一种利用非对称安全机制的交互方法

一种利用非对称安全机制的交互方法
【专利摘要】本发明实施例公开了一种利用非对称安全机制的交互方法，通过采用对不同的行为应用相对应的安全机制的方式，能够实现灵活多功能的双向交互或传输，在可以保护用户的资料的同时大幅度降低安全机制的复杂度。本发明利用非对称安全机制的交互方法，包括：客户端A及客户端B；所述客户端A通过高安全验证方式向所述客户端B发起交互；所述客户端B通过低安全验证方式回应所述客户端A；所述低安全验证的验证要求低于所述高安全验证的验证要求。
【专利说明】一种利用非对称安全机制的交互方法
【技术领域】
[0001]本发明实施例涉及信息安全领域，具体涉及一种利用非对称安全机制的交互方法。
【背景技术】
[0002]现有的安全通信机制都是双向的，当通信双方交换加密信息，如认证或加密秘钥后，一个安全的通信channel就被建立起来,通信双方可以安全通信。如Internet ProtocolSecurity (IPsec), Secure Sockets Layer(SSL), Transport Layer Secure Shell(SSH)0
[0003]传统安全通信机制对安全通道建立，要求通信双方要达到安全身份认证，这样才能建立可信机制。然而，这对通信双方的要求都是很高的，比如，在安全通信建立前，就需要确认双方的身份，如采用PKI加密机制则需要交换公钥/私钥。然而，社交网络的普及和web2.0, mobile2.0平台的兴起，通讯的即时性和便利性，对于繁琐的安全认证机制提出了挑战，因为传统双向对称安全机制在很大程度上妨碍了通讯的即时性和便利性。因此很多社交网站，如Facebook, twitter等,基本上没有任何安全加密机制,只是对用户login的身份认证和login/password的权限进行加密保护，其他所有通讯数据都是没有任何加密的。
[0004]然而没有加密保护的网络通信对于个人隐私和敏感数据造成潜在的极大危害，为了在通讯的便利性和数据保密性之间达成一个平衡，就需要一种支持非对称单向安全机制的系统，以实现灵活的多功能双向交互或传输。

【发明内容】

[0005]本发明实施例提供了一种利用非对称安全机制的交互方法，通过采用对不同的行为应用相对应的安全机制的方式，能够实现灵活多功能的双向交互或传输，在可以保护用户的资料的同时大幅度降低安全机制的复杂度。
[0006]本发明实施例提供的利用非对称安全机制的交互方法，包括:客户端A及客户端B ;
[0007]所述客户端A通过高安全验证方式向所述客户端B发起交互；
[0008]所述客户端B通过低安全验证方式回应所述客户端A ；
[0009]所述低安全验证的验证要求低于所述高安全验证的验证要求。
[0010]可选地，
[0011]所述客户端A通过基于身份的加密(Identity Based Encryption, IBE)的安全机制向所述客户端B发起交互；
[0012]所述客户端B通过明文方式回应所述客户端A。
[0013]可选地，
[0014]所述交互包括数据传输及通信交互。
[0015]可选地，
[0016]所述方法还包括:信任系统，用于保存资料和处理外部请求；[0017]所述客户端B为存储端，用于向所述信任系统存储资料；
[0018]所述客户端A为访问端，用于向所述信任系统访问或获取资料；
[0019]所述信任系统接收外部请求并判断请求类型，确定所述外部请求为存储资料请求，则所述信任系统启用低安全验证，并在验证通过时接收所述存储端的资料；
[0020]所述信任系统接收外部请求并判断请求类型，确定所述外部请求为访问或获取资料请求，所述信任系统启用高安全验证，并在验证通过时响应所述访问端的请求。
[0021]可选地，
[0022]所述方法还包括:
[0023]所述信任系统记录所述访问端的访问轨迹；
[0024]所述访问轨迹包括所述访问端的存储或获取资料行为。
[0025]可选地，
[0026]所述低安全验证包括:无安全验证。
[0027]可选地，
[0028]所述低安全验证包括:
[0029]检测所述访问端需要存储的资料内是否含有病毒。
[0030]可选地，
[0031]所述高安全验证包括:
[0032]验证访问端的身份及权限；
[0033]所述权限为所述访问端存储或获取资料的权限。
[0034]可选地，
[0035]所述高安全验证包括:
[0036]基于身份的加密(Identity Based Encryption, IBE)的安全机制。
[0037]可选地，
[0038]所述存储端为服务器；
[0039]所述访问端为与所述服务器相连的客户端。
[0040]可选地，
[0041]所述方法还包括:第三方中介代理；
[0042]所述第三方中介代理包含客户端的联系方式；
[0043]所述客户端A通过高安全验证方式向所述第三方中介代理发起客户端B交互请求；
[0044]所述第三方中介代理将所述客户端B交互请求发送给所述客户端B ；
[0045]所述客户端B通过低安全验证方式向所述第三方中介代理发送客户端A回应；
[0046]所述第三方中介代理将所述客户端A回应发送给所述客户端A。
[0047]可选地，
[0048]所述方法还包括:客户端C ;
[0049]所述客户端C在获得所述客户端A授权时，接收所述第三方中介代理发送的所述客户端B交互请求，或通过所述第三方中介代理向所述客户端A提供服务；
[0050]或
[0051]所述客户端C在所述客户端B授权时，接收所述第三方中介代理发送的所述客户端A回应，或通过所述第三方中介代理向所述客户端B提供服务。
[0052]可选地，
[0053]所述客户端C为独立的第三方服务商。
[0054]本发明实施例中，利用非对称安全机制的交互方法，包括:客户端A及客户端B ;所述客户端A通过高安全验证方式向所述客户端B发起交互；所述客户端B通过低安全验证方式回应所述客户端A ;所述低安全验证的验证要求低于所述高安全验证的验证要求。由于本发明采用对不同的行为应用相对应的安全机制的方式，例如对存储行为应用低安全验证及对获取行为应用高安全验证的方式，因为能够实现灵活多功能的双向交互或传输，并且可以在保护用户的资料的同时大幅度降低安全机制的复杂度。
【专利附图】

【附图说明】
[0055]图1为本发明利用非对称安全机制的交互方法第一实施例流程图；
[0056]图2为本发明利用非对称安全机制的交互方法第一实施例交互示意图；
[0057]图3为本发明利用非对称安全机制的交互方法第二实施例流程图；
[0058]图4为本发明利用非对称安全机制的交互方法第二实施例交互示意图；
[0059]图5为本发明利用非对称安全机制的交互方法第三实施例流程图；
[0060]图6为本发明利用非对称安全机制的交互方法第三实施例交互示意图。
【具体实施方式】
[0061]本发明实施例提供了一种利用非对称安全机制的交互方法，通过采用对不同的行为应用相对应的安全机制的方式，能够实现灵活多功能的双向交互或传输，在可以保护用户的资料的同时大幅度降低安全机制的复杂度。
[0062]IBE，也称为IBC，IBC密码技术使用的是非对称密码体系，加密与解密使用两套不同的密钥，每个人的公钥就是他的身份标识，比如E-Mail地址，电话号码等。而私钥则以数据的形式由用户自己掌握，密钥管理相当简单，可以很方便的对数据信息进行加解密。IBC的基础技术包括数据加密、数字签名、数据完整性机制、数字信封，用户识别，用户认证等
[0063]请参阅图1及图2，本发明实施例中利用非对称安全机制的交互方法，包括:客户端A及客户端B;
[0064]101、客户端A通过高安全验证方式向客户端B发起交互；
[0065]客户端A与客户端B之间进行交互，当客户端A向客户端B发起交互时，可以通过高安全验证方式，上述的交互具体可以为通信行为。
[0066]102、客户端B通过低安全验证方式回应客户端A ；
[0067]客户端B接收到来自客户端A的交互请求时，可以通过低安全验证方式回应客户端A,上述的低安全验证方式可以包括无安全验证方式。
[0068]低安全验证的验证要求低于高安全验证的验证要求。
[0069]具体的，客户端A可以通过IBE安全机制向客户端B发起交互,而客户端B通过明文方式回应客户端A，客户端A及客户端B通过此种非对称的交互方式，能够实现数据/通讯安全和使用便利的平衡。
[0070]需要说明的是，上述低安全验证的验证要求低于上述高安全验证的验证要求，亦即低安全验证的复杂度低于高安全验证的复杂度。
[0071 ] 由于本发明采用对不同的行为应用相对应的安全机制的方式，例如对存储行为应用低安全验证及对获取行为应用高安全验证的方式，因为能够实现灵活多功能的双向交互或传输，并且可以在保护用户的资料的同时大幅度降低安全机制的复杂度。
[0072]上面介绍了本发明利用非对称安全机制的交互方法的第一实施例，下面介绍本发明利用非对称安全机制的交互方法的第二实施例，请参阅图3及图4，本发明实施例中利用非对称安全机制的交互方法的第二实施例包括:
[0073]信任系统，用于保存资料和处理外部请求；
[0074]客户端B为存储端，用于向信任系统存储资料；
[0075]客户端A为访问端,用于向信任系统访问或获取资料；
[0076]201、信任系统接收外部请求；
[0077]信任系统存放着各种类型的资料，例如可以包括访问信息、用户信息或用户存放的资料等，访问端可以通过网络，例如互联网、物联网或内部网络连接至存储端，并向存储端发送请求。
[0078]上述的信任系统可以为服务器，上述的客户端A及客户端B可以为与服务器电连接或互联网连接的客户端。
[0079]202、判断请求类型，并在请求为存储资料请求时执行步骤203，在请求为访问或获取资料请求时执行步骤204 ；
[0080]信任系统接收到的请求可以为存储资料请求或访问获取资料请求，由于不同的请求对信任系统会造成不同的影响，因此在请求为存储资料请求时可以执行步骤203，在请求为访问或获取资料请求时可以执行步骤204。
[0081]203、信任系统启用低安全验证，并在验证通过时接收存储端的资料；
[0082]确定请求为存储资料请求后，信任系统启用低安全验证，并在验证通过时接收存储端的资料。由于存储资料为向存储端发送资料的过程，对存储端造成潜在危害的可能性较小，因此可以启用低安全验证，并在验证通过时接收访问端的资料。
[0083]上述的低安全验证可以包括:无安全验证，或检测访问端需要存储的资料内是否含有病毒。低安全验证的具体安全机制可以根据实际需求进行确定，例如当存储行为不存在潜在危害时可以采用无安全验证，当存储行为可能出现携带病毒的情况时可以采用检测访问端需要存储的资料内是否含有病毒的安全机制。
[0084]204、信任系统启用高安全验证，并在验证通过时响应访问端的请求；
[0085]确定请求为获取资料请求后，信任系统启用高安全验证，并在验证通过时响应访问端的请求。由于获取资料为从存储端读取或下载保存资料的过程，对存储端造成潜在危害的可能性较大，因此可以启用高安全验证，并在验证通过时响应访问端的请求。
[0086]上述高安全验证具体可以包括:验证访问端的身份及权限，其中权限为访问端存储或获取资料的权限。由于不同访问端的身份的权限可能不一致，例如访问端A的权限仅限于浏览文件，访问端B的权限为浏览文件和下载文件，因此若访问端A的请求为下载文件时则验证失败。
[0087]上述的高安全验证也可以包括:IBE安全机制。
[0088]需要说明的是，本发明实施例的方法还可以包括步骤205，亦即步骤205并非本发明实施例必须具备的步骤，如下:
[0089]205、存储端记录访问端的访问轨迹。
[0090]上述访问轨迹包括访问端的存储或获取资料行为。
[0091]需要说明的是，上述低安全验证的验证要求低于上述高安全验证的验证要求，亦即低安全验证的复杂度低于高安全验证的复杂度。
[0092]需要说明的是，步骤205不限于在步骤204之后，而是可以在本发明实施例的步骤201至步骤204中的任一步骤之前或之后，在此处不作限定。
[0093]下面以一个具体实例来说明本发明实施例各步骤的工作过程:
[0094]假设信任系统为公司服务器，用于存储公司的全部数据，上述的数据包括普通数据、重点数据和机密数据；存储端和访问端为与该服务器通过物联网或内部网络连接的电脑客户端，上述电脑客户端包括普通员工电脑客户端、管理层电脑客户端和董事长电脑客户端，其中普通员工电脑客户端能够访问普通数据，管理层电脑客户端能够访问重点数据及普通数据，董事长电脑客户端可以访问全部数据。公司服务器接收到来自电脑客户端的请求时，首先确定请求的类型，如果电脑客户端的请求为存储请求，公司服务器可以不对电脑客户端的请求进行验证，直接对电脑客户端存储的内容进行病毒检测后存储该内容；如果电脑客户端的请求为访问请求，例如为访问重点数据请求，则公司服务器会对客户端的身份和权限进行验证，假设验证到该客户端为管理层电脑客户端，则允许该客户端进行访问重点数据。通过这种安全管理机制，能够降低公司服务器的负担，同时可以更好地对公司数据进行管理使用。
[0095]由于本发明米用对不同的行为应用相对应的安全机制的方式，例如对存储行为应用低安全验证及对获取行为应用高安全验证的方式，因为能够实现灵活多功能的双向交互或传输，并且可以在保护用户的资料的同时大幅度降低安全机制的复杂度。
[0096]上面介绍了本发明利用非对称安全机制的交互方法的第二实施例，特别是存储端启用低安全验证及高安全验证来验证访问端请求的过程，下面介绍本发明利用非对称安全机制的交互方法的第三实施例，请参阅图5及图6，本发明利用非对称安全机制的交互方法的第三实施例包括:
[0097]第三方中介代理，包含客户端的联系方式；
[0098]301、客户端A通过高安全验证方式向第三方中介代理发起客户端B交互请求；
[0099]客户端A需要跟客户端B进行交互，例如进行通信时，不需要知道客户端B的具体位置和地址，可以先通过高安全验证方式向第三方中介代理发起客户端B交互请求，通过第三方中介代理与客户端B进行交互。
[0100]由于客户端A与第三方中介代理之间采用高安全验证方式，亦即客户端A可以以客户端B信息为加密密钥将客户端B交互请求加密后再发送给第三方中介代理，这样可以避免信息由第三方中介代理进行泄露，能够很好地对行星进行保护。
[0101]302、第三方中介代理将客与户端B交互请求发送给客户端B ；
[0102]第三方中介代理就收到客户端A发送的客户端B交互请求之后，可以将客户端B交互请求发送给客户端B。
[0103]303、客户端B通过低安全验证方式向第三方中介代理发送客户端A回应；
[0104]客户端B接收到客户端B交互请求之后，根据自身信息对客户端B交互请求之后进行解析，并通过低安全验证方式向第三方中介代理发送客户端A回应。
[0105]304、第三方中介代理将客户端A回应发送给客户端A。
[0106]第三方中介代理接收到上述客户端A回应之后，可以将客户端A回应发送给客户端A，完成客户端A与客户端B间的交互过程。
[0107]需要说明的是，上述的方法还可以包括客户端C，其中
[0108]客户端C在获得客户端A授权时，接收第三方中介代理发送的客户端B交互请求，或通过第三方中介代理向客户端A提供服务；
[0109]或
[0110]客户端C在客户端B授权时，接收第三方中介代理发送的客户端A回应，或通过第三方中介代理向客户端B提供服务。
[0111]上述的客户端C可以为独立的第三方服务商。
[0112]下面以一个具体实例来说明本发明实施例各步骤的工作过程:
[0113]假设客户端A及客户端B为通信双方，第三方中介agent包含客户端A及客户端B的通信地址及存储客户端A及客户端B的通信内容，客户端C为独立的第三方服务商。客户端A与客户端B之间发生通信时，由于第三方中介agent的存在,客户端A与客户端B不需要知道通信双方的具体位置和地址，只需要知道双方的代号或名称即可通过第三方中介agent找到对方。此时客户端A可以先将请求内容进行加密,然后将加密后的请求内容发送给第三方中介agent,并由第三方中介agent转发给客户端B,客户端B得到加密的请求内容后根据双方协定的解密方式，例如代号名称对加密请求内容进行解密，当客户端B对请求内容进行回复时，可以通过明文或加密回复内容的方式，通过第三方中介agent转发给客户端A，完成客户端A与客户端B之间的通信。客户端C在获得客户端A或客户端B授权的情况下，可以得到加密后的请求内容或加密后的回复内容，并通过客户端C与客户端A及客户端B协定的解密方式对内容进行解密使用，例如可以对内容进行统计，并根据统计结果向客户端A或客户端B提供关联服务。
[0114]由于本发明采用对不同的行为应用相对应的安全机制的方式，例如对存储行为应用低安全验证及对获取行为应用高安全验证的方式，因为能够实现灵活多功能的双向交互或传输，并且可以在保护用户的资料的同时大幅度降低安全机制的复杂度。
[0115]在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0116]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0117]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0118]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0119]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。
【权利要求】
1.一种利用非对称安全机制的交互方法，其特征在于，包括:客户端A及客户端B ; 所述客户端A通过高安全验证方式向所述客户端B发起交互； 所述客户端B通过低安全验证方式回应所述客户端A ； 所述低安全验证的验证要求低于所述高安全验证的验证要求。
2.根据权利要求1所述的利用非对称安全机制的交互方法，其特征在于， 所述客户端A通过基于身份的加密(Identity Based Encryption, IBE)的安全机制向所述客户端B发起交互； 所述客户端B通过明文方式回应所述客户端A。
3.根据权利要求1或2所述的利用非对称安全机制的交互方法，其特征在于， 所述交互包括数据传输及通信交互。
4.根据权利要求1所述的利用非对称安全机制的交互方法，其特征在于，所述方法还包括:信任系统，用于保存资料和处理外部请求； 所述客户端B为存储端，用于向所述信任系统存储资料； 所述客户端A为访问端，用于向所述信任系统访问或获取资料； 所述信任系统接收外部请求并判断请求类型，确定所述外部请求为存储资料请求，则所述信任系统启用低安全验证，并在验证通过时接收所述存储端的资料； 所述信任系统接收外部请求并判断请求类型，确定所述外部请求为访问或获取资料请求，所述信任系统启用高安全验证，并在验证通过时响应所述访问端的请求。
5.根据权利要求4所述的利用非对称安全机制的交互方法，其特征在于，所述方法还包括: 所述信任系统记录所述访问端的访问轨迹； 所述访问轨迹包括所述访问端的存储或获取资料行为。
6.根据权利要求4或5所述的利用非对称安全机制的交互方法，其特征在于，所述低安全验证包括:无安全验证。
7.根据权利要求4或5所述的利用非对称安全机制的交互方法，其特征在于，所述低安全验证包括: 检测所述访问端需要存储的资料内是否含有病毒。
8.根据权利要求4或5所述的利用非对称安全机制的交互方法，其特征在于，所述高安全验证包括: 验证访问端的身份及权限； 所述权限为所述访问端存储或获取资料的权限。
9.根据权利要求4或5所述的利用非对称安全机制的交互方法，其特征在于，所述高安全验证包括: 基于身份的加密(Identity Based Encryption, IBE)的安全机制。
10.根据权利要求4或5所述的利用非对称安全机制的交互方法，其特征在于， 所述存储端为服务器； 所述访问端为与所述服务器相连的客户端。
11.根据权利要求1所述的利用非对称安全机制的交互方法，其特征在于，所述方法还包括:第三方中介代理；所述第三方中介代理包含客户端的联系方式； 所述客户端A通过高安全验证方式向所述第三方中介代理发起客户端B交互请求； 所述第三方中介代理将所述客户端B交互请求发送给所述客户端B ； 所述客户端B通过低安全验证方式向所述第三方中介代理发送客户端A回应； 所述第三方中介代理将所述客户端A回应发送给所述客户端A。
12.根据权利要求11所述的利用非对称安全机制的交互方法，其特征在于，所述方法还包括:客户端C ； 所述客户端C在获得所述客户端A授权时，接收所述第三方中介代理发送的所述客户端B交互请求，或通过所述第三方中介代理向所述客户端A提供服务； 或 所述客户端C在所述客户端B授权时，接收所述第三方中介代理发送的所述客户端A回应，或通过所述第三方 中介代理向所述客户端B提供服务。
13.根据权利要求12所述的利用非对称安全机制的交互方法，其特征在于，所述客户端C为独立的第三方服务商。
【文档编号】H04L9/32GK103905208SQ201410167947
【公开日】2014年7月2日 申请日期:2014年4月24日 优先权日:2014年4月24日
【发明者】王艺 申请人:快车科技有限公司