基于移动网络和通信客户端的端到端加密方法和加密系统的制作方法
【专利摘要】本发明涉及一种基于移动网络和通信客户端的端到端加密方法,还涉及一种基于移动网络和通信客户端的端到端加密系统。所述的加密方法采用对称加密算法进行数据加密,采用账号管理中心对有权使用者进行身份和密钥管理,采用密钥处理模块对这个保密系统进行密钥加解密处理,采用终端处理模块通过对称加密算法对明文/密文的数据信息进行加密/解密,并借助通信软件客户端传送加密数据,以实现端到端的加密数据交互;所述的加密系统包括账号管理中心、密钥处理模块和终端处理模块,所述账号管理中心和所述密钥处理模块通过移动通信网络交互,所述终端处理模块通过通信软件客户端交互加密数据,并在所述终端处理模块上实现加密/解密。本发明的加密安全性好,可用于各种移动通信平台。
【专利说明】基于移动网络和通信客户端的端到端加密方法和加密系统
【技术领域】
[0001]本发明涉及一种基于移动网络和通信客户端的端到端加密方法,同时,还涉及一种基于移动网络和通信客户端的端到端加密系统。
【背景技术】
[0002]在现有的移动通信系统中,无论是移动通信网络,还是用作数据传送平台的通信软件,都有加密技术的存在。
[0003]在移动通信网络中,无论是公众的还是专业的系统,都定义了鉴权、接口加密等安全功能,来保障数据的安全交换。但是这些加密技术在通信系统的核心节点还会出现信息以明文形式存在的情况,其安全程度低,无法满足军队、政府和安全部门以及某些特殊用户提出的高的保证用户信息机密性的安全要求。
[0004]为了提高安全性,实现移动通信的端到端加密,专利号:98108859.7和专利号:200410021688.7的中国专利申请案公开了两种端到端数据加密方法,但是前者存在由于网络运营商知道密钥信息所导致的不安全问题,并且实施复杂,需要对手机结构改造,后者的功能实现需要借助外置的移动保密装置,由此增加了使用者负担,带来使用上的不便。
[0005]借助于目前大众使用的用作数据传送平台的通信软件,例如QQ、微信等,由于通信软件应该对数据传送过程进行了加密处理,可以实现一定程度的保密性。但由于所有数据都经由通信软件提供商的服务器进行处理,数据是否加密存储以及如何处理等对用户相当不透明,用户数据的安全性不仅存在技术风险,还有道德风险。
【发明内容】
[0006]为了克服现有技术的上述缺陷,本发明提供了一种基于移动通信网络和通信软件客户端的端到端数据加密方法,还提供了一种采用该方法的数据加密系统,这种方法实现的端到端数据加密不仅安全性好,而且应用领域广,实现简单,使用方便,可用于各种移动通信平台,满足有特殊保密需要的使用者。
[0007]本发明实现上述目的的技术方案是:一种基于移动通信网络和通信软件客户端的端到端数据加密方法,采用对称加密算法对用户数据进行加密,采用账号管理中心对有权使用者进行身份和密钥管理,生成和管理用户的登录账号UAC,管理和分发系统密钥GEK,管理和分发用户加密后的密钥EUEK,采用密钥处理模块对这个保密系统进行密钥加解密,以账号和移动通信设备识别码为基础根据预设规则进行组合成用户数据密钥UEK后根据从账号管理中心获取的GEK对其进行加密/解密,得到加密后的加密密钥或解密密钥EUEK,并存储在账号管理中心。加解密时从账号管理中心获取EUEK和GEK,在密钥处理模块内解密,还原出UEK,然后在终端处理模块内比对UEK所包含的MEI信息,符合后通过预置算法和UEK对明文/密文的数据信息进行加密/解密,并借助于通信软件客户端进行传送,以实现端到端的加密数据交互。
[0008]如附图1所示,一种基于移动通信网络和通信软件客户端的端到端数据加密系统,包括账号管理中心、密钥处理模块和终端处理模块,所述账号管理中心和所述密钥处理模块通过移动通信网络交互,所述账号管理中心根据UAC,对所述密钥管理模块的请求进行认证,管理、分发GEK和EUEK,所述密钥管理模块根据预置算法,生成UEK,或者通过GEK、EUEK获得UEK,所述终端处理模块通过预置算法,使用UEK对用户数据进行加解密,并与通信软件客户端交互加密数据,从而在所述终端处理模块上实现加密/解密。
[0009]由于本发明采用终端数据加密后传输的方式实现端到端加密,避免了现有技术下网络节点存在明文传输的缺陷,避免了网络运营商对密钥的掌控,并降低了通信软件提供商泄密风险,提高了通信的安全性和安全等级;由于本发明将数据加密的两个重要部分:密钥和密文分开管理和传送,极大降低了由单一提供商管理的安全性风险;由于本发明采用账号和移动设备识别码生成密钥,并采用对称加密算法,简化了数据加密系统,方便了使用,降低了加密成本;由于本发明中发送方的加密数据只能使用接收方的账号在其初始登录时的移动设备上才能解密,而移动设备通常都由使用者贴身携带,物理上提高了安全等级。
【专利附图】
【附图说明】
[0010]图1是基于移动通信网络和通信软件客户端的本发明的结构示意图。
[0011]图2是本发明涉及的初始登录过程示意图。
[0012]图3是本发明涉及的保密数据交互过程示意图。
【具体实施方式】
[0013]下面结合附图,对本发明作进一步的说明:
本发明描述中所涉及的名词解释如下:
UACjP User Account,用户账号,用来在账号管理中心分类不同的使用者。
[0014]UEK,即User Encrypt1n Key,用户密钥,用来对用户数据进行加密处理所使用的密钥。
[0015]GEK,即General Encrypt1n Key,主密钥,用来对UEK进行加/解密处理的密钥。
[0016]EUEKjflEncrypt User Encrypt1n Key,加密用户密钥,存在于传输和保存过程。
[0017]DATA,指用户明文数据。
[0018]EDATAJPEncrypt Data,加密的用户数据。
[0019]IMEI, GSM移动设备的识别码,这里泛指各种制式的移动通信设备识别码,具有全球唯一性。
[0020]本发明提供了一种基于移动网络和通信客户端的端到端加密方法,采用对称加密算法进行数据加密,采用账号管理中心对有权使用者进行身份和密钥管理,采用密钥处理模块对这个保密系统进行密钥管理、算法管理和加解密处理,以账号和移动通信设备识别码(例如:MEI)为基础生成加密密钥或解密密钥,通过对称加密算法对明文/密文的数据信息进行加密/解密,并借助通信软件客户端传送加密数据,以实现端到端的加密通信。
[0021]为实现上述方法,本发明提供了一种基于移动网络和通信客户端的端到端加密系统,包括账号管理中心、密钥处理模块和终端处理模块,所述账号管理中心负责UAC、GEK和EUEK的分发、存储、更新和删除;所述密钥处理模块内置有登录账号处理单元、密钥加密单元和密钥解密处理单元,负责根据UAC、ME1、GEK使用预置算法生成EUEK并上传给账号管理中心,或者根据EUEK和GEK使用预置算法生成UEK并传送给终端处理单元进行加密/解密;所述终端处理单元负责接收输入数据DATA或EDATA,并根据UEK使用预置算法对DATA或EDATA进行加密/解密处理;处理后的数据借助于通信软件客户端,通过移动通信网络传送和接收。
[0022]本发明所述数据加密系统可使用现有技术编写,可作为单独软件产品安装在移动设备上;本发明所涉及的加解密算法采用对称加密算法,可采用技术成熟稳定性高的DES、3DES等公开算法,结构简单,对于移动设备来说安全性已经足够,并且运算速度快,占用资源少,特别适用于即时通信系统。
[0023]本发明所述一种基于移动网络和通信客户端的端到端数据加密方法,依赖于所述一种基于移动网络和通信客户端的端到端数据加密系统,其具体实施分为初始登录过程和保密数据交互过程两大步骤:
如附图2所示,初始登录过程:使用者通过所述密钥处理模块内的所述登录账号处理单元向所述账号管理中心请求UAC,所述账号管理中心认证后分发UAC给所述登录账号处理单元,并传递给所述密钥处理模块内的所述密钥加密单元,所述密钥加密单元从所述账号管理中心获取GEK,同时将UAC和MEI按照预置规则组成UEK,然后以GEK为密钥对UEK使用预置算法加密成EUEK,并上传给所述账号管理中心。
[0024]如附图3所示,保密数据交互过程:发送方使用已有的UAC登录所述账号管理中心,通过指定加密数据的接收方,其所述密钥处理模块内的所述密钥解密单元从所述账号管理中心获得GEK和接收方的EUEK,然后以GEK为密钥对EUEK使用预置算法解密成UEK,并传递给所述终端处理模块,所述终端处理模块接收到来自用户的数据DATA,以UEK为密钥使用预置算法对DATA加密成EDATA,发送方将EDATA通过所述通信软件客户端经由移动通信网络传送出去;接收方的所述通信软件客户端收取到EDATA后,由接收方传递给所述终端处理模块,接收方使用已有的UAC登录所述账号管理中心,其所述密钥处理模块内的所述密钥解密单元从所述账号管理中心获得GEK和自身的EUEK,然后以GEK为密钥对EUEK使用预置算法解密成UEK,并传递给所述终端处理模块,所述终端处理模块对UEK使用预置规则分解出所包含的MEI,并与当前移动设备的识别码进行比对,如果一致,那么所述终端处理模块以UEK为密钥对EDATA使用预置算法进行解密,还原出DATA。
【权利要求】
1.一种基于移动网络和通信客户端的端到端加密方法,其特征是包括如下步骤: 采用对称加密算法进行密钥和数据的加密; 采用账号管理中心对保密系统进行账号管理和密钥管理,其中包括对加密用户的认证、账号的生成与管理、主密钥的产生、分发、更新和删除以及用户密钥的储存和分发; 采用密钥处理模块处理用户密钥的生成、传输和加解密; 采用终端处理模块对用户数据进行加解密处理,但不直接传输,而是根据数据加密与传输通道分离的安全原则,借助于通信软件客户端来担当加密数据传输任务,提升安全等级。
2.如权利要求1所述的一种基于移动网络和通信客户端的端到端加密方法,其特征在于:加密数据发送方可以通过登陆账号管理中心后指定数据接收方的方式实现加密数据的一对一加解密。
3.如权利要求1所述的一种基于移动网络和通信客户端的端到端加密方法,其特征在于:加密数据接收方进行数据解密时必须使用初始登陆时的账号及设备。
4.如权利要求1所述的一种基于移动网络和通信客户端的端到端加密方法,其特征在于:采用的对称加密算法是公开的算法或私有的算法,对主密钥的加密算法和对用户数据的加密算法可采用相同的算法或不同的算法。
5.如权利要求3所述的一种基于移动网络和通信客户端的端到端加密方法,其特征在于:对用户数据加密时使用的用户密钥包含了用户账号和移动设备识别码的信息,解密数据前对这些信息进行比对,从而实现账号和移动设备与数据解密的绑定。
6.一种基于移动网络和通信客户端的端到端加密系统,其特征是所述的系统包括账号管理中心、密钥处理模块和终端处理模块,所述账号管理中心负责UAC、GEK和EUEK的分发、存储、更新和删除;所述密钥处理模块内置有登录账号处理单元、密钥加密单元和密钥解密处理单元,负责根据UAC、IME1.GEK使用预置算法生成EUEK并上传给账号管理中心,或者根据EUEK和GEK使用预置算法生成UEK并传送给终端处理单元进行加密/解密;所述终端处理单元负责接收输入数据DATA或EDATA,并根据UEK使用预置算法对DATA或EDATA进行加密/解密处理;处理后的数据借助于通信软件客户端,通过移动通信网络传送和接收。
【文档编号】H04L29/06GK104270380SQ201410543964
【公开日】2015年1月7日 申请日期:2014年10月15日 优先权日:2014年10月15日
【发明者】叶涛 申请人:叶涛