一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,尤其涉及一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法�����。
【背景技術(shù)】
[0002]隨著因特網(wǎng)業(yè)務(wù)的蓬勃發(fā)展和無線網(wǎng)絡(luò)的廣泛應(yīng)用�����,移動用戶的安全性已經(jīng)對于無線系統(tǒng)提出了越來越多的要求:除了設(shè)備鑒權(quán)��、用戶鑒權(quán)和服務(wù)授權(quán)等等���,無線用戶與接入點(AP)或基站(BS)之間的安全通道的建立���,保密信息的交換,以及BS和鑒權(quán)者(Authenticator)����,鑒權(quán)者和鑒權(quán)服務(wù)器之間的保密通道��,保密信息的交換等等都是以往在專用網(wǎng)絡(luò)中所不需要考慮而目前需要得到大量關(guān)注的問題了��。
[0003]現(xiàn)有的解決服務(wù)器端���、客戶端業(yè)務(wù)交互安全的方案包括靜態(tài)密鑰、動態(tài)密鑰等方式�����。
[0004]靜態(tài)密鑰一般是在客戶端���、服務(wù)器端放置靜態(tài)密鑰,通信時雙方約定采用該密鑰進(jìn)行加解密�����;動態(tài)密鑰方式則是開始使用明文傳輸密鑰���,在通訊初期雙方動態(tài)約定密鑰�����,一般是服務(wù)端生成���,明文傳送給客戶端�����,通信時雙方約定采用該密鑰進(jìn)行加解密����。
[0005]現(xiàn)有的靜態(tài)密鑰方式存在容易破解的風(fēng)險����,因為密鑰固定,使得密鑰被攻擊被破解的可能性大大增加���,一旦密鑰破解�,業(yè)務(wù)就存在被攻擊的風(fēng)險�。動態(tài)密鑰雖然動態(tài)變化,但由于初始期明文交互���,容易被捕獲���。
[0006]而且���,由于認(rèn)證服務(wù)器集中處理所有需要連接業(yè)務(wù)服務(wù)器的客戶端的認(rèn)證請求,造成認(rèn)證服務(wù)器負(fù)載太大���,運行緩慢��,導(dǎo)致用戶連接超時����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明提供了一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法�,其特征在于,認(rèn)證服務(wù)器在鑒權(quán)數(shù)據(jù)庫中存儲已經(jīng)鑒權(quán)成功了的客戶端的識別序列號和地理位置���,并以一定的時間周期�,生成新的動態(tài)密鑰���,使用當(dāng)前通信密鑰對該新生成的動態(tài)密鑰進(jìn)行加密,生成安全報文��,并向所有已經(jīng)鑒權(quán)成功了的客戶端廣播該安全報文�,然后將客戶端密鑰、服務(wù)器密鑰以及當(dāng)前動態(tài)密鑰相結(jié)合����,生成更新的當(dāng)前通信密鑰�����;已經(jīng)鑒權(quán)成功了的客戶端接收該安全報文�����,使用當(dāng)前通信密鑰對其進(jìn)行解密得到該新生成的動態(tài)密鑰���,并將客戶端密鑰、服務(wù)器密鑰以及當(dāng)前動態(tài)密鑰相結(jié)合���,生成更新的當(dāng)前通信密鑰����,使用當(dāng)前通信密鑰加密/解密數(shù)據(jù)���,與所述業(yè)務(wù)服務(wù)器進(jìn)行數(shù)據(jù)傳輸�����;所述密鑰協(xié)商方法包括:
步驟202���、向認(rèn)證服務(wù)器申請鑒權(quán)的所述第一客戶端對所述第一客戶端的識別序列號和地理位置以及鑒權(quán)所需的身份信息使用客戶端密鑰進(jìn)行加密����,得到鑒權(quán)請求報文����,并向認(rèn)證服務(wù)器發(fā)送鑒權(quán)請求報文;
步驟204�����、認(rèn)證服務(wù)器使用客戶端密鑰對所述鑒權(quán)請求報文解密�����,得到所述第一客戶端的所述識別序列號和地理位置以及鑒權(quán)所需的身份信息�����,對第一客戶端進(jìn)行鑒權(quán)�,若鑒權(quán)通過����,則進(jìn)入步驟206 ;若鑒權(quán)失敗��,則向所述第一客戶端發(fā)送鑒權(quán)失敗報文����,進(jìn)入步驟 232 �;
步驟206、認(rèn)證服務(wù)器將第一客戶端的地理位置與所述鑒權(quán)數(shù)據(jù)庫存儲的已經(jīng)鑒權(quán)成功了的客戶端的地理位置相比較�,找到離所述第一客戶端最近的第二客戶端,并得到兩者之間的距離�;
步驟208、所述認(rèn)證服務(wù)器將該距離與預(yù)設(shè)的閾值相比較����,判斷所述距離是否小于閾值;若是�����,則進(jìn)入步驟210 ;若否���,進(jìn)入步驟220 ���;
步驟210�、認(rèn)證服務(wù)器對所述第一客戶端和第二客戶端的識別序列號使用當(dāng)前通信密鑰進(jìn)行加密�����,生成密鑰通知請求報文���,并發(fā)送給所述第二客戶端�����;
步驟212���、所述第二客戶端接收密鑰通知請求報文,用當(dāng)前通信密鑰對其解密��,得到第一客戶端和第二客戶端的識別序列號���;
步驟214�、所述第二客戶端建立與第一客戶端之間的近場通信連接,向第一客戶端發(fā)送當(dāng)前動態(tài)密鑰���;
步驟216���、第一客戶端接收該動態(tài)密鑰�����,進(jìn)行存儲�����,并將客戶端密鑰、服務(wù)器密鑰以及動態(tài)密鑰相結(jié)合�����,生成當(dāng)前通信密鑰��;
步驟218�����、所述第一客戶端與所述業(yè)務(wù)服務(wù)器間以所述當(dāng)前通信密鑰加密/解密數(shù)據(jù),進(jìn)行數(shù)據(jù)傳輸�����,進(jìn)入步驟232;
步驟220�、所述認(rèn)證服務(wù)器獲取所述鑒權(quán)數(shù)據(jù)庫中信用等級最高的第三客戶端;
步驟222���、所述認(rèn)證服務(wù)器對所述第一客戶端和第三客戶端的識別序列號使用當(dāng)前通信密鑰進(jìn)行加密���,生成密鑰通知請求報文,并發(fā)送給所述第三客戶端�����;
步驟224�����、所述第三客戶端接收密鑰通知請求報文�����,用當(dāng)前通信密鑰對其解密,得到第一客戶端和第三客戶端的識別序列號���;
步驟226�����、所述第三客戶端對當(dāng)前動態(tài)密鑰使用客戶端密鑰進(jìn)行加密,生成密鑰通知響應(yīng)報文����,并發(fā)送給所述第一客戶端;
步驟228���、第一客戶端接收該動態(tài)密鑰����,進(jìn)行存儲�,并將客戶端密鑰、服務(wù)器密鑰以及動態(tài)密鑰相結(jié)合��,生成當(dāng)前通信密鑰����;
步驟230���、所述第一客戶端與所述業(yè)務(wù)服務(wù)器間以所述當(dāng)前通信密鑰加密/解密數(shù)據(jù),進(jìn)行數(shù)據(jù)傳輸����;
步驟232、密鑰協(xié)商過程結(jié)束�。
[0008]與現(xiàn)有技術(shù)相比,采用本發(fā)明的數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法�����,具有以下優(yōu)點:
1.本發(fā)明中�,通過客戶端密鑰、服務(wù)器密鑰���、動態(tài)密鑰相結(jié)合的方式生成通信密鑰�,使得通信過程中的數(shù)據(jù)加密性能更高�,保證了數(shù)據(jù)安全;
2.本發(fā)明中�����,通過其他距離相近的客戶端以近場通信的方式傳遞動態(tài)密鑰,有效的保證了動態(tài)密鑰傳遞過程中的安全性��,而通過信用等級高的客戶端來傳遞密鑰�����,則能保證動態(tài)密鑰的傳遞在認(rèn)證服務(wù)器的信任水平之上進(jìn)行����;
3.本發(fā)明中通過客戶端來傳遞動態(tài)密鑰,減輕了認(rèn)證服務(wù)器的負(fù)載���,有利于認(rèn)證服務(wù)器的平穩(wěn)運行;
4.本發(fā)明中通過周期性的變更動態(tài)密鑰��,使得密鑰的使用更加的安全���。
【附圖說明】
[0009]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�。
[0010]顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖����。
[0011]圖1為本發(fā)明網(wǎng)絡(luò)結(jié)構(gòu)圖;
圖2為本發(fā)明實施例一流程圖A �;
圖3為本發(fā)明實施例一流程圖B。
【具體實施方式】
[0012]為使本發(fā)明的目的��、技術(shù)方案及優(yōu)點更加清楚明白��,以下將通過具體實施例和相關(guān)附圖�����,對本發(fā)明作進(jìn)一步詳細(xì)說明����。
[0013]實施例一
本發(fā)明實施例一提供了一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法,其特征在于�����,認(rèn)證服務(wù)器在鑒權(quán)數(shù)據(jù)庫中存儲已經(jīng)鑒權(quán)成功了的客戶端的識別序列號和地理位置,并以一定的時間周期�����,生成新的動態(tài)密鑰���,使用當(dāng)前通信密鑰對該新生成的動態(tài)密鑰進(jìn)行加密����,生成安全報文����,并向所有已經(jīng)鑒權(quán)成功了的客戶端廣播該安全報文�,然后將客戶端密鑰、服務(wù)器密鑰以及當(dāng)前動態(tài)密鑰相結(jié)合����,生成更新的當(dāng)前通信密鑰;已經(jīng)鑒權(quán)成功了的客戶端接收該安全報文�����,使用當(dāng)前通信密鑰對其進(jìn)行解密得到該新生成的動態(tài)密鑰,并將客戶端密鑰���、服務(wù)器密鑰以及當(dāng)前動態(tài)密鑰相結(jié)合����,生成更新的當(dāng)前通信密鑰���,使用當(dāng)前通信密鑰加密/解密數(shù)據(jù)�,與所述業(yè)務(wù)服務(wù)器進(jìn)行數(shù)據(jù)傳輸����;所述密鑰協(xié)商方法包括:
步驟202、向認(rèn)證服務(wù)器申請鑒權(quán)的所述第一客戶端對所述第一客戶端的識別序列號和地理位置以及鑒權(quán)所