[发明专利]一种基于PKI系统实时协商密钥的加密方法及系统

说明书

本发明公开了一种基于PKI系统实时协商密钥的加密方法及系统，涉及信息安全领域，包括加密中心生成对应的第一公钥和第一私钥，并将生成的第一公钥存放至PKI系统；数据传输方获取PKI系统中存放的第一公钥，同时生成对应的第二公钥和第二私钥；数据传输方使用第一公钥对第二公钥进行加密，将加密后的第二公钥发送至加密中心；加密中心使用第二公钥对数据传输所需要的数字签名和对称加密秘钥组进行加密，并发送至数据传输方；数据传输方对密文进行加密，并将数字签名和加密后的密文发送至数据接收方；基于数字签名，数据接收方从加密中心中获取对称加密密钥组，对称加密密钥组对密文进行解密。本发明既保证了效率又提升了安全性。

技术领域

本发明涉及信息安全领域，具体涉及一种基于PKI系统实时协商密钥的加密方法及系统。

背景技术

现有市面上的主流加密算法主要分为两大类：一大类为对称加密算法，二为非对称加密算法。

对称加密算法是指加密和解密使用相同密钥的加密算法，又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来，而在大多数的对称算法中，加密密钥和解密密钥是相同的，所以也称这种加密算法为秘密密钥算法或者单密钥算法。对称加密算法的优点是算法公开、计算量小、加密速度快，加密效率高，不足之处是双方使用相同的密钥，安全性得不到保证，对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高，在分布式网络上传递存在泄密风险。

非对称加密算法需要两把秘钥：公钥和私钥，它们是一对，如果用公钥对数据加密，那么只能用对应的私钥解密。如果用私钥对数据进行加密，则只能用对应的公钥进行解密。非对称加密算法的优点是保密性比较好，通信双方只需要公开自己的公钥就可以进行通信，它消除了用户交换所有密钥的需要，在分布式网络环境下使用比较容易，缺点是算法强度复杂，安全性依赖于算法和密钥但是算法复杂，加密解密速度比较慢。

当前对于分布式环境的数据加密和解密，主要采用比较复杂的对称加密算法和非对称加密算法。复杂对称加密算法有3DES(三重数据加密算法)、AES(高级加密标准)等。3DES是DES算法(一种使用密钥加密的块算法)的加强版本，采用3个秘钥对数据进行DES加密、DES解密、DES加密操作来进行加密，解密数据就执行相反流程。从操作上来看3DES加密数据会比普通DES效率差。AES加密算法主要体现在秘钥长度长，所以导致加密效率也会比普通DES差。

对称加密算法模式有ECB模式(电码本模式)、CBC模式(密码分组链接模式)和CFB模式(加密反馈模式)。ECB模式中，相同数据的密文相同，所有容易被破解。对于CBC模式，选择初始向量，利用初始向量和数据结合然后利用秘钥加密，再使用加密数据和下一块数据相互结合然后加密，因此相同的数据加密出来的密文不相同，但是加密过程需要和上一个密文相关导致无法并行加密解密，只能串行加密解密，效率低。对于CFB加密反馈模式，数据分为8个字节，选择初始向量，然后将初始向量和上一个加密后的密文相结合生成新的初始向量，然后初始向量和密码相结合最后用来加密数据，每次加密完的数据，相同数据密文也不同，但是加密过程和上一个密文相关导致无法并行加密解密，只能串行加密解密。

非对称加密算法主要有RSA算法(一种能同时用于加密和数字签名的算法)、DSA算法(数据签名算法)、ECC算法(椭圆加密算法)。RSA基于大素数相乘十分容易，想要对其乘积进行因式分解奇迹困难，因此利用乘积作为公钥，大素数组合作为私钥，公钥对外发布，私钥自己使用，因为进行的是大数计算，所以RSA算法比DES算法慢好几倍；DSA算法基于证书有限域离散对数难题，会有公钥、私钥、数字签名，私钥加密生成数字签名，公钥验证数据及签名，如果数据和签名不匹配则验证失败，缺点是加密时间长；对于ECC非对称加密算法，ECC是利用椭圆曲线上的有理点构成ABEL加法群上椭圆离散对数的计算困难性，优势有安全性高，缺点是密钥长度长和加密和解密实现机制时间长。

可见，对于当前在分布式环境下所采用的对称加密算法和非对称加密算法，主要存在以下缺点：