CN105471833A - 一种安全通讯方法和装置 - Google Patents

一种安全通讯方法和装置 Download PDF

Info

Publication number
CN105471833A
CN105471833A CN201510245307.2A CN201510245307A CN105471833A CN 105471833 A CN105471833 A CN 105471833A CN 201510245307 A CN201510245307 A CN 201510245307A CN 105471833 A CN105471833 A CN 105471833A
Authority
CN
China
Prior art keywords
client
key
security agent
token
tsm security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510245307.2A
Other languages
English (en)
Other versions
CN105471833B (zh
Inventor
林育民
肖洪勇
郑霖
许明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rui Digital Information Technology (shanghai) Co Ltd
Original Assignee
Rui Digital Information Technology (shanghai) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rui Digital Information Technology (shanghai) Co Ltd filed Critical Rui Digital Information Technology (shanghai) Co Ltd
Priority to CN201510245307.2A priority Critical patent/CN105471833B/zh
Publication of CN105471833A publication Critical patent/CN105471833A/zh
Priority to PCT/CN2016/079856 priority patent/WO2016180204A1/zh
Priority to US15/146,814 priority patent/US10142297B2/en
Application granted granted Critical
Publication of CN105471833B publication Critical patent/CN105471833B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种安全通讯方法和装置,在客户端和服务器之间设置安全代理设备,其中,方法包括:安全代理设备利用密钥交换机制与客户端进行连线密钥的协商;以及在对所述客户端进行身份认证通过后,为所述客户端分配令牌;接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥对所述请求进行解密后得到的请求转发给所述服务器;接收到所述服务器返回的响应后,利用所述连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。本发明能够提高客户端与服务器之间通讯的安全性,并能有效防护对服务器及客户端的各类重放、恶意代码注入及自动化攻击。

Description

一种安全通讯方法和装置
【技术领域】
本发明涉及数据安全技术领域,特别涉及一种安全通讯方法和装置。
【背景技术】
随着网络技术的迅速发展,无论是移动设备的客户端还是PC的客户端与服务器之前的通讯都面临严峻的安全问题。该安全问题主要涉及:通讯数据的外泄、中间人对服务器的非法攻击、非法客户端对服务器的访问,等等。
【发明内容】
有鉴于此,本发明提供了一种安全通讯方法和装置,以便于提高客户端与服务器之间通讯的安全性。
具体技术方案如下:
本发明提供了一种安全通讯的方法,该方法由设置于客户端和服务器之间的安全代理设备执行,该方法包括:
利用密钥交换机制与客户端进行连线密钥的协商;以及在对所述客户端进行身份认证通过后,为所述客户端分配令牌;
接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是为客户端分配后利用所述连线密钥发送给所述客户端的;
接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。
本发明还提供了一种安全通讯的方法,该方法应用于包含客户端、安全代理设备和服务器的系统,该方法包括:
所述客户端利用密钥交换机制与所述安全代理设备进行连线密钥的协商,以及获取所述安全代理设备在对所述客户端进行身份认证通过后分配给所述客户端的令牌;
利用所述连线密钥或令牌连线密钥对发送给所述服务器的请求进行加密,将加密后的请求连同所述令牌发送至所述安全代理设备;
获取所述安全代理设备转发来的响应,利用所述连线密钥或所述令牌连线密钥对所述响应进行解密;
其中所述令牌连线密钥是所述安全代理设备分配给客户端,并利用所述连线密钥加密所述令牌连线密钥后发送给所述客户端的。
本发明还提供了一种安全通讯的装置,该装置设置于客户端和服务器之间的安全代理设备中,该装置包括:
密钥协商单元,用于利用密钥交换机制与客户端进行连线密钥的协商;
身份认证单元,用于对所述客户端进行身份认证;
令牌分配单元,用于在对所述客户端进行身份认证通过后,为所述客户端分配令牌;
请求处理单元,用于接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是所述令牌分配单元为客户端分配后并利用所述连线密钥进行加密后发送给所述客户端的;
响应处理单元,用于接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。
本发明还提供了一种安全通讯的装置,设置于客户端,该装置包括:
密钥协商单元,用于利用密钥交换机制与安全代理设备进行连线密钥的协商;
令牌获取单元,用于获取所述安全代理设备在对所述客户端进行身份认证通过后分配给所述客户端的令牌;
请求发送单元,用于利用所述连线密钥或令牌连线密钥对发送给服务器的请求进行加密,将加密后的请求连同所述令牌发送至所述安全代理设备;
响应获取单元,用于获取所述安全代理设备转发来的响应,利用所述连线密钥或所述令牌连线密钥对所述响应进行解密;
其中所述令牌连线密钥是所述安全代理设备分配给客户端,并利用所述连线密钥加密所述令牌连线密钥后发送给所述客户端的。
由以上技术方案可以看出,本发明通过安全代理设备实现客户端与服务器之间报文的转发,一方面通过密钥交换机制协商的连线密钥对客户端与安全代理设备之间的报文进行加密,另一方面通过安全代理设备为客户端分配的令牌实现对服务器的访问控制,双重保障了客户端与服务器自身与其之间通讯的安全性。
【附图说明】
图1为本发明所基于的系统结构图;
图2为本发明实施例提供的方法流程图;
图3为本发明实施例提供的设置于安全代理服务器的装置结构图;
图4为本发明实施例提供的设置于客户端的装置结构图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明实施例基于如图1中所示的系统架构,在该系统中,客户端与服务器之间设置有安全代理设备,该安全代理设备作为中间设备,负责客户端与服务器之间的通讯安全,客户端与服务器之间交互的数据必须经由安全代理设备转发。为了实现安全代理设备对客户端与服务器之间交互数据的转发,可以预先采用但不限于以下网络设置方式:
第一种方式:将安全代理设备组网于服务器的入口位置,该组网方式使得客户端与服务器之间交互的数据必须经由安全代理设备。
第二种方式:在域名解析系统(DNS,DomainNameSystem)中设置将指向服务器的域名解析为安全代理设备的IP地址,这样发送给服务器的数据将会被发送给安全代理设备,然后设置安全代理设备接收到来自客户端的数据均发送给服务器。
在本发明实施例中安全代理设备的功能主要表现为以下几个方面,具体功能实现将在后续实施例中详细描述:
1)对客户端的身份认证。
2)与客户端进行密钥协商。
3)对认证通过的客户端进行令牌分配。
4)利用分配给客户端的令牌,对客户端进行访问权限的控制。
5)利用与客户端协商的密钥对客户端发送的请求进行解密、完整性检查与连线序列号验证。
6)利用与客户端协商的密钥,对服务器返回给客户端的响应进行加密后发送给客户端。
图2为本发明实施例提供的安全通讯的方法流程示意图,在该实施例中,需要预先进行以下初始配置:
针对安全代理设备,安全代理设备可以通过云端或者离线工具获取证书Proxy-Cert。在安全代理设备中配置以下内容:
1)安全代理设备的身份标识Proxy-ID;
2)密钥协商保护密钥C_AKE-Key;
3)客户端的根证书公钥;
4)加密公开参数p和q。
针对客户端,客户端在生成时,可以通过云端或者离线工具进行打包,可以预先在客户端置入以下内容:
1)密钥协商保护密钥C_AKE-Key;
2)客户端身份标识Client-ID;
3)加密公开参数p和q;
4)安全代理设备的身份标识Proxy-ID;
5)安全代理设备的根证书公钥;
6)客户端应用签名。
另外,客户端可以预先向安全代理设备注册,获取客户端证书Client-Cert,例如客户端在第一次使用时,向安全代理设备注册获取Client-Cert。
在进行了上述初始配置后,可以开始执行如图2中所示流程,该方法可以包括以下步骤:
在201中执行第一认证密钥交换(AKE,AuthenticatedKeyExchange)处理,图中标识为AKE-1。在AKE-1中,客户端利用密钥协商保护密钥C_AKE-Key对包含Client-ID的数据进行加密后发送给安全代理设备。其中加解密算法预先配置于客户端和安全代理设备中,在本发明实施例中可以采用Diffe-Hellman密钥交换方法,该加密后得到的数据可以表示为:
EC_AKE-Key(Client-ID,(gxmodp),H(gxmodp)),其中x为产生的随机数,H(gxmodp)表示对gxmodp进行哈希运算后得到的哈希值。
在202中执行第二认证密钥交换处理,图中标识为AKE-2。在AKE-2中,安全代理设备对客户端发送的数据进行解密后,得到Client-ID。即解密EC_AKE-Key(Client-ID,(gxmodp),H(gxmodp))后得到Client-ID。对Client-ID进行认证,该认证可以基于但不限于预设的黑/白名单,如果该Client-ID在黑名单中,则确认该客户端非法,禁止访问。如果该Client-ID不在黑名单中,则该客户端认证通过。
还可以进一步利用H(gxmodp))对(gxmodp)进行验证,目的是对数据完整性进行验证。
如果客户端认证通过并且利用H(gxmodp))对(gxmodp)进行的验证也通过,则安全代理设备利用Client-ID产生服务器验证密钥C_AKE-Session-Key-2。产生服务器验证密钥的方式可以采用但不限于计算哈希值的方式,例如:
C_AKE-Session-Key-2=Hash(2,Client-ID,gy,gx,gxy),其中y为安全代理设备产生的随机数。需要说明的是,其中的“2”在此的目的是为了标识消息顺序,也可以采用其他值。
然后安全代理设备利用C_AKE-Session-Key-2对包含Proxy-ID的数据进行加密。具体地,可以首先利用安全代理设备的根证书私钥对包含Proxy-ID和Client-ID的数据进行签名,然后利用C_AKE-Session-Key-2对该签名和安全代理设备的整数Proxy-Cert进行加密。加密后的数据可以表示为:
EC_AKE-Session-Key-2(Proxy-Cert,SigProxy(2,Proxy-ID,Client-ID,gy,gx)),其中SigProxy表示利用安全代理设备的根证书私钥进行签名,该签名得到的SigProxy(2,Proxy-ID,Client-ID,gy,gx)在客户端可以通过安全代理设备的根证书公钥解密。同样,其中的“2”在此的目的是为了标识消息顺序,也可以采用其他值。
安全代理设备将加密后的数据发送给客户端。例如将EC_AKE-Session-Key-2(Proxy-Cert,SigProxy(2,Proxy-ID,Client-ID,gy,gx))发送给客户端,还可以同时将gymodp发送给客户端。
在203中,执行第三认证密钥交换处理,图中标识为AKE-3。在该AKE-3中,客户端对接收到的数据进行解密和验证。
在解密时,首先利用Client-ID产生服务器验证密钥C_AKE-Session-Key-2,产生方式与安全代理设备采用的方式相同。然后利用C_AKE-Session-Key-2对接收到的数据进行解密,得到Proxy-Cert,和SigProxy(2,Proxy-ID,Client-ID,gy,gx)。
然后,利用安全代理设备的根证书公钥对SigProxy(2,Proxy-ID,Client-ID,gy,gx)进行解密,得到Proxy-ID、Client-ID、gy和gx。然后验证gymodp。
如果验证通过,则利用Cient-ID和Proxy-ID产生客户端验证密钥C-AKE-Session-Key-3和连线密钥C-AKE-Session-Key。产生客户端验证密钥和连线密钥的方式可以采用但不限于计算哈希值的方式,例如:
C_AKE-Session-Key-3=Hash(3,Client-ID,Proxy-ID,gx,gy,gxy)。同样,其中的“3”在此的目的是为了标识消息顺序,也可以采用其他值。
C_AKE-Session-Key=Hash(0,Client-ID,Proxy-ID,gx,gy,gxy)。其中的“0”在此的目的是为了标识消息顺序,也可以采用其他值。
然后客户端利用客户端验证密钥C-AKE-Session-Key-3对包含客户端证书和客户端应用签名的数据进行加密,加密后得到的数据可以表示为:
EC_AKE-Session-Key-3(Client-Cert,SigClient(3,Client-ID,Proxy-ID,gx,gy)),其中SigClient(3,Client-ID,Proxy-ID,gx,gy)为客户端应用签名,该SigClient为利用客户端的根证书私钥进行签名。
利用连线密钥C_AKE-Session-Key对客户端环境信息进行加密,其中客户端环境信息可以包括客户端设备标识ClientDeviceID,客户端应用签名ClientAppSig,客户端环境参数ClientEnvironmentInformation中的一种或任意组合,可以通过客户端内置程序或者安全代理设备派发的程序获取。ClientEnvironmentInformation可以采用配置文件时间、出厂标识等等。利用连线密钥C_AKE-Session-Key对客户端环境信息进行加密后得到的数据可以表示为:
EC_AKE-Session-Key(ClientDeviceID,ClientAppSig,ClientEnvironmentInformation)
将加密得到的数据EC_AKE-Session-Key-3(Client-Cert,SigClient(3,Client-ID,Proxy-ID,gx,gy))和EC_AKE-Session-Key(ClientDeviceID,ClientAppSig,ClientEnvironmentInformation)发送给安全代理设备。
在204中,主要完成针对客户端的令牌分配。
为了保证安全性,安全代理设备可以在分配令牌之前,首先对接收到的数据进行解密,并验证客户端应用签名和客户端环境信息。
安全代理设备在进行解密时,首先产生客户端验证密钥C-AKE-Session-Key-3和连线密钥C-AKE-Session-Key,产生方式与AKE-3中所述的在客户端的产生方式相同。然后利用C-AKE-Session-Key-3对接收到的EC_AKE-Session-Key-3(Client-Cert,SigClient(3,Client-ID,Proxy-ID,gx,gy))进行解密,得到SigClient(3,Client-ID,Proxy-ID,gx,gy),然后对其进行验证;另外利用C-AKE-Session-Key对接收到的EC_AKE-Session-Key(ClientDeviceID,ClientAppSig,ClientEnvironmentInformation)进行解密,得到ClientDeviceID,ClientAppSig,ClientEnvironmentInformation,然后对其进行验证。
在此对客户端信息进行的验证,特别是对客户端环境参数进行的验证,例如设备唯一标识、硬件标识、软件签名及是否越狱或提权等,能够进一步提高防攻击的能力,有效防止伪装者的攻击。需要说明的是,由于客户端预先向安全代理设备注册的过程中,安全代理设备能够获取到客户端环境参数,因此,在这对客户端环境参数进行的验证是基于注册过程中获取的客户端环境参数的。
如果客户端签名和客户端信息均通过验证,则安全代理设备为该客户端分配令牌AccessToken,并将该AccessToken发送给客户端。在分配令牌时,可以利用连线密钥C_AKE-Session-Key和随机参数生成,其中随机参数可以采用诸如时间戳。在此举一种生成令牌的方式,表示如下:
EAccess-Token-Enc-Key(C_AKE-Session-Key,ClientID,Session-ID,TimeStamp),即利用令牌密钥Access-Token-Enc-Key对C_AKE-Session-Key、ClientID、Session-ID(由安全代理设备生成)和时间戳TimeStamp进行加密后获得令牌。其中Access-Token-Enc-Key只有安全代理设备自己保留,不向外公开。其中,Session-ID为可选内容。如果令牌的生成利用了Session-ID,则在发送令牌给客户端时,需要额外发送EC_AKE-Session-Key(Session-ID,TimeStamp),这里的TimeStamp与令牌中的TimeStamp一致。
令牌的生成,还可以采用另外一种方式,即生成一个令牌连线密钥C_Token-Session-Key,然后采用如下方式生成令牌:
EAccess-Token-Enc-Key(C_Token-Session-Key,ClientID,Session-ID,TimeStamp),即利用令牌密钥Access-Token-Enc-Key对C_Token-Session-Key、ClientID、Session-ID和时间戳TimeStamp进行加密后获得令牌。其中Access-Token-Enc-Key只有安全代理设备自己保留,不向外公开。这种情况下,在发送令牌给客户端的同时,需要额外发送如下内容:
EC_AKE-Session-Key(C_Token-Session-Key,Session-ID,TimeStamp),即利用C_AKE_Session-Key对C_Token-Session-Key、Session-ID和TimeStamp进行加密后得到的值。同样,Session-ID为可选内容,TimeStamp与令牌中的TimeStamp一致。
以上步骤201~204主要是密钥协商和令牌分配的过程,下面就客户端就可以利用协商的密钥和分配的令牌开始与服务器进行通讯。
在205中,客户端利用连线密钥C_AKE-Session-Key对发送给服务器的请求进行加密,将加密后的请求连同令牌AccessToken向服务器发送。
加密后的请求可以表示为:EC_AKE-Session-Key(Req,H(Req))。H(Req)为可选项。
如果在上述步骤中,安全代理设备向客户端传送了令牌连线密钥,那么在本步骤中,也可以利用令牌连线密钥C_Token-Session-Key对请求进行加密。此时加密后的请求可以表示为:EC_Token-Session-Key(Req,H(Req)),H(Req)为可选项。
另外,在加密请求的同时,可以同时加密Session-ID。
在206中,安全代理设备获取到上述加密的请求和AccessToken,利用C_AKE-Session-Key对请求进行解密并且对AccessToken进行验证,即是否为分配给该客户端的令牌,如果验证通过,则将解密后的请求(图中表示为Req)转发给服务器。如果验证失败,则拒绝处理接收到的请求。
其中,对请求进行解密后,可以进一步对解密后得到的请求进行检验,检验是否包含攻击代码。该检验方式可以基于白名单或者黑名单的方式。其中基于白名单的方式主要是基于一些语法格式或者预设的规则,基于黑名单主要是基于一些攻击代码特征。如果检验出请求包含攻击代码,则可以拒绝转发该请求。
同样,本步骤中,也可以利用令牌连线密钥C_Token-Session-Key对请求进行解密。
如果在步骤205中加密请求的同时加密Session-ID,则在本步骤中还可以进一步包括完整性验证的处理,即验证Session-ID是否未使用过且在合理范围。
对于后续步骤208中对响应进行加密的处理,也可以使用C_AKE-Session-Key或C_Token-Session-Key,在步骤28中仅以C_AKE-Session-Key为例。
在207中,安全代理设备获取服务器返回的响应R。
在208中,安全代理设备利用连线密钥C_AKE-Session-Key对服务器返回的响应R进行加密,将加密后的响应转发给客户端。
加密后的响应可以表示为:EC_AKE-Session-Key(R,H(R)),H(R)为可选项。其中加密的内容还可以包括Session_ID,以便客户端利用Session_ID进行完整性检查。
在令牌有效期内,客户端可以通过令牌直接获取访问权限,后续客户端与服务器的通讯可以将Session-ID+1后,重复执行步骤205~208所示的过程。令牌超出有效期后,客户端需要从步骤201开始重新协商密钥和获取令牌。
以上是对本发明所提供的方法进行的详细描述,下面结合实施例对本发明提供的装置进行详细描述。
图3为本发明实施例提供的设置于安全代理服务器的装置结构图,该装置可以通过硬件、软件或虚拟机等形式实现。如图3中所示,该装置可以包括:密钥协商单元01、身份认证单元02、令牌分配单元03、请求处理单元04和响应处理单元05。其中各单元的主要功能如下:
密钥协商单元01负责利用密钥交换机制与客户端进行连线密钥的协商。
身份认证单元02负责对客户端进行身份认证。
令牌分配单元03负责在对客户端进行身份认证通过后,为客户端分配令牌。
请求处理单元04负责接收到客户端发送给服务器的请求时,验证连同请求发送来的令牌是否是为客户端分配的令牌;如果验证通过,则将利用连线密钥或令牌连线密钥对请求进行解密后得到的请求转发给服务器。如果验证出连同请求发送来的令牌不是为客户端分配的令牌,则拒绝处理请求。其中令牌连线密钥是令牌分配单元03为客户端分配后并利用连线密钥进行加密后发送给客户端的。
响应处理单元05负责接收到服务器返回的响应后,利用连线密钥或令牌连线密钥对响应进行加密,将加密后的响应转发给客户端。
其中,上述身份认证单元02对客户端进行的身份认证,可以在连线密钥的协商过程中完成,此时令牌分配单元03在连线密钥协商完成后,为客户端分配令牌。
具体地,密钥协商单元01可以执行以下操作:
操作1:利用密钥协商保护密钥对客户端发送的包含客户端标识的数据进行解密,其中密钥协商保护密钥预先设置于客户端和安全代理设备。例如,解密客户端发送的EC_AKE-Key(Client-ID,(gxmodp),H(gxmodp))后得到Client-ID,在此还可以进一步利用H(gxmodp))对(gxmodp)进行验证,目的是对数据完整性进行验证,验证通过后执行操作2。
操作2:利用解密后得到的客户端标识产生服务器验证密钥,例如利用C_AKE-Session-Key-2=Hash(2,Client-ID,gy,gx,gxy)产生服务器验证密钥C_AKE-Session-Key-2。
操作3:利用服务器验证密钥对包含安全代理设备标识的数据进行加密,将加密后的数据发送给客户端,以便客户端利用客户端标识和安全代理设备标识产生连线密钥。其中在利用服务器验证密钥对包含安全代理设备标识的数据进行加密时,可以利用安全代理设备的根证书私钥对安全代理设备标识和客户端标识进行签名;再利用服务器验证密钥对签名和安全代理设备的证书进行加密。例如,可以利用EC_AKE-Session-Key-2(Proxy-Cert,SigProxy(2,Proxy-ID,Client-ID,gy,gx)),其中SigProxy表示利用安全代理设备的根证书私钥进行签名,该签名得到的SigProxy(2,Proxy-ID,Client-ID,gy,gx)在客户端可以通过安全代理设备的根证书公钥解密。
上述操作均对应于图2中的202。
操作4:利用客户端标识和安全代理设备标识,产生连线密钥。此处采用与客户端一致的方式产生连线密钥,例如C_AKE-Session-Key=Hash(0,Client-ID,Proxy-ID,gx,gy,gxy),产生连线密钥C_AKE-Session-Key。本操作对应于图2中的204。
上述的身份认证单元02可以采用但不限于以下方式或者以下方式的任意结合,对客户端进行身份认证:
第一种方式:获取到客户端标识后,对客户端标识进行认证。身份认证单元02可以在密钥协商单元01执行上述操作1得到客户端标识后,利用该客户端标识进行认证。该认证可以基于白名单或黑名单的方式,判断客户端标识是否在预设的黑名单中,如果否,则客户端通过身份认证,如果是,则客户端未通过身份认证。或者,判断客户端标识是否在预设的白名单中,如果是,则客户端通过身份认证;否则客户端未通过身份认证。
第二种方式:获取到客户端环境信息后,对客户端环境信息进行验证。客户端在生成连线密钥后,可以利用连线密钥对客户端环境信息进行加密后发送给安全代理设备,因此身份认证单元02可以在操作4生成连线密钥后,利用连线密钥对接收到的客户端环境信息进行解密,然后对客户端环境信息进行验证。其中环境信息包括客户端设备标识、客户端应用签名和客户端环境参数中的至少一种,在此特别是对客户端环境参数进行验证。需要说明的是,由于客户端预先向安全代理设备注册的过程中,安全代理设备能够获取到客户端环境参数,因此,在这对客户端环境参数进行的验证是基于注册过程中获取的客户端环境参数的。
第三种方式:获取到客户端应用签名信息后,对客户端应用签名信息进行验证。客户端在生成连线密钥时,会生成客户端验证密钥,利用客户端验证密钥对客户端应用签名进行加密后发送给安全代理服务器。安全代理服务器利用客户端标识和安全代理设备标识,采用与客户端相同的方式生成客户端验证密钥,再利用客户端验证密钥对客户端应用签名进行解密,然后对该客户端应用签名进行验证。
上述令牌分配单元03在为客户端分配令牌时,可以利用令牌密钥对包含连线密钥和随机参数的数据或者对包含令牌连线密钥和随机参数的数据进行加密,得到为客户端分配的令牌,令牌密钥预置于安全代理设备或者由安全代理设备动态产生。例如,可以采用EAccess-Token-Enc-Key(C_AKE-Session-Key,ClientID,Session-ID,TimeStamp),即利用令牌密钥Access-Token-Enc-Key对C_AKE-Session-Key、ClientID、Session-ID(连线序列号)和时间戳TimeStamp进行加密后获得令牌。其中Access-Token-Enc-Key只有安全代理设备自己保留,不向外公开。其中,Session-ID为可选内容。
令牌的生成,还可以采用另外一种方式,即生成一个令牌连线密钥C_Token-Session-Key,然后采用如下方式生成令牌:
EAccess-Token-Enc-Key(C_Token-Session-Key,ClientID,Session-ID,TimeStamp),即利用令牌密钥Access-Token-Enc-Key对C_Token-Session-Key、ClientID、Session-ID和时间戳TimeStamp进行加密后获得令牌。其中Access-Token-Enc-Key只有安全代理设备自己保留,不向外公开。
更进一步地,令牌分配单元03在发送令牌时,进一步发送利用连线密钥对连线序列号进行加密后的数据。请求处理单元04在对请求进行解密时,解密得到连线序列号,进一步验证连线序列号是否正确,只有连线序列号正确才将解密后得到的请求转发给服务器。响应处理单元05在对响应进行加密时,进一步加密连线序列号,将加密后的连线序列号发送给客户端。
图4为本发明实施例提供的设置于客户端的装置结构图,如图4所示,该装置可以包括:密钥协商单元11、令牌获取单元12、请求发送单元13和响应获取单元14,还包括身份提供单元15。其中各单元的主要功能如下:
密钥协商单元11负责利用密钥交换机制与安全代理设备进行连线密钥的协商。
令牌获取单元12负责获取安全代理设备在对客户端进行身份认证通过后分配给客户端的令牌。
请求发送单元13负责利用连线密钥或令牌连线密钥对发送给服务器的请求进行加密,将加密后的请求连同令牌发送至安全代理设备。
响应获取单元14负责获取安全代理设备转发来的响应,利用连线密钥或令牌连线密钥对响应进行解密。
其中,令牌连线密钥是安全代理设备分配给客户端,并利用连线密钥加密该令牌连线密钥后发送给客户端的。
具体地,密钥协商单元11可以执行以下操作:
操作1:利用密钥协商保护密钥对包含客户端标识的数据进行加密,将加密后的数据发送给安全代理设备,其中密钥协商保护密钥预先设置于客户端和安全代理设备。例如,将EC_AKE-Key(Client-ID,(gxmodp),H(gxmodp))发送给安全代理设备,本操作对应图2中的步骤101。
操作2:利用服务器验证密钥对安全代理设备发送的包含安全代理设备标识的数据进行解密,服务器验证密钥是利用客户端标识产生的。在本操作中,可以首先利用客户端标识Client-ID产生服务器验证密钥C_AKE-Session-Key-2,产生方式与安全代理设备采用的方式相同。然后利用服务器验密钥对安全代理设备发送的数据进行解密,得到安全代理设备的证书Proxy-Cert和利用安全代理设备的根证书私钥对安全代理设备标识Proxy-ID和客户端标识Client-ID进行的签名SigProxy(2,Proxy-ID,Client-ID,gy,gx)。然后利用安全代理设备的根证书公钥对SigProxy(2,Proxy-ID,Client-ID,gy,gx)进行解密,得到安全代理设备标识Proxy-ID。
操作3:利用客户端标识和解密得到的安全代理设备标识产生连线密钥。例如,可以采用C_AKE-Session-Key=Hash(0,Client-ID,Proxy-ID,gx,gy,gxy)的方式产生连线密钥C_AKE-Session-Key。
身份提供单元15可以将客户端标识、客户端环境信息以及客户端签名信息中的至少一种发送给安全代理设备,以便安全代理设备对客户端进行身份认证。
其中身份提供单元15可以通过上述操作1将客户端标识提供给安全代理设备。
身份提供单元15在将客户端环境信息发送给安全代理设备时,可以利用连线密钥对客户端环境信息进行加密,将加密后的客户端环境信息发送给安全代理设备;环境信息包括客户端设备标识、客户端应用签名和客户端环境参数中的至少一种。例如利用连线密钥C_AKE-Session-Key对客户端环境信息进行加密后得到的数据可以表示为:
EC_AKE-Session-Key(ClientDeviceID,ClientAppSig,ClientEnvironmentInformation)
身份提供单元15在将客户端签名信息发送给安全代理设备时,可以利用客户端标识和安全代理设备标识生成客户端验证密钥,利用客户端验证密钥对客户端签名信息进行加密,将加密后的客户端签名信息发送给安全代理设备。例如,客户端验证密钥C-AKE-Session-Key-3可以采用如下方式产生:C_AKE-Session-Key-3=Hash(3,Client-ID,Proxy-ID,gx,gy,gxy)。利用客户端验证密钥对客户端签名信息进行加密可以表示为:EC_AKE-Session-Key-3(Client-Cert,SigClient(3,Client-ID,Proxy-ID,gx,gy)),其中SigClient(3,Client-ID,Proxy-ID,gx,gy)为客户端应用签名,该SigClient为利用客户端的根证书私钥进行签名。
另外,令牌获取单元12在获取令牌时,进一步获取利用连线密钥加密后的连线序列号,利用连线密钥对获取的连线序列号进行解密。请求发送单元13在对请求进行加密时,进一步加密连线序列号。响应获取单元14对接收到的响应进行解密时,进一步解密得到连线序列号,验证连线序列号是否正确,如果不正确,则丢弃该响应。
需要说明的是,本发明对加解密算法并不加以限制,只要保证客户端与安全代理设备采用一致的加解密算法即可。
本发明提供的方法和装置,一方面通过协商的连线密钥对客户端与安全代理设备之间的报文进行加密,防止数据泄露,另一方面通过安全代理设备为客户端分配的令牌实现对服务器的访问控制,防止中间人对服务器的非法攻击、非法客户端对服务器的访问,通过这种机制保障了客户端与服务器之间的通讯安全。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (36)

1.一种安全通讯的方法,其特征在于,该方法由设置于客户端和服务器之间的安全代理设备执行,该方法包括:
利用密钥交换机制与客户端进行连线密钥的协商;以及在对所述客户端进行身份认证通过后,为所述客户端分配令牌;
接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是为客户端分配后利用所述连线密钥发送给所述客户端的;
接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。
2.根据权利要求1所述的方法,其特征在于,在所述连线密钥的协商过程中对所述客户端进行身份认证;
在所述连线密钥协商完成后,为所述客户端分配令牌。
3.根据权利要求1所述的方法,其特征在于,所述利用密钥交换机制与客户端进行连线密钥的协商包括:
利用密钥协商保护密钥对客户端发送的包含客户端标识的数据进行解密,其中所述密钥协商保护密钥预先设置于所述客户端和所述安全代理设备;
利用解密后得到的客户端标识产生服务器验证密钥;
利用所述服务器验证密钥对包含安全代理设备标识的数据进行加密,将加密后的数据发送给所述客户端,以便所述客户端利用所述客户端标识和所述安全代理设备标识产生连线密钥;
利用所述客户端标识和所述安全代理设备标识,产生连线密钥。
4.根据权利要求3所述的方法,其特征在于,利用所述服务器验证密钥对包含安全代理设备标识的数据进行加密包括:
利用安全代理设备的根证书私钥对所述安全代理设备标识和所述客户端标识进行签名;
利用所述服务器验证密钥对所述签名和安全代理设备的证书进行加密。
5.根据权利要求1、2或3所述的方法,其特征在于,对所述客户端进行身份认证包括:
获取到客户端标识后,对所述客户端标识进行认证;和/或,
获取到客户端环境信息后,对所述客户端环境信息进行验证;和/或,
获取到客户端签名信息后,对所述客户端签名信息进行验证。
6.根据权利要求5所述的方法,其特征在于,对所述客户端标识进行认证包括:
判断所述客户端标识是否在预设的黑名单中,如果否,则所述客户端通过身份认证,如果是,则所述客户端未通过身份认证;或者,
判断所述客户端标识是否在预设的白名单中,如果是,则所述客户端通过身份认证;否则所述客户端未通过身份认证。
7.根据权利要求5所述的方法,其特征在于,所述获取到客户端环境信息包括:
利用所述连线密钥对客户端发送的客户端环境信息进行解密;所述环境信息包括客户端设备标识、客户端应用签名和客户端环境参数中的至少一种。
8.根据权利要求5所述的方法,其特征在于,所述获取到客户端签名信息包括:
利用客户端标识和安全代理设备标识生成客户端验证密钥,利用客户端验证密钥对客户端发送的客户端签名信息进行解密。
9.根据权利要求1至4任一权项所述的方法,其特征在于,为所述客户端分配令牌包括:
利用令牌密钥对包含所述连线密钥和随机参数的数据或对包含所述令牌连线密钥和随机参数的数据进行加密,得到为所述客户端分配的令牌,所述令牌密钥预置于所述安全代理设备或由所述安全代理设备动态产生。
10.根据权利要求9所述的方法,其特征在于,在发送令牌时,进一步发送利用所述连线密钥对连线序列号进行加密后的数据,所述连线序列号由所述安全代理设备生成;
在对所述请求进行解密时,解密得到所述连线序列号,进一步验证所述连线序列号是否正确,只有所述连线序列号正确才将解密后得到的请求转发给所述服务器;
在对所述响应进行加密时,进一步加密所述连线序列号,将加密后的连线序列号发送给所述客户端。
11.根据权利要求1所述的方法,其特征在于,该方法还包括:
如果验证出连同所述请求发送来的令牌不是为所述客户端分配的令牌,则拒绝处理所述请求。
12.一种安全通讯的方法,其特征在于,该方法应用于包含客户端、安全代理设备和服务器的系统,该方法包括:
所述客户端利用密钥交换机制与所述安全代理设备进行连线密钥的协商,以及获取所述安全代理设备在对所述客户端进行身份认证通过后分配给所述客户端的令牌;
利用所述连线密钥或令牌连线密钥对发送给所述服务器的请求进行加密,将加密后的请求连同所述令牌发送至所述安全代理设备;
获取所述安全代理设备转发来的响应,利用所述连线密钥或所述令牌连线密钥对所述响应进行解密;
其中所述令牌连线密钥是所述安全代理设备分配给客户端,并利用所述连线密钥加密所述令牌连线密钥后发送给所述客户端的。
13.根据权利要求12所述的方法,其特征在于,所述客户端利用密钥交换机制与所述安全代理设备进行连线密钥的协商包括:
利用密钥协商保护密钥对包含客户端标识的数据进行加密,将加密后的数据发送给所述安全代理设备,其中所述密钥协商保护密钥预先设置于所述客户端和所述安全代理设备;
利用服务器验证密钥对所述安全代理设备发送的包含安全代理设备标识的数据进行解密,所述服务器验证密钥是利用所述客户端标识产生的;
利用所述客户端标识和解密得到的安全代理设备标识产生连线密钥。
14.根据权利要求13所述的方法,其特征在于,所述包含安全代理设备标识的数据包括:
安全代理设备的证书,以及利用安全代理设备的根证书私钥对所述安全代理设备标识和所述客户端标识进行的签名。
15.根据权利要求12所述的方法,其特征在于,该方法还包括:
所述客户端将客户端标识、客户端环境信息以及客户端签名信息中的至少一种发送给所述安全代理设备,以便所述安全代理设备对所述客户端进行身份认证。
16.根据权利要求15所述的方法,其特征在于,所述客户端将客户端环境信息发送给所述安全代理设备包括:
利用所述连线密钥对客户端环境信息进行加密,将加密后的客户端环境信息发送给所述安全代理设备;所述环境信息包括客户端设备标识、客户端应用签名和客户端环境参数中的至少一种。
17.根据权利要求15所述的方法,其特征在于,所述客户端将客户端签名信息发送给所述安全代理设备包括:
利用客户端标识和安全代理设备标识生成客户端验证密钥,利用所述客户端验证密钥对客户端签名信息进行加密,将加密后的客户端签名信息发送给所述安全代理设备。
18.根据权利要求12所述的方法,其特征在于,在获取所述令牌时,进一步获取利用所述连线密钥加密后的连线序列号,利用所述连线密钥对获取的连线序列号进行解密;
在对所述请求进行加密时,进一步加密所述连线序列号;
对所述响应进行解密时,进一步解密得到连线序列号,验证所述连线序列号是否正确,如果不正确,则丢弃所述响应。
19.一种安全通讯的装置,其特征在于,该装置设置于客户端和服务器之间的安全代理设备中,该装置包括:
密钥协商单元,用于利用密钥交换机制与客户端进行连线密钥的协商;
身份认证单元,用于对所述客户端进行身份认证;
令牌分配单元,用于在对所述客户端进行身份认证通过后,为所述客户端分配令牌;
请求处理单元,用于接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是所述令牌分配单元为客户端分配后并利用所述连线密钥进行加密后发送给所述客户端的;
响应处理单元,用于接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。
20.根据权利要求19所述的装置,其特征在于,所述身份认证单元在所述连线密钥的协商过程中对所述客户端进行身份认证;
所述令牌分配单元在所述连线密钥协商完成后,为所述客户端分配令牌。
21.根据权利要求19所述的装置,其特征在于,所述密钥协商单元具体执行:
利用密钥协商保护密钥对客户端发送的包含客户端标识的数据进行解密,其中所述密钥协商保护密钥预先设置于所述客户端和所述安全代理设备;
利用解密后得到的客户端标识产生服务器验证密钥;
利用所述服务器验证密钥对包含安全代理设备标识的数据进行加密,将加密后的数据发送给所述客户端,以便所述客户端利用所述客户端标识和所述安全代理设备标识产生连线密钥;
利用所述客户端标识和所述安全代理设备标识,产生连线密钥。
22.根据权利要求21所述的装置,其特征在于,所述密钥协商单元在利用所述服务器验证密钥对包含安全代理设备标识的数据进行加密时,具体执行:
利用安全代理设备的根证书私钥对所述安全代理设备标识和所述客户端标识进行签名;
利用所述服务器验证密钥对所述签名和安全代理设备的证书进行加密。
23.根据权利要求19、20或21所述的装置,所述身份认证单元,具体用于:
获取到客户端标识后,对所述客户端标识进行认证;和/或,
获取到客户端环境信息后,对所述客户端环境信息进行验证;和/或,
获取到客户端签名信息后,对所述客户端签名信息进行验证。
24.根据权利要求23所述的装置,其特征在于,所述身份认证单元在对所述客户端标识进行认证时,具体执行:
判断所述客户端标识是否在预设的黑名单中,如果否,则所述客户端通过身份认证,如果是,则所述客户端未通过身份认证;或者,
判断所述客户端标识是否在预设的白名单中,如果是,则所述客户端通过身份认证;否则所述客户端未通过身份认证。
25.根据权利要求23所述的装置,其特征在于,所述身份认证单元在获取客户端环境信息时,具体执行:
利用所述连线密钥对客户端发送的客户端环境信息进行解密;所述环境信息包括客户端设备标识、客户端应用签名和客户端环境参数中的至少一种。
26.根据权利要求23所述的装置,其特征在于,所述身份认证单元在获取客户端签名信息时,具体执行:
利用客户端标识和安全代理设备标识生成客户端验证密钥,利用客户端验证密钥对客户端发送的客户端签名信息进行解密。
27.根据权利要求19至22任一权项所述的装置,其特征在于,所述令牌分配单元在为所述客户端分配令牌时,具体执行:
利用令牌密钥对包含所述连线密钥和随机参数的数据或对包含所述令牌连线密钥和随机参数的数据进行加密,得到为所述客户端分配的令牌,所述令牌密钥预置于所述安全代理设备或由所述所述安全代理设备动态产生。
28.根据权利要求27所述的装置,其特征在于,所述令牌分配单元在发送令牌时,进一步发送利用所述连线密钥对连线序列号进行加密后的数据,所述连线序列号由安全代理设备生成;
所述请求处理单元在对所述请求进行解密时,解密得到所述连线序列号,进一步验证所述连线序列号是否正确,只有所述连线序列号正确才将解密后得到的请求转发给所述服务器;
所述响应处理单元在对所述响应进行加密时,进一步加密所述连线序列号,将加密后的连线序列号发送给所述客户端。
29.根据权利要求19所述的装置,其特征在于,所述请求处理单元,还用于如果验证出连同所述请求发送来的令牌不是为所述客户端分配的令牌,则拒绝处理所述请求。
30.一种安全通讯的装置,其特征在于,设置于客户端,该装置包括:
密钥协商单元,用于利用密钥交换机制与安全代理设备进行连线密钥的协商;
令牌获取单元,用于获取所述安全代理设备在对所述客户端进行身份认证通过后分配给所述客户端的令牌;
请求发送单元,用于利用所述连线密钥或令牌连线密钥对发送给服务器的请求进行加密,将加密后的请求连同所述令牌发送至所述安全代理设备;
响应获取单元,用于获取所述安全代理设备转发来的响应,利用所述连线密钥或所述令牌连线密钥对所述响应进行解密;
其中所述令牌连线密钥是所述安全代理设备分配给客户端,并利用所述连线密钥加密所述令牌连线密钥后发送给所述客户端的。
31.根据权利要求30所述的装置,其特征在于,所述密钥协商单元,具体用于:
利用密钥协商保护密钥对包含客户端标识的数据进行加密,将加密后的数据发送给所述安全代理设备,其中所述密钥协商保护密钥预先设置于所述客户端和所述安全代理设备;
利用服务器验证密钥对所述安全代理设备发送的包含安全代理设备标识的数据进行解密,所述服务器验证密钥是利用所述客户端标识产生的;
利用所述客户端标识和解密得到的安全代理设备标识产生连线密钥。
32.根据权利要求31所述的装置,其特征在于,所述包含安全代理设备标识的数据包括:
安全代理设备的证书,以及利用安全代理设备的根证书私钥对所述安全代理设备标识和所述客户端标识进行的签名。
33.根据权利要求30所述的装置,其特征在于,该装置还包括:身份提供单元,用于将客户端标识、客户端环境信息以及客户端签名信息中的至少一种发送给所述安全代理设备,以便所述安全代理设备对所述客户端进行身份认证。
34.根据权利要求33所述的装置,其特征在于,所述身份提供单元在将客户端环境信息发送给所述安全代理设备时,具体执行:
利用所述连线密钥对客户端环境信息进行加密,将加密后的客户端环境信息发送给所述安全代理设备;所述环境信息包括客户端设备标识、客户端应用签名和客户端环境参数中的至少一种。
35.根据权利要求33所述的装置,其特征在于,所述身份提供单元在将客户端签名信息发送给所述安全代理设备时,具体执行:
利用客户端标识和安全代理设备标识生成客户端验证密钥,利用所述客户端验证密钥对客户端签名信息进行加密,将加密后的客户端签名信息发送给所述安全代理设备。
36.根据权利要求30所述的装置,其特征在于,所述令牌获取单元在获取所述令牌时,进一步获取利用所述连线密钥加密后的连线序列号,利用所述连线密钥对获取的连线序列号进行解密;
所述请求发送单元在对所述请求进行加密时,进一步加密所述连线序列号;
所述响应获取单元对所述响应进行解密时,进一步解密得到连线序列号,验证所述连线序列号是否正确,如果不正确,则丢弃所述响应。
CN201510245307.2A 2015-05-14 2015-05-14 一种安全通讯方法和装置 Active CN105471833B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201510245307.2A CN105471833B (zh) 2015-05-14 2015-05-14 一种安全通讯方法和装置
PCT/CN2016/079856 WO2016180204A1 (zh) 2015-05-14 2016-04-21 一种安全通讯方法和装置
US15/146,814 US10142297B2 (en) 2015-05-14 2016-05-04 Secure communication method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510245307.2A CN105471833B (zh) 2015-05-14 2015-05-14 一种安全通讯方法和装置

Publications (2)

Publication Number Publication Date
CN105471833A true CN105471833A (zh) 2016-04-06
CN105471833B CN105471833B (zh) 2019-04-16

Family

ID=55609105

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510245307.2A Active CN105471833B (zh) 2015-05-14 2015-05-14 一种安全通讯方法和装置

Country Status (3)

Country Link
US (1) US10142297B2 (zh)
CN (1) CN105471833B (zh)
WO (1) WO2016180204A1 (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016180202A1 (zh) * 2015-05-14 2016-11-17 瑞数信息技术(上海)有限公司 一种安全通讯的方法和装置
WO2016180204A1 (zh) * 2015-05-14 2016-11-17 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN107357631A (zh) * 2017-07-17 2017-11-17 郑州云海信息技术有限公司 一种管理虚拟机密钥的方法和装置及计算机可读存储介质
CN107508819A (zh) * 2017-09-05 2017-12-22 广东思派康电子科技有限公司 加密方法和加密装置
CN107508673A (zh) * 2017-09-11 2017-12-22 金蝶软件(中国)有限公司 Erp与第三方组件之间密钥获取的方法及相关装置
CN107612926A (zh) * 2017-10-12 2018-01-19 成都知道创宇信息技术有限公司 一种基于客户端识别的一句话WebShell拦截方法
CN110046192A (zh) * 2019-04-22 2019-07-23 广州荔支网络技术有限公司 请求信息的序号生成系统和方法
CN110740116A (zh) * 2018-07-20 2020-01-31 北京思源理想控股集团有限公司 一种多应用身份认证的系统及方法
CN110971657A (zh) * 2018-09-28 2020-04-07 横河电机株式会社 用于提供云服务的系统和方法
CN111131215A (zh) * 2019-12-18 2020-05-08 深圳市任子行科技开发有限公司 一种无感知审计部署方法及装置
CN111510460A (zh) * 2020-04-24 2020-08-07 武汉火神信息科技有限公司 集中管理主机并拦截转发指令的安全服务系统
CN112383912A (zh) * 2020-11-02 2021-02-19 中国联合网络通信集团有限公司 开户方法、服务器、系统及存储介质
CN112688949A (zh) * 2020-12-25 2021-04-20 北京浪潮数据技术有限公司 一种访问方法、装置、设备及计算机可读存储介质
CN112689283A (zh) * 2020-12-15 2021-04-20 青海大学 一种密钥保护和协商方法、系统和存储介质
CN113055169A (zh) * 2021-03-29 2021-06-29 京东方科技集团股份有限公司 数据加密方法、装置、电子设备及存储介质
CN113271212A (zh) * 2016-04-19 2021-08-17 微软技术许可有限责任公司 取决于密钥认证的证书发布
CN116743461A (zh) * 2023-06-15 2023-09-12 上海银满仓数字科技有限公司 基于时间戳的商品数据加密方法和装置

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9767318B1 (en) 2015-08-28 2017-09-19 Frank Dropps Secure controller systems and associated methods thereof
US9882894B2 (en) * 2015-12-15 2018-01-30 Verizon Patent And Licensing Inc. Secure authentication service
US10116634B2 (en) * 2016-06-28 2018-10-30 A10 Networks, Inc. Intercepting secure session upon receipt of untrusted certificate
US10348713B2 (en) * 2016-09-16 2019-07-09 Oracle International Corporation Pluggable authentication for enterprise web application
WO2018170367A1 (en) * 2017-03-17 2018-09-20 Icrypto, Inc. System and method for dual notifications and responses
CN107026730B (zh) * 2017-04-01 2021-01-05 北京深思数盾科技股份有限公司 数据处理方法、装置及系统
BR112020000870A2 (pt) * 2017-07-21 2020-07-21 Huawei International Pte. Ltd. método de transmissão de dados, dispositivo e sistema relacionados ao mesmo
US11019073B2 (en) * 2017-07-23 2021-05-25 AtScale, Inc. Application-agnostic resource access control
IL283346B2 (en) * 2018-11-26 2024-04-01 Forticode Ltd Mutual authentication of computer systems on an insecure network
US11303588B1 (en) * 2019-09-05 2022-04-12 Meta Platforms, Inc. Automating a response to a message communicated to a business entity via an online messaging application
US10985921B1 (en) 2019-11-05 2021-04-20 Capital One Services, Llc Systems and methods for out-of-band authenticity verification of mobile applications
CN111475824B (zh) * 2020-03-23 2023-05-05 深圳前海百递网络有限公司 数据访问方法、装置、设备和存储介质
US11134074B1 (en) * 2020-05-22 2021-09-28 Fmr Llc Systems and methods for secure HTTP connections using a distributed certificate validation model
US11979395B2 (en) * 2020-09-28 2024-05-07 Sap Se Application security through deceptive authentication
CN114553570B (zh) * 2022-02-25 2024-04-12 中国建设银行股份有限公司 生成令牌的方法、装置、电子设备及存储介质
CN115086053A (zh) * 2022-06-23 2022-09-20 支付宝(杭州)信息技术有限公司 用于识别伪装设备的方法和系统
CN117728958A (zh) * 2024-02-05 2024-03-19 浙江大华技术股份有限公司 一种通信方法、装置和系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005133A1 (en) * 2003-04-24 2005-01-06 Xia Sharon Hong Proxy server security token authorization
US6965939B2 (en) * 2001-01-05 2005-11-15 International Business Machines Corporation Method and apparatus for processing requests in a network data processing system based on a trust association between servers
CN101247391A (zh) * 2007-12-28 2008-08-20 上海电力学院 Opc安全代理系统及其代理方法
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证系统及方法
CN103179115A (zh) * 2013-03-18 2013-06-26 中国科学院信息工程研究所 一种面向云电视终端跨云应用的云服务访问控制方法
CN104023085A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于增量同步的安全云存储系统
CN104350501A (zh) * 2012-05-25 2015-02-11 佳能株式会社 授权服务器和客户端设备、服务器协作系统和令牌管理方法

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805803A (en) 1997-05-13 1998-09-08 Digital Equipment Corporation Secure web tunnel
US6327662B1 (en) 1998-09-30 2001-12-04 3Com Corporation Security through the use of tokens and automatically downloaded applets
US7113994B1 (en) * 2000-01-24 2006-09-26 Microsoft Corporation System and method of proxy authentication in a secured network
US20020026578A1 (en) * 2000-08-22 2002-02-28 International Business Machines Corporation Secure usage of digital certificates and related keys on a security token
US7219154B2 (en) 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
US7421576B1 (en) * 2003-01-16 2008-09-02 The United States Of America As Represented By The United States Department Of Energy Interception and modification of network authentication packets with the purpose of allowing alternative authentication modes
US7607009B2 (en) 2003-02-10 2009-10-20 International Business Machines Corporation Method for distributing and authenticating public keys using time ordered exchanges
US20050154887A1 (en) 2004-01-12 2005-07-14 International Business Machines Corporation System and method for secure network state management and single sign-on
US8340283B2 (en) * 2004-06-30 2012-12-25 International Business Machines Corporation Method and system for a PKI-based delegation process
WO2007047183A2 (en) 2005-10-11 2007-04-26 Citrix Systems, Inc. Systems and methods for facilitating distributed authentication
US20070226483A1 (en) 2006-03-24 2007-09-27 Dennis Cox System and method for storing and/or transmitting emulated network flows
CN101217367B (zh) 2007-01-04 2010-12-29 中国移动通信集团公司 引入鉴权客户端实现业务鉴权的系统及方法
US8544066B2 (en) 2007-12-27 2013-09-24 Nec Corporation Access right management system, access right management method, and access right management program
US20110066681A1 (en) 2008-05-14 2011-03-17 Naoki Shiota Client device, control method thereof, program, server device, control method thereof, communication system, and control method thereof
CN101741764B (zh) 2009-12-25 2012-08-22 金蝶软件(中国)有限公司 一种企业广域网文件传输的方法、系统
US9633656B2 (en) 2010-07-27 2017-04-25 Sony Corporation Device registration process from second display
CN102208980A (zh) 2010-08-24 2011-10-05 济南聚易信息技术有限公司 一种通信方法及系统
CN102111410B (zh) 2011-01-13 2013-07-03 中国科学院软件研究所 一种基于代理的单点登录方法及系统
US8447983B1 (en) 2011-02-01 2013-05-21 Target Brands, Inc. Token exchange
US8943169B2 (en) 2011-02-11 2015-01-27 Sony Corporation Device affiliation process from second display
US8407776B2 (en) 2011-02-11 2013-03-26 Good Technology Corporation Method, apparatus and system for provisioning a push notification session
CN103095704A (zh) * 2013-01-15 2013-05-08 杭州华三通信技术有限公司 一种可信介质的在线验证方法及装置
US10348721B2 (en) 2013-10-30 2019-07-09 Hewlett Packard Enterprise Development Lp User authentication
US10135805B2 (en) 2013-10-31 2018-11-20 Cellco Partnership Connected authentication device using mobile single sign on credentials
CN103780396B (zh) 2014-01-27 2017-08-25 华为软件技术有限公司 令牌获取方法及装置
US9584515B2 (en) 2014-04-30 2017-02-28 Citrix Systems, Inc. Enterprise system authentication and authorization via gateway
CN104038490B (zh) 2014-06-09 2018-01-12 可牛网络技术(北京)有限公司 一种通信安全校验方法及其装置
CN104113528A (zh) * 2014-06-23 2014-10-22 汉柏科技有限公司 一种基于前置网关的防止敏感信息泄露的方法和系统
US9848005B2 (en) 2014-07-29 2017-12-19 Aruba Networks, Inc. Client reputation driven role-based access control
US20160142409A1 (en) 2014-11-18 2016-05-19 Microsoft Technology Licensing, Llc Optimized token-based proxy authentication
US9813385B2 (en) 2015-02-10 2017-11-07 DeNA Co., Ltd. Method and system for load balancing
CN105491001B (zh) 2015-05-14 2017-02-22 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN105471833B (zh) 2015-05-14 2019-04-16 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
US20170244713A1 (en) 2015-12-09 2017-08-24 Xasp Security, Llc Web server transmission obfuscation

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6965939B2 (en) * 2001-01-05 2005-11-15 International Business Machines Corporation Method and apparatus for processing requests in a network data processing system based on a trust association between servers
US20050005133A1 (en) * 2003-04-24 2005-01-06 Xia Sharon Hong Proxy server security token authorization
CN101247391A (zh) * 2007-12-28 2008-08-20 上海电力学院 Opc安全代理系统及其代理方法
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证系统及方法
CN104350501A (zh) * 2012-05-25 2015-02-11 佳能株式会社 授权服务器和客户端设备、服务器协作系统和令牌管理方法
CN103179115A (zh) * 2013-03-18 2013-06-26 中国科学院信息工程研究所 一种面向云电视终端跨云应用的云服务访问控制方法
CN104023085A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于增量同步的安全云存储系统

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10142297B2 (en) 2015-05-14 2018-11-27 River Security Inc. Secure communication method and apparatus
WO2016180204A1 (zh) * 2015-05-14 2016-11-17 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
WO2016180202A1 (zh) * 2015-05-14 2016-11-17 瑞数信息技术(上海)有限公司 一种安全通讯的方法和装置
CN113271212A (zh) * 2016-04-19 2021-08-17 微软技术许可有限责任公司 取决于密钥认证的证书发布
CN107357631A (zh) * 2017-07-17 2017-11-17 郑州云海信息技术有限公司 一种管理虚拟机密钥的方法和装置及计算机可读存储介质
CN107508819A (zh) * 2017-09-05 2017-12-22 广东思派康电子科技有限公司 加密方法和加密装置
CN107508819B (zh) * 2017-09-05 2020-06-05 广东思派康电子科技有限公司 加密方法和加密装置
CN107508673A (zh) * 2017-09-11 2017-12-22 金蝶软件(中国)有限公司 Erp与第三方组件之间密钥获取的方法及相关装置
CN107612926B (zh) * 2017-10-12 2020-09-29 成都知道创宇信息技术有限公司 一种基于客户端识别的一句话WebShell拦截方法
CN107612926A (zh) * 2017-10-12 2018-01-19 成都知道创宇信息技术有限公司 一种基于客户端识别的一句话WebShell拦截方法
CN110740116B (zh) * 2018-07-20 2023-06-30 北京思源理想控股集团有限公司 一种多应用身份认证的系统及方法
CN110740116A (zh) * 2018-07-20 2020-01-31 北京思源理想控股集团有限公司 一种多应用身份认证的系统及方法
CN110971657B (zh) * 2018-09-28 2022-06-03 横河电机株式会社 用于提供云服务的系统和方法
CN110971657A (zh) * 2018-09-28 2020-04-07 横河电机株式会社 用于提供云服务的系统和方法
CN110046192A (zh) * 2019-04-22 2019-07-23 广州荔支网络技术有限公司 请求信息的序号生成系统和方法
CN111131215A (zh) * 2019-12-18 2020-05-08 深圳市任子行科技开发有限公司 一种无感知审计部署方法及装置
CN111510460A (zh) * 2020-04-24 2020-08-07 武汉火神信息科技有限公司 集中管理主机并拦截转发指令的安全服务系统
CN112383912A (zh) * 2020-11-02 2021-02-19 中国联合网络通信集团有限公司 开户方法、服务器、系统及存储介质
CN112383912B (zh) * 2020-11-02 2022-08-02 中国联合网络通信集团有限公司 开户方法、服务器、系统及存储介质
CN112689283A (zh) * 2020-12-15 2021-04-20 青海大学 一种密钥保护和协商方法、系统和存储介质
CN112688949B (zh) * 2020-12-25 2022-12-06 北京浪潮数据技术有限公司 一种访问方法、装置、设备及计算机可读存储介质
CN112688949A (zh) * 2020-12-25 2021-04-20 北京浪潮数据技术有限公司 一种访问方法、装置、设备及计算机可读存储介质
CN113055169A (zh) * 2021-03-29 2021-06-29 京东方科技集团股份有限公司 数据加密方法、装置、电子设备及存储介质
CN113055169B (zh) * 2021-03-29 2023-04-14 京东方科技集团股份有限公司 数据加密方法、装置、电子设备及存储介质
CN116743461A (zh) * 2023-06-15 2023-09-12 上海银满仓数字科技有限公司 基于时间戳的商品数据加密方法和装置
CN116743461B (zh) * 2023-06-15 2023-12-22 上海银满仓数字科技有限公司 基于时间戳的商品数据加密方法和装置

Also Published As

Publication number Publication date
WO2016180204A1 (zh) 2016-11-17
US20160337321A1 (en) 2016-11-17
CN105471833B (zh) 2019-04-16
US10142297B2 (en) 2018-11-27

Similar Documents

Publication Publication Date Title
CN105471833A (zh) 一种安全通讯方法和装置
CN110855671B (zh) 一种可信计算方法和系统
CN109309565B (zh) 一种安全认证的方法及装置
CN110138799B (zh) 一种基于sgx的安全云存储方法
CN107465689B (zh) 云环境下的虚拟可信平台模块的密钥管理系统及方法
CN111416807B (zh) 数据获取方法、装置及存储介质
CN102812684B (zh) 实施计算机策略的系统和方法
CN103138939B (zh) 云存储模式下基于可信平台模块的密钥使用次数管理方法
CN110784491A (zh) 一种物联网安全管理系统
CN102595213B (zh) 可信电视终端安全认证方法和系统
CN111030814A (zh) 秘钥协商方法及装置
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN104767766A (zh) 一种Web Service接口验证方法、Web Service服务器、客户端
CN114513339A (zh) 一种安全认证方法、系统及装置
CN114553441B (zh) 一种电子合同签署方法及系统
CN105657699A (zh) 数据安全传输方法
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN115348023A (zh) 一种数据安全处理方法和装置
CN112926046A (zh) 用于保护设备标识信息的移动终端设备匿名标识信息认证的方法及其系统
CN112448810B (zh) 一种认证方法以及装置
US8769280B2 (en) Authentication apparatus and method for non-real-time IPTV system
CN112702170A (zh) 车辆数据的管理方法、管理系统及查看方法、查看终端
CN111431846A (zh) 数据传输的方法、装置和系统
CN113676468B (zh) 一种基于消息验证技术的三方增强认证系统设计方法
CN116055207B (zh) 一种物联网通讯数据的加密方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant