CN111064738B - 一种tls安全通信的方法及系统 - Google Patents

一种tls安全通信的方法及系统 Download PDF

Info

Publication number
CN111064738B
CN111064738B CN201911370552.0A CN201911370552A CN111064738B CN 111064738 B CN111064738 B CN 111064738B CN 201911370552 A CN201911370552 A CN 201911370552A CN 111064738 B CN111064738 B CN 111064738B
Authority
CN
China
Prior art keywords
server
certificate
client
party
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911370552.0A
Other languages
English (en)
Other versions
CN111064738A (zh
Inventor
苏志远
李冠
卢方勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qingdao Fangcun Microelectronic Technology Co ltd
Shandong Fangcun Microelectronics Technology Co ltd
Original Assignee
Qingdao Fangcun Microelectronic Technology Co ltd
Shandong Fangcun Microelectronics Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qingdao Fangcun Microelectronic Technology Co ltd, Shandong Fangcun Microelectronics Technology Co ltd filed Critical Qingdao Fangcun Microelectronic Technology Co ltd
Priority to CN201911370552.0A priority Critical patent/CN111064738B/zh
Publication of CN111064738A publication Critical patent/CN111064738A/zh
Application granted granted Critical
Publication of CN111064738B publication Critical patent/CN111064738B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种TLS安全通信的方法,包括:服务端和客户端分别调取对方的证书;采用服务端证书的公钥对客户端发送的加密套件以及密钥交换信息进行加密;采用客户端证书的公钥对服务端发送的加密套件选择及密钥交换信息进行加密;客户端使用自己的私钥对接收到的服务端发送的加密套件选择以及密钥交换信息进行解密;服务端使用自己的私钥对接收到的客户端发送的加密套件选择以及密钥交换信息进行解密。本发明有益效果:本发明安全通信方法适用于对于数据传输安全性要求较高的场合;双方证书的同步更新也可以包含在密文中,更安全。

Description

一种TLS安全通信的方法及系统
技术领域
本发明涉及信息通信安全技术领域,尤其涉及一种TLS安全通信的方法及系统。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
SSL/TLS协议是一种为网络安全通信提供安全及数据完整性的一种安全协议,SSL/TLS协议的一次通信过程由客户端首先发起,客户端发送本端所支持的加密套件(其中包含用于密钥交换的非对称加密算法和用于数据加密的对称加密算法),服务端从中选择其中一种套件并回应给客户端,然后客户端和服务端相互发送密钥交换信息,从而协商出一套用于数据传输的密钥,之后双方的密钥协商和数据传输均被加密;但是,该种方式下,整个密钥协商和密钥套件选择的过程均为明文传输,存在一定的安全隐患。
发明内容
为了解决上述问题,本发明公开了一种TLS安全通信的方法及系统,能够杜绝SSL/TLS协议中的明文数据的传输,提高通信数据传输的安全可靠性。
在一些实施方式中,采用如下技术方案:
一种TLS安全通信的方法,包括:
服务端和客户端分别调取对方的证书;
采用服务端证书的公钥对客户端发送的加密套件以及密钥交换信息进行加密;
采用客户端证书的公钥对服务端发送的加密套件选择及密钥交换信息进行加密;
客户端使用自己的私钥对接收到的服务端发送的加密套件选择以及密钥交换信息进行解密;
服务端使用自己的私钥对接收到的客户端发送的加密套件选择以及密钥交换信息进行解密。
在另一些实施方式中,采用如下技术方案:
一种采用TLS安全通信方法的客户端,所述客户端被配置为:
调取服务端的证书;
采用服务端证书的公钥对加密套件以及密钥交换信息进行加密后发送至服务端;
对于接收到的服务端的加密套件选择及密钥交换信息,使用自己的私钥进行解密。
在另一些实施方式中,采用如下技术方案:
一种采用TLS安全通信方法的服务端,所述服务端被配置为:
调取客户端的证书;
采用客户端证书的公钥对加密套件选择以及密钥交换信息进行加密后发送至客户端;
对于接收到的客户端的加密套件及密钥交换信息,使用自己的私钥进行解密。
在另一些实施方式中,采用如下技术方案:
一种TLS安全通信的系统,包括:客户端和服务端,
所述服务端和客户端分别调取对方的证书;
所述客户端和服务端分别利用对方证书中的公钥对要发送给对方的信息进行加密;
所述客户端和服务端均使用自己的私钥对接收到的对方发送的信息进行解密,实现数据的安全传输。
与现有技术相比,本发明的有益效果是:
本发明安全通信方法适用于对于数据传输安全性要求较高的场合;双方证书的同步更新也可以包含在密文中,更安全。
由于所有的inbound和outbound数据都是加密数据,能够充分保证数据传输的安全。
本发明安全通信方法可以应用在VPN外部网关上,VPN内部所有进出数据只有持有证书的一方能解析,大大增强了安全性,也可以采用本发明方法将敏感数据有效隔离在可信网段中。
附图说明
图1为本发明实施例一中TLS安全通信的方法流程图。
具体实施方式
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本发明使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
实施例一
在一个或多个实施方式中,公开了一种TLS安全通信的方法,如图1所示,包括以下过程:
(1)首次使用时,预先通过预置证书等其他途径交换服务端和客户端的证书;在通信双方通信之前先去连接公用云服务器获取对方的证书(或密钥),然后再用该证书(密钥)去和对方通信。证书中包含证书持有人的公钥,公钥不怕泄露,又能使对方确认此证书确实属于该持有人而不是被冒充的。
当然,也可以采用由管理员手动生成密钥然后分别通过电话、邮件或人工传递等方式告知通信双方的方式实现密钥的交换。
(2)客户端发送的加密套件及密钥交换等所有SSL/TLS的明文数据包均使用服务端证书的公钥加密;
(3)服务端发送的套件选择及密钥交换等所有SSL/TLS的明文数据包均使用客户端证书的公钥加密;
(4)客户端收到的来自服务端的套件选择及密钥交换等原协议规定的所有SSL/TLS的明文数据包均使用自己的私钥解密;
(5)服务端收到的来自客户端的套件选择及密钥交换等原协议规定的所有SSL/TLS的明文数据包均使用自己的私钥解密;
本实施例中,客户端和服务端的证书可以相互更新和同步;客户端和服务端使用证书中的公钥实现SSL/TLS协议明文部分的加密;为保证安全,密钥可能需要定期或不定期的更换,相应的保存该公钥的证书就需要更换,我方更换证书后就需要及时更新对方已保存的我方的证书,而SSL\TLS协议本身就有证书交换的步骤,所以证书的更新可以在SSL\TLS协议通信过程中完成,当然也可以采取上面所述的人工传递或公用云服务器的方式。
将本实施例方法应用于VPN等设备出口中,能够防止敏感数据外泄。VPN的主要目的就是实现通信的加密和认证,本实施例方法可以直接用于实现VPN,实现数据的安全传输。
可以预先连接公用云服务器进行登记注册,沟通新证书,从而应用在公网云中。
通信双方可以预先将自己的证书预先交由公用云服务器保管,一方需要同另一方通信的时候首先连接服务器下载对方的证书,然后使用该证书去和对方通信,另一方在收到对方的连接请求后检查自己是否已保存对方的证书,
如果有就直接使用该证书和对方通信,如果没有,则首先去连接公用云服务器下载对方的证书,然后再和对方进行通信。
实施例二
在一个或多个实施方式中,公开了一种客户端,其采用了实施例一中的TLS安全通信的方法,所述客户端被配置为:
调取服务端的证书;
采用服务端证书的公钥对加密套件以及密钥交换信息进行加密后发送至服务端;
对于接收到的服务端的加密套件选择及密钥交换信息,使用自己的私钥进行解密。
在另一些实施方式中,公开了一种服务端,其采用了实施例一中的TLS安全通信的方法,所述服务端被配置为:
调取客户端的证书;
采用客户端证书的公钥对加密套件选择以及密钥交换信息进行加密后发送至客户端;
对于接收到的客户端的加密套件及密钥交换信息,使用自己的私钥进行解密。
实施例三
在一个或多个实施方式中,公开了一种TLS安全通信的系统,包括:客户端和服务端,其中,
服务端和客户端分别调取对方的证书;
客户端和服务端分别利用对方证书中的公钥对要发送给对方的信息进行加密;
客户端和服务端均使用自己的私钥对接收到的对方发送的信息进行解密,实现数据的安全传输。
上述系统的具体工作方式参照实施例一中公开的方法,在此不再赘述。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (4)

1.一种TLS安全通信的方法,其特征在于,包括:
服务端和客户端分别调取对方的证书;
采用服务端证书的公钥对客户端发送的加密套件以及密钥交换信息进行加密;
采用客户端证书的公钥对服务端发送的加密套件选择及密钥交换信息进行加密;
客户端使用自己的私钥对接收到的服务端发送的加密套件选择以及密钥交换信息进行解密;
服务端使用自己的私钥对接收到的客户端发送的加密套件选择以及密钥交换信息进行解密;
密钥需要定期或不定期的更换,服务端和客户端的证书能够同步更新,在SSL\TLS协议通信过程中完成;
在通信双方通信之前先去连接公用云服务器获取对方的证书,然后再用该证书去和对方通信,从而应用在公网云中;通信双方可以预先将自己的证书预先交由公用云服务器保管,一方需要同另一方通信的时候首先连接服务器下载对方的证书,然后使用该证书去和对方通信,另一方在收到对方的连接请求后检查自己是否已保存对方的证书,如果有就直接使用该证书和对方通信,如果没有,则首先去连接公用云服务器下载对方的证书,然后再和对方进行通信。
2.一种采用TLS安全通信方法的客户端,其特征在于,所述客户端被配置为:
调取服务端的证书;
采用服务端证书的公钥对加密套件以及密钥交换信息进行加密后发送至服务端;
对于接收到的服务端的加密套件选择及密钥交换信息,使用自己的私钥进行解密;
密钥需要定期或不定期的更换,服务端和客户端的证书能够同步更新,在SSL\TLS协议通信过程中完成;
在与服务端通信之前先去连接公用云服务器获取服务端的证书,然后再用服务端证书去和服务端通信,从而应用在公网云中;客户端可以预先将自己的证书预先交由公用云服务器保管,当客户端需要同服务端通信的时候首先连接服务器下载服务端的证书,然后使用该证书去和服务端通信,另一方在收到服务端的连接请求后检查自己是否已保存服务端的证书,如果有就直接使用该证书和服务端通信,如果没有,则首先去连接公用云服务器下载服务端的证书,然后再和服务端进行通信。
3.一种采用TLS安全通信方法的服务端,其特征在于,所述服务端被配置为:
调取客户端的证书;
采用客户端证书的公钥对加密套件选择以及密钥交换信息进行加密后发送至客户端;
对于接收到的客户端的加密套件及密钥交换信息,使用自己的私钥进行解密;
密钥需要定期或不定期的更换,服务端和客户端的证书能够同步更新,在SSL\TLS协议通信过程中完成;
在与客户端通信之前先去连接公用云服务器获取客户端的证书,然后再用客户端证书去和客户端通信,从而应用在公网云中;服务端可以预先将自己的证书预先交由公用云服务器保管,当服务端需要同客户端通信的时候首先连接服务器下载客户端的证书,然后使用该证书去和客户端通信,另一方在收到客户端的连接请求后检查自己是否已保存客户端的证书,如果有就直接使用该证书和客户端通信,如果没有,则首先去连接公用云服务器下载客户端的证书,然后再和客户端进行通信。
4.一种TLS安全通信的系统,包括:客户端和服务端,其特征在于,
所述服务端和客户端分别调取对方的证书;
所述客户端和服务端分别利用对方的证书对要发送给对方的信息进行加密;
所述客户端和服务端均使用自己的私钥对接收到的对方发送的信息进行解密,实现数据的安全传输;
密钥需要定期或不定期的更换,服务端和客户端的证书能够同步更新,在SSL\TLS协议通信过程中完成;
在客户端和服务端通信之前先去连接公用云服务器获取对方的证书,然后再用该证书去和对方通信,从而应用在公网云中;通信双方可以预先将自己的证书预先交由公用云服务器保管,一方需要同另一方通信的时候首先连接服务器下载对方的证书,然后使用该证书去和对方通信,另一方在收到对方的连接请求后检查自己是否已保存对方的证书,如果有就直接使用该证书和对方通信,如果没有,则首先去连接公用云服务器下载对方的证书,然后再和对方进行通信。
CN201911370552.0A 2019-12-26 2019-12-26 一种tls安全通信的方法及系统 Active CN111064738B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911370552.0A CN111064738B (zh) 2019-12-26 2019-12-26 一种tls安全通信的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911370552.0A CN111064738B (zh) 2019-12-26 2019-12-26 一种tls安全通信的方法及系统

Publications (2)

Publication Number Publication Date
CN111064738A CN111064738A (zh) 2020-04-24
CN111064738B true CN111064738B (zh) 2022-09-30

Family

ID=70303993

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911370552.0A Active CN111064738B (zh) 2019-12-26 2019-12-26 一种tls安全通信的方法及系统

Country Status (1)

Country Link
CN (1) CN111064738B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422530B (zh) * 2020-11-04 2023-05-30 无锡沐创集成电路设计有限公司 Tls握手过程中服务器端的密钥安全保护方法及密码设备
CN112468514A (zh) * 2020-12-15 2021-03-09 天津普泽工程咨询有限责任公司 一种在vpn网络中实现电子招投标加密的系统及方法
CN112565285B (zh) * 2020-12-16 2023-03-24 卡斯柯信号(成都)有限公司 一种适用于轨道交通的通信加密方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法
US8327128B1 (en) * 2011-07-28 2012-12-04 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
CN103516523A (zh) * 2013-10-22 2014-01-15 浪潮电子信息产业股份有限公司 一种基于云存储的数据加密体系架构
CN107872532A (zh) * 2017-11-27 2018-04-03 北京天诚安信科技股份有限公司 一种第三方云存储平台的存储、下载的方法及系统
CN108259486A (zh) * 2018-01-10 2018-07-06 芯盾网安(北京)科技发展有限公司 基于证书的端到端密钥交换方法
CN109413099A (zh) * 2018-12-04 2019-03-01 北京致远互联软件股份有限公司 基于证书的混合云加密通信方法、装置以及电子设备
CN110324290A (zh) * 2018-03-30 2019-10-11 贵州白山云科技股份有限公司 网络设备认证的方法、网元设备、介质及计算机设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1534936A (zh) * 2003-03-31 2004-10-06 华为技术有限公司 一种无线局域网中基于公钥证书机制的密钥分发方法
CN103118027B (zh) * 2013-02-05 2016-01-20 中金金融认证中心有限公司 基于国密算法建立tls通道的方法
US8966267B1 (en) * 2014-04-08 2015-02-24 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
CN104683359B (zh) * 2015-03-27 2017-11-21 成都三零瑞通移动通信有限公司 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
CN106533689B (zh) * 2015-09-15 2019-07-30 阿里巴巴集团控股有限公司 一种在ssl/tls通信中加载数字证书的方法和装置
CN108566378A (zh) * 2018-03-14 2018-09-21 福建天泉教育科技有限公司 一种防止mitm攻击的方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8327128B1 (en) * 2011-07-28 2012-12-04 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法
CN103516523A (zh) * 2013-10-22 2014-01-15 浪潮电子信息产业股份有限公司 一种基于云存储的数据加密体系架构
CN107872532A (zh) * 2017-11-27 2018-04-03 北京天诚安信科技股份有限公司 一种第三方云存储平台的存储、下载的方法及系统
CN108259486A (zh) * 2018-01-10 2018-07-06 芯盾网安(北京)科技发展有限公司 基于证书的端到端密钥交换方法
CN110324290A (zh) * 2018-03-30 2019-10-11 贵州白山云科技股份有限公司 网络设备认证的方法、网元设备、介质及计算机设备
CN109413099A (zh) * 2018-12-04 2019-03-01 北京致远互联软件股份有限公司 基于证书的混合云加密通信方法、装置以及电子设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Key-exchange authentication using shared secrets";M. Badra and I. Hajjeh;《Computer》;20060320;全文 *
"基于数字签名和属性证书的TLS协议改进方法";王魁等;《计算机应用与软件》;20150415;全文 *

Also Published As

Publication number Publication date
CN111064738A (zh) 2020-04-24

Similar Documents

Publication Publication Date Title
EP3432532B1 (en) Key distribution and authentication method, apparatus and system
EP1169833B1 (en) Key management between a cable telephony adapter and associated signaling controller
CN111064738B (zh) 一种tls安全通信的方法及系统
EP1717986B1 (en) Key distribution method
EP1374533B1 (en) Facilitating legal interception of ip connections
EP2469753A1 (en) Method, device and network system for negotiating encryption information
CN104702611A (zh) 一种保护安全套接层会话密钥的设备及方法
US20080137859A1 (en) Public key passing
CN102348210A (zh) 一种安全性移动办公的方法和移动安全设备
CN104243146A (zh) 一种加密通信方法、装置及终端
CN105763566B (zh) 一种客户端与服务器之间的通信方法
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
KR20070006913A (ko) 이동 노드에 대한 고속 및 보안 접속성
US20080109652A1 (en) Method, media gateway and system for transmitting content in call established via media gateway control protocol
CN113746861B (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
CN104753869A (zh) 基于sip协议的通话加密方法
KR101210938B1 (ko) 암호 통신 방법 및 이를 이용한 암호 통신 시스템
CN104753876A (zh) 灵活可控的通话加密方法
KR100458954B1 (ko) 데이터 암호화 전송 방법
CN110545226B (zh) 设备通信方法和通信系统
CN111865565B (zh) 秘钥管理方法、智能设备、服务器和移动终端
CN111953582B (zh) 一种基于硬件装置的加密即时通信方法和系统
KR101811668B1 (ko) 보안 칩 기반의 음성 암호화 구동시스템 및 이를 이용한 구동방법
CN118138242A (zh) 一种安全通信方法及系统
CN117201052A (zh) 基于量子密码qvpn一次一密能源数据传输的方法、存储装置及智能终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant