一种数据通信及存储方法

一种数据通信及存储方法
【专利说明】
所属技术领域
[0001 ]本发明涉数据处理技术领域，具体涉及一种数据通信及存储方法。
【背景技术】
[0002]随着通信技术的高速发展，用户终端的功能越来越丰富多样，用户终端中保存的用户私密信息也越来越多，为了保证用户终端中存储的用户数据的安全性，需要对用户终端中存储的用户数据进行加密。现如今随着信息时代的发展，信息交互安全也越来越受到人们的关注。目前，在各种数据交互中都有采取一些加密的措施，主要都是运用一些数字加密的方法。
[0003]数字证书是一种电子身份证明，通常数字证书是一个不变的加密数据，我们所使用的密码，口令以及数字证书为了安全，已经很少采用明文数据了，都采用了加密数据，加密数据都是利用程序设定一个加密协议，即通过一定的算法保障加密解密的一致性以方便验证
[0004]现在非常普遍的一种安全通信通道建立与数据保护方法是使用安全传输层协议(TLS)，用于在两个通信终端之间基于数字证书的特性，提供保密性和数据完整性。TLS握手协议分为单向认证与双向认证。如果要保障通讯双方的数据以及业务安全，需要使用双向认证的方式，就是双方都会互相认证，也就是两者之间将会交换证书。以下仅介绍双向认证流程，基本的过程为交互终端向服务器发送连接申请，在服务器端将服务器端的证书、经控制中心私钥签名后的协商数据、数字签名以及协商的结果一起发送给交互终端。交互终端则使用控制中心证书中的公钥对协商数据的签名验证成功后，将交互终端证书以及使用交互终端私钥签名后的密钥协商数据与数字签名回复给服务器端。而服务器端则会用交互终端证书中的公钥来验证数字签名的合法性。
[0005]但这种通信方式依然存在较大泄密的风险，因为没有动态数据参与加密运算，那么加密的结果是不会改变的，从技术原理上看，仅仅依靠用户输入的密码，没有动态数据参与，无论加密过程多么复杂，一旦源代码泄露，都难逃被大面积破解的命运，道理很简单，掌握了源代码，密码破解者就可以采用输入密码获得加密结果，而网站需要面对数量众多的终端，对所有的终端必须采取相同的通信协议，否则，就可能甲终端能通过验证。

【发明内容】

[0006]本发明提供一种数据通信及存储方法，该方法可更快速地建立安全通信通道，加大了数字证书的破解难度，可增强数据通信过程的安全性和可靠性，同时该方法在数据存储过程中具有很好的兼容性和读写效率。
[0007]为了实现上述目的，本发明提供一种数据通信及存储方法，该方法包括如下步骤:
[0008](1)构建一个包括控制中心、交互终端、交互介质通信系统，交互终端能够向所述交互介质写入数据并能够从所述交互介质读出数据；
[0009](2)建立安全通信通道，双向连接交互终端与控制中心，控制中心对所述进入系统的交互终端的数据进行处理和控制；
[0010](3)控制中心通过安全通信通道完成交互终端的安全验证，如果交互终端不安全，则阻止该交互终端的数据进入系统进行，如果交互终端安全，则允许该交互终端数据进入系统；
[0011](4)对进入系统的交互终端的数据进行存储。
[0012]优选的，在步骤(2)采用如下步骤完成安全通信通道的建立:
[0013](21)在交互终端向控制中心发送连接申请时，交互终端首先查询是否已缓存与控制中心的会话连接信息，是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算，将会话号与摘要结果写入连接申请包的会话ID与会话密钥摘要字段中；再查询是否已缓存控制中心证书，是则将控制中心的证书序列号写入连接申请包的控制中心证书序列号字段中，再将交互终端证书的序列号写入交互终端证书序列号字段中；填写非对称加密和数字签名算法组合列表，并向控制中心发送连接申请；
[0014](22)控制中心接收到交互终端发送的连接申请数据包后，根据会话号查询是否缓存有对应的会话连接信息，是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算，将计算结果与交互终端发送的会话密钥的摘要数据进行比对;如果对比结果一致，则将会话密钥与对称算法作为安全通信通道中数据保护的密钥与算法，并进入下一步；
[0015](23)控制中心向终端发送协商结束命令，终端收到控制中心发送的协商结束命令后，安全通道建立结束。
[0016]优选的，所述(22)中，如果对比结果不一致，则执行下述步骤流程:
[0017](221)控制中心读取交互终端发送的控制中心证书的序列号，如果与本端使用的证书序列号一致，则不发送控制中心的证书至交互终端，并执行下一步流程；
[0018](222)控制中心读取交互终端发送的交互终端证书的序列号，根据该序列号查询是否已缓存交互终端证书;是则不需要交互终端向控制中心发送交互终端的证书，并执行下述工作流程:
[0019](2221)控制中心读取交互终端发送的算法组合列表，选择一组加密强度最高的算法组合作为以下流程中使用的加密算法组合，发送至交互终端，并执行下一步流程；
[0020](2222)控制中心生成一组临时的非对称密钥对，使用控制中心的私钥以及所述步骤(2221)中所选择的算法组合中的非对称算法对临时公钥进行数字签名，将签名结果与临时公钥组包，向终端发送密钥交互数据包；
[0021 ] (2223)向交互终端发送连接申请结束数据包；
[0022](2224)交互终端收到控制中心发送的连接申请响应数据包，缓存密钥协商算法组合与会话号;交互终端如果收到控制中心发送的控制中心证书数据包，对控制中心证书进行合法性验证，验证成功，则使用证书中的序列号作为标识，缓存控制中心的数字证书;验证失败，则退出本流程，断开连接;交互终端如果收到控制中心发送的申请交互终端证书的申请数据包，则将本端的证书组包成证书数据包，向控制中心发送;交互终端收到控制中心发送的密钥协商数据包，则使用缓存的控制中心证书中的公钥与所述缓存的密钥协商算法组合中的非对称算法，对控制中心的临时公钥签名信息进行验证，如果不成功则退出流程，并断开链接;如果成功则执行下一步；
[0023](2225)交互终端随机生成一个会话密钥，作为安全通道中数据保护的密钥，使用算法组合中的对称算法作为保护算法;使用会话号作为标识，将会话密钥、对称算法与摘要算法进行缓存;使用非对称算法对会话密钥进行加密，并使用非对称算法对加密后的会话密钥进行数字签;将加密后的会话密钥以及数字签名组包，向控制中心发送密钥协商数据包；
[0024](2226)向控制中心发送协商结束命令；
[0025](2227)控制中心如果收到交互终端证书数据包，对交互终端证书进行合法性验证，如果验证成功，使用证书中的序列号作为标识，缓存控制中心的数字证书;如果验证失败，则退出本流程，断开连接；
[0026](2228)控制中心收到交互终端发送的密钥协商数据包后，使用交互终端证书中的公钥以及步骤(22)中所选择的算法组合中的非对称算法对签名数据进行签名