CN111901355B - 一种认证方法及装置 - Google Patents
一种认证方法及装置 Download PDFInfo
- Publication number
- CN111901355B CN111901355B CN202010775475.3A CN202010775475A CN111901355B CN 111901355 B CN111901355 B CN 111901355B CN 202010775475 A CN202010775475 A CN 202010775475A CN 111901355 B CN111901355 B CN 111901355B
- Authority
- CN
- China
- Prior art keywords
- information
- key
- indication field
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种认证方法及装置,应用于单数据包授权的客户端,所述方法包括:确认密钥状态指示字段的信息,其中,所述密钥状态指示字段的信息采用第一标识或第二标识进行表征,所述第一标识用于表征本次认证过程采用对称密钥,所述第二标识表征所述本次认证过程采用非对称密钥;封装用户名信息和所述密钥状态指示字段的信息得到SPA数据包;向服务器发送所述SPA数据包,以使所述服务器根据所述用户名信息和所述密钥状态指示字段的信息完成初步认证。本申请应用于SPA单包授权方案的综合密钥分发方法,既可以克服预置共享密钥的安全性较低的问题,也可以克服单纯采用非对称共享密钥的资源消耗过大的问题。
Description
技术领域
本申请涉及安全通信领域,具体而言本申请实施例涉及一种认证方法及装置。
背景技术
单包授权(SPA)可以在SDP客户端、SDP控制器和SDP代理网关中的两个主体之间进行通信。采用SPA协议在不同主体之间通信可以保护由 SDP代理网关屏蔽的服务器资源的安全性、缓解TLS的拒绝服务攻击等。
对于SPA协议来说,分为SPA客户端(client)和SPA服务端(server),单个SPA数据包从客户端发送到服务器,服务器不需要回复。
相关方案使用预置共享密钥的方式来作为加密密钥实现SPA单包授权方案,或者单纯使用非对称密钥体系来实现SPA单包授权方案。本申请的发明人发现通过客户端和服务端预置共享密钥来实现SPA的方法非常不便捷,且安全程度低,因为一旦共享密钥在客户端或者服务器端中的任何一端泄露,都将使得协议不安全,而单纯采用非对称密钥体系来实现SPA的方法又会带来服务端性能开销过大的问题。
发明内容
本申请实施例的目的在于提供一种认证方法及装置,本申请的一些实施例结合非对称密钥体系和对称密钥体系综合解决密钥分发问题的SPA单包授权方案,既可以克服预置共享密钥的安全性较低的问题,也可以克服单纯采用非对称共享密钥的资源消耗过大的问题。
第一方面,本申请实施例提供一种认证的方法,应用于单数据包授权的客户端,所述方法包括:确认密钥状态指示字段的信息,其中,所述密钥状态指示字段的信息采用第一标识或第二标识进行表征,所述第一标识用于表征本次认证过程采用对称密钥,所述第二标识表征所述本次认证过程采用非对称密钥;封装用户名信息和所述密钥状态指示字段的信息得到 SPA数据包;向服务器发送所述SPA数据包,以使所述服务器根据所述用户名信息和所述密钥状态指示字段的信息完成对用户的初步认证。
本申请的一些实施例在目前SPA数据包的报文头部增加用户名字段和密钥状态指示字段,与现有预置方式的密钥认证方式相比,本申请的一些实施例采用密钥状态指示字段来灵活的指示本次的认证方式,使得首次使用某个设备或者首次登录的用户可以采用非对称密钥方式完成认证,而再次使用同一设备登录的同一用户可以使用对称认证方式完成认证(且与现有对称认证方式不同,本申请实施例的共享密钥是动态设置的,例如通过登录信息获取下一次通信的共享密钥),从而克服预置共享密钥的安全性较低的问题,也克服单纯采用非对称共享密钥的资源消耗过大的问题。
在一些实施例中,所述方法还包括:获取用户设备的信息(;所述封装用户名信息和所述密钥状态指示字段的信息得到SPA数据包,包括:封装所述用户名信息、所述密钥状态指示字段的信息和所述用户设备的信息得到所述SPA数据包。
本申请的一些实施例还可以在目前的SPA数据包的报文头部增加用户设备标识字段,与现有不具有这个字段的基于SPA数据包的认证方式相比,本申请的一些实施例可以有效区分同一个用户采用不同终端设备登录时的单包认证问题,进一步提升认证过程的安全性。
在一些实施例中,所述向服务器发送所述SPA数据包之前,所述方法还包括:确认所述服务器的域名和所述服务器的证书的信息一致。
本申请的一些实施例的客户端还会确认服务器端或者承载服务器的 SDP控制器的身份是否合法,可以避免客户端连接假的SDP控制器和服务器端。
在一些实施例中,当所述服务器完成对所述用户的初步认证后,所述方法还包括:接收来自于所述服务器的更新共享密钥,以使所述用户采用所述用户设备在下次登录所述服务器时采用所述更新共享密钥加密认证信息。
本申请的一些实施例还可通过服务器端向认证通过的客户端(例如,在客户端登录SDP控制器的过程中)发送下一次单包授权认证过程的共享密钥(即更新共享密钥),与现有的采用预先配方式的对称密钥认证方式相比,本申请通过登录后获取各次的共享密钥以完成对称密钥认证的过程显然可以提高对称密钥认证的安全性。也就是说,即使本次认证过程的共享密钥泄露了也不会造成客户端的信息泄密,因为下一次的对称认证过程会采用新协商的共享密钥来加密发送的信息。
在一些实施例中,当用户更换客户端所在的设备时:所述获取用户设备的信息,包括:获取所述设备的信息;所述确认密钥状态指示字段的信息,包括:生成采用所述第二标识表征的所述密钥状态指示字段的信息;所述封装用户名信息、所述密钥状态指示字段的信息和所述用户设备的信息得到所述SPA数据包,包括:封装所述用户名信息、所述第二标识和所述设备的信息得到所述SPA数据包。
本申请的一些实施例还提供了当同一个用户更换设备时,动态获取新设备的设备信息以填充新增加的用户设备信息字段的内容,因此本申请的这些实施例可以完成针对同一个用户的不同终端设备的认证。
在一些实施例中,所述确认密钥状态指示字段的信息包括:当采用第一用户名信息和第一设备初次登录所述服务器时,生成采用所述第二标识表征的所述密钥状态指示字段;当再次采用所述第一用户名信息和所述第一设备再次登录所述服务器时,生成采用所述第一标识表征的所述密钥状态指示字段。
本申请的一些实施例通过首次登录采用非对称密钥方式而再次登录(同一用户且同一设备的再次登录)采用动态更新的对称密钥方式完成热证,提升了认证过程的安全性且节省了认证服务器的计算量。
在一些实施例中,所述当再次采用所述第一用户名信息和所述第一设备再次登录所述服务器时,生成采用所述第一标识表征的所述密钥状态指示字段之前,所述方法还包括:通过上次登录获取的更新后的共享密钥加密本次认证信息,其中,所述本次认证信息包括:所述用户名信息、所述第一设备的标识信息以及所述密钥状态指示字段的信息。
本申请的一些实施例在初步认证(即通过SPA数据包的初步认证)通过后向客户端发送共享密钥的方式来提升下一次单包通信的安全性,这是由于下一次采用对称密钥加密信息是本次认证通过后收到的更新后的共享密钥完成的。
第二方面,本申请实施例提供一种认证的方法,应用于单数据包授权的服务器端,所述方法包括:接收来自于客户端的SPA数据包,其中,所述SPA数据包包括密钥状态指示字段的信息;获取所述密钥状态指示字段的信息;至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步身份认证。
本申请的一些实施例在SPA单包授权认证过程中的服务器端可以根据密钥状态指示字段获取解密密钥进而解密来自于客户端的SPA数据包完成认证。例如,当密钥状态指示字段的标识表征本次属于对称密钥认证,则服务器端会获取上次客户端登录过程向其发送的共享密钥来作为本次解密密钥;当密钥状态指示字段的标识表征本次属于非对比密钥认证,则服务器端会根据其接收的SPA数据包的相关信息(例如,用户名信息)来确定私密密钥完成解密和认证过程。
在一些实施例中,所述获取所述密钥状态指示字段的信息;至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步身份认证,包括:根据用户名信息和所述密钥状态指示字段的信息确认所述的解密密钥;根据所述解密密钥完成用户身份认证过程。
本申请的一些实施例如果根据密钥状态指示字段确认本次属于非对称认证时,则服务器端或者SDP控制端会根据SPA的用户名字段和密钥状态指示字段的信息获取本次的解密密钥完成认证。
在一些实施例中,所述获取所述密钥状态指示字段的信息;至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步身份认证,包括:根据用户名信息、用户设备的信息和所述密钥状态指示字段的信息确认所述的解密密钥;根据所述解密密钥完成用户身份和用户设备的认证过程。
本申请的一些实施例如果根据密钥状态指示字段确认本次属于非对称认证时,则服务器端或者SDP控制端会根据SPA的用户名字段、用户设备标识和密钥状态指示字段的信息获取本次的解密密钥完成认证,与不具备用户设备标识的认证过程相比可以有区别的完成对同一用户不同设备登录服务器或者控制端的认证过程。
在一些实施例中,所述根据所述解密密钥完成对用户的初步身份认证之后,所述方法还包括:通过登录响应信息发送更新共享密钥信息。
本申请的一些实施例还可以通过登录信息携带更新的共享密钥,以使客户端在下一次采用对称密钥认证时采用这个共享密钥加密认证信息。
第三方面,本申请实施例提供一种用于认证的装置,所述装置包括:密钥状态指示字段生成模块,被配置为确认密钥状态指示字段的信息,其中,所述密钥状态指示字段的信息采用第一标识或第二标识表征本次认证过程服务器的认证类型,所述第一标识用于表征所述本次认证过程采用对称密钥,所述第二标识表征所述本次认证过程采用非对称密钥认证;封装模块,被配置为封装用户名信息和所述密钥状态指示字段的信息得到SPA 数据包;发送模块,被配置为向服务器发送所述SPA数据包,以使所述服务器根据所述用户名信息和所述密钥状态指示字段的信息完成对用户的初步认证。
第四方面,本申请实施例提供一种用于认证的装置,所述装置包括:接收模块,被配置为接收来自于客户端的SPA数据包,其中,所述SPA数据包包括密钥状态指示字段的信息;密钥状态指示字段信息获取模块,被配置为获取所述密钥状态指示字段的信息;认证模块,被配置为至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步身份认证。
第五方面,本申请实施例提供一种SDP客户端,所述客户端被配置为执行如第一方面所述的方法。
第六方面,本申请实施例提供一种SDP控制器,所述SDP控制器被配置为执行如第二方面所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的认证及服务提供系统的交互过程示意图;
图2为本申请实施例提供的SPA数据包的新增字段说明示意图;
图3为本申请实施例提供的SPA客户端和SPA服务器的交互过程示意图;
图4为本申请实施例提供的SPA客户端生成SPA数据包的过程之意图;
图5为本申请实施例提供的SPA服务器基于SPA数据包对用户的初步认证过程示意图;
图6为本申请实施例提供的更新共享密钥的过程示意图;
图7为本申请实施例提供的SPA客户端的组成框图;
图8为本申请实施例提供的SPA服务器的组成框图;
图9为本申请实施例提供的信息处理设备的组成框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请的一些实施例包含综合利用非对称密钥体系和对称密钥体系来解决密钥分发问题的SPA单包授权方案。
请参看图1,图1提供的认证及服务提供系统包括用于执行SPA客户端程序以生成SPA数据包的计算机终端100、用于接收计算机终端100生成的SPA数据包并基于这个数据包完成对用户身份(或者用户身份和用户设备)的初步认证的服务器200以及用于通过TSL通道向计算机终端100 提供其所需服务的网关300。
在一些实施例中,计算机终端100安装了SDP客户端,用户通过运行计算机终端100中的SDP客户端应用程序就可以启动生成SPA数据包并向服务器200发送生成的SPA数据包的过程。例如,用户点击了计算机终端100的桌面上的一个SDP客户端应用程序,这时就开始了单包授权过程,首先计算机终端100的SPA客户端会生成一个SPA数据包并向服务器200发送生成的SPA数据包,SDP控制器通过SPA数据包完成对用户身份(或者用户身份和用户设备)的识别。
在一些实施例中,用户可以通过打开计算机终端100上的浏览器(需要该浏览器已经按照了SPA客户端程序)来启动生成SPA数据包并向服务器200发送生成的SPA数据包的过程。
在一些实施例中,服务器200还会对认证通过的SPA客户端发送更新的共享密钥,以使SPA客户端和SPA服务器端在下一次认证时基于更新的共享密钥完成基于对称密钥的认证过程。
在一些实施例中,服务器200还向网关300(例如,服务器为SDP控制器,网关为SDP代理网关)发送计算机终端100的IP地址,以使后续计算机终端100可以通过该IP地址与网关300的连接(例如,通过图1的计算机终端100和网关300之间的TSL通道)来获取网关300(例如,SDP 代理网关)屏蔽的服务器资源。在一些实施例中,网关300会向服务器200 发送状态确认信息,以使服务器200得到可以向计算机终端100上的用户提供服务的端口信息,为建立TSL通道提供基础数据。
在一些实施例中,用户还可以通过计算机终端100从服务器400获取服务器200的证书(该证书至少包括公钥部分),且该证书是可信根证签发的。之后,当用户通过计算机终端100首次登录服务器200时可以首先基于公钥部分完成非对称密钥认证,方便协商共享密钥后,再次登录使用对称密钥进行认证。也就是说,当服务器200完成对用户身份(或者用户身份和用户设备)的初步认证后,会通过客户端登录服务器200的过程向计算机终端100发送更新共享密钥,这样下一次用户可以基于更新共享密钥完成对称密钥认证。
需要说明的是,SPA客户端还可以安装在非计算机终端(例如,手机) 等其它的智能终端上。
下面结合图2示例性说明本申请实施例采用的SPA数据包的格式。
与相关技术的SPA协议的数据包相比,本申请的一些实施例在数据报文的头部至少增加了密钥状态标识字段。
在另一些实施例中在数据报文的头部增加了用户名字段和密钥状态标识字段。
在又一些实施例中在数据报文的头部增加了用户名字段、用户设备标识字段以及密钥状态标识字段。
需要说明的是,当用户每次更新客户端或者更换设备时由SPA客户端或者SDP客户端自动生成用户设备标识字段的信息;密钥状态标识字段为密钥选择状态标识。例如,可以采用数字0表示还未协商出共享密钥(即本次采用非对称密钥认证),采用数字1表示已协商出共享密钥(即本次进行对称密钥认证),具体地,在本申请的一些实施例中,如果通过判断客户端的加密文件中保存了本次通信所需的协商出的共享密钥则对应的密钥状态标识字段可以设置为1,如果判断客户端的加密文件中没有协商出的本次通信的共享密钥或者不存在协商出的共享密钥则生成的密钥状态标识字段的数字为0。
如图3所示,图3示出通信系统包括SPA客户端以及SPA服务器。SPA 客户端执行:S100,生成SPA数据包;S200,向SPA服务器发送SPA数据包。SPA服务器执行S300,根据SPA数据包对用户完成初步认证。
下面结合图4进一步阐述在SPA客户端上执行的S100以及其他的步骤。
如图4所示,在SPA客户端上执行认证的方法(即S100步骤)进一步包括:S110,确认密钥状态指示字段的信息,其中,所述密钥状态指示字段的信息采用第一标识或第二标识进行表征,所述第一标识用于表征本次认证过程采用对称密钥,所述第二标识表征所述本次认证过程采用非对称密钥;S120,封装用户名信息和所述密钥状态指示字段的信息得到SPA数据包。可以理解的是,执行S120之后,SPA客户端还会向服务器发送所述 SPA数据包(即执行图3的S200),以使所述服务器根据所述用户名信息和所述密钥状态指示字段的信息完成对用户的初步认证。
为了对同一用户的不同设备进行认证,在一些实施例中,在SPA客户端执行的认证方法还包括:获取用户设备的信息。S120包括:封装所述用户名信息、所述密钥状态指示字段的信息和所述用户设备的信息得到所述 SPA数据包。例如,用户设备的信息可以是全局唯一标识符Guid(Globally Unique Identifier),这是一种由算法生成的二进制长度为128位的数字标识符。
为了避免SPA客户端接入假的服务器(或者SDP控制器),在一些实施例中,所述向服务器发送所述SPA数据包之前,所述方法还包括:确认所述服务器的域名和所述服务器的证书的信息一致。例如,核实证书包括的CN项是否与所访问的服务器域名严格一致。需要说明的是,所述服务器的证书的信息可以是从图1的服务器400中获取的。
为了进一步提升对称密钥认证的安全性,在本申请的一些实施例中,当所述服务器完成对所述用户的初步认证后,SPA客户端还需要接收来自于服务器的更新共享密钥,以使所述用户采用所述用户设备在下次登录所述服务器时采用所述更新共享密钥加密认证信息。
为了在更换设备时完成对用户和设备的认证,在一些实施例中,当用户更换客户端所在的设备时,在SPA客户端执行的获取用户设备的信息包括:获取所述设备的信息;S110包括:确认采用所述第二标识表征的所述密钥状态指示字段的信息;S120包括:封装所述用户名信息、所述第二标识和所述设备的信息得到所述SPA数据包。
在一些实施例中,S110包括:当采用第一用户名信息和第一设备初次登录所述服务器时,生成采用所述第二标识表征的所述密钥状态指示字段;当再次采用所述第一用户名信息和所述第一设备再次登录所述服务器时,生成采用所述第一标识表征的所述密钥状态指示字段。例如,所述当再次采用所述第一用户名信息和所述第一设备再次登录所述服务器时,生成采用所述第一标识表征的所述密钥状态指示字段之前,在SPA客户端上执行的所述方法还包括:通过上次登录获取的更新后的共享密钥加密本次认证信息,其中,所述本次认证信息包括:所述用户名信息、所述第一设备的标识信息以及所述密钥状态指示字段的信息。
下面示例性阐述服务器200(或者一些示例中SDP控制器)上执行的认证方法的流程。
响应于用户在SPA客户端发送的SPA数据包,在服务器200上执行认证的方法包括:S210接收来自于客户端的SPA数据包,其中,所述SPA数据包包括密钥状态指示字段的信息;S220,获取所述密钥状态指示字段的信息;S230,至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步身份认证。
在一些实施例中,S230包括:根据用户名信息和所述密钥状态指示字段信息确认所述的解密密钥;根据所述解密密钥完成用户身份认证过程。
在一些实施例中,S230包括:根据用户名信息、用户设备的信息和所述密钥状态指示字段信息确认所述的解密密钥;根据所述解密密钥完成用户身份和用户设备的认证过程。
在一些实施例中,在服务器200执行的认证方法中的S240之后,所述方法还包括:通过登录响应信息发送更新共享密钥信息。
下面结合图6以SDP客户端(可触发运行SPA客户端协议)和SDP 控制器(可运行SPA服务器端协议)示例性阐述本申请的示例的更新共享密钥的过程。
如图6所示,SDP客户端根据获取的用户名信息、用户设备信息和密码状态信息生成SPA报文并向SDP控制器发送。SDP控制器收到SPA报文后根据密码状态信息的标识来获取解密密钥,进而完成对用户的初步认证。建立SDP客户端和SDP控制器之间的SSL连接。SDP客户端从SDP 控制器获取其他认证类型(例如,短信认证、用户名口令认证,证书认证等)以便完成对用户的再次认证。认证通过后,客户端SDP向SDP控制器发送SDP登录请求信息,SDP控制器响应于登录请求信息向SDP客户端发送SDP登录响应信息,以便通过登录响应信息携带更新的共享密钥。SDP 控制器和SDP代理网关(例如,图1的网关300)通信获取授权信息,即获取能够向认证通过的用户终端提供服务的端口信息,SDP控制器向SDP 客户端返回SDP授权信息。SDP客户端建立与服务端口的连接并保持连接直至本次通话的预设时长结束。
也就是说,本申请一些实施例的SPA报文头部新增三个字段:用户名字段、用户设备标识字段(每次更新客户端或者更换设备,由客户端自动生成)以及密钥选择状态标识,例如,采用标识0表示还未协商出共享密钥,标识1表示已协商出共享密钥。
下面以UDP协议示例性阐述本申请一些实施例的SPA客户端和服务器之间交互过程。
步骤一:初始化阶段:
SPA客户端通过从固定网站获取服务端的证书(公钥部分),证书需要是可信根证签发的。
在SPA客户端发送SPA包前,SPA客户端判断要连接的SPA服务器的域名和获取到的证书使用者名字CN(certificate name)项是否严格一致,否则不发起SPA协议。
步骤二:协议阶段:
步骤211,采用UDP(在另一些实施例也可以采用TCP)协议向服务器传输生成的SPA报文。
其中,SPA报文包括密钥状态指示字段,加密密钥的选择分如下几种情况(以下几种情况采用标识0表征非对称密钥方式,标识1表示对称密钥方式):初次登录时密钥状态指示字段的标识为0,使用服务器的公钥作为SPA加密密钥(即采用公钥加密用户名信息、口令,IP地址,硬件信息,时间戳,客户端版本信息等),进行初次SPA协议,用户登录成功后,在后续SDP协议中更新下一次SPA的共享密钥;后续登录时,密钥状态指示字段的标识为1,使用SDP协议中更新的SPA共享密钥加密认证信息;更换设备或重新安装(即重新安装客户端,例如卸载后重新安装)后登录时密钥状态指示字段的标识为零,使用服务器的公钥作为SPA加密密钥。
需要说明的是,本申请一些实施例的SPA客户端通过SPA数据报文提交的认证内容包括:用户名信息、口令,IP地址,硬件信息,时间戳,客户端版本信息等。其中,口令、硬件信息、时间戳以及客户端版本等信息属于原SPA数据报文中的字段。
步骤211,服务器收到客户端发送来的SPA包后(例如,通过lipcap 技术在指定端口抓取),根据SPA数据报文中的“用户名信息、用户设备标识信息以及密钥状态指示信息”获得对应用户的加密密钥和密钥相关的哈希运算消息认证码HMAC(Hash-based MessageAuthentication Code)密钥,解密认证信息,然后进行完整性校验与验证客户端身份。
步骤212,服务器端验证通过后,网关或者SDP代理网关会为SPA客户端开放其所述服务的端口。
也就是说,SDP控制端与防火墙策略配合,临时开启一条允许该SDP 客户端访问的访问规则,设置一定超时(即访问时间。超时后自动删除该规则,持续访问期间,超时会持续更新。
通过这些规则,SDP控制器可以允许身份验证通过的SDP客户端来访问相应端口的服务。
请参考图7,图7示出了本申请实施例提供的SPA客户端组成框图,应理解,该客户端与上述图3(即图3包括的S100即S200)和图4方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该客户端的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。SPA客户端包括至少一个能以软件或固件的形式存储于存储器中或固化在客户端的操作系统中的软件功能模块,该SPA客户端,包括:密钥状态指示字段生成模块110,被配置为确认密钥状态指示字段的信息,其中,所述密钥状态指示字段的信息采用第一标识或第二标识表征本次认证过程服务器的认证类型,所述第一标识用于表征所述本次认证过程采用对称密钥,所述第二标识表征所述本次认证过程采用非对称密钥认证;封装模块120,被配置为封装用户名信息和所述密钥状态指示字段的信息得到SPA数据包;发送模块130,被配置为向服务器发送所述SPA数据包,以使所述服务器根据所述用户名信息和所述密钥状态指示字段的信息完成对用户的初步认证。
请参考图8,图8示出了本申请实施例提供的SPA服务器端组成框图,应理解,该服务器端与上述图3(即图3包括的S300)及图4方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该服务器端的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。SPA服务器端包括至少一个能以软件或固件的形式存储于存储器中或固化在客户端的操作系统中的软件功能模块,该SPA服务器端,包括:接收模块210,被配置为接收来自于客户端的SPA数据包,其中,所述SPA数据包包括密钥状态指示字段的信息;密钥状态指示字段信息获取模块220,被配置为获取所述密钥状态指示字段的信息;认证模块230,被配置为至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步身份认证。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的SPA客户端或者SPA服务器端的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请的一些实施例提供一种SDP客户端,所述客户端被配置为执行图3的方法。例如,SDP客户端具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请一些实施例提供一种SDP控制器,所述SDP控制器被配置为执行图4的方法。例如,SDP控制器具体工作过程,可以参考前述图4或者图5方法中的对应过程,在此不再过多赘述。
如图9所示,本申请实施例还提供一种信息处理设备900,该信息处理设备包括存储器910、处理器920以及存储在存储器910上并可在处理器 920上运行的计算机程序,其中,所述处理器920执行所述程序时(以及通过总线930从存储器910读取程序并执行)可实现图3或图4示出的方法,也可以用于实现上述实施例描述的方法。
处理器920可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器920可以是微处理器。
存储器910可以用于存储由处理器920执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器920 可以用于执行存储器910中的指令以实现图3中所示的方法。存储器910 包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
本申请一些实施例中利用非对称密钥体系和对称密钥体系结合使用解决密钥分发的问题,且提高了SPA单包授权方案的安全性,降低了单纯使用非对称密钥体系带来的性能开销过大的问题。同时动态调整对称密钥的共享密钥提升对称密钥的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (16)
1.一种认证的方法,应用于单数据包授权的客户端,其特征在于,所述方法包括:
确认密钥状态指示字段的信息,其中,所述密钥状态指示字段的信息采用第一标识或第二标识进行表征,所述第一标识用于表征本次认证过程采用对称密钥,所述第二标识表征所述本次认证过程采用非对称密钥;
封装用户名信息和所述密钥状态指示字段的信息得到SPA数据包;
向服务器发送所述SPA数据包,以使所述服务器根据所述用户名信息和所述密钥状态指示字段的信息完成初步认证;
其中,所述客户端首次登录 所述服务器采用非对称密钥方式而再次登录 所述服务器采用动态更新的对称密钥方式完成认证,所述再次登录为同一用户且同一设备的再次登录;
所述方法还包括:
获取用户设备的信息;
所述封装用户名信息和所述密钥状态指示字段的信息得到SPA数据包,包括:封装所述用户名信息、所述密钥状态指示字段的信息和所述用户设备的信息得到所述SPA数据包。
2.如权利要求1所述的方法,其特征在于,所述向服务器发送所述SPA数据包之前,所述方法还包括:确认所述服务器的域名和所述服务器的证书的信息一致。
3.如权利要求2所述的方法,其特征在于,当所述服务器完成对用户的初步认证后,所述方法还包括:接收来自于所述服务器的更新共享密钥,以使所述用户采用所述用户设备在下次登录所述服务器时采用所述更新共享密钥加密认证信息。
4.如权利要求1所述的方法,其特征在于,当用户更换客户端所在的设备时:
所述获取用户设备的信息,包括:获取所述设备的信息;
所述确认密钥状态指示字段的信息,包括:生成采用所述第二标识表征的所述密钥状态指示字段的信息;
所述封装用户名信息、所述密钥状态指示字段的信息和所述用户设备的信息得到所述SPA数据包,包括:封装所述用户名信息、所述第二标识和所述设备的信息得到所述SPA数据包。
5.如权利要求1所述的方法,其特征在于,所述确认密钥状态指示字段的信息包括:
当采用第一用户名信息和第一设备初次登录所述服务器时,生成采用所述第二标识表征的所述密钥状态指示字段;
当再次采用所述第一用户名信息和所述第一设备再次登录所述服务器时,生成采用所述第一标识表征的所述密钥状态指示字段。
6.如权利要求5所述的方法,其特征在于,所述当再次采用所述第一用户名信息和所述第一设备再次登录所述服务器时,生成采用所述第一标识表征的所述密钥状态指示字段之前,所述方法还包括:通过上次登录获取的更新后的共享密钥加密本次认证信息,其中,所述本次认证信息包括:所述用户名信息、所述第一设备的标识信息以及所述密钥状态指示字段的信息。
7.一种认证的方法,应用于单数据包授权的服务器端,其特征在于,所述方法包括:
接收来自于客户端的SPA数据包,其中,所述SPA数据包包括密钥状态指示字段的信息;
获取所述密钥状态指示字段的信息;
至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步认证;
其中,所述客户端首次登录所述服务器采用非对称密钥方式而再次登录所述服务器采用动态更新的对称密钥方式完成认证,所述再次登录为同一用户且同一设备的再次登录;所述SPA数据包包括:用户名信息、所述密钥状态指示字段的信息和用户设备的信息。
8.如权利要求7所述的方法,其特征在于,所述至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步认证包括:
根据用户名信息和所述密钥状态指示字段的信息确认所述的解密密钥。
9.如权利要求7所述的方法,其特征在于,所述至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步认证,包括:
根据用户名信息、用户设备的信息和所述密钥状态指示字段的信息确认所述的解密密钥。
10.如权利要求7所述的方法,其特征在于,所述根据所述解密密钥完成对用户的初步认证之后,所述方法还包括:通过登录响应信息发送更新共享密钥信息。
11.一种用于认证的装置,其特征在于,所述装置包括:
密钥状态指示字段确定模块,被配置为确定密钥状态指示字段的信息,其中,所述密钥状态指示字段的信息采用第一标识或第二标识进行表征,所述第一标识用于表征本次认证过程采用对称密钥,所述第二标识表征所述本次认证过程采用非对称密钥;
封装模块,被配置为封装用户名信息和所述密钥状态指示字段的信息得到SPA数据包;
发送模块,被配置为向服务器发送所述SPA数据包,以使所述服务器根据所述用户名信息和所述密钥状态指示字段的信息完成对用户的初步认证;其中,
其中,所述客户端首次登录所述服务器采用非对称密钥方式而再次登录所述服务器采用动态更新的对称密钥方式完成认证,所述再次登录为同一用户且同一设备的再次登录;所述SPA数据包包括:用户名信息、所述密钥状态指示字段的信息和用户设备的信息。
12.一种用于认证的装置,其特征在于,所述装置包括:
接收模块,被配置为接收来自于客户端的SPA数据包,其中,所述SPA数据包包括密钥状态指示字段的信息;
密钥状态指示字段信息获取模块,被配置为获取所述密钥状态指示字段的信息;
认证模块,被配置为至少根据所述密钥状态指示字段的信息确定解密密钥,并根据所述解密密钥完成对用户的初步认证;
其中,所述客户端首次登录所述服务器采用非对称密钥方式而再次登录所述服务器采用动态更新的对称密钥方式完成认证,所述再次登录为同一用户且同一设备的再次登录;所述SPA数据包包括:用户名信息、所述密钥状态指示字段的信息和用户设备的信息。
13.一种SDP客户端,其特征在于,所述客户端被配置为执行如权利要求1-6任一项所述的方法。
14.一种SDP控制器,其特征在于,所述SDP控制器被配置为执行如权利要求7-10任一项所述的方法。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现权利要求1-10中任意一条权利要求所述的方法。
16.一种信息处理设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时可实现权利要求1-10中任意一条权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010775475.3A CN111901355B (zh) | 2020-08-04 | 2020-08-04 | 一种认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010775475.3A CN111901355B (zh) | 2020-08-04 | 2020-08-04 | 一种认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901355A CN111901355A (zh) | 2020-11-06 |
| CN111901355B true CN111901355B (zh) | 2022-09-16 |
Family
ID=73245551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010775475.3A Active CN111901355B (zh) | 2020-08-04 | 2020-08-04 | 一种认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901355B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112261067A (zh) * | 2020-12-21 | 2021-01-22 | 江苏易安联网络技术有限公司 | 一种多级单包授权的方法及系统 |
| EP4351086A1 (en) * | 2021-07-08 | 2024-04-10 | Huawei Technologies Co., Ltd. | Access control method, access control system and related device |
| CN113763124A (zh) * | 2021-08-18 | 2021-12-07 | 苏州赛默森电子有限公司 | 一种数字版权管理交易系统及其方法 |
| CN113872970B (zh) * | 2021-09-28 | 2022-12-20 | 北京天融信网络安全技术有限公司 | 数据访问方法、装置及存储介质 |
| CN113992365A (zh) * | 2021-10-15 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种密钥分发方法、装置及电子设备 |
| CN113992387B (zh) * | 2021-10-25 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 资源管理方法、装置、系统、电子设备和可读存储介质 |
| CN114640495B (zh) * | 2021-11-15 | 2023-03-17 | 江苏云涌电子科技股份有限公司 | 一种基于通用浏览器的零信任单包认证系统及方法 |
| CN113992734A (zh) * | 2021-11-19 | 2022-01-28 | 中国电信股份有限公司 | 会话连接方法及装置、设备 |
| CN114301639B (zh) * | 2021-12-13 | 2024-02-27 | 杭州迪普科技股份有限公司 | 一种连接建立方法及装置 |
| CN114844674B (zh) * | 2022-03-29 | 2024-02-27 | 网宿科技股份有限公司 | 动态授权方法、系统、电子设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1538303A (zh) * | 2003-04-15 | 2004-10-20 | 联想(北京)有限公司 | 分布式软件系统的通信安全控制方法 |
| CN102402664A (zh) * | 2011-12-28 | 2012-04-04 | 用友软件股份有限公司 | 数据访问控制装置和数据访问控制方法 |
| CN105516139A (zh) * | 2015-12-09 | 2016-04-20 | 北京四达时代软件技术股份有限公司 | 一种网络数据的传输方法、装置及系统 |
| CN106254327A (zh) * | 2016-07-28 | 2016-12-21 | 努比亚技术有限公司 | 信息处理装置及方法 |
| CN106559383A (zh) * | 2015-09-25 | 2017-04-05 | 北京国双科技有限公司 | 单点登录的登录方法及装置 |
| CN107846432A (zh) * | 2016-09-19 | 2018-03-27 | 北京智驾互联信息服务有限公司 | 数据处理装置及系统 |
| DE102017106777A1 (de) * | 2017-03-29 | 2018-10-04 | Endress+Hauser Conducta Gmbh+Co. Kg | Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens |
| CN108965302A (zh) * | 2018-07-24 | 2018-12-07 | 苏州科达科技股份有限公司 | 媒体数据传输系统、方法、装置及存储介质 |
| CN111464500A (zh) * | 2020-03-06 | 2020-07-28 | 深圳壹账通智能科技有限公司 | 协议数据共享的方法、装置、设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7100054B2 (en) * | 2001-08-09 | 2006-08-29 | American Power Conversion | Computer network security system |
| US20090260070A1 (en) * | 2008-04-15 | 2009-10-15 | Elevate Technologies Pty Ltd. | Systems and Methods for Secure Sign-Up Procedures for Application Servers in Wired and Wireless Environments |
| US9490980B2 (en) * | 2012-02-27 | 2016-11-08 | Nachiket Girish Deshpande | Authentication and secured information exchange system, and method therefor |
-
2020
- 2020-08-04 CN CN202010775475.3A patent/CN111901355B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1538303A (zh) * | 2003-04-15 | 2004-10-20 | 联想(北京)有限公司 | 分布式软件系统的通信安全控制方法 |
| CN102402664A (zh) * | 2011-12-28 | 2012-04-04 | 用友软件股份有限公司 | 数据访问控制装置和数据访问控制方法 |
| CN106559383A (zh) * | 2015-09-25 | 2017-04-05 | 北京国双科技有限公司 | 单点登录的登录方法及装置 |
| CN105516139A (zh) * | 2015-12-09 | 2016-04-20 | 北京四达时代软件技术股份有限公司 | 一种网络数据的传输方法、装置及系统 |
| CN106254327A (zh) * | 2016-07-28 | 2016-12-21 | 努比亚技术有限公司 | 信息处理装置及方法 |
| CN107846432A (zh) * | 2016-09-19 | 2018-03-27 | 北京智驾互联信息服务有限公司 | 数据处理装置及系统 |
| DE102017106777A1 (de) * | 2017-03-29 | 2018-10-04 | Endress+Hauser Conducta Gmbh+Co. Kg | Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens |
| CN108965302A (zh) * | 2018-07-24 | 2018-12-07 | 苏州科达科技股份有限公司 | 媒体数据传输系统、方法、装置及存储介质 |
| CN111464500A (zh) * | 2020-03-06 | 2020-07-28 | 深圳壹账通智能科技有限公司 | 协议数据共享的方法、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| A hybrid data encryption technique using RSA and Blowfish for cloud computing on FPGAs;Viney Pal Bansal;《 2015 2nd International Conference on Recent Advances in Engineering & Computational Sciences (RAECS)》;20160419;全文 * |
| 可信计算机平台密钥管理;李新明等;《南京理工大学学报(自然科学版)》;20100830(第04期);全文 * |
| 基于混合加密方法的RFID安全认证协议;张恒山等;《计算机工程》;20110105(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901355A (zh) | 2020-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111901355B (zh) | 一种认证方法及装置 | |
| EP3723399A1 (en) | Identity verification method and apparatus | |
| EP2561663B1 (en) | Server and method for providing secured access to services | |
| US7702901B2 (en) | Secure communications between internet and remote client | |
| US8639936B2 (en) | Methods and entities using IPSec ESP to support security functionality for UDP-based traffic | |
| US8301876B2 (en) | Techniques for secure network communication | |
| US20080016354A1 (en) | System and Method for Secure Remote Access | |
| CN109167802B (zh) | 防止会话劫持的方法、服务器以及终端 | |
| US10158608B2 (en) | Key establishment for constrained resource devices | |
| CN112235235A (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
| US20190109841A1 (en) | Method and arrangements for intermediary node discovery during handshake | |
| US7076653B1 (en) | System and method for supporting multiple encryption or authentication schemes over a connection on a network | |
| US20140237627A1 (en) | Protecting data in a mobile environment | |
| US20210176051A1 (en) | Method, devices and computer program product for examining connection parameters of a cryptographically protected communication connection during establishing of the connection | |
| CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| CN114039812A (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| KR101022157B1 (ko) | Ssl 가상 사설망 서비스 처리 방법 | |
| Schwenk | Secure Shell (SSH) | |
| CN113079506A (zh) | 网络安全认证方法、装置及设备 | |
| KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 | |
| US12015721B1 (en) | System and method for dynamic retrieval of certificates with remote lifecycle management | |
| EP3720081A1 (en) | System and method for processing a software application on a port | |
| CN116545708A (zh) | 单点登录系统及登录方法、装置 | |
| CN116848822A (zh) | 用于提供针对通信的安全水平的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |