CN106941401A - 加速设备以及基于加速设备获取会话秘钥的方法 - Google Patents
加速设备以及基于加速设备获取会话秘钥的方法 Download PDFInfo
- Publication number
- CN106941401A CN106941401A CN201710181646.8A CN201710181646A CN106941401A CN 106941401 A CN106941401 A CN 106941401A CN 201710181646 A CN201710181646 A CN 201710181646A CN 106941401 A CN106941401 A CN 106941401A
- Authority
- CN
- China
- Prior art keywords
- client
- service end
- key
- acceleration equipment
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于加速设备获取会话秘钥的方法,该方法包括:位于客户端与服务端之间的加速设备拦截客户端与服务端之间的ssl握手信息;加速设备根据存储的服务器私钥以及拦截到的握手信息计算客户端与服务端之间协商出的会话秘钥;加速设备存储会话秘钥,以供加速设备基于会话秘钥对客户端与服务端之间加密传输的数据进行解密和加密。本发明还提出一种加速设备。本发明解决了现有加速ssl应用技术中采用加速设备分别作为代理客户端与代理服务端和真实的服务器与客户端进行ssl握手时导致传输客户端与服务端之间的数据时引起的数据流变化从而影响应用正常访问的技术问题。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种加速设备以及基于加速设备获取会话秘钥的方法。
背景技术
数据压缩是广域网加速的基本手段之一,经过ssl(Secure Sockets Layer,安全套接层)加密的数据如果想要通过数据压缩来获得加速效果,那么必须先对数据进行解密。
目前加速ssl加密数据常用的方法是,参照图1所示,客户端处的加速设备代理服务端与真实的客户端建立ssl连接1,服务端处的加速设备代理客户端与真实的服务端建立ssl连接2,这样就把原始的客户端与服务端之间的一条ssl连接拆为了两条ssl连接,而不同的ssl连接协商出的会话秘钥是不一样的,也就是说,客户端与代理服务端的加速设备之间协商出会话秘钥A,服务端与代理客户端的加速设备之间协商出会话秘钥B,两台加速设备在接收到加密数据时,分别需要通过各自的会话秘钥将数据解密后,再压缩传输,这就导致客户端和服务端收发的解密前数据流发生了改变,即服务端接收到的解密前的数据流与客户端发出的解密前的数据流不一致,此时,如果服务端上的应用要校验解密前数据流,或者要校验协商出的会话秘钥时就会出现校验失败的现象,从而导致应用访问异常。
发明内容
本发明提供一种加速设备以及基于加速设备获取会话秘钥的方法,其主要目的在于解决现有加速ssl应用技术中采用加速设备分别作为代理客户端与代理服务端和真实的服务器与客户端进行ssl握手时导致传输客户端与服务端之间的数据时引起的数据流变化从而影响应用正常访问的技术问题。
为实现上述目的,本发明提供一种基于加速设备获取会话秘钥的方法,该基于加速设备获取会话秘钥的方法包括:
位于客户端与服务端之间的加速设备拦截所述客户端与所述服务端之间的ssl握手信息;
所述加速设备根据存储的服务器私钥以及拦截到的所述握手信息计算所述客户端与所述服务端之间协商出的会话秘钥;
所述加速设备存储所述会话秘钥,以供所述加速设备基于所述会话秘钥对所述客户端与所述服务端之间加密传输的数据进行解密和加密。
可选地,所述加速设备根据拦截到的所述握手信息获取所述客户端与所述服务端之间协商出的会话秘钥的步骤包括:
所述加速设备解析所述握手信息获取客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥;
基于获取到的所述客户端随机数、服务端随机数、ssl版本、ssl加密套件和加密后的预主秘钥,以及所述服务器私钥,基于ssl的RFC文档计算出所述会话秘钥。
可选地,所述位于客户端与服务端之间的加速设备拦截所述客户端与所述服务端之间的ssl握手信息的步骤包括:
所述加速设备获取所述客户端向所述服务端发起ssl握手请求的请求信息,从所述请求信息中获取所述客户端随机数;
在拦截到所述服务端对所述ssl握手请求的响应信息时,从所述响应信息中获取所述服务端随机数、所述ssl版本和所述ssl加密套件;
所述加速设备获取所述客户端在接收到所述响应信息后向所述服务端发送的秘钥交换信息,从所述秘钥交换信息中获取所述加密后的预主秘钥。
可选地,所述加速设备包括与所述客户端通信的第一加速设备,以及与所述服务端通信的第二加速设备;
所述加速设备存储所述会话秘钥的步骤之后,所述基于加速设备获取会话秘钥的方法还包括:
所述第一加速设备在接收到所述客户端发送的加密后的数据时,通过所述会话秘钥将所述数据解密,并将解密后的所述数据压缩处理后发送至所述第二加速设备,所述第二加速设备将压缩处理后的所述数据解压缩后,基于所述会话秘钥将解压缩后的所述数据加密后发送至所述服务端;
或者,所述第二加速设备在接收到所述服务端发送的加密后的数据时,通过所述会话秘钥将所述数据解密,并将解密后的所述数据压缩处理后发送至所述第一加速设备,所述第一加速设备将压缩处理后的所述数据解压缩后,基于所述会话秘钥将解压缩后的所述数据加密后发送至所述客户端。
可选地,所述会话秘钥包括服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量。
此外,为实现上述目的,本发明还提供一种加速设备,该加速设备包括:
数据拦截模块,用于拦截所述客户端与所述服务端之间的ssl握手信息,所述加速设备连接于所述客户端与所述服务端之间;
秘钥计算模块,用于根据存储的服务器私钥以及拦截到的所述握手信息计算所述客户端与所述服务端之间协商出的会话秘钥;
秘钥存储模块,用于存储所述会话秘钥,以供所述加速设备基于所述会话秘钥对所述客户端与所述服务端之间加密传输的数据进行解密和加密。
可选地,所述秘钥计算模块还用于:解析所述握手信息获取客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥;以及,基于获取到的所述客户端随机数、服务端随机数、ssl版本、ssl加密套件和加密后的预主秘钥,以及所述服务器私钥,基于ssl的RFC文档计算出所述会话秘钥。
可选地,所述数据拦截模块用于:获取所述客户端向所述服务端发起ssl握手请求的请求信息,从所述请求信息中获取所述客户端随机数;在拦截到所述服务端对所述ssl握手请求的响应信息时,从所述响应信息中获取所述服务端随机数、所述ssl版本和所述ssl加密套件;以及,获取所述客户端在接收到所述响应信息后向所述服务端发送的秘钥交换信息,从所述秘钥交换信息中获取所述加密后的预主秘钥。
可选地,所述加速设备包括与所述客户端通信的第一加速设备,以及与所述服务端通信的第二加速设备;所述第一加速设备包括第一解密模块、第一压缩模块、第一解压缩模块以及第一加密模块;所述第二加速设备包括第二解密模块、第二压缩模块、第二解压缩模块以及第二加密模块
所述第一解密模块用于:在接收到所述客户端发送的加密后的数据时,通过所述会话秘钥将所述数据解密;
所述第一压缩模块用于:将解密后的所述数据压缩处理后发送至所述第二加速设备,所述第二解压缩模块将压缩处理后的所述数据解压缩后,通过第二加密模块基于所述会话秘钥将解压缩后的所述数据加密后发送至所述服务端;
所述第二解密模块用于:在接收到所述服务端发送的加密后的数据时,通过所述会话秘钥将所述数据解密;
所述第二压缩模块用于:将解密后的所述数据压缩处理后发送至所述第一加速设备,所述第一解压缩模块将压缩处理后的所述数据解压缩后,通过第一加密模块基于所述会话秘钥将解压缩后的所述数据加密后发送至所述客户端。
可选地,所述会话秘钥包括服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量。
本发明提出的加速设备以及基于加速设备获取会话秘钥的方法,通过位于客户端与服务端之间的加速设备拦截客户端与服务端之间的ssl握手信息,并对ssl握手信息进行解析,并结合存储的服务器私钥计算出客户端与服务端之间协商出的会话秘钥并存储所述会话秘钥,客户端与服务端之间的数据在通过加速设备进行压缩传输时,可以通过会话秘钥对加密传输的数据进行加密和解密,采用这样的方式,客户端与加速设备以及服务端之间实际上只建立了一条ssl连接,该条ssl连接产生了一个会话秘钥,因此,在数据压缩传输的过程中不会改变原始数据流,如果服务端上的应用要校验解密前数据流,或者要校验协商出的会话秘钥时,可以成功校验,即应用可以成功访问,解决了现有加速ssl应用技术中采用加速设备分别作为代理服务端与代理客户端和真实的服务器与客户端进行ssl握手时导致传输客户端与服务端之间的数据时引起的数据流变化从而影响应用正常访问的技术问题。
附图说明
图1为现有技术中客户端、服务端以及加速设备之间的通信连接示意图;
图2为本发明基于加速设备获取会话秘钥的方法第一实施例的流程图;
图3为本发明基于加速设备获取会话秘钥的方法第一实施例中客户端、服务端以及加速设备之间的通信连接示意图;
图4为本发明基于加速设备获取会话秘钥的方法第一实施例中拦截握手信息的过程的示意图;
图5为本发明加速设备第一实施例的功能模块示意图;
图6为本发明加速设备第二实施例中第一加速设备的功能模块示意图;
图7为本发明加速设备第二实施例中第二加速设备的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种基于加速设备获取会话秘钥的方法。参照图2所示,为本发明基于加速设备获取会话秘钥的方法第一实施例的流程图。
在本实施例中,该基于加速设备获取会话秘钥的方法包括:
步骤S10,位于客户端与服务端之间的加速设备拦截所述客户端与所述服务端之间的ssl握手信息。
步骤S20,所述加速设备根据存储的服务器私钥以及拦截到的所述握手信息计算所述客户端与所述服务端之间协商出的会话秘钥。
参照图3所示,为本实施例中客户端、服务端以及加速设备之间的通信连接示意图。该实施例中分别为客户端以及服务端提供一台加速设备用于他们之间的数据压缩传输,包括客户端处的客户端加速设备以及服务端处的服务端加速设备,这两台设备之间进行数据的压缩传输,客户端与服务端之间建立一条ssl连接,产生一个会话秘钥C,以下实施例中所述的会话秘钥均是指会话秘钥C。在该实施例中,可以由客户端加速设备或者服务端加速设备中的任意一台设备拦截ssl握手信息并解析获取到会话秘钥后传输给另一台,或者可以由两台设备同时进行拦截并各自进行解析获取会话秘钥。以下以两台设备同时进行ssl握手信息的拦截为例进行说明。
客户端与服务端之间进行ssl会话之前,会先基于ssl协议进行握手,握手的过程中产生握手信息。预先在加速设备中导入ssl证书,基于该ssl证书获取服务器私钥并预先存储在加速设备中,加速设备可以在客户端与服务端进行握手时拦截握手信息,结合存储的服务器私钥和拦截到的握手信息计算出会话密钥。
具体地,步骤S10可以包括如下细化步骤:所述加速设备解析所述握手信息获取客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥;基于获取到的所述客户端随机数、服务端随机数、ssl版本、ssl加密套件和加密后的预主秘钥,以及所述服务器私钥,基于ssl的RFC(Reque st For Comments,请求测评)文档计算出所述会话秘钥,具体地,根据上述获取到的各个参数、服务器私钥以及ssl的RFC文档中公布的方法计算出会话秘钥。
一般完整的握手过程为:客户端向服务端发起ssl握手请求,请求信息为client_hello,服务端接收到client_hello时,向客户端返回响应信息,包括ser ver_hello、certificate、server_hello_done;客户端在接收到响应信息后,向服务端发送一个秘钥交换信息,即client_key_exchange,以与服务端协商会话秘钥;最后,客户端再发送一个加密指示信息,即change_cipher_spec,以告知服务端从现在开始发送的消息都是加密过的,最后,服务端向客户端发送一个完成信息,即Finishd,该信息包含了前面所有握手信息的哈希值,可以让客户端验证握手过程是否被第三方篡改,完成握手过程。
加速设备拦截的握手信息包括:请求信息、响应信息以及秘钥交换信息,即client_hello、server_hello、certificate、server_hello_done以及client_key_exchange。在拦截得到这些信息后,进行解析获取到客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥,然后根据ssl的RFC文档计算出所述会话秘钥,该会话秘钥就是客户端与服务端后续会话过程中使用的数据加密秘钥。
具体地,拦截握手信息的过程参照图4所示,客户端发送client_hello给服务端,客户端加速设备收到client_hello时,记录下数据包中的客户端随机数,然后把client_hello发送给服务端加速设备,服务端加速设备收到client_hello,记录下数据包中的客户端随机数,把client_hello发送给服务端。
服务端发送server_hello、certificate、server_hello_done给客户端,服务端加速设备收到server_hello、certificate、server_hello_done,记录下数据包中的服务端随机数、ssl版本、ssl算法套件,把server_hello发送给客户端加速设备,客户端加速设备收到server_hello、certificate、server_hello_done,记录下数据包中的服务端随机数、ssl版本、ssl算法套件,把server_hello、certificat e、server_hello_done发送给客户端。
客户端发送client_key_exchange给服务端,客户端加速设备收到client_k ey_exchange,记录下数据包中加密后的预主密钥,把client_key_exchange发送给服务端加速设备,服务端加速设备收到client_key_exchange,记录下数据包中加密后的预主密钥,把client_key_exchange发送给服务端。
客户端发送change_cipher_spec给服务端,客户端加速设备收到change_cipher_spec,根据前面记录的客户端随机数、服务端随机数、ssl版本、ssl加密套件、加密后的预主密钥计算出加密、解密原始数据需要的服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量,把change_cipher_spec发送给服务端加速设备,服务端加速设备收到change_cipher_spec,和客户端加速设备做一样的操作后change_cipher_spec发送给服务端。
上述计算得到的服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量构成所述会话秘钥。其中,客户端加速设备使用客户端验证密钥、客户端加密密钥、客户端初始化向量进行数据的解密,服务端加速设备使用服务端验证密钥、服务端加密密钥、服务端初始化向量进行数据的解密,服务端加速设备使用客户端验证密钥、客户端加密密钥、客户端初始化向量进行数据的加密,客户端加速设备使用服务端验证密钥、服务端加密密钥、服务端初始化向量进行数据的加密。
步骤S30,所述加速设备存储所述会话秘钥,以供所述加速设备基于所述会话秘钥对所述客户端与所述服务端之间加密传输的数据进行解密和加密。
加速设备在获取到上述会话秘钥后进行存储,并在客户端与服务端后续的数据传输过程中,使用该会话秘钥对压缩前的数据进行解密操作、对解压缩后的数据进行加密操作。
此外,如果客户端与服务端之间建立的通信协议支持会话秘钥的复用,则存储的会话秘钥可以在多次会话中重复使用,例如HTTPS,其全称为Hyper Text TransferProtocol over Secure Socket Layer,是以安全为目标的超文本传输协议通道,可以支持会话秘钥的复用,在其他不支持会话秘钥的复用的情况下,加速设备需要对于每一次握手进行握手信息的拦截,并解析获取相应的会话秘钥。
本实施例提出的基于加速设备获取会话秘钥的方法,通过位于客户端与服务端之间的加速设备拦截客户端与服务端之间的ssl握手信息,并对ssl握手信息进行解析,并结合存储的服务器私钥计算出客户端与服务端之间协商出的会话秘钥并存储所述会话秘钥,客户端与服务端之间的数据在通过加速设备进行压缩传输时,可以通过会话秘钥对加密传输的数据进行加密和解密,采用这样的方式,客户端与加速设备以及服务端之间实际上只建立了一条ssl连接,该条ssl连接产生了一个会话秘钥,因此,在数据压缩传输的过程中不会改变原始数据流,如果服务端上的应用要校验解密前数据流,或者要校验协商出的会话秘钥时,可以成功校验,即应用可以成功访问,解决了现有加速ssl应用技术中采用加速设备分别作为代理客户端与代理服务端和真实的服务器与客户端进行ssl握手时导致传输客户端与服务端之间的数据引起的数据流变化从而影响应用正常访问的技术问题。
基于第一实施例提出本发明基于加速设备获取会话秘钥的方法的第二实施例。在本实施例中,所述加速设备包括与所述客户端通信的第一加速设备,以及与所述服务端通信的第二加速设备;在步骤S30之后,该基于加速设备获取会话秘钥的方法还包括:
所述第一加速设备在接收到所述客户端发送的加密后的数据时,通过所述会话秘钥将所述数据解密,并将解密后的所述数据压缩处理后发送至所述第二加速设备;所述第二加速设备将压缩处理后的所述数据解压缩后,基于所述会话秘钥将解压缩后的所述数据加密后发送至所述服务端;
或者,所述第二加速设备在接收到所述服务端发送的加密后的数据时,通过所述会话秘钥将所述数据解密,并将解密后的所述数据压缩处理后发送至所述第一加速设备;所述第一加速设备将压缩处理后的所述数据解压缩后,基于所述会话秘钥将解压缩后的所述数据加密后发送至所述客户端。
在该实施例中,第一加速设备为客户端加速设备,第二加速设备为服务端加速设备。在客户端与服务端之间的数据压缩传输的过程中,会有加密后的数据的相互传输:客户端发送加密后的数据给服务端,客户端加速设备收到加密后的数据,用前面计算出的客户端验证密钥、客户端加密密钥、客户端初始化向量解密数据,把解密后的数据压缩处理后发送给服务端加速设备,服务端加速设备收到数据后先解压缩处理,然后用前面计算出的客户端验证密钥、客户端加密密钥、客户端初始化向量把解压缩后的数据重新加密,把加密后的数据发送给服务端;服务端发送加密后的数据给客户端,服务端加速设备收到加密后的数据,用前面计算出的服务端验证密钥、服务端加密密钥、服务端初始化向量解密数据,把解密后的数据压缩处理后发送给客户端加速设备,客户端加速设备收到数据后先解压缩处理,然后用前面计算出的服务端验证密钥、服务端加密密钥、服务端初始化向量把解压缩得到的数据重新加密处理,把加密后的数据发送给客户端。
在上述过程中,客户端加速设备与加速设备解密前的数据流是一样的,未发生改变,实现了在不修改原始数据流的情况下,对ssl加密数据进行解密,对解密的数据进行压缩,从而获得加速效果。
此外,本发明提出的方法中,还可以根据使用了ssl的应用是否需要进行上层校验,采用不同的解密方式,对于需要进行上层校验的应用来说,可以采用本发明提出这种建立单条ssl连接的方式对ssl数据解密,对于不需要上层校验的应用来说,可以采用现有的通过两台加速设备代理客户端与服务端,分别与真实的服务端和客户端建立两条ssl连接的方式对ssl数据解密。可以预先配置应用识别表,在该应用识别表中为不同的应用配置不同的解密方式,将该应用识别表存储在设备内。
本发明还提出一种加速设备。
参照图5所示,为本发明加速设备第一实施例的功能模块示意图。
在该实施例中,该加速设备包括:
数据拦截模块10,用于拦截所述客户端与所述服务端之间的ssl握手信息,所述加速设备连接于所述客户端与所述服务端之间;
秘钥计算模块20,用于根据存储的服务器私钥以及拦截到的所述握手信息计算所述客户端与所述服务端之间协商出的会话秘钥。
参照图3所示,为本实施例中客户端、服务端以及加速设备之间的通信连接示意图。该实施例中分别为客户端以及服务端提供一台加速设备用于他们之间的数据压缩传输,包括客户端处的客户端加速设备以及服务端处的服务端加速设备,这两台设备之间进行数据的压缩传输,客户端与服务端之间建立一条ssl连接,产生一个会话秘钥C,以下实施例中所述的会话秘钥均是指会话秘钥C。本实施例提出的加速设备可以是客户端加速设备,也可以是服务端加速设备。在该实施例中,可以由客户端加速设备或者服务端加速设备中的任意一台设备拦截ssl握手信息并解析获取到会话秘钥后传输给另一台,或者可以由两台设备同时进行拦截并各自进行解析获取会话秘钥。以下以两台设备同时进行ssl握手信息的拦截为例进行说明。
客户端与服务端之间进行ssl会话之前,会先基于ssl协议进行握手,握手的过程中产生握手信息。预先在加速设备中导入ssl证书,基于该ssl证书获取服务器私钥并预先存储在加速设备中,加速设备可以在客户端与服务端进行握手时拦截握手信息,结合存储的服务器私钥和拦截到的握手信息计算出会话密钥。
具体地,秘钥计算模块20还用于:解析所述握手信息获取客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥;以及,基于获取到的所述客户端随机数、服务端随机数、ssl版本、ssl加密套件和加密后的预主秘钥,以及所述服务器私钥,基于ssl的RFC(Request For Comments,请求测评)文档计算出所述会话秘钥,具体地,根据上述获取到的各个参数、服务器私钥以及ssl的RFC文档中公布的方法计算出会话秘钥。
一般完整的握手过程为:客户端向服务端发起ssl握手请求,请求信息为client_hello,服务端接收到client_hello时,向客户端返回响应信息,包括ser ver_hello、certificate、server_hello_done;客户端在接收到响应信息后,向服务端发送一个秘钥交换信息,即client_key_exchange,以与服务端协商会话秘钥;最后,客户端再发送一个加密指示信息,即change_cipher_spec,以告知服务端从现在开始发送的消息都是加密过的,最后,服务端向客户端发送一个完成信息,即Finishd,该信息包含了前面所有握手信息的哈希值,可以让客户端验证握手过程是否被第三方篡改,完成握手过程。
加速设备的数据拦截模块10拦截的握手信息包括:请求信息、响应信息以及秘钥交换信息,即client_hello、server_hello、certificate、server_hello_do ne以及client_key_exchange。在拦截得到这些信息后,进行解析获取到客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥,然后根据ssl的RFC文档计算出所述会话秘钥,该会话秘钥就是客户端与服务端后续会话过程中使用的数据加密秘钥。
具体地,拦截握手信息的过程参照图4所示,客户端发送client_hello给服务端,客户端加速设备收到client_hello时,记录下数据包中的客户端随机数,然后把client_hello发送给服务端加速设备,服务端加速设备收到client_hello,记录下数据包中的客户端随机数,把client_hello发送给服务端。
服务端发送server_hello、certificate、server_hello_done给客户端,服务端加速设备收到server_hello、certificate、server_hello_done,记录下数据包中的服务端随机数、ssl版本、ssl算法套件,把server_hello发送给客户端加速设备,客户端加速设备收到server_hello、certificate、server_hello_done,记录下数据包中的服务端随机数、ssl版本、ssl算法套件,把server_hello、certificat e、server_hello_done发送给客户端。
客户端发送client_key_exchange给服务端,客户端加速设备收到client_k ey_exchange,记录下数据包中加密后的预主密钥,把client_key_exchange发送给服务端加速设备,服务端加速设备收到client_key_exchange,记录下数据包中加密后的预主密钥,把client_key_exchange发送给服务端。
客户端发送change_cipher_spec给服务端,客户端加速设备收到change_cipher_spec,根据前面记录的客户端随机数、服务端随机数、ssl版本、ssl加密套件、加密后的预主密钥计算出加密、解密原始数据需要的服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量,把change_cipher_spec发送给服务端加速设备,服务端加速设备收到change_cipher_spec,和客户端加速设备做一样的操作后change_cipher_spec发送给服务端。
秘钥计算模块20计算得到的服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量构成所述会话秘钥。其中,客户端加速设备使用客户端验证密钥、客户端加密密钥、客户端初始化向量进行数据的解密,服务端加速设备使用服务端验证密钥、服务端加密密钥、服务端初始化向量进行数据的解密,客户端加速设备使用服务端验证密钥、服务端加密密钥、服务端初始化向量进行数据的加密,服务端加速设备使用客户端验证密钥、客户端加密密钥、客户端初始化向量进行数据的加密。
秘钥存储模块30,用于存储所述会话秘钥,以供所述加速设备基于所述会话秘钥对所述客户端与所述服务端之间加密传输的数据进行解密和加密。
加速设备在获取到上述会话秘钥后,秘钥存储模块30存储会话秘钥,并在客户端与服务端后续的数据传输过程中,由加速设备使用该会话秘钥对压缩前的数据进行解密操作、对解压缩后的数据进行加密操作。
此外,如果客户端与服务端之间建立的通信协议支持会话秘钥的复用,则存储的会话秘钥可以在多次会话中重复使用,例如HTTPS,其全称为Hyper Text TransferProtocol over Secure Socket Layer,是以安全为目标的超文本传输协议通道,可以支持会话秘钥的复用,在其他不支持会话秘钥的复用的情况下,加速设备需要对于每一次握手进行握手信息的拦截,并解析获取相应的会话秘钥。
本实施例通过位于客户端与服务端之间的加速设备拦截客户端与服务端之间的ssl握手信息,并对ssl握手信息进行解析,并结合存储的服务器私钥计算出客户端与服务端之间协商出的会话秘钥并存储所述会话秘钥,客户端与服务端之间的数据在通过加速设备进行压缩传输时,可以通过会话秘钥对加密传输的数据进行加密和解密,采用这样的方式,客户端与加速设备以及服务端之间实际上只建立了一条ssl连接,该条ssl连接产生了一个会话秘钥,因此,在数据压缩传输的过程中不会改变原始数据流,如果服务端上的应用要校验解密前数据流,或者要校验协商出的会话秘钥时,可以成功校验,即应用可以成功访问,解决了现有加速ssl应用技术中采用加速设备分别作为代理客户端与代理服务端和真实的服务器与客户端进行ssl握手时导致传输客户端与服务端之间的数据时引发的数据流变化从而影响应用正常访问的技术问题。
基于第一实施例提出本发明加速设备的第二实施例。在本实施例中,参照图6所示,加速设备包括与客户端通信的第一加速设备,以及与服务端通信的第二加速设备;第一加速设备还包括第一解密模块40、第一压缩模块50、第一解压缩模块60以及第一加密模块70;第二加速设备还包括第二解密模块80、第二压缩模块90、第二解压缩模块100以及第二加密模块110。
第一解密模块40用于:在接收到所述客户端发送的加密后的数据时,通过所述会话秘钥将所述数据解密;
第一压缩模块50用于:将解密后的所述数据压缩处理后发送至所述第二加速设备,第二解压缩模块100将压缩处理后的所述数据解压缩后,通过第二加密模块110基于所述会话秘钥将解压缩后的所述数据加密后发送至所述服务端;
第二解密模块80用于:在接收到所述服务端发送的加密后的数据时,通过所述会话秘钥将所述数据解密;
第二压缩模块90用于:将解密后的所述数据压缩处理后发送至所述第一加速设备,第一解压缩模块60将压缩处理后的所述数据解压缩后,通过第一加密模块70基于所述会话秘钥将解压缩后的所述数据加密后发送至所述客户端。
在该实施例中,第一加速设备为客户端加速设备,第二加速设备为服务端加速设备,可以理解的是,一台加速设备中可以同时包括第一解密模块40、第一压缩模块50、第一解压缩模块60和第一加密模块70,以及第二解密模块80、第二压缩模块90、第二解压缩模块100和第二加密模块110,当他与客户端连接时,作为客户端加速设备,第一解密模块40、第一压缩模块50、第一解压缩模块60和第一加密模块70工作;当它与服务端连接时,作为服务端加速设备,第二解密模块80、第二压缩模块90、第二解压缩模块100和第二加密模块110工作。在客户端与服务端之间的数据压缩传输的过程中,会有加密后的数据的相互传输:客户端发送加密后的数据给服务端,客户端加速设备收到加密后的数据,用前面计算出的客户端验证密钥、客户端加密密钥、客户端初始化向量解密数据,把解密后的数据压缩处理后发送给服务端加速设备,服务端加速设备收到数据后先解压缩处理,然后用前面计算出的客户端验证密钥、客户端加密密钥、客户端初始化向量把解压缩后的数据重新加密,把加密后的数据发送给服务端;服务端发送加密后的数据给客户端,服务端加速设备收到加密后的数据,用前面计算出的服务端验证密钥、服务端加密密钥、服务端初始化向量解密数据,把解密后的数据压缩处理后发送给客户端加速设备,客户端加速设备收到数据后先解压缩处理,然后用前面计算出的服务端验证密钥、服务端加密密钥、服务端初始化向量把解压缩得到的数据重新加密处理,把加密后的数据发送给客户端。
在上述过程中,客户端加速设备与加速设备解密前的数据流是一样的,未发生改变,实现了在不修改原始数据流的情况下,对ssl加密数据进行解密,对解密的数据进行压缩,从而获得加速效果。
此外,本发明提出的加速设备,还可以根据使用了ssl的应用是否需要进行上层校验,采用不同的解密方式,对于需要进行上层校验的应用来说,可以采用本发明提出这种建立单条ssl连接的方式对ssl数据解密,对于不需要上层校验的应用来说,可以采用现有的通过两台加速设备代理客户端与服务端,分别与真实的服务端和客户端建立两条ssl连接的方式对ssl数据解密。可以预先配置应用识别表,在该应用识别表中为不同的应用配置不同的解密方式,将该应用识别表存储在设备内。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于加速设备获取会话秘钥的方法,其特征在于,所述基于加速设备获取会话秘钥的方法包括:
位于客户端与服务端之间的加速设备拦截所述客户端与所述服务端之间的安全套接层ssl握手信息;
所述加速设备根据存储的服务器私钥以及拦截到的所述握手信息计算所述客户端与所述服务端之间协商出的会话秘钥;
所述加速设备存储所述会话秘钥,以供所述加速设备基于所述会话秘钥对所述客户端与所述服务端之间加密传输的数据进行解密和加密。
2.根据权利要求1所述的基于加速设备获取会话秘钥的方法,其特征在于,所述加速设备根据存储的服务器私钥以及拦截到的所述握手信息计算所述客户端与所述服务端之间协商出的会话秘钥的步骤包括:
所述加速设备解析所述握手信息获取客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥;
基于获取到的所述客户端随机数、服务端随机数、ssl版本、ssl加密套件和加密后的预主秘钥,以及所述服务器私钥,基于ssl的RFC文档计算出所述会话秘钥。
3.根据权利要求2所述的基于加速设备获取会话秘钥的方法,其特征在于,所述位于客户端与服务端之间的加速设备拦截所述客户端与所述服务端之间的ssl握手信息的步骤包括:
所述加速设备获取所述客户端向所述服务端发起ssl握手请求的请求信息,从所述请求信息中获取所述客户端随机数;
在拦截到所述服务端对所述ssl握手请求的响应信息时,从所述响应信息中获取所述服务端随机数、所述ssl版本和所述ssl加密套件;
所述加速设备获取所述客户端在接收到所述响应信息后向所述服务端发送的秘钥交换信息,从所述秘钥交换信息中获取所述加密后的预主秘钥。
4.根据权利要求2所述的基于加速设备获取会话秘钥的方法,其特征在于,所述加速设备包括与所述客户端通信的第一加速设备,以及与所述服务端通信的第二加速设备;
所述加速设备存储所述会话秘钥的步骤之后,所述基于加速设备获取会话秘钥的方法还包括:
所述第一加速设备在接收到所述客户端发送的加密后的数据时,通过所述会话秘钥将所述数据解密,并将解密后的所述数据压缩处理后发送至所述第二加速设备;所述第二加速设备将压缩处理后的所述数据解压缩后,基于所述会话秘钥将解压缩后的所述数据加密后发送至所述服务端;
或者,所述第二加速设备在接收到所述服务端发送的加密后的数据时,通过所述会话秘钥将所述数据解密,并将解密后的所述数据压缩处理后发送至所述第一加速设备;所述第一加速设备将压缩处理后的所述数据解压缩后,基于所述会话秘钥将解压缩后的所述数据加密后发送至所述客户端。
5.根据权利要求1至4中任一项所述的基于加速设备获取会话秘钥的方法,其特征在于,所述会话秘钥包括服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量。
6.一种加速设备,其特征在于,所述加速设备包括:
数据拦截模块,用于拦截所述客户端与所述服务端之间的ssl握手信息,所述加速设备连接于所述客户端与所述服务端之间;
秘钥计算模块,用于根据存储的服务器私钥以及拦截到的所述握手信息计算所述客户端与所述服务端之间协商出的会话秘钥;
秘钥存储模块,用于存储所述会话秘钥,以供所述加速设备基于所述会话秘钥对所述客户端与所述服务端之间加密传输的数据进行解密和加密。
7.根据权利要求6所述的加速设备,其特征在于,所述秘钥计算模块还用于:解析所述握手信息获取客户端随机数、服务端随机数、ssl版本、ssl加密套件以及加密后的预主秘钥;以及,基于获取到的所述客户端随机数、服务端随机数、ssl版本、ssl加密套件和加密后的预主秘钥,以及所述服务器私钥,基于ssl的RFC文档计算出所述会话秘钥。
8.根据权利要求7所述的加速设备,其特征在于,所述数据拦截模块用于:获取所述客户端向所述服务端发起ssl握手请求的请求信息,从所述请求信息中获取所述客户端随机数;在拦截到所述服务端对所述ssl握手请求的响应信息时,从所述响应信息中获取所述服务端随机数、所述ssl版本和所述ssl加密套件;以及,获取所述客户端在接收到所述响应信息后向所述服务端发送的秘钥交换信息,从所述秘钥交换信息中获取所述加密后的预主秘钥。
9.根据权利要求7所述的加速设备,其特征在于,所述加速设备包括与所述客户端通信的第一加速设备,以及与所述服务端通信的第二加速设备;所述第一加速设备包括第一解密模块、第一压缩模块、第一解压缩模块以及第一加密模块;所述第二加速设备包括第二解密模块、第二压缩模块、第二解压缩模块以及第二加密模块
所述第一解密模块用于:在接收到所述客户端发送的加密后的数据时,通过所述会话秘钥将所述数据解密;
所述第一压缩模块用于:将解密后的所述数据压缩处理后发送至所述第二加速设备,所述第二解压缩模块将压缩处理后的所述数据解压缩后,通过第二加密模块基于所述会话秘钥将解压缩后的所述数据加密后发送至所述服务端;
所述第二解密模块用于:在接收到所述服务端发送的加密后的数据时,通过所述会话秘钥将所述数据解密;
所述第二压缩模块用于:将解密后的所述数据压缩处理后发送至所述第一加速设备,所述第一解压缩模块将压缩处理后的所述数据解压缩后,通过第一加密模块基于所述会话秘钥将解压缩后的所述数据加密后发送至所述客户端。
10.根据权利要求6至9中任一项所述的加速设备,其特征在于,所述会话秘钥包括服务端验证密钥、客户端验证密钥、服务端加密密钥、客户端加密密钥、服务端初始化向量、客户端初始化向量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710181646.8A CN106941401B (zh) | 2017-03-23 | 2017-03-23 | 加速设备以及基于加速设备获取会话秘钥的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710181646.8A CN106941401B (zh) | 2017-03-23 | 2017-03-23 | 加速设备以及基于加速设备获取会话秘钥的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106941401A true CN106941401A (zh) | 2017-07-11 |
| CN106941401B CN106941401B (zh) | 2021-06-04 |
Family
ID=59463501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710181646.8A Active CN106941401B (zh) | 2017-03-23 | 2017-03-23 | 加速设备以及基于加速设备获取会话秘钥的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106941401B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
| CN112838924A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 虚拟信道中加速器之间的密钥共享方法 |
| CN112838926A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 加速器之间的密钥共享方法 |
| CN112929359A (zh) * | 2021-02-01 | 2021-06-08 | 深信服科技股份有限公司 | 一种代理解密的方法及装置、终端、存储介质 |
| CN113273235A (zh) * | 2018-11-30 | 2021-08-17 | 耐瑞唯信有限公司 | 针对网络中的设备的密钥协商及供应 |
| CN113609512A (zh) * | 2021-10-08 | 2021-11-05 | 北京安华金和科技有限公司 | 一种客户端与数据库交互时使用的密钥的获取方法和装置 |
| CN114172645A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 通信旁路审计方法、装置、电子设备及存储介质 |
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN114679314A (zh) * | 2022-03-23 | 2022-06-28 | 腾讯科技(深圳)有限公司 | 数据解密的方法、装置、设备及存储介质 |
| CN115021919A (zh) * | 2022-06-30 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | Ssl协商方法、装置、设备及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102948131A (zh) * | 2010-04-21 | 2013-02-27 | 思杰系统有限公司 | 用于经由wan设备分离代理ssl的系统和方法 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理系统和方法 |
| CN104468560A (zh) * | 2014-12-02 | 2015-03-25 | 中国科学院声学研究所 | 网络保密数据明文的采集方法及系统 |
| US20150287416A1 (en) * | 2014-04-07 | 2015-10-08 | Barco N.V. | Ad hoc one-time pairing of remote devices using online audio fingerprinting |
| CN105471896A (zh) * | 2015-12-28 | 2016-04-06 | 深圳市深信服电子科技有限公司 | 基于ssl的代理方法、装置及系统 |
| CN106060070A (zh) * | 2016-07-01 | 2016-10-26 | 中国人民解放军国防科学技术大学 | 基于身份密码系统的tls握手协议 |
-
2017
- 2017-03-23 CN CN201710181646.8A patent/CN106941401B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102948131A (zh) * | 2010-04-21 | 2013-02-27 | 思杰系统有限公司 | 用于经由wan设备分离代理ssl的系统和方法 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理系统和方法 |
| US20150287416A1 (en) * | 2014-04-07 | 2015-10-08 | Barco N.V. | Ad hoc one-time pairing of remote devices using online audio fingerprinting |
| CN104468560A (zh) * | 2014-12-02 | 2015-03-25 | 中国科学院声学研究所 | 网络保密数据明文的采集方法及系统 |
| CN105471896A (zh) * | 2015-12-28 | 2016-04-06 | 深圳市深信服电子科技有限公司 | 基于ssl的代理方法、装置及系统 |
| CN106060070A (zh) * | 2016-07-01 | 2016-10-26 | 中国人民解放军国防科学技术大学 | 基于身份密码系统的tls握手协议 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113273235A (zh) * | 2018-11-30 | 2021-08-17 | 耐瑞唯信有限公司 | 针对网络中的设备的密钥协商及供应 |
| CN113273235B (zh) * | 2018-11-30 | 2024-03-19 | 纳格拉影像有限公司 | 建立安全通信会话的方法和系统 |
| CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
| CN110190955B (zh) * | 2019-05-27 | 2022-05-24 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
| CN112838924A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 虚拟信道中加速器之间的密钥共享方法 |
| CN112838926A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 加速器之间的密钥共享方法 |
| CN114499913B (zh) * | 2020-10-26 | 2022-12-06 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN112929359A (zh) * | 2021-02-01 | 2021-06-08 | 深信服科技股份有限公司 | 一种代理解密的方法及装置、终端、存储介质 |
| CN113609512A (zh) * | 2021-10-08 | 2021-11-05 | 北京安华金和科技有限公司 | 一种客户端与数据库交互时使用的密钥的获取方法和装置 |
| CN114172645A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 通信旁路审计方法、装置、电子设备及存储介质 |
| CN114679314B (zh) * | 2022-03-23 | 2023-01-31 | 腾讯科技(深圳)有限公司 | 数据解密的方法、装置、设备及存储介质 |
| CN114679314A (zh) * | 2022-03-23 | 2022-06-28 | 腾讯科技(深圳)有限公司 | 数据解密的方法、装置、设备及存储介质 |
| CN115021919A (zh) * | 2022-06-30 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | Ssl协商方法、装置、设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106941401B (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106941401A (zh) | 加速设备以及基于加速设备获取会话秘钥的方法 | |
| CN101720540B (zh) | 客户端装置、服务器装置和确立安全会话的方法 | |
| EP1976322A1 (en) | An authentication method | |
| CN105007279B (zh) | 认证方法和认证系统 | |
| CN105337740B (zh) | 一种身份验证方法、客户端、中继设备及服务器 | |
| CN105915342A (zh) | 一种应用程序通信处理系统、设备、装置及方法 | |
| EP2733906B1 (en) | HTTP layer countermeasures against blockwise chosen boundary attack | |
| CN103906052B (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
| CN102833253A (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| CN108566361A (zh) | 一种基于ssl/tls协议的安全参数协商方法和系统 | |
| CN112543166B (zh) | 实名登录的方法及装置 | |
| CN106685983A (zh) | 一种基于ssl协议的数据还原方法与装置 | |
| CN108322416A (zh) | 一种安全认证实现方法、装置及系统 | |
| CN110493162A (zh) | 基于可穿戴设备的身份认证方法及系统 | |
| CN106453431A (zh) | 基于pki实现互联网系统间认证的方法 | |
| CN104735037B (zh) | 一种网络认证方法、装置及系统 | |
| CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN106972919A (zh) | 一种密钥协商方法和装置 | |
| CN106878305A (zh) | 基于sip协议实现终端注册的方法 | |
| CN110839240A (zh) | 一种建立连接的方法及装置 | |
| CN105471896B (zh) | 基于ssl的代理方法、装置及系统 | |
| CN108616350A (zh) | 一种基于对称密钥池的HTTP-Digest类AKA身份认证系统和方法 | |
| CN109802834A (zh) | 一种对业务层数据进行加密、解密的方法及系统 | |
| CN112165494B (zh) | 报文分析方法、装置、电子设备及存储介质 | |
| CN109409109A (zh) | 网络服务中的数据处理方法、装置、处理器及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |