CN113672897B - 数据通信方法、装置、电子设备及存储介质 - Google Patents
数据通信方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113672897B CN113672897B CN202110832735.0A CN202110832735A CN113672897B CN 113672897 B CN113672897 B CN 113672897B CN 202110832735 A CN202110832735 A CN 202110832735A CN 113672897 B CN113672897 B CN 113672897B
- Authority
- CN
- China
- Prior art keywords
- client
- certificate
- information
- server
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 88
- 238000004891 communication Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000012795 verification Methods 0.000 claims description 250
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 abstract description 21
- 230000002457 bidirectional effect Effects 0.000 abstract description 18
- 230000008569 process Effects 0.000 abstract description 14
- 238000007726 management method Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种数据通信方法、装置、电子设备及计算机可读存储介质,属于计算机技术领域。该方法包括:在客户端与服务端之间建立数据通信的过程中,当客户端响应于身份验证操作,可以向服务端发送身份验证请求,身份验证请求包括证书信息,证书信息包括与服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息,接着服务端根据证书信息,对客户端证书进行身份验证,并生成针对客户端的验证结果以建立通信连接,从而通过证书验证的方式,在基于客户端与服务端存在双向传输的情况下,对与客户端身份信息关联的客户端证书进行双向身份信息传输,实现数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种数据通信方法、一种数据通信装置、一种电子设备以及一种计算机可读存储介质。
背景技术
随着互联网技术的发展,越来越多的线下业务逐渐通过线上交互而实现。为了实现线上交互,用户通常需要在其终端(例如手机、平板电脑等)上安装应用程序,然后通过该应用程序与服务端进行交互,或者通过该应用程序与其他应用程序的用户进行交互。用户在使用其终端上安装的应用程序期间,服务端通过需要对用户身份进行验证。例如,在用户进行账户登录、消息发布、余额查询、线上交易等业务之前,服务端需要验证用户身份,以确保数据安全。而在身份验证过程中,往往只能是客户端单向对服务端进行身份信息的认证,或者是服务端对客户端进行身份信息的单向认证,无论是哪一侧的身份认证,均容易存在中间人进行数据篡改的风险,导致数据泄露。
发明内容
本发明提供一种数据通信方法、装置、电子设备及计算机可读存储介质,以便在一定程度上解决现有技术中数据通信过程中身份验证的安全性低的问题。
依据本发明的第一方面,提供了一种数据通信方法,所述方法包括:
客户端响应于身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
所述服务端根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
若所述验证结果为所述客户端可信,则所述服务端建立与所述客户端之间的数据通信。
可选地,所述证书信息包括所述客户端证书对应的证书标识与所述客户端的使用用户标识,所述服务端根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果,包括:
所述服务端获取与所述证书标识对应的签发用户标识,并将所述签发用户标识与所述使用用户标识进行比对;
若所述签发用户标识与所述使用用户标识相同,则所述服务端生成针对所述客户端的可信验证结果;
若所述签发用户标识与所述使用用户标识不同,则所述服务端生成针对所述客户端的不可信验证结果。
可选地,所述客户端响应于身份验证操作,向服务端发送身份验证请求之前,所述方法还包括:
客户端响应于设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端;
若所述服务端检测到所述设备验证信息与预设验证信息相同,则将所述客户端所属终端作为可信终端。
可选地,所述目标客户端将所属终端作为可信终端之后,所述方法还包括:
所述客户端响应于客户端验证操作,向服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
所述服务端采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识;
所述客户端接收所述服务端发送的客户端证书。
可选地,还包括:
所述服务端获取与所述客户端对应的配置参数,并根据所述配置参数判断所述客户端的运行状态;
若所述配置参数表征所述客户端的运行状态为正常状态,则所述服务端保持所述客户端证书有效;
若所述配置参数表征所述客户端的运行状态为异常状态,则所述服务端注销所述客户端证书;
其中,所述配置参数至少包括接口访问参数、设备参数以及用户参数中的一种。
依据本发明的第二方面,提供了一种数据通信方法,应用于客户端,所述方法包括:
响应于检测到身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
接收针对所述客户端证书的验证结果;
若所述验证结果为所述客户端可信,则建立与服务端之间的数据通信。
依据本发明的第三方面,提供了一种数据通信方法,应用于服务端,所述方法包括:
获取客户端发送的身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
若所述验证结果为所述客户端可信,则建立与所述客户端之间的数据通信。
依据本发明的第四方面,提供了一种数据通信装置,应用于客户端,所述装置包括:
身份验证请求发送模块,用于响应于检测到身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
验证结果接收模块,用于接收针对所述客户端证书的验证结果;
数据通信模块,用于若所述验证结果为所述客户端可信,则建立与服务端之间的数据通信。
依据本发明的第五方面,提供了一种数据通信装置,应用于服务端,所述装置包括:
身份验证请求获取模块,用于获取客户端发送的身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
验证结果生成模块,用于根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
数据通信模块,用于若所述验证结果为所述客户端可信,则建立与所述客户端之间的数据通信。
依据本发明的第六方面,提供了一种电子设备,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述电子设备执行如上所述的数据通信方法。
依据本发明的第七方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的数据通信方法。
针对在先技术,本发明具备如下优点:
在本发明实施例中,在客户端与服务端之间建立数据通信的过程中,当客户端响应于身份验证操作,可以向服务端发送身份验证请求,身份验证请求包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息,接着服务端可以根据证书信息,对客户端证书进行身份验证,并生成针对客户端的验证结果,若验证结果为客户端可信,则服务端建立与客户端之间的数据通信,从而通过证书验证的方式,在基于客户端与服务端存在双向传输的情况下,对与客户端身份信息关联的客户端证书进行“服务端-客户端”以及“客户端-服务端”的双向身份信息传输,实现数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
图1是本发明的一种数据通信方法实施例的步骤流程图;
图2是本发明实施例中提供的证书签发的流程示意图;
图3是本发明实施例中提供的证书管理的示意图;
图4是本发明实施例中提供的数据处理的示意图;
图5是本发明的一种数据通信方法实施例的步骤流程图;
图6是本发明的一种数据通信方法实施例的步骤流程图;
图7是本发明的一种数据通信***实施例的结构框图;
图8是本发明的一种数据通信装置实施例的结构框图;
图9是本发明的一种数据通信装置实施例的结构框图;
图10是本发明的一种电子设备的结构框图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
作为一种示例,用户通常需要在其终端(例如手机、平板电脑等)上安装客户端,然后通过该客户端与服务端进行交互,或者通过该客户端与其他客户端的用户进行交互。其中,在用户进行账户登录、消息发送、余额查询、线上交易以及链接访问等业务之前,可以是客户端采用http(HyperText Transfer Protocol,超文本传输协议)进行单向身份验证,对服务端进行身份验证,并在验证成功后,执行对应的业务;也可以是服务端对客户端进行单向身份验证,对客户端进行身份验证,并在验证成功后,执行对应的业务;还可以是客户端与服务端之间进行双向认证,但是,在双向认证过程中依然只能是客户端进行单向身份验证,或服务端进行单向身份验证。由此可见,在相关技术中,无论采用何种身份验证方式,均只能对客户端的身份信息单向传输以进行单向认证,即通过这种身份信息验证方式,容易存在中间人进行数据篡改的风险,导致数据泄露。
对此,本发明实施例的核心发明点之一在于在客户端与服务端建立数据通信之前,服务端可以先对客户端进行身份认证,并签发对应的客户端证书,客户端接收客户端证书并进行本地存储,实现服务端对客户端的身份认证,在需要建立数据通信时,客户端发送客户端证书与对应的证书信息至服务端进行身份验证,在客户端验证成功后,建立对应的数据通信连接,从而在基于客户端与服务端存在双向传输的情况下,对与客户端身份信息关联的客户端证书进行“服务端-客户端”以及“客户端-服务端”的双向身份信息传输,实现数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
具体的,参照图1,示出了本发明的一种数据通信方法实施例的步骤流程图,具体可以包括如下步骤:
步骤101,客户端响应于身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
在本发明实施例中,客户端可以为运行于用户终端的应用程序,包括生活类应用程序、即时通信应用程序、游戏应用程序、支付应用程序等等,本发明实施例中以客户端为即时通信应用程序为例进行示例性说明,且客户端与服务端之间可以通过双向TLS(mTLS)建立双向加密通道,实现数据的双向传输,从而在本申请中,可以基于客户端与服务端之间的双向传输,对与客户端的身份关联的客户端证书进行双向身份验证,可以理解的是,本发明对此不作限制。
当客户端触发身份验证操作时,可以向服务端发送身份验证请求,在该身份验证请求中可以包括证书信息,该证书信息可以包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息。其中,每一个登录于客户端的用户账户可以对应一个客户端证书,使得客户端证书具有唯一性;证书信息可以为客户端证书的相关标识信息等。
在具体实现中,客户端在使用客户端证书之前,需要先通过服务端的身份认证,且在进行身份认证之前,客户端可以先对所属终端设备进行设备验证,具体的,客户端响应于设备验证操作,获取与设备验证操作对应的设备验证信息,并将该设备验证信息发送至服务端,若服务端检测到设备验证信息与预设验证信息相同,则将客户端所属终端作为可信终端;若服务端检测到设备验证信息与预设验证信息不同,则提示相关的风险信息。
其中,设备验证信息可以包括短信验证、验证码验证、用户生物特征验证等等,预设验证信息可以为根据验证类型进行设置的信息,例如终端所接收的短信验证码、图形验证码、数字验证码以及存储于本地或服务端的指纹信息和虹膜特征等,则用户在客户端中登录相关的用户账户时,客户端可以先进行设备验证操作,以便在验证成功后,将客户端所属终端作为可信终端,以便进行相应的业务操作。例如,终端中运行有某即时通信应用程序,在用户想登陆相关账户时,应用程序可以要求通过短信验证,验证所属终端是否为可信终端,则终端可以接收到相应的短信验证码,用户可以将该短信验证码输入到应用程序中,应用程序将短信验证码发送至服务端进行验证,若与服务端发送的短信中的验证码相同,则确定终端为可信终端;若不同,则提示验证失败,需要进行重新验证等,从而通过相关的设备验证操作,可以验证终端是否为可信终端,保证身份验证的信任链基础。
当客户端对所属终端验证成功后,客户端可以响应于客户端验证操作,向服务端发送身份认证请求,该身份认证请求可以包括设备验证信息与可信终端的设备指纹信息,服务端响应于身份认证请求,采用设备验证信息与设备指纹信息,对客户端进行身份认证,生成针对客户端的客户端证书,并记录与客户端证书对应的签发用户标识,接着将客户端证书下发至对应的客户端,客户端接收客户端证书并进行本地加密存储。
在客户端判断所属终端为可信终端之后,客户端可以进一步进行客户端验证操作,向服务端发送身份认证请求,由服务端对客户端进行身份验证,以下发对应的客户端证书。其中,设备指纹信息可以包括客户端的唯一性标识、MAC地址、WIFI列表、IDFA(Identifier For Identifier,广告标识符)以及IMEI(International Mobile EquipmentIdentity,国际设备识别号)等,则服务端在接收到设备验证信息与设备指纹信息后,可以基于两者对客户端进行身份认证,生成客户端证书,并与该客户端证书对应的签发用户标识,签发用户标识可以为与登录于客户端的账户对应的用户标识,用于保证客户端证书的唯一性。客户端在接收到客户端证书之后,可以对其进行加密后进行本地存储,以保证客户端证书的安全性。
在一种示例中,参照图2,示出了本发明实施例中提供的证书签发的流程示意图,在终端中运行有对应的客户端,则客户端与服务端可以基于短信验证判断所属的终端是否为可信终端,从而实现设备的安全性验证。当终端为可信终端时,客户端可以向服务端发起身份认证请求,以实现服务端对客户端的身份认证。具体的,服务端中可以运行对应的安全风控***,安全风控***接收到客户端发送的短信验证信息以及设备指纹信息后,可以先判断短信验证信息是否为进行设备验证过程中对应的短信验证信息,若是,则基于设备指纹信息签发对应的客户端证书,并记录对应的签发用户标识,然后将客户端证书下发至客户端。客户端接收到客户端证书之后,可以采用P12的方式进行本地加密存储,从而通过服务端对客户端进行身份验证,实现了客户端与服务端之间的双向验证,保证了数据传输的安全性。
需要说明的是,在本发明实施例中以短信验证为例进行示例性说明,可以理解的是,设备验证还可以包括指纹验证、虹膜验证等等,本发明对此不作限制。
客户端在存储了对应的客户端证书之后,当用户进行相应的业务操作时,可以触发对应的身份验证操作,客户端向服务端发送与客户端证书对应的证书信息以实现身份验证,并在服务端对客户端验证成功后,允许用户执行相应的业务操作,例如即时通信、页面访问、在线支付等等。
步骤102,所述服务端根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
在本发明实施例中,证书信息可以包括客户端证书对应的证书标识与客户端的使用用户标识,则服务端可以先获取与证书标识对应的签发用户标识,接着将签发用户标识与使用用户标识进行比对;若签发用户标识与使用用户标识相同,则服务端生成针对客户端的可信验证结果;若签发用户标识与使用用户标识不同,则服务端生成针对客户端的不可信验证结果。
其中,使用用户标识可以为客户端当前所登录的用户账户对应的标识;证书标识可以为客户端证书的序列号,不同的客户端证书可以对应不同的序列号,则在对客户端证书进行身份验证的过程中,服务端可以基于证书标识获取证书在签发时所记录的签发用户标识,并将该签发用户标识与使用用户标识进行比对,判断两者是否相同,若相同,则判定为客户端可信;若不相同,则判定为客户端不可信,进行相应的风险提示,从而通过对证书进行验证,实现了客户端与服务端之间的双向认证,保证了数据传输的安全性。
可选地,除了可以通过进行用户标识的比对,还可以在签发客户端证书时,设置客户端证书的有效期,在进行客户端的身份验证时,可以通过判断客户端证书的有效期是否到期,以确定客户端的状态,本发明对此不作限制。
步骤103,若所述验证结果为所述客户端可信,则所述服务端建立与所述客户端之间的数据通信。
当服务端对客户端的身份验证完毕之后,可以生成对应的验证结果,并将验证结果发送至客户端,若验证结果为客户端可信,则服务端可以与客户端建立数据通信,以便客户端进行相关的业务操作;若验证结果为客户端不可信,则客户端可以进行相应的风险提示,例如提示验证失败、提示再次验证等,从而通过证书验证的方式,不仅可以实现客户端与服务端之间数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
此外,服务端除了可以签发对应的客户端证书,还可以对客户端证书进行管理,以提高证书管理的安全性。具体的,在建立与客户端之间的数据通信连接后,服务端可以与客户端对应的配置参数,并根据配置参数判断客户端的运行状态;若配置参数表征客户端的运行状态为正常状态,则服务端保持客户端证书有效;若配置参数表征客户端的运行状态为异常状态,则服务端注销客户端证书。其中,配置参数至少包括接口访问参数、设备参数以及用户参数中的一种。
具体的,服务端可以从接口访问参数中提取客户端接口的访问频率,若相应接口的访问频率大于或等于预设阈值时,则可以判定为接口访问异常,进行相应的风险提示;也可以从设备参数中提取设备权限状态,判断客户端所属终端是否被破解,若终端处于破解状态,则判定为设备异常,注销对应的客户端证书;也可以从设备参数中提取设备标识,判断客户端所属终端是否与设备标识匹配,若不匹配,则判定为设备异常,提示进行二次验证等;还可以从用户参数中获取对应的使用用户标识,并判断使用用户标识是否有效,具体的,可以将服务端连接对应的用户管理***,在用户管理***中存储着用户标识,并对用户标识的有效性进行分类,从而可以通过判断使用用户标识是否有效,判断客户端是否存在异常,以便保持客户端证书的有效性,提高客户端证书管理的安全性。
在一种示例中,参考图3,示出了本发明实施例中提供的证书管理的示意图,客户端与服务端之间可以开启mTLS的双向验证,当客户端验证所属终端为可信终端,并获取了对应的客户端证书后,可以在本地对客户端证书进行白盒加密,并通过服务端代理Nginx的负载均衡开启客户端中证书校验以及传递对应的配置参数至服务端的安全风控管理,例如,可以通过x-key等Header把设备指纹信息、证书等信息,发送至服务端,由安全风控管理***对客户端进行身份验证,以及进行风险监测。其中,在客户端的风险监测过程中,安全风控管理可以基于配置参数识别客户端对应的运行状态,并确定运行状态所对应的风险等级,例如,根据使用用户标识判断对应的用户标识是否有效等,根据接口配置参数判断接口的使用状态等,根据设备参数判断设备的状态等等。安全风控管理在确定客户端的运行状态后,可以确定对应的风险等级,包括低风险、中风险以及高风险等等,例如,若用户标识无效,可以判定为高风险;若接口配置参数表征接口被频繁使用,可以判定为高风险;若设备参数表征设备与客户端所属的设备不同,可以判定为中风险;若无上述异常,可以判定为低风险等,对于低风险可以不进行处理,对于中风险可以提示进行二次验证,对于高风险可以采用注销证书的方式,保证数据传输的安全性,从而一方面通过证书的方式实现客户端与服务端之间的双向身份验证,另一方面通过对客户端进行监测,提高了证书管理的安全性。
此外,对于客户端,可以包括普通客户端与管理客户端,不同客户端之间可以根据所登录的用户账户配置不同的权限,对于普通客户端与管理客户端,两者均具备使用基本功能的权限,不同的是管理客户端具备对普通客户端进行管理的权限,例如,管理客户端可以获取普通客户端的配置参数、管理普通客户端的使用权限等等。在一种示例中,可以通过管理客户端对普通客户端的配置参数进行监控,若管理客户端所属用户发现普通客户端可能异常,管理客户端可以获取普通客户端的配置参数,并将配置参数发送至服务端,由服务端进行风控管理,以确定普通客户端是否处于异常状态,从而保证数据的安全性;在另一种示例中,也可以在普通客户端中配置安全检测机制,当检测出客户端使用过程中可能存在异常时,普通客户端可以获取相应的配置参数,并将配置参数发送至服务端,由服务端进行风控管理,以确定普通客户端是否处于异常状态,从而保证数据的安全性。可选地,上述过程中,可以单独实现,也可以组合实现,本发明对此不作限制。
需要说明的是,本发明实施例包括但不限于上述示例,可以理解的是,本领域技术人员在本发明的思想指导下,还可以根据实际需要进行设置,本发明对此不作限制。
在本发明实施例中,在客户端与服务端之间建立数据通信的过程中,当客户端响应于身份验证操作,可以向服务端发送身份验证请求,身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息,接着服务端可以根据证书信息,对客户端证书进行身份验证,并生成针对客户端的验证结果,若验证结果为客户端可信,则服务端建立与客户端之间的数据通信,从而通过证书验证的方式,在基于客户端与服务端存在双向传输的情况下,对与客户端身份信息关联的客户端证书进行“服务端-客户端”以及“客户端-服务端”的双向身份信息传输,实现数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
为了使本领域技术人员更好地理解本发明实施例的技术方案,下面通过一个示例进行解释说明。
参照图4,示出了本发明实施例中提供的数据处理的示意图,对于客户端,可以运行于用户侧,其可以通过证书获取接口向服务端申请进行客户端证书认证,并在认证成功后,获取服务端签发的客户端证书,然后可以利用自身的根证书对客户端证书进行加密,并存储于本地中。
其中,客户端与服务端之间可以通过URI(Uniform Resource Identifier,统一资源标志符)开启mTLS双向验证,以便通过证书的方式实现客户端与服务端之间的双向身份验证。
对于服务端,其可以包括服务端证书,以便客户端对服务端进行身份验证,并且,服务端可以通过Nignx通过Proxy-Header传递客户端证书等信息进行安全风控,包括证书签发、证书审计以及证书管理等。其中,对于证书签发,服务端可以根据客户端传递的请求消息,进行中间证书的签发,并将中间证书作为客户端证书,具体的,服务端可以采用离线的根证书进行中间证书的签发,然后存储中间证书作为客户端证书,并下发给对应的客户端;对于证书审计,服务端中可以记录有对应的证书注销日志以及证书签发日志等;对于证书管理,服务端可以进行相应客户端证书的查询管理,以及注销管理等等。
通过证书验证的方式,不仅可以实现客户端与服务端之间数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
参照图5,示出了本发明的一种数据通信方法实施例的步骤流程图,应用于客户端,具体可以包括如下步骤:
步骤501,响应于检测到身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
步骤502,接收针对所述客户端证书的验证结果;
步骤503,若所述验证结果为所述客户端可信,则建立与服务端之间的数据通信。
在本发明的一种可选实施例中,所述响应于检测到身份验证操作,向服务端发送身份验证请求之前,所述方法还包括:
响应于检测到设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端,以验证所述客户端所属用户终端是否为可信终端。
在本发明的一种可选实施例中,所述将所述客户端所属终端作为可信终端之后,所述方法还包括:
若所述用户终端为可信终端,则响应于检测到客户端验证操作,向服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
接收针对所述身份认证请求的客户端证书,并对所述客户端证书进行存储,所述客户端证书为根据所述设备验证信息与所述设备指纹信息生成的证书。
在本发明实施例中,在客户端与服务端之间建立数据通信的过程中,当客户端响应于身份验证操作,可以向服务端发送身份验证请求,身份验证请求可以至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息,接着服务端可以根据证书信息,对客户端证书进行身份验证,并生成针对客户端的验证结果,若验证结果为客户端可信,则服务端建立与客户端之间的数据通信,从而通过证书验证的方式,在基于客户端与服务端存在双向传输的情况下,对与客户端身份信息关联的客户端证书进行“服务端-客户端”以及“客户端-服务端”的双向身份信息传输,实现数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
参照图6,示出了本发明的一种数据通信方法实施例的步骤流程图,应用于服务端,具体可以包括如下步骤:
步骤601,获取客户端发送的身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
步骤602,根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
步骤603,若所述验证结果为所述客户端可信,则建立与所述客户端之间的数据通信。
在本发明的一种可选实施例中,所述根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果,包括:
获取与所述证书标识对应的签发用户标识,并将所述签发用户标识与所述使用用户标识进行比对;
若所述签发用户标识与所述使用用户标识相同,则生成针对所述客户端的可信验证结果,将所述可信验证结果发送至所述客户端;
若所述签发用户标识与所述使用用户标识不同,则生成针对所述客户端的不可信验证结果,将所述不可信验证结果发送至所述客户端。
在本发明的一种可选实施例中,所述获取客户端发送的身份验证请求之前,所述方法还包括:
获取所述客户端发送的设备验证信息;
若所述设备验证信息与预设验证信息相同,则将所述客户端所属用户终端作为可信终端。
在本发明的一种可选实施例中,所述将所述客户端所属用户终端作为可信终端之后,所述方法还包括:
获取身份验证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识。
在本发明的一种可选实施例中,还包括:
获取与所述客户端对应的配置参数,并根据所述配置参数判断所述客户端的运行状态;
若所述配置参数表征所述客户端的运行状态为正常状态,则保持所述客户端证书有效;
若所述配置参数表征所述客户端的运行状态为异常状态,则注销所述客户端证书;
其中,所述配置参数至少包括接口访问参数、设备参数以及用户参数中的一种。
在本发明实施例中,在客户端与服务端之间建立数据通信的过程中,当客户端响应于身份验证操作,可以向服务端发送身份验证请求,身份验证请求可以包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息,接着服务端可以根据证书信息,对客户端证书进行身份验证,并生成针对客户端的验证结果,若验证结果为客户端可信,则服务端建立与客户端之间的数据通信,从而通过证书验证的方式,在基于客户端与服务端存在双向传输的情况下,对与客户端身份信息关联的客户端证书进行“服务端-客户端”以及“客户端-服务端”的双向身份信息传输,实现数据传输的双向身份认证,而且可以灵活配置认证方式,提高了身份认证的适用性。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图7,示出了本发明的一种数据通信***实施例的结构框图,所述数据通信***包括客户端以及服务端,所述数据通信***具体可以包括:
位于所述客户端的身份验证请求发送模块701,用于响应于身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
位于所述服务端的验证结果生成模块702,用于根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
位于所述服务端的数据通信模块703,用于若所述验证结果为所述客户端可信,则建立所述服务端与所述客户端之间的数据通信。
在本发明的一种可选实施例中,所述证书信息包括所述客户端证书对应的证书标识与所述客户端的使用用户标识,所述验证结果生成模块702具体用于:
获取与所述证书标识对应的签发用户标识,并将所述签发用户标识与所述使用用户标识进行比对;
若所述签发用户标识与所述使用用户标识相同,则生成针对所述客户端的可信验证结果;
若所述签发用户标识与所述使用用户标识不同,则生成针对所述客户端的不可信验证结果。
在本发明的一种可选实施例中,所述***还包括:
位于所述客户端的设备验证信息获取模块,用于响应于设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端;
位于所述服务端的设备验证模块,用于若所述设备验证信息与预设验证信息相同,则将所述客户端所属终端作为可信终端。
在本发明的一种可选实施例中,所述***还包括:
位于所述客户端的身份认证请求发送模块,用于响应于客户端验证操作,向服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
位于所述服务端的客户端证书生成模块,用于采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识;
位于所述客户端的客户端证书接收模块,用于接收所述服务端发送的客户端证书。
在本发明的一种可选实施例中,还包括:
位于所述服务端的运行场景确定模块,用于获取与所述客户端对应的配置参数,并根据所述配置参数判断所述客户端的运行状态,获取与所述客户端对应的运行场景;
位于所述服务端证书保持模块,用于若所述配置参数表征所述客户端的运行状态为正常状态,则保持所述客户端证书有效;
位于所述服务端的证书注销模块,用于若所述配置参数表征所述客户端的运行状态为异常状态,则注销所述客户端证书;
其中,所述配置参数至少包括接口访问参数、设备参数以及用户参数中的一种。
参照图8,示出了本发明的一种数据通信装置实施例的结构框图,应用于客户端,具体可以包括如下模块:
身份验证请求发送模块801,用于响应于检测到身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
验证结果接收模块802,用于接收针对所述客户端证书的验证结果;
数据通信模块803,用于若所述验证结果为所述客户端可信,则建立与服务端之间的数据通信。
在本发明的一种可选实施例中,所述装置还包括:
设备验证信息获取模块,用于响应于检测到设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端,以验证所述客户端所属用户终端是否为可信终端。
在本发明的一种可选实施例中,所述装置还包括:
身份认证请求发送模块,用于若所述用户终端为可信终端,则响应于检测到客户端验证操作,向服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
客户端证书处理模块,用于接收针对所述身份认证请求的客户端证书,并对所述客户端证书进行存储,所述客户端证书为根据所述设备验证信息与所述设备指纹信息生成的证书。
参照图9,示出了本发明的一种数据通信装置实施例的结构框图,应用于服务端,具体可以包括如下模块:
身份验证请求获取模块901,用于获取客户端发送的身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
验证结果生成模块902,用于根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
数据通信模块903,用于若所述验证结果为所述客户端可信,则建立与所述客户端之间的数据通信。
在本发明的一种可选实施例中,所述证书信息包括所述客户端证书对应的证书标识与所述客户端的使用用户标识,所述验证结果生成模块902具体用于:
获取与所述证书标识对应的签发用户标识,并将所述签发用户标识与所述使用用户标识进行比对;
若所述签发用户标识与所述使用用户标识相同,则生成针对所述客户端的可信验证结果,将所述可信验证结果发送至所述客户端;
若所述签发用户标识与所述使用用户标识不同,则生成针对所述客户端的不可信验证结果,将所述不可信验证结果发送至所述客户端。
在本发明的一种可选实施例中,所述装置还包括:
设备验证信息获取模块,用于获取所述客户端发送的设备验证信息;
终端判定模块,用于若所述设备验证信息与预设验证信息相同,则将所述客户端所属用户终端作为可信终端。
在本发明的一种可选实施例中,所述装置还包括:
身份验证请求获取模块,用于获取身份验证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
客户端证书处理模块,用于采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识。
在本发明的一种可选实施例中,还包括:
运行场景获取模块,用于获取与所述客户端对应的配置参数,并根据所述配置参数判断所述客户端的运行状态,获取与所述客户端对应的运行场景;
证书保持模块,用于若所述配置参数表征所述客户端的运行状态为正常状态,则保持所述客户端证书有效;
证书注销模块,用于若所述配置参数表征所述客户端的运行状态为异常状态,则注销所述客户端证书;
其中,所述配置参数至少包括接口访问参数、设备参数以及用户参数中的一种。
对于上述装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
另外,本发明实施例还提供一种电子设备,如图10所示,包括处理器1001、通信接口1002、存储器1003和通信总线1004,其中,处理器1001,通信接口1002,存储器1003通过通信总线1004完成相互间的通信,
存储器1003,用于存放计算机程序;
处理器1001,用于执行存储器1003上所存放的程序时,实现如下步骤:
客户端响应于身份验证操作,向服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的客户端证书对应的信息;
所述服务端根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
若所述验证结果为所述客户端可信,则所述服务端建立与所述客户端之间的数据通信。
在本发明的一种可选实施例中,所述证书信息包括所述客户端证书对应的证书标识与所述客户端的使用用户标识,所述服务端根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果,包括:
所述服务端获取与所述证书标识对应的签发用户标识,并将所述签发用户标识与所述使用用户标识进行比对;
若所述签发用户标识与所述使用用户标识相同,则所述服务端生成针对所述客户端的可信验证结果;
若所述签发用户标识与所述使用用户标识不同,则所述服务端生成针对所述客户端的不可信验证结果。
在本发明的一种可选实施例中,所述客户端响应于身份验证操作,向服务端发送身份验证请求之前,所述方法还包括:
客户端响应于设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端;
若所述服务端检测到所述设备验证信息与预设验证信息相同,则将所述客户端所属终端作为可信终端。
在本发明的一种可选实施例中,所述目标客户端将所属终端作为可信终端之后,所述方法还包括:
所述客户端响应于客户端验证操作,向服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
所述服务端采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识;
所述客户端接收所述服务端发送的客户端证书。
在本发明的一种可选实施例中,还包括:
所述服务端获取与所述客户端对应的配置参数,并根据所述配置参数判断所述客户端的运行状态;
若所述配置参数表征所述客户端的运行状态为正常状态,则所述服务端保持所述客户端证书有效;
若所述配置参数表征所述客户端的运行状态为异常状态,则所述服务端注销所述客户端证书;
其中,所述配置参数至少包括接口访问参数、设备参数以及用户参数中的一种。上述终端提到的通信总线可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的数据通信方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的数据通信方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (9)
1.一种数据通信方法,其特征在于,包括:
客户端响应于设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端;
若所述服务端检测到所述设备验证信息与预设验证信息相同,则将所述客户端所属终端作为可信终端;
所述客户端响应于客户端验证操作,向所述服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
所述服务端采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识;
所述客户端接收所述服务端发送的客户端证书;
所述客户端响应于身份验证操作,向所述服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的所述客户端证书对应的信息;
所述服务端根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
若所述验证结果为所述客户端可信,则所述服务端建立与所述客户端之间的数据通信。
2.根据权利要求1所述的方法,其特征在于,所述证书信息包括所述客户端证书对应的证书标识与所述客户端的使用用户标识,所述服务端根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果,包括:
所述服务端获取与所述证书标识对应的签发用户标识,并将所述签发用户标识与所述使用用户标识进行比对;
若所述签发用户标识与所述使用用户标识相同,则所述服务端生成针对所述客户端的可信验证结果;
若所述签发用户标识与所述使用用户标识不同,则所述服务端生成针对所述客户端的不可信验证结果。
3.根据权利要求1所述的方法,其特征在于,还包括:
所述服务端获取与所述客户端对应的配置参数,并根据所述配置参数判断所述客户端的运行状态;
若所述配置参数表征所述客户端的运行状态为正常状态,则所述服务端保持所述客户端证书有效;
若所述配置参数表征所述客户端的运行状态为异常状态,则所述服务端注销所述客户端证书;
其中,所述配置参数至少包括接口访问参数、设备参数以及用户参数中的一种。
4.一种数据通信方法,其特征在于,应用于客户端,所述方法包括:
响应于设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端;
若所述设备验证信息与预设验证信息相同,则所述客户端所属终端是可信终端;
响应于客户端验证操作,向所述服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
接收所述服务端发送的客户端证书;
响应于检测到身份验证操作,向所述服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的所述客户端证书对应的信息;
接收针对所述客户端证书的验证结果;
若所述验证结果为所述客户端可信,则建立与服务端之间的数据通信。
5.一种数据通信方法,其特征在于,应用于服务端,所述方法包括:
获取客户端发送的设备验证信息,若检测到所述设备验证信息与预设验证信息相同,则将所述客户端所属终端作为可信终端;
获取所述客户端发送的身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识;
获取所述客户端发送的身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的所述客户端证书对应的信息;
根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
若所述验证结果为所述客户端可信,则建立与所述客户端之间的数据通信。
6.一种数据通信装置,其特征在于,应用于客户端,所述装置包括:
设备验证信息发送模块,用于响应于设备验证操作,获取与所述设备验证操作对应的设备验证信息,并将所述设备验证信息发送至服务端;
终端验证结果接收模块,用于若所述设备验证信息与预设验证信息相同,则所述客户端所属终端是可信终端;
身份验证请求发送模块,用于响应于客户端验证操作,向所述服务端发送身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
客户端证书接收模块,用于接收所述服务端发送的客户端证书;
身份验证请求发送模块,用于响应于检测到身份验证操作,向所述服务端发送身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的所述客户端证书对应的信息;
验证结果接收模块,用于接收针对所述客户端证书的验证结果;
数据通信模块,用于若所述验证结果为所述客户端可信,则建立与服务端之间的数据通信。
7.一种数据通信装置,其特征在于,应用于服务端,所述装置包括:
设备验证信息获取模块,用于获取客户端发送的设备验证信息;
终端验证结果生成模块,用于若检测到所述设备验证信息与预设验证信息相同,则将所述客户端所属终端作为可信终端;
身份认证请求获取模块,用于获取所述客户端发送的身份认证请求,所述身份认证请求包括所述设备验证信息与所述可信终端的设备指纹信息;
客户端证书生成模块,用于采用所述设备验证信息与所述设备指纹信息,对所述客户端进行身份认证,生成针对所述客户端的客户端证书,记录与所述客户端证书对应的签发用户标识;
身份验证请求获取模块,用于获取所述客户端发送的身份验证请求,所述身份验证请求至少包括证书信息,所述证书信息包括与所述服务端对所述客户端进行身份认证通过后签发的所述客户端证书对应的信息;
验证结果生成模块,用于根据所述证书信息,对所述客户端证书进行安全验证,生成针对所述客户端的验证结果;
数据通信模块,用于若所述验证结果为所述客户端可信,则建立与所述客户端之间的数据通信。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述电子设备执行如权利要求1-3或4或5任一项所述的数据通信方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1-3或4或5任一项所述的数据通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110832735.0A CN113672897B (zh) | 2021-07-22 | 2021-07-22 | 数据通信方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110832735.0A CN113672897B (zh) | 2021-07-22 | 2021-07-22 | 数据通信方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113672897A CN113672897A (zh) | 2021-11-19 |
| CN113672897B true CN113672897B (zh) | 2024-03-08 |
Family
ID=78540128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110832735.0A Active CN113672897B (zh) | 2021-07-22 | 2021-07-22 | 数据通信方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113672897B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124572B (zh) * | 2021-12-07 | 2023-06-27 | 建信金融科技有限责任公司 | 基于单向网络的数据传输方法、装置、设备和介质 |
| CN114785522B (zh) * | 2022-04-25 | 2024-06-25 | 浙江吉利控股集团有限公司 | 车联网信息安全认证方法、***、终端和存储介质 |
| CN115473705A (zh) * | 2022-08-26 | 2022-12-13 | 京东科技控股股份有限公司 | 设备指纹的生成和请求处理方法、装置、电子设备及介质 |
| CN115834245A (zh) * | 2023-01-05 | 2023-03-21 | 卓望数码技术(深圳)有限公司 | 一种安全认证方法、***、设备及存储介质 |
| CN116055769B (zh) * | 2023-03-31 | 2023-08-04 | 深圳市东信时代信息技术有限公司 | Cid广告预警方法、装置、计算机设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014000281A1 (zh) * | 2012-06-29 | 2014-01-03 | 华为技术有限公司 | 身份认证方法及装置 |
| CA2826126A1 (en) * | 2012-09-11 | 2014-03-11 | Blackberry Limited | Systems, devices and methods for authorizing endpoints of a push pathway |
| CN206726219U (zh) * | 2017-02-23 | 2017-12-08 | 天津市科迪信息技术有限责任公司 | 一种基于指纹识别的通信*** |
| CN109409041A (zh) * | 2018-09-04 | 2019-03-01 | 航天信息股份有限公司 | 一种基于多证书应用的服务端安全认证方法及*** |
| CN110213246A (zh) * | 2019-05-16 | 2019-09-06 | 南瑞集团有限公司 | 一种广域多因子身份认证*** |
| CN110380852A (zh) * | 2019-07-22 | 2019-10-25 | 中国联合网络通信集团有限公司 | 双向认证方法及通信*** |
| CN111414599A (zh) * | 2020-02-26 | 2020-07-14 | 北京奇艺世纪科技有限公司 | 身份验证方法、装置、终端、服务端以及可读存储介质 |
| CN112019493A (zh) * | 2019-05-31 | 2020-12-01 | 北京京东尚科信息技术有限公司 | 身份认证方法、身份认证装置、计算机设备和介质 |
| CN112511505A (zh) * | 2020-11-16 | 2021-03-16 | 北京中关村银行股份有限公司 | 一种鉴权***、方法、装置、设备和介质 |
-
2021
- 2021-07-22 CN CN202110832735.0A patent/CN113672897B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014000281A1 (zh) * | 2012-06-29 | 2014-01-03 | 华为技术有限公司 | 身份认证方法及装置 |
| CA2826126A1 (en) * | 2012-09-11 | 2014-03-11 | Blackberry Limited | Systems, devices and methods for authorizing endpoints of a push pathway |
| CN206726219U (zh) * | 2017-02-23 | 2017-12-08 | 天津市科迪信息技术有限责任公司 | 一种基于指纹识别的通信*** |
| CN109409041A (zh) * | 2018-09-04 | 2019-03-01 | 航天信息股份有限公司 | 一种基于多证书应用的服务端安全认证方法及*** |
| CN110213246A (zh) * | 2019-05-16 | 2019-09-06 | 南瑞集团有限公司 | 一种广域多因子身份认证*** |
| CN112019493A (zh) * | 2019-05-31 | 2020-12-01 | 北京京东尚科信息技术有限公司 | 身份认证方法、身份认证装置、计算机设备和介质 |
| CN110380852A (zh) * | 2019-07-22 | 2019-10-25 | 中国联合网络通信集团有限公司 | 双向认证方法及通信*** |
| CN111414599A (zh) * | 2020-02-26 | 2020-07-14 | 北京奇艺世纪科技有限公司 | 身份验证方法、装置、终端、服务端以及可读存储介质 |
| CN112511505A (zh) * | 2020-11-16 | 2021-03-16 | 北京中关村银行股份有限公司 | 一种鉴权***、方法、装置、设备和介质 |
Non-Patent Citations (1)
| Title |
|---|
| 关于手机银行客户端安全测评的研究;刘青;;信息通信;20180615(06);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113672897A (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113672897B (zh) | 数据通信方法、装置、电子设备及存储介质 | |
| US10277577B2 (en) | Password-less authentication system and method | |
| CN109005155B (zh) | 身份认证方法及装置 | |
| US8627493B1 (en) | Single sign-on for network applications | |
| US20100217975A1 (en) | Method and system for secure online transactions with message-level validation | |
| CN111901346B (zh) | 一种身份认证*** | |
| US20070209081A1 (en) | Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| US20160308849A1 (en) | System and Method for Out-of-Ban Application Authentication | |
| EP3479222A1 (en) | Systems and methods for endpoint management classification | |
| WO2012158803A1 (en) | Trusted mobile device based security | |
| EP2875460A1 (en) | Anti-cloning system and method | |
| CN109716725B (zh) | 数据安全***及其操作方法和计算机可读存储介质 | |
| CN111800378A (zh) | 一种登录认证方法、装置、***和存储介质 | |
| CN110868415A (zh) | 远程身份验证方法及装置 | |
| JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
| CN112560102A (zh) | 资源共享、访问方法、设备及计算机可读存储介质 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN116668190A (zh) | 一种基于浏览器指纹的跨域单点登录方法及*** | |
| CN114500074B (zh) | 单点***安全访问方法、装置及相关设备 | |
| CN114978544A (zh) | 一种访问认证方法、装置、***、电子设备及介质 | |
| KR20130055116A (ko) | 자동 로그인 기능을 제공하는 방법 및 서버 | |
| US11943349B2 (en) | Authentication through secure sharing of digital secrets previously established between devices | |
| Silver | Mitigating real-time relay phishing attacks against mobile push notification based two-factor authentication systems | |
| KR101737925B1 (ko) | 도전-응답 기반의 사용자 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |