一种基于标识密码的数据加密系统及方法与流程
本发明涉及加密技术领域,具体而言,涉及一种基于标识密码的数据加密系统及方法。
背景技术:
随着网络技术应用的日益普及,网络信息的安全性变得愈发重要。在进行安全通信时要解决的两个首要问题是:用户的身份认证(即证明通信各方的身份)和数据的私密性(即保证数据不被未授权方获取)。
这些问题都需要依靠相应的密码技术来解决。用户身份认证是安全的第一道大门,是各种安全措施可以发挥作用的前提。最常见的身份验证形式就有:采用用户名加口令方式和pki/ca系统,但这两种方式都存在着不同的缺陷:
户名加口令方式存在的缺陷:
(1)用户名和密码往往过于简单且带有一定的规律性,易被猜测、易泄露。
(2)用户在输入密码时易被偷窥,而密码在传输的过程中也易被黑客截获。
(3)用户在输入密码时易被偷窥,而密码在传输的过程中也易被黑客截获。
pki/ca系统存在的缺陷:
(1)发送方在发送信息前总需要先获取接收方的证书。
(2)在每收到一个证书后,实体都需要验证证书的有效性。
(3)证书使用过程的复杂性使得不具备相关知识的普通用户难以驾驭。
技术实现要素:
本发明的目的在于提供一种基于标识密码的数据加密系统,它简化了管理,具有适用性广和节省资源的优点。
本发明的另一目的在于提供一种基于标识密码的数据加密方法,具有相应效果。
为了实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供了一种基于标识密码的数据加密系统,其特征在于,所述系统包括:
密钥管理中心,用于公布参数和响应加密单元的指令,以及响应解密单元的指令;
数据加密通道,用于连通加密单元和密钥管理中心的数据传输,以及连通解密单元和密钥管理中心的数据传输;
加密单元,用于进行数据加密;
解密单元,用于进行数据解密。
进一步的,所述加密单元包括:
加密数据获取模块,用于获取用来加密的数据,包括:密钥管理中心公的参数和从本地获取加密公钥;
数据加密模块,用于根据从密钥管理中心获取的参数和本地获取的密钥对数据进行加密。
进一步的,所述解密单元包括:
解密数据获取模块,用于获取用来加密的数据,包括:密钥管理中心公的参数和从本地获取加密私钥;
数据解密模块,用于根据从密钥管理中心获取的参数和私钥对数据进行加密。
另一方面,本发明提供了一种基于标识密码的数据加密方法,其特征在于,所述方法包括:
步骤1:密钥管理中心公开发布一组参数,记为p;
步骤2:加密单元通过数据加密通道获取密钥管理中心发布的参数p;
步骤3:加密单元在本地获取加密密钥,作为公钥,记为s;
步骤4:加密单元结合在本地获取的加密密钥s和参数p对需要进行发送的信息进行加密;
步骤5:解密单元接收到加密单元发送过来的信息后,首先在本地查询公钥s对应的私钥h;若本地存在公钥s对应的私钥h,则结合查询到的私钥h和参数p对接收到的信息进行解密;若本地不存在公钥s对应的私钥h,则执行步骤5;
步骤6:解密单元通过加密数据通道向密钥管理中心申请公钥对应的私钥,然后根据申请得到的私钥和参数p,对接收到的信息进行解密。
进一步的,所述参数p=p*q,其中p和q均为大素数。
进一步的,所述加密密钥s为的手机号或邮件地址。
本发明实施例提供的一种基于标识密码的数据加密系统,所述系统简化了管理。如果用pki,拥有1000个用户的一家组织要创建及维护1000个证书。与这些证书相关的密钥要不断更新,旧密钥还要保存起来。持有证书的用户离开组织后,就要撤销相关证书。因此,撤销列表也要维护、发布及不断更新pki的证书管理还会因为存档邮件而变得复杂。证书管理的最佳策略建议:最好每年撤销证书,为每个用户创建新证书。相比之下,本发明的基于标识密码的数据加密系统及方法,只需要管理用来为每个员工创建公钥和私钥的主密码和一组公共参数,用一组信息取代了一千个证书。这些信息结合每个用户的电子邮件地址,就可以创建惟一的密钥。如果对加密电子邮件进行解密,管理员只需要该用户的电子邮件地址、公共参数和主密码。
同时,本发明的基于标识密码的数据加密系统及方法能够发送加密信息给没有数字证书的接收方。这样一来,如果需要,企业可以与客户和合作伙伴进行安全通信。通过在智能卡和ukey上部署本发明的数据加密系统,开发人员能够开发更安全、更适用、更具性价比的在线和离线企业通讯应用软件。这一技术适用的领域包括电子政府、电子和移动商务、安全文档的无线管理、访问控制、个人认证令牌等。
另一方面,本发明实施例提供的一种基于改进的层次分析法的地质灾害评估方法,具有相应的效果。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的基于标识密码的数据加密系统的系统结构示意图。
图2示出了本发明实施例提供的基于标识密码的数据加密方法的方法流程示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
第一实施例
本发明第一实施例提供了一种基于标识密码的数据加密系统,其特征在于,所述系统包括:
密钥管理中心,用于公布参数和响应加密单元的指令,以及响应解密单元的指令;
数据加密通道,用于连通加密单元和密钥管理中心的数据传输,以及连通解密单元和密钥管理中心的数据传输;
加密单元,用于进行数据加密;
解密单元,用于进行数据解密。
进一步的,所述加密单元包括:
加密数据获取模块,用于获取用来加密的数据,包括:密钥管理中心公的参数和从本地获取加密公钥;
数据加密模块,用于根据从密钥管理中心获取的参数和本地获取的密钥对数据进行加密。
进一步的,所述解密单元包括:
解密数据获取模块,用于获取用来加密的数据,包括:密钥管理中心公的参数和从本地获取加密私钥;
数据解密模块,用于根据从密钥管理中心获取的参数和私钥对数据进行加密。
第二实施例
本发明第二实施例提供了一种基于标识密码的数据加密方法,其特征在于,所述方法包括:
步骤1:密钥管理中心公开发布一组参数,记为p;
步骤2:加密单元通过数据加密通道获取密钥管理中心发布的参数p;
步骤3:加密单元在本地获取加密密钥,作为公钥,记为s;
步骤4:加密单元结合在本地获取的加密密钥s和参数p对需要进行发送的信息进行加密;
步骤5:解密单元接收到加密单元发送过来的信息后,首先在本地查询公钥s对应的私钥h;若本地存在公钥s对应的私钥h,则结合查询到的私钥h和参数p对接收到的信息进行解密;若本地不存在公钥s对应的私钥h,则执行步骤5;
步骤6:解密单元通过加密数据通道向密钥管理中心申请公钥对应的私钥,然后根据申请得到的私钥和参数p,对接收到的信息进行解密。
进一步的,所述参数p=p*q,其中p和q均为大素数。
进一步的,所述加密密钥s为的手机号或邮件地址。
第三实施例
本发明实施例3一方面提供了一种基于标识密码的数据加密系统,其特征在于,所述系统包括:
密钥管理中心,用于公布参数和响应加密单元的指令,以及响应解密单元的指令;
数据加密通道,用于连通加密单元和密钥管理中心的数据传输,以及连通解密单元和密钥管理中心的数据传输;
加密单元,用于进行数据加密;
解密单元,用于进行数据解密。
进一步的,所述加密单元包括:
加密数据获取模块,用于获取用来加密的数据,包括:密钥管理中心公的参数和从本地获取加密公钥;
数据加密模块,用于根据从密钥管理中心获取的参数和本地获取的密钥对数据进行加密。
进一步的,所述解密单元包括:
解密数据获取模块,用于获取用来加密的数据,包括:密钥管理中心公的参数和从本地获取加密私钥;
数据解密模块,用于根据从密钥管理中心获取的参数和私钥对数据进行加密。
另一方面,本发明实施例3提供了一种基于标识密码的数据加密方法,其特征在于,所述方法包括:
步骤1:密钥管理中心公开发布一组参数,记为p;
步骤2:加密单元通过数据加密通道获取密钥管理中心发布的参数p;
步骤3:加密单元在本地获取加密密钥,作为公钥,记为s;
步骤4:加密单元结合在本地获取的加密密钥s和参数p对需要进行发送的信息进行加密;
步骤5:解密单元接收到加密单元发送过来的信息后,首先在本地查询公钥s对应的私钥h;若本地存在公钥s对应的私钥h,则结合查询到的私钥h和参数p对接收到的信息进行解密;若本地不存在公钥s对应的私钥h,则执行步骤5;
步骤6:解密单元通过加密数据通道向密钥管理中心申请公钥对应的私钥,然后根据申请得到的私钥和参数p,对接收到的信息进行解密。
进一步的,所述参数p=p*q,其中p和q均为大素数。
进一步的,所述加密密钥s为的手机号或邮件地址。
综上所述,本发明的数据加密系统及方法简化了管理。如果用pki,拥有1000个用户的一家组织要创建及维护1000个证书。与这些证书相关的密钥要不断更新,旧密钥还要保存起来。持有证书的用户离开组织后,就要撤销相关证书。因此,撤销列表也要维护、发布及不断更新pki的证书管理还会因为存档邮件而变得复杂。证书管理的最佳策略建议:最好每年撤销证书,为每个用户创建新证书。相比之下,本发明的基于标识密码的数据加密系统及方法,只需要管理用来为每个员工创建公钥和私钥的主密码和一组公共参数,用一组信息取代了一千个证书。这些信息结合每个用户的电子邮件地址,就可以创建惟一的密钥。如果对加密电子邮件进行解密,管理员只需要该用户的电子邮件地址、公共参数和主密码。
同时,本发明的基于标识密码的数据加密系统及方法能够发送加密信息给没有数字证书的接收方。这样一来,如果需要,企业可以与客户和合作伙伴进行安全通信。通过在智能卡和ukey上部署本发明的数据加密系统,开发人员能够开发更安全、更适用、更具性价比的在线和离线企业通讯应用软件。这一技术适用的领域包括电子政府、电子和移动商务、安全文档的无线管理、访问控制、个人认证令牌等。。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个单元、程序段或代码的一部分,所述单元、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能单元可以集成在一起形成一个独立的部分,也可以是各个单元单独存在,也可以两个或两个以上单元集成形成一个独立的部分。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onl8memor8)、随机存取存储器(ram,randomaccessmemor8)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
- 还没有人留言评论。精彩留言会获得点赞!