WO2017181518A1

WO2017181518A1 - 一种加密通讯的方法及装置、系统

Info

Publication number: WO2017181518A1
Application number: PCT/CN2016/086902
Authority: WO
Inventors: 樊忠虎; 李姣; 张迪
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-04-22
Filing date: 2016-06-23
Publication date: 2017-10-26
Also published as: CN107306261A; CN107306261B

Abstract

本文公布了一种加密通讯方法，包括：接收端接收来自发送端的密钥和数据，所述密钥为所述发送端根据与所述接收端协商的身份ID信息创建的密钥，所述数据为所述发送端通过所述密钥加密后的数据；所述接收端将所述密钥存储在安全区域，将所述数据存储在普通区域；所述接收端根据所述密钥对所述数据进行解密。本文还公开了加密通讯的发送端装置、接收端装置和系统，实现了一对终端之间有且仅有一对密钥，仅通讯双方可对该通讯数据进行解密，不仅实现了通讯时的差异化加密，而且密钥只有通讯双方能够解析，不需要搭建服务器，解密数据时读取本地数据即可，不仅通讯安全性高，而且处理效率高。

Description

一种加密通讯的方法及装置、系统

技术领域

本申请涉及但不限于通讯技术，尤指一种加密通讯方法及装置、系统。

背景技术

现代社会，通讯技术已经深入到人们生活的方方面面，也已经是人们日常生活非常重要的部分。为保证通信双方的信息安全，需要对通讯信息进行加密。

目前的加密通讯方法，主要存在如下问题：通讯双方之间的聊天不能进行差异化加密，复制到所有类似的通讯设备或通讯协议中都可轻易解析，安全性差。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保围。

本发明实施例提供了一种加密通讯的方法及装置、系统。

本发明实施例提供了一种加密通讯的方法，包括：

接收端接收来自发送端的密钥和数据，所述密钥为所述发送端根据与所述接收端协商的身份ID信息创建的密钥，所述数据为所述发送端通过所述密钥加密后的数据；

所述接收端将所述密钥存储在安全区域，将所述数据存储在普通区域，所述安全区域仅能够被解密操作单进程访问，所述普通区域为所述接收端上除所述安全区域以外的任意存储区域；

所述接收端根据所述存储在安全区域的密钥对所述数据进行解密。

其中，所述接收端将所述密钥存储在安全区域，包括：将所述密钥与所述发送端协商的ID信息对应存储在所述安全区域。

其中，在所述接收端对所述数据进行解密之前，所述方法还包括：所述接收端根据与所述发送端协商的ID信息对所述发送端进行验证，获取所述安全区域的访问权限。

其中，所述接收端获取所述安全区域的访问权限后，从所述安全区域读取所述密钥，并在所述普通区域通过所述密钥对所述数据进行解密。

其中，所述接收端获取所述安全区域的访问权限后，从所述普通区域读取所述数据并送到所述安全区域；在所述安全区域，所述接收端通过所述密钥对所述数据进行解密并返回解密数据标记位；如果所述解密数据标记位表示解密成功，则从所述安全区域读取解密后的所述数据。

其中，在所述安全区域不止一个时，如果所有的安全区域均返回了表示解密成功的所述解密数据标记位，则从任意一个所述安全区域读取解密后的所述数据。

其中，所述安全区域包括安全文件系统SFS区域和回访保护存储块RPMB区域。

其中，所述方法还包括：所述发送端与所述接收端之间协商所述ID信息，并分别将协商结果存储在本地的安全区域。

本发明实施例提供了一种设置为加密通讯的接收端装置，所述接收端装置包括：接收模块、存取模块、以及解密模块；其中，

所述接收模块，设置为接收来自发送端的密钥和数据，所述密钥为所述发送端根据与所述接收端装置协商的身份ID信息创建的密钥，所述数据为所述发送端通过所述密钥加密后的数据；

存取模块，设置为将所述接收模块接收的所述密钥存储在安全区域，将所述接收模块接收的所述数据存储在普通区域，所述安全区域仅能够被解密操作单进程访问，所述普通区域为所述接收端上除所述安全区域以外的任意存储区域；

解密模块，设置为根据所述存储在安全区域的密钥对所述数据进行解密。

其中，所述存取模块，设置为将所述密钥与所述发送端的ID信息对应存储在所述安全区域。

其中，所述解密模块，还设置为根据所述接收端装置与所述发送端协商的ID信息对所述发送端进行验证，获取所述安全区域的访问权限。

其中，所述解密模块，设置为获取所述安全区域的访问权限后，从所述安全区域读取所述密钥，并在所述普通区域通过所述密钥对所述数据进行解密。

其中，所述解密模块，设置为获取所述安全区域的访问权限后，通过所述存取模块从所述普通区域读取所述数据并送到所述安全区域；以及，设置为在所述安全区域通过所述密钥对所述数据进行解密并返回解密数据标记位，如果所述解密数据标记位表示解密成功，则通过所述存取模块从所述安全区域读取解密后的所述数据。

其中，所述解密模块，设置为在所述安全区域不止一个时，如果所有的安全区域均返回了表示解密成功的所述解密数据标记位，则从任意一个所述安全区域读取解密后的所述数据。

本发明实施例提供了一种加密通讯的方法，包括：

发送端根据与接收端协商的身份ID信息创建密钥；

发送端通过所述密钥对数据进行加密；

发送端将所述密钥和加密后的数据发送给所述接收端。

其中，所述根据与接收端协商的身份ID信息创建密钥，包括：将发送端的ID信息与接收端的ID信息合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；或者，发送端与接收端之间协商抽取规则，根据所述抽取规则从发送端的ID信息和接收端的ID信息中分别抽取ID信息字段，将抽取的ID信息字段合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；所述抽取规则表示从ID信息的指定可抽取字段中抽取指定起始数位起的指定段位。

其中，所述将抽取的ID信息字段合并形成加密数，为：所述ID信息字段合并得到的数据字段不满足加密算法要求时，将抽取的ID信息字段合并后添加随机数，以形成所述加密数。

本发明实施例提供了一种设置为加密通讯的发送端装置，所述发送端装置包括：第一创建模块、第一加密模块和第一发送模块；其中，

第一创建模块，设置为根据与接收端协商的身份ID信息创建密钥；

第一加密模块，设置为通过所述第一创建模块创建的密钥对数据进行加密；

第一发送模块，设置为将所述第一创建模块创建的密钥和所述第一加密模块加密后的数据发送给所述接收端。

其中，所述第一创建模块，具体设置为：将发送端的ID信息与接收端的ID信息合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；或者，根据发送端与接收端之间协商的抽取规则，从发送端的ID信息和接收端的ID信息中分别抽取ID信息字段，将抽取的ID信息字段合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；所述抽取规则表示从ID信息的指定可抽取字段中抽取指定起始数位起的指定段位。

其中，所述第一创建模块设置为将抽取的ID信息字段合并形成加密数，为：所述ID信息字段合并得到的数据字段不满足加密算法要求时，将抽取的ID信息字段合并后添加随机数，以形成所述加密数。

本发明实施例还提供了一种加密通讯的方法，包括：

发送端根据与接收端协商确定的ID信息，创建密钥；

发送端将所述密钥与协商确定的ID信息一起发送给接收端；

需发送数据时，发送端通过所述密钥加密数据并发送给所述接收端。

本发明实施例还提供了一种加密通讯的方法，包括：

在要发送本次数据时，发送端根据与接收端协商确定的ID信息，创建密钥；

发送端通过所述密钥加密要发送的本次数据；

发送端将加密后的本次数据、协商确定的ID信息以及所述密钥一起发送给接收端。

其中，所述密钥包含密钥主体和信息编号头文件，所述信息编码头文件包含标记本次数据的信息编号。

本发明实施例还提供了一种设置为加密通讯的发送端装置，包括：

第二创建模块，设置为根据与接收端协商确定的ID信息，创建密钥；

第二发送模块，设置为在所述第二创建模块创建密钥之后，将所述密钥与协商确定的ID信息一起发送给接收端；以及，设置为在需要发送数据时，将所述第二加密模块加密后的数据发送给接收端；

第二加密模块，设置为通过所述密钥加密数据。

第三创建模块，设置为在要发送本次数据时，根据与接收端协商确定的ID信息创建密钥；

第三加密模块，设置为通过所述密钥加密要发送的本次数据；

第三发送模块，设置为将所述第三加密模块加密后的本次数据、协商确定的ID信息以及所述第二创建模块创建的密钥一起发送给接收端。

本发明实施例还提供了一种设置为加密通讯的系统，所述系统包括上述的接收端装置和上述的发送端装置；

所述发送端装置的发送模块，还设置为与所述接收端装置的接收模块交互，协商所述发送端装置与所述接收端装置的ID信息，并将协商结果存储在所述发送端装置本地；

所述接收端装置的接收模块，还设置为与所述发送端装置的发送模块交互，协商所述发送端装置与所述接收端装置的ID信息，并将协商结果存储在所述接收端装置本地。

本发明实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现上述加密通讯方法的任意一种。

本发明实施例根据发送端与接收端协商的ID信息创建密钥，并将密钥与数据分别存储在不同区域，针对不同的接收端和发送端，根据其ID信息创建不同的密钥，一对终端之间有且仅有一对密钥，仅通讯双方可对该通讯数据进行解密，第三方终端无法解密该数据，不仅实现了通讯时的差异化加密，而且密钥只有通讯双方能够解析，不需要搭建服务器，解密数据时读取本地数据即可，不仅通讯安全性高，而且处理效率高。

本发明实施例中，同一发送端与不同接收端之间或者同一接收端与不同发送端之间或者不同接收端与不同发送端之间，创建密钥时使用的ID信息不同，使用的加密数就不同，不同终端之间的加密差异化明显，第三方终端无法解密，实现了差异化加密，而且可确保终端之间安全通讯。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明实施例加密通讯方法的流程示意图；

图2为本发明实施例加密通讯系统的组成结构示意图；

图3为本发明实施例加密通讯方法发送端处理加密信息的流程示意图；

图4为本发明实施例加密通讯方法接收端存储加密信息的流程示意图；

图5为本发明实施例加密通讯方法接收端解密数据一优选实施例的流程示意图；

图6为本发明实施例加密通讯方法接收端解密数据另一优选实施例的流程示意图；

图7为本发明实施例发送端的加密通讯方法一优选实施例的流程示意图；

图8为本发明实施例发送端的加密通讯方法另一优选实施例的流程示意图；

图9为本发明实施例发送端装置一优选实施例的组成结构示意图；

图10为本发明实施例发送端装置另一优选实施例的组成结构示意图；

图11为本发明实施例发送端装置及接收端装置的硬件结构示例图。

本发明的实施方式

为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例的主要思想是：通讯的终端双方在通讯过程中，同时根据对方身份(ID)信息创建聊天协议，并协商所用密钥，对该用户所有加密数据采用密钥，在终端内部分为数据存储的普通区域以及密钥存储的安全区域，密钥存储为表存储信息，将终端ID信息与密钥一一对应进行存储。发送端与接收端经双方协定，发送数据时根据协商的ID信息动态创建密钥并通过该密钥加密数据，例如加密数据的头信息或尾信息等，并将加密后的数据和创建的密钥发送给接收端，接收端解密时需在密钥存储的安全区域读取其密钥方可进行解密。如此，接收端将密钥存储在本地，针对不同的接收端和发送端，可以根据其ID信息创建不同的密钥，一对终端之间有且仅有一对密钥，仅通讯双方可对该聊天记录进行解密，第三方终端无法解密该数据，不仅实现了通讯时的差异化加密，而且密钥只有通讯双方能够解析，不需要搭建服务器，解密数据时读取本地数据即可。

如图1所示，本发明实施例的加密通讯方法，主要可以如下步骤：

步骤101：发送端根据与接收端协商的身份ID信息创建密钥，通过密钥对数据进行加密，并将所述密钥和所述数据发送给所述接收端；

其中，发送端创建的密钥与其和接收端协商确定的ID信息相关。密钥与协商确定的ID信息的关系可以是一一对应关系。该密钥可以是一对密钥，包括解密密钥和加密密钥，解密密钥和加密密钥可以是对称的，也可以是非对称的。发送端通过加密密钥对数据进行加密，可以仅将其中的解密密钥发送给接收端，接收端在解密数据时根据该解密密钥对所述数据进行解密。

其中，密钥具体可以通过如下两种方式产生：密钥可以在发送端与接收端之间协商ID信息的过程中产生；或者，也可以在非协商阶段产生。

具体的，发送端在与接收端协商ID信息的过程中，确定彼此的ID信息之后，发送端生成与协商确定的ID信息相对应的密钥对，该密钥对包含加密密钥和解密密钥，发送端在协商过程中将密钥对中的解密密钥发送给接收端，接收端将所述解密密钥存储在安全区域。这样，后续发送端与接收端之间交互数据时，解密密钥已经存储在接收端的本地安全区域，发送端使用所述密钥对中的加密密钥对数据进行加密后发送给接收端，接收端根据其中的ID信息(包含发送端的ID和接收端的ID)，从安全区域找到相应的解密密钥对所述数据进行解密。

具体的，密钥也可以在非协商阶段产生。在发送端与接收端已经完成了ID信息协商之后。进行数据交互时，针对每个交互数据，都要经历如下过程：发送端生成与协商确定的ID信息相对应的密钥对，密钥对包含加密密钥和解密密钥。发送本次数据时，发送端将使用所述加密密钥加密后的本次数据、解密密钥及协商确定的ID信息一起发送给接收端。这里，发送端产生的密钥对中每个密钥(加密密钥和解密密钥)都包含两个部分：密钥主体和信息编码头文件，该信息编码头文件中包含有标记本次数据的信息编号(例如，向接收端发送的第N条数据，N即可作为该条数据的信息编号)。每次发送数据时产生的密钥主体相同，但信息编号头文件的内容不同。接收端接收发送端发送的数据、解密密钥及ID信息，将所述解密密钥存储在安全区域，将本次数据放在普通区域。由于每个对话数据解密密钥的头文件不同，每个对话数据需应用对应的解密数据来解密。因此，接收端解密时需要根据当前数据的信息编号、协商确定的ID信息得到相应的解密密钥主体再对普通区域的数据进行解密。

这里，发送端还将加密秘钥存储在本地的安全区域，存储时以表存储信息的形式进行存储，该表存储信息中包含加密密钥、接收端的ID信息以及两者之间的对应关系。

步骤102：接收端接收来自发送端的所述密钥和数据；

步骤103：接收端将所述密钥存储在安全区域，将所述数据存储在普通区域；

其中，所述安全区域仅能够被解密操作单进程访问，所述普通区域为所述接收端上除所述安全区域以外的任意存储区域。实际应用中，所述安全区域可以是一个、两个或多个。例如，安全区域可以是在高通平台下的调制解调器(modem)侧的安全文件系统(SFS)和在无线访问接入点(AP)侧的回访保护存储块(RPMB)区域。

实际应用中，接收端将密钥以表存储信息的形式存储在安全区域，在该表存储信息中将密钥与发送端的ID信息对应保存。

步骤104：接收端根据所述存储在安全区域的密钥对所述数据进行解密。

进一步地，在步骤101之前，所述方法还包括：步骤100，所述发送端与所述接收端之间协商所述ID信息，并分别将协商结果存储在本地。

进一步地，步骤104中，对所述数据进行解密之前，还包括：所述接收端根据与所述发送端协商的ID信息对所述发送端进行验证，获取所述安全区域的访问权限。

本发明实施例还提供了一种发送端的加密通讯方法，包括：发送端根据与接收端协商的身份ID信息创建密钥；发送端通过所述密钥对数据进行加密；发送端将所述密钥和加密后的数据发送给所述接收端。

其中，所述根据与接收端协商的ID信息创建密钥，包括：将发送端的ID信息与接收端的ID信息合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；或者，发送端与接收端之间协商抽取规则，根据所述抽取规则从发送端的ID信息和接收端的ID信息中分别抽取ID信息字段，将抽取的ID信息字段合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；所述抽取规则表示从ID信息的指定可抽取字段中抽取指定起始数位起的指定段位。这里，ID信息具体可以是国际移动设备标识(IMEI，International Mobile Equipment Identity)信息。

其中，所述将抽取的ID信息字段合并形成加密数，包括：抽取的ID信息合并得到的数据字段不满足加密算法要求时，在该数据字段后还添加随机数，以形成所述加密数。如果抽取的ID信息合并得到的数据字段满足加密算法要求时，可以不添加随机数或者可以根据需要添加随机数。

下面对于本发明实施例中如何将ID信息与密钥直接关联，也就是如何基于ID信息创建密钥进行详细说明，以使得不同终端之间交互时采用不同的密钥，最终实现差异化加密通讯。

这里，以协商确定的ID信息包含双方IMEI信息为例，说明如何基于ID信息创建密钥。根据协商的ID信息创建密钥具体可以采用如下的两种方式：

方式一，加密数由两终端的IMEI信息直接得到，该加密数仅包含两终端的IMEI信息。具体的，将两终端(即本文所述的发送端与接收端)的IMEI合并(合并时可以采用预定的排列顺序，例如，可以将发起协商请求的终端(即本文所述的发送端)IMEI放在前，将确认协商请求的终端(即本文所述的接收端)IMEI排在后)形成加密数，该加密数二进制化得到的二进制数据作为加密唯一识别数据，放入加密算法中生成密钥。

假设：终端A的IMEI为：867241020720126；终端B的IMEI为：861267030000916；终端C的IMEI为：869641150105329；

按照上述方式，终端A与终端B之间IMEI合并形成的加密数具体为：867241020720126861267030000916，将该加密数的二进制数据作为加密唯一识别数据放入加密算法，生成终端A与终端B之间通讯的密钥。此方式的优点是实现简单，且差异化体现明显，缺点是数据位数过多。终端A与终端C之间IMEI合并形成的加密数具体为：867241020720126869641150105329，将该加密数的二进制数据作为加密唯一识别数据放入加密算法，生成终端A与终端C之间通讯的密钥。

此方式一中，不同终端之间，如终端A与终端B之间、终端A与终端C之间、终端B与终端C之间，使用的IMEI不同，因而使用的加密数不同，差异化明显，可实现差异化加密通讯且可确保通讯安全。

方法二，先按照预定的抽取规则分别从两终端的IMEI信息抽取字段再由抽取的字段得到加密数。该加密数不仅可以包含两终端的IMEI信息，还可包含有随机数。具体的，按照预先协商的抽取规则分别从两终端的IMEI 抽取IMEI字段，将抽取的IMEI字段合并(合并时可以采用预定的排列顺序，例如，可以将发起协商请求的终端(即本文所述的发送端)IMEI字段放在前，将确认协商请求的终端(即本文所述的接收端)IMEI字段排在后)形成加密数，将该加密数二进制化得到的二进制数据作为加密唯一识别数据放入加密算法生成密钥。如果所述IMEI字段合并得到的数据不满足加密算法的总数位要求，可在合并得到的数据之后再添加随机数，该随机数为随机生成的数字。

其中，所述抽取规则可以包含IMEI的指定可抽取字段、以及抽取的段位和起始数位，表示从IMEI的指定可抽取字段中抽取所述起始数位起指定段位的字段。该抽取规则可以由两终端协商确定，终端不同，协商确定的抽取规则也不同，也就是说每两个终端之间有其特定的抽取规则。其中，抽取字段的起始数位表示从IMEI的相应数位开始抽取，该起始数位实际为一个数字，该数字为随机生成。

例如，终端A与终端B可以提前协商约定抽取规则为：使用4段位，IMEI的15位字段抽取1～12位开头字段，随机生成的起始数位为5，也就是说，在IMEI的1～～12位开头字段中从第5个数字起抽取后4位。如此，终端A的IMEI字段为：4102；终端B的IMEI字段为：6703；将终端A的IMEI字段与终端B的IMEI字段合并得到数据41026703，由于该数据41026703的字段只有8位，不满足加密算法要求，需继续在该数据41026703后添加随机数(例如，00)得到加密数为4102670300，该加密数二进制化后的二进制数据为：11110100100010011100011111011100，将该二进制数据作为加密唯一识别数据放入加密算法，生成终端A与终端B的密钥。

例如，终端A与终端C之间，可以提前协商约定抽取规则为：使用5段位，IMEI的15位字段抽取1～～11位开头字段，随机生成的起始数位为6，也就是说，在IMEI的1～～11位开头字段中从第6个数字起抽取后5位。如此，终端A的IMEI字段为：10207；终端B的IMEI字段为：11501；将终端A的IMEI字段与终端B的IMEI字段合并得到数据1020711501，由于该数据 1020711501的字段有10位，满足加密算法要求，无需补位数据，那么，直接对该数据二进制化，将得到的二进制数据111100110101101101001001001101作为加密唯一识别数据放入加密算法中，生成终端A与终端C的密钥。

此方式二中，不同终端之间，如终端A与终端B之间、终端A与终端C之间、终端B与终端C之间，不仅使用的IMEI不同，而且抽取规则也不相同，加密数采用的随机数也不同，使用的加密数差异化更加明显，且加密数的数据位数可控，不仅实现了高度的差异化加密，而且通讯安全度更高。

本发明实施例还提供了一种设置为加密通讯的发送端装置，该发送端装置包括：第一创建模块、第一加密模块和第一发送模块；其中，第一创建模块，设置为根据与接收端协商的身份ID信息创建密钥；第一加密模块，设置为通过所述第一创建模块创建的密钥对数据进行加密；第一发送模块，设置为将所述创建模块创建的密钥和所述第一加密模块加密后的数据发送给所述接收端。

所述第一创建模块，是设置为：将发送端的ID信息与接收端的ID信息合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；或者，根据发送端与接收端之间协商的抽取规则，从发送端的ID信息和接收端的ID信息中分别抽取ID信息字段，将抽取的ID信息字段合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；所述抽取规则表示从ID信息的指定可抽取字段中抽取指定起始数位起的指定段位。这里，ID信息具体可以是IMEI信息。

本发明实施例还提供了一种设置为加密通讯的接收端装置，所述接收端装置包括：接收模块、存取模块、以及解密模块；其中，所述接收模块，设置为接收来自发送端的密钥和数据，所述密钥为所述发送端根据与所述接收端装置协商的身份ID信息创建的密钥，所述数据为所述发送端通过所述密钥加密后的数据；存取模块，设置为将所述接收模块接收的所述密钥存储在安全区域，将所述接收模块接收的所述数据存储在普通区域，所述安全区域仅能够被解密操作单进程访问，所述普通区域为所述接收端上除所述安全区域以外的任意存储区域；解密模块，设置为根据所述存储在安全区域的密钥对所述数据进行解密。

具体地，所述解密模块，设置为获取所述安全区域的访问权限后，从所述安全区域读取所述密钥，并在所述普通区域通过所述密钥对所述数据进行解密。

和/或，所述解密模块，设置为获取所述安全区域的访问权限后，通过所述存取模块从所述普通区域读取所述数据并送到所述安全区域；以及，设置为在所述安全区域通过所述密钥对所述数据进行解密并返回解密数据标记位，如果所述解密数据标记位表示解密成功，则通过所述存取模块从任意一个所述安全区域读取解密后的所述数据。所述解密模块，设置为在所述安全区域不止一个时，如果所有的安全区域均返回了表示解密成功的所述解密数据标记位，则从任意一个所述安全区域读取解密后的所述数据。这里，所述安全区域包括SFS区域和RPMB区域。

如图2所示，本发明实施例还提供了一种加密通讯系统，该系统包括上述的发送端装置和接收端装置。其中，所述发送端装置的发送模块，还设置为与所述接收端装置的接收模块交互，协商所述发送端装置与所述接收端装置的ID信息，并将协商结果存储在所述发送端装置本地；所述接收端装置的接收模块，还设置为与所述发送端装置的发送模块交互，协商所述发送端装置与所述接收端装置的ID信息，并将协商结果存储在所述接收端装置本地。其中，该加密通讯系统中的发送端装置也可以是下文图9或图10所示的发送端装置。

下面对本发明实施例中加密通讯的具体实现过程进行详细说明。

本发明实施例的加密通讯过程可以包括四个阶段：协商过程、发送端处理加密信息的过程、接收端存储加密信息的过程、接收端解密数据的过程。

协商过程为：是发送端与接收端对加密时采用的ID信息组合方式进行协商的过程，协商结果记录在发送端和接收端内部。协商结果包括以所述ID信息组合方式表示的发送端ID信息和接收端ID信息。其中，ID信息包含描述终端本身固有属性的信息，但体现形式并不限于固有属性。例如ID信息组合可以是终端的国际移动设备标识(IMEI，International Mobile Equipment Identity)和/或介质访问控制(MAC，Media Access Control)地址。

发送端与接收端已协商好ID信息组合方式之后，发送端处理加密信息的过程开始。如图3所示，发送端处理加密信息的过程可以包括如下步骤：

步骤301：发送端选择要通讯的接收端，根据双方协商的ID信息创建密钥并加密数据；

步骤302：发送端将加密后的数据以及所述密钥发送给接收端。

这里，在发送数据和密钥时，发送端还会将其ID信息一同发送给接收端。并且，发送端还会将所述密钥中的加密密钥存储在本地。存储的方式与接收端相同，也是存储在安全区域。

发送端处理加密信息的过程之后，开始接收端存储加密信息的过程。如图4所示，接收端存储加密信息的过程，可以包括如下步骤：

步骤401：接收端接收发送端发送的密钥和数据；

步骤402：判断所述发送端是否是已协商的终端；如果是，则继续步骤403，否则，继续步骤404；

具体地，接收端将发送端的ID信息与本地存储的协商结果对比，判断所述发送端是否与自身已协商过。如果本地存储的协商结果中有所述发送端的ID信息，则说明所述发送端已与接收端协商；如果本地存储的协商结果中没有所述发送端的ID信息，则说明所述发送端还未与接收端协商或者协商未完成。

步骤403：验证所述发送端与接收端已协商通过，接收端将密钥存储在安全区域，将数据存储到普通区域。

其中，安全区域可以是一个、两个或多个，例如，安全区域可以是高通平台下的modem侧的SFS区域和在AP侧的RPMB区域。

实际应用中，在存储密钥时，接收端将与所述发送端的ID信息与所述发送端发送的密钥对应存储。

步骤404：接收端将所述数据和密钥删除。

最后，接收端对数据解密的过程可以有两种实现方式。

如图5所示，接收端解密数据的一种实现方式可以包括如下步骤：

步骤501：接收端根据发送端的ID信息以及与本地存储的协商结果，对所述发送端进行身份验证，如果验证通过，则获得安全区域的访问权限，继续步骤502，如果验证未通过，则不能访问安全区域，直接跳转到步骤506；

步骤502：访问存放密钥的安全区域，其中，安全区域仅本机可访问，仅解密操作单进程可访问；

步骤503：根据发送端的ID信息在所述安全区域找到对应的密钥，并从所述安全区域将所述密钥读取出来；

步骤504：在普通区域通过所述密钥对所述发送端发送的数据进行解密，如果解密成功，则继续步骤505，如果解密不成功，则继续步骤506；

步骤505：获得完整数据并显示给用户。

步骤506：删除数据。

如图6所示，接收端解密数据的一种实现方式可以包括如下步骤：

步骤601：接收端根据发送端的ID信息以及与本地存储的协商结果，对所述发送端进行身份验证，如果验证通过，则获得安全区域的访问权限，继续步骤602，如果验证未通过，则不能访问安全区域，直接跳转到步骤606；

步骤602：接收端访问存放密钥的安全区域，将普通区域待解密的数据分别送往两侧安全区域，安全区域为双侧区域，分别位于modem侧和AP侧；

其中，安全区域仅本机可访问，仅解密操作单进程可访问。

步骤603：接收端根据发送端的ID信息分别在两侧安全区域找到对应的密钥，并对所述数据解密后，返回解密数据标记位；

如果解密成功，则将所述解密数据标记位记为1；如果解密不成功，则将所述解密数据标记位记为0。

步骤604：判断双侧安全区域返回的解密数据标记位是否均为1；

步骤605：当且仅当双侧安全区域的时，接收端才调用安全区域解密后的数据，并显示给用户；

步骤606：当双侧安全区域的解密数据标记位全为0或任意一侧的解密数据标记位为0时，则删除数据或者显示解密失败的提示给用户。

如图7所示，本发明实施例还提供了一种发送端的加密通讯方法，可以包括：

步骤701：发送端根据与接收端协商确定的ID信息，创建密钥；

步骤702：发送端将所述密钥与协商确定的ID信息一起发送给接收端；

步骤703：需发送数据时，发送端通过所述密钥加密数据并发送给所述接收端。

如图8所示，本发明实施例提供的另一种发送端的加密通讯方法，可以包括：

步骤801：在要发送本次数据时，发送端根据与接收端协商确定的ID信息，创建密钥；

这里，所述密钥包含密钥主体和信息编号头文件，所述信息编码头文件包含标记本次数据的信息编号。

步骤802：发送端通过所述密钥加密要发送的本次数据；

步骤803：发送端将加密后的本次数据、协商确定的ID信息以及所述密钥一起发送给接收端。

如图9所示，本发明实施例还提供了另一种设置为加密通讯的发送端装置，包括：第二创建模块，设置为根据与接收端协商确定的ID信息，创建密钥；第二发送模块，设置为在所述第二创建模块创建密钥之后，将所述密钥与协商确定的ID信息一起发送给接收端；以及，设置为在需要发送数据时，将所述第二加密模块加密后的数据发送给接收端；第二加密模块，设置为通过所述密钥加密数据。

如图10所示，本发明实施例还提供了另一种设置为加密通讯的发送端装置，包括：第三创建模块，设置为在要发送本次数据时，根据与接收端协商确定的ID信息创建密钥；第三加密模块，设置为通过所述密钥加密要发送的本次数据；第三发送模块，设置为将所述第三加密模块加密后的本次数据、协商确定的ID信息以及所述第二创建模块创建的密钥一起发送给接收端。

这里，第二创建模块与第三创建模块也同时具有上述第一创建模块根据ID信息生成密钥的具体功能。也就是说，第二创建模块和第三创建，也具体可设置为将发送端的ID信息与接收端的ID信息合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；或者，根据发送端与接收端之间协商的抽取规则，从发送端的ID信息和接收端的ID信息中分别抽取ID信息字段，将抽取的ID信息字段合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；所述抽取规则表示从ID信息的指定可抽取字段中抽取指定起始数位起的指定段位。这里，ID信息具体可以是IMEI信息。其中，所述第二创建模块或第三创建模块设置为将抽取的ID信息字段合并形成加密数，为：所述ID信息字段合并得到的数据字段不满足加密算法要求时，将抽取的ID信息字段合并后添加随机数，以形成所述加密数。

本发明实施例提供的上述发送端装置和接收端装置均可以通过如图11所示的移动终端100来实现，其中，移动终端100可以包括：无线通信单元110、A/V(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180、电影单元190。其中，无线通信单元110具体可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114、位置信息模块115等；A/V输入单元120具体可以包括照相121和麦克风122等；感测单元140具体可以包括接近传感器141等；控制器180可以包括多媒体模块181等；输出单元150可以包括显示模块151、音频输出模块152和警报模块153等。其中，存储器160中可以包含普通区域和安全区域，其中，安全区域包括在modem侧的SFS区域和在AP侧的RPMB区域。

在另外一个实施例中，还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现上述的任意一种加密通讯方法。该存储介质包括但不限于：光盘、软盘、硬盘、可擦写存储器等。

显然，本领域的技术人员应该明白，上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。

虽然本申请所揭露的实施方式如上，但所述的内容仅为便于理解本申请而采用的实施方式，并非用以限定本申请。任何本申请所属领域内的技术人员，在不脱离本申请所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

工业实用性

本发明实施例提供了一种接收端的加密通讯方法及接收端装置、发送端的加密通讯方法及发送端装置、以及系统侧的加密通讯方法及系统。

其中，接收端的加密通讯方法，包括：接收端接收来自发送端的密钥和数据，所述密钥为所述发送端根据与所述接收端协商的身份ID信息创建的密钥，所述数据为所述发送端通过所述密钥加密后的数据；所述接收端将所述密钥存储在安全区域，将所述数据存储在普通区域，所述安全区域仅能够被解密操作单进程访问，所述普通区域为所述接收端上除所述安全区域以外的任意存储区域；所述接收端根据所述存储在安全区域的密钥对所述数据进行解密。

Claims

一种加密通讯的方法，包括：

接收端接收来自发送端的密钥和数据，所述密钥为所述发送端根据与所述接收端协商的身份ID信息创建的密钥，所述数据为所述发送端通过所述密钥加密后的数据；

所述接收端将所述密钥存储在安全区域，将所述数据存储在普通区域，所述安全区域仅能够被解密操作单进程访问，所述普通区域为所述接收端上除所述安全区域以外的任意存储区域；

所述接收端根据所述存储在安全区域的密钥对所述数据进行解密。
根据权利要求1所述的方法，其中，所述接收端将所述密钥存储在安全区域，包括：将所述密钥与所述发送端协商的ID信息对应存储在所述安全区域。
根据权利要求1所述的方法，其中，在所述接收端对所述数据进行解密之前，所述方法还包括：

所述接收端根据与所述发送端协商的ID信息对所述发送端进行验证，获取所述安全区域的访问权限。
根据权利要求1至3任一项所述的方法，其中，

所述接收端获取所述安全区域的访问权限后，从所述安全区域读取所述密钥，并在所述普通区域通过所述密钥对所述数据进行解密。
根据权利要求1至3任一项所述的方法，其中，

所述接收端获取所述安全区域的访问权限后，从所述普通区域读取所述数据并送到所述安全区域；

在所述安全区域，所述接收端通过所述密钥对所述数据进行解密并返回解密数据标记位；

如果所述解密数据标记位表示解密成功，则从所述安全区域读取解密后的所述数据。
根据权利要求5所述的方法，其中，在所述安全区域不止一个时，如果所有的安全区域均返回了表示解密成功的所述解密数据标记位，则从任意一个所述安全区域读取解密后的所述数据。
根据权利要求6所述的方法，其中，所述安全区域包括安全文件系统SFS区域和回访保护存储块RPMB区域。
根据权利要求1所述的方法，其中，所述方法还包括：

所述发送端与所述接收端之间协商所述ID信息，并分别将协商结果存储在本地的安全区域。
一种设置为加密通讯的接收端装置，所述接收端装置包括：接收模块、存取模块、以及解密模块；其中，

所述接收模块，设置为接收来自发送端的密钥和数据，所述密钥为所述发送端根据与所述接收端装置协商的身份ID信息创建的密钥，所述数据为所述发送端通过所述密钥加密后的数据；

存取模块，设置为将所述接收模块接收的所述密钥存储在安全区域，将所述接收模块接收的所述数据存储在普通区域，所述安全区域仅能够被解密操作单进程访问，所述普通区域为所述接收端上除所述安全区域以外的任意存储区域；

解密模块，设置为根据所述存储在安全区域的密钥对所述数据进行解密。
根据权利要求9所述的接收端装置，其中，所述存取模块，设置为将所述密钥与所述发送端的ID信息对应存储在所述安全区域。
根据权利要求9所述的接收端装置，其中，所述解密模块，还设置为根据所述接收端装置与所述发送端协商的ID信息对所述发送端进行验证，获取所述安全区域的访问权限。
根据权利要求9或11所述的接收端装置，其中，所述解密模块，设置为获取所述安全区域的访问权限后，从所述安全区域读取所述密钥，并在所述普通区域通过所述密钥对所述数据进行解密。
根据权利要求9或11所述的接收端装置，其中，所述解密模块，设置为获取所述安全区域的访问权限后，通过所述存取模块从所述普通区域读取所述数据并送到所述安全区域；以及，设置为在所述安全区域通过所述密钥对所述数据进行解密并返回解密数据标记位，如果所述解密数据标记位表示解密成功，则通过所述存取模块从所述安全区域读取解密后的所述数据。
根据权利要求13所述的接收端装置，其中，所述解密模块，设置为在所述安全区域不止一个时，如果所有的安全区域均返回了表示解密成功的所述解密数据标记位，则从任意一个所述安全区域读取解密后的所述数据。
根据权利要求14所述的接收端装置，其中，所述安全区域包括安全文件系统SFS区域和回访保护存储块RPMB区域。
一种加密通讯的方法，包括：

发送端根据与接收端协商的身份ID信息创建密钥；

发送端通过所述密钥对数据进行加密；

发送端将所述密钥和加密后的数据发送给所述接收端。
根据权利要求16所述的方法，其中，所述根据与接收端协商的身份ID信息创建密钥，包括：

将发送端的ID信息与接收端的ID信息合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；

或者，发送端与接收端之间协商抽取规则，根据所述抽取规则从发送端的ID信息和接收端的ID信息中分别抽取ID信息字段，将抽取的ID信息字段合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；所述抽取规则表示从ID信息的指定可抽取字段中抽取指定起始数位起的指定段位。
根据权利要求17所述的方法，其中，所述将抽取的ID信息字段合并形成加密数，为：

所述ID信息字段合并得到的数据字段不满足加密算法要求时，将抽取的ID信息字段合并后添加随机数，以形成所述加密数。
一种设置为加密通讯的发送端装置，所述发送端装置包括：第一创建模块、第一加密模块和第一发送模块；其中，

第一创建模块，设置为根据与接收端协商的身份ID信息创建密钥；

第一加密模块，设置为通过所述第一创建模块创建的密钥对数据进行加密；

第一发送模块，设置为将所述第一创建模块创建的密钥和所述第一加密模块加密后的数据发送给所述接收端。
根据权利要求19所述的发送端装置，其中，所述第一创建模块，是设置为：将发送端的ID信息与接收端的ID信息合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；或者，根据发送端与接收端之间协商的抽取规则，从发送端的ID信息和接收端的ID信息中分别抽取ID信息字段，将抽取的ID信息字段合并形成加密数，以该加密数的二进制数据作为加密唯一识别数据放入加密算法生成密钥；所述抽取规则表示从ID信息的指定可抽取字段中抽取指定起始数位起的指定段位。
根据权利要求20所述的发送端装置，其中，所述第一创建模块设置为将抽取的ID信息字段合并形成加密数，为：

所述ID信息字段合并得到的数据字段不满足加密算法要求时，将抽取的ID信息字段合并后添加随机数，以形成所述加密数。
一种加密通讯的方法，包括：

发送端根据与接收端协商确定的ID信息，创建密钥；

发送端将所述密钥与协商确定的ID信息一起发送给接收端；

需发送数据时，发送端通过所述密钥加密数据并发送给所述接收端。
一种加密通讯的方法，包括：

在要发送本次数据时，发送端根据与接收端协商确定的ID信息，创建密钥；

发送端通过所述密钥加密要发送的本次数据；

发送端将加密后的本次数据、协商确定的ID信息以及所述密钥一起发送给接收端。
根据权利要求23所述的方法，其中，所述密钥包含密钥主体和信息编号头文件，所述信息编码头文件包含标记本次数据的信息编号。
一种设置为加密通讯的发送端装置，包括：

第二创建模块，设置为根据与接收端协商确定的ID信息，创建密钥；

第二发送模块，设置为在所述第二创建模块创建密钥之后，将所述密钥与协商确定的ID信息一起发送给接收端；以及，设置为在需要发送数据时，将所述第二加密模块加密后的数据发送给接收端；

第二加密模块，设置为通过所述密钥加密数据。
一种设置为加密通讯的发送端装置，其中，包括：

第三创建模块，设置为在要发送本次数据时，根据与接收端协商确定的ID信息创建密钥；

第三加密模块，设置为通过所述密钥加密要发送的本次数据；

第三发送模块，设置为将所述第三加密模块加密后的本次数据、协商确定的ID信息以及所述第二创建模块创建的密钥一起发送给接收端。
一种设置为加密通讯的系统，所述系统包括如权利要求9至15任一项所述的接收端装置和权利要求19、20、21、25或26所述的发送端装置；

所述发送端装置的发送模块，还设置为与所述接收端装置的接收模块交互，协商所述发送端装置与所述接收端装置的ID信息，并将协商结果存储在所述发送端装置本地；

所述接收端装置的接收模块，还设置为与所述发送端装置的发送模块交互，协商所述发送端装置与所述接收端装置的ID信息，并将协商结果存储在所述接收端装置本地。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现权利要求1至8任一项所述的方法、或权利要求16至18任一项所述的方法、或权利要求22所述的方法、或权利要求23所述的方法。