CN102833073A - 一种增强密钥分发安全性的数据传输格式及其封装方法 - Google Patents
一种增强密钥分发安全性的数据传输格式及其封装方法 Download PDFInfo
- Publication number
- CN102833073A CN102833073A CN2012103168058A CN201210316805A CN102833073A CN 102833073 A CN102833073 A CN 102833073A CN 2012103168058 A CN2012103168058 A CN 2012103168058A CN 201210316805 A CN201210316805 A CN 201210316805A CN 102833073 A CN102833073 A CN 102833073A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- zone
- secret key
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种增强密钥分发安全性的数据传输格式及其封装方法,涉及信息安全密码技术领域,包括指令区和数据体区,其中数据体区包括保护密钥区域、应用密钥区域和MAC初始化向量,保护密钥区域和应用密钥区域均包括密钥索引区域、算法区域和数据区域。本发明的有益效果在于:可通过密钥管理系统对密码机直接完成所有密钥发行操作,确保密钥分发过程的安全。该技术不会因为非法人员通过网络截获密钥数据,并对密钥数据进行破解攻击和分析,造成敏感数据的泄露,导致对称密钥体系整体安全性下降后引发严重的后果。
Description
技术领域
本发明涉及信息安全密码技术领域,尤其涉及一种增强密钥分发安全性的数据传输格式及其封装方法。
背景技术
密码技术是信息安全的基础技术,密钥则是密码技术安全应用的基础和信息化安全的核心元素。随着我国信息化产业的高速全面发展,信息化系统也进入全面的建设阶段,系统中涉及的密钥分发过程面临着越来越严格的安全性要求。
密钥分发安全性要求主要涉及密钥传输格式和密钥传输协议两部分内容。密钥传输格式通常采用自定义格式的方式,按照定义的传输格式封装密钥传输数据,将封装后的数据在网络中进行传输。密钥传输协议通常采用TCP/IP、UDP或其他协议,实现密钥数据的交换和传输。
如果密钥传输格式定义不规范,密钥传输协议使用不正确,将会在密钥分发过程中造成安全隐患。非法人员利用网络工具截获密钥传输数据,并对其进行破解攻击和分析,极易造成敏感数据的泄露,从而引发严重的后果。
另外,传统的数据传输格式中需要在数据体前定义数据长度,根据数据长度解析后续数据区的具体内容。该方式数据处理效率较低,解析过程较复杂,容易造成数据区数据解析错误,导致数据传输失败。
发明内容
本发明的目的是提供一种增强密钥分发安全性的数据传输格式及其封装方法,解决上述密钥分发过程中存在的安全风险,提高密钥分发的安全性、准确性、高效性。
为实现上述目的,本发明采取以下技术方案:
第一个技术方案,一种增强密钥分发安全性的数据传输格式,包括指令区和数据体区,其中数据体区包括保护密钥区域、应用密钥区域和MAC初始化向量,保护密钥区域和应用密钥区域均包括密钥索引区域、算法区域和数据区域;
其中,指令区是用于指令类型定义的单元;
数据体区是用于定义需要传输的数据内容,并根据指令类型进行相应的数据处理的单元;
保护密钥区域是用于存储加密密钥数据的单元;
应用密钥区域是用于存储被加密的密钥数据的单元;
MAC初始化向量是用于存储MAC运算所需的初始值的单元;
密钥索引区域是用于存储密钥具体的密钥索引号的单元;
算法区域是用于存储具体的算法类型的单元;
数据区域是用于存储需要传输的密钥数据内容的单元。
第二个技术方案,一种增强密钥分发安全性的数据传输格式的封装方法,包括以下步骤:(1)将数据传输格式划分为指令区和数据体区并分别封装,其中,指令区定义指令类型,数据体区定义需要传输的数据内容,并根据指令类型进行相应的数据处理;
(2)将数据体区划分为保护密钥区域、应用密钥区域和MAC初始化向量并分别封装;其中,保护密钥区域存储加密密钥数据,应用密钥区域存储被加密的密钥数据;MAC初始化向量存储MAC运算所需的初始值;
(3)将保护密钥区域和应用密钥区域均划分为密钥索引区域、算法区域和数据区域并分别封装,其中,密钥索引区域存储密钥具体的密钥索引号,算法区域存储具体的算法类型,数据区域存储需要传输的密钥数据内容;
(4)生成数据报文。
第三个技术方案,一种响应数据传输格式,包括指令区和数据体区,数据体区包括保护后的应用密钥区域、返回码区域和MAC初始化向量;
其中,返回码区是域是用于存储指令操作结果的单元。
第四个技术方案,一种响应数据传输格式的封装方法,包括以下步骤:(1)将响应数据传输格式划分为指令区和数据体区并分别封装;
(2)将数据体区划分为保护的应用密钥区域、返回码区域和MAC初始化向量并分别封装,其中,返回码区域存储指令操作结果;
(3)生成响应数据报文。
综上所述,由于采用了上述技术方案,本发明的具体有益效果是:本发明的数据传输格式在传统的数据传输格式中去掉了数据长度区,保留指令区,并对数据区字段内容进行了扩展,增强了数据传输格式的安全性,开发人员能够更容易的完成相应的数据传输格式的封装和解析,提高了系统开发效率,降低了系统开发成本。
可通过密钥管理系统对密码机直接完成所有密钥发行操作,确保密钥分发过程的安全。该技术不会因为非法人员通过网络截获密钥数据,并对密钥数据进行破解攻击和分析,造成敏感数据的泄露,导致对称密钥体系整体安全性下降后引发严重的后果。
具体有益效果如下:
1. 该数据传输格式保证密钥在分发过程中密钥数据始终处于密态,确保密钥分发过程的安全;
2. 该数据传输格式基于TCP/IP协议进行通信,具有广泛的适应性;
3. 该数据传输格式可根据实际情况对数据格式进行扩充,具有良好的扩展性;
4. 该数据传输格式及其封装方法简单,易使用、安全性强,具有明显的自身优势。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是数据传输格式的示意图;
图2是响应数据传输格式的示意图;
图3是密钥管理系统与密码机关系示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
图1是发送的安全数据传输格式。数据传输格式包括指令区和数据体区两部分。数据体区划分为保护密钥区域、应用密钥区域和MAC(消息认证码)初始化向量。保护密钥区域和应用密钥区域均划分为密钥索引区域、算法区域和数据区域。
发送的安全数据传输格式举例如下:
0x31+0x01+SM1+1234567890ABCDEF+0x02+SM1+ABCDEF1234567890+00000000。其中,0x31是指令类型,0x01是保护密钥区域中的密钥索引,SM1是保护密钥区域中的算法类型(国家密码管理局编制的一种商用密码分组标准对称算法),1234567890ABCDEF是保护密钥区域中的数据内容,0x02是应用密钥区域中的密钥索引,SM1是应用密钥区域中的算法类型(国家密码管理局编制的一种商用密码分组标准对称算法),ABCDEF1234567890是应用密钥区域中的数据内容,00000000是MAC初始化向量。
图2是响应的安全数据传输格式。数据传输格式包括指令区和数据体区两部分。数据体区划分为保护后的应用密钥区域、返回码区域和MAC初始化向量。如果没有密钥数据返回,则直接返回应答码。
响应的安全数据传输格式举例如下:
0x31+890ABC1234567DEF+0x00 +00000000。其中,0x31是指令类型,890ABC1234567DEF 是保护后的应用密钥数据内容,0x00是返回码,00000000是MAC初始化向量。
图3所示,密码机与密钥管理系统采用服务器/客户机工作模式进行通信,密码机作为服务器、密钥管理系统作为客户机。
使用过程中各关键步骤详细说明如下:
1. 根据密码机配置的IP地址和端口,建立与密码机的Socket(套接字)连接;
2. 根据密码机提供的命令格式,封装数据报文;
3. 将数据报文发送给密码机;
4. 从密码机接收响应数据报文;
5. 根据响应做出相应的判断和操作;
6. 连续执行2至 5步操作;
7. 断开与密码机的连接。
数据传输格式封装步骤如下:
1) 封装指令区数据;
2) 封装数据体区数据;
a) 封装保护密钥区域数据;
ü 封装密钥索引区域;
ü 封装算法区域;
ü 封装数据区域。
b) 封装应用密钥区域数据;
ü 封装密钥索引区域;
ü 封装算法区域;
ü 封装数据区域
c) 封装MAC初始化向量;
3)生成数据报文。
保护密钥区域和应用密钥区域中的密钥索引区域、算法区域和数据区域可以根据不同的应用场景和情况进行区域内的数据划分、存储数据的调整,收发双方按照调整后的数据传输格式中的区域进行数据处理,即可完成数据传输操作。调整后的区域不会对整体的数据传输格式造成影响,原有数据传输格式的封装步骤和方法不变,提升了该数据传输格式的灵活性和扩展性。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (4)
1.一种增强密钥分发安全性的数据传输格式,其特征在于:包括指令区和数据体区,其中数据体区包括保护密钥区域、应用密钥区域和MAC初始化向量,保护密钥区域和应用密钥区域均包括密钥索引区域、算法区域和数据区域;
其中,指令区是用于指令类型定义的单元;
数据体区是用于定义需要传输的数据内容,并根据指令类型进行相应的数据处理的单元;
保护密钥区域是用于存储加密密钥数据的单元;
应用密钥区域是用于存储被加密的密钥数据的单元;
MAC初始化向量是用于存储MAC运算所需的初始值的单元;
密钥索引区域是用于存储密钥具体的密钥索引号的单元;
算法区域是用于存储具体的算法类型的单元;
数据区域是用于存储需要传输的密钥数据内容的单元。
2.一种增强密钥分发安全性的数据传输格式的封装方法,其特征在于:包括以下步骤:
(1)将数据传输格式划分为指令区和数据体区并分别封装,其中,指令区定义指令类型,数据体区定义需要传输的数据内容,并根据指令类型进行相应的数据处理;
(2)将数据体区划分为保护密钥区域、应用密钥区域和MAC初始化向量并分别封装;其中,保护密钥区域存储加密密钥数据,应用密钥区域存储被加密的密钥数据;MAC初始化向量存储MAC运算所需的初始值;
(3)将保护密钥区域和应用密钥区域均划分为密钥索引区域、算法区域和数据区域并分别封装,其中,密钥索引区域存储密钥具体的密钥索引号,算法区域存储具体的算法类型,数据区域存储需要传输的密钥数据内容;
(4)生成数据报文。
3.根据权利要求1所述的一种增强密钥分发安全性的数据传输格式配套使用的一种响应数据传输格式,其特征在于:包括指令区和数据体区,数据体区包括保护后的应用密钥区域、返回码区域和MAC初始化向量;
其中,返回码区是域是用于存储指令操作结果的单元。
4.根据权利要求2所述的一种增强密钥分发安全性的数据传输格式的封装方法配套使用的一种响应数据传输格式的封装方法,其特征在于:包括以下步骤:
(1)将响应数据传输格式划分为指令区和数据体区并分别封装;
(2)将数据体区划分为保护的应用密钥区域、返回码区域和MAC初始化向量并分别封装,其中,返回码区域存储指令操作结果;
(3)生成响应数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210316805.8A CN102833073B (zh) | 2012-08-31 | 2012-08-31 | 一种增强密钥分发安全性的数据传输格式及其封装方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210316805.8A CN102833073B (zh) | 2012-08-31 | 2012-08-31 | 一种增强密钥分发安全性的数据传输格式及其封装方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833073A true CN102833073A (zh) | 2012-12-19 |
| CN102833073B CN102833073B (zh) | 2014-12-17 |
Family
ID=47336053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210316805.8A Active CN102833073B (zh) | 2012-08-31 | 2012-08-31 | 一种增强密钥分发安全性的数据传输格式及其封装方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833073B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020174239A1 (en) * | 2001-05-21 | 2002-11-21 | Kabushiki Kaisha Toshiba | Data reproducing apparatus, data reproduction method, recording medium storing data reproduction program, and video on demand system |
| CN1512700A (zh) * | 2002-12-26 | 2004-07-14 | 成都卫士通信息产业股份有限公司 | 基于保密通信的无缝换钥技术 |
| CN101521668A (zh) * | 2009-03-31 | 2009-09-02 | 成都卫士通信息产业股份有限公司 | 一种多媒体广播内容授权方法 |
| US20110283115A1 (en) * | 2010-05-17 | 2011-11-17 | Nagravision S. A. | Device and a method for generating software code |
| CN102571357A (zh) * | 2012-02-24 | 2012-07-11 | 飞天诚信科技股份有限公司 | 一种签名的实现方法和装置 |
-
2012
- 2012-08-31 CN CN201210316805.8A patent/CN102833073B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020174239A1 (en) * | 2001-05-21 | 2002-11-21 | Kabushiki Kaisha Toshiba | Data reproducing apparatus, data reproduction method, recording medium storing data reproduction program, and video on demand system |
| CN1512700A (zh) * | 2002-12-26 | 2004-07-14 | 成都卫士通信息产业股份有限公司 | 基于保密通信的无缝换钥技术 |
| CN101521668A (zh) * | 2009-03-31 | 2009-09-02 | 成都卫士通信息产业股份有限公司 | 一种多媒体广播内容授权方法 |
| US20110283115A1 (en) * | 2010-05-17 | 2011-11-17 | Nagravision S. A. | Device and a method for generating software code |
| CN102571357A (zh) * | 2012-02-24 | 2012-07-11 | 飞天诚信科技股份有限公司 | 一种签名的实现方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833073B (zh) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105656859B (zh) | 税控设备软件安全在线升级方法及系统 | |
| CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
| CN102932349B (zh) | 一种数据传输方法、装置及系统 | |
| US10129220B2 (en) | Application and data protection tag | |
| CN104579679B (zh) | 用于农配网通信设备的无线公网数据转发方法 | |
| CN103856485A (zh) | 可信用户界面安全指示器的初始化系统及方法 | |
| CN102664928A (zh) | 一种用于云存储的数据安全存取方法及用户端系统 | |
| CN104158653A (zh) | 一种基于商密算法的安全通信方法 | |
| CN103401678A (zh) | 一种保障物联网数据传输安全的方法 | |
| CN103888444A (zh) | 一种配电安全认证装置及其方法 | |
| CN105847251B (zh) | 采用s7协议的工控系统安全防护方法及系统 | |
| CN106027235A (zh) | 一种pci密码卡和海量密钥密码运算方法及系统 | |
| CN102377566A (zh) | 一种电表数据的安全处理装置及系统 | |
| CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
| CN102594842A (zh) | 一种基于设备指纹的网管消息认证与加密方案 | |
| CN103051459B (zh) | 安全卡的交易密钥的管理方法和装置 | |
| CN109218307A (zh) | 一种客户端身份认证的方法 | |
| CN104660551A (zh) | 一种基于webservice的数据库访问装置及方法 | |
| CN107391232A (zh) | 一种系统级芯片soc及soc系统 | |
| CN106549970A (zh) | 一种基于fpga的pcie接口数据加解密方法 | |
| EP3713147B1 (en) | Railway signal security encryption method and system | |
| CN104079408B (zh) | 一种工业控制系统中增强通信安全性的方法 | |
| CN104732614A (zh) | 一种对韦根协议信号加密的门禁系统及其加解密方法 | |
| CN102624892A (zh) | 一种防止外挂客户端模拟http请求的方法 | |
| CN104579673B (zh) | Rfid卡与读卡器之间的交互认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |