专利名称:一种数据多级安全传输方法
技术领域:
本发明涉及一种计算机网络中的数据安全传输的方法,特别的是涉及一种利用数据域加密技术实现多级中转数据安全传输的方法。
在电子数据交换迅速发展的今天,通过计算机网络进行电子数据传输的业务流程变得越趋复杂,尤其在信息化系统和电子商务交易中,往往存在着多个传输业务数据的业务参与者,这些业务参与者通常包括数据传输的发起者、接受者以及若干个数据中转者,而业务数据则流经多个业务参与者,由这些业务参与者对传输的业务数据进行处理、分析和转发,最后到达目的地,形成发起者——中转机构——接受者的信息传输的架构。
然而,这种发起者——中转机构——接受者的数据传输体系有着比简单的发起者——接受者交易体系更为苛刻的安全需求,在满足接受者安全性需求的基础上,还需保证交易中转机构无法知悉该中转机构没有权限了解的重要信息。
目前,对这种多业务参与者的业务数据传输体系安全性的实现,通常做法是保障每对相邻业务参与者之间的数据传输安全。其实现方式是一个业务参与者传出的业务数据经过安全处理后送达通信线路进行传输,在到达下一个业务参与者处还原,不断重复以上的数据传输处理机制,直到信息到达交易接受者为止。在上述方法中,中转者可以获得全部数据信息,而且中转者除了简单的交易数据传输工作之外,还参与交易数据的安全处理工作,因此不仅业务数据的安全性难以得到保证,当出现纠纷时,中转者还将会承担一定的法律责任。可见,传统的数据传输方法不适合数据多级安全传输的要求。
针对上述现有技术的状况,本发明的目的是提供一种更加可靠的、适合多级数据安全传输的方法。
为达到上述目的,本发明采用的技术方案是一种数据多级安全传输方法,其中,整个数据传输体系将多个业务组成数据包,由业务参与者进行传输,该业务参与者包括一个数据传输业务的发起者;至少一个数据传输中转者;以及一个数据接受者,该方法在于包括下列处理h)将需要传输的业务数据包根据所述业务的不同的业务特性,不同的安全要求和不同的业务内容,划分成若干个数据域Di;i)定义针对所述业务内容的加密算法和会话密钥;j)定义针对所述会话密钥的会话密钥加密算法和加密该会话密钥所用的密钥;k)根据所述业务参与者的不同的访问权限,设置多种不同的加密类型Cj,用以对所述不同的数据域分别进行加密处理;l)所述数据传输的业务发起者分别对每一数据域的内容进行加密处理,定义为若干个加密数据域Cj(Di);m)对处理所述数据内容所用的会话密钥进行加密处理,定义为若干加密信息域;n)将所述加密数据域和所述加密信息域组成加密数据包后发送。
本发明的数据多级安全传输方法,其中步骤d)还包括下列步骤da)对该每一种加密类型Cj分别定义一个加密类型标识号,分别对应所述每一针对所述业务内容的所述唯一的加密算法和会话密钥,以及所述唯一的所述会话密钥的加密算法和加密所述会话密钥所用的密钥。
本发明的数据多级安全传输方法,其中加密所述会话密钥所用的所述密钥是由认证中心为有权解密的业务参与者颁发的公开密钥。
本发明的数据多级安全传输方法,其中加密所述会话密钥所用的所述密钥是所述业务发起者与有权解密的业务中转者事先商定的秘密密钥。
本发明的数据多级安全传输方法,其中步骤e)包括下列处理ea)所述数据传输发起者根据所述若干数据域各自的安全要求,从所述加密类型Cj中选择适当的所述加密算法和所述会话密钥后进行加密处理;eb)对所述加密算法确定一唯一的加密算法标识;ec)将所述加密处理后的数据域的内容和与所述加密类型对应的所述加密类型标识号组成若干加密数据域。
本发明的数据多级安全传输方法,其中步骤f)包括下列处理fa)利用所述会话密钥的加密算法和所述加密会话密钥所用的所述密钥,对处理所述数据内容用的所述会话密钥进行加密处理;fb)对所述会话密钥加密算法确定唯一的加密算法标识;
fc)将所述加密类型标识号、所述数据内容的方法标识、所述加密处理后的会话密钥以及所述加密会话密钥所用的加密算法标识组成加密类型信息域。
本发明的数据多级安全传输方法,其中所述业务中转者接受由步骤g)发送的所述加密数据包,并进行下列处理h)根据其拥有的所述加密类型,从所述加密数据包中取出具有与该加密类型对应的标识号的所述加密数据域和所述加密类型信息域;i)对所述加密数据域进行解密。
本发明的数据多级安全传输方法,其中步骤i)包括下列处理ia)根据所述加密类型信息域中的加密所述会话密钥所用的所述加密算法标识对应的所述加密算法和所述加密会话密钥所用的密钥,对所述加密类型信息域中的加密处理后的会话密钥进行解密,取出对所述数据内容进行加密处理的所述会话密钥;ib)根据所述加密类型信息域中的所述数据内容的所述加密算法标识对应的所述加密算法,利用该被解密取出的所述会话密钥,对所述加密数据域进行解密处理,取出所述数据域Di;ic)转发所述整个加密数据包。
本发明的数据多级安全传输方法,其中所述数据传输中转者将所述加密数据包中的有关的所述加密数据域和所述加密类型信息域重新组成一个新的加密数据包,并发送。
本发明的数据安全传输方法,其中所述加密算法是对称算法或非对称算法的标准的数据加密算法。
根据本发明的一个方面,由于本发明将需要传输的业务数据分为多个数据域,同时根据每个业务参与者不同的访问权限设置多种加密类型,并且每一种加密类型包括加密算法和会话密钥,使得传输的业务数据包中含有多个采用不同加密算法加密的数据域。这样,在一个业务数据包的传递过程中,其数据内容可以按照采用的加密类型的不同提供给不同的业务参与者。因此,对于每个业务参与者,除了允许其查看的数据之外,虽然参与了其他数据域的传递工作,但却无法获知其他数据域的内容,这样就实现了特定数据能够顺利地传输到预期目的地,而不会在传输过程中被没有权限的业务参与者或非法窃听者获知。所以,本发明采用的方法使多级数据传输更加安全可靠,因而更适合于多级数据的安全传输。
下面结合附图通过对本发明较佳实施例的描述,将使本发明的上述技术方案以及其它优点显而易见。
图1是本发明采用的数据多级安全传输拓扑图;图2是本发明的采用的数据多级安全传输的示意图;图3是本发明的第一较佳实施例的数据传输关系示意图;图4是本发明的第二较佳实施例的数据传输关系示意图。
首先对本发明采用的技术方案及其实施进行说明,参考附图1。图中,字母A代表业务参与者,下标用字母k表示,用以区分不同的业务参与者,其总数目用字母l表示,其中,数字1表示数据传输发起者,而字母l表示交易接受者;字母C代表加密类型,下标用字母j表示,用以区分不同的加密类型,符号IC表示所有加密类型下标的集合,而符号IC(Ak)表示业务参与者k所知悉的加密类型的下标集合;字母D代表数据域,数据域指的是整个业务数据包中某一特定属性的数据内容,下标用字母i表示,用以区分整个数据包中的不同数据域,符号ID表示所有数据域下标的集合,而符号ID(Ak)表示业务参与者k有权获取的数据域的下标集合;符号Cj(Di)表示用加密类型Cj对数据域Di加密处理后的加密数据域。
假设这个多数据传输中转者参与的数据传输体系中一共有l个业务参与者,其中包括有一个数据传输发起者、l-2个数据传输中转者和一个数据接受者,业务参与者以Ak表示,k=1~l。这些业务参与者事先按照本体系中具体数据的安全要求,对不同的业务参与者分别设定了对具体数据访问的权限,使得业务参与者可以获知其需要的数据内容,对其无权了解的数据内容,该参与者将无法获知。
根据以上所述,本发明在具体实施时,按以下步骤处理(1)首先在整个数据传输体系中,将需要传输的业务数据包根据不同的业务特性和不同的安全要求,划分为若干个数据域Di,i∈ID,每个数据域具有不同的业务内容。
(2)根据业务参与者Ak不同的访问权限,设置多种不同的加密类型Cj,j∈IC,用以对具体的数据域进行加密处理,并且对每一种加密类型确定一个加密类型标识号(Encryption-Type-Identifier),每一个加密类型Cj对应唯一的数据内容的加密算法和会话密钥,以及唯一的会话密钥加密算法和加密会话密钥所用的密钥,其中,加密会话密钥所用的密钥是由CA认证中心为有权解密的业务参与者颁发的公开密钥(public key),或是业务发起者与有权解密的业务参与者事先商定的秘密密钥(secret key)。;对于数据传输体系中的每个业务参与者不同的访问权限,使其知悉相应部分的加密类型Cj,j∈IC(Ak),一旦某个业务参与者Ak知悉某种加密类型Cj,它可以对所有以该加密类型Cj处理的数据域进行解密从而获知这一数据域的具体内容。根据业务数据的需要,不同业务参与者可以获取业务数据包中的某些公共数据域,因此他们可以知悉用以对这此公共数据域加密处理的加密类型,即不同参与者可以知悉同种加密类型。
(3)数据传输发起者Al根据上述已划分好的若干个数据域各自的安全要求,从加密类型Cj(j∈IC)中选择适当的加密算法和会话密钥对每个数据域Di(i∈ID)的内容进行加密处理,并对该加密算法确定唯一的加密算法标识(Content-Encryption-Algorithm-Identifier),再将加密处理后的数据域内容(Encrypted-Content)与所用的加密类型对应的加密类型标识号(Encryption-Type-Identifier)组成若干个加密数据域Cj(Di)。
(4)利用会话密钥加密算法和加密会话密钥所用的密钥,对处理数据内容所用的会话密钥进行加密处理,并对会话密钥加密算法确定唯一的加密算法标识(Key-Encryption-Algorithm-Identifier)。把加密类型标识号、数据内容的加密算法标识、加密处理后的会话密钥(Encrypted-Key)以及加密会话密钥所用的加密算法标识组成加密类型信息域;每一个加密类型信息域对应唯一的加密会话密钥所用的密钥。再将该加密类型信息域与加密数据域Cj(Di)组成加密数据包并传输;对于不需要加密处理的数据域,可以作为一种需经特殊的加密类型加密处理后的加密数据域来对待。
(5)数据传输中转者Ak(k=2~l-2)接收到加密数据包,首先根据其拥有的加密类型Cj(j∈IC),从加密数据包中取出所有利用其拥有的加密类型处理的数据域Cj(Di),i=1~n,j∈IC(Ak)和加密类型信息域,即从加密数据包中取出具有该加密类型标识号的加密数据域和加密类型信息域;然后对所取出的加密数据域进行进行解密处理,具体处理过程如下根据加密类型信息域中的加密会话密钥所用的加密算法标识对应的加密算法,与该数据传输中转者Ak自身拥有由CA认证中心颁发的或者与业务发起者Al事先商定的加密会话密钥所用的密钥,对加密类型信息域中的加密处理后的会话密钥进行解密,取出对数据内容进行加密处理的会话密钥;再根据加密类型信息域中的数据内容的加密算法标识所对应的加密算法,与解密取出的会话密钥对加密数据域进行解密处理,取出该数据域;所述数据传输中转者Ak取出所需的业务数据之后,可以将整个加密数据包进行转发,或者根据业务的需要将所述加密数据包中的有关加密数据域和加密类型信息域重新组成一个新的加密数据包,并向下一个业务参与者传送。
(6)数据最终接收者接收到数据包,首先根据其拥有的加密加密类型集IC(Al),从加密数据包中取出所有利用其拥有的加密类型处理的加密数据域,并进行与数据传输中转者Ak相同的解密工作。
参照图2所示的数据多级传输的示意图可以看出,发起者设置D1~Dp的数据域,其中用算法C1~Cq对该数据域D1~Dp加密,例如数据域D1和D4用算法C1加密,数据域D2用算法C2加密……,以及Dp用算法Cq加密,来组成整个数据包Q,这里q<p,则有若干数据域Di,例如C3等,将不经加密处理而成为公用数据域。当发起者传输数据包Q的时候,业务实体1,即数据传输中转者,由于拥有加密算法C1而可以获得用算法C1加密的数据域D1、D4以及公用数据域D3,如实线箭头所示;然后,中转者------业务实体1将数据包Q继续向下传输。同理,业务实体2,即数据传输中转者,收到数据包Q后可以依据其拥有的算法C2加密的数据域D2以及公用数据域D3,如实线箭头所示,当然,该业务实体2也可以重新组合数据;依此类推,最后业务实体q,即数据传输最终接收者,将得到依据算法q加密的数据Dq和公用数据域D3,参见实线箭头。
在依据上述方法进行数据传输过程中,如果网络上的非法窃听者截获了在网络中传输的数据包,则他们除非事先可以知悉加密类型Cj,或者可以破解该加密类型Cj,它才能够获悉此类加密类型处理过的数据。当然,对不加密的数据以一种特殊的加密类型来表示,则这种加密类型的抗攻击性为零。所以,只要选用合适的加密类型和做好加密类型的保护工作使非法窃听者事先无法知悉,就可以保障数据的安全。
上述的加密类型标识号用来标识所采用的是哪种的加密类型;数据内容的加密算法标识用以指明加密本数据内容所采用的是哪一种加密算法,例如可以是对称算法,也可以是非对称算法;加密的会话密钥包含加密处理过的用以对数据内容加密的会话密钥;会话密钥加密算法标识对应对会话密钥进行加密处理的加密算法;加密的数据内容中包含原来的数据域具体内容。
必须指出,对于上面所述的对每个数据域进行加密的具体方法,以及加密类型对应的加密信息并不局限于上述的形式。
实施例1下面以电子购物交易的一个业务数据包的传输为例,对本发明作进一步说明。本例中利用扩展标记语言(简称XML,即eXtensible MarkupLanguage)来组织数据。
整个交易环境是由用户、网上电子商场、货物提供商三个交易参与者组成,用户利用在该货物提供商处购买的电子交易预付卡进行付款;在交易成功后,货物提供商按其许诺准时向用户提供货物,网上电子商场从交易额中提取一定比例的佣金。本数据包由用户发出,经网上电子商场处理和中转,提交给货物提供商。本例中,上述三个交易者即为数据传输参与者,其中,用户为数据传输发起者,网上电子商场为数据传输中转者,货物提供商为数据最终接收者。其数据传输关系如图3所示。
本交易数据包提供以下信息1)用户告知货物提供商自己需要购买的货物名称,数量,以及依据货物的定价计算出来的交易额,预付卡卡号,密码;
2)网上电子商场还需要知道货物名称、数量,总交易额,货物名称和数量提供给进行整个电子商场的统计使用;总交易额用于向货物提供商收取交易佣金;3)用户的预付卡卡号、密码只能由货物提供商获取,网上电子商场作为中转机构,无权获知卡号和密码的具体内容。
按本发明所述方法构建的数据包分为加密数据域和加密类型信息域两个部分,其结构如下<pre listing-type="program-listing"><![CDATA[<?xml version="1.0"encoding="UTF-8"?><!DOCTYPE i-Switch SYSTEM"http\\www.iSwitch.com\XML\dtd\stix.dtd"><iSwitch> <Message>/*数据包内容*/ <Encrypt>/*加密类型信息域部分*/ <EncryptionType>/*加密类型信息域,可以有多个*/ /*加密类型标识号,ID=1*/ <EncryptedTypeIdentifier>1</EncryptedTypeIdentifier> /*数据内容加密算法标识*/ <ContentEncryptionAlgorithmIdentifier>IDEA</ContentEncryptionAlgorithmldentifier> /*加密的会话密钥*/ <EncryptedKey>GHboBpWIAem8u1WCZi4=</EncryptedKey> /*加密会话密钥用的加密算法*/ <KeyEncryptionAlgorrithmIdentifier>RSA1024</KeyEncryptionAlgorithmIdentifier> </EncryptionType> <EncryptionType> /*加密类型标识号,ID=2*/ <EncryptedTypeIdentifier>2</EncryptedTypeIdentifier> /*数据内容加密算法标识*/ <ContentEncryptionAlgorithmIdentifier>IDEA</ContentEncryptionAlgorithmIdentifier> /*加密的会话密钥*/ <EncryptedKey>rDgMCHQUAMEYxDDA</EncryptedKey> /*加密会话密钥用的加密算法*/ <KeyEncryptionAlgorithmIdentifier>RSA1024</KeyEncryptionAlgorithmIdentifier> </EncryptionType> </Encrypt><Object>/*加密数据域部分*/ /*含多个加密的数据域*/ <PrepayCardID>/*预付卡帐号*/ <EncryptionTypeIdeutifier>1<EncryptionTypeIdentifier> /*加密类型标识号,与加密类型信息中的标识号相对应。下面的几个数据域同此*/ <Value>CDKxKlpO</Value> </PrepayCardID> <PrepayCardPassword>/*预付卡密码*/ <EncryptionTypeIdentifier>1<EncryptionTypeIdentifier> <Value>b2Z8+MwTmZgX12=</Value> </PrepayCardPassword> <PruductName>/*商品名称*/ <EncryptionTypeIdentifier>2<EncryptionTypeIdentifier> <Value>CDKxKlpO</Value> </PruductName> <PruductCount>/*商品数量*/ <EncryptionTypeIdentifier>2<EncryptionTypeIdentifier> <Value>d3E4wfht</Value> </PruductCount> <PruduetSum>/*商品总金额*/ <EncryptionTypeIdentifier>2<EncryptionTypeIdentifier> <Value>rk58EJ84RD3=</Value> </PruductSum> </Object> </Message></iSwitch>]]></pre>在本实施例中,信息内容中的具体数据针对不同交易参与者的权限采用了不同的安全处理方式。例如,货物名称(ProductName),数量(ProductCount),以及交易额(ProductSum)是中转者------网上电子商场和接收者------货物提供商所共同关心的,同时又希望保护这些信息不被不良企图者所获知,因此采用了电子商场和货物提供商都可解密的加密方案数据的加密采用随机密钥,同时随机密钥采用了电子商场和货物提供商都知晓的会话密钥来加密保护,其使用的加密信息块编号(EncryptionType)为2;预付卡卡号(PrepayCardID),密码(PrepayCardPassword)采用了只有接收者-----货物提供商和发起者------用户才知晓的会话密钥进行保护数据,其使用的加密信息块编号(EncryptionType)为1。这样预付卡的账号和密码只能由货物提供商获知,电子商场和攻击者均没有解密该数据的会话密钥,从而达到了电子商场参与卡号、密码的数据传输但无权解析其具体内容的目的。
实施例2下面再以证券交易的一个业务数据包的传输为例,对本发明进行说明。本例中利用XML来组织数据。
整个交易环境是由用户、电子商务综合服务平台、证券商三个交易参与者组成,电子商务综合服务平台实现用户以各种接入方式如电话,手机,Web浏览器等,来享受与平台连接的服务商如证券商、银行等提供的服务。本例中,上述三个交易者即为数据传输参与者,其中,用户为数据传输发起者,电子商务综合服务平台为数据传输中转者,证券商为数据最终接收者。其数据传输关系如图4所示。
本例子是用户进行股票交易的业务数据包,提供以下信息1)用户告知电子商务平台其在平台的用户帐号,密码;2)用户告知证券商他的股东帐号,股东密码;
3)用户和证券商注明在数据包的信封处;按本发明所述方法构建的数据包分为加密数据域和加密类型信息域两个部分,其结构如下<pre listing-type="program-listing"><![CDATA[<?xml version="1.0"encoding="UTF-8"?><!DOCTYPE i-Switch SYSTEM"http\\www.iSwitch.com\XML/dtd\stix.dtd"><iSwitch><Message>/*数据包内容*/ <Encrypt>/*加密类型信息域部分*/ <EncryptionType> /*加密类型标识号,ID=1*/ <EncryptedTypeIdentifier>1</EncryptedTypeIdentifier> /*加密数据内容用的加密算法*/ <KeyEncryptionAlgorithmIdentifier>Data_Cipher_1</KeyEncryptiinAlgorithmIdentifier> /*加密的会话密钥*/ <EncryptedKey>RIMgRmlsZSBFbmNy</EncryptedKey> /*加密会话密钥用的加密算法*/ <KeyEncryptionAlgorithmIdentifier>Key_Cipher_1</KeyEncryptionAlgorithmIdentifier> </EncryptionType> <EncryptionType> /*加密类型标识号,ID=2*/ <EncryptedTypeIdentifier>2</EncryptedTypeIdentifier> /*加密数据内容用的加密算法*/ <KeyEncryptionAlgorithmIdentifier>Data_Cipher_2</KeyEncryptionAlgorithmIdentifier> /*加密的会话密钥*/ <EncryptedKey>bUKHXbbVseBXOFI=</EncryptedKey> /*加密会话密钥用的加密算法*/ <KeyEncryptionAlgorithmIdentifier>Key_Cipher-2</KeyEncryptionAlgorithmIdentifier> </EncryptionType> </Encrypt> <Object>/*加密数据域部分*/ <Platform>/*送达电子商务平台的数据*/ <PlatformLogonID EncryptionType=1>CDKxKlpO</PlatformLogonID> /*平台客户帐号*/ <PlatformLogonPassword Encryption Type=1>/*平台客户密码*/ b2Z8+MwTmZgX12= </PlatformLogonPassword> </Platform><Service>/*送达券商的数据*/ <StockLogonID Encryption Type=2>CDKxKlpO</StockLogonID>/*股东帐号*/ <StockLogonPassword Encryption Type=2>/*股东密码*/ eGTNWEDSmZgX </StockLogonPassword> </Service> </Object> </Message></iSwitch>]]></pre>在本实施例中,信息内容中的具体数据针对不同交易参与者的权限采用了不同的安全处理方式。例如平台用户帐号和密码是电子商务平台所关心的,因此采用了电子商务平台可解密的加密方案数据的加密采用随机密钥,同时随机密钥采用了电子商场和货物提供商都知晓的会话密钥来加密保护,其使用的加密信息块编号(Encryption Type)为1;股东帐号(StockLogonID)和密码(StockLogonPassword)是证券商所关心的,因此采用了证券商可解密的加密方案数据的加密采用随机密钥,同时随机密钥采用了电子商场和货物提供商都知晓的会话密钥来加密保护,其使用的加密信息块编号(Encryption Type)为2;通过本发明所述的方法进行数据多级传输,达到了电子商务平台和证券商独自享受其数据而不被其他交易参与者获取的目的。
可见,本发明的所划分的数据域是指业务数据包中描述业务一个具体属性的数据内容。例如实施例1中所提的货物名称(ProductName),数量(ProductCount),以及交易额(ProductSum)等都是数据包中的一个个数据域。
其次,本发明的加密类型是包含了加密应用的算法和密钥两部分。算法可以是标准的数据加密算法,如DES,IDEA,RC2等对称算法或RSA等非对称算法,也可以是不公开的算法;密钥是为保证信息安全的交易双方或多方事先协商的并拥有的会话密钥,或是由权威认证机构(CA中心)签发的电子证书。总之,由于电子商务的迅猛发展和数据传输的多元化,在数据传输中必然会出现更多的中转机构参与数据的传输。本发明所述的数据传输的方法,是在整个数据传输体系中,将需要传输的数据分为多个数据域,对不同的数据域按照不同要求的加密方式处理。采用这种方案,使数据包中既含有各个中转机构可阅读的路由信息,又有专门接收者才能解密的敏感数据,通过这种方式的处理,可以同时采用多种安全技术,以确保指定数据传输阶段的中转机构可以正确获得该数据,而其他中转机构虽然参与该数据包的传输,却无法获知数据包中无权解释的数据域内容。所以,本发明所述的方法解决了多个参与者存在的电子交易的数据安全和参与者的相互信任问题,同时可以很好地就出现的交易纠纷从技术上进行责任的划分。
权利要求
1.一种数据多级安全传输方法,其中,整个数据传输体系将多个业务组成数据包,由业务参与者进行传输,该业务参与者包括数据传输业务的发起者;至少一个数据传输中转者;以及数据接受者,该方法的特征在于,它包括下列处理a)将需要传输的业务数据包根据所述业务的不同的业务特性,不同的安全要求和不同的业务内容,划分成若干个数据域;b)定义针对所述业务内容的加密算法和会话密钥;c)定义针对所述会话密钥的会话密钥加密算法和加密该会话密钥所用的密钥;d)根据所述业务参与者的不同的访问权限,设置多种不同的加密类型,用以对所述不同的数据域分别进行加密处理;e)所述数据传输的业务发起者分别对每一数据域的内容进行加密处理,定义为若干个加密数据域;f)对处理所述数据内容所用的会话密钥进行加密处理,定义为若干加密信息域;g)将所述加密数据域和所述加密信息域组成加密数据包后发送。
2.根据权利要求1所述的数据多级安全传输方法,其特征在于,所述步骤d)还包括下列步骤da)对该每一种加密类型分别定义一个加密类型标识号,分别对应所述每一针对所述业务内容的所述唯一的加密算法和会话密钥,以及所述唯一的所述会话密钥的加密算法和加密所述会话密钥所用的密钥。
3.根据权利要求2所述的数据多级安全传输方法,其特征在于,加密所述会话密钥所用的所述密钥是由认证中心为有权解密的业务参与者颁发的公开密钥。
4.根据权利要求2所述的数据多级安全传输方法,其特征在于,加密所述会话密钥所用的所述密钥是所述业务发起者与有权解密的业务中转者事先商定的秘密密钥。
5.根据权利要求2所述的数据多级安全传输方法,其特征在于,步骤e)包括下列处理ea)所述数据传输发起者根据所述若干数据域各自的安全要求,从所述加密类型中选择适当的所述加密算法和所述会话密钥后进行加密处理;eb)对所述加密算法确定一唯一的加密算法标识;ec)将所述加密处理后的数据域的内容和与所述加密类型对应的所述加密类型标识号组成若干加密数据域。
6.根据权利要求5所述的数据多级安全传输方法,其特征在于,步骤f)包括下列处理fa)利用所述会话密钥的加密算法和所述加密会话密钥所用的所述密钥,对处理所述数据内容用的所述会话密钥进行加密处理;fb)对所述会话密钥加密算法确定唯一的加密算法标识;fc)将所述加密类型标识号、所述数据内容的加密算法标识、所述加密处理后的会话密钥以及所述加密会话密钥所用的加密算法标识组成加密类型信息域。
7.根据权利要求6所述的数据多级安全传输方法,其特征在于,所述业务中转者接受由步骤g)发送的所述加密数据包,并进行下列处理h)根据其拥有的所述加密类型,从所述加密数据包中取出具有与该加密类型对应的标识号的所述加密数据域和所述加密类型信息域;i)对所述加密数据域进行解密。
8.根据权利要求7所述的数据多级安全传输方法,其特征在于,步骤i)包括下列处理ia)根据所述加密类型信息域中的加密所述会话密钥所用的所述加密算法标识对应的所述加密算法和所述加密会话密钥所用的密钥,对所述加密类型信息域中的加密处理后的会话密钥进行解密,取出对所述数据内容进行加密处理的所述会话密钥;ib)根据所述加密类型信息域中的所述数据内容的所述加密算法标识对应的所述加密算法,利用该被解密取出的所述会话密钥,对所述加密数据域进行解密处理,取出所述数据域;ic)转发所述整个加密数据包。
9.根据权利要求8所述的数据多级安全传输方法,其特征在于,所述数据传输中转者将所述加密数据包中的有关的所述加密数据域和所述加密类型信息域重新组成一个新的加密数据包,并发送。
10.根据权利要求1所述的数据安全传输方法,其特征在于,所述加密算法是对称算法或非对称算法的标准的数据加密算法。
全文摘要
一种数据多级安全传输方法,由业务参与者传输数据包,该业务参与者包括传输业务的发起者,中转者和接受者,该方法包括:将业务数据包划分成若干数据域;定义针对该业务内容的加密算法和会话密钥;定义针对该会话密钥的加密算法和密钥;根据参与者访问权限设置加密类型;发起者对每一数据域的内容加密处理,定义为若干加密数据域;对处理该数据内容所用的会话密钥加密处理,定义为若干加密信息域;将加密数据域和加密信息域组成加密数据包后发送。
文档编号H04L9/28GK1373585SQ01109308
公开日2002年10月9日 申请日期2001年2月28日 优先权日2001年2月28日
发明者龚智辉, 陈朝光 申请人:黎明网络有限公司