本發明涉及信息安全傳輸領域，其公開了一種基于網關的數據安全傳輸方法，在不改變現有架構，不影響現有業務的前提下，實現數據安全傳輸。本發明中，通過在業務服務器之前，家庭網絡入口處部署安全網關實現安全傳輸；在進行數據傳輸時，首先協商終端側安全網關和業務服務器側安全網關的會話密鑰，然后對發送數據包進行簽名并添加發送時間信息后采用會話密鑰加密發送給接收端，在簽名時加入了傳輸時間；接收端收到數據包后采用會話密鑰進行解密，對發送時間信息進行驗證，驗證通過后簽名進行校驗。

技術領域

本發明涉及信息安全傳輸領域，具體涉及一種基于網關的數據安全傳輸方法。

背景技術

隨著物聯網的逐步發展，越來越多的智能家電和家居逐漸走進人們的家庭里，生活的質量也隨著科技的進步而得到提高。但是隨之而來的安全問題也逐漸的顯現出來，而且開始愈演愈烈，使得人們的個人信息處于危險的狀態下。

由于終端設備本身資源的限制，傳輸時沒有采用安全傳輸，或使用弱算法的安全傳輸方式，使得其中傳輸的信息可以輕易的被截取，從而導致個人信息暴露和自己的智能設備被惡意操控等不良的后果。

發明內容

本發明所要解決的技術問題是：提出一種基于網關的數據安全傳輸方法，在不改變現有架構，不影響現有業務的前提下，實現數據安全傳輸。

本發明解決上述技術問題采用的技術方案是：

一種基于網關的數據安全傳輸方法，應用于包括終端側安全網關、業務服務器側安全網關、時間服務器和CA服務器的數據安全傳輸系統中；所述終端側安全網關和業務服務器側安全網關中均設置有CA服務器頒發的用作身份唯一標識的證書，且均支持對稱加密算法、非對稱加密算法和單項哈希算法；該方法包括以下步驟：

a.終端側安全網關與服務器側安全網關之間建立會話密鑰；

b.終端或服務器端作為發送端在發送http協議包時的處理步驟包括b1-b4：

b1.從時間服務器獲得當前的時間值，然后以頭部字段名time，值為獲取的當前時間值的格式寫入http協議的頭部，記為HTTPAT；

b2.對HTTPAT使用單項哈希函數生成hashA值；

b3.使用發送端私鑰對hashA進行加密，生成enhashA，然后以頭部字段名sign，值為enhashA的格式寫入http協議的頭部，記為HTTPAS；

b4.采用步驟a中建立的會話密鑰對HTTPAS進行加密生成HTTPAD，然后發送給接收端；

c.服務器端或終端作為接收端在接收http協議包時的處理步驟包括c1-c7：

c1.使用會話密鑰解密HTTPAD，得到HTTPAS；

c2.從HTTPAS的頭信息中獲得發送端的發送時間值；

c3.從時間服務器獲取當前時間并與發送端的發送時間值進行比較，判斷差值是否在閾值范圍內，若是，則進入步驟c4,否則，丟棄數據包，斷開連接；

c4.將發送端的公鑰和發送時間進行拼接，以此判斷數據包是否已經被接收端存儲，如果是，則丟棄該數據包，斷開連接；否則，對該數據包進行存儲，進入步驟c5；

c5.從HTTPAS的頭信息中刪除頭部字段名為sign，值為enhashA的部分，獲得HTTPAT；然后使用發送端公鑰解密得到hashA；

c6.對HTTPAT使用單項哈希函數生成hashA′值；

c7.比較hashA′和步驟c5中的hashA，如果相等，則安全傳輸已完成；否則，丟棄數據包，斷開連接。

作為進一步優化，步驟a具體包括：