本發(fā)明公開了一種通信方法、終端、服務(wù)器及通信系統(tǒng)，該通信方法包括：在啟動(dòng)終端應(yīng)用時(shí)，向服務(wù)器發(fā)送建立SSL鏈接請(qǐng)求；接收服務(wù)器針對(duì)建立SSL鏈接請(qǐng)求反饋的鏈接校驗(yàn)信息；利用終端本地的可信證書對(duì)服務(wù)器反饋的鏈接校驗(yàn)信息進(jìn)行校驗(yàn)；終端本地的可信證書為服務(wù)器對(duì)不同終端上送的證書進(jìn)行孤點(diǎn)分析確定的；在鏈接校驗(yàn)信息校驗(yàn)通過(guò)時(shí)發(fā)送校驗(yàn)通過(guò)的消息至服務(wù)器，建立終端應(yīng)用與服務(wù)器的SSL鏈接通信。本發(fā)明可信證書為服務(wù)器對(duì)不同終端上送的證書進(jìn)行孤點(diǎn)分析確定的，對(duì)于切換根證或簽發(fā)新根證的情況自適應(yīng)適配，能夠提高證書校驗(yàn)的靈活性；利用從服務(wù)器同步的可信證書直接對(duì)鏈接校驗(yàn)信息進(jìn)行校驗(yàn)，能夠從根本上杜絕中間人攻擊。

技術(shù)領(lǐng)域

本發(fā)明涉及通信安全技術(shù)領(lǐng)域，尤其涉及通信方法、終端、服務(wù)器及通信系統(tǒng)。

背景技術(shù)

本部分旨在為權(quán)利要求書中陳述的本發(fā)明實(shí)施例提供背景或上下文。此處的描述不因?yàn)榘ㄔ诒静糠种芯统姓J(rèn)是現(xiàn)有技術(shù)。

在終端與服務(wù)器建立鏈接的過(guò)程中，會(huì)遇到惡意分子通過(guò)架設(shè)特殊網(wǎng)絡(luò)，利用中間人攻擊的方式，截取和篡改通信報(bào)文，達(dá)到攻擊通信系統(tǒng)的目的。目前，主要可以通過(guò)以下方式對(duì)中間人攻擊進(jìn)行識(shí)別和防護(hù)：

(1)進(jìn)行root、模擬器、框架檢測(cè)，部分特殊抓包工具需要進(jìn)行hook操作，而這依賴于root及特殊框架，然而許多抓包工具不需要root或者安裝框架，導(dǎo)致該檢測(cè)及防護(hù)方法不夠準(zhǔn)確。

(2)進(jìn)行代理檢測(cè)，絕大部分的中間人攻擊都是通過(guò)架設(shè)代理進(jìn)行，拒絕代理可以很一定程度上解決該問(wèn)題。但由于不是所有的中間人攻擊都通過(guò)代理進(jìn)行，同時(shí)普通用戶也有正常使用需代理的求，故該方式會(huì)將正常使用需代理的用戶攔截掉，導(dǎo)致該檢測(cè)及防護(hù)方法依然不夠準(zhǔn)確。

(3)進(jìn)行證書綁定，將根證書或者二級(jí)證書或者域名證書寫死于客戶端進(jìn)行校驗(yàn)，拒絕非預(yù)埋的證書。然而，在發(fā)生證書/根證書變化的情況(域名證書一年一換，假如證書廠商變更則根證書也會(huì)變化)，則預(yù)埋了證書的存量客戶端將無(wú)法使用，導(dǎo)致該方案證書校驗(yàn)不夠靈活。

因此，現(xiàn)有的中間人攻擊檢測(cè)及防護(hù)方法存在準(zhǔn)確性低及證書校驗(yàn)靈活性差的問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種通信方法，應(yīng)用于終端，用以避免中間人攻擊及提高證書校驗(yàn)的靈活性，該通信方法包括：

在啟動(dòng)終端應(yīng)用時(shí)，向服務(wù)器發(fā)送建立SSL鏈接請(qǐng)求；

接收服務(wù)器針對(duì)建立SSL鏈接請(qǐng)求反饋的鏈接校驗(yàn)信息；

利用終端本地的可信證書對(duì)服務(wù)器反饋的鏈接校驗(yàn)信息進(jìn)行校驗(yàn)；終端本地的可信證書為服務(wù)器對(duì)不同終端上送的證書進(jìn)行孤點(diǎn)分析確定的；所述服務(wù)器是通過(guò)以下方式對(duì)不同終端上送的證書進(jìn)行孤點(diǎn)分析的：服務(wù)器接收不同終端上送的證書形成服務(wù)器端證書集合，利用孤點(diǎn)分析將服務(wù)器端證書集合中證書指紋的普及度小于預(yù)設(shè)普及度的證書標(biāo)識(shí)為不可信任證書，將服務(wù)器端證書集合中將證書指紋的普及度不小于預(yù)設(shè)普及度的證書標(biāo)識(shí)為可信任證書；將可信證書下發(fā)至終端；

在鏈接校驗(yàn)信息校驗(yàn)通過(guò)時(shí)發(fā)送校驗(yàn)通過(guò)的消息至服務(wù)器，建立終端應(yīng)用與服務(wù)器的SSL鏈接通信。

本發(fā)明實(shí)施例還提供一種終端，用以避免中間人攻擊及提高證書校驗(yàn)的靈活性，該終端包括：

請(qǐng)求發(fā)送模塊，用于在啟動(dòng)終端應(yīng)用時(shí)，向服務(wù)器發(fā)送建立SSL鏈接請(qǐng)求；

校驗(yàn)信息接收模塊，用于接收服務(wù)器針對(duì)建立SSL鏈接請(qǐng)求反饋的鏈接校驗(yàn)信息；