CN111526128A - 一种加密管理的方法和装置 - Google Patents
一种加密管理的方法和装置 Download PDFInfo
- Publication number
- CN111526128A CN111526128A CN202010247462.9A CN202010247462A CN111526128A CN 111526128 A CN111526128 A CN 111526128A CN 202010247462 A CN202010247462 A CN 202010247462A CN 111526128 A CN111526128 A CN 111526128A
- Authority
- CN
- China
- Prior art keywords
- node
- key
- time
- node number
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种加密管理的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:接收目标节点或对端节点的配置请求;利用加密机将第一节点号、第二节点号和散列时间散列出第一原始密钥;基于第一原始密钥生成种子密钥,并将第一节点号、第二节点号和种子密钥及其生成时间返回至目标节点和对端节点;在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,用于目标节点与对端节点之间的交互。该实施方式能够对传输密钥进行安全有效的管理,解决了数据传输安全问题,保证了数据的机密性、完整性和一致性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种加密管理的方法和装置。
背景技术
随着信息化工作的推进,企业、公司的各个业务系统相互独立而引发出了敏感数据传输、数据安全存储、交易报文传输等一系列安全问题,这些问题可能带来数据泄露、文件遭到破坏等安全风险,可能造成不可估量的经济损失。
数据信息安全越来越受到大众关注,这对企业、公司是挑战也是机遇,能提供更好的数据安全保护,必能获取用户的信任感,从而占有更多的市场。加强数据安全的防护能力,对企业、公司来说,不仅是自我保护,更是主动出击。通过加密服务系统的建设,对密钥进行安全可靠的管理,能使用多种加密算法对业务的数据进行安全可靠的传输和加解密,保护业务数据的隐私和机密。
各应用业务系统通过因特网将敏感信息进行传递的过程中会存在诸多风险,例如:窃听、钓鱼、篡改等。在没有加密服务系统之前,数据明文传递,当数据遭到截取时,如果数据泄露到恶意第三方,对数据进行修改可能给应用系统或用户带来极大的经济损失。
发明内容
有鉴于此,本发明实施例提供一种加密管理的方法和装置,能够对传输密钥进行安全有效的管理,解决了数据传输安全问题,保证了数据的机密性、完整性和一致性。
为实现上述目的,根据本发明实施例的一个方面,提供了一种加密管理的方法。
本发明实施例的一种加密管理的方法包括:
接收目标节点或对端节点的配置请求;其中,所述配置请求包括所述目标节点的第一节点号和所述对端节点的第二节点号;
利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥;
基于所述第一原始密钥生成种子密钥,并将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点;
在所述目标节点和所述对端节点存储所述第一节点号、所述第二节点号以及所述种子密钥及其生成时间,用于所述目标节点与所述对端节点之间的交互。
可选地,接收目标节点或对端节点的配置请求,包括:
目标节点的目标设备或对端节点的对端设备在初始化时,通过应用程序接口向加密服务端发送在所述目标节点与所述对端节点之间建立交互的配置请求;
所述加密服务端接收所述配置请求,并基于所述配置请求配置所述目标节点与所述对端节点之间的安全策略;其中,所述安全策略包括密钥管理以及所述目标设备与所述对端设备的节点关系管理。
可选地,利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,之前还包括:
加密服务端为目标节点和对端节点配置节点号、为目标设备和对端设备配置设备号、以及建立目标节点与对端节点之间的交互关系。
可选地,利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,包括:
采用类SSL双向认证的机制建立所述加密服务端与所述加密机的交互;
所述加密服务端将所述第一节点号、所述第二节点号发送至所述加密机;
所述加密机以所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,以所述加密服务端和所述第一节点号散列出第二原始密钥,以及以所述加密服务端和所述第二节点号散列出第三原始密钥;
所述加密机将所述第一原始密钥及所述散列时间、所述第二原始密钥和所述第三原始密钥返回至所述加密服务端。
可选地,将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点,之前还包括:
所述加密服务端以所述第二原始密钥和传输随机数散列出第一传输密钥,以所述第三原始密钥和传输随机数散列出第二传输密钥,并以数字信封的方式将所述第一传输密钥和所述第二传输密钥分别发送至所述目标节点和所述对端节点。
可选地,基于所述第一原始密钥生成种子密钥,并将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点,包括:
所述加密服务端基于所述第一原始密钥和生成时间生成种子密钥,并设置更新时间;
加密服务端将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第一传输密钥加密后返回至所述目标节点;
加密服务端将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第二传输密钥加密后返回至所述对端节点。
可选地,在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,包括:
所述目标节点将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量;
所述对端节点将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量。
可选地,在所述目标节点和所述对端节点存储所述第一节点号、所述第二节点号以及所述种子密钥及其生成时间,之后还包括:
所述目标设备或所述对端设备从所述全局变量中查找所述目标节点与所述对端节点之间的种子密钥及其生成时间和更新时间;
如果未找到,则所述目标设备或所述对端设备通过所述应用程序接口向所述加密服务端发送所述配置请求;
如果找到,则所述目标设备或所述对端设备获取当前时间,并比较所述当前时间与所述更新时间;
若所述当前时间小于所述更新时间,则获取所述种子密钥及对应的所述生成时间和所述更新时间,将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
若所述当前时间大于或等于所述更新时间,则更新所述种子密钥,并将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
所述目标设备或所述对端设备利用所述交互密钥对交互消息进行加密,并将所述交互随机数和加密后的所述交互消息一同发送。
可选地,更新所述种子密钥,包括:
所述目标设备或所述对端设备基于所述种子密钥和所述生成时间还原出所述第一原始密钥,使用所述第一原始密钥和所述当前时间散列出中间密钥,将全局变量中的所述种子密钥更新为所述中间密钥、所述生成时间更新为所述当前时间、以及重新设置所述更新时间。
为实现上述目的,根据本发明实施例的又一方面,提供了一种加密管理的装置。
本发明实施例的一种加密管理的装置包括:
配置模块,用于接收目标节点或对端节点的配置请求;其中,所述配置请求包括所述目标节点的第一节点号和所述对端节点的第二节点号;
散列模块,用于利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥;
生成模块,用于基于所述第一原始密钥生成种子密钥,并将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点;
存储模块,用于在所述目标节点和所述对端节点存储所述第一节点号、所述第二节点号以及所述种子密钥及其生成时间,用于所述目标节点与所述对端节点之间的交互。
可选地,所述配置模块还用于:
目标节点的目标设备或对端节点的对端设备在初始化时,通过应用程序接口向加密服务端发送在所述目标节点与所述对端节点之间建立交互的配置请求;
所述加密服务端接收所述配置请求,并基于所述配置请求配置所述目标节点与所述对端节点之间的安全策略;其中,所述安全策略包括密钥管理以及所述目标设备与所述对端设备的节点关系管理。
可选地,还包括建立模块,用于:
加密服务端为目标节点和对端节点配置节点号、为目标设备和对端设备配置设备号、以及建立目标节点与对端节点之间的交互关系。
可选地,所述散列模块还用于:
采用类SSL双向认证的机制建立所述加密服务端与所述加密机的交互;
所述加密服务端将所述第一节点号、所述第二节点号发送至所述加密机;
所述加密机以所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,以所述加密服务端和所述第一节点号散列出第二原始密钥,以及以所述加密服务端和所述第二节点号散列出第三原始密钥;
所述加密机将所述第一原始密钥及所述散列时间、所述第二原始密钥和所述第三原始密钥返回至所述加密服务端。
可选地,还包括发送模块,用于:
所述加密服务端以所述第二原始密钥和传输随机数散列出第一传输密钥,以所述第三原始密钥和传输随机数散列出第二传输密钥,并以数字信封的方式将所述第一传输密钥和所述第二传输密钥分别发送至所述目标节点和所述对端节点。
可选地,所述生成模块还用于:
所述加密服务端基于所述第一原始密钥和生成时间生成种子密钥,并设置更新时间;
加密服务端将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第一传输密钥加密后返回至所述目标节点;
加密服务端将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第二传输密钥加密后返回至所述对端节点。
可选地,所述存储模块还用于:
所述目标节点将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量;
所述对端节点将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量。
可选地,还包括维护模块,用于:
所述目标设备或所述对端设备从所述全局变量中查找所述目标节点与所述对端节点之间的种子密钥及其生成时间和更新时间;
如果未找到,则所述目标设备或所述对端设备通过所述应用程序接口向所述加密服务端发送所述配置请求;
如果找到,则所述目标设备或所述对端设备获取当前时间,并比较所述当前时间与所述更新时间;
若所述当前时间小于所述更新时间,则获取所述种子密钥及对应的所述生成时间和所述更新时间,将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
若所述当前时间大于或等于所述更新时间,则更新所述种子密钥,并将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
所述目标设备或所述对端设备利用所述交互密钥对交互消息进行加密,并将所述交互随机数和加密后的所述交互消息一同发送。
可选地,所述维护模块还用于:
所述目标设备或所述对端设备基于所述种子密钥和所述生成时间还原出所述第一原始密钥,使用所述第一原始密钥和所述当前时间散列出中间密钥,将全局变量中的所述种子密钥更新为所述中间密钥、所述生成时间更新为所述当前时间、以及重新设置所述更新时间。
为实现上述目的,根据本发明实施例的又一方面,提供了一种加密管理的电子设备。
本发明实施例的一种加密管理的电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例的一种加密管理的方法。
为实现上述目的,根据本发明实施例的再一方面,提供了一种计算机可读存储介质。
本发明实施例的一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例的一种加密管理的方法。
上述发明中的一个实施例具有如下优点或有益效果:因为采用接收目标节点或对端节点的配置请求;利用加密机将第一节点号、第二节点号和散列时间散列出第一原始密钥;基于第一原始密钥生成种子密钥,并将第一节点号、第二节点号和种子密钥及其生成时间返回至目标节点和对端节点;在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,用于目标节点与对端节点之间的交互的技术手段,所以克服了敏感数据传输、数据安全存储和交易报文传输等存在的一系列安全问题,避免出现数据泄露、文件遭到破坏等安全风险的技术问题,进而达到对传输密钥进行安全有效的管理,解决了数据传输安全问题,保证了数据的机密性、完整性和一致性的技术效果。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的加密管理的方法的主要步骤的示意图;
图2是数字信封的示意图;
图3是根据本发明一个可参考实施例的加密管理的方法的生成与更新种子密钥的示意图;
图4是根据本发明一个可参考实施例的加密管理的方法的在CES与加密机之间建立交互的示意图;
图5是根据本发明实施例的加密管理的装置的主要模块的示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要指出的是,在不冲突的情况下,本发明的实施例以及实施例中的技术特征可以相互结合。
图1是根据本发明实施例的加密管理的方法的主要步骤的示意图。
如图1所示,本发明实施例的加密管理的方法主要包括以下步骤:
步骤S101:接收目标节点或对端节点的配置请求。
通常一个系统中包含多个安全节点,每个安全节点又包含多个主机设备,即每个安全节点相当于一个集群。一个安全节点的主机设备与另一个安全节点的主机设备之间的交互就是这两个安全节点之间的交互,为保证数据信息安全,在传递消息前建立这两个安全节点之间交互关系并配置专用的密钥,可以由任一安全节点(例如目标节点或对端节点)发起配置请求,例如由发起交互的安全节点发出配置请求。其中,配置请求主要包括目标节点的第一节点号和对端节点的第二节点号。
本发明实施例的加密管理的方法,通过加密服务端对系统中的各个安全节点进行管理,其中的主机设备(例如目标设备或对端设备)可以在初始化时,通过应用程序接口向加密服务端发送配置请求,从而在目标节点与对端节点之间建立交互,并获得种子密钥,进而保证后续交互过程中的数据信息安全。
在本发明实施例中,步骤S101可以采用以下方式实现:目标节点的目标设备或对端节点的对端设备在初始化时,通过应用程序接口向加密服务端发送在目标节点与对端节点之间建立交互的配置请求;加密服务端接收配置请求,并基于配置请求配置目标节点与对端节点之间的安全策略。
其中,安全策略主要包括密钥管理以及目标设备与对端设备的节点关系管理。加密服务端对节点关系管理主要通过节点号和设备号实现,即为目标节点分配第一节点号、为对端节点分配第二节点号、为目标设备分配第一设备号、对端设备分配第二设备号等,并记录所有节点号和设备号之间的关系。
在本发明实施例中,步骤S101之后还可以实施以下步骤:加密服务端为目标节点和对端节点配置节点号、为目标设备和对端设备配置设备号、以及建立目标节点与对端节点之间的交互关系。
步骤S102:利用加密机将第一节点号、第二节点号和散列时间散列出第一原始密钥。
散列是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。
在本发明实施例中,步骤S102可以采用以下方式实现:加密服务端将第一节点号、第二节点号发送至加密机;加密机以第一节点号、第二节点号和散列时间散列出第一原始密钥,以加密服务端和第一节点号散列出第二原始密钥,以及以加密服务端和第二节点号散列出第三原始密钥;加密机将第一原始密钥及散列时间、第二原始密钥和第三原始密钥返回至加密服务端。
目标节点和对端节点之间的交互需要加密,同样的,目标节点或对端节点与加密服务端之间的交互需要加密,对于第二原始密钥和第三原始密钥的散列,可以使用加密服务端的代号、地址或其它标识等。
目标节点或对端节点与加密服务端之间使用的传输密钥(即第一传输密钥和第二传输密钥),还可以加入随机数或交易流水等做进一步散列,实现一次一密。
在本发明实施例中,步骤S102之后还可以实施以下步骤:采用类SSL双向认证的机制建立加密服务端与加密机的交互;加密服务端以第二原始密钥和传输随机数散列出第一传输密钥,以第三原始密钥和传输随机数散列出第二传输密钥,并以数字信封的方式将第一传输密钥和第二传输密钥分别发送至目标节点和对端节点。
数字信封是公钥密码体制在实际中的一个应用,是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。如图2所示,在数字信封中,信息发送方采用对称密钥来加密信息内容,然后将此对称密钥用接收方的公开密钥来加密(这部分称数字信封)之后,将它和加密后的信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解,数字信封打包是使用对方的公钥将加密密钥进行加密的过程,只有对方的私钥才能将加密后的数据(通信密钥)还原;数字信封拆解是使用私钥将加密过的数据解密的过程。
步骤S103:基于第一原始密钥生成种子密钥,并将第一节点号、第二节点号和种子密钥及其生成时间返回至目标节点和对端节点。
对于第一原始密钥,还可以进一步生成种子密钥,使用种子密钥对目标节点和对端节点之间的消息进行加密。
在本发明实施例中,步骤S103可以采用以下方式实现:加密服务端基于第一原始密钥和生成时间生成种子密钥,并设置更新时间;加密服务端将第二节点号、种子密钥、生成时间和更新时间通过第一传输密钥加密后返回至目标节点;加密服务端将第一节点号、种子密钥、生成时间和更新时间通过第二传输密钥加密后返回至对端节点。
为进一步提高数据信息安全,还可以为种子密钥设置更新时间,防止目标节点和对端节点之间的消息被轻易破解。同时,将种子密钥等数据发给目标节点和对端节点时使用第一传输密钥或第二传输密钥进行加密。
步骤S104:在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,用于目标节点与对端节点之间的交互。
目标节点和对端节点需要存储记录种子密钥等数据,以便对交互的消息进行加密。
在本发明实施例中,步骤S104可以采用以下方式实现:目标节点将第二节点号、种子密钥、生成时间和更新时间存储为全局变量;对端节点将第一节点号、种子密钥、生成时间和更新时间存储为全局变量。
全局变量也就是编程术语中的一种,也称为外部变量,它是在函数外部定义的变量,也可以是在本程序任何地方创建。目标节点下包括目标设备在内的所有主机设备都可以从全局变量获取数据,同样地,对端节点下包括对端设备在内的所有主机设备都可以从全局变量获取数据。
本发明实施例的加密管理的方法,采用密钥管理和主机设备管理分离的方式,即加密服务端主要维护设备(即对节点关系管理)和生成初始的种子密钥,而种子密钥由具体使用的主机设备维护更新,且目标设备或对端设备还可以基于种子密钥进一步散列出交互密钥,这一过程中可以引入交互随机数,使得交互密钥只有目标设备和对端设备能够使用。
在本发明实施例中,之后还可以实施以下步骤:目标设备或对端设备从全局变量中查找目标节点与对端节点之间的种子密钥及其生成时间和更新时间;如果未找到,则目标设备或对端设备通过应用程序接口向加密服务端发送配置请求;如果找到,则目标设备或对端设备获取当前时间,并比较当前时间与更新时间;若当前时间小于更新时间,则获取种子密钥及对应的生成时间和更新时间,将第一节点号、第二节点号、种子密钥和交互随机数散列出交互密钥;若当前时间大于或等于更新时间,则更新种子密钥,并将第一节点号、第二节点号、种子密钥和交互随机数散列出交互密钥;目标设备或对端设备利用交互密钥对交互消息进行加密,并将交互随机数和加密后的交互消息一同发送。
在本发明实施例中,更新种子密钥的步骤可以采用以下方式实现:目标设备或对端设备基于种子密钥和生成时间还原出第一原始密钥,使用第一原始密钥和当前时间散列出中间密钥,将全局变量中的种子密钥更新为中间密钥、生成时间更新为当前时间、以及重新设置更新时间。
种子的更新机制是一种基于生成时间的可逆运算规则,用已保存的生成时间和过期的种子密钥进行运算,便可还原出产生种子密钥的第一原始密钥,而后将当前时间(做为新的生成时间)和第一原始密钥进行运算便可得到中间密钥(即新的种子密钥),在全局变量中替换种子密钥和当前时间,并重新设置种子密钥的更新时间,如此便完成了种子密钥的更新。
根据本发明实施例的加密管理的方法可以看出,因为采用接收目标节点或对端节点的配置请求;利用加密机将第一节点号、第二节点号和散列时间散列出第一原始密钥;基于第一原始密钥生成种子密钥,并将第一节点号、第二节点号和种子密钥及其生成时间返回至目标节点和对端节点;在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,用于目标节点与对端节点之间的交互的技术手段,所以克服了敏感数据传输、数据安全存储和交易报文传输等存在的一系列安全问题,避免出现数据泄露、文件遭到破坏等安全风险的技术问题,进而达到对传输密钥进行安全有效的管理,解决了数据传输安全问题,保证了数据的机密性、完整性和一致性的技术效果。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方案进行说明。
本发明实施例的加密管理的方法的应用分为CES以及SecAPI两部分,其中,CES为加密服务端,负责密钥管理以及策略的配置和管理等;SecAPI为应用程序接口,部署在需要使用加解密等安全服务的主机设备上。
本发明实施例中以节点号标识集群(即安全节点),部署在同一集群内的主机设备使用同一节点号,并以设备号标识主机设备。其中,集群下的主机设备可以随时增减,而不影响密钥的协商、使用以及更新,集群间安全策略由CES统一处理。
AB密钥是一种用于交互加密的密钥,用于AB两个节点间的传输加解密。
如图3所示,在应用本发明实施例的加密管理的方法时,种子密钥的生成与更新可参考以下流程:
安全插件(即目标节点下目标设备的应用程序接口)在初始化时会向CES发送下载AB配置的请求(即配置请求);
CES会将本地节点号(即第一节点号)、对端节点号(即第二节点号)、散列时间(可以是此时时间点)组成加密机报文发给加密机,而后加密机会将本地节点号、对端节点号、生成时间作为散列因子,散列出AB原始密钥(即第一原始密钥),并反馈给CES;
CES会将对端节点号、生成时间、以及由AB原始密钥生成的AB种子(即种子密钥)等信息安全下发到API(即目标设备的应用程序接口);
API接收CES的返回,解析反馈报文,校验AB种子,种子校验成功则将对端节点号、生成时间、AB种子、AB种子的生成时间、AB种子的更新时间保存到全局变量中,到此API完成了AB种子下载;
完成AB种子下载后,API需要根据种子散列出用于传输数据加解密的AB密钥(即交互密钥):
API首先根据对端节点号从保存全部AB种子的全局变量中,查找AB种子;
查找AB种子成功,则获取当前时间,并将当前时间和已保存的种子更新时间做比较,若当前时间小于种子更新时间则种子不需要更新可直接使用;若当前时间大于种子更新时间则需要更新种子。拿到AB种子后API将本地节点号、对端节点号、AB种子、随机数(即交互随机数)按照一定的散列规则,生成用于传输数据加解密运算所需的AB密钥。此处用随机数做为散列因子,是因为只用本地节点号、对端节点号、AB种子做为散列因子,那么每次散列出的传输密钥都相同,因此为了确保每次传输加解密所用的密钥是不同的,即确保传输加解密做到一次一密,需要引入随机数做为散列因子。在发送报文(即加密后的交互消息)时也会将随机数发送给对端节点,其他因子不变,对端节点使用相同的随机数便可以散列出解密用的AB密钥;
若查找AB种子失败,则安全插件API会触发单个AB策略下载,下载失败则返回错误,下载成功则按上述查找AB种子成功的情况处理。
本地节点(即目标节点)完成AB密钥散列后,便可以使用相应的算法对节点间传输的敏感信息、交易报文进行加密保护。而后将约定的报文头和密文一起发给对端节点。对端节点收到报文后,对报文数据进行解析。对端节点获取种子生成时间,若种子生成时间一致则直接使用种子;若种子生成时间不一致则还原出原始密钥,并根据收到的种子生成时间散列出解密端使用的AB种子,而后获取用于散列AB密钥的散列因子,并散列出AB密钥,然后解密密文传输数据得到敏感信息、交易报文的明文。
此外,CES与安全插件之间可以利用用户私钥证书进行身份认证,由加密机根据本地节点与CES关系散列出AC密钥(即第二原始密钥),例如加密服务端和第一节点号散列出第二原始密钥,再以数字信封的方式进行密钥下发。CES与安全插件的安全通道以AC密钥根据随机数或交易流水(即传输随机数)散列出的第一传输密钥进行加密,做到一次一密。
在应用本发明实施例的加密管理的方法时,CES与加密机之间建立双向类SSL认证,CES与加密机之间数据传输密钥安全协商,传输密钥一天一更新,以数字信封的形式进行密钥的安全下发。
CES与加密机之间的安全通道采用类SSL双向认证的机制,安全通道内数据加解密和MAC运算采用一次一密、专钥专用等安全机制。如图4所示,具体过程如下:
客户端(即加密机)与服务端(即加密服务端)进行三次握手来实现安全通道的建立,分为Client/Server Hello、Client/Server KeyExchange、Client/Server Finish三个过程,通过三次握手交互协商出CES与加密机之间的数据传输密钥,用于两者之间数据传输的加密。
图5是根据本发明实施例的加密管理的装置的主要模块的示意图。
如图5所示,本发明实施例的加密管理的装置500包括:配置模块501、散列模块502、生成模块503和存储模块504。
其中,
配置模块501,用于接收目标节点或对端节点的配置请求;其中,所述配置请求包括所述目标节点的第一节点号和所述对端节点的第二节点号;
散列模块502,用于利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥;
生成模块503,用于基于所述第一原始密钥生成种子密钥,并将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点;
存储模块504,用于在所述目标节点和所述对端节点存储所述第一节点号、所述第二节点号以及所述种子密钥及其生成时间,用于所述目标节点与所述对端节点之间的交互。
在本发明实施例中,所述配置模块501还可以用于:
目标节点的目标设备或对端节点的对端设备在初始化时,通过应用程序接口向加密服务端发送在所述目标节点与所述对端节点之间建立交互的配置请求;
所述加密服务端接收所述配置请求,并基于所述配置请求配置所述目标节点与所述对端节点之间的安全策略;其中,所述安全策略包括密钥管理以及所述目标设备与所述对端设备的节点关系管理。
在本发明实施例中,加密管理的装置500还可以包括建立模块(图中并未示出),用于:
加密服务端为目标节点和对端节点配置节点号、为目标设备和对端设备配置设备号、以及建立目标节点与对端节点之间的交互关系。
在本发明实施例中,所述散列模块502还可以用于:
采用类SSL双向认证的机制建立所述加密服务端与所述加密机的交互;
所述加密服务端将所述第一节点号、所述第二节点号发送至所述加密机;
所述加密机以所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,以所述加密服务端和所述第一节点号散列出第二原始密钥,以及以所述加密服务端和所述第二节点号散列出第三原始密钥;
所述加密机将所述第一原始密钥及所述散列时间、所述第二原始密钥和所述第三原始密钥返回至所述加密服务端。
在本发明实施例中,加密管理的装置500还可以包括发送模块(图中并未示出),用于:
所述加密服务端以所述第二原始密钥和传输随机数散列出第一传输密钥,以所述第三原始密钥和传输随机数散列出第二传输密钥,并以数字信封的方式将所述第一传输密钥和所述第二传输密钥分别发送至所述目标节点和所述对端节点。
在本发明实施例中,所述生成模块503还可以用于:
所述加密服务端基于所述第一原始密钥和生成时间生成种子密钥,并设置更新时间;
加密服务端将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第一传输密钥加密后返回至所述目标节点;
加密服务端将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第二传输密钥加密后返回至所述对端节点。
在本发明实施例中,所述存储模块504还可以用于:
所述目标节点将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量;
所述对端节点将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量。
在本发明实施例中,加密管理的装置500还可以包括维护模块(图中并未示出),用于:
所述目标设备或所述对端设备从所述全局变量中查找所述目标节点与所述对端节点之间的种子密钥及其生成时间和更新时间;
如果未找到,则所述目标设备或所述对端设备通过所述应用程序接口向所述加密服务端发送所述配置请求;
如果找到,则所述目标设备或所述对端设备获取当前时间,并比较所述当前时间与所述更新时间;
若所述当前时间小于所述更新时间,则获取所述种子密钥及对应的所述生成时间和所述更新时间,将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
若所述当前时间大于或等于所述更新时间,则更新所述种子密钥,并将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
所述目标设备或所述对端设备利用所述交互密钥对交互消息进行加密,并将所述交互随机数和加密后的所述交互消息一同发送。
此外,所述维护模块还可以用于:
所述目标设备或所述对端设备基于所述种子密钥和所述生成时间还原出所述第一原始密钥,使用所述第一原始密钥和所述当前时间散列出中间密钥,将全局变量中的所述种子密钥更新为所述中间密钥、所述生成时间更新为所述当前时间、以及重新设置所述更新时间。
根据本发明实施例的加密管理的装置可以看出,因为采用接收目标节点或对端节点的配置请求;利用加密机将第一节点号、第二节点号和散列时间散列出第一原始密钥;基于第一原始密钥生成种子密钥,并将第一节点号、第二节点号和种子密钥及其生成时间返回至目标节点和对端节点;在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,用于目标节点与对端节点之间的交互的技术手段,所以克服了敏感数据传输、数据安全存储和交易报文传输等存在的一系列安全问题,避免出现数据泄露、文件遭到破坏等安全风险的技术问题,进而达到对传输密钥进行安全有效的管理,解决了数据传输安全问题,保证了数据的机密性、完整性和一致性的技术效果。
图6示出了可以应用本发明实施例的加密管理的方法或加密管理的装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息)反馈给终端设备。
需要说明的是,本发明实施例所提供的加密管理的方法一般由服务器605执行,相应地,加密管理的装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括配置模块、散列模块、生成模块和存储模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,配置模块还可以被描述为“接收目标节点或对端节点的配置请求的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:步骤S101:接收目标节点或对端节点的配置请求;步骤S102:利用加密机将第一节点号、第二节点号和散列时间散列出第一原始密钥;步骤S103:基于第一原始密钥生成种子密钥,并将第一节点号、第二节点号和种子密钥及其生成时间返回至目标节点和对端节点;步骤S104:在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,用于目标节点与对端节点之间的交互。
根据本发明实施例的技术方案,因为采用接收目标节点或对端节点的配置请求;利用加密机将第一节点号、第二节点号和散列时间散列出第一原始密钥;基于第一原始密钥生成种子密钥,并将第一节点号、第二节点号和种子密钥及其生成时间返回至目标节点和对端节点;在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,用于目标节点与对端节点之间的交互的技术手段,所以克服了敏感数据传输、数据安全存储和交易报文传输等存在的一系列安全问题,避免出现数据泄露、文件遭到破坏等安全风险的技术问题,进而达到对传输密钥进行安全有效的管理,解决了数据传输安全问题,保证了数据的机密性、完整性和一致性的技术效果。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (12)
1.一种加密管理的方法,其特征在于,包括:
接收目标节点或对端节点的配置请求;其中,所述配置请求包括所述目标节点的第一节点号和所述对端节点的第二节点号;
利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥;
基于所述第一原始密钥生成种子密钥,并将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点;
在所述目标节点和所述对端节点存储所述第一节点号、所述第二节点号以及所述种子密钥及其生成时间,用于所述目标节点与所述对端节点之间的交互。
2.根据权利要求1所述的方法,其特征在于,接收目标节点或对端节点的配置请求,包括:
目标节点的目标设备或对端节点的对端设备在初始化时,通过应用程序接口向加密服务端发送在所述目标节点与所述对端节点之间建立交互的配置请求;
所述加密服务端接收所述配置请求,并基于所述配置请求配置所述目标节点与所述对端节点之间的安全策略;其中,所述安全策略包括密钥管理以及所述目标设备与所述对端设备的节点关系管理。
3.根据权利要求2所述的方法,其特征在于,利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,之前还包括:
加密服务端为目标节点和对端节点配置节点号、为目标设备和对端设备配置设备号、以及建立目标节点与对端节点之间的交互关系。
4.根据权利要求2所述的方法,其特征在于,利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,包括:
采用类SSL双向认证的机制建立所述加密服务端与所述加密机的交互;
所述加密服务端将所述第一节点号、所述第二节点号发送至所述加密机;
所述加密机以所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥,以所述加密服务端和所述第一节点号散列出第二原始密钥,以及以所述加密服务端和所述第二节点号散列出第三原始密钥;
所述加密机将所述第一原始密钥及所述散列时间、所述第二原始密钥和所述第三原始密钥返回至所述加密服务端。
5.根据权利要求4所述的方法,其特征在于,将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点,之前还包括:
所述加密服务端以所述第二原始密钥和传输随机数散列出第一传输密钥,以所述第三原始密钥和传输随机数散列出第二传输密钥,并以数字信封的方式将所述第一传输密钥和所述第二传输密钥分别发送至所述目标节点和所述对端节点。
6.根据权利要求5所述的方法,其特征在于,基于所述第一原始密钥生成种子密钥,并将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点,包括:
所述加密服务端基于所述第一原始密钥和生成时间生成种子密钥,并设置更新时间;
加密服务端将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第一传输密钥加密后返回至所述目标节点;
加密服务端将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间通过所述第二传输密钥加密后返回至所述对端节点。
7.根据权利要求6所述的方法,其特征在于,在目标节点和对端节点存储第一节点号、第二节点号以及种子密钥及其生成时间,包括:
所述目标节点将所述第二节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量;
所述对端节点将所述第一节点号、所述种子密钥、所述生成时间和所述更新时间存储为全局变量。
8.根据权利要求7所述的方法,其特征在于,在所述目标节点和所述对端节点存储所述第一节点号、所述第二节点号以及所述种子密钥及其生成时间,之后还包括:
所述目标设备或所述对端设备从所述全局变量中查找所述目标节点与所述对端节点之间的种子密钥及其生成时间和更新时间;
如果未找到,则所述目标设备或所述对端设备通过所述应用程序接口向所述加密服务端发送所述配置请求;
如果找到,则所述目标设备或所述对端设备获取当前时间,并比较所述当前时间与所述更新时间;
若所述当前时间小于所述更新时间,则获取所述种子密钥及对应的所述生成时间和所述更新时间,将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
若所述当前时间大于或等于所述更新时间,则更新所述种子密钥,并将所述第一节点号、所述第二节点号、所述种子密钥和交互随机数散列出交互密钥;
所述目标设备或所述对端设备利用所述交互密钥对交互消息进行加密,并将所述交互随机数和加密后的所述交互消息一同发送。
9.根据权利要求8所述的方法,其特征在于,更新所述种子密钥,包括:
所述目标设备或所述对端设备基于所述种子密钥和所述生成时间还原出所述第一原始密钥,使用所述第一原始密钥和所述当前时间散列出中间密钥,将全局变量中的所述种子密钥更新为所述中间密钥、所述生成时间更新为所述当前时间、以及重新设置所述更新时间。
10.一种加密管理的装置,其特征在于,包括:
配置模块,用于接收目标节点或对端节点的配置请求;其中,所述配置请求包括所述目标节点的第一节点号和所述对端节点的第二节点号;
散列模块,用于利用加密机将所述第一节点号、所述第二节点号和散列时间散列出第一原始密钥;
生成模块,用于基于所述第一原始密钥生成种子密钥,并将所述第一节点号、所述第二节点号和所述种子密钥及其生成时间返回至所述目标节点和所述对端节点;
存储模块,用于在所述目标节点和所述对端节点存储所述第一节点号、所述第二节点号以及所述种子密钥及其生成时间,用于所述目标节点与所述对端节点之间的交互。
11.一种加密管理的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-9中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010247462.9A CN111526128B (zh) | 2020-03-31 | 2020-03-31 | 一种加密管理的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010247462.9A CN111526128B (zh) | 2020-03-31 | 2020-03-31 | 一种加密管理的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111526128A true CN111526128A (zh) | 2020-08-11 |
| CN111526128B CN111526128B (zh) | 2022-07-19 |
Family
ID=71901473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010247462.9A Active CN111526128B (zh) | 2020-03-31 | 2020-03-31 | 一种加密管理的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111526128B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009143713A1 (zh) * | 2008-05-28 | 2009-12-03 | 北京易恒信认证科技有限公司 | 双因子组合公钥生成和认证方法 |
| CN101789865A (zh) * | 2010-03-04 | 2010-07-28 | 深圳市华信安创科技有限公司 | 一种用于加密的专用服务器及加密方法 |
| WO2013168326A1 (ja) * | 2012-05-11 | 2013-11-14 | パナソニック株式会社 | 暗号鍵設定システム、端末装置 |
| CN103763096A (zh) * | 2014-01-17 | 2014-04-30 | 北京邮电大学 | 随机密钥分配方法和装置 |
| CN103825733A (zh) * | 2014-02-28 | 2014-05-28 | 华为技术有限公司 | 基于组合公钥密码体制的通信方法、装置及系统 |
| US20150378634A1 (en) * | 2014-06-27 | 2015-12-31 | Samsung Electronics Co., Ltd. | Methods and systems for generating host keys for storage devices |
| CN108449756A (zh) * | 2018-06-29 | 2018-08-24 | 北京邮电大学 | 一种网络密钥更新的系统、方法及装置 |
| CN109586908A (zh) * | 2019-01-18 | 2019-04-05 | 中国科学院软件研究所 | 一种安全报文传输方法及其系统 |
| CN110224989A (zh) * | 2019-05-10 | 2019-09-10 | 深圳壹账通智能科技有限公司 | 信息交互方法、装置、计算机设备及可读存储介质 |
| CN110708291A (zh) * | 2019-09-10 | 2020-01-17 | 平安普惠企业管理有限公司 | 分布式网络中数据授权访问方法、装置、介质及电子设备 |
-
2020
- 2020-03-31 CN CN202010247462.9A patent/CN111526128B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009143713A1 (zh) * | 2008-05-28 | 2009-12-03 | 北京易恒信认证科技有限公司 | 双因子组合公钥生成和认证方法 |
| CN101789865A (zh) * | 2010-03-04 | 2010-07-28 | 深圳市华信安创科技有限公司 | 一种用于加密的专用服务器及加密方法 |
| WO2013168326A1 (ja) * | 2012-05-11 | 2013-11-14 | パナソニック株式会社 | 暗号鍵設定システム、端末装置 |
| CN103763096A (zh) * | 2014-01-17 | 2014-04-30 | 北京邮电大学 | 随机密钥分配方法和装置 |
| CN103825733A (zh) * | 2014-02-28 | 2014-05-28 | 华为技术有限公司 | 基于组合公钥密码体制的通信方法、装置及系统 |
| US20150378634A1 (en) * | 2014-06-27 | 2015-12-31 | Samsung Electronics Co., Ltd. | Methods and systems for generating host keys for storage devices |
| CN108449756A (zh) * | 2018-06-29 | 2018-08-24 | 北京邮电大学 | 一种网络密钥更新的系统、方法及装置 |
| CN109586908A (zh) * | 2019-01-18 | 2019-04-05 | 中国科学院软件研究所 | 一种安全报文传输方法及其系统 |
| CN110224989A (zh) * | 2019-05-10 | 2019-09-10 | 深圳壹账通智能科技有限公司 | 信息交互方法、装置、计算机设备及可读存储介质 |
| CN110708291A (zh) * | 2019-09-10 | 2020-01-17 | 平安普惠企业管理有限公司 | 分布式网络中数据授权访问方法、装置、介质及电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| F.SHEEJA MARY: "Erratic Cryptosystem for Elevated Message Security", 《FOURTH INTERNATIONAL CONFERENCE ON INFORMATION TECHNOLOGY (ITNG"07)》 * |
| 黄仁季等: "基于身份标识加密的身份认证方案", 《网络与信息安全学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111526128B (zh) | 2022-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8447970B2 (en) | Securing out-of-band messages | |
| CN111371549B (zh) | 一种报文数据传输方法、装置及系统 | |
| CN113347206B (zh) | 一种网络访问方法和装置 | |
| US20200162245A1 (en) | Method and system for performing ssl handshake | |
| CN108880812B (zh) | 数据加密的方法和系统 | |
| US20180375648A1 (en) | Systems and methods for data encryption for cloud services | |
| CN109104273B (zh) | 报文处理方法以及接收端服务器 | |
| CN113221146B (zh) | 区块链节点间数据传输的方法和装置 | |
| CN112966287B (zh) | 获取用户数据的方法、系统、设备和计算机可读介质 | |
| CN112437044B (zh) | 即时通讯方法和装置 | |
| CN105007254A (zh) | 数据传输方法和系统、终端 | |
| CN111371753A (zh) | 一种资源共享方法和装置 | |
| US9825920B1 (en) | Systems and methods for multi-function and multi-purpose cryptography | |
| CN111181920A (zh) | 一种加解密的方法和装置 | |
| CN114173328A (zh) | 密钥交换方法、装置、电子设备 | |
| CN111984615B (zh) | 一种共享文件的方法、装置及系统 | |
| US20210281608A1 (en) | Separation of handshake and record protocol | |
| CN111526128B (zh) | 一种加密管理的方法和装置 | |
| CN111984613B (zh) | 一种共享文件的方法、装置和系统 | |
| CN112565156B (zh) | 信息注册方法、装置和系统 | |
| CN110166226B (zh) | 一种生成秘钥的方法和装置 | |
| US9178855B1 (en) | Systems and methods for multi-function and multi-purpose cryptography | |
| CN113420331B (zh) | 一种文件下载权限的管理方法和装置 | |
| US20230041783A1 (en) | Provision of digital content via a communication network | |
| US20220069982A1 (en) | Caching encrypted content in an oblivious content distribution network, and system, compter-readable medium, and terminal for the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221010 Address after: 25 Financial Street, Xicheng District, Beijing 100033 Patentee after: CHINA CONSTRUCTION BANK Corp. Address before: 25 Financial Street, Xicheng District, Beijing 100033 Patentee before: CHINA CONSTRUCTION BANK Corp. Patentee before: Jianxin Financial Science and Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |