[发明专利]基于网关的数据安全传输方法

摘要

本发明涉及信息安全传输领域，其公开了一种基于网关的数据安全传输方法，在不改变现有架构，不影响现有业务的前提下，实现数据安全传输。本发明中，通过在业务服务器之前，家庭网络入口处部署安全网关实现安全传输；在进行数据传输时，首先协商终端侧安全网关和业务服务器侧安全网关的会话密钥，然后对发送数据包进行签名并添加发送时间信息后采用会话密钥加密发送给接收端，在签名时加入了传输时间；接收端收到数据包后采用会话密钥进行解密，对发送时间信息进行验证，验证通过后签名进行校验。

主权项

基于网关的数据安全传输方法，其特征在于，应用于包括终端侧安全网关、业务服务器侧安全网关、时间服务器和CA服务器的数据安全传输系统中；所述终端侧安全网关和业务服务器侧安全网关中均设置有CA服务器颁发的用作身份唯一标识的证书，且均支持对称加密算法、非对称加密算法和单项哈希算法；该方法包括以下步骤：a.终端侧安全网关与服务器侧安全网关之间建立会话密钥；b.终端或服务器端作为发送端在发送http协议包时的处理步骤包括b1‑b4：b1.从时间服务器获得当前的时间值，然后以头部字段名time，值为获取的当前时间值的格式写入http协议的头部，记为HTTPAT；b2.对HTTPAT使用单项哈希函数生成hashA值；b3.使用发送端私钥对hashA进行加密，生成enhashA，然后以头部字段名sign，值为enhashA的格式写入http协议的头部，记为HTTPAS；b4.采用步骤a中建立的会话密钥对HTTPAS进行加密生成HTTPAD，然后发送给接收端；c.服务器端或终端作为接收端在接收http协议包时的处理步骤包括c1‑c7：c1.使用会话密钥解密HTTPAD，得到HTTPAS；c2.从HTTPAS的头信息中获得发送端的发送时间值；c3.从时间服务器获取当前时间并与发送端的发送时间值进行比较，判断差值是否在阈值范围内，若是，则进入步骤c4,否则，丢弃数据包，断开连接；c4.将发送端的公钥和发送时间进行拼接，以此判断数据包是否已经被接收端存储，如果是，则丢弃该数据包，断开连接；否则，对该数据包进行存储，进入步骤c5；c5.从HTTPAS的头信息中删除头部字段名为sign，值为enhashA的部分，获得HTTPAT；然后使用发送端公钥解密得到hashA；c6.对HTTPAT使用单项哈希函数生成hashA′值；c7.比较hashA′和步骤c5中的hashA，如果相等，则安全传输已完成；否则，丢弃数据包，断开连接。