CN110166234A - 一种业务密钥创建与业务数据加密方法、装置及系统 - Google Patents
一种业务密钥创建与业务数据加密方法、装置及系统 Download PDFInfo
- Publication number
- CN110166234A CN110166234A CN201910424710.XA CN201910424710A CN110166234A CN 110166234 A CN110166234 A CN 110166234A CN 201910424710 A CN201910424710 A CN 201910424710A CN 110166234 A CN110166234 A CN 110166234A
- Authority
- CN
- China
- Prior art keywords
- password
- business
- encrypted
- turn
- password end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
公开了一种业务密钥创建与业务数据加密方法、装置及系统。一种业务密钥创建方法,该方法包括:业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;业务端向第一密码端发送携带XA及C的第一转加密请求;第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;业务端向第二密码端发送携带XC的第二转加密请求;第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;业务端将XA与XB对应存储。
Description
技术领域
本说明书实施例涉及互联网应用技术领域,尤其涉及一种业务密钥创建与业务数据加密方法、装置及系统。
背景技术
在处理如用户密码、银行信息等敏感数据时,通常需要对数据加密后传输、存储等。
现有技术中,常用的安全级别较高的加密方式是使用密码设备进行加密。例如,业务端首先向密码设备申请业务密钥,业务密钥被密码设备以密文形式发送至业务端,则如果业务端将待加密数据与密钥密文一同发送至密码设备,便可以得到密码设备返回的数据密文。
但是,如果业务端的数据始终只通过一套密码设备进行加密,如果密码设备出现故障,将导致大量业务数据无法正常加密与解密;或者,在进行硬件设备升级时需要进行大量数据迁移工作,无法实现平滑切换。
发明内容
针对上述技术问题,本说明书实施例提供一种业务密钥创建与业务数据加密方法、装置及系统,技术方案如下:
根据本说明书实施例的第一方面,提供一种业务密钥创建方法,应用于包括1个业务端与至少2个密码端的系统,第一密码端具有第一根密钥A、第二密码端具有第二根密钥B,业务端预先保存有第二密码端所生成的非对称密钥对中的公钥C;该方法包括:
业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;
业务端向第一密码端发送携带XA及C的第一转加密请求;
第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;
业务端向第二密码端发送携带XC的第二转加密请求;
第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;
业务端将XA与XB对应存储,以便后续使用本地存储的业务密钥加密业务数据。
根据本说明书实施例的第二方面,提供一种基于权利要求1至3所述业务密钥创建方法的业务数据加密方法,该方法应用于业务端,包括:
获取待加密数据;以及,获取预设路由规则;
根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值;
根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端;
向所确定的密码端发送数据加密请求,该请求中携带所述待加密数据及本地预先存储的该密码端的业务密钥密文,以使该密码端使用该业务密钥密文对待加密数据进行加密。
根据本说明书实施例的第三方面,提供一种密码系统,包括1个业务端与至少2个密码端,第一密码端具有第一根密钥A、第二密码端具有第二根密钥B,业务端预先保存有第二密码端所生成的非对称密钥对中的公钥C;该系统具体通过以下方式进行业务密钥创建:
业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;
业务端向第一密码端发送携带XA及C的第一转加密请求;
第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;
业务端向第二密码端发送携带XC的第二转加密请求;
第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;
业务端将XA与XB对应存储,以便后续使用本地存储的业务密钥加密业务数据。
根据本说明书实施例的第四方面,提供一种基于权利要求8至10所述密码系统的业务数据加密装置,应用于所述业务端,包括:
信息获取模块,用于获取待加密数据;以及,获取预设路由规则;
标识值计算模块,用于根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值;
密码端确定模块,用于根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端;
数据发送模块,用于向所确定的密码端发送数据加密请求,该请求中携带所述待加密数据及本地预先存储的该密码端的业务密钥密文,以使该密码端使用该业务密钥密文对待加密数据进行加密。
本说明书实施例所提供的技术方案,业务端可以从多个密码设备中任选一个对数据进行加密,并且预先获得的多个业务密钥中,至少任意2个业务密钥密文中的密钥内容是相同的,因此即使其中一个密码设备发生故障,可以直接使用另一密码设备代替该设备进行数据的解密、加密等,而不存在数据丢失的风险,也不需要进行大量的数据迁移。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书实施例。
此外,本说明书实施例中的任一实施例并不需要达到上述的全部效果。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例的密码系统的系统架构示意图;
图2是本说明书实施例的业务密钥创方法的流程示意图;
图3是本说明书实施例的业务数据加密方法的流程示意图;
图4是本说明书实施例的业务数据加密装置的一种结构示意图;
图5是本说明书实施例的标识值计算模块的结构示意图;
图6是本说明书实施例的业务数据加密装置的另一种结构示意图;
图7是本说明书实施例的密码端确定模块的结构示意图;
图8是用于配置本说明书实施例装置的一种设备的结构示意图。
具体实施方式
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。
在本说明书的实施例中,业务密钥创建与业务数据加密的流程涉及密码系统,其系统架构示意图可以如图1所示,包括1个业务端设备10与至少2个密码端设备20、30等。
其中,业务端设备的具体形式,可以是特定的一台服务器或服务器集群等形式,业务端设备与密码端设备可通过各种形式的网络实现通信连接,本说明书对此均不需要进行限定。
此外,本说明书实施例提供的业务密钥创建与业务数据加密方案包括两个阶段:业务密钥创建阶段、及利用所创建密钥进行业务数据加密的阶段。
首先介绍业务密钥创建阶段,本说明书实施例提供的方案中,针对任意2个密码端,分别使用2个密码端中的根密钥,为相同业务密钥明文进行加密,得到2个对应的业务密钥密文。
业务端首先需要对密码端进行初始化,使密码端生成并存储本端的根密钥,根密钥须为对称密钥,对称密钥即加密和解密使用相同密钥的密码算法,对称密钥必须以密文形式进行传输,因此根密钥并不会以明文或密文的形式公开,仅用于在设备内部对业务密钥进行加密与解密。
因此,需要由2个密码端对相同业务密钥明文进行加密,但2个密码端无法获知对方的加密、解密方式,且业务密钥无法在2个密码端之间以明文传输,针对这一情况,本说明书实施例提供的方案中,由其中1个密码端的密钥在另一密码设备中对数据进行加密,因而需要由其中1个密码端提供非对称秘钥。非对称秘钥加密和解密使用不同密钥的密码算法,其中公钥可以以明文公开,而私钥必须以密文形式传输,并且由公钥求解私钥是计算不可行的。
业务端可以首先向第二密码端发送非对称密钥申请,第二密码端根据业务端的非对称密钥申请,生成包括公钥C与私钥C’的非对称秘钥。私钥C’由第一密码端存储,而公钥由第一密码端以明文形式发送至业务端。
综上所述,本说明书实施例提供的方案中,在业务密钥创建阶段之前,系统中的第一密码端具有第一根密钥A、第二密码端具有第二根密钥B,业务端预先保存有第二密码端所生成的非对称密钥对中的公钥C。
可以理解的是,本说明书实施例中所称的第一密码端与第二密码端并非特指某2个密码端,并且第一密码端与第二密码端是可以互换的2个密码端,这里仅以提供业务密钥明文的密码端为第二密码端为例。
参见图2所示,业务密钥创建方法具体可以包括以下步骤:
S201,业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;
业务端可以首先向第一密码端发送业务密钥申请,第一密码端接收到业务端的业务密钥申请后,生成业务密钥明文X,并使用本端的根密钥A对X进行加密,得到业务密钥的第一根密钥密文XA。然后第一密码端可以将XA发送至业务端。
S202,业务端向第一密码端发送携带XA及C的第一转加密请求;
如前面所述,本说明书实施例提供的方案中,须由2个密码端中其中1个密码端的公钥,在另1个密码端内对业务密钥明文进行加密,因此业务端将XA及第二密码端生成的C,发送至提供业务密钥明文的第一密码端。
S203,第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;
本说明书实施例中并不限定第一密码端根据第一转加密请求,得到第一转加密结果XC的具体实施方式,本领域技术人员可以根据实际需求灵活地进行选择。
在本说明书实施例的一种具体实施方式中,第一密码端获得所述第一转加密请求中的XA及C,如前面所述,第一密码端发送至业务端的XA,是由本端的根密钥A进行加密的,因此,第一密码端可以首先使用A对XA进行解密,得到X,即业务密钥明文。
本说明书实施例所提供的方案中,对X进行第一次转加密的目的,是为了得到由第一密码端进行加密,而第二密码端可以进行解密的业务密钥密文。因此,第一密码端使用第二密码端所生成的C,再次对X进行加密,得到XC。
S204,业务端向第二密码端发送携带XC的第二转加密请求;
第一密码端得到第一转加密结果XC后,发送至业务端,从而由业务端发送至第二密码端,以使第二密码端进行第二次转加密。
S205,第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;
本说明书实施例中并不限定二密码端根据第二转加密请求,得到第二转加密结果XB的具体实施方式,本领域技术人员可以根据实际需求灵活地进行选择。
在本说明书实施例的一种具体实施方式中,第二密码端获得所述第二转加密请求中的XC,如前面所述,第一密码端发送至业务端的XC是由第二密码端所生成的C进行加密的,而第二密码端中所存储的、非对称密钥对中的私钥C’可以对公钥C加密的内容进行解密,因此,第二密码端可以首先使用私钥C’,对XC进行解密。
本说明书实施例所提供的方案中,对X进行第二次转加密的目的,是为了得到由第二密码端的根密钥加密的业务密钥密文。因此,第二密码端使用第二密码端的根密钥B,再次对X进行加密,得到XB。
S206,业务端将XA与XB对应存储,以便后续使用本地存储的业务密钥加密业务数据。
本说明书实施例提供的方案中,任意2个密码端发送至业务端的第一根密钥密文XA与第二根密钥密文XB,是分别由2个密码端使用2个根密钥加密得到的不同业务密钥密文,但其中业务密钥的明文相同。
基于以上创建的业务密钥的业务数据加密方法,应用于业务端,参照图3所示,可以包括以下步骤:
S301,获取待加密数据;以及,获取预设路由规则;
传统的业务数据加密方案中,由于系统内仅包括1个密码端,因此业务数据可以直接使用该密码端进行加密。而本说明书实施例提供的方案中,系统中包括至少2个密码端,因此待加密数据需要基于一定的路由规则,确定具体使用哪个密码端进行加密。
本说明书实施例中并不限定路由规则的具体内容,本领域技术人员可以根据实际需求灵活的设置。例如,如果需要通过路由规则实现系统中各密码端的负载均衡,则可以在路由规则中设置一定的负载均衡策略;又如,如果需要通过路由规则实现系统中不同密码端的主备关系,则可以在路由规则中设置一定的主备切换策略;此外,还可以通过路由规则实现通过接口直接调整路由关系、或者指定加密数据的密码端,而不需要通过修改代码等较为复杂、容易出错的方式。
S302,根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值;
在本说明书实施例的一种具体实施方式中,可以首先确定所述待加密数据对应的不加密数据;以及,确定所述路由规则中的标识计算方式,所述标识计算方式用于计算数据的哈希值。从而,根据所述标识计算方式,计算所述不加密数据的哈希值,并将不加密数据的哈希值作为对应待加密数据的标识值。
例如,需要对用户密码等敏感数据进行加密,则用户密码这一待加密数据对应的不加密数据为用户账户名等数据,假设用户账户名为User ID的形式,则可以根据路由规则中的标识计算方式,计算某一用户密码对应的User ID的哈希值,从而将该哈希值作为该用户密码的标识值。
S303,根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端;
在本说明书实施例的一种具体实施方式中,可以首先确定根据数据计算所能得到的标识值的数值范围;并且统计密码端的数量、及各密码端的负载能力。从而根据所统计的数量与负载能力,对所确定的数值范围进行划分,得到各密码端对应的数值子范围;其中,密码端与数值子范围为一一对应关系、且各数值子范围组成所述数值范围。
例如,仍假设需要对某一用户密码等敏感数据进行加密,并计算用户密码对应的User ID的哈希值。可以预先获得系统内User ID计算所能得到的哈希值的数值范围,假设为0至99;并且,统计密码端的数量与负载能力,假设密码端的数量为2,且负载能力相当。从而,可以将哈希值划分为0至49、与50至99,并且密码端1对应0至49、密码端2对应50至99。
从而,根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端时,可以确定所计算标识值属于的目标数值子范围,根据设定的数值子范围与密码端的对应关系,确定所述目标数值子范围对应的密码端,作为所计算标识值对应的密码端。
即,假设某一用户密码对应的User ID的哈希值计算结果为30,则可以确定属于的目标数值子范围为0至49,对应密码端1,则可以将密码端1作为该用户密码所计算标识值对应的密码端。
S304,向所确定的密码端发送数据加密请求,该请求中携带所述待加密数据及本地预先存储的该密码端的业务密钥密文,以使该密码端使用该业务密钥密文对待加密数据进行加密。
密码端接收到数据加密请求后,可以首先使用本端的根密钥对业务密钥密文进行解密,得到业务密钥明文,从而使用该业务密钥对数据进行加密,得到加密后的业务数据。
下面结合一个更为具体的实例,对本说明书提供的业务密钥创建与业务数据加密方法进行说明。
(一)业务密钥创建阶段
假设某支付平台需要对账单数据进行加密,然后发送至银行系统。并且,该支付平台的密码系统中包括1个业务端,负责将上游数据发送至密码端进行加密,并包括2个密码端(密码端1、密码端2),负责对业务端发送的数据进行加密。
首先,业务端对密码端1与密码端2进行初始化,以使2个密码端分别生成根密钥并存储在本端。
并且,业务端向密码端2发送非对称密钥申请,密码端2接收到业务端的非对称密钥申请后,生成一对非对称秘钥,私钥存储在本端,公钥以明文形式发送至业务端。
然后,业务端向密码端1发送业务密钥申请,密码端1接收到业务端的业务密钥申请后,生成业务密钥明文,并使用本端的根密钥加密后,以密文形式发送至业务端。
业务端接收到密码端1发送的密钥密文与密码端2发送的公钥明文后,向密码端1发送包括前述二者的转加密申请。并且,存储密码端1发送的密钥密文,即得到第1套可用于加密业务数据的密钥。
密码端1接收到转加密申请后,使用本端的根密钥对业务密钥密文进行解密,得到业务密钥明文。然后使用转加密申请中的公钥明文对该业务密钥明文进行加密,得到使用密码端2的公钥加密的业务密钥密文,并将该业务密钥密文发送至业务端。
在发送过程中,由于密码端2的公钥加密的密钥密文仅可以使用密码端2的私钥进行解密,因此所加密的密钥仍是安全的。
业务端接收到使用密码端2的公钥加密的密钥密文,发送至密码端2。
密码端2接收到使用本端的公钥加密的业务密钥密文后,使用对应的私钥进行解密得到业务密钥明文,并且使用本端根密钥再次进行加密,得到保密性更高的业务密钥密文,并发送至业务端。
业务端接收到密码端2的根密钥加密的业务密钥密文后,与与前述密码端1的根密钥加密的业务密钥密文一并对应存储在本地,得到2套加密方式不同而密钥内容相同的业务密钥。
(二)业务数据加密阶段
假设该支付平台向银行发送的账单数据,是以用户的账户名为字段区分。则当业务端接收到一批待加密的账单数据后,针对其中任一用户的数据,计算该用户的账户名的哈希值,并使用哈希值的后3位与预设阈值进行比较,假设阈值为200,即如果哈希值的后3位小于等于,则对应密码端1;如果哈希值的后3位大于200,则对应密码端2。
可见,应用上述方案,系统中可以同时使用多个密码端进行业务数据的加密,从而可以构成各密码端之间的负载均衡、主备容灾等关系,减小各密码端的负载压力,并在其中一个密码端发生故障,可以直接使用另一密码端代替该设备进行数据的加密,而不存在数据丢失的风险,也不需要进行大量的数据迁移。
相应于上述方法实施例,本说明书实施例提供的密码系统,具体可以通过以下方式进行业务密钥创建:
业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;
业务端向第一密码端发送携带XA及C的第一转加密请求;
第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;
业务端向第二密码端发送携带XC的第二转加密请求;
第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;
业务端将XA与XB对应存储,以便后续使用本地存储的业务密钥加密业务数据。
在本说明书提供的一种具体实施方式中,所述第一密码端具体可以通过以下方式根据第一转加密请求,得到第一转加密结果XC:
获得所述第一转加密请求中的XA及C;
使用A对XA进行解密,得到X;
使用C对X进行加密,得到XC。
在本说明书提供的一种具体实施方式中,所述第二密码端具体通过以下方式根据第二转加密请求得到第二转加密结果XB:
获得所述第二转加密请求中的XC;
使用第二密码端所生成的非对称密钥对中的私钥C’,对XC进行解密;
使用B对X进行加密,得到XB。
本说明书实施例还提供一种基于所述密码系统的业务数据加密装置,应用于所述业务端,参见图4所示,该装置可以包括:
信息获取模块110,用于获取待加密数据;以及,获取预设路由规则;
标识值计算模块120,用于根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值;
密码端确定模块130,用于根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端;
数据发送模块140,用于向所确定的密码端发送数据加密请求,该请求中携带所述待加密数据及本地预先存储的该密码端的业务密钥密文,以使该密码端使用该业务密钥密文对待加密数据进行加密。
在本说明书提供的一种具体实施方式中,参见图5所示,所述标识值计算模块120,可以包括:
不加密数据确定单元121,用于确定所述待加密数据对应的不加密数据;以及,
计算方式确定单元122,用于确定所述路由规则中的标识计算方式,所述标识计算方式用于计算数据的哈希值;
标识值计算单元123,用于根据所述标识计算方式,计算所述不加密数据的哈希值,并将不加密数据的哈希值作为对应待加密数据的标识值。
在本说明书提供的一种具体实施方式中,参见图6所示,该装置还可以包括关系设定模块150,用于设定路由规则中标识值与密码端的对应关系,具体可以包括:
范围确定单元151,用于确定根据数据计算所能得到的标识值的数值范围;
性能确定单元152,用于统计密码端的数量、及各密码端的负载能力;
范围划分单元153,用于根据所统计的数量与负载能力,对所确定的数值范围进行划分,得到各密码端对应的数值子范围;其中,密码端与数值子范围为一一对应关系、且各数值子范围组成所述数值范围。
在本说明书提供的一种具体实施方式中,参见图7所示,所述密码端确定模块130,可以包括:
范围确定单元131,用于确定所计算标识值属于的目标数值子范围;
密码端确定单元132,用于根据设定的数值子范围与密码端的对应关系,确定所述目标数值子范围对应的密码端,作为所计算标识值对应的密码端。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现前述的业务密钥创建与业务数据加密方法。该方法至少包括:
一种业务密钥创建方法,应用于包括1个业务端与至少2个密码端的系统,第一密码端具有第一根密钥A、第二密码端具有第二根密钥B,业务端预先保存有第二密码端所生成的非对称密钥对中的公钥C;该方法包括:
业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;
业务端向第一密码端发送携带XA及C的第一转加密请求;
第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;
业务端向第二密码端发送携带XC的第二转加密请求;
第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;
业务端将XA与XB对应存储,以便后续使用本地存储的业务密钥加密业务数据。
一种基于所述业务密钥创建方法的业务数据加密方法,该方法应用于业务端,包括:
获取待加密数据;以及,获取预设路由规则;
根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值;
根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端;
向所确定的密码端发送数据加密请求,该请求中携带所述待加密数据及本地预先存储的该密码端的业务密钥密文,以使该密码端使用该业务密钥密文对待加密数据进行加密。
图8示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的()方法。该方法至少包括:
一种()方法,该方法包括:
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护范围。
Claims (15)
1.一种业务密钥创建方法,应用于包括1个业务端与至少2个密码端的系统,第一密码端具有第一根密钥A、第二密码端具有第二根密钥B,业务端预先保存有第二密码端所生成的非对称密钥对中的公钥C;该方法包括:
业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;
业务端向第一密码端发送携带XA及C的第一转加密请求;
第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;
业务端向第二密码端发送携带XC的第二转加密请求;
第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;
业务端将XA与XB对应存储,以便后续使用本地存储的业务密钥加密业务数据。
2.根据权利要求1所述的方法,所述根据第一转加密请求,得到第一转加密结果XC,包括:
获得所述第一转加密请求中的XA及C;
使用A对XA进行解密,得到X;
使用C对X进行加密,得到XC。
3.根据权利要求1所述的方法,所述根据第二转加密请求得到第二转加密结果XB,包括:
获得所述第二转加密请求中的XC;
使用第二密码端所生成的非对称密钥对中的私钥C’,对XC进行解密;
使用B对X进行加密,得到XB。
4.一种基于权利要求1至3所述业务密钥创建方法的业务数据加密方法,该方法应用于业务端,包括:
获取待加密数据;以及,获取预设路由规则;
根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值;
根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端;
向所确定的密码端发送数据加密请求,该请求中携带所述待加密数据及本地预先存储的该密码端的业务密钥密文,以使该密码端使用该业务密钥密文对待加密数据进行加密。
5.根据权利要求4所述的方法,所述根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值,包括:
确定所述待加密数据对应的不加密数据;以及,
确定所述路由规则中的标识计算方式,所述标识计算方式用于计算数据的哈希值;
根据所述标识计算方式,计算所述不加密数据的哈希值,并将不加密数据的哈希值作为对应待加密数据的标识值。
6.根据权利要求4所述的方法,所述路由规则中标识值与密码端的对应关系的设定方法包括:
确定根据数据计算所能得到的标识值的数值范围;
统计密码端的数量、及各密码端的负载能力;
根据所统计的数量与负载能力,对所确定的数值范围进行划分,得到各密码端对应的数值子范围;其中,密码端与数值子范围为一一对应关系、且各数值子范围组成所述数值范围。
7.根据权利要求6所述的方法,所述根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端,包括:
确定所计算标识值属于的目标数值子范围;
根据设定的数值子范围与密码端的对应关系,确定所述目标数值子范围对应的密码端,作为所计算标识值对应的密码端。
8.一种密码系统,包括1个业务端与至少2个密码端,第一密码端具有第一根密钥A、第二密码端具有第二根密钥B,业务端预先保存有第二密码端所生成的非对称密钥对中的公钥C;该系统具体通过以下方式进行业务密钥创建:
业务端从第一密码端获取XA;所述XA为:使用A对业务密钥明文X加密后得到的业务密钥的第一根密钥密文;所述业务密钥由第一密码端生成;
业务端向第一密码端发送携带XA及C的第一转加密请求;
第一密码端根据第一转加密请求,得到第一转加密结果XC,并将XC返回至业务端;所述XC为:使用C对X进行加密得到;
业务端向第二密码端发送携带XC的第二转加密请求;
第二密码端根据第二转加密请求,得到第二转加密结果XB,并将XB返回至业务端;所述XB为:使用B对X进行加密得到的业务密钥的第二根密钥密文;
业务端将XA与XB对应存储,以便后续使用本地存储的业务密钥加密业务数据。
9.根据权利要求8所述的系统,所述第一密码端具体通过以下方式根据第一转加密请求,得到第一转加密结果XC:
获得所述第一转加密请求中的XA及C;
使用A对XA进行解密,得到X;
使用C对X进行加密,得到XC。
10.根据权利要求8所述的系统,所述第二密码端具体通过以下方式根据第二转加密请求得到第二转加密结果XB:
获得所述第二转加密请求中的XC;
使用第二密码端所生成的非对称密钥对中的私钥C’,对XC进行解密;
使用B对X进行加密,得到XB。
11.一种基于权利要求8至10所述密码系统的业务数据加密装置,应用于所述业务端,该装置包括:
信息获取模块,用于获取待加密数据;以及,获取预设路由规则;
标识值计算模块,用于根据所述路由规则中的标识计算方式,计算所述待加密数据对应的标识值;
密码端确定模块,用于根据所述路由规则中标识值与密码端的对应关系,确定所计算标识值对应的密码端;
数据发送模块,用于向所确定的密码端发送数据加密请求,该请求中携带所述待加密数据及本地预先存储的该密码端的业务密钥密文,以使该密码端使用该业务密钥密文对待加密数据进行加密。
12.根据权利要求11所述的装置,所述标识值计算模块,包括:
不加密数据确定单元,用于确定所述待加密数据对应的不加密数据;以及,
计算方式确定单元,用于确定所述路由规则中的标识计算方式,所述标识计算方式用于计算数据的哈希值;
标识值计算单元,用于根据所述标识计算方式,计算所述不加密数据的哈希值,并将不加密数据的哈希值作为对应待加密数据的标识值。
13.根据权利要求11所述的装置,还包括关系设定模块,用于设定路由规则中标识值与密码端的对应关系,具体包括:
范围确定单元,用于确定根据数据计算所能得到的标识值的数值范围;
性能确定单元,用于统计密码端的数量、及各密码端的负载能力;
范围划分单元,用于根据所统计的数量与负载能力,对所确定的数值范围进行划分,得到各密码端对应的数值子范围;其中,密码端与数值子范围为一一对应关系、且各数值子范围组成所述数值范围。
14.根据权利要求13所述的装置,所述密码端确定模块,包括:
范围确定单元,用于确定所计算标识值属于的目标数值子范围;
密码端确定单元,用于根据设定的数值子范围与密码端的对应关系,确定所述目标数值子范围对应的密码端,作为所计算标识值对应的密码端。
15.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910424710.XA CN110166234A (zh) | 2019-05-21 | 2019-05-21 | 一种业务密钥创建与业务数据加密方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910424710.XA CN110166234A (zh) | 2019-05-21 | 2019-05-21 | 一种业务密钥创建与业务数据加密方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110166234A true CN110166234A (zh) | 2019-08-23 |
Family
ID=67631877
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910424710.XA Pending CN110166234A (zh) | 2019-05-21 | 2019-05-21 | 一种业务密钥创建与业务数据加密方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110166234A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111585758A (zh) * | 2020-05-07 | 2020-08-25 | 成都农村商业银行股份有限公司 | 一种密钥管理平台及密钥管理方法 |
| CN117014229A (zh) * | 2023-09-28 | 2023-11-07 | 广州尚航信息科技股份有限公司 | 一种业务数据安全传输方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080228884A1 (en) * | 2003-05-01 | 2008-09-18 | Reed Carl J | System and method for message processing and routing |
| US20120179906A1 (en) * | 2011-01-06 | 2012-07-12 | Korea University Research And Business Foundation | Method and device for authenticating personal network entity |
| US20120227094A1 (en) * | 2006-10-03 | 2012-09-06 | Stamps.Com Inc | Systems and methods for single sign-in for multiple accounts |
| US20170155634A1 (en) * | 2015-11-30 | 2017-06-01 | International Business Machines Corporation | Password-based management of encrypted files |
| CN108769061A (zh) * | 2018-06-25 | 2018-11-06 | 北京奇虎科技有限公司 | 登录方法、登录验证方法以及相应的装置、电子设备 |
| CN109257381A (zh) * | 2018-11-08 | 2019-01-22 | 江苏恒宝智能系统技术有限公司 | 一种密钥管理方法、系统及电子设备 |
| CN109347625A (zh) * | 2018-08-31 | 2019-02-15 | 阿里巴巴集团控股有限公司 | 密码运算、创建工作密钥的方法、密码服务平台及设备 |
-
2019
- 2019-05-21 CN CN201910424710.XA patent/CN110166234A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080228884A1 (en) * | 2003-05-01 | 2008-09-18 | Reed Carl J | System and method for message processing and routing |
| US20120227094A1 (en) * | 2006-10-03 | 2012-09-06 | Stamps.Com Inc | Systems and methods for single sign-in for multiple accounts |
| US20120179906A1 (en) * | 2011-01-06 | 2012-07-12 | Korea University Research And Business Foundation | Method and device for authenticating personal network entity |
| US20170155634A1 (en) * | 2015-11-30 | 2017-06-01 | International Business Machines Corporation | Password-based management of encrypted files |
| CN108769061A (zh) * | 2018-06-25 | 2018-11-06 | 北京奇虎科技有限公司 | 登录方法、登录验证方法以及相应的装置、电子设备 |
| CN109347625A (zh) * | 2018-08-31 | 2019-02-15 | 阿里巴巴集团控股有限公司 | 密码运算、创建工作密钥的方法、密码服务平台及设备 |
| CN109257381A (zh) * | 2018-11-08 | 2019-01-22 | 江苏恒宝智能系统技术有限公司 | 一种密钥管理方法、系统及电子设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111585758A (zh) * | 2020-05-07 | 2020-08-25 | 成都农村商业银行股份有限公司 | 一种密钥管理平台及密钥管理方法 |
| CN117014229A (zh) * | 2023-09-28 | 2023-11-07 | 广州尚航信息科技股份有限公司 | 一种业务数据安全传输方法及系统 |
| CN117014229B (zh) * | 2023-09-28 | 2024-01-05 | 广州尚航信息科技股份有限公司 | 一种业务数据安全传输方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750591B2 (en) | Key attestation statement generation providing device anonymity | |
| US11784801B2 (en) | Key management method and related device | |
| WO2021114819A1 (zh) | 生成和执行智能合约交易的方法及装置 | |
| CN110032884B (zh) | 区块链中实现隐私保护的方法及节点、存储介质 | |
| US10263775B2 (en) | Policy-based key recovery | |
| CN110266467B (zh) | 基于区块高度实现动态加密的方法及装置 | |
| CN109995781B (zh) | 数据的传输方法、装置、介质以及设备 | |
| CN108377189A (zh) | 区块链上用户通信加密方法、装置、终端设备及存储介质 | |
| CN111159723B (zh) | 用于区块链的密码数据共享控制 | |
| CN107196907B (zh) | 一种安卓so文件的保护方法及装置 | |
| CN109922084A (zh) | 密钥管理方法、装置以及电子设备 | |
| CN112202554B (zh) | 基于信息的属性生成密钥的信息处理方法、装置及设备 | |
| CN110276610B (zh) | 基于交易偏移量实现动态加密的方法及装置 | |
| CN108876593A (zh) | 一种在线交易方法和装置 | |
| CN107948212A (zh) | 一种日志的处理方法及装置 | |
| CN111047443A (zh) | 用户评分方法及装置、电子设备、计算机可读存储介质 | |
| CN110032874A (zh) | 一种数据存储方法、装置及设备 | |
| CN108696518A (zh) | 区块链上用户通信加密方法、装置、终端设备及存储介质 | |
| CN112199697A (zh) | 基于共享根密钥的信息处理方法、装置、设备及介质 | |
| CN110263547B (zh) | 基于合约状态的修改次序实现动态加密的方法及装置 | |
| CN110166234A (zh) | 一种业务密钥创建与业务数据加密方法、装置及系统 | |
| US20230028854A1 (en) | System and method of cryptographic key management in a plurality of blockchain based computer networks | |
| CN107689867A (zh) | 一种在开放环境下的密钥保护方法和系统 | |
| CN114422263B (zh) | 一种基于区块链网络的数据获取方法、装置、系统、计算机设备及机器可读存储介质 | |
| JP2019068327A (ja) | ユーザ管理装置、ユーザ管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200925 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20200925 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190823 |