一种端到端的安全通讯加密方法和系统与流程

本发明实施例涉及安全通讯，尤其涉及一种端到端的安全通讯加密方法和系统。

背景技术：

1、在现有技术中，无论是前端到后端，还是后端到后端，所有端到端的加密秘钥都是固定的。不管是对称加密方式还是非对称加密方式，都会存在秘钥被窃取后，就可以通过被窃取的秘钥进行报文的修改重新加密，达到使用虚假请求来伪造真实交易的目的，只要秘钥被泄露就会存在非常大的风险。为了应对这种风险，通常需要对秘钥进行频繁的更换，导致了不管是哪一段端都有极大的工作负担。

技术实现思路

1、本发明实施例提供一种端到端的安全通讯加密方法和系统，已解决上述技术问题。

2、第一方面，本发明实施例提供了一种端到端的安全通讯加密方法，包括：

3、发起链路第一次请求的第一服务获取随时间变化的随机秘钥，同时在内存中创建一个新的加密秘钥作为自己的交换秘钥，将所述交换秘钥添加至请求报文中，使用所述随机秘钥对所述请求报文进行加密发送至链路对端的第二服务；

4、所述第二服务收到加密的请求报文后，根据时间戳获取所述随机秘钥，利用所述随机秘钥对所述加密的请求报文进行解密，完成业务处理，并得到所述第一服务上一次创建的交换秘钥；

5、所述第二服务在内存中创建一个新的加密秘钥作为自己的交换秘钥，将所述自己的交换秘钥添加至响应报文中，并使用所述第一服务上一次创建的交换秘钥对所述响应报文进行加密后发送至第一服务；

6、所述第一服务使用自己上一次创建的交换秘钥对加密的响应报文进行解密，完成业务处理，并得到所述第二服务上一次创建的交换秘钥；

7、所述第一服务根据是否需要继续请求所述第二服务，决定使用所述第二服务上一次创建的交换秘钥继续加密新的请求报文，或清除所述第二服务上一次创建的交换秘钥。

8、第二方面，本发明实施例提供了一种端到端的安全通讯加密系统，包括：发起链路第一次请求的第一服务所部署的电子设备，以及链路对端的第二服务所部署的电子设备；其中，

9、所述第一服务用于获取随时间变化的随机秘钥，同时在内存中创建一个新的加密秘钥作为自己的交换秘钥，将所述交换秘钥添加至请求报文中，使用所述随机秘钥对所述请求报文进行加密发送至链路对端的第二服务；

10、所述第二服务用于收到加密的请求报文后，根据时间戳获取所述随机秘钥，利用所述随机秘钥对所述加密的请求报文进行解密，完成业务处理，并得到所述第一服务上一次创建的交换秘钥；同时，在内存中创建一个新的加密秘钥作为自己的交换秘钥，将所述自己的交换秘钥添加至响应报文中，并使用所述第一服务上一次创建的交换秘钥对所述响应报文进行加密后发送至第一服务；

11、所述第一服务还用于使用自己上一次创建的交换秘钥对加密的响应报文进行解密，完成业务处理，得到所述第二服务上一次创建的交换秘钥；并根据是否需要继续请求所述第二服务，决定使用或清除所述第二服务上一次创建的交换秘钥。

12、综上所述，本实施例提供了一种端到端的安全通讯加密方法，能够实现如下有益效果：

13、1.本实施例的方法中秘钥不存储在任何一端，只存储在内存中，内存被攻破并精准定位秘钥的概率极低，且内存中的秘钥也是动态变化的，每次报文交互都会更换，极大的降低了泄露的风险；

14、2.本实施例的方法中，即使当前链路的秘钥被泄露也会很快由于某一端的该链路上发生秘钥错误而被感知到，快速切断非法的请求链路，并且不对其他链路有影响；

15、3.本实施例的方法中，由于秘钥是在每次请求的链路中生成的，因此无需频繁的在双端更换存储的秘钥，降低运维人员负担；并且在一定时间后秘钥也会在内存中被清理掉，不会有内存溢出的风险。

技术特征：

1.一种端到端的安全通讯加密方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述第一服务根据是否需要继续请求所述第二服务，决定使用所述第二服务上一次创建的交换秘钥继续加密新的请求报文，或清除所述第二服务上一次创建的交换秘钥，包括：

3.根据权利要求1所述的方法，其特征在于，所述第一服务根据是否需要继续请求所述第二服务，决定使用所述第二服务上一次创建的交换秘钥继续加密新的请求报文，或清除所述第二服务上一次创建的交换秘钥，包括：

4.根据权利要求1所述的方法，其特征在于，所述第一服务和第二服务使用一对相同的安全硬件设备作为所述随机秘钥的获取点，所述安全硬件设备能够产生随时间变化的相同的随机秘钥。

5.根据权利要求4所述的方法，其特征在于，所述请求报文中携带有发起请求的时间戳；

6.根据权利要求1所述的方法，其特征在于，各报文携带链路id；相应的，所述方法还包括：

7.根据权利要求1所述的方法，其特征在于，还包括：

8.根据权利要求1所述的方法，其特征在于，交换秘钥在内存中存储一定时间后清除，所述一定时间大于一次报文交换所需的最大时间。

9.一种端到端的安全通讯加密系统，其特征在于，包括：发起链路第一次请求的第一服务所部署的电子设备，以及链路对端的第二服务所部署的电子设备；其中，

10.根据权利要求9所述的系统，其特征在于，所述第一服务通过如下方式所述第一服务根据是否需要继续请求所述第二服务，决定使用所述第二服务上一次创建的交换秘钥继续加密新的请求报文，或清除所述第二服务上一次创建的交换秘钥：

技术总结
本发明实施例公开了一种端到端的安全通讯加密方法和系统。其中，方法包括：第一服务获取随时间变化的随机秘钥，在内存中创建一个新的加密秘钥作为交换秘钥添加至请求报文中，使用随机秘钥对所述请求报文进行加密发送至链路对端的第二服务；所述第二服务根据时间戳获取随机秘钥，利用所述随机秘钥对所述加密的请求报文进行解密，在内存中创建一个新的加密秘钥作为交换秘钥，将所述交换秘钥添加至响应报文中，并使用所述第一服务上一次创建的交换秘钥对所述响应报文加密后发送至第一服务；所述第一服务使用上一次创建的交换秘钥对加密的响应报文进行解密，并根据是否需要继续请求所述第二服务，决定使用或清除所述第二服务上一次创建的交换秘钥。

技术研发人员：孙建,高会芳
受保护的技术使用者：北京汇元吉祥科技有限公司
技术研发日：
技术公布日：2025/4/17