CN113783846A - 一种可信数据传输系统及方法 - Google Patents

Abstract

本发明提供一种可信数据传输系统及方法。所述系统包括：可信传输装置，通过内网与可信传输装置联接的接收服务器，通过外网与可信传输装置联接的裁决服务器和外部终端，可信传输装置用于当收到外部终端的文件传输请求时，通过与外部终端、裁决服务器交互实现外部终端与可信传输装置之间的双向身份验证，如果双方均通过验证，外部终端对文件进行加密传输，可信传输装置对收到的文件解密，并将解密后的文件发送至接收服务器；否则，拒绝外部终端的文件传输请求。本发明通过设置与接收服务器内网联接的可信传输装置，可杜绝接收服务器非法外联的可能；能够实现外部终端与可信传输装置之间的双向身份验证，能够防止可信传输装置被仿冒。

Description

一种可信数据传输系统及方法

技术领域

本发明涉及可信计算及数据安全传输技术领域，具体涉及一种可信数据传输系统及方法。

背景技术

档案馆是收集、保管档案的机构，负责接收、征集、管理档案和开展档案利用等。随着信息技术的深入发展，各行各业办公自动化系统的广泛应用产生了大量的电子文件。这些电子文件归档形成的电子档案都会移交到档案馆进行管理和长期保存，并提供利用。2017年12月国家档案局印发了《电子档案管理系统基本功能规定》的通知，功能规定中的条款内容突出了基本业务特点，规定了电子档案管理系统应满足电子档案移交接收、长期保存、共享利用和安全可靠等业务需求的基本功能。由于归档文件可能携带敏感数据，而移交接收途径多为互联网，归档文件往往会暴露在外部不可控的环境中，面临着归档文件被黑客篡改、敏感数据被泄露的安全风险，因此需要通过安全手段保障其始终处于受控状态。

现有技术多采用传输加密机类设备来解决终端与服务器之间的文件加密传输，实现对文件信息的控制。现有传输方案存在以下问题：一是由于是一对多的传输模式，文件传输收发双方都需要部署机密机进行加密传输，此类设备大多是基于网络层，直接对数据包进行处理，造成部署复杂度过高、成本过高；二是现有的身份认证方式都是对外部终端用户的身份进行认证，无法解决服务器端被仿冒的问题；三是接收文件的服务器IP地址被暴露在外部，容易造成非法外联的攻击隐患。

发明内容

为了解决现有技术中存在的上述问题，本发明提供一种可信数据传输系统及方法。

为了实现上述目的，本发明采用以下技术方案。

第一方面，本发明提供一种可信数据传输系统，包括：可信传输装置，通过内网与可信传输装置联接的接收服务器，通过外网与可信传输装置联接的裁决服务器和外部终端，可信传输装置用于当收到外部终端的文件传输请求时，通过与外部终端、裁决服务器交互实现外部终端与可信传输装置之间的双向身份验证，如果双方均通过验证，外部终端对文件进行加密传输，可信传输装置对收到的文件解密，并将解密后的文件发送至接收服务器；否则，拒绝外部终端的文件传输请求。

进一步地，外部终端通过插入USB接口的TCM卡向可信传输装置传送数据。

进一步地，所述可信传输装置主要由可信平台控制模块TPCM、CPU和存储器组成，加电后，TPCM对可信传输装置的BIOS进行度量，如果度量结果错误进行报警；如果度量结果正确，发送控制信号至控制开关启动CPU。

进一步地，所述双向身份验证方法包括：

外部终端向可信传输装置发送文件传输请求、外部终端证书及外部终端ID；

可信传输装置从外部终端证书中提取外部终端公钥，并向裁决服务器发送身份认证请求；

裁决服务器收到身份认证请求后，返回裁决服务器证书；

可信传输装置从收到的裁决服务器证书中提取裁决服务器公钥，将外部终端证书、外部终端ID、可信传输装置证书、可信传输装置ID发送至裁决服务器进行认证；同时将裁决服务器证书和可信传输装置证书发送给外部终端；

外部终端从收到的裁决服务器证书和可信传输装置证书分别提取裁决服务器公钥和可信传输装置公钥；

裁决服务器收到可信传输装置发送的认证信息后，分别将外部终端和可信传输装置的认证信息与可信基准库中的认证信息进行比对，并生成可信报告；裁决服务器用私钥对可信报告签名后返回给可信传输装置；

可信传输装置收到可信报告后通过裁决服务器公钥进行验签，确认可信报告的完整性，如果外部终端可信，则可信传输装置的TPCM随机生成种子数，并使用随机种子数生成会话密钥，将会话密钥使用外部终端的公钥加密生成密文，并使用私钥对密文签名；将密文和可信报告发送给外部终端；如果外部终端不可信，则拒绝文件传输请求；

外部终端收到密文和可信报告后，首先通过裁决服务器公钥对可信报告进行验签，确认可信报告的完整性；如果可信安全传输装置可信，则对收到密文后使用私钥解密，并通过可信传输装置的公钥进行验签，以保证会话密钥的完整性；如果可信传输装置不可信，则拒绝文件传输请求。

进一步地，所述外部终端的数量为多个，通过交换机与可信传输装置联接。

进一步地，所述可信传输装置向接收服务器传送明文数据文件。

第二方面，本发明提供一种应用所述系统进行可信数据传输的方法，包括以下步骤：

外部终端向可信传输装置发送文件传输请求；

可信传输装置通过与外部终端、裁决服务器交互，实现外部终端与可信传输装置之间的双向身份验证；

如果双方均通过验证，外部终端对文件进行加密传输，可信传输装置对收到的文件解密，并将解密后的文件发送至接收服务器；

如果任意一方未通过验证，拒绝外部终端的文件传输请求。

进一步地，外部终端通过插入USB接口的TCM卡向可信传输装置传送数据。

进一步地，所述可信传输装置主要由可信平台控制模块TPCM、CPU和存储器组成，加电后，TPCM对可信传输装置的BIOS进行度量，如果度量结果错误进行报警；如果度量结果正确，发送控制信号至控制开关启动CPU。

进一步地，所述双向身份验证方法包括：

外部终端向可信传输装置发送文件传输请求、外部终端证书及外部终端ID；

可信传输装置从外部终端证书中提取外部终端公钥，并向裁决服务器发送身份认证请求；

裁决服务器收到身份认证请求后，返回裁决服务器证书；

可信传输装置从收到的裁决服务器证书中提取裁决服务器公钥，将外部终端证书、外部终端ID、可信传输装置证书、可信传输装置ID发送至裁决服务器进行认证；同时将裁决服务器证书和可信传输装置证书发送给外部终端；

外部终端从收到的裁决服务器证书和可信传输装置证书分别提取裁决服务器公钥和可信传输装置公钥；

裁决服务器收到可信传输装置发送的认证信息后，分别将外部终端和可信传输装置的认证信息与可信基准库中的认证信息进行比对，并生成可信报告；裁决服务器用私钥对可信报告签名后返回给可信传输装置；

可信传输装置收到可信报告后通过裁决服务器公钥进行验签，确认可信报告的完整性，如果外部终端可信，则可信传输装置的TPCM随机生成种子数，并使用随机种子数生成会话密钥，将会话密钥使用外部终端的公钥加密生成密文，并使用私钥对密文签名；将密文和可信报告发送给外部终端；如果外部终端不可信，则拒绝文件传输请求；

外部终端收到密文和可信报告后，首先通过裁决服务器公钥对可信报告进行验签，确认可信报告的完整性；如果可信安全传输装置可信，则对收到密文后使用私钥解密，并通过可信传输装置的公钥进行验签，以保证会话密钥的完整性；如果可信传输装置不可信，则拒绝文件传输请求。

与现有技术相比，本发明具有以下有益效果。

本发明通过设置与通过内网与接收服务器联接的可信传输装置，使可信传输装置的IP可见，而接收服务器的IP不可见，外部终端通过可信传输装置向接收服务器传输数据文件，杜绝了接收服务器非法外联的可能。可信传输装置通过与外部终端、裁决服务器交互实现外部终端与可信传输装置之间的双向身份验证，不仅可信传输装置可以验证外部终端的可信性，而且外部终端也可以验证可信传输装置的可信性，因此，不仅能够验证外部终端的合法性，还能够防止可信传输装置被仿冒。

附图说明

图1为本发明实施例一种可信数据传输系统的组成框图，图中，1-可信传输装置，2-接收服务器，3-裁决服务器，4-外部终端。

图2为文件传输流程示意图。

图3为本发明另一实施例应用所述系统进行数据传输的方法的流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚、明白，以下结合附图及具体实施方式对本发明作进一步说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例一种可信数据传输系统的组成框图，所述系统包括：可信传输装置1，通过内网与可信传输装置1联接的接收服务器2，通过外网与可信传输装置1联接的裁决服务器3和外部终端4，可信传输装置1用于当收到外部终端4的文件传输请求时，通过与外部终端4、裁决服务器3交互实现外部终端4与可信传输装置1之间的双向身份验证，如果双方均通过验证，外部终端4对文件进行加密传输，可信传输装置1对收到的文件解密，并将解密后的文件发送至接收服务器2；否则，拒绝外部终端4的文件传输请求。

在本实施例中，所述系统主要由可信传输装置1、接收服务器2、裁决服务器3和外部终端4组成。如图1所示，可信传输装置1通过内网与接收服务器2联接，通过外网分别与裁决服务器3和外部终端4连接。外部终端4主要用于(通过可信传输装置1)向接收服务器2传送数据文件。接收服务器2主要用于(通过可信传输装置1)接收外部终端4发送的数据文件。裁决服务器3主要用于实现外部终端4与可信传输装置1的双向身份认证。可信传输装置1是所述系统的核心部件，用于保证外部终端4能够向接收服务器2进行可信数据传输，采取的具体措施是：可信传输装置1利用裁决服务器3进行外部终端4与可信传输装置1之间的双向身份验证，不仅可信传输装置1验证外部终端4的可信性，而且外部终端4也验证可信传输装置1的可信性，只要任意一方未通过验证或双方均未通过验证，就拒绝外部终端4提出的数据传输请求；只有在双方均通过验证的情况下，才在外部终端4(经可信传输装置1)与接收服务器2之间建立起可信、安全的数据传输通道，外部终端4对文件进行加密传输，可信传输装置1对收到的文件解密，并将解密后的文件发送至接收服务器2。因此，不仅能够验证外部终端4的合法性，还能够防止可信传输装置1被仿冒。由于可信传输装置1通过内网与接收服务器2联接，接收服务器2通过可信传输装置1接收外部终端4发送的数据文件，只有可信传输装置1的IP是可见的，接收服务器2的IP是不可见的，因此，可以杜绝接收服务器非法外联的可能。

作为一可选实施例，外部终端4通过插入USB接口的TCM(Trusted CryptographyModule，可信密码模块)卡向可信传输装置1传送数据。

本实施例给出了外部终端4与可信传输装置1通信的一种技术方案。外部终端4通过TCM卡向可信传输装置1传送数据。TCM是可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。可信计算平台的概念由国家密码管理局提出，是构建在计算系统中用于实现可信计算功能的支撑系统，包括密码算法、密钥管理、证书管理、密码协议、密码服务等内容，为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。本实施例外部终端4的数量可以是一个，也可以是多个。现有技术中，要实现“一对多”的传输方式，需要给每个外部终端4配置一个传输加密机，硬件开支大、成本高。而本实施例只需为每个外部终端4配置一个插在USB接口上的TCM卡，就能实现多个外部终端4向接收服务器2进行可信数据传输，节省了硬件开支，降低了硬件成本。

作为一可选实施例，所述可信传输装置1主要由可信平台控制模块TPCM(trustedplatform control module)、CPU和存储器组成，加电后，TPCM对可信传输装置1的BIOS进行度量，如果度量结果错误进行报警；如果度量结果正确，发送控制信号至控制开关启动CPU。

本实施例给出了可信传输装置1的一种技术方案。可信传输装置1相当于一台安装了可信平台控制模块TPCM的计算机，主要由TPCM、CPU和存储器等组成。TPCM可信传输装置1的核心模块，主要由微处理器、非易失性存储单元、易失性存储单元、随机数发生器、密码算法引擎、密钥生成器、定时器、输入输出桥接单元和各种输入输出控制模块组成。可信传输装置1的启动过程如下：加电时，TPCM第一时间加电复位，进行初始化。然后，TPCM开始执行对BIOS的度量(采用TPCM的杂凑算法对BIOS启动配置文件进行计算，并将计算结果与保存的预期值比较)，确认度量结果。如果度量结果错误，蜂鸣器按照特定方式鸣叫，提示有异常。如果度量结果正确，TPCM发送控制信号给主板上的控制开关，启动CPU。BIOS调用TPCM的杂凑算法对操作系统装载器进行完整性度量(装载器包含磁盘启动扇区和必要启动文件，装载器的完整性度量是指对磁盘主引导记录和必要启动文件通过TPCM的杂凑算法进行计算，将计算结果和预期值比较)，如果度量结果错误，蜂鸣器按照特定方式鸣叫，提示有异常；如果度量结果正确，操作系统装载器进行操作系统的加载，将控制权交给操作系统。启动完成。

作为一可选实施例，所述双向身份验证方法包括：

外部终端4向可信传输装置1发送文件传输请求、外部终端证书及外部终端ID；

可信传输装置1从外部终端证书中提取外部终端公钥，并向裁决服务器3发送身份认证请求；

裁决服务器3收到身份认证请求后，返回裁决服务器证书；

可信传输装置1从收到的裁决服务器证书中提取裁决服务器公钥，将外部终端证书、外部终端ID、可信传输装置1证书、可信传输装置ID发送至裁决服务器3进行认证；同时将裁决服务器证书和可信传输装置证书发送给外部终端4；

外部终端4从收到的裁决服务器证书和可信传输装置证书分别提取裁决服务器公钥和可信传输装置公钥；

裁决服务器3收到可信传输装置1发送的认证信息后，分别将外部终端4和可信传输装置1的认证信息与可信基准库中的认证信息进行比对，并生成可信报告；裁决服务器3用私钥对可信报告签名后返回给可信传输装置1；

可信传输装置1收到可信报告后通过裁决服务器公钥进行验签，确认可信报告的完整性，如果外部终端4可信，则可信传输装置1的TPCM随机生成种子数，并使用随机种子数生成会话密钥，将会话密钥使用外部终端4的公钥加密生成密文，并使用私钥对密文签名；将密文和可信报告发送给外部终端4；如果外部终端4不可信，则拒绝文件传输请求；

外部终端4收到密文和可信报告后，首先通过裁决服务器公钥对可信报告进行验签，确认可信报告的完整性；如果可信安全传输装置可信，则对收到密文后使用私钥解密，并通过可信传输装置1的公钥进行验签，以保证会话密钥的完整性；如果可信传输装置1不可信，则拒绝文件传输请求。

本实施例给出了双向身份验证的一种技术方案。双向身份验证主要是通过进行“外部终端-可信传输装置-裁决服务器”、“裁决服务器-可信传输装置-外部终端”的信息交互实现，在确保可信传输装置1和外部终端4均可信的情况下，建立起由外部终端4经可信传输装置1到接收服务器2的安全可信的数据通信通道。上面已给出了实现双向身份验证的非常详细的技术方案，这里不再展开说明。

作为一可选实施例，所述外部终端4的数量为多个，通过交换机与可信传输装置1联接。

本实施例给出了外部终端4的数量为多个时外部终端4与可信传输装置1的联接方案。本实施例采取的技术方案是设置一个交换机，交换机的多个输入端分别与多个外部终端4相连，一个输出端与可信传输装置1联接，通过交换机使可信传输装置1每次只接收一个外部终端4发送的数据。

作为一可选实施例，所述可信传输装置1向接收服务器2传送明文数据文件。

本实施例给出了可信传输装置1向接收服务器2传送数据文件的形式。在本实施例中，由于可信传输装置1与接收服务器2之间是内网连接，接收服务器2的IP是不可见的，因此可信传输装置1可以向接收服务器2直接传送不加密的数据文件，即明文发送。

图3为本发明实施例一种应用所述系统进行数据传输的方法的流程图，所述方法包括以下步骤：

步骤101，外部终端4向可信传输装置1发送文件传输请求；

步骤102，可信传输装置1通过与外部终端4、裁决服务器3交互，实现外部终端4与可信传输装置1之间的双向身份验证；

步骤103，如果双方均通过验证，外部终端4对文件进行加密传输，可信传输装置1对收到的文件解密，并将解密后的文件发送至接收服务器2；

步骤104，如果任意一方未通过验证，拒绝外部终端4的文件传输请求。

本实施例的方法，与图1所示系统实施例的技术方案相比，其实现原理和技术效果类似，此处不再赘述。后面的实施例也是如此，均不再展开说明。

作为一可选实施例，外部终端4通过插入USB接口的TCM卡向可信传输装置1传送数据。

作为一可选实施例，所述可信传输装置1主要由可信平台控制模块TPCM、CPU和存储器组成，加电后，TPCM对可信传输装置1的BIOS进行度量，如果度量结果错误进行报警；如果度量结果正确，发送控制信号至控制开关启动CPU。

作为一可选实施例，所述双向身份验证方法包括：

外部终端4向可信传输装置1发送文件传输请求、外部终端证书及外部终端ID；

可信传输装置1从外部终端证书中提取外部终端公钥，并向裁决服务器3发送身份认证请求；

裁决服务器3收到身份认证请求后，返回裁决服务器证书；

可信传输装置1从收到的裁决服务器证书中提取裁决服务器公钥，将外部终端证书、外部终端ID、可信传输装置证书、可信传输装置ID发送至裁决服务器3进行认证；同时将裁决服务器证书和可信传输装置证书发送给外部终端4；

外部终端4从收到的裁决服务器证书和可信传输装置证书分别提取裁决服务器公钥和可信传输装置公钥；

裁决服务器3收到可信传输装置1发送的认证信息后，分别将外部终端4和可信传输装置1的认证信息与可信基准库中的认证信息进行比对，并生成可信报告；裁决服务器3用私钥对可信报告签名后返回给可信传输装置1；

可信传输装置1收到可信报告后通过裁决服务器公钥进行验签，确认可信报告的完整性，如果外部终端4可信，则可信传输装置1的TPCM随机生成种子数，并使用随机种子数生成会话密钥，将会话密钥使用外部终端4的公钥加密生成密文，并使用私钥对密文签名；将密文和可信报告发送给外部终端4；如果外部终端4不可信，则拒绝文件传输请求；

外部终端4收到密文和可信报告后，首先通过裁决服务器公钥对可信报告进行验签，确认可信报告的完整性；如果可信安全传输装置可信，则对收到密文后使用私钥解密，并通过可信传输装置1的公钥进行验签，以保证会话密钥的完整性；如果可信传输装置1不可信，则拒绝文件传输请求。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种可信数据传输系统，其特征在于，包括：可信传输装置，通过内网与可信传输装置联接的接收服务器，通过外网与可信传输装置联接的裁决服务器和外部终端，可信传输装置用于当收到外部终端的文件传输请求时，通过与外部终端、裁决服务器交互实现外部终端与可信传输装置之间的双向身份验证，如果双方均通过验证，外部终端对文件进行加密传输，可信传输装置对收到的文件解密，并将解密后的文件发送至接收服务器；否则，拒绝外部终端的文件传输请求。

2.根据权利要求1所述的可信数据传输系统，其特征在于，外部终端通过插入USB接口的TCM卡向可信传输装置传送数据。

3.根据权利要求1所述的可信数据传输系统，其特征在于，所述可信传输装置主要由可信平台控制模块TPCM、CPU和存储器组成，加电后，TPCM对可信传输装置的BIOS进行度量，如果度量结果错误进行报警；如果度量结果正确，发送控制信号至控制开关启动CPU。

4.根据权利要求1所述的可信数据传输系统，其特征在于，所述双向身份验证方法包括：

外部终端向可信传输装置发送文件传输请求、外部终端证书及外部终端ID；

可信传输装置从外部终端证书中提取外部终端公钥，并向裁决服务器发送身份认证请求；

裁决服务器收到身份认证请求后，返回裁决服务器证书；

可信传输装置从收到的裁决服务器证书中提取裁决服务器公钥，将外部终端证书、外部终端ID、可信传输装置证书、可信传输装置ID发送至裁决服务器进行认证；同时将裁决服务器证书和可信传输装置证书发送给外部终端；

外部终端从收到的裁决服务器证书和可信传输装置证书分别提取裁决服务器公钥和可信传输装置公钥；

裁决服务器收到可信传输装置发送的认证信息后，分别将外部终端和可信传输装置的认证信息与可信基准库中的认证信息进行比对，并生成可信报告；裁决服务器用私钥对可信报告签名后返回给可信传输装置；

可信传输装置收到可信报告后通过裁决服务器公钥进行验签，确认可信报告的完整性，如果外部终端可信，则可信传输装置的TPCM随机生成种子数，并使用随机种子数生成会话密钥，将会话密钥使用外部终端的公钥加密生成密文，并使用私钥对密文签名；将密文和可信报告发送给外部终端；如果外部终端不可信，则拒绝文件传输请求；

外部终端收到密文和可信报告后，首先通过裁决服务器公钥对可信报告进行验签，确认可信报告的完整性；如果可信安全传输装置可信，则对收到密文后使用私钥解密，并通过可信传输装置的公钥进行验签，以保证会话密钥的完整性；如果可信传输装置不可信，则拒绝文件传输请求。

5.根据权利要求1所述的可信数据传输系统，其特征在于，所述外部终端的数量为多个，通过交换机与可信传输装置联接。

6.根据权利要求1所述的可信数据传输系统，其特征在于，所述可信传输装置向接收服务器传送明文数据文件。

7.一种应用所述系统进行可信数据传输的方法，其特征在于，包括以下步骤：

外部终端向可信传输装置发送文件传输请求；

可信传输装置通过与外部终端、裁决服务器交互，实现外部终端与可信传输装置之间的双向身份验证；

如果双方均通过验证，外部终端对文件进行加密传输，可信传输装置对收到的文件解密，并将解密后的文件发送至接收服务器；

如果任意一方未通过验证，拒绝外部终端的文件传输请求。

8.根据权利要求7所述的方法，其特征在于，外部终端通过插入USB接口的TCM卡向可信传输装置传送数据。

9.根据权利要求7所述的方法，其特征在于，所述可信传输装置主要由可信平台控制模块TPCM、CPU和存储器组成，加电后，TPCM对可信传输装置的BIOS进行度量，如果度量结果错误进行报警；如果度量结果正确，发送控制信号至控制开关启动CPU。

10.根据权利要求7所述的方法，其特征在于，所述双向身份验证方法包括：

外部终端向可信传输装置发送文件传输请求、外部终端证书及外部终端ID；

可信传输装置从外部终端证书中提取外部终端公钥，并向裁决服务器发送身份认证请求；

裁决服务器收到身份认证请求后，返回裁决服务器证书；

可信传输装置从收到的裁决服务器证书中提取裁决服务器公钥，将外部终端证书、外部终端ID、可信传输装置证书、可信传输装置ID发送至裁决服务器进行认证；同时将裁决服务器证书和可信传输装置证书发送给外部终端；

外部终端从收到的裁决服务器证书和可信传输装置证书分别提取裁决服务器公钥和可信传输装置公钥；

裁决服务器收到可信传输装置发送的认证信息后，分别将外部终端和可信传输装置的认证信息与可信基准库中的认证信息进行比对，并生成可信报告；裁决服务器用私钥对可信报告签名后返回给可信传输装置；

可信传输装置收到可信报告后通过裁决服务器公钥进行验签，确认可信报告的完整性，如果外部终端可信，则可信传输装置的TPCM随机生成种子数，并使用随机种子数生成会话密钥，将会话密钥使用外部终端的公钥加密生成密文，并使用私钥对密文签名；将密文和可信报告发送给外部终端；如果外部终端不可信，则拒绝文件传输请求；

外部终端收到密文和可信报告后，首先通过裁决服务器公钥对可信报告进行验签，确认可信报告的完整性；如果可信安全传输装置可信，则对收到密文后使用私钥解密，并通过可信传输装置的公钥进行验签，以保证会话密钥的完整性；如果可信传输装置不可信，则拒绝文件传输请求。

Images