一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法
【技術(shù)領域】
[0001]本發(fā)明涉及通信網(wǎng)絡安全技術(shù)領域，尤其涉及一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法。
【背景技術(shù)】
[0002]隨著因特網(wǎng)業(yè)務的蓬勃發(fā)展和無線網(wǎng)絡的廣泛應用，移動用戶的安全性已經(jīng)對于無線系統(tǒng)提出了越來越多的要求:除了設備鑒權(quán)、用戶鑒權(quán)和服務授權(quán)等等，無線用戶與接入點(AP)或基站(BS)之間的安全通道的建立，保密信息的交換，以及BS和鑒權(quán)者(Authenticator)，鑒權(quán)者和鑒權(quán)服務器之間的保密通道，保密信息的交換等等都是以往在專用網(wǎng)絡中所不需要考慮而目前需要得到大量關注的問題了。
[0003]現(xiàn)有的解決服務器端、客戶端業(yè)務交互安全的方案包括靜態(tài)密鑰、動態(tài)密鑰等方式。
[0004]靜態(tài)密鑰一般是在客戶端、服務器端放置靜態(tài)密鑰，通信時雙方約定采用該密鑰進行加解密；動態(tài)密鑰方式則是開始使用明文傳輸密鑰，在通訊初期雙方動態(tài)約定密鑰，一般是服務端生成，明文傳送給客戶端，通信時雙方約定采用該密鑰進行加解密。
[0005]現(xiàn)有的靜態(tài)密鑰方式存在容易破解的風險，因為密鑰固定，使得密鑰被攻擊被破解的可能性大大增加，一旦密鑰破解，業(yè)務就存在被攻擊的風險。動態(tài)密鑰雖然動態(tài)變化，但由于初始期明文交互，容易被捕獲。
[0006]而且，由于認證服務器集中處理所有需要連接業(yè)務服務器的客戶端的認證請求，造成認證服務器負載太大，運行緩慢，導致用戶連接超時。

【發(fā)明內(nèi)容】

[0007]本發(fā)明提供了一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法，其特征在于，認證服務器在鑒權(quán)數(shù)據(jù)庫中存儲已經(jīng)鑒權(quán)成功了的客戶端的識別序列號和地理位置，并以一定的時間周期，生成新的動態(tài)密鑰，使用當前通信密鑰對該新生成的動態(tài)密鑰進行加密，生成安全報文，并向所有已經(jīng)鑒權(quán)成功了的客戶端廣播該安全報文，然后將客戶端密鑰、服務器密鑰以及當前動態(tài)密鑰相結(jié)合，生成更新的當前通信密鑰；已經(jīng)鑒權(quán)成功了的客戶端接收該安全報文，使用當前通信密鑰對其進行解密得到該新生成的動態(tài)密鑰，并將客戶端密鑰、服務器密鑰以及當前動態(tài)密鑰相結(jié)合，生成更新的當前通信密鑰，使用當前通信密鑰加密/解密數(shù)據(jù)，與所述業(yè)務服務器進行數(shù)據(jù)傳輸；所述密鑰協(xié)商方法包括:
步驟202、向認證服務器申請鑒權(quán)的所述第一客戶端對所述第一客戶端的識別序列號和地理位置以及鑒權(quán)所需的身份信息使用客戶端密鑰進行加密，得到鑒權(quán)請求報文，并向認證服務器發(fā)送鑒權(quán)請求報文；
步驟204、認證服務器使用客戶端密鑰對所述鑒權(quán)請求報文解密，得到所述第一客戶端的所述識別序列號和地理位置以及鑒權(quán)所需的身份信息，對第一客戶端進行鑒權(quán)，若鑒權(quán)通過，則進入步驟206 ;若鑒權(quán)失敗，則向所述第一客戶端發(fā)送鑒權(quán)失敗報文，進入步驟 232 ；
步驟206、認證服務器將第一客戶端的地理位置與所述鑒權(quán)數(shù)據(jù)庫存儲的已經(jīng)鑒權(quán)成功了的客戶端的地理位置相比較，找到離所述第一客戶端最近的第二客戶端，并得到兩者之間的距離；
步驟208、所述認證服務器將該距離與預設的閾值相比較，判斷所述距離是否小于閾值；若是，則進入步驟210 ;若否，進入步驟220 ；
步驟210、認證服務器對所述第一客戶端和第二客戶端的識別序列號使用當前通信密鑰進行加密，生成密鑰通知請求報文，并發(fā)送給所述第二客戶端；
步驟212、所述第二客戶端接收密鑰通知請求報文，用當前通信密鑰對其解密，得到第一客戶端和第二客戶端的識別序列號；
步驟214、所述第二客戶端建立與第一客戶端之間的近場通信連接，向第一客戶端發(fā)送當前動態(tài)密鑰；
步驟216、第一客戶端接收該動態(tài)密鑰，進行存儲，并將客戶端密鑰、服務器密鑰以及動態(tài)密鑰相結(jié)合，生成當前通信密鑰；
步驟218、所述第一客戶端與所述業(yè)務服務器間以所述當前通信密鑰加密/解密數(shù)據(jù)，進行數(shù)據(jù)傳輸，進入步驟232;
步驟220、所述認證服務器獲取所述鑒權(quán)數(shù)據(jù)庫中信用等級最高的第三客戶端；
步驟222、所述認證服務器對所述第一客戶端和第三客戶端的識別序列號使用當前通信密鑰進行加密，生成密鑰通知請求報文，并發(fā)送給所述第三客戶端；
步驟224、所述第三客戶端接收密鑰通知請求報文，用當前通信密鑰對其解密，得到第一客戶端和第三客戶端的識別序列號；
步驟226、所述第三客戶端對當前動態(tài)密鑰使用客戶端密鑰進行加密，生成密鑰通知響應報文，并發(fā)送給所述第一客戶端；
步驟228、第一客戶端接收該動態(tài)密鑰，進行存儲，并將客戶端密鑰、服務器密鑰以及動態(tài)密鑰相結(jié)合，生成當前通信密鑰；
步驟230、所述第一客戶端與所述業(yè)務服務器間以所述當前通信密鑰加密/解密數(shù)據(jù)，進行數(shù)據(jù)傳輸；
步驟232、密鑰協(xié)商過程結(jié)束。
[0008]與現(xiàn)有技術(shù)相比，采用本發(fā)明的數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法，具有以下優(yōu)點:
1.本發(fā)明中，通過客戶端密鑰、服務器密鑰、動態(tài)密鑰相結(jié)合的方式生成通信密鑰，使得通信過程中的數(shù)據(jù)加密性能更高，保證了數(shù)據(jù)安全；
2.本發(fā)明中，通過其他距離相近的客戶端以近場通信的方式傳遞動態(tài)密鑰，有效的保證了動態(tài)密鑰傳遞過程中的安全性，而通過信用等級高的客戶端來傳遞密鑰，則能保證動態(tài)密鑰的傳遞在認證服務器的信任水平之上進行；
3.本發(fā)明中通過客戶端來傳遞動態(tài)密鑰，減輕了認證服務器的負載，有利于認證服務器的平穩(wěn)運行；
4.本發(fā)明中通過周期性的變更動態(tài)密鑰，使得密鑰的使用更加的安全。
【附圖說明】
[0009]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹。
[0010]顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0011]圖1為本發(fā)明網(wǎng)絡結(jié)構(gòu)圖；
圖2為本發(fā)明實施例一流程圖A ；
圖3為本發(fā)明實施例一流程圖B。
【具體實施方式】
[0012]為使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下將通過具體實施例和相關附圖，對本發(fā)明作進一步詳細說明。
[0013]實施例一
本發(fā)明實施例一提供了一種數(shù)據(jù)加密傳輸?shù)拿荑€協(xié)商方法，其特征在于，認證服務器在鑒權(quán)數(shù)據(jù)庫中存儲已經(jīng)鑒權(quán)成功了的客戶端的識別序列號和地理位置，并以一定的時間周期，生成新的動態(tài)密鑰，使用當前通信密鑰對該新生成的動態(tài)密鑰進行加密，生成安全報文，并向所有已經(jīng)鑒權(quán)成功了的客戶端廣播該安全報文，然后將客戶端密鑰、服務器密鑰以及當前動態(tài)密鑰相結(jié)合，生成更新的當前通信密鑰；已經(jīng)鑒權(quán)成功了的客戶端接收該安全報文，使用當前通信密鑰對其進行解密得到該新生成的動態(tài)密鑰，并將客戶端密鑰、服務器密鑰以及當前動態(tài)密鑰相結(jié)合，生成更新的當前通信密鑰，使用當前通信密鑰加密/解密數(shù)據(jù)，與所述業(yè)務服務器進行數(shù)據(jù)傳輸；所述密鑰協(xié)商方法包括:
步驟202、向認證服務器申請鑒權(quán)的所述第一客戶端對所述第一客戶端的識別序列號和地理位置以及鑒權(quán)所