CN112016104A - 一种金融敏感数据的加密方法、装置和系统 - Google Patents
一种金融敏感数据的加密方法、装置和系统 Download PDFInfo
- Publication number
- CN112016104A CN112016104A CN202010677255.7A CN202010677255A CN112016104A CN 112016104 A CN112016104 A CN 112016104A CN 202010677255 A CN202010677255 A CN 202010677255A CN 112016104 A CN112016104 A CN 112016104A
- Authority
- CN
- China
- Prior art keywords
- secret key
- client
- data
- encryption algorithm
- data source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 127
- 238000004364 calculation method Methods 0.000 claims description 16
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 239000011159 matrix material Substances 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002844 melting Methods 0.000 description 1
- 230000008018 melting Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本发明公开了一种金融敏感数据的加密方法、装置、系统和计算机可读介质,方法包括:客户端向前端发送数据请求,数据请求包括待处理的明文数据的数据源信息;前端接收客户端发送的数据请求,根据数据源信息向对应的数据源查询第一秘钥;数据源向前端返回第一秘钥;前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端;客户端根据客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。采用该技术方案,利用混淆策略对第一秘钥进行处理得到第二秘钥,避免了第一秘钥以明文的方式存储在客户端,提升了客户端金融敏感数据的安全性。
Description
技术领域
本发明涉及计算机信息处理领域,具体而言,涉及一种金融敏感数据的加密方法、装置和系统。
背景技术
随着4G网络的普及,移动互联网逐渐变成人们生活中不可或缺的一部分。人们日常生活中的很多活动,例如购物,理财,订饭店,订机票等等活动都通过移动终端来进行。用户的移动终端与服务器之间有大量金融敏感数据进行交互。
目前为了保障金融敏感数据的安全,通常对这些数据进行加密和解密处理。通常采用的方法是服务器向移动终端分发原始秘钥,移动终端使用原始秘钥对数据进行加密或解密操作。
但由于移动终端的系统安全性相对较低,容易被破解,或者用户自己对移动终端进行越狱或root操作都可能导致原始秘钥被非法第三方获取,很有可能给用户带来数据安全方面的问题。
发明内容
本发明旨在解决现有的数据安全存在原始秘钥容易被非法第三方获取,给用户带来数据安全方面的问题。
为了解决上述技术问题,本发明第一方面提出一种金融敏感数据的加密方法,包括:
客户端向前端发送数据请求,所述数据请求包括待处理的明文数据的数据源信息;
所述前端接收所述客户端发送的数据请求,根据所述数据源信息向对应的数据源查询第一秘钥;
所述数据源向所述前端返回所述第一秘钥;
所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端;
所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。
根据本发明的一种优选实施方式,所述待处理的明文数据的数据源信息包括数据源名称以及数据源字段关联计算获得的哈希值。
根据本发明的一种优选实施方式,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥具体包括:
利用所述数据源字段关联计算获得哈希值以及预设的混淆策略生成混淆算法;
利用所述第一秘钥和所述混淆算法生成第二秘钥。
根据本发明的一种优选实施方式,所述利用第二秘钥,预设加密算法以及预设的混淆策略生成客户端加密算法具体包括:
利用所述预设加密算法以及所述混淆算法生成所述客户端加密算法。
根据本发明的一种优选实施方式,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理具体包括:
利用所述客户端加密算法以及所述第二秘钥对所述明文数据进行加密,获得临时加密数据;
为所述临时加密数据增加第一字段和第二字段获得最终加密数据,所述第一字段为数据源字段关联计算获得的哈希值,所述第二字段为所述第二秘钥。
根据本发明的一种优选实施方式,方法进一步包括所述第一秘钥为多个,所述前端利用第一秘钥以及预设的混淆策略生成的第二秘钥也为多个,所述前端为多个第二秘钥生成第二秘钥表,所述第二秘钥表包括秘钥编号以及秘钥内容。
根据本发明的一种优选实施方式,方法进一步包括:所述前端与所述客户端同步,所述前端向所述客户端发送客户端加密算法,所述第二秘钥表,所述前端还向所述客户端发送第二秘钥更换信息,所述第二秘钥更换信息包括第二秘钥更换周期以及第二秘钥更换顺序。
本发明的第二方面提出一种金融敏感数据的加密装置,包括:
请求模块,客户端向前端发送数据请求,所述数据请求包括待处理的明文数据的数据源信息;
查询模块,所述前端接收所述客户端发送的数据请求,根据所述数据源信息向对应的数据源查询第一秘钥;
返回模块,所述数据源向所述前端返回所述第一秘钥;
算法生成模块,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端;
加密模块,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。
根据本发明的一种优选实施方式,所述待处理的明文数据的数据源信息包括数据源名称以及数据源字段关联计算获得的哈希值。
根据本发明的一种优选实施方式,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥具体包括:
利用所述数据源字段关联计算获得哈希值以及预设的混淆策略生成混淆算法;
利用所述第一秘钥和所述混淆算法生成第二秘钥。
根据本发明的一种优选实施方式,所述利用第二秘钥,预设加密算法以及预设的混淆策略生成客户端加密算法具体包括:
利用所述预设加密算法以及所述混淆算法生成所述客户端加密算法。
根据本发明的一种优选实施方式,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理具体包括:
利用所述客户端加密算法以及所述第二秘钥对所述明文数据进行加密,获得临时加密数据;
为所述临时加密数据增加第一字段和第二字段获得最终加密数据,所述第一字段为数据源字段关联计算获得的哈希值,所述第二字段为所述第二秘钥。
根据本发明的一种优选实施方式,所述第一秘钥为多个,所述前端利用第一秘钥以及预设的混淆策略生成的第二秘钥也为多个,所述前端为多个第二秘钥生成第二秘钥表,所述第二秘钥表包括秘钥编号以及秘钥内容。
根据本发明的一种优选实施方式,所述前端与所述客户端同步,所述前端向所述客户端发送客户端加密算法,所述第二秘钥表,所述前端还向所述客户端发送第二秘钥更换信息,所述第二秘钥更换信息包括第二秘钥更换周期以及第二秘钥更换顺序。
本发明的第三方面提出一种金融敏感数据的加密系统,包括:
存储单元,用于存储计算机可执行程序;
处理单元,用于读取所述存储单元中的计算机可执行程序,以执行金融敏感数据的加密方法。
本发明的第四方面提出一种计算机可读介质,用于存储计算机可读程序,所述计算机可读程序用于执行金融敏感数据的加密方法。
采用该技术方案,利用混淆策略对第一秘钥进行处理得到第二秘钥,避免了第一秘钥以明文的方式存储在客户端,提升了客户端金融敏感数据的安全性。
附图说明
为了使本发明所解决的技术问题、采用的技术手段及取得的技术效果更加清楚,下面将参照附图详细描述本发明的具体实施例。但需声明的是,下面描述的附图仅仅是本发明的示例性实施例的附图,对于本领域的技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他实施例的附图。
图1是本发明实施例中一种金融敏感数据的加密方法的线程示意图;
图2是本发明实施例中混淆算法的运行示意图;
图3是本发明实施例中一种金融敏感数据的加密装置的结构示意图;
图4是本发明实施例中一种金融敏感数据的加密系统的结构框架示意图;
图5是本发明实施例中计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图来更加全面地描述本发明的示例性实施例,虽然各示例性实施例能够以多种具体的方式实施,但不应理解为本发明仅限于在此阐述的实施例。相反,提供这些示例性实施例是为了使本发明的内容更加完整,更加便于将发明构思全面地传达给本领域的技术人员。
在符合本发明的技术构思的前提下,在某个特定的实施例中描述的结构、性能、效果或者其他特征可以以任何合适的方式结合到一个或更多其他的实施例中。
在对于具体实施例的介绍过程中,对结构、性能、效果或者其他特征的细节描述是为了使本领域的技术人员对实施例能够充分理解。但是,并不排除本领域技术人员可以在特定情况下,以不含有上述结构、性能、效果或者其他特征的技术方案来实施本发明。
附图中的流程图仅是一种示例性的流程演示,不代表本发明的方案中必须包括流程图中的所有的内容、操作和步骤,也不代表必须按照图中所显示的的顺序执行。例如,流程图中有的操作/步骤可以分解,有的操作/步骤可以合并或部分合并,等等,在不脱离本发明的发明主旨的情况下,流程图中显示的执行顺序可以根据实际情况改变。
附图中的框图一般表示的是功能实体,并不一定必然与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理单元装置和/或微控制器装置中实现这些功能实体。
各附图中相同的附图标记表示相同或类似的元件、组件或部分,因而下文中可能省略了对相同或类似的元件、组件或部分的重复描述。还应理解,虽然本文中可能使用第一、第二、第三等表示编号的定语来描述各种器件、元件、组件或部分,但是这些器件、元件、组件或部分不应受这些定语的限制。也就是说,这些定语仅是用来将一者与另一者区分。例如,第一器件亦可称为第二器件,但不偏离本发明实质的技术方案。此外,术语“和/或”、“及/或”是指包括所列出项目中的任一个或多个的所有组合。
图1是本发明实施例中一种金融敏感数据的加密方法的线程示意图,如图1所示,一种金融敏感数据的加密方法包括:
S101、客户端向前端发送数据请求,所述数据请求包括待处理的明文数据的数据源信息。
在上述方案的基础上,进一步地,所述待处理的明文数据的数据源信息包括数据源名称以及数据源字段关联计算获得的哈希值。
本实施方式中,客户端向前端发送的数据请求是请求数据的加密秘钥,用于对数据进行加密处理。由于客户端的数据对应不同的数据源,比如MySQL、MongoDB、HBase、ES等多种数据源。为了能够适配多种数据源,在数据请求中携带数据源名称,以及数据源字段关联计算获得的哈希值。
S102、所述前端接收所述客户端发送的数据请求,根据所述数据源信息向对应的数据源查询第一秘钥。
S103、所述数据源向所述前端返回所述第一秘钥。
在本实施方式中,第一秘钥为原始秘钥,第一秘钥仅传输到前端,并不向客户端分发。由于前端的安全性远远高于客户端,避免了原始秘钥以明文的方式存储在客户端,被非法第三方获取的风险。
S104、所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端。
在本实施方式中,混淆算法实际是一种转换机制,使转换后的程序和指令难以被读懂,但依然能够执行原有操作。如图2所示,加密算法A经过混淆算法T的转换后获得加密算法A’。原始数据ABCD输入加密算法A,得到的结果为xyz。将原始数据ABCD输入加密算法A’后,得的结果同样为xyz。经过混淆算法处理的加密算法A’使人无法识别和读懂但能执行。
在本发明中不对加密算法类型进行限制,可以是任何的对称加密算法。
在上述方案的基础上,进一步地,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥具体包括:
利用所述数据源字段关联计算获得哈希值以及预设的混淆策略生成混淆算法;
利用所述第一秘钥和所述混淆算法生成第二秘钥。
在本实施方式中,预设的混淆策略为将所述数据源字段关联计算获得哈希值作为随机函数的种子生成随机数,使用生成的随机数获取混淆矩阵T。利用混淆矩阵T将所述第一秘钥转换为第二秘钥。
在上述方案的基础上,进一步地,所述利用预设加密算法以及预设的混淆策略生成客户端加密算法具体包括:
利用预设加密算法以及所述混淆算法生成所述客户端加密算法。
在本实施方式中使用的是同一种的混淆算法,即利用预设加密算法以及混淆矩阵T生成客户端加密算法,经过混淆矩阵T的转换,预设加密算法无法被解读但能执行加密处理。
通常客户端加密算法会写入客户端的库文件中不方便修改,而本发明中第二秘钥与客户端加密算法相对应,但并未与客户端加密算法绑定,当系统需要更换原始秘钥时,只需使用混淆矩阵T将新的原始秘钥转化为新的第二秘钥即可,无需对客户端加密算法进行变动,不用修改客户端的库文件,保证了客户端系统的稳定性。
S105、所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。
在上述方案的基础上,进一步地,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理具体包括:
利用所述客户端加密算法以及所述第二秘钥对所述明文数据进行加密,获得临时加密数据;
为所述临时加密数据增加第一字段和第二字段获得最终加密数据,所述第一字段为数据源字段关联计算获得的哈希值,所述第二字段为所述第二秘钥。
在本实施方式中,客户端利用客户端加密算法对待处理的明文数据进行加密,加密后的最终加密数据包括三部分,第一部分是明文数据经过客户端加密算法加密后的密文数据,第二部分是数据源字段关联计算获得的哈希值,第三部分是第二秘钥。
在本实施方式中,虽然客户端依然存在安全隐患使得第二秘钥被非法第三方获取,但由于第二秘钥是经过混交矩阵的T转换的,难以被读懂,非法第三方即使获取了第二秘钥也无法获知第一秘钥,即保证了原始秘钥的安全。
在本实施方式中,当客户端需要对最终加密数据进行解密时,向前端申请客户端解密算法,客户端解密算法是利用与预设加密算法对应的预设解密算法以及预设的混淆策略获得。将最终加密数据和第二秘钥输入所述客户端解密算法即可获得明文数据。
在上述方案的基础上,进一步地,方法进一步包括所述第一秘钥为多个,所述前端利用第一秘钥以及预设的混淆策略生成的第二秘钥也为多个,所述前端为多个第二秘钥生成第二秘钥表,所述第二秘钥表包括秘钥编号以及秘钥内容。
在上述方案的基础上,进一步地,方法进一步包括:所述前端与所述客户端同步,所述前端向所述客户端发送客户端加密算法,所述第二秘钥表,所述前端还向所述客户端发送第二秘钥更换信息,所述第二秘钥更换信息包括第二秘钥更换周期以及第二秘钥更换顺序。
在本实施方式中,为了更好的提高数据的安全性,定期更换第二秘钥,客户端依据第二秘钥更换信息中指定的第二秘钥更换周期对对第二秘钥进行更换,更换顺序可以为顺序更换或其他方式更换。
如图3所示,在本实施例中还提供了一种金融敏感数据的加密装置300,包括:
请求模块301,客户端向前端发送数据请求,所述数据请求包括待处理的明文数据的数据源信息。
在上述方案的基础上,进一步地,所述待处理的明文数据的数据源信息包括数据源名称以及数据源字段关联计算获得的哈希值。
本实施方式中,客户端向前端发送的数据请求是请求数据的加密秘钥,用于对数据进行加密处理。由于客户端的数据对应不同的数据源,比如MySQL、MongoDB、HBase、ES等多种数据源。为了能够适配多种数据源,在数据请求中携带数据源名称,以及数据源字段关联计算获得的哈希值。
查询模块302,所述前端接收所述客户端发送的数据请求,根据所述数据源信息向对应的数据源查询第一秘钥。
返回模块303,所述数据源向所述前端返回所述第一秘钥。
在本实施方式中,第一秘钥为原始秘钥,第一秘钥仅传输到前端,并不向客户端分发。由于前端的安全性远远高于客户端,避免了原始秘钥以明文的方式存储在客户端,被非法第三方获取的风险。
算法生成模块304,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端。
在本发明中不对加密算法类型进行限制,可以是任何的对称加密算法。
在上述方案的基础上,进一步地,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥具体包括:
利用所述数据源字段关联计算获得哈希值以及预设的混淆策略生成混淆算法;
利用所述第一秘钥和所述混淆算法生成第二秘钥。
在本实施方式中,预设的混淆策略为将所述数据源字段关联计算获得哈希值作为随机函数的种子生成随机数,使用生成的随机数获取混淆矩阵T。利用混淆矩阵T将所述第一秘钥转换为第二秘钥。
在上述方案的基础上,进一步地,所述利用预设加密算法以及预设的混淆策略生成客户端加密算法具体包括:
利用预设加密算法以及所述混淆算法生成所述客户端加密算法。
在本实施方式中使用的是同一种的混淆算法,即利用预设加密算法以及混淆矩阵T生成客户端加密算法,经过混淆矩阵T的转换,预设加密算法无法被解读但能执行加密处理。
通常客户端加密算法会写入客户端的库文件中不方便修改,而本发明中第二秘钥与客户端加密算法相对应,但并未与客户端加密算法绑定,当系统需要更换原始秘钥时,只需使用混淆矩阵T将新的原始秘钥转化为新的第二秘钥即可,无需对客户端加密算法进行变动,不用修改客户端的库文件,保证了客户端系统的稳定性。
加密模块305,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。
在上述方案的基础上,进一步地,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理具体包括:
利用所述客户端加密算法以及所述第二秘钥对所述明文数据进行加密,获得临时加密数据;
为所述临时加密数据增加第一字段和第二字段获得最终加密数据,所述第一字段为数据源字段关联计算获得的哈希值,所述第二字段为所述第二秘钥。
在本实施方式中,客户端利用客户端加密算法对待处理的明文数据进行加密,加密后的最终加密数据包括三部分,第一部分是明文数据经过客户端加密算法加密后的密文数据,第二部分是数据源字段关联计算获得的哈希值,第三部分是第二秘钥。
在本实施方式中,虽然客户端依然存在安全隐患使得第二秘钥被非法第三方获取,但由于第二秘钥是经过混交矩阵的T转换的,难以被读懂,非法第三方即使获取了第二秘钥也无法获知第一秘钥,即保证了原始秘钥的安全。
在本实施方式中,当客户端需要对最终加密数据进行解密时,向前端申请客户端解密算法,客户端解密算法是利用与预设加密算法对应的预设解密算法以及预设的混淆策略获得。将最终加密数据和第二秘钥输入所述客户端解密算法即可获得明文数据。
在上述方案的基础上,进一步地,方法进一步包括所述第一秘钥为多个,所述前端利用第一秘钥以及预设的混淆策略生成的第二秘钥也为多个,所述前端为多个第二秘钥生成第二秘钥表,所述第二秘钥表包括秘钥编号以及秘钥内容。
在上述方案的基础上,进一步地,方法进一步包括:所述前端与所述客户端同步,所述前端向所述客户端发送客户端加密算法,所述第二秘钥表,所述前端还向所述客户端发送第二秘钥更换信息,所述第二秘钥更换信息包括第二秘钥更换周期以及第二秘钥更换顺序。
在本实施方式中,为了更好的提高数据的安全性,定期更换第二秘钥,客户端依据第二秘钥更换信息中指定的第二秘钥更换周期对对第二秘钥进行更换,更换顺序可以为顺序更换或其他方式更换。
如图4所示,本发明的一个实施例中还公开一种金融敏感数据的加密系统,图4显示的触发式资源配额调整系统仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
金融敏感数据的加密系统400,包括存储单元420,用于存储计算机可执行程序;处理单元410,用于读取所述存储单元中的计算机可执行程序,以执行本发明各种实施方式的步骤。
在本实施方式中金融敏感数据的加密系统400还包括,连接不同系统组件(包括存储单元420和处理单元410)的总线430、显示单元440等。
其中,所述存储单元420存储有计算机可读程序,其可以是源程序或都只读程序的代码。所述程序可以被处理单元410执行,使得所述处理单元410执行本发明各种实施方式的步骤。例如,所述处理单元410可以执行如图1所示的步骤。
所述存储单元420可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)4201和/或高速缓存存储单元4202,还可以进一步包括只读存储单元(ROM)4203。所述存储单元420还可以包括具有一组(至少一个)程序模块4205的程序/实用工具4204,这样的程序模块4205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线430可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
金融敏感数据的加密系统400也可以与一个或多个外部设备470(例如键盘、显示器、网络设备、蓝牙设备等)通信,使得用户能经由这些外部设备470通过输入/输出(I/O)接口450进行与处理单元410进行交互,还可以通过网络适配器460与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)进行。网络适配器460可以通过总线430与触发式资源配额调整系统400的其它模块通信。应当明白,尽管图中未示出,触发式资源配额调整系统400中可使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
图5是本发明的一个计算机可读介质实施例的示意图。如图5所示,所述计算机程序可以存储于一个或多个计算机可读介质上。计算机可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储单元(RAM)、只读存储单元(ROM)、可擦式可编程只读存储单元(EPROM或闪存)、光纤、便携式紧凑盘只读存储单元(CD-ROM)、光存储单元件、磁存储单元件、或者上述的任意合适的组合。当所述计算机程序被一个或多个数据处理设备执行时,使得该计算机可读介质能够实现本发明的上述方法,即:
S101、客户端向前端发送数据请求,所述数据请求包括待处理的明文数据的数据源信息;
S102、所述前端接收所述客户端发送的数据请求,根据所述数据源信息向对应的数据源查询第一秘钥;
S103、所述数据源向所述前端返回所述第一秘钥;
S104、所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端;
S105、所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。
采用该技术方案,原始秘钥仅仅发送到前端,并不向客户端发送,保证了原始秘钥的安全性。而且本发明中秘钥被统一管理,更换原始秘钥不影响客户端系统的稳定性。通过混淆策略对加密算法进行混淆,保护了用户数据、原始秘钥和加密算法,做到了存储时加密,运行时解密,对业务系统无感知。
通过以上的实施方式的描述,本领域的技术人员易于理解,本发明描述的示例性实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个计算机可读的存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台数据处理设备(可以是个人计算机、服务器、或者网络设备等)执行根据本发明的上述方法。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上所述,本发明可以执行计算机程序的方法、装置、电子设备或计算机可读介质来实现。可以在实践中使用微处理单元或者数字信号处理单元(DSP)等通用数据处理设备来实现本发明的一些或者全部功能。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,本发明不与任何特定计算机、虚拟装置或者电子设备固有相关,各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种金融敏感数据的加密方法,其特征在于,方法包括:
客户端向前端发送数据请求,所述数据请求包括待处理的明文数据的数据源信息;
所述前端接收所述客户端发送的数据请求,根据所述数据源信息向对应的数据源查询第一秘钥;
所述数据源向所述前端返回所述第一秘钥;
所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端;
所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。
2.如权利要求1所述的加密方法,其特征在于,所述待处理的明文数据的数据源信息包括数据源名称以及数据源字段关联计算获得的哈希值。
3.如权利要去1至2中任一项所述的加密方法,其特征在于,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥具体包括:
利用所述数据源字段关联计算获得哈希值以及预设的混淆策略生成混淆算法;
利用所述第一秘钥和所述混淆算法生成第二秘钥。
4.如权利要求1至3中任一项所述的加密方法,其特征在于,所述利用第二秘钥,预设加密算法以及预设的混淆策略生成客户端加密算法具体包括:
利用所述预设加密算法以及所述混淆算法生成所述客户端加密算法。
5.如权利要求1至4中任一项所述的加密方法,其特征在于,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理具体包括:
利用所述客户端加密算法以及所述第二秘钥对所述明文数据进行加密,获得临时加密数据;
为所述临时加密数据增加第一字段和第二字段获得最终加密数据,所述第一字段为数据源字段关联计算获得的哈希值,所述第二字段为所述第二秘钥。
6.如权利要求1至5中任一项所述的加密方法,其特征在于,方法进一步包括所述第一秘钥为多个,所述前端利用第一秘钥以及预设的混淆策略生成的第二秘钥也为多个,所述前端为多个第二秘钥生成第二秘钥表,所述第二秘钥表包括秘钥编号以及秘钥内容。
7.如权利要求1至6中任一项所述的加密方法,其特征在于,方法进一步包括:所述前端与所述客户端同步,所述前端向所述客户端发送客户端加密算法,所述第二秘钥表,所述前端还向所述客户端发送第二秘钥更换信息,所述第二秘钥更换信息包括第二秘钥更换周期以及第二秘钥更换顺序。
8.一种金融敏感数据的加密装置,其特征在于,装置包括:
请求模块,客户端向前端发送数据请求,所述数据请求包括待处理的明文数据的数据源信息;
查询模块,所述前端接收所述客户端发送的数据请求,根据所述数据源信息向对应的数据源查询第一秘钥;
返回模块,所述数据源向所述前端返回所述第一秘钥;
算法生成模块,所述前端利用第一秘钥以及预设的混淆策略生成第二秘钥,利用预设加密算法以及预设的混淆策略生成客户端加密算法,将客户端加密算法以及第二秘钥发送至客户端;
加密模块,所述客户端根据所述客户端加密算法以及第二秘钥对待处理的明文数据进行加密处理。
9.一种金融敏感数据的加密系统,其特征在于,包括:
存储单元,用于存储计算机可执行程序;
处理单元,用于读取所述存储单元中的计算机可执行程序,以执行权利要求1至7中任一项所述的金融敏感数据的加密方法。
10.一种计算机可读介质,用于存储计算机可读程序,其特征在于,所述计算机可读程序用于执行权利要求1至7中任一项所述的金融敏感数据的加密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010677255.7A CN112016104B (zh) | 2020-07-14 | 一种金融敏感数据的加密方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010677255.7A CN112016104B (zh) | 2020-07-14 | 一种金融敏感数据的加密方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112016104A true CN112016104A (zh) | 2020-12-01 |
| CN112016104B CN112016104B (zh) | 2024-04-23 |
Family
ID=
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112583588A (zh) * | 2020-12-08 | 2021-03-30 | 四川虹微技术有限公司 | 一种通信方法及装置、可读存储介质 |
| CN113098860A (zh) * | 2021-03-30 | 2021-07-09 | 三一汽车起重机械有限公司 | 一种can总线加密方法、装置、工程机械和存储介质 |
| CN113179161A (zh) * | 2021-04-22 | 2021-07-27 | 平安消费金融有限公司 | 一种秘钥更换的方法、装置、计算机设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104040933A (zh) * | 2011-09-30 | 2014-09-10 | 电子湾有限公司 | 源自客户端的信息的差异客户端侧加密 |
| WO2016004063A1 (en) * | 2014-06-30 | 2016-01-07 | Amazon Technologies, Inc. | Feature processing recipes for machine learning |
| CN107734028A (zh) * | 2017-10-12 | 2018-02-23 | 佛山伊贝尔科技有限公司 | 一种数据安全存储的物联网网关系统及其实现方法 |
| US9946895B1 (en) * | 2015-12-15 | 2018-04-17 | Amazon Technologies, Inc. | Data obfuscation |
| CN108229192A (zh) * | 2018-01-04 | 2018-06-29 | 武汉斗鱼网络科技有限公司 | 一种文件解密方法、装置及客户端 |
| CN109547197A (zh) * | 2018-11-16 | 2019-03-29 | 重庆邮电大学 | 一种基于拉斯维加斯ELGamal加密的OPC UA秘钥交换方法 |
| CN110166425A (zh) * | 2019-04-09 | 2019-08-23 | 北京奇艺世纪科技有限公司 | 数据处理方法、装置、系统及计算机可读存储介质 |
| CN110933109A (zh) * | 2019-12-17 | 2020-03-27 | 中国建设银行股份有限公司 | 小程序动态认证方法及装置 |
| CN111049897A (zh) * | 2019-12-10 | 2020-04-21 | 北京百度网讯科技有限公司 | 小程序包的加密上传和解密部署方法、装置、设备和介质 |
| CN111130799A (zh) * | 2019-12-25 | 2020-05-08 | 上海沄界信息科技有限公司 | 一种基于tee进行https协议传输的方法及系统 |
| CN111245802A (zh) * | 2020-01-06 | 2020-06-05 | 银清科技有限公司 | 数据传输安全控制方法、服务器以及终端 |
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104040933A (zh) * | 2011-09-30 | 2014-09-10 | 电子湾有限公司 | 源自客户端的信息的差异客户端侧加密 |
| CN107196938A (zh) * | 2011-09-30 | 2017-09-22 | 贝宝公司 | 源自客户端的信息的差异客户端侧加密 |
| WO2016004063A1 (en) * | 2014-06-30 | 2016-01-07 | Amazon Technologies, Inc. | Feature processing recipes for machine learning |
| US9946895B1 (en) * | 2015-12-15 | 2018-04-17 | Amazon Technologies, Inc. | Data obfuscation |
| CN107734028A (zh) * | 2017-10-12 | 2018-02-23 | 佛山伊贝尔科技有限公司 | 一种数据安全存储的物联网网关系统及其实现方法 |
| CN108229192A (zh) * | 2018-01-04 | 2018-06-29 | 武汉斗鱼网络科技有限公司 | 一种文件解密方法、装置及客户端 |
| CN109547197A (zh) * | 2018-11-16 | 2019-03-29 | 重庆邮电大学 | 一种基于拉斯维加斯ELGamal加密的OPC UA秘钥交换方法 |
| CN110166425A (zh) * | 2019-04-09 | 2019-08-23 | 北京奇艺世纪科技有限公司 | 数据处理方法、装置、系统及计算机可读存储介质 |
| CN111049897A (zh) * | 2019-12-10 | 2020-04-21 | 北京百度网讯科技有限公司 | 小程序包的加密上传和解密部署方法、装置、设备和介质 |
| CN110933109A (zh) * | 2019-12-17 | 2020-03-27 | 中国建设银行股份有限公司 | 小程序动态认证方法及装置 |
| CN111130799A (zh) * | 2019-12-25 | 2020-05-08 | 上海沄界信息科技有限公司 | 一种基于tee进行https协议传输的方法及系统 |
| CN111245802A (zh) * | 2020-01-06 | 2020-06-05 | 银清科技有限公司 | 数据传输安全控制方法、服务器以及终端 |
Non-Patent Citations (1)
| Title |
|---|
| 邹源;张甲;江滨;: "基于LSTM循环神经网络的恶意加密流量检测", 计算机应用与软件, no. 02, pages 314 - 318 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112583588A (zh) * | 2020-12-08 | 2021-03-30 | 四川虹微技术有限公司 | 一种通信方法及装置、可读存储介质 |
| CN113098860A (zh) * | 2021-03-30 | 2021-07-09 | 三一汽车起重机械有限公司 | 一种can总线加密方法、装置、工程机械和存储介质 |
| CN113179161A (zh) * | 2021-04-22 | 2021-07-27 | 平安消费金融有限公司 | 一种秘钥更换的方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11520912B2 (en) | Methods, media, apparatuses and computing devices of user data authorization based on blockchain | |
| US10917394B2 (en) | Data operations using a proxy encryption key | |
| CN109150499B (zh) | 动态加密数据的方法、装置、计算机设备和存储介质 | |
| US8565422B2 (en) | Method and system for enryption key versioning and key rotation in a multi-tenant environment | |
| US10735186B2 (en) | Revocable stream ciphers for upgrading encryption in a shared resource environment | |
| US10255450B2 (en) | Customer load of field programmable gate arrays | |
| US8769302B2 (en) | Encrypting data and characterization data that describes valid contents of a column | |
| US9584315B2 (en) | Order-preserving encryption system, encryption device, decryption device, encryption method, decryption method, and programs thereof | |
| US20140059341A1 (en) | Creating and accessing encrypted web based content in hybrid applications | |
| CN113806777A (zh) | 文件访问的实现方法及装置、存储介质及电子设备 | |
| CN111814166B (zh) | 一种数据加密方法、装置和电子设备 | |
| CN109711178B (zh) | 一种键值对的存储方法、装置、设备及存储介质 | |
| CA3061776A1 (en) | Key information processing method and apparatus, electronic device and computer readable medium | |
| GB2590239A (en) | Secure operations on encrypted data | |
| CN112016104B (zh) | 一种金融敏感数据的加密方法、装置和系统 | |
| CN116361849A (zh) | 一种加密数据库的备份数据加密、解密方法及装置 | |
| CN112016104A (zh) | 一种金融敏感数据的加密方法、装置和系统 | |
| CN108985109A (zh) | 一种数据存储方法及装置 | |
| KR102284877B1 (ko) | 효율적인 교집합 연산을 위한 함수 암호 기술 | |
| KR20180126853A (ko) | 메타정보 및 엔터프라이즈 프레임웍을 이용한 암호화 sql문 자동 생성 시스템 및 방법 | |
| CN113904832A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN114760081A (zh) | 档案加密与解密方法、装置及电子设备 | |
| CN117014233B (zh) | 一种防篡改的合同数据采集与生成的方法及装置 | |
| CN116388970B (zh) | 一种基于多方数据的中心化云计算实现方法及装置 | |
| CN112784232B (zh) | 一种基于本地化数据执行任务的方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |