发明内容
有鉴于此,本发明提供了一种提供、获取共享的加密数据的方法及身份认证设备,用以解决现有的共享加密数据的方法中,解密密码的传输存在安全性问题,即解密密钥在传输的过程中可能被截获,导致加密数据毫无安全可言的问题,其技术方案如下:
第一方面,一种提供共享的加密数据的方法,包括:
数据提供方的身份认证设备获取共享给数据获取方的加密数据的对称密钥;
所述数据提供方的身份认证设备从所述服务器获取所述数据获取方的身份认证设备的证书;
所述数据提供方的身份认证设备利用所述数据获取方的身份认证设备的证书对所述加密数据的对称密钥进行加密,得到第二密钥,以使所述数据获取方的身份认证设备利用自身存储的第二私钥对所述第二密钥进行解密,得到所述加密数据的对称密钥。
在第一方面的第一种可能的实现方式中,所述数据提供方的身份认证设备获取共享给数据获取方的加密数据的对称密钥,包括:
所述数据提供方的身份认证设备获取第一密钥;
所述数据提供方的身份认证设备利用第一私钥对所述第一密钥进行解密,得到所述加密数据的对称密钥;其中,所述第一密钥为所述数据提供方的身份认证设备通过用所述数据提供方的身份认证设备的证书对所述加密数据的对称密钥进行加密所得到。
在第一方面的第二种可能的实现方式中,所述数据提供方的身份认证设备自身存储有所述加密数据的对称密钥;
所述数据提供方的身份认证设备获取所述加密数据的对称密钥包括:
所述数据提供方的身份认证设备提取自身存储的所述加密数据的对称密钥。
结合第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述数据提供方的身份认证设备获取第一密钥为所述数据提供方的身份认证设备从服务器获取所述第一密钥,具体包括:所述数据提供方的身份认证设备从数据提供方的客户端获得数据提供方的身份标识;
所述数据提供方的身份认证设备将所述数据提供方的身份标识发送给所述服务器,以使所述服务器根据所述数据提供方的身份标识查找与所述数据提供方的身份标识相关联的所述第一密钥,并发送所述第一密钥给所述数据提供方的身份认证设备;
数据提供方的身份认证设备接收所述服务器发送的所述第一密钥。
结合第一方面、结合第一方面的第一种可能的实现方式、结合第一方面的第二种可能实现方式或者结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述数据提供方的身份认证设备的证书存储于服务器中,所述数据提供方的身份认证设备获取所述数据获取方的身份认证设备的证书包括:
所述数据提供方的身份认证设备从数据提供方的客户端获得数据获取方的身份标识;
所述数据提供方的身份认证设备将所述数据获取方的身份标识发送给所述服务器,以使所述服务器根据所述数据获取方的身份标识查找与所述数据获取方的身份标识相关联的所述数据获取方的身份认证设备的证书,并发送所述数据获取方的身份认证设备的证书给所述数据提供方的身份认证设备;
所述数据提供方的身份认证设备接收所述服务器发送的所述数据获取方的身份认证设备的证书。
第二方面,一种获取共享的加密数据的方法,包括:
数据获取方的身份认证设备获取数据提供方共享的加密数据,并获取第二密钥,所述第二密钥为所述数据提供方利用所述数据获取方的身份认证设备的证书对所述加密数据的对称密钥进行加密所得到;
所述数据获取方的身份认证设备利用自身存储的第二私钥对所述第二密钥进行解密,得到所述加密数据的对称密钥;
所述数据获取方的身份认证设备利用所述加密数据的对称密钥对所述加密数据进行解密,得到所述加密数据的明文。
在第二方面的一种可能的实现方式中,所述数据获取方的身份认证设备获取所述第二密钥为从服务器获取所述第二密钥,具体包括:
所述数据获取方的身份认证设备从所述数据获取方的客户端获得所述数据获取方的身份标识;
所述数据获取方的身份认证设备将所述数据获取方的身份标识发送给所述服务器,以使所述服务器根据所述数据获取方的身份标识查找与所述数据获取方的身份标识相关联的所述第二密钥,并发送所述第二密钥给所述数据获取方的身份认证设备;
所述数据获取方的身份认证设备接收所述服务器发送的所述第二密钥。
第三方面,一种数据提供方的身份认证设备,包括:
对称密钥获取单元,用于获取共享给数据获取方的加密数据的对称密钥;
证书获取单元,用于获取所述数据获取方的身份认证设备的证书;
加密单元,用于利用所述数据获取方的身份认证设备的证书对所述加密数据的对称密钥进行加密,得到第二密钥,以使所述数据获取方的身份认证设备利用自身存储的第二私钥对所述第二密钥进行解密,得到所述加密数据的对称密钥。
在第三方面的第一种可能实现方式中,所述对称密钥获取单元包括:
第一密钥获取子单元,用于获取第一密钥;
解密子单元,用于利用自身存储的第一私钥对所述第一密钥进行解密,得到所述加密数据的对称密钥;其中,所述第一密钥为所述数据提供方的身份认证设备通过用所述数据提供方的身份认证设备的证书对所述加密数据的对称密钥进行加密所得到。
结合第三方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述数据提供方的身份认证设备自身存储有所述加密数据的对称密钥;
所述对称密钥获取单元包括:
对称密钥提取子单元,用于提取自身存储的所述加密数据的对称密钥。
结合第三方面的第一种可能实现方式,在第三种可能的实现方式中,第一密钥获取子单元获取第一密钥为所述第一密钥获取子单元从服务器获取所述第一密钥,所述第一密钥获取子单元包括:
身份标识获取模块,用于从数据提供方的客户端获得数据提供方的身份标识;
身份标识发送模块,用于将所述数据提供方的身份标识发送给所述服务器,以使所述服务器根据所述数据提供方的身份标识查找与所述数据提供方的身份标识相关联的所述第一密钥,并发送所述第一密钥给所述数据提供方的身份认证设备;
第一密钥接收模块,用于接收所述服务器发送的所述第一密钥。
结合第三方面、结合第三方面的第一种可能的实现方式、结合第三方面的第二种可能实现方式或者结合第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述数据提供方的身份认证设备的证书存储于服务器中,所述证书获取单元包括:
第一获取子单元,用于从数据提供方的客户端获得数据获取方的身份标识;
第一发送子单元,用于将所述数据获取方的身份标识发送给所述服务器,以使所述服务器根据数据获取方的身份标识查找与所述数据获取方的身份标识相关联的数据获取方的身份认证设备的证书,并发送所述数据获取方的身份认证设备的证书给所述数据提供方的身份认证设备;
第一接收子单元,用于接收所述服务器发送的所述数据获取方的身份认证设备的证书。
第四方面,一种数据获取方的身份认证设备,包括:
数据获取单元,用于获取数据提供方共享的加密数据,并获取所述第二密钥,所述第二密钥为所述数据提供方利用所述数据获取方的身份认证设备的证书对所述加密数据的对称密钥进行加密所得到;
密钥解密单元,用于利用自身存储的第二私钥对所述第二密钥进行解密,得到所述加密数据的对称密钥;
数据解密单元,用于利用所述加密数据的对称密钥对所述加密数据进行解密,得到所述加密数据的明文。
在第四方面的一种可能的实现方式中,所述数据获取单元获取所述第二密钥为从服务器获取所述第二密钥,所述数据获取单元包括:
第二获取子单元,用于从所述数据获取方的客户端获得所述数据获取方的身份标识;
第二发送子单元,用于将所述数据获取方的身份标识发送给所述服务器,以使所述服务器根据所述数据获取方的身份标识查找与所述数据获取方的身份标识相关联的所述第二密钥,并发送所述第二密钥给所述数据获取方的身份认证设备;
第二接收子单元,用于接收所述服务器发送的所述第二密钥。
上述技术方案具有如下有益效果:
本发明提供的提供、获取共享的加密数据的方法及身份认证设备中,数据提供方的身份认证设备获取加密数据的对称密钥,获取数据获取方的身份认证设备的证书,利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,数据获取方的身份认证设备获取第二密钥和加密数据,利用第二私钥对第二密钥进行解密,得到加密数据的对称密钥,利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文,从而实现加密数据的共享。在本发明提供的提供、获取共享的加密数据的方法及身份认证设备中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密、利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,本发明提供的方法操作简单,符合用户的习惯,用户体验较好。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,为本发明实施例提供的一种提供共享的加密数据的方法的流程示意图,该方法可以包括:
步骤S101:数据提供方的身份认证设备获取共享给数据获取方的加密数据的对称密钥。
步骤S102:数据提供方的身份认证设备获取数据获取方的身份认证设备的证书。
其中,数据获取方的身份认证设备的证书可预先存储于服务器中,步骤S101中的对称密钥也可以与数据获取方的身份认证设备的证书存储在同一服务器,也可以存储在不同服务器,而共享的加密数据可以存储在共享服务器,也可以与数据获取方的身份认证设备的证书、对称密钥存储在相同的服务器上,本发明对此不作限定。
具体的,数据获取方在注册数据获取方的身份认证设备时,从认证机构CA获取证书,将获取的证书上传至服务器中。在提供共享的加密数据的过程中,数据提供方的身份认证设备从服务器中获取数据获取方的身份认证设备的证书。
数据获取方的身份认证设备的证书除了可存储于服务器中,还可存储于其它地方,如认证机构CA。具体的,数据获取方在注册数据获取方的身份认证设备时,认证机构CA为数据获取方的身份认证设备分配证书,并且,认证机构CA将该证书与数据获取方的身份标识对应存储。在提供共享的加密数据的过程中,数据提供方的身份认证设备可依据数据获取方的身份标识从认证机构CA获取数据获取方的身份认证设备的证书。
步骤S103:数据提供方的身份认证设备利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
其中一种实现方式,数据提供方的身份认证设备将第二密钥上传至服务器,数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。这里的服务器本发明不作具体限定,可以为上述步骤S102下具体实现方式中描述的服务器,也可以为其他服务器。
本发明实施例提供的提供共享的加密数据的方法中,数据提供方的身份认证设备获取共享给数据获取方的加密数据的对称密钥,获取数据获取方的身份认证设备的证书,利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,进一步利用加密数据的对称密钥对解密数据进行解密。在本发明实施例提供的提供共享的加密数据的方法中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密、利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,本发明实施例提供的方法操作简单,符合用户的习惯,用户体验较好。
请参阅图2,为本发明实施例提供的另一种提供共享的加密数据的方法的流程示意图,本发明实施例提供的方法可以包括:
步骤S201:数据提供方的身份认证设备获取第一密钥。
其中一种实现方式为数据提供方的身份认证设备从服务器获取第一密钥。关于存储第一密钥的服务器,可以参照上述步骤S102中描述的服务器实施方式,也可以与步骤S102中描述的服务器实施方式不同,本发明对此不作限定。
图3示出了本发明实施例提供的数据提供方的身份认证设备从服务器获取第一密钥的实现方式的流程示意图,可以包括:
步骤S2011:数据提供方的身份认证设备从数据提供方的客户端获得数据提供方的身份标识。
其中,数据提供方的身份标识可以但不限定为数据提供方的账号、用户名、用户IP地址等可以标识数据提供方身份的信息。数据提供方的身份标识可由用户在数据提供方的客户端输入。
步骤S2012:数据提供方的身份认证设备将数据提供方的身份标识发送给服务器,以使服务器根据数据提供方的身份标识查找与数据提供方的身份标识相关联的第一密钥,并发送第一密钥给数据提供方的身份认证设备。
在本实施例中,服务器存储有多个数据提供方提供的加密数据,每个加密数据对应一个第一密钥,为了便于数据提供方的身份认证设备获取与数据提供方提供的加密数据对应的第一密钥,服务器预存数据提供方的身份标识与第一密钥之间的关联关系,服务器在接收到数据提供方的身份认证设备发送的数据提供方的身份标识时,通过该关联关系即可确定与接收的身份标识对应的第一密钥。
步骤S2013:数据提供方的身份认证设备接收服务器发送的第一密钥。
数据提供方的身份认证设备在获得了第一密钥后,重新返回到提供共享的加密数据的方法流程中,继续执行以下步骤:
步骤S202:数据提供方的身份认证设备利用自身存储的第一私钥对第一密钥进行解密,得到加密数据的对称密钥。
其中,第一密钥为数据提供方的身份认证设备通过用数据提供方的身份认证设备的证书对加密数据的对称密钥进行加密所得到。第一私钥在数据提供方注册数据提供方的身份认证设备时存储在数据提供方的身份认证设备中。第一私钥只出现并存储在数据提供方的身份认证设备中。
步骤S203:数据提供方的身份认证设备获取数据获取方的身份认证设备的证书。
在本实施例中,数据获取方的身份认证设备的证书预先存储于服务器中。具体的,数据获取方在注册数据获取方的身份认证设备时,从认证机构CA获取证书,将获取的证书上传至服务器中。这里关于预先存储数据获取方的身份认证设备的证书的服务器可以参考步骤S102的具体实施方式。
需要说明的是,本实施例并不限定数据获取方的身份认证设备的证书存储于服务器中,还可存储于其它地方,如认证机构CA。具体的,数据获取方在注册数据获取方的身份认证设备时,认证机构CA为数据获取方的身份认证设备分配证书,并且,认证机构CA将该证书与数据获取方的身份标识对应存储。在提供共享的加密数据的过程中,数据提供方的身份认证设备可依据数据获取方的身份标识从认证机构CA获取数据获取方的身份认证设备的证书。
图4示出了本发明实施例提供的数据提供方的身份认证设备从服务器获取数据获取方的身份认证设备的证书的实现方式的流程示意图,可以包括:
步骤S2031:数据提供方的身份认证设备从数据提供方的客户端获得数据获取方的身份标识。
其中,数据获取方的身份标识可以但不限定为数据获取方的账号、用户名、用户IP地址等可以标识数据获取方身份的信息。数据获取方的身份标识可由用户在数据提供方的客户端输入。
步骤S2032:数据提供方的身份认证设备将数据获取方的身份标识发送给服务器,以使服务器根据数据获取方的身份标识查找与数据获取方的身份标识相关联的数据获取方的身份认证设备的证书,并发送数据获取方的身份认证设备的证书给数据提供方的身份认证设备。
在本实施例中,服务器预存数据获取方的身份标识与数据获取方的身份认证设备的证书之间的关联关系,服务器在接收到数据提供方的身份认证设备发送的数据获取方的身份标识时,通过该关联关系即可确定与接收的数据获取方的身份标识对应的数据获取方的身份认证设备的证书。
步骤S2033:数据提供方的身份认证设备接收服务器发送的数据获取方的身份认证设备的证书。
步骤S204:数据提供方的身份认证设备利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥。
其中一种情况,数据提供方的身份认证设备将第二密钥上传至服务器,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
本发明实施例提供的提供共享的加密数据的方法中,数据提供方的身份认证设备获取第一密钥,利用自身存储的第一私钥对第一密钥进行解密,得到加密数据的对称密钥,获取数据获取方的身份认证设备的证书,利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,进一步利用加密数据的对称密钥对解密数据进行解密。在本发明实施例提供的提供共享的加密数据的方法中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密、利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,本发明实施例提供的方法操作简单,符合用户的习惯,用户体验较好。
请参阅图5,为本发明实施例提供的另一种提供共享的加密数据的方法的流程示意图,本发明实施例提供的方法可以包括:
步骤S301:数据提供方的身份认证设备提取自身存储的加密数据的对称密钥。
其中一种实施方式,数据提供方的身份认证设备预先将加密数据的明文利用加密数据的对称密钥进行加密,然后本地存储加密数据的对称密钥,并将加密数据上传至服务器存储,关于存储加密数据的服务器可以参考S102中的描述。
步骤S302:数据提供方的身份认证设备从服务器获取数据获取方的身份认证设备的证书。
在本实施例中,数据获取方的身份认证设备的证书预先存储于服务器中。具体的,数据获取方在注册数据获取方的身份认证设备时,从认证机构CA获取证书,将获取的证书上传至服务器中。
需要说明的是,本实施例并不限定数据获取方的身份认证设备的证书存储于服务器中,还可存储于其它地方,如认证机构CA。具体的,数据获取方在注册数据获取方的身份认证设备时,认证机构CA为数据获取方的身份认证设备分配证书,并且,认证机构CA将该证书与数据获取方的身份标识对应存储。在提供共享的加密数据的过程中,数据提供方的身份认证设备可依据数据获取方的身份标识从认证机构CA获取数据获取方的身份认证设备的证书。
在本实施例中,数据提供方的身份认证设备从服务器获取数据获取方的身份认证设备的证书的具体实现方式可参见上述实施例中的步骤S2031至步骤S2033,在此不作赘述。
步骤S303:数据提供方的身份认证设备利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥。
一种实施方式,数据提供方的身份认证设备将第二密钥上传至服务器,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
本发明实施例提供的提供共享的加密数据的方法中,数据提供方的身份认证设备获取自身存储的加密数据的对称密钥,从服务器获取数据获取方的身份认证设备的证书,利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,将第二密钥上传至服务器,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,进一步利用加密数据的对称密钥对解密数据进行解密。在本发明实施例提供的提供共享的加密数据的方法中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密、利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,本发明实施例提供的方法操作简单,符合用户的习惯,用户体验较好。
请参阅图6,为本发明实施例提供的一种获取共享的加密数据的方法的流程示意图,该方法可以包括:
步骤S401:数据获取方的身份认证设备获取数据提供方共享的加密数据,并获取第二密钥,其中,第二密钥为数据提供方利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密所得到。
本发明实施例中,一种实施方式为从服务器获取第二密钥,数据提供方利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密生成第二密钥,将第二密钥上传到服务器,数据获取方从服务器获取第二密钥。
在本实施例中,数据提供方共享的加密数据可与第二密钥同时存储于服务器中。当然,本实施例并不限定于此,数据提供方共享的加密数据还可存储于其它服务器或其它存储器中。具体的,其它服务器或其它存储器可将共享的加密数据与数据获取方的身份标识对应存储。数据获取方的身份认证设备可通过数据获取方的身份标识获取到共享的加密数据。
步骤S402:数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
步骤S403:数据获取方的身份认证设备利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。
本发明实施例提供的获取共享的加密数据的方法中,数据获取方的身份认证设备获取第二密钥和加密数据,利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。在本发明实施例提供的获取共享的加密数据的方法中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,本发明实施例提供的方法操作简单,符合用户的习惯,用户体验较好。
请参阅图7,为本发明实施例提供的另一种获取共享的加密数据的方法的流程示意图,针对数据获取方的身份认证设备从服务器获取第二密钥的实施例,本发明实施例提供的方法可以包括:
步骤S501:数据获取方的身份认证设备从数据获取方的客户端获得数据获取方的身份标识。
其中,数据获取方的身份标识可以但不限定为数据获取方的账号、用户名、用户IP地址等可以标识数据获取方身份的信息。数据获取方的身份标识可由用户在数据提供方的客户端输入。
步骤S502:数据获取方的身份认证设备将数据获取方的身份标识发送给服务器,以使服务器根据数据获取方的身份标识查找与数据获取方的身份标识相关联的第二密钥,并发送第二密钥以及加密数据给数据获取方的身份认证设备。
在本实施例中,服务器预存数据获取方的身份标识与第二密钥之间的关联关系,服务器在接收到数据获取方的身份认证设备发送的数据获取方的身份标识后,通过该关联关系即可确定与接收的数据获取方的身份标识对应的第二密钥。
步骤S503:数据获取方的身份认证设备接收服务器发送的第二密钥和加密数据。
在本实施中,数据提供方共享的加密数据与第二密钥同时存储于服务器中。当然,本实施例并不限定于此,数据提供方共享的加密数据可存储于其它服务器或其它存储器中。具体的,其它服务器或其它存储器可将共享的加密数据与数据获取方的身份标识对应存储。数据获取方的身份认证设备可通过数据获取方的身份标识从其它服务器或其它存储器获取到共享的加密数据。
步骤S504:数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
其中,第二私钥在数据获取方注册数据获取方的身份认证设备时存储在数据获取方的身份认证设备中。第二私钥只出现并存储在数据获取方的身份认证设备中。
步骤S505:数据获取方的身份认证设备利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。
本发明实施例提供的获取共享的加密数据的方法中,数据获取方的身份认证设备从服务器获取第二密钥和加密数据,利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。在本发明实施例提供的获取共享的加密数据的方法中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,本发明实施例提供的方法操作简单,符合用户的习惯,用户体验较好。
请参阅图8,为本发明实施例提供的一种数据提供方的身份认证设备的结构示意图,该数据提供方的身份认证设备包括:对称密钥获取单元101、证书获取单元102和加密单元103。其中:
对称密钥获取单元101,用于获取共享给数据获取方的加密数据的对称密钥。
证书获取单元102,用于获取数据获取方的身份认证设备的证书。
加密单元103,用于利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
本发明实施例提供的数据提供方的身份认证设备可获取共享给数据获取方的加密数据的对称密钥,并获取数据获取方的身份认证设备的证书,利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,进一步利用加密数据的对称密钥对解密数据进行解密。利用本发明实施例提供的数据提供方的身份认证设备实现加密数据共享的过程中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密、利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,利用本发明实施例提供的数据提供方的身份认证设备实现加密数据共享,操作简单,符合用户的习惯,用户体验较好。
请参阅图9,为本发明实施例提供的另一种数据提供方的身份认证设备的结构示意图,本发明实施例提供的数据提供方的身份认证设备包括:对称密钥获取单元101、证书获取单元102和加密单元103。其中:
对称密钥获取单元101,用于获取加密数据的对称密钥。
进一步的,对称密钥获取单元101可以包括:第一密钥获取子单元1011和解密子单元1012。其中,第一密钥获取子单元1011,用于获取第一密钥;解密子单元1012,用于利用自身存储的第一私钥对第一密钥进行解密,得到加密数据的对称密钥。其中,所述第一密钥为所述数据提供方的身份认证设备通过用所述数据提供方的身份认证设备的证书对所述加密数据的对称密钥进行加密所得到的。
更进一步的,第一密钥获取子单元1011获取第一密钥为第一密钥获取子单元1011从服务器获取第一密钥,第一密钥获取子单元1011可以包括:身份标识获取模块、身份标识发送模块和第一密钥接收模块。其中,身份标识获取模块,用于从数据提供方的客户端获得数据提供方的身份标识;身份标识发送模块,用于将数据提供方的身份标识发送给服务器,以使服务器根据数据提供方的身份标识查找与数据提供方的身份标识相关联的第一密钥,并发送第一密钥给数据提供方的身份认证设备;第一密钥接收模块,用于接收服务器发送的第一密钥。
一种实施方式,证书获取单元102,用于从服务器获取数据获取方的身份认证设备的证书。
进一步的,证书获取单元102可以包括:第一获取子单元1021、第一发送子单元1022和第一接收子单元1023。其中,第一获取子单元1021,用于从数据提供方的客户端获得数据获取方的身份标识;第一发送子单元1022,用于将数据获取方的身份标识发送给服务器,以使服务器根据数据获取方的身份标识查找与数据获取方的身份标识相关联的数据获取方的身份认证设备的证书,并发送数据获取方的身份认证设备的证书给数据提供方的身份认证设备;第一接收子单元1023,用于接收服务器发送的数据获取方的身份认证设备的证书。
加密单元103,用于利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,
以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。其中一种实现方式为,数据提供方的身份认证设备将第二密钥上传到服务器,数据获取方的身份认证设备从服务器获取该第二密钥。
本发明实施例中,存储第一密钥的服务器、存储对称密钥的服务器及存储第二密钥的服务器可以为同一服务器,也可以为不同的服务器,本发明实施例对此不作限定。
本发明实施例提供的数据提供方的身份认证设备获取第一密钥,利用自身存储的第一私钥对第一密钥进行解密,得到加密数据的对称密钥,获取数据获取方的身份认证设备的证书,利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,进一步利用加密数据的对称密钥对解密数据进行解密。利用本发明实施例提供的数据提供方的身份认证设备实现加密数据共享的过程中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密、利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,利用本发明实施例提供的数据提供方的身份认证设备实现加密数据共享,操作简单,符合用户的习惯,用户体验较好。
请参阅图10,为本发明实施例提供的另一种数据提供方的身份认证设备的结构示意图,本发明实施例提供的数据提供方的身份认证设备包括:对称密钥获取单元101、证书获取单元102和加密单元103。其中:
对称密钥获取单元101,用于获取加密数据的对称密钥。
进一步的,对称密钥获取单元101可以包括:对称密钥提取子单元1013。对称密钥获取子单元1013,用于提取自身存储的加密数据的对称密钥。
证书获取单元102,用于从服务器获取数据获取方的身份认证设备的证书。
进一步的,证书获取单元102可以包括:第一获取子单元1021、第一发送子单元1022和第一接收子单元1023。其中,第一获取子单元1021,用于从数据提供方的客户端获得数据获取方的身份标识;第一发送子单元1022,用于将数据获取方的身份标识发送给服务器,以使服务器根据数据获取方的身份标识查找与数据获取方的身份标识相关联的数据获取方的身份认证设备的证书,并发送数据获取方的身份认证设备的证书给数据提供方的身份认证设备;第一接收子单元1023,用于接收服务器发送的数据获取方的身份认证设备的证书。
加密单元103,用于利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥。
一种实施方式,数据提供方的身份认证设备将第二密钥上传至服务器,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
本发明实施例提供的数据提供方的身份认证设备可获取自身存储的加密数据的对称密钥,从服务器获取数据获取方的身份认证设备的证书,利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密,得到第二密钥,将第二密钥上传至服务器,以使数据获取方的身份认证设备利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,进一步利用加密数据的对称密钥对解密数据进行解密。利用本发明实施例提供的数据提供方的身份认证设备实现加密数据共享的过程中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密、利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,利用本发明实施例提供的数据提供方的身份认证设备实现加密数据共享,操作简单,符合用户的习惯,用户体验较好。
请参阅图11,为本发明实施例提供的一种数据获取方的身份认证设备的结构示意图,该数据获取方的身份认证设备可以包括:数据获取单元201、密钥解密单元202和数据解密单元203。其中:
数据获取单元201,用于获取数据提供方共享的加密数据,并获取第二密钥,其中,第二密钥为数据提供方利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密所得到。
密钥解密单元202,用于利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
数据解密单元203,用于利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。
本发明实施例提供的数据获取方的身份认证设备可获取数据提供方共享的加密数据,并获取第二密钥,利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。在利用本发明实施例提供的数据获取方的身份认证设备获取共享的加密数据的方法中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,利用本发明实施例提供的数据获取方的身份认证设备获取共享的加密数据,操作简单,符合用户的习惯,用户体验较好。
请参阅图12,为本发明实施例提供的一种数据获取方的身份认证设备的结构示意图,服务器存储有第二密钥,其中,第二密钥为数据提供方利用数据获取方的身份认证设备的证书对加密数据的对称密钥进行加密所得到,本发明实施例提供的数据获取方的身份认证设备可以包括:数据获取单元201、密钥解密单元202和数据解密单元203。其中:
数据获取单元201,用于获取加密数据和从服务器获取第二密钥。
其中一种实现方式,加密数据和第二密钥可以都存储在同一服务器上;加密数据也可以存储在其它服务器上,本发明对此不作限定。
进一步的,数据获取单元201可以包括:第二获取子单元2011、第二发送子单元2012和第二接收子单元2013。其中,第二获取子单元2011,用于从数据获取方的客户端获得数据获取方的身份标识;第二发送子单元2012,用于将数据获取方的身份标识发送给服务器,以使服务器根据数据获取方的身份标识查找与数据获取方的身份标识相关联的第二密钥,并发送第二密钥给数据获取方的身份认证设备;第二接收子单元2013,用于接收服务器发送的第二密钥。
密钥解密单元202,用于利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥。
数据解密单元203,用于利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。
本发明实施例提供的数据获取方的身份认证设备可从服务器获取第二密钥和加密数据,利用自身存储的第二私钥对第二密钥进行解密,得到加密数据的对称密钥,利用加密数据的对称密钥对加密数据进行解密,得到加密数据的明文。在利用本发明实施例提供的数据获取方的身份认证设备获取共享的加密数据的方法中,第二私钥只存储并出现在数据获取方的身份认证设备中,并且,加密数据共享过程中关键数据的交互均在身份认证设备中进行,例如利用第二私钥对第二密钥进行解密等,因此,共享的加密数据始终处于安全状态。另外,对于用户而言,利用本发明实施例提供的数据获取方的身份认证设备获取共享的加密数据,操作简单,符合用户的习惯,用户体验较好。
上述实施例提供的数据提供方的身份认证设备和数据获取方的身份认证设备的描述可以参考前面方法实施例的描述,在此不再赘述。
上述实施例提供的数据提供方的身份认证设备和数据获取方的身份认证设备为虚拟的功能模块,其中,数据提供方的身份认证设备可设置于一USBkey实体设备中,该USBkey设备与数据提供方的客户端连接,数据提供方的身份认证设备还可集成在数据提供方的客户端中。同样的,数据获取方的身份认证设备也可设置于一USBkey实体设备中,该USBkey设备与数据获取方的客户端连接,数据获取方的身份认证设备还可集成在数据获取方的客户端中。
另外,需要说明的是,上述实施例提供的数据提供方的身份认证设备和数据获取方的身份认证设备可以集成在同一个USBkey设备中或同一个客户端中,此时,该USBkey设备或客户端既可将共享的加密数据提供给数据获取方,又可获取其它的数据提供方提供的加密的共享数据。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其它实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。