CN112564887A - 密钥保护处理方法、装置、设备和存储介质 - Google Patents

密钥保护处理方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN112564887A
CN112564887A CN202011376585.9A CN202011376585A CN112564887A CN 112564887 A CN112564887 A CN 112564887A CN 202011376585 A CN202011376585 A CN 202011376585A CN 112564887 A CN112564887 A CN 112564887A
Authority
CN
China
Prior art keywords
key
electronic device
public key
generating
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011376585.9A
Other languages
English (en)
Inventor
陈兆龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apollo Intelligent Connectivity Beijing Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202011376585.9A priority Critical patent/CN112564887A/zh
Publication of CN112564887A publication Critical patent/CN112564887A/zh
Priority to US17/489,138 priority patent/US20220021529A1/en
Priority to EP21200458.4A priority patent/EP3934295A3/en
Priority to JP2021178938A priority patent/JP7420779B2/ja
Priority to KR1020210162650A priority patent/KR20210151016A/ko
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种密钥保护处理方法、装置、设备和存储介质,涉及数据安全和数据传输。具体实现方案为:根据第一私钥生成第一公钥,第一公钥和第二私钥用于生成第一加密密钥;向第二电子设备发送第一公钥;接收来自第二电子设备的第二公钥,第二公钥为依据第二私钥生成的;根据第二公钥和第一私钥,生成第二加密密钥;第一加密密钥和第二加密密钥,用于处理数据交互时采用的原始密钥。第二电子设备所生成的第一加密密钥、第一电子设备所生成的第二加密密钥,两者是一致的,进而两个电子设备完成对原始密钥的加密和解密;并第一加密密钥、第二加密密钥不会被传输,非法设备不会获取到二次加密密钥,保证原始密钥和数据的安全性。

Description

密钥保护处理方法、装置、设备和存储介质
技术领域
本申请涉及计算机技术中数据安全和数据传输,尤其涉及一种密钥保护处理方法、装置、设备和存储介质。
背景技术
在数据的传输过程中,为了保证数据不被窃取和篡改,即,保证数据传输的安全性,常常需要对数据进行加解密的保护处理。可以采用密钥对数据进行加解密保护处理,但是若密钥被破解,则会导致数据被窃取、篡改等等。
现有技术中,可以采用约定算法对密钥再次进行加密保护,进而对数据进行进一步的保护,例如约定算法为基于64个可打印字符来表示二进制数据(BASE64)的编码处理,或者消息摘要算法(MD5 Message-Digest Algorithm,简称MD5)值处理方式。
然而现有技术中,一旦非法设备获知发送端与接收端预先约定的算法,非法设备容易根据约定算法破解出密钥,进而去非法获取数据,对数据进行窃取、篡改等等非法处理。从而,密钥的传输依然是不安全的。
发明内容
本申请提供了一种用于保证密钥安全、数据安全的密钥保护处理方法、装置、设备和存储介质。
根据本申请的第一方面,提供了一种密钥保护处理方法,所述方法应用于第一电子设备,所述方法包括:
根据预存的第一私钥生成第一公钥,其中,所述第一公钥用于生成第一加密密钥,所述第一加密密钥是依据所述第一公钥和第二私钥生成的;
向第二电子设备发送所述第一公钥;
接收来自所述第二电子设备的第二公钥,其中,所述第二公钥为依据所述第二私钥生成的;
根据所述第二公钥和所述第一私钥,生成第二加密密钥;其中,所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
根据本申请的第二方面,提供了一种密钥保护处理方法,所述方法应用于第二电子设备,所述方法包括:
接收来自第一电子设备的第一公钥,其中,所述第一公钥为依据第一私钥生成的;
根据所述第一公钥和第二私钥,生成第一加密密钥;
根据预存的第二私钥生成第二公钥,并向所述第一电子设备发送所述第二公钥;其中,所述第二公钥用于生成第二加密密钥,所述第二加密密钥是依据所述第二公钥和所述第一私钥生成的;所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
根据本申请的第三方面,提供了一种密钥保护处理装置,所述装置应用于第一电子设备,所述装置包括:
第一生成单元,用于根据预存的第一私钥生成第一公钥,其中,所述第一公钥用于生成第一加密密钥,所述第一加密密钥是依据所述第一公钥和第二私钥生成的;
第一发送单元,用于向第二电子设备发送所述第一公钥;
第一接收单元,用于接收来自所述第二电子设备的第二公钥,其中,所述第二公钥为依据所述第二私钥生成的;
第二生成单元,用于根据所述第二公钥和所述第一私钥,生成第二加密密钥;其中,所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
根据本申请的第四方面,提供了一种密钥保护处理装置,所述装置应用于第二电子设备,所述装置包括:
第一接收单元,用于接收来自第一电子设备的第一公钥,其中,所述第一公钥为依据第一私钥生成的;
第一生成单元,用于根据所述第一公钥和第二私钥,生成第一加密密钥;
第二生成单元,用于根据预存的第二私钥生成第二公钥;
第一发送单元,用于向所述第一电子设备发送所述第二公钥;其中,所述第二公钥用于生成第二加密密钥,所述第二加密密钥是依据所述第二公钥和所述第一私钥生成的;所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
根据本申请的第五方面,提供了一种第一电子设备,包括:处理器和存储器;存储器中存储有所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行如第一方面中任一项所述的密钥保护处理方法。
根据本申请的第六方面,提供了一种第二电子设备,包括:处理器和存储器;存储器中存储有所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行如第一方面中任一项所述的密钥保护处理方法。
根据本申请的第七方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,该计算机指令被处理器执行时实现第一方面中任一项所述的密钥保护处理方法,或者执行如第三方面所述的密钥保护处理方法。
根据本申请的第八方面,提供了一种程序产品,所述程序产品包括:计算机程序,所述计算机程序存储在可读存储介质中,服务器的至少一个处理器可以从所述可读存储介质读取所述计算机程序,所述至少一个处理器执行所述计算机程序使得服务器执行第一方面中任一所述的密钥保护处理方法,或者执行如第三方面所述的密钥保护处理方法。
根据本申请的第九方面,提供了一种密钥保护处理系统,所系统包括第五方面所述的第一电子设备和第六方面所述的第二电子设备。
根据本申请的技术方案,第一加密密钥、第二加密密钥都与相同的数据具有相关性(即,均与第一私钥、第二私钥具有数据相关性),从而,第二电子设备所生成的第一加密密钥、第一电子设备所生成的第二加密密钥,两者是一致的。从而,第一电子设备可以基于第二加密密钥、第二电子设备基于第一加密密钥,两个电子设备完成对原始密钥的加密和解密,第一电子设备和第二电子设备均得到了原始密钥;然后,第一电子设备和第二电子设备就基于原始密钥进行数据交互了,保证数据传输的安全性。并且,在上述过程中,两端各自生成的二次加密密钥(即,第一加密密钥、第二加密密钥)不会被传输,从而,其他非法设备不会获取到二次加密密钥,保证原始密钥和数据的安全性。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是根据本申请第一实施例的示意图;
图2是根据本申请第一实施例的信令图;
图3是根据本申请第二实施例的示意图;
图4是根据本申请第三实施例的示意图;
图5是根据本申请第四实施例的示意图;
图6是根据本申请第五实施例的示意图;
图7是根据本申请第六实施例的示意图;
图8是根据本申请第七实施例的示意图;
图9是根据本申请第八实施例的示意图;
图10是根据本申请第九实施例的示意图;
图11是根据本申请第十实施例的示意图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
在互联网中,尤其是移动互联网,数据的安全性和隐私性是非常重要的,出于对数据的安全性考虑、用户信息的隐私性的考虑,需要对互联网中所产生的数据进行加密。从而,在数据的传输过程中,为了保证数据不被窃取和篡改,即,保证数据传输的安全性,常常需要对数据进行加解密的保护处理。
一个示例中,可以采用非对称加密算法对数据进行加解密。另一个示例中,可以采用对称加密算法对数据进行加解密,其中,对称加密算法例如有数据加密标准(DataEncryption Standard,简称DES)算法、Triple DES(3DES)算法、高级加密标准(AdvancedEncryption Standard,简称AES)算法、分组密码标准(SM4)算法、等等。
在采用加密算法对数据进行加解密的时候,需要采用固定的密钥对数据进行加解密保护处理。若密钥被破解,则会导致数据被窃取、篡改等等,若需要保证密钥的安全。
一个示例中,可以采用约定算法对密钥再次进行加密保护,进而对数据进行进一步的保护。例如,约定算法为BASE64的编码处理,即,对原始的密钥进行BASE64的编码处理,将得到编码值作为密钥;或者,约定算法为MD5值处理方式,即,对原始的密钥计算MD5值,将得到的MD5值作为密钥;或者,对原始的密钥进行再次加密,将密文形式的密钥,发送给对端。
然而上述方式,一旦非法设备获知发送端与接收端预先约定的算法,非法设备容易根据约定算法破解出密钥,进而去非法获取数据,对数据进行窃取、篡改等等非法处理。从而,密钥的传输依然是不安全的。
本申请提供一种密钥保护处理方法、装置、设备和存储介质,应用于计算机技术中数据安全和数据传输,以保证密钥安全、数据安全。
图1是根据本申请第一实施例的示意图,如图1所示,本实施例提供的密钥保护处理方法,包括:
101、根据预存的第一私钥生成第一公钥,其中,第一公钥用于生成第一加密密钥,第一加密密钥是依据第一公钥和第二私钥生成的;向第二电子设备发送第一公钥。
示例性地,本实施例的执行主体可以是第一电子设备,其中,第一电子设备可以是终端设备、或者服务器、或者是其他可以执行本实施例方法的装置或设备。
在第一电子设备与第二电子设备之间需要传输数据的时候,需要采用密钥对数据进行加密,为了保护密钥,可以采用本实施例的过程,对密钥进行保护处理。
第一电子设备可以生成第一私钥PK1,其中,第一私钥PK1可以是随机生成的,或者,第一私钥PK1是固定的私钥。然后,第一电子设备根据第一私钥PK1生成第一公钥PA1。
第一电子设备将生成的第一公钥PA1发送给第二电子设备,但是第一电子设备不会将第一私钥PK1发送给第二电子设备。
第二电子设备可以生成第二私钥PK2,其中,第二私钥PK2可以是随机生成的,或者,第二私钥PK2是固定的私钥。然后,第二电子设备根据第二私钥PK2生成第二公钥PA2。第二电子设备在接收到第一电子设备发送的第一公钥PA1之后,第二电子设备可以根据第一电子设备发送的第一公钥PA1、第二电子设备生成的第二私钥PK2,生成一个二次加密密钥,即,生成第一加密密钥;一个示例中,第二电子设备采用已知的密钥生成算法,根据对端发送的第一公钥PA1和自己生成的第二私钥PK2可以生成第一加密密钥。可知,第一公钥PA1用于生成第一加密密钥。
102、接收来自第二电子设备的第二公钥,其中,第二公钥为依据第二私钥生成的。
示例性地,由于第二电子设备可以根据自己生成的第二私钥PK2,生成第二公钥PA2,第二电子设备可以将生成的第二公钥PA2发送给第一电子设备,但是第二电子设备不会将第二私钥PK2发送给第一电子设备。
103、根据第二公钥和第一私钥,生成第二加密密钥;其中,第一加密密钥和第二加密密钥,用于处理第一电子设备与第二电子设备之间进行数据交互时采用的原始密钥。
示例性地,第一电子设备在接收到第二电子设备发送的第二公钥PA2之后,第一电子设备可以根据第二电子设备发送的第二公钥PA2、第一电子设备生成的第一私钥PK1,生成一个二次加密密钥,即,生成第二加密密钥;一个示例中,第一电子设备采用已知的密钥生成算法,根据对端发送的第二公钥PA2和自己生成的第一私钥PK1可以生成第二加密密钥。可知,第二公钥PA2用于生成第二加密密钥。
第一电子设备生成了第二加密密钥,第一电子设备生成了第一加密密钥,第二加密密钥、第一加密密钥均作为二次加密密钥。
上述方式中,第二电子设备根据第一电子设备发送的第一公钥PA1、第二电子设备生成的第二私钥PK2,生成第一加密密钥;第一电子设备根据第二电子设备发送的第二公钥PA2、第一电子设备生成的第一私钥PK1,生成第二加密密钥。第一公钥PA1是依据第一私钥PK1生成的,即,第一公钥PA1与第一私钥PK1之间具有数据相关性;第二公钥PA2是依据第二私钥PK2生成的,即,第二公钥PA2与第二私钥PK2之间具有数据相关性;从而,对于依据第一公钥PA1和第二私钥PK2生成的第一加密密钥,由于第一公钥PA1与第一私钥PK1之间具有数据相关性,进而第一加密密钥与第一私钥PK1、第二私钥PK2之间具有数据相关性;对于依据第二公钥PA2和第一私钥PK1生成的第二加密密钥,由于第二公钥PA2与第二私钥PK2之间具有数据相关性,进而第二加密密钥与第一私钥PK1、第二私钥PK2之间具有数据相关性。基于上述分析可知,第一加密密钥、第二加密密钥都与相同的数据具有相关性(即,均与第一私钥PK1、第二私钥PK2具有数据相关性),从而,第二电子设备所生成的第一加密密钥、第一电子设备所生成的第二加密密钥,两者是一致的。
在第一电子设备与第二电子设备之间进行数据传输的时候,第一电子设备可以采用第二加密密钥对原始密钥进行加密,将加密后的原始密钥发送给第二电子设备;由于第一加密密钥和第二加密密钥两者是一致的,第二电子设备可以根据第一加密密钥对加密后的原始密钥进行解密,进而第二电子设备可以得到原始密钥。可知,第一电子设备和第二电子设备均得到了原始密钥。然后,第一电子设备和第二电子设备就基于原始密钥进行数据交互了。
并且,在上述过程中,第二电子设备生成第一加密密钥,第二电子设备不会将生成的第一加密密钥传输给第一电子设备,即,第一加密密钥不会在网络中进行传输、第一加密密钥也不会通过其他媒介传输给其他设备;同时,第一电子设备生成第二加密密钥,第一电子设备不会将生成的第二加密密钥传输给第二电子设备,即,第二加密密钥不会在网络中进行传输、第二加密密钥也不会通过其他媒介传输给其他设备。进而,两端各自生成的二次加密密钥(即,第一加密密钥、第二加密密钥)不会被传输,从而,其他非法设备不会获取到二次加密密钥;在通过二次加密密钥对原始密钥进行加密之后,由于非法设备无法获取到二次加密密钥,非法设备不能破解到原始密钥,进而就不能获取到通过原始密钥加密的数据(即,无法获取到第一电子设备与第二电子设备之间传输的数据)。
一个示例中,图2是根据本申请第一实施例的信令图,如图2所示,本实施例提供的方法,包括以下步骤:S11、第一电子设备根据第一私钥PK1生成第一公钥PA1;S12、第一电子设备向第二电子设备发送第一公钥PA1;S13、第二电子设备根据第二私钥PK2生成第二公钥PA2;S14、第二电子设备根据第一公钥PA1和第二私钥PK2,生成第一加密密钥;S15、第二电子设备向第一电子设备发送第二公钥PA2;S16、第一电子设备根据第二公钥PA2和第一私钥PK1,生成第二加密密钥。
本实施例,通过第二电子设备根据第一电子设备发送的第一公钥、第二电子设备生成的第二私钥,生成第一加密密钥;第一电子设备根据第二电子设备发送的第二公钥、第一电子设备生成的第一私钥,生成第二加密密钥;对于依据第一公钥和第二私钥生成的第一加密密钥,由于第一公钥与第一私钥之间具有数据相关性,进而第一加密密钥与第一私钥、第二私钥之间具有数据相关性;对于依据第二公钥和第一私钥生成的第二加密密钥,由于第二公钥与第二私钥之间具有数据相关性,进而第二加密密钥与第一私钥、第二私钥之间具有数据相关性。基于上述分析可知,第一加密密钥、第二加密密钥都与相同的数据具有相关性(即,均与第一私钥、第二私钥具有数据相关性),从而,第二电子设备所生成的第一加密密钥、第一电子设备所生成的第二加密密钥,两者是一致的。从而,第一电子设备可以基于第二加密密钥、第二电子设备基于第一加密密钥,两个电子设备完成对原始密钥的加密和解密,第一电子设备和第二电子设备均得到了原始密钥;然后,第一电子设备和第二电子设备就基于原始密钥进行数据交互了,保证数据传输的安全性。并且,在上述过程中,两端各自生成的二次加密密钥(即,第一加密密钥、第二加密密钥)不会被传输,从而,其他非法设备不会获取到二次加密密钥;在通过二次加密密钥对原始密钥进行加密之后,由于非法设备无法获取到二次加密密钥(即,保证了二次加密密钥不被非法设备获取),非法设备不能破解到原始密钥,进而就不能获取到通过原始密钥加密的数据(即,无法获取到第一电子设备与第二电子设备之间传输的数据)。
图3是根据本申请第二实施例的示意图,如图3所示,本实施例提供的密钥保护处理方法,包括:
201、随机生成第一私钥,并根据第一私钥生成第一公钥。
一个示例中,步骤201具体包括:随机生成第一私钥;生成第一参数和第二参数,并向第二电子设备发送第一参数和第二参数;根据第一私钥、第一参数和第二参数,生成第一公钥;其中,第一公钥表征了第一私钥、第一参数和第二参数之间的逻辑关系,第二公钥表征了第二私钥、第一参数和第二参数之间的逻辑关系。
一个示例中,第一私钥和第一公钥互为双向线性对形式;第二私钥和第二公钥互为双向线性对形式。
示例性地,本实施例的执行主体可以是第一电子设备,其中,第一电子设备可以是终端设备、或者服务器、或者是其他可以执行本实施例方法的装置或设备。
在第一电子设备与第二电子设备之间需要传输数据的时候,需要采用密钥对数据进行加密,为了保护密钥,可以采用本实施例的过程,对密钥进行保护处理。一个示例中,在第一电子设备与第二电子设备之间每次进行数据交互时,都可以执行一遍本实施例的方案去生成二次加密密钥。
第一电子设备可以随机生成第一私钥PK1;然后,第一电子设备根据随机生成的第一私钥PK1生成第一公钥PA1。其中,在第一电子设备与第二电子设备之间每次进行数据交互时,第一电子设备可以随机的生成一个第一私钥PK1,然后依据随机生成的第一私钥PK1生成第一公钥PA1;从而,每次所生成的第一私钥PK1是不同的,进而每次生成的第一公钥PA1是不同的,保证第一电子设备每次生成第二加密密钥时,所生成的第二加密密钥(即,二次加密密钥)是不同的,可以进一步的保证数据传输的安全性。并且,第一电子设备生成的第一私钥PK1、第二电子设备生成的第二私钥PK2,均是随机生成的、且不会被传输,进一步得保证两端所生成的二次加密密钥不会被反向计算、不会被窃取,进而保证了原始密钥和数据的安全性。
一个示例中,第一电子设备可以采用DH密钥交换算法,对第二公钥PA2和第一私钥PK1进行处理,生成第二加密密钥;第二电子设备可以采用DH密钥交换算法,对第一公钥PA1和第二私钥PK2进行处理,生成第一加密密钥。
一个示例中,第一电子设备依据第一私钥生成第一公钥的时候,所生成的第一公钥与第一私钥之间互为双向线性对形式,其中,双向线性对形式可以保证第一公钥的加密性。第二电子设备依据第二私钥生成第二公钥的时候,所生成的第二公钥与第二私钥之间互为双向线性对形式,其中,双向线性对形式可以保证第二公钥的加密性。
一个示例中,第一电子设备生成第一参数G和第二参数P,将生成的第一参数G和第二参数P发送给第二电子设备;第一电子设备随机生成第一私钥PK1。并且,第一电子设备依据第一私钥PK1、以及第一参数G和第二参数P,生成第一公钥PA1,可知,第一公钥PA1是与第一私钥PK1、第一参数G、第二参数P相关的,即,第一公钥PA1表征了第一私钥PK1、第一参数G和第二参数P之间的逻辑关系。
并且,第一电子设备将生成的第一公钥PA1发送给第二电子设备,但是第一电子设备不会将第一私钥PK1发送给第二电子设备。
202、根据签名算法和第一随机数,生成第一签名值;向第二电子设备发送第一随机数和第一签名值,其中,第一随机数和第一签名值用于验证第一公钥是否被篡改。
示例性地,第一电子设备在将第一公钥PA1发送给第二电子设备的时候,还可以随机生成一个第一随机数,然后第一电子设备依据签名算法和第一随机数,生成第一签名值;第一电子设备将生成的第一随机数、第一签名值发送给第二电子设备。
203、向第二电子设备发送第一公钥;第一公钥用于生成第一加密密钥,第一加密密钥是依据第一公钥和第二私钥生成的;第二私钥为随机生成的。
一个示例中,第一加密密钥为根据第一公钥、第二私钥和第二参数生成的。
示例性地,根据步骤202可知,第一电子设备可以将第一随机数、第一签名值以及第一公钥发送给第二电子设备。第二电子设备先根据第一随机数生成第六签名值;然后,第二电子设备第六签名值与接收到的第一签名值之间是否一致;第二电子设备若确定第六签名值与第一签名值一致,则确定第一公钥PA1在传输时未被篡改;第二电子设备若确定第六签名值与第一签名值不一致,则确定第一公钥PA1在传输时被篡改了,则第二电子设备可以告知第一电子设备第一公钥PA1被篡改,请求第一电子设备重新发送第一公钥PA1。进而,依据第一随机数和第一签名值,去验证第一公钥PA1是否被篡改,以保证二次加密密钥的安全。
第二电子设备若确定第一公钥PA1在传输时未被篡改,第二电子设备随机生成第二私钥PK2;第二电子设备可以接收到第一电子设备发送的第一参数G和第二参数P,进而第二电子设备依据第二私钥PK2、以及接收到的第一参数G和第二参数P,生成第二公钥PA2;可知,第二公钥PA2是与第二私钥PK2、第一参数G、第二参数P相关的,即,第二公钥PA2表征了第二私钥PK2、第一参数G、第二参数P之间的逻辑关系。接着,第二电子设备可以将生成的第二公钥PA2发送给第一电子设备,但是第二电子设备不会将第二私钥PK2发送给第一电子设备。
并且,第二电子设备可以根据第一电子设备发送的第一公钥PA1、第二电子设备生成的第二私钥PK2,生成一个二次加密密钥,即,生成第一加密密钥。一个示例中,第二电子设备可以根据第一电子设备发送的第一公钥PA1和第二参数P、以及第二电子设备生成的第二私钥PK2,生成第一加密密钥。
其中,在第一电子设备与第二电子设备之间每次进行数据交互时,第二电子设备可以随机的生成一个第二私钥PK2,然后依据随机生成的第二私钥PK2生成第二公钥PA2;从而,每次所生成的第二私钥PK2是不同的,进而每次生成的第二公钥PA2是不同的,保证第二电子设备每次生成第二加密密钥时,所生成的第二加密密钥(即,二次加密密钥)是不同的,可以进一步的保证数据传输的安全性。
204、接收来自第二电子设备的第二公钥,其中,第二公钥为依据第二私钥生成的。
示例性地,根据步骤203可知,第一设备可以接收到第一电子设备发送的第二公钥PA2。
205、接收来自第二电子设备的第二签名值和第二随机数,其中,第二签名值为依据第二随机数和签名算法所生成的。
示例性地,第二电子设备在向第一电子设备反馈第二公钥PA2之前,第二电子设备随机生成一个第二随机数,第二电子设备根据签名算法和第二随机数生成第二签名值。然后,第二电子设备可以将第二签名值、第二随机数、以及第二公钥PA2发送给第一电子设备。
206、根据第二随机数和签名算法,生成第三签名值;若确定第二签名值和第三签名值一致,则确定的第二公钥未被篡改。
示例性地,第一电子设备接收到第二随机数之后,根据第二随机数和签名算法,生成第三签名值;第一电子设备验证接收到的第二签名值、自己生成的第三签名值两者的一致性;第一电子设备若确定第二签名值和第三签名值一致,则确定第二公钥PA2在传输时未被篡改;第一电子设备若确定第二签名值和第三签名值不一致,则确定第二公钥PA2在传输时被篡改,然后,向第二电子设备重新请求第二公钥PA2。进而,依据第二签名值和第二随机数,去验证第二公钥PA2是否被篡改,以保证二次加密密钥的安全。
207、根据第二公钥和第一私钥,生成第二加密密钥;其中,第一加密密钥和第二加密密钥,用于处理第一电子设备与第二电子设备之间进行数据交互时采用的原始密钥。
一个示例中,步骤207具体包括:根据第二公钥、第一私钥和第二参数,生成第二加密密钥。
示例性地,第一电子设备若确定第二公钥PA2在传输时未被篡改,则根据第二电子设备发送的第二公钥PA2、第一电子设备生成的第一私钥PK1,生成一个二次加密密钥,即,生成第二加密密钥。一个示例中,由于第一电子设备生成的第二参数P,第一电子设备可以根据第二公钥PA2、第一私钥PK1和第二参数P,生成第二加密密钥。
上述方式中,第一电子设备依据第一私钥PK1、第一参数G和第二参数P,生成第一公钥PA1,可知,第一公钥PA1是与第一私钥PK1、第一参数G、第二参数P相关的(即,第一公钥PA1表征了第一私钥PK1、第一参数G和第二参数P之间的逻辑关系)。第二电子设备依据第二私钥PK2、第一参数G和第二参数P,生成第二公钥PA2;可知,第二公钥PA2是与第二私钥PK2、第一参数G、第二参数P相关的(即,第二公钥PA2表征了第二私钥PK2、第一参数G、第二参数P之间的逻辑关系)。
并且,第一电子设备根据第二公钥PA2、第一私钥PK1和第二参数P,生成第二加密密钥;进而,第二加密密钥与第二私钥PK2、第一私钥PK1、第一参数G、第二参数P均是相关的。第二电子设备根据第二私钥PK2、第一公钥PA1和第二参数P,生成第一加密密钥;进而,第一加密密钥与第二私钥PK2、第一私钥PK1、第一参数G、第二参数P均是相关的。
基于上述分析可知,第一加密密钥、第二加密密钥都与相同的数据具有相关性(即,均与第二私钥PK2、第一私钥PK1、第一参数G、第二参数P具有数据相关性),从而,第二电子设备所生成的第一加密密钥、第一电子设备所生成的第二加密密钥,两者是一致的。第一加密密钥、第二加密密钥不会被进行传输,第二电子设备保存第一加密密钥,第一电子设备保存第二加密密钥,只有第一加密密钥和第二加密密钥是一致的,才可以保证第一电子设备和第二电子设备可以获取到相同的原始密钥。
在第一电子设备与第二电子设备之间进行数据传输的时候,第一电子设备可以采用第二加密密钥对原始密钥进行加密,将加密后的原始密钥发送给第二电子设备;由于第一加密密钥和第二加密密钥两者是一致的,第二电子设备可以根据第一加密密钥对加密后的原始密钥进行解密,进而第二电子设备可以得到原始密钥。可知,第一电子设备和第二电子设备均得到了原始密钥。然后,第一电子设备和第二电子设备就基于原始密钥进行数据交互了。
一个示例中,第一电子设备为自助终端设备,第二电子设备为服务器。本实施例提供的方案可以应用到自助终端设备与服务器之间的交互上;自助终端设备与服务器之间交互数据之前,可以执行本实施例的方案,生成第一加密密钥和第二加密密钥。例如,自助终端设备为预约挂号设备、或者社会服务器设备、或者为银行终端机;这些终端与服务器交互的数据,是需要高保密性的,进而可以采用本实施例的方案,得到不会被非法设备窃取的二次加密密钥。
举例来说,本实施例中,生成二次加密密钥(第一加密密钥、第二加密密钥)的过程为以下过程,其中,发送端为第一电子设备,接收端为第二电子设备:
步骤1、发送端向接收端发送两个质数G和P(即,第一参数G、第二参数P)。
步骤2、发送端生成随机数A,将随机数A作为第一私钥PK1(即,A=私钥PK1)。
步骤3、接收端生成随机数B,将随机数B作为第二私钥PK2(即,B=私钥PK2)。
步骤4、发送端根据自己生成的第一私钥PK1,生成第一公钥PA1=GA mod P=GPK1mod P;发送端将第一公钥PA1=GA mod P=GPK1 mod P,发送给接收端。
步骤5、接收端根据第二私钥PK2,生成第二公钥PA2=GB mod P=GPK2 mod P;接收端将第二公钥PA2=GB mod P=GPK2 mod P,发送给发送端。
步骤6、发送端采用接收端发送过来的第二公钥PA2=GB mod P=GPK2 mod P,计算A次方并求modP,即,发送端根据第二公钥PA2、第一私钥A=PK1,去计算第一加密密钥;发送端得到第一加密密钥为(GB mod P)A mod P=(GPK2 mod P)PK1 mod P,也就是(GPK2 mod P)PK1mod P=PA2PK1 mod P。
其中,发送端所计算的第一加密密钥(即,二次加密密钥)可以简化为GPK2*PK1 modP=GPK1*PK2 mod P。
步骤7、接收端采用发送端发送过来的第一公钥PA1=GA mod P=GPK1 mod P,计算B次方并求modP,即,接收端根据第一公钥PA1、第二私钥B=PK2,去计算第二加密密钥;接收端得到第二加密密钥为(GA mod P)B mod P=(GPK1 mod P)PK2 mod P,也就是(GPK1 mod P)PK2mod P=PA1PK2 modP。
其中,接收端所计算的第二加密密钥(即,二次加密密钥)可以简化为GPK1*PK2 modP。
根据上述举例说明可知,本实施例所得到的第一加密密钥和第二加密密钥是一致的。
注意的是:步骤6和步骤7是用于解释为何两端生成的二次加密密钥是一致的(即,第一加密密钥和第二加密密钥一致),第一私钥PK1和第二PK2是不能传递的。
本实施例,通过第一电子设备依据第一私钥、第一参数和第二参数,生成第一公钥;第二电子设备依据第二私钥、第一参数和第二参数,生成第二公钥;第一电子设备根据第二公钥、第一私钥和第二参数,生成第二加密密钥,第二电子设备根据第二私钥、第一公钥和第二参数,生成第一加密密钥;从而,第一加密密钥、第二加密密钥都与相同的数据具有相关性(即,均与第二私钥、第一私钥、第一参数、第二参数具有数据相关性),从而,第二电子设备所生成的第一加密密钥、第一电子设备所生成的第二加密密钥,两者是一致的;第一电子设备可以基于第二加密密钥、第二电子设备基于第一加密密钥,两个电子设备完成对原始密钥的加密和解密,第一电子设备和第二电子设备均得到了原始密钥;然后,第一电子设备和第二电子设备就基于原始密钥进行数据交互了,保证数据传输的安全性。并且,在上述过程中,两端各自生成的二次加密密钥(即,第一加密密钥、第二加密密钥)不会被传输,从而,其他非法设备不会获取到二次加密密钥,进一步保证的原始密钥和数据的安全性。
图4是根据本申请第三实施例的示意图,如图4所示,本实施例提供的密钥保护处理方法,包括:
301、根据预存的第一私钥生成第一公钥,并向第二电子设备发送第一公钥;其中,第一公钥用于生成第一加密密钥,第一加密密钥是依据第一公钥和第二私钥生成的。
302、接收来自第二电子设备的第二公钥,其中,第二公钥为依据第二私钥生成的。
303、根据第二公钥和第一私钥,生成第二加密密钥;其中,第一加密密钥和第二加密密钥,用于处理第一电子设备与第二电子设备之间进行数据交互时采用的原始密钥。
示例性地,本实施例的执行主体可以是第一电子设备,其中,第一电子设备可以是终端设备、或者服务器、或者是其他可以执行本实施例方法的装置或设备。
本实施例的步骤301-303可以参见上述实施例的介绍,不再赘述。
304、根据第二加密密钥对原始密钥进行加密,得到加密后的原始密钥。
示例性地,第一电子设备生成了第二加密密钥(即,二次加密密钥)之后,采用第二加密密钥对原始密钥进行加密,得到加密后的原始密钥。其中,第一电子设备采用的加密算法不做限制。
305、根据第三随机数和签名算法生成第四签名值,并向第二电子设备发送第三随机数和第四签名值;其中,第三随机数和第四签名值用于验证加密后的原始密钥是否被篡改。
示例性地,第一电子设备随机生成第三随机数,并根据第三随机数和签名算法生成第四签名值。第一电子设备在将加密后的原始密钥发送给第二电子设备的同时,还会将第三随机数和第四签名值发送给第二电子设备。
306、向第二电子设备发送加密后的原始密钥,加密后的原始密钥用于依据第一加密密钥对加密后的原始密钥进行解密后得到原始密钥,其中,原始密钥用于处理第一电子设备与第二电子设备之间交互的数据。
示例性地,第一电子设备将加密后的原始密钥发送给第二电子设备。第二电子设备还会接收到第三随机数和第四签名值,然后第二电子设备依据接收到的第三随机数生成第七签名值;然后,第二电子设备验证接收到的第四签名值和自己生成的第七签名值之间的一致性;第二电子设备若确定第四签名值和第七签名值一致,则确定加密后的原始密钥在传输过程中未被篡改;第二电子设备若确定第四签名值和第七签名值不一致,则确定加密后的原始密钥在传输过程中被篡改,并向第一电子设备重新请求加密后的原始密钥。进而,验证了加密后的原始密钥在传输过程中是否被篡改。
第二电子设备在确定加密后的原始密钥在传输过程中未被篡改时,由于第二电子设备已经生成了第二加密密钥(即,二次加密密钥),第一加密密钥和第二加密密钥是一致的,所以第二电子设备可以根据第二加密密钥对加密后的原始密钥进行解密,得到原始密钥。其中,第二电子设备采用的加密算法不做限制。
307、采用原始密钥对待发送数据进行加密,得到加密后的数据。
示例性地,第一电子设备可以采用原始密钥对待发送数据进行加密,得到加密后的数据。其中,第一电子设备采用的加密算法不做限制。
308、根据第四随机数和签名算法生成第五签名值,并向第二电子设备发送第四随机数和第五签名值;其中,第四随机数和第五签名值用于验证加密后的数据是否被篡改。
示例性地,第一电子设备可以随机生成第四随机数,然后依据第四随机数和签名算法生成第五签名值;第一电子设备在将加密后的数据发送给第二电子设备的同时,将第四随机数和第五签名值发送给第二电子设备。
309、向第二电子设备发送加密后的数据,其中,加密后的数据用于根据第二电子设备所得到的原始密钥对加密后的数据进行解密。
示例性地,第二电子设备在接收到第一电子设备发送的加密后的数据之后,第二电子设备还会接收到第四随机数和第五签名值;第二电子设备可以根据第四随机数,生成第八签名值;第二电子设备验证接收到的第五签名值与自己生成的第八签名值一致性;第二电子设备若确定第五签名值和第八签名值一致,则确定加密后的数据在传输过程中未被篡改;第二电子设备若确定第五签名值和第八签名值不一致,则确定加密后的数据在传输过程中被篡改,并向第一电子设备重新请求加密后的数据。
第二电子设备在确定加密后的数据在传输过程中未被篡改时,由于第二电子设备已经解密得到原始密钥,第二电子设备就可以根据原始密钥对加密后的数据进行解密,得到数据。
本实施例中,由于第一电子设备生成了第二加密密钥,第二电子设备生成了第一加密密钥,第一加密密钥与第二加密密钥是一致的,进而第一电子设备可以采用第二加密密钥对原始密钥进行加密,而第二电子设备在接收到第一电子设备发送的加密后的原始密钥时,第二电子设备可以采用第一加密密钥对加密后的原始密钥进行解密;进而第一电子设备和第二电子设备都可以得到原始密钥,并且,第一加密密钥与第二加密密钥不会在网络中传输,进而第一加密密钥与第二加密密钥不会被盗取,保证了原始密钥的安全性。进一步地,第一电子设备和第二电子设备可以基于原始密钥进行数据传输,由于原始密钥是安全的,进而也可以保证第一电子设备与第二电子设备之间所传输的数据的安全性。
图5是根据本申请第四实施例的示意图,如图5所示,本实施例提供的密钥保护处理方法,包括:
401、接收来自第一电子设备的第一公钥,其中,第一公钥为依据第一私钥生成的。
402、根据第一公钥和第二私钥,生成第一加密密钥。
403、根据预存的第二私钥生成第二公钥。
404、向第一电子设备发送第二公钥;其中,第二公钥用于生成第二加密密钥,第二加密密钥是依据第二公钥和第一私钥生成的;第一加密密钥和第二加密密钥,用于处理第一电子设备与第二电子设备之间进行数据交互时采用的原始密钥。
一个示例中,步骤403包括:随机生成第二私钥,并根据第二私钥生成第二公钥;其中,第一私钥为随机生成的。
一个示例中,步骤402包括:接收来自第一电子设备的第一参数和第二参数;根据第一公钥、第二私钥和第二参数,生成第一加密密钥;其中,第二加密密钥为根据第二公钥、第一私钥和第二参数生成的;
则步骤403具体包括:根据第二私钥、第一参数和第二参数,生成第二公钥;其中,第二公钥表征了第二私钥、第一参数和第二参数之间的逻辑关系,第一公钥表征了第一私钥、第一参数和第二参数之间的逻辑关系。
一个示例中,第一私钥和第一公钥互为双向线性对形式;第二私钥和第二公钥互为双向线性对形式。
一个示例中,本实施例提供的方法,还包括:在根据第一公钥和第二私钥,生成第一加密密钥之前,接收来自第一电子设备的第一随机数和第一签名值,其中,第一签名值为根据签名算法和第一随机数生成的。则在步骤401之后,还包括:根据第一随机数生成第六签名值;若确定第一签名值和第六签名值一致,则确定第一公钥未被篡改。
一个示例中,本实施例提供的方法,还包括:根据签名算法和第二随机数,生成第二签名值,并向第一电子设备发送第二签名值和第二随机数;其中,第二随机数和第二签名值用于验证第二公钥是否被篡改。
一个示例中,第一电子设备为自助终端设备,第二电子设备为服务器。
一个示例中,在步骤404之后,还包括:接收来自第一电子设备的加密后的原始密钥,其中,加密后的原始密钥为根据第二加密密钥对原始密钥进行加密得到的;根据第一加密密钥对加密后的原始密钥进行解密,得到原始密钥,其中,原始密钥用于处理第一电子设备与第二电子设备之间交互的数据。
一个示例中,本实施例提供的方法,还包括:接收来自第一电子设备的第三随机数和第四签名值,其中第四签名值为根据第三随机数和签名算法生成的;根据第三随机数,生成第七签名值;若确定第四签名值和第七签名值一致,则确定加密后的原始密钥未被篡改。
一个示例中,在根据第一加密密钥对加密后的原始密钥进行解密,得到原始密钥之后,还包括:接收来自第一电子设备的加密后的数据,其中,加密后的数据为采用原始密钥对待发送数据进行加密得到的;根据原始密钥对加密后的数据进行解密。
一个示例中,本实施例提供的方法,还包括:接收来自第一电子设备的第四随机数和第五签名值,其中,第五签名值为根据第四随机数和签名算法生成的;根据第四随机数,生成第八签名值;若确定第五签名值和第八签名值一致,则确定加密后的数据未被篡改。
示例性地,本实施例的执行主体可以是第二电子设备,其中,第二电子设备可以是终端设备、或者服务器、或者是其他可以执行本实施例方法的装置或设备。
本实施例的方法,可以执行上述方法中的技术方案,其具体实现过程和技术原理相同,此处不再赘述。
图6是根据本申请第五实施例的示意图,如图6所示,本实施例提供的密钥保护处理装置30,该密钥保护处理装置30应用于第一电子设备,该密钥保护处理装置30包括:
第一生成单元31,用于根据预存的第一私钥生成第一公钥,其中,第一公钥用于生成第一加密密钥,第一加密密钥是依据第一公钥和第二私钥生成的。
第一发送单元32,用于向第二电子设备发送第一公钥。
第一接收单元33,用于接收来自第二电子设备的第二公钥,其中,第二公钥为依据第二私钥生成的。
第二生成单元34,用于根据第二公钥和第一私钥,生成第二加密密钥;其中,第一加密密钥和第二加密密钥,用于处理第一电子设备与第二电子设备之间进行数据交互时采用的原始密钥。
本实施例的装置,可以执行上述方法中的技术方案,其具体实现过程和技术原理相同,此处不再赘述。
图7是根据本申请第六实施例的示意图,如图7所示,本实施例提供的密钥保护处理装置30,该密钥保护处理装置30应用于第一电子设备,在图6所示实施例的基础上,第一生成单元31,具体用于:随机生成第一私钥,并根据第一私钥生成第一公钥;其中,第二私钥为随机生成的。
一个示例中,第一生成单元31,包括:
第一生成模块311,用于生成第一参数和第二参数。
发送模块312,用于向第二电子设备发送第一参数和第二参数。
第二生成模块313,用于根据第一私钥、第一参数和第二参数,生成第一公钥;其中,第一公钥表征了第一私钥、第一参数和第二参数之间的逻辑关系,第二公钥表征了第二私钥、第一参数和第二参数之间的逻辑关系。
第二生成单元34,具体用于:根据第二公钥、第一私钥和第二参数,生成第二加密密钥;其中,第一加密密钥为根据第一公钥、第二私钥和第二参数生成的。
一个示例中,第一私钥和第一公钥互为双向线性对形式;第二私钥和第二公钥互为双向线性对形式。
一个示例中,本实施例提供的密钥保护处理装置30,还包括:
第三生成单元41,用于在第一发送单元32向第二电子设备发送第一公钥之前,根据签名算法和第一随机数,生成第一签名值。
第二发送单元42,用于向第二电子设备发送第一随机数和第一签名值,其中,第一随机数和第一签名值用于验证第一公钥是否被篡改。
一个示例中,本实施例提供的密钥保护处理装置30,还包括:
第二接收单元43,用于在第二生成单元34根据第二公钥和第一私钥,生成第二加密密钥之前,接收来自第二电子设备的第二签名值和第二随机数,其中,第二签名值为依据第二随机数和签名算法所生成的。
第四生成单元44,用于根据第二随机数和签名算法,生成第三签名值。
确定单元45,用于若确定第二签名值和第三签名值一致,则确定的第二公钥未被篡改。
一个示例中,第一电子设备为自助终端设备,第二电子设备为服务器。
一个示例中,本实施例提供的密钥保护处理装置30,还包括:
加密单元46,用于在第二生成单元34根据第二公钥和第一私钥,生成第二加密密钥之后,根据第二加密密钥对原始密钥进行加密,得到加密后的原始密钥;其中,加密后的原始密钥用于依据第一加密密钥对加密后的原始密钥进行解密后得到原始密钥,其中,原始密钥用于处理第一电子设备与第二电子设备之间交互的数据。
第二发送单元47,用于向第二电子设备发送加密后的原始密钥。
一个示例中,本实施例提供的密钥保护处理装置30,还包括:
第三发送单元48,用于根据第三随机数和签名算法生成第四签名值,并向第二电子设备发送第三随机数和第四签名值;其中,第三随机数和第四签名值用于验证加密后的原始密钥是否被篡改。
本实施例的装置,可以执行上述方法中的技术方案,其具体实现过程和技术原理相同,此处不再赘述。
图8是根据本申请第七实施例的示意图,如图8所示,本实施例提供的密钥保护处理装置50,该密钥保护处理装置50应用于第二电子设备,该密钥保护处理装置50包括:
第一接收单元51,用于接收来自第一电子设备的第一公钥,其中,第一公钥为依据第一私钥生成的。
第一生成单元52,用于根据第一公钥和第二私钥,生成第一加密密钥。
第二生成单元53,用于根据预存的第二私钥生成第二公钥。
第一发送单元54,用于向第一电子设备发送第二公钥;其中,第二公钥用于生成第二加密密钥,第二加密密钥是依据第二公钥和第一私钥生成的;第一加密密钥和第二加密密钥,用于处理第一电子设备与第二电子设备之间进行数据交互时采用的原始密钥。
本实施例的装置,可以执行上述方法中的技术方案,其具体实现过程和技术原理相同,此处不再赘述。
图9是根据本申请第八实施例的示意图,如图9所示,本实施例提供的密钥保护处理装置50,该密钥保护处理装置50应用于第二电子设备,在图8所示实施例的基础上,第二生成单元53,具体用于:随机生成第二私钥,并根据第二私钥生成第二公钥;其中,第一私钥为随机生成的。
一个示例中,第一生成单元52,包括:
接收模块521,用于接收来自第一电子设备的第一参数和第二参数。
生成模块522,用于根据第一公钥、第二私钥和第二参数,生成第一加密密钥;其中,第二加密密钥为根据第二公钥、第一私钥和第二参数生成的。
第二生成单元53,具体用于:根据第二私钥、第一参数和第二参数,生成第二公钥;其中,第二公钥表征了第二私钥、第一参数和第二参数之间的逻辑关系,第一公钥表征了第一私钥、第一参数和第二参数之间的逻辑关系。
一个示例中,第一私钥和第一公钥互为双向线性对形式;第二私钥和第二公钥互为双向线性对形式。
一个示例中,本实施例提供的密钥保护处理装置50,还包括:
第二接收单元61,用于在第一生成单元52根据第一公钥和第二私钥,生成第一加密密钥之前,接收来自第一电子设备的第一随机数和第一签名值,其中,第一签名值为根据签名算法和第一随机数生成的。
第三生成单元62,用于在第一接收单元接收来自第一电子设备的第一公钥之后,根据第一随机数生成第六签名值。
第一确定单元63,用于若确定第一签名值和第六签名值一致,则确定第一公钥未被篡改。
一个示例中,本实施例提供的密钥保护处理装置50,还包括:
第二发送单元64,用于根据签名算法和第二随机数,生成第二签名值,并向第一电子设备发送第二签名值和第二随机数;其中,第二随机数和第二签名值用于验证第二公钥是否被篡改。
一个示例中,第一电子设备为自助终端设备,第二电子设备为服务器。
一个示例中,本实施例提供的密钥保护处理装置50,还包括:
第三接收单元65,用于在第一发送单元54向第一电子设备发送第二公钥之后,接收来自第一电子设备的加密后的原始密钥,其中,加密后的原始密钥为根据第二加密密钥对原始密钥进行加密得到的。
解密单元66,用于根据第一加密密钥对加密后的原始密钥进行解密,得到原始密钥,其中,原始密钥用于处理第一电子设备与第二电子设备之间交互的数据。
一个示例中,本实施例提供的密钥保护处理装置50,还包括:
第三接收单元67,用于接收来自第一电子设备的第三随机数和第四签名值,其中,第四签名值为根据第三随机数和签名算法生成的。
第四生成单元68,用于根据第三随机数,生成第七签名值。
第二确定单元69,用于若确定第四签名值和第七签名值一致,则确定加密后的原始密钥未被篡改。
本实施例的装置,可以执行上述方法中的技术方案,其具体实现过程和技术原理相同,此处不再赘述。
图10是根据本申请第九实施例的示意图,如图10所示,本实施例中的电子设备70可以包括:处理器71和存储器72。
存储器72,用于存储程序;存储器72,可以包括易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-access memory,缩写:RAM),如静态随机存取存储器(英文:static random-access memory,缩写:SRAM),双倍数据率同步动态随机存取存储器(英文:Double Data Rate Synchronous Dynamic Random Access Memory,缩写:DDR SDRAM)等;存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory)。存储器72用于存储计算机程序(如实现上述方法的应用程序、功能模块等)、计算机指令等,上述的计算机程序、计算机指令等可以分区存储在一个或多个存储器72中。并且上述的计算机程序、计算机指令、数据等可以被处理器71调用。
上述的计算机程序、计算机指令等可以分区存储在一个或多个存储器72中。并且上述的计算机程序、计算机指据等可以被处理器71调用。
处理器71,用于执行存储器72存储的计算机程序,以实现上述实施例涉及的方法中的各个步骤。
具体可以参见前面方法实施例中的相关描述。
处理器71和存储器72可以是独立结构,也可以是集成在一起的集成结构。当处理器71和存储器72是独立结构时,存储器72、处理器71可以通过总线73耦合连接。
本实施例提供的电子设备可以为上述实施例中的第一电子设备或者第二电子设备。
本实施例的电子设备可以执行上述方法中的技术方案,其具体实现过程和技术原理相同,此处不再赘述。
根据本申请的实施例,本申请还提供了一种第一电子设备和一种可读存储介质。
根据本申请的实施例,本申请还提供了一种第二电子设备和一种可读存储介质。
图11是根据本申请第十实施例的示意图,如图11所示,图11是用来实现本申请实施例的密钥保护处理方法的框图。本实施例提供了一种电子设备,该电子设备可以为上述实施例中的第一电子设备或者第二电子设备。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图11所示,该电子设备800包括:一个或多个处理器801、存储器802,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图11中以一个处理器801为例。
存储器802即为本申请所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本申请所提供的密钥保护处理方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的密钥保护处理方法。
存储器802作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的密钥保护处理方法对应的程序指令/模块(例如,附图6所示的第一生成单元31、第一发送单元32、第一接收单元33和第二生成单元34;或者例如,附图8所示的第一接收单元51、第一生成单元52、第二生成单元53和第一发送单元54)。处理器801通过运行存储在存储器802中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的密钥保护处理方法。
存储器802可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储用于实现密钥保护处理方法的电子设备800的使用所创建的数据等。此外,存储器802可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器802可选包括相对于处理器801远程设置的存储器,这些远程存储器可以通过网络连接至用于实现密钥保护处理方法的电子设备800。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
用于实现密钥保护处理方法的电子设备800还可以包括:输入装置803和输出装置804。处理器801、存储器802、输入装置803和输出装置804可以通过总线或者其他方式连接,图11中以通过总线连接为例。
输入装置803可接收输入的数字或字符信息,以及产生与用于实现密钥保护处理方法的电子设备800的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置804可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算机程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算机程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
本申请实施例还提供了一种密钥保护处理系统,该系统包括上述实施例中的第一电子设备和第二电子设备。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (39)

1.一种密钥保护处理方法,所述方法应用于第一电子设备,所述方法包括:
根据预存的第一私钥生成第一公钥,其中,所述第一公钥用于生成第一加密密钥,所述第一加密密钥是依据所述第一公钥和第二私钥生成的;
向第二电子设备发送所述第一公钥;
接收来自所述第二电子设备的第二公钥,其中,所述第二公钥为依据所述第二私钥生成的;
根据所述第二公钥和所述第一私钥,生成第二加密密钥;其中,所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
2.根据权利要求1所述的方法,其中,根据预存的第一私钥生成第一公钥,包括:随机生成所述第一私钥,并根据所述第一私钥生成所述第一公钥;
其中,所述第二私钥为随机生成的。
3.根据权利要求2所述的方法,其中,根据所述第一私钥生成所述第一公钥,包括:
生成第一参数和第二参数,并向所述第二电子设备发送所述第一参数和所述第二参数;
根据所述第一私钥、所述第一参数和所述第二参数,生成所述第一公钥;其中,所述第一公钥表征了第一私钥、所述第一参数和所述第二参数之间的逻辑关系,所述第二公钥表征了所述第二私钥、所述第一参数和所述第二参数之间的逻辑关系;
根据所述第二公钥和所述第一私钥,生成第二加密密钥,包括:根据所述第二公钥、所述第一私钥和所述第二参数,生成所述第二加密密钥;其中,所述第一加密密钥为根据所述第一公钥、所述第二私钥和所述第二参数生成的。
4.根据权利要求2所述的方法,所述第一私钥和所述第一公钥互为双向线性对形式;所述第二私钥和所述第二公钥互为双向线性对形式。
5.根据权利要求1所述的方法,其中,在向第二电子设备发送所述第一公钥之前,还包括:
根据签名算法和第一随机数,生成第一签名值;
所述方法,还包括:向所述第二电子设备发送所述第一随机数和所述第一签名值,其中,所述第一随机数和所述第一签名值用于验证所述第一公钥是否被篡改。
6.根据权利要求1所述的方法,其中,在根据所述第二公钥和所述第一私钥,生成第二加密密钥之前,还包括:
接收来自所述第二电子设备的第二签名值和第二随机数,其中,所述第二签名值为依据所述第二随机数和签名算法所生成的;
根据所述第二随机数和签名算法,生成第三签名值;
若确定所述第二签名值和所述第三签名值一致,则确定所述第二公钥未被篡改。
7.根据权利要求1-6任一项所述的方法,其中,所述第一电子设备为自助终端设备,所述第二电子设备为服务器。
8.根据权利要求1-6任一项所述的方法,其中,在根据所述第二公钥和所述第一私钥,生成第二加密密钥之后,还包括:
根据所述第二加密密钥对原始密钥进行加密,得到加密后的原始密钥;其中,所述加密后的原始密钥用于依据所述第一加密密钥对所述加密后的原始密钥进行解密后得到所述原始密钥,其中,所述原始密钥用于处理所述第一电子设备与所述第二电子设备之间交互的数据;
向所述第二电子设备发送所述加密后的原始密钥。
9.根据权利要求8所述的方法,所述方法,还包括:
根据第三随机数和签名算法生成第四签名值,并向所述第二电子设备发送所述第三随机数和所述第四签名值;
其中,所述第三随机数和所述第四签名值用于验证所述加密后的原始密钥是否被篡改。
10.一种密钥保护处理方法,所述方法应用于第二电子设备,所述方法包括:
接收来自第一电子设备的第一公钥,其中,所述第一公钥为依据第一私钥生成的;
根据所述第一公钥和第二私钥,生成第一加密密钥;
根据预存的第二私钥生成第二公钥,并向所述第一电子设备发送所述第二公钥;其中,所述第二公钥用于生成第二加密密钥,所述第二加密密钥是依据所述第二公钥和所述第一私钥生成的;所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
11.根据权利要求10所述的方法,其中,根据预存的第二私钥生成第二公钥,包括:随机生成所述第二私钥,并根据所述第二私钥生成所述第二公钥;
其中,所述第一私钥为随机生成的。
12.根据权利要求11所述的方法,其中,根据所述第一公钥和第二私钥,生成第一加密密钥,包括:
接收来自所述第一电子设备的第一参数和第二参数;
根据第一公钥、所述第二私钥和所述第二参数,生成所述第一加密密钥;其中,所述第二加密密钥为根据所述第二公钥、所述第一私钥和所述第二参数生成的;
根据预存的第二私钥生成第二公钥,包括:根据所述第二私钥、所述第一参数和所述第二参数,生成所述第二公钥;其中,所述第二公钥表征了所述第二私钥、所述第一参数和所述第二参数之间的逻辑关系,所述第一公钥表征了第一私钥、所述第一参数和所述第二参数之间的逻辑关系。
13.根据权利要求11所述的方法,所述第一私钥和所述第一公钥互为双向线性对形式;所述第二私钥和所述第二公钥互为双向线性对形式。
14.根据权利要求10所述的方法,其中,所述方法,还包括:接收来自所述第一电子设备的第一随机数和第一签名值,其中,所述第一签名值为根据签名算法和所述第一随机数生成的;
在所述接收来自第一电子设备的第一公钥之后,还包括:
根据所述第一随机数生成第六签名值;
若确定所述第一签名值和所述第六签名值一致,则确定所述第一公钥未被篡改。
15.根据权利要求10所述的方法,所述方法,还包括:
根据签名算法和第二随机数,生成第二签名值,并向所述第一电子设备发送所述第二签名值和所述第二随机数;
其中,所述第二随机数和所述第二签名值用于验证所述第二公钥是否被篡改。
16.根据权利要求10-15任一项所述的方法,其中,所述第一电子设备为自助终端设备,所述第二电子设备为服务器。
17.根据权利要求10-15任一项所述的方法,其中,在向所述第一电子设备发送所述第二公钥之后,还包括:
接收来自所述第一电子设备的加密后的原始密钥,其中,所述加密后的原始密钥为根据所述第二加密密钥对原始密钥进行加密得到的;
根据所述第一加密密钥对所述加密后的原始密钥进行解密,得到所述原始密钥,其中,所述原始密钥用于处理所述第一电子设备与所述第二电子设备之间交互的数据。
18.根据权利要求17所述的方法,所述方法,还包括:
接收来自所述第一电子设备的第三随机数和第四签名值,其中,所述第四签名值为根据所述第三随机数和签名算法生成的;
根据所述第三随机数,生成第七签名值;
若确定所述第四签名值和所述第七签名值一致,则确定所述加密后的原始密钥未被篡改。
19.一种密钥保护处理装置,所述装置应用于第一电子设备,所述装置包括:
第一生成单元,用于根据预存的第一私钥生成第一公钥,其中,所述第一公钥用于生成第一加密密钥,所述第一加密密钥是依据所述第一公钥和第二私钥生成的;
第一发送单元,用于向第二电子设备发送所述第一公钥;
第一接收单元,用于接收来自所述第二电子设备的第二公钥,其中,所述第二公钥为依据所述第二私钥生成的;
第二生成单元,用于根据所述第二公钥和所述第一私钥,生成第二加密密钥;其中,所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
20.根据权利要求19所述的装置,其中,第一生成单元,具体用于:随机生成所述第一私钥,并根据所述第一私钥生成所述第一公钥;
其中,所述第二私钥为随机生成的。
21.根据权利要求20所述的装置,其中,第一生成单元,包括:
第一生成模块,用于生成第一参数和第二参数;
发送模块,用于向所述第二电子设备发送所述第一参数和所述第二参数;
第二生成模块,用于根据所述第一私钥、所述第一参数和所述第二参数,生成所述第一公钥;其中,所述第一公钥表征了第一私钥、所述第一参数和所述第二参数之间的逻辑关系,所述第二公钥表征了所述第二私钥、所述第一参数和所述第二参数之间的逻辑关系;
所述第二生成单元,具体用于:根据所述第二公钥、所述第一私钥和所述第二参数,生成所述第二加密密钥;其中,所述第一加密密钥为根据所述第一公钥、所述第二私钥和所述第二参数生成的。
22.根据权利要求20所述的装置,所述第一私钥和所述第一公钥互为双向线性对形式;所述第二私钥和所述第二公钥互为双向线性对形式。
23.根据权利要求19所述的装置,其中,所述装置,还包括:
第三生成单元,用于在所述第一发送单元向第二电子设备发送所述第一公钥之前,根据签名算法和第一随机数,生成第一签名值;
所述装置,还包括:第二发送单元,用于向所述第二电子设备发送所述第一随机数和所述第一签名值,其中,所述第一随机数和所述第一签名值用于验证所述第一公钥是否被篡改。
24.根据权利要求19所述的装置,其中,所述装置,还包括:
第二接收单元,用于在所述第二生成单元根据所述第二公钥和所述第一私钥,生成第二加密密钥之前,接收来自所述第二电子设备的第二签名值和第二随机数,其中,所述第二签名值为依据所述第二随机数和签名算法所生成的;
第四生成单元,用于根据所述第二随机数和签名算法,生成第三签名值;
确定单元,用于若确定所述第二签名值和所述第三签名值一致,则确定所述第二公钥未被篡改。
25.根据权利要求19-24任一项所述的装置,其中,所述第一电子设备为自助终端设备,所述第二电子设备为服务器。
26.根据权利要求19-24任一项所述的装置,其中,所述装置,还包括:
加密单元,用于在所述第二生成单元根据所述第二公钥和所述第一私钥,生成第二加密密钥之后,根据所述第二加密密钥对原始密钥进行加密,得到加密后的原始密钥;其中,所述加密后的原始密钥用于依据所述第一加密密钥对所述加密后的原始密钥进行解密后得到所述原始密钥,其中,所述原始密钥用于处理所述第一电子设备与所述第二电子设备之间交互的数据;
第二发送单元,用于向所述第二电子设备发送所述加密后的原始密钥。
27.根据权利要求26所述的装置,所述装置,还包括:
第三发送单元,用于根据第三随机数和签名算法生成第四签名值,并向所述第二电子设备发送所述第三随机数和所述第四签名值;
其中,所述第三随机数和所述第四签名值用于验证所述加密后的原始密钥是否被篡改。
28.一种密钥保护处理装置,所述装置应用于第二电子设备,所述装置包括:
第一接收单元,用于接收来自第一电子设备的第一公钥,其中,所述第一公钥为依据第一私钥生成的;
第一生成单元,用于根据所述第一公钥和第二私钥,生成第一加密密钥;
第二生成单元,用于根据预存的第二私钥生成第二公钥;
第一发送单元,用于向所述第一电子设备发送所述第二公钥;其中,所述第二公钥用于生成第二加密密钥,所述第二加密密钥是依据所述第二公钥和所述第一私钥生成的;所述第一加密密钥和所述第二加密密钥,用于处理所述第一电子设备与所述第二电子设备之间进行数据交互时采用的原始密钥。
29.根据权利要求28所述的装置,其中,所述第二生成单元,具体用于:随机生成所述第二私钥,并根据所述第二私钥生成所述第二公钥;
其中,所述第一私钥为随机生成的。
30.根据权利要求29所述的装置,其中,所述第一生成单元,包括:
接收模块,用于接收来自所述第一电子设备的第一参数和第二参数;
生成模块,用于根据第一公钥、所述第二私钥和所述第二参数,生成所述第一加密密钥;其中,所述第二加密密钥为根据所述第二公钥、所述第一私钥和所述第二参数生成的;
所述第二生成单元,具体用于:根据所述第二私钥、所述第一参数和所述第二参数,生成所述第二公钥;其中,所述第二公钥表征了所述第二私钥、所述第一参数和所述第二参数之间的逻辑关系,所述第一公钥表征了第一私钥、所述第一参数和所述第二参数之间的逻辑关系。
31.根据权利要求29所述的装置,所述第一私钥和所述第一公钥互为双向线性对形式;所述第二私钥和所述第二公钥互为双向线性对形式。
32.根据权利要求28所述的装置,其中,所述装置,还包括:
第二接收单元,用于在所述第一生成单元,根据所述第一公钥和第二私钥,生成第一加密密钥之前,接收来自所述第一电子设备的第一随机数和第一签名值,其中,所述第一签名值为根据签名算法和所述第一随机数生成的;
第三生成单元,用于在所述第一接收单元所述接收来自第一电子设备的第一公钥之后,根据所述第一随机数生成第六签名值;
第一确定单元,用于若确定所述第一签名值和所述第六签名值一致,则确定所述第一公钥未被篡改。
33.根据权利要求28所述的装置,所述装置,还包括:
第二发送单元,用于根据签名算法和第二随机数,生成第二签名值,并向所述第一电子设备发送所述第二签名值和所述第二随机数;
其中,所述第二随机数和所述第二签名值用于验证所述第二公钥是否被篡改。
34.根据权利要求28-33任一项所述的装置,其中,所述第一电子设备为自助终端设备,所述第二电子设备为服务器。
35.根据权利要求28-33任一项所述的装置,其中,所述装置,还包括:
第三接收单元,用于在所述第一发送单元向所述第一电子设备发送所述第二公钥之后,接收来自所述第一电子设备的加密后的原始密钥,其中,所述加密后的原始密钥为根据所述第二加密密钥对原始密钥进行加密得到的;
解密单元,用于根据所述第一加密密钥对所述加密后的原始密钥进行解密,得到所述原始密钥,其中,所述原始密钥用于处理所述第一电子设备与所述第二电子设备之间交互的数据。
36.根据权利要求35所述的装置,所述装置,还包括:
第三接收单元,用于接收来自所述第一电子设备的第三随机数和第四签名值,其中,所述第四签名值为根据所述第三随机数和签名算法生成的;
第四生成单元,用于根据所述第三随机数,生成第七签名值;
第二确定单元,用于若确定所述第四签名值和所述第七签名值一致,则确定所述加密后的原始密钥未被篡改。
37.一种第一电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-9中任一项所述的方法。
38.一种第二电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求10-18中任一项所述的方法。
39.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行权利要求1-18中任一项所述的方法。
CN202011376585.9A 2020-11-30 2020-11-30 密钥保护处理方法、装置、设备和存储介质 Pending CN112564887A (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202011376585.9A CN112564887A (zh) 2020-11-30 2020-11-30 密钥保护处理方法、装置、设备和存储介质
US17/489,138 US20220021529A1 (en) 2020-11-30 2021-09-29 Key protection processing method, apparatus, device and storage medium
EP21200458.4A EP3934295A3 (en) 2020-11-30 2021-10-01 Key protection processing method, apparatus, device and storage medium
JP2021178938A JP7420779B2 (ja) 2020-11-30 2021-11-01 鍵保護処理方法、装置、機器及び記憶媒体
KR1020210162650A KR20210151016A (ko) 2020-11-30 2021-11-23 비밀키 보호 처리 방법, 장치, 기기 및 저장매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011376585.9A CN112564887A (zh) 2020-11-30 2020-11-30 密钥保护处理方法、装置、设备和存储介质

Publications (1)

Publication Number Publication Date
CN112564887A true CN112564887A (zh) 2021-03-26

Family

ID=75045642

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011376585.9A Pending CN112564887A (zh) 2020-11-30 2020-11-30 密钥保护处理方法、装置、设备和存储介质

Country Status (5)

Country Link
US (1) US20220021529A1 (zh)
EP (1) EP3934295A3 (zh)
JP (1) JP7420779B2 (zh)
KR (1) KR20210151016A (zh)
CN (1) CN112564887A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113346997A (zh) * 2021-08-05 2021-09-03 北京紫光青藤微系统有限公司 用于物联网设备通信的方法及装置、物联网设备、服务器
CN115118490A (zh) * 2022-06-24 2022-09-27 沈阳琰讯科技有限公司 一种基于物联网的数据保密性传输方法及系统
CN115225365A (zh) * 2022-07-14 2022-10-21 北京智芯微电子科技有限公司 基于国密算法的数据安全传输方法、平台、及系统
CN117118988A (zh) * 2023-03-14 2023-11-24 荣耀终端有限公司 一种数据同步方法及相关装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114444106B (zh) * 2022-02-07 2023-03-17 百度在线网络技术(北京)有限公司 相关系数获取方法、装置、电子设备和存储介质
CN115242468B (zh) * 2022-07-07 2023-05-26 广州河东科技有限公司 一种基于rs485总线的安全通信系统及其方法
CN118470647A (zh) * 2024-07-09 2024-08-09 宁波永耀电力投资集团有限公司 一种基于数字孪生技术的电力监控方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015126332A (ja) * 2013-12-26 2015-07-06 日本電信電話株式会社 暗号通信システム、暗号通信方法、プログラム
CN111181723A (zh) * 2019-09-09 2020-05-19 腾讯科技(深圳)有限公司 物联网设备间离线安全认证的方法和装置
CN111400735A (zh) * 2020-03-17 2020-07-10 北京百度网讯科技有限公司 数据传输方法、装置、电子设备及计算机可读存储介质
CN111585749A (zh) * 2016-10-26 2020-08-25 阿里巴巴集团控股有限公司 数据传输方法、装置、系统及设备

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004280401A (ja) * 2003-03-14 2004-10-07 Toshiba Corp コンテンツ配信システム、装置及びプログラム
JP2006140743A (ja) * 2004-11-11 2006-06-01 Epson Toyocom Corp 共通鍵配送方法
JP2007324767A (ja) * 2006-05-30 2007-12-13 Kyocera Corp 通信方法及び通信装置
JP5365072B2 (ja) * 2007-12-11 2013-12-11 ソニー株式会社 鍵生成装置、暗号化装置、受信装置、鍵生成方法、暗号化方法、鍵処理方法およびプログラム
US10333703B2 (en) * 2017-03-01 2019-06-25 International Business Machines Corporation Key exchange process
JP7309345B2 (ja) * 2018-11-27 2023-07-18 キヤノン株式会社 通信装置、制御方法及びプログラム
US11190496B2 (en) * 2019-02-12 2021-11-30 Visa International Service Association Fast oblivious transfers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015126332A (ja) * 2013-12-26 2015-07-06 日本電信電話株式会社 暗号通信システム、暗号通信方法、プログラム
CN111585749A (zh) * 2016-10-26 2020-08-25 阿里巴巴集团控股有限公司 数据传输方法、装置、系统及设备
CN111181723A (zh) * 2019-09-09 2020-05-19 腾讯科技(深圳)有限公司 物联网设备间离线安全认证的方法和装置
CN111400735A (zh) * 2020-03-17 2020-07-10 北京百度网讯科技有限公司 数据传输方法、装置、电子设备及计算机可读存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113346997A (zh) * 2021-08-05 2021-09-03 北京紫光青藤微系统有限公司 用于物联网设备通信的方法及装置、物联网设备、服务器
CN113346997B (zh) * 2021-08-05 2021-11-02 北京紫光青藤微系统有限公司 用于物联网设备通信的方法及装置、物联网设备、服务器
CN115118490A (zh) * 2022-06-24 2022-09-27 沈阳琰讯科技有限公司 一种基于物联网的数据保密性传输方法及系统
CN115118490B (zh) * 2022-06-24 2024-04-30 北方兵装技术(辽宁)有限公司 一种基于物联网的数据保密性传输方法及系统
CN115225365A (zh) * 2022-07-14 2022-10-21 北京智芯微电子科技有限公司 基于国密算法的数据安全传输方法、平台、及系统
CN115225365B (zh) * 2022-07-14 2024-05-14 北京智芯微电子科技有限公司 基于国密算法的数据安全传输方法、平台、及系统
CN117118988A (zh) * 2023-03-14 2023-11-24 荣耀终端有限公司 一种数据同步方法及相关装置

Also Published As

Publication number Publication date
JP7420779B2 (ja) 2024-01-23
KR20210151016A (ko) 2021-12-13
EP3934295A3 (en) 2022-04-06
US20220021529A1 (en) 2022-01-20
EP3934295A2 (en) 2022-01-05
JP2022020059A (ja) 2022-01-31

Similar Documents

Publication Publication Date Title
CN110636062B (zh) 设备的安全交互控制方法、装置、电子设备及存储介质
CN112564887A (zh) 密钥保护处理方法、装置、设备和存储介质
US10469469B1 (en) Device-based PIN authentication process to protect encrypted data
US10142107B2 (en) Token binding using trust module protected keys
US10785019B2 (en) Data transmission method and apparatus
KR20220018888A (ko) 프라이버시 집합의 교집합 획득 방법, 장치, 기기 및 저장 매체
EP3324572B1 (en) Information transmission method and mobile device
CN101051904B (zh) 一种保护网络应用程序使用账号密码进行登录的方法
CN111737366B (zh) 区块链的隐私数据处理方法、装置、设备以及存储介质
CN112400299B (zh) 一种数据交互方法及相关设备
US20130028419A1 (en) System and a method for use in a symmetric key cryptographic communications
CN111464297B (zh) 基于区块链的事务处理方法、装置、电子设备和介质
CN103368975B (zh) 一种批量数据安全传输的方法及系统
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN103036880A (zh) 网络信息传输方法、设备及系统
CN110868291A (zh) 一种数据加密传输方法、装置、系统及存储介质
CN114389860B (zh) 语音通信方法、客户端、服务端、电子设备及存储介质
KR20130093557A (ko) 적어도 하나의 암호화 명령어를 포함하는 소프트웨어 애플리케이션의 협력 실행을 위한 시스템, 장치, 및 방법
CN113612597A (zh) 数据计算方法、装置、系统及电子设备
CN113630412B (zh) 资源下载方法、资源下载装置、电子设备以及存储介质
US9473471B2 (en) Method, apparatus and system for performing proxy transformation
CN116866029B (zh) 随机数加密数据传输方法、装置、计算机设备及存储介质
CN109120576A (zh) 数据分享方法及装置、计算机设备及存储介质
CN103685239A (zh) 一种移动产品的实时加解密系统及方法
CN109936448A (zh) 一种数据传输方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20211026

Address after: 100176 101, floor 1, building 1, yard 7, Ruihe West 2nd Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing

Applicant after: Apollo Intelligent Connectivity (Beijing) Technology Co., Ltd.

Address before: 2 / F, baidu building, 10 Shangdi 10th Street, Haidian District, Beijing 100085

Applicant before: BEIJING BAIDU NETCOM SCIENCE AND TECHNOLOGY Co.,Ltd.

TA01 Transfer of patent application right