CN115412252A - 一种数据传输方法、传输发起端及传输接收端 - Google Patents
一种数据传输方法、传输发起端及传输接收端 Download PDFInfo
- Publication number
- CN115412252A CN115412252A CN202210795295.0A CN202210795295A CN115412252A CN 115412252 A CN115412252 A CN 115412252A CN 202210795295 A CN202210795295 A CN 202210795295A CN 115412252 A CN115412252 A CN 115412252A
- Authority
- CN
- China
- Prior art keywords
- transmission
- receiving end
- receiving
- signature
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Abstract
本发明提供一种数据传输方法、传输发起端及传输接收端,方法应用于传输发起端,包括:获取预设的发起端标识,并利用由发起端标识生成的发起端私钥对发起端标识进行签名得到发起端签名;将发起端标识和发起端签名发送至传输接收端,并接收传输接收端返回的接收端标识和接收端签名;在利用由接收端标识生成的接收端公钥确定接收端签名有效时生成临时会话密钥,并利用接收端公钥加密临时会话密钥得到加密信息;将加密信息发送至传输接收端,以使传输接收端在利用发起端标识确定发起端签名有效时利用接收端标识生成的接收端私钥解密加密信息,并利用得到的临时会话密钥与传输发起端进行数据传输;可采用标识机制降低安全传输协议的复杂度。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种数据传输方法、传输发起端及 传输接收端。
背景技术
为保证通讯双方间数据传输的安全性,常采用数据安全传输协议对通信 数据进行安全防护。相关技术中,常用的数据安全传输协议包括国密IPSec协 议(InternetProtocol Security,互联网安全协议)和国密SSL协议(Secure Sockets Layer,安全套接字协议)。其中,国密IPSec协议在实际使用的过程中,通常 由特殊的网关产品实现,存在一定的使用局限性;同时受制于国密IPSec协议 自身的限制,该协议在面对点对点的网络环境时,基本无法使用。而国密SSL 协议在使用时需配合SM2证书(SM2,国密椭圆曲线公钥密码算法)使用,这 增加了国密SSL协议的部署困难度,再加上该协议本身所使用算法的复杂性, 导致其在嵌入式设备中的使用十分困难,尤其在工控领域,部署国密SSL协议 会为已有设备和网络带来极其繁琐和复杂的升级环节。
发明内容
本发明的目的是提供一种数据传输方法、传输发起端及传输接收端,可 采用设备标识对数据安全传输协议进行简化,能够有效降低数据安全传输协 议的复杂度及部署限制。
为解决上述技术问题,本发明提供一种数据传输方法,应用于传输发起 端,所述方法包括:
获取预设的发起端标识,并利用由所述发起端标识生成的发起端私钥对 所述发起端标识进行签名得到发起端签名;
将所述发起端标识和所述发起端签名发送至所述传输接收端,并接收所 述传输接收端返回的接收端标识和接收端签名;
在利用由所述接收端标识生成的接收端公钥确定所述接收端签名有效时 生成临时会话密钥,并利用所述接收端公钥加密所述临时会话密钥得到加密 信息;
将所述加密信息发送至所述传输接收端,以使所述传输接收端在利用发 起端标识确定发起端签名有效时利用所述接收端标识生成的接收端私钥解密 所述加密信息,并利用得到的临时会话密钥与所述传输发起端进行数据传输。
优选地,在利用由所述发起端标识生成的发起端私钥对所述发起端标识 进行签名得到发起端签名之前,还包括:
向标识服务器获取公钥矩阵;
将所述发起端标识发送至所述标识服务器,以使所述标识服务器利用私 钥矩阵和所述发起端标识生成发起端私钥,并向所述传输发起端返回所述发 起端私钥;所述私钥矩阵和所述公钥矩阵用于生成一组非对称密钥对;
相应的,在利用由所述接收端标识生成的接收端公钥确定所述接收端签 名有效之前,还包括:
利用所述接收端标识和所述公钥矩阵生成所述接收端公钥,并利用所述 接收端公钥确定所述接收端签名是否有效。
优选地,在利用得到的临时会话密钥与所述传输发起端进行数据传输之 后,包括:
在本轮数据传输结束时,与所述传输接收端协商更新所述临时会话密钥, 并利用更新后的临时会话密钥与所述传输接收端进行下一轮数据传输。
优选地,所述利用所述接收端公钥加密所述临时会话密钥得到加密信息, 包括:
利用所述接收端公钥加密所述临时会话密钥得到加密密钥;
对所述加密密钥进行签名得到密钥签名值,并将所述加密密钥和所述密 钥签名值整合至所述加密信息中,以使所述传输接收端在验证所述密钥签名 值有效时,进入所述在利用发起端标识确定发起端签名有效时利用所述接收 端标识生成的接收端私钥解密所述加密信息的步骤。
本发明还提供一种数据传输方法,应用于传输接收端,所述方法包括:
获取预设的接收端标识,并利用由所述接收端标识生成的接收端私钥对 所述接收端标识进行签名得到接收端签名;
将所述接收端标识和所述接收端签名发送至所述传输发起端,并接收所 述传输发起端返回的发起端标识和发起端签名;
在利用由所述发送端标识生成的发送端公钥确定所述发送端签名有效 时,接收所述传输发起端在利用接收端标识确定所述接收端签名有效时返回 的加密信息;所述加密信息由所述传输发起端利用接收端标识生成的接收端 公钥对临时会话密钥加密得到;
利用由所述接收端标识生成的接收端私钥解密所述加密信息,并利用得 到的临时会话密钥与所述传输发起端进行数据传输。
优选地,在利用由所述接收端标识生成的接收端私钥对所述接收端标识 进行签名得到接收端签名之前,还包括:
向标识服务器获取公钥矩阵;
将所述接收端标识发送至所述标识服务器,以使所述标识服务器利用私 钥矩阵和所述接收端标识生成接收端私钥,并向所述传输接收端返回所述接 收端私钥;所述私钥矩阵和所述公钥矩阵用于生成一组非对称密钥对;
相应的,在利用由所述发送端标识生成的发送端公钥确定所述发送端签 名有效之前,还包括:
利用所述发送端标识和所述公钥矩阵生成所述发送端公钥,并利用所述 发送端公钥确定所述发送端签名是否有效。
优选地,在利用得到的临时会话密钥与所述传输发起端进行数据传输之 后,还包括:
在本轮数据传输结束时,与所述传输发起端协商更新所述临时会话密钥, 并利用更新后的临时会话密钥与所述传输发起端进行下一轮数据传输。
优选地,所述加密信息中包含有加密的临时会话密钥对应的密钥签名值, 在利用由所述接收端标识生成的接收端私钥解密所述加密信息之前,还包括:
在验证所述密钥签名值有效时,进入所述利用由所述接收端标识生成的 接收端私钥解密所述加密信息的步骤。
本发明还提供一种传输发起端,包括:
签名模块,用于获取预设的发起端标识,并利用由所述发起端标识生成 的发起端私钥对所述发起端标识进行签名得到发起端签名;
身份信息交换模块,用于将所述发起端标识和所述发起端签名发送至所 述传输接收端,并接收所述传输接收端返回的接收端标识和接收端签名;
会话密钥生成模块,用于在利用由所述接收端标识生成的接收端公钥确 定所述接收端签名有效时生成临时会话密钥,并利用所述接收端公钥加密所 述临时会话密钥得到加密信息;
数据传输模块,用于将所述加密信息发送至所述传输接收端,以使所述 传输接收端在利用发起端标识确定发起端签名有效时利用所述接收端标识生 成的接收端私钥解密所述加密信息,并利用得到的临时会话密钥与所述传输 发起端进行数据传输。
本发明还提供一种传输接收端,包括:
签名模块,用于获取预设的接收端标识,并利用由所述接收端标识生成 的接收端私钥对所述接收端标识进行签名得到接收端签名;
身份信息交换模块,用于将所述接收端标识和所述接收端签名发送至所 述传输发起端,并接收所述传输发起端返回的发起端标识和发起端签名;
会话密钥接收模块,用于在利用由所述发送端标识生成的发送端公钥确 定所述发送端签名有效时,接收所述传输发起端在利用接收端标识确定所述 接收端签名有效时返回的加密信息;所述加密信息由所述传输发起端利用接 收端标识生成的接收端公钥对临时会话密钥加密得到;
数据传输模块,用于利用由所述接收端标识生成的接收端私钥解密所述 加密信息,并利用得到的临时会话密钥与所述传输发起端进行数据传输。
本发明提供一种数据传输方法,应用于传输发起端,所述方法包括:获 取预设的发起端标识,并利用由所述发起端标识生成的发起端私钥对所述发 起端标识进行签名得到发起端签名;将所述发起端标识和所述发起端签名发 送至所述传输接收端,并接收所述传输接收端返回的接收端标识和接收端签 名;在利用由所述接收端标识生成的接收端公钥确定所述接收端签名有效时 生成临时会话密钥,并利用所述接收端公钥加密所述临时会话密钥得到加密 信息;将所述加密信息发送至所述传输接收端,以使所述传输接收端在利用 发起端标识确定发起端签名有效时利用所述接收端标识生成的接收端私钥解 密所述加密信息,并利用得到的临时会话密钥与所述传输发起端进行数据传 输。
可见,在本发明中,传输发起端首先会利用预设的发起端标识生成发起 端签名,并利用发起端标识和发起端签名与传输接收端交换接收端标识和接 收端签名;随后,发起端将利用由接收端标识生成的接收端公钥验证接收端 签名的有效性,而接收端也会执行相同的步骤来验证发起端签名的有效性; 在确定接收端签名有效后,发起端将可自主生成临时会话密钥,并利用由接 收端公钥对临时会话密钥进行加密并返回至接收端,以使后者在确定发起端 签名有效时,利用由接收端标签生成的接收端私钥解密得到临时会话密钥,并利用该密钥与传输发起端进行加密数据传输。显然,本发明可采用标识信 息替代证书信息来实现传输发起端和传输接收端的双向身份确认,能够有效 降低数据安全传输协议的部署限制;且,本发明还可利用由标识信息所生成 的公钥和密钥实现对临时会话密钥的加密传输,以确保临时会话密钥的安全 交换,进而保障数据安全传输协议的可靠性。本发明还提供一种应用于传输 接收端的数据传输方法,以及传输发起端、传输接收端、电子设备及计算机 可读存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不 付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种数据传输方法的流程图;
图2为本发明实施例所提供的另一种数据传输方法的流程图;
图3为本发明实施例所提供的一种传输发起端的结构框图;
图4为本发明实施例所提供的一种传输接收端的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发 明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述, 显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获 得的所有其他实施例,都属于本发明保护的范围。
相关技术中,常用的数据安全传输协议包括国密IPSec协议和国密SSL协 议。其中国密IPSec协议在实际使用的过程中,通常由特殊的网关产品实现, 存在一定的使用局限性;同时受制于国密IPSec协议自身的限制,该协议在面 对点对点的网络环境时,基本无法使用。而国密SSL协议在使用时需配合SM2 证书使用,这增加了国密SSL协议的部署困难度,再加上该协议本身所使用算 法的复杂性,导致其在嵌入式设备中的使用十分困难,尤其在工控领域,部 署国密SSL协议会为已有设备和网络带来极其繁琐和复杂的升级环节。有鉴于 此,本发明可提供一种数据传输方法,可采用设备标识对数据安全传输协议 进行简化,能够有效降低数据安全传输协议的复杂度及部署限制。请参考图1, 图1为本发明实施例所提供的一种数据传输方法的流程图,该方法应用于传输 发起端,可以包括:
S101、获取预设的发起端标识,并利用由发起端标识生成的发起端私钥 对发起端标识进行签名得到发起端签名。
在本发明实施例中,发起端标识为传输发起端的唯一设备标识。为确保 传输接收方能够利用该标识确认传输发起端的身份,除了将发起端标识发送 给接收方之外,传输发起端还需要利用私钥对发起端标识进行签名,并将得 到的发送端签名也一同发送给传输接收端;而接收方则可利用与私钥相对应 的公钥对发起端签名进行验证,以确认传输发起端的真实性。值得注意的是, 此处使用的发起端私钥是利用发起端标识推导生成的,那么相应的,与发起 端私钥相对应的公钥也是利用发起端标识推导而成的。换而言之,只要传输 接收端在接收到发送端标识和发送端签名时,利用发送端标识推导出发送端 公钥,即可利用该公钥验证发送端签名的有效性,进而便能够确认传输发起 端的真实性。需要说明的是,本发明实施例并不限定利用发起端标识推导上 述发起端公钥和发起端私钥的具体方式,例如可采用ECC密钥对(Elliptic Curve Cryptography,椭圆曲线密码学)的生成方法,即设置由公钥矩阵和私 钥矩阵组成的一组密钥矩阵,若将相同的标识信息输入至公钥矩阵和私钥矩 阵,则可生成一组包含公钥和私钥的非对称密钥对。进而,只要在传输建立之前,将同一公钥矩阵下发至通信双方,即可配合标识信息实现通信双方的 身份验证。需要说明的是,本发明实施例并不限定公钥矩阵和私钥矩阵的生 成方式,可参考ECC密钥对的相关技术。本发明实施例也不限定发起端标识 的具体形式,例如可为字母与数字的规律组合,可根据实际应用需求进行设 定。本发明实施例也不限定签名的具体方式,例如可采用SM2算法(国密椭 圆曲线公钥密码算法)进行签名。
进一步,为方便管理并提升密钥的安全性,可增设标识服务器,用于存 放公钥矩阵和私钥矩阵。通信双方在需要公钥矩阵时,可向标识服务器获取; 而为了防止密钥泄露,私钥矩阵可不发送至通信各方,而仅存放在标识服务 器中。当某一方需要使用私钥时,便将自身的标识信息发送给标识服务器以, 而后者将会利用私钥矩阵和接收到的标识信息推导私钥,并返回给请求方。
在一种可能的情况中,在利用由发起端标识生成的发起端私钥对发起端 标识进行签名得到发起端签名之前,还可以包括:
步骤11:向标识服务器获取公钥矩阵;
步骤12:将发起端标识发送至标识服务器,以使标识服务器利用私钥矩 阵和发起端标识生成发起端私钥,并向传输发起端返回发起端私钥;私钥矩 阵和公钥矩阵用于生成一组非对称密钥对。
可以理解的是,传输接收端可采用如步骤11~步骤12的方式获取公钥矩 阵和对应的接收端私钥。
S102、将发起端标识和发起端签名发送至传输接收端,并接收传输接收 端返回的接收端标识和接收端签名。
在得到发起端标识和签名之后,传输发起端可将其发送给传输接收端, 以与后者交换接收端标识和接收端签名。可以理解的是,接收端签名也是采 用由接收端标识生成的接收端公钥对接收端标识签名得到的。
S103、在利用由接收端标识生成的接收端公钥确定接收端签名有效时生 成临时会话密钥,并利用接收端公钥加密临时会话密钥得到加密信息。
根据上述描述,由于在与传输接收端交换信息之前,传输发起端已与标 识服务器获取了公钥矩阵,因此便可利用该矩阵和接收端标识生成接收端公 钥,并利用该公钥对接收端签名进行验证。需要说明的是,本发明实施例并 不限定签名验证的具体方式,可参考签名验证的相关技术。另外,可以理解 的是,传输接收端也会采用相同方式验证传输发起端的签名,即采用发起端 标识和公钥矩阵生成发起端公钥,并利用发起端公钥确定发起端签名是否有 效。
在一种可能的情况中,在利用由接收端标识生成的接收端公钥确定接收 端签名有效之前,还可以包括:
步骤21:利用接收端标识和公钥矩阵生成接收端公钥,并利用接收端公 钥确定接收端签名是否有效。
进一步,在确定接收端签名有效之后,传输发起端将会自主生成一个临 时会话密钥,并利用接收端公钥加密临时会话密钥,其中临时会话密钥用于 加密通信双方具体传输的业务数据,而采用接收端公钥加密临时会话密钥, 可确保仅有传输接收端才能够利用接收端私钥解密临时会话密钥,进而能够 确保会话密钥的传输安全。当然,为进一步提升临时会话密钥的可靠性,在 完成对该密钥的加密后,也可进一步对得到的加密密钥进行签名得到密钥签 名值,并将加密密钥和密钥签名值一同添加至加密信息中并返回给传输接收端,以便后者首先验证密钥签名值的有效性,并在确定有效之后再解密加密 密钥。需要说明的是,本发明实施例并不限定具体的签名算法,可根据实际 应用需求进行设定。
在一种可能的情况中,利用接收端公钥加密临时会话密钥得到加密信息, 可以包括:
步骤31:利用接收端公钥加密临时会话密钥得到加密密钥;
步骤32:对加密密钥进行签名得到密钥签名值,并将加密密钥和密钥签 名值整合至加密信息中,以使传输接收端在验证密钥签名值有效时,进入在 利用发起端标识确定发起端签名有效时利用接收端标识生成的接收端私钥解 密加密信息的步骤。
S104、将加密信息发送至传输接收端,以使传输接收端在利用发起端标 识确定发起端签名有效时利用接收端标识生成的接收端私钥解密加密信息, 并利用得到的临时会话密钥与传输发起端进行数据传输。
在解密得到临时会话密钥之后,通信双端便可利用该会话密钥开展数据 传输。当然,为进一步提升会话安全性,通信双方也可适时更新临时会话密 钥,例如可依据流量大小、周期时间或网络连接状态对临时会话密钥进行更 新。优选地,可在每轮传输结束后,对临时会话密钥进行更新,并利用更新 后的临时会话密钥进行下轮数据传输。
在一种可能的情况中,在利用得到的临时会话密钥与传输发起端进行数 据传输之后,可以包括:
步骤41:在本轮数据传输结束时,与传输接收端协商更新临时会话密钥, 并利用更新后的临时会话密钥与传输接收端进行下一轮数据传输。
需要说明的是,本发明实施例并不限定临时会话密钥协商的具体方式, 例如仍可由传输发起端自主生成更新后的临时会话密钥;当然,传输发起端 和传输接收端也可通过交换密钥协商参数的方式协商临时会话密钥,可根据 实际应用需求进行设定。
基于上述实施例,在本发明中,传输发起端首先会利用预设的发起端标 识生成发起端签名,并利用发起端标识和发起端签名与传输接收端交换接收 端标识和接收端签名;随后,发起端将利用由接收端标识生成的接收端公钥 验证接收端签名的有效性,而接收端也会执行相同的步骤来验证发起端签名 的有效性;在确定接收端签名有效后,发起端将可自主生成临时会话密钥, 并利用由接收端公钥对临时会话密钥进行加密并返回至接收端,以使后者在 确定发起端签名有效时,利用由接收端标签生成的接收端私钥解密得到临时会话密钥,并利用该密钥与传输发起端进行加密数据传输。显然,本发明可 采用标识信息替代证书信息来实现传输发起端和传输接收端的双向身份确 认,能够有效降低数据安全传输协议的部署限制;且,本发明还可利用由标 识信息所生成的公钥和密钥实现对临时会话密钥的加密传输,以确保临时会 话密钥的安全交换,进而保障数据安全传输协议的可靠性。
请参考图2,图2为本发明实施例所提供的另一种数据传输方法的流程图, 该方法应用于传输接收端,可以包括:
S201、获取预设的接收端标识,并利用由接收端标识生成的接收端私钥 对接收端标识进行签名得到接收端签名。
与发送端标识相同,接收端标识也是可唯一标记接收端的身份信息,其 可以为字母与数字的规律组合。为便于传输发起端核验接收端标识的真实性, 接收端会利用由接收端标识生成的接收端私钥对接收端标识进行签名,以使 传输发起端利用接收端公钥对接收端签名进行验证。根据上述实施例的描述, 接收端公钥和接收端私钥可使用公钥矩阵、私钥矩阵和接收端标识推导得到, 公钥矩阵和私钥矩阵用于生成一组非对称密钥对,其中公钥矩阵可提前下发 至传输发起端和传输接收端,以便通信双方进行公钥推导;而私钥矩阵则由 标识服务器统一管理,传输接收端在需要接收端私钥时,可将接收端标识发 送给标识服务器,而后者则可使用私钥矩阵和接收端标识生成接收端私钥, 并返回给传输接收端。需要说明的是,公钥矩阵、私钥矩阵和签名的具体方 式可参考上述实施例中的相关描述,此处不再赘述。
在一种可能的情况中,在利用由接收端标识生成的接收端私钥对接收端 标识进行签名得到接收端签名之前,还可以包括:
步骤51:向标识服务器获取公钥矩阵;
步骤52:将接收端标识发送至标识服务器,以使标识服务器利用私钥矩 阵和接收端标识生成接收端私钥,并向传输接收端返回接收端私钥;私钥矩 阵和公钥矩阵用于生成一组非对称密钥对。
S202、将接收端标识和接收端签名发送至传输发起端,并接收传输发起 端返回的发起端标识和发起端签名。
在得到接收端标识和签名之后,传输接收端可将其发送给传输发起端, 以与后者交换发起端标识和发起端签名。
S203、在利用由发送端标识生成的发送端公钥确定发送端签名有效时, 接收传输发起端在利用接收端标识确定接收端签名有效时返回的加密信息; 加密信息由传输发起端利用接收端标识生成的接收端公钥对临时会话密钥加 密得到。
由于提前获取到了公钥矩阵,因此传输接收端可首先利用发起端标识和 公钥矩阵推导发起端公钥,进而利用发起端公钥验证发起端签名是否有效。
在一种可能的情况中,在利用由发送端标识生成的发送端公钥确定发送 端签名有效之前,还可以包括:
步骤61:利用发送端标识和公钥矩阵生成发送端公钥,并利用发送端公 钥确定发送端签名是否有效。
S204、利用由接收端标识生成的接收端私钥解密加密信息,并利用得到 的临时会话密钥与传输发起端进行数据传输。
在接收到传输发送端发送的加密信息时,传输接收端可利用接收端私钥 解密加密信息,进而利用得到的临时会话密钥与传输发起端进行数据传输。 当然,为了提升临时会话密钥的可靠性,传输发起端也可对加密后的临时会 话密钥进行签名,并将得到的密钥签名值添加至加密信息中。此时,传输接 收端可先验证密钥签名值的有效性,并在确定有效之后在利用接收端私钥解 密加密信息。需要说明的是,本发明实施例并不限定签名及签名验证的具体 方式,可参考相关技术。
在一种可能的情况中,加密信息中包含有加密的临时会话密钥对应的密 钥签名值,在利用由接收端标识生成的接收端私钥解密加密信息之前,还可 以包括:
步骤71:在验证密钥签名值有效时,进入利用由接收端标识生成的接收 端私钥解密加密信息的步骤。
进一步,为提升会话安全性,通信双方也可适时更新临时会话密钥,例 如可依据流量大小、周期时间或网络连接状态对临时会话密钥进行更新。优 选地,可在每轮传输结束后,对临时会话密钥进行更新,并利用更新后的临 时会话密钥进行下轮数据传输。
在一种可能的情况中,在利用得到的临时会话密钥与传输发起端进行数 据传输之后,还可以包括:
步骤81:在本轮数据传输结束时,与传输发起端协商更新临时会话密钥, 并利用更新后的临时会话密钥与传输发起端进行下一轮数据传输。
基于上述实施例,本发明可采用标识信息替代证书信息来实现传输发起 端和传输接收端的双向身份确认,能够有效降低数据安全传输协议的部署限 制;且,本发明还可利用由标识信息所生成的公钥和密钥实现对临时会话密 钥的加密传输,以确保临时会话密钥的安全交换,进而保障数据安全传输协 议的可靠性。
下面对本发明实施例提供的传输发起端、传输接收端、电子设备及计算 机可读存储介质进行介绍,下文描述的传输发起端、传输接收端、电子设备 及计算机可读存储介质与上文描述的数据传输方法可相互对应参照。
请参考图3,图3为本发明实施例所提供的一种传输发起端的结构框图, 该装置可以包括:
签名模块301,用于获取预设的发起端标识,并利用由发起端标识生成的 发起端私钥对发起端标识进行签名得到发起端签名;
身份信息交换模块302,用于将发起端标识和发起端签名发送至传输接收 端,并接收传输接收端返回的接收端标识和接收端签名;
会话密钥生成模块303,用于在利用由接收端标识生成的接收端公钥确定 接收端签名有效时生成临时会话密钥,并利用接收端公钥加密临时会话密钥 得到加密信息;
数据传输模块304,用于将加密信息发送至传输接收端,以使传输接收端 在利用发起端标识确定发起端签名有效时利用接收端标识生成的接收端私钥 解密加密信息,并利用得到的临时会话密钥与传输发起端进行数据传输。
优选地,该装置还可以包括:
公钥矩阵获取模块,用于向标识服务器获取公钥矩阵;
私钥获取模块,用于将发起端标识发送至标识服务器,以使标识服务器 利用私钥矩阵和发起端标识生成发起端私钥,并向传输发起端返回发起端私 钥;私钥矩阵和公钥矩阵用于生成一组非对称密钥对;
相应的,该装置还可以包括:
公钥生成模块,用于利用接收端标识和公钥矩阵生成接收端公钥,并利 用接收端公钥确定接收端签名是否有效。
优选地,该装置还可以包括:
会话密钥更新模块,用于在本轮数据传输结束时,与传输接收端协商更 新临时会话密钥,并利用更新后的临时会话密钥与传输接收端进行下一轮数 据传输。
优选地,会话密钥生成模块303,包括:
加密子模块,用于利用接收端公钥加密临时会话密钥得到加密密钥;
签名子模块,用于对加密密钥进行签名得到密钥签名值,并将加密密钥 和密钥签名值整合至加密信息中,以使传输接收端在验证密钥签名值有效时, 进入在利用发起端标识确定发起端签名有效时利用接收端标识生成的接收端 私钥解密加密信息的步骤。
请参考图4,图4为本发明实施例所提供的一种传输接收端的结构框图, 该装置可以包括:
签名模块401,用于获取预设的接收端标识,并利用由接收端标识生成的 接收端私钥对接收端标识进行签名得到接收端签名;
身份信息交换模块402,用于将接收端标识和接收端签名发送至传输发起 端,并接收传输发起端返回的发起端标识和发起端签名;
会话密钥接收模块403,用于在利用由发送端标识生成的发送端公钥确定 发送端签名有效时,接收传输发起端在利用接收端标识确定接收端签名有效 时返回的加密信息;加密信息由传输发起端利用接收端标识生成的接收端公 钥对临时会话密钥加密得到;
数据传输模块404,用于利用由接收端标识生成的接收端私钥解密加密信 息,并利用得到的临时会话密钥与传输发起端进行数据传输。
优选地,该装置还可以包括:
公钥矩阵获取模块,用于向标识服务器获取公钥矩阵;
私钥获取模块,用于将接收端标识发送至标识服务器,以使标识服务器 利用私钥矩阵和接收端标识生成接收端私钥,并向传输接收端返回接收端私 钥;私钥矩阵和公钥矩阵用于生成一组非对称密钥对;
相应的,该装置还可以包括:
公钥生成模块,用于利用发送端标识和公钥矩阵生成发送端公钥,并利 用发送端公钥确定发送端签名是否有效。
优选地,该装置还可以包括:
会话密钥更新模块,用于在本轮数据传输结束时,与传输发起端协商更 新临时会话密钥,并利用更新后的临时会话密钥与传输发起端进行下一轮数 据传输。
优选地,加密信息中包含有加密的临时会话密钥对应的密钥签名值,数 据传输模块404,还可以包括:
签名验证子模块,用于在验证密钥签名值有效时,进入利用由接收端标 识生成的接收端私钥解密加密信息的步骤。
本发明实施例还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的数据传输方法的步骤。
由于电子设备部分的实施例与数据传输方法部分的实施例相互对应,因 此电子设备部分的实施例请参见数据传输方法部分的实施例的描述,这里不 再赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上 存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的数据 传输方法的步骤。
由于计算机可读存储介质部分的实施例与数据传输方法部分的实施例相 互对应,因此存储介质部分的实施例请参见数据传输方法部分的实施例的描 述,这里不再赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是 与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对 于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的 比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示 例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现, 为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性 地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行, 取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定 的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本 发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、 处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存 储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编 程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任 意其它形式的存储介质中。
以上对本发明所提供的一种数据传输方法、传输发起端及传输接收端进 行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐 述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当 指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下, 还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要 求的保护范围内。
Claims (10)
1.一种数据传输方法,其特征在于,应用于传输发起端,所述方法包括:
获取预设的发起端标识,并利用由所述发起端标识生成的发起端私钥对所述发起端标识进行签名得到发起端签名;
将所述发起端标识和所述发起端签名发送至所述传输接收端,并接收所述传输接收端返回的接收端标识和接收端签名;
在利用由所述接收端标识生成的接收端公钥确定所述接收端签名有效时生成临时会话密钥,并利用所述接收端公钥加密所述临时会话密钥得到加密信息;
将所述加密信息发送至所述传输接收端,以使所述传输接收端在利用发起端标识确定发起端签名有效时利用所述接收端标识生成的接收端私钥解密所述加密信息,并利用得到的临时会话密钥与所述传输发起端进行数据传输。
2.根据权利要求1所述的数据传输方法,其特征在于,在利用由所述发起端标识生成的发起端私钥对所述发起端标识进行签名得到发起端签名之前,还包括:
向标识服务器获取公钥矩阵;
将所述发起端标识发送至所述标识服务器,以使所述标识服务器利用私钥矩阵和所述发起端标识生成发起端私钥,并向所述传输发起端返回所述发起端私钥;所述私钥矩阵和所述公钥矩阵用于生成一组非对称密钥对;
相应的,在利用由所述接收端标识生成的接收端公钥确定所述接收端签名有效之前,还包括:
利用所述接收端标识和所述公钥矩阵生成所述接收端公钥,并利用所述接收端公钥确定所述接收端签名是否有效。
3.根据权利要求1所述的数据传输方法,其特征在于,在利用得到的临时会话密钥与所述传输发起端进行数据传输之后,包括:
在本轮数据传输结束时,与所述传输接收端协商更新所述临时会话密钥,并利用更新后的临时会话密钥与所述传输接收端进行下一轮数据传输。
4.根据权利要求1至3任一项所述的数据传输方法,其特征在于,所述利用所述接收端公钥加密所述临时会话密钥得到加密信息,包括:
利用所述接收端公钥加密所述临时会话密钥得到加密密钥;
对所述加密密钥进行签名得到密钥签名值,并将所述加密密钥和所述密钥签名值整合至所述加密信息中,以使所述传输接收端在验证所述密钥签名值有效时,进入所述在利用发起端标识确定发起端签名有效时利用所述接收端标识生成的接收端私钥解密所述加密信息的步骤。
5.一种数据传输方法,其特征在于,应用于传输接收端,所述方法包括:
获取预设的接收端标识,并利用由所述接收端标识生成的接收端私钥对所述接收端标识进行签名得到接收端签名;
将所述接收端标识和所述接收端签名发送至所述传输发起端,并接收所述传输发起端返回的发起端标识和发起端签名;
在利用由所述发送端标识生成的发送端公钥确定所述发送端签名有效时,接收所述传输发起端在利用接收端标识确定所述接收端签名有效时返回的加密信息;所述加密信息由所述传输发起端利用接收端标识生成的接收端公钥对临时会话密钥加密得到;
利用由所述接收端标识生成的接收端私钥解密所述加密信息,并利用得到的临时会话密钥与所述传输发起端进行数据传输。
6.根据权利要求5所述的数据传输方法,其特征在于,在利用由所述接收端标识生成的接收端私钥对所述接收端标识进行签名得到接收端签名之前,还包括:
向标识服务器获取公钥矩阵;
将所述接收端标识发送至所述标识服务器,以使所述标识服务器利用私钥矩阵和所述接收端标识生成接收端私钥,并向所述传输接收端返回所述接收端私钥;所述私钥矩阵和所述公钥矩阵用于生成一组非对称密钥对;
相应的,在利用由所述发送端标识生成的发送端公钥确定所述发送端签名有效之前,还包括:
利用所述发送端标识和所述公钥矩阵生成所述发送端公钥,并利用所述发送端公钥确定所述发送端签名是否有效。
7.根据权利要求5所述的数据传输方法,其特征在于,在利用得到的临时会话密钥与所述传输发起端进行数据传输之后,还包括:
在本轮数据传输结束时,与所述传输发起端协商更新所述临时会话密钥,并利用更新后的临时会话密钥与所述传输发起端进行下一轮数据传输。
8.根据权利要求5至7任一项所述的数据传输方法,其特征在于,所述加密信息中包含有加密的临时会话密钥对应的密钥签名值,在利用由所述接收端标识生成的接收端私钥解密所述加密信息之前,还包括:
在验证所述密钥签名值有效时,进入所述利用由所述接收端标识生成的接收端私钥解密所述加密信息的步骤。
9.一种传输发起端,其特征在于,包括:
签名模块,用于获取预设的发起端标识,并利用由所述发起端标识生成的发起端私钥对所述发起端标识进行签名得到发起端签名;
身份信息交换模块,用于将所述发起端标识和所述发起端签名发送至所述传输接收端,并接收所述传输接收端返回的接收端标识和接收端签名;
会话密钥生成模块,用于在利用由所述接收端标识生成的接收端公钥确定所述接收端签名有效时生成临时会话密钥,并利用所述接收端公钥加密所述临时会话密钥得到加密信息;
数据传输模块,用于将所述加密信息发送至所述传输接收端,以使所述传输接收端在利用发起端标识确定发起端签名有效时利用所述接收端标识生成的接收端私钥解密所述加密信息,并利用得到的临时会话密钥与所述传输发起端进行数据传输。
10.一种传输接收端,其特征在于,包括:
签名模块,用于获取预设的接收端标识,并利用由所述接收端标识生成的接收端私钥对所述接收端标识进行签名得到接收端签名;
身份信息交换模块,用于将所述接收端标识和所述接收端签名发送至所述传输发起端,并接收所述传输发起端返回的发起端标识和发起端签名;
会话密钥接收模块,用于在利用由所述发送端标识生成的发送端公钥确定所述发送端签名有效时,接收所述传输发起端在利用接收端标识确定所述接收端签名有效时返回的加密信息;所述加密信息由所述传输发起端利用接收端标识生成的接收端公钥对临时会话密钥加密得到;
数据传输模块,用于利用由所述接收端标识生成的接收端私钥解密所述加密信息,并利用得到的临时会话密钥与所述传输发起端进行数据传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210795295.0A CN115412252B (zh) | 2022-07-07 | 2022-07-07 | 一种数据传输方法、传输发起端及传输接收端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210795295.0A CN115412252B (zh) | 2022-07-07 | 2022-07-07 | 一种数据传输方法、传输发起端及传输接收端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115412252A true CN115412252A (zh) | 2022-11-29 |
| CN115412252B CN115412252B (zh) | 2023-05-23 |
Family
ID=84157844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210795295.0A Active CN115412252B (zh) | 2022-07-07 | 2022-07-07 | 一种数据传输方法、传输发起端及传输接收端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115412252B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120036364A1 (en) * | 2008-12-11 | 2012-02-09 | Mitsubishi Electric Corporation | Self-authentication communication device and device authentication system |
| CN104767613A (zh) * | 2014-01-02 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 签名验证方法、装置及系统 |
| CN105634742A (zh) * | 2015-12-28 | 2016-06-01 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及智能密钥设备 |
| CN113630248A (zh) * | 2021-09-15 | 2021-11-09 | 深圳市国信量子科技有限公司 | 一种会话密钥协商方法 |
| CN114417309A (zh) * | 2022-01-20 | 2022-04-29 | 数字广东网络建设有限公司 | 一种双向身份验证方法、装置、设备及存储介质 |
| CN114630290A (zh) * | 2022-04-08 | 2022-06-14 | 中国电信股份有限公司 | 语音加密通话的密钥协商方法、装置、设备及存储介质 |
-
2022
- 2022-07-07 CN CN202210795295.0A patent/CN115412252B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120036364A1 (en) * | 2008-12-11 | 2012-02-09 | Mitsubishi Electric Corporation | Self-authentication communication device and device authentication system |
| CN104767613A (zh) * | 2014-01-02 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 签名验证方法、装置及系统 |
| CN105634742A (zh) * | 2015-12-28 | 2016-06-01 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及智能密钥设备 |
| CN113630248A (zh) * | 2021-09-15 | 2021-11-09 | 深圳市国信量子科技有限公司 | 一种会话密钥协商方法 |
| CN114417309A (zh) * | 2022-01-20 | 2022-04-29 | 数字广东网络建设有限公司 | 一种双向身份验证方法、装置、设备及存储介质 |
| CN114630290A (zh) * | 2022-04-08 | 2022-06-14 | 中国电信股份有限公司 | 语音加密通话的密钥协商方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115412252B (zh) | 2023-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9621545B2 (en) | System and method for connecting client devices to a network | |
| CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
| CN110268676B (zh) | 基于身份的自认证签名方案的私有密钥计算系统和方法 | |
| CN110048849B (zh) | 一种多层保护的会话密钥协商方法 | |
| CN104618120A (zh) | 一种移动终端密钥托管数字签名方法 | |
| CN106878016A (zh) | 数据发送、接收方法及装置 | |
| CN104702611A (zh) | 一种保护安全套接层会话密钥的设备及方法 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN103763356A (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN111935712A (zh) | 一种基于NB-IoT通信的数据传输方法、系统及介质 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| KR20100050846A (ko) | 키 교환 시스템 및 방법 | |
| CN110635901B (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| CN109068321B (zh) | 协商会话密钥的方法、系统、移动终端及智能家居设备 | |
| CN113382002B (zh) | 数据请求方法、请求应答方法、数据通信系统及存储介质 | |
| CN105577377A (zh) | 带密钥协商的基于身份的认证方法和系统 | |
| CN115499250A (zh) | 一种数据加密方法及装置 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| CN114650173A (zh) | 一种加密通讯方法及系统 | |
| CN114826659A (zh) | 一种加密通讯方法及系统 | |
| CN113676448A (zh) | 一种基于对称秘钥的离线设备双向认证方法和系统 | |
| CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
| CN114826593B (zh) | 量子安全的数据传输方法及数字证书认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |