CN111404884B - 安全通信方法、客户机及非公开服务器 - Google Patents

安全通信方法、客户机及非公开服务器 Download PDF

Info

Publication number
CN111404884B
CN111404884B CN202010137103.8A CN202010137103A CN111404884B CN 111404884 B CN111404884 B CN 111404884B CN 202010137103 A CN202010137103 A CN 202010137103A CN 111404884 B CN111404884 B CN 111404884B
Authority
CN
China
Prior art keywords
group
client
public
communication
public server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010137103.8A
Other languages
English (en)
Other versions
CN111404884A (zh
Inventor
李星
包丛笑
刘人杰
翁喆
常得量
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202010137103.8A priority Critical patent/CN111404884B/zh
Publication of CN111404884A publication Critical patent/CN111404884A/zh
Priority to US17/249,401 priority patent/US11546297B2/en
Application granted granted Critical
Publication of CN111404884B publication Critical patent/CN111404884B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/604Address structures or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种安全通信方法、客户机及非公开服务器,其中方法包括:基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成非公开服务器的一组目标地址;其中,签名字符串是基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的;基于包含一组目标地址的一组通信连接向非公开服务器发起连接请求,以供非公开服务器基于一组目标地址中的用户标识,确定用户标识对应的公钥,基于公钥验证一组通信连接,并在验证通过时建立通信。本发明实施例提供的方法、客户机及非公开服务器,能够避免黑客扫描、渗透和攻击,极大地增强客户机与服务器的安全性。

Description

安全通信方法、客户机及非公开服务器
技术领域
本发明涉及互联网技术领域,尤其涉及一种安全通信方法、客户机及非公开服务器。
背景技术
IPv6是下一代互联网的核心技术,正在走向了大规模商用的阶段,在全世界范围内正在进行越来越广泛的部署。
安全问题作为与互联网相关的重要话题,特别是在如今基于互联网的物联网、电子商务、金融业务等保密性、安全性要求高的业务快速发展之际,如何保证IPv6通信的安全性,避免黑客扫描、渗透和攻击,仍然是本领域人员亟待解决的问题。
发明内容
本发明实施例提供一种安全通信方法、客户机及非公开服务器,用以解决IPv6通信的安全问题。
第一方面,本发明实施例提供一种安全通信方法,包括:
基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成所述非公开服务器的一组目标地址;其中,所述签名字符串是基于所述客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;
基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起连接请求,以供所述非公开服务器基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
优选地,所述基于非公开服务器的IPv6前缀、所述签名字符串以及所述用户标识,生成所述非公开服务器的一组目标地址,具体包括:
将所述签名字符串拆分为一组签名字符串子块;
基于所述非公开服务器的IPv6前缀、所述用户标识以及一组签名字符串子块,生成所述非公开服务器的一组目标地址。
优选地,所述基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起一组连接请求,具体包括:
基于所述非公开服务器的一组目标地址,生成一组通信连接;
基于所述一组通信连接向所述非公开服务器发起连接请求。
第二方面,本发明实施例提供一种安全通信方法,包括:
若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥;其中,所述一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及所述用户标识生成的,所述签名字符串是所述客户机基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的;
基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
优选地,当所述一组通信连接中存在多个通信连接时,所述基于所述公钥验证所述一组通信连接,具体包括:
提取每一通信连接的目标地址的签名字符串子块,组合成还原签名字符串;
基于所述公钥对所述还原签名字符串进行解密,得到解密IPv6地址和解密用户标识;
基于所述解密IPv6地址和所述解密用户标识,以及任一通信连接中的源地址和用户标识,验证所述任一通信连接;
若每一通信连接均通过验证,则确定所述一组通信连接通过验证;否则,确定所述一组通信连接验证失败。
优选地,所述若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥,之前还包括:
基于预先设置的非路由地址与接入设备通信,以使得所述接入设备将所述非公开服务器的IPv6前缀指向所述非公开服务器。
第三方面,本发明实施例提供一种客户机,包括:
目标地址生成单元,用于基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成所述非公开服务器的一组目标地址;其中,所述签名字符串是基于所述客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;
通信连接请求单元,用于基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起一组连接请求,以供所述非公开服务器基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
第四方面,本发明实施例提供一种非公开服务器,包括:
公钥确定单元,用于若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥;其中,所述一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及所述用户标识生成的,所述签名字符串是所述客户机基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的;
解密验证单元,用于基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
第五方面,本发明实施例提供一种电子设备,包括处理器、通信接口、存储器和总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信,处理器可以调用存储器中的逻辑命令,以执行如第一方面或第二方面所提供的方法的步骤。
第六方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面或第二方面所提供的方法的步骤。
本发明实施例提供的一种安全通信方法、客户机及非公开服务器,客户机应用私钥对客户机的IPv6地址以及用户标识进行签名,从而构建一组通信连接,非公开服务器基于公钥验证其合法性,从而保证非公开服务器能够响应IPv6互联网上任意地点的客户机的请求并与其通信,而其它客户机完全无法感知到非公开服务器的存在,避免黑客扫描、渗透和攻击,极大地增强客户机与服务器的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的安全通信方法的流程示意图;
图2为本发明另一实施例提供的安全通信方法的流程示意图;
图3为本发明实施例提供的客户机的结构示意图;
图4为本发明实施例提供的非公开服务器的结构示意图;
图5为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的安全通信方法的流程示意图,如图1所示,该方法的执行步骤为IPv6网络中的任一客户机,该方法包括:
步骤110,基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成非公开服务器的一组目标地址;其中,签名字符串是基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的。
具体地,针对于任一客户机,若客户机存在与非公开服务器通信的需求,则确定非公开服务器的IPv6前缀,以及客户机自身的签名字符串和用户标识。
其中,非公开服务器不使用固定IPv6地址对外提供服务,而是在接入网络后对其IPv6前缀下的所有地址的相关服务端口进行监听,从而将非公开服务器所使用的真实地址隐藏在庞大的地址池中,使得外部无法感知,从而保证非公开服务器的安全可靠。
客户机的签名字符串,是基于客户机的私钥,对客户机自身的IPv6地址以及用户标识进行签名加密得到的。此处,客户机的私钥及其相对应的公钥是基于PKI(Public KeyInfrastructure)预先构建的,每一客户机均对应一组私钥和公钥,私钥由用户保存,严格保密,公钥公开发布。此外,客户机的用户标识用于标识客户机的身份信息。
需要说明的是,本发明实施例中,任一客户机的公私钥可以是通过PKI系统确定的,也可以是由客户机直接生成并把公钥同步到可信域内的服务器中。
基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识生成的一组地址,即可作为客户机向非公开服务器发起连接请求的一组目标地址。此处,一组目标地址可以包含一个或多个目标地址。
步骤120,基于包含一组目标地址的一组通信连接向非公开服务器发起一组连接请求,以供非公开服务器基于一组目标地址中的用户标识,确定用户标识对应的公钥,基于公钥验证一组通信连接,并在验证通过时建立通信。
具体地,一组目标地址对应于一组通信连接,其中每一目标地址对应一个通信连接。一组通信连接用于发起一组连接请求,每一个通信连接可以是五元组的形式,五元组包含有源地址,源端口,目标地址,目标端口和传输层协议,其中源地址即客户机的IPv6地址,目标地址即步骤120中得到的一组目标地址中的某一个。在得到通信连接的参数之后,即可基于通信连接向非公开服务器发起一组连接请求。
非公开服务器对其IPv6前缀下的所有地址的相关服务端口进行监听,当非公开服务器监听到客户机的一组通信连接,则从一组通信连接的一组目标地址中提取客户机的用户标识,根据用户标识,获取用户标识所对应的PKI体系下的公钥。在得到公钥后,非公开服务器应用公钥对基于该组目标地址组成的还原签名字符串进行解密,并将解密后得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识进行比较,从而验证通信连接的合法性。若解密得到的客户机的IPv6地址和用户标识,与一组通信连接中每个通信连接包含的源地址和用户标识一致,则确定通信连接合法,验证通过,由非公开服务器建立与客户机之间的通信连接,从而实现非公开服务器与客户机之间的安全通信;否则,确定该组通信连接不合法,验证失败,非公开服务器不与客户机连接通信,以维护非公开服务器的安全。
本发明实施例提供的方法,客户机应用私钥对客户机的IPv6地址以及用户标识进行签名,从而构建一组通信连接,非公开服务器基于公钥验证其合法性,从而保证非公开服务器能够响应IPv6互联网上任意地点的客户机的请求并与其通信,而其它客户机完全无法感知到非公开服务器的存在,避免黑客扫描、渗透和攻击,极大地增强客户机与服务器的安全性。
基于上述实施例,步骤110具体包括:
步骤111,将签名字符串拆分为一组签名字符串子块。
步骤112,基于非公开服务器的IPv6前缀、用户标识以及一组签名字符串子块,生成非公开服务器的一组目标地址。
具体地,步骤111中,在得到签名字符串之后,可以对签名字符串进行拆分,此处,拆分的规则和拆分的数量均是预先设定的。通过拆分签名字符串,可以得到多个字符串,将每一字符串作为一个签名字符串子块,多个签名字符串子块构成一组签名字符串子块。
步骤112中,目标地址的数量与步骤111中签名字符串子块的数量一致,由此得到的五元通信组的数量也与签名字符串子块的数量一致。每一签名字符串子块对应得到一个目标地址,任一目标地址包括IPv6前缀、用户标识和签名字符串子块三个部分。需要说明的是,针对于任一目标地址,该目标地址中的用户标识和签名字符串子块构成该目标地址的IPv6后缀。
本发明实施例提供的方法,将签名字符串拆分为一组签名字符串子块,用于生成一组目标地址,进一步提高通信连接的安全性。
基于上述任一实施例,步骤120具体包括:
步骤121,基于非公开服务器的一组目标地址,生成一组通信连接。
步骤122,基于一组通信连接向非公开服务器发起连接请求。
具体地,在得到多个目标地址之后,针对每一目标地址生成一个通信连接,由此得到多个通信连接,构成一组通信连接,基于一组通信连接向非公开服务器发起连接请求,以供非公开服务器监听到一组通信连接后,能够基于用户标识所对应的公钥,对由一组通信连接中每一目标地址的签名字符串子块组合成的还原签名字符串进行解密,并将解密后得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识进行比较,从而验证通信连接的合法性。
本发明实施例提供的方法,通过向非公开服务器发送一组通信连接,非公开服务器需要验证所有通信连接的合法性,方能够建立客户机与非公开服务器之间的连接,提高了客户机与非公开服务器之间通信的安全性。
基于上述任一实施例,图2为本发明另一实施例提供的安全通信方法的流程示意图,如图2所示,该方法的执行主体可以是IPv6非公开服务器,该方法包括:
步骤210,若监听到请求连接的一组通信连接,则基于一组通信连接的一组目标地址中的用户标识,确定用户标识对应的公钥;其中,一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及用户标识生成的,签名字符串是客户机基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的。
具体地,非公开服务器对其IPv6前缀下的所有地址的相关服务端口进行监听,当监听到任一客户机用于请求连接的一组通信连接时,则从该组通信连接的一组目标地址中提取客户机的用户标识,并确定用户标识对应的公钥。此处,公钥可以通过PKI系统获取,也可以基于预先存储在服务器中的大量用户标识及其对应的公钥,匹配得到公钥,本发明实施例对此不作具体限定。需要说明的是,一组通信连接包含一个或多个通信连接,每一通信连接均包含一个目标地址。在此之前,还需要客户机基于私钥,对该客户机的IPv6地址以及用户标识进行签名加密,得到签名字符串,并基于需要连接的非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成一组目标地址,并得到包含有一组目标地址的一组通信连接,基于该组通信连接发起连接请求。
步骤220,基于公钥验证一组通信连接,并在验证通过时建立通信。
具体地,在得到公钥之后,可以基于公钥验证一组通信连接的合法性。进一步地,可以应用公钥对基于通信连接的一组目标地址组合得到的还原签名字符串进行解密,并将解密后得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识进行比较,从而验证通信连接的合法性。若解密得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识一致,则确定通信连接合法,验证通过,建立与客户机之间的通信连接,从而实现非公开服务器与客户机之间的安全通信;否则,确定通信连接不合法,验证失败,非公开服务器不与客户机连接通信,以维护非公开服务器的安全。
本发明实施例提供的方法,客户机应用私钥对客户机的IPv6地址以及用户标识进行签名,从而构建一组通信连接,非公开服务器基于公钥验证其合法性,从而保证非公开服务器能够响应IPv6互联网上任意地点的客户机的请求并与其通信,而其它客户机完全无法感知到非公开服务器的存在,避免黑客扫描、渗透和攻击,极大地增强客户机与服务器的安全性。
基于上述任一实施例,当一组通信连接中存在多个通信连接时,步骤220具体包括:
步骤221,提取每一通信连接的一组目标地址的IPv6后缀,组合成还原签名字符串。
具体地,在客户机侧,客户机预先将签名字符串拆分为多个签名字符串子块,并针对每一签名字符串子块生成了一个目标地址,进而得到了一个通信连接,由此得到包含多个通信连接的一组通信连接。
对应地,在应用公钥验证多个通信连接的合法性时,需要基于多个通信连接中目标地址的签名字符串子块,实现签名字符串的还原。需要说明的是,此处基于每一目标地址中的签名字符串子块来还原签名字符串的方式,与客户机将签名字符串拆分为多个签名字符串子块的方式相对应,均为客户机与非公开服务器预先约定的,本发明实施例对此不作具体限定。
进一步地,通过对每一通信连接的目标地址的签名字符串子块所还原的签名字符串,本发明实施例中记作还原签名字符串,从而与客户机侧生成的签名字符串相区别。
步骤222,基于公钥对还原签名字符串进行解密,得到解密IPv6地址和解密用户标识。
具体地,在得到还原签名字符串后,基于公钥对还原签名字符串进行解密,从解密后的还原签名字符串中提取解密IPv6地址和解密用户标识。此处,解密IPv6地址是从解密后的还原签名字符串中提取的客户机的IPv6地址,解密用户标识是从解密后的还原签名字符串中提取的客户机的用户标识。
步骤223,基于解密IPv6地址和解密用户标识,以及任一通信连接中的源地址和用户标识,验证该通信连接。
具体地,针对于一组通信连接中的任意一个通信连接,可以将解密IPv6地址与该通信连接中的源地址进行比较,将解密用户标识与该通信连接的目标地址中的用户标识进行比较,若均一致,则确定该通信连接验证通过,否则,确定该通信连接验证失败。
步骤224,若每一通信连接均通过验证,则确定一组通信连接通过验证;否则,确定一组通信连接验证失败。
具体地,在对于一组通信连接中的每一通信连接均完成验证后,若该组通信连接中的每一通信连接均通过验证,则确定该组通信连接合法,验证通过,建立与客户机之间的通信连接;若该组通信连接中存在至少一个通信连接验证失败,则确定该组通信连接不合法,验证失败,非公开服务器不与客户机连接通信,以维护非公开服务器的安全
本发明实施例提供的方法,通过还原签名字符串,验证每一通信连接的合法性,进而建立客户机与非公开服务器之间的连接,提高了客户机与非公开服务器之间通信的安全性。
基于上述任一实施例,步骤210之前,还包括:基于预先设置的非路由地址与接入设备通信,以使得接入设备将非公开服务器的IPv6前缀指向非公开服务器。
具体地,在执行上述安全通信方法之前,还需要在非公开服务器接入网络时,对非公开服务器进行初始化,从而确保非公开服务器能够监听其IPv6前缀下所有地址的相关服务端口。其中,接入设备是指与非公开服务器相连接的接入路由器或者其余类型的接入设备,在非公开服务器需要与接入设备进行通信时,使用上述非路由地址进行通信,以保证在此子网外的非路由地址无法被感知。
基于上述任一实施例,一种安全通信方法,包括如下步骤:
首先,对非公开服务器进行初始化:为非公开服务器配置一个非路由地址,如fe80::3300;并将与其连接的接入设备同样配置一个非全球单播IPv6地址,如fe80::2203。当非公开服务器需要与接入设备进行通信时,需要使用地址进行通信。
此外,还需要为非公开服务器配置一个公有的IPv6前缀,例如,2001:da8:c0b2:3388::/64。同时,进行相关路由配置,确保互联网上指向该前缀的数据报文能被路由到该非公开服务器,且路由器发送的数据报文能够送至互联网中。
同时,针对于客户机,向权威机构进行注册,获取非对称加密的加密私钥,并保存客户机的用户标识,如ccbb。
当客户机开始向非公开服务器发起通信时,首先获取自身的IPv6地址2001:250:c337:2481::3,作为本次通信的源地址;同时获取非公开服务器的IPv6前缀2001:da8:c0b2:3388::/64。
客户机使用自己的非对称加密算法的私钥对自身当时所使用的IPv6地址及用户标识签名,生成签名字符串,并对签名字符串进行分拆,形成多个签名字符串子块。此处,签名字符串子块的生成数量由加密算法决定。假设本发明实施例中生成的IPv6后缀数量为5。此外,为了防止重放攻击,加密时也可以在不同通信过程之间增加不重复的可验证的随机因子。通过以上方法,客户机生成五个签名字符串子块:
2087:3239:1e07
3eaf:6ce9:2058
4376:523b:fe09
1628:2573:6689
2a73:56b8:22ce
客户机将这五个签名字符串子块与非公开服务器的IPv6前缀,以及客户机自身的用户标识组合,生成五个IPv6目标地址,作为一组IPv6目标地址:
2001:da8:c0b2:3388:ccbb:2087:3239:1e07
2001:da8:c0b2:3388:ccbb:3eaf:6ce9:2058
2001:da8:c0b2:3388:ccbb:4376:523b:fe09
2001:da8:c0b2:3388:ccbb:1628:2573:6689
2001:da8:c0b2:3388:ccbb:2a73:56b8:22ce
客户机将2001:250:c337:2481::3作为源地址,上述五个地址分别作为目的地址,向非公开服务器同时发起一组五个通信连接。
非公开服务器默认对前缀2001:da8:c0b2:3388::/64下的所有地址的对应服务端口展开监听。当非公开服务器接收到上述通信连接时,首先提取出客户机的用户标识ccbb,根据用户标识,通过PKI体系向权威机构目录服务器获得用于解密的公钥。
随即,非公开服务器通过公钥对基于上述一组通信连接中五个目标地址所组合成的还原签名字符串进行验证。若合法,则对数据报文进行放行,并允许上述通信连接建立并传输信息,开始正式通信过程;否则,认为该通信连接不合法。
本发明实施例提供的方法,客户机应用私钥对客户机的IPv6地址以及用户标识进行签名,从而构建一组通信连接,非公开服务器基于公钥验证其合法性,从而保证非公开服务器能够响应IPv6互联网上任意地点的客户机的请求并与其通信,而其它客户机完全无法感知到非公开服务器的存在,避免黑客扫描、渗透和攻击,极大地增强客户机与服务器的安全性。上述任一实施例可以应用但不限于云计算的虚拟机管理,私有云应用,物联网传感器、控制器等领域中。
基于上述任一实施例,图3为本发明实施例提供的客户机的结构示意图,如图3所示,客户机包括目标地址生成单元310和通信连接请求单元320;
其中,目标地址生成单元310用于基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成所述非公开服务器的一组目标地址;其中,所述签名字符串是基于所述客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;
通信连接请求单元320用于基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起一组连接请求,以供所述非公开服务器基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
本发明实施例提供的客户机,应用私钥对客户机的IPv6地址以及用户标识进行签名,从而构建一组通信连接,以供非公开服务器基于公钥验证其合法性,从而保证非公开服务器能够响应IPv6互联网上任意地点的客户机的请求并与其通信,而其它客户机完全无法感知到非公开服务器的存在,避免黑客扫描、渗透和攻击,极大地增强客户机与服务器的安全性。
基于上述任一实施例,目标地址生成单元310包括:
拆分子单元,用于将所述签名字符串拆分为一组签名字符串子块;
地址生成子单元,用于基于所述非公开服务器的IPv6前缀、所述用户标识以及一组签名字符串子块,生成所述非公开服务器的一组目标地址。
基于上述任一实施例,通信连接请求单元320具体用于:
基于所述非公开服务器的一组目标地址,生成一组通信连接;
基于所述一组通信连接向所述非公开服务器发起连接请求。
基于上述任一实施例,图4为本发明实施例提供的非公开服务器的结构示意图,如图4所示,非公开服务器包括公钥确定单元410和解密验证单元420;
其中,公钥确定单元410用于若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥;其中,所述一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及所述用户标识生成的,所述签名字符串是所述客户机基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的;
解密验证单元420用于基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
本发明实施例提供的非公开服务器,基于公钥验证通信连接的合法性,从而保证非公开服务器能够响应IPv6互联网上任意地点的客户机的请求并与其通信,而其它客户机完全无法感知到非公开服务器的存在,避免黑客扫描、渗透和攻击,极大地增强客户机与服务器的安全性。
基于上述任一实施例,当所述一组通信连接中存在多个通信连接时,所述解密验证单元420具体用于:
提取每一通信连接的目标地址的签名字符串子块,组成还原签名字符串;
基于所述公钥对所述还原签名字符串进行解密,得到解密IPv6地址和解密用户标识;
基于所述解密IPv6地址和所述解密用户标识,以及任一通信连接中的源地址和用户标识,验证所述任一通信连接;
若每一通信连接均通过验证,则确定所述一组通信连接通过验证;否则,确定所述一组通信连接验证失败。
基于上述任一实施例,所述非公开服务器还包括初始化单元,所述初始化单元用于:
基于预先设置的非路由地址与接入设备通信,以使得所述接入设备将所述非公开服务器的IPv6前缀指向所述非公开服务器。
图5为本发明实施例提供的电子设备的结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑命令,以执行如下方法:基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成所述非公开服务器的一组目标地址;其中,所述签名字符串是基于所述客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起一组连接请求,以供所述非公开服务器基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
此外,处理器510还可以调用存储器530中的逻辑命令,以执行如下方法:若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥;其中,所述一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及所述用户标识生成的,所述签名字符串是所述客户机基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的;基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
此外,上述的存储器530中的逻辑命令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干命令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成所述非公开服务器的一组目标地址;其中,所述签名字符串是基于所述客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起连接请求,以供所述非公开服务器基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥;其中,所述一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及所述用户标识生成的,所述签名字符串是所述客户机基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的;基于所述公钥验证所述一组通信连接,并在验证通过时建立通信。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干命令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种安全通信方法,其特征在于,包括:
基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成所述非公开服务器的一组目标地址;其中,所述签名字符串是基于所述客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;
基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起连接请求,以供所述非公开服务器基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接,并在验证通过时建立通信;
其中,所述基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接的步骤,具体为:
非公开服务器对其IPv6前缀下的所有地址的相关服务端口进行监听,当非公开服务器监听到客户机的一组通信连接,则从一组通信连接的一组目标地址中提取客户机的用户标识,根据所述用户标识,获取所述用户标识所对应的公钥,在得到公钥后,非公开服务器应用所述公钥对基于该组目标地址组成的还原签名字符串进行解密,并将解密后得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识进行比较,从而验证通信连接的合法性。
2.根据权利要求1所述的安全通信方法,其特征在于,所述基于非公开服务器的IPv6前缀、所述签名字符串以及所述用户标识,生成所述非公开服务器的一组目标地址,具体包括:
将所述签名字符串拆分为一组签名字符串子块;
基于所述非公开服务器的IPv6前缀、所述用户标识以及一组签名字符串子块,生成所述非公开服务器的一组目标地址。
3.根据权利要求2所述的安全通信方法,其特征在于,所述基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起一组连接请求,具体包括:
基于所述非公开服务器的一组目标地址,生成一组通信连接;
基于所述一组通信连接向所述非公开服务器发起连接请求。
4.一种安全通信方法,其特征在于,包括:
若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥;其中,所述一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及所述用户标识生成的,所述签名字符串是所述客户机基于客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;
基于所述公钥验证所述一组通信连接,并在验证通过时建立通信;
其中,若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥的步骤,具体为:
非公开服务器对其IPv6前缀下的所有地址的相关服务端口进行监听,当非公开服务器监听到客户机的一组通信连接,则从一组通信连接的一组目标地址中提取客户机的用户标识,根据所述用户标识,获取所述用户标识所对应的公钥,在得到公钥后,非公开服务器应用所述公钥对基于该组目标地址组成的还原签名字符串进行解密,并将解密后得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识进行比较,从而验证通信连接的合法性。
5.根据权利要求4所述的安全通信方法,其特征在于,当所述一组通信连接中存在多个通信连接时,所述基于所述公钥验证所述一组通信连接,具体包括:
提取每一通信连接的目标地址的签名字符串子块,组合成还原签名字符串;所述签名字符串子块是所述客户机对所述签名字符串进行拆分得到的;
基于所述公钥,对所述还原签名字符串进行解密,得到解密IPv6地址和解密用户标识;
基于所述解密IPv6地址和所述解密用户标识,以及任一通信连接中的源地址和用户标识,验证所述任一通信连接;
若每一通信连接均通过验证,则确定所述一组通信连接通过验证;否则,确定所述一组通信连接验证失败。
6.根据权利要求4所述的安全通信方法,其特征在于,所述若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥,之前还包括:
基于预先设置的非路由地址与接入设备通信,以使得所述接入设备将所述非公开服务器的IPv6前缀指向所述非公开服务器。
7.一种客户机,其特征在于,包括:
目标地址生成单元,用于基于非公开服务器的IPv6前缀,以及客户机的签名字符串和用户标识,生成所述非公开服务器的一组目标地址;其中,所述签名字符串是基于所述客户机的私钥,对所述客户机的IPv6地址以及用户标识进行签名得到的;
通信连接请求单元,用于基于包含所述一组目标地址的一组通信连接向所述非公开服务器发起一组连接请求,以供所述非公开服务器基于所述一组目标地址中的用户标识,确定所述用户标识对应的公钥,基于所述公钥验证所述一组通信连接,并在验证通过时建立通信;
其中,所述通信连接请求单元,具体用于非公开服务器对其IPv6前缀下的所有地址的相关服务端口进行监听,当非公开服务器监听到客户机的一组通信连接,则从一组通信连接的一组目标地址中提取客户机的用户标识,根据所述用户标识,获取所述用户标识所对应的公钥,在得到公钥后,非公开服务器应用所述公钥对基于该组目标地址组成的还原签名字符串进行解密,并将解密后得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识进行比较,从而验证通信连接的合法性。
8.一种非公开服务器,其特征在于,包括:
公钥确定单元,用于若监听到用于请求连接的一组通信连接,则基于所述一组通信连接的一组目标地址中的用户标识,确定所述用户标识对应的公钥;其中,所述一组目标地址是基于非公开服务器的IPv6前缀、客户机的签名字符串以及所述用户标识生成的,所述签名字符串是所述客户机基于客户机的私钥,对客户机的IPv6地址以及用户标识进行签名得到的;
解密验证单元,用于基于所述公钥验证所述一组通信连接,并在验证通过时建立通信;
其中,所述公钥确定单元,具体用于非公开服务器对其IPv6前缀下的所有地址的相关服务端口进行监听,当非公开服务器监听到客户机的一组通信连接,则从一组通信连接的一组目标地址中提取客户机的用户标识,根据所述用户标识,获取所述用户标识所对应的公钥,在得到公钥后,非公开服务器应用所述公钥对基于该组目标地址组成的还原签名字符串进行解密,并将解密后得到的客户机的IPv6地址与用户标识与通信连接中包含的源地址和用户标识进行比较,从而验证通信连接的合法性。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6中任一项所述的安全通信方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6中任一项所述的安全通信方法的步骤。
CN202010137103.8A 2020-03-02 2020-03-02 安全通信方法、客户机及非公开服务器 Active CN111404884B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010137103.8A CN111404884B (zh) 2020-03-02 2020-03-02 安全通信方法、客户机及非公开服务器
US17/249,401 US11546297B2 (en) 2020-03-02 2021-03-01 Secure communication method, client and non-public server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010137103.8A CN111404884B (zh) 2020-03-02 2020-03-02 安全通信方法、客户机及非公开服务器

Publications (2)

Publication Number Publication Date
CN111404884A CN111404884A (zh) 2020-07-10
CN111404884B true CN111404884B (zh) 2021-07-20

Family

ID=71428559

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010137103.8A Active CN111404884B (zh) 2020-03-02 2020-03-02 安全通信方法、客户机及非公开服务器

Country Status (2)

Country Link
US (1) US11546297B2 (zh)
CN (1) CN111404884B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113285934B (zh) * 2021-05-14 2023-04-28 鼎铉商用密码测评技术(深圳)有限公司 基于数字签名的服务器密码机客户端ip检测方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109274644A (zh) * 2018-08-21 2019-01-25 华为技术有限公司 一种数据处理方法、终端和水印服务器
CN110392128A (zh) * 2019-08-20 2019-10-29 清华大学 提供准无地址IPv6公开万维网服务的方法及系统
CN110493367A (zh) * 2019-08-20 2019-11-22 清华大学 无地址的IPv6非公开服务器、客户机与通信方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
KR101527249B1 (ko) * 2008-03-04 2015-06-08 텔레폰악티에볼라겟엘엠에릭슨(펍) Ip 어드레스 위임
US9392080B2 (en) * 2009-12-18 2016-07-12 Microsoft Technology Licensing, Llc IPv4/IPv6 bridge
US8819275B2 (en) * 2012-02-28 2014-08-26 Comcast Cable Communications, Llc Load balancing and session persistence in packet networks
US9553899B2 (en) * 2013-08-30 2017-01-24 Comcast Cable Communications, Llc Single pass load balancing and session persistence in packet networks
US10263954B2 (en) * 2016-06-17 2019-04-16 At&T Intellectual Property I, L.P Identifying the source and destination sites for a VoIP call with dynamic-IP address end points
US11240200B1 (en) * 2018-05-29 2022-02-01 Amazon Technologies, Inc. Time-dependent network addressing

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109274644A (zh) * 2018-08-21 2019-01-25 华为技术有限公司 一种数据处理方法、终端和水印服务器
CN110392128A (zh) * 2019-08-20 2019-10-29 清华大学 提供准无地址IPv6公开万维网服务的方法及系统
CN110493367A (zh) * 2019-08-20 2019-11-22 清华大学 无地址的IPv6非公开服务器、客户机与通信方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
FlowLAN_ A non-tunneling distributed virtual network based on IPv6;Bai Yi 等;《2016 IEEE Information Technology, Networking, Electronic and Automation Control Conference》;20160905;全文 *
采用分段哈希方法的IPv6路由查找算法研究;高莹 等;《计算机工程与设计》;20100225;全文 *

Also Published As

Publication number Publication date
US20210273909A1 (en) 2021-09-02
US11546297B2 (en) 2023-01-03
CN111404884A (zh) 2020-07-10

Similar Documents

Publication Publication Date Title
CN109309565B (zh) 一种安全认证的方法及装置
CN111416807B (zh) 数据获取方法、装置及存储介质
CN109561066B (zh) 数据处理方法、装置、终端及接入点计算机
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
US10142297B2 (en) Secure communication method and apparatus
CN108781227B (zh) 用于在不可信云网络上的加密口令传输的方法和设备
CN102404314B (zh) 远程资源单点登录
CN107465689B (zh) 云环境下的虚拟可信平台模块的密钥管理系统及方法
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
CN108880822B (zh) 一种身份认证方法、装置、系统及一种智能无线设备
US20090150678A1 (en) Computer and method for sending security information for authentication
CN108173827B (zh) 基于区块链思维的分布式sdn控制平面安全认证方法
CN108243176B (zh) 数据传输方法和装置
US9876773B1 (en) Packet authentication and encryption in virtual networks
US10257171B2 (en) Server public key pinning by URL
CN111740964B (zh) 远程同步通信方法、拟态虚拟终端、异构执行体及介质
CN110933078B (zh) 一种h5未登录用户会话跟踪方法
US20110078784A1 (en) Vpn system and method of controlling operation of same
CN111800467B (zh) 远程同步通信方法、数据交互方法、设备及可读存储介质
CN112351037A (zh) 用于安全通信的信息处理方法及装置
CN114513339A (zh) 一种安全认证方法、系统及装置
CN111404884B (zh) 安全通信方法、客户机及非公开服务器
CN113645115B (zh) 虚拟专用网络接入方法和系统
CN109040225A (zh) 一种动态端口桌面接入管理方法和系统
US20230077053A1 (en) Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant