CN113873027A - 一种通信方法及相关装置 - Google Patents
一种通信方法及相关装置 Download PDFInfo
- Publication number
- CN113873027A CN113873027A CN202111122954.6A CN202111122954A CN113873027A CN 113873027 A CN113873027 A CN 113873027A CN 202111122954 A CN202111122954 A CN 202111122954A CN 113873027 A CN113873027 A CN 113873027A
- Authority
- CN
- China
- Prior art keywords
- certificate
- data transmission
- database server
- transmission channel
- initial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 61
- 238000004891 communication Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000005540 biological transmission Effects 0.000 claims abstract description 147
- 238000012545 processing Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 11
- 238000001914 filtration Methods 0.000 claims description 8
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 30
- 230000008569 process Effects 0.000 description 9
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种通信方法,包括:数据库管理平台通过初始证书与数据库服务器建立数据传输通道;基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书;根据所述签名证书与所述数据库服务器建立新的数据传输通道,并基于所述新的数据传输通道进行数据传输。通过先采用初始证书建立数据传输通道,然后基于该数据传输通道进行证书重置,以便建立新的数据传输通道,最后采用该新的数据传输通道进行数据传输,既降低了安全传输的成本又保持了数据传输的安全性,避免出现安全问题,降低安全传输门槛和成本。本申请还公开了一种通信装置、服务器以及计算机可读存储介质,具有以上有益效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种通信方法、通信装置、服务器以及计算机可读存储介质。
背景技术
随着信息技术的不断发展,为了更好的实现数据库管理,可以在云计算平台上实现数据库管理的操作。其中,DMP(Data Management Platform,数据管理平台)是基于云计算平台的数据库管理平台,可以实现云上数据库服务器的创建与管理,具有自动化运维、自动备份和恢复、自动监控告警等优点。该管理平台将分散的多方数据进行整合纳入统一的技术平台,常见的,可以使用数据库管理平台(DMP)创建很多(RDS,Relational DatabaseService,关系型数据库服务)数据库服务器实例,可以实现云上数据库服务器的创建与管理,具有自动化运维、自动备份和恢复、自动监控告警等优点。
相关技术中,DMP与RDS需要通信时,DMP发送命令,RDS接收并执行命令,DMP接收返回结果。如果通信的数据包被截获,然后恶意构造数据包发给RDS,那么就会造成命令注入,从而导致RDS被黑客控制,进而窃取和破坏RDS上数据。为了解决私有云平台的DMP与RDS的通信安全,局域网内搭建额外的服务器来模拟实际CA信任链的工作过程。但是,实现过程复杂,需要浪费额外的服务器资源,造成成本攀升。
因此,如何降低DMP与RDS之间安全通信的成本是本领域技术人员关注的重点问题。
发明内容
本申请的目的是提供一种通信方法、通信装置、服务器以及计算机可读存储介质,以降低通信过程的成本。
为解决上述技术问题,本申请提供一种通信方法,包括:
数据库管理平台通过初始证书与数据库服务器建立数据传输通道;
基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书;
根据所述签名证书与所述数据库服务器建立新的数据传输通道,并基于所述新的数据传输通道进行数据传输。
可选地,数据库管理平台通过初始证书与数据库服务器建立数据传输通道,包括:
所述数据库管理平台以虚拟机实例的方式创建所述数据库服务器,以便所述数据库服务器确定所述初始证书的客户端证书;
基于所述初始证书与所述数据库服务器建立所述数据传输通道。
可选地,所述数据库管理平台以虚拟机实例的方式创建所述数据库服务器,以便所述数据库服务器确定所述初始证书的客户端证书,包括:
所述数据库管理平台根据预设镜像创建所述数据库服务器的虚拟机实例,以便所述数据库服务器获取到所述初始证书的客户端证书;其中,所述预设镜像预置有所述初始证书的客户端证书。
可选地,基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书,包括:
通过签名生成工具生成所述签名证书;
基于所述数据传输通道将所述签名证书的客户端证书发送至所述数据库服务器。
可选地,基于所述数据传输通道将所述签名证书的客户端证书发送至所述数据库服务器;
基于所述数据传输通道对所述数据库服务器进行身份认证;
当所述身份认证通过时,将所述签名证书的客户端证书加密传输至所述数据库服务器。
可选地,还包括:
当所述数据库服务器通过所述新的数据传输通道接收到指令字符时,对所述指令字符进行威胁处理,得到命令字符;
执行所述命令字符。
可选地,对所述指令字符进行威胁处理,得到命令字符,包括:
判断所述指令字符中是否存在危险字符;
若是,则将所述危险字符进行过滤和/或转义处理,得到所述命令字符。
本申请还提供一种通信装置,包括:
初始通道建立模块,用于通过初始证书与数据库服务器建立数据传输通道;
证书重置模块,用于基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书;
通道重建模块,用于根据所述签名证书与所述数据库服务器建立新的数据传输通道,并基于所述新的数据传输通道进行数据传输。
本申请还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的通信方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的通信方法的步骤。
本申请所提供的一种通信方法,包括:数据库管理平台通过初始证书与数据库服务器建立数据传输通道;基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书;根据所述签名证书与所述数据库服务器建立新的数据传输通道,并基于所述新的数据传输通道进行数据传输。
通过先采用初始证书建立数据传输通道,然后基于该数据传输通道进行证书重置,以便建立新的数据传输通道,最后采用该新的数据传输通道进行数据传输,既降低了安全传输的成本又保持了数据传输的安全性,避免出现安全问题,降低安全传输门槛和成本。
本申请还提供一种通信装置、服务器以及计算机可读存储介质,具有以上有益效果,在此不做具体限定。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的第一种通信方法的流程图;
图2为本申请实施例所提供的第二种通信方法的流程图;
图3为本申请实施例所提供的第三种通信方法的流程图;
图4为本申请实施例所提供的一种通信装置的结构示意图。
具体实施方式
本申请的核心是提供一种通信方法、通信装置、服务器以及计算机可读存储介质,以降低通信过程的成本。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
相关技术中,DMP与RDS需要通信时,DMP发送命令,RDS接收并执行命令,DMP接收返回结果。如果通信的数据包被截获,然后恶意构造数据包发给RDS,那么就会造成命令注入,从而导致RDS被黑客控制,进而窃取和破坏RDS上数据。为了解决私有云平台的DMP与RDS的通信安全,局域网内搭建额外的服务器来模拟实际CA信任链的工作过程。但是,实现过程复杂,需要浪费额外的服务器资源,造成成本攀升。
因此,本申请提供一种通信方法,通过先采用初始证书建立数据传输通道,然后基于该数据传输通道进行证书重置,以便建立新的数据传输通道,最后采用该新的数据传输通道进行数据传输,既降低了安全传输的成本又保持了数据传输的安全性,避免出现安全问题,降低安全传输门槛和成本。
为了进一步的降低DMP与RDS之间进行过安全通信的成本,降低安全通信的门槛,同时在低成本进行安全通信的基础上,提高通信的安全性,避免出现安全问题。因此,以下通过一个实施例,对本申请提供的一种通信方法进行说明。
请参考图1,图1为本申请实施例所提供的第一种通信方法的流程图。
本实施例中,该方法可以包括:
S101,数据库管理平台通过初始证书与数据库服务器建立数据传输通道;
可见,本可选方案中主要是数据库管理平台基于初始证书与数据库服务器中的初始证书之间建立数据传输通道。
其中,初始证书为在建立该数据传输通道前,在该数据库管理平台与数据库服务器之间设置的初始证书。进一步的,该初始证书可以是提前预置在该数据库管理平台和该数据库服务器中的证书,也可以是通过加密数据连接分别向该数据库管理平台和该数据库服务器发送的证书,还可以是通过有限方式或专有通信通道向该数据库管理平台和该数据库服务器分发的证书。可见,本步骤中获取到该初始证书的方式并不唯一,在此不做具体限定。很显然,无论采用何种获取初始证书的方式,都保持了该初始证书的可靠性,避免出现该证书被泄漏的问题。
其中,基于该初始证书建立数据传输通道的方式可以采用现有技术提供的任意一种建立方式,在此不做具体限定。
本步骤中采用该初始证书在数据库管理平台与该数据库服务器之间建立数据传输通道,实现了采用该初始证书的方式建立可靠的数据传输通道,而不是采用模拟通道的方式进行连接,降低了在数据库管理平台与数据库服务器之间进行安全传输的成本,提高了安全传输的性价比,提高性能利用率。
进一步的,为了提高S101的中进行数据传输的可靠性,本实施例通过以下的步骤对数据传输过程的安全性进一步加强。
S102,基于数据传输通道与数据库服务器进行证书重置,得到签名证书;
在S101的基础上,本步骤旨在该数据库管理平台与该数据库服务器之间进行证书重置,得到签名证书。也就是,将该数据库管理平台与该数据库服务器中采用的证书设置为该签名证书。其中,重置证书的过程可以是数据库管理平台生成新的证书然后再将该证书分发至该数据库服务器中。
其中,可以采用现有技术提供的任意一种证书生成方法,也可以采用现有技术领域中提供的生成工具生成新的证书。可见,本实施例中生成新的证书的方式并不唯一,在此不做具体限定。
很显然,通过本步骤可以将该数据库管理平台和该数据库服务器之间的证书进行更新,而不是预置的初始证书,进一步的提高证书的安全性。并且,该证书重置的过程是基于数据传输通道进行重置,保持了重置过程的安全性。
S103,根据签名证书与数据库服务器建立新的数据传输通道,并基于新的数据传输通道进行数据传输。
在S102的基础上本步骤旨在基于重置后的签名证书与该数据库服务器建立新的数据传输通道,然后基于该新的数据传输通道进行数据传输。可见,在签名证书的基础上建立新的数据传输通道,而不是采用初始证书对应的传输通道,避免出现初始证书被泄露的问题。并且,通过嵌套使用低成本的安全传输方式,进一步的保障数据安全,避免出现由于证书泄露导致的安全问题。即通过证书重置的方式避免了证书的安全问题,同样以低成本的方式提高了数据安全性。
其中,基于该签名证书建立新的数据传输通道的方式可以采用现有技术提供的任意一种建立方式,在此不做具体限定。
综上,本实施例通过先采用初始证书建立数据传输通道,然后基于该数据传输通道进行证书重置,以便建立新的数据传输通道,最后采用该新的数据传输通道进行数据传输,既降低了安全传输的成本又保持了数据传输的安全性,避免出现安全问题,降低安全传输门槛和成本。
以下通过另一具体的实施例,对本申请提供的一种通信方法做进一步说明。
请参考图2,图2为本申请实施例所提供的第二种通信方法的流程图。
本实施例中,该方法可以包括:
S201,数据库管理平台以虚拟机实例的方式创建数据库服务器,以便数据库服务器确定初始证书的客户端证书;
S202,基于初始证书与数据库服务器建立数据传输通道;
可见,S201至S202主要是说明如何通过初始证书建立该数据传输通道。本实施例中,首先是该数据库管理平台以虚拟机的方式创建该数据库服务器的实例。并且,该数据库服务器被创建完成时,该数据库服务器就确定获取到该初始证书对应的客户端证书。
其中,该客户端证书可以是通过其他安全通信方式发送至该数据库服务器的,也可以是预置在该数据库服务器对应的镜像中的,还可以是该数据库服务器根据预设算法计算出的。可见,本实施例中虚拟机服务器获取到该客户端证书的方式并不唯一,在此不做具体限定。
其中,S201主要是数据库管理平台以虚拟机实例的方式创建该数据传输通道。可以是创建了一个虚拟机,在该虚拟机的基础上安装数据库等相关的软件,以实现该虚拟机服务器。
进一步的,为了提高获取初始证书的安全性,避免初始证书被盗取,进而提高数据传输通道的安全性,S201的步骤可以包括:
数据库管理平台根据预设镜像创建数据库服务器的虚拟机实例,以便数据库服务器获取到初始证书的客户端证书;其中,预设镜像预置有初始证书的客户端证书。
可见,本可选方案中的客户端证书是提前预置在该虚拟机服务器的镜像中的。当采用该预设镜像创建该数据库服务器时,该数据库服务器中就确定到了该客户端证书。避免了将该初始证书进行传输,进一步的也避免了该初始证书泄露的问题。
S203,通过签名生成工具生成签名证书;
S204,基于数据传输通道将签名证书的客户端证书发送至数据库服务器;
在S201至S202的基础上,S203至S204主要是说明如何在数据传输通道的基础上进行证书重置。
其中,签名生成工具可以是Openssl工具,以便在Linux系统中生成自签名证书。同样,也可以采用现有技术提供的其他签名生成方式,在此不做具体限定。
进一步的,为了提高签名证书进行传输的安全性,避免该签名证书出现被盗取的情况,该S204可以包括:
步骤1,基于数据传输通道对数据库服务器进行身份认证;
步骤2,当身份认证通过时,将签名证书的客户端证书加密传输至数据库服务器。
可见,本可选方案主要是说明如何传输该签名证书的客户端证书,避免出现泄露问题。本可选方案中,基于数据传输通道对数据库服务器进行身份认证,当身份认证通过时,将签名证书的客户端证书加密传输至数据库服务器。
也就是说,本可选方案中与该数据库服务器之间进行身份验证后,并且通过时才将该新生成的签名证书对应的客户端证书加密传输至该数据库服务器中,提高签名证书传输的安全性,避免该签名证书出现被盗取的问题,提高安全性。
S205,根据签名证书与数据库服务器建立新的数据传输通道,并基于新的数据传输通道进行数据传输。
在上述步骤的基础上,本步骤可以根据签名证书与数据库服务器建立新的数据传输通道,并基于新的数据传输通道进行数据传输。也就是说,本实施例中并不使用该初始证书对应的数据传输通道进行数据传输,而是采用重置后的数据传输通道进行数据传输,相当于将数据传输通道进行重置,避免该初始证书的数据传输通道被破解,导致数据不安全的问题。
进一步的,本实施例还可以包括:
步骤1,当数据库服务器通过新的数据传输通道接收到指令字符时,对指令字符进行威胁处理,得到命令字符;
步骤2,执行命令字符。
可见,基于该可选方案,本实施例中还可以在数据库服务器中对接收到的数据进行威胁处理,避免接收到含有威胁的数据。其中,进行威胁处理的方式可以是对接收到的数据进行过滤处理,或者对数据中的威胁信息进行转义处理,以避免数据库服务器接收到存在威胁的数据,提高数据库服务器的安全性和可靠性。
进一步的,上一可选方案的步骤1可以包括:
步骤1,判断指令字符中是否存在危险字符;
步骤2,若是,则将危险字符进行过滤和/或转义处理,得到命令字符。
可见,本可选方案中主要是对上一可选方案中如何进行威胁处理做说明。本可选方案中,判断指令字符中是否存在危险字符,若是,则将危险字符进行过滤和/或转义处理,得到命令字符。其中,过滤处理是指将该指令字符中的危险字符进行过滤,避免该危险字符被发送至该数据库服务器中。同时,该转义处理是指将该指令字符中的危险字符转为其他类型的字符,同样也是避免危险字符被发送至数据库服务器中,
可见,本实施例通过先采用初始证书建立数据传输通道,然后基于该数据传输通道进行证书重置,以便建立新的数据传输通道,最后采用该新的数据传输通道进行数据传输,既降低了安全传输的成本又保持了数据传输的安全性,避免出现安全问题,降低安全传输门槛和成本。
以下通过另一具体的实施例,对本申请提供的一种通信方法做进一步说明。
请参考图3,图3为本申请实施例所提供的第三种通信方法的流程图。
本实施例中,DMP为数据库管理凭条,RDS为数据库服务器,该方法可以包括:
S301,初始证书预置在DMP和RDS的镜像中,使用创建DMP与RDS的虚拟机后就自带该初始证书。
S302,利用DMP创建RDS,RDS首次开机。
S303,RDS首次开机完成证书重置。
先通过预置证书建立TLS通道,紧接着通过TLS通道进行证书重置,然后TLS通道重新建立,此过程利用TLS通道完成了身份认证及信息加密传输。此外,该重置证书步骤为一次性的,防止黑客的主机与RDS重新进行证书重置,进而被控制。
S304,DMP与RDS开始利用proxy模块和agent模块进行数据交互。
其中,agent模块将从proxy模块接收到的指令字符转给RDS上的handler模块进行处理,对命令字符进行危险字符的过滤或者转义,进行统一的威胁处理后,转给OS模块进行系统命令执行,最后,RDS上的OS模块执行操作命令。
其中,proxy模块和agent模块分别为DMP和RDS上的模块,负责DMP和RDS之间的身份认证及安全通信功能的实现。
进一步的,设置初始证书,也就是将private-key-1和public-crt-1预置在DMP的vma镜像中,validate-crt-1预置在RDS的vma镜像中。validate-crt-1、private-key-1、public-crt-1是利用Openssl工具,DMP被模拟成CA,生成的自签名证书,实现通信的身份认证和加密,除此外不保留其它多余文件信息。
当完成预置证书的第一阶段TLS通道连接后,紧接着利用proxy模块和agent模块进行证书重置,在DMP侧使用Openssl工具随机生成一套新的自签名证书validate-crt-2、private-key-2、public-crt-2,除此外不保留其它多余文件信息。
其中,重置证书目的主要是防止预置证书泄露,导致通信不可靠的问题,所以DMP在创建RDS实例后,在RDS开机程序运行的第一时间与DMP来完成证书的重置,除此之外,在第一次重置完成后,该重置证书步骤为一次性的,防止黑客的主机与RDS重新进行证书重置,进而被控制。
其中,handler模块和os模块为RDS内的模块,agent模块将从proxy模块接收到的指令字符转给handler模块进行处理,对命令字符进行危险字符的过滤或者转义,进行统一的威胁处理后,转给os模块进行系统命令执行,从而保持命令不会被注入,来确保RDS的安全。
可见,本实施例通过先采用初始证书建立数据传输通道,然后基于该数据传输通道进行证书重置,以便建立新的数据传输通道,最后采用该新的数据传输通道进行数据传输,既降低了安全传输的成本又保持了数据传输的安全性,避免出现安全问题,降低安全传输门槛和成本。
下面对本申请实施例提供的通信装置进行介绍,下文描述的通信装置与上文描述的通信方法可相互对应参照。
请参考图4,图4为本申请实施例所提供的一种通信装置的结构示意图。
本实施例中,该装置可以包括:
初始通道建立模块100,用于通过初始证书与数据库服务器建立数据传输通道;
证书重置模块200,用于基于数据传输通道与数据库服务器进行证书重置,得到签名证书;
通道重建模块300,用于根据签名证书与数据库服务器建立新的数据传输通道,并基于新的数据传输通道进行数据传输。
可选地,该初始通道建立模块100,包括:
虚拟机创建单元,用于以虚拟机实例的方式创建数据库服务器,以便数据库服务器确定初始证书的客户端证书;
第一通道建立单元,用于基于初始证书与数据库服务器建立数据传输通道。
可选地,该虚拟机创建单元,具体用于根据预设镜像创建数据库服务器的虚拟机实例,以便数据库服务器获取到初始证书的客户端证书;其中,预设镜像预置有初始证书的客户端证书。
可选地,该证书重置模块200,包括:
签名证书生成单元,用于通过签名生成工具生成签名证书;
签名证书分发单元,用于基于数据传输通道将签名证书的客户端证书发送至数据库服务器。
可选地,该签名证书分发单元,具体用于基于数据传输通道对数据库服务器进行身份认证;当身份认证通过时,将签名证书的客户端证书加密传输至数据库服务器。
可选地,该装置还可以包括:
威胁处理模块,用于当数据库服务器通过新的数据传输通道接收到指令字符时,对指令字符进行威胁处理,得到命令字符;执行命令字符。
可选地,该威胁处理模块中的威胁处理单元,用于判断指令字符中是否存在危险字符;若是,则将危险字符进行过滤和/或转义处理,得到命令字符。
本申请实施例还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如以上实施例所述的通信方法的步骤。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如以上实施例所述的通信方法的步骤。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种通信方法、通信装置、服务器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种通信方法,其特征在于,包括:
数据库管理平台通过初始证书与数据库服务器建立数据传输通道;
基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书;
根据所述签名证书与所述数据库服务器建立新的数据传输通道,并基于所述新的数据传输通道进行数据传输。
2.根据权利要求1所述的通信方法,其特征在于,数据库管理平台通过初始证书与数据库服务器建立数据传输通道,包括:
所述数据库管理平台以虚拟机实例的方式创建所述数据库服务器,以便所述数据库服务器确定所述初始证书的客户端证书;
基于所述初始证书与所述数据库服务器建立所述数据传输通道。
3.根据权利要求2所述的通信方法,其特征在于,所述数据库管理平台以虚拟机实例的方式创建所述数据库服务器,以便所述数据库服务器确定所述初始证书的客户端证书,包括:
所述数据库管理平台根据预设镜像创建所述数据库服务器的虚拟机实例,以便所述数据库服务器获取到所述初始证书的客户端证书;其中,所述预设镜像预置有所述初始证书的客户端证书。
4.根据权利要求1所述的通信方法,其特征在于,基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书,包括:
通过签名生成工具生成所述签名证书;
基于所述数据传输通道将所述签名证书的客户端证书发送至所述数据库服务器。
5.根据权利要求4所述的通信方法,其特征在于,基于所述数据传输通道将所述签名证书的客户端证书发送至所述数据库服务器;
基于所述数据传输通道对所述数据库服务器进行身份认证;
当所述身份认证通过时,将所述签名证书的客户端证书加密传输至所述数据库服务器。
6.根据权利要求1所述的通信方法,其特征在于,还包括:
当所述数据库服务器通过所述新的数据传输通道接收到指令字符时,对所述指令字符进行威胁处理,得到命令字符;
执行所述命令字符。
7.根据权利要求6所述的通信方法,其特征在于,对所述指令字符进行威胁处理,得到命令字符,包括:
判断所述指令字符中是否存在危险字符;
若是,则将所述危险字符进行过滤和/或转义处理,得到所述命令字符。
8.一种通信装置,其特征在于,包括:
初始通道建立模块,用于通过初始证书与数据库服务器建立数据传输通道;
证书重置模块,用于基于所述数据传输通道与所述数据库服务器进行证书重置,得到签名证书;
通道重建模块,用于根据所述签名证书与所述数据库服务器建立新的数据传输通道,并基于所述新的数据传输通道进行数据传输。
9.一种服务器,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的通信方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的通信方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111122954.6A CN113873027B (zh) | 2021-09-24 | 2021-09-24 | 一种通信方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111122954.6A CN113873027B (zh) | 2021-09-24 | 2021-09-24 | 一种通信方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113873027A true CN113873027A (zh) | 2021-12-31 |
| CN113873027B CN113873027B (zh) | 2024-02-27 |
Family
ID=78993956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111122954.6A Active CN113873027B (zh) | 2021-09-24 | 2021-09-24 | 一种通信方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113873027B (zh) |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2006341683A1 (en) * | 2006-04-10 | 2007-10-18 | Trust Integration Services B.V. | Arrangement of and method for secure data transmission. |
| US20080126797A1 (en) * | 2006-11-23 | 2008-05-29 | Electronics And Telecommunications Research Institute | Server and system for transmitting certificate stored in fixed terminal to mobile terminated and method using the same |
| US20090307486A1 (en) * | 2008-06-09 | 2009-12-10 | Garret Grajek | System and method for secured network access utilizing a client .net software component |
| CN101917273A (zh) * | 2010-08-26 | 2010-12-15 | 四川大学 | 一种基于ecc证书的ads-b数据认证方法 |
| CN103888422A (zh) * | 2012-12-21 | 2014-06-25 | 华为技术有限公司 | 安全证书更新方法、客户端、服务器 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
| CN106559224A (zh) * | 2017-01-19 | 2017-04-05 | 河海大学 | 一种基于证书的抗持续泄漏加密系统及方法 |
| US20180060608A1 (en) * | 2016-08-30 | 2018-03-01 | Wacom Co., Ltd. | Authentication and secure transmission of data between signature devices and host computers using transport layer security |
| CN107948235A (zh) * | 2017-09-01 | 2018-04-20 | 清华大学 | 基于jar的云数据安全管理与审计装置 |
| CN109194631A (zh) * | 2018-08-17 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种身份校验方法以及相关装置 |
| CN109639661A (zh) * | 2018-12-04 | 2019-04-16 | 深圳前海微众银行股份有限公司 | 服务器证书更新方法、装置、设备及计算机可读存储介质 |
| CN111049660A (zh) * | 2020-03-16 | 2020-04-21 | 杭州海康威视数字技术股份有限公司 | 证书分发方法、系统、装置及设备、存储介质 |
| CN111049798A (zh) * | 2019-11-11 | 2020-04-21 | 深信服科技股份有限公司 | 一种信息处理方法、装置和计算机可读存储介质 |
| CN111092720A (zh) * | 2019-11-22 | 2020-05-01 | 宿迁学院 | 能抵抗主密钥和解密密钥泄漏的基于证书加密方法 |
| CN111694591A (zh) * | 2020-06-16 | 2020-09-22 | 深圳前海微众银行股份有限公司 | 证书更新方法、装置、系统、服务端及计算机存储介质 |
| CN112202719A (zh) * | 2020-09-04 | 2021-01-08 | 广州江南科友科技股份有限公司 | 基于数字证书的签名方法、系统、装置及存储介质 |
| US20210111905A1 (en) * | 2019-10-10 | 2021-04-15 | Red Hat, Inc. | Automated replacement of self-signed server certificates |
| CN112865983A (zh) * | 2021-04-09 | 2021-05-28 | 杭州云象网络技术有限公司 | 一种联盟链组织证书更换的方法与系统 |
| CN113364795A (zh) * | 2021-06-18 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种数据传输方法和代理服务器 |
-
2021
- 2021-09-24 CN CN202111122954.6A patent/CN113873027B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2006341683A1 (en) * | 2006-04-10 | 2007-10-18 | Trust Integration Services B.V. | Arrangement of and method for secure data transmission. |
| US20080126797A1 (en) * | 2006-11-23 | 2008-05-29 | Electronics And Telecommunications Research Institute | Server and system for transmitting certificate stored in fixed terminal to mobile terminated and method using the same |
| US20090307486A1 (en) * | 2008-06-09 | 2009-12-10 | Garret Grajek | System and method for secured network access utilizing a client .net software component |
| CN101917273A (zh) * | 2010-08-26 | 2010-12-15 | 四川大学 | 一种基于ecc证书的ads-b数据认证方法 |
| CN103888422A (zh) * | 2012-12-21 | 2014-06-25 | 华为技术有限公司 | 安全证书更新方法、客户端、服务器 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
| US20180060608A1 (en) * | 2016-08-30 | 2018-03-01 | Wacom Co., Ltd. | Authentication and secure transmission of data between signature devices and host computers using transport layer security |
| CN106559224A (zh) * | 2017-01-19 | 2017-04-05 | 河海大学 | 一种基于证书的抗持续泄漏加密系统及方法 |
| CN107948235A (zh) * | 2017-09-01 | 2018-04-20 | 清华大学 | 基于jar的云数据安全管理与审计装置 |
| CN109194631A (zh) * | 2018-08-17 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种身份校验方法以及相关装置 |
| CN109639661A (zh) * | 2018-12-04 | 2019-04-16 | 深圳前海微众银行股份有限公司 | 服务器证书更新方法、装置、设备及计算机可读存储介质 |
| US20210111905A1 (en) * | 2019-10-10 | 2021-04-15 | Red Hat, Inc. | Automated replacement of self-signed server certificates |
| CN111049798A (zh) * | 2019-11-11 | 2020-04-21 | 深信服科技股份有限公司 | 一种信息处理方法、装置和计算机可读存储介质 |
| CN111092720A (zh) * | 2019-11-22 | 2020-05-01 | 宿迁学院 | 能抵抗主密钥和解密密钥泄漏的基于证书加密方法 |
| CN111049660A (zh) * | 2020-03-16 | 2020-04-21 | 杭州海康威视数字技术股份有限公司 | 证书分发方法、系统、装置及设备、存储介质 |
| CN111694591A (zh) * | 2020-06-16 | 2020-09-22 | 深圳前海微众银行股份有限公司 | 证书更新方法、装置、系统、服务端及计算机存储介质 |
| CN112202719A (zh) * | 2020-09-04 | 2021-01-08 | 广州江南科友科技股份有限公司 | 基于数字证书的签名方法、系统、装置及存储介质 |
| CN112865983A (zh) * | 2021-04-09 | 2021-05-28 | 杭州云象网络技术有限公司 | 一种联盟链组织证书更换的方法与系统 |
| CN113364795A (zh) * | 2021-06-18 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种数据传输方法和代理服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113873027B (zh) | 2024-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105376216B (zh) | 一种远程访问方法、代理服务器及客户端 | |
| CN110890962B (zh) | 认证密钥协商方法、装置、存储介质及设备 | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| EP3972293A1 (en) | Bluetooth device connection methods and bluetooth devices | |
| CN105429945B (zh) | 一种数据传输的方法、装置及系统 | |
| CN106878016A (zh) | 数据发送、接收方法及装置 | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
| CN110213247B (zh) | 一种提高推送信息安全性的方法及系统 | |
| CN113329012A (zh) | 一种可信执行环境的快速认证方法及系统 | |
| CN114218598B (zh) | 一种业务处理方法、装置、设备和存储介质 | |
| CN115065472B (zh) | 基于多密钥加密解密的安全芯片加密解密方法及装置 | |
| CN114629678B (zh) | 一种基于tls的内网穿透方法及装置 | |
| CN114760056B (zh) | 动态更新密钥的安全通信方法及装置 | |
| CN110941809A (zh) | 文件加解密方法、装置、指纹密码装置及可读存储介质 | |
| CN114584306A (zh) | 一种数据处理方法和相关装置 | |
| CN117834268A (zh) | 一种提升单包授权中认证过程安全性的方法及装置 | |
| CN107342963A (zh) | 一种虚拟机安全控制方法、系统及网络设备 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| CN113922974B (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
| CN113873027B (zh) | 一种通信方法及相关装置 | |
| CN116881936A (zh) | 可信计算方法及相关设备 | |
| CN112422292B (zh) | 一种网络安全防护方法、系统、设备及存储介质 | |
| CN210745178U (zh) | 一种身份认证系统 | |
| CN115189928A (zh) | 一种密码服务虚拟机动态安全迁移方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |