CN107404469B - 一种会话安全处理系统、设备、装置及方法 - Google Patents
一种会话安全处理系统、设备、装置及方法 Download PDFInfo
- Publication number
- CN107404469B CN107404469B CN201610345889.6A CN201610345889A CN107404469B CN 107404469 B CN107404469 B CN 107404469B CN 201610345889 A CN201610345889 A CN 201610345889A CN 107404469 B CN107404469 B CN 107404469B
- Authority
- CN
- China
- Prior art keywords
- session
- information
- key
- ciphertext
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种会话安全处理系统、设备、装置及方法。该会话安全处理系统包括:客户端和服务端,所述客户端,在处于会话认证阶段的情况下,根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥;在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端。本发明提供的方案,能提高会话安全性。
Description
技术领域
本发明涉及移动互联网技术领域,具体涉及一种会话安全处理系统、设备、装置及方法。
背景技术
目前,随着手机应用和HTML5(Hyper Text Markup Language 5,第五版超级文本标记语言)技术的发展,越来越多的应用采用Hybrid模式(混合应用模式)进行开发。一般在移动应用程序(App,Application)开发领域,主要有以下几种开发模式:本地应用模式(Native App)、混合应用模式(Hybrid App)、基于网页的应用模式(WebApp)。其中HybridApp综合了Native App和WebApp的优势,具有更新速度快、交互体验好、跨平台等优点,因而被广泛应用在移动终端中。该模式中HTML5的页面被嵌入到Natvie App的网络视图(webview)中,并将网络视图的网页以本地视图(Native)的页面形式进行显示。
在Hybrid模式下,为了提高访问的速度,一般会采用本地HTML5页面+本地资源的方式进行页面的渲染,并通过HTTP(HyperText Transfer Protocol,超文本传输协议)和JSONP(JSON with Padding,是资料格式JSON的一种“使用模式”,可以让网页从别的网域获取资料)跨域访问机制,与远程服务器进行数据交互。该方法中,现有技术可以通过设定方式实现自定义的HTTP DNS(Domain Name System,域名系统)服务从而避免域名解析过程的劫持问题。
但是,上述方法存在一个问题,就是需使用域名解析出的IP(Internet Protocol,网络协议)地址进行请求访问,这样可能无法得到HTTPS(Hyper Text Transfer Protocolover Secure Socket Layer,基于安全套接字层的超文本传输协议)协议的全面安全保护。因为HTTP中的信息是明文传输,而HTTPS则是具有安全性的加密传输协议,它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。
因此,使用现有技术的会话的安全处理方法,会话存在可能被攻击的安全问题,安全性有待进一步完善。
发明内容
为解决上述技术问题,本发明提供一种会话安全处理系统、设备、装置及方法,能提高会话安全性。
根据本发明的一个方面,提供一种会话安全处理系统,包括:客户端和服务端,
所述客户端,在处于会话认证阶段的情况下,根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥;在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端;
所述服务端,在处于会话认证阶段的情况下,接收所述客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过,创建并向所述客户端发送经过加密处理的包含会话标识和会话密钥的会话信息;在处于会话通讯阶段的情况下,接收客户端发送的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
根据本发明的另一个方面,提供一种客户端设备,包括:存储器和处理器;
所述存储器在本地存储公钥证书;
所述处理器,在处于会话认证阶段的情况下,根据设定算法和所述存储器本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥,其中所述服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过;在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
根据本发明的另一个方面,提供一种服务端设备,包括:存储器和处理器;
所述存储器在本地存储私钥证书;
所述处理器,在处于会话认证阶段的情况下,接收所述客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据所述存储器本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过,创建并向所述客户端发送经过加密处理的包含会话标识和会话密钥的会话信息,其中所述密文信息是由客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理后生成;在处于会话通讯阶段的情况下,接收客户端发送的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据,其中所述密文数据包是由所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理后生成。
根据本发明的另一个方面,提供一种会话安全处理装置,包括:
第一处理模块,用于在处于会话认证阶段的情况下,根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥,其中所述服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过;
第二处理模块,用于在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
优选的,所述第一处理模块包括:
第一加密子模块,用于在处于会话认证阶段的情况下,根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密;
第一收发子模块,用于在所述第一加密子模块进行加密处理后,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息;
第一解密子模块,用于对所述第一收发子模块接收的会话信息进行AES解密处理获得所述会话标识和会话密钥。
优选的,所述第二处理模块包括:
第二加密子模块,用于根据接收的包含会话标识和会话密钥的会话信息中的会话密钥对传输数据进行AES对称加密;
第二收发子模块,用于在所述第二加密子模块进行加密处理后,生成包含会话标识和传输数据的密文数据包发送给服务端。
优选的,所述装置还包括:
地址模块,用于进行域名解析生成服务端的请求URL地址,其中所述URL地址是根据域名解析得到的IP地址进行组装;
所述第一处理模块根据所述地址模块的请求URL地址将所述密文信息发送给服务端。
根据本发明的另一个方面,提供一种会话安全处理装置,包括:
第一处理模块,用于在在处于会话认证阶段的情况下,接收客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过,创建并向所述客户端发送经过加密处理的包含会话标识和会话密钥的会话信息,其中所述密文信息是由客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理后生成;
第二处理模块,用于在处于会话通讯阶段的情况下,接收客户端发送的包含会话标识和传输数据的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据,其中所述密文数据包是由所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理后生成。
优选的,所述第一处理模块包括:
第一解密子模块,用于在处于会话认证阶段的情况下,根据本地存储的私钥证书对所述包含用户认证信息和所述随机密钥的密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过;
第一加密子模块,用于创建包含会话标识和会话密钥的会话信息并进行AES加密处理;
第一收发子模块,用于创建并向所述客户端发送经过所述第一加密子模块加密处理的包含会话标识和会话密钥的会话信息。
优选的,所述第二处理模块包括:
第二收发子模块,用于在处于会话通讯阶段的情况下,接收客户端发送的包含会话标识和传输数据的密文数据包;
第二解密子模块,用于根据所述包含会话标识和传输数据的密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行AES对称解密得到所述传输数据。
根据本发明的另一个方面,提供一种会话安全处理方法,包括:
在处于会话认证阶段的情况下,客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥,其中所述服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过;
在处于会话通讯阶段的情况下,客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
优选的,所述客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理包括:
所述客户端根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密。
优选的,所述其中服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过包括:
所述服务端根据本地存储的私钥证书对所述密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过。
优选的,所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理包括:
客户端根据接收的所述会话信息中的会话密钥对传输数据进行AES对称加密。
优选的,所述使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据包括:
使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行AES对称解密得到所述传输数据。
优选的,所述接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥包括:
接收所述服务端确认认证通过后所创建并发送的经过AES加密处理的包含会话标识和会话密钥的会话信息,并进行AES解密获得所述会话标识和会话密钥。
优选的,所述接收的服务端的会话信息设有有效期。
优选的,所述方法还包括:
所述客户端是根据进行域名解析所生成的服务端的请求URL地址将所述密文信息发送给服务端,其中所述URL地址是根据域名解析得到的IP地址进行组装。
可以发现,本发明实施例的技术方案,将客户端与服务端通讯的过程划分为会话认证和会话通讯两个阶段,在不同阶段采用不同的安全机制,例如在处于会话认证阶段的情况下,客户端是根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端;在处于会话通讯阶段的情况下,客户端是根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端;因此可以得到HTTPS协议的保护,确保会话的安全、高效,并且可以有效保障会话数据的保密性和防篡改能力,防止域名劫持,增强接口协议的私密性,确保用户的交易信息得到有效保护,从而实现了提高会话的安全性。
进一步的,本发明实施例的客户端是根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密。通过使用动态生成的随机密钥sKey,对用户认证信息例如用户身份标识信息sid进行加密保护,确保用户身份信息的私密性;同时,为了避免对称密钥的不足,通过部署在前端的公钥证书,对随机密钥进行RSA非对称加密,确保只有服务端的私钥证书才能解密。
进一步的,本发明实施例接收的服务端的会话信息可以设有有效期,进一步提升会话的安全性,可以确保在会话期内是无法破解出密钥。
附图说明
通过结合附图对本公开示例性实施方式进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开示例性实施方式中,相同的参考标号通常代表相同部件。
图1是根据本发明的一个实施例的一种会话安全处理系统的示意性方框图;
图2是根据本发明的一个实施例的一种客户端设备的示意性方框图;
图3是根据本发明的一个实施例的一种服务端设备的示意性方框图;
图4是根据本发明的一个实施例的一种会话安全处理装置的示意性方框图;
图5是根据本发明的一个实施例的另一种会话安全处理装置的示意性方框图;
图6是根据本发明的一个实施例的一种会话安全处理方法的示意性流程图;
图7是根据本发明的一个实施例的一种会话安全处理方法的另一示意性流程图。
具体实施方式
下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本发明提供一种会话安全处理系统,能提高会话安全性。
图1是根据本发明的一个实施例的一种会话安全处理系统的示意性方框图。
如图1所示,在一种会话安全处理系统10中包括:客户端11和服务端12。
所述客户端11,在处于会话认证阶段的情况下,根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端12,接收所述服务端12发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥;在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端12。
所述服务端12,在处于会话认证阶段的情况下,接收所述客户端11发送的包含用户认证信息和所述随机密钥的密文信息,根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过,创建并向所述客户端11发送经过加密处理的包含会话标识和会话密钥的会话信息;在处于会话通讯阶段的情况下,接收客户端11发送的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
图2是根据本发明的一个实施例的一种客户端设备的示意性方框图。
如图2所示,在一种客户端设备20中可以包括:存储器21和处理器22。
所述存储器21在本地存储公钥证书。
所述处理器22,在处于会话认证阶段的情况下,根据设定算法和所述存储器21本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥,其中所述服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过;在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
图3是根据本发明的一个实施例的一种服务端设备的示意性方框图。
如图3所示,在一种服务端设备30中可以包括:存储器31和处理器32。
所述存储器31在本地存储私钥证书。
所述处理器32,在处于会话认证阶段的情况下,接收所述客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据所述存储器31本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过,创建并向所述客户端发送经过加密处理的包含会话标识和会话密钥的会话信息,其中所述密文信息是由客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理后生成;在处于会话通讯阶段的情况下,接收客户端发送的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据,其中所述密文数据包是由所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理后生成。
客户端设备中的处理器22,可以作为一个独立的装置结构,该独立的装置结构可以称为一种会话安全处理装置,该会话安全处理装置可以包括多个子模块,下文将结合图4对该会话安全处理装置结构进行详细说明。
图4是根据本发明的一个实施例的一种会话安全处理装置的示意性方框图。该会话安全处理装置可以应用于客户端设备中。
如图4所示,在一种会话安全处理装置40中可以包括:第一处理模块41和第二处理模块42。
第一处理模块41,用于在处于会话认证阶段的情况下,根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥,其中所述服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过;
第二处理模块42,用于在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
其中,所述第一处理模块41可以包括:第一加密子模块411、第一收发子模块412、第一解密子模块413。
第一加密子模块411,用于在处于会话认证阶段的情况下,根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密。
第一收发子模块412,用于在所述第一加密子模块411进行加密处理后,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息。
第一解密子模块413,用于对所述第一收发子模块412接收的会话信息进行AES解密处理获得所述会话标识和会话密钥。
其中,所述第二处理模块42可以包括:第二加密子模块421、第二收发子模块422。
第二加密子模块421,用于根据接收的包含会话标识和会话密钥的会话信息中的会话密钥对传输数据进行AES对称加密。
第二收发子模块422,用于在所述第二加密子模块421进行加密处理后,生成包含会话标识和传输数据的密文数据包发送给服务端。
另外,所述装置还可以包括:地址模块43。
地址模块43,用于进行域名解析生成服务端的请求URL(Uniform ResoureLocator,统一资源定位符)地址,其中所述URL地址是根据域名解析得到的IP地址进行组装;所述第一处理模块41根据所述地址模块43的请求URL地址将所述密文信息发送给服务端。
从该实施例可以看出,本发明实施例的技术方案,将客户端与服务端通讯的过程划分为会话认证和会话通讯两个阶段,在不同阶段采用不同的安全机制,例如在处于会话认证阶段的情况下,客户端是根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端;在处于会话通讯阶段的情况下,客户端是根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端;因此可以得到HTTPS协议的保护,确保会话的安全、高效,并且可以有效保障会话数据的保密性和防篡改能力,防止域名劫持,增强接口协议的私密性,确保用户的交易信息得到有效保护,从而实现了提高会话的安全性。
服务端设备中的处理器32,可以作为一个独立的装置结构,该独立的装置结构可以称为一种会话安全处理装置,该会话安全处理装置可以包括多个子模块,下文将结合图5对该会话安全处理装置结构进行详细说明。
图5是根据本发明的一个实施例的另一种会话安全处理装置的示意性方框图。该会话安全处理装置可以应用于服务端设备中。
如图5所示,在一种会话安全处理装置50中可以包括:第一处理模块51和第二处理模块52。
第一处理模块51,用于在在处于会话认证阶段的情况下,接收客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过,创建并向所述客户端发送经过加密处理的包含会话标识和会话密钥的会话信息,其中所述密文信息是由客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理后生成。
第二处理模块52,用于在处于会话通讯阶段的情况下,接收客户端发送的包含会话标识和传输数据的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据,其中所述密文数据包是由所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理后生成。
其中,所述第一处理模块51可以包括:第一解密子模块511、第一加密子模块512、第一收发子模块513。
第一解密子模块511,用于在处于会话认证阶段的情况下,根据本地存储的私钥证书对所述包含用户认证信息和所述随机密钥的密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过。
第一加密子模块512,用于创建包含会话标识和会话密钥的会话信息并进行AES加密处理。
第一收发子模块513,用于向所述客户端发送经过所述第一加密子模块512加密处理的包含会话标识和会话密钥的会话信息。
其中,所述第二处理模块52可以包括:第二收发子模块521、第二解密子模块522。
第二收发子模块521,用于在处于会话通讯阶段的情况下,接收客户端发送的包含会话标识和传输数据的密文数据包。
第二解密子模块522,用于根据所述包含会话标识和传输数据的密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行AES对称解密得到所述传输数据。
上述详细介绍了本发明的一种会话安全处理系统、设备及装置,以下介绍本发明对应的会话安全处理方法。
图6是根据本发明的一个实施例的一种会话安全处理方法的示意性流程图。
如图6所示,在步骤601中,在处于会话认证阶段的情况下,客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥,其中所述服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过。
该步骤中,所述客户端根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密。
该步骤中,所述服务端根据本地存储的私钥证书对所述密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过。
该步骤中,客户端接收所述服务端确认认证通过后所创建并发送的经过AES加密处理的包含会话标识和会话密钥的会话信息,并进行AES解密获得所述会话标识和会话密钥。
需说明的是,所述接收的服务端的会话信息可以设有有效期。
还需说明的是,所述客户端是根据进行域名解析所生成的服务端的请求URL地址将所述密文信息发送给服务端,其中所述URL地址是根据域名解析得到的IP地址进行组装。
在步骤602中,在处于会话通讯阶段的情况下,客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
该步骤中,客户端根据接收的所述会话信息中的会话密钥对传输数据进行AES对称加密。
该步骤中,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行AES对称解密得到所述传输数据。
可以发现,本发明实施例的技术方案,本发明实施例的技术方案,将客户端与服务端通讯的过程划分为会话认证和会话通讯两个阶段,在不同阶段采用不同的安全机制,例如在处于会话认证阶段的情况下,客户端是根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端;在处于会话通讯阶段的情况下,客户端是根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端;因此可以得到HTTPS协议的保护,确保会话的安全、高效,并且可以有效保障会话数据的保密性和防篡改能力,防止域名劫持,增强接口协议的私密性,确保用户的交易信息得到有效保护,从而实现了提高会话的安全性。
图7是根据本发明的一个实施例的一种会话安全处理方法的另一示意性流程图。
图7相对于图6更详细描述了本发明实施例的技术方案,并通过客户端与服务端的交互描述本发明实施例方案。
本发明实施例是预先生成一对证书密钥,将公钥证书部署在客户端,将私钥证书部署在服务端。
当客户端与服务端进行会话通讯时,首先进行会话认证,即处于会话认证阶段,客户端动态生成一个随机密钥sKey,通过AES(Advanced Encryption Standard,高级加密标准)算法和随机密钥sKey,对用户认证信息(例如用户名、密码等)进行AES对称加密,通过客户端侧存储的公钥证书对随机密钥则进行RSA非对称加密(RSA是算法提出者三人姓氏开头字母的组合,RSA是目前最有影响力的公钥加密算法),将两段加密的密文组成包含用户认证信息和所述随机密钥的密文信息发送到服务端。服务端接收到密文信息后,首先拆分出两段密文,通过服务端侧存储的私钥证书对随机密钥密文进行RSA非对称解密,得到随机密钥sKey,使用该随机密钥sKey,解密用户认证信息密文,得到用户认证信息;然后,服务端根据用户认证信息对用户身份进行认证,认证通过后,服务端将创建会话标识sessionId和会话密钥sessionKey,并使用随机密钥sKey对会话信息进行AES对称加密,返回给客户端,至此,客户端与服务端完成会话认证阶段。
在会话通讯阶段,客户端使用会话密钥sessionKey对传输的数据进行AES对称加密,加上会话标识,一起组成包含会话标识和传输数据的密文数据包发送给服务端。服务端接收到数据包后,先通过会话标识sessionId识别出服务端对应的会话信息,并使用对应的会话信息中的会话密钥sessionKey,对数据密文进行AES对称解密,如果解密成功,表示会话通讯数据有效,没有被篡改。需说明的是,为了进一步提升会话的安全性,可以设定会话信息的时效性(例如半小时),确保在会话期内是无法破解出密钥。
具体的,如图7所示,包括步骤:
在步骤701中,在处于会话认证阶段的情况之下,客户端进行域名解析得到请求的IP地址,并根据IP地址组装生成服务端的请求URL地址。
需说明的是,该步骤可以根据现有技术进行域名解析,本发明不加以限定。
在步骤702中,客户端获取用户的用户认证信息。
其中,用户认证信息例如是用户名和密码等。
在步骤703中,客户端随机生成随机密钥sKey。
客户端随机生成32位长的随机密钥sKey,随机密钥可以由字母和数字组成,用于用户认证信息的加密。
在步骤704中,客户端根据AES算法和本地存储的公钥证书生成包含用户认证信息和所述随机密钥的的请求密文,根据生成的请求URL地址将请求密文发送给服务端。
客户端生成包含用户认证信息和所述随机密钥的的请求密文,也即生成密文信息。
本发明可以根据以下公式,生成请求密文:
请求密文=随机密钥密文|用户认证信息密文
随机密钥密文=RSA(sKey)
用户认证信息密文=AES(用户认证信息,sKey)
格式说明:
随机密钥密文:表示使用客户端的公钥证书,对随机密钥sKey进行1024位RSA算法的非对称加密;
用户认证信息密文:表示使用随机密钥sKey,对用户认证信息进行128位AES算法的对称加密;
|:表示将两个密文信息通过竖线符号“|”进行字符串拼接。
在步骤705中,服务端接收到请求密文后,解密得到用户认证信息。
服务端首先使用服务端预存的私钥证书,对随机密钥密文进行RSA解密,得到随机密钥sKey,然后使用sKey对用户认证信息密文进行AES解密,得到用户认证信息。
在步骤706中,服务端对用户认证信息进行验证,确认用户信息的合法性。
在步骤707中,服务端在确认认证通过后生成会话信息。
服务端生成的会话信息主要包括用户的会话标识sessionId和会话密钥sessionKey,会话标识表示当前会话,会话密钥用于后续会话通讯的数据加密使用。另外,还可以同时设置会话的有效期,例如设置为30分钟等。
在步骤708中,服务端使用随机密钥sKey将会话信息进行AES加密后返回响应密文给客户端。
密文信息格式如下:
响应密文=AES(会话信息,sKey)
格式说明:
会话信息:主要包括sessionId和sessionKey。
在步骤709中,客户端使用sKey对响应密文进行AES解密,获取会话信息,会话认证完成。
在步骤710中,在会话通讯阶段的情况下,客户端根据会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端。
在第一阶段会话认证完成后,会话已经建立,后续的通讯将基于会话标识和会话密钥进行加密传输。
本发明实施例具体通讯时的传输数据加密格式如下:
数据报文=sessionId|AES(data,sessionKey)
格式说明:
data:原始通讯数据,即传输数据;
AES(data,sessionKey):使用会话密钥对通讯数据即传输数据进行128位AES加密;
|:表示把会话标识sessionId和数据密文信息,通过竖线符号“|”进行字符串拼接。
在步骤711中,服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
以下进一步通过一个应用实施例进行说明,以某游戏充值中心的充值支付方案为例。
假设用户在游戏场景,选择购买游戏币或道具,则本发明的处理流程包括:
1)游戏APP即客户端调用SDK(Software Development Kit,软件开发工具包)的充值功能接口,打开本地充值起始页start.html。
2)客户端通过现有的设定方式进行域名解析,生成请求游戏充值中心即服务端的请求URL地址。
3)客户端的本地充值页面读取当前用户在游戏SDK中的身份标识信息sid。
4)客户端生成会话认证请求信息。
会话认证请求信息的内容如下:
请求信息=RSA(sKey)|AES(sid,sKey)
格式说明:
sKey:随机生成的32位长密钥,由字母和数字组成;
sid:用户在游戏SDK中的身份标识,相当于用户输入的用户名和密码信息;
RSA:采用本地资源中的公钥证书,对sKey进行1024位RSA非对称加密;
5)客户端通过HTTP协议和JSONP方式,调用会话认证接口将请求信息发送到游戏充值中心即服务端。
6)服务端对请求信息进行解密得到身份标识信息sid。
服务端首先使用私钥证书对随机密钥密文进行RSA解密,得到随机密钥sKey,然后对sid密文进行AES解密,得到sid。
7)服务端通过游戏SDK服务器验证sid的有效性。
8)服务端在验证通过后,生成充值会话信息。
生成的充值会话信息主要包括会话标识sessionId和会话密钥sessionKey。
9)服务端使用随机密钥sKey对会话信息进行AES加密,并返回给本地充值页面。
计算公式:返回信息=AES(会话信息+授权信息,sKey)。
10)客户端根据授权信息,展示充值页面。
11)用户在显示的充值页面选择充值方式,并输入相关支付信息。
12)客户端在本地充值页面生成下单请求信息,并通过JSONP方式,向游戏充值中心下单。
下单请求信息=sessionId|AES(下单信息,sessionKey)
格式说明:使用会话密钥sessionKey,对下单信息进行128位AES对称加密
13)客户端使用会话密钥sessionKey,对下单信息进行128位AES对称加密,发送给游戏充值中心即服务端。
14)游戏充值中心接收到下单请求后,根据sessionId获取会话信息,并使用会话密钥sessionKey对密文进行AES解密,得到下单信息,并进行下单处理。
15)游戏充值中心根据下单结果,把请求的结果即下单请求响应返回给客户端的本地充值页面;
下单请求响应=AES(下单结果,sessionKey)
格式说明:使用会话密钥sessionKey,对下单结果进行128位AES对称加密
16)客户端的本地充值页面显示下单结果。
17)用户选择返回游戏。
从本发明实施例方案可发现,本发明实施例的方案具有以下有益效果:
1)本发明方案,在会话认证阶段,通过使用动态生成的随机密钥sKey,对用户身份标识信息sid进行加密保护,确保用户身份信息的私密性;同时,为了避免对称密钥的不足,通过部署在前端的公钥证书,对随机密钥进行RSA非对称加密,确保只有服务端的私钥证书才能解密。
2)本发明方案,服务端通过对用户身份的认证和RSA私钥解密,可以确保请求信息的正确性,并且有效避免伪造。
3)本发明方案,会话认证阶段完成后,将创建相应的会话信息,主要包括会话标识sessionId和会话密钥sessionKey,该会话可以设置具有一定的有效期,确保在有限时间内,会话密钥无法破解。
4)本发明方案,在会话通讯阶段,通过使用会话密钥sessionKey对通讯信息进行AES对称加密,可以建立起一条安全、高效的通讯信道,加密速度比使用RSA非对称加密更加快速,消耗的资源更少,尤其更适于移动终端例如手机上的应用。
综上所述,本发明实施例方案,采用证书加密和对称加密相结合的方法,将客户端与服务端通讯的过程划分为会话认证和会话通讯两个阶段,在不同阶段采用不同的安全机制,因此可以得到HTTPS协议的保护,确保会话的安全、高效,并且可以有效保障会话数据的保密性和防篡改能力,防止域名劫持,增强接口协议的私密性,确保用户的交易信息得到有效保护。
上文中已经参考附图详细描述了根据本发明的技术方案。
此外,根据本发明的方法还可以实现为一种计算机程序,该计算机程序包括用于执行本发明的上述方法中限定的上述各步骤的计算机程序代码指令。或者,根据本发明的方法还可以实现为一种计算机程序产品,该计算机程序产品包括计算机可读介质,在该计算机可读介质上存储有用于执行本发明的上述方法中限定的上述功能的计算机程序。本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。
附图中的流程图和框图显示了根据本发明的多个实施例的系统和方法的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标记的功能也可以以不同于附图中所标记的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (12)
1.一种会话安全处理系统,其特征在于,包括:客户端和服务端,所述客户端通过HTTP协议和JSONP与所述服务端进行数据交互,
所述客户端,在处于会话认证阶段的情况下,进行域名解析得到请求的IP地址,并根据IP地址组装生成服务端的请求URL地址,根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密,生成包含用户认证信息和所述随机密钥的密文信息,根据所述请求URL地址将所述密文信息发送给服务端,接收所述服务端发送的经过使用所述随机密钥加密处理的包含会话标识和会话密钥的会话信息,并使用所述随机密钥进行解密处理获得所述会话标识和会话密钥;在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端;
所述服务端,在处于会话认证阶段的情况下,接收所述客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据本地存储的私钥证书对所述密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过,创建并向所述客户端发送经过使用所述随机密钥加密处理的包含会话标识和会话密钥的会话信息,所述会话信息设有有效期;在处于会话通讯阶段的情况下,接收客户端发送的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
2.一种客户端设备,其特征在于,所述客户端设备通过HTTP协议和JSONP与服务端进行数据交互,所述客户端设备包括:存储器和处理器;
所述存储器在本地存储公钥证书;
所述处理器,在处于会话认证阶段的情况下,进行域名解析得到请求的IP地址,并根据IP地址组装生成服务端的请求URL地址,根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密,生成包含用户认证信息和所述随机密钥的密文信息,根据所述请求URL地址将所述密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过使用所述随机密钥加密处理的包含会话标识和会话密钥的会话信息,并使用所述随机密钥进行解密处理获得所述会话标识和会话密钥,其中所述会话信息设有有效期,所述服务端根据本地存储的私钥证书对所述密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过;在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
3.一种服务端设备,其特征在于,包括:存储器和处理器;
所述存储器在本地存储私钥证书;
所述处理器,在处于会话认证阶段的情况下,接收客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据所述存储器本地存储的私钥证书对所述密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过,创建并向所述客户端发送经过使用所述随机密钥加密处理的包含会话标识和会话密钥的会话信息,其中,所述会话信息设有有效期,所述密文信息是由客户端根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密生成的;在处于会话通讯阶段的情况下,接收客户端发送的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据,其中所述密文数据包是由所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理后生成,所述客户端是根据进行域名解析所生成的服务端的请求URL地址将所述密文信息发送给服务端,所述URL地址是根据域名解析得到的IP地址进行组装,所述客户端通过HTTP协议和JSONP与所述服务端设备进行数据交互。
4.一种会话安全处理装置,其特征在于,应用于客户端设备中,所述客户端设备通过HTTP协议和JSONP与服务端进行数据交互,所述会话安全处理装置包括:
第一处理模块,用于在处于会话认证阶段的情况下,进行域名解析得到请求的IP地址,并根据IP地址组装生成服务端的请求URL地址,根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理,生成包含用户认证信息和所述随机密钥的密文信息,根据所述请求URL地址将所述密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥,其中所述服务端根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过;
第二处理模块,用于在处于会话通讯阶段的情况下,根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据,
其中,所述第一处理模块包括:第一加密子模块,用于在处于会话认证阶段的情况下,根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密;第一收发子模块,用于在所述第一加密子模块进行加密处理后,生成包含用户认证信息和所述随机密钥的密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过使用所述随机密钥加密处理的包含会话标识和会话密钥的会话信息,所述会话信息设有有效期;第一解密子模块,用于使用所述随机密钥对所述第一收发子模块接收的会话信息进行AES解密处理获得所述会话标识和会话密钥。
5.根据权利要求4所述的装置,其特征在于,所述第二处理模块包括:
第二加密子模块,用于根据接收的包含会话标识和会话密钥的会话信息中的会话密钥对传输数据进行AES对称加密;
第二收发子模块,用于在所述第二加密子模块进行加密处理后,生成包含会话标识和传输数据的密文数据包发送给服务端。
6.根据权利要求4所述的装置,其特征在于,所述装置还包括:
地址模块,用于进行域名解析生成服务端的请求URL地址,其中所述URL地址是根据域名解析得到的IP地址进行组装;
所述第一处理模块根据所述地址模块的请求URL地址将所述密文信息发送给服务端。
7.一种会话安全处理装置,其特征在于,应用于服务端设备中,所述会话安全处理装置包括:
第一处理模块,用于在处于会话认证阶段的情况下,接收客户端发送的包含用户认证信息和所述随机密钥的密文信息,根据本地存储的私钥证书从所述密文信息解密得到所述随机密钥和用户认证信息后确认用户认证通过,创建并向所述客户端发送经过加密处理的包含会话标识和会话密钥的会话信息,其中所述密文信息是由客户端根据设定算法和本地存储的公钥证书分别对用户认证信息和生成的随机密钥进行加密处理后生成,所述客户端通过HTTP协议和JSONP与服务端设备进行数据交互,所述客户端是根据进行域名解析所生成的服务端的请求URL地址将所述密文信息发送给服务端,所述URL地址是根据域名解析得到的IP地址进行组装;
第二处理模块,用于在处于会话通讯阶段的情况下,接收客户端发送的包含会话标识和传输数据的密文数据包,根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据,其中所述密文数据包是由所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理后生成,
其中,所述第一处理模块包括:第一解密子模块,用于在处于会话认证阶段的情况下,根据本地存储的私钥证书对所述包含用户认证信息和所述随机密钥的密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过;第一加密子模块,用于创建包含会话标识和会话密钥的会话信息并使用所述随机密钥进行AES加密处理,所述会话信息设有有效期;第一收发子模块,用于向所述客户端发送经过所述第一加密子模块加密处理的包含会话标识和会话密钥的会话信息。
8.根据权利要求7所述的装置,其特征在于,所述第二处理模块包括:
第二收发子模块,用于在处于会话通讯阶段的情况下,接收客户端发送的包含会话标识和传输数据的密文数据包;
第二解密子模块,用于根据所述包含会话标识和传输数据的密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行AES对称解密得到所述传输数据。
9.一种会话安全处理方法,其特征在于,客户端通过HTTP协议和JSONP与服务端进行数据交互,该方法包括:
在处于会话认证阶段的情况下,客户端进行域名解析得到请求的IP地址,并根据IP地址组装生成服务端的请求URL地址,根据高级加密标准AES算法和生成的随机密钥对用户认证信息进行AES对称加密,根据本地存储的公钥证书对所述生成的随机密钥进行RSA非对称加密,生成包含用户认证信息和所述随机密钥的密文信息,根据所述请求URL地址将所述密文信息发送给服务端,接收所述服务端确认认证通过后所创建并发送的经过使用所述随机密钥加密处理的包含会话标识和会话密钥的会话信息,并使用所述随机密钥进行解密处理获得所述会话标识和会话密钥,其中,所述会话信息设有有效期,所述服务端根据本地存储的私钥证书对所述密文信息进行RSA非对称解密得到所述随机密钥,根据所述随机密钥对所述用户认证信息进行解密得到所述用户认证信息,根据所述用户认证信息对用户身份进行认证并确认用户认证通过;
在处于会话通讯阶段的情况下,客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理,生成包含会话标识和传输数据的密文数据包发送给服务端,使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据。
10.根据权利要求9所述的方法,其特征在于,所述客户端根据接收的所述会话信息中的会话密钥对传输数据进行加密处理包括:
客户端根据接收的所述会话信息中的会话密钥对传输数据进行AES对称加密。
11.根据权利要求10所述的方法,其特征在于,所述使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行解密得到所述传输数据包括:
使得所述服务端根据所述密文数据包中的会话标识识别出对应会话信息,并根据对应会话信息中的会话密钥对所述密文数据包进行AES对称解密得到所述传输数据。
12.根据权利要求9所述的方法,其特征在于,所述接收所述服务端确认认证通过后所创建并发送的经过使用所述随机密钥加密处理的包含会话标识和会话密钥的会话信息,并进行解密处理获得所述会话标识和会话密钥包括:
接收所述服务端确认认证通过后所创建并发送的使用所述随机密钥经过AES加密处理的包含会话标识和会话密钥的会话信息,并进行AES解密获得所述会话标识和会话密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610345889.6A CN107404469B (zh) | 2016-05-20 | 2016-05-20 | 一种会话安全处理系统、设备、装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610345889.6A CN107404469B (zh) | 2016-05-20 | 2016-05-20 | 一种会话安全处理系统、设备、装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107404469A CN107404469A (zh) | 2017-11-28 |
| CN107404469B true CN107404469B (zh) | 2021-02-19 |
Family
ID=60389614
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610345889.6A Active CN107404469B (zh) | 2016-05-20 | 2016-05-20 | 一种会话安全处理系统、设备、装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107404469B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951417B (zh) * | 2017-12-20 | 2021-06-04 | 深圳中电长城信息安全系统有限公司 | 一种身份认证的方法、系统及终端设备 |
| DE102018212361A1 (de) * | 2018-07-25 | 2020-01-30 | Robert Bosch Gmbh | Erstes fahrzeugseitiges Endgerät, Verfahren zum Betreiben des ersten Endgeräts, zweites fahrzeugseitiges Endgerät und Verfahren zum Betreiben des zweiten fahrzeugseitigen Endgeräts |
| CN109362074B (zh) * | 2018-09-05 | 2022-12-06 | 福建福诺移动通信技术有限公司 | 一种混合模式APP中h5与服务端安全通讯的方法 |
| CN109558485A (zh) * | 2018-10-25 | 2019-04-02 | 安徽创见未来教育科技有限公司 | 一种学习大数据搜索管理方法 |
| CN112134911A (zh) * | 2019-06-25 | 2020-12-25 | 联合汽车电子有限公司 | 一种远程程序升级方法、装置和介质 |
| CN112688949B (zh) * | 2020-12-25 | 2022-12-06 | 北京浪潮数据技术有限公司 | 一种访问方法、装置、设备及计算机可读存储介质 |
| CN113055398B (zh) * | 2021-03-31 | 2022-04-22 | 杭州恒生数字设备科技有限公司 | 一种基于sip架构的多级跨域设备证书管理系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254380A (zh) * | 2010-05-31 | 2011-11-23 | 北京汇冠金财科技有限公司 | 基于混合加密机制的手机安全支付方法及系统 |
| CN102638346A (zh) * | 2012-05-12 | 2012-08-15 | 杭州迪普科技有限公司 | 一种用户数字证书的认证方法及装置 |
| CN102664735A (zh) * | 2012-04-13 | 2012-09-12 | 江苏新彩软件有限公司 | 一种基于公共密钥的手机彩票系统安全会话实施方法 |
| CN103853943A (zh) * | 2014-02-18 | 2014-06-11 | 优视科技有限公司 | 程序保护方法及装置 |
| CN103916480A (zh) * | 2014-04-15 | 2014-07-09 | 武汉理工大学 | 一种面向共享文件的文件加密系统 |
| CN104219228A (zh) * | 2014-08-18 | 2014-12-17 | 四川长虹电器股份有限公司 | 一种用户注册、用户识别方法及系统 |
| US9270449B1 (en) * | 2014-01-17 | 2016-02-23 | Amazon Technologies, Inc. | Secured communication in network environments |
-
2016
- 2016-05-20 CN CN201610345889.6A patent/CN107404469B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254380A (zh) * | 2010-05-31 | 2011-11-23 | 北京汇冠金财科技有限公司 | 基于混合加密机制的手机安全支付方法及系统 |
| CN102664735A (zh) * | 2012-04-13 | 2012-09-12 | 江苏新彩软件有限公司 | 一种基于公共密钥的手机彩票系统安全会话实施方法 |
| CN102638346A (zh) * | 2012-05-12 | 2012-08-15 | 杭州迪普科技有限公司 | 一种用户数字证书的认证方法及装置 |
| US9270449B1 (en) * | 2014-01-17 | 2016-02-23 | Amazon Technologies, Inc. | Secured communication in network environments |
| CN103853943A (zh) * | 2014-02-18 | 2014-06-11 | 优视科技有限公司 | 程序保护方法及装置 |
| CN103916480A (zh) * | 2014-04-15 | 2014-07-09 | 武汉理工大学 | 一种面向共享文件的文件加密系统 |
| CN104219228A (zh) * | 2014-08-18 | 2014-12-17 | 四川长虹电器股份有限公司 | 一种用户注册、用户识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107404469A (zh) | 2017-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018000886A1 (zh) | 应用程序通信处理系统、装置、方法及客户端、服务端 | |
| CN107404469B (zh) | 一种会话安全处理系统、设备、装置及方法 | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN111431713B (zh) | 一种私钥存储方法、装置和相关设备 | |
| CN106878245B (zh) | 图形码信息提供、获取方法、装置及终端 | |
| CN109150897B (zh) | 一种端到端的通信加密方法及装置 | |
| CN109302369B (zh) | 一种基于密钥验证的数据传输方法及装置 | |
| CN102833253A (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| CN105307165A (zh) | 基于移动应用的通信方法、服务端和客户端 | |
| CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
| KR20150079489A (ko) | 실시간 통신 방법 및 시스템 | |
| KR101879758B1 (ko) | 사용자 단말기별 사용자 디지털 인증서 발급 방법 및 그 인증서에 의한 인증 방법 | |
| CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
| CN106972919B (zh) | 一种密钥协商方法和装置 | |
| CN110839240A (zh) | 一种建立连接的方法及装置 | |
| GB2522445A (en) | Secure mobile wireless communications platform | |
| CN109618313B (zh) | 一种车载蓝牙设备及其连接方法、系统 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| JPH10340255A (ja) | ネットワーク利用者認証方式 | |
| CN111225001B (zh) | 区块链去中心化通讯方法、电子设备及系统 | |
| US20240187221A1 (en) | Agile cryptographic deployment service | |
| CN112769759B (zh) | 信息处理方法、信息网关、服务器及介质 | |
| US20220376933A1 (en) | Cryptographic services for browser applications | |
| CN108550036B (zh) | 一种建立安全基础设施的方法、终端及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200715 Address after: 310052 room 508, floor 5, building 4, No. 699, Wangshang Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Alibaba (China) Co.,Ltd. Address before: 510627 Guangdong city of Guangzhou province Whampoa Tianhe District Road No. 163 Xiping Yun Lu Yun Ping B radio square 14 storey tower Applicant before: Guangzhou Dongjing Computer Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |