本發(fā)明涉及互聯(lián)網(wǎng)金融系統(tǒng)技術領域，具體涉及一種基于塊鏈接加密技術的互聯(lián)網(wǎng)金融安全鏈路實現(xiàn)方法。

背景技術：

HTTP是一個屬于應用層的面向對象的協(xié)議，由于其簡捷、快速的方式，適用于分布式超媒體信息系統(tǒng)。它于1990年提出，經(jīng)過幾年的使用與發(fā)展，得到不斷地完善和擴展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的規(guī)范化工作正在進行之中，而且HTTP-NG(Next Generation of HTTP)的建議已經(jīng)提出。HTTP協(xié)議是基于請求/響應范式的。

一個客戶機與服務器建立連接后，發(fā)送一個請求給服務器，請求方式的格式為，統(tǒng)一資源標識符、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內容。服務器接到請求后，給予相應的響應信息，其格式為一個狀態(tài)行包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務器信息、實體信息和可能的內容。安全傳輸層協(xié)議(TLS)用于在兩個通信應用程序之間提供保密性和數(shù)據(jù)完整性。

該協(xié)議由兩層組成：TLS記錄協(xié)議(TLS Record)和TLS握手協(xié)議(TLS Handshake)。

較低的層為TLS記錄協(xié)議，位于某個可靠的傳輸協(xié)議(例如TCP)上面。TLS協(xié)議包括兩個協(xié)議組――TLS記錄協(xié)議和TLS握手協(xié)議，每組具有很多不同格式的信息，TLS記錄協(xié)議是一種分層協(xié)議。

每一層中的信息可能包含長度、描述和內容等字段。記錄協(xié)議支持信息傳輸、將數(shù)據(jù)分段到可處理塊、壓縮數(shù)據(jù)、應用MAC、加密以及傳輸結果等。對接收到的數(shù)據(jù)進行解密、校驗、解壓縮、重組等，然后將它們傳送到高層客戶機。

TLS連接狀態(tài)指的是TLS記錄協(xié)議的操作環(huán)境。它規(guī)定了壓縮算法、加密算法和MAC算法。TLS記錄層從高層接收任意大小無空塊的連續(xù)數(shù)據(jù)。密鑰計算：記錄協(xié)議通過算法從握手協(xié)議提供的安全參數(shù)中產(chǎn)生密鑰、IV和MAC密鑰。

TLS握手協(xié)議由三個子協(xié)議組構成，允許對等雙方在記錄層的安全參數(shù)上達成一致、自我認證、例示協(xié)商安全參數(shù)、互相報告出錯條件。當前HTTPS網(wǎng)絡的缺陷：

(1)不能防止盜用公鑰證書后的Distributed Denial of service(分布式拒絕服務攻擊)；

(2)不能防止盜用公鑰證書后的盜鏈技術發(fā)起的入侵性操作；

(3)不能結合用戶使用的網(wǎng)絡環(huán)境進行身份識別；

(4)不能結合用戶個人信息保證高等級的業(yè)務安全；

(5)不能結合歷史登錄和當前操作時間進行時間軸的操作安全性甄別；

(6)不能保證一個事物內多次網(wǎng)間交易握手順序正確問題。

技術實現(xiàn)要素：

本發(fā)明針對現(xiàn)有技術中的不足，提供一種強化鏈路級的安全認證，從而在用戶使用門戶網(wǎng)站購彩時將個人身份信息，鏈路向量信息及鑒權策略相結合，保證用戶在購彩與支付的日常業(yè)務在網(wǎng)絡傳輸過程中的安全機制上的可靠性和穩(wěn)定性的基于塊鏈接加密技術的互聯(lián)網(wǎng)金融安全鏈路實現(xiàn)方法。

本發(fā)明是通過以下技術方案來實現(xiàn)的：一種基于塊鏈接加密技術的互聯(lián)網(wǎng)金融安全鏈路實現(xiàn)方法，該方法能夠在用戶在互聯(lián)網(wǎng)上購買理財產(chǎn)品過程中使用自主認證服務提供的報文頭塊加密密鑰，啟用HTTPS的TLS隧道技術，保障用戶的鏈路安全，其包括以下步驟：

步驟一、通過自主認證授權方法生成的報文頭加密密鑰塊，并與報文體相結合，向下一個環(huán)節(jié)發(fā)送報文；

步驟二、自主認證憑證的HTTPS協(xié)議處理，在TLS鏈路建立前，使用報文身份系統(tǒng)和動態(tài)鏈路向量，并帶順序檢查，進行報文身份認證和鏈路認證；

步驟三、每一個事物周期內建立一組獨立的交易塊密鑰，會話初始階段檢查認證向量是否來自授權交易，再檢查交易身份系統(tǒng)是否是同一個事物內的合法交易，如果不是合法交易則交易報錯，web瀏覽器提示用戶有安全風險，建議重新進行關鍵交易，頁面跳轉至交易初始頁；

如果是合法交易，則建立LS隧道進行正常會話與數(shù)據(jù)交互，同時，系統(tǒng)進行下一步的塊密碼計算，并生成下一步自認證密鑰，組建下一步交易，具體步驟如下：

a、用戶使用瀏覽器登錄自主門戶網(wǎng)站，網(wǎng)站前端代碼首先獲取用戶當前IP地址：IP，代理網(wǎng)關地址：Gateway，瀏覽器類型：Browser information，以及登錄時間：time；四者組合為當前鏈路可識別的向量：Vector；首先，HTTP頭返回的Browser information通過CA_server的瀏覽器類型表比對，獲取Browserid，將登錄時間進行時間戳運算為timesten；Vector＝IP^Gateway&(Browserid|timesten)；然后將Vector信息傳送給鏈路/用戶身份系統(tǒng)：Link/User server，鏈路/用戶身份系統(tǒng)根據(jù)當前CA_server的此次訪問時間生成時間戳timeserversten，最后對Vector進行MD5運算，生成摘要Vector_MD5，并返回給CA_server；

b、客戶端用戶登錄，CA_server根據(jù)用戶名和密碼，獲取當前用戶在系統(tǒng)中的唯一用戶ID，并發(fā)送給Link/User server，Link/User server根據(jù)用戶ID查找用戶注冊表，獲取用戶注冊時填寫的身份證號碼，經(jīng)MD5加密后將此身份證號碼返回給認證系統(tǒng)服務；

c、CA_server使用MD5解碼獲取身份證號碼和Vector，根據(jù)自己記錄的timesten和獲取的timeserversten，保存時間戳對timesten/timeserversten，并使用JVM標配keytools工具，回答IP問題答案：Vector，回答用戶名問題：identity_id；回答密碼問題：timesten^timeserversten，生成CA證書和公鑰/私鑰對；

d、頒發(fā)公鑰載體給web瀏覽器自動安裝此證書，建立TLS隧道，進行HTTPS會話；

e、當HTTPS第一次會話時，CA_Server重新計算此次會話的vector；

f、對會話內容進行私鑰解密，比對身份信息、鏈路向量信息和時間戳信息這三項信息，比對當前會話vector與記錄vector是否相同，已防止鏈路盜用；通過后，再將時間戳信息傳送給Link/User server，比對當前狀態(tài)是否超時；將身份信息傳送給Link/Userserver，比對用戶是否已受對應的業(yè)務限制；以上通過后，Link/User server返回給CA_Server唯一通信ID，CA_Server對此ID進行公鑰加密傳送給web瀏覽器，Web瀏覽器自此使用此ID為牌照，進行正常HTTPS會話交互。

本發(fā)明的有益效果是：本發(fā)明能夠在用戶在互聯(lián)網(wǎng)上購買理財產(chǎn)品過程中使用自主認證服務提供的報文頭塊加密密鑰，啟用HTTPS的TLS隧道技術，保障用戶的鏈路安全。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明的系統(tǒng)流程圖；

圖2為本發(fā)明的塊鏈接加密算法示意圖。

具體實施方式

本說明書中公開的所有特征，或公開的所有方法或過程中的步驟，除了互相排斥的特征和/或步驟以外，均可以以任何方式組合。

本說明書(包括任何附加權利要求、摘要和附圖)中公開的任一特征，除非特別敘述，均可被其他等效或具有類似目的的替代特征加以替換。即，除非特別敘述，每個特征只是一系列等效或類似特征中的一個例子而已。

如圖1和圖2所示，首先通過自主認證授權方法生成的報文頭加密密鑰塊，并與報文體相結合，向下一個環(huán)節(jié)發(fā)送報文；

其次，自主認證憑證的HTTPS協(xié)議處理，在TLS鏈路建立前，使用報文身份系統(tǒng)和動態(tài)鏈路向量，并帶順序檢查，進行報文身份認證和鏈路認證；

最后，每一個事物周期內建立一組獨立的交易塊密鑰，會話初始階段檢查認證向量是否來自授權交易，再檢查交易身份系統(tǒng)是否是同一個事物內的合法交易，如果不是合法交易則交易報錯，web瀏覽器提示用戶有安全風險，建議重新進行關鍵交易，頁面跳轉至交易初始頁；

如果是合法交易，則建立LS隧道進行正常會話與數(shù)據(jù)交互，同時，系統(tǒng)進行下一步的塊密碼計算，并生成下一步自認證密鑰，組建下一步交易，具體步驟如下：

a、用戶使用瀏覽器登錄自主門戶網(wǎng)站，網(wǎng)站前端代碼首先獲取用戶當前IP地址：IP，代理網(wǎng)關地址：Gateway，瀏覽器類型：Browser information，以及登錄時間：time；四者組合為當前鏈路可識別的向量：Vector；首先，HTTP頭返回的Browser information通過CA_server的瀏覽器類型表比對，獲取Browserid，將登錄時間進行時間戳運算為timesten；Vector＝IP^Gateway&(Browserid|timesten)；然后將Vector信息傳送給鏈路/用戶身份系統(tǒng)：Link/User server，鏈路/用戶身份系統(tǒng)根據(jù)當前CA_server的此次訪問時間生成時間戳timeserversten，最后對Vector進行MD5運算，生成摘要Vector_MD5，并返回給CA_server；

b、客戶端用戶登錄，CA_server根據(jù)用戶名和密碼，獲取當前用戶在系統(tǒng)中的唯一用戶ID，并發(fā)送給Link/User server，Link/User server根據(jù)用戶ID查找用戶注冊表，獲取用戶注冊時填寫的身份證號碼，經(jīng)MD5加密后將此身份證號碼返回給認證系統(tǒng)服務；

c、CA_server使用MD5解碼獲取身份證號碼和Vector，根據(jù)自己記錄的timesten和獲取的timeserversten，保存時間戳對timesten/timeserversten，并使用JVM標配keytools工具，回答IP問題答案：Vector，回答用戶名問題：identity_id；回答密碼問題：timesten^timeserversten，生成CA證書和公鑰/私鑰對；

d、頒發(fā)公鑰載體給web瀏覽器自動安裝此證書，建立TLS隧道，進行HTTPS會話；

e、當HTTPS第一次會話時，CA_Server重新計算此次會話的vector；

f、對會話內容進行私鑰解密，比對身份信息、鏈路向量信息和時間戳信息這三項信息，比對當前會話vector與記錄vector是否相同，已防止鏈路盜用；通過后，再將時間戳信息傳送給Link/User server，比對當前狀態(tài)是否超時；將身份信息傳送給Link/Userserver，比對用戶是否已受對應的業(yè)務限制；以上通過后，Link/User server返回給CA_Server唯一通信ID，CA_Server對此ID進行公鑰加密傳送給web瀏覽器，Web瀏覽器自此使用此ID為牌照，進行正常HTTPS會話交互。

本發(fā)明的有益效果是：本發(fā)明能夠在用戶在互聯(lián)網(wǎng)上購買理財產(chǎn)品過程中使用自主認證服務提供的報文頭塊加密密鑰，啟用HTTPS的TLS隧道技術，保障用戶的鏈路安全。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何不經(jīng)過創(chuàng)造性勞動想到的變化或替換，都應涵蓋在本發(fā)明的保護范圍之內。因此，本發(fā)明的保護范圍應該以權利要求書所限定的保護范圍為準。