数据安全交互方法、终端侧安全装置和服务端侧安全装置制造方法及图纸

本发明专利技术公开了一种数据安全交互方法，所述数据安全交互方法包括以下步骤：加密终端的数据，并将加密后的数据发给所述终端，以供所述终端将加密后的数据发给服务端；解密所述终端从所述服务端获取的经服务端侧安全装置加密的数据，将解密后的数据发给所述终端。本发明专利技术还公开了一种终端侧安全装置和服务端侧安全装置。本发明专利技术提高了系统中终端和服务端之间的数据传输的安全性。

Data security interaction method, terminal side security device and service side security device

The invention discloses a method for the interactive data security, data security interaction method comprises the following steps: data encryption terminal, and the encrypted data is sent to the terminal, the terminal for the encrypted data to the server; decrypting the terminal acquires from the server by server side security the data encryption device, the decrypted data is sent to the terminal. The invention also discloses a safety device for the terminal side and a service side safety device. The invention improves the security of data transmission between the terminal and the server in the system.

【技术实现步骤摘要】
数据安全交互方法、终端侧安全装置和服务端侧安全装置
本专利技术涉及数据传输领域，尤其涉及一种数据安全交互方法、终端侧安全装置和服务端侧安全装置。
技术介绍
进入21世纪以来，各种安全事件层出不穷，中国的国家安全正变得日益复杂；中国国家密码安全局和中国中央人民银行针对金融行业的安全问题，联手推出基于SM2/SM3/SM4算法的中国国密标准及认证，逐步要求金融行业的自助设备及系统必须通过国密认证。目前市场上正在使用的ATM机正在使用的部件大多不支持国密算法，而各种部件升级到支持国密算法既需要时间、也涉及硬件改造的成本。
技术实现思路
本专利技术的主要目的在于提供一种数据安全交互方法、终端侧安全装置和服务端侧安全装置，旨在使现有ATM设备低成本且快速地符合国密认证。为实现上述目的，本专利技术提供的一种数据安全交互方法，其特征在于，所述数据安全交互方法包括以下步骤：加密终端的数据，并将加密后的数据发给所述终端，以供所述终端将加密后的数据发给服务端；解密所述终端从所述服务端获取的经服务端侧安全装置加密的数据，将解密后的数据发给所述终端。优选地，所述加密终端的数据包括：加密终端发送给服务端的数据；对所述终端发送给所述服务端的通信数据进行MAC计算。为实现上述目的，本专利技术还提供一种数据安全交互方法，所述数据安全交互方法包括以下步骤：解密服务端从终端获取的经终端侧安全装置加密的数据，并将解密后的数据发给所述服务端；加密所述服务端的数据，并将加密后的数据发送给所述服务端，以供所述服务端将加密后的数据发给所述终端。优选地，所述解密服务端从终端获取的经终端侧安全装置加密的数据包括：对所述服务端从所述终端获取的经MAC计算的通信数据进行校验；在校验成功后，将经加密的所述数据进行解密。为实现上述目的，本专利技术还提供一种终端侧安全装置，所述终端侧安全装置包括终端侧加密模块和终端侧解密模块，其中：所述终端侧加密模块，用于加密终端的数据，并将加密后的数据发给所述终端，以供所述终端将加密后的数据发给服务端；所述终端侧解密模块，用于解密所述终端从所述服务端获取的经服务端侧安全装置加密的数据，并将解密后的数据发给所述终端。优选地，所述加密模块包括数据加密单元和MAC计算单元，其中：所述数据加密单元，用于加密终端发送给服务端的数据；所述MAC计算单元，用于对所述终端发送给所述服务端的通信数据进行MAC计算。优选地，所述终端侧安全装置通过SM4算法对所述数据进行加密和解密操作。为实现上述目的，本专利技术还提供一种服务端侧安全装置，所述服务端侧安全装置包括服务端侧解密模块和服务端侧加密模块，其中：所述服务端侧解密模块，用于解密服务端从终端获取的经终端侧安全装置加密的数据，并将解密后的数据发给所述服务端；所述服务端侧加密模块，用于加密所述服务端的数据，并将加密后的数据发送给所述服务端，以供所述服务端将加密后的数据发给所述终端。优选地，所述服务端侧解密模块包括MAC校验单元和数据解密单元，其中：所述MAC校验单元，用于对所述服务端从所述终端获取的经MAC计算的通信数据进行校验；所述数据解密单元，用于在校验成功后，将经加密的所述数据进行解密。优选地，所述服务端侧安全装置通过SM4算法对所述数据进行加密和解密操作。本专利技术通过终端侧安全装置将终端发送给服务端的数据进行加密；服务端侧安全装置将发送给所述服务端的经加密的所述数据进行解密，并加密所述服务端发送给所述终端的数据；终端侧安全装置将发送给所述终端的经加密的所述数据进行解密。使得所述终端与所述服务端之间传输的数据都是经过加密的，并且各自一侧都能够解密读取数据，保证了所述终端与所述服务端之间数据交互的安全性。附图说明图1为本专利技术数据安全交互方法第一实施例的流程示意图；图2为本专利技术数据安全交互方法第二实施例的流程示意图；图3为本专利技术数据安全交互方法第三实施例的流程示意图；图4为本专利技术数据安全交互方法第四实施例的流程示意图；图5为本专利技术数据安全交互系统中终端侧与服务端侧之间数据安全交互示意图；图6a为图5中终端侧方案一的功能模块示意图；图6b为图5中终端侧方案二的功能模块示意图；图7为本专利技术终端侧安全装置第一实施例的功能模块示意图；图8为本专利技术终端侧安全装置第二实施例中终端侧加密模块的细化功能模块示意图；图9本专利技术终端侧安全装置第三实施例中SM4算法的示意图；图10a为图5中服务端侧方案一的功能模块示意图；图10b为图5中服务端侧方案二的功能模块示意图；图10c为图5中服务端侧方案三的功能模块示意图；图11为本专利技术服务端侧安全装置第一实施例的功能模块示意图；图12为本专利技术服务端侧安全装置第二实施例中服务端解密模块的细化功能模块示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。本专利技术提供一种数据安全交互方法，请参阅图1，在一实施例中，该数据安全交互方法包括以下步骤：步骤S110，加密终端的数据，并将加密后的数据发给所述终端，以供所述终端将加密后的数据发给服务端；本专利技术实施例提供的数据安全交互方法应用于现有ATM机中，将符合国密算法的安全装置与所述ATM机结合，以使ATM机符合国密算法，保证ATM机数据交互的安全性。所述终端为用户使用ATM机的软件操作系统，具体地，可以为ATM的软件开发工具包(SoftwareDevelopmentKit，SDK)或是基于WOSA/XFS标准的SP驱动。所述服务端为ATM机中的硬件设备，至少包括密码键盘、出钞模块、读卡器。本专利技术实施例中，所述终端发给所述服务端的数据为操作指令，所述服务端发送给所述终端的数据为执行结果。所述终端将发送给所述服务端的操作指令发给所述终端侧安全装置，所述终端侧安全装置对所述操作指令进行加密后发回给所述终端，所述终端将经加密后的所述操作指令发给所述服务端。其中所述终端侧安全装置为操作系统中本身具备国密功能的密码键盘驱动或者是额外增加的一个国密安全模块，例如ZT130，所述国密安全模块ZT130类似于银行支付中的USB-Key，能够对发出的数据进行加密。步骤S120，解密所述终端从所述服务端获取的经服务端侧安全装置加密的数据，将解密后的数据发给所述终端。所述终端接收所述服务端发出的执行结果并转发给所述终端侧安全装置，所述终端侧安全装置对经加密的所述执行结果解密后发回所述终端。本实施例中，通过终端侧安全装置将终端发送给服务端的操作指令进行加密；终端侧安全装置将发送给所述终端的经加密的所述执行结果进行解密。使得所述终端与所述服务端之间传输的数据都是经过加密的，并且各自一侧都能够解密读取数据，保证了所述终端与所述服务端之间数据交互的安全性。进一步地，请参阅图2，基于本专利技术数据安全交互方法的第一实施例，在本专利技术数据安全交互方法第二实施例中，所述步骤S110包括：步骤S111，加密终端发送给服务端的数据；步骤S112，对所述终端发送给所述服务端的通信数据进行MAC计算。MAC(MessageAuthenticationCode，消息验证码)的计算方式有两种，一种是利用已有的加密算法进行加密；另一种是使用专门的MAC算法，在计算散列值时将密钥和数据同时作为输入，并采本文档来自技高网...

【技术保护点】
一种数据安全交互方法，其特征在于，所述数据安全交互方法包括以下步骤：加密终端的数据，并将加密后的数据发给所述终端，以供所述终端将加密后的数据发给服务端；解密所述终端从所述服务端获取的经服务端侧安全装置加密的数据，将解密后的数据发给所述终端。

【技术特征摘要】
1.一种数据安全交互方法，其特征在于，所述数据安全交互方法包括以下步骤：加密终端的数据，并将加密后的数据发给所述终端，以供所述终端将加密后的数据发给服务端；解密所述终端从所述服务端获取的经服务端侧安全装置加密的数据，将解密后的数据发给所述终端。2.根据权利要求1所述的数据安全交互方法，其特征在于，所述加密终端的数据包括：加密终端发送给服务端的数据；对所述终端发送给所述服务端的通信数据进行MAC计算。3.一种数据安全交互方法，其特征在于，所述数据安全交互方法包括以下步骤：解密服务端从终端获取的经终端侧安全装置加密的数据，并将解密后的数据发给所述服务端；加密所述服务端的数据，并将加密后的数据发送给所述服务端，以供所述服务端将加密后的数据发给所述终端。4.根据权利要求3所述的数据安全交互方法，其特征在于，所述解密服务端从终端获取的经终端侧安全装置加密的数据包括：对服务端从终端获取的经MAC计算的通信数据进行校验；在校验成功后，将经加密的所述数据进行解密。5.一种终端侧安全装置，其特征在于，所述终端侧安全装置包括终端侧加密模块和终端侧解密模块，其中：所述终端侧加密模块，用于加密终端的数据，并将加密后的数据发给所述终端，以供所述终端将加密后的数据发给服务端；所述终端侧解密模块，用于解密所述终端从所述服务端获取的经服...

【专利技术属性】
技术研发人员：刘国勋，谭素珍，杨杰，朱文楚，
申请(专利权)人：深圳市证通电子股份有限公司，
类型：发明
国别省市：广东,44