CN105763566B - 一种客户端与服务器之间的通信方法 - Google Patents

一种客户端与服务器之间的通信方法 Download PDF

Info

Publication number
CN105763566B
CN105763566B CN201610247002.XA CN201610247002A CN105763566B CN 105763566 B CN105763566 B CN 105763566B CN 201610247002 A CN201610247002 A CN 201610247002A CN 105763566 B CN105763566 B CN 105763566B
Authority
CN
China
Prior art keywords
key
server
reverse proxy
encryption
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610247002.XA
Other languages
English (en)
Other versions
CN105763566A (zh
Inventor
蔡自彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Zhidaochuangyu Information Technology Co Ltd
Original Assignee
Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Zhidaochuangyu Information Technology Co Ltd filed Critical Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority to CN201610247002.XA priority Critical patent/CN105763566B/zh
Publication of CN105763566A publication Critical patent/CN105763566A/zh
Application granted granted Critical
Publication of CN105763566B publication Critical patent/CN105763566B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Abstract

本发明公开了一种客户端与服务器之间的通信方法,包括以下步骤:在服务器侧增设密钥服务器;客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给反向代理;所述客户端使用预密钥计算会话密钥;反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器;密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;密钥服务器将解密后的预密钥发送给反向代理;反向代理使用预密钥计算会话密钥。采用本发明后,服务器证书的私钥只在密钥服务器上存储,并且是由密钥所属企业人员管理,安全性高,也简化了服务器证书私钥的部署。

Description

一种客户端与服务器之间的通信方法
技术领域
本发明涉及网络通信安全领域,具体涉及一种客户端与服务器之间的通信方法。
背景技术
SSL(Secure Sockets Layer,安全套接层),是为网络通信提供认证、保密以及数据完整性的一种安全协议。SSL两端使用会话密钥进行加密通信,会话密钥建立方式有两种:RSA和DH,下面以RSA方式为例进行阐述,DH方式与RSA方式原理相似。
如图1所示,会话密钥协商过程为:1、客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给服务器端;2、客户端使用预密钥计算会话密钥;3、服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;4、服务器使用预密钥计算会话密钥。
如图2和图3所示,在增加反向代理后,其会话密钥协商过程为:1、客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给反向代理;2、客户端使用预密钥计算会话密钥;3、反向代理接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;4、反向代理使用预密钥计算会话密钥。反向代理代替服务器与客户端完成SSL协商并提供缓存等服务,提高客户端的访问速率。服务器可以部署在防火墙后,只允许反向代理访问,提高服务器的安全性。
以上两种通信方式存在以下不足:1)反向代理必须拥有服务器证书的私钥。反向代理和服务器可能属于不同的企业,同一个私钥由不同企业的人员管理,增加了安全隐患;2)反向代理为多个服务器提供服务时,必须拥有所有服务器证书的私钥,增加了多个服务器证书私钥同时泄露的风险;3)多个反向代理为一个服务器提供服务时,所有反向代理都需要拥有该服务器证书的私钥。同一个私钥多点存储,增加了私钥泄露的风险;4)服务器证书私钥需要在多点部署,增加了部署难度。
发明内容
本发明所要解决的技术问题是提供一种客户端与服务器之间的通信方法,反向代理上无需部署服务器的私钥。
为解决上述技术问题,本发明采用的技术方案是:
一种客户端与服务器之间的通信方法,包括以下步骤:在服务器侧增设密钥服务器,在反向代理与密钥服务器间完成双向认证并建立加密通道;客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给反向代理;所述客户端使用预密钥计算会话密钥;反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器;密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥;密钥服务器将解密后的预密钥发送给反向代理;反向代理使用预密钥计算会话密钥。
与现有技术相比,本发明的有益效果是:1)服务器证书的私钥只在密钥服务器上存储,并且是由密钥所属企业人员管理,安全性高;2)简化了服务器证书私钥的部署。
附图说明
图1是现有客户端与服务器的SSL协商过程示意图。
图2是现有客户端与服务器之间增设反向代理的实现方式。
图3是图2的具体SSL协商过程示意图。
图4是本发明客户端与服务器之间的通信示意图。
图5是图4的具体SSL协商过程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。尽管本发明将结合一些具体实施方式进行阐述和说明,但需要注意的是本发明并不仅仅只局限于这些实施方式。相反,对本发明进行的修改或者等同替换,均应涵盖在本发明的权利要求范围当中。
本发明提供的一种客户端与服务器之间的通信方法,如图4和图5所示,在服务器侧增加密钥服务器,用于存放服务器证书的私钥,反向代理与密钥服务器间完成双向认证并建立加密通道1。反向代理与密钥服务器间可以通过SSL完成双向认证,即密钥服务器(SSL服务器端)对反向代理(SSL客户端)也进行认证,认证通过后,建立SSL加密通道。
客户端与反向代理在SSL协商过程中,涉及到服务器证书私钥的操作时,将数据通过加密通道发送给密钥服务器,由密钥服务器完成对应的处理,并将处理结果发送回反向代理。然后反向代理与客户端完成后续的SSL协商。
例如,对于RSA协商方式,反向代理将服务器证书公钥加密后的预密钥以及服务器证书公钥通过之前建立的SSL加密通道发送给密钥服务器,密钥服务器找到服务器证书公钥对应的服务器证书私钥对预密钥做解密处理,得到明文的预密钥,然后将明文预密钥发送给反向代理,反向代理使用明文预密钥生成会话密钥。
更具体的,完整的SSL协商流程为:客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给反向代理2;客户端使用预密钥计算会话密钥3;反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器4;密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥5;密钥服务器将解密后的预密钥发送给反向代理6;反向代理使用预密钥计算会话密钥7。
本发明方法有以下优点:1)将服务器证书私钥存放在服务器侧的密钥服务器中,避免反向代理中部署私钥,提高了私钥的安全性;2)反向代理与密钥服务器进行双向认证,并建立加密通道传输数据,避免反向代理仿冒以及数据窃听。
以上具体实施方式和附图仅为本发明之常用实施例。显然,在不脱离权利要求书所界定的本发明精神和发明范围的前提下可以有各种增补、修改和替换。本领域技术人员应该理解,本发明在实际应用中可根据具体的环境和工作要求在不背离发明准则的前提下在形式、结构、布局、比例、材料、元素、组件及其它方面有所变化。因此,在此披露之实施例仅用于说明而非限制,本发明之范围由后附权利要求及其合法等同物界定,而不限于此前之描述。

Claims (1)

1.一种客户端与服务器之间的通信方法,其特征在于,包括以下步骤:在服务器侧增设密钥服务器,在反向代理与密钥服务器间完成双向认证并建立加密通道(1);客户端生成预密钥,然后使用服务器证书中的公钥加密后,发送给反向代理(2);所述客户端使用预密钥计算会话密钥(3);反向代理接收到加密的预密钥后,通过加密通道将加密的预密钥发送给密钥服务器(4);密钥服务器接收到加密的预密钥后,使用服务器证书的私钥解密,得到原始预密钥(5);密钥服务器将解密后的预密钥发送给反向代理(6);反向代理使用预密钥计算会话密钥(7)。
CN201610247002.XA 2016-04-19 2016-04-19 一种客户端与服务器之间的通信方法 Active CN105763566B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610247002.XA CN105763566B (zh) 2016-04-19 2016-04-19 一种客户端与服务器之间的通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610247002.XA CN105763566B (zh) 2016-04-19 2016-04-19 一种客户端与服务器之间的通信方法

Publications (2)

Publication Number Publication Date
CN105763566A CN105763566A (zh) 2016-07-13
CN105763566B true CN105763566B (zh) 2018-11-30

Family

ID=56325367

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610247002.XA Active CN105763566B (zh) 2016-04-19 2016-04-19 一种客户端与服务器之间的通信方法

Country Status (1)

Country Link
CN (1) CN105763566B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666383B (zh) * 2016-07-29 2021-06-18 阿里巴巴集团控股有限公司 基于https协议的报文处理方法以及装置
JP6644037B2 (ja) * 2017-09-08 2020-02-12 株式会社東芝 通信制御システム
CN110190955B (zh) * 2019-05-27 2022-05-24 新华三信息安全技术有限公司 基于安全套接层协议认证的信息处理方法及装置
CN110489192B (zh) * 2019-08-13 2021-10-15 腾讯科技(深圳)有限公司 远程通信方法及装置、电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111349A (zh) * 2009-12-25 2011-06-29 上海格尔软件股份有限公司 安全认证网关
CN103139185A (zh) * 2011-12-02 2013-06-05 中科信息安全共性技术国家工程研究中心有限公司 一种实现安全反向代理服务的方法
CN103490881A (zh) * 2013-09-06 2014-01-01 广东数字证书认证中心有限公司 认证服务系统、用户认证方法、认证信息处理方法及系统
CN103532704A (zh) * 2013-10-08 2014-01-22 武汉理工大学 一种针对owa的电子邮件ibe加密系统
CN105007254A (zh) * 2014-04-17 2015-10-28 腾讯科技(深圳)有限公司 数据传输方法和系统、终端

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111349A (zh) * 2009-12-25 2011-06-29 上海格尔软件股份有限公司 安全认证网关
CN103139185A (zh) * 2011-12-02 2013-06-05 中科信息安全共性技术国家工程研究中心有限公司 一种实现安全反向代理服务的方法
CN103490881A (zh) * 2013-09-06 2014-01-01 广东数字证书认证中心有限公司 认证服务系统、用户认证方法、认证信息处理方法及系统
CN103532704A (zh) * 2013-10-08 2014-01-22 武汉理工大学 一种针对owa的电子邮件ibe加密系统
CN105007254A (zh) * 2014-04-17 2015-10-28 腾讯科技(深圳)有限公司 数据传输方法和系统、终端

Also Published As

Publication number Publication date
CN105763566A (zh) 2016-07-13

Similar Documents

Publication Publication Date Title
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
US11689359B2 (en) Methods and apparatus for quantum-resistant network communication
US8559640B2 (en) Method of integrating quantum key distribution with internet key exchange protocol
CN106878016A (zh) 数据发送、接收方法及装置
CN105721502A (zh) 一种用于浏览器客户端和服务器的授权访问方法
CN102148819B (zh) 防信息泄漏协同办公安全系统及方法
CN105763566B (zh) 一种客户端与服务器之间的通信方法
US20100031337A1 (en) Methods and systems for distributed security processing
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
CN103036880A (zh) 网络信息传输方法、设备及系统
CN104901803A (zh) 一种基于cpk标识认证技术的数据交互安全保护方法
CN112766962A (zh) 证书的接收、发送方法及交易系统、存储介质、电子装置
WO2017075134A1 (en) Key management for privacy-ensured conferencing
CN109800588A (zh) 条码动态加密方法及装置、条码动态解密方法及装置
CN111064738B (zh) 一种tls安全通信的方法及系统
CN108206738B (zh) 一种量子密钥输出方法及系统
CN102739719B (zh) 用户信息同步方法及其系统
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
CN108337084A (zh) 一种密钥分发系统、方法及装置
US8046820B2 (en) Transporting keys between security protocols
KR20140091221A (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN108848091A (zh) 一种用于即时通讯的混合加密方法
GB2543359A (en) Methods and apparatus for secure communication
CN103856463A (zh) 基于密钥交换协议的轻量目录访问协议实现方法和装置
CN113839786B (zh) 一种基于sm9密钥算法的密钥分发方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant