CN112134693A - 密钥加密存储方法、获取方法及其装置 - Google Patents
密钥加密存储方法、获取方法及其装置 Download PDFInfo
- Publication number
- CN112134693A CN112134693A CN201910554285.6A CN201910554285A CN112134693A CN 112134693 A CN112134693 A CN 112134693A CN 201910554285 A CN201910554285 A CN 201910554285A CN 112134693 A CN112134693 A CN 112134693A
- Authority
- CN
- China
- Prior art keywords
- key
- information
- protected
- encryption key
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提出一种密钥加密存储方法、获取方法及其装置,其中,该方法包括:在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,对待保护密钥进行加密处理,得到待保护密钥的目标加密密钥,并在目标设备中存储目标加密密钥。由此,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识对待保护密钥进行加密存储,保障了密钥在目标设备上的隐秘特性,提高了目标设备中密钥的安全性,从而进一步保障密文在整个加密周期的安全性。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种密钥加密存储方法、获取方法及其装置。
背景技术
随着大数据和人工智能的不断发展,信息安全愈发重要,现有技术中,可通过信息传输加密技术保障信息安全,信息传输加密技术发展趋势为非对称加密。非对称加密技术又称公钥加密技术,其密钥由公钥和私钥对组成,公钥用于加密,私钥用于解密,并且私钥不参与传输,其基于素域区间的椭圆曲线上的离散对数。
然而,现阶段,相关技术中通常将密钥直接存储在电子设备中,如果存储密钥的电子设备被入侵将导致私钥泄漏,进而影响到密文的安全。因此,保证电子设备中密钥的安全性对密文的安全十分重要。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请第一个目的在于提出一种密钥加密存储方法,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识对待保护密钥进行加密存储,保障了密钥在目标设备上的隐秘特性,提高了目标设备中密钥的安全性,从而进一步保障密文在整个加密周期的安全性。
本申请第二个目的在于提出一种密钥的获取方法。
本申请第三个目的在于提出一种密钥加密存储装置。
本申请第四个目的在于提出一种密钥的获取装置。
本申请第五个目的在于提出一种电子设备。
本申请第六个目的在于提出一种计算机可读存储介质。
为达上述目的,本申请第一方面实施例提出了一种密钥加密存储方法,包括以下步骤:检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息,其中,所述设备信息用于标识所述目标设备;获取与所述待保护密钥相关联的用户标识;根据所述用户标识、所述设备信息和所述管理员信息生成密钥保护信息;根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,并将所述目标加密密钥存储在所述目标设备中。
本申请实施例的密钥加密存储方法,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,对待保护密钥进行加密处理,得到待保护密钥的目标加密密钥,并在目标设备中存储目标加密密钥。由此,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识对待保护密钥进行加密存储,保障了密钥在目标设备上的隐秘特性,提高了目标设备中密钥的安全性,从而进一步保障密文的安全性。
为达上述目的,本申请第二方面实施例提出了一种密钥的获取方法,包括:在对当前设备中的目标加密密钥进行解密时,获取所述当前设备的第一设备信息和第一管理员信息,并获取对所述目标加密密钥进行加密操作时所使用的第一用户标识,其中,所述第一设备信息用于标识所述当前设备,所述目标加密密钥是根据第一密钥保护信息对待保护密钥进行加密得到的,所述第一密钥保护信息是根据第二用户标识、第二设备信息和第二管理员信息生成的,所述第二设备信息为目标设备的设备信息,所述第二设备信息用于标识所述目标设备;如果确定所述第一用户标识与所述第二用户标识、所述第一设备信息与所述第二设备信息、所述第一管理员信息与所述第二管理员信息均一致,则根据所述第一用户标识、所述第一设备信息和所述第一管理员信息生成第二密钥保护信息;根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥。
本申请实施例的密钥的获取方法,在对当前设备中的目标加密密钥进行解密时,获取当前设备的第一设备信息和第一管理员信息,并获取对目标加密密钥进行加密操作时所使用的第一用户标识,以及在确定解密目标加密密钥时所使用的用户标识、设备信息和管理员信息与加密时所使用的用户标识、设备信息和管理员信息均一致时,根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息,并根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥。由此,实现了用户标识,设备信息,管理员信息三者的秘钥绑定,只有三者条件同时满足才可以快速解密,增加了破解难度,提高了设备中密钥的安全性。
为达上述目的,本申请第三方面实施例提出了一种密钥加密存储装置,所述装置包括:第一获取模块,用于检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息,其中,所述设备信息用于标识所述目标设备;第二获取模块,用于获取与所述待保护密钥相关联的用户标识;第一生成模块,用于根据所述用户标识、所述设备信息和所述管理员信息生成密钥保护信息;第一处理模块,用于根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,并将所述目标加密密钥存储在所述目标设备中。
本申请实施例的密钥加密存储装置,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,对待保护密钥进行加密处理,得到待保护密钥的目标加密密钥,并在目标设备中存储目标加密密钥。由此,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识对待保护密钥进行加密存储,保障了密钥在目标设备上的隐秘特性,提高了目标设备中密钥的安全性,从而进一步保障密文的安全性。
为达上述目的,本申请第四方面实施例提出了一种密钥的获取装置,所述装置包括:第五获取模块,用于在对当前设备中的目标加密密钥进行解密时,获取所述当前设备的第一设备信息和第一管理员信息,并获取对所述目标加密密钥进行加密操作时所使用的第一用户标识,其中,所述第一设备信息用于标识所述当前设备,所述目标加密密钥是根据第一密钥保护信息对待保护密钥进行加密得到的,所述第一密钥保护信息是根据第二用户标识、第二设备信息和第二管理员信息生成的,所述第二设备信息为目标设备的设备信息,所述第二设备信息用于标识所述目标设备;第四生成模块,用于如果确定所述第一设备信息与所述第二设备信息、所述第一管理员信息与所述第二管理员信息均一致,则根据所述第一用户标识、所述第一设备信息和所述第一管理员信息生成第二密钥保护信息;第二处理模块,用于根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥。
本申请实施例的密钥的获取装置,在对当前设备中的目标加密密钥进行解密时,获取当前设备的第一设备信息和第一管理员信息,并获取对目标加密密钥进行加密操作时所使用的第一用户标识,以及在确定解密目标加密密钥时所使用的用户标识、设备信息和管理员信息与加密时所使用的用户标识、设备信息和管理员信息均一致时,根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息,并根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥。由此,实现了用户标识,设备信息,管理员信息三者的秘钥绑定,只有三者条件同时满足才可以快速解密,增加了破解难度,提高了设备中密钥的安全性。
为达上述目的,本申请第五方面实施例提出了一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现本申请第一方面实施例所述的密钥加密存储方法,或者本申请第二方面实施例的密钥的获取方法。
为了实现上述目的,本申请第六方面实施例提出了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请第一方面实施例所述的密钥加密存储方法,或者本申请第二方面实施例的密钥的获取方法。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本申请一个实施例的密钥加密存储方法的流程示意图;
图2是根据用户标识、设备信息和管理员密码的哈希值,通过密钥派生算法生成密钥保护信息的流程示意图;
图3是根据本申请另一个实施例的密钥加密存储方法的流程示意图;
图4是根据本申请另一个实施例的密钥加密存储方法的流程示意图;
图5是根据本申请另一个实施例的密钥加密存储方法的流程示意图;
图6是根据本申请另一个实施例的密钥加密存储方法的流程示意图;
图7是根据本申请一个实施例的密钥的获取方法的流程示意图;
图8是根据本申请一个实施例的密钥的获取方法的流程示意图;
图9是根据本申请一个实施例的密钥加密存储装置的结构示意图;
图10是根据本申请一个实施例的密钥的获取装置的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的密钥加密存储方法、获取方法及其装置。
图1是根据本申请一个实施例的密钥加密存储方法的流程示意图。
如图1所示,该密钥加密存储方法包括以下步骤:
步骤101,检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息。
其中,需要说明的是,本申请实施例的密钥加密存储方法由密钥加密存储装置执行,该密钥加密存储装置可以设置在用于存储待保护密钥的目标设备中。也就是说,本申请实施例的密钥加密存储方法应用在用于存储待保护密钥的目标设备中。
其中,目标设备可以为电子设备或者服务器,该实施例对目标设备不作限定。
本实施例待保护密钥是指需要在目标设备中待存储的密钥,例如,待保护密钥可以为在目标设备上需要存储的私钥。
上述设备信息用于标识目标设备,设备信息可以包括网卡物理地址(MAC地址)、硬盘序列号、内存序列号中的至少一种或者多种组合。由于设备的网卡MAC地址具有唯一性,且设备信息可以由至少一种组合,从而进一步提高了密钥存储的安全性。
本申请实施中,以设备信息为网卡MAC地址为例进行描述。
本实施例中的管理员信息可以是管理员密码信息,还可以是对管理员密码信息执行预设操作之后所得到的管理员的特征信息,例如,可通过预设哈希算法对管理员密码信息进行哈希计算之后,所得到的管理员密码的哈希值,而不局限于此。在本实施例中,为了保证目标设备的管理员信息的安全性,优选地,管理员信息为对管理员密码信息执行预设操作之后所得到的管理员的特征信息。
本实施例以管理员信息为管理员密码的哈希值为例进行描述。
步骤102,获取与待保护密钥相关联的用户标识。
步骤103,根据用户标识、设备信息和管理员信息生成密钥保护信息。
在本实施例中,在管理员信息为管理员密码的哈希值时,根据用户标识、设备信息和管理员信息生成密钥保护信息的具体实现过程可以为:根据用户标识、设备信息和管理员密码的哈希值,通过密钥派生算法生成密钥保护信息。
下面结合图2所示对根据用户标识、设备信息和管理员密码的哈希值,通过密钥派生算法生成密钥保护信息的具体过程进行描述,如图2所示,具体过程可以为:
步骤201,根据密钥保护信息的密钥长度k-len和哈希函数的输出值长度h-len,确定迭代次数n,初始化i=0,比特串变量H1为空。
在本申请的一个实施例中,可根据待保护密钥的密钥长度,确定密钥保护信息的密钥长度k-len。作为一种示例,可将2倍的待保护密钥的密钥长度,作为密钥保护信息的密钥长度。例如,待保护密钥的密钥长度为64位,密钥保护信息的密钥长度可以为128位。
其中,迭代次数n=k_len/h_len,表示向上取值。
步骤202,判断i<n是否为真,若为真,则执行步骤203,否则执行步骤207。
步骤203,计数器ts1的值编码:整数->字符串->字节->十六进制字符串ts2。
步骤204,计算H1=H1+HASH(Hexstr||ts2)。
其中,输入参数为十六进制字符串Hexstr,Hexstr是对用户标识、设备信息和管理员信息进行字符串拼接得到的。例如,用户标识usrID,设备信息MAC,管理员信息为管理员密码AP的哈希值HASH(AP),输入参数Hexstr,可以是对用户标识usrID,设备信息MAC以及HASH(AP)进行字符拼接得到的,其中,Hexstr=usrID||MAC||HASH(AP)。
其中,ts2是十六进制字符串,是通过计数器ts1的值进行整数到字符串到字节串到十六进制字符串的编码获得的。
其中,||表示字符串的拼接,HASH()表示哈希函数,可以理解的是,HASH()可以选择国密加密算法SM3的杂凑函数,也可以选择SHA-256算法,MD5算法等,在实际应用中,可以根据需求选择对应的类型的哈希函数,该实施例对此不作限定。
步骤205,计算ts1=ts1+1
步骤206,计算i=i+1,并执行步骤202。
步骤207,输出H1中右边2*k_len个元素的秘钥字符串Key。
可以理解的是,除了上述根据用户标识、设备信息和管理员密码的哈希值,通过密钥派生算法生成密钥保护信息的方式外,在获取用户标识、设备信息和管理员信息后,还可以通过其他方式生成密钥保护信息,例如,可通过对用户标识、设备信息和管理员信息进行异或处理,并将异或处理结果作为密钥保护信息,或者,可对用户标识、设备信息和管理员信息三者直接进行拼接,并将拼接后所获得的字符串,作为密钥保护信息,而不局限于此。
步骤104,根据密钥保护信息对待保护密钥进行加密,得到目标加密密钥,并将目标加密密钥存储在目标设备中。
具体地,在不同应用场景中,根据密钥保护信息对待保护密钥进行加密,得到目标加密密钥的方式不同,下面进行举例说明:
作为一种示例,可基于预设的加密算法,根据密钥保护信息对待保护密钥进行加密,得到目标加密密钥。
作为另一种示例,可根据密钥保护信息和待保护密钥进行异或处理,并异或处理后的结果作为待保护密钥的目标加密密钥。
本申请实施例的密钥加密存储方法,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,对待保护密钥进行加密处理,得到待保护密钥的目标加密密钥,并在目标设备中存储目标加密密钥。由此,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识对待保护密钥进行加密存储,保障了密钥在目标设备上的隐秘特性,提高了目标设备中密钥的安全性,从而进一步保障密文在整个加密周期的安全性。
基于上述实施例的基础上,为了进一步提高在目标设备上存储密钥的安全性,在如图1所示的实施例的基础上,如图3所示,该方法还包括:
步骤301,检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息。
步骤302,获取与待保护密钥相关联的用户标识。
步骤303,获取用户标识的哈希值。
在本实施例中,获取用户标识的哈希值的可能实现方式示例如下:
作为一种可能的实现方式,可根据预存的用户标识和其对应的哈希值的对应关系,获取该用户标识的哈希值。
作为另一种可能的实现方式,可根据预设的哈希算法,对用户标识进行哈希计算,得到该用户标识的哈希值。
步骤304,根据用户标识、设备信息和管理员信息生成密钥保护信息。
其中,需要说明的是,上述步骤303和步骤304的执行不分先后顺序。
步骤305,根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥。
在本实施例中,根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥的具体实现方式为:对密钥保护信息和待保护密钥进行预设处理,以生成初始加密密钥。
其中,预设处理是目标设备中预先设置的处理,例如,预设处理可以为异或处理。
在预设处理为异或处理时,在得到密钥保护信息ZA1后,可对待保护密钥pk和密钥保护信息ZA1进行异或处理,并将所得到的S2=pk⊕ZA1,即为初始加密密钥。
步骤306,根据第一预设拼接规则,对初始加密密钥和用户标识的哈希值进行拼接,得到目标加密密钥,将目标加密密钥存储在目标设备中。
第一预设拼接规则是指目标设备中预设的拼接初始加密密钥和用户标识的哈希值的规则,例如,第一预设拼接规则可以为用户标识的哈希值后面拼接初始加密密钥,还可以为:在初始加密密钥后面拼接用户标识的哈希值。
本申请实施例的密钥加密存储方法,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,生成密钥保护信息,并对待保护密钥和密钥保护信息进行加密,以生成初始加密密钥,以及根据第一预设拼接规则,对初始加密密钥和用户标识的哈希值进行拼接,得到目标加密密钥,并将目标加密密钥存储在目标设备中。由此,进一步提高了目标设备中存储密钥的安全性。
基于上述实施例的基础上,为了进一步提高在目标设备上存储密钥的安全性,在如图1所示的实施例的基础上,如图4所示,该方法还包括:
步骤401,检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息。
步骤402,获取与待保护密钥相关联的用户标识。
步骤403,根据用户标识、设备信息和管理员信息生成密钥保护信息。
步骤404,生成预设长度的干扰字符串。
具体地,根据目标设备中预设的干扰字符串生成规则,生成预设长度的干扰字符串。
步骤405,根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥。
其中,上述对步骤305的解释说明也适用于本实施例的步骤405,此处不再赘述。
步骤406,根据第二预设拼接规则,对初始加密密钥和干扰字符串进行拼接,得到目标加密密钥,并将目标加密密钥存储在目标设备中。
其中,第二预设拼接规则是目标设备中预先设置的初始加密密钥和干扰字符串的拼接规则。举例而言,第二预设拼接规则可以为:在初始加密密钥后面拼接干扰字符串,还可以为:在干扰字符串后面拼接初始加密密钥。
本申请实施例的密钥加密存储方法,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,生成密钥保护信息,并对待保护密钥和密钥保护信息进行加密,以生成初始加密密钥,以及结合初始加密密钥和干扰字符串进行拼接,得到目标加密密钥,并将目标加密密钥存储在目标设备中。由此,结合干扰字符串对密钥进行存储保护,增加了所存储的目标加密密钥的长度,增加了目标加密密钥被破解难度,进一步提高了目标设备中存储密钥的安全性。
基于上述实施例的基础上,为了进一步提高在目标设备上存储密钥的安全性,在如图1所示的实施例的基础上,如图5所示,该方法还包括:
步骤501,检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息。
步骤502,获取与待保护密钥相关联的用户标识。
步骤503,根据用户标识、设备信息和管理员信息生成密钥保护信息。
步骤504,根据预设哈希算法,计算待保护密钥的哈希值。
步骤505,根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥。
其中,上述对步骤305的解释说明也适用于本实施例的步骤505,此处不再赘述。
步骤506,根据第三预设拼接规则,对初始加密密钥和待保护密钥的哈希值进行拼接,得到目标加密密钥。
其中,第三预设拼接规则是目标设备中初始加密密钥和待保护密钥的哈希值的拼接规则,例如,第三预设拼接规则可以为在待保护密钥的哈希值后面拼接初始加密密钥,还可以为:在初始加密密钥后面拼接初始加密密钥。
本申请实施例的密钥加密存储方法,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,生成密钥保护信息,并根据预设哈希算法,计算待保护密钥的哈希值,以及对待保护密钥和密钥保护信息进行加密,以生成初始加密密钥,以及结合初始加密密钥和待保护密钥的哈希值进行拼接,得到目标加密密钥。由此,结合待保护密钥的哈希值对密钥进行存储保护,增加了所存储的目标加密密钥的长度,增加了目标加密密钥被破解难度,进一步提高了目标设备中存储密钥的安全性。
基于上述实施例的基础上,为了进一步提高在目标设备上存储密钥的安全性,在如图1所示的实施例的基础上,如图6所示,该方法还包括:
步骤601,检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息。
步骤602,获取与待保护密钥相关联的用户标识。
步骤603,获取用户标识的哈希值。
步骤604,根据用户标识、设备信息和管理员信息生成密钥保护信息。
步骤605,根据预设哈希算法,计算待保护密钥的哈希值。
步骤606,生成预设长度的干扰字符串。
步骤607,根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥。
其中,上述对步骤305的解释说明也适用于本实施例的步骤505,此处不再赘述。
步骤608,根据第四预设拼接规则,对干扰字符串、初始加密密钥、待保护密钥的哈希值和用户标识的哈希值进行拼接,得到目标加密密钥,并将目标加密密钥存储在目标设备中。
本实施例中第四预设拼接规则是目标设备预设的拼接规则,例如,第四预设拼接规则可以为:干扰字符串之后拼接用户标识的哈希值,用户标识的哈希值之后再拼接待保护密钥的哈希值,待保护密钥的哈希值之后再拼接初始加密密钥;还可以为:用户标识的哈希值之后拼接待保护密钥的哈希值,待保护密钥的哈希值之后再拼接初始加密密钥,最后拼接干扰字符串,而不局限于此。
本申请实施例的密钥加密存储方法,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,生成密钥保护信息,并根据预设哈希算法,计算待保护密钥的哈希值,以及对干扰字符串、初始加密密钥、待保护密钥的哈希值和用户标识的哈希值进行拼接,得到目标加密密钥,并将目标加密密钥存储在目标设备中。由此,结合待保护密钥的哈希值、干扰字符串、用户标识的哈希值对密钥进行存储保护,增加了所存储的目标加密密钥的长度,增加了目标加密密钥被破解难度,进一步提高了目标设备中存储密钥的安全性。
图7是根据本申请一个实施例的密钥的获取方法的流程示意图。
如图7所示,该密钥加密存储方法包括:
步骤701,在对当前设备中的目标加密密钥进行解密时,获取当前设备的第一设备信息和第一管理员信息,并获取对目标加密密钥进行加密操作时所使用的第一用户标识。
其中,第一设备信息用于标识当前设备,目标加密密钥是根据第一密钥保护信息对待保护密钥进行加密得到的,第一密钥保护信息是根据第二用户标识、第二设备信息和第二管理员信息生成的,第二设备信息为目标设备的设备信息,第二设备信息用于标识目标设备。
步骤702,如果确定第一设备信息与第二设备信息、第一管理员信息与第二管理员信息均一致,则根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息。
在本申请的实施例中,第一管理员信息为第一管理员密码的哈希值,根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息,包括:
根据第一用户标识、设备信息和第一管理员密码的哈希值,通过密钥派生算法生成第二密钥保护信息。
步骤703,根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥。
本申请实施例的密钥的获取方法,在对当前设备中的目标加密密钥进行解密时,获取当前设备的第一设备信息和第一管理员信息,并获取对目标加密密钥进行加密操作时所使用的第一用户标识,以及在确定解密目标加密密钥时所使用的用户标识、设备信息和管理员信息与加密时所使用的用户标识、设备信息和管理员信息均一致时,根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息,并根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥。由此,实现了用户标识,设备信息,管理员信息三者的秘钥绑定,只有三者条件同时满足才可以快速解密,增加了破解难度,提高了设备中密钥的安全性。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥,并根据第一预设拼接规则,对初始目标加密密钥和第二用户标识的哈希值进行拼接,得到目标加密密钥。
在采用上述这种方式生成目标加密密钥时,根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥的具体实现过程可以为:根据第一拆分规则,从目标加密密钥中获取初始加密密钥,其中,第一拆分规则是根据第一拼接规则预先确定的;根据第二密钥保护信息对初始加密密钥进行解密,得到待保护密钥。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第二预设拼接规则,对初始加密密钥和干扰字符串进行拼接,得到目标加密密钥。在本实施例中,根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥的具体实现过程为:根据第二拆分规则,从目标加密密钥中获取初始加密密钥;根据第二密钥保护信息对初始加密密钥进行解密,得到待保护密钥,其中,第二拆分规则是根据第二预设拼接规则预先确定的。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第三预设拼接规则,对初始加密密钥和待保护密钥的哈希值进行拼接,得到目标加密密钥。在本实施例中,根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥的具体实现过程为:根据第三拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第三拆分规则是根据所述第三预设拼接规则预先确定的;根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;根据预设哈希算法,计算所述解密密钥的哈希值;如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第四预设拼接规则,对干扰字符串、初始加密密钥、待保护密钥的哈希值和第二用户标识的哈希值进行拼接,得到目标加密密钥。此时,根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥,包括:根据第四拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第四拆分规则是根据所述第四预设拼接规则预先确定的;根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;根据预设哈希算法,计算所述解密密钥的哈希值;如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
下面结合图8对本申请实施例的密钥的获取方法进行详细描述,本实施例以目标加密密钥是通过第四拼接规则对干扰字符串、初始加密密钥、待保护密钥的哈希值和第二用户标识的哈希值进行拼接得到的,初始加密密钥是对第一密钥保护信息和第一密钥进行异或处理得到的为例进行描述。
如图8所示,该密钥的获取方法可以包括:
步骤801,在对当前设备中的目标加密密钥进行解密时,获取当前设备的第一设备信息和第一管理员信息,并获取对目标加密密钥进行加密操作时所使用的第一用户标识。
步骤802,从目标加密密钥中获取第二用户标识的哈希值,并计算第一用户标识的哈希值。
步骤803,判断第二用户标识的哈希值与第一用户标识的哈希值是否一致,若是,则执行步骤804,否则执行步骤810。
步骤804,从目标加密密钥中读取出第一密钥的哈希值S1和初始加密密钥S2,并确定初始加密密钥S2的长度。
步骤805,根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息。
步骤806,根据第二密钥保护信息对初始加密密钥进行异或处理,得到第二密钥PKt。
步骤807,计算第二密钥PKt的哈希值st。
步骤808,判断第二密钥PKt的哈希值st,与第一密钥的哈希值s1是否一致,如果是,则执行步骤809,否则执行步骤810。
可以理解的是,如果确定第二密钥PKt的哈希值st,与第一密钥的哈希值s1,则可以确定出解密出的第二密钥与之前在设备中存储的第一密钥是相同的,解密正确。
步骤809,输出第一密钥。
步骤810,报错并退出。
为了实现上述实施例,本申请还提出一种密钥加密存储装置。
图9是根据本申请一个实施例的密钥加密存储装置的结构示意图。
如图9所示,该密钥加密存储装置可以包括第一获取模块110、第二获取模块120、第一生成模块130和第一处理模块140,其中:
第一获取模块110,用于检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息,其中,设备信息用于标识目标设备。
第二获取模块120,用于获取与待保护密钥相关联的用户标识。
第一生成模块130,用于根据用户标识、设备信息和管理员信息生成密钥保护信息。
第一处理模块140,用于根据密钥保护信息对待保护密钥进行加密,得到目标加密密钥,并将目标加密密钥存储在目标设备中。
其中,需要说明的是,前述对密钥加密存储方法实施例的解释说明也适用于本实施例的密钥加密存储装置,本实施例对此不作赘述。
本申请实施例的密钥加密存储装置,在检测到待保护密钥欲存储到目标设备上时,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识,对待保护密钥进行加密处理,得到待保护密钥的目标加密密钥,并在目标设备中存储目标加密密钥。由此,结合目标设备的设备信息和管理员信息,以及与待保护密钥关联的用户标识对待保护密钥进行加密存储,保障了密钥在目标设备上的隐秘特性,提高了目标设备中密钥的安全性,从而进一步保障密文在整个加密周期的安全性。
在本申请的一个实施例中,管理员信息为管理员密码的哈希值,第一生成模块130,具体用于:根据用户标识、设备信息和管理员密码的哈希值,通过密钥派生算法生成密钥保护信息。
进一步地,为了进一步提高存储密钥的安全性,该装置还包括:
第三获取模块(图中未示出),用于获取用户标识的哈希值。
第一处理模块,具体用于:根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第一预设拼接规则,对初始目标加密密钥和用户标识的哈希值进行拼接,得到目标加密密钥。
进一步地,为了进一步提高存储密钥的安全性,该装置还包括:
第二生成模块(图中未示出),用于生成预设长度的干扰字符串。
第一处理模块,具体用于:根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第二预设拼接规则,对初始加密密钥和干扰字符串进行拼接,得到目标加密密钥。
进一步地,为了进一步提高存储密钥的安全性,该装置还包括:
第一计算模块(图中未示出),用于根据预设哈希算法,计算待保护密钥的哈希值。
第一处理模块,具体用于:根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第三预设拼接规则,对初始加密密钥和待保护密钥的哈希值进行拼接,得到目标加密密钥。
进一步地,为了进一步提高存储密钥的安全性,该装置还包括:
第四获取模块(图中未示出),用于获取用户标识的哈希值。
第二计算模块(图中未示出),用于根据预设哈希算法,计算待保护密钥的哈希值。
第三生成模块(图中未示出),用于生成预设长度的干扰字符串。
第一处理模块,具体用于:根据密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第四预设拼接规则,对干扰字符串、初始加密密钥、待保护密钥的哈希值和用户标识的哈希值进行拼接,得到目标加密密钥。
为了实现上述实施例,本申请还提出一种密钥的获取装置。
图10是根据本申请一个实施例的密钥的获取装置的结构示意图。
如图10所示,该密钥的获取装置可以包括第五获取模块210、第四生成模块220和第二处理模块230,其中:
第五获取模块210,用于在对当前设备中的目标加密密钥进行解密时,获取当前设备的第一设备信息和第一管理员信息,并获取对目标加密密钥进行加密操作时所使用的第一用户标识。
其中,第一设备信息用于标识当前设备,目标加密密钥是根据第一密钥保护信息对待保护密钥进行加密得到的,第一密钥保护信息是根据第二用户标识、第二设备信息和第二管理员信息生成的,第二设备信息为目标设备的设备信息,第二设备信息用于标识目标设备。
第四生成模块220,用于如果确定第一设备信息与第二设备信息、第一管理员信息与第二管理员信息均一致,则根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息。
第二处理模块230,用于根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥。
进一步地,第一管理员信息为第一管理员密码的哈希值,第四生成模块220,具体用于:根据第一用户标识、第一设备信息和第一管理员密码的哈希值,通过密钥派生算法生成第二密钥保护信息。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥,并根据第一预设拼接规则,对初始目标加密密钥和第二用户标识的哈希值进行拼接,得到目标加密密钥,第二处理模块230,具体用于:根根据第一拆分规则,从目标加密密钥中获取初始加密密钥,其中,第一拆分规则是根据第一拼接规则预先确定的;根据第二密钥保护信息对初始加密密钥进行第二预设处理,得到待保护密钥,第二预设处理是根据第一预设处理确定的。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第二预设拼接规则,对初始加密密钥和干扰字符串进行拼接,得到目标加密密钥,第二处理模块230,具体用于:根据第二拆分规则,从目标加密密钥中获取初始加密密钥,其中,第二拆分规则是根据第二预设拼接规则预先确定的;根据第二密钥保护信息对初始加密密钥进行第二预设处理,得到待保护密钥,第二预设处理是根据第一预设处理确定的。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第三预设拼接规则,对初始加密密钥和待保护密钥的哈希值进行拼接,得到目标加密密钥,第二处理模块230,具体用于:根据第三拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第三拆分规则是根据所述第三预设拼接规则预先确定的;根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;根据预设哈希算法,计算所述解密密钥的哈希值;如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
在本申请的一个实施例中,根据第一密钥保护信息对待保护密钥进行加密得到目标加密密钥的方式为:根据第一密钥保护信息对待保护密钥进行加密,以生成初始加密密钥;根据第四预设拼接规则,对干扰字符串、初始加密密钥、待保护密钥的哈希值和第二用户标识的哈希值进行拼接,得到目标加密密钥,第二处理模块230,具体用于:根据第四拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第四拆分规则是根据所述第四预设拼接规则预先确定的;根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;根据预设哈希算法,计算所述解密密钥的哈希值;如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
其中,需要说明的是,前述对密钥的获取方法实施例的解释说明也适用于本实施例的密钥的获取装置,此处不再赘述。
本申请实施例的密钥的获取装置,在对当前设备中的目标加密密钥进行解密时,获取当前设备的第一设备信息和第一管理员信息,并获取对目标加密密钥进行加密操作时所使用的第一用户标识,以及在确定解密目标加密密钥时所使用的用户标识、设备信息和管理员信息与加密时所使用的用户标识、设备信息和管理员信息均一致时,根据第一用户标识、第一设备信息和第一管理员信息生成第二密钥保护信息,并根据第二密钥保护信息对目标加密密钥进行解密,得到待保护密钥。由此,实现了用户标识,设备信息,管理员信息三者的秘钥绑定,只有三者条件同时满足才可以快速解密,增加了破解难度,提高了设备中密钥的安全性。
为了实现上述实施例,本申请还提出一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时,实现上述实施例的密钥加密存储方法,或者,密钥的获取方法。
为了实现上述实施例,本申请还提出一种计算机可读存储介质其上存储有计算机程序,该程序被处理器执行时实现上述实施例的密钥加密存储方法,或者,上述实施例的密钥的获取方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (26)
1.一种密钥加密存储方法,其特征在于,所述方法包括:
检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息,其中,所述设备信息用于标识所述目标设备;
获取与所述待保护密钥相关联的用户标识;
根据所述用户标识、所述设备信息和所述管理员信息生成密钥保护信息;
根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,并将所述目标加密密钥存储在所述目标设备中。
2.如权利要求1所述的方法,其特征在于,所述管理员信息为管理员密码的哈希值,所述根据所述用户标识、所述设备信息和所述管理员信息生成密钥保护信息,包括:
根据所述用户标识、所述设备信息和所述管理员密码的哈希值,通过密钥派生算法生成密钥保护信息。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
获取所述用户标识的哈希值;
所述根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,包括:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第一预设拼接规则,对所述初始目标加密密钥和所述用户标识的哈希值进行拼接,得到所述目标加密密钥。
4.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
生成预设长度的干扰字符串;
所述根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,包括:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第二预设拼接规则,对所述初始加密密钥和所述干扰字符串进行拼接,得到所述目标加密密钥。
5.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
根据预设哈希算法,计算所述待保护密钥的哈希值;
所述根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,包括:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第三预设拼接规则,对所述初始加密密钥和所述待保护密钥的哈希值进行拼接,得到所述目标加密密钥。
6.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
获取所述用户标识的哈希值;
根据预设哈希算法,计算所述待保护密钥的哈希值;
生成预设长度的干扰字符串;
所述根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,包括:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第四预设拼接规则,对所述干扰字符串、所述初始加密密钥、所述待保护密钥的哈希值和所述用户标识的哈希值进行拼接,得到所述目标加密密钥。
7.一种密钥的获取方法,其特征在于,所述方法包括:
在对当前设备中的目标加密密钥进行解密时,获取所述当前设备的第一设备信息和第一管理员信息,并获取对所述目标加密密钥进行加密操作时所使用的第一用户标识,其中,所述第一设备信息用于标识所述当前设备,所述目标加密密钥是根据第一密钥保护信息对待保护密钥进行加密得到的,所述第一密钥保护信息是根据第二用户标识、第二设备信息和第二管理员信息生成的,所述第二设备信息为目标设备的设备信息,所述第二设备信息用于标识所述目标设备;
如果确定所述第一用户标识与所述第二用户标识、所述第一设备信息与所述第二设备信息、所述第一管理员信息与所述第二管理员信息均一致,则根据所述第一用户标识、所述第一设备信息和所述第一管理员信息生成第二密钥保护信息;
根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥。
8.如权利要求7所述的方法,其特征在于,所述第一管理员信息为第一管理员密码的哈希值,所述根据所述第一用户标识、所述第一设备信息和所述第一管理员信息生成第二密钥保护信息,包括:
根据所述第一用户标识、所述第一设备信息和所述第一管理员密码的哈希值,通过密钥派生算法生成第二密钥保护信息。
9.如权利要求7或8所述的方法,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥,并根据第一预设拼接规则,对所述初始目标加密密钥和所述第二用户标识的哈希值进行拼接,得到所述目标加密密钥,
所述根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥,包括:
根据第一拆分规则,从所述目标加密密钥中获取所述初始加密密钥,其中,所述第一拆分规则是根据所述第一拼接规则预先确定的;
根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到所述待保护密钥。
10.如权利要求7或8所述的方法,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;根据第二预设拼接规则,对所述初始加密密钥和所述干扰字符串进行拼接,得到所述目标加密密钥,
所述根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥,包括:
根据第二拆分规则,从所述目标加密密钥中获取所述初始加密密钥,其中,所述第二拆分规则是根据所述第二预设拼接规则预先确定的;
根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到所述待保护密钥。
11.如权利要求7或8所述的方法,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;根据第三预设拼接规则,对所述初始加密密钥和所述待保护密钥的哈希值进行拼接,得到所述目标加密密钥,
所述根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥,包括:
根据第三拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第三拆分规则是根据所述第三预设拼接规则预先确定的;
根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;
根据预设哈希算法,计算所述解密密钥的哈希值;
如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
12.如权利要求7或8所述的方法,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;根据第四预设拼接规则,对干扰字符串、所述初始加密密钥、所述待保护密钥的哈希值和所述第二用户标识的哈希值进行拼接,得到所述目标加密密钥,
所述根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥,包括:
根据第四拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第四拆分规则是根据所述第四预设拼接规则预先确定的;
根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;
根据预设哈希算法,计算所述解密密钥的哈希值;
如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
13.一种密钥加密存储装置,其特征在于,所述装置包括:
第一获取模块,用于检测到待保护密钥存储到目标设备时,获取目标设备的设备信息和管理员信息,其中,所述设备信息用于标识所述目标设备;
第二获取模块,用于获取与所述待保护密钥相关联的用户标识;
第一生成模块,用于根据所述用户标识、所述设备信息和所述管理员信息生成密钥保护信息;
第一处理模块,用于根据所述密钥保护信息对所述待保护密钥进行加密,得到目标加密密钥,并将所述目标加密密钥存储在所述目标设备中。
14.如权利要求13所述的装置,其特征在于,所述管理员信息为管理员密码的哈希值,所述第一生成模块,具体用于:
根据所述用户标识、所述设备信息和所述管理员密码的哈希值,通过密钥派生算法生成密钥保护信息。
15.如权利要求13或14所述的装置,其特征在于,所述装置还包括:
第三获取模块,用于获取所述用户标识的哈希值;
所述第一处理模块,具体用于:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第一预设拼接规则,对所述初始目标加密密钥和所述用户标识的哈希值进行拼接,得到所述目标加密密钥。
16.如权利要求13或14所述的装置,其特征在于,所述装置还包括:
第二生成模块,用于生成预设长度的干扰字符串;
所述第一处理模块,具体用于:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第二预设拼接规则,对所述初始加密密钥和所述干扰字符串进行拼接,得到所述目标加密密钥。
17.如权利要求13或14所述的装置,其特征在于,所述装置还包括:
第一计算模块,用于根据预设哈希算法,计算所述待保护密钥的哈希值;
所述第一处理模块,具体用于:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第三预设拼接规则,对所述初始加密密钥和所述待保护密钥的哈希值进行拼接,得到所述目标加密密钥。
18.如权利要求13或14所述的装置,其特征在于,所述装置还包括:
第四获取模块,用于获取所述用户标识的哈希值;
第二计算模块,用于根据预设哈希算法,计算所述待保护密钥的哈希值;
第三生成模块,用于生成预设长度的干扰字符串;
所述第一处理模块,具体用于:
根据所述密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;
根据第四预设拼接规则,对所述干扰字符串、所述初始加密密钥、所述待保护密钥的哈希值和所述用户标识的哈希值进行拼接,得到所述目标加密密钥。
19.一种密钥的获取装置,其特征在于,所述装置包括:
第五获取模块,用于在对当前设备中的目标加密密钥进行解密时,获取所述当前设备的第一设备信息和第一管理员信息,并获取对所述目标加密密钥进行加密操作时所使用的第一用户标识,其中,所述第一设备信息用于标识所述当前设备,所述目标加密密钥是根据第一密钥保护信息对待保护密钥进行加密得到的,所述第一密钥保护信息是根据第二用户标识、第二设备信息和第二管理员信息生成的,所述第二设备信息为目标设备的设备信息,所述第二设备信息用于标识所述目标设备;
第四生成模块,用于如果确定所述第一设备信息与所述第二设备信息、所述第一管理员信息与所述第二管理员信息均一致,则根据所述第一用户标识、所述第一设备信息和所述第一管理员信息生成第二密钥保护信息;
第二处理模块,用于根据所述第二密钥保护信息对所述目标加密密钥进行解密,得到所述待保护密钥。
20.如权利要求19所述的装置,其特征在于,所述第一管理员信息为第一管理员密码的哈希值,所述第四生成模块,具体用于:
根据所述第一用户标识、所述第一设备信息和所述第一管理员密码的哈希值,通过密钥派生算法生成第二密钥保护信息。
21.如权利要求19或20所述的装置,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥,并根据第一预设拼接规则,对所述初始目标加密密钥和所述第二用户标识的哈希值进行拼接,得到所述目标加密密钥,
所述第二处理模块,具体用于:
根据第一拆分规则,从所述目标加密密钥中获取所述初始加密密钥,其中,所述第一拆分规则是根据所述第一拼接规则预先确定的;
根据所述第二密钥保护信息对所述初始加密密钥进行第二预设处理,得到所述待保护密钥,所述第二预设处理是根据所述第一预设处理确定的。
22.如权利要求19或20所述的装置,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;根据第二预设拼接规则,对所述初始加密密钥和所述干扰字符串进行拼接,得到所述目标加密密钥,
所述第二处理模块,具体用于:
根据第二拆分规则,从所述目标加密密钥中获取所述初始加密密钥,其中,所述第二拆分规则是根据所述第二预设拼接规则预先确定的;
根据所述第二密钥保护信息对所述初始加密密钥进行第二预设处理,得到所述待保护密钥,所述第二预设处理是根据所述第一预设处理确定的。
23.如权利要求19或20所述的装置,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;根据第三预设拼接规则,对所述初始加密密钥和所述待保护密钥的哈希值进行拼接,得到所述目标加密密钥,
所述第二处理模块,具体用于:
根据第三拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第三拆分规则是根据所述第三预设拼接规则预先确定的;根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;根据预设哈希算法,计算所述解密密钥的哈希值;如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
24.如权利要求19或20所述的装置,其特征在于,根据第一密钥保护信息对待保护密钥进行加密得到所述目标加密密钥的方式为:根据所述第一密钥保护信息对所述待保护密钥进行加密,以生成初始加密密钥;根据第四预设拼接规则,对干扰字符串、所述初始加密密钥、所述待保护密钥的哈希值和所述第二用户标识的哈希值进行拼接,得到所述目标加密密钥,
所述第二处理模块,具体用于:根据第四拆分规则,从所述目标加密密钥中获取所述待保护密钥的哈希值和所述初始加密密钥,其中,所述第四拆分规则是根据所述第四预设拼接规则预先确定的;根据所述第二密钥保护信息对所述初始加密密钥进行解密,得到解密密钥;根据预设哈希算法,计算所述解密密钥的哈希值;如果确定所述解密密钥的哈希值和所述待保护密钥的哈希值一致,则将所述解密密钥作为所述待保护密钥。
25.一种电子设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现如权利要求1-6中任一项所述的密钥加密存储方法,或者如权利要求7-12中任一项所述的设备中密钥的获取方法。
26.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6中任一项所述的密钥加密存储方法,或者如权利要求7-12中任一项所述的设备中密钥的获取方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910554285.6A CN112134693B (zh) | 2019-06-25 | 2019-06-25 | 密钥加密存储方法、获取方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910554285.6A CN112134693B (zh) | 2019-06-25 | 2019-06-25 | 密钥加密存储方法、获取方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112134693A true CN112134693A (zh) | 2020-12-25 |
| CN112134693B CN112134693B (zh) | 2022-03-15 |
Family
ID=73849334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910554285.6A Active CN112134693B (zh) | 2019-06-25 | 2019-06-25 | 密钥加密存储方法、获取方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112134693B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113704611A (zh) * | 2021-08-27 | 2021-11-26 | 北京易华录信息技术股份有限公司 | 一种资源处理方法、装置、电子设备及存储介质 |
| CN114124502A (zh) * | 2021-11-15 | 2022-03-01 | 兰州乐智教育科技有限责任公司 | 消息传输方法、装置、设备及介质 |
| CN115174073A (zh) * | 2022-07-18 | 2022-10-11 | 重庆长安汽车股份有限公司 | 一种秘钥存储方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090296938A1 (en) * | 2008-05-27 | 2009-12-03 | Intel Corporation | Methods and apparatus for protecting digital content |
| CN104486087A (zh) * | 2014-12-23 | 2015-04-01 | 中山大学 | 一种基于远程硬件安全模块的数字签名方法 |
| US20170223015A1 (en) * | 2016-02-02 | 2017-08-03 | S-Printing Solution Co., Ltd. | Method and apparatus for providing securities to electronic devices |
| CN108365952A (zh) * | 2018-01-25 | 2018-08-03 | 深圳市文鼎创数据科技有限公司 | 一种注册的方法、系统及智能密钥安全设备 |
| CN108959978A (zh) * | 2018-06-28 | 2018-12-07 | 北京海泰方圆科技股份有限公司 | 设备中密钥的生成与获取方法及装置 |
-
2019
- 2019-06-25 CN CN201910554285.6A patent/CN112134693B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090296938A1 (en) * | 2008-05-27 | 2009-12-03 | Intel Corporation | Methods and apparatus for protecting digital content |
| CN104486087A (zh) * | 2014-12-23 | 2015-04-01 | 中山大学 | 一种基于远程硬件安全模块的数字签名方法 |
| US20170223015A1 (en) * | 2016-02-02 | 2017-08-03 | S-Printing Solution Co., Ltd. | Method and apparatus for providing securities to electronic devices |
| CN108365952A (zh) * | 2018-01-25 | 2018-08-03 | 深圳市文鼎创数据科技有限公司 | 一种注册的方法、系统及智能密钥安全设备 |
| CN108959978A (zh) * | 2018-06-28 | 2018-12-07 | 北京海泰方圆科技股份有限公司 | 设备中密钥的生成与获取方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113704611A (zh) * | 2021-08-27 | 2021-11-26 | 北京易华录信息技术股份有限公司 | 一种资源处理方法、装置、电子设备及存储介质 |
| CN113704611B (zh) * | 2021-08-27 | 2024-08-23 | 北京易华录信息技术股份有限公司 | 一种资源处理方法、装置、电子设备及存储介质 |
| CN114124502A (zh) * | 2021-11-15 | 2022-03-01 | 兰州乐智教育科技有限责任公司 | 消息传输方法、装置、设备及介质 |
| CN114124502B (zh) * | 2021-11-15 | 2023-07-28 | 兰州乐智教育科技有限责任公司 | 消息传输方法、装置、设备及介质 |
| CN115174073A (zh) * | 2022-07-18 | 2022-10-11 | 重庆长安汽车股份有限公司 | 一种秘钥存储方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112134693B (zh) | 2022-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9973334B2 (en) | Homomorphically-created symmetric key | |
| US9537657B1 (en) | Multipart authenticated encryption | |
| US9043604B2 (en) | Method and apparatus for key provisioning of hardware devices | |
| CN112134693B (zh) | 密钥加密存储方法、获取方法及其装置 | |
| US9762560B2 (en) | Method for generating cryptographic “one-time pads” and keys for secure network communications | |
| CN106878013B (zh) | 一种文件的加密、解密方法和装置 | |
| CN104836784B (zh) | 一种信息处理方法、客户端和服务器 | |
| WO2018017421A1 (en) | Modular exponentiation with side channel attack countermeasures | |
| US20160182230A1 (en) | Secure token-based signature schemes using look-up tables | |
| US9165148B2 (en) | Generating secure device secret key | |
| JP7515751B2 (ja) | ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス | |
| CN105141426B (zh) | 工控设备安全认证方法、服务器和客户端 | |
| CA2702280A1 (en) | Signature generating apparatus, signature verifying apparatus and methods therefor | |
| JP6888122B2 (ja) | 半導体装置、更新データ提供方法、更新データ受取方法およびプログラム | |
| US20230139104A1 (en) | Authenticated encryption apparatus, authenticated decryption apparatus, authenticated encryption system, method, and computer readable medium | |
| US20160323097A1 (en) | Securing a cryptographic device | |
| US20200396054A1 (en) | Secure Memory Read | |
| JP2018509855A (ja) | メディア鍵ブロック・ベースのブロードキャスト暗号化方法 | |
| CN118157946A (zh) | 数据完整性验证的混合加解密方法、装置、设备及介质 | |
| CN113722741A (zh) | 数据加密方法及装置、数据解密方法及装置 | |
| CN115549910B (zh) | 一种数据传输方法、设备以及存储介质 | |
| WO2015094114A1 (en) | Entity authentication in network | |
| KR101687492B1 (ko) | 분산적으로 데이터를 저장하는 방법 및 암호학적 정보 처리 장치 | |
| CN113347270B (zh) | 一种网络传输文件防水平越权方法和装置 | |
| KR20200080011A (ko) | 데이터를 분산해서 저장하는 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |