CN111245604B - 一种服务器数据安全交互系统 - Google Patents

一种服务器数据安全交互系统 Download PDF

Info

Publication number
CN111245604B
CN111245604B CN201911406299.XA CN201911406299A CN111245604B CN 111245604 B CN111245604 B CN 111245604B CN 201911406299 A CN201911406299 A CN 201911406299A CN 111245604 B CN111245604 B CN 111245604B
Authority
CN
China
Prior art keywords
module
server
data
management application
application module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911406299.XA
Other languages
English (en)
Other versions
CN111245604A (zh
Inventor
邹飞
于修良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Qianhai Zhian Information Technology Co ltd
Original Assignee
Shenzhen Qianhai Zhian Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Qianhai Zhian Information Technology Co ltd filed Critical Shenzhen Qianhai Zhian Information Technology Co ltd
Priority to CN201911406299.XA priority Critical patent/CN111245604B/zh
Publication of CN111245604A publication Critical patent/CN111245604A/zh
Application granted granted Critical
Publication of CN111245604B publication Critical patent/CN111245604B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明涉及一种服务器数据安全交互系统,服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;A端Linux系统模块与B端Linux系统模块之间互相进行身份认证和密钥协商的数据传输验证;A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接;A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥,进行加密策略配置通信,进行服务器之间的身份认证和秘钥协商,本发明能够提供一种可进行非对称算法的身份认证和数据加密,且身份认证过程和数据加解密过程与服务器上在运行的业务平台不需要直接对接,有效减少业务平台的工作量,降低开发成本的服务器数据安全交互系统。

Description

一种服务器数据安全交互系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种服务器数据安全交互系统。
背景技术
服务器之间的安全通信指两个服务器之间的网络通信过程和保证通信的数据具备安全的特性。现有的交互方法是在服务器之间通过VPN技术方案使用IPSec协议组成虚拟局域网,在虚拟局域网内,通过IPSec协议将互联互通的数据进行加密,该交互方法存在如下不足:通过VPN组成的局域网不适合外部访问局域网内部,不能有效解决通过互联网对外提供大规模访问服务;VPN协议的数据加密只有对称加密,不能有效的通过密码学的非对称加密算法进行身份认证。
发明内容
本发明目的是为了克服现有技术的不足而提供一种可进行非对称算法的身份认证和数据加密,且身份认证过程和数据加解密过程与服务器上在运行的业务平台不需要直接对接,有效减少业务平台的工作量,降低开发成本的服务器数据安全交互系统。
为便于本技术方案后续的说明表述,对后文中出现的英文缩写或专业术语作如下解释:Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和Unix的多用户、多任务、支持多线程和多CPU的操作系统;Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,实现诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪。
为达到上述目的,本发明采用了如下技术方案。
一种服务器数据安全交互系统,包括服务器A、服务器B和安全管理模块,所述服务器A由A端Linux系统模块和A端Linux内核模块组成;所述服务器B由B端Linux系统模块和B端Linux内核模块组成;所述A端Linux系统模块包含有A业务应用模块和A上层管理应用模块,所述A端Linux内核模块包含有A网络传输模块和A数据加解密模块;所述B端Linux系统模块包含有B业务应用模块和B上层管理应用模块,所述B端Linux内核模块包含有B网络传输模块和B数据加解密模块;所述服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;所述A端Linux系统模块与B端Linux系统模块之间互相进行身份认证和密钥协商的数据传输验证;所述A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接。
一种服务器数据安全交互系统,具体包括如下步骤:
步骤一:所述A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥P1,在完成安装并初始化后,获取IP地址,生成临时公私钥对(P0,S0),使用非对称加密算法和安全管理模块公钥P1将临时公钥P0和IP地址进行加密形成密文D0,再将D0传输给安全管理模块;
步骤二:安全管理模块使用本地私钥解密D0,得到IP地址及临时公钥P0,以IP地址作为参数生成公私钥对(P2,S2),使用非对称加密算法和临时公钥P0加密公私钥对(P2,S2)和IP地址后生成密文D1,返回D1给A上层管理应用模块或B上层管理应用模块,使用临时私钥S0解密D1,得到公私钥对(P2,S2)和IP地址,校验解密得到的IP地址和本地获取的IP地址的一致性,校验通过后,加密存储私钥S2,销毁临时公私钥对(P0,S0);
步骤三:进行所述A上层管理应用模块和B上层管理应用模块的加密策略配置通信,包括安全管理模块的管理员登录后选择对应的A上层管理应用模块或B上层管理应用模块的IP地址,设置加密数据的目标IP地址和端口,并设置加密数据使用的加密算法类型;
步骤四:所述A上层管理应用模块和B上层管理应用模块使用对称加密算法和公钥P2加密配置信息,生成密文D’,使用私钥S2解密D’得到配置信息;将对应的配置信息写入所述A数据加解密模块和B数据加解密模块中,并反馈配置结果给A上层管理应用模块、B上层管理应用模块和安全管理模块;
服务器A与服务器B进行交互时,如果数据加解密处理设置在服务器B中时进行所述步骤一到步骤四得到的服务器A公私钥对是(P2a,S2a);如果数据加解密处理设置在服务器A中时进行所述步骤一到步骤四得到服务器B的公私钥对是(P2b,S2b);
步骤五:进行所述服务器A和服务器B之间的身份认证和秘钥协商,包括A上层管理应用模块获取服务器A的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器A的IP地址进行签名,获取A上层管理应用模块公钥P2a,然后将签名和公钥P2a给B上层管理应用模块;B上层管理应用模块使用公钥P2a验证服务器A的签名,获得服务器B的IP地址,使用非对称算法和B上层管理应用模块私钥S2b对服务器B的IP地址进行签名,获取B上层管理应用模块的公钥P2b;
步骤六:将所述步骤五服务器B的签名及公钥P2b发送给所述A上层管理应用模块,使用公钥P2b验证服务器B的签名,使用迪菲赫尔曼秘钥协商算法进行对称秘钥协商,传递算法参数给B上层管理应用模块,所述A上层管理应用模块和B上层管理应用模块分别根据迪菲赫尔曼秘钥协商算法计算对称秘钥Key并对应配置到A数据加解密模块和B数据加解密模块中,至此完成服务器A与服务器B的信息交互传输。
作为本发明的进一步改进,所述A数据加解密模块和B数据加解密模块的加解密的具体处理包括:所述A上层管理应用模块发送数据到B上层管理应用模块时,A数据加解密模块通过netfiler子系统截获业务数据Data,使用对称加密算法和秘钥Key加密数据Data后生成密文Data’,然后将密文Data’发送给A上层管理应用模块,所述B数据加解密模块通过netfiler子系统截获业务数据Data’,使用对称加密算法和秘钥Key解密数据Data’后得到明文Data,至此B上层管理应用模块获得A上层管理应用模块发送的明文Data。
作为本发明的进一步改进,所述配置信息包括加密范围、加密的数据类型、配置需要加密数据的业务应用、配置目标地址和端口。
作为本发明的进一步改进,所述安全管理模块执行的指令包括秘钥分发与管理、加解密算法配置、加解密功能开关、加解密策略配置、Linux上层安全管理应用的运行状态管理,所述安全管理模块部署在独立的服务器中。
作为本发明的进一步改进,所述A上层管理应用模块和B上层管理应用模块执行秘钥申请、秘钥保护、分对称加密算法身份认证、对称加密算法的秘钥协商、定时对称秘钥更新机制、运行状态数据上传。
作为本发明的进一步改进,所述A数据加解密模块和B数据加解密模块监听网络数据包、分析数据包中的数据、对称加解密算法。
由于上述技术方案的运用,本发明的技术方案带来的有益技术效果:本技术方案不需要专门对接数据加解密功能,减轻管理开发难度工作量;本技术方案的服务器之间可以在不影响业务正常使用的正常运行情况下进行安全交互能力集成,让服务器具备安全的数据通信能力;本发明能使服务器中的所有应用都具备安全的数据通信能力,一次部署,所有应用使用;本技术方案的服务器与服务器之间的通信具备了基于密码学中的非对称加密算法的身份认证能力,提升了服务器之间的交互信息安全等级,降低了信息外泄的风险。
附图说明
附图1为本发明的整体结构搭建示意图。
附图2为本发明A上层管理应用模块或B上层管理应用模块的初始化过程示意图。
附图3为本发明的A数据加解密模块或B数据加解密模块进行加密策略配置流程示意图。
附图4为本发明的服务器之间进行的身份认证和秘钥协商处理流程示意图。
附图5为本发明A数据加解密模块和B数据加解密模块的加解密处理流程示意图。
实施方式
下面结合反应路线及具体实施例对本发明作进一步的详细说明。
如图1-5所示,一种服务器数据安全交互系统,包括服务器A、服务器B和安全管理模块,所述服务器A由A端Linux系统模块和A端Linux内核模块组成;所述服务器B由B端Linux系统模块和B端Linux内核模块组成;所述A端Linux系统模块包含有A业务应用模块和A上层管理应用模块,所述A端Linux内核模块包含有A网络传输模块和A数据加解密模块;所述B端Linux系统模块包含有B业务应用模块和B上层管理应用模块,所述B端Linux内核模块包含有B网络传输模块和B数据加解密模块;所述服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;所述A端Linux系统模块与B端Linux系统模块之间互相进行身份认证和密钥协商的数据传输验证;所述A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接。
一种服务器数据安全交互系统,具体包括如下步骤:
步骤一:所述A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥P1,在完成安装并初始化后,获取IP地址,生成临时公私钥对(P0,S0),使用非对称加密算法和安全管理模块公钥P1将临时公钥P0和IP地址进行加密形成密文D0,再将D0传输给安全管理模块;
步骤二:安全管理模块使用本地私钥解密D0,得到IP地址及临时公钥P0,以IP地址作为参数生成公私钥对(P2,S2),使用非对称加密算法和临时公钥P0加密公私钥对(P2,S2)和IP地址后生成密文D1,返回D1给A上层管理应用模块或B上层管理应用模块,使用临时私钥S0解密D1,得到公私钥对(P2,S2)和IP地址,校验解密得到的IP地址和本地获取的IP地址的一致性,校验通过后,加密存储私钥S2,销毁临时公私钥对(P0,S0);
步骤三:进行所述A上层管理应用模块和B上层管理应用模块的加密策略配置通信,包括安全管理模块的管理员登录后选择对应的A上层管理应用模块或B上层管理应用模块的IP地址,设置加密数据的目标IP地址和端口,并设置加密数据使用的加密算法类型;
步骤四:所述A上层管理应用模块和B上层管理应用模块使用对称加密算法和公钥P2加密配置信息,生成密文D’,使用私钥S2解密D’得到配置信息;将对应的配置信息写入所述A数据加解密模块和B数据加解密模块中,并反馈配置结果给A上层管理应用模块、B上层管理应用模块和安全管理模块;
服务器A与服务器B进行交互时,如果数据加解密处理设置在服务器B中时进行所述步骤一到步骤四得到的服务器A公私钥对是(P2a,S2a);如果数据加解密处理设置在服务器A中时进行所述步骤一到步骤四得到服务器B的公私钥对是(P2b,S2b);
步骤五:进行所述服务器A和服务器B之间的身份认证和秘钥协商,包括A上层管理应用模块获取服务器A的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器A的IP地址进行签名,获取A上层管理应用模块公钥P2a,然后将签名和公钥P2a给B上层管理应用模块;B上层管理应用模块使用公钥P2a验证服务器A的签名,获得服务器B的IP地址,使用非对称算法和B上层管理应用模块私钥S2b对服务器B的IP地址进行签名,获取B上层管理应用模块的公钥P2b;
步骤六:将所述步骤五服务器B的签名及公钥P2b发送给所述A上层管理应用模块,使用公钥P2b验证服务器B的签名,使用迪菲赫尔曼秘钥协商算法进行对称秘钥协商,传递算法参数给B上层管理应用模块,所述A上层管理应用模块和B上层管理应用模块分别根据迪菲赫尔曼秘钥协商算法计算对称秘钥Key并对应配置到A数据加解密模块和B数据加解密模块中,至此完成服务器A与服务器B的信息交互传输。
所述A数据加解密模块和B数据加解密模块的加解密的具体处理包括:所述A上层管理应用模块发送数据到B上层管理应用模块时,A数据加解密模块通过netfiler子系统截获业务数据Data,使用对称加密算法和秘钥Key加密数据Data后生成密文Data’,然后将密文Data’发送给A上层管理应用模块,所述B数据加解密模块通过netfiler子系统截获业务数据Data’,使用对称加密算法和秘钥Key解密数据Data’后得到明文Data,至此B上层管理应用模块获得A上层管理应用模块发送的明文Data。
所述配置信息包括加密范围、加密的数据类型、配置需要加密数据的业务应用、配置目标地址和端口。所述安全管理模块执行的指令包括秘钥分发与管理、加解密算法配置、加解密功能开关、加解密策略配置、Linux上层安全管理应用的运行状态管理,所述安全管理模块部署在独立的服务器中。所述A上层管理应用模块和B上层管理应用模块执行秘钥申请、秘钥保护、分对称加密算法身份认证、对称加密算法的秘钥协商、定时对称秘钥更新机制、运行状态数据上传。所述A数据加解密模块和B数据加解密模块监听网络数据包、分析数据包中的数据、对称加解密算法。
以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (5)

1.一种服务器数据安全交互系统,其特征在于:包括服务器A、服务器B和安全管理模块,所述服务器A由A端Linux系统模块和A端Linux内核模块组成;所述服务器B由B端Linux系统模块和B端Linux内核模块组成;所述A端Linux系统模块包含有A业务应用模块和A上层管理应用模块,所述A端Linux内核模块包含有A网络传输模块和A数据加解密模块;所述B端Linux系统模块包含有B业务应用模块和B上层管理应用模块,所述B端Linux内核模块包含有B网络传输模块和B数据加解密模块;所述服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;所述A端Linux系统模块与B端Linux系统模块之间互相进行身份认证和密钥协商的数据传输验证;所述A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接,具体交互包括如下步骤:
步骤一:所述A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥P1,在完成安装并初始化后,获取IP地址,生成临时公私钥对(P0,S0),使用非对称加密算法和安全管理模块公钥P1将临时公钥P0和IP地址进行加密形成密文D0,再将D0传输给安全管理模块;
步骤二:安全管理模块使用本地私钥解密D0,得到IP地址及临时公钥P0,以IP地址作为参数生成公私钥对(P2,S2),使用非对称加密算法和临时公钥P0加密公私钥对(P2,S2)和IP地址后生成密文D1,返回D1给A上层管理应用模块或B上层管理应用模块,使用临时私钥S0解密D1,得到公私钥对(P2,S2)和IP地址,校验解密得到的IP地址和本地获取的IP地址的一致性,校验通过后,加密存储私钥S2,销毁临时公私钥对(P0,S0);
步骤三:进行所述A上层管理应用模块和B上层管理应用模块的加密策略配置通信,包括安全管理模块的管理员登录后选择对应的A上层管理应用模块或B上层管理应用模块的IP地址,设置加密数据的目标IP地址和端口,并设置加密数据使用的加密算法类型;
步骤四:所述A上层管理应用模块和B上层管理应用模块使用对称加密算法和公钥P2加密配置信息,生成密文D’,使用私钥S2解密D’得到配置信息;将对应的配置信息写入所述A数据加解密模块和B数据加解密模块中,并反馈配置结果给A上层管理应用模块、B上层管理应用模块和安全管理模块;
服务器A与服务器B进行交互时,如果数据加解密处理设置在服务器B中时进行所述步骤一到步骤四得到的服务器A公私钥对是(P2a,S2a);如果数据加解密处理设置在服务器A中时进行所述步骤一到步骤四得到服务器B的公私钥对是(P2b,S2b);
步骤五:进行所述服务器A和服务器B之间的身份认证和秘钥协商,包括A上层管理应用模块获取服务器A的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器A的IP地址进行签名,获取A上层管理应用模块公钥P2a,然后将签名和公钥P2a给B上层管理应用模块;B上层管理应用模块使用公钥P2a验证服务器A的签名,获得服务器B的IP地址,使用非对称算法和B上层管理应用模块私钥S2b对服务器B的IP地址进行签名,获取B上层管理应用模块的公钥P2b;
步骤六:将所述步骤五服务器B的签名及公钥P2b发送给所述A上层管理应用模块,使用公钥P2b验证服务器B的签名,使用迪菲赫尔曼秘钥协商算法进行对称秘钥协商,传递算法参数给B上层管理应用模块,所述A上层管理应用模块和B上层管理应用模块分别根据迪菲赫尔曼秘钥协商算法计算对称秘钥Key并对应配置到A数据加解密模块和B数据加解密模块中,至此完成服务器A与服务器B的信息交互传输;
所述A数据加解密模块和B数据加解密模块的加解密的具体处理包括:所述A上层管理应用模块发送数据到B上层管理应用模块时,A数据加解密模块通过netfiler子系统截获业务数据Data,使用对称加密算法和秘钥Key加密数据Data后生成密文Data’,然后将密文Data’发送给A上层管理应用模块,所述B数据加解密模块通过netfiler子系统截获业务数据Data’,使用对称加密算法和秘钥Key解密数据Data’后得到明文Data,至此B上层管理应用模块获得A上层管理应用模块发送的明文Data。
2.根据权利要求1所述的一种服务器数据安全交互系统,其特征在于:所述安全管理模块执行的指令包括秘钥分发与管理、加解密算法配置、加解密功能开关、加解密策略配置、Linux上层安全管理应用的运行状态管理,所述安全管理模块部署在独立的服务器中。
3.根据权利要求1所述的一种服务器数据安全交互系统,其特征在于:所述A上层管理应用模块和B上层管理应用模块执行秘钥申请、秘钥保护、分对称加密算法身份认证、对称加密算法的秘钥协商、定时对称秘钥更新机制、运行状态数据上传。
4.根据权利要求1所述的一种服务器数据安全交互系统,其特征在于:所述A数据加解密模块和B数据加解密模块监听网络数据包、分析数据包中的数据、对称加解密算法。
5.根据权利要求1所述的一种服务器数据安全交互系统,其特征在于:所述配置信息包括加密范围、加密的数据类型、配置需要加密数据的业务应用、配置目标地址和端口。
CN201911406299.XA 2019-12-31 2019-12-31 一种服务器数据安全交互系统 Active CN111245604B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911406299.XA CN111245604B (zh) 2019-12-31 2019-12-31 一种服务器数据安全交互系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911406299.XA CN111245604B (zh) 2019-12-31 2019-12-31 一种服务器数据安全交互系统

Publications (2)

Publication Number Publication Date
CN111245604A CN111245604A (zh) 2020-06-05
CN111245604B true CN111245604B (zh) 2023-07-04

Family

ID=70864191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911406299.XA Active CN111245604B (zh) 2019-12-31 2019-12-31 一种服务器数据安全交互系统

Country Status (1)

Country Link
CN (1) CN111245604B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113392413A (zh) * 2021-05-26 2021-09-14 亿次网联(杭州)科技有限公司 一种数据安全存储方法、装置、系统和存储介质
CN113806725B (zh) * 2021-11-17 2022-02-25 北京翰凌科技有限公司 一种金融商业数据云交互方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109815725B (zh) * 2017-11-20 2020-12-25 北京金融资产交易所有限公司 一种实现数据安全处理的系统和方法
CN109525570B (zh) * 2018-11-06 2021-01-12 东南大学 一种面向集团客户的数据分层安全访问控制方法

Also Published As

Publication number Publication date
CN111245604A (zh) 2020-06-05

Similar Documents

Publication Publication Date Title
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
Ylonen SSH–secure login connections over the Internet
WO2019100691A1 (zh) 面向工业嵌入式系统的网络信息安全防护单元和防护方法
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
CN110996318A (zh) 一种变电站智能巡检机器人安全通信接入系统
CN111819824A (zh) 在无中间人代理的情况下解密传输层安全流量
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
EP3461097A1 (en) Encrypted content detection method and apparatus
CN111740964B (zh) 远程同步通信方法、拟态虚拟终端、异构执行体及介质
CN105429962B (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
CN111800467B (zh) 远程同步通信方法、数据交互方法、设备及可读存储介质
CN111245604B (zh) 一种服务器数据安全交互系统
CN111405062A (zh) 基于ssh协议的拟态输入代理装置、通信系统及方法
Li et al. ME-TLS: middlebox-enhanced TLS for internet-of-things devices
US20220124074A1 (en) Method and apparatus for encrypted communication
CN108632251A (zh) 基于云计算数据服务的可信认证方法及其加密算法
EP3288235B1 (en) System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures
CN115549932A (zh) 一种面向海量异构物联网终端的安全接入系统及接入方法
EP2811401B1 (en) Method and apparatus for inputting data
CN211352206U (zh) 基于量子密钥分发的IPSec VPN密码机
CN110417706A (zh) 一种基于交换机的安全通信方法
US11349821B2 (en) System and process for TLS exceptionally verified eavesdropping
CN104994096B (zh) 一种动态加载于智能变电站通讯管理机的安全加固机制模块的配置方法
WO2023024540A1 (zh) 处理报文、获取sa信息的方法、装置、系统及介质
CN117596000B (zh) 一种云服务器密码机主机与虚拟密码机通讯方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant