CN112115491B - 一种对称加密密钥保护方法、装置、设备及存储介质 - Google Patents
一种对称加密密钥保护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112115491B CN112115491B CN202010844944.2A CN202010844944A CN112115491B CN 112115491 B CN112115491 B CN 112115491B CN 202010844944 A CN202010844944 A CN 202010844944A CN 112115491 B CN112115491 B CN 112115491B
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- decryption
- expansion
- split
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 150000003839 salts Chemical class 0.000 claims abstract description 75
- 238000004590 computer program Methods 0.000 claims description 10
- 238000004422 calculation algorithm Methods 0.000 description 37
- 230000003287 optical effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000013478 data encryption standard Methods 0.000 description 4
- 230000002708 enhancing effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000009938 salting Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种对称加密密钥保护方法、装置、设备及存储介质。其中,方法包括:根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;根据与目标密钥使用用户对应的加盐规则对第二拆分密钥进行加盐,得到第二拓展密钥;根据第一拆分密钥,建立与第二拓展密钥对应的加解密插件;通过加解密插件在检测到与第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;若是,则剔除第二拓展密钥中的盐值得到第二拆分密钥,结合第一拆分密钥和第一拆分密钥得到原始密钥,根据原始密钥对待加解密数据进行加密或者解密。本发明实施例可以保证密钥的使用者不会获知完整的密钥,有效避免密钥的泄漏。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种对称加密密钥保护方法、装置、设备及存储介质。
背景技术
对称加密是采用单钥密码系统的加密算法,同一个密钥可以同时用作数据的加密和解密。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密方手上就成了必须要解决的问题。一方面,对称加密算法本身并不提供对密钥的保护手段,容易造成密钥的泄露,进而导致数据泄漏、信息篡改、伪造数据等问题。另一方面,参与者都拥有完全相同的完整密钥,一旦发生数据泄露,无法定位密钥泄漏的环节。
相关技术中,加密方将写好的密钥打包进so文件,然后将so文件提供给解密方。so文件是无法通过反编译获取到源码的,故可以起到保护密钥的作用。相关技术的方案虽然保护了密钥,但是并没有解决权限控制问题。因为加密方制作so文件,所以知道全部密钥,解密方虽然不知道全部密钥,但是只要有so 文件,已经不再需要密钥,可以解密所有数据。且so文件作为一个普通文件存储在服务器上,比密钥更难隐藏,更容易被盗。
发明内容
本发明实施例提供一种对称加密密钥保护方法、装置、设备及存储介质,可以保证密钥的使用者不会获知完整的密钥,有效避免密钥的泄漏,增强密钥安全性,降低密钥泄露风险。
第一方面,本发明实施例提供了一种对称加密密钥保护方法,包括:
根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;
根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥;
根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件;
通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;
如果所述加解密请求中的第二拓展密钥合法,则通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果。
第二方面,本发明实施例还提供了一种对称加密密钥保护装置,包括:
密钥拆分模块,用于根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;
密钥加盐模块,用于根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥;
插件建立模块,用于根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件;
合法性检验模块,用于通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;
结果输出模块,用于如果所述加解密请求中的第二拓展密钥合法,则通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如本发明实施例所述的对称加密密钥保护方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如本发明实施例所述的对称加密密钥保护方法。
本发明实施例的技术方案,通过根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥,然后根据与目标密钥使用用户对应的加盐规则对第二拆分密钥进行加盐,得到第二拓展密钥,根据第一拆分密钥,建立与第二拓展密钥对应的加解密插件,通过加解密插件在检测到与第二拓展密钥对应的加解密请求时,检验加解密请求中的第二拓展密钥是否合法;若是,则剔除第二拓展密钥中的盐值得到第二拆分密钥,结合第一拆分密钥和第一拆分密钥得到原始密钥,根据原始密钥对待加解密数据进行加密或者解密,可以通过根据与目标密钥使用用户对应的加盐规则和第二拆分密钥生成第二拓展密钥,保证密钥使用用户不会获知完整的原始密钥,有效避免原始密钥的泄漏,同时可以保证原始密钥的每个使用者都可以分配到专有的密钥,增强了密钥安全性,降低了密钥泄露风险。
附图说明
图1为本发明实施例一提供的一种对称加密密钥保护方法的流程图。
图2为本发明实施例二提供的一种对称加密密钥保护方法的流程图。
图3为本发明实施例三提供的一种对称加密密钥保护方法的流程图。
图4为本发明实施例四提供的一种对称加密密钥保护装置的结构示意图。
图5为本发明实施例五提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1为本发明实施例一提供的一种对称加密密钥保护方法的流程图。本发明实施例可适用于对对称加密密钥进行保护的情况,该方法可以由本发明实施例提供的对称加密密钥保护装置来执行,该装置可采用软件和/或硬件的方式实现,并一般可集成在计算机设备中。例如,服务器中。如图1所示,本发明实施例的方法具体包括:
步骤101、根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥。
本实施例中,原始密钥为根据对称加密算法生成的对称加密密钥,可用于直接加密或者解密。对称加密算法可以是SM4分组密码算法、数据加密标准 (Data EncryptionStandard,DES)算法、高级加密标准(Advanced Encryption Standard,AES)算法或者三重数据加密算法(3DES算法),本实施例在此不做限定。
可选的,根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥,对第一拆分密钥和第二拆分密钥进行保存,同时记录原始密钥的拆分方式,即记录预设的密钥拆分规则。预设的密钥拆分规则是用于将原始密钥拆分成两个部分的规则。密钥拆分规则可以根据业务需求进行设置。
在一个具体实例中,原始密钥为6位字符“123456”。预设的密钥拆分规则可以为:获取原始密钥中的前三位字符作为第一拆分密钥,获取原始密钥的中后三位字符作为第二拆分密钥,将原始密钥拆分成第一拆分密钥“123”和第二拆分密钥“456”。预设的密钥拆分规则还可以为:获取原始密钥中的第一位字符、第二位字符、第四位字符以及第五位字符作为第一拆分密钥,获取原始密钥中的第三位字符和第六位字符作为第二拆分密钥,将原始密钥拆分成第一拆分密钥“1245”和第二拆分密钥“36”。预设的密钥拆分规则还可以为:获取原始密钥中的第一位字符、第二位字符以及第六位字符作为第一拆分密钥,获取原始密钥中的第三位字符、第四位字符以及第五位字符作为第二拆分密钥,将原始密钥拆分成第一拆分密钥“126”和第二拆分密钥“345”。
预设的密钥拆分规则还可以为:获取原始密钥中的第一位字符、第二位字符、第三位字符、第四位字符以及第五位字符作为第一拆分密钥,获取原始密钥中的第六位字符作为第二拆分密钥,将原始密钥拆分成第一拆分密钥“12345”和第二拆分密钥“6”。
步骤102、根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥。
本实施例中,加盐是指对字符串的固定位进行随机字符串的填充,被填充的内容叫做盐。加盐规则是对第二拆分密钥进行随机字符串的填充,将第二拆分密钥的长度扩展到与原始密钥的长度一致的规则。每一个密钥使用用户对应不同的加盐规则。相应的,与不同密钥使用用户对应的第二拓展密钥也是不相同的。
可选的,根据与目标密钥使用用户对应的加盐规则对第二拆分密钥进行加盐,将第二拆分密钥的长度扩展到与原始密钥的长度一致,得到与目标密钥使用用户对应的第二拓展密钥,然后将与目标密钥使用用户对应的第二拓展密钥发送给目标密钥使用用户。由此,可以根据第二拆分密钥和不同的加盐规则,生成不同的第二拓展密钥分配给每一个密钥使用用户。
在一个具体实例中,原始密钥为6位字符“123456”。根据预设的密钥拆分规则,获取原始密钥中的前三位字符作为第一拆分密钥,获取原始密钥的中后三位字符作为第二拆分密钥,将原始密钥拆分成第一拆分密钥“123”和第二拆分密钥“456”。根据与目标密钥使用用户对应的加盐规则对第二拆分密钥“456”进行加盐,将第二拆分密钥“456”的长度扩展到与原始密钥“123456”的长度一致,得到与目标密钥使用用户对应的第二拓展密钥“456abc”。
步骤103、根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件。
可选的,将第一拆分密钥、对称加密算法、对称加密算法的逆算法(即解密算法)、检验加解密请求中的第二拓展密钥是否合法的算法、剔除加解密请求中的第二拓展密钥中的盐值的算法、以及根据与预设的密钥拆分规则对应的密钥结合规则结合第一拆分密钥和第一拆分密钥的算法一同打包,生成与第二拓展密钥对应的加解密插件。每一个密钥使用用户可以使用分配的第二拓展密钥,调用与第二拓展密钥对应的加解密插件,对数据进行加密或者解密。
加解密插件就是将对称加密算法、对称加密算法的逆算法(即解密算法) 等算法和第一拆分密钥编译链接后生成的动态链接库,在可执行文件装载时或运行时,由操作系统的装载程序加载库文件,通常windows系统下为dll文件,linux系统下为so文件。
步骤104、通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法:如果所述加解密请求中的第二拓展密钥合法,则执行步骤105;如果所述加解密请求中的第二拓展密钥不合法,则执行步骤106。
本实施例中,目标密钥使用用户可以通过发送加解密请求,请求调用与第二拓展密钥对应的加解密插件,对数据进行加密或者解密。加解密请求携带第二拓展密钥和待加解密数据。第二拓展密钥即为目标密钥使用用户使用与第二拓展密钥对应的加解密插件的密码。
可选的,加解密请求可以包括加密请求和解密请求。加密请求携带第二拓展密钥和待加密数据。解密请求携带第二拓展密钥和待解密数据。
可选的,所述通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法,可以包括:通过所述加解密插件,在检测到与所述第二拓展密钥对应的加密请求时,检验所述加密请求中的第二拓展密钥是否合法。
可选的,所述通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法,可以包括:通过所述加解密插件,在检测到与所述第二拓展密钥对应的解密请求时,检验所述解密请求中的第二拓展密钥是否合法。
可选的,所述检验所述加解密请求中的第二拓展密钥是否合法,可以包括:根据所述加解密请求中的第二拓展密钥的盐值信息,确定与所述第二拓展密钥对应的目标密钥使用用户;判断发送所述加解密请求的用户是否是与所述第二拓展密钥对应的目标密钥使用用户;如果发送所述加解密请求的用户是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥合法;如果发送所述加解密请求的用户不是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥不合法。
第二拓展密钥的盐值信息可以包括与第二拓展密钥对应的加盐规则。每一个密钥使用用户对应不同的加盐规则。根据与第二拓展密钥对应的加盐规则,可以确定与第二拓展密钥对应的目标密钥使用用户。
如果发送加解密请求的用户是与第二拓展密钥对应的目标密钥使用用户,表明是与第二拓展密钥对应的目标密钥使用用户发送加解密请求,请求调用与第二拓展密钥对应的加解密插件,对数据进行加密或者解密,则确定加解密请求中的第二拓展密钥合法。
如果发送加解密请求的用户不是与第二拓展密钥对应的目标密钥使用用户,表明当前的加解密请求不是与第二拓展密钥对应的目标密钥使用用户发送的,分配给目标密钥使用用户的第二拓展密钥可能已经泄露,则确定所述加解密请求中的第二拓展密钥不合法。
由此,通过检验加解密请求中的第二拓展密钥是否合法,保证仅有第二拓展密钥所对应的目标密钥使用用户可以使用与第二拓展密钥对应的加解密插件。
步骤105、通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果。
本实施例中,盐值为根据与目标密钥使用用户对应的加盐规则填充的字符。与所述预设的密钥拆分规则对应的密钥结合规则是密钥拆分规则的逆规则,可以将按照预设的密钥拆分规则拆分得到的第一拆分密钥和第二拆分密钥结合,得到拆分前的原始密钥。
可选的,所述通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果,可以包括:通过所述加解密插件,剔除所述加密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;通过所述加解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;通过所述加解密插件,根据所述原始密钥对所述加密请求中的待加密数据进行加密,输出加密结果。
具体的,通过加解密插件,根据剔除加解密请求中的第二拓展密钥中的盐值的算法,剔除加密请求中的第二拓展密钥中的盐值,得到第二拆分密钥。然后通过加解密插件,根据与预设的密钥拆分规则对应的密钥结合规则,结合第一拆分密钥和第二拆分密钥,得到原始密钥。最后通过加解密插件,根据原始密钥和对称加密算法对加密请求中的待加密数据进行加密,输出加密结果。
可选的,所述通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果,可以包括:通过所述加解密插件,剔除所述解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;通过所述解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;通过所述解密插件,根据所述原始密钥对所述解密请求中的待解密数据进行解密,输出解密结果。
具体的,通过加解密插件,根据剔除加解密请求中的第二拓展密钥中的盐值的算法,剔除解密请求中的第二拓展密钥中的盐值,得到第二拆分密钥。然后通过加解密插件,根据与预设的密钥拆分规则对应的密钥结合规则,结合第一拆分密钥和第二拆分密钥,得到原始密钥。最后通过加解密插件,根据原始密钥和对称加密算法的逆算法(即解密算法)对解密请求中的待解密数据进行解密,输出解密结果。
步骤106、根据所述加解密请求中的第二拓展密钥生成日志信息。
本实施例中,如果加解密请求中的第二拓展密钥不合法,则根据加解密请求中的第二拓展密钥生成日志信息。相应的,加密请求中的待加密数据加密失败,或者解密请求中的待解密数据解密失败。根据日志信息中的第二拓展密钥的盐值信息,可以确定与第二拓展密钥对应的目标密钥使用用户。与第二拓展密钥对应的目标密钥使用用户可能为密钥泄露者。由此,根据日志信息中的不同的第二拓展密钥的盐值信息,可以确定不同的密钥泄露者。
可选的,对称加密密钥保护方法还包括:根据当前设备的硬件标识信息,建立加解密插件与当前设备的绑定关系;将根据硬件标识信息检查绑定关系的算法打包至加解密插件中;通过加解密插件,在检测到与第二拓展密钥对应的加解密请求时,根据加解密插件所在设备的硬件标识信息,检查加解密插件所在设备是否为与加解密插件绑定的设备;若是,则继续执行后续步骤;若否,则结束流程。由此,在加解密插件离开当前设备后,即使有额外的密钥也无法使用。
可选的,硬件标识信息可以为网卡物理地址(网卡MAC地址)或者通用唯一识别码(Universally Unique Identifier,UUID)。
可选的,对称加密密钥保护方法还包括:根据各密钥使用用户、以及与各密钥使用用户对应的第二拓展密钥,建立密钥使用用户与第二拓展密钥之间的对应表。根据密钥使用用户与第二拓展密钥之间的对应表,可以确定各密钥使用用户的专属密钥。根据密钥使用用户与第二拓展密钥之间的对应表、日志信息中的第二拓展密钥,可以确定密钥泄露者,方便排查和定位安全隐患。
本实施例中,执行对称加密密钥保护方法的当前设备即为密钥管理者。本实施例可以在对称加密的基础上,引入密钥管理者角色,保证密钥使用用户不会获知完整的密钥,有效避免密钥的泄漏,同时可以保证原始密钥的每个使用者都可以分配到专有的密钥,且拥有不同等级的加解密能力。密钥管理者和密钥使用用户都只有部分密钥,且两部分密钥相互校验,缺一不可,实现了对称加密密钥的非对称使用,增强了密钥安全性,降低密钥泄露风险。
在某些场景中,密钥需要定期更新。为保证历史加密数据的可用性,必须先对原有数据进行解密,再使用新密码进行加密,需要投入大量的算力和时间。本实施例可以通过密钥对更新,避免海量历史数据的二次计算,节省大量设备投入和时间成本。
本实施例中,密钥使用用户依赖加解密插件进行数据加密或者解密,无完整原始密钥,无加密算法,无解密算法。加解密插件中有算法,有部分密钥,但是依赖加解密请求中的第二拓展密钥才能计算出完整的原始密钥,所以加解密插件被非法下载后无法使用。
本实施例中,根据不同的加盐规则,可以将本来唯一的第二拆分密钥映射成无数个第二拓展密钥,分配给每个密钥使用用户。如果第二拓展密钥泄露,方便定位到密钥泄露位置,同时能提高每个密钥使用用户对密钥的保护意识。
本实施例中,加解密插件可以支持windows平台(dll文件)、linux平台 (so文件)、MacOS平台(dylib文件)等多种平台环境。
本实施例中,可以通过重新执行步骤102-步骤106的方式,定期更改对外密钥,且不存在历史数据无法使用的问题。
本发明实施例提供了一种对称加密密钥保护方法,通过根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥,然后根据与目标密钥使用用户对应的加盐规则对第二拆分密钥进行加盐,得到第二拓展密钥,根据第一拆分密钥,建立与第二拓展密钥对应的加解密插件,通过加解密插件在检测到与第二拓展密钥对应的加解密请求时,检验加解密请求中的第二拓展密钥是否合法;若是,则剔除第二拓展密钥中的盐值得到第二拆分密钥,结合第一拆分密钥和第一拆分密钥得到原始密钥,根据原始密钥对待加解密数据进行加密或者解密,可以通过根据与目标密钥使用用户对应的加盐规则和第二拆分密钥生成第二拓展密钥,保证密钥使用用户不会获知完整的原始密钥,有效避免原始密钥的泄漏,同时可以保证原始密钥的每个使用者都可以分配到专有的密钥,增强了密钥安全性,降低了密钥泄露风险。
实施例二
图2为本发明实施例二提供的一种对称加密密钥保护方法的流程图。本发明实施例可以与上述一个或者多个实施例中各个可选方案结合,在本发明实施例中,所述加解密请求包括加密请求,所述待加解密数据包括所述待加密数据,所述加解密结果包括加密结果;所述通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法,可以包括:通过所述加解密插件,在检测到与所述第二拓展密钥对应的加密请求时,检验所述加密请求中的第二拓展密钥是否合法。
以及,所述通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果,可以包括:通过所述加解密插件,剔除所述加密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;通过所述加解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;通过所述加解密插件,根据所述原始密钥对所述加密请求中的待加密数据进行加密,输出加密结果。
如图2所示,本发明实施例的方法具体包括:
步骤201、根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥。
本实施例中未详尽的描述可以参考前述实施例。
步骤202、根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥。
步骤203、根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件。
步骤204、通过所述加解密插件,在检测到与所述第二拓展密钥对应的加密请求时,检验所述加密请求中的第二拓展密钥是否合法:如果所述加密请求中的第二拓展密钥合法,则执行步骤205;如果所述加密请求中的第二拓展密钥不合法,则执行步骤208。
步骤205、通过所述加解密插件,剔除所述加密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥。
可选的,通过加解密插件,根据剔除加解密请求中的第二拓展密钥中的盐值的算法,剔除加密请求中的第二拓展密钥中的盐值,得到第二拆分密钥。
步骤206、通过所述加解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥。
步骤207、通过所述加解密插件,根据所述原始密钥对所述加密请求中的待加密数据进行加密,输出加密结果。
可选的,通过加解密插件,根据原始密钥和对称加密算法对加密请求中的待加密数据进行加密,输出加密结果。
步骤208、根据所述加密请求中的第二拓展密钥生成日志信息。
本发明实施例提供了一种对称加密密钥保护方法,通过在加密请求中的第二拓展密钥合法时,通过加解密插件,剔除加密请求中的第二拓展密钥中的盐值,得到第二拆分密钥;通过加解密插件,根据与预设的密钥拆分规则对应的密钥结合规则,结合第一拆分密钥和所述第二拆分密钥,得到原始密钥;通过加解密插件,根据原始密钥对加密请求中的待加密数据进行加密,输出加密结果,可以在确定加密请求中的第二拓展密钥合法后,通过加解密插件对加密请求中的待加密数据进行加密,输出加密结果。
实施例三
图3为本发明实施例三提供的一种对称加密密钥保护方法的流程图。本发明实施例可以与上述一个或者多个实施例中各个可选方案结合,在本发明实施例中,所述加解密请求包括解密请求,所述待加解密数据包括待解密数据,所述加解密结果包括解密结果;所述通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法,可以包括:通过所述加解密插件,在检测到与所述第二拓展密钥对应的解密请求时,检验所述解密请求中的第二拓展密钥是否合法。
以及,所述通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果,可以包括:通过所述加解密插件,剔除所述解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;通过所述解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;通过所述解密插件,根据所述原始密钥对所述解密请求中的待解密数据进行解密,输出解密结果。
如图3所示,本发明实施例的方法具体包括:
步骤301、根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥。
本实施例中未详尽的描述可以参考前述实施例。
步骤302、根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥。
步骤303、根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件。
步骤304、通过所述加解密插件,在检测到与所述第二拓展密钥对应的解密请求时,检验所述解密请求中的第二拓展密钥是否合法:如果所述解密请求中的第二拓展密钥合法,则执行步骤305;如果所述解密请求中的第二拓展密钥不合法,则执行步骤308。
步骤305、通过所述加解密插件,剔除所述解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥。
可选的,通过加解密插件,根据剔除加解密请求中的第二拓展密钥中的盐值的算法,剔除解密请求中的第二拓展密钥中的盐值,得到第二拆分密钥。
步骤306、通过所述加解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥。
步骤307、通过所述加解密插件,根据所述原始密钥对所述解密请求中的待解密数据进行解密,输出解密结果。
可选的,通过加解密插件,根据原始密钥和对称加密算法的逆算法(即解密算法)对解密请求中的待解密数据进行解密,输出解密结果。
步骤308、根据所述解密请求中的第二拓展密钥生成日志信息。
本发明实施例提供了一种对称加密密钥保护方法,通过在解密请求中的第二拓展密钥合法时,通过加解密插件,剔除解密请求中的第二拓展密钥中的盐值,得到第二拆分密钥;通过解密插件,根据与预设的密钥拆分规则对应的密钥结合规则,结合第一拆分密钥和第二拆分密钥,得到原始密钥;通过解密插件,根据原始密钥对解密请求中的待解密数据进行解密,输出解密结果,可以在确定解密请求中的第二拓展密钥合法后,通过加解密插件对解密请求中的待解密数据进行解密,输出解密结果。
实施例四
图4为本发明实施例四提供的一种对称加密密钥保护装置的结构示意图。如图4所示,所述装置包括:密钥拆分模块401、密钥加盐模块402、插件建立模块403、合法性检验模块404以及结果输出模块405。
其中,密钥拆分模块401,用于根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;密钥加盐模块402,用于根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥;插件建立模块403,用于根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件;合法性检验模块404,用于通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;结果输出模块405,用于如果所述加解密请求中的第二拓展密钥合法,则通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果。
本发明实施例提供了一种对称加密密钥保护装置,通过根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥,然后根据与目标密钥使用用户对应的加盐规则对第二拆分密钥进行加盐,得到第二拓展密钥,根据第一拆分密钥,建立与第二拓展密钥对应的加解密插件,通过加解密插件在检测到与第二拓展密钥对应的加解密请求时,检验加解密请求中的第二拓展密钥是否合法;若是,则剔除第二拓展密钥中的盐值得到第二拆分密钥,结合第一拆分密钥和第一拆分密钥得到原始密钥,根据原始密钥对待加解密数据进行加密或者解密,可以通过根据与目标密钥使用用户对应的加盐规则和第二拆分密钥生成第二拓展密钥,保证密钥使用用户不会获知完整的原始密钥,有效避免原始密钥的泄漏,同时可以保证原始密钥的每个使用者都可以分配到专有的密钥,增强了密钥安全性,降低了密钥泄露风险。
在本发明实施例的一个可选实施方式中,可选的,对称加密密钥保护装置可以还包括:日志记录模块,用于如果所述加解密请求中的第二拓展密钥不合法,则根据所述加解密请求中的第二拓展密钥生成日志信息。
在本发明实施例的一个可选实施方式中,可选的,合法性检验模块404可以包括:用户确定单元,用于根据所述加解密请求中的第二拓展密钥的盐值信息,确定与所述第二拓展密钥对应的目标密钥使用用户;用户判断单元,用于判断发送所述加解密请求的用户是否是与所述第二拓展密钥对应的目标密钥使用用户;第一确定单元,用于如果发送所述加解密请求的用户是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥合法;第二确定单元,用于如果发送所述加解密请求的用户不是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥不合法。
在本发明实施例的一个可选实施方式中,可选的,所述加解密请求包括加密请求,所述待加解密数据包括所述待加密数据,所述加解密结果包括加密结果;合法性检验模块404可以包括:加密检验单元,用于通过所述加解密插件,在检测到与所述第二拓展密钥对应的加密请求时,检验所述加密请求中的第二拓展密钥是否合法。
在本发明实施例的一个可选实施方式中,可选的,结果输出模块405可以包括:第一盐值剔除单元,用于通过所述加解密插件,剔除所述加密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;第一密钥结合单元,用于通过所述加解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;加密结果输出单元,用于通过所述加解密插件,根据所述原始密钥对所述加密请求中的待加密数据进行加密,输出加密结果。
在本发明实施例的一个可选实施方式中,可选的,所述加解密请求包括解密请求,所述待加解密数据包括待解密数据,所述加解密结果包括解密结果;合法性检验模块404可以包括:解密检验单元,用于通过所述加解密插件,在检测到与所述第二拓展密钥对应的解密请求时,检验所述解密请求中的第二拓展密钥是否合法。
在本发明实施例的一个可选实施方式中,可选的,结果输出模块405可以包括:第二盐值剔除单元,用于通过所述加解密插件,剔除所述解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;第二密钥结合单元,用于通过所述解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;解密结果输出单元,用于通过所述解密插件,根据所述原始密钥对所述解密请求中的待解密数据进行解密,输出解密结果。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
上述对称加密密钥保护装置可执行本发明任意实施例所提供的对称加密密钥保护方法,具备执行对称加密密钥保护方法相应的功能模块和有益效果。
实施例五
图5为本发明实施例五提供的一种计算机设备的结构示意图。图5示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图5显示的计算机设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机设备12以通用计算设备的形式表现。计算机设备12 的组件可以包括但不限于:一个或者多个处理器16,存储器28,连接不同系统组件(包括存储器28和处理器16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构 (ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘 (例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM, DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/ 或方法。
计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机设备12交互的设备通信,和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/ 输出(I/O)接口22进行。并且,计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白,尽管图5中未示出,可以结合计算机设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,实现本发明实施例所提供的对称加密密钥保护方法:根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥;根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件;通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;如果所述加解密请求中的第二拓展密钥合法,则通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果。
实施例六
本发明实施例六提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现本发明实施例所提供的对称加密密钥保护方法:根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥;根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件;通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;如果所述加解密请求中的第二拓展密钥合法,则通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、 Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或计算机设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网 (WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种对称加密密钥保护方法,其特征在于,包括:
根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;
根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥;
根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件;
通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;
如果所述加解密请求中的第二拓展密钥合法,则通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果;
所述检验所述加解密请求中的第二拓展密钥是否合法,包括:
根据所述加解密请求中的第二拓展密钥的盐值信息,确定与所述第二拓展密钥对应的目标密钥使用用户;
判断发送所述加解密请求的用户是否是与所述第二拓展密钥对应的目标密钥使用用户;
如果发送所述加解密请求的用户是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥合法;
如果发送所述加解密请求的用户不是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥不合法。
2.根据权利要求1所述的方法,其特征在于,在通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法之后,还包括:
如果所述加解密请求中的第二拓展密钥不合法,则根据所述加解密请求中的第二拓展密钥生成日志信息。
3.根据权利要求1所述的方法,其特征在于,所述加解密请求包括加密请求,所述待加解密数据包括待加密数据,所述加解密结果包括加密结果;
所述通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法,包括:
通过所述加解密插件,在检测到与所述第二拓展密钥对应的加密请求时,检验所述加密请求中的第二拓展密钥是否合法。
4.根据权利要求3所述的方法,其特征在于,所述通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果,包括:
通过所述加解密插件,剔除所述加密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;
通过所述加解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;
通过所述加解密插件,根据所述原始密钥对所述加密请求中的待加密数据进行加密,输出加密结果。
5.根据权利要求1所述的方法,其特征在于,所述加解密请求包括解密请求,所述待加解密数据包括待解密数据,所述加解密结果包括解密结果;
所述通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法,包括:
通过所述加解密插件,在检测到与所述第二拓展密钥对应的解密请求时,检验所述解密请求中的第二拓展密钥是否合法。
6.根据权利要求5所述的方法,其特征在于,所述通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果,包括:
通过所述加解密插件,剔除所述解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥;
通过所述解密插件,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥;
通过所述解密插件,根据所述原始密钥对所述解密请求中的待解密数据进行解密,输出解密结果。
7.一种对称加密密钥保护装置,其特征在于,包括:
密钥拆分模块,用于根据预设的密钥拆分规则,将原始密钥拆分成第一拆分密钥和第二拆分密钥;
密钥加盐模块,用于根据与目标密钥使用用户对应的加盐规则对所述第二拆分密钥进行加盐,将所述第二拆分密钥的长度扩展到与所述原始密钥的长度一致,得到与所述目标密钥使用用户对应的第二拓展密钥;
插件建立模块,用于根据所述第一拆分密钥,建立与所述第二拓展密钥对应的加解密插件;
合法性检验模块,用于通过所述加解密插件,在检测到与所述第二拓展密钥对应的加解密请求时,检验所述加解密请求中的第二拓展密钥是否合法;
结果输出模块,用于如果所述加解密请求中的第二拓展密钥合法,则通过所述加解密插件,剔除所述加解密请求中的第二拓展密钥中的盐值,得到所述第二拆分密钥,根据与所述预设的密钥拆分规则对应的密钥结合规则,结合所述第一拆分密钥和所述第二拆分密钥,得到所述原始密钥,并根据所述原始密钥对所述加解密请求中的待加解密数据进行加密或者解密,输出加解密结果;
合法性检验模块包括:用户确定单元,用于根据所述加解密请求中的第二拓展密钥的盐值信息,确定与所述第二拓展密钥对应的目标密钥使用用户;用户判断单元,用于判断发送所述加解密请求的用户是否是与所述第二拓展密钥对应的目标密钥使用用户;第一确定单元,用于如果发送所述加解密请求的用户是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥合法;第二确定单元,用于如果发送所述加解密请求的用户不是与所述第二拓展密钥对应的目标密钥使用用户,则确定所述加解密请求中的第二拓展密钥不合法。
8.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6中任一所述的对称加密密钥保护方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-6中任一所述的对称加密密钥保护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010844944.2A CN112115491B (zh) | 2020-08-20 | 2020-08-20 | 一种对称加密密钥保护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010844944.2A CN112115491B (zh) | 2020-08-20 | 2020-08-20 | 一种对称加密密钥保护方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112115491A CN112115491A (zh) | 2020-12-22 |
| CN112115491B true CN112115491B (zh) | 2024-03-22 |
Family
ID=73804310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010844944.2A Active CN112115491B (zh) | 2020-08-20 | 2020-08-20 | 一种对称加密密钥保护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112115491B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113346999B (zh) * | 2021-08-09 | 2021-10-26 | 国网浙江省电力有限公司杭州供电公司 | 一种基于拆分加密的大脑中枢系统 |
| CN114978679B (zh) * | 2022-05-18 | 2024-05-31 | 深圳市乐凡信息科技有限公司 | 基于平板的在线考试方法及相关设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105992203A (zh) * | 2015-01-29 | 2016-10-05 | 成都三零瑞通移动通信有限公司 | 一种语音通信加密密钥协商方法及基于该方法的系统 |
| CN106301763A (zh) * | 2016-08-31 | 2017-01-04 | 国家超级计算深圳中心(深圳云计算中心) | 一种基于二重盐值的数据加密与解密方法及系统 |
| CN106357390A (zh) * | 2016-10-21 | 2017-01-25 | 青岛海信电器股份有限公司 | 动态加密方法及装置 |
| WO2018024056A1 (zh) * | 2016-08-05 | 2018-02-08 | 华为技术有限公司 | 用户口令管理的方法和服务器 |
| CN108377187A (zh) * | 2018-03-21 | 2018-08-07 | 山东超越数控电子股份有限公司 | 一种基于生物特征的区块链私钥使用方法与装置 |
| CN109474423A (zh) * | 2018-12-10 | 2019-03-15 | 平安科技(深圳)有限公司 | 数据加解密方法、服务器及存储介质 |
| CN109658078A (zh) * | 2018-12-19 | 2019-04-19 | 上海和数软件有限公司 | 基于生物特征的区块链私钥生成方法、装置及介质 |
| CN110912690A (zh) * | 2019-11-01 | 2020-03-24 | 中国第一汽车股份有限公司 | 一种数据加密和解密方法、车辆和存储介质 |
| CN110932851A (zh) * | 2019-11-29 | 2020-03-27 | 四川省数字证书认证管理中心有限公司 | 一种基于pki的多方协同运算的密钥保护方法 |
| CN111211891A (zh) * | 2020-01-13 | 2020-05-29 | 广东跑合中药材电子商务有限公司 | 一种多维度aes对称加解密方法 |
| CN111291398A (zh) * | 2020-03-04 | 2020-06-16 | 恒安嘉新(北京)科技股份公司 | 基于区块链的认证方法、装置、计算机设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130290731A1 (en) * | 2012-04-26 | 2013-10-31 | Appsense Limited | Systems and methods for storing and verifying security information |
| WO2015062904A1 (en) * | 2013-10-28 | 2015-05-07 | Kmaas Aps | A system and a method for management of confidential data |
| US9819656B2 (en) * | 2014-05-09 | 2017-11-14 | Sony Interactive Entertainment Inc. | Method for secure communication using asymmetric and symmetric encryption over insecure communications |
| US11082221B2 (en) * | 2018-10-17 | 2021-08-03 | Ping Identity Corporation | Methods and systems for creating and recovering accounts using dynamic passwords |
-
2020
- 2020-08-20 CN CN202010844944.2A patent/CN112115491B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105992203A (zh) * | 2015-01-29 | 2016-10-05 | 成都三零瑞通移动通信有限公司 | 一种语音通信加密密钥协商方法及基于该方法的系统 |
| WO2018024056A1 (zh) * | 2016-08-05 | 2018-02-08 | 华为技术有限公司 | 用户口令管理的方法和服务器 |
| CN106301763A (zh) * | 2016-08-31 | 2017-01-04 | 国家超级计算深圳中心(深圳云计算中心) | 一种基于二重盐值的数据加密与解密方法及系统 |
| CN106357390A (zh) * | 2016-10-21 | 2017-01-25 | 青岛海信电器股份有限公司 | 动态加密方法及装置 |
| CN108377187A (zh) * | 2018-03-21 | 2018-08-07 | 山东超越数控电子股份有限公司 | 一种基于生物特征的区块链私钥使用方法与装置 |
| CN109474423A (zh) * | 2018-12-10 | 2019-03-15 | 平安科技(深圳)有限公司 | 数据加解密方法、服务器及存储介质 |
| CN109658078A (zh) * | 2018-12-19 | 2019-04-19 | 上海和数软件有限公司 | 基于生物特征的区块链私钥生成方法、装置及介质 |
| CN110912690A (zh) * | 2019-11-01 | 2020-03-24 | 中国第一汽车股份有限公司 | 一种数据加密和解密方法、车辆和存储介质 |
| CN110932851A (zh) * | 2019-11-29 | 2020-03-27 | 四川省数字证书认证管理中心有限公司 | 一种基于pki的多方协同运算的密钥保护方法 |
| CN111211891A (zh) * | 2020-01-13 | 2020-05-29 | 广东跑合中药材电子商务有限公司 | 一种多维度aes对称加解密方法 |
| CN111291398A (zh) * | 2020-03-04 | 2020-06-16 | 恒安嘉新(北京)科技股份公司 | 基于区块链的认证方法、装置、计算机设备及存储介质 |
Non-Patent Citations (5)
| Title |
|---|
| 基于分区储存的安全U盘密钥管理方案;高杨;;电子世界(第09期);85-86 * |
| 基于访问控制和中国剩余定理的数据库密钥管理方案的研究;闫玺玺;胡前伟;汤永利;叶青;李子臣;;计算机工程与科学(第08期);1457-1464 * |
| 密钥管理服务的设计与实现;夏明瑞;中国优秀硕士学位论文全文数据库 信息科技辑(第8期);I136-137 * |
| 工业互联网安全监测与态势感知平台解决方案;田野等;应用科学学报;第33卷(第6期);585-594 * |
| 工业互联网安全监测与态势感知平台解决方案;陈晓光等;信息技术与标准化(第9期);33-36 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112115491A (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11651113B2 (en) | Program execution device | |
| CN100487715C (zh) | 一种数据安全存储系统和装置及方法 | |
| US20170295013A1 (en) | Method for fulfilling a cryptographic request requiring a value of a private key | |
| CN105681039A (zh) | 用于生成密钥及对应解密的方法和设备 | |
| CN105450620A (zh) | 一种信息处理方法及装置 | |
| US9256756B2 (en) | Method of encryption and decryption for shared library in open operating system | |
| CN107196907B (zh) | 一种安卓so文件的保护方法及装置 | |
| CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN110245466B (zh) | 软件完整性保护和验证方法、系统、设备及存储介质 | |
| US20180204004A1 (en) | Authentication method and apparatus for reinforced software | |
| CN112115491B (zh) | 一种对称加密密钥保护方法、装置、设备及存储介质 | |
| US20090202078A1 (en) | Device, system, and method of securely executing applications | |
| US9292708B2 (en) | Protection of interpreted source code in virtual appliances | |
| JPH1131105A (ja) | データカプセル生成装置および方法 | |
| CN113032741B (zh) | 类文件加密方法、类文件运行方法、装置、设备及介质 | |
| US8972745B2 (en) | Secure data handling in a computer system | |
| CN104392153A (zh) | 一种软件保护方法及系统 | |
| CN111475844A (zh) | 一种数据共享方法、装置、设备及计算机可读存储介质 | |
| KR20140089703A (ko) | 모바일 데이터 보안 장치 및 방법 | |
| KR101405915B1 (ko) | 데이터의 암호화 저장 방법 및 암호화된 데이터의 판독방법 | |
| CN115033870A (zh) | 一种基于大数据云部署的反恶意篡改代码方法和装置 | |
| CN111062053B (zh) | 生物特征数据的处理方法、装置、设备及介质 | |
| CN109462604B (zh) | 一种数据传输方法、装置、设备及存储介质 | |
| CN114389790A (zh) | 一种安全多方计算方法及装置 | |
| WO2021165962A1 (en) | System and method for generation of a disposable software module for cryptographic material protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |