[发明专利]安全通信方法及系统、相关设备和装置

说明书

本申请公开了一种安全通信方法及系统、相关设备和装置，其中，安全通信方法包括：堡垒机发送第一认证请求至信任中心；第一认证请求包括堡垒机的第一身份信息和用于指示堡垒机的通信对端的标识信息，且堡垒机的通信对端包括运维终端和目标主机；接收信任中心发送的第一私钥和第二私钥；信任中心基于第一身份信息校验无误而生成第一密钥对和第二密钥对，第一密钥对包括第一公钥和第一私钥，第二密钥对包括第二公钥和第二私钥，第一公钥和第二公钥由信任中心分别发送至运维终端和目标主机，第一密钥对用于建立堡垒机至运维终端的单向安全认证，且第二密钥对用于建立堡垒机至目标主机的单向安全认证。上述方案，能够提高网络通信的安全性。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种安全通信方法及系统、相关设备和装置。

背景技术

为确保安全通信，运维人员在利用运维终端远程操作目标主机时，通常采用堡垒机监控和记录运维人员对目标主机的操作行为，以保障网络和数据不受外部和内部用户的入侵和破坏。

然而，现有技术通常在堡垒机、运维终端或目标主机本地文件系统保存目标主机完整的登录、认证等信息(如，账号、密码)，一旦堡垒机、运维终端或目标主机被攻破，将导致巨大安全问题。有鉴于此，如何提高网络通信安全性成为极具研究价值的课题。

发明内容

本申请主要解决的技术问题文本是提供一种安全通信方法及系统、相关设备和装置，能够提高网络通信的安全性。

为了解决上述问题，本申请第一方面提供了一种安全通信方法，包括：堡垒机发送第一认证请求至信任中心；其中，第一认证请求包括堡垒机的第一身份信息和用于指示堡垒机的通信对端的标识信息，且堡垒机的通信对端包括运维终端和目标主机；接收信任中心发送的第一私钥和第二私钥；其中，信任中心基于第一身份信息校验无误而生成第一密钥对和第二密钥对，第一密钥对包括第一公钥和第一私钥，第二密钥对包括第二公钥和第二私钥，第一公钥和第二公钥由信任中心分别发送至运维终端和目标主机，第一密钥对用于建立堡垒机至运维终端的单向安全认证，且第二密钥对用于建立堡垒机至目标主机的单向安全认证。

为了解决上述问题，本申请第二方面提供了一种安全通信方法，包括：运维终端发送第二认证请求至信任中心；其中，第二认证请求包括运维终端的第二身份信息和用于指示运维终端的通信对端的标识信息，且运维终端的通信对端包括堡垒机；接收信任中心发送的第三私钥；其中，信任中心基于第二身份信息校验无误而生成第三密钥对，第三密钥对包括第三公钥和第三私钥，第三公钥由信任中心发送至堡垒机，且第三密钥对用于建立运维终端至堡垒机的单向安全认证。

为了解决上述问题，本申请第三方面提供了一种安全通信方法，包括：目标主机发送第三认证请求至信任中心；其中，第三认证请求包括目标主机的第三身份信息和用于指示目标主机的通信对端的标识信息，且目标主机的通信对端包括堡垒机；接收信任中心发送的第四私钥；其中，信任中心基于第三身份信息校验无误而生成第四密钥对，第四密钥对包括第四公钥和第四私钥，第四公钥由信任中心发送至堡垒机，且第四密钥对用于建立目标至堡垒机的单向安全认证。

为了解决上述问题，本申请第四方面提供了一种安全通信方法，包括：信任中心接收安全通信系统中请求端的认证请求；其中，认证请求包括请求端的身份信息和用于指示请求端的通信对端的标识信息；响应于身份信息校验无误生成密钥对，并将密钥对中的私钥发送至请求端，以及将密钥对中的公钥发送至通信对端；其中，密钥对用于建立请求端至通信对端的单向安全认证。

为了解决上述问题，本申请第五方面提供了一种安全通信系统，包括：堡垒机、运维终端、目标主机和信任中心；其中，堡垒机用于执行上述第一方面中的安全通信方法，运维终端用于执行上述第二方面中的安全通信方法，目标主机用于执行上述第三方面中的安全通信方法，信任中心用于执行上述第四方面中的安全通信方法。