CN112688954B - 一种敏感数据传输的保护方法 - Google Patents
一种敏感数据传输的保护方法 Download PDFInfo
- Publication number
- CN112688954B CN112688954B CN202011581821.0A CN202011581821A CN112688954B CN 112688954 B CN112688954 B CN 112688954B CN 202011581821 A CN202011581821 A CN 202011581821A CN 112688954 B CN112688954 B CN 112688954B
- Authority
- CN
- China
- Prior art keywords
- data
- message
- encrypted
- encryption
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种敏感数据传输的保护方法,包括以下步骤:数据发送方通过加密插件与密钥管理服务端连接,并请求密钥索引;所述密钥管理服务端分配密钥索引;所述数据发送方将带有密钥索引的待加密报文组装上需要加密的数据,并通过加密插件和ssl通道发送到加密服务端;所述加密服务端根据密钥索引对应的密钥对组装后的待加密报文的相应字段进行加密,并向所述数据发送方返回加密后的报文;所述数据发送方将加密后的报文发送给数据接收方;所述数据接收方通过加密插件与所述加密服务端连接;所述加密服务端根据密钥索引对相应标记信息的数据进行解密;返回解密后的报文。本发明采用动态密钥索引技术,增加密钥的不确定性,从而增加保密系数。
Description
技术领域
本发明涉及数据加密技术领域,特别涉及一种敏感数据传输的保护方法。
背景技术
随着网络技术的发展,基于网络进行数据的传输被广泛的应用到各种不同的领域中。例如,一些高敏感能效数据、企业内部数据、商业秘密信息或国家安防信息等。在这些数据信息传输过程中,数据的保密性是一个关键的技术需求。
在现有技术中,通常采用固定秘钥进行加密,将数据加密后再传输,这样即使传输环节被入侵,被窃取的加密数据也无法被解读。然而,秘钥也存在被窃取的可能,由于使用固定的秘钥进行加密,一旦该秘钥被窃,后续传输的加密数据都存在被破解的可能。且现有技术中对称加密等加密技术虽然安全系数足够高,但在时间足够的情况下也会被暴力破解,导致保密系数降低。可见,在现有技术中,数据传输的安全性并不能得到很好的保证。
因此有必要提供一种敏感数据传输的保护方法,以解决现有技术中敏感数据传输密钥容易泄露,导致数据传输的安全性低的问题。
发明内容
本发明的目的在于提供一种敏感数据传输的保护方法,以解决现有技术中敏感数据传输密钥容易泄露,导致数据传输的安全性低的问题。
为了解决现有技术中存在的问题,本发明提供了一种敏感数据传输的保护方法,包括以下步骤:
数据发送方通过加密插件与密钥管理服务端连接,并发送待加密报文以请求密钥索引;
所述密钥管理服务端分配密钥索引,将所述密钥索引写入待加密报文的报文头对应tag标签中,并返回报文给所述数据发送方;
所述数据发送方将带有密钥索引的待加密报文组装上需要加密的数据,并通过加密插件和ssl通道发送到加密服务端;
所述加密服务端根据密钥索引对应的密钥对组装后的待加密报文的相应字段进行加密,并向所述数据发送方返回加密后的报文;
所述数据发送方将加密后的报文发送给数据接收方;
所述数据接收方通过加密插件与所述加密服务端连接;
所述加密服务端根据tag标签中的密钥索引对相应标记信息的数据进行解密;
返回解密后的报文。
可选的,在所述敏感数据传输的保护方法中,所述加密插件安装于数据发送方和数据接收方,以使所述数据发送方与加密服务端和密钥管理服务端连接,所述数据接收方与加密服务端连接。
可选的,在所述敏感数据传输的保护方法中,所述数据发送方在请求密钥索引之前,还包括以下步骤:
组装形成待加密报文,所述待加密报文的报文头采用tag-length-value结构,定义所述待加密报文的报文头中第一tag标签保存压缩的标记信息,第二tag标签保存密钥索引。
可选的,在所述敏感数据传输的保护方法中,对所述待加密报文中敏感字段进行标记,并通过压缩算法对所述标记进行压缩,形成所述压缩的标记信息。
可选的,在所述敏感数据传输的保护方法中,在所述密钥管理服务端分配密钥索引之前,还包括以下步骤:
所述密钥管理服务端验签确认所述数据发送方的有效性;
若确认所述数据发送方为有效客户,则执行下一步骤;否则,返回所述数据发送方为无效客户,并结束流程。
可选的,在所述敏感数据传输的保护方法中,在所述数据接收方与所述加密服务端连接之后,解密之前,还包括以下步骤:
所述加密服务端验签确认所述数据接收方的有效性;
若确认所述数据接收方为有效客户,则执行下一步骤;否则,返回所述数据接收方为无效客户,并结束流程。
可选的,在所述敏感数据传输的保护方法中,在加密之后,向数据发送方返回加密后的报文之前,还包括以下步骤:所述加密服务端对敏感数据进行脱敏处理。
可选的,在所述敏感数据传输的保护方法中,脱敏处理为采用非对称算法处理。
可选的,在所述敏感数据传输的保护方法中,在解密过程中,所述加密服务端不对敏感数据进行还原,保持敏感数据处于脱敏状态。
可选的,在所述敏感数据传输的保护方法中,所述敏感数据包括对象数据。
在本发明所提供的敏感数据传输的保护方法中,通过动态获取密钥索引,以增加密钥的不确定性,再利用加密服务端对待加密报文进行加密的方式,最大程度上保障了报文和密钥的安全性,使传输报文不易被破解和利用,从而克服了被暴力破解和逆向工程破解等风险,增加了敏感数据传输的安全系数。
附图说明
图1为本发明实施例提供的敏感数据传输的保护方法的流程图。
具体实施方式
下面将结合示意图对本发明的具体实施方式进行更详细的描述。根据下列描述,本发明的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。
在下文中,如果本文所述的方法包括一系列步骤,则本文所呈现的这些步骤的顺序并非必须是可执行这些步骤的唯一顺序,且一些所述的步骤可被省略和/或一些本文未描述的其他步骤可被添加到该方法中。
在现有技术中,秘钥存在被窃取的可能,由于使用固定的秘钥进行加密,一旦该秘钥被窃,后续传输的加密数据都存在被破解的可能。且现有技术中对称加密等加密技术虽然安全系数足够高,但在时间足够的情况下也会被暴力破解,导致保密系数降低。可见,在现有技术中,数据传输的安全性并不能得到很好的保证。
因此有必要提供一种敏感数据传输的保护方法,如图1所示,图1为本发明实施例提供的敏感数据传输的保护方法的流程图,所述保护方法包括以下步骤:
数据发送方通过加密插件与密钥管理服务端连接,并发送待加密报文以请求密钥索引;
所述密钥管理服务端随机分配密钥索引,将所述密钥索引写入待加密报文的报文头对应tag标签中,并返回报文给所述数据发送方;
所述数据发送方将带有密钥索引的待加密报文组装上需要加密的数据,并通过加密插件和ssl通道发送到加密服务端;
所述加密服务端根据密钥索引对应的密钥对组装后的待加密报文的相应字段进行加密,并向所述数据发送方返回加密后的报文;
所述数据发送方将加密后的报文发送给数据接收方;
所述数据接收方通过加密插件与所述加密服务端连接;
所述加密服务端根据tag标签中的密钥索引对相应标记信息的数据进行解密;
返回解密后的报文。
本发明通过动态获取密钥索引,以增加密钥的不确定性,再利用加密服务端对待加密报文进行加密的方式,最大程度上保障了报文和密钥的安全性,使传输报文不易被破解和利用,从而克服了被暴力破解和逆向工程破解等风险,增加了敏感数据传输的安全系数。
进一步的,所述加密插件安装于数据发送方和数据接收方,以使所述数据发送方与加密服务端和密钥管理服务端连接,所述数据接收方与加密服务端连接;所述加密插件使所述数据发送方与加密服务端和密钥管理服务端的连接更安全,所述数据接收方与加密服务端的连接更安全。
优选的,所述数据发送方在请求密钥索引之前,还包括以下步骤:
组装形成待加密报文,所述待加密报文的报文头采用tag-length-value结构,定义所述待加密报文的报文头中第一tag标签保存压缩的标记信息,第二tag标签保存密钥索引。在一个实施例中,第二tag标签在获取到密钥索引后进行保存,接着,所述数据发送方对所述待加密报文中敏感字段进行标记,并通过压缩算法对所述标记进行压缩,形成所述压缩的标记信息,接着,将所述压缩的标记信息保存在第二tag标签,最后根据所述标记信息获取所述需要加密的数据,并将所述需要加密的数据与带有密钥索引的待加密报文进行组装。其中,对所述待加密报文中敏感字段进行标记的方式可以采用bitmap,压缩算法可以为brotli压缩算法。
优选的,在所述密钥管理服务端分配密钥索引之前,还包括以下步骤:
所述密钥管理服务端验签确认所述数据发送方的有效性;
若确认所述数据发送方为有效客户,则执行下一步骤;否则,返回所述数据发送方为无效客户,并结束流程。
在所述数据接收方与所述加密服务端连接之后,解密之前,还包括以下步骤:
所述加密服务端验签确认所述数据接收方的有效性;
若确认所述数据接收方为有效客户,则执行下一步骤;否则,返回所述数据接收方为无效客户,并结束流程。
优选的,在加密之后,向数据发送方返回加密后的报文之前,还包括以下步骤:所述加密服务端对敏感数据进行脱敏处理。脱敏处理为采用非对称算法处理。
进一步的,在解密过程中,所述加密服务端不对敏感数据进行还原,保持敏感数据处于脱敏状态,以增加安全性。
在一个实施例中,所述敏感数据包括对象数据,所述对象数据可以为用于识别能源主体的数据,例如用能单位、具体耗能设备型号,这类对象数据不宜提早公布,且对象信息需要保持同一性,因此此类数据可以在采用密钥索引加密的同时,还采用非对称算法处理进行脱敏,在解密后也不还原非对称算法处理。
综上,在本发明所提供的敏感数据传输的保护方法中,通过动态获取密钥索引,以增加密钥的不确定性,再利用加密服务端对待加密报文进行加密的方式,最大程度上保障了报文和密钥的安全性,使传输报文不易被破解和利用,从而克服了被暴力破解和逆向工程破解等风险,增加了敏感数据传输的安全系数。
上述仅为本发明的优选实施例而已,并不对本发明起到任何限制作用。任何所属技术领域的技术人员,在不脱离本发明的技术方案的范围内,对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动,均属未脱离本发明的技术方案的内容,仍属于本发明的保护范围之内。
Claims (10)
1.一种敏感数据传输的保护方法,其特征在于,包括以下步骤:
数据发送方通过加密插件与密钥管理服务端连接,并发送待加密报文以请求密钥索引;
所述密钥管理服务端分配密钥索引,将所述密钥索引写入待加密报文的报文头对应tag标签中,并返回报文给所述数据发送方;
所述数据发送方将带有密钥索引的待加密报文组装上需要加密的数据,并通过加密插件和ssl通道发送到加密服务端;
所述加密服务端根据密钥索引对应的密钥对组装后的待加密报文的相应字段进行加密,并向所述数据发送方返回加密后的报文;
所述数据发送方将加密后的报文发送给数据接收方;
所述数据接收方通过加密插件与所述加密服务端连接;
所述加密服务端根据tag标签中的密钥索引对相应标记信息的数据进行解密;
返回解密后的报文。
2.如权利要求1所述的敏感数据传输的保护方法,其特征在于,所述加密插件安装于数据发送方和数据接收方,以使所述数据发送方与加密服务端和密钥管理服务端连接,所述数据接收方与加密服务端连接。
3.如权利要求1所述的敏感数据传输的保护方法,其特征在于,所述数据发送方在请求密钥索引之前,还包括以下步骤:
组装形成待加密报文,所述待加密报文的报文头采用tag-length-value结构,定义所述待加密报文的报文头中第一tag标签保存压缩的标记信息,第二tag标签保存密钥索引。
4.如权利要求3所述的敏感数据传输的保护方法,其特征在于,对所述待加密报文中敏感字段进行标记,并通过压缩算法对所述标记进行压缩,形成所述压缩的标记信息。
5.如权利要求1所述的敏感数据传输的保护方法,其特征在于,在所述密钥管理服务端分配密钥索引之前,还包括以下步骤:
所述密钥管理服务端验签确认所述数据发送方的有效性;
若确认所述数据发送方为有效客户,则执行下一步骤;否则,返回所述数据发送方为无效客户,并结束流程。
6.如权利要求1所述的敏感数据传输的保护方法,其特征在于,在所述数据接收方与所述加密服务端连接之后,解密之前,还包括以下步骤:
所述加密服务端验签确认所述数据接收方的有效性;
若确认所述数据接收方为有效客户,则执行下一步骤;否则,返回所述数据接收方为无效客户,并结束流程。
7.如权利要求1所述的敏感数据传输的保护方法,其特征在于,在加密之后,向数据发送方返回加密后的报文之前,还包括以下步骤:所述加密服务端对敏感数据进行脱敏处理。
8.如权利要求7所述的敏感数据传输的保护方法,其特征在于,脱敏处理为采用非对称算法处理。
9.如权利要求7所述的敏感数据传输的保护方法,其特征在于,在解密过程中,所述加密服务端不对敏感数据进行还原,保持敏感数据处于脱敏状态。
10.如权利要求9所述的敏感数据传输的保护方法,其特征在于,所述敏感数据包括对象数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011581821.0A CN112688954B (zh) | 2020-12-28 | 2020-12-28 | 一种敏感数据传输的保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011581821.0A CN112688954B (zh) | 2020-12-28 | 2020-12-28 | 一种敏感数据传输的保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112688954A CN112688954A (zh) | 2021-04-20 |
| CN112688954B true CN112688954B (zh) | 2022-08-05 |
Family
ID=75454334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011581821.0A Active CN112688954B (zh) | 2020-12-28 | 2020-12-28 | 一种敏感数据传输的保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688954B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113438242B (zh) * | 2021-06-25 | 2023-08-29 | 广西三方大供应链技术服务有限公司 | 服务鉴权方法、装置与存储介质 |
| CN113315787B (zh) * | 2021-07-28 | 2021-11-23 | 橙色云互联网设计有限公司 | 加密保护方法、装置及存储介质 |
| CN115314242B (zh) * | 2022-06-24 | 2024-06-21 | 贵州省气象信息中心(贵州省气象档案馆、贵州省气象职工教育培训中心) | 一种网络数据安全加密方法及其装置 |
| CN115146298A (zh) * | 2022-09-05 | 2022-10-04 | 三未信安科技股份有限公司 | 一种敏感文件保护方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060108987A (ko) * | 2005-04-14 | 2006-10-19 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
| CN105933318A (zh) * | 2016-05-26 | 2016-09-07 | 乐视控股(北京)有限公司 | 数据保密方法、装置及系统 |
| CN106559217A (zh) * | 2015-09-29 | 2017-04-05 | 腾讯科技(深圳)有限公司 | 一种动态加密方法、终端、服务器 |
| CN107707514A (zh) * | 2017-02-08 | 2018-02-16 | 贵州白山云科技有限公司 | 一种用于cdn节点间加密的方法及系统及装置 |
| KR102026634B1 (ko) * | 2018-05-31 | 2019-09-30 | 주식회사 뮤즈라이브 | 컨텐츠 재생 시스템의 인증 방법 |
-
2020
- 2020-12-28 CN CN202011581821.0A patent/CN112688954B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060108987A (ko) * | 2005-04-14 | 2006-10-19 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
| CN106559217A (zh) * | 2015-09-29 | 2017-04-05 | 腾讯科技(深圳)有限公司 | 一种动态加密方法、终端、服务器 |
| CN105933318A (zh) * | 2016-05-26 | 2016-09-07 | 乐视控股(北京)有限公司 | 数据保密方法、装置及系统 |
| CN107707514A (zh) * | 2017-02-08 | 2018-02-16 | 贵州白山云科技有限公司 | 一种用于cdn节点间加密的方法及系统及装置 |
| KR102026634B1 (ko) * | 2018-05-31 | 2019-09-30 | 주식회사 뮤즈라이브 | 컨텐츠 재생 시스템의 인증 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 嵌入式终端密钥协商协议的研究与实现;鲁林俊;《CNKI》;20160315;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112688954A (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112688954B (zh) | 一种敏感数据传输的保护方法 | |
| CN112150147A (zh) | 一种基于区块链的数据安全存储系统 | |
| CN112182609A (zh) | 基于区块链的数据上链存储方法和追溯方法、装置及设备 | |
| CN102082790B (zh) | 一种数字签名的加/解密方法及装置 | |
| CN109274644B (zh) | 一种数据处理方法、终端和水印服务器 | |
| CN110661746B (zh) | 一种列车can总线通信安全加密方法、解密方法 | |
| CN111079162B (zh) | 一种基于区块链的数据加密方法、解密方法及系统 | |
| CN112685786B (zh) | 一种金融数据加密、解密方法、系统、设备及存储介质 | |
| CN111104691A (zh) | 敏感信息的处理方法、装置、存储介质及设备 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| CN102685110A (zh) | 一种基于指纹特征的通用用户注册认证方法及系统 | |
| CN114553416A (zh) | 一种对应用程序接口做签名验签的数据加密处理方法 | |
| CN106961329A (zh) | 一种针对ads‑b协议保密性及完整性的解决方法 | |
| CN114499875A (zh) | 业务数据处理方法、装置、计算机设备和存储介质 | |
| CN115276978A (zh) | 一种数据处理方法以及相关装置 | |
| CN112202808B (zh) | 一种基于云计算的数据安全管理系统 | |
| CN117527419A (zh) | 一种标识数据的安全传输方法 | |
| CN113591109A (zh) | 可信执行环境与云端通信的方法及系统 | |
| CN105635141A (zh) | 一种信息传送方法及装置 | |
| CN113221188A (zh) | Ais数据存证方法、取证方法、装置和存储介质 | |
| Barukab et al. | Secure communication using symmetric and asymmetric cryptographic techniques | |
| CN115348085B (zh) | 一种基于量子加密的防疫管理方法及防疫终端 | |
| CN103916237A (zh) | 对用户加密密钥恢复进行管理的方法和系统 | |
| CN116032643A (zh) | 用于国网链服务调用的应用层隐式单向隔离装置穿透方法 | |
| CN109412799A (zh) | 一种生成本地密钥的系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |