CN110912676A - 一种密钥管理方法及系统 - Google Patents
一种密钥管理方法及系统 Download PDFInfo
- Publication number
- CN110912676A CN110912676A CN201811089176.3A CN201811089176A CN110912676A CN 110912676 A CN110912676 A CN 110912676A CN 201811089176 A CN201811089176 A CN 201811089176A CN 110912676 A CN110912676 A CN 110912676A
- Authority
- CN
- China
- Prior art keywords
- key
- service
- abstract
- server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 10
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000012795 verification Methods 0.000 claims abstract description 24
- 238000012545 processing Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 9
- 230000007704 transition Effects 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提出了一种密钥管理方法及系统,该方法包括更新密钥,并存储,新密钥和旧密钥同时存在于服务器中。接收客户端发送的数据报文,解析得到业务参数及第一摘要。根据解析得到的业务参数及服务端中的新密钥生成第二摘要,比对第一摘要和第二摘要,比对一致则通过验证。不一致再进行第一和第三的比较,如果一致则通过验证。该方法可以实现密钥过渡,避免紧急更换密钥中出现的风险。
Description
技术领域:
本发明涉及签名算法的通信方法及密钥管理系统。
背景技术:
目前,为了保证数据传输的安全性,较常使用的设置密钥的方式服务端给客户端颁发密钥,同时服务端保存有同样的密钥。使用密钥给业务参数签名算法获得签名,将签名发送给后端服务器。后端服务器使用保存在数据库中的密钥对获得的业务参数签名算法得到签名。后端服务器将客户端得到的签名和后端服务器签名算法得到的签名做对比,如果签名一致则将通过验证。
使用该种密钥签名的算法可以有效保证服务器处理的数据为安全的客户端传输的数据的安全性。但是在有需要更换密钥的情况出现时,需要在没有业务处理的情况下进行密钥更换。不能在出现情况时候及时更换密钥否则会出现业务中断或者传输中断,给客户和系统带来不必要的麻烦。
发明内容:
根据本发明的一个方面,提供了一种密钥管理方法和系统
更新密钥,并存储,新密钥和旧密钥同时存在于服务器中。
接收客户端发送的数据报文,解析得到业务参数及第一摘要。
根据解析得到的业务参数及服务端中的新密钥生成第二摘要,比对第一摘要和第二摘要,比对一致则通过验证。
根据解析得到的业务参数及服务端中的旧密钥生成第三摘要;比对第一摘要和第三摘要,比对一致则通过验证,其中所述的旧密钥在新密钥设置后启动有效时间。
第一摘要与第二摘要比对一致或者第一摘要和第三摘要比对一致即可通过验证。
根据第一方面的各种实施例中,至少包括以下项目中的特征。
第一摘为客户端根据业务参数及密
钥经过加密算法得到的摘要。
更新密钥为服务端设置加入新密钥,同时服务端为旧密钥启动有效时间。有效时间可以由用户任意设置,经过有效时间,旧密钥将失效。
服务端在旧密钥失效时间内同时存在旧密钥和新密钥。
优选的,第二摘要为服务端将解析得到的业务参数及新密钥经过加密算法的到的摘要。
优选的,第三摘要为服务端将解析得到的业务参数及旧密钥经过加密算法得到的摘要。的加密方法为相同的加密算法,可选的为哈希加密方法。
服务端通过验证后服务端将调用后端业务程序处理数据报文中的业务请求。
提供方法对应的装置:
所述客户端为与服务器相对应,为客户提供本地服务的程序。
服务端包括数据接入模块、签名验证模块、业务处理模块、业务参数返回模块。
数据接入模块具有接收客户端数据以及分派后台业务处理器的功能。具有数据接收端口功能。
摘要验证模块用于验证客户端发送过来的密钥是否与保留的密钥相一致。
业务处理模块用于处理客户端请求的业务。
业务参数返回模块将业务参数返回
使用上述方法可以有效避免在更换密钥时候出现业务中断,影响正常的运营给使用者带来不便。设定旧密钥的使用期限可以有效避免合同旧密钥使用时间过长带来的安全隐患。通过上述方法可以实现不影响业务的情况下,服务端能够及时更换密钥。
附图说明:
图1示出能够支持本发明的至少一些实施例系统;
图2示出能够支持本发明的至少一些实施例的第一流程图;
图3示出能够支持本发明的至少一些实施例的第二流程图。
具体实施方式:
以下结合附图对本发明的内容作进一步说明。
通过服务端给客户端颁发密钥的方式可以保证接收访问的客户为经过授权客户,防止网络遭受异常的攻击。防止黑客在抓取发送的数据包之后假冒正常访问客户攻击服务器。同时为了实现密钥被窃取或遭受攻击时可以实现即时更换,又不导致服务终端的功能,现创建一种双密钥管理系统。
图1中示出了能够支持本发明的至少一些实施例示例系统。所示出的是客户端设备,客户端设备可以为电脑,手机等设备。客户端设备通过网络和服务端连接。服务端设备为服务器,为服务商为客户提供服务的设备。服务器用于为其上的注册用户提供相关联的设备或系统发送控制命令、获取数据、管理等功能。设备端和服务端通过网络进行信息数据传输。签名验证端具有对服务端传输数据进行签名验证的功能。签名验证端可以单独存在,也可以和服务端服务器为一体设备。
计算机包括处理器、存储器以及存储装置。计算机可以连接显示器、键盘和鼠标。存储设备可以存储操作系统和各类软件。计算机可以和网络耦合,网络使得计算机能够与应用服务器和认证系统耦合,网络通函可以包括能够将网络节点耦合到一起的任意类型的有线或无线的通信通道。包括但是不限于,局域网、广域网的组合或支持两个或者多个计算机系统之间的通信的其他网络。本发明的一种实施方式中,网络包括Internet。用户使用的客户端的类型包括多样,并不做限定,例如客户端可以是即使通信客户端、社交应用客户端、社交应用客户端、视频播放客户端,等等。终端可以是手机、平板电脑、电子书阅读器等电子设备。
后台服务器可以是一台服务器,也可以是多台服务器或者是云计算中心。在一个示例中,后台服务器由两台服务器组成,或者由云计算服务器中设置的虚拟服务器。
在服务器上可以运行计算机程序,该计算机程序被配置为促使执行实施例中的方法。
图2示出根据本发明的至少一些实施例的第一方法的第一流程图。所示出的方法的阶段可以例如在计算机中执行。阶段201为方法的开始,为客户端接收用户的请求指令阶段。阶段202为客户端依据业务参数和密钥经过签名算法得到摘要的过程。在服务端出现某些情况下服务端将密钥做出更改,客户端正在进行业务时候。客户端可能使用的为旧密钥也有可能使用的是新密钥。阶段203为客户端将业务参数和摘要发送给服务端。密钥为不进行传输,服务端保留有相对应的密钥。阶段204为服务端接收客户端参数,并根据客户端参数调用服务端中存储的相对应的密钥。服务端将获得的客户端传输数据和服务端对应的密钥经过签名算法得到第二摘要。签名算法可以为哈希算法,具体的可以为MD5算法。
阶段205为程序判断过程,服务端将判断第一摘要和第二摘要是否相等,如果相等则将通过验证。通过验证调用后端服务数据处理客户端请求的业务。如果判断第一摘要和第二摘要不相等则进行阶段206。
在阶段206中对客户端使用的密钥进行有效期判断。判断客户端使用的旧密钥和服务端存储的旧密钥是否在有效期内。服务端在更换密钥的时候可以设定旧密钥的使用期限,设定旧密钥在一定期限之后失效,实现新旧密钥的平滑替换。如果使用的旧密钥已经不在有效期内,则验证失败。如果旧密钥在有效期内则说明可以使用旧密钥。
在阶段206中判断旧密钥在有效期内,则进入阶段207,服务端根据业务参数和旧密钥计算得到第三摘要。旧密钥为根据客户端业务参数调用的旧密钥。得到的第三摘要为和上述摘要生成方式相同的摘要签名算法得到。可选的摘要算法为哈希算法,具体的可以为MD5算法等。
阶段208为程序判断过程。判断客户端产生的第一摘要和第三摘要是否相等。如果摘要不相同则验证失败。如果第一摘要和第三摘要相同则说明客户端在有效期内使用的为旧密钥,旧密钥任然可以使用,将不会终端业务,通过验证。
阶段211为程序结束签名验证的过程,之后将调用服务端处理业务的程序处理客户端请求业务。并将处理结果返回客户端。
上述实施例为本方法中的一种判断方法,同时可以将判断旧密钥是否可用的过程205至208和验证新密钥的过程204、205的前后顺序互换,同样是本发明所要保护的发明方法。
图3为服务端中的管理模块。分别设置有服务端包括数据接入模块、签名验证模块、业务处理模块、业务参数返回模块。数据接入模块具有接收客户端数据以及分派后台业务处理器的功能。具有数据接收端口功能。摘要验证模块用于验证客户端发送过来的密钥是否与保留的密钥相一致。业务处理模块用于处理客户端请求的业务。
所述的签名管理模块包括签名的存储单元使用数据库的形式存储有新旧密钥。
业务处理模块为服务器程序将接收到的业务参数做处理。数据返回模块将接收到的数据参数返回。
应该理解,所公开的本发明实施例并不限于特定的结构、处理步骤、或本文所公开的材料,而是扩展到相关领域普通技术人员可以是被的其他同物。还应当理解,本文采用的术语仅用于描述特定实施例的目的,并不旨在限定。
贯穿本说明书中对“一个实施例”或“实施例”的引用是指特定特征、结构、或者结合实施例描述的特征被包括在本发明的至少一个实施例中。因此贯穿本说明书中不同位置处出现的短语“在一个实施例中”或“在实施例中”不一定都指相同实施例。
如本文所使用的,多个项目、结构元件、组成元件和/或材料可以出于方便以共同列表呈现。然而,这些列表应该被解释就好像列表的每个部件被个体地标识为单独且唯一的部件。因此,这种列表的个体部件不应仅基于他们在公共组中的呈现而不指示其相反面被解释为相同列表的任何其他部件的实际等同物。另外,本文可以与各种组件的替代物一起指代本发明的各种实施例和示例。可以理解,这种实施例、示例和替代物不应被解释为彼此的实际等同物,而是被认为是本发明的单独和自发表示。
此外,可以在一个或多个实施例中以任何适合方式组合所描述的特征、结构或特性。在以下描述中,提供了许多具体细节,诸如像长度、宽度、形状等的例子,以提供对本发明的实施例的透彻理解。然而,本领域技术人员将认识到,可以在没有所述具体细节的一个或多个的情况下,或者通过其它方法、组件、材料等,实践本发明。在其它实例中,没有详细示出或描述公知的结构、材料、或操作,以避免模糊本发明的各方面。
虽然前述示例是在一个或多个特定应用中说明本发明的原则,对本领域普通技术人员将显而易见的是,可以在不背离本发明的原理和概念的情况下,对实现的形式、用法和细节作出许多修改,无需创造性劳动。因此,除非下面的权利要求书中所指出的之外,不是要用来限制本发明的。
Claims (9)
1.一种密钥管理方法,应用于服务端,其特征在于,所述的方法包括:
更新密钥,并存储,新密钥和旧密钥同时存在于服务器中;
接收客户端发送的数据报文,解析得到业务参数及第一摘要;
根据解析得到的业务参数及服务端中的新密钥生成第二摘要,比对第一摘要和第二摘要,比对一致则通过验证;
根据解析得到的业务参数及服务端中的旧密钥生成第三摘要;比对第一摘要和第三摘要,比对一致则通过验证,其中所述的旧密钥应当在有效期内;
其中,第一摘要与第二摘要比对一致或者第一摘要和第三摘要比对一致则通过验证。
2.根据权利要求1中所述的方法,其特征在于,所述第一摘为客户端根据业务参数及密钥经过摘要算法得到的摘要。
3.根据权利要求1中所述的方法,其特征在于,所述更新密钥为服务端设置加入新密钥,同时服务端为旧密钥启动有效时间。有效时间可以由用户任意设置,经过有效时间,旧密钥将失效。
4.根据权利要求3中所述的方法,其特征在于,所述服务端在旧密钥失效时间内同时存在旧密钥和新密钥。
5.根据权利要求1中所述的方法,其特征在于,所述的第二摘要为服务端将解析得到的业务参数及新密钥经过摘要算法的到的摘要。
6.根据权利要求1所述的方法,其特征在于,所述的第三摘要为服务端将解析得到的业务参数及旧密钥经过摘要算法得到的摘要。
7.根据权利要求2权利要求5和权利要求6中所述的方法,其特征在于,所述的加密方法为相同的摘要算法,可选的为哈希加密方法。
8.根据权利要求1所述的方法,其特征在于,所述的服务端通过验证后服务端将调用后端业务程序处理数据报文中的业务请求。
9.一种密钥管理系统,其特征在于,所述的装置包括:
客户端,所述客户端为与服务器相对应,为客户提供本地服务的程序。
服务端包括数据接入模块、签名验证模块、业务处理模块、业务参数返回模块。
数据接入模块具有接收客户端数据以及分派后台业务处理器的功能。具有数据接收端口功能。
摘要验证模块用于验证客户端发送过来的密钥是否与保留的密钥相一致。
业务处理模块用于处理客户端请求的业务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811089176.3A CN110912676A (zh) | 2018-09-18 | 2018-09-18 | 一种密钥管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811089176.3A CN110912676A (zh) | 2018-09-18 | 2018-09-18 | 一种密钥管理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110912676A true CN110912676A (zh) | 2020-03-24 |
Family
ID=69812883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811089176.3A Pending CN110912676A (zh) | 2018-09-18 | 2018-09-18 | 一种密钥管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110912676A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422309A (zh) * | 2021-12-03 | 2022-04-29 | 中国电子科技集团公司第二十八研究所 | 基于摘要回传比对方式的业务消息传输效果分析方法 |
| WO2023206374A1 (en) * | 2022-04-29 | 2023-11-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing internet protocol security communication |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070005973A1 (en) * | 2005-07-01 | 2007-01-04 | Mynam Satish K | Approaches for switching transport protocol connection keys |
| CN104917740A (zh) * | 2014-03-14 | 2015-09-16 | 中国移动通信集团广东有限公司 | 一种密码重置方法、密码验证方法及装置 |
-
2018
- 2018-09-18 CN CN201811089176.3A patent/CN110912676A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070005973A1 (en) * | 2005-07-01 | 2007-01-04 | Mynam Satish K | Approaches for switching transport protocol connection keys |
| CN104917740A (zh) * | 2014-03-14 | 2015-09-16 | 中国移动通信集团广东有限公司 | 一种密码重置方法、密码验证方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422309A (zh) * | 2021-12-03 | 2022-04-29 | 中国电子科技集团公司第二十八研究所 | 基于摘要回传比对方式的业务消息传输效果分析方法 |
| CN114422309B (zh) * | 2021-12-03 | 2023-08-11 | 中国电子科技集团公司第二十八研究所 | 基于摘要回传比对方式的业务消息传输效果分析方法 |
| WO2023206374A1 (en) * | 2022-04-29 | 2023-11-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing internet protocol security communication |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103037312B (zh) | 消息推送方法及装置 | |
| CN110545190B (zh) | 一种签名处理的方法、相关装置以及设备 | |
| CN111064757B (zh) | 应用访问方法、装置、电子设备以及存储介质 | |
| CN110941844B (zh) | 一种认证鉴权方法、系统、电子设备及可读存储介质 | |
| US20090199277A1 (en) | Credential arrangement in single-sign-on environment | |
| CN105247529A (zh) | 在目录服务之间同步凭证散列 | |
| CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
| JP2009087035A (ja) | 暗号クライアント装置、暗号パッケージ配信システム、暗号コンテナ配信システム、暗号管理サーバ装置、ソフトウェアモジュール管理装置、ソフトウェアモジュール管理プログラム | |
| US10826895B1 (en) | System and method for secure authenticated user session handoff | |
| EP3598333B1 (en) | Electronic device update management | |
| CN112016068A (zh) | 账户控制方法、装置、设备和计算机可读存储介质 | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| CN107248995B (zh) | 账号验证方法及装置 | |
| CN112581233A (zh) | 订单离线操作的方法、装置、设备和计算机可读存储介质 | |
| CN110912676A (zh) | 一种密钥管理方法及系统 | |
| CN109726545A (zh) | 一种信息显示方法、设备、计算机可读存储介质和装置 | |
| KR20210095061A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| CN109525613B (zh) | 一种请求处理系统及方法 | |
| CN111161460A (zh) | 基于智能路由表的人脸认证方法、装置、终端及存储介质 | |
| WO2009066858A1 (en) | Personal information management apparatus and personal information management method | |
| CN113434824B (zh) | 一种软件服务授权管理方法、装置、设备及存储介质 | |
| CN114826724A (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| CN113746909A (zh) | 网络连接方法、装置、电子设备和计算机可读存储介质 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| CN103297239B (zh) | 一种客户端合法性检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200324 |
|
| RJ01 | Rejection of invention patent application after publication |