CN112637128B - 一种数据中心主机的身份互信方法及系统 - Google Patents

一种数据中心主机的身份互信方法及系统 Download PDF

Info

Publication number
CN112637128B
CN112637128B CN202011333135.1A CN202011333135A CN112637128B CN 112637128 B CN112637128 B CN 112637128B CN 202011333135 A CN202011333135 A CN 202011333135A CN 112637128 B CN112637128 B CN 112637128B
Authority
CN
China
Prior art keywords
host
trusted
key
management system
character string
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011333135.1A
Other languages
English (en)
Other versions
CN112637128A (zh
Inventor
向上文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan XW Bank Co Ltd
Original Assignee
Sichuan XW Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan XW Bank Co Ltd filed Critical Sichuan XW Bank Co Ltd
Priority to CN202011333135.1A priority Critical patent/CN112637128B/zh
Publication of CN112637128A publication Critical patent/CN112637128A/zh
Application granted granted Critical
Publication of CN112637128B publication Critical patent/CN112637128B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据中心主机的身份互信方法及系统,涉及网络安全技术领域,解决了现有技术中存在的非信任设备通过身份伪冒接入内网,以及冒充通信对端合法服务器窃取机密数据的问题;本发明包括:主机接入中心网时,通过对称加密技术、非对称加密技术和动态口令相结合,对主机的硬件信息进行采集和主机真实身份的注册;主机之间进行系统验证时,通过数字签名和时间戳对主机身份进行验证。本发明用于主机身份互信。

Description

一种数据中心主机的身份互信方法及系统
技术领域
本发明涉及网络安全技术领域,具体涉及一种数据中心主机的身份互信方法及系统。
背景技术
数据中心是全球协作的特定设备网络,用来在因特网络基础设施上传递、加速、展示、计算、存储数据信息。它不仅仅包括计算机系统和其它与之配套的设备(例如通信和存储系统),还包含冗余的数据通信连接、环境控制设备、监控设备以及各种安全装置。数据中心大部分电子元件都是由低直流电源驱动运行的。
数据中心内的物理服务器和虚拟主机是重要的IT基础设施,是在线服务赖以存在的物理基础。随着互联网的发展和业务规模的快速增加,数据中心内主机新增或扩容的频率越来越快、主机通信对象的范围越来越大、主机间交互的数据越来越多。若没有恰当的身份验证机制,可能存在非信任设备接入内网,进行自动注册和接入过程中进行身份伪冒,以及冒充通信对端的合法服务器窃取机密数据的风险。
发明内容
针对现有技术中存在非信任设备接入内网,进行自动注册和接入过程中进行身份伪冒,以及冒充通信对端的合法服务器窃取机密数据的问题,本发明提供一种数据中心主机的身份互信方法,其目的在于:解决非信任设备通过身份伪冒接入内网,以及冒充通信对端合法服务器窃取机密数据的问题。
本发明采用的技术方案如下:
一种数据中心主机的身份互信系统,包括:可信主机管理系统和可信节点代理程序,所述可信主机管理系统包括:
节点管理模块:存储和管理可信节点代理程序采集的宿主机信息以及可信主机管理系统生成的其他关联信息,包括:IP地址、MAC地址、操作系统内核版本和时间戳;
时间同步模块:搭载或外接NTP模块,使可信节点代理程序与可信主机管理系统完成时间同步;
第一密钥生成模块:基于当前时间生成动态口令作为临时对称密钥;
密钥存储模块:存储基于时间的临时对称密钥或可信节点代理程序提交的非对称密钥对中的公钥;
传输模块:与可信节点代理程序完成字符串和加密信息的传输;
第一密钥运算模块:使用存储的密钥对可信节点代理程序提交的字符串进行解密验证,存储的密钥包括临时对称密钥和非对称密钥对中的公钥;
处理模块:可信主机管理系统对可信节点代理程序提交的加密信息进行解密验证,若主机第一次接入且判定为可信,则由可信主机管理系统生成一个唯一的UID作为主机身份标识,并将所述身份标识下发至对应的可信节点代理程序;
UI模块:实现与操作人员交互的UI页面。
本发明通过设置后台可信主机管理系统,避免非信任设备接入内网,进行自动注册和接入过程中进行身份伪冒。
进一步的,还包括可信节点代理程序,所述可信节点代理程序具体包括:
信息处理模块:获取各个环节所需主机Z的信息,包括:时间戳和唯一身份标识UID,并根据获取的信息生成字符串;
第二密钥生成模块:为主机Z生成非对称密钥对,包括公钥PUB-Z和私钥KEY-Z;
第二密钥运算模块:使用私钥KEY-Z对信息处理模块生成的字符串进行加密运算;
节点间通信模块:主机与其他主机上的可信节点代理程序进行通信;
时间同步模块:搭载或外接NTP模块,使本地主机与本地主机内的可信主机管理系统实现时间同步;
UI模块:提供命令行或简单的交互UI,供部署人员查看信息和输入身份标识。
本发明主机Z不表示一个特定的主机,而是某一个主机的代称。通过设置终端可信节点代理程序,避免非信任设备冒充通信对端的合法服务器窃取机密数据的危机。
应用于上述系统的一种数据中心主机的身份互信方法,包括注册阶段:
步骤A:主机完成操作系统和必需组件安装后,初始化可信节点代理程序,通过物理网线或虚拟信道接入数据中心网络;
可信节点代理程序初始化完成后,在本地主机生成一对非对称密钥对,包括私钥和公钥,可信节点代理程序采集的宿主机信息以及可信主机管理系统生成的其他关联信息,包括:IP地址、MAC地址、操作系统内核版本和时间戳,可信节点代理程序将采集的设备信息组合生成设备信息文件,然后使用私钥对设备信息文件进行加密,得到字符串;
步骤B:可信节点代理程序连接可信主机管理系统,基于NTP协议完成时间同步;
步骤C:可信节点代理程序生成基于当前时间的动态口令,并将动态口令作为临时对称密钥对设备信息文件和字符串进行对称加密,得到加密信息;
步骤D:可信节点代理程序将加密信息提交给可信主机管理系统;
步骤E:可信主机管理系统对加密信息进行解密验证,判断接入主机是否可信,若接入主机可信则为主机分配一个唯一的UID作为长期的身份标识。
进一步的,还包括主机之间通过可信节点代理程序进行验证阶段:
步骤F:主机X与主机Y之间新建立通信会话时,首先主机X通过可信节点代理程序获取主机X的时间戳和唯一身份标识UID并组合生成字符串M-X,主机X使用本地私钥KEY-X对字符串M-X进行加密,得到字符串CRYPTOM-X;
步骤G:主机X将字符串M-X和字符串CRYPTOM-X发送给主机Y以进行身份验证;
步骤H:主机Y收到主机X的通信请求,通过主机Y的可信节点代理程序生成具有相同格式的字符串M-Y、字符串CRYPTOM-Y并发送给主机X;
步骤I:主机X与主机Y通过可信主机管理系统进行判断主机间的连接是否验证可信。
本发明主机X与主机Y不代表一个特定的主机,是某一个主机的代称。通过数字签名和时间戳实现主机之间的身份验证,保证了数据中心内通信对端的身份可信。
进一步的,步骤E具体包括:
E1:可信主机管理系统首先生成基于时间的动态口令作为对称密钥,并尝试对加密信息进行解密,若解密成功则得到设备信息文件、字符串,并进行下一步,解密失败则判定接入主机不可信,主机接入流程中断;
E2:可信主机管理系统提取设备信息文件中的公钥,再使用公钥对字符串进行解密。若解密成功、若解密成功、解密字符串得到的设备信息文件与解密加密信息得到的设备信息文件对比一致,则判定接入主机可信,否则判定接入主机不可信,主机接入流程中断;
E3:若判定接入主机可信,可信主机管理系统提取和存储设备信息文件中的各字段,同时为主机分配一个唯一的UID作为长期的身份标识,并将所述身份标识下发至可信节点代理程序。
进一步的,所述步骤I包括:
步骤I1:主机X解密字符串M-Y,提取时间戳,主机Y解密字符串M-X,提取时间戳,将时间戳分别与本地接收时间进行差值计算。若差值符合数据中心内的平均网络传输延时范围,主机X将接收到的明文报文M-Y和加密报文CRYPTOM-Y提交给可信主机管理系统、主机Y将接收到的明文报文M-X和加密报文CRYPTOM-X提交给可信主机管理系统,若解密失败或提交失败则重置连接;
步骤I2:可信主机管理系统提取明文M-Y和明文M-X中的UID,查询后台数据库中对应的公钥PUB-X与PUB-Y;
步骤I3:可信主机管理系统分别使用公钥PUB-X和PUB-Y解密加密报文CRYPTOM-X和CRYPTOM-Y,再与明文报文进行对比验证。验证相同则通知主机X和主机Y双方验证通过,验证不同则通知主机X、主机Y重置与对端的连接。
进一步的,所述动态口令基于时间同步,每30秒更新一次,动态口令长度为32位。
综上所述,由于采用了上述技术方案,本发明的有益效果是:提供了一种主机接入和注册机制,使主机间通信前能够充分验证对端的身份,避免了主机自动注册和接入过程中可能发生的身份伪冒风险,并且保证了数据中心内网通信对端的身份可信。
本发明提供了一种可行的主机接入和注册机制,使主机间通信前能够充分验证对端的身份。以下结合实施例的具体实施方式,对本发明的上述内容再作进一步的详细说明。但不应将此理解为本发明上述主题的范围仅限于以下的实例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本发明的范围内。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明主机接入中心网的流程示意图;
图2是本发明主机之间验证阶段的流程示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
下面结合图1、图2对本发明作详细说明。
本发明提供了一种基于多种认证机制和加密算法的身份互信方法:首先结合动态口令与非对称密钥实现数据中心主机的可信接入和真实身份注册,避免了主机自动注册和接入过程中可能发生的身份伪冒风险,解决了“主机X是主机X”的问题;再通过数字签名和时间戳实现主机身份校验,保证了数据中心内网通信对端的身份可信,解决了“与主机X通信的是主机Y而非Z”的问题。本发明还提供了一种实现上述方法的系统,下文中称为“可信主机管理系统”。如图所示,本发明一种数据中心主机的身份互信方法,包括:
1.主机接入中心网时与可信主机管理系统的对接步骤为:
步骤A:主机(以下称为DEV1)在部署完成后,安装可信节点代理程序,通过物理网线或虚拟信道接入数据中心网络;
步骤B:初始化可信节点代理程序,初始化完成后,在本地生成一对非对称密钥(私钥记为KEY、公钥记为PUB),同时采集IP地址、MAC地址、操作系统内核版本、时间戳等设备信息,并将上述信息组合为设备信息文件INFO,示例格式如:
Figure GDA0003656314990000041
Figure GDA0003656314990000051
步骤C:可信节点代理程序使用私钥KEY对设备信息文件INFO进行加密计算,得到字符串SIGNINFO;
步骤D:可信节点代理程序连接可信主机管理系统,基于NTP协议完成时间同步,可信主机管理系统同步可信节点代理程序的时间;
步骤E:可信节点代理程序生成基于时间的动态口令作为临时对称密钥TK,并使用动态口令TK对设备信息文件INFO和字符串SIGNINFO组合的字符串进行对称加密,得到加密信息CRYPTINFO:
Figure GDA0003656314990000052
步骤F:可信节点代理程序将加密信息CRYPTINFO提交给可信主机管理系统;
步骤G:可信主机管理系统首先生成基于时间的动态口令TK’并尝试解密加密信息CRYPTINFO。若解密成功则得到设备信息文件INFO和字符串SIGNINFO,并进行下一步,解密失败则判定接入主机不可信,主机接入流程中断;
步骤H:可信主机管理系统提取设备信息文件INFO中的公钥PUB,再使用公钥PUB对字符串SIGNINFO进行解密。若解密成功、解密字符串SIGNINFO得到的设备信息文件INFO与解密加密信息CRYPTINFO得到的设备信息文件INFO对比一致,则判定接入主机可信,解密不成功或不一致则判定接入主机不可信,主机接入流程中断;
步骤I:若判定接入主机可信,可信主机管理系统提取和存储设备信息文件INFO中的各字段,同时为主机DEV1分配一个唯一的UID作为长期的身份标识,并将其下发至可信节点代理程序。
2.主机之间通过可信节点代理程序进行系统验证时的身份验证步骤为:
步骤a:主机10.0.0.1(以下称为DEV1)向主机10.0.0.2(以下称为DEV2)新建立通信会话时,首先由可信节点代理程序获取本地时间戳和唯一身份标识UID,组合为字符串M1;
Figure GDA0003656314990000061
步骤b:主机DEV1使用本地私钥KEY1对字符串M1进行加密,得到字符串CRYPTOM1;
步骤c:主机DEV1将字符串M1和字符串CRYPTOM1发送给主机DEV2以进行身份验证;
Figure GDA0003656314990000062
步骤d:主机DEV2收到主机DEV1的通信请求,提取明文M1中的时间戳,与本地接收到上述报文的时间进行差值计算。若差值不显著高于数据中心内的平均网络传输延时,主机DEV2将接收到的明文报文M1和加密报文CRYPTOM1提交给可信主机管理系统,同时通过可信节点代理程序生成相同格式的字符串M2、字符串CRYPTOM2并发送给主机DEV1。若未成功发送则重置连接;
步骤e:主机DEV1提取明文M2中的时间戳,与本地接收到上述报文的时间进行差值计算。若差值不显著高于数据中心内的平均网络传输延时,主机DEV1将接收到的明文报文M2和加密报文CRYPTOM2提交给可信主机管理系统,否则重置连接;
步骤f:可信主机管理系统提取明文M2、明文M1中的UID,查询后台数据库中对应主机DEV1、主机DEV2的公钥PUB;
步骤g:可信主机管理系统使用公钥PUB解密对应的加密报文CRYPTOM,解密后再与明文报文进行对比验证。若验证相同则通知主机DEV1和主机DEV2双方验证通过,验证不同则通知主机DEV1、主机DEV2重置与对端的连接。
以上所述实施例仅表达了本申请的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请技术方案构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。

Claims (7)

1.一种数据中心主机的身份互信系统,其特征在于,包括:可信主机管理系统和可信节点代理程序,所述可信主机管理系统包括:
节点管理模块:存储和管理可信节点代理程序采集的宿主机信息以及可信主机管理系统生成的其他关联信息,包括:IP地址、MAC地址、操作系统内核版本和时间戳;
时间同步模块:搭载或外接NTP模块,使可信节点代理程序与可信主机管理系统完成时间同步;
第一密钥生成模块:基于当前时间生成动态口令作为临时对称密钥;
密钥存储模块:存储基于时间的临时对称密钥或可信节点代理程序提交的非对称密钥对中的公钥;
传输模块:与可信节点代理程序完成信息的传输,包括字符串和加密信息的传输;
第一密钥运算模块:使用存储的密钥对可信节点代理程序提交的字符串进行解密验证,存储的密钥包括临时对称密钥和非对称密钥对中的公钥;
处理模块:可信主机管理系统对可信节点代理程序提交的加密信息进行解密验证,若主机第一次接入且判定为可信,则由可信主机管理系统生成一个唯一的UID作为主机身份标识,并将所述身份标识发送至对应的可信节点代理程序;
其中,对加密信息进行解密验证包括:初始化可信节点代理程序,初始化完成后,在本地生成一对非对称密钥,包括私钥KEY和公钥PUB,同时采集设备信息,并将上述信息组合为设备信息文件INFO;可信节点代理程序使用私钥KEY对设备信息文件INFO进行加密计算,得到字符串SIGNINFO;可信节点代理程序连接可信主机管理系统,基于NTP协议完成时间同步,可信主机管理系统同步可信节点代理程序的时间;可信节点代理程序生成基于时间的动态口令作为临时对称密钥TK,并使用动态口令TK对设备信息文件INFO和字符串SIGNINFO组合的字符串进行对称加密,得到加密信息CRYPTINFO;可信主机管理系统首先生成基于时间的动态口令TK并尝试解密加密信息CRYPTINFO;若解密成功则得到设备信息文件INFO和字符串SIGNINFO,并进行下一步,解密失败则判定接入主机不可信,主机接入流程中断;可信主机管理系统提供设备信息文件INFO中的公钥PUB,再使用公钥PUB对字符串SIGNINFO进行解密,若解密成功、解密字符串SIGNINFO得到设备信息文件INFO与解密加密信息CRYPTINFO得到的设备信息文件INFO对比一致,则判定接入主机可信,解密不成功或不一致则判定接入主机不可信,主机接入流程中断;
UI模块:实现与操作人员交互的UI页面。
2.根据权利要求1所述的一种数据中心主机的身份互信系统,其特征在于,所述可信节点代理程序具体包括:
信息处理模块:获取各个环节所需主机Z的信息,包括:时间戳和唯一身份标识UID,并根据获取的信息生成字符串;
第二密钥生成模块:为主机Z生成非对称密钥对,包括公钥PUB-Z和私钥KEY-Z;
第二密钥运算模块:使用私钥KEY-Z对信息处理模块生成的字符串进行加密运算;
节点间通信模块:主机Z与其他主机上的可信节点代理程序进行通信;
时间同步模块:搭载或外接NTP模块,使主机Z与主机Z内的可信主机管理系统实现时间同步;
UI模块:提供命令行或简单的交互UI,供部署人员查看信息和输入身份标识。
3.一种数据中心主机的身份互信方法,其特征在于,采用权利要求2所述一种数据中心主机的身份互信系统,包括以下步骤:
步骤A:可信节点代理程序初始化完成后,在本地主机生成一对非对称密钥对,包括私钥和公钥,可信节点代理程序采集的宿主机信息以及可信主机管理系统生成的其他关联信息,包括:IP地址、MAC地址、操作系统内核版本和时间戳,可信节点代理程序将采集的设备信息组合生成设备信息文件,然后使用私钥对设备信息文件进行加密,得到字符串;
步骤B:可信节点代理程序连接可信主机管理系统,基于NTP协议完成时间同步;
步骤C:可信节点代理程序基于当前时间生成动态口令,并将动态口令作为临时对称密钥对设备信息文件和字符串进行对称加密,得到加密信息;
步骤D:可信节点代理程序将加密信息提交给可信主机管理系统;
步骤E:可信主机管理系统对可信节点代理程序提交的加密信息进行解密验证,若主机第一次接入且判定为可信,则由可信主机管理系统生成一个唯一的UID作为主机身份标识,并将所述身份标识发送至对应的可信节点代理程序。
4.根据权利要求3所述的一种数据中心主机的身份互信方法,其特征在于,还包括:
所述主机Z不表示一个特定的主机,而是某一个主机的代称,主机X与主机Y属于主机Z表示的主机;
步骤F:主机X与主机Y之间新建立通信会话时,首先主机X通过可信节点代理程序获取主机X的时间戳和唯一身份标识UID并组合生成字符串M-X,主机X使用本地私钥KEY-X对字符串M-X进行加密,得到字符串CRYPTOM-X;
步骤G:主机X将字符串M-X和字符串CRYPTOM-X发送给主机Y以进行身份验证;
步骤H:主机Y收到主机X的通信请求,通过主机Y的可信节点代理程序生成具有相同格式的字符串M-Y、字符串CRYPTOM-Y并发送给主机X;
步骤I:主机X与主机Y通过可信主机管理系统进行判断主机间的连接是否验证可信。
5.根据权利要求3所述的一种数据中心主机的身份互信方法,其特征在于:步骤E具体包括:
E1:可信主机管理系统首先生成基于时间的动态口令作为对称密钥,并尝试对加密信息进行解密,若解密成功则得到设备信息文件、字符串,并进行下一步,解密失败则判定接入主机不可信,主机接入流程中断;
E2:可信主机管理系统提取设备信息文件中的公钥,再使用公钥对字符串进行解密;若解密成功、若解密成功、解密字符串得到的设备信息文件与解密加密信息得到的设备信息文件对比一致,则判定接入主机可信,否则判定接入主机不可信,主机接入流程中断;
E3:若判定接入主机可信,可信主机管理系统提取和存储设备信息文件中的各字段,同时为主机分配一个唯一的UID作为长期的身份标识,并将所述身份标识下发至可信节点代理程序。
6.根据权利要求4所述的一种数据中心主机的身份互信方法,其特征在于:所述步骤I包括:
步骤I1:主机X解密字符串M-Y,提取时间戳,主机Y解密字符串M-X,提取时间戳,将时间戳分别与本地接收时间进行差值计算;若差值符合数据中心内的平均网络传输延时范围,主机X将接收到的明文报文M-Y和加密报文CRYPTOM-Y提交给可信主机管理系统、主机Y将接收到的明文报文M-X和加密报文CRYPTOM-X提交给可信主机管理系统,若解密失败或提交失败则重置连接;
步骤I2:可信主机管理系统提取明文M-Y和明文M-X中的UID,查询后台数据库中对应的公钥PUB-X与PUB-Y;
步骤I3:可信主机管理系统分别使用公钥PUB-X和PUB-Y解密加密报文CRYPTOM-X和CRYPTOM-Y,再与明文报文进行对比验证;验证相同则通知主机X和主机Y双方验证通过,验证不同则通知主机X、主机Y重置与对端的连接。
7.根据权利要求3所述的一种数据中心主机的身份互信方法,其特征在于:所述动态口令基于时间同步,每30秒更新一次,动态口令长度为32位。
CN202011333135.1A 2020-11-25 2020-11-25 一种数据中心主机的身份互信方法及系统 Active CN112637128B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011333135.1A CN112637128B (zh) 2020-11-25 2020-11-25 一种数据中心主机的身份互信方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011333135.1A CN112637128B (zh) 2020-11-25 2020-11-25 一种数据中心主机的身份互信方法及系统

Publications (2)

Publication Number Publication Date
CN112637128A CN112637128A (zh) 2021-04-09
CN112637128B true CN112637128B (zh) 2022-07-08

Family

ID=75303828

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011333135.1A Active CN112637128B (zh) 2020-11-25 2020-11-25 一种数据中心主机的身份互信方法及系统

Country Status (1)

Country Link
CN (1) CN112637128B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116331266A (zh) * 2023-05-29 2023-06-27 无锡车联天下信息技术有限公司 一种基于域控制器的自动驾驶系统及方法

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101969438A (zh) * 2010-10-25 2011-02-09 胡祥义 一种物联网的设备认证、数据完整和保密传输实现方法
CN102223347A (zh) * 2010-04-13 2011-10-19 中兴通讯股份有限公司 下一代网络中多接入认证方法及系统
CN103079200A (zh) * 2011-10-26 2013-05-01 国民技术股份有限公司 一种无线接入的认证方法、系统及无线路由器
WO2013116928A1 (en) * 2012-02-10 2013-08-15 Connect In Private Corp. Method and system for a certificate-less authentication encryption (clae)
CN103354498A (zh) * 2013-05-31 2013-10-16 北京鹏宇成软件技术有限公司 一种基于身份的文件加密传输方法
EP2916509A1 (en) * 2014-03-03 2015-09-09 Keypasco AB Network authentication method for secure user identity verification
CN105337741A (zh) * 2015-10-14 2016-02-17 四川省宁潮科技有限公司 基于非对称算法的信任设备自主注册方法
CN106656499A (zh) * 2015-07-15 2017-05-10 同方股份有限公司 一种数字版权保护系统中终端设备可信认证方法及其系统
CN109936547A (zh) * 2017-12-18 2019-06-25 阿里巴巴集团控股有限公司 身份认证方法、系统及计算设备
CN110430220A (zh) * 2019-08-28 2019-11-08 四川省东宇信息技术有限责任公司 一种输变电设备安全接入方法及系统
CN111770092A (zh) * 2020-06-29 2020-10-13 华中科技大学 一种数控系统网络安全架构和安全通信方法及系统
CN111988779A (zh) * 2020-07-13 2020-11-24 北京工业大学 基于可信连接架构的无线传感器网络节点接入认证方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9497293B2 (en) * 2011-09-16 2016-11-15 Google Inc. Mechanism for pairing user's secondary client device with a data center interacting with the users primary client device using QR codes
CN104283812B (zh) * 2013-07-08 2017-10-31 中国电信股份有限公司 一种标识用户接入带宽的方法和系统
CN104796265B (zh) * 2015-05-06 2017-12-01 厦门大学 一种基于蓝牙通信接入的物联网身份认证方法
CN111435913B (zh) * 2019-01-14 2022-04-08 海信集团有限公司 一种物联网终端的身份认证方法、装置和存储介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102223347A (zh) * 2010-04-13 2011-10-19 中兴通讯股份有限公司 下一代网络中多接入认证方法及系统
CN101969438A (zh) * 2010-10-25 2011-02-09 胡祥义 一种物联网的设备认证、数据完整和保密传输实现方法
CN103079200A (zh) * 2011-10-26 2013-05-01 国民技术股份有限公司 一种无线接入的认证方法、系统及无线路由器
WO2013116928A1 (en) * 2012-02-10 2013-08-15 Connect In Private Corp. Method and system for a certificate-less authentication encryption (clae)
CN103354498A (zh) * 2013-05-31 2013-10-16 北京鹏宇成软件技术有限公司 一种基于身份的文件加密传输方法
EP2916509A1 (en) * 2014-03-03 2015-09-09 Keypasco AB Network authentication method for secure user identity verification
CN106656499A (zh) * 2015-07-15 2017-05-10 同方股份有限公司 一种数字版权保护系统中终端设备可信认证方法及其系统
CN105337741A (zh) * 2015-10-14 2016-02-17 四川省宁潮科技有限公司 基于非对称算法的信任设备自主注册方法
CN109936547A (zh) * 2017-12-18 2019-06-25 阿里巴巴集团控股有限公司 身份认证方法、系统及计算设备
CN110430220A (zh) * 2019-08-28 2019-11-08 四川省东宇信息技术有限责任公司 一种输变电设备安全接入方法及系统
CN111770092A (zh) * 2020-06-29 2020-10-13 华中科技大学 一种数控系统网络安全架构和安全通信方法及系统
CN111988779A (zh) * 2020-07-13 2020-11-24 北京工业大学 基于可信连接架构的无线传感器网络节点接入认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Demand Response Service Certification and Customer Baseline Evaluation Using Blockchain Technology;Sciume G et al.;《IEEE Access》;20200810;全文 *
内容中心网络安全技术研究综述;朱大立 等;《信息安全学报》;20200901;全文 *

Also Published As

Publication number Publication date
CN112637128A (zh) 2021-04-09

Similar Documents

Publication Publication Date Title
CN110537346B (zh) 安全去中心化域名系统
CN111416807B (zh) 数据获取方法、装置及存储介质
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US7366900B2 (en) Platform-neutral system and method for providing secure remote operations over an insecure computer network
CN111314056B (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
JP2020080530A (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
WO2000042730A1 (en) Seamless integration of application programs with security key infrastructure
CN113746632B (zh) 一种物联网系统多级身份认证方法
CN111800467B (zh) 远程同步通信方法、数据交互方法、设备及可读存储介质
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
US7363486B2 (en) Method and system for authentication through a communications pipe
JP2001186122A (ja) 認証システム及び認証方法
CN111740824B (zh) 可信应用管理方法及装置
US20110010544A1 (en) Process distribution system, authentication server, distribution server, and process distribution method
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
US11803631B2 (en) Binding a hardware security token to a host device to prevent exploitation by other host devices
CN112637128B (zh) 一种数据中心主机的身份互信方法及系统
US8914640B2 (en) System for exchanging data between at least one sender and one receiver
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
US20240163267A1 (en) Data transmission method, internet of things system, electronic device, and storage medium
CN113965425A (zh) 物联网设备的接入方法、装置、设备及计算机可读存储介质
WO2020009129A1 (ja) 認証情報の設定を仲介するための装置及び方法
CN114500081B (zh) 基于区块链的配电物联网的数据传输方法
CN111404884B (zh) 安全通信方法、客户机及非公开服务器
CN116506104B (zh) 基于跨链区块链的不同部门信息安全交互的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant