一种数据加密传输的方法及其系统与流程

1.本发明涉及计算机通讯技术领域，特别是一种数据加密传输的方法及其系统。


背景技术：

2.数据传输的安全性一直是系统必须考虑的课题，密码学发展至今，古老的易位法、置换法，到现代的对称加密算法通过双方协定的密钥进行数据加解密，本质上是通过协定的规则不断提高破解门槛，但都存在一个关键的问题，协定规则或者密钥都需要通过一定的方式告知对方，如果泄露了怎么办。直到非对称加密算法的出现，利用一对公钥和私钥，服务器存储私钥，公钥可以对外告知，即便不小心公钥泄露，盗窃者也只能利用公钥伪造数据传输给服务器，而无法利用私钥伪造数据传输给客户端，因为私钥只有服务器拥有。非对称加密虽然安全，但有个弊端，就是效率较低，在互联网频繁传输的场景之下，如何利用非对称加密算法和对称加密算法来相结合解决安全和效率的权衡问题呢。


技术实现要素：

3.为克服上述问题，本发明的目的是提供一种数据加密传输的方法，利用非对称加密算法和对称加密算法来相结合解决安全和效率的权衡问题。
4.本发明采用以下方案实现：一种数据加密传输的方法，所述方法包括如下步骤：
5.步骤1、客户端生成一个会话id，请求服务器获取非对称加密的公钥；服务器设置一对称加密算法库，该对称加密算法库中包含多种对称加密算法；
6.步骤2、服务器收到请求后，为会话id生成非对称加密的一对公钥和私钥，并且从对称加密算法库中随机选择一个对称加密算法，返回给客户端；
7.步骤3、客户端获得非对称加密的公钥和服务器选择的对称加密算法，生成本次的会话密钥，用非对称加密的公钥对会话密钥进行加密后发给服务器；
8.步骤4、服务器根据私钥解密得到会话密钥和会话失效时间，服务器保存客户端的会话id、会话失效时间和对称加密算法；服务器根据所选的对称加密算法和会话密钥对数据加密后进行传输；
9.步骤5、客户端获得加密数据，用会话密钥进行解密获得解密后的数据。
10.进一步的，所述步骤1中客户端随机生成一个字符串作为本次的会话id，请求服务器获取非对称加密的公钥；对称加密算法库中包括des、aes、desede、idea、以及pbe对称加密算法。
11.进一步的，所述步骤2进一步具体为：服务器收到请求后，调用第三方包openssl方式为会话id生成非对称加密算法的一对公钥和私钥，以会话sessionid做为缓存数据库redis的key，存储私钥至缓存数据库redis中，并且从对称加密算法库中随机选择一个对称加密算法，返回客户端公钥和选择的对称加密算法。
12.进一步的，所述步骤4进一步具体为：服务器收到客户端传输的加密的会话密钥后，读取缓存数据库redis得到会话sessionid对应的非对称加密算法的私钥，对加密的会
话密钥进行解密，得到原始会话密钥skey和会话失效时间，服务器保存客户端的会话id、会话失效时间和对称加密算法；由于这个过程是用非对称加密算法进行加密传输，所以即便请求被截获，第三方黑客也无法获得会话密钥，因为公钥加密的数据，只有服务器拥有的私钥才能解开。
13.进一步的，所述步骤5进一步具体为：客户端和服务器端都拥有了本次会话的会话密钥，也就是对称加密算法的密钥，此会话密钥是会话开始之前随机生成的，并且利用非对称加密算法进行加密传输，仅客户端和服务器端知道，保证了本次数据传输的安全性；接着客户端用会话密钥对数据进行对称加密传输给服务器；服务器收到数据后用会话密钥进行解密得到原始数据；如果本次会话过期，则告知客户端要重新执行步骤3和步骤4进行会话密钥的生成和传输。
14.本发明还提供了一种数据加密传输的系统，所述系统包括会话生成模块、公私钥生成模块、会话密钥生成模块、加密传输模块、以及解密模块；
15.所述会话生成模块，用于在客户端生成一个会话id，请求服务器获取非对称加密的公钥；服务器设置一对称加密算法库，该对称加密算法库中包含多种对称加密算法；
16.所述公私钥生成模块，在服务器收到请求后，为会话id生成非对称加密的一对公钥和私钥，并且从对称加密算法库中随机选择一个对称加密算法，返回给客户端；
17.所述会话密钥生成模块，在客户端获得非对称加密的公钥和服务器选择的对称加密算法，生成本次的会话密钥，用非对称加密的公钥对会话密钥进行加密后发给服务器；
18.所述加密传输模块，服务器根据私钥解密得到会话密钥和会话失效时间，服务器保存客户端的会话id、会话失效时间和对称加密算法；服务器根据所选的对称加密算法和会话密钥对数据加密后进行传输；
19.所述解密模块，用于客户端获得加密数据，用会话密钥进行解密获得解密后的数据。
20.进一步的，所述会话生成模块中客户端随机生成一个字符串作为本次的会话id，请求服务器获取非对称加密的公钥；对称加密算法库中包括des、aes、desede、idea、以及pbe对称加密算法。
21.进一步的，所述公私钥生成模块的实现方式进一步具体为：服务器收到请求后，调用第三方包openssl方式为会话id生成非对称加密算法的一对公钥和私钥，以会话sessionid做为缓存数据库redis的key，存储私钥至缓存数据库redis中，并且从对称加密算法库中随机选择一个对称加密算法，返回客户端公钥和选择的对称加密算法。
22.进一步的，所述加密传输模块的实现方式进一步具体为：服务器收到客户端传输的加密的会话密钥后，读取缓存数据库redis得到会话sessionid对应的非对称加密算法的私钥，对加密的会话密钥进行解密，得到原始会话密钥skey和会话失效时间，服务器保存客户端的会话id、会话失效时间和对称加密算法；由于这个过程是用非对称加密算法进行加密传输，所以即便请求被截获，第三方黑客也无法获得会话密钥，因为公钥加密的数据，只有服务器拥有的私钥才能解开。
23.进一步的，所述解密模块的实现方式进一步具体为：客户端和服务器端都拥有了本次会话的会话密钥，也就是对称加密算法的密钥，此会话密钥是会话开始之前随机生成的，并且利用非对称加密算法进行加密传输，仅客户端和服务器端知道，保证了本次数据传
输的安全性；接着客户端用会话密钥对数据进行对称加密传输给服务器；服务器收到数据后用会话密钥进行解密得到原始数据；如果本次会话过期，则告知客户端要重新执行会话密钥生成模块和加密传输模块进行会话密钥的生成和传输。
24.本发明的有益效果在于：本发明的非对称加密算法公私钥的生成时机和保存方式提升安全性，并且增加了内部人员盗取的门槛，同时在互联网频繁传输的场景之下，实现利用非对称加密算法和对称加密算法来相结合解决安全和效率的权衡问题。本发明是根据客户端传输可选择的多种对称加密算法进行处理，服务端来随机选择其中一种对称加密算法，并且和公钥一起返回给客户端；这做法相比现有技术进一步提升了安全性，增加篡改门槛。另外，本发明的非对称加密算法公私钥的生成时机和保存方式，与现有技术不一样；本专利的私钥和公钥是根据sessionid的不同来生成的，每个会话都有自己的公私钥对，并且根据sessionid保存在redis中；这做法相比现有技术有助于提升安全性，并且增加了内部人员盗取的门槛，如果内部人员盗取固定的公私钥，潜在灾害范围过大。
附图说明
25.图1是本发明的方法流程示意图。
26.图2是本发明的系统的原理框图。
具体实施方式
27.下面结合附图对本发明做进一步说明。
28.如图1所示，本发明提供了一种数据加密传输的方法，所述方法包括如下步骤：
29.步骤1、客户端生成一个会话id，请求服务器获取非对称加密的公钥；服务器设置一对称加密算法库，该对称加密算法库中包含多种对称加密算法；
30.步骤2、服务器收到请求后，为会话id生成非对称加密的一对公钥和私钥，并且从对称加密算法库中随机选择一个对称加密算法，返回给客户端；
31.步骤3、客户端获得非对称加密的公钥和服务器选择的对称加密算法，生成本次的会话密钥，用非对称加密的公钥对会话密钥进行加密后发给服务器；
32.步骤4、服务器根据私钥解密得到会话密钥和会话失效时间，服务器保存客户端的会话id、会话失效时间和对称加密算法；服务器根据所选的对称加密算法和会话密钥对数据加密后进行传输；
33.步骤5、客户端获得加密数据，用会话密钥进行解密获得解密后的数据。
34.下面结合一具体实施例对本发明作进一步说明：
35.一种数据加密传输的方法，包括以下步骤：
36.步骤一、客户端生成一个会话id，准备可选的对称加密算法，请求服务器获取非对称加密的公钥。
37.客户端随机生成一个字符串作为本次的会话sessionid，然后组织客户端可支持的对称加密算法，服务器设置一对称加密算法库，该对称加密算法库中包含多种对称加密算法；例如des、aes、desede、idea、pbe对称加密算法。举例生成的sessionid＝ade28caf69，客户端可支持的对称加密算法supportsym＝des,aes。请求服务器获取非对称加密的公钥。
38.步骤二、服务器收到请求后，为会话id生成非对称加密的公私钥，并且从可选的对
称加密算法库中随机选择一个对称加密算法，返回客户端。
39.服务器收到请求后，调用openssl第三方包的方法生成rsa非对称加密算法的一对公钥和私钥，以sessionid做为缓存数据库redis的key，存储私钥至缓存数据库redis中(其中，缓存数据库redis的存储的是key和value的形式，会话sessionid作为redis的key，私钥是value，即存储sessionid和私钥的映射关系到redis中。)，并且在客户端可支持的对称加密算法supportsym中随机选择一个支持的对称加密算法，例如本次随机选择的是des。返回客户端公钥和选择的对称加密算法des。
40.步骤三、客户端获得非对称加密的公钥和服务器选择的对称加密算法，生成本次的会话密钥，用非对称加密的公钥进行加密后发给服务器。
41.客户端获得非对称加密的公钥和服务器选择的对称加密算法后，随机生成一个16位的字符串作为本次的对称加密算法的密钥，称之为会话密钥skey，用服务器返回的非对称加密的公钥对会话密钥skey进行rsa非对称加密后得到加密后的结果skeyrsa，传输skeyrsa给服务器加密告知本次生成的会话密钥。
42.步骤四、服务器根据私钥解密得到会话密钥和会话失效时间，服务器会保存客户端的会话id、会话失效时间和对称加密算法。服务器根据所选的对称加密算法和会话密钥对数据加密后进行传输。
43.服务器收到客户端传输的加密会话密钥skeyrsa后，读取缓存数据库redis得到sessionid对应的非对称加密算法的私钥，解密skeyrsa，得到原始会话密钥skey，由于这个过程是用非对称加密算法进行加密传输，所以即便请求被截获，第三方黑客也无法获得会话密钥，因为公钥加密的数据，只有服务器拥有的私钥才能解开。
44.步骤五、客户端获得加密数据，用会话密钥进行解密获得真实数据。客户端和服务器在本次会话失效之内，都是使用双方自己知道的会话密钥进行对称加密传输数据，保证数据安全。如果会话密钥过期则重新执行步骤三生成会话密钥加密传输给服务器。
45.经过步骤一至步骤四后，客户端和服务端都拥有了本次会话的会话密钥，也就是对称加密算法的密钥，此会话密钥是会话开始之前随机生成的，并且利用非对称加密算法进行加密传输，仅客户端和服务端知道，保证了本次数据传输的安全性。接着客户端就可以用会话密钥对数据进行des对称加密传输给服务器。服务器收到数据后用会话密钥进行des解密得到原始数据。如果本次会话过期，则告知客户端重新进行步骤三和步骤四进行会话密钥的生成和传输。
46.如图2所示，本发明还提供了一种数据加密传输的系统，所述系统包括会话生成模块、公私钥生成模块、会话密钥生成模块、加密传输模块、以及解密模块；
47.所述会话生成模块，用于在客户端生成一个会话id，请求服务器获取非对称加密的公钥；服务器设置一对称加密算法库，该对称加密算法库中包含多种对称加密算法；所述会话生成模块中客户端随机生成一个字符串作为本次的会话id，请求服务器获取非对称加密的公钥；对称加密算法库中包括des、aes、desede、idea、以及pbe对称加密算法。
48.所述公私钥生成模块，在服务器收到请求后，为会话id生成非对称加密的一对公钥和私钥，并且从对称加密算法库中随机选择一个对称加密算法，返回给客户端；所述公私钥生成模块的实现方式进一步具体为：服务器收到请求后，调用第三方包openssl方式为会话id生成非对称加密算法的一对公钥和私钥，以会话sessionid做为缓存数据库redis的
key，存储私钥至缓存数据库redis中，(其中，缓存数据库redis的存储的是key和value的形式，会话sessionid作为redis的key，私钥是value，即存储sessionid和私钥的映射关系到redis中。)并且从对称加密算法库中随机选择一个对称加密算法，返回客户端公钥和选择的对称加密算法。
49.所述会话密钥生成模块，在客户端获得非对称加密的公钥和服务器选择的对称加密算法，生成本次的会话密钥，用非对称加密的公钥对会话密钥进行加密后发给服务器；
50.所述加密传输模块，服务器根据私钥解密得到会话密钥和会话失效时间，服务器保存客户端的会话id、会话失效时间和对称加密算法；服务器根据所选的对称加密算法和会话密钥对数据加密后进行传输；
51.所述解密模块，用于客户端获得加密数据，用会话密钥进行解密获得解密后的数据。
52.其中，所述加密传输模块的实现方式进一步具体为：服务器收到客户端传输的加密的会话密钥后，读取缓存数据库redis得到会话sessionid对应的非对称加密算法的私钥，对加密的会话密钥进行解密，得到原始会话密钥skey和会话失效时间，服务器保存客户端的会话id、会话失效时间和对称加密算法；由于这个过程是用非对称加密算法进行加密传输，所以即便请求被截获，第三方黑客也无法获得会话密钥，因为公钥加密的数据，只有服务器拥有的私钥才能解开。
53.所述解密模块的实现方式进一步具体为：客户端和服务器端都拥有了本次会话的会话密钥，也就是对称加密算法的密钥，此会话密钥是会话开始之前随机生成的，并且利用非对称加密算法进行加密传输，仅客户端和服务器端知道，保证了本次数据传输的安全性；接着客户端用会话密钥对数据进行对称加密传输给服务器；服务器收到数据后用会话密钥进行解密得到原始数据；如果本次会话过期，则告知客户端要重新执行会话密钥生成模块和加密传输模块进行会话密钥的生成和传输。
54.总之，本发明的非对称加密算法公私钥的生成时机和保存方式提升安全性，并且增加了内部人员盗取的门槛，同时在互联网频繁传输的场景之下，实现利用非对称加密算法和对称加密算法来相结合解决安全和效率的权衡问题。
55.以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。