本发明专利技术公开了一种客户端动态上传过程的网关鉴权方法及装置,其包括:客户端生成两对临时公钥和临时私钥,客户端根据其一个临时私钥和控制器的公钥对访问请求数据包进行加密,控制器根据其私钥和客户端的一个临时公钥对访问请求数据包进行解密并验证后,将网关的公钥发给客户端,将客户端的另一个临时公钥发送给网关,客户端根据其另一个临时私钥和网关的公钥对访问请求数据包进行加密,网关根据其私钥和客户端的另一个临时公钥对访问请求数据包进行解密
【技术实现步骤摘要】
一种客户端动态上传过程的网关鉴权方法及装置
[0001]本专利技术涉及计算机网络安全
,特别是涉及一种客户端动态上传过程的网关鉴权方法及装置
。
技术介绍
[0002]在计算机网络通信中,保护数据的机密性和完整性是至关重要的
。
为了实现这一目标,公钥加密技术被广泛应用
。
公钥加密算法使用一对密钥,包括公钥和私钥,公钥用于加密数据,而私钥用于解密数据
。
但是,单纯的使用一对公钥和私钥,来建立客户端与网关之间的连接,会使数据在传输过程中轻易被截获,也很难保证数据在传输过程中被篡改,从而无法确保数据的完整性
。
技术实现思路
[0003]为了解决上述技术问题,本专利技术提供了一种客户端动态上传过程的网关鉴权方法,包括:将控制器的公钥内置到客户端,并将网关的公钥内置到控制器;客户端在启动时随机生成两对客户端的临时公钥和临时私钥;客户端根据客户端的一个临时私钥和控制器的公钥计算出共享秘钥对访问请求数据包进行加密,并将加密后的访问请求数据包发送给控制器;控制器在接收到加密的访问请求数据包后,根据控制器的私钥和客户端的一个临时公钥计算出共享秘钥对访问请求数据包进行解密;控制器对解密后访问请求数据包中的信息进行验证,在验证通过后将网关的公钥发给客户端,并将访问请求数据包中的客户端的另一个临时公钥发送给网关;客户端根据客户端的另一个临时私钥和网关的公钥计算出共享秘钥对访问请求数据包进行加密,并将加密后的访问请求数据包发送给网关;网关根据网关的私钥和客户端的另一个临时公钥计算出共享秘钥对访问请求数据包进行解密,得到访问请求数据包中的所有信息
。
[0004]进一步的,所述控制器对解密后访问请求数据包中的信息进行验证,在验证通过后将网关的公钥发给客户端,并将访问请求数据包中的客户端的另一个临时公钥发送给网关,包括:控制器对解密后访问请求数据包中的所有信息进行逐一验证;在验证通过后,建立客户端与网关之间的安全传输通道;控制器将网关的公钥发给客户端;控制器将访问请求数据包中的客户端的另一个临时公钥提取出来发送给网关
。
[0005]进一步的,所述控制器对解密后访问请求数据包中的所有信息进行逐一验证,包括:控制器对解密后访问请求数据包中的所有信息进行逐一验证;
若访问请求数据包中的所有信息全部验证通过,则表示验证通过,接受访问请求数据包;若访问请求数据包中的至少一项信息未验证通过,则表示验证不通过,丢弃访问请求数据包
。
[0006]进一步的,对安全传输通道设置时间戳防重放因子
。
[0007]进一步的,所述访问请求数据包中的信息包括:设备环境信息
、
用户信息
、
企业
ID
和客户端的两个临时公钥
。
[0008]进一步的,设定共享秘钥变更周期,对会共享秘钥按照变更周期进行周期性变更
。
[0009]进一步的,客户端在启动时根据
ECC
椭圆曲线算法随机生成两对自己的临时公钥和私钥
。
[0010]本专利技术还提供了一种客户端动态上传过程的网关鉴权装置,包括:内置模块,用于将控制器的公钥内置到客户端,并将网关的公钥内置到控制器;身份认证模块,用于客户端在启动时随机生成两对客户端的临时公钥和临时私钥;客户端根据客户端的一个临时私钥和控制器的公钥计算出共享秘钥对访问请求数据包进行加密,并将加密后的访问请求数据包发送给控制器;控制器在接收到加密的访问请求数据包后,根据控制器的私钥和客户端的一个临时公钥计算出共享秘钥对访问请求数据包进行解密;验证模块,用于控制器对解密后访问请求数据包中的信息进行验证,在验证通过后将网关的公钥发给客户端,并将访问请求数据包中的客户端的另一个临时公钥发送给网关;连接模块,用于客户端根据客户端的另一个临时私钥和网关的公钥计算出共享秘钥对访问请求数据包进行加密,并将加密后的访问请求数据包发送给网关;网关根据网关的私钥和客户端的另一个临时公钥计算出共享秘钥对访问请求数据包进行解密,得到访问请求数据包中的所有信息
。
[0011]本专利技术实施例一种客户端动态上传过程的网关鉴权方法及装置与现有技术相比,其有益效果在于:本专利技术通过客户端生成两对自己的临时公钥和私钥,一对用于和控制器敲门,一对用于和网关敲门,实现了其与网关之间的加密通信,利用公钥加密和解密的机制,确保了通信的机密性
、
数据的完整性和身份的认证,并通过共享密钥进行加密和解密,确保了数据的安全性和完整性,有效防止了中间人攻击,为通信系统提供了一定的安全保障;通过使用公钥加密算法,客户端可以使用控制器的公钥加密访问请求数据包,并将其发送给控制器,只有控制器持有相应的私钥,才能解密数据包,这样可以确保只有控制器能够读取和理解数据包中的内容,保证通信内容的机密性;客户端使用共享密钥对访问请求数据包进行加密,而控制器使用相同的共享密钥对数据包进行解密,这样,如果数据包在传输过程中被篡改,解密过程将失败,从而确保数据的完整性;在密钥交换过程中,客户端和控制器之间进行了双向验证,客户端使用临时私钥和控制器的公钥计算共享密钥,并将加密后的数据包发送给控制器,控制器使用自己的私
钥和客户端的临时公钥计算相同的共享密钥,并解密数据包,这种双向验证确保了通信双方的身份认证和数据的安全性;通过在通信过程中使用公钥加密和解密,该方法可以防止中间人攻击,即使攻击者截获了加密的数据包,但由于他们无法解密数据包,也无法获取其中的敏感信息
。
附图说明
[0012]图1是本专利技术实施例中客户端动态上传过程的网关鉴权方法的流程示意图;图2是本专利技术实施例中客户端动态上传过程的网关鉴权装置的组成示意图
。
具体实施方式
[0013]下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述
。
以下实施例用于说明本专利技术,但不用来限制本专利技术的范围
。
[0014]在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位
、
以特定的方位构造和操作,因此不能理解为对本申请的限制
。
[0015]术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量
。
由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征
。
在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上
。
[0016]在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种客户端动态上传过程的网关鉴权方法,其特征在于,包括:将控制器的公钥内置到客户端,并将网关的公钥内置到控制器;客户端在启动时随机生成两对客户端的临时公钥和临时私钥;客户端根据客户端的一个临时私钥和控制器的公钥计算出共享秘钥对访问请求数据包进行加密,并将加密后的访问请求数据包发送给控制器;控制器在接收到加密的访问请求数据包后,根据控制器的私钥和客户端的一个临时公钥计算出共享秘钥对访问请求数据包进行解密;控制器对解密后访问请求数据包中的信息进行验证,在验证通过后将网关的公钥发给客户端,并将访问请求数据包中的客户端的另一个临时公钥发送给网关;客户端根据客户端的另一个临时私钥和网关的公钥计算出共享秘钥对访问请求数据包进行加密,并将加密后的访问请求数据包发送给网关;网关根据网关的私钥和客户端的另一个临时公钥计算出共享秘钥对访问请求数据包进行解密,得到访问请求数据包中的所有信息
。2.
根据权利要求1所述的一种客户端动态上传过程的网关鉴权方法,其特征在于,所述控制器对解密后访问请求数据包中的信息进行验证,在验证通过后将网关的公钥发给客户端,并将访问请求数据包中的客户端的另一个临时公钥发送给网关,包括:控制器对解密后访问请求数据包中的所有信息进行逐一验证;在验证通过后,建立客户端与网关之间的安全传输通道;控制器将网关的公钥发给客户端;控制器将访问请求数据包中的客户端的另一个临时公钥提取出来发送给网关
。3.
根据权利要求2所述的一种客户端动态上传过程的网关鉴权方法,其特征在于,所述控制器对解密后访问请求数据包中的所有信息进行逐一验证,包括:控制器对解密后访问请求数据包中的所有信息进行逐一验证;若访问请求数据包中的所有信息全部验证通过,则表示验证通过,接受访问请求数据包;若访问请求数据包中的至少一项信息未验证通过,则表示验证不通过,丢弃访问请求数据包
。4.
...
【专利技术属性】
技术研发人员:杜万波,于亮,孙哲,王星汉,徐婷婷,吴家乐,王灿,
申请(专利权)人:华能信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。