一种安全通讯方法和装置的制造方法
【专利说明】
【技术领域】
[0001]本发明涉及数据安全技术领域,特别涉及一种安全通讯方法和装置。
【【背景技术】】
[0002]随着网络技术的迅速发展,无论是移动设备的客户端还是PC的客户端与服务器之前的通讯都面临严峻的安全问题。该安全问题主要涉及:通讯数据的外泄、中间人对服务器的非法攻击、非法客户端对服务器的访问,等等。
【
【发明内容】
】
[0003]有鉴于此,本发明提供了一种安全通讯方法和装置,以便于提高客户端与服务器之间通讯的安全性。
[0004]具体技术方案如下:
[0005]本发明提供了一种安全通讯的方法,该方法由设置于客户端和服务器之间的安全代理设备执行,该方法包括:
[0006]利用密钥交换机制与客户端进行连线密钥的协商;以及在对所述客户端进行身份认证通过后,为所述客户端分配令牌;
[0007]接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是为客户端分配后利用所述连线密钥发送给所述客户端的;
[0008]接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。
[0009]本发明还提供了一种安全通讯的方法,该方法应用于包含客户端、安全代理设备和服务器的系统,该方法包括:
[0010]所述客户端利用密钥交换机制与所述安全代理设备进行连线密钥的协商,以及获取所述安全代理设备在对所述客户端进行身份认证通过后分配给所述客户端的令牌;
[0011]利用所述连线密钥或令牌连线密钥对发送给所述服务器的请求进行加密,将加密后的请求连同所述令牌发送至所述安全代理设备;
[0012]获取所述安全代理设备转发来的响应,利用所述连线密钥或所述令牌连线密钥对所述响应进行解密;
[0013]其中所述令牌连线密钥是所述安全代理设备分配给客户端,并利用所述连线密钥加密所述令牌连线密钥后发送给所述客户端的。
[0014]本发明还提供了一种安全通讯的装置,该装置设置于客户端和服务器之间的安全代理设备中,该装置包括:
[0015]密钥协商单元,用于利用密钥交换机制与客户端进行连线密钥的协商;
[0016]身份认证单元,用于对所述客户端进行身份认证;
[0017]令牌分配单元,用于在对所述客户端进行身份认证通过后,为所述客户端分配令牌;
[0018]请求处理单元,用于接收到所述客户端发送给服务器的请求时,验证连同所述请求发送来的令牌是否是为所述客户端分配的令牌;如果验证通过,则将利用所述连线密钥或令牌连线密钥对所述请求进行解密后得到的请求转发给所述服务器;其中,所述令牌连线密钥是所述令牌分配单元为客户端分配后并利用所述连线密钥进行加密后发送给所述客户端的;
[0019]响应处理单元,用于接收到所述服务器返回的响应后,利用所述连线密钥或令牌连线密钥对所述响应进行加密,将加密后的响应转发给所述客户端。
[0020]本发明还提供了一种安全通讯的装置,设置于客户端,该装置包括:
[0021]密钥协商单元,用于利用密钥交换机制与安全代理设备进行连线密钥的协商;
[0022]令牌获取单元,用于获取所述安全代理设备在对所述客户端进行身份认证通过后分配给所述客户端的令牌;
[0023]请求发送单元,用于利用所述连线密钥或令牌连线密钥对发送给服务器的请求进行加密,将加密后的请求连同所述令牌发送至所述安全代理设备;
[0024]响应获取单元,用于获取所述安全代理设备转发来的响应,利用所述连线密钥或所述令牌连线密钥对所述响应进行解密;
[0025]其中所述令牌连线密钥是所述安全代理设备分配给客户端,并利用所述连线密钥加密所述令牌连线密钥后发送给所述客户端的。
[0026]由以上技术方案可以看出,本发明通过安全代理设备实现客户端与服务器之间报文的转发,一方面通过密钥交换机制协商的连线密钥对客户端与安全代理设备之间的报文进行加密,另一方面通过安全代理设备为客户端分配的令牌实现对服务器的访问控制,双重保障了客户端与服务器自身与其之间通讯的安全性。
【【附图说明】】
[0027]图1为本发明所基于的系统结构图;
[0028]图2为本发明实施例提供的方法流程图;
[0029]图3为本发明实施例提供的设置于安全代理服务器的装置结构图;
[0030]图4为本发明实施例提供的设置于客户端的装置结构图。
【【具体实施方式】】
[0031]为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
[0032]本发明实施例基于如图1中所示的系统架构,在该系统中,客户端与服务器之间设置有安全代理设备,该安全代理设备作为中间设备,负责客户端与服务器之间的通讯安全,客户端与服务器之间交互的数据必须经由安全代理设备转发。为了实现安全代理设备对客户端与服务器之间交互数据的转发,可以预先采用但不限于以下网络设置方式:
[0033]第一种方式:将安全代理设备组网于服务器的入口位置,该组网方式使得客户端与服务器之间交互的数据必须经由安全代理设备。
[0034]第二种方式:在域名解析系统(DNS,Domain Name System)中设置将指向服务器的域名解析为安全代理设备的IP地址,这样发送给服务器的数据将会被发送给安全代理设备,然后设置安全代理设备接收到来自客户端的数据均发送给服务器。
[0035]在本发明实施例中安全代理设备的功能主要表现为以下几个方面,具体功能实现将在后续实施例中详细描述:
[0036]1)对客户端的身份认证。
[0037]2)与客户端进行密钥协商。
[0038]3)对认证通过的客户端进行令牌分配。
[0039]4)利用分配给客户端的令牌,对客户端进行访问权限的控制。
[0040]5)利用与客户端协商的密钥对客户端发送的请求进行解密、完整性检查与连线序列号验证。
[0041]6)利用与客户端协商的密钥,对服务器返回给客户端的响应进行加密后发送给客户端。
[0042]图2为本发明实施例提供的安全通讯的方法流程示意图,在该实施例中,需要预先进行以下初始配置:
[0043]针对安全代理设备,安全代理设备可以通过云端或者离线工具获取证书Proxy-Certo在安全代理设备中配置以下内容:
[0044]1)安全代理设备的身份标识Proxy-1D ;
[0045]2)密钥协商保护密钥C_AKE_Key ;
[0046]3)客户端的根证书公钥;
[0047]4)加密公开参数p和q。
[0048]针对客户端,客户端在生成时,可以通过云端或者离线工具进行打包,可以预先在客户端置入以下内容:
[0049]1)密钥协商保护密钥C_AKE_Key ;
[0050]2)客户端身份标识Client-1D ;
[0051 ] 3)加密公开参数p和q ;
[0052]4)安全代理设备的身份标识Proxy-1D ;
[0053]5)安全代理设备的根证书公钥;
[0054]6)客户端应用签名。
[0055]另外,客户端可以预先向安全代理设备注册,获取客户端证书Client-Cert,例如客户端在第一次使用时,向安全代理设备注册获取Client-Cert。
[0056]在进行了上述初始配置后,可以开始执行如图2中所示流程,该方法可以包括以下步骤:
[0057]在201中执行第一认证密钥交换(AKE,Authenticated Key Exchange)处理,图中标识为AKE-1。在AKE-1中,客户端利用密钥协商保护密钥C_AKE-Key对包含Client-1D的数据进行加密后发送给安全代理设备。其中加解密算法预先配置于客户端和安全代理设备中,在本发明实施例中可以采用Diffe-Hellman密钥交换方法,该加密后得到的数据可以表示为:
[0058]Ec ake Key(Client-1D, (gx mod p),H(gx mod p)),其中 x 为产生的随机数,H(gx modp)表示对gx mod p进行哈希运算后得到的哈希值。
[0059]在202中执行第二认证密钥交换处理,图中标识为AKE-2。在AKE-2中,安全代理设备对客户端发送的数据进行解密后,得到Client-1D。即解密Ec—ake Key (Client-1D, (gx modp),H(gx mod p))后得到Client-1D。对Client-1D进行认证,该认证可以基于但不限于预设的黑/白名单,如果该Client-1D在黑名单中,则确认该客户端非法,禁止访问。如果该Client-1D不在黑名单中,则该客户端认证通过。
[0060]还可以进一步利用H(gx mod p))对(gx mod p)进行验证,目的是对数据完整性进行验证。
[0061]如果客户端认证通过并且利用H (gx mod p))对(gx mod p)进行的验证也通过,贝lj安全代理设备利用Client-1D产生服务器验证密钥C_AKE-SeSS1n-Key-2。产生服务器验证密钥的方式可以采用但不限于计算哈希值的方式,例如:
[0062]C_AKE-Sess1n-Key-2 = Hash (2, Client-1D, gy, gx, gxy),其中 y 为安全代理设备产生的随机数。需要说明的是,其中的“2”在此的目的是为了标识消息顺序,也可以采用其他值。
[0063]然后安全代理设备利用C_AKE-SeSSi0n-Key-2对包含Proxy-1D的数据进行加密。具体地,可以首先利用安全代理设备的根证书私钥对包