CN109600231B - 数据安全通信系统和方法 - Google Patents
数据安全通信系统和方法 Download PDFInfo
- Publication number
- CN109600231B CN109600231B CN201811481900.7A CN201811481900A CN109600231B CN 109600231 B CN109600231 B CN 109600231B CN 201811481900 A CN201811481900 A CN 201811481900A CN 109600231 B CN109600231 B CN 109600231B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- control module
- encryption
- original
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种数据安全通信系统,包括用户终端和安全设备,所述用户终端与所述安全设备进行数据通信,所述安全设备包括硬件结构和功能相同的第一安全设备和第二安全设备。本发明同时还提供了一种数据安全通信方法,包括如下步骤:加密请求、原始数据加密、加密数据包生成、用户的加密数据包解密、验证数据提取、判断有效性。本发明同时还提供了另一种数据安全通信方法,包括如下步骤:加密请求、原始数据加密、加密数据包生成、数据压缩、解压解密、验证数据提取、判断有效性。本发明数据安全通信系统及方法的数据保护的安全性高。
Description
【技术领域】
本发明涉及信息安全领域,尤其涉及一种可实现数据安全存储和传输、验证的数据安全通信系统和方法。
【背景技术】
随着信息时代的到来,随着电子发票、电子病历等电子文件的应用,越来越多的文件采用电子的形式存储和发给用户,同时可通过电子文件的形式进行后续的业务,比如电子发票报销、电子病历报保险等。
然而,文件经过多重传输,且可能在业务传递过程中有被篡改、被伪造、被损坏等风险,导致后续业务难以继续;同时随着移动终端的普及,所有文档可通过移动终端存储,但终端存储空间有限,成本高,一旦终端用户的电子文档增多,终端存储空间和运算空间将被消耗殆尽。
因此,实有必要提供一种新的数据安全通信系统和方法解决上述问题。
【发明内容】
本发明的目的是克服上述技术问题,提供一种数据保护的安全性高的数据安全通信系统及方法。
为了实现上述目的,本发明提供一种数据安全通信系统,包括相互数据通信的用户终端和安全设备,
所述用户终端,用于数据存储、数据输入、数据处理、显示以及与所述安全设备进行数据通信,
所述安全设备包括硬件结构和功能相同的第一安全设备和第二安全设备,
所述第一安全设备包括:
第一加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第一存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第一通信模块,用于与所述用户终端进行数据通信;
第一控制模块,分别与所述第一加密模块、所述第一存储模块及所述第一通信模块进行通信,用于控制所述第一加密模块、所述第一存储模块及所述第一通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第二安全设备包括:
第二加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第二存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第二通信模块,用于与所述用户终端进行数据通信;
第二控制模块,分别与所述第二加密模块、所述第二存储模块及所述第二通信模块进行通信,用于控制所述第二加密模块、所述第二存储模块及所述第二通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第一通信模块与所述第二通信模块通过有线或无线相互数据通信。
更优的,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值、原始数据加密后的数据。
更优的,所述第一加密模块和所述第二加密模块为芯片或加密卡或加密机,所述第一加密模块和所述第二加密模块均可以对所述第一加密模块存储的所述密钥或者所述第二加密模块存储的所述密钥进行解密。
更优的,所述第一存储模块和所述第二存储模块均为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
更优的,所述第一安全设备还包括第一数据转换模块,所述第一数据转换模块用于将所述第一控制模块传输的数据按照数据转换方法进行压缩转换得到转换数据;所述第二安全设备还包括第二数据转换模块,所述第二数据转换模块用于将所述第二控制模块传输的数据按照数据转换方法进行解压缩逆转换得到的复原数据;所述数据转换方法为数据的token值或者对该数据进行计算得出的摘要值,所述第一控制模块调用和控制所述第一数据转换模块进行工作时接收和发送数据的处理,所述第二控制模块调用和控制所述第二数据转换模块进行工作时接收和发送数据的处理。
本发明提供一种数据安全通信方法,所述数据安全通信方法使用上面所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包,所述第一控制模块将所述加密数据包存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
用户的加密数据包解密,所述用户终端通过所述第二通信模块将业务请求和所述加密数据包发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密,并验证解密后数据的完整性;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据,并验证所述验证数据的完整性;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
更优的,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。
更优的,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始加密数据;在验证数据提取的步骤中,所述申请提取数据为所述原始加密数据,所述第二控制模块将所述原始加密数据发送至所述第二加密模块进行解密。
更优的,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始完整数据散列函数Hash值;在验证数据提取的步骤中,所述申请提取数据为所述原始完整数据散列函数Hash值。
本发明提供还另一种数据安全通信方法,所述数据安全通信方法使用上面所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包;
数据压缩,所述第一控制模块将所述加密数据包发送至所述第一数据转换模块进行数据提取并生成数据特征值,所述第一数据转换模块将所述数据特征值发送至所述第一控制模块,所述第一控制模块将该所述数据特征值存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
解压解密,所述用户终端通过所述第二通信模块将业务请求和所述数据特征值发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密并发送至所述第二控制模块,所述第二控制模块验证解密后数据的完整性;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述申请提取数据为所述数据特征值,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二数据转换模块将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中数据进行解密并发送至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据并验证所述验证数据的完整性;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
与现有技术相比,本发明的数据安全通信系统和方法中提供所述用户终端和所述安全设备,并通过所述第一控制模块将所述原始数据处理成所述原始加密数据后,再将其处理成所述加密数据包并发送至所述用户终端,所述用户终端将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包中所述待比较数据进行解密;所述第二控制模块将将所述第一存储模块存储的申请提取数据处理处理为验证数据;然后所述第二控制模块将所述加密数据包的所述待比较数据解密后获取的数据与所述验证数据进行比较来判断数据的有效性。本发明的数据安全通信系统和方法无需用户内置安全模块和安全系统,通过所述安全设备的安全防护解决方案保障数据的安全,从而有效降低用户的降低数据量;所述第一加密模块和所述第二加密模块可以实现数据的加解密和相互验证,有效地提高安全性;采用散列函数Hash值运算处理和加密的算法技术保证数据的完整性和保密性;所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成所述加密数据包,并通过所述安全设备对所述加密数据包进行加密、解密及数据通信,从而使安全性更高。综合上述,本发明的数据安全通信系统和方法的数据保护的安全性高。
【附图说明】
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中:
图1为本发明数据安全通信系统的模块结构示意图;
图2为本发明数据安全通信方法的流程框图;
图3为本发明另一种数据安全通信方法的流程框图。
【具体实施方式】
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种数据安全通信系统100,该系统包括相互数据通信的用户终端1和安全设备2。
所述用户终端1与所述安全设备2进行数据通信。所述用户终端1用于数据存储、数据输入、数据处理、显示。所述用户终端1为智能手机或电脑或可支持人机交互的设备终端。
所述安全设备2包括硬件结构和功能相同的第一安全设备21和第二安全设备22。
所述第一安全设备21包括:第一加密模块211、第一存储模块212、第一通信模块213、第一控制模块214以及第一数据转换模块215。
所述第二安全设备22包括:第二加密模块221、第二存储模块222、第二控制模块224以及第二数据转换模块225。
所述第一加密模块211用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书。所述第一加密模块211可以对所述第一加密模块211存储的所述密钥或者所述第二加密模块221存储的所述密钥进行解密。具体的,所述第一加密模块211为芯片或加密卡或加密机。
所述第一存储模块212用于将加密后的所述加密数据和/或签名数据进行存储。在本实施方式中,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。具体的,所述第一存储模块212为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
所述第一通信模块213用于与所述用户终端1进行数据通信。所述第一通信模块213还与所述第二通信模块223通过有线或无线相互数据通信。
所述第一控制模块214分别与所述第一加密模块211、所述第一存储模块212及所述第一通信模块213进行通信,用于控制所述第一加密模块211、所述第一存储模块212及所述第一通信模块213的工作时接收和发送数据的处理、模块的调用以及流程控制。
所述第一数据转换模块215用于将所述第一控制模块214传输的数据按照数据转换方法进行压缩转换得到转换数据。所述数据转换方法为数据的token值或者对该数据进行计算得出的摘要值。所述第一控制模块214调用和控制所述第一数据转换模块215进行工作时接收和发送数据的处理。
所述第二加密模块221用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书。所述第二加密模块221可以对所述第一加密模块211存储的所述密钥或者所述第二加密模块221存储的所述密钥进行解密。具体的,所述第二加密模块221为芯片或加密卡或加密机。
第二存储模块222用于将加密后的所述加密数据和/或签名数据进行存储。在本实施方式中,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。具体的,第二存储模块222为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
所述第二通信模块223用于与所述用户终端1进行数据通信。所述第一通信模块213与所述第二通信模块223通过有线或无线相互数据通信。在本实施方式中,所述第一通信模块213、所述第二通信模块223以及所述用户终端1之间均采用蓝牙或3G或4G或5G或2.4G或zigbee或TCP/IP或NFC或RCC或lora或NB-IOT通信协议。
第二控制模块224分别与所述第二加密模块221、所述第二存储模块222及所述第二通信模块223进行通信,第二控制模块224用于控制所述第二加密模块221、所述第二存储模块222及所述第二通信模块223的工作时接收和发送数据的处理、模块的调用以及流程控制。
所述第二数据转换模块225用于将所述第二控制模块224传输的数据按照数据转换方法进行解压缩逆转换得到的复原数据。所述第二控制模块224调用和控制所述第二数据转换模块225进行工作时接收和发送数据的处理。
请参阅图2,本发明提供一种数据安全通信方法,所述数据安全通信方法使用所述数据安全通信系统100实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
步骤S1、加密请求
所述用户终端1将业务请求通过所述第一通信模块213发送至所述第一控制模块214,所述第一控制模块214将该业务需求进行处理并生成原始数据发送至所述第一加密模块211。
步骤S2、原始数据加密
所述第一加密模块211将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据。
步骤S3、加密数据包生成
所述第一控制模块214将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包,所述第一控制模块214将所述加密数据包存放于所述第一存储模块212并通过所述第一通信模块213传输数据至所述用户终端1。
步骤S4、用户的加密数据包解密
所述用户终端1通过所述第二通信模块223将业务请求和所述加密数据包发送至所述第二控制模块224,所述第二控制模块224接该业务请求后将所述加密数据包发送至所述第二加密模块221,所述第二加密模块221将所述加密数据包中的待比较数据进行解密,并验证解密后数据的完整性。
步骤S5、验证数据提取
所述第二控制模块224通过所述第一通信模块213和所述第二通信模块223向所述第一控制模块214发起申请,所述第一控制模块214将所述第一存储模块212存储的申请提取数据通过所述第一通信模块213和所述第二通信模块223传输至所述第二控制模块224,所述第二控制模块224对该数据进行处理为验证数据,并验证所述验证数据的完整性。
步骤S6、判断有效性
所述第二控制模块224将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
在本所述数据安全通信方法中,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值、原始数据加密后的数据。
本所述数据安全通信方法使用所述数据安全通信系统100实现数据安全存储、传输及验证,在具体实施上有多种实施例均可以实现本所述数据安全通信方法,在本实施方式中,列举以下两种实施例,具体为:
实施例一
在所述数据安全通信方法中具体的实施方法:
在步骤S4、用户的加密数据包解密的步骤中,所述待比较数据为所述原始加密数据。
在步骤S5、验证数据提取的步骤中,所述申请提取数据为所述原始加密数据,所述第二控制模块224将所述原始加密数据发送至所述第二加密模块221进行解密。
实施例二
在所述数据安全通信方法中具体的实施方法:
在步骤S4、用户的加密数据包解密步骤中,所述待比较数据为所述原始完整数据散列函数Hash值。
在步骤S5、验证数据提取的步骤中,所述申请提取数据为所述原始完整数据散列函数Hash值。
请参阅图3,本发明提供另一种数据安全通信方法,所述数据安全通信方法使用上面所述的数据安全通信系统100实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
步骤S1、加密请求
所述用户终端1将业务请求通过所述第一通信模块213发送至所述第一控制模块214,所述第一控制模块214将该业务需求进行处理并生成原始数据发送至所述第一加密模块211。
步骤S2、原始数据加密
所述第一加密模块211将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据。
步骤S3、加密数据包生成
所述第一控制模块214将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包。
步骤S4、数据压缩
所述第一控制模块214将所述加密数据包发送至所述第一数据转换模块215进行数据提取并生成数据特征值,所述第一数据转换模块215将所述数据特征值发送至所述第一控制模块214,所述第一控制模块214将该所述数据特征值存放于所述第一存储模块212并通过所述第一通信模块213传输数据至所述用户终端1。
步骤S5、解压解密
所述用户终端1通过所述第二通信模块223将业务请求和所述数据特征值发送至所述第二控制模块224,所述第二控制模块224接该业务请求后将所述数据特征值发送至所述第二数据转换模块225进行数据逆转换生成所述加密数据包,所述第二控制模块224将所述加密数据包发送至所述第二加密模块221,所述第二加密模块221将所述加密数据包中的待比较数据进行解密并发送至所述第二控制模块224,所述第二控制模块224验证解密后数据的完整性。
步骤S6、验证数据提取
所述第二控制模块224通过所述第一通信模块213和所述第二通信模块223向所述第一控制模块214发起申请,所述申请提取数据为所述数据特征值,所述第一控制模块214将所述第一存储模块212存储的申请提取数据通过所述第一通信模块213和所述第二通信模块223传输至所述第二控制模块224,所述第二控制模块224将所述数据特征值发送至所述第二数据转换模块225进行数据逆转换生成所述加密数据包,所述第二数据转换模块225将所述加密数据包发送至所述第二控制模块224,所述第二控制模块224将所述加密数据包发送至所述第二加密模块221,所述第二加密模块221将所述加密数据包中数据进行解密并发送至所述第二控制模块224,所述第二控制模块224对该数据进行处理为验证数据并验证所述验证数据的完整性。
步骤S7、判断有效性
所述第二控制模块224将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
与现有技术相比,本发明的数据安全通信系统和方法中提供所述用户终端和所述安全设备,并通过所述第一控制模块将所述原始数据处理成所述原始加密数据后,再将其处理成所述加密数据包并发送至所述用户终端,所述用户终端将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包中所述待比较数据进行解密;所述第二控制模块将将所述第一存储模块存储的申请提取数据处理处理为验证数据;然后所述第二控制模块将所述加密数据包的所述待比较数据解密后获取的数据与所述验证数据进行比较来判断数据的有效性。本发明的数据安全通信系统和方法无需用户内置安全模块和安全系统,通过所述安全设备的安全防护解决方案保障数据的安全,从而有效降低用户的降低数据量;所述第一加密模块和所述第二加密模块可以实现数据的加解密和相互验证,有效地提高安全性;采用散列函数Hash值运算处理和加密的算法技术保证数据的完整性和保密性;所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成所述加密数据包,并通过所述安全设备对所述加密数据包进行加密、解密及数据通信,从而使安全性更高。综合上述,本发明的数据安全通信系统和方法的数据保护的安全性高。
以上所述的仅是本发明的实施方式,在此应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出改进,但这些均属于本发明的保护范围。
Claims (9)
1.一种数据安全通信系统,其特征在于,该系统包括相互数据通信的用户终端和安全设备,
所述用户终端,用于数据存储、数据输入、数据处理、显示以及与所述安全设备进行数据通信,
所述安全设备包括硬件结构和功能相同的第一安全设备和第二安全设备,
所述第一安全设备包括:
第一加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第一存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第一通信模块,用于与所述用户终端进行数据通信;
第一控制模块,分别与所述第一加密模块、所述第一存储模块及所述第一通信模块进行通信,用于控制所述第一加密模块、所述第一存储模块及所述第一通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第二安全设备包括:
第二加密模块,用于对数据进行加密/解密、签名/验签以及用于存放加密的密钥和证书;
第二存储模块,用于将加密后的所述加密数据和/或签名数据进行存储;
第二通信模块,用于与所述用户终端进行数据通信;
第二控制模块,分别与所述第二加密模块、所述第二存储模块及所述第二通信模块进行通信,用于控制所述第二加密模块、所述第二存储模块及所述第二通信模块的工作时接收和发送数据的处理、模块的调用以及流程控制;
所述第一通信模块与所述第二通信模块通过有线或无线相互数据通信;
所述第一安全设备还包括第一数据转换模块,所述第一数据转换模块用于将所述第一控制模块传输的数据按照数据转换方法进行压缩转换得到转换数据;所述第二安全设备还包括第二数据转换模块,所述第二数据转换模块用于将所述第二控制模块传输的数据按照数据转换方法进行解压缩逆转换得到的复原数据;所述数据转换方法为数据的token值或者对该数据进行计算得出的摘要值,所述第一控制模块调用和控制所述第一数据转换模块进行工作时接收和发送数据的处理,所述第二控制模块调用和控制所述第二数据转换模块进行工作时接收和发送数据的处理。
2.根据权利要求1所述的数据安全通信系统,其特征在于,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值及原始数据加密后的数据。
3.根据权利要求1所述的数据安全通信系统,其特征在于,所述第一加密模块和所述第二加密模块为芯片或加密卡或加密机,所述第一加密模块和所述第二加密模块均可以对所述第一加密模块存储的所述密钥所述或者所述第二加密模块存储的所述密钥进行解密。
4.根据权利要求1所述的数据安全通信系统,其特征在于,所述第一存储模块和所述第二存储模块均为flash、RAM、ROM、EEPROM及存储阵列中的任意一种。
5.一种数据安全通信方法,其特征在于,所述数据安全通信方法使用权利要求1所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包,所述第一控制模块将所述加密数据包存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
用户的加密数据包解密,所述用户终端通过所述第二通信模块将业务请求和所述加密数据包发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密,并验证解密后数据的完整性;所述待比较数据为所述原始加密数据或所述原始完整数据散列函数Hash值;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据,并验证所述验证数据的完整性;所述验证数据为所述第一存储模块存储的所述申请提取数据经过所述第二控制模块处理形成,所述申请提取数据为所述第二控制模块向所述第一控制模块发起申请中对应的所述原始加密数据或所述原始完整数据散列函数Hash值;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
6.根据权利要求5所述的数据安全通信方法,其特征在于,所述加密数据为进行数据加密或签名或散列函数Hash运算后的数据,该数据格式为:数据唯一标识、数据基本信息、原始完整数据散列函数Hash值、原始数据加密后的数据。
7.根据权利要求5所述的数据安全通信方法,其特征在于,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始加密数据;在验证数据提取的步骤中,所述申请提取数据为所述原始加密数据,所述第二控制模块将所述原始加密数据发送至所述第二加密模块进行解密。
8.根据权利要求5所述的数据安全通信方法,其特征在于,在用户的加密数据包解密的步骤中,所述待比较数据为所述原始完整数据散列函数Hash值;在验证数据提取的步骤中,所述申请提取数据为所述原始完整数据散列函数Hash值。
9.一种数据安全通信方法,其特征在于,所述数据安全通信方法使用权利要求1所述的数据安全通信系统实现数据安全存储、传输及验证,所述数据安全通信方法包括如下步骤:
加密请求,所述用户终端将业务请求通过所述第一通信模块发送至所述第一控制模块,所述第一控制模块将该业务需求进行处理并生成原始数据发送至所述第一加密模块;
原始数据加密,所述第一加密模块将所述原始数据分别进行加密和散列函数Hash运算处理并生成原始加密数据;
加密数据包生成,所述第一控制模块将所述原始加密数据进行处理和提取信息,生成数据唯一标识、数据基本信息、原始完整数据散列函数Hash值,所述数据唯一标识、所述数据基本信息、所述原始完整数据散列函数Hash值以及所述原始加密数据形成加密数据包;
数据压缩,所述第一控制模块将所述加密数据包发送至所述第一数据转换模块进行数据提取并生成数据特征值,所述第一数据转换模块将所述数据特征值发送至所述第一控制模块,所述第一控制模块将该所述数据特征值存放于所述第一存储模块并通过所述第一通信模块传输数据至所述用户终端;
解压解密,所述用户终端通过所述第二通信模块将业务请求和所述数据特征值发送至所述第二控制模块,所述第二控制模块接该业务请求后将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中的待比较数据进行解密并发送至所述第二控制模块,所述第二控制模块验证解密后数据的完整性;所述待比较数据为所述原始加密数据或所述原始完整数据散列函数Hash值;
验证数据提取,所述第二控制模块通过所述第一通信模块和所述第二通信模块向所述第一控制模块发起申请,所述申请提取数据为所述数据特征值,所述第一控制模块将所述第一存储模块存储的申请提取数据通过所述第一通信模块和所述第二通信模块传输至所述第二控制模块,所述第二控制模块将所述数据特征值发送至所述第二数据转换模块进行数据逆转换生成所述加密数据包,所述第二数据转换模块将所述加密数据包发送至所述第二控制模块,所述第二控制模块将所述加密数据包发送至所述第二加密模块,所述第二加密模块将所述加密数据包中数据进行解密并发送至所述第二控制模块,所述第二控制模块对该数据进行处理为验证数据并验证所述验证数据的完整性;所述验证数据为所述第一存储模块存储的所述申请提取数据经过所述第二控制模块处理形成,所述申请提取数据为所述第二控制模块向所述第一控制模块发起申请中对应的所述原始加密数据或所述原始完整数据散列函数Hash值;
判断有效性,所述第二控制模块将所述加密数据包的待比较数据解密后获取的数据与所述验证数据进行比较,如该两个数据一致,则判断数据有效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811481900.7A CN109600231B (zh) | 2018-12-05 | 2018-12-05 | 数据安全通信系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811481900.7A CN109600231B (zh) | 2018-12-05 | 2018-12-05 | 数据安全通信系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109600231A CN109600231A (zh) | 2019-04-09 |
| CN109600231B true CN109600231B (zh) | 2021-10-29 |
Family
ID=65961166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811481900.7A Active CN109600231B (zh) | 2018-12-05 | 2018-12-05 | 数据安全通信系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109600231B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111221764B (zh) * | 2019-10-18 | 2022-03-25 | 浙江中控技术股份有限公司 | 一种跨链路数据传输方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039809B1 (en) * | 1998-11-12 | 2006-05-02 | Mastercard International Incorporated | Asymmetric encrypted pin |
| CN105430017A (zh) * | 2015-12-31 | 2016-03-23 | 国网山东临朐县供电公司 | 数据安全通信方法 |
| CN105554008A (zh) * | 2015-12-28 | 2016-05-04 | 联想(北京)有限公司 | 用户终端、认证服务器、中间服务器、系统和传送方法 |
| CN105761081A (zh) * | 2016-02-18 | 2016-07-13 | 流量海科技成都有限公司 | 数据交易方法及数据交易装置 |
| CN206894689U (zh) * | 2017-07-12 | 2018-01-16 | 苏州元禾医疗器械有限公司 | 一种数据加密及解密传输装置 |
| CN107742081A (zh) * | 2017-09-04 | 2018-02-27 | 京江南数娱(北京)科技有限公司 | 加密和解密方法、装置、存储介质和处理器 |
| CN108650082A (zh) * | 2018-05-08 | 2018-10-12 | 腾讯科技(深圳)有限公司 | 待验证信息的加密和验证方法、相关装置及存储介质 |
-
2018
- 2018-12-05 CN CN201811481900.7A patent/CN109600231B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039809B1 (en) * | 1998-11-12 | 2006-05-02 | Mastercard International Incorporated | Asymmetric encrypted pin |
| CN105554008A (zh) * | 2015-12-28 | 2016-05-04 | 联想(北京)有限公司 | 用户终端、认证服务器、中间服务器、系统和传送方法 |
| CN105430017A (zh) * | 2015-12-31 | 2016-03-23 | 国网山东临朐县供电公司 | 数据安全通信方法 |
| CN105761081A (zh) * | 2016-02-18 | 2016-07-13 | 流量海科技成都有限公司 | 数据交易方法及数据交易装置 |
| CN206894689U (zh) * | 2017-07-12 | 2018-01-16 | 苏州元禾医疗器械有限公司 | 一种数据加密及解密传输装置 |
| CN107742081A (zh) * | 2017-09-04 | 2018-02-27 | 京江南数娱(北京)科技有限公司 | 加密和解密方法、装置、存储介质和处理器 |
| CN108650082A (zh) * | 2018-05-08 | 2018-10-12 | 腾讯科技(深圳)有限公司 | 待验证信息的加密和验证方法、相关装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109600231A (zh) | 2019-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12051064B2 (en) | Transaction messaging | |
| CN102833253B (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
| CN107786331B (zh) | 数据处理方法、装置、系统及计算机可读存储介质 | |
| CN106559217A (zh) | 一种动态加密方法、终端、服务器 | |
| CN106254327A (zh) | 信息处理装置及方法 | |
| CN113572743B (zh) | 数据加密、解密方法、装置、计算机设备和存储介质 | |
| CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| JP2012514925A (ja) | 事前の情報共有なしに安全な通信を確立する方法 | |
| US20230344643A1 (en) | Digital signature system using scalable servers | |
| CN113918992A (zh) | 日志数据处理方法及装置、存储介质和电子设备 | |
| CN102231883A (zh) | Rfid-sim卡电信数据传输内容加密系统及方法 | |
| CN103746802B (zh) | 一种基于协商密钥的数据处理方法和手机 | |
| CN101854594A (zh) | 信息发送方法与装置和信息接收方法与装置 | |
| CN110198320B (zh) | 一种加密信息传输方法和系统 | |
| CN109802834A (zh) | 一种对业务层数据进行加密、解密的方法及系统 | |
| CN109600231B (zh) | 数据安全通信系统和方法 | |
| CN111431922A (zh) | 物联网数据加密传输方法及系统 | |
| CN113158218B (zh) | 数据加密方法、装置及数据解密方法、装置 | |
| CN107104788A (zh) | 终端及其不可抵赖的加密签名方法和装置 | |
| CN103458401A (zh) | 一种语音加密通信系统及通信方法 | |
| CN111263360B (zh) | 采用公钥保护可变机械认证密码的无线加密装置及方法 | |
| CN210578594U (zh) | 电力设备安全密钥卡和系统 | |
| CN110071908B (zh) | 终端绑定方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 518000 1401, building a, Fenghuang Zhigu, No. 50, tiezi Road, Gongle community, Xixiang street, Bao'an District, Shenzhen, Guangdong Province Patentee after: Shenzhen Qiji Technology Co.,Ltd. Address before: 518000 a3-1-701, building A3, colorful world, next to the middle section of Xingye Road, fuzhongfu community, Xixiang street, Bao'an District, Shenzhen, Guangdong Province Patentee before: SHENZHEN QIJI TECHNOLOGY SERVICE Co.,Ltd. |