条码动态加密方法及装置、条码动态解密方法及装置与流程

本发明涉及信息安全技术领域，特别是涉及一种条码动态加密方法及装置、条码动态解密方法及装置。

背景技术：

随着国家经济的快速发展，汽车逐渐成为人们生活的必需品，汽车产业迅速发展，成为国民经济重要支柱。数据显示，截至2017年底，我国机动车保有量达3.10亿辆,其中汽车2.17亿辆，机动车驾驶人达3.85亿人,其中汽车驾驶人3.42亿人。近年来，在互联网+、大数据的背景下，汽车行业管理在各个环节的数字化、网络化和智能化不断推进，数据安全成为汽车工业互联网安全保障的重要任务之一。

以办理汽车缴税和注册登记为例，汽车生产下线并经检验合格后，车企须向主管部门传送车辆数据，并配发机动车出厂合格证、车辆生产一致性证书、环保随车清单书等纸质凭证(含条码信息)，其中机动车出厂合格证条码信息为加密信息，需使用特定软件进行识别读取，我们也基于合格证的数据加密与交互方式，进行探讨。主管部门与行政管理部门或其他相关使用方完成电子数据交换，使用方通过扫描凭证二维条码读取车辆电子数据，核查车辆数据合法性，并为车主办理相关后续手续。数据传输中的信息加密技术是数据安全的重要保证。当前随着信息技术的发展与进步，数据加密方法被破解的风险急剧增加，为进一步加强数据传输安全性、完整性和可靠性。

技术实现要素：

本发明要解决的技术问题是提供一种条码动态加密方法及装置、条码动态解密方法及装置，采用中心化专用网络或vpn共享加解密算法及密钥的方式，进行加密解密方式的动态管理，从而进一步加强了数据传输安全性、完整性和可靠性。

为解决上述技术问题，本发明提供了一种条码动态加密方法，所述方法包括：获取需要加密的数字信息；获取加解密字典动态生成的加密所需要的密钥，并动态生成加密需要使用的加密算法生成器；以及利用所述加密算法生成器对所述数字信息进行加密，得到所述数字信息对应的密文。

作为本发明技术方案的一种改进，对不同算法的加密和解密过程赋予唯一算法序列号并建立对应关系，形成所述加解密字典，所述加解密字典包含加解密规则，且所述加解密字典通过专用网络共享、离线拷贝的非网络方式、使用共同的服务器三种方式调用。

作为本发明技术方案的一种改进，在动态生成加密需要使用的加密算法生成器之后，利用所述加密算法生成器对所述数字信息进行加密，得到所述数字信息对应的密文之前，还包括：对所述数字信息进行哈希运算，以得到信息摘要；以及利用所述密钥对所述信息摘要进行加密，以得到数字签名，并将所述数字签名附加在所述数字信息上。

作为本发明技术方案的一种改进，在获取需要加密的数字信息之后，在获取加密字典生成的加密所需要的密钥之前，还包括：判断加密算法的类型，其中，所述加密算法的类型包括：对称加密算法及非对称加密算法；如果所述加密算法的类型是非对称加密算法，获取加解密字典生成的加密所需要的密钥，并生成加密需要使用的加密算法生成器，包括：获取加解密字典生成的私钥及公钥，并根据非对称加密算法的类型和公钥生成加密需要使用的加密算法生成器；如果所述加密算法的类型是对称加密算法，获取加解密字典生成的加密所需要的密钥，并生成加密需要使用的加密算法生成器，包括：获取加解密字典生成的对称密钥，并根据对称加密算法的类型和对称密钥生成加密需要使用的加密算法生成器；如果所述加密算法的类型是非对称加密算法，利用所述密钥对所述信息摘要进行加密，以得到数字签名，并将所述数字签名附加在所述数字信息上，包括：利用所述公钥对所述信息摘要进行加密，以得到数字签名，并将所述数字签名附加在所述数字信息上；如果加密算法的类型是对称加密算法，利用所述密钥对所述信息摘要进行加密，以得到数字签名，并将所述数字签名附加在所述数字信息上，包括：利用对称密钥对所述信息摘要进行加密，以得到数字签名，并将所述数字签名附加在所述数字信息上。

此外，本发明还提供了一种条码动态解密方法，所述方法包括：获取待解密的密文；获取所述加解密字典生成的解密所述密文需要的密钥；根据所述密钥获取解密需要使用的解密算法生成器，并通过所述解密算法生成器对所述密文进行解密。

作为本发明技术方案的一种改进，对不同算法的加密和解密过程赋予唯一算法序列号并建立对应关系，形成所述加解密字典，所述加解密字典包含加解密规则，所述加解密字典通过专用网络共享、离线拷贝的非网络方式、使用共同的服务器三种方式调用。

作为本发明技术方案的一种改进，在根据所述密钥获取解密需要使用的解密算法生成器，并通过所述解密算法生成器对所述密文进行解密之后，还包括：对所述数字签名进行解密，以得到信息摘要；对所述数字信息进行哈希运算，以得到参考信息摘要；以及将所述信息摘要与所述参考信息摘要进行比较，以判断所述密文是否被篡改。

作为本发明技术方案的一种改进，在获取待解密的密文之后，获取所述加密字典生成的解密所述密文需要的密钥之前，还包括：判断解密算法的类型，所述解密算法包括：对称解密算法及非对称解密算法；如果所述解密算法为非对称解密算法，获取所述加密字典生成的解密所述密文需要的密钥，包括：获取所述加密字典生成的解密所述密文需要的私钥；如果所述解密算法为对称解密算法，获取所述加密字典生成的解密所述密文需要的密钥，包括：获取所述加密字典生成的解密所述密文需要的对称密钥；如果所述解密算法为非对称解密算法，根据所述密钥获取解密需要使用的解密算法生成器，并通过所述解密算法生成器对所述密文进行解密，以得到附加了数字签名的数字信息，包括：根据所述私钥获取解密需要使用的解密算法生成器，并通过所述解密算法生成器对所述密文进行解密，以得到附加了数字签名的数字信息；如果所述解密算法为对称解密算法，根据所述密钥获取解密需要使用的解密算法生成器，并通过所述解密算法生成器对所述密文进行解密，以得到附加了数字签名的数字信息，包括：根据对称密钥获取解密需要使用的解密算法生成器，并通过所述解密算法生成器对所述密文进行解密，以得到附加了数字签名的数字信息。

此外，本发明还提供了一种条码动态加密装置，所述装置包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如前文所述的条码动态加密方法。

此外，本发明还提供了一种条码动态解密装置，所述装置包括：一个或多个处理器：存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如前文所述的条码动态解密方法。

采用这样的设计后，本发明至少具有以下优点：

采用中心化专用网络或vpn共享加解密算法及密钥的方式，进行加密解密方式的动态管理，从而进一步加强了数据传输安全性、完整性和可靠性。

附图说明

上述仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，以下结合附图与具体实施方式对本发明作进一步的详细说明。

图1是本发明通过专用网络共享加解密字典的网络的网络结构图；

图2是本发明数字签名过程的流程图；

图3是本发明基于专用网络的动态加密方案的流程图；

图4是本发明基于专用网络的动态加密方案的应用系统的系统结构图；

图5是本发明条码动态加密装置及条码动态解密装置的结构图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。在信息加密技术中密钥管理是使用加密算法时最棘手的问题，它不仅涉及如何将密钥值安全地分发给所有通信方，还涉及密钥的生命周期管理、密钥被破解时应采取什么措施等问题。按照国际上通行的惯例，按照双方收发的密钥是否相同的标准划分为两大类：一种是对称加密算法，其特征是收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较典型的对称加密算法有des(dataencryptionstandard数据加密标准)算法及其变形tripledes(三重des)，gdes(广义des)；欧洲的idea；日本的fealn、rc5等，其中影响最大的是des密码。对称加密算法优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。另一种是公钥加密算法(也叫非对称加密算法)。其特征是收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法rsa、背包密码、mceliece密码、diffie-hellman、rabin、ongfiatshamir、零知识证明的算法、椭圆曲线、eigamal算法等。最有影响的公钥密码算法是rsa，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。

当前各领域使用的二维条码加密技术中，通常基于上述其中某一种加密算法实现加密解密过程。而本文设计的加密方法高安全性的核心之一，是在专用网络环境下建立动态密码系统，即在系统中纳入多种加密算法，包括des、idea等对称加密算法，也可以包含rsa、ecc、diffie-hellman、elgamal等非对称加密算法。系统对不同算法的加密和解密过程赋予唯一算法序列号并建立对应关系，形成加解密字典，发信方信息加密过程由系统随机调用唯一加密算法进行加密，收信方通过专用网络共享、离线拷贝的非网络方式、使用共同的服务器三种方式调用加解密字典，从而实现动态密码的加密和解密过程。其中通过专用网络共享加解密字典的结构如图1所示。

加解密字典是实现动态密码管理的前提，它拥有所有的加密服务器和解密服务器的信息。如果新添加一台加密服务器(或者解密服务器)，必须更新加解密字典。如果弃用了一台加密服务器(或者解密服务器)，也要更新加解密字典，但弃用的服务器信息不能删掉，这是为了兼容已经产生的加密数据。

同时，加解密字典须包含加解密规则。加密服务器可以要求加解密字典生成一个新的加密记录，记录里面有加密所需密钥和加密服务器的公钥。解密服务器可以查询加解密字典，得到解密所需要的密钥和加密服务器的公钥。

在建立动态加密系统对重要数据进行安全性防护方案的同时，为进一步提高数据安全性能，本文动态加密方案中采用了基于非对称加密算法的单向认证的数字签名技术，用于验证发信方与收信方之间发送的报文信息是否被篡改。

数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用hash函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。数字签名的过程如图2所示：

基于专用网络的动态加密方案的系统使用流程如图3所示：

行业主管部门与其他使用方之间进行通信时，数据信息加密过程如下：

加密引擎(解密引擎)拥有自己的私钥和公钥，同时能访问加解密字典的公钥，和加解密字典的加解密规则。

加密引擎(解密引擎)拥有多个加密算法生成器(解密算法生成器)。

加解密按照下面的步骤进行：

01.加密引擎得到要加密的数字信息(明文)。

02.加密引擎访问加解密字典，确定使用哪种加密方式，如果确定使用非对称加密方式。则跳到步骤03，否则跳到步骤12。

03.加解密字典生成本次加解密需要的公钥(pk)和私钥(sk)，加密引擎根据加密算法的类型和pk生成加密要用的加密算法生成器。

04.加密引擎对数字信息进行哈希运算，得到一个信息摘要。

05.加密引擎用自己的私钥对信息摘要进行加密得到加密引擎的数字签名，并将其附在数字信息上。

06.加密引擎用加密算法生成器对数字信息进行加密，得到加密后的密文。密文附加上本次加解密规则编号(加解密字典理解这个编号的意义)，就是最终的加密数据。

07.解密引擎得到加密数据之后，访问加解密字典，根据加密数据中附加的加解密规则编号确定使用哪种解密方式(现在确定为非对称加解密方式)，解密用的sk，以及加密引擎公钥。

08.解密引擎根据解密算法的类型和sk生成解密要用的解密算法生成器。并对密文解密得到明文。

09.解密引擎用加密引擎的公钥对加密引擎的数字签名进行解密，得到信息摘要。

10.解密引擎用相同的哈希算法对得到的明文再进行一次哈希运算，得到一个新的信息摘要。

11.解密引擎将得到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。

12.加解密字典生成本次加解密需要的密钥ck，加密引擎根据加密算法的类型和ck生成加密要用的加密算法生成器。

13.加密引擎对数字信息进行哈希运算，得到一个信息摘要。

14.加密引擎用自己的私钥对信息摘要进行加密得到加密引擎的数字签名，并将其附在数字信息上。

15.加密引擎用加密算法生成器对数字信息进行加密，得到加密后的密文。密文附加上本次加解密规则编号(加解密字典理解这个编号的意义)，就是最终的加密数据。

16.解密引擎得到加密数据之后，访问加解密字典，根据加密数据中附加的加解密规则编号确定使用哪种解密方式(现在确定为对称加解密方式)，解密用的ck，以及加密引擎公钥。

17.解密引擎根据解密算法的类型和ck生成解密要用的解密算法生成器。并对密文解密得到明文。

18.解密引擎用加密引擎的公钥对加密引擎的数字签名进行解密，得到信息摘要。

19.解密引擎用相同的哈希算法对得到的明文再进行一次哈希运算，得到一个新的信息摘要。

20.解密引擎将得到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。

21.解密后的数据与数据交换后的电子信息根据规则进行数据比对，根据规则决定是否通过使用方的系统校验。

基于专用网络的动态加密方案不仅限于汽车行业管理应用，同样适用于纸质凭证中存在数据加密条码信息，且在使用环节中须对加密的二维条码进行核验与纸质信息比对的场景。基本的应用场景如图4所示，应用过程如下：

1.企业用户通过配发凭证计算机进行数据的上传。

2.加密服务器根据规则从加密字典中选取加密方法及相关所需的必要因子，如向量、key指等。

3.加密的数据以约定的方式回传至配发计算机。

4.配发计算机根据约定打印相关信息至纸质凭证。

5.在核验比对环节，由使用者至管理机构通过终端向解密服务器发起请求。

6.解密后的数据以约定方式传送至应用server，再以约定方式传送至应用client，展现给终端办事人员与消费者或使用用户。

本文中基于专用网络建立的动态加密方案，有别于当前流行的各种分布式系统去中心化思路。针对行业管理中数据应用特点和安全级别要求，有必要通过专用网络形成强大中心节点，因为整个系统的核心被控制的很好，系统基本上是封闭的，对外的接口访问不到内部的数据，也看不到内部的结构，以此大幅提高保密性。由于对外界暴露的接口十分有限，外界很难侵入系统内部，即便有数据被破解了，影响也很有限。同时，这种实现方式具有扩展性强，易调整，并且能够兼容老数据等优点。

此外，方案中对对称加密算法或非对称加密算法都采用了数字签名，确保数据信息传输的完整性，实现对数据信息发送者的身份认证，保证数据信息的不可抵赖性，有助于行业主管部门和相关使用方开展行业监管工作。

加密服务器一般只有一个，加解密字典一般有两种：一种是用于加密解密数据的加解密字典，一种是管理加密解密服务器的加解密字典，其中管理加解密服务器的加解密字典必然为非对称加密方式，用于加密解密数据的加解密字典可以为对称或非对称加密；但为了验证数据，数据可读所以两种加密方式必然都是可逆的加密；加密服务器一般留有用于加解密数据的加解密字典的私钥，公钥安装在解密服务器上。一旦切换加密服务器，需重新发放新的加解密字典的公钥，并停止加解密字典的原有私钥加密，保留揭秘服务器的加解密字典的解密功能。

图5是本发明条码动态加密装置的结构图。参见图5，条码动态加密装置包括：中央处理单元(cpu)501，其可以根据存储在只读存储器(rom)中的程序或者从存储部分508加载到随机访问存储器(ram)503中的程序而执行各种适当的动作和处理。在ram503中，还存储有系统操作所需的各种程序和数据。cpu501、rom502以及ram503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。

以下部件连接至i/o接口505：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至i/o接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。

特别的，根据本发明实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(cpu)501执行时，执行本发明的方法中限定的上述功能。需要说明的是，本发明的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意结合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何恰当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连的表示的方框实际上可以基本并行的执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。

需要说明的是，本发明实施例中给出的条码动态解密装置也可以具有如图5示出的结构。其中各个组件的功能和作用与上文中给出的条码动态加密装置相类似，在此不再赘述。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，本领域技术人员利用上述揭示的技术内容做出些许简单修改、等同变化或修饰，均落在本发明的保护范围内。