CN110417544B - 一种根密钥的生成方法、装置和介质 - Google Patents
一种根密钥的生成方法、装置和介质 Download PDFInfo
- Publication number
- CN110417544B CN110417544B CN201910577891.XA CN201910577891A CN110417544B CN 110417544 B CN110417544 B CN 110417544B CN 201910577891 A CN201910577891 A CN 201910577891A CN 110417544 B CN110417544 B CN 110417544B
- Authority
- CN
- China
- Prior art keywords
- key
- server
- root key
- program
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种根密钥的生成方法、装置和介质,所述方法将根密钥生成的步骤分配到第一服务器、第二服务器和第三服务器中。其中,第一服务器生成加密密钥和解密密钥,并进行密钥管理执行程序的编译和打包。第二服务器生成初始根密钥,并使用第一服务器发送的加密密钥,加密初始根密钥,获得初始根密钥密文。第三服务器则根据第一服务器发送的密钥管理执行程序和第二服务器发送的初始根密钥密文,进行初始根密钥密文的解密和转换,以得到目标根密钥。所述第三服务器不能够获得初始根密钥和解密密钥,所述第一服务器和第二服务器没有登录到第三服务器的权限,因此保证了根密钥管理的安全,提高了根密钥安全管理系统的可靠性。
Description
技术领域
本发明涉及密钥管理领域,尤其涉及一种根密钥的生成方法、装置和介质。
背景技术
由于密钥是信息化安全的核心要素,密钥安全管理中对根密钥的生成要求严格,根密钥是最顶层的密钥,具有较高的价值,一旦泄露会导致严重的后果。
常用的密钥管理方案中采用硬件安全模块(hardware security module,HSM)进行密钥的安全管理。硬件安全模块是一种用于保护和管理强认证系统所使用的密钥,并同时提供相关密码学操作的计算机硬件设备。硬件安全模块一般通过扩展卡或外部设备的形式直接连接到电脑或网络服务器。通过将三段初始密钥,由三个角色,分别注入硬件安全模块,由硬件安全模块来保证根密钥的安全性。这种密钥管理方案依赖专门的硬件安全模块,成本高昂。同时该方案的核心装置硬件安全模块的运营维护也比较困难。
发明内容
为了解决根密钥管理硬件装置成本高且维护困难的问题,得到低成本安全管理根密钥的技术效果,本发明提供了一种根密钥的生成方法、装置和介质。
一方面,本发明提供了一种根密钥的生成方法,所述方法包括:
第一服务器生成密钥对和密钥对对应的密钥管理执行程序,所述密钥对包括加密密钥和解密密钥;所述第一服务器将所述加密密钥发送到第二服务器中;并将所述密钥管理执行程序发送到第三服务器中;
所述第二服务器接收所述加密密钥;所述第二服务器生成初始根密钥;根据所述加密密钥,所述第二服务器加密所述初始根密钥,以得到初始根密钥密文;所述第二服务器发送所述初始根密钥密文到第三服务器;
所述第三服务器接收所述密钥管理执行程序和所述初始根密钥密文;所述第三服务器通过所述密钥管理执行程序将所述初始根密钥密文进行解密;并转换解密后的初始根密钥密文,以得到目标根密钥。
另一方面,本发明还提供了一种根密钥的生成方法,所述方法包括:
第一服务器生成多组密钥对和每组密钥对对应的密钥管理执行程序,所述每组密钥对包括加密密钥和解密密钥;第一服务器将所述加密密钥发送到第二服务器中;并将所述密钥管理执行程序发送到第三服务器中;
第二服务器接收所述加密密钥;所述第二服务器生成多个初始根密钥,所述初始根密钥的数目与所述加密密钥的数目一致;根据所述多个加密密钥,所述第二服务器依次加密所述初始根密钥,以得到多个初始根密钥密文;所述第二服务器发送所述初始根密钥密文到第三服务器;
第三服务器接收所述初始根密钥密文和所述密钥管理执行程序;根据所述密钥管理执行程序,第三服务器将密钥管理执行程序对应的初始根密钥密文进行解密;并将解密后的初始根密钥密文进行转换,以得到多个目标根密钥片段信息;所述第三服务器拼接所述多个目标根密钥片段信息,以得到目标根密钥。
另一方面提供了一种根密钥的生成装置,所述装置包括:密钥对生成模块、执行程序生成模块、初始根密钥密文生成模块和目标根密钥生成模块;
所述密钥对生成模块用于在第一服务器中生成密钥对,所述密钥对包括加密密钥和解密密钥;
所述执行程序生成模块用于在第一服务器中生成密钥对对应的密钥管理执行程序;
所述初始根密钥密文生成模块用于根据所述第一服务器生成的加密密钥,在第二服务器中加密初始根密钥,以得到初始根密钥密文;
所述目标根密钥生成模块用于根据所述密钥管理执行程序和所述初始根密钥密文,在第三服务器中对所述初始根密钥密文进行解密和转换,以得到目标根密钥。
另一方面提供了一种计算机可读存储介质,用于存储程序,所述程序被执行时实现所述的一种根密钥的生成方法。
另一方面提供了一种终端设备,所述终端设备包括上述的一种根密钥的生成装置。
本发明提供的一种根密钥的生成方法、装置和介质,所述方法将根密钥的安全管理权限进行分离,将初始根密钥、加密密钥、解密密钥分别在第一服务器和第二服务器中生成,并处理为初始根密钥密文和密钥管理执行程序发送到第三服务器,由第三服务器根据密钥管理执行程序和初始根密钥密文,获取目标根密钥,所述方法中根密钥由第一服务器和第二服务器多步加工生成,由第三服务器负责密钥管理服务部署,以软件方式低成本实现了根密钥的安全管理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种根密钥的生成方法的应用场景示意图;
图2为本发明实施例提供的一种根密钥的生成方法的流程图;
图3为本发明实施例提供的一种根密钥的生成方法中第一服务器侧执行的方法的流程图;
图4为本发明实施例提供的一种根密钥的生成方法中在第一服务器侧生成密钥管理执行程序的方法的流程图;
图5为本发明实施例提供的一种根密钥的生成方法中第二服务器侧执行的方法的流程图;
图6为本发明实施例提供的一种根密钥的生成方法中在第二服务器侧生成初始根密钥的方法的流程图;
图7为本发明实施例提供的一种根密钥的生成方法中第三服务器侧执行的方法的流程图;
图8为本发明实施例提供的一种根密钥的生成方法中在第三服务器侧进行初始根密钥密文解密和转换的方法的流程图;
图9为本发明实施例提供的一种由多组片段信息拼接成目标根密钥的根密钥生成方法的流程图;
图10为本发明实施例提供的一种根密钥的生成装置的结构示意图;
图11为本发明实施例提供的一种根密钥的生成装置中的执行程序生成模块的结构示意图;
图12为本发明实施例提供的一种根密钥的生成装置中的初始根密钥密文生成模块的结构示意图;
图13为本发明实施例提供的一种根密钥的生成装置中的目标根密钥生成模块的结构示意图;
图14为本发明实施例提供的一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。而且,术语“第一”、“第二”等适用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
首先对本发明实施例中所涉及的相关术语做以下解释:
RSA非对称加密算法:是基于大数分解而产生的一种加密算法,非对称加密的公钥和私钥则是一种“由已知加密密钥推导出解密密钥在计算上是不可行”的密码体制,RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。
请参见图1,其显示了本发明实施例提供的一种根密钥的生成方法的应用场景示意图,所述应用场景包括第一服务器110、第二服务器120和第三服务器130。所述第一服务器生成用于加密和解密的密钥对,并根据解密密钥对生成密钥管理执行程序,所述第二服务器利用第一服务器发送的加密密钥加密初始根密钥,并将加密后的初始根密钥发送到第三服务器。所述第三服务器运行密钥管理执行程序对加密后的初始根密钥进行解密,再进行转换得到目标根密钥。
请参见图2,其显示了一种根密钥的生成方法,可应用于服务器侧,所述方法包括:
S210.第一服务器生成密钥对和密钥对对应的密钥管理执行程序,所述密钥对包括加密密钥和解密密钥;所述第一服务器将所述加密密钥发送到第二服务器中;并将所述密钥管理执行程序发送到第三服务器中;
进一步地,在所述第一服务器中,所述第一服务器执行的方法包括:
S310.根据预设的非对称加密算法,生成密钥对,所述密钥对包括加密密钥和解密密钥;
S320.将所述加密密钥发送到第二服务器;
S330.根据所述解密密钥,生成密钥管理执行程序;
S340.将所述密钥管理执行程序发送到第三服务器。
进一步地,所述根据所述解密密钥,生成密钥管理执行程序包括:
S410.根据所述解密密钥,生成密钥管理程序,所述密钥管理程序为进行初始根密钥密文解密及转换的程序;
S420.将所述解密密钥和所述密钥管理程序打包,以得到密钥管理执行程序。
具体地,在所述第一服务器中,主要执行密钥对的生成和编译密钥管理执行程序。所述密钥对为加密密钥和解密密钥。根据RSA非对称加密算法可以生成所述密钥对,因此所述加密密钥可以是公钥,所述解密密钥可以是私钥,可以采用公钥加密,私钥解密的方式。所述加密密钥发送到第二服务器中,可以对第二服务器中生成的初始根密钥进行加密。在第一服务器中,使用所述解密密钥,生成密钥管理程序,同时将解密密钥和所述密钥管理程序打包,获得密钥管理执行程序。所述密钥管理执行程序是二进制的可执行程序包,只能够执行对初始根密钥密文解密及转换的工作,难以破解并禁止调试。所述密钥管理执行程序要发送到第三服务器中,第三服务器不能获得解密密钥,也不能获得初始根密钥明文,只能通过所述密钥管理执行程序对初始根密钥密文进行解密及转换,增加了根密钥安全管理中的可靠性。
在一个具体的实施例中,可以通过开放的安全套接层协议(openssl)工具生成公钥和私钥,以下为使用openssl工具生成公钥和私钥的方式,密码为“test”:
私钥生成命令:
openssl genrsa-aes128-passout pass:test-out rsa_aes_private.key 1024
生成的文件rsa_aes_private.key为私钥文件。
公钥生成命令:
rsa-in rsa_aes_private.key-passin pass:test-pubout-out rsa_public.key
生成的文件rsa_public.key为公钥文件。
所述第一服务器只负责密钥管理执行程序逻辑开发,打包,无权登陆到程序运行环境,无法获取到初始密钥明文或密文。因此在所述密钥安全管理中,第一服务器对于根密钥安全管理而言是可靠的。
S220.所述第二服务器接收所述加密密钥;所述第二服务器生成初始根密钥;根据所述加密密钥,所述第二服务器加密所述初始根密钥,以得到初始根密钥密文;所述第二服务器发送所述初始根密钥密文到第三服务器;
进一步地,在所述第二服务器中,所述第二服务器执行的方法包括:
S510.生成初始根密钥;
S520.根据所述第一服务器生成的加密密钥,加密所述初始根密钥,以得到初始根密钥密文;
S530.将所述初始根密钥密文发送到第三服务器。
进一步地,所述初始根密钥的生成方法包括:
S610.根据预设算法,随机生成初始根密钥的明文信息;
S620.将所述明文信息进行拼接,获得初始根密钥。
具体地,在所述第二服务器中,主要进行初始根密钥的生成和加密。所述初始根密钥的生成可以通过任意随机的方式产生初始根密钥的明文。在一个具体的示例中,初始根密钥的明文长度可变,最长不超过100字符长度。
在一个具体的实施例中,可以通过随机算法从“a-zA-Z”52个英文字母中随机选择一个字符,循环操作100次,挑选到的字符拼接在一起生成根密钥明文,保存到初始根密钥文本文件key_file.txt中。明文样例如下:
AzRyqkGCMtAtOyxAyCSLSVIrNhVGyUrwMKFWfItOemcPdCcRTibFveUBykqJhnsXZrleLoaAhpkcAwFHbpLBjdpYvPxnQhwkqWWk
在进行初始根密钥的加密时,其中,加密密钥是从第一服务器中获得的,第二服务器使用所述加密密钥,对初始根密钥进行非对称加密。并将加密后的初始根密钥密文发送到第三服务器。
在一个具体的实施例中,第一服务器生成的为RSA公钥,第二服务器使用第一服务器提供的RSA公钥,对初始根密钥明文进行非对称公钥加密,获得初始根密钥密文文件key_enc.txt。将初始根密钥密文文件key_enc.txt发送到第三服务器,第三服务器存储初始根密钥密文文件到密钥管理服务系统。
openssl根密钥加密命令如下:
openssl rsautl-encrypt-in key_file.txt-inkey rsa_public.key-pubin-outkey_enc.txt。
其中,key_enc.txt为初始根密钥密文文件,key_file.txt为初始根密钥明文文件。
第二服务器中只负责初始根密钥明文的生成,最终生成的根密钥,是由第一服务器中开发的密钥管理执行程序经过预设算法转换生成的,因此只要密钥管理执行程序的代码对第二服务器保密,因此在所述密钥安全管理中,第二服务器对于根密钥安全管理而言是可靠的。
S230.所述第三服务器接收所述密钥管理执行程序和所述初始根密钥密文;所述第三服务器通过所述密钥管理执行程序将所述初始根密钥密文进行解密;并转换解密后的初始根密钥密文,以得到目标根密钥。
进一步地,在所述第三服务器中,所述第三服务器执行的方法包括:
S710.根据所述密钥管理执行程序,解密所述初始根密钥密文,以得到初始根密钥;
S720.根据所述密钥管理执行程序,将所述初始根密钥通过预设算法转换为目标根密钥。
具体地,所述第三服务器用于执行密钥管理服务执行程序,第三服务器不能获得初始根密钥明文内容以及私钥的内容,而第一服务器和第二服务器没有登录到第三服务器的权限,即不能进行密钥管理程序的执行,无法对初始根密钥密文进行解密和转换。
在一个具体的实施例中,所述第三服务器为密钥管理服务器,将第二服务器生成的初始根密钥密文文件,存储到密钥管理服务器;
登陆密钥管理服务器,将初始根密钥密文文件保存到数据目录下的根密钥目录中。
加载密钥管理服务程序到密钥管理服务器,启动密钥管理服务程序。在程序启动加载后,密钥管理系统执行根密钥加载生成流程。
密钥管理服务程序启动,从存储设备中读取根密钥密文,使用程序中打包的RSA私钥进行根密钥密文解密。解密后的密文,使用哈希算法做一次转换。转换后的数据,即为最终密钥管理系统使用的根密钥。
所述方法如下:
S810.加载初始根密钥文件。通过程序打开数据目录下根密钥目录中的初始根密钥密文文件,加载其内容到内存;
S820.RSA私钥解密初始根密钥密文。输入初始根密钥密文,RSA私钥;输出得到初始根密钥明文。
在本示例中得到明文为:
AzRyqkGCMtAtOyxAyCSLSVIrNhVGyUrwMKFWfItOemcPdCcRTibFv eUBykqJhnsXZrleLoaAhpkcAwFHbpLBjdpYvPxnQhwkqWWk。
S830.将所述初始根密钥明文进行哈希转换,以得到目标根密钥。以采用MD5hash算法为例,经过md5转换后的根密钥md5的值16进制表示为:
e40dc9034c80550c6772a0575fc1ec5f。
所述哈希转换后的初始根密钥明文的结果值,即为密钥管理系统使用的目标根密钥。
第三服务器只用于进行初始根密钥密文的保存,并执行打包后的密钥管理执行程序。在第三服务器中无法得知根密钥的明文及预设的哈希算法转换算法代码逻辑,因此在所述密钥安全管理中,第二服务器对于根密钥安全管理而言是可靠的。
在本实施例所述的一种根密钥的生成方法中,将根密钥生成的步骤分配到第一服务器、第二服务器和第三服务器中,第一服务器进行密钥管理执行程序的编译打包,第二服务器通过初始根密钥明文获得初始根密钥密文,最终执行目标根密钥生成的第三服务器不能够获得初始根密钥明文,也不能对密钥管理执行程序进行编译,而第一服务器和第二服务器都没有登录到第三服务器的权限,因此保证了根密钥管理的安全性,提高了根密钥安全管理系统的可靠性。同时,仅通过软件完成根密钥的安全管理,也降低了整体所需的成本。
请参见图9,其显示了一种根密钥的生成方法,可应用于服务器侧,所述方法包括:
S910.第一服务器生成多组密钥对和每组密钥对对应的密钥管理执行程序,所述每组密钥对包括加密密钥和解密密钥;第一服务器将所述加密密钥发送到第二服务器中;并将所述密钥管理执行程序发送到第三服务器中;
S920.第二服务器接收所述加密密钥;所述第二服务器生成多个初始根密钥,所述初始根密钥的数目与所述加密密钥的数目一致;根据所述多个加密密钥,所述第二服务器依次加密所述初始根密钥,以得到多个初始根密钥密文;所述第二服务器发送所述初始根密钥密文到第三服务器;
S930.第三服务器接收所述初始根密钥密文和所述密钥管理执行程序;根据所述密钥管理执行程序,第三服务器将密钥管理执行程序对应的初始根密钥密文进行解密;并将解密后的初始根密钥密文进行转换,以得到多个目标根密钥片段信息;所述第三服务器拼接所述多个目标根密钥片段信息,以得到目标根密钥。
具体地,在所述方法中,根密钥的生成可以分为多组来进行,每一组生成目标根密钥的一个片段信息,最终拼接所有的片段信息获得目标根密钥。每一组进行片段信息生成时,使用的是不同的初始根密钥、加密密钥和解密密钥。
以分为两组为例,第一组的第一服务器生成第一密钥对,所述第一密钥对包括第一加密密钥和第一解密密钥,将第一加密密钥发送到第二服务器,并根据第一解密密钥,生成第一密钥管理程序,并将所述第一解密密钥和所述第一密钥管理程序打包为第一密钥管理执行程序,发送到第一组的第三服务器。第一组的第二服务器生成第一初始根密钥,并使用第一加密密钥对所述第一初始根密钥进行加密,得到第一初始根密钥密文,发送所述第一初始根密钥密文到第一组的第三服务器。第一组的第三服务器根据第一密钥管理执行程序和第一初始根密钥密文,进行解密和转换,最终生成目标根密钥的第一片段信息。
第二组的第一服务器生成第二密钥对,所述第二密钥对包括第二加密密钥和第二解密密钥,将第二加密密钥发送到第二服务器,并根据第二解密密钥,生成第二密钥管理程序,并将所述第二解密密钥和所述第二密钥管理程序打包为第二密钥管理执行程序,发送到第二组的第三服务器。第二组的第二服务器生成第二初始根密钥,并使用第二加密密钥对所述第二初始根密钥进行加密,得到第二初始根密钥密文,发送所述第二初始根密钥密文到第二组的第三服务器。第二组的第三服务器根据第一密钥管理执行程序和第二初始根密钥密文,进行解密和转换,最终生成目标根密钥的第二片段信息。
将第一片段信息和第二片段信息进行拼接,拼接后的结果为目标根密钥。
在本实施例所述的一种根密钥的生成方法中部署了两套甚至多套密钥管理执行程序,由两组不同的使用者维护,最终生成的目标根密钥由两个系统各自生成的片段信息合成得到,可以避免一组使用者中有人员串通或反编译的问题,进一步提高了系统的安全性。
本发明实施例还提供了一种根密钥的生成装置,请参见图10,所述装置包括:密钥对生成模块1010、执行程序生成模块1020、初始根密钥密文生成模块1030和目标根密钥生成模块1040;
所述密钥对生成模块1010用于在第一服务器中生成密钥对,所述密钥对包括加密密钥和解密密钥;
所述执行程序生成模块1020用于在第一服务器中生成密钥对对应的密钥管理执行程序;
所述初始根密钥密文生成模块1030用于根据所述第一服务器生成的加密密钥,在第二服务器中加密初始根密钥,以得到初始根密钥密文;
所述目标根密钥生成模块1040用于根据所述密钥管理执行程序和所述初始根密钥密文,在第三服务器中对所述初始根密钥密文进行解密和转换,以得到目标根密钥。
进一步地,请参见图11,所述执行程序生成模块1020包括管理程序生成单元1110和执行程序打包单元;
所述管理程序生成单元1110用于根据所述解密密钥,生成密钥管理程序,所述密钥管理程序为进行初始根密钥密文解密及转换的程序;
所述执行程序打包单元1120用于将所述解密密钥和所述密钥管理程序打包,以得到密钥管理执行程序;
所述执行程序发送单元1130用于发送所述密钥管理执行程序到第三服务器。
进一步地,请参见图12,所述初始根密钥密文生成模块1030包括初始根密钥生成单元1210、加密密钥接收单元1220和加密单元1230;
所述初始根密钥接收单元1210用于在第二服务器中生成初始根密钥;
所述加密密钥接收单元1220用接收第一服务器中生成的加密密钥;
所述加密单元1230用于根据所述第一服务器生成的加密密钥,加密所述初始根密钥,以得到初始根密钥密文。
进一步地,请参见图13,所述目标根密钥生成模块1040包括执行程序接收单元1310、初始根密钥密文接收单元1320和目标根密钥获得单元1330;
所述执行程序接收单元1310用于接收第一服务器中生成的密钥管理执行程序;
所述初始根密钥密文接收单元1320用于接收第二服务器中生成的初始根密钥密文;
所述目标根密钥获得单元1330用于根据所述解密程序,解密所述初始根密钥密文,以得到初始根密钥,并将所述初始根密钥通过预设算法转换为目标根密钥。
上述实施例中提供的装置可执行本发明任意实施例所提供方法,具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的一种根密钥的生成方法。
本实施例还提供了一种计算机可读存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令由处理器加载并执行本实施例上述的一种根密钥的生成方法。
本实施例还提供了一种设备,所述设备包括处理器和存储器,其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行本实施例上述的一种根密钥的生成方法。
所述设备可以为计算机终端、移动终端或服务器,所述设备还可以参与构成本发明实施例所提供的装置或系统。如图14所示,服务器14(或计算机终端14或移动终端14)可以包括一个或多个(图中采用1402a、1402b,……,1402n来示出)处理器1402(处理器1402可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器1404、以及用于通信功能的传输装置1406。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图14所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器14还可包括比图14中所示更多或者更少的组件,或者具有与图14所示不同的配置。
应当注意到的是上述一个或多个处理器1402和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到服务器14(或计算机终端)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器1404可用于存储应用软件的软件程序以及模块,如本发明实施例中所述的方法对应的程序指令/数据存储装置,处理器1402通过运行存储在存储器1404内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的一种基于自注意力网络的时序行为捕捉框生成方法。存储器1404可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1404可进一步包括相对于处理器1402远程设置的存储器,这些远程存储器可以通过网络连接至服务器14。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置1406用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器14的通信供应商提供的无线网络。在一个实例中,传输装置1406包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置1406可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与服务器14(或计算机终端)的用户界面进行交互。
本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤和顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或中断产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
本实施例中所示出的结构,仅仅是与本申请方案相关的部分结构,并不构成对本申请方案所应用于其上的设备的限定,具体的设备可以包括比示出的更多或更少的部件,或者组合某些部件,或者具有不同的部件的布置。应当理解到,本实施例中所揭露的方法、装置等,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分仅仅为一种逻辑功能的划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元模块的间接耦合或通信连接。
基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员还可以进一步意识到,结合本说明书所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但这种实现不应认为超出本发明的范围。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种根密钥的生成方法,其特征在于,所述方法包括:
第一服务器生成密钥对和密钥对对应的密钥管理执行程序,所述密钥对包括加密密钥和解密密钥;所述第一服务器将所述加密密钥发送到第二服务器中;并将所述密钥管理执行程序发送到第三服务器中;所述生成密钥管理执行程序包括:根据所述解密密钥,生成密钥管理程序,所述密钥管理程序为进行初始根密钥密文解密及转换的程序;将所述解密密钥和所述密钥管理程序打包,以得到密钥管理执行程序;
所述第二服务器接收所述加密密钥;所述第二服务器生成初始根密钥;根据所述加密密钥,所述第二服务器加密所述初始根密钥,以得到初始根密钥密文;所述第二服务器发送所述初始根密钥密文到第三服务器;
所述第三服务器接收所述密钥管理执行程序和所述初始根密钥密文;所述第三服务器通过所述密钥管理执行程序将所述初始根密钥密文进行解密;并转换解密后的初始根密钥密文,以得到目标根密钥。
2.根据权利要求1所述的一种根密钥的生成方法,其特征在于,在所述第一服务器中,所述方法包括:
根据预设的非对称加密算法,生成密钥对,所述密钥对包括加密密钥和解密密钥;
将所述加密密钥发送到第二服务器;
根据所述解密密钥,生成密钥管理执行程序;
将所述密钥管理执行程序发送到第三服务器。
3.根据权利要求1所述的一种根密钥的生成方法,其特征在于,在所述第二服务器中,所述方法包括:
生成初始根密钥;
根据所述第一服务器生成的加密密钥,加密所述初始根密钥,以得到初始根密钥密文;
将所述初始根密钥密文发送到第三服务器。
4.根据权利要求3所述的一种根密钥的生成方法,其特征在于,所述生成初始根密钥包括:
根据预设算法,随机生成初始根密钥的明文信息;
将所述明文信息进行拼接,获得初始根密钥。
5.根据权利要求1所述的一种根密钥的生成方法,其特征在于,在所述第三服务器中,所述方法包括:
根据所述密钥管理执行程序,解密所述初始根密钥密文,以得到初始根密钥;
根据所述密钥管理执行程序,将所述初始根密钥通过预设算法转换为目标根密钥。
6.一种根密钥的生成方法,其特征在于,所述方法包括:
第一服务器生成多组密钥对和每组密钥对对应的密钥管理执行程序,所述每组密钥对包括加密密钥和解密密钥;第一服务器将所述加密密钥发送到第二服务器中;并将所述密钥管理执行程序发送到第三服务器中;所述生成密钥管理执行程序包括:根据所述解密密钥,生成密钥管理程序,所述密钥管理程序为进行初始根密钥密文解密及转换的程序;将所述解密密钥和所述密钥管理程序打包,以得到密钥管理执行程序;
第二服务器接收所述加密密钥;所述第二服务器生成多个初始根密钥,所述初始根密钥的数目与所述加密密钥的数目一致;根据所述多个加密密钥,所述第二服务器依次加密所述初始根密钥,以得到多个初始根密钥密文;所述第二服务器发送所述初始根密钥密文到第三服务器;
第三服务器接收所述初始根密钥密文和所述密钥管理执行程序;根据所述密钥管理执行程序,第三服务器将密钥管理执行程序对应的初始根密钥密文进行解密;并将解密后的初始根密钥密文进行转换,以得到多个目标根密钥片段信息;所述第三服务器拼接所述多个目标根密钥片段信息,以得到目标根密钥。
7.一种根密钥的生成装置,其特征在于,所述装置包括:密钥对生成模块、执行程序生成模块、初始根密钥密文生成模块和目标根密钥生成模块;
所述密钥对生成模块用于在第一服务器中生成密钥对,所述密钥对包括加密密钥和解密密钥;并将所述加密密钥发送到第二服务器中;
所述执行程序生成模块用于在第一服务器中生成密钥对对应的密钥管理执行程序,并将所述密钥管理执行程序发送到第三服务器中;所述生成密钥管理执行程序包括:根据所述解密密钥,生成密钥管理程序,所述密钥管理程序为进行初始根密钥密文解密及转换的程序;将所述解密密钥和所述密钥管理程序打包,以得到密钥管理执行程序;
所述初始根密钥密文生成模块用于根据所述第一服务器生成的加密密钥,在所述第二服务器中加密初始根密钥,以得到初始根密钥密文,并发送所述初始根密钥密文到所述第三服务器;
所述目标根密钥生成模块用于根据所述密钥管理执行程序和所述初始根密钥密文,在所述第三服务器中对所述初始根密钥密文进行解密和转换,以得到目标根密钥。
8.根据权利要求7所述的一种根密钥的生成装置,其特征在于,所述执行程序生成模块包括管理程序生成单元、执行程序打包单元和执行程序发送单元;
所述管理程序生成单元用于根据所述解密密钥,生成密钥管理程序,所述密钥管理程序为进行初始根密钥密文解密及转换的程序;
所述执行程序打包单元用于将所述解密密钥和所述密钥管理程序打包,以得到密钥管理执行程序;
所述执行程序发送单元用于发送所述密钥管理执行程序到所述第三服务器。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行如权利要求1-6任一项所述的一种根密钥的生成方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-6任一项所述的一种根密钥的生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910577891.XA CN110417544B (zh) | 2019-06-28 | 2019-06-28 | 一种根密钥的生成方法、装置和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910577891.XA CN110417544B (zh) | 2019-06-28 | 2019-06-28 | 一种根密钥的生成方法、装置和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110417544A CN110417544A (zh) | 2019-11-05 |
| CN110417544B true CN110417544B (zh) | 2021-10-22 |
Family
ID=68360043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910577891.XA Active CN110417544B (zh) | 2019-06-28 | 2019-06-28 | 一种根密钥的生成方法、装置和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417544B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098679A (zh) * | 2020-01-09 | 2021-07-09 | 杭州海康威视数字技术股份有限公司 | 一种根密钥生成方法、装置、电子设备 |
| CN113378211B (zh) * | 2020-03-10 | 2022-05-20 | 百度在线网络技术(北京)有限公司 | 用于保护数据的方法和装置 |
| CN113468544B (zh) * | 2020-03-30 | 2024-04-05 | 杭州海康威视数字技术股份有限公司 | 一种应用模型的训练方法及装置 |
| CN111970126A (zh) * | 2020-08-31 | 2020-11-20 | 北京书生网络技术有限公司 | 密钥管理方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103580872A (zh) * | 2013-11-11 | 2014-02-12 | 北京华大智宝电子系统有限公司 | 一种用于密钥生成与管理的系统及方法 |
| CN107276756A (zh) * | 2017-07-27 | 2017-10-20 | 深圳市金立通信设备有限公司 | 一种获取根密钥的方法及服务器 |
| WO2018201991A1 (zh) * | 2017-05-03 | 2018-11-08 | 腾讯科技(深圳)有限公司 | 数据处理方法、系统、装置、存储介质及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7463739B2 (en) * | 2001-08-02 | 2008-12-09 | Safenet, Inc. | Method and system providing improved security for the transfer of root keys |
| JP2014175970A (ja) * | 2013-03-12 | 2014-09-22 | Fuji Xerox Co Ltd | 情報配信システム、情報処理装置及びプログラム |
-
2019
- 2019-06-28 CN CN201910577891.XA patent/CN110417544B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103580872A (zh) * | 2013-11-11 | 2014-02-12 | 北京华大智宝电子系统有限公司 | 一种用于密钥生成与管理的系统及方法 |
| WO2018201991A1 (zh) * | 2017-05-03 | 2018-11-08 | 腾讯科技(深圳)有限公司 | 数据处理方法、系统、装置、存储介质及设备 |
| CN107276756A (zh) * | 2017-07-27 | 2017-10-20 | 深圳市金立通信设备有限公司 | 一种获取根密钥的方法及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110417544A (zh) | 2019-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417544B (zh) | 一种根密钥的生成方法、装置和介质 | |
| CN107294937B (zh) | 基于网络通信的数据传输方法、客户端及服务器 | |
| CN110335043B (zh) | 一种基于区块链系统的交易隐私保护方法、设备以及系统 | |
| CN111131278B (zh) | 数据处理方法及装置、计算机存储介质、电子设备 | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| EP3476078B1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
| CN112400299B (zh) | 一种数据交互方法及相关设备 | |
| CN112055004A (zh) | 一种基于小程序的数据处理方法和系统 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN110166489B (zh) | 一种物联网中数据传输方法、系统、设备及计算机介质 | |
| WO2022142837A1 (en) | Hybrid key derivation to secure data | |
| CN115150821A (zh) | 离线包的传输、存储方法及装置 | |
| CN115314313A (zh) | 信息加密方法、装置、存储介质及计算机设备 | |
| CN109510711B (zh) | 一种网络通信方法、服务器、客户端及系统 | |
| CN114338648A (zh) | 一种基于国密算法的sftp多端文件安全传输的方法及系统 | |
| CN117240453A (zh) | 一种数据传输方法、装置、设备及存储介质 | |
| CN109361506A (zh) | 信息处理方法 | |
| CN115499118A (zh) | 报文密钥生成、文件加密、解密方法、装置、设备和介质 | |
| CN112995210B (zh) | 一种数据传输方法、装置及电子设备 | |
| CN110875902A (zh) | 通信方法、装置及系统 | |
| CN114499825A (zh) | 一种双控密钥管理方法、系统、加密机和存储介质 | |
| Bojanova et al. | Cryptography classes in bugs framework (BF): Encryption bugs (ENC), verification bugs (VRF), and key management bugs (KMN) | |
| CN114125830B (zh) | 一种app数据的加密传输方法、设备及介质 | |
| CN109743307A (zh) | 云端数据保护的方法、服务器装置和客户端装置 | |
| KR20150101896A (ko) | 인터클라우드 환경에서의 데이터 공유 시스템 및 공유 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |