数据处理方法及装置、计算机存储介质、电子设备
技术领域
本公开涉及计算机技术领域,特别涉及一种数据处理方法、数据处理装置、计算机存储介质及电子设备。
背景技术
随着计算机及互联网技术的迅速发展,人们的日常生活与互联网密不可分,相应的,暴露在互联网中的隐私信息越来越多,因此,需要一些密钥来保证信息在存储和传输过程中的安全性。而密钥存在被破解或者被泄露的可能,所以一般业务或系统会需要按照系统所要求的强度规定、密钥合理的生命周期等需求进行密钥的版本更新。密钥更新版本之后,因为新旧密钥内容不同,新版本的密钥不能解密老版本密钥加密的数据。
目前,一般是在密钥更新之后,暂停数据使用端的业务并进行业务改造,以实现对旧版本数据的兼容和密文数据的正常解密。然而,现有技术中的方案项目成本较高,可能存在用户流失风险。
鉴于此,本领域亟需开发一种新的数据处理方法及装置。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本公开的背景的理解。
发明内容
本公开的目的在于提供一种数据处理方法、数据处理装置、计算机存储介质及电子设备,进而至少在一定程度上避免了现有技术中项目成本较高的缺陷。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一种数据处理方法,应用于对所述数据进行加解密处理的终端服务器,所述加解密处理所使用的密钥类型为对称密钥,其特征在于,包括:接收密钥管理端实时发送的加密密钥,将所述加密密钥存储至缓存中;对获取到的最终密文进行数据分解,得到所述最终密文对应的最终密钥;若所述最终密钥与所述缓存中存储的加密密钥一致,则根据所述最终密钥对所述最终密文进行解密。
在本公开的示例性实施例中,所述方法还包括:基于预设的加密模式,生成初始化向量;根据所述初始化向量对原文数据进行加密处理,得到密文数据;将所述密文数据对应的第一校验码确定为密文头;对所述密文头与所述密文数据进行数据拼接,得到所述最终密文。
在本公开的示例性实施例中,所述基于所述加密模式,生成初始化向量,包括:基于所述加密模式,生成初始随机数;基于哈希算法对所述初始随机数进行加密处理,得到所述初始化向量。
在本公开的示例性实施例中,所述方法还包括:对获取到的所述最终密文进行数据分解,得到所述最终密文对应的第二校验码;判断所述第二校验码与所述第一校验码是否一致;若一致,则获取所述最终密钥对应的密钥编号;基于所述密钥编号确定对应的密钥版本号;对所述密钥编号与所述密钥版本号进行数据拼接,得到所述最终密钥的密钥标识。
在本公开的示例性实施例中,在得到所述最终密钥的密钥标识之后,所述方法还包括:判断所述最终密钥的密钥标识与所述缓存中存储的加密密钥的密钥标识是否一致;若一致,则根据所述最终密钥对所述最终密文进行解密。
在本公开的示例性实施例中,在接收密钥管理端实时发送的加密密钥之前,所述方法还包括:随机生成第一非对称密钥对、对称密钥;其中,所述第一非对称密钥对包括相对应的第一公钥和第一私钥;根据所述第一私钥对所述终端服务器对应的终端信息进行数字签名,得到签名结果;根据所述对称密钥对所述签名结果进行加密,得到第一认证信息;基于接收到的所述密钥管理端发送的第二公钥对所述对称密钥进行加密,得到第二认证信息;将所述第一认证信息与所述第二认证信息发送至所述密钥管理端,以使所述密钥管理端对所述终端服务器进行登录认证。
在本公开的示例性实施例中,所述方法还包括:接收密钥管理端发送的登录令牌,基于所述登录令牌登录所述密钥管理端;在登录成功之后,接收所述密钥管理端实时发送的包含所述加密密钥的加密数据包;基于所述第一私钥对所述加密数据包进行解密得到会话密钥;基于所述会话密钥对所述加密数据包进行解密得到所述加密密钥。
根据本公开的第二方面,提供一种数据处理方法,应用于管理密钥的密钥管理端,其特征在于,包括:随机生成第二非对称密钥对,所述第二非对称密钥对包括相对应的所述第二公钥和第二私钥;将所述第二公钥发送至所述终端服务器;接收所述终端服务器发送的所述第一认证信息和所述第二认证信息;根据所述第二私钥对所述第二认证信息进行解密,得到所述对称密钥;根据所述对称密钥,对所述第一认证信息进行解密,得到所述签名结果与所述第一公钥;根据所述第一公钥对所述签名结果进行校验;若对所述签名结果校验通过,则确定所述终端服务器认证通过。
在本公开的示例性实施例中,所述方法还包括:在所述终端服务器认证通过之后,根据所述终端信息获取加密密钥;基于会话密钥对所述加密密钥进行加密处理,基于所述第一公钥对所述会话密钥进行加密处理,得到所述加密数据包;将所述加密数据包发送至所述终端服务器。
在本公开的示例性实施例中,所述方法还包括:在所述终端服务器认证通过之后,随机生成登录令牌;将所述登录令牌发送至所述终端服务器。
根据本公开的第三方面,提供一种数据处理装置,应用于对所述数据进行加解密处理的终端服务器,其特征在于,包括:数据接收模块,用于接收密钥管理端实时发送的加密密钥,将所述加密密钥存储至缓存中;数据分解模块,用于对获取到的最终密文进行数据分解,得到最终密钥的密钥标识;数据解密模块,用于若所述最终密钥与所述缓存中存储的加密密钥一致,则根据所述最终密钥对所述最终密文进行解密。
根据本公开的第四方面,提供一种数据处理装置,应用于管理密钥的密钥管理端,其特征在于,包括:数据发送模块,用于随机生成第二非对称密钥对,所述第二非对称密钥对包括相对应的第二公钥和第二私钥;将所述第二公钥发送至所述终端服务器;数据校验模块,用于接收所述终端服务器发送的所述第一认证信息和所述第二认证信息;根据所述第二私钥对所述第二认证信息进行解密,得到所述对称密钥;根据所述对称密钥,对所述第一认证信息进行解密,得到所述签名结果与所述第一公钥;根据所述第一公钥对所述签名结果进行校验;根据所述第二私钥对所述第二认证信息进行解密,以获取所述签名结果;根据所述对称密钥对所述签名结果进行校验;若对所述签名结果校验通过,则确定所述终端服务器认证通过。
根据本公开的第五方面,提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面和第二方面所述的数据处理方法。
根据本公开的第六方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述第一方面和第二方面所述的数据处理方法。
由上述技术方案可知,本公开示例性实施例中的数据处理方法、数据处理装置、计算机存储介质及电子设备至少具备以下优点和积极效果:
在本公开的一些实施例所提供的技术方案中,一方面,接收密钥管理端实时发送的加密密钥,将加密密钥存储至缓存中,能够使得终端服务器实时存储最新版本的加密密钥,实现密钥的实时更新,便于提升后续数据解密时的解密速度。另一方面,对获取到的最终密文进行数据分解,得到最终密文对应的最终密钥,若最终密钥与上述缓存中存储的加密密钥一致,则根据最终密钥对最终密文进行解密,能够解决现有技术中多次对密钥进行更新之后,需要暂停业务进行项目改造才能实现数据正常解密的技术问题,以及,能够避免项目改造对业务的影响,降低了项目成本,避免用户流失,提高了数据解密效率。
本公开应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一示例性实施例中数据处理方法的流程示意图;
图2示出本公开另一示例性实施例中数据处理方法的流程示意图;
图3示出本公开再一示例性实施例中数据处理方法的流程示意图;
图4示出本公开又一示例性实施例中数据处理方法的流程示意图;
图5示出本公开一示例性实施例中数据处理方法的流程示意图;
图6示出本公开另一示例性实施例中数据处理方法的流程示意图;
图7示出本公开再一示例性实施例中数据处理方法的流程示意图;
图8示出本公开一示例性实施例中数据处理装置的结构示意图;
图9示出本公开另一示例性实施例中数据处理装置的结构示意图;
图10示出本公开示例性实施例中计算机存储介质的结构示意图;
图11示出本公开示例性实施例中电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
本说明书中使用用语“一个”、“一”、“该”和“所述”用以表示存在一个或多个要素/组成部分/等;用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等;用语“第一”和“第二”等仅作为标记使用,不是对其对象的数量限制。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。
目前,一般是在密钥更新之后,暂停数据使用端的业务并进行业务改造,以实现对旧版本数据的兼容和密文数据的正常解密。然而,随着加密次数的增加,会产生多个密钥版本,而每个密钥版本对应不同的密文数据,即密文数据的数据量会很大。所以,暂停业务的时间以及业务改造的难度也会随之增加。因而,现有技术中的方法项目成本较高,可能存在用户流失风险。
在本公开的实施例中,首先提供了一种数据处理方法,至少在一定程度上克服现有技术中提供的数据处理方法项目成本较高的缺陷。
图1示出本公开一示例性实施例中数据处理方法的流程示意图,该数据处理方法的执行主体可以是对数据进行处理的服务器。
参考图1,根据本公开的一个实施例的数据处理方法包括以下步骤:
步骤S110,接收密钥管理端实时发送的加密密钥,将加密密钥存储至缓存中;
步骤S120,对获取到的最终密文进行数据分解,得到最终密文对应的最终密钥;
步骤S130,若最终密钥与缓存中存储的加密密钥一致,则根据最终密钥对最终密文进行解密。
在图1所示实施例所提供的技术方案中,一方面,接收密钥管理端实时发送的加密密钥,将加密密钥存储至缓存中,能够使得终端服务器实时存储最新版本的加密密钥,实现密钥的实时更新,便于提升后续数据解密时的解密速度。另一方面,对获取到的最终密文进行数据分解,得到最终密文对应的最终密钥,若最终密钥与上述缓存中存储的加密密钥一致,则根据最终密钥对最终密文进行解密,能够解决现有技术中多次对密钥进行更新之后,需要暂停业务进行项目改造才能实现数据正常解密的技术问题,以及,能够避免项目改造对业务的影响,降低了项目成本,避免用户流失,提高了数据解密效率。
以下对图1中的各个步骤的具体实现过程进行详细阐述:
在本公开的示例性实施例中,上述数据处理方法主要通过终端服务器(对数据进行加解密处理)和密钥管理端(对密钥进行管理)来交互执行,终端服务器用于根据实际业务需要对数据进行加解密处理,密钥管理端用于对终端服务器每次加密时所使用的加密密钥进行管理(例如:密钥分发、密钥更新、密钥存储、密钥恢复和密钥审计等)。具体的,可以建立终端服务器与密钥管理端之间的心跳机制(即定时发送一个自定义的结构体(心跳包),让对方知道自己还活着,以确保连接的有效性的机制),进而,在终端服务器登录认证成功之后,密钥管理端可以将最新版本的加密密钥实时发送至终端服务器,以使终端服务器根据上述最新版本的加密密钥完成对数据的解密。
在本公开的示例性实施例中,密钥管理端可以随机生成第二非对称密钥(包括相对应的第二公钥和第二私钥),进而,密钥管理端可以将上述第二公钥(APPKEY)发送至终端服务器。进而,终端服务器可以进行登录认证,具体的,可以参考图2,图2示出本公开另一示例性实施例中数据处理方法的流程示意图,具体示出终端服务器进行登录认证的流程示意图,包含步骤S201-步骤S205,以下结合图2对具体的实施方式进行解释。
在步骤S201中,随机生成第一非对称密钥对、对称密钥;其中,第一非对称密钥对包括相对应的第一公钥和第一私钥。
在本公开的示例性实施例中,终端服务器可以随机生成第一非对称密钥对(包括第一公钥和第一私钥)。非对称密钥对是基于非对称加密算法(加密和解密使用的是两个不同的密钥)进行加密时所使用的密钥,非对称加密算法需要两个密钥:公钥(publickey,公开密钥,简称:公钥)和私钥(privatekey,私有密钥,简称:私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。
非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。
在本公开的示例性实施例中,终端服务器可以随机生成一对称密钥,对称密钥是用对称加密算法(指加密和解密使用的是相同的密钥)进行加密时所使用的密钥。
在步骤S202中,根据第一非对称密钥对的第一私钥对终端服务器对应的终端信息进行数字签名,得到签名结果。
在本公开的示例性实施例中,在终端服务器随机生成上述第一非对称密钥对之后,终端服务器可以根据上述第一私钥对终端服务器对应的终端信息进行数字签名,得到一签名结果。
上述终端信息可以包括上述终端服务器的IP地址(Internet Protocol Address,网际协议地址,简称:IP地址,是一种在Internet上给主机编址的方式)或终端服务器的标识(例如:1号终端服务器、2号终端服务器)等,用于表示终端服务器的身份。
具体的,可以先生成上述终端信息对应的电子文件原文(《电子签名法》中称数据电文),然后对电子文件原文用哈希算法(Hash算法,即散列函数,它是一种单向密码体制,即它是一个从明文到密文的不可逆的映射,只有加密过程,没有解密过程。同时,哈希函数可以将任意长度的输入经过变化以后得到固定长度的输出。哈希函数的这种单向特征和输出数据长度固定的特征使得它可以生成消息或者数据)做数字摘要,再对得到的数字摘要用上述第一私钥做非对称加密,即做数字签名,之后,将上述数字签名和电子文件原文以及上述第一公钥加在一起进行封装,形成上述签名结果。
其中,上述签名结果又称公钥数字签名或电子签章,是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,是对信息的发送者所发送信息真实性的一个有效证明。
在步骤S203中,根据对称密钥对签名结果进行加密,得到第一认证信息。
在本公开的示例性实施例中,在得到上述签名结果之后,终端服务器可以根据上述随机生成的对称密钥对上述签名结果进行加密,得到第一认证信息。
在步骤S204中,基于接收到的所述密钥管理端发送的第二公钥对所述对称密钥进行加密,得到第二认证信息。在本公开的示例性实施例中,在得到第一认证信息之后,终端服务器可以基于接收到的上述密钥管理端发送的第二公钥对上述对称密钥进行加密,以得到第二认证信息。
在步骤S205中,将第一认证信息和第二认证信息发送至密钥管理端,以使密钥管理端对终端服务器进行登录认证。
在本公开的示例性实施例中,在得到上述第二认证信息之后,终端服务器可以将上述第一认证信息和第二认证信息发送至密钥管理端,以使密钥管理端对上述终端服务器进行登录认证。从而,能够保证密钥的安全分发,避免密钥泄露。
在本公开的示例性实施例中,密钥管理端可以接收上述第一认证信息和第二认证信息,之后,根据密钥管理端随机生成的第二私钥对第二认证信息进行解密,得到对称密钥。进而,根据对称密钥对上述第一认证信息进行解密,得到上述签名结果与第一公钥。
进一步的,密钥管理端可以根据得到的第一公钥对上述签名结果进行校验,验证过程可以是:密钥管理端首先用终端服务器的第一公钥解密出数字签名,导出上述数字摘要,并对电子文件原文做同样的哈希算法得出一个新的数字摘要,将两个摘要的哈希值进行结果比较,若二者不同,则表示对上述签名结果的校验失败。若二者相同,则表示对上述签名结果校验通过,进而,可以确定上述终端服务器的登录认证通过。
在本公开的示例性实施例中,在密钥管理端对上述终端服务器的登录认证通过之后,密钥管理端可以随机生成一个登录令牌(token),并将上述登录令牌发送至上述终端服务器。
在本公开的示例性实施例中,在密钥管理端对上述终端服务器的登录认证通过之后,密钥管理端可以根据上述终端服务器的终端信息获取上述终端服务器有相应配置权限的加密密钥。进而,密钥管理端可以随机生成一会话密钥(sessionkey,是保证用户跟其它计算机或者两台计算机之间安全通信会话而随机产生的加密和解密密钥),并基于生成的会话密钥对上述终端服务器有相应配置权限的加密密钥进行加密处理,基于上述第一非对称密钥的第一公钥对上述会话密钥进行加密处理,以得到一加密数据包,进一步的,密钥管理端可以将上述加密数据包发送至终端服务器。
在本公开的示例性实施例中,密钥管理端通过随机生成会话密钥,并基于会话密钥对终端服务器有相应配置权限的加密密钥进行加密处理,能够保证加密密钥的安全性,从而,保障数据安全性。
在本公开的示例性实施例中,终端服务器可以接收上述密钥管理端发送的上述登录令牌,并基于上述登录令牌登录密钥管理端。
继续参考图1,在步骤S110中,接收密钥管理端实时发送的加密密钥,将加密密钥存储至缓存中。
在本公开的示例性实施例中,参照上述步骤的相关解释,在终端服务器登录成功之后,终端服务器可以接收密钥管理端实时发送的加密密钥。示例性的,可以参考图3,图3示出本公开再一示例性实施例中数据处理方法的流程示意图,具体示出终端服务器在登录成功之后,接收加密密钥的流程示意图,包括步骤S301-步骤S303,以下结合图3对具体的实施方式进行解释。
在步骤S301中,在登录成功之后,接收密钥管理端实时发送的加密数据包。
在本公开的示例性实施例中,在上述终端服务器登录成功之后,终端服务器可以建立与密钥管理端的实时通信,从而接收密钥管理端实时发送的包含加密密钥的加密数据包。
在步骤S302中,基于第一非对称密钥对的第一私钥对加密数据包进行解密得到会话密钥。
在本公开的示例性实施例中,在获取到上述加密数据包之后,终端服务器可以基于上述第一非对称密钥对的第一私钥对加密数据包进行解密,以得到会话密钥。
在步骤S303中,基于会话密钥对加密数据包进行解密得到加密密钥。
在本公开的示例性实施例中,在得到会话密钥之后,终端服务器可以基于上述会话密钥对上述加密数据包进行解密以得到加密密钥。
在本公开的示例性实施例中,示例性的,可以参考图4,图4示出本公开又一示例性实施例中数据处理方法的流程示意图,具体示出终端服务器登录认证,并获取密钥管理端发送的加密密钥的流程图,以下结合图4对具体的实时方式进行解释。
在步骤S401中,随机生成第一非对称密钥对、对称密钥;
在步骤S402中,根据第一非对称密钥对的第一私钥对终端服务器对应的终端信息进行签名,得到签名结果;
在步骤S403中,根据对称密钥对签名结果进行加密,得到第一认证信息;基于第二公钥对对称密钥进行加密,得到第二认证信息;将第一认证信息和第二认证信息发送至密钥管理端;
在步骤S404中,密钥管理端接收上述第一认证信息和第二认证信息,并对第一认证信息和第二认证信息进行解密,以获取签名结果;
在步骤S405中,对上述签名结果进行验证;
在步骤S406中,若验证失败,则登录认证失败;
在步骤S407中,若验证成功,则根据上述终端信息获取终端服务器有相应配置权限的加密密钥;
在步骤S408中,生成登录令牌,并随机生成会话密钥,基于会话密钥对上述加密密钥进行加密,得到一加密数据包,将加密数据包返回至终端服务器;
在步骤S409中,终端服务器基于上述登录令牌登录密钥管理端,在登录成功之后,缓存上述加密数据包,对加密数据包进行解密以得到加密密钥。
接着参考图1,在步骤S120中,对获取到的最终密文进行数据分解,得到最终密文对应的最终密钥。
在本公开的示例性实施例中,示例性的,可以参考图5,图5示出本公开一示例性实施例中数据处理方法的流程示意图,具体示出获取最终密文的流程示意图,包含步骤S501-S504,以下结合图5对具体的实施方式进行解释。
在步骤S501中,基于预设的加密模式,生成初始化向量。
在本公开的示例性实施例中,终端服务器可以基于预设的加密模式,随机生成一初始化向量。具体的,可以先生成一初始随机数,进而,基于哈希算法对上述初始随机数进行加密处理,以得到上述初始化向量。从而,能够保证初始化向量的安全性,以提升数据安全性。
其中,加密模式用于定义怎样通过重复利用加密算法将大于一个数据块大小的明文转化为密文,示例性的,加密模式可以是:ECB模式、CBC模式或CTR模式。在不同的加密模式下,可以生成不同的初始随机数。初始化向量(initialization vector,缩写:IV),又称初向量或初始变量,是一个固定长度(例如:2字节)的输入值。
在步骤S502中,根据初始化向量对原文数据进行加密处理,得到密文数据。
在本公开的示例性实施例中,在得到上述初始化向量之后,可以基于加密算法,例如:DES(Data Encryption Standard,数据加密标准,简称:DES)、3DES(Triple DES,三重数据加密算法,简称:3DES)、AES(Advanced Encryption Standard,高级加密标准,简称:AES)加密算法等,使用初始化向量对原文数据(即需要进行加密的明文数据)进行加密处理,以得到密文数据。
在步骤S503中,将密文数据对应的第一校验码确定为密文头。
在本公开的示例性实施例中,在获取到密文数据之后,可以拼接上述密文数据的前18个Byte数据,并计算上述前18个Byte数据对应的第一校验码,示例性的,第一校验码可以是CRC校验码(Cyclic Redundancy Check,循环冗余校验,简称:CRC),是一种查错校验码,其特征是信息字段和校验字段的长度可以任意选定。CRC校验是一种数据传输检错功能,对数据进行多项式计算,并将得到的结果附在帧的后面,接收设备也执行类似的算法,能够保证数据传输的正确性和完整性。
在本公开的示例性实施例中,具体的,上述CRC校验码可以是CRC32校验码,从而,提高检错能力,降低检错开销,便于用编码器及检测电路实现。
在本公开的示例性实施例中,在计算出上述第一校验码之后,可以将上述第一校验码确定为密文头(类似于数据报头,不包含具体的密文数据,仅用于描述密文的数据版本号等特征)。
需要说明的是,上述密文头的数据长度可以是21个字节(Byte,字节,简称:B),1Byte=8位(bit,位,简称:b),具体的,密文头的具体结构可以是如下表1所示:
表1
在本公开的示例性实施例中,上述数据版本号(Byte0)用于记录密文结构规则的版本,方便后期规则的扩展和兼容;上述加密算法(Bit7~Bit4)、加密模式(Bit3~Bit1)、填充模式(Bit0)用于记录数据加密时所使用的算法参数;上述密钥编号(Byte2~Byte9)和密钥版本(Byte10~Byte15)可以组合得到密钥标识,定位到唯一的加密密钥;上述IV初始化向量(Byte16~Byte17)用于记录不同的加密模式(例如:ECB模式(Electronic CodeBook,电子码本模式,简称:ECB),CBC模式(Cipher Block Chaining,密码分组链接模式,简称:CBC)或CTR模式(Counter,计数器模式)对应的算法参数;上述校验位(Byte18~Byte20)用于表示上述Byte0~Byte17位数据对应的冗余校验码。
在本公开的示例性实施例中,通过将密文头设定为表1中所示的结构,能够使得终端服务器在获取到密文头时,只需对密文头进行数据分解便可以获取到密钥标识,从而,无需因为密钥更新,对数据进行不断清洗,或者增加一些辅助字段对业务逻辑进行修改,能够实现业务方对密钥的版本更新完全无感知,避免密钥更新对业务处理的影响,提高数据处理效率。
在步骤S504中,对密文头与密文数据进行数据拼接,得到最终密文。
在本公开的示例性实施例中,在得到上述密文头和密文数据之后,可以对上述密文头与密文数据进行数据拼接,得到最终密文。
在本公开的示例性实施例中,示例性的,可以参考图6,图6示出本公开另一示例性实施例中数据处理方法的流程示意图,具体示出得到最终密文的流程示意图,包含步骤S601-S606,以下结合图6对具体的实施方式进行解释。
在步骤S601中,开始;
在步骤S602中,基于预设的加密模式,生成初始化向量;
在步骤S603中,根据初始化向量对原文数据进行加密处理,得到密文数据;
在步骤S604中,将密文数据对应的第一校验码确定为密文头;
在步骤S605中,对密文头与密文数据进行数据拼接,得到最终密文。
在步骤S606中,结束。
在本公开的示例性实施例中,在得到上述最终密文之后,终端服务器可以对上述最终密文进行数据分解,以获取到最终密文结构中包含的前18个Byte数据对应的第二校验码,进而,将得到的第二校验码与上述第一校验码进行比较,若二者一致,则可以确定上述最终密文未被篡改过,保证数据安全。继续参考图1,在步骤S130中,若最终密钥与缓存中存储的加密密钥一致,则根据最终密钥对最终密文进行解密。
在本公开的示例性实施例中,参照上述步骤的相关解释,在确定出第二校验码与上述第一校验码一致之后,可以对上述最终密文进行数据分解,以获取到上述最终密文中包含的密钥编号,进而,可以基于密钥编号获取到对应的密钥版本号,通过对上述密钥编号与上述密钥版本号进行数据拼接,能够确定出最终密钥的密钥标识。
在本公开的示例性实施例中,在得到上述最终密钥的密钥标识之后,可以判断上述最终密钥的密钥标识与缓存中存储的加密密钥的密钥标识是否一致;若二者一致,则可以根据上述最终密钥对上述最终密文进行解密,从而,能够解决现有技术中多次对密钥进行更新之后,需要暂停业务进行项目改造才能实现数据正常解密的技术问题,以及,能够避免项目改造对业务的影响,降低了项目成本,避免用户流失,提高了数据解密效率。
在本公开的示例性实施例中,若上述最终密钥的密钥标识与缓存中存储的加密密钥的密钥标识不一致,则可以基于上述密钥标识重新从密钥管理端获取对应的密钥,以对上述最终密文进行解密。
在本公开的示例性实施例中,示例性的,可以参考图7,图7示出本公开再一示例性实施例中数据处理方法的流程示意图,具体示出对最终密文进行解密的流程示意图,包含步骤S701-步骤S709,以下结合图7对具体的实施方式进行解释。
在步骤S701中,开始;
在步骤S702中,分解最终密文的密文头,获取第二校验码;
在步骤S703中,判断第二校验码与第一校验码是否一致;若不一致,则跳转至步骤S704,解密失败;
在步骤S705中,若一致,则判断最终密钥的密钥标识与缓存中的加密密钥标识是否一致;
在步骤S706中,若一致,则基于加密密钥对最终密文解密;
在步骤S707中,若不一致,则通过密钥管理端获取最终密钥;
在步骤S708中,解密成功;
在步骤S709中,结束。
本公开还提供了一种数据处理装置,图8示出本公开一示例性实施例中数据处理装置的结构示意图;应用于对数据进行加解密处理的终端服务器,如图8所示,数据处理装置800可以包括数据存储模块801、数据分解模块802和数据解密模块803。其中:
数据存储模块801,用于接收密钥管理端实时发送的加密密钥,将加密密钥存储至缓存中。
在本公开的示例性实施例中,数据存储模块用于接收密钥管理端发送的登录令牌,基于登录令牌登录密钥管理端;在登录成功之后,接收密钥管理端实时发送的包含加密密钥的加密数据包;基于第一非对称密钥对的第一私钥对加密数据包进行解密得到会话密钥;基于会话密钥对加密数据包进行解密得到加密密钥。
在本公开的示例性实施例中,数据存储模块用于随机生成第一非对称密钥对、对称密钥;其中,第一非对称密钥对包括相对应的第一公钥和第一私钥;根据第一私钥对终端服务器对应的终端信息进行数字签名,得到签名结果;根据对称密钥对签名结果进行加密,得到第一认证信息;基于接收到的密钥管理端发送的第二公钥对对称密钥进行加密,得到第二认证信息;将第一认证信息与第二认证信息发送至密钥管理端,以使密钥管理端对终端服务器进行登录认证。
在本公开的示例性实施例中,数据存储模块用于基于预设的加密模式,生成初始化向量;根据初始化向量对原文数据进行加密处理,得到密文数据;将密文数据对应的第一校验码确定为密文头;对密文头与密文数据进行数据拼接,得到最终密文。
数据分解模块802,用于对获取到的最终密文进行数据分解,得到最终密钥的密钥标识。
在本公开的示例性实施例中,数据分解模块用于对获取到的最终密文进行数据分解,得到最终密文对应的第二校验码;判断第二校验码与第一校验码是否一致;若一致,则获取最终密钥对应的密钥编号;基于密钥编号确定对应的密钥版本号;对密钥编号与密钥版本号进行数据拼接,得到最终密钥的密钥标识。
数据解密模块803,用于若最终密钥与缓存中存储的加密密钥一致,则根据最终密钥对最终密文进行解密。
在本公开的示例性实施例中,数据解密模块用于判断最终密钥的密钥标识与缓存中存储的加密密钥的密钥标识是否一致;若一致,则根据最终密钥对最终密文进行解密。
本公开还提供了一种数据处理装置,图9示出本公开另一示例性实施例中数据处理装置的结构示意图;应用于管理密钥的密钥管理端,如图9所示,数据处理装置900可以包括数据发送模块901和数据验证模块902。其中:
数据发送模块901,用于随机生成第二非对称密钥对,所述第二非对称密钥对包括相对应的所述第二公钥和第二私钥;将第二公钥发送至终端服务器。
在本公开的示例性实施例中,数据发送模块用于在终端服务器认证通过之后,随机生成登录令牌;将登录令牌发送至终端服务器。
在本公开的示例性实施例中,数据发送模块用于在终端服务器认证通过之后,根据终端信息获取加密密钥;基于会话密钥对加密密钥进行加密处理,基于第一非对称密钥对的第一公钥对会话密钥进行加密处理,得到加密数据包;将加密数据包发送至终端服务器。
数据校验模块902,用于接收终端服务器发送的第一认证信息和第二认证信息;根据第二私钥对第二认证信息进行解密,得到对称密钥;根据对称密钥,对第一认证信息进行解密,得到签名结果与第一公钥;根据第一公钥对签名结果进行校验;若对签名结果校验通过,则确定终端服务器认证通过。
上述数据处理装置中各模块的具体细节已经在对应的数据处理方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开示例性实施方式中,还提供了一种能够实现上述方法的计算机存储介质。其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施例中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
参考图10所示,描述了根据本公开的实施方式的用于实现上述方法的程序产品1000,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图11来描述根据本公开的这种实施方式的电子设备1100。图11显示的电子设备1100仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图11所示,电子设备1100以通用计算设备的形式表现。电子设备1100的组件可以包括但不限于:上述至少一个处理单元1110、上述至少一个存储单元1120、连接不同系统组件(包括存储单元1120和处理单元1110)的总线1130以及显示单元1140。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1110执行,使得所述处理单元1110执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元1110可以执行如图1中所示的:步骤S110,接收密钥管理端实时发送的加密密钥,将所述加密密钥存储至缓存中;步骤S120,对获取到的最终密文进行数据分解,得到所述最终密文对应的最终密钥;步骤S130,若所述最终密钥与所述缓存中存储的加密密钥一致,则根据所述最终密钥对所述最终密文进行解密。
存储单元1120可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)11201和/或高速缓存存储单元11202,还可以进一步包括只读存储单元(ROM)11203。
存储单元1120还可以包括具有一组(至少一个)程序模块11205的程序/实用工具11204,这样的程序模块11205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1130可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1100也可以与一个或多个外部设备1200(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1100交互的设备通信,和/或与使得该电子设备1100能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1150进行。并且,电子设备1100还可以通过网络适配器1160与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1160通过总线1130与电子设备1100的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1100使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。