CN112261068A - 一种局域网内的动态 tls 认证方法、装置及存储介质 - Google Patents

一种局域网内的动态 tls 认证方法、装置及存储介质 Download PDF

Info

Publication number
CN112261068A
CN112261068A CN202011523545.2A CN202011523545A CN112261068A CN 112261068 A CN112261068 A CN 112261068A CN 202011523545 A CN202011523545 A CN 202011523545A CN 112261068 A CN112261068 A CN 112261068A
Authority
CN
China
Prior art keywords
certificate
web server
new
root
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011523545.2A
Other languages
English (en)
Other versions
CN112261068B (zh
Inventor
韩辉
付同堂
李强
程永斌
李平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Acoinfo Technology Co ltd
Original Assignee
Beijing Acoinfo Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Acoinfo Technology Co ltd filed Critical Beijing Acoinfo Technology Co ltd
Priority to CN202011523545.2A priority Critical patent/CN112261068B/zh
Publication of CN112261068A publication Critical patent/CN112261068A/zh
Application granted granted Critical
Publication of CN112261068B publication Critical patent/CN112261068B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种局域网内的动态TLS认证方法、装置及存储介质,该方法包括:部署步骤,基于统一的自签发根证书Root CA为web服务器签发IP证书;访问步骤,所述web服务器加载对应的IP证书,所述客户端基于TLS建立网络连接以访问所述web服务器;重签发步骤,当检测到连接至所述web服务器的设备端口的IP地址变化时,服务程序为所述web服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。本发明统一了局域网的自签发CA根证书,引入中级证书,减少根证书的泄露风险;端口IP地址变化自动触发证书的签发和加载,无需重启系统和web服务器,不会导致服务中断,整个过程不被客户端感知,提升了用户体验。

Description

一种局域网内的动态 TLS 认证方法、装置及存储介质
技术领域
本发明涉及数据安全技术领域,特别是一种局域网内的动态 TLS 认证方法、装置及存储介质。
背景技术
企业、家庭等内网环境(局域网)的Web服务常使用非加密的网络连接通信,安全性低。但是,按照规范:1. 公共CA不会为私有IP地址段签发安全证书;2. 企业机构可以通过为私网IP地址签发自签名证书;3. 因为不是公共CA,客户端(如浏览器)无法直接信任自签名证书,需要客户端用户强行信任该自签名证书以继续使用。
自2015年11月1日起,用于管理基线要求(BR)并设置SSL证书使用行业标准的CA /浏览器表单不再允许公共信任的SSL证书包括这些本地名称,例如内部服务器名称和保留的IP地址。BR于2012年7月1日生效,规定“ CA不得颁发证书的到期日晚于2015年11月1日,且证书的SAN或使用者通用名称字段包含保留的IP地址或内部服务器名称。自2016年10月1日起,CA将撤销所有未过期的证书。已停止按照此时间表发布公共信任的证书,并将在10月1日截止日期之前撤销所有未过期的证书。
因此,现有技术中,企业机构一般通过为私网IP地址签发自签名证书,其技术缺陷为:自签发证书需要相当的专业知识,企业内需要专业技术人员进行配置管理,和签发流程管理,且签发周期长,操作不便;更为重要一点是,如果Web服务器的IP地址发生变化,如服务器迁移、重新配置等,那么需要签发新的安全证书才能继续使用TLS加密数据连接,否则当IP地址与证书内容不一致时客户端将拒绝访问,签发新的安全证书会导致服务中断,影响了用户体验。
发明内容
本发明针对上述现有技术中的缺陷,提出了如下技术方案。
一种局域网内的动态 TLS 认证方法,该方法包括:
部署步骤,基于统一的自签发根证书Root CA为web服务器签发IP证书;
访问步骤,所述web 服务器加载对应的IP证书,所述客户端基于TLS建立网络连接以访问所述web 服务器;
重签发步骤,当检测到连接至所述web 服务器的设备端口的IP地址变化时,服务程序为所述web 服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。
更进一步地,所述部署步骤的具体操作为: 根证书服务器进行根证书的自签发得到根证书Root CA,在所述客户端部署并且信任根证书Root CA,使用服务程序启动检测所有端口的IP地址,然后所述服务程序签发所有IP地址对应的IP证书。
更进一步地,所述服务程序签发所有IP地址对应的IP证书的操作为:使用自签发的根证书Root CA为所述服务程序签发中级CA证书,所述服务程序使用该中级CA证书为所有IP地址签发对应的IP证书。
更进一步地,所述重签发步骤的操作为:当所述服务程序检测到连接至所述web服务器的设备端口的IP地址变化时,所述服务程序使用该中级CA证书为所述web 服务器自动签发对应新IP地址的新IP证书,并所述新IP证书加载到所述web 服务器,并基于所述新IP证书创建新的TLS 安全上下文,并将新的TLS 安全上下文注入web 服务器的TLS 安全上下文列表中,当收到一个连接请求时,根据该请求的IP地址匹配与该IP地址对应的TLS 安全上下文以进行重连接,其中,所述新IP证书的加载对所述客户端是透明的,所述客户端通过内网DNS解析得到所述web 服务器的新IP地址。
更进一步地,所述新IP证书的加载对所述客户端是透明的,所述客户端通过内网DNS解析得到所述web 服务器的新IP地址。
本发明还提出了一种局域网内的动态 TLS 认证装置,该装置包括:
部署单元,基于统一的自签发根证书Root CA为web服务器签发IP证书;
访问单元,所述web 服务器加载对应的IP证书,所述客户端基于TLS建立网络连接以访问所述web 服务器;
重签发单元,当检测到连接至所述web 服务器的设备端口的IP地址变化时,服务程序为所述web 服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。
更进一步地,所述部署单元执行的具体操作为: 根证书服务器进行根证书的自签发得到根证书Root CA,在所述客户端部署并且信任根证书Root CA,使用服务程序启动检测所有端口的IP地址,然后所述服务程序签发所有IP地址对应的IP证书。
更进一步地,所述服务程序签发所有IP地址对应的IP证书的操作为:使用自签发的根证书Root CA为所述服务程序签发中级CA证书,所述服务程序使用该中级CA证书为所有IP地址签发对应的IP证书。
更进一步地,所述重签发单元执行的操作为:当所述服务程序检测到连接至所述web 服务器的设备端口的IP地址变化时,所述服务程序使用该中级CA证书为所述web 服务器自动签发对应新IP地址的新IP证书,并所述新IP证书加载到所述web 服务器,并基于所述新IP证书创建新的TLS 安全上下文,并将新的TLS 安全上下文注入web 服务器的TLS 安全上下文列表中,当收到一个连接请求时,根据该请求的IP地址匹配与该IP地址对应的TLS安全上下文以进行重连接,其中,所述新IP证书的加载对所述客户端是透明的,所述客户端通过内网DNS解析得到所述web 服务器的新IP地址根据该请求的IP地址匹配该IP地址对应的TLS 安全上下文以进行重连接。
一种基于SSL建立网络连接方法,其特征在于,该方法包括:
所述基于SSL建立网络连接的网络设备之间使用上述任一的局域网内的动态 TLS 认证方法进行认证。
本发明还提出了一种计算机可读存储介质,所述存储介质上存储有计算机程序代码,当所述计算机程序代码被计算机执行时执行上述之任一的方法。
本发明的一种局域网内的动态 TLS 认证方法、装置及存储介质,该方法包括:部署步骤,基于统一的自签发根证书Root CA为web服务器签发IP证书;访问步骤,所述web 服务器加载对应的IP证书,所述客户端基于TLS建立网络连接以访问所述web 服务器;重签发步骤,当检测到连接至所述web 服务器的设备端口的IP地址变化时,服务程序为所述web服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。本发明中,为局域网中的客户端也都签发了对应的IP证书,可以在web服务器变化时自动地重新为其签发IP地址,由于客户端也签发了IP证书,客户端可以通过网络直接访问的方式连接更新IP地址后的web服务器,而其安全性不变,这样,将不用重启web服务器,从而保持网络连接不中断,这是本申请的重要发明点之一。本发明中,基于服务程序实现所有IP地址对应的IP证书的自动签发,提高了证书的签发速度,解决了现有技术中需要人工签发耗时且易出错的技术问题,本发明中,在服务器因各种原因导致IP地址变化时,当所述服务程序检测该IP地址变化时,立即为所述web 服务器自动签发对应新IP地址的新IP证书并创建新的TLS 安全上下文注入web server 的TLS 安全上下文列表中,此时,如果收到一个连接请求,根据该请求的IP地址匹配该IP地址对应的TLS 安全上下文以进行重连接;原来已连接到该web服务器的客户端通过内网DNS解析得到所述web 服务器的新IP地址,即可以直接访问变更IP地址后的web服务器,即所述新IP证书的加载对所述客户端是透明的,或者,客户端直接通过新IP地址访问Web服务,无需重新信任服务器证书,从而保持网络服务不中断,提高了用户体验。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显。
图1是根据本发明的实施例的一种局域网内的动态 TLS 认证方法的流程图。
图2是根据本发明的实施例的一种局域网内的动态 TLS 认证装置的示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了本发明的一种局域网内的动态 TLS 认证方法,本发明所称的局域网如家庭内部、企业内部的局域网,也就是网内的每个设备(包括客户端、服务器)所使用的IP地址都是内网地址,而不是公网地址。该方法包括:
部署步骤S101,基于统一的自签发根证书Root CA为web服务器签发IP证书;本发明中,为局域网中的每个设备都签发了对应的IP证书,该IP证书是与设备的IP地址对应的。
访问步骤S102,所述web 服务器加载对应的IP证书,所述客户端基于TLS建立网络连接以访问所述web 服务器;安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS 记录协议(TLS Record)和 TLS 握手协议(TLSHandshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议(例如 TCP)上面,与具体的应用无关,所以,一般把TLS协议归为传输层安全协议。
重签发步骤S103,当检测到连接至所述web 服务器的设备端口的IP地址变化时,服务程序为所述web 服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。
本发明中,为局域网中的客户端也都签发了对应的IP证书,可以在web服务器变化时自动地重新为其签发IP地址,由于客户端也签发了IP证书,客户端可以通过网络直接访问的方式连接更新IP地址后的web服务器,而其安全性不变,这样,将不用重启web服务器,从而保持网络连接不中断,这是本申请的重要发明点之一。
在一个实施例,所述部署步骤的具体操作为: 根证书服务器进行根证书的自签发得到根证书Root CA,在所述客户端部署并且信任根证书Root CA,使用服务程序启动检测所有端口的IP地址,然后所述服务程序签发所有IP地址对应的IP证书。
所述服务程序属于EdgerOS操作系统中的证书自动签发程序,属于操作系统EdgerOS中的一部分,EdgerOS是应用于物联网领域的操作系统。EdgerOS可以运行在网关、路由器、边缘计算机等设备上,例如:将EdgerOS运行在Spirit 1边缘计算机上,能够发挥其边缘计算的能力,然后接入物联网设备,通过App 可以操控和设置Spirit 1和物联网设备。通常情况下,Spirit 1会部署在局域网内,其作用相当于局域网内的路由器,但它有数据处理和存储等(边缘计算)能力。
本发明中,基于服务程序实现所有IP地址对应的IP证书的自动签发,提高了证书的签发速度,解决了现有技术中需要人工签发耗时且易出错的技术问题,由于服务程序可以动态的重新签发并让web服务器重新加载证书,无需重启服务程序和web服务,web服务自然也就不会中断,所以对于客户端是没有感知的、完全透明的,这是本申请的另一个发明点。
在一个实施例中,根证书Root CA的自签发过程为:根认证机构「CA」(根证书服务器)生成公钥 ca_KeyPub 和私钥 ca_KeyPri,以及基本信息表 ca_Info。ca_Info 中一般包含了「CA」的名称、证书的有效期等信息;根认证机构「CA」对(ca_KeyPub + ca_Info)进行散列运算,得到散列值 ca_Hash;根认证机构「CA」使用其私钥 ca_KeyPri 对 ca_Hash 进行非对称加密,得到加密的散列值 enc_ca_Hash;根认证机构「CA」将(ca_KeyPub + ca_Info + enc_ca_Hash)组合生成自签名的数字证书「ca_Cert」。这张证书称之为根证书RootCA。
优选地,所述服务程序签发所有IP地址对应的IP证书的操作为:使用自签发的根证书Root CA为所述服务程序签发中级CA证书,所述服务程序使用该中级CA证书为所有IP地址签发对应的IP证书。为了防止根证书的泄露,使用Root CA为所述服务程序签发中级CA证书,然后使用该中级CA证书为所有IP地址签发对应的IP证书,确保了根证书的安全,这是本发明的另一个重要发明点。
在一个实施例中,所述重签发步骤的操作为:当所述服务程序检测到连接至所述web 服务器的设备端口的IP地址变化时,所述服务程序使用该中级CA证书为所述web 服务器自动签发对应新IP地址的新IP证书,并所述新IP证书加载到所述web 服务器,并将新的TLS 安全上下文注入web 服务器的TLS 安全上下文列表中,当收到一个连接请求时,根据该请求的IP地址匹配与该IP地址对应的TLS 安全上下文以进行重连接,其中,所述新IP证书的加载对所述客户端是透明的,所述客户端通过内网DNS解析得到所述web 服务器的新IP地址。
本发明中,在服务器因各种原因导致IP地址变化时,当所述服务程序检测该IP地址变化时,立即为所述web 服务器自动签发对应新IP地址的新IP证书并创建新的TLS 安全上下文注入web server 的TLS 安全上下文列表中,此时,如果收到一个连接请求,根据该请求的IP地址匹配该IP地址对应的TLS 安全上下文以进行重连接;原来已连接到该web服务器的客户端通过内网DNS解析得到所述web 服务器的新IP地址,即可以直接访问变更IP地址后的web服务器,即所述新IP证书的加载对所述客户端是透明的,或者,客户端直接通过新IP地址访问Web服务,无需重新信任服务器证书,从而保持网络服务不中断,提高用户体验,这是本发明的重要发明点之另一。
图2示出了本发明的一种局域网内的动态 TLS 认证装置,本发明所称的局域网如家庭内部、企业内部的局域网,也就是网内的每个设备(包括客户端、服务器)所使用的IP地址都是内网地址,而不是公网地址。该装置包括:
部署单元201,基于统一的自签发根证书Root CA为web服务器签发IP证书;本发明中,为局域网中的每个设备都签发了对应的IP证书,该IP证书是与设备的IP地址对应的。
访问单元202,所述web 服务器加载对应的IP证书,所述客户端基于TLS建立网络连接以访问所述web 服务器;安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS 记录协议(TLS Record)和 TLS 握手协议(TLSHandshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议(例如 TCP)上面,与具体的应用无关,所以,一般把TLS协议归为传输层安全协议。
重签发单元203,当检测到连接至所述web 服务器的设备端口的IP地址变化时,服务程序为所述web 服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。
本发明中,为局域网中的客户端也都签发了对应的IP证书,可以在web服务器变化时自动地重新为其签发IP地址,由于客户端也签发了IP证书,客户端可以通过网络直接访问的方式连接更新IP地址后的web服务器,而其安全性不变,这样,将不用重启web服务器,从而保持网络连接不中断,这是本申请的重要发明点之一。
在一个实施例,所述部署单元执行的具体操作为: 根证书服务器进行根证书的自签发得到根证书Root CA,在所述客户端部署并且信任根证书Root CA,使用服务程序启动检测所有端口的IP地址,然后所述服务程序签发所有IP地址对应的IP证书。
所述服务程序属于EdgerOS操作系统中的证书自动签发程序,属于操作系统EdgerOS中的一部分,EdgerOS是应用于物联网领域的操作系统。EdgerOS可以运行在网关、路由器、边缘计算机等设备上,例如:将EdgerOS运行在Spirit 1边缘计算机上,能够发挥其边缘计算的能力,然后接入物联网设备,通过App 可以操控和设置Spirit 1和物联网设备。通常情况下,Spirit 1会部署在局域网内,其作用相当于局域网内的路由器,但它有数据处理和存储等(边缘计算)能力。
本发明中,基于服务程序实现所有IP地址对应的IP证书的自动签发,提高了证书的签发速度,解决了现有技术中需要人工签发耗时且易出错的技术问题,由于服务程序可以动态的重新签发并让web服务器重新加载证书,无需重启服务程序和web服务,web服务自然也就不会中断,所以对于客户端是没有感知的、完全透明的,这是本申请的另一个发明点。
在一个实施例中,根证书Root CA的自签发过程为:根认证机构「CA」(根证书服务器)生成公钥 ca_KeyPub 和私钥 ca_KeyPri,以及基本信息表 ca_Info。ca_Info 中一般包含了「CA」的名称、证书的有效期等信息;根认证机构「CA」对(ca_KeyPub + ca_Info)进行散列运算,得到散列值 ca_Hash;根认证机构「CA」使用其私钥 ca_KeyPri 对 ca_Hash 进行非对称加密,得到加密的散列值 enc_ca_Hash;根认证机构「CA」将(ca_KeyPub + ca_Info + enc_ca_Hash)组合生成自签名的数字证书「ca_Cert」。这张证书称之为根证书RootCA。
优选地,所述服务程序签发所有IP地址对应的IP证书的操作为:使用自签发的根证书Root CA为所述服务程序签发中级CA证书,所述服务程序使用该中级CA证书为所有IP地址签发对应的IP证书。为了防止根证书的泄露,使用Root CA为所述服务程序签发中级CA证书,然后使用该中级CA证书为所有IP地址签发对应的IP证书,确保了根证书的安全,这是本发明的另一个重要发明点。
在一个实施例中,所述重签发单元执行的操作为:当所述服务程序检测到连接至所述web 服务器的设备端口的IP地址变化时,所述服务程序使用该中级CA证书为所述web服务器自动签发对应新IP地址的新IP证书,并所述新IP证书加载到所述web 服务器,并基于所述新IP证书创建新的TLS 安全上下文,并将新的TLS 安全上下文注入web 服务器的TLS 安全上下文列表中,当收到一个连接请求时,根据该请求的IP地址匹配与该IP地址对应的TLS 安全上下文以进行重连接,其中,所述新IP证书的加载对所述客户端是透明的,所述客户端通过内网DNS解析得到所述web 服务器的新IP地址。
本发明中,在服务器因各种原因导致IP地址变化时,当所述服务程序检测该IP地址变化时,立即为所述web 服务器自动签发对应新IP地址的新IP证书并创建新的TLS 安全上下文注入web server 的TLS 安全上下文列表中,此时,如果收到一个连接请求,根据该请求的IP地址匹配该IP地址对应的TLS 安全上下文以进行重连接;原来已连接到该web服务器的客户端通过内网DNS解析得到所述web 服务器的新IP地址,即可以直接访问变更IP地址后的web服务器,即所述新IP证书的加载对所述客户端是透明的,或者,客户端直接通过新IP地址访问Web服务,无需重新信任服务器证书,从而保持网络服务不中断,提高用户体验,这是本发明的重要发明点之另一。
本发明的方法、装置及存储介质可以获得以下技术效果:统一了局域网的自签发CA根证书,解决信任链的“根”问题;引入中级证书,减少根证书的泄露风险;端口IP地址变化自动触发证书的签发和加载;证书加载对客户端透明,即使IP地址变化,客户端可以通过内网DNS解析到新地址,或者直接通过IP地址访问Web服务时,无需重新信任服务器证书,动态注入新的安全上下文,确保了web服务不中断。
此外,在一个实施例中描述了一种基于SSL建立网络连接方法,该方法包括:所述基于SSL建立网络连接的网络设备之间使用上述的局域网内的动态 TLS 认证方法进行认证。SSL(security sockets layer,安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。本发明的认证方法同样适用于所有基于SSL建立的网络连接。以提高网络的安全性。
本发明还提出了一种计算机可读存储介质,所述存储介质上存储有计算机程序代码,当所述计算机程序代码被计算机执行时执行上述之任一的方法。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然, 在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质 中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
最后所应说明的是:以上实施例仅以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。

Claims (11)

1.一种局域网内的动态 TLS 认证方法,其特征在于,该方法包括:
部署步骤,基于统一的自签发根证书Root CA为web服务器签发IP证书;
访问步骤,所述 web 服务器加载对应的IP证书,客户端基于TLS建立网络连接以访问所述web 服务器;
重签发步骤,当检测到连接至所述web 服务器的设备端口的IP地址变化时,服务程序为所述web 服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。
2.根据权利要求1所述的方法,其特征在于,所述部署步骤的具体操作为: 根证书服务器进行根证书的自签发得到根证书Root CA,在所述客户端部署并且信任根证书Root CA,使用服务程序启动检测所有端口的IP地址,然后所述服务程序签发所有IP地址对应的IP证书。
3.根据权利要求2所述的方法,其特征在于,所述服务程序签发所有IP地址对应的IP证书的操作为:使用自签发的根证书Root CA为所述服务程序签发中级CA证书,所述服务程序使用该中级CA证书为所有IP地址签发对应的IP证书。
4.根据权利要求3所述的方法,其特征在于,所述重签发步骤的操作为:当所述服务程序检测到连接至所述web 服务器的设备端口的IP地址变化时,所述服务程序使用该中级CA证书为所述web 服务器自动签发对应新IP地址的新IP证书,并所述新IP证书加载到所述web 服务器,并基于所述新IP证书创建新的TLS 安全上下文,并将新的TLS 安全上下文注入web 服务器的TLS 安全上下文列表中,当收到一个连接请求时,根据该请求的IP地址匹配与该IP地址对应的TLS 安全上下文以进行重连接。
5.根据权利要求4所述的方法,其特征在于,所述新IP证书的加载对所述客户端是透明的,所述客户端通过内网DNS解析得到所述web 服务器的新IP地址。
6.一种局域网内的动态 TLS 认证装置,其特征在于,该装置包括:
部署单元,基于统一的自签发根证书Root CA为web服务器签发IP证书;
访问单元,所述web 服务器加载对应的IP证书,客户端基于TLS建立网络连接以访问所述web 服务器;
重签发单元,当检测到连接至所述web 服务器的设备端口的IP地址变化时,服务程序为所述web 服务器自动签发新的IP证书,重签发时无需服务程序和web服务器重启,从而使web服务不中断。
7.根据权利要求6所述的装置,其特征在于,所述部署单元执行的具体操作为: 根证书服务器进行根证书的自签发得到根证书Root CA,在所述客户端部署并且信任根证书RootCA,使用服务程序启动检测所有端口的IP地址,然后所述服务程序签发所有IP地址对应的IP证书。
8.根据权利要求7所述的装置,其特征在于,所述服务程序签发所有IP地址对应的IP证书的操作为:使用自签发的根证书Root CA为所述服务程序签发中级CA证书,所述服务程序使用该中级CA证书为所有IP地址签发对应的IP证书。
9.根据权利要求8所述的装置,其特征在于,所述重签发单元执行的操作为:当所述服务程序检测到连接至所述web 服务器的设备端口的IP地址变化时,所述服务程序使用该中级CA证书为所述web 服务器自动签发对应新IP地址的新IP证书,并所述新IP证书加载到所述web 服务器,并基于所述新IP证书创建新的TLS 安全上下文,并将新的TLS 安全上下文注入web 服务器的TLS 安全上下文列表中,当收到一个连接请求时,根据该请求的IP地址匹配与该IP地址对应的TLS 安全上下文以进行重连接,其中,所述新IP证书的加载对所述客户端是透明的,所述客户端通过内网DNS解析得到所述web 服务器的新IP地址。
10.一种基于SSL建立网络连接方法,其特征在于,该方法包括:
所述基于SSL建立网络连接的网络设备之间使用权利要求1-5任一项的局域网内的动态 TLS 认证方法进行认证。
11.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序代码,当所述计算机程序代码被计算机执行时执行权利要求1-5之任一的方法。
CN202011523545.2A 2020-12-22 2020-12-22 一种局域网内的动态 tls 认证方法、装置及存储介质 Active CN112261068B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011523545.2A CN112261068B (zh) 2020-12-22 2020-12-22 一种局域网内的动态 tls 认证方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011523545.2A CN112261068B (zh) 2020-12-22 2020-12-22 一种局域网内的动态 tls 认证方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN112261068A true CN112261068A (zh) 2021-01-22
CN112261068B CN112261068B (zh) 2021-03-19

Family

ID=74225869

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011523545.2A Active CN112261068B (zh) 2020-12-22 2020-12-22 一种局域网内的动态 tls 认证方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN112261068B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114745199A (zh) * 2022-05-06 2022-07-12 北京中睿天下信息技术有限公司 一种ssl解密设备上的证书替换方法
WO2023193565A1 (zh) * 2022-04-06 2023-10-12 北京字节跳动网络技术有限公司 网络接入控制方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110239290A1 (en) * 2007-07-16 2011-09-29 International Business Machines Corporation Secure sharing of transport layer security session keys with trusted enforcement points
US20120246466A1 (en) * 2011-03-24 2012-09-27 Alcatel-Lucent Usa Inc. Flexible System And Method To Manage Digital Certificates In A Wireless Network
CN102811225A (zh) * 2012-08-22 2012-12-05 神州数码网络(北京)有限公司 一种ssl中间代理访问web资源的方法及交换机
CN104392405A (zh) * 2014-11-14 2015-03-04 杭州银江智慧医疗集团有限公司 电子病历安全系统
CN105051627A (zh) * 2013-03-21 2015-11-11 西门子公司 自动化设备的数字设备证书的更新

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110239290A1 (en) * 2007-07-16 2011-09-29 International Business Machines Corporation Secure sharing of transport layer security session keys with trusted enforcement points
US20120246466A1 (en) * 2011-03-24 2012-09-27 Alcatel-Lucent Usa Inc. Flexible System And Method To Manage Digital Certificates In A Wireless Network
CN102811225A (zh) * 2012-08-22 2012-12-05 神州数码网络(北京)有限公司 一种ssl中间代理访问web资源的方法及交换机
CN105051627A (zh) * 2013-03-21 2015-11-11 西门子公司 自动化设备的数字设备证书的更新
CN104392405A (zh) * 2014-11-14 2015-03-04 杭州银江智慧医疗集团有限公司 电子病历安全系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023193565A1 (zh) * 2022-04-06 2023-10-12 北京字节跳动网络技术有限公司 网络接入控制方法、装置、设备及存储介质
CN114745199A (zh) * 2022-05-06 2022-07-12 北京中睿天下信息技术有限公司 一种ssl解密设备上的证书替换方法

Also Published As

Publication number Publication date
CN112261068B (zh) 2021-03-19

Similar Documents

Publication Publication Date Title
US10356082B2 (en) Distributing an authentication key to an application installation
US9473419B2 (en) Multi-tenant cloud storage system
US7552468B2 (en) Techniques for dynamically establishing and managing authentication and trust relationships
US9215232B2 (en) Certificate renewal
US20190074982A1 (en) Apparatus and method for managing digital certificates
US9369458B2 (en) Web-centric authentication protocol
EP1986400A1 (en) Transparent secure socket layer
CN112261068B (zh) 一种局域网内的动态 tls 认证方法、装置及存储介质
EP3895043B1 (en) Timestamp-based authentication with redirection
CN114363165B (zh) 一种电子设备的配置方法、电子设备和服务器
CA2489127C (en) Techniques for dynamically establishing and managing authentication and trust relationships
Bhatia et al. Gama: Grid account management architecture
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
WO2022257931A1 (zh) 安全加速服务部署方法、装置、介质及设备
US12041450B2 (en) Computer network-based service for generation and installation of digital certificates of a public key infrastructure seamlessly integrating with multiple mobile device management systems
Cisco Cisco Secure VPN Client - Release Notes for Versions 1.0/1.0a
EP3766221B1 (en) Relying party certificate validation when client uses relying party's ip address
Migeon The MIT Kerberos administrators how-to guide
IES20070726A2 (en) Automated authenticated certificate renewal system
Badenhorst et al. On the zero-trust intranet certification problem
Hicks et al. Troubleshooting
Vazquez et al. FreeIPA AD Integration
Hicks et al. Configure Windows Server for Always On VPN
Hicks et al. Provision Always On VPN Clients
Bialaski et al. Solaris and LDAP naming services: deploying LDAP in the Enterprise

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant