[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN114826659B - 一种加密通讯方法及系统 - Google Patents

一种加密通讯方法及系统 Download PDF

Info

Publication number
CN114826659B
CN114826659B CN202210260519.8A CN202210260519A CN114826659B CN 114826659 B CN114826659 B CN 114826659B CN 202210260519 A CN202210260519 A CN 202210260519A CN 114826659 B CN114826659 B CN 114826659B
Authority
CN
China
Prior art keywords
information
client
server
timestamp
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210260519.8A
Other languages
English (en)
Other versions
CN114826659A (zh
Inventor
张岭
彭宏飞
许青
戴惠鸿
吴泽鑫
王连民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Miracle Intelligent Network Co Ltd
Original Assignee
Shenzhen Miracle Intelligent Network Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Miracle Intelligent Network Co Ltd filed Critical Shenzhen Miracle Intelligent Network Co Ltd
Priority to CN202210260519.8A priority Critical patent/CN114826659B/zh
Publication of CN114826659A publication Critical patent/CN114826659A/zh
Application granted granted Critical
Publication of CN114826659B publication Critical patent/CN114826659B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种加密通讯方法及系统,其中,通讯方法包括:客户端对协商信息进行加密及签名,得到第一密文信息,并获取第一时间戳;服务端对第一密文信息进行解密及验签,在客户端的身份合法性验证通过后,服务端生成共享密钥并获取第二时间戳,并对协商信息、共享密钥及第二时间戳进行加密及签名,得到第二密文信息;客户端对第二密文信息进行解密及验签,并根据第一时间戳与第二时间戳的关系,验证服务端身份的合法性;在服务端的身份合法性验证通过后,客户端将第一时间戳更新为第二时间戳,并与服务端使用共享密钥对数据进行加密通讯。本申请提供的加密通讯方法及系统,能够提高数据传输的效率及安全性,保证传输数据的真实性,防止数据重放。

Description

一种加密通讯方法及系统
技术领域
本申请属于通讯技术领域,尤其涉及一种加密通讯方法及系统。
背景技术
随着互联网技术的高速发展,越来越多的智能设备可接入互连网,一方面给人们生活、工作、学习带来帮助,而另一方面数据通讯的安全性越来越受到重视。加密算法在通讯技术领域已得到广泛运用,主要包括对称加密算法、非对称加密算法及散列算法。
对称加密算法又称共享密钥加密算法,在这种算法中使用的密钥只有一个,发送和接收双方都使用这个密钥对数据进行加密和解密。这种加密方式有着更高的加解密速度,但其加密的安全性取决于密钥的复杂度,自身所用算法的安全性,以及密钥是否安全。在数据传输过程中,安全性较低,如果密钥被窃取,加密就失去了意义。
非对称加密又称公开密钥加密算法。它需要两个密钥,一个称为公开密钥即公钥,另一个称为私有密钥即私钥,公私钥是由相应的椭圆曲线产生的,用公钥加密只能用所对应的私钥进行解密。非对称加密的方式相对于对称加密算法来说更加的安全,但加解密速度相对比较慢。
散列算法是对数据进行散列,保证网络传输时数据的真实性,散列算法处理过的数据具有不可逆性。但散列算法本身不具有数据的加解密功能,只能保证网络传输时数据的真实性不会被篡改。
使用单一算法对网络传输数据进行加密或散列,都会存在各算法自身相应的问题,如何结合以上三种算法对网络传输数据进行加密,提高数据传输的效率及安全性,并保证传输数据的真实性成了亟待解决的问题。
发明内容
针对上述技术问题,本申请提供一种加密通讯方法及系统,以提高数据传输的效率及安全性,保证传输数据的真实性,并有效避免数据重放的情况。
本申请提供了一种加密通讯方法,包括:客户端与服务端建立连接并交换数字证书;所述客户端对协商信息进行加密及签名,得到第一密文信息,并将所述第一密文信息发送给所述服务端,同时获取第一时间戳;所述服务端对所述第一密文信息进行解密及验签,以验证客户端身份的合法性;在所述客户端的身份合法性验证通过后,所述服务端生成共享密钥并获取第二时间戳,并对所述协商信息、所述共享密钥及所述第二时间戳的组合信息进行加密及签名,得到第二密文信息,并将所述第二密文信息发送给所述客户端;所述客户端对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性;在所述服务端的身份合法性验证通过后,所述客户端将所述第一时间戳更新为所述第二时间戳,并与所述服务端使用所述共享密钥对数据进行加密通讯。
在一实施方式中,在交换数字证书之前,包括:所述客户端通过非对称加密算法生成第一密钥对,所述第一密钥对包括第一公钥、第一私钥;所述客户端的数字证书包括所述第一公钥;所述服务端通过所述非对称加密算法生成第二密钥对,所述第二密钥对包括第二公钥、第二私钥;所述服务端的数字证书包括所述第二公钥。
在一实施方式中,所述客户端对协商信息进行加密及签名,得到第一密文信息,包括:所述客户端使用所述第二公钥对所述协商信息进行加密,并使用所述第一私钥对加密后的协商信息进行签名,得到所述第一密文信息;所述服务端对所述第一密文信息进行解密及验签,以验证客户端身份的合法性的步骤,包括:所述服务端使用所述第一公钥对所述第一密文信息进行验签,在对所述第一密文信息验签通过后,使用所述第二私钥对所述第一密文信息进行解密,得到所述协商信息。
在一实施方式中,所述服务端对所述第一密文信息进行解密及验签,以验证客户端身份的合法性的步骤,包括:若所述协商信息与预设信息一致,则所述客户端的身份合法性验证通过;若所述协商信息与所述预设信息不一致,则所述客户端的身份合法性验证失败。
在一实施方式中,所述服务端对所述协商信息、所述共享密钥及所述第二时间戳的组合信息进行加密及签名,得到第二密文信息,包括:所述服务端使用所述第一公钥对所述组合信息进行加密,并使用所述第二私钥对加密后的组合信息进行签名,得到所述第二密文信息;所述客户端对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性的步骤,包括:所述客户端使用所述第二公钥对所述第二密文信息进行验签,并在对所述第二密文信息验签通过后,使用所述第一私钥对所述第二密文信息进行解密,得到所述协商信息、所述共享密钥及所述第二时间戳。
在一实施方式中,所述客户端对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性的步骤,包括:若所述协商信息与预设信息一致,且所述第二时间戳大于所述第一时间戳,则所述服务端的身份合法性验证通过;若所述协商信息与预设信息不一致,和/或所述第二时间戳小于或等于所述第一时间戳,则所述服务端的身份合法性验证失败。
在一实施方式中,所述客户端与所述服务端使用所述共享密钥对数据进行加密通讯,包括:数据发送方使用所述共享密钥对数据明文进行加密,得到数据密文,同时获取第三时间戳,并将所述数据密文及所述第三时间戳发送给数据接收方;所述数据接收方根据所述第三时间戳与本地保存的时间戳的关系,对所述数据密文进行解密;若所述第三时间戳大于所述本地保存的时间戳,则所述数据接收方使用所述共享密钥对所述数据密文进行解密,得到所述数据明文,并将所述本地保存的时间戳更新为所述第三时间戳;若所述第三时间戳小于或等于所述本地保存的时间戳,则所述数据接收方保持所述数据密文不变。
在一实施方式中,所述通讯方法,包括:所述客户端与所述服务端对所述数字证书的使用时长进行监测;在所述客户端的数字证书的使用时长超过第一预设时长,和/或所述服务端的数字证书的使用时长超过第二预设时长时,断开连接。
本申请还提供了一种数据加密通讯系统,所述通讯系统包括一个服务端和至少一个客户端;其中,所述客户端用于与所述服务端建立连接并交换数字证书;所述客户端还用于对协商信息进行加密及签名,得到第一密文信息,并将所述第一密文信息发送给所述服务端,同时获取第一时间戳;所述服务端用于对所述第一密文信息进行解密及验签,以验证客户端身份的合法性;在所述客户端的身份合法性验证通过后,所述服务端用于生成共享密钥并获取第二时间戳,并对所述协商信息、所述共享密钥及所述第二时间戳的组合信息进行加密及签名,得到第二密文信息,并将所述第二密文信息发送给所述客户端;所述客户端还用于对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性;在所述服务端的身份合法性验证通过后,所述客户端用于将所述第一时间戳更新为所述第二时间戳,并与所述服务端使用所述共享密钥对数据进行加密通讯。
在一实施方式中,所述服务端包括第一认证单元和第一安全通道单元;所述客户端包括第二认证单元和第二安全通道单元;所述第一认证单元用于对所述客户端的身份合法性进行认证;所述第二认证单元用于对所述服务端的身份合法性进行认证;在所述客户端的身份合法性及所述服务端的身份合法性认证通过后,所述第一安全通道单元与第二安全通道单元使用所述共享密钥对数据进行加密通讯。
本申请提供的一种加密通讯方法及系统,将对称加密算法的高效性、非对称加密算法的安全性及散列算法的不可逆性相结合,能够提高数据传输的效率及安全性,保证传输数据的真实性,并有效避免数据重放的情况。
附图说明
图1是本申请实施例一提供的加密通讯方法的流程示意图;
图2是本申请实施例二提供的加密通讯系统的结构示意图;
图3是本申请实施例二提供的服务端的结构示意图;
图4是本申请实施例二提供的客户端的结构示意图。
具体实施方式
以下结合说明书附图及具体实施例对本申请技术方案做进一步的详细阐述。除非另有定义,本申请所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。本文所使用的“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。
图1是本申请实施例一提供的加密通讯方法的流程示意图。如图1所示,本申请的加密通讯方法可以包括如下步骤:
步骤S101:客户端与服务端建立连接并交换数字证书;
可选地,客户端包括大屏媒体处理卡、IP广播等硬件设备;服务端包括7G边缘计算单元、智能网关等边缘网关设备,以及7G物联网平台等平台。
在一实施方式中,在交换数字证书之前,包括:
客户端通过非对称加密算法生成第一密钥对,第一密钥对包括第一公钥、第一私钥;客户端的数字证书包括第一公钥;
服务端通过非对称加密算法生成第二密钥对,第二密钥对包括第二公钥、第二私钥;服务端的数字证书包括第二公钥。
可选地,客户端数字证书的内容还包括客户端数字证书的可用时长,即第一公钥的密效时长;服务端数字证书的内容还包括服务端数字证书的可用时长,即第二公钥的密效时长。
步骤S102:客户端对协商信息进行加密及签名,得到第一密文信息,并将第一密文信息发送给服务端,同时获取第一时间戳;
在一实施方式中,客户端对协商信息进行加密及签名,得到第一密文信息,包括:
客户端使用第二公钥对协商信息进行加密,并使用第一私钥对加密后的协商信息进行签名,得到第一密文信息;
可选地,客户端通过散列算法使用第一私钥对加密后的协商信息进行签名;协商信息为客户端与服务端协商的,用于身份认证的信息。
步骤S103:服务端对第一密文信息进行解密及验签,以验证客户端身份的合法性;
在一实施方式中,步骤S103,包括:
服务端使用第一公钥对第一密文信息进行验签,在对第一密文信息验签通过后,使用第二私钥对第一密文信息进行解密,得到协商信息。
若协商信息与预设信息一致,则客户端的身份合法性验证通过;
若协商信息与预设信息不一致,则客户端的身份合法性验证失败。
步骤S104:在客户端的身份合法性验证通过后,服务端生成共享密钥并获取第二时间戳,并对协商信息、共享密钥及第二时间戳的组合信息进行加密及签名,得到第二密文信息,并将第二密文信息发送给客户端;
在一实施方式中,服务端对协商信息、共享密钥及第二时间戳的组合信息进行加密及签名,得到第二密文信息,包括:
服务端使用第一公钥对组合信息进行加密,并使用第二私钥对加密后的组合信息进行签名,得到第二密文信息;
可选地,服务端通过散列算法使用第二公钥对加密后的组合信息进行签名。
步骤S105:客户端对第二密文信息进行解密及验签,并根据第一时间戳与第二时间戳的关系,验证服务端身份的合法性;
在一实施方式中,步骤S105,包括:
客户端使用第二公钥对第二密文信息进行验签,并在对第二密文信息验签通过后,使用第一私钥对第二密文信息进行解密,得到协商信息、共享密钥及第二时间戳。
若协商信息与预设信息一致,且第二时间戳大于第一时间戳,则服务端的身份合法性验证通过;
若协商信息与预设信息不一致,和/或第二时间戳小于或等于第一时间戳,则服务端的身份合法性验证失败。
步骤S106:在服务端的身份合法性验证通过后,客户端将第一时间戳更新为第二时间戳,并与服务端使用共享密钥对数据进行加密通讯。
在一实施方式中,客户端与服务端使用共享密钥对数据进行加密通讯,包括:
数据发送方使用共享密钥对数据明文进行加密,得到数据密文,同时获取第三时间戳,并将数据密文及第三时间戳发送给数据接收方;
数据接收方根据第三时间戳与本地保存的时间戳的关系,对数据密文进行解密;
若第三时间戳大于本地保存的时间戳,则数据接收方使用共享密钥对数据密文进行解密,得到数据明文,并将本地保存的时间戳更新为第三时间戳;
若第三时间戳小于或等于本地保存的时间戳,则数据接收方保持数据密文不变,即不对数据密文进行解密。
可选地,数据接收方本地保存的时间戳的初始值为第二时间戳;客户端与服务端均可作为数据发送方或数据接收方与对方进行通讯;共享密钥通过对称加密算法生成。
可选地,第一时间戳、第二时间戳、第三时间戳为基于UNIX操作系统的时间戳;第一时间戳为客户端的身份合法性验证前,客户端将第一密文信息发送给服务端的时间,客户端获取并保存第一时间戳;第二时间戳为客户端的身份合法性验证通过后,服务端生成共享密钥的时间,服务端获取并保存第二时间戳;第三时间戳为客户端及服务端的身份合法性均验证通过后,数据发送方使用共享密钥对数据明文进行加密,得到数据密文的时间,数据发送方获取并保存第三时间戳。
值得一提的是,本申请的通讯方法还包括:客户端与服务端对数字证书的使用时长进行监测;在客户端的数字证书的使用时长超过第一预设时长,和/或服务端的数字证书的使用时长超过第二预设时长时,断开连接,再次通讯时需重新执行上述S101-S106的步骤。可选地,第一预设时长为客户端数字证书的可用时长;第二预设时长为服务端数字证书的可用时长。
可选地,以7G边缘计算单元(服务端),大屏媒体处理卡(客户端)为例:大屏媒体处理卡与7G边缘计算单元连接成功后,大屏媒体处理卡会产生一个数字证书,证书内容包括基于非对称加密算法SM2生成的公钥PK1,以及该证书的可用时长,并将该证书发送给7G边缘计算单元;7G边缘计算单元收到大屏媒体处理卡发送的数字证书后也产生一个数字证书,证书内容包括基于非对称加密算法SM2生成的公钥PK2,以及该证书的可用时长,并将该证书发送给大屏媒体处理卡;大屏媒体处理卡用7G边缘计算单元数字证书上的公钥PK2加密协商信息,如7G字符串,并使用私钥SK1(与公钥PK1一起产生的密钥对),通过散列算法签名加密后的协商信息,并将签名且加密的协商信息发送给7G边缘计算单元,同时获取第一时间戳;7G边缘计算单元收到信息后先用公钥PK1验签,若验签成功则使用私钥SK2(与公钥PK2一起产生的密钥对)解密获得协商信息,7G边缘计算单元进一步对大屏媒体处理卡的身份合法性进行验证,若协商信息与预设信息一致,则大屏媒体处理卡的身份合法性验证通过,7G边缘计算单元开启安全模式,并通过对称加密算法SM4生成一个随机数作为共享密钥,同时获取第二时间戳,然后用公钥PK1加密协商信息、共享密钥和第二时间戳的组合信息,并用私钥SK2签名加密后的组合信息后,然后将签名且加密的组合信息发送给大屏媒体处理卡;大屏媒体处理卡收到信息后先用公钥PK2验签,若验签成功则使用私钥SK1解密获得协商信息、共享密钥及第二时间戳,大屏媒体处理卡进一步对7G边缘计算单元的身份合法性进行验证,若协商信息与预设信息一致,且第二时间戳大于第一时间戳,则服务端的身份合法性验证通过,大屏媒体处理卡开启安全模式;在7G边缘计算单元和大屏媒体处理卡双方都开启安全模式后,数据发送方通过对称加密算法的加密模式如密文分组链接模式(CBC模式),使用共享密钥将数据加密成密文,同时获取第三时间戳,然后将数据密文及第三时间戳传输给数据接收方;数据接收方对第三时间戳及本地保存的时间戳进行比较,若第三时间戳大于本地保存的时间戳,则使用共享密钥对数据密文进行解密,得到数据明文,并将本地保存的时间戳更新为第三时间戳。在上述过程中,7G边缘计算单元及大屏媒体处理卡都会监测双方数字证书的使用时长,若任一方数字证书的使用时长超过可用时长,则主动断开连接。
本申请实施例一提供的通讯方法,将对称加密算法的高效性、非对称加密算法的安全性及散列算法的不可逆性相结合,有效提高了数据传输的效率及安全性,保证了传输数据的真实性,并有效避免了数据重放的情况。
图2是本申请实施二提供的加密通讯系统的结构示意图。如图2所示,本申请的加密通讯系统包括一个服务端11和至少一个客户端12;
其中,客户端12用于与服务端11建立连接并交换数字证书;
客户端12还用于对协商信息进行加密及签名,得到第一密文信息,并将第一密文信息发送给服务端11,同时获取第一时间戳;
服务端11用于对第一密文信息进行解密及验签,以验证客户端12身份的合法性;
在客户端12的身份合法性验证通过后,服务端11用于生成共享密钥并获取第二时间戳,并对协商信息、共享密钥及第二时间戳的组合信息进行加密及签名,得到第二密文信息,并将第二密文信息发送给客户端12;
客户端12还用于对第二密文信息进行解密及验签,并根据第一时间戳与第二时间戳的关系,验证服务端11身份的合法性;
在服务端11的身份合法性验证通过后,客户端12用于将第一时间戳更新为第二时间戳,并与服务端11使用共享密钥对数据进行加密通讯。
在一实施方式中,服务端11包括第一认证单元111和第一安全通道单元112,如图3所示;客户端12包括第二认证单元121和第二安全通道单元122,如图4所示;
第一认证单元111用于对客户端12的身份合法性进行认证;
第二认证单元121用于对服务端11的身份合法性进行认证;
在客户端12的身份合法性及服务端11的身份合法性认证通过后,第一安全通道单元112与第二安全通道单元122使用共享密钥对数据进行加密通讯。
本实施例的具体实现方法参考实施例一,此处不再赘述。
本申请实施例二提供的通讯系统,在客户端与服务端的双向身份认证通过后,双方开启安全模式,通过第一安全通道单元与第二安全通道单元使用共享密钥对数据进行加密通讯,将对称加密算法的高效性、非对称加密算法的安全性及散列算法的不可逆性相结合,有效提高了数据传输的效率及安全性,保证了传输数据的真实性,并有效避免了数据重放的情况。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,除了包含所列的那些要素,而且还可包含没有明确列出的其他要素。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (9)

1.一种加密通讯方法,其特征在于,包括:
客户端与服务端建立连接并交换数字证书;
所述客户端对协商信息进行加密及签名,得到第一密文信息,并将所述第一密文信息发送给所述服务端,同时获取第一时间戳;
所述服务端对所述第一密文信息进行解密及验签,以验证客户端身份的合法性;
在所述客户端的身份合法性验证通过后,所述服务端生成共享密钥并获取第二时间戳,并对所述协商信息、所述共享密钥及所述第二时间戳的组合信息进行加密及签名,得到第二密文信息,并将所述第二密文信息发送给所述客户端;
所述客户端对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性;
在所述服务端的身份合法性验证通过后,所述客户端将所述第一时间戳更新为所述第二时间戳,并与所述服务端使用所述共享密钥对数据进行加密通讯;
所述客户端与所述服务端使用所述共享密钥对数据进行加密通讯,包括:
数据发送方使用所述共享密钥对数据明文进行加密,得到数据密文,同时获取第三时间戳,并将所述数据密文及所述第三时间戳发送给数据接收方;
所述数据接收方根据所述第三时间戳与本地保存的时间戳的关系,对所述数据密文进行解密;
若所述第三时间戳大于所述本地保存的时间戳,则所述数据接收方使用所述共享密钥对所述数据密文进行解密,得到所述数据明文,并将所述本地保存的时间戳更新为所述第三时间戳;
若所述第三时间戳小于或等于所述本地保存的时间戳,则所述数据接收方保持所述数据密文不变。
2.如权利要求1所述的通讯方法,其特征在于,在交换数字证书之前,包括:
所述客户端通过非对称加密算法生成第一密钥对,所述第一密钥对包括第一公钥、第一私钥;所述客户端的数字证书包括所述第一公钥;
所述服务端通过所述非对称加密算法生成第二密钥对,所述第二密钥对包括第二公钥、第二私钥;所述服务端的数字证书包括所述第二公钥。
3.如权利要求2所述的通讯方法,其特征在于,所述客户端对协商信息进行加密及签名,得到第一密文信息,包括:
所述客户端使用所述第二公钥对所述协商信息进行加密,并使用所述第一私钥对加密后的协商信息进行签名,得到所述第一密文信息;
所述服务端对所述第一密文信息进行解密及验签,以验证客户端身份的合法性的步骤,包括:
所述服务端使用所述第一公钥对所述第一密文信息进行验签,在对所述第一密文信息验签通过后,使用所述第二私钥对所述第一密文信息进行解密,得到所述协商信息。
4.如权利要求3所述的通讯方法,其特征在于,所述服务端对所述第一密文信息进行解密及验签,以验证客户端身份的合法性的步骤,包括:
若所述协商信息与预设信息一致,则所述客户端的身份合法性验证通过;
若所述协商信息与所述预设信息不一致,则所述客户端的身份合法性验证失败。
5.如权利要求2所述的通讯方法,其特征在于,所述服务端对所述协商信息、所述共享密钥及所述第二时间戳的组合信息进行加密及签名,得到第二密文信息,包括:
所述服务端使用所述第一公钥对所述组合信息进行加密,并使用所述第二私钥对加密后的组合信息进行签名,得到所述第二密文信息;
所述客户端对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性的步骤,包括:
所述客户端使用所述第二公钥对所述第二密文信息进行验签,并在对所述第二密文信息验签通过后,使用所述第一私钥对所述第二密文信息进行解密,得到所述协商信息、所述共享密钥及所述第二时间戳。
6.如权利要求5所述的通讯方法,其特征在于,所述客户端对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性的步骤,包括:
若所述协商信息与预设信息一致,且所述第二时间戳大于所述第一时间戳,则所述服务端的身份合法性验证通过;
若所述协商信息与预设信息不一致,和/或所述第二时间戳小于或等于所述第一时间戳,则所述服务端的身份合法性验证失败。
7.如权利要求1-6任一项所述的通讯方法,其特征在于,所述通讯方法,包括:
所述客户端与所述服务端对所述数字证书的使用时长进行监测;
在所述客户端的数字证书的使用时长超过第一预设时长,和/或所述服务端的数字证书的使用时长超过第二预设时长时,断开连接。
8.一种数据加密通讯系统,其特征在于,所述通讯系统包括一个服务端和至少一个客户端;
其中,所述客户端用于与所述服务端建立连接并交换数字证书;
所述客户端还用于对协商信息进行加密及签名,得到第一密文信息,并将所述第一密文信息发送给所述服务端,同时获取第一时间戳;
所述服务端用于对所述第一密文信息进行解密及验签,以验证客户端身份的合法性;
在所述客户端的身份合法性验证通过后,所述服务端用于生成共享密钥并获取第二时间戳,并对所述协商信息、所述共享密钥及所述第二时间戳的组合信息进行加密及签名,得到第二密文信息,并将所述第二密文信息发送给所述客户端;
所述客户端还用于对所述第二密文信息进行解密及验签,并根据所述第一时间戳与所述第二时间戳的关系,验证服务端身份的合法性;
在所述服务端的身份合法性验证通过后,所述客户端用于将所述第一时间戳更新为所述第二时间戳,并与所述服务端使用所述共享密钥对数据进行加密通讯,包括:
数据发送方使用所述共享密钥对数据明文进行加密,得到数据密文,同时获取第三时间戳,并将所述数据密文及所述第三时间戳发送给数据接收方;
所述数据接收方根据所述第三时间戳与本地保存的时间戳的关系,对所述数据密文进行解密;
若所述第三时间戳大于所述本地保存的时间戳,则所述数据接收方使用所述共享密钥对所述数据密文进行解密,得到所述数据明文,并将所述本地保存的时间戳更新为所述第三时间戳;
若所述第三时间戳小于或等于所述本地保存的时间戳,则所述数据接收方保持所述数据密文不变。
9.如权利要求8所述的通讯系统,其特征在于,所述服务端包括第一认证单元和第一安全通道单元;所述客户端包括第二认证单元和第二安全通道单元;
所述第一认证单元用于对所述客户端的身份合法性进行认证;
所述第二认证单元用于对所述服务端的身份合法性进行认证;
在所述客户端的身份合法性及所述服务端的身份合法性认证通过后,所述第一安全通道单元与第二安全通道单元使用所述共享密钥对数据进行加密通讯。
CN202210260519.8A 2022-03-16 2022-03-16 一种加密通讯方法及系统 Active CN114826659B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210260519.8A CN114826659B (zh) 2022-03-16 2022-03-16 一种加密通讯方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210260519.8A CN114826659B (zh) 2022-03-16 2022-03-16 一种加密通讯方法及系统

Publications (2)

Publication Number Publication Date
CN114826659A CN114826659A (zh) 2022-07-29
CN114826659B true CN114826659B (zh) 2024-07-26

Family

ID=82528460

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210260519.8A Active CN114826659B (zh) 2022-03-16 2022-03-16 一种加密通讯方法及系统

Country Status (1)

Country Link
CN (1) CN114826659B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114650173A (zh) * 2022-03-16 2022-06-21 深圳奇迹智慧网络有限公司 一种加密通讯方法及系统
CN115457687B (zh) * 2022-09-15 2024-05-03 深圳奇迹智慧网络有限公司 智能杆的安全配置方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535868A (zh) * 2019-09-05 2019-12-03 山东浪潮商用系统有限公司 基于混合加密算法的数据传输方法及系统
CN111030814A (zh) * 2019-12-25 2020-04-17 杭州迪普科技股份有限公司 秘钥协商方法及装置
CN114650173A (zh) * 2022-03-16 2022-06-21 深圳奇迹智慧网络有限公司 一种加密通讯方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105991650B (zh) * 2016-01-21 2019-09-27 李明 一种身份证信息的传输方法及系统
US11582044B2 (en) * 2019-06-17 2023-02-14 Mahboud Zabetian Systems and methods to timestamp and authenticate digital documents using a secure ledger
CN111614467B (zh) * 2020-04-29 2022-08-19 深圳奇迹智慧网络有限公司 系统后门防御方法、装置、计算机设备和存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535868A (zh) * 2019-09-05 2019-12-03 山东浪潮商用系统有限公司 基于混合加密算法的数据传输方法及系统
CN111030814A (zh) * 2019-12-25 2020-04-17 杭州迪普科技股份有限公司 秘钥协商方法及装置
CN114650173A (zh) * 2022-03-16 2022-06-21 深圳奇迹智慧网络有限公司 一种加密通讯方法及系统

Also Published As

Publication number Publication date
CN114826659A (zh) 2022-07-29

Similar Documents

Publication Publication Date Title
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
CN107888560B (zh) 一种移动智能终端邮件安全传输系统及方法
CN110048849B (zh) 一种多层保护的会话密钥协商方法
CN108683647B (zh) 一种基于多重加密的数据传输方法
CN110020524B (zh) 一种基于智能卡的双向认证方法
JP2005515701A6 (ja) データ伝送リンク
JP2005515715A (ja) データ伝送リンク
JP2005515701A (ja) データ伝送リンク
CN103763356A (zh) 一种安全套接层连接的建立方法、装置及系统
CN106878016A (zh) 数据发送、接收方法及装置
CN104735068A (zh) 基于国密的sip安全认证的方法
JP2001524777A (ja) データ接続の機密保護
JP2012019511A (ja) 無線通信機器とサーバとの間でのデータの安全なトランザクションのためのシステムおよび方法
CN104683359A (zh) 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
CN114650173A (zh) 一种加密通讯方法及系统
CN114826659B (zh) 一种加密通讯方法及系统
CN107682152B (zh) 一种基于对称密码的群组密钥协商方法
CN117278330B (zh) 一种电力物联网设备网络的轻量级组网与安全通信方法
CN113630248A (zh) 一种会话密钥协商方法
CN114172745A (zh) 一种物联网安全协议系统
CN113204760B (zh) 用于软件密码模块的安全通道建立方法及系统
CN115499250B (zh) 一种数据加密方法及装置
CN114553441B (zh) 一种电子合同签署方法及系统
CN114928503B (zh) 一种安全通道的实现方法及数据传输方法
CN114189338B (zh) 基于同态加密技术的sm9密钥安全分发和管理系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant