基于PKI技术的网络工作交流安全保密系统及其实现方法

摘要

本发明涉及一种基于PKI技术的网络工作交流安全保密系统及其实现方法。本发明采用PKI身份认证方式、对称加密以及非对称加密相结合的加密共享技术；加密共享过程如下：首先生成一个随机的对称密钥，对数据进行加密，形成加密文件；然后使用用户的公钥将对称密钥加密，并把加密结果保存在加密文件中；需要共享文件时，用户首先使用自己的私钥将对称密钥解密，然后用接收者的公钥将对称密钥加密，并把加密结果追加到加密文件中，接收者接收到加密文件后，首先使用自己的私钥将对称密钥解密，然后将对称加密数据解密，从而获取内容。本发明的优点是从根本上杜绝工作交流中泄露机密、身份被冒用等安全问题。

主权项

基于PKI技术的网络工作交流安全保密系统的实现方法，所述基于PKI技术的网络工作交流安全保密系统包括客户端（1）、服务器端（4）和第三方CA机构目录服务器（5）；所述服务器端（4）通过互联网（2）分别与客户端（1）和第三方CA机构目录服务器（5）相连接；所述客户端（1）由PC客户端（1‑1）和移动客户端（1‑2）组成；所述PC客户端（1‑1）由安装有客户端智能卡（1‑1‑3）和客户端软件系统的PC机（1‑1‑1）和笔记本电脑（1‑1‑2）、打印机（1‑1‑4）和扫描仪（1‑1‑5）组成；所述移动客户端（1‑2）由安装有移动客户端智能卡（1‑2‑3）和客户端软件系统的智能手机（1‑2‑2）和平板电脑（1‑2‑1）组成，所述智能手机（1‑2‑2）和平板电脑（1‑2‑1）通过无线通信网（3）与互联网连接；所述客户端智能卡（1‑1‑3）和移动客户端智能卡（1‑2‑3）中分别安装有客户端密码模块；所述服务器端（4）包括安装有服务器端智能卡和服务器端软件系统的应用服务器群（4‑1）、数据库服务器群（4‑2）、交换机（4‑3）和防火墙（4‑4）；所述应用服务器群（4‑1）和数据库服务器群（4‑2）分别依次通过交换机（4‑3）、防火墙（4‑4）与互联网（2）连接；所述服务器端智能卡中安装有服务器端密码模块；所述第三方CA机构目录服务器（5）与互联网连接；其特征在于所述方法基于PKI技术和浏览器的客户端/服务器端通信技术，通过客户端软件系统和服务器端软件系统的交互实现的；所述客户端软件系统包括WEB客户端软件模块、保密网络磁盘客户端模块、客户端密码模块和即时通信客户端模块；所述WEB客户端软件模块包含针对IE、Firefox、Chrome浏览器的版本；该模块调用客户端密码模块，提供身份认证、数据加解密、电子签名、签名验证；该模块操作扫描仪，支持单页扫描和多页连扫，调整扫描图像的角度；该模块操作打印机；所述保密网络磁盘客户端模块为虚拟磁盘软件，在Windows资源管理器中显示为一个磁盘分区；保密网络磁盘中的数据在客户端留有备份，以加密的形式保存在本地硬盘中；保密网络磁盘客户端和保密网络磁盘服务器端保持通信，实现客户端和服务器端数据的实时同步；用户访问保密网络磁盘分区中的数据之前，保密网络客户端模块调用客户端密码模块，验证用户身份的有效性；读取数据时，该模块检查数据是否在缓存中，如果没有在缓存中则从服务器端下载数据并写入缓存，调用客户端密码模块解密文件，并把解密结果展示给用户；用户写入数据时，调用客户端密码模块对数据进行加密，并把加密后的数据写入保密网络磁盘中；并同步到服务器端；数据文件在客户端以加密的方式存储；为了同时保证加密效率和强度、便于实现文件加密共享；采用了对称加密和非对称加密相结合的技术；所述加密共享过程如下：首先生成一个随机的对称密钥，对数据进行加密，形成加密文件；然后使用用户的公钥将对称密钥加密，并把加密结果保存在加密文件中；需要共享文件时，用户首先使用自己的私钥将对称密钥解密，然后用接收者的公钥将对称密钥加密，并把加密结果追加到加密文件中，接收者接收到加密文件后，首先使用自己的私钥将对称密钥解密，然后使用对称密钥解密加密数据，得到数据明文；所述客户端密码模块支持国家密码主管部门规定的对称密码算法、非对称密码算法、数字摘要算法，提供数据加解密/电子签名功能；客户端密码模块采用USB或Micro SD卡接口；客户端密码模块提供API，其他模块通过API调用客户端密码模块的功能；客户端密码模块保存CA机构颁发的数字证书，通过数字证书实现验证用户真实身份、数字签名和数据加密；所述客户端密码模块由数据处理模块和数据存储模块组成；所述即时通信客户端模块实现收发即时通信消息；该模块接收、发送普通消息、签名消息、加密消息、签名加密消息；该模块具备历史消息记录管理功能；该模块具有设置功能，设置用户的在线状态，设置个人资料、设置安全选项；该模块调用客户端密码模块，实现对即时消息的加密、解密、签名；所述服务器端软件系统包括文件传递服务器端模块、保密网络磁盘服务器端模块、即时通信服务器端模块、服务器端密码模块、CA认证模块、安全控制模块和双机热备模块；所述文件传递服务器端模块实现接收文件、发送文件、文件加密存储、文件安全共享、联系人管理；文件传递服务器端模块调用服务器端密码模块实现对数据的加解密、电子签名、签名验证；文件传递服务器端模块与无线通信设备连接，实现收发短信、彩信；文件传递服务器端模块调用CA认证模块，实现基于数字证书的用户身份认证、电子签名；该模块由数据处理模块和数据存储模块组成；所述保密网络磁盘服务器端模块实现文件的保密存储、共享；服务器端软件系统为每个用户分配私有磁盘空间，用户上传后的文件以加密的方式存储，默认情况下只有用户自己才能下载、查看；该模块具有共享文件功能，用户把某个文件共享给指定的联系人；所述即时通信服务器端模块实现用户联系人管理，即时消息的分发，离线消息的管理；即时通信服务器端模块实现管理用户的联系人列表，联系人管理功能包括查找联系人、添加联系人、修改联系人备注资料、删除联系人；即时通信服务器端模块与无线通信设备相连接，实现收发短信、彩信；当收到离线消息时，以短信或彩信的方式通知用户；即时通信服务器端模块调用CA认证模块，实现基于数字证书的用户身份认证、电子签名；所述服务器端密码模块支持国家密码主管部门规定的密码算法，提供API接口，实现数据加解密、电子签名；所述CA认证模块对外提供验证数字证书、电子签名有效性的接口，调用服务器端密码模块提供的功能验证用户数字证书、电子签名的有效性；CA认证模块与第三方CA机构目录服务器（5）相连接，通过及时更新用户数字证书和数字证书黑名单；所述安全控制模块保障服务器免受外来攻击，阻止非法的访问；所述双机热备模块实现主从服务器间相互联系，当主服务器发生故障时，自动切换到从服务器；双机热备模块监控即时通信服务器端模块、文件传递服务器端模块、保密网络磁盘服务器端模块的状态，一旦某个模块发生异常，自动切换到从服务器。