CN110138765B - 数据处理方法、装置、计算机设备和计算机可读存储介质 - Google Patents
数据处理方法、装置、计算机设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN110138765B CN110138765B CN201910387532.8A CN201910387532A CN110138765B CN 110138765 B CN110138765 B CN 110138765B CN 201910387532 A CN201910387532 A CN 201910387532A CN 110138765 B CN110138765 B CN 110138765B
- Authority
- CN
- China
- Prior art keywords
- instant messaging
- key
- identifier
- secret
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
本申请公开了一种数据处理方法和装置,属于网络通信技术领域,用于提高即时通信内容的安全性。该方法中,私有化的即时通讯服务系统可以从不同的第三方密码产品选择密码产品,进行通信数据的加解密。这样,通信数据和密钥可以分开管理,在客户端通讯消息通过第三方的密码产品做加解密处理,进一步保证了用户通信数据的安全,而且,有多种密码产品可选使得密钥破解不知针对何种密码产品进行,提高密钥破解的难度,从而提高用户通信内容的安全性。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种数据处理方法和装置。
背景技术
即时通讯技术由于其时效性高,沟通方便,所以越来越多的用户采用即时通讯客户端进行通信。
目前,为了保护用户信息安全,即时通讯客户端之间的通信数据需要密钥进行加密处理。然而,相关技术中,即时通讯服务端能够管理密钥,导致即时通讯服务端持有加密的数据以及解密密钥,故此用户数据仍存在安全隐患。
发明内容
本申请实施例提供一种数据处理方法、装置和设备,用于提升数据处理的效率,缩减数据处理的成本。
一方面,提供一种数据处理方法,所述方法包括:
即时通讯服务端响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息,所述密码产品标识为选择的密码产品的标识,其中,供选择的密码产品包括至少两个;选择的密码产品的密钥管理端进行密钥管理,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据;
将所述加解密指示信息发送给所述指定即时通讯系统对应的即时通讯客户端。
可选的,所述方法还包括:
生成所述指定即时通讯系统的应用标识以及对应的随机字符串Secret,并将所述应用标识和所述Secret对应保存;
接收所述密码产品标识对应的密码产品中的密钥管理端发送的认证请求;所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
从对应保存的应用标识和Secret中,查找所述待认证应用标识对应的 Secret;
若查找到的Secret与所述待认证Secret匹配,则根据所述用户标识以及所述登录态对所述用户标识对应的用户进行鉴权;
将鉴权结果发送给所述密钥管理端。
可选的,响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息之前,所述方法还包括:
确定接收到用于开启所述指定即时通讯系统的密钥托管功能。
可选的,所述加解密指示信息中还包括连接参数和/或用于指示是否开启密钥托管功能的参数,所述连接参数为用于连接选择的密码产品对应的密钥服务端的参数,所述是否开启密钥托管功能的参数用于指示客户端是否调用所述密码产品的密码套件SDK进行通信数据的加解密操作。
第二方面,本申请实施例提供一种数据处理方法,所述方法包括:
即时通讯客户端接收即时通讯服务端发送的携带有密码产品标识的加解密指示信息,所述密码产品标识为所述即时通讯客户端对应的指定即时通讯系统采用的密码产品的标识;
调用所述密码产品标识对应的密码产品的密码套件(Software DevelopmentKit,SDK)进行通信数据的加解密操作,其中,所述SDK采用的密钥为所述密码产品的密钥管理端管理的。
可选的,所述加解密指示信息中还包括连接参数,所述调用所述密码产品的SDK进行通信数据加解密操作之前,所述方法还包括:
基于所述连接参数,调用所述SDK向所述密码产品的密钥管理端发送密钥获取请求,所述密钥获取请求中包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
接收所述密钥管理端分配的与所述会话标识对应的密钥并存储在缓存中;
所述调用所述密码产品的SDK进行通信数据的加解密操作,包括:
调用所述密码产品的SDK采用缓存中的与所述会话标识对应的密钥进行通信数据的加解密操作。
可选的,所述方法还包括:
若所述缓存中不存在所述会话ID对应的密钥,则返回执行基于所述连接参数,向所述密码产品的密钥管理端发送密钥获取请求的操作。
可选的,所述加解密指示信息中还包括用于指示是否开启密钥托管功能的参数,所述调用所述密码产品的SDK进行通信数据的加解密操作之前,所述方法还包括:
确定所述加解密指示信息中的指示是否开启密钥托管功能的参数为表示开启密钥托管功能的参数。
可选的,所述密钥为对称密钥。
第三方面,本申请实施例提供一种数据处理方法,所述方法包括:
响应于设置指定即时通讯系统的应用标识以及对应的随机字符串Secret的设置请求,保存设置的所述应用标识以及对应的所述Secret;
根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据。
可选的,所述根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,包括:
接收即时通讯客户端调用密码套件SDK发送的密钥获取请求,所述密钥获取请求包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
发送认证请求给即时通讯服务端,所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;所述待认证应用标识以及待认证Secret为保存的所述指定即时通讯系统的应用标识及其对应的Secret;
接收所述即时通讯服务端发送的鉴权结果;
若所述鉴权结果为鉴权通过,则为所述会话标识分配对应的密钥;
将分配的密钥发送给所述即时通讯客户端调用的SDK。
第四方面,本申请实施例提供一种数据处理装置,所述装置包括:
响应模块,用于即时通讯服务端响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息,所述密码产品标识为选择的密码产品的标识,其中,供选择的密码产品包括至少两个;选择的密码产品的密钥管理端进行密钥管理,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据;
发送模块,用于将所述加解密指示信息发送给所述指定即时通讯系统对应的即时通讯客户端。
可选的,所述装置还包括:
认证信息生成模块,用于生成所述指定即时通讯系统的应用标识以及对应的随机字符串Secret,并将所述应用标识和所述Secret对应保存;
接收模块,用于接收所述密码产品标识对应的密码产品中的密钥管理端发送的认证请求;所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
查找模块,用于从对应保存的应用标识和Secret中,查找所述待认证应用标识对应的Secret;
鉴权模块,用于若查找到的Secret与所述待认证Secret匹配,则根据所述用户标识以及所述登录态对所述用户标识对应的用户进行鉴权;
所述发送模块还用于将鉴权结果发送给所述密钥管理端。
可选的,所述装置还包括:
确定模块,用于在所述响应模块响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息之前,确定接收到用于开启所述指定即时通讯系统的密钥托管功能的操作指令。
可选的,所述加解密指示信息中还包括连接参数和/或用于指示是否开启密钥托管功能的参数,所述连接参数为用于连接选择的密码产品对应的密钥服务端的参数,所述是否开启密钥托管功能的参数用于指示客户端是否调用所述密码产品的密码套件SDK进行通信数据的加解密操作。
第五方面,本申请实施例提供一种数据处理装置,所述装置包括:
指示信息接收模块,用于接收即时通讯服务端发送的携带有密码产品标识的加解密指示信息,所述密码产品标识为所述即时通讯客户端对应的指定即时通讯系统采用的密码产品的标识;
调用模块,用于调用所述密码产品标识对应的密码产品的密码套件SDK 进行通信数据的加解密操作,其中,所述SDK采用的密钥为所述密码产品的密钥管理端管理的。
可选的,所述加解密指示信息中还包括连接参数,所述装置还包括:
密钥获取请求发送模块,用于在所述调用模块所述调用所述密码产品的 SDK进行通信数据加解密操作之前,基于所述连接参数,调用所述SDK向所述密码产品的密钥管理端发送密钥获取请求,所述密钥获取请求中包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
缓存模块,用于接收所述密钥管理端分配的与所述会话标识对应的密钥并存储在缓存中;
所述调用模块用于:
调用所述密码产品的SDK采用缓存中的与所述会话标识对应的密钥进行通信数据的加解密操作。
可选的,所述装置还包括:
返回执行模块,用于若所述缓存中不存在所述会话ID对应的密钥,则返回执行基于所述连接参数,向所述密码产品的密钥管理端发送密钥获取请求的操作。
可选的,所述加解密指示信息中还包括用于指示是否开启密钥托管功能的参数,所述装置还包括:
密钥托管确定模块,用于在所述调用模块调用所述密码产品的SDK进行通信数据的加解密操作之前,确定所述加解密指示信息中的指示是否开启密钥托管功能的参数为表示开启密钥托管功能的参数。
可选的,所述密钥为对称密钥。
第六方面,本申请实施例提供一种数据处理装置,所述装置包括:
设置模块,用于响应于设置指定即时通讯系统的应用标识以及对应的随机字符串Secret的设置请求,保存设置的所述应用标识以及对应的所述Secret;
管理模块,用于根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据。
可选的,所述管理模块用于:
接收即时通讯客户端调用密码套件SDK发送的密钥获取请求,所述密钥获取请求包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
发送认证请求给即时通讯服务端,所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;所述待认证应用标识以及待认证Secret为保存的所述指定即时通讯系统的应用标识及其对应的Secret;
接收所述即时通讯服务端发送的鉴权结果;
若所述鉴权结果为鉴权通过,则为所述会话标识分配对应的密钥;
将分配的密钥发送给所述即时通讯客户端调用的SDK。
再一方面,本申请实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,
所述处理器执行所述计算机程序时实现上述方面所述的方法步骤。
另一方面,本申请实施例提供一种计算机可读存储介质,
所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机能够执行上述方面所述的方法。
为了能够提高即时通讯用户的数据安全性,本申请实施例提供了一种解决方法,在该方法中即时通讯客户端均可以支持多种密码产品。可通过即时通讯服务端选择相应的密码产品来管理密钥。其中,密码产品厂商需维护密码产品的SDK及密钥管理端。在即时通讯系统中,用于对即时通讯消息的加解密密钥的分配由独立的第三方提供的密钥管理端来管理。这样,即时通讯服务端无法得知即时通讯消息中的密钥,故此无法对加密数据进行加密,从而提高通信数据的安全性。而有多种密码产品可选使得密钥破解不知针对何种密码产品进行,提高密钥破解的难度,从而提高用户通信内容的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的数据处理方法的应用场景示意图;
图2为本申请实施例提供的操作界面示意图;
图3为本申请实施例提供的数据处理方法的流程示意图之一;
图4为本申请实施例提供的数据处理方法的流程示意图之二;
图5数为本申请实施例提供的数据处理方法的流程示意图之三;
图6为本申请实施例提供的数据处理方法的流程示意图之四;
图7为本申请实施例提供的数据处理方法的流程示意图之五;
图8为本申请实施例提供的数据处理装置的结构示意图之一;
图9为本申请实施例提供的数据处理装置的结构示意图之二;
图10为本申请实施例提供的数据处理装置的结构示意图之三;
图11为本申请实施例提供的计算机设备的一种结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
登录态:指的是即时通讯客户端的用户登录成功之后,即时通讯服务端分配的随机字符串;登录成功之后即时通讯客户端跟即时通讯服务端通信时携带有登录态,该登录态可以使即时通讯服务端识别到即时通讯客户端已经登录,并且登录态在即时通讯服务端具有有效期限制。超过有效期后,即时通讯客户端需要重新获取登录态。
AppID:密码产品标识。例如可以Wie即时通讯应用标识,用于唯一标识一套即时通讯服务系统的部署。例如一套即时通讯应用服务的部署对应于一个唯一的AppID。
Secret:是即时通讯服务端生成的随机字符串,用于让密钥管理端通过 Secret和AppID在即时通讯服务端进行鉴权,以便于建立密钥管理端和即时通讯服务端之间的信任。
本申请实施例中的即时通讯系统可指一种可以被私有化部署的即时通讯应用系统。例如,企业内部部署的即时通讯服务系统。当然,也可以指通用的例如可供任何下载客户端的用户进行即时通讯的服务系统。
为了能够提高即时通讯用户的数据安全性,本申请实施例提供了一种解决方法,在该方法中即时通讯客户端均可以支持多种密码产品。该密码产品可指采用了密码技术(可以为商用密码也可以为国密标准密码)对信息进行加解密保护的产品,若采用国密标准密码,则产品通过了国家密码管理局认证。密码产品可包括密钥管理端以及SDK。其中,密钥管理端可以用于管理即时通信客户端之间进行通信时的密钥,密钥的管理可包括密钥生成、密钥分配、清理不再继续采用的密钥等。而SDK可为根据即时通讯系统开发商提供的统一接口规范,由密码产品开发商开发提供的软件包,例如可用于即时通讯系统中客户端与密钥管理端交互过程,以及实现即时通讯客户端的数据加密和解密算法。
在即时通讯系统中,用于对即时通讯消息的加解密密钥的分配由独立的第三方提供的密钥管理端来管理。这样,即时通讯服务端无法得知即时通讯消息中的密钥,故此无法对加密数据进行加密,从而提高通信数据的安全性。而且,有多种密码产品可选使得密钥破解不知针对何种密码产品进行,提高密钥破解的难度,从而提高用户通信内容的安全性。
如图1所示为本申请实施例提供的应用场景示意图,该场景中包括用户1 及其使用的智能终端11,以及用户2及其使用的智能终端12,即时通讯服务端13和密钥管理端14。其中,密钥管理端14包括防火墙和密码机。
其中,智能终端11和智能终端12中安装有即时通讯应用13以及多种SDK。即时通讯服务端可以支持至少一种类型的密码产品。每种密码产品有不同的提供商提供。
首先,配置即时通讯服务端开启密钥托管功能。具体而言,如果开启密钥托管功能,则密钥的管理工作将由第三方密钥管理端来执行,而不是由即时通讯服务端执行。相应的,如果关闭密钥托管功能,则密钥管理工作依然由通信服务端执行。
即时通讯服务端可以提供如图2所示的操作界面20。在该操作界面中配置即时通讯服务端开启密钥托管功能之后,可以继续配置即时通讯服务端选用的密码产品,如图2所示,设置是否开启密钥托管功能。若开启密钥托管功能,则界面会提示进一步生成即时通讯服务部署的AppID和Secret。此外,在操作界面中还可以为选择的即时通讯系统配置采用的密码产品。如图2所示,可以从即时通讯服务已经支持的密码产品中选择采用其中一个密码产品。
进行上述配置后,可以将AppID和Secret告知给采用的密码产品的密钥管理端,以便于密钥管理端在访问即时通讯服务端时携带上将AppID和Secret 以便于建立密钥管理端和即时通讯服务端之间的信任。
即时通讯客户端登陆即时通讯服务端时,即时通讯服务端会告知即时通讯客户端需要采用何种密码产品以及该密码产品的密钥管理端的连接参数。该连接参数例如为可用于连接密钥服务端的参数,例如可以包括连接地址,以及即时通讯客户端与密钥管理端之间通信的公钥。
即时通讯客户端采用该连接参数访问密钥管理端,密钥管理端对访问的用户进行鉴权后,如果鉴权通过则为其提供密钥进行会话。
由上述方案可知,本申请实施例中,即时通讯客户端能够支持多种密码产品,即时通讯服务端可以从支持的多种密码产品中选择需要的一种来进行会话内容的加解密即可。
下面进一步结合实施例对本申请实施例提供的数据处理方法进行说明。
如图3所示,为本申请实施例提供的即时通讯服务端的数据处理方法的流程示意图,包括以下步骤:
步骤301:即时通讯服务端响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息,所述密码产品标识为选择的密码产品的标识,其中,供选择的密码产品包括至少两个;选择的密码产品的密钥管理端进行密钥管理,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据。
其中,在一个实施例中,如前所述在响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息之前,还可以确定接收到用于开启所述指定即时通讯应用部署的密钥托管功能的操作指令。由此,不同类型的即时通讯应用系统是否开启密钥托管功能,可以根据实际需求确定。提高了采用何种密钥管理和加密方式的灵活性。
步骤302:将所述加解密指示信息发送给所述指定即时通讯系统对应的即时通讯客户端。
由步骤301-步骤302可知,即时通讯服务系统可以从不同的密码产品中选择密码产品用于进行通信数据的加解密。这样,通信数据和密钥可以分开管理,在客户端通讯消息通过第三方的密码产品做加解密处理,进一步保证了用户通信数据的安全。此外,有多种密码产品可选使得密钥破解不知针对何种密码产品进行,提高密钥破解的难度,从而提高用户通信内容的安全性。
在一个实施例中,为了便于建立密钥管理端和即时通讯服务端之间的信任,还可以采用应用标识和Secret来对密钥管理端进行认证,具体的可实施为:
步骤401:生成所述指定即时通讯系统的应用标识以及对应的随机字符串Secret,并将所述应用标识和所述Secret对应保存。
步骤402:接收所述密码产品的密钥管理端发送的认证请求;所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态。
也即,即时通讯客户端用户需要获取密钥进行通话时,需要发送密钥获取请求给密钥管理端,所述密钥获取请求中包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态。这样,密钥管理端基于即时通讯客户端的密钥获取请求,向即时通讯服务端发起鉴权。即时通讯服务端鉴权的过程可包括如下步骤403-步骤405。
步骤403:从对应保存的应用标识和Secret中,查找所述待认证应用标识对应的Secret。
步骤404:若查找到的Secret与所述待认证Secret匹配,则根据所述用户标识以及所述登录态对所述用户标识对应的用户进行鉴权;
也即,步骤402和步骤403中即时通讯服务端实现了对密钥管理端的认证。具体的,若待认证应用标识及其对应的待认证Secret和即时通讯服务端保存的内容不一致,则确定密钥管理端为非法访问用户,则拒绝其认证请求,即可以向密钥管理端反馈认证失败的消息,也可以对结束对认证请求的处理不对密钥管理端作回应。
若待认证应用标识及其对应的待认证Secret和即时通讯服务端保存的内容不一致,则确定密钥管理端为可信的访问用户,可以进一步对即时通讯服务端的用户进行鉴权。
步骤405:将鉴权结果发送给所述密钥管理端。
在一个实施例中,满足以下条件时,则确定对即时通讯客户端的用户鉴权通过:用户标识为合法用户标识,且其登录态在有效期内。否则,若任一条件不满足则鉴权失败。
相应的,密钥管理端在确定鉴权结果为鉴权通过时,可以为用户标识对应的即时通讯客户端下发其所需要的密钥。如何下发密钥将在后文的实施例中进行说明,这里暂不赘述。
通过上述实施例,并非任何的密钥管理端都能随意的访问和管理密钥,仅是通过服务端认证并且需要获取密钥的用户鉴权通过的情况下,才能继续执行后续的操作,通过这种信任机制,可以提高获取密钥的成本和复杂度,从而进一步保证用户通信数据的安全性。
在一个实施例中,所述加解密指示信息中还包括连接参数和/或用于指示是否开启密钥托管功能的参数,所述连接参数为用于连接选择的密码产品对应的密钥服务端的参数,所述是否开启密钥托管功能的参数用于指示客户端是否调用所述密码产品的密码套件SDK进行通信数据的加解密操作。这样,即时通讯客户端可以根据连接参数访问密钥管理端,从而获取到密钥进行数据的加解密。
而,根据是否开启密钥托管功能的参数可以获知是采用SDK进行加解密还是采用即时通讯服务端提供的密钥进行加解密。以便于即时通讯客户端明确自身进行通信时的加解密操作方式。
当然,需要说明的是,连接参数可以预先下发给即时通讯客户端,而不需要在加解密指示信息中携带。即时通讯客户端只需要获知采用何种密码产品进行加解密即可获知采用何种密钥管理端的连接参数实现对密钥服务端的访问。
当然,具体实施时,是否开启密钥托管功能的参数也可以不携带在加解密指示信息中,例如,可实施为即时通讯客户端只要接收到密码产品标识即可确认开启密钥托管功能。
在一个实施例中,密钥管理端可以为指定即时通讯系统的生成一对公私钥。其中,将公钥经由即时通讯服务端转发给即时通讯客户端。由此,即时通讯客户端在和相应的密钥管理端进行通信时,调用相应SDK采用公钥对通信内容进行加密后发送给密钥服务端。针对密钥服务端采用私钥对通信内容加密后发送给即时通讯客户端。然后即时通讯客户端采用公钥对通信内容进行解密。
以上,介绍了即时通讯服务端执行的数据处理方法,相应的,下面结合图 5对本申请实施例中即时通讯客户端的数据处理方法做进一步说明,包括以下步骤:
步骤501:即时通讯客户端接收即时通讯服务端发送的携带有密码产品标识的加解密指示信息,所述密码产品标识为所述即时通讯客户端对应的指定即时通讯系统采用的SDK的标识。
在一个实施例中,同一即时通讯客户端支持多种密码产品,这多种密码产品的SDK由第三方密码产品厂商提供。
步骤502:调用所述密码产品标识对应的密码产品的密码套件SDK进行通信数据的加解密操作,其中,所述SDK采用的密钥为所述密码产品的密钥管理端管理的。
由上述方案可知,客户端通过调用相应的SDK来完成数据的加解密操作,且SDK采用的密钥不是由即时通讯服务端进行管理,而是由密钥管理端进行管理的。且不同的SDK可对应不同的密钥管理端,这样,即使用户通信数据泄露,非法者首先不能确定有多种密码产品可供使用,其次也无法获知使用了何种SDK,故而增加了破解密钥的成本和难度,提高用户通信数据的安全性。
在一个实施例中,如前所述,所述加解密指示信息中还可包括连接参数。所述即时通讯客户端可以基于所述连接参数,调用所述SDK向所述密码产品的密钥管理端发送密钥获取请求,所述密钥获取请求中包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;然后,接收所述密钥管理端分配的与所述会话标识对应的密钥并存储在缓存中。由此,即时通讯客户端可以调用所述密码产品的SDK采用缓存中的与所述会话标识对应的密钥进行通信数据的加解密操作。该方案中,密钥缓存在缓存中,在释放缓存时,密钥会相应的删除。故此,密钥并不存储在即时通讯客户端所在的智能终端本地,提高了密钥的安全性。
在一个实施例中,如前所述,同一会话标识的密钥会因为释放缓存而被删除。故此,若所述缓存中不存在所述会话ID对应的密钥,则返回执行基于所述连接参数,向所述密码产品的密钥管理端发送密钥获取请求的操作,以此来重新获取相应的密钥。这样,既保证了密钥的安全性,又能够通过重新获取密钥的渠道使得通信能够持续的进行。
在一个实施例中,如前所述,所述加解密指示信息中还包括用于指示是否开启密钥托管功能的参数,所述调用所述密码产品的SDK进行通信数据的加解密操作之前,还可以确定所述加解密指示信息中的指示是否开启密钥托管功能的参数为表示开启密钥托管功能的参数。由此,即时通讯客户端能够得知进行会话时,是采用第三方提供的密码产品进行加解密处理,还是由即时通讯服务端提供的密钥进行加解密操作。
在一个实施例中,采用的密钥可以为对称密钥可以为非对称密钥。其中,一对一的会话中,采用的密钥可以为非对称密钥。而在群聊的会话中,由于会话参与者有多个,公钥持有者和私钥持有者难以分配,故此,群聊会话中可采用对称密钥。由此,加密和解密都采用相同的密钥,以便于简化群聊会话中的密钥分配。
下面,结合密钥管理端对本申请实施例提供的数据处理方法做进一步说明,如图6所示,包括以下步骤:
步骤601:响应于设置指定即时通讯系统的应用标识以及对应的随机字符串Secret的设置请求,保存设置的所述应用标识以及对应的所述Secret。
在一个实施例中,密钥管理端可以提供操作界面,供管理员输入应用标识及其对应的Secret。
步骤602:根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据。
在一个实施例中,如图7所示,所述根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,可包括以下步骤:
步骤701:接收即时通讯客户端调用密码套件SDK发送的密钥获取请求,所述密钥获取请求包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态。
步骤702:发送认证请求给即时通讯服务端,所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;所述待认证应用标识以及待认证Secret为保存的所述指定即时通讯系统的应用标识及其对应的Secret。
步骤703:接收所述即时通讯服务端发送的鉴权结果。
步骤704:若所述鉴权结果为鉴权通过,则为所述会话标识分配对应的密钥。
在一个实施例中,生成每个会话标识对应的密钥后,可将会话标识和密钥对应存储,以便于在即时通讯客户端请求密钥时,根据该请求中的会话标识查找相应的密钥并反馈给即时通讯客户端。此外,如果没有存储请求的会话的会话标识对应的密钥时,则首先生成密钥,如果存储有会话标识对应的密钥,则获取相应的密钥分发给用户。
步骤705:将分配的密钥发送给所述即时通讯客户端调用的SDK。
由此,只有密钥管理端和即时通讯客户端的SDK才能够拿到密钥,由此能够提高用户通信数据的安全性。
在一个实施例中,如前所述,分配的密钥可以是对此密钥以简化群聊用户的密钥分配问题。当然,具体实施时,分配的密钥也可以是非对称密钥。
在一个实施例中,采用的密钥可以为国密标准的密钥,也可以是非国密标准的密钥。
请参见图8,基于同一发明构思,本申请实施例还提供了一种数据处理装置,包括:
响应模块801,用于即时通讯服务端响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息,所述密码产品标识为选择的密码产品的标识,其中,供选择的密码产品包括至少两个;选择的密码产品的密钥管理端进行密钥管理,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据;
发送模块802,用于将所述加解密指示信息发送给所述指定即时通讯系统对应的即时通讯客户端。
可选的,所述装置还包括:
认证信息生成模块,用于生成所述指定即时通讯系统的应用标识以及对应的随机字符串Secret,并将所述应用标识和所述Secret对应保存;
接收模块,用于接收所述密码产品标识对应的密码产品中的密钥管理端发送的认证请求;所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
查找模块,用于从对应保存的应用标识和Secret中,查找所述待认证应用标识对应的Secret;
鉴权模块,用于若查找到的Secret与所述待认证Secret匹配,则根据所述用户标识以及所述登录态对所述用户标识对应的用户进行鉴权;
所述发送模块还用于将鉴权结果发送给所述密钥管理端。
可选的,所述装置还包括:
确定模块,用于在所述响应模块响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息之前,确定接收到用于开启所述指定即时通讯系统的密钥托管功能的操作指令。
可选的,所述加解密指示信息中还包括连接参数和/或用于指示是否开启密钥托管功能的参数,所述连接参数为用于连接选择的密码产品对应的密钥服务端的参数,所述是否开启密钥托管功能的参数用于指示客户端是否调用所述密码产品的密码套件SDK进行通信数据的加解密操作。
基于相同的发明构思,本申请实施例提供一种数据处理装置,如图9所示,所述装置包括:
指示信息接收模块901,用于接收即时通讯服务端发送的携带有密码产品标识的加解密指示信息,所述密码产品标识为所述即时通讯客户端对应的指定即时通讯系统采用的密码产品的标识;
调用模块902,用于调用所述密码产品标识对应的密码产品的密码套件SDK进行通信数据的加解密操作,其中,所述SDK采用的密钥为所述密码产品的密钥管理端管理的。
可选的,所述加解密指示信息中还包括连接参数,所述装置还包括:
密钥获取请求发送模块,用于在所述调用模块所述调用所述密码产品的 SDK进行通信数据加解密操作之前,基于所述连接参数,调用所述SDK向所述密码产品的密钥管理端发送密钥获取请求,所述密钥获取请求中包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
缓存模块,用于接收所述密钥管理端分配的与所述会话标识对应的密钥并存储在缓存中;
所述调用模块用于:
调用所述密码产品的SDK采用缓存中的与所述会话标识对应的密钥进行通信数据的加解密操作。
可选的,所述装置还包括:
返回执行模块,用于若所述缓存中不存在所述会话ID对应的密钥,则返回执行基于所述连接参数,向所述密码产品的密钥管理端发送密钥获取请求的操作。
可选的,所述加解密指示信息中还包括用于指示是否开启密钥托管功能的参数,所述装置还包括:
密钥托管确定模块,用于在所述调用模块调用所述密码产品的SDK进行通信数据的加解密操作之前,确定所述加解密指示信息中的指示是否开启密钥托管功能的参数为表示开启密钥托管功能的参数。
可选的,所述密钥为对称密钥。
此外,本申请实施例还提供一种数据处理装置,如图10所示,所述装置包括:
设置模块1001,用于响应于设置指定即时通讯系统的应用标识以及对应的随机字符串Secret的设置请求,保存设置的所述应用标识以及对应的所述 Secret;
管理模块1002,用于根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据。
可选的,所述管理模块用于:
接收即时通讯客户端调用密码套件SDK发送的密钥获取请求,所述密钥获取请求包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
发送认证请求给即时通讯服务端,所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;所述待认证应用标识以及待认证Secret为保存的所述指定即时通讯系统的应用标识及其对应的Secret;
接收所述即时通讯服务端发送的鉴权结果;
若所述鉴权结果为鉴权通过,则为所述会话标识分配对应的密钥;
将分配的密钥发送给所述即时通讯客户端调用的SDK。
请参见图11,基于同一技术构思,本申请实施例还提供了一种计算机设备130,可以包括存储器1301和处理器1302。
所述存储器1301,用于存储处理器1302执行的计算机程序。存储器1301 可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据计算机设备的使用所创建的数据等。处理器1302,可以是一个中央处理单元(central processing unit, CPU),或者为数字处理单元等等。本申请实施例中不限定上述存储器1301和处理器1302之间的具体连接介质。本申请实施例在图11中以存储器1301和处理器1302之间通过总线1303连接,总线1303在图11中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线1303 可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1301可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1301也可以是非易失性存储器 (non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1301 是能够用于携带或存储具有指令或数据结构形式的期望的计算机程序并能够由计算机存取的任何其他介质,但不限于此。存储器1301可以是上述存储器的组合。
处理器1302,用于调用所述存储器1301中存储的计算机程序时执行如图 3~图7中所示的实施例中所执行的方法。
在一些可能的实施方式中,本申请提供的方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当所述程序产品在计算机设备上运行时,所述计算机程序用于使所述计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的方法中的步骤,例如,所述计算机设备可以执行如图 3~图7中所示的实施例中设备所执行的方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器 (CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (24)
1.一种数据处理方法,其特征在于,所述方法包括:
即时通讯服务端响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息,所述密码产品标识为选择的密码产品的标识,其中,供选择的密码产品包括至少两个;选择的密码产品的密钥管理端进行密钥管理,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据;其中,密钥管理端是基于设置请求中包括的所述指定即时通讯系统的应用标识以及对应的随机字符串Secret进行密钥管理的;
将所述加解密指示信息发送给所述指定即时通讯系统对应的即时通讯客户端以使即时通讯客户端调用所述密码产品标识对应的密码产品的密码套件SDK进行通信数据的加解密操作;
其中,即时通讯客户端中安装有多种SDK,不同的SDK对应不同的密钥管理端。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
生成所述指定即时通讯系统的应用标识以及对应的随机字符串Secret,并将所述应用标识和所述Secret对应保存;
接收所述密码产品标识对应的密码产品中的密钥管理端发送的认证请求;所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
从对应保存的应用标识和Secret中,查找所述待认证应用标识对应的Secret;
若查找到的Secret与所述待认证Secret匹配,则根据所述用户标识以及所述登录态对所述用户标识对应的用户进行鉴权;
将鉴权结果发送给所述密钥管理端。
3.根据权利要求1所述的方法,其特征在于,响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息之前,所述方法还包括:
确定接收到用于开启所述指定即时通讯系统的密钥托管功能的操作指令。
4.根据权利要求1所述的方法,其特征在于,所述加解密指示信息中还包括连接参数和/或用于指示是否开启密钥托管功能的参数,所述连接参数为用于连接选择的密码产品对应的密钥服务端的参数,所述是否开启密钥托管功能的参数用于指示客户端是否调用所述密码产品的SDK进行通信数据的加解密操作。
5.一种数据处理方法,其特征在于,所述方法包括:
即时通讯客户端接收即时通讯服务端发送的携带有密码产品标识的加解密指示信息,所述密码产品标识为所述即时通讯客户端对应的指定即时通讯系统采用的密码产品的标识;其中,密钥管理端是基于设置请求中包括的所述指定即时通讯系统的应用标识以及对应的随机字符串Secret进行密钥管理的;
调用所述密码产品标识对应的密码产品的密码套件SDK进行通信数据的加解密操作,其中,所述SDK采用的密钥为所述密码产品的密钥管理端管理的;
其中,即时通讯客户端中安装有多种SDK,不同的SDK对应不同的密钥管理端。
6.根据权利要求5所述的方法,其特征在于,所述加解密指示信息中还包括连接参数,所述调用所述密码产品标识对应的密码产品的SDK进行通信数据的加解密操作之前,所述方法还包括:
基于所述连接参数,调用所述SDK向所述密码产品的密钥管理端发送密钥获取请求,所述密钥获取请求中包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
接收所述密钥管理端分配的与所述会话标识对应的密钥并存储在缓存中;
所述调用所述密码产品标识对应的密码产品的SDK进行通信数据的加解密操作,包括:
调用所述密码产品的SDK采用缓存中的与所述会话标识对应的密钥进行通信数据的加解密操作。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述缓存中不存在所述会话ID对应的密钥,则返回执行基于所述连接参数,向所述密码产品的密钥管理端发送密钥获取请求的操作。
8.根据权利要求5所述的方法,其特征在于,所述加解密指示信息中还包括用于指示是否开启密钥托管功能的参数,所述调用所述密码产品的SDK进行通信数据的加解密操作之前,所述方法还包括:
确定所述加解密指示信息中的指示是否开启密钥托管功能的参数为表示开启密钥托管功能的参数。
9.根据权利要求6-8中任一所述的方法,其特征在于,所述密钥为对称密钥。
10.一种数据处理方法,其特征在于,所述方法包括:
响应于设置指定即时通讯系统的应用标识以及对应的随机字符串Secret的设置请求,保存设置的所述应用标识以及对应的所述Secret;
根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据;
其中,所述即时通讯客户端是基于即时通讯服务端发送的加解密指示信息中的密码产品标识对应的密码产品的密码套件SDK进行通信数据的加解密操作的;
其中,即时通讯客户端中安装有多种SDK,不同的SDK对应不同的密钥管理端。
11.根据权利要求10所述的方法,其特征在于,所述根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,包括:
接收即时通讯客户端调用SDK发送的密钥获取请求,所述密钥获取请求包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
发送认证请求给即时通讯服务端,所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;所述待认证应用标识以及待认证Secret为保存的所述指定即时通讯系统的应用标识及其对应的Secret;
接收所述即时通讯服务端发送的鉴权结果;
若所述鉴权结果为鉴权通过,则为所述会话标识分配对应的密钥;
将分配的密钥发送给所述即时通讯客户端调用的SDK。
12.一种数据处理装置,其特征在于,所述装置包括:
响应模块,用于即时通讯服务端响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息,所述密码产品标识为选择的密码产品的标识,其中,供选择的密码产品包括至少两个;选择的密码产品的密钥管理端进行密钥管理,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据;其中,密钥管理端是基于设置请求中包括的所述指定即时通讯系统的应用标识以及对应的随机字符串Secret进行密钥管理的;
发送模块,用于将所述加解密指示信息发送给所述指定即时通讯系统对应的即时通讯客户端以使即时通讯客户端调用所述密码产品标识对应的密码产品的密码套件SDK进行通信数据的加解密操作;
其中,即时通讯客户端中安装有多种SDK,不同的SDK对应不同的密钥管理端。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
认证信息生成模块,用于生成所述指定即时通讯系统的应用标识以及对应的随机字符串Secret,并将所述应用标识和所述Secret对应保存;
接收模块,用于接收所述密码产品标识对应的密码产品中的密钥管理端发送的认证请求;所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
查找模块,用于从对应保存的应用标识和Secret中,查找所述待认证应用标识对应的Secret;
鉴权模块,用于若查找到的Secret与所述待认证Secret匹配,则根据所述用户标识以及所述登录态对所述用户标识对应的用户进行鉴权;
所述发送模块还用于将鉴权结果发送给所述密钥管理端。
14.根据权利要求12所述的装置,其特征在于,所述装置还包括:
确定模块,用于在所述响应模块响应于为指定即时通讯系统选择密码产品的选择操作指令,生成携带有密码产品标识的加解密指示信息之前,确定接收到用于开启所述指定即时通讯系统的密钥托管功能的操作指令。
15.根据权利要求12所述的装置,其特征在于所述加解密指示信息中还包括连接参数和/或用于指示是否开启密钥托管功能的参数,所述连接参数为用于连接选择的密码产品对应的密钥服务端的参数,所述是否开启密钥托管功能的参数用于指示客户端是否调用所述密码产品的SDK进行通信数据的加解密操作。
16.一种数据处理装置,其特征在于,所述装置包括:
指示信息接收模块,用于接收即时通讯服务端发送的携带有密码产品标识的加解密指示信息,所述密码产品标识为即时通讯客户端对应的指定即时通讯系统采用的密码产品的标识;其中,密钥管理端是基于设置请求中包括的所述指定即时通讯系统的应用标识以及对应的随机字符串Secret进行密钥管理的
调用模块,用于调用所述密码产品标识对应的密码产品的密码套件SDK进行数据的加解密操作,其中,所述SDK采用的密钥为所述密码产品的密钥管理端管理的;
其中,即时通讯客户端中安装有多种SDK,不同的SDK对应不同的密钥管理端。
17.根据权利要求16所述的装置,其特征在于,所述加解密指示信息中还包括连接参数,所述装置还包括:
密钥获取请求发送模块,用于在所述调用模块所述调用所述密码产品的SDK进行通信数据加解密操作之前,基于所述连接参数,调用所述SDK向所述密码产品的密钥管理端发送密钥获取请求,所述密钥获取请求中包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
缓存模块,用于接收所述密钥管理端分配的与所述会话标识对应的密钥并存储在缓存中;
所述调用模块用于:
调用所述密码产品的SDK采用缓存中的与所述会话标识对应的密钥进行通信数据的加解密操作。
18.根据权利要求17所述的装置,其特征在于,所述装置还包括:
返回执行模块,用于若所述缓存中不存在所述会话ID对应的密钥,则返回执行基于所述连接参数,向所述密码产品的密钥管理端发送密钥获取请求的操作。
19.根据权利要求16所述的装置,其特征在于所述加解密指示信息中还包括用于指示是否开启密钥托管功能的参数,所述装置还包括:
密钥托管确定模块,用于在所述调用模块调用所述密码产品的SDK进行通信数据的加解密操作之前,确定所述加解密指示信息中的指示是否开启密钥托管功能的参数为表示开启密钥托管功能的参数。
20.根据权利要求17-19中任一所述的装置,其特征在于,所述密钥为对称密钥。
21.一种数据处理装置,其特征在于,所述装置包括:
设置模块,用于响应于设置指定即时通讯系统的应用标识以及对应的随机字符串Secret的设置请求,保存设置的所述应用标识以及对应的所述Secret;
管理模块,用于根据保存的所述应用标识以及对应的所述Secret,管理所述指定即时通讯系统的密钥,所述密钥用于加解密所述指定即时通讯系统的即时通讯客户端之间的通信数据;
其中,所述即时通讯客户端是基于即时通讯服务端发送的加解密指示信息中的密码产品标识对应的密码产品的密码套件SDK进行通信数据的加解密操作的;
其中,即时通讯客户端中安装有多种SDK,不同的SDK对应不同的密钥管理端。
22.根据权利要求21所述的装置,其特征在于,所述管理模块用于:
接收即时通讯客户端调用密码套件SDK发送的密钥获取请求,所述密钥获取请求包括会话标识,所述即时通讯客户端的用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;
发送认证请求给即时通讯服务端,所述认证请求中包括待认证应用标识、待认证Secret、用户标识以及所述用户标识对应的用户在即时通讯服务端的登录态;所述待认证应用标识以及待认证Secret为保存的所述指定即时通讯系统的应用标识及其对应的Secret;
接收所述即时通讯服务端发送的鉴权结果;
若所述鉴权结果为鉴权通过,则为所述会话标识分配对应的密钥;
将分配的密钥发送给所述即时通讯客户端调用的SDK。
23.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,
所述处理器执行所述计算机程序时实现如权利要求1-11中任一方法所述的步骤。
24.一种计算机可读存储介质,
所述计算机可读存储介质存储有计算机程序,当所述计算机程序在计算机上运行时,使得计算机能够执行如权利要求1-11中任一方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910387532.8A CN110138765B (zh) | 2019-05-10 | 2019-05-10 | 数据处理方法、装置、计算机设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910387532.8A CN110138765B (zh) | 2019-05-10 | 2019-05-10 | 数据处理方法、装置、计算机设备和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110138765A CN110138765A (zh) | 2019-08-16 |
| CN110138765B true CN110138765B (zh) | 2020-06-16 |
Family
ID=67576969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910387532.8A Active CN110138765B (zh) | 2019-05-10 | 2019-05-10 | 数据处理方法、装置、计算机设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110138765B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111639350B (zh) * | 2020-05-16 | 2023-01-31 | 中信银行股份有限公司 | 密码服务系统及加密方法 |
| CN112532387B (zh) * | 2020-11-27 | 2022-12-30 | 上海爱数信息技术股份有限公司 | 一种密钥服务运算系统及其方法 |
| CN113382001B (zh) * | 2021-06-09 | 2023-02-07 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种通信加密方法及相关装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8051287B2 (en) * | 2008-10-15 | 2011-11-01 | Adobe Systems Incorporated | Imparting real-time priority-based network communications in an encrypted communication session |
| CN104009841B (zh) * | 2014-06-20 | 2018-01-19 | 天津理工大学 | 一种即时通信情境下的消息加密方法 |
| CN104270380A (zh) * | 2014-10-15 | 2015-01-07 | 叶涛 | 基于移动网络和通信客户端的端到端加密方法和加密系统 |
| CN109361680A (zh) * | 2018-11-08 | 2019-02-19 | 蓝信移动(北京)科技有限公司 | 端到端数据加密系统 |
-
2019
- 2019-05-10 CN CN201910387532.8A patent/CN110138765B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110138765A (zh) | 2019-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113347206B (zh) | 一种网络访问方法和装置 | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| US9130935B2 (en) | System and method for providing access credentials | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| CN111737366B (zh) | 区块链的隐私数据处理方法、装置、设备以及存储介质 | |
| CN108540433B (zh) | 用户身份校验方法及装置 | |
| US9954834B2 (en) | Method of operating a computing device, computing device and computer program | |
| CN110138765B (zh) | 数据处理方法、装置、计算机设备和计算机可读存储介质 | |
| CN110569638B (zh) | 一种api认证的方法、装置、存储介质及计算设备 | |
| US20220311767A1 (en) | Method and system for granting remote access to an electronic device | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| JP6943511B2 (ja) | リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 | |
| CN107920060B (zh) | 基于账号的数据访问方法和装置 | |
| CN111814131B (zh) | 一种设备注册和配置管理的方法和装置 | |
| CN111786996A (zh) | 一种跨域同步登录态的方法、装置及跨域同步登录系统 | |
| CN113094190A (zh) | 微服务调用方法、调用装置、电子设备和存储介质 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
| US10621319B2 (en) | Digital certificate containing multimedia content | |
| CN108900555A (zh) | 一种数据处理方法及装置 | |
| US20220217000A1 (en) | Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization | |
| CN114039723A (zh) | 一种共享密钥的生成方法、装置、电子设备及存储介质 | |
| CN116170164A (zh) | 请求调度的方法、装置、电子设备及存储介质 | |
| CN112131597A (zh) | 一种生成加密信息的方法、装置和智能设备 | |
| CN114329574B (zh) | 基于域管平台的加密分区访问控制方法、系统及计算设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220210 Address after: 510310 No. 1, brand area, No. 397, Xingang Middle Road, Haizhu District, Guangzhou City, Guangdong Province Patentee after: GUANGZHOU TENCENT TECHNOLOGY Co.,Ltd. Address before: 35th floor, Tencent building, Keji Zhongyi Road, high tech Zone, Nanshan District, Shenzhen City, Guangdong Province Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |