CN109600231A - 数据安全通信系统和方法 - Google Patents

数据安全通信系统和方法 Download PDF

Info

Publication number
CN109600231A
CN109600231A CN201811481900.7A CN201811481900A CN109600231A CN 109600231 A CN109600231 A CN 109600231A CN 201811481900 A CN201811481900 A CN 201811481900A CN 109600231 A CN109600231 A CN 109600231A
Authority
CN
China
Prior art keywords
data
module
control module
communication
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811481900.7A
Other languages
English (en)
Other versions
CN109600231B (zh
Inventor
王根平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Qiji Technology Co ltd
Original Assignee
Shenzhen Qiji Technology Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Qiji Technology Service Co Ltd filed Critical Shenzhen Qiji Technology Service Co Ltd
Priority to CN201811481900.7A priority Critical patent/CN109600231B/zh
Publication of CN109600231A publication Critical patent/CN109600231A/zh
Application granted granted Critical
Publication of CN109600231B publication Critical patent/CN109600231B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种数据安全通信系统,包括用户终端和安全设备,所述用户终端与所述安全设备进行数据通信,所述安全设备包括硬件结构和功能相同的第一安全设备和第二安全设备。本发明同时还提供了一种数据安全通信方法,包括如下步骤:加密请求、原始数据加密、加密数据包生成、用户的加密数据包解密、验证数据提取、判断有效性。本发明同时还提供了另一种数据安全通信方法,包括如下步骤:加密请求、原始数据加密、加密数据包生成、数据压缩、解压解密、验证数据提取、判断有效性。本发明数据安全通信系统及方法的数据保护的安全性高。

Description

数据安全通信系统和方法
【技术领域】
本发明涉及信息安全领域,尤其涉及一种可实现数据安全存储和传输、验证的数据安全通信系统和方法。
【背景技术】
随着信息时代的到来,随着电子发票、电子病历等电子文件的应用,越来越多的文件采用电子的形式存储和发给用户,同时可通过电子文件的形式进行后续的业务,比如电子发票报销、电子病历报保险等。
然而,文件经过多重传输,且可能在业务传递过程中有被篡改、被伪造、被损坏等风险,导致后续业务难以继续;同时随着移动终端的普及,所有文档可通过移动终端存储,但终端存储空间有限,成本高,一旦终端用户的电子文档增多,终端存储空间和运算空间将被消耗殆尽。
因此,实有必要提供一种新的数据安全通信系统和方法解决上述问题。
【发明内容】
本发明的目的是克服上述技术问题,提供一种数据保护的安全性高的数据安全通信系统及方法。
为了实现上述目的,本发明提供一种数据安全通信系统,包括相互数据通信的用户终端和安全设备,
所述用户终端,用于数据存储、数据输入、数据处理、显示以及与所述安全设备进行数据通信,
所述安全设备包括硬件结构和功能相同的第一安全设备和第二安全设备,
所述第一安全设备包括:
第一加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第一存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第一通信模块,用于与所述用户终端进行数据通信;
第一控制模块,分别与所述第一加密模块、所述第一存储模块及所述第一通信模块进行通信,用于控制所述第一加密模块、所述第一存储模块及所述第一通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第二安全设备包括:
第二加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第二存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第二通信模块,用于与所述用户终端进行数据通信;
第二控制模块,分别与所述第二加密模块、所述第二存储模块及所述第二通信模块进行通信,用于控制所述第二加密模块、所述第二存储模块及所述第二通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第一通信模块与所述第二通信模块通过有线或无线相互数据通信。
更优的,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值、原始数据加密后的数据。
更优的,所述第一加密模块和所述第二加密模块为芯片或加密卡或加密机,所述第一加密模块和所述第二加密模块均可以对所述第一加密模块存储的所述密钥或者所述第二加密模块存储的所述密钥进行解密。
更优的,所述第一存储模块和所述第二存储模块均为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
更优的,所述第一安全设备还包括第一数据转换模块,所述第一数据转换模块用于将所述第一控制模块传输的数据按照数据转换方法进行压缩转换得到转换数据;所述第二安全设备还包括第二数据转换模块,所述第二数据转换模块用于将所述第二控制模块传输的数据按照数据转换方法进行解压缩逆转换得到的复原数据;所述数据转换方法为数据的token值或者对该数据进行计算得出的摘要值,所述第一控制模块调用和控制所述第一数据转换模块进行工作时接收和发送数据的处理,所述第二控制模块调用和控制所述第二数据转换模块进行工作时接收和发送数据的处理。
本发明提供一种数据安全通信方法,所述数据安全通信方法使用上面所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包,所述第一控制模块将所述加密数据包存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
用户的加密数据包解密,所述用户终端通过所述第二通信模块将业务请求和所述加密数据包发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密,并验证解密后数据的完整性;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据,并验证所述验证数据的完整性;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
更优的,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。
更优的,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始加密数据;在验证数据提取的步骤中,所述申请提取数据为所述原始加密数据,所述第二控制模块将所述原始加密数据发送至所述第二加密模块进行解密。
更优的,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始完整数据散列函数Hash值;在验证数据提取的步骤中,所述申请提取数据为所述原始完整数据散列函数Hash值。
本发明提供还另一种数据安全通信方法,所述数据安全通信方法使用上面所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包;
数据压缩,所述第一控制模块将所述加密数据包发送至所述第一数据转换模块进行数据提取并生成数据特征值,所述第一数据转换模块将所述数据特征值发送至所述第一控制模块,所述第一控制模块将该所述数据特征值存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
解压解密,所述用户终端通过所述第二通信模块将业务请求和所述数据特征值发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密并发送至所述第二控制模块,所述第二控制模块验证解密后数据的完整性;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述申请提取数据为所述数据特征值,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二数据转换模块将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中数据进行解密并发送至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据并验证所述验证数据的完整性;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
与现有技术相比,本发明的数据安全通信系统和方法中提供所述用户终端和所述安全设备,并通过所述第一控制模块将所述原始数据处理成所述原始加密数据后,再将其处理成所述加密数据包并发送至所述用户终端,所述用户终端将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包中所述待比较数据进行解密;所述第二控制模块将将所述第一存储模块存储的申请提取数据处理处理为验证数据;然后所述第二控制模块将所述加密数据包的所述待比较数据解密后获取的数据与所述验证数据进行比较来判断数据的有效性。本发明的数据安全通信系统和方法无需用户内置安全模块和安全系统,通过所述安全设备的安全防护解决方案保障数据的安全,从而有效降低用户的降低数据量;所述第一加密模块和所述第二加密模块可以实现数据的加解密和相互验证,有效地提高安全性;采用散列函数Hash值运算处理和加密的算法技术保证数据的完整性和保密性;所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成所述加密数据包,并通过所述安全设备对所述加密数据包进行加密、解密及数据通信,从而使安全性更高。综合上述,本发明的数据安全通信系统和方法的数据保护的安全性高。
【附图说明】
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中:
图1为本发明数据安全通信系统的模块结构示意图;
图2为本发明数据安全通信方法的流程框图;
图3为本发明另一种数据安全通信方法的流程框图。
【具体实施方式】
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种数据安全通信系统100,该系统包括相互数据通信的用户终端1和安全设备2。
所述用户终端1与所述安全设备2进行数据通信。所述用户终端1用于数据存储、数据输入、数据处理、显示。所述用户终端1为智能手机或电脑或可支持人机交互的设备终端。
所述安全设备2包括硬件结构和功能相同的第一安全设备21和第二安全设备22。
所述第一安全设备21包括:第一加密模块211、第一存储模块212、第一通信模块213、第一控制模块214以及第一数据转换模块215。
所述第二安全设备22包括:第二加密模块221、第二存储模块222、第二控制模块224以及第二数据转换模块225。
所述第一加密模块211用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书。所述第一加密模块211可以对所述第一加密模块211存储的所述密钥或者所述第二加密模块221存储的所述密钥进行解密。具体的,所述第一加密模块211为芯片或加密卡或加密机。
所述第一存储模块212用于将加密后的所述加密数据和/或签名数据进行存储。在本实施方式中,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。具体的,所述第一存储模块212为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
所述第一通信模块213用于与所述用户终端1进行数据通信。所述第一通信模块213还与所述第二通信模块223通过有线或无线相互数据通信。
所述第一控制模块214分别与所述第一加密模块211、所述第一存储模块212及所述第一通信模块213进行通信,用于控制所述第一加密模块211、所述第一存储模块212及所述第一通信模块213的工作时接收和发送数据的处理、模块的调用以及流程控制。
所述第一数据转换模块215用于将所述第一控制模块214传输的数据按照数据转换方法进行压缩转换得到转换数据。所述数据转换方法为数据的token值或者对该数据进行计算得出的摘要值。所述第一控制模块214调用和控制所述第一数据转换模块215进行工作时接收和发送数据的处理。
所述第二加密模块221用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书。所述第二加密模块221可以对所述第一加密模块211存储的所述密钥或者所述第二加密模块221存储的所述密钥进行解密。具体的,所述第二加密模块221为芯片或加密卡或加密机。
第二存储模块222用于将加密后的所述加密数据和/或签名数据进行存储。在本实施方式中,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。具体的,第二存储模块222为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
所述第二通信模块223用于与所述用户终端1进行数据通信。所述第一通信模块213与所述第二通信模块223通过有线或无线相互数据通信。在本实施方式中,所述第一通信模块213、所述第二通信模块223以及所述用户终端1之间均采用蓝牙或3G或4G或5G或2.4G或zigbee或TCP/IP或NFC或RCC或lora或NB-IOT通信协议。
第二控制模块224分别与所述第二加密模块221、所述第二存储模块222及所述第二通信模块223进行通信,第二控制模块224用于控制所述第二加密模块221、所述第二存储模块222及所述第二通信模块223的工作时接收和发送数据的处理、模块的调用以及流程控制。
所述第二数据转换模块225用于将所述第二控制模块224传输的数据按照数据转换方法进行解压缩逆转换得到的复原数据。所述第二控制模块224调用和控制所述第二数据转换模块225进行工作时接收和发送数据的处理。
请参阅图2,本发明提供一种数据安全通信方法,所述数据安全通信方法使用所述数据安全通信系统100实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
步骤S1、加密请求
所述用户终端1将业务请求通过所述第一通信模块213发送至所述第一控制模块214,所述第一控制模块214将该业务需求进行处理并生成原始数据发送至所述第一加密模块211。
步骤S2、原始数据加密
所述第一加密模块211将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据。
步骤S3、加密数据包生成
所述第一控制模块214将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包,所述第一控制模块214将所述加密数据包存放于所述第一存储模块212并通过所述第一通信模块213传输数据至所述用户终端1。
步骤S4、用户的加密数据包解密
所述用户终端1通过所述第二通信模块223将业务请求和所述加密数据包发送至所述第二控制模块224,所述第二控制模块224接该业务请求后将所述加密数据包发送至所述第二加密模块221,所述第二加密模块221将所述加密数据包中的待比较数据进行解密,并验证解密后数据的完整性。
步骤S5、验证数据提取
所述第二控制模块224通过所述第一通信模块213和所述第二通信模块223向所述第一控制模块214发起申请,所述第一控制模块214将所述第一存储模块212存储的申请提取数据通过所述第一通信模块213和所述第二通信模块223传输至所述第二控制模块224,所述第二控制模块224对该数据进行处理为验证数据,并验证所述验证数据的完整性。
步骤S6、判断有效性
所述第二控制模块224将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
在本所述数据安全通信方法中,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值、原始数据加密后的数据。
本所述数据安全通信方法使用所述数据安全通信系统100实现数据安全存储、传输及验证,在具体实施上有多种实施例均可以实现本所述数据安全通信方法,在本实施方式中,列举以下两种实施例,具体为:
实施例一
在所述数据安全通信方法中具体的实施方法:
在步骤S4、用户的加密数据包解密的步骤中,所述待比较数据为所述原始加密数据。
在步骤S5、验证数据提取的步骤中,所述申请提取数据为所述原始加密数据,所述第二控制模块224将所述原始加密数据发送至所述第二加密模块221进行解密。
实施例二
在所述数据安全通信方法中具体的实施方法:
在步骤S4、用户的加密数据包解密步骤中,所述待比较数据为所述原始完整数据散列函数Hash值。
在步骤S5、验证数据提取的步骤中,所述申请提取数据为所述原始完整数据散列函数Hash值。
请参阅图3,本发明提供另一种数据安全通信方法,所述数据安全通信方法使用上面所述的数据安全通信系统100实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
步骤S1、加密请求
所述用户终端1将业务请求通过所述第一通信模块213发送至所述第一控制模块214,所述第一控制模块214将该业务需求进行处理并生成原始数据发送至所述第一加密模块211。
步骤S2、原始数据加密
所述第一加密模块211将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据。
步骤S3、加密数据包生成
所述第一控制模块214将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包。
步骤S4、数据压缩
所述第一控制模块214将所述加密数据包发送至所述第一数据转换模块215进行数据提取并生成数据特征值,所述第一数据转换模块215将所述数据特征值发送至所述第一控制模块214,所述第一控制模块214将该所述数据特征值存放于所述第一存储模块212并通过所述第一通信模块213传输数据至所述用户终端1。
步骤S5、解压解密
所述用户终端1通过所述第二通信模块223将业务请求和所述数据特征值发送至所述第二控制模块224,所述第二控制模块224接该业务请求后将所述数据特征值发送至所述第二数据转换模块225进行数据逆转换生成所述加密数据包,所述第二控制模块224将所述加密数据包发送至所述第二加密模块221,所述第二加密模块221将所述加密数据包中的待比较数据进行解密并发送至所述第二控制模块224,所述第二控制模块224验证解密后数据的完整性。
步骤S6、验证数据提取
所述第二控制模块224通过所述第一通信模块213和所述第二通信模块223向所述第一控制模块214发起申请,所述申请提取数据为所述数据特征值,所述第一控制模块214将所述第一存储模块212存储的申请提取数据通过所述第一通信模块213和所述第二通信模块223传输至所述第二控制模块224,所述第二控制模块224将所述数据特征值发送至所述第二数据转换模块225进行数据逆转换生成所述加密数据包,所述第二数据转换模块225将所述加密数据包发送至所述第二控制模块224,所述第二控制模块224将所述加密数据包发送至所述第二加密模块221,所述第二加密模块221将所述加密数据包中数据进行解密并发送至所述第二控制模块224,所述第二控制模块224对该数据进行处理为验证数据并验证所述验证数据的完整性。
步骤S7、判断有效性
所述第二控制模块224将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
与现有技术相比,本发明的数据安全通信系统和方法中提供所述用户终端和所述安全设备,并通过所述第一控制模块将所述原始数据处理成所述原始加密数据后,再将其处理成所述加密数据包并发送至所述用户终端,所述用户终端将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包中所述待比较数据进行解密;所述第二控制模块将将所述第一存储模块存储的申请提取数据处理处理为验证数据;然后所述第二控制模块将所述加密数据包的所述待比较数据解密后获取的数据与所述验证数据进行比较来判断数据的有效性。本发明的数据安全通信系统和方法无需用户内置安全模块和安全系统,通过所述安全设备的安全防护解决方案保障数据的安全,从而有效降低用户的降低数据量;所述第一加密模块和所述第二加密模块可以实现数据的加解密和相互验证,有效地提高安全性;采用散列函数Hash值运算处理和加密的算法技术保证数据的完整性和保密性;所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成所述加密数据包,并通过所述安全设备对所述加密数据包进行加密、解密及数据通信,从而使安全性更高。综合上述,本发明的数据安全通信系统和方法的数据保护的安全性高。
以上所述的仅是本发明的实施方式,在此应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出改进,但这些均属于本发明的保护范围。

Claims (10)

1.一种数据安全通信系统,其特征在于,该系统包括相互数据通信的用户终端和安全设备,
所述用户终端,用于数据存储、数据输入、数据处理、显示以及与所述安全设备进行数据通信,
所述安全设备包括硬件结构和功能相同的第一安全设备和第二安全设备,
所述第一安全设备包括:
第一加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第一存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第一通信模块,用于与所述用户终端进行数据通信;
第一控制模块,分别与所述第一加密模块、所述第一存储模块及所述第一通信模块进行通信,用于控制所述第一加密模块、所述第一存储模块及所述第一通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第二安全设备包括:
第二加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第二存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第二通信模块,用于与所述用户终端进行数据通信;
第二控制模块,分别与所述第二加密模块、所述第二存储模块及所述第二通信模块进行通信,用于控制所述第二加密模块、所述第二存储模块及所述第二通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第一通信模块与所述第二通信模块通过有线或无线相互数据通信。
2.根据权利要求1所述的数据安全通信系统,其特征在于,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。
3.根据权利要求1所述的数据安全通信系统,其特征在于,所述第一加密模块和所述第二加密模块为芯片或加密卡或加密机,所述第一加密模块和所述第二加密模块均可以对所述第一加密模块存储的所述密钥或者所述第二加密模块存储的所述密钥进行解密。
4.根据权利要求1所述的数据安全通信系统,其特征在于,所述第一存储模块和所述第二存储模块均为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
5.根据权利要求1所述的数据安全通信系统,其特征在于,所述第一安全设备还包括第一数据转换模块,所述第一数据转换模块用于将所述第一控制模块传输的数据按照数据转换方法进行压缩转换得到转换数据;所述第二安全设备还包括第二数据转换模块,所述第二数据转换模块用于将所述第二控制模块传输的数据按照数据转换方法进行解压缩逆转换得到的复原数据;所述数据转换方法为数据的token值或者对该数据进行计算得出的摘要值,所述第一控制模块调用和控制所述第一数据转换模块进行工作时接收和发送数据的处理,所述第二控制模块调用和控制所述第二数据转换模块进行工作时接收和发送数据的处理。
6.一种数据安全通信方法,其特征在于,所述数据安全通信方法使用权利要求1所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包,所述第一控制模块将所述加密数据包存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
用户的加密数据包解密,所述用户终端通过所述第二通信模块将业务请求和所述加密数据包发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密,并验证解密后数据的完整性;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据,并验证所述验证数据的完整性;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
7.根据权利要求6所述的数据安全通信系统,其特征在于,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值、原始数据加密后的数据。
8.根据权利要求6所述的数据安全通信方法,其特征在于,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始加密数据;在验证数据提取的步骤中,所述申请提取数据为所述原始加密数据,所述第二控制模块将所述原始加密数据发送至所述第二加密模块进行解密。
9.根据权利要求6所述的数据安全通信方法,其特征在于,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始完整数据散列函数Hash值;在验证数据提取的步骤中,所述申请提取数据为所述原始完整数据散列函数Hash值。
10.一种数据安全通信方法,其特征在于,所述数据安全通信方法使用权利要求5所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包;
数据压缩,所述第一控制模块将所述加密数据包发送至所述第一数据转换模块进行数据提取并生成数据特征值,所述第一数据转换模块将所述数据特征值发送至所述第一控制模块,所述第一控制模块将该所述数据特征值存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
解压解密,所述用户终端通过所述第二通信模块将业务请求和所述数据特征值发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密并发送至所述第二控制模块,所述第二控制模块验证解密后数据的完整性;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述申请提取数据为所述数据特征值,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二数据转换模块将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中数据进行解密并发送至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据并验证所述验证数据的完整性;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
CN201811481900.7A 2018-12-05 2018-12-05 数据安全通信系统和方法 Active CN109600231B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811481900.7A CN109600231B (zh) 2018-12-05 2018-12-05 数据安全通信系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811481900.7A CN109600231B (zh) 2018-12-05 2018-12-05 数据安全通信系统和方法

Publications (2)

Publication Number Publication Date
CN109600231A true CN109600231A (zh) 2019-04-09
CN109600231B CN109600231B (zh) 2021-10-29

Family

ID=65961166

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811481900.7A Active CN109600231B (zh) 2018-12-05 2018-12-05 数据安全通信系统和方法

Country Status (1)

Country Link
CN (1) CN109600231B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111221764A (zh) * 2019-10-18 2020-06-02 浙江中控技术股份有限公司 一种跨链路数据传输方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7039809B1 (en) * 1998-11-12 2006-05-02 Mastercard International Incorporated Asymmetric encrypted pin
CN105430017A (zh) * 2015-12-31 2016-03-23 国网山东临朐县供电公司 数据安全通信方法
CN105554008A (zh) * 2015-12-28 2016-05-04 联想(北京)有限公司 用户终端、认证服务器、中间服务器、系统和传送方法
CN105761081A (zh) * 2016-02-18 2016-07-13 流量海科技成都有限公司 数据交易方法及数据交易装置
CN206894689U (zh) * 2017-07-12 2018-01-16 苏州元禾医疗器械有限公司 一种数据加密及解密传输装置
CN107742081A (zh) * 2017-09-04 2018-02-27 京江南数娱(北京)科技有限公司 加密和解密方法、装置、存储介质和处理器
CN108650082A (zh) * 2018-05-08 2018-10-12 腾讯科技(深圳)有限公司 待验证信息的加密和验证方法、相关装置及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7039809B1 (en) * 1998-11-12 2006-05-02 Mastercard International Incorporated Asymmetric encrypted pin
CN105554008A (zh) * 2015-12-28 2016-05-04 联想(北京)有限公司 用户终端、认证服务器、中间服务器、系统和传送方法
CN105430017A (zh) * 2015-12-31 2016-03-23 国网山东临朐县供电公司 数据安全通信方法
CN105761081A (zh) * 2016-02-18 2016-07-13 流量海科技成都有限公司 数据交易方法及数据交易装置
CN206894689U (zh) * 2017-07-12 2018-01-16 苏州元禾医疗器械有限公司 一种数据加密及解密传输装置
CN107742081A (zh) * 2017-09-04 2018-02-27 京江南数娱(北京)科技有限公司 加密和解密方法、装置、存储介质和处理器
CN108650082A (zh) * 2018-05-08 2018-10-12 腾讯科技(深圳)有限公司 待验证信息的加密和验证方法、相关装置及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111221764A (zh) * 2019-10-18 2020-06-02 浙江中控技术股份有限公司 一种跨链路数据传输方法及系统
CN111221764B (zh) * 2019-10-18 2022-03-25 浙江中控技术股份有限公司 一种跨链路数据传输方法及系统

Also Published As

Publication number Publication date
CN109600231B (zh) 2021-10-29

Similar Documents

Publication Publication Date Title
US20200372503A1 (en) Transaction messaging
US8949616B2 (en) Methods, apparatus and systems for securing user-associated passwords used for identity authentication
CN107453862A (zh) 私钥生成存储及使用的方案
CN1889419B (zh) 一种实现加密的方法及装置
CN106254327A (zh) 信息处理装置及方法
CN103380592A (zh) 用于个人认证的方法、服务器以及系统
GB2538052A (en) Encoder, decoder, encryption system, encryption key wallet and method
KR20030095342A (ko) Ic 카드 및 ic 카드간 암호통신 방법
CN101483654A (zh) 实现认证及数据安全传输的方法及系统
CN106603496A (zh) 一种数据传输的保护方法、智能卡、服务器及通信系统
US20100005519A1 (en) System and method for authenticating one-time virtual secret information
CN110198320B (zh) 一种加密信息传输方法和系统
CN103458401B (zh) 一种语音加密通信系统及通信方法
CN109802834A (zh) 一种对业务层数据进行加密、解密的方法及系统
CN102869009A (zh) 通信加密应用方法及通信系统
CN106789977A (zh) 一种基于密钥分割实现手机令牌的方法及系统
CN109600231A (zh) 数据安全通信系统和方法
JP5675979B2 (ja) スマートカードを個人専有化する単純化された方法とその関連装置
CN107172436A (zh) 一种身份证信息传输保护的方法和系统
CN102833243A (zh) 一种利用指纹信息的通信系统及其用途
CN106211146A (zh) 安全通讯录添加方法、信息通信方法和通话方法及系统
CN202918498U (zh) 一种sim卡卡套、移动终端及数字签名认证系统
CN110138544A (zh) 一种物联网设备的加密解密系统及方法
JP5405057B2 (ja) 情報通信装置および公開鍵認証方法
CN106790242A (zh) 一种通信方法、通信设备、可读介质及存储控制器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 518000 1401, building a, Fenghuang Zhigu, No. 50, tiezi Road, Gongle community, Xixiang street, Bao'an District, Shenzhen, Guangdong Province

Patentee after: Shenzhen Qiji Technology Co.,Ltd.

Address before: 518000 a3-1-701, building A3, colorful world, next to the middle section of Xingye Road, fuzhongfu community, Xixiang street, Bao'an District, Shenzhen, Guangdong Province

Patentee before: SHENZHEN QIJI TECHNOLOGY SERVICE Co.,Ltd.

CP03 Change of name, title or address