本发明涉及通信安全技术领域,具体涉及一种中断可恢复保密通信处理方法、装置和系统。
背景技术:
随着技术的不断发展,移动或者无线通信作为一种便捷的通信方式已被人们广泛使用,随着无线或者移动通信技术的日益普及,通信安全问题也日益突出,成为人们所关注的重要课题。
在现有的通信中,为了实现安全通信,也经常性地进行保密通话,即对通信数据进行加密。保密通信中,每个保密通话在呼叫建立过程中,一般都需要在终端和网络之间或者在终端和终端之间进行密钥协商,使通信双方获取本次保密通话的密钥,在通话过程中使用呼叫建立过程中获取的密钥对自己发送出去的通信数据进行加密,同时对接收的加密通信数据进行解密,但在一些安全性要求较高的场合,如何从需要相互进行数据传输的双方认证到数据的保密传输做到统一性,同时不仅要保证一般性的安全性,还要克服各类恶意的主动攻击和数据窃密也是重点要解决的问题。
技术实现要素:
针对现有技术的不足,本发明提供一种中断可恢复保密通信处理方法,用解决背景技术中的问题。
本发明解决技术问题采用如下技术方案:
本发明提供了一种中断可恢复保密通信处理方法,包括以下步骤:
建立用后台数据库,所述后台数据库包括每个用户终端的标识符id,以及每一标识符下设定对应身份密钥keyd和传输密钥keyt;
所述用户终端存储有该终端对应标识符id以及身份密钥keyd和传输密钥keyt;用户终端通过身份密钥keyd对标识符id进行加密,传输至服务器,服务器调取后台数据库中存储的身份密钥keyd依次进行解密,若解密成功,读取标识符id,得到传输密钥keyt;
服务器随机产生会话密钥keys,调用传输密钥keyt采用3des算法将会话密钥keys进行加密传输至用户终端;
用户终端利用传输密钥keyt进行解密得到会话密钥keys;
用户终端和服务器建立加密会话:
服务器建立临时数据库,并对该加密会话进行编号iid,存储传输密钥keyt和已产生的会话密钥keys以及对应用户终端标识符;
将编号iid采用会话密钥keys传输至用户终端解密并存储;
将传输数据利用会话密钥采取aes算法在用户终端和服务器端进行加密和解密运算,完成数据加密传输;
完成数据传输后服务器删除临时数据库中该用户终端对应的会话密钥以及编号iid,用户终端删除会话密钥以及编号iid。
优选地,若服务器与用户终端加密会话发生中断,恢复通话包括:
采用传输密钥keyt将编号iid进行加密送入服务器,服务器调用临时数据库中传输密钥进行匹配解密得到编号iid以及会话密钥,继续完成会话。
优选地,在服务器中设置各标识符对应周期计数器,当该标识符对应的用户终端与服务器加密会话结束,周期计数器加一,当周期计数器超过阈值,更新该标识符对应的传输密钥keyt。
优选地,所述传输数据在加密前还进行如下处理:
将传输数据拆分成k个最小加密单元,进行加密处理的用户终端或者服务器产生位数为k的随机数,将k位随机数的每一位按顺序与k个最小加密单元的最低位进行异或运算,并将运算结束后的k个最小加密单元利用会话密钥keys采取aes算法加密,同时将随机数利用传输密钥keyt加密,共同发送至待接收解密的服务器或用户终端;
所述待接收解密的服务器或用户终端对接收的加密随机数进行解密得到k位随机数,再用k位随机数对解密的k个最小加密单元的最低为进行反向运算,并进行拼接得到传输数据。
优选地,当传输数据无法拆分成k个最小加密单元时进行补位操作,并将补位位数n与随机数进行连接,采用传输密钥keyt加密共同发送至待接收解密的服务器或用户终端,所述待接收解密的服务器或用户终端对接收的加密随机数进行解密得到k位随机数和补位位数,再用k位随机数对解密的k个最小加密单元的最低为进行反向运算,并进行拼接去除补位位数得到传输数据。
优选地,所述用户终端与服务器间通过包括无线网、无线短距离射频技术、蓝牙或有线网进行数据传输。
优选地,若所述服务器调取后台数据库中存储的身份密钥keyd依次对加密的id进行解密失败,或者解密后的id号在后台数据库中不存在,则服务器停止对该用户终端回应。
本发明还提供一种中断可恢复保密通信处理装置,包括:
用户终端;
后台数据库;
服务器;
所述用户终端存储有对应的唯一标识符id,以及每一标识符下设定的对应身份密钥keyd和传输密钥keyt,用于通过身份密钥keyd对标识符id进行加密,传输至服务器,用户终端利用传输密钥keyt进行解密得到会话密钥keys;
所述后台数据库用于存储每个用户终端分别设定唯一标识符id,并在每一标识符下设定对应身份密钥keyd和传输密钥keyt;
所述服务器用于调取后台数据库中存储的身份密钥keyd依次进行解密,若解密成功,读取标识符id,得到传输密钥keyt;随机产生会话密钥keys,调用传输密钥keyt采用3des算法将会话密钥keys进行加密传输至用户终端;
加密会话建立后服务器建立临时数据库,并对该加密会话进行编号iid,存储传输密钥keyt和已产生的会话密钥keys以及对应用户终端标识符;将编号iid采用会话密钥keys传输至用户终端解密并存储;
所述用户终端与服务器建立加密会话,将传输数据利用会话密钥采取aes算法在用户终端和服务器端进行加密和解密运算,完成数据加密传输。
本发明还提供一种中断可恢复保密通信处理系统,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
中断可恢复保密通信处理装置;
当所述一个或多个程序被所述一个或多个处理器执行时,使得中断可恢复保密通信处理装置配合所述一个或多个处理器实现如前述的中断可恢复保密通信处理方法。
本发明还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如前述的中断可恢复保密通信处理的步骤。
与现有技术相比,本发明具有如下的有益效果:
本发明通过设置身份密钥、传输密钥、以及会话密钥,将身份密钥和传输密钥作为会话密钥的前导,在整个交互过程中id、身份密钥、传输密钥以及会话密钥要么没有进行交互,要么以加密形式进行传输,减少了明文传输带来的危险性,同时通过身份密钥、id和传输密钥相互配合,做到了对于身份的双重认证,最后随机产生会话密钥,进行双向加密解密,做到一话一密,有效防止了恶意攻击以及窃密的可能性;
本发明还可以实现在加密会话意外中断后,采用会话编号的加密和解密,迅速匹配会话密钥和标识符id,能够快速恢复会话,保证持续的加密性和安全性。
关于本发明相对于现有技术,其他突出的实质性特点和显著的进步在实施例部分进一步详细介绍。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在说明书及权利要求书当中使用了某些名称来指称特定组件。应当理解,本领域普通技术人员可能会用不同名称来指称同一个组件。本申请说明书及权利要求书并不以名称的差异作为区分组件的方式,而是以组件在功能上的实质性差异作为区分组件的准则。如在本申请说明书和权利要求书中所使用的“包含”或“包括”为一开放式用语,其应解释为“包含但不限定于”或“包括但不限定于”。具体实施方式部分所描述的实施例为本发明的较佳实施例,并非用以限定本发明的范围。
此外,所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为软硬件结合的形式,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个微控制器可读介质中的计算机程序产品的形式,该微控制器可读介质中包含微控制器可读的程序代码。
本实施例的一种中断可恢复保密通信处理方法,包括以下步骤:
建立用后台数据库,所述后台数据库包括每个用户终端的标识符id,以及每一标识符下设定对应身份密钥keyd和传输密钥keyt;
所述用户终端存储有该终端对应标识符id以及身份密钥keyd和传输密钥keyt;用户终端通过身份密钥keyd对标识符id进行加密,传输至服务器,服务器调取后台数据库中存储的身份密钥keyd依次进行解密,若解密成功,读取标识符id,得到传输密钥keyt;
服务器随机产生会话密钥keys,调用传输密钥keyt采用3des算法将会话密钥keys进行加密传输至用户终端;
3des又称tripledes,3des是三重数据加密(tdea,tripledataencryptionalgorithm)块密码的通称,且可以逆推的一种算法方案。。它相当于是对每个数据块应用三次des加密算法。密钥长度是128位,192位(bit),如果密码位数少于等于64位,加密结果与des相同;
其具体实现如下:设ek()和dk()代表des算法的加密和解密过程,k代表des算法使用的密钥,m代表明文,c代表密文,这样:
3des加密过程为:c=ek3(dk2(ek1(m)))
3des解密过程为:m=dk1(ek2(dk3(c)))
用户终端利用传输密钥keyt进行解密得到会话密钥keys;
用户终端和服务器建立加密会话:
服务器建立临时数据库,并对该加密会话进行编号iid,存储传输密钥keyt和已产生的会话密钥keys以及对应用户终端标识符;
将编号iid采用会话密钥keys传输至用户终端解密并存储;
将传输数据利用会话密钥采取aes算法在用户终端和服务器端进行加密和解密运算,完成数据加密传输;
aes是一个分组密码,属于对称密码范畴,aes算法的模块在对称密码领域特别是分组密码领域常有使用,aes加密算法涉及4种操作:字节替代(subbytes)、行移位(shiftrows)、列混淆(mixcolumns)和轮密钥加(addroundkey),对本实施例中的aes来说,在密钥固定的情况下,明文和密文在整个输入空间是一一对应的。因此算法的各个部件也都是可逆的,再将各个部件的操作顺序设计成可逆的,密文就能正确的解密了,aes加密算法根据密钥长度不同可分为128位,192位和256位,在本实施例中随机产生的会话密钥可以根据需要配对选择128位、192位或者256位。
完成数据传输后服务器删除临时数据库中该用户终端对应的会话密钥以及编号iid,用户终端删除会话密钥以及编号iid。
本实施例中若服务器与用户终端加密会话发生中断,恢复通话包括:
采用传输密钥keyt将编号iid进行加密送入服务器,服务器调用临时数据库中传输密钥进行匹配解密得到编号iid以及会话密钥,继续完成会话。
本实施例中在服务器中设置各标识符对应周期计数器,当该标识符对应的用户终端与服务器加密会话结束,周期计数器加一,当周期技术器超过阈值,更新该标识符对应的传输密钥keyt。
本实施例中传输数据在加密前还进行如下处理:
将传输数据拆分成k个最小加密单元,进行加密处理的用户终端或者服务器产生位数为k的随机数,将k位随机数的每一位按顺序与k个最小加密单元的最低位进行异或运算,并将运算结束后的k个最小加密单元利用会话密钥keys采取aes算法加密,将随机数利用传输密钥keyt加密,共同发送至待接收解密的服务器或用户终端。
本实施例中待接收解密的服务器或用户终端对接收的加密随机数进行解密得到k位随机数,再用k位随机数对解密的k个最小加密单元的最低为进行反向运算,并进行拼接得到传输数据。
本发明还创造性的对传输数据进行碎化和重组,进一步增强了数据的安全性,通过对最小加密单元配合随机数进行低位可逆化的操作,在保证了计算复杂度和硬件负担增长较低的前提下使得恶意攻击者难以确认保密数据,真正意义上保证了数据传输的安全性。
本实施例中用户终端与服务器间通过包括无线网、无线短距离射频技术、蓝牙或有线网进行数据传输。
本实施例中若所述服务器调取后台数据库中存储的身份密钥keyd依次对加密的id进行解密失败,或者解密后的id号在后台数据库中不存在,则服务器停止对该用户终端回应。
本实施例中当传输数据无法拆分成k个最小加密单元时进行补位操作,并将补位位数n与随机数进行连接,采用传输密钥keyt加密共同发送至待接收解密的服务器或用户终端,所述待接收解密的服务器或用户终端对接收的加密随机数进行解密得到k位随机数和补位位数,再用k位随机数对解密的k个最小加密单元的最低为进行反向运算,并进行拼接去除补位位数得到传输数据。
采用补位方式能够使得算法保持一致性,减少了算法复杂度,确保了数据传输的流畅性和完整性。
本实施例还提供一种中断可恢复保密通信处理装置,包括:
用户终端;
后台数据库;
服务器;
所述用户终端存储有对应的唯一标识符id,以及每一标识符下设定的对应身份密钥keyd和传输密钥keyt,用于通过身份密钥keyd对标识符id进行加密,传输至服务器,用户终端利用传输密钥keyt进行解密得到会话密钥keys;
所述后台数据库用于存储每个用户终端分别设定唯一标识符id,并在每一标识符下设定对应身份密钥keyd和传输密钥keyt;
所述服务器用于调取后台数据库中存储的身份密钥keyd依次进行解密,若解密成功,读取标识符id,得到传输密钥keyt;随机产生会话密钥keys,调用传输密钥keyt采用3des算法将会话密钥keys进行加密传输至用户终端;
所述用户终端与服务器建立加密会话,将传输数据利用会话密钥采取aes算法在用户终端和服务器端进行加密和解密运算,完成数据加密传输。
本实施例提供一种中断可恢复保密通信处理系统,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
中断可恢复保密通信处理装置;
当所述一个或多个程序被所述一个或多个处理器执行时,使得中断可恢复保密通信处理装置配合所述一个或多个处理器实现如前述的中断可恢复保密通信处理方法。
本实施例还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如前述的中断可恢复保密通信处理的步骤。
本发明的一种中断可恢复保密通信处理方法、装置和系统能够实现加密会话意外中断的准确恢复,采用数据传输双方识别、数据保密传输的有效统一,防止保密数据遭受恶意窃听或者假冒攻击,具有较好的实用价值。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。