CN101789863B - 数据信息安全传输方法 - Google Patents
数据信息安全传输方法 Download PDFInfo
- Publication number
- CN101789863B CN101789863B CN 200910105230 CN200910105230A CN101789863B CN 101789863 B CN101789863 B CN 101789863B CN 200910105230 CN200910105230 CN 200910105230 CN 200910105230 A CN200910105230 A CN 200910105230A CN 101789863 B CN101789863 B CN 101789863B
- Authority
- CN
- China
- Prior art keywords
- session
- key
- application apparatus
- data information
- safety devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明揭示了信息安全领域的一种数据信息安全传输方法,使信息安全设备与应用设备之间的数据传输更安全,所述方法包括步骤:信息安全设备接受至少一公私钥对的设置,且使应用设备具有公钥;接收应用设备的会话请求并分配会话;设置会话标识符,根据会话标识符获得会话密钥;将所述会话标识符和会话密钥加密,并使用私钥签名传送给应用设备;利用所述会话密钥加解密数据信息,进行数据信息安全传输。本发明所述数据信息安全传输方法,通过产生变化的会话密钥,加密会话,使得数据传输更加安全。
Description
技术领域
本发明涉及信息安全领域,特别涉及到一种数据信息安全传输方法。
背景技术
信息安全设备用来存储一些敏感信息,并完成一定的密码算法功能;使用所述敏感信息和密码算法时,要求安全程度较高,尤其是现在使用的U盾(USB Key)或者智能卡设备,在信息交互过程中,可以通过监听USB端口获取交互过程中的信息,如果传输线路上不采用加密保护的话,就存在很大的安全隐患。
为了使信息交互过程中的数据以密文的形式传输,现在普遍采用的方法是在设备中固化一个或者多个对称密钥,与所述信息安全设备进行信息交互的应用设备采用固化的密钥进行加解密。上述固定密钥的方式存在很大的不足,如果某一应用设备获取了所述固化的密钥,则可以通过所述固化密钥获得其他应用设备的明文信息。
发明内容
本发明的目的之一为提供一种数据信息安全传输方法,提升了数据传输的安全性。
本发明提出一种数据信息安全传输方法,使信息安全设备与应用设备之间的数据传输更安全,所述方法包括步骤:
信息安全设备接受至少一公私钥对的设置,且使应用设备具有公钥;
产生第一随机数和第二随机数;将所述第一随机数设置为主密钥,将所述第二随机数设置为会话数目初始值;
接收应用设备的会话请求并分配会话;
将会话数目设置为会话标识符,利用主密钥将会话标识符或会话标识符的相关信息加密获得会话密钥;
将所述会话标识符和会话密钥加密,并使用私钥签名传送给应用设备;
利用所述会话密钥加解密数据信息,进行数据信息安全传输。
优选地,在所述接收应用设备的会话请求并分配会话的步骤后还包括步骤:
接收应用设备产生的密钥。
优选地,在所述将所述会话标识符和会话密钥加密,并使用私钥签名传送给应用设备的步骤中的所述加密是利用应用设备的密钥进行。
优选地,所述密钥是应用设备产生的非对称密钥的公钥。
本发明所述数据信息安全传输方法,通过加密随会话不同而不同的会话标识符,产生变化的会话密钥,加密会话,使得传输更加安全;并且,还采用可变化的主密钥加密会话标识符形成会话密钥,更加提升了会话密钥的保密性。
附图说明
图1是本发明第一实施例所述数据信息安全传输方法的工作流程示意图;
图2是本发明第二实施例所述数据信息安全传输方法的工作流程示意图;
图3是本发明第三实施例所述数据信息安全传输方法的工作流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
参照图1,本发明提出第一实施例的一种数据信息安全传输方法,使信息安全设备与应用设备之间的数据传输更安全,所述方法包括步骤:
S10、接受至少一公私钥对的设置,且使应用设备具有公钥;
S11、接收应用设备的会话请求并分配会话;
S12、设置会话标识符,根据会话标识符获得会话密钥;
S13、将所述会话标识符和会话密钥加密,并使用私钥签名传送给应用设备;
S14、利用所述会话密钥加解密数据信息,进行数据信息安全传输。
本实施例,所述信息安全设备可以是U盾、读卡器或者智能卡等具有密码运算功能的设备;所述应用设备,可以是需要与所述信息安全设备进行数据交换的其他设备。
如步骤S10所述,首先,需要在所述信息安全设备中设置至少一公私钥对,且使应用设备具有公钥;本实施例与所述公私钥对相应的加密算法可以使用RSA、ECC(Elliptic Curves Cryptography,椭圆曲线密码)等算法。此步骤可以是在信息安全设备使用之处一次性设置,也可以在使用后进行多次设置。
如步骤S11所述,当应用设备需要与信息安全设备进行数据交换时,将向所述信息安全设备发送会话请求;所述信息安全设备接收所述会话请求后,为所述应用设备分配会话。
如步骤S12所述,所述信息安全设备,将为分配的会话设置会话标识符,并根据所述会话标识符,获得会话密钥。所述会话标识符可以对所述会话进行唯一标识;所述会话密钥可以加密会话。
如步骤S13所述,所述信息安全设备,将所述会话标识符和会话密钥使用加密的方式,传送给所述应用设备,并使用信息安全设备中的私钥进行签名,使所述应用设备可以利用接收的信息安全设备的公钥进行验证,增强会话安全性;所述应用设备可以使用所述会话密钥加密数据信息,并传送给所述信息安全设备,或者解密从所述信息安全设备中取得的加密的数据信息。
如步骤S14所述,所述信息安全设备也可以使用所述会话密钥加解密数据信息,与所述应用设备进行数据交换;当应用设备需要向信息安全设备发送数据信息时,信息安全设备接收所述应用设备发送的加密的数据信息,并利用所述会话密钥解密密文信息得到原始明文信息;当所述应用设备需要从所述信息安全设备中获取数据信息时,所述信息安全设备将应用设备需要的数据信息利用会话密钥进行加密后,传送给所述应用设备,并利用所述会话密钥解密密文信息得到原始明文信息;使得数据交换安全进行。
本实施例所述数据信息安全传输方法,通过根据会话标识符获得会话密钥加密会话,使信息安全设备与应用设备之间的数据信息传输更加安全。
参照图2,本发明第二实施例基于第一实施例提出一种数据信息安全传输方法,其包括步骤:
S10、接受至少一公私钥对的设置,且使应用设备具有公钥;
S11、接收应用设备的会话请求并分配会话;
S110、接收应用设备产生的密钥;
S12、设置会话标识符,根据会话标识符获得会话密钥;
S130、将所述会话标识符和会话密钥利用应用设备产生的密钥加密,并使用私钥签名传送给应用设备;
S14、利用所述会话密钥加解密数据信息,进行数据信息安全传输。
如步骤S10所述,首先,需要在所述信息安全设备中设置至少一公私钥对,且使应用设备具有公钥。
如步骤S11所述,当应用设备需要与信息安全设备进行数据交换时,将向所述信息安全设备发送会话请求;所述信息安全设备接收所述会话请求后,为所述应用设备分配会话。
如步骤S110所述,应用设备可以产生密钥并发送给所述信息安全设备;所述信息安全设备可以接收所述密钥并使用。所述应用设备产生的密钥可以是非对称密钥,包括公私钥对;所述信息安全设备接收的可以是公钥。
如步骤S12所述,所述信息安全设备,将为分配的会话设置会话标识符,并根据所述会话标识符,获得会话密钥,所述会话标识符能够唯一标识会话。
如步骤S130所述,所述信息安全设备,将所述会话标识符和会话密钥使用应用设备产生的公钥加密,并使用信息安全设备的私钥签名传送给所述应用设备;应用设备使用信息安全设备的公钥验证所述签名,并使用自身产生的私钥进行解密,获得会话标识符和会话密钥;使得所述应用设备可以使用所述会话密钥加密数据信息,并传送给所述信息安全设备,或者解密从所述信息安全设备中取得的加密的数据信息。
如步骤S14所述,所述信息安全设备也将使用所述会话密钥加解密,与所述应用设备进行数据交换;使得数据交换安全进行。
本实施例所述数据信息安全传输方法,通过利用应用设备产生的密钥对传送的会话标识符和会话密钥加密,可以防止加密会话的会话密钥泄漏,使信息安全设备与应用设备之间的数据传输更加安全。
参照图3,本发明第三实施例基于第二实施例提出一种数据信息安全传输方法,其包括步骤:
S10、接受至少一公私钥对的设置,且使应用设备具有公钥;
S100、生成可变化的主密钥;
S11、接收应用设备的会话请求并分配会话;
S110、接收应用设备产生的密钥;
S120、设置会话数目为会话标识符,利用主密钥将会话标识符或会话标识符的相关信息加密获得会话密钥;
S130、将所述会话标识符和会话密钥利用应用设备产生的密钥加密,并使用私钥签名传送给应用设备;
S14、利用所述会话密钥加解密数据信息,进行数据信息安全传输。
如步骤S10所述,首先,需要在所述信息安全设备中设置至少一公私钥对,且使应用设备具有公钥。
如步骤S100所述,信息安全设备可以生成可变化的主密钥;本实施例中,信息安全设备在上电开启后,将产生第一随机数和第二随机数;所述信息安全设备可以将所述第一随机数设置为主密钥,将所述第二随机数设置为会话数目初始值;所述主密钥也可以为对称密钥,加解密为同一密钥。
如步骤S11所述,当应用设备需要与信息安全设备进行数据交换时,将向所述信息安全设备发送会话请求;所述信息安全设备接收所述会话请求后,为所述应用设备分配会话,并且在每分配一会话后,将存储的会话数目加一。所述会话数目的计算,可以采用4字节计数,使会话计数能够支持2G数目的会话。本实施例在每分配一会话后,将存储的会话数目加一。应用设备请求会话时可以附带一些标识应用的请求信息,以防止中间件攻击。
如步骤S110所述,应用设备可以产生的公钥发送给所述信息安全设备;所述信息安全设备可以接收所述公钥并使用。
如步骤S120所述,所述信息安全设备,将为分配的会话设置会话标识符,并根据所述会话标识符或会话标识符的相关信息,获得会话密钥。所述会话标识符可以是信息安全设备当前存储的会话数目;所述会话密钥可以是利用主密钥将会话标识符或会话标识符的相关信息加密获得。所述相关信息包括步骤S11中应用设备的请求信息。
信息安全设备设置有一个或多个加密算法,比如3DES(3-Data EncryptionStandard,数据加密标准)算法或AES(Advanced Encryption Standard,新加密标准)算法等,所述算法使用ALG替代;每个算法都需要一个密钥,使用KEY替代,算法加密可以表示为:
OUTPUT=ALG_ENC(KEY;INPUT) (1)
上述算式(1)中,所述INPUT表示输入,所述KEY表示密钥,所述ALG_ENC表示用ALG加密,OUTPUT表示输出。
如果使用3DES算法加密数据“0000000000000001”,使用的密钥为“11223344556677889900AABBCCDDEEFF”,输出为“A369FF383FA2082E”,上述的数据都表示十六进制。
所述会话密钥的计算式如下:
会话密钥=ALG_ENC(KEY;00000000||会话标识符) (2)
上述算式(2)中,“||”表示数据连接,即算法的输入将在会话标识符前补足四字节的“00”,再进行加密,会话密钥的计算还可以存在其他方式。
如步骤S130所述,所述信息安全设备,将所述会话标识符和会话密钥使用应用设备产生的公钥加密,并使用信息安全设备的私钥签名传送给所述应用设备;应用设备使用信息安全设备的公钥验证所述签名,并使用自身产生的私钥进行解密,获得会话标识符和会话密钥;使得所述应用设备可以使用所述会话密钥加密数据信息,并传送给所述信息安全设备,或者解密从所述信息安全设备中取得的加密的数据信息。
如步骤S14所述,所述信息安全设备也将使用所述会话密钥加解密,与所述应用设备进行数据交换;使得数据交换安全进行。
本实施例所述数据信息安全传输方法,通过使用随机数加密会话标识符作为会话密钥,加密会话;所述会话密钥将根据随机数和会话标识符的变化而变化,使信息安全设备与应用设备之间的数据传输更加安全;同时,减少了所述信息安全设备的存储量。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (4)
1.一种数据信息安全传输方法,使信息安全设备与应用设备之间的数据传输更安全,其特征在于,所述方法包括步骤:
信息安全设备接受至少一公私钥对的设置,且使应用设备具有公钥;
产生第一随机数和第二随机数;将所述第一随机数设置为主密钥,将所述第二随机数设置为会话数目初始值;
接收应用设备的会话请求并分配会话;
将会话数目设置为会话标识符,利用主密钥将会话标识符或会话标识符的相关信息加密获得会话密钥;
将所述会话标识符和会话密钥加密,并使用私钥签名传送给应用设备;
利用所述会话密钥加解密数据信息,进行数据信息安全传输。
2.根据权利要求1所述的数据信息安全传输方法,其特征在于,在所述接收应用设备的会话请求并分配会话的步骤后还包括步骤:
接收应用设备产生的密钥。
3.根据权利要求2所述的数据信息安全传输方法,其特征在于:
在所述将所述会话标识符和会话密钥加密,并使用私钥签名传送给应用设备的步骤中的所述加密是利用应用设备的密钥进行。
4.根据权利要求2或3所述的数据信息安全传输方法,其特征在于:
所述密钥是应用设备产生的非对称密钥的公钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910105230 CN101789863B (zh) | 2009-01-22 | 2009-01-22 | 数据信息安全传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910105230 CN101789863B (zh) | 2009-01-22 | 2009-01-22 | 数据信息安全传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101789863A CN101789863A (zh) | 2010-07-28 |
| CN101789863B true CN101789863B (zh) | 2013-01-23 |
Family
ID=42532931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910105230 Active CN101789863B (zh) | 2009-01-22 | 2009-01-22 | 数据信息安全传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101789863B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394749B (zh) * | 2011-09-26 | 2014-03-05 | 深圳市文鼎创数据科技有限公司 | 数据传输的线路保护方法、系统、信息安全设备及应用设备 |
| CN102571355B (zh) * | 2012-02-02 | 2014-10-29 | 飞天诚信科技股份有限公司 | 一种不落地导入密钥的方法及装置 |
| CN103078731B (zh) * | 2013-01-05 | 2016-01-06 | 深圳市思乐数据技术有限公司 | 彩票数据的加密方法及系统 |
| CN103488944A (zh) * | 2013-09-12 | 2014-01-01 | 深圳市文鼎创数据科技有限公司 | 应用程序安全控制方法及系统 |
| CN106341228B (zh) * | 2016-11-01 | 2019-06-04 | 广东浪潮大数据研究有限公司 | 一种虚拟机迁移方法、系统及虚拟机迁入端和迁出端 |
| CN107508673A (zh) * | 2017-09-11 | 2017-12-22 | 金蝶软件(中国)有限公司 | Erp与第三方组件之间密钥获取的方法及相关装置 |
| CN111541690B (zh) * | 2020-04-21 | 2022-05-20 | 北京智芯微电子科技有限公司 | 智能终端与服务端通信的安全防护方法 |
| CN112738101B (zh) * | 2020-12-28 | 2023-04-07 | 中国农业银行股份有限公司 | 一种报文处理方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1710985A (zh) * | 2005-06-30 | 2005-12-21 | 中国科学院计算技术研究所 | 一种分组网络中语音通信的加密协商方法 |
| CN101022455A (zh) * | 2006-12-26 | 2007-08-22 | 北京大学 | 一种Web通信加密方法 |
| CN101094062A (zh) * | 2006-06-21 | 2007-12-26 | 普天信息技术研究院 | 利用存储卡实现数字内容安全分发和使用的方法 |
-
2009
- 2009-01-22 CN CN 200910105230 patent/CN101789863B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1710985A (zh) * | 2005-06-30 | 2005-12-21 | 中国科学院计算技术研究所 | 一种分组网络中语音通信的加密协商方法 |
| CN101094062A (zh) * | 2006-06-21 | 2007-12-26 | 普天信息技术研究院 | 利用存储卡实现数字内容安全分发和使用的方法 |
| CN101022455A (zh) * | 2006-12-26 | 2007-08-22 | 北京大学 | 一种Web通信加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101789863A (zh) | 2010-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102394749B (zh) | 数据传输的线路保护方法、系统、信息安全设备及应用设备 | |
| CN101789863B (zh) | 数据信息安全传输方法 | |
| CN101789865B (zh) | 一种用于加密的专用服务器及加密方法 | |
| CN108282329B (zh) | 一种双向身份认证方法及装置 | |
| CN105447407A (zh) | 一种离线数据的加密方法、解密方法及相应装置和系统 | |
| CN105871920A (zh) | 终端与云服务器的通讯系统及方法、终端、云服务器 | |
| CN101385274A (zh) | 受约束的密码术密钥 | |
| CN102118710A (zh) | 手机终端之间数据传输系统及其传输方法 | |
| CN102333093A (zh) | 一种数据加密传输方法及系统 | |
| CN109617675B (zh) | 一种充放电设施与用户端间的双方标识认证方法及系统 | |
| CN111372247A (zh) | 一种基于窄带物联网的终端安全接入方法及终端安全接入系统 | |
| KR20170035665A (ko) | 키 교환 장치 및 방법 | |
| CN101789068B (zh) | 读卡器安全认证装置及方法 | |
| CN105554031A (zh) | 加密方法、加密装置、解密方法、解密装置和终端 | |
| CN103051869A (zh) | 一种摄像头视频实时加密系统及加密方法 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN101631305A (zh) | 一种加密方法及系统 | |
| CN113630407A (zh) | 使用对称密码技术增强mqtt协议传输安全的方法和系统 | |
| CN103414559A (zh) | 一种云计算环境下的基于类ibe系统的身份认证方法 | |
| CN105142134A (zh) | 参数获取以及参数传输方法和装置 | |
| CN107249002B (zh) | 一种提高智能电能表安全性的方法、系统及装置 | |
| CN114650173A (zh) | 一种加密通讯方法及系统 | |
| CN102916810A (zh) | 传感器认证方法、系统和装置 | |
| CN101789861A (zh) | 信息安全传输方法 | |
| CN101420687B (zh) | 一种基于移动终端支付的身份验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |