一种面向应急领域的终端安全通信方法和系统与流程

本发明涉及应急安全通信领域，具体而言，涉及一种面向应急领域的终端安全通信方法和系统。
背景技术：
：随着我国国内经济的快速发展，人民对公共安全事业的关注度和要求日益提高，然而，日趋激烈的国内、国际竞争，城市化、工业化和全球化进程的进一步加快，使得公共安全问题发生频率大大增加，给我国面临突发公共安全事件所要求的快速应急指挥协调能力带来了严峻挑战。传统的解决方案一般以应急指挥服务端为中心，所有应急人员的用户名、密码信息均存储在服务端中。执行任务前，系统管理员需将所有参与应急救援的人员账号信息录入到系统中，应急人员使用分配的用户名、密码登录服务端完成通信，这种方式一定程度上保证了数据安全，但极大的限制了现场应急人员的灵活性，很难满足应急救援的需求。应急救援现场情况瞬息万变，随时可能有应急人员伤亡而无法继续任务，例如：救援过程中组长意外受伤无法继续任务，此时应立即由组员中选出一位作为组长继续执行任务，传统解决方案需要组员进行上报，指挥中心管理员从小组中选择一名成员作为组长并为其分配权限，这一过程复杂且耗时，对于网络不畅的环境则会导致救援瘫痪。技术实现要素：本发明实施例提供一种面向应急领域的终端安全通信方法和系统，用以解决现有技术中传统通信方法限制了现场应急人员的灵活性，很难满足应急救援的需求，复杂且耗时，对于网络不畅的环境则会导致救援瘫痪的问题。本发明实施例提供的具体技术方案如下：第一方面，提供一种面向应急领域的终端安全通信方法，包括以下步骤：在终端设置用户信息，使用预置的令牌密钥，基于用户信息生成第一签名，将用户信息作为头部与第一签名组合成令牌；将请求数据和令牌组合成发送信息，并使用预置的对称密钥对发送信息加密后发送至服务端；接收发送信息，使用对称密钥进行解密，得到请求数据和令牌；使用令牌密钥对令牌中的用户信息加密，生成第二签名，通过与令牌中的第一签名进行对比验证请求的合法性；根据请求，使用对称密钥对返回数据进行加密后返回。结合第一方面，在第一种可能的实现方式中，所述通过与令牌中的第一签名进行对比验证请求的合法性，包括：若第二签名与第一签名相同则请求合法，反之，则请求非法。结合第一方面，在第二种可能的实现方式中，所述生成第一签名和所述生成第二签名中均使用hash算法，所述hash算法可采用sha256或sha1算法。结合第一方面，在第三种可能的实现方式中，所述用户信息包括用户名、角色或地图展示图标中的一种或多种。结合第一方面，在第四种可能的实现方式中，所述请求数据包括文本、图片或文件中的一种或多种。第二方面，提供一种面向应急领域的终端安全通信系统，该系统包括：令牌生成模块，配置在终端中，用于在终端设置用户信息，使用预置的令牌密钥，基于用户信息生成第一签名，将用户信息作为头部与第一签名拼接成令牌；发送信息生成及发送模块，配置在终端中，用于将请求数据和令牌组合成发送信息，并使用预置的对称密钥对发送信息加密后发送至服务端；接收及解密模块，配置在服务端中，用于接收发送信息，使用对称密钥进行解密，得到请求数据和令牌；合法性验证模块，配置在服务端中，用于使用令牌密钥对令牌中的用户信息加密，生成第二签名，通过与令牌中的第一签名进行对比验证请求的合法性；数据返回模块，配置在服务端中，用于根据请求使用对称密钥对返回数据进行加密后返回。结合第二方面，在第一种可能的实现方式中，所述合法性验证模块，具体用于：若第二签名与第一签名相同则请求合法，反之，则请求非法。基于上述技术方案，本发明具有以下有益效果：终端用户能够自行设置用户名、角色信息以及地图展示图标等，服务端只做权限验证，不为用户分配账户和权限，极大的方便了应急人员，较好的满足了千变万化的应急救援需求；当需要增补救援力量时，应急人员直接携带新的终端并设置用户名、角色等信息后就可以直接于服务端进行通信，而无需等待服务端完成账号、权限分配后才能正常使用，提高了现场人员的应急灵活性，提升了现场应急救援效率。附图说明为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。其中：图1为本发明实施例中终端安全通信方法的流程示意图；图2为本发明实施例中终端生成令牌的流程示意图；图3为本发明实施例中服务端验证令牌的流程示意图；图4为本发明实施例中终端和服务端之间安全通信流程示意图；图5为本发明实施例中终端安全通信系统的各模块结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。应理解，本发明实施例中，密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。对称加密指通信双方在过程中使用同样的密钥进行加密和解密。本技术方案中所使用的加密算法为hash算法，可选用sha256或sha1算法，优选为sha256算法。图1为本发明实施例的终端安全通信方法的流程示意图。如图1所示，该方法具体包括以下步骤：s110，在终端设置用户信息，使用预置的令牌密钥，基于用户信息生成第一签名，将用户信息作为头部与第一签名组合成令牌。如图2所示，在步骤s110中，终端可以是移动电话、掌上电脑、平板电脑或台式计算机等设备，用户在获取终端设备后设置用户信息，该用户信息包括用户名、角色、地图展示图标等信息，终端设备内预置有令牌密钥，通过令牌密钥运算sha256算法，可以基于用户信息生成第一签名，再将用户信息作为头部与第一签名组合成令牌。令牌可分为header(头部)和签名二大属性，header包含userid(用户名)、role(用户角色)，两部分的值均由应急人员自行设定，例如，userid为foo，role为teamlaeader。令牌的数据格式如下表：表1令牌(token)数据格式s120，将请求数据和令牌组合成发送信息，并使用预置的对称密钥对发送信息加密后发送至服务端。其中，服务端可以为云端服务器。发送信息可分为数据体和token两大属性，数据体即请求数据，具体可为文本、图片或文件等，token即令牌，其具体格式件表1。发送信息的格式如下表：表2发送信息格式属性定义数据体文本、图片、文件等token格式见表1s130，接收发送信息，使用对称密钥进行解密，得到请求数据和令牌。s140，使用令牌密钥对令牌中的用户信息加密，生成第二签名，通过与令牌中的第一签名进行对比验证请求的合法性。s150，根据请求，使用对称密钥对返回数据进行加密后返回。如图3和图4所示，图3为本发明实施例中服务端验证令牌的流程示意图，图4为本发明实施例中终端和服务端之间安全通信流程示意图。终端将请求数据(data)和令牌(token)组合成发送信息，再使用预置的对称密钥对发送信息加密后发送至服务端，服务端通过网络接收发送信息，并使用与终端相同的对称密钥进行解密，得到接收信息，即得到请求数据和令牌。服务端使用令牌密钥对令牌中的用户信息进行加密，生成第二签名，通过与令牌中的第一签名进行对比验证请求的合法性，若第二签名与第一签名相同则请求合法，服务端提取数据，反之，则请求非法。最后，服务端响应请求，并使用对称密钥对返回数据进行加密后返回至终端。上文中结合图1至图4，详细描述了根据本发明实施例的面向应急领域的终端安全通信方法，下面将结合图5，详细描述本发明实施例的面向应急领域的终端安全通信系统。该系统包括：令牌生成模块100，配置在终端中，用于在终端设置用户信息，使用预置的令牌密钥，基于用户信息生成第一签名，将用户信息作为头部与第一签名拼接成令牌；发送信息生成及发送模块200，配置在终端中，用于将请求数据和令牌组合成发送信息，并使用预置的对称密钥对发送信息加密后发送至服务端；接收及解密模块300，配置在服务端中，用于接收发送信息，使用对称密钥进行解密，得到请求数据和令牌；合法性验证模块400，配置在服务端中，用于使用令牌密钥对令牌中的用户信息加密，生成第二签名，通过与令牌中的第一签名进行对比验证请求的合法性；数据返回模块500，配置在服务端中，用于根据请求使用对称密钥对返回数据进行加密后返回。优选的，合法性验证模块400，具体用于：若第二签名与第一签名相同则请求合法，反之，则请求非法。所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务端，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。当前第1页1 2 3