專利名稱:一種加密數(shù)據(jù)傳輸方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別涉及一種加密數(shù)據(jù)傳輸方法和系統(tǒng)。
技術(shù)背景隨著網(wǎng)絡(luò)的高速發(fā)展,保障信息安全已經(jīng)是網(wǎng)絡(luò)使用者和制造者非 常關(guān)心的問題。在公開密碼系統(tǒng)中,信息發(fā)送方需要正確獲取接收方的 公鑰。為了抵抗攻擊者對合法終端的公鑰的偽造、篡改和替換,必須實 現(xiàn)公鑰和終端身份的綁定。對這一問題的解決,目前廣泛采用的是公鑰基石出i殳施(public key infrastructure , PKI) /鳥全i正片幾才勾(certificationauthority, CA)技術(shù)通過第三方的可信任才幾構(gòu)-驗證機構(gòu)CA簽發(fā)的公鑰證書,把終端的公鑰和終端的其他標識信息(如名稱、身份證號 等)捆綁在一起,從而可以在網(wǎng)絡(luò)上驗證終端公鑰的有效性。發(fā)明人在實現(xiàn)本發(fā)明時發(fā)現(xiàn),在上述工作流程中,終端需要獲得公 共參數(shù)才可以進行之后的加解密過程。不管終端是以何種方式從何處獲 得公共參數(shù),最初總是由私鑰生成中心(private key generator, PKG)發(fā) 》文的?,F(xiàn)有的基于標識的密碼(identity-based encryption , IBE)系統(tǒng)認為 PKG是安全可信的,其發(fā)放的公共參數(shù)也就是安全可信的,但實際應(yīng)用 中并不能保證這一點。攻擊者可以截獲通信雙方協(xié)商公共參數(shù)的消息, 并偽裝成PKG,向通信雙方發(fā)送假的公共參數(shù)以此來破壞通信安全,因 此現(xiàn)有IBE系統(tǒng)還存在安全漏洞。發(fā)明內(nèi)容本發(fā)明實施例提供一種加密數(shù)據(jù)傳輸方法和系統(tǒng),用于提高數(shù)據(jù)傳 輸?shù)陌踩?。為解決上述技術(shù)問題,本發(fā)明實施例提供一種加密數(shù)據(jù)傳輸方法,包括以下步驟
接收公共參數(shù)和數(shù)字簽名,所述公共參數(shù)由密碼中心生成,所述數(shù)
字簽名為密碼中心使用自身私鑰對公共參數(shù)進行簽名生成;
對數(shù)字簽名進行認證,認證通過后使用所述公共參數(shù)將需發(fā)送的數(shù)
據(jù)加密后發(fā)送。
一種加密數(shù)據(jù)傳輸方法,包括以下步驟
數(shù)據(jù)發(fā)送方接收公共參數(shù)和數(shù)字簽名,所述公共參數(shù)由密碼中心生 成,所述數(shù)字簽名為密碼中心使用自身私鑰對公共參數(shù)進行簽名生成;
數(shù)據(jù)發(fā)送方將接收到的公共參數(shù)與預(yù)存的公共參數(shù)進行比對,比對 一致后,數(shù)據(jù)發(fā)送方對數(shù)字簽名進行認證,認證通過后使用所述公共參 數(shù)將需發(fā)送的數(shù)據(jù)加密后發(fā)送。
一種加密數(shù)據(jù)傳輸方法,包括以下步驟
接收公共參數(shù),所述公共參數(shù)由密碼中心生成;
與預(yù)存的公共參數(shù)進行比對,比對一致則為認證通過,認證通過后 使用所述公共參數(shù)將需發(fā)送的數(shù)據(jù)加密發(fā)送。
一種加密數(shù)據(jù)傳輸系統(tǒng),包括密碼中心和終端,所述密碼中心和終 端配置有自身的公鑰,
所述密碼中心包括
私鑰生成單元,用于才艮據(jù)密碼中心和終端的/>鑰生成密碼中心和終 端3于應(yīng)的私鑰;
公共參數(shù)生成單元,用于生成公共參數(shù);
簽名單元,用于使用自身私鑰對公共參數(shù)進行簽名生成數(shù)字簽名; 所述終端包括
認證單元,用于接收所述公共參數(shù)和數(shù)字簽名,對所述數(shù)字簽名進 行認證;
加密單元,用于利用認證通過的公共參數(shù)對需發(fā)送數(shù)據(jù)加密后發(fā)送。一種加密凝:據(jù)傳輸系統(tǒng),包括密碼中心和終端,所述密碼中心和終
端配置有自身的公鑰,
所述終端包括
存儲單元,用于存儲至少一套公共參數(shù);
比對單元,用于將接收到的公共參數(shù)與存儲單元存儲的公共參數(shù)進 行比對;
加密單元,用于利用所述比對單元比對一致的公共參數(shù)對需發(fā)送數(shù) 據(jù)進行加密。
一種密碼中心,包括
私鑰生成單元,用于根據(jù)密碼中心和終端的公鑰生成密碼中心和終 端的私鑰;
公共參數(shù)生成單元,用于生成公共參數(shù);
簽名單元,用于使用自身私鑰對公共參數(shù)進行簽名生成數(shù)字簽名。 一種通信終端,包括
認證單元,用于接收所述公共參數(shù)和數(shù)字簽名,對所述數(shù)字簽名進 行認證;
加密單元,用于利用認證通過的公共參數(shù)對需發(fā)送數(shù)據(jù)進行加密后 發(fā)送。
本發(fā)明實施例通過對公共參數(shù)進行簽名后發(fā)送,對接收到的數(shù)字簽 名進行認證,能保證公共參數(shù)的來源和完整性,防止攻擊者替換和更改 公共參數(shù),提高公共參數(shù)傳輸?shù)陌踩浴?br>
圖1為本發(fā)明實施例公共參數(shù)認證方法流程圖; 圖2為本發(fā)明實施例加密數(shù)據(jù)傳輸方法流程圖; 圖3為本發(fā)明實施例公共參數(shù)認證系統(tǒng)框圖; 圖4為本發(fā)明實施例加密數(shù)據(jù)傳輸系統(tǒng)框圖; 圖5為本發(fā)明另一種實施例加密數(shù)據(jù)傳輸系統(tǒng)框圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對 本發(fā)明實施方式作進一步地詳細描述。
為簡化傳統(tǒng)公鑰密碼系統(tǒng)的密鑰管理問題,密碼技術(shù)現(xiàn)由基于證書
的公鑰系統(tǒng)向IBE (identity-based encryption,基于身份的密碼)系統(tǒng)發(fā)展。
密碼系統(tǒng)包括密碼中心和多個終端,密碼中心可以為PKG,也可以 為其他能生成私鑰的網(wǎng)絡(luò)實體;終端是需要在網(wǎng)絡(luò)中進行通信的網(wǎng)絡(luò)實 體。在密碼系統(tǒng)中密碼中心和終端都配置有自身的公鑰,公鑰可以為密 碼中心和終端的標識,標識可以為密碼中心和終端的IP地址,也可以為 密碼中心和終端區(qū)別于其他網(wǎng)絡(luò)實體的標識。
在IBE系統(tǒng)中,終端需要從密碼中心獲得公共參數(shù)才能進行相應(yīng)的 加解密過程,公共參數(shù)的傳輸過程很容易受到第三方攻擊,有比較大的 安全隱患。如圖l所示,本發(fā)明實施例l提供一種公共參數(shù)認證方法, 具體包括以下步驟
步驟ll:密碼中心生成自身私鑰和公共參數(shù);
密碼中心的私鑰根據(jù)系統(tǒng)定義的算法,由密碼中心的公鑰和主私鑰
產(chǎn)生,密碼中心的公鑰和私鑰之間有一定的對應(yīng)關(guān)系;每個密碼中心生 成一組隨機且滿足一定條件的參數(shù),這些參數(shù)中除了主私鑰保密,其他 參數(shù)都需要公開,這些公開的參數(shù)就是公共參數(shù)。其中主私鑰是由密碼 中心根據(jù)公鑰產(chǎn)生并保存的,與公鑰不同的是,主私鑰不公開,密碼中 心通過主私鑰根據(jù)密碼中心和終端的公鑰生成對應(yīng)的私鑰;
步驟12:密碼中心使用自身私鑰對公共參數(shù)進行簽名生成數(shù)字簽 名,向終端發(fā)送公共參數(shù)和數(shù)字簽名;
其中簽名的具體過程可以為密碼中心將公共參數(shù)以固定方式進行 串聯(lián),對串聯(lián)的公共參數(shù)進行哈希運算,然后使用密碼中心的私鑰對得 到的哈希值加密,得到公共參數(shù)的數(shù)字簽名;為方便描述,本申請中公 共參數(shù)的數(shù)字簽名筒稱為數(shù)字簽名;數(shù)字簽名可以附加到公共參數(shù),其中附加的具體位置不限,可以在
公共參數(shù)的后面,也可以在公共參數(shù)的前面;數(shù)字簽名也可以作為單獨 被存儲和發(fā)送,但需要與公共參數(shù)之間保持可靠的聯(lián)系;
步驟13:終端接收公共參數(shù)和數(shù)字簽名,使用密碼中心的公鑰對簽 名進行認證,如果認證通過,使用該公共參數(shù)。
在此密碼系統(tǒng)中,終端需要預(yù)存有一個或多個信任的密碼中心的公
鑰;
其中使用密碼中心的公鑰對簽名進行認證的具體過程可以為對數(shù) 字簽名使用密碼中心的公鑰進行解密,同時對公共參數(shù)進行哈希運算得 到哈希值,然后將解密內(nèi)容和公共參數(shù)的哈希值進行對比,如果一致, 則馬全證通過。
由于本實施例中數(shù)字簽名是密碼中心用私鑰產(chǎn)生的,接受到數(shù)字簽 名的終端只有用與私鑰對應(yīng)的公鑰方能解密,可以確認公共參數(shù)的來 源,防止攻擊者替換公共參數(shù);由于本實施例中運用到哈希運算,因此 可以保證公共參數(shù)的完整性,防止攻擊者更改部分公共參數(shù),因此本實 施例能提高公共參數(shù)傳輸?shù)陌踩浴?br>
輸方法,如圖2所示,假定終端A需要向終端B發(fā)送數(shù)據(jù),即終端A 是數(shù)據(jù)發(fā)送方,終端B是數(shù)據(jù)接收方,本發(fā)明實施例2提供的一種加密 數(shù)據(jù)傳輸方法具體包括以下步驟
步驟201:初始化密碼中心,密碼中心生成私鑰和/>共參凄丈;
密碼中心的自身私鑰根據(jù)系統(tǒng)定義的算法,由密碼中心的公鑰和主 私鑰產(chǎn)生;各個終端的私鑰由密碼中心對終端進行身分認證后,利用主 私鑰根據(jù)各個終端的公鑰來生成;公共參數(shù)可以為系統(tǒng)參數(shù);
步驟202:密碼中心使用自身私鑰對公共參it進行簽名生成數(shù)字簽 名,向終端B發(fā)送公共參數(shù)和數(shù)字簽名;
其中簽名的具體過程可以為密碼中心將公共參數(shù)以固定方式進行 串聯(lián),對串聯(lián)的公共參數(shù)進行哈希運算,然后使用密碼中心的私鑰對得 到的哈希值加密,得到公共參數(shù)的數(shù)字簽名;為方便描述,本申請中公共參數(shù)的數(shù)字簽名簡稱為數(shù)字簽名;
數(shù)字簽名可以附加到公共參數(shù),其中附加的具體位置不限,可以在
公共參數(shù)的后面,也可以在公共參數(shù)的前面;數(shù)字簽名也可以作為單獨 被存儲和發(fā)送,但需要與公共參數(shù)之間保持可靠的聯(lián)系;
步驟203:終端B將公共參數(shù)及數(shù)字簽名發(fā)送給終端A,終端A使 用密碼中心的公鑰對數(shù)字簽名進行認證;如果認證通過,執(zhí)行步驟204, 如果認證不通過,執(zhí)行步驟206;
在此密碼系統(tǒng)中,終端需要預(yù)存有一個或多個信任的密碼中心的公 鑰;公鑰可以是通過可信的渠道獲得,例如管理員在本地進行手動配置, 或者使用移動存儲介質(zhì)直接從密碼中心取得后存儲在終端本地。
其中終端A使用密碼中心的公鑰對數(shù)字簽名進行認證的具體過程可 以為終端A對數(shù)字簽名使用密碼中心的公鑰進行解密,同時對公共參 數(shù)進行哈希運算得到哈希值,然后將解密內(nèi)容和公共參數(shù)的哈希值進行 對比,如果一致,則認證通過。
步驟204:終端A使用公共參數(shù)及終端B的公鑰對數(shù)據(jù)進行加密, 將加密后的數(shù)據(jù)發(fā)送到終端B;
步驟205:終端B利用公共參數(shù)和自身私鑰對接收到的數(shù)據(jù)進行解
密;
步驟206:終止通信。
由于本實施例中數(shù)字簽名是由于密碼中心用私鑰產(chǎn)生的,接受到數(shù) 字簽名的終端只有用與私鑰對應(yīng)的公鑰方能解密,可以確認公共參數(shù)的 來源,防止被攻擊者替換公共參數(shù);由于本實施例中運用到哈希運算, 因此可以保證公共參數(shù)的完整性,防止被攻擊者更改部分公共參數(shù),因 此本實施例能提高公共參數(shù)傳輸?shù)陌踩浴?br>
本發(fā)明實施例還提供一種公共參數(shù)認證方法,本發(fā)明實施例中終端 可以預(yù)存一套或多套信任的密碼中心發(fā)布的公共參數(shù)。預(yù)存的公共參數(shù) 可以是通過可信的渠道獲得,例如管理員在本地進行手動配置,或者使 用移動存儲介質(zhì)直接從密碼中心取得后存儲在本地。終端將通過各種渠 道獲得的公共參數(shù)進行統(tǒng)一管理。當接收者不管通過何種渠道和方法接收到了 一套公共參數(shù)后,將該公共參數(shù)與自己預(yù)存的公共參數(shù)進行比 對。如果接收到的公共參數(shù)與自己預(yù)存的公共參數(shù)一致,則表明該公共
參數(shù)可信,使用該公共參數(shù)將需發(fā)送的數(shù)據(jù)加密后發(fā)送;如果接收到公 共參數(shù)與自己預(yù)存的公共參數(shù)不一致,則丟棄接收到公共參數(shù)。終端接 收到的公共參數(shù)有可能是用接收方的公鑰進行加密的加密公共參數(shù),在 比對前需接收方用自身的私鑰進行解密。
終端預(yù)存的公共參數(shù)可能有很多套,雙方需要就使用的公共參數(shù)達 成一致,通過接收公共參數(shù),進行對比可以確定使用的公共參數(shù)。通過 本實施例能保證公共參數(shù)的可信性和一致性。
本實施例還可以與上一個公共參數(shù)認證方法實施例結(jié)合使用,即 數(shù)據(jù)發(fā)送方可以接收到公共參數(shù)和數(shù)字簽名時進行比對,也可以對數(shù)字 簽名進行認證后進行比對,以進一步提高公共參數(shù)的可信性。
基于上述技術(shù)方案,本發(fā)明實施例還提供一種認證公共參數(shù)的系 統(tǒng),如圖3所示,認證/>共參數(shù)的系統(tǒng)包括密碼中心31和至少一個終 端32,本系統(tǒng)中密碼中心31和終端32都配置有自身的公鑰,公鑰可以 為密碼中心和終端的標識,標識可以為密碼中心和終端的IP地址,也可
以為密碼中心和終端區(qū)別于其他網(wǎng)絡(luò)實體的標識。密碼中心31用于生 成私鑰和公共參數(shù),利用自身私鑰對公共參數(shù)進行簽名生成數(shù)字簽名, 具體包括
私鑰生成單元311,用于根據(jù)系統(tǒng)定義的算法,由密碼中心31的公 鑰和主私鑰產(chǎn)生自身的私鑰;
公共參數(shù)生成單元313,用于生成公共參數(shù);
簽名單元312,用于對公共參數(shù)生成單元313生成的公共參數(shù)以固 定方式進行串聯(lián),對串聯(lián)的公共參數(shù)進行哈希運算,然后使用私鑰生成 單元311產(chǎn)生的的私鑰對得到的哈希值加密,得到數(shù)字簽名;
相應(yīng)地,終端32用于從密碼中心31獲取所述公共參數(shù)和數(shù)字簽名, 對公共參數(shù)和數(shù)字簽名進行認證,具體包括認證單元321,用于對數(shù)字 簽名使用密碼中心31的公鑰進行解密,同時對公共參數(shù)進行哈希運算 得到哈希值,然后將解密內(nèi)容和公共參數(shù)的哈希值進行對比,如果一致,則認證通過。
由于本實施例中數(shù)字簽名是密碼中心31用私鑰產(chǎn)生的,接受到數(shù)
字簽名的終端32只有用與私鑰對應(yīng)的公鑰方能解密,可以確認公共參 數(shù)的來源,防止被攻擊者替換公共參數(shù);由于本實施例中運用到哈希運 算,因此可以保證公共參數(shù)的完整性,防止被攻擊者更改部分公共參數(shù), 因此本實施例能提高公共參數(shù)傳輸?shù)陌踩浴?br>
如圖4所示,本發(fā)明實施例還提供一種加密數(shù)據(jù)傳輸系統(tǒng),包括密 碼中心31和至少一個終端41,本系統(tǒng)中密碼中心31和終端41都配置 有自身的公鑰,公鑰可以為密碼中心和終端的標識,標識可以為密碼中 心和終端的IP地址,也可以為密碼中心和終端區(qū)別于其他網(wǎng)絡(luò)實體的標 識。密碼中心31用于生成私鑰和公共參數(shù),利用自身私鑰對公共參數(shù) 進行簽名生成數(shù)字簽名,具體包括
私鑰生成單元311,用于根據(jù)系統(tǒng)定義的算法,由密碼中心的公鑰 和主私鑰產(chǎn)生自身的私鑰及各個終端的私鑰;
公共參數(shù)生成單元313,用于生成公共參數(shù);
簽名單元312,用于公共參數(shù)以固定方式進行串聯(lián),對串聯(lián)的公共 參數(shù)進行哈希運算,然后使用密碼中心的私鑰對得到的哈希值加密,得 到數(shù)字簽名。
相應(yīng)地,終端41用于對公共參數(shù)和數(shù)字簽名進行認證,如認證通 過,利用公共參數(shù)對數(shù)據(jù)進行加密,發(fā)送加密數(shù)據(jù),或者接收另一終端 發(fā)來的加密數(shù)據(jù),利用公共參數(shù)進行解密,具體包括
認證單元321,用于對數(shù)字簽名使用密碼中心的公鑰進行解密,同 時對公共參數(shù)進行哈希運算得到哈希值,然后將解密內(nèi)容和公共參數(shù)的 哈希值進行對比,如果一致,則認證通過,
加密單元411,用于利用認證通過的公共參數(shù)和數(shù)據(jù)接收方的公鑰 對需發(fā)送數(shù)據(jù)進行加密,并發(fā)送加密數(shù)據(jù),
解密單元412,用于接收另一終端發(fā)送的加密數(shù)據(jù),利用認證通過 的公共參數(shù)和自身私鑰對加密數(shù)據(jù)進行解密。
如本實施例應(yīng)用于IBE系統(tǒng),密碼中心可以為PKG,本實施例可以
12確認公共參數(shù)的來源和完整性,從而保證了 IBE系統(tǒng)通信過程中終端接 收到公共參數(shù)的可信性,從而提高了整個通信過程的安全性,使IBE能 得到更廣泛的應(yīng)用。
為進一步提高數(shù)據(jù)傳輸?shù)陌踩?,如圖5所示,本發(fā)明還提供另一 種加密數(shù)據(jù)傳輸系統(tǒng),具體包括密碼中心51和至少一個終端52,本系 統(tǒng)中密碼中心51和終端52都配置有自身的公鑰,/>鑰可以為密碼中心 和終端的標識,標識可以為密碼中心和終端的IP地址,也可以為密碼中 心和終端區(qū)別于其他網(wǎng)絡(luò)實體的標識。
密碼中心51包括私鑰生成單元511,用于生成密碼中心的和終端私 鑰,還包括公共參數(shù)生成單元512,用于生成公共參數(shù);
終端52具體包括
存儲單元522,用于存儲公共參數(shù);
比對單元521,用于將接收到的公共參數(shù)與存儲單元522存儲的公 共參數(shù)進行比對,如果比對一致,則認證通過;
加密單元411,用于利用認證通過的/>共參數(shù)和數(shù)據(jù)接收方的公鑰 對需發(fā)送數(shù)據(jù)進行加密,并發(fā)送加密數(shù)據(jù),
解密單元412,用于接收另一終端發(fā)送的加密數(shù)據(jù),利用認證通過 的公共參數(shù)和自身私鑰對加密數(shù)據(jù)進行解密。
本實施例可以與上一個實施例加密數(shù)據(jù)傳輸系統(tǒng)結(jié)合使用,進一步 提高公共參數(shù)的安全性。如本實施例應(yīng)用于IBE系統(tǒng),密碼中心可以為 PKG,本實施例可以確認公共參數(shù)的來源和完整性,從而保證了IBE系 統(tǒng)通信過程中終端接收到公共參數(shù)的可信性,從而提高了整個通信過程 的安全性,使IBE能得到更廣泛的應(yīng)用。
以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件 說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件 可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分 布到多個網(wǎng)絡(luò)單元上??梢愿鶕?jù)實際的需要選擇其中的部分或者全部模 塊來實現(xiàn)本實施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的 勞動的情況下,即可以理解并實施。通過以上的實施方式的描述,本領(lǐng)域的一支術(shù)人員可以清楚地了解到 本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當然也可以通 過硬件來實現(xiàn)?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn) 有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件
產(chǎn)品可以存儲在存儲介質(zhì)中,如ROM/RAM、磁碟、光盤等,包括若干 指令用以使得一臺計算機設(shè)備(可以是個人計算機,服務(wù)器,或者網(wǎng)絡(luò)
以上所述的本發(fā)明實施方式,并不構(gòu)成對本發(fā)明保護范圍的限定。 任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進等,均應(yīng) 包含在本發(fā)明的l呆護范圍之內(nèi)。
權(quán)利要求
1. 一種加密數(shù)據(jù)傳輸方法,其特征在于,包括以下步驟接收公共參數(shù)和數(shù)字簽名,所述公共參數(shù)由密碼中心生成,所述數(shù)字簽名為密碼中心使用自身私鑰對公共參數(shù)進行簽名生成;對數(shù)字簽名進行認證,認證通過后使用所述公共參數(shù)將需發(fā)送的數(shù)據(jù)加密后發(fā)送。
2、 如權(quán)利要求1所述的加密數(shù)據(jù)傳輸方法,其特征在于,所述數(shù) 字簽名為密碼中心使用自身私鑰對公共參數(shù)進行簽名生成具體包括密碼中心將公共參數(shù)以固定方式進行串聯(lián),對串聯(lián)的公共參數(shù)進行 哈希運算得到哈希值,使用密碼中心的私鑰對所述哈希值加密,得到數(shù) 字簽名。
3、 如權(quán)利要求2所述的加密數(shù)據(jù)傳輸方法,其特征在于,所述對 數(shù)字簽名進行認證具體包括對數(shù)字簽名使用密碼中心的公鑰進行解密,同時對公共參數(shù)進行哈 希運算得到哈希值,然后將解密內(nèi)容和公共參數(shù)的哈希值進行對比,如 果一致,則認證通過。
4、 一種加密數(shù)據(jù)傳輸方法,其特征在于,包括以下步驟數(shù)據(jù)發(fā)送方接收公共參數(shù)和數(shù)字簽名,所述公共參數(shù)由密碼中心生 成,所述數(shù)字簽名為密碼中心使用自身私鑰對公共參數(shù)進行簽名生成;數(shù)據(jù)發(fā)送方將接收到的公共參數(shù)與預(yù)存的公共參數(shù)進行比對,比對 一致后,數(shù)據(jù)發(fā)送方對數(shù)字簽名進行認證,認證通過后使用所述公共參 數(shù)將需發(fā)送的數(shù)據(jù)加密后發(fā)送。
5、 如權(quán)利要求4所述的加密數(shù)據(jù)傳輸方法,其特征在于,所述數(shù) 字簽名為密碼中心使用自身私鑰對公共參數(shù)進行簽名生成具體包括密碼中心將公共參數(shù)以固定方式進行串聯(lián),對串聯(lián)的公共參數(shù)進行 哈希運算得到哈希值,使用密碼中心的私鑰對所述哈希值加密,得到數(shù)
6、 一種加密數(shù)據(jù)傳輸方法,其特征在于,包括以下步驟接收公共參數(shù),所述公共參數(shù)由密碼中心生成;將接收到公共參數(shù)與預(yù)存的公共參數(shù)進行比對,比對一致則為認證 通過,認證通過后使用所述公共參數(shù)將需發(fā)送的數(shù)據(jù)加密發(fā)送。
7、 如權(quán)利要求6所述的加密數(shù)據(jù)傳輸方法,其特征在于,所述接 收公共參數(shù)具體包括接收加密的公共參數(shù),用自身私鑰對公共參數(shù)進 行解密。
8、 一種加密數(shù)據(jù)傳輸系統(tǒng),包括密碼中心和終端,所述密碼中心 和終端配置有自身的公鑰,其特征在于,所述密碼中心包括私鑰生成單元,用于根據(jù)密碼中心和終端的公鑰生成密碼中心和終 端對應(yīng)的私鑰;公共參數(shù)生成單元,用于生成公共參數(shù);簽名單元,用于使用自身私鑰對公共參數(shù)進行簽名生成數(shù)字簽名; 所述終端包括認證單元,用于接收所述公共參數(shù)和數(shù)字簽名,對所述數(shù)字簽名進 行認證;加密單元,用于利用認證通過的公共參數(shù)對需發(fā)送數(shù)據(jù)加密后發(fā)送。
9、 如權(quán)利要求8所述的加密數(shù)據(jù)傳輸系統(tǒng),其特征在于,所述終 端還包括解密單元,用于接收其他終端發(fā)送的加密數(shù)據(jù),利用認證通過 的公共參數(shù)和自身私鑰對加密數(shù)據(jù)進行解密。
10、 如權(quán)利要求8所述的加密數(shù)據(jù)傳輸系統(tǒng),其特征在于,還包括 存儲單元,用于存儲至少一套公共參數(shù);比對單元,用于將接收到的公共參數(shù)與存儲單元存儲的公共參數(shù)進 行比對,比對通過后觸發(fā)加密單元。
11、 一種加密數(shù)據(jù)傳輸系統(tǒng),包括密碼中心和終端,所述密碼中心 和終端配置有自身的公鑰,其特征在于,所述終端包括存儲單元,用于存儲至少一套公共參數(shù);比對單元,用于將接收到的公共參數(shù)與存儲單元存儲的公共參數(shù)進行比對;加密單元,用于利用所述比對單元比對一致的公共參數(shù)對需發(fā)送數(shù) 據(jù)進行加密。
12、 一種密碼中心,其特征在于,包括私鑰生成單元,用于#4居密碼中心和終端的^^鑰生成密碼中心和終 端的私鑰;公共參數(shù)生成單元,用于生成公共參數(shù);簽名單元,用于使用自身私鑰對公共參數(shù)進行簽名生成數(shù)字簽名。
13、 一種通信終端,其特征在于,包括認證單元,用于接收所述公共參數(shù)和數(shù)字簽名,對所述數(shù)字簽名進 行認證;加密單元,用于利用認證通過的公共參數(shù)對需發(fā)送數(shù)據(jù)進行加密后 發(fā)送。
14、 如權(quán)利要求13所述的通信終端,其特征在于,還包括解密單 元,用于接收其他通信終端發(fā)送的加密數(shù)據(jù),利用認證通過的公共參數(shù) 和自身私鑰對加密數(shù)據(jù)進行解密。
全文摘要
本發(fā)明公開了一種加密數(shù)據(jù)傳輸方法,包括接收公共參數(shù)和數(shù)字簽名,所述公共參數(shù)由密碼中心生成,所述數(shù)字簽名為密碼中心使用自身私鑰對公共參數(shù)進行簽名生成;對數(shù)字簽名進行認證,認證通過后使用所述公共參數(shù)將需發(fā)送的數(shù)據(jù)加密后發(fā)送。本發(fā)明實施例通過對公共參數(shù)進行簽名,能保證公共參數(shù)的來源和完整性,防止攻擊者替換和更改公共參數(shù),提高公共參數(shù)傳輸?shù)陌踩浴?br>
文檔編號H04L9/08GK101296083SQ20081006729
公開日2008年10月29日 申請日期2008年5月14日 優(yōu)先權(quán)日2008年5月14日
發(fā)明者適 萬, 任顏珠, 劉利鋒, 敏 黃 申請人:華為技術(shù)有限公司