专利名称:网络安全通讯方法、数据安全处理装置和用于金融的系统的制作方法
技术领域:
本发明涉及网络技术领域,特别是涉及一种网络安全通讯方法、数据安全处理装 置和用于金融的系统。
背景技术:
目前有很多网上应用系统采用了基于IPSec(Internet ProtocolSecurity,网络 协议安全)或者SSUsecure sockets layer,加密套接字协议层)协议的安全方案。IPSec 协议是设计为IPv4和IPv6协议提供基于加密安全的网络层协议。SSL协议主要解决的是 应用层的信息安全,负责认证访问者的身份及权限,以及应用信息安全加密通道的建立和 数据加密传输。事实上,只考虑应用层或是网络层的信息安全是不够的。例如,在金融系统中,现 有技术的支付终端一般只采用SSL或TLS安全方案,从而导致安全上的隐患。近年来网上 支付系统的实践表明,许多网上金融案件(如利用虚假网站实行网络钓鱼诈骗)的发生都 是因为疏于网络的防护。
发明内容
本发明的目的是提出一种网络安全通讯方法、数据安全处理装置和金融系统,对 网络通讯数据进行双重保护。为实现上述目的,本发明提供了一种网络安全通讯方法,包括在安全终端中,对 要发送的数据进行传输层安全协议封装;在所述安全终端中,对所述传输层安全协议封装 后的数据进行网络层安全协议封装。进一步的,在所述安全终端中,对接收到的数据进行网络层安全协议解封装;在所 述安全终端中,对所述网络层安全协议解封装后的数据进行传输层安全协议解封装。在一个实施例中,所述网络层安全协议封装是网络层网络协议安全IPSec协议封 装;所述传输层安全协议封装是DSL协议封装、加密套接字协议层SSL协议封装或传输层安 全TLS协议封装。在一个实施例中,在对数据进行所述传输层安全协议封装之前,还包括身份认证 步骤所述安全终端根据安全熵信息参数和重组逻辑模型计算身份认证信息,将所述身份 认证信息发送给通讯对方;所述通讯对方根据接收的身份认证信息和可重组逻辑模型获得 授权证书,根据所述授权证书进行身份认证。进一步的,所述安全熵信息参数CTi = CSTi, CSKi, Ri,其中Ri为随机数,CSTi为用 户安全熵,CSKi为系统安全熵;所述身份认证信息包括Xi、Yi、CTi以及Xi、Yi、CTi的摘要信 息,所述安全终端根据安全熵信息参数和重组逻辑模型计算身份认证信息的步骤包括根 据安全熵信息参数CTi和重组逻辑模型计算安全熵混合数STi ;根据安全熵混合数和随机数 计算XpYi ;所述根据接收的身份认证信息和可重组逻辑模型获得授权证书的步骤包括提 取安全熵信息参数,根据指令建立可重组逻辑模型;根据安全熵信息参数和可重组逻辑模型计算安全熵指数;根据安全熵指数和身份认证信息计算授权公钥证书。在一个实施例中,在对数据进行所述传输层安全协议封装之前,还包括密钥交换 步骤所述安全终端在每次通讯时都生成一个密钥随机数,将所述密钥随机数进行加密并 与通讯对方交换以获得所述通讯对方的密钥随机数。为实现上述目的,本发明还提供了一种数据安全处理装置,包括传输层输出处理 模块,用于对要发送的数据进行传输层安全协议封装,发送所述经过传输层安全协议封装 后的数据;网络层输出处理模块,用于接收所述经过传输层安全协议封装后的数据,对接收 的所述数据进行网络层协议封装。进一步的,所述数据安全处理装置还包括网络层输入处理模块,用于对接收到的 数据进行网络层协议解封装,发送所述经过网络层协议解封装后的数据;传输层输入处理 模块,用于接收所述经过网络层协议解封装后的数据,对所述网网络层协议解封装后的数 据进行传输层安全协议解封装。在一个实施例中,所述数据安全处理装置还包括协议栈输出处理模块,用于将经 过传输层安全协议封装后的数据处理成网络数据包并发送给所述网络层输出处理模块;协 议栈输入处理模块,用于将接收到的经过网络层协议解封装后的数据进行整合并发送给所 述传输层输入处理模块。在一个实施例中,所述数据安全处理装置还包括算法模块,通过硬件资源模块的 不同组合提供多种算法供所述网络层输出处理模块、所述传输层输出处理模块、所述网络 层输入处理模块和所述传输层输入处理模块调用。在一个实施例中,所述数据安全处理装置还包括身份认证模块,用于通过可重组 逻辑电路对包含所述数据安全处理装置的安全终端的已经授权身份信息进行加密,发送加 密后的身份信息;和/或用于通过所述可重组逻辑电路对接收到的经加密后的身份信息进 行计算以提取发送所述身份信息的终端的公钥证书信息,并根据所述公钥证书信息判定发 送所述身份信息的终端为已经授权的终端。进一步的,所述可重组逻辑电路包括硬件资源模块,其中所述硬件资源模块包括 功能编码单元,通过控制所述功能编码单元能够控制所述硬件资源模块的功能;和/或网 络编码单元,所述硬件资源模块之间通过所述网络编码单元连接以能够控制所述硬件资源 模块之间的连接关系,因此所述可重组逻辑电路能够组合成不同的逻辑模型以提高对所述 身份信息的保密级别。在一个实施例中,包含所述数据安全处理装置的安全终端为支付终端。为实现上述目的,本发明还进一步提供了一种用于金融的系统,包括金融系统网 关;安全终端通过网络与所述金融系统网关相连接,用户通过所述安全终端与所述金融系 统网关进行交易,所述安全终端包括接口模块,用于传输数据;与接口模块相连的传输层 输出处理模块,所述传输层输出处理模块对要发送的数据在传输层进行加密;与所述传输 层输出处理模块和所述接口模块相连的网络层输出处理模块,所述网络层输出处理模块将 加密后的所述要发送的数据在网络层进行密码封装;与接口模块相连的网络层输入处理模 块,所述网络层输入处理模块将接收到的数据进行解封装,其中所述接受到的数据在传送 前进行过所述加密和所述密码封装;和与所述网络层输入处理模块和所述接口模块相连的 传输层输入处理模块,将已解封装的所述接收到的数据进行解密;以及安全管理中心,对所述安全终端和所述金融系统网关进行授权。在一个实施例中,所述安全终端还包括认证单元,通过所述安全终端的可重组逻 辑电路所述传输层认证模块对接收到的加密后的身份信息进行计算以提取发送所述身份 信息的终端的公钥证书信息,并根据所述公钥证书信息判定发送所述身份信息的终端为已 经所述安全管理中心授权的终端。
此处所说明的附图用来提供对本发明的进一步解释,构成本发明的一部分。本发 明的示意性实施例及其说明仅用于解释本发明,但并不构成对本发明的不当限定。在附图 中图1为根据本发明实施例的网络安全通讯系统的结构示意图。图2a为根据本发明实施例的安全终端中数据安全处理装置的结构示意图。图2b为根据本发明实施例的安全终端结构示意图。图3为根据本发明实施例的网络安全通讯方法的流程图。图4为根据本发明实施例的身份认证方法的流程图。图5为根据本发明另一实施例的身份认证方法中获得身份认证信息的流程图。图6为根据本发明实施例的安全熵体系结构图。图7为根据本发明进一步实施例的身份认证方法的流程图。
具体实施例方式下面参照附图对本发明进行更详细的描述,其中说明本发明的示例性实施例。图1为根据本发明实施例的网络安全通讯系统100的结构示意图。如图1所示, 网络安全通讯系统100可以是一个用于金融的系统,包括安全终端102、银行卡112、安全管 理中心104、金融系统网关106和金融系统应用服务器116。在一个实施例中,安全终端102比如常见的POS机(point ofsells,电子收款机) 等,可以用于远程支付。安全终端102是直接与用户交互的设备。安全终端102可以通过 网络与金融系统网关106相连。用户通过银行卡112可以登陆安全终端102,进而与金融系 统网关106、金融系统应用服务器116以及其后端的金融系统业务服务器和操作终端进行 通信。为了提高数据的安全级别,充分保证安全通讯系统100免受病毒、木马攻击,并保证 只有授权用户和可信进程才能使用安全通讯系统100,安全终端102能够同时实现网络层 和传输层数据安全处理。安全终端102能够实现包括比如SSL协议、TLS (transport Iayersecurity,传输 层安全)协议、协议等的传输层协议处理,以及IPSec协议等的网络层协议处理。对于要发 送的数据,安全终端102先对数据进行传输层安全协议封装,再对传输层安全协议封装后 的数据进行网络层安全协议封装。对于接收到的数据,安全终端102先对数据进行网络层 安全协议解封装,再对网络层安全协议解封装后的数据进行传输层安全协议解封装。例如,对于要发送给金融系统网关106的数据,安全终端102可以先将数据在传 输层进行DSL的协议封装。DSL协议是一种安全通讯协议,主要用于综合数字信号(包括 语音、图像、数字等)的安全处理。可以用于PSTN (public switched telephone network,公用电话交换网)、ISDN(integrated services digital network,综合业务数字网)、 DDN (digital data network,数字数据网)、ADSL (asymmetric digital subscriber line, 非对称数字用户线)等网络通讯中,也可以用于USBOmiversal serial bus,通用串行总 线)、ETHER、无线网络等接入设备,或直接用于安全终端或用户卡中。DSL安全通讯协议包 括了用户申请登记授权、管理中心用户安全熵密钥信息授权、管理中心密钥信息管理、身份 认证、密钥协商、密钥生成、密钥交换、明密文加脱密处理、算法扩展、算法选择、证书、密钥 更新及管理、以及用户和系统安全熵重组设计等功能。稍后将详细介绍DSL协议中部分功 能的具体实现。当安全终端102对数据进行DSL协议封装时,安全终端102会用与金融系统网关 106的公共密钥或者安全终端102生成的密钥随机数对数据进行协议封装。对于DSL协议 封装后的数据,安全终端102会将其处理成网络数据包。然后,安全终端102对每个网络数 据包进行IPSec网络层协议封装。IPSec协议包括AH(authentication header,验证文件头)协议和 ESP(encapsulated security payload,安全加载封装)协议。在一个实施例中,可以选择 AH协议对数据进行网络层的安全处理。AH协议是设计用来验证源主机的,并确保在网络数 据包传输的有效载荷的完整性。AH协议用HASH算法函数和一个对称密钥来创建一个信息 摘要,再把摘要插入到验证文件头中,并将AH放在数据包中适当的位置。AH协议并不提供 机密性。因此,在另一个实施例中,ESP协议可以是网络层安全处理的另一选择。ESP协议 提供源验证、信息完整性和机密性。ESP会把一个文件尾加在有效载荷上,对有效载荷和文 件尾进行加密后再加上ESP文件头,并利用ESP文件头、有效载荷和ESP文件尾创建验证数 据,把验证数据加在ESP文件尾的末尾。通过双重安全协议处理,安全终端102极大的提高了发往金融系统网关106的数 据的安全级别。另外,在数据传输之前,安全终端102和金融系统网关106会进行身份认证。 根据本发明实施例的安全通讯方法,包括数据加/解密方法和认证方法还将在下文中具体 描述。安全管理中心104可以对安全终端102和金融系统网关106等设备进行授权,并 提供证书发放、证书更新及相关的整数查询和验证功能。基于安全管理中心104的授权,金 融系统网关106可以与安全终端102互相进行身份认证,保证用户所访问的金融系统是真 实、可靠的,不会被仿冒者所欺骗。网络安全通讯系统100的金融系统仅用来描述网络安全终端根据本发明实施例 的一种应用场合。本领域的技术人员显然理解根据本发明实施例的安全终端可以用于其它 的应用场合,比如用于远程监控的监控器、用于远程信息采集的安全设备等。图2a为根据本发明实施例的安全终端102中数据安全处理装置的结构示意图。数 据安全处理装置包括网络层输出处理模块12、协议栈输出处理模块13、传输层输出处理模 块14、网络层输入处理模块22、协议栈输入处理模块23、传输层输入处理模块24、算法模块 26。传输层输出处理模块14用于对要发送的数据进行传输层安全协议封装并发送经 过传输层安全协议封装后的数据。协议栈输出处理模块13用于将经过传输层安全协议封 装后的数据处理成网络数据包并发送给网络层输出处理模块12。网络层输出处理模块12用于将接收的网络数据包进行传输层协议封装。网络层输入处理模块22用于对接收到的数据进行网络层协议解封装并发送经过网络层协议解封装后的数据。协议栈输入处理模块 23用于将接收到的经过网络层协议解封装后的数据进行整合并发送给传输层输入处理模 块24。传输层输入处理模块24用于对网络层协议解封装后的数据进行传输层安全协议解 封装。算法模块26是一个硬件算法库,能够通过硬件资源模块的不同组合提供多种算 法供网络层输出处理模块12、传输层输出处理模块14、网络层输入处理模块22和传输层 输入处理模块24进行数据处理时进行调用,完成如AH、ESP协议中要求的计算,比如MD5、 SHA-I、ZX37、HMAC_MD5、HMAC_SHA_1、HMAC_ZX37 等,以及 AH 和 ESP 协议处理中要求的摘要 计算。另外,对于ESP协议处理中要求的数据加/解密,算法模块26还能够提供AES、SCB2、 3DES等算法。硬件资源模块是通过对大量算法进行的分析和研究之后,提炼出的不同算法 中具有的一些相同或者相似的基本操作成分,或者说同一基本操作成分在不同算法中出现 的频度可以很高。对于这些相同或相似的基本操作成分,其对应的硬件资源就可以被不同 的算法所共用。配置文件可以记载硬件资源模块之间的连接关系和模块内部功能的可控节 点的编码信息。通过对配置文件的译码,能够对硬件资源模块进行控制,以较少的电路规模 构造一套逻辑电路来实现多种算法。在一个实施例中,安全终端102可以采用IPSec协议对数据进行网络层的处理, 采用DSL协议对数据进行传输层的处理。图2b示出了根据本发明的一个实施例的采用了 IPSec协议和DSL协议的安全终端102的结构示意图。安全终端102包括数据安全处理装 置202、随机数发生器204、指令译码器206、接口模块208、模幂乘运算器210、公钥算法内核 212、安全关联管理器214、系统管理器216和包处理状态机218。数据安全处理装置202用于对输出数据的处理的部分,包括DSL输出数据处理单 元32、HASH处理单元34、AH/ESP处理单元36、IP包尾输出处理单元38和输出包数据缓存 单元40。DSL输出数据处理单元32完成对输出数据的传输层DSL安全协议封装。当DSL 输出数据处理模块32需要对输出数据进行加密时,会调用公钥算法内核212和模幂乘运算 器210以及算法模块26进行相应的计算,生成通讯要求的密钥,完成对数据的DSL加密处 理。HASH处理模块34需要调用模幂乘运算器210及算法模块26完成IKE (Internet key exchange,因特网密钥交换)协议要求的计算以创建IPSec需要的SA(security association,安全关联)。AH/ESP处理单元36完成访问安全关联管理器214,取得IPSec 处理策略,并根据该策略进行计算,通过IP包尾处理单元38实现对输出的数据的IPSec打 包处理,然后存储于输出包数据缓存单元40等待通过接口模块208发送数据。数据安全处理装置202用于对输入数据的处理的部分包括输入包数据缓存单元 50、IP包头处理单元48、AH认证处理单元46、ESP安全负载处理单元44和DSL输入数据处 理单元42。输入包数据缓存单元50用于存储输入的数据。IP包头处理单元48、AH认证处 理单元46和ESP安全负载处理单元44完成访问安全关联管理器214,取得IPSec处理策 略,并根据该策略进行计算实现对输出的数据的IPSec拆包处理。DSL认证单元41完成对数据发送方的身份认证。当DSL认证模块41需要对数据 发送方进行身份认证时,会利用接收到的数据提取数据发送方的公钥证书信息进行检测。稍后将详细介绍DSL协议身份认证的流程。DSL输入数据处理单元42完成对输入数据的 DSL解封装。DSL输入数据处理单元42会调用公钥算法内核212和模幂乘运算器210以及 算法模块26进行相应的计算,生成通讯要求的密钥,完成对数据的DSL解密处理。安全关联管理器214接收指令的调度,实现安全终端102要求的SA操作,如删除、 添加、更改等。同时,安全关联管理器214还能够依据IPSec处理的要求完成根据包头索引 获得数据包处理所需的安全关联条目内容的存储、访问和使用。公钥算法内核212和模幂乘运算器210提供高性能、大规格算术运算,例如乘、除、 加、减和模幂乘运算,以安全终端102要求的公钥处理要求,比如IKE。指令译码器206实现对安全终端102实时输入或预置的指令寄存器赋值进行译 码,并控制相关部件实现寄存器指令定义的功能。系统管理器216包括PCI控制模块、网络控制模块、存储器和存储控制模块。系统 管理器216用于对内部存储器的管理、数据分流、接口控制等系统功能,协调各功能部件的 关系。系统管理器216是整个安全终端102的总控部件。包处理状态机218用于辅助数据安全处理装置202的AH处理和ESP处理。例如, 完成AH/ESP协议头的识别和加载;依据IPSec处理需要的算法调用算法模块26完成拆包 后的摘要识别等。随机数发生器204是一个用于产生密钥、初始向量,配合真随机数算法提供的白 噪声源的硬件随机数发生器。当随机数发生器204每次被访问后,自动重新生成新的随机 数。这样,每次通讯时都能够根据新的随机数生成新的密钥,可以提高数据的安全性。接口模块208用于数据的传输。在一个实施例中,安全终端102能够利用如SPI-3 的接口传输连续包的控制信息和数据负载。图3为根据本发明实施例的网络安全通讯方法300的流程图。为说明清楚起见, 图3的具体描述结合了图1的网络安全通讯系统100,但不限于图1中网络安全通讯系统 100的形式。如图3左边的流程所示,在步骤302中,安全终端对要发送的数据进行传输层安全 协议封装。例如,安全终端102 (用户i)对要发送给金融系统网关106 (用户j)的数据进 行DSL协议封装。在一个实施例中,安全终端102可以使用公共密钥GK对数据进行加密。当用户i 和用户j要协商一个共同的工作密钥GK时,用户i产生一个随机数α并计算(MXi = Si * grimod η)。用户i将MXi和MXi的摘要MXim发给用户j。同理用户j也产生一个随机数r」 并计算(MXj = Sj * grJmod η)。用户j将MXj和MXj的摘要MXjm发给用户i。双方验证密 钥协商指令和密钥协商信息。通过密钥协商后,此时用户i和用户j分别拥有用户i JpGCj, MXj, e,n,g用户j JrGCpMXi, e,n,g其中GCj, e, η, g以及GCi, e, η, g是在授权和认证阶段获得的。根据本发明实施 例的认证方法将在下文中具体描述。用户i和用户j利用上述参数分别计算共享的工作密钥GKi = ( MXej * GCj ) ri mod η (ι)GKj = ( MXei * GCi ) rJ mod η ⑵
通过计算,用户i和用户j得到了共同的公共密钥公共密钥
权利要求
1.一种网络安全通讯方法,其特征在于,包括在安全终端中,对要发送的数据进行传输层安全协议封装;在所述安全终端中,对所述传输层安全协议封装后的数据进行网络层安全协议封装。
2.根据权利要求1所述的网络安全通讯方法,其特征在于,还包括 在所述安全终端中,对接收到的数据进行网络层安全协议解封装;在所述安全终端中,对所述网络层安全协议解封装后的数据进行传输层安全协议解封装。
3.根据权利要求1所述的网络安全通讯方法,其特征在于,所述网络层安全协议封装 是网络层网络协议安全IPSec协议封装;所述传输层安全协议封装是DSL协议封装、加密套 接字协议层SSL协议封装或传输层安全TLS协议封装。
4.根据权利要求3所述的网络安全通讯方法,其特征在于,在对数据进行所述传输层 安全协议封装之前,还包括身份认证步骤所述安全终端根据安全熵信息参数和重组逻辑模型计算身份认证信息,将所述身份认 证信息发送给通讯对方;所述通讯对方根据接收的身份认证信息和可重组逻辑模型获得授权证书,根据所述授 权证书进行身份认证。
5.根据权利要求4所述的网络安全通讯方法,其特征在于,所述安全熵信息参数CTi = CSTi, CSKi, Rj,其中Ri为随机数,CSTi为用户安全熵,CSKi 为系统安全熵;所述身份认证信息包括H CTi以及X” I、CTi的摘要信息,所述安全终端根据安全熵信息参数和可重组逻辑模型计算身份认证信息的步骤包括根据安全熵信息参数CTi和可重组逻辑模型计算安全熵混合数STi ; 根据安全熵混合数和随机数计算X” Yi ;所述根据接收的身份认证信息和可重组逻辑模型获得授权证书的步骤包括 提取安全熵信息参数,根据指令建立可重组逻辑模型; 根据安全熵信息参数和可重组逻辑模型计算安全熵指数; 根据安全熵指数和身份认证信息计算授权公钥证书。
6.根据权利要求3所述的网络安全通讯方法,其特征在于,在对数据进行所述传输层 安全协议封装之前,还包括密钥交换步骤,具体为所述安全终端在每次通讯时都生成一个密钥随机数,将所述密钥随机数进行加密并与 通讯对方交换以获得所述通讯对方的密钥随机数。
7.一种数据安全处理装置,其特征在于,包括传输层输出处理模块,用于对要发送的数据进行传输层安全协议封装,发送所述经过 传输层安全协议封装后的数据;网络层输出处理模块,用于接收所述经过传输层安全协议封装后的数据,对接收的所 述数据进行网络层协议封装。
8.根据权利要求7所述的数据安全处理装置,其特征在于,还包括网络层输入处理模块,用于对接收到的数据进行网络层协议解封装,发送所述经过网络层协议解封装后的数据;传输层输入处理模块,用于接收所述经过网络层协议解封装后的数据,对所述网网络 层协议解封装后的数据进行传输层安全协议解封装。
9.根据权利要求8所述的数据安全处理装置,其特征在于,还包括协议栈输出处理模块,用于将经过传输层安全协议封装后的数据处理成网络数据包并 发送给所述网络层输出处理模块;协议栈输入处理模块,用于将接收到的经过网络层协议解封装后的数据进行整合并发 送给所述传输层输入处理模块。
10.根据权利要求7所述的数据安全处理装置,其特征在于,还包括算法模块,通过硬件资源模块的不同组合提供多种算法供所述网络层输出处理模块、 所述传输层输出处理模块、所述网络层输入处理模块和所述传输层输入处理模块调用。
11.根据权利要求7所述的数据安全处理装置,其特征在于,还包括身份认证模块,用于通过可重组逻辑电路对包含所述数据安全处理装置的安全终端的 已经授权身份信息进行加密,发送加密后的身份信息;和/或用于通过所述可重组逻辑电路对接收到的经加密后的身份信息进行计算以提取发送 所述身份信息的终端的公钥证书信息,并根据所述公钥证书信息判定发送所述身份信息的 终端为已经授权的终端。
12.根据权利要求11所述的数据安全处理装置,其特征在于,所述可重组逻辑电路包 括硬件资源模块,其中所述硬件资源模块包括功能编码单元,通过控制所述功能编码单元能够控制所述硬件 资源模块的功能;和/或网络编码单元,所述硬件资源模块之间通过所述网络编码单元连接以能够控制所述硬 件资源模块之间的连接关系,因此所述可重组逻辑电路能够组合成不同的逻辑模型以提高对所述身份信息的保密 级别。
13.根据权利要求7所述的数据安全处理装置,其特征在于,包含所述数据安全处理装 置的安全终端为支付终端。
14.一种用于金融的系统,其特征在于,包括 金融系统网关;安全终端通过网络与所述金融系统网关相连接,用户通过所述安全终端与所述金融系 统网关进行交易,所述安全终端包括 接口模块,用于传输数据;与接口模块相连的传输层输出处理模块,所述传输层输出处理模块对要发送的数据在 传输层进行加密;与所述传输层输出处理模块和所述接口模块相连的网络层输出处理模块,所述网络层 输出处理模块将加密后的所述要发送的数据在网络层进行密码封装;与接口模块相连的网络层输入处理模块,所述网络层输入处理模块将接收到的数据进 行解封装,其中所述接受到的数据在传送前进行过所述加密和所述密码封装;和与所述网络层输入处理模块和所述接口模块相连的传输层输入处理模块,将已解封装的所述接收到的数据进行解密;和安全管理中心,对所述安全终端和所述金融系统网关进行授权。
15.根据权利要求14所述的系统,其特征在于,所述安全终端还包括 认证单元,通过所述安全终端的可重组逻辑电路所述传输层认证模块对接收到的加密 后的身份信息进行计算以提取发送所述身份信息的终端的公钥证书信息,并根据所述公钥 证书信息判定发送所述身份信息的终端为已经所述安全管理中心授权的终端。
全文摘要
本发明提供一种网络安全通讯方法、数据安全处理装置和用于金融的系统,涉及网络技术领域。其中网络安全通讯方法包括在安全终端中,对要发送的数据进行传输层安全协议封装;在所述安全终端中,对所述传输层安全协议封装后的数据进行网络层安全协议封装。本发明将传输层的安全机制嵌套在网络层的安全机制之中,可以从不同的网络层次抵御攻击,从而加强了整个系统的安全性。
文档编号H04L29/06GK101997835SQ20091016137
公开日2011年3月30日 申请日期2009年8月10日 优先权日2009年8月10日
发明者刘大力, 曹春春 申请人:北京多思科技发展有限公司