CN105491015A - 一种数据通信及存储方法 - Google Patents
一种数据通信及存储方法 Download PDFInfo
- Publication number
- CN105491015A CN105491015A CN201510817545.6A CN201510817545A CN105491015A CN 105491015 A CN105491015 A CN 105491015A CN 201510817545 A CN201510817545 A CN 201510817545A CN 105491015 A CN105491015 A CN 105491015A
- Authority
- CN
- China
- Prior art keywords
- data
- control centre
- interactive terminal
- key
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
一种数据通信及存储方法,包括如下步骤:(1)构建一个包括控制中心、交互终端、交互介质通信系统,交互终端能够向所述交互介质写入数据并能够从所述交互介质读出数据;(2)建立安全通信通道,双向连接交互终端与控制中心,控制中心对所述进入系统的交互终端的数据进行处理和控制;(3)控制中心通过安全通信通道完成交互终端的安全验证,如果交互终端不安全,则阻止该交互终端的数据进入系统进行,如果交互终端安全,则允许该交互终端数据进入系统;(4)对进入系统的交互终端的数据进行存储。该方法可更快速地建立安全通信通道,加大了数字证书的破解难度,可增强数据通信过程的安全性和可靠性,同时该方法在数据存储过程中具有很好的兼容性和读写效率。
Description
所属技术领域
本发明涉数据处理技术领域,具体涉及一种数据通信及存储方法。
背景技术
随着通信技术的高速发展,用户终端的功能越来越丰富多样,用户终端中保存的用户私密信息也越来越多,为了保证用户终端中存储的用户数据的安全性,需要对用户终端中存储的用户数据进行加密。现如今随着信息时代的发展,信息交互安全也越来越受到人们的关注。目前,在各种数据交互中都有采取一些加密的措施,主要都是运用一些数字加密的方法。
数字证书是一种电子身份证明,通常数字证书是一个不变的加密数据,我们所使用的密码,口令以及数字证书为了安全,已经很少采用明文数据了,都采用了加密数据,加密数据都是利用程序设定一个加密协议,即通过一定的算法保障加密解密的一致性以方便验证
现在非常普遍的一种安全通信通道建立与数据保护方法是使用安全传输层协议(TLS),用于在两个通信终端之间基于数字证书的特性,提供保密性和数据完整性。TLS握手协议分为单向认证与双向认证。如果要保障通讯双方的数据以及业务安全,需要使用双向认证的方式,就是双方都会互相认证,也就是两者之间将会交换证书。以下仅介绍双向认证流程,基本的过程为交互终端向服务器发送连接申请,在服务器端将服务器端的证书、经控制中心私钥签名后的协商数据、数字签名以及协商的结果一起发送给交互终端。交互终端则使用控制中心证书中的公钥对协商数据的签名验证成功后,将交互终端证书以及使用交互终端私钥签名后的密钥协商数据与数字签名回复给服务器端。而服务器端则会用交互终端证书中的公钥来验证数字签名的合法性。
但这种通信方式依然存在较大泄密的风险,因为没有动态数据参与加密运算,那么加密的结果是不会改变的,从技术原理上看,仅仅依靠用户输入的密码,没有动态数据参与,无论加密过程多么复杂,一旦源代码泄露,都难逃被大面积破解的命运,道理很简单,掌握了源代码,密码破解者就可以采用输入密码获得加密结果,而网站需要面对数量众多的终端,对所有的终端必须采取相同的通信协议,否则,就可能甲终端能通过验证。
发明内容
本发明提供一种数据通信及存储方法,该方法可更快速地建立安全通信通道,加大了数字证书的破解难度,可增强数据通信过程的安全性和可靠性,同时该方法在数据存储过程中具有很好的兼容性和读写效率。
为了实现上述目的,本发明提供一种数据通信及存储方法,该方法包括如下步骤:
(1)构建一个包括控制中心、交互终端、交互介质通信系统,交互终端能够向所述交互介质写入数据并能够从所述交互介质读出数据;
(2)建立安全通信通道,双向连接交互终端与控制中心,控制中心对所述进入系统的交互终端的数据进行处理和控制;
(3)控制中心通过安全通信通道完成交互终端的安全验证,如果交互终端不安全,则阻止该交互终端的数据进入系统进行,如果交互终端安全,则允许该交互终端数据进入系统;
(4)对进入系统的交互终端的数据进行存储。
优选的,在步骤(2)采用如下步骤完成安全通信通道的建立:
(21)在交互终端向控制中心发送连接申请时,交互终端首先查询是否已缓存与控制中心的会话连接信息,是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将会话号与摘要结果写入连接申请包的会话ID与会话密钥摘要字段中;再查询是否已缓存控制中心证书,是则将控制中心的证书序列号写入连接申请包的控制中心证书序列号字段中,再将交互终端证书的序列号写入交互终端证书序列号字段中;填写非对称加密和数字签名算法组合列表,并向控制中心发送连接申请;
(22)控制中心接收到交互终端发送的连接申请数据包后,根据会话号查询是否缓存有对应的会话连接信息,是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将计算结果与交互终端发送的会话密钥的摘要数据进行比对;如果对比结果一致,则将会话密钥与对称算法作为安全通信通道中数据保护的密钥与算法,并进入下一步;
(23)控制中心向终端发送协商结束命令,终端收到控制中心发送的协商结束命令后,安全通道建立结束。
优选的,所述(22)中,如果对比结果不一致,则执行下述步骤流程:
(221)控制中心读取交互终端发送的控制中心证书的序列号,如果与本端使用的证书序列号一致,则不发送控制中心的证书至交互终端,并执行下一步流程;
(222)控制中心读取交互终端发送的交互终端证书的序列号,根据该序列号查询是否已缓存交互终端证书;是则不需要交互终端向控制中心发送交互终端的证书,并执行下述工作流程:
(2221)控制中心读取交互终端发送的算法组合列表,选择一组加密强度最高的算法组合作为以下流程中使用的加密算法组合,发送至交互终端,并执行下一步流程;
(2222)控制中心生成一组临时的非对称密钥对,使用控制中心的私钥以及所述步骤(2221)中所选择的算法组合中的非对称算法对临时公钥进行数字签名,将签名结果与临时公钥组包,向终端发送密钥交互数据包;
(2223)向交互终端发送连接申请结束数据包;
(2224)交互终端收到控制中心发送的连接申请响应数据包,缓存密钥协商算法组合与会话号;交互终端如果收到控制中心发送的控制中心证书数据包,对控制中心证书进行合法性验证,验证成功,则使用证书中的序列号作为标识,缓存控制中心的数字证书;验证失败,则退出本流程,断开连接;交互终端如果收到控制中心发送的申请交互终端证书的申请数据包,则将本端的证书组包成证书数据包,向控制中心发送;交互终端收到控制中心发送的密钥协商数据包,则使用缓存的控制中心证书中的公钥与所述缓存的密钥协商算法组合中的非对称算法,对控制中心的临时公钥签名信息进行验证,如果不成功则退出流程,并断开链接;如果成功则执行下一步;
(2225)交互终端随机生成一个会话密钥,作为安全通道中数据保护的密钥,使用算法组合中的对称算法作为保护算法;使用会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;使用非对称算法对会话密钥进行加密,并使用非对称算法对加密后的会话密钥进行数字签;将加密后的会话密钥以及数字签名组包,向控制中心发送密钥协商数据包;
(2226)向控制中心发送协商结束命令;
(2227)控制中心如果收到交互终端证书数据包,对交互终端证书进行合法性验证,如果验证成功,使用证书中的序列号作为标识,缓存控制中心的数字证书;如果验证失败,则退出本流程,断开连接;
(2228)控制中心收到交互终端发送的密钥协商数据包后,使用交互终端证书中的公钥以及步骤(22)中所选择的算法组合中的非对称算法对签名数据进行签名验证,如果不成功则退出流程,并断开链接;如果成功则使用本端私钥与非对称算法解密会话密钥,并使用步骤(22)中产生的会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;并将会话密钥与对称算法名作为安全通信通道中数据保护的密钥与算法;执行步骤(23)。
优选的,所述步骤(221)中,如果没有缓存交互终端证书,则在所述步骤(2221)和所述步骤(2222)之间增加以下流程:控制中心向交互终端发送控制中心证书;控制中心发送获取交互终端证书的请求给交互终端。
优选的,在步骤(4)中,采用如下方法进行数据存储:
(41)控制中心对将原始数据进行格式转换,以得到预设格式的第一数据;
(42)创建所述第一数据的第一元数据;
(43)根据缓存中保存的键值与元数据的对应关系判断数据库中是否存储有所述第一数据;
(44)如果数据库中没有存储所述第一数据,则将所述第一数据、所述第一数据的第一元数据以及所述第一数据的键值保存到缓存中;
(45)在满足预设的触发条件时,将缓存中尚未存储到数据库中的第一数据、第一数据的第一元数据以及第一数据的键值保存到数据库中。
优选的,在步骤(43)中,所述根据缓存中保存的键值与元数据的对应关系判断数据库中是否存储有所述第一数据,包括:
(431)根据所述第一数据的键值判断缓存中是否保存有所述键值对应的第二元数据;
(432)如果缓存中没有保存所述键值对应的第二元数据,则确定数据库中没有存储所述第一数据。
优选的,还包括:
如果缓存中保存有所述键值对应的第二元数据,则判断所述第二元数据与所述第一元数据是否相同;
如果所述第二元数据与所述第一元数据不相同,则确定数据库中没有存储所述第一数据;
所述将所述第一数据、所述第一数据的第一元数据以及所述第一数据的键值保存到缓存中,包括:
将缓存中保存所述第一数据的键值对应的第二元数据更新为所述第一元数据,并保存所述第一数据。
优选的,所述判断所述第二元数据与所述第一元数据是否相同,包括:
判断所述第二元数据的哈希值与所述第一元数据的哈希值是否相同,如果相同,则确认所述第二元数据与所述第一元数据相同;如果不相同,则确认所述第二元数据与所述第一元数据不相同。
优选的,所述预设的触发条件包括:到达预设的时间周期以及缓存的数据量达到预设的阈值。
优选的,还包括:
在读取数据时,根据键值在缓存中查找是否保存有对应的第一数据;
当缓存中没有保存所述键值对应的第一数据时,根据缓存中保存的所述键值对应的元数据从数据库中获取所述键值对应的第一数据;
将所述第一数据转换为原始数据后返回读取结果。
本发明具有以下优点和有益效果:(1)安全通信通道建立过程中,针对移动通信网分组域通信的特性以及在保障终端与服务端数据通讯过程中的数据安全的情况下,可大量减少通信双方的握手次数,通信双方不必一直维持TCP链。需要进行通讯时,双方重新建立TCP链接后,不用进行重新握手,便可快速恢复安全通讯通道;(2)安全通信通道的建立减少了移动交互终端对多余的电量消耗。即使双方需要更新安全通信通道的会话密钥而重新进行握手时,亦可减少双方通讯的数据流量,提高握手协议速度,缩短了安全通信通道建立时间;(3)数据存储过程中,将原始数据转换为预设格式的数据后存储到基于Key-Value的非关系型数据库中,能够消除数据的结构差异,提高数据的兼容性以及数据读写的效率。
附图说明
图1示出了本发明的一种数据通信及存储方法。
具体实施方式
图1示出了本发明的一种数据通信及存储方法的流程图,该方法具体包括如下步骤。
S1.构建一个包括控制中心、交互终端、交互介质通信系统,交互终端能够向所述交互介质写入数据并能够从所述交互介质读出数据;
S2.建立安全通信通道,双向连接交互终端与控制中心,控制中心对所述进入系统的交互终端的数据进行处理和控制;
S3.控制中心通过安全通信通道完成,将交互终端的安全验证,如果交互终端不安全,则阻止该交互终端的数据进入系统进行,如果交互终端安全,则允许该交互终端数据进入系统;
S4.对进入系统的交互终端的数据进行存储。
在S2中采用如下步骤完成安全通信通道的建立:
S21.在交互终端向控制中心发送连接申请时,交互终端首先查询是否已缓存与控制中心的会话连接信息,是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将会话号与摘要结果写入连接申请包的会话ID与会话密钥摘要字段中;再查询是否已缓存控制中心证书,是则将控制中心的证书序列号写入连接申请包的控制中心证书序列号字段中,再将交互终端证书的序列号写入交互终端证书序列号字段中;填写非对称加密和数字签名算法组合列表,并向控制中心发送连接申请;
S22.控制中心接收到交互终端发送的连接申请数据包后,根据会话号查询是否缓存有对应的会话连接信息,是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将计算结果与交互终端发送的会话密钥的摘要数据进行比对;如果对比结果一致,则将会话密钥与对称算法作为安全通信通道中数据保护的密钥与算法,并进入下一步;
S23.控制中心向终端发送协商结束命令,终端收到控制中心发送的协商结束命令后,安全通道建立结束。
S22中,如果对比结果不一致,则执行下述步骤流程:
S221.控制中心读取交互终端发送的控制中心证书的序列号,如果与本端使用的证书序列号一致,则不发送控制中心的证书至交互终端,并执行下一步流程;
S222.控制中心读取交互终端发送的交互终端证书的序列号,根据该序列号查询是否已缓存交互终端证书;是则不需要交互终端向控制中心发送交互终端的证书,并执行下述工作流程:
S2221.控制中心读取交互终端发送的算法组合列表,选择一组加密强度最高的算法组合作为以下流程中使用的加密算法组合,发送至交互终端,并执行下一步流程;
S2222.控制中心生成一组临时的非对称密钥对,使用控制中心的私钥以及所述步骤S2221中所选择的算法组合中的非对称算法对临时公钥进行数字签名,将签名结果与临时公钥组包,向终端发送密钥交互数据包;
S2223.向交互终端发送连接申请结束数据包;
S2224.交互终端收到控制中心发送的连接申请响应数据包,缓存密钥协商算法组合与会话号;交互终端如果收到控制中心发送的控制中心证书数据包,对控制中心证书进行合法性验证,验证成功,则使用证书中的序列号作为标识,缓存控制中心的数字证书;验证失败,则退出本流程,断开连接;交互终端如果收到控制中心发送的申请交互终端证书的申请数据包,则将本端的证书组包成证书数据包,向控制中心发送;交互终端收到控制中心发送的密钥协商数据包,则使用缓存的控制中心证书中的公钥与所述缓存的密钥协商算法组合中的非对称算法,对控制中心的临时公钥签名信息进行验证,如果不成功则退出流程,并断开链接;如果成功则执行下一步;
S2225.交互终端随机生成一个会话密钥,作为安全通道中数据保护的密钥,使用算法组合中的对称算法作为保护算法;使用会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;使用非对称算法对会话密钥进行加密,并使用非对称算法对加密后的会话密钥进行数字签;将加密后的会话密钥以及数字签名组包,向控制中心发送密钥协商数据包;
S2226.向控制中心发送协商结束命令;
S2227.控制中心如果收到交互终端证书数据包,对交互终端证书进行合法性验证,如果验证成功,使用证书中的序列号作为标识,缓存控制中心的数字证书;如果验证失败,则退出本流程,断开连接;
S2228.控制中心收到交互终端发送的密钥协商数据包后,使用交互终端证书中的公钥以及步骤S22中所选择的算法组合中的非对称算法对签名数据进行签名验证,如果不成功则退出流程,并断开链接;如果成功则使用本端私钥与非对称算法解密会话密钥,并使用步骤S22中产生的会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;并将会话密钥与对称算法名作为安全通信通道中数据保护的密钥与算法;执行步骤S23。
优选的,所述步骤S221中,如果没有缓存交互终端证书,则在所述步骤S2221和所述步骤S2222之间增加以下流程:控制中心向交互终端发送控制中心证书;控制中心发送获取交互终端证书的请求给交互终端。
优选的,在步骤S4中,采用如下方法进行数据存储:
S41.控制中心对将原始数据进行格式转换,以得到预设格式的第一数据;
在本步骤中,移动终端在接收到需要存储的原始数据后,对所述原始数据进行格式转换,将其转换为预设格式的数据,所述预设格式可以由管理人员进行设置,比如:二进制、十进制等。在本申请中,为便于描述,将对原始数据进行格式转换后得到的数据称为第一数据。
S42.创建所述第一数据的第一元数据。
S43.根据缓存中保存的键值与元数据的对应关系判断数据库中是否存储有所述第一数据。在本实施例中,为提高读写效率,可以采用基于Key-Value进行存储的非关系型数据库作为底层存储介质,所述非关系型数据库中包括有每条原始数据格式转换后的第一数据、第一元数据以及键值(Key)。缓存中保存有所述非关系型数据库中每条第一元数据及其键值的对应关系。在本实施例中,为便于区分,将缓存中保存的所述第一元数据称为第二元数据。具体地,可以在重新启动后,将所述非关系型数据库(以下简称:数据库)中每条第一元数据及其键值的对应关系保存到缓存,比如:内存。移动终端也可以在接收到需要存储在数据库中的原始数据后,如果确定数据库中没有存储有进行格式转换后的所述原始数据,即数据库中没有存储所述原始数据的第一数据时,将所述原始数据对应的第一元数据及其键值保存到缓存,其具体的实现流程可以详见后续的描述。
S44.如果数据库中没有存储所述第一数据,则将所述第一数据、所述第一数据的第一元数据以及所述第一数据的键值保存到缓存中。
S45.在满足预设的触发条件时,将缓存中尚未存储到数据库中的第一数据、第一数据的第一元数据以及第一数据的键值保存到数据库中。
优选的,在步骤S43.中,所述根据缓存中保存的键值与元数据的对应关系判断数据库中是否存储有所述第一数据,包括:
S431.根据所述第一数据的键值判断缓存中是否保存有所述键值对应的第二元数据;
S432.如果缓存中没有保存所述键值对应的第二元数据,则确定数据库中没有存储所述第一数据。
优选的,还包括:如果缓存中保存有所述键值对应的第二元数据,则判断所述第二元数据与所述第一元数据是否相同;如果所述第二元数据与所述第一元数据不相同,则确定数据库中没有存储所述第一数据;所述将所述第一数据、所述第一数据的第一元数据以及所述第一数据的键值保存到缓存中,包括:将缓存中保存所述第一数据的键值对应的第二元数据更新为所述第一元数据,并保存所述第一数据。
优选的,所述判断所述第二元数据与所述第一元数据是否相同,包括:判断所述第二元数据的哈希值与所述第一元数据的哈希值是否相同,如果相同,则确认所述第二元数据与所述第一元数据相同;如果不相同,则确认所述第二元数据与所述第一元数据不相同。
优选的,所述预设的触发条件包括:到达预设的时间周期以及缓存的数据量达到预设的阈值。
优选的,还包括:在读取数据时,根据键值在缓存中查找是否保存有对应的第一数据;当缓存中没有保存所述键值对应的第一数据时,根据缓存中保存的所述键值对应的元数据从数据库中获取所述键值对应的第一数据;将所述第一数据转换为原始数据后返回读取结果。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,做出若干等同替代或明显变型,而且性能或用途相同,都应当视为属于本发明的保护范围。
Claims (10)
1.一种数据通信及存储方法,该方法包括如下步骤:
(1)构建一个包括控制中心、交互终端、交互介质通信系统,交互终端能够向所述交互介质写入数据并能够从所述交互介质读出数据;
(2)建立安全通信通道,双向连接交互终端与控制中心,控制中心对所述进入系统的交互终端的数据进行处理和控制;
(3)控制中心通过安全通信通道完成交互终端的安全验证,如果交互终端不安全,则阻止该交互终端的数据进入系统进行,如果交互终端安全,则允许该交互终端数据进入系统;
(4)对进入系统的交互终端的数据进行存储。
2.如权利要求1所述的方法,其特征在于,在步骤(2)采用如下步骤完成安全通信通道的建立:
(21)在交互终端向控制中心发送连接申请时,交互终端首先查询是否已缓存与控制中心的会话连接信息,是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将会话号与摘要结果写入连接申请包的会话ID与会话密钥摘要字段中;再查询是否已缓存控制中心证书,是则将控制中心的证书序列号写入连接申请包的控制中心证书序列号字段中,再将交互终端证书的序列号写入交互终端证书序列号字段中;填写非对称加密和数字签名算法组合列表,并向控制中心发送连接申请;
(22)控制中心接收到交互终端发送的连接申请数据包后,根据会话号查询是否缓存有对应的会话连接信息,是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将计算结果与交互终端发送的会话密钥的摘要数据进行比对;如果对比结果一致,则将会话密钥与对称算法作为安全通信通道中数据保护的密钥与算法,并进入下一步;
(23)控制中心向终端发送协商结束命令,终端收到控制中心发送的协商结束命令后,安全通道建立结束。
3.如权利要求2所述的方法,其特征在于,所述(22)中,如果对比结果不一致,则执行下述步骤流程:
(221)控制中心读取交互终端发送的控制中心证书的序列号,如果与本端使用的证书序列号一致,则不发送控制中心的证书至交互终端,并执行下一步流程;
(222)控制中心读取交互终端发送的交互终端证书的序列号,根据该序列号查询是否已缓存交互终端证书;是则不需要交互终端向控制中心发送交互终端的证书,并执行下述工作流程:
(2221)控制中心读取交互终端发送的算法组合列表,选择一组加密强度最高的算法组合作为以下流程中使用的加密算法组合,发送至交互终端,并执行下一步流程;
(2222)控制中心生成一组临时的非对称密钥对,使用控制中心的私钥以及所述步骤(2221)中所选择的算法组合中的非对称算法对临时公钥进行数字签名,将签名结果与临时公钥组包,向终端发送密钥交互数据包;
(2223)向交互终端发送连接申请结束数据包;
(2224)交互终端收到控制中心发送的连接申请响应数据包,缓存密钥协商算法组合与会话号;交互终端如果收到控制中心发送的控制中心证书数据包,对控制中心证书进行合法性验证,验证成功,则使用证书中的序列号作为标识,缓存控制中心的数字证书;验证失败,则退出本流程,断开连接;交互终端如果收到控制中心发送的申请交互终端证书的申请数据包,则将本端的证书组包成证书数据包,向控制中心发送;交互终端收到控制中心发送的密钥协商数据包,则使用缓存的控制中心证书中的公钥与所述缓存的密钥协商算法组合中的非对称算法,对控制中心的临时公钥签名信息进行验证,如果不成功则退出流程,并断开链接;如果成功则执行下一步;
(2225)交互终端随机生成一个会话密钥,作为安全通道中数据保护的密钥,使用算法组合中的对称算法作为保护算法;使用会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;使用非对称算法对会话密钥进行加密,并使用非对称算法对加密后的会话密钥进行数字签;将加密后的会话密钥以及数字签名组包,向控制中心发送密钥协商数据包;
(2226)向控制中心发送协商结束命令;
(2227)控制中心如果收到交互终端证书数据包,对交互终端证书进行合法性验证,如果验证成功,使用证书中的序列号作为标识,缓存控制中心的数字证书;如果验证失败,则退出本流程,断开连接;
(2228)控制中心收到交互终端发送的密钥协商数据包后,使用交互终端证书中的公钥以及步骤(22)中所选择的算法组合中的非对称算法对签名数据进行签名验证,如果不成功则退出流程,并断开链接;如果成功则使用本端私钥与非对称算法解密会话密钥,并使用步骤(22)中产生的会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;并将会话密钥与对称算法名作为安全通信通道中数据保护的密钥与算法;执行步骤(23)。
4.如权利要求3所述的方法,其特征在于,所述步骤(221)中,如果没有缓存交互终端证书,则在所述步骤(2221)和所述步骤(2222)之间增加以下流程:控制中心向交互终端发送控制中心证书;控制中心发送获取交互终端证书的请求给交互终端。
5.如权利要求1所述的方法,其特征在于,在步骤(4)中,采用如下方法进行数据存储:
(41)控制中心对将原始数据进行格式转换,以得到预设格式的第一数据;
(42)创建所述第一数据的第一元数据;
(43)根据缓存中保存的键值与元数据的对应关系判断数据库中是否存储有所述第一数据;
(44)如果数据库中没有存储所述第一数据,则将所述第一数据、所述第一数据的第一元数据以及所述第一数据的键值保存到缓存中;
(45)在满足预设的触发条件时,将缓存中尚未存储到数据库中的第一数据、第一数据的第一元数据以及第一数据的键值保存到数据库中。
6.如权利要求5所述的方法,其特征在于,在步骤(43)中,所述根据缓存中保存的键值与元数据的对应关系判断数据库中是否存储有所述第一数据,包括:
(431)根据所述第一数据的键值判断缓存中是否保存有所述键值对应的第二元数据;
(432)如果缓存中没有保存所述键值对应的第二元数据,则确定数据库中没有存储所述第一数据。
7.如权利要求6所述的方法,其特征在于,还包括:
如果缓存中保存有所述键值对应的第二元数据,则判断所述第二元数据与所述第一元数据是否相同;
如果所述第二元数据与所述第一元数据不相同,则确定数据库中没有存储所述第一数据;
所述将所述第一数据、所述第一数据的第一元数据以及所述第一数据的键值保存到缓存中,包括:
将缓存中保存所述第一数据的键值对应的第二元数据更新为所述第一元数据,并保存所述第一数据。
8.如权利要求7所述的方法,其特征在于,所述判断所述第二元数据与所述第一元数据是否相同,包括:
判断所述第二元数据的哈希值与所述第一元数据的哈希值是否相同,如果相同,则确认所述第二元数据与所述第一元数据相同;如果不相同,则确认所述第二元数据与所述第一元数据不相同。
9.如权利要求8所述的方法,其特征在于,所述预设的触发条件包括:到达预设的时间周期以及缓存的数据量达到预设的阈值。
10.如权利要求9所述的方法,其特征在于,还包括:
在读取数据时,根据键值在缓存中查找是否保存有对应的第一数据;
当缓存中没有保存所述键值对应的第一数据时,根据缓存中保存的所述键值对应的元数据从数据库中获取所述键值对应的第一数据;
将所述第一数据转换为原始数据后返回读取结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510817545.6A CN105491015B (zh) | 2015-11-21 | 2015-11-21 | 一种数据通信及存储方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510817545.6A CN105491015B (zh) | 2015-11-21 | 2015-11-21 | 一种数据通信及存储方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105491015A true CN105491015A (zh) | 2016-04-13 |
| CN105491015B CN105491015B (zh) | 2018-07-20 |
Family
ID=55677733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510817545.6A Expired - Fee Related CN105491015B (zh) | 2015-11-21 | 2015-11-21 | 一种数据通信及存储方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105491015B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105430017A (zh) * | 2015-12-31 | 2016-03-23 | 国网山东临朐县供电公司 | 数据安全通信方法 |
| CN107315745A (zh) * | 2016-04-26 | 2017-11-03 | 北京京东尚科信息技术有限公司 | 一种私信存储方法及系统 |
| CN108446366A (zh) * | 2018-03-14 | 2018-08-24 | 北京思特奇信息技术股份有限公司 | 一种分类存储/快速匹配数据的方法及装置 |
| CN109309689A (zh) * | 2018-12-28 | 2019-02-05 | 中国人民解放军国防科技大学 | 一种报文来源真实性和内容完整性的验证方法 |
| CN112738122A (zh) * | 2021-01-04 | 2021-04-30 | 北京全路通信信号研究设计院集团有限公司 | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 |
| CN113219898A (zh) * | 2021-07-08 | 2021-08-06 | 宜科(天津)电子有限公司 | 上位机与plc的通讯系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521667A (zh) * | 2009-04-15 | 2009-09-02 | 山东渔翁信息技术股份有限公司 | 一种安全的数据通信方法及装置 |
| CN102780698A (zh) * | 2012-07-24 | 2012-11-14 | 南京邮电大学 | 物联网平台中用户终端安全通信的方法 |
| CN105024818A (zh) * | 2015-03-19 | 2015-11-04 | 泉州天地星电子有限公司 | 一种构建数据加密存储与交换系统的方法 |
-
2015
- 2015-11-21 CN CN201510817545.6A patent/CN105491015B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521667A (zh) * | 2009-04-15 | 2009-09-02 | 山东渔翁信息技术股份有限公司 | 一种安全的数据通信方法及装置 |
| CN102780698A (zh) * | 2012-07-24 | 2012-11-14 | 南京邮电大学 | 物联网平台中用户终端安全通信的方法 |
| CN105024818A (zh) * | 2015-03-19 | 2015-11-04 | 泉州天地星电子有限公司 | 一种构建数据加密存储与交换系统的方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105430017A (zh) * | 2015-12-31 | 2016-03-23 | 国网山东临朐县供电公司 | 数据安全通信方法 |
| CN105430017B (zh) * | 2015-12-31 | 2018-10-09 | 国网山东临朐县供电公司 | 数据安全通信方法 |
| CN107315745A (zh) * | 2016-04-26 | 2017-11-03 | 北京京东尚科信息技术有限公司 | 一种私信存储方法及系统 |
| CN108446366A (zh) * | 2018-03-14 | 2018-08-24 | 北京思特奇信息技术股份有限公司 | 一种分类存储/快速匹配数据的方法及装置 |
| CN109309689A (zh) * | 2018-12-28 | 2019-02-05 | 中国人民解放军国防科技大学 | 一种报文来源真实性和内容完整性的验证方法 |
| CN112738122A (zh) * | 2021-01-04 | 2021-04-30 | 北京全路通信信号研究设计院集团有限公司 | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 |
| CN112738122B (zh) * | 2021-01-04 | 2023-02-21 | 北京全路通信信号研究设计院集团有限公司 | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 |
| CN113219898A (zh) * | 2021-07-08 | 2021-08-06 | 宜科(天津)电子有限公司 | 上位机与plc的通讯系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105491015B (zh) | 2018-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN105491015A (zh) | 一种数据通信及存储方法 | |
| CN109040139B (zh) | 一种基于区块链与智能合约的身份认证系统及方法 | |
| CN102833253B (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| CN104579694B (zh) | 一种身份认证方法及系统 | |
| CN103699920B (zh) | 基于椭圆曲线的射频识别双向认证方法 | |
| CN103546289B (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| CN102572817B (zh) | 实现移动通信保密的方法和智能存储卡 | |
| CN110049060A (zh) | 基于区块链的分布式可信身份存证方法及系统 | |
| CN104683359A (zh) | 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法 | |
| CN104468126B (zh) | 一种安全通信系统及方法 | |
| JP2011530201A (ja) | 事前共有キーによる匿名認証方法、リード・ライト機、電子タグ及び事前共有キーによる匿名双方向認証システム | |
| RU2011105187A (ru) | Протокол привязки устройства к станции | |
| CN109495445A (zh) | 基于物联网的身份认证方法、装置、终端、服务器及介质 | |
| CN101083530A (zh) | 利用短消息实现的移动实体间的认证与密钥协商方法 | |
| CN105553654A (zh) | 密钥信息查询处理方法和装置、密钥信息管理系统 | |
| CN107645378A (zh) | 密钥管理平台、通信加密方法及终端 | |
| TWI501614B (zh) | Symmetric Dynamic Authentication and Key Exchange System and Its | |
| CN107959573A (zh) | 一种基于数字签名的网络摄像头的保护方法 | |
| CN111404664A (zh) | 基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法 | |
| CN108599926A (zh) | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法 | |
| CN112084521A (zh) | 用于区块链的非结构化数据处理方法、装置及系统 | |
| CN105430017A (zh) | 数据安全通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180720 Termination date: 20181121 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |