CN110022207B - 密钥管理及处理数据的方法、装置、设备和计算机可读介质 - Google Patents
密钥管理及处理数据的方法、装置、设备和计算机可读介质 Download PDFInfo
- Publication number
- CN110022207B CN110022207B CN201810018244.0A CN201810018244A CN110022207B CN 110022207 B CN110022207 B CN 110022207B CN 201810018244 A CN201810018244 A CN 201810018244A CN 110022207 B CN110022207 B CN 110022207B
- Authority
- CN
- China
- Prior art keywords
- key
- data
- authorization code
- information
- acquisition request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥管理及处理数据的方法和装置,涉及计算机技术领域。该处理数据的方法的一具体实施方式包括:根据数据处理任务发送密钥获取请求,其中,密钥获取请求中包含密钥授权码的信息;获取与密钥授权码对应的密钥;利用密钥对数据进行处理。该实施方式通过密钥授权码获取密钥,进而利用密钥对数据进行处理,降低了密钥泄露的可能性,保证了数据的安全性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种密钥管理及处理数据的方法和装置。
背景技术
近年来,随着信息技术的不断创新和进步,带动了网络社交、互联网电商、互联网保险、网上银行等行业飞速发展,同时也涌现出一些弊端,例如:用户隐私等数据泄露逐渐成为人们担心、关注的问题。如何处理数据,在信息技术行业快速发展的今天具有重要意义。
数据一般都存放在数据库中,为了解决数据泄露问题,通用的方法是对数据进行加密后存储。现有技术中,有如下两种方法处理数据:一、采用不可逆加密方法加密数据,即数据被加密后不可复原的加密方法;二、采用可逆加密方法加密数据,即数据被加密后,可以通过解密复原数据的加密方法。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:一、采用不可逆加密方法加密数据,将会导致加密后的数据失去使用价值,会造成数据的可用性降低,导致许多数据成为“垃圾”数据,而这些“垃圾”数据不可能被其它业务使用,却仍然要占用计算机存储空间,仍然需人、系统、时间对这些数据进行不可逆加密;二、采用可逆加密方法加密数据存在密钥泄露的可能,使用密钥的人可以直接拿到密钥,完成对数据的加密、解密,在人为操作中,可能会泄露密钥,密钥不安全;三、采用可逆加密方法加密数据不能保证数据绝对安全,一旦密钥泄露,加密后的数据就有被恶意攻击者完全破译成明文的可能,无法从根本上解决数据泄露的问题。
发明内容
有鉴于此,本发明实施例提供一种密钥管理及处理数据的方法和装置,能够通过密钥授权码获取密钥,进而利用密钥对数据进行处理,降低了密钥泄露的可能性,保证了数据的安全性。
为实现上述目的,根据本发明实施例的一个方面,提供了一种密钥管理的方法。
本发明实施例的一种密钥管理的方法,包括:接收密钥获取请求,所述密钥获取请求中包含预先生成的密钥授权码的信息;验证所述密钥授权码是否符合预设验证规则,若符合,则查找与所述密钥授权码对应的预先生成的密钥并发送。
可选地,所述预设验证规则包括如下至少一种规则:密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则。
为实现上述目的,根据本发明实施例的再一方面,提供了一种处理数据的方法。
本发明实施例的一种处理数据的方法,包括:根据数据处理任务发送密钥获取请求,所述密钥获取请求中包含密钥授权码的信息;获取与所述密钥授权码对应的密钥;利用所述密钥对数据进行处理。
可选地,当所述数据处理任务是加密数据任务的时候,所述方法包括:根据加密数据任务发送加密密钥获取请求;获取与所述密钥授权码对应的加密密钥;利用所述加密密钥加密所述数据,并将加密后的数据保存到存储设备中;以及当所述数据处理任务是解密数据任务的时候,所述方法包括:根据解密数据任务发送解密密钥获取请求;获取与所述密钥授权码对应的解密密钥;利用所述解密密钥解密所述数据,其中,解密后的数据是不落地数据。
为实现上述目的,根据本发明实施例的另一方面,提供了一种密钥管理的装置。
本发明实施例的一种密钥管理的装置,包括:接收模块,用于接收密钥获取请求,所述密钥获取请求中包含预先生成的密钥授权码的信息;验证模块,用于验证所述密钥授权码是否符合预设验证规则,若符合,则查找与所述密钥授权码对应的预先生成的密钥并发送。
可选地,所述预设验证规则包括如下至少一种规则:密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则。
为实现上述目的,根据本发明实施例的又一方面,提供了一种处理数据的装置。
本发明实施例的一种处理数据的装置,包括:发送模块,用于根据数据处理任务发送密钥获取请求,所述密钥获取请求中包含密钥授权码的信息;获取模块,用于获取与所述密钥授权码对应的密钥;处理模块,用于利用所述密钥对数据进行处理。
可选地,当所述数据处理任务是加密数据任务的时候,所述发送模块还用于:根据加密数据任务发送加密密钥获取请求;所述获取模块还用于:获取与所述密钥授权码对应的加密密钥;所述处理模块还用于:利用所述加密密钥加密所述数据,并将加密后的数据保存到存储设备中;以及当所述数据处理任务是解密数据任务的时候,所述发送模块还用于:根据解密数据任务发送解密密钥获取请求;所述获取模块还用于:获取与所述密钥授权码对应的解密密钥;所述处理模块还用于:利用所述解密密钥解密所述数据,其中,解密后的数据是不落地数据。
为实现上述目的,根据本发明实施例的再一方面,提供了一种电子设备。
本发明实施例的一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例的密钥管理和/或处理数据的方法。
为实现上述目的,根据本发明实施例的又一方面,提供了一种计算机可读介质。
本发明实施例的一种计算机可读介质,其上存储有计算机程序,程序被处理器执行时实现本发明实施例的密钥管理和/或处理数据的方法。
上述发明中的一个实施例具有如下优点或有益效果:能够通过密钥授权码获取密钥,进而利用密钥对数据进行处理,从而可以降低密钥泄露的可能性,保证了数据的安全性;本发明实施例中预先生成数据的密钥授权码和密钥授权码对应的密钥,从而可以根据密钥授权码查询到对应的密钥,并且对用户来说密钥是不可见的,能够从人为因素上保证密钥的安全;本发明实施例中当密钥授权码验证通过时,才可以获取与密钥授权码对应的密钥,从而可以确保密钥分发的准确性;本发明实施例中从密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则等多个角度验证密钥授权码,从而可以进一步确保密钥分发的准确性,达到密钥不泄露的效果;本发明实施例中数据处理任务可以包括加密数据和/或解密数据,从而可以根据实际需求对数据进行处理;本发明实施例中利用密钥授权码获取加密密钥对数据进行加密处理,并将加密后的数据保存到存储设备中,从而可以保证用户不会获取到加密密钥,避免了人为原因导致密钥泄露,保证了数据的安全性;本发明实施例中利用密钥授权码获取解密密钥对数据进行解密处理,并且解密后的数据是不落地数据,从而可以在使用完解密后的数据后,立即删除解密后的数据,保证数据的安全性。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的密钥管理的方法的主要步骤的示意图;
图2是根据本发明实施例的处理数据的方法的主要步骤的示意图;
图3是适于实现本发明实施例的密钥管理及处理数据的方法的系统的主要架构的示意图;
图4是根据本发明实施例的密钥管理的方法的密钥分发的主要流程的示意图;
图5是根据本发明实施例的处理数据的方法的加密数据的主要流程的示意图;
图6是根据本发明实施例的处理数据的方法的解密数据的主要流程的示意图;
图7是根据本发明实施例的密钥管理的装置的主要模块的示意图;
图8是根据本发明实施例的处理数据的装置的主要模块的示意图;
图9是本发明实施例可以应用于其中的示例性系统架构图;
图10是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
当前采用密钥保护数据的方法中,如果采用不可逆加密方法加密数据,将会导致加密后的数据失去使用价值,如果采用可逆加密方法加密数据,就可能存在加密密钥泄露的情况。本发明针对现有技术的缺点,提出一种密钥管理及处理数据的方法,能够通过密钥管理的方法申请密钥授权码及密钥授权码对应的密钥,在处理数据的时候,可以通过密钥授权码获取密钥,进而利用密钥对数据进行加密和/或解密处理,降低了密钥泄露的可能性,保证了数据的安全性。其中,密钥管理的方法是由密钥管理设备执行的,处理数据的方法是由应用设备执行的。
图1是根据本发明实施例的密钥管理的方法的主要步骤的示意图,如图1所示,本发明实施例的密钥管理的方法主要包括以下步骤:
步骤S101:接收密钥获取请求。其中,密钥获取请求中包含预先生成的密钥授权码的信息。本发明中,密钥管理设备预先生成数据的密钥授权码和对应的密钥,然后将密钥授权码返回给申请的用户,并将密钥保存在密钥管理设备中。用户通过应用设备向密钥管理设备发送密钥获取请求,请求中包括密钥授权码的信息。密钥授权码是由密钥管理设备动态生成的,它必须保证密钥的唯一性。本发明中密钥授权码可以是由数字字母组成的字符串,也可以是其他形式,对此不作限定。密钥授权码与密钥有一一对应的关系,同时密钥授权码的生成并不参考用户、设备、密钥信息。比如,某个人名字是张三,他的身份证号是:9527,这在全国都是唯一的,他的大儿子的身份证号是:1234,他的小儿子的身份证号是:5678,类比得出,9527就是密钥授权码,而1234和5678就分别相当于加密密钥和解密密钥,也就是9527关联了1234和5678,而这3个数字单独来看,它们中任意一个数字的生成都由户籍管理系统决定,保证唯一,但一个数字的生成绝不会参考另外2个数字。密钥授权码的生成过程可以举例为:用户A需要加密存储某类数据,先通过密钥管理设备申请密钥授权码,在申请密钥授权码前,先要填写数据信息(比如哪些数据需要加密、如何获取这些数据等信息)和授权信息(比如申请的密钥授权码可以被哪些人、哪些设备使用等)。密钥管理设备保存用户A填写的信息,并自动生成唯一的密钥授权码及密钥授权码对应的密钥。其中,密钥存储在密钥管理设备中,不会让任何用户(包括用户A)查看到,而密钥授权码直接展示给申请该密钥授权码的用户A。本发明中密钥授权码不能加密或解密数据,因此即使密钥授权码泄露,对数据也没有威胁,达到了保护数据的效果。
步骤S102:验证所述密钥授权码是否符合预设验证规则,若符合,则查找与密钥授权码对应的预先生成的密钥并发送。当密钥管理设备接收到密钥获取请求的时候,首先验证请求中的密钥授权码是否符合预设验证规则。当密钥管理设备确认密钥授权码符合预设验证规则之后,密钥管理设备会查找与密钥授权码对应的密钥并发送到应用设备。本发明实施例中,只有当密钥授权码验证通过时,才可以获取与密钥授权码对应的密钥,从而可以确保密钥分发的准确性。
本发明实施例中,预设验证规则可以包括如下至少一种规则:密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则。密钥授权码长度规则可以包括:验证密钥授权码长度是否在规定的范围内;密钥授权码申请规则可以包括:验证密钥授权码是否申请过;密钥授权码使用规则可以包括:验证密钥授权码当前是否处于非禁止使用状态;密钥授权码授权规则可以包括:验证密钥授权码是否授权给当前设备或当前用户。其中,当前设备是指向密钥管理设备发送密钥获取请求的设备,当前用户是指登录当前设备的用户的唯一标识。比如:用户A在办公室用计算机B访问密钥管理服务器D,首先,用户A不能直接访问D,必须先访问应用服务器C,在访问C时,用户A必须用“用户名”和“密码”登录,那么这里的应用服务器C就是当前设备,用户A的用户名就是当前用户。当然,本发明实施例中的预设验证规则不限于上述规则,也可以由具体业务决定。
图2是根据本发明实施例的处理数据的方法的主要步骤的示意图,如图2所示,本发明实施例的处理数据的方法主要包括以下步骤:
步骤S201:根据数据处理任务发送密钥获取请求。其中,密钥获取请求中包含密钥授权码的信息。应用设备根据数据处理任务向密钥管理设备发送密钥获取请求,并且请求中包含密钥授权码的信息。
步骤S202:获取与密钥授权码对应的密钥。本发明实施例中,应用设备通过步骤S201发送密钥获取请求,然后接受密钥管理设备发送的与密钥授权码对应的密钥。
步骤S203:利用密钥对数据进行处理。应用设备在获取到密钥之后,利用密钥对数据进行处理。
本发明实施例中,数据处理任务可以包括:加密数据和/或解密数据。
本发明实施例中,处理数据的方法可以包括:根据加密数据任务发送加密密钥获取请求;获取与密钥授权码对应的加密密钥;利用加密密钥加密所述数据,并将加密后的数据保存到存储设备中。当收到加密数据任务的时候,应用设备发送包含密钥授权码信息的加密密钥获取请求,然后利用获取到的加密密钥对数据进行加密处理,并且将加密后的数据保存在特定的存储设备中。
本发明实施例中,处理数据的方法可以包括:根据解密数据任务发送解密密钥获取请求;获取与密钥授权码对应的解密密钥;利用解密密钥解密数据。其中,解密后的数据是不落地数据。当收到解密数据任务的时候,应用设备发送包含密钥授权码信息的解密密钥获取请求,然后利用获取到的解密密钥对数据进行解密处理。不落地数据指的是瞬时的、使用完毕就会消失的数据。
图3是适于实现本发明实施例的密钥管理及处理数据的方法的系统的主要架构的示意图。为了方便理解,本发明实施例的后续描述中,将“密钥管理设备”取为“密钥管理服务器”,“应用设备”取为“应用服务器”,“存储设备”取为“数据存储服务器”,“数据”取为“敏感数据”(例如,在注册、交易等网站中,用户的登录密码、身份证号、银行卡密码等与用户隐私有关的数据)进行详细说明,当然“密钥管理服务器”、“应用服务器”、“数据存储服务器”以及“敏感数据”并不用来对本发明技术方案的保护范围进行限定,本发明中“密钥管理设备”、“应用设备”、“存储设备”、以及“数据”可以根据具体业务场景进行适应性调整。本发明实施例中,可以通过设计一个密钥管理及处理数据的系统来具体实现密钥管理及处理数据的方法。如图3所示,适于实现本发明实施例的密钥管理及处理数据的方法的系统可以包括:数据源服务器,用于存储未加密的敏感数据;密钥管理服务器,用于生成敏感数据的密钥授权码和对应的密钥,还用于验证密钥授权码及用户身份;应用服务器,用于对敏感数据进行加密以及对加密后的数据进行解密;数据存储服务器,用于存储加密后的敏感数据。本发明中,适于实现本发明实施例的密钥管理及处理数据的方法的系统由多个服务器组成,保证了密钥管理和数据存储不存放到一台服务器中,降低了数据泄密的可能性。
如图3所示,本发明所需服务器及其之间的通信关系如下描述。密钥管理服务器根据用户填写的信息为敏感数据分配密钥授权码以及对应的密钥,并且将密钥授权码返回给用户,将密钥保存在密钥管理服务器中。在处理加密数据任务的时候,应用服务器从数据源服务器获取未加密的敏感数据,并且将用户提供的密钥授权码发送给密钥管理服务器;密钥管理服务器验证接收到密钥授权码及用户身份,验证通过之后,将密钥发送到应用服务器中;应用服务器利用获取到的密钥对敏感数据进行加密,并将加密后的数据发送到数据存储服务器中。在处理解密数据任务的时候,应用服务器从数据存储服务器获取加密后的数据,并且将用户提供的密钥授权码发送给密钥管理服务器;密钥管理服务器验证接收到密钥授权码及用户身份,验证通过之后,将密钥发送到应用服务器中;应用服务器利用获取到的密钥对加密后的数据进行解密。
本发明的密钥管理及处理数据的方法可以包括如下四个部分:密钥授权码申请单元、密钥管理单元、数据加密单元和数据解密单元。
其中,密钥授权码申请单元用于申请密钥授权码。用户和密钥授权码的关系是多对多的关系,一个用户可以有多种不同类型的数据,每种数据有不同的密钥,那么一个用户就有多个密钥授权码,同样,通常,对某种数据进行操作不会只有1个人,而是一组人,所以密钥授权码可以同时被多个人所有。
密钥管理单元可以包括密钥分发。在密钥管理过程中,对用户来说,密钥不可见。密钥本身存储在密钥管理服务器上,且不允许任何人为方式获取,只能由授权的服务器获取,其它服务器即使有密钥授权码,也不能获取密钥,这也保证恶意攻击者在获得密钥授权码后仍然不能获得密钥。其中,授权的服务器的全称是:被密钥管理服务器授权获取密钥的服务器。在申请密钥授权码时,用户填写的可以获取密钥的服务器的参数可以包括:硬件指纹、设备ID或者IP地址等,同时符合这些参数的服务器才被授权获取密钥的服务器,而其它非授权的服务器则不能获取密钥。图4是根据本发明实施例的密钥管理的方法的密钥分发的主要流程的示意图。如图4所示,根据本发明实施例的密钥管理的方法的密钥分发的主要流程可以包括:步骤S401,接收密钥获取请求,其中该请求中包含密钥授权码的信息;步骤S402,判断密钥授权码是否正确,若正确,则执行步骤S403,否则执行步骤S405;步骤S403,判断密钥授权码是否授权给当前服务器或当前用户,若是则执行步骤S404,否则执行步骤S405,其中当前服务器是指访问密钥管理服务器的应用服务器,当前用户是指登录当前服务器的用户名;步骤S404,查找密钥授权码对应的密钥并返回;步骤S405,拒绝密钥请求。
步骤S402中,判断密钥授权码是否正确可以包括:判断密钥授权码的长度是否正确,若长度正确,则确认密钥授权码正确;判断密钥授权码是否申请过,若没有申请过,则确认密钥授权码正确;判断密钥授权码是否处于非禁止使用状态,若是,则确认密钥授权码正确。
步骤S403中,判断密钥授权码是否授权给当前服务器或当前用户是根据密钥授权码申请单元中用户填写的授权信息(比如申请的密钥授权码可以被哪些人、哪些设备使用等)确定的。当前设备是指向密钥管理服务器发送获取密钥请求的应用服务器,当前用户是指登录当前设备的用户的唯一标识,比如用户名。当然,本发明实施例中,步骤S402和步骤S403对密钥授权码的判断并不限于上述顺序,也可以根据具体需求设置顺序。
在数据加密单元,加密操作可以由人工触发,或者由系统自动触发。图5是根据本发明实施例的处理数据的方法的加密数据的主要流程的示意图。如图5所示,根据本发明实施例的处理数据的方法的加密数据的主要流程可以包括:步骤S501,从数据源服务器获取敏感数据;步骤S502,向密钥管理服务器发送加密密钥获取请求;步骤S503,判断是否成功获取加密密钥;步骤S504,加密敏感数据;步骤S505,将加密后的数据保存到数据存储服务器中。
数据解密单元与数据加密单元类似,图6是根据本发明实施例的处理数据的方法的解密数据的主要流程的示意图。如图6所示,根据本发明实施例的处理数据的方法的解密数据的主要流程可以包括:步骤S601,从数据存储服务器中获取加密后的数据;步骤S602,向密钥管理服务器发送解密密钥获取请求;步骤S603,判断是否成功获取解密密钥;步骤S604,对加密后的数据进行解密;步骤S605,不落地使用明文敏感数据,并删除明文敏感数据。在步骤S605中,不落地使用明文敏感数据,是指不允许明文敏感数据永久存储,当使用完明文敏感数据之后,立即删除明文敏感数据。
根据本发明实施例的密钥管理及处理数据的技术方案可以看出,能够通过密钥授权码获取密钥,进而利用密钥对数据进行处理,从而可以降低密钥泄露的可能性,保证了数据的安全性;本发明实施例中预先生成数据的密钥授权码和密钥授权码对应的密钥,从而可以根据密钥授权码查询到对应的密钥,并且对用户来说密钥是不可见的,能够从人为因素上保证密钥的安全;本发明实施例中当密钥授权码验证通过时,才可以获取与密钥授权码对应的密钥,从而可以确保密钥分发的准确性;本发明实施例中从密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则等多个角度验证密钥授权码,从而可以进一步确保密钥分发的准确性,达到密钥不泄露的效果;本发明实施例中数据处理任务可以包括加密数据和/或解密数据,从而可以根据实际需求对数据进行处理;本发明实施例中利用密钥授权码获取加密密钥对数据进行加密处理,并将加密后的数据保存到存储设备中,从而可以保证用户不会获取到加密密钥,避免了人为原因导致密钥泄露,保证了数据的安全性;本发明实施例中利用密钥授权码获取解密密钥对数据进行解密处理,并且解密后的数据是不落地数据,从而可以在使用完解密后的数据后,立即删除解密后的数据,保证数据的安全性。
图7是根据本发明实施例的密钥管理的装置的主要模块的示意图。如图7所示,本发明的密钥管理的装置700主要包括如下模块:接收模块701和验证模块702。
其中,接收模块701可用于接收密钥获取请求。密钥获取请求中包含预先生成的密钥授权码的信息。验证模块702可用于验证密钥授权码是否符合预设验证规则,若符合,则查找与密钥授权码对应的预先生成的密钥并发送。
本发明实施例中,预设验证规则可以包括如下至少一种规则:密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则。
图8是根据本发明实施例的处理数据的装置的主要模块的示意图。如图8所示,本发明的处理数据的装置800主要包括如下模块:发送模块801、获取模块802和处理模块803。
其中,发送模块801可用于根据数据处理任务发送密钥获取请求。其中,密钥获取请求中包含密钥授权码的信息。获取模块802可用于获取与密钥授权码对应的密钥。处理模块803可用于利用密钥对数据进行处理。
本发明实施例中,当数据处理任务是加密数据任务的时候,发送模块801还可用于:根据加密数据任务发送加密密钥获取请求。获取模块802还可用于:获取与密钥授权码对应的加密密钥。以及处理模块803还可用于:利用加密密钥加密数据,并将加密后的数据保存到存储设备中。
本发明实施例中,当数据处理任务是解密数据任务的时候,发送模块801还可用于:根据解密数据任务发送解密密钥获取请求。获取模块802还可用于:获取与密钥授权码对应的解密密钥。以及处理模块803还可用于:利用解密密钥解密数据。其中,解密后的数据是不落地数据。
从以上描述可以看出,能够通过密钥授权码获取密钥,进而利用密钥对数据进行处理,从而可以降低密钥泄露的可能性,保证了数据的安全性;本发明实施例中预先生成数据的密钥授权码和密钥授权码对应的密钥,从而可以根据密钥授权码查询到对应的密钥,并且对用户来说密钥是不可见的,能够从人为因素上保证密钥的安全;本发明实施例中当密钥授权码验证通过时,才可以获取与密钥授权码对应的密钥,从而可以确保密钥分发的准确性;本发明实施例中从密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则等多个角度验证密钥授权码,从而可以进一步确保密钥分发的准确性,达到密钥不泄露的效果;本发明实施例中数据处理任务可以包括加密数据和/或解密数据,从而可以根据实际需求对数据进行处理;本发明实施例中利用密钥授权码获取加密密钥对数据进行加密处理,并将加密后的数据保存到存储设备中,从而可以保证用户不会获取到加密密钥,避免了人为原因导致密钥泄露,保证了数据的安全性;本发明实施例中利用密钥授权码获取解密密钥对数据进行解密处理,并且解密后的数据是不落地数据,从而可以在使用完解密后的数据后,立即删除解密后的数据,保证数据的安全性。
图9示出了可以应用本发明实施例的密钥管理及处理数据的方法或密钥管理及处理数据的装置的示例性系统架构900。
如图9所示,系统架构900可以包括终端设备901、902、903,网络904和服务器905。网络904用以在终端设备901、902、903和服务器905之间提供通信链路的介质。网络904可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备901、902、903通过网络904与服务器905交互,以接收或发送消息等。终端设备901、902、903上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备901、902、903可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器905可以是提供各种服务的服务器,例如对用户利用终端设备901、902、903所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的密钥管理及处理数据的方法一般由服务器905执行,相应地,密钥管理及处理数据的装置一般设置于服务器905中。
应该理解,图9中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图10,其示出了适于用来实现本发明实施例的终端设备的计算机系统1000的结构示意图。图10示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图10所示,计算机系统1000包括中央处理单元(CPU)1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM 1003中,还存储有系统1000操作所需的各种程序和数据。CPU 1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
以下部件连接至I/O接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括发送模块、获取模块和处理模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,发送模块还可以被描述为“根据数据处理任务发送密钥获取请求的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:根据数据处理任务发送密钥获取请求;获取与密钥授权码对应的密钥;利用密钥对数据进行处理。
根据本发明实施例的技术方案,能够通过密钥授权码获取密钥,进而利用密钥对数据进行处理,从而可以降低密钥泄露的可能性,保证了数据的安全性;本发明实施例中预先生成数据的密钥授权码和密钥授权码对应的密钥,从而可以根据密钥授权码查询到对应的密钥,并且对用户来说密钥是不可见的,能够从人为因素上保证密钥的安全;本发明实施例中当密钥授权码验证通过时,才可以获取与密钥授权码对应的密钥,从而可以确保密钥分发的准确性;本发明实施例中从密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则等多个角度验证密钥授权码,从而可以进一步确保密钥分发的准确性,达到密钥不泄露的效果;本发明实施例中数据处理任务可以包括加密数据和/或解密数据,从而可以根据实际需求对数据进行处理;本发明实施例中利用密钥授权码获取加密密钥对数据进行加密处理,并将加密后的数据保存到存储设备中,从而可以保证用户不会获取到加密密钥,避免了人为原因导致密钥泄露,保证了数据的安全性;本发明实施例中利用密钥授权码获取解密密钥对数据进行解密处理,并且解密后的数据是不落地数据,从而可以在使用完解密后的数据后,立即删除解密后的数据,保证数据的安全性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (8)
1.一种密钥管理的方法,其特征在于,应用于密钥管理设备,包括:
基于用户预先填写的数据信息及授权信息生成密钥授权码以及与所述密钥授权码对应的密钥;其中,所述数据信息为需要处理的数据以及数据的获取方式,所述授权信息为具有所述密钥授权码使用权限的用户以及设备;
接收密钥获取请求,所述密钥获取请求中包含预先生成的密钥授权码的信息;
验证所述密钥授权码是否符合预设验证规则,若符合,则查找与所述密钥授权码对应的预先生成的密钥并发送;所述预设验证规则包括如下至少一种规则:密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则。
2.一种处理数据的方法,其特征在于,包括:
根据数据处理任务向密钥管理设备发送密钥获取请求,所述密钥获取请求中包含密钥授权码的信息;其中,所述密钥管理设备基于用户预先填写的数据信息及授权信息生成所述密钥授权码以及与所述密钥授权码对应的密钥;所述数据信息为需要处理的数据以及数据的获取方式,所述授权信息为具有所述密钥授权码使用权限的用户以及设备;
从所述密钥管理设备获取与所述密钥授权码对应的密钥;
利用所述密钥对数据进行处理。
3.根据权利要求2所述的方法,其特征在于,
当所述数据处理任务是加密数据任务的时候,所述方法包括:
根据加密数据任务发送加密密钥获取请求;
获取与所述密钥授权码对应的加密密钥;
利用所述加密密钥加密所述数据,并将加密后的数据保存到存储设备中;以及
当所述数据处理任务是解密数据任务的时候,所述方法包括:
根据解密数据任务发送解密密钥获取请求;
获取与所述密钥授权码对应的解密密钥;
利用所述解密密钥解密所述数据,其中,解密后的数据是不落地数据。
4.一种密钥管理的装置,其特征在于,包括:
存储模块,用于基于用户预先填写的数据信息及授权信息生成密钥授权码以及与所述密钥授权码对应的密钥;其中,所述数据信息为需要处理的数据以及数据的获取方式,所述授权信息为具有所述密钥授权码使用权限的用户以及设备;
接收模块,用于接收密钥获取请求,所述密钥获取请求中包含预先生成的密钥授权码的信息;
验证模块,用于验证所述密钥授权码是否符合预设验证规则,若符合,则查找与所述密钥授权码对应的预先生成的密钥并发送;所述预设验证规则包括如下至少一种规则:密钥授权码长度规则、密钥授权码申请规则、密钥授权码使用规则和密钥授权码授权规则。
5.一种处理数据的装置,其特征在于,包括:
发送模块,用于根据数据处理任务向密钥管理设备发送密钥获取请求,所述密钥获取请求中包含密钥授权码的信息;其中,所述密钥管理设备基于用户预先填写的数据信息及授权信息生成所述密钥授权码以及与所述密钥授权码对应的密钥;所述数据信息为需要处理的数据以及数据的获取方式,所述授权信息为具有所述密钥授权码使用权限的用户以及设备;
获取模块,用于从所述密钥管理设备获取与所述密钥授权码对应的密钥;
处理模块,用于利用所述密钥对数据进行处理。
6.根据权利要求5所述的装置,其特征在于,
当所述数据处理任务是加密数据任务的时候,所述发送模块还用于:根据加密数据任务发送加密密钥获取请求;所述获取模块还用于:获取与所述密钥授权码对应的加密密钥;所述处理模块还用于:利用所述加密密钥加密所述数据,并将加密后的数据保存到存储设备中;以及
当所述数据处理任务是解密数据任务的时候,所述发送模块还用于:根据解密数据任务发送解密密钥获取请求;所述获取模块还用于:获取与所述密钥授权码对应的解密密钥;所述处理模块还用于:利用所述解密密钥解密所述数据,其中,解密后的数据是不落地数据。
7.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-3中任一所述的方法。
8.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-3中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810018244.0A CN110022207B (zh) | 2018-01-09 | 2018-01-09 | 密钥管理及处理数据的方法、装置、设备和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810018244.0A CN110022207B (zh) | 2018-01-09 | 2018-01-09 | 密钥管理及处理数据的方法、装置、设备和计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110022207A CN110022207A (zh) | 2019-07-16 |
| CN110022207B true CN110022207B (zh) | 2023-06-23 |
Family
ID=67187679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810018244.0A Active CN110022207B (zh) | 2018-01-09 | 2018-01-09 | 密钥管理及处理数据的方法、装置、设备和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110022207B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110399745A (zh) * | 2019-08-16 | 2019-11-01 | 微位(深圳)网络科技有限公司 | 密钥的管理方法与装置、存储介质及计算机设备 |
| CN111010283B (zh) * | 2019-12-20 | 2023-01-31 | 北京同邦卓益科技有限公司 | 用于生成信息的方法和装置 |
| CN112632589A (zh) * | 2020-12-31 | 2021-04-09 | 深圳前海微众银行股份有限公司 | 密钥托管方法、装置、设备及计算机可读存储介质 |
| CN113672903A (zh) * | 2021-10-22 | 2021-11-19 | 深圳市信润富联数字科技有限公司 | 密码管理方法、电子装置、装置及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013152383A1 (en) * | 2012-04-13 | 2013-10-17 | Department Of Industry, Innovation, Science, Research And Tertiary Education | System and method for facilitating secure communication of data over a communications network |
| CN106650482A (zh) * | 2015-11-04 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 电子文件加密解密方法、装置和系统 |
| CN106888183A (zh) * | 2015-12-15 | 2017-06-23 | 阿里巴巴集团控股有限公司 | 数据加密、解密、密钥请求处理的方法和装置及系统 |
-
2018
- 2018-01-09 CN CN201810018244.0A patent/CN110022207B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013152383A1 (en) * | 2012-04-13 | 2013-10-17 | Department Of Industry, Innovation, Science, Research And Tertiary Education | System and method for facilitating secure communication of data over a communications network |
| CN106650482A (zh) * | 2015-11-04 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 电子文件加密解密方法、装置和系统 |
| CN106888183A (zh) * | 2015-12-15 | 2017-06-23 | 阿里巴巴集团控股有限公司 | 数据加密、解密、密钥请求处理的方法和装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110022207A (zh) | 2019-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9461820B1 (en) | Method and apparatus for providing a conditional single sign on | |
| US8788843B2 (en) | Storing user data in a service provider cloud without exposing user-specific secrets to the service provider | |
| RU2576479C2 (ru) | Способ и система для посещения приложения третьей стороны через облачную платформу | |
| US9166781B2 (en) | Key change management apparatus and key change management method | |
| US20160050193A1 (en) | System and methods for secure communication in mobile devices | |
| CN110022207B (zh) | 密钥管理及处理数据的方法、装置、设备和计算机可读介质 | |
| KR101648364B1 (ko) | 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법 | |
| CN105074713A (zh) | 用于当连接至网络时识别安全应用程序的系统和方法 | |
| CN204360381U (zh) | 移动设备 | |
| CN112182514A (zh) | 授权验证的方法、装置、设备和计算机可读介质 | |
| US10142100B2 (en) | Managing user-controlled security keys in cloud-based scenarios | |
| CN107040520B (zh) | 一种云计算数据共享系统及方法 | |
| CN112966287B (zh) | 获取用户数据的方法、系统、设备和计算机可读介质 | |
| US11888822B1 (en) | Secure communications to multiple devices and multiple parties using physical and virtual key storage | |
| CN113906425A (zh) | 用于保护离线数据的系统和方法 | |
| JP2022093492A (ja) | データ抽出システム、データ抽出方法、登録装置及びプログラム | |
| Chinnasamy et al. | A scalable multilabel‐based access control as a service for the cloud (SMBACaaS) | |
| WO2022144024A1 (en) | Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization | |
| JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
| JP2023532976A (ja) | ユーザの身元の検証のための方法およびシステム | |
| CN112565156B (zh) | 信息注册方法、装置和系统 | |
| CN113886793A (zh) | 设备登录方法、装置、电子设备、系统和存储介质 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| CN107707528B (zh) | 一种用户信息隔离的方法和装置 | |
| CN110602075A (zh) | 一种加密访问控制的文件流处理的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |