一种基于传输层安全协议的数据加密传输方法及系统与流程

本发明涉及计算机网络，具体涉及一种基于传输层安全协议的数据加密传输方法及系统。

背景技术：

1、随着数字化时代的到来，网络通信已经成为人们日常生活和商业活动中不可或缺的一部分。然而，随之而来的是网络安全问题，其中最为关键的之一是数据在传输过程中可能面临的威胁。传统的数据传输方式在保障数据完整性和保密性方面存在一定的弱点，例如在传输过程中可能被黑客截获、篡改或者窃听，这为信息泄露、身份盗用等安全风险埋下了隐患。

2、在这样的背景下，传输层安全协议(transport layer security，tls)应运而生。tls是一种为网络通信提供安全性和数据完整性的通信协议，广泛应用于互联网上的安全数据传输。tls协议通过加密传输层的数据，提供端到端的安全通信通道，有效抵御了许多传统网络攻击手段。

3、然而，尽管tls协议在很大程度上提高了网络通信的安全性，但在实际应用中仍然存在一些问题。其中之一是协议版本的演进，一些较旧的版本可能存在已知的漏洞，使得系统容易受到特定攻击的威胁。另外，密钥管理和交换过程中的一些风险也可能影响到整个系统的安全性。因此，需要一种创新性的方法和系统，以加强传输层安全协议的安全性，提高数据传输的保密性和完整性。

技术实现思路

1、有鉴于此，为了克服传统网络传输中存在的一些安全隐患，本发明的目的在于提出一种基于传输层安全协议的数据加密传输方法及系统，通过在通信双方间的传输层安全协议建立安全的传输连接，提高数据传输的安全性、隐私保护水平以及系统整体的防御能力。

2、基于上述目的，第一方面，本发明提供了一种基于传输层安全协议的数据加密传输方法，包括以下步骤：

3、步骤一：建立安全连接

4、在通信开始前，通过传输层安全协议(tls)的握手协议建立客户端与服务器的安全连接，通信双方交换数字证书，并通过公钥基础设施(pki)对数字验证；

5、步骤二：双因素身份验证

6、在tls握手完成后，引入双因素身份验证，通过双因素身份验证的密码和动态令牌进行客户端与服务器的通信双方身份验证；

7、步骤三：密钥协商

8、通信双方身份验证通过后，通过diffie-hellman密钥交换协议独立生成客户端与服务器进行加密和解密数据的唯一对称密钥，得到协商密钥；

9、步骤四：数据加密

10、获取待传输的数据并将数据分段，对每个数据段使用主密钥进行嵌套加密，得到包含嵌套加密数据段和必要元数据的加密数据包；

11、步骤五：数据包加密机制

12、引入数据包加密机制，通过数据包加密机制对数据包内容进行深度加密后传输给接收方；

13、步骤六：身份验证和解密

14、传输后进行通过密码和动态令牌进行通信双方身份验证并通过协商密钥进行解密；

15、步骤七：实时监控与异常处理

16、实时监控流量，当检测到流量异常时，进行攻击行为判断并记录异常，判定存在攻击行为时，中断连接并返回至密钥交换协议步骤重新协商密钥。

17、作为本发明的进一步方案，通过tls握手协议建立客户端与服务器的安全连接，包括以下步骤：

18、客户端向服务器发送至少一个包含支持的tls协议版本、加密算法以及随机数信息的clienthello消息；

19、服务器从客户端提供的加密算法和tls协议版本中选择一个，并回应包含服务器支持的tls协议版本、加密算法以及随机数信息的serverhello消息；

20、服务器将保存的数字证书发送给客户端，客户端使用预装的根证书链验证，服务器的数字证书验证合法后受信任；其中，数字证书中包含有服务器的公钥；

21、客户端生成一个随机数，并使用服务器的公钥对一个预主密钥(premastersecret)进行加密，将加密后的预主密钥发送给服务器；

22、服务器使用自己的私钥解密客户端发送的预主密钥，得到共享的premastersecret；

23、客户端和服务器使用各自的随机数以及预主密钥生成会话密钥，客户端和服务器分别发送包含握手过程的摘要的finished消息，进行验证握手过程；

24、握手成功后，安全连接建立，客户端和服务器使用会话密钥进行加密通信。

25、本发明中，通过tls握手协议建立客户端与服务器的安全连接时，通过客户端发送clienthello，服务器回应serverhello，服务器发送证书，客户端验证证书，客户端生成随机数和premastersecret，服务器解密premastersecret，双方生成会话密钥，双方发送finished消息的方式完成安全连接建立，在安全连接建立后使用生成的会话密钥进行加密通信。

26、作为本发明的进一步方案，通过公钥基础设施(pki)对数字验证，包括以下步骤：

27、服务器获取数字证书，其中包含公钥、证书持有者的信息以及数字签名；

28、服务器发送数字证书给客户端，客户端获取根证书，用于构建信任链；

29、客户端构建信任链，验证服务器发送的数字证书，包括验证数字证书的签名是否由已知的ca签发、验证证书的有效期、检查证书吊销列表(crl)以及检查证书的用途；

30、数字证书通过所有验证步骤，客户端接受数字证书为有效的证书，即验证成功。

31、作为本发明的进一步方案，通过双因素身份验证的密码和动态令牌进行客户端与服务器的通信双方身份验证，包括以下步骤：

32、客户端发送包含用户名和密码的身份凭证给服务器，服务器验证接收到的用户名和密码，如果用户名和密码验证通过，服务器生成一个动态令牌，并将动态令牌发送给客户端；

33、客户端接收服务器发送的动态令牌，并将动态令牌与数字签名的身份凭证绑定后发送给服务器；

34、服务器验证客户端发送的动态令牌，如果动态令牌验证通过，服务器认为客户端是合法用户，完成身份验证；

35、在身份验证成功后，双方共享密钥。

36、本发明的基于传输层安全协议的数据加密传输方法通过结合密码和动态令牌，实现了双因素身份验证，提高了通信的安全性。

37、作为本发明的进一步方案，通过diffie-hellman密钥交换协议生成协商密钥，包括以下步骤：

38、a.选择两个大素数p和g作为协议的参数，其中p是用于计算公钥和私钥的模数，g是用于计算公钥的原根；

39、b.服务器生成私钥(私钥_s)和公钥(公钥_s)，其中，公钥_s＝g^私钥_s mod p，私钥_s为一个小于p的随机整数；

40、c.客户端生成私钥(私钥_c)和公钥(公钥_c)，其中，公钥_c＝g^私钥_c mod p，私钥_c为一个小于p的随机整数；

41、d.客户端将公钥_c发送给服务器；

42、e.服务器收到客户端的公钥后，计算协商密钥(协商密钥_s)：协商密钥_s＝公钥_c^私钥_s mod p；

43、f.客户端收到服务器的公钥后，计算协商密钥(协商密钥_c)：协商密钥_c＝公钥_s^私钥_c mod p；

44、g.服务器和客户端得到相同的协商密钥，协商密钥_s＝协商密钥_c，用于加密和解密通信。

45、本发明的基于传输层安全协议的数据加密传输方法通过diffie-hellman密钥交换协议，实现了安全地生成双方共享的协商密钥。

46、作为本发明的进一步方案，对每个数据段使用主密钥进行嵌套加密，得到包含嵌套加密数据段和必要元数据的加密数据包，包括以下步骤：

47、基于aes嵌套加密算法生成一个随机的嵌套加密密钥；

48、将获取的待传输的数据分成数据段，对每个数据段使用嵌套加密密钥进行嵌套加密，通过派生出不同的密钥为每个嵌套加密的数据段生成必要的元数据，其中，必要的元数据包括数据段的编号、初始化向量；

49、将嵌套加密后的数据段和生成的元数据组合成一个结构，形成加密数据包。

50、作为本发明的进一步方案，引入数据包加密机制，通过数据包加密机制对数据包内容进行深度加密，包括以下步骤：

51、基于多层次加密的哈希函数生成用于不同层次的深度加密的独立密钥，将待传输的数据包进行分层加密，每一层使用不同的密钥；

52、在每一层次加密中添加噪声、使用随机初始化向量(iv)，并在深度加密的过程中引入身份验证层，将分层加密后的数据包和必要的元数据结合，形成深度加密的加密数据包。

53、作为本发明的进一步方案，多层次加密的哈希函数采用sha-256，用于生成用于不同层次的深度加密的独立密钥。

54、作为本发明的进一步方案，通过密码和动态令牌进行通信双方身份验证并通过协商密钥进行解密，包括以下步骤：

55、客户端向服务器发送包括用户标识、密码和动态令牌的身份验证请求；

56、服务器验证身份，包括用户密码和动态令牌的有效性；

57、若身份验证成功，服务器生成一个临时的对称密钥用于数据传输；

58、服务器将生成的临时密钥通过安全通道传输给客户端；

59、客户端和服务器使用协商好的临时密钥对待传输的数据进行加密和解密。

60、作为本发明的进一步方案，实时监控流量并检测流量异常，包括以下步骤：

61、部署流量监控系统，实时捕获和记录网络通信的数据包；

62、设定正常流量基线，建立正常流量的频率、协议使用情况的基准；

63、对实时捕获的数据包进行流量分析，比对当前流量与设定的正常流量基线；

64、检测异常流量，标记流量为异常，其中异常流量表现出与正常基线差异明显的特征；

65、应用攻击行为判断算法，分析异常流量是否与已知攻击行为相匹配；

66、对检测到的异常流量和可能的攻击行为进行记录，触发报警机制。

67、第二方面，本发明提供了一种基于传输层安全协议的数据加密传输系统，包括：

68、安全连接建立模块：负责在通信开始前通过传输层安全协议(tls)的握手协议建立客户端与服务器的安全连接，包括clienthello和serverhello消息的生成、数字证书的交换与验证，以及diffie-hellman密钥交换协议的执行。

69、双因素身份验证模块：用于在tls握手完成后引入双因素身份验证，负责使用双因素身份验证的密码和动态令牌进行客户端与服务器的通信双方身份验证。

70、密钥协商模块：负责在通信双方身份验证通过后，通过diffie-hellman密钥交换协议独立生成客户端与服务器进行加密和解密数据的唯一对称密钥，从而得到协商密钥。

71、数据加密模块：用于获取待传输的数据并将数据分段，对每个数据段使用主密钥进行嵌套加密，得到包含嵌套加密数据段和必要元数据的加密数据包。

72、深度加密模块：用于引入数据包加密机制，通过多层次加密的哈希函数生成用于不同层次的深度加密的独立密钥，将待传输的数据包进行分层加密，每一层使用不同的密钥，然后在每一层次加密中添加噪声、使用随机初始化向量(iv)，并引入身份验证层，最终形成深度加密的加密数据包。

73、身份验证与解密模块：用于传输后进行通过密码和动态令牌进行通信双方身份验证并通过协商密钥进行解密。包括客户端向服务器发送身份验证请求、服务器验证身份、生成临时的对称密钥用于数据传输、密钥传输、数据传输的解密等步骤。

74、实时监控与异常处理模块：用于实时监控流量，当检测到流量异常时，进行攻击行为判断并记录异常，判定存在攻击行为时，中断连接并返回至密钥交换协议步骤重新协商密钥。

75、以上模块共同构成了基于传输层安全协议的数据加密传输系统，通过各个模块的协同工作，实现了安全可靠的通信。

76、本发明的又一方面，还提供了一种计算机设备，包括存储器和处理器，该存储器中存储有计算机程序，该计算机程序被处理器执行时执行上述任一项根据本发明的基于传输层安全协议的数据加密传输方法。

77、本发明的再一方面，还提供了一种计算机可读存储介质，存储有计算机程序指令，该计算机程序指令被执行时实现上述任一项根据本发明的基于传输层安全协议的数据加密传输方法。

78、与现有技术相比较而言，本发明提出的一种基于传输层安全协议的数据加密传输方法及系统，具有以下有益效果：

79、1.高度安全性：

80、通过tls握手协议建立安全连接，交换数字证书，并使用公钥基础设施(pki)进行数字验证，确保通信双方身份的合法性。引入双因素身份验证提升身份验证的安全性。

81、2.强大的密钥安全性：

82、利用diffie-hellman密钥交换协议生成独一无二的对称密钥，提高密钥的安全性，降低密钥泄露的风险。

83、3.多层次的数据加密保障：

84、采用嵌套加密方式对数据进行加密，每个数据段使用主密钥进行嵌套加密，增加了加密的复杂性，提高了数据的安全性。引入数据包加密机制，并使用多层次加密的哈希函数生成独立密钥，深度加密加强了数据的保密性。

85、4.双因素身份验证提升安全性：

86、引入双因素身份验证，结合密码和动态令牌，提高了身份验证的复杂性，增加了未经授权的访问难度，提高了系统整体的安全性。

87、5.实时监控与攻击检测：

88、引入实时监控流量和异常处理模块，对流量进行实时监控，能够快速检测到流量异常并进行攻击行为判断。及时中断连接并重新协商密钥，有效防范潜在攻击。

89、6.系统的可扩展性和灵活性：

90、采用基于tls的方法，保证了系统的兼容性和可扩展性。同时，模块化设计使得各个模块之间相对独立，易于根据实际需求进行调整和改进。

91、7.通信效率的提高：

92、通过采用对称密钥加密方式，提高了加密和解密的效率，同时使用diffie-hellman密钥交换协议，降低了密钥管理的复杂性，使得系统在保障安全性的同时，能够保持较高的通信效率。

93、8.完整的安全通信体系：

94、各个模块之间的协同工作构成了一套完整的安全通信体系，涵盖了安全连接建立、身份验证、密钥协商、数据加密、数据包加密、实时监控与异常处理等多个关键步骤，全面提升了系统的整体安全性。

95、通过上述设计，本发明的基于传输层安全协议的数据加密传输方法及系统在数据传输的过程中综合考虑了安全性、效率和可扩展性，为数据的安全传输提供了一种全面而有效的解决方案。

96、本技术的这些方面或其他方面在以下实施例的描述中会更加简明易懂。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。