[发明专利]基于网络传输的数据包的加密解密方法及终端

说明书

技术领域

本申请涉及安全网络通信领域，具体涉及到一种基于网络传输的数据包的加密解密方法及终端。

背景技术

互联网网络因其简单、廉价和开放性而在通信领域得到了广泛的应用，例如VoIP（Voice over Internet Protocol）便是一种利用互联网传播语音分组的新型通信技术。然而，由于互联网的开放性及自身存在的不安全性，网络传输数据相对于传统的基于电路交换的语音通信等技术具有更多的不安全因素。为了保证语音、视频、图像和/或文字在开放网络中传输时的安全性，最通用的技术便是对数据包进行加密传输。但是，对数据包进行加密额外增加了通信延时，尤其是对于语音通信实时性要求较高的如VoIP来说是个极大的瓶颈。由于流密码加密算法在速度上相比块密码算法要快4～5倍，且不存在块密码算法的位错误扩散缺陷，因此基于流密码的数据加密传输技术相比基于块密码的加密技术具有更大的优势。

对于分组网络，如果传输层协议采用不可靠的用户数据报协议（如UDP协议），将无法保证加密的数据包能全部传输到接收端。当网络中存在丢包时，基于流密码的加密技术若无法实现解密密钥与加密密钥完全同步，则将导致接收端所有收到的数据包无法被解密，从而导致加密数据传输失败。目前已有部分专利技术提出了具有密钥同步功能的数据加密传输技术。

申请号为200710304592.6的中国专利申请公开了一种适于VoIP媒体传输的加解密方法，该方法的主要内容是：通信双方事先准备好密钥表和公钥，发话端选择一个随机数，用随机数对公钥取余并得到余数，按照余数从密钥表中取出密钥对明文加密，发送的数据包括随机数、余数长度的随机数据及密文数据；受话端收到数据后，先获得随机数并对公钥取余，根据余数确定的偏移量得到密文数据后，基于余数从密钥表中取出密钥实现解密。该方法的不足在于：通信双方需要事先建立固定的密钥表，且密钥表应该足够大来保证密钥的随机性，这需要消耗很大的内存资源，尤其对于移动终端设备是不适用的；该方法为了保证加解密双方的密钥同步增加了网络中传输的数据，额外添加了随机数和余数长度的随机数据；另外，该方法难以有效界定随机数与添加的余数长度的随机数据。

申请号为200810300497.3的中国专利申请公开了一种基于流密码加密的安全传输方法，该方法的主要内容是：为了实现加解密密钥的同步，通信双方同时与一个同步信号源相连接，使用与密文数据独立传输的时钟作为同步信号，发送设备与接收设备使用相同的流密码算法产生相同的密钥流；在密文数据中添加一个固定的常数位判断加解密密钥是否同步。该方法的不足在于：简单地将通信双方与一个同步信号源相连实现密钥同步在现实中难以实现，且无法进行大规模的系统扩展；添加固定常数位用于判断是否同步带来了新的安全隐患。

申请号为201010171638.3的中国专利申请公开了一种用于网络通信的动态加密和解密方法和设备，该方法的主要内容是：第一网络实体产生密钥并将所述密钥发送给第二网络实体，同时，第一网络实体还将所生成的密钥存储在本地的密钥表中；第一网络实体使用密钥表中的密钥加密数据并将所使用密钥在所述本地密钥表中的索引附加到加密的数据；第二网络实体接收第一网络实体分发的密钥并将其存储在本地的密钥表中，第二网络实体接收加密的数据后，由于数据随附有用于加密的密钥的索引，且该发明假定第一网络实体分发的密密钥都能被第二网络实体接收到，即第二网络实体和第一网络实体的密钥表始终是完全同步一致的，因此根据索引定位得到第二网络实体的密钥表中的某一个密钥即为第一网络实体用于加密的密钥。该方法的不足在于：在实际应用中难以完全保证第一网络实体分发的密钥都能被第二网络实体接收，当第一通信实体分发的某些密钥无法被第二通信实体接收到时，通信双方的密钥表将失去同步，该方法将无法被正确实施，因此该方法并没有真正实现密钥同步功能；为了保证加解密双方加解密密钥的同步，通过附加密钥索引的方法额外增加了网络通信流量。