CN105871858A - 一种保证数据安全的方法及系统 - Google Patents
一种保证数据安全的方法及系统 Download PDFInfo
- Publication number
- CN105871858A CN105871858A CN201610236653.9A CN201610236653A CN105871858A CN 105871858 A CN105871858 A CN 105871858A CN 201610236653 A CN201610236653 A CN 201610236653A CN 105871858 A CN105871858 A CN 105871858A
- Authority
- CN
- China
- Prior art keywords
- data
- transmitted
- destination server
- client
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种保证数据安全的方法及系统,该方法,包括:预先在目标服务器上设置硬件安全模块HSM,在所述HSM中保存密钥材料;客户端接收所述目标服务器发来的所述密钥材料;所述客户端根据所述密钥材料对待传输数据进行加密;所述客户端将加密后的待传输数据发送给所述目标服务器,以使所述目标服务器根据所述HSM中的所述密钥材料对加密后的所述待传输数据进行解密。本发明提供了一种保证数据安全的方法及系统,能够提高数据的安全性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种保证数据安全的方法及系统。
背景技术
云计算是互联网时代的一种新型计算方式,自产生之日起就包含了众多信息技术,如并行计算技术、虚拟化技术、网络技术、信息安全管理技术及海量数据分布式存储技术等。云计算已逐渐成为许多国家的重要发展战略,世界各国政府都在指定相应的措施搭理推进本国云计算的建设和应用,但是云计算技术在创造机遇、带来巨大经济利益的同时,也带来了相应的安全挑战,如何保证云计算中数据传输的安全越来越受到重视。
现有技术中,发送方将待传输的数据通过密钥进行加密,将加密后的数据发送给接收方,接收方进行解密获得相应的数据。
但是,这种方式加密方式比较简单,一旦用于解密的密钥被截取,就能对加密后的数据进行解密,安全性较低。
发明内容
本发明实施例提供了一种保证数据安全的方法及系统,能够提高数据的安全性。
一方面,本发明实施例提供了一种保证数据安全的方法,包括:
预先在目标服务器上设置硬件安全模块HSM,在所述HSM中保存密钥材料;
S1:客户端接收所述目标服务器发来的所述密钥材料;
S2:所述客户端根据所述密钥材料对待传输数据进行加密;
S3:所述客户端将加密后的待传输数据发送给所述目标服务器,以使所述目标服务器根据所述HSM中的所述密钥材料对加密后的所述待传输数据进行解密。
进一步地,包括:
预先设置所述目标服务器的第一安全套接层SSL代理,预先设置所述客户端的第二SSL代理,所述第一SSL代理与所述第二SSL代理之间通过SSL协议进行交互;
所述S1,包括:所述客户端通过所述第二SSL代理接收所述目标服务器通过所述第一SSL代理发来的所述密钥材料;
所述S3,包括:
所述客户端通过所述第二SSL代理将加密后的待传输数据发送给所述目标服务器。
进一步地,在所述S1之前,还包括:
所述客户端向所述第二SSL代理发送与所述目标服务器建立连接的连接请求,以使所述第二SSL代理根据所述连接请求中的身份认证信息对所述客户端进行身份认证,通过认证后,根据所述连接请求中的所述目标服务器的身份信息与所述目标服务器的第一SSL代理建立连接,所述连接请求包括:所述客户端的身份认证信息、所述目标服务器的身份信息。
进一步地,所述S2,包括:
所述客户端对所述待传输数据进行加密,生成第一加密文件;
所述客户端根据所述密钥材料对用于解密所述第一加密文件的密钥信息进行加密,生成第二加密文件;
所述S3,包括:
所述客户端将所述第一加密文件和所述第二加密文件发送给所述目标服务器,以使所述目标服务器根据所述HSM中的所述密钥材料对所述第二加密文件进行解密,获取所述密钥信息,根据所述密钥信息对所述第一加密文件进行解密。
进一步地,还包括:
所述客户端对所述待传输数据进行散列,获取所述待传输数据的原始散列值,将所述原始散列值发送给所述目标服务器,以使所述目标服务器对解密出的待传输数据进行散列,获取解密出的待传输数据的当前散列值,比较所述原始散列值和所述当前散列值是否相同,如果是,则确定解密出的待传输数据有效,否则,确定解密出的待传输数据无效。
另一方面,本发明实施例提供了一种保证数据安全的系统,包括:
目标服务器、客户端;
所述目标服务器中设置有硬件安全模块HSM,所述HSM中保存有密钥材料;
所述目标服务器,用于向所述客户端发送所述HSM中的密钥材料,根据所述HSM中的所述密钥材料对加密后的所述待传输数据进行解密。
所述客户端,用于接收所述目标服务器发来的所述密钥材料,根据所述密钥材料对待传输数据进行加密,将加密后的待传输数据发送给所述目标服务器。
进一步地,还包括:
与所述目标服务器对应的第一安全套接层SSL代理;
与所述客户端对应的第二SSL代理;
所述第一SSL代理与所述第二SSL代理之间通过SSL协议进行交互;
所述目标服务器,用于将所述密钥材料发送给所述第一SSL代理,接收所述第一SSL代理发来的加密后的待传输数据;
所述第一SSL代理,用于将所述密钥材料发送给所述第二SSL代理,将所述第二SSL代理发来的加密后的待传输数据发送给所述目标服务器;
所述第二SSL代理,用于将所述密钥材料发送该所述客户端,将所述客户端发来的加密后的待传输数据发送给所述第一SSL代理;
所述客户端,用于接收所述第二SSL代理发来的所述密钥材料,将加密后的待传输数据发送给所述第二SSL代理。
进一步地,所述客户端,还用于向所述第二SSL代理发送与所述目标服务器建立连接的连接请求,所述连接请求包括:所述客户端的身份认证信息、所述目标服务器的身份信息;
所述第二SSL代理,还用于根据所述连接请求中的身份认证信息对所述客户端进行身份认证,通过认证后,根据所述连接请求中的所述目标服务器的身份信息与所述第一SSL代理建立连接。
进一步地,所述客户端,用于对所述待传输数据进行加密,生成第一加密文件,通过所述密钥材料对用于解密所述第一加密文件的密钥信息进行加密,生成第二加密文件,将所述第一加密文件和所述第二加密文件发送给所述目标服务器;
所述目标服务器,用于根据所述HSM中的所述密钥材料对所述第二加密文件进行解密,获取所述密钥信息,根据所述密钥信息对所述第一加密文件进行解密。
进一步地,所述客户端,还用于对所述待传输数据进行散列,获取所述待传输数据的原始散列值,将所述原始散列值发送给所述目标服务器;
所述目标服务器,还用于对解密出的待传输数据进行散列,获取解密出的待传输数据的当前散列值,比较所述原始散列值和所述当前散列值是否相同,如果是,则确定解密出的待传输数据有效,否则,确定解密出的待传输数据无效。
在本发明实施例中,客户端根据密钥材料来加密待传输数据,在进行解密时,需要HSM中的密钥材料才能解密,而密钥材料保存在HSM中,不容易被外部获取,使得加密后的待传输数据不容易被破解,提高了数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种保证数据安全的方法的流程图;
图2是本发明一实施例提供的另一种保证数据安全的方法的流程图;
图3是本发明一实施例提供的一种保证数据安全的系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种保证数据安全的方法,该方法可以包括以下步骤:
S0:预先在目标服务器上设置HSM(Hardware Security Module,硬件安全模块),在所述HSM中保存密钥材料;
S1:客户端接收所述目标服务器发来的所述密钥材料;
S2:所述客户端根据所述密钥材料对待传输数据进行加密;
S3:所述客户端将加密后的待传输数据发送给所述目标服务器,以使所述目标服务器根据所述HSM中的所述密钥材料对加密后的所述待传输数据进行解密。
在本发明实施例中,客户端根据密钥材料来加密待传输数据,在进行解密时,需要HSM中的密钥材料才能解密,而密钥材料保存在HSM中,不容易被外部获取,使得加密后的待传输数据不容易被破解,提高了数据的安全性。
为了进一步提高数据传输过程中的安全性,在本发明一实施例中,该方法包括:预先设置所述目标服务器的第一SSL代理,预先设置所述客户端的第二SSL代理,所述第一SSL代理与所述第二SSL代理之间通过SSL协议进行交互;
所述S1,包括:所述客户端通过所述第二SSL代理接收所述目标服务器通过所述第一SSL代理发来的所述密钥材料;
所述S3,包括:
所述客户端通过所述第二SSL代理将加密后的待传输数据发送给所述目标服务器。
在该实施例中,分别为目标服务器和客户端设置第一SSL代理和第二SSL代理,客户端与目标服务器之间的数据传输均通过代理来完成,按照SSL协议进行交互,通过SSL协议可以对客户端与目标服务器之间的传输的数据进行安全加密,进一步提高了客户端与目标服务器之间的数据传输的安全性。
在所述S1之前,还包括:所述客户端向所述第二SSL代理发送与所述目标服务器建立连接的连接请求,以使所述第二SSL代理根据所述连接请求中的身份认证信息对所述客户端进行身份认证,通过认证后,根据所述连接请求中的所述目标服务器的身份信息与所述目标服务器的第一SSL代理建立连接,所述连接请求包括:所述客户端的身份认证信息、所述目标服务器的身份信息。
在该实施例中,客户端可以通过CONNECT方法向第二SSL代理发送连接请求,第二SSL代理接收到连接请求后,根据身份认证信息确认该连接请求的有效性及该连接请求对应的客户端的权限等,如果确认该连接请求有效,客户端具有连接目标服务器的权限,则客户端通过认证。目标服务器的身份信息可以包括:目标服务器的主机名和端口号等。当第二SSL代理与第一SSL建立连接后,可以向客户返回一个连接成功的确认信号,例如:返回“200Connection established”给客户端。
为了进一步提高数据的安全性,在本发明一实施例中,所述S2,包括:
所述S2,包括:
所述客户端对所述待传输数据进行加密,生成第一加密文件;
所述客户端根据所述密钥材料对用于解密所述第一加密文件的密钥信息进行加密,生成第二加密文件;
所述S3,包括:
所述客户端将所述第一加密文件和所述第二加密文件发送给所述目标服务器,以使所述目标服务器根据所述HSM中的所述密钥材料对所述第二加密文件进行解密,获取所述密钥信息,根据所述密钥信息对所述第一加密文件进行解密。
具体地,所述客户端根据所述密钥材料对用于解密所述第一加密文件的密钥信息进行加密,生成第二加密文件,包括:所述客户端根据所述密钥材料生成HSM密钥;所述客户端通过所述HSM密钥对密钥信息进行加密,生成第二加密文件。
在该实施例中,对待传输数据进行加密后,再对密钥信息进行加密,使得密钥信息更加安全,由于根据密钥材料加密的第二加密文件需要通过目标服务器中的HSM中的密钥材料才能解密,而密钥材料有HSM进行硬件保护,安全性更高,这使得第二加密文件更加难以被破解,进而提高了待传输数据的安全性。
为了验证待传输数据在传输过程中是否被篡改,在本发明一实施例中,该方法还包括:所述客户端对所述待传输数据进行散列,获取所述待传输数据的原始散列值,将所述原始散列值发送给所述目标服务器,以使所述目标服务器对解密出的待传输数据进行散列,获取解密出的待传输数据的当前散列值,比较所述原始散列值和所述当前散列值是否相同,如果是,则确定解密出的待传输数据有效,否则,确定解密出的待传输数据无效。
在该实施例中,客户端和目标服务器可以通过MD2、MD4、MD5和SHA-1等算法对待传输数据进行散列。客户端和目标服务器采用相同的散列算法对待传输数据进行散列。当目标服务器计算出的当前散列值与原始散列值不同时,说明目标服务器接收到的待传输数据已经被篡改了,数据无效,目标服务器可以将该待传输数据丢弃,并向客户端发出报警信号,通知客户端目标服务器接收到的待传输数据无效;如果当前散列值与原始散列值相同,则可以将接收到的待传输数据上传到应用层。另外,该原始散列值可以由客户端通过密钥材料生成的密钥来加密,然后传输给目标服务器。
如图2所示,本发明实施例提供了一种保证数据安全的方法,在该实施例中,客户端为浏览器,目标服务器为在云环境中的服务器A,浏览器需要向服务器A发送数据A,该方法可以包括以下步骤:
步骤201:预先在服务器A上设置HSM,在HSM中保存密钥材料。
该HSM可以是TPM(Trusted Platform Module,可信赖平台模块)安全芯片,密钥材料可以是TPM安全芯片中的根密钥。HSM中还可以保存数字证书。也可以将数字证书作为密钥材料。HSM中还可以保存私钥,而该私钥与密钥材料相匹配,通过私钥可以解密根据密钥材料生成的HSM密钥。
步骤202:预先设置服务器A的第一SSL代理,预先设置浏览器的第二SSL代理,第一SSL代理与第二SSL代理之间通过SSL协议进行交互。
浏览器和服务器A之间交互都有对应的SSL代理来完成,通过SSL协议,可以增强浏览器和服务器A之间数据传输的安全性。
步骤203:浏览器向第二SSL代理发送与服务器A建立连接的连接请求,连接请求包括:浏览器的身份认证信息、服务器A的身份信息。
服务器A的身份信息可以是服务器A的唯一标识,用来确定服务器A。
步骤204:第二SSL代理根据连接请求中的身份认证信息对浏览器进行身份认证,通过认证后,根据连接请求中的服务器A的身份信息与服务器A的第一SSL代理建立连接。
通过对浏览器进行身份认证可以保证服务器A的安全,避免服务器A被非法入侵。
步骤205:服务器A获取HSM中的密钥材料,将密钥材料通过第一SSL代理发送给第二SSL代理。
步骤206:第二SSL代理接收第一SSL代理发来的密钥材料,将密钥材料发给浏览器。
步骤207:浏览器对数据A进行散列,生成数据A的散列值A,对数据A和散列值A进行加密,生成第一加密文件。
该加密可以通过对称加密完成。
步骤208:浏览器根据第二SSL代理发来的密钥材料对用于解密第一加密文件的密钥信息进行加密,生成第二加密文件。
密钥信息可以是解密第一加密文件的公钥,服务器端可以通过该公钥对应的私钥来解密。
步骤209:浏览器将第一加密文件和第二加密文件发送给第二SSL代理。
步骤210:第二SSL代理将浏览器发来的第一加密文件和第二加密文件发送给第一SSL代理。
步骤211:第一SSL代理将第二SSL代理发来的第一加密文件和第二加密文件发送给服务器A。
步骤212:服务器A获取HSM中的密钥材料,根据获取的密钥材料对第二加密文件进行解密,获取密钥信息,根据密钥信息对第一加密文件进行解密,获取数据A和散列值A。
服务器A在对第一加密文件解密时,可以通过与浏览器生成第一加密文件的加密算法相对应的解密算法来实现。
具体地,在HSM中还保存有密钥材料对应的私钥。根据获取的密钥材料对第二加密文件进行解密,包括:根据获取的密钥材料确定对应的私钥,通过该私钥对第二加密文件进行解密。
步骤213:服务器A对获取的数据A进行散列,生成散列值B,比较散列值A和散列值B是否相同,如果是,则确定解密出的数据A有效,否则,确定解密出的数据A无效。
服务器A生成散列值B的算法与浏览器生成散列值A的算法相同,例如都是MD5。
在本发明实施例中,通过第一SSL代理和第二SSL代理来加强密钥的安全性,通过HSM来保存密钥材料,HSM通过物理和逻辑方式,把密钥材料与使用的计算机和应用相隔离,避免了易受攻击的软件方式来保存密钥材料的风险,提高了密钥材料的安全性。在本发明实施例中,通过软件和硬件两方面对数据进行保护,提高了数据的安全性。
如图3所示,本实施例提供的一种保证数据安全的系统,包括:
目标服务器301、客户端302;
所述目标服务器301中设置有硬件安全模块HSM,所述HSM中保存有密钥材料;
所述目标服务器301,用于向所述客户端302发送所述HSM中的密钥材料,根据所述HSM中的所述密钥材料对加密后的所述待传输数据进行解密。
所述客户端302,用于接收所述目标服务器301发来的所述密钥材料,根据所述密钥材料对待传输数据进行加密,将加密后的待传输数据发送给所述目标服务器。
在本发明一实施例中,还包括:与所述目标服务器对应的第一安全套接层SSL代理;
与所述客户端对应的第二SSL代理;
所述第一SSL代理与所述第二SSL代理之间通过SSL协议进行交互;
所述目标服务器,用于将所述密钥材料发送给所述第一SSL代理,接收所述第一SSL代理发来的加密后的待传输数据;
所述第一SSL代理,用于将所述密钥材料发送给所述第二SSL代理,将所述第二SSL代理发来的加密后的待传输数据发送给所述目标服务器;
所述第二SSL代理,用于将所述密钥材料发送该所述客户端,将所述客户端发来的加密后的待传输数据发送给所述第一SSL代理;
所述客户端,用于接收所述第二SSL代理发来的所述密钥材料,将加密后的待传输数据发送给所述第二SSL代理。
在本发明一实施例中,所述客户端,还用于向所述第二SSL代理发送与所述目标服务器建立连接的连接请求,所述连接请求包括:所述客户端的身份认证信息、所述目标服务器的身份信息;
所述第二SSL代理,还用于根据所述连接请求中的身份认证信息对所述客户端进行身份认证,通过认证后,根据所述连接请求中的所述目标服务器的身份信息与所述第一SSL代理建立连接。
在本发明一实施例中,所述客户端,用于对所述待传输数据进行加密,生成第一加密文件,通过所述密钥材料对用于解密所述第一加密文件的密钥信息进行加密,生成第二加密文件,将所述第一加密文件和所述第二加密文件发送给所述目标服务器;
所述目标服务器,用于根据所述HSM中的所述密钥材料对所述第二加密文件进行解密,获取所述密钥信息,根据所述密钥信息对所述第一加密文件进行解密。
在本发明一实施例中,所述客户端,还用于对所述待传输数据进行散列,获取所述待传输数据的原始散列值,将所述原始散列值发送给所述目标服务器;
所述目标服务器,还用于对解密出的待传输数据进行散列,获取解密出的待传输数据的当前散列值,比较所述原始散列值和所述当前散列值是否相同,如果是,则确定解密出的待传输数据有效,否则,确定解密出的待传输数据无效。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例至少具有如下有益效果:
1、在本发明实施例中,客户端根据密钥材料来加密待传输数据,在进行解密时,需要HSM中的密钥材料才能解密,而密钥材料保存在HSM中,不容易被外部获取,使得加密后的待传输数据不容易被破解,提高了数据的安全性。
2、在本发明实施例中,分别为目标服务器和客户端设置第一SSL代理和第二SSL代理,客户端与目标服务器之间的数据传输均通过代理来完成,按照SSL协议进行交互,通过SSL协议可以对客户端与目标服务器之间的传输的数据进行安全加密,进一步提高了客户端与目标服务器之间的数据传输的安全性。
3、在本发明实施例中,对待传输数据进行加密后,再对密钥信息进行加密,使得密钥信息更加安全,由于根据密钥材料加密的第二加密文件需要通过目标服务器中的HSM中的密钥材料才能解密,而密钥材料有HSM进行硬件保护,安全性更高,这使得第二加密文件更加难以被破解,进而提高了待传输数据的安全性。
4、在本发明实施例中,通过第一SSL代理和第二SSL代理来加强密钥的安全性,通过HSM来保存密钥材料,HSM通过物理和逻辑方式,把密钥材料与使用的计算机和应用相隔离,避免了易受攻击的软件方式来保存密钥材料的风险,提高了密钥材料的安全性。在本发明实施例中,通过软件和硬件两方面对数据进行保护,提高了数据的安全性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种保证数据安全的方法,其特征在于,包括:
预先在目标服务器上设置硬件安全模块HSM,在所述HSM中保存密钥材料;
S1:客户端接收所述目标服务器发来的所述密钥材料;
S2:所述客户端根据所述密钥材料对待传输数据进行加密;
S3:所述客户端将加密后的待传输数据发送给所述目标服务器,以使所述目标服务器根据所述HSM中的所述密钥材料对加密后的所述待传输数据进行解密。
2.根据权利要求1所述的方法,其特征在于,包括:
预先设置所述目标服务器的第一安全套接层SSL代理,预先设置所述客户端的第二SSL代理,所述第一SSL代理与所述第二SSL代理之间通过SSL协议进行交互;
所述S1,包括:所述客户端通过所述第二SSL代理接收所述目标服务器通过所述第一SSL代理发来的所述密钥材料;
所述S3,包括:
所述客户端通过所述第二SSL代理将加密后的待传输数据发送给所述目标服务器。
3.根据权利要求2所述的方法,其特征在于,包括:
在所述S1之前,还包括:
所述客户端向所述第二SSL代理发送与所述目标服务器建立连接的连接请求,以使所述第二SSL代理根据所述连接请求中的身份认证信息对所述客户端进行身份认证,通过认证后,根据所述连接请求中的所述目标服务器的身份信息与所述目标服务器的第一SSL代理建立连接,所述连接请求包括:所述客户端的身份认证信息、所述目标服务器的身份信息。
4.根据权利要求1所述的方法,其特征在于,包括:
所述S2,包括:
所述客户端对所述待传输数据进行加密,生成第一加密文件;
所述客户端根据所述密钥材料对用于解密所述第一加密文件的密钥信息进行加密,生成第二加密文件;
所述S3,包括:
所述客户端将所述第一加密文件和所述第二加密文件发送给所述目标服务器,以使所述目标服务器根据所述HSM中的所述密钥材料对所述第二加密文件进行解密,获取所述密钥信息,根据所述密钥信息对所述第一加密文件进行解密。
5.根据权利要求1-4中任一所述的方法,其特征在于,还包括:
所述客户端对所述待传输数据进行散列,获取所述待传输数据的原始散列值,将所述原始散列值发送给所述目标服务器,以使所述目标服务器对解密出的待传输数据进行散列,获取解密出的待传输数据的当前散列值,比较所述原始散列值和所述当前散列值是否相同,如果是,则确定解密出的待传输数据有效,否则,确定解密出的待传输数据无效。
6.一种保证数据安全的系统,其特征在于,包括:
目标服务器、客户端;
所述目标服务器中设置有硬件安全模块HSM,所述HSM中保存有密钥材料;
所述目标服务器,用于向所述客户端发送所述HSM中的密钥材料,根据所述HSM中的所述密钥材料对加密后的所述待传输数据进行解密。
所述客户端,用于接收所述目标服务器发来的所述密钥材料,根据所述密钥材料对待传输数据进行加密,将加密后的待传输数据发送给所述目标服务器。
7.根据权利要求6所述的系统,其特征在于,还包括:
与所述目标服务器对应的第一安全套接层SSL代理;
与所述客户端对应的第二SSL代理;
所述第一SSL代理与所述第二SSL代理之间通过SSL协议进行交互;
所述目标服务器,用于将所述密钥材料发送给所述第一SSL代理,接收所述第一SSL代理发来的加密后的待传输数据;
所述第一SSL代理,用于将所述密钥材料发送给所述第二SSL代理,将所述第二SSL代理发来的加密后的待传输数据发送给所述目标服务器;
所述第二SSL代理,用于将所述密钥材料发送该所述客户端,将所述客户端发来的加密后的待传输数据发送给所述第一SSL代理;
所述客户端,用于接收所述第二SSL代理发来的所述密钥材料,将加密后的待传输数据发送给所述第二SSL代理。
8.根据权利要求7所述的系统,其特征在于,包括:
所述客户端,还用于向所述第二SSL代理发送与所述目标服务器建立连接的连接请求,所述连接请求包括:所述客户端的身份认证信息、所述目标服务器的身份信息;
所述第二SSL代理,还用于根据所述连接请求中的身份认证信息对所述客户端进行身份认证,通过认证后,根据所述连接请求中的所述目标服务器的身份信息与所述第一SSL代理建立连接。
9.根据权利要求6所述的系统,其特征在于,包括:
所述客户端,用于对所述待传输数据进行加密,生成第一加密文件,通过所述密钥材料对用于解密所述第一加密文件的密钥信息进行加密,生成第二加密文件,将所述第一加密文件和所述第二加密文件发送给所述目标服务器;
所述目标服务器,用于根据所述HSM中的所述密钥材料对所述第二加密文件进行解密,获取所述密钥信息,根据所述密钥信息对所述第一加密文件进行解密。
10.根据权利要求6-9中任一所述的系统,其特征在于,包括:
所述客户端,还用于对所述待传输数据进行散列,获取所述待传输数据的原始散列值,将所述原始散列值发送给所述目标服务器;
所述目标服务器,还用于对解密出的待传输数据进行散列,获取解密出的待传输数据的当前散列值,比较所述原始散列值和所述当前散列值是否相同,如果是,则确定解密出的待传输数据有效,否则,确定解密出的待传输数据无效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610236653.9A CN105871858A (zh) | 2016-04-15 | 2016-04-15 | 一种保证数据安全的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610236653.9A CN105871858A (zh) | 2016-04-15 | 2016-04-15 | 一种保证数据安全的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105871858A true CN105871858A (zh) | 2016-08-17 |
Family
ID=56633058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610236653.9A Pending CN105871858A (zh) | 2016-04-15 | 2016-04-15 | 一种保证数据安全的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105871858A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088889A (zh) * | 2018-10-16 | 2018-12-25 | 深信服科技股份有限公司 | 一种ssl加解密方法、系统及计算机可读存储介质 |
| CN109547567A (zh) * | 2018-12-25 | 2019-03-29 | 北京市天元网络技术股份有限公司 | 代理连接方法和装置 |
| CN110071933A (zh) * | 2019-04-28 | 2019-07-30 | 深圳前海微众银行股份有限公司 | 安全套接层加速方法、装置、设备及可读存储介质 |
| CN111737770A (zh) * | 2020-05-29 | 2020-10-02 | 宁波三星医疗电气股份有限公司 | 一种密钥管理方法及应用 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1359074A (zh) * | 2001-11-29 | 2002-07-17 | 上海格尔软件股份有限公司 | 具有mime数据类型过滤技术的ssl代理方法 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN102812482A (zh) * | 2010-03-30 | 2012-12-05 | 维萨国际服务协会 | 带有对于有效性和访问控制的数据字段加密的事件访问 |
| CN102833246A (zh) * | 2012-08-24 | 2012-12-19 | 南京大学 | 一种社交视频信息安全方法与系统 |
| CN103179086A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 数据的远程存储处理方法与系统 |
| CN104081711A (zh) * | 2011-12-16 | 2014-10-01 | 阿卡麦科技公司 | 在不用局部可访问的私有密钥的情况下终止ssl连接 |
| CN104935553A (zh) * | 2014-03-19 | 2015-09-23 | 北京安讯奔科技有限责任公司 | 统一身份认证平台及认证方法 |
-
2016
- 2016-04-15 CN CN201610236653.9A patent/CN105871858A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1359074A (zh) * | 2001-11-29 | 2002-07-17 | 上海格尔软件股份有限公司 | 具有mime数据类型过滤技术的ssl代理方法 |
| CN102812482A (zh) * | 2010-03-30 | 2012-12-05 | 维萨国际服务协会 | 带有对于有效性和访问控制的数据字段加密的事件访问 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN104081711A (zh) * | 2011-12-16 | 2014-10-01 | 阿卡麦科技公司 | 在不用局部可访问的私有密钥的情况下终止ssl连接 |
| CN103179086A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 数据的远程存储处理方法与系统 |
| CN102833246A (zh) * | 2012-08-24 | 2012-12-19 | 南京大学 | 一种社交视频信息安全方法与系统 |
| CN104935553A (zh) * | 2014-03-19 | 2015-09-23 | 北京安讯奔科技有限责任公司 | 统一身份认证平台及认证方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088889A (zh) * | 2018-10-16 | 2018-12-25 | 深信服科技股份有限公司 | 一种ssl加解密方法、系统及计算机可读存储介质 |
| CN109547567A (zh) * | 2018-12-25 | 2019-03-29 | 北京市天元网络技术股份有限公司 | 代理连接方法和装置 |
| CN109547567B (zh) * | 2018-12-25 | 2021-10-22 | 北京市天元网络技术股份有限公司 | 代理连接方法和装置 |
| CN110071933A (zh) * | 2019-04-28 | 2019-07-30 | 深圳前海微众银行股份有限公司 | 安全套接层加速方法、装置、设备及可读存储介质 |
| CN110071933B (zh) * | 2019-04-28 | 2021-11-12 | 深圳前海微众银行股份有限公司 | 安全套接层加速方法、装置、设备及可读存储介质 |
| CN111737770A (zh) * | 2020-05-29 | 2020-10-02 | 宁波三星医疗电气股份有限公司 | 一种密钥管理方法及应用 |
| CN111737770B (zh) * | 2020-05-29 | 2023-04-28 | 宁波三星医疗电气股份有限公司 | 一种密钥管理方法及应用方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10652015B2 (en) | Confidential communication management | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| CN105550600B (zh) | 针对经加密的数据的基于社区的重复删除 | |
| CN103138939B (zh) | 云存储模式下基于可信平台模块的密钥使用次数管理方法 | |
| US10680816B2 (en) | Method and system for improving the data security during a communication process | |
| CN105100076A (zh) | 一种基于USB Key的云数据安全系统 | |
| CN110958219B (zh) | 一种面向医疗云共享数据的sm2代理重加密方法与装置 | |
| CN106790090A (zh) | 基于ssl的通信方法、装置及系统 | |
| US11316671B2 (en) | Accelerated encryption and decryption of files with shared secret and method therefor | |
| CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| CN104424446A (zh) | 一种安全认证和传输的方法和系统 | |
| CN107483388A (zh) | 一种安全通信方法及其终端和云端 | |
| CN105871858A (zh) | 一种保证数据安全的方法及系统 | |
| KR20240013292A (ko) | 데이터 보호 및 복구 시스템 및 방법 | |
| Lai et al. | Secure file storage on cloud using hybrid cryptography | |
| Hussien et al. | Scheme for ensuring data security on cloud data storage in a semi-trusted third party auditor | |
| CN106257859A (zh) | 一种密码使用方法 | |
| KR101929355B1 (ko) | 고유 일련번호 및 대칭키를 이용한 암복호화 시스템 | |
| CN104580129A (zh) | 一种基于流处理的ssl异步代理方法 | |
| JP5932709B2 (ja) | 送信側装置および受信側装置 | |
| Abbdal et al. | Secure third party auditor for ensuring data integrity in cloud storage | |
| Thewar et al. | CARS: A Hybrid Security Approach to Secure Cloud Data Through Mobile Devices | |
| Dodd | Cryptocraft Ltd. matthew@ cryptocraft. co. uk |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160817 |
|
| WD01 | Invention patent application deemed withdrawn after publication |