[发明专利]数据安全通信方法

摘要

发明涉数据通信技术领域，具体涉及一种数据安全通信方法，包括如下步骤：1)控制中心对交互终端进行安全验证并建立安全通信通道；2)控制中心允许安全验证通过的交互终端通过安全通信通道对交互介质进行数据操作，阻止安全验证未通过的交互终端对交互介质进行数据操作。本发明的方法可更快速地建立安全通信通道，加大了数字证书的破解难度，可增强数据通信过程的安全性和可靠性，并且可降低通信过程中对通信系统资源的消耗。

主权项

1.数据安全通信方法，其特征在于：包括如下步骤：1)控制中心对交互终端进行安全验证并建立安全通信通道；具体包括如下步骤：101)交互终端查询已缓存的与控制中心的会话连接信息，使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算，将会话号与摘要计算结果写入连接申请数据包；102)交互终端查询已缓存的控制中心证书，将控制中心证书的序列号及交互终端证书的序列号写入连接申请数据包；103)交互终端将非对称加密和数字签名算法组合列表写入连接申请数据包，并向控制中心发送连接申请数据包；104)控制中心接收交互终端发送的连接申请数据包，根据会话ID查询缓存的会话连接信息，使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算，将计算结果与交互终端发送的会话密钥的摘要数据进行比对，如果对比结果一致，则将会话密钥与对称算法作为安全通信通道中数据保护的密钥与算法，并则执行步骤105)；若会话密钥的摘要数据对比不一致，则执行步骤106‑114)：106)控制中心读取交互终端发送的控制中心证书的序列号，验证是否控制中心使用的证书序列号一致，如是，则执行下一步，如否，则向交互终端发送控制中心证书数据包后执行下一步；107)控制中心读取交互终端发送的交互终端证书的序列号，根据该序列号查询是否已缓存交互终端证书，如是，则执行下一步；如否，则向交互终端发送申请交互终端证书的申请数据包后执行下一步；108)控制中心读取交互终端发送的算法组合列表，选择一组加密强度最高的非对称算法组合作为密钥协商算法组合；109)控制中心生成一组临时的非对称密钥对，使用控制中心的私钥以及步骤108)中所选择的算法组合中的非对称算法对临时公钥进行数字签名，将签名结果与临时公钥组包为密钥协商数据包向终端发送；110)向交互终端发送连接申请结束数据包；111)交互终端收到控制中心发送的数据包，缓存密钥协商算法组合与会话号；交互终端若收到控制中心发送的控制中心证书数据包，则对控制中心证书进行合法性验证，验证成功，则使用控制中心证书中的序列号作为标识，缓存控制中心证书；验证失败，则退出本流程，断开连接；交互终端若收到控制中心发送的申请交互终端证书的申请数据包，则将本交互终端的证书组包成证书数据包，向控制中心发送；交互终端收到控制中心发送的密钥交互数据包，使用缓存的控制中心证书中的公钥与所述缓存的密钥协商算法组合中的非对称算法，对控制中心的临时公钥签名信息进行验证，如果验证不成功则断开链接；如果验证成功则执行下一步；112)交互终端随机生成一个会话密钥，作为安全通道中数据保护的密钥，使用算法组合中的对称算法作为保护算法；使用会话号作为标识，将会话密钥、对称算法与摘要算法进行缓存；使用非对称算法对会话密钥进行加密，并使用非对称算法对加密后的会话密钥进行数字签名；将加密后的会话密钥以及数字签名组包，向控制中心发送密钥协商数据包；113)交互终端向控制中心发送协商结束命令；114)控制中心若接收到交互终端证书数据包，则对交互终端证书进行合法性验证，如果验证成功，使用交互终端证书中的序列号作为标识，缓存交互终端证书；如果验证失败，则断开链接；控制中心收到交互终端发送的密钥协商数据包后，使用交互终端证书中的公钥以及步骤108)中所选择的算法组合中的非对称算法对签名数据进行签名验证，如果签名验证不成功则断开链接；如果成功则使用控制中心私钥与非对称算法解密会话密钥，并使用步骤104)中产生的会话号作为标识，将会话密钥、对称算法与摘要算法进行缓存；并将会话密钥与对称算法名作为安全通信通道中数据保护的密钥与算法；执行步骤105)；105)控制中心向交互终端发送协商结束命令，终交互端收到控制中心发送的协商结束命令后，安全通道建立；2)控制中心允许安全验证通过的交互终端通过安全通信通道对交互介质进行数据操作，阻止安全验证未通过的交互终端对交互介质进行数据操作。