一种基于公钥加密的财务数据传输方法与流程

1.本发明属于信息加密技术领域，具体来说，涉及一种基于公钥加密的财务数据传输方法。


背景技术：

2.财务数据是反映企业或预算单位一定时期的资金、利润状况等会计数据报表，对于一些非上市的，不需要公开财务数据的企业或者单位，有时候某些财务数据要求具有一定的保密性，至少是某个时段具有，因此当上层管理人员或者有权限知晓财务数据的情况下，除了线下开会分享的方法，就只有线上传输来共享，但是这种线上分享的方式容易被某些有预谋的人窃取，从而导致内部财务数据外泄，这种事件严重时甚至会影响到公司的正常运行，为了保证密级较高的财务数据进行线上传输或分享，有必要提出一种安全地针对财务数据的传输方法。


技术实现要素：

3.本发明旨在提供了一种基于公钥加密的财务数据传输方法，该传输方法能够有效保证在财务数据传输之前为传输双方建立安全的通信链路，从而保证财务数据的安全传输。
4.为实现上述技术目的，本发明采用的技术方案如下：
5.本发明第一方面提供了一种基于公钥加密的财务数据传输方法，应用于数据发起方，所述传输方法包括：
6.生成与数据接收方通信的会话密钥sk；
7.生成第一会话请求，所述第一会话请求包括数据发起方的身份标识和采用与数据发起方对应的第一量子密钥对会话密钥sk加密的第一会话密钥密文；
8.通过第一加密算法对第一会话请求进行加密得到第一验证值；
9.将第一会话请求和第一验证值组成第一协商请求发送到数据接收方；
10.接收秘钥交换服务器发送的验证结果，若验证成功，则数据发起方和数据接收方秘钥协商成功，数据接收方与数据发起方之间可以发送财务数据。
11.优选地，所述通过第一加密算法对第一会话请求进行加密得到第一验证值包括：
12.将数据发起方的身份标识和会话秘钥sk拼接得到第一验证消息；
13.对第一验证消息进行杂凑运算得到第一杂凑值；
14.通过数据发起方对应的第一量子密钥对第一杂凑值进行hmac运算得到第一验证值。
15.优选地，所述第一协商请求是将数据发起方的身份标识、第一会话秘钥密文以及第一验证值拼接得到。
16.本发明第二方面提供了一种基于公钥加密的财务数据传输方法，应用于数据接收方，所述传输方法包括：
17.接收数据发起方发送的第一协商请求，所述第一协商请求包括第一会话请求和第一验证值，所述第一会话请求包括数据发起方的身份标识和采用与数据发起方对应的第一量子密钥加密对会话密钥sk加密的第一会话密钥密文，所述第一验证值是通过对第一会话请求进行第一加密算法得到；
18.生成第二会话请求，所述第二会话请求包括数据发起方的身份标识、数据接收方的身份标识以及第一会话秘钥密文；
19.将第二会话请求发送到秘钥交换服务器；
20.从秘钥交换服务器获取会话秘钥sk’；
21.将数据发起方的身份标识和会话秘钥sk’进行杂凑运算获得第二杂凑值，将数据发起方的身份标识、第二杂凑值以及第一验证值组成第二验证消息发送到密钥交换服务器；
22.接收秘钥交换服务器发送的验证结果，若验证成功，则数据接收方和数据发起方密钥协商成功，数据接收方与数据发起方之间可以发送财务数据。
23.优选地，所述第一验证值是第一会话请求进行第一加密算法对加密得到包括：
24.对数据发起方的身份标识和会话秘钥sk拼接得到第一验证消息；
25.对第一验证消息进行杂凑运算得到第一杂凑值；
26.通过数据发起方对应的第一量子密钥对第一杂凑值进行hmac运算得到第一验证值。
27.优选地，所述将第二会话请求发送到秘钥交换服务器包括：
28.将数据发起方的身份标识、数据接收方的身份标识以及第一会话秘钥密文进行拼接后发送到秘钥交换服务器。
29.优选地，所述从秘钥交换服务器获取会话秘钥sk’包括：
30.接收秘钥交换服务器发送的第二会话秘钥密文；
31.通过数据接收方对应的第二量子密钥对第二会话秘钥密文进行解密获得会话秘钥sk’。
32.本发明第三方面提供了一种基于公钥加密的财务数据传输方法，应用于秘钥交换服务器，所述秘钥交换服务器至少包括有与数据发起方对应的第一量子密钥以及与数据接收方对应的第二量子秘钥，所述传输方法包括：
33.接收数据接收方发送的第二会话请求，所述第二会话请求包括数据发起方的身份标识、数据接收方的身份标识以及第一会话秘钥密文；
34.将第一会话秘钥密文中的会话秘钥sk发送到数据接收方；
35.接收数据接收方发送的第二验证消息，所述第二验证消息由数据发起方的身份标识、第二杂凑值以及第一验证值组成，所述第二杂凑值是将数据发起方的身份标识和会话秘钥sk’进行杂凑运算获得；
36.通过数据发起方对应的第一量子秘钥对第二杂凑值进行hmac运算得到第二验证值；
37.将第一验证值和第二验证值比较进行验证，并将验证结果返回数据发起方和数据接收方。
38.优选地，所述将第一会话秘钥密文中的会话秘钥sk发送到数据接收方包括：
39.通过数据发起方对应的第一量子密钥对第一量子秘钥密文进行解密获得会话秘钥sk；
40.通过数据接收方对应的第二量子密钥对会话秘钥sk进行加密得到第二会话秘钥密文；
41.将第二会话秘钥密文发送到数据接收方。
附图说明
42.图1为应用于数据发起方的传输方法流程图；
43.图2为应用于数据接收方的第一会话请求加密得到第一验证值的流程图；
44.图3为应用于数据接收方的传输方法流程图；
45.图4为应用于秘钥交换服务器的传输方法流程图；
46.图5为第一会话秘钥密文中的会话秘钥sk发送到数据接收方的流程图；
47.图6为数据传输双方和秘钥交换服务器之间的交互时序图。
具体实施方式
48.为了便于本领域技术人员的理解，下面结合实施例与附图对本发明作进一步的说明，实施方式提及的内容并非对本发明的限定。
49.在加密通信中，通信双方建立通信主要包括身份认证、密钥交换以及利用交换的随机秘钥(会话秘钥)进行通信的过程。
50.想要安全通信，必须得知道对方的真实身份，其次才是确保通信内容的保密，否则就会出现中间人攻击的情况，因此通信的安全性(身份认证)有着比私密性更高更强的要求，它不仅要求通信双方传送的内容不能被任何第三者知道，还要确认收发方各自的真实身份。
51.一般来说，一个通信网络基本包括若干通信客户端以及服务器，数据发起方要和另一方(通信接收方)建立通信链路时，需要通过服务器来进行身份的验证和秘钥分发等工作。
52.在本技术中，服务器主要起到秘钥交换的作用，其包括秘钥管理系统以及密码机，其中秘钥管理系统用于存储对应每个通信客户端身份标识的加密秘钥，其根据客户端的身份标识一一对应加密秘钥，加密秘钥主要用于每个通信客户端与服务器之间的信息加密传输；密码机则是通过加密秘钥对信息实施加(解)密处理和认证的专用设备。
53.下面以数据发起方a、数据接收方b以及秘钥交换服务器三方的交互过程举例：
54.如图1和图6所示，本实施例提供一种应用于数据发起方a的财务数据传输方法，所述传输方法包括如下步骤：
55.s11：生成会话秘钥
56.数据发起方a具有一个随机数生成器，当数据发起方a需要发起通信时，通过随机数生成器生成一个16字节的随机数作为会话秘钥sk，协商成功后，该会话秘钥sk用于数据发起方a和数据接收方b之间的通信加密。
57.s12：生成第一会话请求
58.首先用数据发起方a的第一量子秘钥对会话秘钥sk进行加密得到第一会话秘钥密
80.此步骤是为了验证从秘钥交换器服务器获取的会话秘钥sk’是否被篡改，当然验证过程并不是直接将两个隐私的会话密钥进行比对，而是在步骤s25和步骤s26中来通过比较由会话秘钥sk计算得到的第一验证值sh和由会话密钥sk’计算得到的第二验证值sh’来进行验证。
81.本步骤中，数据接收方b从秘钥交换服务器获取会话秘钥sk’具体包括：接收秘钥交换服务器发送的第二会话秘钥密文，通过数据接收方b对应的第二量子密钥对第二会话秘钥密文进行解密获得会话秘钥sk’。
82.其中第二会话秘钥密文是密钥交换服务器通过数据接收方b对应的第二量子密钥对会话秘钥sk加密获得。
83.s25：将数据发起方a的身份标识和会话秘钥sk’进行杂凑运算获得第二杂凑值，这里杂凑运算仍然采用sm3算法。
84.将数据发起方a的身份标识、第二杂凑值以及第一验证值sh顺序拼接后组成第二验证消息发送到密钥交换服务器；
85.s26：接收秘钥交换服务器发送的验证结果，若验证成功，则数据发起方a和数据接收方b的会话秘钥sk协商成功，通信双方可以通过会话秘钥sk进行加密通信，也就通信双方可以安全地传输特殊要求的财务数据，若验证不成功，则表示通信双方通信协商失败。
86.如图4和图6所示，本实施例提供一种应用于秘钥交换服务器的财务数据传输方法，所述秘钥交换服务器包括有与每一个通信客户端对应的量子秘钥，在本实施例中，秘钥交换服务器至少包含数据发起方a和数据接收方b的量子秘钥，所述传输方法包括如下步骤：
87.s31：接收数据接收方b发送的第二会话请求
88.其中，第二会话请求包括数据发起方a的身份标识、数据接收方b的身份标识以及第一会话秘钥密文，第一会话秘钥密文是通过数据发起方a的第一量子秘钥对会话秘钥sk进行加密得到。
89.s32：将第一会话秘钥密文中的会话秘钥sk发送到数据接收方b
90.本步骤主要是通过加解密的过程，将包含会话秘钥sk的信息传递到数据接收方b，具体过程如图5所示，包括：
91.s321：通过数据发起方a对应的第一量子密钥对第一量子秘钥密文进行解密获得会话秘钥sk。
92.s322：通过数据接收方b对应的第二量子密钥对会话秘钥sk进行加密得到第二会话秘钥密文；
93.s323：将第二会话秘钥密文发送到数据接收方b。
94.由于会话秘钥sk在传输过程中是不能明文传送的，因此步骤s32是将加密过的会话秘钥sk发送到数据接收方b。
95.s33：接收数据接收方b发送的第二验证消息
96.第二验证消息由数据发起方a的身份标识、第二杂凑值以及第一验证值sh顺序拼接而成。
97.第二杂凑值是将数据发起方a的身份标识和会话秘钥sk’顺序拼接后进行sm3杂凑运算获得。
98.s34：通过数据发起方a对应的第一量子秘钥对第二杂凑值进行hmac运算得到第二验证值sh’，这样可以和第二验证消息中的第一验证值sh比较验证。
99.s35：将第一验证值sh和第二验证值sh’比较进行验证，并将验证结果返回数据发起方a和数据接收方b。
100.上述过程中，秘钥交换服务器将验证结果直接分别发送到数据发起方a和数据接收方b，也可以通过秘钥交换服务器先把验证结果发送到数据发起方a和数据接收方b之一，优选为数据接收方b，数据接收方b根据验证结果判断协商结果，再把协商结果返回到数据发起方a，数据发起方a根据协商结果就能知道秘钥协商是否成功。
101.以上对本技术提供的一种基于公钥加密的财务数据传输方法进行了详细介绍。具体实施例的说明只是用于帮助理解本技术的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。