基于自主安全交互协议的数据安全传输方法及系统与流程

本发明涉及数据传输技术，尤其涉及基于自主安全交互协议的数据安全传输方法及系统。

背景技术：

1、随着互联网的快速发展和广泛应用，数据安全传输已成为现代信息社会中一个至关重要的问题。在各种在线服务、电子商务、远程办公等场景中，需要在不同的设备和网络之间进行大量的数据交换和传输。然而，在开放的网络环境下，数据在传输过程中面临着各种安全威胁，如数据窃听、篡改、伪造等，严重威胁着用户的隐私和数据安全。

2、传统的数据安全传输方案主要依赖于加密技术，通过对数据进行加密来确保数据的机密性。然而，传统的加密技术存在一些局限性，如密钥管理复杂、计算开销较大、无法有效防止中间人攻击等。

技术实现思路

1、本发明实施例提供基于自主安全交互协议的数据安全传输方法及系统，能够解决现有技术中的问题。

2、本发明实施例的第一方面，

3、提供基于自主安全交互协议的数据安全传输方法，包括：

4、建立通信双方的身份认证模型，通过非对称加密算法生成通信双方对应的公钥和私钥，并通过可信第三方进行身份验证和密钥交换，获得通信双方的会话密钥；利用所述会话密钥，通过对称加密算法对通信双方待传输数据进行加密处理，生成加密数据包，同时基于所述加密数据包通过散列函数生成第一消息认证码；

5、将所述加密数据包与所述第一消息认证码进行拼接，构建完整加密消息，通过网络信道发送至可信第三方；可信第三方收到完整加密消息后，基于所述会话密钥通过对称加密算法对所述加密数据包进行解密，得到原始数据，同时基于所述原始数据通过散列函数生成所述原始数据对应的第二消息认证码；

6、将所述第一消息认证码与所述第二消息认证码进行两轮比对，若两轮比对均一致，则确认数据未被篡改，将原始数据传递至应用层进行后续处理；若两轮比对中任意一轮比对不一致，则触发安全措施。

7、在一种可选的实施方式中，

8、建立通信双方的身份认证模型，通过非对称加密算法生成通信双方对应的公钥和私钥，并通过可信第三方进行身份验证和密钥交换，获得通信双方的会话密钥包括：

9、通信双方基于椭圆曲线密码学算法，利用随机选择的椭圆曲线参数和基点，分别生成通信双方各自的公钥和私钥，私钥用于数据加密和会话密钥解密，公钥用于会话密钥加密；同时，通信双方将身份标识作为公钥的一部分，生成基于身份的公钥；

10、通信双方将基于身份的公钥和身份标识通过安全信道提交给可信第三方，可信第三方利用收到的身份标识，通过双向认证协议验证通信双方的真实身份，并检查提交的公钥与身份标识的匹配性；

11、身份认证通过后，可信第三方利用身份标识作为种子，通过密钥派生函数生成通信双方之间的会话密钥，并利用通信双方各自的公钥对会话密钥进行加密处理，生成加密的会话密钥。

12、在一种可选的实施方式中，

13、利用所述会话密钥，通过对称加密算法对通信双方待传输数据进行加密处理，生成加密数据包，同时基于所述加密数据包通过散列函数生成第一消息认证码包括：

14、利用所述会话密钥，基于对称加密算法对通信双方待传输数据进行填充处理，所述填充处理通过计算所述待传输数据的长度与预设分组长度的差值，根据所述差值确定所需填充的字节数，并在所述待传输数据的末尾添加所需填充的字节数，将填充后的待传输数据的长度扩展至所述预设分组长度的整数倍；

15、对填充后的待传输数据进行加密，通过利用所述会话密钥和随机生成的初始向量，基于对称加密算法生成与所述填充后的待传输数据等长的伪随机数序列，并将所述伪随机数序列与所述填充后的待传输数据进行异或运算，得到加密数据包，其中，所述初始向量是用于保证每次加密过程唯一性的随机值；

16、利用密钥派生函数，根据所述会话密钥生成内部密钥和外部密钥，将所述内部密钥与所述加密数据包进行拼接，得到第一拼接加密数据，对所述第一拼接加密数据进行第一次sha-256散列运算，得到第一散列值；

17、将所述外部密钥与所述第一散列值进行拼接，得到第二拼接加密数据，对所述第二拼接加密数据进行第二次sha-256散列运算，得到第二散列值，将所述第二散列值作为第一消息认证码。

18、在一种可选的实施方式中，

19、利用密钥派生函数，根据所述会话密钥生成内部密钥和外部密钥，将所述内部密钥与所述加密数据包进行拼接，得到第一拼接加密数据包括：

20、(kint,kext)＝kdf(ksession,ctxint,ctxext,lint,lext)；

21、其中，kint、kext分别表示内部密钥和外部密钥，kdf()表示密钥派生函数，ksession表示会话密钥，ctxint、ctxext分别表示内部密钥和外部密钥的上下文信息，lint、lext分别表示内部密钥和外部密钥的比特长度；

22、econcat1＝concat(kint,edata,padint,lint)；

23、其中，econcat1表示第一拼接加密数据，concat()表示拼接函数，kint表示内部密钥，edata表示加密数据包，padint、lint分别表示内部密钥的填充数据以及内部密钥的比特长度。

24、在一种可选的实施方式中，

25、可信第三方收到完整加密消息后，基于所述会话密钥通过对称加密算法对所述加密数据包进行解密，得到原始数据，同时基于所述原始数据通过散列函数生成所述原始数据对应的第二消息认证码包括：

26、所述可信第三方从所述完整加密消息中提取出加密数据包、初始向量、时间戳和随机数；利用密钥派生函数，根据所述会话密钥和所述随机数，动态生成主密钥；

27、利用所述主密钥和所述初始向量，基于aes-256算法的认证加密模式对所述加密数据包进行解密和完整性验证，得到原始数据；

28、基于所述原始数据通过所述散列函数生成所述原始数据对应的第二消息认证码。

29、在一种可选的实施方式中，

30、将所述第一消息认证码与所述第二消息认证码进行两轮比对，若两轮比对均一致，则确认数据未被篡改，将原始数据传递至应用层进行后续处理；若两轮比对中任意一轮比对不一致，则触发安全措施包括：

31、分别生成与所述第一消息认证码长度相同的第一随机掩码和生成与所述第二消息认证码长度相同的第二随机掩码，其中，所述第一随机掩码和所述第二随机掩码不同；

32、使用恒定时间比对函数对所述第一消息认证码和所述第二消息认证码通过逐位异或运算比较所述第一消息认证码和所述第二消息认证码的每一位，并累积异或结果，最终根据累积异或结果是否为零来判断所述第一消息认证码和所述第二消息认证码是否匹配；

33、若第一轮比对结果为不匹配，则终止比对过程，并触发安全措施；若第一轮比对结果为匹配，则继续执行第二轮比对；

34、基于预先选定的哈希函数分别对所述第一消息认证码和所述第二消息认证码进行哈希运算，确定所述第一消息认证码对应的第一哈希值和所述第二消息认证码对应的第二哈希值；

35、若所述第一哈希值和所述第二哈希值相匹配，则确认数据未被篡改，将原始数据传递至应用层进行后续处理。

36、本技术实施例的第二方面，

37、提供基于自主安全交互协议的数据安全传输系统，包括：

38、第一单元，用于建立通信双方的身份认证模型，通过非对称加密算法生成通信双方对应的公钥和私钥，并通过可信第三方进行身份验证和密钥交换，获得通信双方的会话密钥；利用所述会话密钥，通过对称加密算法对通信双方待传输数据进行加密处理，生成加密数据包，同时基于所述加密数据包通过散列函数生成第一消息认证码；

39、第二单元，用于将所述加密数据包与所述消息认证码进行拼接，构建完整加密消息，通过网络信道发送至可信第三方；可信第三方收到完整加密消息后，基于所述会话密钥通过对称加密算法对所述加密数据包进行解密，得到原始数据，同时基于所述原始数据通过散列函数生成所述原始数据对应的第二消息认证码；

40、第三单元，用于将所述第一消息认证码与所述第二消息认证码进行两轮比对，若两轮比对均一致，则确认数据未被篡改，将原始数据传递至应用层进行后续处理；若两轮比对中任意一轮比对不一致，则触发安全措施。

41、本发明实施例的第三方面，

42、提供一种电子设备，包括：

43、处理器；

44、用于存储处理器可执行指令的存储器；

45、其中，所述处理器被配置为调用所述存储器存储的指令，以执行前述所述的方法。

46、本发明实施例的第四方面，

47、提供一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现前述所述的方法。

48、通过建立通信双方的身份认证模型，利用非对称加密算法生成通信双方的公钥和私钥，并通过可信第三方进行身份验证和密钥交换，获得通信双方的会话密钥，确保了通信双方身份的真实性和数据传输的机密性。同时，使用对称加密算法对待传输数据进行加密处理，防止数据在传输过程中被窃听或篡改。

49、通过引入可信第三方参与身份认证和密钥交换过程，避免了通信双方直接交换密钥的风险，提高了身份认证和密钥管理的安全性。可信第三方作为中立方，对通信双方的身份进行验证，确保通信双方的合法性，防止身份伪造和中间人攻击。

50、本发明提出的数据安全传输方法具有较强的通用性和灵活性，能够适应不同的网络环境和应用场景。通过自主安全交互协议的设计，可以根据具体的安全需求和性能要求，动态调整安全参数和加密算法，实现自适应的数据安全传输。本发明采用了多种安全机制的组合，包括身份认证、数据加密、完整性验证等，提供了多层次的安全防护。通过对数据进行加密和消息认证码的生成，即使数据在传输过程中被截获，攻击者也难以获取原始数据的内容，同时通过消息认证码的验证，可以及时发现数据的篡改和破坏，触发相应的安全措施，最大限度地保护数据的机密性和完整性。