亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

加密解密方法、終端設(shè)備、網(wǎng)關(guān)設(shè)備及密鑰管理系統(tǒng)的制作方法

文檔序號(hào):7870532閱讀:338來(lái)源:國(guó)知局
專(zhuān)利名稱(chēng):加密解密方法、終端設(shè)備、網(wǎng)關(guān)設(shè)備及密鑰管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及計(jì)算機(jī)及通信技術(shù)領(lǐng)域,尤其涉及一種加密解密方法、終端設(shè)備、網(wǎng)關(guān)設(shè)備及密鑰管理系統(tǒng)。
背景技術(shù)
目前,隨著通信技術(shù)的發(fā)展,數(shù)據(jù)加解密技術(shù)的應(yīng)用已經(jīng)越來(lái)越廣泛。例如,在移動(dòng)辦公應(yīng)用中,移動(dòng)辦公用戶(hù)通常需要通過(guò)移動(dòng)智能終端訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng),進(jìn)行收發(fā)郵件、下載公文、瀏覽企業(yè)網(wǎng)站等操作,這些操作不可避免地會(huì)把許多數(shù)據(jù)、文件存放到移動(dòng)智能終端,如郵件附件、本地郵件、企業(yè)內(nèi)部資料、瀏覽歷史記錄等,其中不乏企業(yè)秘密甚至機(jī)密信息。為了避免這些信息的泄漏,需要對(duì)這些在移動(dòng)智能終端存放的數(shù)據(jù)和文件進(jìn)行加密。目前較為流行的智能移動(dòng)終端操作系統(tǒng)有iOS系統(tǒng)和Android系統(tǒng)。iOS系統(tǒng)通常利用AES(Advanced Encryption Standard,高級(jí)加密標(biāo)準(zhǔn))_256加密算法進(jìn)行數(shù)據(jù)加密。該加密方法中,密鑰種子存儲(chǔ)在移動(dòng)智能終端本地,并用PIN (Personal IdentificationNumber, SIM卡的個(gè)人識(shí)別碼)碼或鎖屏密碼保護(hù)密鑰種子,但是PIN碼或鎖屏密碼是用戶(hù)自己設(shè)置的,復(fù)雜度通常不夠,容易被破解,從而會(huì)導(dǎo)致密鑰種子的泄漏。例如,iOS系統(tǒng)默認(rèn)使用4位數(shù)字作為PIN碼,則可以較容易地利用窮舉法破解PIN碼并提取出AES-256算法的密鑰種子,從而能夠根據(jù)密鑰種子所生成的密鑰獲取終端上的所有明文數(shù)據(jù),也能將密文、密鑰全部轉(zhuǎn)移到其他設(shè)備上??梢钥闯觯@種加密方法安全性不高。而Android系統(tǒng)通常利用AES-128加密算法加密數(shù)據(jù),并使用用戶(hù)自己設(shè)置的密碼保護(hù)加密密鑰,由于用戶(hù)自己設(shè)置的密碼復(fù)雜度通常不夠,容易被破解,因此其加密方法同樣存在安全性不高的缺陷
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供加密解密方法及裝置,以解決現(xiàn)有技術(shù)中文件加密解密安全性不高的問(wèn)題。為了解決上述技術(shù)問(wèn)題,本發(fā)明實(shí)施例公開(kāi)了如下技術(shù)方案第一方面,提供一種加密解密方法,所述方法包括終端向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶所述終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);所述終端接收網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子;所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。在第一方面的第一種可能的實(shí)現(xiàn)方式中,如果所述待解密文件包含密鑰索引,則所述密鑰種子獲取請(qǐng)求還攜帶所述密鑰索引。在第一方面的第二種可能的實(shí)現(xiàn)方式中,所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,包括所述終端根據(jù)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)生成密鑰,使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待解密文件進(jìn)行解密操作,包括所述終端根據(jù)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)生成密鑰,使用所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。在第一方面的第三種可能的實(shí)現(xiàn)方式中,所述終端每隔預(yù)設(shè)周期,向所述網(wǎng)關(guān)請(qǐng)求新的密鑰種子,以生成新的密鑰。在第一方面或者第一 方面的上述任一種可能的實(shí)現(xiàn)方式中,還提供了第一方面的第四種可能的實(shí)現(xiàn)方式,所述終端根據(jù)所述密鑰種子生成密鑰,具體為所述終端對(duì)所述密鑰種子執(zhí)行AES-256算法,生成所述密鑰。第二方面,提供了另一種加密解密方法,所述方法包括網(wǎng)關(guān)接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;所述網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。在第二方面的第一種可能的實(shí)現(xiàn)方式中,所述網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,包括所述網(wǎng)關(guān)確認(rèn)自身是否為密鑰中心節(jié)點(diǎn),其中,所述密鑰中心節(jié)點(diǎn)是能夠提供密鑰種子的節(jié)點(diǎn);若所述網(wǎng)關(guān)確認(rèn)自身是密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)判斷所述密鑰種子獲取請(qǐng)求中是否攜帶密鑰索引;如果所述密鑰種子獲取請(qǐng)求中攜帶密鑰索引,則所述網(wǎng)關(guān)從所述密鑰種子獲取請(qǐng)求中提取用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及密鑰索引;并從所述網(wǎng)關(guān)存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中,查詢(xún)所提取到的所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及與所提取到的密鑰索引對(duì)應(yīng)的密鑰種子;如果查詢(xún)到對(duì)應(yīng)的密鑰種子,則將查找到的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方;如果所述密鑰種子獲取請(qǐng)求中未攜帶密鑰索引,或者未查詢(xún)到對(duì)應(yīng)的密鑰種子,則所述網(wǎng)關(guān)根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子,并將生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。在第二方面的第一種可能的實(shí)現(xiàn)方式中,還提供了第二方面的第二種可能的實(shí)現(xiàn)方式,所述網(wǎng)關(guān)根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,還包括所述網(wǎng)關(guān)為所述密鑰種子分配密鑰索引,并保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系;所述將生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方,還包括將為所述密鑰種子分配的所述密鑰索引返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。在第二方面的第一種可能的實(shí)現(xiàn)方式或者第二方面的第二種可能的實(shí)現(xiàn)方式中,還提供了第二方面的第三種可能的實(shí)現(xiàn)方式,若所述網(wǎng)關(guān)確認(rèn)自身不是密鑰中心節(jié)點(diǎn),則向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,并將接收到的密鑰種子發(fā)送給所述密鑰種子獲取請(qǐng)求的發(fā)送方。在第二方面的第三種可能的實(shí)現(xiàn)方式中,還提供了第二方面的第四種可能的實(shí)現(xiàn)方式,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述若所述網(wǎng)關(guān)確認(rèn)自身不是密鑰中心節(jié)點(diǎn),則向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,包括所述網(wǎng)關(guān)向主密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求,如果在設(shè)定的時(shí)間段內(nèi)未收到所述主密鑰中心節(jié)點(diǎn)返回的密鑰種子、或收到所述主密鑰中心節(jié)點(diǎn)返回的故障通知消息,則確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常;若所述主密鑰中心節(jié)點(diǎn)發(fā)生異常,則所述網(wǎng)關(guān)向所述備密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求。在第二方面的第二種可能的實(shí)現(xiàn)方式中,還提供了第二方面的第五種可能的實(shí)現(xiàn)方式,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述若所述網(wǎng)關(guān)確認(rèn)自身是密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,還包括如果所述網(wǎng)關(guān)為主密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到備密鑰中心節(jié)點(diǎn)中;如果所述網(wǎng)關(guān)為備密鑰中心節(jié)點(diǎn),則 所述網(wǎng)關(guān)將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)中。在第二方面的第三種可能的實(shí)現(xiàn)方式或者第二方面的第四中可能的實(shí)現(xiàn)方式中,還提供了第二方面的第六種可能的實(shí)現(xiàn)方式,所述向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,具體包括所述網(wǎng)關(guān)通過(guò)與密鑰中心節(jié)點(diǎn)之間的Internet協(xié)議安全性IPSEC隧道向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求;并通過(guò)所述IPSEC隧道接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子。第三方面,提供了一種終端設(shè)備,包括發(fā)送單元,用于向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶所述終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);接收單元,用于接收網(wǎng)關(guān)根據(jù)所述發(fā)送單元發(fā)送的所述密鑰種子獲取請(qǐng)求返回的密鑰種子;密鑰生成單元,用于根據(jù)所述接收單元接收的密鑰種子生成密鑰;加密解密單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。在第三方面的第一種可能的實(shí)現(xiàn)方式中,所述密鑰生成單元具體用于根據(jù)所述用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí)、以及所述接收單元接收的密鑰種子生成密鑰;所述加密解密單元包括加密子單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;
解密子單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。第四方面,提供了一種網(wǎng)關(guān)設(shè)備,包括接收模塊,用于接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;提供模塊,用于根據(jù)所述接收模塊接收的密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。在第四方面的第一種可能的實(shí)現(xiàn)方式中,所述提供模塊包括確認(rèn)單元,用于確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是否為密鑰中心節(jié)點(diǎn),其中,所述密鑰中心節(jié)點(diǎn)是能夠提供密鑰種子的節(jié)點(diǎn);第一判斷單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是密鑰中心節(jié)點(diǎn)時(shí),判斷所述密鑰種子獲取請(qǐng)求中是否攜帶密鑰索引;查詢(xún)單元,用于在所述第一判斷單元判斷出所述密鑰種子獲取請(qǐng)求中攜帶密鑰索引時(shí),從所述密鑰種子獲取請(qǐng)求中提取用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及密鑰索引;并從所述網(wǎng)關(guān)設(shè)備存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中,查詢(xún)所提取到的所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及與所提取到的密鑰索引對(duì)應(yīng)的密鑰種子;密鑰種子生成單元,用于在所述第一判斷單元判斷出所述密鑰種子獲取請(qǐng)求中未攜帶密鑰索引、或所述查詢(xún)單元未查詢(xún)到對(duì)應(yīng)的密鑰種子時(shí),根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子;

發(fā)送單元,用于將所述查詢(xún)單元查詢(xún)到的密鑰種子、或者所述密鑰種子生成單元生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。在第四方面的第二種可能的實(shí)現(xiàn)方式中,所述提供模塊還包括分配單元,用于在所述密鑰種子生成單元根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,為所述密鑰種子分配密鑰索引;保存單元,用于在所述分配單元為所述密鑰種子分配密鑰索引之后,保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系;所述發(fā)送單元將所述密鑰種子生成單元生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方時(shí),還將所述分配單元為所述密鑰種子分配的所述密鑰索引返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。在第四方面的第一種可能的實(shí)現(xiàn)方式或者第四方面的第二種可能的實(shí)現(xiàn)方式中,還提供了第四方面的第三種可能的實(shí)現(xiàn)方式,所述提供模塊還包括請(qǐng)求單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,并將接收到的密鑰種子發(fā)送給所述密鑰種子獲取請(qǐng)求的發(fā)送方。在第四方面的第三種可能的實(shí)現(xiàn)方式中,還提供了第四方面的第四種可能的實(shí)現(xiàn)方式,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述請(qǐng)求單元包括第一發(fā)送子單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),向主密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求;
確認(rèn)子單元,用于在設(shè)定的時(shí)間段內(nèi)未收到所述主密鑰中心節(jié)點(diǎn)返回的密鑰種子,或收到所述主密鑰中心節(jié)點(diǎn)返回的故障通知消息時(shí),確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常;第二發(fā)送子單元,用于在所述確認(rèn)子單元確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常時(shí),向所述備密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求。在第四方面的第二種可能的實(shí)現(xiàn)方式中,還提供了第四方面的第五種可能的實(shí)現(xiàn)方式,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述提供模塊還包括第二判斷單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是密鑰中心節(jié)點(diǎn),且所述密鑰種子生成單元根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,判斷所述網(wǎng)關(guān)設(shè)備為主密鑰中心節(jié)點(diǎn)還是備密鑰中心節(jié)點(diǎn);同步單元,用于在所述第二判斷單元判斷所述網(wǎng)關(guān)設(shè)備為主密鑰中心節(jié)點(diǎn)時(shí),將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到備密鑰中心節(jié)點(diǎn)中,并在所述第二判斷單元判斷所述網(wǎng)關(guān)設(shè)備為備密鑰中心節(jié)點(diǎn)時(shí),將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)中。在第四方面的第三種可能的實(shí)現(xiàn)方式中,還提供了第四方面的第六種可能的實(shí)現(xiàn)方式,所述請(qǐng)求單元具體用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),通過(guò)與密鑰中心節(jié)點(diǎn)之間的Internet協(xié)議安全性IPSEC隧道向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求;通過(guò)所述IPSEC隧道接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子。第五方面,提供了一種終端設(shè)備,包括網(wǎng)絡(luò)接口,用于向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);

所述網(wǎng)絡(luò)接口,還用于接收網(wǎng)關(guān)根據(jù)密鑰種子請(qǐng)求所返回的密鑰種子;處理器,用于根據(jù)所述網(wǎng)絡(luò)接口所接收的密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。在第五方面的第一種可能的實(shí)現(xiàn)方式中,所述處理器具體用于根據(jù)所述用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí)、以及所述接收單元接收的密鑰種子生成密鑰;并使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;或者使用所述密鑰生成單元生成的所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。在第六方面,提供了一種網(wǎng)關(guān)設(shè)備,包括網(wǎng)絡(luò)接口,用于接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;處理器,用于根據(jù)所述網(wǎng)絡(luò)接口接收的密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。第七方面,還提供了一種密鑰管理系統(tǒng),包括第三方面或者第三方面任一種可能的實(shí)現(xiàn)方式所提供的終端設(shè)備,或者第四方面或者第四方面任一種可能的實(shí)現(xiàn)方式所提供的網(wǎng)關(guān)設(shè)備。
本發(fā)明實(shí)施例中,通過(guò)將密鑰種子存儲(chǔ)在網(wǎng)關(guān)上,而將待加密文件或者待解密文件存儲(chǔ)在終端上,實(shí)現(xiàn)了密鑰種子與待加密文件或待解密文件的分開(kāi)存儲(chǔ),保障了密鑰種子的安全性,從而提高了文件加密或解密的安全性。


為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實(shí)施例所應(yīng)用的網(wǎng)絡(luò)架構(gòu)示意圖;圖2為本發(fā)明加密解密方法的一個(gè)實(shí)施例流程圖;圖3為本發(fā)明加密解密方法的另一個(gè)實(shí)施例流程圖;圖4為本發(fā)明實(shí)施例圖3的步驟320中網(wǎng)關(guān)根據(jù)密鑰種子獲取請(qǐng)求向密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子的實(shí)施例流程圖;圖5為本發(fā)明實(shí)施例中各網(wǎng)元設(shè)備之間的交互時(shí)序示意圖;圖6為本發(fā)明終端設(shè)備的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖;圖7為本發(fā)明網(wǎng)關(guān)設(shè)備的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖;圖8為本發(fā)明密鑰管理系統(tǒng)實(shí)施例的示意圖;圖9為本發(fā)明終端設(shè)備 的另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖;圖10為本發(fā)明網(wǎng)關(guān)設(shè)備的另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施例方式本發(fā)明如下實(shí)施例提供了加密解密方法、終端設(shè)備、網(wǎng)關(guān)設(shè)備及密鑰管理系統(tǒng),以便提高文件加密或解密的安全性。為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明實(shí)施例的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明。移動(dòng)辦公已逐步普及,移動(dòng)辦公用戶(hù)通過(guò)移動(dòng)智能終端訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng),進(jìn)行收發(fā)郵件、下載公文、瀏覽企業(yè)網(wǎng)站等操作,這些操作不可避免會(huì)把許多數(shù)據(jù)、文件存放到終端,如郵件附件、本地郵件、企業(yè)內(nèi)部資料、瀏覽歷史記錄等,其中不乏企業(yè)秘密甚至機(jī)密信息,為了避免這些信息的泄漏,需要對(duì)這些在移動(dòng)智能終端存放的數(shù)據(jù)和文件進(jìn)行加密,相應(yīng)地,也需要對(duì)移動(dòng)智能終端的數(shù)據(jù)和文件進(jìn)行解密。下述本發(fā)明實(shí)施例可以應(yīng)用在上述移動(dòng)辦公場(chǎng)景中,如圖1所示,該組成移動(dòng)辦公場(chǎng)景的網(wǎng)絡(luò)架構(gòu)中包括移動(dòng)智能終端UE(例如智能手機(jī))、網(wǎng)關(guān)GW和服務(wù)器SV,其中,網(wǎng)關(guān)GW為線(xiàn)框所圈起的企業(yè)內(nèi)網(wǎng)的入口,企業(yè)內(nèi)網(wǎng)還可以包括PC機(jī)等多臺(tái)終端以及交換機(jī)SW等數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備,移動(dòng)智能終端UE與網(wǎng)關(guān)GW連接,并可通過(guò)網(wǎng)關(guān)GW訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)。本發(fā)明實(shí)施例提供的密鑰管理系統(tǒng)包括網(wǎng)關(guān)GW和至少一個(gè)終端,這里的終端既可以是附圖1中的移動(dòng)智能終端UE,也可以是PC機(jī)等其他終端。參見(jiàn)圖2,為本發(fā)明加密解密方法的一個(gè)實(shí)施例流程圖,該實(shí)施例從終端的角度描述了加密解密的過(guò)程步驟210、終端向企業(yè)內(nèi)網(wǎng)入口網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);如果待處理文件不包含密鑰索引,說(shuō)明書(shū)文件是沒(méi)有加密過(guò)的明文文件,需要進(jìn)行加密,此時(shí)該文件是待加密文件,因此所述密鑰種子獲取請(qǐng)求包含終端的用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)(可以是硬件信息,例如終端的國(guó)際移動(dòng)設(shè)備身份碼);而如果待處理的文件包含密鑰索引,說(shuō)明文件是加密過(guò)的,需要進(jìn)行解密,則該文件是待解密文件,此時(shí)所述密鑰種子獲取請(qǐng)求還包含密鑰索引。即所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí)。在本發(fā)明實(shí)施例中終端可以是移動(dòng)智能終端,也可以是PC機(jī)等其他類(lèi)型的終端,在這里不進(jìn)行限定。在本步驟執(zhí)行之前,假設(shè)終端已經(jīng)通過(guò)輸入用戶(hù)標(biāo)識(shí)(例如用戶(hù)名)和密碼經(jīng)過(guò)了企業(yè)內(nèi)網(wǎng)入口的網(wǎng)關(guān)的身份驗(yàn)證,并且終端與網(wǎng)關(guān)之間已經(jīng)建立了 HTTPS (SecureHypertext Transfer Protocol,安全超文本傳輸協(xié)議)連接,建立這種加密的HTTP連接方式能夠保證傳輸數(shù)據(jù)的安全性。每隔預(yù)設(shè)周期,所述終端向網(wǎng)關(guān)請(qǐng)求新的密鑰種子,以生成新的密鑰。因此,每個(gè)終端使用的密鑰是周期性 變化的,譬如,某個(gè)終端當(dāng)前使用密鑰A,當(dāng)終端發(fā)現(xiàn)密鑰A的使用周期到期時(shí)(譬如,每隔10天密鑰變化一次),終端會(huì)在新周期內(nèi)進(jìn)行新文件的加密操作時(shí),向密鑰中心申請(qǐng)新的密鑰種子以生成新的密鑰B(前一周期用密鑰A加密過(guò)的文件仍舊用密鑰A解密)。步驟220、終端接收網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子;步驟230、所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。本步驟中,所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,包括所述終端根據(jù)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)生成密鑰,使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;其中,所述密鑰種子對(duì)應(yīng)的密鑰索引是所述網(wǎng)關(guān)發(fā)來(lái)的。所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待解密文件進(jìn)行解密操作,包括所述終端根據(jù)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)生成密鑰,使用所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引,其中,所述密鑰種子對(duì)應(yīng)的密鑰索引是所述網(wǎng)關(guān)發(fā)來(lái)的。本步驟中,終端根據(jù)對(duì)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)執(zhí)行AES-256算法,從而生成密鑰,安全性高。由上述實(shí)施例可見(jiàn),通過(guò)將密鑰種子存儲(chǔ)在網(wǎng)關(guān)上,而將待加密文件或者待解密文件存儲(chǔ)在終端上,實(shí)現(xiàn)了密鑰種子與待加密文件或待解密文件的分離存儲(chǔ),保障了密鑰種子的安全性,從而提高了文件加密或解密的安全性。參見(jiàn)圖3,為本發(fā)明加密解密方法的另一個(gè)實(shí)施例流程圖,該實(shí)施例從網(wǎng)關(guān)的角度描述了加密解密的過(guò)程步驟310、網(wǎng)關(guān)接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);如果待處理文件不包含密鑰索引,說(shuō)明書(shū)文件是沒(méi)有加密過(guò)的明文文件,需要進(jìn)行加密,此時(shí)該文件是待加密文件,因此所述密鑰種子獲取請(qǐng)求包含終端的用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)(可以是硬件信息,例如終端的國(guó)際移動(dòng)設(shè)備身份碼);而如果待處理的文件包含密鑰索引,說(shuō)明文件是加密過(guò)的,需要進(jìn)行解密,則該文件是待解密文件,此時(shí)所述密鑰種子獲取請(qǐng)求還包含密鑰索引。即所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí)。在本發(fā)明實(shí)施例中網(wǎng)關(guān)可以是虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān),也可以是其他類(lèi)型的網(wǎng)關(guān)設(shè)備,在這里不進(jìn)行限定。所述密鑰種子獲取請(qǐng)求可以是發(fā)起所述密鑰種子獲取請(qǐng)求的終端直接發(fā)來(lái)的,也可以是另一網(wǎng)關(guān)接收到所述終端發(fā)送的所述密鑰種子獲取請(qǐng)求后轉(zhuǎn)發(fā)來(lái)的,所述另一網(wǎng)關(guān)可以為所述終端的接入網(wǎng)關(guān)。也就是說(shuō)所述密鑰種子獲取請(qǐng)求的發(fā)送方可以是發(fā)起所述密鑰種子獲取請(qǐng)求的終端或另一網(wǎng)關(guān)。在本步驟執(zhí)行之前,假設(shè)終端已經(jīng)通過(guò)輸入用戶(hù)標(biāo)識(shí)(例如用戶(hù)名)和密碼經(jīng)過(guò)了企業(yè)內(nèi)網(wǎng)入口的網(wǎng)關(guān)(接入網(wǎng)關(guān))的身份驗(yàn)證,并且終端與接入網(wǎng)關(guān)之間已經(jīng)建立了 HTTPS連接,建立這種加密的HTTP連接方式能夠保證傳輸數(shù)據(jù)的安全性。步驟320、所述網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作??蛇x地,在附圖3所示的`加密解密方法,包含著不同的實(shí)現(xiàn)方案第一種方案是可以對(duì)現(xiàn)有的網(wǎng)關(guān)設(shè)備進(jìn)行升級(jí),使之具備存儲(chǔ)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系、并根據(jù)終端發(fā)送的密鑰種子獲取請(qǐng)求查找對(duì)應(yīng)的密鑰種子,并向終端返回查找到的密鑰種子的功能,在這種方案中,整個(gè)密鑰管理系統(tǒng)包含終端和網(wǎng)關(guān)設(shè)備兩類(lèi)網(wǎng)元,所有網(wǎng)關(guān)設(shè)備的功能是類(lèi)似的,具有查詢(xún)速度快的優(yōu)勢(shì),但是需要對(duì)大量的現(xiàn)有網(wǎng)關(guān)設(shè)備進(jìn)行功能升級(jí),實(shí)施成本較高;第二種方案是,從現(xiàn)有的網(wǎng)關(guān)設(shè)備中選擇部分網(wǎng)關(guān)設(shè)備擔(dān)任密鑰中心節(jié)點(diǎn),只有密鑰中心節(jié)點(diǎn)擔(dān)任存儲(chǔ)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系、并根據(jù)終端發(fā)送的密鑰種子獲取請(qǐng)求查找對(duì)應(yīng)的密鑰種子的功能,而其他的網(wǎng)關(guān)設(shè)備至擔(dān)任簡(jiǎn)單的轉(zhuǎn)發(fā)功能,這樣可以節(jié)約實(shí)施成本。下面將對(duì)第二種方案進(jìn)行詳細(xì)描述。為了無(wú)需對(duì)現(xiàn)有的所有網(wǎng)關(guān)設(shè)備進(jìn)行更新,本發(fā)明實(shí)施例給出了一種網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子的具體方式,請(qǐng)參照附圖4所示步驟401,網(wǎng)關(guān)確認(rèn)自身是否為密鑰中心節(jié)點(diǎn),其中,密鑰中心節(jié)點(diǎn)是能夠提供密鑰種子的節(jié)點(diǎn);如果是密鑰中心節(jié)點(diǎn),則執(zhí)行步驟402 ;如果不是密鑰中心節(jié)點(diǎn),則執(zhí)行步驟 403。步驟402,網(wǎng)關(guān)進(jìn)一步判斷所述密鑰種子獲取請(qǐng)求中是否攜帶密鑰索引,如果攜帶密鑰索引,則執(zhí)行步驟404 ;如果未攜帶密鑰索引,執(zhí)行步驟407。
具體地,網(wǎng)關(guān)可以根據(jù)多種方法判斷所述密鑰種子獲取請(qǐng)求中是否攜帶密鑰索引,例如網(wǎng)關(guān)和終端預(yù)先約定在密鑰種子獲取請(qǐng)求的特定字段中攜帶密鑰索引,如果終端需要在密鑰種子獲取請(qǐng)求中攜帶密鑰索引,則將密鑰索引攜帶在上述特定字段中,否則將上述特定字段的內(nèi)容置為一個(gè)用于標(biāo)識(shí)未攜帶非密鑰索引的特征值,例如置為全零;網(wǎng)關(guān)讀取密鑰種子獲取請(qǐng)求中預(yù)定字段的內(nèi)容,如果讀取到的內(nèi)容不是上述特征值,則確認(rèn)密鑰種子獲取請(qǐng)求中攜帶有密鑰索引,否則未攜帶密鑰索引。其他的判斷方法在這里不再列舉。步驟403,網(wǎng)關(guān)向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,并將接收到的密鑰種子發(fā)送給所述密鑰種子獲取請(qǐng)求的發(fā)送方,至此,網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子的流程結(jié)束。步驟404,網(wǎng)關(guān)從所述密鑰種子獲取請(qǐng)求中提取用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及密鑰索引;執(zhí)行步驟405。步驟405,網(wǎng)關(guān)從所述網(wǎng)關(guān)存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中,查詢(xún)所提取到 的所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及與所提取到的密鑰索引對(duì)應(yīng)的密鑰種子;如果能查詢(xún)到密鑰種子,則執(zhí)行步驟406,否則執(zhí)行步驟407。步驟406,網(wǎng)關(guān)將查找到的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方,至此,網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子的流程結(jié)束。步驟407,網(wǎng)關(guān)根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子,執(zhí)行步驟408。步驟408,網(wǎng)關(guān)為所述密鑰種子分配密鑰索引,并保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系。步驟409,網(wǎng)關(guān)將生成的密鑰種子以及為所述密鑰種子分配的所述密鑰索引返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。步驟407中的隨機(jī)數(shù)使用OpenSSL中的RAND_bytes函數(shù)生成。其中,OpenSSL是一種通用的代碼開(kāi)源的標(biāo)準(zhǔn)SSL協(xié)議庫(kù),對(duì)于隨機(jī)數(shù)的生成和管理也提供了一整套的解決方法和支持API函數(shù),OpenSSL針對(duì)不同類(lèi)型的操作系統(tǒng)平臺(tái)給出了不同的可靠隨機(jī)數(shù)生成途徑針對(duì)unix類(lèi)型的系統(tǒng),它使用隨機(jī)數(shù)發(fā)生器/dev/urandom或者/dev/random來(lái)生成;針對(duì)windows系統(tǒng),則將鼠標(biāo)移動(dòng)、屏幕數(shù)據(jù)等用戶(hù)與系統(tǒng)的交互數(shù)據(jù)來(lái)生成。從上面的實(shí)施例可以看出密鑰中心節(jié)點(diǎn)承擔(dān)著存儲(chǔ)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系,并向密鑰種子獲取請(qǐng)求的發(fā)送方提供密鑰種子的功能,一旦密鑰中心節(jié)點(diǎn)出現(xiàn)故障,則會(huì)引起大量終端無(wú)法加密文件或解密文件,為了進(jìn)一步提高整個(gè)密鑰管理系統(tǒng)工作的可靠性,可以在該系統(tǒng)中設(shè)置兩臺(tái)以上網(wǎng)關(guān)作為密鑰中心節(jié)點(diǎn),其中至少一臺(tái)網(wǎng)關(guān)作為主密鑰中心節(jié)點(diǎn),其余網(wǎng)關(guān)作為備密鑰中心節(jié)點(diǎn)。在密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn)的情況下,從網(wǎng)關(guān)的角度看,附圖4所提供的加密解密方法還包括在步驟408之后,如果所述網(wǎng)關(guān)為主密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到備密鑰中心節(jié)點(diǎn)中;如果所述網(wǎng)關(guān)為備密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)中。對(duì)應(yīng)地,步驟403具體包括網(wǎng)關(guān)向主密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求,如果在設(shè)定的時(shí)間段內(nèi)未收到所述主密鑰中心節(jié)點(diǎn)返回的密鑰種子、或收到所述主密鑰中心節(jié)點(diǎn)返回的故障通知消息,則確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常;若所述主密鑰中心節(jié)點(diǎn)發(fā)生異常,則所述網(wǎng)關(guān)向所述備密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求。如果所述備密鑰中心節(jié)點(diǎn)也發(fā)生異常,則返回密鑰種子獲取失敗消息給所述網(wǎng)關(guān)。由上述實(shí)施例可見(jiàn),通過(guò)將密鑰種子存儲(chǔ)在網(wǎng)關(guān)上,而將待加密文件或者待解密文件存儲(chǔ)在終端上,實(shí)現(xiàn)了密鑰種子與待加密文件或待解密文件的分開(kāi)存儲(chǔ),保障了密鑰種子的安全性,從而提高了文件加密或解密的安全性。為了更加清楚地對(duì)本發(fā)明實(shí)施例提供的加密解密方法進(jìn)行描述,附圖5給出了終端和網(wǎng)關(guān)之間的交互時(shí)序圖。其中,VPN_Gffl是終端的接入網(wǎng)關(guān)、但不是密鑰中心節(jié)點(diǎn),VPN_GW2和VPN_GW3是密鑰中心節(jié)點(diǎn),可以互為主備,按照預(yù)先設(shè)定的策略更改角色,例如VPN_GW2在每年中的奇數(shù)月份擔(dān)任主密鑰中心節(jié)點(diǎn),偶數(shù)月份擔(dān)任備密鑰中心節(jié)點(diǎn),VPN_GW3反之;假定在本實(shí)施例中VPN_GW2是備密鑰中心節(jié)點(diǎn),VPN_GW3是主密鑰中心節(jié)點(diǎn)。步驟510、終端向企業(yè)內(nèi)網(wǎng)入口網(wǎng)關(guān)VPN_GW1發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);在本步驟執(zhí)行之前,假設(shè)終端已經(jīng)通過(guò)輸入用戶(hù)標(biāo)識(shí)和密碼經(jīng)過(guò)了企業(yè)內(nèi)網(wǎng)入口的網(wǎng)關(guān)VPN_GW1的身份驗(yàn)證,并且終端與網(wǎng)關(guān)VPN_GW1之間已經(jīng)建立了 HTTPS連接,建立這種加密的HTTP連接方式能夠保證傳輸數(shù)據(jù)的安全性。在本實(shí)施例中,假定終端需要對(duì)待解密文件進(jìn)行解密,在密鑰種子獲取請(qǐng)求中攜帶終端的用戶(hù)標(biāo)識(shí)、所述終端的標(biāo)識(shí)和從待解密文件中獲得的密鑰索引。每隔預(yù)設(shè)周期,所述終端向網(wǎng)關(guān)請(qǐng)求新的密鑰種子,以生成新的密鑰。因此,每個(gè)終端使用的密鑰是周期性變化的。步驟520、網(wǎng)關(guān)VPN_GW1確認(rèn)自身不是密鑰中心節(jié)點(diǎn),則將密鑰種子獲取請(qǐng)求轉(zhuǎn)發(fā)給預(yù)設(shè)的密鑰中心節(jié)點(diǎn)VPN_GW2。網(wǎng)關(guān)VPN_GW1可以預(yù)先存儲(chǔ)有密鑰中心節(jié)點(diǎn)列表,其中密鑰中心節(jié)點(diǎn)列表中包含至少一個(gè)密鑰中心節(jié)點(diǎn)以及該密鑰中心節(jié)點(diǎn)的地址。網(wǎng)關(guān)VPN_GW1接收到密鑰種子獲取請(qǐng)求后,按照預(yù)先設(shè)定的選擇策略,例如路由跳數(shù)最短的選擇策略,從密鑰中心節(jié)點(diǎn)列表中選擇出一個(gè)密鑰中心節(jié)點(diǎn),將密鑰種子獲取請(qǐng)求轉(zhuǎn)發(fā)給選擇出的密鑰中心節(jié)點(diǎn),在本實(shí)施例中,假定網(wǎng)關(guān)VPN_GW1選擇出了 VPN_GW2。步驟530,密鑰中心節(jié)點(diǎn)VPN_GW2確認(rèn)自身是密鑰中心節(jié)點(diǎn),執(zhí)行步驟540。步驟540,密鑰中心節(jié)點(diǎn)VPN_GW2確認(rèn)所述密鑰種子獲取請(qǐng)求中攜帶密鑰索引,并從密鑰種子獲取請(qǐng)求中提取攜帶的用戶(hù)標(biāo)識(shí)、所述終端的標(biāo)識(shí)和密鑰索引。步驟550,密鑰中心節(jié)點(diǎn)VPN_GW2從自身存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中,查詢(xún)所提取到的所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及與所提取到的密鑰索引對(duì)應(yīng)的密鑰種子 。假設(shè)在本實(shí)施例中VPN_GW2未查詢(xún)到對(duì)應(yīng)的密鑰種子,進(jìn)入步驟 560。
密鑰中心節(jié)點(diǎn)未能根據(jù)密鑰種子獲取請(qǐng)求中攜帶的用戶(hù)標(biāo)識(shí)、所述終端的標(biāo)識(shí)和密鑰索引,從自身存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中查詢(xún)到對(duì)應(yīng)的密鑰種子的原因可能是多方面的,例如之前的同步過(guò)程失敗等等。步驟560,密鑰中心節(jié)點(diǎn)VPN_GW2根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子。可選地,隨機(jī)數(shù)可以使用OpenSSL中的RAND_bytes函數(shù)生成。由于OpenSSL針對(duì)不同類(lèi)型的操作系統(tǒng)平臺(tái)給出了不同的可靠隨機(jī)數(shù)生成途徑,因此可以提高本發(fā)明實(shí)施例的適用性。步驟570,密鑰中心節(jié)點(diǎn)VPN_GW2為所生成的密鑰種子分配密鑰索引,并保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系。用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系在密鑰中心節(jié)點(diǎn)VPN_GW2的數(shù)據(jù)庫(kù)中存儲(chǔ)。步驟580,密鑰中心節(jié)點(diǎn)VPN_GW2將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)VPN_GW3。在獲得用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系等的更新數(shù)據(jù)時(shí),需要在主備密鑰中心節(jié)點(diǎn)之間實(shí)時(shí)地同步,才能在其中的一臺(tái)或多臺(tái)密鑰中心節(jié)點(diǎn)發(fā)生異常時(shí),使其它工作正常的密鑰中心節(jié)點(diǎn)繼續(xù)發(fā)揮作用,從而提高可靠性。密鑰中心節(jié)點(diǎn)VPN_GW2是備密鑰中心節(jié)點(diǎn),因此密鑰中心節(jié)點(diǎn)VPN_GW2還需要將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)VPN_GW3。本步驟580與步驟590無(wú)先后順序的限制,實(shí)際上,本步驟580可以在密鑰中心節(jié)點(diǎn)VPN_GW2保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系之后的任意時(shí)刻執(zhí)行。

步驟590,密鑰中心節(jié)點(diǎn)VPN_GW2將生成的密鑰種子以及為所述密鑰種子分配的所述密鑰索引返回給網(wǎng)關(guān)VPN_GW1。假設(shè)本實(shí)施例中密鑰中心節(jié)點(diǎn)VPN_GW2執(zhí)行上述步驟53(Γ590的這一段時(shí)間未超出預(yù)設(shè)的時(shí)間段,因此,網(wǎng)關(guān)VPN_GW1能夠收到密鑰中心節(jié)點(diǎn)VPN_GW2所發(fā)送的密鑰種子以及為所述密鑰種子分配的所述密鑰索引,并繼續(xù)執(zhí)行以下的步驟。步驟5100,網(wǎng)關(guān)VPN_GW1將密鑰種子以及密鑰索引返回給終端。步驟5110,終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。本實(shí)施例中,所述終端根據(jù)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)執(zhí)行AES-256算法生成密鑰,使用所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。使用AES-256算法生成密鑰具有較高的安全性。由上述實(shí)施例可見(jiàn),本發(fā)明實(shí)施例通過(guò)將密鑰種子存儲(chǔ)在網(wǎng)關(guān)上,而將待加密文件或者待解密文件存儲(chǔ)在終端上,實(shí)現(xiàn)了密鑰種子與待加密文件或待解密文件的分開(kāi)存儲(chǔ),保障了密鑰種子的安全性,從而提高了文件加密或解密的安全性。與本發(fā)明加密解密方法的實(shí)施例相對(duì)應(yīng),本發(fā)明還提供了終端設(shè)備、網(wǎng)關(guān)設(shè)備以及密鑰管理系統(tǒng)的實(shí)施例。參見(jiàn)圖6,為本發(fā)明終端設(shè)備的一個(gè)實(shí)施例的框圖
該終端設(shè)備包括發(fā)送單元610、接收單元620、密鑰生成單元630和加密解密單元640。其中,發(fā)送單元610,用于向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶所述終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);接收單元620,用于接收網(wǎng)關(guān)根據(jù)所述發(fā)送單元610發(fā)送的所述密鑰種子獲取請(qǐng)求返回的密鑰種子;密鑰生成單元630,用于根據(jù)所述接收單元620接收的密鑰種子生成密鑰;加密解密單元640,用于使用所述密鑰生成單元630生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。其中,所述密鑰生成單元630具體用于根據(jù)所述用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí)、以及所述接收單元接收的密鑰種子生成密鑰;所述加密解密單元640包括加密子單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;解密子單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。所述發(fā)送單元610、接收單元620、密鑰生成單元630和加密解密單元640的具體功能細(xì)節(jié)請(qǐng)參考上述從終端的角度描述的加密解密方法實(shí)施例,在此不再詳述。參見(jiàn)圖7,為本發(fā)明網(wǎng)關(guān)設(shè)備的一個(gè)實(shí)施例的框圖

該網(wǎng)關(guān)設(shè)備包括接收模塊710和提供模塊720。其中,接收模塊710,用于接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;提供模塊720,用于根據(jù)所述接收模塊710接收的密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。所述提供模塊720包括確認(rèn)單元,用于確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是否為密鑰中心節(jié)點(diǎn),其中,所述密鑰中心節(jié)點(diǎn)是能夠提供密鑰種子的節(jié)點(diǎn),包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn);第一判斷單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是密鑰中心節(jié)點(diǎn)時(shí),判斷所述密鑰種子獲取請(qǐng)求中是否攜帶密鑰索引;查詢(xún)單元,用于在所述第一判斷單元判斷出所述密鑰種子獲取請(qǐng)求中攜帶密鑰索引時(shí),從所述密鑰種子獲取請(qǐng)求中提取用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及密鑰索引;并從所述網(wǎng)關(guān)設(shè)備存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中,查詢(xún)所提取到的所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及與所提取到的密鑰索引對(duì)應(yīng)的密鑰種子;密鑰種子生成單元,用于在所述判斷單元判斷出所述密鑰種子獲取請(qǐng)求中未攜帶密鑰索引、或所述查詢(xún)單元未查詢(xún)到對(duì)應(yīng)的密鑰種子時(shí),根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子;發(fā)送單元,用于將所述查詢(xún)單元查詢(xún)到的密鑰種子、或者所述密鑰種子生成單元生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方;將所述密鑰種子生成單元生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方時(shí),還將所述分配單元為所述密鑰種子分配的所述密鑰索引返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方??蛇x地,為了能夠減少為同一個(gè)設(shè)備中的同一個(gè)用戶(hù)生成密鑰種子的次數(shù),可以為已生成的密鑰種子建立索引,后續(xù)根據(jù)索引查找已生成的密鑰種子,在這種情況下,提供模塊720還包括分配單元,用于在所述密鑰種子生成單元根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,為所述密鑰種子分配密鑰索引;保存單元,用于在所述分配單元為所述密鑰種子分配密鑰索引之后,保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系;請(qǐng)求單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,并將接收到的密鑰種子發(fā)送給所述密鑰種子獲取請(qǐng)求的發(fā)送方??蛇x地,為了提高整個(gè)密鑰管理系統(tǒng)工作的可靠性,可以在該系統(tǒng)中設(shè)置兩臺(tái)以上網(wǎng)關(guān)作為密鑰中心節(jié)點(diǎn),其中至少一臺(tái)網(wǎng)關(guān)作為主密鑰中心節(jié)點(diǎn),其余網(wǎng)關(guān)作為備密鑰中心節(jié)點(diǎn)。在這種情況下,提供模塊720還包括第二判斷單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是密鑰中心節(jié)點(diǎn),且所述密鑰種子生成單元根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,判斷所述網(wǎng)關(guān)設(shè)備為主密鑰中心節(jié)點(diǎn)還是備密鑰中心節(jié)點(diǎn);同步單元,用于在所述第 二判斷單元判斷所述網(wǎng)關(guān)設(shè)備為主密鑰中心節(jié)點(diǎn)時(shí),將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到備密鑰中心節(jié)點(diǎn)中,并在所述判斷子單元判斷所述網(wǎng)關(guān)設(shè)備為備密鑰中心節(jié)點(diǎn)時(shí),將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)中在所述密鑰管理系統(tǒng)中包含主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn)的情況下,所述請(qǐng)求單元包括第一發(fā)送子單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),向主密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求;所述第一發(fā)送子單元具體用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),通過(guò)與密鑰中心節(jié)點(diǎn)之間的Internet協(xié)議安全性IPSEC隧道向主密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求;而且,所述接收子單元具體用于通過(guò)所述IPSEC隧道接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子;確認(rèn)子單元,用于在設(shè)定的時(shí)間段內(nèi)未收到所述主密鑰中心節(jié)點(diǎn)返回的密鑰種子,或收到所述主密鑰中心節(jié)點(diǎn)返回的故障通知消息時(shí),確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常;第二發(fā)送子單元,用于在所述主密鑰中心節(jié)點(diǎn)發(fā)生異常時(shí),向所述備密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求。所述接收模塊710和提供模塊720的具體功能細(xì)節(jié)請(qǐng)參考上述從網(wǎng)關(guān)的角度描述的加密解密方法實(shí)施例,在此不再詳述。參見(jiàn)圖8,為本發(fā)明提供的密鑰管理系統(tǒng)實(shí)施例的示意圖,所述密鑰管理系統(tǒng)包括上述任一種實(shí)施方式的終端設(shè)備810或者網(wǎng)關(guān)設(shè)備820。所述終端設(shè)備用于向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶所述終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);接收網(wǎng)關(guān)根據(jù)所述發(fā)送單元發(fā)送的所述密鑰種子獲取請(qǐng)求返回的密鑰種子;根據(jù)所述接收單元接收的密鑰種子生成密鑰;使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。所述網(wǎng)關(guān)設(shè)備820用于接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;根據(jù)所述接收模塊接收的密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。所述密鑰管理系統(tǒng)也可以同時(shí)包含上述任一種實(shí)施方式的終端設(shè)備810和網(wǎng)關(guān)設(shè)備820,還可以包含其它網(wǎng)絡(luò)設(shè)備,例如交換機(jī)、路由器等數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備以及服務(wù)器等數(shù)據(jù)存儲(chǔ)設(shè)備。其中,終端設(shè)備和網(wǎng)關(guān)設(shè)備的具體工作流程請(qǐng)參照前面方法實(shí)施例中的描述,終端設(shè)備和網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)請(qǐng)參照前面裝置實(shí)施例中的描述,在這里不再重復(fù)。參見(jiàn)圖9,為本發(fā)明提供的與上述終端設(shè)備對(duì)應(yīng)的硬件終端實(shí)體的一個(gè)實(shí)施例的框圖所述終端設(shè)備包括網(wǎng)絡(luò)接口 910,用于向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶用戶(hù)標(biāo)識(shí)和所述終端的標(biāo) 識(shí);所述網(wǎng)絡(luò)接口 910,還用于接收網(wǎng)關(guān)根據(jù)密鑰種子請(qǐng)求所返回的密鑰種子;處理器920,用于根據(jù)所述網(wǎng)絡(luò)接口 910所接收的密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。所述處理器920具體用于根據(jù)所述用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí)、以及所述接收單元接收的密鑰種子生成密鑰;并使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;或者使用所述密鑰生成單元生成的所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。所述網(wǎng)絡(luò)接口 910、處理器920的具體功能細(xì)節(jié)請(qǐng)參考上述從終端的角度描述的加密解密方法實(shí)施例,在此不再詳述。參見(jiàn)圖10,為本發(fā)明與上述網(wǎng)關(guān)設(shè)備對(duì)應(yīng)的硬件網(wǎng)關(guān)實(shí)體的一個(gè)實(shí)施例的框圖,所述網(wǎng)關(guān)設(shè)備包括網(wǎng)絡(luò)接口 1010,用于接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;處理器1020,用于根據(jù)所述網(wǎng)絡(luò)接口 1010接收的密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。所述網(wǎng)絡(luò)接口 1010、處理器1020的具體功能細(xì)節(jié)請(qǐng)參考上述從終端的角度描述的加密解密方法實(shí)施例,在此不再詳述。可以看出,在本發(fā)明實(shí)施例中,通過(guò)將密鑰種子存儲(chǔ)在網(wǎng)關(guān)上,而將待加密解密文件存儲(chǔ)在終端上,實(shí)現(xiàn)了密鑰種子與文件的分開(kāi)存儲(chǔ),保障了密鑰種子的安全性。而且在加解密期間,終端中短時(shí)出現(xiàn)密鑰種子、密鑰,其它時(shí)間都不會(huì)有密文、密鑰同時(shí)出現(xiàn)在終端的狀況,并且密鑰種子會(huì)周期性變更,非法人員無(wú)法從終端提取到密鑰種子或密鑰。由于終端和網(wǎng)關(guān)之間的信息、網(wǎng)關(guān)和網(wǎng)關(guān)之間的信息分別通過(guò)HTTPS和IPSec隧道進(jìn)行傳輸,從而保障了信息傳輸?shù)谋C苄院蛿?shù)據(jù)完整性,提高了加/解密的安全性。密鑰種子在密鑰中心節(jié)點(diǎn)能夠受到高強(qiáng)度加密算法的加密保護(hù),并且密鑰并不依賴(lài)于終端的任何信息(如用戶(hù)自己設(shè)置的鎖屏密碼等),因此可以有足夠的復(fù)雜度,不會(huì)因終端鎖屏密碼等設(shè)置強(qiáng)度過(guò)弱而被人從鎖屏密碼攻破,提高了加/解密的安全性。密鑰種子和終端硬件特征、用戶(hù)名綁定,這樣,即使用戶(hù)賬號(hào)泄漏,只要密鑰請(qǐng)求不是從合法用戶(hù)的終端上發(fā)起的,都無(wú)法獲取密鑰,提高了加/解密的安全性。另外,由于部署了兩個(gè)密鑰中心節(jié)點(diǎn),兩者通過(guò)IPSec隧道互備密鑰種子數(shù)據(jù),既能保障系統(tǒng)的可靠性,也可對(duì)來(lái)自終端的密鑰請(qǐng)求進(jìn)行負(fù)載分擔(dān),也滿(mǎn)足了分布式部署場(chǎng)景的需求。由上述實(shí)施例可見(jiàn),通過(guò)將密鑰種子存儲(chǔ)在網(wǎng)關(guān)上,而將待加密文件或者待解密文件存儲(chǔ)在終端上,實(shí)現(xiàn)了密鑰種子與待加密文件或待解密文件的分開(kāi)存儲(chǔ),保障了密鑰種子的安全性,從而提高了文件加密或解密的安全性。本領(lǐng)域普通技術(shù)人員將會(huì)理解,本發(fā)明的各個(gè)方面、或各個(gè)方面的可能實(shí)現(xiàn)方式可以被具體實(shí)施為系統(tǒng)、方法或者計(jì)算機(jī)程序產(chǎn)品。因此,本發(fā)明的各方面、或各個(gè)方面的可能實(shí)現(xiàn)方式可以采用完全硬件實(shí)施例、完全軟件實(shí)施例(包括固件、駐留軟件等等),或者組合軟件和硬件方面的實(shí)施例的形式,在這里都統(tǒng)稱(chēng)為“電路”、“模塊”或者“系統(tǒng)”。此外,本發(fā)明的各方面、或各個(gè)方面的可能實(shí)現(xiàn)方式可以采用計(jì)算機(jī)程序產(chǎn)品的形式,計(jì)算機(jī)程序產(chǎn)品是指存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)可讀程序代碼。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī)可讀信號(hào)介質(zhì)或者計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包含但不限于電子、磁性、光學(xué)、電磁、紅外或半導(dǎo)體系統(tǒng)、設(shè)備或者裝置,或者前述的任意適當(dāng)組合,如隨 機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、可擦除可編程只讀存儲(chǔ)器(EPROM或者快閃存儲(chǔ)器)、光纖、便攜式只讀存儲(chǔ)器(CD-ROM)。計(jì)算機(jī)中的處理器讀取存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)可讀程序代碼,使得處理器能夠執(zhí)行在流程圖中每個(gè)步驟、或各步驟的組合中規(guī)定的功能動(dòng)作;生成實(shí)施在框圖的每一塊、或各塊的組合中規(guī)定的功能動(dòng)作的裝置。計(jì)算機(jī)可讀程序代碼可以完全在用戶(hù)的計(jì)算機(jī)上執(zhí)行、部分在用戶(hù)的計(jì)算機(jī)上執(zhí)行、作為單獨(dú)的軟件包、部分在用戶(hù)的計(jì)算機(jī)上并且部分在遠(yuǎn)程計(jì)算機(jī)上,或者完全在遠(yuǎn)程計(jì)算機(jī)或者服務(wù)器上執(zhí)行。也應(yīng)該注意,在某些替代實(shí)施方案中,在流程圖中各步驟、或框圖中各塊所注明的功能可能不按圖中注明的順序發(fā)生。例如,依賴(lài)于所涉及的功能,接連示出的兩個(gè)步驟、或兩個(gè)塊實(shí)際上可能被大致同時(shí)執(zhí)行,或者這些塊有時(shí)候可能被以相反順序執(zhí)行。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1.一種加密解密方法,其特征在于,包括終端向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶所述終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);所述終端接收網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子;所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。
2.如權(quán)利要求1所述的方法,其特征在于,如果所述待解密文件包含密鑰索引,則所述密鑰種子獲取請(qǐng)求還攜帶所述密鑰索引。
3.如權(quán)利要求1所述的方法,其特征在于,所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,包括所述終端根據(jù)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)生成密鑰,使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待解密文件進(jìn)行解密操作,包括所述終端根據(jù)所述密鑰種子、用戶(hù)標(biāo)識(shí)和終端的標(biāo)識(shí)生成密鑰,使用所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。
4.如權(quán)利要求1所述的方法,其特征在于,所述終端每隔預(yù)設(shè)周期,向所述網(wǎng)關(guān)請(qǐng)求新的密鑰種子,以生成新的密鑰。
5.如權(quán)利要求Γ4中任一項(xiàng)所述的方法,其特征在于,所述終端根據(jù)所述密鑰種子生成密鑰,具體為所述終端對(duì)所述密鑰種子執(zhí)行AES-256算法,生成所述密鑰。
6.一種加密解密方法,其特征在于,包括網(wǎng)關(guān)接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;所述網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。
7.如權(quán)利要求6所述的方法,其特征在于,所述網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,包括所述網(wǎng)關(guān)確認(rèn)自身是否為密鑰中心節(jié)點(diǎn),其中,所述密鑰中心節(jié)點(diǎn)是能夠提供密鑰種子的節(jié)點(diǎn);若所述網(wǎng)關(guān)確認(rèn)自身是密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)判斷所述密鑰種子獲取請(qǐng)求中是否攜帶密鑰索引;如果所述密鑰種子獲取請(qǐng)求中攜帶密鑰索引,則所述網(wǎng)關(guān)從所述密鑰種子獲取請(qǐng)求中提取用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及密鑰索引;并從所述網(wǎng)關(guān)存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中,查詢(xún)所提取到的所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及與所提取到的密鑰索引對(duì)應(yīng)的密鑰種子;如果查詢(xún)到對(duì)應(yīng)的密鑰種子,則將查找到的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方;如果所述密鑰種子獲取請(qǐng)求中未攜帶密鑰索引,或者未查詢(xún)到對(duì)應(yīng)的密鑰種子,則所述網(wǎng)關(guān)根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子,并將生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。
8.如權(quán)利要求7所述的方法,其特征在于,所述網(wǎng)關(guān)根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,還包括所述網(wǎng)關(guān)為所述密鑰種子分配密鑰索引,并保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系;所述將生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方,還包括將為所述密鑰種子分配的所述密鑰索引返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。
9.如權(quán)利要求7或8所述的方法,其特征在于,還包括若所述網(wǎng)關(guān)確認(rèn)自身不是密鑰中心節(jié)點(diǎn),則向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,并將接收到的密鑰種子發(fā)送給所述密鑰種子獲取請(qǐng)求的發(fā)送方。
10.如權(quán)利要求9所述的方法,其特征在于,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述若所述網(wǎng)關(guān)確認(rèn)自身不是密鑰中心節(jié)點(diǎn),則向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,包括所述網(wǎng)關(guān)向主密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求,如果在設(shè)定的時(shí)間段內(nèi)未收到所述主密鑰中心節(jié)點(diǎn)返回的密鑰種子、或收到所述主密鑰中心節(jié)點(diǎn)返回的故障通知消息,則確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常;若所述主密鑰中心節(jié)點(diǎn)發(fā)生異常,則所述網(wǎng)關(guān)向所述備密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求。
11.如權(quán)利要求8所述的方法,其特征在于,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述若所述網(wǎng)關(guān)確認(rèn)自身是密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,還包括如果所述網(wǎng)關(guān)為主密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到備密鑰中心節(jié)點(diǎn)中;如果所述網(wǎng)關(guān)為備密鑰中心節(jié)點(diǎn),則所述網(wǎng)關(guān)將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)中。
12.如權(quán)利要求9或10所述的方法,其特征在于,所述向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,具體包括所述網(wǎng)關(guān)通過(guò)與密鑰中心節(jié)點(diǎn)之間的Internet協(xié)議安全性IPSEC隧道向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求;并通過(guò)所述IPSEC隧道接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子。
13.一種終端設(shè)備,其特征在于,包括發(fā)送單元,用于向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶所述終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);接收單元,用于接收網(wǎng)關(guān)根據(jù)所述發(fā)送單元發(fā)送的所述密鑰種子獲取請(qǐng)求返回的密鑰種子;密鑰生成單元,用于根據(jù)所述接收單元接收的密鑰種子生成密鑰;加密解密單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。
14.如權(quán)利要求13所述的終端設(shè)備,其特征在于,所述密鑰生成單元具體用于根據(jù)所述用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí)、以及所述接收單元接收的密鑰種子生成密鑰;所述加密解密單元包括加密子單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待加密文件進(jìn)行加密操作,并在加密后文件末尾加上所述密鑰種子對(duì)應(yīng)的密鑰索引;解密子單元,用于使用所述密鑰生成單元生成的所述密鑰對(duì)待解密文件進(jìn)行解密操作,然后去掉解密后文件末尾的密鑰索引。
15.—種網(wǎng)關(guān)設(shè)備,其特征在于,包括接收模塊,用于接收密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí),所述密鑰種子獲取請(qǐng)求是所述終端或另一網(wǎng)關(guān)發(fā)送來(lái)的;提供模塊,用于根據(jù)所述接收模塊接收的密鑰種子獲取請(qǐng)求向所述密鑰種子獲取請(qǐng)求的發(fā)送方返回密鑰種子,以使所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。
16.如權(quán)利要求15所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述提供模塊包括確認(rèn)單元,用于確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是否為密鑰中心節(jié)點(diǎn),其中,所述密鑰中心節(jié)點(diǎn)是能夠提供密鑰種子的節(jié)點(diǎn);第一判斷單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是密鑰中心節(jié)點(diǎn)時(shí),判斷所述密鑰種子獲取請(qǐng)求中是否攜帶密鑰索引;查詢(xún)單元,用于在所述第一判斷單元判斷出所述密鑰種子獲取請(qǐng)求中攜帶密鑰索引時(shí),從所述密鑰種子獲取請(qǐng)求中提取用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及密鑰索引;并從所述網(wǎng)關(guān)設(shè)備存儲(chǔ)的用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、密鑰索引與密鑰種子的對(duì)應(yīng)關(guān)系中,查詢(xún)所提取到的所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及與所提取到的密鑰索引對(duì)應(yīng)的密鑰種子;密鑰種子生成單元,用于在所述第一判斷單元判斷出所述密鑰種子獲取請(qǐng)求中未攜帶密鑰索引、或所述查詢(xún)單元未查詢(xún)到對(duì)應(yīng)的密鑰種子時(shí),根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子;發(fā)送單元,用于將所述查詢(xún)單元查詢(xún)到的密鑰種子、或者所述密鑰種子生成單元生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。
17.如權(quán)利要求16所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述提供模塊還包括分配單元,用于在所述密鑰種子生成單元根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,為所述密鑰種子分配密鑰索引;保存單元,用于在所述分配單元為所述密鑰種子分配密鑰索引之后,保存所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系;所述發(fā)送單元將所述密鑰種子生成單元生成的密鑰種子返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方時(shí),還將所述分配單元為所述密鑰種子分配的所述密鑰索引返回給所述密鑰種子獲取請(qǐng)求的發(fā)送方。
18.如權(quán)利要求16或17所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述提供模塊還包括請(qǐng)求單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求,接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子,并將接收到的密鑰種子發(fā)送給所述密鑰種子獲取請(qǐng)求的發(fā)送方。
19.如權(quán)利要求18所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述請(qǐng)求單元包括第一發(fā)送子單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),向主密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求;確認(rèn)子單元,用于在設(shè)定的時(shí)間段內(nèi)未收到所述主密鑰中心節(jié)點(diǎn)返回的密鑰種子,或收到所述主密鑰中心節(jié)點(diǎn)返回的故障通知消息時(shí),確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常;第二發(fā)送子單元,用于在所述確認(rèn)子單元確認(rèn)所述主密鑰中心節(jié)點(diǎn)發(fā)生異常時(shí),向所述備密鑰中心節(jié)點(diǎn)發(fā)送密鑰種子獲取請(qǐng)求。
20.如權(quán)利要求17所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述密鑰中心節(jié)點(diǎn)包括主密鑰中心節(jié)點(diǎn)和備密鑰中心節(jié)點(diǎn),所述提供模塊還包括第二判斷單元,用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身是密鑰中心節(jié)點(diǎn),且所述密鑰種子生成單元根據(jù)用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)以及隨機(jī)數(shù)生成密鑰種子之后,判斷所述網(wǎng)關(guān)設(shè)備為主密鑰中心節(jié)點(diǎn)還是備密鑰中心節(jié)點(diǎn);同步單元,用于在所述第二判斷單元判斷所述網(wǎng)關(guān)設(shè)備為主密鑰中心節(jié)點(diǎn)時(shí),將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到備密鑰中心節(jié)點(diǎn)中,并在所述第二判斷單元判斷所述網(wǎng)關(guān)設(shè)備為備密鑰中心節(jié)點(diǎn)時(shí),將所述用戶(hù)標(biāo)識(shí)、終端的標(biāo)識(shí)、所述密鑰種子與所述密鑰索引的對(duì)應(yīng)關(guān)系同步到主密鑰中心節(jié)點(diǎn)中。
21.如權(quán)利要求18所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述請(qǐng)求單元具體用于在所述確認(rèn)單元確認(rèn)所述網(wǎng)關(guān)設(shè)備自身不是密鑰中心節(jié)點(diǎn)時(shí),通過(guò)與密鑰中心節(jié)點(diǎn)之間的Internet協(xié)議安全性IPSEC隧道向密鑰中心節(jié)點(diǎn)發(fā)送所述密鑰種子獲取請(qǐng)求;通過(guò)所述IPSEC隧道接收所述密鑰中心節(jié)點(diǎn)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子。
22.—種密鑰管理系統(tǒng),其特征在于,包括如權(quán)利要求13至14中任一項(xiàng)所述的終端設(shè)備,或者如權(quán)利要求15至21中任一項(xiàng)所述的網(wǎng)關(guān)設(shè)備。
全文摘要
本發(fā)明公開(kāi)了一種加密解密方法、終端設(shè)備、網(wǎng)關(guān)設(shè)備及密鑰管理系統(tǒng),所述加密解密方法包括終端向網(wǎng)關(guān)發(fā)送密鑰種子獲取請(qǐng)求,所述密鑰種子獲取請(qǐng)求中至少攜帶所述終端的用戶(hù)標(biāo)識(shí)和所述終端的標(biāo)識(shí);所述終端接收網(wǎng)關(guān)根據(jù)所述密鑰種子獲取請(qǐng)求返回的密鑰種子;所述終端根據(jù)所述密鑰種子生成密鑰,并使用所述密鑰對(duì)待加密文件進(jìn)行加密操作,或使用所述密鑰對(duì)待解密文件進(jìn)行解密操作。本發(fā)明實(shí)施例中,通過(guò)將密鑰種子存儲(chǔ)在網(wǎng)關(guān)上,而將待加密文件或者待解密文件存儲(chǔ)在終端上,實(shí)現(xiàn)了密鑰種子與待加密文件或待解密文件的分開(kāi)存儲(chǔ),保障了密鑰種子的安全性,從而提高了文件加密或解密的安全性。
文檔編號(hào)H04L9/08GK103067158SQ201210579409
公開(kāi)日2013年4月24日 申請(qǐng)日期2012年12月27日 優(yōu)先權(quán)日2012年12月27日
發(fā)明者商海波, 朱建 申請(qǐng)人:華為技術(shù)有限公司
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1