CN101997835B - 网络安全通讯方法、数据安全处理装置和用于金融的系统 - Google Patents

网络安全通讯方法、数据安全处理装置和用于金融的系统 Download PDF

Info

Publication number
CN101997835B
CN101997835B CN200910161373.6A CN200910161373A CN101997835B CN 101997835 B CN101997835 B CN 101997835B CN 200910161373 A CN200910161373 A CN 200910161373A CN 101997835 B CN101997835 B CN 101997835B
Authority
CN
China
Prior art keywords
security
data
network
transport layer
encapsulation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN200910161373.6A
Other languages
English (en)
Other versions
CN101997835A (zh
Inventor
刘大力
曹春春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Duosi technical services Co. Ltd.
Original Assignee
BEIJING DUOSI TECHNOLOGY DEVELOPMENT Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING DUOSI TECHNOLOGY DEVELOPMENT Co Ltd filed Critical BEIJING DUOSI TECHNOLOGY DEVELOPMENT Co Ltd
Priority to CN200910161373.6A priority Critical patent/CN101997835B/zh
Publication of CN101997835A publication Critical patent/CN101997835A/zh
Application granted granted Critical
Publication of CN101997835B publication Critical patent/CN101997835B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

本发明提供一种网络安全通讯方法、数据安全处理装置和用于金融的系统,涉及网络技术领域。其中网络安全通讯方法包括:在安全终端中,对要发送的数据进行传输层安全协议封装;在所述安全终端中,对所述传输层安全协议封装后的数据进行网络层安全协议封装。本发明将传输层的安全机制嵌套在网络层的安全机制之中,可以从不同的网络层次抵御攻击,从而加强了整个系统的安全性。

Description

网络安全通讯方法、数据安全处理装置和用于金融的系统
技术领域
本发明涉及网络技术领域,特别是涉及一种网络安全通讯方法、数据安全处理装置和用于金融的系统。
背景技术
目前有很多网上应用系统采用了基于IPSec(Internet ProtocolSecurity,网络协议安全)或者SSL(secure sockets layer,加密套接字协议层)协议的安全方案。IPSec协议是设计为IPv4和IPv6协议提供基于加密安全的网络层协议。SSL协议主要解决的是应用层的信息安全,负责认证访问者的身份及权限,以及应用信息安全加密通道的建立和数据加密传输。
事实上,只考虑应用层或是网络层的信息安全是不够的。例如,在金融系统中,现有技术的支付终端一般只采用SSL或TLS安全方案,从而导致安全上的隐患。近年来网上支付系统的实践表明,许多网上金融案件(如利用虚假网站实行网络钓鱼诈骗)的发生都是因为疏于网络的防护。
发明内容
本发明的目的是提出一种网络安全通讯方法、数据安全处理装置和金融系统,对网络通讯数据进行双重保护。
为实现上述目的,本发明提供了一种网络安全通讯方法,包括:在安全终端中,对要发送的数据进行传输层安全协议封装;在所述安全终端中,对所述传输层安全协议封装后的数据进行网络层安全协议封装;
在对数据进行所述传输层安全协议封装之前,还包括身份认证步骤:所述安全终端根据安全熵信息参数和可重组逻辑电路对身份信息进行加密,将加密后的所述身份信息发送给通讯对方;所述通讯对方通过所述可重组逻辑电路对接收到的经加密后的身份信息进行计算获得授权证书,根据所述授权证书进行身份认证。
进一步的,在所述安全终端中,对接收到的数据进行网络层安全协议解封装;在所述安全终端中,对所述网络层安全协议解封装后的数据进行传输层安全协议解封装。
在一个实施例中,所述网络层安全协议封装是网络层网络协议安全IPSec协议封装;所述传输层安全协议封装是DSL协议封装、加密套接字协议层SSL协议封装或传输层安全TLS协议封装。
进一步的,所述安全熵信息参数CTi=CSTi,CSKi,Ri,其中Ri为随机数,CSTi为用户安全熵,CSKi为系统安全熵;所述身份认证信息包括Xi、Yi、CTi以及Xi、Yi、CTi的摘要信息,所述安全终端根据安全熵信息参数和重组逻辑模型计算身份认证信息的步骤包括:根据安全熵信息参数CTi和重组逻辑模型计算安全熵混合数STi;根据安全熵混合数和随机数计算Xi、Yi;所述根据接收的身份认证信息和可重组逻辑模型获得授权证书的步骤包括:提取安全熵信息参数,根据指令建立可重组逻辑模型;根据安全熵信息参数和可重组逻辑模型计算安全熵指数;根据安全熵指数和身份认证信息计算授权公钥证书。
在一个实施例中,在对数据进行所述传输层安全协议封装之前,还包括密钥交换步骤:所述安全终端在每次通讯时都生成一个密钥随机数,将所述密钥随机数进行加密并与通讯对方交换以获得所述通讯对方的密钥随机数。
为实现上述目的,本发明还提供了一种数据安全处理装置,包括:传输层输出处理模块,用于对要发送的数据进行传输层安全协议封装,发送所述经过传输层安全协议封装后的数据;网络层输出处理模块,用于接收所述经过传输层安全协议封装后的数据,对接收的所述数据进行网络层协议封装。
进一步的,所述数据安全处理装置还包括网络层输入处理模块,用于对接收到的数据进行网络层协议解封装,发送所述经过网络层协议解封装后的数据;传输层输入处理模块,用于接收所述经过网络层协议解封装后的数据,对所述网网络层协议解封装后的数据进行传输层安全协议解封装。
在一个实施例中,所述数据安全处理装置还包括:协议栈输出处理模块,用于将经过传输层安全协议封装后的数据处理成网络数据包并发送给所述网络层输出处理模块;协议栈输入处理模块,用于将接收到的经过网络层协议解封装后的数据进行整合并发送给所述传输层输入处理模块。
在一个实施例中,所述数据安全处理装置还包括:算法模块,通过硬件资源模块的不同组合提供多种算法供所述网络层输出处理模块、所述传输层输出处理模块、所述网络层输入处理模块和所述传输层输入处理模块调用。
在一个实施例中,所述数据安全处理装置还包括:身份认证模块,用于通过安全熵信息参数和可重组逻辑电路对包含所述数据安全处理装置的安全终端的已经授权身份信息进行加密,发送加密后的身份信息;和用于通过所述可重组逻辑电路对接收到的经加密后的身份信息进行计算以提取发送所述身份信息的终端的公钥证书信息,并根据所述公钥证书信息判定发送所述身份信息的终端为已经授权的终端。
进一步的,所述可重组逻辑电路包括硬件资源模块,其中:所述硬件资源模块包括功能编码单元,通过控制所述功能编码单元能够控制所述硬件资源模块的功能;和/或网络编码单元,所述硬件资源模块之间通过所述网络编码单元连接以能够控制所述硬件资源模块之间的连接关系,因此所述可重组逻辑电路能够组合成不同的逻辑模型以提高对所述身份信息的保密级别。
在一个实施例中,包含所述数据安全处理装置的安全终端为支付终端。
为实现上述目的,本发明还进一步提供了一种用于金融的系统,包括:金融系统网关;安全终端通过网络与所述金融系统网关相连接,用户通过所述安全终端与所述金融系统网关进行交易,所述安全终端包括:接口模块,用于传输数据;与接口模块相连的传输层输出处理模块,所述传输层输出处理模块对要发送的数据在传输层进行加密;与所述传输层输出处理模块和所述接口模块相连的网络层输出处理模块,所述网络层输出处理模块将加密后的所述要发送的数据在网络层进行密码封装;与接口模块相连的网络层输入处理模块,所述网络层输入处理模块将接收到的数据进行解封装,其中所述接受到的数据在传送前进行过所述加密和所述密码封装;和与所述网络层输入处理模块和所述接口模块相连的传输层输入处理模块,将已解封装的所述接收到的数据进行解密;以及安全管理中心,对所述安全终端和所述金融系统网关进行授权。
在一个实施例中,所述安全终端还包括:认证单元,通过所述安全终端的可重组逻辑电路所述传输层认证模块对接收到的加密后的身份信息进行计算以提取发送所述身份信息的终端的公钥证书信息,并根据所述公钥证书信息判定发送所述身份信息的终端为已经所述安全管理中心授权的终端。
附图说明
此处所说明的附图用来提供对本发明的进一步解释,构成本发明的一部分。本发明的示意性实施例及其说明仅用于解释本发明,但并不构成对本发明的不当限定。在附图中:
图1为根据本发明实施例的网络安全通讯系统的结构示意图。
图2a为根据本发明实施例的安全终端中数据安全处理装置的结构示意图。
图2b为根据本发明实施例的安全终端结构示意图。
图3为根据本发明实施例的网络安全通讯方法的流程图。
图4为根据本发明实施例的身份认证方法的流程图。
图5为根据本发明另一实施例的身份认证方法中获得身份认证信息的流程图。
图6为根据本发明实施例的安全熵体系结构图。
图7为根据本发明进一步实施例的身份认证方法的流程图。
具体实施方式
下面参照附图对本发明进行更详细的描述,其中说明本发明的示例性实施例。
图1为根据本发明实施例的网络安全通讯系统100的结构示意图。如图1所示,网络安全通讯系统100可以是一个用于金融的系统,包括安全终端102、银行卡112、安全管理中心104、金融系统网关106和金融系统应用服务器116。
在一个实施例中,安全终端102比如常见的POS机(point ofsells,电子收款机)等,可以用于远程支付。安全终端102是直接与用户交互的设备。安全终端102可以通过网络与金融系统网关106相连。用户通过银行卡112可以登陆安全终端102,进而与金融系统网关106、金融系统应用服务器116以及其后端的金融系统业务服务器和操作终端进行通信。为了提高数据的安全级别,充分保证安全通讯系统100免受病毒、木马攻击,并保证只有授权用户和可信进程才能使用安全通讯系统100,安全终端102能够同时实现网络层和传输层数据安全处理。
安全终端102能够实现包括比如SSL协议、TLS(transport layersecurity,传输层安全)协议、DSL协议等的传输层协议处理,以及IPSec协议等的网络层协议处理。对于要发送的数据,安全终端102先对数据进行传输层安全协议封装,再对传输层安全协议封装后的数据进行网络层安全协议封装。对于接收到的数据,安全终端102先对数据进行网络层安全协议解封装,再对网络层安全协议解封装后的数据进行传输层安全协议解封装。
例如,对于要发送给金融系统网关106的数据,安全终端102可以先将数据在传输层进行DSL的协议封装。DSL协议是一种安全通讯协议,主要用于综合数字信号(包括语音、图像、数字等)的安全处理。可以用于PSTN(public switched telephone network,公用电话交换网)、ISDN(integrated services digital network,综合业务数字网)、DDN(digital data network,数字数据网)、ADSL(asymmetric digitalsubscriber line,非对称数字用户线)等网络通讯中,也可以用于USB(universal serial bus,通用串行总线)、ETHER、无线网络等接入设备,或直接用于安全终端或用户卡中。DSL安全通讯协议包括了用户申请登记授权、管理中心用户安全熵密钥信息授权、管理中心密钥信息管理、身份认证、密钥协商、密钥生成、密钥交换、明密文加脱密处理、算法扩展、算法选择、证书、密钥更新及管理、以及用户和系统安全熵重组设计等功能。稍后将详细介绍DSL协议中部分功能的具体实现。
当安全终端102对数据进行DSL协议封装时,安全终端102会用与金融系统网关106的公共密钥或者安全终端102生成的密钥随机数对数据进行协议封装。对于DSL协议封装后的数据,安全终端102会将其处理成网络数据包。然后,安全终端102对每个网络数据包进行IPSec网络层协议封装。
IPSec协议包括AH(authentication header,验证文件头)协议和ESP(encapsulated security payload,安全加载封装)协议。在一个实施例中,可以选择AH协议对数据进行网络层的安全处理。AH协议是设计用来验证源主机的,并确保在网络数据包传输的有效载荷的完整性。AH协议用HASH算法函数和一个对称密钥来创建一个信息摘要,再把摘要插入到验证文件头中,并将AH放在数据包中适当的位置。AH协议并不提供机密性。因此,在另一个实施例中,ESP协议可以是网络层安全处理的另一选择。ESP协议提供源验证、信息完整性和机密性。ESP会把一个文件尾加在有效载荷上,对有效载荷和文件尾进行加密后再加上ESP文件头,并利用ESP文件头、有效载荷和ESP文件尾创建验证数据,把验证数据加在ESP文件尾的末尾。
通过双重安全协议处理,安全终端102极大的提高了发往金融系统网关106的数据的安全级别。另外,在数据传输之前,安全终端102和金融系统网关106会进行身份认证。根据本发明实施例的安全通讯方法,包括数据加/解密方法和认证方法还将在下文中具体描述。
安全管理中心104可以对安全终端102和金融系统网关106等设备进行授权,并提供证书发放、证书更新及相关的整数查询和验证功能。基于安全管理中心104的授权,金融系统网关106可以与安全终端102互相进行身份认证,保证用户所访问的金融系统是真实、可靠的,不会被仿冒者所欺骗。
网络安全通讯系统100的金融系统仅用来描述网络安全终端根据本发明实施例的一种应用场合。本领域的技术人员显然理解根据本发明实施例的安全终端可以用于其它的应用场合,比如用于远程监控的监控器、用于远程信息采集的安全设备等。
图2a为根据本发明实施例的安全终端102中数据安全处理装置的结构示意图。数据安全处理装置包括网络层输出处理模块12、协议栈输出处理模块13、传输层输出处理模块14、网络层输入处理模块22、协议栈输入处理模块23、传输层输入处理模块24、算法模块26。
传输层输出处理模块14用于对要发送的数据进行传输层安全协议封装并发送经过传输层安全协议封装后的数据。协议栈输出处理模块13用于将经过传输层安全协议封装后的数据处理成网络数据包并发送给网络层输出处理模块12。网络层输出处理模块12用于将接收的网络数据包进行传输层协议封装。网络层输入处理模块22用于对接收到的数据进行网络层协议解封装并发送经过网络层协议解封装后的数据。协议栈输入处理模块23用于将接收到的经过网络层协议解封装后的数据进行整合并发送给传输层输入处理模块24。传输层输入处理模块24用于对网络层协议解封装后的数据进行传输层安全协议解封装。
算法模块26是一个硬件算法库,能够通过硬件资源模块的不同组合提供多种算法供网络层输出处理模块12、传输层输出处理模块14、网络层输入处理模块22和传输层输入处理模块24进行数据处理时进行调用,完成如AH、ESP协议中要求的计算,比如MD5、SHA-1、ZX37、HMAC_MD5、HMAC_SHA-1、HMAC_ZX37等,以及AH和ESP协议处理中要求的摘要计算。另外,对于ESP协议处理中要求的数据加/解密,算法模块26还能够提供AES、SCB2、3DES等算法。硬件资源模块是通过对大量算法进行的分析和研究之后,提炼出的不同算法中具有的一些相同或者相似的基本操作成分,或者说同一基本操作成分在不同算法中出现的频度可以很高。对于这些相同或相似的基本操作成分,其对应的硬件资源就可以被不同的算法所共用。配置文件可以记载硬件资源模块之间的连接关系和模块内部功能的可控节点的编码信息。通过对配置文件的译码,能够对硬件资源模块进行控制,以较少的电路规模构造一套逻辑电路来实现多种算法。
在一个实施例中,安全终端102可以采用IPSec协议对数据进行网络层的处理,采用DSL协议对数据进行传输层的处理。图2b示出了根据本发明的一个实施例的采用了IPSec协议和DSL协议的安全终端102的结构示意图。安全终端102包括数据安全处理装置202、随机数发生器204、指令译码器206、接口模块208、模幂乘运算器210、公钥算法内核212、安全关联管二理器214、系统管理器216和包处理状态机218。
数据安全处理装置202用于对输出数据的处理的部分,包括DSL输出数据处理单元32、HASH处理单元34、AH/ESP处理单元36、IP包尾输出处理单元38和输出包数据缓存单元40。DSL输出数据处理单元32完成对输出数据的传输层DSL安全协议封装。当DSL输出数据处理模块32需要对输出数据进行加密时,会调用公钥算法内核212和模幂乘运算器210以及算法模块26进行相应的计算,生成通讯要求的密钥,完成对数据的DSL加密处理。
HASH处理模块34需要调用模幂乘运算器210及算法模块26完成IKE(Internet key exchange,因特网密钥交换)协议要求的计算以创建IPSec需要的SA(security association,安全关联)。AH/ESP处理单元36完成访问安全关联管理器214,取得IPSec处理策略,并根据该策略进行计算,通过IP包尾处理单元38实现对输出的数据的IPSec打包处理,然后存储于输出包数据缓存单元40等待通过接口模块208发送数据。
数据安全处理装置202用于对输入数据的处理的部分包括输入包数据缓存单元50、IP包头处理单元48、AH认证处理单元46、ESP安全负载处理单元44和DSL输入数据处理单元42。输入包数据缓存单元50用于存储输入的数据。IP包头处理单元48、AH认证处理单元46和ESP安全负载处理单元44完成访问安全关联管理器214,取得IPSec处理策略,并根据该策略进行计算实现对输出的数据的IPSec拆包处理。
DSL认证单元41完成对数据发送方的身份认证。当DSL认证模块41需要对数据发送方进行身份认证时,会利用接收到的数据提取数据发送方的公钥证书信息进行检测。稍后将详细介绍DSL协议身份认证的流程。DSL输入数据处理单元42完成对输入数据的DSL解封装。DSL输入数据处理单元42会调用公钥算法内核212和模幂乘运算器210以及算法模块26进行相应的计算,生成通讯要求的密钥,完成对数据的DSL解密处理。
安全关联管理器214接收指令的调度,实现安全终端102要求的SA操作,如删除、添加、更改等。同时,安全关联管理器214还能够依据IPSec处理的要求完成根据包头索引获得数据包处理所需的安全关联条目内容的存储、访问和使用。
公钥算法内核212和模幂乘运算器210提供高性能、大规格算术运算,例如乘、除、加、减和模幂乘运算,以安全终端102要求的公钥处理要求,比如IKE。
指令译码器206实现对安全终端102实时输入或预置的指令寄存器赋值进行译码,并控制相关部件实现寄存器指令定义的功能。
系统管理器216包括PCI控制模块、网络控制模块、存储器和存储控制模块。系统管理器216用于对内部存储器的管理、数据分流、接口控制等系统功能,协调各功能部件的关系。系统管理器216是整个安全终端102的总控部件。
包处理状态机218用于辅助数据安全处理装置202的AH处理和ESP处理。例如,完成AH/ESP协议头的识别和加载;依据IPSec处理需要的算法调用算法模块26完成拆包后的摘要识别等。
随机数发生器204是一个用于产生密钥、初始向量,配合真随机数算法提供的白噪声源的硬件随机数发生器。当随机数发生器204每次被访问后,自动重新生成新的随机数。这样,每次通讯时都能够根据新的随机数生成新的密钥,可以提高数据的安全性。
接口模块208用于数据的传输。在一个实施例中,安全终端102能够利用如SPI-3的接口传输连续包的控制信息和数据负载。
图3为根据本发明实施例的网络安全通讯方法300的流程图。为说明清楚起见,图3的具体描述结合了图1的网络安全通讯系统100,但不限于图1中网络安全通讯系统100的形式。
如图3左边的流程所示,在步骤302中,安全终端对要发送的数据进行传输层安全协议封装。例如,安全终端102(用户i)对要发送给金融系统网关106(用户j)的数据进行DSL协议封装。
在一个实施例中,安全终端102可以使用公共密钥GK对数据进行加密。当用户i和用户j要协商一个共同的工作密钥GK时,用户i产生一个随机数ri并计算(MXi=Si*gri mod n)。用户i将MXi和MXi的摘要MXim发给用户j。同理用户j也产生一个随机数rj并计算(MXj=Sj*gri mod n)。用户j将MXj和MXj的摘要MXjm发给用户i。双方验证密钥协商指令和密钥协商信息。通过密钥协商后,此时用户i和用户j分别拥有:
用户i:ri,GCj,MXj,e,n,g
用户j:rj,GCi,MXi,e,n,g
其中GCj,e,n,g以及GCi,e,n,g是在授权和认证阶段获得的。根据本发明实施例的认证方法将在下文中具体描述。
用户i和用户j利用上述参数分别计算共享的工作密钥:
GK i = ( MX j e * GC J ) r i mod n - - - ( 1 )
GK j = ( M X i e * GC i ) r j mod n - - - ( 2 )
通过计算,用户i和用户j得到了共同的公共密钥公共密钥
Figure GSB0000112577540000103
Figure GSB0000112577540000104
然后用户双方可以利用生成的公共密钥对数据进行协议封装。
在另一个实施例中,安全终端102(用户i)可以生成密钥随机数Kri,为数据进行DSL协议封装。用户i与用户j可以根据通过身份认证,计算提取的授权公钥证书信息GCi与GCj,以及登记公钥证书信息Ci与Cj中双方公钥ei,nim和ej,njm对进行计算。用户i使用用户j的公钥ej,njm,对用户i生成的密钥随机数Kri加密:(Ki=Kri ej modnjm)。用户j使用用户i的公钥ei,nim,对用户j生成的密钥随机数Krj加密:(Kj=Krj ei mod nim)。完成密钥交换,用户i收到Kj与用户j收到Ki。双方使用各自的私钥对密钥脱密,获得随机数Kri,Krj。这时,用户i具有随机数加密密钥Kri,脱密后,具有用户j的随机数加密密钥Krj(Krj=Kj di mod nim)。用户j具有随机数加密密钥Krj,脱密后,具有用户i的随机数加密密钥Kri(Kri=Ki djmod njm)。用户双方可以分别利用自己的密钥随机数对数据进行加密。
在一个实施例中,双层协议嵌套处理时,当安全终端102的数据安全处理装置对要发送的数据进行传输层的安全协议封装完成后,可以将数据发送给安全终端102操作系统的协议栈,由操作系统的协议栈将数据处理成网络数据包,再发送给安全终端102的数据安全处理装置进行网络层的处理。在另一个实施例中,当安全终端102的数据安全处理装置对要发送的数据进行传输层安全协议封装完成后,可以继续由数据安全处理装置将数据处理成网络数据包,比如将数据分解成若干网络数据包,然后再进行网络层的处理。
在步骤304中,对传输层安全协议封装后的数据进行网络层安全协议封装。例如,安全终端102对已经传输层安全协议封装后的数据进行IPSec协议封装。如上文提到的用户可以选择用AH或是ESP协议对数据进行封装。安全终端102完成访问安全关联存储器,取得IPSec处理策略,并提供该策略信息对输出的数据的IPSec打包处理。比如ESP会把一个文件尾加在有效载荷上,对有效载荷和文件尾进行加密后再加上ESP文件头,并利用ESP文件头、有效载荷和ESP文件尾创建验证数据,把验证数据加在ESP文件尾的末尾以对数据实现安全封装。
本发明的网络安全通讯方法还可以包括下面的解封装流程。
如图3右边的流程所示,在步骤312中,对接收到的数据进行网络层安全协议解封装。例如,安全终端102对从金融系统网关106接收到的数据进行IPSec协议解封装,即安全终端102完成访问安全关联存储器,取得IPSec处理策略,并提供该策略信息对数据的IPSec拆包处理。
在一个实施例中,双层协议嵌套处理时,当安全终端102的数据安全处理装置对接收到的数据进行网络层的安全协议解封装完成后,可以将数据发送给安全终端102操作系统的协议栈,由操作系统的协议栈将数据进行整合,再发送给安全终端102的数据安全处理装置进行传输层的解封装处理。在另一个实施例中,当安全终端102的数据安全处理装置对接收到的数据进行网络层安全协议解封装完成后,可以继续由数据安全处理装置对数据进行整合,比如将若干网络数据包整合成完整的数据,然后再进行传输层的处理。
在步骤314中,对网络层安全协议解封装后的数据进行传输层安全协议解封装。例如,安全终端102可以利用公钥GK或者密钥随机数Kr对网络层安全协议解封装后的数据进行DSL协议解封装。公钥GK和密钥随机数Kr的计算方法同步骤302中的描述相似。在一个实施例中,如果数据是经金融系统网关106的公钥GKj加密的,则安全终端102可以用GKi对数据进行解封装。在另一个实施例中,如果数据是经金融系统网关106的密钥随机数Krj加密的,则安全终端102能够利用在密钥交换时获得的安全银行的密钥随机数Krj对数据进行解封装。
图4为根据本发明实施例的身份认证方法400的流程图。图4的描述结合了图1的网络安全通讯系统100,但不限于图1中网络安全通讯系统100的形式。
在步骤402中,通过可重组逻辑电路对安全终端的已经授权的身份信息进行加密。例如,当安全终端102为主叫用户时,安全终端102可以根据DSL协议,对自己已经安全管理中心104授权的身份信息进行加密。安全终端102经安全管理中心104授权时会获得公钥证书:
GCi=(Ti,idi,ei,nim,Gi)    (3)
公钥证书GCi包括的身份信息如下表所示:
参数 解释
Ti 时变参数(登记时间、有效时间、授权时间)
idi 用户参数(网址、电话号码、身份、授权中心标识)
ei 用户使用非对称密码体制加密的公钥信息
nim 非对称密码体制公钥的公共模数
Gi 授权机关防伪信息
表1
安全终端102作为主叫用户能够通过可重组逻辑电路将自己的身份信息进行加密后发送给被叫用户,由被叫用户,比如金融系统网关106,对安全终端102进行身份认证。可重组逻辑电路包括如上文提到过的硬件资源模块。可重组逻辑电路的硬件资源模块包括功能编码单元以能够控制资源模块的功能,资源模块之间通过网络编码单元连接以能够控制资源模块之间的连接关系。通过对可重组逻辑电路中的资源模块的控制,可以使可重组逻辑电路组合成不同的逻辑模型,以提高对已授权的身份信息的保密级别。
在步骤404中,通过所述可重组逻辑电路对接收到的经加密后的身份信息进行计算以提取发送身份信息的终端的公钥证书信息,并根据公钥证书信息判定发送身份信息的终端为已经授权的终端。例如,当安全终端102为被叫用户时,安全终端102需要验证主叫用户(比如用户银行卡112)的身份信息。安全终端102可以根据DSL协议通过计算从接收到的加密信息中获取主叫用户的公钥证书信息,以此来判断主叫用户是否为已经安全管理中104授权的用户。
图5为根据本发明另一实施例的身份认证方法中身份认证信息的生成500的流程图。图5的描述结合了图1的网络安全通讯系统100,但不限于图1中网络安全通讯系统100的形式。方法500是方法400中步骤402的具体化。即以安全终端102为主叫用户i、用户j为被叫用户为例。
在步骤502中,用户i产生一个随机数Ri。
在步骤504中,建立安全熵信息参数CTi。用户i可以根据安全信息表(表2)由双方初始化指令确定用户安全熵CSTi、系统安全熵CSKi和随机数Rs,建立安全熵信息参数CTi(CTi=CSTi,CSKi,Rsi)。其中,系统安全熵CSKi可以是由用户i定义参数提取的数学模型,是系统安全性保证的参数。用户安全熵CSTi可以是由用户定义参数提取的数学模型,是用户控制系统安全性保证的参数。随机数Rs是可重组逻辑电路的输入数据。随机数Rs可以是来自用户i的系统实时钟的某一时刻的时间(年、月、日、时、分),可以是一个随机数发生器产生的随机数,也可以是一个时间截tA和一个现时rA的组合数,即:R(i,j)=[tA‖rA],也或者可以是一个计算模型生成的混合数。
Figure GSB0000112577540000141
Figure GSB0000112577540000151
表2
在步骤506中,根据安全熵信息参数CTi和可重组逻辑电路计算安全熵混合数STi:(STi=CTi(RELOG))。STi是系统安全熵CSKi与用户安全熵混合数UTi通过可重组逻辑电路产生的。UTi是用户安全熵CSTi与随机数Rsi通过可重组逻辑电路产生的混合数。
根据本发明实施例的安全熵体系结构图如图6所示。安全熵CST和CSK分别是可重组逻辑电路Sa和Pa的编码信息,其记录于配置文件中,可以控制可重组逻辑电路Sa和Pa的硬件资源模块的连接关系和内部功能。用户安全熵混合数UTi是用户安全熵CSTi与随机数Rsi通过可重组逻辑电路Sa产生的混合数。安全熵混合数STi是系统安全熵CSKi与用户安全熵混合数UTi通过可重组逻辑电路Pa产生的混合数。安全熵混合数STi参与身份认证信息模型计算。
在步骤508中,用户i计算包含用户身份信息的参数Xi和Yi,其中:
Xi=ge*Ri mod n
Yi=Si*gsTiRimod n
至此,用户i通过可重组逻辑电路对其已经授权的身份信息进行了加密生成参数Xi、Yi、CTi。然后用户i将Xi、Yi、CTi以及Xi、Yi、CTi的摘要Xjm、Yjm、CTjm发给被叫用户j,等待用户j对用户i的身份认证。
图7为根据本发明进一步实施例的身份认证方法700的流程图。图7的描述结合了图1的网络安全通讯系统100,但不限于图1中网络安全通讯系统100的形式。方法700是方法400中步骤404的具体化。即以安全终端102为被叫用户i、用户j为主叫用户为例。
在步骤702中,用户i收到用户j发送过来的Xj、Yj、CTj和Xjm、Yjm、CTjm摘要以后,提取用户j安全熵信息参数CTj(CTj=CSTj,CSKj,Rsj)。
在步骤704中,根据指令,建立如图7所示的可重组逻辑电路模型Sa、Pa。
在步骤706中,根据可重组逻辑电路模型计算安全熵指数CKj(CKj=CTj(RELOG))。
在步骤808中,计算用户j授权公钥证书GCj
X j CKj / Y j e mod n = ( g e * CKj * Ri ) / s j e * g e * STi * Ri
当CKj=STi时, X j CKj / Y j e mod n = S i - e = GC j
在步骤710中,用户i提取GCj后,根据公钥证书的信息判断用户j是否为已经授权的设备。比如对比用户j的证书信息与初始化指令传递的安全信息,对比用户j的证书信息和已知的用户j的idi电话、网址、姓名等。证书信息验证通过,则用户j的身份得到了认证。若有另一个不具有Si的用户假冒用户j则无法通过上述认证过程,否则中断双方通信,控制系统提示:非法用户。
本发明将传输层的安全机制嵌套在网络层的安全机制之中,可以从不同的网络层次抵御攻击,从而加强了整个系统的安全性。这对于大额网上支付交易来说,具有重大意义。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (11)

1.一种网络安全通讯方法,其特征在于,包括: 
在安全终端中,对要发送的数据进行传输层安全协议封装; 
在所述安全终端中,对所述传输层安全协议封装后的数据进行网络层安全协议封装; 
在对数据进行所述传输层安全协议封装之前,还包括身份认证步骤: 
所述安全终端根据安全熵信息参数和可重组逻辑电路对身份信息进行加密,将加密后的所述身份信息发送给通讯对方; 
所述通讯对方通过所述可重组逻辑电路对接收到的经加密后的身份信息进行计算获得授权证书,根据所述授权证书进行身份认证。 
2.根据权利要求1所述的网络安全通讯方法,其特征在于,还包括: 
在所述安全终端中,对接收到的数据进行网络层安全协议解封装; 
在所述安全终端中,对所述网络层安全协议解封装后的数据进行传输层安全协议解封装。 
3.根据权利要求1所述的网络安全通讯方法,其特征在于,所述网络层安全协议封装是网络层网络协议安全IPSec协议封装;所述传输层安全协议封装是DSL协议封装、加密套接字协议层SSL协议封装或传输层安全TLS协议封装。 
4.根据权利要求3所述的网络安全通讯方法,其特征在于, 
所述安全熵信息参数CTi=CSTi,CSKi,Ri,其中Ri为随机数,CSTi为用户安全熵,CSKi为系统安全熵; 
所述身份认证信息包括xi、Yi、CTi以及xi、Yi、CTi的摘要信息, 
所述安全终端根据安全熵信息参数和可重组逻辑模型计算身份认证信息的步骤包括: 
根据安全熵信息参数CTi和可重组逻辑模型计算安全熵混合数 STi; 
根据安全熵混合数和随机数计算Xi、Yi; 
所述根据接收的身份认证信息和可重组逻辑模型获得授权证书的步骤包括: 
提取安全熵信息参数,根据指令建立可重组逻辑模型; 
根据安全熵信息参数和可重组逻辑模型计算安全熵指数; 
根据安全熵指数和身份认证信息计算授权公钥证书。 
5.根据权利要求3所述的网络安全通讯方法,其特征在于,在对数据进行所述传输层安全协议封装之前,还包括密钥交换步骤,具体为: 
所述安全终端在每次通讯时都生成一个密钥随机数,将所述密钥随机数进行加密并与通讯对方交换以获得所述通讯对方的密钥随机数。 
6.一种数据安全处理装置,其特征在于,包括: 
传输层输出处理模块,用于对要发送的数据进行传输层安全协议封装,发送所述经过传输层安全协议封装后的数据; 
网络层输出处理模块,用于接收所述经过传输层安全协议封装后的数据,对接收的所述数据进行网络层协议封装; 
身份认证模块,用于通过安全熵信息参数和可重组逻辑电路对包含所述数据安全处理装置的安全终端的已经授权身份信息进行加密,发送加密后的身份信息;和 
用于通过所述可重组逻辑电路对接收到的经加密后的身份信息进行计算以提取发送所述身份信息的终端的公钥证书信息,并根据所述公钥证书信息判定发送所述身份信息的终端为已经授权的终端。 
7.根据权利要求6所述的数据安全处理装置,其特征在于,还包括: 
网络层输入处理模块,用于对接收到的数据进行网络层协议解封装,发送所述经过网络层协议解封装后的数据; 
传输层输入处理模块,用于接收所述经过网络层协议解封装后的数据,对所述网络层协议解封装后的数据进行传输层安全协议解封装。 
8.根据权利要求7所述的数据安全处理装置,其特征在于,还包括: 
协议栈输出处理模块,用于将经过传输层安全协议封装后的数据处理成网络数据包并发送给所述网络层输出处理模块; 
协议栈输入处理模块,用于将接收到的经过网络层协议解封装后的数据进行整合并发送给所述传输层输入处理模块。 
9.根据权利要求6所述的数据安全处理装置,其特征在于,还包括: 
算法模块,通过硬件资源模块的不同组合提供多种算法供所述网络层输出处理模块、所述传输层输出处理模块、所述网络层输入处理模块和所述传输层输入处理模块调用。 
10.根据权利要求6所述的数据安全处理装置,其特征在于,所述可重组逻辑电路包括硬件资源模块,其中: 
所述硬件资源模块包括功能编码单元,通过控制所述功能编码单元能够控制所述硬件资源模块的功能;和/或 
网络编码单元,所述硬件资源模块之间通过所述网络编码单元连接以能够控制所述硬件资源模块之间的连接关系, 
因此所述可重组逻辑电路能够组合成不同的逻辑模型以提高对所述身份信息的保密级别。 
11.根据权利要求6所述的数据安全处理装置,其特征在于,包含所述数据安全处理装置的安全终端为支付终端。 
CN200910161373.6A 2009-08-10 2009-08-10 网络安全通讯方法、数据安全处理装置和用于金融的系统 Active CN101997835B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200910161373.6A CN101997835B (zh) 2009-08-10 2009-08-10 网络安全通讯方法、数据安全处理装置和用于金融的系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910161373.6A CN101997835B (zh) 2009-08-10 2009-08-10 网络安全通讯方法、数据安全处理装置和用于金融的系统

Publications (2)

Publication Number Publication Date
CN101997835A CN101997835A (zh) 2011-03-30
CN101997835B true CN101997835B (zh) 2014-02-19

Family

ID=43787433

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910161373.6A Active CN101997835B (zh) 2009-08-10 2009-08-10 网络安全通讯方法、数据安全处理装置和用于金融的系统

Country Status (1)

Country Link
CN (1) CN101997835B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231728A (zh) * 2011-05-16 2011-11-02 铁道部运输局 列车控制数据的通信方法、设备及系统
CN103259708B (zh) * 2013-04-11 2017-03-15 江苏中科惠软信息技术有限公司 一种政务数据交换系统及方法
CN105721505A (zh) * 2016-04-15 2016-06-29 浪潮集团有限公司 一种数据安全传输方法、装置及系统
CN106411963B (zh) * 2016-12-16 2019-06-25 北京元心科技有限公司 即时通讯消息的传输方法及装置
CN110213346B (zh) * 2019-05-14 2021-12-14 北京思源理想控股集团有限公司 加密信息的传输方法及装置
CN112887402B (zh) * 2021-01-25 2021-12-28 北京云思畅想科技有限公司 一种加解密方法、系统、电子设备及存储介质
CN113009817B (zh) * 2021-02-08 2022-07-05 浙江大学 一种基于控制器输出状态安全熵的工控系统入侵检测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1719813A (zh) * 2004-07-09 2006-01-11 威达电股份有限公司 具ssl保护功能的安全网关及方法
CN1859291A (zh) * 2005-12-13 2006-11-08 华为技术有限公司 一种对网络报文安全封装的方法
CN101127595A (zh) * 2006-08-15 2008-02-20 华为技术有限公司 一种实现多方通信安全的方法、系统及设备
CN101232519A (zh) * 2008-02-22 2008-07-30 哈尔滨工业大学 基于IPSec协议的无线IP网络可变区域通信方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1719813A (zh) * 2004-07-09 2006-01-11 威达电股份有限公司 具ssl保护功能的安全网关及方法
CN1859291A (zh) * 2005-12-13 2006-11-08 华为技术有限公司 一种对网络报文安全封装的方法
CN101127595A (zh) * 2006-08-15 2008-02-20 华为技术有限公司 一种实现多方通信安全的方法、系统及设备
CN101232519A (zh) * 2008-02-22 2008-07-30 哈尔滨工业大学 基于IPSec协议的无线IP网络可变区域通信方法

Also Published As

Publication number Publication date
CN101997835A (zh) 2011-03-30

Similar Documents

Publication Publication Date Title
CN111083131B (zh) 一种用于电力物联网感知终端轻量级身份认证的方法
CN102594558B (zh) 一种可信计算环境的匿名数字证书系统及验证方法
EP2204008B1 (en) Credential provisioning
CN101997835B (zh) 网络安全通讯方法、数据安全处理装置和用于金融的系统
CN108270571A (zh) 基于区块链的物联网身份认证系统及其方法
CN101409619B (zh) 闪存卡及虚拟专用网密钥交换的实现方法
US20030172278A1 (en) Data transmission links
CN107105060A (zh) 一种实现电动汽车信息安全的方法
CN116566660B (zh) 基于医疗区块链的身份认证方法
KR20050084877A (ko) 장치 특정 보안 데이터의 안전한 실시 및 이용
JP2005515701A6 (ja) データ伝送リンク
JP2005515701A (ja) データ伝送リンク
CN110020524B (zh) 一种基于智能卡的双向认证方法
CN114448624B (zh) 基于白盒密码服务的透明化物联网安全传输方法及装置
CN111277412B (zh) 基于区块链密钥分发的数据安全共享系统及方法
CN108599925A (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
CN113612605A (zh) 使用对称密码技术增强mqtt协议身份认证方法、系统和设备
CN114036539A (zh) 基于区块链的安全可审计物联网数据共享系统及方法
TW201537937A (zh) 統一身份認證平臺及認證方法
CN111970699A (zh) 一种基于ipk的终端wifi登陆认证方法以及系统
CN102404329A (zh) 用户终端与虚拟社区平台间交互的认证加密方法
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及系统
CN109104278A (zh) 一种加密解密方法
US11088835B1 (en) Cryptographic module to generate cryptographic keys from cryptographic key parts
CN114650173A (zh) 一种加密通讯方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: NANSI SCIENCE AND TECHNOLOGY DEVELOPMENT CO LTD, B

Free format text: FORMER OWNER: BEIJING WISDOM TECHNOLOGY DEVELOPMENT CO., LTD.

Effective date: 20141009

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 100080 HAIDIAN, BEIJING TO: 100091 HAIDIAN, BEIJING

TR01 Transfer of patent right

Effective date of registration: 20141009

Address after: 100091, Beijing Haidian District red mountain Yamaguchi 3 maintenance group new building 189, a layer

Patentee after: Nansi Science and Technology Development Co., Ltd., Beijing

Address before: 100080, Beijing, Zhongguancun Haidian District South Avenue, building 56, B801

Patentee before: Beijing Duosi Technology Development Co., Ltd.

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160223

Address after: 100195, room 108, building G, quiet core garden, No. 25, North Hollywood Road, Beijing, Haidian District

Patentee after: Beijing Duosi security chip technology Co. Ltd.

Address before: 100091, Beijing Haidian District red mountain Yamaguchi 3 maintenance group new building 189, a layer

Patentee before: Nansi Science and Technology Development Co., Ltd., Beijing

DD01 Delivery of document by public notice

Addressee: Zhou Yan

Document name: Notification of Passing Examination on Formalities

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160713

Address after: 100195, room 106, building G, quiet core garden, No. 25, North Hollywood Road, Beijing, Haidian District

Patentee after: Beijing tianhongyi Network Technology Co., Ltd.

Address before: 100195, room 108, building G, quiet core garden, No. 25, North Hollywood Road, Beijing, Haidian District

Patentee before: Beijing Duosi security chip technology Co. Ltd.

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160720

Address after: 100195, room 109, block G, Beijing quiet garden, 25 North Road, North Hollywood village, Beijing, Haidian District

Patentee after: Beijing Duosi technical services Co. Ltd.

Address before: 100195, room 106, building G, quiet core garden, No. 25, North Hollywood Road, Beijing, Haidian District

Patentee before: Beijing tianhongyi Network Technology Co., Ltd.

CP02 Change in the address of a patent holder

Address after: 100192 no.814, 8th floor, building 26, yard 1, Baosheng South Road, Haidian District, Beijing

Patentee after: BEIJING DUOSI TECHNICAL SERVICE Co.,Ltd.

Address before: 100195 room 109, block G, Beijing static core garden 25, North Wu Village, Haidian District, Beijing.

Patentee before: BEIJING DUOSI TECHNICAL SERVICE Co.,Ltd.

CP02 Change in the address of a patent holder