CN112202557B - 基于密钥更新分发的加密方法、装置、设备及存储介质 - Google Patents
基于密钥更新分发的加密方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112202557B CN112202557B CN202011284393.5A CN202011284393A CN112202557B CN 112202557 B CN112202557 B CN 112202557B CN 202011284393 A CN202011284393 A CN 202011284393A CN 112202557 B CN112202557 B CN 112202557B
- Authority
- CN
- China
- Prior art keywords
- key
- information
- new
- update
- asymmetric
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及信息安全领域,提供一种基于密钥更新的加密方法、装置、设备及存储介质,用于提高通信加密机制的安全可靠性。基于密钥更新的加密方法包括:通过高级加密标准密钥对为业务发文的发文信息进行加密,得到第一加密发文信息;根据旧非对称密钥到期信息生成第一密钥信息;通过已生效的接收方非对称公钥对第一密钥信息进行加密,得到第二密钥信息;将第二密钥信息发送给接收端,以使得接收端基于密钥更新请求获得密钥确认更新信息;当接收到接收端发送的密钥确认更新信息时,根据新非对称密钥和生效时间,对为密钥更新发文的发文信息进行触发加密处理,得到第二加密发文信息。此外,本发明还涉及区块链技术,发文信息可存储于区块链中。
Description
技术领域
本发明涉及信息安全的信息加解密领域,尤其涉及一种基于密钥更新的加密方法、装置、设备及存储介质。
背景技术
随着物联网技术和计算机技术的发展,信息的通信安全成为了备受关注的方向,通信安全也成为了信息安全的重要领域,特别是对于金融行业而言,客户信息、交易信息或其他敏感信息的泄露可能造成更为直接、重大的经济损失,由此可得,安全可靠的合作通信机制是业务顺利开展的基石。
目前,在金融行业的合作方通信中,各个专业机构都会在国家通信安全标准的基础上结合自身业务场景和需求,采用各种类的加密机制对通信报文进行加密处理以及密钥的更新和分发,以保证通信报文在泄露的情况下,入侵者也不能轻易破解密码获取信息。
但是,由于各个专业机构所采用的加密机制在运用多种加密算法进行时,未能对各中加密算法之间的不足之处进行协调,未考虑到对于多种发文类型的通信报文的私密性保护处理,以及密钥在可信环境下的更新和分发,因而,导致了现有的通信加密机制的安全可靠性较低。
发明内容
本发明提供一种基于密钥更新的加密方法、装置、设备及存储介质,用于提高通信加密机制的安全可靠性。
本发明第一方面提供了一种基于密钥更新的加密方法,包括:
获取发文信息,当所述发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过所述高级加密标准密钥,对所述发文信息进行加密,得到第一加密发文信息;
当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息,根据所述旧非对称密钥到期信息,生成第一密钥信息,所述第一密钥信息包括新非对称密钥,以及所述新非对称密钥的生效时间;
获取已生效的接收方非对称公钥,并通过所述接收方非对称公钥,对所述第一密钥信息进行加密,得到第二密钥信息;
通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,对所述第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息;
当接收到所述接收端发送的密钥确认更新信息时,根据所述新非对称密钥和所述生效时间,对所述发文信息进行触发加密处理,得到第二加密发文信息。
可选的,在本发明第一方面的第一种实现方式中,所述当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息,根据所述旧非对称密钥到期信息,生成第一密钥信息,包括:
当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息和非对称密钥发起更新时间,以及基于所述密钥更新完成指令的高级加密标准密钥发起更新时间,所述旧非对称密钥到期信息包括预设触发日期;
判断所述非对称密钥发起更新时间是否与所述高级加密标准密钥发起更新时间一致;
若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述新密钥生成规则和所述预设触发日期,生成第一密钥信息。
可选的,在本发明第一方面的第二种实现方式中,所述若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述新密钥生成规则和所述预设触发日期,生成第一密钥信息,包括:
若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述预设触发日期触发新密钥生成更新指令;
通过所述新密钥生成更新指令和所述新密钥生成规则,生成所述发文信息的新非对称密钥,以及所述新非对称密钥的有效期和批次号,得到新非对称密钥信息;
根据所述非对称密钥发起更新时间和预设业务低峰期,对所述新非对称密钥信息中新非对称密钥的生效时间进行配置,得到第一密钥信息。
可选的,在本发明第一方面的第三种实现方式中,所述通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,对所述第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息,包括:
通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,获取接收方非对称私钥;
通过所述接收方非对称私钥,对所述第二密钥信息进行解密和落地存储,得到解密新密钥信息,所述解密新密钥信息包括批次号;
将预设字段与所述批次号进行拼接处理,得到新密钥加密约定信息;
通过预置的超文本传输协议,对所述新密钥加密约定信息进行响应报文组装,得到密钥确认更新信息。
可选的,在本发明第一方面的第四种实现方式中,所述当接收到所述接收端发送的密钥确认更新信息时,根据所述新非对称密钥和所述生效时间,对所述发文信息进行触发加密处理,得到第二加密发文信息,包括:
当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息依次进行解密和正确性分析,得到新密钥更新完成信息;
通过所述新密钥更新完成信息和所述生效时间,触发新密钥生效指令,并根据所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行触发加密处理,得到第二加密发文信息。
可选的,在本发明第一方面的第五种实现方式中,所述当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息依次进行解密和正确性分析,得到新密钥更新完成信息,包括:
当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息进行解析,得到解析信息,并通过所述新非对称密钥对所述解析信息进行解密,得到新密钥加密约定信息;
判断所述新密钥加密约定信息是否与预设值一致;
若所述新密钥加密约定信息与预设值一致,则生成所述第二密钥信息的新密钥更新完成信息;
若所述新密钥加密约定信息与预设值不一致,则迭代获取目标新密钥加密约定信息,直至所述目标新密钥加密约定信息与所述预设值一致,获得新密钥更新完成信息。
可选的,在本发明第一方面的第六种实现方式中,所述通过所述新密钥更新完成信息和所述生效时间,触发新密钥生效指令,并根据所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行触发加密处理,得到第二加密发文信息,包括:
通过所述新密钥更新完成信息调用预置计时器,执行基于所述生效时间的计时任务;
当所述计时任务计时到所述生效时间时,触发新密钥生效指令;
通过所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行加密,得到第二加密发文信息。
本发明第二方面提供了一种基于密钥更新的加密装置,包括:
更新加密模块,用于获取发文信息,当所述发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过所述高级加密标准密钥,对所述发文信息进行加密,得到第一加密发文信息;
生成模块,用于当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息,根据所述旧非对称密钥到期信息,生成第一密钥信息,所述第一密钥信息包括新非对称密钥,以及所述新非对称密钥的生效时间;
加密模块,用于获取已生效的接收方非对称公钥,并通过所述接收方非对称公钥,对所述第一密钥信息进行加密,得到第二密钥信息;
发送模块,用于通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,对所述第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息;
触发加密模块,用于当接收到所述接收端发送的密钥确认更新信息时,根据所述新非对称密钥和所述生效时间,对所述发文信息进行触发加密处理,得到第二加密发文信息。
可选的,在本发明第二方面的第一种实现方式中,所述生成模块包括:
获取单元,用于当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息和非对称密钥发起更新时间,以及基于所述密钥更新完成指令的高级加密标准密钥发起更新时间,所述旧非对称密钥到期信息包括预设触发日期;
判断单元,用于判断所述非对称密钥发起更新时间是否与所述高级加密标准密钥发起更新时间一致;
生成单元,用于若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述新密钥生成规则和所述预设触发日期,生成第一密钥信息。
可选的,在本发明第二方面的第二种实现方式中,所述生成单元具体用于:
若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述预设触发日期触发新密钥生成更新指令;
通过所述新密钥生成更新指令和所述新密钥生成规则,生成所述发文信息的新非对称密钥,以及所述新非对称密钥的有效期和批次号,得到新非对称密钥信息;
根据所述非对称密钥发起更新时间和预设业务低峰期,对所述新非对称密钥信息中新非对称密钥的生效时间进行配置,得到第一密钥信息。
可选的,在本发明第二方面的第三种实现方式中,所述发送模块具体用于:
通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,获取接收方非对称私钥;
通过所述接收方非对称私钥,对所述第二密钥信息进行解密和落地存储,得到解密新密钥信息,所述解密新密钥信息包括批次号;
将预设字段与所述批次号进行拼接处理,得到新密钥加密约定信息;
通过预置的超文本传输协议,对所述新密钥加密约定信息进行响应报文组装,得到密钥确认更新信息。
可选的,在本发明第二方面的第四种实现方式中,所述触发加密模块包括:
解密分析单元,用于当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息依次进行解密和正确性分析,得到新密钥更新完成信息;
触发加密单元,用于通过所述新密钥更新完成信息和所述生效时间,触发新密钥生效指令,并根据所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行触发加密处理,得到第二加密发文信息。
可选的,在本发明第二方面的第五种实现方式中,所述解密分析单元具体用于:
当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息进行解析,得到解析信息,并通过所述新非对称密钥对所述解析信息进行解密,得到新密钥加密约定信息;
判断所述新密钥加密约定信息是否与预设值一致;
若所述新密钥加密约定信息与预设值一致,则生成所述第二密钥信息的新密钥更新完成信息;
若所述新密钥加密约定信息与预设值不一致,则迭代获取目标新密钥加密约定信息,直至所述目标新密钥加密约定信息与所述预设值一致,获得新密钥更新完成信息。
可选的,在本发明第二方面的第六种实现方式中,所述触发加密单元具体用于:
通过所述新密钥更新完成信息调用预置计时器,执行基于所述生效时间的计时任务;
当所述计时任务计时到所述生效时间时,触发新密钥生效指令;
通过所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行加密,得到第二加密发文信息。
本发明第三方面提供了一种基于密钥更新的加密设备,包括:存储器和至少一个处理器,所述存储器中存储有指令;所述至少一个处理器调用所述存储器中的所述指令,以使得所述基于密钥更新的加密设备执行上述的基于密钥更新的加密方法。
本发明的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述的基于密钥更新的加密方法。
本发明提供的技术方案中,当发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过高级加密标准密钥,对发文信息进行加密,得到第一加密发文信息;当发文信息为密钥更新发文时,获取发文信息的旧非对称密钥到期信息,根据旧非对称密钥到期信息,生成第一密钥信息,第一密钥信息包括新非对称密钥,以及新非对称密钥的生效时间;获取已生效的接收方非对称公钥,并通过接收方非对称公钥,对第一密钥信息进行加密,得到第二密钥信息;通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,对第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息;当接收到接收端发送的密钥确认更新信息时,根据新非对称密钥和生效时间,对发文信息进行触发加密处理,得到第二加密发文信息。本发明实施例中,通过高级加密标准密钥对发文信息进行加密,根据旧非对称密钥到期信息生成第一密钥信息,实现了对于多种发文类型的通信报文的私密性保护处理,通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求对第二密钥信息进行密钥确认和密钥更新,实现了密钥的自动安全更新和易分发,根据生效时间和新非对称密钥对发文信息进行触发加密处理,避免了因密钥更新交互过程的异常对业务正常处理的影响,实现了在保障新非对称密钥同步更新成功的情况下减少通信次数,操作简便,进而提高了通信加密机制的安全可靠性。
附图说明
图1为本发明实施例中基于密钥更新的加密方法的一个实施例示意图;
图2为本发明实施例中基于密钥更新的加密方法的另一个实施例示意图;
图3为本发明实施例中基于密钥更新的加密装置的一个实施例示意图;
图4为本发明实施例中基于密钥更新的加密装置的另一个实施例示意图;
图5为本发明实施例中基于密钥更新的加密设备的一个实施例示意图。
具体实施方式
本发明实施例提供了一种基于密钥更新的加密方法、装置、设备及存储介质,提高了通信加密机制的安全可靠性。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本发明实施例的具体流程进行描述,请参阅图1,本发明实施例中基于密钥更新的加密方法的一个实施例包括:
101、获取发文信息,当发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过高级加密标准密钥,对发文信息进行加密,得到第一加密发文信息。
可以理解的是,本发明的执行主体可以为基于密钥更新的加密装置,还可以是终端或者服务器,具体此处不做限定。本发明实施例以发送方的服务器为执行主体为例进行说明。
其中,业务发文用于指示业务数据的发文。高级加密标准密钥为(advancedencryption standard,AES)密钥。当服务器接收到并接受AES密钥更新请求时,将接收的AES密钥更新请求的时间确定为高级加密标准密钥发起更新时间,或者将AES密钥更新请求中的密钥更新日期确定为高级加密标准密钥发起更新时间,高级加密标准密钥发起更新时间中的更新时段需为预设业务低峰期,高级加密标准密钥发起更新时间包括高级加密标准密钥发起的更新日期和更新时段。
服务器在高级加密标准密钥发起更新时间中,生成新的AES密钥,生成新的AES密钥后触发密钥更新完成指令,即更新后的高级加密标准密钥。服务器接收到发文信息加密请求时,对发文信息加密请求进行解析,得到发文信息,并对发文信息的类型进行识别,当该发文信息为业务发文,且接收到密钥更新完成指令时,调用预置的基于高级加密标准的报文加密机制,将发文信息转换为JS对象简谱(javascript object notation,JSON)字符串,得到初始字符串,将初始字符串转换为8位元(universal character set/unicodetransformation format,UTF-8)字符串,得到目标字符串,通过高级加密标准密钥对目标字符串进行加密,得到加密发文信息,通过Base64编码算法对加密发文信息进行编码,得到第一加密发文信息。
102、当发文信息为密钥更新发文时,获取发文信息的旧非对称密钥到期信息,根据旧非对称密钥到期信息,生成第一密钥信息,第一密钥信息包括新非对称密钥,以及新非对称密钥的生效时间。
其中,密钥更新发文为业务关系发生变化导致业务密码更新或者需要进行定时密钥更新的发文。旧非对称密钥到期信息为旧的(ron rivest、adi shamir、leonardadleman,RSA)密钥到期信息。新非对称密钥为新的(ron rivest、adi shamir、leonardadleman,RSA)密钥。
当服务器接收到并接受非对称密钥更新请求时,对非对称密钥更新请求进行解析,得到发文信息的旧非对称密钥到期信息以及非对称密钥发起更新时间,非对称密钥发起更新时间中的更新时段需为预设业务低峰期,非对称密钥发起更新时间包括非对称密钥发起的更新日期和更新时段,或者将接受非对称密钥更新请求的日期确定为非对称密钥发起的更新日期,当发文信息为密钥更新发文时,通过预置的RSA密钥生成算法或RSA密钥生成工具,生成新非对称密钥,并将新非对称密钥的有效期、生效时间和批次号进行设置,得到第一密钥信息,其中,生效时间晚于非对称密钥发起更新时间中的更新日期。
服务器得到第一密钥信息后,将第一密钥信息落地存储至预置存储空间中和容灾中心,并将当前的密钥流程节点状态更新为待同步。
103、获取已生效的接收方非对称公钥,并通过接收方非对称公钥,对第一密钥信息进行加密,得到第二密钥信息。
服务器获取当前已生效的接收方非对称公钥,通过接收方非对称公钥对第一密钥信息进行加密,得到第二密钥信息,服务器得到第二密钥信息之后,可将该第二密钥信息存储至预置存储空间,或者将该第二密钥信息进行分片处理后,按照预设的存储策略将经过分片处理后的第二密钥信息存储至预置区块链中,该存储策略包括存储比例和存储区,提高了第二密钥信息存取的安全性。其中,服务器得到第二密钥信息之后,也可对第二密钥信息的完整性进行检测,以提高第二密钥信息的加密完整性。
104、通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,对第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息。
服务器通过新密钥确认接口KeyExchang接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,通过当前已生效的接收方RSA私钥对第二密钥信息进行解密,得到解密结果,判断该解密结果是否为成功,若是,则得到第二密钥信息解密后的新非对称密钥信息,并将该新非对称密钥信息进行落地存储,以实现对第二密钥信息的密钥确认和密钥更新,并将当前的密钥状态更新为待生效;若否,则生成密钥确认更新失败信息,并将该密钥确认更新失败信息发送至服务器。其中,关于接收端对新非对称密钥信息的落地存储,可将新非对称密钥信息中的有效期、生效时间和批次号分别存储至不同的存储区,以提高存取的安全性。
105、当接收到接收端发送的密钥确认更新信息时,根据新非对称密钥和生效时间,对发文信息进行触发加密处理,得到第二加密发文信息。
当服务器接收到接收端发送的密钥确认更新信息时,判断当前时间是否为生效时间,若是,则触发生效指令,以使得服务器基于生效指令,通过新非对称密钥对发文信息进行加密处理,得到第二加密发文信息,若否,则继续对生效时间进行监测,直到生效时间,触发生效指令,以使得服务器基于生效指令,通过新非对称密钥对发文信息进行加密处理,得到第二加密发文信息。
服务器根据新非对称密钥和生效时间,对发文信息进行触发加密处理,得到第二加密发文信息之后,还可以:将第一加密发文信息和/或第二加密发文信息发送至接收端,并监测是否在预设时间接收到接收端发送的已解密信息,若未收到,则通过第一加密发文信息和/或第二加密发文信息中更新的新密码之前的原密码,对第一加密发文信息和/或第二加密发文信息进行加密,得到第一重加密发文信息和/或第二重加密发文信息,将该第一重加密发文信息和/或第二重加密发文信息,以提高现有的通信加密机制加密的灵活性。
其中,在另一实施例中,服务器通过Base64编码算法对加密发文信息进行编码之后,还可以通过上述步骤102-105的新非对称密钥和加密方式,对经过编码之后的加密发文信息进行加密,得到第一加密发文信息。
本发明实施例中,通过高级加密标准密钥对发文信息进行加密,根据旧非对称密钥到期信息生成第一密钥信息,实现了对于多种发文类型的通信报文的私密性保护处理,通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求对第二密钥信息进行密钥确认和密钥更新,实现了密钥的自动安全更新和易分发,根据生效时间和新非对称密钥对发文信息进行触发加密处理,避免了因密钥更新交互过程的异常对业务正常处理的影响,为密钥交互异常的处理提供了足够的响应处理时间,提高了安全加密的可用性,实现了在保障新非对称密钥同步更新成功的情况下减少通信次数,操作简便,进而提高了通信加密机制的安全可靠性。
请参阅图2,本发明实施例中基于密钥更新的加密方法的另一个实施例包括:
201、获取发文信息,当发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过高级加密标准密钥,对发文信息进行加密,得到第一加密发文信息。
步骤201的执行过程与上述步骤101的执行过程类似,在此不再赘述。
202、当发文信息为密钥更新发文时,获取发文信息的旧非对称密钥到期信息,根据旧非对称密钥到期信息,生成第一密钥信息,第一密钥信息包括新非对称密钥,以及新非对称密钥的生效时间。
具体地,服务器当发文信息为密钥更新发文时,获取发文信息的旧非对称密钥到期信息和非对称密钥发起更新时间,以及基于密钥更新完成指令的高级加密标准密钥发起更新时间,旧非对称密钥到期信息包括预设触发日期;判断非对称密钥发起更新时间是否与高级加密标准密钥发起更新时间一致;若非对称密钥发起更新时间与高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过新密钥生成规则和预设触发日期,生成第一密钥信息。
例如,其中,预设触发日期为旧非对称密钥到期前n日,例如,旧非对称密钥到期信息中旧非对称密钥到期日期为10月20日,n为3,则预设触发日期为10月17日,服务器获得发文信息的旧非对称密钥到期信息和非对称密钥发起更新时间A(A包括更新日期A1和更新时间A2),以及基于密钥更新完成指令的高级加密标准密钥发起更新时间B(B包括更新日期B1和更新时间B2)后,判断A是否等于B,若是(A=B,即A1=B1,A2=B2),则停止对新非对称密钥生成、更新的执行,若否(A≠B,即A1≠B1,A2≠B2或A1=B1,A2≠B2或A1≠B1,A2=B2),根据新密钥生成规则和预设触发日期,生成第一密钥信息,该新密钥生成规则为在预设触发日期触发新密钥生成更新指令,方可以生成新非对称密钥,并按照预设规则对新非对称密钥有效期、生效时间和批次号进行设置,实现了非对称密钥与高级加密标准密钥更新的错开,避免了多种类型密钥更新的冲突和混乱,提高了密钥更新的效率和准确性。
具体地,服务器若非对称密钥发起更新时间与高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过预设触发日期触发新密钥生成更新指令;通过新密钥生成更新指令和新密钥生成规则,生成发文信息的新非对称密钥,以及新非对称密钥的有效期和批次号,得到新非对称密钥信息;根据非对称密钥发起更新时间和预设业务低峰期,对新非对称密钥信息中新非对称密钥的生效时间进行配置,得到第一密钥信息。
例如,若非对称密钥发起更新时间A(A包括更新日期A1和更新时间A2)与高级加密标准密钥发起更新时间B(B包括更新日期B1和更新时间B2)不一致(A≠B,即A1≠B1,A2≠B2或A1=B1,A2≠B2或A1≠B1,A2=B2),则服务器调用预置计时器对预设触发日期的触发时间进行计时,当计时到触发时间时,触发新密钥生成更新指令,根据新密钥生成更新指令,通过非对称密钥生成算法或非对称密钥生成工具(脚本)生成发文信息的新非对称密钥,并配置新非对称密钥的有效期和批次号,得到新非对称密钥信息,预设业务低峰期为02:00-06:00,非对称密钥发起更新时间的更新日期为10月20日,则新非对称密钥信息中新非对称密钥的生效时间设置为晚于10月23日(即生效时间大于非对称密钥发起更新时间的更新日期+3)的02:00-06:00时段,从而得到第一密钥信息。
203、获取已生效的接收方非对称公钥,并通过接收方非对称公钥,对第一密钥信息进行加密,得到第二密钥信息。
步骤203的执行过程与上述步骤103的执行过程类似,在此不再赘述。
204、通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,对第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息。
具体地,服务器通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,获取接收方非对称私钥;通过接收方非对称私钥,对第二密钥信息进行解密和落地存储,得到解密新密钥信息,解密新密钥信息包括批次号;将预设字段与批次号进行拼接处理,得到新密钥加密约定信息;通过预置的超文本传输协议,对新密钥加密约定信息进行响应报文组装,得到密钥确认更新信息。
例如,服务器通过新密钥确认接口KeyExchang接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端通过当前已生效的接收方RSA私钥对第二密钥信息进行解密,得到解密新密钥信息,将解密新密钥信息中的批次号和预设字段“CONFIRMED”以“批次号+CONFIRMED”的形式生成新密钥加密约定信息confirmMsg,通过超文本传输协议(hyper text transfer protocol,HTTP),将新密钥加密约定信息组装为响应报文,从而得到密钥确认更新信息。
205、当接收到接收端发送的密钥确认更新信息时,对密钥确认更新信息依次进行解密和正确性分析,得到新密钥更新完成信息。
具体地,服务器当接收到接收端发送的密钥确认更新信息时,对密钥确认更新信息进行解析,得到解析信息,并通过新非对称密钥对解析信息进行解密,得到新密钥加密约定信息;判断新密钥加密约定信息是否与预设值一致;若新密钥加密约定信息与预设值一致,则生成第二密钥信息的新密钥更新完成信息;若新密钥加密约定信息与预设值不一致,则迭代获取目标新密钥加密约定信息,直至目标新密钥加密约定信息与预设值一致,获得新密钥更新完成信息。
例如,其中,预设值可为字段和字段值中的至少一种,预设值包括新非对称密钥的批次号和确认字段,当接收到接收端发送的密钥确认更新信息时,对密钥确认更新信息进行解析,得到解析信息,并通过新非对称密钥对解析信息进行解密,得到新密钥加密约定信息,判断新密钥加密约定信息中的批次号是否与服务器存储的新非对称密钥的批次号一致,以及新密钥加密约定信息中的CONFIRMED字段是否为服务器约定的字段(确认字段),若是,则生成第二密钥信息的新密钥更新完成信息,表示接受端已接收到正确的新非对称密钥,并将当前的新密钥状态更新为待生效;
若否,则根据旧非对称密钥到期信息生成新非对称密钥信息,获取已生效的接收方非对称公钥,通过接收方非对称公钥对新非对称密钥信息进行加密,得到加密信息,通过预置的新密钥确认接口,将加密信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求对加密信息进行密钥确认和密钥更新,得到新的密钥确认更新信息,当接收到接收端发送的新的密钥确认更新信息时,对新的密钥确认更新信息依次进行解析,得到新的解析信息,并通过新非对称密钥对新的解析信息进行解密,得到目标新密钥加密约定信息,判断目标新密钥加密约定信息是否与预设值一致,循环重复执行上述操作步骤的执行过程,直至目标新密钥加密约定信息与预设值一致,得到新密钥更新完成信息。
206、通过新密钥更新完成信息和生效时间,触发新密钥生效指令,并根据新密钥生效指令和新非对称密钥,对发文信息进行触发加密处理,得到第二加密发文信息。
具体地,服务器通过新密钥更新完成信息调用预置计时器,执行基于生效时间的计时任务;当计时任务计时到生效时间时,触发新密钥生效指令;通过新密钥生效指令和新非对称密钥,对发文信息进行加密,得到第二加密发文信息。
例如,生效时间为10月2月03:00,当服务器接收到新密钥更新完成信息后,调用预置计时器执行基于生效时间的计时任务,当计时任务计时到10月2月03:00时,触发新密钥生效指令,通过新密钥生效指令和新非对称密钥,对发文信息进行加密,得到第二加密发文信息。
本发明实施例中,通过高级加密标准密钥对发文信息进行加密,根据旧非对称密钥到期信息生成第一密钥信息,实现了对于多种发文类型的通信报文的私密性保护处理,通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求对第二密钥信息进行密钥确认和密钥更新,实现了密钥的自动安全更新和易分发,根据生效时间和新非对称密钥对发文信息进行触发加密处理,避免了因密钥更新交互过程的异常对业务正常处理的影响,为密钥交互异常的处理提供了足够的响应处理时间,提高了安全加密的可用性,实现了在保障新非对称密钥同步更新成功的情况下减少通信次数,操作简便,进而提高了通信加密机制的安全可靠性。
上面对本发明实施例中基于密钥更新的加密方法进行了描述,下面对本发明实施例中基于密钥更新的加密装置进行描述,请参阅图3,本发明实施例中基于密钥更新的加密装置一个实施例包括:
更新加密模块301,用于获取发文信息,当发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过高级加密标准密钥,对发文信息进行加密,得到第一加密发文信息;
生成模块302,用于当发文信息为密钥更新发文时,获取发文信息的旧非对称密钥到期信息,根据旧非对称密钥到期信息,生成第一密钥信息,第一密钥信息包括新非对称密钥,以及新非对称密钥的生效时间;
加密模块303,用于获取已生效的接收方非对称公钥,并通过接收方非对称公钥,对第一密钥信息进行加密,得到第二密钥信息;
发送模块304,用于通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,对第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息;
触发加密模块305,用于当接收到接收端发送的密钥确认更新信息时,根据新非对称密钥和生效时间,对发文信息进行触发加密处理,得到第二加密发文信息。
上述基于密钥更新的加密装置中各个模块的功能实现与上述基于密钥更新的加密方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
本发明实施例中,通过高级加密标准密钥对发文信息进行加密,根据旧非对称密钥到期信息生成第一密钥信息,实现了对于多种发文类型的通信报文的私密性保护处理,通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求对第二密钥信息进行密钥确认和密钥更新,实现了密钥的自动安全更新和易分发,根据生效时间和新非对称密钥对发文信息进行触发加密处理,避免了因密钥更新交互过程的异常对业务正常处理的影响,为密钥交互异常的处理提供了足够的响应处理时间,提高了安全加密的可用性,实现了在保障新非对称密钥同步更新成功的情况下减少通信次数,操作简便,进而提高了通信加密机制的安全可靠性。
请参阅图4,本发明实施例中基于密钥更新的加密装置的另一个实施例包括:
更新加密模块301,用于获取发文信息,当发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过高级加密标准密钥,对发文信息进行加密,得到第一加密发文信息;
生成模块302,用于当发文信息为密钥更新发文时,获取发文信息的旧非对称密钥到期信息,根据旧非对称密钥到期信息,生成第一密钥信息,第一密钥信息包括新非对称密钥,以及新非对称密钥的生效时间;
加密模块303,用于获取已生效的接收方非对称公钥,并通过接收方非对称公钥,对第一密钥信息进行加密,得到第二密钥信息;
发送模块304,用于通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,对第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息;
触发加密模块305,用于当接收到接收端发送的密钥确认更新信息时,根据新非对称密钥和生效时间,对发文信息进行触发加密处理,得到第二加密发文信息;
其中,触发加密模块305具体包括:
解密分析单元3051,用于当接收到接收端发送的密钥确认更新信息时,对密钥确认更新信息依次进行解密和正确性分析,得到新密钥更新完成信息;
触发加密单元3052,用于通过新密钥更新完成信息和生效时间,触发新密钥生效指令,并根据新密钥生效指令和新非对称密钥,对发文信息进行触发加密处理,得到第二加密发文信息。
可选的,生成模块302还可以具体用于:
获取单元3021,用于当发文信息为密钥更新发文时,获取发文信息的旧非对称密钥到期信息和非对称密钥发起更新时间,以及基于密钥更新完成指令的高级加密标准密钥发起更新时间,旧非对称密钥到期信息包括预设触发日期;
判断单元3022,用于判断非对称密钥发起更新时间是否与高级加密标准密钥发起更新时间一致;
生成单元3023,用于若非对称密钥发起更新时间与高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过新密钥生成规则和预设触发日期,生成第一密钥信息。
可选的,生成单元3023还可以具体用于:
若非对称密钥发起更新时间与高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过预设触发日期触发新密钥生成更新指令;
通过新密钥生成更新指令和新密钥生成规则,生成发文信息的新非对称密钥,以及新非对称密钥的有效期和批次号,得到新非对称密钥信息;
根据非对称密钥发起更新时间和预设业务低峰期,对新非对称密钥信息中新非对称密钥的生效时间进行配置,得到第一密钥信息。
可选的,发送模块304还可以具体用于:
通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求,获取接收方非对称私钥;
通过接收方非对称私钥,对第二密钥信息进行解密和落地存储,得到解密新密钥信息,解密新密钥信息包括批次号;
将预设字段与批次号进行拼接处理,得到新密钥加密约定信息;
通过预置的超文本传输协议,对新密钥加密约定信息进行响应报文组装,得到密钥确认更新信息。
可选的,解密分析单元3051还可以具体用于:
当接收到接收端发送的密钥确认更新信息时,对密钥确认更新信息进行解析,得到解析信息,并通过新非对称密钥对解析信息进行解密,得到新密钥加密约定信息;
判断新密钥加密约定信息是否与预设值一致;
若新密钥加密约定信息与预设值一致,则生成第二密钥信息的新密钥更新完成信息;
若新密钥加密约定信息与预设值不一致,则迭代获取目标新密钥加密约定信息,直至目标新密钥加密约定信息与预设值一致,获得新密钥更新完成信息。
可选的,触发加密单元3052还可以具体用于:
通过新密钥更新完成信息调用预置计时器,执行基于生效时间的计时任务;
当计时任务计时到生效时间时,触发新密钥生效指令;
通过新密钥生效指令和新非对称密钥,对发文信息进行加密,得到第二加密发文信息。
上述基于密钥更新的加密装置中各模块和各单元的功能实现与上述基于密钥更新的加密方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
本发明实施例中,通过高级加密标准密钥对发文信息进行加密,根据旧非对称密钥到期信息生成第一密钥信息,实现了对于多种发文类型的通信报文的私密性保护处理,通过预置的新密钥确认接口,将第二密钥信息和密钥更新请求发送给接收端,以使得接收端基于密钥更新请求对第二密钥信息进行密钥确认和密钥更新,实现了密钥的自动安全更新和易分发,根据生效时间和新非对称密钥对发文信息进行触发加密处理,避免了因密钥更新交互过程的异常对业务正常处理的影响,为密钥交互异常的处理提供了足够的响应处理时间,提高了安全加密的可用性,实现了在保障新非对称密钥同步更新成功的情况下减少通信次数,操作简便,进而提高了通信加密机制的安全可靠性。
上面图3和图4从模块化功能实体的角度对本发明实施例中的基于密钥更新的加密装置进行详细描述,下面从硬件处理的角度对本发明实施例中基于密钥更新的加密设备进行详细描述。
图5是本发明实施例提供的一种基于密钥更新的加密设备的结构示意图,该基于密钥更新的加密设备500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)510(例如,一个或一个以上处理器)和存储器520,一个或一个以上存储应用程序533或数据532的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器520和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对基于密钥更新的加密设备500中的一系列指令操作。更进一步地,处理器510可以设置为与存储介质530通信,在基于密钥更新的加密设备500上执行存储介质530中的一系列指令操作。
基于密钥更新的加密设备500还可以包括一个或一个以上电源540,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口560,和/或,一个或一个以上操作系统531,例如Windows Serve,Mac OS X,Unix,Linux,FreeBSD等等。本领域技术人员可以理解,图5示出的基于密钥更新的加密设备结构并不构成对基于密钥更新的加密设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行基于密钥更新的加密方法的步骤。
进一步地,计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于密钥更新的加密方法,其特征在于,所述基于密钥更新的加密方法包括:
获取发文信息,当所述发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过所述高级加密标准密钥,对所述发文信息进行加密,得到第一加密发文信息;
当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息,根据所述旧非对称密钥到期信息,生成第一密钥信息,所述第一密钥信息包括新非对称密钥,以及所述新非对称密钥的生效时间;所述旧非对称密钥到期信息包括预设触发日期;所述第一密钥信息基于新密钥生成规则和预设触发日期生成;
获取已生效的接收方非对称公钥,并通过所述接收方非对称公钥,对所述第一密钥信息进行加密,得到第二密钥信息;
通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,对所述第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息;
当接收到所述接收端发送的密钥确认更新信息时,根据所述新非对称密钥和所述生效时间,对所述发文信息进行触发加密处理,得到第二加密发文信息。
2.根据权利要求1所述的基于密钥更新的加密方法,其特征在于,所述当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息,根据所述旧非对称密钥到期信息,生成第一密钥信息,包括:
当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息和非对称密钥发起更新时间,以及基于所述密钥更新完成指令的高级加密标准密钥发起更新时间,所述旧非对称密钥到期信息包括预设触发日期;
判断所述非对称密钥发起更新时间是否与所述高级加密标准密钥发起更新时间一致;
若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述新密钥生成规则和所述预设触发日期,生成第一密钥信息。
3.根据权利要求2所述的基于密钥更新的加密方法,其特征在于,所述若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述新密钥生成规则和所述预设触发日期,生成第一密钥信息,包括:
若所述非对称密钥发起更新时间与所述高级加密标准密钥发起更新时间不一致,则获取新密钥生成规则,并通过所述预设触发日期触发新密钥生成更新指令;
通过所述新密钥生成更新指令和所述新密钥生成规则,生成所述发文信息的新非对称密钥,以及所述新非对称密钥的有效期和批次号,得到新非对称密钥信息;
根据所述非对称密钥发起更新时间和预设业务低峰期,对所述新非对称密钥信息中新非对称密钥的生效时间进行配置,得到第一密钥信息。
4.根据权利要求1所述的基于密钥更新的加密方法,其特征在于,所述通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,对所述第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息,包括:
通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,获取接收方非对称私钥;
通过所述接收方非对称私钥,对所述第二密钥信息进行解密和落地存储,得到解密新密钥信息,所述解密新密钥信息包括批次号;
将预设字段与所述批次号进行拼接处理,得到新密钥加密约定信息;
通过预置的超文本传输协议,对所述新密钥加密约定信息进行响应报文组装,得到密钥确认更新信息。
5.根据权利要求1-4中任一项所述的基于密钥更新的加密方法,其特征在于,所述当接收到所述接收端发送的密钥确认更新信息时,根据所述新非对称密钥和所述生效时间,对所述发文信息进行触发加密处理,得到第二加密发文信息,包括:
当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息依次进行解密和正确性分析,得到新密钥更新完成信息;
通过所述新密钥更新完成信息和所述生效时间,触发新密钥生效指令,并根据所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行触发加密处理,得到第二加密发文信息。
6.根据权利要求5所述的基于密钥更新的加密方法,其特征在于,所述当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息依次进行解密和正确性分析,得到新密钥更新完成信息,包括:
当接收到所述接收端发送的密钥确认更新信息时,对所述密钥确认更新信息进行解析,得到解析信息,并通过所述新非对称密钥对所述解析信息进行解密,得到新密钥加密约定信息;
判断所述新密钥加密约定信息是否与预设值一致;
若所述新密钥加密约定信息与预设值一致,则生成所述第二密钥信息的新密钥更新完成信息;
若所述新密钥加密约定信息与预设值不一致,则迭代获取目标新密钥加密约定信息,直至所述目标新密钥加密约定信息与所述预设值一致,获得新密钥更新完成信息。
7.根据权利要求5所述的基于密钥更新的加密方法,其特征在于,所述通过所述新密钥更新完成信息和所述生效时间,触发新密钥生效指令,并根据所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行触发加密处理,得到第二加密发文信息,包括:
通过所述新密钥更新完成信息调用预置计时器,执行基于所述生效时间的计时任务;
当所述计时任务计时到所述生效时间时,触发新密钥生效指令;
通过所述新密钥生效指令和所述新非对称密钥,对所述发文信息进行加密,得到第二加密发文信息。
8.一种基于密钥更新的加密装置,其特征在于,所述基于密钥更新的加密装置包括:
更新加密模块,用于获取发文信息,当所述发文信息为业务发文,且接收到密钥更新完成指令时,获取密钥更新完成后的高级加密标准密钥,并调用预置的基于高级加密标准的报文加密机制,通过所述高级加密标准密钥,对所述发文信息进行加密,得到第一加密发文信息;
生成模块,用于当所述发文信息为密钥更新发文时,获取所述发文信息的旧非对称密钥到期信息,根据所述旧非对称密钥到期信息,生成第一密钥信息,所述第一密钥信息包括新非对称密钥,以及所述新非对称密钥的生效时间;所述旧非对称密钥到期信息包括预设触发日期;所述第一密钥信息基于新密钥生成规则和预设触发日期生成;
加密模块,用于获取已生效的接收方非对称公钥,并通过所述接收方非对称公钥,对所述第一密钥信息进行加密,得到第二密钥信息;
发送模块,用于通过预置的新密钥确认接口,将所述第二密钥信息和密钥更新请求发送给接收端,以使得所述接收端基于所述密钥更新请求,对所述第二密钥信息进行密钥确认和密钥更新,得到密钥确认更新信息;
触发加密模块,用于当接收到所述接收端发送的密钥确认更新信息时,根据所述新非对称密钥和所述生效时间,对所述发文信息进行触发加密处理,得到第二加密发文信息。
9.一种基于密钥更新的加密设备,其特征在于,所述基于密钥更新的加密设备包括:存储器和至少一个处理器,所述存储器中存储有指令;
所述至少一个处理器调用所述存储器中的所述指令,以使得所述基于密钥更新的加密设备执行如权利要求1-7中任意一项所述的基于密钥更新的加密方法。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,其特征在于,所述指令被处理器执行时实现如权利要求1-7中任一项所述基于密钥更新的加密方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011284393.5A CN112202557B (zh) | 2020-11-17 | 2020-11-17 | 基于密钥更新分发的加密方法、装置、设备及存储介质 |
| PCT/CN2021/090175 WO2022105113A1 (zh) | 2020-11-17 | 2021-04-27 | 基于密钥更新的加密方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011284393.5A CN112202557B (zh) | 2020-11-17 | 2020-11-17 | 基于密钥更新分发的加密方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112202557A CN112202557A (zh) | 2021-01-08 |
| CN112202557B true CN112202557B (zh) | 2023-05-30 |
Family
ID=74033579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011284393.5A Active CN112202557B (zh) | 2020-11-17 | 2020-11-17 | 基于密钥更新分发的加密方法、装置、设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112202557B (zh) |
| WO (1) | WO2022105113A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202557B (zh) * | 2020-11-17 | 2023-05-30 | 平安科技(深圳)有限公司 | 基于密钥更新分发的加密方法、装置、设备及存储介质 |
| CN115460595B (zh) * | 2022-11-11 | 2023-03-24 | 北京数盾信息科技有限公司 | 一种基于卫星网络的数据传输方法、中心信关站及系统 |
| CN116155491B (zh) * | 2023-02-02 | 2024-03-08 | 广州万协通信息技术有限公司 | 安全芯片的对称密钥同步方法及安全芯片装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8699713B1 (en) * | 2011-09-30 | 2014-04-15 | Emc Corporation | Key update with compromise detection |
| CN104539420A (zh) * | 2014-12-15 | 2015-04-22 | 南京中新赛克科技有限责任公司 | 一种通用的智能硬件的安全密钥管理方法 |
| CN109587178A (zh) * | 2019-01-23 | 2019-04-05 | 四川虹美智能科技有限公司 | 一种基于mqtt的智能家电加密控制系统和方法 |
| US10419211B1 (en) * | 2015-11-30 | 2019-09-17 | Cisco Technology, Inc. | Hash-based key distribution |
| CN111669402A (zh) * | 2020-06-22 | 2020-09-15 | 深圳前海微众银行股份有限公司 | 加密通信方法、装置、设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070909A (zh) * | 2017-04-01 | 2017-08-18 | 广东欧珀移动通信有限公司 | 信息发送方法、信息接收方法、装置及系统 |
| US10491386B2 (en) * | 2017-06-01 | 2019-11-26 | International Business Machines Corporation | Slice-level keyed encryption with support for efficient rekeying |
| CN111200491A (zh) * | 2018-11-20 | 2020-05-26 | 千寻位置网络有限公司 | 密钥的更新、数据解密方法及装置、客户端及交互系统 |
| CN110324143B (zh) * | 2019-05-24 | 2022-03-11 | 平安科技(深圳)有限公司 | 数据传输方法、电子设备及存储介质 |
| CN112202557B (zh) * | 2020-11-17 | 2023-05-30 | 平安科技(深圳)有限公司 | 基于密钥更新分发的加密方法、装置、设备及存储介质 |
-
2020
- 2020-11-17 CN CN202011284393.5A patent/CN112202557B/zh active Active
-
2021
- 2021-04-27 WO PCT/CN2021/090175 patent/WO2022105113A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8699713B1 (en) * | 2011-09-30 | 2014-04-15 | Emc Corporation | Key update with compromise detection |
| CN104539420A (zh) * | 2014-12-15 | 2015-04-22 | 南京中新赛克科技有限责任公司 | 一种通用的智能硬件的安全密钥管理方法 |
| US10419211B1 (en) * | 2015-11-30 | 2019-09-17 | Cisco Technology, Inc. | Hash-based key distribution |
| CN109587178A (zh) * | 2019-01-23 | 2019-04-05 | 四川虹美智能科技有限公司 | 一种基于mqtt的智能家电加密控制系统和方法 |
| CN111669402A (zh) * | 2020-06-22 | 2020-09-15 | 深圳前海微众银行股份有限公司 | 加密通信方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 密钥更新常见问题及解决方法;高洁;《青海电力》;20110930;第30卷(第3期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112202557A (zh) | 2021-01-08 |
| WO2022105113A1 (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112202557B (zh) | 基于密钥更新分发的加密方法、装置、设备及存储介质 | |
| EP4216081A1 (en) | Information verification method, related apparatus, device, and storage medium | |
| EP3321837B1 (en) | Method, apparatus and system for deviceidentification | |
| EP0861541B1 (en) | Root key compromise recovery | |
| CN114900338B (zh) | 一种加密解密方法、装置、设备和介质 | |
| CN110213247B (zh) | 一种提高推送信息安全性的方法及系统 | |
| CN114143082B (zh) | 一种加密通信方法、系统及装置 | |
| CN111130798A (zh) | 一种请求鉴权方法及相关设备 | |
| CN115276978A (zh) | 一种数据处理方法以及相关装置 | |
| CN114172645A (zh) | 通信旁路审计方法、装置、电子设备及存储介质 | |
| CN115022012B (zh) | 一种数据传输方法、装置、系统、设备及存储介质 | |
| CN114363094B (zh) | 一种数据分享方法、装置、设备及存储介质 | |
| CN114785527B (zh) | 数据传输方法、装置、设备及存储介质 | |
| CN116506158A (zh) | 基于智慧城市的物联网设备加密传输方法及系统 | |
| CN113205337A (zh) | 交易处理系统及方法 | |
| CN111294359B (zh) | 压力测试方法、装置、计算机设备和存储介质 | |
| CN114584299A (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| Bojanova et al. | Cryptography classes in bugs framework (BF): Encryption bugs (ENC), verification bugs (VRF), and key management bugs (KMN) | |
| CN115391795A (zh) | 数据处理方法、相关设备及介质 | |
| CN116866029B (zh) | 随机数加密数据传输方法、装置、计算机设备及存储介质 | |
| CN112926076B (zh) | 一种数据处理的方法、装置和系统 | |
| WO2016158908A1 (ja) | ネットワーク通信方法及びネットワーク通信システム | |
| CN111565178B (zh) | 业务信息下发方法、装置、服务器、客户端及存储介质 | |
| CN112367171B (zh) | 一种基于rsa和MD5的数据传输方法及组件 | |
| Seo et al. | Design and implementation of a patch management system to remove security vulnerability in multi-platforms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |