CN115348015A - 安全接入方法及装置、计算机可读存储介质、电子设备 - Google Patents
安全接入方法及装置、计算机可读存储介质、电子设备 Download PDFInfo
- Publication number
- CN115348015A CN115348015A CN202210994811.2A CN202210994811A CN115348015A CN 115348015 A CN115348015 A CN 115348015A CN 202210994811 A CN202210994811 A CN 202210994811A CN 115348015 A CN115348015 A CN 115348015A
- Authority
- CN
- China
- Prior art keywords
- key
- gateway
- target
- authenticated
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本公开属于通信技术领域,涉及一种安全接入方法及装置、计算机可读存储介质、电子设备。该方法包括:从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥;利用网关公钥和本地私钥生成目标密钥,并利用目标密钥对待认证信息进行加密得到目标待认证信息;将目标待认证信息和本地公钥发送至网关,以使网关基于密钥协商协议、网关私钥以及本地公钥生成目标密钥,并基于目标密钥对目标待认证信息进行认证得到认证结果,根据认证结果使客户端接入至网关。在本公开中,网关公钥是从认证中心获取到的,省去了客户端与网关商议通信密钥的过程,提升了网关的安全性。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种安全接入方法与安全接入装置、计算机可读存储介质及电子设备。
背景技术
随着通信技术的发展,客户端可以利用基于UDP(User Datagram Protocol,用户数据报协议)低时延的互联网传输协议(Quick UDP Internet Connection,QUIC协议)接入网关,进而实现客户端与网关之间的数据传输。
在相关技术中,在QUIC协议中,需要客户端与网关预先商议通信过程中所需要的密钥,这增加了网关中的数据被解密的可能性,进而降低了网关的安全性。
鉴于此,本领域亟需开发一种新的安全接入方法及装置。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种安全接入方法、安全接入装置、计算机可读存储介质及电子设备,进而至少在一定程度上克服由于相关技术导致的网关的安全性被降低的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本发明实施例的第一个方面,提供了一种安全接入方法,所述方法包括:从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥;利用所述网关公钥和所述本地私钥生成目标密钥,并利用所述目标密钥对待认证信息进行加密得到目标待认证信息;将所述目标待认证信息和所述本地公钥发送至网关,以使所述网关基于所述密钥协商协议、网关公钥以及所述本地公钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至所述网关。
在本发明的一种示例性实施例中,所述基于密钥协商协议,生成本地公钥和本地私钥,包括:随机生成本地私钥;确定出公钥、大素数、原根以及私钥之间的第一计算关系;获取所述大素数的值和所述原根的值,并基于所述第一计算关系,根据所述大素数的值、所述原根的值以及所述本地私钥,得到本地公钥。
在本发明的一种示例性实施例中,所述利用所述网关公钥和所述本地私钥生成目标密钥,包括:确定所述大素数、所述网关公钥、所述本地私钥以及目标密钥之间的第二计算关系;基于所述第二计算关系,根据所述大素数的值、所述网关公钥以及所述本地私钥生成目标密钥。
在本发明的一种示例性实施例中,所述将所述目标待认证信息和所述本地公钥发送至网关,包括:将所述目标待认证信息发送至网关;获取目标传输协议报文中的源连接标识,并将所述源连接标识设置为所述本地公钥,以将所述源连接标识发送至网关。
根据本发明实施例的第二个方面,提供了一种安全接入方法,所述方法包括:将网关公钥发送至认证中心,并接收客户端发送的目标待认证信息和与所述客户端对应的本地公钥;所述本地公钥是所述客户端基于密钥协商协议生成的,所述目标待认证信息是利用所述客户端生成的所述目标密钥对待认证信息进行加密得到的,所述目标密钥是利用所述客户端从认证中心处获取的与网关对应的网关公钥和所述客户端生成的本地私钥得到的;基于所述密钥协商协议、所述本地公钥以及所述网关私钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至网关。
在本发明的一种示例性实施例中,所述基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,包括:利用所述目标密钥对所述目标待认证信息进行解密得到所述待认证信息;从所述认证中心处获取目标认证信息,比对所述待认证信息和所述目标认证信息得到认证结果。
在本发明的一种示例性实施例中,所述根据所述认证结果使所述客户端接入至网关,包括:若所述认证结果为存在与所述待认证信息匹配的所述目标认证信息,将所述客户端接入至所述网关,并记录与所述客户端对应的所述本地公钥;若所述认证结果为不存在与所述待认证信息匹配的所述目标认证信息,不允许所述客户端接入至所述网关,并丢弃所述本地公钥。
根据本发明实施例的第三个方面,提供一种安全接入装置,所述装置包括:生成模块,被配置为从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥;加密模块,被配置为利用所述网关公钥和所述本地私钥生成目标密钥,并利用所述目标密钥对待认证信息进行加密得到目标待认证信息;第一认证模块,被配置为将所述目标待认证信息和所述本地公钥发送至网关,以使所述网关基于所述密钥协商协议、网关私钥以及所述本地公钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至所述网关。
根据本发明实施例的第四个方面,提供一种安全接入装置,所述装置包括:接收模块,被配置为接收客户端发送的目标待认证信息和与所述客户端对应的本地公钥;所述本地公钥是所述客户端基于密钥协商协议生成的,所述目标待认证信息是利用所述客户端生成的所述目标密钥对待认证信息进行加密得到的,所述目标密钥是利用所述客户端从认证中心处获取的与网关对应的网关公钥和所述客户端生成的本地私钥得到的;第二认证模块,被配置为基于所述密钥协商协议、网关私钥以及所述本地公钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至网关。
根据本发明实施例的第五个方面,提供一种电子设备,包括:处理器和存储器;其中,存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现上述任意示例性实施例的安全接入方法。
根据本发明实施例的第四个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意示例性实施例中的安全接入方法。
由上述技术方案可知,本发明示例性实施例中的安全接入方法、安全接入装置、计算机存储介质及电子设备至少具备以下优点和积极效果:
在本公开的示例性实施例提供的方法及装置中,一方面,网关公钥是从认证中心获取到的,省去了客户端与网关商议通信密钥的过程,提升了网关的安全性;另一方面,客户端和网关通过结合自己的私钥和对方的公钥生成目标密钥,在保证网关的安全性的前提下,实现了对目标认证信息的认证,进而使得客户端可以成功接入网关。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开实施例中安全接入方法的流程示意图;
图2示意性示出本公开实施例中生成本地公钥和本地私钥的流程示意图;
图3示意性示出本公开实施例中利用网关公钥和本地私钥生成目标密钥的流程示意图;
图4示意性示出本公开实施例中将目标待认证信息和本地公钥发送至网关的流程示意图;
图5示意性示出本公开实施例中安全接入方法的流程示意图;
图6示意性示出本公开实施例中基于目标密钥对目标待认证信息进行认证得到认证结果的流程示意图;
图7示意性示出本公开实施例中根据认证结果使客户端接入至网关的流程示意图;
图8示出了一应用场景下安全接入方法的流程示意图;
图9示意性示出本公开实施例中一种安全接入装置的结构示意图;
图10示意性示出本公开实施例中一种安全接入装置的结构示意图;
图11示意性示出本公开实施例中一种用于安全接入方法的电子设备;
图12示意性示出本公开实施例中一种用于安全接入方法的计算机可读存储介质。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
本说明书中使用用语“一个”、“一”、“该”和“所述”用以表示存在一个或多个要素/组成部分/等;用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等;用语“第一”和“第二”等仅作为标记使用,不是对其对象的数量限制。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。
针对相关技术中存在的问题,本公开提出了一种安全接入方法。图1示出了安全接入方法的流程示意图,如图1所示,安全接入方法至少包括以下步骤:
步骤S110.从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥。
步骤S120.利用网关公钥和本地私钥生成目标密钥,并利用目标密钥对待认证信息进行加密得到目标待认证信息。
步骤S130.将目标待认证信息和本地公钥发送至网关,以使网关基于密钥协商协议、网关私钥以及本地公钥生成目标密钥,并基于目标密钥对目标待认证信息进行认证得到认证结果,根据认证结果使客户端接入至网关。
在本公开的示例性实施例提供的方法及装置中,一方面,网关公钥是从认证中心获取到的,省去了客户端与网关商议通信密钥的过程,提升了网关的安全性;另一方面,客户端和网关通过结合自己的私钥和对方的公钥生成目标密钥,在保证网关的安全性的前提下,实现了对目标认证信息的认证,进而使得客户端可以成功接入网关。
下面对安全接入方法的各个步骤进行详细说明。
在步骤S110中,从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥。
在本公开的示例性实施例中,认证中心用于获取网关公钥。举例而言,若客户端需要接入企业内网,则认证中心可以是企业门户,用于获取与网关对应的网关公钥。
网关公钥指的是网关的密钥对中可以被大家获知的内容。同理,本地公钥指的是客户端密钥对中可以被大家获知的内容,本地私钥指的是客户端密钥对中不可以被大家获知的内容。
密钥协商协议指的是DH(Diffie-Hellman,DH)协议。在密钥协商协议中,双方通过交换自己的公钥给对方,并根据对方的公钥和自己的私钥生成密钥。值得说明的是,此时双方生成的密钥是一样的。
举例而言,客户端需要接入企业内网,此时,客户端可以从企业门户中获取网关公钥Gs。基于DH协议,客户端还需要生成本地公钥Ga以及本地私钥Pa。
在可选的实施例中,图2示出了安全接入方法中生成本地公钥和本地私钥的流程示意图,如图2所示,该方法至少包括以下步骤:在步骤S210中,随机生成本地私钥。
其中,在客户端生成客户端密钥对的过程中,本地私钥是随机生成的。举例而言,客户端可以随机生成一个数字作为本地私钥,客户端也可以随机生成一串字符串作为本地私钥,本示例性实施例对此不做特殊限定。
在步骤S220中,确定出公钥、大素数、原根以及私钥之间的第一计算关系。
其中,大素数指的是一个值较大的素数,通常,需要利用计算机在素数中寻找。原根指的是一个数学符号,并且,该原根指的是大素数的模的原根。
举例而言,在DH协议中,存在如公式(1)所述的第一计算关系。
Pa=qdamod p (1)
其中,Pa指的是公钥,da指的是私钥,q指的是原根,p指的是大素数。mod指的是求余数运算。
在步骤S230中,获取大素数的值和原根的值,并基于第一计算关系,根据大素数的值、原根的值以及本地私钥,得到本地公钥。
其中,将大素数的值、原根的值以及随机出来的本地私钥代入第一计算公式中,可以计算得到本地公钥。
举例而言,将本地私钥Pa代入如公式(1)所述的第一计算关系中,得到的本地公钥Ga=qPamod p。
在本示例性实施例中,确定第一计算关系,并基于第一计算关系,根据大素数的值、原根的值以及本地私钥,确定出本地公钥,这为后续利用网关公钥和本地私钥生成目标密钥奠定了基础。
在步骤S120中,利用网关公钥和本地私钥生成目标密钥,并利用目标密钥对待认证信息进行加密得到目标待认证信息。
在本公开的示例性实施例中,目标密钥是根据网关公钥和本地私钥生成的。待认证信息指的是与客户端对应的用户的身份信息,具体地,待认证信息可以是用户名,可以是用户账号,可以是用户昵称,还可以是一切可以描述用户身份的信息,本示例性实施例对此不做特殊限定。
在生成目标密钥之后,可以利用目标密钥对待认证信息进行加密得到目标待认证信息,具体地,可以利用对称加密算法对待认证信息进行加密得到目标待认证信息。
举例而言,利用网关公钥Gs和本地私钥Pa得到目标密钥H,并利用目标密钥H对与客户端对应的用户账号进行加密得到目标待认证信息。
在可选的实施例中,图3示出了安全接入方法中利用网关公钥和本地私钥生成目标密钥的流程示意图,如图3所示,该方法至少包括以下步骤:在步骤S310中,确定大素数、网关公钥、本地私钥以及目标密钥之间的第二计算关系。
其中,第二计算关系指的是DH协议中,计算目标密钥的计算关系。
举例而言,第二计算关系如公式(2)所示。
H=Pbdamod p (2)
其中,H指的是目标密钥,Pb指的是网关公钥,da指的是本地私钥,p指的是大素数。
在步骤S320中,基于第二计算关系,根据大素数的值、网关公钥以及本地私钥生成目标密钥。
其中,根据第二计算关系,对大素数的值、网关公钥以及本地私钥进行计算可以得到目标密钥。
举例而言,将网关公钥Gs代入公式(2)的Pb中,将本地私钥Pa代入公式(2)的da中,将大素数的值代入公式(2)的p,所得到的H即为目标密钥。
在本示例性实施例中,基于第二计算关系,生成目标密钥,为后续对待认证信息进行加密处理奠定了基础,防止待认证信息以明文的方式发送至网关,保护了用户的信息,提升了客户端接入网关的安全性。
在步骤S130中,将目标待认证信息和本地公钥发送至网关,以使网关基于密钥协商协议、网关私钥以及本地公钥生成目标密钥,并基于目标密钥对目标待认证信息进行认证得到认证结果,根据认证结果使客户端接入至网关。
在本公开的示例性实施例中,将本地公钥发送至网关后,网关可以基于DH协议,可以对网关私钥Ps和本地公钥Ga进行计算得到目标密钥H,值得说明的是,由于网关是基于DH协议,计算出目标密钥H的,因此,网关计算得到的目标密钥H与客户端利用网关公钥和本地私钥生成的目标密钥是一致的。基于此,可以成功利用目标密钥对目标待认证信息进行解密,以得到解密结果,并根据解密结果实现对与客户端对应的用户的认证。
举例而言,将目标待认证信息A和本地公钥Ga发送至网关。网关基于DH协议,对网关私钥Ps和本地公钥Ga进行计算得到目标密钥H。
基于目标密钥H对目标待认证信息A进行解密得到解密结果,并根据解密结果实现对与客户端对应的用户的认证。
在可选的实施例中,图4示出了容灾备份方法中将目标待认证信息和本地公钥发送至网关的流程示意图,如图4所示,该方法至少包括以下步骤:在步骤S410中,将目标待认证信息发送至网关。
其中,在得到目标待认证信息之后,将目标待认证信息发送至网关。
举例而言,将目标待认证信息A发送至网关。
在步骤S420中,获取目标传输协议报文中的源连接标识,并将源连接标识设置为本地公钥,以将源连接标识发送至网关。
其中,源连接标识指的是QUIC协议报文中的一种标识。该标识可以用于描述客户端。举例而言,在QUIC协议中存在一个可以描述客户端的源连接标识Source ConnectionID。在现有技术中,Source Connection ID被设置为一个随机字符串,由于该字符串的字符长度较长,因此,导致网关需要使用较长的时间存储该字符串。不仅如此,由于该字符串的字符长度较长,网关在查询该字符串时,也需要较长的查询时间。因此,直接将源连接标识设置为本地公钥,以减少携带源连接标识的报文的长度,进而缩短了网关存储源连接标识的时间以及网关查询源连接标识的时间。
举例而言,将QUIC协议中的Source Connection ID设置为本地公钥Ga,并将Source Connection ID发送至网关。
在本示例性实施例中,将源连接标识设置为本地公钥,并将源连接标识发送至网关,一方面,减少网关存储源连接标识的时间;另一方面,减少了网关查询储源连接标识的时间;再一方面,源连接标识被设置为本地公钥,使得网关可以直接通过源连接标识确定出对应的客户端。
在本公开的示例性实施例提供的方法及装置中,一方面,网关公钥是从认证中心获取到的,省去了客户端与网关商议通信密钥的过程,提升了网关的安全性;另一方面,客户端和网关通过结合自己的私钥和对方的公钥生成目标密钥,在保证网关的安全性的前提下,实现了对目标认证信息的认证,进而使得客户端可以成功接入网关。
本公开还提出了一种安全接入方法。图5示出了安全接入方法的流程示意图,如图5所示,安全接入方法至少包括以下步骤:
步骤S510.将网关公钥发送至认证中心,并接收客户端发送的目标待认证信息和与客户端对应的本地公钥;本地公钥是客户端基于密钥协商协议生成的,目标待认证信息是利用客户端生成的目标密钥对待认证信息进行加密得到的,目标密钥是利用客户端从认证中心处获取的与网关对应的网关公钥和客户端生成的本地私钥得到的。
步骤S520.基于密钥协商协议、网关公钥以及本地私钥生成目标密钥,并基于目标密钥对目标待认证信息进行认证得到认证结果,根据认证结果使客户端接入至网关。
在本公开的示例性实施例提供的方法及装置中,一方面,网关公钥是从认证中心获取到的,省去了客户端与网关商议通信密钥的过程,提升了网关的安全性;另一方面,客户端和网关通过结合自己的私钥和对方的公钥生成目标密钥,在保证网关的安全性的前提下,实现了对目标认证信息的认证,进而使得客户端可以成功接入网关。
下面对安全接入方法的各个步骤进行详细说明。
在步骤S510中,接收客户端发送的目标待认证信息和与客户端对应的本地公钥;本地公钥是客户端基于密钥协商协议生成的,目标待认证信息是利用客户端生成的目标密钥对待认证信息进行加密得到的,目标密钥是利用客户端从认证中心处获取的与网关对应的网关公钥和客户端生成的本地私钥得到的。
其中,认证中心与步骤S110中的认证中心一致,网关公钥与步骤S110中的网关公钥一致。密钥协商协议与步骤S110中的密钥协商协议一致。本地私钥和本地公钥与步骤S110中的一致,目标待认证信息与步骤S120中的目标待认证信息一致。
举例而言,网关随机生成网关私钥Ps,并根据公式(1)得到网关公钥Gs,以将网关公钥发送至认证中心。
接收客户端发送的目标待认证信息A和与客户端对应的本地公钥Ga,本地公钥也是根据公式(1)计算得到的。目标待认证信息A是客户端利用共享密钥对待认证信息进行加密得到的。共享密钥是基于公式(2),对网关公钥和本地私钥进行计算得到的。
在步骤S520中,基于密钥协商协议、本地公钥以及网关私钥生成目标密钥,并基于目标密钥对目标待认证信息进行认证得到认证结果,根据认证结果使客户端接入至网关。
其中,基于密钥协商协议,可以对本地公钥以及网关私钥进行计算得到目标密钥。由于网关计算出的目标密钥和客户端计算出的目标密钥一致,进而可以基于目标密钥对目标待认证信息进行认证得到认证结果。进而根据认证结果决定是否将客户端接入至网关。
举例而言,基于密钥协商协议,本地公钥Ga以及网关私钥Ps计算得到目标密钥H。利用目标密钥H对目标待认证信息进行解密可以得到解密结果。
根据解密结果对目标待认证信息进行认证得到认证结果,根据认证结果,可以决定是否将客户端接入网关。
在可选的实施例中,图6示出了容灾备份方法中基于目标密钥对目标待认证信息进行认证得到认证结果的流程示意图,如图6所示,该方法至少包括以下步骤:在步骤S610中,利用目标密钥对目标待认证信息进行解密得到待认证信息。
其中,由于目标待认证信息是利用目标密钥,对待认证信息进行加密得到的,因此,利用目标密钥,对目标待认证信息解密可以得到待认证信息。
举例而言,利用目标密钥H对目标待认证信息进行解密,可以得到待认证信息。具体地,待认证信息可以是与客户端对应的用户的账号。
在步骤S620中,从认证中心处获取目标认证信息,比对待认证信息和目标认证信息得到认证结果。
其中,目标认证信息指的是认证中心存储的可以接入网关的用户信息。假设,待认证信息为用户账号,则目标认证信息就是认证中心存储的,可以接入网关的用户的用户账号。
在得到目标认证信息和待认证信息后,对目标认证信息和待认证信息进行比对。若在目标认证信息中存在与待认证信息一致的信息,则认证结果为认证成功;若在目标认证信息中不存在与待认证信息一致的信息,则认证结果为认证失败。
举例而言,待认证信息为“张三”,从认证中心获取的目标认证信息包括“张三”、“李四”以及“王二”。显然,此时在目标认证信息中存在与待认证信息一致的信息,因此,此时的认证结果为认证成功。
在本示例性实施例中,从认证中心处获取目标认证信息,并比对待认证信息和目标认证信息得到认证结果,这为后续是否将客户端接入网关提供了精准的依据。
在可选的实施例中,图7示出了容灾备份方法中根据认证结果使客户端接入至网关的流程示意图,如图7所示,该方法至少包括以下步骤:在步骤S710中,若认证结果为存在与待认证信息匹配的目标认证信息,将客户端接入至网关,并记录与客户端对应的本地公钥。
其中,当存在与待认证信息匹配的目标认证信息时,证明此时可以将客户端接入网关,进而对与客户端对应的本地公钥进行记录。
举例而言,待认证信息为“张三”,从认证中心获取的目标认证信息包括“张三”、“李四”以及“王二”。显然,此时存在与待认证信息匹配的目标认证信息。基于此,将客户端接入至网关,并记录与客户端对应的本地公钥Ga。
在步骤S720中,若认证结果为不存在与待认证信息匹配的目标认证信息,不允许客户端接入至网关,并丢弃本地公钥。
其中,若不存在与待认证信息匹配的目标认证信息,则证明此时不可以将客户端接入至网关,进而不需要记录本地公钥。因此,对本地公钥进行丢弃处理。
举例而言,待认证信息为“王五”,从认证中心获取的目标认证信息包括“张三”、“李四”以及“王二”。显然,此时不存在与待认证信息匹配的目标认证信息。基于此,不允许客户端接入至网关,并将与客户端对应的本地公钥Ga丢弃。
在本示例性实施例中,若存在与待认证信息匹配的目标认证信息,才将客户端接入至网关,并对本地公钥进行记录;若不存在与待认证信息匹配的目标认证信息,丢弃本地公钥,完善了记录本地公钥的逻辑。
在本公开的示例性实施例提供的方法及装置中,一方面,网关公钥是从认证中心获取到的,省去了客户端与网关商议通信密钥的过程,提升了网关的安全性;另一方面,客户端和网关通过结合自己的私钥和对方的公钥生成目标密钥,在保证网关的安全性的前提下,实现了对目标认证信息的认证,进而使得客户端可以成功接入网关。
下面结合一应用场景对本公开实施例中安全接入方法做出详细说明。
图8示出了一应用场景下安全接入方法的流程示意图,如图8所示,其中,对象810为客户端,对象820为网关。
当用户需要接入企业内网时,与用户对应的客户端810执行步骤S811、步骤S812、步骤S813以及步骤S814。
在步骤S811中,从企业门户(即认证中心)处获取网关公钥Gs。在步骤S812中,基于密钥协商协议,生成本地私钥Pa和本地公钥Ga。在步骤S813中,基于密钥协商协议,根据与本地私钥Pa和本地公钥Ga生成目标密钥H。在步骤S814中,利用目标密钥H对待认证信息进行加密得到目标待认证信息,将目标待认证信息和设置为本地公钥的源连接标识发送至网关。
在网关接收到目标待认证信息以及本地公钥之后,网关820执行步骤S821和步骤S822。在步骤S821中,使用本地公钥Ga和网关私钥Ps生成目标密钥H,并利用目标密钥H解密目标待认证信息得到待认证信息。在步骤S822中,根据待认证信息决定将客户端810接入至网关820。值得说明的是,若根据待认证信息决定将客户端810接入至网关820,则需要对本地公钥进行记录。
在本应用场景中,一方面,网关公钥是从认证中心获取到的,省去了客户端与网关商议通信密钥的过程,提升了网关的安全性;另一方面,客户端和网关通过结合自己的私钥和对方的公钥生成目标密钥,在保证网关的安全性的前提下,实现了对目标认证信息的认证,进而使得客户端可以成功接入网关。
此外,在本公开的示例性实施例中,还提供一种安全接入装置,应用于客户端。图9示出了安全接入装置的结构示意图,如图9所示,安全接入装置900可以包括:生成模块910、加密模块920和第一认证模块930。其中:
生成模块910,被配置为从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥;加密模块920,被配置为利用网关公钥和本地私钥生成目标密钥,并利用目标密钥对待认证信息进行加密得到目标待认证信息;第一认证模块930,被配置为将目标待认证信息和本地公钥发送至网关,以使网关基于密钥协商协议、网关私钥以及本地公钥生成目标密钥,并基于目标密钥对目标待认证信息进行认证得到认证结果,根据认证结果使客户端接入至网关。
在本公开的示例性实施例中,还提供了一种安全接入装置,应用于网关。图10示出了安全接入装置的结构示意图,如图10所示,安全接入装置1000可以包括:接收模块1010和第二认证模块1020和。其中:
接收模块1010,被配置为接收客户端发送的目标待认证信息和与客户端对应的本地公钥;本地公钥是客户端基于密钥协商协议生成的,目标待认证信息是利用客户端生成的目标密钥对待认证信息进行加密得到的,目标密钥是利用客户端从认证中心处获取的与网关对应的网关公钥和客户端生成的本地私钥得到的;第二认证模块1020,被配置为基于目标密钥协议网关私钥以及本地公钥生成目标密钥,并基于目标密钥对目标待认证信息进行认证得到认证结果,根据认证结果使客户端接入至网关。
上述安全接入装置900以及安全接入装置1000的具体细节已经在对应的安全接入方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及安全接入装置900以及安全接入装置1000的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
下面参照图11来描述根据本发明的这种实施例的电子设备1100。图11显示的电子设备1100仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图11所示,电子设备1100以通用计算设备的形式表现。电子设备1100的组件可以包括但不限于:上述至少一个处理单元1110、上述至少一个存储单元1120、连接不同系统组件(包括存储单元1120和处理单元1110)的总线1130、显示单元1140。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1110执行,使得所述处理单元1110执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施例的步骤。
存储单元1120可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)1121和/或高速缓存存储单元1122,还可以进一步包括只读存储单元(ROM)1123。
存储单元1120还可以包括具有一组(至少一个)程序模块1125的程序/使用工具1124,这样的程序模块1125包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包含网络环境的现实。
总线1130可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1100也可以与一个或多个外部设备1170(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1100交互的设备通信,和/或与使得该电子设备1100能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1150进行。并且,电子设备1100还可以通过网络适配器1160与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1160通过总线1130与电子设备1100的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1100使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施例的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施例中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施例的步骤。
参考图12所示,描述了根据本发明的实施例的用于实现上述方法的程序产品1200,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
Claims (11)
1.一种安全接入方法,其特征在于,应用于客户端,所述方法包括:
从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥;
利用所述网关公钥和所述本地私钥生成目标密钥,并利用所述目标密钥对待认证信息进行加密得到目标待认证信息;
将所述目标待认证信息和所述本地公钥发送至网关,以使所述网关基于所述密钥协商协议、网关私钥以及所述本地公钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至所述网关。
2.根据权利要求1所述的安全接入方法,其特征在于,所述基于密钥协商协议,生成本地公钥和本地私钥,包括:
随机生成本地私钥;
确定出公钥、大素数、原根以及私钥之间的第一计算关系;
获取所述大素数的值和所述原根的值,并基于所述第一计算关系,根据所述大素数的值、所述原根的值以及所述本地私钥,得到本地公钥。
3.根据权利要求2所述的安全接入方法,其特征在于,所述利用所述网关公钥和所述本地私钥生成目标密钥,包括:
确定所述大素数、所述网关公钥、所述本地私钥以及目标密钥之间的第二计算关系;
基于所述第二计算关系,根据所述大素数的值、所述网关公钥以及所述本地私钥生成目标密钥。
4.根据权利要求1所述的安全接入方法,其特征在于,所述将所述目标待认证信息和所述本地公钥发送至网关,包括:
将所述目标待认证信息发送至网关;
获取目标传输协议报文中的源连接标识,并将所述源连接标识设置为所述本地公钥,以将所述源连接标识发送至网关。
5.一种安全接入方法,其特征在于,应用于网关,所述方法包括:
将网关公钥发送至认证中心,并接收客户端发送的目标待认证信息和与所述客户端对应的本地公钥;所述本地公钥是所述客户端基于密钥协商协议生成的,所述目标待认证信息是利用所述客户端生成的所述目标密钥对待认证信息进行加密得到的,所述目标密钥是利用所述客户端从认证中心处获取的与网关对应的网关公钥和所述客户端生成的本地私钥得到的;
基于所述密钥协商协议、所述本地公钥以及所述网关私钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至网关。
6.根据权利要求5所述的安全接入方法,其特征在于,所述基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,包括:
利用所述目标密钥对所述目标待认证信息进行解密得到所述待认证信息;
从所述认证中心处获取目标认证信息,比对所述待认证信息和所述目标认证信息得到认证结果。
7.根据权利要求6所述的安全接入方法,其特征在于,所述根据所述认证结果使所述客户端接入至网关,包括:
若所述认证结果为存在与所述待认证信息匹配的所述目标认证信息,将所述客户端接入至所述网关,并记录与所述客户端对应的所述本地公钥;
若所述认证结果为不存在与所述待认证信息匹配的所述目标认证信息,不允许所述客户端接入至所述网关,并丢弃所述本地公钥。
8.一种安全接入装置,其特征在于,应用于客户端,包括:
生成模块,被配置为从认证中心处获取与网关对应的网关公钥,并基于密钥协商协议,生成本地公钥和本地私钥;
加密模块,被配置为利用所述网关公钥和所述本地私钥生成目标密钥,并利用所述目标密钥对待认证信息进行加密得到目标待认证信息;
第一认证模块,被配置为将所述目标待认证信息和所述本地公钥发送至网关,以使所述网关基于所述密钥协商协议、网关私钥以及所述本地公钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至所述网关。
9.一种安全接入装置,其特征在于,应用于网关,包括:
接收模块,被配置为接收客户端发送的目标待认证信息和与所述客户端对应的本地公钥;所述本地公钥是所述客户端基于密钥协商协议生成的,所述目标待认证信息是利用所述客户端生成的所述目标密钥对待认证信息进行加密得到的,所述目标密钥是利用所述客户端从认证中心处获取的与网关对应的网关公钥和所述客户端生成的本地私钥得到的;
第二认证模块,被配置为基于所述密钥协商协议、网关私钥以及所述本地公钥生成所述目标密钥,并基于所述目标密钥对所述目标待认证信息进行认证得到认证结果,根据所述认证结果使所述客户端接入至网关。
10.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器被配置为经由执行所述可执行指令来执行权利要求1-7中的任意一项所述的安全接入方法。
11.一种计算机可读存储介质,其上存储计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7中的任意一项所述的安全接入方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210994811.2A CN115348015A (zh) | 2022-08-18 | 2022-08-18 | 安全接入方法及装置、计算机可读存储介质、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210994811.2A CN115348015A (zh) | 2022-08-18 | 2022-08-18 | 安全接入方法及装置、计算机可读存储介质、电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115348015A true CN115348015A (zh) | 2022-11-15 |
Family
ID=83953406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210994811.2A Pending CN115348015A (zh) | 2022-08-18 | 2022-08-18 | 安全接入方法及装置、计算机可读存储介质、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115348015A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116095164A (zh) * | 2023-01-06 | 2023-05-09 | 东方合智数据科技(广东)有限责任公司 | 基于通信协议的设备连接入网方法、设备及存储介质 |
-
2022
- 2022-08-18 CN CN202210994811.2A patent/CN115348015A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116095164A (zh) * | 2023-01-06 | 2023-05-09 | 东方合智数据科技(广东)有限责任公司 | 基于通信协议的设备连接入网方法、设备及存储介质 |
| CN116095164B (zh) * | 2023-01-06 | 2023-12-12 | 东方合智数据科技(广东)有限责任公司 | 基于通信协议的设备连接入网方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3424195B1 (en) | Encrypted password transport across untrusted cloud network | |
| US9917829B1 (en) | Method and apparatus for providing a conditional single sign on | |
| KR101130415B1 (ko) | 비밀 데이터의 노출 없이 통신 네트워크를 통해 패스워드 보호된 비밀 데이터를 복구하는 방법 및 시스템 | |
| US11134069B2 (en) | Method for authorizing access and apparatus using the method | |
| TW201742399A (zh) | 資料安全傳輸方法、客戶端及服務端方法、裝置及系統 | |
| US9374360B2 (en) | System and method for single-sign-on in virtual desktop infrastructure environment | |
| JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| WO2019109852A1 (zh) | 一种数据传输方法及系统 | |
| CN111600914B (zh) | 一种数据传输方法、服务端和客户端 | |
| CN113674456B (zh) | 开锁方法、装置、电子设备和存储介质 | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| CN114154181A (zh) | 基于分布式存储的隐私计算方法 | |
| CN115348015A (zh) | 安全接入方法及装置、计算机可读存储介质、电子设备 | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| KR101836211B1 (ko) | 전자 기기 인증 매니저 장치 | |
| EP3820186A1 (en) | Method and apparatus for transmitting router security information | |
| CN113886793A (zh) | 设备登录方法、装置、电子设备、系统和存储介质 | |
| CN112565236A (zh) | 信息鉴权方法、装置、计算机设备及存储介质 | |
| CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
| KR102070248B1 (ko) | 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치 및 그 동작 방법 | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
| CN116633582A (zh) | 安全通信方法、装置、电子设备及存储介质 | |
| CN114124513B (zh) | 身份认证方法、系统、装置、电子设备和可读介质 | |
| CN115150098A (zh) | 一种基于挑战应答机制的身份认证方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |