一种基于权限控制的私有加密通信方法及系统技术方案

本发明专利技术公开一种基于权限控制的私有加密通信方法及系统，所述方法包括：客户端随机生成SM2密钥对，向服务端发送SM2密钥对中的公钥；接收服务端返回的SM9主密钥对密文；以SM2密钥对中的私钥对所述SM9主密钥对密文解密，得到SM9主密钥对；以SM9主密钥对中的公钥和用户请求对应的资源唯一标识对用户请求进行加密，生成用户请求密文，将用户请求密文发送至服务端；接收服务端返回的用户请求结果密文，以SM9主密钥对中的私钥及用户唯一标识对所述用户请求结果密文解密，得到用户请求结果。本发明专利技术可轻量化高性能地实现数据的加密传输，在传输层面上进行权限控制，在保障数据安全的前提下，对客户端的不同操作进行管控和隔离。对客户端的不同操作进行管控和隔离。对客户端的不同操作进行管控和隔离。

【技术实现步骤摘要】
一种基于权限控制的私有加密通信方法及系统


[0001]本专利技术属于信息安全
，具体涉及一种基于权限控制的私有加密通信方法及系统。

技术介绍

[0002]随着信息安全技术和互联网技术的发展，越来越多的用户通过客户端向服务端发送请求，对服务端的数据进行增删改查，维护服务端资源状态。一般地，服务端为了保护资源的可靠性，在提供各种服务之前，会针对用户的身份权限进行相关的白名单配置，当用户拥有该资源权限时，为用户提供请求服务，否则拒绝提供服务。在这个过程中，为了保障信息交互的安全性，防止非法第三方通过网络抓包、会话劫持等手段，窃取用户请求或者后台资源信息等等数据泄密的安全隐患，大多数服务端会在原有通信通道的基础之上，添加一个负责数据加解密的传输层(SSL/TLS)，保证在网络传输的过程中数据是加密的。
[0003]基于SSL/TLS的传输层，其本质上是一种基于PKI的密钥机制，主要是使用公开密钥体制和X.509数字证书技术，可以有效的保障数据的完整性和机密性。在运用过程中，发送方用接收方的公钥将所要发送的信息加密之后在进行传送，而接收方利用私钥进行解密之后来获取信息。这样一来，即使信息被窃取，因为没有解密的私钥，也是没有办法获取可读信息的。
[0004]理论上，基于SSL/TLS的传输层，可以安全地运行到任何原有TCP/IP应用程序，且对现有网络系统的修改也不是太大，但在实际的运用过程中，主要存在以下几方面不足：
[0005]1)SSL在保障传输过程中的安全之外，不能提供其他任何安全保障。比如在现有的交互基础之上，希望在传输层对某些交互进行安全隔离是做不到的，必须在业务层面上进行补充，这无疑增加了客户端和服务端之间的交互过程；
[0006]2)为了保证安全性，在连接握手阶段中，SSL要求通信双方进行额外的工作，一次SSL连接的完整过程，涉及到多次随机数生成、密钥交换、证书传递、证书验证等等过程。
[0007]3)对于系统内部构建私有通道的场景中，客户端与服务端的交互相对私有，对于服务端的证书使用必要性相对不高。传统证书体系中的通信过程比较复杂，密钥管理过程比较繁琐，还需要第三方机构提供证书验证支撑。

技术实现思路

[0008]有鉴于此，本专利技术提出一种基于权限控制的私有加密通信方法及系统，用于解决在系统内部构建私有通道的场景下客户端与服务端的交互繁琐的问题。
[0009]本专利技术第一方面，公开一种基于权限控制的私有加密通信方法，应用于客户端，所述方法包括：
[0010]客户端随机生成SM2密钥对，向服务端发送SM2密钥对中的公钥；
[0011]接收服务端返回的SM9主密钥对密文，所述SM9主密钥对密文是服务端通过SM2密钥对中的公钥对随机生成的SM9主密钥对加密得到；
[0012]以SM2密钥对中的私钥对所述SM9主密钥对密文解密，得到SM9主密钥对；
[0013]以SM9主密钥对中的公钥和用户请求对应的资源唯一标识对用户请求进行加密，生成用户请求密文，将用户请求密文发送至服务端；
[0014]接收服务端返回的用户请求结果密文，以SM9主密钥对中的私钥及用户唯一标识对所述用户请求结果密文解密，得到用户请求结果。
[0015]优选的，客户端通过TCP连接向服务端发送SM2密钥对中的公钥，并携带对应的版本号和会话ID。
[0016]优选的，所述将用户请求密文发送至服务端时，携带对应的版本号、会话ID、用户唯一标识、资源唯一标识。
[0017]优选的，所述服务端返回的用户请求结果密文是服务端根据会话ID索引到对应的会话后，以SM9主密钥对中的私钥和用户请求对应的资源唯一标识对用户请求密文进行解密，并校验用户权限、获取用户请求结果、对用户请求结果加密得到，所述对用户请求结果加密是以SM9主密钥对中的公钥及用户请求对应的用户唯一标识对所述用户请求结果加密。
[0018]优选的，所述校验用户权限、获取用户请结果具体包括：服务端通过用户请求对应的用户唯一标识、资源唯一标识以及解密后的用户请求，结合白名单，校验用户请求的权限，如果用户请求没有授权，直接以操作未授权作为请求结果；如果用户请求通过授权，则执行用户请求得到用户请求结果。
[0019]本专利技术第二方面，公开一种基于权限控制的私有加密通信方法，应用于服务端，所述方法包括：
[0020]服务端接收到客户端发送的SM2密钥对中的公钥，建立会话，并生成SM9主密钥对；
[0021]以SM2密钥对中的公钥加密所述SM9主密钥对，得到SM9主密钥对密文并发送至客户端；
[0022]接收用户端发送的用户请求密文，索引至对应会话，以SM9主密钥对中的私钥和用户请求对应的资源唯一标识对用户请求密文进行解密；所述用户请求密文是用户端以SM9主密钥对中的公钥和用户请求对应的资源唯一标识对用户请求进行加密得到；
[0023]根据白名单校验用户权限，获取用户请求结果；
[0024]以SM9主密钥对中的公钥及用户唯一标识对所述用户请求结果加密，得到用户请求结果密文并发送至客户端。
[0025]本专利技术第三方面，公开一种基于权限控制的私有加密通信系统，所述系统包括：
[0026]公钥发送单元：用于在客户端随机生成SM2密钥对，向服务端发送SM2密钥对中的公钥；
[0027]主密钥对获取单元：用于接收服务端返回的SM9主密钥对密文，所述SM9主密钥对密文是服务端通过SM2密钥对中的公钥对随机生成的SM9主密钥对加密得到；以SM2密钥对中的私钥对所述SM9主密钥对密文解密，得到SM9主密钥对；
[0028]主秘钥加密单元：用于以SM9主密钥对中的公钥和用户请求对应的资源唯一标识对用户请求进行加密，生成用户请求密文，将用户请求密文发送至服务端；
[0029]主秘钥解密单元：用于接收服务端返回的用户请求结果密文，以SM9主密钥对中的私钥及用户唯一标识对所述用户请求结果密文解密，得到用户请求结果。
[0030]优选的，所述主秘钥加密单元中，将用户请求密文发送至服务端时，携带对应的版本号、会话ID、用户唯一标识、资源唯一标识。
[0031]优选的，所述主秘钥解密单元中，所述服务端返回的用户请求结果密文是服务端根据会话ID索引到对应的会话后，以SM9主密钥对中的私钥和用户请求对应的资源唯一标识对用户请求密文进行解密，并校验用户权限、获取用户请结果、对用户请求结果加密得到，所述对用户请求结果加密是以SM9主密钥对中的公钥及用户请求对应的用户唯一标识对所述用户请求结果加密。
[0032]优选的，所述主秘钥解密单元中，所述校验用户权限、获取用户请结果具体为：服务端通过用户请求对应的用户唯一标识、资源唯一标识以及解密后的用户请求，结合白名单，校验用户请求的权限，如果用户请求没有授权，直接以操作未授权作为请求结果；如果用户请求通过授权，则执行用户请求得到用户请求结果。
[0033]本专利技术相对于现有技术具有以下有益效果：<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于权限控制的私有加密通信方法，应用于客户端，其特征在于，所述方法包括：客户端随机生成SM2密钥对，向服务端发送SM2密钥对中的公钥；接收服务端返回的SM9主密钥对密文，所述SM9主密钥对密文是服务端通过SM2密钥对中的公钥对随机生成的SM9主密钥对加密得到；以SM2密钥对中的私钥对所述SM9主密钥对密文解密，得到SM9主密钥对；以SM9主密钥对中的公钥和用户请求对应的资源唯一标识对用户请求进行加密，生成用户请求密文，将用户请求密文发送至服务端；接收服务端返回的用户请求结果密文，以SM9主密钥对中的私钥及用户唯一标识对所述用户请求结果密文解密，得到用户请求结果。2.根据权利要求1所述基于权限控制的私有加密通信方法，其特征在于，客户端通过TCP连接向服务端发送SM2密钥对中的公钥，并携带对应的版本号和会话ID。3.根据权利要求1所述基于权限控制的私有加密通信方法，其特征在于，所述将用户请求密文发送至服务端时，携带对应的版本号、会话ID、用户唯一标识、资源唯一标识。4.根据权利要求3所述基于权限控制的私有加密通信方法，其特征在于，所述服务端返回的用户请求结果密文是服务端根据会话ID索引到对应的会话后，以SM9主密钥对中的私钥和用户请求对应的资源唯一标识对用户请求密文进行解密，并校验用户权限、获取用户请求结果、对用户请求结果加密得到，所述对用户请求结果加密是以SM9主密钥对中的公钥及用户请求对应的用户唯一标识对所述用户请求结果加密。5.根据权利要求4所述基于权限控制的私有加密通信方法，其特征在于，所述校验用户权限、获取用户请结果具体包括：服务端通过用户请求对应的用户唯一标识、资源唯一标识以及解密后的用户请求，结合白名单，校验用户请求的权限，如果用户请求没有授权，直接以操作未授权作为请求结果；如果用户请求通过授权，则执行用户请求得到用户请求结果。6.一种基于权限控制的私有加密通信方法，应用于服务端，其特征在于，所述方法包括：服务端接收到客户端发送的SM2密钥对中的公钥，建立会话，并生成SM9主密钥对；以SM2密钥对中的公钥加密所述SM9主密钥对，得到SM9主密钥对密文并发送至客户端；接收用户端发送的用户请求密文，索引至对应会话，以SM9主密钥对...

【专利技术属性】
技术研发人员：周显敬，刘虎，沈人杰，程莎锋，
申请(专利权)人：武汉卓尔信息科技有限公司，
类型：发明
国别省市：