CN112788005B - 一种软硬件结合的提高安全性的跨境传输方法和系统 - Google Patents

一种软硬件结合的提高安全性的跨境传输方法和系统 Download PDF

Info

Publication number
CN112788005B
CN112788005B CN202011597657.2A CN202011597657A CN112788005B CN 112788005 B CN112788005 B CN 112788005B CN 202011597657 A CN202011597657 A CN 202011597657A CN 112788005 B CN112788005 B CN 112788005B
Authority
CN
China
Prior art keywords
file
data
preset
ciphertext
working key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011597657.2A
Other languages
English (en)
Other versions
CN112788005A (zh
Inventor
倪时龙
赵立
李仕镇
谢海强
池毓成
韩晓光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Zefu Software Co ltd
Original Assignee
Fujian Zefu Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Zefu Software Co ltd filed Critical Fujian Zefu Software Co ltd
Priority to CN202011597657.2A priority Critical patent/CN112788005B/zh
Publication of CN112788005A publication Critical patent/CN112788005A/zh
Application granted granted Critical
Publication of CN112788005B publication Critical patent/CN112788005B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本申请涉及加解密技术领域,特别涉及一种软硬件结合的提高安全性的跨境传输方法和系统。所述一种软硬件结合的提高安全性的跨境传输方法,包括步骤:响应文件上传指令,根据接收端设备ID选取主密钥;生成工作密钥;通过工作密钥对文件数据明文进行加密得文件数据密文;发送工作密钥密文、文件数据密文、消息认证码和数据明文杂凑值至中心服务器;接收端从中心服务器获取工作密钥密文、文件数据密文、消息认证码和数据明文杂凑值,并根据发送端设备ID选取主密钥,判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功。通过上述方式,可切实保证了发送端和接收端间跨网跨境数据传输的安全性。

Description

一种软硬件结合的提高安全性的跨境传输方法和系统
技术领域
本申请涉及加解密技术领域,特别涉及一种软硬件结合的提高安全性的跨境传输方法和系统。
背景技术
随着国际化的发展,越来越多的企业在国外都设立有分公司,而在企业办公的过程中经常会需要传输文件,若直接使用现有的通讯软件如:QQ、微信等进行传输,存在极大的安全风险,故此如何确保跨网跨境文件传输的安全性成了亟需解决的问题。
发明内容
为此,需要提供一种软硬件结合的提高安全性的跨境传输方法,用以解决跨网跨境文件传输存在安全性的问题。具体技术方案如下:
一种软硬件结合的提高安全性的跨境传输方法,包括步骤:
响应文件上传指令,判断文件是否按预设规则进行命名;
若为按预设规则进行命名,根据策略模板对所述文件进行验证,若验证通过,则根据接收端设备ID选取主密钥;
生成工作密钥;
读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文;
计算所述文件数据明文杂凑值;
使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥信息计算得消息认证码;
发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器;
接收端从所述中心服务器获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值,并根据发送端设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥;
验证所述消息认证码是否正确,若正确,通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值;
判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功。
进一步的,还包括步骤:
判断当前主密钥是否已被使用,若已被使用,则根据当前主密钥数据、派生密钥和版本号计算得新的主密钥;
所述派生密钥被预先设置。
进一步的,所述“响应文件上传指令”前,还包括步骤:
为每个发送端与接收端的组合分配唯一对应的主密钥。
进一步的,所述“响应文件上传指令”前,还包括步骤:
根据数据类型对文件进行分级分类;
根据预设目录规则进行目录分配;
根据预设策略配置规则进行规则配置,并对报送的数据进行校验。
进一步的,所述“根据预设策略配置规则进行规则配置”,具体还包括步骤:
判断文件类型,若所述文件类型为非结构化,则根据预设文件命名规则进行命名;
若所述文件类型为结构化,则按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则进行命名;
若所述文件类型为组合型,则对包内结构化数据按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则对整个文件进行命名。
为解决上述技术问题,还提供了一种软硬件结合的提高安全性的跨境传输系统,具体技术方案如下:
一种软硬件结合的提高安全性的跨境传输系统,包括:发送端、中心服务器和接收端,所述中心服务器分别连接所述发送端和所述接收端;
所述发送端用于:响应文件上传指令,判断文件是否按预设规则进行命名;若为按预设规则进行命名,根据策略模板对所述文件进行验证,若验证通过,则根据接收端设备ID选取主密钥;生成工作密钥;读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文;计算所述文件数据明文杂凑值;使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥信息计算得消息认证码;发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器;
所述接收端从所述中心服务器获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值;
所述接收端还用于:根据发送端设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥;
验证所述消息认证码是否正确,若正确,通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值;
判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功。
进一步的,所述发送端还用于:判断当前主密钥是否已被使用,若已被使用,则根据当前主密钥数据、派生密钥和版本号计算得新的主密钥;
所述派生密钥被预先设置。
进一步的,为每个发送端与接收端的组合分配唯一对应的主密钥。
进一步的,所述发送端还用于:根据数据类型对文件进行分级分类;
根据预设目录规则进行目录分配;
根据预设策略配置规则进行规则配置,并对报送的数据进行校验。
进一步的,所述发送端还用于:判断文件类型,若所述文件类型为非结构化,则根据预设文件命名规则进行命名;
若所述文件类型为结构化,则按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则进行命名;
若所述文件类型为组合型,则对包内结构化数据按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则对整个文件进行命名。
本发明的有益效果是:通过响应文件上传指令,判断文件是否按预设规则进行命名;若为按预设规则进行命名,根据策略模板对所述文件进行验证,若验证通过,则根据接收端设备ID选取主密钥;生成工作密钥;读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文;计算所述文件数据明文杂凑值;使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥信息计算得消息认证码;发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器;接收端从所述中心服务器获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值,并根据发送端设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥;验证所述消息认证码是否正确,若正确,通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值;判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功。通过上述方式,首先在软件层面,通过对文件的命名进行判别等,确保了上传文件的安全性,其次在文件传输过程中,通过软硬件结合的加密方法,再次确保了文件传输的安全性。
附图说明
图1为具体实施方式所述一种软硬件结合的提高安全性的跨境传输方法的流程图;
图2为具体实施方式所述一种软硬件结合的提高安全性的跨境传输方法的应用场景示意图;
图3为具体实施方式所述一种软硬件结合的提高安全性的跨境传输方法的示意图;
图4为具体实施方式所述一种软硬件结合的提高安全性的跨境传输系统的模块示意图。
附图标记说明:
400、一种软硬件结合的提高安全性的跨境传输系统,
401、发送端,
402、中心服务器,
403、接收端。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
请参阅图1至图2,在本实施方式中,一种软硬件结合的提高安全性的跨境传输方法的应用场景如图2所示可以为:发送端设备与接收端设备分别设置于不同的国界与网络中,如:A设备在中国,B设备在国外,当A设备作为发送端的时候,B设备作为接收端,二者通过中心服务器进行数据的传输。
在本实施方式中涉及到主密钥和工作密钥,其中主密钥主要用来加密工作密钥,并且为进一步提高安全性,还包括步骤:判断当前主密钥是否已被使用,若已被使用,则根据当前主密钥数据、派生密钥和版本号计算得新的主密钥;所述派生密钥被预先设置。即主密钥只一次使用,其中版本号和派生密钥都是预先设置好的。
在本实施方式中,会预先为每个发送端与接收端的组合分配唯一对应的主密钥。具体可如下:如共存在两个发送端a1、a2(也可以是接收端)和三个接收端b1、b2、b3(也可以是发送端),则存在六种组合a1b1、a1b2、a1b3、a2b1、a2b2和a2b3。则分别为这两种组合分配六个唯一对应的主密钥。
本申请的核心技术思想在于:首先通过预先采用多种规则对待上传的文件进行处理,如:数据包命名按规则进行命名,如数据包里面的内容也按规则进行命名等,如此在后续文件上传过程中,只需根据预先约定好的规则对这些数据包进行校验即可,只有符合了预设规则的文件再进行加解密处理,软硬件互相结合,多重确保传输文件的安全性与文件传输过程中的安全性。
具体实施方式如下:
步骤S101:响应文件上传指令,判断文件是否按预设规则进行命名;
步骤S102:若为按预设规则进行命名,根据策略模板对所述文件进行验证;
具体加解密过程如下(其中步骤S103至步骤S108为加密过程;步骤S109至步骤S113为解密过程):
步骤S103:若验证通过,则根据接收端设备ID选取主密钥。具体可如下:在发送端接收到对应的业务系统上传的文件后进入文件加密处理流程,主控程序根据接收端设备ID选取主密钥。
步骤S104:生成工作密钥。具体可如下:调用噪声源芯片生成工作密钥。
步骤S105:读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文。所述“读取文件数据”,具体还包括步骤:根据文件名称读取文件数据。并通过FPGA完成文件数据明文加密处理(SM4_XTS)。
步骤S106:计算所述文件数据明文杂凑值。具体可如下:通过FPGA完成文件数据明文杂凑值计算(SM3_HASH)。
步骤S107:使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥信息计算得消息认证码。具体可如下:使用主密钥对工作密钥进行加密处理(SM4_CBC),并对所述工作密钥信息计算得消息认证码(SM4_CBC_MAC)。具体可如下:发送端、接收端和服务器都存储有消息认证码正确的格式。格式作为最初的认证和信息提取标准。如果不满足该格式,则直接认为消息认证码非法且不提取出该消息认证码内的信息。发送时,发送端即采用该格式进行计算得到消息认证码。如:消息认证码前面预设固定位数的固定字符为信息的起始识别消息。而后存储工作秘钥信息,在工作秘钥信息后存储固定字符信息的结束识别消息。最后计算工作秘钥信息的长度信息并存储在最末端。
步骤S108:发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器。
步骤S109:接收端从所述中心服务器获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值,并根据发送端设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥。
步骤S110:所述消息认证码是否正确?具体可如下:根据预设格式判断消息认证码是否符合预设格式。符合再提出工作秘钥信息和长度信息进行初步判断是否正确。如果正确,则认为消息认证码正确。
若正确,则执行步骤S111:通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值。具体可如下:接收端FPGA使用工作密钥对所述文件数据密文进行解密得待确认文件数据明文,FPGA计算所述待确认文件数据明文杂凑值。
步骤S112:所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致?若一致,则执行步骤S113:解密成功。
通过上述方式,可切实保证了发送端和接收端间跨网跨境数据传输的安全性。
在本实施方式中,文件即以数据包形式存在,其中步骤S101和步骤S102响应数据包上传指令,判断数据包是否按预设规则进行命名;若为按预设规则进行命名,根据策略模板对所述数据包进行验证,若验证通过,则数据包上传成功。通过上述步骤,对上传的数据包进行自动化多重认证,确保了上传的文件的安全性,且无需人工参与,大大减轻工作量,降低人力成本。
以下结合图3对数据包在此之前是如何进行按预设规则进行处理的具体展开说明:
所述“响应数据包上传指令”前,还包括步骤:
根据数据类型对数据包进行分级分类。具体可如下:根据组织机构中,有多层级关系以及每个企业或子企业又有多种不同的类型的数据,便于区分多层级多种类的数据关系,配置分级分类,对数据进行归类汇聚。其中数据类型包括:公文类、监管类、生产类、经营类、支撑类等等。
分级分类完后,根据预设目录规则进行目录分配。具体可如下:其包括:数据项、业务数据、业务指标、公文文件等。境内外企业系统以固定格式进行数据传输,文件在传输前应按照下列描述的文件封装规则,将原始文件包装成统一格式ZIP形式的数据包裹,数据包裹内文件类型分为结构化数据、非结构化数据及结构化和非结构化组合;数据包裹打包完成后,调用文件传输服务进行数据安全传输。按目录规则分配好目录后即可获得对应的目录规则编码。
分配好目录后,根据预设策略配置规则进行规则配置,并对报送的数据进行校验。
所述“根据预设策略配置规则进行规则配置”,具体还包括步骤:
判断文件类型,若所述文件类型为非结构化,则根据预设数据包命名规则进行命名;
若所述文件类型为结构化,则按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设数据包命名规则进行命名;
若所述文件类型为组合型,则对包内结构化数据按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设数据包命名规则对整个数据包进行命名。具体可如下:
数据包裹中包含一个或多个文件,其中文件类型分为结构化数据、非结构化数据及组合型(结构化和非结构化);需要校验的结构化数据严格按照配置的格式封装,并生成相应的文件。
结构化数据:
在目录规则配置中,需要将结构化数据传输的内容,严格按照配置的XML/JSON格式进行封装。
结构化数据传输,将封装好的XML/JSON格式生成相应的xml文件或json文件,生成的xml/json文件的命名规则说明:以业务系统编码开头,目录规则编码,结构化标识编码:【1-结构化,0-非结构化,2-组合型(结构化+非结构化)】,当前时间(精确至年月日时分秒)组成;用后缀名来区分不同类型的文件,文件格式为XML,则用“.xml”为文件后缀名;文件格式为JSON,则用“.JSON”为后缀名。
非结构化数据:
境内外企业系统,如无结构化数据传输需要,则以固定格式的数据包裹进行数据传输,数据包裹命名规则遵循以上规则,内部文件无需校验。
组合型数据(结构化+非结构化):
境内外企业系统,在传输的数据中,传输信息中包含众多附件内容时,需要进行结构化和非结构化组合传输;则以固定格式的数据包裹对文件进行封装传输,需要对数据包裹命名规则和包内结构化数据进行校验。
通过响应文件上传指令,判断文件是否按预设规则进行命名;若为按预设规则进行命名,根据策略模板对所述文件进行验证,若验证通过,则根据接收端设备ID选取主密钥;生成工作密钥;读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文;计算所述文件数据明文杂凑值;使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥信息计算得消息认证码;发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器;接收端从所述中心服务器获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值,并根据发送端设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥;验证所述消息认证码是否正确,若正确,通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值;判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功。通过上述方式,首先在软件层面,通过对文件的命名进行判别等,确保了上传文件的安全性,其次在文件传输过程中,通过软硬件结合的加密方法,再次确保了文件传输的安全性。
请参阅图3至图4,在本实施方式中,一种软硬件结合的提高安全性的跨境传输系统400的具体实施方式如下:
一种软硬件结合的提高安全性的跨境传输系统400,包括:发送端401、中心服务器402和接收端403,所述中心服务器402分别连接所述发送端401和所述接收端403;
所述发送端401用于:响应文件上传指令,判断文件是否按预设规则进行命名;若为按预设规则进行命名,根据策略模板对所述文件进行验证,若验证通过,则根据接收端403设备ID选取主密钥;生成工作密钥;读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文;计算所述文件数据明文杂凑值;使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥信息计算得消息认证码;发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器402;
所述接收端403从所述中心服务器402获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值;
所述接收端403还用于:根据发送端401设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥;
验证所述消息认证码是否正确,若正确,通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值;
判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功。
进一步的,所述发送端401还用于:判断当前主密钥是否已被使用,若已被使用,则根据当前主密钥数据、派生密钥和版本号计算得新的主密钥;
所述派生密钥被预先设置。
进一步的,为每个发送端401与接收端403的组合分配唯一对应的主密钥。
进一步的,调用发送端401的调用噪声源芯片生成工作密钥。
进一步的,所述发送端401还用于:根据文件名称读取文件数据。
在本实施方式中,文件以数据包的形式存在,以下结合图3对数据包在此之前是如何进行按预设规则进行处理的具体展开说明:
所述发送端401还用于:根据数据类型对数据包进行分级分类。具体可如下:根据组织机构中,有多层级关系以及每个企业或子企业又有多种不同的类型的数据,便于区分多层级多种类的数据关系,配置分级分类,对数据进行归类汇聚。其中数据类型包括:公文类、监管类、生产类、经营类、支撑类等等。
分级分类完后,根据预设目录规则进行目录分配。具体可如下:其包括:数据项、业务数据、业务指标、公文文件等。境内外企业系统以固定格式进行数据传输,文件在传输前应按照下列描述的文件封装规则,将原始文件包装成统一格式ZIP形式的数据包裹,数据包裹内文件类型分为结构化数据、非结构化数据及结构化和非结构化组合;数据包裹打包完成后,调用文件传输服务进行数据安全传输。按目录规则分配好目录后即可获得对应的目录规则编码。
分配好目录后,根据预设策略配置规则进行规则配置,并对报送的数据进行校验。
进一步的,所述发送端401还用于:判断文件类型,若所述文件类型为非结构化,则根据预设文件命名规则进行命名;
若所述文件类型为结构化,则按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则进行命名;
若所述文件类型为组合型,则对包内结构化数据按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则对整个文件进行命名。
具体可如下:
数据包裹中包含一个或多个文件,其中文件类型分为结构化数据、非结构化数据及组合型(结构化和非结构化);需要校验的结构化数据严格按照配置的格式封装,并生成相应的文件。
结构化数据:
在目录规则配置中,需要将结构化数据传输的内容,严格按照配置的XML/JSON格式进行封装。
结构化数据传输,将封装好的XML/JSON格式生成相应的xml文件或json文件,生成的xml/json文件的命名规则说明:以业务系统编码开头,目录规则编码,结构化标识编码:【1-结构化,0-非结构化,2-组合型(结构化+非结构化)】,当前时间(精确至年月日时分秒)组成;用后缀名来区分不同类型的文件,文件格式为XML,则用“.xml”为文件后缀名;文件格式为JSON,则用“.JSON”为后缀名。
非结构化数据:
境内外企业系统,如无结构化数据传输需要,则以固定格式的数据包裹进行数据传输,数据包裹命名规则遵循以上规则,内部文件无需校验。
组合型数据(结构化+非结构化):
境内外企业系统,在传输的数据中,传输信息中包含众多附件内容时,需要进行结构化和非结构化组合传输;则以固定格式的数据包裹对文件进行封装传输,需要对数据包裹命名规则和包内结构化数据进行校验。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本发明的专利保护范围。因此,基于本发明的创新理念,对本文所述实施例进行的变更和修改,或利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本发明的专利保护范围之内。

Claims (8)

1.一种软硬件结合的提高安全性的跨境传输方法,其特征在于,包括步骤:
响应文件上传指令,判断文件是否按预设规则进行命名;
若为按预设规则进行命名,根据策略模板对所述文件进行验证,若验证通过,则根据接收端设备ID选取主密钥;
生成工作密钥;
读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文;
计算所述文件数据明文杂凑值;
使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥密文计算得消息认证码;
发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器;
接收端从所述中心服务器获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值,并根据发送端设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥;
验证所述消息认证码是否正确,若正确,通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值;
判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功;
所述使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥密文计算得消息认证码,具体还包括:
使用主密钥对工作密钥进行加密处理,并对所述工作密钥密文计算得消息认证码,其中发送端、接收端和服务器都存储有消息认证码正确的格式,格式作为最初的认证和信息提取标准,如果不满足该格式,则直接认为消息认证码非法且不提取出该消息认证码内的信息,发送时,发送端即采用该格式进行计算得到消息认证码;
所述消息认证码的前面预设固定位数的固定字符为信息的起始识别消息,而后存储工作密钥密文,在工作密钥密文后存储固定字符信息的结束识别消息,最后计算工作密钥密文的长度信息并存储在最末端;
所述响应文件上传指令前,还包括步骤:
根据数据类型对文件进行分级分类;
根据预设目录规则进行目录分配;
根据预设策略配置规则进行规则配置,并对报送的数据进行校验;
所述数据类型包括:公文类、监管类、生成类、经营类和支撑类。
2.根据权利要求1所述的一种软硬件结合的提高安全性的跨境传输方法,其特征在于,还包括步骤:
判断当前主密钥是否已被使用,若已被使用,则根据当前主密钥数据、派生密钥和版本号计算得新的主密钥;
所述派生密钥被预先设置。
3.根据权利要求1所述的一种软硬件结合的提高安全性的跨境传输方法,其特征在于,所述响应文件上传指令前,还包括步骤:
为每个发送端与接收端的组合分配唯一对应的主密钥。
4.根据权利要求1所述的一种软硬件结合的提高安全性的跨境传输方法,其特征在于,所述根据预设策略配置规则进行规则配置,具体还包括步骤:
判断文件类型,若所述文件类型为非结构化,则根据预设文件命名规则进行命名;
若所述文件类型为结构化,则按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则进行命名;
若所述文件类型为组合型,则对包内结构化数据按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则对整个文件进行命名。
5.一种软硬件结合的提高安全性的跨境传输系统,其特征在于,包括:发送端、中心服务器和接收端,所述中心服务器分别连接所述发送端和所述接收端;
所述发送端用于:响应文件上传指令,判断文件是否按预设规则进行命名;若为按预设规则进行命名,根据策略模板对所述文件进行验证,若验证通过,则根据接收端设备ID选取主密钥;生成工作密钥;读取文件数据,并通过所述工作密钥对所述文件数据明文进行加密得文件数据密文;计算所述文件数据明文杂凑值;使用所述主密钥对所述工作密钥进行加密得工作密钥密文,并对工作密钥密文计算得消息认证码;发送所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值至中心服务器;
所述接收端从所述中心服务器获取所述工作密钥密文、所述文件数据密文、所述消息认证码和数据明文杂凑值;
所述接收端还用于:根据发送端设备ID选取主密钥,并使用所述主密钥对所述工作密钥密文进行解密的工作密钥;
验证所述消息认证码是否正确,若正确,通过所述工作密钥对所述文件数据密文进行解密得待确认文件数据明文,计算所述待确认文件数据明文杂凑值;
判断所述待确认文件数据明文杂凑值与所述数据明文杂凑值是否一致,若一致,则解密成功;
所述发送端还用于:使用主密钥对工作密钥进行加密处理,并对所述工作密钥密文计算得消息认证码,其中发送端、接收端和服务器都存储有消息认证码正确的格式,格式作为最初的认证和信息提取标准,如果不满足该格式,则直接认为消息认证码非法且不提取出该消息认证码内的信息,发送时,发送端即采用该格式进行计算得到消息认证码;
所述消息认证码的前面预设固定位数的固定字符为信息的起始识别消息,而后存储工作密钥密文,在工作密钥密文后存储固定字符信息的结束识别消息,最后计算工作密钥密文的长度信息并存储在最末端;
所述发送端还用于:在响应文件上传指令前,根据数据类型对文件进行分级分类;
根据预设目录规则进行目录分配;
根据预设策略配置规则进行规则配置,并对报送的数据进行校验。
6.根据权利要求5所述的一种软硬件结合的提高安全性的跨境传输系统,其特征在于,所述发送端还用于:判断当前主密钥是否已被使用,若已被使用,则根据当前主密钥数据、派生密钥和版本号计算得新的主密钥;
所述派生密钥被预先设置。
7.根据权利要求5所述的一种软硬件结合的提高安全性的跨境传输系统,其特征在于,为每个发送端与接收端的组合分配唯一对应的主密钥。
8.根据权利要求5所述的一种软硬件结合的提高安全性的跨境传输系统,其特征在于,所述发送端还用于:判断文件类型,若所述文件类型为非结构化,则根据预设文件命名规则进行命名;
若所述文件类型为结构化,则按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则进行命名;
若所述文件类型为组合型,则对包内结构化数据按照预设的数据格式进行封装,并根据预设文件名命名规则进行命名,根据预设文件命名规则对整个文件进行命名。
CN202011597657.2A 2020-12-29 2020-12-29 一种软硬件结合的提高安全性的跨境传输方法和系统 Active CN112788005B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011597657.2A CN112788005B (zh) 2020-12-29 2020-12-29 一种软硬件结合的提高安全性的跨境传输方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011597657.2A CN112788005B (zh) 2020-12-29 2020-12-29 一种软硬件结合的提高安全性的跨境传输方法和系统

Publications (2)

Publication Number Publication Date
CN112788005A CN112788005A (zh) 2021-05-11
CN112788005B true CN112788005B (zh) 2023-05-23

Family

ID=75751448

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011597657.2A Active CN112788005B (zh) 2020-12-29 2020-12-29 一种软硬件结合的提高安全性的跨境传输方法和系统

Country Status (1)

Country Link
CN (1) CN112788005B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116886447B (zh) * 2023-09-07 2024-02-13 中国电子科技集团公司第十五研究所 一种精简编解码的加密传输方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111552838A (zh) * 2020-03-26 2020-08-18 平安医疗健康管理股份有限公司 数据处理方法及装置、计算机设备、存储介质
CN111782517A (zh) * 2020-06-23 2020-10-16 浙江保融科技有限公司 一种自动化文件校验方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030221184A1 (en) * 2002-05-22 2003-11-27 Gunjal Atul Narayan Template-based application development system
US8347276B2 (en) * 2010-01-07 2013-01-01 Gunther Schadow Systems and methods for software specification and design using a unified document
CN101789865B (zh) * 2010-03-04 2011-11-30 深圳市华信安创科技有限公司 一种用于加密的专用服务器及加密方法
CN102420821B (zh) * 2011-11-28 2015-05-27 飞天诚信科技股份有限公司 一种提高文件传输安全性的方法和系统
CN109347625B (zh) * 2018-08-31 2020-04-24 阿里巴巴集团控股有限公司 密码运算、创建工作密钥的方法、密码服务平台及设备
CN110378139B (zh) * 2019-07-25 2021-07-30 江苏芯盛智能科技有限公司 一种数据密钥保护方法、系统及电子设备和存储介质
CN112714124B (zh) * 2020-12-28 2023-04-18 格美安(北京)信息技术有限公司 一种基于跨网跨境的数据接入安全认证方法和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111552838A (zh) * 2020-03-26 2020-08-18 平安医疗健康管理股份有限公司 数据处理方法及装置、计算机设备、存储介质
CN111782517A (zh) * 2020-06-23 2020-10-16 浙江保融科技有限公司 一种自动化文件校验方法

Also Published As

Publication number Publication date
CN112788005A (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
CN106357649B (zh) 用户身份认证系统和方法
CN108256340B (zh) 数据采集方法、装置、终端设备及存储介质
CN101771541B (zh) 一种用于家庭网关的密钥证书生成方法和系统
CN112395353A (zh) 一种基于联盟链的智能电能表质量数据共享方法及系统
US20040236953A1 (en) Method and device for transmitting an electronic message
CN101247232A (zh) 数据交换传输中基于数字签名的加密技术方法
CN108881203A (zh) 基于区块链的数据管理方法、电子设备、存储介质及系统
CN101552792B (zh) 一种利用动态二级密钥来传递信息的方法和设备
CN110061967A (zh) 业务数据提供方法、装置、设备及计算机可读存储介质
CN103812651A (zh) 密码验证方法、装置及系统
CN113779607A (zh) 一种工业数据资产管理方法、系统和设备
CN112788005B (zh) 一种软硬件结合的提高安全性的跨境传输方法和系统
CN112714124B (zh) 一种基于跨网跨境的数据接入安全认证方法和系统
CN107249002B (zh) 一种提高智能电能表安全性的方法、系统及装置
CN101939751A (zh) 处理分发系统、认证服务器、分发服务器及处理分发方法
CN113872940B (zh) 基于NC-Link的访问控制方法、装置及设备
CN112261002B (zh) 数据接口对接的方法及设备
CN112769778B (zh) 一种基于跨网跨境数据安全传输的加解密处理方法和系统
CN112689003A (zh) 服务请求转发方法、装置、设备及存储介质
CN113992336B (zh) 基于区块链的加密网络离线数据可信交换方法及装置
CN112422289B (zh) 一种NB-IoT终端设备的数字证书离线安全分发方法和系统
KR20220130651A (ko) 전기차 충전기용 양방향 보안통신장치
CN112702355B (zh) 一种融合运维系统的跨境文件传输方法和系统
CN112738083B (zh) 一种基于跨网跨境数据传输安全接入密钥管理系统和方法
CN110855714B (zh) 一种多租户设备的安全连接方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant