本发明涉及通信
技术领域:
,具体涉及一种数据加密通信方法及系统。
背景技术:
:对称加密是最快速、最简单的一种加密方式,加密(encryption)与解密(decryption)用的是同样的密钥(secretkey)。对称加密通常使用的是相对较小的密钥,一般小于256bit。因为密钥越大,加密越强,但加密与解密的过程越慢。如果想在传输的过程中不造成信息的泄露,密钥要越大,但是这样造成了正常数据解密的速度大幅度降低。非对称加密为数据的加密与解密提供了一个非常安全的方法,它使用了一对密钥,公钥(publickey)和私钥(privatekey)。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥。对称加密和非对称加密技术在进行数据加密传输时,数据接收方或者数据截取方只要获得到正确的密钥就能够将传输的数据解密出来。互联网环境已经进入了成熟、稳定、高效的阶段,通过合理的使用互联网这个资源能够帮助现有的企业或组织更加合理有效的整合现有的信息资源,使得生产效能大大的提高,信息能够更快的分享出去,很大幅度的提高了团队间的协同工作效率。但是毕竟互联网是一个开放的环境,这样开放的环境将带来许许多多的安全隐患和信息泄露的危险。企业如果想要很好的利用互联网这个大资源而将信息泄露的危险降低到最低,首先会考虑到使用企业的专用网络,将企业的网络和互联网隔离开来,但是这样做成本将大幅度提高。技术实现要素:为了降低企业的成本的同时也能够有一个安全的信息快速共享的机制,通过本发明的数据加密通信方法,企业可以根据业务的具体场景将重要的数据信息共享到互联网,融入到互联网这个大资源池里进行全面的数据分析和挖掘,同时也能够尽最大幅度的保证这些重要数据不为被不法分子获取所造成企业的经济损失。本发明的具体方案如下:一种数据加密通信方法,包括数据认证以及数据查询步骤,数据认证步骤:客户端使用非对称加密的方式加密并发送认证请求信息至认证中心进行认证,若认证成功则返回认证成功的信息以及对称密钥,若认证失败则返回认证失败的信息,数据查询步骤:客户端结合非对称加密的和对称加密的方式加密并发送查询请求信息;认证中心接收查询请求信息;认证中心解密查询请求信息并调用数据查询接口进行数据查询;认证中心结合非对称加密的和对称加密的方式加密查询结果信息;客户端接收查询结果信息并解密查询结果信息获取数据查询结果。进一步的,还包括初始化的步骤:客户端生成一对公钥和私钥,并将客户端公钥发送至认证中心;认证中心生成一对公钥和私钥,并将认证中心公钥发送至客户端;将客户端设备注册到认证中心,注册信息为终端设备硬件特征信息,并通过客户端私钥加密注册信息。进一步的,所述的数据认证步骤具体是:步骤101、客户端通过客户端私钥加密终端设备硬件特征信息;步骤102、客户端发送认证请求信息,该认证请求信息包括设备注册ID以及加密后的终端设备硬件特征信息;步骤103、认证中心接收到认证请求信息,读取设备注册ID识别终端设备信息,接着根据识别出来的终端设备信息获取对应的客户端公钥,解密终端设备硬件特征信息,解密成功进入步骤104,解密失败进入步骤106;步骤104:将步骤103解密出来的终端设备硬件特征信息与注册的设备硬件特征信息对比进行二次认证,认证成功进入步骤105,认证失败进入步骤106;步骤105:以设备硬件特征信息为基础生成一套有一定时效性的对称加密密钥,并进行缓存,进入步骤106;步骤106:拼接响应结果数据包,该响应结果数据包包括认证状态以及对称加密秘钥,认证状态为成功时,对称加密秘钥为步骤105生成的对称加密秘钥,并使用认证中心私钥加密对称加密秘钥,认证状态为失败时,对称加密秘钥为空;步骤107:客户端接收响应结果数据包,获取认证状态信息,若认证状态为认证成功,通过认证中心公钥解密获得对称加密密钥并缓存到本地。进一步的,所述的数据查询步骤具体是:步骤201:客户端组装查询请求信息,查询请求信息包括设备注册ID、终端设备硬件特征信息、查询条件信息;步骤202:获取步骤107缓存的对称加密密钥,使用对称加密密钥加密查询条件信息;步骤203:使用客户端私钥加密查询请求信息中的终端设备硬件特征信息,并使用客户端私钥再一次加密查询条件信息;步骤204:调用认证中心的数据查询服务接口,发送查询请求信息;步骤205:认证中心接收到查询请求信息,读取设备注册ID识别终端设备信息,接着根据识别出来的终端设备信息获取对应的客户端公钥,解密终端设备硬件特征信息以及查询条件信息,解密成功进入步骤206,解密失败进入步骤210;步骤206:根据读取终端设备硬件特征信息在认证中心上获取该终端设备缓存的对称加密密钥,获取成功进入步骤207,未获取到则进入步骤210;步骤207:获取数据共享中心的数据查询接口,获取到可用的数据查询接口,进入步骤208,否则进入步骤210;步骤208:认证中心调用数据查询接口,进行同步数据查询,获取查询结果后进入步骤209,调用数据共享中心的数据查询接口时发生异常则进入步骤210;步骤209:获取认证中心私钥、终端设备对应的对称加密密钥,将查询结果使用对称加密密钥进行对称加密,然后使用认证中心的私钥进行非对称加密;步骤210:组装查询结果信息,查询结果信息包括设备注册ID、查询状态以及查询结果,查询状态为成功时,查询结果为经步骤209加密后的查询结果,查询状态为异常时,查询结果为异常信息;步骤211:客户端接收查询结果信息,查询状态为成功时使用认证中心公钥解密查询结果,然后使用步骤107缓存的对称加密密钥,再次解密查询结果以获取最终查询结果,查询状态为异常时获取异常信息。一种数据加密通信系统,包括:客户端,用于对认证请求信息进行非对称加密并发送认证请求信息,接收响应结果数据包并对响应结果数据包进行非对称解密,对查询请求信息进行对称加密和非对称加密并发送查询请求信息,接收查询结果信息并进行对称解密和非对称解密;认证中心,用于接收认证请求信息并进行非对称解密,进行认证判断,对响应结果数据包进行非对称加密并返回响应结果数据包,接收查询请求信息并进行对称解密和非对称解密,进行查询判断及数据查询,对查询结果信息进行对称加密和非对称加密并返回查询结果信息。本发明的有益效果是:本发明通过结合对称加密技术以及非对称加密技术,对认证信息以及查询信息进行多重加密,提高了数据通信的安全性。附图说明图1为本发明数据认证的流程图;图2为本发明数据查询的流程图。具体实施方式为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。现结合附图和具体实施方式对本发明进一步说明。本发明的系统包括客户端、数据认证中心,其中客户端的功能主要有:1、本地RSA公钥私钥生成2、终端设备注册3、终端设备认证4、数据展现认证中心在本方案中起到承上启下的作用,任何终端设备想要访问数据中心数据的数据都需要经过认证中心的认证并授权,认证中心采用SSLSocket技术对外发布以下几个数据服务接口:1、终端设备注册2、终端设备认证3、数据加密解密4、终端设备状态查询。在本系统中,客户端,用于对认证请求信息进行非对称加密并发送认证请求信息,接收响应结果数据包并对响应结果数据包进行非对称解密,对查询请求信息进行对称加密和非对称加密并发送查询请求信息,接收查询结果信息并进行对称解密和非对称解密。在本系统中,认证中心,用于接收认证请求信息并进行非对称解密,进行认证判断,对响应结果数据包进行非对称加密并返回响应结果数据包,接收查询请求信息并进行对称解密和非对称解密,进行查询判断及数据查询,对查询结果信息进行对称加密和非对称加密并返回查询结果信息。本发明的一实施例的数据加密通信方法,包括数据认证以及数据查询步骤,其中数据认证步骤是:客户端使用非对称加密的方式加密并发送认证请求信息至认证中心进行认证,若认证成功则返回认证成功的信息以及对称密钥,若认证失败则返回认证失败的信息,数据查询步骤包括:客户端结合非对称加密的和对称加密的方式加密并发送查询请求信息;认证中心接收查询请求信息;认证中心解密查询请求信息并调用数据查询接口进行数据查询;认证中心结合非对称加密的和对称加密的方式加密查询结果信息;客户端接收查询结果信息并解密查询结果信息获取数据查询结果。在本实施例中,还包括初始化的步骤:客户端生成一对公钥和私钥,并将客户端公钥发送至认证中心;认证中心生成一对公钥和私钥,并将认证中心公钥发送至客户端;将客户端设备注册到认证中心,注册信息为终端设备硬件特征信息,并通过客户端私钥加密注册信息。在本实施例中,所述的数据认证步骤具体是:步骤101、客户端通过客户端私钥加密终端设备硬件特征信息;步骤102、客户端发送认证请求信息,该认证请求信息包括设备注册ID以及加密后的终端设备硬件特征信息;步骤103、认证中心接收到认证请求信息,读取设备注册ID识别终端设备信息,接着根据识别出来的终端设备信息获取对应的客户端公钥,解密终端设备硬件特征信息,解密成功进入步骤104,解密失败进入步骤106;步骤104:将步骤103解密出来的终端设备硬件特征信息与注册的设备硬件特征信息对比进行二次认证,认证成功进入步骤105,认证失败进入步骤106;步骤105:以设备硬件特征信息为基础生成一套有一定时效性的对称加密密钥,并进行缓存,进入步骤106;步骤106:拼接响应结果数据包,该响应结果数据包包括认证状态以及对称加密秘钥,认证状态为成功时,对称加密秘钥为步骤105生成的对称加密秘钥,并使用认证中心私钥加密对称加密秘钥,认证状态为失败时,对称加密秘钥为空;步骤107:客户端接收响应结果数据包,获取认证状态信息,若认证状态为认证成功,通过认证中心公钥解密获得对称加密密钥并缓存到本地。在本实施例中,所述的数据查询步骤具体是:步骤201:客户端组装查询请求信息,查询请求信息包括设备注册ID、终端设备硬件特征信息、查询条件信息;步骤202:获取步骤107缓存的对称加密密钥,使用对称加密密钥加密查询条件信息;步骤203:使用客户端私钥加密查询请求信息中的终端设备硬件特征信息,并使用客户端私钥再一次加密查询条件信息;步骤204:调用认证中心的数据查询服务接口,发送查询请求信息;步骤205:认证中心接收到查询请求信息,读取设备注册ID识别终端设备信息,接着根据识别出来的终端设备信息获取对应的客户端公钥,解密终端设备硬件特征信息以及查询条件信息,解密成功进入步骤206,解密失败进入步骤210;步骤206:根据读取终端设备硬件特征信息在认证中心上获取该终端设备缓存的对称加密密钥,获取成功进入步骤207,未获取到则进入步骤210;步骤207:获取数据共享中心的数据查询接口,获取到可用的数据查询接口,进入步骤208,否则进入步骤210;步骤208:认证中心调用数据查询接口,进行同步数据查询,获取查询结果后进入步骤209,调用数据共享中心的数据查询接口时发生异常则进入步骤210;步骤209:获取认证中心私钥、终端设备对应的对称加密密钥,将查询结果使用对称加密密钥进行对称加密,然后使用认证中心的私钥进行非对称加密;步骤210:组装查询结果信息,查询结果信息包括设备注册ID、查询状态以及查询结果,查询状态为成功时,查询结果为经步骤209加密后的查询结果,查询状态为异常时,查询结果为异常信息;步骤211:客户端接收查询结果信息,查询状态为成功时使用认证中心公钥解密查询结果,然后使用步骤107缓存的对称加密密钥,再次解密查询结果以获取最终查询结果,查询状态为异常时获取异常信息。系统初始化过程:1、认证中心初始化:生成认证中心端的RSA公钥密钥;2、从认证中心获取认证中心端的RSA公钥,然后配置到终端设备的客户端程序中;3、终端设备初始化:启动客户端程序调用RSAKeyGen(密钥生成算法)生成一套本地的公钥和私钥;4、将客户端公钥配置到认证中心上;5、在客户端程序上初始化认证中心的连接信息;6、将终端设备注册到认证中心中,注册信息为硬件特征信息:如cpu特征码、硬盘特征码、MAC特征码等按一定算法进行组合,然后使用客户端私钥进行加密。结合图1所示,系统处理流程中的认证流程如下:步骤101:客户端程序将终端设备的硬件串使用客户端私钥加密终端设备硬件特征串,然后和设备注册ID拼接成如下的结构;设备注册ID终端设备硬件特征串步骤102:客户端程序调用认证中心认证服务接口,发送认证请求数据;步骤103:认证中心接收到认证请求信息,读取设备注册ID识别终端设备信息,接着根据识别出来的终端设备信息获取对应的客户端公钥,解密终端设备硬件特征串;解密成功进入步骤104,解密失败进入步骤106;步骤104:将步骤103解密出来的终端设备硬件特征串进行二次认证(防止设备注册ID被窃取盗用),认证成功进入步骤105,认证失败进入步骤106;步骤105:根据认证中心内置的对称密钥生成算法,以设备硬件特征串为基础生成一套有一定时效性的对称加密密钥,并进行缓存,进入步骤106;步骤106:拼接响应结果数据包,结构如下;使用认证中心端私钥加密对称加密秘钥;认证状态1:成功-1:失败对称加密密钥(认证状态为-1时为空)步骤107:客户端程序接收到认证成功的状态信息,判断认证成功,同时将返回的对称加密密钥缓存到本地;步骤108:认证过程结束;结合图2所示,系统处理流程中的数据查询流程如下:步骤201:终端设备客户端程序组装数据查询请求信息,请求信息结构如下:设备注册ID终端设备硬件特征串查询条件字符串步骤202:获取步骤107缓存的对称加密密钥,加密“查询条件字符串”步骤203:获取客户端私钥加密数据查询请求信息中的“终端设备硬件特征串”和“查询条件字符串”;步骤204:调用认证中心的数据查询服务接口,发送数据查询请求信息;步骤205:认证中心接收到查询请求,读取设备注册ID识别终端设备信息,接着根据识别出来的终端设备信息获取对应的客户端公钥,解密“终端设备硬件特征串”,“查询条件字符串”,解密成功进入步骤206,解密失败进入步骤210;步骤206:根据读取终端设备硬件特征串在认证中心上获取该终端设备缓存的对称加密密钥,获取成功进入步骤207,未获取到则进入步骤210(由于对称加密密钥有一定的时效性,认证中心需要定时判断缓存中的对称加密密钥是否过期,如果过期将自动清除);步骤207:获取数据共享中心的数据查询接口,获取到可用的数据查询接口,进入步骤208,否则进入步骤210;步骤208:认证中心调用数据数据查询接口,进行同步数据查询,等待数据返回后进入步骤209;调用数据共享中心的数据查询接口时发生异常则进入步骤210;步骤209:获取认证中心端私钥、终端设备对应的对称加密密钥。将查询结果首先进行对称加密,然后使用认证中心端的私钥进行非对称加密;步骤210:组装数据查询结果信息,结构如下,状态1:成功-1:异常设备注册ID结果数据字符串(例如json、xml但不限定这两种),如果状态为-1填入异常信息步骤211:终端设备客户端程序接收查询结果,获取认证中心端公钥解密“结果数据字符串”,然后获取步骤107缓存的对称加密密钥,再次解密“结果数据字符串”。本发明通过结合对称加密技术以及非对称加密技术,对认证信息以及查询信息进行多重加密,提高了数据通信的安全性。尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。当前第1页1 2 3