CN109981678B - 一种信息同步方法及装置 - Google Patents

一种信息同步方法及装置 Download PDF

Info

Publication number
CN109981678B
CN109981678B CN201910275890.XA CN201910275890A CN109981678B CN 109981678 B CN109981678 B CN 109981678B CN 201910275890 A CN201910275890 A CN 201910275890A CN 109981678 B CN109981678 B CN 109981678B
Authority
CN
China
Prior art keywords
trusted
ciphertext
information
equipment
synchronization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910275890.XA
Other languages
English (en)
Other versions
CN109981678A (zh
Inventor
孙吉平
刘跃峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Senseshield Technology Co Ltd
Original Assignee
Beijing Senseshield Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Senseshield Technology Co Ltd filed Critical Beijing Senseshield Technology Co Ltd
Priority to CN201910275890.XA priority Critical patent/CN109981678B/zh
Publication of CN109981678A publication Critical patent/CN109981678A/zh
Application granted granted Critical
Publication of CN109981678B publication Critical patent/CN109981678B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key

Abstract

本发明公开了一种信息同步方法和装置,应用于服务端,该方法包括:将包括公钥表的授信文件进行存储,公钥表包括N个受信任设备的设备公钥,N>1;从第M受信任设备接收同步信息密文,并将同步信息密文关联于授信文件进行存储,其中,1≤M≤N,同步信息密文的解密过程中需要使用与受信任设备的设备公钥对应的设备私钥;基于第一设备的请求,将关联于授信文件的同步信息密文发送给第一设备,从而第一设备从同步信息密文获得同步信息并更新到第一设备中,所述第一设备是所述N个受信任设备中除第M受信任设备外的任一受信任设备。本发明同时公开了应用于终端设备的信息同步方法。通过本发明的方案,能够在设备间进行安全的同步。

Description

一种信息同步方法及装置
技术领域
本发明涉及信息安全技术领域,特别涉及一种信息同步方法及装置。
背景技术
随着信息技术及互联网技术的发展,现在的智能设备越来越多的与互联网账号相关联。与同一互联网账号关联的设备之间通常需要进行信息交互和数据同步。这就需要一种可靠的信息同步机制。
现有技术中,通常在不同设备上进行账号登录,登录成功后即认为与互联网账号关联,与其他关联到相同账号的设备之间允许进行同步。此方案中存在安全风险:如果账号的密码被恶意攻击者获取,那么恶意攻击者可以将其非法设备关联到此账号,从而与其他合法设备进行信息同步,危害其他合法设备中信息的安全。恶意攻击者也可以在没有获取账号密码的情况下,通过攻击互联网服务器,将其非法设备关联到任意账号下,从而危害其他合法设备中信息的安全。
发明内容
有鉴于此,本发明实施例提出了一种信息同步方法和装置,能够极大地提高合法设备间进行数据同步的安全性。
为此,本发明一方面提出了一种信息同步方法,应用于服务端,该方法包括:将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N>1;从第M受信任设备接收同步信息密文,并将同步信息密文关联于授信文件进行存储,其中,1≤M≤N,所述同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥;基于第一设备的请求,将关联于授信文件的同步信息密文发送给第一设备,从而第一设备从同步信息密文获得同步信息并更新到第一设备中,所述第一设备是所述N个受信任设备中除第M受信任设备外的任一受信任设备。
可选地,所述方法还包括:从第M受信任设备接收使用第M受信任设备的设备私钥对同步信息进行处理生成的第一校验码,并将第一校验码关联于同步信息密文进行存储;基于第一设备的请求,将第一校验码发送给第一设备。
可选地,所述同步信息密文是第M受信任设备通过使用所述受信任设备的设备公钥对同步信息加密生成的。
可选地,所述同步信息密文是第M受信任设备通过使用临时密钥对同步信息加密生成的。
可选地,所述方法还包括:将使用每个所述受信任设备的设备公钥对临时密钥加密生成的临时密钥密文关联于授信文件进行存储;基于第一设备的请求,将关联于授信文件的临时密钥密文中与第一设备对应的临时密钥密文发送给第一设备。
可选地,所述临时密钥密文是预先从所述N个受信任设备之一接收的。
可选地,所述方法还包括:接收到第M受信任设备对临时密钥密文的查询请求时,查询是否有关联于授信文件存储的临时密钥密文,如有则将所存储的临时密钥密文中与第M受信任设备对应的临时密钥密文发送给第M受信任设备,否则将所述授信文件发送给第M受信任设备并从第M受信任设备获得临时密钥密文。
本发明实施例另一方面提出了一种信息同步装置,应用于服务端,包括:处理单元,其配置为将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;通信单元,其配置为从第M受信任设备接收同步信息密文,并将同步信息密文关联于授信文件进行存储,其中,1≤M≤N,所述同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥,其中,所述处理单元还配置为,基于第一设备的请求,将关联于授信文件的同步信息密文通过所述通信单元发送给第一设备。
本发明实施例又一方面提出了一种信息同步方法,应用于终端设备,所述方法包括:向服务端发送与授信文件相关的同步信息获取请求,所述授信文件包括公钥表,所述公钥表包括N个受信任设备的设备公钥,所述终端设备为所述N个受信任设备之一,N>1;从服务端获取同步信息密文,所述同步信息密文是服务端从所述N个受信任设备中除所述终端设备外的任一个受信任设备接收并关联于授信文件存储的;基于所述终端设备的设备私钥从所述同步信息密文获得同步信息,并将获得的同步信息更新到所述终端设备中。
可选地,所述方法还包括:从服务端获取所述授信文件和关联于同步信息密文的第一校验码,并使用从所述授信文件的公钥表中获取的所述任一个受信任设备的设备公钥对第一校验码进行验证。
可选地,基于所述终端设备的设备私钥从所述同步信息密文获得同步信息,包括:使用所述终端设备的设备私钥对所述同步信息密文解密得到同步信息。
可选地,所述方法还包括:从服务端获得临时密钥密文,其中,基于所述终端设备的设备私钥从所述同步信息密文获得同步信息,包括:使用所述终端设备的设备私钥对所述临时密钥密文解密得到临时密钥,并使用所述临时密钥对所述同步信息密文解密得到同步信息。
本发明实施例同时提出了一种信息同步装置,应用于服务端,包括:存储器,其存储有预定的计算机可执行指令;处理器,其配置为运行所述预定的计算机可执行指令以执行上述任一实施例的信息同步方法。
通过本发明实施例的信息同步方法和装置,能够在合法设备之间进行安全地信息同步,同时恶意攻击者无法将其非法设备加入到已经建立信任关系的合法设备中与其他合法设备进行信息同步,从而能够保证合法设备中信息的安全。
附图说明
图1为本发明一个实施例的信息同步方法的示例性流程图;
图2为本发明另一个实施例的信息同步方法的示例性流程图;
图3为本发明一个实施例的信息同步方法的示例性流程图;
图4为本发明另一个实施例的信息同步方法的示例性流程图;
图5为本发明的信息同步方法的一个具体实施方式的示意性流程图;
图6为本发明的信息同步方法的另一个具体实施方式的示意性流程图;
图7为本发明一个实施例的信息同步装置的示例性框图。
具体实施方式
下面参照附图对本发明实施例进行详细说明。
图1为本发明一个实施例的信息同步方法的示例性流程图。本发明实施例的信息同步方法应用于服务端。
如图1所示,本发明实施例的信息同步方法包括:
S101、将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N>1;
S102、从第M受信任设备接收同步信息密文,并将同步信息密文关联于授信文件进行存储,其中,1≤M≤N,所述同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥;
S103、基于第一设备的请求,将关联于授信文件的同步信息密文发送给第一设备。
本发明实施例中的授信文件用来记录待建立相互间信任关系的受信任设备的设备公钥及其他信息,加入同一授信文件的多个设备之间能够建立一个极为安全的信任关系群(后文也称信任环)。加入同一信任关系群的受信任设备之间可以存在某种联系,或者也可以不存在联系。加入同一信任关系群的受信任设备之间不存在联系的情况例如可以是在预定时间段内临时需要在一些设备之间保持数据同步的情况。加入同一信任关系群的受信任设备之间存在联系的情况可以包括均属于同一用户、设备用户为均属于同一家庭的成员、设备用户为均属于同一企业的成员的情况等,相应地,服务端可以例如将这多个设备相关的同一用户的用户ID、同一家庭的家庭ID、同一企业的企业ID或同一工作小组的小组ID等与授信文件关联存储,或者直接写入授信文件中。或者服务端也可以将同一家庭或同一企业不同成员的设备要登录的同一用户账号与授信文件关联存储,第一用户账号可以是用户在服务应用或服务网站注册并使用的账号,个人用户或家庭用户可以在不同的设备上使用第一用户账号登录到服务应用或服务网站,或者第一用户账号可以是企业在企业服务器上配置的工作账号,同一公司的多个不同的用户也可以在不同的设备上使用同一个用户账号登录到企业服务器。
本发明实施例中公钥表中上述N个受信任设备可以是固定数目的受信任设备,一旦将N个受信任设备的设备公钥写入公钥表之后,就不再增加新的设备公钥。N个设备公钥可以由N个受信任设备中的一个受信任设备写入授信文件的公钥表,也可以由N个受信任设备之外的设备写入授信文件的公钥表。本发明其他实施例中,N也可以是不固定数目,可以往公钥表中增加新的受信任设备的设备公钥。
服务端存储了授信文件后,当N个已建立信任关系的受信任设备中的任意一个受信任设备中的信息发生变化,需要同步给同其他的受信任设备时,该信息发生变化的受信任设备对同步信息进行处理生成同步信息密文并发送给服务端。
该信息发生变化的受信任设备记为第M受信任设备,M可以是从1到N中的任一数值,表示第M受信任设备是N个受信任设备中的任一个受信任设备。发生变化的信息例如可以是第M受信任设备中的数据、文件、程序、密钥等数据,信息的变化例如可以是信息的增加、删除、修改等。
第M受信任设备可以通过向服务端发送同步请求将同步信息密文发送给服务端,同步请求中可以包括授信文件的标识信息,以便服务端收到同步信息密文后将同步信息密文关联于授信文件进行存储。可选地,第M受信任设备可以在登录第一用户账号期间向服务端发送同步信息密文,服务端可以预先将第一用户账号与授信文件关联,从而服务端收到同步信息密文后可以同步信息密文关联于授信文件进行存储。第M受信任设备在对同步信息进行处理生成同步信息密文时,可以使用授信文件中公钥表中的设备公钥参与处理,使得同步信息密文的解密过程中需要使用公钥表中的设备公钥对应的设备私钥才能完成解密得到同步信息。第M受信任设备可以通过从服务端获取授信文件来获得每个受信任设备的设备公钥,或者第M受信任设备可以在本地存储有N个受信任设备的公钥表,从中获取用于进行加密的设备公钥。
然后,当公钥表记载的N个受信任设备中除了第M受信任设备之外的任一个受信任设备作为上述第一设备向服务端请求获取与授信文件关联的同步信息密文时,服务端根据该设备的获取请求,将关联于授信文件存储的同步信息密文发送给该第一设备。第一设备接收到同步信息密文后,使用自身的设备私钥进行处理得到同步信息,然后将同步信息更新到第一设备中。
而如果向服务端请求获取同步信息密文的第一设备是未加入授信文件的不受信任设备时,即使第一设备从服务端得到了同步信息密文,甚至即使第一设备或其使用者从服务端非法得到了授信文件,由于从服务端获得的同步信息密文的解密过程中需要使用与授信文件中的设备公钥对应的设备私钥,而第一设备的设备公钥并不在授信文件中,因而第一设备的设备私钥并无法用于同步信息密文的解密,因此该第一设备作为不受信任设备也就无法对同步信息密文进行解密。
因此,本发明实施例能够在加入信任环的合法设备之间进行安全可靠的信息同步,同时恶意攻击者无法将其非法设备加入到已经建立信任关系的合法设备中与其他合法设备进行信息同步,即使恶意攻击者获得了同步信息密文甚至获得了授信文件,也无法得到同步信息明文,从而能够保证合法设备中信息的安全。
图2为本发明另一个实施例的信息同步方法的示例性流程图。
如图2所示,本发明实施例的信息同步方法包括:
S201、将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N>1;
S202、从第M受信任设备接收同步信息密文和第一校验码,并将同步信息密文和第一校验码关联于同步信息密文进行存储,其中,1≤M≤N,所述同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥,第一校验码是第M受信任设备使用第M受信任设备的设备私钥对同步信息进行处理生成的;
S203、基于第一设备的请求,将关联于授信文件的同步信息密文和关联于同步信息密文的第一校验码发送给第一设备。
本发明实施例中,在图1所示实施例的基础上,第M受信任设备在要向服务端发送同步信息密文时,还将使用第M受信任设备的设备私钥对同步信息进行处理生成的第一校验码也发送给服务端。第一校验码可以是用第M受信任设备的设备私钥对同步信息进行签名处理得到的数字签名,可以是用第M受信任设备的设备私钥对同步信息的预定部分或关键部分进行签名处理得到的数字签名,或可以是其他能够用于验证同步信息完整性的校验数据。服务端接收到同步信息密文和第一校验码后,将同步信息密文关联于授信文件进行存储,并将第一校验码关联于同步信息密文进行存储。
服务端接收到第一设备的获取请求后,将与授信文件关联的同步信息密文和与同步信息密文关联的第一校验码发送给第一设备。第一设备接收到同步信息密文和第一校验码后,使用自身的设备私钥进行处理得到同步信息,并基于同步信息使用第M受信任设备的设备公钥对第一校验码进行校验,如果校验通过,表明得到的同步信息未经过篡改,为合法数据,随后将同步信息更新到第一设备中;如果校验不通过,表明得到的同步信息遭到篡改,不进行数据同步,并将从服务端获取的数据包丢弃。第一设备对第一校验码进行校验所使用的第M受信任设备的设备公钥可以通过从服务端获取授信文件后从授信文件的公钥表中获取。
本发明实施例中,通过设置第一校验码,第一设备在使用解密得到的同步信息进行同步更新之前对第一校验码进行验证,如果验证通过则进行同步更新,否则不进行更新,避免了使用被篡改的同步信息对第一设备进行同步更新,从而能够进一步提高设备信息同步的安全性。
图3为本发明一个实施例的信息同步方法的示例性流程图。本发明实施例应用于作为受信任设备的终端设备。
如图3所示,本发明实施例的信息同步方法包括:
S301、向服务端发送与授信文件相关的同步信息获取请求,所述授信文件包括公钥表,所述公钥表包括N个受信任设备的设备公钥,所述终端设备为所述N个受信任设备之一,N>1;
S302、从服务端获取同步信息密文,所述同步信息密文是服务端从所述N个受信任设备中除所述终端设备外的任一个受信任设备接收并关联于授信文件存储的;
S303、基于所述终端设备的设备私钥从所述同步信息密文获得同步信息,并将获得的同步信息更新到所述终端设备中。
本发明实施例中,作为N个受信任设备之一的终端设备向服务端发送同步信息获取请求,以从服务端获得同步信息密文,并基于终端设备的设备私钥从同步信息密文获得同步信息以将同步信息更新到终端设备中。本发明实施例与图1所示的应用于服务端的信息同步方法实施例相对应,具体可参照图1所示实施例。本发明实施例能够在加入信任环的合法设备之间进行安全可靠的信息同步,同时恶意攻击者无法将其非法设备加入到已经建立信任关系的合法设备中与其他合法设备进行信息同步,即使恶意攻击者获得了同步信息密文甚至获得了授信文件,也无法得到同步信息明文,从而能够保证合法设备中信息的安全。
在本发明一些实施例中,应用于终端设备的信息同步方法还包括从服务端获取授信文件和关联于同步信息密文的第一校验码,并使用从授信文件的公钥表中获取的前述任一个受信任设备的设备公钥对第一校验码进行验证。第一校验码可以是使用前述任一个受信任设备的设备私钥对同步信息进行签名运算生成的数字签名。本发明实施例与图2所示的应用于服务端的信息同步方法实施例相对应,具体可参照图2所示实施例。本发明实施例中,通过设置第一校验码,终端设备在使用解密得到的同步信息进行同步更新之前对第一校验码进行验证,如果验证通过则进行同步更新,否则不进行更新,避免了使用被篡改的同步信息对终端设备进行同步更新,从而能够进一步提高设备信息同步的安全性。
在本发明一些实施例中,S303中的基于所述终端设备的设备私钥从所述同步信息密文获得同步信息可以包括使用所述终端设备的设备私钥对所述同步信息密文解密得到同步信息。
在本发明另一些实施例中,终端设备还从服务端获得临时密钥密文,并且S303中的基于所述终端设备的设备私钥从所述同步信息密文获得同步信息可以包括使用终端设备的设备私钥对临时密钥密文解密得到临时密钥,并使用临时密钥对同步信息密文解密得到同步信息。
本发明实施例相应地提供了一种信息同步装置,可以通过安装在终端设备上的软件的方式来实现。例如,本发明一个实施例的信息同步装置可以包括存储器和处理器,存储器存储有预定的计算机可执行指令,处理器配置为运行该预定的计算机可执行指令以执行前述任一实施例中的应用于终端设备的信息同步方法。
图4为本发明再一个实施例的信息同步方法的示例性流程图。本发明实施例应用于受信任设备端。
如图4所示,本发明实施例的信息同步方法包括:
S401、当N个受信任设备中任意一个设备中的信息发生变化时,该设备发起同步。
发生变化的信息可以包括设备中的数据、程序、密钥等信息。信息的变化可以包括信息的增加、删除、修改等。
S402、发起同步的设备从服务端获取最新的授信文件。
S403、发起同步的设备为除了自身以外的每个在授信文件中的设备生成一份同步信息密文。
生成同步信息密文的方法可以是,使用发起同步设备的私钥对待同步信息进行数字签名,并使用其他受信任设备的设备公钥加密同步信息得到同步信息密文。
S404、将同步信息密文提交到服务端进行存储。
S405,其他受信任设备登录共用账号时,从服务端获取用其公钥加密的同步信息密文、数字签名以及最新的授信文件。
S406、该设备解密同步信息密文,并验证数字签名,将同步信息更新到本设备中。
通过本发明实施例的方法,在加入信任环的设备之间实现了可靠的信息同步。可以看出,即使在恶意攻击者获取账号密码的情况下,或者,恶意攻击者攻破了互联网服务器,由于无法将其非法设备加入到信任环,所以不能将合法设备中的信息更新到其非法设备中。
在本发明一些实施例中,第M受信任设备上传到服务端的同步信息密文是第M受信任设备使用授信文件的公钥表中的其他N-1个受信任设备的设备公钥对同步信息分别加密生成的,服务端接从第M受信任设备接收到的同步信息密文包括N-1份分别对应N-1个受信任设备之一的同步信息密文。当其他任一受信任设备向服务端请求获取同步信息密文时,服务端将与提出获取请求的受信任设备的设备公钥对应的那份同步信息密文发送给该受信任设备。
在本发明另一些实施例中,第M受信任设备上传到服务端的同步信息密文是第M受信任设备通过使用临时密钥对同步信息加密生成的,服务端从第M受信任设备接收到的同步信息密文就包括一份同步信息密文,其他任一受信任设备向服务端请求获取同步信息密文时,服务端都是将该份同步信息密文发送给该受信任设备。该受信任设备接收到同步信息密文后,可以使用从第M受信任设备得到的临时密钥对同步信息密文进行解密得到同步信息并进行同步更新,从第M受信任设备得到的临时密钥可以是加密的形式,可以使用该受信任设备自身的设备私钥对密文解密得到临时密钥。
在本发明一些实施例中,当第M受信任设备将通过使用临时密钥对同步信息进行加密生成的同步信息密文上传到服务器时,第M受信任设备还可以使用公钥表中每个受信任设备的设备公钥对临时密钥加密生成N-1份临时密钥密文,并将N-1份临时密钥密文上传到服务器。服务器接收到同步信息密文和N-1份临时密钥密文时,将同步信息密文和N-1份临时密钥密文关联于授信文件进行存储。当N-1个受信任设备中其他任一受信任设备向服务端请求获取同步信息密文时,服务端将关联于授信文件的同步信息密文和N-1份临时密钥密文中的与提出获取请求的受信任设备对应的那份临时密钥密文发送给该受信任设备。该受信任设备接收到同步信息密文和临时密钥密文后,可以使用自身的设备私钥对临时密钥密文解密得到临时密钥,再用临时密钥对同步信息密文进行解密得到同步信息并进行同步更新。
前一实施例给出了由向服务端上传同步信息密文的第M受信任设备使用其他N-1个受信任设备的设备公钥对临时密钥加密生成N-1份临时密钥密文并发送给服务端的例子,但本发明不限于此。在本发明其他一些实施例中,还可以由N个受信任设备中的任一个受信任设备生成临时密钥,并使用其他N-1个受信任设备的设备公钥对临时密钥加密生成N-1份临时密钥密文,或者可以用全部N个受信任设备的设备公钥对临时密钥加密生成N份临时密钥密文,并将生成的临时密钥密文发送到服务端。
在本发明另一些实施例中,第M受信任设备在产生了同步信息需要上传同步信息密文给服务端时,还可以先向服务端请求查询服务端是否已经存储有与授信文件关联的临时密钥密文。如果服务端确认已经关联于授信文件存储有临时密钥密文,则服务端将所存储的临时密钥密文中的用第M受信任设备的设备公钥生成的临时密钥密文发送给第M受信任设备,然后第M受信任设备可以使用临时密钥对同步信息进行加密生成同步信息密文并上传给服务器。如果服务端确认尚未关联于授信文件存有临时密钥密文,则服务端可以将授信文件发送给第M受信任设备,由第M受信任设备为每个受信任设备生成一份临时密钥密文并发送给服务端进行存储。
图5为本发明的信息同步方法的一个具体实施方式的示意性流程图。本实施方式从受信任设备端进行描述。并且在本实施方式中,设备信任环中包含3个设备:设备A、设备B和设备C,其设备公钥标识分别为TAGa、TAGb和TAGc,其设备公钥分别为KEYa、KEYb和KEYc。
如图5所示,本实施方式的信息同步方法包括:
501、设备A中信息发生变化,发起同步,此时设备A中信息为INFOa。
502、设备A从服务端账号下获取最新的信任环,此信任环中包含了TAGa、TAGb和TAGc及其对应的设备公钥KEYa、KEYb和KEYc。
503、设备A为设备B和设备C分别生成一份同步数据,为设备B生成的同步数据为:TAGb|E(KEYb,INFOa)|TAGa|S(KEYa,INFOa),其中E(KEYb,INFOa)为使用KEYb加密的INFOa,S(KEYa,INFOa)为使用设备A的设备私钥对INFOa生成的签名。同样的,为设备C生成的同步数据为:TAGc|E(KEYc,INFOa)|TAGa|S(KEYa,INFOa)。
504、设备A将同步数据提交到互联网网站,网站将同步数据存储到设备关联的账号下。
505、当设备B登录账号时,从账号下获取同步数据TAGb|E(KEYb,INFOa)|TAGa|S(KEYa,INFOa)以及最新的信任环;当设备C登录账号时,从账号下获取同步数据TAGc|E(KEYc,INFOa)|TAGa|S(KEYa,INFOa)以及最新的信任环。
506、设备B使用其设备私钥解密E(KEYb,INFOa),得到INFOa,并用从信任环中获取的设备A的设备公钥验证签名S(KEYa,INFOa),验证通过后,将INFOa更新到设备B中。设备C以同样的方式将INFOa更新到设备C中。
图6为本发明的信息同步方法的另一个具体实施方式的示意性流程图。本实施方式也从受信任设备端进行描述。在本实施方式中,设备信任环中同样包含3个设备:设备A、设备B和设备C。与实施例1不同的是,使用临时密钥加密同步信息,而不是为每个设备生成一份同步数据。可以根据实际情况,定期的更换临时密钥。
601、设备A中信息发生变化,发起同步,此时设备A中信息为INFOa。
602、设备A检查服务端账号下是否存在临时密钥,如果不存在,则执行步骤603;否则,执行步骤607。
603、设备A从账号下获取最新的信任环,此信任环中包含了TAGa、TAGb和TAGc及其对应的设备公钥KEYa、KEYb和KEYc。
604、设备A随机生成临时密钥KEYt,临时密钥可以是任何对称加密算法的密钥。
605、使用设备A公钥加密临时密钥得到:TAGa|E(KEYa,KEYt);使用设备B公钥加密临时密钥得到:TAGb|E(KEYb,KEYt);使用设备C公钥加密临时密钥得到:TAGc|E(KEYc,KEYt)。
606、设备A将经加密的临时密钥提交到互联网网站,网站将其存储到设备关联的账号下。
607、设备A从账号下获取经加密的临时密钥TAGa|E(KEYa,KEYt),使用设备私钥解密得到临时密钥KEYt。
608、设备A使用临时密钥KEYt加密同步信息,并用其设备私钥对同步信息签名,得到同步数据E(KEYt,INFOa)|TAGa|S(KEYa,INFOa)。
609、设备A将同步数据提交到互联网网站,网站将其存储到设备关联的账号下。
610、当设备B登录账号时,从账号下获取经加密的临时密钥TAGb|E(KEYb,KEYt)和同步数据E(KEYt,INFOa)|TAGa|S(KEYa,INFOa);当设备C登录账号时,从账号下获取经加密的临时密钥TAGc|E(KEYc,KEYt)和同步数据E(KEYt,INFOa)|TAGa|S(KEYa,INFOa)。
611、设备B使用其设备私钥解密E(KEYb,KEYt),得到临时密钥KEYt,使用临时密钥解密E(KEYt,INFOa),并用设备A的设备公钥验证签名S(KEYa,INFOa),验证通过后,将INFOa更新到设备B中。设备C以同样的方式将INFOa更新到设备C中。
图7为本发明一个实施例的信息同步装置的示例性框图。本发明实施例的信息同步装置应用于服务端。
如图7所示,本发明实施例的信息同步装置包括处理单元71和通信单元72。处理单元71配置为将包括公钥表的授信文件进行存储,其中公钥表包括N个受信任设备的设备公钥,N>1。通信单元72配置为从第M受信任设备接收同步信息密文,并将同步信息密文关联于授信文件进行存储,其中,1≤M≤N,同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥。处理单元71还配置为基于第一设备的请求,将关联于授信文件的同步信息密文通过通信单元72发送给第一设备。
本发明实施例的信息同步装置除了可以通过图7所示的硬件的方式来实现之外,还可以通过软件的方式来实现。例如,本发明一个实施例的信息同步装置可以包括存储器和处理器,存储器存储有预定的计算机可执行指令,处理器配置为运行该预定的计算机可执行指令以执行前述任一实施例中的信息同步方法。
以上对本发明的多个实施例进行了详细说明,但需要说明的是,上述实施例仅为示例性的,并不旨在限制本发明,本领域技术人员在不脱离本发明构思的范围内基于上述实施例得出的各种修改、变型实施例均落在本发明要求保护的范围内。

Claims (10)

1.一种信息同步方法,应用于服务端,所述方法包括:
将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N>1;
从第M受信任设备接收同步信息密文,并将同步信息密文关联于授信文件进行存储,其中,1≤M≤N,所述同步信息密文是由所述第M受信任设备基于各受信任设备的设备公钥分别对同步信息进行处理获得的,以使所述同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥;
基于第一设备的请求,将关联于授信文件的同步信息密文发送给第一设备,从而第一设备从同步信息密文获得同步信息并更新到第一设备中,所述第一设备是所述N个受信任设备中除第M受信任设备外的任一受信任设备;
所述方法还包括:
从第M受信任设备接收使用第M受信任设备的设备私钥对同步信息进行处理生成的第一校验码,并将第一校验码关联于同步信息密文进行存储;
基于第一设备的请求,将第一校验码发送给第一设备。
2.如权利要求1所述的方法,其特征在于,所述同步信息密文是第M受信任设备通过使用临时密钥对同步信息加密生成的。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
将使用每个所述受信任设备的设备公钥对临时密钥加密生成的临时密钥密文关联于授信文件进行存储;
基于第一设备的请求,将关联于授信文件的临时密钥密文中与第一设备对应的临时密钥密文发送给第一设备。
4.如权利要求3所述的方法,其特征在于,所述临时密钥密文是预先从所述N个受信任设备之一接收的。
5.如权利要求3所述的方法,其特征在于,所述方法还包括:
接收到第M受信任设备对临时密钥密文的查询请求时,查询是否有关联于授信文件存储的临时密钥密文,如有则将所存储的临时密钥密文中与第M受信任设备对应的临时密钥密文发送给第M受信任设备,否则将所述授信文件发送给第M受信任设备并从第M受信任设备获得临时密钥密文。
6.一种信息同步装置,应用于服务端,包括:
处理单元,其配置为将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;
通信单元,其配置为从第M受信任设备接收同步信息密文,并将同步信息密文关联于授信文件进行存储,其中,1≤M≤N,所述同步信息密文是由所述第M受信任设备基于各受信任设备的设备公钥分别对同步信息进行处理获得的,以使所述同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥,
其中,所述处理单元还配置为,基于第一设备的请求,将关联于授信文件的同步信息密文通过所述通信单元发送给第一设备;
所述通信单元还配置为:从第M受信任设备接收使用第M受信任设备的设备私钥对同步信息进行处理生成的第一校验码,并将第一校验码关联于同步信息密文进行存储;基于第一设备的请求,将第一校验码发送给第一设备。
7.一种信息同步方法,应用于终端设备,所述方法包括:
向服务端发送与授信文件相关的同步信息获取请求,所述授信文件包括公钥表,所述公钥表包括N个受信任设备的设备公钥,所述终端设备为所述N个受信任设备之一,N>1;
从服务端获取同步信息密文,所述同步信息密文是服务端从所述N个受信任设备中除所述终端设备外的任一个受信任设备接收并关联于授信文件存储的;所述同步信息密文是由除所述终端设备外的任一个受信任设备基于各受信任设备的设备公钥分别对同步信息进行处理获得的,以使所述同步信息密文的解密过程中需要使用与所述受信任设备的设备公钥对应的设备私钥;
基于所述终端设备的设备私钥从所述同步信息密文获得同步信息,并将获得的同步信息更新到所述终端设备中;
所述的方法,还包括:
从服务端获取所述授信文件和关联于同步信息密文的第一校验码,并使用从所述授信文件的公钥表中获取的所述任一个受信任设备的设备公钥对第一校验码进行验证。
8.如权利要求7所述的方法,其中,基于所述终端设备的设备私钥从所述同步信息密文获得同步信息,包括:
使用所述终端设备的设备私钥对所述同步信息密文解密得到同步信息。
9.如权利要求7所述的方法,还包括:
从服务端获得临时密钥密文,
其中,基于所述终端设备的设备私钥从所述同步信息密文获得同步信息,包括:
使用所述终端设备的设备私钥对所述临时密钥密文解密得到临时密钥,并使用所述临时密钥对所述同步信息密文解密得到同步信息。
10.一种信息同步装置,包括:
存储器,其存储有预定的计算机可执行指令;
处理器,其配置为运行所述预定的计算机可执行指令以执行如权利要求1-5或7-9中任一项所述的方法。
CN201910275890.XA 2019-04-08 2019-04-08 一种信息同步方法及装置 Active CN109981678B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910275890.XA CN109981678B (zh) 2019-04-08 2019-04-08 一种信息同步方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910275890.XA CN109981678B (zh) 2019-04-08 2019-04-08 一种信息同步方法及装置

Publications (2)

Publication Number Publication Date
CN109981678A CN109981678A (zh) 2019-07-05
CN109981678B true CN109981678B (zh) 2021-04-09

Family

ID=67083410

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910275890.XA Active CN109981678B (zh) 2019-04-08 2019-04-08 一种信息同步方法及装置

Country Status (1)

Country Link
CN (1) CN109981678B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101484927A (zh) * 2007-07-05 2009-07-15 日立软件工程株式会社 共享加密文件的加密、解密处理方法
WO2015034407A1 (en) * 2013-09-09 2015-03-12 Telefonaktiebolaget L M Ericsson (Publ) Performing an operation on a data storage
CN105379173A (zh) * 2013-07-12 2016-03-02 皇家飞利浦有限公司 用于共享密码密钥的系统
CN106452737A (zh) * 2010-08-11 2017-02-22 安全第公司 用于安全多租户数据存储的系统和方法
CN106878005A (zh) * 2016-12-23 2017-06-20 中国电子科技集团公司第三十研究所 一种基于网络好友的根密钥管理方法及装置
CN107682355A (zh) * 2017-10-27 2018-02-09 北京深思数盾科技股份有限公司 数据保护方法及装置、数据恢复方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050195975A1 (en) * 2003-01-21 2005-09-08 Kevin Kawakita Digital media distribution cryptography using media ticket smart cards
CN107426309B (zh) * 2017-07-17 2019-02-01 北京深思数盾科技股份有限公司 一种信息同步方法、装置及系统
CN108134789B (zh) * 2017-12-21 2020-03-17 北京深思数盾科技股份有限公司 通过云进行设备间数据同步的方法和云服务器

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101484927A (zh) * 2007-07-05 2009-07-15 日立软件工程株式会社 共享加密文件的加密、解密处理方法
CN106452737A (zh) * 2010-08-11 2017-02-22 安全第公司 用于安全多租户数据存储的系统和方法
CN105379173A (zh) * 2013-07-12 2016-03-02 皇家飞利浦有限公司 用于共享密码密钥的系统
WO2015034407A1 (en) * 2013-09-09 2015-03-12 Telefonaktiebolaget L M Ericsson (Publ) Performing an operation on a data storage
CN106878005A (zh) * 2016-12-23 2017-06-20 中国电子科技集团公司第三十研究所 一种基于网络好友的根密钥管理方法及装置
CN107682355A (zh) * 2017-10-27 2018-02-09 北京深思数盾科技股份有限公司 数据保护方法及装置、数据恢复方法及装置

Also Published As

Publication number Publication date
CN109981678A (zh) 2019-07-05

Similar Documents

Publication Publication Date Title
US20180288021A1 (en) Systems and Methods for Smartkey Information Management
US8196186B2 (en) Security architecture for peer-to-peer storage system
US9137017B2 (en) Key recovery mechanism
US10708047B2 (en) Computer-readable recording medium storing update program and update method, and computer-readable recording medium storing management program and management method
US9491174B2 (en) System and method for authenticating a user
WO2020173332A1 (zh) 基于可信执行环境的应用激活方法及装置
CN109981255B (zh) 密钥池的更新方法和系统
EP2291787A2 (en) Techniques for ensuring authentication and integrity of communications
CN110690956B (zh) 双向认证方法及系统、服务器和终端
KR102137122B1 (ko) 보안 체크 방법, 장치, 단말기 및 서버
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN111080299B (zh) 一种交易信息的防抵赖方法及客户端、服务器
CN113472793A (zh) 一种基于硬件密码设备的个人数据保护系统
CN110635901A (zh) 用于物联网设备的本地蓝牙动态认证方法和系统
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
CN112765626A (zh) 基于托管密钥授权签名方法、装置、系统及存储介质
EP4037250A1 (en) Message transmitting system with hardware security module
TW201608412A (zh) 用於提供安全性雲端服務的代理器及用於安全性雲端服務的安全性訊標裝置
CA2553081C (en) A method for binding a security element to a mobile device
KR101213301B1 (ko) 다운로더블 제한 수신 시스템에서의 재인증 처리 장치 및 방법
CN110807210B (zh) 一种信息处理方法、平台、系统及计算机存储介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN111740995A (zh) 一种授权认证方法及相关装置
CN109412799B (zh) 一种生成本地密钥的系统及其方法
JP2014022920A (ja) 電子署名システム、電子署名方法および電子署名プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee after: Beijing Shendun Technology Co.,Ltd.

Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd.