一種基於主動網技術的終端加密通信方法、裝置和系統的製作方法
2023-12-07 02:02:21 5
專利名稱:一種基於主動網技術的終端加密通信方法、裝置和系統的製作方法
技術領域:
本發明涉及通信技術領域,特別涉及一種基於主動網技術的終端加密通 信方法、裝置和系統。
背景技術:
在終端通信過程中,主被叫雙方的數據加密和解密能力關係到通信的數 據安全性和互通特性。目前已經實現的加密通信方案是通過在終端軟體中固 化加密和解密的程序來完成的。在現有技術中,在終端軟體中固化加密和解 密的程序,在通信過程中,使用已經固化的加解密算法實現數據的加密傳輸 和解密。在加解密算法需要改變的時候,需要使用燒寫程序的手段重新將新
的加解密算法固化到終端設備中去;或者使用網絡升級的方式,從伺服器下 載新的加解密算法程序,燒寫到終端設備中去。
發明人在實現本發明的過程中,發現現有的加密通信方法至少具有以下 缺點
1、 對於網絡上已經運行的設備,加解密算法都已經固化。對於一次一 密系統來說,需要為每一次需要加解密的應用生成偽隨機序列,而導致存儲 和分發這些龐大的偽隨機序列困難;對於公開半公開的密匙系統來說,由於 密匙相對固定,導緻密匙很容易被破解。
2、 如果需要對設備的加解密算法進行升級換代,其實現的方式和流程 比較複雜,而且這種傳統升級的方式本身也有安全性的問題。
3、 此類的加解密程序本身,都是平臺相關的,不同的硬體平臺的終端, 程序不同,所以靈活性很差。
發明內容
有鑑於此,本發明實施例提出一種基於主動網技術的加密通信方法、裝 置和系統,可以大大加強了終端通信的靈活性和數據的安全性。
本發明實施例提出的基於主動網技術的加密通信方法包括如下步驟 與通信的對端終端協商出通信所採用的加密和解密算法;
通過通信網絡下載所述加密和解密算法的可執行代碼;
運行所下載的可執行代碼,對通信數據進行加密或解密。
本發明實施例提出的另一種基於主動網技術的加密通信方法包括
根據來自終端的獲取加密和解密算法的可執行代碼的請求,對網絡側存儲 的可執行代碼進行搜索,找到相應的可執行代碼;
將所找到的可執行代碼發送給所述終端。
本發明實施例還提出一種用於實現加密通信的伺服器,包括
存儲模塊,用於存儲加密和解密算法的可執行代碼;
搜索模塊,用於根據來自終端的獲取加密和解密算法的可執行代碼的請求, 對所述存儲模塊中的可執行代碼進行搜索,找到相應的可執行代碼;
收發模塊,用於接收來自終端的獲取加密和解密算法的可執行代碼的請求, 將所述請求發送到所述搜索模塊;將所述搜索模塊所找到的可執行代碼發送給 所述終端。
本發明實施例還提出一種基於主動網技術的終端,包括用於與其它終端進 行通信的通信模塊,還包括
加密解密協商模塊,用於與通信的對端終端協商出用於對通信內容進行加 密和解密的加密和解密算法;
代碼交互模塊,用於向網絡中的伺服器或通信對端終端獲取所述協商模塊 所協商出的加密和解密算法的可執行代碼;
代碼執行模塊,用於執行所述可執行代碼,對將要發送給對端終端的通信 內容進行加密,和/或,對接收來自對端終端的通信內容進行解密。本發明實施例還提出一種加密通信系統,所述加密通信系統包括終端、 和伺服器;
所述終端,用於與通信對端的終端通過通信網絡進行協商通信所採用的加 密和解密算法,並從所述伺服器下載所述加密和解密算法的可執行代碼,運行
所下載的可執行代碼,對通信數據進行加密;
所述伺服器,用於存儲加密和解密算法的可執行代碼,並根據來自終端的 獲取所述加密和解密算法的可執行代碼的請求,將所述請求對應的加密和解密 算法的可執行代碼發送給所述終端。
本發明實施例提出的另一種加密通信系統包括主叫終端和被叫終端;
所述主叫終端,用於與被叫終端通過通信網絡進行協商通信所採用的加密 和解密算法,並從所述被叫終端下載所述加密和解密算法的可執行代碼,運行 所下載的可執行代碼,對通信數據進行加密;
所述被叫終端,用於與所述主叫終端通過通信網絡進行協商通信所採用的 加密和解密算法,將所述請求對應的加密和解密算法的可執行代碼發送給所述 主叫終端。
從以上技術方案可以看出,終端通過通信網絡向伺服器或對端終端下載 經過協商的加密和解密算法的可執行代碼;並運行所下載的可執行代碼,對 通信數據進行加密,可以實現加密和解密的算法程序的實時更新,大大加強 了終端通信的靈活性和數據的安全性。
圖1為本發明實施例的基本流程圖2為本發明第一實施例的框架圖3為本發明第二實施例的框架圖4為本發明第三實施例提出的伺服器結構示意圖5為本發明第四實施例提出的終端結構示意圖。
具體實施例方式
主動網技術是近幾年比較熱門的技術,主要的特點是允許用戶或者設備 將特定的開放接口的可執行代碼注入網絡或者終端設備,使得網絡或者終端 設備具備定製專用的處理過程、甚至專用的通信協議的能力,從而大大加強 靈活、針對性的服務。
本發明實施例的終端上具備一個主動網的運行環境,此環境具備開放接 口和硬體平臺的自適應能力。終端在通信建立的過程中,根據信令協商的結 果,從對方終端或者伺服器動態下載加解密算法的可執行代碼,然後,使用 該加解密算法完成通話數據的加密傳輸和解密。
為使本發明的目的、技術方案和優點更加清楚,下面結合附圖對本發明 作進一步的詳細闡述。
本發明實施例的基本實現流程如圖1所示,主叫終端和被叫終端均具備
主動網能力,包括如下步驟
步驟101:主叫終端發起呼叫,向被叫終端發送能力協商信令,所述能 力協商信令可能包含音視頻編解碼信息、碼流帶寬信息和音視頻數據的幀率 信息,還包含主叫終端支持的加密和解密算法列表。
步驟102:被叫終端根據所收到的能力協商信令,進行通信能力協商, 確定本次通信的音視頻編解碼、碼流帶寬、音視頻數據頻率,以及所採用的 加密和解碼算法,並將所確定的上述信息攜帶在確認消息中發送給主叫終端。
步驟103:根據協商的結果,主叫終端判斷本地是否保存有本次通話所 採用的加密和解密算法,若是,則執行步驟105,否則執行步驟104。
步驟104:主叫終端從伺服器下載加解密算法的可執行代碼。
步驟105:在主叫終端的主動網的運行環境上,運行加解密的可執行代 碼,完成本次通話過程的數據加解密功能。
上述步驟103和步驟104是以主叫終端為例進行描述。實際上被叫終端
9也要獨立地判斷本地是否保存有本次通話所採用的加密和解密算法,如果沒 有,則從伺服器下載加解密算法的可執行代碼,如果有,則直接執行該可執 行代碼。
作為一種可行的替代方案,在加解密算法協商過程,終端發送的能力協 商信令中攜帶本地已有的加解密算法的可執行代碼的列表,則終端在判斷本 地沒有保存本次通話所採用的加密和解密算法時,可根據所述加解密算法的 可執行代碼的列表向對端終端獲取加解密算法的可執行代碼。
例如,主叫終端向被叫終端發送的能力協商信令中攜帶主叫終端已有的 加解密算法的可執行代碼的列表,通信能力協商確定加解密算法後,被叫終 端判斷本地沒有保存有本次通話所採用的加密和解密算法,且該加密和解密 算法包含在主叫終端已有的加解密算法的可執行代碼的列表中,則被叫終端 向主叫終端下載加解密算法的可執行代碼。
或者,被叫終端返回的通信能力協商確認消息包含被叫終端已有的加解 密算法的可執行代碼的列表。主叫終端判斷本地沒有保存有本次通話所採用 的加密和解密算法,且該加密和解密算法包含在被叫終端已有的加解密算法 的可執行代碼的列表中,則主叫終端向被叫終端下載加解密算法的可執行代 碼。
為了保證信令協商的安全性和下載主動執行代碼過程的安全性以及下
載後運行該代碼的安全性,可以採取以下方式實現下載可執行代碼
1、要保證信令協商的信道的安全性和下載信道的安全性,例如可採用 專用信道;如果不能保證則需要對信令本身以及下載的主動代碼本身實施加 密;
密算法或者之前使用過的主動加解密算法來保證傳輸的可靠性,即主動加解
密算法本身使用加解密算法來傳輸;
3、在終端設備上對主動可執行代碼的運行權限的限制,即一個主動可
執行代碼,其運行的範圍和能力是有限的,即使網絡上出現主動可執行代碼的惡意攻擊,也只會導致本次通話的加解密失敗而不會出現更大的安全隱
串'。。
本發明第一實施例的系統如圖2所示,在網絡中設置伺服器,伺服器存 儲編解碼算法的可執行代碼,並對外提供接口,供終端下載;終端A和終 端B都具備一個主動代碼的可執行環境,包括支持主動代碼的硬體平臺和操 作系統(Operation System, OS )。
步驟201:兩個終端之間發起一起通話,首先完成信令的協商工作,協 商的結果包含音視頻的編解碼格式、支持的網絡帶寬情況等,同時協商出加 解密算法;本實施例中,假設協商出的加解密算法為算法a。
步驟202:根據信令協商的結果,終端A和終端B分別向網絡伺服器發 送下載請求;所述下載請求中,還可以進一步包括加密指示,所述加密指示 中包含用於對算法a進行加密的加密和解密算法的信息,該算法稱之為算法 b,算法b為終端曽經下栽過的加密和解密算法,也可以是事先已經燒寫在 終端設備中加解密算法。
步驟203:終端A和終端B下載加解密的主動可執行代碼。該下載過程 中,伺服器首先用算法b對算法a的可執行代碼進行加密,再將加密後的算 法a的可執行代碼傳輸給終端;終端A和終端B運行已存在於本終端上的 算法b的可執行代碼,對算法a的可執行代碼進行解密。解密之後,還可以 對算法a的可執行代碼設置運行權限,對其運行條件進行限制,例如,僅限 於對本次通信的內容進行加密或解密處理。
步驟204:加解密的可執行代碼運行在終端的運行環境上,完成本次通 話的數據的加密和解密的工作。在執行該可執行代碼之前,還可以包括對運 行權限的檢查,判斷是否允許執行該可執行代碼,若是,則運行該可執行代 碼進行數據的加密和解密處理,否則,提示加密失敗,終止加密處理,或者 釆用其它方法進行加密和解密處理。
本發明第二實施例的系統如圖3所示,與第一實施例相比,終端A或
終端B向對方終端請求下載加解密算法的可執行代碼,而其它過程與第一實
ii施例一致。
本發明第三實施例公開了一種用於實現終端加密通信的伺服器,如圖4所 示,包括
存儲模塊401,用於存儲加密和解密算法的可執行代碼;
搜索模塊402,用於根據來自終端500的獲取加密和解密算法的可執行代
碼的請求,對所述存儲模塊401中的可執行代碼進行搜索,找到相應的可執行
代碼;
收發模塊403,用於接收來自終端500的獲取加密和解密算法的可執行代 碼的請求,將所述請求發送到所述搜索模塊402;將所述搜索模塊402所找到 的可執行代碼發送給所述終端。
所述伺服器400進一步可以包括加密模塊404;
所述收發模塊403接收的所述請求包括攜帶加密和解密算法信息的加密指 示,收發模塊403將將所述加密指示通知加密模塊404;
加密模塊404用於根據所述加密指示,對所述搜索模塊402找到的可執行 代碼進行加密,並將加密後的可執行代碼發送給所述收發模塊403。
圖5示出了本發明第四實施例提出的一種基於主動網技術的終端500,包 括用於進行與其它終端進行通信的通信模塊501,還包括
加密解密協商模塊502,用於與通信的對端終端協商出用於對通信內容進 行加密和解密的加密和解密算法;
代碼交互模塊503,用於向網絡中的伺服器400或通信對端終端獲取所述 加密解密協商模塊502所協商出的加密和解密算法的可執行代碼;
代碼執行模塊504,用於執行所述可執行代碼,對所述通信模塊501將要 發送給對端終端的通信內容進行加密,和/或,對所述通信模塊501接收來自對 端終端的通信內容進行解密。
終端500還可以進一步包括
代碼存儲模塊505,用於存儲所述代碼交互模塊所下載的加密和解密算法 的可執行代碼;
12所述代碼執行模塊504進一步包括本地檢查單元,用於檢查所述代碼存儲 模塊是否存儲有所述加密解密協商模塊所協商出的可執行代碼,若是,則所述 代碼執行模塊504執行所述代碼存儲模塊505所存儲的該可執行代碼;否則, 代碼執行模塊504向所述代碼交互模塊503發送下載請求;
代碼交互模塊503根據所述下載請求,向網絡中的伺服器或通信對端終端 獲取所述加密解密協商模塊502所協商出的加密和解密算法的可執行代碼。
所述代碼交互模塊503進一步包括解密單元,用於根據代碼存儲模塊505 中的可執行代碼,對所下載的可執行代碼進行解密。
所述代碼交互模塊503還可以進一步包括代碼發送單元,用於將所述代碼 存儲模塊505存儲的可執行代碼發送給通信對端終端。
所述代碼執行模塊504進一步包括
運行權限單元,用於設置所述加密和解密算法的可執行代碼的運行權限, 並根據所述運行權限決定是否執行所述可執行代碼。
從以上實施例可以看出,終端、伺服器以及通信網絡組成了加密通信系統, 所述加密通信系統包括主叫終端、被叫終端、伺服器和通信網絡;
所述主叫終端和被叫終端用於通過通信網絡彼此進行通信,並協商通信所 採用的加密和解密算法;主叫終端或5 皮叫終端通過通信網絡vt人所述伺服器下載 所述加密和解密算法的可執行代碼,並運行所下載的可執行代碼,對通信數據 進行加密。該主叫終端或^f皮叫終端可以是如圖5所示的終端500。
所述伺服器用於存儲加密和解密算法的可執行代碼,並根據來自主叫終端
或被叫終端的獲取加密和解密算法的可執行代碼的請求,將所述請求對應的加 密和解密算法的可執行代碼發送給所述主叫終端或神皮叫終端。所述伺服器可以
是如圖4所示的伺服器400。
另 一種加密通信系統包括主叫終端和被叫終端;
所述主叫終端,用於與被叫終端通過通信網絡進行協商通信所採用的加密 和解密算法,並從所述被叫終端下載所述加密和解密算法的可執行代碼,運行
所下載的可執行代碼,對通信數據進行加密;
13所述被叫終端,用於與所述主叫終端通過通信網絡進行協商通信所採用的 加密和解密算法,將所述請求對應的加密和解密算法的可執行代碼發送給所述 主叫終端。
通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發明 可藉助軟體加必需的硬體平臺的方式來實現,當然也可以全部通過硬體來實施, 但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案對 背景技術做出貢獻的全部或者部分可以以軟體產品的形式體現出來,該計算機
軟體產品可以存儲在存儲介質中,如ROM/RAM、磁碟、光碟等,包括若干指 令用以使得一臺計算機設備(可以是個人計算機,伺服器,或者網絡設備等) 執行本發明各個實施例或者實施例的某些部分所述的方法。
本發明方案可以實現加密和解密的算法程序的實時更新,大大加強了終 端通信的靈活性和數據的安全性。
以上所述僅為本發明的較佳實施例而已,並不用以限制本發明,凡在本 發明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本 發明的保護範圍之內。
權利要求
1、一種基於主動網技術的加密通信方法,其特徵在於,包括如下步驟與通信的對端終端協商出通信所採用的加密和解密算法;通過通信網絡下載所述加密和解密算法的可執行代碼;運行所下載的可執行代碼,對通信數據進行加密或解密。
2、 根據權利要求1所述的方法,其特徵在於,還包括判斷本地是否 保存有所述加密和解密算法的可執行代碼,若是,則執行本地保存的所述可 執行代碼對通信數據進行加密;否則,執行所述通過通信網絡下載所述加密 和解密算法的可執行代碼的步驟。
3、 根據權利要求1所述的方法,其特徵在於,所述通過通信網絡下載所述 加密和解密算法的可執行代碼包括向網絡中的伺服器或通信的對端終端發送 下載所述加密和解密算法的可執行代碼的請求,並接收來自所述伺服器或通信 的對端終端的所述可執行代碼。
4、 根據權利要求1至3任一項所述的方法,其特徵在於,所述下載所述加 密和解密算法的可執行代碼包括採用專用信道下載所述加密和解密算法的可執行代碼;和/或,採用終端中的已下載的加密算法對所要下載的可執行代碼進行加 密,下載加密的可執行代碼,再用終端中已下載的解密算法對所述可執行代碼 進行解密。
5、 根據權利要求1至3任一項所述的方法,其特徵在於,所述下載所述加 密和解密算法的可執行代碼之後包括設置所述可執行代碼的運行權限;運行所下載的可執行代碼之前,進一步包括根據所述可執行代碼的運行 權限判斷是否允許運行所述可執行代碼,若是,則執行所述運行所下載的可執 行代碼的步驟。
6、 一種基於主動網技術的加密通信方法,其特徵在於,包括根據來自終端的獲取加密和解密算法的可執行代碼的請求,對網絡側存儲 的可執行代碼進行搜索,找到相應的可執行代碼;將所找到的可執行代碼發送給所述終端。
7、 根據權利要求6所述的方法,其特徵在於,所述來自終端的獲取加密和解密算法的可執行代碼的請求包括攜帶加密和解密算法信息的加密指示; 則所述將所找到的可執行代碼發送給所述終端包括對所找到的可執行代碼進行加密,並將加密後的可執行代碼發送給所述終端。
8、 一種用於實現加密通信的伺服器,其特徵在於,包括 存儲模塊,用於存儲加密和解密算法的可執行代碼;搜索模塊,用於根據來自終端的獲取加密和解密算法的可執行代碼的請求, 對所述存儲模塊中的可執行代碼進行搜索,找到相應的可執行代碼;收發模塊,用於接收來自終端的獲取加密和解密算法的可執行代碼的請求, 將所述請求發送到所述搜索模塊;將所述搜索模塊所找到的可執行代碼發送給 所述終端。
9、 根據權利要求8所述的伺服器,其特徵在於,所述伺服器進一步包括加 密模塊;所述收發模塊接收的所述請求包括攜帶加密和解密算法信息的加密指示, 收發模塊將所述加密指示通知所述加密模塊;所述加密模塊,用於根據所述加密指示,對所述搜索模塊找到的可執行代 碼進行加密,並將加密後的可執行代碼發送給所述收發模塊。
10、 一種終端,包括用於與其它終端進行通信的通信模塊,其特徵在於, 還包括加密解密協商模塊,用於與通信的對端終端協商出用於對通信內容進行加 密和解密的加密和解密算法;代碼交互模塊,用於向網絡中的伺服器或通信對端終端獲取所述協商模塊 所協商出的加密和解密算法的可執行代碼;代碼執行模塊,用於執行所述可執行代碼,對將要發送給對端終端的通信 內容進行加密,和/或,對接收來自對端終端的通信內容進行解密。
11、 根據權利要求IO所述的終端,其特徵在於,該終端進一步包括 代碼存儲模塊,用於存儲所述代碼交互模塊所下載的加密和解密算法的可執行代碼。
12、 根據權利要求11所述的終端,其特徵在於,所述代碼執行模塊進一步 包括本地檢查單元,用於檢查所述代碼存儲模塊是否存儲有所述加密解密協商 模塊所協商出的可執行代碼,若是,則所述代碼執行模塊執行所述代碼存儲模 塊所存儲的該可執行代碼;否則,代碼執行模塊向所述代碼交互模塊發送下載 請求,代碼交互模塊根據所述下載請求,向網絡中的伺服器或通信對端終端獲 取所述協商模塊所協商出的加密和解密算法的可執行代碼。
13、 根據權利要求11所述的終端,其特徵在於,所述代碼交互模塊進一步 包括解密單元,用於根據代碼存儲模塊中的可執行代碼,對所下載的可執行 代碼進行解密。
14、 根據權利要求11所述的終端,其特徵在於,所述代碼交互模塊進一步 包括代碼發送單元,將所述代碼存儲模塊存儲的可執行代碼發送給通信對端終端。
15、 根據權利要求10至14任一項所述的終端,其特徵在於,所述代碼執 行模塊進一步包括運行權限單元,用於設置所述加密和解密算法的可執行代碼的運行權限, 並根據所述運行權限決定是否執行所述可執行代碼。
16、 一種加密通信系統,其特徵在於,所述加密通信系統包括終端和服 務器;所述終端,用於與通信對端的終端通過通信網絡進行協商通信所釆用的加 密和解密算法,並從所述伺服器下載所述加密和解密算法的可執行代碼,運行所下載的可執行代碼,對通信數據進行加密;所述伺服器,用於存儲加密和解密算法的可執行代碼,並根據來自終端的 獲取所述加密和解密算法的可執行代碼的請求,將所述請求對應的加密和解密 算法的可執行代碼發送給所述終端。
17、 一種加密通信系統,其特徵在於,所述加密通信系統包括主叫終端 和被叫終端;所述主叫終端,用於與被叫終端通過通信網絡進行協商通信所採用的加密 和解密算法,並從所述被叫終端下載所述加密和解密算法的可執行代碼,運行 所下載的可才丸行代碼,對通信數據進行加密;所述被叫終端,用於與所述主叫終端通過通信網絡進行協商通信所釆用的 加密和解密算法,將所述請求對應的加密和解密算法的可執行代碼發送給所述 主叫終端。
全文摘要
本發明公開了一種基於主動網技術的加密通信方法,包括如下步驟具有主動網能力的主叫終端和被叫終端協商出通信所採用的加密和解密算法;所述主叫終端和/或被叫終端通過通信網絡下載所述加密和解密算法的可執行代碼;所述主叫終端和/或被叫終端運行所下載的可執行代碼,對通信數據進行加密。本發明還公開了基於主動網技術的加密通信的伺服器、終端和系統。本發明方案可以實現加密和解密的算法程序的實時更新,大大加強了終端通信的靈活性和數據的安全性。
文檔編號H04L9/16GK101588237SQ20081009833
公開日2009年11月25日 申請日期2008年5月23日 優先權日2008年5月23日
發明者禕 張, 馬劍飛 申請人:華為技術有限公司