CN109962784B - 一种基于数字信封多证书的数据加解密及恢复方法 - Google Patents
一种基于数字信封多证书的数据加解密及恢复方法 Download PDFInfo
- Publication number
- CN109962784B CN109962784B CN201910222630.6A CN201910222630A CN109962784B CN 109962784 B CN109962784 B CN 109962784B CN 201910222630 A CN201910222630 A CN 201910222630A CN 109962784 B CN109962784 B CN 109962784B
- Authority
- CN
- China
- Prior art keywords
- certificate
- user
- ciphertext
- key
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于数字信封多证书的数据加解密方法,在申请软证书的过程中,用户移动端的密钥对在本地生成,然后将公钥发送至CA服务器进行签名,生成数字证书;相比借助于CA服务器生成密钥对然后通过网络传输给用户的方式,本发明中的私钥不需要经过网络传输,保证了用户私钥的安全性,采用一个用户多张证书,管理在一个证书管理服务器,在证书管理服务器中,一个用户账号下集中存储了其所有数字证书,方便管理,当进行通信时,现有技术需要多次向CA查询证书,而由于同时可能存在多个CA,操作复杂,效率不高,而通过本发明的证书管理服务器,根据用户的账号可以一次获取用户的所有数字证书,效率高,减轻了系统通讯和处理负担。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种基于数字信封多证书的数据加解密及恢复方法,可用于保护用户数据的安全。
背景技术
即时通讯是目前Internet上最流行的通讯方式之一,其实时、便捷、高效的特点吸引了广大用户,经常是人们进行网上交流和沟通的首选途径。但是,普通的即时通讯软件以明文或者简单加密的方式在网络中进行消息传递,很容易被他人将数据截获,窃取或者篡改其中的通讯信息,存在很大的安全隐患。为此,保密通讯软件应运而生,它通常采用信息加密技术,发送方在发送信息之前对其进行加密,生成密文数据进行传输,接收方收到密文数据之后再进行解密,从而有效地保障通讯信息的安全性,保护用户的信息不被窃取或篡改。
目前,信息加密技术主要分为对称加密机制和非对称加密机制两种,大部分的保密通讯软件采用对称加密机制。在对称加密机制中,信息的加密和解密使用的是相同的密钥。通讯时,发送方对明文消息用对称密钥经过加密算法处理获得密文,然后发送;接收方收到密文后使用相同的对称密钥进行加密算法的逆算法解密处理从而获得明文。对称加密算法计算量小,速度快,但存在密钥的管理和分发困难,安全性不足等问题。在数据传送前,发送方和接收方必须商定好密钥,然后双方都必须要保存好密钥,如果一方的密钥被泄露,那么加密信息就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一密钥,这会使得收发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。同时,对称加密算法没有签名功能,不能验证消息发送者的身份。相比较而言,在非对称加密机制中,每个用户都拥有一对密钥,即公钥和私钥,通讯时发送方用对方的公钥对明文消息加密,接收方使用自己的私钥对接收到的密文解密,还原出明文信息。用户的公钥是公开的,私钥是保密的,只有私钥所有者才可以解开密文。非对称加密算法的安全性依赖于算法和密钥,其算法复杂,强度高,私钥是保密的,保证了安全性。同时,非对称加密机制可以验证用户的身份,防止假冒和抵赖,更适合即时保密通信。但是非对称加密机制一般由于算法复杂等原因,其加解密速度较慢,对大量的数据进行加解密时效率较低。
数字信封是一种综合利用了对称加密机制和非对称加密机制两者优点进行信息安全传输的技术。数字信封主要包括两个部分,使用对称密钥(又称为会话密钥)加密的数据密文和使用非对称密钥加密的会话密钥密文。数据内容一般体量较大,使用对称加密机制可以提升加解密速度,使用非对称加密机制加密会话密钥可以使得密钥的分发更灵活。接收方收到数字信封之后,先用自己的私钥解密会话密钥密文,获得用来加密数据内容的会话密钥,然后使用会话密钥解密数据密文获得明文数据内容。对称加密机制速度快,但密钥的管理和分发不灵活,非对称加密机制密钥的管理和分发灵活,但速度较慢,数字信封则综合了两者的优点,同时具有加解密速度快与密钥的管理和分发灵活的特点。数字信封可以实现一次一密,具有很高的安全性。
但是,标准的数字信封存在一些固有的不足,例如,当同一个用户需要在多个设备登录,持有多个证书时需要生成多个数字信封分别进行数据的发送,提出了更多的网络带宽需求;并且,当用户的密钥丢失或者损坏之后,很难进行用户数据的恢复。
依据国家密码行业标准“基于SM2密码算法的证书认证系统密码及其相关安全技术规范(GM/T 0034-2014)”,用户向CA服务器申请数字证书时,CA服务器会给用户同时颁发签名证书和加密证书。签名证书用于用户身份的鉴别,而加密证书用于数据通信。在现有的信息系统中,数字证书传递方式主要包括硬证书传递和软证书传递两种类型。在使用硬证书传递方式时,用户需要使用相关的硬件介质(例如USB Key),到CA中心进行身份认证,然后由CA签发证书(包括签名证书和加密证书),并将证书及其对应的私钥存入硬件介质中。虽然硬证书安全性高,但是用户在使用时需要随身携带硬件介质,使用不够方便,用户体验欠佳。在使用软证书传递方式时,用户通常首先在本地生成一个签名密钥对,即签名公钥和签名私钥,然后将签名公钥发送到CA服务器进行签名,生成签名证书;同时CA服务器生成一个加密密钥对,即加密公钥和加密私钥,并对用户信息和加密公钥进行签名,生成加密证书;最后CA将加密证书和使用签名证书加密的加密私钥发送给用户。虽然软证书传递方式不需要借助额外的硬件介质,使用便捷,用户体验好,但是它将私钥(即加密私钥)通过网络传输给用户,存在安全隐患。
发明内容
本发明的目的在于提供一种基于数字信封多证书的数据加解密及恢复方法,以克服现有技术的不足。
为达到上述目的,本发明采用如下技术方案:
一种基于数字信封多证书的数据加解密方法,包括以下步骤:
数字证书生成:利用移动端生成公私钥对,将公钥发送给CA服务器,通过CA服务器对公钥进行签名,生成数字证书,并将CA根证书及数字证书发送至移动端;
数据发送加密:发送方获取接收方数字证书并进行验证,验证不通过则退出数据发送,验证通过后发送方随机生成一个会话密钥S1,发送方利用会话密钥S1通过对称加密算法对要发送的数据进行加密操作,获得相对应的密文M1;同时发送方利用接收方的每一个数字证书中的公钥通过非对称加密算法依次对会话密钥S1进行加密,并将结果串接在一起,获得密文M2;同时发送方使用CA根证书中的公钥对接收方用户账号和会话密钥S1进行加密,获得密文M3;发送方获取接收方用户帐号和会话密钥S1联合字符串的Hash值H1;发送方将对称加密算法类型信息、非对称加密算法类型信息、以及密文M2、密文M3和Hash值H1组合成一个字符串形成头部H;发送方将头部H和密文M1组合形成数字信封,发送给接收方的移动端和PC端;
数据接收解密:接收方获取数字信封后进行解析头部H和密文M1信息,接收方解析头部H获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;从密文M2中提取设备对应的会话密钥密文M4;根据解析获得的非对称加密算法类型信息,使用接收方对应设备的私钥对M4进行解密,获得会话密钥S1;根据解析获得的对称加密算法类型信息,使用会话密钥S1对密文M1进行解密,从而获得明文数据。
进一步的,所生成的数字证书包括移动端证书和PC端证书。
进一步的,CA服务器根据用户信息同时为用户生成一个PC端公私钥对,并对其中的公钥进行签名,生成即为PC端证书,对应的私钥为PC端私钥。
进一步的,CA服务器将用户的移动端证书、PC端证书发送到证书管理服务器,证书管理服务器接收之后,通过用户的手机号对两张证书进行关联,并存储在数据库中;CA服务器将用户的移动端证书、PC端证书和CA根证书发送给用户移动端;CA服务器将PC端私钥和PC端证书导入硬证书介质并发给用户。
进一步的,硬证书介质是指存放数字证书的载体,包括硬盘、软盘、智能卡和USBKey。
进一步的,用户的数字证书在证书管理服务器中通过用户手机号进行关联存储,发送方根据接收方的手机号获取接收方所有的数字证书,发送方对获取的接收方数字证书进行验证,数字证书验证包括可信性验证/合法性验证、完整性验证以及有效性验证,在对数字证书进行验证时,只要其中任何一项验证存在问题,就会返回验证不通过。
一种基于数字信封多证书的加密数据的数据恢复方法,
当用户的移动端和PC端中的一端密钥完好,而另一端的密钥丢失或损坏时,用户通过登录密钥完好的一端自行完成数据恢复;当用户移动端和PC端的密钥同时丢失或损坏时,用户向CA服务器申请,由CA服务器协助其完成数据恢复。
进一步的,当用户的移动端和PC端中的一端密钥完好,而另一端的密钥丢失或损坏时,用户通过登录密钥完好的一端自行完成数据恢复,具体包括以下步骤:
(1.1)当用户移动端的密钥丢失或者损坏,而PC端硬证书介质完好时,跳转到步骤(1.2);否则,当用户PC端硬证书介质丢失或者损坏,而移动端的密钥完好时,跳转到步骤(1.8);
(1.2)用户在PC端插入硬证书介质,通过PC端软件登录系统;
(1.3)PC端选择需要进行数据恢复的数字信封,解析该数字信封,获得头部H和密文M1信息;
(1.4)PC端解析数字信封头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(1.5)PC端从密文M2中提取用PC端证书加密的会话密钥密文M4;
(1.6)根据步骤(1.4)解析获得的非对称加密算法类型信息,使用PC端私钥对M4进行解密,获得会话密钥S1;
(1.7)根据步骤(1.4)解析获得的对称加密算法类型信息使用会话密钥S1对密文M1进行解密,获得明文数据,用户自行数据恢复步骤结束;
(1.8)用户通过移动端软件登录系统;
(1.9)移动端选择需要进行数据恢复的数字信封,解析该数字信封,获得头部信息H和密文信息M1;
(1.10)移动端解析数字信封头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(1.11)移动端从M2中提取用移动端证书加密的会话密钥密文M5;
(1.12)根据步骤(1.10)解析获得的非对称加密算法类型信息,使用移动端私钥对M5进行解密,获得会话密钥S1;
(1.13)根据步骤(1.10)解析获得的对称加密算法类型信息,使用会话密钥S1对密文M1进行解密,获得明文数据,用户自行数据恢复步骤结束。
进一步的,当用户移动端和PC端的密钥同时丢失或损坏时,用户向CA服务器申请,由CA服务器协助其完成数据恢复,步骤如下:
(2.1)用户启动手机移动客户端登录软件;
(2.2)移动端后台生成一个公私钥对,将公钥发送给远程CA服务器,请求CA服务器对公钥进行签名,生成数字证书;
(2.3)CA服务器根据用户信息同时为用户生成一个PC端公私钥对,并对其中的公钥进行签名,生成PC端证书C1,对应的私钥为PC端私钥;
(2.4)CA服务器将用户的移动端证书、PC端证书发送到证书管理服务器,证书管理服务器接收之后,通过用户的手机号对两张证书进行关联,并更新存储在数据库中的信息;
(2.5)CA服务器将用户的移动端证书、PC端证书、CA根证书发送给用户移动端;
(2.6)CA服务器将PC端私钥和PC端证书导入硬证书介质并发给用户;
(2.7)用户通过移动端向CA服务器上传需要进行数据恢复的数字信封;
(2.8)CA服务器解析上传的数字信封,获得头部H和密文M1;
(2.9)CA服务器解析头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(2.10)根据步骤(2.9)解析得到的非对称加密算法类型信息,CA服务器使用自己的私钥对M3解密,获得接收方用户账号和会话密钥S1;
(2.11)CA计算用户账号和会话密钥S1联合字符串的Hash值,获得Hash值H2,并比较H1和H2,如果不相同则提示数据非用户本人所有或被篡改,并退出数据恢复步骤;
(2.12)根据步骤(2.9)解析得到的对称加密算法类型信息,CA调用相应的算法,并使用会话密钥S1解密密文M1,获得明文数据;
(2.13)CA随机生成一个会话密钥S2,选择一种对称加密算法并使用会话密钥S2对明文数据进行加密,获得密文M6;
(2.14)CA选择一种非对称加密算法,使用给用户移动端新签发的数字证书C1对会话密钥S2进行加密,获得会话密钥密文M7;
(2.15)CA将对称加密算法类型信息、非对称加密算法类型信息、会话密钥密文M7组合成一个字符串,形成头部H2;
(2.16)CA将头部H2和密文M6组合,形成数字信封,发送给用户手机移动端;
(2.17)用户移动端接收数字信封并对其进行解析,获得头部H2和密文M6;
(2.18)用户移动端解析头部H2,获得对称加密算法类型信息、非对称加密算法类型信息、会话密钥密文M7;
(2.19)用户移动端根据步骤(2.18)解析获得的非对称加密算法类型信息,调用相应的算法,使用自己的私钥对M7解密,获得会话密钥S2;
(2.20)用户移动端根据步骤(2.18)解析获得的对称加密算法类型信息,调用相应的算法,使用会话密钥S2对密文M6进行解密,获得明文数据。
进一步的,用户启动手机移动客户端登录软件向CA服务器请求恢复数据时需要进行验证,具体包括以下步骤:
a)用户输入手机号,向业务服务器发送获取短信验证码请求,用户在收到短信验证码之后,输入短信验证码,并发送验证请求,验证不通过则提示验证码无效,重复步骤a);否则进入步骤b);
b)用户使用手机进行身份证扫描,获取用户的身份信息;
c)用户使用手机进行人脸识别,联网将用户的身份信息和人脸信息一起发送到网上数据库进行信息比对,信息比对不通过则提示身份认证失败,重复步骤c),信息对比通过则进入下一步。
与现有技术相比,本发明具有以下有益的技术效果:
本发明一种基于数字信封多证书的数据加解密方法,在申请软证书的过程中,用户移动端的密钥对在本地生成,然后将公钥发送至CA服务器进行签名,生成数字证书;相比借助于CA服务器生成密钥对然后通过网络传输给用户的方式,本发明中的私钥不需要经过网络传输,保证了用户私钥的安全性。
本发明支持一个用户多张证书,移动端和PC端证书不同,并且为了方便管理,设计了一个证书管理服务器,在证书管理服务器中,一个用户账号下集中存储了其所有数字证书,方便管理。当进行通信时,现有技术需要多次向CA查询证书,而由于同时可能存在多个CA,操作复杂,效率不高,还可能存在数字证书获取不全的情况,而通过本发明的证书管理服务器,根据用户的账号可以一次获取用户的所有数字证书,效率高,减轻了系统通讯和处理负担。
本发明通过对数字信封进行改装,加入了CA根证书加密后的会话密钥数据,可以在极端情况下有效方便的恢复用户数据。现有的相关数据恢复技术主要有两种,一种是通过使用保存在CA服务器中用户的私钥进行数据恢复。采用这种方法,如果将用户的私钥在网络中传输存在安全风险;而如果用户亲自去CA中心提交申请,然后审批通过再进行数据恢复,流程繁琐,所需时间较长,很不方便。另一种技术是在加密过程中使用加密机生成对应的恢复密钥对,当用户需要恢复数据时,通过保存在加密机中的恢复密钥对进行数据恢复;这种方式需要对加密机中的恢复密钥对进行维护,成本较高。本发明通过一套身份验证流程,有效解决了这个问题。借助于CA服务器,用户只需要通过联网即可实现数据的安全恢复和自动化处理,提升了数据恢复速率,有效节约了用户时间和人工成本,在技术和管理上也保证了整个数据恢复流程的高效性和安全性。
用户向CA服务器申请恢复数据时,本发明增加了身份识别流程。在用户提交了恢复数据申请之后需要进行身份识别,包括短信验证、生物识别等,验证通过后才能上传需要恢复的数据。而为了防止数据被盗用和篡改,在本发明中,CA服务器通过对接收方账号和会话密钥明文联合字符串计算Hash值确保数据没有被盗用和篡改。全部验证通过后,CA会把解密后的数据用移动端新签名后的证书加密传输给用户,完成数据恢复,从而确保了安全性。
附图说明
图1是本发明的总体结构图。
图2是本发明的新数字信封结构图。
图3是本发明的用户首次登陆与开户流程图。
图4是本发明的数据发送流程图。
图5是本发明的数据接收流程图。
图6是本发明的用户自行数据恢复流程图。
图7是本发明的用户向CA申请数据恢复流程图。
具体实施方式
下面结合附图对本发明做进一步详细描述:
本发明的目的在于针对上述现有技术中的问题,提供一种基于数字信封多证书的数据加解密及恢复方法,解决用户在使用软证书传递方式时将私钥通过网络传输给用户而存在安全风险,以及用户密钥损坏或丢失后数据恢复难度大,恢复流程繁琐,时间长等问题。
总体结构图如图1所示,本发明基于数字信封多证书实现数据加解密及恢复方法,基于用户、CA服务器、证书管理服务器和业务服务器之间的数据传输,其中业务服务器接收并处理用户登录认证请求,由业务服务器转发给证书管理服务器,证书管理服务器和多个CA服务器相连接,可以根据用户的需求与多个CA服务器进行交互,并将用户请求发送到对应的CA服务器完成用户的请求,同时证书管理服务器根据用户账号存储了用户所有的数字证书,方便查询和获取,提升效率。
新数字信封结构图如图2所示,本发明基于数字信封多证书实现数据加解密及恢复方法,对数字信封进行了改装,在数字信封头部中加入了由用户各个数字证书加密的会话密钥密文和CA根证书加密的会话密钥密文,实现了用户自行恢复数据和极端情况下向CA申请恢复数据的功能。CA根证书加密的会话密钥密文中的Hash值由用户账号信息和会话密钥联合字符串计算获得,用于在CA恢复数据时确保会话密钥密文没有被篡改,保证数据恢复申请为用户本人操作。
本发明具体包括如下步骤:
1.用户首次登录与开户步骤
用户首次登录与开户流程如图3所示。
(1.1)用户启动手机移动客户端登录软件;
(1.2)用户输入手机号,向业务服务器发送获取短信验证码请求,用户在收到短信验证码之后,输入短信验证码,并发送验证请求,验证不通过则提示验证码无效,重复步骤(1.2);否则进入步骤(1.3);
短信验证码由业务服务器在接收到用户获取短信验证码请求之后随机生成并根据用户手机号进行存储管理,在存储时加入短信验证码生成时间,规定短信验证码有效时间为30分钟,同时业务服务器通过调用短信服务平台的API将验证码以短信形式发送给用户。
业务服务器在验证短信验证码时,根据用户手机号比对输入的验证码和业务服务器存储的验证码是否相同,如果不相同,返回验证码无效;如果相同,则判断短信验证码是否是30分钟之内生成的(由当前时间和验证码生成时间计算判断得出),如果短信验证码是30分钟之内生成的,则返回验证通过,否则返回验证码无效。
(1.3)用户使用手机进行身份证扫描,获取用户的身份信息;
(1.4)用户使用手机进行人脸识别,联网将用户的身份信息和人脸信息一起发送到网上数据库进行信息比对,信息比对不通过则提示身份认证失败,重复步骤(1.4);否则进入步骤(1.5);
网上数据库可以选择连接公安部门的网上数据库,其中包含了用户的一系列身份信息,可用于确定用户身份的真实性。移动端系统通过使用后置摄像头采集用户身份证中的身份信息,使用前置摄像头采集用户的人脸信息并进行人脸活体检测。移动端系统通过一系列识别操作来确认用户的身份,确保操作者为用户本人。
(1.5)移动端后台生成一个公私钥对,将公钥发送给远程CA服务器,请求CA服务器对公钥进行签名,生成数字证书;
公私钥对通过使用KeyPairGenerator类执行generateKeyPair()方法生成,数字证书由CA服务器根据用户的相关信息和公钥使用RAClient类执行applycert()方法生成;KeyPairGenerator类和RAClient类均由java自带jdk提供。
(1.6)CA服务器根据用户信息同时为用户生成一个PC端公私钥对,并对其中的公钥进行签名,生成数字证书,即为PC端证书,对应的私钥为PC端私钥;
(1.7)CA服务器将用户的移动端证书、PC端证书发送到证书管理服务器,证书管理服务器接收之后,通过用户的手机号对两张证书进行关联,并存储在数据库中;
(1.8)CA服务器将用户的移动端证书、PC端证书、CA根证书发送给用户移动端;CA根证书用于验证数字证书是不是由指定的CA服务器签发,CA根证书由CA服务器生成;
(1.9)CA服务器将PC端私钥和PC端证书导入硬证书介质并发给用户。
硬证书介质是指存放数字证书的载体,包括硬盘、软盘、智能卡和USB Key,不同的介质具有不同的特点,如硬盘虽然访问速度快,但是便捷性和安全性不高;而智能卡虽然安全性高,但是速度较慢,而且需要具备读卡器。结合各种介质的特点,专门用于存储秘密信息的USB Key携带方便,速度较快,同时由于自身的硬件结构保证了保存在其中的数字证书无法被复制,从而使USB Key成为了数字证书的最佳载体。
2.数据发送步骤
用户数据发送流程如图4所示,步骤如下:
(2.1)发送方向证书管理服务器发送请求,获取数据接收方的所有数字证书(包括移动端和PC端);
用户的数字证书在证书管理服务器中通过用户手机号进行关联存储,发送方根据接收方的手机号可以获取接收方所有的数字证书。
(2.2)发送方对获取的接收方数字证书进行验证,验证不通过则退出数据发送步骤;
数字证书验证包括可信性验证/合法性验证、完整性验证以及有效性验证,在对数字证书进行验证时,只要其中任何一项验证存在问题,就会返回验证不通过;
(2.3)发送方随机生成一个会话密钥(即对称密钥)S1,选取DES对称加密算法并使用会话密钥S1对要发送的数据进行加密操作,获得相对应的密文M1;
(2.4)发送方选择RSA非对称加密算法,使用接收方的每一个数字证书中的公钥依次对会话密钥S1进行加密,并将加密后的结果串接在一起,获得密文M2;
(2.5)发送方使用CA根证书中的公钥对接收方用户账号和会话密钥S1进行加密,获得密文M3;
(2.6)发送方计算接收方用户帐号和会话密钥S1联合字符串的Hash值,获得Hash值H1;
(2.7)发送方将对称加密算法类型信息、非对称加密算法类型信息、以及密文M2、密文M3和Hash值H1组合成一个字符串,形成头部H;
(2.8)发送方将头部H和密文M1组合形成数字信封,发送给接收方的移动端和PC端。
3.数据接收步骤
在数据接收时,用户有移动端接收和PC端接收两种方式,两种方式的整体流程具体的数据接收流程如图5所示,步骤如下:
(3.1)接收方的任何一个设备(移动端或者PC端)收到数字信封后,解析数字信封,获得头部信息H和密文信息M1;
(3.2)接收方解析头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(3.3)根据接收方使用的登录设备类型,从M2中提取对应的会话密钥密文M4;
因为使用数字证书加密生成的密文只有使用对应的私钥才能进行解密,所以需要根据用户登录的设备选择对应的会话密钥密文。如果用户使用移动端设备登录,就从M2中提取使用用户移动端数字证书加密的会话密钥密文;如果用户使用PC端设备登录,就从M2中提取使用用户PC端数字证书加密的会话密钥密文。
(3.4)根据步骤(3.2)解析获得的非对称加密算法类型信息,调用相对应的RSA算法,使用接收方对应设备的私钥对M4进行解密,获得会话密钥S1;
(3.5)根据步骤(3.2)解析获得的对称加密算法类型信息,调用相对应的DES算法,使用会话密钥S1对密文M1进行解密,获得明文数据。
4.用户自行数据恢复步骤
当用户的移动端和PC端中的一端密钥完好,而另一端的密钥丢失或损坏时,用户通过登录密钥完好的一端自行完成数据恢复,用户自行数据恢复流程如图6所示,步骤如下:
(4.1)当用户移动端的密钥丢失或者损坏,而PC端硬证书介质完好时,跳转到步骤(4.2);否则,当用户PC端硬证书介质丢失或者损坏,而移动端的密钥完好时,跳转到步骤(4.8);
(4.2)用户在PC端插入硬证书介质,通过PC端软件登录系统;
用户使用硬证书介质登录PC端系统时,使用硬证书介质中的证书进行登录认证,登录认证通过之后进入PC端系统。
(4.3)PC端选择需要进行数据恢复的数字信封,解析该数字信封,获得头部信息H和密文信息M1;
(4.4)PC端解析数字信封头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(4.5)PC端从M2中提取用PC端证书加密的会话密钥密文M4;
(4.6)根据步骤(4.4)解析获得的非对称加密算法类型信息,调用相对应的RSA算法,使用PC端私钥对M4进行解密,获得会话密钥S1;
(4.7)根据步骤(4.4)解析获得的对称加密算法类型信息,调用相对应的DES算法,使用会话密钥S1对密文M1进行解密,获得明文数据,用户自行数据恢复步骤结束;
(4.8)用户通过移动端软件登录系统;
用户移动端只有一个软证书,在通过移动端软件登录系统时,使用这个软证书进行登录认证,登录认证通过之后进入移动端系统。
(4.9)移动端选择需要进行数据恢复的数字信封,解析该数字信封,获得头部信息H和密文信息M1;
(4.10)移动端解析数字信封头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(4.11)移动端从M2中提取用移动端证书加密的会话密钥密文M5;
(4.12)根据步骤(4.10)解析获得的非对称加密算法类型信息,调用相对应的RSA算法,使用移动端私钥对M5进行解密,获得会话密钥S1;
(4.13)根据步骤(4.10)解析获得的对称加密算法类型信息,调用相对应的DES算法,使用会话密钥S1对密文M1进行解密,获得明文数据,用户自行数据恢复步骤结束。
5.用户向CA申请数据恢复步骤
当用户移动端和PC端的密钥同时丢失或损坏时,用户向CA服务器申请,由CA服务器协助其完成数据恢复,用户向CA申请数据恢复流程如图7所示,步骤如下:
(5.1)用户启动手机移动客户端登录软件;
因为用户此时移动端和PC端密钥同时丢失或损坏,所以需要重新生成移动端和PC端密钥对,并由CA签发对应的数字证书。新生成的密钥和数字证书会替代原有的密钥和数字证书,为用户提供安全的通信服务。
(5.2)用户输入手机号,向业务服务器发送获取短信验证码请求,用户在收到短信验证码之后,输入短信验证码,并发送验证请求,验证不通过则提示验证码无效,重复步骤(5.2);否则进入步骤(5.3);
(5.3)用户使用手机进行身份证扫描,获取用户的身份信息;
(5.4)用户使用手机进行人脸识别,联网将用户的身份信息和人脸信息一起发送到网上数据库进行信息比对,信息比对不通过则提示身份认证失败,重复步骤(5.4);否则进入步骤(5.5);
(5.5)移动端后台生成一个公私钥对,将公钥发送给远程CA服务器,请求CA服务器对公钥进行签名,生成数字证书;
(5.6)CA服务器根据用户信息同时为用户生成一个PC端公私钥对,并对其中的公钥进行签名,生成数字证书,即为PC端证书C1,对应的私钥为PC端私钥;
(5.7)CA服务器将用户的移动端证书、PC端证书发送到证书管理服务器,证书管理服务器接收之后,通过用户的手机号对两张证书进行关联,并更新存储在数据库中的信息;
因为用户原有的移动端和PC端密钥已经损坏或丢失,所以与其对应的移动端和PC端数字证书已经失效,由新生成的数字证书进行替代更新。
(5.8)CA服务器将用户的移动端证书、PC端证书、CA根证书发送给用户移动端;
(5.9)CA服务器将PC端私钥和PC端证书导入硬证书介质并发给用户;
(5.10)用户通过移动端向CA服务器上传需要进行数据恢复的数字信封;
(5.11)CA解析上传的数字信封,获得头部H和密文M1;
(5.12)CA解析头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(5.13)根据步骤(5.12)解析得到的非对称加密算法类型信息,CA调用相应的RSA算法,并使用自己的私钥对M3解密,获得接收方用户账号和会话密钥S1;
(5.14)CA计算用户账号和会话密钥S1联合字符串的Hash值,获得Hash值H2,并比较H1和H2,如果不相同则提示数据非用户本人所有或被篡改,并退出数据恢复步骤;
(5.15)根据步骤(5.12)解析得到的对称加密算法类型信息,CA调用相应的DES算法,并使用会话密钥S1解密密文M1,获得明文数据;
(5.16)CA随机生成一个会话密钥S2,选择DES对称加密算法并使用会话密钥S2对明文数据进行加密,获得密文M6;
(5.17)CA选择RSA非对称加密算法,使用给用户移动端新签发的数字证书C1对会话密钥S2进行加密,获得会话密钥密文M7;
(5.18)CA将对称加密算法类型信息、非对称加密算法类型信息、会话密钥密文M7组合成一个字符串,形成头部H2;
(5.19)CA将头部H2和密文M6组合,形成数字信封,发送给用户手机移动端;
(5.20)用户移动端接收数字信封并对其进行解析,获得头部H2和密文M6;
(5.21)用户移动端解析头部H2,获得对称加密算法类型信息、非对称加密算法类型信息、会话密钥密文M7;
(5.22)用户移动端根据步骤(5.21)解析获得的非对称加密算法类型信息,调用相应的RSA算法,使用自己的私钥对M7解密,获得会话密钥S2;
(5.23)用户移动端根据步骤(5.21)解析获得的对称加密算法类型信息,调用相应的DES算法,使用会话密钥S2对密文M6进行解密,获得明文数据。
Claims (10)
1.一种基于数字信封多证书的数据加解密方法,其特征在于,包括以下步骤:
数字证书生成:利用移动端生成公私钥对,将公钥发送给CA服务器,通过CA服务器对公钥进行签名,生成数字证书,并将CA根证书及数字证书发送至移动端;
数据发送加密:发送方获取接收方数字证书并进行验证,验证不通过则退出数据发送,验证通过后发送方随机生成一个会话密钥S1,发送方利用会话密钥S1通过对称加密算法对要发送的数据进行加密操作,获得相对应的密文M1;同时发送方利用接收方的每一个数字证书中的公钥通过非对称加密算法依次对会话密钥S1进行加密,并将结果串接在一起,获得密文M2;同时发送方使用CA根证书中的公钥对接收方用户账号和会话密钥S1进行加密,获得密文M3;发送方获取接收方用户帐号和会话密钥S1联合字符串的Hash值H1;发送方将对称加密算法类型信息、非对称加密算法类型信息、以及密文M2、密文M3和Hash值H1组合成一个字符串形成头部H;发送方将头部H和密文M1组合形成数字信封,发送给接收方的移动端和PC端;
数据接收解密:接收方获取数字信封后进行解析,获得头部H和密文M1信息,接收方解析头部H获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;从密文M2中提取设备对应的会话密钥密文M4;根据解析获得的非对称加密算法类型信息,使用接收方对应设备的私钥对M4进行解密,获得会话密钥S1;根据解析获得的对称加密算法类型信息,使用会话密钥S1对密文M1进行解密,从而获得明文数据。
2.根据权利要求1所述的一种基于数字信封多证书的数据加解密方法,其特征在于,所生成的数字证书包括移动端证书和PC端证书。
3.根据权利要求2所述的一种基于数字信封多证书的数据加解密方法,其特征在于,CA服务器在签发移动端证书时,根据用户信息同时为用户生成一个PC端公私钥对,并对其中的公钥进行签名,生成即为PC端证书,对应的私钥为PC端私钥。
4.根据权利要求2所述的一种基于数字信封多证书的数据加解密方法,其特征在于,CA服务器将用户的移动端证书、PC端证书发送到证书管理服务器,证书管理服务器接收之后,通过用户的手机号对两张证书进行关联,并存储在数据库中;CA服务器将用户的移动端证书、PC端证书和CA根证书发送给用户移动端;CA服务器将PC端私钥和PC端证书导入硬证书介质并发给用户。
5.根据权利要求4所述的一种基于数字信封多证书的数据加解密方法,其特征在于,硬证书介质是指存放数字证书的载体,包括硬盘、软盘、智能卡和USB Key。
6.根据权利要求1所述的一种基于数字信封多证书的数据加解密方法,其特征在于,用户的数字证书在证书管理服务器中通过用户手机号进行关联存储,发送方根据接收方的手机号获取接收方所有的数字证书,发送方对获取的接收方数字证书进行验证,数字证书验证包括可信性验证/合法性验证、完整性验证以及有效性验证,在对数字证书进行验证时,只要其中任何一项验证存在问题,就会返回验证不通过。
7.一种基于权利要求4所述的基于数字信封多证书的数据加解密方法中的加密数据中的数据恢复方法,其特征在于,
当用户的移动端和PC端中的一端密钥完好,而另一端的密钥丢失或损坏时,用户通过登录密钥完好的一端自行完成数据恢复;当用户移动端和PC端的密钥同时丢失或损坏时,用户向CA服务器申请,由CA服务器协助其完成数据恢复。
8.根据权利要求7所述的基于数字信封多证书的数据加解密方法中的加密数据中的数据恢复方法,其特征在于,当用户的移动端和PC端中的一端密钥完好,而另一端的密钥丢失或损坏时,用户通过登录密钥完好的一端自行完成数据恢复,具体包括以下步骤:
(1.1)当用户移动端的密钥丢失或者损坏,而PC端硬证书介质完好时,跳转到步骤(1.2);否则,当用户PC端硬证书介质丢失或者损坏,而移动端的密钥完好时,跳转到步骤(1.8);
(1.2)用户在PC端插入硬证书介质,通过PC端软件登录系统;
(1.3)PC端选择需要进行数据恢复的数字信封,解析该数字信封,获得头部H和密文M1信息;
(1.4)PC端解析数字信封头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(1.5)PC端从密文M2中提取用PC端证书加密的会话密钥密文M4;
(1.6)根据步骤(1.4)解析获得的非对称加密算法类型信息,使用PC端私钥对M4进行解密,获得会话密钥S1;
(1.7)根据步骤(1.4)解析获得的对称加密算法类型信息使用会话密钥S1对密文M1进行解密,获得明文数据,用户自行数据恢复步骤结束;
(1.8)用户通过移动端软件登录系统;
(1.9)移动端选择需要进行数据恢复的数字信封,解析该数字信封,获得头部信息H和密文信息M1;
(1.10)移动端解析数字信封头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(1.11)移动端从M2中提取用移动端证书加密的会话密钥密文M5;
(1.12)根据步骤(1.10)解析获得的非对称加密算法类型信息,使用移动端私钥对M5进行解密,获得会话密钥S1;
(1.13)根据步骤(1.10)解析获得的对称加密算法类型信息,使用会话密钥S1对密文M1进行解密,获得明文数据,用户自行数据恢复步骤结束。
9.根据权利要求7所述的基于数字信封多证书的数据加解密方法中的加密数据中的数据恢复方法,其特征在于,当用户移动端和PC端的密钥同时丢失或损坏时,用户向CA服务器申请,由CA服务器协助其完成数据恢复,步骤如下:
(2.1)用户启动手机移动客户端登录软件;
(2.2)移动端后台生成一个公私钥对,将公钥发送给远程CA服务器,请求CA服务器对公钥进行签名,生成数字证书;
(2.3)CA服务器根据用户信息同时为用户生成一个PC端公私钥对,并对其中的公钥进行签名,生成PC端证书C1,对应的私钥为PC端私钥;
(2.4)CA服务器将用户的移动端证书、PC端证书发送到证书管理服务器,证书管理服务器接收之后,通过用户的手机号对两张证书进行关联,并更新存储在数据库中的信息;
(2.5)CA服务器将用户的移动端证书、PC端证书、CA根证书发送给用户移动端;
(2.6)CA服务器将PC端私钥和PC端证书导入硬证书介质并发给用户;
(2.7)用户通过移动端向CA服务器上传需要进行数据恢复的数字信封;
(2.8)CA服务器解析上传的数字信封,获得头部H和密文M1;
(2.9)CA服务器解析头部H,获得非对称加密算法类型信息、对称加密算法类型信息、经接收方每个证书加密后的会话密钥串接在一起的密文M2、CA证书加密的会话密钥密文M3、接收方用户账号和会话密钥联合字符串的Hash值H1;
(2.10)根据步骤(2.9)解析得到的非对称加密算法类型信息,CA服务器使用自己的私钥对M3解密,获得接收方用户账号和会话密钥S1;
(2.11)CA计算用户账号和会话密钥S1联合字符串的Hash值,获得Hash值H2,并比较H1和H2,如果不相同则提示数据非用户本人所有或被篡改,并退出数据恢复步骤;
(2.12)根据步骤(2.9)解析得到的对称加密算法类型信息,CA调用相应的算法,并使用会话密钥S1解密密文M1,获得明文数据;
(2.13)CA随机生成一个会话密钥S2,选择一种对称加密算法并使用会话密钥S2对明文数据进行加密,获得密文M6;
(2.14)CA选择一种非对称加密算法,使用给用户移动端新签发的数字证书C1对会话密钥S2进行加密,获得会话密钥密文M7;
(2.15)CA将对称加密算法类型信息、非对称加密算法类型信息、会话密钥密文M7组合成一个字符串,形成头部H2;
(2.16)CA将头部H2和密文M6组合,形成数字信封,发送给用户手机移动端;
(2.17)用户移动端接收数字信封并对其进行解析,获得头部H2和密文M6;
(2.18)用户移动端解析头部H2,获得对称加密算法类型信息、非对称加密算法类型信息、会话密钥密文M7;
(2.19)用户移动端根据步骤(2.18)解析获得的非对称加密算法类型信息,调用相应的算法,使用自己的私钥对M7解密,获得会话密钥S2;
(2.20)用户移动端根据步骤(2.18)解析获得的对称加密算法类型信息,调用相应的算法,使用会话密钥S2对密文M6进行解密,获得明文数据。
10.根据权利要求9所述的基于数字信封多证书的数据加解密方法中的加密数据中的数据恢复方法,其特征在于,用户启动手机移动客户端登录软件向CA服务器请求恢复数据时需要进行验证,具体包括以下步骤:
a)用户输入手机号,向业务服务器发送获取短信验证码请求,用户在收到短信验证码之后,输入短信验证码,并发送验证请求,验证不通过则提示验证码无效,重复步骤a);否则进入步骤b);
b)用户使用手机进行身份证扫描,获取用户的身份信息;
c)用户使用手机进行人脸识别,联网将用户的身份信息和人脸信息一起发送到网上数据库进行信息比对,信息比对不通过则提示身份认证失败,重复步骤c),信息对比通过则进入下一步。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910222630.6A CN109962784B (zh) | 2019-03-22 | 2019-03-22 | 一种基于数字信封多证书的数据加解密及恢复方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910222630.6A CN109962784B (zh) | 2019-03-22 | 2019-03-22 | 一种基于数字信封多证书的数据加解密及恢复方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109962784A CN109962784A (zh) | 2019-07-02 |
| CN109962784B true CN109962784B (zh) | 2021-04-02 |
Family
ID=67024696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910222630.6A Active CN109962784B (zh) | 2019-03-22 | 2019-03-22 | 一种基于数字信封多证书的数据加解密及恢复方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109962784B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110543772A (zh) * | 2019-08-23 | 2019-12-06 | 厦门市美亚柏科信息股份有限公司 | 离线解密方法和装置 |
| CN110730184B (zh) * | 2019-10-22 | 2021-11-05 | 江苏先安科技有限公司 | 一种基于国密sm2算法的新型招投标加解密方法 |
| CN111046443B (zh) * | 2019-12-24 | 2022-10-14 | 合肥大唐存储科技有限公司 | 一种硬盘防伪的实现方法、硬盘及ca服务器 |
| CN113127814B (zh) * | 2019-12-31 | 2023-03-14 | 杭州海康威视数字技术股份有限公司 | 软件防抄方法、装置、电子设备及可读存储介质 |
| CN111641615A (zh) * | 2020-05-20 | 2020-09-08 | 深圳市今天国际物流技术股份有限公司 | 一种基于证书的分布式身份验证方法及系统 |
| CN111917710B (zh) * | 2020-06-12 | 2022-06-24 | 北京智芯微电子科技有限公司 | Pci-e密码卡及其密钥保护方法、计算机可读存储介质 |
| CN111914308B (zh) * | 2020-07-27 | 2024-02-13 | 万达信息股份有限公司 | 一种利用智能卡内ca证书进行移动数据签名的方法 |
| CN112507357B (zh) * | 2020-12-09 | 2024-03-29 | 华南理工大学 | 一种基于密钥生成器的多级接口设计方法 |
| CN112633884B (zh) * | 2020-12-30 | 2022-11-18 | 标信智链(杭州)科技发展有限公司 | 交易主体身份证书的本地私钥恢复方法及装置 |
| CN112911018A (zh) * | 2021-03-10 | 2021-06-04 | 杭州宇链科技有限公司 | 一种基于区块链的网络社区征信管理方法 |
| CN113064761B (zh) * | 2021-04-08 | 2022-03-04 | 北京深思数盾科技股份有限公司 | 数据恢复方法、服务器、加密机、终端及介质 |
| CN113688405B (zh) * | 2021-07-08 | 2023-05-26 | 电子科技大学 | 一种基于区块链的双向认证混合加密方法 |
| CN113507479B (zh) * | 2021-07-23 | 2022-11-08 | 上海颜硕信息科技有限公司 | 针对web代码和数据的网关型加解密透明sdk方法 |
| CN113676330B (zh) * | 2021-08-10 | 2023-08-01 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
| CN115333730B (zh) * | 2022-08-10 | 2023-04-07 | 北京安盟信息技术股份有限公司 | 一种提高数字信封消息数据完整性的方法 |
| CN115632778B (zh) * | 2022-12-20 | 2023-04-18 | 四川省数字证书认证管理中心有限公司 | 一种多端加解密互通方法 |
| CN116455585B (zh) * | 2023-06-15 | 2023-09-05 | 浪潮软件科技有限公司 | 一种基于多重盲签名的安全通信方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN105245337A (zh) * | 2015-10-30 | 2016-01-13 | 南京未来网络产业创新有限公司 | 一种改良的文件加密解密方法 |
| CN105323070A (zh) * | 2015-02-09 | 2016-02-10 | 北京中油瑞飞信息技术有限责任公司 | 一种基于数字信封的安全电子邮件实现方法 |
| CN108683688A (zh) * | 2018-07-20 | 2018-10-19 | 中国建设银行股份有限公司浙江省分行 | 一种基于数字信封技术实现信息传输安全的方法 |
| CN109450881A (zh) * | 2018-10-26 | 2019-03-08 | 天津海泰方圆科技有限公司 | 一种数据传输系统、方法及装置 |
-
2019
- 2019-03-22 CN CN201910222630.6A patent/CN109962784B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN105323070A (zh) * | 2015-02-09 | 2016-02-10 | 北京中油瑞飞信息技术有限责任公司 | 一种基于数字信封的安全电子邮件实现方法 |
| CN105245337A (zh) * | 2015-10-30 | 2016-01-13 | 南京未来网络产业创新有限公司 | 一种改良的文件加密解密方法 |
| CN108683688A (zh) * | 2018-07-20 | 2018-10-19 | 中国建设银行股份有限公司浙江省分行 | 一种基于数字信封技术实现信息传输安全的方法 |
| CN109450881A (zh) * | 2018-10-26 | 2019-03-08 | 天津海泰方圆科技有限公司 | 一种数据传输系统、方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| SMS安全通信系统的研究与实现;彭佳等;《计算机安全》;20081215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109962784A (zh) | 2019-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109962784B (zh) | 一种基于数字信封多证书的数据加解密及恢复方法 | |
| CN111614637B (zh) | 一种基于软件密码模块的安全通信方法及系统 | |
| CN104219228B (zh) | 一种用户注册、用户识别方法及系统 | |
| WO2019052286A1 (zh) | 基于区块链的用户身份验证方法、装置及系统 | |
| CN105391734B (zh) | 一种安全登录系统及方法、登录服务器和认证服务器 | |
| US20030140235A1 (en) | Method for biometric encryption of email | |
| CN109547198B (zh) | 网络传输视频文件的系统 | |
| CN113285803B (zh) | 一种基于量子安全密钥的邮件传输系统和传输方法 | |
| CN101631305B (zh) | 一种加密方法及系统 | |
| CN103684798B (zh) | 一种用于分布式用户服务间认证方法 | |
| JP2000124887A (ja) | グループ単位の暗号化・復号方法および署名方法ならびに装置 | |
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| CN112565265B (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
| CN113067823B (zh) | 邮件用户身份认证和密钥分发方法、系统、设备及介质 | |
| CN106411926A (zh) | 一种数据加密通信方法及系统 | |
| CN113346995B (zh) | 基于量子安全密钥的邮件传输过程中防篡改的方法和系统 | |
| CN111526007B (zh) | 一种随机数生成方法及系统 | |
| CN113452687B (zh) | 基于量子安全密钥的发送邮件的加密方法和系统 | |
| CN113204760B (zh) | 用于软件密码模块的安全通道建立方法及系统 | |
| CN108809936A (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
| CN114553441B (zh) | 一种电子合同签署方法及系统 | |
| CN114244530A (zh) | 资源访问方法及装置、电子设备、计算机可读存储介质 | |
| TWI786039B (zh) | 線下支付方法、終端設備、後臺支付裝置及線下支付系統 | |
| CN107104792B (zh) | 一种便携式移动口令管理系统及其管理方法 | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220823 Address after: 29th Floor, Building 1, China Railway Xi'an Center, No. 10 Zhangba 1st Road, High-tech Zone, Xi'an City, Shaanxi Province 710065 Patentee after: Shaanxi shutuxing Information Technology Co.,Ltd. Address before: 710071 No.2, Taibai South Road, Beilin District, Xi'an City, Shaanxi Province Patentee before: XIDIAN University |