数据安全交互方法和系统技术方案

本发明专利技术公开了一种数据安全交互方法，所述数据安全交互方法包括以下步骤：终端侧安全装置将终端发送给服务端的数据进行加密；服务端侧安全装置将发送给所述服务端的经加密的所述数据进行解密，并加密所述服务端发送给所述终端的数据；终端侧安全装置将发送给所述终端的经加密的所述数据进行解密。本发明专利技术还公开了一种数据安全交互系统。本发明专利技术提高了系统中终端和服务端之间的数据传输的安全性。

【技术实现步骤摘要】
数据安全交互方法和系统
本专利技术涉及数据传输领域，尤其涉及一种数据安全交互方法和系统。
技术介绍
进入21世纪以来，各种安全事件层出不穷，中国的国家安全正变得日益复杂；中国国家密码安全局和中国中央人民银行针对金融行业的安全问题，联手推出基于SM2/SM3/SM4算法的中国国密标准及认证，逐步要求金融行业的自助设备及系统必须通过国密认证。目前市场上正在使用的ATM机正在使用的部件大多不支持国密算法，而各种部件升级到支持国密算法既需要时间、也涉及硬件改造的成本。
技术实现思路
本专利技术的主要目的在于提供一种数据安全交互方法和系统，旨在使现有ATM设备低成本且快速地符合国密认证。为实现上述目的，本专利技术提供的一种数据安全交互系统，包括终端、终端侧安全装置、服务端和服务端侧安全装置，所述终端与所述服务端之间进行经加密的数据交互，其中，所述终端侧安全装置包括终端侧接收端口、终端侧安全芯片和终端侧发送端口，所述终端侧接收端口用于接收所述终端的数据，所述终端侧安全芯片用于对所述数据进行加密或解密，所述终端侧发送端口用于将加密或解密后的所述数据发回所述终端；所述服务侧安全装置包括服务侧接收端口、服务侧安全芯片和服务侧发送端口，所述服务侧接收端口用于从所述服务端接收数据，所述服务侧安全芯片用于对所述数据进行解密或加密，所述服务侧发送端口用于将解密或加密后的所述数据发回所述服务端。优选地，所述终端侧安全芯片和服务端侧安全芯片通过SM4算法对所述数据进行加密和解密操作。优选地，所述终端侧安全芯片包括终端侧加密模块和终端侧解密模块，其中：所述终端侧加密模块，用于将终端发送给服务端的数据进行加密；所述终端侧解密模块，用于将发送给所述终端的经服务端侧安全芯片加密的所述数据进行解密。优选地，所述服务端侧安全芯片包括服务端侧解密模块和服务端侧加密模块，其中：所述服务端侧解密模块，用于将发送给所述服务端的经终端侧安全芯片加密的所述数据进行解密；所述服务端侧加密模块，用于加密所述服务端发送给所述终端的数据。优选地，所述终端侧加密模块包括数据加密单元和MAC计算单元，其中：所述数据加密单元，用于加密终端发送给服务端的数据；所述MAC计算单元，用于对所述终端发送给所述服务端的通信数据进行MAC计算。优选地，所述服务端侧解密模块包括MAC校验单元和数据解密单元，其中：所述MAC校验单元，用于对发送给所述服务端的经MAC计算的通信数据进行校验；所述数据解密单元，用于在校验成功后，将经终端侧安全装置加密的所述数据进行解密。为实现上述目的，本专利技术还提供一种数据安全交互方法，所述数据安全交互方法包括以下步骤：终端侧安全装置将终端发送给服务端的数据进行加密；服务端侧安全装置将发送给所述服务端的经加密的所述数据进行解密，并加密所述服务端发送给所述终端的数据；终端侧安全装置将发送给所述终端的经加密的所述数据进行解密。优选地，所述终端侧安全装置和服务端侧安全装置通过SM4算法对所述数据进行加密和解密操作。优选地，所述将终端发送给服务端的数据进行加密包括：加密终端发送给服务端的数据；对所述终端发送给所述服务端的通信数据进行MAC计算。优选地，所述将发送给所述服务端的经加密的所述数据进行解密包括：对发送给所述服务端的经MAC计算的通信数据进行校验；在校验成功后，将经加密的所述数据进行解密。本专利技术通过终端侧安全装置将终端发送给服务端的数据进行加密；服务端侧安全装置将发送给所述服务端的经加密的所述数据进行解密，并加密所述服务端发送给所述终端的数据；终端侧安全装置将发送给所述终端的经加密的所述数据进行解密。使得所述终端与所述服务端之间传输的数据都是经过加密的，并且各自一侧都能够解密读取数据，保证了所述终端与所述服务端之间数据交互的安全性。附图说明图1为本专利技术数据安全交互方法第一实施例的流程示意图；图2为本专利技术数据安全交互方法第二实施例的流程示意图；图3为本专利技术数据安全交互方法第三实施例中SM4算法的示意图；图4为本专利技术数据安全交互方法第四实施例的流程示意图；图5为本专利技术数据安全交互系统第一实施例中终端侧与服务端侧之间数据安全交互示意图；图6a为图5中终端侧方案一的功能模块示意图；图6b为图5中终端侧方案二的功能模块示意图；图7a为图5中服务端侧方案一的功能模块示意图；图7b为图5中服务端侧方案二的功能模块示意图；图7c为图5中服务端侧方案三的功能模块示意图；图8为本专利技术数据安全交互系统第一实施例中终端侧安全装置的功能模块示意图；图9为本专利技术数据安全交互系统第一实施例中服务端侧安全装置的功能模块示意图；图10为本专利技术数据安全交互系统第三实施例中终端侧安全芯片的细化功能模块示意图；图11为本专利技术数据安全交互系统第三实施例中服务端侧安全芯片的细化功能模块示意图；图12为本专利技术数据安全交互系统第四实施例中终端侧加密模块的细化功能模块示意图；图13为本专利技术数据安全交互系统第四实施例中服务端侧解密模块的系统功能模块示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。本专利技术提供一种所述数据安全交互方法，请参阅图1，在一实施例中，该数据安全交互方法包括以下步骤：步骤S10，终端侧安全装置将终端发送给服务端的数据进行加密；本专利技术实施例提供的数据安全交互方法应用于现有ATM机中，将符合国密算法的安全装置与所述ATM机结合，以使ATM机符合国密算法，保证ATM机数据交互的安全性。所述终端为用户使用ATM机的软件操作系统，具体地，可以为ATM的软件开发工具包(SoftwareDevelopmentKit，SDK)或是基于WOSA/XFS标准的SP驱动。所述服务端为ATM机中的硬件设备，至少包括密码键盘、出钞模块、读卡器。本专利技术实施例中，所述终端发给所述服务端的数据为操作指令，所述服务端发送给所述终端的数据为执行结果。所述终端将发送给所述服务端的操作指令发给所述终端侧安全装置，所述终端侧安全装置对所述操作指令进行加密后发回给所述终端，所述终端将经加密后的所述操作指令发给所述服务端。其中所述终端侧安全装置为操作系统中本身具备国密功能的密码键盘驱动或者是额外增加的一个国密安全模块，例如ZT130，所述国密安全模块ZT130类似于银行支付中的USB-Key，能够对发出的数据进行加密。步骤S20，服务端侧安全装置将发送给所述服务端的经加密的所述数据进行解密，并加密所述服务端发送给所述终端的数据；所述服务端侧安全装置设置于所述服务端与所述终端的连接之间、之后或为本身具备国密算法的服务端的硬件设备，例如密码键盘。本实施例中以所述服务端侧安全装置设置于所述服务端与所述终端的连接之后为例进行说明。所述服务端接收所述经终端侧安全装置加密后的所述操作指令后转发给所述服务端侧安全装置，所述服务端侧安全装置将经加密的所述操作指令解密后将明文数据发送给所述服务端。所述服务端根据明文数据得出执行结果后发送给所述服务端侧安全装置，所述服务端侧安全装置将所述执行结果进行加密后发回所述服务端，所述服务端将经所述服务端侧安全装置加密的所述执行结果转发给所述终端。步骤S30，终端侧安全装置将发送给所述终端的经加密的所述数本文档来自技高网...

【技术保护点】
一种数据安全交互系统，其特征在于，包括终端、终端侧安全装置、服务端和服务端侧安全装置，所述终端与所述服务端之间进行经加密的数据交互，其中，所述终端侧安全装置包括终端侧接收端口、终端侧安全芯片和终端侧发送端口，所述终端侧接收端口用于接收所述终端的数据，所述终端侧安全芯片用于对所述数据进行加密或解密，所述终端侧发送端口用于将加密或解密后的所述数据发回所述终端；所述服务侧安全装置包括服务侧接收端口、服务侧安全芯片和服务侧发送端口，所述服务侧接收端口用于从所述服务端接收数据，所述服务侧安全芯片用于对所述数据进行解密或加密，所述服务侧发送端口用于将解密或加密后的所述数据发回所述服务端。

【技术特征摘要】
1.一种数据安全交互系统，其特征在于，包括终端、终端侧安全装置、服务端和服务端侧安全装置，所述终端与所述服务端之间进行经加密的数据交互，其中，所述终端侧安全装置包括终端侧接收端口、终端侧安全芯片和终端侧发送端口，所述终端侧接收端口用于接收所述终端的数据，所述终端侧安全芯片用于对所述数据进行加密或解密，所述终端侧发送端口用于将加密或解密后的所述数据发回所述终端；所述服务侧安全装置包括服务侧接收端口、服务侧安全芯片和服务侧发送端口，所述服务侧接收端口用于从所述服务端接收数据，所述服务侧安全芯片用于对所述数据进行解密或加密，所述服务侧发送端口用于将解密或加密后的所述数据发回所述服务端。2.根据权利要求1所述的数据安全交互系统，其特征在于，所述终端侧安全芯片和服务端侧安全芯片通过SM4算法对所述数据进行加密和解密操作。3.根据权利要求1所述的数据安全交互系统，其特征在于，所述终端侧安全芯片包括终端侧加密模块和终端侧解密模块，其中：所述终端侧加密模块，用于将终端发送给服务端的数据进行加密；所述终端侧解密模块，用于将发送给所述终端的经服务端侧安全芯片加密的所述数据进行解密。4.根据权利要求3所述的数据安全交互系统，其特征在于，所述服务端侧安全芯片包括服务端侧解密模块和服务端侧加密模块，其中：所述服务端侧解密模块，用于将发送给所述服务端的经终端侧安全芯片加密的所述数据进行解密；所述服务端侧加密模块，用于加密所述服务端发送给所述终端的数据。5.根据权利要求4所述的数...

【专利技术属性】
技术研发人员：刘国勋，谭素珍，杨杰，朱文楚，
申请(专利权)人：深圳市证通电子股份有限公司，
类型：发明
国别省市：广东,44