CN108243001B - 一种数据加密通信方法 - Google Patents

Abstract

本发明涉及一种数据加密通信方法，该方法包括发送节点接收用户提出的数据通信请求；获取本次通信密钥；基于本次通信密钥对数据内容进行加密处理；将经过加密处理后的数据发送到接收节点；该方法能够采用动态密钥机的方式来动态的产生密钥，发送和接收数据的双方无需真正的通信密钥本身，因此，也不存在密钥被破获的问题，此外，通过动态密钥机的方式，每次需要计算新的密钥同时密钥产生方式本身也是动态的，从而保证了数据的安全性。

Description

一种数据加密通信方法

【技术领域】

本发明属于数据通信领域，尤其涉及一种数据加密通信方法。

【背景技术】

随着网络技术的不断发展和各种网络应用的不断普及，人们之间通过网络通信的方式分享特定文件逐渐成为人们日常工作、生活不可或缺的一部分。伴随着网络的普及和发展，各种威胁网络通信的安全性的危险因素也在不断的变化和增强，现有的保障网络通信安全性的一个方案是：对待通信的文件(例如，用于制作储值卡的文件)进行加密来减少文件内容暴露的风险，合法的文件接收人通过预先确定的解密工具就可以对接收的加密的文件解密。

现有技术中保障网络通信安全性的方案对加密的文件和解密工具的安全性没有很高的保证，解密工具本身容易成为破解文件加密算法的突破口，现有技术通常需要复杂的密钥来保证密钥的安全，密钥一旦被破解后续的数据通信相当于对外界来说是一览无遗；基于上述诸多问题，现在亟需一种新的数据加密通信方法，能够采用动态密钥机的方式来动态的产生密钥，发送和接收数据的双方无需真正的通信密钥本身，因此，也不存在密钥被破获的问题，此外，通过动态密钥机的方式，每次需要计算新的密钥同时密钥产生方式本身也是动态的，从而保证了数据的安全性。

【发明内容】

为了解决现有技术中的上述问题，本发明采用的技术方案如下：一种数据加密通信方法，其特征在于，该方法包括如下步骤：

步骤1：发送节点接收用户提出的数据通信请求，基于该数据通信请求获取需要传送的数据内容，将数据内容按照类型分别进行通信处理；

步骤2：发送节点获取多个随机数，基于该多个随机数通过动态密钥计算方式来获取本次通信密钥；

步骤3：基于本次通信密钥对数据内容进行加密处理；本次通信针对一种类型的数据内容进行，在一种类型的数据内容处理完成后，对下一类型的数据内容采用新的通信密钥；

步骤4：将经过加密处理后的数据发送到接收节点；接收节点基于同样的密钥计算方式来获取本次通信密钥，并基于该本次通信密钥对接收到的数据进行解密，对解密后的数据进行拼接组合后得到用户通信请求传送的数据内容。

进一步的，该多个随机数的数据类型是不完全相同的。

进一步的，该多个随机数中包括枚举数据类型。

进一步的，该多个随机数的数量随着动态加密方式的不同而不同。

进一步的，发送节点将获取的多个随机数经过加密处理后单独发送到接收节点。

进一步的，多个发送节点可以并行进行数据加密和数据通信，多个接收节点可以并行的进行数据解密和数据接收。

进一步的，发送节点和接收节点均具有唯一的节点标识。

进一步的，发送节点设置有图形用户界面，通过该图形用户界面，用户可以指定需要通信的数据内容。

进一步的，通过图形用户界面，用户可以实时的了解所请求通信的数据的通信进度。

进一步的，在请求通信的数据通信完成后，给用户发送提醒消息。

本发明的有益效果包括：能够采用动态密钥机的方式来动态的产生密钥，发送和接收数据的双方无需真正的通信密钥本身，因此，也不存在密钥被破获的问题，此外，通过动态密钥机的方式，每次需要计算新的密钥同时密钥产生方式本身也是动态的，从而保证了数据的安全性。

【附图说明】

此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部分，但并不构成对本发明的不当限定，在附图中：

图1是本发明的一种数据加密通信方法的流程图；

图2是本发明的一种数据加密通信系统的结构图。

【具体实施方式】

下面将结合附图以及具体实施例来详细说明本发明，其中的示意性实施例以及说明仅用来解释本发明，但并不作为对本发明的限定。

参见附图1，其示出了本发明的一种数据加密通信方法的基本步骤：

步骤1：发送节点接收用户提出的数据通信请求，基于该数据通信请求获取需要传送的数据内容，将数据内容按照类型分别进行通信处理；

步骤2：发送节点获取多个随机数，基于该多个随机数通过动态密钥计算方式来获取本次通信密钥；

步骤3：基于本次通信密钥对数据内容进行加密处理；本次通信针对一种类型的数据内容进行，在一种类型的数据内容处理完成后，对下一类型的数据内容采用新的通信密钥；

步骤4：将经过加密处理后的数据发送到接收节点；接收节点基于同样的密钥计算方式来获取本次通信密钥，并基于该通信密钥对接收到的数据进行解密，对解密后的数据进行拼接组合后得到用户通信请求传送的数据内容；

参见附图2，是本发明所应用的一种数据加密通信系统，该系统包括多个发送节点，多条通信路径，密钥机节点，接收节点；发送节点和密钥机节点，密钥机节点和接收节点之间均采用加密通信通道或安全通信通道进行通信连接；

基于上述系统，下面对本发明的一种数据加密通信方法进行详细说明：

(1)发送节点接收数据通信任务及其对应的任务优先级TaskPr；具体为：发送节点从任务中获取任务优先级TaskPr，以及每个待通信数据文件名称及其存储位置；获取待通信数据的类型数目nt，为每种数据类型分别创建子任务T1～Tnt，每个子任务负责采集一种类型的数据，子任务用于基于存储位置和数据文件名称查找到相应类型的数据文件，采集该类型的数据文件，并将该类型的所有数据文件按照文件名称进行排序，将排序后的数据文件进行组合，组合后形成该类型的数据文件组合；每个子任务保存该子任务包含的文件名称和该文件的大小之间的对应关系；

(2)发送节点计算每个子任务优先级；具体为：计算每个子任务采集的数据文件的优先级，计算每个优先级等级的文件数目，根据公式(1)计算该子任务的优先级Tpri；其中，k为第k个优先权等级，Wk为第k优先权等级对应的权重系数，PLk表示第k个优先权等级对应的文件数目；

Tpri＝TaskPr×(∑Wk×PLk/ΣPLk)公式(1)

(3)发送节点按照优先级顺序分别对每个子任务进行调度；具体为：将所有子任务设置为就绪状态，并按照优先级从大到小的顺序排序，将排序后的子任务交由调度单元进行调度；调度单元为发送节点内所包含的单元；

调度单元将子任务按照其优先级放入调度队列中进行统一的调度；由于调度列表是针对所有任务对应的所有子任务进行统一的调度，因此，在子任务进入调度列表后其调度顺序会发生改变，所有子任务的优先级需要和已经进入调度列表的其他子任务的优先级进行比较后重新进行排序；可以通过设置任务优先级的方式来调整该任务对应的所有子任务的优先级，当将任务的优先级设置为足够大时，可以使得该任务对应的所有的子任务均处于调度列表的前部；当系统存在子任务调度可用资源时，调度单元从调度队列头部获取第一个子任务进行调度；被调度的子任务将执行后续具体的数据通信处理；

具体的：通过子任务的方式使得所有的数据通信任务均可以按照其优先级的顺序有序完成；对于高优先级的任务即使晚进入队列也会得到优先的处理；可以通过提高优先级的方式调整处理顺序；

(4)发送节点子任务基于随机数计算数据加密密钥K1；具体为：获取随机数S1，S2，S3，基于该随机数S1～S3和该子任务数据类型从密钥机节点获取密钥机本；基于随机数S1～S3和密钥机本，采用公式(2)计算本次数据加密密钥K1，其中，在参与计算时，用S3代表的运算替代S3；

其中，S1和S2的取值范围是1～N，S3的值为0～3之间，S3＝0～3分别标识加法、乘法、减法、mod除法运算，其中N为预设值，该预设值需要定期的同时在发送节点和接收节点作更新；该预设值可以保存在密钥机节点中；C1～Cx是从密钥机本的位置P1～Px处获取的数据值；其中，x采用公式(3)计算得到；Pj采用(4)计算得到；Lall为密钥机本数据的总长度；公式(4)中的除法“/”为整除，i是数据值C的编号，j为位置P的编号；

x＝|N+S1+S2|-|N-S1-S2|公式(3)

Pj＝(j×P1)mod Lall 公式(4)

当密钥机本为二进制表示时，该数据值为从位置P开始的8或16或32或64位数据值；

优选的：密钥机节点根据数据类型组织，不同的数据类型对应多个密钥机本，通过S1～S3的计算值和密钥机本建立对应关系，该计算值可以是哈希值；密钥机节点对密钥机本进行管理，例如：定期的作更新；

(5)发送节点子任务采用密钥对数据进行加密处理；具体为：判断密钥数值K1大小，根据不同密钥值采用不同的加密方式：(A)当密钥0<＝K1<TK1时，采用循环移位加密方式，将数据采用左/右移动K1次的方式进行加密；(B)当密钥TK1<＝K1<TK2时，采用替换方式加密，将数据的第mK1位置的数据值替换为默认值，例如None，0等值，并将替换掉的所有第mK1位置的数据值保存到替换表中，并将该替换表的数据区分的按顺序放置在数据的结尾处；优选的：区分放置为在数据的结尾处放置预设数量的特定值后再存放替换表；(C)当密钥TK2<＝K1<TK3时，采用分块交换方式加密；将数据分为大小为K1的数据块，从第一个数据块开始，2个数据块分为一组，对于组内相邻的两块Block和Block+1，将Block的第一个数据值和Block+1的倒数第一个数据值作交换，将Block的第二个数据值和Block+1的倒数第二个数据值作交换，直到Block和Block+1的所有数据值均交换完毕为止；如果组内只有一个数据块，或者组内任一个数据块的大小不足K1，则不对该组作交换加密；(D)当密钥K1>＝TK3时，采用填充加密方式，每隔K1个数据长度，填充预定的值序列；该预定的值序列可以是预定子序列的重复；例如：对于文本类型的数据，填充A～Z序列的重复；

在加密中使用的随机数S1，S2，S3前后均填充特殊数值序列后形成第一预设长度的特殊数据块，将该第一预设长度的特殊数据块可区分的添加在数据的头部；

其中，TK1～TK3和密钥机本关联保存在密钥机节点中；

(6)发送节点子任务对加密后的数据进行数据校验处理；具体为：将加密后的数据分块，每块的大小为(S1×S2)，对于大小不足(S1×S2)的数据块，数据块结尾用默认值填充，得到数据块Block1～Blockball，其中，ball为数据块的总块数；例如：对于文本数据用ASCII的最大值填充；计算每个数据块的签名值Sig1～Sigball，将该签名值的组作为该数据的校验值序列；将该校验值序列可区分的放置在该数据的头部；

单独的对随机数S1，S2，S3所在的第一预设长度的特殊数据块计算数据签名；并将该数据签名放在签名序列的第一位置；

优选的：可以替换的采用常用的数据校验算法来计算校验值，例如：MD5算法，奇偶校验算法等；可以替换的对该签名值序列计算其总的签名值Tsig作为该数据的校验值；

(7)发送节点子任务对数据进行压缩处理；具体为：判断该数据对应的数据类型，基于数据类型选择最优压缩算法，对该数据进行压缩；由于数据可能是多种类型的，如：全文文本、图像、声音、影视、超媒体等，每种类型都有其适应的压缩算法，采用该适应的压缩算法相比其他压缩算法能够达到较高的压缩比；预存数据类型及其对应的最优压缩算法，通过查询该对应关系获取所要采用的压缩算法；

由于子任务对应的数据类型都是一致的，因此可以一致性的选择压缩算法提高压缩效率；

(8)发送节点子任务选择最优通信路径进行数据通信；具体为：将子任务对应的数据进行组包处理，获取发送节点到接收节点的所有数据通信路径集合；选取QOS值最高的数据通信路径对组包后形成的数据包进行数据通信；其中路径PTHi对应的QOSi值的采用公式(5)计算得到；其中，PTH_TSi为路径i的通信开销，例如：通信预定长度的数据包所需要的时间长度；PTH_SFi为路径i的安全级别，例如:该路径包含的高安全级别子路径的个数等；PTH_MSi为路径i的通信质量，例如：丢包率等；

QOSi＝PTH_TSi/∑PTH_TSi+PTH_SFi/∑PTH_SFi+PTH_MSi/∑PTH_MSi公式(5)

通过综合考量数据通信路径的服务质量，选择最优的数据通信路径进行子任务对应数据包的通信；

优选的：可替代的根据子任务偏重因子(yi,1，yi,2，yi,3)根据公式(6)计算QOSi；子任务偏重因子是一个三元组，分别用于对QOS的三个考量因素进行调整；

QOSi＝yi,1×PTH_TSi/∑PTH_TSi+yi,2×PTH_SFi/∑PTH_SFi+yi,3×PTH_MSi/∑PTH_MSi公式(6)

该子任务偏重因子(yi,1，yi,2，yi,3)由任务根据用户需求来设置；例如：用户强调安全的传送数据，对于通信时间可以作出让步，此时，可以增加yi,2的值，而减小yi,1的值；

(9)接收节点接收发送节点发送的数据包，提取数据包中的数据，对提取的数据进行解压缩；具体的：根据压缩类型选择相应的解压缩算法对数据包进行解压缩；

(10)接收节点从数据的头部获取校验值序列，从第一预设长度的特殊数据块中提取S1，S2，S3值对数据进行分块，对每个数据块进行数据校验，在数据校验完毕后，根据数据块校验失败率决定是否请求重新发送数据；当校验失败率超过第一失败阈值时，给发送节点发送校验失败消息，请求发送节点重新进行数据的发送；否则，丢弃失败数据块包含的数据，并对该数据所在的区域填充指定数据值；

第一失败阈值可以根据数据的类型以及用户指定来设定；例如：对于视频数据，在丢失数量较小时，对观看效果的影响可以不大，可以容忍一定程度的失败率；

优选的：首先获取第一个数据签名值及其对应的随机数S1，S2，S3所在的第一预设长度的特殊数据块，并对其进行数据校验，当校验失败时，丢弃接收到的所有数据，给发送节点发送校验失败消息，请求发送节点重新进行数据的发送；优选的：请求发送节点重新发送第一个数据签名值及其对应的随机数S1，S2，S3所在的第一预设长度的特殊数据块；在数据量较大的情况下，丢弃所有数据造成较大的资源浪费，可以请求仅仅发送该校验失败部分的信息；(11)接收节点根据随机数S1～S3计算数据加密密钥K1并进行解密；具体为：采用和发送节点类似的方式计算加密密钥K1，基于该密钥值K1采用和发送节点对应的解密方式进行解密处理；

(12)接收节点对完成对同一任务对应的所有子任务对应的数据的接收、校验、解密后，对这些数据进行拼接组合，并对发送节点发送接收完成消息；

本发明的一种数据加密通信方法，能够采用动态密钥机的方式来动态的产生密钥，发送和接收数据的双方无需真正的通信密钥本身，因此，也不存在密钥被破获的问题，此外，通过动态密钥机的方式，每次需要计算新的密钥同时密钥产生方式本身也是动态的，从而保证了数据的安全性。

以上所述仅是本发明的较佳实施方式，故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰，均包括于本发明专利申请范围内。

Claims (10)

1.一种数据加密通信方法，所述通信方法应用的数据加密通信系统包括多个发送节点，多条通信路径，密钥机节点，接收节点；发送节点和密钥机节点，密钥机节点和接收节点之间均采用加密通信通道或安全通信通道进行通信连接；

其特征在于，该方法包括如下步骤：

步骤1：发送节点接收数据通信任务及其对应的任务优先级TaskPr；

具体为：发送节点从任务中获取任务优先级TaskPr，以及每个待通信数据文件名称及其存储位置；获取待通信数据的类型数目nt，为每种数据类型分别创建子任务T1～Tnt，每个子任务负责采集一种类型的数据，子任务用于基于存储位置和数据文件名称查找到相应类型的数据文件，采集该类型的数据文件，并将该类型的所有数据文件按照文件名称进行排序，将排序后的数据文件进行组合，组合后形成该类型的数据文件组合；每个子任务保存该子任务包含的文件名称和该文件的大小之间的对应关系；

步骤2：发送节点计算每个子任务优先级；具体为：计算每个子任务采集的数据文件的优先级，计算每个优先级等级的文件数目，根据下述公式(1)计算该子任务的优先级Tpri；其中，k为第k个优先权等级，Wk为第k优先权等级对应的权重系数，PLk表示第k个优先权等级对应的文件数目；

Tpri＝TaskPr×(∑Wk×PLk/ΣPLk)公式(1)；

步骤3：发送节点按照优先级顺序分别对每个子任务进行调度：

具体为，将所有子任务设置为就绪状态，并按照优先级从大到小的顺序排序，将排序后的子任务交由调度单元进行调度；调度单元为发送节点内所包含的单元；

调度单元将子任务按照其优先级放入调度队列中进行统一的调度；调度列表是针对所有任务对应的所有子任务进行统一的调度，在子任务进入调度列表后其调度顺序会发生改变，所有子任务的优先级需要和已经进入调度列表的其他子任务的优先级进行比较后重新进行排序；通过设置任务优先级的方式来调整该任务对应的所有子任务的优先级，当将任务的优先级设置为足够大时，使得该任务对应的所有的子任务均处于调度列表的前部；当系统存在子任务调度可用资源时，调度单元从调度队列头部获取第一个子任务进行调度；被调度的子任务将执行后续具体的数据通信处理：

通过子任务的方式使得所有的数据通信任务均按照其优先级的顺序有序完成；对于高优先级的任务即使晚进入队列也会得到优先的处理；

步骤4：发送节点子任务基于随机数计算数据加密密钥K1：

具体为，获取随机数S1，S2，S3，基于该随机数S1～S3和该子任务数

据类型从密钥机节点获取密钥机本；基于随机数S1～S3和密钥机本，采用公式(2)计算本次数据加密密钥K1，其中，在参与计算时，用S3代表的运算替代S3；

其中，S1和S2的取值范围是1～N，S3的值为0～3之间，S3＝0～3分别标识加法、乘法、减法、mod除法运算，其中N为预设值，该预设值需要定期的同时在发送节点和接收节点作更新；该预设值保存在密钥机节点中；C1～Cx是从密钥机本的位置P1～Px处获取的数据值；其中，x采用下述公式(3)计算得到；Pj采用下述公式(4)计算得到；Lall为密钥机本数据的总长度；公式(4)中的除法“/”为整除，i是数据值C的编号，j为位置P的编号；

x＝|N+S1+S2|-|N-S1-S2|公式(3)

Pj＝(j×P1)mod Lall公式(4)

当密钥机本为二进制表示时，该数据值为从位置P开始的8或16或32或64位数据值；

步骤5：发送节点子任务采用密钥对数据进行加密处理：

具体为，判断密钥数值K1大小，根据下述不同密钥值采用不同的加密方式：

(A)当密钥0<＝K1<TK1时，采用循环移位加密方式，将数据采用左/右移动K1次的方式进行加密；

(B)当密钥TK1<＝K1<TK2时，采用替换方式加密，将数据的第mK1位置的数据值替换为默认值None或0，并将替换掉的所有第mK1位置的数据值保存到替换表中，将该替换表的数据区分的按顺序放置在数据的结尾处；

(C)当密钥TK2<＝K1<TK3时，采用分块交换方式加密；将数据分为大小为K1的数据块，从第一个数据块开始，2个数据块分为一组，对于组内相邻的两块Block和Block+1，将Block的第一个数据值和Block+1的倒数第一个数据值作交换，将Block的第二个数据值和Block+1的倒数第二个数据值作交换，直到Block和Block+1的所有数据值均交换完毕为止；如果组内只有一个数据块，或者组内任一个数据块的大小不足K1，则不对该组作交换加密；

(D)当密钥K1>＝TK3时，采用填充加密方式，每隔K1个数据长度，填充预定的值序列；该预定的值序列是预定子序列的重复；

在加密中使用的随机数S1，S2，S3前后均填充特殊数值序列后形成第一预设长度的特殊数据块，将该第一预设长度的特殊数据块可区分的添加在数据的头部；

其中，TK1～TK3和密钥机本关联保存在密钥机节点中；

步骤6：发送节点子任务对加密后的数据进行数据校验处理：

具体为：将加密后的数据分块，每块的大小为(S1×S2)，对于大小不足(S1×S2)的数据块，数据块结尾用默认值填充，得到数据块Block1～Blockball，其中，ball为数据块的总块数；

计算每个数据块的签名值Sig1～Sigball，将该签名值的组作为该数据的校验值序列；

将该校验值序列可区分的放置在该数据的头部；

单独对随机数S1，S2，S3所在的第一预设长度的特殊数据块计算数据签名；并将该数据签名放在签名序列的第一位置；

步骤7：发送节点子任务对数据进行压缩处理：

具体为：判断该数据对应的数据类型，基于数据类型选择最优压缩算法，对该数据进行压缩；根据数据的类型选择适应的压缩算法；

预存数据类型及其对应的最优压缩算法，通过查询该对应关系获取所要采用的压缩算法；

步骤8：发送节点子任务选择最优通信路径进行数据通信：

具体为：将子任务对应的数据进行组包处理，获取发送节点到接收节点的所有数据通信路径集合；

选取QOS值最高的数据通信路径对组包后形成的数据包进行数据通信；

其中路径PTHi对应的QOSi值的采用公式(5)计算得到；

其中，PTH_TSi为路径i的通信开销；PTH_SFi为路径i的安全级别；PTH_MSi为路径i的通信质量；

QOSi＝PTH_TSi/∑PTH_TSi+PTH_SFi/∑PTH_SFi+PTH_MSi/∑PTH_MSi公式(5)

通过综合考量数据通信路径的服务质量，选择最优的数据通信路径进行子任务对应数据包的通信；

步骤9：接收节点接收发送节点发送的数据包，提取数据包中的数据，对提取的数据进行解压缩，具体的：根据压缩类型选择相应的解压缩算法对数据包进行解压缩；

步骤10：接收节点从数据的头部获取校验值序列，从第一预设长度的特殊数据块中提取S1，S2，S3值对数据进行分块，对每个数据块进行数据校验，在数据校验完毕后，根据数据块校验失败率决定是否请求重新发送数据；当校验失败率超过第一失败阈值时，给发送节点发送校验失败消息，请求发送节点重新进行数据的发送；否则，丢弃失败数据块包含的数据，并对该数据所在的区域填充指定数据值；第一失败阈值根据数据的类型以及用户指定来设定；

步骤11：接收节点根据随机数S1～S3计算数据加密密钥K1并进行解密；具体为：采用和发送节点类似的方式计算加密密钥K1，基于该密钥值K1采用和发送节点对应的解密方式进行解密处理；

步骤12：接收节点完成对同一任务对应的所有子任务对应的数据的接收、校验、解密后，对这些数据进行拼接组合，并对发送节点发送接收完成消息。

2.根据权利要求1所述的数据加密通信方法，其特征在于，该多个随机数的数据类型是不完全相同的。

3.根据权利要求1-2任意一项所述的数据加密通信方法，其特征在于，该多个随机数中包括枚举数据类型。

4.根据权利要求1的一项所述的数据加密通信方法，其特征在于，该多个随机数的数量随着动态加密方式的不同而不同。

5.根据权利要求1所述的数据加密通信方法，其特征在于，发送节点将获取的多个随机数经过加密处理后单独发送到接收节点。

6.根据权利要求1所述的数据加密通信方法，其特征在于，多个发送节点并行进行数据加密和数据通信，多个接收节点并行的进行数据解密和数据接收。

7.根据权利要求1所述的数据加密通信方法，其特征在于，发送节点和接收节点均具有唯一的节点标识。

8.根据权利要求1所述的数据加密通信方法，其特征在于，发送节点设置有图形用户界面，通过该图形用户界面，用户指定需要通信的数据内容。

9.根据权利要求1所述的数据加密通信方法，其特征在于，通过图形用户界面，用户实时的了解所请求通信的数据的通信进度。

10.根据权利要求1所述的数据加密通信方法，其特征在于，在请求通信的数据通信完成后，给用户发送提醒消息。