[发明专利]数据加密传输系统和数据加密传输方法

权利要求书

1.一种数据加密传输系统，其特征在于，包括数据中心、密钥协商服务器和终端，所述数据中心与所述密钥协商服务器协商获取第一共享密钥，

所述数据中心，与消息中间件相连接，用于使用所述第一共享密钥对明文数据进行加密获取第一密文，并将所述第一密文发布至所述消息中间件的订阅队列；

所述密钥协商服务器，与所述数据中心相连接，用于获取所述订阅队列对应的队列信息，并使用所述队列信息对所述第一共享密钥进行加密获取第二密文，所述队列信息还用于对所述第二密文进行解密获取所述第一共享密钥；根据所述队列信息将所述第二密文分配至订阅了所述订阅队列的各个终端；根据所述订阅队列中所述终端的增订和/或退订操作，实时更新所述队列信息，所述队列信息包括所述订阅队列对应的终端集合、队列密钥和初始值，所述根据所述队列信息对所述第一共享密钥进行加密形成第二密文包括：计算所述终端集合的终端身份异或值；利用所述队列密钥计算所述终端身份异或值的假名；根据所述队列密钥和所述初始值获取加密密钥；获取时间戳，并使用所述加密密钥对所述第一共享密钥、队列名和所述时间戳进行加密处理获取第一加密信息；使用私钥对所述第一加密信息进行签名获取签名信息；使用所述第一共享密钥对所述签名信息、所述密钥协商服务器的身份和所述假名进行加密处理获取第二密文；

所述终端，分别与所述消息中间件和所述密钥协商服务器相连接，用于获取队列信息、所述第一密文和所述第二密文，根据所述队列信息对所述第二密文进行解密获取所述第一共享密钥，并根据所述第一共享密钥对所述第一密文进行解密获取所述明文数据。

2.一种数据加密传输方法，应用于数据加密传输系统，所述数据加密传输系统包括数据中心、终端和密钥协商服务器，其特征在于，所述方法包括：

与所述数据中心协商获取第一共享密钥；所述第一共享密钥用于对所述数据中心发布至订阅队列的明文数据进行加密形成第一密文，或用于对所述终端从所述订阅队列中读取的所述第一密文进行解密获取所述明文数据；

获取所述订阅队列对应的队列信息，根据所述队列信息对所述第一共享密钥进行加密形成第二密文；所述队列信息还用于对所述第二密文进行解密获取所述第一共享密钥，所述队列信息包括所述订阅队列对应的终端集合、队列密钥和初始值，所述根据所述队列信息对所述第一共享密钥进行加密形成第二密文包括：计算所述终端集合的终端身份异或值；利用所述队列密钥计算所述终端身份异或值的假名；根据所述队列密钥和所述初始值获取加密密钥；获取时间戳，并使用所述加密密钥对所述第一共享密钥、队列名和所述时间戳进行加密处理获取第一加密信息；使用私钥对所述第一加密信息进行签名获取签名信息；使用所述第一共享密钥对所述签名信息、所述密钥协商服务器的身份和所述假名进行加密处理获取第二密文；

根据所述队列信息将所述第二密文分配至订阅了所述订阅队列的各个终端；

根据所述订阅队列中所述终端的增订和/或退订操作，实时更新所述队列信息。

3.根据权利要求2所述的数据加密传输方法，其特征在于，采用椭圆曲线密钥协商算法与所述数据中心协商获取所述第一共享密钥。

4.根据权利要求2所述的数据加密传输方法，其特征在于，所述获取所述订阅队列对应的队列信息包括：

接收所述数据中心使用所述第一共享密钥加密过的所述订阅队列的队列名；

根据所述第一共享密钥解密获取所述队列名；

根据所述队列名查询所述订阅队列对应的队列信息。

5.根据权利要求2所述的数据加密传输方法，其特征在于，采用HMAC-SHA1加密算法进行加密处理。

6.根据权利要求2所述的数据加密传输方法，其特征在于，所述根据所述订阅队列中所述终端的增订操作，实时更新所述队列信息包括：

在所述终端集合中增加执行增订操作的所述终端，生成新的终端集合；

根据新的终端集合对所述队列信息进行更新；

与新的终端集合中的各个终端依次进行密钥协商，获取第二共享密钥；

根据所述第二共享密钥对更新后的所述队列信息进行加密获取第三密文；

将所述第三密文传输至新的终端集合中的各个终端；所述第二共享密钥还用于解密所述第三密文。