CN110213228B - 一种认证通信的方法、装置、存储介质及计算机设备 - Google Patents
一种认证通信的方法、装置、存储介质及计算机设备 Download PDFInfo
- Publication number
- CN110213228B CN110213228B CN201910341149.9A CN201910341149A CN110213228B CN 110213228 B CN110213228 B CN 110213228B CN 201910341149 A CN201910341149 A CN 201910341149A CN 110213228 B CN110213228 B CN 110213228B
- Authority
- CN
- China
- Prior art keywords
- node
- encryption
- subdata
- encrypted
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明提供了一种认证通信的方法、装置、存储介质及计算机设备,其中,该方法包括:在与目标节点之间通过身份认证后,确定与服务器约定的多层级的动态加密密钥;确定需要传输的目标数据,根据动态加密密钥按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据依次进行多次加密处理,生成加密数据;将加密数据发送至服务器。该方法采用身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且多层级的动态密钥管理机制使得密码攻击变得异常困难,安全性更高。
Description
技术领域
本发明涉及安全通信技术领域,特别涉及一种认证通信的方法、装置、存储介质及计算机设备。
背景技术
目前,在集群进行增加或扩容时,需要添加新的主机或代理服务器,现有方法添加运行的新主机进行安全认证加密,则必须手动部署适用于平台的代理和守护程序软件包,为主机发出新的证书;通讯采用静态密钥,易被破解攻击;服务器和集群中主机未经验证而通信,通信数据易被窃取和篡改;而修改配置文件时,集群需要中断,然后使主机联机,这样会对业务造成影响。
发明内容
为解决上述技术问题,本发明提供一种认证通信的方法、装置、存储介质及计算机设备。
根据本发明的第一个方面,提供一种认证通信的方法,包括:
对目标节点进行身份认证,在通过身份认证后,确定与所述目标节点约定的动态加密密钥,所述动态加密密钥包括多个层级的加密密钥;
确定需要传输的目标数据,根据所述动态加密密钥所有层级的加密密钥,按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对所述目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据;
将所述加密数据发送至所述服务器。
根据本发明的第二个方面,提供一种认证通信的装置,包括:
加密密钥确定模块,用于对目标节点进行身份认证,在通过身份认证后,确定与所述目标节点约定的动态加密密钥,所述动态加密密钥包括多个层级的加密密钥;
加密处理模块,用于确定需要传输的目标数据,根据所述动态加密密钥所有层级的加密密钥,按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对所述目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据;
发送模块,用于将所述加密数据发送至所述服务器。
根据本发明的第三个方面,提供一种认证通信的方法,包括:
对目标节点进行身份认证,在认证通过后与所述目标节点约定动态加密密钥,并生成相应的动态解密密钥,所述动态加密密钥包括多个层级的加密密钥,所述动态解密密钥包括多个层级的解密密钥;
获取目标节点发送的加密数据,所述加密数据为基于多层级的所述动态加密密钥、按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据进行多次加密处理后所确定的数据;
根据与所述动态加密密钥相对应的动态解密密钥所有层级的解密密钥,按照从最顶层级的解密密钥至最底层级的解密密钥的顺序对所述加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据。
根据本发明的第四个方面,提供一种认证通信的装置,包括:
解密密钥确定模块,用于对目标节点进行身份认证,在认证通过后与所述目标节点约定动态加密密钥,并生成相应的动态解密密钥,所述动态加密密钥包括多个层级的加密密钥,所述动态解密密钥包括多个层级的解密密钥;
获取模块,用于获取目标节点发送的加密数据,所述加密数据为基于多层级的所述动态加密密钥、按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据进行多次加密处理后所确定的数据;
解密处理模块,用于根据与所述动态加密密钥相对应的动态解密密钥所有层级的解密密钥,按照从最顶层级的解密密钥至最底层级的解密密钥的顺序对所述加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据。
根据本申请的第五个方面,提供一种计算机可读存储介质,其上存储有计算机可读指令,该计算机可读指令被处理器执行时实现认证通信的步骤。
根据本申请的第六个方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令,所述处理器执行所述计算机可读指令时实现认证通信的步骤。
本发明实施例提供的一种认证通信的方法、装置、存储介质及计算机设备,在目标节点需要接入服务器时,首先对目标节点进行身份认证,在身份认证通过后即可说明目标节点是合法的节点,且双方约定多层级的动态密钥,使得目标节点可以将待传输的目标数据基于该多层级的动态密钥进行加密处理,并传输加密后的目标数据,从而提高数据安全性。身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且动态密钥管理机制使得密码攻击变得异常困难,安全性更高。对目标数据进行分段处理,分别对每一段的目标子数据进行加密,可以提高数据的安全性。同时,通过二叉树形式的动态加密密钥对子数据进行多层加密,可以提高每一个目标子数据的安全性,且可以大大提高数据整体的安全性。在传输的目标数据异常时,根据二叉树形式的校验信息可以快速确定服务器没有完整地接收到哪一个目标子数据,此时不需要重新传输全部的目标数据,可以只重新传输异常的目标子数据即可,从而也可以节约网络资源,提高重传效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例提供的一种认证通信的方法流程示意图;
图2为本发明实施例提供的一种二叉树形式动态加密过程的示意图;
图3为本发明实施例提供的另一种认证通信的方法流程示意图;
图4为本发明实施例提供的一种二叉树形式动态解密过程的示意图;
图5为本发明实施例提供的一种认证通信的装置的结构示意图;
图6为本发明实施例提供的另一种认证通信的装置的结构示意图;
图7为本发明实施例提供的一种用于执行认证通信方法的计算机设备的结构示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例提供的一种认证通信的方法,参见图1所示,该方法包括:
步骤101:对目标节点进行身份认证,在通过身份认证后,确定与目标节点约定的动态加密密钥,动态加密密钥包括多个层级的加密密钥。
本发明实施例中,当目标节点需要接入服务器并向服务器发送数据时,目标节点与服务器之间首先进行身份认证的过程,即服务器判断目标节点是否是合法的节点,或者目标节点也可以判断服务器是否是合法的服务器。其中,目标节点具体可以为代理服务器,或其他服务器,也可以为网络中的其他节点设备。当目标节点需要接入集群网络时,集群的服务器需要首先对该目标节点进行身份验证,验证通过后才允许二者之间进行传输。具体的,可以使用目标节点的自签名或CA(Certification Authority)签名对目标节点进行验证。以CA签名为例,服务器利用CA签名的公钥对CA签名证书上的签字进行验证,验证通过则说明签名有效。在身份认证通过后,二者之间即可设置用于传输数据的动态密钥,以动态密钥管理机制使得密码攻击变得更加困难。具体的,目标节点与服务器之间约定动态加密密钥,使得目标节点通过该动态加密密钥可以对待传输的数据进行加密处理。其中,动态加密密钥包括多个层级的加密密钥,且每个层级还可以包含一个或多个加密密钥,多个多层级的加密密钥实现对数据的多次加密处理,提高安全性。
步骤102:确定需要传输的目标数据,根据动态加密密钥所有层级的加密密钥,按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据。
步骤103:将加密数据发送至服务器。
本发明实施例中,当目标节点需要将待传输的目标数据发送至服务器时,即可根据该动态加密密钥对目标数据进行加密处理,该动态加密密钥为动态管理配置的,通过动态密钥管理机制使得密码攻击变得更加困难,数据通信传输的安全性更高。同时,动态加密密钥为多层级的加密密钥,在生成加密数据时按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据依次进行加密处理。例如,动态加密密钥为3层级的加密密钥,则首先利用第一层级的加密密钥(即最底层级的加密密钥)对目标数据进行加密处理,生成第一层级的加密结果;之后再利用第二层级的加密密钥对该第一层级的加密结果再次进行加密处理,生成第二层级的加密结果;最后再利用第三层级的加密密钥(即最顶层级的加密密钥)对该第二层级的加密结果进行加密处理,生成第三层级的加密结果,该第三层级的加密结果即为目标数据最后生成的加密数据。
可选的,可以将该目标数据分为多个子数据,对于不同的子数据分别使用不同的加密密钥进行加密处理,从而可以进一步增加破解加密数据的难度,进一步提高数据的安全性。
本发明实施例提供的一种认证通信的方法,在目标节点需要接入服务器时,首先对目标节点进行身份认证,在身份认证通过后即可说明目标节点是合法的节点,且双方约定多层级的动态密钥,使得目标节点可以将待传输的目标数据基于该动态密钥进行多层级的加密处理,并传输加密后的目标数据,从而提高数据安全性。身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且动态密钥管理机制使得密码攻击变得异常困难,安全性更高。
本发明另一实施例提供一种认证通信的方法,该方法包括上述实施例中的步骤101-103,其实现原理以及技术效果参见图1对应的实施例。同时,本发明实施例中,动态加密密钥为二叉树形式的加密密钥集合,动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu]。
具体的,参见图2所示,动态加密密钥为多层的二叉树形式结构,共L层,其最底层为叶子加密密钥(即最底层级的加密密钥),图2中以动态加密密钥是4层予以说明,该动态加密密钥共6个叶子加密密钥(即m=6),3个位于第2层级的节点加密密钥(即n2=3),2个位于第3层级的节点加密密钥(即n3=2)以及1个根加密密钥(即最顶层级的加密密钥)。该动态加密密钥共3+2=5个节点加密密钥(即n=5)。同时,本发明实施例中,的的上标a表示层级数,下标b表示加密密钥的顺位,即表示第a层级的第b个加密密钥,图2中以“加密密钥ab”的形式表示,即图2中的叶子加密密钥11表示叶子加密密钥叶子加密密钥12表示叶子加密密钥节点加密密钥21表示节点加密密钥根加密密钥41表示根加密密钥(即L=4),以此类推。
具体的,步骤102“对目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据”包括:
本发明实施例中,通过将目标数据分为m个目标子数据的方式,可以对不同的目标子数据进行不同的加密处理过程,即用不同的加密密钥对不同的目标子数据进行加密。其中,可以基于动态加密密钥的叶子加密密钥的数量来确定目标子数据的数量,即二者均是m;或者,目标子数据的数量少于动态加密密钥中叶子加密密钥的数量,即动态加密密钥中除了包括m个叶子加密密钥之外,还可以包括其他未被使用的叶子加密密钥。
具体的,参见图2所示,图2中以6个目标子数据为例,图中的“目标子数据ab”表示进行过a次加密处理后的第b个加密子数据,即目标子数据01表示的是目标子数据目标子数据02表示的是目标子数据以此类推。同时,由于目标子数据还未进行过加密处理,即a=0,目标子数据也是经过0次加密处理的加密子数据,即未加密的数据。
步骤A2:根据第一层级的叶子加密密钥分别对相应的目标子数据进行加密处理,确定相应的叶子加密子数据确定对应相同的下一层级节点加密密钥的两个叶子加密密钥和j2∈[1,n2];将两个叶子加密密钥和所对应的叶子加密子数据和作为一组,根据节点加密密钥对一组的叶子加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若在当前层级中不存在与叶子加密子数据具有相同的下一层级节点加密密钥的其他叶子加密子数据,则直接根据节点加密密钥对叶子加密子数据进行加密处理。
本发明实施例中,目标子数据由叶子加密密钥进行加密。具体的,如图2所示,叶子加密密钥分别对相应的目标子数据进行加密处理,进而生成加密后的加密子数据同样的,图2中的“加密子数据ab”指的是进行过a次加密处理后的第b个加密子数据,即加密子数据11为进行过1次加密处理后的第一个加密子数据,即叶子加密子数据加密子数据12表示叶子加密子数据以此类推。
同时,由于本发明实施例中的动态加密密钥为二叉树形式,故两个加密密钥可能对应上一级相同的加密密钥,即两个叶子加密密钥和可能对应同一个上一级的节点加密密钥如图2所示,叶子加密密钥11和叶子加密密钥12均对应同一个节点加密密钥21,叶子加密密钥13和叶子加密密钥14均对应同一个节点加密密钥22等;同样的,节点加密密钥21和节点加密密钥22也对应同一个上一级的节点加密密钥31。本发明实施例中,在通过第一层的叶子加密密钥对目标子数据进行加密之后,之后继续通过第二层的节点加密密钥进行下一次的加密。具体的,将具有相同上一级节点加密密钥的两个叶子加密密钥和所对应的叶子加密子数据和作为一组,利用该节点加密密钥对叶子加密子数据和进行加密处理,从而实现对目标子数据的第二次加密处理。
具体的,参见图2所示,将叶子加密密钥11和叶子加密密钥12加密生成的加密子数据11和加密子数据12作为一组,具体可以将加密子数据11和加密子数据12串接为一个整体,形成一个加密子数据,之后利用节点加密密钥21再次进行加密处理,从而生成经过两次加密后的加密子数据21,即节点加密子数据同样的,加密子数据13和加密子数据14经节点加密密钥22进行加密处理后生成加密子数据22,即节点加密子数据
同时,若当前层级中不存在与叶子加密子数据具有相同的下一层级节点加密密钥的其他叶子加密子数据,则说明不存在其他的叶子加密子数据可以与该叶子加密子数据组成一组进行后续的再次加密处理过程,此时可以将该叶子加密子数据单独作为一组,即直接根据节点加密密钥对叶子加密子数据进行加密处理。如图2所示,若不存在目标子数据06和叶子加密密钥16,即不存在加密子数据16,则加密子数据15单独作为一组数据,直接由下一级的节点加密密钥23对该加密子数据15进行再次加密处理。
步骤A3:确定与节点加密子数据对应相同的下一层级节点加密密钥的相邻的节点加密子数据以及与节点加密密钥对应的节点加密子数据其中,j`2=j2+1或j`2=j2-1;根据下一层级的节点加密密钥对一组的节点加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若当前层级中不存在与节点加密子数据具有相同的下一层级节点加密密钥的其他节点加密子数据,则直接根据节点加密密钥对节点加密子数据再次进行加密处理。
本发明实施例中,在根据第二层级的节点加密密钥进行加密处理、进而确定节点加密子数据之后,与上述步骤A2类似,继续将节点加密子数据两两一组进行下一次的加密处理。具体的,将相邻的两个节点加密子数据和作为一组;其中,j`2=j2+1或j`2=j2-1,具体根据实际情况而定。在确定成组的两个节点加密子数据和后,即可基于相对应的下一层级的节点加密密钥进行加密处理,从而可以确定节点加密子数据具体的,参见图2所示,对于加密子数据22,其具有相邻的加密子数据21和加密子数据23,但是只有加密子数据21与该加密子数据22对应相同的下一层级的节点加密密钥,即节点加密密钥31;故,此时将加密子数据21和加密子数据22作为一组,基于节点加密密钥31进行第三次加密处理,生成加密子数据31。
同样的,与步骤A2中类似,若在当前层级中不存在与节点加密子数据具有相同的下一层级节点加密密钥的其他节点加密子数据,则直接根据节点加密密钥对节点加密子数据再次进行加密处理。参见图2所示,不存在与加密子数据23成为一组的其他加密子数据,故直接根据节点加密密钥32对该加密子数据23进行加密处理,生成加密子数据32。
本发明实施例中,通过重复上述将两个加密子数据合为一组进行加密的处理过程,直至加密处理过程到达动态加密密钥的最上层级,即应该需要通过根加密密钥进行最后一次的加密处理,此时,将根据根加密密钥进行加密处理后所确定的数据作为最终的加密数据。如图2所示,根加密密钥41对加密子数据31和加密子数据32进行第四次加密处理,生成最终的加密子数据41,该加密子数据41即为目标数据最终加密后的加密数据。
本发明实施例中,对目标数据进行分段处理,分别对每一段的目标子数据进行加密,可以提高数据的安全性。同时,采用二叉树形式的动态加密密钥,可以将相邻的两个子数据作为一组进行再次加密,直至利用根加密密钥完成最后一层的加密处理;通过二叉树形式的动态加密密钥对子数据进行多层加密,可以提高每一个目标子数据的安全性,且可以大大提高数据整体的安全性。
在上述实施例的基础上,该方法还包括:
步骤B1:在执行加密处理过程生成相应的加密子数据的同时,确定加密子数据的校验信息,并将所有的校验信息按照与动态加密密钥相同的二叉树形式生成总校验信息。
步骤B2:将总校验信息发送至服务器。
本发明实施例中,在生成加密子数据(包括叶子加密子数据和节点加密子数据)的同时,还确定该加密子数据的校验信息。同时,如图2所示,由于加密子数据可以由二叉树形式表示,故所有的校验信息也可以以二叉树形式来表示,即可以生成与动态加密密钥相同的二叉树形式的总校验信息,之后可以再将该总校验信息发送至服务器侧,使得服务器通过该总校验信息可以对接收到的目标数据进行校验,以确定数据的完整性。具体的,可以将加密子数据的hash值作为校验信息,校验信息也可以校验码、校验字段、数字签名等。
本发明实施例提供的一种认证通信的方法,在目标节点需要接入服务器时,首先对目标节点进行身份认证,在身份认证通过后即可说明目标节点是合法的节点,且双方约定多层级的动态密钥,使得目标节点可以将待传输的目标数据基于该动态密钥进行多层级的加密处理,并传输加密后的目标数据,从而提高数据安全性。身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且动态密钥管理机制使得密码攻击变得异常困难,安全性更高。对目标数据进行分段处理,分别对每一段的目标子数据进行加密,可以提高数据的安全性。同时,通过二叉树形式的动态加密密钥对子数据进行多层加密,可以提高每一个目标子数据的安全性,且可以大大提高数据整体的安全性。将该总校验信息发送至服务器侧,使得服务器通过该总校验信息可以对接收到的目标数据进行校验,方便服务器确定目标数据的完整性。
基于同样的发明构思,本发明另一实施例还提供一种认证通信的方法,该方法应用于服务器侧,参见图3所示,该方法包括:
步骤301:对目标节点进行身份认证,在认证通过后与目标节点约定动态加密密钥,并生成相应的动态解密密钥;动态加密密钥包括多个层级的加密密钥,动态解密密钥包括多个层级的解密密钥。
本发明实施例中,当目标节点需要接入服务器并向服务器发送数据时,目标节点与服务器之间首先进行身份认证的过程,即服务器判断目标节点是否是合法的节点,或者目标节点也可以判断服务器是否是合法的服务器。集群的服务器需要首先对该目标节点进行身份验证,验证通过后才允许二者之间进行传输。具体的,可以使用目标节点的自签名或CA(Certification Authority)签名对目标节点进行验证。以CA签名为例,服务器利用CA签名的公钥对CA签名证书上的签字进行验证,验证通过则说明签名有效。在身份认证通过后,二者之间即可设置用于传输数据的动态密钥,以动态密钥管理机制使得密码攻击变得更加困难。具体的,目标节点与服务器之间约定多层级的动态加密密钥;且服务器作为数据的接收方,保存与该动态加密密钥相对应的多层级的动态解密密钥。当服务器接收到目标节点通过该动态加密密钥进行加密处理后的加密数据时,服务器可以基于该动态解密密钥进行解密处理,获得相应的明文数据,即目标数据。
步骤302:获取目标节点发送的加密数据,加密数据为基于多层级的动态加密密钥、按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据进行多次加密处理后所确定的数据。
步骤303:根据与动态加密密钥相对应的动态解密密钥所有层级的解密密钥,按照从最顶层级的解密密钥至最底层级的解密密钥的顺序对加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据。
本发明实施例中,在获取到目标节点发送的加密数据后,服务器即可基于该动态解密密钥进行解密处理,从而确定解密后的目标数据。其中,该动态解密密钥与动态加密密钥是一一对应的,通过动态密钥管理机制使得密码攻击变得更加困难,数据通信传输的安全性更高。同时,动态加密密钥为多层级的加密密钥,在生成加密数据时按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据依次进行加密处理。相应的,在需要对加密数据进行解密时,按照从最顶层级的解密密钥至最底层级的解密密钥的顺序对加密数据依次进行多次解密处理,从而生成解密后的目标数据。例如,动态加密密钥为3层级的加密密钥,相应的动态解密密钥也为3层的解密密钥。当需要对加密数据进行解密时,则首先利用第三层级的解密密钥(即最顶层级的解密密钥)对该加密数据进行解密处理,生成第一解密结果(对应上述的第二层级的加密结果);之后再利用第二层级的解密密钥对该第一解密结果再次进行解密处理,生成第二解密结果(对应上述的第一层级的加密结果);最后再利用第一层级的解密密钥(即最底层级的解密密钥)对该第二解密结果进行解密处理,生成第三解密结果,该第三解密结果即为加密数据解密后确定的目标数据。
本发明实施例提供的一种认证通信的方法,在目标节点需要接入服务器时,服务器首先对目标节点进行身份认证,在身份认证通过后即可说明目标节点是合法的节点,且双方约定动态密钥,使得目标节点可以将待传输的目标数据基于该动态密钥进行加密处理,并传输加密后的目标数据;服务器基于相应的动态解密密钥可以正确地进行解密,确定解密后的目标数据,实现数据的安全传输,从而提高数据安全性。身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且动态密钥管理机制使得密码攻击变得异常困难,安全性更高。
需要说明的是,本发明实施例中的“目标节点”为发送数据的一侧,“服务器”为接收数据的一侧。本领域技术人员可以理解,目标节点也可以执行步骤301-303的过程,也可以执行步骤101-103的过程,即服务器也可以向目标节点发送加密数据,且该加密数据是通过动态加密机制进行加密的。
在上述实施例的基础上,动态加密密钥为二叉树形式的加密密钥集合,动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu]。动态加密密钥的一种形式参见图2所示。
动态解密密钥为与动态加密密钥具有相同的二叉树形式的解密密钥集合,且动态解密密钥包括:m个叶子解密密钥n个节点解密密钥和1个根解密密钥其中,表示第a层级的第b个解密密钥,叶子加密密钥与叶子解密密钥、节点加密密钥与节点解密密钥、根加密密钥与根解密密钥之间均是一一对应的关系。其中,动态解密密钥的一种形式参见图4所示。
同时,动态解密密钥为多层的二叉树形式结构,与动态加密密钥相同,动态解密密钥也共L层,其最上层为根解密密钥(即最顶层级的解密密钥),最底层为叶子解密密钥(即最底层级的解密密钥),图2中以动态解密密钥是4层予以说明,该动态解密密钥共6个叶子解密密钥(即m=6),3个位于第2层级的节点解密密钥(即n2=3),2个位于第3层级的节点解密密钥(即n3=2)以及1个根解密密钥。该动态解密密钥共3+2=5个节点解密密钥(即n=5)。同时,本发明实施例中的上标a表示层级数,下标b表示解密密钥的顺位,即表示第a层级的第b个解密密钥,图4中以“解密密钥ab”的形式表示,即图4中的叶子解密密钥11表示叶子解密密钥叶子解密密钥12表示叶子解密密钥节点解密密钥21表示节点解密密钥根解密密钥41表示根解密密钥(即L=4),以此类推。
上述步骤301“对加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据”具体包括:
本发明实施例中,与基于动态加密密钥对目标数据进行加密的过程相反,本实施例中首先根据根解密密钥对加密数据进行解密处理。如图4所示,由根解密密钥41对加密子数据41(即加密数据)进行解密处理,从而生成下一层级的两个节点加密子数据和(即图4中的加密子数据31和加密子数据32),且两个节点加密子数据和所对应的两个节点解密密钥和(即图4中的节点解密密钥31和32)。
步骤C2:根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;并确定下一层级的节点加密子数据对应的下一层级的节点解密密钥,继续根据节点解密密钥对相应的节点加密子数据进行解密处理。
本发明实施例中,每当确定一个节点加密子数据(比如或)后,即可确定对节点加密子数据进行解密处理,每个节点加密子数据解密后所确定的下一层级的节点加密子数据的个数为一个或两个,具体根据加密数据的具体结构而定。例如,如图4所示,对加密子数据31进行解密处理后,可以确定下一层的加密子数据21和加密子数据22;而对加密子数据32进行解密处理,只能确定一个加密子数据,即加密子数据23。
步骤C3:重复上述解密处理的过程,直至所确定的下一级的节点解密密钥为叶子解密密钥并基于叶子解密密钥对相应的叶子加密子数据进行解密处理,确定m个解密后的目标子数据根据所有的目标子数据生成最终的目标数据。
本发明实施例中,与加密过程类似,在基于二叉树形式的动态解密密钥时,利用分层级的动态解密密钥一层层地对加密数据进行解密,直至基于叶子解密密钥进行最后一步解密处理后生成不加密的数据,即目标子数据进而可以最终确定目标节点所发送的目标数据。采用与动态加密密钥相同二叉树形式的动态解密密钥对多层加密的加密数据进行解密处理,从而可以分层级地一层层地对加密数据进行解密,直至最终确定目标数据。通过二叉树形式的动态加密密钥和动态解密密钥,可以提高每一个目标子数据的安全性,且可以大大提高数据整体的安全性。
在上述实施例的基础上,该方法还包括数据校验的过程,具体的,该过程包括:
步骤D1:接收目标节点发送的总校验信息,总校验信息为多个校验信息按照与动态解密密钥相同的二叉树形式所生成的信息。
本发明实施例中,目标节点在生成加密子数据(包括叶子加密子数据和节点加密子数据)的同时,还确定该加密子数据的校验信息。同时,如图2所示,由于加密子数据可以由二叉树形式表示,故所有的校验信息也可以以二叉树形式来表示;且动态加密密钥与动态解密密钥具有相同的二叉树形式的结构,即可以目标节点可以生成与动态解密密钥相同的二叉树形式的总校验信息。其中,目标节点在将加密后的数据(即经过根加密密钥加密后的数据)发送至本地服务器时,目标节点同时还将树结构的总校验信息发送至本地服务器;或者目标节点将树结构的总校验信息发送至专门用于存储校验信息的中间服务器,本地服务器从该中间服务器获取相应的校验信息。其中,该中间服务器为可信的数据源。
步骤D2:确定接收到的加密数据的临时校验信息,并判断总校验信息中与加密数据所对应的校验信息与加密数据的临时校验信息是否一致。
步骤D3:若二者不一致,将加密数据作为异常加密数据,在确定加密子数据的临时校验信息,并根据总校验信息中与加密子数据所对应的校验信息加密子数据的临时校验信息是否一致;将具有与总校验信息不一致的临时校验信息的加密子数据作为异常加密子数据。
本发明实施例中,通过总校验信息可以对接收到的目标数据进行校验,以确定数据的完整性。具体的,首先判断总校验信息中最上层的校验信息(即总的加密数据对应的校验信息)与服务器接收到的加密数据校验信息(即临时校验信息)是否一致,若二者一致,则说明服务器接收到的加密数据与目标节点传输的校验信息是相匹配的,此时可以说明服务器完整地接收到了目标节点发送的加密数据。其中,该临时校验信息为本地服务器接收到的加密数据的校验信息、或解密处理后所确定的加密子数据的校验信息。
若二者不一致,则说明服务器没有完整地接收到目标节点发送的数据,此时将加密数据作为异常加密数据,根据二叉树形式的校验信息可以快速确定服务器没有完整地接收到哪一个目标子数据。具体的,服务器接收到的加密数据可以被解密为一个或两个下一层级的加密子数据,由于该加密数据是异常的,则解密后确定的加密子数据中一定存在至少一个也是异常的数据,即异常加密子数据。参见图4所示,若加密子数据41为异常数据,则对异常的加密子数据41进行解密处理后生成的加密子数据31和32中一定存在至少一个也是异常的数据。
步骤D4:在对异常加密子数据执行解密处理过程中生成相应的下一层级的加密子数据的同时,继续确定下一层级的加密子数据的临时校验信息,并将下一层级中具有与总校验信息不一致的临时校验信息的加密子数据作为异常加密子数据。
步骤D5:重复上述过程,直至确定异常的叶子加密子数据,并重新获取与异常的叶子加密子数据对应的目标子数据,直至获取到正确的目标子数据。
本发明实施例中,对不异常的加密子数据按照上述步骤C1-C3进行正常的解密处理即可。对于异常加密子数据,在按照上述解密过程进行解密处理的同时,还确定解密生成的下一层级的加密子数据的临时校验信息,并继续根据该总校验信息判断下一层级的临时校验信息是否正确,并将不正确的临时校验信息所对应的加密子数据也作为异常加密子数据。之后即可重复上述基于校验信息判断异常加密子数据的过程,直至确定异常的叶子加密子数据,从而可以从根源上确定哪个数据异常。
例如,参见图4所示,若加密子数据31为异常数据,加密子数据32为正常数据,即加密子数据32的校验信息是正确的,则后续可对加密子数据32进行正常的解密处理,从而最终确定正确的目标子数据05和06;而对于异常的加密子数据31,需要再确定解密后的加密子数据21和22中哪一个是异常的数据,或者两个都是异常的数据。之后继续判断,直至确定叶子加密子数据(即加密子数据11~14)中哪个是异常的(比如数据错误、被篡改、漏传等)。在确定异常的叶子加密子数据后,即可确定哪个目标子数据是异常的,从而可以指示目标节点重新将该目标子数据发送至服务器,使得服务器可以接收到正确的目标子数据。
本发明实施例中,在传输的目标数据异常时,不需要重新传输全部的目标数据,可以只重新传输异常的目标子数据,从而可以节约网络资源,提高重传效率。例如目标节点传输的目标子数据03异常时,则基于总校验信息可以确定“加密子数据41→加密子数据31→加密子数据22→加密子数据13”这一路径存在异常,此时即可确定传输至本地服务器的目标子数据03存在异常,需要重新传输目标子数据03。同时,根据二叉树形式的校验信息可以快速确定服务器没有完整地接收到哪一个目标子数据。例如,如图4所示,通过四层的动态密钥实现对6个目标子数据(最多可以8个目标子数据)的加解密处理;若其中的一个目标子数据异常,采用二叉树形式的校验信息,通过4次验证即可判断出哪一个目标子数据异常;而若只是通过6个目标子数据的加密数据(即叶子加密子数据)的校验信息进行判断,则最多需要判断6次才可以确定哪个目标子数据异常。当目标子数据越多时,基于二叉树形式校验信息的判断效率越高。
本发明实施例提供的一种认证通信的方法,在目标节点需要接入服务器时,服务器首先对目标节点进行身份认证,在身份认证通过后即可说明目标节点是合法的节点,且双方约定动态密钥,使得目标节点可以将待传输的目标数据基于该动态密钥进行加密处理,并传输加密后的目标数据;服务器基于相应的动态解密密钥可以正确地进行解密,确定解密后的目标数据,实现数据的安全传输,从而提高数据安全性。身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且动态密钥管理机制使得密码攻击变得异常困难,安全性更高。通过二叉树形式的动态加密密钥和动态解密密钥,可以提高每一个目标子数据的安全性,且可以大大提高数据整体的安全性。在传输的目标数据异常时,根据二叉树形式的校验信息可以快速确定服务器没有完整地接收到哪一个目标子数据,此时不需要重新传输全部的目标数据,可以只重新传输异常的目标子数据即可,从而也可以节约网络资源,提高重传效率。
以上详细介绍了认证通信的方法流程,该方法也可以通过相应的装置实现,下面详细介绍该装置的结构和功能。
本发明实施例提供的一种认证通信的装置,参见图5所示,包括:
加密密钥确定模块51,用于对目标节点进行身份认证,在通过身份认证后,确定与所述目标节点约定的动态加密密钥,所述动态加密密钥包括多个层级的加密密钥;
加密处理模块52,用于确定需要传输的目标数据,根据所述动态加密密钥所有层级的加密密钥,按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对所述目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据;
发送模块53,用于将所述加密数据发送至所述服务器。
在上述实施例的基础上,所述动态加密密钥为二叉树形式的加密密钥集合,所述动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为所述动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu];
所述加密处理模块52具体用于:
根据第一层级的所述叶子加密密钥分别对相应的目标子数据进行加密处理,确定相应的叶子加密子数据确定对应相同的下一层级节点加密密钥的两个叶子加密密钥和j2∈[1,n2];将两个叶子加密密钥和所对应的叶子加密子数据和作为一组,根据节点加密密钥对一组的叶子加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若在当前层级中不存在与叶子加密子数据具有相同的下一层级节点加密密钥的其他叶子加密子数据,则直接根据节点加密密钥对叶子加密子数据进行加密处理;
确定与节点加密子数据对应相同的下一层级节点加密密钥的相邻的节点加密子数据以及与节点加密密钥对应的节点加密子数据其中,j`2=j2+1或j`2=j2-1;根据下一层级的节点加密密钥对一组的节点加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若在当前层级中不存在与节点加密子数据具有相同的下一层级节点加密密钥的其他节点加密子数据,则直接根据节点加密密钥对节点加密子数据再次进行加密处理;
在上述实施例的基础上,该装置还包括:校验信息生成模块;
所述校验信息生成模块用于在执行加密处理过程生成相应的加密子数据的同时,确定所述加密子数据的校验信息,并将所有的校验信息按照与所述动态加密密钥相同的二叉树形式生成总校验信息;
所述发送模块53还用于将所述总校验信息发送至所述服务器。
本发明实施例提供的一种认证通信的装置,在目标节点需要接入服务器时,首先对目标节点进行身份认证,在身份认证通过后即可说明目标节点是合法的节点,且双方约定动态密钥,使得目标节点可以将待传输的目标数据基于该动态密钥进行加密处理,并传输加密后的目标数据,从而提高数据安全性。身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且动态密钥管理机制使得密码攻击变得异常困难,安全性更高。对目标数据进行分段处理,分别对每一段的目标子数据进行加密,可以提高数据的安全性。同时,通过二叉树形式的动态加密密钥对子数据进行多层加密,可以提高每一个目标子数据的安全性,且可以大大提高数据整体的安全性。将该总校验信息发送至服务器侧,使得服务器通过该总校验信息可以对接收到的目标数据进行校验,方便服务器确定目标数据的完整性。
基于同样的发明构思,本发明实施例也提供了一种认证通信的装置,参见图6所示,包括:
解密密钥确定模块61,用于对目标节点进行身份认证,在认证通过后与所述目标节点约定动态加密密钥,并生成相应的动态解密密钥,所述动态加密密钥包括多个层级的加密密钥,所述动态解密密钥包括多个层级的解密密钥;
获取模块62,用于获取目标节点发送的加密数据,所述加密数据为基于多层级的所述动态加密密钥、按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据进行多次加密处理后所确定的数据;
解密处理模块63,用于根据与所述动态加密密钥相对应的动态解密密钥所有层级的解密密钥,按照从最顶层级的解密密钥至最底层级的解密密钥的顺序对所述加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据。
在上述实施例的基础上,所述动态加密密钥为二叉树形式的加密密钥集合,所述动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为所述动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu];
所述动态解密密钥为与所述动态加密密钥具有相同的二叉树形式的解密密钥集合,且所述动态解密密钥包括:m个叶子解密密钥n个节点解密密钥和1个根解密密钥其中,表示第a层级的第b个解密密钥,所述叶子加密密钥与所述叶子解密密钥、所述节点加密密钥与所述节点解密密钥、所述根加密密钥与所述根解密密钥之间均是一一对应的关系;
所述解密处理模块63具体用于:
根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;并确定下一层级的节点加密子数据对应的下一层级的节点解密密钥,继续根据节点解密密钥对相应的节点加密子数据进行解密处理;
在上述实施例的基础上,该装置还包括:校验模块;
所述校验模块用于:
接收所述目标节点发送的总校验信息,所述总校验信息为多个校验信息按照与所述动态解密密钥相同的二叉树形式所生成的信息;
确定接收到的加密数据的临时校验信息,并判断所述总校验信息中与所述加密数据所对应的校验信息与所述加密数据的临时校验信息是否一致;
若二者不一致,将所述加密数据作为异常加密数据,在确定所述加密子数据的临时校验信息,并根据所述总校验信息中与所述加密子数据所对应的校验信息所述加密子数据的临时校验信息是否一致;将具有与总校验信息不一致的临时校验信息的加密子数据作为异常加密子数据;
在对所述异常加密子数据执行解密处理过程中生成相应的下一层级的加密子数据的同时,继续确定下一层级的加密子数据的临时校验信息,并将下一层级中具有与总校验信息不一致的临时校验信息的加密子数据作为异常加密子数据;
重复上述过程,直至确定异常的叶子加密子数据,并重新获取与异常的叶子加密子数据对应的目标子数据,直至获取到正确的目标子数据。
本发明实施例提供的一种认证通信的装置,在目标节点需要接入服务器时,服务器首先对目标节点进行身份认证,在身份认证通过后即可说明目标节点是合法的节点,且双方约定动态密钥,使得目标节点可以将待传输的目标数据基于该动态密钥进行加密处理,并传输加密后的目标数据;服务器基于相应的动态解密密钥可以正确地进行解密,确定解密后的目标数据,实现数据的安全传输,从而提高数据安全性。身份验证机制可以防止伪连接的攻击,可以防止不受信任的代理节点的欺骗;且动态密钥管理机制使得密码攻击变得异常困难,安全性更高。通过二叉树形式的动态加密密钥和动态解密密钥,可以提高每一个目标子数据的安全性,且可以大大提高数据整体的安全性。在传输的目标数据异常时,根据二叉树形式的校验信息可以快速确定服务器没有完整地接收到哪一个目标子数据,此时不需要重新传输全部的目标数据,可以只重新传输异常的目标子数据即可,从而也可以节约网络资源,提高重传效率。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,其包含用于执行上述认证通信的方法的程序,该计算机可执行指令可执行上述任意方法实施例中的方法。
其中,所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
图7示出了本发明的另一个实施例的一种计算机设备的结构框图。所述计算机设备1100可以是具备计算能力的主机服务器、个人计算机PC、或者可携带的便携式计算机或终端等。本发明具体实施例并不对计算机设备的具体实现做限定。
该计算机设备1100包括至少一个处理器(processor)1110、通信接口(Communications Interface)1120、存储器(memory array)1130和总线1140。其中,处理器1110、通信接口1120、以及存储器1130通过总线1140完成相互间的通信。
通信接口1120用于与网元通信,其中网元包括例如虚拟机管理中心、共享存储等。
处理器1110用于执行程序。处理器1110可能是一个中央处理器CPU,或者是专用集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器1130用于可执行的指令。存储器1130可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1130也可以是存储器阵列。存储器1130还可能被分块,并且所述块可按一定的规则组合成虚拟卷。存储器1130存储的指令可被处理器1110执行,以使处理器1110能够执行上述任意方法实施例中的方法。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种认证通信的方法,其特征在于,包括:
对目标节点进行身份认证,在通过身份认证后,确定与所述目标节点约定的动态加密密钥,所述动态加密密钥包括多个层级的加密密钥;
确定需要传输的目标数据,根据所述动态加密密钥所有层级的加密密钥,按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对所述目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据;
所述动态加密密钥为二叉树形式的加密密钥集合,所述动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为所述动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu];
所述对所述目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据,包括:对所述目标数据进行分段处理,确定分段后的m个目标子数据其中,表示进行过a次加密处理后的第b个加密子数据;根据第一层级的所述叶子加密密钥分别对相应的目标子数据进行加密处理,确定相应的叶子加密子数据确定对应相同的下一层级节点加密密钥的两个叶子加密密钥和j2∈[1,n2];将两个叶子加密密钥和所对应的叶子加密子数据和作为一组,根据节点加密密钥对一组的叶子加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若在当前层级中不存在与叶子加密子数据具有相同的下一层级节点加密密钥的其他叶子加密子数据,则直接根据节点加密密钥对叶子加密子数据进行加密处理;确定与节点加密子数据对应相同的下一层级节点加密密钥的相邻的节点加密子数据其中,j`2=j2+1或j`2=j2-1;根据下一层级的节点加密密钥对一组的节点加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若在当前层级中不存在与节点加密子数据具有相同的下一层级节点加密密钥的其他节点加密子数据,则直接根据节点加密密钥对节点加密子数据再次进行加密处理;重复上述再次加密处理的过程,直至所确定的上一级的节点加密密钥为所述根加密密钥为止,并将根据所述根加密密钥进行加密处理后所确定的数据作为最终的加密数据;
将所述加密数据发送至服务器。
2.根据权利要求1所述的方法,其特征在于,还包括:
在执行加密处理过程生成相应的加密子数据的同时,确定所述加密子数据的校验信息,并将所有的校验信息按照与所述动态加密密钥相同的二叉树形式生成总校验信息;
将所述总校验信息发送至所述服务器。
3.一种认证通信的方法,其特征在于,包括:
对目标节点进行身份认证,在认证通过后与所述目标节点约定动态加密密钥,并生成相应的动态解密密钥,所述动态加密密钥包括多个层级的加密密钥,所述动态解密密钥包括多个层级的解密密钥;
获取目标节点发送的加密数据,所述加密数据为基于多层级的所述动态加密密钥、按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据进行多次加密处理后所确定的数据;
根据与所述动态加密密钥相对应的动态解密密钥所有层级的解密密钥,按照从最顶层级的解密密钥至最底层级的解密密钥的顺序对所述加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据;
所述动态加密密钥为二叉树形式的加密密钥集合,所述动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为所述动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu];
所述动态解密密钥为与所述动态加密密钥具有相同的二叉树形式的解密密钥集合,且所述动态解密密钥包括:m个叶子解密密钥n个节点解密密钥和1个根解密密钥其中,表示第a层级的第b个解密密钥,所述叶子加密密钥与所述叶子解密密钥、所述节点加密密钥与所述节点解密密钥、所述根加密密钥与所述根解密密钥之间均是一一对应的关系;
所述对所述加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据,包括:根据所述根解密密钥对所述加密数据进行解密处理,确定下一层级的两个节点加密子数据和其中,表示进行过L-a次解密处理后的第b个加密子数据;同时确定两个节点加密子数据和所对应的两个节点解密密钥和根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;并确定下一层级的节点加密子数据对应的下一层级的节点解密密钥,继续根据节点解密密钥对相应的节点加密子数据进行解密处理;重复上述解密处理的过程,直至所确定的下一级的节点解密密钥为叶子解密密钥并基于叶子解密密钥对相应的叶子加密子数据进行解密处理,确定m个解密后的目标子数据根据所有的目标子数据生成最终的目标数据。
4.根据权利要求3所述的方法,其特征在于,还包括:
接收所述目标节点发送的总校验信息,所述总校验信息为多个校验信息按照与所述动态解密密钥相同的二叉树形式所生成的信息;
确定接收到的加密数据的临时校验信息,并判断所述总校验信息中与所述加密数据所对应的校验信息与所述加密数据的临时校验信息是否一致;
若二者不一致,将所述加密数据作为异常加密数据,在确定所述加密子数据的临时校验信息,并根据所述总校验信息中与所述加密子数据所对应的校验信息所述加密子数据的临时校验信息是否一致;将具有与总校验信息不一致的临时校验信息的加密子数据作为异常加密子数据;
在对所述异常加密子数据执行解密处理过程中生成相应的下一层级的加密子数据的同时,继续确定下一层级的加密子数据的临时校验信息,并将下一层级中具有与总校验信息不一致的临时校验信息的加密子数据作为异常加密子数据;
重复上述过程,直至确定异常的叶子加密子数据,并重新获取与异常的叶子加密子数据对应的目标子数据,直至获取到正确的目标子数据。
5.一种认证通信的装置,其特征在于,包括:
加密密钥确定模块,用于对目标节点进行身份认证,在通过身份认证后,确定与所述目标节点约定的动态加密密钥,所述动态加密密钥包括多个层级的加密密钥;
加密处理模块,用于确定需要传输的目标数据,根据所述动态加密密钥所有层级的加密密钥,按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对所述目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据;
所述动态加密密钥为二叉树形式的加密密钥集合,所述动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为所述动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu];
所述对所述目标数据依次进行多次加密处理,并在加密处理过程结束后生成最终的加密数据,包括:对所述目标数据进行分段处理,确定分段后的m个目标子数据其中,表示进行过a次加密处理后的第b个加密子数据;根据第一层级的所述叶子加密密钥分别对相应的目标子数据进行加密处理,确定相应的叶子加密子数据确定对应相同的下一层级节点加密密钥的两个叶子加密密钥和j2∈[1,n2];将两个叶子加密密钥和所对应的叶子加密子数据和作为一组,根据节点加密密钥对一组的叶子加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若在当前层级中不存在与叶子加密子数据具有相同的下一层级节点加密密钥的其他叶子加密子数据,则直接根据节点加密密钥对叶子加密子数据进行加密处理;确定与节点加密子数据对应相同的下一层级节点加密密钥的相邻的节点加密子数据其中,j`2=j2+1或j`2=j2-1;根据下一层级的节点加密密钥对一组的节点加密子数据和再次进行加密处理,确定与节点加密密钥对应的节点加密子数据若在当前层级中不存在与节点加密子数据具有相同的下一层级节点加密密钥的其他节点加密子数据,则直接根据节点加密密钥对节点加密子数据再次进行加密处理;重复上述再次加密处理的过程,直至所确定的上一级的节点加密密钥为所述根加密密钥为止,并将根据所述根加密密钥进行加密处理后所确定的数据作为最终的加密数据;
发送模块,用于将所述加密数据发送至服务器。
6.一种认证通信的装置,其特征在于,包括:
解密密钥确定模块,用于对目标节点进行身份认证,在认证通过后与所述目标节点约定动态加密密钥,并生成相应的动态解密密钥,所述动态加密密钥包括多个层级的加密密钥,所述动态解密密钥包括多个层级的解密密钥;
获取模块,用于获取目标节点发送的加密数据,所述加密数据为基于多层级的所述动态加密密钥、按照从最底层级的加密密钥至最顶层级的加密密钥的顺序对目标数据进行多次加密处理后所确定的数据;
解密处理模块,用于根据与所述动态加密密钥相对应的动态解密密钥所有层级的解密密钥,按照从最顶层级的解密密钥至最底层级的解密密钥的顺序对所述加密数据依次进行多次解密处理,直至确定解密处理过程结束后得到的目标数据;
所述动态加密密钥为二叉树形式的加密密钥集合,所述动态加密密钥包括:m个叶子加密密钥n个节点加密密钥和1个根加密密钥其中,表示第a层级的第b个加密密钥,L为所述动态加密密钥的总层级数,i∈[1,m];u表示节点加密密钥所在的层级数,且nu表示第u层级的节点加密密钥的数量,ju∈[1,nu];
所述动态解密密钥为与所述动态加密密钥具有相同的二叉树形式的解密密钥集合,且所述动态解密密钥包括:m个叶子解密密钥n个节点解密密钥和1个根解密密钥其中,表示第a层级的第b个解密密钥,所述叶子加密密钥与所述叶子解密密钥、所述节点加密密钥与所述节点解密密钥、所述根加密密钥与所述根解密密钥之间均是一一对应的关系;
所述解密处理模块,包括:根据所述根解密密钥对所述加密数据进行解密处理,确定下一层级的两个节点加密子数据和其中,表示进行过L-a次解密处理后的第b个加密子数据;同时确定两个节点加密子数据和所对应的两个节点解密密钥和根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;根据节点解密密钥对相应的节点加密子数据进行解密处理,确定下一层级的一个或两个节点加密子数据;并确定下一层级的节点加密子数据对应的下一层级的节点解密密钥,继续根据节点解密密钥对相应的节点加密子数据进行解密处理;重复上述解密处理的过程,直至所确定的下一级的节点解密密钥为叶子解密密钥并基于叶子解密密钥对相应的叶子加密子数据进行解密处理,确定m个解密后的目标子数据根据所有的目标子数据生成最终的目标数据。
7.一种计算机可读存储介质,其上存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机可读指令,其特征在于,所述处理器执行所述计算机可读指令时实现权利要求1至4中任一项所述方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910341149.9A CN110213228B (zh) | 2019-04-25 | 2019-04-25 | 一种认证通信的方法、装置、存储介质及计算机设备 |
PCT/CN2019/103531 WO2020215572A1 (zh) | 2019-04-25 | 2019-08-30 | 一种认证通信的方法、装置、存储介质及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910341149.9A CN110213228B (zh) | 2019-04-25 | 2019-04-25 | 一种认证通信的方法、装置、存储介质及计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110213228A CN110213228A (zh) | 2019-09-06 |
CN110213228B true CN110213228B (zh) | 2021-09-07 |
Family
ID=67786476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910341149.9A Active CN110213228B (zh) | 2019-04-25 | 2019-04-25 | 一种认证通信的方法、装置、存储介质及计算机设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN110213228B (zh) |
WO (1) | WO2020215572A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110944009B (zh) * | 2019-12-13 | 2022-03-18 | 武汉理工光科股份有限公司 | 一种基于二线制通信的数据动态加密通信方法及系统 |
CN111698241B (zh) * | 2020-06-09 | 2021-05-28 | 亚特智物联技术(广东)有限公司 | 物联网云平台系统、验证方法和数据管理方法 |
CN112152802B (zh) * | 2020-09-09 | 2023-06-20 | 深圳市欢太科技有限公司 | 数据加密方法、电子设备及计算机存储介质 |
CN114978564B (zh) * | 2021-04-20 | 2023-07-14 | 中移互联网有限公司 | 基于多重加密的数据传输方法及装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1698041A (zh) * | 2003-06-09 | 2005-11-16 | 索尼株式会社 | 信息装置、信息服务器、信息处理系统、方法和程序 |
WO2008026184A2 (en) * | 2006-08-31 | 2008-03-06 | Koninklijke Philips Electronics N.V. | Method of key management |
CN101150395A (zh) * | 2006-09-22 | 2008-03-26 | 中国科学院声学研究所 | 一种加密授权管理系统的双重分组的四层加密方法 |
CN101621661A (zh) * | 2008-06-30 | 2010-01-06 | 北京中星微电子有限公司 | 一种音视频加密解密传输系统 |
CN101883115A (zh) * | 2010-06-25 | 2010-11-10 | 北京交通大学 | 接入认证方法及系统 |
CN104040935A (zh) * | 2012-12-14 | 2014-09-10 | 华为技术有限公司 | 一种数据加密、解密的方法及设备 |
CN108075879A (zh) * | 2016-11-10 | 2018-05-25 | 中国移动通信集团安徽有限公司 | 一种数据加密和解密的方法、装置及系统 |
CN108235022A (zh) * | 2018-01-29 | 2018-06-29 | 苏州南尔材料科技有限公司 | 一种计算机视频数据处理方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101062995B1 (ko) * | 2009-01-19 | 2011-09-07 | 충남대학교산학협력단 | Scada 시스템 통신 환경에 효율적인 키 관리 방법 |
US8386800B2 (en) * | 2009-12-04 | 2013-02-26 | Cryptography Research, Inc. | Verifiable, leak-resistant encryption and decryption |
-
2019
- 2019-04-25 CN CN201910341149.9A patent/CN110213228B/zh active Active
- 2019-08-30 WO PCT/CN2019/103531 patent/WO2020215572A1/zh active Application Filing
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1698041A (zh) * | 2003-06-09 | 2005-11-16 | 索尼株式会社 | 信息装置、信息服务器、信息处理系统、方法和程序 |
WO2008026184A2 (en) * | 2006-08-31 | 2008-03-06 | Koninklijke Philips Electronics N.V. | Method of key management |
CN101150395A (zh) * | 2006-09-22 | 2008-03-26 | 中国科学院声学研究所 | 一种加密授权管理系统的双重分组的四层加密方法 |
CN101621661A (zh) * | 2008-06-30 | 2010-01-06 | 北京中星微电子有限公司 | 一种音视频加密解密传输系统 |
CN101883115A (zh) * | 2010-06-25 | 2010-11-10 | 北京交通大学 | 接入认证方法及系统 |
CN104040935A (zh) * | 2012-12-14 | 2014-09-10 | 华为技术有限公司 | 一种数据加密、解密的方法及设备 |
CN108075879A (zh) * | 2016-11-10 | 2018-05-25 | 中国移动通信集团安徽有限公司 | 一种数据加密和解密的方法、装置及系统 |
CN108235022A (zh) * | 2018-01-29 | 2018-06-29 | 苏州南尔材料科技有限公司 | 一种计算机视频数据处理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110213228A (zh) | 2019-09-06 |
WO2020215572A1 (zh) | 2020-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213228B (zh) | 一种认证通信的方法、装置、存储介质及计算机设备 | |
US7793340B2 (en) | Cryptographic binding of authentication schemes | |
EP3073668B1 (en) | Apparatus and method for authenticating network devices | |
US20080025515A1 (en) | Systems and Methods for Digitally-Signed Updates | |
US9531540B2 (en) | Secure token-based signature schemes using look-up tables | |
US10880100B2 (en) | Apparatus and method for certificate enrollment | |
JP2008507203A (ja) | ディストリビューションcdを使用した、署名されたグループにおけるダイレクトプルーフの秘密鍵を装置に伝達する方法 | |
CN110351297B (zh) | 一种应用于区块链的验证方法及装置 | |
US8407248B2 (en) | System and method for authentication using a shared table and sorting exponentiation | |
CN114793184B (zh) | 一种基于第三方密钥管理节点的安全芯片通信方法及装置 | |
CN116232593A (zh) | 多密码模组敏感数据分类分级与保护方法、设备及系统 | |
CN112241527A (zh) | 密钥生成方法、系统及电子设备 | |
CN114049121B (zh) | 基于区块链的账户重置方法和设备 | |
Alzomai et al. | The mobile phone as a multi OTP device using trusted computing | |
CN108199836B (zh) | 一种密钥与设备绑定、解绑定的方法及装置 | |
CN106713256A (zh) | 一种税控专用计算机软硬件绑定的认证方法 | |
CN111490874B (zh) | 一种配网安全防护方法、系统、装置及存储介质 | |
US20210135872A1 (en) | Implicit attestation for network access | |
CN114553566A (zh) | 数据加密方法、装置、设备及存储介质 | |
US10979226B1 (en) | Soft-token authentication system with token blocking after entering the wrong PIN | |
CN112926983A (zh) | 一种基于区块链的存证交易加密系统及方法 | |
CN112243011A (zh) | 一种签名验证方法、系统、电子设备及存储介质 | |
JP2000509521A (ja) | 暗号システムのセキュリティを検証するために過渡的な障害を使用する方法 | |
CN117255341B (zh) | 基于mifi的数据加密传输保护方法及系统 | |
WO2023198036A1 (zh) | 一种密钥生成方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |