一种通信安全交互方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,特别地,涉及一种通信安全交互方法、装置及系统。
【背景技术】
[0002]在客户端与服务端的交互设计中,一个很重要的因素是考虑系统通信的安全性。在传统的系统交互过程中,大多数是由客户端维护一个客户端令牌(token),在与服务端的交互时将客户端令牌提交至服务端,在服务端进行校验客户端令牌是否有效,来判断客户端是否可信。在此过程中,通信的客户端令牌很有可能被第三方窃取,并将客户端真正要提交的信息进行篡改,从而伪装成真实的客户端对服务端发起请求。同时,用户的敏感数据也会被第三方窃取,导致敏感信息泄露。
【发明内容】
[0003]本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种通信安全交互方法、装置及系统。所述方法包括步骤:
[0004]当客户端第一次打开时,客户端向服务端发送第一请求信息,所述第一请求信息用于请求获取客户端令牌;客户端接收服务端返回的客户端令牌;
[0005]客户端向服务端发送第二请求信息,所述第二请求信息包括客户端本机设备参数、请求参数以及加密参数,所述加密参数通过所述客户端令牌生成;
[0006]其中,所述客户端令牌用于唯一标识来自所述客户端发送的所述第二请求信息。
[0007]可选地,所述客户端向服务器发送第一请求信息,包括:
[0008]所述第一请求信息包括客户端本机设备参数,所述客户端本机设备参数为唯一标识客户端的设备标识符参数。
[0009]可选地,所述客户端向服务端发送第二请求信息,包括:
[0010]客户端向服务端发送第二请求信息之前,通过所述客户端令牌对第二请求信息中的请求参数进行加密,并生成第一加密参数;
[0011]将本机设备参数、所述请求参数与所述第一加密参数同时发送给服务端。
[0012]本发明还提出一种通信安全交互方法,应用于服务端,其特征在于,包括步骤:
[0013]服务端接收客户端发送的第一请求信息,所述第一请求信息包括所述客户端本机设备参数;
[0014]根据所述客户端本机设备参数生成客户端令牌并发送给所述客户端;
[0015]服务端接收客户端发送的第二请求信息,当所述第二请求信息满足校验条件时,建立与所述客户端的连接。
[0016]可选地,所述根据所述客户端本机设备参数生成客户端令牌并发送给所述客户端,还包括步骤:
[0017]服务端根据所述客户端本机设备参数生成客户端令牌;
[0018]建立并存储所述客户端本机设备参数与所述客户端令牌之间的对应关系;
[0019]服务端向客户端返回客户端令牌,所述客户端令牌用于唯一标识来自所述客户端发送的所述第二请求信息。
[0020]可选地,所述当所述第二请求信息满足校验条件时,建立与所述客户端的连接,还包括步骤:
[0021]当服务端接收到第二请求信息时,获取请求参数;
[0022]根据所述第二请求信息中所述客户端本机设备参数在本地获取对应的客户端令牌;
[0023]通过所述客户端令牌对请求参数进行加密并生成第二加密参数;
[0024]当所述第一加密参数与所述第二加密参数校验一致时,则建立与所述客户端的连接。
[0025]本发明还提出一种通信安全交互装置,应用于客户端,其特征在于,包括:
[0026]第一发送模块,用于客户端向服务器发送第一请求信息和第二请求信息,所述第一请求信息包括客户端本机设备参数,所述第二请求信息包括客户端本机设备参数、请求参数以及加密参数;
[0027]第一接收模块,用于接收服务端返回的客户端令牌;
[0028]第一加密模块,用于通过所述客户端令牌对请求参数进行加密并生成第一加密参数;
[0029]第一存储模块,用于存储服务端返回的客户端令牌,所述客户端令牌用于唯一标识来自所述客户端发送的所述第二请求信息。
[0030]本发明还提出一种通信安全交互装置,应用于服务端,其特征在于,包括:
[0031]第二接收模块,用于接收客户端发送的第一请求信息和第二请求信息,所述第一请求信息包括客户端本机设备参数,所述第二请求信息包括客户端本机设备参数、请求参数以及加密参数;
[0032]第二发送模块,用于向客户端发送客户端令牌,所述客户端令牌用于唯一标识来自所述客户端发送的所述第二请求信息;
[0033]第二加密模块,用于通过所述客户端令牌对所述请求参数进行加密并生成第二加密参数;
[0034]第二存储模块,用于存储客户端令牌以及客户端本机设备参数与所述客户端令牌之间的对应关系。
[0035]可选地,所述服务端还包括:
[0036]生成模块,服务端根据所述客户端本机设备参数生成客户端令牌,所述客户端令牌用于唯一标识来自所述客户端发送的所述第二请求信息;
[0037]校验模块,用于校验当所述第一加密参数与所述第二加密参数校验一致时,则建立与所述客户端的连接。
[0038]本发明还提出一种通信安全交互系统,其特征在于,包括客户端和服务端,其中:
[0039]所述客户端,用于向服务器发送第一请求信息和第二请求信息,所述第一请求信息用于获取客户端令牌,所述客户端令牌用于唯一标识来自所述客户端发送的所述第二请求信息,所述第二请求信息用于建立与服务端的连接;
[0040]所述服务端,用于接收客户端发送的第一请求信息和第二请求信息,根据所述第一请求信息向客户端返回客户端令牌,对所述第二请求信息进行校验,当所述第二请求信息满足校验条件时,建立与所述客户端的连接。
[0041]实施本发明提供的一种通信安全交互方法、装置及系统,具有以下有益效果:
[0042]客户端与服务端通信时客户端令牌不参与请求数据的传输,客户端令牌与客户端本机的设备标识符绑定,客户端和服务端都维护一个相同的令牌,提高了秘钥的安全性。另一方面,通过对请求数据加密并校验,防止客户端与服务端交互过程中信息被第三方窃取或篡改,同时有效防止客户端提交的敏感数据泄露。
【附图说明】
[0043]下面将结合附图及实施例对本发明作进一步说明,附图中:
[0044]图1是实现本发明各个实施例的客户端的硬件结构示意图;
[0045]图2是如图1所示的移动终端的无线通信系统示意图;
[0046]图3是本发明实施例提供的一种通信安全交互方法流程图;
[0047]图4是本发明实施例提供的一种客户端向服务端获取客户端令牌的交互方法流程图;
[0048]图5是本发明实施例提供的一种通信安全交互方法流程图;
[0049]图6是本发明实施例提供的一种通信安全交互方法流程图;
[0050]图7是本发明实施例提供的一种通信安全交互装置结构框图;
[0051]图8是本发明实施例提供的一种通信安全交互装置结构框图;
[0052]图9是本发明实施例提供的一种通信安全交互系统流程图。
【具体实施方式】
[0053]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0054]现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身并没有特定的意义。因此,〃模块〃与〃部件〃可以混合地使用。
[0055]移动终端可以以各种形式来实施。例如,本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
[0056]图1为实现本发明各个实施例的移动终端的硬件结构示意。
[0057]移动终端100可以包括无线通信单元110、A/V (音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端,但是应理解的是,并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。
[0058]无线通信单元110通常包括一个或多个组件,其允许移动终端100与无线通信系统或网络之间的无线电通信。例如,无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。
[0059]广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括TV广播信号、无线电广播信号、数据广播信号等等。而且,广播信号可以进一步包括与TV或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供,并且在该情况下,广播相关信息可以由移动通信模块112来接收。广播信号可以以各种形式存在,例如,其可以以数字多媒体广播(DMB)的电子节目指南