CN113411345A - 一种安全会话的方法和装置 - Google Patents
一种安全会话的方法和装置 Download PDFInfo
- Publication number
- CN113411345A CN113411345A CN202110730273.1A CN202110730273A CN113411345A CN 113411345 A CN113411345 A CN 113411345A CN 202110730273 A CN202110730273 A CN 202110730273A CN 113411345 A CN113411345 A CN 113411345A
- Authority
- CN
- China
- Prior art keywords
- server
- key
- public
- client
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 118
- 238000004422 calculation algorithm Methods 0.000 claims description 44
- 230000004044 response Effects 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 abstract description 24
- 230000009286 beneficial effect Effects 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 9
- 230000008878 coupling Effects 0.000 description 7
- 238000010168 coupling process Methods 0.000 description 7
- 238000005859 coupling reaction Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 230000009466 transformation Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种安全会话的方法,该方法包括:服务器接收来自客户端的获取公钥的请求;服务器向客户端发送公钥,公钥来自所述服务器生成的公私钥对;服务器接收来自客户端的加密密钥,加密密钥是基于公钥对对称密钥加密得到的密钥,对称密钥基于客户端与服务器的会话生成,用于会话中的一个或多个报文的加密与解密;服务器基于公私钥对中的私钥解密加密密钥,得到对称密钥。因此,客户端和服务器在进行会话前,可以先基于一对公私密钥来协商用于会话中对业务数据进行加解密的对称密钥,快捷、轻便且安全,有利于提高数据传输效率,提升用户体验。
Description
技术领域
本申请涉及信息安全领域,并且更具体地,涉及一种安全会话的方法和装置。
背景技术
随着互联网金融的不断发展,金融类线上服务发展迅猛,这些线上金融服务为人们的工作生活带来便利的同时,也对数据传输的安全性和效率提出了更高的要求。因此,在金融服务领域,如何保障数据的安全和高效传输是亟待解决的问题。
现有技术中,通常可以采用由对称加密算法和非对称加密算法组成的混合加密方法实现对数据的传输,虽然一定程度上保证数据的安全传输,但是已有的方法过程比较复杂,每一次的数据传输都需要基于对称密钥和非对称密钥进行加密和解密,不适用于一些需要进行快捷、轻便地进行数据传输的应用场景。例如,在金融服务领域,针对电商平台的数据传输,需要更加快捷、轻便的安全会话方法。
发明内容
本申请实施例提供了一种安全会话的方法,以期在保证会话安全的前提下,提高数据传输的效率。
第一方面,本申请提供了一种安全会话的方法,该方法包括:服务器接收来自客户端的获取公钥的请求;所述服务器向所述客户端发送所述公钥,所述公钥来自所述服务器生成的公私钥对;所述服务器接收来自所述客户端的加密密钥,所述加密密钥是基于所述公钥对对称密钥加密得到的密钥,所述对称密钥基于所述客户端与所述服务器的会话生成,用于所述会话中的一个或多个报文的加密与解密;所述服务器基于所述公私钥对中的私钥解密所述加密密钥,得到所述对称密钥。
基于上述方案,客户端和服务器在进行会话前,可以先基于一对公私密钥来协商用于会话中对业务数据进行加解密的对称密钥。且,该对称密钥可基于会话生成,可用于该会话中业务数据的加解密,而不需要在每一次业务数据传输前在双方之间协商密钥。因此,在数据传输过程中,快捷、轻便且安全,有利于提高数据传输效率,提升用户体验。
可选地,所述方法还包括:所述服务器接收来自所述客户端的加密的业务请求报文,所述业务请求报文用于请求对所述服务器的业务访问;所述服务器获取所述业务请求报文的源互联网协议(internet protocol,IP)地址;所述服务器基于所述源IP地址,进行访问控制;和/或所述服务器基于所述源IP地址,进行流量控制。
可选地,所述服务器基于所述源IP地址,进行访问控制,包括:所述服务器确定所述源IP地址与预设的非法IP地址是否匹配;在所述源IP地址与所述非法IP地址匹配的情况下,所述服务器过滤所述业务报文请求;或在所述源IP地址与所述非法IP地址不匹配的情况下,所述服务器继续对所述业务报文请求进行处理。
可选地,所述服务器基于所述源IP地址,进行流量控制,包括:所述服务器确定来自所述源IP地址的业务访问请求的次数是否超过预设门限;在来自所述源IP地址的业务访问请求的次数超过预设门限的情况下,所述服务器过滤所述业务访问请求;或在来自所述源IP地址的业务访问请求的次数未超过所述预设门限的情况下,所述服务器继续对所述业务访问请求进行处理。
可选地,所述服务器继续对所述业务访问请求进行处理,包括:所述服务器基于所述对称密钥,解密所述业务请求报文;所述服务器基于所述业务请求报文和所述对称密钥,生成加密的业务响应报文,所述业务响应报文是针对所述业务请求报文的响应报文;所述服务器向所述客户端发送所述加密的业务响应报文。
可选地,在所述服务器接收来自客户端的获取公钥的请求之后,所述方法还包括:所述服务器从缓存中获取所述公私钥对;所述服务器在从所述缓存中未获取到所述公私钥对的情况下,响应于来自所述客户端的获取公钥的请求,生成所述公私钥对。
可选地,所述公私钥对保存在所述服务器的缓存中,且所述公私钥对的有效期为预定义值。
可选地,所述对称密钥为基于国密算法SM4生成的密钥,所述公私钥对为基于RSA算法生成的密钥。
第二方面,本申请提供了一种安全会话的方法,该方法包括:客户端向服务器发送获取公钥的请求;所述客户端接收来自所述服务器的所述公钥,所述公钥来自所述服务器生成的公私钥对;所述客户端基于与所述服务器的会话,生成对称密钥,所述对称密钥用于所述会话中的一个或多个报文的加密与解密;所述客户端基于所述公钥,对生成的对称密钥进行加密,得到加密密钥;所述客户端向所述服务器发送所述加密密钥。
可选地,所述方法还包括:所述客户端基于所述对称密钥,对业务请求报文进行加密,得到加密的业务请求报文;所述客户端向所述服务器发送所述加密的业务请求报文;所述客户端基于接收来自所述服务器的加密的业务响应报文,所述业务响应报文是针对所述业务请求报文的响应报文;所述客户端基于所述对称密钥,解密所述业务响应报文,得到所述业务响应报文。
可选地,所述对称密钥为基于国密算法SM4生成的密钥,所述公私钥对为基于RSA算法生成的密钥。
基于上述方案,客户端和服务器在进行会话前,可以先基于一对公私密钥来协商用于会话中对业务数据进行加解密的对称密钥。且,该对称密钥可基于会话生成,可用于该会话中业务数据的加解密,而不需要在每一次业务数据传输前在双方之间协商密钥。因此,在数据传输过程中,快捷、轻便且安全,有利于提高数据传输效率,提升用户体验。
第三方面,提供了一种安全会话的装置,包括用于实现第一方面和第二方面以及第一方面和第二方面任一项中所述的安全会话的方法的模块或单元。应理解,各个模块或单元可通过执行计算机程序来实现相应的功能。
第四方面,提供了一种芯片系统,该芯片系统包括至少一个处理器,用于支持实现上述第一方面和第二方面以及第一方面和第二方面任一种可能实现方式中所涉及的功能,例如,接收或处理上述方法中所涉及的数据和/或信息。
第五方面,提供了一种安全会话的装置,包括处理器,所述处理器用于执行第一方面和第二方面以及第一方面和第二方面任一项中所述安全会话的方法。
所述装置还可以包括存储器,用于存储指令和数据。所述存储器与所述处理器耦合,所述处理器执行所述存储器中存储的指令时,可以实现上述和第二方面以及第一方面和第二方面描述的方法。所述装置还可以包括通信接口,所述通信接口用于该装置与其它设备进行通信,示例性的,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。
第六方面,提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机实现第一方面和第二方面以及第一方面和第二方面任一项中所述的方法。
第七方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机执行第一方面和第二方面以及第一方面和第二方面任一项中所述的方法。
应当理解的是,本申请的第三方面至第七方面与本申请的第一方面和第二方面的技术方案相对应,各方面及对应的可行实施方式所取得的有益效果相似,不再赘述。
附图说明
图1是本申请实施例提供的SM4算法的示意性流程图;
图2是本申请实施例提供的RSA算法的示意性流程图;
图3是适用于本申请实施例提供的安全会话的方法的应用场景的架构示意图;
图4是本申请实施例提供的安全会话的方法的示意性流程图;
图5是本申请实施例提供的另一安全会话的方法的示意性流程图;
图6是本申请实施例提供的对请求进行访问控制的示意性流程图;
图7是本申请实施例提供的对请求进行流量控制的示意性流程图;
图8是本申请实施例提供的安全会话的装置的示意性框图;
图9是本申请实施例提供的安全会话的装置的另一示意性框图;
图10是本申请实施例提供的另一安全会话的装置的示意性框图;
图11是本申请实施例提供的另一安全会话的装置的另一示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
为了便于理解,首先对本申请涉及的一些术语进行解释。
会话(session):计算机专业术语,会话是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。也就是说,一个Session表示一个终端用户与服务器通信的时间间隔,不同的终端用户与服务器对应有不同的会话。
本申请实施例中,一个会话存在于系统的过程中,会对应生成一个对称密钥,可以用于存储在Session对象中。也就是说,每一个客户端与服务器建立连接产生会话后,都会生成一个自己的对称密钥。
对称密钥加密:对称密钥加密又叫专用密钥加密或共享密钥加密,即发送和接收数据的双方必使用相同的密钥对明文进行加密和解密运算。
为了便于理解,本申请实施例示出了一种对称密钥加密算法,即SM4算法。SM4算法全称为SM4分组密码算法,是国家密码管理局2012年3月发布的第23号公告中公布的密码行业标准。SM4算法是一个分组对称密钥算法,明文、密钥、密文都是16字节,加密和解密密钥相同。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密过程与加密过程的结构相似,只是轮密钥的使用顺序相反。
SM4算法将明文和密文均看成4个32比特字,即明文为
密文为
轮密钥为
SM4算法加密变换为:
(Y0,Y1,Y2,Y3)=R(X32,X33,X34,X35)=(X35,X34,X33,X32)。
其中,变换T可以参考现有技术,为了简洁,此处不再赘述。
SM4算法的解密变换与加密变换结构相同,不同的仅是轮密钥的使用顺序。
加密时轮密钥的使用顺序为:(rk0,rk1,…rk31);解密时轮密钥的使用顺序为:(rk31,rk30,…rk0)。
轮密钥由加密密钥生成,其中,加密密钥长度为128比特,可以表示为MK=(MK0,MK1,MK2,MK3),其中
轮密钥的具体生成过程可以参考现有技术,为了简洁,此处不再赘述。
为了便于理解,本申请实施例给出了SM4算法的示意性流程图,如图1所示,对128位加密密钥进行密钥扩展得到轮密钥,轮密钥与128位明文通过轮函数变换得到128位密文,128位密文通过32次迭代得到明文。
采用对称密钥加密方法加密,发送方和接收方必须用安全的方式来获得密钥和保存密钥,必须保证密钥的安全。对称密钥加密的优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。因此,在实际的应用过程中,可以采用对称密钥对实际数据加密,采用其他类型的密钥对对称密钥进行加密,以保证对称密钥的安全。其中,其他类型的密钥例如可以为非对称密钥。
非对称密钥加密算法:非对称加密算法需要两个密钥:公开密钥(简称公钥)和私有密钥(简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
非对称加密算法的算法较复杂,计算速度慢,安全性较高。因此,在实际应用中,可以将非对称密钥加密方法与对称密钥方法结合完成加密过程。采用非对称加密算法对对称密钥加密,保证对称密钥的安全,然后采用对称密钥对数据加密,提高数据加解密的速度。
为了便于理解,本申请实施例示出了一种非对称密钥加密算法RSA算法的示意性流程图。其中,RSA加密算法由Ron Rivest、Adi Shamir和Leonard Adleman三人一起在1977年提出的算法,以三人的名字的首字母命名。
如图2所示,RSA算法包括步骤210至步骤260,下面具体地说明步骤210至步骤260。
在步骤210中,任意选择两个不同的512-4096位的大素数p和q。
应理解,选择这两个大素数为了后面计算加解密密钥。
在步骤220中,计算p和q的乘积n,n=p*q。
在步骤230中,计算n的欧拉函数φ(n)=(p-1)*(q-1)。
在步骤240中,任意选取一个大整数e,用做加密密钥,e需满足gcd(e,φ(n))=1。
其中,gcd为最大公约数(greatest common divisor,gcd)。
在步骤250中,根据(d*e)mod(φ(n))=1求解得到解密密钥d。
其中,mod表示求余数。
在步骤260中,根据C=Me(modn)将明文M加密为密文C,根据M=Cd(modn)将密文C解密为明文M。
由图2可知,RSA算法中p和q的选取,e的选取和d的计算,到加解密的计算,都涉及到大数运算。其中,生成素数的过程较为繁琐,对生成大素数进行素数检测的过程也较为复杂。加解密过程涉及大量模幂运算,模幂运算复杂度高,其中包含除法,一次除法运算由多次减法和乘法组成,所以RSA的计算速度相对较慢,同时在硬件上实现算法时开销较大,但是安全性较对称加密算法高。
应理解,上文概述了RSA算法的内容,RSA算法作为一种非对称加密算法,具有非对称加密算法的计算过程复杂,安全性高,较对称算法效率低的特征。
为便于理解本申请实施例,下面对适用于本申请实施例提供的应用场景的架构做简单说明。图3是适用于本申请实施例提供的安全会话的方法的应用场景的架构示意图。如图3所示,该架构300可以包括:服务器310和客户端320。该服务器310和客户端320之间可以相互进行通信。服务器310可用于实现加解密、业务处理、流量控制、访问控制等功能。在本申请实施例中,服务器310可用于对访问请求进行访问控制和流量控制,生成公私钥对,并对来自客户端的加密密钥进行解密,采用对称密钥对报文加解密,以及根据报文进行业务逻辑处理。客户端320可用于加解密和显示等功能,在本申请实施例中,客户端可用于生成对称密钥,以及采用公钥对对称密钥加密,使用对称密钥解密响应报文,并展示响应报文。
应理解,图3所示的架构仅为一种示例,不应对本申请构成任何限定。例如,在另一些可能的设计中,服务器310和客户端320可以是一体的,本申请对此不作限定。
下文为便于理解和说明,以服务器310和客户端320进行交互的过程来描述该实施例。可以看做是将包含服务器和客户端的一个系统作为执行主体,但这不应对本申请构成任何限定。只要能够通过运行记录有本申请实施例提供的方法的代码或程序,执行本申请实施例提供的方法,便可以作为该方法的执行主体。
应理解,客户端与服务器处于会话状态时,为了数据的安全性,需要采用加密方法对数据加密,也即需要对报文进行加密,如前所述,由于对称密钥具有加/解密速度快,适用于对较大的数据量进行加密,因此,可以采用对称密钥对具体的数据例如报文加密,为了保证对称密钥的安全以确保传输的报文数据的安全,可以采用非对称加密算法对对称密钥进行加密。
一种可能的实现方式为:在客户端与服务器建立连接形成一个会话后,在客户端向服务器发送请求数据时,采用一个对称密钥对请求数据加密,在服务器接收到来自客户端的请求数据并对其进行处理得到响应数据,向客户端发送响应数据时,采用另一个对称密钥对响应数据加密。因此,整个会话过程中客户端和服务器分别需要一个对称密钥对数据加解密以及一对公私钥对对对称密钥加解密。
为了便于理解,图4示出了该一种可能的实现方法400的示意性流程图,该方法400包括步骤401至步骤414,步骤401至步骤404示出了客户端与服务器相互交换公钥的过程,步骤405至步骤407示出了客户端采用对端公钥加密本地对称密钥以及采用本地对称密钥加密业务请求报文的过程,步骤408和步骤409示出了服务器采用本地私钥解密对端对称密钥,以及采用对端对称密钥解密业务请求报文的过程,步骤410至步骤412示出了服务器采用对端公钥加密本地对称密钥以及采用本地对称密钥加密业务响应报文的过程,步骤413至步骤414示出了客户端解密得到业务响应报文的过程,下面展开说明各步骤。
在步骤401中,客户端生成第一公私钥对。
其中,第一公私钥对中包括第一公钥和第一私钥。
在步骤402中,客户端将第一公钥发送至服务器。
在步骤403中,服务器生成第二公私钥对。
其中,第二公私钥对中包括第二公钥和第二私钥。
在步骤404中,服务器将第二公钥发送至服务器。
在步骤405中,客户端生成第一对称密钥。
在步骤406中,客户端使用来自服务器的第二公钥加密第一对称密钥得到第一对称密钥密文,使用第一对称密钥加密业务请求报文。
在步骤407中,客户端将加密后的业务请求报文和第一对称密钥密文发送至服务器。
在步骤408中,服务器使用第二私钥解密第一对称密钥密文获取第一对称密钥。
在步骤409中,服务器使用第一对称密钥解密业务请求报文并进行后续业务处理。
在步骤410中,服务器生成第二对称密钥。
在步骤411中,服务器使用第一公钥加密第二对称密钥得到第二对称密钥密文,使用第二对称密钥加密业务响应报文。
在步骤412中,服务器将加密后的业务响应报文和第二对称密钥密文发送至客户端。
在步骤413中,客户端使用第一私钥解密第二对称密钥密文获取第二对称密钥。
在步骤414中,客户端使用第二对称密钥解密响应报文。
基于上述步骤,在一个会话过程中,服务器和客户端分别生成一对公私钥对和一个对称密钥,并采用来自对端的公钥对本地生成的对称密钥加密,采用本地生成的对称密钥对本地的业务数据加密发送至对端,对端采用私钥解密得到来自对端的对称密钥,并利用来自对端的对称密钥完成对业务数据的解密,虽然该方法能够保证整个会话过程的数据的安全性,但是涉及的加解密过程较多,不能满足当前有些场景的快捷,轻便的要求。
基于此,本申请提供一种安全会话的方法,在保证会话过程中,数据安全传输的前提下,提高了数据传输的效率。
下面将结合附图对本申请实施例提供的安全会话的方法做详细说明。图5是适用于本申请实施例提供的安全会话的方法500的示意性流程图。该方法500包括步骤501至步骤513,步骤501至步骤503主要为客户端和服务器共享得到公私钥对的过程,步骤504至步骤507为客户端和服务器共享得到对称密钥的过程,步骤508至步骤513为客户端和服务器之间进行业务数据传输的具体过程。主要为下面详细的介绍步骤501至步骤513。
在步骤501中,客户端向服务器发送获取公钥的请求。
该步骤对应的服务器端的操作为服务器接收来自客户端的获取公钥的请求。
在服务器接收到客户端获取公钥的请求后,服务器可以从缓存中获取公私钥对。一种可能的情况为:服务器的缓存中存在一对公私钥对,则服务器可以直接从缓存中获取得到该公私钥对,进一步地,可以直接执行步骤503。另一种可能的情况为:服务器的缓存中如果不存在一对公私钥对,可选地,该方法500还可以包括步骤502。
在步骤502中,服务器响应于来自客户端的获取公钥的请求,生成公私钥对。
一种可能的实现方式为:基于预设好的非对称加密算法生成一对公私钥对,生成的公私钥对可以保存在服务器的缓存中,且公私钥对的有效期为预定义值。其中,公私钥对例如可以为RSA2048公私钥对,服务器的缓存例如可以为远程字典服务器(remotedictionary server,Redis),预定义的公私钥对的有效期例如可以为24小时。
应理解,设置公私钥对的有效期主要是为了保证会话过程中数据的安全性,若公私钥对长时间不变,会增加私钥被公开的风险,从而导致对称密钥也被公开的风险,从而使传输的业务数据被暴露的风险增加。因此,将公私钥对的有限期设置为一定的时长,有利于保证会话过程中数据的安全性。
在步骤503中,服务器向客户端发送公钥。其中,该公钥来自服务器生成的公私钥对。
在步骤504中,客户端基于与服务器的会话,生成对称密钥。
其中,对称密钥用于对会话中的一个或多个报文的加密与解密,对称密钥例如可以为基于国密算法SM4算法生成的密钥。
在步骤505中,客户端使用公钥对对称密钥加密,得到加密密钥。
在步骤506中,客户端向服务器发送加密密钥。
在步骤507中,服务器基于公私钥对中的私钥解密上述加密密钥,得到对称密钥。
在步骤508中,客户端向服务器发送加密的业务请求报文。
对应该步骤,在服务器的操作为服务器接收到来自客户端的加密的业务请求报文。
其中,业务请求报文用于请求对服务器的业务访问。
可选地,该方法500还可以包括步骤509和步骤510。
在步骤509中,服务器获取业务请求报文的源IP地址。
在步骤510中,服务器基于源IP地址,进行访问控制,和/或,进行流量控制。
具体地,服务器基于源IP地址,进行访问控制的过程具体如下:服务器确定当前业务请求报文的源IP地址与预设的非法IP地址是否匹配,在当前业务请求报文的源IP地址与非法IP地址匹配的情况下,服务器过滤该业务报文请求;或在当前业务请求报文的源IP地址与非法IP地址不匹配的情况下,服务器继续对当前业务请求进行处理。具体流程可参考图6。
其中,对当前业务请求进行处理的过程,具体可参考下文步骤511至步骤513,此处先不做详述。
服务器基于当前业务请求报文的源IP地址,进行流量控制的过程具体如下:首先,服务器确定来自当前业务请求报文的源IP地址的业务访问请求的次数是否超过预设门限,其中,源IP地址的业务访问请求的次数可以通过读取Redis中记录的该IP发起的访问请求次数值获取。其次,在来自当前业务请求报文的源IP地址的业务访问请求的次数超过预设门限的情况下,服务器过滤该业务访问请求;或在来自当前业务请求报文的源IP地址的业务访问请求的次数未超过所述预设门限的情况下,服务器可以在Redis中记录当前IP访问请求次数,继续对当前业务访问请求进行处理。具体流程可参考图7。
具体地,对当前业务访问请求进行处理的过程包括步骤511至步骤513,下面将详细介绍步骤511至步骤513。
在步骤511中,服务器基于对称密钥,解密业务请求报文。
在步骤512中,服务器基于所述业务请求报文和对称密钥,生成加密的业务响应报文。
其中,业务响应报文是针对业务请求报文的响应报文。
在步骤513中,服务器向客户端发送加密的业务响应报文。
基于上述方案,客户端和服务器在进行会话前,可以先基于一对公私密钥来协商用于会话中对业务数据进行加解密的对称密钥。而无需各自生成一对公私密钥和对称密钥,进而将各自生成的对称密钥用对方的公钥加密后再传给对端。且,该对称密钥可基于会话生成,可用于该会话中业务数据的加解密,而不需要在每一次业务数据传输前先双方之间协商密钥。因此,在数据传输过程中,快捷、轻便且安全,有利于提高数据传输效率,提升用户体验。
此外,服务器在接收到来自客户端的加密的业务请求报文后,可以对业务请求报文源IP地址进行访问控制,和/或,进行流量控制,到对非法和恶意访问请求进行拦截,从而进一步增加会话的安全性和快捷性和轻便性。
图8是本申请实施例提供的安全会话的装置的示意性框图。如图8所示,该装置800可以包括:加解密模块810、业务处理模块820、访问控制模块830和流量控制模块840。其中,加解密模块810可用于接收来自客户端的获取公钥的请求;向所述客户端发送所述公钥,所述公钥来自装置800生成的公私钥对;接收来自所述客户端的加密密钥,所述加密密钥是基于所述公钥对对称密钥加密得到的密钥,所述对称密钥基于所述客户端与装置800的会话生成,用于所述会话中的一个或多个报文的加密与解密;基于所述公私钥对中的私钥解密所述加密密钥,得到所述对称密钥。
可选地,业务处理模块820可用于接收来自所述客户端的加密的业务请求报文,所述业务请求报文用于请求对装置800的业务访问;访问控制模块830可用于获取所述业务请求报文的源互联网协议IP地址;基于所述源IP地址,进行访问控制;流量控制模块840可用于基于所述源IP地址,进行流量控制。
可选地,访问控制模块830还可用于确定所述源IP地址与预设的非法IP地址是否匹配;在所述源IP地址与所述非法IP地址匹配的情况下,过滤所述业务报文请求;或在所述源IP地址与所述非法IP地址不匹配的情况下,使加解密模块810继续对所述业务报文请求进行处理。
可选地,流量控制模块840还可用于确定来自所述源IP地址的业务访问请求的次数是否超过预设门限;在来自所述源IP地址的业务访问请求的次数超过预设门限的情况下,过滤所述业务访问请求;或在来自所述源IP地址的业务访问请求的次数未超过所述预设门限的情况下,使加解密模块810继续对所述业务访问请求进行处理。
可选地,加解密模块810还可用于基于所述对称密钥,解密所述业务请求报文;基于所述业务请求报文和所述对称密钥,生成加密的业务响应报文,所述业务响应报文是针对所述业务请求报文的响应报文;向所述客户端发送所述加密的业务响应报文。
可选地,加解密模块810还可用于从缓存中获取所述公私钥对;在从所述缓存中未获取到所述公私钥对的情况下,响应于来自所述客户端的获取公钥的请求,生成所述公私钥对。
图9是本申请实施例提供的安全会话的装置的另一示意性框图。该装置可用于实现上述方法中安全会话的装置的功能。其中,该装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
如图9所示,该装置900可以包括至少一个处理器910,用于实现本申请实施例提供的方法中安全会话的装置的功能。示例性地,处理器910可用于接收来自客户端的获取公钥的请求;向所述客户端发送所述公钥,所述公钥来自装置900生成的公私钥对;接收来自所述客户端的加密密钥,所述加密密钥是基于所述公钥对对称密钥加密得到的密钥,所述对称密钥基于所述客户端与装置900的会话生成,用于所述会话中的一个或多个报文的加密与解密;基于所述公私钥对中的私钥解密所述加密密钥,得到所述对称密钥。
该装置900还可以包括至少一个存储器920,用于存储程序指令和/或数据。存储器920和处理器910耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器910可能和存储器920协同操作。处理器910可能执行存储器920中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。
该装置900还可以包括通信接口930,用于通过传输介质和其它设备进行通信,从而用于装置900中的装置可以和其它设备进行通信。示例性地,所述通信接口930例如可以是收发器、接口、总线、电路或者能够实现收发功能的装置。处理器910可利用通信接口930收发数据和/或信息,并用于实现图4至图7任一实施例中所述的安全会话的装置所执行的方法。
本申请实施例中不限定上述处理器910、存储器920以及通信接口930之间的具体连接介质。本申请实施例在图9中以处理器910、存储器920以及通信接口930之间通过总线940连接。总线940在图9中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图10是本申请实施例提供的另一安全会话的装置的示意性框图。如图10所示,该装置1000可以包括:收发模块1010和加解密模块1020。其中,收发模块1010可用于向服务器发送获取公钥的请求;接收来自所述服务器的所述公钥,所述公钥来自所述服务器生成的公私钥对;加解密模块1020可用于基于与所述服务器的会话,生成对称密钥,所述对称密钥用于所述会话中的一个或多个报文的加密与解密;基于所述公钥,对生成的对称密钥进行加密,得到加密密钥;收发模块1010还可用于向所述服务器发送所述加密密钥。
可选地,加解密模块1020还可用于基于所述对称密钥,对业务请求报文进行加密,得到加密的业务请求报文;收发模块1010还可用于向所述服务器发送所述加密的业务请求报文;接收来自所述服务器的加密的业务响应报文,所述业务响应报文是针对所述业务请求报文的响应报文;加解密模块1020还可用于基于所述对称密钥,解密所述业务响应报文,得到所述业务响应报文。
图11是本申请实施例提供的另一安全会话的装置的另一示意性框图。该装置可用于实现上述方法中安全会话的装置的功能。其中,该装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
如图11所示,该装置1100可以包括至少一个处理器1110,用于实现本申请实施例提供的方法中安全会话的装置的功能。示例性地,处理器1110可用于向服务器发送获取公钥的请求;接收来自所述服务器的所述公钥,所述公钥来自所述服务器生成的公私钥对;基于与所述服务器的会话,生成对称密钥,所述对称密钥用于所述会话中的一个或多个报文的加密与解密;基于所述公钥,对生成的对称密钥进行加密,得到加密密钥;向所述服务器发送所述加密密钥。
该装置1100还可以包括至少一个存储器1120,用于存储程序指令和/或数据。存储器1120和处理器1110耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器1110可能和存储器1120协同操作。处理器1110可能执行存储器1120中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。
该装置1100还可以包括通信接口1130,用于通过传输介质和其它设备进行通信,从而用于装置1100中的装置可以和其它设备进行通信。示例性地,所述通信接口1130例如可以是收发器、接口、总线、电路或者能够实现收发功能的装置。处理器1110可利用通信接口1130收发数据和/或信息,并用于实现图4至图7任一实施例中所述的安全会话的装置所执行的方法。
本申请实施例中不限定上述处理器1110、存储器1120以及通信接口1130之间的具体连接介质。本申请实施例在图10中以处理器1110、存储器1120以及通信接口1130之间通过总线1140连接。总线1140在图11中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
应理解,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
本申请还提供一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机执行图4至图7任一实施例中客户端执行的方法或服务器执行的方法。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序(也可以称为代码,或指令)。当所述计算机程序被运行时,使得计算机执行图4至图7任一实施例中客户端执行的方法或服务器执行的方法。
应理解,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本说明书中使用的术语“单元”、“模块”等,可用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step),能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。在本申请所提供的几个实施例中,应该理解到,所揭露的装置、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,各功能单元的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令(程序)。在计算机上加载和执行所述计算机程序指令(程序)时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种安全会话的方法,其特征在于,包括:
服务器接收来自客户端的获取公钥的请求;
所述服务器向所述客户端发送所述公钥,所述公钥来自所述服务器生成的公私钥对;
所述服务器接收来自所述客户端的加密密钥,所述加密密钥是基于所述公钥对对称密钥加密得到的密钥,所述对称密钥基于所述客户端与所述服务器的会话生成,用于所述会话中的一个或多个报文的加密与解密;
所述服务器基于所述公私钥对中的私钥解密所述加密密钥,得到所述对称密钥。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器接收来自所述客户端的加密的业务请求报文,所述业务请求报文用于请求对所述服务器的业务访问;
所述服务器获取所述业务请求报文的源互联网协议IP地址;
所述服务器基于所述源IP地址,进行访问控制;和/或
所述服务器基于所述源IP地址,进行流量控制。
3.如权利要求2所述的方法,其特征在于,所述服务器基于所述源IP地址,进行访问控制,包括:
所述服务器确定所述源IP地址与预设的非法IP地址是否匹配;
在所述源IP地址与所述非法IP地址匹配的情况下,所述服务器过滤所述业务报文请求;或
在所述源IP地址与所述非法IP地址不匹配的情况下,所述服务器继续对所述业务报文请求进行处理。
4.如权利要求2所述的方法,其特征在于,所述服务器基于所述源IP地址,进行流量控制,包括:
所述服务器确定来自所述源IP地址的业务访问请求的次数是否超过预设门限;
在来自所述源IP地址的业务访问请求的次数超过预设门限的情况下,所述服务器过滤所述业务访问请求;或
在来自所述源IP地址的业务访问请求的次数未超过所述预设门限的情况下,所述服务器继续对所述业务访问请求进行处理。
5.如权利要求3或4所述的方法,其特征在于,所述服务器继续对所述业务访问请求进行处理,包括:
所述服务器基于所述对称密钥,解密所述业务请求报文;
所述服务器基于所述业务请求报文和所述对称密钥,生成加密的业务响应报文,所述业务响应报文是针对所述业务请求报文的响应报文;
所述服务器向所述客户端发送所述加密的业务响应报文。
6.如权利要求1所述的方法,其特征在于,在所述服务器接收来自客户端的获取公钥的请求之后,所述方法还包括:
所述服务器从缓存中获取所述公私钥对;
所述服务器在从所述缓存中未获取到所述公私钥对的情况下,响应于来自所述客户端的获取公钥的请求,生成所述公私钥对。
7.如权利要求6所述的方法,其特征在于,所述公私钥对保存在所述服务器的缓存中,且所述公私钥对的有效期为预定义值。
8.如权利要求1所述的方法,其特征在于,所述对称密钥为基于国密算法SM4生成的密钥,所述公私钥对为基于RSA算法生成的密钥。
9.一种安全会话的方法,其特征在于,包括:
客户端向服务器发送获取公钥的请求;
所述客户端接收来自所述服务器的所述公钥,所述公钥来自所述服务器生成的公私钥对;
所述客户端基于与所述服务器的会话,生成对称密钥,所述对称密钥用于所述会话中的一个或多个报文的加密与解密;
所述客户端基于所述公钥,对生成的对称密钥进行加密,得到加密密钥;
所述客户端向所述服务器发送所述加密密钥。
10.如权利要求9所述的方法,其特征在于,所述方法还包括:
所述客户端基于所述对称密钥,对业务请求报文进行加密,得到加密的业务请求报文;
所述客户端向所述服务器发送所述加密的业务请求报文;
所述客户端接收来自所述服务器的加密的业务响应报文,所述业务响应报文是针对所述业务请求报文的响应报文;
所述客户端基于所述对称密钥,解密所述业务响应报文,得到所述业务响应报文。
11.如权利要求9或10所述的方法,其特征在于,所述对称密钥为基于国密算法SM4生成的密钥,所述公私钥对为基于RSA算法生成的密钥。
12.一种安全会话的装置,其特征在于,包括用于实现如权利要求1至11中任一项所述的方法的模块。
13.一种安全会话的装置,其特征在于,包括处理器和存储器;其中,
所述存储器,用于存储程序代码;
所述处理器,用于调用所述存储器中所存储的程序代码,执行权利要求1至11中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得所述计算机执行权利要求1至11中任一项所述的方法。
15.一种计算机程序产品,其特征在于,包括计算机程序,当计算机运行所述计算机程序时,使得所述计算机执行如权利要求1至11中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110730273.1A CN113411345B (zh) | 2021-06-29 | 2021-06-29 | 一种安全会话的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110730273.1A CN113411345B (zh) | 2021-06-29 | 2021-06-29 | 一种安全会话的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113411345A true CN113411345A (zh) | 2021-09-17 |
| CN113411345B CN113411345B (zh) | 2023-10-10 |
Family
ID=77680220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110730273.1A Active CN113411345B (zh) | 2021-06-29 | 2021-06-29 | 一种安全会话的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411345B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114050932A (zh) * | 2021-11-10 | 2022-02-15 | 安徽健坤通信股份有限公司 | 分布式系统的网络安全验证方法和系统 |
| CN114172719A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 一种加解密方法、装置、设备及计算机可读存储介质 |
| CN114338114A (zh) * | 2021-12-21 | 2022-04-12 | 中国农业银行股份有限公司 | 一种入侵检测方法、装置、设备及存储介质 |
| CN114389803A (zh) * | 2021-12-24 | 2022-04-22 | 奇安信科技集团股份有限公司 | Spa密钥分发方法及装置 |
| CN114499836A (zh) * | 2021-12-29 | 2022-05-13 | 北京像素软件科技股份有限公司 | 一种密钥管理方法、装置、计算机设备及可读存储介质 |
| CN115021992A (zh) * | 2022-05-27 | 2022-09-06 | 中国银行股份有限公司 | 基于区块链的手机银行基金数据处理方法及装置 |
| CN115459910A (zh) * | 2022-09-02 | 2022-12-09 | 海尔优家智能科技(北京)有限公司 | 数据加密方法、装置及存储介质 |
| WO2024060630A1 (zh) * | 2022-09-20 | 2024-03-28 | 京东科技信息技术有限公司 | 数据传输管理的方法、数据处理的方法和装置 |
| WO2024164883A1 (zh) * | 2023-02-07 | 2024-08-15 | 华为技术有限公司 | 媒体流传输方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
| CN103746993A (zh) * | 2014-01-07 | 2014-04-23 | 南京大学 | 客户控制解密私钥且服务器实施加解密云存储数据加密法 |
| CN107026727A (zh) * | 2016-02-02 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| CN108173644A (zh) * | 2017-12-04 | 2018-06-15 | 珠海格力电器股份有限公司 | 数据传输加密方法、装置、存储介质、设备及服务器 |
| CN111988299A (zh) * | 2020-08-14 | 2020-11-24 | 杭州视洞科技有限公司 | 一种客户端和服务器可信链接的建立方式 |
| US20210144004A1 (en) * | 2019-11-11 | 2021-05-13 | International Business Machines Corporation | Forward secrecy in Transport Layer Security (TLS) using ephemeral keys |
| CN112822015A (zh) * | 2020-12-30 | 2021-05-18 | 中国农业银行股份有限公司 | 信息传输方法及相关装置 |
-
2021
- 2021-06-29 CN CN202110730273.1A patent/CN113411345B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
| CN103746993A (zh) * | 2014-01-07 | 2014-04-23 | 南京大学 | 客户控制解密私钥且服务器实施加解密云存储数据加密法 |
| CN107026727A (zh) * | 2016-02-02 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| CN110176987A (zh) * | 2016-02-02 | 2019-08-27 | 阿里巴巴集团控股有限公司 | 一种设备认证的方法、装置、设备和计算机存储介质 |
| CN108173644A (zh) * | 2017-12-04 | 2018-06-15 | 珠海格力电器股份有限公司 | 数据传输加密方法、装置、存储介质、设备及服务器 |
| US20210144004A1 (en) * | 2019-11-11 | 2021-05-13 | International Business Machines Corporation | Forward secrecy in Transport Layer Security (TLS) using ephemeral keys |
| CN111988299A (zh) * | 2020-08-14 | 2020-11-24 | 杭州视洞科技有限公司 | 一种客户端和服务器可信链接的建立方式 |
| CN112822015A (zh) * | 2020-12-30 | 2021-05-18 | 中国农业银行股份有限公司 | 信息传输方法及相关装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114050932A (zh) * | 2021-11-10 | 2022-02-15 | 安徽健坤通信股份有限公司 | 分布式系统的网络安全验证方法和系统 |
| CN114172719A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 一种加解密方法、装置、设备及计算机可读存储介质 |
| CN114338114A (zh) * | 2021-12-21 | 2022-04-12 | 中国农业银行股份有限公司 | 一种入侵检测方法、装置、设备及存储介质 |
| CN114389803A (zh) * | 2021-12-24 | 2022-04-22 | 奇安信科技集团股份有限公司 | Spa密钥分发方法及装置 |
| CN114389803B (zh) * | 2021-12-24 | 2024-08-20 | 奇安信科技集团股份有限公司 | Spa密钥分发方法及装置 |
| CN114499836A (zh) * | 2021-12-29 | 2022-05-13 | 北京像素软件科技股份有限公司 | 一种密钥管理方法、装置、计算机设备及可读存储介质 |
| CN115021992A (zh) * | 2022-05-27 | 2022-09-06 | 中国银行股份有限公司 | 基于区块链的手机银行基金数据处理方法及装置 |
| CN115459910A (zh) * | 2022-09-02 | 2022-12-09 | 海尔优家智能科技(北京)有限公司 | 数据加密方法、装置及存储介质 |
| WO2024060630A1 (zh) * | 2022-09-20 | 2024-03-28 | 京东科技信息技术有限公司 | 数据传输管理的方法、数据处理的方法和装置 |
| WO2024164883A1 (zh) * | 2023-02-07 | 2024-08-15 | 华为技术有限公司 | 媒体流传输方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113411345B (zh) | 2023-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113411345B (zh) | 一种安全会话的方法和装置 | |
| US10785019B2 (en) | Data transmission method and apparatus | |
| Kapoor et al. | Elliptic curve cryptography | |
| Orman | The OAKLEY key determination protocol | |
| CN109756329B (zh) | 基于私钥池的抗量子计算共享密钥协商方法和系统 | |
| US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
| USRE40530E1 (en) | Public key cryptographic apparatus and method | |
| KR100833828B1 (ko) | 중매인의 사기 가능성을 감소시키면서 익명의 사용자를인증하는 방법 | |
| US20130156188A1 (en) | Proxy-based encryption method, proxy-based decryption method, network equipment, network device and system | |
| CN111294203B (zh) | 信息传输方法 | |
| JP6556955B2 (ja) | 通信端末、サーバ装置、プログラム | |
| CN111555880B (zh) | 数据碰撞方法、装置、存储介质及电子设备 | |
| JP6294882B2 (ja) | 鍵保管装置、鍵保管方法、及びそのプログラム | |
| Saeed et al. | Improved cloud storage security of using three layers cryptography algorithms | |
| Panda et al. | A modified PKM environment for the security enhancement of IEEE 802.16 e | |
| CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
| CN109361506B (zh) | 信息处理方法 | |
| JP5513255B2 (ja) | 代理署名システム、方法 | |
| Chavan et al. | Secure CRM cloud service using RC5 algorithm | |
| Orman | RFC2412: The OAKLEY Key Determination Protocol | |
| CN109905232B (zh) | 一种签解密方法、系统、设备及计算机可读存储介质 | |
| CN107483387A (zh) | 一种安全控制方法及装置 | |
| KR100401063B1 (ko) | 패스워드 기반 키교환 방법 및 그 시스템 | |
| JPH07118709B2 (ja) | 秘密情報通信方式 | |
| CN117294514B (zh) | 一种数据传输加密与解密方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |