发明内容
为了解决现有技术的不足,本发明提供一种基于高速同步技术的网络通信系统数据安全传输方法,该方法采取了先是同步握手,附加身份验证,然后是数据加密与物 理位置信息相结合的随机校验传输手段。通过该手段,本方法能有效识别通信网络中 以伪基站等恶意中继破坏手段而伪造、篡改数据等行为,利用高速、连续的校验方法, 实现了高精度的防御校验,保障了通信网络中数据的安全传输。本方法高效易行,校 验手段灵活,可有效防止通信线路中恶意中继接入等破坏手段。
为了实现上述功能,本发明在数据传输过程中应用了高速同步校验技术,连续加密校验等手段,该方法包括了两个阶段:初次握手同步阶段以及数据传输阶段连续校 验过程。
初次握手同步过程中,采用同端校验手段,甲端发起握手校验序列,乙端在识别该序列后,应答乙端本地时间;甲端在通过物理位置校验后,确认乙端身份,并进行 同步操作。(甲、乙两端代表参与数据通信的网络两端,具有完全相同地位,在后文中 均用甲、乙来表示)
初次握手同步过程完成后,甲端对乙端发来的带有随机时间序列的数据包进行连续验证;乙端采用高频发包形式,在每一帧数据结构中加入随机验证序列。甲端验证 通过后,正常发送数据,并开始接收数据。
本发明是通过以下具体技术方案实现的:
一种基于同步技术的网络安全传输方法,其特征在于:包括两个实现过程,一是初次握手同步过程,一是数据传输阶段连续校验过程;甲端和乙端在初次握手同步协 议通过后方能进行数据连续校验传输;
所述初次握手同步过程包含如下步骤:
步骤1:甲端在接收到上级发出的同步指令后,提取本地当前时间序列,并加密 生成本地握手校验序列A,然后按一定的算法形成初次握手同步包X1,向乙端发送;
步骤2:乙端解算出初次握手同步包X1,同时提取自身本地时间序列,并加密生 成握手同步应答序列B,然后按一定的算法加入到同步包X1中,形成握手同步应答包 X2,向甲端做应答;
步骤3:甲端解算出握手同步应答包X2,并识别得到握手校验序列A′,比对校验 握手校验序列A′与本地校验序列A,同时解算出握手应答与发起握手之间的时延信息, 应用时间间隔机制对接收端的物理位置做出判断,验证乙端的身份;
步骤4:通过身份验证后,将乙端的时间同步为甲端本地时间,完成初次握手同 步过程;
所述数据传输阶段连续校验过程包含如下步骤:
步骤1:甲端用在握手同步阶段提取出的同步时间序列T1,作为初始时刻,按照 相同的随机校验序列算法,发起端生成连续随机校验序列Y′n;乙端按照一定算法规则 根据同步时间序列T1生成连续随机校验序列Yn;
步骤2:甲端接收并连续校验由乙端发送来的包含随机校验序列Yn的数据包,将自身的随机校验序列Y′n与乙端的随机校验序列Yn进行校验比对,若比对成功(即满足 Y′n=Yn),则正常接收并上传此数据包,若比对失败,则丢弃此数据包;
乙端按照步骤1~步骤2的方法,在乙端同时校验由甲端发送来的、按照相同的 预设加密算法生成的连续随机校验序列X′n,并在乙端完成相同的连续校验过程,并将 数据进行上传;
只有两端校验都通过,协议通信机制才算完成,才能进入正常通信阶段,若未通过连续随机校验过程,则直接断开有效数据通信,并向上层发出信息安全预警。
进一步地,在所述初次握手同步过程中,甲端加密生成本地握手校验序列A的加密算法,与乙端加密生成握手同步应答序列B的加密算法,可采取同样的算法,也可 采取不同的算法。
进一步地,在所述数据传输阶段连续校验过程中,在每一次的随机校验比对工作中,如校验成功,则加入微调同步的操作,即:将本端连续随机校验序列与对端的同 时刻连续随机校验序列、上一时刻连续随机校验序列、后一时刻连续随机校验序列分 别进行比对,将比对上的序列调整为下一随机序列所校验的基准。
进一步地,所述甲端和乙端具有相同的连续随机校验序列生成器,并且配置在大深度序列数据库中,此所述随机序列生成器定期更换种子源。
进一步地,所述甲端和乙端具有相同的动态随机密钥生成数据库,所述数据库以同步时刻作为初始时刻。
进一步地,在正常通信阶段中,依然进行连续校验过程。
相比于安全证书和安全口令等常规通信线路安全检测手段,本发明方法基于高速同步技术,将检测精度提高到新的高度,从而使通信线路中可能存在的伪基站等恶意 中继破坏手段得到有效的预警。
因为两端时间晶振误差的存在,在校验过程中设置由于晶振误差引入的冗余校验项,即校验时,除了比对此刻随机校验序列,同时也将随机校验序列冗余项纳入比对 范畴,以比对成功项作为下一包比对项,以此进行高速同步微调以消除由于两地时钟 晶振误差而带来的影响,提高同步校验精度。
另外,初次握手同步过程中同时包含身份验证过程与初次同步操作。通过校验握手应答与发起握手之间的本地时延信息,对对端物理位置进行校验,从而确定对端身 份信息。对对端身份信息的判断校验进行双项校验,首先需要通过两端握手协议,同 时,需要满足绝对物理位置正确的条件方能通过初次握手同步过程中的身份验证。
本发明具有因其校验机制中高速同步操作而形成的高精度校验属性,在数据传输阶段连续校验过程中,两端采取同样的加密算法(密钥)进行随机序列的生成,每一 次校验的基准都是在上一校验序列同步(微调)的基准上,因此校验精度接近校验频 率。
校验机制中还具有连续校验的基本属性,在验证数据结构中,每一帧数据结构都包含待验证随机序列,只有通过校验的数据才可正常上传,因此,从数据结构上保证 了其安全性。
通信线路两端具有相同的动态随机密钥生成数据库,数据库以同步时刻作为初始时刻,以极大的存储深度作为随机序列动态库,并定期更换种子源,以此为动态随机 序列的生成提供有效的保证。
数据传输阶段连续校验过程中,为了进一步保证线路数据安全传输,在通过初次握手同步成功后,在数据传输阶段连续校验过程中进一步对对端身份进行校验,首先 进入一个纯随机序列校验连续校验阶段,即只做随机序列的校验,而不做数据的正常 通信,待通过此阶段后,才开始正常数据通信功能,进行安全传输,增强了可靠性。
为了保证网络线路两端的精准同步,除了校验机制中高速验证同步校验机制外,对端生成随机序列操作延迟完全匹配本端解码对比操作延迟,保证同步一致性。
经检验,本发明方法是一种切实可行的通信线路安全传输手段。
具体实施方式
下面结合附图对本发明方法的实施方式进行详细的说明。
本发明主要涉及通信线路两端数据连续校验的安全传输方法,数据的校验与序列的同步紧密相关,因此高速同步技术是本方法的基础,同时由于校验机制,也直接决 定了校验所能识别的精度;此外,本发明在随机码生成中所采用的密钥源自量子相位 噪声,从原理上具有不可复制性,所以保证了校验码的安全可靠性。
本方法的实现包括两个实现阶段:初次握手同步过程和数据传输阶段连续校验过程。
一,初次握手同步过程具体如下实施,如图1所示:
步骤1:甲端在接收到同步指令Order1后,提取本地当前时间序列如20180105210223作为校验序列T,在本实施例中时间序列以年-月-日-时-分-秒为指令 格式,实际应用中,用户可定义将发送数据按任意规则键入到时间序列当中;然后将 此时间序列按一定的加密算法E1(按实际操作,具体定义名称)进行加密,生成长度为 64bit的本地握手校验序列A;然后按一定的算法(如BASE64加密算法)加入到初次 握手同步包中,形成初次握手同步包X1,最终的校验包长度为80bit,并向乙端发送;
步骤2:乙端在接收到握手同步包X1后,首先做识别工作,通过识别固定标识, 乙端识别所收到的数据包的种类是握手同步包,并进行握手同步操作;然后对握手同 步包X1进行解密操作,同时提取自身此时本地时间序列T1,并由加密算法E2(按实际操 作定义具体名称)生成握手同步应答序列B,并将握手同步应答序列B按一定的算法(这 里的算法和E1、E2区别开,可以是自己协议中定义的分组错位算法)加入到同步包X1中, 形成长度为144bit的握手同步应答包X2,此时改变此信息包的标识种类,向甲端做应 答;
步骤3:甲端在收到握手同步应答包X2后,首先识别信息包的种类,当识别到握 手同步应答包X2后,应用加密算法逆运算解密算法E′1(E′1与E1对应)对同步应答包X2进 行解算,并识别得到握手校验序列A′,此时将握手校验序列A′与本地校验序列A做比 对校验。若成功比对,则检测此时本地校验序列A的变化序列A″(同样也是一个解码 的过程,将对端回复的同步序列进行解码,用一定的解密算法如E′1),将A″所对应的 时间信息转换为空间信息,应用时间间隔机制对乙端的物理位置做出判断,验证乙端 的身份,验证手段是将收到的序列和发出的序列按位比对。若比对失败,则丢弃此握 手应答包,返回步骤1继续进行该握手操作。
若通过物理位置校验,则将握手同步应答包X2中的握手同步应答序列B按照与加密算法E2对应的逆运算解密算法E′2进行解密,提取出乙端同步本地时间序列T1,完成 初次握手同步工作。
这里,E1和E2算法可以一样,也可以不一样,,但是为了更高的加密复杂度,应 该用不同的算法,举例E1可以为BASE64加密算法,E2可以为DES加密算法。
二,数据传输阶段连续校验过程具体如下实施,如图2所示:
甲端用握手同步阶段提取出的本地时间序列T1,作为初始时刻,按照预设的随机序列生成加密算法E3(为了适应协议的加密机制,可用的已知算法有如3DES、 HmacMD5、CAST5等)进行有效加密,生成连续随机校验序列Y′n,同时开始校验由 乙端发送来的、按照相同的预设加密算法E3生成的连续随机校验序列Yn,乙端按照一 定算法规则,根据同步时刻生成连续随机校验序列Yn;并在甲端进行连续校验过程。
为了匹配两端由于晶振精度所带来的误差,在每一次的随机校验比对工作中,如校验成功,则加入微调同步的操作,将乙端连续随机校验序列Yn同时与同时刻甲端连 续随机校验序列Y′n以及其上一时刻连续随机校验序列Y′n-1、后一时刻连续随机校验序 列Y′n+1同时进行比对,将比对上的序列调整为下一随机序列所校验的基准,这样的微 调有效的避免了线路两端由于晶振误差所带来的影响,成功的将校验精度提升到校验 发包的频率的量级;
由于两端采用同样的加密算法E3,同时采取高速同步微调方法,因此,若是正确约定方发来的随机验证序列就能通过连续校验。
在完成此阶段的连续随机校验序列Yn的校验后,将经过随机校验序列验证过的数据TEXT1进行上传(这里指的是通过了本地物理层校验,向本地上层通信上报数据)。
同时,将本方数据以一定的方式(本方数据指的是本地端上层数据,也即本地上层有效数据信息)加入到连续随机校验序列X′n中,向乙端发送,当乙端校验序列Xn完 成对X′n的相同验证工作后,协议通信机制完成,可以进入正常通信阶段;
因为是双向通信,所以这个协议的验证过程,也是对称,双向的,因为前述的过 程已经把单向的验证写明了,所以后面对端的验证和本地端是相对应的,同时也是独 立的,之所以用Xn和X′n是为了和Yn及Y′n区别开来,两端的验证过程是独立的。
若未通过连续随机校验过程,则直接断开有效数据通信,并向上层发出信息安全预警。
进一步地,在正常通信阶段中,依然进行连续校验过程,与上述区别是将校验序列加入到有效数据信息包中,形成带有校验信息的数据包进行正常通信。
本发明提供的这种基于高速同步技术的网络通信系统数据安全传输方法,是基于甲端和乙端的协同校验,校验的进行在于两端物理位置、通信协议协同校验的基础上。 甲端首先发起初次握手同步协议,乙端对初次握手同步协议进行正确应答,完成初次 握手同步过程;然后在后续的连续校验过程中,甲端连续校验由乙端加密发来的校验 序列,当甲端通过校验随机序列,完成校验连续校验过程。
这里,初次握手同步过程依次包括:1)甲端发起握手同步协议;2)乙端正确应 答握手协议,并附上自身同步信息;3)甲端对接收端应答进行校验,通过后,完成初 次握手同步过程。
甲端在发起初次握手同步协议时,首先提取出时间信息,经过加密单元一,生成握手同步校验序列,加密单元一用于对输入的明文数据按照预设的算法E1与时间字符 串结合后,进行加密得到密文后输出;
乙端在正确识别甲端初次握手同步协议后,提取自身本地时间信息,经过加密单元二,生成同步时刻序列T1,按照预设的算法E2加密得到应答序列后并进行正确应答;
甲端在收到应答数据后,首先通过加密单元一的逆运算解密单元对握手同步校验序列进行解密,并通过比对有效时延信息,对应答端物理位置进行有效校验;在通过 物理位置校验后,按照加密单元二的逆运算解密单元,提取出接收端同步时刻信息, 完成握手同步过程。
在初次握手同步过程中,同时包含身份验证过程与初次同步握手操作,对对端身份信息进行双向校验,首先需要通过两端握手协议,同时,需要满足绝对物理位置正 确的条件方能通过初次握手同步过程中的身份验证,以此来确保握手同步对象的身份 信息。进行对端身份验证是握手同步的基础,因此确定对端身份信息极为关键,通过 校验握手应答与发起握手之间的本地时延信息,对对端物理位置进行校验,从而确定 对端身份信息。在初次握手同步过程中,乙端应答握手同步协议过程中,需要按一定 转发机制将自身本地时间作为同步时刻回发到甲端,由甲端完成同步操作。
数据传输阶段连续校验过程,包括甲端通过连续随机校验序列的校验,完成连续随机校验过程,开启数据发送功能,向乙端发送数据信息;同时乙端接收发送过来的 有效信息,建立有效数据传输。
甲端在通过初次握手过程后,提取出乙端同步时刻信息,将此时刻信息作为验证端连续校验随机序列生成的初始时刻,按照预设的算法E3进行校验序列的生成,生成 验证端连续随机校验序列Y′n;同时开始校验由对端(乙端)发送来的、按照相同的预 设加密算法E3生成的连续随机校验序列Yn,并在甲端进行连续校验过程;
若通过连续随机序列校验过程,甲端则开启数据发送功能,正常向乙端发送有效数据信息序列TEXT1,并正常接收由乙端发送过来的信息序列TEXT2,建立有效数据 传输通络;若没有通过连续校验过程,则直接断开有效数据链路,并向上层发出线路 安全检测预警。
作为优选,甲端和乙端具有相同的连续随机校验序列生成器,并且配置大深度序列数据库中以保证在一段时期内序列不会重复出现。
进一步地,甲端和乙端具有相同的动态随机密钥生成数据库,数据库以同步时刻作为初始时刻,以极大的存储深度作为随机序列动态库,并定期更换种子源,以此为 动态随机序列的生成提供有效的保证。
因其校验机制中高速同步操作而形成的高精度校验属性,在数据传输阶段连续校验过程中,两端采取同样的加密算法(密钥)进行随机序列的生成,每一次校验的基 准都是在上一校验序列同步(微调)的基准上,因此校验精度可接近校验频率。
鉴于校验机制中连续校验的基本属性,在验证数据结构中,每一帧数据结构都包含待验证随机序列,只有通过校验的数据才可正常上传,因此,从数据结构上保证了 其安全性。
数据传输阶段连续校验过程中,为了进一步保证线路数据安全传输,在通过初次握手同步成功后,在数据传输阶段连续校验过程中也进一步对对端身份进行校验,首 先进入一个纯随机序列校验连续校验阶段,即只做随机序列的校验,而不做数据的正 常通信,待通过此阶段后,才开始正常数据通信功能,进行安全传输,增强了可靠性。
为了保证网络线路两端的精准同步,除了校验机制中高速验证同步校验机制外,对端生成随机序列操作延迟应完全匹配本端解码对比操作延迟,方能保证同步一致性。