CN110933671B - 数据传输方法和系统 - Google Patents
数据传输方法和系统 Download PDFInfo
- Publication number
- CN110933671B CN110933671B CN201911200578.0A CN201911200578A CN110933671B CN 110933671 B CN110933671 B CN 110933671B CN 201911200578 A CN201911200578 A CN 201911200578A CN 110933671 B CN110933671 B CN 110933671B
- Authority
- CN
- China
- Prior art keywords
- data packet
- data
- client device
- trusted server
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施方式提供数据传输方法,包括:客户端设备与可信服务器进行可信认证并建立隐蔽信道;可信服务器通过隐蔽信道将加密证书传送到客户端设备;客户端设备将数据分成数据包集合,使用加密证书对一个数据包进行加密,并传送到可信服务器;可信服务器在接收到加密后的数据包后,通过隐蔽信道向客户端设备传送加密证书;客户端设备在传送完数据包集合之后,生成并向可信服务器传送完整性校验包;以及可信服务器接收完整性校验包,进行完整性校验。通过上述技术方案,可以支持多类型、多元化、多方式接入,基于隐蔽信道和分包传输原则,增加设备和平台、平台和平台数据传输间的安全授信,实现数据安全加密传输。
Description
技术领域
本发明涉及无线通信领域,具体地涉及一种数据传输方法和系统。
背景技术
随着电动汽车分时租赁业务的不断壮大,在全国大部分城市都开展了电动汽车分时租赁运营业务,短短几年间电动汽车保有量已达到数百万辆,在数量的不断增加过程中,也存在着巨大的问题。尤为突出的表现在运营安全方面,数据安全更是重点保护对象,用户/交易数据泄露、盗用车辆、数据篡改等多问题同时存在,导致运营存在极大隐患。
发明内容
本发明实施方式的目的是提供一种能够可靠完全地传输数据的数据传输方法和系统。
为实现上述目的,在本发明的第一方面,提供一种数据传输方法,包括:
客户端设备与可信服务器进行可信认证;
在认证通过的情况下,客户端设备与可信服务器建立隐蔽信道;
可信服务器通过建立的隐蔽信道将加密证书传送到客户端设备;
客户端设备将待传输的数据分成数据包集合,使用接收到的加密证书对数据包集合中的一个数据包进行加密,并将加密后的数据包传送到可信服务器;
可信服务器在接收到加密后的数据包后,通过隐蔽信道向客户端设备传送加密证书以供客户端设备加密下一个要传送的数据包;
客户端设备在传送完数据包集合之后,生成并向可信服务器传送完整性校验包;以及
可信服务器接收完整性校验包,使用完整性校验包进行完整性校验。
在本发明的实施方式中,数据传输方法还包括:
客户端设备在传送数据包的过程中,生成干扰数据包,并随机将干扰数据包插入到数据包的传输序列中;
客户端设备使用最新接收到的加密证书对干扰数据包进行加密,并将加密后的干扰数据包传送到可信服务器;
可信服务器接收到加密后的干扰数据包之后,向客户端设备传送加密证书。
在本发明的实施方式中,可信服务器存储有多个加密证书,数据传输方法还包括:
可信服务器在接收到数据包或干扰数据包之后,从多个加密证书中选择一个加密证书,所选的加密证书通过隐蔽信道被传送到客户端设备。
在本发明的实施方式中,从多个加密证书中选择一个加密证书是按照预定规则来选择的或者是随机选择的。
在本发明的实施方式中,完整性校验包是根据以下任意一者得到的:
重新生成的数据包;
数据包集合中最后传送的数据包;
干扰数据包。
在本发明的第二方面,提供一种数据传输方法,包括:
建立隐蔽信道;
通过隐蔽信道传送加密证书;
接收使用加密证书加密的数据包;
在接收到数据包之后,通过隐蔽信道重新传送加密证书;
接收完整性校验包;以及
使用完整性校验包进行完整性校验。
在本发明的实施方式中,在接收到数据包之后,通过隐蔽信道重新传送加密证书包括:
在接收到数据包之后,从多个加密证书中选择一个加密证书;
通过隐蔽信道传送所选的加密证书。
在本发明的实施方式中,从多个加密证书中选择一个加密证书是按照预定规则来选择的或者是随机选择的。
在本发明的实施方式中,数据传输方法还包括:
对接收的数据包进行解密;以及
将解密后的数据包恢复成完整数据。
在本发明的第三方面,提供一种数据传输系统,被配置成执行上述的数据传输方法。
通过上述技术方案,可以支持多类型、多元化、多方式接入,基于隐蔽信道和分包传输原则,增加设备和平台、平台和平台数据传输间的安全授信,实现数据安全加密传输。
本发明实施方式的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施方式的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施方式,但并不构成对本发明实施方式的限制。在附图中:
图1是示出可以应用本发明的实施方式的电动车租赁和充电的应用场景的示意图;
图2是示意性示出根据本发明实施方式的数据传输方法的流程图;
图3是示意性示出根据本发明另一实施方式的数据传输方法的流程图;
图4是示意性示出根据本发明实施方式的数据传输系统的框图。
具体实施方式
以下结合附图对本发明实施方式的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施方式,并不用于限制本发明实施方式。
若本公开实施方式中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施方式之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本公开要求的保护范围之内。
在本说明书的描述中,参考术语“一个实施方式”、“一些实施方式”、“示意性实施方式”、“示例”、“具体示例”或“一些示例”等的描述意指结合所述实施方式或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
物联网(Internet of things,IoT)是互联网基础上的延伸和扩展的网络,将各种信息传感设备与互联网结合起来而形成的一个巨大网络,实现在任何时间、任何地点,人、机、物的互联互通。物联网的定义是通过射频识别、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现对物品的智能化识别、定位、跟踪、监控和管理的一种网络。
5G技术是实现物联网的重要手段之一。移动通信通过几代技术规范已经进步。新用例一般助于对每一个新一代例如5G设置要求。5G系统的新用例可以是不同于已经存在的技术要求的任何情况。非限制举例有:改进宽带性能(IBB);工业控制和通信(ICC);车辆应用(V2X);以及大机器型通信(mMTC)。对于5G系统,新无线电(NR)无线电接口和接入技术需要被定义以解决新用例的新技术需求。
在第五代(5G)通信系统中,可以使用灵活新无线电(NR)空中接口。5G系统的NR控制接口可以实现一些用例,例如改进宽带性能(IBB)、工业控制和通信(ICC)、车辆应用(例如车联网(V2X)应用)以及大机器型通信(mMTC)。这些用例可以转化成5G接口中的规范。例如,为了支持这些用例,5G接口可以支持超低传输等待时间,包括低等待时间通信(LLC)。在另一示例中,空中接口等待时间可以低至1ms往返时间(RTT)并可以支持持续时间在100μs与250μs之间的时间间隔(TTI)。对超低接入等待时间(例如从初始系统接入直到第一用户面数据单元传输完成的时间)可以是5G系统中感兴趣的(例如在ICC和V2X中)。超低接入等待时间的示例是10ms的端到端(e2e)等待时间。在另一示例中,5G接口可以支持超可靠通信(URC),例如通过提供相比于LTE可能的改进的传输可靠性的超可靠传输,例如接近99.999%的传输成功以及服务可用性。另一种考虑可以是支持范围在0-500km/h的速度的移动性。一些用例(例如ICC和V2X)可以需要低于10e-6的的分组丢失率(PLR)。
在另一示例中,5G接口可以支持时分双工(TDD)和频分双工(FDD)双工方案。针对FDD操作,可以使用频谱聚合支持补充DL操作。FDD操作可以支持全双工FDD和半双工FDD操作。针对TDD操作,DL/UL分配可以是动态的:其可以不急于固定DL/UL帧配置而是可以针对每个传输时机设置DL或UL传输间隔长度。
图1示出了可以应用本发明的实施方式的电动车租赁和充电的应用场景的示意图。如图1所示,在车辆租赁及智能充电过程中的业务场景中,用户可以通过移动终端(例如智能手机)上安装的APP进行注册认证。用户通过APP可以进行站点定位、车辆选择、车辆租赁、开关车门、鸣笛、双闪等。在用户使用完车辆后可以通过APP还车、车辆维修/保险、付款等操作。用户还可以通过APP进行充电设备查询、扫描、启动充电、支付等操作。
在例如电动车租赁和/或充电的应用场景中,对于数据通信安全是有要求的,例如车载终端和充电设施接入安全、敏感数据传输及存储安全、第三方平台接入安全、服务APP与后台服务端交互安全等。
本发明实施方式旨在提出一种安全的数据传输方法,至少可应用于物联网,例如可应用于电动车租赁和/或充电。本发明实施方式的总体发明构思可以包括综合第三方平台数据及车载终端和充电设施数据,形成规范的接入标准和协议,采用优化的安全传输机制,保证数据传输的可靠性、完整性和安全性;涉及的敏感数据,如车辆及充电设施的资产数据、客户数据、计量计费数据、用户账号数据、账户资产数据、实名认证数据、分时租赁交易数据、充电交易数据等,通过加密传输、权限控制、脱敏处理等方式保证数据传输及存储的安全。
图2是示意性示出根据本发明实施方式的数据传输方法的流程图。如图2所示,在本发明的实施方式中,数据传输方法可以包括以下步骤。
在步骤S11中,可信服务器与客户端设备建立隐蔽信道。
具体地,可信服务器可以通过可信认证建立与客户端设备的隐蔽信道。在建立隐蔽信道之前,可信服务器可以与客户端设备进行可信认证。例如,可以在客户端设备请求接入可信服务器时,需要通过输入用户名和密码来接入可信服务器。例如,在客户端设备请求接入可信服务器时,可信服务器可以向客户端设备发送动态或临时接入码(例如,通过手机短信、电子邮件、或其他方式),客户端设备通过输入接入码来接入可信服务器。本领域技术人员可以理解,还可以使用其他的可信认证的方式。例如可信服务器可以向客户端设备传输认证证书,通过认证证书进行认证。在一示例中,可信服务器可以基于区块链技术传输认证证书。
可以使用本领域技术人员所知的至少一种方式来建立隐蔽信道。例如,可以使用多种协议中的一种来建立隐蔽信道。隐蔽信道大多是基于第3层(网络)和第4层(传输)协议,如ICMP,IP和TCP。还可以使用第7层(应用)协议,诸如HTTP和DNS。在一个示例中,可以通过使用TCP技术来建立隐蔽信道。
在步骤S12中,在建立隐蔽信道之后,可信服务器通过隐蔽信道将加密证书发送到客户端设备。
具体地,可信服务器可以预先存储加密证书。在一个示例中,加密证书可以例如是可信服务器生成并存储的。在这种情况中,加密证书可以包括加密密钥、密钥所有者的信息等信息。在该示例中,可以使用DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法,IDEA算法等对称加密算法中的至少一种,或者可以使用RSA算法、Elgamal算法、背包算法、Rabin、D-H算法、ECC算法等非对称加密算法中的至少一种。在另一示例中,加密证书可以例如从负责管理和签发证书的第三方机构(例如,证书授权中心(Certificate Authority,CA))申请并获取。加密证书可以包含例如,公钥、公钥所有者的信息、CA的数字签名、CA名称、证书有效期、序列号等信息。在该示例中,可以使用非对称加密算法,例如RSA算法。
客户端设备接收到来自可信服务器的加密证书之后,可以根据接收到的加密证书对要传输的数据进行加密。在本发明的较佳实施方式中,客户端设备可以采用数据分包传输的方式,即,将要传输的数据划分成多个数据包。根据加密证书对首先要传输的数据包进行加密,将加密后的数据包传送到可信服务器。在示例中,加密后的数据包可以通过公开信道传送到可信服务器。
在步骤S13中,可信服务器接收到数据包后,通过隐蔽信道向客户端设备传送加密证书。客户端设备从可信服务器接收到新传送的加密证书后,用新接收到的加密证书对在下一个传输时机要传送的数据包进行加密,并将加密后的数据包传送到可信服务器。可信服务器每一次接收到数据包,就重新向客户端设备发送加密证书。
在本发明的较佳实施方式中,可信服务器可以维护多个加密证书。例如,可信服务器可以生成或从外部(例如CA)获取多个加密证书。在可信服务器每一次接收到数据包时,可以从多个加密证书中选择一个加密证书发送给客户的设备。证书的选择可以包括多种方式。在一个示例中,可以预先规定好多个加密证书的被选择顺序,可信服务器可以按照该顺序依次选择加密证书进行发送。在另一个示例中,加密证书的选择可以是随机的。也就是说,可信服务器每一次接收到数据包,就以随机的方式从多个加密证书中选择一个加密证书发送给客户端设备。
在本发明进一步或较佳实施方式中,在步骤S14中,可信服务器接收来自客户端设备的加密干扰数据包。具体地,在向可信服务器传送数据包的过程中,客户端设备可以生成并随机添加无用的干扰数据包(即,随机插入到数据包的传输序列中)并传送到可信服务器(例如通过公开信道传送)。举例来说,假设客户端要传输到可信服务器的数据包被分成数据包n1,n2,…,n10。在客户端设备依次传送这些数据包的过程,可以随机添加无用的干扰数据包。例如,在传送完加密的数据包n2之后,客户端设备从可信服务器接收到新传送的加密证书,该加密证书原本是用于加密数据包n3的。但是,如果此时客户端设备随机生成并添加干扰数据包,则使用该加密证书加密该干扰数据包,并传送到可信服务器。可信服务器接收到加密的干扰数据包后,重新向客户端设备传送加密证书。客户端设备接收到新传送的加密证书后,使用该加密证书加密并传送数据包n3。在传输全部数据包的过程中,干扰数据包的添加时机(即,插入到哪两个数据包之间)和添加数量(即,生成并添加干扰数据包的数量)中的一者或两者是随机的。
在一个示例中,干扰数据包可以是自定义的。例如,如果数据包的头部包含预定义的值,则可信服务器可以识别该数据包是干扰数据包,可以忽略或丢弃。例如,如果可信服务器接收到的数据包的头部包含“xxxx1”、“xxxx2”、“xxxx3”等,则可以认为该数据包是干扰数据包。
设置干扰数据包的作用是为了保证数据的安全和完整性。具体来说,如果被拦截后,由于第三者不知道预定规则,因此不知道接收到的数据包是干扰数据包,会将其作为有效数据包处理,那么即便解密成功,由于添加了干扰数据包,也不会得到完整数据,由此可以抵御第三者的攻击和破坏,保证传输的数据安全和完整性。
在步骤S15中,可信服务器接收来自客户端设备发送的数据完整性校验包,并根据完整性校验包进行数据完整性校验。
具体地,客户端设备在传送完数据包之后,可以生成一数据,使用例如哈希算法和加密密钥对数据进行哈希以得到数据的哈希值,然后将该数据和哈希值生成数据完整性校验包,传送给可信服务器。可信服务器接收到完整性校验包后,对数据使用相同的哈希算法和密钥进行哈希得到哈希值,如果得到的哈希值和接收到的哈希值相同,则可以认为数据没有经过篡改。哈希算法的示例可以包括MD5、SHA等。
在本发明的实施方式中,完整性校验包包含的数据可以是重新生成的数据。该数据仅用于对完整性进行校验,可以不包含任何的信息。在一个示例中,完整性校验包可以是上述的无用的干扰数据包。在本发明的可替换实施方式中,完整性校验包可以是客户端设备最后传送的数据包。从完整性校验的角度,应该对客户端设备传送的每个数据包进行完整性校验,但从计算负担和处理能力节省角度考虑,在客户端设备与可信服务器之间的加密证书的通信是在隐蔽信道下进行的情况下,对最后一个数据包或数据传输后的另外的完整性校验包进行完整性校验的结果可以视为对整个数据传输(即所有数据包传输)来说是一致的。
可信服务器在接收到全部的数据包之后,可以针对数据包使用对应的证书(例如,密钥(例如私钥))对数据包进行解包并得到完整的数据,并存储得到的数据。对数据包解包并得到完整数据的方式是本领域技术人员所知的方式,此处不再赘述。
图3是示意性示出根据本发明另一实施方式的数据传输方法的流程图。如图3所示,在本发明的实施方式中,数据传输方法可以包括以下步骤。
在步骤S21中,客户端设备与可信服务器进行可信认证。
具体地,可信服务器可以与客户端设备进行可信认证。例如,可以在客户端设备请求接入可信服务器时,需要通过输入用户名和密码来接入可信服务器。例如,在客户端设备请求接入可信服务器时,可信服务器可以向客户端设备发送动态或临时接入码(例如,通过手机短信、电子邮件、或其他方式),客户端设备通过输入接入码来接入可信服务器。本领域技术人员可以理解,还可以使用其他的可信认证的方式。
在步骤S22中,可信服务器与客户端设备建立隐蔽信道。
具体地,可以使用本领域技术人员所知的至少一种方式来建立隐蔽信道。例如,可以使用多种协议中的一种来建立隐蔽信道。隐蔽信道大多是基于第3层(网络)和第4层(传输)协议,如ICMP,IP和TCP。还可以使用第7层(应用)协议,诸如HTTP和DNS。在一个示例中,可以通过使用TCP技术来建立隐蔽信道。
在步骤S23中,在建立隐蔽信道之后,可信服务器通过隐蔽信道将加密证书发送到客户端设备。
具体地,可信服务器可以预先存储加密证书。在一个示例中,加密证书可以例如是可信服务器生成并存储的。在这种情况中,加密证书可以包括加密密钥、密钥所有者的信息等信息。在该示例中,可以使用DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法,IDEA算法等对称加密算法中的至少一种,或者可以使用RSA算法、Elgamal算法、背包算法、Rabin、D-H算法、ECC算法等非对称加密算法中的至少一种。在另一示例中,加密证书可以例如从负责管理和签发证书的第三方机构(例如,证书授权中心(Certificate Authority,CA))申请并获取。加密证书可以包含例如,公钥、公钥所有者的信息、CA的数字签名、CA名称、证书有效期、序列号等信息。在该示例中,可以使用非对称加密算法,例如RSA算法。
在步骤S24中,客户端接收来自可信服务器的加密证书,并使用加密证书对要传送到可信服务器的数据进行加密。
具体地,客户端设备接收到来自可信服务器的加密证书之后,可以根据接收到的加密证书对要传输的数据进行加密。在本发明的较佳实施方式中,客户端设备可以采用数据分包传输的方式,即,将要传输的数据划分成多个数据包。根据加密证书对首先要传输的数据包进行加密,将加密后的数据包传送到可信服务器。在示例中,加密后的数据包可以通过公开信道传送到可信服务器。
在步骤S25中,可信服务器接收到数据包后,通过隐蔽信道向客户端设备传送加密证书。客户端设备从可信服务器接收到新传送的加密证书后,用新接收到的加密证书对在下一个传输时机要传送的数据包进行加密,并将加密后的数据包传送到可信服务器。可信服务器每一次接收到数据包,就重新向客户端设备发送加密证书。
在本发明的较佳实施方式中,可信服务器可以维护多个加密证书。例如,可信服务器可以生成或从外部(例如CA)获取多个加密证书。在可信服务器每一次接收到数据包时,可以从多个加密证书中选择一个加密证书发送给客户的设备。证书的选择可以包括多种方式。在一个示例中,可以预先规定好多个加密证书的被选择顺序,可信服务器可以按照该顺序依次选择加密证书进行发送。在另一个示例中,加密证书的选择可以是随机的。也就是说,可信服务器每一次接收到数据包,就以随机的方式从多个加密证书中选择一个加密证书发送给客户端设备。
在本发明进一步或较佳实施方式中,在步骤S26中,客户端设备生成干扰数据包,使用加密证书对干扰数据包进行加密,并向可信服务器传送加密干扰数据包。
在步骤S27中,可信服务器接收来自客户端设备的加密干扰数据包。
具体地,在向可信服务器传送数据包的过程中,客户端设备可以生成并随机添加无用的干扰数据包(即,随机插入到数据包的传输序列中)并传送到可信服务器(例如通过公开信道传送)。举例来说,假设客户端要传输到可信服务器的数据包被分成数据包n1,n2,…,n10。在客户端设备依次传送这些数据包的过程,可以随机添加无用的干扰数据包。例如,在传送完加密的数据包n2之后,客户端设备从可信服务器接收到新传送的加密证书,该加密证书原本是用于加密数据包n3的。但是,如果此时客户端设备随机生成并添加干扰数据包,则使用该加密证书加密该干扰数据包,并传送到可信服务器。可信服务器接收到加密的干扰数据包后,重新向客户端设备传送加密证书。客户端设备接收到新传送的加密证书后,使用该加密证书加密并传送数据包n3。在传输全部数据包的过程中,干扰数据包的添加时机(即,插入到哪两个数据包之间)和添加数量(即,生成并添加干扰数据包的数量)中的一者或两者是随机的。
在一个示例中,干扰数据包可以是自定义的。例如,如果数据包的头部包含预定义的值,则可信服务器可以识别该数据包是干扰数据包,可以忽略或丢弃。例如,如果可信服务器接收到的数据包的头部包含“xxxx1”、“xxxx2”、“xxxx3”等,则可以认为该数据包是干扰数据包。
设置干扰数据包的作用是为了保证数据的安全和完整性。具体来说,如果被拦截后,由于第三者不知道预定规则,因此不知道接收到的数据包是干扰数据包,会将其作为有效数据包处理,那么即便解密成功,由于添加了干扰数据包,也不会得到完整数据,由此可以抵御第三者的攻击和破坏,保证传输的数据安全和完整性。
在步骤S28中,可信服务器接收来自客户端设备发送的数据完整性校验包,并根据完整性校验包进行数据完整性校验。
具体地,客户端设备在传送完数据包之后,可以生成一数据,使用例如哈希算法和加密密钥对数据进行哈希以得到数据的哈希值,然后将该数据和哈希值生成数据完整性校验包,传送给可信服务器。可信服务器接收到完整性校验包后,对数据使用相同的哈希算法和密钥进行哈希得到哈希值,如果得到的哈希值和接收到的哈希值相同,则可以认为数据没有经过篡改。哈希算法的示例可以包括MD5、SHA等。
在本发明的实施方式中,完整性校验包包含的数据可以是重新生成的数据。该数据仅用于对完整性进行校验,可以不包含任何的信息。在一个示例中,完整性校验包可以是上述的无用的干扰数据包。在本发明的可替换实施方式中,完整性校验包可以是客户端设备最后传送的数据包。从完整性校验的角度,应该对客户端设备传送的每个数据包进行完整性校验,但从计算负担和处理能力节省角度考虑,在客户端设备与可信服务器之间的加密证书的通信是在隐蔽信道下进行的情况下,对最后一个数据包或数据传输后的另外的完整性校验包进行完整性校验的结果可以视为对整个数据传输(即所有数据包传输)来说是一致的。
可信服务器在接收到全部的数据包之后,可以针对数据包使用对应的证书(例如,密钥(例如私钥))对数据包进行解包并得到完整的数据,并存储得到的数据。对数据包解包并得到完整数据的方式是本领域技术人员所知的方式,此处不再赘述。
在电动车充电和/或租赁的应用场景中,客户端设备可以包括但不限于,移动终端、充电桩等。移动终端的示例可以包括但不限于,智能电话、平板电脑、个人数字助理、可穿戴设备、车载终端等。可信服务器可以包括但不限于电动汽车运营管理平台的各种服务器、第三方支付平台的各种服务器等。
图4是示意性示出根据本发明实施方式的数据传输系统的框图。如图4所示,在本发明的实施方式中,数据传输系统可以包括客户端设备410和可信服务器420。数据传输系统可以被配置成执行参考图1至图3描述的实施方式中的数据传输方法。
客户端设备410可以包括处理器4110、存储器4120和通信模块4130。通信模块4130用于通过有线通信或无线通信的方式与可信服务器420通信。存储器4120用于存储处理器4110处理的数据和操作指令。处理器4110用于执行上述实施方式中描述的方法中的至少一些功能。
更具体地,处理器4110可以被配置成向请求接入可信服务器420,与可信服务器420进行可信认证。在与可信服务器420认证之后与可信服务器420建立隐蔽信道。处理器4110可以通过通信模块4130经由隐蔽信道接收可信服务器420发送的加密证书。处理器4110可以用接收到的加密证书对要传送的数据进行加密,并可以经由公开信道将加密后的数据传送到可信服务器420。在本发明较佳实施方式中,处理器4110可以将要传送的数据分成多个数据包,使用加密证书对每个数据包进行加密,并将加密后的数据包传送给可信服务器420。处理器4110在传送数据包的过程中,可以随机生成并添加干扰数据包,使用加密证书对干扰数据包进行加密并将加密后的干扰数据包传送到可信服务器420。在处理器4110传送完所有要传送的数据包之后,可以向可信服务器420传送完整性校验包。
可信服务器420可以包括处理器4210、存储器4220和通信模块4230。通信模块4230用于通过有线通信或无线通信的方式与客户端设备410(例如通信模块4130)通信。存储器4220用于存储处理器4210处理的数据和操作指令。处理器4210用于执行上述实施方式中描述的方法中的至少一些功能。
更具体地,处理器4210可以被配置成在接收到来自客户端设备410的接入请求后,可以与客户端设备410进行可信认证(例如,用户名和密码,短信认证,证书认证等)。在与客户端设备410认证通过之后,处理器4210可以与客户端设备410建立隐蔽信道。处理器4210可以通过通信模块4230经由建立的隐蔽信道向客户端设备410传送加密证书(例如,加密证书可以存储在存储器4220中)。处理器4210可以通过公开信道从客户端设备410接收使用加密证书加密的数据包。在本发明较佳实施方式中,存储器4220可以存储有多个加密证书。处理器4210每次接收到加密的数据包后可以从多个加密证书中选择一个加密证书并通过隐蔽信道传送给客户端设备410。选择加密证书的方式可以例如是按照预定规则,或随机选择的。处理器4210在接收数据包的过程可以接收客户端设备410传送的加密干扰数据包。处理器4210可以接收客户端设备410传送的完整性校验包,并使用完整性校验包进行完整性校验。处理器4210可以对接收到的数据包进行解密并将其组合成完整的数据。
处理器4110和处理器4210的示例可以包括但不限于,通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、其他任何类型的集成电路(IC)以及状态机等等。
本发明实施方式提供的方案,可以支持多类型、多元化、多方式接入,基于隐蔽信道和分包传输原则,增加设备和平台、平台和平台数据传输间的安全授信,实现数据安全加密传输。
本发明实施方式可以提供基于物联网之间的数据传输安全方式,提供保障设备与平台、平台与平台之间数据传输安全的安全防护体系,包括车载终端和充电设施接入安全、敏感数据传输及存储安全、第三方平台接入安全、服务APP与后台服务端交互安全等。综合第三方平台数据及车载终端和充电设施数据,形成规范的接入标准和协议,采用优化的安全传输机制,保证数据传输的可靠性、完整性和安全性;涉及的敏感数据,如车辆及充电设施的资产数据、客户数据、计量计费数据、用户账号数据、账户资产数据、实名认证数据、分时租赁交易数据、充电交易数据等,通过加密传输等方式保证数据传输及存储的安全。
本申请是参照根据本申请实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施方式可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施方式、完全软件实施方式或结合软件和硬件方面的实施方式的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施方式而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均包含在本申请的权利要求范围之内。
Claims (7)
1.一种数据传输方法,其特征在于,包括:
客户端设备与可信服务器进行可信认证;
在认证通过的情况下,所述客户端设备与所述可信服务器建立隐蔽信道;
可信服务器通过建立的所述隐蔽信道将加密证书传送到所述客户端设备;
所述客户端设备将待传输的数据分成数据包集合,使用接收到的加密证书对数据包集合中的一个数据包进行加密,并将加密后的数据包传送到所述可信服务器;
所述客户端设备在传送数据包的过程中,生成干扰数据包,并随机将所述干扰数据包插入到数据包的传输序列中;
所述客户端设备使用最新接收到的加密证书对干扰数据包进行加密,并将加密后的干扰数据包传送到所述可信服务器;
所述可信服务器存储有多个加密证书,所述可信服务器在接收到加密后的数据包或加密后的干扰数据包后,从多个加密证书中选择一个加密证书,通过所述隐蔽信道向所述客户端设备传送加密证书以供所述客户端设备加密下一个要传送的数据包;
所述客户端设备在传送完数据包集合之后,生成完整性校验包并向所述可信服务器传送完整性校验包;以及
所述可信服务器接收所述完整性校验包,使用所述完整性校验包进行完整性校验。
2.根据权利要求1所述的数据传输方法,其特征在于,从多个加密证书中选择一个加密证书是按照预定规则来选择的或者是随机选择的。
3.根据权利要求1所述的数据传输方法,其特征在于,所述完整性校验包是根据以下任意一者得到的:
重新生成的数据包;
所述数据包集合中最后传送的数据包;
干扰数据包。
4.一种数据传输方法,其特征在于,包括:
建立隐蔽信道;
通过所述隐蔽信道传送加密证书;
接收使用所述加密证书加密的数据包;
在接收到数据包之后,从多个加密证书中选择一个加密证书,通过所述隐蔽信道重新传送加密证书;
接收到加密后的干扰数据包之后,传送加密证书;
接收完整性校验包;以及
使用所述完整性校验包进行完整性校验。
5.根据权利要求4所述的数据传输方法,其特征在于,从多个加密证书中选择一个加密证书是按照预定规则来选择的或者是随机选择的。
6.根据权利要求4所述的数据传输方法,其特征在于,还包括:
对接收的数据包进行解密;以及
将解密后的数据包恢复成完整数据。
7.一种数据传输系统,其特征在于,包括:
客户端设备,用于与可信服务器进行可信认证,并在认证通过的情况下,与所述可信服务器建立隐蔽信道;
可信服务器,用于通过建立的所述隐蔽信道将加密证书传送到所述客户端设备;
所述客户端设备,还用于将待传输的数据分成数据包集合,使用接收到的加密证书对数据包集合中的一个数据包进行加密,并将加密后的数据包传送到所述可信服务器;
所述客户端设备,还用于在传送数据包的过程中,生成干扰数据包,并随机将所述干扰数据包插入到数据包的传输序列中,并使用最新接收到的加密证书对干扰数据包进行加密,并将加密后的干扰数据包传送到所述可信服务器;
所述可信服务器存储有多个加密证书,所述可信服务器,还用于在接收到加密后的数据包或加密后的干扰数据包后,从多个加密证书中选择一个加密证书,通过所述隐蔽信道向所述客户端设备传送加密证书以供所述客户端设备加密下一个要传送的数据包;
所述客户端设备,还用于在传送完数据包集合之后,生成完整性校验包并向所述可信服务器传送完整性校验包;
所述可信服务器,还用于接收所述完整性校验包,使用所述完整性校验包进行完整性校验。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911200578.0A CN110933671B (zh) | 2019-11-29 | 2019-11-29 | 数据传输方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911200578.0A CN110933671B (zh) | 2019-11-29 | 2019-11-29 | 数据传输方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110933671A CN110933671A (zh) | 2020-03-27 |
| CN110933671B true CN110933671B (zh) | 2023-09-26 |
Family
ID=69848046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911200578.0A Active CN110933671B (zh) | 2019-11-29 | 2019-11-29 | 数据传输方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110933671B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095190A (zh) * | 2020-08-03 | 2022-02-25 | 北京无限感测科技有限公司 | 收费数据保护方法、装置、特情处理终端及存储介质 |
| CN112565206A (zh) * | 2020-11-20 | 2021-03-26 | 国网天津市电力公司 | 一种充电桩信息安全防护方法及防护系统 |
| CN114040388B (zh) * | 2021-10-22 | 2022-08-16 | 四川水利职业技术学院 | 基于网络双工通信的数据安全传输方法及系统 |
| CN114978737B (zh) * | 2022-05-31 | 2023-10-24 | 北京万云科技开发有限公司 | 一种多普勒天气雷达数据的综合管理系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104079578A (zh) * | 2014-07-08 | 2014-10-01 | 北京锐安科技有限公司 | 取证数据隐蔽传输的方法及系统 |
| CN108566379A (zh) * | 2018-03-15 | 2018-09-21 | 江苏科技大学 | P2p网络下基于协议字段冗余的隐蔽数据传输同步方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102016002549A1 (de) * | 2016-01-18 | 2017-07-20 | Roland Harras | Verfahren zur mehrschichtig geschützten Sicherung von (Anmelde-) Daten insbesondere Passwörtern |
| US10643204B2 (en) * | 2016-05-06 | 2020-05-05 | Thomas J. Waters | Cryptography method and system for securing data via electronic transmission |
-
2019
- 2019-11-29 CN CN201911200578.0A patent/CN110933671B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104079578A (zh) * | 2014-07-08 | 2014-10-01 | 北京锐安科技有限公司 | 取证数据隐蔽传输的方法及系统 |
| CN108566379A (zh) * | 2018-03-15 | 2018-09-21 | 江苏科技大学 | P2p网络下基于协议字段冗余的隐蔽数据传输同步方法 |
Non-Patent Citations (1)
| Title |
|---|
| SSL协议隐蔽通道的研究与实现";杨浩云;《计算机工程及应用》;20191025;正文第2-4节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110933671A (zh) | 2020-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110933671B (zh) | 数据传输方法和系统 | |
| US10708248B2 (en) | Vehicle and method for controlling same | |
| US8819414B2 (en) | Threat mitigation in a vehicle-to-vehicle communication network | |
| EP3127309B1 (en) | Transmission of beacon message | |
| US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
| CN107105060A (zh) | 一种实现电动汽车信息安全的方法 | |
| CN109450937A (zh) | 信息安全通信方法、系统、网卡和存储介质 | |
| US20200228988A1 (en) | V2x communication device and method for inspecting forgery/falsification of key thereof | |
| US9203610B2 (en) | Systems and methods for secure peer-to-peer communications | |
| US11303453B2 (en) | Method for securing communication without management of states | |
| US20220311625A1 (en) | Certificate Application Method And Device | |
| US20170353315A1 (en) | Secure electronic entity, electronic apparatus and method for verifying the integrity of data stored in such a secure electronic entity | |
| CN113781678A (zh) | 无网环境下车辆蓝牙钥匙生成与鉴权方法及系统 | |
| EP3570487A1 (en) | Private key generation method, device and system | |
| CN103731266A (zh) | 一种用于对电子凭证进行认证的方法及系统 | |
| WO2023279283A1 (zh) | 建立车辆安全通信的方法、车辆、终端及系统 | |
| CN105471657B (zh) | 一种虚拟机域间通信日志管理方法、装置及系统 | |
| CN113115309B (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 | |
| CN110417722B (zh) | 一种业务数据通信方法、通信设备及存储介质 | |
| Fazzat et al. | A comparative performance study of cryptographic algorithms for connected vehicles | |
| JP6203798B2 (ja) | 車載制御システム、車両、管理装置、車載コンピュータ、データ共有方法、及びコンピュータプログラム | |
| KR102245426B1 (ko) | 통신 디바이스의 평판 레벨을 관리하기 위한 방법 | |
| CN109801423A (zh) | 一种基于蓝牙的车辆控制方法及系统 | |
| KR20050024677A (ko) | 공개 키/개인 키 쌍을 재사용하는 장치 및 방법 | |
| KR20190115489A (ko) | 보안기술을 활용한 iot기기 보안인증 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |