CN114866292B - 一种信息安全交互的加解密方法 - Google Patents

Abstract

本申请属于加解密技术领域，涉及一种信息安全交互的加解密方法。该方法包括：步骤S 1、由信息管理平台与离线客户端双方用户协定第一密钥；步骤S2、由信息管理平台生成离线数据包，离线数据包包含需要传输的私密文件；步骤S3、获取与离线客户端关联的传输密码；步骤S4、基于所述传输密码与所述第一密钥生成第二密钥；步骤S5、通过所述第二密钥对所述私密文件进行编码，形成密文；步骤S6、将密文离线传送给离线客户端，由离线客户端校验用户身份后给出传输密码；步骤S7、获取用户输入的第一密钥；步骤S8、由离线客户度基于所述第一密钥及所述传输密码解密所述密文，获得私密文件。本申请在保证必需的安全性的前提下，实现较高的加密解密效率。

Description

一种信息安全交互的加解密方法

技术领域

本申请属于加解密技术领域，特别涉及一种信息安全交互的加解密方法。

背景技术

根据密钥类型的不同，加密算法分为对称和非对称两种。对称加密算法加密和解密用到的密钥是相同的，而非对称加密算法加密和解密用到的密钥是不同的，密钥算法用于对敏感数据等信息进行加密，常用的密钥算法包括：

DES(Data Encryption Standard)：数据加密技术，速度较快，适用于加密大量数据的场合；3DES(Triple DES)：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高；RC2和RC4：用变长密钥对大量数据进行加密，比DES快；RSA：由RSA公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；DSA(DigitalSignature Algorithm)：数字签名算法，是一种标准的DSS(数字签名标准)；BLOWFISH：使用变长的密钥，长度可达448位，运行速度很快；其他密钥算法如ElGamal、Deffie-Hellman、新型椭圆算法ECC等。

目前加密算法主要分为对称和非对称两种，这两种算法在应用于同时需要大量、频繁传输数据和较高的安全需求的场合下均有一定的劣势。

非对称加密算法的加密和解密的密钥是不同的，这种加密方式是用数学上的难解问题构造的，其较为安全。但当需要经常发送、传递、接收数据，且需要较高的加密解密效率时，非对称加密算法并不适用。

与之相对的，传统的对称加密算法的加解密速度非常快，适合经常发送数据的场合，但是其密钥的传输比较麻烦，而且其安全性相对于非对称加密算法处于劣势。

发明内容

考虑到系统经常发送、传递、接收数据实际情况，针对较高的加密解密效率和安全性的实际需求，本申请提供了一种信息安全交互的加解密方法，应用于信息管理平台向离线客户端发送数据，对离线数据采用三层加密技术，以保证系统建设中的数据安全问题。

该信息安全交互的加解密方法主要包括：

步骤S1、由信息管理平台与离线客户端双方用户协定第一密钥；

步骤S2、由信息管理平台生成离线数据包，所述离线数据包包含需要传输的私密文件；

步骤S3、获取与离线客户端关联的传输密码；

步骤S4、基于所述传输密码与所述第一密钥生成第二密钥；

步骤S5、通过所述第二密钥对所述私密文件进行编码，形成密文；

步骤S6、将密文离线传送给离线客户端，由离线客户端校验用户身份后给出传输密码；

步骤S7、获取用户输入的第一密钥；

步骤S8、由离线客户度基于所述第一密钥及所述传输密码解密所述密文，获得私密文件。

优选的是，步骤S3之后，进一步包括对所述传输密码进行Base64密码编码，生成加密密码。

优选的是，步骤S4中，由所述加密密码及所述第一密钥通过AES-128-ECB加密形成所述第二密钥。

优选的是，步骤S2之后，进一步包括对所述离线数据包压缩形成压缩文件，以及更改所述压缩文件的后缀名。

优选的是，所述后缀名为sy，基于sy数据格式封装加密所述压缩文件。

优选的是，步骤S6中，通过光盘传递或者离线收发的方式将密文传送给离线客户端。

优选的是，步骤S6中，离线客户端校验用户身份包括：

用户通过离线客户端所在设备的密码登录所述设备，或者用户通过离线客户端的密码登录所述离线客户端。

本申请的信息管理系统与离线客户端之间进行多层加密设置，满足数据流进流出的安全需求。离线数据采用三层加密技术，即基于数据流的底层加密、专用数据格式加密、口令加密，确保了数据安全，防止被窃取和篡改。

同传统的对称加密算法、非对称加密算法相比，本申请采用离线数据三层加密技术，可满足系统经常发送、传递、接收数据的需求，同时在保证必需的安全性的前提下，实现较高的加密解密效率。

附图说明

图1是本申请信息安全交互的加解密方法的一优选实施例的流程图。

图2是本申请图1所示实施例的三层数据加密设计示意图。

图3是AES加解密流程图。

具体实施方式

为使本申请实施的目的、技术方案和优点更加清楚，下面将结合本申请实施方式中的附图，对本申请实施方式中的技术方案进行更加详细的描述。在附图中，自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施方式是本申请一部分实施方式，而不是全部的实施方式。下面通过参考附图描述的实施方式是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。基于本申请中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本申请保护的范围。下面结合附图对本申请的实施方式进行详细说明。

本申请提供了一种信息安全交互的加解密方法，应用于信息管理平台向离线客户端发送数据，如图1所示，所述加解密方法包括：

步骤S1、由信息管理平台与离线客户端双方用户协定第一密钥；

步骤S2、由信息管理平台生成离线数据包，所述离线数据包包含需要传输的私密文件；

步骤S3、获取与离线客户端关联的传输密码；

步骤S4、基于所述传输密码与所述第一密钥生成第二密钥；

步骤S5、通过所述第二密钥对所述私密文件进行编码，形成密文；

步骤S6、将密文离线传送给离线客户端，由离线客户端校验用户身份后给出传输密码；

步骤S7、获取用户输入的第一密钥；

步骤S8、由离线客户度基于所述第一密钥及所述传输密码解密所述密文，获得私密文件。

本申请信息管理系统与离线客户端之间进行多层加密设置，满足数据流进流出的安全需求。离线数据采用三层加密技术，即基于数据流的底层加密、专用数据格式加密、口令加密。参考图2，通过信息管理平台与离线客户端读取数据，即相互交互的两台电脑采用相同的客户端(或者服务器，或者服务器与客户端)实际上就能够实现一层加密，专用数据格式作为第二层加密，数据口令作为第三层加密。三层加密技术从数据防窥层面可有效防止数据被中途窃取与篡改，行业外单位只有同时具备离线客户端和记忆密钥，才能解密离线数据。同时，在管理机制上控制控制离线数据的机要传输及授权使用，进而可在管理安全性上再增加一层数据安全控制。

在一些可选实施方式中，步骤S3之后，进一步包括对所述传输密码进行Base64密码编码，生成加密密码。

在一些可选实施方式中，步骤S2之后，进一步包括对所述离线数据包压缩形成压缩文件，以及更改所述压缩文件的后缀名。

在一些可选实施方式中，所述后缀名为sy，基于sy数据格式封装加密所述压缩文件。

上述实施例中，在对离线数据包进行格式变更，具体实施方式为将数据包压缩成.zip格式后，更改后缀名为.sy的专用数据格式；之后即对离线数据包的传输密码进行再次编码，即对输入的密码再进行Base64密码编码，生成加密密码。

Base64是一种用于传输8Bit字节码的编码方式之一，Base64就是一种基于64个可打印字符来表示二进制数据的方法，可查看RFC2045～RFC2049，其中介绍了MIME的详细规范。Base64编码是从二进制到字符的过程，可用在HTTP环境下传递较长的标识信息。采用Base64编码具有不可读性，需要解码后才能阅读。

在一些可选实施方式中，步骤S4中，由所述加密密码及所述第一密钥通过AES-128-ECB加密形成所述第二密钥。

AES-128-ECB加解密技术的核心是AES加密算法，采用的128位密钥和ECB模式。AES全称为Advanced Encryption Standard,意为高级加密标准，是下一代的加密算法标准，速度快，安全级别高，目前AES标准的一种标准实现是Rijndael算法。而ECB全称为ElectronicCodebook，意为电码本模式，是分组密码的一种基本工作模式，在该模式下，待处理的信息被分为大小合适的分组，然后分别对每一分组独立进行加密或解密处理。

AES的具体流程如附图3所示，简单介绍一下各部分的意义：

a)明文P：没有进行加密的原始数据；

b)密钥K：用来加密明文P的密码。由于AES属于对称加密算法，其加密与解密的密钥都是相同的。密钥由接收方与发送方共同商议产生，但不可以直接在网络上公开传输，否则会导致密钥泄漏。

c)AES加密函数：设AES加密函数为E，则C＝E(K，P)，其中P为明文，K为密钥，C为密文。也就是说，把明文P和密钥K作为加密函数的参数输入，则加密函数会输出密文C。

d)密文C：经AES加密函数加密处理后的数据。

在一些可选实施方式中，步骤S6中，通过光盘传递或者离线收发的方式将密文传送给离线客户端。

在一些可选实施方式中，步骤S6中，离线客户端校验用户身份包括：

用户通过离线客户端所在设备的密码登录所述设备，或者用户通过离线客户端的密码登录所述离线客户端。

该实施例为解密流程，通过机要传输将离线数据包传递到被单独授权的对象手中之后，被单独授权的对象即可通过登录离线客户端的方式解锁一道密码，离线客户端登录并上传离线数据包之后，被单独授权的对象接着输入加密密码，基于信息管理平台与离线客户端预置密钥和编码后的密码对加密的离线数据包进行解密，该步骤可在离线客户端内自动进行。

以下给出了一个最优实施例，信息管理系统导出离线数据时，采用AES-128-ECB技术对离线数据进行基于数据流的底层加密，客户端与服务端采用128位约定密钥完成加解密。采用.sy的专用数据格式封装加密数据流，以光盘传递、离线收发的方式将封装好的加密数据流通过机要传输途径从单位内网传递到行业外单位的离线客户端，与互联网实现了物理隔离，在这个过程中，专用格式的排他性进一步增强了数据的安全。在加密数据封装时，由用户设定专用的数据“口令”密码，该密码通过其它安全的方式传递，在离线数据内无任何记录痕迹，为离线数据安全再增加一层记忆密钥。

最后离线客户端通过单独授权的方式传递给指定的接受者下载、登录、运行，还原系统导出的数据原文，经加密的专用数据格式离线数据包、数据“口令”密码与离线客户端三者缺一不可。

在解密文件的时候，如果仅有数据包没有客户端，要解密文件，必需掌握的条件是：

1)掌握专用.sy数据格式封装前的后缀名；

2)掌握数据文件的加密密码，并掌握该加密密码基于Base64的编码方式；

3)掌握平台用户与行业外单位约定的专用“口令”密码；

4)掌握文件的AES-12-ECB加密方式。

而这几乎是不可能的，也就是说，仅有离线数据包而无离线客户端，无法还原加密文件，在一定程度是增加了信息传递的安全性。

在解密文件的时候，如果同时有数据包和客户端，要解密文件，必须掌握的条件有：

1)信息管理系统平台与离线客户端约定并预置的密钥；

2)获得登录客户端的权限

3)掌握数据包的加密密码。

综上，同传统的对称加密算法、非对称加密算法相比，采用离线数据三层加密技术，可满足系统经常发送、传递、接收数据的需求，同时在保证必需的安全性的前提下，实现较高的加密解密效率。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (7)

1.一种信息安全交互的加解密方法，应用于信息管理平台向离线客户端发送数据，其特征在于，所述加解密方法包括：

步骤S1、由信息管理平台与离线客户端双方用户协定第一密钥；

步骤S2、由信息管理平台生成离线数据包，所述离线数据包包含需要传输的私密文件；

步骤S3、获取与离线客户端关联的传输密码；

步骤S4、基于所述传输密码与所述第一密钥生成第二密钥；

步骤S5、通过所述第二密钥对所述私密文件进行编码，形成密文；

步骤S6、将密文离线传送给离线客户端，由离线客户端校验用户身份后给出传输密码；

步骤S7、获取用户输入的第一密钥；

步骤S8、由离线客户度基于所述第一密钥及所述传输密码解密所述密文，获得私密文件。

2.如权利要求1所述的信息安全交互的加解密方法，其特征在于，步骤S3之后，进一步包括对所述传输密码进行Base64密码编码，生成加密密码。

3.如权利要求2所述的信息安全交互的加解密方法，其特征在于，步骤S4中，由所述加密密码及所述第一密钥通过AES-128-ECB加密形成所述第二密钥。

4.如权利要求1所述的信息安全交互的加解密方法，其特征在于，步骤S2之后，进一步包括对所述离线数据包压缩形成压缩文件，以及更改所述压缩文件的后缀名。

5.如权利要求4所述的信息安全交互的加解密方法，其特征在于，所述后缀名为sy，基于sy数据格式封装加密所述压缩文件。

6.如权利要求1所述的信息安全交互的加解密方法，其特征在于，步骤S6中，通过光盘传递或者离线收发的方式将密文传送给离线客户端。

7.如权利要求1所述的信息安全交互的加解密方法，其特征在于，步骤S6中，离线客户端校验用户身份包括：

用户通过离线客户端所在设备的密码登录所述设备，或者用户通过离线客户端的密码登录所述离线客户端。