一种通信密保系统与方法、及加解密服务器与流程

本发明涉及通信技术领域，具体涉及一种通信密保系统与方法、及一种密服务器。

背景技术：

目前经常会遇到这种情形，多个软件产品通常需要合作、结合成一个软件产品来打包售卖或使用，这个时候需要这中间的多个软件产品之间增加通信接口来完成数据交换或者完成一个完整的通信功能，而不同的通信接口之间的通信通常是需要做加密处理的，以防通信数据被篡改，确保通信的安全。

举个例子，比如消防系统软件跟广告系统软件，结合在一起使用的时候，客户感觉是在用一个综合的系统，这个系统里面有广告功能，也有紧急消防功能，但实际上，是这两个系统通过通信接口，结合在一起来向用户提供各个功能模块的服务。有时候会有更复杂的通信系统里头甚至包含更多个不同的小的系统，这些小的系统都是通过各自的通信接口来完成他们之间的数据通信，为了安全起见，这些小系统的关键通信接口，一般都是会进行加密处理再传输的。

而现有的做法是，通信接口之间的通信加密一般会用同一套加密算法，甚至同一套密钥进行通信加密，为了系统对接方便，一般都采用通用的加密方法，避免每个系统的研发工程师对接接口浪费太多工作时间；然而这样做的缺点显而易见就是通用的加密方法很容易被黑客破解，安全没有得到最可靠的保障。

技术实现要素：

有鉴于此，本发明实施例提供一种通信密保系统与方法、及一种密服务器，以更加安全可靠的方式来解决上述数据通信的安全问题。

为实现上述目的，本发明实施例提供如下技术方案：一种通信密保系统，包含第一通信系统和若干第二通信系统，以及加解密服务器，所述第一通信系统和若干第二通信系统分别与所述加解密服务器以ip授权方式连接；所述第一通信系统接收通信请求内容；第一通信系统将该通信请求内容发送给加解密服务器；加解密服务器将所述通信请求内容经过非通用算法加密后发送给第一通信系统；第一通信系统将所述经过非通用算法加密后的通信请求内容发送给对应的第二通信系统；第二通信系统将所述非通用算法加密后的通信请求内容发送给所述加解密服务器进行解密后传回第二通信系统。

其中，所述第一通信系统和若干第二通信系统分别与所述加解密服务器以ip授权方式连接具体为：在所述加解密服务器中记录与之连接的第一通信系统以及若干第二通信系统的ip地址；所述加解密服务器在接收通信请求内容之前，先判断通信请求内容发送方的ip地址是否有记录；如果是没有记录的ip地址的发送方发送的通信请求，加解密服务器将会拒绝接收。

进一步地，所述第一通信系统将该通信请求内容发送给加解密服务器之前，第一通信系统将所述通信请求内容进行通用加密；加解密服务器将所述通信请求内容进行解密后再进行非通用算法加密。所述第二通信系统将所述非通用算法加密后的通信请求内容发送给所述加解密服务器进行解密，所述加解密服务器对解密后的通信请求内容再进行通用加密，然后再传回第二通信系统；第二通信系统将通用加密后的通信请求内容进行解密获得原始的通信请求内容。

基于上述本发明实施例提供的一种通信密保系统，本发明还提供一种通信密保方法；该方法为：第一通信系统接收通信请求内容，第一通信系统将该通信请求内容发送给加解密服务器，加解密服务器将所述通信请求内容经过非通用算法加密后发送给第一通信系统，第一通信系统将所述经过非通用算法加密后的通信请求内容发送给对应的第二通信系统，所述加解密服务器与所述第一通信系统和所述第二通信系统分别以ip授权方式连接，第二通信系统将所述非通用算法加密后的通信请求内容发送给所述加解密服务器进行解密后传回第二通信系统。

进一步地，本发明实施例还提供一种加解密服务器，其与第一通信系统和若干第二通信系统分别与ip授权方式连接，其包括：

ip地址存储模块，用于存储被授权的第一通信系统和若干第二通信系统的ip地址；

判断模块，用于判断通信请求内容发送方的ip地址是否在所述ip地址存储模块中有记录；如果通信请求内容的发送方的ip地址没有记录在所述ip地址存储模块中，加解密服务器拒绝接收所述通信请求内容；

加密模块，用于对第一通信系统发送的通信请求内容进行非通用算法加密；

解密模块，用于对任一第二通信系统的发送来的非通用算法加密的通信请求内容进行非通用算法解密。

本发明由于第一通信系统和若干第二通信系统分别与加解密服务器以ip授权方式连接；加解密服务器在接收通信请求内容之前，先判断通信请求内容发送方的ip地址是否有记录；如果是没有记录的ip地址的发送方发送的通信请求，加解密服务器将会拒绝接收，这样就确保了没有授权的通信方不会篡改通信请求内容或者模拟通信；同时本发明通过加解密服务器进行非通用算法进行加解密，黑客难以用现成常规方法破解，安全性更高；当非通用加密算法需要升级提升安全性时，只需要在加解密服务器进行升级，其他通信系统无需做额外的代码更改，这样也就更加方便维护。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种通信密保系统的系统框架图；

图2为本发明实施例提供的一种通信密保方法的流程图；

图3为本发明实施例提供的一种加解密服务器的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

由背景技术可知，目前大的一些交互通信系统中由于包含若干独立的小的通信系统通过通信接口经过简单的通信加密后来完成数据通信功能，这其中遇到的最主要最关键的技术问题有：

1.在与第三方系统对接时，加密方法不能任意更新或升级，一旦自己升级，第三方系统没有跟上，或研发有问题，都会导致系统故障；

2.使用通用的加密方法，容易被黑客抓取到进行破解；

3.使用非通用的加密方法，和第三方系统对接工作量很大。

因此，本发明实施例提供一种通信密保系统和方法，参考图1，该系统包含第一通信系统101和若干个第二通信系统102，103……，以及加解密服务器104，第一通信系统101和若干第二通信系统102和103分别与加解密服务器104以ip授权方式连接；第一通信系统接收用户的通信请求内容；第一通信系统将该通信请求内容发送给加解密服务器；加解密服务器将所述通信请求内容经过非通用算法加密后发送给第一通信系统；第一通信系统将所述经过非通用算法加密后的通信请求内容发送给对应的第二通信系统；第二通信系统将所述非通用算法加密后的通信请求内容发送给所述加解密服务器进行解密后传回第二通信系统。

其中上述的ip授权方式连接具体为：在加解密服务器104中记录与之连接的第一通信系统以及若干第二通信系统的ip地址；加解密服务器在接收任何通信请求内容之前，先判断该通信请求内容发送方的ip地址是否在加解密服务器中有记录；如果是没有记录的ip地址的发送方发送的通信请求，加解密服务器将会拒绝接收。

由于第一通信系统和若干第二通信系统分别与加解密服务器以ip授权方式连接；加解密服务器在接收通信请求内容之前，先判断通信请求内容发送方的ip地址是否有记录；如果是没有记录的ip地址的发送方发送的通信请求，加解密服务器将会拒绝接收，这样就确保了没有授权的通信方不会篡改通信请求内容或者模拟通信；同时本发明通过加解密服务器进行非通用算法进行加解密，黑客难以用现成常规方法破解，安全性更高；当非通用加密算法需要升级提升安全性时，只需要在加解密服务器进行升级，其他通信系统无需做额外的代码更改，这样也就更加方便维护。

参考图2，示出了本发明实施例提供的一种通信密保方法，该方法包含以下步骤：

s201:第一通信系统接收用户发送的通信请求内容，并将该通信请求内容发送给加解密服务器；

s202：加解密服务器将所述通信请求内容经过非通用算法加密后发送给第一通信系统；

s203：第一通信系统将所述经过非通用算法加密后的通信请求内容发送给对应的第二通信系统，所述加解密服务器与所述第一通信系统和所述第二通信系统分别以ip授权方式连接；

s204：第二通信系统将所述非通用算法加密后的通信请求内容发送给所述加解密服务器进行解密后传回第二通信系统。

进一步地，作为本发明的最佳实施方式：

在步骤s201所述第一通信系统将该通信请求内容发送给加解密服务器之前，第一通信系统将所述通信请求内容进行通用加密；

步骤s202具体还包含：加解密服务器将所述通用加密后的通信请求内容进行解密后再进行非通用算法加密；当通用加密的通信请求发送给加解密服务器时，只有发送方为授权的ip发过来的才接收，如果被篡改再发放，发送方ip就变更了，加解密服务器不接受该请求；这样就防止了通信请求被篡改的风险；

s203：第一通信系统将所述经过非通用算法加密后的通信请求内容发送给对应的第二通信系统；

步骤s204具体为：所述第二通信系统将所述非通用算法加密后的通信请求内容发送给所述加解密服务器进行解密，所述加解密服务器对解密后的通信请求内容再进行通用加密，然后再传回第二通信系统；第二通信系统将通用加密后的通信请求内容进行解密获得原始的通信请求内容。

上述提到的通用加密算法包含常用的一些加密算法，包含：des加密算法、aes加密算法、rsa加密算法、base64加密算法、md5加密算法、sha1加密算法。

上述提到的非通用的加密算法包含：所有没在现有网络公开的加密算法，可以是跟随科技发展新研发出来的任一特殊的私有加解密算法。只要是本领域常规研发人员没有办法通过公开途径了解到的加解密算法，都可以认为是非通用加解密算法。

上述的加解密服务器最为本发明的核心，其内部的结构参考图3；其包含：

ip地址存储模块302，用于存储被授权的第一通信系统和若干第二通信系统的ip地址；

判断模块301，用于判断通信请求内容发送方的ip地址是否在所述ip地址存储模块中有记录；如果通信请求内容的发送方的ip地址没有记录在所述ip地址存储模块中，加解密服务器拒绝接收所述通信请求内容；

加密模块303，用于对第一通信系统发送的通信请求内容进行非通用算法加密；

解密模块304，用于对任一第二通信系统的发送来的非通用算法加密的通信请求内容进行非通用算法解密。

结合图1的系统来详细说明整个系统的工作过程：用户发起通信请求给第一通信系统进行通用加密后发送给加解密服务器的判断模块301，由于通信请求内容中包含第一通信系统的ip地址也包含要发送的目的ip地址，判断模块将提取接收到的通信请求内容中的发送方ip地址，与本地ip地址存储模块302中存储的ip地址进行一一比对，如果查询到有这个ip地址的授权，则将接收到的通信请求内容传送给解密模块304进行通用算法的解密，然后将解密后的原始通信请求内容传送给加密模块303进行非通用算法的加密，然后返回非通用加密后的通信请求内容给第一通信系统；需要注意的是，这里加解密服务器不会直接将非通用加密后的通信请求转发给第二通信系统，而是返回给第一通信系统，是为了不影响原本的常规业务通信逻辑，如果让加解密服务器还充当中转路由的功能，必然会改变原有的业务逻辑而增加研发工作量。

第一通信系统拿到非通用加密后的通信请求内容之后，按照通信请求内容中包含的要发送的目的ip地址，发送给对应目的ip地址的第二通信系统，该第二通信系统将接收到的非通用加密过的通信请求内容转发给加解密服务器的判断模块301进行ip地址的授权判断，如果是授权的ip地址，则将通信请求内容传送给解密模块304进行非通用算法的解密，然后再传送给加密模块303进行通用加密，然后返回给第二通信系统进行通用算法的解密后获得原始通信请求内容，整个通信过程安全可靠。

上述加解密服务器接收到任何第三方系统发送来的通信请求都需要进行ip地址的授权判断，如果不是授权的ip地址发送来通信请求，将会拒绝它的一切通信请求，从而保障通信请求不会被篡改或者模拟通信。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以后面描述得会比较简单，相关之处参见前面所述实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。