网络安全通讯方法、数据安全处理装置和用于金融的系统制造方法及图纸

本发明专利技术提供一种网络安全通讯方法、数据安全处理装置和用于金融的系统，涉及网络技术领域。其中网络安全通讯方法包括：在安全终端中，对要发送的数据进行传输层安全协议封装；在所述安全终端中，对所述传输层安全协议封装后的数据进行网络层安全协议封装。本发明专利技术将传输层的安全机制嵌套在网络层的安全机制之中，可以从不同的网络层次抵御攻击，从而加强了整个系统的安全性。

【技术实现步骤摘要】

本专利技术涉及网络
，特别是涉及一种网络安全通讯方法、数据安全处理装 置和用于金融的系统。
技术介绍
目前有很多网上应用系统采用了基于IPSec(Internet ProtocolSecurity，网络 协议安全)或者SSUsecure sockets layer，加密套接字协议层)协议的安全方案。IPSec 协议是设计为IPv4和IPv6协议提供基于加密安全的网络层协议。SSL协议主要解决的是 应用层的信息安全，负责认证访问者的身份及权限，以及应用信息安全加密通道的建立和 数据加密传输。事实上，只考虑应用层或是网络层的信息安全是不够的。例如，在金融系统中，现 有技术的支付终端一般只采用SSL或TLS安全方案，从而导致安全上的隐患。近年来网上 支付系统的实践表明，许多网上金融案件(如利用虚假网站实行网络钓鱼诈骗)的发生都 是因为疏于网络的防护。
技术实现思路
本专利技术的目的是提出一种网络安全通讯方法、数据安全处理装置和金融系统，对 网络通讯数据进行双重保护。为实现上述目的，本专利技术提供了一种网络安全通讯方法，包括在安全终端中，对 要发送的数据进行传输层安全协议封装；在所述安全终端中，对所述传输层安全协议封装 后的数据进行网络层安全协议封装。进一步的，在所述安全终端中，对接收到的数据进行网络层安全协议解封装；在所 述安全终端中，对所述网络层安全协议解封装后的数据进行传输层安全协议解封装。在一个实施例中，所述网络层安全协议封装是网络层网络协议安全IPSec协议封 装；所述传输层安全协议封装是DSL协议封装、加密套接字协议层SSL协议封装或传输层安 全TLS协议封装。在一个实施例中，在对数据进行所述传输层安全协议封装之前，还包括身份认证 步骤所述安全终端根据安全熵信息参数和重组逻辑模型计算身份认证信息，将所述身份 认证信息发送给通讯对方；所述通讯对方根据接收的身份认证信息和可重组逻辑模型获得 授权证书，根据所述授权证书进行身份认证。进一步的，所述安全熵信息参数CTi = CSTi, CSKi, Ri,其中Ri为随机数，CSTi为用 户安全熵，CSKi为系统安全熵；所述身份认证信息包括Xi、Yi、CTi以及Xi、Yi、CTi的摘要信 息，所述安全终端根据安全熵信息参数和重组逻辑模型计算身份认证信息的步骤包括根 据安全熵信息参数CTi和重组逻辑模型计算安全熵混合数STi ；根据安全熵混合数和随机数 计算XpYi ；所述根据接收的身份认证信息和可重组逻辑模型获得授权证书的步骤包括提 取安全熵信息参数，根据指令建立可重组逻辑模型；根据安全熵信息参数和可重组逻辑模型计算安全熵指数；根据安全熵指数和身份认证信息计算授权公钥证书。在一个实施例中，在对数据进行所述传输层安全协议封装之前，还包括密钥交换 步骤所述安全终端在每次通讯时都生成一个密钥随机数，将所述密钥随机数进行加密并 与通讯对方交换以获得所述通讯对方的密钥随机数。为实现上述目的，本专利技术还提供了一种数据安全处理装置，包括传输层输出处理 模块，用于对要发送的数据进行传输层安全协议封装，发送所述经过传输层安全协议封装 后的数据；网络层输出处理模块，用于接收所述经过传输层安全协议封装后的数据，对接收 的所述数据进行网络层协议封装。进一步的，所述数据安全处理装置还包括网络层输入处理模块，用于对接收到的 数据进行网络层协议解封装，发送所述经过网络层协议解封装后的数据；传输层输入处理 模块，用于接收所述经过网络层协议解封装后的数据，对所述网网络层协议解封装后的数 据进行传输层安全协议解封装。在一个实施例中，所述数据安全处理装置还包括协议栈输出处理模块，用于将经 过传输层安全协议封装后的数据处理成网络数据包并发送给所述网络层输出处理模块；协 议栈输入处理模块，用于将接收到的经过网络层协议解封装后的数据进行整合并发送给所 述传输层输入处理模块。在一个实施例中，所述数据安全处理装置还包括算法模块，通过硬件资源模块的 不同组合提供多种算法供所述网络层输出处理模块、所述传输层输出处理模块、所述网络 层输入处理模块和所述传输层输入处理模块调用。在一个实施例中，所述数据安全处理装置还包括身份认证模块，用于通过可重组 逻辑电路对包含所述数据安全处理装置的安全终端的已经授权身份信息进行加密，发送加 密后的身份信息；和/或用于通过所述可重组逻辑电路对接收到的经加密后的身份信息进 行计算以提取发送所述身份信息的终端的公钥证书信息，并根据所述公钥证书信息判定发 送所述身份信息的终端为已经授权的终端。进一步的，所述可重组逻辑电路包括硬件资源模块，其中所述硬件资源模块包括 功能编码单元，通过控制所述功能编码单元能够控制所述硬件资源模块的功能；和/或网 络编码单元，所述硬件资源模块之间通过所述网络编码单元连接以能够控制所述硬件资源 模块之间的连接关系，因此所述可重组逻辑电路能够组合成不同的逻辑模型以提高对所述 身份信息的保密级别。在一个实施例中，包含所述数据安全处理装置的安全终端为支付终端。为实现上述目的，本专利技术还进一步提供了一种用于金融的系统，包括金融系统网 关；安全终端通过网络与所述金融系统网关相连接，用户通过所述安全终端与所述金融系 统网关进行交易，所述安全终端包括接口模块，用于传输数据；与接口模块相连的传输层 输出处理模块，所述传输层输出处理模块对要发送的数据在传输层进行加密；与所述传输 层输出处理模块和所述接口模块相连的网络层输出处理模块，所述网络层输出处理模块将 加密后的所述要发送的数据在网络层进行密码封装；与接口模块相连的网络层输入处理模 块，所述网络层输入处理模块将接收到的数据进行解封装，其中所述接受到的数据在传送 前进行过所述加密和所述密码封装；和与所述网络层输入处理模块和所述接口模块相连的 传输层输入处理模块，将已解封装的所述接收到的数据进行解密；以及安全管理中心，对所述安全终端和所述金融系统网关进行授权。在一个实施例中，所述安全终端还包括认证单元，通过所述安全终端的可重组逻 辑电路所述传输层认证模块对接收到的加密后的身份信息进行计算以提取发送所述身份 信息的终端的公钥证书信息，并根据所述公钥证书信息判定发送所述身份信息的终端为已 经所述安全管理中心授权的终端。附图说明此处所说明的附图用来提供对本专利技术的进一步解释，构成本专利技术的一部分。本发 明的示意性实施例及其说明仅用于解释本专利技术，但并不构成对本专利技术的不当限定。在附图 中图1为根据本专利技术实施例的网络安全通讯系统的结构示意图。图2a为根据本专利技术实施例的安全终端中数据安全处理装置的结构示意图。图2b为根据本专利技术实施例的安全终端结构示意图。图3为根据本专利技术实施例的网络安全通讯方法的流程图。图4为根据本专利技术实施例的身份认证方法的流程图。图5为根据本专利技术另一实施例的身份认证方法中获得身份认证信息的流程图。图6为根据本专利技术实施例的安全熵体系结构图。图7为根据本专利技术进一步实施例的身份认证方法的流程图。具体实施例方式下面参照附图对本专利技术进行更详细的描述，其中说明本专利技术的示例性实施例。图1为根据本专利技术实施例的网络安全通讯系统100的结构示意图。如图1所示， 网络安全通讯系统100可以是一个用于金融的系统，包括安全终端102、银行卡112、安全管本文档来自技高网...

【技术保护点】
一种网络安全通讯方法，其特征在于，包括：　　在安全终端中，对要发送的数据进行传输层安全协议封装；　　在所述安全终端中，对所述传输层安全协议封装后的数据进行网络层安全协议封装。

【技术特征摘要】
1.一种网络安全通讯方法，其特征在于，包括在安全终端中，对要发送的数据进行传输层安全协议封装；在所述安全终端中，对所述传输层安全协议封装后的数据进行网络层安全协议封装。2.根据权利要求1所述的网络安全通讯方法，其特征在于，还包括 在所述安全终端中，对接收到的数据进行网络层安全协议解封装；在所述安全终端中，对所述网络层安全协议解封装后的数据进行传输层安全协议解封装。3.根据权利要求1所述的网络安全通讯方法，其特征在于，所述网络层安全协议封装 是网络层网络协议安全IPSec协议封装；所述传输层安全协议封装是DSL协议封装、加密套 接字协议层SSL协议封装或传输层安全TLS协议封装。4.根据权利要求3所述的网络安全通讯方法，其特征在于，在对数据进行所述传输层 安全协议封装之前，还包括身份认证步骤所述安全终端根据安全熵信息参数和重组逻辑模型计算身份认证信息，将所述身份认 证信息发送给通讯对方；所述通讯对方根据接收的身份认证信息和可重组逻辑模型获得授权证书，根据所述授 权证书进行身份认证。5.根据权利要求4所述的网络安全通讯方法，其特征在于，所述安全熵信息参数CTi = CSTi, CSKi, Rj，其中Ri为随机数，CSTi为用户安全熵，CSKi 为系统安全熵；所述身份认证信息包括H CTi以及X” I、CTi的摘要信息，所述安全终端根据安全熵信息参数和可重组逻辑模型计算身份认证信息的步骤包括根据安全熵信息参数CTi和可重组逻辑模型计算安全熵混合数STi ； 根据安全熵混合数和随机数计算X” Yi ；所述根据接收的身份认证信息和可重组逻辑模型获得授权证书的步骤包括 提取安全熵信息参数，根据指令建立可重组逻辑模型； 根据安全熵信息参数和可重组逻辑模型计算安全熵指数； 根据安全熵指数和身份认证信息计算授权公钥证书。6.根据权利要求3所述的网络安全通讯方法，其特征在于，在对数据进行所述传输层 安全协议封装之前，还包括密钥交换步骤，具体为所述安全终端在每次通讯时都生成一个密钥随机数，将所述密钥随机数进行加密并与 通讯对方交换以获得所述通讯对方的密钥随机数。7.一种数据安全处理装置，其特征在于，包括传输层输出处理模块，用于对要发送的数据进行传输层安全协议封装，发送所述经过 传输层安全协议封装后的数据；网络层输出处理模块，用于接收所述经过传输层安全协议封装后的数据，对接收的所 述数据进行网络层协议封装。8.根据权利要求7所述的数据安全处理装置，其特征在于，还包括网络层输入处理模块，用于对接收到的数据进行网络层协议解封装，发送所述经过网络层协议解封装后的数据；传输层输入处理模块，用于接收所述经过网络层协议解封装后的数据，对所述网网络 层协议解封装后的数据进行传输层安全协议解封装。9.根据权利要求8所述的数...

【专利技术属性】
技术研发人员：刘大力，曹春春，
申请(专利权)人：北京多思科技发展有限公司，
类型：发明
国别省市：11[中国|北京]