CN111988330B - 分布式系统中基于白盒加密的信息安全保护系统和方法 - Google Patents

分布式系统中基于白盒加密的信息安全保护系统和方法 Download PDF

Info

Publication number
CN111988330B
CN111988330B CN202010883127.8A CN202010883127A CN111988330B CN 111988330 B CN111988330 B CN 111988330B CN 202010883127 A CN202010883127 A CN 202010883127A CN 111988330 B CN111988330 B CN 111988330B
Authority
CN
China
Prior art keywords
information
decryption
server
distributed
white
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010883127.8A
Other languages
English (en)
Other versions
CN111988330A (zh
Inventor
徐欣
申凯
白根宝
乔干
姜显扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Ansiyuan Technology Co ltd
Original Assignee
Suzhou Akeydrive Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Akeydrive Information Technology Co ltd filed Critical Suzhou Akeydrive Information Technology Co ltd
Priority to CN202010883127.8A priority Critical patent/CN111988330B/zh
Publication of CN111988330A publication Critical patent/CN111988330A/zh
Application granted granted Critical
Publication of CN111988330B publication Critical patent/CN111988330B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明涉及分布式系统中基于白盒加密的信息安全保护系统和方法。本发明的系统包括用户终端、应用服务器和分布式信息服务器,应用服务器具有应用白盒加解密模块和身份验证模块,分布式信息服务器具有信息白盒加解密模块。用户终端注册时,用户终端获取私钥,应用服务器获取身份信息;用户终端发送请求后,身份验证模块对用户进行签名认证,认证通过后,应用服务器向分布式信息服务器发送写入或读取信息的指令;写入信息时,应用、信息白盒加解密模块对需要写入的信息两次加密后存储至数据库中;读取信息时,需要通过两次解密操作。本发明方法在保证数据传输速度的情况下,通过签名和两次加解密进行信息安全保护,大大提高了传输内容的安全性。

Description

分布式系统中基于白盒加密的信息安全保护系统和方法
技术领域
本发明属于信息安全技术领域,涉及一种分布式系统中基于白盒加密的信息安全保护系统和方法,具体是基于分布式系统架构的数据、文件身份信息的安全的保护方法。
背景技术
系统设计从单体设计,演变到客户端/服务器架构,再到面向对象的开发,再到开源软件,分布式计算,将来的趋势就是分布式结构。
分布式结构是客户机/服务器结构的一种特殊类型。在这种结构中,数据分布存储在多台服务器上。一个分布式数据库是由分布于计算机网络上的多个逻辑相关的数据库组成的,其中,网络上的每个节点都具有独立处理能力,可以执行局部应用运算,也可通过网络执行全局应用运算。
分布式系统/结构的特点之一就是开放性、透明性。开放性使得分布式系统中的许多软件接口都提供给用户,这样的开放式结构对于开发人员非常有价值,但同时也为破坏者打开了方便之门。确保分布式系统安全性,比单片环境中安全问题的难度高了一个数量级。每个功能都必须单独保密,功能之间的通信连接也必须保密。随着网络规模和复杂性的增长,必须考虑如何控制对功能的访问,如何确保只有授权用户才能访问这些功能,以及如何将服务与其他服务隔离开来。
发明内容
本发明的一个目的是提供一种分布式系统中基于白盒加密的信息安全保护系统。针对分布式系统,如分布式文件系统,分布式缓存系统,分布式数据库,分布式webService等的安全问题,本发明综合考虑了需求不同的安全等级和不同的信息传输速率,给出了对应的方法。主要针对数据、文件的存储安全和用户身份信息的认证方面基于白盒密码进行安全保护,使得数据可以安全的存储,并且当用户身份验证通过后才能进行数据的读写等相关操作。
应当理解的是本发明内容,系统架构对于相关专业领域人员已经了解,仅对白盒加解密以及签名模块进行详细描述。
本发明的系统包括用户终端、应用服务器和分布式信息服务器,分布式信息服务器为分布式数据服务器或分布式文件服务器。
所述的应用服务器具有应用白盒加解密模块、身份验证模块;其中,
应用白盒加解密模块:对用户需要写入的信息进行初次加密,然后将初次加密密文发送至分布式信息服务器;对某个分布式信息服务器发送的初次解密密文进行再次解密,得到可读写文件;应用服务器通过应用白盒加解密模块进行读写文件,身份信息签名认证通过后,用户终端执行读写操作;
身份验证模块:对用户终端发送的身份信息进行签名认证,并将签名认证成功信息或签名认证失败信息发送至用户终端。
所述的分布式信息服务器具有信息白盒加解密模块,对需要存储的写入信息进行再次加密,并保存再次加密密文;对存储的再次加密密文进行初次解密,并将初次解密密文发送给应用服务器。
进一步,所述的应用服务器还具有算法选择模块,对不同的分布式信息服务器选择不同的白盒加解密算法,并通过生成对应的序列码确定某一个分布式信息服务器对应的算法,将序列码发送至对应分布式信息服务器,将序列码和算法一一对应的映射关系生成查找表,并存储;或者,各个分布式信息服务器的信息白盒加解密模块采用相同的白盒加解密算法;所述的白盒加解密算法为SM4、AES或DES。
进一步,所述的应用服务器还具有应用置乱编解码模块,应用服务器接收到分布式信息服务器发送的初次解密密文后,应用置乱编解码模块通过可逆仿射变换的形式对初次解密密文进行置乱解码;
所述的分布式信息服务器还具有信息置乱编解码模块,分布式信息服务器将初次解密密文发送给应用服务器前,信息置乱编解码模块通过可逆仿射变换的形式对初次解密密文进行置乱编码;
所述的信息置乱编解码模块与应用置乱编解码模块完全相同。
本发明的另一个目的是提供一种分布式系统中基于白盒加密的信息安全保护方法,该方法具体是:
步骤(1).应用服务器生成对应的公钥和私钥,生成方法采用杂凑运算方法;
步骤(2).用户终端注册时,应用服务器将私钥发送用户终端,用户终端将身份信息发送应用服务器,预存在身份验证模块;所述的身份信息为用户终端识别码或用户预设密码;
步骤(3).用户终端向应用服务器发送身份签名认证请求;
步骤(4).应用服务器的身份验证模块对用户进行签名认证,签名认证通过后通过指令允许用户终端对分布式信息服务器的数据或者应用程序进行操作;
步骤(5).签名认证通过后,应用服务器向分布式信息服务器发送写入或读取信息指令;
步骤(6).如需写入信息:应用服务器将需要写入的信息通过应用白盒加解密模块进行初次加密,得到初次加密信息,发送分布式信息服务器;分布式信息服务器通过信息白盒加解密模块进行再次加密,得到再次加密信息,并存储至数据库中;
步骤(7).如需读取信息:分布式信息服务器从数据库中获取再次加密信息,并通过信息白盒加解密模块进行初次解密,得到初次解密信息,发送应用服务器;应用服务器通过应用白盒加解密模块对初次解密信息进行再次解密,供用户终端操作。
进一步,步骤(4)中签名认证的具体方法是:
(4-1).用户终端通过私钥将身份信息进行签名加密,获得签名值;更进一步,签名加密方法采用SM2算法。
(4-2).用户终端将签名值发送应用服务器;
(4-3).应用服务器通过公钥对签名值进行解密,将解密后的用户终端的身份信息与注册时预存在身份验证模块的身份信息进行比对,将签名认证成功信息或签名认证失败信息发送用户终端;
(4-4).用户终端接收到签名认证成功信息后,获取操作权限;签名认证失败则重新进行签名认证或者申请注册。
进一步,步骤(5)中,签名认证通过后,应用服务器通过算法选择模块,确定应用服务器中应用白盒加解密模块和分布式信息服务器中信息白盒加解密模块需要使用的白盒加解密算法,并生成白盒加解密算法对应的序列码;将序列码发送至对应的分布式信息服务器,生成并存储算法查找表,算法查找表即为序列码和白盒加解密算法的一一对应的映射关系,然后向分布式信息服务器发送写入或读取信息的指令。
进一步,签名认证通过后,应用服务器向分布式信息服务器发送写入或读取信息的指令,写入和读取过程中进行置乱编解码,具体方法是:
步骤(6).如需写入信息:
(6-1).应用服务器将需要写入的信息通过应用白盒加解密模块进行初次加密,得到初次加密信息;
(6-2).通过应用置乱编解码模块将初次加密信息进行置乱编码,得到置乱编码信息;
(6-3).将置乱编码信息发送分布式信息服务器,分布式信息服务器通过信息置乱编解码模块进行置乱解码,得到置乱解码信息;
(6-4).信息白盒加解密模块对置乱解码信息进行再次加密,得到再次加密信息,并存储至数据库中;
步骤(7).如需读取信息:
(7-1).分布式信息服务器从数据库中获取再次加密信息,并通过信息白盒加解密模块进行初次解密,得到初次解密信息;
(7-2).信息置乱编解码模块对初次解密信息进行置乱编码,将置乱编码后信息发送应用服务器;
(7-3).应用服务器通过应用置乱编解码模块对置乱编码后信息进行置乱解码,得到置乱解码后信息;
(7-4).应用白盒加解密模块对置乱解码后信息进行再次解密,供用户终端操作。
所述的置乱编解码为可逆仿射变换的形式。
本发明方法在保证数据传输速度的情况下,大大提高了传输内容的安全性,且在传输过程中传输的是加密数据,在数据库中也存储的是二次加密数据,进一步提高了安全性。
本发明方法在应用服务器和分布式信息服务器添加白盒加解密模块,分布式信息服务器控制数据库存储数据之前都经过加密解密来保证数据安全性,应用服务器通过白盒加解密才能写入或读取数据和文件,用户终端需要身份信息签名认证通过后才能获取操作权限。
本发明还通过算法选择模块进一步增加了安全性。对于攻击者来说,由于不同分布式信息服务器对应的白盒加解密算法种类不同,而算法与序列号一一映射的查找表又处于相对安全的环境下,无法直接获取,提高了破解的难度,属于弱化的白盒攻击。
附图说明
图1为本发明方法的流程图。
具体实施方式
以下结合具体实施方式对本发明进一步说明。以下的详细说明是为了有助于全面理解本说明书中记载的方法、装置和/或系统而提供的。然而,这仅仅局限于是示例,本发明并不局限于此。
一种分布式系统中基于白盒加密的信息安全保护系统,具体是:
包括:用户终端、应用服务器、分布式信息服务器和分布式缓存服务器,分布式信息服务器为分布式数据服务器或分布式文件服务器。
还包括负载均衡服务器、反向代理服务器、CDN服务器、搜索引擎服务器、NosSQL服务器等一个完整分布式系统应该有的部分。以下仅对白盒加密相关部分进行阐述,所述内容也可用于其他服务器或内容进行类似的加密。
应用服务器中包含应用程序、本地缓存、统一数据访问模块,其中本地缓存访问速度更快,但缓存数据量有限,本地缓存和统一数据访问模块为应用服务器必有部分,相关专业领域人员应当理解。
应用服务器还具有:应用白盒加解密模块、身份验证模块、应用置乱编解码模块、算法选择模块;其中,
应用白盒加解密模块:生成白盒查找表,并且选择安全的存储地址将查找表进行存储;对用户需要写入的信息进行初次加密,然后将初次加密密文发送至分布式信息服务器;对某个分布式信息服务器发送的初次解密密文进行再次解密,得到可读写文件;应用服务器通过应用白盒加解密模块进行读写文件,身份信息签名认证通过后,用户终端执行读写操作;
身份验证模块:对用户终端发送的身份信息进行签名认证,并将签名认证成功信息或签名认证失败信息发送至用户终端;
应用置乱编解码模块:应用服务器接收到分布式信息服务器发送的初次解密密文后,应用置乱编解码模块通过可逆仿射变换的形式对初次解密密文进行置乱解码;
算法选择模块:对不同的分布式信息服务器选择不同的白盒加解密算法,并通过生成对应的序列码确定某一个分布式信息服务器对应的算法,将序列码发送至对应分布式信息服务器,将序列码和算法一一对应的映射关系生成查找表,并存储;白盒加解密算法为SM4、AES或DES;为了保证速度,对各个分布式信息服务器采用相同的白盒加解密算法,不需要设置算法选择模块,这样白盒加解密模块需求的构造和算法就会比较简单。
分布式信息服务器具有:信息白盒加解密模块、信息置乱编码模块;其中,
信息白盒加解密模块:对需要存储的写入信息进行再次加密,并保存再次加密密文;对存储的再次加密密文进行初次解密,并将初次解密密文发送给应用服务器;
信息置乱编解码模块:分布式信息服务器将初次解密密文发送给应用服务器前,信息置乱编解码模块通过可逆仿射变换的形式对初次解密密文进行置乱编码。
信息置乱编解码模块与应用置乱编解码模块相同,可逆仿射变换
Figure BDA0002654749430000051
其中P为仿射变换,l[P]为可逆矩阵,c[P]为列向量形式,即P的常数项,/>
Figure BDA0002654749430000052
为异或符号。
信息置乱编解码模块和应用置乱编解码模块也可以是随机数生成器,通过生成随机数与密文异或编码。
分布式信息服务器存储有白盒密码对应查找表,用于解密身份信息签名的公钥,以及其他分布式系统中需要存储的内容。分布式信息服务器控制存储信息之前,都需要经过加密解密来保证信息的安全性,信息可以是数据或文件。
如图1所示,一种分布式系统中基于白盒加密的信息安全保护方法,具体是:
步骤(1).应用服务器生成对应的公钥和私钥,生成方法采用杂凑运算方法,如SM3、MD5;
步骤(2).用户终端注册时,应用服务器将私钥发送用户终端,用户终端将身份信息发送应用服务器,预存在身份验证模块;身份信息为用户终端识别码或用户预设密码;
步骤(3).用户终端向应用服务器发送身份签名认证请求;
步骤(4).应用服务器的身份验证模块对用户进行签名认证,签名认证通过后通过指令允许用户终端对分布式信息服务器的数据或者应用程序进行操作;
签名认证的具体方法是:
(4-1).用户终端通过私钥将身份信息进行签名加密,获得签名值;签名加密方法采用SM2算法;
(4-2).用户终端将签名值发送应用服务器;
(4-3).应用服务器通过公钥对签名值进行解密,将解密后的用户终端的身份信息与注册时预存在身份验证模块的身份信息进行比对,将签名认证成功信息或签名认证失败信息发送用户终端;
(4-4).用户终端接收到签名认证成功信息后,获取读写、浏览、编辑数据等操作权限;签名认证失败重新进行签名认证或者申请注册,可以设置验证失败多次后屏蔽用户IP等安全性保护措施;
步骤(5).签名认证通过后,应用服务器通过算法选择模块,确定应用服务器中应用白盒加解密模块和分布式信息服务器中信息白盒加解密模块需要使用的白盒加解密算法,并生成白盒加解密算法对应的序列码;将序列码发送至对应的分布式信息服务器,然后生成并存储算法查找表,算法查找表即为序列码和白盒加解密算法的一一对应的映射关系,然后向分布式信息服务器发送写入或读取信息的指令;
步骤(6).如需写入信息:
(6-1).应用服务器将需要写入的信息通过应用白盒加解密模块进行初次加密,得到初次加密信息;
(6-2).将初次加密信息通过应用置乱编解码模块进行置乱编码,得到置乱编码信息;置乱编解码为可逆仿射变换的形式;
(6-3).将置乱编码信息发送分布式信息服务器,分布式信息服务器通过信息置乱编解码模块进行置乱解码,得到置乱解码信息;
(6-4).信息白盒加解密模块对置乱解码信息进行再次加密,得到再次加密信息,并存储至数据库中;
步骤(7).如需读取信息:
(7-1).分布式信息服务器从数据库中获取再次加密信息,并通过信息白盒加解密模块进行初次解密,得到初次解密信息;
(7-2).信息置乱编解码模块对初次解密信息进行置乱编码,将置乱编码后信息发送应用服务器;
(7-3).应用服务器通过应用置乱编解码模块对置乱编码后信息进行置乱解码,得到置乱解码后信息;置乱编解码为可逆仿射变换的形式;
(7-4).应用白盒加解密模块对置乱解码后信息进行再次解密,供用户终端操作。
本发明所述服务器形式不局限于某种特定形式,也可以是云上服务器等形式。白盒加解密模块可以是软件包形式安装给用户或服务器,也可以是其他任何形式。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。
本发明应用了具体的实施例来对本发明的设计原理与应用方法进行了详细清楚的说明。但应当理解,以上说明的实施例是为了帮助理解本发明的实施过程,并不能将本发明的应用范围局限于说明书的实施例。应当指出的是,对于本领域的普通技术人员来说,在不脱离本公开精神的前提下,可以作出若干改进、修改、和变形,这些改进、修改、和变形都应视为落在本申请的保护范围内。

Claims (11)

1.分布式系统中基于白盒加密的信息安全保护系统,包括用户终端、应用服务器和分布式信息服务器,其特征在于:
所述的应用服务器具有应用白盒加解密模块、身份验证模块和算法选择模块;其中,
应用白盒加解密模块:对用户终端需要写入的信息进行初次加密,然后将初次加密密文发送至分布式信息服务器;对某个分布式信息服务器发送的初次解密密文进行再次解密,得到可读写文件;应用服务器通过应用白盒加解密模块进行读写文件,身份信息签名认证通过后,用户终端执行读写操作;
身份验证模块:对用户终端发送的身份信息进行签名认证,并将签名认证成功信息或签名认证失败信息发送至用户终端;
算法选择模块:对不同的分布式信息服务器选择不同的白盒加解密算法,并通过生成对应的序列码确定某一个分布式信息服务器对应的算法,将序列码发送至对应分布式信息服务器,将序列码和算法一一对应的映射关系生成算法查找表,并存储;
所述的分布式信息服务器具有信息白盒加解密模块,对需要存储的写入信息进行再次加密,并保存再次加密密文;对存储的再次加密密文进行初次解密,并将初次解密密文发送给应用服务器。
2.如权利要求1所述的分布式系统中基于白盒加密的信息安全保护系统,其特征在于:所述的分布式信息服务器为分布式文件服务器。
3.如权利要求1所述的分布式系统中基于白盒加密的信息安全保护系统,其特征在于:所述的白盒加解密算法为SM4、AES或DES。
4.如权利要求1或2所述的分布式系统中基于白盒加密的信息安全保护系统,其特征在于:
所述的应用服务器还具有应用置乱编解码模块,应用服务器接收到分布式信息服务器发送的初次解密密文后,应用置乱编解码模块通过可逆仿射变换的形式对初次解密密文进行置乱解码;
所述的分布式信息服务器还具有信息置乱编解码模块,分布式信息服务器将初次解密密文发送给应用服务器前,信息置乱编解码模块通过可逆仿射变换的形式对初次解密密文进行置乱编码;
所述的信息置乱编解码模块与应用置乱编解码模块完全相同。
5.如权利要求4所述的分布式系统中基于白盒加密的信息安全保护系统,其特征在于:所述的可逆仿射变换
Figure FDA0004168304950000021
其中P为仿射变换,l[P]为可逆矩阵,c[P]为列向量形式,即P的常数项,/>
Figure FDA0004168304950000022
为异或符号。
6.分布式系统中基于白盒加密的信息安全保护方法,其特征在于,该方法具体是:
步骤(1).应用服务器生成对应的公钥和私钥;
步骤(2).用户终端注册时,应用服务器将私钥发送用户终端,用户终端将身份信息发送应用服务器,预存在身份验证模块;
步骤(3).用户终端向应用服务器发送身份签名认证请求;
步骤(4).应用服务器的身份验证模块对用户进行签名认证,签名认证通过后通过指令允许用户终端对分布式信息服务器的数据或者应用程序进行操作;
步骤(5).签名认证通过后,应用服务器向分布式信息服务器发送写入或读取信息的指令;应用服务器通过算法选择模块,确定应用服务器中应用白盒加解密模块和分布式信息服务器中信息白盒加解密模块需要使用的白盒加解密算法,并生成白盒加解密算法对应的序列码;将序列码发送至对应的分布式信息服务器,生成并存储算法查找表,算法查找表即为序列码和白盒加解密算法的一一对应的映射关系,然后向分布式信息服务器发送写入或读取信息的指令;
步骤(6).如需写入信息:
应用服务器将需要写入的信息通过应用白盒加解密模块进行初次加密,得到初次加密信息,发送分布式信息服务器;分布式信息服务器通过信息白盒加解密模块进行再次加密,得到再次加密信息,并存储至数据库中;
步骤(7).如需读取信息:
分布式信息服务器从数据库中获取再次加密信息,并通过信息白盒加解密模块进行初次解密,得到初次解密信息,发送应用服务器;应用服务器通过应用白盒加解密模块对初次解密信息进行再次解密,供用户终端操作。
7.如权利要求6所述的信息安全保护方法,其特征在于:所述的身份信息为用户终端识别码或用户预设密码。
8.如权利要求6所述的信息安全保护方法,其特征在于,步骤(4)中签名认证的具体方法是:
(4-1).用户终端通过私钥将身份信息进行签名加密,获得签名值;
(4-2).用户终端将签名值发送应用服务器;
(4-3).应用服务器通过公钥对签名值进行解密,将解密后的用户终端的身份信息与注册时预存在身份验证模块的身份信息进行比对,将签名认证成功信息或签名认证失败信息发送用户终端;
(4-4).用户终端接收到签名认证成功信息后,获取操作权限;签名认证失败则重新进行签名认证或者申请注册。
9.如权利要求8所述的信息安全保护方法,其特征在于:(4-1)中签名加密方法采用SM2算法。
10.如权利要求6所述的信息安全保护方法,其特征在于:签名认证通过后,应用服务器向分布式信息服务器发送写入或读取信息的指令,写入和读取过程中进行置乱编解码,具体方法是:
步骤(6).如需写入信息:
(6-1).应用服务器将需要写入的信息通过应用白盒加解密模块进行初次加密,得到初次加密信息;
(6-2).通过应用置乱编解码模块将初次加密信息进行置乱编码,得到置乱编码信息;
(6-3).将置乱编码信息发送分布式信息服务器,分布式信息服务器通过信息置乱编解码模块进行置乱解码,得到置乱解码信息;
(6-4).信息白盒加解密模块对置乱解码信息进行再次加密,得到再次加密信息,并存储至数据库中;
步骤(7).如需读取信息:
(7-1).分布式信息服务器从数据库中获取再次加密信息,并通过信息白盒加解密模块进行初次解密,得到初次解密信息;
(7-2).信息置乱编解码模块对初次解密信息进行置乱编码,将置乱编码后信息发送应用服务器;
(7-3).应用服务器通过应用置乱编解码模块对置乱编码后信息进行置乱解码,得到置乱解码后信息;
(7-4).应用白盒加解密模块对置乱解码后信息进行再次解密,供用户终端操作。
11.如权利要求10所述的信息安全保护方法,其特征在于:所述的置乱编解码为可逆仿射变换的形式。
CN202010883127.8A 2020-08-28 2020-08-28 分布式系统中基于白盒加密的信息安全保护系统和方法 Active CN111988330B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010883127.8A CN111988330B (zh) 2020-08-28 2020-08-28 分布式系统中基于白盒加密的信息安全保护系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010883127.8A CN111988330B (zh) 2020-08-28 2020-08-28 分布式系统中基于白盒加密的信息安全保护系统和方法

Publications (2)

Publication Number Publication Date
CN111988330A CN111988330A (zh) 2020-11-24
CN111988330B true CN111988330B (zh) 2023-05-26

Family

ID=73440902

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010883127.8A Active CN111988330B (zh) 2020-08-28 2020-08-28 分布式系统中基于白盒加密的信息安全保护系统和方法

Country Status (1)

Country Link
CN (1) CN111988330B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117118750B (zh) * 2023-10-23 2024-03-29 中山职业技术学院 基于白盒密码的数据共享方法、装置、电子设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109495270A (zh) * 2017-09-13 2019-03-19 恩智浦有限公司 数字签名生成中的临时乱数到消息的结合
CN110050437A (zh) * 2016-09-06 2019-07-23 华为技术有限公司 分布式证书注册的装置和方法
CN111538977A (zh) * 2020-06-23 2020-08-14 腾讯科技(深圳)有限公司 云api密钥的管理、云平台的访问方法、装置及服务器

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101744748B1 (ko) * 2011-01-05 2017-06-09 한국전자통신연구원 화이트박스 암호 테이블을 이용한 콘텐츠 보호 장치, 콘텐츠 암호화 및 복호화 장치
GB2523758A (en) * 2014-03-03 2015-09-09 Mastercard International Inc Secure mobile device transactions
CN105591734A (zh) * 2015-04-24 2016-05-18 桂林电子科技大学 一种基于查表的白盒密码非线性编码保护方法
CN106921493B (zh) * 2017-03-31 2019-12-31 山东汇佳软件科技股份有限公司 一种加密方法及系统
US10567159B2 (en) * 2017-06-07 2020-02-18 Nxp B.V. CMAC computation using white-box implementations with external encodings
KR20190135145A (ko) * 2018-05-28 2019-12-06 이니텍(주) 웹 표준 환경에서 화이트박스 암호화 방법을 이용한 정보 보호 방법
US10873459B2 (en) * 2018-09-24 2020-12-22 Nxp B.V. Password authentication using white-box cryptography
CN109784072B (zh) * 2018-12-28 2021-04-30 北京思源理想控股集团有限公司 一种安全文件管理方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110050437A (zh) * 2016-09-06 2019-07-23 华为技术有限公司 分布式证书注册的装置和方法
CN109495270A (zh) * 2017-09-13 2019-03-19 恩智浦有限公司 数字签名生成中的临时乱数到消息的结合
CN111538977A (zh) * 2020-06-23 2020-08-14 腾讯科技(深圳)有限公司 云api密钥的管理、云平台的访问方法、装置及服务器

Also Published As

Publication number Publication date
CN111988330A (zh) 2020-11-24

Similar Documents

Publication Publication Date Title
US7587608B2 (en) Method and apparatus for storing data on the application layer in mobile devices
CN101176103B (zh) 计算机安全系统
US11308241B2 (en) Security data generation based upon software unreadable registers
CN1863038B (zh) 对终端设备中应用程序实施控制和管理的方法
US11711213B2 (en) Master key escrow process
CN111949999A (zh) 管理数据的设备和方法
CN111988330B (zh) 分布式系统中基于白盒加密的信息安全保护系统和方法
CN112787996B (zh) 一种密码设备管理方法及系统
CN106919348A (zh) 防暴力破解的分布式存储系统及存储方法
KR101327193B1 (ko) 사용자 접근추적이 가능한 이동식 저장매체 보안 방법
JP3868218B2 (ja) アクセス制限付コンテンツ表示方法およびその装置
CN111523127B (zh) 一种用于密码设备的权限认证方法及系统
CN114553557A (zh) 密钥调用方法、装置、计算机设备和存储介质
CN114788221A (zh) 带访问控制谓词的包装密钥
CN107846421B (zh) 一种文档管理方法和装置
Rijanandi et al. Implementation of encrypt national ID card in Sinovi application use waterfall methodology
CN113938278B (zh) 一种加密硬盘的密钥管理和保护方法
US20210176053A1 (en) Symmetrically encrypt a master passphrase key
JP7385025B2 (ja) 暗号化コプロセッサにおけるエンティティ固有の暗号化コードの実行
CN116527236B (zh) 一种加密卡的信息变更验证方法及系统
CN114553510B (zh) 一种业务密钥分发系统、方法及可读存储介质
Reddy et al. Data Storage on Cloud using Split-Merge and Hybrid Cryptographic Techniques
KR101839699B1 (ko) 인증정보가 노출되지 않는 안전한 보안 usb 시스템 및 방법
JP2002281015A (ja) 情報貸し金庫、情報貸し金庫の制御方法、暗号化・復号化装置、及びその制御プログラム
CN116886404A (zh) 一种卫星互联网密钥管理系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230906

Address after: No. 501, 2nd Street, Baiyang Street, Qiantang New District, Hangzhou City, Zhejiang Province, 311119, 6-809

Patentee after: HANGZHOU ANSIYUAN TECHNOLOGY Co.,Ltd.

Address before: Room 701, Building 01 (NW-01), Northwest District, Suzhou Nano City, No. 99, Jinjihu Avenue, Suzhou Industrial Park, Wuzhong District, Suzhou City, Jiangsu Province, 215123

Patentee before: SUZHOU AKEYDRIVE INFORMATION TECHNOLOGY CO.,LTD.