CN110932850B - 通信加密方法及系统 - Google Patents

通信加密方法及系统 Download PDF

Info

Publication number
CN110932850B
CN110932850B CN201911198506.7A CN201911198506A CN110932850B CN 110932850 B CN110932850 B CN 110932850B CN 201911198506 A CN201911198506 A CN 201911198506A CN 110932850 B CN110932850 B CN 110932850B
Authority
CN
China
Prior art keywords
key
terminal device
signature value
management service
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911198506.7A
Other languages
English (en)
Other versions
CN110932850A (zh
Inventor
杭朱飞
范渊
黄进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911198506.7A priority Critical patent/CN110932850B/zh
Publication of CN110932850A publication Critical patent/CN110932850A/zh
Application granted granted Critical
Publication of CN110932850B publication Critical patent/CN110932850B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种通信加密方法及系统,涉及通信的技术领域,包括:基于第一私钥分量和第二私钥分量,利用密钥管理服务实现对第一终端设备的身份认证。其中,第一终端设备的第一私钥分量由密钥管理服务保存,第二私钥分量由第一终端设备保存,分开保存的方式降低了私钥泄露的风险。在身份认证阶段,第一终端设备携带第一私钥分量,通过与密钥管理服务交互可以生成第一签名值,利用密钥管理服务对第一签名值的验证可以实现对第一终端设备的身份认证。在身份认证之后,密钥管理服务向第一终端设备发放对称密钥和会话密钥,可以实现对待加密对象的双重加密,双重加密的方式提高了通信的安全保障。

Description

通信加密方法及系统
技术领域
本发明涉及通信的技术领域,尤其是涉及一种通信加密方法及系统。
背景技术
现有阶段在开发应用过程中,终端设备之间经常进行数据传输。当传输的数据涉及到重要信息或隐私信息时,开发者自然会想到对其进行加密。目前加密有对称加密和非对称加密两种形式。其中,对称加密存在私钥管理问题,即私钥存在泄露的风险。非法者通过非正常手段即可获取私钥,直接读取数据,缺乏安全保障。
发明内容
本发明的目的在于提供一种通信加密方法及系统,可以利用私钥分开保存的方式降低私钥泄露的风险,并基于对称密钥、会话密钥双重加密的方式提高通信的安全保障。
本发明提供的一种通信加密方法,其中,应用于第一终端设备,包括:在向密钥管理服务发送所述第一终端设备的ID和密钥版本号之后,获取所述密钥管理服务发送的第一私钥分量;基于所述第一私钥分量生成第一签名值,并向所述密钥管理服务发送所述第一签名值;在所述密钥管理服务对所述第一签名值进行认证通过之后,向所述密钥管理服务发送所述第一终端设备的第二私钥分量,并接收所述密钥管理服务返回的会话密钥;基于所述第一终端设备的ID,从所述密钥管理服务获取对称密钥;利用所述对称密钥对待加密的对象进行加密,得到加密的对象,利用所述会话密钥对所述对称密钥进行加密,得到加密的对称密钥;将所述加密的对象、所述加密的对称密钥和密钥版本号发送至第二终端设备,以使所述第二终端设备对所述加密的对象和所述加密的对称密钥进行解密。
本发明提供的一种通信加密方法,其中,应用于密钥管理服务,包括:接收第一终端设备发送的所述第一终端设备的ID和密钥版本号;基于所述第一终端设备的ID,向所述第一终端设备发送第一私钥分量,以使所述第一终端设备基于所述第一私钥分量生成第一签名值;接收所述第一终端设备发送的所述第一签名值,并对所述第一签名值进行认证;在所述第一签名值认证通过之后,接收所述第一终端设备发送的第二私钥分量;基于所述第二私钥分量、所述第一签名值和所述密钥版本号发放会话密钥;在发放所述会话密钥之后,基于所述第一终端设备的ID,向所述第一终端设备发送对称密钥。
进一步的,接收所述第一终端设备发送的所述第一签名值,并对所述第一签名值进行认证包括:接收所述第一终端设备发送的所述第一签名值;
基于所述第一终端设备的ID确定所述第一终端设备的公钥;利用所述第一终端设备的公钥对所述第一签名值进行认证。
本发明提供的一种通信加密方法,其中,应用于第二终端设备,包括:接收第二终端发送的加密的对象、加密的对称密钥和密钥版本号;在向密钥管理服务发送所述第二终端设备的ID和密钥版本号之后,获取所述密钥管理服务发送的第三私钥分量;基于所述第三私钥分量生成第二签名值,并向所述密钥管理服务发送所述第二签名值;在所述密钥管理服务对所述第二签名值进行认证通过之后,向所述密钥管理服务发送所述第二终端设备的第四私钥分量,并接收所述密钥管理服务返回的会话密钥;利用所述会话密钥对所述加密的对称密钥进行解密,得到对称密钥;利用所述对称密钥对所述加密的对象进行解密,得到对象。
本发明提供的一种通信加密方法,其中,应用于密钥管理服务,包括:接收第二终端设备发送的所述第二终端设备的ID和密钥版本号;基于所述第二终端设备的ID,向所述第二终端设备发送第三私钥分量,以使所述第二终端设备基于所述第三私钥分量生成第二签名值;接收所述第二终端设备发送的所述第二签名值,并对所述第二签名值进行认证;在所述第二签名值认证通过之后,接收所述第二终端设备发送的第四私钥分量;基于所述第四私钥分量、所述第二签名值和所述密钥版本号发放会话密钥。
进一步的,接收所述第二终端设备发送的所述第二签名值,并对所述第二签名值进行认证包括:接收所述第二终端设备发送的所述第二签名值;基于所述第二终端设备的ID确定所述第二终端设备的公钥;利用所述第二终端设备的公钥对所述第二签名值进行认证。
本发明提供的一种通信加密系统,其中,包括:所述的第一终端设备、所述的密钥管理服务和所述的第二终端设备。
进一步的,所述通信加密系统还包括:物联网监控平台,所述物联网监控平台用于对密钥管理服务提供的会话密钥、对称密钥进行管理。
本发明还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行计算机程序时实现所述的通信加密方法。
本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,其中,所述程序代码使所述处理器执行所述的通信加密方法。
本发明提供的一种通信加密方法及系统,包括:在向密钥管理服务发送第一终端设备的ID和密钥版本号之后,获取密钥管理服务发送的第一私钥分量;基于第一私钥分量生成第一签名值,并向密钥管理服务发送第一签名值;在密钥管理服务对第一签名值进行认证通过之后,向密钥管理服务发送第一终端设备的第二私钥分量,并接收密钥管理服务返回的会话密钥;基于第一终端设备的ID,从密钥管理服务获取对称密钥;利用对称密钥对待加密的对象进行加密,得到加密的对象,利用会话密钥对对称密钥进行加密,得到加密的对称密钥;将加密的对象、加密的对称密钥和密钥版本号发送至第二终端设备,以使第二终端设备对加密的对象和加密的对称密钥进行解密。
本发明可以得到以下有益效果:一方面,第一终端设备的私钥分为两部分:第一私钥分量和第二私钥分量,第一私钥分量由密钥管理服务保存、第二私钥分量由第一终端设备保存,分开保存的方式降低了私钥泄露的风险。另一方面,第一终端设备携带第一私钥分量,通过与密钥管理服务交互可以生成签名值,利用密钥管理服务对签名值的验证可以实现对第一终端设备的身份认证,在身份认证通过之后,再基于对称密钥、会话密钥双重加密的方式提高了通信的安全保障。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种通信加密方法的流程图;
图2为生成第一签名值的流程图;
图3为本发明实施例提供的另一种通信加密方法的流程图;
图4为生成公钥的流程图;
图5为本发明实施例提供的另一种通信加密方法的流程图;
图6为本发明实施例提供的另一种通信加密方法的流程图;
图7为本发明实施例提供的一种通信加密系统的结构示意图。
图标:
11-第一终端设备;12-密钥管理服务;13-第二终端设备;14-物联网监控平台。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有阶段在开发应用过程中,终端设备之间经常进行数据传输。当传输的数据涉及到重要信息或隐私信息时,开发者自然会想到对其进行加密。目前加密有对称加密和非对称加密两种形式。其中,对称加密存在私钥管理问题,即私钥存在泄露的风险。非法者通过非正常手段即可获取私钥,直接读取数据,缺乏安全保障。基于此,本发明实施例提供的一种通信加密方法及系统,将终端设备的私钥分成两部分私钥分量分别进行保存,可以降低私钥泄露的风险。上述两部分私钥分量的结合可以产生签名值,用于对第一终端设备进行身份验证。另外基于对称密钥、会话密钥双重加密的方式可以提高通信的安全保障。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种通信加密方法进行详细介绍。
实施例一:
图1为本发明实施例提供的一种通信加密方法的流程图。
参照图1,本发明实施例提供的一种通信加密方法,其中,应用于第一终端设备,可以包括以下步骤:
步骤S101,在向密钥管理服务发送第一终端设备的ID和密钥版本号之后,获取密钥管理服务发送的第一私钥分量。
在本发明实施例中,第一终端设备中包含安全模块,第一终端设备通过自身的安全模块与密钥管理服务进行通信。
步骤S102,基于第一私钥分量生成第一签名值,并向密钥管理服务发送第一签名值。
第一签名值为第一终端设备对应的签名值。参照图2,生成第一签名值的流程如下:基于密钥管理服务存储的第一终端设备的第一私钥分量,并结合第一终端设备存储的第二私钥分量生成第一签名值。
步骤S103,在密钥管理服务对第一签名值进行认证通过之后,向密钥管理服务发送第一终端设备的第二私钥分量,并接收密钥管理服务返回的会话密钥。
在本发明实施例中,密钥管理服务基于第一终端设备的ID可以查找得到第一终端设备的公钥,利用第一终端设备的公钥对第一签名值进行认证,在认证通过后,密钥管理服务基于第一终端的第二私钥分量向第一终端设备发放与密钥版本号对应的会话密钥。
步骤S104,基于第一终端设备的ID,从密钥管理服务获取对称密钥。
步骤S105,利用对称密钥对待加密的对象进行加密,得到加密的对象,利用会话密钥对对称密钥进行加密,得到加密的对称密钥。
步骤S106,将加密的对象、加密的对称密钥和密钥版本号发送至第二终端设备,以使第二终端设备对加密的对象和加密的对称密钥进行解密。
本发明实施例可以达到以下有益效果:基于第一私钥分量和第二私钥分量,利用密钥管理服务可以实现对第一终端设备的身份认证。其中,第一终端设备的第一私钥分量由密钥管理服务保存,第二私钥分量由第一终端设备保存,分开保存的方式降低了私钥泄露的风险。在身份认证阶段,第一终端设备携带第一私钥分量,通过与密钥管理服务交互可以生成第一签名值,利用密钥管理服务对第一签名值的验证可以实现对第一终端设备的身份认证。在身份认证之后,密钥管理服务向第一终端设备发放对称密钥和会话密钥,可以实现对待加密对象的双重加密,双重加密的方式提高了通信的安全保障。
实施例二:
图3为本发明实施例提供的另一种通信加密方法的流程图。
参照图3,本发明实施例提供的另一种通信加密方法,应用于密钥管理服务,包括以下步骤:
步骤S201,接收第一终端设备发送的第一终端设备的ID和密钥版本号。
步骤S202,基于第一终端设备的ID,向第一终端设备发送第一私钥分量,以使第一终端设备基于第一私钥分量生成第一签名值。
步骤S203,接收第一终端设备发送的第一签名值,并对第一签名值进行认证。
在本发明实施例中,步骤S203可以包括以下步骤:步骤1,接收第一终端设备发送的第一签名值;步骤2,基于第一终端设备的ID确定第一终端设备的公钥;步骤3,利用第一终端设备的公钥对第一签名值进行认证。
参照图4,生成公钥的流程如下:在第一终端设备与密钥管理服务第一次进行通信时,第一终端设备在密钥管理服务端执行注册设备流程,即第一终端设备生成第二私钥分量和中间变量,第一终端设备加密存储携带第二私钥分量的密钥文件,第一终端设备通过网络与密钥管理服务进行交互,在密钥管理服务端生成第一私钥分量和公钥,密钥管理服务加密存储第一私钥分量和公钥,并将公钥返回给第一终端设备。
第一终端设备在密钥管理服务端已经注册的情况下,第一终端设备的公钥在第一终端设备和密钥管理服务两端均能获得。由于第一终端设备已经向密钥管理服务端进行了注册,所以存储在密钥管理服务中的第一私钥分量、公钥与第一终端设备对应的第二私钥分量已匹配,协同签名的结果与第一终端设备的公钥也匹配。密钥管理服务可以通过使用第一终端设备的公钥验证第一签名值,用于实现对第一终端设备的身份认证。假如其他终端设备伪造数据报文,因其第二私钥分量与存储在密钥管理服务的第一私钥分量、公钥不匹配,因此签名值无法通过公钥验签,身份认证失败。
步骤S204,在第一签名值认证通过之后,接收第一终端设备发送的第二私钥分量。
步骤S205,基于第二私钥分量、第一签名值和密钥版本号发放会话密钥。
步骤S206,在发放会话密钥之后,基于第一终端设备的ID,向第一终端设备发送对称密钥。
本发明实施例可以达到的有益效果为:基于第一私钥分量和第二私钥分量,利用密钥管理服务可以实现对第一终端设备的身份认证。其中,第一终端设备的第一私钥分量由密钥管理服务保存,第二私钥分量由第一终端设备保存,分开保存的方式降低了私钥泄露的风险。在身份认证阶段,第一终端设备携带第一私钥分量,通过与密钥管理服务交互可以生成第一签名值,利用密钥管理服务对第一签名值的验证可以实现对第一终端设备的身份认证。在身份认证之后,密钥管理服务向第一终端设备发放对称密钥和会话密钥,可以实现对待加密对象的双重加密,双重加密的方式提高了通信的安全保障。
实施例三:
图5为本发明实施例提供的另一种通信加密方法的流程图。
参照图5,本发明实施例提供的另一种通信加密方法,应用于第二终端设备,包括以下步骤:
步骤S301,接收第二终端发送的加密的对象、加密的对称密钥和密钥版本号。
在本发明实施例中,第二终端设备中包含安全模块,第二终端设备通过自身的安全模块与密钥管理服务进行通信。
步骤S302,在向密钥管理服务发送第二终端设备的ID和密钥版本号之后,获取密钥管理服务发送的第三私钥分量。
步骤S303,基于第三私钥分量生成第二签名值,并向密钥管理服务发送第二签名值。
步骤S304,在密钥管理服务对第二签名值进行认证通过之后,向密钥管理服务发送第二终端设备的第四私钥分量,并接收密钥管理服务返回的会话密钥。
步骤S305,利用会话密钥对加密的对称密钥进行解密,得到对称密钥。
步骤S306,利用对称密钥对加密的对象进行解密,得到对象。
本发明实施例可以达到以下有益效果:基于第三私钥分量和第四私钥分量,利用密钥管理服务可以实现对第二终端设备的身份认证。其中,第二终端设备的第三私钥分量由密钥管理服务保存,第四私钥分量由第二终端设备保存,分开保存的方式降低了私钥泄露的风险。在身份认证阶段,第二终端设备携带第四私钥分量,通过与密钥管理服务交互可以生成第二签名值,利用密钥管理服务对第二签名值的验证可以实现对第二终端设备的身份认证。在身份认证之后,密钥管理服务向第二终端设备发放会话密钥,可以实现对解密实现双重保障,因此提高了通信的安全保障。
实施例四:
图6为本发明实施例提供的另一种通信加密方法的流程图。
参照图6,本发明实施例提供的另一种通信加密方法,应用于密钥管理服务,包括以下步骤:
步骤S401,接收第二终端设备发送的第二终端设备的ID和密钥版本号。
步骤S402,基于第二终端设备的ID,向第二终端设备发送第三私钥分量,以使第二终端设备基于第三私钥分量生成第二签名值。
步骤S403,接收第二终端设备发送的第二签名值,并对第二签名值进行认证。
在本发明实施例中,步骤S403包括以下步骤:步骤1,接收第二终端设备发送的第二签名值;步骤2,基于第二终端设备的ID确定第二终端设备的公钥;步骤3,利用第二终端设备的公钥对第二签名值进行认证。
步骤S404,在第二签名值认证通过之后,接收第二终端设备发送的第四私钥分量。
步骤S405,基于第四私钥分量、第二签名值和密钥版本号发放会话密钥。
本发明实施例可以达到的有益效果为:基于第三私钥分量和第四私钥分量,利用密钥管理服务可以实现对第二终端设备的身份认证。其中,第二终端设备的第三私钥分量由密钥管理服务保存,第四私钥分量由第二终端设备保存,分开保存的方式降低了私钥泄露的风险。在身份认证阶段,第二终端设备携带第四私钥分量,通过与密钥管理服务交互可以生成第二签名值,利用密钥管理服务对第二签名值的验证可以实现对第二终端设备的身份认证。在身份认证之后,密钥管理服务向第二终端设备发放会话密钥,可以实现对解密实现双重保障,因此提高了通信的安全保障。
实施例五:
图7为本发明实施例提供的一种通信加密系统的结构示意图。参照图7,本发明实施例提供的一种通信加密系统,包括:实施例一中的第一终端设备11、实施例二、实施例四中的密钥管理服务12和实施例三中的第二终端设备13。
进一步的,通信加密系统还包括:物联网监控平台14,物联网监控平台用于对密钥管理服务12提供的会话密钥、对称密钥进行管理。
在本发明实施例中,物联网监控平台14可以控制各个终端设备的公钥、密钥对更新时间、密钥管理服务12等。对于已经生成了公钥的终端设备,物联网监控平台14的管理人员可以查看、删除,并保持与密钥管理服务12同步。对于被删除公钥的终端设备,密钥管理服务12端对应的私钥分量也被删除,无法再配合终端设备的私钥分量生成数字签名,也就无法在密钥获取阶段通过身份认证,无法再获取密钥。
本发明实施例基于密钥管理服务12,可以应用于物联网中的各个终端设备之间的通信,即可以完成数据加密通信。通过物联网监控平台14和密钥管理服务12相结合的方式可以实现对终端设备密钥获取的身份认证、公钥监控、在线密钥对更新。本发明实施例可以在增强数据通信安全情况下,增加分布式系统以实现高可靠,高机密。从成本角度考虑,利用密钥管理服务12可以节约密钥管理设备、建设安全的物理环境带来的硬件成本。本发明实施例提供的通信加密系统对于物联网终端设备间通信安全性提升了机密性和低成本性。
本发明实施例基于密钥管理服务12和物联网监控平台14实现了对第一终端、第二终端的签名认证,以使对第一终端和第二终端之间的通信进行加密。本发明实施例可以使用国密算法、云端协同身份认证、密钥管理服务12、信封加密、物联网监控平台14、加密通信等手段,实现第一终端设备11与第二终端设备13之间通信的保密性、可用性和完整性,同时由物联网监控平台14协同控制第一终端设备11、第二终端设备13,可以有效实现端与端之间的加密通信安全。云端协同身份认证利用第一终端设备11、第二终端设备13分别与云端协同服务通过网络报文进行数据交换,双方建立连接进行身份认证,物联网监控平台14与密钥管理服务12共同监控公钥的管理;信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递、和使用,加密方式可靠性高。
在本发明的又一实施例中,还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法实施例所述方法的步骤。
在本发明的又一实施例中,还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行方法实施例所述方法。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
此外,术语“第一”、“第二”、“第三”、“第四”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种通信加密方法,其特征在于,应用于第一终端设备,包括:
在向密钥管理服务发送所述第一终端设备的ID和密钥版本号之后,获取所述密钥管理服务发送的第一私钥分量;
基于所述第一私钥分量生成第一签名值,并向所述密钥管理服务发送所述第一签名值;
在所述密钥管理服务对所述第一签名值进行认证通过之后,向所述密钥管理服务发送所述第一终端设备的第二私钥分量,并接收所述密钥管理服务返回的会话密钥;所述会话密钥由所述密钥管理服务基于所述第二私钥分量、所述第一签名值和所述密钥版本号发放;基于所述第一终端设备的ID,从所述密钥管理服务获取对称密钥;利用所述对称密钥对待加密的对象进行加密,得到加密的对象,利用所述会话密钥对所述对称密钥进行加密,得到加密的对称密钥;
将所述加密的对象、所述加密的对称密钥和密钥版本号发送至第二终端设备,以使所述第二终端设备对所述加密的对象和所述加密的对称密钥进行解密。
2.一种通信加密方法,其特征在于,应用于密钥管理服务,包括:
接收第一终端设备发送的所述第一终端设备的ID和密钥版本号;
基于所述第一终端设备的ID,向所述第一终端设备发送第一私钥分量,以使所述第一终端设备基于所述第一私钥分量生成第一签名值;
接收所述第一终端设备发送的所述第一签名值,并对所述第一签名值进行认证;
在所述第一签名值认证通过之后,接收所述第一终端设备发送的第二私钥分量;
基于所述第二私钥分量、所述第一签名值和所述密钥版本号发放会话密钥;
在发放所述会话密钥之后,基于所述第一终端设备的ID,向所述第一终端设备发送对称密钥。
3.根据权利要求2所述的通信加密方法,其特征在于,接收所述第一终端设备发送的所述第一签名值,并对所述第一签名值进行认证包括:
接收所述第一终端设备发送的所述第一签名值;
基于所述第一终端设备的ID确定所述第一终端设备的公钥;
利用所述第一终端设备的公钥对所述第一签名值进行认证。
4.一种通信加密方法,其特征在于,应用于第二终端设备,包括:
接收第二终端发送的加密的对象、加密的对称密钥和密钥版本号;
在向密钥管理服务发送所述第二终端设备的ID和密钥版本号之后,获取所述密钥管理服务发送的第三私钥分量;
基于所述第三私钥分量生成第二签名值,并向所述密钥管理服务发送所述第二签名值;
在所述密钥管理服务对所述第二签名值进行认证通过之后,向所述密钥管理服务发送所述第二终端设备的第四私钥分量,并接收所述密钥管理服务返回的会话密钥;所述会话密钥由所述密钥管理服务基于所述第四私钥分量、所述第二签名值和所述密钥版本号发放;
利用所述会话密钥对所述加密的对称密钥进行解密,得到对称密钥;
利用所述对称密钥对所述加密的对象进行解密,得到对象。
5.一种通信加密方法,其特征在于,应用于密钥管理服务,包括:
接收第二终端设备发送的所述第二终端设备的ID和密钥版本号;
基于所述第二终端设备的ID,向所述第二终端设备发送第三私钥分量,以使所述第二终端设备基于所述第三私钥分量生成第二签名值;
接收所述第二终端设备发送的所述第二签名值,并对所述第二签名值进行认证;
在所述第二签名值认证通过之后,接收所述第二终端设备发送的第四私钥分量;
基于所述第四私钥分量、所述第二签名值和所述密钥版本号发放会话密钥。
6.根据权利要求5所述的通信加密方法,其特征在于,接收所述第二终端设备发送的所述第二签名值,并对所述第二签名值进行认证包括:
接收所述第二终端设备发送的所述第二签名值;
基于所述第二终端设备的ID确定所述第二终端设备的公钥;
利用所述第二终端设备的公钥对所述第二签名值进行认证。
7.一种通信加密系统,其特征在于,包括:如权利要求1所述的第一终端设备、如权利要求2-3、5-6任一项所述的密钥管理服务和如权利要求4所述的第二终端设备。
8.根据权利要求7所述的通信加密系统,其特征在于,所述通信加密系统还包括:物联网监控平台,所述物联网监控平台用于对密钥管理服务提供的会话密钥、对称密钥进行管理。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现如权利要求1至6任一项所述的方法。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行如权利要求1至6任一项所述的方法。
CN201911198506.7A 2019-11-29 2019-11-29 通信加密方法及系统 Active CN110932850B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911198506.7A CN110932850B (zh) 2019-11-29 2019-11-29 通信加密方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911198506.7A CN110932850B (zh) 2019-11-29 2019-11-29 通信加密方法及系统

Publications (2)

Publication Number Publication Date
CN110932850A CN110932850A (zh) 2020-03-27
CN110932850B true CN110932850B (zh) 2023-01-20

Family

ID=69846774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911198506.7A Active CN110932850B (zh) 2019-11-29 2019-11-29 通信加密方法及系统

Country Status (1)

Country Link
CN (1) CN110932850B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111490878B (zh) 2020-04-09 2021-07-27 腾讯科技(深圳)有限公司 密钥生成方法、装置、设备及介质
CN111953675B (zh) * 2020-08-10 2022-10-25 四川阵风科技有限公司 一种基于硬件设备的密钥管理方法
CN113595985A (zh) * 2021-06-30 2021-11-02 江西海盾信联科技有限责任公司 一种基于国密算法安全芯片的物联网安全云平台实现方法
CN115378623B (zh) * 2022-03-17 2024-05-07 中国移动通信集团有限公司 身份认证方法、装置、设备及存储介质
CN116032655B (zh) * 2023-02-13 2023-07-25 杭州天谷信息科技有限公司 一种可抵御计时攻击的身份鉴别方法以及系统
CN117749465B (zh) * 2023-12-15 2024-09-27 中金金融认证中心有限公司 加密服务提供方法、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107948189A (zh) * 2017-12-19 2018-04-20 数安时代科技股份有限公司 非对称密码身份鉴别方法、装置、计算机设备及存储介质
CN110098928A (zh) * 2019-05-08 2019-08-06 国家电网有限公司 一种协同签名的密钥生成方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107948189A (zh) * 2017-12-19 2018-04-20 数安时代科技股份有限公司 非对称密码身份鉴别方法、装置、计算机设备及存储介质
CN110098928A (zh) * 2019-05-08 2019-08-06 国家电网有限公司 一种协同签名的密钥生成方法及装置

Also Published As

Publication number Publication date
CN110932850A (zh) 2020-03-27

Similar Documents

Publication Publication Date Title
CN110932850B (zh) 通信加密方法及系统
CN110084068B (zh) 区块链系统及用于区块链系统的数据处理方法
CN108768988B (zh) 区块链访问控制方法、设备及计算机可读存储介质
CN111416807B (zh) 数据获取方法、装置及存储介质
US11930103B2 (en) Method, user device, management device, storage medium and computer program product for key management
US10567370B2 (en) Certificate authority
US20200169406A1 (en) Security authentication method and device
US8259947B2 (en) Recreating a cryptographic key in a replacement device
CN105873031B (zh) 基于可信平台的分布式无人机密钥协商方法
US9838203B1 (en) Integrity protected trusted public key token with performance enhancements
US11831753B2 (en) Secure distributed key management system
CN104639516A (zh) 身份认证方法、设备及系统
CN106227503A (zh) 安全芯片cos固件更新方法、服务端、终端及系统
JP2008250931A (ja) 分散情報復元システム、情報利用装置、および、検証装置
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN112766962A (zh) 证书的接收、发送方法及交易系统、存储介质、电子装置
US11483146B2 (en) Technique for protecting a cryptographic key by means of a user password
CN114697040B (zh) 一种基于对称密钥的电子签章方法和系统
CN111355591A (zh) 一种基于实名认证技术的区块链账号安全的管理方法
CN113868684A (zh) 一种签名方法、装置、服务端、介质以及签名系统
CN107566393A (zh) 一种基于受信任证书的动态权限验证系统及方法
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
CN116244750A (zh) 一种涉密信息维护方法、装置、设备及存储介质
CN102404363A (zh) 一种访问方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant