基于国密加密及PGP信任网络的端到端通信方法及系统技术方案

本发明专利技术公开了基于国密加密及PGP信任网络的端到端通信方法及系统，属于端到端通信技术领域，要解决的技术问题为基于PGP信任网络如何提供便捷的端到端安全通信的机制。发送端基于国密加密方法、通过接收端的公钥分别对所述会话密钥和会话周期加密；将得到的密文以及加密后的会话密钥和会话周期拼接为报文；接收端对接收的报文进行分析，通过密钥加密密钥对其加密存储的私钥进行解密，通过其私钥对加密后的会话密钥和会话周期进行解密，通过会话密钥对密文进行解密，得到会话中首次发送的消息；对于会话周期内后续发送的消息，发送端通过会话密钥对消息进行加密，接收端接受到密文后，通过会话密钥对密文进行解密。通过会话密钥对密文进行解密。通过会话密钥对密文进行解密。

【技术实现步骤摘要】
基于国密加密及PGP信任网络的端到端通信方法及系统


[0001]本专利技术涉及端到端通信领域，具体地说是基于国密加密及PGP信任网络的端到端通信方法及系统。

技术介绍

[0002]传统的端到端设备的通信一般是通过云端的服务器作为管理和中转节点来实现通信的，主要的原因来自两个方面，一是端到端的通信需要受到管理部门的监管，包括了数据内容的监管和端设备本身的管理、统计等业务方面的需要。二是ipv4的网络无法给端设备提供一个唯一的IP地址，由此可见传统的端到端通信其实是三方两两通信，这样会额外增加网络带宽、存储、算力等方面的开销。
[0003]PGP加解密是应用于邮件加密的应用，该方法通过散列函数、对接加密、以及非对称加密等多种算法组合而成的一种加密机制。主要处理流程如图1和图2所示，消息由对称加解密算法完成加解密运算，这样可以保证运算的速率(相比于非对称运算速度更快)，加密密钥由随机数+用户口令的方式生成并经过接收者的公钥加密后和消息密文一起拼接后发送给接收者。
[0004]PGP的密钥管理包括加密密钥(KEK)的生成(如图3所示)，PGP的私钥管理(如图4所示)，公钥管理三个部分。其中加密密钥的生成是通过随机数+口令后单向散列而成的，私钥是通过KEK做的加解密保护。PGP的公钥是依赖于信任网的，这一点不同于一般使用PKI体系借助CA机构完成公钥认证的方式，PGP信任网建立一个信任等级，通过各个用户的签名以及用户的受信任级别来决定该公钥是否有效。
[0005]传统的端到端通信存在如下问题：
[0006](1)通信效率低：如图5所示，一般两个端设备想要实现安全通信都是借助服务器来完成中转的，设备A和设备B需要安全通信，要求A和B分别与服务器C建立安全通路，数据从设备A到服务器C，再由C中转给设备B；
[0007](2)依赖庞大的PKI安全体系：基于非对称加密实现的安全通信，都存在公钥合法性的问题，传统方案大都是通过PKI体系来保障的，比如PKI中的RA负责注册和颁发证书，CA负责认证数字证书，CRL和OCSP负责离线和在线时的证书查询。
[0008]可知传统的端到端通信通信效率低，容易泄漏隐私，依赖庞大的PKI安全体系，致使部署成本高、维护复杂。
[0009]基于PGP信任网络如何提供便捷的端到端安全通信的机制，该机制不依赖任何第三方设备或者服务，利用端设备上的资源，尽最大可能的保障安全通信的实施，是需要解决的技术问题。

技术实现思路

[0010]本专利技术的技术任务是针对以上不足，提供基于国密加密及PGP信任网络的端到端通信方法及系统，来解决基于PGP信任网络如何提供便捷的端到端安全通信的机制，该机制
不依赖任何第三方设备或者服务，利用端设备上的资源，尽最大可能的保障安全通信的实施的技术问题。
[0011]第一方面，本专利技术一种基于国密加密及PGP信任网络的端到端通信方法，每个设备端均配置有安全芯片，所述安全芯片中配置有用于生成会话密钥的随机数生成器，并存储有密钥加密密钥、其加密后的私钥、以及与所述设备端进通信的其他设备端的公钥，所述加密后的私钥为基于国密加密方法、通过密钥加密密钥加密的私钥；
[0012]对于进行端到端通信的两个设备端，一个作为发送端、另一个作为接收端，发送端和接收端之间的基于如下通信机制进行会话：
[0013]发送端生成会话密钥并为所述会话密钥配置会话周期，并基于国密加密方法、通过接收端的公钥分别对所述会话密钥和会话周期加密；
[0014]对于所述会话中首次发送的消息，基于国密加密方法、发送端通过会话密钥对所述消息进行加密，将得到的密文以及加密后的会话密钥和会话周期拼接为报文，将报文发送至接收端；接收端对接收的报文进行分析，得到密文以及加密后的会话密钥和会话周期，通过密钥加密密钥对其加密存储的私钥进行解密，通过其私钥对加密后的会话密钥和会话周期进行解密，得到会话密钥和会话周期，并通过会话密钥对密文进行解密，得到所述会话中首次发送的消息；
[0015]对于所述会话周期内后续发送的消息，发送端通过会话密钥对所述消息进行加密后，将得到的密文发送至接收端，接收端接受到密文后，通过会话密钥对所述密文进行解密，得到对应的消息。
[0016]作为优选，每个设备端均配置有会话定时器，所述会话定时器中设置关门时间，所述定时器用于实现发送端和接收端的同步，所述关门时间用于基于会话周期增加接收端接收数据的延迟时间，以避免发送端和接收端之间信息丢失；
[0017]发送端将报文发送至接收端后，启动其会话定时器，对应的，接收端得到会话周期后，启动其会话定时器；
[0018]设定会话周期为T，关门时间为t，对于接收端，所述会话周期有效时间为T+t。
[0019]作为优选，对于每个设备端，其公钥配置有信任级别，所述信任级别分为如下类别：
[0020]I trust ultimately，所述I trust ultimately为绝对信任，持有私钥的设备端本身；
[0021]I trust fully，所述I trust fully为完全信任；
[0022]I trust marginally，所述I trust marginally为有限信任；
[0023]I do Not trust，所述I do Not trust为不信任；
[0024]Unknow，所述Unknow为未知密钥；
[0025]Undefined，所述Undefined为未设置；
[0026]对于每个发送端，满足如下条件的公钥为有效公钥：
[0027]由接收端签名确认的公钥，或者，由完全信任的设备端签名确认的公钥，或者，被多个有限信任的设备签名确认的公钥。
[0028]作为优选，在IPV4环境下，每个加入PGP信任网络的设备端将其网络地址注册至地址协商服务器，对于每个加入PGP网路的设备端，所述地址协商服务器中存储有所述设备端
的设备ID以及网络地址；
[0029]对于进行端到端通信的两个设备端，发送端向地址协商服务器请求接收端的网络地址，地址协商服务器基于请求中指定的设备ID，向发送端返回接收端的网络地址，发送端基于地址协商服务器返回的网络地址向接收端发起会话。
[0030]第二方面，本专利技术一种基于国密加密及PGP信任网络的端到端通信系统，包括多个配置有安全芯片的设备端，所述安全芯片中配置有用于生成会话密钥的随机数生成器，并存储有密钥加密密钥、其加密后的私钥、以及与所述设备端进通信的其他设备端的公钥，所述加密后的私钥为基于国密加密方法、通过密钥加密密钥加密的私钥；
[0031]对于进行端到端通信的两个设备端，一个作为发送端、另一个作为接收端；
[0032]所述发送端用于执行如下：
[0033]生成会话密钥并为所述会话密钥配置会话周期，并基于国密加密方法、通过接收端的公钥分别对所述会话密钥和会话周期加密；
[0034]对于所述会话中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国密加密及PGP信任网络的端到端通信方法，其特征在于，每个设备端均配置有安全芯片，所述安全芯片中配置有用于生成会话密钥的随机数生成器，并存储有密钥加密密钥、其加密后的私钥、以及与所述设备端进通信的其他设备端的公钥，所述加密后的私钥为基于国密加密方法、通过密钥加密密钥加密的私钥；对于进行端到端通信的两个设备端，一个作为发送端、另一个作为接收端，发送端和接收端之间的基于如下通信机制进行会话：发送端生成会话密钥并为所述会话密钥配置会话周期，并基于国密加密方法、通过接收端的公钥分别对所述会话密钥和会话周期加密；对于所述会话中首次发送的消息，基于国密加密方法、发送端通过会话密钥对所述消息进行加密，将得到的密文以及加密后的会话密钥和会话周期拼接为报文，将报文发送至接收端；接收端对接收的报文进行分析，得到密文以及加密后的会话密钥和会话周期，通过密钥加密密钥对其加密存储的私钥进行解密，通过其私钥对加密后的会话密钥和会话周期进行解密，得到会话密钥和会话周期，并通过会话密钥对密文进行解密，得到所述会话中首次发送的消息；对于所述会话周期内后续发送的消息，发送端通过会话密钥对所述消息进行加密后，将得到的密文发送至接收端，接收端接受到密文后，通过会话密钥对所述密文进行解密，得到对应的消息。2.根据权利要求1所述的基于国密加密及PGP信任网络的端到端通信方法，其特征在于，每个设备端均配置有会话定时器，所述会话定时器中设置关门时间，所述定时器用于实现发送端和接收端的同步，所述关门时间用于基于会话周期增加接收端接收数据的延迟时间，以避免发送端和接收端之间信息丢失；发送端将报文发送至接收端后，启动其会话定时器，对应的，接收端得到会话周期后，启动其会话定时器；设定会话周期为T，关门时间为t，对于接收端，所述会话周期有效时间为T+t。3.根据权利要求1所述的基于国密加密及PGP信任网络的端到端通信方法，其特征在于，对于每个设备端，其公钥配置有信任级别，所述信任级别分为如下类别：I trust ultimately，所述I trust ultimately为绝对信任，持有私钥的设备端本身；I trust fully，所述I trust fully为完全信任；I trust marginally，所述I trust marginally为有限信任；I do Not trust，所述I do Not trust为不信任；Unknow，所述Unknow为未知密钥；Undefined，所述Undefined为未设置；对于每个发送端，满足如下条件的公钥为有效公钥：由接收端签名确认的公钥，或者，由完全信任的设备端签名确认的公钥，或者，被多个有限信任的设备签名确认的公钥。4.根据权利要求1
‑
3任一项所述的基于国密加密及PGP信任网络的端到端通信方法，其特征在于，在IPV4环境下，每个加入PGP信任网络的设备端将其网络地址注册至地址协商服务器，对于每个加入PGP网路的设备端，所述地址协商服务器中存储有所述设备端的设备ID以及网络地址；
对于进行端到端通信的两个设备端，发送端向地址协商服务器请求接收端的网络地址，地址协商服务器基于请求中指定的设备ID，向发送端返回接收端的网络地址，发送端基于地址协商服务器返回的网络地址向接收端发起会话。5.一种基于国密加密及PGP信任网络的端到端通信系统...

【专利技术属性】
技术研发人员：马骥，李幸福，杨鹏，
申请(专利权)人：浪潮通信技术有限公司，
类型：发明
国别省市：