专利名称:一种增强密钥分发安全性的数据传输格式及其封装方法
技术领域:
本发明涉及信息安全密码技术领域,尤其涉及一种增强密钥分发安全性的数据传输格式及其封装方法。
背景技术:
密码技术是信息安全的基础技术,密钥则是密码技术安全应用的基础和信息化安全的核心元素。随着我国信息化产业的高速全面发展,信息化系统也进入全面的建设阶段,系统中涉及的密钥分发过程面临着越来越严格的安全性要求。 密钥分发安全性要求主要涉及密钥传输格式和密钥传输协议两部分内容。密钥传输格式通常采用自定义格式的方式,按照定义的传输格式封装密钥传输数据,将封装后的数据在网络中进行传输。密钥传输协议通常采用TCP/IP、UDP或其他协议,实现密钥数据的交换和传输。如果密钥传输格式定义不规范,密钥传输协议使用不正确,将会在密钥分发过程中造成安全隐患。非法人员利用网络工具截获密钥传输数据,并对其进行破解攻击和分析,极易造成敏感数据的泄露,从而引发严重的后果。另外,传统的数据传输格式中需要在数据体前定义数据长度,根据数据长度解析后续数据区的具体内容。该方式数据处理效率较低,解析过程较复杂,容易造成数据区数据解析错误,导致数据传输失败。
发明内容
本发明的目的是提供一种增强密钥分发安全性的数据传输格式及其封装方法,解决上述密钥分发过程中存在的安全风险,提高密钥分发的安全性、准确性、高效性。为实现上述目的,本发明采取以下技术方案
第一个技术方案,一种增强密钥分发安全性的数据传输格式,包括指令区和数据体区,其中数据体区包括保护密钥区域、应用密钥区域和MAC初始化向量,保护密钥区域和应用密钥区域均包括密钥索引区域、算法区域和数据区域;
其中,指令区是用于指令类型定义的单元;
数据体区是用于定义需要传输的数据内容,并根据指令类型进行相应的数据处理的单
元;
保护密钥区域是用于存储加密密钥数据的单元;
应用密钥区域是用于存储被加密的密钥数据的单元;
MAC初始化向量是用于存储MAC运算所需的初始值的单元;
密钥索引区域是用于存储密钥具体的密钥索引号的单元;
算法区域是用于存储具体的算法类型的单元;
数据区域是用于存储需要传输的密钥数据内容的单元。第二个技术方案,一种增强密钥分发安全性的数据传输格式的封装方法,包括以下步骤(I)将数据传输格式划分为指令区和数据体区并分别封装,其中,指令区定义指令类型,数据体区定义需要传输的数据内容,并根据指令类型进行相应的数据处理;
(2)将数据体区划分为保护密钥区域、应用密钥区域和MAC初始化向量并分别封装;其中,保护密钥区域存储加密密钥数据,应用密钥区域存储被加密的密钥数据;MAC初始化向量存储MAC运算所需的初始值;
(3)将保护密钥区域和应用密钥区域均划分为密钥索引区域、算法区域和数据区域并分别封装,其中,密钥索引区域存储密钥具体的密钥索引号,算法区域存储具体的算法类型,数据区域存储需要传输的密钥数据内容;
(4)生成数据报文。第三个技术方案,一种响应数据传输格式,包括指令区和数据体区,数据体区包括保护后的应用密钥区域、返回码区域和MAC初始化向量;其中,返回码区是域是用于存储指令操作结果的单元。第四个技术方案,一种响应数据传输格式的封装方法,包括以下步骤(I)将响应数据传输格式划分为指令区和数据体区并分别封装;
(2)将数据体区划分为保护的应用密钥区域、返回码区域和MAC初始化向量并分别封装,其中,返回码区域存储指令操作结果;
(3)生成响应数据报文。综上所述,由于采用了上述技术方案,本发明的具体有益效果是本发明的数据传输格式在传统的数据传输格式中去掉了数据长度区,保留指令区,并对数据区字段内容进行了扩展,增强了数据传输格式的安全性,开发人员能够更容易的完成相应的数据传输格式的封装和解析,提高了系统开发效率,降低了系统开发成本。可通过密钥管理系统对密码机直接完成所有密钥发行操作,确保密钥分发过程的安全。该技术不会因为非法人员通过网络截获密钥数据,并对密钥数据进行破解攻击和分析,造成敏感数据的泄露,导致对称密钥体系整体安全性下降后引发严重的后果。具体有益效果如下
1.该数据传输格式保证密钥在分发过程中密钥数据始终处于密态,确保密钥分发过程的安全;
2.该数据传输格式基于TCP/IP协议进行通信,具有广泛的适应性;
3.该数据传输格式可根据实际情况对数据格式进行扩充,具有良好的扩展性;
4.该数据传输格式及其封装方法简单,易使用、安全性强,具有明显的自身优势。
本发明将通过例子并参照附图的方式说明,其中
图I是数据传输格式的示意 图2是响应数据传输格式的示意 图3是密钥管理系统与密码机关系示意图。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。图I是发送的安全数据传输格式。数据传输格式包括指令区和数据体区两部分。数据体区划分为保护密钥区域、应用密钥区域和MAC (消息认证码)初始化向量。保护密钥区域和应用密钥区域均划分为密钥索引区域、算法区域和数据区域。发送的安全数据传输格式举例如下 0x31+0x01+SMl+1234567890ABCDEF+0x02+SMl+ABCDEF1234567890+00000000。其中,
0x31是指令类型,0x01是保护密钥区域中的密钥索引,SMl是保护密钥区域中的算法类型(国家密码管理局编制的一种商用密码分组标准对称算法),1234567890AB⑶EF是保护密钥区域中的数据内容,0x02是应用密钥区域中的密钥索引,SMl是应用密钥区域中的算法类 型(国家密码管理局编制的一种商用密码分组标准对称算法),AB⑶EF1234567890是应用密钥区域中的数据内容,00000000是MAC初始化向量。图2是响应的安全数据传输格式。数据传输格式包括指令区和数据体区两部分。数据体区划分为保护后的应用密钥区域、返回码区域和MAC初始化向量。如果没有密钥数据返回,则直接返回应答码。响应的安全数据传输格式举例如下
0x31+890ABC1234567DEF+0x00 +00000000。其中,0x31 是指令类型,890ABC1234567DEF
是保护后的应用密钥数据内容,0x00是返回码,00000000是MAC初始化向量。 图3所示,密码机与密钥管理系统采用服务器/客户机工作模式进行通信,密码机作为服务器、密钥管理系统作为客户机。使用过程中各关键步骤详细说明如下
1.根据密码机配置的IP地址和端口,建立与密码机的Socket(套接字)连接;
2.根据密码机提供的命令格式,封装数据报文;
3.将数据报文发送给密码机;
4.从密码机接收响应数据报文;
5.根据响应做出相应的判断和操作;
6.连续执行2至5步操作;
7.断开与密码机的连接。数据传输格式封装步骤如下
1)封装指令区数据;
2)封装数据体区数据;
a)封装保护密钥区域数据; 封装密钥索引区域; 封装算法区域; 封装数据区域。b)封装应用密钥区域数据; 封装密钥索引区域;U封装算法区域;
U封装数据区域 C)封装MAC初始化向量;
3)生成数据报文。保护密钥区域和应用密钥区域中的密钥索引区域、算法区域和数据区域可以根据不同的应用场景和情况进行区域内的数据划分、存储数据的调整,收发双方按照调整后的数据传输格式中的区域进行数据处理,即可完成数据传输操作。调整后的区域不会对整体的数据传输格式造成影响,原有数据传输格式的封装步骤和方法不变,提升了该数据传输格式的灵活性和扩展性。本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
1.一种增强密钥分发安全性的数据传输格式,其特征在于包括指令区和数据体区,其中数据体区包括保护密钥区域、应用密钥区域和MAC初始化向量,保护密钥区域和应用密钥区域均包括密钥索引区域、算法区域和数据区域; 其中,指令区是用于指令类型定义的单元; 数据体区是用于定义需要传输的数据内容,并根据指令类型进行相应的数据处理的单元; 保护密钥区域是用于存储加密密钥数据的单元; 应用密钥区域是用于存储被加密的密钥数据的单元;MAC初始化向量是用于存储MAC运算所需的初始值的单元; 密钥索引区域是用于存储密钥具体的密钥索引号的单元; 算法区域是用于存储具体的算法类型的单元; 数据区域是用于存储需要传输的密钥数据内容的单元。
2.一种增强密钥分发安全性的数据传输格式的封装方法,其特征在于包括以下步骤(I)将数据传输格式划分为指令区和数据体区并分别封装,其中,指令区定义指令类型,数据体区定义需要传输的数据内容,并根据指令类型进行相应的数据处理; (2)将数据体区划分为保护密钥区域、应用密钥区域和MAC初始化向量并分别封装;其中,保护密钥区域存储加密密钥数据,应用密钥区域存储被加密的密钥数据;MAC初始化向量存储MAC运算所需的初始值; (3)将保护密钥区域和应用密钥区域均划分为密钥索引区域、算法区域和数据区域并分别封装,其中,密钥索引区域存储密钥具体的密钥索引号,算法区域存储具体的算法类型,数据区域存储需要传输的密钥数据内容; (4)生成数据报文。
3.根据权利要求I所述的一种增强密钥分发安全性的数据传输格式配套使用的一种响应数据传输格式,其特征在于包括指令区和数据体区,数据体区包括保护后的应用密钥区域、返回码区域和MAC初始化向量; 其中,返回码区是域是用于存储指令操作结果的单元。
4.根据权利要求2所述的一种增强密钥分发安全性的数据传输格式的封装方法配套使用的一种响应数据传输格式的封装方法,其特征在于包括以下步骤 (1)将响应数据传输格式划分为指令区和数据体区并分别封装; (2)将数据体区划分为保护的应用密钥区域、返回码区域和MAC初始化向量并分别封装,其中,返回码区域存储指令操作结果; (3)生成响应数据报文。
全文摘要
本发明公开了一种增强密钥分发安全性的数据传输格式及其封装方法,涉及信息安全密码技术领域,包括指令区和数据体区,其中数据体区包括保护密钥区域、应用密钥区域和MAC初始化向量,保护密钥区域和应用密钥区域均包括密钥索引区域、算法区域和数据区域。本发明的有益效果在于可通过密钥管理系统对密码机直接完成所有密钥发行操作,确保密钥分发过程的安全。该技术不会因为非法人员通过网络截获密钥数据,并对密钥数据进行破解攻击和分析,造成敏感数据的泄露,导致对称密钥体系整体安全性下降后引发严重的后果。
文档编号H04L9/08GK102833073SQ20121031680
公开日2012年12月19日 申请日期2012年8月31日 优先权日2012年8月31日
发明者李元正, 廖成军, 帅军军 申请人:成都卫士通信息产业股份有限公司