[发明专利]基于流密码加密的安全传输方法

说明书

技术领域

本发明涉及安全传输中的对称加密技术，特别涉及是流密码加解密的同步技术。

背景技术

在各种信息传送系统中，为了保证参与信息交换的实体是合法的、有效的，必须对参与实体的身份进行安全认证，并对在合法实体间交换的信息进行加密。例如在军事通信中首先需要对对方的身份进行认证，其次必须对传输的信息进行高强度加密，以防止军事情报信息的泄露；在电子商务等互联网环境中，同样需要对对方的身份进行鉴别，并把在双方之间传输的数据进行加密，防止非法分子的恶意攻击、破坏和窃取；在智能卡等应用环境中，需要对接入设备的合法有效性进行认证，并对安全信道进行加密保护。对在合法设备之间的数据传输必须进行加密保护，这是信息安全传输的基础，是继安全认证系统之后的一个最重要的保护环节。例如在数字电视领域，在合法的视频源设备与显示设备的接口间必须进行加密保护，防止影音内容被非法窃取、肆意盗版。

在安全系统中，在通信双方进行传输加密的数据之前，要对设备进行身份认证以保证通信双方的身份都是真实的、合法有效的。如果认证不能获得成功，则不进行数据传输或者不能对加密的数据进行正确的解密，以让受保护的数据信息不受非法侵害。对数据的加密通常分为对称加密和公钥加密两种方法。在通信双方认证成功后，将选择一种数据加密方式，产生一个共享密钥或相互交换公钥。但是，由于公钥加密机制安全强度弱，在重要场合的数据加密传输公钥加密机制是不能满足需要的，比如军事通信、金融系统等。特别是在一些大数据量的数据加密传输，如卫星通信、数字电视、导弹电视制导等领域，使用公钥加密和分组加密是不可能完成的，而必须使用流密码对称加密。

例如，国外的HDCP(宽带数字内容保护)系统。HDCP用于保护HDMI和DVI接口传输的数字内容，其中使用的加密技术也是流密码技术。用于HDCP保护的普通流密码、伪随机数生成机制包含三个线性反馈移位寄存器、S盒子、两个线性变换模块和一个组合输出模块。其中，三个线性反馈移位寄存器LFSR每个时钟触发为S盒子和线性变换模块提供1比特的更新数据。两个轮函数变换，输出168比特的数据，密钥流输出函数选取其中的部分数据作为输出，经过线性变换，每次脉冲输出24比特的数据流。HDCP的流密码保护机制包含三个LFSR，输入密钥长度为56比特，对于目前高速的计算机搜索速度来说，这一长度的密钥并不足以抵抗密钥搜索攻击。我国的UCPS(数字接口内容保护体系)也采用了类似的流密码加密技术，只是在流密码的产生算法上与HDCP有较大的差异。这也说明了流密码技术正在得到越来越广泛的应用。

但是，随着流密码技术的广泛应用，流密码本身具有的一些弱点也开始逐渐暴露出来。因为流密码加密是对大数据流的顺序加密，对同一组数据的加密和解密必须是同一个密码。即使加密设备和解密设备产生了相同的流密码序列，但是如果加密序列和解密序列出现了偏移则所有的加密内容都不能被正确的解密。因此，加密流密码以解密流密码的同步就变得十分重要。而传统的流密码同步方式，虽然可以实现流密码的同步，但是它在同步过程中传输了很多未加密的同步信息，破坏者可以很容易的窃听同步信息，破解流密码加密机制，破坏数据传输、截取传输内容。

另外，HDCP系统已经被证实安全性不高，攻击者只需要大约40台装有HDCP系统的设备，就可以得到一些系统参数，进而仿冒合法的HDCP设备，在没有授权的情况下接收被保护的数字内容。而目前绝大多数的流密码都采用了与HDCP类似的架构设计，不安全的流密码同步机制已经成为流密码加密系统的一个致命威胁。

发明内容

本发明所要解决的技术问题是，为增强流密码加解密保护方式中的同步信息的保密性，提供一种数据流安全传输方法。

本发明为解决上述技术问题所采用的技术方式是，基于流密码加密的安全传输方法：在由流密码加密后的密文数据传输过程中，以与明文数据、密文数据独立的时钟作为同步信号，实现流密码加解密的同步；所述同步信号不伴随密文数据传输。

所述同步信号可以为独立于发送设备和接收设备的第三方所发送的强制同步信号或系统广播时间基准信号；也可以为发送设备和接收设备内部对传输的密文数据进行计数或计时而产生的强制信号。

具体包括以下步骤：

a、接收设备和发送设备同时产生一个初始化向量；

b、接收设备和发送设备利用初始化向量对其中的流密码产生器进行初始化，接收设备中的流密码产生器与发送设备中的流密码产生器生成相同的流密码；

c、发送设备用流密码将明文数据加密，将密文数据传输至接收设备；