认证第二数字证书和第一数字证书是否有效时,可通过数字证书中携带的有效日期、用户信息以及第三方认证平台的标识信息等各项参数中的一项或多项验证数字证书的有效性。
具体地,为了确保通过在客户端使用第一数字证书并向服务器发送第一通信信息的用户为该第一数字证书对应的用户本人,本发明一个优选实施例中,在所述获取第一通信信息之前,还包括:
获取用户登录信息,向服务器发送携带所述登录信息的登录请求,以使服务器在确定所述登录信息与所述第一数字证书携带的用户信息相同时,允许当前客户端向服务器发送通信信息。
本发明实施例中,当客户端获取的用户登录信息与第一数字证书中携带的用户信息不一致时,说明通过客户端访问服务器的用户使用的并不是自己的数字证书,服务器拒绝其访问;只有在客户端获取的登录信息与第一数字证书中携带的用户信息保持一致时,即确定通过客户端访问服务器的用户使用的是自己的数字证书时,服务器才允许其访问,即允许该用户通过客户端向服务器发送相应的通信信息。
进一步的,为了避免服务器向客户端发生的通信信息被入侵者恶意修改,导致客户端根据修改后的通信信息进行相应的处理,本发明一个优选实施例中,还包括:
接收服务器发送的第二通信信息以及第二数字签名,其中,所述第二数字签名由服务器计算所述第二通信信息的第三摘要值,并利用所述第一数字证书携带的第一公钥加密所述第三摘要值以形成;
计算所述第二通信信息的第四摘要值,并根据对应所述第一公钥的第一私钥解密所述第二数字签名以获取所述第二通信信息的第三摘要值;
在所述第三摘要值与所述第四摘要值相同时,根据所述第二通信信息进行相应的业务处理。
本发明实施例中,客户端只有在确定服务器向当前客户端发送的第二通信信息在传输过程中未发生修改时,才根据第二通信信息进行相应的业务处理,进一步提高信息通信的安全性。
进一步的,为了提高第一数字证书的安全性,第三方认证平台向指定用户提供的第一数字证书通常可以灌装至移动设备中,移动设备由相应指定保管,确保指定用户的登录信息泄露时,入侵者也因无法获取指定用户的第一数字证书,相应的,本发明一个优选实施例中,所述获取并安装第三方认证平台提供的第一数字证书,包括:
从外部可移动存储介质中读取并安装由第三方认证平台灌装至外部可移动存储介质的第一数字证书。
如图2所示,本发明实施例提供了一种客户端,包括:
证书获取单元201,用于获取并安装第三方认证平台提供的第一数字证书;
证书发送单元202,用于将所述第一数字证书发送至服务器,以使服务器在确定所述第一数字证书的状态为有效时,向客户端发送由第三方认证平台提供并安装在服务器内的第二数字证书;
证书认证单元203,用于接收服务器发送的第二数字证书,确定所述第二数字证书的状态是否为有效;
信息获取单元204,在所述第二数字证书的状态为有效时,获取第一通信信息;
加密处理单元205,用于计算所述第一通信信息的第一摘要值,并利用所述第二数字证书携带的第二公钥加密所述第一摘要值以形成第一数字签名;
信息发送单元206,用于将所述第一通信信息和所述第一数字签名发送至服务器,以使服务器接收并计算所述第一通信信息的第二摘要值,并根据对应所述第二公钥的第二私钥解密所述第一数字签名以获取所述第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
进一步的,为了确保通过在客户端使用第一数字证书并向服务器发送第一通信信息的用户为该第一数字证书对应的用户本人,如图3所示,本发明一个优选实施例中,还包括:
登录处理单元301,用于获取用户登录信息,向服务器发送携带所述登录信息的登录请求,以使服务器在确定所述登录信息与所述第一数字证书携带的用户信息相同时,允许当前客户端向服务器发送通信信息。
进一步的,为了避免服务器向客户端发生的通信信息被入侵者恶意修改,导致客户端根据修改后的通信信息进行相应的处理,如图3所示,本发明一个优选实施例中,还包括:
信息接收单元302,用于接收服务器发送的第二通信信息以及第二数字签名,其中,所述第二数字签名由服务器计算所述第二通信信息的第三摘要值,并利用所述第一数字证书携带的第一公钥加密所述第三摘要值以形成;
数据处理单元303,用于计算所述第二通信信息的第四摘要值,并根据对应所述第一公钥的第一私钥解密所述第二数字签名以获取所述第二通信信息的第三摘要值;
业务处理单元304,用于在所述第三摘要值与所述第四摘要值相同时,根据所述第二通信信息进行相应的业务处理。
进一步的,为了提高第一数字证书的安全性,第一数字证书通常可以灌装至移动设备中,移动设备由相应用户保管,确保用户的登录信息泄露时,入侵者也因无法获取当前用户的第一数字证书,相应的,本发明一个优选实施例中,,
所述证书获取单元201,用于从外部可移动存储介质中读取并安装由第三方认证平台灌装至外部可移动存储介质的第一数字证书。
如图4所示,本发明实施例提供了一种通信系统,包括:
服务器401、第三方认证平台402,以及如上述实施例中任一所述的客户端403;其中,
所述第三方认证平台402,用于向所述客户端403提供第一数字证书,向所述服务器401提供第二数字证书;
所述服务器401,用于安装所述第三方认证平台402提供的第二数字证书;在确定所述客户端403发送的第一数字证书的状态为有效时,向所述客户端403发送所述第二数字证书;计算所述客户端403发送的第一通信信息的第二摘要值,并根据对应于所述第二数字证书携带的第二公钥的第二私钥,解密所述客户端403发送的第一数字签名以获取第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
进一步的,如图5所示,本发明一个优选实施例中,还包括:
可移动存储介质501,用于存储由所述第三方认证平台灌装的第一数字证书。
本发明上述实施例中,第一数字证书通常可以灌装至可移动存储介质(比如U盘或光盘)中,可移动存储介质由相应用户保管,提高第一数字证书的安全性,确保用户的登录信息泄露时,入侵者也因无法获取当前用户的第一数字证书。
为了使本发明实施例的目的、技术方案和优点更加清楚,下面结合本发明上述实施例所述的系统,以第三方认证平台将第一数字证书灌装至可移动存储介质时为例,该通信系统中的客户端与服务器进行通信时对应的通信方法可以包括如下各个步骤,请参考图6。
步骤601,第三方认证平台向服务器提供第二数字证书,向指定用户提供第一数字证书。
本发明实施例中,第二数字证书可携带服务器身份信息、证书有效期以及第二公钥;第一数字证书可携带指定用户的用户信息(比如登录账号及登录密码)、证书有效期以及第一公钥。
本发明实施例中,第三方认证平台向指定用户提供的第一数字证书的方式可以是将第一数字证书灌装至可移动存储介质(比如U盘或光盘);这里,可移动存储介质由指定用户保管,提高第一数字证书的安全性,确保指定用户的登录账号及登录密码等信息泄露时,入侵者也因无法获取指定用户的第一数字证书。
应当理解的是,在将第一数字证书灌装至可移动存储介质时,还可以设置相应的口令密码,在读取第一数字证书时,只有提供正确的口令密码才能实现从可移动存储介质中读取第一数字证书。
步骤602,客户端连接可移动存储介质,从可移动存储介质中读取并安装第一数字证书。
本发明实施例中,在读取并安装第一数字证书时,用户可根据客户端中对应与可移动存储区介质的驱动程序输入相应的口令密码,在口令密码正确时,从可移动存储介质中读取并安装第一数字证书。
步骤603,客户端将第一数字证书发送至相应的服务器。
步骤604,服务器根据接收的第一数字证书中携带的有效期、用户信息以及第三方认证平台的标识信息等确定第一数字证书是否有效;如果是,则执行步骤605;否则,结束当前业务流程。
举例来说,服务器可通过判断接收第一数字证书的时间点是否在第一数字证书携带的有效期内、判断服务器的数据库中是否存储有第一数字证书携带的用户信息以及判断服务器中存储的第三方认证平台的标识信息与第一数字证书中携带的第三方认证平台的标识信息是否一致,来确定第一数字证书是否有效。
步骤605,服务器将安装在当前服务器中且由第三方认证平台提供的第二数字证书发送给客户端。
步骤606,客户端根据接收的第二数字证书中携带的有效期、用户信息以及第三方认证平台的标识信息等确定第一数字证书是否有效;如果是,则执行步骤607;否则,结束当前业务流程。
步骤607,客户端接收指定用户通过安装在当前客户端的浏览器输入的登录地址,以及在该登录地址对应的登录页面下输入的指定用户的登录信息。
步骤608,客户端向服务器发送携带该登录信息的登录请求。
步骤609,服务器确定接收的登录请求中携带的登录信息与第一数字证书携带的指定用户的用户信息是否相同,如果是,则执行步骤610;否则,结束当前业务流程。
本发明实施例中,当登录信息与第一数字证书中携带的用户信息不一致时,说明通过客户端访问服务器的用户使用的并不是自己的数字证书,即该用户不是指定用户,服务器拒绝其访问;只有在客户端获取的登录信息与第一数字证书携带的用户信息保持一致时,即确定通过客户端访问服务器的用户为指定用户时,服务器才允许其访问,即允许指定用户通过客户端向服务器发送相应的通信信息。
步骤610,客户端获取指定用户输入的第一通信信息。
步骤611,客户端计算第一通信信息的第一摘要值,并利用第二数字证书携带的第二公钥加密第一摘要值以形成第一数字签名。
步骤612,客户端将第一通信信息和第一数字签名发送至服务器。
步骤613,服务器计算接收的第一通信信息的第二摘要值,并根据对应该第二公钥的第二私钥解密第一数字签名以获取该第一摘要值。
步骤614,服务器在第一摘要值与第二摘要值相同时,根据第一通信信息形成第二通信信息。
应当理解的是,服务器也可以根据第一通信信息相应的进行其他业务处理,比如存储第一通信信息等。
本发明实施例中,第一摘要值与第二摘要值不同时,则说明第一通信信息在传输过程中被入侵者恶意修改,服务器只有在确定客户端向当前服务器发送的第一通信信息在传输过程中未发生修改时,才根据第一通信信息进行相应的业务处理,比如根据第一通信信息形成第二通信信息,提高信息通信的安全性。
步骤615,服务器计算第二通信信息的第三摘要值,利用第一数字证书携带的第一公钥加密第三摘要值以形成第二数字签名。
步骤616,服务器将第二通信信息及第二数字签名发送至客户端。
步骤617,客户端计算接收的第二通信信息的第四摘要值,并根据对应该第一公钥的第一私钥解密第二数字签名以获取第三摘要值。
步骤618,客户端在第三摘要值与第四摘要值相同时,根据第二通信信息进行相应的业务处理。
本发明实施例中,第三摘要值与第四摘要值不同时,则说明第二通信信息在传输过程中被入侵者恶意修改,客户端只有在确定服务器向当前客户端发送的第二通信信息在传输过程中未发生修改时,才根据第二通信信息进行相应的业务处理,进一步提高信息通信的安全性。
综上可见,本发明各个实施例至少具有如下有益效果:
1、本发明一实施例中,一方面,当存在用户需要通过客户端与服务器进行通信时,客户端获取并安装第三方认证平台提供的第一数字证书,并将第一数字证书发送至服务器,以使服务器在确定第一数字证书有效时,将由第三方认证平台提供并安装在服务器中的第二数字证书发送至当前客户端,进而由当前客户端确定接收的第二数字证书是否有效,如此,通过客户端与服务器互换第一数字证书和第二数字证书,以分别确定第一数字证书和第二数字证书的有效性,可实现对通信双方的身份进行认证,避免入侵者通过客户端恶意向服务器发送通信信息;另一方面,在针对通信双方的身份认证通过后,客户端获取第一通信信息,计算第一通信信息的第一摘要值,利用第二数字证书携带的第二公钥加密该第二摘要值以形成第一数字签名,并将第一数字签名和第一通信信息发送至服务器,使得服务器接收并计算出第一通信信息的第二摘要值,并根据对应于第二公钥的第二私钥解密第一数字签名以获取该第一摘要值,如果第一通信消息在传输过程中被入侵者恶意修改,那么服务器计算出的第二摘要值与第一摘要值则并不相同,因此,服务器只有在确定第一摘要值和第二摘要值相同时,才根据第一通信信息进行相应的业务处理;综上可见,服务器通过与客户端互换由第三方认证平台提供的数字证书以实现对通信双方的身份进行认证,避免入侵者通过客户端恶意向服务器发送通信信息,同时,服务器只有在确定客户端向服务器发送的通信信息在传输过程中未被入侵者恶意修改时,才根据通信信息进行相应的处理,可提高信息通信的安全性。
2、本发明一实施例中,当客户端获取的登录信息与第一数字证书携带的用户信息不一致时,说明通过客户端访问服务器的用户使用的并不是自己的数字证书,服务器拒绝其访问;只有在客户端获取的登录信息与第一数字证书携带的用户信息保持一致时,即确定通过客户端访问服务器的用户使用的是属于自己的数字证书时,服务器才允许其访问,即允许该用户通过客户端向服务器发送相应的通信信息,避免入侵者冒用其他用户的数字证书访问服务器。
3、客户端只有在确定服务器向当前客户端发送的第二通信信息在传输过程中未发生修改时,即第二通信信息的第三摘要值和第四摘要值相同时,才根据第二通信信息进行相应的业务处理,进一步提高信息通信的安全性。
4、本发明一实施例中,第三方认证平台向指定用户提供的第一数字证书通常可以灌装至移动设备中,移动设备由指定用户保管,可提高第一数字证书的安全性,确保指定用户的登录信息泄露时,入侵者也因无法获取指定用户的第一数字证书而无法冒用指定用户的身份访问服务器。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃·····”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种通信方法,其特征在于,应用于客户端,包括:
获取并安装第三方认证平台提供的第一数字证书;
将所述第一数字证书发送至服务器,以使服务器在确定所述第一数字证书的状态为有效时,向客户端发送由第三方认证平台提供并安装在服务器内的第二数字证书;
接收服务器发送的第二数字证书,确定所述第二数字证书的状态是否为有效;
在所述第二数字证书的状态为有效时,获取第一通信信息;
计算所述第一通信信息的第一摘要值,并利用所述第二数字证书携带的第二公钥加密所述第一摘要值以形成第一数字签名;
将所述第一通信信息和所述第一数字签名发送至服务器,以使服务器接收并计算所述第一通信信息的第二摘要值,并根据对应所述第二公钥的第二私钥解密所述第一数字签名以获取所述第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
2.根据权利要求1所述的通信方法,其特征在于,
在所述获取第一通信信息之前,还包括:
获取用户登录信息,向服务器发送携带所述登录信息的登录请求,以使服务器在确定所述登录信息与所述第一数字证书携带的用户信息相同时,允许当前客户端向服务器发送通信信息。
3.根据权利要求1所述的方法,其特征在于,还包括:
接收服务器发送的第二通信信息以及第二数字签名,其中,所述第二数字签名由服务器计算所述第二通信信息的第三摘要值,并利用所述第一数字证书携带的第一公钥加密所述第三摘要值以形成;
计算所述第二通信信息的第四摘要值,并根据对应所述第一公钥的第一私钥解密所述第二数字签名以获取所述第二通信信息的第三摘要值;
在所述第三摘要值与所述第四摘要值相同时,根据所述第二通信信息进行相应的业务处理。
4.根据权利要求1所述的通信方法,其特征在于,
所述获取并安装第三方认证平台提供的第一数字证书,包括:
从外部可移动存储介质中读取并安装由第三方认证平台灌装至外部可移动存储介质的第一数字证书。
5.一种客户端,其特征在于,包括:
证书获取单元,用于获取并安装第三方认证平台提供的第一数字证书;
证书发送单元,用于将所述第一数字证书发送至服务器,以使服务器在确定所述第一数字证书的状态为有效时,向客户端发送由第三方认证平台提供并安装在服务器内的第二数字证书;
证书认证单元,用于接收服务器发送的第二数字证书,确定所述第二数字证书的状态是否为有效;
信息获取单元,在所述第二数字证书的状态为有效时,获取第一通信信息;
加密处理单元,用于计算所述第一通信信息的第一摘要值,并利用所述第二数字证书携带的第二公钥加密所述第一摘要值以形成第一数字签名;
信息发送单元,用于将所述第一通信信息和所述第一数字签名发送至服务器,以使服务器接收并计算所述第一通信信息的第二摘要值,并根据对应所述第二公钥的第二私钥解密所述第一数字签名以获取所述第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
6.根据权利要求5所述的客户端,其特征在于,还包括:
登录处理单元,用于获取用户登录信息,向服务器发送携带所述登录信息的登录请求,以使服务器在确定所述登录信息与所述第一数字证书携带的用户信息相同时,允许当前客户端向服务器发送通信信息。
7.根据权利要求5所述的客户端,其特征在于,还包括:
信息接收单元,用于接收服务器发送的第二通信信息以及第二数字签名,其中,所述第二数字签名由服务器计算所述第二通信信息的第三摘要值,并利用所述第一数字证书携带的第一公钥加密所述第三摘要值以形成;
数据处理单元,用于计算所述第二通信信息的第四摘要值,并根据对应所述第一公钥的第一私钥解密所述第二数字签名以获取所述第二通信信息的第三摘要值;
业务处理单元,用于在所述第三摘要值与所述第四摘要值相同时,根据所述第二通信信息进行相应的业务处理。
8.根据权利要求5所述的客户端,其特征在于,
所述证书获取单元,用于从外部可移动存储介质中读取并安装由第三方认证平台灌装至外部可移动存储介质的第一数字证书。
9.一种通信系统,其特征在于,包括:
服务器、第三方认证平台,以及如上述权利要求5至8中任一所述的客户端;其中,
所述第三方认证平台,用于向所述客户端提供第一数字证书,向所述服务器提供第二数字证书;
所述服务器,用于安装所述第三方认证平台提供的第二数字证书;在确定所述客户端发送的第一数字证书的状态为有效时,向所述客户端发送所述第二数字证书;计算所述客户端发送的第一通信信息的第二摘要值,并根据对应于所述第二数字证书携带的第二公钥的第二私钥,解密所述客户端发送的第一数字签名以获取第一摘要值,在所述第一摘要值与所述第二摘要值相同时,根据所述第一通信信息进行相应的业务处理。
10.根据权利要求9所述的通信系统,其特征在于,还包括:
可移动存储介质,用于存储由所述第三方认证平台灌装的第一数字证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610850759.8A CN106656955A (zh) | 2016-09-26 | 2016-09-26 | 一种通信方法及系统、客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610850759.8A CN106656955A (zh) | 2016-09-26 | 2016-09-26 | 一种通信方法及系统、客户端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106656955A true CN106656955A (zh) | 2017-05-10 |
Family
ID=58853365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610850759.8A Pending CN106656955A (zh) | 2016-09-26 | 2016-09-26 | 一种通信方法及系统、客户端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106656955A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107959684A (zh) * | 2017-12-08 | 2018-04-24 | 上海壹账通金融科技有限公司 | 安全通信方法、装置、计算机设备及存储介质 |
| CN108599961A (zh) * | 2018-05-08 | 2018-09-28 | 济南浪潮高新科技投资发展有限公司 | 一种通信方法、车载终端、汽车服务平台及系统 |
| CN109308421A (zh) * | 2017-07-28 | 2019-02-05 | 腾讯科技(深圳)有限公司 | 一种信息防篡改方法、装置、服务器和计算机存储介质 |
| CN109474431A (zh) * | 2017-09-07 | 2019-03-15 | 厦门雅迅网络股份有限公司 | 客户端认证方法及计算机可读存储介质 |
| CN110650015A (zh) * | 2019-08-16 | 2020-01-03 | 威富通科技有限公司 | 证书信息的获取方法、装置、业务服务器及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020026583A1 (en) * | 2000-08-25 | 2002-02-28 | Harrison Keith Alexander | Document transmission techniques IV |
| CN102546580A (zh) * | 2011-01-04 | 2012-07-04 | 中国移动通信有限公司 | 一种用户口令的更新方法、系统及装置 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN103152182A (zh) * | 2013-03-08 | 2013-06-12 | 新疆君盾信息技术有限公司 | 一种电子数据认证验证方法 |
| CN103166931A (zh) * | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
| CN104348846A (zh) * | 2013-07-24 | 2015-02-11 | 航天信息股份有限公司 | 基于wpki实现云存储系统数据通信安全的方法和系统 |
| CN105407072A (zh) * | 2014-09-05 | 2016-03-16 | 北京握奇智能科技有限公司 | 一种实现物联网安全的方法、系统及互联设备 |
-
2016
- 2016-09-26 CN CN201610850759.8A patent/CN106656955A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020026583A1 (en) * | 2000-08-25 | 2002-02-28 | Harrison Keith Alexander | Document transmission techniques IV |
| CN102546580A (zh) * | 2011-01-04 | 2012-07-04 | 中国移动通信有限公司 | 一种用户口令的更新方法、系统及装置 |
| CN103166931A (zh) * | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN103152182A (zh) * | 2013-03-08 | 2013-06-12 | 新疆君盾信息技术有限公司 | 一种电子数据认证验证方法 |
| CN104348846A (zh) * | 2013-07-24 | 2015-02-11 | 航天信息股份有限公司 | 基于wpki实现云存储系统数据通信安全的方法和系统 |
| CN105407072A (zh) * | 2014-09-05 | 2016-03-16 | 北京握奇智能科技有限公司 | 一种实现物联网安全的方法、系统及互联设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109308421A (zh) * | 2017-07-28 | 2019-02-05 | 腾讯科技(深圳)有限公司 | 一种信息防篡改方法、装置、服务器和计算机存储介质 |
| CN109308421B (zh) * | 2017-07-28 | 2023-01-24 | 腾讯科技(深圳)有限公司 | 一种信息防篡改方法、装置、服务器和计算机存储介质 |
| CN109474431A (zh) * | 2017-09-07 | 2019-03-15 | 厦门雅迅网络股份有限公司 | 客户端认证方法及计算机可读存储介质 |
| CN109474431B (zh) * | 2017-09-07 | 2023-11-03 | 厦门雅迅网络股份有限公司 | 客户端认证方法及计算机可读存储介质 |
| CN107959684A (zh) * | 2017-12-08 | 2018-04-24 | 上海壹账通金融科技有限公司 | 安全通信方法、装置、计算机设备及存储介质 |
| CN108599961A (zh) * | 2018-05-08 | 2018-09-28 | 济南浪潮高新科技投资发展有限公司 | 一种通信方法、车载终端、汽车服务平台及系统 |
| CN110650015A (zh) * | 2019-08-16 | 2020-01-03 | 威富通科技有限公司 | 证书信息的获取方法、装置、业务服务器及存储介质 |
| CN110650015B (zh) * | 2019-08-16 | 2022-04-05 | 威富通科技有限公司 | 证书信息的获取方法、装置、业务服务器及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111079128B (zh) | 一种数据处理方法、装置、电子设备以及存储介质 | |
| KR101974452B1 (ko) | 프로그래밍이 가능한 블록체인과 통합 아이디 기반의 사용자정보 관리 방법 및 시스템 | |
| TWI497336B (zh) | 用於資料安全之裝置及電腦程式 | |
| US9338163B2 (en) | Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method | |
| CN108684041B (zh) | 登录认证的系统和方法 | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| US10567370B2 (en) | Certificate authority | |
| CN112134708A (zh) | 一种授权方法、请求授权的方法及装置 | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的系统及方法 | |
| CN111130798B (zh) | 一种请求鉴权方法及相关设备 | |
| CN109495268B (zh) | 一种二维码认证方法、装置及计算机可读存储介质 | |
| US20160226837A1 (en) | Server for authenticating smart chip and method thereof | |
| CN106656955A (zh) | 一种通信方法及系统、客户端 | |
| US20220116230A1 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| US20140013116A1 (en) | Apparatus and method for performing over-the-air identity provisioning | |
| US20220014354A1 (en) | Systems, methods and devices for provision of a secret | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| US20090319778A1 (en) | User authentication system and method without password | |
| KR102171377B1 (ko) | 로그인 제어 방법 | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
| KR20170042137A (ko) | 인증 서버 및 방법 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| KR101933090B1 (ko) | 전자 서명 제공 방법 및 그 서버 | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170510 |