CN107733635A - 基于网关的数据安全传输方法 - Google Patents

Abstract

本发明涉及信息安全传输领域，其公开了一种基于网关的数据安全传输方法，在不改变现有架构，不影响现有业务的前提下，实现数据安全传输。本发明中，通过在业务服务器之前，家庭网络入口处部署安全网关实现安全传输；在进行数据传输时，首先协商终端侧安全网关和业务服务器侧安全网关的会话密钥，然后对发送数据包进行签名并添加发送时间信息后采用会话密钥加密发送给接收端，在签名时加入了传输时间；接收端收到数据包后采用会话密钥进行解密，对发送时间信息进行验证，验证通过后签名进行校验。

Description

基于网关的数据安全传输方法

技术领域

本发明涉及信息安全传输领域，具体涉及一种基于网关的数据安全传输方法。

背景技术

随着物联网的逐步发展，越来越多的智能家电和家居逐渐走进人们的家庭里，生活的质量也随着科技的进步而得到提高。但是随之而来的安全问题也逐渐的显现出来，而且开始愈演愈烈，使得人们的个人信息处于危险的状态下。

由于终端设备本身资源的限制，传输时没有采用安全传输，或使用弱算法的安全传输方式，使得其中传输的信息可以轻易的被截取，从而导致个人信息暴露和自己的智能设备被恶意操控等不良的后果。

发明内容

本发明所要解决的技术问题是：提出一种基于网关的数据安全传输方法，在不改变现有架构，不影响现有业务的前提下，实现数据安全传输。

本发明解决上述技术问题采用的技术方案是：

一种基于网关的数据安全传输方法，应用于包括终端侧安全网关、业务服务器侧安全网关、时间服务器和CA服务器的数据安全传输***中；所述终端侧安全网关和业务服务器侧安全网关中均设置有CA服务器颁发的用作身份唯一标识的证书，且均支持对称加密算法、非对称加密算法和单项哈希算法；该方法包括以下步骤：

a.终端侧安全网关与服务器侧安全网关之间建立会话密钥；

b.终端或服务器端作为发送端在发送http协议包时的处理步骤包括b1-b4：

b1.从时间服务器获得当前的时间值，然后以头部字段名time，值为获取的当前时间值的格式写入http协议的头部，记为HTTPAT；

b2.对HTTPAT使用单项哈希函数生成hashA值；

b3.使用发送端私钥对hashA进行加密，生成enhashA，然后以头部字段名sign，值为enhashA的格式写入http协议的头部，记为HTTPAS；

b4.采用步骤a中建立的会话密钥对HTTPAS进行加密生成HTTPAD，然后发送给接收端；

c.服务器端或终端作为接收端在接收http协议包时的处理步骤包括c1-c7：

c1.使用会话密钥解密HTTPAD，得到HTTPAS；

c2.从HTTPAS的头信息中获得发送端的发送时间值；

c3.从时间服务器获取当前时间并与发送端的发送时间值进行比较，判断差值是否在阈值范围内，若是，则进入步骤c4,否则，丢弃数据包，断开连接；

c4.将发送端的公钥和发送时间进行拼接，以此判断数据包是否已经被接收端存储，如果是，则丢弃该数据包，断开连接；否则，对该数据包进行存储，进入步骤c5；

c5.从HTTPAS的头信息中删除头部字段名为sign，值为enhashA的部分，获得HTTPAT；然后使用发送端公钥解密得到hashA；

c6.对HTTPAT使用单项哈希函数生成hashA′值；

c7.比较hashA′和步骤c5中的hashA，如果相等，则安全传输已完成；否则，丢弃数据包，断开连接。

作为进一步优化，步骤a具体包括：

a1.终端侧安全网关与业务服务器侧安全网关之间交换CA服务器颁发的证书，并在CA服务器验证证书的信息；

a2.业务服务器侧安全网关生成随机密钥，先使用终端侧安全网关的公钥加密，然后再使用服务器侧安全网关的私钥进行加密；

a3.终端侧安全网关先使用服务器侧的公钥解密，然后再使用自己的私钥解密，得到会话密钥；

a4.终端侧安全网关发送确认数据包。

作为进一步优化，步骤c3中，所述阈值范围为3分钟。

本发明的有益效果是：

使用可信CA颁发的证书，以及互联网时间服务器提供安全传输的基础，通过在业务服务器之前，家庭网络入口处部署安全网关实现安全传输，在不改变现有架构，不影响业务的条件下，保障传输的安全，加强了***的安全性。

附图说明

图1为实现数据安全传输的网关部署示意图。

具体实施方式

本发明旨在提出一种基于网关的数据安全传输方法，在不改变现有架构，不影响现有业务的前提下，实现数据安全传输。

在实施本发明之前，需要在业务服务器之前，家庭网络入口处部署安全网关，如图1所示；终端侧安全网关和业务服务器侧安全网关中均设置有CA服务器颁发的用作身份唯一标识的证书，且均支持对称加密算法(如aes，用于密文传输)、非对称加密算法(如rsa，用于进行签名)和单项哈希算法(如sha256，用于信息的完整性)；

在部署上述网关后，实现的数据安全传输方法包括以下步骤：

1)终端侧安全网关和业务服务器侧安全网关之间使用CA的证书和算法建立会话密钥：

a)终端侧安全网关与业务服务器侧安全网关之间交换CA颁发的证书，在CA服务器那里验证证书的信息；

b)服务器侧安全网关生成随机密钥作为会话密钥，先使用终端侧安全网关的公钥加密，然后再使用服务器侧安全网关的私钥进行加密；

c终端侧安全网关先使用服务器侧的公钥解密，然后再使用自己的私钥解密，得到会话密钥；

d)终端侧安全网关发送确认数据包。

2)发送http协议包的一端使用如下处理方式：

a)从时间服务器获得当前的时间值，以头字段名time，值为获取时间的格式写入http协议的头部，记为HTTPAT

b)对HTTPAT使用单项哈希函数生成hashA值；

c)使用发送端的私钥对hashA进行加密，生成enhashA，以头字段名sign，值为enhashA的格式写入http协议的头部，记为HTTPAS；

d)使用1)中的会话密钥对HTTPAS进行加密，生成HTTPAD，然后发送。

3)接收端使用如下处理方式：

a)使用会话密钥解密HTTPAD，得到HTTPAS；

b)从HTTPAS的头信息中获得time及其值；

c)从时间服务器获取当前时间，与b)中的时间值比较，如果差值在接受范围(比如3分钟)，则进行下一步；否则丢弃数据包，断开连接；

d)将发送端的公钥和发送时间拼接，判断接收端是否已经接收过此数据包，如果是，则丢弃此数据包，断开连接；否则，将其存储，进行下一步；

e)从HTTPAS的头信息中获得并删除头为sign，值为enhashA的部分，使用发送端公钥解密得到hashA；删除sign头之后的http包即是2)a)中的HTTPAT；

f)对HTTPAT使用单项哈希函数生成hashA′值；

g)比较f)中的hashA′和e)中的hashA；如果相等，安全传输已完成；否则丢弃数据，断开连接。

Claims (3)

1.基于网关的数据安全传输方法，其特征在于，应用于包括终端侧安全网关、业务服务器侧安全网关、时间服务器和CA服务器的数据安全传输***中；所述终端侧安全网关和业务服务器侧安全网关中均设置有CA服务器颁发的用作身份唯一标识的证书，且均支持对称加密算法、非对称加密算法和单项哈希算法；

该方法包括以下步骤：

a.终端侧安全网关与服务器侧安全网关之间建立会话密钥；

b.终端或服务器端作为发送端在发送http协议包时的处理步骤包括b1-b4：

b1.从时间服务器获得当前的时间值，然后以头部字段名time，值为获取的当前时间值的格式写入http协议的头部，记为HTTPAT；

b2.对HTTPAT使用单项哈希函数生成hashA值；

b3.使用发送端私钥对hashA进行加密，生成enhashA，然后以头部字段名sign，值为enhashA的格式写入http协议的头部，记为HTTPAS；

b4.采用步骤a中建立的会话密钥对HTTPAS进行加密生成HTTPAD，然后发送给接收端；

c.服务器端或终端作为接收端在接收http协议包时的处理步骤包括c1-c7：

c1.使用会话密钥解密HTTPAD，得到HTTPAS；

c2.从HTTPAS的头信息中获得发送端的发送时间值；

c3.从时间服务器获取当前时间并与发送端的发送时间值进行比较，判断差值是否在阈值范围内，若是，则进入步骤c4,否则，丢弃数据包，断开连接；

c4.将发送端的公钥和发送时间进行拼接，以此判断数据包是否已经被接收端存储，如果是，则丢弃该数据包，断开连接；否则，对该数据包进行存储，进入步骤c5；

c5.从HTTPAS的头信息中删除头部字段名为sign，值为enhashA的部分，获得HTTPAT；然后使用发送端公钥解密得到hashA；

c6.对HTTPAT使用单项哈希函数生成hashA′值；

c7.比较hashA′和步骤c5中的hashA，如果相等，则安全传输已完成；否则，丢弃数据包，断开连接。

2.如权利要求1所述的基于网关的数据安全传输方法，其特征在于，

步骤a具体包括：

a1.终端侧安全网关与业务服务器侧安全网关之间交换CA服务器颁发的证书，并在CA服务器验证证书的信息；

a2.业务服务器侧安全网关生成随机密钥，先使用终端侧安全网关的公钥加密，然后再使用服务器侧安全网关的私钥进行加密；

a3.终端侧安全网关先使用服务器侧的公钥解密，然后再使用自己的私钥解密，得到会话密钥；

a4.终端侧安全网关发送确认数据包。

3.如权利要求1或2所述的基于网关的数据安全传输方法，其特征在于，步骤c3中，所述阈值范围为3分钟。