CN107181762B - 发布与接入网络加密锁服务的方法以及装置 - Google Patents

发布与接入网络加密锁服务的方法以及装置 Download PDF

Info

Publication number
CN107181762B
CN107181762B CN201710602120.2A CN201710602120A CN107181762B CN 107181762 B CN107181762 B CN 107181762B CN 201710602120 A CN201710602120 A CN 201710602120A CN 107181762 B CN107181762 B CN 107181762B
Authority
CN
China
Prior art keywords
network encryption
encryption lock
network
server
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710602120.2A
Other languages
English (en)
Other versions
CN107181762A (zh
Inventor
孙吉平
史继超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Senseshield Technology Co Ltd
Original Assignee
Beijing Senseshield Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Senseshield Technology Co Ltd filed Critical Beijing Senseshield Technology Co Ltd
Priority to CN201710602120.2A priority Critical patent/CN107181762B/zh
Publication of CN107181762A publication Critical patent/CN107181762A/zh
Application granted granted Critical
Publication of CN107181762B publication Critical patent/CN107181762B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Abstract

本发明公开了发布与接入网络加密锁服务的方法以及相应的装置。本发明公开的一种发布网络加密锁服务的方法,包括:生成并向子网发送包含网络加密锁服务端口的广播数据包;经由所述网络加密锁服务端口接收来自所述子网内的网络加密锁客户机的连接请求;与所述网络加密锁客户机建立安全的通信连接以为所述网络加密锁客户机提供网络加密锁服务。利用本发明的方案,网络加密锁客户机能够自动接入网络加密锁服务器提供的网络加密锁服务,并且降低了传统方式配置网络加密锁服务的工作量。

Description

发布与接入网络加密锁服务的方法以及装置
技术领域
本发明涉及网络加密锁技术领域,具体涉及发布与接入网络加密锁服务的方法以及相应的装置。
背景技术
加密锁,又称软件狗、加密狗,是为软件开发商提供的一种智能型的软件加密工具,它是一个安装在计算机并口、串口等接口上的硬件电路,同时有一套适用于各种语言的接口软件和工具软件。网络加密锁适合工作于client-server(客户机-服务器)网络环境中,可以安全地保护软件不被非法使用和发布。网络加密锁,是指加密锁可以对一台以上计算机提供产品功能的使用场景,在使用时,可以将网络加密锁插在网络服务器上的并口上或USB接口上,或者也可以将网络加密锁插在任何一台客户端的并口或者USB接口上,通过网络技术可以将无锁客户端的请求发送至网络加密锁,加密锁功能执行完毕后将结果回发给客户端,每一把网络加密锁都允许多台客户端访问。通过以上形式实现一把加密锁给多台计算机提供服务,提高了加密锁的利用率。
网络加密锁根据功能可划分为提供加密锁功能的服务端和请求加密锁功能的客户端,考虑到安全性和数据的完整性,可以将网络加密锁技术建立在TCP协议的基础上,TCP技术要求访问远程主机必须指定IP地址,故客户端访问服务端前必须明确指定IP才能够访问。
目前的网络加密锁服务在使用环境中,每一台客户端均需要配置服务端IP地址。而公司内部管理IP地址通常都会采用动态分配的方式,每次计算机启动后会分配一个新的IP,服务端IP地址也往往会随着计算机重启发生变化,当服务端IP地址变更,所有客户端都需要重新设置,带来额外的工作量。
发明内容
针对上述现有技术中的缺陷,本发明的目的在于提供一种发布网络加密锁服务的方法、接入网络加密锁服务的方法以及相应的装置,省去在服务端IP地址变更时,客户端需要重新设置变更的服务端IP地址的繁琐过程。
根据本发明方案的第一个方面,提供了一种发布网络加密锁服务的方法,包括:生成并向子网发送包含网络加密锁服务端口的广播数据包;经由所述网络加密锁服务端口接收来自所述子网内的网络加密锁客户机的连接请求;与所述网络加密锁客户机建立安全的通信连接以为所述网络加密锁客户机提供网络加密锁服务。
优选地,所述生成并向子网发送包含网络加密锁服务端口的广播数据包具体包括:创建网络套接字,并为所创建的网络套接字绑定约定端口;生成包含网络加密锁服务端口的广播数据包;经由所述约定端口向子网发送所述广播数据包。
优选地,所述广播数据包还包括用于验证所述广播数据包的数据完整性的验证数据。
优选地,所述与所述网络加密锁客户机建立安全的通信连接具体包括:经由所述网络加密锁服务端口与所述网络加密锁客户机建立通信连接;向所述网络加密锁客户机发送网络加密锁服务配置信息;与所述网络加密锁客户机进行密钥协商生成加密锁服务密钥以供与所述网络加密锁客户机后续通信过程中使用。
根据本发明方案的第二个方面,提供了一种接入网络加密锁服务的方法,包括:接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包,并且记录所述网络加密锁服务器的网络地址;根据所记录的网络加密锁服务器的网络地址,经由所述网络加密锁服务端口向网络加密锁服务器发出连接请求;与网络加密锁服务器建立安全的通信连接以获取网络加密锁服务。
优选地,所述接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包包括:创建网络套接字,并监听约定端口;利用所述网络套接字经由所述约定端口接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包。
优选地,所述广播数据包还包括用于验证所述广播数据包的数据完整性的验证数据,并且所述方法还包括:通过所述验证数据对所述广播数据包的数据完整性进行验证。
优选地,与所述网络加密锁服务器建立安全的通信连接具体包括:经由所述网络加密锁服务端口与所述网络加密锁服务器建立通信连接;接收来自所述网络加密锁服务器的网络加密锁服务配置信息;与所述网络加密锁服务器进行密钥协商生成加密锁服务密钥以供与所述网络加密锁服务器后续通信过程中使用。
优选地,还包括:检查所记录的网络加密锁服务器的网络地址是否已经记录在已发现加密锁服务列表中,如果是,则对所述已发现加密锁服务列表中的该网络加密锁服务的最后一次更新时间进行刷新;否则,将所记录的网络加密锁服务添加至所述已发现加密锁服务列表。
优选地,该方法还包括:根据所述已发现加密锁服务列表中记录的网络加密锁服务的最后一次更新时间判定网络加密锁服务是否过期,并且如果判定网络加密锁服务未过期,则刷新该网络加密锁服务在所述已发现加密锁服务列表中的最后一次更新时间。
本发明再一个方案中提供一种网络加密锁服务器,所述网络加密锁服务器包括处理器,所述处理器配置为执行计算机程序代码以实现:生成并向子网包含网络加密锁服务端口的广播数据包;经由所述网络加密锁服务端口接收来自所述子网内的网络加密锁客户机的连接请求;与所述网络加密锁客户机建立安全的通信连接以为所述网络加密锁客户机提供网络加密锁服务。
本发明还一个方案提供一种网络加密锁客户机,所述网络加密锁客户机包括处理器,所述处理器配置为执行计算机程序代码以实现:接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包,并且记录所述网络加密锁服务器的网络地址;根据所记录的网络加密锁服务器的网络地址,经由所述网络加密锁服务端口向网络加密锁服务器发出连接请求;与网络加密锁服务器建立安全的通信连接以获取网络加密锁服务。
本发明的方案通过广播数据包使得子网内的网络加密锁客户机能够自动获取网络加密锁服务器的网络地址以及网络加密锁服务端口,并通过与网络加密锁客户机建立安全的通信连接以为网络加密锁客户机提供网络加密锁服务。即使服务器IP地址动态变化,也无需在网络加密锁客户机上手动变更服务器IP地址,并且广播数据包中包含网络加密锁服务端口,网络锁客户机能够自动接入网络锁服务。由此,本发明能够解决传统网络锁使用过程中需要配置固定IP的繁琐的工作,适用于动态分配IP地址的局域网环境,降低了配置服务的工作量,提高了适用性。
附图说明
图1为本发明实施例的网络加密锁服务器和客户机的网络架构示意图;
图2为本发明实施例的一种网络加密锁服务器发布网络加密锁服务的方法。
图3为与图2的实施例对应的一种网络加密锁客户机接入网络加密锁服务的方法。
图4为本发明一优选实施例的网络加密锁服务器发布网络加密锁服务的方法。
图5为与图4的实施例对应的一种网络加密锁客户机接入网络加密锁服务的方法。
具体实施方式
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
图1为本发明实施例的网络加密锁服务器和客户机的网络架构示意图。如图1所示,图1中示出了子网10。子网10包括网络加密锁服务器101,集线器或交换机102,网络加密锁客户机103、104和105通过集线器或交换机102与网络加密锁服务器101通信。图中仅示出了三台网络加密锁客户机作为示例,实际上可以有更多台网络加密锁客户机,子网能够承载的计算机的数量由该子网所处的网段所决定。
网络加密锁服务器(为方便描述,简称为服务器)101上安装有网络加密锁服务,能够响应于各网络加密锁客户机的请求提供网络加密锁服务。网络加密锁11通过USB接口或服务器101上的并口或串口与服务器101连接,网络加密锁11还可以是蓝牙型网络加密锁,通过蓝牙通信协议与服务器101建立连接并通信。图中仅示出了一个网络加密锁11,实际上可以有多个网络加密锁11与服务器101的多个通信接口同时连接并且服务器101基于各网络加密锁客户机的请求提供多个网络加密锁服务。如此,多台客户机可以共用若干网络加密锁,节省了网络加密锁的数量。网络加密锁客户机(简称为客户机)103、104和105上安装有受保护软件,该软件配置为在运行时需要网络加密锁的支持,没有网络加密锁的支持则无法完成执行,从而使软件受到保护。客户机103、104和105上的受保护软件配置为当需要网络加密锁服务时,向服务器101发出接入网络加密锁服务的请求,等待服务器响应,并在与服务器101建立了安全的通信连接之后,使用其所需的网络加密锁服务。
图1所示的实施例中示出的网络加密锁服务器和客户机的网络架构仅为示例性的,不作为对本发明的限定。可以设想,网络加密锁服务器并不在网络加密锁客户机所在的子网中,而是通过网桥、路由器等设备与网络加密锁客户机所在的子网实现互连。当网络加密锁服务器与网络加密锁客户机所在的子网之间存在例如防火墙时,通过配置防火墙开放服务器与网络加密锁客户机之间的约定端口以及网络加密锁服务端口,使得能够实行本发明的方案。
图2为本发明实施例的一种网络加密锁服务器发布网络加密锁服务的方法,包括:
步骤S201:生成并向子网发送包含网络加密锁服务端口的广播数据包。
通过广播,子网中的所有客户机将接收到包含网络加密锁服务端口的广播数据包。网络加密锁服务端口是客户机使用网络加密锁服务时需要使用的特定端口。广播数据包的目标IP地址的主机部分全为1,这意味着子网(广播域)中的所有主机都将接收并查看该分组。诸如ARP和DHCP等很多网络协议都使用广播。如果只想在本网络内广播数据,只要向广播地址发送数据包即可,这种数据包可以被路由,它会经由路由器到达本网段内的所有主机,此种广播也叫直接广播;如果想在整个网络中广播数据,要向255.255.255.255发送数据包,这种数据包不会被路由,它只能到达本物理网络中的所有主机,此种广播叫有限广播。本发明方案不限于任何一种广播方式。
在使用TCP/IP协议栈的网络中,在传输层使用UDP进行广播,UDP的广播地址为255.255.255.255。下面以UDP协议为例来描述生成并向子网发送包含网络加密锁服务端口的广播数据包的具体过程S2011-2013(未图示)。
步骤S2011:创建网络套接字socket,并为所创建的网络套接字绑定约定端口。
约定端口是服务器和客户机预先约定的端口,例如约定端口为端口10010。
步骤S2012:生成包含网络加密锁服务端口的广播数据包。
UDP协议数据包具有规定的格式,其包含源端口号、目的端口号、UDP长度、校验和、数据等字段。其中可以将网络加密锁服务端口填入数据字段中。所生成的广播数据包中不仅包括了网络加密锁服务端口,还可以包括约定特征值、广播消息的类型(如请求或应答)、校验和等内容。约定特征值和校验和用来保证客户机接收的广播数据包的数据完整性,广播数据接收端即客户端可对广播结果进行校验和验证,防止数据传输过程中被篡改或被伪造。
步骤S2013:经由约定端口向子网发送广播数据包。该步骤具体可以包括:结合子网掩码计算广播地址,然后发送广播数据包等操作。广播地址具体可如下地计算:网络地址通过机器的ip地址与子网掩码按位与得出,主机的网络地址加上最大的主机号得到广播地址。此外,如上,在有限广播的方式下,不需要计算广播地址,广播地址即为255.255.255.255。
继步骤S201生成并向子网发送了包含网络加密锁服务端口的广播数据包之后,接下来,执行步骤S202。
步骤S202:经由网络加密锁服务端口接收来自子网内的网络加密锁客户机的连接请求。
网络加密锁服务端口为服务器101提供网络加密锁服务的预定端口。客户机103、104或105通过该网络加密锁服务端口获取服务器101提供的网络加密锁服务。
考虑到通信的可靠性,该步骤通常可以利用点对点的TCP通信技术。客户机经由网络加密锁服务端口发送TCP请求,服务器接收到来自客户机经由网络加密锁服务端口发送TCP请求。
之后,进入步骤S203:与网络加密锁客户机建立安全的通信连接以为网络加密锁客户机提供网络加密锁服务。
有多种方式实现网络加密锁服务器与客户机建立安全的通信连接的方法。例如,利用SSH协议(安全外壳协议)、https协议等。在一个实施例中,步骤S203可以通过三个子步骤S2031-S2033(未图示)实现。
在步骤S2031中,根据接收到的来自客户机的TCP连接请求,与客户机建立TCP连接。
然后,在步骤S2032中,向网络加密锁客户机发送网络加密锁服务配置信息。网络加密锁服务配置信息具体可以包括:1.服务主机信息。如MAC地址、计算机主机名、IP地址、端口。2.服务配置参数信息。例如:广播地址、服务类型、工作模式、连接超时、消息超时等远程服务端配置参数。接下来,执行步骤S2033。
在步骤S2033中,与网络加密锁客户机进行密钥协商以生成加密锁服务密钥。所生成的加密锁服务密钥将在服务器与客户机后续通信过程中使用,以确保所使用的加密锁服务的安全性。
密钥协商指的是两个或多个实体协商,共同建立会话密钥的过程。
密钥协商的作用是:即使有攻击者在偷窥客户端与服务器的网络传输,客户端依然可以利用“密钥协商机制”与服务器端协商出一个用来加密应用层数据的密钥(也称“会话密钥”)。密钥交换/协商机制具有几种类型:1)利用非对称加密算法。原理是:拿到公钥的一方先生成随机的会话密钥,然后利用公钥加密它;再把加密结果发给对方,对方用私钥解密;于是双方都得到了会话密钥。例如,RSA算法。2)依靠专门的密钥交换算法,例如DH算法及其变种。3)依靠通讯双方事先已经共享的“秘密”。原理:既然双方已经有共享的秘密(这个“秘密”可能已经是一个密钥,也可能只是某个密码/password),只需要根据某种生成算法,就可以让双方产生相同的密钥(并且密钥长度可以任意指定),例如PSK和SRP。
步骤S2023可以使用HTTPS协议来实现其过程。HTTPS(Hypertext TransferProtocol over Secure Socket Layer),是以安全为目标的HTTP通道。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。此外,还可以利用OAKLEY密钥确定协议实现步骤S2023。
利用本实施例的发布网络加密锁服务的方法,通过广播数据包使得子网内的网络加密锁客户机能够自动获取网络加密锁服务器的网络地址以及网络加密锁服务端口,并通过与网络加密锁客户机建立安全的通信连接以为网络加密锁客户机提供网络加密锁服务。即使服务器IP地址动态变化,也无需在网络加密锁客户机上手动变更服务器IP地址,并且广播数据包中包含网络加密锁服务端口,网络锁客户机能够自动接入网络锁服务。由此,降低了配置网络加密锁服务的工作量。
在本实施例中,以网络加密锁服务器作为主体阐述了发布网络加密锁服务的方法。然而,在一些变型实施例中,可以通过与网络加密锁服务器建立通信连接的代理服务器作为主体来发布网络加密锁服务。此外,网络加密锁可以并非像图1中所示那样通过USB接口或服务器101上的并口或串口与服务器101连接,网络加密锁可以连接到类似USB Server的专用设备,然后通过USB Server与网络加密锁服务器连接。
图3为与图2的实施例对应的一种网络加密锁客户机接入网络加密锁服务的方法,包括:
步骤S301:接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包,并且记录网络加密锁服务器的网络地址。
广播数据包是信息头中目的地址域的内容为广播地址的数据包。网络加密锁客户机当接收到该广播数据包时,即可获取到广播数据包的来源地(也就是网络加密锁服务器)的IP地址。此时,该客户机记录该服务器的网络地址,并且通过该广播数据包,获得并记录网络加密锁服务端口。进入步骤S302。
步骤S302:根据所记录的网络加密锁服务器的网络地址,经由网络加密锁服务端口向网络加密锁服务器发出连接请求。
具体地,考虑到通信的可靠性,网络加密锁客户机可以向服务器提出TCP连接请求,等待服务器响应。
步骤S303:与网络加密锁服务器建立安全的通信连接以获取网络加密锁服务。
有多种方式实现网络加密锁服务器与客户机建立安全的通信连接的方法。例如,利用SSH协议(安全外壳协议)、https协议等。
在一个实施例中,步骤S303可以通过三个子步骤S3031-S3033(未图示)实现。步骤S3031:经由网络加密锁服务端口与网络加密锁服务器建立通信连接。具体的,如果客户机向服务器发送tcp连接请求,则等待服务器响应,以与服务器建立tcp连接。步骤S3032:接收来自网络加密锁服务器的网络加密锁服务配置信息。网络加密锁服务配置信息具体可以包括:1.服务主机信息。如MAC地址、计算机主机名、IP地址、端口。2.服务配置参数信息。例如:广播地址、服务类型、工作模式、连接超时、消息超时、服务描述等远程服务端配置参数。接下来,执行步骤S3033:与网络加密锁服务器进行密钥协商生成加密锁服务密钥以供与网络加密锁服务器后续通信过程中使用。使用HTTPS协议或者OAKLEY密钥确定协议来实现步骤。
利用本实施例的接入网络加密锁服务的方法,无需在网络加密锁客户端手动配置包括服务器IP地址等的网络加密锁服务配置信息,能够实现自动接入所期望的网络加密锁服务。例如,可以对接收到的网络加密锁服务配置信息(例如根据广播地址、服务类型、工作模式、或服务描述等等)进行判定,以确定是否使用该特定的网络加密锁服务。
图4为本发明一优选实施例的网络加密锁服务器发布网络加密锁服务的方法,包括以下步骤:
S401:创建网络套接字,绑定约定端口。
S402:以每预定时间间隔(例如,20秒)发送一次广播数据包,广播数据包中包含约定特征值、网络加密锁服务TCP端口、广播消息的类型(请求、应答)、校验和等服务IP信息。
S403:等待网络加密锁客户机的tcp连接请求;
S404:如果接收到网络加密锁客户机的tcp连接请求,则与客户机建立tcp连接;
S405:向网络加密锁客户机发送网络加密锁服务配置信息。网络加密锁服务配置信息可以包括:1.服务主机信息。例如,MAC地址、计算机主机名、IP地址、端口。2.服务配置参数信息。例如:广播地址、服务类型、工作模式、连接超时、消息超时、服务描述等远程服务端配置参数。
S406:与网络加密锁客户机进行密钥协商,生成加密锁服务临时密钥。
图5为与图4的实施例对应的一种网络加密锁客户机接入网络加密锁服务的方法。
S501:创建网络套接字,监听约定端口。
S502:接收到包含网络加密锁服务TCP端口的广播数据包,记录广播数据包的发送源(也就是服务器)的IP地址。
S503:检查服务器IP地址是否已经被记录。如果未记录,则说明该服务为新发现服务,跳转到步骤S5051;如果已经记录有服务器IP地址,则说明该网络加密锁服务为已发现服务,跳转到步骤S504。
S5051:根据所记录的服务器IP地址,经由网络加密锁服务TCP端口向服务器发出连接请求,进入步骤S5052。
S5052:等待服务器响应,与服务器建立tcp连接,进入步骤S5053。
S5053:接收来自服务器的网络加密锁服务配置信息。
S5054:与服务器进行密钥协商,获得网络加密锁服务密钥以在后续通信过程中使用该服务密钥,如果密钥协商成功,则进入S5055,如果协商失败,则不作任何处理。
S5055:将网络加密锁服务添加至已发现列表。
S504:刷新服务的最后一次更新时间。
在该实施例中,还可以包括一些附加的(可选的)步骤。
例如,在步骤S5053与步骤S5054之间,可以包括根据网络加密锁服务配置信息判断是否接入网络加密锁服务的步骤(是否进行S5054中的密钥协商),从而确保客户机接入自己期望的网络加密锁服务。更具体地,例如根据广播地址、服务类型、工作模式、或服务描述等等判定是否为使用客户机的用户期望使用的网络加密锁服务,从而决定是否进行S5054中的密钥协商处理。
又例如,在步骤S506之后,还可以包括用于对过期服务检查的步骤(未图示),通过以下这些步骤,能够定期检查已记录的网络加密锁服务的有效性。
S507:以预定间隔检查网络加密锁服务的最后一次更新时间。检查间隔大于服务端广播间隔时间,例如为服务端广播时间的1.5倍左右。可以设定,当N(N为自然数,优选为2)次没有收到服务的广播消息时,将网络加密锁服务状态标为不可用。
步骤S507可以包括以下两个子步骤。
S5071:遍历已发现服务列表,依次判断服务最后一次更新时间是否过期。例如,在当前计算机时间与最后一次更新时间差值大于2倍的服务广播间隔时间时,判断服务过期。当判断出服务未过期时,则利用当前计算机时间刷新服务最后一次更新时间;否则执行S509。
S5072:判断服务已过期,尝试访问服务。根据服务IP等信息发送TCP验证请求,如果收到应答,则表示服务仍然存在,则利用当前计算机时间更新服务最后一次刷新时间,并将服务状态设置为可用;请求未应答或者超时,则将服务状态设置为不可用。
通过上述步骤,能够及时发现已过期的网络加密锁服务,提高了接入服务的可靠性。
在下面的实施例中,假设了网络加密锁服务器和客户机均为多网卡主机的情况。此时,在服务器这一端,获取服务器所有网卡信息,在定期发送广播消息时,依次遍历所有网卡,结合子网掩码计算广播地址,发送广播消息。相应地,在客户机这一端,获取该客户机所有网卡信息,分别对不同网卡的网段IP建立广播监听端口,等待服务端广播消息。
根据本发明实施例的方案,相比传统方案手工配置网络加密锁服务器IP地址以及网络加密锁服务配置信息,子网内自动发现服务方法能够减少人工维护工作量,适应于当前动态分配IP、多网卡的组网环境,提高网络加密锁服务的适用性。
另外,本发明另一实施例还提供一种网络加密锁服务器,其包括处理器,处理器可执行计算机程序代码以实现:生成并向子网包含网络加密锁服务端口的广播数据包;经由约定端口将所生成的广播数据包发送给子网;经由网络加密锁服务端口接收来自子网内的网络加密锁客户机的连接请求;与网络加密锁客户机建立安全的通信连接以为网络加密锁客户机提供网络加密锁服务。该实施例的网络加密锁服务器能够使子网的客户机自动并且安全可靠地接入其提供的网络加密锁服务。
在一个实施例中,还提供了一种网络加密锁客户机,其包括处理器,处理器可执行计算机程序代码以实现:接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包,并且记录网络加密锁服务器的网络地址;根据所记录的网络加密锁服务器的网络地址,经由网络加密锁服务端口向网络加密锁服务器发出连接请求;与网络加密锁服务器建立安全的通信连接以获取网络加密锁服务。该实施例的网络加密锁客户机能够自动并且安全可靠地接入加密锁服务器提供的网络加密锁服务。
上述网络加密锁服务器和客户机的实施例的未详尽描述之处,请参考本发明的方法实施例的具体说明。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (10)

1.一种发布网络加密锁服务的方法,包括:
生成并经由约定端口向子网发送包含网络加密锁服务端口的广播数据包;
经由所述网络加密锁服务端口接收来自所述子网内的网络加密锁客户机的连接请求;
与所述网络加密锁客户机建立安全的通信连接以为所述网络加密锁客户机提供网络加密锁服务,
其中所述与所述网络加密锁客户机建立安全的通信连接具体包括:
经由所述网络加密锁服务端口与所述网络加密锁客户机建立通信连接;
向所述网络加密锁客户机发送网络加密锁服务配置信息;以及
与所述网络加密锁客户机进行密钥协商生成加密锁服务密钥以供与所述网络加密锁客户机后续通信过程中使用。
2.如权利要求1所述的方法,其中所述生成并经由约定端口向子网发送包含网络加密锁服务端口的广播数据包具体包括:
创建网络套接字,并为所创建的网络套接字绑定所述约定端口;
生成包含网络加密锁服务端口的广播数据包;
经由所述约定端口向子网发送所述广播数据包。
3.如权利要求1所述的方法,其中所述广播数据包还包括用于验证所述广播数据包的数据完整性的验证数据。
4.一种接入网络加密锁服务的方法,包括:
经由约定端口接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包,并且记录所述网络加密锁服务器的网络地址;
根据所记录的网络加密锁服务器的网络地址,经由所述网络加密锁服务端口向网络加密锁服务器发出连接请求;
与网络加密锁服务器建立安全的通信连接以获取网络加密锁服务,
其中与所述网络加密锁服务器建立安全的通信连接具体包括:
经由所述网络加密锁服务端口与所述网络加密锁服务器建立通信连接;
接收来自所述网络加密锁服务器的网络加密锁服务配置信息;以及
与所述网络加密锁服务器进行密钥协商生成加密锁服务密钥以供与所述网络加密锁服务器后续通信过程中使用。
5.如权利要求4所述的方法,其中所述经由约定端口接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包包括:
创建网络套接字,并监听所述约定端口;
利用所述网络套接字经由所述约定端口接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包。
6.如权利要求4所述的方法,其中所述广播数据包还包括用于验证所述广播数据包的数据完整性的验证数据,并且所述方法还包括:通过所述验证数据对所述广播数据包的数据完整性进行验证。
7.如权利要求4所述的方法,还包括:
检查所记录的网络加密锁服务器的网络地址是否已经记录在已发现加密锁服务列表中,如果是,则对所述已发现加密锁服务列表中的该网络加密锁服务的最后一次更新时间进行刷新;否则,将所记录的网络加密锁服务添加至所述已发现加密锁服务列表。
8.如权利要求7所述的方法,还包括:
根据所述已发现加密锁服务列表中记录的网络加密锁服务的最后一次更新时间判定网络加密锁服务是否过期,并且
如果判定网络加密锁服务未过期,则刷新该网络加密锁服务在所述已发现加密锁服务列表中的最后一次更新时间。
9.一种网络加密锁服务器,所述网络加密锁服务器包括处理器,所述处理器配置为执行计算机程序代码以实现:
生成并经由约定端口向子网包含网络加密锁服务端口的广播数据包;
经由所述网络加密锁服务端口接收来自所述子网内的网络加密锁客户机的连接请求;
与所述网络加密锁客户机建立安全的通信连接以为所述网络加密锁客户机提供网络加密锁服务,
其中与所述网络加密锁服务器建立安全的通信连接具体包括:
经由所述网络加密锁服务端口与所述网络加密锁服务器建立通信连接;
接收来自所述网络加密锁服务器的网络加密锁服务配置信息;以及
与所述网络加密锁服务器进行密钥协商生成加密锁服务密钥以供与所述网络加密锁服务器后续通信过程中使用。
10.一种网络加密锁客户机,所述网络加密锁客户机包括处理器,所述处理器配置为执行计算机程序代码以实现:
经由约定端口接收来自网络加密锁服务器的包含网络加密锁服务端口的广播数据包,并且记录所述网络加密锁服务器的网络地址;
根据所记录的网络加密锁服务器的网络地址,经由所述网络加密锁服务端口向网络加密锁服务器发出连接请求;
与网络加密锁服务器建立安全的通信连接以获取网络加密锁服务,
其中与所述网络加密锁服务器建立安全的通信连接具体包括:
经由所述网络加密锁服务端口与所述网络加密锁服务器建立通信连接;
接收来自所述网络加密锁服务器的网络加密锁服务配置信息;以及
与所述网络加密锁服务器进行密钥协商生成加密锁服务密钥以供与所述网络加密锁服务器后续通信过程中使用。
CN201710602120.2A 2017-07-21 2017-07-21 发布与接入网络加密锁服务的方法以及装置 Active CN107181762B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710602120.2A CN107181762B (zh) 2017-07-21 2017-07-21 发布与接入网络加密锁服务的方法以及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710602120.2A CN107181762B (zh) 2017-07-21 2017-07-21 发布与接入网络加密锁服务的方法以及装置

Publications (2)

Publication Number Publication Date
CN107181762A CN107181762A (zh) 2017-09-19
CN107181762B true CN107181762B (zh) 2019-06-28

Family

ID=59838405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710602120.2A Active CN107181762B (zh) 2017-07-21 2017-07-21 发布与接入网络加密锁服务的方法以及装置

Country Status (1)

Country Link
CN (1) CN107181762B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108055230A (zh) * 2017-10-19 2018-05-18 福建中金在线信息科技有限公司 数据请求处理的方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103220257A (zh) * 2012-01-19 2013-07-24 中国石油天然气集团公司 一种计算机通信的方法、网络主机及系统
CN103488920A (zh) * 2013-09-24 2014-01-01 北京深思数盾科技有限公司 一种无线信息安全设备的实现方法及系统
CN103714272A (zh) * 2013-11-27 2014-04-09 中国矿业大学 一种加密锁盒子
CN103745149A (zh) * 2013-12-10 2014-04-23 北京深思数盾科技有限公司 基于无线通信的信息安全设备、实时保护系统及方法
CN104537283A (zh) * 2014-12-17 2015-04-22 安徽清新互联信息科技有限公司 一种基于网络的软件授权控制装置
CN104580235A (zh) * 2015-01-21 2015-04-29 北京深思数盾科技有限公司 用于设备连接的认证方法和认证系统
CN105991795A (zh) * 2015-07-31 2016-10-05 杭州迪普科技有限公司 Arp表项更新方法以及装置
CN106231006A (zh) * 2016-08-31 2016-12-14 珠海市魅族科技有限公司 网络系统、网络设备及实时获取设备ip地址的方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201030645A (en) * 2009-02-03 2010-08-16 li-he Yao Information exchange apparatus, method and its management system by utilizing the wireless channel
US9723351B2 (en) * 2010-08-17 2017-08-01 Qualcomm Incorporated Web server TV dongle for electronic device
BR112013026389B1 (pt) * 2011-04-19 2022-07-05 Nagravision Sa Método e sistema para acessar um fluxo de conteúdo de áudio / vídeo cifrado através de uma rede ip usando um dispositivo de recepção de multimídia
CN105635082A (zh) * 2014-11-12 2016-06-01 北大方正集团有限公司 动态授权方法和系统以及授权中心、授权客户端
CN105786602A (zh) * 2016-02-29 2016-07-20 重庆工程职业技术学院 一种仿真实训软件的动态迁移系统和方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103220257A (zh) * 2012-01-19 2013-07-24 中国石油天然气集团公司 一种计算机通信的方法、网络主机及系统
CN103488920A (zh) * 2013-09-24 2014-01-01 北京深思数盾科技有限公司 一种无线信息安全设备的实现方法及系统
CN103714272A (zh) * 2013-11-27 2014-04-09 中国矿业大学 一种加密锁盒子
CN103745149A (zh) * 2013-12-10 2014-04-23 北京深思数盾科技有限公司 基于无线通信的信息安全设备、实时保护系统及方法
CN104537283A (zh) * 2014-12-17 2015-04-22 安徽清新互联信息科技有限公司 一种基于网络的软件授权控制装置
CN104580235A (zh) * 2015-01-21 2015-04-29 北京深思数盾科技有限公司 用于设备连接的认证方法和认证系统
CN105991795A (zh) * 2015-07-31 2016-10-05 杭州迪普科技有限公司 Arp表项更新方法以及装置
CN106231006A (zh) * 2016-08-31 2016-12-14 珠海市魅族科技有限公司 网络系统、网络设备及实时获取设备ip地址的方法

Also Published As

Publication number Publication date
CN107181762A (zh) 2017-09-19

Similar Documents

Publication Publication Date Title
JP6844908B2 (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
US20200092108A1 (en) Data communication method, device and apparatus, and storage medium
US9654453B2 (en) Symmetric key distribution framework for the Internet
US8621206B2 (en) Authority-neutral certification for multiple-authority PKI environments
US11621945B2 (en) Method and system for secure communications
US8843740B2 (en) Derived certificate based on changing identity
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
US11736304B2 (en) Secure authentication of remote equipment
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN112714053B (zh) 通信连接方法及装置
CN106169952B (zh) 一种英特网密钥管理协议重协商的认证方法及装置
CN105359480A (zh) 针对受约束资源设备的密钥建立
CN116886288A (zh) 一种量子会话密钥分发方法及装置
JP2007181123A (ja) デジタル証明書交換方法、端末装置、及びプログラム
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
CN107277044B (zh) 发布与接入网络加密锁服务的方法以及装置
CN107181762B (zh) 发布与接入网络加密锁服务的方法以及装置
US8676998B2 (en) Reverse network authentication for nonstandard threat profiles
US20090136043A1 (en) Method and apparatus for performing key management and key distribution in wireless networks
CN116232683A (zh) 一种工业微服务系统的认证方法、装置和计算机介质
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
JP2024515154A (ja) セキュアキー管理デバイス、認証システム、広域ネットワーク、およびセッションキーを生成する方法
CN115885499A (zh) 在设备处对通信伙伴进行认证
JP2005229435A (ja) リゾルバをアプリケーションとは別に備えた端末及びリゾルバプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee after: Beijing Shendun Technology Co.,Ltd.

Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder