CN112118206A - 一种解密方法、装置、系统、介质及设备 - Google Patents
一种解密方法、装置、系统、介质及设备 Download PDFInfo
- Publication number
- CN112118206A CN112118206A CN201910532661.1A CN201910532661A CN112118206A CN 112118206 A CN112118206 A CN 112118206A CN 201910532661 A CN201910532661 A CN 201910532661A CN 112118206 A CN112118206 A CN 112118206A
- Authority
- CN
- China
- Prior art keywords
- decryption
- request
- information
- authentication
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本文是关于一种解密方法、装置、系统、介质及设备,所述解密方法包括:接收第一设备发送的包括鉴权信息的解密请求;基于所述鉴权信息判断是否允许所述解密请求;若允许所述解密请求,则将所述解密请求发送给第二设备,以使所述第二设备发送解密信息给所述第一设备,以使所述第一设备执行解密操作。在自动解密技术的基础上,增加了解密验证步骤,对解密请求进行鉴权;同时解密请求和解密信息以https协议的方式发送,在实现硬盘自动解密,保证硬盘中数据的安全的同时,提高解密信息的安全性和解密系统的可靠性。
Description
技术领域
本文涉及网络安全领域,尤其涉及一种解密方法。
背景技术
当物理服务器处于不安全的环境中时,为了保证数据的安全性,有对系统盘加密的需求,但对系统盘进行加密后,每次服务器重启,重新进入系统前需要输入密码以解密硬盘,而且输入密码的时候需要人工连接显示器和键盘才能操作,而这种操作方法,不但增加了密码泄露的风险,而且在服务器数量多的时候,变得不可操作。针对以上不足,引入自动解密技术,即将辅助解密信息放在web服务器上,当加密的服务器需要解密时,从web服务器得到辅助解密信息,利用辅助解密信息自动解密。自动解密技术在带来便利的同时,对能接触物理服务器的攻击者来说,攻击者可以通过一些手段避开对硬盘的解密,从而获取硬盘中的数据。
比如,可以在需要加密的服务器上设置3种密码,按服务器启动后需要解密的先后顺序,分别为grub密码,硬盘密码,系统密码。如果硬盘加密后设置了自动解密,对能接触物理服务器的攻击者来说,攻击者可以拿走原系统盘,并将其作为自己电脑系统的数据盘使用,挂载原系统盘的/boot分区,清理掉grub密码后,再将硬盘放回原服务器并启动服务器。由于grub密码已经被清理掉,攻击者接下来会面对硬盘密码,但由于硬盘加密时设置了自动解密,所以硬盘密码对于攻击者来说可谓不攻自破;最后攻击者在grub界面添加进入单用户模式的配置,就可绕过系统密码,直接进入系统,获取硬盘中的所有数据。
由以上描述可知,对于能接触物理服务器的攻击者来说,在硬盘密码设置为自动解密,方便管理的同时,也存在系统易被不法者进入,导致数据被窃取的风险。即使对自动解密进行鉴权,发送解密请求及解密信息的时候,使用http协议,也容易被不法分子劫持,造成自动解密失败,或者暴露解密服务器的真实地址,导致不法分子对解密服务器进行攻击,盗取解密信息,从而实现对硬盘的解密。
发明内容
为克服相关技术中存在的问题,本文提供一种解密方法,装置,系统,介质及设备。
根据本文的第一方面,提供一种解密方法,应用于鉴权系统,包括:
接收第一设备发送的包括鉴权信息的解密请求;解密请求使用http协议或https协议;
基于所述鉴权信息,判断是否允许所述解密请求;
若允许所述解密请求,则将所述解密请求发送给第二设备,以使所述第二设备发送解密信息给所述第一设备,使所述第一设备执行解密操作。
判断是否允许所述解密请求之前,获取有关所述第一设备的鉴权请求信息;
基于所述鉴权信息,判断是否允许所述解密请求包括:
判断发送所述解密请求的所述第一设备i p是否和所述鉴权请求信息匹配,如匹配,则允许所述解密请求;如所述第一设备的i p和鉴权请求信息不匹配,则提取所述解密请求中的鉴权信息,如所述鉴权信息与所述鉴权请求信息匹配,则允许所述解密请求。
若允许所述解密请求,则将所述解密请求发送给第二设备具体包括:
将所述鉴权信息从所述解密请求中删除,并将删除所述鉴权信息后的解密请求发送给所述第二设备。
当解密请求使用Https协议时,将解密请求发送给第二设备包括:
将使用https协议的解密请求发送给第二设备;或者,
将使用https协议的解密请求转换为使用http协议的解密请求发送给第二设备;或者,
将使用https协议的解密请求发送给代理服务器,以使所述代理服务器将https协议的解密请求转换为http协议的解密请求后发送给第二设备。
根据本文的第一方面,提供一种解密方法,应用于第二设备,其特征在于,解密信息使用http协议或https协议;
发送解密信息给第一设备包括:
将使用https协议的解密信息发送给所述第一设备;或者
将使用http协议的解密信息发送给所述第一设备;或者,
将使用http协议的解密信息发送给代理服务器,所述代理服务器将所述使用http协议的解密信息转换为使用https协议的解密信息发送给所述第一设备。
根据本文的另一方面,提供一种解密装置,包括:
接收模块:接收第一设备发送的包括鉴权信息的解密请求;解密请求使用http协议或https协议;
鉴权模块:基于鉴权信息判断是否允许所述解密请求;
发送模块:若允许所述解密请求,则将解密请求发送给第二设备,以使第二设备发送解密信息给第一设备,以使第一设备执行解密操作。
鉴权模块判断是否允许所述解密请求之前,获取有关所述第一设备的鉴权请求信息;
基于鉴权信息,判断是否允许解密请求包括:
判断发送所述解密请求的所述第一设备i p是否和所述鉴权请求信息匹配,如匹配,则允许所述解密请求;如所述第一设备的i p和鉴权请求信息不匹配,则提取所述解密请求中的鉴权信息,如所述鉴权信息与所述鉴权请求信息匹配,则允许所述解密请求。
发送模块将所述解密请求发送给第二设备具体包括:
将所述鉴权信息从所述解密请求中删除,并将删除所述鉴权信息后的解密请求发送给所述第二设备。
当解密请求使用Https协议时,将解密请求发送给第二设备包括:
将使用https协议的解密请求发送给第二设备;或者,
将使用https协议的解密请求转换为使用http协议的解密请求发送给第二设备;或者,
将使用https协议的解密请求发送给代理服务器,以使代理服务器将https协议的解密请求转换为http协议的解密请求后发送给第二设备。
根据本文的另一方面,提供一种解密装置,包括:第二发送模块,解密信息使用http协议或https协议;
第二发送模块发送解密信息给第一设备包括:
将使用https协议的解密信息发送给所述第一设备;或者,
将使用http协议的解密信息发送给所述第一设备;或者,
将使用http协议的解密信息发送给代理服务器,以使所述代理服务器将所述使用http协议的解密信息转换为使用https协议的解密信息发送给所述第一设备。
根据本文的另一方面,提供一种解密系统,包括第一设备,鉴权系统,和第二设备,其特征在于,第一设备和/或第二设备设置在CDN网络上,第二设备包括主设备及n个以上备用设备,其中,n为大于等于0的整数。
根据本文的另一方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被执行时实现上述解密方法的步骤。
根据本文的另一方面,提供一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,处理器执行计算机程序时实现上述解密方法的步骤。
本文通过提供一种解密方法、装置、系统、介质及设备,接收第一设备发送的包括鉴权信息的解密请求;基于所述鉴权信息判断是否允许所述解密请求;若允许所述解密请求,则将所述解密请求发送给第二设备,以使所述第二设备发送解密信息给所述第一设备,以使所述第一设备执行解密操作。自动解密技术的基础上,增加了解密验证步骤,对解密请求进行鉴权;同时解密请求和解密信息以https协议的方式发送,在实现硬盘自动解密,保证硬盘中数据的安全的同时,提高解密信息的安全性和解密系统的可靠性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本文。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本文的实施例,并且与描述一起用于解释本文的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本文的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1是本文解密方法的流程图;
图2为本文解密装置的结构框图。
具体实施方式
为使本文实施例的目的、技术方案和优点更加清楚,下面将结合本文实施例中的附图,对本文实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本文一部分实施例,而不是全部的实施例。基于本文中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本文保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
根据背景技术中的描述,在设备处于不安全环境中时,对能接触物理服务器的攻击者来说,在系统设置的多种密码中,硬盘密码至关重要,但为了使用上的便利,硬盘密码的解密方式需要设置成自动解密,为了保护硬盘数据,防止攻击者利用自动解密攻击系统,窃取硬盘数据,同时为了保证自动解密过程的安全性和实用性,本文提供一种解密验证的方法和系统。
如图1所示,本文解密方法,应用于鉴权系统,包括:
步骤S101,接收第一设备发送的包括鉴权信息的解密请求;解密请求使用http协议或https协议;在本文中,第一设备为加密服务器,第二设备为解密服务器;
步骤S102,基于鉴权信息判断是否允许解密请求;
步骤S103,若允许解密请求,则将解密请求发送给第二设备,以使第二设备发送解密信息给第一设备,以使第一设备执行解密操作。
其中,在步骤S101中,解密请求使用http协议或https协议。使用http协议,不需做过多的设置,但安全性低,使用https协议安全性高,但需要对设备进行设置,以使设备支持https协议的信息。使用Https协议,能够进一步提高解密系统的安全性,可以有效防止嗅探及劫持。
第一设备发送的解密请求中携带鉴权信息,鉴权信息为在鉴权系统中第一设备的唯一标识,比如,鉴权信息可以是设备的mac地址,ip地址,也可以是设备的出厂编号,或者是在鉴权系统中约定的,作为第一设备的唯一标识的密码或者口令。
同时,解密请求可以为GET请求,也可以为POST请求,比如在加密服务器的初期配置阶段,即在加密服务器上配置自动解密时,加密服务器与解密服务器的通信采用GET方法,以便获取解密服务器的URL等相关信息;而加密服务器进入正常运行阶段后,如需重新启动等操作,这时发送的解密请求可以以POST方法发送,因为此时需要获取解密信息,信息量比较大,选择POST方法,可以更好的承载这些信息。
鉴权信息为插入解密请求的URL中的信息,该鉴权信息可以插入解密请求URL中的任何位置,只要鉴权系统能够从解密请求中提取到此信息即可。
其中,步骤S102基于鉴权信息判断是否允许解密请求前,获取有关第一设备的鉴权请求信息;基于鉴权信息,判断是否允许解密请求包括:
判断发送解密请求的第一设备ip是否和鉴权请求信息匹配,如匹配,则允许解密请求;如第一设备的ip和鉴权请求信息不匹配,则提取解密请求中的鉴权信息,如鉴权信息与鉴权请求信息匹配,则允许解密请求。
鉴权系统在接收第一设备发送的包括鉴权信息的解密请求后,以发送解密请求的设备的ip作为鉴权信息,如鉴权失败,则进一步从解密请求中提取鉴权信息,进行鉴权。比如在某些情况下,运营商会通过nat技术来复用ip,使得鉴权系统接收鉴权信息时读取的发送该鉴权信息的设备ip并不是该设备的真实ip,所以需要进一步地从解密请求中提取鉴权信息。
其中在步骤S102之前,获取有关第一设备的鉴权请求信息,该请求信息为有关第一设备请求鉴权的信息,获取该鉴权请求信息的方式可以为经网络发送的相关信息,也可以是通过设备管理员与系统管理员之间的联系获取,其目的是为了确定第一设备是否有权发送解密请求,或者说第一设备发送的解密请求是否是在正常情况下发出的。具体地,只有在确定第一设备处于安全状态,且有必要进行解密的时候,鉴权系统才会对第一设备的鉴权请求授权。鉴权请求信息中,包含申请鉴权的设备在鉴权系统中的唯一标识。
如鉴权信息与提前获取的鉴权请求信息匹配,说明发送携带该鉴权信息的解密请求的设备已经获得了授权,对该设备的解密是安全的,可以允许该解密请求,鉴权系统会将解密请求发送到第二设备,第二设备将有关第一设备的解密信息发送到第一设备,辅助第一设备自行解密。如鉴权信息与提前获取的鉴权请求信息不匹配,说明发送解密请求的设备并不是得到授权的设备,极有可能遭到攻击,鉴权系统会阻止本次解密请求,该设备会因得不到解密信息而无法解密。
鉴权系统在允许解密请求,将解密请求发送给第二设备后,标记鉴权请求信息的状态。为了防止对第一设备授权后,第一设备在后期不确定状况下再次发送解密请求,导致鉴权系统提取到鉴权信息后判断为允许解密,系统会在允许解密请求后,标记鉴权请求信息为无效状态或销毁鉴权请求信息。那么在第一设备再次发出解密请求时,由于系统找不到有效的鉴权请求信息与鉴权信息匹配,会拒绝所有的解密请求。如果第一设备确实需要再次进行自行解密,就必须再次提前申请授权,并重复上述步骤。当然,在某些特定情况下,第一设备可能需要多次重新启动,可能需要多次申请授权,为减轻操作人员负担,可以根据实际需要解密的次数,设定计数器,在达到解密次数后,计数器归零,鉴权系统将鉴权请求信息的状态标记为无效,禁止所有解密请求。
若允许解密请求,将解密请求发送给第二设备具体包括:
将鉴权信息从解密请求中删除,并将删除鉴权信息后的解密请求发送给第二设备。其中,解密信息是使用密码学方法,生成的辅助解密的数据,在辅助设备进行解密的同时,本身并不包含有关解密的敏感数据,进一步增加密码的安全性。第二设备收到规定格式的解密请求后,生成解密信息,发送给第一设备,以辅助第一设备自行解密。鉴权系统收到的解密请求是插入鉴权信息的解密请求,需要将解密请求还原为系统规定格式的解密请求后,以生成解密信息,所以系统将鉴权信息从解密请求中删除,并将删除鉴权信息后的解密请求发送给第二设备。
当解密请求使用Https协议时,将解密请求发送给第二设备包括:
将使用https协议的解密请求发送给第二设备;这时需要第二设备支持https协议,可以直接接收https协议的解密请求;
或者,
第二设备只支持http协议,则需要将使用https协议的解密请求转换为使用http协议的解密请求发送给第二设备;鉴权系统可以将使用https协议的解密请求转换为使用http协议的解密请求后,再发送给第二设备;
或者,
将使用https协议的解密请求发送给代理服务器,以使代理服务器将https协议的解密请求转换为http协议的解密请求后发送给第二设备。代理服务器需要和第二设备处于同一局域网内。
其中,解密信息是使用密码学方法,生成的辅助解密的数据,在辅助设备进行解密的同时,本身并不包含有关解密的敏感数据,进一步增加密码的安全性。第二设备收到解密请求后,生成解密信息,发送给第一设备,以辅助第一设备自行解密。
为实现上述解密方法,第一设备在发送解密请求前,要对第一设备进行加密,并设置为自动解密,解密方式设置为根据解密信息解密;可以在系统手动安装的时候勾选加密选项,也可以通过kickstart配置文件在自动安装时添加加密配置;同时还需要进行自动解密的相关配置,不限于在kickstart的post阶段和系统安装完成后进行配置。
本文解密方法,应用于第二设备,解密信息使用http协议或https协议;发送解密信息给第一设备包括:
当解密服务器支持https协议时,将使用https协议的解密信息发送给第一设备;或者,
当解密服务器不支持https协议时,将使用http协议的解密信息发送给第一设备;或者,
将使用http协议的解密信息发送给代理服务器,代理服务器将使用http协议的解密信息转换为使用https协议的解密信息发送给第一设备。
进一步地,鉴权系统可以设置在与第二服务器同一局域网的鉴权服务器上,此时,鉴权服务器又可以作为代理服务器,对解密请求和解密信息进行转换。
为了进一步保证鉴权通过后,自动解密过程可以顺利实施,第一设备和/或第二设备设置在CDN网络上,保证网络传输性能;还可设置第二设备包括主设备及多个备用设备,比如在主解密服务发生断网或者宕机的情况下,解密请求可以发往备用的解密服务器,保证自动解密的完成。同时,将解密服务器设置在CDN网络上,还可以隐藏解密服务器的真实ip,防止不法分子针对解密服务器发起的攻击,进一步增加解密系统的安全性。
下面通过实施例来详细说明本文的解密设备方法。
传统自动解密系统,由第一设备加密服务器(luks服务器)直接连接第二设备解密服务器(tang服务器),发送解密请求至解密服务器后,解密服务器生成解密辅助信息并发送至加密服务器,加密服务器根据辅助解密信息自行解密;本文的解密方法在自动解密的基础上,在加密服务器和解密服务器之间,增加鉴权系统,同时修改加密服务器系统中的clevis代码,增加相关组件的功能,使加密服务器支持https协议的信息的发送和接收。
加密服务器有可能处在不安全环境中,为保证数据安全,有必要对硬盘进行加密,同时为了维护方便,也避免在不安全环境中进行密码的输入操作,有可能导致的密码泄露,将硬盘的解密方式设置成自动解密。在服务器安装系统初期设置好硬盘加密和自动解密,为了对解密请求进行鉴权,解密请求不再直接发往解密服务器,而是发送到鉴权系统。同时在解密请求中插入鉴权信息,鉴权信息需要在鉴权系统中唯一标识此加密服务器,比如该服务器ip地址或mac地址,也可以是加密服务器操作人员在申请鉴权时,和鉴权系统管理人员约定的唯一适用于该加密服务器的密码或口令。
例如第一设备为luks服务器,位于不安全环境中,在该服务器最初安装系统的时候,设置好硬盘密码和自动解密,生成辅助解密信息的程序安装在第二设备tang服务器中,解密请求使用域名为tang.example.com。在实际应用中,将tang.example.com的域名解析指向鉴权服务器,这样,所有访问该域名的请求都会转到鉴权服务器上。
在luks服务器安装系统,或使用中出现系统故障重启系统的过程中,luks服务器都会向鉴权服务器发送解密请求https://tang.example.com/xxNN/,其中xxNN代表插入的鉴权信息,在本实施例中,鉴权信息插在了请求信息的末尾,实际应用中,鉴权信息可以插在任何位置,该位置应该是在鉴权系统中进行了约定,能够被鉴权系统识别的位置。鉴权信息xxNN为luks服务器的ip地址。
在鉴权服务器上,安装鉴权系统。在luks服务器安装或维护的过程中,操作人员需要提前为luks服务器申请鉴权,鉴权申请的方式可以通过电话,短信,邮件或任何可以和系统管理人员取得联系的方式。鉴权申请中包括luks服务器的唯一标识,以及申请鉴权的原因,比如安装系统,或系统宕机需要重新启动系统。系统管理人员在收到授权申请后,在确认luks服务器所处环境安全,且有必要进行鉴权的同时,在鉴权系统中进行设置,比如在鉴权系统中输入有关Luks服务器的鉴权申请中的luks服务器的唯一标识,或者将luks服务器的唯一标识存储在鉴权服务器上,在鉴权服务器收到解密请求后,读取发送该解密请求的设备的ip,如果该ip和鉴权申请中的luks服务器的ip地址匹配,则允许该解密请求;如果该ip与鉴权申请中的luks服务器的ip地址不匹配,则进一步提取“https://tang.example.com/xxNN/”中的鉴权信息“xxNN”,确定该鉴权信息中的ip地址与鉴权申请中的luks服务器的唯一标识匹配后,允许该解密请求。
鉴权系统在允许该解密请求后,还需要进一步的删除解密请求“https://tang.example.com/xxNN/”中的鉴权信息“xxNN”,将解密请求恢复成解密服务器可以识别的格式“https://tang.example.com”,Tang服务器在收到解密请求后,生成辅助解密信息发送到lucks服务器,lucks服务器就可以根据辅助解密信息来自行解密了。
鉴权系统在允许解密请求后,会标记所记录的有关luks服务器的鉴权请求信息的状态为无效,这样,在再次收到luks服务器解密请求后,由于找不到与鉴权信息匹配的有效鉴权请求信息,鉴权系统会拦截收到的所有解密请求,除非设备操作人员再次申请。例如,luks服务器在安装时,操作人员进行了一次鉴权申请,并成功为luks服务器解密,luks服务器安装完成后,进入正常运行阶段。假如有不法分子试图通过物理接触服务器硬盘,通过清理grub密码的方式窃取硬盘中的数据,鉴权系统会在未获取有关luks服务器的鉴权申请的情况下,收到luks服务器发送的解密请求,由于鉴权系统找不到与解密请求中鉴权信息匹配的有效鉴权申请信息,自动拦截本次解密请求,并向系统管理人员发出告警信息,提示风险。系统管理人员在收到告警信息后,可以第一时间检查luks服务器的状态,防止有人恶意对luks服务器的攻击。即使lucks服务器遭到攻击,硬盘被攻击人员拆走,清理掉硬盘中的grub密码,攻击人员也会因为无法破解硬盘密码,窃取不到硬盘中信息。
通过以上实施例,本申请中的解密方法在自动解密的基础上,在加密服务器和解密服务器之间,增加鉴权系统;同时为保证自动解密的安全性,解密请求以Https协议的方式发送。
本文还提供一种解密装置,该装置包括:
接收模块:接收第一设备发送的包括鉴权信息的解密请求;解密请求使用http协议或https协议;
鉴权模块:基于鉴权信息判断是否允许解密请求;
发送模块:若允许解密请求,则将解密请求发送给第二设备,以使第二设备发送解密信息给第一设备,以使第一设备执行解密操作。
鉴权模块判断是否允许解密请求之前,获取有关第一设备的鉴权请求信息;基于鉴权信息,判断是否允许解密请求包括:
当解密请求为GET请求,从GET请求的URL中提取鉴权信息,判断鉴权信息是否和鉴权请求信息匹配,如匹配,则允许解密请求;
判断发送解密请求的第一设备ip是否和鉴权请求信息匹配,如匹配,则允许解密请求;如第一设备的ip和鉴权请求信息不匹配,则提取解密请求中的鉴权信息,如鉴权信息与鉴权请求信息匹配,则允许解密请求。
发送模块将解密请求发送给第二设备具体包括:
将鉴权信息从解密请求中删除,并将删除鉴权信息后的解密请求发送给第二设备。
当解密请求使用Https协议时,将解密请求发送给第二设备包括:
将使用https协议的解密请求发送给第二设备;或者,
将使用https协议的解密请求转换为使用http协议的解密请求发送给第二设备;或者,
将使用https协议的解密请求发送给代理服务器,以使代理服务器将https协议的解密请求转换为http协议的解密请求后发送给第二设备。
解密装置还包括第二发送模块,第二发送模块用于发送解密信息给第一设备,解密信息使用http协议或https协议,第二发送模块发送解密信息给第一设备包括:
将使用https协议的解密信息发送给第一设备;或者,
将使用http协议的解密信息发送给第一设备;或者,
将使用http协议的解密信息发送给代理服务器,以使代理服务器将使用http协议的解密信息转换为使用https协议的解密信息发送给第一设备。
本文还提供一种解密系统,包括第一设备,鉴权系统,和第二设备,第一设备和/或第二设备设置在CDN网络上,第二设备包括主设备及n个以上备用设备,其中,n为大于等于0的整数。为了保证解密流程顺利实施,将解密系统设置在CDN上,并为解密服务器增加备选服务器,在解密服务器发生断网或宕机的情况下,鉴权系统将解密请求发往备选服务为,保证解密过程顺利地实施,并进一步增加解密系统的安全性。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被执行时实现本文解密验证的方法中任意一项方法的步骤。
一种计算机设备,包括处理器、存储器和存储于存储器上的计算机程序,处理器执行计算机程序时实现本文解密验证的方法中任意一项方法的步骤。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本文的保护范围之内。
需要说明的是,本文的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本文的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
本领域技术人员应明白,本文的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本文可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本文可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本文是参照根据本文实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
尽管已描述了本文的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本文范围的所有变更和修改。
显然,本领域的技术人员可以对本文进行各种改动和变型而不脱离本文的精神和范围。这样,倘若本文的这些修改和变型属于本文权利要求及其等同技术的范围之内,则本文的意图也包含这些改动和变型在内。
Claims (13)
1.一种解密方法,应用于鉴权系统,其特征在于,
接收第一设备发送的包括鉴权信息的解密请求;所述解密请求使用http协议或https协议;
基于所述鉴权信息,判断是否允许所述解密请求;
若允许所述解密请求,则将所述解密请求发送给第二设备,以使所述第二设备发送解密信息给所述第一设备,使所述第一设备执行解密操作。
2.如权利要求1所述的解密方法,其特征在于,所述判断是否允许所述解密请求之前,获取有关所述第一设备的鉴权请求信息;
所述基于所述鉴权信息,判断是否允许所述解密请求包括:
判断发送所述解密请求的所述第一设备ip是否和所述鉴权请求信息匹配,如匹配,则允许所述解密请求;如所述第一设备的ip和鉴权请求信息不匹配,则提取所述解密请求中的鉴权信息,如所述鉴权信息与所述鉴权请求信息匹配,则允许所述解密请求。
3.如权利要求1所述的解密方法,其特征在于,所述若允许所述解密请求,则将所述解密请求发送给第二设备具体包括:
将所述鉴权信息从所述解密请求中删除,并将删除所述鉴权信息后的解密请求发送给所述第二设备。
4.如权利要求1所述的解密方法,其特征在于,当所述解密请求使用Https协议时,将所述解密请求发送给第二设备包括:
将所述使用https协议的解密请求发送给第二设备;或者,
将所述使用https协议的解密请求转换为使用http协议的解密请求发送给第二设备;或者,
将所述使用https协议的解密请求发送给代理服务器,以使所述代理服务器将所述https协议的解密请求转换为http协议的解密请求后发送给第二设备。
5.一种解密方法,应用于第二设备,其特征在于,解密信息使用http协议或https协议;
发送解密信息给第一设备包括:
将使用https协议的解密信息发送给所述第一设备;或者
将使用http协议的解密信息发送给所述第一设备;或者,
将使用http协议的解密信息发送给代理服务器,所述代理服务器将所述使用http协议的解密信息转换为使用https协议的解密信息发送给所述第一设备。
6.一种解密装置,其特征在于,包括:
接收模块:接收第一设备发送的包括鉴权信息的解密请求;所述解密请求使用http协议或https协议;
鉴权模块:基于所述鉴权信息判断是否允许所述解密请求;
发送模块:若允许所述解密请求,则将所述解密请求发送给第二设备,以使所述第二设备发送解密信息给所述第一设备,以使所述第一设备执行解密操作。
7.如权利要求6所述的解密装置,其特征在于,所述鉴权模块判断是否允许所述解密请求之前,获取有关所述第一设备的鉴权请求信息;
所述基于所述鉴权信息,判断是否允许所述解密请求包括:
判断发送所述解密请求的所述第一设备ip是否和所述鉴权请求信息匹配,如匹配,则允许所述解密请求;如所述第一设备的ip和鉴权请求信息不匹配,则提取所述解密请求中的鉴权信息,如所述鉴权信息与所述鉴权请求信息匹配,则允许所述解密请求。
8.如权利要求6所述的解密装置,其特征在于,所述发送模块将所述解密请求发送给第二设备具体包括:
将所述鉴权信息从所述解密请求中删除,并将删除所述鉴权信息后的解密请求发送给所述第二设备。
9.如权利要求6所述的解密装置,其特征在于,当所述解密请求使用Https协议时,将所述解密请求发送给第二设备包括:
将所述使用https协议的解密请求发送给第二设备;或者,
将所述使用https协议的解密请求转换为使用http协议的解密请求发送给第二设备;或者,
将所述使用https协议的解密请求发送给代理服务器,以使所述代理服务器将所述https协议的解密请求转换为http协议的解密请求后发送给第二设备。
10.一种解密装置,其特征在于,包括第二发送模块,用于发送解密信息给第一设备,所述解密信息使用http协议或https协议;
第二发送模块发送所述解密信息给第一设备包括:
将使用https协议的解密信息发送给所述第一设备;或者,
将使用http协议的解密信息发送给所述第一设备;或者,
将使用http协议的解密信息发送给代理服务器,以使所述代理服务器将所述使用http协议的解密信息转换为使用https协议的解密信息发送给所述第一设备。
11.一种解密系统,包括第一设备,鉴权系统,和第二设备,其特征在于,所述第一设备和/或第二设备设置在CDN网络上,所述第二设备包括主设备及n个以上备用设备,其中,n为大于等于0的整数。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1-5中任意一项所述方法的步骤。
13.一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-5中任意一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910532661.1A CN112118206B (zh) | 2019-06-19 | 2019-06-19 | 一种解密方法、装置、系统、介质及设备 |
| PCT/CN2020/096229 WO2020253662A1 (zh) | 2019-06-19 | 2020-06-15 | 一种解密方法、装置、系统、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910532661.1A CN112118206B (zh) | 2019-06-19 | 2019-06-19 | 一种解密方法、装置、系统、介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118206A true CN112118206A (zh) | 2020-12-22 |
| CN112118206B CN112118206B (zh) | 2022-04-12 |
Family
ID=73795641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910532661.1A Active CN112118206B (zh) | 2019-06-19 | 2019-06-19 | 一种解密方法、装置、系统、介质及设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112118206B (zh) |
| WO (1) | WO2020253662A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691520B (zh) * | 2021-08-18 | 2023-07-14 | 浙江大华技术股份有限公司 | 获取流媒体信息的方法、装置、存储介质及电子装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7281128B2 (en) * | 2001-10-22 | 2007-10-09 | Extended Systems, Inc. | One pass security |
| CN101369886A (zh) * | 2007-08-17 | 2009-02-18 | 华为技术有限公司 | 实现iptv媒体内容安全的系统、方法及设备 |
| US20110004555A1 (en) * | 2007-02-08 | 2011-01-06 | Ntt Docomo, Inc. | Content transaction management server device, content-providing server device, and terminal device and control program |
| CN102223354A (zh) * | 2010-04-14 | 2011-10-19 | 阿里巴巴集团控股有限公司 | 一种网络支付鉴权方法、服务器及系统 |
| CN105376216A (zh) * | 2015-10-12 | 2016-03-02 | 华为技术有限公司 | 一种远程访问方法、代理服务器及客户端 |
| CN105792204A (zh) * | 2016-02-29 | 2016-07-20 | 宇龙计算机通信科技(深圳)有限公司 | 网络连接的鉴权方法及装置 |
| CN106790194A (zh) * | 2016-12-30 | 2017-05-31 | 中国银联股份有限公司 | 一种基于ssl协议的访问控制方法及装置 |
| CN107483609A (zh) * | 2017-08-31 | 2017-12-15 | 深圳市迅雷网文化有限公司 | 一种网络访问方法、相关设备和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010045744A (ja) * | 2008-08-18 | 2010-02-25 | Fujitsu Ltd | 文書データ暗号化方法及び文書データ暗号化システム |
| CN106411823B (zh) * | 2015-07-31 | 2019-07-12 | 华为技术有限公司 | 一种基于cdn的访问控制方法及相关设备 |
-
2019
- 2019-06-19 CN CN201910532661.1A patent/CN112118206B/zh active Active
-
2020
- 2020-06-15 WO PCT/CN2020/096229 patent/WO2020253662A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7281128B2 (en) * | 2001-10-22 | 2007-10-09 | Extended Systems, Inc. | One pass security |
| US20110004555A1 (en) * | 2007-02-08 | 2011-01-06 | Ntt Docomo, Inc. | Content transaction management server device, content-providing server device, and terminal device and control program |
| CN101369886A (zh) * | 2007-08-17 | 2009-02-18 | 华为技术有限公司 | 实现iptv媒体内容安全的系统、方法及设备 |
| CN102223354A (zh) * | 2010-04-14 | 2011-10-19 | 阿里巴巴集团控股有限公司 | 一种网络支付鉴权方法、服务器及系统 |
| CN105376216A (zh) * | 2015-10-12 | 2016-03-02 | 华为技术有限公司 | 一种远程访问方法、代理服务器及客户端 |
| CN105792204A (zh) * | 2016-02-29 | 2016-07-20 | 宇龙计算机通信科技(深圳)有限公司 | 网络连接的鉴权方法及装置 |
| CN106790194A (zh) * | 2016-12-30 | 2017-05-31 | 中国银联股份有限公司 | 一种基于ssl协议的访问控制方法及装置 |
| CN107483609A (zh) * | 2017-08-31 | 2017-12-15 | 深圳市迅雷网文化有限公司 | 一种网络访问方法、相关设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112118206B (zh) | 2022-04-12 |
| WO2020253662A1 (zh) | 2020-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108604991B (zh) | 能够检测应用程序篡改的双通道认证代理系统及其方法 | |
| CN108684041B (zh) | 登录认证的系统和方法 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN109040070B (zh) | 文件发送方法、设备及计算机可读存储介质 | |
| CN109510802B (zh) | 鉴权方法、装置及系统 | |
| CN112019566B (zh) | 数据的传输方法、服务器、客户端及计算机存储介质 | |
| CN113114668B (zh) | 一种信息传输方法、移动终端、存储介质及电子设备 | |
| US11349646B1 (en) | Method of providing secure communications to multiple devices and multiple parties | |
| US20170041150A1 (en) | Device certificate providing apparatus, device certificate providing system, and non-transitory computer readable recording medium which stores device certificate providing program | |
| CN112272089B (zh) | 云主机登录方法、装置、设备及计算机可读存储介质 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| CN113572728B (zh) | 认证物联网设备的方法、装置、设备及介质 | |
| CN110362984B (zh) | 多设备运行业务系统的方法及装置 | |
| CN113014381B (zh) | 一种车载终端的密钥处理方法、装置、电子设备和介质 | |
| CN106357678A (zh) | 一种智能终端的云加密存储方法及智能终端 | |
| CN109257387A (zh) | 用于断线重连的方法和装置 | |
| CN112887340A (zh) | 密码重置方法、装置、业务管理终端及存储介质 | |
| CN112118206B (zh) | 一种解密方法、装置、系统、介质及设备 | |
| CN111611574B (zh) | 信息获取方法、装置、设备和系统 | |
| CN112383577A (zh) | 授权方法、装置、系统、设备和存储介质 | |
| CN111698204A (zh) | 一种双向身份认证的方法及装置 | |
| JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
| CN110807210A (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
| CN105100030B (zh) | 访问控制方法、系统和装置 | |
| KR102062851B1 (ko) | 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |