CN113810391A - 一种跨机房通信双向认证和加密方法 - Google Patents
一种跨机房通信双向认证和加密方法 Download PDFInfo
- Publication number
- CN113810391A CN113810391A CN202111015233.5A CN202111015233A CN113810391A CN 113810391 A CN113810391 A CN 113810391A CN 202111015233 A CN202111015233 A CN 202111015233A CN 113810391 A CN113810391 A CN 113810391A
- Authority
- CN
- China
- Prior art keywords
- machine room
- uchannel
- certificate
- authentication
- room
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种跨机房通信双向认证和加密方法,包括以下步骤;步骤1.准备工作需要签发的根证书,公钥和私钥;步骤2.利用根证书签发机房A的证书,公钥和私钥;步骤3.利用根证书签发机房B的证书,公钥和私钥;步骤4.配置机房A的UChannel读取根证书,机房A的证书和机房A的私钥;步骤5.配置机房B的UChannel读取根证书,机房B的证书和机房B的私钥;步骤6.启动机房A的UChannel和机房B的UChannel。本发明支持自研的加密算法CLT,不损失安全性的前提下,提升了传输的性能跨机房通信在双向认证保证的前提下,CLT在效率和安全性上可以做一个权衡,CLT支持更高的效率加密同时保证数据是安全的。
Description
技术领域
本发明涉及跨机房通信技术领域,具体为一种跨机房通信双向认证和加密方法。
背景技术
跨机房通信双向认证和加密是用来解决互联网传输上面的安全性问题,启动双向认证的方式保证接入者的合法性,启动加密方式是防止传输过程中数据被截获并分析出数据内容。
随着微服务化架构的普及,服务之间大部分完成解耦的操作,为了更好的服务用户和设备减少网络的开销采用就近服务的原则来部署平台架构,因此产生多机房的交互场景,机房内交互基于内网因此安全性问题不突出,一旦涉及跨机房通信那么安全性是必须要考虑的问题。
双向认证,客户端和服务器端都需要验证对方的身份,在建立连接的过程中握手的流程比单向认证多了几步,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。
加密,客户端和服务器建立起安全通信通道之后,利用这个通道对传输的数据进行加密后传输,保证在互联网传输过程中即使被截获也无法分析出数据内容,在这种情况下,在双向认证和加密的保证下跨机房通信才能更加的安全和可靠。
发明内容
本发明的目的在于提供一种跨机房通信双向认证和加密方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种跨机房通信双向认证和加密方法,包括以下步骤;
步骤1. 准备工作需要签发的根证书,公钥和私钥;
步骤2. 利用根证书签发机房A的证书,公钥和私钥;
步骤3. 利用根证书签发机房B的证书,公钥和私钥;
步骤4. 配置机房A的UChannel读取根证书,机房A的证书和机房A的私钥;
步骤5. 配置机房B的UChannel读取根证书,机房B的证书和机房B的私钥;
步骤6. 启动机房A的UChannel和机房B的UChannel;
步骤7. 机房A内的服务调用机房B的服务时,数据会传递到机房A的UChannel,机房A的UChannel实现了自定义对称加密和双向认证过程会连接上机房B的UChannel完成认证,将加密后的数据传递到机房B的UChannel,机房B的UChannel传递给真实的服务并完成请求返回,同理机房B的服务调用机房A的服务。
优选的,步骤7中,含有身份认证阶段,包括阅读设备与标签设备,所述阅读设备和标签设备必须都对对方身份进行签名认证,在验证完成之后才能进行密钥交换过程以产生会话密钥进行通信。
优选的,所述加密采用CLT算法,加密过程中,对数据添加时间戳;该时间戳可用于认证时间的判断,设置认证时间阈值,若系统时间戳超过认证时间阈值,则认证时间超限。
本发明提出的一种跨机房通信双向认证和加密方法,有益效果在于:
1、本发明在实际运用中跨机房通信的发起者是随机的,因此设计的双向认证方式必须是支持互为客户端和服务端的方式,目前利用的技巧是根证书能够验证所有签发的子证书的方式,因此每个机房的UChannel通信模块保存3个文件,本机房的私钥,本机房签发的证书和根证书即可;
2、本发明支持自定义的算法,增加算法的扩展,私有算法的加入可以增加破解的难度
3、本发明支持自研的加密算法CLT,不损失安全性的前提下,提升了传输的性能跨机房通信在双向认证保证的前提下,CLT在效率和安全性上可以做一个权衡,CLT支持更高的效率加密同时保证数据是安全的。
附图说明
图1为本发明的双向认证的交互图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1、请参阅图1,本发明提供一种技术方案:一种跨机房通信双向认证和加密方法,包括以下步骤;
步骤1. 准备工作需要签发的根证书,公钥和私钥;
步骤2. 利用根证书签发机房A的证书,公钥和私钥;
步骤3. 利用根证书签发机房B的证书,公钥和私钥;
步骤4. 配置机房A的UChannel读取根证书,机房A的证书和机房A的私钥;
步骤5. 配置机房B的UChannel读取根证书,机房B的证书和机房B的私钥;
步骤6. 启动机房A的UChannel和机房B的UChannel;
步骤7. 机房A内的服务调用机房B的服务时,数据会传递到机房A的UChannel,机房A的UChannel实现了自定义对称加密和双向认证过程会连接上机房B的UChannel完成认证,将加密后的数据传递到机房B的UChannel,机房B的UChannel传递给真实的服务并完成请求返回,同理机房B的服务调用机房A的服务;
含有身份认证阶段,包括阅读设备与标签设备,所述阅读设备和标签设备必须都对对方身份进行签名认证,在验证完成之后才能进行密钥交换过程以产生会话密钥进行通信;
加密采用CLT算法,加密过程中,对数据添加时间戳;该时间戳可用于认证时间的判断,设置认证时间阈值,若系统时间戳超过认证时间阈值,则认证时间超限。
实施例:(1).首先发起TCP连接完成三次握手;
(2).作为服务端的机房B会返回包含机房B公钥的证书文件;
(3).机房A收到机房B返回的公钥证书,首先利用本地的根证书验证这个证书的有效性,然后解出机房B的公钥,把包含机房A公钥的证书发送给机房B;
(4).发送完成之后同时发送机房A支持的加密类型;
(5).机房B收到机房A返回的公钥证书和支持的加密方式列表,首先利用本地的根证书验证这个证书的有效性,然后解出机房A的公钥,利用机房A的公钥加密选择的一种加密类型返回给机房A;
(6).机房A收到回复之后使用自己的私钥解密返回的内容,获取到最终使用的加密方式,验证这个加密方式是有效的并且是在自己发送的列表当中,随后产生随机码,使用机房B的公钥进行加密发送给机房B;
(7).机房B收到机房A最终的包含随机码的包,使用自己的私钥解密,获取到最终交互对称加密时候的随机码秘钥。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (3)
1.一种跨机房通信双向认证和加密方法,其特征在于:包括以下步骤;
步骤1. 准备工作需要签发的根证书,公钥和私钥;
步骤2. 利用根证书签发机房A的证书,公钥和私钥;
步骤3. 利用根证书签发机房B的证书,公钥和私钥;
步骤4. 配置机房A的UChannel读取根证书,机房A的证书和机房A的私钥;
步骤5. 配置机房B的UChannel读取根证书,机房B的证书和机房B的私钥;
步骤6. 启动机房A的UChannel和机房B的UChannel;
步骤7. 机房A内的服务调用机房B的服务时,数据会传递到机房A的UChannel,机房A的UChannel实现了自定义对称加密和双向认证过程会连接上机房B的UChannel完成认证,将加密后的数据传递到机房B的UChannel,机房B的UChannel传递给真实的服务并完成请求返回,同理机房B的服务调用机房A的服务。
2.根据权利要求1所述的一种跨机房通信双向认证和加密方法,其特征在于:步骤7中,含有身份认证阶段,包括阅读设备与标签设备,所述阅读设备和标签设备必须都对对方身份进行签名认证,在验证完成之后才能进行密钥交换过程以产生会话密钥进行通信。
3.根据权利要求1所述的一种跨机房通信双向认证和加密方法,其特征在于:所述加密采用CLT算法,加密过程中,对数据添加时间戳;该时间戳可用于认证时间的判断,设置认证时间阈值,若系统时间戳超过认证时间阈值,则认证时间超限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111015233.5A CN113810391A (zh) | 2021-09-01 | 2021-09-01 | 一种跨机房通信双向认证和加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111015233.5A CN113810391A (zh) | 2021-09-01 | 2021-09-01 | 一种跨机房通信双向认证和加密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113810391A true CN113810391A (zh) | 2021-12-17 |
Family
ID=78894448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111015233.5A Pending CN113810391A (zh) | 2021-09-01 | 2021-09-01 | 一种跨机房通信双向认证和加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810391A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060095771A1 (en) * | 2004-11-02 | 2006-05-04 | Guido Appenzeller | Security device for cryptographic communications |
| CN103701609A (zh) * | 2013-03-15 | 2014-04-02 | 福建联迪商用设备有限公司 | 一种服务器与操作终端双向认证的方法及系统 |
| CN105516119A (zh) * | 2015-12-03 | 2016-04-20 | 西北师范大学 | 基于代理重签名的跨域身份认证方法 |
| CN107248075A (zh) * | 2017-05-19 | 2017-10-13 | 飞天诚信科技股份有限公司 | 一种实现智能密钥设备双向认证和交易的方法及装置 |
-
2021
- 2021-09-01 CN CN202111015233.5A patent/CN113810391A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060095771A1 (en) * | 2004-11-02 | 2006-05-04 | Guido Appenzeller | Security device for cryptographic communications |
| CN103701609A (zh) * | 2013-03-15 | 2014-04-02 | 福建联迪商用设备有限公司 | 一种服务器与操作终端双向认证的方法及系统 |
| CN105516119A (zh) * | 2015-12-03 | 2016-04-20 | 西北师范大学 | 基于代理重签名的跨域身份认证方法 |
| CN107248075A (zh) * | 2017-05-19 | 2017-10-13 | 飞天诚信科技股份有限公司 | 一种实现智能密钥设备双向认证和交易的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
| CN107277061B (zh) | 基于iot设备的端云安全通信方法 | |
| CN112073379B (zh) | 一种基于边缘计算的轻量级物联网安全密钥协商方法 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN104506534B (zh) | 安全通信密钥协商交互方案 | |
| CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| FI115098B (fi) | Todentaminen dataviestinnässä | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| WO2019079356A1 (en) | AUTHENTICATION TOKEN WITH CUSTOMER KEY | |
| CN113612605B (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| CN103391197A (zh) | 一种基于手机令牌和NFC技术的Web身份认证方法 | |
| CN101247407A (zh) | 网络认证服务系统和方法 | |
| CN106453431B (zh) | 基于pki实现互联网系统间认证的方法 | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN103906052A (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| CN110519304A (zh) | 基于tee的https双向认证方法 | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| CN113595985A (zh) | 一种基于国密算法安全芯片的物联网安全云平台实现方法 | |
| CN114390524B (zh) | 一键登录业务的实现方法和装置 | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| CN113722726B (zh) | 基于软硬件协同的加解密方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |