一种动态加密方法及其加密通信系统的制作方法

一种动态加密方法及其加密通信系统的制作方法
【专利摘要】一种动态加密方法及其加密通信系统，发起方随机产生初始对称密钥，采用非对称加密算法对初始对称密钥进行加密后传输，接收方采用非对称解密算法解密对称密钥，发起方采用单向加密算法生成待发信息的数字签名，并利用对称密钥采用对称加密算法对每组待发信息和数字签名进行加密后传输，并将本组待发信息的数字签名作为下组待发信息的对称密钥，接收方利用对称密钥采用对称解密算法解密信息和数字签名，并将本组接收信息的数字签名作为下组接收信息的对称密钥。本发明提供了一种安全性高且不增加过多的复杂度并且具有检错功能的新型动态加密系统，保障即时通信过程能够安全、顺畅的进行。
【专利说明】一种动态加密方法及其加密通信系统
【技术领域】
[0001]本发明涉及一种动态加密方法及其加密通信系统。
【背景技术】
[0002]在各种通信系统中，如何实现用户之间交互信息的安全保护，保证通信内容的保密和安全是需要重点考虑的。特别是在国家的一些安全机构，或对信息安全要求较为严格的企事业单位，通信内容和文件的安全传输更为慎重，需要保密度更高的加密处理。
[0003]目前的加密体制有对称密钥体制和非对称密钥体制。基于对称密钥的加密体制中，通信的双方共享一个对称密钥。一种基于对称密钥的实现方法是通信双方预先存储一个共享的对称密钥，双方的每次加密通信都使用该对称密钥进行加密通信。对于这种方式，通信终端需要保存与其他通信终端共享的所有对称密钥。非对称加密体制需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要。非对称密钥体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥。所以保证其安全性就是归结为保证密钥的安全，而非对称密钥体制有两种密钥，其中一个是公开的，这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。
[0004]上述的对称加密体制和非对称加密体制都存在明文加密和解密的过程，前者的算法复杂度低，易实现，适合传输具体的文本和文档，但用户数较多时密钥的管理和传输方式会变得十分困难；而后者的密钥管理难度较小，但其算法的实现复杂的较高，适合传输容量较小但比较关键的信息，如密码本身。它们的各有优缺点，但也有一个共同的特点，即它们都是一种双向的安全机制，过程可逆。
[0005]除上述两种安全机制外，另外还有一种单向加密的方式，这种方式的原理是通过加密算法将任一段长度的信息进行加密得到一组固定长度的密文，并且信息明文不同，力口密后的密文一定不同，确保其唯一性，另外这种加密方式是不可逆的，即它无法解密。这种机制常用作“数字签名”或者“数字指纹”的用途，对信息做校验和检错，从而确保接收信息的准确性。

【发明内容】

[0006]本发明提供一种动态加密方法及其加密通信系统，提出一种安全性高且不增加过多的复杂度并且具有检错功能的新型动态加密系统，保障即时通信过程能够安全、顺畅的进行。
[0007]为了达到上述目的，本发明提供一种动态加密方法，该动态加密方法包含以下步骤:
步骤1、发起方随机产生初始对称密钥，采用非对称加密算法对初始对称密钥进行加密后传输，接收方采用非对称解密算法解密对称密钥；
步骤2、发起方采用单向加密算法生成待发信息的数字签名，并利用对称密钥采用对称加密算法对每组待发信息和数字签名进行加密后传输，并将本组待发信息的数字签名作为下组待发信息的对称密钥，接收方利用对称密钥采用对称解密算法解密信息和数字签名，并将本组接收信息的数字签名作为下组接收信息的对称密钥。
[0008]所述的步骤2中，还包含以下步骤:接收方利用解密后的数字签名校验解密后的信息。
[0009]所述的步骤I中，发起方利用接收方的公钥采用非对称加密算法对初始对称密钥进行加密，将加密后的对称密钥传输给接收方，接收方利用接收方的私钥采用非对称解密算法对接收到的加密后的初始对称密钥进行解密，其中，公钥为非对称密钥对中的公钥，私钥为非对称密钥对中的私钥。
[0010]所述的步骤I中，初始对称密钥采用实时的时间数据。
[0011]本发明还提供一种加密通信系统，该加密通信系统包含第一终端和第二终端，所述的第一终端和第二终端之间进行双向通信；
所述的第一终端为通信模式中的连接发起方，该第一终端存储第一终端的私钥和第二终端的公钥及其ID号；
所述的第二终端为通信模式中的连接接收方，该第二终端存储第二终端的私钥和第一终端的公钥及其ID号；
连接发起方给连接接收方发送消息，连接接收方进行接收的方式，称为主发模式；连接接收方给连接发起方发送消息，连接发起方进行接收的方式，称为应答模式；
在主发模式下，该第一终端生成待发的信息，并生成初始的主发模式的对称密钥，并通过第二终端的公钥对该对称密钥进行加密后传输给第二终端，该第一终端采用单向加密算法对待发的信息进行单向加密后获得信息的数字签名，并利用待发信息的对称密钥采用对称加密算法对待发的信息和信息的数字签名加密后传输给第二终端，该第一终端将当前时刻传输给第二终端的信息的数字签名作为下一时刻的主发模式下的对称密钥；
在应答模式下，该第一终端接收第二终端发送的初始的加密后的应答模式的对称密钥，使用第一终端的私钥对该对称密钥解密，并保存该对称密钥，利用该应答模式下的对称密钥对来自第二终端的加密后的信息和信息的数字签名进行解密，并将解密后的数字签名作为下一时刻的应答模式下的对称密钥，该第一终端还利用解密后的数字签名来校验解密后的信息。
[0012]在主发模式下，该第二终端接收第一终端发送的初始的加密后的主发模式的对称密钥，使用第二终端的私钥对该对称密钥解密，并保存该对称密钥，利用该主发模式下的对称密钥对来自第一终端的加密后的信息和信息的数字签名进行解密，并将解密后的数字签名作为下一时刻的主发模式下的对称密钥，该第二终端还利用解密后的数字签名来校验解密后的信息； 在应答模式下，该第二终端生成待发的信息，并生成初始的应答模式的对称密钥，并通过第一终端的公钥对该对称密钥进行加密后传输给第一终端，该第二终端采用单向加密算法对待发的信息进行单向加密后获得信息的数字签名，并利用待发信息的对称密钥采用对称加密算法对待发的信息和信息的数字签名加密后传输给第一终端，该第二终端将当前时刻传输给第一终端的信息的数字签名作为下一时刻的应答模式下的对称密钥。
[0013]所述的第一终端公钥为非对称密钥对中的公钥，所述的第一终端私钥为非对称密钥中的私钥；所述的第二终端公钥为非对称密钥对中的公钥，所述的第二终端的私钥为非对称密钥对中的私钥。
[0014]所述的第二终端设置一个或者若干个，不同的第二终端采用不同的对称密钥与第一终端进行双向通信。
[0015]所述的第一终端和第二终端之间采用能够进行双向通信的连接方式。
[0016]与现有技术相比，本发明的优点在于:
1、本发明的密钥管理是动态内部自激励的，很难被不法者从某一时刻截获到；
2、本发明是纯软件的，具备易实现性和良好的移植性，并且具有检错功能；
3、本发明结合了对称密钥体制加密处理简单，加解密速度快，密钥较短等特点，并且在动态生成第一次对称密钥传输的时候使用了非对称密钥的体制对其进行加密，结合了两种密钥体制的优点。
【专利附图】

【附图说明】
[0017]图1是本发明的方法流程图。
[0018]图2是本发明的实施例示意图。
【具体实施方式】
[0019]以下根据图1和图2，具体说明本发明的较佳实施例。
[0020]如图1所示，本发明提供一种动态加密方法，包含以下步骤:
步骤1、发起方随机产生第一组信息的对称密钥，利用接收方的公钥采用非对称加密算法对第一组信息的对称密钥进行加密，将加密后的对称密钥传输给接收方，接收方利用接收方的私钥采用非对称解密算法对接收到的加密后的第一组信息的对称密钥进行解密。
[0021]步骤2、发起方采用单向加密算法对第一组信息行单向加密后获得第一组信息的数字签名，利用第一组信息的对称密钥采用对称加密算法对第一组信息和第一组信息的数字签名加密，接收方将第一组信息的数字签名作为下一组信息的对称密钥，并将加密后的第一组信息和第一组信息的数字签名传输给接收方，接收方利用第一组信息的对称密钥采用对称解密算法对接收到的加密后的第一组信息和第一组信息的数字签名进行解密，接收方将第一组信息的数字签名作为下一组信息的对称密钥，并利用第一组信息的数字签名来校验第一组信息。
[0022]步骤3、重复步骤2的操作，实现后续信息的加密、传输和解密方法。
[0023]所述的步骤I中，可采用实时的时间数据(如当前的系统时钟信息)作为第一组信息的对称密钥。
[0024]本发明的动态加密方法将当前时刻的密钥与前一个时刻的发送信息产生的数字签名关联起来，使得系统密钥的动态变化是一个内激励的封闭的机制，每一时刻的密钥安全性都依赖于上一时刻，从而保证攻击方试图在中途的截取或者篡改都是徒劳的。对于发起方发送的第一组信息，由于不存在前一组信息的数字签名，因此初始的可采用实时的时间数据(如当前的系统时钟信息)作为对称密钥进行加密，并且在发送第一组信息之前，先将上述的时间数据通过非对称加密的方式形成密文，传送给接收方，确保第一个对称密钥传输的安全性。接着从第二组信息开始，其对称密钥即为前一组信息的数字签名，依此循环下去，整体的对称密钥变化上看，这是一串复杂并且“凌乱”的动态密钥，具有很好的动态性，用于加密后可以产生更加理想的加密效果。同时，对称密钥无需再用非对称的方式传输，节省了系统的运算开销。对于接收方，由于对称密钥同时也是信息的数字签名，因此同时这个数字签名在当前时刻的传输结束后还可以被用来做信息校验，验证信息的准确性，进一步的保证信息的无差错传输。
[0025]本发明还提供一种加密通信系统，包含第一终端和第二终端，所述的第二终端可设置若干个。
[0026]所述的第一终端和第二终端之间可进行双向通信，第一终端和第二终端之间采用能够进行双向通信的连接方式，例如:光纤连接、无线网络连接等。
[0027]所述的加密通信系统包含两种通信模式:主发模式和应答模式；主发模式是指的连接发起方给连接接收方发送消息，对方进行接收的方式；应答模式是指连接接收方给连接发起方发送消息，对方进行接收的方式。在这两种模式中，分别使用独立的对称密钥，互不干涉，保证系统密钥动态性的同时还具有稳定性。
[0028]所述的第一终端为通信模式中的连接发起方，该第一终端存储第一终端的私钥和第二终端的公钥及其ID号；
ID号用于标示每一个终端设备，一个第一终端可以和一个第二终端连接并且加密传输，或者一个第一终端可能会与若干个第二终端连接并且加密传输，对于第一终端与不同的第二终端直接的加密传输采用的密钥都是不相同的，那么就必须通过终端设备的ID号来识别，针对不同的终端设备使用不同的密钥。
[0029]在主发模式下，该第一终端生成待发的信息，并生成初始的主发模式的对称密钥，并通过第二终端的公钥对该对称密钥进行加密后传输给第二终端，该第一终端采用单向加密算法对待发的信息进行单向加密后获得信息的数字签名，并利用待发信息的对称密钥采用对称加密算法对待发的信息和信息的数字签名加密后传输给第二终端，该第一终端将当前时刻传输给第二终端的信息的数字签名作为下一时刻的主发模式下的对称密钥；
在应答模式下，该第一终端接收第二终端发送的初始的加密后的应答模式的对称密钥，使用第一终端的私钥对该对称密钥解密，并保存该对称密钥，利用该应答模式下的对称密钥对来自第二终端的加密后的信息和信息的数字签名进行解密，并将解密后的数字签名作为下一时刻的应答模式下的对称密钥，该第一终端还利用解密后的数字签名来校验解密后的信息。
[0030]所述的第二终端为通信模式中的连接接收方，该第二终端存储第二终端的私钥和第一终端的公钥及其ID号；
在主发模式下，该第二终端接收第一终端发送的初始的加密后的主发模式的对称密钥，使用第二终端的私钥对该对称密钥解密，并保存该对称密钥，利用该主发模式下的对称密钥对来自第一终端的加密后的信息和信息的数字签名进行解密，并将解密后的数字签名作为下一时刻的主发模式下的对称密钥，该第二终端还利用解密后的数字签名来校验解密后的信息；
在应答模式下，该第二终端生成待发的信息，并生成初始的应答模式的对称密钥，并通过第一终端的公钥对该对称密钥进行加密后传输给第一终端，该第二终端采用单向加密算法对待发的信息进行单向加密后获得信息的数字签名，并利用待发信息的对称密钥采用对称加密算法对待发的信息和信息的数字签名加密后传输给第一终端，该第二终端将当前时刻传输给第一终端的信息的数字签名作为下一时刻的应答模式下的对称密钥。
[0031]所述的第一终端公钥为非对称密钥对中的公钥，所述的第一终端私钥为非对称密钥中的私钥；同样第二终端公钥为非对称密钥对中的公钥，第二终端的私钥为非对称密钥对中的私钥，非对称密钥对的生成算法可选。利用对称密钥进行加密或者解密的具体的算法可选。
[0032]如图2所示，为本发明的一个流程示意图，默认第一终端为连接发起者，这样根据第一终端和第二终端的不同的收发顺序将系统的工作方式分两种模式:主发模式和应答模式，主发模式表示第一终端发送信息，第二终端接收信息的场景，应答模式表示第二终端发送信息，第一终端接收信息的场景。
[0033]在实际的即时通信系统中，两种模式往往是交互进行，没有规律的，因此为了便于两种场景下的密钥管理，本发明将两种模式下用到的对称密钥的生成机制独立开来进行。如图2所示，主要的步骤如下:
1、当第一终端需要发起回话时，首先随机生成一组密钥K_INI，将其作为初始的主发模式下的对称密钥，利用存储的第二终端的公钥对K_INI进行加密后传输；
2、第二终端接收到密文后，用存储的第二终端的私钥进行解密，得到对称密钥1(_爪1，并将其作为初始的应答模式下的对称密钥，接着给第一终端发送一个确认信息；
3、第一终端收到确认信息后，开始信息的发送，进入主发模式。首先将需要发送的第一组信息Al进行单向加密后得到对应的数字签名信息Al_en，并利用初始的对称密钥K_INI对信息Al和数字签名Al_en进行加密，同时将数字签名Al_en作为下一组主发模式下的信息的对称密钥进行保存，在第二终端处收到了密文后，用对称密钥K_INI进行解密，并将解密得到的信息进行数字签名的校验，同时将数字签名Al_en作为下一组主发模式下的信息的对称密钥进行保存；
主发模式下，第一终端将需要发送的第二组信息A2进行单向加密后得到对应的数字签名信息A2_en，并利用对称密钥Al_en对信息A2和数字签名A2_en进行加密，同时将数字签名A2_en作为下一组主发模式下的信息的对称密钥进行保存，在第二终端处收到了密文后，用对称密钥Al_en进行解密，并将解密得到的信息进行数字签名的校验，同时将数字签名A2_en作为下一组主发模式下的信息的对称密钥进行保存；
主发模式下，第一终端将需要发送的第三组信息A3进行单向加密后得到对应的数字签名信息A3_en，并利用对称密钥A2_en对信息A3和数字签名A3_en进行加密，同时将数字签名A3_en作为下一组主发模式下的信息的对称密钥进行保存，在第二终端处收到了密文后，用对称密钥A2_en进行解密，并将解密得到的信息进行数字签名的校验，同时将数字签名A3_en作为下一组主发模式下的信息的对称密钥进行保存； 4、以此类推，如果下一组信息的传输继续是主发模式下的，那么与上一步的操作一样，只是加密所用的对称密钥进行了更新，为上一组信息的数字签名；如果下一组信息的传输为应答模式的，即第二终端给第一终端发送信息，则规则如下一步；
5、应答模式下的首次信息发送，第二终端将需要发送的第一组信息BI进行单向加密后得到对应的数字签名信息Bl_en，并利用初始的对称密钥K_INI对信息BI和数字签名Bl_en进行加密，同时将数字签名Bl_en作为下一组应答模式下的信息的对称密钥进行保存，在第一终端处收到了密文后，用对称密钥K_INI进行解密，并将解密得到的信息进行数字签名的校验，同时将数字签名Bl_en作为下一组主发模式下的信息的对称密钥进行保存；
应答模式下，第二终端将需要发送的第二组信息B2进行单向加密后得到对应的数字签名信息B2_en，并利用对称密钥Bl_en对信息B2和数字签名B2_en进行加密，同时将数字签名B2_en作为下一组应答模式下的信息的对称密钥进行保存，在第一终端处收到了密文后，用对称密钥Bl_en进行解密，并将解密得到的信息进行数字签名的校验，同时将数字签名B2_en作为下一组主发模式下的信息的对称密钥进行保存；
6、以此类推，下一组信息的传递根据其不同的模式各个终端会选择不同的已保存的对称密钥进行加密或者解密，直到信息传输过程的结束。
[0034]在本发明中，当前时刻密钥是由前一个时刻的明文产生的数字签名决定的，因此密钥会随时间而变化，这样当前时刻明文的安全性依赖于前一个时刻的明文安全性，循环类推下去，可以得知，整个系统的安全性最终依赖于最初时刻的对称密钥的安全性。而最初时刻采用非对称加密方式(如:ECC)传送的对称密钥，安全性有很高的保障。一般传统的动态加密只是在需要改变密钥时发送端依据某种机制或规律重新生成一个对称密钥，这样这个密钥通过网络传给接收方是一个比较大的难题，如果直接传送给攻击方在每次改变密钥时获取对称密钥的机会，如果每次都通过非对称算法加密也会增加一笔开销。对于采用本方案的系统，攻击方理论上只有一次机会去获得密钥，即系统启动时刻被非对称算法加密的那一个对称密钥，实际中这个目的往往是不可能实现的，另外在系统工作的中途由于攻击方不可能知道前一个时刻的明文信息的数字签名，故而没有可能有效的获得当前时刻的对称密钥，这样最大程度上保护了系统的安全性。另一方面，由于当前时刻的发送明文都附上数字签名，故而在接收后可以进行校验确定信息的正确性，从而保证了信息传输的可靠性。
[0035]尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。
【权利要求】
1.一种动态加密方法，其特征在于，该动态加密方法包含以下步骤: 步骤1、发起方随机产生初始对称密钥，采用非对称加密算法对初始对称密钥进行加密后传输，接收方采用非对称解密算法解密对称密钥； 步骤2、发起方采用单向加密算法生成待发信息的数字签名，并利用对称密钥采用对称加密算法对每组待发信息和数字签名进行加密后传输，并将本组待发信息的数字签名作为下组待发信息的对称密钥，接收方利用对称密钥采用对称解密算法解密信息和数字签名，并将本组接收信息的数字签名作为下组接收信息的对称密钥。
2.如权利要求1所述的动态加密方法，其特征在于，所述的步骤2中，还包含以下步骤:接收方利用解密后的数字 签名校验解密后的信息。
3.如权利要求1或2所述的动态加密方法，其特征在于，所述的步骤I中，发起方利用接收方的公钥采用非对称加密算法对初始对称密钥进行加密，将加密后的对称密钥传输给接收方，接收方利用接收方的私钥采用非对称解密算法对接收到的加密后的初始对称密钥进行解密，其中，公钥为非对称密钥对中的公钥，私钥为非对称密钥对中的私钥。
4.如权利要求3所述的动态加密方法，其特征在于，所述的步骤I中，初始对称密钥采用实时的时间数据。
5.一种加密通信系统，其特征在于，该加密通信系统包含第一终端和第二终端，所述的第一终端和第二终端之间进行双向通信； 所述的第一终端为通信模式中的连接发起方，该第一终端存储第一终端的私钥和第二终端的公钥及其ID号； 所述的第二终端为通信模式中的连接接收方，该第二终端存储第二终端的私钥和第一终端的公钥及其ID号； 连接发起方给连接接收方发送消息，连接接收方进行接收的方式，称为主发模式；连接接收方给连接发起方发送消息，连接发起方进行接收的方式，称为应答模式； 在主发模式下，该第一终端生成待发的信息，并生成初始的主发模式的对称密钥，并通过第二终端的公钥对该对称密钥进行加密后传输给第二终端，该第一终端采用单向加密算法对待发的信息进行单向加密后获得信息的数字签名，并利用待发信息的对称密钥采用对称加密算法对待发的信息和信息的数字签名加密后传输给第二终端，该第一终端将当前时刻传输给第二终端的信息的数字签名作为下一时刻的主发模式下的对称密钥； 在应答模式下，该第一终端接收第二终端发送的初始的加密后的应答模式的对称密钥，使用第一终端的私钥对该对称密钥解密，并保存该对称密钥，利用该应答模式下的对称密钥对来自第二终端的加密后的信息和信息的数字签名进行解密，并将解密后的数字签名作为下一时刻的应答模式下的对称密钥，该第一终端还利用解密后的数字签名来校验解密后的信息。 在主发模式下，该第二终端接收第一终端发送的初始的加密后的主发模式的对称密钥，使用第二终端的私钥对该对称密钥解密，并保存该对称密钥，利用该主发模式下的对称密钥对来自第一终端的加密后的信息和信息的数字签名进行解密，并将解密后的数字签名作为下一时刻的主发模式下的对称密钥，该第二终端还利用解密后的数字签名来校验解密后的信息； 在应答模式下，该第二终端生成待发的信息，并生成初始的应答模式的对称密钥，并通过第一终端的公钥对该对称密钥进行加密后传输给第一终端，该第二终端采用单向加密算法对待发的信息进行单向加密后获得信息的数字签名，并利用待发信息的对称密钥采用对称加密算法对待发的信息和信息的数字签名加密后传输给第一终端，该第二终端将当前时刻传输给第一终端的信息的数字签名作为下一时刻的应答模式下的对称密钥。
6.如权利要求5所述的加密通信系统，其特征在于，所述的第一终端公钥为非对称密钥对中的公钥，所述的第一终端私钥为非对称密钥中的私钥；所述的第二终端公钥为非对称密钥对中的公钥，所述的第二终端的私钥为非对称密钥对中的私钥。
7.如权利要求6所述的加密通信系统，其特征在于，所述的第二终端设置一个或者若干个，不同的第二终端采用不同的对称密钥与第一终端进行双向通信。
8.如权利要求7所述的加密通信系统，其特征在于，所述的第一终端和第二终端之间采用能够进行双向通信的连接方式。
【文档编号】H04L9/32GK103986583SQ201410233204
【公开日】2014年8月13日 申请日期:2014年5月29日 优先权日:2014年5月29日
【发明者】朴天庆 申请人:上海斐讯数据通信技术有限公司