一種安全通信的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別是涉及一種安全通信的方法和裝置�。
【背景技術(shù)】
[0002]隨著電子商務(wù)、移動(dòng)互聯(lián)網(wǎng)的爆發(fā)式增長(zhǎng)��,人們通過(guò)互聯(lián)網(wǎng)進(jìn)行涉及敏感信息的通信越來(lái)越頻繁�,比如,進(jìn)行互聯(lián)網(wǎng)金融交易�,因此,網(wǎng)絡(luò)安全也變得越來(lái)越重要�。
[0003]目前,網(wǎng)絡(luò)安全所面臨的威脅包括:通信雙方交互的通信數(shù)據(jù)被第三方竊聽(tīng)���;或者��,攻擊者通過(guò)偽造服務(wù)器身份�����,與客戶端建立安全加密通道���,并通過(guò)該安全加密通道與客戶端通信,從而套取客戶端數(shù)據(jù)��。
[0004]因此����,如何防止通信數(shù)據(jù)被竊聽(tīng),或者攻擊者偽造服務(wù)器身份套取客戶端數(shù)據(jù)�,保證客戶端與目的服務(wù)器之間的通信安全,成為當(dāng)前急需解決的技術(shù)問(wèn)題���。
【發(fā)明內(nèi)容】
[0005]有鑒于此����,本發(fā)明提出了一種安全通信的方法和裝置�����,能夠保證客戶端與目的服務(wù)器的通信安全�����。
[0006]本發(fā)明提出的技術(shù)方案是:
[0007]一種安全通信的方法,該方法包括:
[0008]代理服務(wù)器根據(jù)客戶端基于在該客戶端側(cè)安裝的所述代理服務(wù)器的證書(shū)發(fā)送的建立第一安全通道的請(qǐng)求�,與所述客戶端建立所述第一安全通道,基于所述第一安全通道接收所述客戶端發(fā)送的與目的服務(wù)器的通信請(qǐng)求��;
[0009]代理服務(wù)器根據(jù)所述通信請(qǐng)求中攜帶的目的服務(wù)器的信息���,基于所述目的服務(wù)器的證書(shū)與所述目的服務(wù)器建立第二安全通道��,根據(jù)所述通信請(qǐng)求中攜帶的客戶端信息����,基于所述第二安全通道申請(qǐng)所述客戶端與所述目的服務(wù)器的會(huì)話密鑰�����;
[0010]代理服務(wù)器將申請(qǐng)到的會(huì)話密鑰通過(guò)所述第一安全通道發(fā)給所述客戶端��,使得所述客戶端與所述目的服務(wù)器通過(guò)所述會(huì)話密鑰進(jìn)行通信�。
[0011]一種安全通信的裝置,該裝置位于代理服務(wù)器中����,該裝置包括第一安全通信模塊和第二安全通信模塊;
[0012]所述第一安全通信模塊�����,用于根據(jù)客戶端基于在該客戶端側(cè)安裝的所述代理服務(wù)器的證書(shū)發(fā)送的建立第一安全通道的請(qǐng)求,與所述客戶端建立所述第一安全通道�,基于所述第一安全通道接收所述客戶端發(fā)送的與目的服務(wù)器的通信請(qǐng)求,將第二安全通信模塊申請(qǐng)到的會(huì)話密鑰通過(guò)所述第一安全通道發(fā)給所述客戶端�����,使得所述客戶端與所述目的服務(wù)器通過(guò)所述會(huì)話密鑰進(jìn)行通信����;
[0013]所述第二安全通信模塊���,用于根據(jù)所述通信請(qǐng)求中攜帶的目的服務(wù)器的信息���,基于所述目的服務(wù)器的證書(shū)與所述目的服務(wù)器建立第二安全通道,根據(jù)所述通信請(qǐng)求中攜帶的客戶端信息�,基于所述第二安全通道申請(qǐng)所述客戶端與所述目的服務(wù)器的會(huì)話密鑰。
[0014]由上述技術(shù)方案可見(jiàn)��,本發(fā)明實(shí)施例中�,在客戶端和目的服務(wù)器之間設(shè)立了代理服務(wù)器,由該代理服務(wù)器驗(yàn)證客戶端的身份和目的服務(wù)器的身份���,確保兩者均是可信的�����,并且與客戶端建立第一安全通道��、與目的服務(wù)器建立第二安全通道��,然后代理服務(wù)器通過(guò)與目的服務(wù)器建立的第二安全通道����,為客戶端申請(qǐng)與目的服務(wù)器之間進(jìn)行通信的會(huì)話密鑰,并將申請(qǐng)到的會(huì)話密鑰通過(guò)與客戶端建立的第一安全通道返回給客戶端��,使得客戶端和目的服務(wù)器可以通過(guò)該會(huì)話密鑰通信�����,從而確保了客戶端和目的服務(wù)器之間的通信安全���。
[0015]進(jìn)一步���,由于客戶端只需要安裝代理服務(wù)器的證書(shū),而海量目的服務(wù)器的證書(shū)都安裝在代理服務(wù)器側(cè)�����,因此,可以節(jié)省客戶端側(cè)的存儲(chǔ)空間��、簡(jiǎn)化客戶端側(cè)的證書(shū)管理�����。
[0016]并且����,當(dāng)不同的客戶端需要分別與海量的目的服務(wù)器進(jìn)行通信時(shí)����,只需要代理服務(wù)器對(duì)這些海量的目的服務(wù)器執(zhí)行證書(shū)驗(yàn)證、安裝和管理操作����,不需要各個(gè)不同的客戶端分別對(duì)這些海量的目的服務(wù)器執(zhí)行證書(shū)驗(yàn)證、安裝和管理操作���,各個(gè)目的服務(wù)器也只需要驗(yàn)證代理服務(wù)器的身份�、不需要分別驗(yàn)證各個(gè)不同的客戶端的身份�,因此�����,還能夠避免網(wǎng)絡(luò)節(jié)點(diǎn)由于執(zhí)行相同的驗(yàn)證��、安裝和管理操作而造成的資源浪費(fèi)��。
【附圖說(shuō)明】
[0017]圖1是本發(fā)明實(shí)施例提供的安全通信的方法流程圖�����。
[0018]圖2是本發(fā)明實(shí)施例提供的通信系統(tǒng)組成示意圖���。
[0019]圖3是本發(fā)明實(shí)施例提供的代理服務(wù)器的硬件結(jié)構(gòu)連接圖。
[0020]圖4是本發(fā)明實(shí)施例提供的安全通信的裝置的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0021]保證客戶端與目的服務(wù)器的通信安全的一種方法是:客戶端首先獲取目的服務(wù)器的證書(shū)����,根據(jù)該證書(shū)驗(yàn)證目的服務(wù)器的身份,如果驗(yàn)證出目的服務(wù)器身份可信�,則安裝該目的服務(wù)器的證書(shū),基于該證書(shū)與該目的服務(wù)器建立安全通道�,然后通過(guò)該安全通道與目的服務(wù)器進(jìn)行通信����,從而保證客戶端與目的服務(wù)器的通信安全���。
[0022]其中���,客戶端驗(yàn)證目的服務(wù)器的身份的方法可以包括:客戶端檢查目的服務(wù)器發(fā)來(lái)的證書(shū)是否是由該客戶端所信賴的認(rèn)證(CA)中心所簽發(fā)的,比如���,該服務(wù)器的證書(shū)已經(jīng)在客戶端本地的信任證書(shū)列表中�����,或者,該服務(wù)器證書(shū)是經(jīng)過(guò)某一個(gè)證書(shū)機(jī)構(gòu)授權(quán)����,且這個(gè)授權(quán)的證書(shū)機(jī)構(gòu)的證書(shū)在客戶端的本地信任證書(shū)列表中。
[0023]因此����,為了保證安全性,必須在客戶端安裝需要登錄的目的服務(wù)器的證書(shū)���,比如���,如果用戶需要登錄某網(wǎng)銀系統(tǒng)�,就必須使用銀行機(jī)構(gòu)提供的U盾等設(shè)備安裝該銀行服務(wù)器的證書(shū)��。
[0024]然而�,在移動(dòng)互聯(lián)快速發(fā)展的今天,各種應(yīng)用日漸豐富���,每訪問(wèn)一個(gè)目的服務(wù)器都需要安裝相應(yīng)目的服務(wù)器的證書(shū)����,這樣���,在證書(shū)達(dá)到一定數(shù)目后�,客戶端本地的證書(shū)將占用客戶端大量的存儲(chǔ)空間�����、證書(shū)管理也變得復(fù)雜����,而且���,不同的客戶端需要分別對(duì)海量的目的服務(wù)器的證書(shū)進(jìn)行重復(fù)的驗(yàn)證、安裝和管理���,也造成了網(wǎng)絡(luò)節(jié)點(diǎn)的資源浪費(fèi)����。
[0025]基于上述分析��,本發(fā)明實(shí)施例提供了一種用于客戶端與目的服務(wù)器進(jìn)行安全通信的方法��,能夠確??蛻舳伺c目的服務(wù)器之間的通信安全,而且能夠節(jié)省客戶端側(cè)的存儲(chǔ)空間�、簡(jiǎn)化客戶端的證書(shū)管理,避免重復(fù)的證書(shū)驗(yàn)證�、安裝和管理所造成的網(wǎng)絡(luò)節(jié)點(diǎn)資源浪費(fèi)。
[0026]圖1是本發(fā)明實(shí)施例提供的安全通信的方法流程圖�����。
[0027]如圖1所示�����,該流程包括:
[0028]步驟101�����,代理服務(wù)器根據(jù)客戶端基于在該客戶端側(cè)安裝的所述代理服務(wù)器的證書(shū)發(fā)送的建立第一安全通道的請(qǐng)求��,與所述客戶端建立所述第一安全通道��,基于所述第一安全通道接收所述客戶端發(fā)送的與目的服務(wù)器的通信請(qǐng)求�。
[0029]步驟102,代理服務(wù)器根據(jù)所述通信請(qǐng)求中攜帶的目的服務(wù)器的信息�,基于所述目的服務(wù)器的證書(shū)與所述目的服務(wù)器建立第二安全通道,根據(jù)所述通信請(qǐng)求中攜帶的客戶端信息����,基于所述第二安全通道申請(qǐng)所述客戶端與所述目的服務(wù)器的會(huì)話密鑰。
[0030]其中�,關(guān)于通信請(qǐng)求中所攜帶的目的服務(wù)器的信息內(nèi)容和客戶端信息的內(nèi)容,以能夠?qū)崿F(xiàn)所述通信請(qǐng)求為準(zhǔn)�,具體內(nèi)容本發(fā)明實(shí)施例不做限制,比如��,所述目的服務(wù)器的信息可以包括所述目的服務(wù)器的身份標(biāo)識(shí)信息或地址信息���,所述客戶端信息可以包括所述客戶端的證書(shū)信息���、和所述客戶端支持的密鑰交換算法信息和加密算法信息���。
[0031]步驟103,代理服務(wù)器將申請(qǐng)到的會(huì)話密鑰通過(guò)所述第一安全通道發(fā)給所述客戶端�,使得所述客戶端與所述目的服務(wù)器通過(guò)所述會(huì)話密鑰進(jìn)行通信。
[0032]由圖1所示方法可見(jiàn)�,通過(guò)在客戶端和目的服務(wù)器之間設(shè)立代理服務(wù)器,由該代理服務(wù)器與客戶端建立第一安全通道���、與目的服務(wù)器建立第二安全通道��,然后通過(guò)與目的服務(wù)器建立的第二安全通道����,為客戶端申請(qǐng)與目的服務(wù)器之間進(jìn)行通信的會(huì)話密鑰����,并將申請(qǐng)到的會(huì)話密鑰通過(guò)與客戶端建立的第一安全通道返回給客戶端,使得客戶端和目的服務(wù)器可以通過(guò)該會(huì)話密鑰通信�����,從而確保了客戶端和目的服務(wù)器之間的通信安全����。
[0033]并且,由于客戶端只需要安裝代理服務(wù)器的證書(shū)��,而目的服務(wù)器的證書(shū)都安裝在代理服務(wù)器側(cè)���,因此���,還可以節(jié)省客戶端側(cè)的存儲(chǔ)空間、簡(jiǎn)化客戶端側(cè)的證書(shū)管理���。
[0034]圖1所示方法中�����,代理服務(wù)器還可以對(duì)海量的目的服務(wù)器起到匯聚的作用��,避免對(duì)同一個(gè)目的服務(wù)器在不同的客戶端側(cè)重復(fù)執(zhí)行驗(yàn)證��、安裝和管理的操作��,因此能夠節(jié)省網(wǎng)絡(luò)節(jié)點(diǎn)的資源�。
[0035]具體地,代理服務(wù)器在根據(jù)客戶端通過(guò)第一安全通道發(fā)來(lái)的通信請(qǐng)求中攜帶的目的服務(wù)器的信息����,基于所述目的服務(wù)器的證書(shū)與所述目的服務(wù)