一种实时数据通信安全方法技术

本发明专利技术公开了一种实时数据通信安全方法，首先，通过分析数据通信的体系结构和数据特征，确定出影响数据通信安全的两大关键问题，即有效用户身份认证问题与敏感数据的传输问题；其次，结合现有的身份认证技术与数据传输加密体制，提出了一种适用于数据通信的安全服务方案；再次分析了该方案的有效性和安全性。利用HMAC认证算法，实现系统中用户身份认证与权限获取，保证私有服务器访问者的可靠性，解决整个通信系统安全的第一道安全防护。建立一个安全可靠的通信信道，实现敏感数据在网络传输信道上的安全性，保证数据的完整性以及不可被篡改性。

A Security Method for Real-time Data Communication

The invention discloses a real-time data communication security method. Firstly, by analyzing the architecture and data characteristics of data communication, two key issues affecting the security of data communication are identified, namely, effective user identity authentication and transmission of sensitive data. Secondly, combining existing identity authentication technology and data transmission encryption system, a data encryption system suitable for data transmission is proposed. The security service scheme of communication; the validity and security of the scheme are analyzed again. HMAC authentication algorithm is used to realize user identity authentication and privilege acquisition in the system, to ensure the reliability of private server visitors, and to solve the first security protection of the whole communication system. Establish a secure and reliable communication channel, realize the security of sensitive data in the network transmission channel, ensure the integrity of data and can not be tampered with.

【技术实现步骤摘要】
一种实时数据通信安全方法
本专利技术属于实时数据通信系统中数据安全通信的技术，尤其涉及一种实时数据通信安全方法。
技术介绍
随着互联网技术的逐步成熟化以及网络建设的加速，网络中实时数据的通信安全问题层出不穷,例如关于病毒、黑客等的报道屡见不鲜,手段方式也各种各样。所以,如何有效的进行网络中数据通信安全的防护,是一个研究热点和需求点。虽然我国已经充分意识到数据通信安全技术在未来发展中的重要性，也在不断发展这种安全技术，但是仍然缺乏完整的网络信道中数据通信安全体系，并且对于数据通信安全的防护意识依旧薄弱，缺乏长期的规划，未能制定一个长期的行动计划。根据相关数据显示，我国的网络用户使用量已经跃居世界前列，而且网络中的实时敏感数据的通信流量也不断上升，但是由于数据通信安全造成的损失也在不断的增长，对于个人利益以及国家集体利益都是一个巨大的威胁，所以做好数据通信安全的防护是十分必要的。数据通信安全问题主要由两方面组成，包括有效的身份认证以及实时数据的传输安全。人为攻击包括被动攻击和主动攻击，给计算机网络通信安全带来了极大的挑战，危害严重。被动攻击不会改动系统信息，但是却侵犯了信息的保密性。冒充使用用户的身份，对网络与通信线路中的信息进行监听与窃取，对截获的数据信息进行分析研究，造成数据完整性的破坏与信息的泄露，带来安全隐患。目前在实时数据的通信过程中，通常采用的是网络物理隔离或者虚拟专用网(VPN)的方式。大多数数据通信研究中提出了对实时数据进行加密的构想，但并做出具体研究方案。并且数据通信安全方法还存在难点：如有效的身份认证体制的制定、数据传输过程中的会话密钥的产生、会话密钥的加密方式以及实时数据的加密算法的选择，在保证不影响数据传输速率的条件下实现数据的安全传输。基于上述原因，进行实时数据通信安全方法的研究，为数据通信系统中数据的安全提供客观依据和支撑，保障网络中数据通信的安全，提高数据的安全性与可靠性。
技术实现思路
本专利技术要解决的技术问题是：提供一种实时数据安全通信的方法。结合数据通信系统的安全架构，提出一种适用于该层次架构的安全方案，利用HMAC哈希认证算法，实现系统中用户身份认证与权限获取，保证私有服务器访问者的可靠性，解决整个通信系统安全的第一道安全防护。建立一个安全可靠的通信信道，实现实时数据在网络传输信道上的安全性，保证数据的完整性以及不可被篡改性，解决数据传输过程中第二道安全防护；通过身份认证以及混合加密体制，最终实现实时数据的通信安全，解决数据安全防护问题。3.本专利技术的技术方案是：一种实时数据通信安全方法，其特征在于：包含以下步骤：步骤(1)身份认证过程：用户在客户端处通过用户名和登录密码进行登录请求Q，服务器端接收到登录请求Q之后，返回一个具有时效性的随机数K给客户端作为响应，并在会话中记录K，然后客户端将自动获取其设备唯一标识符mac值，并将此mac值与K做HMAC运算，得到信息摘要HMAC(K,mac)，随后将此信息摘要发送到服务器端；同时，服务器端使用该随机数K与存储在服务器数据库中该用户的mac地址进行HMAC运算，然后将服务器的运算结果与客户端的运算结果做比较，若结果一致，则通过认证，用户获取到访问数据的服务权限，若结果不一致，则驳回申请，登录失败；(2)安全信道的建立：在系统实时数据通信过程中，通过可信第三方KDC密钥分配中心产生会话密钥KS，利用SM2椭圆曲线公钥加密和数字签名实现客户端和服务器端之间会话密钥KS的共享，建立安全信道；(3)会话密钥的管理：采用算法来产生一次性会话密钥，同时对密钥进行有效的分配、存储和撤销；(4)实时数据的传输：在建立安全信道之后，通信双方用共享的会话密钥KS对实时数据进行AES对称加密传输，实现对数据的安全传输；在一次会话结束后KDC会撤销当次的会话密钥，实现“一次一密”的加密方式从而保证数据传输过程的安全。所述的一次性会话密钥：I＝E[K](DT)新其中，DT为日期/时间值，K为密钥，H的初始值为HMAC(K,mac)，即为通信双方在身份认证阶段所作的哈希值，看作保密的种子值，每用一次其值都会进行更换，加密操作采用AES加密，将R的值作为新产生的密钥值。本专利技术的有益效果：本专利技术论述了一种实时数据通信安全方法，通过分析数据通信系统的体系结构和数据特征，确定出影响数据通信安全的两大关键问题，即有效用户身份认证问题与敏感数据的传输问题。其次，结合现有的身份认证技术与数据传输加密体制，即HMAC身份认证技术构建身份认证模型，通过认证译码器和认证编码器对消息的编译，以及密钥源产生具有时效性的随机密钥K值，服务器端和客户端HMAC(K,mac)的运算实现有效的身份认证。再次通过密钥分配中心KDC服务的构建，KDC密钥列表的管理，一次一密随机密钥的分配，完成安全信道的建立。最后通过SM2椭圆曲线公钥密码算法与AES对称加密算法的结合，保证在不影响数据传输速率的前提下完成实时数据的安全传输。利用HMAC认证算法，实现系统中用户身份认证与权限获取，保证私有服务器访问者的可靠性，解决整个通信系统安全的第一道安全防护。建立一个安全可靠的通信信道，实现敏感数据在网络传输信道上的安全性，保证数据的完整性以及不可被篡改性。本专利技术主要考虑了目前网络中存在的数据通信安全问题，结合现有的安全技术，在数据通信系统结构之上，从有效的身份认证和数据安全传输两个方面完成了数据安全通信的过程，其方案安全性较高，可行性较高。由此可见，构建实时数据通信方法的意义重大。附图说明图1为数据通信安全架构图；图2为身份认证过程流程图；图3为基于KDC的会话密钥共享过程；图4为实时数据加密传输过程。具体实施方式下面对实时数据通信安全方法作进一步细化说明，它包括下述步骤：步骤1、数据通信安全架构解析：根据数据通信系统整体结构体系，结合数据通信过程的安全需求，可以将数据通信安全架构分为3大块。其中，I区为外部网络，客户端通过外部网络进行对局域网中内部系统的访问与数据操作。第一道防火墙，来实现对中心局域网的安全保护，利用防火墙的过滤功能来实现它与上级网、Internet之间相互访问控制。II区中速通防火墙的入侵检测模块，实现对调度中心局域网的安全保护，利用速通防火墙可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，与防火墙模块实现联动，自动调整控制规则，为整个局域网络提供动态的网络保护。III区为内部网，包含应用服务器、数据服务器、以及KDC密钥管理中心。三者构成了内部私有云，存储了系统中的敏感数据以及其他设备的信息。其内网边界的第二道防火墙自带的认证功能，可以实现内部用户认证，同时可以结合用户原有的域用户认证或者radius认证，实现用户级的访问控制。步骤2、数据通信安全分析：在一般的数据通信过程中涉及两个重要的问题：①认证(鉴别)问题，确保通信双方的合法性以及数据的真实性，防止篡改、冒充等主动攻击。②保密性问题，防止攻击者破译系统服务器中的机密信息。通过数据通信安全架构分析，可以看到针对数据通信安全威胁有以下3个。(1)身份认证和非授权访问在系统的一般安全防范中仅依靠用户ID和口令的认证很不安全,容易被猜测或盗取,会带来很大的安全风险。非授权的用户通过假冒、身份攻击等违反安全策略的操作，避本文档来自技高网...

【技术保护点】
1.一种实时数据通信安全方法，其特征在于：包含以下步骤：步骤(1)身份认证过程：用户在客户端处通过用户名和登录密码进行登录请求Q，服务器端接收到登录请求Q之后，返回一个具有时效性的随机数K给客户端作为响应，并在会话中记录K，然后客户端将自动获取其设备唯一标识符mac值，并将此mac值与K做HMAC运算，得到信息摘要HMAC(K,mac)，随后将此信息摘要发送到服务器端；同时，服务器端使用该随机数K与存储在服务器数据库中该用户的mac地址进行HMAC运算，然后将服务器的运算结果与客户端的运算结果做比较，若结果一致，则通过认证，用户获取到访问数据的服务权限，若结果不一致，则驳回申请，登录失败；(2)安全信道的建立：在系统实时数据通信过程中，通过可信第三方KDC密钥分配中心产生会话密钥KS，利用SM2椭圆曲线公钥加密和数字签名实现客户端和服务器端之间会话密钥KS的共享，建立安全信道；(3)会话密钥的管理：采用算法来产生一次性会话密钥，同时对密钥进行有效的分配、存储和撤销；(4)实时数据的传输：在建立安全信道之后，通信双方用共享的会话密钥KS对实时数据进行AES对称加密传输，实现对数据的安全传输；在一次会话结束后KDC会撤销当次的会话密钥，实现“一次一密”的加密方式从而保证数据传输过程的安全。...

【技术特征摘要】
1.一种实时数据通信安全方法，其特征在于：包含以下步骤：步骤(1)身份认证过程：用户在客户端处通过用户名和登录密码进行登录请求Q，服务器端接收到登录请求Q之后，返回一个具有时效性的随机数K给客户端作为响应，并在会话中记录K，然后客户端将自动获取其设备唯一标识符mac值，并将此mac值与K做HMAC运算，得到信息摘要HMAC(K,mac)，随后将此信息摘要发送到服务器端；同时，服务器端使用该随机数K与存储在服务器数据库中该用户的mac地址进行HMAC运算，然后将服务器的运算结果与客户端的运算结果做比较，若结果一致，则通过认证，用户获取到访问数据的服务权限，若结果不一致，则驳回申请，登录失败；(2)安全信道的建立：在系统实时数据通信过程中，通过可信第三方KDC密钥分配中心产生会话密钥KS，利用SM2椭圆...

【专利技术属性】
技术研发人员：田有亮，杨新欢，李秋贤，王缵，
申请(专利权)人：贵州大学，
类型：发明
国别省市：贵州,52