数据传输方法和装置的制造方法
【技术领域】
[0001 ]本发明涉及数据处理领域,具体而言,涉及一种数据传输方法和装置。
【背景技术】
[0002]伴随着网络信息的发展,网络影响着人们生活的各个方面,随之而来的安全性的要求也就越来越高,对人们在网络活动上的保密性要求也越来越高,应用数据加密技术,保证了人们在网络活动中对自己的数据和一些相关资料的保密的要求,保证了网络的安全性和保密性。
[0003]数据加密技术是数据安全的核心技术,尤其是在当今的电子商务、数字货币、网络银行等各种网络业务的快速的兴起时代,使得如何保护数据安全使之不被窃取、不被篡改或破坏等问题越来越受到人们的重视。解决这些问题的关键就是数据加密技术。所谓加密,就是把“明文”的可读数据转换成“密文”的过程;而解密则是把“密文”恢复为“明文”的过程。加密和解密都要使用密码算法来实现。密码算法是指用于隐藏和显露数据的可计算过程,通常算法越复杂,结果密文就越安全。在加密技术中,密钥是必不可少的,密钥是使密码算法按照一种特定方式运行并产生特定密文的值。
[0004]现有技术中的对称算法又叫做传统密码算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加/解密的密钥是相同的。这些算法也叫秘密密钥或单密钥算法,它要求发送者和接收者在进行安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加/解密。因此对称算法就是指加密和解密过程均采用同一把密钥,在对称算法中,只要通信需要保密,密钥就必须保
LU O
[0005]虽然对称算法的效率高,但是密钥的传输需要另外的信道。非对称算法DH可以解决密钥的传输问题,但是该算法的安全性基于有限域上求解离散对数非常困难,并且由于其本身是一个无认证的密钥交换协议,所以还是存在中间人攻击。
[0006]具体地,Al ice公开发送值a和P给Bob,攻击者Carol截获这些值,随即把自己产生的公开值发给Bob; Bob公开发送值a和P给Al ice,又被Carol截获,随即把自己产生的公开值给Al ice,在这种情况下,Alice和Bob获取的都是攻击者Caro I发送的公开值,Al ice和Caro I计算出两人之间的共享密钥kl ;Bob和Carol计算出两人之间另一个的共享密钥k2。如上所述的,受到中间人Carol攻击后,Alice用密钥kl给Bob发送消息,Carol截获后用kl解密就可读取消息,然后将获得的明文消息用k2加密(加密前对消息可能做某些修改,即主动攻击),然后发给Bob ο对Bob发给Al i ce的消息,Caro I用同样的手法读取和修改。
[0007]针对上述现有的加密算法在数据传输时安全性差的问题,目前尚未提出有效的解决方案。
【发明内容】
[0008]本发明实施例提供了一种数据传输方法和装置,以至少解决现有的加密算法在数据传输时安全性差的技术问题。
[0009]根据本发明实施例的一个方面,提供了一种数据传输方法,该方法包括:第一终端获取第二终端发送的数据传输请求,其中,数据传输请求中至少携带有使用第二终端的私钥对第二终端的第一交换密钥进行加密得到的第一加密数据;第一终端使用第二终端的公钥对第一加密数据进行解密得到第一交换密钥,并根据第一交换密钥获取第一终端与第二终端的共享密钥;第一终端使用共享密钥对待传输的数据进行加密,得到加密传输数据,并将加密传输数据发送给第二终端。
[0010]根据本发明实施例的另一方面,还提供了一种数据传输装置,该装置包括:获取单元,用于获取第二终端发送的数据传输请求,其中,所述数据传输请求中至少携带有使用所述第二终端的私钥对所述第二终端的第一交换密钥进行加密得到的第一加密数据;密钥处理单元,用于使用所述第二终端的公钥对所述第一加密数据进行解密得到所述第一交换密钥,并根据所述第一交换密钥获取第一终端与所述第二终端的共享密钥;加密传输单元,用于使用所述共享密钥对待传输的数据进行加密,得到加密传输数据,并将所述加密传输数据发送给所述第二终端。
[0011]在本发明实施例中,在使用DH算法交换第二终端和第一终端的交换密钥(该交换密钥可以为两个终端的DH算法的公开值)时,第二终端用RSA算法加密交换密钥,即自己的私钥加密自己的交换密钥,第一终端用第二终端的公钥解密该交换密钥,以得到第二终端的交换密钥,并获取第二终端与第一终端的共享密钥。在上述过程中,攻击者需首先破解加密后的交换密钥,然后才能进行中间人攻击,增加了破解难度,通过上述方案提供了数据传输过程的安全性,解决了现有技术中现有的加密算法在数据传输时安全性差的技术问题。
【附图说明】
[0012]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0013]图1是根据本发明实施例的一种终端的网络环境示意图;
[0014]图2是根据本发明实施例的一种可选的数据传输方法的流程图;
[0015]图3是根据本发明实施例的另一种可选的数据传输方法的流程图;
[0016]图4是根据本发明实施例的再一种可选的数据传输方法的流程图;
[0017]图5是根据本发明实施例的一种可选的数据传输装置的示意图;
[0018]图6是根据本发明实施例的另一种可选的数据传输装置的示意图;
[0019]图7是根据本发明实施例的终端的内部结构示意图。
【具体实施方式】
[0020]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0021]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0022]实施例1
[0023]根据本发明实施例,提供了一种数据传输方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0024]可选地,在本实施例中,上述数据传输方法可以应用于如图1所示的第二终端10和第一终端30所构成的硬件环境中,第二终端可以与第一终端通过网络建立连接。其中,第二终端和第一终端上均可以设置处理器、加密装置。
[0025]上述网络包括但不限于:广域网、城域网或局域网。优选地,上述的网络为局域网。
[0026]在本发明实施例中,涉及的RSA算法的加密方式具体如下:
[0027]第二终端构建密钥对儿,该密钥对包括公钥和私钥,第二终端在构建密钥对之后,将公钥公布给第一终端,将私钥保留。第二终端使用第二终端的私钥加密待传输的数据,然后用第二终端的私钥对加密后的数据进行签名生成签名文件,将签名文件和加密后的数据发送至第一终端。
[0028]第一终端在接收到签名文件和加密后的数据之后,使用第二终端的公钥和签名文件来验证接收到的加密后的数据是否有效,如果有效,则使用第二终端的公钥对数据解密。
[0029]第一终端使用第二终端的公钥加密数据,向发送方(即第二终端)发送经过加密后的数据;第二终端获得加密数据,通过第二终端的私钥解密。
[0030]上述第一终端验证接收到的加密后的数据是否有效可以通过如下步骤实现:
[0031]第一终端使用第二终端的公钥解密接收到的签名,并使用第二终端的公钥生成加密数据的摘要信息,然后将解密的签名和产生加密数据的摘要信息作对比,若两者相同,则认为收到的加密后的数据有效,若两者不同,则说明接收到的加密后的数据无效,该数据可能被修改过。
[0032]本申请实施例中还涉及密钥交换(Diff ie-Hellman,即DH)算法,该算法中第二终端A和第一终端B交换密钥,在交换密钥之后,两个终端分别计算两个终端的共享密钥,并使用该共享的密钥加密数据。具体实现方式如下:
[0033]在加密带传输数据以进行通信之前,在第二终端A和第一终端B之前,两个终端约定的2个大整数η和g,这两个整数可以公开。
[0034](I)第二终端A随机产生一个大整数a(a需要保密),然后计算1 = 83 mod η。
[0035](2)第一终端B随机产生一个大整数b(b需要保密),然后计算Kb = gb mod η。
[0036](3)第二终端A把KjPn作为DH算法的公开值发送给第一终端B;第一终端B把Kb和η作为DH算法的公开值发送给第二终端A。
[0037](4)第二终端A计算第二终端与第一终端的共享密钥:K=Kba mod η。
[0038](5)第一终端B计算第二终端与第一终端的共享密钥:K=Kab mod η。
[0039]上述方式中,由于Kbamod n=(gbmod n)amod n=(ga mod n)bmod n,因此可以保证两个终端得到的K是相同的,K即是两个终端的共享密钥。
[0040]根据本发明实施例,提供了一种数据传输方法,如图2所示,该方法可以包括如下步骤:
[0041]步骤S201:第一终端获取第二终端发送的数据传输请求,其中,数据传输请求中至少携带有使用第二终端的私钥对第二终端的第一交换密钥进行加密得到的第一加密数据。
[0