[发明专利]通信方法、终端、服务器及通信系统

说明书

本发明公开了一种通信方法、终端、服务器及通信系统，该通信方法包括：在启动终端应用时，向服务器发送建立SSL链接请求；接收服务器针对建立SSL链接请求反馈的链接校验信息；利用终端本地的可信证书对服务器反馈的链接校验信息进行校验；终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的；在链接校验信息校验通过时发送校验通过的消息至服务器，建立终端应用与服务器的SSL链接通信。本发明可信证书为服务器对不同终端上送的证书进行孤点分析确定的，对于切换根证或签发新根证的情况自适应适配，能够提高证书校验的灵活性；利用从服务器同步的可信证书直接对链接校验信息进行校验，能够从根本上杜绝中间人攻击。

技术领域

本发明涉及通信安全技术领域，尤其涉及通信方法、终端、服务器及通信系统。

背景技术

本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

在终端与服务器建立链接的过程中，会遇到恶意分子通过架设特殊网络，利用中间人攻击的方式，截取和篡改通信报文，达到攻击通信系统的目的。目前，主要可以通过以下方式对中间人攻击进行识别和防护：

(1)进行root、模拟器、框架检测，部分特殊抓包工具需要进行hook操作，而这依赖于root及特殊框架，然而许多抓包工具不需要root或者安装框架，导致该检测及防护方法不够准确。

(2)进行代理检测，绝大部分的中间人攻击都是通过架设代理进行，拒绝代理可以很一定程度上解决该问题。但由于不是所有的中间人攻击都通过代理进行，同时普通用户也有正常使用需代理的求，故该方式会将正常使用需代理的用户拦截掉，导致该检测及防护方法依然不够准确。

(3)进行证书绑定，将根证书或者二级证书或者域名证书写死于客户端进行校验，拒绝非预埋的证书。然而，在发生证书/根证书变化的情况(域名证书一年一换，假如证书厂商变更则根证书也会变化)，则预埋了证书的存量客户端将无法使用，导致该方案证书校验不够灵活。

因此，现有的中间人攻击检测及防护方法存在准确性低及证书校验灵活性差的问题。

发明内容

本发明实施例提供一种通信方法，应用于终端，用以避免中间人攻击及提高证书校验的灵活性，该通信方法包括：

在启动终端应用时，向服务器发送建立SSL链接请求；

接收服务器针对建立SSL链接请求反馈的链接校验信息；

利用终端本地的可信证书对服务器反馈的链接校验信息进行校验；终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的；所述服务器是通过以下方式对不同终端上送的证书进行孤点分析的：服务器接收不同终端上送的证书形成服务器端证书集合，利用孤点分析将服务器端证书集合中证书指纹的普及度小于预设普及度的证书标识为不可信任证书，将服务器端证书集合中将证书指纹的普及度不小于预设普及度的证书标识为可信任证书；将可信证书下发至终端；

在链接校验信息校验通过时发送校验通过的消息至服务器，建立终端应用与服务器的SSL链接通信。

本发明实施例还提供一种终端，用以避免中间人攻击及提高证书校验的灵活性，该终端包括：

请求发送模块，用于在启动终端应用时，向服务器发送建立SSL链接请求；

校验信息接收模块，用于接收服务器针对建立SSL链接请求反馈的链接校验信息；