一种带用户/设备身份认证的加解密方法及装置制造方法及图纸

本发明专利技术涉及数据通信和信息安全领域，尤其是涉及一种用户/设备身份认证的加解密方法及装置。针对上述存在的问题，提供一种带认证的加解密方法及装置，通过认证码构造过程，完整分组明文/密文的加密/解密运算以及不完整分组明文/密文的加密/解密运算处理，使得本发明专利技术能和密码运算的使用者、密码算法本身做到严格绑定，进一步，解决了常用分组密码算法需要填充，不能直接处理不完整分组的问题。本发明专利技术通过用户/设备及认证设备进行数据传输与认证，实现本发明专利技术。本发明专利技术应用与信息安全领域，特别适合于用户个人数据的安全存储和备份。

【技术实现步骤摘要】
一种带用户/设备身份认证的加解密方法及装置
本专利技术涉及数据通信和信息安全领域，尤其是涉及一种带用户/设备身份认证的加解密方法及装置。
技术介绍
密码技术作为信息安全的核心手段和技术，在信息安全中具有重要的作用和地位，目前，在信息安全中广泛采用分组密码算法来实现数据的安全存储和备份，分组密码算法的使用者、分组密码算法本身和加密的结果没有绑定，一样的明文、一样的密钥和IV，采用通用的CBC加密方式来说，对不同的使用者/设备来说，其结果是一致的。同时，通用的分组密码算法是不带用户身份认证的。不能让分组密码算法和使用者进行绑定，不能对分组密码算法的使用者进行身份认证。
技术实现思路
本专利技术所要解决的技术问题是：针对上述存在的问题，提供一种带认证的加解密方法及装置，通过认证码构造过程，完整分组明文/密文的加密/解密运算以及不完整分组明文/密文的加密/解密运算处理，使得本专利技术能和密码算法的使用者、密码算法本身做到严格绑定，进一步，解决了常用分组密码算法需要填充，不能直接处理加密不完整分组的问题。本专利技术采用的技术方案如下：一种带用户/设备身份认证的加解密方法包括：步骤1：结合用户/设备身份ID、用户/设备身份ID的长度ID_LEN、分组密码算法的CBC加密模式的初始化向量IV以及用户/设备待处理数据的长度（明文或密文）P_LEN，按照认证码构造方法生成用户/设备的认证码AU_CODE，所述初始IV是由认证设备随机分配；步骤2：对用户/设备需要进行传输的明文数据进行加密，得到用户/设备密文数据；步骤3：认证设备根据检测到用户/设备的ID号、ID_LEN、用户/设备对应的初始化向量IV以及用户/设备的P_LEN，按照认证码构造方法生成认证码AU_CODE’,比较AU_CODE与AU_CODE’是否相同，若结果一致，则对用户/设备发送的密文进行解密；否则：认证设备返回验证失败给用户设备；所述步骤2具体过程是：步骤21：当用户/设备处理的数据属于完整分组，则直接采用CBC加密模式得到用户设备完整分组密文；步骤22：当用户/设备处理的明文数据属于不完整分组，则直接加密IV,，是由初始化向量IV和用户设备ID合成，即,再用加密结果和不完整分组的明文异或运算，得到和用户/设备不完整分组明文对应的等长的不完整分组密文；其中完整分组指的是分组密码算法处理的最小数据长度，一般是128比特，不完整分组指的是不足一个完整分组的数据长度，如分组密码算法处理的分组长度是128比特，而现在需要处理的数据长度是160比特，将其中128比特按照完整分组的处理方式处理，剩余的32比特按照不完整分组的处理方式处理，即直接加密IV，再用加密结果和32比特的数据做异或运算，得到不完整分组32比特的密文。所述步骤21具体步骤是：步骤211：加密过程主体采用分组密码算法的CBC加密模式，是由初始化向量IV和用户设备ID合成，即,如果用户设备ID的长度ID_LEN不是完整分组的整数倍，则在长度ID_LEN其低位填充全0，将长度ID_LEN补充成完整分组的整数倍。步骤212：如果填充后用户设备ID的长度ID_LEN是n个分组长度，则将填充后的数据进行下述运算，即，其中表示用户设备ID填充后的每个分组。所述步骤22具体过程是：步骤221：用户/设备处理的数据属于不完整分组，直接加密IV’得到一个单位完整分组明文对应的密文。步骤222：从密文中取得与不完整分组明文等长的密文，与不完整分组明文进行异或运算，得到不完整分组的密文。所述步骤222中从完整分组明文对应的密文中取得与不完整分组明文等长的加密密文顺序是：从左到右、从右到左或者从中间开始取数据的方式。所述步骤3中认证设备对用户/设备密文进行解析过程是：当用户设备发送的完整分组明文时，则对应的密文解析方式是按照CBC解密模式进行解密，若用户设备发送的不完整分组明文时，则对应的密文解析方式是：对于不完整的分组的明文，采用直接加密再取和不完整分组明文等长的密文（从左到右/从右到左）和不完整分组的M密文进行异或运算，得到不完整分组的明文。一种带用户/设备身份认证的加解密装置包括：用户/设备认证码生成模块：根据用户/设备ID、用户/设备的ID长度ID_LEN、CBC加密算法的初始化向量IV以及待处理数据的长度的P_LEN，按照认证码构造方法生成用户设备的认证码AU_CODE，所述IV是由认证设备随机分配；用户/设备发送模块：用户/设备发送加密数据给认证设备接收模块；认证设备接收模块，用于接收用户/设备发送模块发送的处理数据；认证设备认证码生成模块:根据检测到用户设备的ID号、ID_LEN、用户设备的对应的初始化向量IV以及用户设备发送明文的P_LEN，按照认证码构造方法生成认证码AU_CODE’；认证设备比较模块：比较AU_CODE与AU_CODE’是否相同，若结果一致，则对用户设备发送的密文进行解析；否则：认证设备返回验证失败给用户设备。所述用户/设备发送的加密数据解密具体过程是：步骤31：当用户/设备发送给认证设备的明文数据属于完整分组，则采用CBC加密模式得到用户设备完整分组密文；步骤32：当用户/设备处理的明文数据属于不完整分组，则直接加密IV,，是由初始化向量IV和用户设备ID合成，即,再用加密结果和不完整分组的明文异或运算，得到和用户/设备不完整分组明文对应的等长的不完整分组密文；其中完整分组指的是分组密码算法处理的最小数据长度，一般是128比特，不完整分组指的是不足一个完整分组的数据长度，如分组密码算法处理的分组长度是128比特，而现在需要处理的数据长度是160比特，将其中128比特按照完整分组的处理方式处理，剩余的32比特按照不完整分组的处理方式处理，即直接加密IV，再用加密结果和32比特的数据做异或运算，得到不完整分组（32比特）的密文。所述步骤31具体步骤是：步骤311：加密过程主体采用分组密码算法的CBC加密模式，是由初始化向量IV和用户设备ID合成，即,如果用户设备ID的长度ID_LEN不是完整分组的整数倍，则在长度ID_LEN其低位填充全0，将长度ID_LEN补充成完整分组的整数倍。步骤312：如果填充后用户设备ID的长度ID_LEN是n个分组长度，则将填充后的数据进行下述运算，即，其中表示用户设备ID填充后的每个分组。所述步骤32具体过程是：步骤321：用户/设备待处理的数据属于不完整分组，直接加密IV’得到一个单位完整分组明文对应的密文。步骤322：从密文中取得与不完整分组明文等长的密文，与不完整分组明文进行异或运算，得到不完整分组的密文。综上所述，由于采用了上述技术方案，本专利技术的有益效果是：1）本专利技术相比常用的分组密码算法来说，能和密码算法的使用者、密码算法本身做到严格绑定，这一点，是常用的分组密码算法运算模式（ECB、CBC、OFB、CFB）做不到的。2）即使一样的消息，不同的用户得到的消息验证码是不一样的，得到的加密结果也不一样，这一点，也是常用的分组密码算法做不到的；3）解决了常用的分组密码算法需要填充，不能直接加密非完整分组的问题。该方法可以广泛用于个人数据的安全存储和保护，特别是在云计算和移动互联环境下的数据安全存储和备份。附图说明本专利技术将通过例子并参照附图的方式说明，其中本文档来自技高网...

【技术保护点】
一种带用户/设备身份认证的加解密方法，其特征在于包括：：步骤1：结合用户/设备身份ID、用户/设备身份ID的长度ID_LEN、分组密码算法的CBC加密模式的初始化向量IV以及用户/设备待处理数据的明文或密文长度P_LEN，按照认证码构造方法生成用户/设备的认证码AU_CODE，所述初始IV是由认证设备随机分配；步骤2：对用户/设备需要进行传输的明文数据进行加密，得到用户/设备密文数据；步骤3：认证设备根据检测到用户/设备的ID号、ID_LEN、用户/设备对应的初始化向量IV以及用户/设备的P_LEN，按照认证码构造方法生成认证码AU_CODE’,比较AU_CODE与AU_CODE’是否相同，若结果一致，则对用户/设备发送的密文进行解密；否则：认证设备返回验证失败给用户设备；根据权利要求1所述的一种带用户/设备身份认证的加解密方法，其特征在于所述步骤2具体过程是：步骤21：当用户/设备处理的数据属于完整分组，则直接采用CBC加密模式得到用户设备完整分组密文；步骤22：当用户/设备处理的明文数据属于不完整分组，则直接加密IV,，???????????????????????????????????????????????是由初始化向量IV和用户设备ID合成，即,再用加密结果和不完整分组的明文异或运算，得到和用户/设备不完整分组明文对应的等长的不完整分组密文；其中完整分组指的是分组密码算法处理的最小数据长度，一般是128比特，不完整分组指的是不足一个完整分组的数据长度，如分组密码算法处理的分组长度是128比特，而现在需要处理的数据长度是160比特，将其中128比特按照完整分组的处理方式处理，剩余的32比特按照不完整分组的处理方式处理，即直接加密IV，再用加密结果和32比特的数据做异或运算，得到不完整分组32比特的密文。?2013106056650100001dest_path_image002.jpg,dest_path_image004.jpg...

【技术特征摘要】
1.一种带用户/设备身份认证的加解密方法，其特征在于包括：步骤1：结合用户/设备身份ID、用户/设备身份ID的长度ID_LEN、分组密码算法的CBC加密模式的初始化向量IV以及用户/设备待处理数据的长度P_LEN，按照认证码构造方法生成用户/设备的认证码AU_CODE，所述初始IV是由认证设备随机分配；步骤2：对用户/设备需要进行传输的明文数据进行加密，得到用户/设备密文数据；步骤3：认证设备根据检测到用户/设备的ID号、ID_LEN、用户/设备对应的初始化向量IV以及用户/设备的P_LEN，按照认证码构造方法生成认证码AU_CODE’,比较AU_CODE与AU_CODE’是否相同，若结果一致，则对用户/设备发送的密文进行解密；否则：认证设备返回验证失败给用户设备；所述步骤2具体过程是：步骤21：当用户/设备处理的数据属于完整分组，则直接采用CBC加密模式得到用户设备完整分组密文；步骤22：当用户/设备处理的明文数据属于不完整分组，则直接加密IV’，IV是由初始化向量IV和用户设备ID合成，即再用加密结果和不完整分组的明文异或运算，得到和用户/设备不完整分组明文对应的等长的不完整分组密文；其中完整分组指的是分组密码算法处理的最小数据长度是128比特，不完整分组指的是不足一个完整分组的数据长度，分组密码算法处理的分组长度是128比特，而现在需要处理的数据长度是160比特，将其中128比特按照完整分组的处理方式处理，剩余的32比特按照不完整分组的处理方式处理，即直接加密IV，再用加密结果和32比特的数据做异或运算，得到不完整分组32比特的密文。2.根据权利要求1所述的一种带用户/设备身份认证的加解密方法，其特征在于所述步骤21具体步骤是：步骤211：加密过程主体采用分组密码算法的CBC加密模式，IV是由初始化向量IV和用户设备ID合成，即如果用户设备ID的长度ID_LEN不是完整分组的整数倍，则在长度ID_LEN其低位填充全0，将长度ID_LEN补充成完整分组的整数倍；步骤212：如果填充后用户设备ID的长度ID_LEN是n个分组长度，则将填充后的数据进行下述运算，即其中IDi表示用户设备ID填充后的每个分组，0≤i≤n-1。3.根据权利要求2所述的一种带用户/设备身份认证的加解密方法，其特征在于所述步骤22具体过程是：步骤221：用户/设备处理的数据属于不完整分组，直接加密IV’得到一个单位完整分组明文对应的密文；步骤222：从密文中取得与不完整分组明文等长的密文，与不完整分组明文进行异或运算，得到不完整分组的密文。4.根据权利要求3所述的一种带用户/设备身份认证的加解密方法，其特征在于步骤222中从完整分组明文对应的密文中取得与不完整分组明文等长的加密密文顺序是：从左到右、从右到左或者从中间开始取数据的方式。5.根据权利要求2所述的一种带用户/设备身份认证的加解密方法，其特征在于所述步骤3中认证设备对用户/设备密文进行解析过程是：当用户设备发送的完整分组明...

【专利技术属性】
技术研发人员：张文科，
申请(专利权)人：成都卫士通信息产业股份有限公司，
类型：发明
国别省市：