一種基于二重鹽值的數據加密與解密方法及系統與流程

本發明涉及數據報文安全加密技術領域，更具體地說，涉及一種基于二重鹽值的數據加密與解密方法及系統。

背景技術：

隨著計算機與信息技術的迅速發展，網絡傳輸的安全問題面臨著各種考驗。網絡安全涵蓋了用戶身份認證、數據加密解密、訪問控制、防抵賴、數據完成性問題和審計追蹤等各個方面。其中數據加密與解密在保證網絡數據傳輸安全中處于舉足輕重至關重要的地位，是整個網絡安全的基礎，也是信息安全的問題根源。數據在網絡上的傳輸，最主要的安全威脅來自于非法竊聽，將包含了重要信息并依據理解的明文使用密鑰進行加密，使用加密后的密文進行傳輸，已成為預防非法竊聽和用戶信息認證的主要手段。傳統的密鑰混合加密算法，即是對稱加密算法、非對稱加密算法的整合，主要是選定一種對稱加密算法為基礎，而在網絡傳輸的通信線路上使用與之不同的非對稱加密算法，如對稱加密算法使用DES算法，而非對稱算法使用RSA算法，對這種算法的密鑰進行加密，使用經過RAS算法加密密鑰產生的密文和DES算法加密明文產生的密文，在網絡上進行傳輸。在目標主機接收到這兩份密文之后，相應的使用RAS算法的私鑰和DES算法分別對接收到的密文進行解密。其中在加密過程中，算法的加密強度取決于DES算法的質量，一旦攻擊者在截獲了密文并破解DES算法，那么在不需要密鑰的情形下，明文信息已完全能夠被獲悉。再者，DES算法的密鑰長度一般都較短，在當今高性能計算和云計算盛行的情況下，有可能在較短時間內破獲其密鑰。總之，現有的數據傳輸安全性存在隱患，有被攻破的可能性，有必要進行改進。

技術實現要素：

本發明要解決的技術問題在于，針對現有技術的上述缺陷，提供一種基于二重鹽值的數據加密與解密方法及系統。

本發明解決其技術問題所使用的技術方案是：構造一種基于二重鹽值的數據加密與解密方法，數據加密方法包括如下步驟：

S1、將原始明文數據分割成第一片段和第二片段；

S2、對所述第一片段的行末添加第一鹽值，對所述第二片段的行末添加第二鹽值；

S3、分別對添加鹽值后的所述第一片段和所述第二片段使用第一種加密算法及相應的密鑰進行第一次加密處理；

S4、對第一次加密處理后的所述第一片段和所述第二片段中的至少一種片段的行末添加第三鹽值；

S5、對添加所述第三鹽值后的片段使用第二種加密算法及相應的密鑰進行第二次加密處理；

S6、組裝分別加密后的片段，形成密文數據。

在上述基于二重鹽值的數據加密與解密方法中，所述步驟S3中的密鑰由第三種加密算法的公鑰對所述第一種加密算法隨機產生的密鑰進行加密處理后生成；所述步驟S5中的密鑰由第三種加密算法的公鑰對所述第二種加密算法隨機產生的密鑰進行加密處理后生成。

在上述基于二重鹽值的數據加密與解密方法中，所述第一種加密算法為AES加密算法，所述第二種加密算法為DES加密算法，所述第三種加密算法為RSA加密算法。

在上述基于二重鹽值的數據加密與解密方法中，所述第一鹽值、第二鹽值以及第三鹽值分別依據當前有效時間生成。

在上述基于二重鹽值的數據加密與解密方法中，數據解密方法包括：

S1’、將所述密文數據分割成第一片段和第二片段；

S2’、使用所述第二種加密算法及相應的密鑰對行末添加了第三鹽值的片段進行第一次解密處理；

S3’、去除所述第三鹽值；

S4’、使用所述第一種加密算法及相應的密鑰對去除第三鹽值后的片段和未使用第二種加密算法及相應的密鑰進行加密處理的片段進行第二次解密處理；

S5’、去除經第二次解密處理后的第一片段行末的第一鹽值和第二片段行末的第二鹽值；

S6’、組裝分別解密后的片段，形成所述原始明文數據。

在上述基于二重鹽值的數據加密與解密方法中，所述步驟S2’中的密鑰由第三種加密算法的公鑰對所述第一種加密算法隨機產生的密鑰進行加密處理后生成；所述步驟S4’中的密鑰由第三種加密算法的公鑰對所述第二種加密算法隨機產生的密鑰進行加密處理后生成。

在上述基于二重鹽值的數據加密與解密方法中，所述第一種加密算法為AES加密算法，所述第二種加密算法為DES加密算法，所述第三種加密算法為RSA加密算法。

還提供一種基于二重鹽值的數據加密與解密系統，包括第一終端，所述第一終端又包括：

加密片段分割單元，將原始明文數據分割成第一片段和第二片段；

鹽值生成單元，生成第一鹽值和第二鹽值，并將所述第一片段和第二片段的行末分別對應添加所述第一鹽值和所述第二鹽值；

第一加密單元，對添加鹽值后的所述第一片段和第二片段使用第一加密算法及相應的密鑰進行第一次加密處理；

所述鹽值生成單元還用于生成第三鹽值，并將第一次加密處理后的所述第一片段和所述第二片段中的至少一種片段的行末添加所述第三鹽值；

第二加密單元，對添加第三鹽值后的片段使用第二種加密算法及相應的密鑰進行第二次加密處理；

加密組裝單元，組裝加密后的片段，形成密文數據。

在上述基于二重鹽值的數據加密與解密系統中，還包括密鑰生成單元，用于使用第三種加密算法的公鑰對所述第一種加密算法隨機產生的密鑰進行加密處理后生成所述第一加密單元中使用到的密鑰以及使用第三種加密算法的公鑰對所述第二種加密算法隨機產生的密鑰進行加密處理后生成所述第二加密單元中使用到的密鑰。

在上述基于二重鹽值的數據加密與解密系統中，還包括用于從所述第一終端中接收所述密文數據的第二終端，所述第二終端又包括：

解密片段分割單元，將所述密文數據分割成第一片段和第二片段；

第一解密單元，使用所述第二種加密算法及相應的密鑰對行末添加了第三鹽值的片段進行第一次解密處理；

鹽值去除單元，去除所述第三鹽值；

第二解密單元，使用所述第一種加密算法及相應的密鑰對去除第三鹽值后的片段和未使用第二種加密算法及相應的密鑰進行加密處理的片段進行第二次解密處理；

所述鹽值去除單元還用于去除經第二次解密處理后的第一片段行末的第一鹽值和第二片段行末的第二鹽值；

解密組裝單元，組裝分別解密后的片段，形成所述原始明文數據。

實施本發明的基于二重鹽值的數據加密與解密方法及系統，具有以下有益效果：在數據加密過程中通過將原始明文數據分割為第一片段和第二片段，在第一片段和第二片段的行末分別添加鹽值，經鹽值處理后使用第一種加密算法即AES加密算法進行加密處理，產生AES加密算法中間密文。之后再對至少一種中間密文進行鹽值處理，并使用第二種加密算法即DES加密算法進行加密處理，最終產生二重鹽值混合加密算法加密后的密文數據。與之對應的在解密過程中在獲得密文數據后首先使用DES加密算法及相應的密鑰進行解密，并去除解密后在末尾添加的鹽值，于是就得到了首次加密后的密文數據，對該密文數據再使用AES加密算法進行解密后，同樣的去除末尾增加的時間鹽值，最終將得到原始明文數據。這里在加密過程中最終獲得的密文數據與原始的明文數據并不存在明確的對應關系，且需要攻擊者同時破解兩種加密算法，破解難度高，保證了網絡傳輸的安全性，具有很好的防御效果。

附圖說明

下面將結合附圖及實施例對本發明作進一步說明，附圖中：

圖1是本發明一種基于二重鹽值的數據加密方法的流程示意圖；

圖2是本發明一種基于二重鹽值的數據加密方法的加密過程示意圖；

圖3是本發明一種基于二重鹽值的數據解密方法的流程示意圖；

圖4是本發明一種基于二重鹽值的數據解密方法的解密過程示意圖。

具體實施方式

為了對本發明的技術特征、目的和效果有更加清楚的理解，現對照附圖詳細說明本發明的具體實施方式。

如圖1所示，為本發明一種基于二重鹽值的數據加密方法的流程示意圖，該數據加密方法包括如下步驟：

S1、將原始明文數據分割成第一片段和第二片段；

S2、對該第一片段的行末添加第一鹽值，對該第二片段的行末添加第二鹽值；

S3、分別對添加鹽值后的該第一片段和該第二片段使用第一種加密算法及相應的密鑰進行第一次加密處理；

S4、對第一次加密處理后的該第一片段和該第二片段中的至少一種片段的行末添加第三鹽值；

S5、對添加該第三鹽值后的片段使用第二種加密算法及相應的密鑰進行第二次加密處理；

S6、組裝分別加密后的片段，形成密文數據。

在上述基于二重鹽值的數據加密方法中，該第一種加密算法為AES加密算法，該第二種加密算法為DES加密算法，該第三種加密算法為RSA加密算法。另外，該步驟S3中的密鑰由第三種加密算法的公鑰對第一種加密算法隨機產生的密鑰進行加密處理后生成；該步驟S5中的密鑰由第三種加密算法的公鑰對該第二種加密算法隨機產生的密鑰進行加密處理后生成。

為了更好的說明本發明的數據加密過程，現以第二片段分別經兩次加密處理為例。本實施例中的加密過程首先對原始明文數據進行分割，對分割后的數據報文進行處理，如圖2所示，原始明文數據D被分割為第一片段D1和第二片段D2，在兩個片段的行末分別對應添加第一鹽值S1和第二鹽值S2，這里的第一鹽值S1和第二鹽值S2分別由系統當前時間所決定。第一片段D1和第二片段D2經過鹽值處理后首先使用第一種加密算法即AES加密算法以及相應的密鑰E1和E2進行第一次加密處理，相應產生中間密文C1和C2。這里可以選擇對中間密文C1和C2中至少一個進行二次加密處理，如選擇對中間密文C2進行二次加密，首先仍需對中間密文C2進行鹽值處理，即在中間密文C2的行末添加第三鹽值S3，該第三鹽值S3也是由系統當前時間決定，對得到的新的密文使用第二種加密算法即DES加密算法及相應的密鑰E3進行第二次加密處理，獲得第二次加密后的密文C3，最終組裝C1和C3產生二重鹽值混合加密算法加密后的密文數據。這樣所得到的密文數據與原始明文數據不存在明確的對應關系，而是附加了一定的鹽值處理，并且鹽值不受加密操作者的控制，加密效果使原始明文數據更加隱秘不易被破解。

另外，上述加密過程中所使用的密鑰即密鑰E1、E2和E3均使用第三種加密算法即RSA加密算法的公鑰進行加密，也就是說，密鑰E1和密鑰E2分別是由RSA加密算法的公鑰對該AES加密算法隨機產生的密鑰進行加密處理后所生成的，相應地密鑰E3是由RSA加密算法的公鑰對DES加密算法隨機產生的密鑰進行加密處理后所生成的，進一步發揮對稱加密算法速度快而公鑰加密算法安全性高的優勢。

基于上述對第二片段D2有使用AES加密算法和DES加密算法，即使用該二重鹽值混合加密算法的密鑰的長度是使用192位，用于同時滿足AES加密算法的128位和DES加密算法的64位。在這192位的密鑰中每一位都是有效的，如果要破解該密鑰，其枚舉空間達到2的192次方，同時這一密鑰長度能夠有效保證加密構成算法的高效性，保證網絡傳輸的安全性。此外，在密鑰對明文的敏感性方面，二重鹽值混合加密算法對明文本身的微小差別在經過分割為兩個片段、第一次加密和第二次加密以及組裝這四個過程的處理后被不斷放大，即本發明二重鹽值混合加密算法的明文敏感度表現較佳。除此次之外，兩次在片段的行末添加鹽值，這使得本發明加密算法的密鑰敏感度優于一般的加密算法，在應對攻擊方面，本發明的二重鹽值混合加密算法需要攻擊者同時破解DES加密算法和AES加密算法，搜索空間大時間復雜度高，密鑰攻擊的可行性小，而該算法的明文敏感度高，明文破解難度也非常大，因此具有很好的防御效果。

相應地，本發明基于二重鹽值的數據解密方法流程圖如圖3所示，該數據解密方法包括如下步驟：

S1’、將該密文數據分割成第一片段和第二片段；

S2’、使用第二種加密算法及相應的密鑰對添加第三鹽值的片段進行第一次解密處理；

S3’、去除第三鹽值；

S4’、使用第一種加密算法及相應的密鑰對去除第三鹽值后的片段和未使用第二種加密算法及相應的密鑰進行加密處理的片段進行第二次解密處理；

S5’、去除經第二次解密處理后的第一片段行末的第一鹽值和第二片段行末的第二鹽值；

S6’、組裝分別解密后的片段，形成該原始明文數據。

在上述基于二重鹽值的數據解密方法中，該第一種加密算法為AES加密算法，該第二種加密算法為DES加密算法，該第三種加密算法為RSA加密算法。另外，該步驟S2’中的密鑰由第三種加密算法的公鑰對該第二種加密算法隨機產生的密鑰進行加密處理后生成；該步驟S4’中的密鑰由第三種加密算法的公鑰對該第一種加密算法隨機產生的密鑰進行加密處理后生成。

為了更好的說明本發明的數據解密過程，現以第二片段分別經兩次解密處理為例。與圖2相對應，本實施例中的解密過程首先對密文數據進行分割，如圖4所示，密文數據被分割為第一片段C1和第二片段C3，在解密之前需先檢測某一片段是否進行了兩次加密處理，如上所述，本實施例中是對第二片段進行了兩次加密，因此下述的解密過程是先使用第二種加密算法即DES加密算法及相應的密鑰E3對第二片段C3進行第一次解密處理，之后再去除經第一次解密處理后的片段C2行末的第三鹽值S3，形成首次加密后的密文C1和C2，。之后再使用第一種加密算法即AES加密算法及相應的密鑰E1和E2對密文C1及去除第三鹽值S3后的密文C2進行第二次解密處理，再去除第一鹽值S1和第二鹽值S2，最后得到分割開的明文數據D1和D2，經組裝形成原始明文數據。

另外，上述加密過程中所使用的密鑰即密鑰E1、E2和E3均使用第三種加密算法即RSA加密算法的公鑰進行加密，也就是說，密鑰E1和密鑰E2分別是由RSA加密算法的公鑰對該AES加密算法隨機產生的密鑰進行加密處理后所生成的，相應地密鑰E3是由RSA加密算法的公鑰對DES加密算法隨機產生的密鑰進行加密處理后所生成的，進一步發揮對稱加密算法速度快而公鑰加密算法安全性高的優勢。

本發明還提供一種基于二重鹽值的數據加密與解密系統，其中，數據加密系統包括第一終端，該第一終端又包括：

加密片段分割單元，將原始明文數據分割成第一片段和第二片段；

鹽值生成單元，生成第一鹽值和第二鹽值，并將該第一片段和第二片段的行末分別對應添加該第一鹽值和該第二鹽值；

第一加密單元，對添加鹽值后的該第一片段和第二片段使用第一加密算法及相應的密鑰進行第一次加密處理；

該鹽值生成單元還用于生成第三鹽值，并將第一次加密處理后的該第一片段和該第二片段中的至少一種片段的行末添加該第三鹽值；

第二加密單元，對添加第三鹽值后的片段使用第二種加密算法及相應的密鑰進行第二次加密處理；

加密組裝單元，組裝加密后的片段，形成密文數據。

相應地，數據解密系統包括用于從該第一終端中接收該密文數據的第二終端，該第二終端又包括：

解密片段分割單元，將該密文數據分割成第一片段和第二片段；

第一解密單元，使用第二種加密算法及相應的密鑰對行末添加了第三鹽值的片段進行第一次解密處理；

鹽值去除單元，去除第三鹽值；

第二解密單元，使用第一種加密算法及相應的密鑰對去除第三鹽值后的片段和未使用第二種加密算法及相應的密鑰進行加密處理的片段進行第二次解密處理；

上述鹽值去除單元還用于去除經第二次解密處理后的第一片段行末的第一鹽值和第二片段行末的第二鹽值；

解密組裝單元，組裝分別解密后的片段，形成原始明文數據。

在上述數據加密與解密系統中，第一終端相當于發送方，對源IP和目的IP分別匹配己方內網和對方內網的IP數據包使用二重鹽值混合加密算法進行加密，并在加密后生成的IP數據包報文頭部TOS域中進行標記；第二終端相當于接收方，接收方對符合內網IP作為目的地址的進行匹配，對報文頭部TOS域進行識別，并對IP數據包進行二重鹽值混合加密算法進行解密。主動加密對符合IP地址匹配條件的IP數據包進行加密處理并實施轉發，被動加密對接收到的數據進行解密并轉發，從而完成一次IP數據報文通道式的加密解密處理流程。

在上述基于二重鹽值的數據加密與解密系統中，還包括密鑰生成單元，與第二種加密算法相應的密鑰由該密鑰生成單元使用第三種加密算法的公鑰對該第二種加密算法隨機產生的密鑰進行加密處理后生成；與第一種加密算法相應的密鑰由該密鑰生成單元使用第三種加密算法的公鑰對該第一種加密算法隨機產生的密鑰進行加密處理后生成。這里第一種加密算法為AES加密算法，該第二種加密算法為DES加密算法，該第三種加密算法為RSA加密算法。

相較于現有技術，本發明一種基于二重鹽值的數據加密與解密方法及系統是一種集對稱加密和非對稱加密為一體，將兩種加密算法有機結合取長補短合為一體，既保持了對稱密碼加密效率高的優點，又保證了密鑰在網絡上的安全傳輸，主要適用于因特網電子商務平臺、政務平臺和軍事網絡系統中，特別是用于云計算云服務網絡系統中，能夠有效保證數據在網絡中的安全傳輸。

具體地，在數據加密過程中通過將原始明文數據分割為第一片段和第二片段，在第一片段和第二片段的行末分別添加鹽值，經鹽值處理后使用第一種加密算法即AES加密算法進行加密處理，產生AES加密算法中間密文。之后再對至少一種中間密文進行鹽值處理，并使用第二種加密算法即DES加密算法進行加密處理，最終產生二重鹽值混合加密算法加密后的密文數據。與之對應的在解密過程中在獲得密文數據后首先使用DES加密算法及相應的密鑰進行解密，并去除解密后在末尾添加的鹽值，于是就得到了首次加密后的密文數據，對該密文數據再使用AES加密算法進行解密后，同樣的去除末尾增加的時間鹽值，最終將得到原始明文數據。這里在加密過程中最終獲得的密文數據與原始的明文數據并不存在明確的對應關系，且需要攻擊者同時破解兩種加密算法，破解難度高，保證了網絡傳輸的安全性，具有很好的防御效果。

上面結合附圖對本發明的實施例進行了描述，但是本發明并不局限于上述的具體實施方式，上述的具體實施方式僅僅是示意性的，而不是限制性的，本領域的普通技術人員在本發明的啟示下，在不脫離本發明宗旨和權利要求所保護的范圍情況下，還可做出很多形式，這些均屬于本發明的保護之內。