CN105933318A - 数据保密方法、装置及系统 - Google Patents
数据保密方法、装置及系统 Download PDFInfo
- Publication number
- CN105933318A CN105933318A CN201610363332.5A CN201610363332A CN105933318A CN 105933318 A CN105933318 A CN 105933318A CN 201610363332 A CN201610363332 A CN 201610363332A CN 105933318 A CN105933318 A CN 105933318A
- Authority
- CN
- China
- Prior art keywords
- key
- index
- file
- server
- cipher key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Abstract
本发明公开了一种数据保密方法,包括:生成密钥索引,并将所述密钥索引发送给密钥服务器;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;接收所述密钥服务器返回的与所述密钥索引相对应的密钥;利用所述密钥对待传输文件进行加密,得到加密文件;将所述加密文件连同所述密钥索引发送给服务器;本发明还公开了一种数据保密装置及系统。本发明提供的数据保密方法、装置及系统,能够对待传输数据进行加密,操作简单且成本低廉。
Description
技术领域
本发明涉及数据处理技术领域,特别是指一种数据保密方法、装置及系统。
背景技术
随着网络技术的不断发展,使得人与人之间通过网络而联系起来,人们的工作、生活中越来越广泛地运用着网络技术,方便了人们的工作、生活,也使得人们越来越离不开网络。
现有的网络技术中,数据传输是一项非常重要的技术,它无时不刻地存在于网络之中,关系着人与人之间能否通过网络完成所需的信息交流。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:常见的传输技术为通过http协议进行数据传输,但是,经http传输数据的方式为明文传输,这种情况下,用户信息并未进行加密,很容易被其他人截获。在此基础之上,现有技术中存在https加密处理方法,可以对用户传输的数据进行加密,但是,这种加密方式,需要客户端和服务器端都配置有CA机构颁发的SSL证书,流程复杂且成本较高。
发明内容
有鉴于此,本发明实施例的目的在于提出一种数据保密方法、装置及系统,能够对待传输数据进行加密,操作简单且成本低廉。
基于上述目的本发明实施例提供的数据保密方法,包括:
生成密钥索引,并将所述密钥索引发送给密钥服务器;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
利用所述密钥对待传输文件进行加密,得到加密文件;
将所述加密文件连同所述密钥索引发送给服务器。
在一些可选实施方式中,所述生成密钥索引的步骤包括:
利用随机算法,生成预设数值范围内的随机数作为所述密钥索引。
在一些可选实施方式中,所述生成密钥索引的步骤包括:
按照第一预设时间间隔,更新所述密钥索引。
在一些可选实施方式中,所述生成密钥索引的步骤之前还包括:
判断是否存在待传输文件;
若存在待传输文件,则判断所述待传输文件是否存在密钥索引;
若所述待传输文件存在密钥索引,则将所述密钥索引发送给密钥服务器;
若不存在密钥索引,则生成密钥索引。
在一些可选实施方式中,所述密钥索引占用1个或多个字节。
本发明实施例的第二个方面,提供了一种数据保密方法,包括:
接收客户端和/或服务器发送的密钥索引;
根据所述密钥索引,从预存的密钥表中提取与所述密钥索引相对应的密钥;
将与所述密钥索引相对应的密钥返回给所述客户端和/或服务器。
在一些可选实施方式中,所述的方法还包括:按照第二预设时间间隔,对所述密钥表中的密钥进行更新;
和/或,
接收密钥表更新指令,并对所述密钥表中的密钥进行更新。
在一些可选实施方式中,所述对所述密钥表中的密钥进行更新的步骤之前还包括:
将更新前的密钥表进行备份;
和/或,
按照第三预设时间间隔,删除所述备份的更新前的密钥表。
在一些可选实施方式中,所述对所述密钥表中的密钥进行更新的步骤之后还包括:
接收服务器发送的密钥错误指令;
从所述更新前的密钥表中查找与所述密钥索引相对应的密钥并返回给服务器。
本发明实施例的第三个方面,提供了一种数据保密方法,包括:
接收加密文件及所述加密文件对应的密钥索引;
将所述密钥索引发送给密钥服务器;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
利用所述密钥对所述加密文件进行解密,得到解密文件。
在一些可选实施方式中,所述得到解密文件的步骤之后还包括:
从所述解密文件中提取得到所述解密文件中包含的文件大小、发送频率和/或信息内容;
分别将所述文件大小、发送频率和/或信息内容与文件大小指标、发送频率指标和/或信息内容指标进行比对,统计不匹配的文件数量;
若所述不匹配文件数量超过第一预设不匹配数量阈值,发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
在一些可选实施方式中,所述得到解密文件的步骤之后还包括:统计所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量;
若所述属于同一客户端发送的解密文件的文件数量超过第二预设不匹配数量阈值,发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
在一些可选实施方式中,所述的方法还包括:若接收到信息泄露举报信息,发出密钥泄露警告信息和需要对所述密钥表进行更新的提示信息。
在一些可选实施方式中,所述利用所述密钥对所述加密文件进行解密的步骤具体包括:
判断所述密钥是否能对所述加密文件进行解密;
若所述密钥不能对所述加密文件进行解密,向所述密钥服务器发出密钥错误指令;
接收所述密钥服务器返回的从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥;
利用所述从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥对所述加密文件进行解密。
本发明实施例的第四个方面,提供了一种数据保密装置,包括:
索引生成模块,用于生成密钥索引;
第一密钥服务器交互模块,用于将所述密钥索引发送给密钥服务器并接收所述密钥服务器返回的与所述密钥索引相对应的密钥;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
加密模块,用于利用所述密钥对待传输文件进行加密,得到加密文件;
第一服务器交互模块,用于将所述加密文件连同所述密钥索引发送给服务器。
在一些可选实施方式中,所述索引生成模块,具体用于:
利用随机算法,生成预设数值范围内的随机数作为所述密钥索引。
在一些可选实施方式中,所述索引生成模块,具体用于:
按照第一预设时间间隔,更新所述密钥索引。
在一些可选实施方式中,所述的装置还包括:
待传输文件判断模块,用于判断是否存在判断是否存在待传输文件;
密钥索引判断模块,若存在待传输文件,用于判断所述待传输文件是否存在密钥索引;
若所述待传输文件存在密钥索引,则所述第一服务器交互模块,用于将所述密钥索引发送给密钥服务器;
若所述待传输文件不存在密钥索引,则所述索引生成模块,用于生成密钥索引。
在一些可选实施方式中,所述密钥索引占用1个或多个字节。
本发明实施例的第五个方面,提供了一种数据保密装置,包括:
密钥提取模块,用于根据密钥索引,从预存的密钥表中提取与所述密钥索引相对应的密钥;
第一客户端交互模块,用于接收客户端发送的密钥索引,以及,将与所述密钥索引相对应的密钥返回给所述客户端;
和/或,
第二服务器交互模块,用于接收服务器发送的密钥索引,以及,将与所述密钥索引相对应的密钥返回给所述服务器。
在一些可选实施方式中,所述的装置,还包括密钥表更新模块,用于:
按照第二预设时间间隔,对所述密钥表中的密钥进行更新;
和/或,
接收密钥表更新指令,并对所述密钥表中的密钥进行更新。
在一些可选实施方式中,所述的装置,还包括:
密钥表备份模块,用于将更新前的密钥表进行备份;
和/或,
密钥表删除模块,用于按照第三预设时间间隔,删除所述备份的更新前的密钥表。
在一些可选实施方式中,所述密钥提取模块,还用于从更新前的密钥表中查找与所述密钥索引相对应的密钥;
所述第二服务器交互模块,还用于接收服务器发送的密钥错误指令,以及,将所述从所述更新前的密钥表中查找得到的与所述密钥索引相对应的密钥返回给服务器。
本发明实施例的第六个方面,提供了一种数据保密装置,包括:
第二客户端交互模块,用于接收加密文件及所述加密文件对应的密钥索引;
第二密钥服务器交互模块,用于将所述密钥索引发送给密钥服务器,以及,接收所述密钥服务器返回的与所述密钥索引相对应的密钥;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
解密模块,用于利用所述密钥对所述加密文件进行解密,得到解密文件。
在一些可选实施方式中,所述的装置,还包括:
数据分析模块,用于从所述解密文件中提取得到所述解密文件中包含的文件大小、发送频率和/或信息内容;
统计模块,用于分别将所述文件大小、发送频率和/或信息内容与文件大小指标、发送频率指标和/或信息内容指标进行比对,统计不匹配的文件数量;
警告模块,若所述不匹配文件数量超过第一预设不匹配数量阈值,用于发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
在一些可选实施方式中,所述统计模块,用于统计所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量;
所述警告模块,若所述属于同一客户端发送的解密文件的文件数量超过第二预设不匹配数量阈值,用于发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
在一些可选实施方式中,所述警告模块,若接收到信息泄露举报信息,用于发出密钥泄露警告信息和需要对所述密钥表进行更新的提示信息。
在一些可选实施方式中,所述解密模块,具体用于:
判断所述密钥是否能对所述加密文件进行解密;
若所述密钥不能对所述加密文件进行解密,向所述密钥服务器发出密钥错误指令;
接收所述密钥服务器返回的从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥;
利用所述从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥对所述加密文件进行解密。
本发明实施例的第七个方面,提供了一种数据保密系统,包括如上述的本发明实施例的第四个方面任意一项所述的装置,如上述的本发明实施例的第五个方面任意一项所述的装置,以及,如上述的本发明实施例的第六个方面任意一项所述的装置。
从上面所述可以看出,本发明实施例提供的数据保密方法、装置及系统,通过客户端生成密钥索引并从密钥服务器获取与该密钥索引相对应的密钥,利用该密钥进行文件加密,并将加密文件和所述密钥索引发送给服务器,服务器再根据所述密钥索引从密钥服务器获取相应的密钥用于解密,从而完成了待传输文件的加解密,保证了数据传输的安全性;利用所述数据保密方法、装置及系统进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
附图说明
图1为本发明提供的数据保密方法的第一个实施例的流程示意图;
图2为本发明提供的数据保密方法的第二个实施例的流程示意图;
图3为本发明提供的数据保密方法的第三个实施例的流程示意图;
图4为本发明提供的数据保密方法的第四个实施例的流程示意图;
图5为本发明提供的数据保密方法的第五个实施例的流程示意图;
图6为本发明提供的数据保密方法的第六个实施例的流程示意图;
图7为本发明提供的数据保密装置的第一个实施例的模块结构示意图;
图8为本发明提供的数据保密装置的第二个实施例的模块结构示意图;
图9为本发明提供的数据保密装置的第三个实施例的模块结构示意图;
图10为本发明提供的数据保密装置的第四个实施例的模块结构示意图;
图11为本发明提供的数据保密装置的第五个实施例的模块结构示意图;
图12为本发明提供的数据保密装置的第六个实施例的模块结构示意图;
图13为本发明提供的数据保密系统实施例的模块结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明的第一个方面,在于提出一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密方法的第一个实施例,可选的,所述数据保密方法应用于客户端。如图1所示,为本发明提供的数据保密方法的第一个实施例的流程示意图。
所示数据保密方法,包括以下步骤:
步骤101:生成密钥索引(index),并将所述密钥索引发送给密钥服务器;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
例如,所述密钥表中包含256个密钥,所述密钥索引可以相应的为0~255,这256个数分别对应这256个密钥,当生成了0~255之间的任意的数作为密钥索引(例如1)时,将所述密钥索引发送给密钥服务器,密钥服务器就能根据该密钥索引从密钥表中找到与其对应的密钥;
步骤102:接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
步骤103:利用所述密钥对待传输文件进行加密,得到加密文件;
步骤104:将所述加密文件连同所述密钥索引发送给服务器;服务器在接收到所述加密文件和所述密钥索引,可根据所述密钥索引从所述密钥服务器获取密钥用于解密;
可选的,所述服务器,为数据接收服务器,是客户端的待传输文件的接收对象;所述服务器与所述密钥服务器可以是同一个服务器,也可以是独立的两个服务器,当二者为同一个服务器时,可以通过单独设置用于存储密钥表模块,作为所述密钥服务器。较佳的,当所述服务器与所述密钥服务器为独立的两个服务器时,二者具有不同的IP地址,所述服务器专用于接收文件而不参与其他操作,所述密钥服务器则专用于存储密钥表以及与客户端和/或服务器进行与密钥相关的数据交互,从而能够更好地保证数据传输的可靠性。
从上述实施例可以看出,本发明实施例提供的数据保密方法,通过生成密钥索引并从密钥服务器获取与该密钥索引相对应的密钥,利用该密钥进行文件加密,并将加密文件和所述密钥索引发送给服务器,从而完成了待传输文件的加密,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
本发明的第二个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密方法的第二个实施例,可选的,所述数据保密方法应用于客户端。如图2所示,为本发明提供的数据保密方法的第二个实施例的流程示意图。
所示数据保密方法,包括以下步骤:
步骤201:判断是否存在待传输文件;
步骤202:若不存在待传输文件,则进入等待,并返回步骤201;
步骤203:若存在待传输文件,则判断所述待传输文件是否存在密钥索引;这里,可以理解为,判断所述待传输文件是否存在可用的密钥索引,也可以理解为,本地是否存在可供所述待传输文件用于获取密钥的密钥索引;
步骤204:若所述待传输文件存在密钥索引,则跳转到步骤207;
步骤205:若所述待传输文件不存在密钥索引,则利用随机算法,生成预设数值范围(例如0~255之间)内的随机数作为所述密钥索引;
通过采用随机算法生成随机数作为密钥索引,能够防止密钥索引泄露,同时也能防止不同客户端之间出现密钥索引使用冲突;较佳的,所述随机算法用于生成随机数的函数是rand();
可选的,所述随机算法的代码可参考如下语句:
srand(time(0));//time(0)代表当前时间自Unix标准时间戳(1970年1月1日0点0分0秒,GMT)经过了多少秒;srand设置产生随机数的种子,种子的值不同,产生的随机数也不同;
index=rand()%256;//根据srand产生0-255的随机数;
步骤206:启动从零开始的计时;
步骤207:将所述密钥索引发送给密钥服务器;
步骤208:接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
步骤209:利用所述密钥对待传输文件进行加密,得到加密文件;
步骤210:将所述加密文件连同所述密钥索引发送给服务器;
步骤211:判断计时时长是否达到第一预设时间间隔;
步骤212:若计时时长达到第一预设时间间隔,则更新所述密钥索引,并再次启动从零开始的计时;
这里,按照所述第一预设时间间隔,周期性地重新生成所述密钥索引,能够确保密钥索引的安全性;所述第一预设时间间隔,可以根据实际需要进行设置,例如每小时或每天重新生成一次密钥索引;
步骤213:若计时时长未达到第一预设时间间隔,则进入等待,并返回步骤201。
可选的,在第一个实施例和第二个实施例中,所述密钥索引可以是占用较少字节(例如1个或多个字节)的数据,从而能够减少数据传输量,提升数据传输效率。较佳的,当所述密钥索引仅占用1个字节时,例如范围在0-255以内的随机数,在能够保证密钥索引需要实现的功能前提下,能够进一步减少数据传输量,提升数据传输效率。
从上述实施例可以看出,本发明实施例提供的数据保密方法,通过生成密钥索引并从密钥服务器获取与该密钥索引相对应的密钥,利用该密钥进行文件加密,并将加密文件和所述密钥索引发送给服务器,从而完成了待传输文件的加密传输,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。同时,通过采用随机算法生成随机数作为密钥索引,能够防止密钥索引泄露,同时也能防止不同客户端之间出现密钥索引使用冲突;此外,按照所述第一预设时间间隔,重新生成所述密钥索引,能够确保密钥索引的安全性。
本发明的第三个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密方法的第三个实施例,可选的,所述数据保密方法应用于密钥服务器。如图3所示,为本发明提供的数据保密方法的第三个实施例的流程示意图。
所示数据保密方法,包括以下步骤:
步骤301:接收客户端和/或服务器发送的密钥索引(index);
步骤302:根据所述密钥索引,从预存的密钥表中提取与所述密钥索引相对应的密钥;
所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;例如,所述密钥表中包含256个密钥,所述密钥索引可以相应的为0~255,这256个数分别对应这256个密钥;在接收到所述密钥索引后,根据该密钥索引(例如所述密钥索引为1),即能从所述密钥表中找到与该密钥索引相对应的密钥;
步骤303:将与所述密钥索引相对应的密钥返回给所述客户端和/或服务器;即,若是客户端发送的密钥索引,就向客户端返回相应的密钥,客户端接收到所述密钥即可用于对待传输文件进行加密,若是服务器发送的密钥索引,就向服务器返回相应的密钥,服务器接收到所述密钥即可用于对接收到的加密文件进行解密。
从上述实施例可以看出,本发明实施例提供的数据保密方法,通过接收客户端和/或服务器发送的密钥索引,提取与该密钥索引相对应的密钥并返回给客户端和/或服务器,使得客户端和/或服务器能够利用该密钥进行文件加密或解密,从而完成了文件的加密传输,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
本发明的第四个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密方法的第四个实施例,可选的,所述数据保密方法应用于密钥服务器。如图4所示,为本发明提供的数据保密方法的第四个实施例的流程示意图。
所示数据保密方法,包括以下步骤:
步骤401:接收客户端发送的密钥索引;
步骤402:根据所述密钥索引,从预存的密钥表中提取与所述密钥索引相对应的密钥;
步骤403:将所述密钥返回给所述客户端;
步骤404:接收密钥表更新指令;
这里,所述密钥表更新指令可以是从外部介入的强制更新密钥表的指令,例如从服务器发出的,也可以是人工输入的密钥表更新指令;通常情况下,在接收到密钥表更新指令时,说明系统遇到了特殊情况,所述特殊情况,可以是例如服务器被攻击或者密钥遭到泄露等情况,此时需要对密钥表进行紧急更新处理,以防止危险状况进一步扩大;
所述密钥表更新指令,可以是在服务器发现特殊情况时,主动向密钥服务器发出并被密钥服务器接收并响应的,也可以是技术人员手动输入到密钥服务器中的;更新的密钥数量可以根据需要进行设置,例如,在密钥被泄露的情况下,仅更新被泄露的密钥或者更新全部密钥,在服务器被攻击的情况下,对密钥表中的密钥进行全部更新;
可选的,在一些实施方式中,所述密钥表存储在密钥服务器集群中,遇到需要更新密钥表的情况,可以使用密钥服务器的调度系统,其具有操作界面,在操作界面中新建任务,例如新建自动更新密钥表任务,调度系统则自动生成新的密钥表,并将最新的密钥表分发到密钥服务器集群,从而更新各个密钥服务器中的密钥表;
步骤405:将更新前的密钥表进行备份,从而保证密钥表更新后的一段时间内,旧的密钥索引还能从更新前的密钥表中找到相应的密钥,防止出现因找不到对应密钥而导致数据传输错误或失败,并接着对所述密钥表中的密钥进行更新;
步骤406:启动从零开始的计时;
步骤407:接收服务器发送的密钥索引;
步骤408:根据所述密钥索引,从更新后的密钥表中提取与所述密钥索引相对应的密钥;
步骤409:将所述密钥返回给所述服务器;
步骤410:接收服务器发送的密钥错误指令;所述密钥错误指令,用于向密钥服务器告知根据更新后的密钥表返回的密钥不能用于对加密文件进行解密;
步骤411:从更新前的密钥表中查找与所述密钥索引相对应的密钥并返回给服务器;服务器则可利用更新前的密钥表中查找得到的密钥进行解密;若能够解密,则说明该加密文件的密钥为更新前的密钥表中的密钥,若此时仍然不能对加密文件进行解密,则说明该加密文件属于错误文件,不再对该加密文件进行处理;
步骤412:判断计时时长是否达到第三预设时间间隔;
步骤413:若计时时长达到第三预设时间间隔,则删除所述更新前的密钥表;在完成备份后的计时时长达到第三预设时间间隔时,删除所述更新前的密钥表,默认此时已不存在需要利用更新前的密钥进行解密的文件,从而删除所述更新前的密钥表,以节约存储空间;
步骤414:若计时时长未达到第三预设时间间隔,则进入等待。
可选的,在上述实施例的进行过程中,还可以包括并行的步骤:按照第二预设时间间隔,对所述密钥表中的密钥进行更新,从而保证密钥表中密钥的安全性;所述第二预设时间间隔,可以根据实际需要进行设置,例如每天或每周更新一次密钥表中的密钥;其中,更新的密钥数量可以根据需要进行设置,例如更新密钥表中一半的密钥、1/3的密钥等等,当然也可以全部更新;在部分更新的情况下,下一次更新时,则可将上一次更新时未被更新的密钥首先进行更新。
当不存在外部的密钥表更新指令的介入时,从所述密钥表最开始被设定时开始计时,以所述第二预设时间间隔为周期,进行实时自动更新,从而能够防止密钥表泄露;并且,当存在外部的密钥表更新指令的介入时,可以将外部的密钥表更新指令的介入的时间点作为密钥表自动更新的计时起点,可见,这个时候,所述第二预设时间间隔需要大于所述第三预设时间间隔,才能保证更新前的密钥表被备份的时间足够长;通常情况下,所述第二预设时间间隔的计量单位为天,例如每半天、每天、每隔一天、每周、每隔一周或每月自动更新一次密钥表,而所述第三预设时间间隔的计量单位为小时,例如1小时、2小时或3小时后,删除所述更新前的密钥表。此外,同理可以得知,所述密钥表按照第二预设时间间隔进行自动更新后,同样需要进行一段时间的更新前密钥表备份,具体操作步骤与外部介入密钥表更新指令时的操作步骤相同,在此不再赘述。
从上述实施例可以看出,本发明实施例提供的数据保密方法,通过接收客户端和/或服务器发送的密钥索引,提取与该密钥索引相对应的密钥并返回给客户端和/或服务器,使得客户端和/或服务器能够利用该密钥进行文件加密或解密,从而完成了文件的加密传输,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
本发明的第五个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密方法的第五个实施例,可选的,所述数据保密方法应用于服务器。如图5所示,为本发明提供的数据保密方法的第五个实施例的流程示意图。
所示数据保密方法,包括以下步骤:
步骤501:接收加密文件及所述加密文件对应的密钥索引;可选的,所述加密文件是客户端发送的;
步骤502:将所述密钥索引发送给密钥服务器;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;例如,所述密钥表中包含256个密钥,所述密钥索引可以相应的为0~255,这256个数分别对应这256个密钥;在接收到所述密钥索引后,根据该密钥索引(例如所述密钥索引为1),即能从所述密钥表中找到与该密钥索引相对应的密钥;
步骤503:接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
步骤504:利用所述密钥对所述加密文件进行解密,得到解密文件。
从上述实施例可以看出,本发明实施例提供的数据保密方法,通过接收客户端发送的加密文件及其密钥索引,接着从密钥服务器获取与该密钥索引相对应的密钥,从而利用该密钥进行加密文件进行解密,从而完成了待传输文件的加密传输,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
本发明的第六个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密方法的第六个实施例,可选的,所述数据保密方法应用于服务器。如图6所示,为本发明提供的数据保密方法的第六个实施例的流程示意图。
所示数据保密方法,包括以下步骤:
步骤601:接收客户端发送的加密文件及其密钥索引;
步骤602:将所述密钥索引发送给密钥服务器;
步骤603:接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
步骤604:判断所述密钥是否能对所述加密文件进行解密;
步骤605:若所述密钥能够对所述加密文件进行解密,则利用所述密钥对所述加密文件进行解密并得到解密文件;
步骤606:若所述密钥不能对所述加密文件进行解密,说明所需要的密钥可能是更新前的密钥表中与该密钥索引相对应的密钥,因此,向所述密钥服务器发出密钥错误指令,提示密钥服务器,需要从更新前的密钥表中查找相应的密钥;
步骤607:接收所述密钥服务器返回的从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥;
步骤608:利用所述从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥对所述加密文件进行解密,若能够解密,则说明该加密文件的密钥为更新前的密钥表中的密钥,并得到解密文件,从而解决了加密文件的密钥索引对应的为更新前的密钥表中的密钥的问题,很好的完成了加密文件的解密;此外,若此时仍然不能对加密文件进行解密,则说明该加密文件属于错误文件,不再对其进行处理;
步骤609:从所述解密文件中提取得到所述解密文件中包含的文件大小、发送频率和/或信息内容;
步骤610:分别将所述文件大小、发送频率和/或信息内容与文件大小指标、发送频率指标和/或信息内容指标进行比对,统计不匹配的文件数量;通常情况下,传输的文件的格式有固定的格式要求,例如文件大小指标为5M,信息内容中需要包含哪些特定字段的内容,在解析得到的文件大小、发送频率、信息内容等数据中,若这些数据分别不符合其对应的指标要求,例如文件大小为1M,信息内容中缺少必要的字段,则判定该文件不是按照预定传输格式传输的,是有问题的文件;这里,需要对这些有问题的文件的文件数量进行统计,以便进一步分析问题;
步骤611:判断所述不匹配文件数量是否超过第一预设不匹配数量阈值;
步骤612:若所述不匹配文件数量未超过第一预设不匹配数量阈值,则进入等待并返回步骤610;
步骤613:若所述不匹配文件数量超过第一预设不匹配数量阈值,发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息;所述第一预设不匹配数量阈值,可以根据实际情况进行设定,针对于不同的服务器,所述第一预设不匹配数量阈值还可以设置为不同的值;这里,当不匹配文件数量超过第一预设不匹配数量阈值时,说明很有可能服务器正在被恶意攻击,因此需要发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息,从而提醒技术人员需要尽快商量处理对策;可选的,在保证不丢失数据的情况下,可以在发出恶意攻击警告信息后,直接向密钥服务器发出密钥表更新指令,使密钥服务器主动更新密钥表;
步骤614:统计所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量;这里,可以是将所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量进行分别统计,例如属于客户端A的不匹配文件数量统计一个文件数量,属于客户端B的不匹配文件数量统计一个文件数量,即每个客户端均有一个不匹配文件数量的统计;可选的,可以通过IP地址判断是否为同一客户端;
步骤615:判断所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量是否超过第二预设不匹配数量阈值;
步骤616:若所述属于同一客户端发送的解密文件的文件数量未超过第二预设不匹配数量阈值,则进入等待并返回步骤610;
步骤617:若所述属于同一客户端发送的解密文件的文件数量超过第二预设不匹配数量阈值,发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息;所述第二预设不匹配数量阈值,可以根据实际情况进行设定,针对于不同的服务器,所述第二预设不匹配数量阈值也同样可以设置为不同的值;这里,当属于同一客户端的不匹配文件数量超过第二预设不匹配数量阈值时,说明很有可能服务器正在被该客户端的用户恶意攻击,因此需要发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息,从而提醒技术人员需要尽快商量处理对策;可选的,在保证不丢失数据的情况下,可以在发出恶意攻击警告信息后,直接向密钥服务器发出密钥表更新指令,使其主动更新密钥表;
步骤618:接收到信息泄露举报信息,说明密钥遭到了泄露;
步骤619:发出密钥泄露警告信息和需要对所述密钥表进行更新的提示信息,从而提醒技术人员需要尽快商量处理对策;可选的,在保证不丢失数据的情况下,可以在发出恶意攻击警告信息后,直接向密钥服务器发出密钥表更新指令,使其主动更新密钥表。
从上述实施例可以看出,本发明实施例提供的数据保密方法,通过接收客户端发送的加密文件及其密钥索引,接着从密钥服务器获取与该密钥索引相对应的密钥,从而利用该密钥进行加密文件进行解密,从而完成了待传输文件的加密传输,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
本发明的第七个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密装置的实施例,可选的,所述数据保密装置应用于客户端。如图7所示,为本发明提供的数据保密装置的第一个实施例的模块结构示意图。
所示数据保密装置,包括:
索引生成模块701,用于生成密钥索引;
第一密钥服务器交互模块702,用于将所述密钥索引发送给密钥服务器并接收所述密钥服务器返回的与所述密钥索引相对应的密钥;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
例如,所述密钥表中包含256个密钥,所述密钥索引可以相应的为0~255,这256个数分别对应这256个密钥,当生成了0~255之间的任意的数作为密钥索引(例如1)时,将所述密钥索引发送给密钥服务器,密钥服务器就能根据该密钥索引从密钥表中找到与其对应的密钥;
加密模块703,用于利用所述密钥对待传输文件进行加密,得到加密文件;
第一服务器交互模块704,用于将所述加密文件连同所述密钥索引发送给服务器;服务器在接收到所述加密文件和所述密钥索引,可根据所述密钥索引从所述密钥服务器获取密钥用于解密;
可选的,所述服务器,为数据接收服务器,是客户端的待传输文件的接收对象;所述服务器与所述密钥服务器为独立的两个服务器,所述密钥服务器专用于存储密钥表以及与客户端和/或服务器进行与密钥相关的数据交互,从而保证数据传输的可靠性。
从上述实施例可以看出,本发明实施例提供的数据保密装置,通过生成密钥索引并从密钥服务器获取与该密钥索引相对应的密钥,利用该密钥进行文件加密,并将加密文件和所述密钥索引发送给服务器,从而完成了待传输文件的加密,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
可选的,在一些实施方式中,所述索引生成模块701,具体用于:
利用随机算法,生成预设数值范围(例如0~255之间)内的随机数作为所述密钥索引;较佳的,所述随机算法用于生成随机数的函数是rand();
可选的,所述随机算法的代码可参考如下语句:
srand(time(0));//time(0)代表当前时间自Unix标准时间戳(1970年1月1日0点0分0秒,GMT)经过了多少秒;srand设置产生随机数的种子,种子的值不同,产生的随机数也不同;
index=rand()%256;//根据srand产生0-255的随机数。
通过上述实施例,采用随机算法生成随机数作为密钥索引,从而能够防止密钥索引泄露,同时也能防止不同客户端之间出现密钥索引使用冲突。
可选的,在另一些实施方式中,所述索引生成模块701,具体用于按照第一预设时间间隔,周期性地更新所述密钥索引,从而确保密钥索引的安全性;所述第一预设时间间隔,可以根据实际需要进行设置,例如每小时或每天重新生成一次密钥索引。
可选的,在一些实施方式中,如图8所示,所述数据保密装置的第二个实施例,还可包括:待传输文件判断模块801,用于判断是否存在判断是否存在待传输文件;
密钥索引判断模块802,若存在待传输文件,用于判断所述待传输文件是否存在密钥索引;这里,可以理解为,判断所述待传输文件是否存在可用的密钥索引,也可以理解为,本地是否存在可供所述待传输文件用于获取密钥的密钥索引;
若所述待传输文件存在密钥索引,则所述第一服务器交互模块704,用于所述密钥索引发送给密钥服务器;
若所述待传输文件不存在密钥索引,则所述索引生成模块701,用于生成密钥索引。
通过上述实施例,在存在待传输文件时,判断是否存在已有的可用密钥索引,在存在密钥索引时,直接利用该密钥索引获取密钥,在不存在密钥索引时,生成密钥索引,而无需在每次传输文件时都生成新的密钥索引,节约了系统资源,提高了操作效率。
可选的,在一些可选实施方式中,所述密钥索引占用1个或多个字节,从而能够减少数据传输量,提升数据传输效率;较佳的,所述密钥索引仅占用1个字节,例如范围在0-255以内的随机数,在能够保证密钥索引需要实现的功能前提下,能够进一步减少数据传输量,提升数据传输效率。
本发明的第八个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密装置的第三个实施例,可选的,所述数据保密装置应用于密钥服务器。如图9所示,为本发明提供的数据保密密钥装置实施例的模块结构示意图。
所示数据保密密钥装置,包括:
密钥提取模块901,用于根据密钥索引,从预存的密钥表中提取与所述密钥索引相对应的密钥;
所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;例如,所述密钥表中包含256个密钥,所述密钥索引可以相应的为0~255,这256个数分别对应这256个密钥;在接收到所述密钥索引后,根据该密钥索引(例如所述密钥索引为1),即能从所述密钥表中找到与该密钥索引相对应的密钥;
第一客户端交互模块902,用于接收客户端发送的密钥索引,以及,将与所述密钥索引相对应的密钥返回给所述客户端,客户端接收到所述密钥即可用于对待传输文件进行加密;
和/或,
第二服务器交互模块903,用于接收服务器发送的密钥索引,以及,将与所述密钥索引相对应的密钥返回给所述服务器,服务器接收到所述密钥即可用于对接收到的加密文件进行解密。
从上述实施例可以看出,本发明实施例提供的数据保密装置,通过接收客户端和/或服务器发送的密钥索引,提取与该密钥索引相对应的密钥并返回给客户端和/或服务器,使得客户端和/或服务器能够利用该密钥进行文件加密或解密,从而完成了文件的加密传输,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
可选的,在一些可选实施方式中,如图10所示,所述数据保密密钥的第四个实施例,还可包括密钥表更新模块1001,用于:
按照第二预设时间间隔,对所述密钥表中的密钥进行更新,从而保证密钥表中密钥的安全性;所述第二预设时间间隔,可以根据实际需要进行设置,例如每天或每周更新一次密钥表中的密钥;其中,更新的密钥数量可以根据需要进行设置,例如更新密钥表中一半的密钥、1/3的密钥等等,当然也可以全部更新;在部分更新的情况下,下一次更新时,则可将上一次更新时未被更新的密钥首先进行更新。
可选的,在另一些实施方式中,所述密钥表更新模块1001,还用于接收密钥表更新指令,并对所述密钥表中的密钥进行更新;所述特殊情况,可以是例如服务器被攻击或者密钥遭到泄露等情况,此时需要对密钥表进行紧急更新处理,以防止危险状况进一步扩大;
所述密钥表更新指令,可以是在服务器发现特殊情况时,主动向密钥服务器发出并被密钥服务器接收并响应的,也可以是技术人员手动输入到密钥服务器中的;更新的密钥数量可以根据需要进行设置,例如,在密钥被泄露的情况下,仅更新被泄露的密钥或者更新全部密钥,在服务器被攻击的情况下,对密钥表中的密钥进行全部更新。
可选的,在一些实施方式中,所述密钥表存储在密钥服务器集群中,遇到需要更新密钥表的情况,可以使用密钥服务器的调度系统,其具有操作界面,在操作界面中新建任务,例如新建自动更新密钥表任务,调度系统则自动生成新的密钥表,并将最新的密钥表分发到密钥服务器集群,从而更新各个密钥服务器中的密钥表。
可选的,在一些可选实施方式中,所述数据保密密钥服务器,还包括:
密钥表备份模块1002,用于将更新前的密钥表进行备份,从而保证密钥表更新后的一段时间内,旧的密钥索引还能从更新前的密钥表中找到相应的密钥,防止出现因找不到对应密钥而导致数据传输错误或失败;
密钥表删除模块1003,用于按照第三预设时间间隔,删除所述备份的更新前的密钥表,在达到第三预设时间间隔后,默认此时已不存在需要利用更新前的密钥进行解密的文件,从而删除所述更新前的密钥表,以节约存储空间。
可选的,在另一些实施方式中,所述密钥提取模块901,还用于从更新前的密钥表中查找与所述密钥索引相对应的密钥;
所述第二服务器交互模块903,还用于接收服务器发送的密钥错误指令,所述密钥错误指令,用于向密钥服务器告知根据更新后的密钥表返回的密钥不能用于对加密文件进行解密;以及,将所述从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥返回给服务器,服务器则可利用更新前的密钥表中查找得到的密钥进行解密;若能够解密,则说明该加密文件的密钥为更新前的密钥表中的密钥,若此时仍然不能对加密文件进行解密,则说明该加密文件属于错误文件,不再对其进行处理。
本发明的第九个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密装置的实施例,可选的,所述数据保密装置应用于服务器。如图11所示,为本发明提供的数据保密装置的第五个实施例的模块结构示意图。
所示数据保密装置,包括:
第二客户端交互模块1101,用于接收加密文件及所述加密文件对应的密钥索引;可选的,所述加密文件时客户端发送的;
第二密钥服务器交互模块1102,用于将所述密钥索引发送给密钥服务器,以及,接收所述密钥服务器返回的与所述密钥索引相对应的密钥;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;例如,所述密钥表中包含256个密钥,所述密钥索引可以相应的为0~255,这256个数分别对应这256个密钥;在接收到所述密钥索引后,根据该密钥索引(例如所述密钥索引为1),即能从所述密钥表中找到与该密钥索引相对应的密钥;
解密模块1103,用于利用所述密钥对所述加密文件进行解密,得到解密文件。
从上述实施例可以看出,本发明实施例提供的数据保密装置,通过接收客户端发送的加密文件及其密钥索引,接着从密钥服务器获取与该密钥索引相对应的密钥,从而利用该密钥进行加密文件进行解密,从而完成了待传输文件的加密传输,保证了数据传输的安全性;利用所述数据保密方法进行文件加解密,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
可选的,在一些实施方式中,如图12所示,所述数据保密装置的第六个实施例,还可包括:
数据分析模块1201,用于从所述解密文件中提取得到所述解密文件中包含的文件大小、发送频率和/或信息内容;
统计模块1202,用于分别将所述文件大小、发送频率和/或信息内容与文件大小指标、发送频率指标和/或信息内容指标进行比对,统计不匹配的文件数量;通常情况下,传输的文件的格式有固定的格式要求,例如文件大小指标为5M,信息内容中需要包含哪些特定字段的内容,在解析得到的文件大小、发送频率、信息内容等数据中,若这些数据分别不符合其对应的指标要求,例如文件大小为1M,信息内容中缺少必要的字段,则判定该文件不是按照预定传输格式传输的,是有问题的文件;这里,需要对这些有问题的文件的文件数量进行统计,以便进一步分析问题;
警告模块1203,若不匹配文件数量超过第一预设不匹配数量阈值,用于发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息;所述第一预设不匹配数量阈值,可以根据实际情况进行设定,针对于不同的服务器,所述第一预设不匹配数量阈值还可以设置为不同的值;这里,当不匹配文件数量超过第一预设不匹配数量阈值时,说明很有可能服务器正在被恶意攻击,因此需要发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息,从而提醒技术人员需要尽快商量处理对策;可选的,在保证不丢失数据的情况下,可以在发出恶意攻击警告信息后,直接向密钥服务器发出密钥表更新指令,使其主动更新密钥表。
可选的,在另一些实施方式中,所述统计模块1202,用于统计所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量,这里,可以是将所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量进行分别统计,例如属于客户端A的不匹配文件数量统计一个文件数量,属于客户端B的不匹配文件数量统计一个文件数量,即每个客户端均有一个不匹配文件数量的统计;可选的,可以通过IP地址判断是否为同一客户端;
所述警告模块1203,若所述属于同一客户端发送的解密文件的文件数量超过第二预设不匹配数量阈值,用于发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息;所述第二预设不匹配数量阈值,可以根据实际情况进行设定,针对于不同的服务器,所述第二预设不匹配数量阈值也同样可以设置为不同的值;这里,当属于同一客户端的不匹配文件数量超过第二预设不匹配数量阈值时,说明很有可能服务器正在被该客户端的用户恶意攻击,因此需要发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息,从而提醒技术人员需要尽快商量处理对策;可选的,在保证不丢失数据的情况下,可以在发出恶意攻击警告信息后,直接向密钥服务器发出密钥表更新指令,使其主动更新密钥表。
可选的,在另一些实施方式中,所述警告模块1203,若接收到信息泄露举报信息,说明密钥遭到了泄露,用于发出密钥泄露警告信息和需要对所述密钥表进行更新的提示信息,从而提醒技术人员需要尽快商量处理对策;可选的,在保证不丢失数据的情况下,可以在发出恶意攻击警告信息后,直接向密钥服务器发出密钥表更新指令,使其主动更新密钥表。
可选的,在一些可选实施方式中,所述解密模块1103,还可具体用于:
判断所述密钥是否能对所述加密文件进行解密;
若所述密钥不能对所述加密文件进行解密,说明所需要的密钥可能是更新前的密钥表中与该密钥索引相对应的密钥,因此,向所述密钥服务器发出密钥错误指令,提示密钥服务器,需要从更新前的密钥表中查找相应的密钥;
接收所述密钥服务器返回的从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥;
利用所述从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥对所述加密文件进行解密;若能够解密,则说明该加密文件的密钥为更新前的密钥表中的密钥,若此时仍然不能对加密文件进行解密,则说明该加密文件属于错误文件,不再对其进行处理,并可按照前一实施例中的方法,统计不匹配数据量。
通过上述实施例,解决了加密文件的密钥索引对应的为更新前的密钥表中的密钥的问题,从而能够很好的完成加密文件的解密。
本发明的第十个方面,提出了一种能够对待传输数据进行加密、操作简单且成本低廉的数据保密系统的实施例。如图13所示,为本发明提供的数据保密系统实施例的结构示意图。
所示数据保密系统,包括:
数据保密装置1301,所述数据保密装置1301可选为上述数据保密装置的第一个实施例、第二个实施例及其等同变形(参照图7和图8);可选的,所述数据保密装置的第一个实施例和第二个实施例应用于客户端;
数据保密密钥装置1302,所述数据保密装置1302可选为上述数据保密装置的第三个实施例、第四个实施例及其等同变形(参照图9和图10);可选的,所述数据保密装置的第三个实施例和第四个实施例应用于密钥服务器;以及,
数据保密装置1303,所述数据保密装置1303可选为上述数据保密装置的第五个实施例、第六个实施例及其等同变形(参照图11和图12);可选的,所述数据保密装置的第五个实施例和第六个实施例应用于服务器。
从上面所述可以看出,本发明实施例提供的数据保密系统,通过数据保密装置1031(客户端)生成密钥索引,并从数据保密密钥装置1302(密钥服务器)获取与该密钥索引相对应的密钥,利用该密钥进行文件加密,并将加密文件和所述密钥索引发送给数据保密装置1303(服务器),数据保密装置1303(服务器)再根据所述密钥索引从数据保密密钥装置1302(密钥服务器)获取相应的密钥用于解密,从而完成了待传输文件的加解密,保证了数据传输的安全性;利用所述数据保密系统进行文件加解密及文件传输,一方面,待传输文件的加解密过程较为便捷,处理速度快,资源占用率小,另一方面,无需配置CA机构颁发的SSL证书,从而节约了加解密操作的成本。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (29)
1.一种数据保密方法,其特征在于,包括:
生成密钥索引,并将所述密钥索引发送给密钥服务器;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
利用所述密钥对待传输文件进行加密,得到加密文件;
将所述加密文件连同所述密钥索引发送给服务器。
2.根据权利要求1所述的方法,其特征在于,所述生成密钥索引的步骤包括:
利用随机算法,生成预设数值范围内的随机数作为所述密钥索引。
3.根据权利要求1所述的方法,其特征在于,所述生成密钥索引的步骤包括:
按照第一预设时间间隔,更新所述密钥索引。
4.根据权利要求1所述的方法,其特征在于,所述生成密钥索引的步骤之前还包括:
判断是否存在待传输文件;
若存在待传输文件,则判断所述待传输文件是否存在密钥索引;
若所述待传输文件存在密钥索引,则将所述密钥索引发送给密钥服务器;
若不存在密钥索引,则生成密钥索引。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述密钥索引占用1个或多个字节。
6.一种数据保密方法,其特征在于,包括:
接收客户端和/或服务器发送的密钥索引;
根据所述密钥索引,从预存的密钥表中提取与所述密钥索引相对应的密钥;
将与所述密钥索引相对应的密钥返回给所述客户端和/或服务器。
7.根据权利要求6所述的方法,其特征在于,还包括:按照第二预设时间间隔,对所述密钥表中的密钥进行更新;
和/或,
接收密钥表更新指令,并对所述密钥表中的密钥进行更新。
8.根据权利要求7所述的方法,其特征在于,所述对所述密钥表中的密钥进行更新的步骤之前还包括:
将更新前的密钥表进行备份;
和/或,
按照第三预设时间间隔,删除所述备份的更新前的密钥表。
9.根据权利要求8所述的方法,其特征在于,所述对所述密钥表中的密钥进行更新的步骤之后还包括:
接收服务器发送的密钥错误指令;
从所述更新前的密钥表中查找与所述密钥索引相对应的密钥并返回给服务器。
10.一种数据保密方法,其特征在于,包括:
接收加密文件及所述加密文件对应的密钥索引;
将所述密钥索引发送给密钥服务器;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
接收所述密钥服务器返回的与所述密钥索引相对应的密钥;
利用所述密钥对所述加密文件进行解密,得到解密文件。
11.根据权利要求10所述的方法,其特征在于,所述得到解密文件的步骤之后还包括:
从所述解密文件中提取得到所述解密文件中包含的文件大小、发送频率和/或信息内容;
分别将所述文件大小、发送频率和/或信息内容与文件大小指标、发送频率指标和/或信息内容指标进行比对,统计不匹配的文件数量;
若所述不匹配文件数量超过第一预设不匹配数量阈值,发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
12.根据权利要求11所述的方法,其特征在于,所述得到解密文件的步骤之后还包括:统计所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量;
若所述属于同一客户端发送的解密文件的文件数量超过第二预设不匹配数量阈值,发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
13.根据权利要求10所述的方法,其特征在于,还包括:若接收到信息泄露举报信息,发出密钥泄露警告信息和需要对所述密钥表进行更新的提示信息。
14.根据权利要求10-13任意一项所述的方法,其特征在于,所述利用所述密钥对所述加密文件进行解密的步骤具体包括:
判断所述密钥是否能对所述加密文件进行解密;
若所述密钥不能对所述加密文件进行解密,向所述密钥服务器发出密钥错误指令;
接收所述密钥服务器返回的从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥;
利用所述从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥对所述加密文件进行解密。
15.一种数据保密装置,其特征在于,包括:
索引生成模块,用于生成密钥索引;
第一密钥服务器交互模块,用于将所述密钥索引发送给密钥服务器并接收所述密钥服务器返回的与所述密钥索引相对应的密钥;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
加密模块,用于利用所述密钥对待传输文件进行加密,得到加密文件;
第一服务器交互模块,用于将所述加密文件连同所述密钥索引发送给服务器。
16.根据权利要求15所述的装置,其特征在于,所述索引生成模块,具体用于:
利用随机算法,生成预设数值范围内的随机数作为所述密钥索引。
17.根据权利要求15所述的装置,其特征在于,所述索引生成模块,具体用于:
按照第一预设时间间隔,更新所述密钥索引。
18.根据权利要求15所述的装置,其特征在于,还包括:
待传输文件判断模块,用于判断是否存在判断是否存在待传输文件;
密钥索引判断模块,若存在待传输文件,用于判断所述待传输文件是否存在密钥索引;
若所述待传输文件存在密钥索引,则所述第一服务器交互模块,用于将所述密钥索引发送给密钥服务器;
若所述待传输文件不存在密钥索引,则所述索引生成模块,用于生成密钥索引。
19.根据权利要求15-18任意一项所述的装置,其特征在于,所述密钥索引占用1个或多个字节。
20.一种数据保密装置,其特征在于,包括:
密钥提取模块,用于根据密钥索引,从预存的密钥表中提取与所述密钥索引相对应的密钥;
第一客户端交互模块,用于接收客户端发送的密钥索引,以及,将与所述密钥索引相对应的密钥返回给所述客户端;
和/或,
第二服务器交互模块,用于接收服务器发送的密钥索引,以及,将与所述密钥索引相对应的密钥返回给所述服务器。
21.根据权利要求20所述的装置,其特征在于,还包括密钥表更新模块,用于:
按照第二预设时间间隔,对所述密钥表中的密钥进行更新;
和/或,
接收密钥表更新指令,并对所述密钥表中的密钥进行更新。
22.根据权利要求21所述的装置,其特征在于,还包括:
密钥表备份模块,用于将更新前的密钥表进行备份;
和/或,
密钥表删除模块,用于按照第三预设时间间隔,删除所述备份的更新前的密钥表。
23.根据权利要求22所述的装置,其特征在于,所述密钥提取模块,还用于从更新前的密钥表中查找与所述密钥索引相对应的密钥;
所述第二服务器交互模块,还用于接收服务器发送的密钥错误指令,以及,将所述从所述更新前的密钥表中查找得到的与所述密钥索引相对应的密钥返回给服务器。
24.一种数据保密装置,其特征在于,包括:
第二客户端交互模块,用于接收加密文件及所述加密文件对应的密钥索引;
第二密钥服务器交互模块,用于将所述密钥索引发送给密钥服务器,以及,接收所述密钥服务器返回的与所述密钥索引相对应的密钥;所述密钥服务器中预存密钥表,所述密钥表中包括所述密钥索引以及与所述密钥索引一一对应的密钥;
解密模块,用于利用所述密钥对所述加密文件进行解密,得到解密文件。
25.根据权利要求24所述的装置,其特征在于,还包括:
数据分析模块,用于从所述解密文件中提取得到所述解密文件中包含的文件大小、发送频率和/或信息内容;
统计模块,用于分别将所述文件大小、发送频率和/或信息内容与文件大小指标、发送频率指标和/或信息内容指标进行比对,统计不匹配的文件数量;
警告模块,若所述不匹配文件数量超过第一预设不匹配数量阈值,用于发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
26.根据权利要求25所述的装置,其特征在于,所述统计模块,用于统计所述不匹配文件数量中属于同一客户端发送的解密文件的文件数量;
所述警告模块,若所述属于同一客户端发送的解密文件的文件数量超过第二预设不匹配数量阈值,用于发出恶意攻击警告信息和需要对所述密钥表进行更新的提示信息。
27.根据权利要求25所述的装置,其特征在于,所述警告模块,若接收到信息泄露举报信息,用于发出密钥泄露警告信息和需要对所述密钥表进行更新的提示信息。
28.根据权利要求24-27任意一项所述的装置,其特征在于,所述解密模块,具体用于:
判断所述密钥是否能对所述加密文件进行解密;
若所述密钥不能对所述加密文件进行解密,向所述密钥服务器发出密钥错误指令;
接收所述密钥服务器返回的从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥;
利用所述从更新前的密钥表中查找得到的与所述密钥索引相对应的密钥对所述加密文件进行解密。
29.一种数据保密系统,其特征在于,包括如权利要求15-19任意一项所述的装置,如权利要求20-23任意一项所述的装置,以及,如权利要求24-28任意一项所述的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610363332.5A CN105933318A (zh) | 2016-05-26 | 2016-05-26 | 数据保密方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610363332.5A CN105933318A (zh) | 2016-05-26 | 2016-05-26 | 数据保密方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105933318A true CN105933318A (zh) | 2016-09-07 |
Family
ID=56842374
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610363332.5A Pending CN105933318A (zh) | 2016-05-26 | 2016-05-26 | 数据保密方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105933318A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961681A (zh) * | 2017-02-10 | 2017-07-18 | 北京浩瀚深度信息技术股份有限公司 | 一种lte系统内部多接口密钥处理方法及装置 |
| CN107819572A (zh) * | 2017-09-29 | 2018-03-20 | 北京比特大陆科技有限公司 | 命令传输方法、装置及电子设备 |
| WO2018049882A1 (zh) * | 2016-09-14 | 2018-03-22 | 广东欧珀移动通信有限公司 | 一种数据迁移方法及装置 |
| WO2018145606A1 (zh) * | 2017-02-08 | 2018-08-16 | 贵州白山云科技有限公司 | 一种用于cdn节点间加密的方法、系统、装置、介质及设备 |
| CN108900584A (zh) * | 2018-06-15 | 2018-11-27 | 网宿科技股份有限公司 | 内容分发网络的数据传输方法和系统 |
| CN110061980A (zh) * | 2019-04-02 | 2019-07-26 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭节能通信方法和系统 |
| CN112187445A (zh) * | 2020-09-24 | 2021-01-05 | 天津津航计算技术研究所 | 一种卫星链路下数据传输加解密系统及方法 |
| CN112688954A (zh) * | 2020-12-28 | 2021-04-20 | 上海创能国瑞数据系统有限公司 | 一种敏感数据传输的保护方法 |
| CN112769744A (zh) * | 2019-11-01 | 2021-05-07 | 苏州千米电子科技有限公司 | 一种数据发送方法和装置 |
| CN113543124A (zh) * | 2020-04-14 | 2021-10-22 | 中国电信股份有限公司 | 密钥分发方法、系统和卡应用 |
| CN114125824A (zh) * | 2020-08-31 | 2022-03-01 | 中国电信股份有限公司 | 语音加密处理方法、服务器、终端以及系统、存储介质 |
| CN115051821A (zh) * | 2021-03-08 | 2022-09-13 | 美光科技公司 | 管理永久性存储器装置上的每逻辑块的加密密钥 |
| CN115296808A (zh) * | 2022-10-10 | 2022-11-04 | 深圳市西昊智能家具有限公司 | 秘钥更换方法、装置、计算机设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238002A (zh) * | 2010-04-30 | 2011-11-09 | 国际商业机器公司 | 用于网络通信的动态加密和解密的方法和设备 |
| CN103067158A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 加密解密方法、终端设备、网关设备及密钥管理系统 |
| CN104618096A (zh) * | 2014-12-30 | 2015-05-13 | 华为技术有限公司 | 保护密钥授权数据的方法、设备和tpm密钥管理中心 |
-
2016
- 2016-05-26 CN CN201610363332.5A patent/CN105933318A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238002A (zh) * | 2010-04-30 | 2011-11-09 | 国际商业机器公司 | 用于网络通信的动态加密和解密的方法和设备 |
| CN103067158A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 加密解密方法、终端设备、网关设备及密钥管理系统 |
| CN104618096A (zh) * | 2014-12-30 | 2015-05-13 | 华为技术有限公司 | 保护密钥授权数据的方法、设备和tpm密钥管理中心 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018049882A1 (zh) * | 2016-09-14 | 2018-03-22 | 广东欧珀移动通信有限公司 | 一种数据迁移方法及装置 |
| WO2018145606A1 (zh) * | 2017-02-08 | 2018-08-16 | 贵州白山云科技有限公司 | 一种用于cdn节点间加密的方法、系统、装置、介质及设备 |
| US11252133B2 (en) | 2017-02-08 | 2022-02-15 | Guizhou Baishancloud Technology Co., Ltd. | Method, device, medium and apparatus for CDN inter-node encryption |
| CN106961681A (zh) * | 2017-02-10 | 2017-07-18 | 北京浩瀚深度信息技术股份有限公司 | 一种lte系统内部多接口密钥处理方法及装置 |
| CN107819572A (zh) * | 2017-09-29 | 2018-03-20 | 北京比特大陆科技有限公司 | 命令传输方法、装置及电子设备 |
| WO2019062886A1 (en) * | 2017-09-29 | 2019-04-04 | Bitmain Technologies Inc. | METHOD AND APPARATUS FOR TRANSMITTING INSTRUCTIONS |
| CN107819572B (zh) * | 2017-09-29 | 2021-01-22 | 北京比特大陆科技有限公司 | 命令传输方法、装置及电子设备 |
| US11196553B2 (en) | 2017-09-29 | 2021-12-07 | Bitmain Technologies Inc. | Command transmission method and apparatus, electronic device |
| CN108900584A (zh) * | 2018-06-15 | 2018-11-27 | 网宿科技股份有限公司 | 内容分发网络的数据传输方法和系统 |
| CN110061980A (zh) * | 2019-04-02 | 2019-07-26 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭节能通信方法和系统 |
| CN112769744A (zh) * | 2019-11-01 | 2021-05-07 | 苏州千米电子科技有限公司 | 一种数据发送方法和装置 |
| CN112769744B (zh) * | 2019-11-01 | 2022-07-15 | 苏州千米电子科技有限公司 | 一种数据发送方法和装置 |
| CN113543124A (zh) * | 2020-04-14 | 2021-10-22 | 中国电信股份有限公司 | 密钥分发方法、系统和卡应用 |
| CN114125824A (zh) * | 2020-08-31 | 2022-03-01 | 中国电信股份有限公司 | 语音加密处理方法、服务器、终端以及系统、存储介质 |
| CN112187445A (zh) * | 2020-09-24 | 2021-01-05 | 天津津航计算技术研究所 | 一种卫星链路下数据传输加解密系统及方法 |
| CN112688954A (zh) * | 2020-12-28 | 2021-04-20 | 上海创能国瑞数据系统有限公司 | 一种敏感数据传输的保护方法 |
| CN112688954B (zh) * | 2020-12-28 | 2022-08-05 | 上海创能国瑞数据系统有限公司 | 一种敏感数据传输的保护方法 |
| CN115051821A (zh) * | 2021-03-08 | 2022-09-13 | 美光科技公司 | 管理永久性存储器装置上的每逻辑块的加密密钥 |
| CN115296808A (zh) * | 2022-10-10 | 2022-11-04 | 深圳市西昊智能家具有限公司 | 秘钥更换方法、装置、计算机设备和存储介质 |
| CN115296808B (zh) * | 2022-10-10 | 2023-03-10 | 深圳市西昊智能家具有限公司 | 秘钥更换方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105933318A (zh) | 数据保密方法、装置及系统 | |
| CN106656476B (zh) | 一种密码保护方法、装置及计算机可读存储介质 | |
| CN103595718B (zh) | 一种pos终端激活方法、系统、服务平台及pos终端 | |
| US8499156B2 (en) | Method for implementing encryption and transmission of information and system thereof | |
| CN101720071B (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| CN106357396A (zh) | 数字签名方法和系统以及量子密钥卡 | |
| CN104660589B (zh) | 一种对信息进行加密控制、解析信息的方法、系统和终端 | |
| CN109450777B (zh) | 会话信息提取方法、装置、设备和介质 | |
| CN106487659B (zh) | 信息加密方法、信息加密装置及终端 | |
| CN110932850B (zh) | 通信加密方法及系统 | |
| CN105025019A (zh) | 一种数据安全分享方法 | |
| CN105141635A (zh) | 一种群发消息安全通讯的方法和系统 | |
| CN107579903B (zh) | 一种基于移动设备的图片消息安全传输方法及系统 | |
| CN106605419A (zh) | 用于安全的sms通信的方法和系统 | |
| CN108667784B (zh) | 互联网身份证核验信息保护的系统和方法 | |
| CN105610837A (zh) | 用于scada系统主站与从站间身份认证的方法及系统 | |
| CN104202736A (zh) | 面向Android系统的移动终端短信端到端加密方法 | |
| CN101552792B (zh) | 一种利用动态二级密钥来传递信息的方法和设备 | |
| CN104580246B (zh) | WiFi环境下动态智能安全密钥产生和管控系统及方法 | |
| CN106302336A (zh) | 一种基于云计算实现用户指纹安全的方法、系统和设备 | |
| CN108765230A (zh) | 一种居民户籍信息管理方法及服务器 | |
| CN103532709A (zh) | 一种ibe密码装置及数据加解密方法 | |
| CN103945348A (zh) | 一种非对称密钥短信加密方法和系统 | |
| CN110570197B (zh) | 一种基于区块链的数据处理方法以及设备 | |
| CN107070653A (zh) | 一种pos交易加密系统、方法、posp前置服务器和pos终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160907 |
|
| WD01 | Invention patent application deemed withdrawn after publication |