CN110830507B - 资源访问方法、装置、电子设备及系统 - Google Patents

资源访问方法、装置、电子设备及系统 Download PDF

Info

Publication number
CN110830507B
CN110830507B CN201911212713.3A CN201911212713A CN110830507B CN 110830507 B CN110830507 B CN 110830507B CN 201911212713 A CN201911212713 A CN 201911212713A CN 110830507 B CN110830507 B CN 110830507B
Authority
CN
China
Prior art keywords
gateway
data
character string
sent
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911212713.3A
Other languages
English (en)
Other versions
CN110830507A (zh
Inventor
曹良景
何炳岳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201911212713.3A priority Critical patent/CN110830507B/zh
Publication of CN110830507A publication Critical patent/CN110830507A/zh
Application granted granted Critical
Publication of CN110830507B publication Critical patent/CN110830507B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种资源访问方法、装置、电子设备及系统,其中,该方法包括:将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;使用设定加密密钥对数据摘要进行加密,以得到待发送数据的数据签名;将带有数据签名的目标数据包发送给网关设备,数据签名用于供网关设备对目标数据包进行验证。

Description

资源访问方法、装置、电子设备及系统
技术领域
本申请涉及网络技术领域,具体而言,涉及一种资源访问方法、装置、电子设备及系统。
背景技术
数据资源的分布区分为本地区域资源和外部区域资源,终端所属的区域称为本地区域,相对终端所属的本地区域之外的区域称为外部区域。终端在访问本地区域内的资源时不需要穿过防火墙,可以在防火墙以下设备间自由通信。终端在访问外部区域资源时,需要穿过防火墙,这时就需要访问外部区域资源的终端上安装数字证书和认证客户端,并且需要终端健康检查和认证通过后才可以穿过安全网关设备,对于没有安装数字证书和认证客户端的终端不允许穿过安全网关设备来访问外部区域资源。但是现有的针对外部资源的访问的认证还存在不足。
发明内容
有鉴于此,本申请实施例的目的在于提供一种资源访问方法、装置、电子设备及系统。能够达到安全访问外界数据的同时,还能够降低终端的资源的消耗的效果。
第一方面,实施例提供一种资源访问方法,应用于客户终端,所述资源访问方法包括:
将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;
使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;
将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证。
在可选的实施方式中,所述方法还包括:
监测是否有外接认证设备;
若监测到外接认证设备,获取所述外接认证设备中的数字证书;
将所述数字证书发送给所述网关设备进行验证;
若所述数字证书验证成功,接收所述网关设备发送的所述设定加密密钥。
本申请实施例提供的资源访问方法,还可以主动向安全网关请求加密密钥,并且是在数字证书认证通过之后才能够接收到加密密钥,从而可以提高终端访问资源的安全性。
在可选的实施方式中,所述若监测到外接认证设备,获取所述外接认证设备中的数字证书的步骤,包括:
若监测到外接认证设备,获取输入的第一个人识别密码;
读取所述外接认证设备当前输出的第二个人识别密码;
将所述第一个人识别密码与所述第二个人识别密码进行对比;
若第一个人识别密码与所述第二个人识别密码相同,读取所述外接认证设备的数字证书。
本申请实施例提供的资源访问方法,在读取数字证书之前还可以进行个人识别密码的验证,可以实现判定是否为人为操作,从而可以提高对数字证书的认证的安全性。
在可选的实施方式中,所述若所述数字证书验证成功,接收所述网关设备发送的所述设定加密密钥的步骤,包括:
若所述数字证书验证成功,接收所述网关设备发送的第一加密字符串和网关证书;
读取所述外接认证设备中的解密密钥;
使用所述解密密钥对所述第一加密字符串进行解密,得到第一字符串;
使用所述网关证书对所述第一字符串进行加密,以得到第二加密字符串;
将所述第二加密字符串发送给所述网关设备,所述第二加密字符串用于供所述网关设备验证;
若所述第二加密字符串验证成功,接收所述网关设备发送的所述设定加密密钥。
本申请实施例提供的资源访问方法,在发送加密密钥之前,还可以对外界设备中的解密密钥进行验证,在解密密钥、网关证书等多重验证均成功后才发送加密密钥,可以提高获取加密密钥的过程更加安全。
在可选的实施方式中,所述方法还包括:
根据设定安全策略筛选出所述需要签名的待发送数据包。
在可选的实施方式中,所述方法还包括:
若所述数字证书验证成功,接收所述网关设备发送的所述设定安全策略。
本申请实施例提供的资源访问方法,还可以接收安全网关的设定安全策略,根据设定安全策略区分出安全区和受限区,终端访问不同区域的资源时进行动态的控制,从而可以更能够适应不同情况的需求。
在可选的实施方式中,所述监测是否有外接认证设备的步骤,包括:
在接收到所述网关设备发送的签到指令后,监测是否有外接认证设备;或者,
在目标应用程序被启动时,监测是否有外接认证设备。
本申请实施例提供的资源访问方法,还可以在指定条件下,可以监测外接认证设备从而可以实现重新向安全网关请求新的加密密钥,从而可以实现对加密密钥的更新,从而提高资源访问的安全性。
在可选的实施方式中,在所述将带有所述数据签名的目标数据包发送给网关设备之前,所述方法还包括:
将所述数据签名写入所述待发送数据包的网际互连协议头部,以形成所述目标数据包。
本申请实施例提供的资源访问方法,采用网际互连协议头部来承载数据签名,可以仅使用头部数据就能够实现验证数据包的完整性,提高验证速度。
第二方面,实施例提供一种资源访问方法,应用于网关设备,所述资源访问方法包括:
接收客户终端发送的目标数据包;
使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;
对所述数据摘要进行验证;
若对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
在可选的实施方式中,所述方法还包括:
若对所述数据摘要验证失败,则将所述目标数据包对应的连接拆除。
在可选的实施方式中,所述方法还包括:
接收所述客户终端发送的数字证书;
将所述数字证书进行验证;
若所述数字证书认证成功,则向所述客户终端发送所述设定加密密钥。
在可选的实施方式中,所述将所述数字证书进行验证的步骤,包括:
将所述数字证书发送给电子认证服务中心进行认证;
若所述数字证书认证成功,则生成第二字符串;
使用所述数字证书对所述第二字符串进行加密,得到第三加密字符串;
将所述第三加密字符串及网关证书发送给所述客户终端;
接收所述客户终端发送的第四加密字符串,所述第四加密字符串为所述客户终端使用所述网关证书对所述第三加密字符串解密得到的字符串进行加密得到的加密字符串;
使用所述网关证书对应的解密密钥对所述第四加密字符串进行解密,得到第三字符串;
若所述第三字符串与所述第二字符串相同,则表征所述数字证书验证成功。
在可选的实施方式中,所述方法还包括:
若所述数字证书认证成功,则向所述客户终端发送设定安全策略。
在可选的实施方式中,所述方法还包括:
按照设定周期向所述客户终端发送签到指令,所述签到指令用于提示所述客户终端发送数字证书验证请求。
第三方面,实施例提供一种资源访问方法,所述资源访问方法包括:
客户终端将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;
所述客户终端使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;
所述客户终端将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证;
所述网关设备使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;
若所述网关设备对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
第四方面,实施例提供一种资源访问装置,应用于客户终端,所述资源访问方法包括:
计算模块,用于将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;
加密模块,用于使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;
第一发送模块,用于将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证。
第五方面,实施例提供一种资源访问装置,应用于网关设备,所述资源访问方法包括:
第一接收模块,用于接收客户终端发送的目标数据包;
解密模块,用于使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;
第一验证模块,用于对所述数据摘要进行验证;
第二发送模块,用于若对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
第六方面,实施例提供一种电子设备,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如前述实施方式任一所述的方法的步骤。
第七方面,实施例提供一种资源访问系统,包括:
客户终端,用于将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证;
所述网关设备,用于:使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;若所述网关设备对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
第八方面,实施例提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如前述实施方式任一所述的方法的步骤。
本申请实施例提供的资源访问方法、装置、电子设备、系统及计算机可读存储介质,采用对数据的摘要进行加密,安全网关就加密的摘要进行验证之后,通过摘要的验证可以了解到数据包的完整性,提高外界资源访问的可靠性。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例一提供的资源访问系统的环境示意图。
图2为本申请实施例一提供的电子设备的方框示意图。
图3为本申请实施例二提供的资源访问方法的流程图。
图4为本申请实施例二提供的资源访问方法的部分流程图。
图5为本申请实施例三提供的资源访问装置的功能模块示意图。
图6为本申请实施例四提供的资源访问方法的流程图。
图7为本申请实施例五提供的资源访问装置的功能模块示意图。
图8为本申请实施例六提供的资源访问方法的泳道图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
针对访问外部资源,可以使用vpn(Virtual Private Network,虚拟专用网络)技术,通过终端安装的vpn客户端与安全网关建立一条vpn隧道,对经过隧道的所有数据进行加解密处理。
终端安装vpn客户端,安全网关提供vpn管理服务,本地区域与外部区域可以通过几组网段来区分开,vpn客户端与vpn安全网关建立vpn隧道(保护外部区域所属网段的数据),建立vpn隧道时需要验证客户端的证书。本地区域内的终端间进行数据交互时,不会被路由到vpn虚口,这样也不会穿过防火墙,在防火墙以下活动。本地终端访问外部区域资源时,数据会被路由到vpn虚口并进行加密,加密的数据穿过防火墙后,在安全网关解密后转发到外部区域,从外部区域返回的数据在安全网关加密后穿过防火墙进入到本地区域,在本地终端上进行解密处理。
通过vpn技术访问外部区域的所有交互数据都要必须通过vpn隧道进行加解密处理,客户端侧的数据加解密处理对终端的资源消耗很大。另外,在本地终端建立vpn隧道时只能做本地证书认证,无法做到对本地终端进行健康相关的合规性检查。
基于上述研究,本申请实施例提供一种资源访问方法、装置及系统,可以解决上述的vpn技术访问外部区域的数据所存在的不足。
实施例一
为便于对本实施例进行理解,首先对执行本申请实施例所公开的一种资源访问方法的运行环境进行详细介绍。
如图1所示,是本申请实施例提供的资源访问系统的环境示意图。所述安全网关120与一个或多个客户终端110进行通信连接,以进行数据通信或交互。客户终端110可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personaldigital assistant,PDA)等。安全网关120可以是用于对客户终端110发送的数据进行安全验证。
示例性地,安全网关120可以由一个路由器和一个处理机构成。安全网关120可以提供协议、链路和应用级保护。
可选地,如图1所示,客户终端110可以与交换机140、集线器150、或路由器160连接。交换机140、集线器150、或路由器160通过一交换机与安全网关120连接。示例性地,如图1所示,客户终端110需要访问外部资源时,需穿过防火墙130后,通过安全网关120转发到外部区域。
本实施例中,安全网关120基于零信任技术构建防护体系,主要提供网络接入终端身份识别、终端健康检查和网络访问策略控制的功能。
可选地,安全网关120通过数字证书联动国家CA(Certificate Authority,中文称:电子认证)证书中心,实现设备唯一性验证,利用证书的非对称加密原理,协商出对称密钥。
可选地,安全网关120还可以下发安全策略给客户终端110,由客户终端110根据安全策略构建带有安全标记的数据包,安全网关120根据安全策略对指定数据进行验证,实现连接跟踪保活。在数据包通过验证后对当前连接流量进行转发,否则切断整个连接跟踪达到阻断目的。进一步地,要求入网终端进行实名认证和安全检测,真正实现入网必可信。
可选地,客户终端110与安全网关120的连接在指定时间内没有数据包的传输,则可以拆除该连接。
如图2所示,是电子设备200的方框示意图。电子设备200可以包括存储器211、存储控制器212、处理器213、外设接口214、输入输出单元215、显示单元216。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子设备200的结构造成限定。例如,电子设备200还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。本实施例中的电子设备200可以作为上述的客户终端110或安全网关120的实施例。
上述的存储器211、存储控制器212、处理器213、外设接口214、输入输出单元215及显示单元216各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器213用于执行存储器中存储的可执行模块。
其中,存储器211可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器211用于存储程序,所述处理器213在接收到执行指令后,执行所述程序,本申请实施例任一实施例揭示的过程定义的电子设备200所执行的方法可以应用于处理器213中,或者由处理器213实现。
上述的处理器213可能是一种集成电路芯片,具有信号的处理能力。上述的处理器213可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述的外设接口214将各种输入/输出装置耦合至处理器213以及存储器211。在一些实施例中,外设接口214,处理器213以及存储控制器212可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
上述的输入输出单元215用于提供给用户输入数据。所述输入输出单元215可以是,但不限于,鼠标和键盘等。
上述的显示单元216在电子设备200与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
本实施例中的电子设备200可以用于执行本申请实施例提供的各个方法中的各个步骤。下面通过几个实施例详细描述资源访问方法的实现过程。
实施例二
请参阅图3,是本申请实施例提供的资源访问方法的流程图。下面将对图3所示的具体流程进行详细阐述。
步骤302,将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要。
可选地,将需要签名的待发送数据包中的数据体使用哈希算法进行计算,以得到数据摘要。示例性地,该哈希算法可以是消息摘要算法(MD5 Message-Digest Algorithm)。
可选地,可以通过消息摘要算法产生出一个128位(16字节)的散列值(hashvalue)。
示例性地,上述的数据体可以表示待发送数据包除IP头部和选项部分之外的其它数据部分。
在一实施方式中,在步骤302之前,资源访问方法还可以包括:根据设定安全策略筛选出所述需要签名的待发送数据包。
示例性地,设定安全策略可以是从安全网关中获取的策略。
示例性地,设定安全策略也可以是预先存在客户终端的策略。
示例性地,设定安全策略也可以是从其它安全服务器中预先获取的策略。
可选地,本实施例中的方法应用于图1所示的客户终端。该客户终端中安装有一目标应用程序。
该目标应用程序可以通过网卡数据截获技术从PC(Personal Computer)网卡截获到所有待发送的数据包,然后根据设定安全策略筛选出需要构建安全数据包的数据。
步骤304,使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名。
由于IP头的选项部分最大可以承载40字节的私有数据。因此,在一可选的实施方式中,可以使用IP选项多字节的格式来承载数据签名。基于此,在步骤306之前,还可以包括:将所述数据签名写入所述待发送数据包的网际互连协议(Internet Protocol,简称:IP)头部,以形成所述目标数据包。示例性地,可以将数据签名写入IP头部的选项部分。
步骤306,将带有所述数据签名的目标数据包发送给网关设备。
数据签名用于供所述网关设备对所述目标数据包进行验证。
示例性地,安全网关接收到普通流量和带签名的安全数据包,根据规则对带有数据签名的目标数据包进行签名验证,也可以对目标数据包中的数据完整性进行验证。如果一目标数据包未通过验证,则拆掉该目标数据包对应的连接跟踪,同时丢弃所有和此连接相关的流量。如果一目标数据包的验证通过,则可以将该目标数据包转发给外部设备。
示例性地,在对目标数据包进行验证时还可以保持连接跟踪和转发普通流量。
在一实施方式中,安全网关对目标数据包的验证过程可以包括:安全网关使用设定加密密钥对应的解密密钥对数据签名部分进行解密,解密成功则判定该目标数据包对应的连接合法。
在一实施方式中,还可以将目标数据包括中的除了IP头部和数据签名部分的其它数据部分与解密后的数据签名对应的数据摘要进行对比,以验证目标数据包的完整性。
通过对能否解密和数据的完整性进行双重验证,可以提高数据转发的安全性,从而实现安全访问外部资源的目的。
在一种实施方式中,如图4所示,本实施例中的资源访问方法还可以包括以下步骤。
步骤3011,监测是否有外接认证设备。
步骤3011,包括:在接收到所述网关设备发送的签到指令后,监测是否有外接认证设备;或者,在目标应用程序被启动时,监测是否有外接认证设备。
示例性地,在接收到所述网关设备发送的签到指令后,或在目标应用程序被启动时,可以启动监测是否有外接认证设备,从而可以进一步地启动到安全网关签到,以进一步地对设定加密密钥的更新。
客户终端开机启动时,目标应用程序以托盘的形式运行,监测到外接认证设备(uKey)插入客户终端的通用串行总线接口。
步骤3012,若监测到外接认证设备,获取所述外接认证设备中的数字证书。
步骤3012可以包括:若监测到外接认证设备,获取输入的第一个人识别密码;读取所述外接认证设备当前输出的第二个人识别密码;将所述第一个人识别密码与所述第二个人识别密码进行对比;若第一个人识别密码与所述第二个人识别密码相同,读取所述外接认证设备的数字证书。
示例性地,在监测到uKey的插入后,可以在目标应用程序显示一输入窗口,该输入窗口用于接收用户输入的第一个人识别密码(Personal identification number,简称:PIN)。接收到PIN码后,调用uKey接口获取uKey的第二PIN码进行比对验证。
可选地,如果在验证PIN码过程中,uKey被拔下,托盘形式运行的目标应用程序主动锁定客户终端,要求用户重新验证PIN码。
可选地,若未使用uKey,则目标应用程序可以拦截客户终端发送的所有用于访问外部资源的数据包。
示例性地,在PIN认证通过后,读取uKey中的数字证书。
步骤3013,将所述数字证书发送给所述网关设备进行验证。
步骤3014,若所述数字证书验证成功,接收所述网关设备发送的所述设定加密密钥。
步骤3014可以包括:若所述数字证书验证成功,接收所述网关设备发送的第一加密字符串和网关证书;读取所述外接认证设备中的解密密钥;使用所述解密密钥对所述第一加密字符串进行解密,得到第一字符串;使用所述网关证书对所述第一字符串进行加密,以得到第二加密字符串;将所述第二加密字符串发送给所述网关设备,所述第二加密字符串用于供所述网关设备验证;若所述第二加密字符串验证成功,接收所述网关设备发送的所述设定加密密钥。
可选地,上述的第一加密字符串可以是一随机字符串通过数字证书进行加密后的加密字符串。示例性地,上述的随机字符串为安全网关在对数字证书验证通过后,随机生成的一字符串。
可选地,安全网关在接收到第二加密字符串后,使用网关证书对应的解密密钥对第二加密字符串进行解密,得到解密后的字符串。将解密后的字符串与随机生成的随机字符串进行对比,如果是相同的字符串,则表征字符串的传输过程是安全的,则表征第二加密字符串验证成功,也表征目标应用程序签到成功。目标应用程序在签到成功后,可以接收到安全网关发送的设定加密密钥。
在一实施方式中,资源访问方法还可以包括:若所述数字证书验证成功,接收所述网关设备发送的所述设定安全策略。
示例性地,上述的设定安全策略可以包括:限定需要进行数据签名的数据类型、需要对客户终端进行的安全检查类型等。
可选地,设定安全策略还可以包括对客户终端外设监控策略。
客户终端在接收到设定安全策略之后,目标应用程序可以对客户终端终的外设进行监控,当监测到客户终端外设有异常,则可以向安全网关发送异常通知消息。
通过本实施例中的方法,由于增加了设定安全策略,从而可以对访问外部区域的流量进行选择性的打标和控制,减轻对终端资源的消耗。
进一步地,在对客户终端进行数字证书认证的同时,还可以通过设定安全策略对客户终端进行健康相关的二次合规性检查,不合规时能进行隔离处理,从而保证访问外部区域的客户终端本身是安全的。还可以对客户终端的外设进行监控,发现异常能够及时发出告警并进行处理。
进一步地,采用在安装数字证书和认证客户端作为首要的判定标准来限定能否访问外部区域资源。
实施例三
基于同一申请构思,本申请实施例中还提供了与资源访问方法对应的资源访问装置,由于本申请实施例中的装置解决问题的原理与前述的实施例二提供的资源访问方法实施例相似,因此本实施例中的装置的实施可以参见上述方法的实施例中的描述,重复之处不再赘述。
请参阅图5,是本申请实施例提供的资源访问装置的功能模块示意图。本实施例中的资源访问装置中的各个模块用于执行上述方法实施例中的各个步骤。资源访问装置包括:计算模块401、加密模块402及第一发送模块403;其中,
计算模块401,用于将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;
加密模块402,用于使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;
第一发送模块403,用于将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证。
一种可能的实施方式中,本实施例中的资源访问装置还可以包括:签到模块404,该签到模块404包括:监测单元、获取单元、第一发送单元以及第一接收单元,其中,
监测单元,用于监测是否有外接认证设备;
获取单元,用于若监测到外接认证设备,获取所述外接认证设备中的数字证书;
第一发送单元,用于将所述数字证书发送给所述网关设备进行验证;
第一接收单元,用于若所述数字证书验证成功,接收所述网关设备发送的所述设定加密密钥。
一种可能的实施方式中,该获取单元,用于:
若监测到外接认证设备,获取输入的第一个人识别密码;
读取所述外接认证设备当前输出的第二个人识别密码;
将所述第一个人识别密码与所述第二个人识别密码进行对比;
若第一个人识别密码与所述第二个人识别密码相同,读取所述外接认证设备的数字证书。
一种可能的实施方式中,该第一接收单元,用于:
若所述数字证书验证成功,接收所述网关设备发送的第一加密字符串和网关证书;
读取所述外接认证设备中的解密密钥;
使用所述解密密钥对所述第一加密字符串进行解密,得到第一字符串;
使用所述网关证书对所述第一字符串进行加密,以得到第二加密字符串;
将所述第二加密字符串发送给所述网关设备,所述第二加密字符串用于供所述网关设备验证;
若所述第二加密字符串验证成功,接收所述网关设备发送的所述设定加密密钥。
一种可能的实施方式中,资源访问装置还可以包括:
筛选模块405,用于根据设定安全策略筛选出所述需要签名的待发送数据包。
一种可能的实施方式中,资源访问装置还可以包括:
第二接收模块406,用于若所述数字证书验证成功,接收所述网关设备发送的所述设定安全策略。
一种可能的实施方式中,监测单元,用于:
在接收到所述网关设备发送的签到指令后,监测是否有外接认证设备;或者,
在目标应用程序被启动时,监测是否有外接认证设备。
一种可能的实施方式中,资源访问装置还可以包括:形成模块,用于将所述数据签名写入所述待发送数据包的网际互连协议头部,以形成所述目标数据包。
实施例四
请参阅图6,是本申请实施例提供的资源访问方法的流程图。本实施例中的方法与实施例二中的方法类似,不同之处在于,本实施例中的方法是基于安全网关一侧进行描述,实施例二中的方法是基于与安全网关通信连接的客户终端一侧进行描述。下面将对图6所示的具体流程进行详细阐述。
步骤502,接收客户终端发送的目标数据包。
上述目标数据包包括IP头部和数据体。该IP头部中包括客户终端使用设定加密密钥加密的数据签名。
步骤504,使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要。
可选地,该设定加密密钥为安全网关发送给客户终端的密钥。
可选地,设定加密密钥与设定解密密钥为对称加密密钥。也就是设定加密密钥与设定解密密钥相同。
步骤506,对所述数据摘要进行验证。
可选地,若使用设定解密密钥能够解密成功,则判定验证成功。
可选地,可以将目标数据包中除IP头部和数据签名以外的其它部分与解密得到是数据摘要进行比对,以验证目标数据包是否完整。
步骤508,若对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
示例性地,还可以仅能够实现对数据签名的解密,则表征目标数据包正常,则可以将该目标数据包对应的当前连接流量进行转发。
示例性地,还可以不能够实现对数据签名的解密,则表征目标数据包异常,则可以将该目标数据包对应的当前连接流量拆除。
本实施例中,资源访问方法还可以包括:步骤510,若对所述数据摘要验证失败,则将所述目标数据包对应的连接拆除。
本实施例中,资源访问方法还可以包括以下步骤。
步骤5011,接收所述客户终端发送的数字证书。
步骤5012,将所述数字证书进行验证。
示例性地,步骤5012,包括:将所述数字证书发送给电子认证服务中心进行认证;若所述数字证书认证成功,则生成第二字符串;使用所述数字证书对所述第二字符串进行加密,得到第三加密字符串;将所述第三加密字符串及网关证书发送给所述客户终端;接收所述客户终端发送的第四加密字符串;使用所述网关证书对应的解密密钥对所述第四加密字符串进行解密,得到第三字符串;若所述第三字符串与所述第二字符串相同,则表征所述数字证书验证成功。
其中,第四加密字符串为所述客户终端使用所述网关证书对所述第三加密字符串解密得到的字符串进行加密得到的加密字符串。
示例性地,安全网关在接收到数字证书后,可以将该数字证书发送给发布该数字证书的电子认证(Certificate Authority,简称:CA)服务中心进行认证。接收到电子认证服务中心返回的认证通过的消息后,可以随机生成第二字符串。
可选地,第二字符串可以是16字节的字符串。
示例性地,数字证书中携带有一公钥密钥,则可以使用该公钥密钥进行加密。可选地,客户终端插入的uKey中存储有该公钥密钥对应的私钥密钥。
本实施例中,上述的网关证书中携带有公钥密钥。上述的第四加密密钥为使用该网关证书的公钥密钥对通过对第三加密字符串解密得到字符串进行加密得到的。
示例性地,安全网关中存储有上述的网关证书中的公钥密钥对应的私密密钥。该私密密钥作为解密密钥可以对第四加密字符串进行解密。
步骤5013,若所述数字证书认证成功,则向所述客户终端发送所述设定加密密钥。
步骤5014,若所述数字证书认证成功,则向所述客户终端发送设定安全策略。
可选地,设定加密密钥和设定安全策略可以被合并发送。
可选地,资源访问方法还可以包括:步骤514,按照设定周期向所述客户终端发送签到指令,所述签到指令用于提示所述客户终端发送数字证书验证请求。
可选地,安全网关在接收到的目标数据包被判定为验证不通过的次数达到指定次数后,可以向所述客户终端发送签到指令,所述签到指令用于提示所述客户终端发送数字证书验证请求。
本实施例中与实施例二重复之处,可以参考实施例二中的描述,在此不再赘述。
实施例五
基于同一申请构思,本申请实施例中还提供了与资源访问方法对应的资源访问装置,由于本申请实施例中的装置解决问题的原理与前述的实施例四提供的资源访问方法实施例相似,因此本实施例中的装置的实施可以参见上述方法的实施例中的描述,重复之处不再赘述。
请参阅图7,是本申请实施例提供的资源访问装置的功能模块示意图。本实施例中的资源访问装置中的各个模块用于执行上述方法实施例中的各个步骤。资源访问装置包括:第一接收模块601、解密模块602、第一验证模块603及第二发送模块604;其中,
第一接收模块601,用于接收客户终端发送的目标数据包;
解密模块602,用于使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;
第一验证模块603,用于对所述数据摘要进行验证;
第二发送模块604,用于若对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
一种可能的实施方式中,资源访问装置还可以包括:
拆除模块605,用于若对所述数据摘要验证失败,则将所述目标数据包对应的连接拆除。
一种可能的实施方式中,资源访问装置还可以包括:第二验证模块606,该第二验证模块606包括第二接收单元、验证单元、及第二发送单元,其中:
第二接收单元,用于接收所述客户终端发送的数字证书;
验证单元,用于将所述数字证书进行验证;
第二发送单元,用于若所述数字证书认证成功,则向所述客户终端发送所述设定加密密钥。
一种可能的实施方式中,该验证单元,用于:
将所述数字证书发送给电子认证服务中心进行认证;
若所述数字证书认证成功,则生成第二字符串;
使用所述数字证书对所述第二字符串进行加密,得到第三加密字符串;
将所述第三加密字符串及网关证书发送给所述客户终端;
接收所述客户终端发送的第四加密字符串,所述第四加密字符串为所述客户终端使用所述网关证书对所述第三加密字符串解密得到的字符串进行加密得到的加密字符串;
使用所述网关证书对应的解密密钥对所述第四加密字符串进行解密,得到第三字符串;
若所述第三字符串与所述第二字符串相同,则表征所述数字证书验证成功。
一种可能的实施方式中,资源访问装置的第二验证模块606还可以包括:第三发送单元,用于若所述数字证书认证成功,则向所述客户终端发送设定安全策略。
一种可能的实施方式中,资源访问装置还可以包括:第三发送模块607,用于按照设定周期向所述客户终端发送签到指令,所述签到指令用于提示所述客户终端发送数字证书验证请求。
实施例六
请参阅图8,是本申请实施例提供的资源访问方法的泳道图。本实施例中的方法与实施例二中的方法类似,不同之处在于,本实施例中的方法是基于安全网关和客户终端形成的系统进行描述。下面将对图8所示的具体流程进行详细阐述。
步骤701,客户终端将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要。
步骤702,所述客户终端使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名。
步骤703,所述客户终端将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证。
步骤704,所述网关设备使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要。
步骤705,若所述网关设备对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
本实施例中,资源访问方法还可以包括数字证书验证的过程,本实施例中的数字证书验证过程与实施例二和实施例四中的数字证书验证过程类似,具体可以参考实施例二中的步骤3011至步骤3014,和实施例四中的步骤5011至步骤5014。在此不再赘述
本实施例中与实施例二或实施例四重复之处,可以参考实施例二或实施例四中的描述,在此不再赘述。
此外,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例二或实施例四中所述的资源访问方法的步骤。
本申请实施例所提供的资源访问方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行上述方法实施例二或实施例四中所述的资源访问方法的步骤,具体可参见上述方法实施例,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (16)

1.一种资源访问方法,其特征在于,应用于客户终端,所述资源访问方法包括:
将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;
监测是否有外接认证设备;
若监测到外接认证设备,获取所述外接认证设备中的数字证书;
将所述数字证书发送给网关设备进行验证;
若所述数字证书验证成功,接收所述网关设备发送的第一加密字符串和网关证书;
读取所述外接认证设备中的解密密钥;
使用所述解密密钥对所述第一加密字符串进行解密,得到第一字符串;
使用所述网关证书对所述第一字符串进行加密,以得到第二加密字符串;
将所述第二加密字符串发送给所述网关设备,所述第二加密字符串用于供所述网关设备验证;
若所述第二加密字符串验证成功,接收所述网关设备发送的设定加密密钥;
使用所述设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;
将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证。
2.根据权利要求1所述的方法,其特征在于,所述若监测到外接认证设备,获取所述外接认证设备中的数字证书的步骤,包括:
若监测到外接认证设备,获取输入的第一个人识别密码;
读取所述外接认证设备当前输出的第二个人识别密码;
将所述第一个人识别密码与所述第二个人识别密码进行对比;
若第一个人识别密码与所述第二个人识别密码相同,读取所述外接认证设备的数字证书。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据设定安全策略筛选出所述需要签名的待发送数据包。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述数字证书验证成功,接收所述网关设备发送的所述设定安全策略。
5.根据权利要求1所述的方法,其特征在于,所述监测是否有外接认证设备的步骤,包括:
在接收到所述网关设备发送的签到指令后,监测是否有外接认证设备;或者,
在目标应用程序被启动时,监测是否有外接认证设备。
6.根据权利要求1所述的方法,其特征在于,在所述将带有所述数据签名的目标数据包发送给网关设备之前,所述方法还包括:
将所述数据签名写入所述待发送数据包的网际互连协议头部,以形成所述目标数据包。
7.一种资源访问方法,其特征在于,应用于网关设备,所述资源访问方法包括:
接收客户终端发送的目标数据包;
接收所述客户终端发送的数字证书;
将所述数字证书发送给电子认证服务中心进行认证;
若所述数字证书认证成功,则生成第二字符串;
使用所述数字证书对所述第二字符串进行加密,得到第三加密字符串;将所述第三加密字符串及网关证书发送给所述客户终端;
接收所述客户终端发送的第四加密字符串;使用所述网关证书对应的解密密钥对所述第四加密字符串进行解密,得到第三字符串;若所述第三字符串与所述第二字符串相同,则表征所述数字证书验证成功;
若所述数字证书验证成功,则向所述客户终端发送设定加密密钥;
使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;
对所述数据摘要进行验证;
若对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
若对所述数据摘要验证失败,则将所述目标数据包对应的连接拆除。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
若所述数字证书认证成功,则向所述客户终端发送设定安全策略。
10.根据权利要求7所述的方法,其特征在于,所述方法还包括:
按照设定周期向所述客户终端发送签到指令,所述签到指令用于提示所述客户终端发送数字证书验证请求。
11.一种资源访问方法,其特征在于,所述资源访问方法包括:
客户终端将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;
所述客户终端监测是否有外接认证设备,若监测到外接认证设备,获取所述外接认证设备中的数字证书,将所述数字证书发送给网关设备进行验证;
若所述数字证书验证成功,所述客户终端接收所述网关设备发送的第一加密字符串和网关证书,读取所述外接认证设备中的解密密钥,使用所述解密密钥对所述第一加密字符串进行解密,得到第一字符串,使用所述网关证书对所述第一字符串进行加密,以得到第二加密字符串,将所述第二加密字符串发送给所述网关设备,所述第二加密字符串用于供所述网关设备验证,若所述第二加密字符串验证成功,接收所述网关设备发送的设定加密密钥;
所述客户终端使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;
所述客户终端将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证;
所述网关设备使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;
若所述网关设备对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
12.一种资源访问装置,其特征在于,应用于客户终端,所述资源访问装置包括:
计算模块,用于将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;
加密模块,用于使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;
第一发送模块,用于将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证;
还包括:签到模块,所述签到模块包括:监测单元、获取单元、第一发送单元以及第一接收单元,其中,
监测单元,用于监测是否有外接认证设备;
获取单元,用于若监测到外接认证设备,获取所述外接认证设备中的数字证书;
第一发送单元,用于将所述数字证书发送给所述网关设备进行验证;
第一接收单元,用于若所述数字证书验证成功,接收所述网关设备发送的第一加密字符串和网关证书,读取所述外接认证设备中的解密密钥,使用所述解密密钥对所述第一加密字符串进行解密,得到第一字符串,使用所述网关证书对所述第一字符串进行加密,以得到第二加密字符串,将所述第二加密字符串发送给所述网关设备,所述第二加密字符串用于供所述网关设备验证,若所述第二加密字符串验证成功,接收所述网关设备发送的所述设定加密密钥。
13.一种资源访问装置,其特征在于,应用于网关设备,所述资源访问装置包括:
第一接收模块,用于接收客户终端发送的目标数据包;
解密模块,用于使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;
第一验证模块,用于对所述数据摘要进行验证;
第二发送模块,用于若对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求;
还包括第二验证模块,所述第二验证模块包括第二接收单元、验证单元、及第二发送单元,其中:
第二接收单元,用于接收所述客户终端发送的数字证书;
验证单元,用于将所述数字证书发送给电子认证服务中心进行认证,若所述数字证书认证成功,则生成第二字符串,使用所述数字证书对所述第二字符串进行加密,得到第三加密字符串,将所述第三加密字符串及网关证书发送给所述客户终端,接收所述客户终端发送的第四加密字符串,所述第四加密字符串为所述客户终端使用所述网关证书对所述第三加密字符串解密得到的字符串进行加密得到的加密字符串,使用所述网关证书对应的解密密钥对所述第四加密字符串进行解密,得到第三字符串,若所述第三字符串与所述第二字符串相同,则表征所述数字证书验证成功;
第二发送单元,用于若所述数字证书验证成功,则向所述客户终端发送所述设定加密密钥。
14.一种电子设备,其特征在于,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如权利要求1至11 任一所述的方法的步骤。
15.一种资源访问系统,其特征在于,包括:
客户终端,用于将需要签名的待发送数据包中的数据体进行计算,以得到数据摘要;使用设定加密密钥对所述数据摘要进行加密,以得到所述待发送数据的数据签名;将带有所述数据签名的目标数据包发送给网关设备,所述数据签名用于供所述网关设备对所述目标数据包进行验证;
所述客户终端,还用于监测是否有外接认证设备,若监测到外接认证设备,获取所述外接认证设备中的数字证书,将所述数字证书发送给所述网关设备进行验证;
若所述数字证书验证成功,所述客户终端,还用于接收所述网关设备发送的第一加密字符串和网关证书,读取所述外接认证设备中的解密密钥,使用所述解密密钥对所述第一加密字符串进行解密,得到第一字符串,使用所述网关证书对所述第一字符串进行加密,以得到第二加密字符串,将所述第二加密字符串发送给所述网关设备,所述第二加密字符串用于供所述网关设备验证,若所述第二加密字符串验证成功,接收所述网关设备发送的设定加密密钥;
所述网关设备,用于:使用设定加密密钥对应的设定解密密钥对所述目标数据包进行解密,以获得所述目标数据包的数据摘要;若所述网关设备对所述数据摘要验证成功,则根据所述目标数据包的内容向目标服务设备发送数据请求。
16.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至10任一所述的方法的步骤。
CN201911212713.3A 2019-11-29 2019-11-29 资源访问方法、装置、电子设备及系统 Active CN110830507B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911212713.3A CN110830507B (zh) 2019-11-29 2019-11-29 资源访问方法、装置、电子设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911212713.3A CN110830507B (zh) 2019-11-29 2019-11-29 资源访问方法、装置、电子设备及系统

Publications (2)

Publication Number Publication Date
CN110830507A CN110830507A (zh) 2020-02-21
CN110830507B true CN110830507B (zh) 2022-07-12

Family

ID=69542041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911212713.3A Active CN110830507B (zh) 2019-11-29 2019-11-29 资源访问方法、装置、电子设备及系统

Country Status (1)

Country Link
CN (1) CN110830507B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111726366A (zh) * 2020-06-30 2020-09-29 成都卫士通信息产业股份有限公司 设备通信方法、装置、系统、介质和电子设备
CN114553542A (zh) * 2022-02-22 2022-05-27 南京四维智联科技有限公司 一种数据包加密方法、装置及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108134796A (zh) * 2017-12-26 2018-06-08 山东渔翁信息技术股份有限公司 安全通信方法、装置及边界网关
CN110474898A (zh) * 2019-08-07 2019-11-19 北京明朝万达科技股份有限公司 数据加解密和密钥分布方法、装置、设备及可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7706381B2 (en) * 2006-01-10 2010-04-27 Cisco Technology, Inc. Approaches for switching transport protocol connection keys

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108134796A (zh) * 2017-12-26 2018-06-08 山东渔翁信息技术股份有限公司 安全通信方法、装置及边界网关
CN110474898A (zh) * 2019-08-07 2019-11-19 北京明朝万达科技股份有限公司 数据加解密和密钥分布方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN110830507A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
US9866567B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
US11258769B2 (en) Provisioning network keys to devices to allow them to provide their identity
US9838205B2 (en) Network authentication method for secure electronic transactions
US10063594B2 (en) Network access control with compliance policy check
JP5981610B2 (ja) 電子取引用のネットワーク認証方法
CN101227468B (zh) 用于认证用户到网络的方法、设备和系统
CN107770159B (zh) 车辆事故数据记录方法及相关装置、可读存储介质
CN113014539B (zh) 一种物联网设备安全保护系统及方法
US10333930B2 (en) System and method for transparent multi-factor authentication and security posture checking
JP2013516685A (ja) コンピューターポリシーを施行するためのシステムおよび方法
KR20080051753A (ko) 보안 제공 시스템 및 방법
KR101739203B1 (ko) 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법
CN112600831B (zh) 一种网络客户端身份认证系统和方法
CN110830507B (zh) 资源访问方法、装置、电子设备及系统
CN111541682B (zh) 一种数据安全检测方法、装置、存储介质和电子设备
JP2013062650A (ja) データ検証装置、データ検証装置のデータ検証方法、データ検証プログラムおよびデータ検証システム
Han et al. Scalable and secure virtualization of HSM with ScaleTrust
CN118487852A (zh) 登录口令的真实性验证方法及系统
CN116155480A (zh) 临床试验的远程监查方法及装置、电子设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant