[发明专利]一种应用于动态自组网的混合加密方法

权利要求书

1.一种应用于动态自组网的混合加密方法，其特征在于，包括以下步骤：

(1)当所有终端节点开机后，中心节点执行组网身份认证；

(2)完成身份认证后，所述终端节点进行数据的上报、接收中心节点发送的命令、以及实现终端节点之间的点对点传输；在数据传输的过程中，采用基于时变动态密钥的对称加密方法；其中，基于时变动态密钥的对称加密方法具体为：接收端和发送端均保存对称加密的初始化用户插件；当发送端发送消息的时候，发送端首先根据当前的系统时间戳随机计算出相应的动态更新信息；基于该动态更新信息发送端采用基于系统时间和当前密钥的交织hash算法来实现新密钥的生成；发送端基于新密钥进行加密，并发送数据包；接收端根据接收信号的系统时间戳计算出相应的动态更新密钥；接收端根据所述动态更新密钥进行解密，完成数据包的解析。

2.根据权利要求1所述的应用于动态自组网的混合加密方法，其特征在于，所述步骤(1)中终端节点向中心节点上报用户标识信息以及相应的公钥信息，所述中心节点判断用户合法情况，当用户合法时，则进行组网用户身份注册，并向终端节点下发通信密钥以及用户数字证书。

3.根据权利要求2所述的应用于动态自组网的混合加密方法，其特征在于，所述步骤(1)中的终端节点在出厂时均安装有初始中心节点的数字证书；所有的终端节点在开机后，均自行计算非对称密钥的公钥和私钥组合，同时中心节点保存了所有终端节点的身份信息的HASH值；终端节点执行接入操作，发送随机数据包要求中心节点使用中心节点的私钥进行加密；中心节点计算所述随机数据包的Hash值，得到数据指纹，将该数据指纹用中心节点私钥加密的密文发送给终端节点；终端节点使用中心节点的公钥进行解密，并与本地随机数据包进行Hash得到的数据指纹进行比对，如果两者相符，说明对方确是中心节点本身；终端节点发送携带个人信息的数据包与其根据计算得出的终极安全确认码，所述终极安全确认码由终端节点根据所述携带个人信息的数据包的Hash值以Random Number+Salt的规则生成，终端只需保存Random Number，而Salt采用由保密人自行记忆的方式，所述携带个人信息的数据包的明文基于中心节点的公钥进行加密传输，数字签名是基于所述携带个人信息的数据包的数据指纹使用终端节点私钥进行加密；中心节点基于中心节点的私钥进行所述携带个人信息的数据包的解密，解密完成以后将得到终端节点的身份信息、终端公钥信息以及数字签名；中心节点使用终端公钥信息解密数字签名，得到数据指纹，所述数据指纹使用hash函数得到相应的摘要，两者之间进行数据比对以验证明文数据的完整性；中心节点比较接收的终端节点的身份信息的HASH值同本地保存的终端节点的身份信息的HASH值是否符合，如果相符则保存终端节点的身份信息和其终极安全确认码并生成数字证书，并调用hash函数生成指纹数字证书的指纹算法；所述数字证书包括：终端节点名称id、终端节点的公钥，数字证书对应的数字指纹，以及针对该数字指纹采用指纹加密方法设计的加密系统进行加密，最终把这些打包后形成终端节点的数字证书；根据终端节点的上报信息生成相应的插件，将该插件同数字证书合并后，使用终端节点的公钥进行加密，下发给终端节点。

4.根据权利要求1所述的应用于动态自组网的混合加密方法，其特征在于，所述发送端在每次数据包的发送前，都叠加相应随机数，当通信遭到恶意复制攻击的时候，接收端将收到同样随机数的消息，此时说明存在恶意重复发送破坏通信，此时接收端会向发送端反馈停止发送指示，发送端接收到指示以后会停止后续数据的发送过程，并向接收端进行反馈。

5.根据权利要求1所述的应用于动态自组网的混合加密方法，其特征在于，当网络拓扑结构发生变化时，需要重新选择认证节点从而能使安全系统平滑切换，当前中心节点会通过广播的方式同候选中心节点进行握手以及双向认证；基于完整身份认证以及终极安全确认码确认后，中心节点将通过消息的形式传递当前网络的用户信息，并通过广播的形式下发广播，从而实现中心节点的切换；整个过程采用基于公钥的双向认证和用户签名。