CN108243198B - 一种数据分发、转发方法及装置 - Google Patents

一种数据分发、转发方法及装置 Download PDF

Info

Publication number
CN108243198B
CN108243198B CN201810097278.3A CN201810097278A CN108243198B CN 108243198 B CN108243198 B CN 108243198B CN 201810097278 A CN201810097278 A CN 201810097278A CN 108243198 B CN108243198 B CN 108243198B
Authority
CN
China
Prior art keywords
recipient
key
ciphertext
data
subdata
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810097278.3A
Other languages
English (en)
Other versions
CN108243198A (zh
Inventor
孙吉平
张树勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Senseshield Technology Co Ltd
Original Assignee
Beijing Senseshield Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Senseshield Technology Co Ltd filed Critical Beijing Senseshield Technology Co Ltd
Priority to CN201810097278.3A priority Critical patent/CN108243198B/zh
Publication of CN108243198A publication Critical patent/CN108243198A/zh
Application granted granted Critical
Publication of CN108243198B publication Critical patent/CN108243198B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据分发方法,包括:使用第一密钥对数据进行加密得到第一数据密文,从第一数据密文中抽取第一子数据,用第二密钥对第一子数据加密得到第一子数据第一密文;用第二子数据替换第一数据密文中原第一子数据的位置,得到第二数据密文;向服务端发送数据分发请求,数据分发请求中至少包括第一接收方标识和第一子数据第一密文;从服务端接收返回的第一记录标识,并将第二数据密文和第一记录标识发送给第一接收方。本发明还公开了对应的数据转发方法,以及数据分发/转发装置。通过本发明的数据分发/转发方案,能够在提高用户在转发数据时在操作上的便捷性的同时,有效地提高数据在传输过程中的安全性。

Description

一种数据分发、转发方法及装置
技术领域
本发明涉及信息安全领域,特别涉及一种数据分发、转发方法及装置。
背景技术
在互联网高度发展的当前,越来越多的数据内容需要通过网络发送。如果将数据内容明文在网络中传输容易被黑客截获,为了提高数据的安全性,在数据发送或转发时可以采用数字信封技术。
数字信封技术使用两层加密体系,数字信封包含被加密的内容和用于对内容加密的内容密钥(CEK)的密文。发送方一般使用接收方公钥来对内容密钥进行加密得到内容密钥密文,但也可以使用发送方和接收方预先协商的对称密钥来对内容密钥进行加密。当接收方收到数字信封时,需先用密钥对内容密钥的密文解密得到内容密钥,再用内容密钥对内容密文解密得到内容原文。数字信封技术结合了非对称密钥算法安全性高和对称密钥算法速度快的优点,能够确保数据在传输过程中的机密性并能够防止数据被篡改。
目前,基于数字信封的数据转发技术在提高数据安全性和转发便捷性方面还存在改进空间。
发明内容
有鉴于此,本发明实施例提出了一种基于改进的数字信封技术的安全性和便捷性较高的数据分发、转发方案。
为此,本发明实施例提供了一种数据分发方法,应用于发送方客户端,包括:使用第一密钥对数据进行加密得到第一数据密文,从第一数据密文中抽取第一子数据,用第二密钥对第一子数据加密得到第一子数据第一密文;用第二子数据替换第一数据密文中原第一子数据的位置,得到第二数据密文;向服务端发送数据分发请求,所述数据分发请求中至少包括第一接收方标识和第一子数据第一密文;从服务端接收返回的第一记录标识,并将所述第二数据密文和第一记录标识发送给第一接收方。
作为优选,所述数据分发请求中还包括第一接收方公钥、第一密钥、第一校验数和第一密钥第一密文,所述第一密钥第一密文用于对第一接收方进行验证,所述第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密得到。
作为优选,所述数据分发请求中还包括第一接收方公钥和第二密钥第一密文,所述第二密钥第一密文用于对第一接收方进行验证。
作为优选,所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密得到。
作为优选,所述数据分发请求中还包括第一校验数和第二密钥,所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密得到。
作为优选,所述方法还包括:向服务端发送包括第一记录标识和第一接收方标识的数据分发撤销请求,以便服务端将第一接收方标识以及与第一接收方标识关联存储的信息删除。
本发明实施例还提供了一种数据分发装置,包括处理器,所述处理器运行预定的计算机指令以执行上述任一实施例的应用于发送方客户端的数据分发方法。
本发明实施例还提供了一种数据转发方法,应用于服务端,包括:从发送方接收到至少包括第一接收方标识和第一子数据第一密文的数据分发请求时,向发送方返回第一记录标识,所述第一子数据第一密文通过用第二密钥对从经第一密钥对数据加密得到的第一数据密文中抽取的第一子数据加密得到;将第一记录标识与至少第一子数据第一密文关联存储,并将第一接收方标识至少与第一记录标识关联存储;从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,基于所述数据接收请求中的第一接收方标识和第一记录标识,将第一子数据第二密文发送给第一接收方。
作为优选,所述数据分发请求中还包括第一接收方公钥、第一密钥、第一校验数和第一密钥第一密文,所述第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密生成,所述方法还包括:从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,用所述第一密钥第一密文对所述第一接收方进行第一验证,当对第一接收方进行第一验证通过时,还将第一密钥用第一接收方公钥加密后发送给第一接收方。
作为优选,所述数据分发请求中还包括第一接收方公钥和第二密钥第一密文,所述方法还包括:从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,用所述第二密钥第一密文对所述第一接收方进行第二验证,当对第一接收方进行第二验证通过时,用所述第二密钥对第一子数据第一密文解密得到第一子数据,并用第一接收方公钥对第一子数据加密得到所述第一子数据第二密文。
作为优选,所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密生成。
作为优选,所述数据分发请求中还包括第一校验数和第二密钥,所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密生成。
作为优选,所述方法还包括:接收到包括第一记录标识和第一接收方标识的数据分发撤销请求时,将第一接收方标识以及与第一接收方标识关联存储的信息删除。
本发明实施例还提供了一种数据转发装置,包括处理器,所述处理器运行预定的计算机指令以执行上述任一实施例的应用于服务端的数据转发方法。
本发明实施例还提供了一种数据转发方法,应用于接收方客户端,包括:从数据发送方接收到第二数据密文和第一记录标识时,向服务端发送包括第一接收方标识和第一记录标识的数据接收请求;从服务端获得服务端基于所述数据接收请求中的第一接收方标识和第一记录标识而返回的第一子数据,用第一子数据替换第二数据密文中的预定部分得到第一数据密文,并用第一密钥对第一数据密文解密得到数据明文。
作为优选,所述方法还包括;从服务端接收到用于对第一接收方进行验证的验证数据密文时,使用第一接收方私钥对验证数据密文进行解密处理,并将解密结果发送给服务端,所述验证数据密文包括第一密钥第一密文,所述第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密生成。
作为优选,所述验证数据密文还包括第二密钥第一密文,第二密钥为服务端用来将第一子数据密文解密为所述第一子数据的密钥。
作为优选,所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密生成。
作为优选,所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密生成。
本发明实施例还提供了一种数据转发装置,包括处理器,所述处理器运行预定的计算机指令以执行上述任一实施例的应用于接收方客户端的数据转发方法。
通过本发明实施例的数据分发/转发方案,能够在提高用户在转发数据时在操作上的便捷性的同时,有效地提高数据在传输过程中的安全性。
附图说明
图1为本发明的数据分发方法的一个实施例的示意性流程图;
图2为本发明的数据转发方法的一个实施例的示意性流程图;
图3为本发明的数据转发方法的一个实施例的示意性流程图。
具体实施方式
下面参照附图对本发明各个实施例进行详细说明。
图1为本发明的数据分发方法的一个实施例的示意性流程图,本发明实施例的数据分发方法应用于发送方客户端。
如图1所示,本发明实施例的数据分发方法包括:
S210、使用第一密钥对数据进行加密得到第一数据密文,从第一数据密文中抽取第一子数据,用第二密钥对第一子数据加密得到第一子数据第一密文;
S211、用第二子数据替换第一数据密文中原第一子数据的位置,得到第二数据密文;
S212、向服务端发送数据分发请求,数据分发请求中至少包括第一接收方标识和第一子数据第一密文;
S213、从服务端接收返回的第一记录标识,并将第二数据密文和第一记录标识发送给第一接收方。
在本发明实施例中,发送方在对数据加密时,先使用第一密钥对待发送给第一接收方的数据明文进行加密处理得到第一数据密文,然后从第一数据密文中的预定部分抽取第一子数据,用第二子数据替换第一数据密文中原第一子数据的位置生成第二数据密文,并用第二密钥加密第一子数据得到第一子数据第一密文。其中,从第一密文中抽取第一子数据的方式不限,例如可以从第一密文的头部、中部和末尾分别抽取少量数据作为第一子数据,或者从第一密文的前半部和后半部中分别抽取少量数据作为第一子数据。用来替换第一密文中原第一子数据位置的第二子数据例如可以是空数据,或者是发送方任意生成的字符串。
发送方只需与第一接收方约定从第一密文抽取第一子数据的位置,无需与第一接收方约定第二子数据的生成方式。
在本发明一个实施例中,发送方可使用第一接收方公钥或与第一接收方协商的对称密钥作为第一密钥对数据明文加密生成第一数据密文,或者发送方可以用为第一接收方生成的并且不为第一接收方所知的第一密钥对数据明文加密生成第一数据密文。
在本发明一个实施例中,发送方可以先用第一接收方公钥对待发送的数据明文加密,再对所得到的密文数据用不为第一接收方所知的第一密钥加密得到第一数据密文。
在本发明实施例中,用于对第一子数据加密的第二密钥可以是第一接收方公钥、发送方与第一接收方协商的对称密钥或者是发送方为第一接收方生成的不为第一接收方所知的密钥。
本发明实施例中即使第一密钥和第二密钥均为第一接收方公钥,由于对第二数据密文解密所需的第一子数据保存在服务端,第一接收方得到第二数据密文后也不能直接用第一接收方私钥解密,而是必须先从服务端获得第一子数据。
发送方向服务端发送数据分发请求时,至少将第一子数据第一密文以及第一接收方标识携带在数据分发请求中,并将第二数据密文和服务端返回的第一记录标识发送给第一接收方。
第一接收方收到第二数据密文和第一记录标识后,向服务端发送第一记录标识和第一接收方标识以请求至少获得第一子数据第一密文。服务端基于从第一接收方接收的包括第一接收方标识和第一记录标识的数据获取请求,可以直接将第一子数据的明文或密文返回给第一接收方,或者在对第一接收方进行验证通过后将第一子数据的明文或密文返回给第一接收方。
本发明实施例中,即使第一子数据明文传输,对于数据安全性也影响不大,因为第一子数据即使在传输过程中被黑客获取,第一子数据本身是无意义的数据,而且黑客难以获知第一子数据从第一数据密文中抽取的位置,从而很难获得最终的目标明文数据。当然,为了进一步提高数据安全性,第一子数据可经过加密后再发送给第一接收方,例如服务端可以将通过用第一接收方公钥对第一子数据加密得到的密文发送给第一接收方。
在本发明一些实施例中,服务端在从第一接收方接收到包括第一接收方标识和第一记录标识的数据获取请求时,可以直接将由发送方生成的第一子数据第一密文发送给第一接收方,第一接收方可使用已有密钥对第一子数据第一密文解密得到第一子数据,例如当第二密钥为第一接收方公钥或发送方与第一接收方协商的对称密钥时。
在本发明另一些实施例中,服务端在从第一接收方接收到包括第一接收方标识和第一记录标识的数据获取请求时,还对第一接收方进行身份验证,并在验证通过后将第一子数据明文或密文发送给第一接收方。例如,当第二密钥为第一接收方公钥时,服务端可使用第二密钥对随机数加密后发送给第一接收方,并验证第一接收方返回的通过用第一接收方私钥对验证数据解密得到的字符串是否为该随机数。在服务端对第一接收方进行验证的实施例中,第二密钥也可以不是第一接收方公钥,这时发送方可以在数据分发请求中进一步携带第一接收方公钥使得服务端得到第一接收方公钥,或者服务端也可以根据从数据分发请求提取的第一接收方标识从服务端预存的接收方标识与接收方公钥的映射表中查找得到与第一接收方对应的第一接收方公钥。
第一接收方接收到第一子数据或接收到第一子数据密文并解密得到第一子数据后,用第一子数据替换第二数据密文中的预定部分得到第一数据密文,再用第一密钥或与第一密钥对应的密钥对第一数据密文解密得到数据明文。
在本发明实施例中,通过将对第一数据密文进行处理得到的第二数据密文发送给第一接收方,使得第一接收方得到的密文数据中包含噪音,能够有效地防止暴力破解,提高数据密文的安全性。
在本发明一个实施例中,第一密钥为发送方为第一接收方生成的不为第一接收方所知的密钥,则S212中发送方向服务端发送的数据分发请求中可以包括第一接收方标识、第一子数据第一密文、第一接收方公钥、第一密钥、第一校验数和第一密钥第一密文,其中,第一密钥第一密文供服务端用于对第一接收方进行验证,第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密得到。在本发明实施例中,服务端用于对第一接收方进行验证的验证数据由发送方生成,并且验证数据基于第一密钥生成,服务端可直接将验证数据发送给接收方进行验证,验证通过后可直接将第一密钥用第一接收方公钥加密发送给第一接收方,减轻了服务端在验证上的管理和计算负荷。同时,验证数据还基于第一校验数生成,因此确保了第一接收方在通过验证之前无法得到单独的第一密钥,从而能够确保数据密文的安全性。
在本发明一个实施例中,第二密钥为发送方为第一接收方生成的不为第一接收方所知的密钥,则S212中发送方向服务端发送的数据分发请求中可以包括第一接收方标识、第一子数据第一密文、第一接收方公钥、第二密钥第一密文,其中,第二密钥第一密文供服务端用于对第一接收方进行验证。例如,第二密钥第一密文可以通过用发送方与服务端协商的密钥对第二密钥加密生成,在这种情况下,服务端在将第二密钥第一密文用于对第一接收方进行验证时,可先用与发送方协商的密钥对第二密钥第一密文解密得到第二密钥,再用第一接收方公钥对第二密钥加密得到第二密钥第二密文发送给第一接收方,并用第二密钥对第一接收方返回的验证数据进行验证。例如,第二密钥第一密文可以通过用第一接收方公钥对第二密钥加密得到,在这种情况下,发送方还需要另行用发送方与服务端协商的密钥对第二密钥加密生成第二密钥第二密文,服务端通过对第二密钥第二密文解密得到第二密钥,并用第二密钥来验证第一接收方对第二密钥第一密文解密后返回给服务端的验证数据是否正确。或者,例如,第二密钥第一密文也可以通过用第一接收方公钥对第一校验数和第一密钥加密得到,在这种情况下,数据分发请求中还需要包括第一校验数以及用发送方与服务端协商的密钥对第二密钥加密生成第二密钥第二密文,验证方式与前一示例类似。
上述关于第一密钥或第二密钥是发送方为第一接收方生成的不为第一接收方所知的密钥时的处理方式的实施例可以单独实施,也可以组合实施,包括:第一密钥为发送方为第一接收方生成的不为第一接收方所知的密钥,第二密钥为第一接收方公钥或发送方与第一接收方协商的对称密钥;第一密钥是第一接收方公钥或发送方与第一接收方协商的对称密钥,第二密钥为发送方为第一接收方生成的不为第一接收方所知的密钥;第一密钥和第二密钥均为发送方为第一接收方生成的不为第一接收方所知的密钥。
图2为本发明的数据转发方法的一个实施例的示意性流程图,本发明实施例的数据转发方法应用于服务端。
如图2所示,本发明实施例的数据转发方法包括:
S220、从发送方接收到至少包括第一接收方标识和第一子数据第一密文的数据分发请求时,向发送方返回第一记录标识;
S221、将第一记录标识与至少第一子数据第一密文关联存储,并将第一接收方标识至少与第一记录标识关联存储;
S222、从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,基于所述数据接收请求中的第一接收方标识和第一记录标识,将第一子数据第二密文发送给第一接收方。
本发明实施例中,第一子数据第一密文通过用第二密钥对从经第一密钥对数据加密得到的第一数据密文中抽取的第一子数据加密得到,对第二数据密文解密所必须的第一子数据保存在服务端,第一接收方得到第二数据密文后不能直接解密,而是必须先从服务端获得第一子数据。
发送方向服务端发送数据分发请求时,至少将第一子数据第一密文以及第一接收方标识携带在数据分发请求中,并将第二数据密文和服务端返回的第一记录标识发送给第一接收方,其中,第一接收方标识用于使服务端识别第一接收方。
服务端在从发送方接收到数据分发请求时,从数据分发请求中提取第一子数据第一密文和第一接收方标识,为该数据分发请求相应地分配第一记录标识,将第一记录标识和与数据密文的解密相关的第一子数据第一密文关联存储为单独的数据分发记录,并为第一接收方标识单独创建一个转发记录,将第一记录标识和第一接收方标识等与第一接收方相关的数据存储在这个转发记录中,并将第一记录标识返回给发送方客户端。
第一接收方收到第二数据密文和第一记录标识后,向服务端发送第一记录标识和第一接收方标识以请求至少获得第一子数据第一密文。服务端基于从第一接收方接收的包括第一接收方标识和第一记录标识的数据获取请求,将第一子数据的明文或密文返回给第一接收方,或者在对第一接收方进行验证通过后将第一子数据的明文或密文返回给第一接收方。
在本发明一些实施例中,服务端在从第一接收方接收到包括第一接收方标识和第一记录标识的数据获取请求时,可以直接将由发送方生成的第一子数据第一密文发送给第一接收方,第一接收方可使用已有密钥对第一子数据第一密文解密得到第一子数据,例如当第二密钥为第一接收方公钥或发送方与第一接收方协商的对称密钥时。
第一接收方接收到第一子数据或接收到第一子数据密文并解密得到第一子数据后,用第一子数据替换第二数据密文中的预定部分得到第一数据密文,再用第一密钥或与第一密钥对应的密钥对第一数据密文解密得到数据明文。
在本发明实施例中,通过将对第一数据密文进行处理得到的第二数据密文发送给第一接收方,并将解密第二数据密文所必须的第一子数据的密文存储在服务端,使得第一接收方得到的密文数据中包含噪音,必须从服务端获得第一子数据才能解密数据密文,能够有效地防止暴力破解,提高数据密文的安全性。
在本发明一个实施例中,发送方发送给服务端的数据分发请求中可以包括第一接收方标识、第一子数据第一密文、第一接收方公钥、第一密钥、第一校验数和第一密钥第一密文,其中第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密生成,可用于服务端对第一接收方进行验证。服务端从从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,可以使用第一密钥第一密文对第一接收方进行第一验证,当对第一接收方进行第一验证通过时,可以将第一密钥和第一子数据的明文或密文用第一接收方公钥加密后发送给第一接收方。
在本发明另一个实施例中,发送方发送给服务端的数据分发请求中可以包括第一接收方标识、第一子数据第一密文、第一接收方公钥、第二密钥第一密文,其中,第二密钥第一密文可供服务端用于对第一接收方进行第二验证。第二密钥第一密文的生成方式以及服务端用第二密钥第一密文对第一接收方进行第二验证的过程可参见前述相应实施例,在此省略具体说明。当对第一接收方进行第二验证通过时,服务端可用第二密钥对第一子数据第一密文解密得到第一子数据,并用第一接收方公钥对第一子数据加密得到第一子数据第二密文返回给第一接收方。
图3为本发明的数据转发方法的一个实施例的示意性流程图,本发明实施例应用于接收方客户端。
如图3所示,本发明实施例的数据转发方法包括:
S230、从数据发送方接收到第二数据密文和第一记录标识时,向服务端发送包括第一接收方标识和第一记录标识的数据接收请求;
S231、从服务端获得服务端基于数据接收请求中的第一接收方标识和第一记录标识而返回的第一子数据,用第一子数据替换第二数据密文中的预定部分得到第一数据密文,并用第一密钥对第一数据密文解密得到数据明文。
在本发明实施例中,第一子数据第一密文通过用第二密钥对从经第一密钥对数据加密得到的第一数据密文中抽取的第一子数据加密得到,对第二数据密文解密所必须的第一子数据保存在服务端。
发送将至少包括第一子数据第一密文以及第一接收方标识的数据分发请求发送至服务端,并将服务端返回的第一记录标识和第二数据密文发送给第一接收方。第一接收方收到第二数据密文和第一记录标识后,向服务端发送第一记录标识和第一接收方标识以请求至少获得第一子数据第一密文。服务端基于该数据获取请求,将第一子数据的明文或密文返回给第一接收方。
第一接收方接收到第一子数据或接收到第一子数据密文并解密得到第一子数据后,用第一子数据替换第二数据密文中的预定部分得到第一数据密文,再用第一密钥或与第一密钥对应的密钥对第一数据密文解密得到数据明文。
在本发明实施例中,通过将对第一数据密文进行处理得到的第二数据密文发送给第一接收方,并将解密第二数据密文所必须的第一子数据的密文存储在服务端,使得第一接收方得到的密文数据中包含噪音,必须从服务端获得第一子数据才能解密数据密文,能够有效地防止暴力破解,提高数据密文的安全性。
在本发明一些实施例中,第一接收方需要在通过服务端的验证后才能从服务端获得第一子数据的明文或密文。服务端可以向第一接收方发送验证数据密文,第一接收方从服务端接收到的验证数据密文可以包括第一密钥第一密文和/或第二密钥第一密文,使用第一接收方私钥对验证数据密文进行解密处理,并将解密结果发送给服务端进行验证。第一密钥第一密文可以通过用第一接收方公钥对第一校验数和第一密钥加密生成;第二密钥第一密文可以通过用第一接收方公钥对第二密钥加密生成,或者通过用第一接收方公钥对第一校验数和第二密钥加密生成。
在本发明的上述任一实施例中,服务端在接收到发送方随数据分发请求发送的信息和数据时,可将这些信息和数据以其中的第一接收方标识为索引进行存储,并与所分配的第一记录标识关联存储。当发送方希望撤销针对第一接收方而请求服务端转发的相关数据时,发送方可以通过向服务端发送包括第一记录标识和第一接收方标识的数据分发撤销请求来请求服务端将第一接收方标识以及与第一接收方标识关联存储的信息删除。服务端在接收到发送方针对第一接收方而发送的包括第一记录标识和第一接收方标识的数据分发撤销请求时,可将包括第一接收方标识以及与第一接收方标识关联存储的信息的单独的转发记录删除。在服务端删除第一接收方标识及关联存储的信息后,第一接收方向服务端发送包括第一接收方标识的数据接收请求时,服务端将找不到第一接收方标识相关的转发记录,从而将不会响应于接收请求向第一接收方返回第一密钥等解密用数据,实现了发送方对已分发数据的及时撤销。同时,服务端将包括第一接收方标识以及与第一接收方标识关联存储的信息的单独的转发记录删除不影响包括第一记录标识及第二子密钥密文等的单独的数据分发记录,如发送方需要恢复针对第一接收方的数据分发,可向服务端发送包括第一接收方标识、第一子密钥第一密文、第一接收方公钥等信息和数据的数据重分发请求,服务端可重新将这些信息和数据存储为单独的转发记录,从而第一接收方能够从服务端获取解密所需数据。
本发明实施例还提供了一种数据分发/转发装置,可由包括处理器和存储器的终端设备来实现,处理器可以配置为运行存储器中所存储的预定的计算机指令来执行上述任一实施例中的应用于发送方客户端的数据分发/转发方法。
本发明实施例还提供了一种数据转发装置,可由包括处理器和存储器并用作服务器的终端设备来实现,处理器可以配置为运行存储器中所存储的预定的计算机指令来执行上述任一实施例中的应用于服务端的数据转发方法。
本发明实施例还提供了一种数据转发装置,可由包括处理器和存储器的终端设备来实现,处理器可以配置为运行存储器中所存储的预定的计算机指令来执行上述任一实施例中的应用于接收方客户端的数据转发方法。
由于本申请中不可能穷举所有的实施例,也不可能穷尽技术特征之间的所有组合方式,因此本发明不限于所提供的这些特定的实施例,本领域技术人员在本申请所公开实施例的基础上,完全能够在不脱离本发明精神和构思的情况下对这些实施例进行多种变型和修改,这些变型和修改的实施例均应落入本申请所要求保护的范围之内。

Claims (26)

1.一种数据分发方法,应用于发送方客户端,包括:
使用第一密钥对数据进行加密得到第一数据密文,从第一数据密文中抽取第一子数据,用第二密钥对第一子数据加密得到第一子数据第一密文;
用第二子数据替换第一数据密文中原第一子数据的位置,得到第二数据密文;
向服务端发送数据分发请求,所述数据分发请求中至少包括第一接收方标识和第一子数据第一密文;
从服务端接收返回的第一记录标识,并将所述第二数据密文和第一记录标识发送给第一接收方,以便第一接收方基于所述第一接收方标识和所述第一记录标识向服务端请求获得第一子数据的明文或密文,
其中,第一记录标识是服务端为所述数据分发请求分配的,第一记录标识在服务端与至少第一子数据第一密文关联存储,并且第一接收方标识在服务端至少与第一记录标识关联存储。
2.如权利要求1所述的方法,其中,所述数据分发请求中还包括第一接收方公钥、第一密钥、第一校验数和第一密钥第一密文,所述第一密钥第一密文用于对第一接收方进行验证,所述第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密得到。
3.如权利要求1所述的方法,其中,所述数据分发请求中还包括第一接收方公钥和第二密钥第一密文,所述第二密钥第一密文用于对第一接收方进行验证。
4.如权利要求2所述的方法,其中,所述数据分发请求中还包括第一接收方公钥和第二密钥第一密文,所述第二密钥第一密文用于对第一接收方进行验证。
5.如权利要求3所述的方法,其中,所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密得到。
6.如权利要求4所述的方法,其中,所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密得到。
7.如权利要求3所述的方法,其中,所述数据分发请求中还包括第一校验数和第二密钥,所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密得到。
8.如权利要求4所述的方法,其中,所述数据分发请求中还包括第一校验数和第二密钥,所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密得到。
9.如权利要求1-8中任一项所述的方法,还包括:
向服务端发送包括第一记录标识和第一接收方标识的数据分发撤销请求,以便服务端将第一接收方标识以及与第一接收方标识关联存储的信息删除。
10.一种数据分发装置,包括处理器,其特征在于,所述处理器运行预定的计算机指令以执行如权利要求1-9中任一项所述的数据分发方法。
11.一种数据转发方法,应用于服务端,包括:
从发送方接收到至少包括第一接收方标识和第一子数据第一密文的数据分发请求时,向发送方返回第一记录标识,所述第一子数据第一密文通过用第二密钥对从经第一密钥对数据加密得到的第一数据密文中抽取的第一子数据加密得到;
为所述数据分发请求分配第一记录标识,将第一记录标识与至少第一子数据第一密文关联存储,并将第一接收方标识至少与第一记录标识关联存储;
从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,基于所述数据接收请求中的第一接收方标识和第一记录标识,将第一子数据的明文或密文发送给第一接收方。
12.如权利要求11所述的方法,其中,
所述数据分发请求中还包括第一接收方公钥、第一密钥、第一校验数和第一密钥第一密文,所述第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密生成,
所述方法还包括:从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,用所述第一密钥第一密文对所述第一接收方进行第一验证,当对第一接收方进行第一验证通过时,还将第一密钥用第一接收方公钥加密后发送给第一接收方。
13.如权利要求11所述的方法,其中,
所述数据分发请求中还包括第一接收方公钥和第二密钥第一密文,
所述方法还包括:从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,用所述第二密钥第一密文对所述第一接收方进行第二验证,
当对第一接收方进行第二验证通过时,用所述第二密钥对第一子数据第一密文解密得到第一子数据,并用第一接收方公钥对第一子数据加密得到所述第一子数据第二密文。
14.如权利要求12所述的方法,其中,
所述数据分发请求中还包括第一接收方公钥和第二密钥第一密文,
所述方法还包括:从第一接收方收到包括第一接收方标识和第一记录标识的数据接收请求时,用所述第二密钥第一密文对所述第一接收方进行第二验证,
当对第一接收方进行第二验证通过时,用所述第二密钥对第一子数据第一密文解密得到第一子数据,并用第一接收方公钥对第一子数据加密得到所述第一子数据第二密文。
15.如权利要求13所述的方法,其中,所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密生成。
16.如权利要求14所述的方法,其中,所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密生成。
17.如权利要求13所述的方法,其中,所述数据分发请求中还包括第一校验数和第二密钥,所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密生成。
18.如权利要求14所述的方法,其中,所述数据分发请求中还包括第一校验数和第二密钥,所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密生成。
19.如权利要求11-18中任一项所述的方法,还包括:
接收到包括第一记录标识和第一接收方标识的数据分发撤销请求时,将第一接收方标识以及与第一接收方标识关联存储的信息删除。
20.一种数据转发装置,包括处理器,其特征在于,所述处理器运行预定的计算机指令以执行如权利要求11-19中任一项所述的数据转发方法。
21.一种数据转发方法,应用于接收方客户端,包括:
从数据发送方接收到第二数据密文和第一记录标识时,向服务端发送包括第一接收方标识和第一记录标识的数据接收请求;
从服务端获得服务端基于所述数据接收请求中的第一接收方标识和第一记录标识而返回的第一子数据,用第一子数据替换第二数据密文中的预定部分得到第一数据密文,并用第一密钥对第一数据密文解密得到数据明文。
22.如权利要求21所述的方法,还包括;
从服务端接收到用于对第一接收方进行验证的验证数据密文时,使用第一接收方私钥对验证数据密文进行解密处理,并将解密结果发送给服务端,
所述验证数据密文包括第一密钥第一密文,所述第一密钥第一密文通过用第一接收方公钥对第一校验数和第一密钥加密生成。
23.如权利要求22所述的方法,其中,
所述验证数据密文还包括第二密钥第一密文,第二密钥为服务端用来将第一子数据密文解密为所述第一子数据的密钥。
24.如权利要求23所述的方法,其中,
所述第二密钥第一密文通过用第一接收方公钥对第二密钥加密生成。
25.如权利要求23所述的方法,其中,
所述第二密钥第一密文通过用第一接收方公钥对第一校验数和第二密钥加密生成。
26.一种数据转发装置,包括处理器,其特征在于,所述处理器运行预定的计算机指令以执行如权利要求21-25中任一项所述的数据转发方法。
CN201810097278.3A 2018-01-31 2018-01-31 一种数据分发、转发方法及装置 Active CN108243198B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810097278.3A CN108243198B (zh) 2018-01-31 2018-01-31 一种数据分发、转发方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810097278.3A CN108243198B (zh) 2018-01-31 2018-01-31 一种数据分发、转发方法及装置

Publications (2)

Publication Number Publication Date
CN108243198A CN108243198A (zh) 2018-07-03
CN108243198B true CN108243198B (zh) 2019-02-15

Family

ID=62699718

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810097278.3A Active CN108243198B (zh) 2018-01-31 2018-01-31 一种数据分发、转发方法及装置

Country Status (1)

Country Link
CN (1) CN108243198B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451257B (zh) * 2023-04-18 2024-01-02 北京白龙马云行科技有限公司 一种数据库数据的加密方法、系统、电子设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1887729A3 (en) * 2006-03-21 2011-07-13 Irdeto Access B.V. Method of providing an encrypted data stream
TWI375447B (en) * 2008-06-27 2012-10-21 Ind Tech Res Inst Multi-layer encryption and decryption system and method thereof
CN102333042A (zh) * 2011-10-31 2012-01-25 深信服网络科技(深圳)有限公司 一种防止数据泄密的方法、安全网关及系统
CN103701592B (zh) * 2013-12-18 2016-08-17 上海普华诚信软件技术有限公司 数据截取和加解密的方法及系统
CN103853943B (zh) * 2014-02-18 2017-01-18 广州爱九游信息技术有限公司 程序保护方法及装置

Also Published As

Publication number Publication date
CN108243198A (zh) 2018-07-03

Similar Documents

Publication Publication Date Title
US11461487B2 (en) Method for strongly encrypting .ZIP files
CN113067699B (zh) 基于量子密钥的数据共享方法、装置和计算机设备
JP5204090B2 (ja) 通信ネットワーク、電子メール登録サーバ、ネットワーク装置、方法、およびコンピュータプログラム
US7725716B2 (en) Methods and systems for encrypting, transmitting, and storing electronic information and files
CN107948736A (zh) 一种音视频证据保全方法及系统
US20080031458A1 (en) System, methods, and apparatus for simplified encryption
CN109981255B (zh) 密钥池的更新方法和系统
CN108243197B (zh) 一种数据分发、转发方法及装置
CN105812366B (zh) 服务器、反爬虫系统和反爬虫验证方法
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN105025019A (zh) 一种数据安全分享方法
CN108200085B (zh) 一种数据分发、转发方法及装置
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
US11997075B1 (en) Signcrypted envelope message
KR20220039779A (ko) 강화된 보안 암호화 및 복호화 시스템
CN111970114A (zh) 文件加密方法、系统、服务器和存储介质
JP2000347566A (ja) コンテンツ管理装置、コンテンツ利用者端末及びプログラムを記録したコンピュータ読み取り可能な記録媒体
Sujithra et al. ID based adaptive-key signcryption for data security in cloud environment
CN116709325B (zh) 一种基于高速加密算法的移动设备安全认证方法
CN108243198B (zh) 一种数据分发、转发方法及装置
CN115001871A (zh) 基于区块链技术的文件加密共享的方法和系统
CN108306880B (zh) 一种数据分发、转发方法及装置
CN108366054B (zh) 一种数据分发、转发方法及装置
JP3725020B2 (ja) 電子データの内容証明方法及びそのシステム
JP6167598B2 (ja) 情報処理装置、情報処理方法、および、コンピュータ・プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee after: Beijing Shendun Technology Co.,Ltd.

Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder