专利名称:密钥传输的方法及系统的制作方法
技术领域:
本发明涉及通信安全领域,更具体地说,涉及一种密钥传输的方法及系统。
背景技术:
在互联网高速发展的今天,如何保障网络传输中的数据安全,是很多互 联网业务能否被推广的关键。由于网络传输的任何数据都暴露于网络中,若 对传输的数据进行加密,密钥的传输又将面临新的安全问题。
现有技术对密钥的传输通常是采用先加密再传输的方式进行安全保护。
例如,申请号为200580048079.4的发明专利公开了一种通信系统中密钥传输的 方法及装置,其采用的技术方案是(1 )服务器将加密后的服务密钥发送给 用户终端的安全^1块;(2)用户终端的安全模块访问用于解密所述服务密钥 的解密密钥,而该解密密钥不能被用户终端的其它功能模块访问。由于一个 加密算法的安全性不在于算法本身的复杂度而在于密钥的保密程度,该方案 中的"解密密钥"是以明文方式暴露在外,只要获得一定数量的"解密密钥", 则破解"服务密钥"是很可能的。因此该方案密钥传输的安全性不高。
现有技术还有采用双方共知的信息作为加密密钥进行密钥传输。例如, 申请号为200310123618.9的发明专利公开了一种网络传输中建立连接时动态 密码的创建方法,其采用的技术方案是数据传输使用的第二密钥是利用第 一密钥和一个加密算法生成,而第一密钥使用服务器和用户终端共知的动态 用户信息作为密钥与一个加密算法生成。该方案中的"服务器和用户终端共 知的动态用户信息,,也是以明文方式暴露在外,其安全性不高,易于被他人 获取,使密钥传输的安全性不高。
因此需要一种新的密钥传输的方法及系统,能提高密钥传输的安全性, 进而提高数据传输的安全性。
发明内容
本发明的目的之一在于提供一种密钥传输的方法及系统,旨在解决现有 技术密钥传输安全性不高的问题。
为了实现发明目的,所述系统包括第一终端和第二终端,所述第一终端 与第二终端进行数据交互,所述第一终端和第二终端分别包括加解密模块;
所述第一终端的加解密模块使用第一密钥和第一加密算法加密传输密钥, -使用第二加密算法加密第一密钥,以及对第二密钥解密;
所述第二终端的加解密模块对第一密钥和传输密钥解密,以及使用第一 密钥和第一加密算法加密第二密钥。
为了更好地实现发明目的,所述方法基于第一终端和第二终端之间的数
据交互,包括以下步骤
A. 第一终端产生第一密钥,使用第一密钥和第一加密算法加密传输密钥, 以及使用第二加密算法加密第 一 密钥;
B. 加密后的传输密钥和第一密钥通过网络传输至第二终端,第二终端对 传输密钥和第一密钥解密,以及对传输密钥进行验证;
C. 第二终端基于验证结果产生第二密钥,使用第一密钥和第一加密算法 加密第二密钥并传输至第一终端;
D. 第一终端对第二密钥解密,第一终端与第二终端之间传输的数据以第 二密钥作为加密密钥。
由上可知,本发明在密钥传输的过程中,与现有技术的区别在于使用两 种加密算法对传输密钥和第一密钥实现多层加密,因此l是高了密钥传输的安 全性;另外,在密钥传输的过程中,与现有技术的区别在于实现了密钥的更 替,即传输密钥最终更替为第二密钥,数据的传输使用第二密钥作为加密密 钥,因此进一步提高了密钥传输的安全性,进而提高了数据传输的安全性。
图1是本发明其中 一个实施例中密钥传输的系统结构图; 图2是本发明其中 一个实施例中密钥传输的方法流程图; 图3是本发明其中 一个实施例中密钥传输的方法流程图; 图4是本发明其中 一个实施例中密钥传输的方法流程图。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及 实施例,对本发明进行进一步详细说明。
具体实施例方式
在本发明中,通过在第一终端使用第一密钥和第一加密算法加密传输密 钥,以及使用第二加密算法加密第一密钥,加密后的第一密钥和传输密钥通 过网络传输至第二终端,在第二终端产生第二密钥,使用第一密钥和第一加 密算法加密第二密钥再传输至第一终端,第一终端和第二终端之间传输的数据则以第二密钥作为加密密钥。这样,密钥经过多层加密,并实现了数据加 密密钥的更替,从而提高了密钥传输的安全性,进而提高了数据传输的安全 性。
图1示出了本发明的 一个实施例中密钥传输的系统结构,该系统包括第一 终端100和第二终端200。应当说明的是,本发明所有图示中各设备之间的连 接关系是为了清楚阐释其信息交互及控制过程的需要,因此应当视为逻辑上 的连接关系,而不应仅限于物理连接。另外需要说明的是,各功能模块之间 的通信方式可以采取多种,本发明的保护范围不应限定为某种特定类型的通
信方式。其中
第一终端100与第二终端200进行数据交互。应当说明的是,图l是本发明 密钥传输的系统的最简示例结构,第一终端100和第二终端200之间的数据交 互可以是基于"客户端-服务器"系统中的客户端与服务器之间的数据交互, 也可以是多个客户端之间或多个服务器内部之间的数据交互,因此本发明的 保护范围不应限定为某种特定类型的系统。
第一终端100包括收发模块101、加解密模块102、随机数生成模块103、 验证模块104和存储模块105,其中
(1) 收发模块101与加解密模块102、随机数生成模块103、验证模块104 和存储模块105相连并进行数据交互,用于发送数据至第二终端200以及接收 第二终端200发送来的数据。
(2) 加解密模块102与收发模块101、随机数生成模块103、验证模块104 和存储模块105相连并进行数据交互,用于使用第一密钥和第一加密算法加密 传输密钥,使用第二加密算法加密第一密钥,以及对第二密钥解密。在一实 施例中,第一加密算法是对称加密算法,第二加密算法是可逆加密算法。应 当说明的是,第一加密算法和第二加密算法也可以是其它类型的加密算法, 本发明中所有的加密算法都不应限定为某种特定类型的加密算法。
(3) 随机数生成模块103与收发模块101、加解密模块102、验证模块104 和存储模块105相连并进行数据交互,用于产生作为第一密钥的随机数。在一 实施例子中,该随机数可以是数字、字母、标点符号或特殊字符的任意位数 的自由排列组合。
(4) 验证模块104与收发模块101、加解密模块102、随机数生成模块103 和存储模块105相连并进行数据交互,用于对传输密钥进行验证。
(5) 存储模块105与收发模块101、加解密模块102、随机数生成模块103 和验证模块104相连并进行数据交互,用于存储第 一密钥和第二密钥。
第二终端200包括收发模块201、加解密模块202、随机数生成模块203、验证模块204和存储模块205,其中
(1 )收发模块201与加解密模块202、随机数生成模块203、验证模块204 和存储模块205相连并进行数据交互,用于发送数据至第一终端100以及接收 第 一终端IOO发送来的数据。
(2) 加解密模块202与收发模块201、随机数生成模块203、验证模块204 和存储模块205相连并进行数据交互,用于对第一密钥和传输密钥解密,以及 使用第一密钥和第一加密算法加密第二密钥。在一实施例中,加解密模块202 使用第二加密算法对第 一密钥解密,然后使用第 一密钥和第 一加密算法对传 输密钥解密,第一加密算法是对称加密算法,第二加密算法是可逆加密算法。
(3) 随机数生成模块203与收发模块201、加解密模块202、验证模块204 和存储模块205相连并进行数据交互,用于产生作为第二密钥的随机数。在一 实施例子中,该随机数可以是数字、字母、标点符号或特殊字符的任意位数 的自由排列组合。
(4) 验证模块204与收发模块201、加解密模块202、随机数生成模块203 和存储模块205相连并进行数据交互,用于对传输密钥进行验证。
(5) 存储模块205与收发模块201、加解密模块202、随机数生成模块203 和验证模块204相连并进行数据交互,用于存储第一密钥和第二密钥。
图2示出了本发明的一个实施例中密钥传输的方法流程,具体过程如下
在步骤S201中,第一终端100产生第一密钥,使用第一密钥和第一加密算 法加密传输密钥,以及使用第二加密算法加密第 一密钥。
在步骤S202中,加密后的传输密钥和第一密钥通过网络传输至第二终端 200,第二终端对传输密钥和第一密钥解密,以及对传输密钥进行验证。
在步骤S203中,第二终端200基于验证结果产生第二密钥,使用第一密钥 和第一加密算法加密第二密钥并传输至第一终端IOO。
在步骤S204中,第一终端100对第二密钥解密,第一终端100与第二终端 200之间传输的数据以第二密钥作为加密密钥。
图3示出了本发明的一个实施例中密钥传输的方法流程,该方法流程基于 图l所示的系统结构,具体过程如下
在步骤S301中,第一终端100产生第一密钥。具体为随机数生成模块103 产生作为第一密钥的随机数,该随机数可以是数字、字母、标点符号或特殊 字符的任意位数的自由排列组合。
在步骤S302中,使用第一密钥和第一加密算法加密传输密钥,使用第二 加密算法加密第一密钥。在一实施例中,步骤S302的具体过程为加解密模
7块102使用第一密钥和第一加密算法加密传输密钥, -使用第二加密算法加密第 一密钥。第一加密算法可以是对称加密算法,第二加密算法可以是可逆加密 算法。
在步骤S303中,加密后的传输密钥和第一密钥通过网络传输至第二终端 200。在一实施例中,步骤S303的的具体过程为收发模块101发送加密后的 传输密钥和第一密钥,第二终端200的收发模块201接收加密后的传输密钥和 第一密钥。
在步骤S304中,对传输密钥和第一密钥解密。在一实施例中,步骤S304 的具体过程为加解密模块202使用第二加密算法对第一密钥解密,以及使用 第一密钥和第一加密算法对传输密钥解密。
在步骤S305中,验证模块204验证传输密钥是否正确,若正确,则进入步 骤S306,否则,返回步骤S301。
在步骤S306中,第二终端200产生第二密钥并保存。在一实施例中,步骤 S306的具体过程为随机数生成模块203产生作为第二密钥的随机数。第二密 钥产生后存储在存储;漠块205中。
在步骤S307中,加解密模块202使用第一密钥和第一加密算法加密第二密钥。
在步骤S308中,收发模块201将加密后的第二密钥传输至第一终端100。 在步骤S309,第一终端100使用第一密钥和第一加密算法对第二密钥解密
并保存。在一实施例中,步骤S309的具体过程为收发模块101接收加密后的
第二密钥,加解密模块102使用第一密钥和第一加密算法对第二密钥解密,解
密后的第二密钥保存在存储模块105中。
在步骤S310中,第一终端100和第二终端200之间传输的数据使用第二密
钥和第一加密算法加密。
图4示出了本发明的一个实施例中密钥传输的方法流程,该方法流程基于 "客户端-服务器"的系统结构,该实施例中,客户端与服务器相连并进行数 据交互,客户端可以是多种通信设备,例如个人计算机、个人数字助理、移 动电话以及各种网页终端等。在一示例方案中,传输密钥可以是用户的密码 等,例如在网站的登陆系统中,用户需要输入密码登陆网站后才能进一步与 服务器进行数据交互。该实施例的具体过程为
在步骤S401中,客户端产生第一密钥rl,由rl和第一加密算法加密传输密 钥psw (即用户的登陆密码等),生成PSW,以及由第二加密算法加密rl生成 Rl。在一实施例中,第一加密算法可以是对称加密算法,例如DES加密算法, 当然也可以采用其它类型的对称加密算法,第二加密算法可以是可逆加密算
8法或其它类型的加密算法。第一密钥rl是随机产生的随机数,可以是数字、字
母、标点符号或特殊字符的任意位数的自由排列组合。
在步骤S402中,客户端通过网络传输PSW和R1至服务器。在步骤S403中,服务器对PSW和R1进行解密,得到第一密钥rl和传输密钥psw。
在步骤S404中,服务器验证psw是否正确。该实施例中,即验证用户的访问密码是否正确。若正确,则进入步骤S406,否则,进入步骤S405。
在步骤S405中,服务器发送验证失败消息给客户端。在一实施例中,验证失败消息可以是提示框或短消息等形式,客户端收到验证失败消息后,回到步骤S401。
在步骤S406,服务器产生第二密钥r2并保存,由第一密钥rl和第一加密算法加密r2,生成R2。在一实施例中,第二密钥r2是随机产生的随机数,可以是数字、字母、标点符号或特殊字符的任意位数的自由排列组合。在步骤S407中,服务器通过网络传输R2至客户端。在步骤S408中,客户端使用第一密钥rl和第一加密算法对R2解密。在步骤S409中,判断解密是否成功,若是,则进入步骤S411,否则,进入步骤S410。
在步骤S410中,客户端发送解密失败消息给服务器。回到步骤S401,客户端需重新输入传输密钥psw登陆服务器。
在步骤S411中,得到第二密钥r2,则客户端和服务器之间传输的数据由第二密钥r2和第一加密算法加密。
此后,数据传输的过程中,不再出现传输密钥psw和第一密钥rl。实现了密钥的更替,提高了数据传输的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1、一种密钥传输的系统,包括第一终端和第二终端,所述第一终端与第二终端进行数据交互,其特征在于,所述第一终端和第二终端分别包括加解密模块;所述第一终端的加解密模块使用第一密钥和第一加密算法加密传输密钥,使用第二加密算法加密第一密钥,以及对第二密钥解密;所述第二终端的加解密模块对第一密钥和传输密钥解密,以及使用第一密钥和第一加密算法加密第二密钥。
2、 根据权利要求l所述的密钥传输的系统,其特征在于,所述第一加密 算法是对称加密算法,所述第二加密算法是可逆加密算法。
3、 根据权利要求l所述的密钥传输的系统,其特征在于,所述第一终端 和第二终端分别包括随机数生成模块; 所述第 一终端的随机数生成模块产生作为第 一 密钥的随机数; 所述第二终端的随机数生成模块产生作为第二密钥的随机数。
4、 根据权利要求l所述的密钥传输的系统,其特征在于,所述第一终端 和第二终端分别包括验证传输密钥是否正确的验证模块,以及存储第一密 钥和第二密钥的存储模块。
5、 一种密钥传输的方法,所述方法基于第一终端和第二终端之间的数据 交互,其特征在于,包括以下步骤A. 第一终端产生第一密钥,使用第一密钥和第一加密算法加密传输密钥, 以及使用第二加密算法加密第 一 密钥;B. 加密后的传输密钥和第一密钥通过网络传输至第二终端,第二终端对 传输密钥和第一密钥解密,以及对传输密钥进行验证;C. 第二终端基于验证结果产生第二密钥,使用第一密钥和第一加密算法 加密第二密钥并传输至第一终端;D. 第一终端对第二密钥解密,第一终端与第二终端之间传输的数据以第 二密钥作为加密密钥。
6、 根据权利要求5所述的密钥传输的方法,其特征在于,所述步骤B中验 证传输密钥的过程是第二终端验证传输密钥是否正确,若是,则执行步骤C, 否则回到步骤A。
7、 根据权利要求5所述的密钥传输的方法,其特征在于, 所述第一加密算法是对称加密算法,所述第二加密算法是可逆加密算法。
8、 根据权利要求5所述的密钥传输的方法,其特征在于,所述步骤B中对 传输密钥和第一密钥解密的过程包括使用第二加密算法对第一密钥解密, 以及使用第一密钥和第一加密算法对传输密钥解密。
9、 根据权利要求5所述的密钥传输的方法,其特征在于,所述步骤D包括 第一终端使用第一密钥和第一加密算法对第二密钥解密并保存,第一终端与 第二终端之间传输的数据由第二密钥和第一加密算法加密。
10、 根据权利要求5所述的密钥传输的方法,其特征在于,所述第一密钥 是第一终端产生的随机数,所述第二密钥是第二终端产生的随机数。
全文摘要
本发明涉及通信安全领域,提供了一种密钥传输的方法及系统。所述方法基于第一终端和第二终端之间的数据交互,包括以下步骤A.第一终端产生第一密钥,使用第一密钥和第一加密算法加密传输密钥,以及使用第二加密算法加密第一密钥;B.加密后的传输密钥和第一密钥通过网络传输至第二终端,第二终端对传输密钥和第一密钥解密,以及对传输密钥进行验证;C.第二终端基于验证结果产生第二密钥,使用第一密钥和第一加密算法加密第二密钥并传输至第一终端;D.第一终端对第二密钥解密,第一终端与第二终端之间传输的数据以第二密钥作为加密密钥。采用本发明的密钥传输的方法及系统,能提高密钥传输的安全性,进而提高数据传输的安全性。
文档编号H04L9/18GK101677269SQ20081021237
公开日2010年3月24日 申请日期2008年9月17日 优先权日2008年9月17日
发明者吴建锋, 洲 阮 申请人:比亚迪股份有限公司