[发明专利]一种基于http协议的数据加密传输系统及方法

说明书

技术领域

本发明涉及一种基于http协议的数据加密传输系统及方法，特别是涉及一种适用于保密传输信息的基于http协议的数据加密传输系统及方法。

背景技术

HTTP 是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。随着web应用领域的发展，http协议的安全性要求也达到了前所未有的高度。

但是传统的HTTPS等技术，使得网关、代理系统不能有效处理HTTP协议，丧失了HTTP在网络上传输的优势，本发明在HTTP内部实现安全功能，使得本方式有更好的易用和兼容性。

发明内容

本发明要解决的技术问题是提供一种使http协议更安全可靠，使数据加密传输更易用、兼容的基于http协议的数据加密传输系统及方法。

本发明采用的技术方案如下：一种基于http协议的数据加密传输系统，包括客户端，服务端，其特征在于，还包括：

http数据加密传输控件，以动态库的形式为用户程序提供服务；

身份认证模块，对登录用户进行双因子认证。

作为优选，还包括会话密钥协商模块，使用非对称密钥算法进行客户端与服务端的会话密钥协商。

一种基于http协议的数据加密传输系统，包括客户端，服务端，其特征在于，还包括：

http数据加密传输控件，以动态库的形式为用户程序提供服务；

会话密钥协商模块，使用非对称密钥算法进行客户端与服务端的会话密钥协商。

一种基于http协议的数据加密传输方法，其特征在于，http数据加密传输控件以动态库的形式为用户程序提供服务；会话密钥协商模块使用非对称密码算法进行客户端与服务端的会话密码协商，将计算出的会话密钥进行数据传输的加解密操作。

作为优选，所述方法还包括对登录用户进行用户账号与加密硬件模块绑定的双因子认证。

作为优选，所述密钥协商的具体步骤为：

步骤一、http客户端发送用户公钥到http 服务端；

步骤二、http服务端生成随机数R1，计算出R1的MD5摘要值HR1，用私钥对HR1签名得到SHR1，用客户端公钥加密R1得到ER1，把加密后的ER1和生成的签名值SHR1一起封装成http响应包传给客户端；

步骤三、客户端用私钥解密ER1，得到明文R1，接着计算R1的MD5摘要值，然后用服务端的公钥对签名值SHR1进行验签；

步骤四、客户端生成随机数R2,计算出R2的MD5摘要值HR2，用私钥对HR2进行签名，得到签名值SHR2，用服务端的公钥加密R2得到密文ER2，把ER2和SHR2一起封装成http响应包发给服务端；

步骤五、服务端用私钥解密ER2得到R2，然后对客户端的签名值SHR2进行验签；

步骤六、客户端（或服务端）通过R1和R2异或运算计算出本次会话密钥。

作为优选，所述方法还包括，在每个消息中都包含一个递增的消息MSGID，当消息MSGID达到一定值后，客户端服和服务端重新进行密钥协商。

一种基于http协议的数据加密传输方法，其特征在于，http数据加密传输控件以动态库的形式为用户程序提供服务；对登录用户进行用户账号与加密硬件模块绑定的双因子认证。

作为优选，所述方法还包括，在每个消息中都包含一个递增的消息MSGID，当消息MSGID达到一定值后，客户端服和服务端重新进行密钥协商。

与现有技术相比，本发明的有益效果是：防止用户非法接入网络，旁听窃取、重放攻击、破环网络上传递的数据，对网络通道进行安全保护。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本说明书（包括任何附加权利要求、摘要）中公开的任一特征，除非特别叙述，均可被其他等效或者具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

一种基于http协议的数据加密传输系统，包括客户端，服务端，还包括：

http数据加密传输控件，以动态库的形式为用户程序提供服务，结合密码学技术可以使http协议更安全，可靠。

身份认证模块，对登录用户进行双因子认证，即用户帐号与加密硬件模块绑定。

会话密钥协商模块，使用非对称密钥算法进行客户端与服务端的会话密钥协商。