网络数据安全传输方法与流程

本发明提供一种网络数据安全传输方法，属于信息安全技术领域。

背景技术：

消息中间件适用于任何需要进行网络通信的系统，负责建立网络通信的信道，实现数据传输。在消息中间件的通信过程中采用证书安全机制，可以保证通信安全，对通信中传输的数据进行二次加密处理，则可进一步提高网络传输数据的安全性。

技术实现要素：

鉴于上述原因，本发明的目的在于提供一种网络数据安全传输方法，通过对数据进行加密、数字签名等处理，可提高数据在网络中传输的安全性与完整性。

为实现上述目的，本发明采用以下技术方案：

一种网络数据安全传输方法，包括以下步骤：

网络数据安全传输方法，其特征在于，包括以下步骤：

S1：消息接收方基于可信平台模块创建公、私钥对，保存私钥，将公钥发送至认证机构，生成公钥证书；

S2：消息发送方从认证机构获取该公钥证书，基于可信平台模块生成会话密钥；

S3：消息发送方对原始数据进行处理，将生成的数字信封发送至消息接收方；包括：

计算原始数据的数字摘要A；利用该会话密钥，基于对称加密算法对原始数据及数字摘要A进行加密处理，生成密文数据；基于非对称加密算法对会话密钥进行加密，生成密文密钥；该数字信封包括密文数据及密文密钥；

S4：消息接收方接收该数字信封，对其进行处理生成原始数据，并对原始数据进行验证；包括：

从可信平台模块中读取私钥，基于非对称加密算法对密文密钥进行解密，

得到会话密钥；利用该会话密钥，基于对称加密算法对密文数据进行解密，

得到原始数据及数字摘要A；计算解密出的原始数据的数字摘要B，将数字摘要B与数字摘要A进行比较，进行数据完整性的验证。

进一步的，

所述消息发送方与消息接收方之间建立安全通信信道。

所述步骤S1中，消息接收方基于可信平台模块，采用国密SM2椭圆曲线算法创建所述公、私钥对。

所述对称加密算法为国密对称加密算法SM4，所述非对称加密算法为椭圆曲线公钥密码算法SM2，基于国密杂凑算法SM3计算所述原始数据的数字摘要。

本发明的优点是：

本发明的网络数据安全传输方法，对消息中间件建立的安全通信信道中传输的数据进行二次加密处理，基于可信平台模块TPM、公钥基础设施PKI及国密算法的数字信封加密方式，保证加解密密钥的安全性，提高数据安全性和高效性；对原始数据进行数字签名以验证数据完整性，可有效提高基于网络传输数据的安全可靠性。

附图说明

图1是本发明的方法流程图。

图2是本发明的消息发送方对原始数据进行加密处理的方法流程图。

图3是本发明的消息接收方对密文消息进行解密及验证的方法流程图。

具体实施方式

以下结合附图和实施例对本发明作进一步详细的描述。

本发明的网络数据安全传输方法，用于实现消息发送方与消息接收方基于网络的数据通信，消息发送方与消息接收方之间已建立用于传输数据的安全通信信道，也就是建立了基于证书的SSL/TLS连接的通信信道。

建立安全通信信道的具体实现方式为：

首先采用相关国密算法生成CA认证证书、服务端证书、客户端证书，CA认证证书对服务端及客户端的证书进行签名，确保证书的安全性，一个CA认证证书可以对多个服务端证书及客户端证书进行签名。在消息中间件服务端中存放CA认证证书及服务端证书，客户端利用其客户端证书与消息中间件通信，证书验证通过后，建立可信连接，即建立安全通信信道。

如图1-3所示，本发明公开的网络数据安全传输方法，包括以下步骤：

S1：消息接收方，基于可信平台模块(TPM：Trusted Platform Module)采用国密椭圆曲线公钥算法SM2创建公私钥对，可信平台模块保存私钥，输出公钥，向认证机构注册该公钥，申请并生成公钥证书；

该认证机构为基于公钥基础设施PKI的组织机构。

S2：消息发送方，从认证机构获取该公钥证书，并基于可信平台模块生成会话密钥；

可信平台模块提供接口生成随机密钥，该密钥为会话密钥。

S3：消息发送方向消息接收方发送的原始数据，经处理后生成数字信封，发送至消息接收方：

对原始数据进行数据处理的过程包括：

S31：利用国密杂凑算法SM3计算原始数据的数字摘要A，

S32：利用会话密钥，基于国密对称加密算法SM4对原始数据及数字摘要A进行加密运算，生成密文数据；

S33：基于国密椭圆曲线公钥密码算法SM2对会话密钥进行加密运算，生成密文密钥；

该数字信封包括生成的密文数据及密文密钥。

S4：消息接收方接收该数字信封，对数字信封进行如下解密处理：

S41：从可信平台模块中读取出私钥，基于国密椭圆曲线公钥密码算法SM2对密文密钥进行解密，得到会话密钥；

S42：利用该会话密钥，基于国密对称加密算法SM4对密文数据进行解密，得到原始数据及数字摘要A；

S43：基于国密杂凑算法SM3计算解密出的原始数据的数字摘要B，将该数字摘要B与数字摘要A进行比较，若二者一致，则数据完整性验证通过，若二者不一致，则数据被篡改，本次数据传输失败，需进行后续处理，如要求消息发送方重传数据，或是发出报警日志等。

本发明的网络数据安全传输方法，基于可信平台模块、国密椭圆曲线公钥密码算法SM2、国密对称加密算法SM4、国密杂凑算法SM3，结合公钥基础设施PKI，对消息中间件建立的安全通信信道中传输的数据进行二次加密处理，包括对原始数据进行对称加密处理，对会话密钥的非对称加密处理，以提高数据安全性和高效性，对原始数据进行数字签名以验证数据完整性，可有效提高基于网络传输数据的安全可靠性。

以上所述是本发明的较佳实施例及其所运用的技术原理，对于本领域的技术人员来说，在不背离本发明的精神和范围的情况下，任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变，均属于本发明保护范围之内。