一种通信网关层产生一次性密钥保护消息安全的方法与流程

本发明涉及一种通信网关层产生一次性密钥保护消息安全的方法。

背景技术：

通信网关主要用于跨系统或者服务/平台间的网络互联，一般包含协议解析、消息路由、数据中转等用途。在一些信息敏感的领域，比如电信、金融行业，通信网关还要考虑对消息数据的安全防护。通常，通信网关和传输客户端会采用一些加解密的方式保护数据，比如采用对称加解密或者公私钥的方式对数据处理，来提高传输时的数据安全性。但是对称加解密方式保存与管理密钥十分复杂，密钥发放困难，安全的传送密钥也十分困难，不能作为身份验证；而公私钥方式虽然安全性较高，但实现起来比较复杂。

技术实现要素：

为克服上述现有技术的缺陷，本发明实施例提供了一种通信网关层产生一次性密钥保护消息安全的方法，通过动态产生且只能使用一次的密钥进行口令认证，由于密钥仅能使用一次，所以较难破解，安全性较高，提高了通信网关对消息数据的防护能力，且其实现也相对容易。

为了达到上述目的，提供一种通信网关层产生一次性密钥保护消息安全的方法，包括如下步骤：

A)传输客户端发送握手请求；

B)通信网关处理握手请求，并产生密钥；

C)通信网关返回握手应答，握手应答中包含密钥；

D)传输客户端处理握手应答，获取密钥，用密钥对消息进行加密，并发送加密消息；

E)通信网关接收加密消息，并解密。

优选的，传输客户端具备客户端唯一标识。

优选的，传输客户端与通信网关预先约定握手协议格式，握手请求协议中包含一个栏位用来存放客户端唯一标识，握手应答协议中包含一个栏位用来存放密钥。

优选的，步骤B)中，通信网关获取客户端唯一标识，并将客户端唯一标识与密钥组合成键值对，存储在缓存中。

优选的，缓存有效时间为60秒。

优选的，步骤D)中，传输客户端发送加密消息时，一并发送客户端唯一标识。

优选的，步骤E)中，通信网关进行解密之前，根据加密消息中的客户端唯一标识在缓存中获取密钥，若若获取不到，返回传输客户端密钥失效，由传输客户端重新开始握手请求；若获取到，则用获取的密钥解密。

优选的，解密步骤如下：若解密失败，返回传输客户端密钥错误，由传输客户端重新开始握手请求；若解密成功，删除密钥，并进行正常的业务处理。

优选的，密钥生成规则采用Guid。

优选的，加密算法采用DES或3DES或AES算法。

本发明与现有技术相比的优点为：

通过动态产生且只能使用一次的密钥进行口令认证，由于密钥仅能使用一次，所以较难破解，安全性较高，提高了通信网关对消息数据的防护能力，且其实现也相对容易。

附图说明

图1是本发明的方法流程示意图。

具体实施方式

在本发明描述中,术语“上”、“下”、“前”及“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明而不是要求本发明必须以特定的方位构造和操作，因此不能理解为对本发明的限制。

下面结合附图对本发明的具体实施方式作进一步说明。

本发明提出了一种在通信网关层产生一次性密钥保护消息安全的方法，传输客户端在发送业务请求时先进行握手，通信网关在处理握手时产生密钥并返回给传输客户端，传输客户端再用密钥对消息进行对称加密，通信网关收到密文解密成功后并删除密钥，以防其它渠道复制消息链并重发消息或者轻易获取消息内容。

为能够保证传输客户端与通信网关的识别与交互安全性，传输客户端具备客户端唯一标识，并与通信网关约定好握手协议格式：关于握手协议，在握手请求协议中包含一个栏位用来存放客户端唯一标识；在握手应答协议中包含一个栏位用来存放一次性密钥。

本发明通过动态产生且只能使用一次的密钥进行口令认证，由于密钥仅能使用一次，所以较难破解，安全性较高，提高了通信网关对消息数据的防护能力，且其实现也相对容易。

参照图1，本发明较佳实施例如下：

(步骤－传输客户端)

S01、发送握手请求，握手协议中包含客户端唯一标识；

(步骤－通信网关)

C01、接收握手请求后，解析握手请求内容，获取客户端唯一标识；

C02、产生一次性密钥，密钥的生成规则尽量不重复即可，可采用Guid；

C03、把客户端唯一标识和密钥组合成键值对，存储在缓存中，缓存有效时间为60秒；

C04、返回握手应答，握手应答中包含密钥；

(步骤－传输客户端)

S02、解析握手应答内容，获取密钥；

S03、准备业务请求。采用对称加密算法(对称加密算法可采用DES、3DES或者AES算法)，用密钥加密业务请求的消息正文内容，并连同客户端唯一标识发送给通信网关；

(步骤－通信网关)

C05、根据客户端唯一标识在缓存中获取密钥。如果获取不到，返回客户端密钥失效，由客户端重新开始握手请求，即由传输客户端重新开始步骤S01；如果能获取到，则用获取的密钥采用相同的对称加解密算法进行解密消息内容；

C06、如果解密失败，返回客户端密钥错误，由客户端重新开始握手请求，即由传输客户端重新开始步骤S01；如果解密成功，删除缓存中密钥，并进行正常的业务处理。

根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本发明构成任何限制。