本發(fā)明涉及信息處理技術(shù)，尤其涉及一種信息認(rèn)證方法及網(wǎng)關(guān)設(shè)備。

背景技術(shù)：

為了實(shí)現(xiàn)對(duì)超文本傳輸協(xié)議的安全版(hypertexttransferprotocoloversecuresocketlayer，https)報(bào)文進(jìn)行內(nèi)容計(jì)費(fèi)，目前業(yè)界普遍采用基于加密層，如傳輸層安全(transportlayersecurity，tls)流程中的初始協(xié)商消息中所攜帶的明文字段，即服務(wù)器名稱指示(servernameindication，sni)，所述明文字段sni用于標(biāo)識(shí)業(yè)務(wù)的域名信息，這樣內(nèi)容計(jì)費(fèi)可以借用所述sni字段作為業(yè)務(wù)類型識(shí)別和內(nèi)容計(jì)費(fèi)字段。

然而，如果客戶端和服務(wù)器配合作假，即將所述sni字段設(shè)置為免流字段，那么會(huì)造成嚴(yán)重的流量盜用。因此，如何校驗(yàn)sni字段的真實(shí)性是一個(gè)亟待解決的問題。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明實(shí)施例為解決現(xiàn)有技術(shù)中存在的問題而提供一種信息認(rèn)證方法及網(wǎng)關(guān)設(shè)備。

本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的：

本發(fā)明實(shí)施例提供一種信息認(rèn)證方法，所述方法包括：

獲取域名信息；

查找所述域名信息對(duì)應(yīng)證書所屬的根證書；

根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果，所述服務(wù)器證書為傳輸層安全tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

在一實(shí)施方式中，所述獲取域名信息包括：

解析域名標(biāo)識(shí)字段，得到域名信息；

檢測(cè)所述域名信息是否處在可信任列表中；

若未處在可信任列表中，則記錄所述域名信息。

在一實(shí)施方式中，所述根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果，包括：

根據(jù)所述根證書的公鑰對(duì)服務(wù)器證書的電子簽名進(jìn)行完整性和真實(shí)性驗(yàn)證；

對(duì)所述服務(wù)器證書的有效期進(jìn)行驗(yàn)證，得到驗(yàn)證結(jié)果。

在一實(shí)施方式中，所述方法還包括：

若所述認(rèn)證通過，則將所述域名信息記為白名單，并進(jìn)行與所述白名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

在一實(shí)施方式中，所述方法還包括：

若所述認(rèn)證未通過，則將所述域名信息記為黑名單，并進(jìn)行與所述黑名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

本發(fā)明實(shí)施例還提供一種網(wǎng)關(guān)設(shè)備，所述網(wǎng)關(guān)設(shè)備包括獲取模塊、查找模塊和認(rèn)證處理模塊；

所述獲取模塊，用于獲取域名信息；

所述查找模塊，用于查找所述域名信息對(duì)應(yīng)證書所屬的根證書；

所述認(rèn)證處理模塊，用于根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果，所述服務(wù)器證書為傳輸層安全tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

在一實(shí)施方式中，所述獲取模塊包括解析單元、檢測(cè)單元和記錄單元；

所述解析單元，用于解析域名標(biāo)識(shí)字段，得到域名信息；

所述檢測(cè)單元，用于檢測(cè)所述域名信息是否處在可信任列表中；

所述記錄單元，用于若未處在可信任列表中，則記錄所述域名信息。

在一實(shí)施方式中，所述認(rèn)證處理模塊包括第一驗(yàn)證單元和第二驗(yàn)證單元；

所述第一驗(yàn)證單元，用于根據(jù)所述根證書的公鑰對(duì)服務(wù)器證書的電子簽名進(jìn)行完整性和真實(shí)性驗(yàn)證；

所述第二驗(yàn)證單元，用于對(duì)所述服務(wù)器證書的有效期進(jìn)行驗(yàn)證，得到驗(yàn)證結(jié)果。

在一實(shí)施方式中，所述網(wǎng)關(guān)設(shè)備還包括計(jì)費(fèi)處理模塊；

所述計(jì)費(fèi)處理模塊，用于若所述認(rèn)證通過，則將所述域名信息記為白名單，并進(jìn)行與所述白名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

在一實(shí)施方式中，所述網(wǎng)關(guān)設(shè)備還包括計(jì)費(fèi)處理模塊；

所述計(jì)費(fèi)處理模塊，用于若所述認(rèn)證未通過，則將所述域名信息記為黑名單，并進(jìn)行與所述黑名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

本發(fā)明實(shí)施例中，網(wǎng)關(guān)設(shè)備獲取域名信息；查找所述域名信息對(duì)應(yīng)證書所屬的根證書；根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果。如此，網(wǎng)關(guān)設(shè)備作為中間網(wǎng)元，在tls協(xié)商過程通過識(shí)別服務(wù)器所傳遞的服務(wù)器證書，并基于預(yù)制的根證書對(duì)服務(wù)器證書的真實(shí)性進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)在tls交互過程中驗(yàn)證sni字段的真實(shí)性，整個(gè)驗(yàn)證過程僅涉及網(wǎng)關(guān)設(shè)備，不需要客戶端和服務(wù)器的配合，更易于現(xiàn)網(wǎng)實(shí)施。

附圖說明

圖1為本發(fā)明實(shí)施例一信息認(rèn)證方法的實(shí)現(xiàn)流程示意圖；

圖2為本發(fā)明實(shí)施例二信息認(rèn)證方法的實(shí)現(xiàn)流程示意圖；

圖3為本發(fā)明實(shí)施例三信息認(rèn)證方法的實(shí)現(xiàn)流程示意圖；

圖4為本發(fā)明實(shí)施例四信息認(rèn)證方法的實(shí)現(xiàn)流程示意圖；

圖5為本發(fā)明一應(yīng)用示例信息認(rèn)證方法的具體實(shí)現(xiàn)流程示意圖；

圖6為本發(fā)明實(shí)施例網(wǎng)關(guān)設(shè)備的組成結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)一步詳細(xì)闡述。

實(shí)施例一：

本發(fā)明實(shí)施例提供一種信息認(rèn)證方法，如圖1所述，所述方法包括：

步驟101、獲取域名信息；

其中，所述域名信息用于表示網(wǎng)絡(luò)業(yè)務(wù)的域名；在基于tls的交互流程中，所述域名信息通常攜帶于tls初始協(xié)議消息中的sni字段中，以實(shí)現(xiàn)用戶ue、網(wǎng)關(guān)、及服務(wù)器之間域名信息的傳遞。當(dāng)然，所述域名字段還可以攜帶于用戶自定義的字段中進(jìn)行傳遞。

具體地，網(wǎng)關(guān)設(shè)備在tls建鏈的初始階段，通過透?jìng)鞣绞綄?shí)現(xiàn)ue與服務(wù)器之間sni字段的傳輸，進(jìn)一步在傳輸所述sni字段的過程中，解析所述sni字段，以獲得域名信息。

步驟102、查找所述域名信息對(duì)應(yīng)證書所屬的根證書；

這里，網(wǎng)關(guān)設(shè)備預(yù)先會(huì)存儲(chǔ)有預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表。相應(yīng)的，當(dāng)網(wǎng)關(guān)設(shè)備可以在獲取到當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)的域名信息后，直接在預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表中找到所述域名信息對(duì)應(yīng)證書所屬的根證書。

步驟103、根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果。

其中，所述服務(wù)器證書為tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

具體地，網(wǎng)關(guān)設(shè)備在與服務(wù)器進(jìn)行tls協(xié)商過程中，服務(wù)器會(huì)主動(dòng)傳遞服務(wù)器證書；當(dāng)網(wǎng)關(guān)設(shè)備獲取到服務(wù)器所傳遞的服務(wù)器證書后，進(jìn)一步根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，以認(rèn)證所述服務(wù)器證書的真實(shí)性和完整性，從而確定出所述sni字段中域名信息的真實(shí)性。

這里，當(dāng)所述認(rèn)證通過，則所述sni字段中的域名信息真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系正確；相反，若所述認(rèn)證未通過，則所述sni字段的域名信息不真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系不正確，可能存在客戶端和服務(wù)器配合作假的問題。

通過本發(fā)明實(shí)施例所述信息認(rèn)證方法，網(wǎng)關(guān)設(shè)備獲取域名信息；查找所述域名信息對(duì)應(yīng)證書所屬的根證書；根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果。如此，網(wǎng)關(guān)設(shè)備作為中間網(wǎng)元，在tls協(xié)商過程通過識(shí)別服務(wù)器所傳遞的服務(wù)器證書，并基于預(yù)制的根證書對(duì)服務(wù)器證書的真實(shí)性進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)在tls交互過程中驗(yàn)證sni字段的真實(shí)性，且整個(gè)驗(yàn)證過程僅涉及網(wǎng)關(guān)設(shè)備，不需要客戶端和服務(wù)器的配合，更易于現(xiàn)網(wǎng)實(shí)施。

實(shí)施例二

本發(fā)明實(shí)施例提供一種信息認(rèn)證方法，如圖2所述，所述方法包括：

步驟1011、解析域名標(biāo)識(shí)字段，得到域名信息；

其中，所述域名信息用于表示網(wǎng)絡(luò)業(yè)務(wù)的域名；在基于tls的交互流程中，所述域名信息通常攜帶于tls初始協(xié)議消息中的sni字段中，以實(shí)現(xiàn)用戶ue、網(wǎng)關(guān)、及服務(wù)器之間域名信息的傳遞。當(dāng)然，所述域名字段還可以攜帶于用戶自定義的字段中進(jìn)行傳遞。

具體地，網(wǎng)關(guān)設(shè)備在tls建鏈的初始階段，通過透?jìng)鞣绞綄?shí)現(xiàn)ue與服務(wù)器之間sni字段的傳輸，進(jìn)一步在傳輸所述sni字段的過程中，解析所述sni字段，以獲得域名信息。

步驟1012、檢測(cè)所述域名信息是否處在可信任列表中；

其中，所述可信任列表包括白名單列表和黑名單列表。

具體地，網(wǎng)關(guān)設(shè)備檢測(cè)所述域名信息和serverip在白名單列表和/或黑名單列表中是否存在對(duì)應(yīng)關(guān)系，若在白名單列表中存在對(duì)應(yīng)關(guān)系，則確定所述域名信息為真實(shí)的，此時(shí)所述域名信息處在可信任列表中，可以將安全標(biāo)識(shí)符(securityidentifier，sid)設(shè)置為后向計(jì)費(fèi)；若黑名單列表中存在對(duì)應(yīng)關(guān)系，則確定所述域名信息為真實(shí)的，此時(shí)所述域名信息未處在可信任列表中，可以將sid設(shè)置為前向計(jì)費(fèi)；若在白名單列表和黑名單列表中均不存在對(duì)應(yīng)關(guān)系，則可以確定所述域名信息未處在可信任列表中，則繼續(xù)執(zhí)行后續(xù)步驟1013。

這里，所述后向計(jì)費(fèi)是指客戶通過2g/3g/4g/wlan網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)時(shí)，產(chǎn)生的數(shù)據(jù)流量費(fèi)用減免，由集團(tuán)客戶后向統(tǒng)付。

步驟1013、若未處在可信任列表中，則記錄所述域名信息；

步驟102、查找所述域名信息對(duì)應(yīng)證書所屬的根證書；

這里，網(wǎng)關(guān)設(shè)備預(yù)先會(huì)存儲(chǔ)有預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表。相應(yīng)的，當(dāng)網(wǎng)關(guān)設(shè)備可以在獲取到當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)的域名信息后，直接在預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表中找到所述域名信息對(duì)應(yīng)證書所屬的根證書。

步驟103、根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果。

其中，所述服務(wù)器證書為tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

具體地，網(wǎng)關(guān)設(shè)備在與服務(wù)器進(jìn)行tls協(xié)商過程中，服務(wù)器會(huì)主動(dòng)傳遞服務(wù)器證書；當(dāng)網(wǎng)關(guān)設(shè)備獲取到服務(wù)器所傳遞的服務(wù)器證書后，進(jìn)一步根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，以認(rèn)證所述服務(wù)器證書的真實(shí)性和完整性，從而確定出所述sni字段中域名信息的真實(shí)性。

這里，當(dāng)所述認(rèn)證通過，則所述sni字段中的域名信息真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系正確；相反，若所述認(rèn)證未通過，則所述sni字段的域名信息不真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系不正確，可能存在客戶端和服務(wù)器配合作假的問題。

通過本發(fā)明實(shí)施例所述信息認(rèn)證方法，網(wǎng)關(guān)設(shè)備作為中間網(wǎng)元，在tls協(xié)商過程通過識(shí)別服務(wù)器所傳遞的服務(wù)器證書，并基于預(yù)制的根證書對(duì)服務(wù)器證書的真實(shí)性進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)在tls交互過程中驗(yàn)證sni字段的真實(shí)性，且整個(gè)驗(yàn)證過程僅涉及網(wǎng)關(guān)設(shè)備，不需要客戶端和服務(wù)器的配合，更易于現(xiàn)網(wǎng)實(shí)施。

實(shí)施例三：

本發(fā)明實(shí)施例提供一種信息認(rèn)證方法，如圖3所述，所述方法包括：

步驟101、獲取域名信息；

其中，所述域名信息用于表示網(wǎng)絡(luò)業(yè)務(wù)的域名；在基于tls的交互流程中，所述域名信息通常攜帶于tls初始協(xié)議消息中的sni字段中，以實(shí)現(xiàn)用戶ue、網(wǎng)關(guān)、及服務(wù)器之間域名信息的傳遞。當(dāng)然，所述域名字段還可以攜帶于用戶自定義的字段中進(jìn)行傳遞。

具體地，網(wǎng)關(guān)設(shè)備在tls建鏈的初始階段，通過透?jìng)鞣绞綄?shí)現(xiàn)ue與服務(wù)器之間sni字段的傳輸，進(jìn)一步在傳輸所述sni字段的過程中，解析所述sni字段，以獲得域名信息。

步驟102、查找所述域名信息對(duì)應(yīng)證書所屬的根證書；

這里，網(wǎng)關(guān)設(shè)備預(yù)先會(huì)存儲(chǔ)有預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表。相應(yīng)的，當(dāng)網(wǎng)關(guān)設(shè)備可以在獲取到當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)的域名信息后，直接在預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表中找到所述域名信息對(duì)應(yīng)證書所屬的根證書。

步驟1031、根據(jù)所述根證書的公鑰對(duì)服務(wù)器證書的電子簽名進(jìn)行完整性和真實(shí)性驗(yàn)證；

其中，所述服務(wù)器證書為tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

具體地，網(wǎng)關(guān)設(shè)備在與服務(wù)器進(jìn)行tls協(xié)商過程中，服務(wù)器會(huì)主動(dòng)傳遞服務(wù)器證書；當(dāng)網(wǎng)關(guān)設(shè)備獲取到服務(wù)器所傳遞的服務(wù)器證書后，進(jìn)一步根據(jù)所述根證書的公鑰對(duì)服務(wù)器證書的電子簽名進(jìn)行完整性和真實(shí)性驗(yàn)證，以驗(yàn)證所述服務(wù)器證書的真實(shí)性和完整性，從而確定出所述sni字段中域名信息的真實(shí)性。

步驟1032、對(duì)所述服務(wù)器證書的有效期進(jìn)行驗(yàn)證，得到驗(yàn)證結(jié)果。

具體地，網(wǎng)關(guān)設(shè)備驗(yàn)證所述服務(wù)器整數(shù)的有效期是否截止，若截止，則所述驗(yàn)證失敗，即認(rèn)證未通過，若未截止，則所述驗(yàn)證有效，即認(rèn)證通過。

這里，通過步驟1031～1032對(duì)服務(wù)器證書的認(rèn)證過程，當(dāng)所述認(rèn)證通過，即則所述sni字段中的域名信息真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系正確；相反，若所述認(rèn)證未通過，則所述sni字段的域名信息不真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系不正確，可能存在客戶端和服務(wù)器配合作假的問題。

通過本發(fā)明實(shí)施例所述信息認(rèn)證方法，網(wǎng)關(guān)設(shè)備獲取域名信息；查找所述域名信息對(duì)應(yīng)證書所屬的根證書；根據(jù)所述根證書的公鑰對(duì)服務(wù)器證書的電子簽名進(jìn)行完整性和真實(shí)性驗(yàn)證；對(duì)所述服務(wù)器證書的有效期進(jìn)行驗(yàn)證，得到驗(yàn)證結(jié)果。如此，網(wǎng)關(guān)設(shè)備作為中間網(wǎng)元，在tls協(xié)商過程通過識(shí)別服務(wù)器所傳遞的服務(wù)器證書，并基于預(yù)制的根證書對(duì)服務(wù)器證書的真實(shí)性進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)在tls交互過程中驗(yàn)證sni字段的真實(shí)性，且整個(gè)驗(yàn)證過程僅涉及網(wǎng)關(guān)設(shè)備，不需要客戶端和服務(wù)器的配合，更易于現(xiàn)網(wǎng)實(shí)施。

實(shí)施例四：

本發(fā)明實(shí)施例提供一種信息認(rèn)證方法，如圖4所述，所述方法包括：

步驟101、獲取域名信息；

其中，所述域名信息用于表示網(wǎng)絡(luò)業(yè)務(wù)的域名；在基于tls的交互流程中，所述域名信息通常攜帶于tls初始協(xié)議消息中的sni字段中，以實(shí)現(xiàn)用戶ue、網(wǎng)關(guān)、及服務(wù)器之間域名信息的傳遞。當(dāng)然，所述域名字段還可以攜帶于用戶自定義的字段中進(jìn)行傳遞。

具體地，網(wǎng)關(guān)設(shè)備在tls建鏈的初始階段，通過透?jìng)鞣绞綄?shí)現(xiàn)ue與服務(wù)器之間sni字段的傳輸，進(jìn)一步在傳輸所述sni字段的過程中，解析所述sni字段，以獲得域名信息。

步驟102、查找所述域名信息對(duì)應(yīng)證書所屬的根證書；

這里，網(wǎng)關(guān)設(shè)備預(yù)先會(huì)存儲(chǔ)有預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表。相應(yīng)的，當(dāng)網(wǎng)關(guān)設(shè)備可以在獲取到當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)的域名信息后，直接在預(yù)制域名對(duì)應(yīng)證書所屬的根證書列表中找到所述域名信息對(duì)應(yīng)證書所屬的根證書。

步驟103、根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果；

其中，所述服務(wù)器證書為tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

具體地，網(wǎng)關(guān)設(shè)備在與服務(wù)器進(jìn)行tls協(xié)商過程中，服務(wù)器會(huì)主動(dòng)傳遞服務(wù)器證書；當(dāng)網(wǎng)關(guān)設(shè)備獲取到服務(wù)器所傳遞的服務(wù)器證書后，進(jìn)一步根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，以認(rèn)證所述服務(wù)器證書的真實(shí)性和完整性，從而確定出所述sni字段中域名信息的真實(shí)性。

這里，當(dāng)所述認(rèn)證通過，則所述sni字段中的域名信息真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系正確，繼續(xù)執(zhí)行后續(xù)步驟401；相反，若所述認(rèn)證未通過，則所述sni字段的域名信息不真實(shí)，即說明域名和服務(wù)器網(wǎng)絡(luò)協(xié)議serverip的對(duì)應(yīng)關(guān)系不正確，可能存在客戶端和服務(wù)器配合作假的問題，繼續(xù)執(zhí)行后續(xù)步驟402。

步驟401：若所述認(rèn)證通過，則將所述域名信息記為白名單，并進(jìn)行與所述白名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

具體地，網(wǎng)關(guān)設(shè)備在確定所述認(rèn)證通過后，則將所述域名信息記為白名單，即所述域名信息和serverip添加到白名單列表中，此時(shí)所述域名信息已處在可信任列表中，可以將sid設(shè)置為后向計(jì)費(fèi)，以進(jìn)一步進(jìn)行與所述白名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

步驟402：若所述認(rèn)證未通過，則將所述域名信息記為黑名單，并進(jìn)行與所述黑名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

具體地，網(wǎng)關(guān)設(shè)備在確定所述認(rèn)證未通過后，則將所述域名信息記為黑名單，即所述域名信息和serverip添加到黑名單列表中，此時(shí)所述域名信息已處在可信任列表中，可以將sid設(shè)置為前向計(jì)費(fèi)，以進(jìn)一步進(jìn)行與所述黑名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

通過本發(fā)明實(shí)施例所述信息認(rèn)證方法，網(wǎng)關(guān)設(shè)備作為中間網(wǎng)元，在tls協(xié)商過程通過識(shí)別服務(wù)器所傳遞的服務(wù)器證書，并基于預(yù)制的根證書對(duì)服務(wù)器證書的真實(shí)性進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)在tls交互過程中驗(yàn)證sni字段的真實(shí)性，且整個(gè)驗(yàn)證過程僅涉及網(wǎng)關(guān)設(shè)備，不需要客戶端和服務(wù)器的配合，更易于現(xiàn)網(wǎng)實(shí)施。進(jìn)一步地，若所述認(rèn)證通過，則將所述域名信息記為白名單，并進(jìn)行與所述白名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理，若所述認(rèn)證未通過，則將所述域名信息記為黑名單，并進(jìn)行與所述黑名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理；這樣，網(wǎng)關(guān)設(shè)備根據(jù)認(rèn)證處理結(jié)果，將所述域名信息記為白名單或黑名單，并進(jìn)行相應(yīng)的內(nèi)容計(jì)費(fèi)處理。如此，通過生成黑白名單的方式對(duì)認(rèn)證結(jié)果進(jìn)行留存，減少每次校驗(yàn)的多余消耗，完善基于sni字段的內(nèi)容計(jì)費(fèi)。

應(yīng)用示例

基于本發(fā)明實(shí)施例一至四所述的信息認(rèn)證方法，下面通過一個(gè)具體的應(yīng)用示例來詳細(xì)說明本發(fā)明實(shí)現(xiàn)信息認(rèn)證的過程，具體結(jié)合用戶ue、網(wǎng)關(guān)設(shè)備ggsn/p-gw、及服務(wù)供應(yīng)商，即服務(wù)器sp之間的tls信息交互過程，如圖5所示，所述信息認(rèn)證過程包括：

步驟1，在tcp建鏈過程中，透?jìng)鹘ㄦ溝?，得到此次連接對(duì)應(yīng)的serverip地址。

具體地，分別通過ue和ggsn/p-gw、ggsn/p-gw和sp之間的tcp三次握手(標(biāo)準(zhǔn)tls端口號(hào))操作，實(shí)現(xiàn)三者之間的tcp建鏈，得到此次tcp建鏈連接對(duì)應(yīng)的serverip地址。

步驟2，在tls建鏈的初始階段，網(wǎng)關(guān)設(shè)備ggsn/p-gw識(shí)別sni的值，當(dāng)域名和serverip不在可信任列表中，網(wǎng)關(guān)對(duì)服務(wù)器sp發(fā)來的數(shù)字證書進(jìn)行驗(yàn)證。

具體地，在tls建鏈的初始階段，通過透?jìng)飨ⅲ@得攜帶有域名信息的sni字段；解析所述sni字段，如果sni字段中的域名信息和serverip在白名單中有對(duì)應(yīng)關(guān)系，則將sid設(shè)為后向計(jì)費(fèi)。如果sni字段中的域名信息和serverip在白名單中有對(duì)應(yīng)關(guān)系，則將sid設(shè)為正常的前向計(jì)費(fèi)。如果serverip和域名對(duì)應(yīng)關(guān)系在黑白名單中都不存在，，即不在可信任列表中，則記錄sni中的所述域名信息。

步驟3，查找所述域名信息對(duì)應(yīng)證書所屬的根證書；根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果。

其中，所述服務(wù)器證書為傳輸層安全tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

具體地，網(wǎng)關(guān)設(shè)備ggsn/p-gw中預(yù)先存儲(chǔ)有預(yù)制域名對(duì)應(yīng)證書所屬的根證書，使用根證書對(duì)tls協(xié)商時(shí)服務(wù)器傳遞的數(shù)字證書進(jìn)行驗(yàn)證，即，使用根證書的公鑰對(duì)數(shù)字證書的電子簽名進(jìn)行完整性和真實(shí)性驗(yàn)證，同時(shí)驗(yàn)證證書的有效期。

步驟4，認(rèn)證通過后，說明域名和serverip的對(duì)應(yīng)關(guān)系正確，記為白名單，否則記為黑名單，進(jìn)行相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

具體地，網(wǎng)關(guān)設(shè)備ggsn/p-gw在確定所述認(rèn)證未通過后，則將所述域名信息記為黑名單，即所述域名信息和serverip添加到黑名單列表中，此時(shí)所述域名信息已處在可信任列表中，可以將sid設(shè)置為前向計(jì)費(fèi)，以進(jìn)一步進(jìn)行與所述黑名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

當(dāng)然，所述信息認(rèn)證方法還可以用于在其他自定義字段中傳遞域名信息進(jìn)行內(nèi)容計(jì)費(fèi)的場(chǎng)景。

通過本發(fā)明應(yīng)用示例所述信息認(rèn)證方法，能夠有效實(shí)現(xiàn)在tls交互過程中驗(yàn)證sni字段的真實(shí)性，且整個(gè)驗(yàn)證過程僅涉及網(wǎng)關(guān)設(shè)備理，不需要客戶端和服務(wù)器的配合，更易于現(xiàn)網(wǎng)實(shí)施。另外，通過生成黑白名單的方式對(duì)認(rèn)證結(jié)果進(jìn)行留存，減少每次校驗(yàn)的多余消耗，完善基于sni字段的內(nèi)容計(jì)費(fèi)。

實(shí)施例五

本發(fā)明實(shí)施例提供了一種網(wǎng)關(guān)設(shè)備，如圖6所示，所述網(wǎng)關(guān)設(shè)備60包括獲取模塊601、查找模塊602和認(rèn)證處理模塊603；

所述獲取模塊601，用于獲取域名信息；

所述查找模塊602，用于查找所述域名信息對(duì)應(yīng)證書所屬的根證書；

所述認(rèn)證處理模塊603，用于根據(jù)所述根證書對(duì)服務(wù)器證書進(jìn)行認(rèn)證處理，得到認(rèn)證處理結(jié)果，所述服務(wù)器證書為傳輸層安全tls協(xié)商時(shí)服務(wù)器所傳遞的數(shù)字證書。

在一實(shí)施方式中，如圖6所示，所述獲取模塊601包括解析單元6011、檢測(cè)單元6012和記錄單元6013；

所述解析單元6011，用于解析域名標(biāo)識(shí)字段，得到域名信息；

所述檢測(cè)單元6012，用于檢測(cè)所述域名信息是否處在可信任列表中；

所述記錄單元6013，用于若未處在可信任列表中，則記錄所述域名信息。

在一實(shí)施方式中，如圖6所示，所述認(rèn)證處理模塊603包括第一驗(yàn)證單元6031和第二驗(yàn)證單元6032；

所述第一驗(yàn)證單元6031，用于根據(jù)所述根證書的公鑰對(duì)服務(wù)器證書的電子簽名進(jìn)行完整性和真實(shí)性驗(yàn)證；

所述第二驗(yàn)證單元6032，用于對(duì)所述服務(wù)器證書的有效期進(jìn)行驗(yàn)證，得到驗(yàn)證結(jié)果。

在一實(shí)施方式中，如圖6所示，所述網(wǎng)關(guān)設(shè)備60還包括計(jì)費(fèi)處理模塊604；

所述計(jì)費(fèi)處理模塊604，用于若所述認(rèn)證通過，則將所述域名信息記為白名單，并進(jìn)行與所述白名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

在一實(shí)施方式中，所述計(jì)費(fèi)處理模塊604，還用于若所述認(rèn)證未通過，則將所述域名信息記為黑名單，并進(jìn)行與所述黑名單相應(yīng)的內(nèi)容計(jì)費(fèi)處理。

在實(shí)際應(yīng)用中，所述網(wǎng)關(guān)設(shè)備所包括的獲取模塊601、查找模塊602、認(rèn)證處理模塊603及計(jì)費(fèi)處理模塊604及其各模塊所包括的單元的具體結(jié)構(gòu)均可對(duì)應(yīng)于處理器。所述處理器具體的結(jié)構(gòu)可以為中央處理器cpu、微處理器mcu、數(shù)字信號(hào)處理器dsp或可編程邏輯器件plc等具有處理功能的電子元器件或電子元器件的集合。其中，所述處理器包括可執(zhí)行代碼，所述可執(zhí)行代碼存儲(chǔ)在存儲(chǔ)介質(zhì)中，所述處理器可以通過總線等通信接口與所述存儲(chǔ)介質(zhì)中相連，在執(zhí)行具體的各模塊的對(duì)應(yīng)功能時(shí)，從所述存儲(chǔ)介質(zhì)中讀取并運(yùn)行所述可執(zhí)行代碼。所述存儲(chǔ)介質(zhì)用于存儲(chǔ)所述可執(zhí)行代碼的部分優(yōu)選為非瞬間存儲(chǔ)介質(zhì)。

所述獲取模塊601、查找模塊602、認(rèn)證處理模塊603及計(jì)費(fèi)處理模塊604可以集成對(duì)應(yīng)于同一處理器，或分別對(duì)應(yīng)不同的處理器；當(dāng)集成對(duì)應(yīng)于同一處理器時(shí)，所述處理器采用時(shí)分處理所述獲取模塊601、查找模塊602、認(rèn)證處理模塊603及計(jì)費(fèi)處理模塊604對(duì)應(yīng)的功能。

本發(fā)明實(shí)施例五所述網(wǎng)關(guān)設(shè)備，為實(shí)施例一至四所述的方法提供了具體實(shí)現(xiàn)的硬件，能用于實(shí)現(xiàn)實(shí)施例一至四中任意所述的技術(shù)方案，同樣的，能夠有效實(shí)現(xiàn)在tls交互過程中驗(yàn)證sni字段的真實(shí)性，且整個(gè)驗(yàn)證過程僅涉及網(wǎng)關(guān)設(shè)備，不需要客戶端和服務(wù)器的配合，更易于現(xiàn)網(wǎng)實(shí)施。另外，通過生成黑白名單的方式對(duì)認(rèn)證結(jié)果進(jìn)行留存，減少每次校驗(yàn)的多余消耗，完善基于sni字段的內(nèi)容計(jì)費(fèi)。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的設(shè)備和方法，可以通過其它的方式實(shí)現(xiàn)。以上所描述的設(shè)備實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，如：多個(gè)單元或組件可以結(jié)合，或可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設(shè)備或單元的間接耦合或通信連接，可以是電性的、機(jī)械的或其它形式的。

上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元；既可以位于一個(gè)地方，也可以分布到多個(gè)網(wǎng)絡(luò)單元上；可以根據(jù)實(shí)際的需要選擇其中的部分或全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各實(shí)施例中的各功能單元可以全部集成在一個(gè)處理單元中，也可以是各單元分別單獨(dú)作為一個(gè)單元，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中；上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。

本領(lǐng)域普通技術(shù)人員可以理解：實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成，前述的程序可以存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，執(zhí)行包括上述方法實(shí)施例的步驟；而前述的存儲(chǔ)介質(zhì)包括：移動(dòng)存儲(chǔ)設(shè)備、只讀存儲(chǔ)器(read-onlymemory，rom)、隨機(jī)存取存儲(chǔ)器(randomaccessmemory，ram)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

或者，本發(fā)明上述集成的單元如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明實(shí)施例的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)、服務(wù)器、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分。而前述的存儲(chǔ)介質(zhì)包括：移動(dòng)存儲(chǔ)設(shè)備、rom、ram、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。