一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置制造方法
【專利摘要】本發(fā)明提供了一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置�,所述加解密裝置與數(shù)據(jù)收發(fā)設(shè)備相連接;發(fā)送數(shù)據(jù)時�����,所述加解密裝置先將數(shù)據(jù)收發(fā)設(shè)備中待發(fā)送數(shù)據(jù)在該加解密裝置中進行硬件加密后再發(fā)送給接收方;接收數(shù)據(jù)時�,所述加解密裝置將數(shù)據(jù)收發(fā)設(shè)備中接收的數(shù)據(jù)在該加解密裝置中進行硬件解密;用于數(shù)據(jù)加解密的密鑰在所述加解密裝置中產(chǎn)生�。采用本發(fā)明的技術(shù)方案,直接在數(shù)據(jù)加解密裝置內(nèi)部對數(shù)據(jù)進行了加解密����,數(shù)據(jù)加解密裝置內(nèi)部信息通過身份認證的方式進行保護,而且不會耗費數(shù)據(jù)收發(fā)設(shè)備CPU的資源���,實現(xiàn)了對數(shù)據(jù)的硬件加密�����,使得數(shù)據(jù)的保密效果更佳���;同時使用了非對稱加密算法和對稱加密算法,私鑰以密文形式完全隱藏在數(shù)據(jù)加解密裝置中��,具有更好的加密效果���。
【專利說明】—種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)傳輸和數(shù)據(jù)安全領(lǐng)域�,特別是涉及一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置。
【背景技術(shù)】
[0002]近些年來��,隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展����,使用網(wǎng)絡(luò)進行數(shù)據(jù)傳輸也進入到人們的日常生活和工作中,而數(shù)據(jù)信息泄露成為人們最關(guān)注的問題�����。很多威脅都可能導(dǎo)致數(shù)據(jù)丟失或泄露�,并且進一步引發(fā)了用戶對即時通訊服務(wù)的信任問題,所以人們對保證數(shù)據(jù)安全的產(chǎn)品有很大需求��。
[0003]為了提高數(shù)據(jù)信息的安全性���,目前有效的方法是進行數(shù)據(jù)加密,通過加密使數(shù)據(jù)只能被指定的人進行瀏覽����,確保數(shù)據(jù)的安全。目前常見的數(shù)據(jù)加密方式有以下三種:
[0004]第一種:利用對稱加密算法加密數(shù)據(jù)����,對稱加密算法是應(yīng)用較早的加密算法�,技術(shù)成熟����。但是,在對稱加密算法中�,使用的密鑰只有一個,數(shù)據(jù)收發(fā)雙方都使用這個密鑰對數(shù)據(jù)進行加密和解密��,安全性得不到保證����。這種方法需要解決秘鑰的傳遞、保存�����、交換等問題���,所以這種單純的數(shù)據(jù)加密系統(tǒng)很少有人使用�。
[0005]第二種:利用PKI/CA認證加密數(shù)據(jù)����,電子數(shù)據(jù)加密系統(tǒng)目前大部分產(chǎn)品都是基于這種加密方式。PKI (PK Infrastructure)指的是公鑰(Kp)基礎(chǔ)設(shè)施,CA (CertificateAuthority)指的是認證中心���。PKI/CA認證體系相對成熟�����,但應(yīng)用于電子數(shù)據(jù)加密系統(tǒng)時也存在著密匙管理復(fù)雜��,需要先交換密匙才能進行加解密操作等���。這種加密方法只適用于企業(yè)、單位和一些高端用戶�����,由于CA證書獲得麻煩����,交換繁瑣,因此這種數(shù)據(jù)加密模式一直很難普及��。
[0006]第三種:利用基于身份的密碼技術(shù)進行數(shù)據(jù)加密���。將用戶公開的身份信息(如e —mail地址,IP地址,名字��,等等)作為用戶Kp����,用戶私鑰(Ks)由一個稱為Ks生成者的可信中心生成。近些年來���,基于身份密碼體制的設(shè)計成為密碼學界的一個熱門的研究領(lǐng)域��。目前這種方式是最有希望實現(xiàn)數(shù)據(jù)加密規(guī)模應(yīng)用的方式���,但尚未得到應(yīng)用。
[0007]故�,針對目前現(xiàn)有技術(shù)中存在的上述缺陷,實有必要進行研究�,以提供一種方案,解決現(xiàn)有技術(shù)中存在的缺陷��,使網(wǎng)絡(luò)數(shù)據(jù)傳輸更加安全可靠�����。
【發(fā)明內(nèi)容】
[0008]為了克服上述現(xiàn)有技術(shù)的缺陷����,本發(fā)明提供了一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置��,通過外接的硬件加密裝置實現(xiàn)了對數(shù)據(jù)的硬件加密���,使得數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的保密效果更佳,同時也不會耗費數(shù)據(jù)收發(fā)設(shè)備CPU的資源�。
[0009]為解決現(xiàn)有技術(shù)存在的問題,本發(fā)明的技術(shù)方案為:
[0010]一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置�,所述加解密裝置與數(shù)據(jù)收發(fā)設(shè)備相連接;
[0011]發(fā)送數(shù)據(jù)時,所述加解密裝置先將數(shù)據(jù)收發(fā)設(shè)備中待發(fā)送數(shù)據(jù)在該加解密裝置中進行硬件加密后再發(fā)送給接收方����;
[0012]接收數(shù)據(jù)時,所述加解密裝置將數(shù)據(jù)收發(fā)設(shè)備中接收的數(shù)據(jù)在該加解密裝置中進行硬件解密�;
[0013]用于數(shù)據(jù)加解密的密鑰在所述加解密裝置中產(chǎn)生。
[0014]優(yōu)選地��,所述加解密裝置包括通訊接口�、數(shù)據(jù)加解密控制模塊、數(shù)據(jù)緩存器���、加解密硬件模塊��、存儲介質(zhì)以及隨機數(shù)產(chǎn)生器���;
[0015]所述通訊接口用于與數(shù)據(jù)收發(fā)設(shè)備進行數(shù)據(jù)通訊;
[0016]所述數(shù)據(jù)加解密控制模塊與所述通訊接口����、數(shù)據(jù)緩存器和加解密硬件模塊相連接,用于控制所述加解密裝置內(nèi)各個模塊之間的操作�����;
[0017]所述數(shù)據(jù)緩存器用于緩存數(shù)據(jù)信息��;
[0018]所述加解密硬件模塊包括數(shù)據(jù)體加解密硬件模塊和非對稱加解密硬件模塊�����,所述數(shù)據(jù)體加解密硬件模塊用于對數(shù)據(jù)體進行加解密操作�����;所述非對稱加解密硬件模塊用于對數(shù)據(jù)加密密鑰(Kd)進行加解密操作���;
[0019]所述隨機數(shù)產(chǎn)生器用于對數(shù)據(jù)體進行加密操作時隨機產(chǎn)生一串字符作為數(shù)據(jù)加密密鑰(Kd)����;
[0020]所述存儲介質(zhì)包括私鑰存儲區(qū)和數(shù)據(jù)存儲區(qū);所述數(shù)據(jù)存儲區(qū)用于存儲數(shù)據(jù)���;所述私鑰存儲區(qū)用于存儲所述非對稱加解密硬件模塊的私鑰(Ks)����。
[0021]優(yōu)選地���,所述通訊接口為如下常用計算機通信接口之一:USB��、PATA/SATA����、SAS��、PC1-E��、RS232����、UART,SP1、I2C, IS07816���。
[0022]優(yōu)選地�,所述數(shù)據(jù)體加解密硬件模塊的算法采用國密SM4、AES�����、G0ST�、或者DES中任一種����。
[0023]優(yōu)選地,所述非對稱加解密硬件模塊的算法采用SM2�����、RSA�、或者ECC中任一種。
[0024]優(yōu)選地�,所述加解密裝置還包括身份信息采集模塊和身份認證處理模塊;
[0025]所述身份信息采集模塊用于接收客戶身份信息����;
[0026]所述身份認證處理模塊用于存儲客戶身份信息并對身份信息采集模塊接收的客戶身份信息進行認證。
[0027]優(yōu)選地�,所述身份信息采集模塊為生物特征傳感器或按鍵信息采集模塊。
[0028]優(yōu)選地���,所述身份認證處理模塊包括處理器�、數(shù)據(jù)緩存器、身份信息認證模塊����、非易失存儲器、通訊接口和隨機數(shù)產(chǎn)生器����。
[0029]優(yōu)選地,所述數(shù)據(jù)體加解密硬件模塊采用AES數(shù)據(jù)體加解密硬件模塊�����;所述非對稱加解密硬件模塊采用RSA加解密硬件模塊����;所述通訊接口采用USB接口 ;所述身份信息采集模塊采用按鍵信息采集模塊�。
[0030]優(yōu)選地,所述數(shù)據(jù)體加解密硬件模塊采用SM4數(shù)據(jù)體加解密硬件模塊�;所述非對稱加解密硬件模塊采用SM2加解密硬件模塊;所述通訊接口采用SATA接口 �;所述身份信息采集模塊采用指紋信息采集模塊。
[0031]與現(xiàn)有的數(shù)據(jù)加密方法相比,本發(fā)明的一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置�����,直接在數(shù)據(jù)加解密裝置內(nèi)部對數(shù)據(jù)進行了加解密����,數(shù)據(jù)加解密裝置內(nèi)部信息通過身份認證的方式進行保護,而且不會耗費數(shù)據(jù)收發(fā)設(shè)備CPU的資源���,實現(xiàn)了對數(shù)據(jù)的硬件加密,使得數(shù)據(jù)的保密效果更佳�����;本發(fā)明的一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置�����,使用了非對稱加密算法���,私鑰以密文形式完全隱藏在數(shù)據(jù)加解密裝置中����,使得保密效果更好,同時通過安裝在數(shù)據(jù)收發(fā)設(shè)備上的數(shù)據(jù)加解密管理模塊對公鑰進行管理���、配置��、和傳遞�����,從而擺脫了公共網(wǎng)絡(luò)認證中心及其弊端�����?�?傊?���,本發(fā)明提供了一種可方便地通過Skype�����、MSN�、QQ或者電子郵件等網(wǎng)絡(luò)通訊工具進行數(shù)據(jù)加密傳輸?shù)募咏饷苎b置。
【專利附圖】
【附圖說明】
[0032]圖1是應(yīng)用本發(fā)明實現(xiàn)的數(shù)據(jù)傳輸系統(tǒng)的架構(gòu)圖�����;
[0033]圖2是應(yīng)用本發(fā)明實現(xiàn)的數(shù)據(jù)傳輸系統(tǒng)的流程圖;
[0034]圖3是本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的一種實施方式的原理框圖��;
[0035]圖4是本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的另一種實施方式的的原理框圖�;
[0036]圖5是硬件加解密裝置中身份認證處理模塊的原理框圖;
[0037]圖6是本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的一應(yīng)用實例��;
[0038]圖7是本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的另一應(yīng)用實例����;
[0039]圖8是應(yīng)用本發(fā)明實現(xiàn)的數(shù)據(jù)傳輸系統(tǒng)的具體工作流程圖。
【具體實施方式】
[0040]為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例����,對本發(fā)明進行進一步詳細說明。應(yīng)當理解��,此處所描述的具體實施例僅僅用以解釋本發(fā)明�����,并不用于限定本發(fā)明。
[0041]相反�����,本發(fā)明涵蓋任何由權(quán)利要求定義的在本發(fā)明的精髓和范圍上做的替代��、修改����、等效方法以及方案。進一步����,為了使公眾對本發(fā)明有更好的了解,在下文對本發(fā)明的細節(jié)描述中����,詳盡描述了一些特定的細節(jié)部分。對本領(lǐng)域技術(shù)人員來說沒有這些細節(jié)部分的描述也可以完全理解本發(fā)明�。
[0042]參見圖1,所示為應(yīng)用本發(fā)明實現(xiàn)的數(shù)據(jù)傳輸系統(tǒng)的架構(gòu)圖����,其中包括本發(fā)明所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置。該傳輸系統(tǒng)還包括數(shù)據(jù)收發(fā)設(shè)備(2)�����、傳輸網(wǎng)絡(luò)
(3)和即時通訊服務(wù)器(4)。硬件加解密裝置⑴與數(shù)據(jù)收發(fā)設(shè)備(2)相連���,用于在本地進行數(shù)據(jù)的加解密操作���;發(fā)送數(shù)據(jù)時,加解密裝置(I)先將數(shù)據(jù)收發(fā)設(shè)備中待發(fā)送數(shù)據(jù)在該加解密裝置中進行硬件加密后再發(fā)送給接收方�;接收數(shù)據(jù)時,加解密裝置(I)將數(shù)據(jù)收發(fā)設(shè)備中接收的數(shù)據(jù)在該加解密裝置中進行硬件解密��;用于數(shù)據(jù)加解密的密鑰在加解密裝置(I)中產(chǎn)生�����。用于數(shù)據(jù)加解密的密鑰包括用于非對稱加密的公鑰(Kp)和私鑰(Ks)以及用于數(shù)據(jù)體加密的數(shù)據(jù)加密密鑰(Kd)����。
[0043]在數(shù)據(jù)收發(fā)設(shè)備(2)中安裝有數(shù)據(jù)加解密管理模塊(21)�����,數(shù)據(jù)加解密管理模塊
(21)負責數(shù)據(jù)管理���、聯(lián)系人及公鑰管理���、以及和硬件加解密裝置的數(shù)據(jù)傳輸?shù)炔僮?����,可以同時選定多個數(shù)據(jù)接收方的Kp對Kd進行加密����,形成多個Ekd��,向多人同時發(fā)送數(shù)據(jù)����。數(shù)據(jù)發(fā)送方通過硬件加解密裝置(I)對數(shù)據(jù)進行加密,通過傳輸網(wǎng)絡(luò)(3)發(fā)送到即時通訊服務(wù)器
(4)����,再通過傳輸網(wǎng)絡(luò)(3)到達數(shù)據(jù)接收方的數(shù)據(jù)收發(fā)設(shè)備(2)。同樣的�����,數(shù)據(jù)接收方將加密的數(shù)據(jù)通過硬件加解密裝置(I)進行解密�。
[0044]參見圖2��,所示為應(yīng)用本發(fā)明實現(xiàn)的傳輸系統(tǒng)的流程圖�����,發(fā)送數(shù)據(jù)時�����,發(fā)送方根據(jù)接收方的公鑰(Kp)��,先將該數(shù)據(jù)在本地硬件加解密裝置中進行硬件加密后再發(fā)送給接收方����。
[0045]數(shù)據(jù)接收過程和數(shù)據(jù)發(fā)送過程是相對應(yīng)�,接收數(shù)據(jù)時,接收方根據(jù)己方的私鑰(Ks)����,將接收的數(shù)據(jù)在本地硬件加解密裝置中進行硬件解密。
[0046]上述中的公鑰與私鑰是一對�,一般公鑰可在Internet上傳送,而私鑰由用戶保存���。如果用公鑰對數(shù)據(jù)進行加密�,只有用對應(yīng)的私有密鑰才能解密����。采用本發(fā)明的方法,在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)都是經(jīng)硬件加密的�����,即便黑客在網(wǎng)絡(luò)中截獲數(shù)據(jù)���,知道公鑰和加密算法是無法破解私鑰的�����,而私鑰由用戶保存��,黑客無法獲取私鑰����,因此無法解開密文��。
[0047]通過外接硬件加密裝置對數(shù)據(jù)加密比在操作系統(tǒng)或者網(wǎng)絡(luò)中通過軟件算法加密具有更高的安全性����,而且不會占用系統(tǒng)的CPU資源�。在本發(fā)明中�,發(fā)送方或者接收方的公鑰(Kp)和私鑰(Ks)在本地硬件加解密裝置產(chǎn)生中,這與現(xiàn)有技術(shù)中公鑰和私鑰由身份認證系統(tǒng)分配的方式不同��。公鑰(Kp)和私鑰(Ks)在硬件裝置中隨機產(chǎn)生���,使私鑰具有更高的安全性�,除用戶以外的任何第三方都無法獲知該用戶的私鑰�。
[0048]參見圖3,所示為本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的一種實施方式的原理框圖�。加解密裝置(I)包括通訊接口(13)、數(shù)據(jù)加解密控制模塊(14)��、數(shù)據(jù)緩存器
(15)�����、加解密硬件模塊(16)���、存儲介質(zhì)(18)以及隨機數(shù)產(chǎn)生器(17)����;
[0049]通訊接口(13)用于與數(shù)據(jù)收發(fā)設(shè)備進行數(shù)據(jù)通訊;
[0050]數(shù)據(jù)加解密控制模塊(14)與所述通訊接口���、數(shù)據(jù)緩存器和加解密硬件模塊相連接,用于控制加解密裝置內(nèi)各個模塊之間的操作����;
[0051]數(shù)據(jù)緩存器(15)用于緩存數(shù)據(jù)信息;
[0052]加解密硬件模塊(16)包括數(shù)據(jù)體加解密硬件模塊(161)和非對稱加解密硬件模塊(162)�����,所述數(shù)據(jù)體加解密硬件模塊(161)用于對數(shù)據(jù)體進行加解密操作���;所述非對稱加解密硬件模塊(162)用于產(chǎn)生公鑰(Kp)和私鑰(Ks)對�,同時還用于對Kd和Ekd (數(shù)據(jù)體的加密密鑰)進行加密或解密操作���;
[0053]所述隨機數(shù)產(chǎn)生器(17)用于對數(shù)據(jù)體進行加密操作時隨機產(chǎn)生一串字符作為數(shù)據(jù)加密密鑰(Kd);每次對數(shù)據(jù)體進行加密��,隨機數(shù)產(chǎn)生器均產(chǎn)生一串隨機字符����,從而使得每次數(shù)據(jù)體加密密鑰都不同��。所產(chǎn)生的字符還可以用于產(chǎn)生私鑰Ks。
[0054]所述存儲介質(zhì)(18)包括私鑰存儲區(qū)(182)和數(shù)據(jù)存儲區(qū)(181);數(shù)據(jù)存儲區(qū)(181)用于存儲數(shù)據(jù)�����;私鑰存儲區(qū)(182)用于存儲所述非對稱加解密硬件模塊的私鑰(Ks)��,其中私鑰(Ks)可以為經(jīng)加密后的私鑰(Eks)�,因此私鑰存儲區(qū)(182)也稱為Eks存儲區(qū)。
[0055]公鑰(Kp)和私鑰(Ks)是在初次使用硬件加解密裝置⑴時產(chǎn)生����;可以通過數(shù)據(jù)收發(fā)設(shè)備發(fā)送配置信息使硬件加解密裝置產(chǎn)生公鑰和私鑰。硬件加解密裝置(I)中所產(chǎn)生的公鑰和私鑰�����,可以通過數(shù)據(jù)收發(fā)設(shè)備將Ks輸入到硬件加解密裝置中����,也可以由硬件加解密裝置自己隨機產(chǎn)生。
[0056]公鑰和私鑰產(chǎn)生后����,用戶可以通過數(shù)據(jù)加解密管理模塊獲知公鑰和私鑰,公鑰在實際使用中必須要公開給數(shù)據(jù)發(fā)送方����,因此公鑰產(chǎn)生后用戶必須要獲知準確的公鑰后才能將其公開給發(fā)送方��;而私鑰是用于數(shù)據(jù)解密�,實際使用中客戶不一定需要知曉����。在上述優(yōu)選的實施方式中�����,將私鑰存儲在存儲介質(zhì)(18)中����,與硬件加解密裝置綁定,任何人包括用戶本人也無法獲知該私鑰�,進一步提升了數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0057]在上述技術(shù)方案中,保障數(shù)據(jù)傳輸安全性重要手段是數(shù)據(jù)進行加解密過程都是在硬件加解密裝置中完成���,而一旦硬件加解密裝置或者私鑰被盜取����,數(shù)據(jù)傳輸?shù)陌踩詫o法得到保障��。在本發(fā)明的另一種優(yōu)選實施方式中,在通過硬件加解密裝置進行硬件加解密操作前��,還包括身份信息認證的步驟�,只有身份信息認證成功后,硬件加解密裝置才可以正常使用��,從而能夠進一步保障數(shù)據(jù)傳輸?shù)陌踩?�。參見圖4�,所示為本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的另一種實施方式的原理框圖。加解密裝置(I)還包括身份信息采集模塊(11)和身份認證處理模塊(12);身份信息采集模塊(11)用于接收客戶身份信息����;身份認證處理模塊(12)用于存儲客戶身份信息并對身份信息采集模塊接收的客戶身份信息進行認證。
[0058]在一種優(yōu)選實施方式中�����,身份認證處理模塊(12)儲存身份認證信息和Kks�,并且對采集的身份信息進行認證,僅當身份信息認證通過后�����,身份認證處理模塊(12)才將Kks傳輸給數(shù)據(jù)加解密控制模塊(14)����,硬件加解密裝置(I)才可以正常使用和操作���。
[0059]身份信息采集模塊(11)為生物特征傳感器或按鍵信息采集模塊。按鍵信息采集模塊可以接收來自按鍵密碼的身份輸入���;生物特征傳感器為來自生物特征傳感器的指紋���、聲紋等傳感器。
[0060]通訊接口(13)為如下常用計算機通信接口之一:USB�����、PATA/SATA����、SAS, PCI_E��、RS232�、UART、SP1����、I2C, IS07816����。
[0061]數(shù)據(jù)體加解密硬件模塊(161)的算法采用國密SM4���、AES�����、G0ST�、或者DES中任一種����。
[0062]非對稱加解密硬件模塊(162)的算法采用SM2、RSA���、或者ECC中任一種���。
[0063]參見圖5,所示為硬件加解密裝置中身份認證處理模塊的原理框圖���。身份認證處理模塊(12)可以由獨立電路系統(tǒng)集成�����,也可以是一個單芯片集成電路�����,包括處理器(121)���、數(shù)據(jù)緩存器(122)�����、身份信息認證模塊(123)����、非易失存儲器(128)�、通訊接口(127)和隨機數(shù)產(chǎn)生器(126)��。非易失存儲器(128)包括Kks存儲區(qū)(124)和身份信息存儲區(qū)(125)����。
[0064]現(xiàn)結(jié)合圖1和圖5,身份認證和私鑰保密工作機制描述如下:
[0065](I)當用戶進行身份注冊時��,身份認證信息認證模塊(123)將注冊的身份信息保存在身份信息存儲區(qū)(125);
[0066](2)處理器(121)通過隨機數(shù)產(chǎn)生器(126)產(chǎn)生一個隨機數(shù)作為私鑰的加密密鑰(Kks)��,并保存在Kks存儲區(qū)(124);
[0067](3)處理器(121)將Kks通過通訊接口(127),將Kks傳輸給數(shù)據(jù)加解密控制模塊
(14)��;
[0068](4)數(shù)據(jù)加解密模塊(14)將Kks作為密鑰�����、并調(diào)用數(shù)據(jù)體加解密硬件模塊(161)對私鑰進行加密處理�����,形成Eks ����;
[0069](5)數(shù)據(jù)加解密模塊(14)將Eks保存在Eks存儲區(qū)(182)。
[0070](6)當用戶進行身份認證時�����,身份認證信息認證模塊(123)通過接受身份信息采集模塊(11)采集到的身份信息���,與身份信息存儲區(qū)(125)中存儲的身份信息進行比對��;
[0071](7)如果身份信息一致則通過身份認證��,此時���,處理器(121)讀取身份認證Kks存儲區(qū)(124)中的Kks�����,并經(jīng)通訊接口(127)傳輸給數(shù)據(jù)加解密控制模塊(14);數(shù)據(jù)加解密模塊(14)將Kks作為解密密鑰��、并調(diào)用數(shù)據(jù)體加解密硬件模塊(161)對Eks進行解密處理�,從而獲得Ks��,硬件加解密裝置(I)則可正常工作�。
[0072](8)如果身份信息不一致則不能通過身份認證,此時�����,處理器(121)拒絕將Kks發(fā)送給數(shù)據(jù)加解密控制模塊(14)���,硬件加解密裝置(I)無法獲得Ks,就不能正常使用����。
[0073]參見圖6,所示為本發(fā)明加解密裝置的一應(yīng)用實例���,在該應(yīng)用實例中�����,硬件加解密裝置⑴為加密U盤(I)���。
[0074]該加密U盤(I)中的數(shù)據(jù)體加解密硬件模塊(161)采用AES數(shù)據(jù)體加解密硬件模塊�;非對稱加解密硬件模塊(162)采用RSA密鑰加解密硬件模塊��;通訊接口(13)采用USB接口 ����;身份信息采集模塊(11)采用按鍵信息采集模塊。
[0075]參見圖7�����,所示為本發(fā)明加解密裝置的另一應(yīng)用實例���,在該應(yīng)用實例中�,硬件加解密裝置(I)為加密硬盤(I)���。
[0076]該加密硬盤(I)上的數(shù)據(jù)體加解密硬件模塊(161)采用SM4數(shù)據(jù)體加解密硬件模塊��;非對稱加解密硬件模塊(162)采用SM2密鑰加解密硬件模塊�����;通訊接口(13)采用SATA接口 ����;身份信息采集模塊(11)采用指紋信息采集模塊。
[0077]現(xiàn)有技術(shù)中��,公鑰和私鑰的加密方式屬于非對稱密碼算法�����,其存在兩個缺點:加密速度慢����,比對稱加密算法要慢10?100倍;另外加密后會導(dǎo)致得到的密文變長�����。因此����,如果對數(shù)據(jù)體采用非對稱加密算法,會使加密速度變慢�,同時使密文變長,將不利于網(wǎng)絡(luò)傳輸�。采用本發(fā)明用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置(I),可以實現(xiàn)兩種不同加密算法相結(jié)合的方式進行數(shù)據(jù)加解密�。即先采用一種高效的數(shù)據(jù)加密算法(比如對稱算法)對數(shù)據(jù)體進行加密,再采用非對稱算法對該加密算法的加密密鑰進行非對稱加密�����,由于加密密鑰為小數(shù)據(jù)����,采用非對稱加密算法也不會使加密速度變慢或?qū)е旅芪淖冮L,同時又進一步保障了數(shù)據(jù)的安全性���。
[0078]參見圖8�����,所示為本發(fā)明一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的具體工作流程圖�。
[0079]其具體表述如下:
[0080]網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置的工作流程分為三部分:在數(shù)據(jù)收發(fā)設(shè)備上進行數(shù)據(jù)傳輸配置的步驟�、發(fā)送加密數(shù)據(jù)的步驟以及對接收數(shù)據(jù)進行解密的步驟�。
[0081]在數(shù)據(jù)收發(fā)設(shè)備上進行數(shù)據(jù)傳輸初次配置步驟如下:
[0082]I)在客戶端數(shù)據(jù)收發(fā)設(shè)備上安裝數(shù)據(jù)加解密管理模塊��;
[0083]2)硬件加解密裝置接入數(shù)據(jù)收發(fā)設(shè)備���,注冊個人身份信息���;
[0084]3)用戶在數(shù)據(jù)加解密管理模塊將Kks輸入到硬件加解密裝置中,也可以由硬件加解密裝置自己隨機產(chǎn)生�����;
[0085]4)用戶在數(shù)據(jù)加解密管理模塊將Ks輸入到硬件加解密裝置中����,也可以由硬件加解密裝置自己隨機產(chǎn)生;
[0086]5) Ks經(jīng)Kks加密成Eks再保存在Eks存儲區(qū)�����;
[0087]6)硬件加解密裝置通過Ks產(chǎn)生Kp����,并將Kp顯示在數(shù)據(jù)加解密管理模塊。
[0088]B.數(shù)據(jù)發(fā)送方發(fā)送加密數(shù)據(jù)的步驟如下:
[0089]I)數(shù)據(jù)發(fā)送方將硬件加解密裝置與數(shù)據(jù)收發(fā)設(shè)備相連��,并通過身份認證;
[0090]2)數(shù)據(jù)加解密管理模塊向硬件加解密裝置發(fā)送對數(shù)據(jù)體進行加密操作的命令���;
[0091]3)硬件加解密裝置隨機產(chǎn)生一個Kd保存在數(shù)據(jù)緩存器中;
[0092]4)數(shù)據(jù)收發(fā)設(shè)備向硬件加解密裝置傳輸數(shù)據(jù)體內(nèi)容�;
[0093]5)數(shù)據(jù)體加解密硬件模塊調(diào)用Kd對數(shù)據(jù)體加密,并回傳�;
[0094]6)數(shù)據(jù)發(fā)送方在數(shù)據(jù)加解密管理模塊選擇一個或多個數(shù)據(jù)接收方的Kp ;
[0095]7)密鑰加解密硬件模塊調(diào)用選擇的Kp��,分別對Kd進行加密�����,形成多個Ekd��,并回傳��;
[0096]8)在數(shù)據(jù)加解密管理模塊上���,將每個數(shù)據(jù)接收方的Kp附在對應(yīng)的Ekd的前面���,形成單獨的文件;
[0097]9)在數(shù)據(jù)加解密管理模塊上�,將Ekd作為第一個文件與加密的數(shù)據(jù)體合并成一種含有Ekd區(qū)和加密數(shù)據(jù)體區(qū)的特殊類型(.SEA)的密文文件���,并發(fā)送,從而實現(xiàn)數(shù)據(jù)的加密與發(fā)送����。
[0098]C.數(shù)據(jù)接收方解密加密數(shù)據(jù)的方法如下:
[0099]I)數(shù)據(jù)接收方將硬件加解密裝置與數(shù)據(jù)收發(fā)設(shè)備相連,成功通過身份認證����;
[0100]2)數(shù)據(jù)加解密管理模塊向硬件加解密裝置發(fā)送對數(shù)據(jù)進行解密操作的命令,數(shù)據(jù)體加解密硬件模塊自動調(diào)用Kks對Eks解密����;
[0101]3)數(shù)據(jù)收發(fā)設(shè)備向硬件加解密裝置傳輸接收到的加密數(shù)據(jù);
[0102]4)數(shù)據(jù)接收方通過數(shù)據(jù)加解密管理模塊使用己方的Kp對Ekd區(qū)的Kp進行比對���,若比對到自己的κρ�,密鑰加解密硬件模塊調(diào)用己方的Ks對經(jīng)過自己Kp加密的Ekd解密���;
[0103]5)數(shù)據(jù)體加解密硬件模塊調(diào)用解密出的Kd對加密數(shù)據(jù)體解密�,將解密出的數(shù)據(jù)體回傳�����,從而實現(xiàn)數(shù)據(jù)的解密。
[0104]以上所述僅為本發(fā)明的較佳實施例而已����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�����、等同替換和改進等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)����。
【權(quán)利要求】
1.一種用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置,其特征在于���,所述加解密裝置與數(shù)據(jù)收發(fā)設(shè)備相連接��; 發(fā)送數(shù)據(jù)時�����,所述加解密裝置先將數(shù)據(jù)收發(fā)設(shè)備中待發(fā)送數(shù)據(jù)在該加解密裝置中進行硬件加密后再發(fā)送給接收方�����; 接收數(shù)據(jù)時��,所述加解密裝置將數(shù)據(jù)收發(fā)設(shè)備中接收的數(shù)據(jù)在該加解密裝置中進行硬件解S ; 用于數(shù)據(jù)加解密的密鑰在所述加解密裝置中產(chǎn)生�����。
2.根據(jù)權(quán)利要求1所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置���,其特征在于��,所述加解密裝置包括通訊接口�、數(shù)據(jù)加解密控制模塊����、數(shù)據(jù)緩存器、加解密硬件模塊�、存儲介質(zhì)以及隨機數(shù)產(chǎn)生器; 所述通訊接口用于與數(shù)據(jù)收發(fā)設(shè)備進行數(shù)據(jù)通訊���; 所述數(shù)據(jù)加解密控制模塊與所述通訊接口�����、數(shù)據(jù)緩存器和加解密硬件模塊相連接��,用于控制所述加解密裝置內(nèi)各個模塊之間的操作��; 所述數(shù)據(jù)緩存器用于緩存數(shù)據(jù)信息�����; 所述加解密硬件模塊包括數(shù)據(jù)體加解密硬件模塊和非對稱加解密硬件模塊�����,所述數(shù)據(jù)體加解密硬件模塊用于對數(shù)據(jù)體進行加解密操作�;所述非對稱加解密硬件模塊用于對數(shù)據(jù)加密密鑰(Kd)進行加解密操作�����; 所述隨機數(shù)產(chǎn)生器用于對數(shù)據(jù)體進行加密操作時隨機產(chǎn)生一串字符作為數(shù)據(jù)加密密鑰(Kd)�����; 所述存儲介質(zhì)包括私鑰存儲區(qū)和數(shù)據(jù)存儲區(qū)�����;所述數(shù)據(jù)存儲區(qū)用于存儲數(shù)據(jù);所述私鑰存儲區(qū)用于存儲所述非對稱加解密硬件模塊的私鑰(Ks)�����。
3.根據(jù)權(quán)利要求2所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置���,其特征在于�,所述通訊接口為如下常用計算機通信接口之一:USB�����、PATA/SATA�����、SAS���、PC1-E�、RS232�����、UART、SP1�����、I2C�����、IS07816�����。
4.根據(jù)權(quán)利要求2所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置���,其特征在于����,所述數(shù)據(jù)體加解密硬件模塊的算法采用國密SM4�����、AES���、GOST、或者DES中任一種。
5.根據(jù)權(quán)利要求2所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置���,其特征在于�,所述非對稱加解密硬件模塊的算法采用SM2���、RSA��、或者ECC中任一種��。
6.根據(jù)權(quán)利要求2所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置���,其特征在于,所述加解密裝置還包括身份信息采集模塊和身份認證處理模塊�; 所述身份信息采集模塊用于接收客戶身份信息; 所述身份認證處理模塊用于存儲客戶身份信息并對身份信息采集模塊接收的客戶身份信息進行認證��。
7.根據(jù)權(quán)利要求6所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置����,其特征在于,所述身份信息采集模塊為生物特征傳感器或按鍵信息采集模塊��。
8.根據(jù)權(quán)利要求6所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置���,其特征在于�����,所述身份認證處理模塊包括處理器����、數(shù)據(jù)緩存器、身份信息認證模塊�����、非易失存儲器���、通訊接口和隨機數(shù)產(chǎn)生器�。
9.根據(jù)權(quán)利要求6所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置����,其特征在于,所述數(shù)據(jù)體加解密硬件模塊采用AES數(shù)據(jù)體加解密硬件模塊�����;所述非對稱加解密硬件模塊采用RSA加解密硬件模塊��;所述通訊接口采用USB接口 �;所述身份信息采集模塊采用按鍵信息采集模塊。
10.根據(jù)權(quán)利要求6所述的用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸?shù)募咏饷苎b置����,其特征在于,所述數(shù)據(jù)體加解密硬件模塊采用SM4數(shù)據(jù)體加解密硬件模塊��;所述非對稱加解密硬件模塊采用SM2加解密硬件模塊�����;所述通訊接口采用SATA接口 ����;所述身份信息采集模塊采用指紋信息采集模塊。
【文檔編號】H04L9/06GK104270242SQ201410504268
【公開日】2015年1月7日 申請日期:2014年9月27日 優(yōu)先權(quán)日:2014年9月27日
【發(fā)明者】樊凌雁, 朱婭妮 申請人:杭州電子科技大學