[发明专利]安全保护部件互联结构化系统及实现方法有效
申请号: | 201711072942.0 | 申请日: | 2017-11-04 |
公开(公告)号: | CN107846279B | 公开(公告)日: | 2021-08-27 |
发明(设计)人: | 陶源;李明 | 申请(专利权)人: | 公安部第三研究所 |
主分类号: | H04L9/08 | 分类号: | H04L9/08;H04L9/32 |
代理公司: | 上海天翔知识产权代理有限公司 31224 | 代理人: | 刘常宝 |
地址: | 200031*** | 国省代码: | 上海;31 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 安全 保护 部件 联结 系统 实现 方法 | ||
本发明公开了安全保护部件互联结构化系统及实现方法,本方案通过密钥分发模块、可信度量模块以及可信传输模块来实现,密钥分发模块作为可信认证基,支持主机证书请求及下发,接收并处理可信身份验证请求;可信度量模块用于接收安全保护部件的可信度量请求,将度量请求发送到密钥分发模块,收到度量成功结果则转发连接请求到可信传输模块,收到度量失败结果则终止通信;可信传输模块用于接收安全保护部件的可信传输请求,并进行协商密钥,密钥交换。本发明通过可信计算技术保证通信部件的可信性,通过通道完整性保护实现部件连接的可信。
技术领域
本发明涉及网络安全技术,具体涉及安全保护部件互联结构化技术。
背景技术
传统的通信方式,是在进程间通信,通过连接发起方发出连接请求,接收方处理接收请求,连接过程成功则建立通道进行通信。
以TCP连接过程三次握手连接过程为例,所谓三次握手(Three-Way Handshake)即建立TCP连接,就是指建立一个TCP连接时,需要客户端和服务端总共发送3个包以确认连接的建立。在socket编程中,这一过程由客户端执行connect来触发,如图1所示,整个流程如下:
(1)第一次握手:Client将标志位SYN置为1,随机产生一个值seq=J,并将该数据包发送给Server,Client进入SYN_SENT状态,等待Server确认。
(2)第二次握手:Server收到数据包后由标志位SYN=1知道Client请求建立连接,Server将标志位SYN和ACK都置为1,ack=J+1,随机产生一个值seq=K,并将该数据包发送给Client以确认连接请求,Server进入SYN_RCVD状态。
(3)第三次握手:Client收到确认后,检查ack是否为J+1,ACK是否为1,如果正确则将标志位ACK置为1,ack=K+1,并将该数据包发送给Server,Server检查ack是否为K+1,ACK是否为1,如果正确则连接建立成功,Client和Server进入ESTABLISHED状态,完成三次握手,随后Client与Server之间可以开始传输数据了。
传统通信方式存在两个安全问题:1、通信的主体Client和Server的身份可能被冒用;2、通信过程容易被截获、窃听甚至通信信息被恶意篡改。
发明内容
针对现有通信方式在安全方面所存在的问题,需要一种新的安全通信方案。
为此,本发明的目的在于提供一种安全保护部件互联结构化系统及实现方法,以实现安全保护部件通信连接的结构化。
为了达到上述目的,本发明提供的安全保护部件互联结构化系统,包括:
密钥分发模块,所述密钥分发模块作为可信认证基,支持主机证书请求及下发,接收并处理可信身份验证请求;
可信度量模块,所述可信度量模块用于接收安全保护部件的可信度量请求,将度量请求发送到密钥分发模块,收到度量成功结果则转发连接请求到可信传输模块,收到度量失败结果则终止通信;
可信传输模块,所述可信传输模块用于接收安全保护部件的可信传输请求,并进行协商密钥,密钥交换。
进一步的,所述系统还包括信息截取模块,所述信息截取模块截取安连接请求,并将其转至可信度量模块。
进一步的,所述信息截取模块为钩子模块。
为了达到上述目的,本发明提供的安全保护部件互联结构化实现方法,在安全保护部件之间的通信建立连接之前,对通信双方的身份可信度量,在可信度量通过后在安全保护部件之间建立可信通道。
进一步的,所述实现方法包括:
截取作为通信双方的安全保护部件之间的通信连接请求;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于公安部第三研究所,未经公安部第三研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711072942.0/2.html,转载请声明来源钻瓜专利网。