专利名称:一种基于主动网技术的终端加密通信方法、装置和系统的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种基于主动网技术的终端加密通 信方法、装置和系统。
背景技术:
在终端通信过程中,主被叫双方的数据加密和解密能力关系到通信的数 据安全性和互通特性。目前已经实现的加密通信方案是通过在终端软件中固 化加密和解密的程序来完成的。在现有技术中,在终端软件中固化加密和解 密的程序,在通信过程中,使用已经固化的加解密算法实现数据的加密传输 和解密。在加解密算法需要改变的时候,需要使用烧写程序的手段重新将新
的加解密算法固化到终端设备中去;或者使用网络升级的方式,从服务器下 载新的加解密算法程序,烧写到终端设备中去。
发明人在实现本发明的过程中,发现现有的加密通信方法至少具有以下 缺点
1、 对于网络上已经运行的设备,加解密算法都已经固化。对于一次一 密系统来说,需要为每一次需要加解密的应用生成伪随机序列,而导致存储 和分发这些庞大的伪随机序列困难;对于公开半公开的密匙系统来说,由于 密匙相对固定,导致密匙很容易被破解。
2、 如果需要对设备的加解密算法进行升级换代,其实现的方式和流程 比较复杂,而且这种传统升级的方式本身也有安全性的问题。
3、 此类的加解密程序本身,都是平台相关的,不同的硬件平台的终端, 程序不同,所以灵活性很差。
发明内容
有鉴于此,本发明实施例提出一种基于主动网技术的加密通信方法、装 置和系统,可以大大加强了终端通信的灵活性和数据的安全性。
本发明实施例提出的基于主动网技术的加密通信方法包括如下步骤 与通信的对端终端协商出通信所采用的加密和解密算法;
通过通信网络下载所述加密和解密算法的可执行代码;
运行所下载的可执行代码,对通信数据进行加密或解密。
本发明实施例提出的另一种基于主动网技术的加密通信方法包括
根据来自终端的获取加密和解密算法的可执行代码的请求,对网络侧存储 的可执行代码进行搜索,找到相应的可执行代码;
将所找到的可执行代码发送给所述终端。
本发明实施例还提出一种用于实现加密通信的服务器,包括
存储模块,用于存储加密和解密算法的可执行代码;
搜索模块,用于根据来自终端的获取加密和解密算法的可执行代码的请求, 对所述存储模块中的可执行代码进行搜索,找到相应的可执行代码;
收发模块,用于接收来自终端的获取加密和解密算法的可执行代码的请求, 将所述请求发送到所述搜索模块;将所述搜索模块所找到的可执行代码发送给 所述终端。
本发明实施例还提出一种基于主动网技术的终端,包括用于与其它终端进 行通信的通信模块,还包括
加密解密协商模块,用于与通信的对端终端协商出用于对通信内容进行加 密和解密的加密和解密算法;
代码交互模块,用于向网络中的服务器或通信对端终端获取所述协商模块 所协商出的加密和解密算法的可执行代码;
代码执行模块,用于执行所述可执行代码,对将要发送给对端终端的通信 内容进行加密,和/或,对接收来自对端终端的通信内容进行解密。本发明实施例还提出一种加密通信系统,所述加密通信系统包括终端、 和服务器;
所述终端,用于与通信对端的终端通过通信网络进行协商通信所采用的加 密和解密算法,并从所述服务器下载所述加密和解密算法的可执行代码,运行
所下载的可执行代码,对通信数据进行加密;
所述服务器,用于存储加密和解密算法的可执行代码,并根据来自终端的 获取所述加密和解密算法的可执行代码的请求,将所述请求对应的加密和解密 算法的可执行代码发送给所述终端。
本发明实施例提出的另一种加密通信系统包括主叫终端和被叫终端;
所述主叫终端,用于与被叫终端通过通信网络进行协商通信所采用的加密 和解密算法,并从所述被叫终端下载所述加密和解密算法的可执行代码,运行 所下载的可执行代码,对通信数据进行加密;
所述被叫终端,用于与所述主叫终端通过通信网络进行协商通信所采用的 加密和解密算法,将所述请求对应的加密和解密算法的可执行代码发送给所述 主叫终端。
从以上技术方案可以看出,终端通过通信网络向服务器或对端终端下载 经过协商的加密和解密算法的可执行代码;并运行所下载的可执行代码,对 通信数据进行加密,可以实现加密和解密的算法程序的实时更新,大大加强 了终端通信的灵活性和数据的安全性。
图1为本发明实施例的基本流程图2为本发明第一实施例的框架图3为本发明第二实施例的框架图4为本发明第三实施例提出的服务器结构示意图5为本发明第四实施例提出的终端结构示意图。
具体实施例方式
主动网技术是近几年比较热门的技术,主要的特点是允许用户或者设备 将特定的开放接口的可执行代码注入网络或者终端设备,使得网络或者终端 设备具备定制专用的处理过程、甚至专用的通信协议的能力,从而大大加强 灵活、针对性的服务。
本发明实施例的终端上具备一个主动网的运行环境,此环境具备开放接 口和硬件平台的自适应能力。终端在通信建立的过程中,根据信令协商的结 果,从对方终端或者服务器动态下载加解密算法的可执行代码,然后,使用 该加解密算法完成通话数据的加密传输和解密。
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明 作进一步的详细阐述。
本发明实施例的基本实现流程如图1所示,主叫终端和被叫终端均具备
主动网能力,包括如下步骤
步骤101:主叫终端发起呼叫,向被叫终端发送能力协商信令,所述能 力协商信令可能包含音视频编解码信息、码流带宽信息和音视频数据的帧率 信息,还包含主叫终端支持的加密和解密算法列表。
步骤102:被叫终端根据所收到的能力协商信令,进行通信能力协商, 确定本次通信的音视频编解码、码流带宽、音视频数据频率,以及所采用的 加密和解码算法,并将所确定的上述信息携带在确认消息中发送给主叫终端。
步骤103:根据协商的结果,主叫终端判断本地是否保存有本次通话所 采用的加密和解密算法,若是,则执行步骤105,否则执行步骤104。
步骤104:主叫终端从服务器下载加解密算法的可执行代码。
步骤105:在主叫终端的主动网的运行环境上,运行加解密的可执行代 码,完成本次通话过程的数据加解密功能。
上述步骤103和步骤104是以主叫终端为例进行描述。实际上被叫终端
9也要独立地判断本地是否保存有本次通话所采用的加密和解密算法,如果没 有,则从服务器下载加解密算法的可执行代码,如果有,则直接执行该可执 行代码。
作为一种可行的替代方案,在加解密算法协商过程,终端发送的能力协 商信令中携带本地已有的加解密算法的可执行代码的列表,则终端在判断本 地没有保存本次通话所采用的加密和解密算法时,可根据所述加解密算法的 可执行代码的列表向对端终端获取加解密算法的可执行代码。
例如,主叫终端向被叫终端发送的能力协商信令中携带主叫终端已有的 加解密算法的可执行代码的列表,通信能力协商确定加解密算法后,被叫终 端判断本地没有保存有本次通话所采用的加密和解密算法,且该加密和解密 算法包含在主叫终端已有的加解密算法的可执行代码的列表中,则被叫终端 向主叫终端下载加解密算法的可执行代码。
或者,被叫终端返回的通信能力协商确认消息包含被叫终端已有的加解 密算法的可执行代码的列表。主叫终端判断本地没有保存有本次通话所采用 的加密和解密算法,且该加密和解密算法包含在被叫终端已有的加解密算法 的可执行代码的列表中,则主叫终端向被叫终端下载加解密算法的可执行代 码。
为了保证信令协商的安全性和下载主动执行代码过程的安全性以及下
载后运行该代码的安全性,可以采取以下方式实现下载可执行代码
1、要保证信令协商的信道的安全性和下载信道的安全性,例如可采用 专用信道;如果不能保证则需要对信令本身以及下载的主动代码本身实施加 密;
密算法或者之前使用过的主动加解密算法来保证传输的可靠性,即主动加解
密算法本身使用加解密算法来传输;
3、在终端设备上对主动可执行代码的运行权限的限制,即一个主动可
执行代码,其运行的范围和能力是有限的,即使网络上出现主动可执行代码的恶意攻击,也只会导致本次通话的加解密失败而不会出现更大的安全隐
串'。。
本发明第一实施例的系统如图2所示,在网络中设置服务器,服务器存 储编解码算法的可执行代码,并对外提供接口,供终端下载;终端A和终 端B都具备一个主动代码的可执行环境,包括支持主动代码的硬件平台和操 作系统(Operation System, OS )。
步骤201:两个终端之间发起一起通话,首先完成信令的协商工作,协 商的结果包含音视频的编解码格式、支持的网络带宽情况等,同时协商出加 解密算法;本实施例中,假设协商出的加解密算法为算法a。
步骤202:根据信令协商的结果,终端A和终端B分别向网络服务器发 送下载请求;所述下载请求中,还可以进一步包括加密指示,所述加密指示 中包含用于对算法a进行加密的加密和解密算法的信息,该算法称之为算法 b,算法b为终端曽经下栽过的加密和解密算法,也可以是事先已经烧写在 终端设备中加解密算法。
步骤203:终端A和终端B下载加解密的主动可执行代码。该下载过程 中,服务器首先用算法b对算法a的可执行代码进行加密,再将加密后的算 法a的可执行代码传输给终端;终端A和终端B运行已存在于本终端上的 算法b的可执行代码,对算法a的可执行代码进行解密。解密之后,还可以 对算法a的可执行代码设置运行权限,对其运行条件进行限制,例如,仅限 于对本次通信的内容进行加密或解密处理。
步骤204:加解密的可执行代码运行在终端的运行环境上,完成本次通 话的数据的加密和解密的工作。在执行该可执行代码之前,还可以包括对运 行权限的检查,判断是否允许执行该可执行代码,若是,则运行该可执行代 码进行数据的加密和解密处理,否则,提示加密失败,终止加密处理,或者 釆用其它方法进行加密和解密处理。
本发明第二实施例的系统如图3所示,与第一实施例相比,终端A或
终端B向对方终端请求下载加解密算法的可执行代码,而其它过程与第一实
ii施例一致。
本发明第三实施例公开了一种用于实现终端加密通信的服务器,如图4所 示,包括
存储模块401,用于存储加密和解密算法的可执行代码;
搜索模块402,用于根据来自终端500的获取加密和解密算法的可执行代
码的请求,对所述存储模块401中的可执行代码进行搜索,找到相应的可执行
代码;
收发模块403,用于接收来自终端500的获取加密和解密算法的可执行代 码的请求,将所述请求发送到所述搜索模块402;将所述搜索模块402所找到 的可执行代码发送给所述终端。
所述服务器400进一步可以包括加密模块404;
所述收发模块403接收的所述请求包括携带加密和解密算法信息的加密指 示,收发模块403将将所述加密指示通知加密模块404;
加密模块404用于根据所述加密指示,对所述搜索模块402找到的可执行 代码进行加密,并将加密后的可执行代码发送给所述收发模块403。
图5示出了本发明第四实施例提出的一种基于主动网技术的终端500,包 括用于进行与其它终端进行通信的通信模块501,还包括
加密解密协商模块502,用于与通信的对端终端协商出用于对通信内容进 行加密和解密的加密和解密算法;
代码交互模块503,用于向网络中的服务器400或通信对端终端获取所述 加密解密协商模块502所协商出的加密和解密算法的可执行代码;
代码执行模块504,用于执行所述可执行代码,对所述通信模块501将要 发送给对端终端的通信内容进行加密,和/或,对所述通信模块501接收来自对 端终端的通信内容进行解密。
终端500还可以进一步包括
代码存储模块505,用于存储所述代码交互模块所下载的加密和解密算法 的可执行代码;
12所述代码执行模块504进一步包括本地检查单元,用于检查所述代码存储 模块是否存储有所述加密解密协商模块所协商出的可执行代码,若是,则所述 代码执行模块504执行所述代码存储模块505所存储的该可执行代码;否则, 代码执行模块504向所述代码交互模块503发送下载请求;
代码交互模块503根据所述下载请求,向网络中的服务器或通信对端终端 获取所述加密解密协商模块502所协商出的加密和解密算法的可执行代码。
所述代码交互模块503进一步包括解密单元,用于根据代码存储模块505 中的可执行代码,对所下载的可执行代码进行解密。
所述代码交互模块503还可以进一步包括代码发送单元,用于将所述代码 存储模块505存储的可执行代码发送给通信对端终端。
所述代码执行模块504进一步包括
运行权限单元,用于设置所述加密和解密算法的可执行代码的运行权限, 并根据所述运行权限决定是否执行所述可执行代码。
从以上实施例可以看出,终端、服务器以及通信网络组成了加密通信系统, 所述加密通信系统包括主叫终端、被叫终端、服务器和通信网络;
所述主叫终端和被叫终端用于通过通信网络彼此进行通信,并协商通信所 采用的加密和解密算法;主叫终端或5 皮叫终端通过通信网络vt人所述服务器下载 所述加密和解密算法的可执行代码,并运行所下载的可执行代码,对通信数据 进行加密。该主叫终端或^f皮叫终端可以是如图5所示的终端500。
所述服务器用于存储加密和解密算法的可执行代码,并根据来自主叫终端
或被叫终端的获取加密和解密算法的可执行代码的请求,将所述请求对应的加 密和解密算法的可执行代码发送给所述主叫终端或神皮叫终端。所述服务器可以
是如图4所示的服务器400。
另 一种加密通信系统包括主叫终端和被叫终端;
所述主叫终端,用于与被叫终端通过通信网络进行协商通信所采用的加密 和解密算法,并从所述被叫终端下载所述加密和解密算法的可执行代码,运行
所下载的可执行代码,对通信数据进行加密;
13所述被叫终端,用于与所述主叫终端通过通信网络进行协商通信所采用的 加密和解密算法,将所述请求对应的加密和解密算法的可执行代码发送给所述 主叫终端。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施, 但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案对 背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机
软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指 令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等) 执行本发明各个实施例或者实施例的某些部分所述的方法。
本发明方案可以实现加密和解密的算法程序的实时更新,大大加强了终 端通信的灵活性和数据的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本 发明的保护范围之内。
权利要求
1、一种基于主动网技术的加密通信方法,其特征在于,包括如下步骤与通信的对端终端协商出通信所采用的加密和解密算法;通过通信网络下载所述加密和解密算法的可执行代码;运行所下载的可执行代码,对通信数据进行加密或解密。
2、 根据权利要求1所述的方法,其特征在于,还包括判断本地是否 保存有所述加密和解密算法的可执行代码,若是,则执行本地保存的所述可 执行代码对通信数据进行加密;否则,执行所述通过通信网络下载所述加密 和解密算法的可执行代码的步骤。
3、 根据权利要求1所述的方法,其特征在于,所述通过通信网络下载所述 加密和解密算法的可执行代码包括向网络中的服务器或通信的对端终端发送 下载所述加密和解密算法的可执行代码的请求,并接收来自所述服务器或通信 的对端终端的所述可执行代码。
4、 根据权利要求1至3任一项所述的方法,其特征在于,所述下载所述加 密和解密算法的可执行代码包括采用专用信道下载所述加密和解密算法的可执行代码;和/或,采用终端中的已下载的加密算法对所要下载的可执行代码进行加 密,下载加密的可执行代码,再用终端中已下载的解密算法对所述可执行代码 进行解密。
5、 根据权利要求1至3任一项所述的方法,其特征在于,所述下载所述加 密和解密算法的可执行代码之后包括设置所述可执行代码的运行权限;运行所下载的可执行代码之前,进一步包括根据所述可执行代码的运行 权限判断是否允许运行所述可执行代码,若是,则执行所述运行所下载的可执 行代码的步骤。
6、 一种基于主动网技术的加密通信方法,其特征在于,包括根据来自终端的获取加密和解密算法的可执行代码的请求,对网络側存储 的可执行代码进行搜索,找到相应的可执行代码;将所找到的可执行代码发送给所述终端。
7、 根据权利要求6所述的方法,其特征在于,所述来自终端的获取加密和解密算法的可执行代码的请求包括携带加密和解密算法信息的加密指示; 则所述将所找到的可执行代码发送给所述终端包括对所找到的可执行代码进行加密,并将加密后的可执行代码发送给所述终端。
8、 一种用于实现加密通信的服务器,其特征在于,包括 存储模块,用于存储加密和解密算法的可执行代码;搜索模块,用于根据来自终端的获取加密和解密算法的可执行代码的请求, 对所述存储模块中的可执行代码进行搜索,找到相应的可执行代码;收发模块,用于接收来自终端的获取加密和解密算法的可执行代码的请求, 将所述请求发送到所述搜索模块;将所述搜索模块所找到的可执行代码发送给 所述终端。
9、 根据权利要求8所述的服务器,其特征在于,所述服务器进一步包括加 密模块;所述收发模块接收的所述请求包括携带加密和解密算法信息的加密指示, 收发模块将所述加密指示通知所述加密模块;所述加密模块,用于根据所述加密指示,对所述搜索模块找到的可执行代 码进行加密,并将加密后的可执行代码发送给所述收发模块。
10、 一种终端,包括用于与其它终端进行通信的通信模块,其特征在于, 还包括加密解密协商模块,用于与通信的对端终端协商出用于对通信内容进行加 密和解密的加密和解密算法;代码交互模块,用于向网络中的服务器或通信对端终端获取所述协商模块 所协商出的加密和解密算法的可执行代码;代码执行模块,用于执行所述可执行代码,对将要发送给对端终端的通信 内容进行加密,和/或,对接收来自对端终端的通信内容进行解密。
11、 根据权利要求IO所述的终端,其特征在于,该终端进一步包括 代码存储模块,用于存储所述代码交互模块所下载的加密和解密算法的可执行代码。
12、 根据权利要求11所述的终端,其特征在于,所述代码执行模块进一步 包括本地检查单元,用于检查所述代码存储模块是否存储有所述加密解密协商 模块所协商出的可执行代码,若是,则所述代码执行模块执行所述代码存储模 块所存储的该可执行代码;否则,代码执行模块向所述代码交互模块发送下载 请求,代码交互模块根据所述下载请求,向网络中的服务器或通信对端终端获 取所述协商模块所协商出的加密和解密算法的可执行代码。
13、 根据权利要求11所述的终端,其特征在于,所述代码交互模块进一步 包括解密单元,用于根据代码存储模块中的可执行代码,对所下载的可执行 代码进行解密。
14、 根据权利要求11所述的终端,其特征在于,所述代码交互模块进一步 包括代码发送单元,将所述代码存储模块存储的可执行代码发送给通信对端终端。
15、 根据权利要求10至14任一项所述的终端,其特征在于,所述代码执 行模块进一步包括运行权限单元,用于设置所述加密和解密算法的可执行代码的运行权限, 并根据所述运行权限决定是否执行所述可执行代码。
16、 一种加密通信系统,其特征在于,所述加密通信系统包括终端和服 务器;所述终端,用于与通信对端的终端通过通信网络进行协商通信所釆用的加 密和解密算法,并从所述服务器下载所述加密和解密算法的可执行代码,运行所下载的可执行代码,对通信数据进行加密;所述服务器,用于存储加密和解密算法的可执行代码,并根据来自终端的 获取所述加密和解密算法的可执行代码的请求,将所述请求对应的加密和解密 算法的可执行代码发送给所述终端。
17、 一种加密通信系统,其特征在于,所述加密通信系统包括主叫终端 和被叫终端;所述主叫终端,用于与被叫终端通过通信网络进行协商通信所采用的加密 和解密算法,并从所述被叫终端下载所述加密和解密算法的可执行代码,运行 所下载的可才丸行代码,对通信数据进行加密;所述被叫终端,用于与所述主叫终端通过通信网络进行协商通信所釆用的 加密和解密算法,将所述请求对应的加密和解密算法的可执行代码发送给所述 主叫终端。
全文摘要
本发明公开了一种基于主动网技术的加密通信方法,包括如下步骤具有主动网能力的主叫终端和被叫终端协商出通信所采用的加密和解密算法;所述主叫终端和/或被叫终端通过通信网络下载所述加密和解密算法的可执行代码;所述主叫终端和/或被叫终端运行所下载的可执行代码,对通信数据进行加密。本发明还公开了基于主动网技术的加密通信的服务器、终端和系统。本发明方案可以实现加密和解密的算法程序的实时更新,大大加强了终端通信的灵活性和数据的安全性。
文档编号H04L9/16GK101588237SQ20081009833
公开日2009年11月25日 申请日期2008年5月23日 优先权日2008年5月23日
发明者祎 张, 马剑飞 申请人:华为技术有限公司