一种基于混合密码技术的气象数据加解密服务系统的制作方法

[0001]
本发明涉及气象数据加解密服务技术领域，具体为一种基于混合密码技术的气象数据加解密服务系统。


背景技术：

[0002]
气象局为方便企业、个人直接实时下载气象局数据，进一步挖掘气象数据价值，开发气象服务产品或软件，提供了数据接口和插件。
[0003]
但在数据传输、使用过程中，一些企业、个人由于缺乏气象数据使用方面的监管，对气象数据进行随意修改、传播，直接损害了气象数据的权威性、专业性和安全性，普遍存在安全性低、传输不完整以及身份难以认证的缺陷，易发生数据在传输过程中内容泄露以及数据在传输过程中可能被篡改的问题，接受数据的一方很难确认发送者的身份，不能保证敏感数据安全。


技术实现要素：

[0004]
(一)解决的技术问题
[0005]
针对现有技术的不足，本发明提供了一种基于混合密码技术的气象数据加解密服务系统，解决了气象数据传输普遍存在安全性低、传输不完整以及身份难以认证的缺陷，易发生数据在传输过程中内容泄露以及数据在传输过程中可能被篡改的问题，接受数据的一方很难确认发送者的身份，很难保证敏感数据安全的问题。
[0006]
(二)技术方案
[0007]
为实现上述目的，本发明提供如下技术方案：一种基于混合密码技术的气象数据加解密服务系统，包括：
[0008]
数据风险控制中心，所述数据风险控制中心是由数据加密服务集群、用户认证管理系统、密钥管理系统和日志分析管理系统组成。
[0009]
客户服务器密码机，所述客户服务器密码机用于存储加密服务器生成的私钥、公钥以及气象局的公钥以及所有客户用户的公钥即sdk生成的公钥；建立ca系统，并结合人工检查方式对客户用户身份确认生成客户端用户证书；对用户的气象数据请求进行签名验证及签名授权。
[0010]
客户使用端sdk，所述客户使用端sdk用于派生客户公钥、客户私钥，并对私钥进行加密后保存；使用私钥对请求到的气象数据解密。
[0011]
作为本发明的一种优选技术方案，所述数据加密服务集群通过密钥管理服务和安全接口提供气象数据加密服务，通过对称加密结合非对称加密的混合加密技术、数字签名技术完成加密功能实现。
[0012]
作为本发明的一种优选技术方案，所述用户认证管理系统用于对用户数字证书的申请、审核、签发、发布、查询、下载和注销的生命周期管理。
[0013]
作为本发明的一种优选技术方案，所述密钥管理系统用于密钥对的安全管理，包
括密钥产生、密钥备份、密钥恢复和密钥更新。
[0014]
作为本发明的一种优选技术方案，所述日志分析管理系统用于对系统的所有操作日志进行分析、审计，根据系统日志通过机器学习识别非法用户，可疑数据请求等。
[0015]
(三)有益效果
[0016]
与现有技术相比，本发明提供了一种基于混合密码技术的气象数据加解密服务系统，具备以下有益效果：
[0017]
该基于混合密码技术的气象数据加解密服务系统，气象数据加解密服务系统采用混合密码技术对数据信息进行加解密，将对称密码和公钥密码的优势相结合的方法，满足高效率、高机密性、高安全性以及高完整性要求，对气象数据的保护达到新高度。
附图说明
[0018]
图1为本发明的系统原理简易示意框图；
[0019]
图2为本发明中用户注册认证示意图；
[0020]
图3为本发明中数据加密流程示意图；
[0021]
图4为本发明中数据解密流程示意图。
[0022]
图中：100、数据风险控制中心；200、客户服务器密码机；300、客户使用端sdk。
具体实施方式
[0023]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0024]
实施例
[0025]
请参阅图1-4，本发明提供以下技术方案：一种基于混合密码技术的气象数据加解密服务系统，包括：
[0026]
数据风险控制中心100，数据风险控制中心100是由数据加密服务集群、用户认证管理系统、密钥管理系统和日志分析管理系统组成。
[0027]
客户服务器密码机200，客户服务器密码机200用于存储加密服务器生成的私钥、公钥以及气象局的公钥以及所有客户用户的公钥即sdk生成的公钥；客户服务器密码机200建立ca系统，并结合人工检查方式对客户用户身份确认生成客户端用户证书；客户服务器密码机200对用户的气象数据请求进行签名验证及签名授权。
[0028]
客户服务器密码机200有四个主要作用：
[0029]
1、客户服务器密码机200存储加密服务器生成的私钥、公钥以及气象局的公钥以及所有客户用户的公钥(即sdk生成的公钥)；
[0030]
2、客户服务器密码机200的ca系统用对客户用户发送过来的客户服务器公钥加密的信息进行解密，并结合人工检查方式，对客户用户身份确认，通过后将用户公钥信息再加密签名后发送给气象局数据中心；
[0031]
3、客户服务器密码机200接收客户用户的数据请求，对客户用户的数字签名进行核查；并对数据请求进行签名认证。
[0032]
4、客户服务器密码机200具有认证功能，对客户用户的公钥进行认证并确认。
[0033]
客户使用端sdk300，客户使用端sdk300用于派生客户公钥、客户私钥，并对私钥进行加密后保存；生成的公钥经过ra(数字证书注册中心，ca认证体系中的一部分)认证后在ca(客户服务器密码机200内)保存；客户使用端sdk300对请求数据进行数字签名，可以保证发送方不能否认和伪造信息；客户使用端sdk300可验证并解密气象局数据中心的加密气象数据，气象局使用客户公钥加密的气象数据可以被客户使用端sdk300的私钥进行解密。
[0034]
具体的，数据加密服务集群通过密钥管理服务和安全接口提供气象数据加密服务，通过对称加密结合非对称加密的混合加密技术、数字签名技术完成加密功能实现。
[0035]
具体的，用户认证管理系统用于对数字证书的申请、审核、签发、发布、查询、下载和注销的生命周期管理。
[0036]
具体的，密钥管理系统用于密钥对的安全管理，包括密钥产生、密钥备份、密钥恢复和密钥更新。
[0037]
本实施例中，密钥管理也是pki(主要指ca认证机构)中的一个核心功能，主要是指密钥对的安全管理，包括密钥产生、密钥备份、密钥恢复和密钥更新等；其中，密钥产生：密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用户保留，公钥和其他信息则交于ca中心进行签名，从而产生证书；根据证书类型和应用的不同，密钥对的产生也有不同的形式和方法。对于比较重要的证书，密钥对由ca中心直接产生，这样产生的密钥强度大，适合于重要的应用场合。根据密钥的应用不同，会有不同的产生方式。签名密钥可能在客户端或ra中心产生；密钥备份和恢复：在密钥管理系统中，维护密钥的备份生命周期至关重要，如果没有这种措施，当密钥丢失后，将意味着加密数据的完全丢失，对于一些重要数据，这将是灾难性的，密钥的备份和恢复也是pki密钥管理中的重要一环；密钥更新：对每一个由ca颁发的证书都会有有效期，密钥对生命周期的长短由签发证书的ca中心来确定，各ca系统的证书有效期限有所不同，一般大约为2-3年。当用户的私钥被泄漏或证书的有效期快到时，用户应该更新私钥。这时用户可以废除证书，产生新的密钥对，申请新的证书。
[0038]
具体的，日志分析管理系统用于对系统的所有操作日志进行审计，日志分析管理系统包括审计日志的查询、下载和清理策略配置。
[0039]
本实施例中，日志分析管理系统用于对系统的所有操作日志进行分析、审计，根据系统日志通过机器学习识别非法用户，可疑数据请求等。
[0040]
1、日志系统对安全设备、服务器、中间件、数据库、sdk等日志文件统一采集、存储、分析，实现信息系统安全风险的综合分析，预防、控制安全事件的发生，并记录原始日志信息，以备查询；
[0041]
2、实现安全告警信息由分散查看、分散处理到集中监控、集中分析，形成集中化全网安全监控管理；
[0042]
3、实现网络及重要系统的安全事件管理，为安全风险分析提供技术手段，提高安全事件处理效率及质量，并提供相应的制度和知识支撑；
[0043]
4、为日常安全运维及管理工作提供标准化、流程化的支撑平台；实现自动化的日志采集与分析，并通过邮件、短信等多种方式将告警信息直接通知到相应责任人
[0044]
5、通过机器学习对非法用户进行识别，自动切断非法用户的数据请求。
[0045]
在本发明的另一方面，如图2所示，用户注册认证步骤为：
[0046]
步骤一、客户用户c通过填写用户登录信息登录用户管理系统，并向客户b加密服务器请求初始化信息；
[0047]
步骤二、客户用户c获得服务器初始化信息，包括a服务地址、a公钥、b公钥、b签名信息；
[0048]
步骤三、通过本地sdk生成c公钥、c私钥；
[0049]
步骤四、客户用户c申请数据请求，需要提供a公钥加密的c公钥信息、b加密的信息以及用户token给客户b，客户b用b私钥解密并通过人工审核，再将解密信息用a公钥加密，发送至气象局a，气象局a用a私钥对用a公钥加密的信息进行解密，获取了c公钥并存储。
[0050]
在本发明的另一方面，数据对象的加密方法和对称密码的加密方法相同，通过对称密码快速完成加密，如图3所示，即流程图右边数据对象加密的内容，流程图的左半部分进行的是对话密钥的生成和加密操作；其中包括：
[0051]
随机生成器：在混合密码体系中，随机生成器被用于产生对话密钥，具有不可预测性，攻击者在知道过去生成的伪随机数列的前提下，无法预测下一个生成出来的伪随机数；
[0052]
加密对话密钥：对话密钥是指本次通信而生成的临时密钥，它一般是通过随机数生成器产生的。随机数生成器所产生的对话密钥同时会传递给右半部分的数据对称加密，作为对称密码的密钥使用；
[0053]
非对称加密：对称加密也称公钥密码，发送者用加密密钥对信息进行加密，接收者用解密密钥对密文进行解密。加密密钥是公开的，不需要担忧传输过程被截取，解密密钥不公开。公钥和私钥须同时生成密钥对；
[0054]
对称加密：对称加密指加密和解密使用相同的密钥，对气象数据对象使用对称加密方法进行加密，密码算法用一个固定长度的分组进行加密。当需要加密的数据长度超过分组长度时，对密码算法进行迭代；
[0055]
签名认证：名认证指数字签名，会同时使用公钥和私钥组成的密钥对。用单项散列函数求出消息的散列值，再将散列值(对散列值签名)进行加密。无论消息多长，散列值都是较短，对加密(签名)更为迅速。
[0056]
在本发明的另一方面，密文的解密过程需要将消息体通过服务端公钥、摘要(散列值)、数字认证将密文进行拆解，将对话密钥解密和数据对象对称解密分成左右两部分，如图4所示，左边部分，对话密钥使用用户私钥进行解密，右边部分为数据对象使用对称密码解密，解密的密钥为左边部分解密的对话密钥。
[0057]
本发明的工作原理及使用流程：气象数据加解密服务系统采用混合密码技术对数据信息进行加解密，即是将对称密码和公钥密码的优势相结合的方法，首先用快速的对称密码来对数据进行加密，数据转换成密文，保证数据的机密性；再用公钥密码对加密数据时使用的对称密码的密钥进行加密，由于对称密码的密钥一般比数据本身要短，解决了公钥密码加密速度慢的问题。
[0058]
最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。