基于数据传输过程的安全加密方法及装置

摘要

本发明公开了一种基于数据传输过程的安全加密方法及装置，客户端通过随机生成模块随机生成动态的对称加密所需的字符串；客户端使用非对称加密公钥及base64对字符串先后加密；再把请求参数采用对称加密及base64加密；将字符串作为对称加密的秘钥参数获得结果；客户端将三部分结果拼接后获得请求参数，向服务端发出申请；客户端判断模块依据指令判断是否可以解密，加强了安全性。本发明先非对称加密，避免了易被解密泄露的风险，再采用运算速度快的AES对传输数据进行对称加密，既保证了数据传输的安全可靠性，又保障了传输性能。

说明书

技术领域

本发明属于互联网传输技术领域，尤其涉及一种基于数据传输过程的安全加密方法及装置。

背景技术

目前，在互联网和移动互联网高速发展的时代，在为人们的生活带来了巨大的方便的同时，数据安全性成了个人及企业最为关心的大事。数据安全的范畴包含：技术安全、服务安全、存储安全、传输安全等，如果信息在传输过程中可以被任意修改，就无法保证数据的完整性，甚至带来严重的后果，现有的加密方式通常采用单一的对称加密方式，秘钥单一，无法实现动态秘钥管理，秘钥如果保存于客户端，客户端被反编译后密钥就会发生暴露，那加密方案的安全性不攻自破，客户端发布后，秘钥也不能及时修改，只能重新发布解决；也有采用非对称加密：还需要考虑历史兼容还有一种为非对称加密方式，此方式加解密速度慢，不适用于大数据和文件上传之类的加密。

发明内容

为解决上述问题，本发明提供了一种基于数据传输过程的安全加密方法及装置，从根源入手，首先在服务端和客户端使用一一对应的非对称加密秘钥，在每次请求之前，客户端通过随机生成模块随机生成动态的对称加密所需的第一字符串和第二字符串；客户端通过非对称加密公钥对第一字符串先进行非对称加密，再进行base64加密，对第二字符串进行base64加密，获得第二部分结果，避免了易被解密泄露的风险，再采用运算速度快且安全性高的对称加密对传输数据进行对称加密；还通过预设的指令使判断模块进一步有效控制服务端的解密行为，因此，既保证了数据传输的安全可靠性，又保障了传输性能。

为实现上述发明目的，本发明的技术方案是：

一种基于数据传输过程的安全加密方法，包括如下步骤：

步骤1：客户端随机生成动态的对称加密所需的第一字符串和第二字符串；步骤2：所述客户端使用非对称加密公钥对所述第一字符串先进行非对称加密，再进行base64加密，获得第一部分结果；

步骤3：所述客户端对所述第二字符串进行base64加密，获得第二部分结果；步骤4：所述客户端把请求参数采用对称加密，并base64加密，所述第一字符串和所述第二字符串作为对称加密的秘钥参数，加密后获得第三部分结果；步骤5：所述客户端将所述第一部分结果、所述第二部分结果及所述第三部分结果拼接后获得请求参数，向服务端发出申请；

步骤6：获取所述请求参数，将密文拆分，并进行解密；

步骤7：依据预设的指令判断是否可以解密，若可解密，所述服务端对结果进行加密返回；若不可解密，则返回明文信息；

步骤8：所述客户端在接收到密文后使用对称加密进行解密。

优选地，步骤1还包括：客户端每次请求之前均随机生成动态的对称加密所需的第一字符串和第二字符串，所述第一字符串包括key，所述第二字符串包括iv。

优选地，步骤6还包括：将密文拆分成与所述第一部分结果、所述第二部分结果及所述第三部分结果分别对应的三个部分，依次对三个部分进行解密。

进一步地，首先对第一部分用私钥解密，获得对称加密的所述第一字符串，再对第二部分用base64解密，获得所述第二字符串，最后对称加密用所述第一字符串和所述第二字符串对第三部分通过进行对称解密,获得请求参数。

优选地，还包括步骤7-1：所述预设的信息包括服务端和客户端使用的非对称加密秘钥一一对应。

优选地，还包括步骤7-2：所述服务端针对当前请求地址及参数进行业务处理，并使用所述第一字符串和所述第二字符串通过对称加密对结果进行加密返回。

优选地，还包括步骤7-3：服务端成功解密应同时满足下列条件：

所述客户端请求的加密串为2个点拼接的3串密文；

第一串为非对称加密的密串，使用的加密公钥和服务端的密钥是对应的；

第二串为base64加密；

第三串为对称加密，且使用的加密参数所述第一字符串和所述第二字符串为第一串和第二串加密前的参数。

优选地，还包括步骤7-4：满足下列条件之一时，所述服务端不能成功解密：

所述客户端使用的非对称加密的秘钥和服务端不对应；

所述客户端请求参数非2个点拼接的3串密文；

若所述客户端请求的参数为2个点拼接的3串密文，但其中一串解密失败则为失败请求；

加密串随意拼接、随意组合。

优选地，非对称加密公钥下发于所述客户端，私钥保存于所述服务端。

本发明还公开一种基于数据传输过程的安全加密装置，所述装置包括：客户端，包括：

随机生成模块：随机生成动态的对称加密所需的第一字符串和第二字符串；

加密模块：用于对参数进行对称性或非对称性加密；

拼接模块：用于将第一部分结果、第二部分结果及第三部分结果拼接后形成请求参数；

申请模块：向服务端接口发出申请；

接收模块：接收服务端接口发送的数据信息；

服务端，包括：

获取模块：用于获取申请信息；

处理模块：用于将密文拆分成几个部分；

解密模块：对加密的文件进行解密；

判断模块：依据预设的信息判断是否可以解密；

传输模块：向客户端传输数据信息。

本发明的有益效果是：本发明通过提供了一种基于数据传输过程的安全加密方法及装置，从根源入手，首先在服务端和客户端使用一一对应的非对称加密秘钥，在每次请求之前，客户端通过随机生成模块随机生成动态的对称加密所需的第一字符串和第二字符串；客户端通过非对称加密公钥对第一字符串先进行非对称加密，再进行base64加密，对第二字符串进行base64加密，获得第二部分结果，避免了易被解密泄露的风险，再采用运算速度快且安全性高的对称加密对传输数据进行对称加密；还通过预设的指令使判断模块进一步有效控制服务端的解密行为，因此，既保证了数据传输的安全可靠性，又保障了传输性能。

附图说明

图1为本发明处理装置的结构示意图；

图2为本发明处理方法流程图；

其中：1-客户端；2-服务端；3-随机生成模块；4-加密模块；5-拼接模块；6-申请模块；7-接收模块；8-获取模块；9-处理模块；10-解密模块；11-判断模块；12-传输模块。

具体实施方式

如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解，硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式，而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语，故应解释成“包含但不限定于”。说明书后续描述为实施本申请的较佳实施方式，然所述描述乃以说明本申请的一般原则为目的，并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。

参照图1-2所示：

本发明实施例：

本发明提供一种基于数据传输过程的安全加密装置，所述装置包括：

客户端1，包括：

随机生成模块3：随机生成动态的AES所需的key、iv；

加密模块4：用于对参数进行对称性或非对称性加密；

拼接模块5：用于将第一部分、第二部分及第三部分拼接后形成请求参数ciphertext；

申请模块6：向服务端2接口发出申请；

接收模块7：接收服务端2接口发送的数据信息；

服务端2，包括：

获取模块8：用于获取申请信息；

处理模块9：用于将密文拆分成几个部分；

解密模块10：对加密的文件进行解密；

判断模块11：依据预设的信息判断是否可以解密；

传输模块12：向客户端1传输数据信息。

本发明还公开了一种基于数据传输过程的安全加密方法，包括如下步骤：步骤1：客户端1通过随机生成模块3随机生成动态的AES所需的第一字符串key和第二字符串iv；

步骤2：所述客户端1通过加密模块4使RSA公钥对所述第一字符串key先进行非对称加密，再进行base64加密，获得第一部分结果encrypt_key；

步骤3：所述客户端1通过所述加密模块4对所述第二字符串iv进行base64加密，获得第二部分结果；

步骤4：所述客户端1通过所述加密模块4把请求参数采用AES对称加密，并base64加密，所述第一字符串key和所述第二字符串iv作为AES对称加密的秘钥参数，加密后获得第三部分结果encrypt_iv；

步骤5：所述客户端1将所述第一部分结果、所述第二部分结果及所述第三部分结果通过拼接模块5拼接后获得请求参数ciphertext，申请模块6向服务端2发出申请；

步骤6：获取模块8获取所述请求参数，处理模块9将密文拆分，解密模块10进行解密；

步骤7：判断模块11依据预设的指令判断是否可以解密，若可解密，所述服务端2通过传输模块12对结果进行加密返回；若不可解密，则返回明文信息；步骤8：所述客户端1的接收模块7在接收到密文后使用AES进行解密。

优选地，步骤1还包括：客户端1每次请求之前均通过所述随机生成模块3随机生成动态的AES所需的key、iv。

优选地，步骤6还包括：处理模块9将密文拆分成与所述第一部分结果、所述第二部分结果及所述第三部分结果分别对应的三个部分，解密模块10依次对三个部分进行解密。

进一步地，解密模块10首先对第一部分用私钥解密，获得AES的所述第一字符串key，再对第二部分用base64解密，获得所述第二字符串iv，最后AES用key和iv对第三部分通过进行对称解密,获取模块8获得请求参数。

优选地，还包括步骤7-1：所述预设的信息包括服务端2和客户端1使用的RSA秘钥一一对应。

优选地，还包括步骤7-2：所述服务端2针对当前请求地址及参数进行业务处理，并使用key、iv通过AES对结果进行加密，通过传输模块12将密文传送给所述客户端1。

优选地，还包括步骤7-3：服务端2成功解密应同时满足下列条件：

所述客户端1请求的加密串为2个点拼接的3串密文；

第一串为RSA的密串，使用的加密公钥和服务端2的密钥是对应的；

第二串为base64加密；

第三串为AES，且使用的加密参数key和iv为第一串和第二串加密前的参数。

优选地，还包括步骤7-4：满足下列条件之一时，所述服务端2不能成功解密：

所述客户端1使用的RSA的秘钥和服务端2不对应；

所述客户端1请求参数非2个点拼接的3串密文；

若所述客户端1请求的参数为2个点拼接的3串密文，但其中一串解密失败则为失败请求；

加密串随意拼接、随意组合。

优选地，RSA公钥下发于所述客户端1，私钥保存于所述服务端2。

本发明的有益效果是：通过提供了一种基于数据传输过程的安全加密方法及装置，从根源入手，首先在服务端和客户端使用一一对应的非对称加密秘钥，在每次请求之前，客户端通过随机生成模块随机生成动态的对称加密所需的第一字符串和第二字符串；客户端通过非对称加密公钥对第一字符串先进行非对称加密，再进行base64加密，对第二字符串进行base64加密，获得第二部分结果，避免了易被解密泄露的风险，再采用运算速度快且安全性高的对称加密对传输数据进行对称加密；还通过预设的指令使判断模块进一步有效控制服务端的解密行为，因此，既保证了数据传输的安全可靠性，又保障了传输性能。

上述说明示出并描述了本申请的若干优选实施例，但如前所述，应当理解本申请并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述申请构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围，则都应在本申请所附权利要求的保护范围内。