CN111800467B - 远程同步通信方法、数据交互方法、设备及可读存储介质 - Google Patents
远程同步通信方法、数据交互方法、设备及可读存储介质 Download PDFInfo
- Publication number
- CN111800467B CN111800467B CN202010500704.0A CN202010500704A CN111800467B CN 111800467 B CN111800467 B CN 111800467B CN 202010500704 A CN202010500704 A CN 202010500704A CN 111800467 B CN111800467 B CN 111800467B
- Authority
- CN
- China
- Prior art keywords
- remote
- virtual terminal
- executive
- heterogeneous
- mimicry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种远程同步通信方法、数据交互方法、设备及可读存储介质,所述方法为:拟态虚拟终端生成远程连接请求,并在基于所述远程连接请求生成归一化因子后,将所述远程连接请求和归一化因子复制分发给注册信息列表中的各个远程异构执行体;所述远程异构执行体,在接收到所述归一化因子后生成执行体公钥和私钥,并将执行体公钥返回至所述拟态虚拟终端;所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥后生成会话密钥,接着,采用所述执行体公钥对所述会话密钥加密并发送至各个远程异构执行体,以通知各个远程异构执行体开启SSH服务功能。本发明实现基于SSH协议的多个拟态异构冗余执行体资源的同步管理。
Description
技术领域
本发明涉及基于SSH安全协议的异构执行体管理技术领域,具体的说,涉及了一种远程同步通信方法、数据交互方法、设备及可读存储介质。
背景技术
虚拟终端是一种提供类似于Internet的Telnet协议的远程终端仿真功能软件;其目的是使得个人电脑的用户可以与远程计算机、网络设备进行连接,而不必使用专门的终端。虚拟终端与远程计算机通信所使用的主流协议包括Telnet、SSH等。但是,Telnet是一个明文传送协议,它使用明文在互联网上传送用户名、密码和数据等内容,具有一定的安全隐患;中间人非常容易截获这些口令和数据。Telnet协议的安全验证方式也存在弱点:易受到“中间人”(man-in-the-middle)这种方式的攻击;所谓“中间人”的攻击方式指的是“中间人”冒充真正的服务器接收客户端传给服务器的数据,然后再冒充客户端把数据传给真正的服务器;也就是说,服务器和客户端之间的数据传送被“中间人”转手之后,极有可能出现很严重的问题。
而,SSH(全称Secure Shell)协议由IETF的网络小组(Network Working Group)所制定,建立在应用层技术上,专为远程登录会话和其他网络服务提供安全性的标准的网络协议,可用于大多数UNIX操作***,能够实现字符界面的远程登录管理,采用密文的形式在网络中传输数据,具有更高的安全性;因此,相对于Telnet协议,SSH协议基于非对称加密算法可以有效解决远程管理过程中的信息泄露问题。通过使用SSH协议,客户端把所有传输的数据进行加密,这样“中间人”这种攻击方式就无法实现了,而且也能够防止DNS欺骗和IP欺骗。
客户端和服务器之间的SSH协议通信过程为:(1)要连接到服务器的客尸端主机产生一对密钥,一个私钥和一个公钥。私钥用来标识本地主机,存放在本地,通常为1024位,对私钥的保存提倡设置密码。公钥用来存放在服务器的固定目录中,用于认证客户端用户身份。(2)启动服务器的sshd(SSH Daemon)服务。启动时***会产生一对服务器密钥(通常为768位),这个密钥在使用中通常每小时更换一次,并且不存在磁盘上。(3)服务器不断检查是否有新连接,如果有,则把768位服务器密钥和1024位客户端公钥发送给客户端。(4)客户端接收到768位服务器密钥和1024位客户端自身的公钥后产生一个256位的随机数,使用接收到的服务器公钥和客户端公钥加密这个随机数,并发送给服务器。(5)服务器和客户端把这个随机数用作对称加密算法的密钥,在通信中对通信内容加密,在客户端还要使用客户端私钥产生数字签名,此后,双方即可开始数据交换。也就是说,首先服务端会通过非对称加密产生一个公钥和私钥,且这个公钥和私钥是动态的变化的;在客户端向一个服务端发起请求时,服务端将服务端公钥暴露给客户端;在客户端向另外一个服务端发起请求时,该服务端也会将服务端公钥暴露给客户端,显然,这两个服务端公钥必定是不同的;也就是说,在同一时间,一个客户端只能与一个服务端之间建立安全通道,即一个客户端不能同时管理两个服务端。
网络空间拟态防御理论架构由输入代理、异构构件集、策略调度算法、执行体集和多模表决器组成;***的输入代理将输入复制转发给当前服务集中各执行体,这些执行体的输出矢量提交给表决器进行表决,得到***输出。因此,即网络空间拟态防御理论架构中需要通过同一虚拟终端远程同步管理多个设备;但是,由于SSH协议加密算法随机性因素(像加密算法采用的随机种子等),用户无法通过同一个传统虚拟终端同时与多个执行体建立连接,即在同一时间,一个传统虚拟终端只能远程控制服务集中的一个执行体,继而导致输入代理无法基于SSH协议同时远程控制服务集中的多个执行体。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供一种远程同步通信方法、数据交互方法、设备及可读存储介质。
为了实现上述目的,本发明所采用的技术方案是:
本发明第一方面提供一种远程同步通信方法,所述远程同步通信方法包括:
远程异构执行体上线后,向拟态虚拟终端发送注册信息;所述拟态虚拟终端接收所述注册信息,并构建注册信息列表;
所述拟态虚拟终端生成远程连接请求,并在基于所述远程连接请求生成归一化因子后,将所述远程连接请求和归一化因子复制分发给注册信息列表中的各个远程异构执行体;
所述远程异构执行体,在接收到所述归一化因子后生成执行体公钥和私钥,并将执行体公钥返回至所述拟态虚拟终端;
所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥后生成会话密钥,采用所述执行体公钥对所述会话密钥加密并发送至各个远程异构执行体,以通知各个远程异构执行体开启SSH服务功能;
所述远程异构执行体接收到会话密钥密文后,采用执行体私钥进行解密获得会话密钥明文,构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道。
本发明第二方面提供一种数据交互方法,执行上述的远程同步通信方法,构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道后,执行:
所述拟态虚拟终端采用所述会话密钥对用户指令数据进行加密以获得加密数据包,并将所述加密数据包复制分发给注册信息列表中的各个远程异构执行体;所述远程异构执行体对接收到的加密数据包解密后,执行相应操作,并将采用会话密钥对执行结果加密后返回至所述拟态虚拟终端;
所述拟态虚拟终端采用执行体公钥对各个执行结果密文进行解密,并基于预置的裁决规则进行裁决,以输出一条响应结果。
本发明第三方面提供一种基于SSH协议的远程同步通信设备,所述远程同步通信设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的远程同步通信程序,所述远程同步通信程序被所述处理器执行时实现如上述的远程同步通信方法的步骤。
本发明第四方面提供一种基于SSH协议的数据交互设备,所述数据交互设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的数据交互程序,所述数据交互程序被所述处理器执行时实现如上述的数据交互方法的步骤。
本发明第五方面提供一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如上述的远程同步通信方法的步骤。
本发明第六方面提供另一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如上述的数据交互方法的步骤。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说:
1)本发明通过将SSH协议中的随机因素进行归一化处理,在一个拟态虚拟终端与多个远程异构执行体之间构建同步通信通道,实现了多个拟态异构冗余执行体资源的同步管理;同时基于SSH安全协议,本发明中一个拟态虚拟终端与多个远程异构执行体之间所有传输的数据都会进行加密,同时避免“中间人”这种攻击方式,从而极大提升了拟态防御架构管理输入代理的安全性,可以有效防止数据传输过程中的信息泄露问题;
2)基于本发明的拟态虚拟终端和异构执行体,能够将用户的输入命令,同步分发给各个远程异构执行体进行执行,实现异构冗余执行体的同步管理及配置,同时实现了在同一SSH输入激励规范下,各个远程异构执行体上SSH服务同时产生完全一致的输出响应。
附图说明
图1是示出本发明的准备阶段对应的示意图。
图2是示出本发明的同步通信通道构建阶段对应的示意图。
图3是示出本发明的数据交互阶段对应的示意图。
图4是示出本发明的准备阶段、同步通信通道构建阶段的时序图。
图5是示出本发明的数据交互阶段的时序图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
一种远程同步通信方法,所述远程同步通信方法包括:准备阶段和SSH同步通信通道构建阶段;
如附图1所示,准备阶段,执行以下操作:远程异构执行体上线后,向拟态虚拟终端发送注册信息;所述拟态虚拟终端接收所述注册信息,并构建注册信息列表;
同步通信通道构建阶段,执行以下操作:所述拟态虚拟终端生成远程连接请求,并在基于所述远程连接请求生成归一化因子后,将所述远程连接请求和归一化因子复制分发给注册信息列表中的各个远程异构执行体,如附图2所示;所述远程异构执行体,在接收到所述归一化因子后生成执行体公钥和私钥,并将执行体公钥返回至所述拟态虚拟终端;所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥后生成会话密钥,采用所述执行体公钥对所述会话密钥加密并发送至各个远程异构执行体,以通知各个远程异构执行体开启SSH服务功能;所述远程异构执行体接收到会话密钥密文后,采用执行体私钥进行解密获得会话密钥明文,构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道;
进一步的,所述归一化因子包括密码参数,所述密码参数用于为远程异构执行体生成执行体公钥和私钥提供随机种子。
需要说明的是,各个远程异构执行体中安装有进行归一化处理的SSH服务,以与所述拟态虚拟终端进行配合,实现各个异构执行体的远程同步控制。
为了确保所述拟态虚拟终端接收到的执行体公钥为目标远程异构执行体的执行体公钥,在所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥之前,还执行:向各个远程异构执行体发送身份验证请求;各个远程异构执行体接收到所述身份验证请求后,向所述拟态虚拟终端返回身份认证信息;所述拟态虚拟终端根据所述身份认证信息与注册信息的一致性判断对应的远程异构执行体是否合法;以便拟态虚拟终端确认接收到的执行体公钥是否为目标远程异构执行体发送的执行体公钥。
可以理解,通过上述验证步骤,所述拟态虚拟终端在接收远程异构执行体的执行体公钥之前,能够对远程异构执行体的身份进行验证,并对不合法的远程异构执行体进行标记;因此,所述拟态虚拟终端在接收远程异构执行体的执行体公钥后,能够获知发送执行体公钥的远程异构执行体是否合法;并在搭建同步通信通道时,避开不合法的远程异构执行体,进一步提高基于SSH协议远程同步管理的安全性。
如附图4所示,在具体的实施例中,准备阶段和同步通信通道构建阶段可以包括以下过程:
每个上线的异构执行体均生成注册信息,并发送至所述拟态虚拟终端;所述注册信息包括异构执行体的唯一标识码、IP地址和端口号等信息;
所述拟态虚拟终端的第二管理模块(Minicsh Server),接收所述注册信息,并构建异构执行体集对应的注册信息列表;
需要远程控制时,所述拟态虚拟终端的第一管理模块(Minicsh Client)生成远程连接请求,并传输至所述拟态虚拟终端的第二管理模块(Minicsh Server);
所述拟态虚拟终端的第二管理模块(Minicsh Server)基于所述远程连接请求生成归一化因子,并将所述远程连接请求和归一化因子复制分发给注册信息列表中的各个远程异构执行体;
每个远程异构执行体均接收所述远程连接请求和所述归一化因子,且每个远程异构执行体接收到的归一化因子一致;
所述拟态虚拟终端的第二管理模块(Minicsh Server)生成身份验证请求,并发送至各个远程异构执行体;
各个远程异构执行体接收身份验证请求,并向所述拟态虚拟终端返回身份认证信息;例如,三个或者三个以上的远程异构执行;
所述拟态虚拟终端的第二管理模块(Minicsh Server)根据所述身份认证信息与注册信息的一致性判断对应的远程异构执行体是否合法;
每个远程异构执行体基于相同归一化因子,采用相同的加密算法生成各自的执行体公钥和私钥,并将执行体公钥返回至所述拟态虚拟终端的第二管理模块(MinicshServer);由于每个远程异构执行体采用的随机种子和加密算法均相同,因此每个远程异构执行体对应的执行体公钥也相同;
所述拟态虚拟终端的第二管理模块(Minicsh Server)接收执行体公钥,并对不合法的远程异构执行体进行标记;
所述拟态虚拟终端的第一管理模块(Minicsh Client)接收所述拟态虚拟终端的第二管理模块(Minicsh Server)转发的执行体公钥后,拟态虚拟终端基于相同的执行体公钥生成相同的会话密钥;
所述拟态虚拟终端的第一管理模块(Minicsh Client)采用执行体公钥对会话密钥进行加密,并发送至所述拟态虚拟终端的第二管理模块(Minicsh Server);
所述拟态虚拟终端的第二管理模块(Minicsh Server)将会话密钥密文复制转发至未进行标记的远程异构执行体,以提高远程控制的安全性;
所述远程异构执行体接收会话密钥密文,采用执行体私钥进行解密,获得会话密钥明文。
可以理解,在同步通信通道构建时,各个远程异构执行体均不能独自生成执行体公钥和私钥,需要基于拟态虚拟终端发送的归一化因子获取执行体公钥和私钥,由于归一化因子和加密算法均相同,拟态虚拟终端基于相同的执行体公钥生成相同的会话密钥;因此,执行体集中的各个远程异构执行体最终生成的执行体公钥和私钥是相同的,从而消除了SSH协议加密算法随机性,使得一个拟态虚拟终端可以与多个远程异构执行体同时建立SSH连接,实现拟态虚拟终端对多个远程异构执行体的同步远程管理。
综上所述,本发明通过将SSH协议中的随机因素进行归一化处理,在一个拟态虚拟终端与多个远程异构执行体之间构建同步通信通道,实现了多个拟态异构冗余执行体资源的同步管理。
实施例2
本实施例给出了一种数据交互方法,执行实施例1中的远程同步通信方法,构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道后,执行:
如附图3所示,所述拟态虚拟终端采用所述会话密钥对用户指令数据进行加密以获得加密数据包,并将所述加密数据包复制分发给注册信息列表中的各个远程异构执行体;所述远程异构执行体对接收到的加密数据包解密后,执行相应操作,并将采用会话密钥对执行结果加密后返回至所述拟态虚拟终端;所述拟态虚拟终端采用执行体公钥对各个执行结果密文进行解密,并基于预置的裁决规则进行裁决,以输出一条响应结果。
需要说明的是,在构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道时,所述拟态虚拟终端还生成初始序列号并随远程连接请求和归一化因子一起复制分发给注册信息列表中的各个远程异构执行体;所述初始序列号用于供远程异构执行体确认接收到的加密数据包是否合法。
可以理解,在数据交互阶段,所述拟态虚拟终端输出加密数据包对应的序列号是与初始序列号连续的;远程异构执行体在接收到加密数据包进行解密后,读取对应的序列号并与初始序列号进行对比;若读取的序列号与远程异构执行体存储的初始序列号连续,则确认该加密数据包来自目标拟态虚拟终端;若读取的序列号与远程异构执行体存储的初始序列号不连续,则确认该加密数据包来自其他不合法的拟态虚拟终端;从而在数据交互阶段进一步保证拟态防御架构管理输入代理的安全性。
如附图5所示,在具体的实施例中,数据交互阶段可以包括以下过程:
所述拟态虚拟终端的第一管理模块(Minicsh Client)采用会话密钥对账号名和用户密码进行加密,并发送至所述拟态虚拟终端的第二管理模块(Minicsh Server);
所述拟态虚拟终端的第二管理模块(Minicsh Server)将账号名和用户密码密文转发至未进行标记的各个远程异构执行体;
各个远程异构执行体采用会话密钥对账号名和用户密码密文进行解密,获得账号名和用户密码明文;将账号名和用户密码明文与预置的用户信息进行比对,并向所述拟态虚拟终端的第二管理模块(Minicsh Server)返回身份验证结果;
所述拟态虚拟终端对应的用户身份验证通过后,所述拟态虚拟终端的第一管理模块(Minicsh Client)采用所述会话密钥对需要传输的用户指令数据进行加密以获得加密数据包,并发送至所述拟态虚拟终端的第二管理模块(Minicsh Server);
所述拟态虚拟终端的第二管理模块(Minicsh Server)将所述加密数据包复制分发给各个远程异构执行体;
各个远程异构执行体采用会话密钥对加密数据包进行解密,并根据加密数据包的序列号与归一化因子中序列号的连续性,判断所述加密数据包是否合法;
确认所述加密数据包合法后,各个远程异构执行体执行相应操作,并向所述拟态虚拟终端的第二管理模块(Minicsh Server)返回加密后的执行结果;
所述拟态虚拟终端的第二管理模块(Minicsh Server)采用会话密钥对加密后的执行结果进行解密,并基于预置的裁决规则进行裁决,以输出一条响应结果。
所述拟态虚拟终端的第一管理模块(Minicsh Client)接收并向用户展示所述响应结果。
可以理解,在数据交互阶段,所述拟态虚拟终端通过账号名和用户密码登录各个远程异构执行体,以使各个远程异构执行体验证所述拟态虚拟终端的身份,防止所述拟态虚拟终端被冒用,即确保与各个远程异构执行体SSH连接的拟态虚拟终端是可信的,从而提高远程同步通信方法的可信性。
进一步的,在构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道时,所述拟态虚拟终端发送的归一化因子包括密码参数,所述密码参数用于为远程异构执行体生成执行体公钥和私钥提供随机种子。
在构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道时,为了确保所述拟态虚拟终端接收到的执行体公钥为目标远程异构执行体的执行体公钥,在所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥之前,还执行:向各个远程异构执行体发送身份验证请求;各个远程异构执行体接收到所述身份验证请求后,向所述拟态虚拟终端返回身份认证信息;所述拟态虚拟终端根据所述身份认证信息与注册信息的一致性判断对应的远程异构执行体是否合法。
可以理解,通过上述验证步骤,所述拟态虚拟终端在接收远程异构执行体的执行体公钥之前,能够对远程异构执行体的身份进行验证,并对不合法的远程异构执行体进行标记;因此,所述拟态虚拟终端在接收远程异构执行体的执行体公钥后,能够获知发送执行体公钥的远程异构执行体是否合法;并在搭建同步通信通道时,避开不合法的远程异构执行体,进一步提高基于SSH协议远程同步管理的安全性。
在进行数据交互时,能够将用户的输入命令,同步分发给各个远程异构执行体进行执行,实现异构冗余执行体的同步管理及配置,同时实现了在同一SSH输入激励规范下,各个远程异构执行体上SSH服务同时产生完全一致的输出响应;本发明中一个拟态虚拟终端与多个远程异构执行体之间是基于SSH安全协议进行通信的,通过一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道传输所有的数据都会进行加密,避免了“中间人”这种攻击方式,从而极大提升了拟态防御架构管理输入代理的安全性,可以有效防止数据传输过程中的信息泄露问题。
实施例3
本实施例与上述实施例的区别在于:所述拟态虚拟终端生成会话密钥时,执行:所述拟态虚拟终端生成私钥分量Ⅰ,注册信息列表中的各个远程异构执行体分别生成各自的私钥分量,所述拟态虚拟终端基于私钥分量Ⅰ、各个远程异构执行体基于各自的私钥分量协同运算生成会话密钥。
需要说明的是,由于所述拟态虚拟终端与各个远程异构执行体之间远程控制过程中,使用的会话密钥是该拟态虚拟终端与注册信息列表中的各个远程异构执行体协同运算生成的,所以每当有新的远程异构执行体上线或有远程异构执行体下线,即注册信息列表中的远程异构执行体发生变化时,该拟态虚拟终端会与注册信息列表中的各个远程异构执行体重新协同运算生成的新的会话密钥;因此,通过一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道进行数据交互时,所使用的会话密钥是动态的,从而进一步保证所述拟态虚拟终端与各个远程异构执行体之间远程同步通信的安全可靠性。
实施例4
本实施例给出了一种基于SSH协议的拟态虚拟终端的具体实施方式。
本实施例中,所述拟态虚拟终端包括第一管理模块(Minicsh Client)和第二管理模块(Minicsh Server),所述第一管理模块包括连接启动模块和第一确认模块,所述第二管理模块包括注册信息管理模块和归一化处理模块;
所述注册信息管理模块,用于接收远程异构执行体的注册信息,以建立注册信息列表;所述注册信息包括异构执行体的唯一标识码、IP地址和端口号等信息;
所述连接启动模块,用于生成用于连接远程异构执行体的远程连接请求;
所述归一化处理模块,用于基于所述远程连接请求生成归一化因子,并将所述远程连接请求和归一化因子复制分发给注册信息列表中的各个远程异构执行体;其中,所述归一化因子包括密码参数和序列号,所述密码参数用于为远程异构执行体生成执行体公钥和私钥提供随机种子,所述序列号用于供远程异构执行体确认接收到的加密数据包是否合法;
所述第一确认模块,用于在接收到远程异构执行体返回的执行体公钥后,生成会话密钥;以及采用所述执行体公钥对所述会话密钥进行加密并发送至各个远程异构执行体,以建立一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道。
可以理解,本实施例提出一种改进的拟态虚拟终端;通过将异构执行体中的加密模块的部分功能前置至拟态虚拟终端,即异构执行体不能生成随机种子,异构执行体生成执行体公钥和执行体私钥所需要随机种子必须来自拟态虚拟终端。
进一步的,所述第一管理模块还包括第一身份验证模块和指令传输模块,所述第二管理模块还包括裁决模块;所述第一身份验证模块,用于采用所述会话密钥对账号名和用户密码进行加密,并发送至注册信息列表中的各个远程异构执行体,以使远程异构执行体验证所述拟态虚拟终端对应的用户身份;所述指令传输模块,用于在远程异构执行体确认用户身份后,采用所述会话密钥对用户指令数据进行加密以获得加密数据包,并将所述加密数据包复制分发给注册信息列表中的各个远程异构执行体;所述裁决模块预置裁决规则,用于接收各个远程异构执行体的执行结果密文,采用执行体公钥对各个执行结果密文进行解密,并基于预置的裁决规则对执行结果明文进行一致性裁决或者相似性裁决,生成一个响应结果。
可以理解,在数据交互阶段,所述拟态虚拟终端通过账号名和用户密码登录各个远程异构执行体,以使各个远程异构执行体验证所述拟态虚拟终端的身份,防止所述拟态虚拟终端被冒用,即确保与各个远程异构执行体SSH连接的拟态虚拟终端是可信的,从而提高远程同步通信方法的可信性。
进一步的,所述拟态虚拟终端还包括第二身份验证模块,所述第二身份验证模块用于向各个远程异构执行体发送身份验证请求,接收各个远程异构执行体返回的身份认证信息,并根据所述身份认证信息与注册信息的一致性判断对应的远程异构执行体是否合法。
可以理解,在同步通信通道构建之前,所述拟态虚拟终端还对各个远程异构执行体进行身份验证,以确保与拟态虚拟终端SSH连接的各个远程异构执行体是合法且可信的,从而进一步提高远程同步通信方法的可信性。
实施例5
本实施例中一种基于SSH协议的异构执行体的具体实施方式。
本实施例中,所述异构执行体包括密钥生成模块和第二确认模块;所述密钥生成模块,用于接收拟态虚拟终端发送的远程连接请求和归一化因子,基于所述归一化因子生成执行体公钥和私钥,并将执行体公钥返回至所述拟态虚拟终端;所述第二确认模块,用于接收所述拟态虚拟终端发送的会话密钥密文,并采用执行体私钥进行解密,获得会话密钥明文,以开通该拟态虚拟终端与多个远程异构执行体之间的同步通信通道。
本实施例中,所述异构执行体还包括第三确认模块,所述第三确认模块,用于接收加密后的账号名和用户密码,采用会话密钥进行解密,以确认拟态虚拟终端对应的用户身份是否合法,并将身份验证结果返回至所述拟态虚拟终端。
可以理解,在同步通信通道构建时,通过将异构执行体中的加密模块的部分功能前置至拟态虚拟终端,各个远程异构执行体均不能独自生成执行体公钥和私钥,需要基于拟态虚拟终端发送的归一化因子获取执行体公钥和私钥,由于归一化因子和加密算法均相同,拟态虚拟终端基于相同的执行体公钥生成相同的会话密钥;因此,执行体集中的各个远程异构执行体最终生成的执行体公钥和私钥是相同的,从而消除了SSH协议加密算法随机性,使得一个拟态虚拟终端可以与多个远程异构执行体同时建立SSH连接,实现拟态虚拟终端对多个远程异构执行体的同步远程管理。
进一步的,所述异构执行体还包括第二身份验证模块;所述第二身份验证模块用于在接收到拟态虚拟终端发送的身份验证请求后,生成异构执行体的身份认证信息,并采用执行体私钥加密后发送至所述拟态虚拟终端,以确认异构执行体是否合法;其中,所述身份认证信息包括异构执行体的注册信息。
可以理解,本实施例还提出另一种改进的异构执行体,各个异构执行体基于身份验证请求生成身份认证信息并发送至拟态虚拟终端,以便拟态虚拟终端对异构执行体进行验证,确保与拟态虚拟终端SSH连接的各个远程异构执行体是合法且可信的,从而进一步提高远程同步通信方法的可信性。
可以理解,一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道,呈现给用户就像和一个远程异构执行体建立连接。所述拟态虚拟终端将一个加密数据包同步复制分发给不同的远程异构执行体,并同步接收远程异构执行体返回的执行结果,对各个远程异构执行体执行结果进行裁决,输出一个相应结果。
实施例6
本实施例给出了一种基于SSH协议的远程同步通信设备,所述远程同步通信设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的远程同步通信程序,所述远程同步通信程序被所述处理器执行时实现如上述的远程同步通信方法的步骤。
本实施例还给出了一种基于SSH协议的数据交互设备,所述数据交互设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的数据交互程序,所述数据交互程序被所述处理器执行时实现如上述的数据交互方法的步骤。
本实施例还给出了一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如上述的远程同步通信方法的步骤。
本实施例还给出了另一种可读存储介质,其上存储有指令,该指令被处理器执行时实现如上述的数据交互方法的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的设备/终端和方法,可以通过其它的方式实现。例如,以上所描述的***实施例仅仅是示意性的,例如,上述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (10)
1.一种远程同步通信方法,其特征在于,所述远程同步通信方法包括:
远程异构执行体上线后,向拟态虚拟终端发送注册信息;所述拟态虚拟终端接收所述注册信息,并构建注册信息列表;
所述拟态虚拟终端生成远程连接请求,并在基于所述远程连接请求生成归一化因子后,将所述远程连接请求和归一化因子复制分发给注册信息列表中的各个远程异构执行体;
所述远程异构执行体,在接收到所述归一化因子后生成执行体公钥和私钥,并将执行体公钥返回至所述拟态虚拟终端;
所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥后生成会话密钥,采用所述执行体公钥对所述会话密钥加密并发送至各个远程异构执行体,以通知各个远程异构执行体开启SSH服务功能;
所述远程异构执行体接收到会话密钥密文后,采用执行体私钥进行解密获得会话密钥明文,构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道;
每个远程异构执行体基于相同归一化因子,采用相同的加密算法生成各自的执行体公钥和私钥;由于每个远程异构执行体采用的随机种子和加密算法均相同,因此每个远程异构执行体对应的执行体公钥也相同。
2.根据权利要求1所述的远程同步通信方法,其特征在于:在所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥之前,还执行:向各个远程异构执行体发送身份验证请求;各个远程异构执行体接收到所述身份验证请求后,向所述拟态虚拟终端返回身份认证信息;所述拟态虚拟终端根据所述身份认证信息与注册信息的一致性判断对应的远程异构执行体是否合法。
3.根据权利要求1所述的远程同步通信方法,其特征在于:所述拟态虚拟终端生成会话密钥时,执行:所述拟态虚拟终端生成私钥分量Ⅰ,注册信息列表中的各个远程异构执行体分别生成各自的私钥分量,所述拟态虚拟终端基于私钥分量Ⅰ、各个远程异构执行体基于各自的私钥分量协同运算生成会话密钥。
4.一种数据交互方法,其特征在于,执行权利要求1至3任一项所述的远程同步通信方法,构建一个拟态虚拟终端与多个远程异构执行体之间的同步通信通道后,执行:
所述拟态虚拟终端采用会话密钥对用户指令数据进行加密以获得加密数据包,并将所述加密数据包复制分发给注册信息列表中的各个远程异构执行体;所述远程异构执行体对接收到的加密数据包解密后,执行相应操作,并将采用会话密钥对执行结果加密后返回至所述拟态虚拟终端;
所述拟态虚拟终端采用执行体公钥对各个执行结果密文进行解密,并基于预置的裁决规则进行裁决,以输出一条响应结果。
5.根据权利要求4所述的数据交互方法,其特征在于:在所述拟态虚拟终端接收到各个远程异构执行体的执行体公钥之前,还执行:向各个远程异构执行体发送身份验证请求;各个远程异构执行体接收到所述身份验证请求后,向所述拟态虚拟终端返回身份认证信息;所述拟态虚拟终端根据所述身份认证信息与注册信息的一致性判断对应的远程异构执行体是否合法。
6.根据权利要求4所述的数据交互方法,其特征在于:所述拟态虚拟终端生成会话密钥时,执行:所述拟态虚拟终端生成私钥分量Ⅰ,注册信息列表中的各个远程异构执行体分别生成各自的私钥分量,所述拟态虚拟终端基于私钥分量Ⅰ、各个远程异构执行体基于各自的私钥分量协同运算生成会话密钥。
7.一种基于SSH协议的远程同步通信设备,其特征在于:包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的远程同步通信程序,所述远程同步通信程序被所述处理器执行时实现如权利要求1-3任一项所述的远程同步通信方法的步骤。
8.一种基于SSH协议的数据交互设备,其特征在于:包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的数据交互程序,所述数据交互程序被所述处理器执行时实现如权利要求4-6任一项所述的数据交互方法的步骤。
9.一种可读存储介质,其上存储有指令,其特征在于:该指令被处理器执行时实现如权利要求1-3任一项所述的远程同步通信方法的步骤。
10.一种可读存储介质,其上存储有指令,其特征在于:该指令被处理器执行时实现如权利要求4-6任一项所述的数据交互方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010500704.0A CN111800467B (zh) | 2020-06-04 | 2020-06-04 | 远程同步通信方法、数据交互方法、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010500704.0A CN111800467B (zh) | 2020-06-04 | 2020-06-04 | 远程同步通信方法、数据交互方法、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111800467A CN111800467A (zh) | 2020-10-20 |
| CN111800467B true CN111800467B (zh) | 2023-02-14 |
Family
ID=72804112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010500704.0A Active CN111800467B (zh) | 2020-06-04 | 2020-06-04 | 远程同步通信方法、数据交互方法、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111800467B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112751879B (zh) * | 2021-01-08 | 2023-06-27 | 北京润通丰华科技有限公司 | 一种拟态dns防御***通信加密和解密方法 |
| CN113259344B (zh) * | 2021-05-11 | 2023-04-07 | 商汤国际私人有限公司 | 远程访问方法及装置、电子设备和存储介质 |
| CN113904805B (zh) * | 2021-09-06 | 2023-09-08 | 河南信大网御科技有限公司 | 基于认证卸载的拟态通信方法及*** |
| CN114143031B (zh) * | 2021-11-01 | 2023-07-07 | 北京银盾泰安网络科技有限公司 | 一种基于Web和SSH的远程加密平台 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2862596A1 (en) * | 2011-12-05 | 2013-06-13 | Persistent Telecom Solutions Inc. | Universal pluggable cloud disaster recovery system |
| CN104023013A (zh) * | 2014-05-30 | 2014-09-03 | 上海帝联信息科技股份有限公司 | 数据传输方法、服务端和客户端 |
| CN108111301A (zh) * | 2017-12-13 | 2018-06-01 | 中国联合网络通信集团有限公司 | 基于后量子密钥交换实现ssh协议的方法及其*** |
| CN109472130A (zh) * | 2018-11-13 | 2019-03-15 | 试金石信用服务有限公司 | Linux密码管理方法、中控机、可读存储介质 |
| CN110247928A (zh) * | 2019-06-29 | 2019-09-17 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
| CN110808829A (zh) * | 2019-09-27 | 2020-02-18 | 国电南瑞科技股份有限公司 | 一种基于密钥分配中心的ssh认证方法 |
-
2020
- 2020-06-04 CN CN202010500704.0A patent/CN111800467B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2862596A1 (en) * | 2011-12-05 | 2013-06-13 | Persistent Telecom Solutions Inc. | Universal pluggable cloud disaster recovery system |
| CN104023013A (zh) * | 2014-05-30 | 2014-09-03 | 上海帝联信息科技股份有限公司 | 数据传输方法、服务端和客户端 |
| CN108111301A (zh) * | 2017-12-13 | 2018-06-01 | 中国联合网络通信集团有限公司 | 基于后量子密钥交换实现ssh协议的方法及其*** |
| CN109472130A (zh) * | 2018-11-13 | 2019-03-15 | 试金石信用服务有限公司 | Linux密码管理方法、中控机、可读存储介质 |
| CN110247928A (zh) * | 2019-06-29 | 2019-09-17 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
| CN110808829A (zh) * | 2019-09-27 | 2020-02-18 | 国电南瑞科技股份有限公司 | 一种基于密钥分配中心的ssh认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111800467A (zh) | 2020-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111740964B (zh) | 远程同步通信方法、拟态虚拟终端、异构执行体及介质 | |
| CN111800467B (zh) | 远程同步通信方法、数据交互方法、设备及可读存储介质 | |
| CN109088889B (zh) | 一种ssl加解密方法、***及计算机可读存储介质 | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和*** | |
| Ylonen | SSH–secure login connections over the Internet | |
| US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
| RU2417422C2 (ru) | Услуга распределенной единой регистрации в сети | |
| US8291231B2 (en) | Common key setting method, relay apparatus, and program | |
| CN101605137B (zh) | 安全分布式文件*** | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| US20090210712A1 (en) | Method for server-side detection of man-in-the-middle attacks | |
| CN110808829B (zh) | 一种基于密钥分配中心的ssh认证方法 | |
| US20060053289A1 (en) | Peer-to-peer communications | |
| CN111770088A (zh) | 数据鉴权方法、装置、电子设备和计算机可读存储介质 | |
| CA2654381A1 (en) | Policy driven, credential delegation for single sign on and secure access to network resources | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| JP5012173B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
| CN111756530B (zh) | 量子服务移动引擎***、网络架构及相关设备 | |
| CN113411187B (zh) | 身份认证方法和***、存储介质及处理器 | |
| CN114513339A (zh) | 一种安全认证方法、***及装置 | |
| Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN113545004A (zh) | 具有减少攻击面的认证*** | |
| JP2005175992A (ja) | 証明書配布システムおよび証明書配布方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |