CN111245604A - 一种服务器数据安全交互***及方法 - Google Patents

一种服务器数据安全交互***及方法 Download PDF

Info

Publication number
CN111245604A
CN111245604A CN201911406299.XA CN201911406299A CN111245604A CN 111245604 A CN111245604 A CN 111245604A CN 201911406299 A CN201911406299 A CN 201911406299A CN 111245604 A CN111245604 A CN 111245604A
Authority
CN
China
Prior art keywords
module
data
server
management application
application module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911406299.XA
Other languages
English (en)
Other versions
CN111245604B (zh
Inventor
邹飞
于修良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Qianhai Zhian Information Technology Co Ltd
Original Assignee
Shenzhen Qianhai Zhian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Qianhai Zhian Information Technology Co Ltd filed Critical Shenzhen Qianhai Zhian Information Technology Co Ltd
Priority to CN201911406299.XA priority Critical patent/CN111245604B/zh
Publication of CN111245604A publication Critical patent/CN111245604A/zh
Application granted granted Critical
Publication of CN111245604B publication Critical patent/CN111245604B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种服务器数据安全交互***及方法,服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;A端Linux***模块与B端Linux***模块之间互相进行身份认证和密钥协商的数据传输验证;A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接;A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥,进行加密策略配置通信,进行服务器之间的身份认证和秘钥协商,本发明能够提供一种可进行非对称算法的身份认证和数据加密,且身份认证过程和数据加解密过程与服务器上在运行的业务平台不需要直接对接,有效减少业务平台的工作量,降低开发成本的服务器数据安全交互***及方法。

Description

一种服务器数据安全交互***及方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种服务器数据安全交互***及方法。
背景技术
服务器之间的安全通信指两个服务器之间的网络通信过程和保证通信的数据具备安全的特性。现有的交互方法是在服务器之间通过VPN技术方案使用IPSec协议组成虚拟局域网,在虚拟局域网内,通过IPSec协议将互联互通的数据进行加密,该交互方法存在如下不足:通过VPN组成的局域网不适合外部访问局域网内部,不能有效解决通过互联网对外提供大规模访问服务;VPN协议的数据加密只有对称加密,不能有效的通过密码学的非对称加密算法进行身份认证。
发明内容
本发明目的是为了克服现有技术的不足而提供一种可进行非对称算法的身份认证和数据加密,且身份认证过程和数据加解密过程与服务器上在运行的业务平台不需要直接对接,有效减少业务平台的工作量,降低开发成本的服务器数据安全交互***及方法。
为便于本技术方案后续的说明表述,对后文中出现的英文缩写或专业术语作如下解释:Linux是一套***和自由传播的类Unix操作***,是一个基于POSIX和Unix的多用户、多任务、支持多线程和多CPU的操作***;Netfilter是Linux 2.4.x引入的一个子***,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,实现诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪。
为达到上述目的,本发明采用了如下技术方案。
一种服务器数据安全交互***,包括服务器A、服务器B和安全管理模块,所述服务器A由A端Linux***模块和A端Linux内核模块组成;所述服务器B由B端Linux***模块和B端Linux内核模块组成;所述A端Linux***模块包含有A业务应用模块和A上层管理应用模块,所述A端Linux内核模块包含有A网络传输模块和A数据加解密模块;所述B端Linux***模块包含有B业务应用模块和B上层管理应用模块,所述B端Linux内核模块包含有B网络传输模块和B数据加解密模块;所述服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;所述A端Linux***模块与B端Linux***模块之间互相进行身份认证和密钥协商的数据传输验证;所述A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接。
一种服务器数据安全交互方法,具体包括如下步骤:
步骤一:所述A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥P1,在完成安装并初始化后,获取IP地址,生成临时公私钥对(P0,S0),使用非对称加密算法和安全管理模块公钥P1将临时公钥P0和IP地址进行加密形成密文D0,再将D0传输给安全管理模块;
步骤二:安全管理模块使用本地私钥解密D0,得到IP地址及临时公钥P0,以IP地址作为参数生成公私钥对(P2,S2),使用非对称加密算法和临时公钥P0加密公私钥对(P2,S2)和IP地址后生成密文D1,返回D1给A上层管理应用模块或B上层管理应用模块,使用临时私钥S0解密D1,得到公私钥对(P2,S2)和IP地址,校验解密得到的IP地址和本地获取的IP地址的一致性,校验通过后,加密存储私钥S2,销毁临时公私钥对(P0,S0);
步骤三:进行所述A上层管理应用模块和B上层管理应用模块的加密策略配置通信,包括安全管理模块的管理员登录后选择对应的A上层管理应用模块或B上层管理应用模块的IP地址,设置加密数据的目标IP地址和端口,并设置加密数据使用的加密算法类型;
步骤四:所述A上层管理应用模块和B上层管理应用模块使用对称加密算法和公钥P2加密配置信息,生成密文D’,使用私钥S2解密D’得到配置信息;将对应的配置信息写入所述A数据加解密模块和B数据加解密模块中,并反馈配置结果给A上层管理应用模块、B上层管理应用模块和安全管理模块;
步骤五:进行所述服务器A和服务器B之间的身份认证和秘钥协商,包括A上层管理应用模块获取服务器A的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器A的IP地址进行签名,获取A上层管理应用模块公钥P2a并签名,然后将签名和公钥P2a给B上层管理应用模块;B上层管理应用模块使用公钥P2a验证服务器A的签名,获得服务器B的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器B的IP地址进行签名,获取B上层管理应用模块的公钥P2b;
步骤六:将所述步骤五服务器B的签名及公钥P2b发送给所述A上层管理应用模块,使用公钥P2a验证服务器B的签名,使用迪菲赫尔曼秘钥协商算法进行对称秘钥协商,传递算法参数给B上层管理应用模块,所述A上层管理应用模块和B上层管理应用模块分别根据迪菲赫尔曼秘钥协商算法计算对称秘钥Key并对应配置到A数据加解密模块和B数据加解密模块中,至此完成服务器A与服务器B的信息交互传输。
作为本发明的进一步改进,所述A数据加解密模块和B数据加解密模块的加解密的具体处理包括:所述A上层管理应用模块发送数据到B上层管理应用模块时,A数据加解密模块通过netfiler子***截获业务数据Data,使用对称加密算法和秘钥Key加密数据Data后生成密文Data’,然后将密文Data’发送给A上层管理应用模块,所述B数据加解密模块通过netfiler子***截获业务数据Data’,使用对称加密算法和秘钥Key解密数据Data’后得到明文Data,至此B上层管理应用模块获得A上层管理应用模块发送的明文Data。
作为本发明的进一步改进,所述配置项包括加密范围、加密的数据类型、配置需要加密数据的业务应用、配置目标地址和端口。
作为本发明的进一步改进,所述安全管理模块执行的指令包括秘钥分发与管理、加解密算法配置、加解密功能开关、加解密策略配置、Linux上层安全管理应用的运行状态管理,所述安全管理模块部署在独立的服务器中。
作为本发明的进一步改进,所述A上层管理应用模块和B上层管理应用模块执行秘钥申请、秘钥保护、分对称加密算法身份认证、对称加密算法的秘钥协商、定时对称秘钥更新机制、运行状态数据上传。
作为本发明的进一步改进,所述A数据加解密模块和B数据加解密模块监听网络数据包、分析数据包中的数据、对称加解密算法。
由于上述技术方案的运用,本发明的技术方案带来的有益技术效果:本技术方案不需要专门对接数据加解密功能,减轻管理开发难度工作量;本技术方案的服务器之间可以在不影响业务正常使用的正常运行情况下进行安全交互能力集成,让服务器具备安全的数据通信能力;本发明能使服务器中的所有应用都具备安全的数据通信能力,一次部署,所有应用使用;本技术方案的服务器与服务器之间的通信具备了基于密码学中的非对称加密算法的身份认证能力,提升了服务器之间的交互信息安全等级,降低了信息外泄的风险。
附图说明
附图1为本发明的整体结构搭建示意图。
附图2为本发明A上层管理应用模块或B上层管理应用模块的初始化过程示意图。
附图3为本发明的A数据加解密模块或B数据加解密模块进行加密策略配置流程示意图。
附图4为本发明的服务器之间进行的身份认证和秘钥协商处理流程示意图。
附图5为本发明A数据加解密模块和B数据加解密模块的加解密处理流程示意图。
具体实施方式
下面结合反应路线及具体实施例对本发明作进一步的详细说明。
如图1-5所示,一种服务器数据安全交互***,包括服务器A、服务器B和安全管理模块,所述服务器A由A端Linux***模块和A端Linux内核模块组成;所述服务器B由B端Linux***模块和B端Linux内核模块组成;所述A端Linux***模块包含有A业务应用模块和A上层管理应用模块,所述A端Linux内核模块包含有A网络传输模块和A数据加解密模块;所述B端Linux***模块包含有B业务应用模块和B上层管理应用模块,所述B端Linux内核模块包含有B网络传输模块和B数据加解密模块;所述服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;所述A端Linux***模块与B端Linux***模块之间互相进行身份认证和密钥协商的数据传输验证;所述A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接。
一种服务器数据安全交互方法,具体包括如下步骤:
步骤一:所述A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥P1,在完成安装并初始化后,获取IP地址,生成临时公私钥对(P0,S0),使用非对称加密算法和安全管理模块公钥P1将临时公钥P0和IP地址进行加密形成密文D0,再将D0传输给安全管理模块;
步骤二:安全管理模块使用本地私钥解密D0,得到IP地址及临时公钥P0,以IP地址作为参数生成公私钥对(P2,S2),使用非对称加密算法和临时公钥P0加密公私钥对(P2,S2)和IP地址后生成密文D1,返回D1给A上层管理应用模块或B上层管理应用模块,使用临时私钥S0解密D1,得到公私钥对(P2,S2)和IP地址,校验解密得到的IP地址和本地获取的IP地址的一致性,校验通过后,加密存储私钥S2,销毁临时公私钥对(P0,S0);
步骤三:进行所述A上层管理应用模块和B上层管理应用模块的加密策略配置通信,包括安全管理模块的管理员登录后选择对应的A上层管理应用模块或B上层管理应用模块的IP地址,设置加密数据的目标IP地址和端口,并设置加密数据使用的加密算法类型;
步骤四:所述A上层管理应用模块和B上层管理应用模块使用对称加密算法和公钥P2加密配置信息,生成密文D’,使用私钥S2解密D’得到配置信息;将对应的配置信息写入所述A数据加解密模块和B数据加解密模块中,并反馈配置结果给A上层管理应用模块、B上层管理应用模块和安全管理模块;
步骤五:进行所述服务器A和服务器B之间的身份认证和秘钥协商,包括A上层管理应用模块获取服务器A的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器A的IP地址进行签名,获取A上层管理应用模块公钥P2a并签名,然后将签名和公钥P2a给B上层管理应用模块;B上层管理应用模块使用公钥P2a验证服务器A的签名,获得服务器B的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器B的IP地址进行签名,获取B上层管理应用模块的公钥P2b;
步骤六:将所述步骤五服务器B的签名及公钥P2b发送给所述A上层管理应用模块,使用公钥P2a验证服务器B的签名,使用迪菲赫尔曼秘钥协商算法进行对称秘钥协商,传递算法参数给B上层管理应用模块,所述A上层管理应用模块和B上层管理应用模块分别根据迪菲赫尔曼秘钥协商算法计算对称秘钥Key并对应配置到A数据加解密模块和B数据加解密模块中,至此完成服务器A与服务器B的信息交互传输。
所述A数据加解密模块和B数据加解密模块的加解密的具体处理包括:所述A上层管理应用模块发送数据到B上层管理应用模块时,A数据加解密模块通过netfiler子***截获业务数据Data,使用对称加密算法和秘钥Key加密数据Data后生成密文Data’,然后将密文Data’发送给A上层管理应用模块,所述B数据加解密模块通过netfiler子***截获业务数据Data’,使用对称加密算法和秘钥Key解密数据Data’后得到明文Data,至此B上层管理应用模块获得A上层管理应用模块发送的明文Data。
所述配置项包括加密范围、加密的数据类型、配置需要加密数据的业务应用、配置目标地址和端口。所述安全管理模块执行的指令包括秘钥分发与管理、加解密算法配置、加解密功能开关、加解密策略配置、Linux上层安全管理应用的运行状态管理,所述安全管理模块部署在独立的服务器中。所述A上层管理应用模块和B上层管理应用模块执行秘钥申请、秘钥保护、分对称加密算法身份认证、对称加密算法的秘钥协商、定时对称秘钥更新机制、运行状态数据上传。所述A数据加解密模块和B数据加解密模块监听网络数据包、分析数据包中的数据、对称加解密算法。
以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (7)

1.一种服务器数据安全交互***,其特征在于:包括服务器A、服务器B和安全管理模块,所述服务器A由A端Linux***模块和A端Linux内核模块组成;所述服务器B由B端Linux***模块和B端Linux内核模块组成;所述A端Linux***模块包含有A业务应用模块和A上层管理应用模块,所述A端Linux内核模块包含有A网络传输模块和A数据加解密模块;所述B端Linux***模块包含有B业务应用模块和B上层管理应用模块,所述B端Linux内核模块包含有B网络传输模块和B数据加解密模块;所述服务器A和服务器B通过网络与安全管理模块进行安全管理及服务器状态监控互联;所述A端Linux***模块与B端Linux***模块之间互相进行身份认证和密钥协商的数据传输验证;所述A端Linux内核模块与B端Linux内核模块之间进行密文传输和数据通信连接。
2.根据权利要求1所述的一种服务器数据安全交互***,其特征在于:所述安全管理模块执行的指令包括秘钥分发与管理、加解密算法配置、加解密功能开关、加解密策略配置、Linux上层安全管理应用的运行状态管理,所述安全管理模块部署在独立的服务器中。
3.根据权利要求1所述的一种服务器数据安全交互***,其特征在于:所述A上层管理应用模块和B上层管理应用模块执行秘钥申请、秘钥保护、分对称加密算法身份认证、对称加密算法的秘钥协商、定时对称秘钥更新机制、运行状态数据上传。
4.根据权利要求1所述的一种服务器数据安全交互***,其特征在于:所述A数据加解密模块和B数据加解密模块监听网络数据包、分析数据包中的数据、对称加解密算法。
5.根据权利要求1所述的一种服务器数据安全交互方法,其特征在于,具体包括如下步骤:
步骤一:所述A上层管理应用模块和B上层管理应用模块先预置安全管理模块的公钥P1,在完成安装并初始化后,获取IP地址,生成临时公私钥对(P0,S0),使用非对称加密算法和安全管理模块公钥P1将临时公钥P0和IP地址进行加密形成密文D0,再将D0传输给安全管理模块;
步骤二:安全管理模块使用本地私钥解密D0,得到IP地址及临时公钥P0,以IP地址作为参数生成公私钥对(P2,S2),使用非对称加密算法和临时公钥P0加密公私钥对(P2,S2)和IP地址后生成密文D1,返回D1给A上层管理应用模块或B上层管理应用模块,使用临时私钥S0解密D1,得到公私钥对(P2,S2)和IP地址,校验解密得到的IP地址和本地获取的IP地址的一致性,校验通过后,加密存储私钥S2,销毁临时公私钥对(P0,S0);
步骤三:进行所述A上层管理应用模块和B上层管理应用模块的加密策略配置通信,包括安全管理模块的管理员登录后选择对应的A上层管理应用模块或B上层管理应用模块的IP地址,设置加密数据的目标IP地址和端口,并设置加密数据使用的加密算法类型;
步骤四:所述A上层管理应用模块和B上层管理应用模块使用对称加密算法和公钥P2加密配置信息,生成密文D’,使用私钥S2解密D’得到配置信息;将对应的配置信息写入所述A数据加解密模块和B数据加解密模块中,并反馈配置结果给A上层管理应用模块、B上层管理应用模块和安全管理模块;
步骤五:进行所述服务器A和服务器B之间的身份认证和秘钥协商,包括A上层管理应用模块获取服务器A的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器A的IP地址进行签名,获取A上层管理应用模块公钥P2a并签名,然后将签名和公钥P2a给B上层管理应用模块;B上层管理应用模块使用公钥P2a验证服务器A的签名,获得服务器B的IP地址,使用非对称算法和A上层管理应用模块私钥S2a对服务器B的IP地址进行签名,获取B上层管理应用模块的公钥P2b;
步骤六:将所述步骤五服务器B的签名及公钥P2b发送给所述A上层管理应用模块,使用公钥P2a验证服务器B的签名,使用迪菲赫尔曼秘钥协商算法进行对称秘钥协商,传递算法参数给B上层管理应用模块,所述A上层管理应用模块和B上层管理应用模块分别根据迪菲赫尔曼秘钥协商算法计算对称秘钥Key并对应配置到A数据加解密模块和B数据加解密模块中,至此完成服务器A与服务器B的信息交互传输。
6.根据权利要求5所述的一种服务器数据安全交互方法,其特征在于:所述A数据加解密模块和B数据加解密模块的加解密的具体处理包括:所述A上层管理应用模块发送数据到B上层管理应用模块时,A数据加解密模块通过netfiler子***截获业务数据Data,使用对称加密算法和秘钥Key加密数据Data后生成密文Data’,然后将密文Data’发送给A上层管理应用模块,所述B数据加解密模块通过netfiler子***截获业务数据Data’,使用对称加密算法和秘钥Key解密数据Data’后得到明文Data,至此B上层管理应用模块获得A上层管理应用模块发送的明文Data。
7.根据权利要求5所述的一种服务器数据安全交互方法,其特征在于:所述配置项包括加密范围、加密的数据类型、配置需要加密数据的业务应用、配置目标地址和端口。
CN201911406299.XA 2019-12-31 2019-12-31 一种服务器数据安全交互*** Active CN111245604B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911406299.XA CN111245604B (zh) 2019-12-31 2019-12-31 一种服务器数据安全交互***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911406299.XA CN111245604B (zh) 2019-12-31 2019-12-31 一种服务器数据安全交互***

Publications (2)

Publication Number Publication Date
CN111245604A true CN111245604A (zh) 2020-06-05
CN111245604B CN111245604B (zh) 2023-07-04

Family

ID=70864191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911406299.XA Active CN111245604B (zh) 2019-12-31 2019-12-31 一种服务器数据安全交互***

Country Status (1)

Country Link
CN (1) CN111245604B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113392413A (zh) * 2021-05-26 2021-09-14 亿次网联(杭州)科技有限公司 一种数据安全存储方法、装置、***和存储介质
CN113806725A (zh) * 2021-11-17 2021-12-17 北京翰凌科技有限公司 一种金融商业数据云交互方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109525570A (zh) * 2018-11-06 2019-03-26 东南大学 一种面向集团客户的数据分层安全访问控制方法
CN109815725A (zh) * 2017-11-20 2019-05-28 北京金融资产交易所有限公司 一种实现数据安全处理的***和方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109815725A (zh) * 2017-11-20 2019-05-28 北京金融资产交易所有限公司 一种实现数据安全处理的***和方法
CN109525570A (zh) * 2018-11-06 2019-03-26 东南大学 一种面向集团客户的数据分层安全访问控制方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113392413A (zh) * 2021-05-26 2021-09-14 亿次网联(杭州)科技有限公司 一种数据安全存储方法、装置、***和存储介质
CN113806725A (zh) * 2021-11-17 2021-12-17 北京翰凌科技有限公司 一种金融商业数据云交互方法
CN113806725B (zh) * 2021-11-17 2022-02-25 北京翰凌科技有限公司 一种金融商业数据云交互方法

Also Published As

Publication number Publication date
CN111245604B (zh) 2023-07-04

Similar Documents

Publication Publication Date Title
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
WO2019100691A1 (zh) 面向工业嵌入式***的网络信息安全防护单元和防护方法
CN111819824A (zh) 在无中间人代理的情况下解密传输层安全流量
Khan et al. Design and implementation of security gateway for synchrophasor based real-time control and monitoring in smart grid
EP3461097A1 (en) Encrypted content detection method and apparatus
CN109600226A (zh) 基于随机数隐式协商的tls协议会话密钥还原方法
CN112235235A (zh) 一种基于国密算法的sdp认证协议实现方法
CN111756530B (zh) 量子服务移动引擎***、网络架构及相关设备
US9672367B2 (en) Method and apparatus for inputting data
CN113127914A (zh) 一种电力物联网数据安全防护方法
CN113329012A (zh) 一种可信执行环境的快速认证方法及***
Li et al. ME-TLS: middlebox-enhanced TLS for internet-of-things devices
CN113411187A (zh) 身份认证方法和***、存储介质及处理器
CN110958224A (zh) 远程串口调试***及方法
CN111245604B (zh) 一种服务器数据安全交互***
Ranjan et al. Security analysis of TLS authentication
CN211352206U (zh) 基于量子密钥分发的IPSec VPN密码机
CN105591748B (zh) 一种认证方法和装置
CN114139176A (zh) 一种基于国密的工业互联网核心数据的保护方法及***
KR20140091221A (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN110417706A (zh) 一种基于交换机的安全通信方法
CN108989302B (zh) 一种基于密钥的opc代理连接***和连接方法
CN107172078B (zh) 一种基于应用服务的核心框架平台的安全管控方法和***
US12010102B1 (en) Hybrid cryptography virtual private networks
Yin et al. Lightweight Secure Identity Authentication Scheme for Restricted IoT Devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant