(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112995158A(43)申请公布日2021.06.18(21)申请号202110177904.1(22)申请日2021.02.09(71)申请人建信金融科技有限责任公司地址200120上海市自由贸易试验区银城路99号12层、15层(72)发明人何伟明廖敏飞刘丽娟成楚天赖敷君刘红波(74)专利代理机构北京三友知识产权代理有限公司11127代理人贾磊李辉(51)Int.Cl.H04L29/06(2006.01)权利要求书3页说明书14页附图9页(54)发明名称通信方法、终端、服务器及通信系统(57)摘要本发明公开了一种通信方法、终端、服务器及通信系统，该通信方法包括：在启动终端应用时，向服务器发送建立SSL链接请求；接收服务器针对建立SSL链接请求反馈的链接校验信息；利用终端本地的可信证书对服务器反馈的链接校验信息进行校验；终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的；在链接校验信息校验通过时发送校验通过的消息至服务器，建立终端应用与服务器的SSL链接通信。本发明可信证书为服务器对不同终端上送的证书进行孤点分析确定的，对于切换根证或签发新根证的情况自适应适配，能够提高证书校验的灵活性；利用从服务器同步的可信证书直接对链接校验信息进行校验，能够从根本上杜绝中间人攻击。CN112995158ACN112995158A权利要求书1/3页1.一种通信方法，其特征在于，应用于终端，包括：在启动终端应用时，向服务器发送建立SSL链接请求；接收服务器针对建立SSL链接请求反馈的链接校验信息；利用终端本地的可信证书对服务器反馈的链接校验信息进行校验；终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的；在链接校验信息校验通过时发送校验通过的消息至服务器，建立终端应用与服务器的SSL链接通信。2.如权利要求1所述的通信方法，其特征在于，还包括：在链接校验信息校验失败时，拒绝建立终端应用与服务器的SSL链接通信。3.如权利要求1所述的通信方法，其特征在于，还包括：在启动终端应用时，将从终端本地采集的证书上传至服务器形成服务器端证书集合；接收服务器下发的可信证书。4.如权利要求3所述的通信方法，其特征在于，在启动终端应用时，将从终端本地采集的证书上传至服务器形成服务器端证书集合，包括：在启动终端应用时，通过查询终端本地缓存获取终端本地的证书；将从终端本地采集的证书通过全量同步或者增量同步的方式上传至服务器形成服务器端证书集合。5.如权利要求3所述的通信方法，其特征在于，接收服务器下发的可信证书，包括：接收服务器通过全量同步或者增量同步的方式下发的可信证书。6.一种终端，其特征在于，包括：请求发送模块，用于在启动终端应用时，向服务器发送建立SSL链接请求；校验信息接收模块，用于接收服务器针对建立SSL链接请求反馈的链接校验信息；校验模块，用于利用终端本地的可信证书对服务器反馈的链接校验信息进行校验；终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的；通信建立模块，用于在链接校验信息校验通过时，建立终端应用与服务器的SSL链接通信。7.如权利要求6所述的终端，其特征在于，还包括：拒绝通信模块，用于在链接校验信息校验失败时，拒绝建立终端应用与服务器的SSL链接通信。8.如权利要求6所述的终端，其特征在于，还包括：证书上送模块，用于在启动终端应用时，将从终端本地采集的证书上传至服务器形成服务器端证书集合；可信证书接收模块，用于接收服务器下发的可信证书。9.如权利要求8所述的终端，其特征在于，证书上送模块包括：证书采集单元，用于在启动终端应用时，通过查询终端本地缓存获取终端本地的证书；证书上送单元，用于将从终端本地采集的证书通过全量同步或者增量同步的方式上传至服务器形成服务器端证书集合。10.如权利要求8所述的终端，其特征在于，可信证书接收模块包括：可信证书收单元，用于接收服务器通过全量同步或者增量同步的方式下发的可信证2CN112995158A权利要求书2/3页书。11.一种通信方法，其特征在于，应用于服务器，包括：接收终端发送的建立SSL链接请求；针对建立SSL链接请求反馈链接校验信息至终端；接收终端发送的利用终端本地的可信证书对链接校验信息校验通过的消息，建立终端应用与服务器的SSL链接通信；终端本地的可信证书为服务器对不同终端上送的证书进行孤点分析确定的。12.如权利要求11所述的通信方法，其特征在于，还包括：接收终端发送的对链接校验信息校验失败的消息，拒绝建立终端应用与服务器的SSL链接通信。13.如权利要求11所述的通信方法，其特征在于，还包括：接收不同终端上送的证书形成服务器端证书集合；利用孤点分析确定服务器端证书集合中的