專利名稱:保護信息傳輸安全的方法、發(fā)送端、接收端及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡技術領域,尤其涉及一種保護信息傳輸安全的方法、發(fā)送端、接收端及系統(tǒng)。
背景技術:
隨著網(wǎng)絡技術的發(fā)展,網(wǎng)絡系統(tǒng)中各個設備之間的信息傳輸?shù)念l率和數(shù)據(jù)量急劇上升,傳輸線路上的中間設備(如網(wǎng)關、路由器等)逐漸增多,這就導致所傳輸?shù)男畔?請求消息、應答消息等)很容易被攻擊者或惡意軟件截獲,使攻擊者可以通過各種方式偽造發(fā)送端請求信息,從而盜用接收端中的用戶信息,給用戶造成損失。例如許多網(wǎng)絡設備都使用SOAP (Simple Object Access Protocol,簡單對象訪問協(xié)議)協(xié)議進行信息交互,但是,許多使用SOAP協(xié)議的系統(tǒng)是將系統(tǒng)所在的網(wǎng)絡假象為一個安全的網(wǎng)絡在進行設計的,所以一些網(wǎng)絡設備采用可信任方式訪問,或者只是在傳遞的信息中簡單添加了用戶賬號和密碼,這就使得攻擊者和很容易就能在網(wǎng)關或路由器上截獲并破解所傳輸?shù)男畔ⅰ榱吮WC信息傳輸?shù)陌踩?,可以對傳輸?shù)男畔⑦M行復雜加密,具體加密過程包括發(fā)送端接收接收端發(fā)送的挑戰(zhàn)碼(即挑戰(zhàn)口令,一般指一組加密口令,用于在信息傳輸過程中保證用戶的真實密碼不被泄露。),并使用接收到的挑戰(zhàn)碼以及其他參數(shù)生成認證碼,再將包含認證碼的需要傳輸?shù)男畔l(fā)送至接收端,以便于接收端根據(jù)認證碼確定發(fā)送端所發(fā)來的信息的是否是合法用戶發(fā)送的。上述加密過程由于使用了較復雜的加密算法,因此,能夠增加信息傳輸?shù)陌踩?。為了實現(xiàn)上述加密過程,需要通過擴展協(xié)議來發(fā)送端和接收端之間挑戰(zhàn)碼的傳輸。例如采用 SOAP Extensions Digest Authentication ( 一種 SOAP 擴展協(xié)議)進行數(shù)據(jù)傳輸?shù)陌l(fā)送端可以對所傳輸?shù)臄?shù)據(jù)進行上述的加密過程。而使用擴展協(xié)議(如SOAP Extensions Digest Authentication)往往需要對網(wǎng)絡系統(tǒng)中使用原有協(xié)議的設備進行相應的改造,比如使用SOAP協(xié)議的發(fā)送端一般采用axis (Apache Extensible Interaction System,阿帕奇可擴展交互系統(tǒng))引擎來封裝協(xié)議層的消息,但axis引擎是針對原來的SOAP協(xié)議的協(xié)議框架以及信息格式設計的,不能支持如SOAP Extensions Digest Authentication等SOAP的擴展協(xié)議,如果想要使該發(fā)送端能夠支持擴展協(xié)議,就需要將axis引擎改造成能夠支持擴展協(xié)議的引擎,或?qū)xis引擎更換為其他能夠支持擴展協(xié)議的引擎,以實現(xiàn)加密過程中發(fā)送端和接收端之間的挑戰(zhàn)碼的傳輸。相應的,為了使信息能夠順利傳輸,系統(tǒng)中的接收端、信息接口等也需要進行聯(lián)動的改造。
通過使用擴展協(xié)議進行信息加密,需要對網(wǎng)絡系統(tǒng)中的各個設備進行相應的改造,然而在實際應用中設備數(shù)量較多,導致改造費用較高,使得加強信息安全所需的成本較聞
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種保護信息傳輸安全的方法、發(fā)送端、接收端及系統(tǒng),能夠?qū)崿F(xiàn)發(fā)送端自動生成挑戰(zhàn)字,在保證相同的安全性的同時可以避免使用擴展協(xié)議,從而避免了設備的改造,降低了加強信息安全所需的成本。為達到上述目的,本發(fā)明的實施例采用如下技術方案—種保護信息傳輸安全的方法,由發(fā)送端執(zhí)行,包括根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼;
根據(jù)所述挑戰(zhàn)碼、用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成發(fā)送端認證碼,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶,所述用戶身份認證憑證用于鑒別所述用戶身份標識的合法性;將攜帶了所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識的消息發(fā)送至接收端,以便于所述接收端根據(jù)所述挑戰(zhàn)碼和所述用戶身份標識重新生成認證碼,并通過比對重新生成的認證碼與所述發(fā)送端認證碼是否相同確認消息的安全性?!N保護信息傳輸安全的方法,由接收端端執(zhí)行,包括接收所述發(fā)送端發(fā)送的攜帶了所述發(fā)送端認證碼和所述挑戰(zhàn)碼、所述用戶身份標識的消息,所述挑戰(zhàn)碼為所述發(fā)送端根據(jù)所述發(fā)送端當前的時間信息生成的,所述發(fā)送端認證碼為所述發(fā)送端根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成的,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶;根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性。一種發(fā)送端,包括挑戰(zhàn)碼生成模塊,用于根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼;發(fā)送端認證碼生成模塊,用于根據(jù)所述挑戰(zhàn)碼、用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成發(fā)送端認證碼,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶,所述用戶身份認證憑證用于鑒別所述用戶身份標識的合法性;發(fā)送模塊,將攜帶了所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識的消息發(fā)送至接收端,以便于所述接收端根據(jù)所述挑戰(zhàn)碼和所述用戶身份標識重新生成認證碼,并通過比對重新生成的認證碼與所述發(fā)送端認證碼是否相同確認消息的安全性。一種接收端,包括接收模塊,用于接收所述發(fā)送端發(fā)送的攜帶了所述發(fā)送端認證碼和所述挑戰(zhàn)碼、所述用戶身份標識的消息,所述挑戰(zhàn)碼為所述發(fā)送端根據(jù)所述發(fā)送端當前的時間信息生成的,所述發(fā)送端認證碼為所述發(fā)送端根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成的,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶,所述用戶身份認證憑證包括用于鑒別所述用戶身份標識合法性的密碼、數(shù)字證書;驗證模塊,用于根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性。一種保護信息傳輸安全的系統(tǒng),包括了上述的發(fā)送端和接收端。本發(fā)明實施例提供的保護信息傳輸安全的方法、發(fā)送端、接收端及系統(tǒng),發(fā)送端獨立生成挑戰(zhàn)碼,再根據(jù)挑戰(zhàn)碼生成認證碼,即發(fā)送端在生成認證碼過程中不需要接收接收端發(fā)送的挑戰(zhàn)碼,使得整個數(shù)據(jù)加密以及傳輸?shù)倪^程符合現(xiàn)有數(shù)據(jù)傳輸協(xié)議的規(guī)定,可以避免使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行改造。本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。
為了更清楚地說明本發(fā)明實施例中的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲取其它的附圖。圖I為本發(fā)明實施例I提供的一種保護信息傳輸安全的方法流程圖;
圖2a為本發(fā)明實施例2提供的一種保護信息傳輸安全的方法流程圖;圖2b為本發(fā)明實施例2提供的一種保護信息傳輸安全的方法流程圖;圖3為本發(fā)明實施例3提供的一種發(fā)送端的示意圖;圖4a為本發(fā)明實施例4提供的一種接收端的示意圖;圖4b為本發(fā)明實施例4提供的一種接收端的示意圖;圖5為本發(fā)明實施例5提供的一種保護信息傳輸安全的系統(tǒng)的結構示意圖。
具體實施例方式下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲取的所有其它實施例,都屬于本發(fā)明保護的范圍。為使本發(fā)明技術方案的優(yōu)點更加清楚,下面結合附圖和實施例對本發(fā)明作詳細說明。實施例I本發(fā)明實施例提供一種保護信息傳輸安全的方法,如圖I所示,該方法包括步驟101,根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼。具體的,在本實施例中,發(fā)送端可以根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼,例如挑戰(zhàn)碼的格式為{ClientTime: salt},其中ClientTime為時間信息對應發(fā)送端的當前時間,可選的,挑戰(zhàn)碼中還可以包括salt,salt為一個序號、隨機數(shù)或隨機字符串,增加salt可以提高挑戰(zhàn)碼的復雜程度,從而提高根據(jù)挑戰(zhàn)碼所生成的認證碼時加密的復雜程度,進一步提高了加密的安全性。其中,發(fā)送端可以為系統(tǒng)中用于發(fā)送信息的發(fā)送端接收端、個人電腦、手機等具備信息傳輸功能的設備。具體的,在本實施例中,作為執(zhí)行主體的發(fā)送端可以是終端、接收端等與接收端存在數(shù)據(jù)傳輸關系且在本發(fā)明所對應的方法流程中用于發(fā)送信息至接收端的設備。步驟102,根據(jù)所述挑戰(zhàn)碼、用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成發(fā)送端認證碼。其中,用戶身份標識用于識別當前使用發(fā)送端的用戶,用戶身份認證憑證包括用于鑒別用戶身份標識合法性的密碼、數(shù)字證書。
具體的,在本實施例中,發(fā)送端所獲取的用戶身份標識可以為使用發(fā)送端的用戶的賬號或發(fā)送端所配置的管理員賬號;用戶身份認證憑證可以是對應于具體用戶的賬號或管理員賬號的密碼或數(shù)字證書。獲取用戶身份標識和用戶身份認證憑證的具體方式可以由用戶輸入或是由發(fā)送端從自身的儲存設備中自動獲取,也可以是其他獲取方式,在此不作限定。進一步的,發(fā)送端生成認證碼可以遵循已有的加密算法。而參與加密計算的參數(shù)即為發(fā)送端所獲取的用戶身份標識、用戶身份認證憑證和挑戰(zhàn)碼。例如發(fā)送端可以對挑戰(zhàn)碼、用戶身份標識、用戶身份認證憑證等信息的組合字符串按照MD5 (Message DigestAlgorithm MD5,消息摘要算法第五版)算法生成認證碼。其中,參與加密計算的參數(shù)可以不只限于此,諸如認證域,發(fā)送端設備標 識等本領域技術人員所熟知的消息或信息也可以被用于參與加密計算以生成認證碼。并且所有參與加密計算的的消息或信息需要由消息攜帶并發(fā)送至接收端,使接收端能夠根據(jù)與發(fā)送端相同的參數(shù)再次生成認證碼,并根據(jù)再次生成的認證碼和發(fā)送端認證碼確定消息的安全性。步驟103,將攜帶了所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識的消息發(fā)送至接收端。其中,發(fā)送端發(fā)送至接收端的消息中還攜帶了發(fā)送端生成挑戰(zhàn)碼所依據(jù)的時間信
肩、O具體的,在本實施例中,若發(fā)送端生成認證碼時參與加密計算的參數(shù)還包括了除用戶身份標識和挑戰(zhàn)碼以外的其他消息或信息,則消息中還應攜帶這些消息或信息,以便于接收端能夠根據(jù)與發(fā)送端相同的參數(shù)并通過相同的加密算法再次生成認證碼。具體的,在本實施例中,消息攜帶發(fā)送端認證碼、挑戰(zhàn)碼和所述用戶身份標識的具體方式可以有多種,例如在采用SOAP協(xié)議進行數(shù)據(jù)傳輸?shù)陌l(fā)送端中,終端設備可以在待傳輸請求消息的頭單元或消息體中添加認證碼所對應的字段信息,比如SOAPHeaderElement (SOAP頭單元)攜帶認證碼的字段信息。具體可以用多個子單元(使用addChildElement方法實現(xiàn))分別攜帶以上字段信息,也可以用一個字段組合認證碼的字段信息SOAPHeaderElement soapHeader = new APHeaderElement(" MessageHeader")
SOAPElement ele = cpHeader. addChildElement(" Authorization");
ele.addTextNode("Digest user="+userID Value + ",clientDeviceld=" +clientDeviceld—Value + ",none=" + none—Value + " ,Digest-AuthCode=" +
Digest-AuthCodeValue);上述代碼中,線框內(nèi)的部分即為認證碼的字段信息。再例如在根據(jù)SOAP協(xié)議傳輸請求消息的發(fā)送端通常采用類似交易流水號(transactionID)的字符串字段來做發(fā)送端請求唯一標識。在此情況下,可以通過對交易流水號做適當?shù)母袷秸{(diào)整來攜帶認證信息,比如調(diào)整后的格式為[serld:]ClientDeviceID:ClientTime:Salt:Digest-AuthCode 其中,Digest-AuthCode 表不認證碼,從而使的隨請求消息一起傳輸?shù)慕灰琢魉枖y帶了認證碼。本實施例提供的保護信息傳輸安全的方法,發(fā)送端獨立生成挑戰(zhàn)碼,再根據(jù)挑戰(zhàn)碼生成認證碼,使生成認證碼過程中不需要接收接收端發(fā)送的挑戰(zhàn)碼,即不存在挑戰(zhàn)碼在發(fā)送端與接收端之間的傳輸過程。這個傳輸過程符合原有數(shù)據(jù)傳輸協(xié)議所涉及的數(shù)據(jù)傳輸流程,即發(fā)送端與接收端之間只存在消息的傳輸,例如原有的SOAP協(xié)議所涉及的數(shù)據(jù)傳輸流程支持發(fā)送端與接收端之間請求消息和應答消息的傳輸,但是若要由接收端向發(fā)送端傳輸挑戰(zhàn)碼,貝1J需要使用SOAP Extensions Digest Authentication。而本發(fā)明的發(fā)送端能 夠獨立生成挑戰(zhàn)碼,免去了接收端向發(fā)送端傳輸挑戰(zhàn)碼這一步驟,使得發(fā)送端與接收端只需要傳輸請求消息和應答消息,這就使本發(fā)明所涉及的發(fā)送端與接收端之間的傳輸過程符合原有的SOAP協(xié)議,從而不需使用SOAP Extensions Digest Authentication。由于避免了使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行改造。與現(xiàn)有技術相比,本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。實施例2本發(fā)明實施例提供一種保護信息傳輸安全的方法,如圖2a所示,該方法包括步驟201,接收所述發(fā)送端發(fā)送的攜帶了所述發(fā)送端認證碼和所述挑戰(zhàn)碼、所述用戶身份標識的消息。其中,挑戰(zhàn)碼為發(fā)送端根據(jù)發(fā)送端當前的時間信息生成的,發(fā)送端認證碼為發(fā)送端根據(jù)挑戰(zhàn)碼、用戶身份標識和發(fā)送端保存的用戶身份認證憑證,用戶身份標識用于識別當前使用發(fā)送端的用戶,用戶身份認證憑證包括用于鑒別用戶身份標識合法性的密碼、數(shù)字證書。 具體的,在本實施例中,作為執(zhí)行主體的接收端可以是終端、接收端、交換機、網(wǎng)關設備、路由器等與發(fā)送端存在數(shù)據(jù)傳輸關系且在本發(fā)明所對應的方法流程中用于接收發(fā)送端所發(fā)信息的設備。步驟202,根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性。實施例提供的保護信息傳輸安全的方法,接收端能夠根據(jù)認證碼對消息進行驗證以確認所傳輸數(shù)據(jù)的安全性,并且在接收端接收發(fā)送端發(fā)送的消息之前不需向發(fā)送端發(fā)送挑戰(zhàn)碼。其中,整個數(shù)據(jù)加密以及傳輸?shù)倪^程符合現(xiàn)有數(shù)據(jù)傳輸協(xié)議的規(guī)定,不需要使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行的改造。與現(xiàn)有技術相比,本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。進一步可選的,如圖2b所示,本發(fā)明實施例提供的保護信息傳輸安全的方法,在接收端執(zhí)行步驟202之前,還包括了步驟203所對應的方法流程,并且步驟202包括了步驟2021至步驟2028所對應的方法流程。步驟203,記錄接收到所述消息時的時間。
具體的,在本實施例中,接收端在接收消息時,記錄接收端當前的時間。步驟2021,檢測所述當前時間和所述時間信息所對應的時間的差值是否小于等于
預設值。具體的,在本實施例中,接收端在在接收了所述消息后,獲取所記錄的接收到消息時的當前時間與消息中所包含的時間信息所對應的時間的差值,并檢測所獲取的差值是否小于等于預設值。在實際應用中,預設值可以為發(fā)送端和接收端之間所允許的系統(tǒng)時間偏差,時間的差值即為發(fā)送端和接收端之間的數(shù)據(jù)傳輸?shù)难訒r,并且預設值可以由系統(tǒng)中的相應設備或工作人員根據(jù)系統(tǒng)的具體運行情況通過已有技術手段進行調(diào)整。例如所傳輸?shù)臄?shù)據(jù)被攻擊者截獲并被作為偽造的數(shù)據(jù)再次 發(fā)送至接收端的過程中,所造成的數(shù)據(jù)傳輸?shù)难訒r會遠遠大于系統(tǒng)中正常的延時(即所允許的系統(tǒng)時間偏差),接收端對數(shù)據(jù)傳輸?shù)难訒r(即時間的差值)進行檢測,當延時大于預設值時,說明所接收的消息有可能是偽造的數(shù)據(jù),此時接收端將不會針對所接收的消息做進一步處理,從而增強了信息傳輸?shù)陌踩?。步驟2022,若所述差值小于等于預設值,則檢測接收端中是否存在與所述發(fā)送端發(fā)送的所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼。其中,若接收端獲知存在相同的挑戰(zhàn)碼,則說明所接收的消息有可能是挑戰(zhàn)字被截獲后所偽造的數(shù)據(jù),此時接收端將不會針對所接收的消息做進一步處理,從而增強了信息傳輸?shù)陌踩浴2襟E2023,當不存在與發(fā)送端發(fā)送的消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼時,將所述消息中的挑戰(zhàn)碼保存在所述接收端。具體的,在本實施例中,當不存在與所述發(fā)送端發(fā)送的所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼時,接收端將消息中的挑戰(zhàn)碼保存在自身的儲存器中,以便于在下次接收到攜帶挑戰(zhàn)碼的信息時再次進行相同的檢測。上述過程可以使每個挑戰(zhàn)碼不具備可重復性,當所傳輸?shù)男畔⒈唤孬@并被作為偽造的數(shù)據(jù)時,由于其中的挑戰(zhàn)碼已經(jīng)被使用過,接收端就不會對偽造的數(shù)據(jù)進行進一步的處理,從而增強了信息傳輸?shù)陌踩浴2襟E2024,當接收端中不存在與所述發(fā)送端發(fā)送的所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼時,根據(jù)所述用戶身份標識獲取所述接收端保存的用戶身份認證憑證。具體的,在本實施例中,接收端中儲存了與用戶身份標識相對應的用戶身份認證憑證,即接收端中儲存了用于鑒別用戶身份標識合法性的密碼、數(shù)字證書等信息。其中,步驟2023與步驟2024可以同時執(zhí)行,也可以按照一定先后順序執(zhí)行,在此不作限定。步驟2025,根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述接收端保存的用戶身份認證憑證生成接收端認證碼。具體的,在本實施例中,接收端按照與發(fā)送端生成認證碼時相同的加密算法再次生成認證碼,而參與加密計算的參數(shù)即為所接收到的消息中的用戶身份標識、挑戰(zhàn)碼和接收端保存的用戶身份認證憑證。進一步的,若消息中還包括諸如認證域,發(fā)送端設備標識等本領域技術人員所熟知的消息或信息,并且這些消息或信息已被發(fā)送端用于加密算法中,則接收端再次生成認證碼時也需要采用與發(fā)送端完全相同的消息或信息,例如發(fā)送端中參與加密計算的參數(shù)為用戶身份標識、用戶身份認證憑證、挑戰(zhàn)碼和認證域,則接收端中參與加密計算的參數(shù)應該為用戶身份標識、用戶身份認證憑證、挑戰(zhàn)碼和認證域,其中接收端中的用戶身份標識、挑戰(zhàn)碼和認證域都是由接收端從發(fā)送端所發(fā)送的消息中獲取的。步驟2026,檢測所述接收端認證碼與所述發(fā)送端認證碼是否相同。步驟2027,若所述接收端認證碼與所述發(fā)送端認證碼相同,則發(fā)送認證確認信息至所述發(fā)送端。
具體的,在本實施例中,接收端在發(fā)送認證確認信息至所述發(fā)送端后繼續(xù)對接收到的消息進行進一步處理。例如在現(xiàn)有的使用SOAP協(xié)議的系統(tǒng)中,發(fā)送端向接收端發(fā)送請求消息,該請求消息用于向接收端請求數(shù)據(jù)訪問的權限,接收端在驗證了該請求消息是安全的之后,發(fā)送認證確認信息至發(fā)送端,并且可以進一步向發(fā)送端發(fā)送擁有數(shù)據(jù)訪問權限的授權證書或通行證,以便于發(fā)送端獲取請求數(shù)據(jù)訪問的權限。步驟2028,若所述接收端認證碼與所述發(fā)送端認證碼不相同,或者所述接收端中存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼,或者所述差值大于預設值,則發(fā)送認證失敗信息至所述發(fā)送端。具體的,在本實施例中,對于接收端認證碼與發(fā)送端認證碼不相同,或者接收端中存在與消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼,或者差值大于預設值,這三種情況發(fā)生其中任意一種時,接收端發(fā)送認證失敗信息至所述發(fā)送端。同理,若消息中還包含了其他的技術人員所熟知的消息或信息,且這些消息或信息也被接收端用于判斷消息的安全性時,并且所有消息或信息所對應的判斷結果中的任意一種不符合滿足消息安全的結果,則接收端發(fā)送認證失敗信息至所述發(fā)送端。例如消息中還包含了發(fā)送端的設備標識,每個設備標識只對應一個發(fā)送端,由于每個發(fā)送端在一定時間內(nèi)會多次向接收端發(fā)送信息,即接收端在一定時間內(nèi)會收到來自同一個接收端的多個挑戰(zhàn)字,接收端根據(jù)設備標識即可獲得唯一的一個發(fā)送端在一定時間內(nèi)所發(fā)送的所有挑戰(zhàn)字,接收端在步驟2024所對應的流程中只需在同一個發(fā)送端所發(fā)送的挑戰(zhàn)字中進行查重,從而減少了所要檢測的挑戰(zhàn)字的數(shù)量。實施例提供的保護信息傳輸安全的方法,接收端能夠根據(jù)消息中的挑戰(zhàn)碼和其他消息或信息再次生成認證碼,并通過再次生成的認證碼和發(fā)送端所發(fā)送的認證碼驗證消息的安全性,還能夠通過其他消息或信息驗證消息的安全性。其中,整個數(shù)據(jù)傳輸?shù)倪^程符合現(xiàn)有數(shù)據(jù)傳輸協(xié)議的規(guī)定,不需要使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行的改造。與現(xiàn)有技術相比,本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。實施例3本發(fā)明實施例提供一種發(fā)送端,如圖3所示,包括挑戰(zhàn)碼生成模塊31,用于根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼。發(fā)送端認證碼生成模塊32,用于根據(jù)所述挑戰(zhàn)碼、用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成發(fā)送端認證碼。其中,用戶身份標識用于識別當前使用發(fā)送端的用戶,用戶身份認證憑證包括用于鑒別用戶身份標識合法性的密碼、數(shù)字證書。發(fā)送模塊33,用于將攜帶了所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識的消息發(fā)送至接收端,以便于所述接收端根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性。其中,由發(fā)送模塊發(fā)送至接收端的消息中還攜帶了發(fā)送端生成所述發(fā)送端認證碼所依據(jù)的時間信息。實施例提供的發(fā)送端,發(fā)送端通過第一認證碼生成模塊能夠在生成認證碼的過程中不需要接收接收端發(fā)送的挑戰(zhàn)碼,并能夠通過發(fā)送模塊向接收端發(fā)送攜帶認證碼的消息,使接收端根據(jù)認證碼對消息進行驗證以確認所傳輸數(shù)據(jù)的安全性。其中,整個數(shù)據(jù)加密以及傳輸?shù)倪^程符合現(xiàn)有數(shù)據(jù)傳輸協(xié)議的規(guī)定,不需要使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行的改造。與現(xiàn)有技術相比,本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中 因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。實施例4本發(fā)明實施例提供一種接收端,如圖4a所示,包括接收模塊41,,用于接收所述發(fā)送端發(fā)送的攜帶了所述發(fā)送端認證碼和所述挑戰(zhàn)碼、所述用戶身份標識的消息。其中,挑戰(zhàn)碼為發(fā)送端根據(jù)發(fā)送端當前的時間信息生成的,發(fā)送端認證碼為發(fā)送端根據(jù)挑戰(zhàn)碼、用戶身份標識和發(fā)送端保存的用戶身份認證憑證,用戶身份標識用于識別當前使用發(fā)送端的用戶,用戶身份認證憑證包括用于鑒別用戶身份標識合法性的密碼、數(shù)字證書。驗證模塊42,用于根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性。實施例提供的接收端,能夠通過驗證模塊根據(jù)認證碼對消息進行驗證以確認所傳輸數(shù)據(jù)的安全性,并且在接收端接收發(fā)送端發(fā)送的消息之前不需向發(fā)送端發(fā)送挑戰(zhàn)碼。其中,整個數(shù)據(jù)加密以及傳輸?shù)倪^程符合現(xiàn)有數(shù)據(jù)傳輸協(xié)議的規(guī)定,不需要使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行的改造。與現(xiàn)有技術相比,本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。進一步可選的,如圖4b所示,本發(fā)明實施例提供的接收端還包括時間獲取模塊43,用于記錄接收到所述消息時的時間。所述驗證模塊42所接收的消息中還包括所述發(fā)送端生成所述發(fā)送端認證碼所依據(jù)的時間信息,所述驗證模塊42還包括時間驗證單元421,用于檢測所述當前時間和所述時間信息所對應的時間的差值是否小于等于預設值。挑戰(zhàn)碼驗證單元422,用于若所述差值小于等于預設值,則檢測所述接收端中是否存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼。儲存單元423,用于當所述接收端中不存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼時,將所述消息中的挑戰(zhàn)碼保存在所述接收端。用戶身份認證憑證獲取單元424,用于當所述接收端中不存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼時,根據(jù)所述用戶身份標識獲取所述接收端保存的用戶身份認證憑證。
接收端認證碼生成單元425,用于根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述接收端保存的用戶身份認證憑證生成接收端認證碼。認證碼驗證單元426,用于檢測所述接收端認證碼與所述發(fā)送端認證碼是否相同。
認證確認信息發(fā)送單元427,用于若所述接收端認證碼與所述發(fā)送端認證碼相同,則發(fā)送認證確認信息至所述發(fā)送端。認證失敗信息發(fā)送單元428,用于若所述接收端認證碼與所述發(fā)送端認證碼不相同,或者所述接收端中存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼,或者所述差值大于預設值,則發(fā)送認證失敗信息至所述發(fā)送端。實施例提供的接收端,能夠通過時間驗證單元和挑戰(zhàn)碼驗證單元驗證其他消息或信息驗證消息的安全性。其中,整個數(shù)據(jù)加密的過程符合現(xiàn)有數(shù)據(jù)傳輸協(xié)議的規(guī)定,不需要使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行的改造。與現(xiàn)有技術相比,本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。實施例5本發(fā)明實施例提供一種保護信息傳輸安全的系統(tǒng),如圖5所示,該方法包括實施例3所述的發(fā)送端,和實施例4所述的接收端。實施例提供的保護信息傳輸安全的系統(tǒng),發(fā)送端能夠在生成認證碼的過程中不需要接收接收端發(fā)送的挑戰(zhàn)碼,并能夠向接收端發(fā)送攜帶認證碼的消息,使接收端根據(jù)認證碼對消息進行驗證以確認所傳輸數(shù)據(jù)的安全性。其中,整個數(shù)據(jù)加密以及傳輸?shù)倪^程符合現(xiàn)有數(shù)據(jù)傳輸協(xié)議的規(guī)定,不需要使用擴展協(xié)議,因此系統(tǒng)中的設備不需要進行的改造。與現(xiàn)有技術相比,本發(fā)明實施例能夠在不改造系統(tǒng)中各個網(wǎng)絡設備的情況下保證信息傳輸安全性,節(jié)省了現(xiàn)有技術中因改造網(wǎng)絡設備所需的費用,從而降低了加強信息安全所需的成本。本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random AccessMemory, RAM)等。以上所述,僅為本發(fā)明的具體實施方式
,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi),可輕易想到的變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應該以權利要求的保護范圍為準。
權利要求
1.一種保護信息傳輸安全的方法,其特征在于,所述方法包括 根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼; 根據(jù)所述挑戰(zhàn)碼、用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成發(fā)送端認證碼,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶,所述用戶身份認證憑證用于鑒別所述用戶身份標識的合法性; 將攜帶了所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識的消息發(fā)送至接收端,以便于所述接收端根據(jù)所述挑戰(zhàn)碼和所述用戶身份標識重新生成認證碼,并通過比對重新生成的認證碼與所述發(fā)送端認證碼是否相同確認消息的安全性。
2.根據(jù)權利要求I所述的保護信息傳輸安全的方法,其特征在于,所述用戶身份認證憑證包括用于鑒別所述用戶身份標識合法性的密碼、數(shù)字證書。
3.根據(jù)權利要求I所述的保護信息傳輸安全的方法,其特征在于,發(fā)送至所述接收端的消息中還攜帶了所述時間信息,以便于所述接收端檢測所述時間信息所對應的時間與所述接收端接收到所述消息時的時間的差值是否小于等于預設值。
4.一種保護信息傳輸安全的方法,其特征在于,所述方法包括 接收所述發(fā)送端發(fā)送的攜帶了所述發(fā)送端認證碼和所述挑戰(zhàn)碼、所述用戶身份標識的消息,所述挑戰(zhàn)碼為所述發(fā)送端根據(jù)所述發(fā)送端當前的時間信息生成的,所述發(fā)送端認證碼為所述發(fā)送端根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成的,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶; 根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性。
5.根據(jù)權利要求4所述的保護信息傳輸安全的方法,其特征在于,所述根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性包括 根據(jù)所述用戶身份標識獲取所述接收端保存的用戶身份認證憑證; 根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述接收端保存的用戶身份認證憑證生成接收端認證碼; 檢測所述接收端認證碼與所述發(fā)送端認證碼是否相同; 若所述接收端認證碼與所述發(fā)送端認證碼相同,則發(fā)送認證確認信息至所述發(fā)送端。
6.根據(jù)權利要求4所述的保護信息傳輸安全的方法,其特征在于,所述消息中還包括所述發(fā)送端生成所述發(fā)送端認證碼所依據(jù)的時間信息,在根據(jù)所述用戶身份標識獲取所述接收端保存的用戶身份認證憑證之前,所述方法還包括 記錄接收到所述消息時的時間; 檢測所述當前時間和所述時間信息所對應的時間的差值是否小于等于預設值; 若所述差值小于等于預設值,則檢測所述接收端中是否存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼; 當所述接收端中不存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼時,將所述消息中的挑戰(zhàn)碼保存在所述接收端。
7.根據(jù)權利要求5或6所述的保護信息傳輸安全的方法,其特征在于,還包括 若所述接收端認證碼與所述發(fā)送端認證碼不相同,或者所述接收端中存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼,或者所述差值大于預設值,以上三種情況,說明所述消息已被截獲或是被偽造的消息,所述消息不安全,所述消息不安全,則發(fā)送認證失敗信息至所述發(fā)送端。
8.—種發(fā)送端,其特征在于,包括 挑戰(zhàn)碼生成模塊,用于根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼; 發(fā)送端認證碼生成模塊,用于根據(jù)所述挑戰(zhàn)碼、用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成發(fā)送端認證碼,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶,所述用戶身份認證憑證用于鑒別所述用戶身份標識的合法性; 發(fā)送模塊,將攜帶了所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識的消息發(fā)送至接收端,以便于所述接收端根據(jù)所述挑戰(zhàn)碼和所述用戶身份標識重新生成認證碼,并通過比對重新生成的認證碼與所述發(fā)送端認證碼是否相同確認消息的安全性。
9.根據(jù)權利要求8所述的發(fā)送端,其特征在于,所述用戶身份認證憑證包括用于鑒別所述用戶身份標識合法性的密碼、數(shù)字證書。
10.根據(jù)權利要求8所述的發(fā)送端,其特征在于,由所述發(fā)送模塊發(fā)送至所述接收端的消息中還攜帶了所述時間信息,以便于所述接收端檢測所述時間信息所對應的時間與所述接收端接收到所述消息時的時間的差值是否小于等于預設值。
11.一種接收端,其特征在于,包括 接收模塊,用于接收所述發(fā)送端發(fā)送的攜帶了所述發(fā)送端認證碼和所述挑戰(zhàn)碼、所述用戶身份標識的消息,所述挑戰(zhàn)碼為所述發(fā)送端根據(jù)所述發(fā)送端當前的時間信息生成的,所述發(fā)送端認證碼為所述發(fā)送端根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成的,所述用戶身份標識用于識別當前使用所述發(fā)送端的用戶,所述用戶身份認證憑證包括用于鑒別所述用戶身份標識合法性的密碼、數(shù)字證書; 驗證模塊,用于根據(jù)所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識確認消息的安全性。
12.根據(jù)權利要求11所述的接收端,其特征在于,所述驗證模塊包括 用戶身份認證憑證獲取單元,用于根據(jù)所述用戶身份標識獲取所述接收端保存的用戶身份認證憑證; 接收端認證碼生成單元,用于根據(jù)所述挑戰(zhàn)碼、所述用戶身份標識和所述接收端保存的用戶身份認證憑證生成接收端認證碼; 認證碼驗證單元,用于檢測所述接收端認證碼與所述發(fā)送端認證碼是否相同; 認證確認信息發(fā)送單元,用于若所述接收端認證碼與所述發(fā)送端認證碼相同,則發(fā)送認證確認信息至所述發(fā)送端。
13.根據(jù)權利要求11所述的接收端,其特征在于,所述消息中還包括所述發(fā)送端生成所述發(fā)送端認證碼所依據(jù)的時間信息,在根據(jù)所述用戶身份標識獲取所述接收端保存的用戶身份認證憑證之前,所述接收端還包括 時間獲取模塊,用于記錄接收到所述消息時的時間; 所述驗證模塊還包括 時間檢驗單元,用于檢測所述當前時間和所述時間信息所對應的時間的差值是否小于等于預設值; 挑戰(zhàn)碼驗證單元,用于若所述差值小于等于預設值,則檢測所述接收端中是否存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼;儲存單元,用于 當所述接收端中不存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼時,將所述消息中的挑戰(zhàn)碼保存在所述接收端。
14.根據(jù)權利要求12或13所述的接收端,其特征在于,所述驗證模塊還包括 認證失敗信息發(fā)送單元,用于若所述接收端認證碼與所述發(fā)送端認證碼不相同,或者所述接收端中存在與所述消息中的挑戰(zhàn)碼相同的挑戰(zhàn)碼,或者所述差值大于預設值,判定所述消息有是被截獲后所偽造的消息,所述消息不安全,則發(fā)送認證失敗信息至所述發(fā)送端。
15.一種保護信息傳輸安全的系統(tǒng),其特征在于,包括權利要求8至10任一項所述的發(fā)送端,和權利要求11至14任一項所述的接收端。
全文摘要
本發(fā)明實施例公開了一種保護信息傳輸安全的方法、發(fā)送端、接收端及系統(tǒng),涉及網(wǎng)絡技術領域,能夠通過所需費用較低的方法保證信息傳輸?shù)陌踩?,從而降低了加強信息安全所需的成本。本發(fā)明的方法包括根據(jù)發(fā)送端當前的時間信息生成挑戰(zhàn)碼;根據(jù)所述挑戰(zhàn)碼、用戶身份標識和所述發(fā)送端保存的用戶身份認證憑證生成發(fā)送端認證碼;將攜帶了所述發(fā)送端認證碼、所述挑戰(zhàn)碼和所述用戶身份標識的消息發(fā)送至接收端,以便于所述接收端根據(jù)所述挑戰(zhàn)碼和所述用戶身份標識重新生成認證碼,并通過比對重新生成的認證碼與所述發(fā)送端認證碼是否相同確認消息的安全性。本發(fā)明適用于保證信息傳輸?shù)陌踩浴?br>
文檔編號H04L9/32GK102638468SQ20121010671
公開日2012年8月15日 申請日期2012年4月12日 優(yōu)先權日2012年4月12日
發(fā)明者徐志賢 申請人:華為技術有限公司