通信方法、装置、计算机设备和存储介质与流程

1.本技术涉及大数据数据访问技术领域，特别是涉及一种通信方法、装置、计算机设备和存储介质。


背景技术：

2.银行是人们日常生活中需要使用的重要机构之一，随着网络技术的发展，出现了网上银行技术，用户可以通过网络访问银行的系统，而银行服务器作为一种重要系统，需要保证银行服务器的安全，目前为了保证银行服务器的安全，用户访问银行服务器时需要使用特定的物理硬件作为访问银行服务器的身份凭证。然而，通过物理硬件的方式访问银行服务器存在较高的丢失风险，导致安全事故的发生。
3.因此，目前与银行服务器通过物理硬件的方式进行访问的方式，存在以下缺陷：基于物理硬件的方式访问银行服务器，由于物理硬件容易丢失，一旦丢失会导致安全事故的发生，因此这种与银行通信的方法存在安全性较低的缺陷。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够提高访问银行服务器的安全性的通信方法、装置、计算机设备和存储介质。
5.一种通信方法，应用于云服务器，所述方法包括：
6.根据所述云服务器对应的用户身份信息，生成证书申请请求并发送至目标服务器；所述目标服务器用于根据所述用户身份信息生成证书信息并返回；所述证书信息包括第一证书以及第二证书；所述第二证书包括本地证书以及云端证书；所述第一证书与所述第二证书的加密算法不同；
7.获取所述目标服务器发送的证书信息，存储所述第一证书和所述本地证书并将所述云端证书发送至所述目标服务器；所述目标服务器用于存储所述云端证书；
8.根据所述第一证书以及所述本地证书，向所述目标服务器发送通信请求；所述目标服务器用于根据所述云端证书、所述本地证书以及所述第一证书对所述云服务器验证通过后与所述云服务器建立通信连接。
9.在其中一个实施例中，所述第一证书为rsa证书，所述第二证书为sm2证书，所述本地证书为本地sm2证书，所述云端证书为云端sm2证书；
10.所述获取所述目标服务器发送的证书信息，存储所述第一证书和所述本地证书并将所述云端证书发送至所述目标服务器，包括：
11.获取所述目标服务器发送的rsa证书以及sm2证书；
12.存储所述rsa证书和所述本地sm2证书，并将所述云端sm2证书发送至所述目标服务器；所述目标服务器用于存储所述云端sm2证书。
13.在其中一个实施例中，所述根据所述第一证书以及所述本地证书，向所述目标服务器发送通信请求，包括：
14.生成请求信息包括所述rsa证书以及所述本地sm2证书的双向超文本传输安全协议通信请求，并发送至所述目标服务器。
15.在其中一个实施例中，所述根据所述第一证书以及所述本地证书，向所述目标服务器发送通信请求之后，还包括：
16.接收到交易请求，根据交易报文生成协同签名请求，并发送至所述目标服务器；所述目标服务器用于处理所述协同签名请求通过后向所述云服务器发送处理通过结果；
17.接收所述目标服务器发送的处理通过结果，生成所述交易报文对应的交易报文签名并对所述交易报文进行加密，得到加密交易报文；
18.将所述加密交易报文和所述交易报文签名发送至所述目标服务器；所述目标服务器用于对所述加密交易报文和所述交易报文签名验证通过后处理所述交易报文。
19.一种通信方法，应用于目标服务器，所述方法包括：
20.接收云服务器发送的请求信息包括用户身份信息的证书申请请求，根据所述用户身份信息生成对应的证书信息并返回至所述云服务器；所述证书信息包括第一证书以及第二证书；所述第二证书包括本地证书以及云端证书；所述第一证书与所述第二证书的加密算法不同；所述云服务器用于存储所述第一证书和所述本地证书并将所述云端证书发送至所述目标服务器；
21.接收所述云服务器发送的云端证书并存储；
22.获取所述云服务器发送的请求信息包括所述第一证书和所述本地证书的通信请求，验证所述云端证书、所述本地证书以及所述第一证书，并当验证通过时与所述云服务器建立通信连接。
23.在其中一个实施例中，所述当验证通过时与所述云服务器建立通信连接之后，还包括：
24.获取所述云服务器发送的协同签名请求，通过安全服务器接口处理所述系统签名请求后向所述云服务器发送处理通过结果；所述云服务器用于接收所述处理通过结果，将加密交易报文和交易报文签名发送至所述目标服务器；
25.获取所述加密交易报文以及所述交易报文签名，将所述加密交易报文解密，通过所述安全服务器接口验证解密后的交易报文以及所述交易报文签名，若验证通过，处理所述交易报文。
26.一种通信系统，所述系统包括：云服务器和目标服务器：
27.所述云服务器，用于根据所述云服务器对应的用户身份信息，生成证书申请请求并发送至目标服务器；
28.所述目标服务器，用于接收云服务器发送的请求信息包括用户身份信息的证书申请请求，根据所述用户身份信息生成对应的证书信息并返回至所述云服务器；所述证书信息包括第一证书以及第二证书；所述第二证书包括本地证书以及云端证书；所述第一证书与所述第二证书的加密算法不同；
29.所述云服务器，用于存储所述第一证书和所述本地证书并将所述云端证书发送至所述目标服务器；
30.所述目标服务器，用于存储所述云端证书；
31.所述云服务器，用于根据所述第一证书以及所述本地证书，向所述目标服务器发
送通信请求；
32.所述目标服务器，用于根据所述云端证书、所述本地证书以及所述第一证书对所述云服务器验证通过后与所述云服务器建立通信连接。
33.一种通信装置，应用于云服务器，所述装置包括：
34.申请模块，用于根据所述云服务器对应的用户身份信息，生成证书申请请求并发送至目标服务器；所述目标服务器用于根据所述用户身份信息生成证书信息并返回；所述证书信息包括第一证书以及第二证书；所述第二证书包括本地证书以及云端证书；所述第一证书与所述第二证书的加密算法不同；
35.获取模块，用于获取所述目标服务器发送的证书信息，存储所述第一证书和所述本地证书并将所述云端证书发送至所述目标服务器；所述目标服务器用于存储所述云端证书；
36.通信模块，用于根据所述第一证书以及所述本地证书，向所述目标服务器发送通信请求；所述目标服务器用于根据所述云端证书、所述本地证书以及所述第一证书对所述云服务器验证通过后与所述云服务器建立通信连接。
37.在其中一个实施例中，所述第一证书为rsa证书，所述第二证书为sm2证书，所述本地证书为本地sm2证书，所述云端证书为云端sm2证书；
38.所述获取模块，具体用于：
39.获取所述目标服务器发送的rsa证书以及sm2证书；
40.存储所述rsa证书和所述本地sm2证书，并将所述云端sm2证书发送至所述目标服务器；所述目标服务器用于存储所述云端sm2证书。
41.在其中一个实施例中，所述通信模块，具体用于：
42.生成请求信息包括所述rsa证书以及所述本地sm2证书的双向超文本传输安全协议通信请求，并发送至所述目标服务器。
43.在其中一个实施例中，所述装置还包括：交易请求模块，用于：
44.接收到交易请求，根据交易报文生成协同签名请求，并发送至所述目标服务器；所述目标服务器用于处理所述协同签名请求通过后向所述云服务器发送处理通过结果；
45.接收所述目标服务器发送的处理通过结果，生成所述交易报文对应的交易报文签名并对所述交易报文进行加密，得到加密交易报文；
46.将所述加密交易报文和所述交易报文签名发送至所述目标服务器；所述目标服务器用于对所述加密交易报文和所述交易报文签名验证通过后处理所述交易报文。
47.一种通信装置，应用于目标服务器，所述装置包括：
48.接收模块，用于接收云服务器发送的请求信息包括用户身份信息的证书申请请求，根据所述用户身份信息生成对应的证书信息并返回至所述云服务器；所述证书信息包括第一证书以及第二证书；所述第二证书包括本地证书以及云端证书；所述第一证书与所述第二证书的加密算法不同；所述云服务器用于存储所述第一证书和所述本地证书并将所述云端证书发送至所述目标服务器；
49.存储模块，用于接收所述云服务器发送的云端证书并存储；
50.验证模块，用于获取所述云服务器发送的请求信息包括所述第一证书和所述本地证书的通信请求，验证所述云端证书、所述本地证书以及所述第一证书，并当验证通过时与
所述云服务器建立通信连接。
51.在其中一个实施例中，所述装置还包括：交易处理模块，用于：
52.获取所述云服务器发送的协同签名请求，通过安全服务器接口处理所述系统签名请求后向所述云服务器发送处理通过结果；所述云服务器用于接收所述处理通过结果，将加密交易报文和交易报文签名发送至所述目标服务器；
53.获取所述加密交易报文以及所述交易报文签名，将所述加密交易报文解密，通过所述安全服务器接口验证解密后的交易报文以及所述交易报文签名，若验证通过，处理所述交易报文。
54.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法的步骤。
55.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法的步骤。
56.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现上述的方法的步骤。
57.上述通信方法、装置、计算机设备和存储介质，相较于传统的通过物理硬件接入银行系统的方式，可以实现以下技术效果：
58.通过利用与用户身份对应的证书信息作为验证依据，并且将证书信息分割为本地存储的证书和云端存储的证书，防止被他人盗用，提高了访问银行系统的安全性。
59.此外，本方案实施例通过基于rsa证书和本地sm2证书生成的请求信息向目标服务器发起通信请求，由于云服务器中的证书信息与云服务器的用户身份信息紧密相连，从而目标服务器通过基于证书的验证方式验证云服务器的通信资格，从而提高了访问银行系统的安全性。并且，云服务器还可以通过协同签名、加密和签名的方式与目标服务器进行通信，提高了访问银行系统的安全性。
附图说明
60.图1为一个实施例中通信方法的应用环境图；
61.图2为一个实施例中通信方法的流程示意图；
62.图3为另一个实施例中通信方法的流程示意图；
63.图4为又一个实施例中通信方法的流程示意图；
64.图5为一个实施例中证书生成步骤的流程示意图；
65.图6为一个实施例中交易报文处理步骤的流程示意图；
66.图7为一个实施例中通信装置的结构框图；
67.图8为另一个实施例中通信装置的结构框图；
68.图9为一个实施例中计算机设备的内部结构图。
具体实施方式
69.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。需要说明的是，本技术技术方案中对数据的获取、存储、使用、处理等均符
合国家法律法规的相关规定，并且本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据；对应的，本技术还提供有相应的用户授权入口，供用户选择授权或者选择拒绝。
70.本技术提供的通信方法，可以应用于如图1所示的应用环境中。其中，云服务器102通过网络与目标服务器104进行通信。云服务器102可以根据自身对应的用户身份信息向目标服务器104发送证书申请，目标服务器104可以基于用户身份信息向云服务器102返回对应的证书信息，云服务器102可以将证书信息进行分割，一部分存储本地，另一部分存储至目标服务器104，云服务器102还可以根据本地的证书向目标服务器104发送通信请求，目标服务器104在对证书验证通过后与云服务器102建立通信连接。其中，云服务器102以及目标服务器104均可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
71.需要说明的是，本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据；对应的，本公开还提供有相应的用户授权入口，供用户选择授权或者选择拒绝。
72.在一个实施例中，如图2所示，提供了一种通信方法，以该方法应用于图1中的云服务器为例进行说明，包括以下步骤：
73.步骤s202，根据云服务器对应的用户身份信息，生成证书申请请求并发送至目标服务器；目标服务器用于根据用户身份信息生成证书信息并返回；证书信息包括第一证书以及第二证书；第二证书包括本地证书以及云端证书；第一证书与第二证书的加密算法不同。
74.其中，上述通信方法可以是基于银行系统的通信方法，云服务器102可以是设置在云端的服务器，例如设置在第三方公有云的企业财务系统。由于设置在公有云，因此云服务器102无法通过插入物理硬件的方式与银行系统进行连接。而云服务器102拥有对应的用户身份信息，则云服务器102需要与银行系统进行连接时，云服务器102可以基于自身对应的用户身份信息，生活曾对应的证书申请请求并发送值目标服务器104，从而目标服务器104可以根据用户身份信息生成对应的证书信息并将证书信息返回至云服务器102中。其中，公有云指第三方提供商为用户提供的能够使用的云，公有云一般可通过internet使用，可能是免费或成本低廉的，公有云的核心属性是共享资源服务。这种云有许多实例，可在当今整个开放的公有网络中提供服务。上述云服务器102可以是服务使用方，例如部署在第三方公有云的企业财务系统通过互联网直接调用银行提供的接口使用相关金融服务；上述目标服务器104可以是银行服务器，银行服务器可以是银行系统对应的服务器，而银行系统可以是服务提供方，例如银行的银企直连系统通过开放接口形式为企业提供相关金融服务。其中银企直联是指企业的财务系统直接与银行系统直接互联，企业财务系统通过调用银行发布的互联网接口直接使用相关金融服务。
75.其中，数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。上述证书信息包括第一证书和第二证书，并且第二证书还可以被分割为本地证书和云端证书。其中，上述第一证书和第二证书可以是使用不同加密算法得到的证书。例如，在一个实施例中，第一证书为rsa证书，第二证书为sm2证书，
本地证书为本地sm2证书，云端证书为云端sm2证书。本实施例中，sm2是国家密码管理局发布的椭圆曲线公钥密码算法。rsa是一种加密算法，rsa公开密钥密码体制是一种使用不同的加密密钥与解密密钥，“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。sm2证书可以被分割为两部分，一部分是存在云服务器102本地的本地sm2证书，另一部分是存在目标服务器104的云端sm2证书。
76.步骤s204，获取目标服务器发送的证书信息，存储第一证书和本地证书并将云端证书发送至目标服务器；目标服务器用于存储云端证书。
77.其中，目标服务器104可以向云服务器102发送根据云服务器102的用户身份信息生成的证书信息，其中证书信息中可以包括第一证书和第二证书，并且第二证书可以被分为本地证书以及云端证书两部分。云服务器102获取到目标服务器104发送的证书信息后，可以将第一证书以及第二证书中的本地证书部分存储在云服务器102中，并将第二证书中的云端证书部分发送至目标服务器104中，目标服务器104在接收到云端证书后将其进行存储。
78.其中，上述第一证书可以是rsa证书，第二证书可以是sm2证书，则云服务器102可以基于上述根据不同加密算法得到的两种数字证书进行存储。例如，在一个实施例中，获取目标服务器发送的证书信息，存储第一证书和本地证书并将云端证书发送至目标服务器，包括：获取目标服务器发送的rsa证书以及sm2证书；存储rsa证书和本地sm2证书，并将云端sm2证书发送至目标服务器；目标服务器用于存储云端sm2证书。本实施例中，云服务器102可以获取目标服务器104发送的rsa证书以及sm2证书，并且云服务器102还可以将上述sm2证书分为本地sm2证书以及云端sm2证书，云服务器102可以存储上述rsa证书以及本地sm2证书，并将云端sm2证书发送至目标服务器104中进行存储，目标服务器104可以在接收到云端sm2证书后将其进行存储。从而可以防范在银企直联服务中使用文件证书存在拷贝挪用的风险，因为云服务器102将本地的签名证书部分信息存放在银企直联服务端，即上述目标服务器104，部分签名证书存放在客户本地与本地环境信息紧密关联，拷贝后将无法使用。
79.步骤s206，根据第一证书以及本地证书，向目标服务器发送通信请求；目标服务器用于根据云端证书、本地证书以及第一证书对云服务器验证通过后与云服务器建立通信连接。
80.其中，云服务器102完成上述证书信息的申请和存储后，可以基于证书信息建立与目标服务器104之间的通信。云服务器102可以基于上述第一证书以及上述第二证书中的本地证书生成对应的通信请求，并将通信请求发送至目标服务器104，目标服务器104可以与其存储的云端证书，接收到的通信请求中的本地证书和第一证书，对云服务器102的通信资格进行验证，并在验证通过后建立与云服务器102的通信连接，从而实现第三方公有云上的云服务器102与具有安全性要求的银行系统的目标服务器104进行通信。云服务器102与目标服务器104建立通信连接后，可以进行交易报文的交互。
81.上述通信方法中，通过目标服务器，基于云服务器发送的证书申请请求中的用户身份信息生成证书信息并返回，云服务器将目标服务器发送的证书信息中的第一证书以及第二证书中的本地证书进行保存，并将第二证书中的云端证书发送至目标服务器进行保存；云服务器根据第一证书和本地证书，向目标服务器发送通信请求，目标服务器根据云端证书、本地证书和第一证书对云服务器进行验证通过后与云服务器建立通信连接。相较于
传统的通过物理硬件接入银行系统的方式，本方案利用与用户身份对应的证书信息作为验证依据，并且将证书信息分割为本地存储的证书和云端存储的证书，防止被他人盗用，提高了访问银行系统的安全性。
82.在一个实施例中，根据第一证书以及本地证书，向目标服务器发送通信请求，包括：生成请求信息包括rsa证书以及本地sm2证书的双向超文本传输安全协议通信请求，并发送至目标服务器。
83.本实施例中，上述云服务器102接收到的证书信息中包括基于不同加密算法生成的第一证书和第二证书，并且云服务器102可以将第二证书分为本地证书和云端证书，并基于第一证书和本地证书生成通信请求发送至目标服务器104。其中，第一证书可以是rsa证书，第二证书可以是sm2证书，则云服务器102可以生成请求信息包括rsa证书以及本地sm2证书的https(双向超文本传输安全协议)通信请求，并将该通信请求发送至目标服务器104。从而目标服务器104可以基于接收到的通信请求中的各个证书对云服务器102的资格进行验证。例如，目标服务器104可以通过对接收到的证书的信息进行验证，从而确定云服务器102是否通过验证。
84.通过本实施例，云服务器102通过基于rsa证书和本地sm2证书生成的请求信息向目标服务器104发起通信请求，由于云服务器102中的证书信息与云服务器102的用户身份信息紧密相连，从而目标服务器104通过基于证书的验证方式验证云服务器102的通信资格，从而提高了访问银行系统的安全性。
85.在一个实施例中，根据第一证书以及本地证书，向目标服务器发送通信请求之后，还包括：接收到交易请求，根据交易报文生成协同签名请求，并发送至目标服务器；目标服务器用于处理协同签名请求通过后向云服务器发送处理通过结果；接收目标服务器发送的处理通过结果，生成交易报文对应的交易报文签名并对交易报文进行加密，得到加密交易报文；将加密交易报文和交易报文签名发送至目标服务器；目标服务器用于对加密交易报文和交易报文签名验证通过后处理交易报文。
86.本实施例中，云服务器102与目标服务器104建立通信连接后，可以进行交易报文的交互。云服务器102在接收到交易请求时，可以根据交易请求中的交易报文生成协同签名请求，并将协同签名请求发送至目标服务器104，目标服务器104可以处理协同签名请求，并在处理通过后向云服务器102发送处理通过结果，云服务器102接收到目标服务器104发送的处理通过结果后，可以生成交易报文对应的交易报文签名，云服务器102还可以对交易报文进行加密，得到加密交易报文；例如，云服务器102可以通过3des算法对交易报文进行加密。其中，3des是tdea(triple data encryption algorithm，三重数据加密算法)块密码的通称。它相当于是对每个数据块应用三次des加密算法。云服务器102可以将加密交易报文和交易报文签名发送至目标服务器104，从而目标服务器104可以对加密交易报文和交易报文签名进行验证，并在验证通过后处理该交易报文。例如，目标服务器104可以将加密交易报文进行解密，并对解密后的交易报文以及交易报文签名进行验证，从而目标服务器104可以在上述验证通过后处理交易报文的业务逻辑。
87.通过本实施例，云服务器102可以通过协同签名、加密和签名的方式与目标服务器104进行通信，提高了访问银行系统的安全性。
88.在一个实施例中，如图3所示，提供了一种通信方法，以该方法应用于图1中的终端
为例进行说明，包括以下步骤：
89.步骤s302，接收云服务器发送的请求信息包括用户身份信息的证书申请请求，根据用户身份信息生成对应的证书信息并返回至云服务器；证书信息包括第一证书以及第二证书；第二证书包括本地证书以及云端证书；第一证书与第二证书的加密算法不同；云服务器用于存储第一证书和本地证书并将云端证书发送至目标服务器。
90.其中，云服务器102可以是设置在云端的服务器，例如设置在第三方公有云的企业财务系统。由于设置在公有云，因此云服务器102无法通过插入物理硬件的方式与银行系统进行连接。而云服务器102拥有对应的用户身份信息，则云服务器102需要与银行系统进行连接时，云服务器102可以基于自身对应的用户身份信息，生活曾对应的证书申请请求并发送值目标服务器104，从而目标服务器104可以根据用户身份信息生成对应的证书信息并将证书信息返回至云服务器102中。其中，公有云指第三方提供商为用户提供的能够使用的云，公有云一般可通过internet使用，可能是免费或成本低廉的，公有云的核心属性是共享资源服务。这种云有许多实例，可在当今整个开放的公有网络中提供服务。上述云服务器102可以是服务使用方，例如部署在第三方公有云的企业财务系统通过互联网直接调用银行提供的接口使用相关金融服务；而银行系统可以是服务提供方，例如银行的银企直连系统通过开放接口形式为企业提供相关金融服务。其中银企直联是指企业的财务系统直接与银行系统直接互联，企业财务系统通过调用银行发布的互联网接口直接使用相关金融服务。
91.其中，数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。上述证书信息包括第一证书和第二证书，并且第二证书还可以被分割为本地证书和云端证书。其中，上述第一证书和第二证书可以是使用不同加密算法得到的证书。例如，在一个实施例中，第一证书为rsa证书，第二证书为sm2证书，本地证书为本地sm2证书，云端证书为云端sm2证书。sm2证书可以被分割为两部分，一部分是存在云服务器102本地的本地sm2证书，另一部分是存在目标服务器104的云端sm2证书。
92.步骤s304，接收云服务器发送的云端证书并存储。
93.其中，目标服务器104可以向云服务器102发送根据云服务器102的用户身份信息生成的证书信息，其中证书信息中可以包括第一证书和第二证书，并且第二证书可以被分为本地证书以及云端证书两部分。云服务器102获取到目标服务器104发送的证书信息后，可以将第一证书以及第二证书中的本地证书部分存储在云服务器102中，并将第二证书中的云端证书部分发送至目标服务器104中，目标服务器104在接收到云端证书后将其进行存储。其中，上述第一证书可以是rsa证书，第二证书可以是sm2证书，则云服务器102可以基于上述根据不同加密算法得到的两种数字证书进行存储。例如云服务器102可以存储rsa证书和本地sm2证书，并将云端sm2证书发送至目标服务器；目标服务器用于存储云端sm2证书。
94.步骤s306，获取云服务器发送的请求信息包括第一证书和本地证书的通信请求，验证云端证书、本地证书以及第一证书，并当验证通过时与云服务器建立通信连接。
95.其中，云服务器102完成上述证书信息的申请和存储后，可以基于证书信息建立与目标服务器104之间的通信。云服务器102可以基于上述第一证书以及上述第二证书中的本地证书生成对应的通信请求，并将通信请求发送至目标服务器104，目标服务器104可以与其存储的云端证书，接收到的通信请求中的本地证书和第一证书，对云服务器102的通信资
格进行验证，并在验证通过后建立与云服务器102的通信连接，从而实现第三方公有云上的云服务器102与具有安全性要求的银行系统的目标服务器104进行通信。云服务器102与目标服务器104建立通信连接后，可以进行交易报文的交互。
96.上述通信方法中，通过目标服务器，基于云服务器发送的证书申请请求中的用户身份信息生成证书信息并返回，云服务器将目标服务器发送的证书信息中的第一证书以及第二证书中的本地证书进行保存，并将第二证书中的云端证书发送至目标服务器进行保存；云服务器根据第一证书和本地证书，向目标服务器发送通信请求，目标服务器根据云端证书、本地证书和第一证书对云服务器进行验证通过后与云服务器建立通信连接。相较于传统的通过物理硬件接入银行系统的方式，本方案利用与用户身份对应的证书信息作为验证依据，并且将证书信息分割为本地存储的证书和云端存储的证书，防止被他人盗用，提高了访问银行系统的安全性。
97.在一个实施例中，当验证通过时与云服务器建立通信连接之后，还包括：获取云服务器发送的协同签名请求，通过安全服务器接口处理系统签名请求后向云服务器发送处理通过结果；云服务器用于接收处理通过结果，将加密交易报文和交易报文签名发送至目标服务器；获取加密交易报文以及交易报文签名，将加密交易报文解密，通过安全服务器接口验证解密后的交易报文以及交易报文签名，若验证通过，处理交易报文。
98.本实施例中，云服务器102与目标服务器104建立通信连接后，可以进行交易报文的交互。云服务器102在接收到交易请求时，可以根据交易请求中的交易报文生成协同签名请求，并将协同签名请求发送至目标服务器104，目标服务器104可以处理协同签名请求，并在处理通过后向云服务器102发送处理通过结果。例如，目标服务器104可以调用安全服务器接口处理协同签名，并将结果返回至云服务器102，云服务器102可以在接收到处理通过结果后将加密交易报文和交易报文签名发送至目标服务器104，目标服务器104可以对加密交易报文和交易报文签名进行验证，并在验证通过后处理该交易报文。例如，目标服务器104可以将加密交易报文进行解密，并通过安全服务器对解密后的交易报文以及交易报文签名进行验证，从而目标服务器104可以在上述验证通过后处理交易报文的业务逻辑。
99.通过本实施例，目标服务器104可以通过调用安全服务器处理协同签名、解密交易报文和验证签名，从而确定云服务器102是否具有与目标服务器104进行通信的资格，提高了访问银行系统的安全性。
100.在一个实施例中，如图4所示，图4为又一个实施例中通信方法的流程示意图。其中，上述云服务器102可以是部署在第三方公有云上的企业财务系统，即是一种客户端；上述目标服务器104可以是银行系统中的银企直连系统，即是一种服务端。该方法包括以下流程：如图4所示，方法流程包括客户端向服务端发起请求生成客户端证书、客户端发起建立交易链路以及客户端发起交易报文请求，而服务端分别响应上述的各个流程。
101.其中，证书生成的流程如图5所示，图5为一个实施例中证书生成步骤的流程示意图。部署在公有云的企业财务系统向银行服务端发起证书生成请求。银行服务端接收客户财务系统发起的生成证书请求，调用证书系统生成相关证书信息并返回给客户财务系统，同时将证书信息与客户身份绑定。其中客户身份信息可以从上述证书生成请求中得到。企业财务系统接收银行处理结果，包括rsa证书以及sm2证书，企业财务系统可以将rsa证书存在财务系统本地；sm2证书分成两部分，一部分存在财务系统本地，另外一部分存在目标服
务器。企业财务系统完成证书申请和存储后，可以与银企直连应用建立交易链路。例如，企业财务系统使用本地rsa证书信息向银行服务端发起建立双向https通讯请求；银行服务端校验客户端证书相关信息，如校验通过则连接建立成功。
102.企业财务系统的客户端完成交易链路的建立后，可以与银行系统的服务端进行交易报文的交互。客户端与服务端的交互流程可以如图6所示，图6为一个实施例中交易报文处理步骤的流程示意图。其中，服务端可以与安全服务器通信连接，安全服务器可以是设置在银行系统内部的用于验证的服务器。在交易报文处理过程中，客户端可以首先对交易报文进行签名初始化；然后向服务端发起协同签名请求；服务端调用安全服务器接口处理协同签名，并将结果返回给客户端；当客户端获得协同签名结果后，进行完整的交易报文签名，并且客户端可以对交易报文使用3des算法进行加密；客户端将交易报文加密结果及交易报文签名结果，发送到服务端；服务端对加密报文结果进行解密，并将解密结果及报文签名发到安全服务器进行签名校验；当安全服务器交易失败则返回报错结果给客户端；如校验通过，服务端可以则继续处理交易报文业务逻辑，并将结果返回给客户端；客户端接收交易报文处理结果，交易流程结束。
103.通过上述实施例，利用与用户身份对应的证书信息作为验证依据，并且将证书信息分割为本地存储的证书和云端存储的证书，防止被他人盗用，提高了访问银行系统的安全性，并且在建立通信链路后还可以通过对交易报文的签名等信息进行验证实现对交易报文的处理，使得部署在第三方公有云的财务系统无需使用物理u盾前提下，也能安全、可靠的使用银企直联服务，提高了访问银行系统的安全性，为企业使用银行金融服务保驾护航。
104.应该理解的是，虽然图2-图6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-图6中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
105.在一个实施例中，提供了一种通信系统，包括：云服务器102和目标服务器104，其中：
106.云服务器，用于根据云服务器对应的用户身份信息，生成证书申请请求并发送至目标服务器；
107.目标服务器，用于接收云服务器发送的请求信息包括用户身份信息的证书申请请求，根据用户身份信息生成对应的证书信息并返回至云服务器；证书信息包括第一证书以及第二证书；第二证书包括本地证书以及云端证书；第一证书与第二证书的加密算法不同；
108.云服务器，用于存储第一证书和本地证书并将云端证书发送至目标服务器；
109.目标服务器，用于存储云端证书；
110.云服务器，用于根据第一证书以及本地证书，向目标服务器发送通信请求；
111.目标服务器，用于根据云端证书、本地证书以及第一证书对云服务器验证通过后与云服务器建立通信连接。
112.关于通信系统的具体限定可以参见上文中对于通信方法的限定，在此不再赘述。
113.在一个实施例中，如图7所示，提供了一种通信装置，包括：申请模块500、获取模块502和通信模块504，其中：
114.申请模块500，用于根据云服务器对应的用户身份信息，生成证书申请请求并发送至目标服务器；目标服务器用于根据用户身份信息生成证书信息并返回；证书信息包括第一证书以及第二证书；第二证书包括本地证书以及云端证书；第一证书与第二证书的加密算法不同。
115.获取模块502，用于获取目标服务器发送的证书信息，存储第一证书和本地证书并将云端证书发送至目标服务器；目标服务器用于存储云端证书。
116.通信模块504，用于根据第一证书以及本地证书，向目标服务器发送通信请求；目标服务器用于根据云端证书、本地证书以及第一证书对云服务器验证通过后与云服务器建立通信连接。
117.在一个实施例中，上述获取模块502，具体用于获取目标服务器发送的rsa证书以及sm2证书；存储rsa证书和本地sm2证书，并将云端sm2证书发送至目标服务器；目标服务器用于存储云端sm2证书。
118.在一个实施例中，上述通信模块504，具体用于生成请求信息包括rsa证书以及本地sm2证书的双向超文本传输安全协议通信请求，并发送至目标服务器。
119.在一个实施例中，上述装置还包括：交易请求模块，用于接收到交易请求，根据交易报文生成协同签名请求，并发送至目标服务器；目标服务器用于处理协同签名请求通过后向云服务器发送处理通过结果；接收目标服务器发送的处理通过结果，生成交易报文对应的交易报文签名并对交易报文进行加密，得到加密交易报文；将加密交易报文和交易报文签名发送至目标服务器；目标服务器用于对加密交易报文和交易报文签名验证通过后处理交易报文。
120.在一个实施例中，如图8所示，提供了一种通信装置，包括：接收模块600、存储模块602和验证模块604，其中：
121.接收模块600，用于接收云服务器发送的请求信息包括用户身份信息的证书申请请求，根据用户身份信息生成对应的证书信息并返回至云服务器；证书信息包括第一证书以及第二证书；第二证书包括本地证书以及云端证书；第一证书与第二证书的加密算法不同；云服务器用于存储第一证书和本地证书并将云端证书发送至目标服务器。
122.存储模块602，用于接收云服务器发送的云端证书并存储。
123.验证模块604，用于获取云服务器发送的请求信息包括第一证书和本地证书的通信请求，验证云端证书、本地证书以及第一证书，并当验证通过时与云服务器建立通信连接。
124.在一个实施例中，上述装置还包括：交易处理模块，用于获取云服务器发送的协同签名请求，通过安全服务器接口处理系统签名请求后向云服务器发送处理通过结果；云服务器用于接收处理通过结果，将加密交易报文和交易报文签名发送至目标服务器；获取加密交易报文以及交易报文签名，将加密交易报文解密，通过安全服务器接口验证解密后的交易报文以及交易报文签名，若验证通过，处理交易报文。
125.关于通信装置的具体限定可以参见上文中对于通信方法的限定，在此不再赘述。上述通信装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可
以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
126.在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种通信方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
127.本领域技术人员可以理解，图9中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
128.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述的通信方法。
129.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述的通信方法。
130.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述的通信方法。
131.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
132.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
133.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。