一种CPK文件加密方法、加密机、加密通信系统及储存介质与流程

本发明涉及通信加密领域,尤其涉及加密方法及应用其的加密机。

背景技术：

随着互联网技术的发展普及,网络信息安全越来越受到重视,而实现信息安全离不开通信加密。一般的加密通信过程中，首先需要确定通信对象(即解密方)，获取通信对象的公钥并且使用通信对象的公钥对明文进行加密生成加密文件，通信对象使用自身私钥对加密文件解密得到明文，以此方式实现通信的信息安全。

然而，上述过程必须在通信对象与公钥是匹配的情况下才是安全的，攻击者有可能通过伪造公钥，让加密方认为通信对象使用的是伪造的公钥的方式，达到窃取明文的目的。因此，通信对象与公钥的匹配是否真实是实现信息安全的关键。

现有技术中，常用pki公钥体系，通过具有公信力的第三方验证通信对象与公钥是否真正的匹配，从而保证通信的信息安全，然而该方式的验证过程繁琐，使用不便。

技术实现要素：

为了解决上述问题，本发明提供一种标识加密方法及应用其的加密机，其无需依赖第三方即可对加密文件进行验证，支持离线验证。

本发明解决其技术问题提供的第一种技术方案是：

一种cpk文件加密方法：

加密方获取解密方标识数据以及明文；

加密方根据解密方标识数据以及种子公钥生成标识公钥；

加密方根据加密方标识数据以及明文生成签名数据；

加密方使用标识公钥对签名数据以及明文进行加密形成加密文件。

优选地，加密方在获取解密方标识数据以及明文之前需要进行身份验证，解密方在获取加密文件之前需要进行身份验证。

优选地，加密方储存不同的解密方标识数据以形成通信录，加密方能够读取通信录以获取解密方标识数据。

优选地，加密方能够对通信录中的每条解密方标识数据进行注释，加密方能够根据注释搜索通信录以读取与注释对应的解密方标识数据。

优选地，加密方生成加密文件使用椭圆曲线加密算法。

本发明提供的第二种技术方案是：

应用上述一种cpk文件加密方法的加密机，包括：

主控芯片，包括有加密模块，所述加密模块烧录有种子公钥以及种子私钥；

连接端口，与主控芯片电性连接，所述连接端口能够与外部设备电性连接以传输数据，所述加密模块还烧录有自身标识数据或所述加密模块通过连接端口获取自身标识数据，所述加密模块能够通过连接端口获取通信对象的标识数据。

优选地，还包括与所述主控芯片电性连接的储存器，所述储存器设置有保密区。

优选地，还包括与所述主控芯片电性连接的指纹认证模块。

本发明提供的第三种技术方案是：

加密通信系统，包括两个上述加密机，两个加密机具有相同的种子公钥以及相同的种子私钥，还包括第一通信设备以及第二通信设备，两个加密机其中之一作为加密方与第一通信设备连接，另一作为解密方与第二通信设备连接；

加密方获取解密方标识数据以及明文；

加密方根据解密方标识数据以及种子公钥生成标识公钥；

加密方根据加密方标识数据以及明文生成签名数据；

加密方使用标识公钥对签名数据以及明文进行加密形成加密文件；

解密方获取加密文件；

解密方根据解密方标识数据结合种子私钥生成标识私钥；

解密方使用标识私钥对加密文件进行解密获取签名数据以及明文；

解密方从签名数据获取加密方标识数据，并且将加密方标识数据结合种子公钥生成验证公钥；

解密方使用验证公钥对签名数据进行验证，若通过验证则输出明文，若不通过验证则提示验证错误信息。

本发明提供的第四种技术方案是：

储存介质，能够与外部处理设备连接执行上述一种cpk文件加密方法。

本发明的有益效果是：加密方获取解密方标识数据，并且根据解密方标识数据以及种子公钥直接生成标识公钥，解密方使用标识公钥对签名数据以及明文打包生成加密文件，以此方式，加密方无需获取解密方的公钥进行加密，避免伪造公钥的攻击，加密方自己生成标识公钥，保证解密方标识数据与标识公钥的匹配关系，无需第三方的辅助，使用方便。

附图说明

下面结合附图和实施例对本发明进一步说明：

图1是一种cpk文件加密方法的处理流程图；

图2是加密机的处理流程图。

具体实施方式

本部分将详细描述本发明的具体实施例，本发明的较佳实施例在附图中示出，附图的作用在于用图形补充说明书文字部分的描述，使人能够直观地、形象地理解本发明的每个技术特征和整体技术方案，但其不能理解为对本发明保护范围的限制。

参照图1，本发明提供的一种cpk文件加密方法：

加密方获取解密方标识数据以及明文；

加密方根据解密方标识数据以及种子公钥生成标识公钥；

加密方根据加密方标识数据以及明文生成签名数据；

加密方使用标识公钥对签名数据以及明文进行加密形成加密文件。

加密方获取解密方标识数据，并且根据解密方标识数据以及种子公钥直接生成标识公钥，解密方使用标识公钥对签名数据以及明文打包生成加密文件，以此方式，加密方无需获取解密方的公钥进行加密，避免伪造公钥的攻击，加密方自己生成标识公钥，保证解密方标识数据与标识公钥的匹配关系，无需第三方的辅助，使用方便。

解密方具有与加密方相同的种子公钥和种子私钥，解密方获取加密文件后，根据自身的标识数据，即解密方标识数据以及种子私钥生成标识私钥，解密方使用标识私钥解密加密文件得到加密方的签名数据以及明文。至此，完成明文从加密方到解密方的安全传输，但是还存在解密方不能确信加密文件是真正的加密方发送的问题，所以解密方从签名数据获取加密方标识数据，根据加密方标识数据与种子公钥生成验证公钥，加密方使用验证公钥对签名数据进行验证，即可验证加密文件是否由加密方所发送。

签名数据通常包括加密方的标识数据以及验证数据，验证数据是加密方使用其私钥对明文的摘要进行加密生成的。验证公钥(即为加密方的公钥)对验证数据进行解密得到解密数据，将解密数据与原文件的摘要进行对比，若相同则通过验证，若不相同则验证失败。

加密方标识数据、解密方标识数据可以是电话号码、身份证号码、mac地址等能够起到唯一标识作用的数据。种子公钥与种子私钥是两个配对的矩阵，结合标识数据进行运算能够生成配对的公钥和私钥。例如可以是以下的方式：标识数据进行hash运算得到固定长度的字符串，将字符串分成若干段，每一段对应种子公钥或种子私钥中的一个矩阵元素，即通过字符串选取矩阵中若干个矩阵元素，然后矩阵元素进行加法、乘法或其他组合运算得出的结果数据即为标识公钥或标识私钥，标识数据与标识公钥或标识私钥一一对应。

参考图2，为了在进行加密通信时，确保加密方的使用者具有加密的权限，加密方在获取解密方标识数据以及明文之前需要进行身份验证，另外，为了确保解密方的使用者具有解密的权限，解密方在获取加密文件之前需要进行身份验证。通过身份验证，能够确保使用者具有进行加密或解密的权限，进一步提高加密通信的安全性。身份验证的具体方式可以是通过账号以及密码进行验证，亦可以是通过指纹验证的方式进行。

参考图2，为了使用更加方便，加密方储存不同的解密方标识数据以形成通信录，加密方能够读取通信录以获取解密方标识数据。由于加密的过程需要解密方标识数据进行，并且解密方的标识数据每次使用都需要重新输入会导致使用麻烦，通过从通信录中获取解密方标识数据的方式，能够方便使用者使用,无需每次输入解密方标识数据，从通讯录选取解密方(即通信对象)即可，操作便捷。

为了进一步提高使用体验，加密方能够对通信录中的每条解密方标识数据进行注释，加密方能够根据注释搜索通信录以读取与注释对应的解密方标识数据。由于解密方标识数据可能是不方便记忆的字符串如mac地址，为了方便加密方的使用者识别，通过对每条解密方标识数据进行注释，以令使用者能够根据注释便能分辨对应的解密方，并且使用者能够根据注释搜索通信录，在通信录储存有多条标识解密方标识数据时，能够快速搜索到所需的解密方标识数据，节约时间。

作为优选的实施方式，加密方生成加密文件以及解密方解密加密文件使用椭圆曲线加密算法。椭圆曲线加密算法相对于常用的rsa算法，在相同的破译时间下，椭圆曲线加密算法使用的密钥长度比rsa算法的短，例如在破译时间为10¹²mips年时，rsa算法的密钥长度为1.024×10³bit，而椭圆曲线加密算法的密钥长度为1.6×10²bit，由此可见在同样安全强度的情况下，椭圆曲线加密算法所需要的密钥长度更短，亦意味着在密钥长度相同的条件下，椭圆曲线加密算法具有更高的安全强度。

本发明提供应用上述cpk文件加密方法的加密机，包括：

包括有加密模块，加密模块烧录有种子公钥以及种子私钥；

连接端口，与主控芯片电性连接，连接端口能够与外部设备电性连接以传输数据，加密模块还烧录有自身标识数据或加密模块通过连接端口获取自身标识数据，加密模块能够通过连接端口获取通信对象的标识数据。

种子公钥以及种子私钥，能够根据输入的数据生成公钥或私钥，种子公钥与种子私钥是配对的矩阵，通过烧录在加密模块的方式，外界不能获知或更改种子公钥与种子私钥的矩阵数据，以确保加密安全可靠。自身标识数据可以是以烧录在加密模块内的实施方式，例如出厂时的唯一识别码；亦可以是通过连接端口获取自身标识数据的实施方式，例如使用者在使用时需要绑定电话号码、身份证号码等能够起到唯一识别作用的数据。自身标识数据在加密机作为加密方使用时，即为加密方标识数据，相应地，通信对象的标识数据作为解密方标识数据；在加密机作为解密方使用时，即为解密方标识数据，相应地，通信对象的标识数据作为加密方标识数据。

连接端口优选为usb端口。

作为优选的实施方式，还包括与主控芯片电性连接的储存器，储存器设置有保密区。通过设置有储存器，能够储存由不同解密方标识数据生成的通信录，并且储存器设置有保密区，能够将与不同对象通信时使用的标识公钥、标识私钥等数据储存至保密区，提高安全性，保密区需要输入口令等方式进行身份验证才能进行访问。

作为优选的实施方式，还包括与主控芯片电性连接的指纹认证模块。通过指纹认证的方式进行身份验证，能够提高使用的安全性，在进行加密、解密或访问保密区前进行指纹验证，以确保使用者具有权限进行操作，能够在加密机遗失时亦能避免数据泄露。

参考图2，加密机的处理流程，加密机包括三个功能，分别为文件加密、文件解密以及文件加密储存。在使用加密机时，通常需要与计算机等通信设备连接，连接后首先进行身份验证，以确保使用者具有对加密机进行操作的权限。

运用文件加密功能时，加密机作为加密方使用，此时自身标识数据作为加密方标识数据使用，在计算机上选择需要进行加密的文件并且选择加密输出的路径，另外在通信录中选择通信对象，确认进行加密后，加密机生成加密文件输出至选择路径。使用者使用计算机上的通信手段，如电子邮件、文件在线传输等方式将加密文件传输至通信对象。

运用文件解密功能时，加密机作为解密方使用，此时自身标识数据作为解密方标识数据使用，在计算机上选择需要进行解密的加密文件并选择解密输出路径，确认进行解密后，加密机生成原文件输出至选择的路径。

运用文件加密储存功能时，加密机同时作为加密方和解密方使用，在计算机上选择需要进行加密储存的文件，加密机使用标识数据结合种子公钥生成储存公钥，同时使用标识数据结合种子私钥生成与储存公钥配对的储存私钥，使用储存公钥对待储存的文件进行加密形成加密储存文件，然后将加密储存文件储存在储存器内，同时储存私钥储存至私密区。在需要读取加密储存文件时，加密机使用储存私钥对加密储存文件进行解密生成原文件，以令计算机能够读取获得原文件。在进行文件加密储存功能时，可以是使用加密机的自身标识数据的实施方式；亦可以是根据待储存文件生成的标识数据的实施方式，例如根据待储存文件的摘要进行hash运算得到固定长度的字符串，以字符串为标识数据的实施方式。

参考图1，本发明提供的加密通信系统：包括两个上述实施例中的加密机，两个加密机具有相同的种子公钥以及相同的种子私钥，还包括第一通信设备以及第二通信设备，两个加密机其中之一作为加密方与第一通信设备连接，另一作为解密方与第二通信设备连接。

加密方获取解密方标识数据以及明文；

加密方根据解密方标识数据以及种子公钥生成标识公钥；

加密方根据加密方标识数据以及明文生成签名数据；

加密方使用标识公钥对签名数据以及明文进行加密形成加密文件；

解密方获取加密文件；

解密方根据解密方标识数据结合种子私钥生成标识私钥；

解密方使用标识私钥对加密文件进行解密获取签名数据以及明文；

解密方从签名数据获取加密方标识数据，并且将加密方标识数据结合种子公钥生成验证公钥；

解密方使用验证公钥对签名数据进行验证，若通过验证则输出明文，若不通过验证则提示验证错误信息。

加密模块使用标识公钥对待传输文件进行加密形成加密文件，加密文件在传输过程中能保障信息安全，不会泄露，另外，在使用标识私钥解密加密文件后，通过验证公钥对签名数据进行验证，能够确保加密文件是由真正的加密方所发送，避免攻击者伪造加密文件，保障通信过程的信息安全。

本发明提供的储存介质，其能够与外部处理设备连接执行上述实施例中的cpk文件加密方法，以此实现信息安全。

上述实施例只是本发明的优选方案，本发明还可有其他实施方案。本领域的技术人员在不违背本发明精神的前提下还可作出等同变形或替换，这些等同的变型或替换均包含在本申请权利要求所设定的范围内。