本发明专利技术涉及一种用于安全通信的方法、客户端、服务器、系统和计算机程序产品。其中该方法包括:响应于客户端上安装的应用程序与服务器的通信请求,生成关于客户端数字证书的证书申请请求,其中所述客户端数字证书与所述客户端相关联;向证书发放机构发送所述证书申请请求;接收所述证书发放机构基于所述证书申请请求发送的客户端数字证书;以及基于所述客户端数字证书,建立所述应用程序与所述服务器之间的安全传输层协议双向认证信道。通过本发明专利技术的技术方案,无需引入额外的硬件设备,即可实现应用程序与服务器之间的安全传输层协议双向认证信道的建立。认证信道的建立。认证信道的建立。
【技术实现步骤摘要】
用于安全通信的方法和其相关产品
[0001]本专利技术一般地涉及通信
更具体地,本专利技术涉及一种用于安全通信的方法、客户端、服务器、系统和计算机程序产品。
技术介绍
[0002]本部分旨在为权利要求书中陈述的本专利技术的实施方式提供背景或上下文。此处的描述可包括可以探究的概念,但不一定是之前已经想到或者已经探究的概念。因此,除非在此指出,否则在本部分中描述的内容对于本申请的说明书和权利要求书而言不是现有技术,并且并不因为包括在本部分中就承认是现有技术。
[0003]TLS(Transport Layer Security,安全传输层协议)是互联网领域中通用的安全信道协议。目前客户端中的大部分移动APP在与服务器通信时会使用到TLS信道,并且在该信道的建立过程中往往仅涉及TLS单向认证,即仅需客户端来校验服务器端的身份。这种依靠TLS单向认证方式来构建的信道,其安全程度相对较低,已无法适用于安全性要求较高的场景。另外,相关技术还提出了一种TLS双向认证,即由服务器来验证客户端身份。这个认证方式需要额外配置数字证书硬件设备(例如成本为数十元到数百元不等的蓝牙U盾、音频盾、NFC卡等设备)来支持。可以看出,这种TLS认证方式不仅成本高,并且便携性差,从而影响APP与服务器之间的通信性能。
技术实现思路
[0004]为了至少解决上述
技术介绍
部分所描述的技术问题,本专利技术提出了一种用于安全通信的方案。利用本专利技术的方案,无需引入额外的硬件设备,即可实现应用程序与服务器之间的安全传输层协议双向认证信道的建立。由此可见,本专利技术的技术方案提高了应用程序与服务器之间通信的安全性,同时有效降低安全通道的构建成本,并进而提升应用程序与服务器之间的通信性能。鉴于此,本专利技术在如下的多个方面提供解决方案。
[0005]本专利技术的第一方面提供了一种用于安全通信的方法,包括:响应于客户端上安装的应用程序与服务器的通信请求,生成关于客户端数字证书的证书申请请求,其中所述客户端数字证书与所述客户端相关联;向证书发放机构发送所述证书申请请求;接收所述证书发放机构基于所述证书申请请求发送的客户端数字证书;以及基于所述客户端数字证书,建立所述应用程序与所述服务器之间的安全传输层协议双向认证信道。
[0006]在一个实施例中,其中生成关于客户端数字证书的证书申请请求包括:获取所述客户端的标识信息;获取所述应用程序的标识信息;以及根据所述客户端的标识信息和所述应用程序的标识信息,生成所述证书申请请求。
[0007]在一个实施例中,其中获取所述客户端的标识信息包括:生成关于所述客户端数字证书的初始密钥,其中所述初始密钥包括初始公钥;获取所述客户端的设备信息;以及根据所述设备信息和所述初始公钥,生成所述客户端的标识信息。
[0008]在一个实施例中,其中所述初始密钥还包括初始私钥,所述方法还包括:根据所述
客户端的标识信息和所述初始私钥,生成目标私钥;根据所述目标私钥生成目标公钥;以及将所述目标公钥、所述客户端的标识信息和所述应用程序的标识信息添加至所述证书申请请求中的被签名区域内。
[0009]本专利技术的第二方面提供了一种用于安全通信的方法,包括:获取与客户端相关联的客户端数字证书,其中所述客户端数字证书用于构建服务器与所述客户端上安装的应用程序之间的安全传输层协议双向认证信道;响应于对所述应用程序的用户的身份验证请求,将所述客户端数字证书与所述用户进行关联;以及基于对所述客户端数字证书的验证,以实现对所述用户的身份验证。。
[0010]在一个实施例中,其中将所述客户端数字证书与所述用户进行关联包括:获取所述用户访问所述应用程序时的验证信息;基于所述验证信息对所述用户进行身份验证;以及响应于通过所述身份验证,将所述客户端数字证书与所述用户进行关联。
[0011]在一个实施例中,其中将所述客户端数字证书与所述用户进行关联包括:从所述客户端数字证书中提取所述客户端的标识信息;以及将所述客户端的标识信息与所述用户进行关联。
[0012]本专利技术的第三方面提供了一种客户端,包括:处理器;以及存储器,其存储有用于安全通信的计算机指令,当所述计算机指令由所述处理器运行时,使得所述客户端执行前述第一方面以及在下文多个实施例中所述的方法。
[0013]本专利技术的第四方面提供了一种计算机程序产品,包括用于安全通信的程序指令,当所述程序指令由处理器执行时,使得实现前述第一方面以及在下文多个实施例中所述的方法。
[0014]本专利技术的第五方面提供了一种服务器,包括:处理器;以及存储器,其存储有用于安全通信的计算机指令,当所述计算机指令由所述处理器运行时,使得所述服务器执行前述第二方面以及在下文多个实施例中所述的方法。
[0015]本专利技术的第六方面提供了一种计算机程序产品,包括用于安全通信的程序指令,当所述程序指令由处理器执行时,使得实现前述第二方面以及在下文多个实施例中所述的方法。
[0016]本专利技术的第七方面提出了一种用于安全通信的系统,包括:如本专利技术的第三方面所述的客户端,其配置成执行根据前述第一方面以及在下文多个实施例中所述的方法,以生成关于客户端证书的证书申请请求,并基于所述客户端证书来建构应用程序与服务器之间的安全传输层协议双向认证信道;证书发放机构,其配置成基于所述证书申请请求颁发与所述客户端相关联的客户端数字证书;以及如本专利技术的第五方面所述的服务器,其配置成执行根据前述第二方面以及在下文多个实施例中所述的方法,用于将所述客户端数字证书与用户进行绑定,以基于对客户端数字证书的验证实现对用户的身份验证。
[0017]利用本专利技术所提供的方案,客户端可以向证书发放机构申请与客户端关联的客户端数字证书,以基于该客户端数字证书实现应用程序与服务器之间的安全传输层协议双向认证信道(即TLS双向认证信道)的构建。可以看出,本专利技术的方案无需引入额外的硬件设备,即可实现应用程序与服务器之间的TLS双向认证信道的建立,可以有效降低安全通道的构建成本。进一步地,通过TLS双向认证信道的建立,本专利技术的方案提高了应用程序与服务器之间通信的安全性,并进而提升应用程序与服务器之间的通信性能。另外,在一些实施场
景中,在建立TLS双向认证信道之后,可以将上述客户端数字证书与访问应用程序的用户进行关联。由此,在该用户再次使用应用程序时,本专利技术的方案可以通过验证客户端数字证书的方式来实现用户身份的验证,以支持用户的免登录操作,从而提升用户的使用体验。
附图说明
[0018]通过参考附图阅读下文的详细描述,本专利技术示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本专利技术的若干实施方式,并且相同或对应的标号表示相同或对应的部分,其中:
[0019]图1A是示出根据本专利技术实施例的用于安全通信的方法的流程图;
[0020]图1B是示出根据本专利技术实施例的证书申请请求的生成方法的流程图;
[0021]图2是示出根据本专利技术实施例的用于安全通信本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于安全通信的方法,其特征在于,包括:响应于客户端上安装的应用程序与服务器的通信请求,生成关于客户端数字证书的证书申请请求,其中所述客户端数字证书与所述客户端相关联;向证书发放机构发送所述证书申请请求;接收所述证书发放机构基于所述证书申请请求发送的客户端数字证书;以及基于所述客户端数字证书,建立所述应用程序与所述服务器之间的安全传输层协议双向认证信道。2.根据权利要求1所述的方法,其特征在于,其中生成关于客户端数字证书的证书申请请求包括:获取所述客户端的标识信息;获取所述应用程序的标识信息;以及根据所述客户端的标识信息和所述应用程序的标识信息,生成所述证书申请请求。3.根据权利要求2所述的方法,其特征在于,其中获取所述客户端的标识信息包括:生成关于所述客户端数字证书的初始密钥,其中所述初始密钥包括初始公钥;获取所述客户端的设备信息;以及根据所述设备信息和所述初始公钥,生成所述客户端的标识信息。4.根据权利要求3所述的方法,其特征在于,其中所述初始密钥还包括初始私钥,所述方法还包括:根据所述客户端的标识信息和所述初始私钥,生成目标私钥;根据所述目标私钥生成目标公钥;以及将所述目标公钥、所述客户端的标识信息和所述应用程序的标识信息添加至所述证书申请请求中的被签名区域内。5.一种用于安全通信的方法,其特征在于,包括:获取与客户端相关联的客户端数字证书,其中所述客户端数字证书用于构建服务器与所述客户端上安装的应用程序之间的安全传输层协议双向认证信道;响应于对所述应用程序的用户的身份验证请求,将所述客户端数字证书与所述用户进行关联;以及基于对所述客户端数字证书的验证,以实现对所述用户的身份验证。6....
【专利技术属性】
技术研发人员:李闯,
申请(专利权)人:中金金融认证中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。