本发明专利技术中,通过客户端密钥、服务器密钥、动态密钥相结合的方式生成通信密钥、通过其他距离相近的客户端以近场通信的方式传递动态密钥、通过客户端来传递动态密钥、通过周期性的变更动态密钥,使得通信过程中的数据加密性能更高,保证了数据安全、有效的保证了动态密钥传递过程中的安全性、能保证动态密钥的传递在认证服务器的信任水平之上进行减、轻了认证服务器的负载,有利于认证服务器的平稳运行、使得密钥的使用更加的安全。
【技术实现步骤摘要】
一种数据加密传输的密钥协商方法
本专利技术涉及通信网络安全
,尤其涉及一种数据加密传输的密钥协商方法。
技术介绍
随着因特网业务的蓬勃发展和无线网络的广泛应用,移动用户的安全性已经对于无线系统提出了越来越多的要求:除了设备鉴权、用户鉴权和服务授权等等,无线用户与接入点(AP)或基站(BS)之间的安全通道的建立,保密信息的交换,以及BS和鉴权者(Authenticator),鉴权者和鉴权服务器之间的保密通道,保密信息的交换等等都是以往在专用网络中所不需要考虑而目前需要得到大量关注的问题了。现有的解决服务器端、客户端业务交互安全的方案包括静态密钥、动态密钥等方式。静态密钥一般是在客户端、服务器端放置静态密钥,通信时双方约定采用该密钥进行加解密;动态密钥方式则是开始使用明文传输密钥,在通讯初期双方动态约定密钥,一般是服务端生成,明文传送给客户端,通信时双方约定采用该密钥进行加解密。现有的静态密钥方式存在容易破解的风险,因为密钥固定,使得密钥被攻击被破解的可能性大大增加,一旦密钥破解,业务就存在被攻击的风险。动态密钥虽然动态变化,但由于初始期明文交互,容易被捕获。而且,由于认证服务器集中处理所有需要连接业务服务器的客户端的认证请求,造成认证服务器负载太大,运行缓慢,导致用户连接超时。
技术实现思路
本专利技术提供了一种数据加密传输的密钥协商方法,其特征在于,认证服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置,并以一定的时间周期,生成新的动态密钥,使用当前通信密钥对该新生成的动态密钥进行加密,生成安全报文,并向所有已经鉴权成功了的客户端广播该安全报文,然后将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥;已经鉴权成功了的客户端接收该安全报文,使用当前通信密钥对其进行解密得到该新生成的动态密钥,并将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥,使用当前通信密钥加密/解密数据,与所述业务服务器进行数据传输;所述密钥协商方法包括:步骤202、向认证服务器申请鉴权的所述第一客户端对所述第一客户端的识别序列号和地理位置以及鉴权所需的身份信息使用客户端密钥进行加密,得到鉴权请求报文,并向认证服务器发送鉴权请求报文;步骤204、认证服务器使用客户端密钥对所述鉴权请求报文解密,得到所述第一客户端的所述识别序列号和地理位置以及鉴权所需的身份信息,对第一客户端进行鉴权,若鉴权通过,则进入步骤206;若鉴权失败,则向所述第一客户端发送鉴权失败报文,进入步骤232;步骤206、认证服务器将第一客户端的地理位置与所述鉴权数据库存储的已经鉴权成功了的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;步骤208、所述认证服务器将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则进入步骤210;若否,进入步骤220;步骤210、认证服务器对所述第一客户端和第二客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第二客户端;步骤212、所述第二客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第二客户端的识别序列号;步骤214、所述第二客户端建立与第一客户端之间的近场通信连接,向第一客户端发送当前动态密钥;步骤216、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;步骤218、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输,进入步骤232;步骤220、所述认证服务器获取所述鉴权数据库中信用等级最高的第三客户端;步骤222、所述认证服务器对所述第一客户端和第三客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第三客户端;步骤224、所述第三客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第三客户端的识别序列号;步骤226、所述第三客户端对当前动态密钥使用客户端密钥进行加密,生成密钥通知响应报文,并发送给所述第一客户端;步骤228、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;步骤230、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输;步骤232、密钥协商过程结束。与现有技术相比,采用本专利技术的数据加密传输的密钥协商方法,具有以下优点:1.本专利技术中,通过客户端密钥、服务器密钥、动态密钥相结合的方式生成通信密钥,使得通信过程中的数据加密性能更高,保证了数据安全;2.本专利技术中,通过其他距离相近的客户端以近场通信的方式传递动态密钥,有效的保证了动态密钥传递过程中的安全性,而通过信用等级高的客户端来传递密钥,则能保证动态密钥的传递在认证服务器的信任水平之上进行;3.本专利技术中通过客户端来传递动态密钥,减轻了认证服务器的负载,有利于认证服务器的平稳运行;4.本专利技术中通过周期性的变更动态密钥,使得密钥的使用更加的安全。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术网络结构图;图2为本专利技术实施例一流程图A;图3为本专利技术实施例一流程图B。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白,以下将通过具体实施例和相关附图,对本专利技术作进一步详细说明。实施例一本专利技术实施例一提供了一种数据加密传输的密钥协商方法,其特征在于,认证服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置,并以一定的时间周期,生成新的动态密钥,使用当前通信密钥对该新生成的动态密钥进行加密,生成安全报文,并向所有已经鉴权成功了的客户端广播该安全报文,然后将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥;已经鉴权成功了的客户端接收该安全报文,使用当前通信密钥对其进行解密得到该新生成的动态密钥,并将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥,使用当前通信密钥加密/解密数据,与所述业务服务器进行数据传输;所述密钥协商方法包括:步骤202、向认证服务器申请鉴权的所述第一客户端对所述第一客户端的识别序列号和地理位置以及鉴权所需的身份信息使用客户端密钥进行加密,得到鉴权请求报文,并向认证服务器发送鉴权请求报文;步骤204、认证服务器使用客户端密钥对所述鉴权请求报文解密,得到所述第一客户端的所述识别序列号和地理位置以及鉴权所需的身份信息,对第一客户端进行鉴权,若鉴权通过,则进入步骤206;若鉴权失败,则向所述第一客户端发送鉴权失败报文,进入步骤232;步骤206、认证服务器将第一客户端的地理位置与所述鉴权数据库存储的已经鉴权成功了的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;步骤208、所述认证服务器将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则进入步骤210;若否,进入步骤220;步骤210、认证服务本文档来自技高网...
【技术保护点】
一种数据加密传输的密钥协商方法,其特征在于,认证服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置,并以一定的时间周期,生成新的动态密钥,使用当前通信密钥对该新生成的动态密钥进行加密,生成安全报文,并向所有已经鉴权成功了的客户端广播该安全报文,然后将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥;已经鉴权成功了的客户端接收该安全报文,使用当前通信密钥对其进行解密得到该新生成的动态密钥,并将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥,使用当前通信密钥加密/解密数据,与所述业务服务器进行数据传输;所述密钥协商方法包括:步骤202、向认证服务器申请鉴权的所述第一客户端对所述第一客户端的识别序列号和地理位置以及鉴权所需的身份信息使用客户端密钥进行加密,得到鉴权请求报文,并向认证服务器发送鉴权请求报文;步骤204、认证服务器使用客户端密钥对所述鉴权请求报文解密,得到所述第一客户端的所述识别序列号和地理位置以及鉴权所需的身份信息,对第一客户端进行鉴权,若鉴权通过,则进入步骤206;若鉴权失败,则向所述第一客户端发送鉴权失败报文,进入步骤232;步骤206、认证服务器将第一客户端的地理位置与所述鉴权数据库存储的已经鉴权成功了的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;步骤208、所述认证服务器将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则进入步骤210;若否,进入步骤220;步骤210、认证服务器对所述第一客户端和第二客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第二客户端; 步骤212、所述第二客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第二客户端的识别序列号;步骤214、所述第二客户端建立与第一客户端之间的近场通信连接,向第一客户端发送当前动态密钥;步骤216、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;步骤218、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输,进入步骤232;步骤220、所述认证服务器获取所述鉴权数据库中信用等级最高的第三客户端;步骤222、所述认证服务器对所述第一客户端和第三客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第三客户端; 步骤224、所述第三客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第三客户端的识别序列号;步骤226、所述第三客户端对当前动态密钥使用客户端密钥进行加密,生成密钥通知响应报文,并发送给所述第一客户端;步骤228、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;步骤230、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输;步骤232、密钥协商过程结束。...
【技术特征摘要】
1.一种数据加密传输的密钥协商方法,其特征在于,认证服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置,并以一定的时间周期,生成新的动态密钥,使用当前通信密钥对该新生成的动态密钥进行加密,生成安全报文,并向所有已经鉴权成功了的客户端广播该安全报文,然后将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥;已经鉴权成功了的客户端接收该安全报文,使用当前通信密钥对其进行解密得到该新生成的动态密钥,并将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥,使用当前通信密钥加密/解密数据,与业务服务器进行数据传输;所述密钥协商方法包括:步骤202、向认证服务器申请鉴权的第一客户端对所述第一客户端的识别序列号和地理位置以及鉴权所需的身份信息使用客户端密钥进行加密,得到鉴权请求报文,并向认证服务器发送鉴权请求报文;步骤204、认证服务器使用客户端密钥对所述鉴权请求报文解密,得到所述第一客户端的所述识别序列号和地理位置以及鉴权所需的身份信息,对第一客户端进行鉴权,若鉴权通过,则进入步骤206;若鉴权失败,则向所述第一客户端发送鉴权失败报文,进入步骤232;步骤206、认证服务器将第一客户端的地理位置与所述鉴权数据库存储的已经鉴权成功了的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;步骤208、所述认证服务器将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则...
【专利技术属性】
技术研发人员:苏长君,段彬,
申请(专利权)人:北京思普崚技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。