CN111818026A - 一种用于公网传输的数据加密方法及系统 - Google Patents

一种用于公网传输的数据加密方法及系统 Download PDF

Info

Publication number
CN111818026A
CN111818026A CN202010587522.1A CN202010587522A CN111818026A CN 111818026 A CN111818026 A CN 111818026A CN 202010587522 A CN202010587522 A CN 202010587522A CN 111818026 A CN111818026 A CN 111818026A
Authority
CN
China
Prior art keywords
data
session key
key
encrypted
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010587522.1A
Other languages
English (en)
Inventor
鲍红伟
李俊
杨响
史斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Tianmiaofeng Technology Co ltd
Original Assignee
Hangzhou Tianmiaofeng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Tianmiaofeng Technology Co ltd filed Critical Hangzhou Tianmiaofeng Technology Co ltd
Priority to CN202010587522.1A priority Critical patent/CN111818026A/zh
Publication of CN111818026A publication Critical patent/CN111818026A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用于公网传输的数据加密方法及系统,方法包括如下步骤:S1,请求方通过会话密钥加密请求数据,并通过接收方公钥加密会话密钥;S2,接收方接收分别被加密的请求数据和会话密钥,接收方通过接收方私钥解密被加密的会话密钥,并通过会话密钥解密被加密的请求数据;S3,接收方通过会话密钥加密回应数据,并通过请求方公钥加密会话密钥;S4,请求方接收分别被加密的回应数据和会话密钥,请求方通过请求方私钥解密被加密的会话密钥,并通过会话密钥解密被加密的回应数据;系统包括:密钥生成单元、加密单元、解密单元、非对称加密单元、非对称解密单元。

Description

一种用于公网传输的数据加密方法及系统
技术领域
本发明涉及公网传输加密技术,尤其是涉及了一种用于公网传输的数据加密方法及系统。
背景技术
随着互联网支付行业的兴起,各种缴费业务采取网上支付,例如银行参与燃气缴费业务,传统的对接方式,基于安全和稳定,燃气公司需要和银行拉一条专线。但随着互联网的高速发展,燃气公司营收系统也更多的使用云系统。综合以上方面,对与银行间的交易转到互联网上的需求也更为迫切,但对信息安全性也带来了考验。
Base64:是一种基于64个可打印字符来表示二进制数据的方法,用于传输8Bit字节码的编码方式之一。
3DES(或称为Triple DES)是三重数据加密算法(TDEA,Triple Data EncryptionAlgorithm)块密码的通称。它相当于对每个数据块应用三次DES加密算法。由于计算机运算能力的增强,原版DES密码的密钥长度变得容易被暴力破解;3DES即是设计用来提供一种相对简单的方法,即通过增加DES的密钥长度来避免类似的攻击。
SM3是一种密码散列函数标准,主要用于数字签名及验证、消息认证码生成及验证、随机数生成等,其算法公开,其安全性及效率与SHA-256相当。
RSA是一种非对称加密算法,需要两个密钥来进行加密和解密,即公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
以上加解密技术在日常使用中是对单一的字符串做加密,在互联网传输时存在一定的信息安全泄露的风险。
发明内容
为解决现有技术的不足,为提高互联网信息传输安全性、便捷性的目的,本发明采用如下的技术方案:
一种用于公网传输的数据加密方法,包括如下步骤:
S1,请求方通过会话密钥加密请求数据,并通过接收方公钥加密会话密钥,请求方发送分别被加密的请求数据和会话密钥;
S2,接收方接收分别被加密的请求数据和会话密钥,接收方通过接收方私钥解密被加密的会话密钥,并通过会话密钥解密被加密的请求数据;
S3,接收方通过会话密钥加密回应数据,并通过请求方公钥加密会话密钥,接收方发送分别被加密的回应数据和会话密钥;
S4,请求方接收分别被加密的回应数据和会话密钥,请求方通过请求方私钥解密被加密的会话密钥,并通过会话密钥解密被加密的回应数据。
所述请求数据包括业务请求数据及其签名数据,所述回应数据包括业务回应数据及其签名数据;
所述S1,请求方通过会话密钥加密请求数据之前,通过请求方私钥对业务请求数据进行签名,得到业务请求数据的签名数据;
所述S2,接收方通过会话密钥解密被加密的请求数据之后,通过请求方公钥验证业务请求数据的签名数据,从而确认业务请求数据是否被修改过;
所述S3,接收方通过会话密钥加密回应数据之前,通过接收方私钥对业务回应数据进行签名,得到业务回应数据的签名数据;
所述S4,请求方通过会话密钥解密被加密的回应数据之后,通过接收方公钥验证业务回应数据的签名数据,从而确认业务回应数据是否被修改过。
所述请求方和接收方分别对加密和签名之后的数据进行编码,对解密和验证签名之前的数据进行相应的解码。
所述请求数据和回应数据还包括接口编码,不同的业务接口对应不同的接口编码,用于区分不同的业务。
一种用于公网传输的数据加密系统,包括密钥生成单元、加密单元、解密单元、非对称加密单元、非对称解密单元;
密钥生成单元,用于请求方产生随机会话密钥;
加密单元,用于请求方通过会话密钥加密请求数据,接收方通过会话密钥加密回应数据;
解密单元,用于接收方通过会话密钥解密被加密的请求数据,请求方通过会话密钥解密被加密的回应数据;
非对称加密单元,用于请求方通过接收方公钥加密会话密钥,接收方通过请求方公钥加密会话密钥;
非对称解密单元,用于接收方通过接收方私钥解密被加密的会话密钥,请求方通过请求方私钥解密被加密的会话密钥。
还包括签名单元、签名验证单元;
签名单元,用于请求方通过会话密钥加密请求数据之前,通过请求方私钥对请求数据中的业务请求数据进行签名,并将得到的签名数据作为请求数据的一部分;用于接收方通过会话密钥加密回应数据之前,通过接收方私钥对回应数据中的业务回应数据进行签,并将得到的签名数据作为回应数据的一部分;
签名验证单元,用于接收方通过会话密钥解密被加密的请求数据之后,通过请求方公钥验证请求数据中的业务请求数据的签名数据,从而确认业务请求数据是否被修改过;用于请求方通过会话密钥解密被加密的回应数据之后,通过接收方公钥验证回应数据中的业务回应数据的签名数据,从而确认业务回应数据是否被修改过。
还包括编码单元、解码单元;
编码单元,用于对加密和签名之后的数据进行编码;
解码单元,用于在解密和验证签名之前对数据进行相应的解码。
还包括接口获取单元和接口识别单元;
接口获取单元,用于获取接口编码作为所述请求数据和所述回应数据的一部分;
接口识别单元,用于区分所述请求数据和所述回应数据中不同的接口编码,从而区分不同的业务。
本发明的优势和有益效果在于:
把不同的加密技术应用到不同部分,运用JSON数据结构将各部分进行组合,避免了对单一字符串加解密在互联网传输时存在一定的信息安全泄露的风险,提高互联网信息传输安全性、便捷性,可以适用在包括银行等与第三方支付平台的对接中。
附图说明
图1是本发明的数据加解密流程图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
在本发明中,把不同的加密技术应用到不同的地方,运用JSON数据结构进行组合,使其更方便的应用在互联网上,同时还拥有很高的安全性,可以适用在包括银行等与第三方支付平台的对接中。
如图1所示,是基于JSON数据结构运用3DES对称加密算法、RSA2048加密算法、Base64编码形成的加解密方法,采用https通信协议。
整个交易中的通信数据分为两个组成部分:会话信息,会话密钥密文。
通信数据结构:{“sessionData”:“会话信息”,“sessionKey”:“会话密钥”}。
sessionData:经过加密的业务数据,一个JSON字符串,经过3DES,CBC模式加密并经过BASE64编码后的业务数据,需用sessionKey部分的密钥解密。
sessionKey:BASE64编码的会话密钥密文,经过了非对称加密和BASE64编码。解码和解密后可得到本次会话的密钥,会话密钥有112bit仅在本次会话中有效。这部分一般情况下是369字节。
sessionData会话信息结构由三部分组成:业务数据签名、交易代码、业务数据内容。
数据结构:{“signature”:“业务数据签名”,“excode”:“交易代码”,“data”:“业务数据内容”}。
Signature:BASE64编码的签名数据,业务数据内容的数据直接用发送方私钥签名得到的签名数据,再经过BASE64编码。这部分通常情况下是691字节。用于保证数据的一致性。
Excode:业务接口对应的编码,用于区分不同的业务,例如查询用户信息是6040,签约是6041。
Data:JSON格式,UTF-8编码。用于承载真正的业务数据。
加解密流程:
一、请求方A发送请求数据处理流程:
1、请求方A产生随机会话密钥,再用接收方B的证书公钥加密,结果使用Base64编码:
sessionKey:Base64编码随机密钥密文。
2、请求方A对请求报文明文使用证书私钥进行签名,结果使用Base64编码:
signature:Base64。
3、使用第1步的会话密钥对(signature+交易代码+明文请求数据)进行3DES ede加密,结果使用Base64编码。
4、组成待发送请求数据:
sessionKey+第3步的结果(JSON字符串)。
二、接收方B接收请求数据后处理流程:
1、解码得到Base64编码随机密钥密文,使用接收方B的证书私钥解密,得到会话密钥明文。
2、使用Base64解码后,使用会话密钥明文对sessionData后的密文进行3DES ede解密,得到明文:
signature+交易代码+明文请求数据。
3、使用请求方A的证书公钥验证第2步的请求报文明文和签名是否无误。
三、接收方B发送回应数据处理流程:
1、接收方B使用上述请求数据中的会话密钥,再用请求方A的证书公钥加密,结果使用Base64编码,用标签括起:
sessionKey:Base64编码密钥密文。
2、接收方B对明文回应报文使用证书私钥进行签名,结果使用Base64编码,用标签括起:
signature:Base64编码签名值。
3、使用第1步的会话密钥对(signature+交易代码+明文回应数据)进行3DES ede加密,结果使用Base64编码。
4、组成待发送回应数据:
sessionKey+第3步的结果(JSON字符串)。
四、请求方A接收回应数据后处理流程:
1、解码得到Base64编码密钥密文,使用请求方A的证书私钥解密,得到会话密钥明文。
2、使用Base64解码后,使用会话密钥明文对sessionData后的密文进行3DES ede解密,得到明文:
signature+交易代码+回应数据明文。
3、使用接收方B的证书公钥验证第2步的回应数据明文和签名是否无误。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的范围。

Claims (8)

1.一种用于公网传输的数据加密方法,其特征在于包括如下步骤:
S1,请求方通过会话密钥加密请求数据,并通过接收方公钥加密会话密钥,请求方发送分别被加密的请求数据和会话密钥;
S2,接收方接收分别被加密的请求数据和会话密钥,接收方通过接收方私钥解密被加密的会话密钥,并通过会话密钥解密被加密的请求数据;
S3,接收方通过会话密钥加密回应数据,并通过请求方公钥加密会话密钥,接收方发送分别被加密的回应数据和会话密钥;
S4,请求方接收分别被加密的回应数据和会话密钥,请求方通过请求方私钥解密被加密的会话密钥,并通过会话密钥解密被加密的回应数据。
2.如权利要求1所述的一种用于公网传输的数据加密方法,其特征在于所述请求数据包括业务请求数据及其签名数据,所述回应数据包括业务回应数据及其签名数据;
所述S1,请求方通过会话密钥加密请求数据之前,通过请求方私钥对业务请求数据进行签名,得到业务请求数据的签名数据;
所述S2,接收方通过会话密钥解密被加密的请求数据之后,通过请求方公钥验证业务请求数据的签名数据;
所述S3,接收方通过会话密钥加密回应数据之前,通过接收方私钥对业务回应数据进行签名,得到业务回应数据的签名数据;
所述S4,请求方通过会话密钥解密被加密的回应数据之后,通过接收方公钥验证业务回应数据的签名数据。
3.如权利要求1或2所述的一种用于公网传输的数据加密方法,其特征在于所述请求方和接收方分别对加密和签名之后的数据进行编码,对解密和验证签名之前的数据进行相应的解码。
4.如权利要求1所述的一种用于公网传输的数据加密方法,其特征在于所述请求数据和回应数据还包括接口编码,用于区分不同的业务。
5.一种用于公网传输的数据加密系统,其特征在于包括密钥生成单元、加密单元、解密单元、非对称加密单元、非对称解密单元;
密钥生成单元,用于请求方产生随机会话密钥;
加密单元,用于请求方通过会话密钥加密请求数据,接收方通过会话密钥加密回应数据;
解密单元,用于接收方通过会话密钥解密被加密的请求数据,请求方通过会话密钥解密被加密的回应数据;
非对称加密单元,用于请求方通过接收方公钥加密会话密钥,接收方通过请求方公钥加密会话密钥;
非对称解密单元,用于接收方通过接收方私钥解密被加密的会话密钥,请求方通过请求方私钥解密被加密的会话密钥。
6.如权利要求5所述的一种用于公网传输的数据加密系统,其特征在于还包括签名单元、签名验证单元;
签名单元,用于请求方通过会话密钥加密请求数据之前,通过请求方私钥对请求数据中的业务请求数据进行签名,并将得到的签名数据作为请求数据的一部分;用于接收方通过会话密钥加密回应数据之前,通过接收方私钥对回应数据中的业务回应数据进行签,并将得到的签名数据作为回应数据的一部分;
签名验证单元,用于接收方通过会话密钥解密被加密的请求数据之后,通过请求方公钥验证请求数据中的业务请求数据的签名数据;用于请求方通过会话密钥解密被加密的回应数据之后,通过接收方公钥验证回应数据中的业务回应数据的签名数据。
7.如权利要求5或6所述的一种用于公网传输的数据加密系统,其特征在于还包括编码单元、解码单元;
编码单元,用于对加密和签名之后的数据进行编码;
解码单元,用于在解密和验证签名之前对数据进行相应的解码。
8.如权利要求5所述的一种用于公网传输的数据加密系统,其特征在于还包括接口获取单元和接口识别单元;
接口获取单元,用于获取接口编码作为所述请求数据和所述回应数据的一部分;
接口识别单元,用于区分所述请求数据和所述回应数据中不同的接口编码。
CN202010587522.1A 2020-06-24 2020-06-24 一种用于公网传输的数据加密方法及系统 Pending CN111818026A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010587522.1A CN111818026A (zh) 2020-06-24 2020-06-24 一种用于公网传输的数据加密方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010587522.1A CN111818026A (zh) 2020-06-24 2020-06-24 一种用于公网传输的数据加密方法及系统

Publications (1)

Publication Number Publication Date
CN111818026A true CN111818026A (zh) 2020-10-23

Family

ID=72854989

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010587522.1A Pending CN111818026A (zh) 2020-06-24 2020-06-24 一种用于公网传输的数据加密方法及系统

Country Status (1)

Country Link
CN (1) CN111818026A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788051A (zh) * 2021-01-25 2021-05-11 高新兴讯美科技股份有限公司 一种https动态加密的传输方法
CN113259133A (zh) * 2021-07-02 2021-08-13 深圳市深圳通有限公司 基于http协议的加密通讯方法、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101964793A (zh) * 2010-10-08 2011-02-02 上海银联电子支付服务有限公司 终端和服务器间的数据传输方法及系统、签到和支付方法
CN106506470A (zh) * 2016-10-31 2017-03-15 大唐高鸿信安(浙江)信息科技有限公司 网络数据安全传输方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101964793A (zh) * 2010-10-08 2011-02-02 上海银联电子支付服务有限公司 终端和服务器间的数据传输方法及系统、签到和支付方法
CN106506470A (zh) * 2016-10-31 2017-03-15 大唐高鸿信安(浙江)信息科技有限公司 网络数据安全传输方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788051A (zh) * 2021-01-25 2021-05-11 高新兴讯美科技股份有限公司 一种https动态加密的传输方法
CN113259133A (zh) * 2021-07-02 2021-08-13 深圳市深圳通有限公司 基于http协议的加密通讯方法、设备及存储介质
CN113259133B (zh) * 2021-07-02 2021-10-15 深圳市深圳通有限公司 基于http协议的加密通讯方法、设备及存储介质

Similar Documents

Publication Publication Date Title
CN112887338B (zh) 一种基于ibc标识密码的身份认证方法和系统
CN103051628B (zh) 基于服务器获取认证令牌的方法及系统
CN108650210A (zh) 一种认证系统和方法
CN113285803B (zh) 一种基于量子安全密钥的邮件传输系统和传输方法
CN101631305B (zh) 一种加密方法及系统
CN111490871A (zh) 一种基于量子密钥云的sm9密钥认证方法、系统及存储介质
WO2007071140A1 (fr) Procede de transmission de donnees de maniere securisee
CN107277059A (zh) 一种基于二维码的一次性口令身份认证方法及系统
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
CN113346995B (zh) 基于量子安全密钥的邮件传输过程中防篡改的方法和系统
CN103516516A (zh) 文件安全共享方法、系统和终端
CN113079022B (zh) 一种基于sm2密钥协商机制的安全传输方法和系统
CN112073467A (zh) 基于区块链的数据传输方法、装置、存储介质及电子设备
CN101286849A (zh) 基于约定算法的第三方认证系统和方法
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统
CN113452687B (zh) 基于量子安全密钥的发送邮件的加密方法和系统
CN107493283B (zh) 一种基于直播平台的消息安全加密的实现方法及其系统
CN104821883A (zh) 一种基于非对称密码算法的保护隐私征信方法
CN111818026A (zh) 一种用于公网传输的数据加密方法及系统
CN104038336A (zh) 一种基于3des的数据加密方法
CN113572607A (zh) 一种采用非平衡sm2密钥交换算法的安全通信方法
CN107249002B (zh) 一种提高智能电能表安全性的方法、系统及装置
CN115643007A (zh) 一种密钥协商更新方法
CN1532726A (zh) 一种获得数字签名和实现数据安全的方法
CN113300842B (zh) 一种提高对称加密算法安全性的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201023