[发明专利]基于国密加密及PGP信任网络的端到端通信方法及系统

说明书

本发明公开了基于国密加密及PGP信任网络的端到端通信方法及系统，属于端到端通信技术领域，要解决的技术问题为基于PGP信任网络如何提供便捷的端到端安全通信的机制。发送端基于国密加密方法、通过接收端的公钥分别对所述会话密钥和会话周期加密；将得到的密文以及加密后的会话密钥和会话周期拼接为报文；接收端对接收的报文进行分析，通过密钥加密密钥对其加密存储的私钥进行解密，通过其私钥对加密后的会话密钥和会话周期进行解密，通过会话密钥对密文进行解密，得到会话中首次发送的消息；对于会话周期内后续发送的消息，发送端通过会话密钥对消息进行加密，接收端接受到密文后，通过会话密钥对密文进行解密。

技术领域

本发明涉及端到端通信领域，具体地说是基于国密加密及PGP信任网络的端到端通信方法及系统。

背景技术

传统的端到端设备的通信一般是通过云端的服务器作为管理和中转节点来实现通信的，主要的原因来自两个方面，一是端到端的通信需要受到管理部门的监管，包括了数据内容的监管和端设备本身的管理、统计等业务方面的需要。二是ipv4的网络无法给端设备提供一个唯一的IP地址，由此可见传统的端到端通信其实是三方两两通信，这样会额外增加网络带宽、存储、算力等方面的开销。

PGP加解密是应用于邮件加密的应用，该方法通过散列函数、对接加密、以及非对称加密等多种算法组合而成的一种加密机制。主要处理流程如图1和图2所示，消息由对称加解密算法完成加解密运算，这样可以保证运算的速率(相比于非对称运算速度更快)，加密密钥由随机数+用户口令的方式生成并经过接收者的公钥加密后和消息密文一起拼接后发送给接收者。

PGP的密钥管理包括加密密钥(KEK)的生成(如图3所示)，PGP的私钥管理(如图4所示)，公钥管理三个部分。其中加密密钥的生成是通过随机数+口令后单向散列而成的，私钥是通过KEK做的加解密保护。PGP的公钥是依赖于信任网的，这一点不同于一般使用PKI体系借助CA机构完成公钥认证的方式，PGP信任网建立一个信任等级，通过各个用户的签名以及用户的受信任级别来决定该公钥是否有效。

传统的端到端通信存在如下问题：

(1)通信效率低：如图5所示，一般两个端设备想要实现安全通信都是借助服务器来完成中转的，设备A和设备B需要安全通信，要求A和B分别与服务器C建立安全通路，数据从设备A到服务器C，再由C中转给设备B；

(2)依赖庞大的PKI安全体系：基于非对称加密实现的安全通信，都存在公钥合法性的问题，传统方案大都是通过PKI体系来保障的，比如PKI中的RA负责注册和颁发证书，CA负责认证数字证书，CRL和OCSP负责离线和在线时的证书查询。

可知传统的端到端通信通信效率低，容易泄漏隐私，依赖庞大的PKI安全体系，致使部署成本高、维护复杂。

基于PGP信任网络如何提供便捷的端到端安全通信的机制，该机制不依赖任何第三方设备或者服务，利用端设备上的资源，尽最大可能的保障安全通信的实施，是需要解决的技术问题。

发明内容

本发明的技术任务是针对以上不足，提供基于国密加密及PGP信任网络的端到端通信方法及系统，来解决基于PGP信任网络如何提供便捷的端到端安全通信的机制，该机制不依赖任何第三方设备或者服务，利用端设备上的资源，尽最大可能的保障安全通信的实施的技术问题。

第一方面，本发明一种基于国密加密及PGP信任网络的端到端通信方法，每个设备端均配置有安全芯片，所述安全芯片中配置有用于生成会话密钥的随机数生成器，并存储有密钥加密密钥、其加密后的私钥、以及与所述设备端进通信的其他设备端的公钥，所述加密后的私钥为基于国密加密方法、通过密钥加密密钥加密的私钥；

对于进行端到端通信的两个设备端，一个作为发送端、另一个作为接收端，发送端和接收端之间的基于如下通信机制进行会话：