一種安全的網絡信息傳輸方法

2023-05-14 11:03:46 2

專利名稱：一種安全的網絡信息傳輸方法
技術領域：
本發明屬於信息技術領域，涉及一種安全高效的網絡信息傳輸方法，主要應用於伺服器端與客戶端進行網絡數據通信、信息加密、安全身份認證等領域。
背景技術：
隨著計算機網絡技術的飛速發展，網絡已經成為了世界上最大規模的公共數據源，而且其規模仍在快速的增長。在網際網路極大的改變人們的生活面貌、促進社會進步的同時，由於其是面向大眾的開放系統，隨著網絡應用範圍的不斷擴大，機密信息的洩漏問題也變的日益嚴重，由此引起的網絡安全問題也日益突出，計算機網絡信息在使用、傳輸等過程中可能會被非法盜用、暴露或者篡改，此外，由於用戶信息安全意識淡薄，信息安全技術和 設施相對落後等因素也使得網絡信息安全形勢更加嚴峻。為了解決這些安全問題，各種信息安全傳輸機制、信息加密算法、網絡安全工具被不斷的開發和應用。計算機網絡以TCP/IP為基礎，該協議在設計上存在著很多安全隱患，因此基於TCP/IP的應用服務例如WWW服務、EMAIL服務、FTP服務等都不同程度的存在著安全問題，易被他人通過協議漏洞竊取信息。因此需要通過特定的防護策略來保護網絡信息安全。常見的安全策略有提高網絡伺服器存儲安全級別、通過核對用戶信息進行入網安全性驗證、利用信息加密技術來加密信息傳輸流、通過系統防火牆以及病毒防護技術等策略。加強伺服器的存儲安全是通過特定的方式保護網絡伺服器的存儲器的信息安全，目前常用的技是RAID (Redundant Arrays of Inexpensive Disks)即磁碟陣列技術，利用數組的方式來做磁碟組，配合數據分散排列的設計來提升數據的安全性，磁碟陣列可利用同位檢查的方法，在數組中某個硬碟出現故障時，通過數據冗餘技術，仍可讀出數據和重新寫入數據，從而實現了對數據的安全保護。用戶信息驗證技術也就是系統訪問控制技術，是網絡安全防禦和保護的常用策略。信息驗證主要通過用戶名/ 口令等驗證信息來顯示非法用戶進入網絡，目的是保證網絡中的資源不被非法用戶訪問和使用，同時控制用戶可訪問的網絡資源的範圍，只允許用戶訪問通過系統管理員授權的資源。不過用戶名/ 口令被竊取就意味著所對應的網絡資源的丟失，因此需要對用戶信息進行妥善保護。另外系統還可通過設定入網限制來防止非法入侵者進入網絡，用戶只能在特定的網段通過自己的用戶名/ 口令來進入網絡，由此提高網絡信息安全性。信息加密技術，就是對信息進行重新編碼而隱藏原始信息內容，從而使非法用戶無法獲得信息真實內容的一種技術手段。數據加密技術按照作用的不同可以分為數據存儲、數據傳輸、數據完整性鑑別以及密鑰的管理技術。數據存儲加密技術是為了防止在存儲環節上的數據丟失，分為密文存儲和存儲控制兩種，密文存儲是通過加密算法轉換、附加密碼、加密模塊等方式對本地存儲的文件進行加密和數字籤名；存儲控制是對用戶資格、權限加以審核、防止非法用戶獲取數據。數據傳輸加密是通過加密算法對數據傳輸過程中的數據流進行加密。數據完整性鑑別是對介入信息的傳送，存取，處理人的身份和相關數據內容進行驗證，以達到數據保密的要求，系統通過對比驗證對象輸入的特徵值是否符合預先設定的參數，實現對數據的安全保護。密鑰的管理技術包括密鑰的產生、分配、保存、更換以及銷毀等環節上的保密措施。針對HTTP協議的安全缺陷，人們提出了在SSL上的HTTPS實現，採用獨立埠策略，在數據傳輸過程中加密解密均有SSL進行，與上層的HTTP無關，不過HTTPS提供的是點對點的安全保護，加解密發生在傳輸層，也就是旨在傳輸過程中消息才是加密的，到達終點後就變成了明文，因此消息隊列中信息可能被竊取。防火牆是目前使用廣泛的一種網絡安全技術，其核心思想是在不安全的網絡環境中構造一個相對安全的子網環境，通過預定義的安全策略，對內外網通信強制實施訪問控制，對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，並監控網絡運行狀態。病毒防護技術通常使用的是防病毒軟體，從功能上分為網絡防病毒軟體和單機防病毒軟體。單機防病毒軟體一般安裝在單機上，對本地資源採用分析掃描的方式檢測，消除病毒。網絡防病毒軟體主要注重網絡防病毒，一旦病毒入侵網絡或從網絡向其他的資源傳播，網絡病毒軟體就會立即檢測到並將其刪除。
在目前網絡信息化時代，由於網絡自身的安全隱患無法根除，在網絡信息傳輸的過程中，雖然人們提出了很多用於網絡安全防護的策略，但是安全事故仍不斷出現，因此需要綜合運用各種網絡安全技術，來保護網絡信息傳輸安全。

發明內容
針對目前網絡信息傳輸方面存在的問題，在總結了已有信息安全傳輸方法的優勢和缺點的基礎上，本發明的目的在於提出一種綜合運用用戶信息驗證技術、信息加密技術、數字籤名技術、防火牆技術來保證基於C/S (客戶端和伺服器結構)的網絡信息安全傳輸方法，伺服器端為信息數據源，系統管理員為要申請獲取數據的客戶端分配系統權限，包括用戶信息、用戶授權IP位址(客戶端發起請求的IP位址)、用戶身份公鑰/私鑰對，伺服器端公鑰信息等。信息傳輸總體流程示意圖如圖1所示。1、客戶端發起數據傳輸請求客戶端按照本地配置的伺服器信息，向伺服器發起服務請求，請求參數包括客戶端用戶信息、IP位址信息(伺服器端通過解析IP數據包獲取客戶端IP位址，IP位址不作為顯式參數傳遞)、請求獲取數據類型信息等，只有通過伺服器身份認證後才可進行網絡數據獲取。2、伺服器端進行身份驗證客戶端數據傳輸請求被伺服器端防火牆攔截，過濾掉未授權的非法信息，將合法的客戶端請求提交給伺服器，伺服器端接收到客戶端數據傳輸請求後，對客戶端提交的用戶信息與伺服器端資料庫中的進行核對，驗證通過的請求才可進入信息傳輸流程的下一
止/J/ O3、伺服器端進行IP驗證伺服器端從客戶端請求中的IP數據包中解析出客戶端的IP位址，只有驗證該IP與伺服器初始化的客戶端合法IP相同，並且驗證用戶信息合法後，針對該用戶伺服器端建立與客戶端的會話，在本次會話中保存用戶信息，作為參數供數據傳輸各個步驟調用，直到數據傳輸結束後刪除會話。
4、伺服器端為數據傳輸生成密鑰由於傳輸的數據量比較大，伺服器端與客戶端數據傳輸過程採用加密速度快的對稱算法加密，伺服器端為本次數據傳輸生成用於數據加密的隨機密鑰，並通過客戶端公鑰將密鑰加密，將加密後的密鑰信息傳送回客戶端。5、客戶端接收密鑰
客戶端接收到伺服器端發送的數據加密密鑰信息後，通過客戶端私鑰進行解密，將解密出的密鑰信息通過伺服器端公鑰再次加密後提交到伺服器端。伺服器端接收到密鑰信息後通過伺服器端私鑰解密，將解密出的密鑰與生成的隨機密鑰進行對比，若兩者一致則表明客戶端已安全接收到數據解密密鑰信息，可進行下一步數據加密工作。6、伺服器端進行信息加密為保證客戶端接收到的數據準確無誤，伺服器端將客戶端請求的數據進行數字籤名，伺服器端通過生成的隨機密鑰，通過對稱加密算法將客戶端請求數據以及數字籤名信息進行數據加密，以密文形式向客戶端發送。7、信息傳輸伺服器端通過網際網路將加密後的信息發送到客戶端，由於數據是密文的形式傳送，可很大程度提高信息傳輸安全性。8、客戶端數據解密客戶端接收到加密後的信息後，通過步驟5獲取的密鑰對數據進行解密，解密出的數據包括原始信息和數字籤名信息，客戶端通過數字籤名對原始信息進行一致性驗證，將一致性驗證不通過的信息丟棄並申請伺服器端重傳，驗證通過的信息存入本地資料庫。數據傳輸結束後向伺服器端發出結束標誌，伺服器端中斷與客戶端的會話信息。本發明採用伺服器端為客戶端動態分配用戶信息的方式，向客戶端分配用戶信息、用戶私鑰信息、伺服器公鑰信息，伺服器端保留分配的用戶的公鑰信息。在信息傳輸過程中，考慮到加密速度等因素，數據加密採用對稱加密算法進行加密，加密/解密密鑰在數據傳輸過程中隨機生成，為保護密鑰安全被客戶端接收，通過非對稱加密算法進行密鑰交換和身份驗證。本發明在信息傳輸過程中綜合運用了身份驗證技術、防火牆技術、數據加密/解密技術，並通過非對稱加密算法、對稱加密算法和數字籤名技術在保證數據安全性的同時，保證了數據加密速度。與現有技術相比，本發明的優點用戶信息由伺服器端統一管理、授權，通過對伺服器端防火牆進行統一配置，降低了非法用戶入侵系統的可能性。對稱加密算法加密、解密過程通過同一密鑰進行，加密速度快，適合加密較大規模數據，但是密鑰丟失則意味著原始信息可被獲得密鑰的非授權用戶解密，因此對稱算法的密鑰是信息安全傳輸的關鍵，本發明通過隨機分配密鑰的方式，每次信息傳輸密鑰都不相同，保證了信息安全性。非對稱加密算法破解難度大，但相對對稱算法加密速度慢，適合加密少量數據。本發明利用非對稱加密算法安全性高的特點，伺服器端利用該算法將對稱加密算法的密鑰加密為密文，客戶端獲取密文後通過非對稱加密算法解密出對稱加密算法的密鑰，再次通過非對稱加密算法加密該密鑰後回傳給伺服器，伺服器解密後與原始密鑰核對，由此確定客戶端是否成功獲取了對稱算法加密/解密所需的密鑰，由此保證了對稱加密算法的安全交換。利用數字籤名技術將原始信息進行籤名，將原始信息和籤名信息同時進行加密，客戶端獲取了加密數據並解密後，可對原始信息進行一致性驗證，從而保證了信息傳輸的正確性。


圖1信息傳輸流程圖；圖2信息加密過程圖；圖3伺服器端信息處理過程圖；圖4客戶端信息處理過程圖；圖5MD5算法流程圖；圖6DES算法流程圖。
具體實施例方式本發明數據傳輸伺服器端通過Web Services的形式在伺服器發布,客戶端通過線程方式定時向伺服器端提出數據傳輸請求，非對稱加密算法通過RSA算法實現，對稱加密算法通過DES算法實現，信息籤名通過MD5算法實現，整個數據加密過程如圖2所示。伺服器端初始化客戶端用戶信息和RSA算法公鑰和私鑰信息(密鑰由5位十進位素數和308位十進位素數構成)，以及伺服器端公鑰信息同時保存到客戶端資料庫中。1、伺服器端信息處理過程(如圖3所示)(I)身份驗證伺服器端防火牆攔截用戶請求信息，將非法請求進行過濾處理，將合法的用戶信息提交到身份驗證處理程序，伺服器端收到客戶端數據傳輸請求後，通過客戶端的用戶名/口令信息、客戶端IP信息等進行客戶端身份驗證。(2)初始化用戶驗證通過的請求，伺服器端為數據傳輸工作建立會話，在會話中保存該用戶信息，包括該用戶用戶名/ 口令信息、IP信息、RSA算法客戶端公鑰信息、伺服器端私鑰信息等。(3)生成DES密鑰伺服器端隨機生成8位DES算法加密/解密所需的密鑰信息，並通過RSA算法利用客戶端公鑰將密鑰加密，將加密後的密鑰傳送到客戶端。(4)驗證DES密鑰客戶端收到加密的密鑰後通過自身密鑰解密，將解密的密鑰再通過伺服器端公鑰進行加密，將加密後的密鑰提交到伺服器端，伺服器端通過自身私鑰解密後與步驟(3)生成的密鑰進行比對，當兩者相同時，表示客戶端已準確接收到了 DES密鑰。(5)數字籤名伺服器端通過MD5算法(如圖5所示)對要傳輸的信息進行數字籤名，並把數字籤名信息附加到原始信息末尾。
(6)加密信息伺服器端通過DES算法(如圖6所示)利用步驟(3)生成的8位密鑰對附加了數字籤名信息的原始信息進行加密。(7)傳送信息伺服器端將加密後的信息通過網際網路發送給客戶端，客戶端獲取信息後通過從伺服器端獲取的DES算法密鑰對信息進行解密處理，從解密出的信息中分離出原始信息和數字籤名信息，通過MD5算法對傳輸的信息進行數字籤名，將得到的籤名信息與從伺服器端接受到的籤名信息對比，當兩者相同時表示此次數據傳輸無誤。(8)斷開連接
·
信息傳輸結束後，伺服器端收到客戶端提交的斷開服務請求，伺服器端終止於客戶端的會話，斷開與客戶端的連接直到客戶端再次提交數據服務請求。2、客戶端信息處理過程(如圖4所示)(I)初始化參數客戶端以線程方式定時向伺服器發送獲取數據請求，線程啟動後，客戶端從本地資料庫中讀取客戶端用戶信息並提交到伺服器端進行身份驗證。(2)用戶驗證伺服器端通過驗證客戶端提交的用戶信息和IP信息，將驗證成功結果返回給客戶端。(3)獲取DES密鑰客戶端獲取伺服器通過RSA算法利用客戶端公鑰加密的DES密鑰信息。(4)驗證DES密鑰客戶端通過私鑰對加密的密鑰信息進行解密，將解密後的信息再通過伺服器端公鑰進行加密並提交到伺服器端，伺服器端驗證成功後向客戶端返回驗證成功標識，客戶端等待伺服器端進行數據傳輸。(5)獲取加密信息客戶端獲取伺服器端通過DES算法加密的原始信息的密文。(6)解密信息客戶端通過步驟(4)獲取的DES密鑰對步驟(5)獲取的信息進行解密，將解密出的原始信息和數字籤名信息進行一致性驗證。(7)斷開連接客戶端將通過一致性驗證的信息存入本地資料庫，並向伺服器端發出斷開連接請求，本次信息傳輸結束。本發明提出的網絡信息傳輸方法，伺服器端在信息傳輸前進行信息加密，客戶端在收到數據後在本地進行解密，從而避免了 TCP/IP協議存在的缺陷。同時，本發明綜合運用了各種信息處理算法的特點，在不影響數據傳輸速度的前提下，保證了網絡信息傳輸過程的安全性和準確性。
權利要求
1.一種安全的網絡信息傳輸方法，其步驟為1)客戶端向伺服器發起服務請求；其中，所述服務請求包括客戶端用戶信息、請求獲取數據類型信息；2)伺服器端對收到的服務請求進行過濾，並對過濾所得合法的服務請求中的用戶信息進行驗證，如果驗證通過則進行步驟3)，否則拒絕該服務請求；3)伺服器端從客戶端發送請求的IP數據包中解析出客戶端IP位址，並進行驗證，如果驗證通過則建立與該客戶端的會話，進行步驟4);否則拒絕該服務請求；4)伺服器端生成一密鑰，並通過該客戶端公鑰對該密鑰加密後的密鑰信息發給該客戶端;5)該客戶端利用私鑰對該密鑰信息進行解密，並將解密出的密鑰信息通過伺服器端公鑰加密後發給伺服器端；6)伺服器端確認該客戶端已安全接收到該密鑰後進行步驟7)；7)伺服器端將該服務請求的數據進行數字籤名，並用該密鑰對該服務請求的數據以及數字籤名信息進行加密，以密文形式發送給該客戶端；8)該客戶端利用該密鑰對收到的數據進行解密和一致性驗證，對一致性驗證不通過的信息進行丟棄並申請伺服器端重傳，驗證通過的信息存入本地資料庫。
2.如權利要求1所述的方法，其特徵在於所述伺服器端確認該客戶端已安全接收到該密鑰的方法為伺服器端利用私鑰對接收到的密鑰信息解密，將解密出的密鑰與步驟4)生成的密鑰進行對比，若兩者一致則確認該客戶端已安全接收到該密鑰。
3.如權利要求1或2所述的方法，其特徵在於所述密鑰為一隨機密鑰。
4.如權利要求1或2所述的方法，其特徵在於該客戶端判斷數據傳輸結束後，向伺服器端發出結束標誌，伺服器端中斷與該客戶端的會話。
5.如權利要求1或2所述的方法，其特徵在於步驟4)中，伺服器端採用非對稱加密算法通過該客戶端公鑰對該密鑰進行加密後發送給該客戶端；步驟5)中，該客戶端採用非對稱加密算法對解密出的密鑰信息通過伺服器端公鑰進行加密後發送給伺服器端。
6.如權利要求5所述的方法，其特徵在於步驟7)中，伺服器端採用對稱加密算法對該服務請求的數據以及數字籤名信息進行加密。
7.如權利要求1所述的方法，其特徵在於所述客戶端向伺服器發起服務請求的方法為客戶端以線程方式定時向伺服器發送獲取數據請求，線程啟動後，客戶端從本地資料庫中讀取客戶端用戶信息並提交到伺服器端。
全文摘要
本發明公開了一種安全的網絡信息傳輸方法。本方法為1)客戶端向伺服器發起服務請求；2)伺服器端對服務請求中的用戶信息和客戶端IP位址進行驗證，如果驗證通過則與其建立一會話；3)伺服器端生成一密鑰，並通過該客戶端公鑰對該密鑰加密後發給該客戶端；4)該客戶端利用私鑰對該密鑰信息進行解密，並將解密出的密鑰信息通過伺服器端公鑰加密後發給伺服器端；5)伺服器端將該服務請求的數據進行數字籤名，並用該密鑰對數據以及數字籤名信息進行加密發送給該客戶端；6)該客戶端對數據進行解密和一致性驗證，對一致性驗證不通過的信息進行丟棄並申請伺服器端重傳，驗證通過的信息存入本地資料庫。本發明大大提高了信息傳輸的安全性。
文檔編號H04L9/32GK103001976SQ20121059135
公開日2013年3月27日 申請日期2012年12月28日 優先權日2012年12月28日
發明者崔建業, 黎建輝, 楊風雷 申請人:中國科學院計算機網絡信息中心