【技术实现步骤摘要】
本专利技术属于通信,涉及一种端到端的通信方法,尤其涉及一种基于ecdhe的端对端通信方法。
技术介绍
1、互联网通信技术的发展应用,让信息无远弗届,连接随时发生,但与此同时,互联网通信也暴露出了一系列安全问题,需要有针对性地应用相关安全技术,增强通信系统的安全性和可靠性,为信息安全筑起防护墙。
2、申请号为202311677386.5的专利技术专利申请也公开了一种基于传输层安全协议的数据加密传输方法,其包括以下关键步骤:首先,通过tls握手协议建立客户端与服务器的安全连接。在握手过程中,通信双方交换数字证书,并通过pki进行数字验证,确保通信双方身份的合法性。随后,引入双因素身份验证,在通信双方身份验证通过后,通过diffie-hellman密钥交换协议独立生成唯一对称密钥,实现了安全的密钥协商。获取待传输的数据并将其分段,对每个数据段使用主密钥进行嵌套加密,形成包含嵌套加密数据段和必要元数据的加密数据包。传输结束后,通过密码和动态令牌进行通信双方身份验证,并通过协商密钥进行解密。
3、如上述专利技术专利申请,现有技术在进行数据通信与传输时,大多都需要通过握手协议(比如tls握手)建立客户端与服务器之间的安全连接。tls(传输层安全协议)是用于确保网络通信的安全性,https就是其典型的应用。tls握手是客户端与服务器建立安全连接的关键过程,其握手过程为:
4、1.客户端hello:
5、客户端发起请求,发送支持的tls版本、加密算法列表、随机数等;
6、2.服务器he
7、服务器选择加密算法、返回自己的随机数,并附带数字证书(含公钥);
8、3.密钥协商:
9、客户端生成预主密钥,用服务器公钥加密后发送给服务器;
10、服务器用私钥解密,双方基于预主密钥计算会话密钥;
11、4.会话加密启动:
12、双方切换到对称加密模式,使用会话密钥加密后续通信。
13、通过上述tls握手,虽然能在客户端与服务器之间建立起安全连接。但是,其tls握手也存在一些问题:1.性能开销,tls握手涉及多次信息交换和加密计算,尤其对高并发场景压力较大;2.证书管理问题,证书可能存在过期、配置错误或被伪造;3.降级攻击,攻击者可能诱导客户端和服务器使用较弱的加密算法;4.依赖ca信任体系,如果ca(证书颁发机构)被攻破,tls安全性就会受损。
技术实现思路
1、本专利技术的目的在于:为了解决现有技术中在采用tls握手建立客户端与服务器之间的连接时存在的握手次数多、数据传输效率低的技术问题,提供一种基于ecdhe的端对端通信方法。
2、本专利技术为了实现上述目的具体采用以下技术方案:
3、一种基于ecdhe的端对端通信方法,包括以下步骤:
4、步骤1,握手阶段;
5、客户端向服务端发送请求,并传输客户端即时生成的ecdhe密钥对公钥;
6、服务端收到请求后,若拒绝请求,则拒绝在客户端于服务端之间建立连接;若同意请求,则在客户端于服务端之间建立连接,并配置tcp连接为nodealy模式;
7、服务端后手握手,从密钥池中取出一对ecdhe密钥对并返回公钥;根据返回的公钥及随机生成的盐值,双方基于hdkf算法派生共享密钥,完成握手、身份认证,并建立起全双工通讯信道并标记为会话窗口;
8、步骤2,通讯阶段;
9、客户端与服务端共同维护通讯会话窗口,且所有流式信息均通过共享密钥作为aes密钥进行加密;
10、步骤3,终止阶段;
11、需要终止通讯时,单端向对端发送fin包,连接终止。
12、进一步地,步骤1中,在返回公钥时,随公钥返回的还包括代表八位的整型数;若传输的是普通信息,则返回公钥时,一并返回的整型数为空值;若传输的是重要信息,则返回公钥时,一并返回的整型数为非空值。
13、进一步地,在进行双方的身份认证时,以公钥aad信息为认证口令。
14、进一步地,步骤2中,通过基于对非耦合线性的常微分方程的机器学习算法,对数据包中的每段数据包进行动态拆包。
15、进一步地,每段数据包在标头中包含数据包大小,且每段数据包允许接收端使用exact方式进行数据接收。
16、进一步地,步骤2中,出现通讯意外断开后,在服务端允许的时间范围内,客户端向服务端发送恢复连接请求,若服务端同意恢复连接,则基于缓存的会话开始验证客户端恢复连接的请求头,验证成功后复用tcp连接,恢复到断连之前的状态,发送失败的数据从缓冲区重新发送。
17、本专利技术的有益效果如下:
18、1、本专利技术中,在握手时使用ecdhe加密算法进行密钥交换、使用hkdf派生密钥,身份验证和数据加密均可以在协议层实现,从而握手次数更少,数据传输效率更高。
19、2、本专利技术中,数据包采用分片传输,每个数据包标头标注传输大小,这使得协议层可以基于mtu动态分配数据包大小来应对复杂的网络环境,提高传输效率,降低数据丢失的可能性;此外,对于数据结构采用了流式序列化和反序列化来替代json,避免了数据转化的开销。
本文档来自技高网...【技术保护点】
1.一种基于ECDHE的端对端通信方法,其特征在于,包括以下步骤:
2.如权利要求1所述的一种基于ECDHE的端对端通信方法,其特征在于,步骤1中,在返回公钥时,随公钥返回的还包括代表八位的整型数;若传输的是普通信息,则返回公钥时,一并返回的整型数为空值;若传输的是重要信息,则返回公钥时,一并返回的整型数为非空值。
3.如权利要求1或2所述的一种基于ECDHE的端对端通信方法,其特征在于,在进行双方的身份认证时,以公钥AAD信息为认证口令。
4.如权利要求1所述的一种基于ECDHE的端对端通信方法,其特征在于,步骤2中,通过基于对非耦合线性的常微分方程的机器学习算法,对数据包中的每段数据包进行动态拆包。
5.如权利要求4所述的一种基于ECDHE的端对端通信方法,其特征在于,每段数据包在标头中包含数据包大小,且每段数据包允许接收端使用exact方式进行数据接收。
6.如权利要求1所述的一种基于ECDHE的端对端通信方法,其特征在于,步骤2中,出现通讯意外断开后,在服务端允许的时间范围内,客户端向服务端发送恢复连接请求,若服
...【技术特征摘要】
1.一种基于ecdhe的端对端通信方法,其特征在于,包括以下步骤:
2.如权利要求1所述的一种基于ecdhe的端对端通信方法,其特征在于,步骤1中,在返回公钥时,随公钥返回的还包括代表八位的整型数;若传输的是普通信息,则返回公钥时,一并返回的整型数为空值;若传输的是重要信息,则返回公钥时,一并返回的整型数为非空值。
3.如权利要求1或2所述的一种基于ecdhe的端对端通信方法,其特征在于,在进行双方的身份认证时,以公钥aad信息为认证口令。
4.如权利要求1所述的一种基于ecdhe的端对端通信方法,其特征在于,步骤2中,通过基于...
【专利技术属性】
技术研发人员:杨小净,徐芳,伏西雨,杨依婷,何婧宇,黄逸飞,
申请(专利权)人:西南石油大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。