WO2023207014A1

WO2023207014A1 - 加密解密方法、装置及介质

Info

Publication number: WO2023207014A1
Application number: PCT/CN2022/129032
Authority: WO
Inventors: 张武荣
Original assignee: 世融能量科技有限公司
Priority date: 2022-04-28
Filing date: 2022-11-01
Publication date: 2023-11-02
Also published as: CN114884716A; CN114884716B

Abstract

本公开是关于一次一密加密解密方法、装置及介质，加密方法应用于发送端，包括：按照第一预设规则在初始密钥集中选择第一密钥；基于所述第一密钥对加密密钥进行加密，得到密钥密文，所述加密密钥用于对待传输数据进行加密；将所述密钥密文发送至接收端；使用加密密钥加密所述待传输数据，将加密后的数据密文发送至接收端。可以实现每次向接收端发送加密数据时，使用不同的加密密钥，同时加密密钥基于第一密钥进行加密，第一密钥是按照第一预设规则在初始密钥集中选择的，确保密钥传输的安全性，可以确保加密密钥的安全性，提高加密系统抗技术破解安全性及抗密钥泄露安全性。

Description

加密解密方法、装置及介质

本公开基于申请号为202210458356.4，申请日为2022年04月28日，申请名称为“加密解密方法、装置及介质”的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本公开作为参考。

技术领域

本公开涉及但不限于加密解密方法、装置及介质。

背景技术

相关技术中，一次一密安全体制，要求密钥所承载的信息量等同于明文的信息量。图1是通过预存大量密钥实现一次一密的加密系统示意图。参考图1，这种加密方法需要无限数量的密钥，这意味着密钥的消耗量等同于明文，因而在实际应用的中是无法实现的。如果在收发两端预存大量的密钥，则系统的保密性在密钥耗尽时将消失。特别是实际应用中，通信速率都比较高，数据量比较大，存储与通信数据量相等的密钥是不可能的，即使周期性更行密钥，大量密钥的分发，可靠存储，和可靠更新的各个环节，不但有巨大的管理成本，还存在巨大的密钥泄露风险。

一个密钥可更新的密码体制包含三部分：初始密钥建立，密钥传输，和数据传输。密钥传输模块合理利用初始密钥更新密钥，而数据传输模块使用从密钥传输模块获得的密钥对数据加密传输。安全性评估也应该包括初始密钥建立，密钥传输，和数据传输三部分。在实际系统种，系统整体安全性最终取决于密钥传输的安全性。相关技术中，通过根密钥周期性更新会话密钥是典型和常用的一种密钥更新方法。图2是通过根密钥更新会话密钥的系统示意图。如图2所示，虽然在数据传输时，可以频繁更新会话密钥，甚至做到一次一密，数据传输的安全性似乎很高，但由于密钥传输时，采用固定的根密钥进行加密，如果根密钥被泄露或者被破解，则整个系统的安全性将会完全丧失。还有一种常用的密钥更新的方式是在业务通道中设计密钥更新通道，其实际效果等同于用目前的密钥更新未来使用的密钥。图3是动态密钥更新系统示意图。如图3所示。在这个方案中，需要在收发两端预存一个初始密钥k ₀，其作用类似于图2中的根密钥，区别在于它只使用一次。这种方案的密钥传输和数据传输都是一次一密，抗技术性破解的能力增强。但是这种方案如果存在一个风险：如果系统存在一次密钥泄露，则整个密码体制的安全性丧失。例如，如果k _i泄露，则下一个密钥通过k _i+1＝D(x _i+1,k _i)很容易被破解，窃密者立即获得更新的密钥，从而失去动态更新密钥的效果。

发明内容

为克服相关技术中存在的问题，本公开提供一种加密解密方法、装置及介质。

根据本公开的第一方面，提供一种加密方法，加密方法应用于发送端，包括：

按照第一预设规则在初始密钥集中选择第一密钥；

基于所述第一密钥对加密密钥进行加密，得到密钥密文，所述加密密钥用于对待传输数据进行加密；

将所述密钥密文发送至接收端；

使用加密密钥加密所述待传输数据，将加密后的数据密文发送至接收端。

在本公开一些示例性实施例中，基于前述方案，加密方法还包括：

按照第二预设规则选择第二密钥；

基于所述第一密钥对加密密钥进行加密，得到密钥密文包括：使用所述第一密钥和第二密钥对加密密钥进行加密，得到密钥密文。

在本公开一些示例性实施例中，基于前述方案，所述使用所述第一密钥和第二密钥对加密密钥进行加密，得到密钥密文包括：

根据所述第一密钥，使用第一加密算法，对加密密钥进行加密，得到第一密钥密文；

根据所述第二密钥，使用第二加密算法，对所述第一密钥密文进行加密，得到密钥密文。

在本公开一些示例性实施例中，基于前述方案，所述按照第二预设规则选择第二密钥包括：

按照第二预设规则在初始密钥集中选择第二密钥；或者，

选择前一次数据传输中使用的加密密钥作为第二密钥。

在本公开一些示例性实施例中，基于前述方案，所述加密密钥为量子真随机数。

在本公开一些示例性实施例中，基于前述方案，加密方法还包括：根据第三预设规则，更新初始密钥集。

在本公开一些示例性实施例中，基于前述方案，所述对加密密钥进行加密的加密运算为异或运算。

根据本公开的第二方面，提供一种解密方法，解密方法应用于接收端，包括：

接收密钥密文；

按照第一预设规则在初始密钥集中选择第三密钥，基于所述第三密钥对所述密钥密文进行解密，得到加密密钥；

接收数据密文，使用所述加密密钥解密所述数据密文，获取发送端传输的数据。

在本公开一些示例性实施例中，基于前述方案，所述解密方法还包括：

按照第二预设规则选择第四密钥；

所述基于所述第三密钥对所述密钥密文进行解密，得到加密密钥包括：

使用所述第三密钥和第四密钥解密所述密钥密文，得到加密密钥。

在本公开一些示例性实施例中，基于前述方案，所述使用所述第三密钥和第四密钥解密所述密钥密文，得到加密密钥，包括：

使用所述第四密钥，解密所述密钥密文，得到第一密钥密文；

使用所述第三密钥，解密所述第一密钥密文，得到当前加密密钥。；

根据本公开的第三方面，提供一种加密装置，加密装置应用于发送端，包括：

第一选择模块，用于按照第一预设规则在初始密钥集中选择第一密钥；

加密模块，用于基于所述第一密钥对加密密钥进行加密，得到密钥密文；还用于使用加密密钥加密待传输数据；

发送模块，用于将所述密钥密文发送至接收端，还用于将加密后的数据密文发送至接收端。

根据本公开的第四方面，提供一种解密装置，解密装置应用于接收端，包括：

接收模块，用于接收密钥密文、数据密文；

第二选择模块，用于按照第一预设规则在初始密钥集中选择第三密钥；

解密模块，用于基于所述第三密钥对所述密钥密文进行解密，得到加密密钥，使用所述加密密钥解密所述数据密文。

根据本公开的第五方面，提供一种加密装置，包括：

处理器；

用于存储处理器的可执行指令的存储器；

其中，所述处理器被配置为执行前述加密方法。

根据本公开的第六方面，提供一种解密装置，包括：

处理器；

用于存储处理器的可执行指令的存储器；

其中，所述处理器被配置为执行前述解密方法。

根据本公开的第七方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现前述加密方法，或者实现前述解密方法。

本公开通过发送端按照第一预设规则在初始密钥集中选择第一密钥；基于第一密钥，对加密密钥进行加密，得到密钥密文；将密钥密文发送至接收端；使用加密密钥加密待传输数据，将加密后的数据密文发送至接收端，可以实现每次向接收端发送加密数据时，使用不同的加密密钥，同时加密密钥基于第一密钥进行加密，第一密钥是按照第一预设规则在初始密钥集中选择的，确保密钥传输的安全性，即使已经使用的加密密钥被破解，由于第一密钥是按照第一预设规则在初始密钥集中选择的，可以确保后续使用的加密密钥的安全性，提高加密系统抗技术破解安全性及抗密钥泄露安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是通过预存大量密钥实现一次一密的加密系统示意图。

图2是通过根密钥更新会话密钥的系统示意图。

图3是动态密钥更新系统示意图。

图4是根据一示例性实施例示出的加密方法流程图。

图5是根据一示例性实施例示出的加密系统示意图。

图6是根据一示例性实施例示出的采用量子随机数的实时加密系统示意图。

图7是根据一示例性实施例示出的解密方法的流程图。

图8是根据一示例性实施例示出的一种加密装置的框图。

图9是根据一示例性实施例示出的一种解密装置的框图。

图10是根据一示例性实施例示出的一种加密解密的计算机装置1000的框图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互任意组合。

为了提高加密系统的安全性，本公开提供一种加密方法，图4是根据一示例性实施例示出的加密方法流程图。参考图4，加密方法应用于发送端，包括以下步骤：

步骤S41，按照第一预设规则在初始密钥集中选择第一密钥。

初始密钥集是在发送端和接收端预先建立的，初始密钥集包括M个初始密钥，用{K _m}来表示，M为大于等于2的正整数。

在一示例性实施例中，初始密钥集的M个初始密钥可以为预存的对称密钥组，通过预存的方式在收发两端建立对称密钥组。

在一示例性实施例中，初始密钥集的M个初始密钥可以是通过非对称公开加密密钥体系建立的初始密钥组。例如，接收端用发送端的公钥加密一个随机数，然后发送给发送端，发送端可以用自己的私钥解密获得这个随机数，这个随机数可以作为初始密钥集中的一个密钥。重复上述过程M次，就可以在发送端和接收端建立M个始密钥。

或者，用接收端和发送端交换的第一个随机数作为密钥，用这个密钥传输M个随机数，就可以在发送端和接收端各建立M个初始密钥。

或者，初始密钥集中的多个初始密钥可以是通过非对称公开加密密钥体系建立的初始密钥组。例如，接收端用发送端的公钥加密一个随机数，然后发送给发送端，发送端可以用自己的私钥解密获得这个随机数。同理，发送端用接收端的公钥加密第二个随机数，然后发送给接收端，接收端可以用自己的私钥解密获得第二个随机数。这两个随机数可以异或运算，得到第三个随机数，第三个随机数可以作为初始密钥集中的一个密钥。重复上述过程M次，就可以建立M个初始密钥。

或者，为了降低公钥体系的计算复杂度，用接收端和发送端获得的第三个随机数作为密钥，用这个密钥传输M个随机数，就可以在发送端和接收端各建立M个初始密钥。

建立初始密钥集的方法，可以在加密系统初始化时确定，也可以在业务执行过程中进行调整，以增加初始密钥集中密钥的随机性，提高初始密钥集的安全性。具体采用何种方法建立初始密钥集，本公开不作限制。

在一实例性实施例中，加密方法还包括：根据第三预设规则，更新初始密钥集。可以根据具体的对话周期，对话传输的数据量等，设置第三预设规则。可以在上一次对话结束，下一次对话开始前更新初始密钥，或者，在传输的数据数量达到预设阈值时，更新初始密钥。

例如，利用非对称公开加密密钥体系建立初始密钥集，可以随时或者周期性地更新初始密钥集，提高加密系统的安全性。初始密钥集的更新的周期可以为一个对话周期，或者一个预设的时长。随时或者周期性地更新初始密钥集，可以有效防止初始密钥被耗尽，提高密钥系统的安全性。

第一预设规则由加密系统预先建立，并在接收端和发送端使用相同的预设规则。按照第一预设规则在初始密钥集中选择第一密钥，可以提高第一密钥的随机性，进而提高加密系统的安全性。发送端每次发送加密密钥时，都按第一预设规则在初始密钥集中进行选择第一密钥，对加密密钥进行加密。在一示例性实施例中，第一预设规则为，选择第一密钥的编号为加密密钥的编号除以M的余数。在另一示例性实施例中，接收端和发送端设置有同步的时钟，第一预设规则可以为，选择第一密钥的编号为当前时钟的函数。

实现了在每次进行数据传输时，都会根据第一预设规则，在初始密钥集中选择一个第一密钥，而且每次选择的第一密钥都不会相同。即使在初始密钥集被泄露的情况下，破解者也无从确定本次数据传输中，采用了初始密钥集中哪个密钥进行了加密，从而提高抗泄密的能力。

步骤S42：基于第一密钥对加密密钥进行加密，得到密钥密文，加密密钥用于对待传输数据进行加密；。

发送端在向接收端发送数据前，需要先将本次数据传输采用的加密密钥，发送至接收端，以使发送端在使用加密密钥对传输数据进行加密后，将加密的数据发送至接收端，接收端能够使用相同的加密密钥对加密数据进行解密，并获取传输的数据。为保证加密密钥的安全性，在发送加密密钥时，使用第一密钥进行加密，第一密钥是按照第一预设规则从初始密钥集中的多个密钥中选择的。

在发送端和接收端采用了相同的初始密钥集和相同的第一预设规则的情况下，可以确保每一次数据传输前，发送端选择一个初始密钥对加密密钥进行加密，接收端也可以选择出与发送端相同的初始密钥对加密后的密钥密文进行解密，解密出加密密钥，保证数据传输的成功，同时，选择的初始密钥是保密的。破解密钥密文需要第一密钥，需要同时知道初始密钥集，第一预设规则，以及当前使用的第一密钥是第几次选择的结果，显然，采用这种加密方法，可以大大提高加密密钥的安全性，进而确保传输的数据的安全性。

步骤S43,将密钥密文发送至接收端。在发送数据前，由发送端确定本次数据传输采用的加密密钥，加密密钥基于第一密钥进行加密，将加密后的密钥密文发送给接收端。接收端对密钥密文进行解密，可以确定待传输数据采用的加密密钥。

步骤S44，使用加密密钥加密待传输数据，将加密后的数据密文发送至接收端。

经步骤S43，发送端和接收端确定了本次数据传输采用的加密密钥后，发送端将待发送的数据采用加密密钥进行加密，将加密后的数据密文发送至接收端。

在本实施例中，数据经加密密钥进行加密，而加密密钥又经第一密钥进行加密生成密钥密文，在数据传输前发送给接收端。由于初始密钥集、第一预设规则，不需要进行传输，即使发送的密钥密文被截获，破解者由于无法获知初始密钥，更不会获知本次传输采用了多个初始密钥中的哪一个，从而无从进行解密，确保加密密钥的安全，而加密密钥的安全决定了数据的安全。

在一实例性实施例中，加密方法还包括：按照第二预设规则选择第二密钥。

在步骤S42中，基于第一密钥对加密密钥进行加密，得到密钥密文包括：使用第一密钥和第二密钥对加密密钥进行加密，得到密钥密文。

按照第二预设规则选择第二密钥，第二密钥可以在初始密钥集中选择，通过设置不同于第一预设规则的第二预设规则，使得第二密钥与第一密钥不同。例如，第二预设规则为，将加密密钥的编号加1除以M的余数作为编号，在初始密钥集中选择该编号的密钥为第二密钥。或者，接收端和发送端有同步的时钟，第二预设规则为，选择第二密钥的编号为当前时钟的函数。这样保证根据第一预设规则和根据第二预设规则从初始密钥集中选择的密钥为不同的密钥。或者，第二密钥也可以选择不同于初始密钥集中的密钥。

同时使用第一密钥和第二密钥对加密密钥进行加密，进一步提高了加密密钥的安全性。窃听者如果窃听到密钥密文，在第一密钥和第二密钥都出自初始密钥集的情况下，需要同时知道初始密钥集，第一预设规则，第二预设规则，当前传输次数的情况下，才能对密钥密文进行破解；而在第二密钥不是出自初始密钥集的情况下，则进一步增加了破解难度。因此，采用第一密钥和第二密钥对加密密钥进行加密，可以有效提高密钥密文的破解难度，保证加密密钥的安全。

在一示例性实施例中，按照第二预设规则选择第二密钥包括：

按照第二预设规则在初始密钥集中选择第二密钥；或者，

选择前一次数据传输中使用的加密密钥作为第二密钥。

例如，当发送端首次向接收端发送数据时，可以按照第一预设规则在初始密钥集中选择第一密钥，按照第二预设规则在初始密钥集中选择第二密钥，使用第一密钥和第二密钥对加密密钥进行加密，增加破解难度，提高加密密钥的安全性。当发送端非首次向接收端发送数据时，可以选择前一次数据传输中使用的加密密钥作为第二密钥，使用第一密钥和第二密钥对当前加密密钥进行加密，实现动态加密，且减少初始密钥集中的密钥数量。

发送端确定加密密钥，加密密钥用于对待传输数据进行加密。因此，在发送端发送加密的数据前，需要将本次传输采用的加密密钥先传输给接收端，以使接收端能够在接收到加密数据后，根据加密密钥对对加密数据进行解密，获取本次传输的数据。

为防止数据被非法窃听并破解，需要确保加密密钥的安全。在本实施例中，使用第一密钥和第二密钥对加密密钥进行加密,第一密钥和第二密钥可以同时为初始密钥集中选择的密钥，由于使用不同的预设规则进行选择，预设规则是提前预设的，不需要进行网络传输，因此，即使初始密钥集被泄露，破解者由于无法确定每次数据传输中，发送端选择的第一密钥和第二密钥，因此也就无法对密钥密文进行破解，提高加密密钥的安全。

在一示例性实施例中，使用第一密钥和第二密钥对加密密钥进行加密，得到密钥密文包括：

根据第一密钥，使用第一加密算法，对加密密钥进行加密，得到第一密钥密文；

根据所述第二密钥，使用第二加密算法，对第一密钥密文进行加密，得到密钥密文。

第一加密算法可以是任意一种加密算法，如SM4算法(一种分组密码算法)或者AES算法(AES算法全称Advanced Encryption Standard,是DES算法的替代者,也是当今最流行的对称加密算法之一)等。

发送端可对经第一密钥加密的第一密钥密文做第二次加密。如果加密密钥是初次传输，则第二次加密所使用的第二密钥通过第二预设规则在初始密钥集中选择，而第二加密算法可以是任意一种加密算法，如SM4算法或者AES算法等。如果加密密钥不是初次传输，则第二密钥也可以为上一次传输的加密密钥。

使用第二密钥和第二加密算法对第一密钥密文做第二次加密，获得第二密钥密文，将第二密钥密文作为待传输的密钥密文。

将加密密钥加密后发送给接收端，再使用加密密钥对待传输的数据进行加密，将加密后的数据发送至接收端。接收端可以根据从发送端获取的加密密钥，对加密后的数据进行解密，并获取到数据，实现数据的安全传输。

在一示例性实施例中，加密密钥为量子真随机数。

如果数据传输时的加密密钥是固定的，在加密机或者解密机泄露、通过暴力计算，密码数学分析，统计分析等技术破解方法，破解加密密钥是可能的。

使用量子真随机数作为加密密钥，而且任何一个加密密钥只使用一次，使用后就销毁，永不重复，每次数据传输使用不同的量子真随机数作为加密密钥，实现一次一密加密效果。量子真随机数由发送端生成，避免了在发送端和接收端同时管理大量密钥造成的管理成本增加，以及大量密钥泄露的风险。

图5是根据一示例性实施例示出的加密系统示意图。参考图5，在发送端和接收端建立初始密钥集，初始密钥集包括多个初始密钥，假设多个初始密钥为k ₀,k ₁…k _m-1共M个。第一预设规则为模运算，通过模运算求余的方式，选择每次数据传输时的初始密钥，第一密钥表示为k _i(mod)M,当前待传输数据传输采用的加密密钥为k _i+1，上一次数据传输采用的加密密钥为k _i，发送端在向接收端发送加密密钥时，首先使用k _i(mod)M和第一加密算法E1对当前加密密钥k _i+1进行加密，得到第一密钥密文，表示为E1(k _i+1,k _i(mod)M)；再使用上一次的加密密钥和第二加密算法E2，对第一密钥密文进行加密，得到第二密钥密文，表示为x _i+1＝E2(k _i,E1(k _i+1,k _i(mod)M))，其中E1,E2为加密算法，可以相同，也可以不同。

以M＝2举例说明，并且我们假设加密算法E1和E2就是简单的异或运算。因为M＝2，初始密钥集中只有两个初始密钥，为k ₀,k ₁。假设，每次数据传输使用的加密密钥依次为k ₂,k ₃…k _n，如果k ₂被泄露或者破解，必须同时破解下一个密钥k ₃才能确定k ₀和k ₁的唯一解。如下所示，下面的两个方程可以唯一确定k ₀和k ₁：

如果k ₂被泄露或者破解，但是密钥k ₃没有破解，而k ₄被破解了，k ₀和k ₁仍然无法被唯一确定，即使有无穷的计算资源。如下所示，下面的三个方程并不可以唯一确定k ₀和k ₁，因为三个方程中有两个是等价的，但两个方程中有三个未知数，因而理论上无法破解整个系统的密钥：

可见，只有连续确定每次数据传输中使用的加密密钥，且知道具体的加密算法的情况下，才能对初始密钥进行破解，只要对多次数据传输中使用的加密密钥中有任何一个没有破解或被泄露，都能够确保密钥和数据的安全。通过上述实施例，密钥数据是加密密钥经过两次加密后的数据，并在数据传输过程中，加密密钥和数据都采用一次一密的加密方法，如果某次数据传输中使用的一个密钥k _i泄露，更新的密钥k _i+1也不会泄露，因为这个k _i+1是被k _i(mod)M加密的。如果初始密钥集个数是M，则必须在破解M个连续的密钥后才能破解整个系统，采用本公开提供的加密方法，能够有效提高加密密钥的安全性。

在一示例性实施例中，对加密密钥进行加密的加密运算为异或运算。

分组对称密码算法的运算时延比较短。但在有些业务中，比如实时控制，系统对时延的敏感度甚至会超过了对称密码算法的运算时延。在这种情况下，需要把加密运算简化为零时延的异或运算。

图6是根据一示例性实施例示出的采用量子随机数的实时加密系统示意图。参考图6，实时加密系统包括三部分：初始密钥建立模块，密钥一次一密实时传输模块，和数据一次一密实时传输模块。加密算法可以采用标准的对称分组算法。如前所述，有些实时控制系统甚至不能接受标准的对称分组算法带来的时延。为了降低数据处理时延，加解密可以采用零时延的异或运算替换对称分组算法。在初始密钥建立完成之后，密钥和数据同步开始一次一密传输，并且都采用量子随机数作为密钥。这个密码体制可以实现零时延一次一密加密传输。这个密码体制不但可以抗密钥泄露(一次一密)，还有抗暴力破解的密码安全性。

值得注意点是，非对称公开加密密钥体制的运算时间要大大高于分组对称密码算法。如果采用非对称公开加密密钥体制来建立初始密钥集，则需要把初始密钥的建立作为系统初始化的一部分，而非实时通信的一部分。这样可以有效降低业务过程中的延时。

图7是根据一示例性实施例示出的解密方法的流程图。参考图7，解密方法应用于接收端，包括：

步骤S71，接收密钥密文。密钥密文是发送端对加密密钥进行加密后生成的。

步骤S72，按照第一预设规则在初始密钥集中选择第三密钥，基于第三密钥对密钥密文进行解密，得到加密密钥。

由于发送端和接收端的初始密钥集相同，第一预设规则相同，因此，接收端能够从本地初始密钥集中选择出于第一密钥相同的第三密钥。与发送端相对应，基于第三密钥对密钥密文进行解密，得到加密密钥。

步骤S73，接收数据密文，使用加密密钥解密数据密文，获取发送端传输的数据。使用加密密钥，可以对发送端发送的数据密文进行解密。

第三密钥由接收端根据预设规则在初始密钥集中选择，初始密钥集是预先建立的，在进行数据传输的过程中，初始密钥集不需要进行网络传输，避免了初始密钥集中的初始密钥被泄露的风险，进而保证数据传输的安全。

在一示例性实施例中，解密方法还包括：

按照第二预设规则选择第四密钥；

基于第三密钥对密钥密文进行解密，得到加密密钥包括：

使用第三密钥和第四密钥解密密钥密文，得到加密密钥。

与发送端的加密方法相对应，如果在发送端使用第一密钥和第二密钥对加密密钥进行加密，接收端在接收到密钥密文后，也需要按相同的预设规则，选择第三密钥和第四密钥，且第三密钥与第一密钥相同，第四密钥与第二密钥相同，才能对密钥密文进行解密。

在一示例性实施例中，使用第三密钥和第四密钥解密密钥密文，得到加密密钥，包括：

使用第四密钥，解密密钥密文，得到第一密钥密文；

使用第三密钥，解密第一密钥密文，得到当前加密密钥。

接收端的解密过程，与发送端的加密过程相反，但加解密算法是一致的，也是预先设定好的。因此，采用本公开提供的加密方法和解密方法，即使在破解了第一密钥和第二密钥的基础上，还需要知道发送方采用的加密算法的情况下，才能对密钥密文进行解密，具有很好的抗破解能力。

图8是根据一示例性实施例示出的一种加密装置的框图。参考图8,加密装置应用于发送端，包括第一选择模块801，加密模块802，发送模块803。

该第一选择模块801被配置为用于按照第一预设规则在初始密钥集中选择第一密钥。

该加密模块802被配置为用于基于第一密钥对加密密钥进行加密，得到密钥密文；还用于使用加密密钥加密待传输数据。

该发送模块803被配置为用于将密钥密文发送至接收端，还用于将加密后的数据密文发送至接收端。

在一示例性实施例中，该第一选择模块801还被配置为用于按照第二预设规则选择第二密钥。

该加密模块802还被配置为用于使用所述第一密钥和第二密钥对加密密钥进行加密，得到密钥密文。

在一示例性实施例中，该加密模块802还被配置为用于根据所述第一密钥，使用第一加密算法，对加密密钥进行加密，得到第一密钥密文；

图9是根据一示例性实施例示出的一种解密装置的框图。参考图9,解密装置应用于接收端，包括：接收模块901，第二选择模块902，解密模块903。

该接收模块901被配置为用于用于接收密钥密文、数据密文。

该第二选择模块902被配置为用于按照第一预设规则在初始密钥集中选择第三密钥。

该解密模块904被配置为用于基于第三密钥对密钥密文进行解密，得到加密密钥，使用加密密钥解密数据密文。

在一示例性实施例中，该第二选择模块还被配置为用于按照第二预设规则选择第四密钥。

该解密模块904还被配置为用于使用第三密钥和第四密钥解密密钥密文，得到加密密钥。

在一示例性实施例中，该解密模块904还被配置为用于使用第四密钥，解密所述密钥密文，得到第一密钥密文；使用第三密钥，解密第一密钥密文，得到当前加密密钥。

图10是根据一示例性实施例示出的一种加密解密的计算机装置1000的框图。例如，计算机装置1000可以被提供为一服务器。参照图10，计算机装置1000包括处理器1001，处理器的个数可以根据需要设置为一个或者多个。计算机设备1000还包括存储器1002，用于存储可由处理器1001的执行的指令，例如应用程序。存储器的个数可以根据需要设置一个或者多个。其存储的应用程序可以为一个或者多个。处理器1001被配置为执行指令，以执行上述加密方法，或者解密方法。

本领域技术人员应明白，本公开的实施例可提供为方法、装置(设备)、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

本公开是参照根据本公开实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在本公开中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。

尽管已描述了本公开的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本公开范围的所有变更和修改。

显然，本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的精神和范围。这样，倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内，则本公开的意图也包含这些改动和变型在内。

工业实用性

本公开中通过发送端按照第一预设规则在初始密钥集中选择第一密钥；基于第一密钥，对加密密钥进行加密，得到密钥密文；将密钥密文发送至接收端；使用加密密钥加密待传输数据，将加密后的数据密文发送至接收端，可以实现每次向接收端发送加密数据时，使用不同的加密密钥，同时加密密钥基于第一密钥进行加密，第一密钥是按照第一预设规则在初始密钥集中选择的，确保密钥传输的安全性，即使已经使用的加密密钥被破解，由于第一密钥是按照第一预设规则在初始密钥集中选择的，可以确保后续使用的加密密钥的安全性，提高加密系统抗技术破解安全性及抗密钥泄露安全性。

Claims

一种加密方法，应用于发送端，其特征在于，所述加密方法包括：

按照第一预设规则在初始密钥集中选择第一密钥；

基于所述第一密钥对加密密钥进行加密，得到密钥密文，所述加密密钥用于对待传输数据进行加密；

将所述密钥密文发送至接收端；

使用加密密钥加密所述待传输数据，将加密后的数据密文发送至接收端。
根据权利要求1所述的加密方法，其特征在于，所述加密方法还包括：

按照第二预设规则选择第二密钥；

基于所述第一密钥对加密密钥进行加密，得到密钥密文包括：使用所述第一密钥和第二密钥对加密密钥进行加密，得到密钥密文。
根据权利要求2所述的加密方法，其特征在于，所述使用所述第一密钥和第二密钥对加密密钥进行加密，得到密钥密文包括：

根据所述第一密钥，使用第一加密算法，对加密密钥进行加密，得到第一密钥密文；

根据所述第二密钥，使用第二加密算法，对所述第一密钥密文进行加密，得到密钥密文。
根据权利要求1所述的加密方法，其特征在于，所述按照第二预设规则选择第二密钥包括：

按照第二预设规则在初始密钥集中选择第二密钥；或者，

选择前一次数据传输中使用的加密密钥作为第二密钥。
根据权利要求1-4任一所述的加密方法，其特征在于，所述加密密钥为量子真随机数。
根据权利要求1所述的加密方法，其特征在于，还包括：根据第三预设规则，更新初始密钥集。
根据权利要求1所述的加密方法，其特征在于，所述对加密密钥进行加密的加密运算为异或运算。
一种解密方法，应用于接收端，其特征在于，所述解密方法包括：

接收密钥密文；

按照第一预设规则在初始密钥集中选择第三密钥，基于所述第三密钥对所述密钥密文进行解密，得到加密密钥；

接收数据密文，使用所述加密密钥解密所述数据密文，获取发送端传输的数据。
根据权利要求8所述的解密方法，其特征在于，所述解密方法还包括：

按照第二预设规则选择第四密钥；

所述基于所述第三密钥对所述密钥密文进行解密，得到加密密钥包括：

使用所述第三密钥和第四密钥解密所述密钥密文，得到加密密钥。
根据权利要求8所述的解密方法，其特征在于，所述使用所述第三密钥和第四密钥解密所述密钥密文，得到加密密钥，包括：

使用所述第四密钥，解密所述密钥密文，得到第一密钥密文；

使用所述第三密钥，解密所述第一密钥密文，得到当前加密密钥。
一种加密装置，应用于发送端，其特征在于，所述加密装置包括：

第一选择模块，用于按照第一预设规则在初始密钥集中选择第一密钥；

加密模块，用于基于所述第一密钥对加密密钥进行加密，得到密钥密文；还用于使用加密密钥加密待传输数据；

发送模块，用于将所述密钥密文发送至接收端，还用于将加密后的数据密文发送至接收端。
一种解密装置，应用于接收端，其特征在于，所述解密装置包括：

接收模块，用于接收密钥密文、数据密文；

第二选择模块，用于按照第一预设规则在初始密钥集中选择第三密钥；

解密模块，用于基于所述第三密钥对所述密钥密文进行解密，得到加密密钥，使用所述加密密钥解密所述数据密文。
一种加密装置，其特征在于，包括：

处理器；

用于存储处理器的可执行指令的存储器；

其中，所述处理器被配置为执行如权利要求1至7中任一项所述的加密方法。
一种解密装置，其特征在于，包括：

处理器；

用于存储处理器的可执行指令的存储器；

其中，所述处理器被配置为执行如权利要求8至10所述的解密方法。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被执行时实现如权利要求1-7所述加密方法，或者实现如权利要求8-10所述解密方法。