專利名稱:一種數(shù)據(jù)交換方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種數(shù)據(jù)交換方法���。
背景技術(shù):
隨著現(xiàn)代計算機(jī)技術(shù)和互聯(lián)網(wǎng)通訊技術(shù)的不斷發(fā)展和普及����,利用互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換已經(jīng)非常普遍�。由于互聯(lián)網(wǎng)是一個基于TCP/IP協(xié)議的開放式互聯(lián)網(wǎng)絡(luò),當(dāng)各個終端在互聯(lián)網(wǎng)中交換數(shù)據(jù)時�,數(shù)據(jù)實際上是被暴露在網(wǎng)絡(luò)傳輸路徑上的。此時��,黑客或非法用戶會利用惡意軟件攔截傳輸路徑上的數(shù)據(jù)���。目前比較成熟的數(shù)據(jù)加密傳輸技術(shù)(如安全套接字層協(xié)議等)能夠?qū)π枰W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)提供較強(qiáng)的保護(hù)���,即要求數(shù)據(jù)交換的雙方需要進(jìn)行密鑰交換工作,并對數(shù)據(jù)進(jìn)行加密和解密���。一旦需要一方與多方進(jìn)行數(shù)據(jù)交換時��,即一個數(shù)據(jù)交換發(fā)起方對多個數(shù)據(jù)接收方(涉及到企業(yè)級數(shù)據(jù)交換)�����,數(shù)據(jù)交換發(fā)起方需要為傳輸給各個數(shù)據(jù)接收方的數(shù)據(jù)全部進(jìn)行加密����,并與所有的數(shù)據(jù)接收方進(jìn)行密鑰交換。因此加重了數(shù)據(jù)交換發(fā)起方的工作負(fù)擔(dān)�����,從而降低了數(shù)據(jù)交換發(fā)起方的工作效率�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種數(shù)據(jù)交換方法����,以實現(xiàn)高效的企業(yè)級數(shù)據(jù)交換��。本發(fā)明提供的一種數(shù)據(jù)交換方法���,包括步驟A���、數(shù)據(jù)發(fā)送端向服務(wù)器發(fā)出數(shù)據(jù)交換請求;B�、所述服務(wù)器根據(jù)上述請求生成會話密鑰,并將所述會話密鑰加密形成數(shù)據(jù)發(fā)送端會話密鑰密文后發(fā)送給所述數(shù)據(jù)發(fā)送端;C��、所述數(shù)據(jù)發(fā)送端將所述數(shù)據(jù)發(fā)送端會話密鑰密文導(dǎo)入到數(shù)據(jù)發(fā)送端的USBKEY 中�,并對待交換數(shù)據(jù)進(jìn)行數(shù)字簽名和加密所述數(shù)據(jù)形成數(shù)據(jù)密文后�����,指定接收所述數(shù)據(jù)的數(shù)據(jù)接收端��;D��、所述數(shù)據(jù)發(fā)送端將被指定的數(shù)據(jù)接收端的公鑰證書�����、所述數(shù)據(jù)密文和所述數(shù)據(jù)的數(shù)字簽名打包形成數(shù)據(jù)包后發(fā)送給所述服務(wù)器���;E���、所述服務(wù)器從被指定的數(shù)據(jù)接收端的公鑰證書中解析出所述數(shù)據(jù)接收端的公鑰,使用所述數(shù)據(jù)接收端的公鑰加密所述會話密鑰形成數(shù)據(jù)接收端會話密鑰密文并將該會話密鑰密文加入所述數(shù)據(jù)包中后發(fā)送給所述數(shù)據(jù)接收端�;F、所述數(shù)據(jù)接收端對所述數(shù)據(jù)包中的數(shù)據(jù)密文進(jìn)行解密�,獲得所述數(shù)據(jù)。由上可以看出��,通過服務(wù)器來為多個數(shù)據(jù)接收端進(jìn)行數(shù)據(jù)接收前的數(shù)據(jù)加密,不但分擔(dān)了數(shù)據(jù)發(fā)送端的繁重工作量���,還提升了數(shù)據(jù)交換過程中的安全性����。在上述方法中����,所述步驟A包括所述數(shù)據(jù)發(fā)送端向服務(wù)器發(fā)送自己的公鑰證書;步驟B所述會話密鑰生成之前還包括所述服務(wù)器判斷所述數(shù)據(jù)發(fā)送端的公鑰證書是否由其所信任的證書頒發(fā)機(jī)構(gòu)所頒發(fā)若是����,則所述服務(wù)器將數(shù)據(jù)發(fā)送端的公鑰證書存儲在其證書存儲區(qū)域中;否則�,拒絕所述數(shù)據(jù)發(fā)送端的數(shù)據(jù)交換請求。由上可以看出���,通過驗證數(shù)據(jù)發(fā)送端的身份�����,可以建立一個可信賴的通信連接�����,由此保證數(shù)據(jù)交換的安全性��。在上述方法中�����,步驟B中所述生成會話密鑰包括由所述服務(wù)器的PCI加密卡根據(jù)SMl算法隨機(jī)產(chǎn)生128bit會話密鑰�����;所述將會話密鑰加密形成數(shù)據(jù)發(fā)送端會話密鑰密文包括所述PCI加密卡使用所述數(shù)據(jù)發(fā)送端公鑰證書中的公鑰加密所述會話密鑰以形成數(shù)據(jù)發(fā)送端會話密鑰密文��。由上可以看出��,采用PCI加密卡可以高速�、可靠地加密用于對稱加密的會話密鑰�����。在上述方法中���,步驟C中加密所述數(shù)據(jù)形成數(shù)據(jù)密文包括所述數(shù)據(jù)發(fā)送端利用數(shù)據(jù)發(fā)送端的USEBKEY內(nèi)置的國密SMl算法加密待交換數(shù)據(jù)形成數(shù)據(jù)密文�����。由上可以看出��,采用作為商用密碼分組標(biāo)準(zhǔn)對稱算法的國密SMl算法加密待交換數(shù)據(jù)�,可以帶來較高的安全保密強(qiáng)度。在上述方法中���,所述步驟E還包括所述服務(wù)器將所述數(shù)據(jù)接收端會話密鑰密文與所述數(shù)據(jù)接收端的公鑰證書綁定
在一起�。由上可以看出�����,上述步驟能夠使數(shù)據(jù)接收端通過自身的公鑰證書快速檢索到與其對應(yīng)的會話密鑰密文����。在上述方法中,步驟E中所述將會話密鑰加密形成數(shù)據(jù)接收端會話密鑰密文包括所述服務(wù)器的PCI加密卡使用所述數(shù)據(jù)接收端公鑰證書中的公鑰加密所述會話密鑰以形成數(shù)據(jù)接收端會話密鑰密文�。由上可以看出,采用PCI加密卡可以高速��、可靠地加密用于對稱加密的會話密鑰�。在上述方法中,步驟F中的對所述數(shù)據(jù)包中的數(shù)據(jù)密文進(jìn)行解密之前��,還包括所述數(shù)據(jù)接收端以自身的公鑰證書為索引,檢索到與其公鑰證書對應(yīng)的數(shù)據(jù)接收端會話密鑰密文����,并將所述數(shù)據(jù)接收端會話密鑰密文導(dǎo)入到數(shù)據(jù)接收端的USBKEY中。在上述方法中���,所述數(shù)據(jù)密文的解密包括所述數(shù)據(jù)接收端通過數(shù)據(jù)接收端的USBKEY利用數(shù)據(jù)其私鑰解密數(shù)據(jù)接收端會話密鑰密文得到數(shù)據(jù)所述會話密鑰����;再利用所述會話密鑰解密所述數(shù)據(jù)密文��。由上可以看出�����,要想解密所述數(shù)據(jù)密文�����,至少需要數(shù)據(jù)接收端的私鑰和所述會話密鑰�����,由此可知�����,所述數(shù)據(jù)密文具有很高的加密強(qiáng)度���。在上述方法中��,所述步驟F之后還包括所述數(shù)據(jù)接收端驗證所述數(shù)據(jù)的數(shù)字簽名��。由上可以看出�,通過驗證所述數(shù)據(jù)的數(shù)字簽名可以防止數(shù)據(jù)發(fā)送端的抵賴行為����。
圖1為本發(fā)明提供的一種數(shù)據(jù)交換方法流程圖。
具體實施例方式下面����,結(jié)合附圖詳細(xì)介紹本發(fā)明提供的一種數(shù)據(jù)交換方法。在沒有特別說明的情況下�����,下文所述的數(shù)據(jù)交換是在一個數(shù)據(jù)發(fā)送端與多個數(shù)據(jù)接收端之間進(jìn)行的���。如圖1所示���,本發(fā)明提供的一種數(shù)據(jù)交換方法包括以下步驟步驟1 數(shù)據(jù)發(fā)送端向服務(wù)器發(fā)出與數(shù)據(jù)接收端進(jìn)行數(shù)據(jù)交換的請求����。在本實施例中����,如果數(shù)據(jù)發(fā)送端欲與數(shù)據(jù)接收端進(jìn)行數(shù)據(jù)交換,則數(shù)據(jù)發(fā)送端需向服務(wù)器發(fā)出數(shù)據(jù)交換的請求����,即向服務(wù)器發(fā)送自己的公鑰證書尋求與所述服務(wù)器建立信任關(guān)系以便申請會話密鑰。與以往由數(shù)據(jù)發(fā)送端直接與數(shù)據(jù)接收端進(jìn)行數(shù)據(jù)交換不同���,本實施例將采用服務(wù)器來分擔(dān)一部分在以往數(shù)據(jù)交換過程中需要由數(shù)據(jù)發(fā)送端進(jìn)行的工作�,具體過程將在下文詳述�����。步驟2 根據(jù)所述請求�,所述服務(wù)器判斷數(shù)據(jù)發(fā)送端的公鑰證書是否由其所信任的證書頒發(fā)機(jī)構(gòu)所頒發(fā)的若是�,則服務(wù)器將數(shù)據(jù)發(fā)送端的公鑰證書存儲在其證書存儲區(qū)域中,之后進(jìn)入下一步�;否則���,拒絕所述數(shù)據(jù)發(fā)送端與所述數(shù)據(jù)接收端的數(shù)據(jù)交換請求。步驟3 服務(wù)器生成會話密鑰����。所述會話密鑰是用來加密需要交換的數(shù)據(jù)。通?�?捎煞?wù)器的PCI加密卡根據(jù) SMl算法隨機(jī)產(chǎn)生128bit會話密鑰�,數(shù)據(jù)交換完成后會被銷毀。步驟4 服務(wù)器將所述會話密鑰加密形成會話密鑰密文后發(fā)送給數(shù)據(jù)發(fā)送端�����。在本實施例中����,服務(wù)器使用PCI加密卡加密所述會話密鑰。即�����,所述PCI加密卡使用所述數(shù)據(jù)發(fā)送端公鑰證書中包含的公鑰(即所述數(shù)據(jù)發(fā)送端的公鑰)來加密所述會話密鑰�,以保證所有與所述數(shù)據(jù)發(fā)送發(fā)隨后進(jìn)行的數(shù)據(jù)交換都是安全的。所述會話密鑰的加密過程為公知技術(shù)����,在此不再贅述�����。步驟5 所述數(shù)據(jù)發(fā)送端將所述會話密鑰密文導(dǎo)入到數(shù)據(jù)發(fā)送端的USBKEY中�。步驟6 所述數(shù)據(jù)發(fā)送端對待交換數(shù)據(jù)進(jìn)行數(shù)字簽名和加密后����,指定接收待交換數(shù)據(jù)的數(shù)據(jù)接收端。在此步驟中�,所述數(shù)據(jù)發(fā)送端利用其私鑰對所述待交換數(shù)據(jù)進(jìn)行數(shù)字簽名,并利用USEBKEY內(nèi)置對稱算法加密待交換數(shù)據(jù)�����,形成數(shù)據(jù)密文�����。所述對稱算法為國密SM1�,是由國家密碼管理局編制的一種商用密碼分組標(biāo)準(zhǔn)對稱算法�����。該算法是國家密碼管理部門審批的SMl分組密碼算法,分組長度和密鑰長度都為U8bit�����,以IP核(Intellectual Property core)的形式存在于USEBKEY的芯片中��。此后��,所述數(shù)據(jù)發(fā)送端指定接收待交換數(shù)據(jù)的數(shù)據(jù)接收端��,即從其證書存儲區(qū)域中取出被指定的所有數(shù)據(jù)接收端的公鑰證書����。步驟7 所述數(shù)據(jù)發(fā)送端將被指定的數(shù)據(jù)接收端的公鑰證書、數(shù)據(jù)密文和數(shù)據(jù)的數(shù)字簽名打包形成數(shù)據(jù)包后發(fā)送給服務(wù)器��。步驟8 所述服務(wù)器從被指定的數(shù)據(jù)接收端的公鑰證書中解析出數(shù)據(jù)接收端的公鑰����,并使用所述數(shù)據(jù)接收端的公鑰加密所述會話密鑰。在此步驟中���,所述服務(wù)器同樣使用PCI加密卡加密所述會話密鑰�,形成所述數(shù)據(jù)接收方的會話密鑰的密文,具體過程不再贅述��。步驟9 所述服務(wù)器將所述數(shù)據(jù)接收端的會話密鑰的密文加入所述數(shù)據(jù)包中后���, 將所述數(shù)據(jù)包發(fā)送給所述數(shù)據(jù)接收端�。在此步驟中����,由于公鑰證書具有唯一性,所述服務(wù)器將所述數(shù)據(jù)接收端的會話密鑰的密文與所述數(shù)據(jù)接收端的公鑰證書綁定在一起�����,以便于所述數(shù)據(jù)接收端能夠通過其公鑰證書檢索到與其對應(yīng)的會話密鑰的密文��。步驟10 所述數(shù)據(jù)接收端收到所述數(shù)據(jù)包后�����,將其中的會話密鑰的密文導(dǎo)入到數(shù)據(jù)接收端的USBKEY中���。對于多個數(shù)據(jù)接收端來說可以自身的公鑰證書為索引����,檢索到與其公鑰證書對應(yīng)的相關(guān)會話密鑰的密文���。步驟11 所述數(shù)據(jù)接收端對所述數(shù)據(jù)密文進(jìn)行解密����,獲得所述數(shù)據(jù)��。在此步驟中�����,所述數(shù)據(jù)接收端使用數(shù)據(jù)接收端的USBKEY利用其私鑰解密其會話密鑰密文���,再利用其已解密的會話密鑰解密所述數(shù)據(jù)密文�,從而獲得數(shù)據(jù)內(nèi)容��。步驟12 所述數(shù)據(jù)接收端驗證所述數(shù)據(jù)的數(shù)字簽名����。在此步驟中,所述數(shù)據(jù)接收端使用數(shù)據(jù)發(fā)送端的公鑰驗證來所述數(shù)據(jù)的數(shù)字簽名��,以防止數(shù)據(jù)發(fā)送端的抵賴行為��。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�����、等同替換�、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1.一種數(shù)據(jù)交換方法�����,其特征在于����,包括步驟A、數(shù)據(jù)發(fā)送端向服務(wù)器發(fā)出數(shù)據(jù)交換請求����;B、所述服務(wù)器根據(jù)上述請求生成會話密鑰�,并將所述會話密鑰加密形成數(shù)據(jù)發(fā)送端會話密鑰密文后發(fā)送給所述數(shù)據(jù)發(fā)送端�;C����、所述數(shù)據(jù)發(fā)送端將所述數(shù)據(jù)發(fā)送端會話密鑰密文存放到數(shù)據(jù)發(fā)送端的USBKEY中����, 并對待交換數(shù)據(jù)進(jìn)行數(shù)字簽名和加密所述數(shù)據(jù)形成數(shù)據(jù)密文后,指定接收所述數(shù)據(jù)的數(shù)據(jù)接收端����;D、所述數(shù)據(jù)發(fā)送端將被指定的數(shù)據(jù)接收端的公鑰證書����、所述數(shù)據(jù)密文和所述數(shù)據(jù)的數(shù)字簽名打包形成數(shù)據(jù)包后發(fā)送給所述服務(wù)器;E���、所述服務(wù)器從被指定的數(shù)據(jù)接收端的公鑰證書中解析出所述數(shù)據(jù)接收端的公鑰�����,使用所述數(shù)據(jù)接收端的公鑰加密所述會話密鑰形成數(shù)據(jù)接收端會話密鑰密文并將該會話密鑰密文加入所述數(shù)據(jù)包中后發(fā)送給所述數(shù)據(jù)接收端�;F���、所述數(shù)據(jù)接收端對所述數(shù)據(jù)包中的數(shù)據(jù)密文進(jìn)行解密��,獲得所述數(shù)據(jù)�����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述步驟A包括所述數(shù)據(jù)發(fā)送端向服務(wù)器發(fā)送自己的公鑰證書�;步驟B所述會話密鑰生成之前還包括所述服務(wù)器判斷所述數(shù)據(jù)發(fā)送端的公鑰證書是否由其所信任的證書頒發(fā)機(jī)構(gòu)所頒發(fā) 若是,則所述服務(wù)器將數(shù)據(jù)發(fā)送端的公鑰證書存儲在其證書存儲區(qū)域中�����;否則�����,拒絕所述數(shù)據(jù)發(fā)送端的數(shù)據(jù)交換請求�����。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于����,步驟B中所述生成會話密鑰包括 由所述服務(wù)器的PCI加密卡根據(jù)SMl算法隨機(jī)產(chǎn)生128bit會話密鑰�; 所述將會話密鑰加密形成數(shù)據(jù)發(fā)送端會話密鑰密文包括所述PCI加密卡使用所述數(shù)據(jù)發(fā)送端公鑰證書中的公鑰加密所述會話密鑰以形成數(shù)據(jù)發(fā)送端會話密鑰密文。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,步驟C中加密所述數(shù)據(jù)形成數(shù)據(jù)密文包括所述數(shù)據(jù)發(fā)送端利用數(shù)據(jù)發(fā)送端的USEBKEY內(nèi)置的國密SMl算法加密待交換數(shù)據(jù)形成數(shù)據(jù)密文���。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述步驟E還包括所述服務(wù)器將所述數(shù)據(jù)接收端會話密鑰密文與所述數(shù)據(jù)接收端的公鑰證書綁定在一起�����。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于��,步驟E中所述將會話密鑰加密形成數(shù)據(jù)接收端會話密鑰密文包括所述服務(wù)器的PCI加密卡使用所述數(shù)據(jù)接收端公鑰證書中的公鑰加密所述會話密鑰以形成數(shù)據(jù)接收端會話密鑰密文���。
7.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,步驟F中的對所述數(shù)據(jù)包中的數(shù)據(jù)密文進(jìn)行解密之前,還包括所述數(shù)據(jù)接收端以自身的公鑰證書為索引����,檢索到與其公鑰證書對應(yīng)的數(shù)據(jù)接收端會話密鑰密文,并將所述數(shù)據(jù)接收端會話密鑰密文存放到數(shù)據(jù)接收端的USBKEY中��。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于�,所述數(shù)據(jù)密文的解密包括所述數(shù)據(jù)接收端通過數(shù)據(jù)接收端的USBKEY利用其私鑰解密數(shù)據(jù)接收端會話密鑰密文得到數(shù)據(jù)所述會話密鑰�����;再利用所述會話密鑰解密所述數(shù)據(jù)密文����。
9.根據(jù)權(quán)利要求7所述的方法����,其特征在于��,所述步驟F之后還包括 所述數(shù)據(jù)接收端驗證所述數(shù)據(jù)的數(shù)字簽名��。
全文摘要
本發(fā)明提供的一種數(shù)據(jù)交換方法��,包括步驟數(shù)據(jù)發(fā)送端向服務(wù)器發(fā)出數(shù)據(jù)交換請求�����;所述服務(wù)器根據(jù)上述請求生成會話密鑰����,并將所述會話密鑰加密后發(fā)送給所述數(shù)據(jù)發(fā)送端����;所述數(shù)據(jù)發(fā)送端將所述會話密鑰的密文導(dǎo)入到數(shù)據(jù)發(fā)送端的USBKEY中,并對待交換數(shù)據(jù)進(jìn)行數(shù)字簽名和加密所述數(shù)據(jù)后�,指定接收所述數(shù)據(jù)的數(shù)據(jù)接收端;所述數(shù)據(jù)發(fā)送端將數(shù)據(jù)接收端公鑰證書�����、數(shù)據(jù)密文和數(shù)據(jù)的數(shù)字簽名打包后發(fā)送給所述服務(wù)器;所述服務(wù)器從數(shù)據(jù)接收端公鑰證書中解析出數(shù)據(jù)接收端公鑰����,使用所述公鑰加密所述會話密鑰并將該會話密鑰密文加入所述數(shù)據(jù)包中后發(fā)送給所述數(shù)據(jù)接收端;所述數(shù)據(jù)接收端對所述數(shù)據(jù)包中的數(shù)據(jù)密文進(jìn)行解密��。從而實現(xiàn)高效的企業(yè)級數(shù)據(jù)交換��。
文檔編號H04L9/30GK102281303SQ201110256349
公開日2011年12月14日 申請日期2011年8月31日 優(yōu)先權(quán)日2011年8月31日
發(fā)明者曾宇波, 李璐 申請人:北京海泰方圓科技有限公司