CN104394123A - 一种基于http协议的数据加密传输***及方法 - Google Patents

一种基于http协议的数据加密传输***及方法 Download PDF

Info

Publication number
CN104394123A
CN104394123A CN201410618704.5A CN201410618704A CN104394123A CN 104394123 A CN104394123 A CN 104394123A CN 201410618704 A CN201410618704 A CN 201410618704A CN 104394123 A CN104394123 A CN 104394123A
Authority
CN
China
Prior art keywords
http
client
service end
agreement
data encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410618704.5A
Other languages
English (en)
Inventor
孙付
李雪兵
何文森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Westone Information Industry Inc
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN201410618704.5A priority Critical patent/CN104394123A/zh
Publication of CN104394123A publication Critical patent/CN104394123A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于http协议的数据加密传输***及方法。http协议和数据加密相结合,采用双因子认证和非对称加密,每步信息交互带一个消息ID防止重放,ID依次递增,当大于某个指定值时,重新计算会话密钥。保护信息传输的机密性防止用户非法接入网络,旁听窃取、破环网络上传递的数据。

Description

一种基于http协议的数据加密传输***及方法
技术领域
本发明涉及一种基于http协议的数据加密传输***及方法,特别是涉及一种适用于保密传输信息的基于http协议的数据加密传输***及方法。
背景技术
HTTP 是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息***。随着web应用领域的发展,http协议的安全性要求也达到了前所未有的高度。
但是传统的HTTPS等技术,使得网关、代理***不能有效处理HTTP协议,丧失了HTTP在网络上传输的优势,本发明在HTTP内部实现安全功能,使得本方式有更好的易用和兼容性。
发明内容
本发明要解决的技术问题是提供一种使http协议更安全可靠,使数据加密传输更易用、兼容的基于http协议的数据加密传输***及方法。
本发明采用的技术方案如下:一种基于http协议的数据加密传输***,包括客户端,服务端,其特征在于,还包括:
http数据加密传输控件,以动态库的形式为用户程序提供服务;
身份认证模块,对登录用户进行双因子认证。
作为优选,还包括会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。
一种基于http协议的数据加密传输***,包括客户端,服务端,其特征在于,还包括:
http数据加密传输控件,以动态库的形式为用户程序提供服务;
会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。
一种基于http协议的数据加密传输方法,其特征在于,http数据加密传输控件以动态库的形式为用户程序提供服务;会话密钥协商模块使用非对称密码算法进行客户端与服务端的会话密码协商,将计算出的会话密钥进行数据传输的加解密操作。
作为优选,所述方法还包括对登录用户进行用户账号与加密硬件模块绑定的双因子认证。
作为优选,所述密钥协商的具体步骤为:
步骤一、http客户端发送用户公钥到http 服务端;
步骤二、http服务端生成随机数R1,计算出R1的MD5摘要值HR1,用私钥对HR1签名得到SHR1,用客户端公钥加密R1得到ER1,把加密后的ER1和生成的签名值SHR1一起封装成http响应包传给客户端;
步骤三、客户端用私钥解密ER1,得到明文R1,接着计算R1的MD5摘要值,然后用服务端的公钥对签名值SHR1进行验签;
步骤四、客户端生成随机数R2,计算出R2的MD5摘要值HR2,用私钥对HR2进行签名,得到签名值SHR2,用服务端的公钥加密R2得到密文ER2,把ER2和SHR2一起封装成http响应包发给服务端;
步骤五、服务端用私钥解密ER2得到R2,然后对客户端的签名值SHR2进行验签;
步骤六、客户端(或服务端)通过R1和R2异或运算计算出本次会话密钥。
作为优选,所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商。
一种基于http协议的数据加密传输方法,其特征在于,http数据加密传输控件以动态库的形式为用户程序提供服务;对登录用户进行用户账号与加密硬件模块绑定的双因子认证。
作为优选,所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商。
与现有技术相比,本发明的有益效果是:防止用户非法接入网络,旁听窃取、重放攻击、破环网络上传递的数据,对网络通道进行安全保护。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括任何附加权利要求、摘要)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
一种基于http协议的数据加密传输***,包括客户端,服务端,还包括:
http数据加密传输控件,以动态库的形式为用户程序提供服务,结合密码学技术可以使http协议更安全,可靠。
身份认证模块,对登录用户进行双因子认证,即用户帐号与加密硬件模块绑定。
会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。
一种基于http协议的数据加密传输方法, http数据加密传输控件以动态库的形式为用户程序提供服务。
会话密钥协商模块使用非对称密码算法进行客户端与服务端的会话密码协商,将计算出的会话密钥进行数据传输的加解密操作,客户端与服务端的私钥都存在加密硬件模块中,这样做保证了密钥的高安全性,同时也应证了通信双方的身份。
对登录用户进行用户账号与加密硬件模块绑定的双因子认证。使用硬件与用户口令的方式,减少了由于帐户和口令泄露而对数据进行非法访问与破坏。
在本具体实施例中,密钥协商的具体步骤为:
步骤一、http客户端发送用户公钥到http 服务端;
步骤二、http服务端生成随机数R1,计算出R1的MD5摘要值HR1,用私钥对HR1签名得到SHR1,用客户端公钥加密R1得到ER1,把加密后的ER1和生成的签名值SHR1一起封装成http响应包传给客户端;
步骤三、客户端用私钥解密ER1,得到明文R1,接着计算R1的MD5摘要值,然后用服务端的公钥对签名值SHR1进行验签;
步骤四、客户端生成随机数R2,计算出R2的MD5摘要值HR2,用私钥对HR2进行签名,得到签名值SHR2,用服务端的公钥加密R2得到密文ER2,把ER2和SHR2一起封装成http响应包发给服务端;
步骤五、服务端用私钥解密ER2得到R2,然后对客户端的签名值SHR2进行验签;
步骤六、客户端(或服务端)通过R1和R2异或运算计算出本次会话密钥。
后面的数据传输就使用第六步计算出的会话密钥进行对称加解密操作,提高了http协议数据传输的机密性和完整性,防止用户非法接入网络,旁听窃取、破环网络上传递的数据。
所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商以保证会话密钥的机密性,同时防止消息重放攻击。 

Claims (9)

1.一种基于http协议的数据加密传输***,包括客户端,服务端,其特征在于,还包括:
http数据加密传输控件,以动态库的形式为用户程序提供服务;
身份认证模块,对登录用户进行双因子认证。
2.根据权利要求1所述的数据加密传输***,其特征在于,还包括会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。
3.一种基于http协议的数据加密传输***,包括客户端,服务端,其特征在于,还包括:
http数据加密传输控件,以动态库的形式为用户程序提供服务;
会话密钥协商模块,使用非对称密钥算法进行客户端与服务端的会话密钥协商。
4.一种基于http协议的数据加密传输方法,其特征在于,http数据加密传输控件以动态库的形式为用户程序提供服务;会话密钥协商模块使用非对称密码算法进行客户端与服务端的会话密码协商,将计算出的会话密钥进行数据传输的加解密操作。
5.根据权利要求4所述的数据加密传输方法,其特征在于,所述方法还包括对登录用户进行用户账号与加密硬件模块绑定的双因子认证。
6.根据权利要求4所述的数据加密传输方法,其特征在于,所述密钥协商的具体步骤为:
步骤一、http客户端发送用户公钥到http 服务端;
步骤二、http服务端生成随机数R1,计算出R1的MD5摘要值HR1,用私钥对HR1签名得到SHR1,用客户端公钥加密R1得到ER1,把加密后的ER1和生成的签名值SHR1一起封装成http响应包传给客户端;
步骤三、客户端用私钥解密ER1,得到明文R1,接着计算R1的MD5摘要值,然后用服务端的公钥对签名值SHR1进行验签;
步骤四、客户端生成随机数R2,计算出R2的MD5摘要值HR2,用私钥对HR2进行签名,得到签名值SHR2,用服务端的公钥加密R2得到密文ER2,把ER2和SHR2一起封装成http响应包发给服务端;
步骤五、服务端用私钥解密ER2得到R2,然后对客户端的签名值SHR2进行验签;
步骤六、客户端(或服务端)通过R1和R2异或运算计算出本次会话密钥。
7.根据权利要求4到6之一所述的数据加密传输方法,其特征在于,所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商。
8.一种基于http协议的数据加密传输方法,其特征在于,http数据加密传输控件以动态库的形式为用户程序提供服务;对登录用户进行用户账号与加密硬件模块绑定的双因子认证。
9.根据权利要求8所述的数据加密传输方法,其特征在于,所述方法还包括,在每个消息中都包含一个递增的消息MSGID,当消息MSGID达到一定值后,客户端服和服务端重新进行密钥协商。
CN201410618704.5A 2014-11-06 2014-11-06 一种基于http协议的数据加密传输***及方法 Pending CN104394123A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410618704.5A CN104394123A (zh) 2014-11-06 2014-11-06 一种基于http协议的数据加密传输***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410618704.5A CN104394123A (zh) 2014-11-06 2014-11-06 一种基于http协议的数据加密传输***及方法

Publications (1)

Publication Number Publication Date
CN104394123A true CN104394123A (zh) 2015-03-04

Family

ID=52611959

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410618704.5A Pending CN104394123A (zh) 2014-11-06 2014-11-06 一种基于http协议的数据加密传输***及方法

Country Status (1)

Country Link
CN (1) CN104394123A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105591738A (zh) * 2015-12-22 2016-05-18 杭州华三通信技术有限公司 一种密钥更新方法及装置
CN105763335A (zh) * 2016-05-09 2016-07-13 浪潮集团有限公司 一种双签名数字证书的认证实现方法
CN106572076A (zh) * 2016-09-27 2017-04-19 山东浪潮商用***有限公司 一种Web服务访问方法、一种客户端、一种服务端
CN106685937A (zh) * 2016-12-16 2017-05-17 华数传媒网络有限公司 基于Netty封装的自定义互联网电视http协议方法
CN106713237A (zh) * 2015-11-16 2017-05-24 厦门雅迅网络股份有限公司 一种车载终端与中心平台通信的加密方法
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN109088731A (zh) * 2018-09-04 2018-12-25 杭州涂鸦信息技术有限公司 一种物联网云端通信方法及其装置
CN109495445A (zh) * 2018-09-30 2019-03-19 青岛海尔科技有限公司 基于物联网的身份认证方法、装置、终端、服务器及介质
CN109862040A (zh) * 2019-03-27 2019-06-07 北京经纬恒润科技有限公司 一种安全认证方法及认证***
CN110421575A (zh) * 2019-08-06 2019-11-08 南京奥拓电子科技有限公司 一种银行机器人的外设组件的控制***
CN110650113A (zh) * 2018-04-24 2020-01-03 物联智慧股份有限公司 数据加解密方法及***与连网装置及其数据加解密方法
CN112383392A (zh) * 2020-11-13 2021-02-19 随锐科技集团股份有限公司 一种视频会议轮换加密方法、设备及计算机可读存储介质
CN114143026A (zh) * 2021-10-26 2022-03-04 福建福诺移动通信技术有限公司 基于非对称与对称加密的数据安全接口及其工作方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101231737A (zh) * 2008-02-25 2008-07-30 北京飞天诚信科技有限公司 一种增强网上银行交易安全性的***及方法
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证***及方法
CN102664739A (zh) * 2012-04-26 2012-09-12 杜丽萍 一种基于安全证书的pki实现方法
CN103905384A (zh) * 2012-12-26 2014-07-02 北京握奇数据***有限公司 基于安全数字证书的嵌入式终端间会话握手的实现方法
WO2014179535A1 (en) * 2013-05-03 2014-11-06 Citrix Systems, Inc. Secured access to resources using a proxy

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101231737A (zh) * 2008-02-25 2008-07-30 北京飞天诚信科技有限公司 一种增强网上银行交易安全性的***及方法
CN101674304A (zh) * 2009-10-15 2010-03-17 浙江师范大学 一种网络身份认证***及方法
CN102664739A (zh) * 2012-04-26 2012-09-12 杜丽萍 一种基于安全证书的pki实现方法
CN103905384A (zh) * 2012-12-26 2014-07-02 北京握奇数据***有限公司 基于安全数字证书的嵌入式终端间会话握手的实现方法
WO2014179535A1 (en) * 2013-05-03 2014-11-06 Citrix Systems, Inc. Secured access to resources using a proxy

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王宇飞: "《一种基于HTTP摘要认证的SIP安全机制》", 《重庆邮电学院学报》 *

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713237A (zh) * 2015-11-16 2017-05-24 厦门雅迅网络股份有限公司 一种车载终端与中心平台通信的加密方法
CN106713237B (zh) * 2015-11-16 2021-03-23 厦门雅迅网络股份有限公司 一种车载终端与中心平台通信的加密方法
CN105591738A (zh) * 2015-12-22 2016-05-18 杭州华三通信技术有限公司 一种密钥更新方法及装置
CN105591738B (zh) * 2015-12-22 2018-12-25 新华三技术有限公司 一种密钥更新方法及装置
CN105763335B (zh) * 2016-05-09 2019-03-12 浪潮集团有限公司 一种双签名数字证书的认证实现方法
CN105763335A (zh) * 2016-05-09 2016-07-13 浪潮集团有限公司 一种双签名数字证书的认证实现方法
CN106572076A (zh) * 2016-09-27 2017-04-19 山东浪潮商用***有限公司 一种Web服务访问方法、一种客户端、一种服务端
CN106685937A (zh) * 2016-12-16 2017-05-17 华数传媒网络有限公司 基于Netty封装的自定义互联网电视http协议方法
CN106685937B (zh) * 2016-12-16 2019-12-31 华数传媒网络有限公司 基于Netty封装的自定义互联网电视http协议方法
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN110650113A (zh) * 2018-04-24 2020-01-03 物联智慧股份有限公司 数据加解密方法及***与连网装置及其数据加解密方法
CN109088731A (zh) * 2018-09-04 2018-12-25 杭州涂鸦信息技术有限公司 一种物联网云端通信方法及其装置
CN109495445A (zh) * 2018-09-30 2019-03-19 青岛海尔科技有限公司 基于物联网的身份认证方法、装置、终端、服务器及介质
CN109862040A (zh) * 2019-03-27 2019-06-07 北京经纬恒润科技有限公司 一种安全认证方法及认证***
CN109862040B (zh) * 2019-03-27 2021-08-24 北京经纬恒润科技股份有限公司 一种安全认证方法及认证***
CN110421575A (zh) * 2019-08-06 2019-11-08 南京奥拓电子科技有限公司 一种银行机器人的外设组件的控制***
CN112383392A (zh) * 2020-11-13 2021-02-19 随锐科技集团股份有限公司 一种视频会议轮换加密方法、设备及计算机可读存储介质
CN114143026A (zh) * 2021-10-26 2022-03-04 福建福诺移动通信技术有限公司 基于非对称与对称加密的数据安全接口及其工作方法
CN114143026B (zh) * 2021-10-26 2024-01-23 福建福诺移动通信技术有限公司 基于非对称与对称加密的数据安全接口及其工作方法

Similar Documents

Publication Publication Date Title
CN104394123A (zh) 一种基于http协议的数据加密传输***及方法
Vanhoef et al. Key reinstallation attacks: Forcing nonce reuse in WPA2
CN103095696B (zh) 一种适用于用电信息采集***的身份认证和密钥协商方法
CN104735068B (zh) 基于国密的sip安全认证的方法
CN103763356B (zh) 一种安全套接层连接的建立方法、装置及***
CN101917270B (zh) 一种基于对称密码的弱认证和密钥协商方法
CN102036238B (zh) 一种基于公钥实现用户与网络认证和密钥分发的方法
CN101969638B (zh) 一种移动通信中对imsi进行保护的方法
CN107302541A (zh) 一种基于http协议的数据加密传输方法
US9917692B2 (en) Key exchange system, key exchange method, key exchange device, control method thereof, and recording medium for storing control program
CN105163309B (zh) 一种基于组合密码的无线传感器网络安全通信的方法
TW201036394A (en) Method and apparatus for security protection of an original user identity in an initial signaling message
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
WO2011017099A3 (en) Secure communication using asymmetric cryptography and light-weight certificates
CN104158653A (zh) 一种基于商密算法的安全通信方法
JP2012019511A (ja) 無線通信機器とサーバとの間でのデータの安全なトランザクションのためのシステムおよび方法
CN102111411A (zh) P2p网络中对等用户结点间的加密安全数据交换方法
CN102547688A (zh) 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法
CN114765534B (zh) 基于国密标识密码算法的私钥分发***和方法
CN112118106A (zh) 一种基于标识密码的轻量级端到端安全通信认证方法
CN105141629A (zh) 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法
CN106789845A (zh) 一种网络数据安全传输的方法
CN101719895A (zh) 一种实现网络安全通信的数据处理方法和***
Luring et al. Analysis of security features in DLMS/COSEM: Vulnerabilities and countermeasures
CN107276755B (zh) 一种安全关联方法、装置及***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20150304

RJ01 Rejection of invention patent application after publication