【技术实现步骤摘要】
本专利技术涉及数据安全
,特别涉及一种安全通讯方法和装置。
技术介绍
随着网络技术的迅速发展,无论是移动设备的客户端还是PC的客户端与服务器之前的通讯都面临严峻的安全问题。该安全问题主要涉及:通讯数据的外泄、中间人对服务器的非法攻击、非法客户端对服务器的访问,等等。
技术实现思路
有鉴于此,本专利技术提供了一种安全通讯方法和装置,以便于提高客户端与服务器之间通讯的安全性。具体技术方案如下:本专利技术提供了一种安全通讯的方法,该方法由设置于客户端和服务器之间的安全代理设备执行,该方法包括:利用密钥交换机制与客户端进行连线密钥的协商;以及在对所述客户端进行身份认证通过后,为所述客户端分配令牌;接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是为客户端分配后利用所述连线密钥发送给所述客户端的;接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。本专利技术还提供了一种安全通讯的方法,该方法应用于包含客户端、安全代理设备和服务器的系统,该方法包括:所述客户端利用密钥交换机制与所述安全代理设备进行连线密钥的协商,以及获取所述安全代理设备在对所述客户端 ...
【技术保护点】
一种安全通讯的方法,其特征在于,该方法由设置于客户端和服务器之间的安全代理设备执行,该方法包括:利用密钥交换机制与客户端进行连线密钥的协商;以及在对所述客户端进行身份认证通过后,为所述客户端分配令牌;接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是为客户端分配后利用所述连线密钥发送给所述客户端的;接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。
【技术特征摘要】
1.一种安全通讯的方法,其特征在于,该方法由设置于客户端和服务器之
间的安全代理设备执行,该方法包括:
利用密钥交换机制与客户端进行连线密钥的协商;以及在对所述客户端进行
身份认证通过后,为所述客户端分配令牌;
接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令
牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或
令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所
述令牌连线密钥是为客户端分配后利用所述连线密钥发送给所述客户端的;
接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所
述响应进行加密,将加密后的响应转发给所述客户端。
2.根据权利要求1所述的方法,其特征在于,在所述连线密钥的协商过程
中对所述客户端进行身份认证;
在所述连线密钥协商完成后,为所述客户端分配令牌。
3.根据权利要求1所述的方法,其特征在于,所述利用密钥交换机制与客
户端进行连线密钥的协商包括:
利用密钥协商保护密钥对客户端发送的包含客户端标识的数据进行解密,
其中所述密钥协商保护密钥预先设置于所述客户端和所述安全代理设备;
利用解密后得到的客户端标识产生服务器验证密钥;
利用所述服务器验证密钥对包含安全代理设备标识的数据进行加密,将加
密后的数据发送给所述客户端,以便所述客户端利用所述客户端标识和所述安
全代理设备标识产生连线密钥;
利用所述客户端标识和所述安全代理设备标识,产生连线密钥。
4.根据权利要求3所述的方法,其特征在于,利用所述服务器验证密钥对
包含安全代理设备标识的数据进行加密包括:
利用安全代理设备的根证书私钥对所述安全代理设备标识和所述客户端标
\t识进行签名;
利用所述服务器验证密钥对所述签名和安全代理设备的证书进行加密。
5.根据权利要求1、2或3所述的方法,其特征在于,对所述客户端进行
身份认证包括:
获取到客户端标识后,对所述客户端标识进行认证;和/或,
获取到客户端环境信息后,对所述客户端环境信息进行验证;和/或,
获取到客户端签名信息后,对所述客户端签名信息进行验证。
6.根据权利要求5所述的方法,其特征在于,对所述客户端标识进行认证
包括:
判断所述客户端标识是否在预设的黑名单中,如果否,则所述客户端通过
身份认证,如果是,则所述客户端未通过身份认证;或者,
判断所述客户端标识是否在预设的白名单中,如果是,则所述客户端通过
身份认证;否则所述客户端未通过身份认证。
7.根据权利要求5所述的方法,其特征在于,所述获取到客户端环境信息
包括:
利用所述连线密钥对客户端发送的客户端环境信息进行解密;所述环境信
息包括客户端设备标识、客户端应用签名和客户端环境参数中的至少一种。
8.根据权利要求5所述的方法,其特征在于,所述获取到客户端签名信息
包括:
利用客户端标识和安全代理设备标识生成客户端验证密钥,利用客户端验
证密钥对客户端发送的客户端签名信息进行解密。
9.根据权利要求1至4任一权项所述的方法,其特征在于,为所述客户端
分配令牌包括:
利用令牌密钥对包含所述连线密钥和随机参数的数据或对包含所述令牌连
线密钥和随机参数的数据进行加密,得到为所述客户端分配的令牌,所述令牌
密钥预置于所述安全代理设备或由所述安全代理设备动态产生。
10.根据权利要求9所述的方法,其特征在于,在发送令牌时,进一步发
\t送利用所述连线密钥对连线序列号进行加密后的数据,所述连线序列号由所述
安全代理设备生成;
在对所述请求进行解密时,解密得到所述连线序列号,进一步验证所述连
线序列号是否正确,只有所述连线序列号正确才将解密后得到的请求转发给所
述服务器;
在对所述响应进行加密时,进一步加密所述连线序列号,将加密后的连线
序列号发送给所述客户端。
11.根据权利要求1所述的方法,其特征在于,该方法还包括:
如果验证出连同所述请求发送来的令牌不是为所述客户端分配的令牌,则
拒绝处理所述请求。
12.一种安全通讯的方法,其特征在于,该方法应用于包含客户端、安全
代理设备和服务器的系统,该方法包括:
所述客户端利用密钥交换机制与所述安全代理设备进行连线密钥的协商,
以及获取所述安全代理设备在对所述客户端进行身份认证通过后分配给所述客
户端的令牌;
利用所述连线密钥或令牌连线密钥对发送给所述服务器的请求进行加密,
将加密后的请求连同所述令牌发送至所述安全代理设备;
获取所述安全代理设备转发来的响应,利用所述连线密钥或所述令牌连线
密钥对所述响应进行解密;
其中所述令牌连线密钥是所述安全代理设备分配给客户端,并利用所述连
线密钥加密所述令牌连线密钥后发送给所述客户端的。
13.根据权利要求12所述的方法,其特征在于,所述客户端利用密钥交换
机制与所述安全代理设备进行连线密钥的协商包括:
利用密钥协商保护密钥对包含客户端标识的数据进行加密,将加密后的数
据发送给所述安全代理设备,其中所述密钥协商保护密钥预先设置于所述客户
端和所述安全代理设备;
利用服务器验证密钥对所述安全代理设备发送的包含安全代理设备标识的
\t数据进行解密,所述服务器验证密钥是利用所述客户端标识产生的;
利用所述客户端标识和解密得到的安全代理设备标识产生连线密钥。
14.根据权利要求13所述的方法,其特征在于,所述包含安全代理设备标
识的数据包括:
安全代理设备的证书,以及利用安全代理设备的根证书私钥对所述安全代
理设备标识和所述客户端标识进行的签名。
15.根据权利要求12所述的方法,其特征在于,该方法还包括:
所述客户端将客户端标识、客户端环境信息以及客户端签名信息中的至少
一种发送给所述安全代理设备,以便所述安全代理设备对所述客户端进行身份
认证。
16.根据权利要求15所述的方法,其特征在于,所述客户端将客户端环境
信息发送给所述安全代理设备包括:
利用所述连线密钥对客户端环境信息进行加密,将加密后的客户端环境信
息发送给所述安全代理设备;所述环境信息包括客户端设备标识、客户端应用
签名和客户端环境参数中的至少一种。
17.根据权利要求15所述的方法,其特征在于,所述客户端将客户端签名
信息发送给所述安全代理设备包括:
利用客户端标识和安全代理设备标识生成客户端验证密钥,利用所述客户
端验证密钥对客户端签名信息进行加密,将加密后的客户端签名信息发送给所
述安全代理设备。
18.根据权利要求12所述的方法,其特征在于,在获取所述令牌时,进一
步获取利用所述连线密钥加密后的连线序列号,利用所述连线密钥对获取的连
线序列号进行解密;
在对所述请求进行加密时,进一步加密所述连线序列号;
对所述响应进行解密时,进一步解密得到连线序列号,验证所述连线序列
号是否正确,如果不正确,则丢弃所述响应。
19.一种安全通讯的装置,其特征在于,该装置设置于客户端和服务器之
\t间的安全代理设备中,该装置包括:
密钥协商单元,用于利用密钥交换机制与客户端进行连线密钥的协商;
身份认证单元,用于对所...
【专利技术属性】
技术研发人员:林育民,肖洪勇,郑霖,许明,
申请(专利权)人:瑞数信息技术上海有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。