CN112165503A - 一种网络连接的建立方法和装置 - Google Patents
一种网络连接的建立方法和装置 Download PDFInfo
- Publication number
- CN112165503A CN112165503A CN202010827530.9A CN202010827530A CN112165503A CN 112165503 A CN112165503 A CN 112165503A CN 202010827530 A CN202010827530 A CN 202010827530A CN 112165503 A CN112165503 A CN 112165503A
- Authority
- CN
- China
- Prior art keywords
- response
- information
- connection
- request
- connection establishment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明实施例提供了一种网络连接的建立方法和装置,所述方法包括:在检测到第一预设事件时,触发针对响应端的连接建立交互;在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接。通过本发明实施例,实现了在建立网络连接的过程中进行安全认证,进而能够在通过安全认证的情况下建立网络连接,避免了在未通过安全认证的情况下与攻击者建立网络连接,且将安全认证和建立网络连接强制绑定,避免了攻击者在建立网络连接后选择不执行安全认证流程,也避免了攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种网络连接的建立方法和装置。
背景技术
在网络通信技术体系下,如TCP/IP体系,当通信双方需要进行相对稳定、对网络丢包等问题有容错能力的网络通信时,需要建立并维持一次网络连接,进而可以通过可靠的网络连接进行数据传输。在建立可靠的网络连接后,通信双方可以在此基础上进行安全认证交互,进而实现安全的数据传输,防止身份仿冒、信息泄露、信息篡改、信息插入等网络攻击。
然而,由于安全认证交互只有在通信双方建立了可靠的通信连接之后才能进行,攻击者可以任意建立起多个有效的通信连接,实施拒绝服务攻击。
而且,攻击者可以在建立网络连接后选择不执行安全认证流程,而进行如网络嗅探、端口扫描等其他攻击操作,合法用户也有可能因为误操作或蓄意操作以明文方式传输敏感数据,造成信息泄露。
再者,攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据,恶意数据只有在到达接收方并被解析后才能被检测到,该接收并解析数据包的过程可能会导致接收方的计算环境被破坏。
发明内容
鉴于上述问题,提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种网络连接的建立方法和装置,包括:
一种网络连接的建立方法,应用于请求端,包括:
在检测到第一预设事件时,触发针对响应端的连接建立交互;
在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接。
一种网络连接的建立方法,应用于响应端,包括:
在检测到第二预设事件时,触发针对请求端的连接建立交互;
在所述连接建立交互的过程中,与所述请求端进行安全认证交互,以建立针对所述请求端的网络连接。
一种网络连接的建立装置,应用于请求端,所述装置包括:
第一连接建立交互触发模块,用于在检测到第一预设事件时,触发针对响应端的连接建立交互;
第一安全认证交互模块,用于在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接。
一种网络连接的建立装置,应用于响应端,所述装置包括:
第二连接建立交互模块,用于在检测到第二预设事件时,触发针对请求端的连接建立交互;
第二安全认证交互模块,用于在所述连接建立交互的过程中,与所述请求端进行安全认证交互,以建立针对所述请求端的网络连接。
一种电子设备,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的网络连接的建立方法。
一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的网络连接的建立方法。
本发明实施例具有以下优点:
在本发明实施例中,通过在检测到第一预设事件时,触发针对响应端的连接建立交互,在连接建立交互的过程中,与响应端进行安全认证交互,以建立针对响应端的网络连接,实现了在建立网络连接的过程中进行安全认证,进而能够在通过安全认证的情况下建立网络连接,避免了在未通过安全认证的情况下与攻击者建立网络连接,且将安全认证和建立网络连接强制绑定,避免了攻击者在建立网络连接后选择不执行安全认证流程,也避免了攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据。
附图说明
为了更清楚地说明本发明的技术方案,下面将对本发明的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种网络连接实例的示意图;
图2是本发明一实施例提供的另一种网络连接实例的示意图;
图3是本发明一实施例提供的一种网络连接的建立方法的步骤流程图;
图4是本发明一实施例提供的另一种网络连接的建立方法的步骤流程图;
图5是本发明一实施例提供的另一种网络连接的建立方法的步骤流程图;
图6是本发明一实施例提供的另一种网络连接的建立方法的步骤流程图;
图7是本发明一实施例提供的一种网络连接的建立装置的结构框图;
图8是本发明一实施例提供的另一种网络连接的建立装置的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了在不可靠的网络环境中建立可靠的网络连接,通信双方可以在通信最初始时进行若干次“握手”交互过程,如图1,通信方A和B在初始的三次“握手”过程中相互传输有关本次连接的状态信息SN_A、SN_B,如以TCP协议为例,状态信息是TCP协议初始“握手”过程中双方交换的序列号(Sequence Number)。通过“握手”过程,双方能够确认连接的状态,避免网络丢包造成双方对状态理解不一致、双方将本次会话的数据包与其他会话的数据包混淆在一起。在完成这一过程之后,通信双方能够利用建立起来的可靠的网络连接,以传输各类业务应用数据或安全交互数据。
在建立可靠的网络连接后,通信双方可以在此基础上进行安全认证交互,如图1中“安全认证与密钥协商”,通信双方交替完成基于“挑战-响应”机制的身份认证,并建立共享的会话密钥KAB,进而实现安全的数据传输,防止身份仿冒、信息泄露、信息篡改、信息插入等网络攻击。
如图1,以通信方A发起为例,具体过程:
1、A发送安全连接挑战CH_A(包含时间、序号或随机数)。
2、B根据相应计算并返回响应值RE_A=Auth(CH_A,Key_B),Auth()算法可以为任意一种具备身份认证效果的算法,如数字签名、消息鉴别码等,Key_B表示能够证明B身份合法性的密钥数据,如B的私钥或B与A共享的某个对称密钥。
3、通信双方在此过程中还会交换会话密钥因子KT_AB和KT_BA,用于双方分别计算生成本次会话的会话密钥KAB=KDF(KT_AB、KT_BA),KDF()可以为任意一种密钥派生函数。
然而,由于安全认证交互只有在通信双方建立了可靠的通信连接之后才能进行,攻击者可以任意建立起多个有效的通信连接,实施拒绝服务攻击。
而且,攻击者可以在建立网络连接后选择不执行安全认证流程,而进行如网络嗅探、端口扫描等其他操作,合法用户也有可能因为误操作或蓄意操作以明文方式传输敏感数据,造成信息泄露。
再者,攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据,恶意数据只有在到达接收方并被解析后才能被检测到,该接收并解析数据包的过程可能会导致接收方的计算环境被破坏。
基于此,可以在连接建立的交互过程中,同时完成安全认证与密钥协商,在安全条件全部达成的情况下(包括但不限于通信双方身份确认合法、安全策略配置达成共识、用于本次通信的会话密钥完成协商分发),通信连接才能建立完成,通信方A和B真正建立起用于交互通信的连接。
如图2,以通信方A发起为例,具体过程:
1、发送方(通信方A)发起“连接建立请求”,消息内容包含发送方状态SN_A信息和安全连接挑战CH_A。
2、接收方(通信方B)回复“连接建立响应”,消息内容包含对方状态SN_A和己方状态SN_B、根据发送方挑战值计算出的安全连接响应RE_A、接收方发起的安全挑战CH_B、会话密钥因子KT_BA。
其中,安全连接响应RE_A=Auth({CH_A,SN_A},Key_B),即通信方B在计算响应值时不仅使用挑战值CH_A,还包含对方状态SN_A。这种方式不仅能够使得通信方A认证通信方B的身份,而且能够使得通信方A确认通信方B正确获知了自己的连接状态SN_A。
3、发送方(通信方A)回复“连接建立完成”,消息内容包含对方状态SN_B、安全连接响应RE_B、会话密钥因子KT_AB。其中,安全连接响应RE_B=Auth({CH_B,SN_B},Key_A),与前述相似,计算时不仅使用挑战值CH_B,还包含对方状态SN_B。
4、双方根据交互确认的状态SN_A、SN_B建立起稳定的通信连接,并分别根据之前交互的会话密钥因子计算本次连接的会话密钥KAB=KDF(KT_AB、KT_BA、SN_A、SN_B)。
在经过上述步骤建立的网络连接中,通信双方相互确认了对方身份的合法性,并且生成了共享会话密钥KAB用于对传输数据的安全防护。如果上述步骤中的任何一项安全机制出现错误,如身份认证失败、密钥协商失败等,网络连接都无法成功建立。
与现有网络通信模型相比,这种方法不仅能够实现通信双方的身份认证和通信传输数据的安全防护,而且能够解决现有方法难以解决的安全风险:
1、不具备合法身份的外部攻击者无法建立起有效的网络连接发送恶意代码。对于具备合法身份的内部攻击者,网络连接的加密机制能够实现抗抵赖效果,增加攻击难度,且在网络连接建立阶段交换关于双方计算环境的信息,也能够使得通信双方相互确认对方的计算环境没有被恶意代码干扰。
2、只有经过身份认证的双方才能建立起通信连接,攻击者无法伪造身份建立大量连接进行拒绝服务攻击。
3、安全认证和加密保护对于通信会话连接是强制绑定的,无论该会话连接上传输哪种应用数据,均可统一得到端到端的安全防护。
以下对本发明实施例进行详细说明:
参照图3,示出了本发明一实施例提供的一种网络连接的建立方法的步骤流程图,该方法可以应用于请求端,其可以位于互联网,也可以位于视联网,且该请求端可以为服务端,也可以为客户端。
具体的,可以包括如下步骤:
步骤301,在检测到第一预设事件时,触发针对响应端的连接建立交互;
其中,第一预设事件可以为请求向响应端传输数据的事件,如视频/语音/文本会话等即时通信、传送文件、协商信息等。
在检测到第一预设事件时,即表征请求端需要与响应端建立网络连接,该网络连接可以为通信中会话连接,则可以触发针对响应端的连接建立交互,如该连接建立交互可以为上文中三次“握手”的过程,建立可靠的网络连接。
步骤302,在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接。
为了保证通信的安全性,在连接建立交互的过程中,即在完成连接建立之前,可以与响应端进行安全认证交互,并在通过与响应端的安全认证交互后或同时,建立针对响应端的网络连接。
在本发明实施例中,通过在检测到第一预设事件时,触发针对响应端的连接建立交互,在连接建立交互的过程中,与响应端进行安全认证交互,以建立针对响应端的网络连接,实现了在建立网络连接的过程中进行安全认证,进而能够在通过安全认证的情况下建立网络连接,避免了在未通过安全认证的情况下与攻击者建立网络连接,且将安全认证和建立网络连接强制绑定,避免了攻击者在建立网络连接后选择不执行安全认证流程,也避免了攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据。
参照图4,示出了本发明一实施例提供的另一种网络连接的建立方法的步骤流程图,该方法可以应用于请求端,具体可以包括如下步骤:
步骤401,在检测到第一预设事件时,触发针对响应端的连接建立交互;
步骤402,向所述响应端发送连接建立请求消息;其中,所述连接建立请求消息包括请求端属性信息和请求端安全认证信息;
在触发连接建立交互后,请求端可以针对响应端进行连接建立请求,具体连接建立请求如下:
1、请求端可以生成请求端属性信息;
请求端属性信息可以包括请求端状态信息,如以TCP协议为例,状态信息是TCP协议初始“握手”过程中双方交换的序列号,如图2中请求端可以为通信方A,请求端状态信息可以为SN_A。
2、请求端可以生成安全认证信息;
在安全认证交互中,通信双方可以交替完成基于“挑战-响应”机制的身份认证,如图2,请求端安全认证信息可以为安全连接挑战CH_A。
3、请求端可以根据请求端属性信息和请求端安全认证信息,生成连接建立请求消息;
4、请求端可以将连接建立请求消息发送至响应端。
步骤403,接收所述响应端返回针对所述连接建立请求消息的连接建立响应消息;其中,所述连接建立响应消息包括针对所述请求端属性信息的请求端属性确认信息、针对所述请求端安全认证信息的请求端安全认证响应信息、响应端属性信息、响应端安全认证信息;
在接收到连接建立请求消息后,响应端可以针对连接建立请求消息进行连接建立响应,具体如下:
1、响应端可以生成针对请求端属性信息的请求端属性确认信息;
2、响应端可以生成针对请求端安全认证信息的请求端安全认证响应信息;
具体的,可以根据请求应端安全认证信息和请求端属性信息,生成针对请求端安全认证信息的请求端安全认证响应信息。
如图2,安全连接响应RE_A=Auth({CH_A,SN_A},Key_B),即通信方B在计算响应值时不仅使用挑战值CH_A,还包含对方状态SN_A,通过采用这种方式不仅能够使得通信方A认证通信方B的身份,而且能够使得通信方A确认通信方B正确获知了自己的连接状态SN_A。
而且,这种方式的可靠性取决于认证算法Auth()的密码学强度,比直接回复明文SN_A的方式更有安全保障。
3、响应端可以生成响应端属性信息;
响应端属性信息可以包括响应端状态信息,如以TCP协议为例,状态信息是TCP协议初始“握手”过程中双方交换的序列号,如图2中响应端可以为通信方B,响应端状态信息可以为SN_B。
4、响应端可以生成响应端安全认证信息;
在安全认证交互中,通信双方可以交替完成基于“挑战-响应”机制的身份认证,如图2,响应端安全认证信息可以为安全连接挑战CH_B。
5、响应端可以根据请求端属性确认信息、请求端安全认证响应信息、响应端属性信息、响应端安全认证信息,生成连接建立响应消息;
6、响应端可以将连接建立响应消息返回至请求端。
步骤404,向所述响应端返回针对所述连接建立响应消息的连接建立完成消息;其中,所述连接建立完成消息包括针对所述响应端属性信息的响应端属性确认信息和针对所述响应端安全认证信息的响应端安全认证响应信息。
在接收到连接建立响应消息后,请求端可以生成针对连接建立响应消息的连接建立完成消息,并返回值响应端。
在本发明一实施例中,步骤404可以包括如下子步骤:
子步骤11,根据所述响应端安全认证信息和所述响应端属性信息,生成针对所述响应端安全认证信息的响应端安全认证响应信息;
具体的,请求端可以根据响应端安全认证信息和响应端属性信息,生成针对响应端安全认证信息的响应端安全认证响应信息。
如图2,安全连接响应RE_B=Auth({CH_B,SN_B},Key_A),与前述相似,计算时不仅使用挑战值CH_B,还包含对方状态SN_B。
子步骤12,生成针对所述响应端属性信息的响应端属性确认信息;
子步骤13,根据所述响应端安全认证响应信息和所述响应端属性确认信息,生成针对所述连接建立响应消息的连接建立完成消息,并返回至所述响应端。
在本发明一实施例中,连接建立请求消息可以包括第一会话密钥信息,如图2中会话密钥因子KT_BA,连接建立响应消息可以包括第二会话密钥信息,如图2中会话密钥因子KT_AB,该方法还可以包括如下步骤:
根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息。
在获得会话密钥信息后,可以根据第一会话密钥信息和第二会话密钥信息,生成连接会话密钥信息,以在后续通信中对数据进行加密。
在本发明一实施例中,根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息可以包括如下子步骤:
根据所述第一会话密钥信息、所述第二会话密钥信息、所述请求端属性信息,以及所述响应端属性信息,生成连接会话密钥信息。
在具体实现中,可以结合第一会话密钥信息、第二会话密钥信息、请求端属性信息,以及响应端属性信息,生成连接会话密钥信息。
如图2,由于双方根据交互确认的状态SN_A、SN_B建立起稳定的通信连接,并分别根据之前交互的会话密钥因子,计算本次连接的会话密钥KAB=KDF(KT_AB、KT_BA、SN_A、SN_B),通过这种方式形成的会话密钥KAB仅限于通信方A和B在本次通信连接期间使用。
在本发明一实施例中,还可以包括如下步骤:
根据所述连接会话密钥信息,生成多个子连接会话密钥信息。
在实际应用中,可以对连接会话密钥信息进行分散,得到多个子连接会话密钥信息,其可以分别用于通信连接中的不同防护机制,如数据加密、数据完整性保护等可使用不同密钥进行运算。
例如,子连接会话密钥信息K1=f(KAB,index1)、子连接会话密钥信息K2=f(KAB,index2),子连接会话密钥信息K1加密A和B的通信数据,防止窃听,子连接会话密钥信息K2对A和B的通信数据计算完整性校验值,防止篡改。
参照图5,示出了本发明一实施例提供的另一种网络连接的建立方法的步骤流程图,该方法可以应用于响应端,其可以位于互联网,也可以位于视联网,且该响应端可以为服务端,也可以为客户端。
具体的,可以包括如下步骤:
步骤501,在检测到第二预设事件时,触发针对请求端的连接建立交互;
其中,第二预设事件可以为响应请求端的请求向请求端传输数据的事件,如视频/语音/文本会话等即时通信、传送文件、协商信息等。
在检测到第二预设事件时,即表征请求端需要与响应端建立网络连接,该网络连接可以为通信中会话连接,则可以触发针对请求端的连接建立交互,如该连接建立交互可以为上文中三次“握手”的过程,建立可靠的网络连接。
步骤502,在所述连接建立交互的过程中,与所述请求端进行安全认证交互,以建立针对所述请求端的网络连接。
为了保证通信的安全性,在连接建立交互的过程中,即在完成连接建立之前,可以与请求端进行安全认证交互,并在通过与请求端的安全认证交互后或同时,建立针对请求端的网络连接。
在本发明实施例中,通过在检测到第二预设事件时,触发针对请求端的连接建立交互,在连接建立交互的过程中,与请求端进行安全认证交互,以建立针对请求端的网络连接,实现了在建立网络连接的过程中进行安全认证,进而能够在通过安全认证的情况下建立网络连接,避免了在未通过安全认证的情况下与攻击者建立网络连接,且将安全认证和建立网络连接强制绑定,避免了攻击者在建立网络连接后选择不执行安全认证流程,也避免了攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据。
参照图6,示出了本发明一实施例提供的另一种网络连接的建立方法的步骤流程图,该方法可以应用于响应端,具体可以包括如下步骤:
步骤601,在检测到第二预设事件时,触发针对请求端的连接建立交互;
步骤602,接收所述请求端发送的连接建立请求消息;其中,所述连接建立请求消息包括请求端属性信息和请求端安全认证信息;
在触发连接建立交互后,请求端可以针对响应端进行连接建立请求,具体连接建立请求如下:
1、请求端可以生成请求端属性信息;
请求端属性信息可以包括请求端状态信息,如以TCP协议为例,状态信息是TCP协议初始“握手”过程中双方交换的序列号,如图2中请求端可以为通信方A,请求端状态信息可以为SN_A。
2、请求端可以生成安全认证信息;
在安全认证交互中,通信双方可以交替完成基于“挑战-响应”机制的身份认证,如图2,请求端安全认证信息可以为安全连接挑战CH_A。
3、请求端可以根据请求端属性信息和请求端安全认证信息,生成连接建立请求消息;
4、请求端可以将连接建立请求消息发送至响应端。
步骤603,向所述请求端返回针对所述连接建立请求消息的连接建立响应消息;其中,所述连接建立响应消息包括针对所述请求端属性信息的请求端属性确认信息、针对所述请求端安全认证信息的请求端安全认证响应信息、响应端属性信息、响应端安全认证信息;
在本发明一实施例中,步骤603可以包括如下子步骤:
子步骤21,根据所述请求应端安全认证信息和所述请求端属性信息,生成针对所述请求端安全认证信息的请求端安全认证响应信息;
具体的,可以根据请求应端安全认证信息和请求端属性信息,生成针对请求端安全认证信息的请求端安全认证响应信息。
如图2,安全连接响应RE_A=Auth({CH_A,SN_A},Key_B),即通信方B在计算响应值时不仅使用挑战值CH_A,还包含对方状态SN_A,通过采用这种方式不仅能够使得通信方A认证通信方B的身份,而且能够使得通信方A确认通信方B正确获知了自己的连接状态SN_A。
而且,这种方式的可靠性取决于认证算法Auth()的密码学强度,比直接回复明文SN_A的方式更有安全保障。
子步骤22,生成针对所述请求端属性信息的请求端属性确认信息;
子步骤23,生成响应端属性信息和响应端安全认证信息;
响应端属性信息可以包括响应端状态信息,如以TCP协议为例,状态信息是TCP协议初始“握手”过程中双方交换的序列号,如图2中响应端可以为通信方B,响应端状态信息可以为SN_B。
在安全认证交互中,通信双方可以交替完成基于“挑战-响应”机制的身份认证,如图2,响应端安全认证信息可以为安全连接挑战CH_B。
子步骤24,根据所述请求端安全认证响应信息、所述请求端属性确认信息、响应端属性信息,以及响应端安全认证信息,生成针对所述连接建立请求消息的连接建立响应消息,并返回至所述请求端。
步骤604,接收所述请求端返回针对所述连接建立响应消息的连接建立完成消息;其中,所述连接建立完成消息包括针对所述响应端属性信息的响应端属性确认信息和针对所述响应端安全认证信息的响应端安全认证响应信息。
在接收到连接建立响应消息后,请求端可以生成针对连接建立响应消息的连接建立完成消息,并返回值响应端,具体如下:
1、请求端可以根据响应端安全认证信息和响应端属性信息,生成针对响应端安全认证信息的响应端安全认证响应信息;
具体的,请求端可以根据响应端安全认证信息和响应端属性信息,生成针对响应端安全认证信息的响应端安全认证响应信息。
如图2,安全连接响应RE_B=Auth({CH_B,SN_B},Key_A),与前述相似,计算时不仅使用挑战值CH_B,还包含对方状态SN_B。
2、请求端可以生成针对响应端属性信息的响应端属性确认信息;
3、请求端可以根据响应端安全认证响应信息和响应端属性确认信息,生成针对连接建立响应消息的连接建立完成消息,并返回至响应端。
在本发明一实施例中,连接建立请求消息可以包括第一会话密钥信息,如图2中会话密钥因子KT_BA,连接建立响应消息可以包括第二会话密钥信息,如图2中会话密钥因子KT_AB,该方法还可以包括如下步骤:
根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息。
在获得会话密钥信息后,可以根据第一会话密钥信息和第二会话密钥信息,生成连接会话密钥信息,以在后续通信中对数据进行加密。
在本发明一实施例中,根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息可以包括如下子步骤:
根据所述第一会话密钥信息、所述第二会话密钥信息、所述请求端属性信息,以及所述响应端属性信息,生成连接会话密钥信息。
在具体实现中,可以结合第一会话密钥信息、第二会话密钥信息、请求端属性信息,以及响应端属性信息,生成连接会话密钥信息。
如图2,由于双方根据交互确认的状态SN_A、SN_B建立起稳定的通信连接,并分别根据之前交互的会话密钥因子,计算本次连接的会话密钥KAB=KDF(KT_AB、KT_BA、SN_A、SN_B),通过这种方式形成的会话密钥KAB仅限于通信方A和B在本次通信连接期间使用。
在本发明一实施例中,还可以包括如下步骤:
根据所述连接会话密钥信息,生成多个子连接会话密钥信息。
在实际应用中,可以对连接会话密钥信息进行分散,得到多个子连接会话密钥信息,其可以分别用于通信连接中的不同防护机制,如数据加密、数据完整性保护等可使用不同密钥进行运算。
例如,子连接会话密钥信息K1=f(KAB,index1)、子连接会话密钥信息K2=f(KAB,index2),子连接会话密钥信息K1加密A和B的通信数据,防止窃听,子连接会话密钥信息K2对A和B的通信数据计算完整性校验值,防止篡改。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图7,示出了本发明一实施例提供的一种网络连接的建立装置的结构框图,该装置应用于请求端,具体可以包括如下模块:
第一连接建立交互触发模块701,用于在检测到第一预设事件时,触发针对响应端的连接建立交互;
第一安全认证交互模块702,用于在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接。
在本发明一实施例中,所述第一安全认证交互模块702,包括:
连接建立请求消息发送子模块,用于向所述响应端发送连接建立请求消息;其中,所述连接建立请求消息包括请求端属性信息和请求端安全认证信息;
连接建立响应消息接收子模块,用于接收所述响应端返回针对所述连接建立请求消息的连接建立响应消息;其中,所述连接建立响应消息包括针对所述请求端属性信息的请求端属性确认信息、针对所述请求端安全认证信息的请求端安全认证响应信息、响应端属性信息、响应端安全认证信息;
连接建立完成消息返回子模块,用于向所述响应端返回针对所述连接建立响应消息的连接建立完成消息;其中,所述连接建立完成消息包括针对所述响应端属性信息的响应端属性确认信息和针对所述响应端安全认证信息的响应端安全认证响应信息。
在本发明一实施例中,所述连接建立完成消息返回子模块,包括:
安全认证响应信息生成单元,用于根据所述响应端安全认证信息和所述响应端属性信息,生成针对所述响应端安全认证信息的响应端安全认证响应信息;
响应端属性确认信息生成单元,用于生成针对所述响应端属性信息的响应端属性确认信息;
连接建立完成消息生成单元,用于根据所述响应端安全认证响应信息和所述响应端属性确认信息,生成针对所述连接建立响应消息的连接建立完成消息,并返回至所述响应端。
在本发明一实施例中,所述连接建立请求消息包括第一会话密钥信息,所述连接建立响应消息包括第二会话密钥信息,还包括:
第一连接会话密钥信息生成模块,用于根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息。
在本发明一实施例中,所述第一连接会话密钥信息生成模块,包括:
第一结合属性生成密钥子模块,用于根据所述第一会话密钥信息、所述第二会话密钥信息、所述请求端属性信息,以及所述响应端属性信息,生成连接会话密钥信息。
在本发明一实施例中,还包括:
第一子连接会话密钥信息模块,用于根据所述连接会话密钥信息,生成多个子连接会话密钥信息。
在本发明一实施例中,所述请求端属性信息包括请求端状态信息,所述响应端属性信息包括响应端状态信息。
在本发明实施例中,通过在检测到第一预设事件时,触发针对响应端的连接建立交互,在连接建立交互的过程中,与响应端进行安全认证交互,以建立针对响应端的网络连接,实现了在建立网络连接的过程中进行安全认证,进而能够在通过安全认证的情况下建立网络连接,避免了在未通过安全认证的情况下与攻击者建立网络连接,且将安全认证和建立网络连接强制绑定,避免了攻击者在建立网络连接后选择不执行安全认证流程,也避免了攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据。
参照图8,示出了本发明一实施例提供的一种网络连接的建立装置的结构框图,该装置可以应用于响应端,具体可以包括如下模块:
第二连接建立交互模块801,用于在检测到第二预设事件时,触发针对请求端的连接建立交互;
第二安全认证交互模块802,用于在所述连接建立交互的过程中,与所述请求端进行安全认证交互,以建立针对所述请求端的网络连接。
在本发明一实施例中,所述第二安全认证交互模块802,包括:
连接建立请求消息接收子模块,用于接收所述请求端发送的连接建立请求消息;其中,所述连接建立请求消息包括请求端属性信息和请求端安全认证信息;
连接建立响应消息返回子模块,用于向所述请求端返回针对所述连接建立请求消息的连接建立响应消息;其中,所述连接建立响应消息包括针对所述请求端属性信息的请求端属性确认信息、针对所述请求端安全认证信息的请求端安全认证响应信息、响应端属性信息、响应端安全认证信息;
连接建立完成消息接收子模块,用于接收所述请求端返回针对所述连接建立响应消息的连接建立完成消息;其中,所述连接建立完成消息包括针对所述响应端属性信息的响应端属性确认信息和针对所述响应端安全认证信息的响应端安全认证响应信息。
在本发明一实施例中,所述连接建立响应消息返回子模块,包括:
请求端安全认证响应信息生成单元,用于根据所述请求应端安全认证信息和所述请求端属性信息,生成针对所述请求端安全认证信息的请求端安全认证响应信息;
请求端属性确认信息生成单元,用于生成针对所述请求端属性信息的请求端属性确认信息;
属性和安全信息生成单元,用于生成响应端属性信息和响应端安全认证信息;
连接建立响应消息生成单元,用于根据所述请求端安全认证响应信息、所述请求端属性确认信息、响应端属性信息,以及响应端安全认证信息,生成针对所述连接建立请求消息的连接建立响应消息,并返回至所述请求端。
在本发明一实施例中,所述连接建立请求消息包括第一会话密钥信息,所述连接建立响应消息包括第二会话密钥信息,还包括:
第二连接会话密钥信息生成模块,用于根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息。
在本发明一实施例中,所述第二连接会话密钥信息生成模块,包括:
第二结合属性生成密钥子模块,用于根据所述第一会话密钥信息、所述第二会话密钥信息、所述请求端属性信息,以及所述响应端属性信息,生成连接会话密钥信息。
在本发明一实施例中,还包括:
第二子连接会话密钥信息模块,用于根据所述连接会话密钥信息,生成多个子连接会话密钥信息。
在本发明一实施例中,所述请求端属性信息包括请求端状态信息,所述响应端属性信息包括响应端状态信息。
在本发明实施例中,通过在检测到第二预设事件时,触发针对请求端的连接建立交互,在连接建立交互的过程中,与请求端进行安全认证交互,以建立针对请求端的网络连接,实现了在建立网络连接的过程中进行安全认证,进而能够在通过安全认证的情况下建立网络连接,避免了在未通过安全认证的情况下与攻击者建立网络连接,且将安全认证和建立网络连接强制绑定,避免了攻击者在建立网络连接后选择不执行安全认证流程,也避免了攻击者可以在安全认证交互之前利用已建立的网络连接发送恶意数据。
本发明一实施例还提供了电子设备,可以包括处理器、存储器及存储在存储器上并能够在处理器上运行的计算机程序,计算机程序被处理器执行时实现如上网络连接的建立方法。
本发明一实施例还提供了计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如上网络连接的建立方法。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种网络连接的建立方法和装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (18)
1.一种网络连接的建立方法,其特征在于,应用于请求端,包括:
在检测到第一预设事件时,触发针对响应端的连接建立交互;
在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接。
2.根据权利要求1所述的方法,其特征在于,所述在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接,包括:
向所述响应端发送连接建立请求消息;其中,所述连接建立请求消息包括请求端属性信息和请求端安全认证信息;
接收所述响应端返回针对所述连接建立请求消息的连接建立响应消息;其中,所述连接建立响应消息包括针对所述请求端属性信息的请求端属性确认信息、针对所述请求端安全认证信息的请求端安全认证响应信息、响应端属性信息、响应端安全认证信息;
向所述响应端返回针对所述连接建立响应消息的连接建立完成消息;其中,所述连接建立完成消息包括针对所述响应端属性信息的响应端属性确认信息和针对所述响应端安全认证信息的响应端安全认证响应信息。
3.根据权利要求2所述的方法,其特征在于,所述向所述响应端返回针对所述连接建立响应消息的连接建立完成消息,包括:
根据所述响应端安全认证信息和所述响应端属性信息,生成针对所述响应端安全认证信息的响应端安全认证响应信息;
生成针对所述响应端属性信息的响应端属性确认信息;
根据所述响应端安全认证响应信息和所述响应端属性确认信息,生成针对所述连接建立响应消息的连接建立完成消息,并返回至所述响应端。
4.根据权利要求2或3所述的方法,其特征在于,所述连接建立请求消息包括第一会话密钥信息,所述连接建立响应消息包括第二会话密钥信息,还包括:
根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息,包括:
根据所述第一会话密钥信息、所述第二会话密钥信息、所述请求端属性信息,以及所述响应端属性信息,生成连接会话密钥信息。
6.根据权利要求5所述的方法,其特征在于,还包括:
根据所述连接会话密钥信息,生成多个子连接会话密钥信息。
7.根据权利要求2所述的方法,其特征在于,所述请求端属性信息包括请求端状态信息,所述响应端属性信息包括响应端状态信息。
8.一种网络连接的建立方法,其特征在于,应用于响应端,包括:
在检测到第二预设事件时,触发针对请求端的连接建立交互;
在所述连接建立交互的过程中,与所述请求端进行安全认证交互,以建立针对所述请求端的网络连接。
9.根据权利要求8所述的方法,其特征在于,所述在所述连接建立交互的过程中,与所述请求端进行安全认证交互,以建立针对所述请求端的网络连接,包括:
接收所述请求端发送的连接建立请求消息;其中,所述连接建立请求消息包括请求端属性信息和请求端安全认证信息;
向所述请求端返回针对所述连接建立请求消息的连接建立响应消息;其中,所述连接建立响应消息包括针对所述请求端属性信息的请求端属性确认信息、针对所述请求端安全认证信息的请求端安全认证响应信息、响应端属性信息、响应端安全认证信息;
接收所述请求端返回针对所述连接建立响应消息的连接建立完成消息;其中,所述连接建立完成消息包括针对所述响应端属性信息的响应端属性确认信息和针对所述响应端安全认证信息的响应端安全认证响应信息。
10.根据权利要求9所述的方法,其特征在于,所述向所述请求端返回针对所述连接建立请求消息的连接建立响应消息,包括:
根据所述请求应端安全认证信息和所述请求端属性信息,生成针对所述请求端安全认证信息的请求端安全认证响应信息;
生成针对所述请求端属性信息的请求端属性确认信息;
生成响应端属性信息和响应端安全认证信息;
根据所述请求端安全认证响应信息、所述请求端属性确认信息、响应端属性信息,以及响应端安全认证信息,生成针对所述连接建立请求消息的连接建立响应消息,并返回至所述请求端。
11.根据权利要求9或10所述的方法,其特征在于,所述连接建立请求消息包括第一会话密钥信息,所述连接建立响应消息包括第二会话密钥信息,还包括:
根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息。
12.根据权利要求11所述的方法,其特征在于,所述根据所述第一会话密钥信息和所述第二会话密钥信息,生成连接会话密钥信息,包括:
根据所述第一会话密钥信息、所述第二会话密钥信息、所述请求端属性信息,以及所述响应端属性信息,生成连接会话密钥信息。
13.根据权利要求12所述的方法,其特征在于,还包括:
根据所述连接会话密钥信息,生成多个子连接会话密钥信息。
14.根据权利要求9所述的方法,其特征在于,所述请求端属性信息包括请求端状态信息,所述响应端属性信息包括响应端状态信息。
15.一种网络连接的建立装置,其特征在于,应用于请求端,所述装置包括:
第一连接建立交互触发模块,用于在检测到第一预设事件时,触发针对响应端的连接建立交互;
第一安全认证交互模块,用于在所述连接建立交互的过程中,与所述响应端进行安全认证交互,以建立针对所述响应端的网络连接。
16.一种网络连接的建立装置,其特征在于,应用于响应端,所述装置包括:
第二连接建立交互模块,用于在检测到第二预设事件时,触发针对请求端的连接建立交互;
第二安全认证交互模块,用于在所述连接建立交互的过程中,与所述请求端进行安全认证交互,以建立针对所述请求端的网络连接。
17.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至14中任一项所述的网络连接的建立方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至14中任一项所述的网络连接的建立方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010827530.9A CN112165503B (zh) | 2020-08-17 | 2020-08-17 | 一种网络连接的建立方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010827530.9A CN112165503B (zh) | 2020-08-17 | 2020-08-17 | 一种网络连接的建立方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112165503A true CN112165503A (zh) | 2021-01-01 |
CN112165503B CN112165503B (zh) | 2023-05-12 |
Family
ID=73859531
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010827530.9A Active CN112165503B (zh) | 2020-08-17 | 2020-08-17 | 一种网络连接的建立方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112165503B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009211529A (ja) * | 2008-03-05 | 2009-09-17 | Nippon Telegr & Teleph Corp <Ntt> | 認証処理装置、認証処理方法および認証処理プログラム |
JP2016028532A (ja) * | 2015-10-30 | 2016-02-25 | 株式会社東芝 | 情報操作装置、情報出力装置および情報操作プログラム |
CN106547498A (zh) * | 2015-09-18 | 2017-03-29 | 佳能株式会社 | 图像处理装置及其控制方法 |
-
2020
- 2020-08-17 CN CN202010827530.9A patent/CN112165503B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009211529A (ja) * | 2008-03-05 | 2009-09-17 | Nippon Telegr & Teleph Corp <Ntt> | 認証処理装置、認証処理方法および認証処理プログラム |
CN106547498A (zh) * | 2015-09-18 | 2017-03-29 | 佳能株式会社 | 图像处理装置及其控制方法 |
JP2016028532A (ja) * | 2015-10-30 | 2016-02-25 | 株式会社東芝 | 情報操作装置、情報出力装置および情報操作プログラム |
Also Published As
Publication number | Publication date |
---|---|
CN112165503B (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7213149B2 (en) | Message authentication | |
RU2406251C2 (ru) | Способ и устройство для установления безопасной ассоциации | |
US20230155816A1 (en) | Internet of things security with multi-party computation (mpc) | |
CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
US20110103588A1 (en) | Key Agreement and Re-keying over a Bidirectional Communication Path | |
CN101442411A (zh) | 一种p2p网络中对等用户结点间的身份认证方法 | |
RU2530691C1 (ru) | Способ защищенного удаленного доступа к информационным ресурсам | |
Azad et al. | Authentic caller: Self-enforcing authentication in a next-generation network | |
CN110808999B (zh) | 一种业务交互方法、装置、设备及存储介质 | |
CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
Sureshkumar et al. | A robust mutual authentication scheme for session initiation protocol with key establishment | |
Clark et al. | Attacking authentication protocols | |
CN110809000B (zh) | 基于区块链网络的业务交互方法、装置、设备及存储介质 | |
Pu et al. | Secure SIP authentication scheme supporting lawful interception | |
CN115955320A (zh) | 一种视频会议身份认证方法 | |
Dikii | Authentication algorithm for internet of things networks based on MQTT protocol | |
Li et al. | A simple and robust anonymous two‐factor authenticated key exchange protocol | |
Khan et al. | A Provable Secure Cross-Verification Scheme for IoT Using Public Cloud Computing | |
CN112165503B (zh) | 一种网络连接的建立方法和装置 | |
CN109474667A (zh) | 一种基于tcp和udp的无人机通信方法 | |
CN114386020A (zh) | 基于量子安全的快速二次身份认证方法及系统 | |
Toorani | Cryptanalysis of a new protocol of wide use for email with perfect forward secrecy | |
Diaz et al. | On securing online registration protocols: Formal verification of a new proposal | |
Ordean et al. | Towards securing client-server connections against man-in-the-middle attacks | |
CN115150099B (zh) | 数据抗抵赖传输方法、数据发送端及数据接收端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |