本发明专利技术提供了一种基于http协议的数据加密传输系统及方法。http协议和数据加密相结合,采用双因子认证和非对称加密,每步信息交互带一个消息ID防止重放,ID依次递增,当大于某个指定值时,重新计算会话密钥。保护信息传输的机密性防止用户非法接入网络,旁听窃取、破环网络上传递的数据。
【技术实现步骤摘要】
本专利技术涉及一种基于http协议的数据加密传输系统及方法,特别是涉及一种适用于保密传输信息的基于http协议的数据加密传输系统及方法。
技术介绍
HTTP 是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。随着web应用领域的发展,http协议的安全性要求也达到了前所未有的高度。但是传统的HTTPS等技术,使得网关、代理系统不能有效处理HTTP协议,丧失了HTTP在网络上传输的优势,本专利技术在HTTP内部实现安全功能,使得本方式有更好的易用和兼容性。
技术实现思路
本专利技术要解决的技术问题是提供一种使http协议更安全可靠,使数据加密传输更易用、兼容的基于http协议的数据加密传输系统及方法。本专利技术采用的技术方案如下:一种基于http协议的数据加密传输系统,包括客户端,服务端,其特征在于,还包括:http数据加密传输控件,以动态库的形式为用户程序提供服务;身份认证模块,对登录用户进行双因子认证。作为优选,还包括会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。一种基于http协议的数据加密传输系统,包括客户端,服务端,其特征在于,还包括:http数据加密传输控件,以动态库的形式为用户程序提供服务;会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。一种基于http协议的数据加密传输方法,其特征在于,http数据加密传输控件以动态库的形式为用户程序提供服务;会话密钥协商模块使用非对称密码算法进行客户端与服务端的会话密码协商,将计算出的会话密钥进行数据传输的加解密操作。作为优选,所述方法还包括对登录用户进行用户账号与加密硬件模块绑定的双因子认证。作为优选,所述密钥协商的具体步骤为:步骤一、http客户端发送用户公钥到http 服务端;步骤二、http服务端生成随机数R1,计算出R1的MD5摘要值HR1,用私钥对HR1签名得到SHR1,用客户端公钥加密R1得到ER1,把加密后的ER1和生成的签名值SHR1一起封装成http响应包传给客户端;步骤三、客户端用私钥解密ER1,得到明文R1,接着计算R1的MD5摘要值,然后用服务端的公钥对签名值SHR1进行验签;步骤四、客户端生成随机数R2,计算出R2的MD5摘要值HR2,用私钥对HR2进行签名,得到签名值SHR2,用服务端的公钥加密R2得到密文ER2,把ER2和SHR2一起封装成http响应包发给服务端;步骤五、服务端用私钥解密ER2得到R2,然后对客户端的签名值SHR2进行验签;步骤六、客户端(或服务端)通过R1和R2异或运算计算出本次会话密钥。作为优选,所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商。一种基于http协议的数据加密传输方法,其特征在于,http数据加密传输控件以动态库的形式为用户程序提供服务;对登录用户进行用户账号与加密硬件模块绑定的双因子认证。作为优选,所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商。与现有技术相比,本专利技术的有益效果是:防止用户非法接入网络,旁听窃取、重放攻击、破环网络上传递的数据,对网络通道进行安全保护。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本说明书(包括任何附加权利要求、摘要)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。一种基于http协议的数据加密传输系统,包括客户端,服务端,还包括:http数据加密传输控件,以动态库的形式为用户程序提供服务,结合密码学技术可以使http协议更安全,可靠。身份认证模块,对登录用户进行双因子认证,即用户帐号与加密硬件模块绑定。会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。一种基于http协议的数据加密传输方法, http数据加密传输控件以动态库的形式为用户程序提供服务。会话密钥协商模块使用非对称密码算法进行客户端与服务端的会话密码协商,将计算出的会话密钥进行数据传输的加解密操作,客户端与服务端的私钥都存在加密硬件模块中,这样做保证了密钥的高安全性,同时也应证了通信双方的身份。对登录用户进行用户账号与加密硬件模块绑定的双因子认证。使用硬件与用户口令的方式,减少了由于帐户和口令泄露而对数据进行非法访问与破坏。在本具体实施例中,密钥协商的具体步骤为:步骤一、http客户端发送用户公钥到http 服务端;步骤二、http服务端生成随机数R1,计算出R1的MD5摘要值HR1,用私钥对HR1签名得到SHR1,用客户端公钥加密R1得到ER1,把加密后的ER1和生成的签名值SHR1一起封装成http响应包传给客户端;步骤三、客户端用私钥解密ER1,得到明文R1,接着计算R1的MD5摘要值,然后用服务端的公钥对签名值SHR1进行验签;步骤四、客户端生成随机数R2,计算出R2的MD5摘要值HR2,用私钥对HR2进行签名,得到签名值SHR2,用服务端的公钥加密R2得到密文ER2,把ER2和SHR2一起封装成http响应包发给服务端;步骤五、服务端用私钥解密ER2得到R2,然后对客户端的签名值SHR2进行验签;步骤六、客户端(或服务端)通过R1和R2异或运算计算出本次会话密钥。后面的数据传输就使用第六步计算出的会话密钥进行对称加解密操作,提高了http协议数据传输的机密性和完整性,防止用户非法接入网络,旁听窃取、破环网络上传递的数据。所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商以保证会话密钥的机密性,同时防止消息重放攻击。 本文档来自技高网...
【技术保护点】
一种基于http协议的数据加密传输系统,包括客户端,服务端,其特征在于,还包括:http数据加密传输控件,以动态库的形式为用户程序提供服务;身份认证模块,对登录用户进行双因子认证。
【技术特征摘要】
1.一种基于http协议的数据加密传输系统,包括客户端,服务端,其特征在于,还包括:
http数据加密传输控件,以动态库的形式为用户程序提供服务;
身份认证模块,对登录用户进行双因子认证。
2.根据权利要求1所述的数据加密传输系统,其特征在于,还包括会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。
3.一种基于http协议的数据加密传输系统,包括客户端,服务端,其特征在于,还包括:
http数据加密传输控件,以动态库的形式为用户程序提供服务;
会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。
4.一种基于http协议的数据加密传输方法,其特征在于,http数据加密传输控件以动态库的形式为用户程序提供服务;会话密钥协商模块使用非对称密码算法进行客户端与服务端的会话密码协商,将计算出的会话密钥进行数据传输的加解密操作。
5.根据权利要求4所述的数据加密传输方法,其特征在于,所述方法还包括对登录用户进行用户账号与加密硬件模块绑定的双因子认证。
6.根据权利要求4所述的数据加密传输方法,其特征在于,所述密钥协商的具体步骤为:
步骤一、http客户端发送用户公钥到http 服务端;
步骤二、http服务端生成随机数R1,计算出R1的MD5摘要值HR1,用私钥对HR1...
【专利技术属性】
技术研发人员:孙付,李雪兵,何文森,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。