发明专利技术涉数据通信技术领域,具体涉及一种数据安全通信方法,包括如下步骤:1)控制中心对交互终端进行安全验证并建立安全通信通道;2)控制中心允许安全验证通过的交互终端通过安全通信通道对交互介质进行数据操作,阻止安全验证未通过的交互终端对交互介质进行数据操作。本发明专利技术的方法可更快速地建立安全通信通道,加大了数字证书的破解难度,可增强数据通信过程的安全性和可靠性,并且可降低通信过程中对通信系统资源的消耗。
【技术实现步骤摘要】
本专利技术涉数据通信
,具体涉及一种。
技术介绍
现如今随着信息时代的发展,信息交互安全也越来越受到人们的关注。目前,在各种数据交互中都有采取一些加密的措施,主要都是运用一些数字加密的方法。数字证书是一种电子身份证明,通常数字证书是一个不变的加密数据,我们所使用的密码,口令以及数字证书为了安全,已经很少采用明文数据了,都采用了加密数据,加密数据都是利用程序设定一个加密协议,即通过一定的算法保障加密解密的一致性以方便验证现在非常普遍的一种安全通信通道建立与数据保护方法是使用安全传输层协议(TLS),用于在两个通信终端之间基于数字证书的特性,提供保密性和数据完整性。TLS握手协议分为单向认证与双向认证。如果要保障通讯双方的数据以及业务安全,需要使用双向认证的方式,就是双方都会互相认证,也就是两者之间将会交换证书。以下仅介绍双向认证流程,基本的过程为交互终端向服务器发送连接申请,在服务器端将服务器端的证书、经控制中心私钥签名后的协商数据、数字签名以及协商的结果一起发送给交互终端。交互终端则使用控制中心证书中的公钥对协商数据的签名验证成功后,将交互终端证书以及使用交互终端私钥签名后的密钥协商数据与数字签名回复给服务器端。而服务器端则会用交互终端证书中的公钥来验证数字签名的合法性。但这种通信方式依然存在较大泄密的风险,因为没有动态数据参与加密运算,那么加密的结果是不会改变的,从技术原理上看,仅仅依靠用户输入的密码,没有动态数据参与,无论加密过程多么复杂,一旦源代码泄露,都难逃被大面积破解的命运,道理很简单,掌握了源代码,密码破解者就可以采用输入密码获得加密结果,而网站需要面对数量众多的终端,对所有的终端必须采取相同的通信协议,否则,就可能假终端能通过验证。还有一种是生物密码,也就是利用人体某些器官或组织的一些特殊结构终身具有一定的稳定性和单一性,这种特殊结构能够被计算机系统读取的验证码,比方说指纹或虹膜,这类密码的缺点是密码所有人无法主动修改,欠缺能动性,而且服务器存贮的数据与待检验的数据并不完全一致,需要利用模糊算法通过比较获得答案,模糊算法很耗系统资源。
技术实现思路
本专利技术提供一种,该方法可更快速地建立安全通信通道,加大了数字证书的破解难度,可增强数据通信过程的安全性和可靠性,并且可降低通信过程中对通信系统资源的消耗。为了实现上述目的,本专利技术提供一种,包括如下步骤:1)控制中心对交互终端进行安全验证并建立安全通信通道;2)控制中心允许安全验证通过的交互终端通过安全通信通道对交互介质进行数据操作,阻止安全验证未通过的交互终端对交互介质进行数据操作。进一步,所述步骤1)具体包括如下步骤:101)交互终端查询已缓存的与控制中心的会话连接信息,使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将会话号与摘要计算结果写入连接申请数据包;102)交互终端查询已缓存的控制中心证书,将控制中心证书的序列号及交互终端证书的序列号写入连接申请数据包;103)交互终端将非对称加密和数字签名算法组合列表写入连接申请数据包,并向控制中心发送连接申请数据包;104)控制中心接收交互终端发送的连接申请数据包,根据会话ID查询缓存的会话连接信息,使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算,将计算结果与交互终端发送的会话密钥的摘要数据进行比对,如果对比结果一致,则将会话密钥与对称算法作为安全通信通道中数据保护的密钥与算法,并则执行步骤105);105)控制中心向交互终端发送协商结束命令,终交互端收到控制中心发送的协商结束命令后,安全通道建立。进一步,所述步骤104)中,若会话密钥的摘要数据对比不一致,则执行以下步骤:106)控制中心读取交互终端发送的控制中心证书的序列号,验证是否控制中心使用的证书序列号一致,如是,则执行下一步,如否,则向交互终端发送控制中心证书数据包后执行下一步;107)控制中心读取交互终端发送的交互终端证书的序列号,根据该序列号查询是否已缓存交互终端证书,如是,则执行下一步;如否,则向交互终端发送申请交互终端证书的申请数据包后执行下一步;108)控制中心读取交互终端发送的算法组合列表,选择一组加密强度最高的非对称算法组合作为密钥协商算法组合; 109)控制中心生成一组临时的非对称密钥对,使用控制中心的私钥以及步骤108)中所选择的算法组合中的非对称算法对临时公钥进行数字签名,将签名结果与临时公钥组包为密钥协商数据包向终端发送;110)向交互终端发送连接申请结束数据包;111)交互终端收到控制中心发送的数据包,缓存密钥协商算法组合与会话号;交互终端若收到控制中心发送的控制中心证书数据包,则对控制中心证书进行合法性验证,验证成功,则使用控制中心证书中的序列号作为标识,缓存控制中心证书;验证失败,则退出本流程,断开连接;交互终端若收到控制中心发送的申请交互终端证书的申请数据包,则将本交互终端的证书组包成证书数据包,向控制中心发送;交互终端收到控制中心发送的密钥交互数据包,使用缓存的控制中心证书中的公钥与所述缓存的密钥协商算法组合中的非对称算法,对控制中心的临时公钥签名信息进行验证,如果验证不成功则断开链接;如果验证成功则执行下一步;112)交互终端随机生成一个会话密钥,作为安全通道中数据保护的密钥,使用算法组合中的对称算法作为保护算法;使用会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;使用非对称算法对会话密钥进行加密,并使用非对称算法对加密后的会话密钥进行数字签名;将加密后的会话密钥以及数字签名组包,向控制中心发送密钥协商数据包;113)交互终端向控制中心发送协商结束命令;114)控制中心若接收到交互终端证书数据包,则对交互终端证书进行合法性验证,如果验证成功,使用交互终端证书中的序列号作为标识,缓存交互终端证书如果验证失败,则断开链接;控制中心收到交互终端发送的密钥协商数据包后,使用交互终端证书中的公钥以及步骤108)中所选择的算法组合中的非对称算法对签名数据进行签名验证,如果签名验证不成功则断开链接;如果成功则使用控制中心私钥与非对称算法解密会话密钥,并使用步骤104)中产生的会话号作为标识,将会话密钥、对称算法与摘要算法进行缓存;并将会话密钥与对称算法名作为安全通信通道中数据保护的密钥与算法;执行步骤105)。进一步,步骤2)中,所述的数据操作包括如下步骤:21)导入源数据;22)从步骤21)导入的源数据中截取数据;23)对步骤22)截取的数据进制转换、字符转码、数据重组、字符串替代以及数据缺失存贮中的至少一种操作。进一步,所述步骤21)中,导入源数据包括直接引进和间接引进两种方式。进一步,步骤23)中,所述数据缺失存贮中缺失数据为2-3个。与现有技术相比,本专利技术具有以下优点和有益效果:(1)安全通信通道建立过程中,针对移动通信网分组域通信的特性以及在保障交互终端与控制中心服务端数据通讯过程中的数据安全的情况下,可大量减少通信双方的握手次数,通信双方不必一直维持TCP链接,需要进行通讯时,双方重新建立TCP链接后,不用进行重新握手,便可快速恢复安全通讯通道。(2)安全通信通道的建立减少了移动交互终端对多余的电量消耗。即使双方需要更新安全通信通道的会话密钥而重新进行握本文档来自技高网...
【技术保护点】
数据安全通信方法,其特征在于:包括如下步骤:1)控制中心对交互终端进行安全验证并建立安全通信通道;2)控制中心允许安全验证通过的交互终端通过安全通信通道对交互介质进行数据操作,阻止安全验证未通过的交互终端对交互介质进行数据操作。
【技术特征摘要】
【专利技术属性】
技术研发人员:马华杰,邱梅,庞占星,赵晓雪,郎需栋,高继轩,陈万强,许朋波,刘刚,
申请(专利权)人:国网山东临朐县供电公司,国网山东省电力公司潍坊供电公司,国家电网公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。