CN108471423B - 一种私钥的获取方法及*** - Google Patents

一种私钥的获取方法及*** Download PDF

Info

Publication number
CN108471423B
CN108471423B CN201810281665.2A CN201810281665A CN108471423B CN 108471423 B CN108471423 B CN 108471423B CN 201810281665 A CN201810281665 A CN 201810281665A CN 108471423 B CN108471423 B CN 108471423B
Authority
CN
China
Prior art keywords
private key
algorithm
server
identifier
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810281665.2A
Other languages
English (en)
Other versions
CN108471423A (zh
Inventor
丁浩
吴岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing QIYI Century Science and Technology Co Ltd
Original Assignee
Beijing QIYI Century Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing QIYI Century Science and Technology Co Ltd filed Critical Beijing QIYI Century Science and Technology Co Ltd
Priority to CN201810281665.2A priority Critical patent/CN108471423B/zh
Publication of CN108471423A publication Critical patent/CN108471423A/zh
Application granted granted Critical
Publication of CN108471423B publication Critical patent/CN108471423B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种私钥的获取方法及***,应用于目标服务器,私钥存储服务器和算法查询服务器,所述获取方法包括:当接收到对目标服务器的私钥的获取请求时,获取所述目标服务器对应的加密私钥;确定与所述加密私钥关联的请求参数,所述请求参数包括:数字证书名称、第一标识和第二标识;依据所述请求参数,确定与所述请求参数对应的所述加密私钥的加密算法;依据所述加密算法,对所述加密私钥进行解密,得到所述加密私钥的明文。上述的方法,不但私钥的加密算法不同,而且需要在不同的服务器之间进行验证才可以获得私钥,避免了私钥只有一个或者在同一服务器上进行加密,只要计算资源足够,可以破解私钥,威胁整个网络的安全的问题。

Description

一种私钥的获取方法及***
技术领域
本发明涉及网络通信领域,尤其涉及一种私钥的获取方法及***。
背景技术
HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,即是HTTP的安全版。在HTTPS协议中,最重要的组件是HTTPS的数字证书。HTTPS的数字证书包括两部分:一个私钥和一个公钥。其中,私钥是最为重要的部分,是一个网站证明自己身份的最重要的凭证;一旦被盗,则HTTPS的安全性不复存在。对于一个具有上万台视频服务器的网站而言,目前采取的保存私钥的方法是,将私钥复制,每台视频服务器存储一份,当用户需要获取私钥时,直接在视频服务器上获取。
现有的私钥的获取过程存在着极大地安全隐患,当服务器丢失、损坏或报废时,服务器上得到私钥的信息就会被泄漏,由于私钥只有一个,得到了私钥的信息,就使得整个网站的上万台服务器不再安全。即使在服务器上使用某种加密算法对私钥进行加密,只要计算资源足够,也能够破解加密过的私钥,威胁整个网络的安全性。
发明内容
有鉴于此,本发明提供了一种私钥的获取方法和***,用以解决现有技术中避免了私钥只有一个或者在同一服务器上进行加密,只要计算资源足够,可以破解私钥,威胁整个网络的安全的问题。具体方案如下:
一种私钥的获取方法,应用于目标服务器,私钥存储服务器和算法查询服务器,包括:
当接收到对所述目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥;
将所述加密私钥发送至所述目标服务器,当接收到第一发送完成指令时,向所述算法查询服务器发送算法查询请求;
当接收到第二发送完成指令时,依据所述算法查询请求,获取所述加密私钥的请求参数,并将所述请求参数发送到所述私钥存储服务器;
当接收到第三发送完成指令时,依据所述请求参数,确定与所述请求参数对应的加密算法,将所述加密算法的名称发送至所述算法查询服务器;
当接收到第四发送完成指令时,将所述加密算法的名称发送至所述目标服务器;
当接收到第五发送完成指令时,依据所述加密算法的名称,对所述加密私钥进行解密,得到所述加密私钥的明文。
上述的方法,可选的,当接收到对目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥包括:
解析所述获取请求包含的待验证信息;
判断所述待验证信息中的来源IP地址是否存在于预设的白名单中,若是,验证所述待验证信息中的第一标识是否正确,若是,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
上述的方法,可选的,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥包括:
在所述私钥存储服务器中查找与所述数字证书名称对应的私钥;
在预设的算法数据库中选取第一加密算法,依据所述第一加密算法,对所述数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
上述的方法,可选的,所述依据所述算法查询请求,获取所述加密私钥的请求参数包括:
解析所述算法查询请求中包含的各个参数;
获取所述算法查询请求中包含的第二标识、所述数字证书名称和所述第一标识;
其中,所述加密私钥的请求参数包括:所述第二标识、所述数字证书名称和所述第一标识,所述第一标识用来区分不同的私钥存储服务器,所述第二标识用来区分不同的加密算法。
上述的方法,可选的,所述依据所述请求参数,确定与所述请求参数对应的加密算法包括:
判断所述待验证信息中的第一标识与所述私钥存储服务器的默认标识是否相同;
若是,在所述私钥存储服务器中查找与所述待验证信息中的数字证书名称对应的加密算法,所述加密算法至少为一个;
依据所述第二标识,确定所述请求参数对应的加密算法。
一种私钥的获取***,应用于目标服务器,私钥存储服务器和算法查询服务器,包括:
获取模块,用于当接收到对所述目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥;
第一发送模块,用于将所述加密私钥发送至所述目标服务器,当接收到第一发送完成指令时,向所述算法查询服务器发送算法查询请求;
第一确定模块,用于当接收到第二发送完成指令时,依据所述算法查询请求,获取所述加密私钥的请求参数,并将所述请求参数发送到所述私钥存储服务器;
第二确定模块,用于当接收到第三发送完成指令时,依据所述请求参数,确定与所述请求参数对应的加密算法,将所述加密算法的名称发送至所述算法查询服务器;
第二发送模块,用于当接收到第四发送完成指令时,将所述加密算法的名称发送至所述目标服务器;
解密模块,用于当接收到第五发送完成指令时,依据所述加密算法的名称,对所述加密私钥进行解密,得到所述加密私钥的明文。
上述的***,可选的,所述获取模块包括:
第一解析单元,用于解析所述获取请求包含的待验证信息;
第一判断单元,用于判断所述待验证信息中的来源IP地址是否存在于预设的白名单中,若是,验证所述待验证信息中的第一标识是否正确,若是,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
上述的***,可选的,所述判断单元包括:
查找子单元,用于在所述私钥存储服务器中查找与所述数字证书名称对应的私钥;
加密子单元,用于在预设的算法数据库中选取第一加密算法,依据所述第一加密算法,对所述数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
上述的***,可选的,所述第一确定模块包括:
第二解析单元,用于解析所述算法查询请求中包含的各个参数;
获取单元,用于获取所述算法查询请求中包含的第二标识,所述数字证书名称和所述第一标识;
其中,所述加密私钥的请求参数包括:所述第二标识、所述数字证书名称和所述第一标识,所述第一标识用来区分不同的私钥存储服务器,所述第二标识用来区分不同的加密算法。
上述的***,可选的,所述第二确定模块包括:
第二判断单元,用于判断所述待验证信息中的第一标识与所述私钥存储服务器的默认标识是否相同;
查找单元,用于若是,在所述私钥存储服务器中查找与所述待验证信息中的数字证书名称对应的加密算法,所述加密算法至少为一个;
确定单元,用于依据所述第二标识,确定所述请求参数对应的加密算法。
与现有技术相比,本发明包括以下优点:
本发明提供了一种私钥的获取方法,应用于目标服务器,私钥存储服务器和算法查询服务器,所述获取方法包括:当接收到对目标服务器的私钥的获取请求时,获取所述目标服务器对应的加密私钥;确定与所述加密私钥关联的请求参数,所述请求参数包括:所述目标服务器的数字证书名称、所述目标服务器的第一标识和所述目标服务器的第二标识,依据所述请求参数,确定与所述请求参数对应的所述加密私钥的加密算法;依据所述加密算法,对所述加密私钥进行解密,得到所述加密私钥的明文。上述的方法,不但私钥的加密算法不同,而且需要在不同的服务器之间进行验证才可以获得私钥,避免了私钥只有一个或者在同一服务器上进行加密,只要计算资源足够,可以破解私钥,威胁整个网络的安全的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种私钥的获取方法流程图;
图2为本申请实施例公开的一种私钥的获取方法另一方法流程图;
图3为本申请实施例公开的一种私钥的获取方法又一方法流程图;
图4为本申请实施例公开的一种私钥的获取方法再一方法流程图;
图5为本申请实施例公开的一种私钥的获取方法的网络架构示意图;
图6为本申请实施例公开的一种私钥的获取***结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
本发明提供了一种私钥的获取方法,所述获取方法应用于目标服务器的启动过程中,所述获取方法的执行主体可以为处理器或者控制平台等。所述获取方法应用于目标服务器,私钥存储服务器和算法查询服务器,所述获取方法的流程如图1所示,包括步骤:
S101、当接收到对所述目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥;
本发明实施例中,所述目标服务器在视频服务器、邮件服务器、文件服务器或者其它优选服务器运行的web应用服务器,优选niginx服务器。所述私钥存储服务器中通过某种加密方法对所述目标服务器对应私钥进行加密,得到加密私钥。
S102、将所述加密私钥发送至所述目标服务器,当接收到第一发送完成指令时,向所述算法查询服务器发送算法查询请求;
本发明实施例中,当所述目标服务器接收到所述私钥存储服务器发送的所述加密私钥时,会向所述算法查询服务器发送对所述加密私钥采用的加密算法的查询请求。
S103、当接收到第二发送完成指令时,依据所述算法查询请求,获取所述加密私钥的请求参数,并将所述请求参数发送到所述私钥存储服务器;
本发明实施例中,解析所述算法查询请求中包含的各个参数,获取所述算法查询请求中包含的第二标识,所述数字证书名称和所述第一标识。其中,所述第二标识,所述数字证书名称和所述第一标识组成所述加密私钥的请求参数,将所述请求参数发送到所述私钥存储服务器,优选的,所述第一标识为标记令牌token,所述第二标识为32位的随机数。
S104、当接收到第三发送完成指令时,依据所述请求参数,确定与所述请求参数对应的加密算法,将所述加密算法的名称发送至所述算法查询服务器;
本发明实施例中,在所述私钥存储服务器中,对所述目标服务器的来源IP地址进行验证,当验证成功时,依据所述数字证书的名称、所述第一标识和所述第二标识确定所述加密私钥使用的加密算法的名称,并将所述加密算法的名称传递给所述算法查询服务器。
S105、当接收到第四发送完成指令时,将所述加密算法的名称发送至所述目标服务器;
S106、当接收到第五发送完成指令时,依据所述加密算法的名称,对所述加密私钥进行解密,得到所述加密私钥的明文。
本发明实施例中,依据所述加密算法的名称查找对应的加密算法,依据所述加密算确定与所述加密私钥关联的加密密钥,对所述加密私钥进行解密,得到所述加密私钥的明文。
本发明实施例中,所述私钥存储服务器会提前将第一标识通过安全的方式下发到所述目标服务器上,所述安全的方式优选https方式。
本发明实施例中,所述加密私钥采用的加密算法为对称加密算法,所述对称加密算法可以为DES算法、3DES算法、TDEA算法、Blowfish算法、RC5算法和IEDA算法中的一种或者其它优选的加密算法。
本发明提供了一种私钥的获取方法,应用于目标服务器,私钥存储服务器和算法查询服务器,所述获取方法包括:当接收到对目标服务器的私钥的获取请求时,获取所述目标服务器对应的加密私钥;确定与所述加密私钥关联的请求参数,所述请求参数包括:所述目标服务器的数字证书名称、所述目标服务器的第一标识和所述目标服务器的第二标识,依据所述请求参数,确定与所述请求参数对应的所述加密私钥的加密算法;依据所述加密算法,对所述加密私钥进行解密,得到所述加密私钥的明文。上述的方法,不但私钥的加密算法不同,而且需要在不同的服务器之间进行验证才可以获得私钥,避免了私钥只有一个或者在同一服务器上进行加密,只要计算资源足够,可以破解私钥,威胁整个网络的安全的问题。
本发明实施例中,当接收到对目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥的方法流程如图2所示,包括步骤:
S201、解析所述获取请求包含的待验证信息;
本发明实施例中,所述待验证信息包括:所述目标服务器的数字证书名称、所述目标服务器的来源IP地址和所述目标服务器的第一标识。所述数字证书名称为私钥对应的一个标识,不同的服务器对应的数字证书的名称不同,因此,不同的服务器对应的私钥也不同。其中,所述第一标识是所述私钥存储服务器提前将下发到所述目标服务器上的。依据所述第一标识,确定其对应的私钥存储服务器。
S202、判断所述待验证信息中的来源IP地址是否存在于预设的白名单中,若是,验证所述待验证信息中的第一标识是否正确,若是,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
本发明实施例中,当所述来源IP地址不存在于所述预设的白名单时,将上述的判断信息返回或者返回请求失败的信息,不进行后续的加密操作。
本发明实施例中,在所述私钥存储服务器中对所述数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥的方法流程如图3所示,包括步骤:
S301、在所述私钥存储服务器中查找与所述数字证书名称对应的私钥;
本发明实施例中,所述数字证书名称是区分所述私钥存储服务器中各个私钥的标识,数字证书名称与私钥存在一一对应关系。
S302、在预设的算法数据库中选取第一加密算法,依据所述第一加密算法,对所述数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
本发明实施例中,所述算法数据库中存储有多种第一加密算法,选取的原则:可以顺次选取,也可以随机选取或者其它优选的选取方式,优选的,保证相邻两次选取的加密算法不同。
本发明实施例中,在所述私钥存储服务器中对所述数字证书对应的私钥进行加密时,一旦选定,完成加密的同时会产生一个第二标识,优选的,所述第二标识为32位的随机数,每次加密时产生的32位随机数都是不同的。所述第二标识分别分配给当前的加密算法和依据所述当前加密算法进行加密的加密私钥。
当接收到第二发送完成指令时,确定与所述加密私钥关联的请求参数,所述请求参数包括:所述目标服务器的数字证书名称、所述目标服务器的第一标识和所述目标服务器的第二标识,将所述请求参数发送到所述私钥存储服务器,其中,所述数字证书名称、所述来源IP地址和所述第一标识从所述待验证的信息中获取,所述第二标识在与所述加密私钥存在关联关系的参数中获取。
本发明实施例中,依据所述请求参数,确定与所述请求参数对应的加密算法的流程如图4所示,包括步骤:
S401、判断所述待验证信息中的第一标识与所述私钥存储服务器的默认标识是否相同;
本发明实施例中,每一个私钥存储服务器都会对应一个默认标识,在确定与所述请求参数对应的加密算法之前,需要验证所述第一标识与所述默认标识是否相同。
S402、若是,在所述私钥存储服务器中查找与所述待验证信息中的数字证书名称对应的加密算法,所述加密算法至少为一个;
本发明实施例中,数字证书名称与私钥一一对应,但是,同一个私钥可能采用不同的加密算法进行加密过,因此,存在一个数字证书对应多种加密算法的情况,每一个算法都对应一个算法标识,所述算法标识是在私钥的加密过程中产生的,依据加密时产生的第二标识来确定算法标识。
S403、依据所述第二标识,确定所述请求参数对应的加密算法。
本发明实施例中,依据所述第二标识确定加密算法,查找与所述第二标识相同的算法标识,该算法标识对应的加密算法为所述请求参数对应的加密算法。
本发明实施例中,所述私钥的获取方法的网络架构如图5所示,所述获取方法在所述视频服务器、所述私钥存储服务器和所述算法查询服务器之间访问时,采用的都是安全的访问方式,优选的为https访问方式。
本发明实施例中,与上述的私钥获取方法相对应的,本发明还提供了一种私钥获取***,所述私钥获取***应用于目标服务器,私钥存储服务器和算法查询服务器,其结构框图如图6所示,包括:
获取模块501、第一发送模块502、第一确定模块503、第二确定模块504、第二发送模块505和解密模块506。
其中,
所述获取模块501,用于当接收到对所述目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥;
所述第一发送模块502,用于将所述加密私钥发送至所述目标服务器,当接收到第一发送完成指令时,向所述算法查询服务器发送算法查询请求;
所述第一确定模块503,用于当接收到第二发送完成指令时,依据所述算法查询请求,获取所述加密私钥的请求参数,并将所述请求参数发送到所述私钥存储服务器;
所述第二确定模块504,用于当接收到第三发送完成指令时,依据所述请求参数,确定与所述请求参数对应的加密算法,将所述加密算法的名称发送至所述算法查询服务器;
所述第二发送模块505,用于当接收到第四发送完成指令时,将所述加密算法的名称发送至所述目标服务器;
所述解密模块506,用于当接收到第五发送完成指令时,依据所述加密算法的名称,对所述加密私钥进行解密,得到所述加密私钥的明文。
本发明提供了一种私钥的获取***,应用于目标服务器,私钥存储服务器和算法查询服务器,所述获取方法包括:当接收到对目标服务器的私钥的获取请求时,获取所述目标服务器对应的加密私钥;确定与所述加密私钥关联的请求参数,所述请求参数包括:所述目标服务器的数字证书名称、所述目标服务器的第一标识和所述目标服务器的第二标识,依据所述请求参数,确定与所述请求参数对应的所述加密私钥的加密算法;依据所述加密算法,对所述加密私钥进行解密,得到所述加密私钥的明文。上述的***,不但私钥的加密算法不同,而且需要在不同的服务器之间进行验证才可以获得私钥,避免了私钥只有一个或者在同一服务器上进行加密,只要计算资源足够,可以破解私钥,威胁整个网络的安全的问题。
本发明实施例中,所述获取模块501包括:
第一解析单元507和第一判断单元508。
所述第一解析单元507,用于解析所述获取请求包含的待验证信息;
所述第一判断单元508,用于判断所述待验证信息中的来源IP地址是否存在于预设的白名单中,若是,验证所述待验证信息中的第一标识是否正确,若是,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
本发明实施例中,所述判断单元508包括:
查找子单元509和加密子单元510。
其中,
所述查找子单元509,用于在所述私钥存储服务器中查找与所述数字证书名称对应的私钥;
所述加密子单元510,用于在预设的算法数据库中选取第一加密算法,依据所述第一加密算法,对所述数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
本发明实施例中,所述第一确定模块503包括:
第二解析单元511和获取单元512。
其中,
所述第二解析单元511,用于解析所述算法查询请求中包含的各个参数;
所述获取单元512,用于获取所述算法查询请求中包含的第二标识,所述数字证书名称和所述第一标识;
其中,所述加密私钥的请求参数包括:所述第二标识、所述数字证书名称和所述第一标识,所述第一标识用来区分不同的私钥存储服务器,所述第二标识用来区分不同的加密算法。
本发明实施例中,所述第二确定模块504包括:
第二判断单元513、查找单元514和确定单元515。
其中,
所述第二判断单元513,用于判断所述待验证信息中的第一标识与所述私钥存储服务器的默认标识是否相同;
所述查找单元514,用于若是,在所述私钥存储服务器中查找与所述待验证信息中的数字证书名称对应的加密算法,所述加密算法至少为一个;
所述确定单元515,用于依据所述第二标识,确定所述请求参数对应的加密算法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本申请中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明所提供的一种私钥的获取方法及***进行了详细介绍,本文中应用了具体的实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种私钥的获取方法,其特征在于,应用于目标服务器,私钥存储服务器和算法查询服务器,包括:
当私钥存储服务器接收到对所述目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥;
将所述加密私钥发送至所述目标服务器,当目标服务器接收到第一发送完成指令时,向所述算法查询服务器发送算法查询请求;
当算法查询服务器接收到第二发送完成指令时,依据所述算法查询请求,获取所述加密私钥的请求参数,并将所述请求参数发送到所述私钥存储服务器;
当私钥存储服务器接收到第三发送完成指令时,依据所述请求参数,确定与所述请求参数对应的加密算法,将所述加密算法的名称发送至所述算法查询服务器;
当算法查询服务器接收到第四发送完成指令时,将所述加密算法的名称发送至所述目标服务器;
当目标服务器接收到第五发送完成指令时,依据所述加密算法的名称,对所述加密私钥进行解密,得到所述加密私钥的明文。
2.根据权利要求1所述的方法,其特征在于,当接收到对目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥包括:
解析所述获取请求包含的待验证信息;
判断所述待验证信息中的来源IP地址是否存在于预设的白名单中,若是,验证所述待验证信息中的第一标识是否正确,若是,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
3.根据权利要求2所述的方法,其特征在于,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥包括:
在所述私钥存储服务器中查找与所述数字证书名称对应的私钥;
在预设的算法数据库中选取第一加密算法,依据所述第一加密算法,对所述数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
4.根据权利要求2所述的方法,其特征在于,所述依据所述算法查询请求,获取所述加密私钥的请求参数包括:
解析所述算法查询请求中包含的各个参数;
获取所述算法查询请求中包含的第二标识、所述数字证书名称和所述第一标识;
其中,所述加密私钥的请求参数包括:所述第二标识、所述数字证书名称和所述第一标识,所述第一标识用来区分不同的私钥存储服务器,所述第二标识用来区分不同的加密算法。
5.根据权利要求4所述的方法,其特征在于,所述依据所述请求参数,确定与所述请求参数对应的加密算法包括:
判断所述待验证信息中的第一标识与所述私钥存储服务器的默认标识是否相同;
若是,在所述私钥存储服务器中查找与所述待验证信息中的数字证书名称对应的加密算法,所述加密算法至少为一个;
依据所述第二标识,确定所述请求参数对应的加密算法。
6.一种私钥的获取***,其特征在于,应用于目标服务器,私钥存储服务器和算法查询服务器,包括:
获取模块,用于当私钥存储服务器接收到对所述目标服务器的私钥的获取请求时,在所述私钥存储服务器中获取所述目标服务器对应的加密私钥;
第一发送模块,用于将所述加密私钥发送至所述目标服务器,当目标服务器接收到第一发送完成指令时,向所述算法查询服务器发送算法查询请求;
第一确定模块,用于当算法查询服务器接收到第二发送完成指令时,依据所述算法查询请求,获取所述加密私钥的请求参数,并将所述请求参数发送到所述私钥存储服务器;
第二确定模块,用于当私钥存储服务器接收到第三发送完成指令时,依据所述请求参数,确定与所述请求参数对应的加密算法,将所述加密算法的名称发送至所述算法查询服务器;
第二发送模块,用于当算法查询服务器接收到第四发送完成指令时,将所述加密算法的名称发送至所述目标服务器;
解密模块,用于当目标服务器接收到第五发送完成指令时,依据所述加密算法的名称,对所述加密私钥进行解密,得到所述加密私钥的明文。
7.根据权利要求6所述的***,其特征在于,所述获取模块包括:
第一解析单元,用于解析所述获取请求包含的待验证信息;
第一判断单元,用于判断所述待验证信息中的来源IP地址是否存在于预设的白名单中,若是,验证所述待验证信息中的第一标识是否正确,若是,在所述私钥存储服务器中对所述待验证信息中的数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
8.根据权利要求7所述的***,其特征在于,所述判断单元包括:
查找子单元,用于在所述私钥存储服务器中查找与所述数字证书名称对应的私钥;
加密子单元,用于在预设的算法数据库中选取第一加密算法,依据所述第一加密算法,对所述数字证书名称对应的私钥进行加密,得到所述目标服务器对应的加密私钥。
9.根据权利要求7所述的***,其特征在于,所述第一确定模块包括:
第二解析单元,用于解析所述算法查询请求中包含的各个参数;
获取单元,用于获取所述算法查询请求中包含的第二标识,所述数字证书名称和所述第一标识;
其中,所述加密私钥的请求参数包括:所述第二标识、所述数字证书名称和所述第一标识,所述第一标识用来区分不同的私钥存储服务器,所述第二标识用来区分不同的加密算法。
10.根据权利要求9所述的***,其特征在于,所述第二确定模块包括:
第二判断单元,用于判断所述待验证信息中的第一标识与所述私钥存储服务器的默认标识是否相同;
查找单元,用于若是,在所述私钥存储服务器中查找与所述待验证信息中的数字证书名称对应的加密算法,所述加密算法至少为一个;
确定单元,用于依据所述第二标识,确定所述请求参数对应的加密算法。
CN201810281665.2A 2018-04-02 2018-04-02 一种私钥的获取方法及*** Active CN108471423B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810281665.2A CN108471423B (zh) 2018-04-02 2018-04-02 一种私钥的获取方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810281665.2A CN108471423B (zh) 2018-04-02 2018-04-02 一种私钥的获取方法及***

Publications (2)

Publication Number Publication Date
CN108471423A CN108471423A (zh) 2018-08-31
CN108471423B true CN108471423B (zh) 2021-03-09

Family

ID=63262330

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810281665.2A Active CN108471423B (zh) 2018-04-02 2018-04-02 一种私钥的获取方法及***

Country Status (1)

Country Link
CN (1) CN108471423B (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917710A (zh) * 2010-08-27 2010-12-15 中兴通讯股份有限公司 移动互联网加密通讯的方法、***及相关装置
CN104166822B (zh) * 2013-05-20 2017-10-13 阿里巴巴集团控股有限公司 一种数据保护的方法和装置
CN104023013B (zh) * 2014-05-30 2017-04-12 上海帝联信息科技股份有限公司 数据传输方法、服务端和客户端
US10355858B2 (en) * 2016-03-30 2019-07-16 Intel Corporation Authenticating a system to enable access to a diagnostic interface in a storage device
CN107360125A (zh) * 2016-05-10 2017-11-17 普天信息技术有限公司 接入认证方法、无线接入点和用户终端
CN107104987A (zh) * 2017-06-30 2017-08-29 山东开创云软件有限公司 一种数据安全传输方法

Also Published As

Publication number Publication date
CN108471423A (zh) 2018-08-31

Similar Documents

Publication Publication Date Title
CN113378236B (zh) 一种证据数据在线保全公证平台及保全方法
JP7202688B2 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
CN108809953B (zh) 一种基于区块链的匿名身份认证的方法及装置
CN101860540B (zh) 一种识别网站服务合法性的方法及装置
CN101605137B (zh) 安全分布式文件***
CN105656859B (zh) 税控设备软件安全在线升级方法及***
EP1976181A1 (en) A method, apparatus and data download system for controlling the validity of the download transaction
US20030208681A1 (en) Enforcing file authorization access
CN108347428B (zh) 基于区块链的应用程序的注册***、方法和装置
CN112134708A (zh) 一种授权方法、请求授权的方法及装置
JP2005102163A (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体
CN109981665B (zh) 资源提供方法及装置、资源访问方法及装置和***
CN104283903A (zh) 文件的下载方法及装置
CN113645226B (zh) 一种基于网关层的数据处理方法、装置、设备及存储介质
CN111444499A (zh) 用户身份认证方法及***
CN111639357B (zh) 一种加密网盘***及其认证方法和装置
CN115314321B (zh) 基于区块链无需安全通道的可搜索加密方法
CN115118419A (zh) 安全芯片的数据传输方法、安全芯片装置、设备及介质
JP2009193336A (ja) 処理分散システム、認証サーバ、分散サーバ及び処理分散方法
CN108063748B (zh) 一种用户认证方法、装置及***
RU2698424C1 (ru) Способ управления авторизацией
CN108471423B (zh) 一种私钥的获取方法及***
JP2009199147A (ja) 通信制御方法および通信制御プログラム
CN110995454A (zh) 一种业务验证方法及***
JP5665592B2 (ja) サーバ装置並びにコンピュータシステムとそのログイン方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant