本申请涉及不使用HTTPS的数据安全传输方法及系统、客户端和服务端。方法包括:服务端在本地创建CA,并向相连的客户端颁发用户证书,用户证书用作客户端登录服务端的登录凭证;服务端在收到客户端的登录信息后,根据登录凭证分配密钥,并将密钥返回给客户端;服务端根据密钥加密或解密客户端发来的数据信息。本申请通过服务端自己创建CA,所有用户证书由该CA颁发,不需要额外付费购买第三方CA;服务端在收到登录信息后,分配密钥给客户端,这样客户端可以使用该密钥对数据信息加密(解密)操作,而服务端可以使用该密钥对客户端发送来的数据信息进行解密(加密)操作,从而,在不使用HTTPS协议进行传输时,也能安全传输数据,实现了数据传输的双向认证。
【技术实现步骤摘要】
【专利说明】不使用HTTPS的数据安全传输方法及系统、客户端和服务2.LU?而
本申请涉及广域物联网组网
,具体涉及一种数据安全传输方法和系统、及其涉及的客户端和服务端。
技术介绍
物联网是指按约定的协议,把物品与互联网连接起来,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网的典型应用之一是车辆管理系统,尤其是针对车辆卡(包括基于电子标签的IC卡)的管理系统。目前,车辆卡管理系统使用传统的三层架构方案,由数据访问层、业务逻辑层、表示层组成,如图1所示。业务逻辑层使用Webserver建立后台服务器,表示层通过访问Webserver提供的接口实现业务逻辑数据传输。在车辆卡管理系统中,终端客户的种类不唯一,不同业务对数据保密级别的要求也不一样,一些特殊的数据需要进行加密传输,传统的处理方法是使用HTTPS协议(HyperText Transfer Protocol over Secure Socket Layer,基于安全套接字层的超文本传输协议)来进行数据的安全传输控制。对于车辆卡系统,使用HTTPS协议存在以下的不足:1、服务器必须从CA (Certificate Authority,证书授权中心)申请一个用于证明服务器用途类型的证书,免费证书很少,通常需要交费;2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,认证过程复杂,单次认证过程比较漫长,一般用于银行、交易支付方面;3、使用HTTPS协议的服务端和客户端之间的所有通讯都是加密的,无法定制加密数据段,如果需要定制加密接口,则需要使用两套协议方案,一套使用HTTPS传输协议,一套使用HTTP传输协议,不便于维护。
技术实现思路
本申请提供一种适用于车辆卡管理系统的数据安全传输方法及系统,该方法和系统也可以适用于广域物联网的其他应用。根据本申请的第一方面,本申请提供一种不使用基于安全套接字层的超文本传输协议(HTTPS)的数据安全传输方法,该方法包括以下步骤:注册步骤:服务端在本地创建证书授权中心(CA),并向相连的客户端颁发用户证书,所述用户证书用作所述客户端登录所述服务端的登录凭证;登录步骤:所述服务端在收到所述客户端的登录信息后,根据所述登录凭证分配密钥,并将所述密钥返回给所述客户端;加解密步骤:所述服务端根据所述密钥加密或解密所述客户端发来的数据信息。进一步地,该方法的所述登录步骤还包括生成识别步骤,在所述生成识别子步骤中,所述服务端根据所述登录凭证生成用户识别码,并将所述用户识别码返回给所述客户端;所述加解密步骤还包括用户识别步骤,在所述用户识别步骤中,所述服务端在接收到所述客户端发送的数据信息后,根据所述用户识别码确定所述数据信息对应的客户端,并响应所述对应的客户端。进一步地,该方法还包括接口定制步骤:所述服务端根据所述客户端的类型和业务功能提供安全接口信息,并向所述客户端公布所述安全接口信息,所述安全接口信息用于指示需要加解密操作的接口 ;所述服务端根据所述客户端发送来的携带有与安全接口信息相关内容的数据信息,结合所述安全接口信息确定关于待传输数据的加解密操作。进一步地,在该方法中,传输于所述服务端和所述客户端之间的数据的格式为JSON数据交换格式;和/或,所述服务端和所述客户端之间的加密数据使用BASE64进行编码后再传输。根据本申请的第二方面,本申请提供一种使用如上所述方法实现的不使用HTTPS的数据安全传输系统。根据本申请的第三方面,本申请提供一种用于如上所述方法的客户端。根据本申请的第四方面,本申请提供一种用于如上所述方法的服务端。本申请的有益效果是:通过服务端自己创建CA,所有用户证书由该CA颁发,不需要额外付费购买第三方的CA ;服务端在收到登录信息后,分配密钥给客户端,这样客户端可以使用该密钥对数据信息加密(解密)操作,而服务端可以使用该密钥对客户端发送来的数据信息进行解密(加密)操作,从而,在不使用HTTPS协议进行传输时,也能安全传输数据,实现了数据传输的双向认证。【附图说明】图1为车辆卡管理系统的三层架构方案示意图;图2示出了本申请一种实施方式中的密钥生成过程,其实际上也示出了客户端登录服务端时二者的交互;图3至图6示出了本申请一种实施方式中的安全接口数据控制流程,其实际上也示出了客户端与服务端进行业务数据传输时二者的交互;图7示出了本申请一种实施方式用于车辆卡管理系统中的部分接口列表;图8示出了本申请一种实施方式中客户端和服务端之间的拓扑示意图。【具体实施方式】本申请仍以车辆卡管理系统为例,对本申请提出的不使用HTTPS的数据安全传输方法及系统以及其涉及的客户端和服务端进行描述。可以理解的是,该方法和系统及其涉及的客户端和服务端也可以应用于广域物联网的其它应用中。对于车辆卡管理系统,需要考虑稳定性、安全性和易用性。因此,本申请在设计该车辆卡管理系统的方案中,对传输数据进行了多方面的考虑,例如引入了服务端自身认证的证书,来实现数据双向认证机制;又例如传输的用户数据使用对称加密技术,这样相比采用HTTPS协议的传输可以尽可能地提高效率;再例如还可以使用用户识别码,接口数据不包含用户信息内容,从而可以对用户信息给予保密;又例如还可以使接口参数和返回数据为字符串,从而传输数据与数据类型无关;再例如还可定制化接口数据传输的安全控制,即定制是否需要加密传输数据。因此,在本申请的一种实施方式中,提出了不使用HTTPS的数据安全传输方法,该方法包括注册步骤、登录步骤和加解密步骤。在注册步骤中,服务端在本地创建证书授权中心,并向相连的客户端颁发用户证书,用户证书用作客户端登录所述服务端的登录凭证;在登录步骤中,服务端在收到客户端的登录信息后,根据登录凭证分配密钥,并将密钥返回给客户端;在加解密步骤中,服务端根据密钥加密或解密客户端发来的数据信息。具体地,对于注册步骤,首先服务端自己创建证书授权中心(CA),并在接收到所述客户端的注册信息时,向客户端颁发CA认证的用户证书,并保存客户端相关的信息及其对应的用户证书,一般地,客户端相关的信息至少包括该客户端的用户名和密码。对于登录步骤,当服务端接收客户端发送来的登录信息,通常登录信息包括客户端的用户名和密码,在本实施方式中,该密码为使用客户端的用户证书加密后的密文;然后,服务端根据用户名取得对应的用户证书,使用用户证书解密密文得到密码,然后随机产生密钥,保存密钥,并将密钥返回给客户端。当然,本步骤或者后续一些步骤中还可以涉及一些已知的技术手段,例如,在解密得到密码后,服务端将该密码和用户名与服务端事先存储的客户端相关的信息进行校验,如果校验通过,则继续后续步骤如产生密钥等,如果校验不通过,则可以向客户端发送用户名和密码不匹配之类的提示信息。在另一种实施方式中,除了具有上述实施方式的功能步骤外,登录步骤还可以包括生成识别步骤,对应地,加解密步骤还可以包括用户识别步骤。在生成识别子步骤中,服务端根据登录凭证,生成用户识别码(也可以称之为用户登录校验码),并将用户识别码返回给客户端;在用户识别步骤中,服务端在接收到客户端发送的数据信息后,根据用户识别码确定数据信息对应的客户端,并响应对应的客户端。具体地本文档来自技高网...
【技术保护点】
一种不使用基于安全套接字层的超文本传输协议的数据安全传输方法,用于车辆卡管理系统,其特征在于,包括以下步骤:注册步骤:服务端在本地创建证书授权中心,并向相连的客户端颁发用户证书,所述用户证书用作所述客户端登录所述服务端的登录凭证;登录步骤:所述服务端在收到所述客户端的登录信息后,根据所述登录凭证分配密钥,并将所述密钥返回给所述客户端;加解密步骤:所述服务端根据所述密钥加密或解密所述客户端发来的数据信息。
【技术特征摘要】
【专利技术属性】
技术研发人员:何小川,段作义,杨耿,
申请(专利权)人:深圳市金溢科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。