CN110535641B - 密钥管理方法和装置、计算机设备和存储介质 - Google Patents
密钥管理方法和装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN110535641B CN110535641B CN201910795440.3A CN201910795440A CN110535641B CN 110535641 B CN110535641 B CN 110535641B CN 201910795440 A CN201910795440 A CN 201910795440A CN 110535641 B CN110535641 B CN 110535641B
- Authority
- CN
- China
- Prior art keywords
- key
- ciphertext
- private key
- default
- network terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种密钥管理方法和装置、计算机设备和存储介质。密钥管理方法,包括:获取网络终端发送的私钥请求指令;根据私钥请求指令生成私钥;采用约定的第一默认密钥对私钥进行加密,生成第一密文;发送第一密文至网络终端,使网络终端在接收到第一密文后采用第一默认密钥对第一密文解密,获得私钥;其中,私钥用于供网络终端进行数据加解密时使用。通过采用约定的第一默认密钥对需要用于数据加解密的私钥进行加密,他人无法获知该第一默认密钥,提高用于数据加解密的私钥的防破解能力,从而提高数据传输安全性,在保证安全的情况下,可以实现对海量数据的加解密,该方法尤其适用于列车行车安全中车载终端与地面服务器之间的数据传输过程。
Description
技术领域
本发明涉及数据加解密技术领域,特别是涉及一种密钥管理方法和装置、计算机设备和存储介质。
背景技术
这里的陈述仅提供与本申请有关的背景信息,而不必然地构成现有技术。
目前常用的数据加密技术主要分为两类,一类是对称式加密技术,一类是非对称式加密技术。对称式加密就是加密和解密使用同一个密钥,这种加密技术在当今被广泛采用,对称式加密方式处理效率高,但对称式的加密方法如果是在网络上传输加密文件就很难不把密钥告诉对方,不管用什么方法都有可能被别窃听到。非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件,很好地避免了密钥的传输安全性问题。虽然非对称性加密方式相对于对称性加密来说相对安全,但是其相比于对称性加密开销要大很多。
随着列出设备不断发展,通信技术在列出运行方面的运用也越来越多,保障列出运行数据传输安全是行车安全的重要一环,但目前部分列出的数据加密没有对密钥进行有效管理,一部分列出的数据加密虽引入了密钥管理,但所采用的密钥管理方式过于复杂,不能满足列出的海量数据加密要求。
发明内容
基于此,有必要针对传统技术中密钥管理方式过于复杂,不能满足列出的海量数据加密要求的问题,提供一种密钥管理方法和装置、计算机设备和存储介质。
一方面,本发明实施例提供了一种密钥管理方法,包括:
获取网络终端发送的私钥请求指令;
根据私钥请求指令生成私钥;
采用约定的第一默认密钥对私钥进行加密,生成第一密文;
发送第一密文至网络终端,使网络终端在接收到第一密文后采用第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于供网络终端进行数据加解密时使用。
本发明提供的一个或多个实施例中,密钥管理方法,通过采用约定的第一默认密钥对需要用于数据加解密的私钥进行加密,他人无法获知该第一默认密钥,也就无法破译得到私钥,提高用于数据加解密的私钥的防破解能力,从而提高数据传输安全性,在保证安全的情况下,以较为简单的方式对密钥进行有效管理,可以实现对海量数据的加解密,该方法尤其适用于列车行车安全中车载终端与地面服务器之间的数据传输过程。
在其中一个实施例中,密钥管理方法还包括:
生成与私钥对应的密钥序号;
采用约定的第一默认密钥对密钥序号进行加密,生成并发送第二密文至网络终端。
在其中一个实施例中,在获取网络终端发送的私钥请求指令的步骤之后还包括:
生成校验数据;
采用第一默认密钥对校验数据进行加密,生成并发送第三密文至网络终端,使网络终端在接收到第三密文后采用第一默认密钥对第三密文解密,获得校验数据;
接收网络终端发送的第四密文,第四密文为网络终端采用第二默认密钥对验证报文加密生成,验证报文为网络终端采用私钥对校验数据加密生成;
采用第二默认密钥和私钥对第四密文解密,验证解密后得到的数据是否与校验数据一致;
若验证一致,则发送验证答复报文至网络终端,网络终端在接收到验证答复报文后采用私钥进行数据加解密。
在其中一个实施例中,密钥管理方法还包括:
若验证一致,则更新第一默认密钥为私钥;
其中,验证答复报文用于指示网络终端将第一默认密钥更新为私钥。
在其中一个实施例中,密钥管理方法还包括:
若验证不一致,则执行发送第一密文至网络终端的步骤。
在其中一个实施例中,私钥为服务器采用对称密钥算法生成的密钥。
在其中一个实施例中,第一默认密钥和第二默认密钥相同且同步更新。
本申请实施例还提供了一种密钥管理方法,包括:
发送私钥请求指令至服务器;私钥请求指令用于指示服务器生成私钥,并采用约定的第一默认密钥对私钥加密生成第一密文;
获取服务器反馈的第一密文;
采用约定的第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于进行数据加解密时使用。
在其中一个实施例中,密钥管理方法,还包括:
获取服务器发送的第二密文,第二密文为服务器采用第一默认密钥对与私钥对应的密钥序号加密后生成;
采用私钥对待传输的数据进行加密,生成第五密文;
发送第五密文和密钥序号至目标网络终端。
在其中一个实施例中,密钥管理方法还包括:
获取服务发送的第三密文;第三密文由服务器采用第一默认密钥对服务器生成的校验数据进行加密生成;
采用第一默认密钥对第三密文解密,获得服务器生成的校验数据;
采用私钥对校验数据加密生成验证报文;
采用第二默认密钥对验证报文进行加密,生成并发送第四密文至服务器;
若接收到服务器反馈的验证答复报文,则采用私钥进行数据加解密;
其中,验证答复报文用于表征服务器采用默认密钥和私钥对第四密文解密生成的数据与校验数据一致。
在其中一个实施例中,密钥管理方法还包括:
若接收到服务器反馈的验证答复报文,则更新第一默认密钥为私钥。
在其中一个实施例中,发送私钥请求指令至服务器的步骤之前还包括:
在网络终端上电工作时,生成私钥请求指令。
另一方面,本申请实施例还提供了一种密钥管理装置,包括:
私钥请求指令获取单元,用于获取网络终端发送的私钥请求指令;
私钥生成单元,用于根据私钥请求指令生成私钥;
密钥加密单元,用于采用约定的第一默认密钥对私钥进行加密,生成第一密文;
第一密文发送单元,用于发送第一密文至网络终端,使网络终端在接收到第一密文后采用约定的第一默认密钥对第一密文进行解密,获得私钥;
其中,私钥用于供网络终端进行数据加解密时使用。
一种密钥管理装置,包括:
更新指令发送单元,用于发送私钥请求指令至服务器;私钥请求指令用于指示服务器生成私钥,并采用约定的第一默认密钥对私钥加密生成第一密文;
第一密文获取单元,用于获取服务器反馈的第一密文;
私钥获取单元,用于采用约定的第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于进行数据加解密时使用。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行上述密钥管理方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述密钥管理方法的步骤。
附图说明
图1为一个实施例中密钥管理方法的应用环境图;
图2为一个实施例中密钥管理方法的流程示意图;
图3为又一个实施例中密钥管理方法的流程示意图;
图4为另一个实施例中密钥管理方法的流程示意图;
图5为一个实施例中密钥管理装置的结构框图;
图6为另一个实施例中密钥管理装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的首选实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容更加透彻全面。
需要说明的是,当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件并与之结合为一体,或者可能同时存在居中元件。本文所使用的术语“安装”、“一端”、“另一端”以及类似的表述只是为了说明的目的。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本申请提供的密钥管理方法,可以应用于如图1所示的应用环境中。其中,车载终端102通过网络与地面服务器104通过网络进行通信。其中,车载终端102可以但不限于是车站控制电脑、车站电务终端等,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。列车运行过程中,车载终端102需要通过与地面服务器104进行数据交互,为调车安排和掌握列车进出站情况和各设备运行状态提供有效的数据支撑,方便工作人员安排后续工作,保证列车行车安全,而在进行数据交互过程中,密钥管理对数据传输安全具有重要意义。目前列车多未采用密钥管理方法,部分列车运行系统采用复杂度较高的密钥管理方法,前者难以满足列车数据传输的安全要求,后者所占用CPU资源较多,处理速度慢,但列车运行所需传输的数据量很大,该方式难以满足列车海量数据传输的要求。
针对上述问题,如图2所示,本发明实施例提供了一种密钥管理方法,包括:
S20:获取网络终端发送的私钥请求指令;
S40:根据私钥请求指令生成私钥;
S60:采用约定的第一默认密钥对私钥进行加密,生成第一密文;
S80:发送第一密文至网络终端,使网络终端在接收到第一密文后采用第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于供网络终端进行数据加解密时使用。
其中,私钥是指用来进行数据加密和数据解密的密钥。私钥请求指令用于表征网络终端需要对数据传输时所采用的密钥进行更新,私钥请求指令可以网络终端在上电工作时生成的,也可以是在网络终端与服务器的网络连接断开时生成的,还可以是周期性生成的。私钥可以是随机生成的动态密钥,例如服务器根据伪随机编码和对称加密算法生成的动态密钥。第一默认密钥的初始值可以是服务器与需要通信的网络终端事先约定好的,初始值不通过公网传输,能够防止其他设备截取破译。为提高用于数据加解密的密钥的防破译能力,并保障数据传输的处理速度要求,本申请实施例提供的密钥管理方法,先获取网络终端发送的私钥请求指令,在接收到该私钥请求指令后,生成新的私钥,并采用第一默认密钥对该私钥进行加密,生成并发送第一密文至网络终端,网络终端在接收到该第一密文后,即可采用约定的第一默认密钥对该第一密文进行解密,获得新的私钥,并采用该私钥进行数据加解密,实现数据安全传输。
本发明提供的密钥管理方法,通过采用约定的第一默认密钥对需要用于数据加解密的私钥进行加密,他人无法获知该第一默认密钥,也就无法破译得到私钥,提高用于数据加解密的私钥的防破解能力,从而提高数据传输安全性,在保证安全的情况下,以较为简单的方式对密钥进行有效管理,可以实现对海量数据的加解密,该方法尤其适用于列车行车安全中车载终端与地面服务器之间的数据传输过程。
在其中一个实施例中,如图3所示,密钥管理方法还包括:
S50:生成与私钥对应的密钥序号;
S51:采用约定的第一默认密钥对密钥序号进行加密,生成并发送第二密文至网络终端。
采用密钥序号的方式进行管理,每次动态生成一个新私钥后,都对应生成一个密钥序号,密钥序号可以使用四个字节的无符号整型,该密钥序号也要同私钥一起在密钥交互过程中使用第一默认密钥加密后告知网络终端(例如车载终端),在网络终端进行实时数据的传输过程中,网络终端发送的每条文件记录中都包含密钥序号和待解密密文,以方便地面服务器等目标网络终端快速获知网络终端加密时所采用的私钥,对数据进行解密。可选的,第一密文和第二密文可以是同一密文的不同字段,即采用约定的第一默认密钥对私钥和密钥序号同时进行加密,生成一密文。具体的,可以先将私钥和对应生成的密钥序号进行字符串拼接,然后采用约定的第一默认密钥对该拼接后的字符串进行加密,生成包括第一密文和第二密文的密文,并发送至网络终端。
在其中一个实施例中,如图3所示,在获取网络终端发送的私钥请求指令的步骤之后还包括:
S30:生成校验数据;
S31:采用第一默认密钥对校验数据进行加密,生成并发送第三密文至网络终端,使网络终端在接收到第三密文后采用第一默认密钥对第三密文解密,获得校验数据;
S32:接收网络终端发送的第四密文,第四密文为网络终端采用第二默认密钥对验证报文加密生成,验证报文为网络终端采用私钥对校验数据加密生成;
S33:采用第二默认密钥和私钥对第四密文解密,验证解密后得到的数据是否与校验数据一致;
S34:若验证一致,则发送验证答复报文至网络终端,网络终端在接收到验证答复报文后采用私钥进行数据加解密。
其中,校验数据可以是由服务器随机生成的。第一密文和第三密文可以是一条密文中的不同组成部分,也可以是单独传输的密文。
为更好的说明本申请实施例提供的密钥管理方法的实现过程,这里以执行主体为服务器、服务器和网络终端之间的密钥交互过程为例进行说明。为保证服务器与网络终端之间的密钥交互可靠性,即保障网络终端成功接收到新的私钥。具体的,在接收到私钥请求指令后,不仅生成私钥,同时还生成校验数据,该校验数据可以是随机生成的一串字符串,然后,采用第一默认密钥对该校验数据加密,并将加密得到的第三密文发送至网络终端,网络终端在接收到该第一密文和该第三密文后,采用约定的第一默认密钥对这两个密文进行解密,得到校验数据和新的私钥。为了验证网络终端是否解密得到该私钥,网络终端继续采用解密得到的新的私钥对校验数据进行加密生成验证报文,然后再采用第二默认密钥对该验证报文进行二次加密生成第四密文,传输该第四密文至服务器,服务器采用约定的第二默认密钥对第四密文进行解密,得到该验证报文,再利用生成的新的私钥对该验证报文解密,得到一个解密数据,服务器将该解密数据与发送给网络终端的校验数据进行对比,若数据一致,则说明网络终端有接收并成功解密得到该私钥,密钥交互成功。然后服务器发送一个验证答复报文至网络终端,网络终端在接收到验证答复报文后可以采用该私钥进行数据加解密。其中,可选的,第一密文、第二密文和第三密文为同一密文的不同字段。类似于上述第一密文和第二密文为同一密文的不同字段实施例的解释,可以采用约定的第一默认密钥对私钥、密钥序号和校验数据一起进行加密,得到一个密文并发送至网络终端。具体的,可以先将私钥、密钥序号和校验数据拼接为新的字符串,然后采用约定的第一默认你要对该新的字符串进行加密,生成密文并发送至网络终端。
在其中一个实施例中,如图3所示,密钥管理方法还包括:
S35:若验证一致,则更新第一默认密钥为私钥;
其中,验证答复报文用于指示网络终端将第一默认密钥更新为私钥。
为了进一步提高密钥管理的安全性,在每次进行私钥更新时,也对第一默认密钥进行更新,将第一默认密钥更新为此轮生成的私钥。即当下次获取到网络终端发送的私钥请求指令时,则将上一轮生成的私钥作为第一默认密钥对本轮生成的新的私钥进行加密。通过动态更新第一默认密钥,提高第一默认密钥的防破解能力,从而提高密钥管理的安全性。
在其中一个实施例中,如图3所示,密钥管理方法还包括:
S36:若验证不一致,则执行发送第一密文至网络终端的步骤。
验证不一致,则说明网络终端未成功接收或解密得到该私钥,密钥交互失败,则再发第一密文至网络终端,重复上述步骤,直到密钥交互成功。
在其中一个实施例中,私钥为服务器采用对称密钥算法生成的密钥。机车在运行过程中,实时数据会源源不断的从车载终端发送到地面服务器,由于数据加密的过程占用CPU资源较大,为保证数据加密的高效性和安全性,采用对称式的加密算法(例如AES对称加密算法)生成该私钥,比采用非对称性加密算法更加稳定并高效。
在其中一个实施例中,第一默认密钥和第二默认密钥相同且同步更新。为保证数据加密的高校性,进行私钥交互和验证的过程所采用的第一默认密钥和第二默认密钥可以是相同的密钥,且结合上述实施例中所述,在每次验证成功后,将第一默认密钥更新为该私钥的同时,也将第二默认密钥同步更新为该私钥。
本申请实施例还提供了一种密钥管理方法,如图4所示,包括:
S200:发送私钥请求指令至服务器;私钥请求指令用于指示服务器生成私钥,并采用约定的第一默认密钥对私钥加密生成第一密文;
S400:获取服务器反馈的第一密文;
S600:采用约定的第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于进行数据加解密时使用。
其中,私钥等释义与上述实施例中相同,在此不做赘述。具体的,这里执行主体为网络终端为例进行说明,网络终端可以在每次上电工作时生成并发送私钥请求指令至服务器,指示服务器反馈一个新的私钥,并指示服务器采用约定的第一默认密钥对该私钥进行加密,加密生成第一密文,网络终端获取该第一密文,并采用第一默认密钥对其进行解密,从而获取用于数据加解密用的私钥。
在其中一个实施例中,如图4所示,密钥管理方法还包括:
S300:获取服务器发送的第二密文,第二密文为服务器采用第一默认密钥对与私钥对应的密钥序号加密后生成;
S700:采用私钥对待传输的数据进行加密,生成第五密文;
S800:发送第五密文和密钥序号至目标网络终端。
车载终端等网络终端在接收第一密文的同时,还接收服务器发送的第二密文,采用第一默认密钥对第二密文进行解密,可以得到与私钥对应的密钥序号,在后续发送对待传输的数据加密所得的第五密文时,同步发送与该私钥对应的密钥序号,使得目标网络终端(地面服务器等)接收到该密钥序号和第五密文后,能够快速确定网络终端所采用的具体私钥,实现密文快速解密。
在其中一个实施例中,密钥管理方法还包括:
获取服务发送的第三密文;第三密文由服务器采用第一默认密钥对服务器生成的校验数据进行加密生成;
采用第一默认密钥对第三密文解密,获得服务器生成的校验数据;
采用私钥对校验数据加密生成验证报文;
采用第二默认密钥对验证报文进行加密,生成并发送第四密文至服务器;
若接收到服务器反馈的验证答复报文,则采用私钥进行数据加解密;
其中,验证答复报文用于表征服务器采用默认密钥和私钥对第四密文解密生成的数据与校验数据一致。
以网络终端与服务器之间交互为例,网络终端接收第一密文时还接收第三密文,采用第一默认密钥对第三密文解密,可以得到服务器发送的校验数据,然后利用解密得到的私钥对该校验数据进行加密,生成验证报文,再利用第二默认密钥对该验证报文进行加密,生成第四密文至服务器,让服务器采用第二默认密钥对该第四密文进行解密,并对解密得到的数据采用私钥进行进一步解密,服务器对两次解密后得到的数据与校验数据进行对比,若一致则说明密钥交互成功,服务器反馈一个验证答复报文至该网络终端,网络终端在接收到该验证答复报文后,即可采用解密得到的私钥对数据进行加解密。
在其中一个实施例中,密钥管理方法还包括:
若接收到服务器反馈的验证答复报文,则更新第一默认密钥为私钥。
收到验证答复报文后,则说明网络终端解密得到的私钥为服务器所要发送的私钥,密钥交互成功,此时可将第一默认密钥更新为该私钥,保持第一默认密钥的动态更新,从而提高数据传输可靠性和安全性。第一默认密钥和第二默认密钥可以是相同的密钥,且第一默认密钥更新时,第二默认密钥可以同步更新。
在其中一个实施例中,发送私钥请求指令至服务器的步骤之前还包括:
在网络终端上电工作时,生成私钥请求指令。
网络终端可以在每次上电工作时,生成私钥请求指令,请求更新用于数据加解密的私钥。还可以在网络终端断开与服务器连接时生成该私钥请求指令,或者定期、周期性生成该私钥请求指令。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
另一方面,本申请实施例还提供了一种密钥管理装置,如图5所示,包括:
私钥请求指令获取单元1,用于获取网络终端发送的私钥请求指令;
私钥生成单元2,用于根据私钥请求指令生成私钥;
密钥加密单元3,用于采用约定的第一默认密钥对私钥进行加密,生成第一密文;
第一密文发送单元4,用于发送第一密文至网络终端,使网络终端在接收到第一密文后采用约定的第一默认密钥对第一密文进行解密,获得私钥;
其中,私钥用于供网络终端进行数据加解密时使用。
一种密钥管理装置,如图6所示,包括:
更新指令发送单元100,用于发送私钥请求指令至服务器;私钥请求指令用于指示服务器生成私钥,并采用约定的第一默认密钥对私钥加密生成第一密文;
第一密文获取单元200,用于获取服务器反馈的第一密文;
私钥获取单元300,用于采用约定的第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于进行数据加解密时使用。
其中,关于密钥管理装置的具体限定可以参见上文中对于密钥管理方法的限定,且其实现过程和有益效果均可参照上述密钥管理方法实施例中的描述,在此不再赘述。上述密钥管理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端或服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种密钥管理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
S20:获取网络终端发送的私钥请求指令;
S40:根据私钥请求指令生成私钥;
S60:采用约定的第一默认密钥对私钥进行加密,生成第一密文;
S80:发送第一密文至网络终端,使网络终端在接收到第一密文后采用第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于供网络终端进行数据加解密时使用。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
S20:获取网络终端发送的私钥请求指令;
S40:根据私钥请求指令生成私钥;
S60:采用约定的第一默认密钥对私钥进行加密,生成第一密文;
S80:发送第一密文至网络终端,使网络终端在接收到第一密文后采用第一默认密钥对第一密文解密,获得私钥;
其中,私钥用于供网络终端进行数据加解密时使用。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (12)
1.一种密钥管理方法,其特征在于,应用于服务器,所述方法包括:
获取网络终端发送的私钥请求指令;
根据所述私钥请求指令生成私钥;
采用约定的第一默认密钥对所述私钥进行加密,生成第一密文;所述第一默认密钥的初始值是服务器与需要通信的网络终端事先约定好的,初始值不通过公网传输;
发送所述第一密文至所述网络终端,使所述网络终端在接收到所述第一密文后采用所述第一默认密钥对所述第一密文解密,获得所述私钥;
生成校验数据;
采用所述第一默认密钥对所述校验数据进行加密,生成并发送第三密文至所述网络终端,使所述网络终端在接收到所述第三密文后采用第一默认密钥对第三密文解密,获得所述校验数据;
接收所述网络终端发送的第四密文,所述第四密文为所述网络终端采用第二默认密钥对验证报文加密生成,所述验证报文为所述网络终端采用所述私钥对所述校验数据加密生成;
采用第二默认密钥和所述私钥对所述第四密文解密,验证解密后得到的数据是否与所述校验数据一致;
若验证一致,则发送验证答复报文至所述网络终端,所述网络终端在接收到所述验证答复报文后采用所述私钥进行数据加解密;其中,所述验证答复报文用于指示所述网络终端将所述第一默认密钥更新为所述私钥;
若验证一致,则更新所述第一默认密钥为所述私钥;
其中,所述私钥用于供所述网络终端进行数据加解密时使用。
2.根据权利要求1所述的密钥管理方法,其特征在于,还包括:
生成与所述私钥对应的密钥序号;
采用约定的第一默认密钥对所述密钥序号进行加密,生成并发送第二密文至所述网络终端。
3.根据权利要求2所述的密钥管理方法,其特征在于,还包括:
若验证不一致,则执行发送所述第一密文至所述网络终端的步骤。
4.根据权利要求1或2或3所述的密钥管理方法,其特征在于,所述私钥为服务器采用对称密钥算法生成的密钥。
5.根据权利要求1或2或3所述的密钥管理方法,其特征在于,所述第一默认密钥和所述第二默认密钥相同且同步更新。
6.一种密钥管理方法,其特征在于,应用于网络终端,所述方法包括:
发送私钥请求指令至服务器;所述私钥请求指令用于指示所述服务器生成私钥,并采用约定的第一默认密钥对所述私钥加密生成第一密文;所述第一默认密钥的初始值是服务器与需要通信的网络终端事先约定好的,初始值不通过公网传输;
获取所述服务器反馈的所述第一密文;
采用约定的所述第一默认密钥对所述第一密文解密,获得所述私钥;
获取所述服务发送的第三密文;所述第三密文由所述服务器采用第一默认密钥对服务器生成的校验数据进行加密生成;
采用所述第一默认密钥对第三密文解密,获得所述服务器生成的校验数据;
采用所述私钥对所述校验数据加密生成验证报文;
采用第二默认密钥对所述验证报文进行加密,生成并发送第四密文至所述服务器;
若接收到服务器反馈的验证答复报文,则更新所述第一默认密钥为所述私钥,并采用所述私钥进行数据加解密;其中,所述验证答复报文用于表征所述服务器采用第二默认密钥和所述私钥对所述网络终端已发送的第四密文解密生成的数据与所述校验数据一致;
其中,所述私钥用于进行数据加解密时使用。
7.根据权利要求6所述的密钥管理方法,其特征在于,还包括:
获取服务器发送的第二密文,所述第二密文为所述服务器采用所述第一默认密钥对与所述私钥对应的密钥序号加密后生成;
采用所述私钥对待传输的数据进行加密,生成第五密文;
发送所述第五密文和所述密钥序号至目标网络终端。
8.根据权利要求6或7所述的密钥管理方法,其特征在于,发送私钥请求指令至服务器的步骤之前还包括:
在网络终端上电工作时,生成所述私钥请求指令。
9.一种密钥管理装置,其特征在于,应用于服务器,所述装置包括:
私钥请求指令获取单元,用于获取网络终端发送的私钥请求指令;
私钥生成单元,用于根据所述私钥请求指令生成私钥;
密钥加密单元,用于采用约定的第一默认密钥对所述私钥进行加密,生成第一密文;所述第一默认密钥的初始值是服务器与需要通信的网络终端事先约定好的,初始值不通过公网传输;
第一密文发送单元,用于发送所述第一密文至所述网络终端,使所述网络终端在接收到所述第一密文后采用约定的所述默认密钥对所述第一密文进行解密,获得所述私钥;还用于:
生成校验数据;
采用所述第一默认密钥对所述校验数据进行加密,生成并发送第三密文至所述网络终端,使所述网络终端在接收到所述第三密文后采用第一默认密钥对第三密文解密,获得所述校验数据;
接收所述网络终端发送的第四密文,所述第四密文为所述网络终端采用第二默认密钥对验证报文加密生成,所述验证报文为所述网络终端采用所述私钥对所述校验数据加密生成;
采用第二默认密钥和所述私钥对所述第四密文解密,验证解密后得到的数据是否与所述校验数据一致;
若验证一致,则发送验证答复报文至所述网络终端,所述网络终端在接收到所述验证答复报文后采用所述私钥进行数据加解密;其中,所述验证答复报文用于指示所述网络终端将所述第一默认密钥更新为所述私钥;
若验证一致,则更新所述第一默认密钥为所述私钥;
其中,所述私钥用于供所述网络终端进行数据加解密时使用。
10.一种密钥管理装置,其特征在于,应用于网络终端,所述装置包括:
更新指令发送单元,用于发送私钥请求指令至服务器;所述私钥请求指令用于指示所述服务器生成私钥,并采用约定的第一默认密钥对所述私钥加密生成第一密文;所述第一默认密钥的初始值是服务器与需要通信的网络终端事先约定好的,初始值不通过公网传输;
第一密文获取单元,用于获取所述服务器反馈的所述第一密文;
私钥获取单元,用于采用约定的所述第一默认密钥对所述第一密文解密,获得所述私钥;还用于:
获取所述服务发送的第三密文;所述第三密文由所述服务器采用第一默认密钥对服务器生成的校验数据进行加密生成;
采用所述第一默认密钥对第三密文解密,获得所述服务器生成的校验数据;
采用所述私钥对所述校验数据加密生成验证报文;
采用第二默认密钥对所述验证报文进行加密,生成并发送更新后的第四密文至所述服务器;
若接收到服务器反馈的验证答复报文,则更新所述第一默认密钥为所述私钥,并采用所述私钥进行数据加解密;其中,所述验证答复报文用于表征所述服务器采用第二默认密钥和所述私钥对所述网络终端已发送的第四密文解密生成的数据与所述校验数据一致;
其中,所述私钥用于进行数据加解密时使用。
11.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行权利要求1-8中任一项所述的密钥管理方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-8中任一项所述的密钥管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910795440.3A CN110535641B (zh) | 2019-08-27 | 2019-08-27 | 密钥管理方法和装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910795440.3A CN110535641B (zh) | 2019-08-27 | 2019-08-27 | 密钥管理方法和装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110535641A CN110535641A (zh) | 2019-12-03 |
| CN110535641B true CN110535641B (zh) | 2022-06-10 |
Family
ID=68664505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910795440.3A Active CN110535641B (zh) | 2019-08-27 | 2019-08-27 | 密钥管理方法和装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535641B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112987581B (zh) * | 2019-12-16 | 2022-11-11 | 华为技术有限公司 | 用于智能家居设备的控制方法及其介质和终端 |
| CN111131278B (zh) * | 2019-12-27 | 2022-09-06 | 京东科技控股股份有限公司 | 数据处理方法及装置、计算机存储介质、电子设备 |
| CN111147247B (zh) * | 2020-03-09 | 2023-07-28 | 广东电网有限责任公司电力调度控制中心 | 密钥更新方法、装置、计算机设备和存储介质 |
| CN114301613B (zh) * | 2020-09-22 | 2023-08-22 | 华为技术有限公司 | 安全通信的方法和装置 |
| CN113329384A (zh) * | 2021-06-01 | 2021-08-31 | 广州朗国电子科技有限公司 | 一种使用nfc快捷连接网络的方法 |
| CN114095165B (zh) * | 2021-11-22 | 2024-04-26 | 中国建设银行股份有限公司 | 密钥更新方法、服务端设备、客户端设备及存储介质 |
| CN117376035B (zh) * | 2023-12-08 | 2024-02-23 | 中汽智联技术有限公司 | 一种车辆数据的传输方法、系统、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457724A (zh) * | 2012-06-05 | 2013-12-18 | 中兴通讯股份有限公司 | 一种进行点对点数据安全传输的方法和系统 |
| CN106453431A (zh) * | 2016-12-19 | 2017-02-22 | 四川长虹电器股份有限公司 | 基于pki实现互联网系统间认证的方法 |
| CN106533665A (zh) * | 2016-10-31 | 2017-03-22 | 北京百度网讯科技有限公司 | 用于存储网站私钥明文的方法、系统和装置 |
| CN106658493A (zh) * | 2016-10-17 | 2017-05-10 | 东软集团股份有限公司 | 密钥管理方法、装置和系统 |
| CN108365950A (zh) * | 2018-01-03 | 2018-08-03 | 深圳怡化电脑股份有限公司 | 金融自助设备密钥的生成方法及装置 |
| CN109218263A (zh) * | 2017-07-04 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 一种控制方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130283060A1 (en) * | 2012-04-23 | 2013-10-24 | Raghavendra Kulkarni | Seamless Remote Synchronization and Sharing of Uniformly Encrypted Data for Diverse Platforms and Devices |
| US9137225B2 (en) * | 2012-04-23 | 2015-09-15 | Raghavendra Kulkarni | Seamless remote storage of uniformly encrypted data for diverse platforms and devices |
| WO2016131056A1 (en) * | 2015-02-13 | 2016-08-18 | Visa International Service Association | Confidential communication management |
-
2019
- 2019-08-27 CN CN201910795440.3A patent/CN110535641B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457724A (zh) * | 2012-06-05 | 2013-12-18 | 中兴通讯股份有限公司 | 一种进行点对点数据安全传输的方法和系统 |
| CN106658493A (zh) * | 2016-10-17 | 2017-05-10 | 东软集团股份有限公司 | 密钥管理方法、装置和系统 |
| CN106533665A (zh) * | 2016-10-31 | 2017-03-22 | 北京百度网讯科技有限公司 | 用于存储网站私钥明文的方法、系统和装置 |
| CN106453431A (zh) * | 2016-12-19 | 2017-02-22 | 四川长虹电器股份有限公司 | 基于pki实现互联网系统间认证的方法 |
| CN109218263A (zh) * | 2017-07-04 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 一种控制方法及装置 |
| CN108365950A (zh) * | 2018-01-03 | 2018-08-03 | 深圳怡化电脑股份有限公司 | 金融自助设备密钥的生成方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110535641A (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535641B (zh) | 密钥管理方法和装置、计算机设备和存储介质 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN110162992B (zh) | 数据处理方法、数据处理装置和计算机系统 | |
| CN110621014B (zh) | 一种车载设备及其程序升级方法、服务器 | |
| CN113572743B (zh) | 数据加密、解密方法、装置、计算机设备和存储介质 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN113438205B (zh) | 区块链数据访问控制方法、节点以及系统 | |
| CN115065472B (zh) | 基于多密钥加密解密的安全芯片加密解密方法及装置 | |
| CN115150821A (zh) | 离线包的传输、存储方法及装置 | |
| CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN112003697A (zh) | 密码模块加解密方法、装置、电子设备及计算机存储介质 | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| CN117240625A (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| CN111147247A (zh) | 密钥更新方法、装置、计算机设备和存储介质 | |
| CN114154181A (zh) | 基于分布式存储的隐私计算方法 | |
| CN113886793A (zh) | 设备登录方法、装置、电子设备、系统和存储介质 | |
| CN112187767A (zh) | 基于区块链的多方合同共识系统、方法及介质 | |
| CN114785527B (zh) | 数据传输方法、装置、设备及存储介质 | |
| JP4995667B2 (ja) | 情報処理装置、サーバ装置、情報処理プログラム及び方法 | |
| WO2016078382A1 (zh) | Hsm加密信息同步实现方法、装置和系统 | |
| CN113672955B (zh) | 一种数据处理方法、系统及装置 | |
| CN113595742B (zh) | 数据传输方法、系统、计算机设备和存储介质 | |
| CN115766270A (zh) | 文件解密方法、加密方法、密钥管理方法、装置及设备 | |
| CN111431846B (zh) | 数据传输的方法、装置和系统 | |
| CN114553557A (zh) | 密钥调用方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |