CN105763566A - 一种客户端与服务器之间的通信方法 - Google Patents
一种客户端与服务器之间的通信方法 Download PDFInfo
- Publication number
- CN105763566A CN105763566A CN201610247002.XA CN201610247002A CN105763566A CN 105763566 A CN105763566 A CN 105763566A CN 201610247002 A CN201610247002 A CN 201610247002A CN 105763566 A CN105763566 A CN 105763566A
- Authority
- CN
- China
- Prior art keywords
- key
- server
- secret key
- client
- reverse proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种客户端与服务器之间的通信方法,包括以下步骤:在服务器侧增设密钥服务器;客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给服务器端;所述客户端使用预密钥计算会话密钥;反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器;密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;密钥服务器将解密后的预密钥发送给反向代理;反向代理使用预密钥计算会话密钥。采用本发明后,服务器证书的私钥只在密钥服务器上存储,并且是由密钥所属企业人员管理,安全性高,也简化了服务器证书私钥的部署。
Description
技术领域
本发明涉及网络通信安全领域,具体涉及一种客户端与服务器之间的通信方法。
背景技术
SSL(SecureSocketsLayer,安全套接层),是为网络通信提供认证、保密以及数据完整性的一种安全协议。SSL两端使用会话密钥进行加密通信,会话密钥建立方式有两种:RSA和DH,下面以RSA方式为例进行阐述,DH方式与RSA方式原理相似。
如图1所示,会话密钥协商过程为:1、客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给服务器端;2、客户端使用预密钥计算会话密钥;3、服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;4、服务器使用预密钥计算会话密钥。
如图2和图3所示,在增加反向代理后,其会话密钥协商过程为:1、客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给反向代理;2、客户端使用预密钥计算会话密钥;3、反向代理接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;4、反向代理使用预密钥计算会话密钥。反向代理代替服务器与客户端完成SSL协商并提供缓存等服务,提高客户端的访问速率。服务器可以部署在防火墙后,只允许反向代理访问,提高服务器的安全性。
以上两种通信方式存在以下不足:1)反向代理必须拥有服务器证书的私钥。反向代理和服务器可能属于不同的企业,同一个私钥由不同企业的人员管理,增加了安全隐患;2)反向代理为多个服务器提供服务时,必须拥有所有服务器证书的私钥,增加了多个服务器证书私钥同时泄露的风险;3)多个反向代理为一个服务器提供服务时,所有反向代理都需要拥有该服务器证书的私钥。同一个私钥多点存储,增加了私钥泄露的风险;4)服务器证书私钥需要在多点部署,增加了部署难度。
发明内容
本发明所要解决的技术问题是提供一种客户端与服务器之间的通信方法,反向代理上无需部署服务器的私钥。
为解决上述技术问题,本发明采用的技术方案是:
一种客户端与服务器之间的通信方法,包括以下步骤:在服务器侧增设密钥服务器,在反向代理与密钥服务器间完成双向认证并建立加密通道;客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给服务器端;所述客户端使用预密钥计算会话密钥;反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器;密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;密钥服务器将解密后的预密钥发送给反向代理;反向代理使用预密钥计算会话密钥。
与现有技术相比,本发明的有益效果是:1)服务器证书的私钥只在密钥服务器上存储,并且是由密钥所属企业人员管理,安全性高;2)简化了服务器证书私钥的部署。
附图说明
图1是现有客户端与服务器的SSL协商过程示意图。
图2是现有客户端与服务器之间增设反向代理的实现方式。
图3是图2的具体SSL协商过程示意图。
图4是本发明客户端与服务器之间的通信示意图。
图5是图4的具体SSL协商过程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。尽管本发明将结合一些具体实施方式进行阐述和说明,但需要注意的是本发明并不仅仅只局限于这些实施方式。相反,对本发明进行的修改或者等同替换,均应涵盖在本发明的权利要求范围当中。
本发明提供的一种客户端与服务器之间的通信方法,如图4和图5所示,在服务器侧增加密钥服务器,用于存放服务器证书的私钥,反向代理与密钥服务器间完成双向认证并建立加密通道1。反向代理与密钥服务器间可以通过SSL完成双向认证,即密钥服务器(SSL服务器端)对反向代理(SSL客户端)也进行认证,认证通过后,建立SSL加密通道。
客户端与反向代理在SSL协商过程中,涉及到服务器证书私钥的操作时,将数据通过加密通道发送给密钥服务器,由密钥服务器完成对应的处理,并将处理结果发送回反向代理。然后反向代理与客户端完成后续的SSL协商。
例如,对于RSA协商方式,反向代理将服务器证书公钥加密后的预密钥以及服务器证书公钥通过之前建立的SSL加密通道发送给密钥服务器,密钥服务器找到服务器证书公钥对应的服务器证书私钥对预密钥做解密处理,得到明文的预密钥,然后将明文预密钥发送给反向代理,反向代理使用明文预密钥生成会话密钥。
更具体的,完整的SSL协商流程为:客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给服务器端2;客户端使用预密钥计算会话密钥3;反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器4;密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥5;密钥服务器将解密后的预密钥发送给反向代理6;反向代理使用预密钥计算会话密钥7。
本发明方法有以下优点:1)将服务器证书私钥存放在服务器侧的密钥服务器中,避免反向代理中部署私钥,提高了私钥的安全性;2)反向代理与密钥服务器进行双向认证,并建立加密通道传输数据,避免反向代理仿冒以及数据窃听。
以上具体实施方式和附图仅为本发明之常用实施例。显然,在不脱离权利要求书所界定的本发明精神和发明范围的前提下可以有各种增补、修改和替换。本领域技术人员应该理解,本发明在实际应用中可根据具体的环境和工作要求在不背离发明准则的前提下在形式、结构、布局、比例、材料、元素、组件及其它方面有所变化。因此,在此披露之实施例仅用于说明而非限制,本发明之范围由后附权利要求及其合法等同物界定,而不限于此前之描述。
Claims (1)
1.一种客户端与服务器之间的通信方法,其特征在于,包括以下步骤:在服务器侧增设密钥服务器,在反向代理与密钥服务器间完成双向认证并建立加密通道(1);客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给服务器端(2);所述客户端使用预密钥计算会话密钥(3);反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器(4);密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥(5);密钥服务器将解密后的预密钥发送给反向代理(6);反向代理使用预密钥计算会话密钥(7)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610247002.XA CN105763566B (zh) | 2016-04-19 | 2016-04-19 | 一种客户端与服务器之间的通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610247002.XA CN105763566B (zh) | 2016-04-19 | 2016-04-19 | 一种客户端与服务器之间的通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105763566A true CN105763566A (zh) | 2016-07-13 |
CN105763566B CN105763566B (zh) | 2018-11-30 |
Family
ID=56325367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610247002.XA Active CN105763566B (zh) | 2016-04-19 | 2016-04-19 | 一种客户端与服务器之间的通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105763566B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107666383A (zh) * | 2016-07-29 | 2018-02-06 | 阿里巴巴集团控股有限公司 | 基于https协议的报文处理方法以及装置 |
CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
CN110489192A (zh) * | 2019-08-13 | 2019-11-22 | 腾讯科技(深圳)有限公司 | 远程通信方法及装置、电子设备 |
CN111052674A (zh) * | 2017-09-08 | 2020-04-21 | 株式会社东芝 | 通信控制系统以及通信控制装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
CN103139185A (zh) * | 2011-12-02 | 2013-06-05 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实现安全反向代理服务的方法 |
CN103490881A (zh) * | 2013-09-06 | 2014-01-01 | 广东数字证书认证中心有限公司 | 认证服务系统、用户认证方法、认证信息处理方法及系统 |
CN103532704A (zh) * | 2013-10-08 | 2014-01-22 | 武汉理工大学 | 一种针对owa的电子邮件ibe加密系统 |
CN105007254A (zh) * | 2014-04-17 | 2015-10-28 | 腾讯科技(深圳)有限公司 | 数据传输方法和系统、终端 |
-
2016
- 2016-04-19 CN CN201610247002.XA patent/CN105763566B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
CN103139185A (zh) * | 2011-12-02 | 2013-06-05 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实现安全反向代理服务的方法 |
CN103490881A (zh) * | 2013-09-06 | 2014-01-01 | 广东数字证书认证中心有限公司 | 认证服务系统、用户认证方法、认证信息处理方法及系统 |
CN103532704A (zh) * | 2013-10-08 | 2014-01-22 | 武汉理工大学 | 一种针对owa的电子邮件ibe加密系统 |
CN105007254A (zh) * | 2014-04-17 | 2015-10-28 | 腾讯科技(深圳)有限公司 | 数据传输方法和系统、终端 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107666383A (zh) * | 2016-07-29 | 2018-02-06 | 阿里巴巴集团控股有限公司 | 基于https协议的报文处理方法以及装置 |
CN107666383B (zh) * | 2016-07-29 | 2021-06-18 | 阿里巴巴集团控股有限公司 | 基于https协议的报文处理方法以及装置 |
CN111052674A (zh) * | 2017-09-08 | 2020-04-21 | 株式会社东芝 | 通信控制系统以及通信控制装置 |
CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
CN110190955B (zh) * | 2019-05-27 | 2022-05-24 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
CN110489192A (zh) * | 2019-08-13 | 2019-11-22 | 腾讯科技(深圳)有限公司 | 远程通信方法及装置、电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105763566B (zh) | 2018-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2017352361B2 (en) | Data transmission method, apparatus and system | |
CN106878016A (zh) | 数据发送、接收方法及装置 | |
CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
CN106161449A (zh) | 无密钥认证传输方法及系统 | |
CN105307165A (zh) | 基于移动应用的通信方法、服务端和客户端 | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
CN112766962A (zh) | 证书的接收、发送方法及交易系统、存储介质、电子装置 | |
WO2015180604A1 (zh) | 一种保密通信控制、保密通信方法及装置 | |
CN110601825B (zh) | 密文的处理方法及装置、存储介质、电子装置 | |
CN105763566A (zh) | 一种客户端与服务器之间的通信方法 | |
CN109257347A (zh) | 适于银企间数据交互的通信方法和相关装置、存储介质 | |
CN105577377A (zh) | 带密钥协商的基于身份的认证方法和系统 | |
CN110493367A (zh) | 无地址的IPv6非公开服务器、客户机与通信方法 | |
CN106161363B (zh) | 一种ssl连接建立的方法及系统 | |
CN116132025A (zh) | 一种基于预置密钥组的密钥协商方法、装置和通信系统 | |
CN105991622A (zh) | 一种报文验证方法及设备 | |
CN105591748B (zh) | 一种认证方法和装置 | |
CN103856463A (zh) | 基于密钥交换协议的轻量目录访问协议实现方法和装置 | |
CN108848091A (zh) | 一种用于即时通讯的混合加密方法 | |
GB2543359A (en) | Methods and apparatus for secure communication | |
CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
CN113839786B (zh) | 一种基于sm9密钥算法的密钥分发方法和系统 | |
CN105391691A (zh) | 一种基于云计算的通信控制方法、装置及系统 | |
KR101793528B1 (ko) | 무인증서 공개키 암호 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |