CN112199704A - 一种基于服务端对web数据进行动态加解密处理的方法 - Google Patents
一种基于服务端对web数据进行动态加解密处理的方法 Download PDFInfo
- Publication number
- CN112199704A CN112199704A CN202011136937.3A CN202011136937A CN112199704A CN 112199704 A CN112199704 A CN 112199704A CN 202011136937 A CN202011136937 A CN 202011136937A CN 112199704 A CN112199704 A CN 112199704A
- Authority
- CN
- China
- Prior art keywords
- encrypted
- data
- encryption
- encrypted version
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于服务端对web数据进行动态加解密处理的方法,方法为:步骤1、设置一配置后台模块,通过配置后台模块编辑客户端向服务端需要加密传输的参数名称、参数对应的非对称加密算法和公钥以及加密版本号信息;步骤2、设置一计划任务模块,通过计划任务模块定时获取编辑好的所有加密版本号信息;步骤3、服务端接收客户端请求数据,根据加密协议文件中加密版本号查询对应的加密版本信息;步骤4、如果加密版本号不存在或者该加密版本的状态为不可用,则返回请求失败;步骤5、根据加密版本信息,遍历请求数据,对当前加密版本中需要解密的请求数据,使用参数对应非对称加密算法和私钥进行解密。本发明提高了服务端中数据传输的安全性。
Description
技术领域
本发明涉及计算机通讯技术领域,特别是一种基于服务端对web数据进行动态加解密处理的方法。
背景技术
国内关于web前后端数据传输的方案,大部分加密方案的协议比较固定,被抓包后容易被破解。服务端只能针对固定的加密算法进行解密,比如所有的参数都是用DES或者RSA,无法根据各个参数定制独立的加解密算法。也没有办法改变客户端的加密算法,往往都是事先约定好了,后续无法进行单方面的修改,不能灵活的控制到客户端。这样现有技术的客户端和服务端数据传输的安全性比较低。
发明内容
为克服上述问题,本发明的目的是提供一种基于服务端对web数据进行动态加解密处理的方法,客户端的加密方式由服务端统一控制,方便服务端人员在发现有黑客攻击后,随时调整加解密策略,大大降低数据被破解的可能性。
本发明采用以下方案实现:一种基于服务端对web数据进行动态加解密处理的方法,所述方法包括如下步骤:
步骤1、设置一配置后台模块,通过配置后台模块编辑客户端向服务端需要加密传输的参数名称、参数对应的非对称加密算法、公钥和私钥以及加密版本号信息;
步骤2、设置一计划任务模块,通过计划任务模块定时获取编辑好的所有加密版本号信息,同时将配置后台模块编辑的最新一条配置,保存为默认配置,为该配置生成加密协议文件,保存在设定位置,以供客户端请求服务端站点时候加载;
步骤3、服务端接收客户端请求数据,根据加密协议文件中加密版本号查询对应的加密版本信息;
步骤4、如果加密版本号不存在或者该加密版本的状态为不可用,则返回请求失败,同时从缓存中取出最新的加密版本信息返回给客户端,该缓存中的加密版本信息由计划任务模块写入;
步骤5、根据加密版本信息,遍历请求数据,对当前加密版本中需要解密的请求数据,使用参数对应的非对称加密算法和私钥进行解密,解密成功后,业务执行请求,其中,解密失败时,返回解密失败及缓存中最新的加密版本信息给客户端。
进一步的,所述非对称加密算法为RSA加密算法、Elgamal加密算法、背包算法、Rabin加密算法、D-H加密算法、或者ECC加密算法。
进一步的,所述加密协议文件包括需要加密传输的参数名称、参数对应的非对称加密算法和公钥以及加密版本号信息;所述客户端请求数据时通过加密协议文件对请求数据进行加密形成加密数据,将加密数据发送给服务端。
进一步的,所述步骤5中对当前加密版本中需要解密的请求数据即为所述加密数据,解密时将加密数据与加密协议文件中的参数名称进行匹配,匹配到对应的参数名称后,使用参数对应的非对称加密算法和私钥对加密数据进行解密。
进一步的,所述服务端进行解密,该解密为根据对应的非对称加密算法和私钥对加密数据进行解密。
进一步的,所述步骤5之后还包括:步骤6、记录解密失败的参数相关数据,所述参数相关数据包括:请求参数名称、加密版本号、以及客户端ip,为后续优化和分析恶意攻击请求提供数据支持。
本发明的有益效果在于:1、本发明在处理业务方法之前,先提取加密版本号,对指定的参数进行解密;失败的话,终止请求,不会进入到具体业务,降低服务器压力。2、根据配置,只对敏感数据进行解密,可以降低服务端的解密压力。3、通过计划任务模块能定时切换版本,配合客户端浏览器的缓存机制,可以让同一时间,不同用户使用不同的加密版本,大大降低数据被破解的可能性。4、服务端掌控了对客户端加密协议的控制权,可以很方便通知客户端进行加密版本的切换。
附图说明
图1是本发明的方法流程示意图。
图2是本发明的一实施例的方法流程示意图。
具体实施方式
下面结合附图对本发明做进一步说明。
请参阅图1所示,本发明的一种基于服务端对web数据进行动态加解密处理的方法,所述方法包括如下步骤:
步骤1、设置一配置后台模块,通过配置后台模块编辑客户端向服务端需要加密传输的参数名称、参数对应的非对称加密算法、公钥和私钥以及加密版本号信息;所述非对称加密算法为RSA加密算法、Elgamal加密算法、背包算法、Rabin加密算法、D-H加密算法、或者ECC加密算法。
步骤2、设置一计划任务模块,通过计划任务模块定时获取编辑好的所有加密版本号信息,同时将配置后台模块编辑的最新一条配置,保存为默认配置,为该配置生成加密协议文件,保存在设定位置,以供客户端请求服务端站点时候加载;所述加密协议文件包括需要加密传输的参数名称、参数对应的非对称加密算法和公钥以及加密版本号信息;所述客户端请求数据时通过加密协议文件对请求数据进行加密形成加密数据,将加密数据发送给服务端。
步骤3、服务端接收客户端请求数据,根据加密协议文件中加密版本号查询对应的加密版本信息;
步骤4、如果加密版本号不存在或者该加密版本的状态为不可用,则返回请求失败,同时从缓存中取出最新的加密版本信息返回给客户端,该缓存中的加密版本信息由计划任务模块写入;
步骤5、根据加密版本信息,遍历请求数据,对当前加密版本中需要解密的请求数据,使用参数对应的非对称加密算法和私钥进行解密,解密成功后,业务执行请求,其中,解密失败时,返回解密失败及缓存中最新的加密版本信息给客户端。
步骤6、记录解密失败的参数相关数据,所述参数相关数据包括:请求参数名称、加密版本号、以及客户端ip,为后续优化和分析恶意攻击请求提供数据支持。
下面结合一具体实施例对本发明做进一步说明:
如图2所示,本发明的一种基于服务端对web数据进行动态加解密处理的方法,
1、设置一配置后台模块,通过配置后台模块编辑客户端向服务端需要加密传输的参数名称、参数对应的非对称加密算法和公钥以及加密版本号信息;配置模块是在流程的最开始,服务端管理员要先通过配置模块,编辑需要需要加密的参数名称,参数对应的非对称加密算法和公钥,以及加密版本号信息。然后保存在数据中。所述非对称加密算法为RSA加密算法、Elgamal加密算法、背包算法、Rabin加密算法、D-H加密算法、或者ECC加密算法。
2、设置一计划任务模块,通过计划任务模块定时获取编辑好的所有加密版本号信息,同时将配置后台模块编辑的最新一条配置,保存为默认配置,为该配置生成加密协议文件,保存在设定位置,以供客户端请求服务端站点时候加载;计划任务模块通过读取数据库中的可用配置信息,存入缓存(该缓存不限于redis数据库),同时随机将一条可用的配置,作为默认配置,为该配置生成加密协议文件,保存在指定位置。以供客户端读取使用与步骤4中的失败情况,由服务端读取,返回给客户端。
以上2个环节处理结束后,服务端才能正常工作。步骤3,就是通过加密版本号,取得缓存(redis)中的参数配置信息,来处理后续的流程。
配置模块生成的配置格式为{"Version":"1601371853","ParamsInfo":[{"ParamName":"question","EncryptionType":1,"Publickey":"-----BEGIN PUBLICKEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCV0tWuYMoH09Fo6/x76BYam1ACXbbkfbQaLSRQ4U3qFfGoAztZ7oVGbNH57jBYrhTG7ArMj1Duu6mYysImfGbwrZXmnvPIug9GsQVrgJHgcCkAaiMGFmuSo9jlgr19KZv1gjNt2joCLN7Ewq8BV0WEepd8GCWS936Lk+qYXUDtzwIDAQAB-----END PUBLICKEY-----"},{"ParamName":"answer","EncryptionType":1,"Publickey":"-----BEGINPUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCV0tWuYMoH09Fo6/x76BYam1ACXbbkfbQaLSRQ4U3qFfGoAztZ7oVGbNH57jBYrhTG7ArMj1Duu6mYysImfGbwrZXmnvPIug9GsQVrgJHgcCkAaiMGFmuSo9jlgr19KZv1gjNt2joCLN7Ewq8BV0WEepd8GCWS936Lk+qYXUDtzwIDAQAB-----END PUBLIC KEY-----"}]}
同时计划任务模块新增一个定期执行功能(一天一次或者一周一次),随机获取一条可用配置,自动生成公钥与对应的私钥,将该配置中的公钥与私用逐一替换(各个参数的公私钥不相同),然后生成一个新的加密版本号,存入数据库与缓存。这样就会定期新增新的加密版本号,来壮大加密版本库,即使某一时间该加密版本库的数据被泄漏,也有新的加密版本加入,被随机使用到,提高安全性。
计划任务模块有了新增的功能,还需要新增一个定期的删除版本功能,把超过一定时间(可以为1一个月或者半年)的版本设置为不可用,以保证加密的版本一直都在变动中,同一个版本不会被长期使用。
3:服务端接收客户端请求数据,根据加密协议文件中加密版本号查询对应的加密版本信息;所述加密协议文件包括需要加密传输的参数名称、参数对应的非对称加密算法和公钥以及加密版本号信息;所述客户端请求数据时通过加密协议文件对请求数据进行加密形成加密数据,将加密数据发送给服务端。
4:如果加密版本号不存在或者该加密版本的状态为不可用,则返回请求失败,同时从缓存中(由计划任务模块写入),取出最新的加密版本信息返回给客户端,该缓存中的加密版本信息由计划任务模块写入;
5:根据加密版本信息,遍历请求数据,对当前加密版本中需要解密的请求数据,使用指定的协议(即使用参数对应的非对称加密算法和私钥进行解密)进行解密操作。如果解密失败,返回解密失败及缓存中最新的加密版本信息给客户端。所述步骤5中对当前加密版本中需要解密的请求数据即为所述加密数据,解密时将加密数据与加密协议文件中的参数名称进行匹配,匹配到对应的参数名称后,使用参数对应的非对称加密算法和私钥对加密数据进行解密。
6、如果解密成功,将解密后的参数值替代原值,以供后续业务使用;所述服务端进行解密,该解密为根据对应的非对称加密算法和私钥对加密数据进行解密。
7、记录解密失败的参数相关数据(请求参数名称,加密版本号,客户端ip等等),为后续优化和分析恶意攻击请求提供数据支持。
总之,本发明的服务端可以配置一套针对各个参数的加密算法,让客户端使用指定的方案去加密后提交数据。对于不正确的加密数据,不进行业务处理。客户端的加密方案由服务端统一控制,方便服务端人员在发现有黑客攻击后,随时调整加解密策略。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (8)
1.一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述方法包括如下步骤:
步骤1、设置一配置后台模块,通过配置后台模块编辑客户端向服务端需要加密传输的参数名称、参数对应的非对称加密算法、公钥和私钥以及加密版本号信息;
步骤2、设置一计划任务模块,通过计划任务模块定时获取编辑好的所有加密版本号信息,同时将配置后台模块编辑的最新一条配置,保存为默认配置,为该配置生成加密协议文件,保存在设定位置,以供客户端请求服务端站点时候加载;
步骤3、服务端接收客户端请求数据,根据加密协议文件中加密版本号查询对应的加密版本信息;
步骤4、如果加密版本号不存在或者该加密版本的状态为不可用,则返回请求失败,同时从缓存中取出最新的加密版本信息返回给客户端,该缓存中的加密版本信息由计划任务模块写入;
步骤5、根据加密版本信息,遍历请求数据,对当前加密版本中需要解密的请求数据,使用参数对应的非对称加密算法和私钥进行解密,解密成功后,业务执行请求,其中,解密失败时,返回解密失败及缓存中最新的加密版本信息给客户端。
2.根据权利要求1所述的一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述非对称加密算法为RSA加密算法、Elgamal加密算法、背包算法、Rabin加密算法、D-H加密算法、或者ECC加密算法。
3.根据权利要求1所述的一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述加密协议文件包括需要加密传输的参数名称、参数对应的非对称加密算法和公钥以及加密版本号信息;所述客户端请求数据时通过加密协议文件对请求数据进行加密形成加密数据,将加密数据发送给服务端。
4.根据权利要求2所述的一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述步骤5中对当前加密版本中需要解密的请求数据即为所述加密数据,解密时将加密数据与加密协议文件中的参数名称进行匹配,匹配到对应的参数名称后,使用参数对应的非对称加密算法和私钥对加密数据进行解密。
5.根据权利要求4所述的一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述服务端进行解密,该解密为根据对应的非对称加密算法和私钥对加密数据进行解密。
6.根据权利要求1所述的一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述步骤5之后还包括:步骤6、记录解密失败的参数相关数据,所述参数相关数据包括:请求参数名称、加密版本号、以及客户端ip,为后续优化和分析恶意攻击请求提供数据支持。
7.根据权利要求1所述的一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述计划任务模块还设置一个定期执行功能,随机获取一条可用配置,自动生成公钥与对应的私钥,将该配置中的公钥与私钥逐一替换,然后生成一个新的加密版本号,存入数据库与缓存中,这样就会定期新增新的加密版本号,来壮大加密版本库,即使某一时间该加密版本库的数据被泄漏,也有新的加密版本加入,被随机使用到,提高安全性。
8.根据权利要求7所述的一种基于服务端对web数据进行动态加解密处理的方法,其特征在于:所述计划任务模块还设置一个定期的删除版本功能,把超过设定时间的版本设置为不可用,以保证加密的版本一直都在变动中,同一个版本不会被长期使用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011136937.3A CN112199704B (zh) | 2020-10-22 | 2020-10-22 | 一种基于服务端对web数据进行动态加解密处理的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011136937.3A CN112199704B (zh) | 2020-10-22 | 2020-10-22 | 一种基于服务端对web数据进行动态加解密处理的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112199704A true CN112199704A (zh) | 2021-01-08 |
CN112199704B CN112199704B (zh) | 2022-09-06 |
Family
ID=74010798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011136937.3A Active CN112199704B (zh) | 2020-10-22 | 2020-10-22 | 一种基于服务端对web数据进行动态加解密处理的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112199704B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676318A (zh) * | 2021-07-15 | 2021-11-19 | 北京思特奇信息技术股份有限公司 | 密钥轮换不影响原密码加解密的方法 |
CN113704744A (zh) * | 2021-07-21 | 2021-11-26 | 阿里巴巴(中国)有限公司 | 数据处理方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170070483A1 (en) * | 2015-08-12 | 2017-03-09 | Plankwalk Corp. | System and Methods for Dynamically and Randomly Encrypting and Decrypting Data |
US20170099144A1 (en) * | 2015-10-06 | 2017-04-06 | Prem Sobel | Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system |
US10169587B1 (en) * | 2018-04-27 | 2019-01-01 | John A. Nix | Hosted device provisioning protocol with servers and a networked initiator |
CN111224834A (zh) * | 2019-11-18 | 2020-06-02 | 北京三快在线科技有限公司 | 模拟测试方法、装置、服务器及存储介质 |
-
2020
- 2020-10-22 CN CN202011136937.3A patent/CN112199704B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170070483A1 (en) * | 2015-08-12 | 2017-03-09 | Plankwalk Corp. | System and Methods for Dynamically and Randomly Encrypting and Decrypting Data |
US20170099144A1 (en) * | 2015-10-06 | 2017-04-06 | Prem Sobel | Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system |
US10169587B1 (en) * | 2018-04-27 | 2019-01-01 | John A. Nix | Hosted device provisioning protocol with servers and a networked initiator |
CN111224834A (zh) * | 2019-11-18 | 2020-06-02 | 北京三快在线科技有限公司 | 模拟测试方法、装置、服务器及存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676318A (zh) * | 2021-07-15 | 2021-11-19 | 北京思特奇信息技术股份有限公司 | 密钥轮换不影响原密码加解密的方法 |
CN113676318B (zh) * | 2021-07-15 | 2024-02-27 | 北京思特奇信息技术股份有限公司 | 密钥轮换不影响原密码加解密的方法 |
CN113704744A (zh) * | 2021-07-21 | 2021-11-26 | 阿里巴巴(中国)有限公司 | 数据处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112199704B (zh) | 2022-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6192130B1 (en) | Information security subscriber trust authority transfer system with private key history transfer | |
US8788811B2 (en) | Server-side key generation for non-token clients | |
US6567914B1 (en) | Apparatus and method for reducing transmission bandwidth and storage requirements in a cryptographic security system | |
US9137017B2 (en) | Key recovery mechanism | |
US8295492B2 (en) | Automated key management system | |
US6986047B2 (en) | Method and apparatus for serving content from a semi-trusted server | |
JP4863777B2 (ja) | 通信処理方法及びコンピュータ・システム | |
US6260142B1 (en) | Access and storage of secure group communication cryptographic keys | |
US20110296171A1 (en) | Key recovery mechanism | |
CN112929172A (zh) | 基于密钥库动态加密数据的系统、方法及装置 | |
US20070118735A1 (en) | Systems and methods for trusted information exchange | |
US20050120203A1 (en) | Methods, systems and computer program products for automatic rekeying in an authentication environment | |
WO2001020836A2 (en) | Ephemeral decryptability | |
CN112199704B (zh) | 一种基于服务端对web数据进行动态加解密处理的方法 | |
EP4133685B1 (en) | Secure online issuance of customer-specific certificates with offline key generation | |
CN113051540B (zh) | 一种应用程序接口安全分级治理方法 | |
US11321471B2 (en) | Encrypted storage of data | |
JPH1020779A (ja) | 公開鍵暗号方式における鍵変更方法 | |
Davies et al. | Security analysis of the whatsapp end-to-end encrypted backup protocol | |
CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
CN112199703B (zh) | 一种基于客户端的web数据动态加密传输方法及其系统 | |
US10257176B2 (en) | Replacing keys in a computer system | |
CN112202810B (zh) | 一种web数据动态加密传输方法 | |
KR20010092521A (ko) | 인터넷 환경 하에서 데이터 통신을 수행하는이동통신시스템의 사용자 정보 보안 장치 및 그 방법 | |
CN115622715B (zh) | 一种基于令牌的分布式存储系统、网关和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |