专利名称:一种数据交换方法
技术领域:
本发明涉及计算机网络中的数据传输,准确地说是应用于数据交换服务器与数据发送方之间的确保信息安全准确交换的数据交换方法。
背景技术:
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络的应用给我们的生活和工作带来很大方便的同时,也存在着诸多安全隐患,广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事。现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全,不能防御来自内部的攻击,不能防御绕过防火墙的攻击行为,不能防御完全新的威胁。于是新的操作系统漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,如何保证在数据交换装置之间进行安全、准确地数据交换,已经成为各网络安全厂商和用户的共同需求和目标。
发明内容
本发明所要解决的技术问题是克服现有技术的不足,提供一个更为完善的网络安全防范系统来有效保护网络系统。该技术方案通过用户客户端、数据交换设备以及对端设备来实现,该方法包括以下步骤:A.启动数据交换设备;B.数据交换设备中包括有接收数据存储区、发送数据存储区以及参数存储器,参数存储器中保存有设置信息,设置信息中对接收数据存储区和发送数据存储区分别所占的比例进行了定义,设置信息还包括有用户客户端和对端设备的密钥信息;数据交换设备启动后,从参数存储器中读取设置信息进行初始化操作,并且每次启动数据交换设备只能读取一次,其中所述初始化操作包括按照设置信息中定义的接收数据存储区和发送数据存储区分别所占的比例进行分区以及格式化操作;C.当检测到用户口令盘的加载操作后,用户客户端通过交互界面提示用户输入口令;用户正确输入口令后,用户客户端读取用户口令盘中存储的数据交换设备的地址、用户名以及密码,建立与数据交换设备的连接,并进行身份鉴权;当鉴权成功后,数据交换设备与用户客户端建立连接;
用户客户端使用用户口令盘中的密钥对需要传送的数据进行加密,并将加密后的密文保存在用户客户端的发送存储区中,并向数据交换设备发送请求信息,在该请求信息中包括了密文的大小信息;D.数据交换设备在接收到请求后,获取请求信息中包含的大小信息,并与接收区域的大小相比较,如果小于接收区域的大小,则将用户客户端的发送存储区中的密文读取至数据交换设备中的接收数据存储区;如果大于接收数据存储区的大小,则将所述大小信息与接收数据存储区和发送数据存储区之和进行比较,若大于,则向用户客户端返回拒绝响应,在该拒绝响应中携带了数据交换设备中接收区域的大小信息,收到拒绝响应后,用户客户端将发送数据按照响应中的大小信息进行拆分,并将拆分后的数据发送给数据交换设备,数据交换设备将接收到的数据保存在接收数据存储区中;若小于,则数据交换设备在设置信息中记录请求信息中包含的所述大小信息,将用户客户端的发送存储区中的密文读取至数据交换设备中的接收数据存储区,将超出的部分存储在发送数据存储区中,并向户客户端返回响应信息,在该响应信息中携带了数据交换设备中接收区域的大小信息;断开与用户客户端之间的连接;E.数据交换设备判断接收数据存储区中是否有未发送的数据,如果有未发送的数据,则数据交换设备使用设置信息中所包括的用户客户端的密钥信息对密文进行解密;数据交换设备向对端设备发送建立连接请求,并在请求信息中携带认证信息,对端设备收到连接请求后,获取认证信息,并进行鉴权,在鉴权通过后,建立与数据交换设备之间的连接;F.数据交换设备使用对端设备的密钥对接收数据存储区中的数据进行加密,若发送存储区中有未发送的数据,则同时使用对端设备的密钥对发送存储区中的数据进行加密,并将生成的密文发送给对端设备,对端设备接收到密文后,使用自身的密钥对密文进行解密,并在解密完成后向数据交换设备返回完成响应,数据交换设备在接收到完成响应后,断开与对端设备的连接,若发送存储区中不为空,则根据请求信息中包含的所述大小信息来更新设置信息中接收数据存储区和发送数据存储区分别所占的大小比例,之后格式化存储区;G.执行关机操作;其中,在同一时刻,数据交换设备只能与用户客户端或者对端设备一方进行连接。本发明的有益效果是:由于在同一时刻,数据交换设备只能与用户客户端或者对端设备一方进行连接,数据的发送方和接收方不能直接连接,保证了发送方和接收方各自数据的安全;同时,通过对数据进行加密处理后,再进行发送,进一步提高了数据交换的安全性;此外,由于数据交换设备在启动后只完成一次数据交换操作,并且在数据交换操作执行成功后对存储区进行格式化处理并关机,这样就防止了从数据交换设备中泄漏数据的可能性,更进一步的提高了数据传输的安全性。优选的,所述步骤D之后进一步包括以下步骤:用户客户端对发送存储区进行格式化操作。本发明是一种数据传输的方法,该方法结合隔离传输和文件加密两种技术,采用了以下多种措施来有效保证用户数据的安全:
I)用户数据在本地加密后,再上传到数据交换设备,以确保用户数据在传输和存储时都不会被非法窃取,使用户可以放心地使用本业务进行关键数据的异地存储。2)数据交换设备分别使用发送方和接收方的密钥对文件进行加密,而不在传输文件中携带密文的密钥,提高了数据在传输过程中的安全性。
图1是本发明一种数据交换方法的操作流程方框图。图2是本发明的系统结构框图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。参见图1和图2,本发明是一种数据交换方法,主要由用户客户端、数据交换设备以及对端设备来执行相关操作,包括下列步骤:A.启动数据交换设备;B.数据交换设备中包括有接收数据存储区、发送数据存储区以及参数存储器,参数存储器中保存有设置信息,设置信息中对接收数据存储区和发送数据存储区分别所占的比例进行了定义,设置信息还包括有用户客户端和对端设备的密钥信息;数据交换设备启动后,从参数存储器中读取设置信息进行初始化操作,并且每次启动数据交换设备只能读取一次,其中初始化操作包括按照设置信息中定义的接收数据存储区和发送数据存储区分别所占的比例进行分区以及格式化操作;C.当检测到用户口令盘的加载操作后,其中,此处的用户口令盘可以是存储在用户客户端中的数据包,或者保存了用户口令信息的即插即用设备等,用户客户端通过交互界面提示用户输入口令,用户可以通过连接到用户客户端的外接键盘或者用户客户端屏幕上显示的软键盘来完成输入操作;用户正确输入口令后,用户客户端读取用户口令盘中存储的数据交换设备的地址、用户名以及密码,建立与数据交换设备的连接,并进行身份鉴权;当鉴权成功后,数据交换设备与用户客户端建立连接;如果身份鉴权不成功,数据交换设备断开与用户客户端的连接,并执行关机操作;用户客户端使用用户口令盘中的密钥对需要传送的数据进行加密,加密算法至少包括,数字签名算法DSA,由Rivest、Shamir和Adlernan三人发明的RSA公钥算法,数据对称加密算法DES、安全哈希算法SHA-Ι、消息摘要算法MD5等,并将加密后的密文保存在用户客户端的发送存储区中,并向数据交换设备发送请求信息,在该请求信息中包括了密文的大小信息;D.数据交换设备在接收到请求后,获取请求信息中包含的大小信息,并与接收区域的大小相比较,如果小于接收区域的大小,则将用户客户端的发送存储区中的密文读取至数据交换设备中的接收数据存储区;如果大于接收数据存储区的大小,则将所述大小信息与接收数据存储区和发送数据存储区之和进行比较,若大于,则向用户客户端返回拒绝响应,在该拒绝响应中携带了数据交换设备中接收区域的大小信息,收到拒绝响应后,用户客户端将发送数据按照响应中的大小信息进行拆分,并将拆分后的数据发送给数据交换设备,数据交换设备将接收到的数据保存在接收数据存储区中;若小于,则数据交换设备在设置信息中记录请求信息中包含的所述大小信息,将用户客户端的发送存储区中的密文读取至数据交换设备中的接收数据存储区,将超出的部分存储在发送数据存储区中,并向户客户端返回响应信息,在该响应信息中携带了数据交换设备中接收区域的大小信息;断开与用户客户端之间的连接;E.数据交换设备判断接收数据存储区中是否有未发送的数据,如果有未发送的数据,则数据交换设备使用设置信息中所包括的用户客户端的密钥信息对密文进行解密;数据交换设备向对端设备发送建立连接请求,并在请求信息中携带认证信息,对端设备收到连接请求后,获取认证信息,并进行鉴权,在鉴权通过后,建立与数据交换设备之间的连接;F.数据交换设备使用对端设备的密钥对接收数据存储区中的数据进行加密,若发送存储区中有未发送的数据,则同时使用对端设备的密钥对发送存储区中的数据进行加密,并将生成的密文发送给对端设备,对端设备接收到密文后,使用自身的密钥对密文进行解密,并在解密完成后向数 据交换设备返回完成响应,数据交换设备在接收到完成响应后,断开与对端设备的连接,若发送存储区中不为空,则根据请求信息中包含的所述大小信息来更新设置信息中接收数据存储区和发送数据存储区分别所占的大小比例,之后格式化存储区;G.执行关机操作;显然,本领域的技术人员应该明白,上述的本发明的各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件
彡口口。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种数据交换方法,其特征在于:至少包括下列步骤: A.启动数据交换设备; B.数据交换设备中包括有接收数据存储区、发送数据存储区以及参数存储器,参数存储器中保存有设置信息,设置信息中对接收数据存储区和发送数据存储区分别所占的比例进行了定义,设置信息还包括有用户客户端和对端设备的密钥信息; 数据交换设备启动后,从参数存储器中读取设置信息进行初始化操作,并且每次启动数据交换设备只能读取一次,其中所述初始化操作包括按照设置信息中定义的接收数据存储区和发送数据存储区分别所占的比例进行分区以及格式化操作; C.当检测到用户口令盘的加载操作后,用户客户端通过交互界面提示用户输入口令;用户正确输入口令后,用户客户端读取用户口令盘中存储的数据交换设备的地址、用户名以及密码,建立与数据交换设备的连接,并进行身份鉴权;当鉴权成功后,数据交换设备与用户客户端建立连接; 用户客户端使用用户口令盘 中的密钥对需要传送的数据进行加密,并将加密后的密文保存在用户客户端的发送存储区中,并向数据交换设备发送请求信息,在该请求信息中包括了密文的大小信息; D.数据交换设备在接收到请求后,获取请求信息中包含的大小信息,并与接收区域的大小相比较,如果小于接收区域的大小,则将用户客户端的发送存储区中的密文读取至数据交换设备中的接收数据存储区; 如果大于接收数据存储区的大小,则将所述大小信息与接收数据存储区和发送数据存储区之和进行比较,若大于,则向用户客户端返回拒绝响应,在该拒绝响应中携带了数据交换设备中接收区域的大小信息,收到拒绝响应后,用户客户端将发送数据按照响应中的大小信息进行拆分,并将拆分后的数据发送给数据交换设备,数据交换设备将接收到的数据保存在接收数据存储区中;若小于,则数据交换设备在设置信息中记录请求信息中包含的所述大小信息,将用户客户端的发送存储区中的密文读取至数据交换设备中的接收数据存储区,将超出的部分存储在发送数据存储区中,并向户客户端返回响应信息,在该响应信息中携带了数据交换设备中接收区域的大小信息; 断开与用户客户端之间的连接; E.数据交换设备判断接收数据存储区中是否有未发送的数据,如果有未发送的数据,则数据交换设备使用设置信息中所包括的用户客户端的密钥信息对密文进行解密; 数据交换设备向对端设备发送建立连接请求,并在请求信息中携带认证信息,对端设备收到连接请求后,获取认证信息,并进行鉴权,在鉴权通过后,建立与数据交换设备之间的连接; F.数据交换设备使用对端设备的密钥对接收数据存储区中的数据进行加密,若发送存储区中有未发送的数据,则同时使用对端设备的密钥对发送存储区中的数据进行加密,并将生成的密文发送给对端设备,对端设备接收到密文后,使用自身的密钥对密文进行解密,并在解密完成后向数据交换设备返回完成响应,数据交换设备在接收到完成响应后,断开与对端设备的连接,若发送存储区中不为空,则根据请求信息中包含的所述大小信息来更新设置信息中接收数据存储区和发送数据存储区分别所占的大小比例,之后格式化存储区;G.执行关机操作; 其中,在同一时刻,数据交换设备只能与用户客户端或者对端设备一方进行连接。
2.根据权利要求1中所述的数据传输方法,其特征在于,所述步骤D之后进一步包括以下步骤: 用户客户端 对发送存储区进行格式化操作。
全文摘要
一种数据交换方法,包括下列步骤数据交换设备从参数存储器中读取设置信息并进行初始化操作;当对用户输入口令鉴权成功后,数据交换设备与用户客户端建立连接;数据交换设备接收到用户客户端发送的数据后,断开与用户客户端之间的连接;数据交换设备解密密文,并建立与对端设备的连接;在使用对端设备的密钥进行加密后,将密文发送给对端设备,断开与对端设备的连接。通过该方法实现了在数据交换装置之间进行安全、准确地数据交换。
文档编号H04L9/32GK103200170SQ20131004506
公开日2013年7月10日 申请日期2013年2月1日 优先权日2013年2月1日
发明者沈亚琴, 曾美霞 申请人:宁波市胜源技术转移有限公司