一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?br>
【專利摘要】本發(fā)明提供了一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?�,發(fā)送數(shù)據(jù)時(shí),發(fā)送方根據(jù)接收方的公鑰(Kp)��,先將該數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件加密后再發(fā)送給接收方���;接收數(shù)據(jù)時(shí)��,接收方根據(jù)己方的私鑰(Ks)�,將接收的數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件解密�����;所述發(fā)送方或者接收方的公鑰(Kp)和私鑰(Ks)在本地硬件加解密裝置產(chǎn)生中��。采用本發(fā)明的技術(shù)方案�,直接在數(shù)據(jù)加解密裝置內(nèi)部對(duì)數(shù)據(jù)進(jìn)行了加解密,數(shù)據(jù)加解密裝置內(nèi)部信息通過身份認(rèn)證的方式進(jìn)行保護(hù)���,而且不會(huì)耗費(fèi)數(shù)據(jù)收發(fā)設(shè)備CPU的資源���,實(shí)現(xiàn)了對(duì)數(shù)據(jù)的硬件加密,使得數(shù)據(jù)的保密效果更佳�����;同時(shí)使用了非對(duì)稱加密算法和對(duì)稱加密算法,私鑰以密文形式完全隱藏在數(shù)據(jù)加解密裝置中��,具有更好的加密效果��。
【專利說明】一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?br>
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)傳輸和數(shù)據(jù)安全領(lǐng)域���,特別是涉及一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ā?br>
【背景技術(shù)】
[0002]近些年來,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展�,使用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸也進(jìn)入到人們的日常生活和工作中,而數(shù)據(jù)信息泄露成為人們最關(guān)注的問題�����。很多威脅都可能導(dǎo)致數(shù)據(jù)丟失或泄露�,并且進(jìn)一步引發(fā)了用戶對(duì)即時(shí)通訊服務(wù)的信任問題,所以人們對(duì)保證數(shù)據(jù)安全的產(chǎn)品有很大需求����。
[0003]為了提高數(shù)據(jù)信息的安全性,目前有效的方法是進(jìn)行數(shù)據(jù)加密���,通過加密使數(shù)據(jù)只能被指定的人進(jìn)行瀏覽��,確保數(shù)據(jù)的安全�����。目前常見的數(shù)據(jù)加密方式有以下三種:
[0004]第一種:利用對(duì)稱加密算法加密數(shù)據(jù)����,對(duì)稱加密算法是應(yīng)用較早的加密算法,技術(shù)成熟�。但是,在對(duì)稱加密算法中���,使用的密鑰只有一個(gè)�����,數(shù)據(jù)收發(fā)雙方都使用這個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密���,安全性得不到保證。這種方法需要解決秘鑰的傳遞�����、保存���、交換等問題��,所以這種單純的數(shù)據(jù)加密系統(tǒng)很少有人使用���。
[0005]第二種:利用PKI/CA認(rèn)證加密數(shù)據(jù)��,電子數(shù)據(jù)加密系統(tǒng)目前大部分產(chǎn)品都是基于這種加密方式��。PKI (PK Infrastructure)指的是公鑰(Kp)基礎(chǔ)設(shè)施,CA (CertificateAuthority)指的是認(rèn)證中心��。PKI/CA認(rèn)證體系相對(duì)成熟�����,但應(yīng)用于電子數(shù)據(jù)加密系統(tǒng)時(shí)也存在著密匙管理復(fù)雜��,需要先交換密匙才能進(jìn)行加解密操作等�。這種加密方法只適用于企業(yè)、單位和一些高端用戶�,由于CA證書獲得麻煩,交換繁瑣��,因此這種數(shù)據(jù)加密模式一直很難普及��。
[0006]第三種:利用基于身份的密碼技術(shù)進(jìn)行數(shù)據(jù)加密。將用戶公開的身份信息(如e —mail地址��,IP地址���,名字����,等等)作為用戶Kp����,用戶私鑰(Ks)由一個(gè)稱為Ks生成者的可信中心生成。近些年來���,基于身份密碼體制的設(shè)計(jì)成為密碼學(xué)界的一個(gè)熱門的研究領(lǐng)域���。目前這種方式是最有希望實(shí)現(xiàn)數(shù)據(jù)加密規(guī)模應(yīng)用的方式,但尚未得到應(yīng)用�����。
[0007]故��,針對(duì)目前現(xiàn)有技術(shù)中存在的上述缺陷��,實(shí)有必要進(jìn)行研究,以提供一種方案��,解決現(xiàn)有技術(shù)中存在的缺陷���,使網(wǎng)絡(luò)數(shù)據(jù)傳輸更加安全可靠��。
【發(fā)明內(nèi)容】
[0008]為了克服上述現(xiàn)有技術(shù)的缺陷���,本發(fā)明提供了一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǎㄟ^外接的硬件加密裝置實(shí)現(xiàn)了對(duì)數(shù)據(jù)的硬件加密���,使得數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的保密效果更佳,同時(shí)也不會(huì)耗費(fèi)數(shù)據(jù)收發(fā)設(shè)備CPU的資源����。
[0009]為解決現(xiàn)有技術(shù)存在的問題,本發(fā)明的技術(shù)方案為:
[0010]一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǎ?br>
[0011]發(fā)送數(shù)據(jù)時(shí)��,發(fā)送方根據(jù)接收方的公鑰(Kp)�,先將該數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件加密后再發(fā)送給接收方;
[0012]接收數(shù)據(jù)時(shí)�����,接收方根據(jù)己方的私鑰(Ks),將接收的數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件解密�����;
[0013]所述發(fā)送方或者接收方的公鑰(Kp)和私鑰(Ks)在本地硬件加解密裝置中產(chǎn)生�����。
[0014]優(yōu)選地�,所述私鑰(Ks)存儲(chǔ)在本地硬件加解密裝置中。
[0015]優(yōu)選地�,所述發(fā)送數(shù)據(jù)的步驟具體包括:
[0016](I)通過數(shù)據(jù)加解密管理模塊將待發(fā)送數(shù)據(jù)發(fā)送給硬件加解密裝置;
[0017](2)硬件加解密裝置先調(diào)用數(shù)據(jù)加密秘鑰(Kd)對(duì)數(shù)據(jù)進(jìn)行加密�����;
[0018](3)再根據(jù)所述數(shù)據(jù)加解密管理模塊選定的公鑰(Kp)����,硬件加解密裝置對(duì)所述數(shù)據(jù)加密秘鑰進(jìn)行非對(duì)稱加密(Ekd);
[0019](4)數(shù)據(jù)加解密管理模塊獲取經(jīng)硬件加密后的數(shù)據(jù)并形成密文文件發(fā)送給接收方��;
[0020]所述接收數(shù)據(jù)的步驟具體包括:
[0021](I)數(shù)據(jù)加解密管理模塊將接收的待解密數(shù)據(jù)發(fā)送給硬件加解密裝置��;
[0022](2)硬件加解密裝置先根據(jù)己方的私鑰(Ks)進(jìn)行硬件解密獲取數(shù)據(jù)加密秘鑰(Kd)�����;
[0023](3)硬件加解密裝置再根據(jù)所獲取的數(shù)據(jù)加密秘鑰(Kd)進(jìn)行硬件解密獲取數(shù)據(jù);
[0024](4)數(shù)據(jù)加解密管理模塊獲取經(jīng)硬件解密后的數(shù)據(jù)形成明文文件�。
[0025]優(yōu)選地,通過所述硬件加解密裝置進(jìn)行硬件加解密操作前�����,還包括身份信息認(rèn)證的步驟�,只有身份信息認(rèn)證成功后,所述硬件加解密裝置才可以正常使用�。
[0026]優(yōu)選地,身份信息認(rèn)證成功后��,還包括對(duì)存儲(chǔ)在硬件加解密裝置中的私鑰(Ks)進(jìn)行解密的步驟��,用于私鑰(Ks)的解密秘鑰與身份信息綁定��。
[0027]優(yōu)選地���,用于身份信息認(rèn)證的身份信息為來自按鍵密碼的身份輸入或者來自生物特征傳感器的指紋、聲紋等方式的身份輸入�����。
[0028]優(yōu)選地,所述數(shù)據(jù)加解密管理模塊可以同時(shí)選定多個(gè)數(shù)據(jù)接收方的公鑰(Kp)�,可向多人同時(shí)發(fā)送數(shù)據(jù)。
[0029]優(yōu)選地�,數(shù)據(jù)加解密管理模塊中形成的密文文件至少包括加密后的密鑰(Ekd)存儲(chǔ)區(qū)和加密數(shù)據(jù)體區(qū);
[0030]所述的Ekd區(qū)同時(shí)附有接收方的公鑰(Kp)信息����,用于數(shù)據(jù)接收方使用己方的公鑰(Kp)進(jìn)行比對(duì)。
[0031]優(yōu)選地�����,所述數(shù)據(jù)加密秘鑰(Kd)為所述硬件加解密裝置每次使用時(shí)隨機(jī)產(chǎn)生�����,且每次所產(chǎn)生的Kd都不同�����。
[0032]優(yōu)選地�����,所述的硬件加解密裝置包括身份信息采集模塊����、身份認(rèn)證處理模塊�、隨機(jī)數(shù)產(chǎn)生器����、通訊接口、數(shù)據(jù)加解密控制模塊����、數(shù)據(jù)緩存器、加解密硬件模塊以及存儲(chǔ)介質(zhì)��;
[0033]所述加解密硬件模塊包括數(shù)據(jù)體加解密硬件模塊和非對(duì)稱加解密硬件模塊�;
[0034]所述存儲(chǔ)介質(zhì)包括加密私鑰存儲(chǔ)區(qū)和數(shù)據(jù)存儲(chǔ)區(qū)。
[0035]與現(xiàn)有的數(shù)據(jù)加密方法相比��,本發(fā)明的一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?����,直接在?shù)據(jù)加解密裝置內(nèi)部對(duì)數(shù)據(jù)進(jìn)行了加解密��,數(shù)據(jù)加解密裝置內(nèi)部信息通過身份認(rèn)證的方式進(jìn)行保護(hù)�����,而且不會(huì)耗費(fèi)數(shù)據(jù)收發(fā)設(shè)備CPU的資源���,實(shí)現(xiàn)了對(duì)數(shù)據(jù)的硬件加密�����,使得數(shù)據(jù)的保密效果更佳�;本發(fā)明的一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?�,使用了非?duì)稱加密算法���,私鑰以密文形式完全隱藏在數(shù)據(jù)加解密裝置中���,使得保密效果更好,同時(shí)通過安裝在數(shù)據(jù)收發(fā)設(shè)備上的數(shù)據(jù)加解密管理模塊對(duì)公鑰進(jìn)行管理���、配置��、和傳遞��,從而擺脫了公共網(wǎng)絡(luò)認(rèn)證中心及其弊端��?����?傊?����,本發(fā)明提供了一種可方便地通過Skype�����、MSN�����、QQ或者電子郵件等網(wǎng)絡(luò)通訊工具進(jìn)行數(shù)據(jù)傳輸?shù)谋C芊椒ā?br>
【專利附圖】
【附圖說明】
[0036]圖1是本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǖ牧鞒虉D�;
[0037]圖2是實(shí)現(xiàn)本發(fā)明方法的系統(tǒng)的架構(gòu)圖;
[0038]圖3是圖2中的硬件加解密裝置的原理框圖�����;
[0039]圖4是硬件加解密裝置的一應(yīng)用實(shí)例�;
[0040]圖5是硬件加解密裝置的另一應(yīng)用實(shí)例;
[0041]圖6是硬件加解密裝置中身份認(rèn)證處理模塊的原理框圖���;
[0042]圖7是本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǖ木唧w工作流程圖�。
【具體實(shí)施方式】
[0043]為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例����,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。
[0044]相反���,本發(fā)明涵蓋任何由權(quán)利要求定義的在本發(fā)明的精髓和范圍上做的替代��、修改�����、等效方法以及方案���。進(jìn)一步��,為了使公眾對(duì)本發(fā)明有更好的了解��,在下文對(duì)本發(fā)明的細(xì)節(jié)描述中��,詳盡描述了一些特定的細(xì)節(jié)部分���。對(duì)本領(lǐng)域技術(shù)人員來說沒有這些細(xì)節(jié)部分的描述也可以完全理解本發(fā)明。
[0045]參見圖1����,所示為本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǖ牧鞒虉D,發(fā)送數(shù)據(jù)時(shí)���,發(fā)送方根據(jù)接收方的公鑰(Kp)�����,先將該數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件加密后再發(fā)送給接收方�。
[0046]數(shù)據(jù)接收過程和數(shù)據(jù)發(fā)送過程是相對(duì)應(yīng)�����,接收數(shù)據(jù)時(shí),接收方根據(jù)己方的私鑰(Ks)�����,將接收的數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件解密����。
[0047]上述中的公鑰與私鑰是一對(duì)�����,一般公鑰可在Internet上傳送�,而私鑰由用戶保存。如果用公鑰對(duì)數(shù)據(jù)進(jìn)行加密�����,只有用對(duì)應(yīng)的私有密鑰才能解密����。采用本發(fā)明的方法,在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)都是經(jīng)硬件加密的��,即便黑客在網(wǎng)絡(luò)中截獲數(shù)據(jù)���,知道公鑰和加密算法是無法破解私鑰的��,而私鑰由用戶保存�,黑客無法獲取私鑰,因此無法解開密文�����。
[0048]通過外接硬件加密裝置對(duì)數(shù)據(jù)加密比在操作系統(tǒng)或者網(wǎng)絡(luò)中通過軟件算法加密具有更高的安全性���,而且不會(huì)占用系統(tǒng)的CPU資源�����。在本發(fā)明方法中���,發(fā)送方或者接收方的公鑰(Kp)和私鑰(Ks)在本地硬件加解密裝置產(chǎn)生中,這與現(xiàn)有技術(shù)中公鑰和私鑰由身份認(rèn)證系統(tǒng)分配的方式不同�。公鑰(Kp)和私鑰(Ks)在硬件裝置中隨機(jī)產(chǎn)生,使私鑰具有更高的安全性��,除用戶以外的任何第三方都無法獲知該用戶的私鑰�。
[0049]在本發(fā)明的一種優(yōu)選實(shí)施方式中,公鑰(Kp)和私鑰(Ks)是在初次使用硬件加解密裝置時(shí)產(chǎn)生��;首先通過安裝在收發(fā)設(shè)備上的數(shù)據(jù)加解密管理模塊與硬件加解密裝置進(jìn)行通訊連接;然后通過數(shù)據(jù)加解密管理模塊發(fā)送配置信息使硬件加解密裝置產(chǎn)生公鑰和私鑰����。
[0050]硬件加解密裝置中所產(chǎn)生公鑰和私鑰,可以在數(shù)據(jù)加解密管理模塊將Ks輸入到硬件加解密裝置中�,也可以由硬件加解密裝置自己隨機(jī)產(chǎn)生。
[0051]公鑰和私鑰產(chǎn)生后���,用戶可以通過數(shù)據(jù)加解密管理模塊獲知公鑰和私鑰���,公鑰在實(shí)際使用中必須要公開給數(shù)據(jù)發(fā)送方�,因此公鑰產(chǎn)生后用戶必須要獲知準(zhǔn)確的公鑰后才能將其公開給發(fā)送方;而私鑰是用于數(shù)據(jù)解密��,實(shí)際使用中客戶不一定需要知曉��。在一種優(yōu)選的實(shí)施方式中���,將私鑰與硬件加解密裝置綁定���,即將私鑰存儲(chǔ)在本地硬件加解密裝置中,任何人包括用戶本人也無法獲知該私鑰��,進(jìn)一步提升了數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0052]公鑰和私鑰的加密方式屬于非對(duì)稱密碼算法,其存在兩個(gè)缺點(diǎn):加密速度慢����,比對(duì)稱加密算法要慢10?100倍;另外加密后會(huì)導(dǎo)致得到的密文變長(zhǎng)��。因此����,如果對(duì)數(shù)據(jù)體采用非對(duì)稱加密算法,會(huì)使加密速度變慢���,同時(shí)使密文變長(zhǎng)�,將不利于網(wǎng)絡(luò)傳輸�。在本發(fā)明的一種優(yōu)選實(shí)施方式,先采用一種高效的數(shù)據(jù)加密算法(比如對(duì)稱算法)對(duì)數(shù)據(jù)體進(jìn)行加密����,再采用非對(duì)稱算法對(duì)該加密算法的加密密鑰進(jìn)行非對(duì)稱加密,由于加密密鑰為小數(shù)據(jù)����,采用非對(duì)稱加密算法也不會(huì)使加密速度變慢或?qū)е旅芪淖冮L(zhǎng),同時(shí)又進(jìn)一步保障了數(shù)據(jù)的安全性��。
[0053]采用兩種不同加密算法相結(jié)合的方式,發(fā)送數(shù)據(jù)的步驟具體包括:
[0054](I)通過數(shù)據(jù)加解密管理模塊將待發(fā)送數(shù)據(jù)發(fā)送給硬件加解密裝置�����;
[0055](2)硬件加解密裝置先調(diào)用數(shù)據(jù)加密密鑰(Kd)對(duì)數(shù)據(jù)進(jìn)行加密�����;所采用的數(shù)據(jù)加密密鑰(Kd)是由隨機(jī)數(shù)產(chǎn)生����,且每次都不同;
[0056](3)再根據(jù)所述數(shù)據(jù)加解密管理模塊選定的公鑰�,硬件加解密裝置對(duì)所述數(shù)據(jù)加密密鑰進(jìn)行非對(duì)稱加密(Ekd);非對(duì)稱加密過程在硬件加解密裝置內(nèi)的非對(duì)稱加解密模塊中完成;
[0057](4)數(shù)據(jù)加解密管理模塊獲取經(jīng)硬件加密后的數(shù)據(jù)并形成密文文件發(fā)送給接收方����;
[0058]接收數(shù)據(jù)的步驟具體包括:
[0059](I)數(shù)據(jù)加解密管理模塊將接收的待解密數(shù)據(jù)發(fā)送給硬件加解密裝置;
[0060](2)硬件加解密裝置先根據(jù)己方的私鑰進(jìn)行解密獲取數(shù)據(jù)加密密鑰(Kd)���;
[0061](3)硬件加解密裝置再根據(jù)所獲取的數(shù)據(jù)加密密鑰(Kd)進(jìn)行解密獲取數(shù)據(jù)����;
[0062](4)數(shù)據(jù)加解密管理模塊獲取經(jīng)解密后的數(shù)據(jù)���,并形成明文文件�����。
[0063]上述技術(shù)方案中���,保障數(shù)據(jù)傳輸安全性重要手段是數(shù)據(jù)進(jìn)行加解密過程都是在硬件加解密裝置中完成���,而一旦硬件加解密裝置或者私鑰被盜取,數(shù)據(jù)傳輸?shù)陌踩詫o法得到保障�����。在本發(fā)明的另一種優(yōu)選實(shí)施方式中�����,在通過硬件加解密裝置進(jìn)行硬件加解密操作前�����,還包括身份信息認(rèn)證的步驟�,只有身份信息認(rèn)證成功后,硬件加解密裝置才可以正常使用�����,從而能夠進(jìn)一步保障數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0064]用于身份信息認(rèn)證的身份信息為來自按鍵密碼的身份輸入或者來自生物特征傳感器的指紋、聲紋等方式的身份輸入��。
[0065]在一種優(yōu)選的實(shí)施方式中����,存儲(chǔ)在硬件加解密裝置中的私鑰(Ks)是經(jīng)過加密的,對(duì)私鑰(ks)加密的密鑰(Kks)可以與身份信息綁定�����,也可以在硬件加解密裝置中隨機(jī)產(chǎn)生�����。
[0066]由此��,在身份信息認(rèn)證成功后���,還包括對(duì)存儲(chǔ)在硬件加解密裝置中的私鑰(Ks)進(jìn)行解密的步驟。如果身份信息比對(duì)一致則通過身份認(rèn)證�����,Kks便可以被解密,從而獲得私鑰(Ks)�,如果身份信息比對(duì)不一致則不能通過身份認(rèn)證,將無法解密Kks��,也即無法獲得私鑰(Ks),硬件加解密裝置就不能使用�����。
[0067]在一種優(yōu)選實(shí)施方式中�����,通過數(shù)據(jù)加解密管理模塊可以同時(shí)選定多個(gè)數(shù)據(jù)接收方的公鑰(Kp)���,可向多人同時(shí)發(fā)送數(shù)據(jù)���。
[0068]在數(shù)據(jù)加解密管理模塊中形成的密文文件至少包括加密后的密鑰(Ekd)存儲(chǔ)區(qū)和加密數(shù)據(jù)體區(qū);在Ekd區(qū)中同時(shí)附有接收方的公鑰(Kp)信息�����,用于數(shù)據(jù)接收方使用己方的公鑰(Kp)進(jìn)行比對(duì)����。當(dāng)接收方比對(duì)到自己的Kp��,密鑰加解密硬件模塊調(diào)用己方的Ks對(duì)經(jīng)過自己Kp加密的Ekd解密����。
[0069]參見圖2��,所示為實(shí)現(xiàn)本發(fā)明方法的系統(tǒng)的架構(gòu)圖��。包括硬件加解密裝置(I)���、數(shù)據(jù)收發(fā)設(shè)備(2)��、傳輸網(wǎng)絡(luò)(3)和即時(shí)通訊服務(wù)器(4)����。硬件加解密裝置(I)與數(shù)據(jù)收發(fā)設(shè)備(2)相連��,用于在本地進(jìn)行數(shù)據(jù)的加解密操作�;在數(shù)據(jù)收發(fā)設(shè)備(2)中安裝有數(shù)據(jù)加解密管理模塊(21),數(shù)據(jù)加解密管理模塊(21)負(fù)責(zé)數(shù)據(jù)管理�、聯(lián)系人及公鑰管理、以及和硬件加解密裝置的數(shù)據(jù)傳輸?shù)炔僮?�,可以同時(shí)選定多個(gè)數(shù)據(jù)接收方的Kp對(duì)Kd進(jìn)行加密��,形成多個(gè)Ekd����,向多人同時(shí)發(fā)送數(shù)據(jù)。數(shù)據(jù)發(fā)送方通過硬件加解密裝置(I)對(duì)數(shù)據(jù)進(jìn)行加密����,通過傳輸網(wǎng)絡(luò)(3)發(fā)送到即時(shí)通訊服務(wù)器(4),再通過傳輸網(wǎng)絡(luò)(3)到達(dá)數(shù)據(jù)接收方的數(shù)據(jù)收發(fā)設(shè)備(2)�����。同樣的�,數(shù)據(jù)接收方將加密的數(shù)據(jù)通過硬件加解密裝置(I)進(jìn)行解密。
[0070]參見圖3�,所示為硬件加解密裝置(I)的原理框圖。硬件加解密裝置(I)包括身份信息采集模塊(11)���、身份認(rèn)證處理模塊(12)�、通訊接口(13)��、數(shù)據(jù)加解密控制模塊(14)�、數(shù)據(jù)緩存器(15)�、加解密硬件模塊(16)�����、存儲(chǔ)介質(zhì)(18)以及隨機(jī)數(shù)產(chǎn)生器(17)����。
[0071]所述的身份信息采集模塊(11),可以接收來自按鍵密碼的身份輸入或者來自生物特征傳感器的指紋����、聲紋等方式的身份輸入;身份認(rèn)證處理模塊(12)��,儲(chǔ)存身份認(rèn)證信息和Kks�����,并且對(duì)采集的身份信息進(jìn)行認(rèn)證���,僅當(dāng)身份信息認(rèn)證通過后���,身份認(rèn)證處理模塊
(12)才將Kks傳輸給數(shù)據(jù)加解密控制模塊(14),硬件加解密裝置才可以正常使用和操作�;通訊接口(13)�����,負(fù)責(zé)數(shù)據(jù)收發(fā)設(shè)備與硬件加解密裝置的連接與通訊,此通訊接口可以為SATA�、SAS、USB或者PCIE等之一���;數(shù)據(jù)加解密控制模塊(14)�����,控制硬件加解密裝置內(nèi)部各個(gè)模塊之間的操作���;數(shù)據(jù)緩存器(15),用于緩存各種數(shù)據(jù)信息����;加解密硬件模塊(16)包括數(shù)據(jù)體加解密硬件模塊(161)和非對(duì)稱加解密硬件模塊(162),其中�,數(shù)據(jù)體加解密硬件模塊(161)用于對(duì)數(shù)據(jù)體進(jìn)行加解密操作;非對(duì)稱加解密硬件模塊(162)用于產(chǎn)生公鑰(Kp)和私鑰(Ks)對(duì)��,同時(shí)還用于對(duì)Kd和Ekd(數(shù)據(jù)體的加密密鑰)進(jìn)行加密或解密操作�����,其算法可以為SM2、RSA��、或者ECC等之一����;存儲(chǔ)介質(zhì)(18)包塊數(shù)據(jù)存儲(chǔ)區(qū)(181)和Eks存儲(chǔ)區(qū)(182),其中數(shù)據(jù)存儲(chǔ)區(qū)(181)�,用于存儲(chǔ)除Eks之外的各種數(shù)據(jù)信息;Eks存儲(chǔ)區(qū)(182)�,用于存儲(chǔ)Eks (私鑰ks的加密密鑰);隨機(jī)數(shù)產(chǎn)生器(17)�����,用于隨機(jī)產(chǎn)生一串字符�,此字符用來產(chǎn)生數(shù)據(jù)體的加密密鑰。每次對(duì)數(shù)據(jù)體進(jìn)行加密,隨機(jī)數(shù)產(chǎn)生器均產(chǎn)生一串隨機(jī)字符,從而使得每次數(shù)據(jù)體加密密鑰都不同���。所產(chǎn)生的字符還可以用于產(chǎn)生私鑰Ks�����。
[0072]參加圖4�,所示為硬件加解密裝置的一應(yīng)用實(shí)例,在該應(yīng)用實(shí)例中����,硬件加解密裝置⑴為加密U盤(I)。
[0073]該加密U盤(I)中的數(shù)據(jù)體加解密硬件模塊(161)采用AES數(shù)據(jù)體加解密硬件模塊���;非對(duì)稱加解密硬件模塊(162)采用RSA密鑰加解密硬件模塊;通訊接口(13)采用USB接口 �;身份信息采集模塊(11)采用指紋信息采集模塊。
[0074]參見圖5�,所示為硬件加解密裝置的另一應(yīng)用實(shí)例,在該應(yīng)用實(shí)例中�����,硬件加解密裝置(I)為加密硬盤(I)����。
[0075]該加密硬盤(I)上的數(shù)據(jù)體加解密硬件模塊(161)采用SM4數(shù)據(jù)體加解密硬件模塊;非對(duì)稱加解密硬件模塊(162)采用SM2密鑰加解密硬件模塊���;通訊接口(13)采用SATA接口 ���;身份信息采集模塊(11)采用按鍵信息采集模塊��。
[0076]參見圖6����,所示為硬件加解密裝置中身份認(rèn)證處理模塊的原理框圖���。身份認(rèn)證處理模塊(12)可以由獨(dú)立電路系統(tǒng)集成����,也可以是一個(gè)單芯片集成電路�����,包括處理器(121)���、數(shù)據(jù)緩存器(122)����、身份信息認(rèn)證模塊(123)�����、非易失存儲(chǔ)器(128)、通訊接口(127)和隨機(jī)數(shù)產(chǎn)生器(126)��。非易失存儲(chǔ)器(128)包括Kks存儲(chǔ)區(qū)(124)和身份信息存儲(chǔ)區(qū)(125)�。
[0077]現(xiàn)結(jié)合圖3和圖6,身份認(rèn)證和私鑰保密工作機(jī)制描述如下:
[0078](I)當(dāng)用戶進(jìn)行身份注冊(cè)時(shí)�����,身份認(rèn)證信息認(rèn)證模塊(123)將注冊(cè)的身份信息保存在身份信息存儲(chǔ)區(qū)(125);
[0079](2)處理器(121)通過隨機(jī)數(shù)產(chǎn)生器(126)產(chǎn)生一個(gè)隨機(jī)數(shù)作為私鑰的加密密鑰(Kks)���,并保存在Kks存儲(chǔ)區(qū)(124);
[0080](3)處理器(121)將Kks通過通訊接口(127)��,將Kks傳輸給數(shù)據(jù)加解密控制模塊
(14);
[0081](4)數(shù)據(jù)加解密模塊(14)將Kks作為密鑰��、并調(diào)用數(shù)據(jù)體加解密硬件模塊(161)對(duì)私鑰進(jìn)行加密處理���,形成Eks ��;
[0082](5)數(shù)據(jù)加解密模塊(14)將Eks保存在Eks存儲(chǔ)區(qū)(182)��。
[0083](6)當(dāng)用戶進(jìn)行身份認(rèn)證時(shí)�,身份認(rèn)證信息認(rèn)證模塊(123)通過接受身份信息采集模塊(11)采集到的身份信息����,與身份信息存儲(chǔ)區(qū)(125)中存儲(chǔ)的身份信息進(jìn)行比對(duì)����;
[0084](7)如果身份信息一致則通過身份認(rèn)證�,此時(shí),處理器(121)讀取身份認(rèn)證Kks存儲(chǔ)區(qū)(124)中的Kks���,并經(jīng)通訊接口(127)傳輸給數(shù)據(jù)加解密控制模塊(14);數(shù)據(jù)加解密模塊(14)將Kks作為解密密鑰�����、并調(diào)用數(shù)據(jù)體加解密硬件模塊(161)對(duì)Eks進(jìn)行解密處理�����,從而獲得Ks���,硬件加解密裝置(I)則可正常工作。
[0085](8)如果身份信息不一致則不能通過身份認(rèn)證���,此時(shí)��,處理器(121)拒絕將Kks發(fā)送給數(shù)據(jù)加解密控制模塊(14)���,硬件加解密裝置(I)無法獲得Ks��,就不能正常使用����。
[0086]參見圖7�����,所示為本發(fā)明一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǖ木唧w工作流程圖���。其具體表述如下:
[0087]網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǖ墓ぷ髁鞒谭譃槿糠?在數(shù)據(jù)收發(fā)設(shè)備上進(jìn)行數(shù)據(jù)傳輸配置的步驟�、發(fā)送加密數(shù)據(jù)的步驟以及對(duì)接收數(shù)據(jù)進(jìn)行解密的步驟����。
[0088]在數(shù)據(jù)收發(fā)設(shè)備上進(jìn)行數(shù)據(jù)傳輸初次配置步驟如下:
[0089]I)在客戶端數(shù)據(jù)收發(fā)設(shè)備上安裝數(shù)據(jù)加解密管理模塊���;
[0090]2)硬件加解密裝置接入數(shù)據(jù)收發(fā)設(shè)備�,注冊(cè)個(gè)人身份信息���;
[0091]3)用戶在數(shù)據(jù)加解密管理模塊將Kks輸入到硬件加解密裝置中����,也可以由硬件加解密裝置自己隨機(jī)產(chǎn)生;
[0092]4)用戶在數(shù)據(jù)加解密管理模塊將Ks輸入到硬件加解密裝置中���,也可以由硬件加解密裝置自己隨機(jī)產(chǎn)生�;
[0093]5) Ks經(jīng)Kks加密成Eks再保存在Eks存儲(chǔ)區(qū)����;
[0094]6)硬件加解密裝置通過Ks產(chǎn)生Kp,并將Kp顯示在數(shù)據(jù)加解密管理模塊����。
[0095]B.數(shù)據(jù)發(fā)送方發(fā)送加密數(shù)據(jù)的步驟如下:
[0096]I)數(shù)據(jù)發(fā)送方將硬件加解密裝置與數(shù)據(jù)收發(fā)設(shè)備相連,并通過身份認(rèn)證�����;
[0097]2)數(shù)據(jù)加解密管理模塊向硬件加解密裝置發(fā)送對(duì)數(shù)據(jù)體進(jìn)行加密操作的命令����;
[0098]3)硬件加解密裝置隨機(jī)產(chǎn)生一個(gè)Kd保存在數(shù)據(jù)緩存器中;
[0099]4)數(shù)據(jù)收發(fā)設(shè)備向硬件加解密裝置傳輸數(shù)據(jù)體內(nèi)容�����;
[0100]5)數(shù)據(jù)體加解密硬件模塊調(diào)用Kd對(duì)數(shù)據(jù)體加密,并回傳�;
[0101]6)數(shù)據(jù)發(fā)送方在數(shù)據(jù)加解密管理模塊選擇一個(gè)或多個(gè)數(shù)據(jù)接收方的Kp ;
[0102]7)密鑰加解密硬件模塊調(diào)用選擇的Kp�����,分別對(duì)Kd進(jìn)行加密�,形成多個(gè)Ekd,并回傳���;
[0103]8)在數(shù)據(jù)加解密管理模塊上��,將每個(gè)數(shù)據(jù)接收方的Kp附在對(duì)應(yīng)的Ekd的前面�����,形成單獨(dú)的文件�����;
[0104]9)在數(shù)據(jù)加解密管理模塊上,將Ekd作為第一個(gè)文件與加密的數(shù)據(jù)體合并成一種含有Ekd區(qū)和加密數(shù)據(jù)體區(qū)的特殊類型(.SEA)的密文文件�����,并發(fā)送,從而實(shí)現(xiàn)數(shù)據(jù)的加密與發(fā)送�。
[0105]C.數(shù)據(jù)接收方解密加密數(shù)據(jù)的方法如下:
[0106]I)數(shù)據(jù)接收方將硬件加解密裝置與數(shù)據(jù)收發(fā)設(shè)備相連,成功通過身份認(rèn)證�;
[0107]2)數(shù)據(jù)加解密管理模塊向硬件加解密裝置發(fā)送對(duì)數(shù)據(jù)進(jìn)行解密操作的命令,數(shù)據(jù)體加解密硬件模塊自動(dòng)調(diào)用Kks對(duì)Eks解密����;
[0108]3)數(shù)據(jù)收發(fā)設(shè)備向硬件加解密裝置傳輸接收到的加密數(shù)據(jù);
[0109]4)數(shù)據(jù)接收方通過數(shù)據(jù)加解密管理模塊使用己方的Kp對(duì)Ekd區(qū)的Kp進(jìn)行比對(duì)���,若比對(duì)到自己的Κρ���,密鑰加解密硬件模塊調(diào)用己方的Ks對(duì)經(jīng)過自己Kp加密的Ekd解密;
[0110]5)數(shù)據(jù)體加解密硬件模塊調(diào)用解密出的Kd對(duì)加密數(shù)據(jù)體解密���,將解密出的數(shù)據(jù)體回傳����,從而實(shí)現(xiàn)數(shù)據(jù)的解密�����。
[0111]以上所述僅為本發(fā)明的較佳實(shí)施例而已��,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�����、等同替換和改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?��,其特征在于? 發(fā)送數(shù)據(jù)時(shí)�����,發(fā)送方根據(jù)接收方的公鑰(Kp)�,先將該數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件加密后再發(fā)送給接收方�����; 接收數(shù)據(jù)時(shí)��,接收方根據(jù)己方的私鑰(Ks)���,將接收的數(shù)據(jù)在本地硬件加解密裝置中進(jìn)行硬件解密�; 所述發(fā)送方或者接收方的公鑰(Kp)和私鑰(Ks)在本地硬件加解密裝置中產(chǎn)生����。
2.根據(jù)權(quán)利要求1所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǎ涮卣髟谟?���,所述私鑰(Ks)存儲(chǔ)在本地硬件加解密裝置中。
3.根據(jù)權(quán)利要求1或2所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?���,其特征在于,所述發(fā)送數(shù)據(jù)的步驟具體包括: (1)通過數(shù)據(jù)加解密管理模塊將待發(fā)送數(shù)據(jù)發(fā)送給硬件加解密裝置���; (2)硬件加解密裝置先調(diào)用數(shù)據(jù)加密秘鑰(Kd)對(duì)數(shù)據(jù)進(jìn)行加密����; (3)再根據(jù)所述數(shù)據(jù)加解密管理模塊選定的公鑰(Kp)��,硬件加解密裝置對(duì)所述數(shù)據(jù)加密秘鑰進(jìn)行非對(duì)稱加密(Ekd)�; (4)數(shù)據(jù)加解密管理模塊獲取經(jīng)硬件加密后的數(shù)據(jù)并形成密文文件發(fā)送給接收方; 所述接收數(shù)據(jù)的步驟具體包括: (1)數(shù)據(jù)加解密管理模塊將接收的待解密數(shù)據(jù)發(fā)送給硬件加解密裝置��; (2)硬件加解密裝置先根據(jù)己方的私鑰(Ks)進(jìn)行硬件解密獲取數(shù)據(jù)加密秘鑰(Kd)�; (3)硬件加解密裝置再根據(jù)所獲取的數(shù)據(jù)加密秘鑰(Kd)進(jìn)行硬件解密獲取數(shù)據(jù)�����; (4)數(shù)據(jù)加解密管理模塊獲取經(jīng)硬件解密后的數(shù)據(jù)形成明文文件��。
4.根據(jù)權(quán)利要求3所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?���,其特征在于����,通過所述硬件加解密裝置進(jìn)行硬件加解密操作前,還包括身份信息認(rèn)證的步驟�,只有身份信息認(rèn)證成功后,所述硬件加解密裝置才可以正常使用����。
5.根據(jù)權(quán)利要求4所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒ǎ涮卣髟谟?���,身份信息認(rèn)證成功后,還包括對(duì)存儲(chǔ)在硬件加解密裝置中的私鑰(Ks)進(jìn)行解密的步驟���,用于私鑰(Ks)的解密秘鑰與身份信息綁定���。
6.根據(jù)權(quán)利要求4所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?���,其特征在于�,用于身份信息認(rèn)證的身份信息為來自按鍵密碼的身份輸入或者來自生物特征傳感器的指紋�、聲紋等方式的身份輸入。
7.根據(jù)權(quán)利要求3所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?����,其特征在于���,所述?shù)據(jù)加解密管理模塊可以同時(shí)選定多個(gè)數(shù)據(jù)接收方的公鑰(Kp)�����,可向多人同時(shí)發(fā)送數(shù)據(jù)�����。
8.根據(jù)權(quán)利要求7所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?���,其特征在于,?shù)據(jù)加解密管理模塊中形成的密文文件至少包括加密后的密鑰(Ekd)存儲(chǔ)區(qū)和加密數(shù)據(jù)體區(qū)���; 所述的Ekd區(qū)同時(shí)附有接收方的公鑰(Kp)信息����,用于數(shù)據(jù)接收方使用己方的公鑰(Kp)進(jìn)行比對(duì)��。
9.根據(jù)權(quán)利要求3所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?�,其特征在于����,所述?shù)據(jù)加密秘鑰(Kd)為所述硬件加解密裝置每次使用時(shí)隨機(jī)產(chǎn)生,且每次所產(chǎn)生的Kd都不同�����。
10.根據(jù)權(quán)利要求4所述的用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋C芊椒?����,其特征在于����,所述的硬件加解密裝置包括身份信息采集模塊��、身份認(rèn)證處理模塊���、隨機(jī)數(shù)產(chǎn)生器、通訊接口�����、數(shù)據(jù)加解密控制模塊��、數(shù)據(jù)緩存器����、加解密硬件模塊以及存儲(chǔ)介質(zhì)�����; 所述加解密硬件模塊包括數(shù)據(jù)體加解密硬件模塊和非對(duì)稱加解密硬件模塊�; 所述存儲(chǔ)介質(zhì)包括加密私鑰存儲(chǔ)區(qū)和數(shù)據(jù)存儲(chǔ)區(qū)。
【文檔編號(hào)】H04L9/32GK104253694SQ201410504225
【公開日】2014年12月31日 申請(qǐng)日期:2014年9月27日 優(yōu)先權(quán)日:2014年9月27日
【發(fā)明者】樊凌雁, 朱婭妮 申請(qǐng)人:杭州電子科技大學(xué)