CN112861148B - 数据处理方法、服务端、客户端及加密机 - Google Patents

数据处理方法、服务端、客户端及加密机 Download PDF

Info

Publication number
CN112861148B
CN112861148B CN202110118035.5A CN202110118035A CN112861148B CN 112861148 B CN112861148 B CN 112861148B CN 202110118035 A CN202110118035 A CN 202110118035A CN 112861148 B CN112861148 B CN 112861148B
Authority
CN
China
Prior art keywords
client
information
key
request
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110118035.5A
Other languages
English (en)
Other versions
CN112861148A (zh
Inventor
孙吉平
常浩然
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Senseshield Technology Co Ltd
Original Assignee
Beijing Senseshield Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Senseshield Technology Co Ltd filed Critical Beijing Senseshield Technology Co Ltd
Priority to CN202110118035.5A priority Critical patent/CN112861148B/zh
Publication of CN112861148A publication Critical patent/CN112861148A/zh
Application granted granted Critical
Publication of CN112861148B publication Critical patent/CN112861148B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种数据处理方法、服务端、客户端及加密机,该方法包括:接收客户端发送的用于请求确定会话密钥的第一请求,与客户端协商会话密钥;接收客户端发送的基于第二会话密钥生成的第二请求,基于第一会话密钥对第二请求进行验证;在第二请求通过验证的情况下,将第一信息发送至加密机,以使加密机基于客户端的个人密钥对第一信息进行处理。该方法通过客户端和服务端协商会话密钥,能够在二者之间构建安全信道,保障交互操作的信息安全,通过将个人密钥托管在服务端或与服务端连接的加密机上,能够方便客户在不同的硬件设备上使用个人密钥进行信息处理,还能够避免因硬件设备丢失而造成个人密钥丢失,继而避免因此引发的信息安全问题。

Description

数据处理方法、服务端、客户端及加密机
技术领域
本申请涉及计算机技术领域,特别涉及一种数据处理方法、服务端、客户端及加密机。
背景技术
个人密钥用于客户端执行加密、解密、签名或验签等特定操作。在传统的安全通信中,客户端一般会在本地持有个人密钥,通过个人密钥对传输数据进行加密或签名后,发送至服务器,或者通过个人密钥对服务器发送的传输数据进行解密或验签,以进行数据安全通信。但存储在本地的个人密钥通常与硬件设备绑定,当用户更换硬件设备时,要么需要执行复杂的个人密钥卸载及绑定操作,才能在新设备上基于个人密钥执行操作,要么则无法执行相应操作,难以在不同硬件设备上使用同一个人密钥实现数据同步。
发明内容
有鉴于现有技术中存在的上述问题,本申请提供了一种数据处理方法、服务端、客户端及加密机,本申请实施例采用的技术方案如下:
一种数据处理方法,应用于服务端,所述方法包括:
接收客户端发送的用于请求确定会话密钥的第一请求,与所述客户端协商会话密钥,其中,第一会话密钥为所述服务端生成的会话密钥,第二会话密钥为所述客户端生成的会话密钥;
接收所述客户端发送的基于所述第二会话密钥生成的第二请求,基于所述第一会话密钥对所述第二请求进行验证;其中,所述第二请求包含待处理的第一信息;
在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理。
在一些实施例中,所述在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,包括:
在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息和用于标识所述客户端身份的第二信息;
基于所述第二信息获取包含所述个人密钥的第一加密数据;
将所述第一加密数据和所述第一信息发送至所述加密机,以使所述加密机对所述第一加密数据进行解密,获取所述个人密钥,并基于所述个人密钥对所述第一信息进行处理。
在一些实施例中,所述方法还包括:
接收所述客户端发送的所述个人密钥,并将所述个人密钥发送至所述加密机,以使所述加密机对所述个人密钥进行加密处理以生成所述第一加密数据;
接收所述加密机反馈的所述第一加密数据,存储所述第一加密数据以供调用。
在一些实施例中,所述接收所述客户端发送的所述个人密钥,并将所述个人密钥发送至所述加密机,以使所述加密机对所述个人密钥进行加密处理以生成所述第一加密数据,包括:
接收所述客户端发送的包含所述个人密钥的第二加密数据,将所述第二加密数据发送至所述加密机,以使所述加密机对所述第二加密数据进行解密处理,获取所述个人密钥,对所述个人密钥进行加密处理以生成所述第一加密数据。
在一些实施例中,所述在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,包括:
在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息和用于标识所述客户端身份的第二信息;
将所述第一信息和所述第二信息发送至所述加密机,以使所述加密机基于所述第二信息调取所述个人密钥,基于所述个人密钥对所述第一信息进行处理。
在一些实施例中,所述接收客户端发送的用于请求确定会话密钥的第一请求,与所述客户端协商会话密钥,包括:
接收所述客户端发送的第一请求,从所述第一请求中提取用于标识所述客户端身份的第二信息;
基于所述第二信息获取相对应的校验符和盐值,向所述客户端发送所述盐值;
接收所述客户端发送的第一标识量,生成与所述第一标识量相对应的第二标识量;
基于所述校验符、所述第一标识量和所述第二标识量生成所述第一会话密钥;
向所述客户端发送所述第二标识量,以使所述客户端基于所述盐值、所述第一标识量和所述第二标识量生成所述第二会话密钥。
在一些实施例中,所述基于所述第一会话密钥对所述第二请求进行验证,包括:
基于所述第一会话密钥对所述第二请求进行解密;或
基于所述第一会话密钥对所述第二请求中的签名进行验签。
在一些实施例中,所述方法还包括:
在接收到所述客户端发送的用于通知会话结束的第一通知的情况下,或者,在所述会话密钥的有效期到期的情况下,删除所述第一会话密钥。
一种数据处理方法,应用于加密机,所述方法包括:
至少接收服务端发送的待处理的第一信息;其中,所述第一信息包含于所述客户端基于第二会话密钥生成的第二请求;所述服务端接收客户端发送的用于请求确定会话密钥的第一请求,与客户端协商会话密钥,所述会话密钥包括所述服务端生成的第一会话密钥,以及所述客户端生成的所述第二会话密钥;所述服务端接收所述客户端发送的第二请求,基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息;
基于所述客户端的个人密钥对所述第一信息进行处理,以生成处理结果;
将所述处理结果反馈至所述服务端,以使所述服务端将所述处理结果发送至所述客户端。
一种数据处理方法,应用于客户端,所述方法包括:
向服务端发送用于请求确定会话密钥的第一请求,以与所述服务端协商会话密钥,其中,第一会话密钥为所述服务端生成的会话密钥,所述第二会话密钥为所述客户端生成的会话密钥;
基于所述第二会话密钥生成包含待处理的第一信息的第二请求,向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理。
一种电子设备,至少包括存储器和处理器,所述存储器上存储有程序,所述处理器在执行所述存储器上的程序时实现如上所述数据处理方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现如上所述的数据处理方法。
本申请实施例的数据处理方法,通过客户端和服务端协商会话密钥,能够在二者之间构建安全信道,保障交互操作的信息安全,通过将个人密钥托管在服务端或与服务端连接的加密机上,能够方便客户在不同的硬件设备上使用个人密钥进行信息处理,还能够避免因硬件设备丢失而造成个人密钥丢失,继而避免因此引发的信息安全问题。
附图说明
图1为本申请实施例的数据处理方法的第一种实施例的流程图;
图2为本申请实施例的数据处理方法的步骤S110的流程图;
图3为本申请实施例的数据处理方法的第二种实施例的流程图;
图4为本申请实施例的数据处理方法的第三种实施例的流程图;
图5为本申请实施例的数据处理方法的第四种实施例的流程图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请实施例提供了一种数据处理方法,应用于服务端,该服务端包括具有服务功能的设备,该设备例如可为服务器或云服务器等。该方法通过将客户端的用户的个人密钥托管在服务端或与服务端连接的加密机处,能够避免因用户的硬件设备丢失而造成个人密钥丢失,并避免因此引发的信息安全问题,还能够方便用户在不同的硬件设备上使用个人密钥进行信息处理。
图1为本申请实施例的数据处理方法的第一种实施例的流程图,参见图1所示,本申请实施例的数据处理方法具体可包括如下步骤:
S110,接收客户端发送的用于请求确定会话密钥的第一请求,与所述客户端协商会话密钥,其中,第一会话密钥为所述服务端生成的会话密钥,第二会话密钥为所述客户端生成的会话密钥。
在客户端需要请求加密机基于个人密钥进行信息处理之前,客户端需要与服务端协商会话密钥,以在客户端和服务端之间构建安全信道,从而确保客户端和服务端之间交互操作的信息安全。
在具体实施时,可由客户端生成用于请求确定会话密钥的第一请求,并将第一请求发送至服务端,服务端响应于接收到第一请求,与客户端协商会话密钥,在这个过程中,服务端会基于协商结果生成第一会话密钥,客户端会基于协商协商结果生成第二会话密钥。该会话密钥可为对称密钥,此时,第一会话密钥和第二会话密钥相同;该会话密钥也可为非对称密钥,此时,第一会话密钥可为公钥,第二会话密钥可为私钥,或者,第一会话密钥和第二会话密钥均可包括相对应的公钥和私钥。示例性地,当第一会话密钥和第二会话密钥均包括相对应的公钥和私钥时,第一会话密钥可以包括第一公钥和第二私钥,第二会话密钥可以包括与第一公钥对应的第一私钥,以及与第二私钥对应的第二公钥。
S120,接收所述客户端发送的基于所述第二会话密钥生成的第二请求,基于所述第一会话密钥对所述第二请求进行验证;其中,所述第二请求包含待处理的第一信息。
在客户端与服务端协商完成会话密钥的情况下,可由客户端确定需要请求加密机基于个人密钥进行处理的第一信息。该第一信息可为需要加密机基于个人密钥进行签名、验签、加密或解密等处理的信息。例如,该第一信息也可为包含一特定密钥的加密数据包,当客户端需要基于该特定密钥对信息进行处理时,请求加密机基于个人密钥对该加密数据包进行解密,并将解密获得的特定密钥反馈给客户端,以便客户端能够基于该特定密钥进行信息处理。
在确定第一信息的情况下,可由客户端基于所持有的第二会话密钥对第一信息进行例如签名或加密处理以生成第二请求,继而将第二请求发送至服务端。服务端响应于接收到第二请求,调取相对应的第一会话密钥,对接收的第二请求进行验证。当客户端从信息保密角度出发,对第一信息进行加密处理而生成第二请求时,服务端可基于第一会话密钥对第二请求进行解密;当客户端从保障信息正确和完整性的角度出发,对第一信息进行签名而生成第二请求时,服务端可基于第一会话密钥对第二请求进行验签。客户端还可以既对第一信息加密,又对第一信息签名,加密和签名所使用的密钥可以均采用第二会话密钥。示例性地,沿用前述的例子,当第二会话密钥包括前述的第一公钥和第二私钥时,客户端可以利用第一公钥来对第一信息加密,利用第二私钥来对第一信息签名。本申请实施例对于加密和签名的前后顺序不作限定。
S130,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理。
当服务端基于第一会话密钥对第二请求进行解密时,如果第二请求解密成功,则服务端确定第二请求通过验证,与此同时,也可从解密的第二请求中成功获取第一信息,继而将该第一信息发送至与服务端连接的加密机,由加密机基于客户端的个人密钥对第一信息进行处理。
当服务端基于第一会话密钥对第二请求进行验签时,首先可解析该第二请求以获取第一信息和签名,继而通过第一会话密钥对签名进行验签,如果验签通过,则确定第二请求通过验证,表明该第一信息在传输过程中未丢失数据、未被修改且未被替换,该第一信息正确且完整。将第一信息发送至加密机,使加密机基于客户端的个人密钥对该第一信息进行处理。
此外,服务端还可以基于第一会话密钥进行解密和验签,如果解密成功且验签通过,则确定第二请求通过验证。示例性地,沿用前述第二会话密钥包括第一公钥和第二私钥、第一会话密钥包括第一私钥和第二公钥的例子,服务端可以利用第一私钥来对第一信息的密文解密,利用第二公钥来验证第一信息的签名。如果解密成功且验签通过,则认为第二请求通过验证。
在具体实施时,第二请求中还可包括第一指令,该第一指令包含指示加密机对第一信息所进行的具体处理内容,如果第二请求验证通过,将第一信息和第一指令一并发送至加密机,以使加密机基于该第一指令对第一信息进行处理。或者,加密机也可基于特定协议通过识别例如服务端接收第二请求的端口号等信息,确定需要对第一信息所进行的具体处理内容。
对第一信息进行处理所获得的处理结果,视具体处理内容的不同,可通过服务端将该处理结果反馈至客户端,或者,也可通过服务端将处理结果发送至另一电子设备,亦或者,也可将处理结果存储在服务端。如当该第一信息为包含特定密钥的加密数据包时,加密机利用个人密钥对加密数据包进行解密,获得该特定密钥,继而可将该特定密钥反馈至服务端,服务端可基于第一会话密钥对该特定密钥进行加密或签名,将加密或签名后的特定密钥发送至客户端,以便客户端基于第二会话密钥对加密或签名后的特定密钥进行解密或验签后可获得该特定密钥,继而客户端可基于该特定密钥进行信息处理。
本申请实施例的数据处理方法,通过客户端和服务端协商会话密钥,能够在二者之间构建安全信道,保障交互操作的信息安全,通过将个人密钥托管在服务端或与服务端连接的加密机上,能够方便客户在不同的硬件设备上使用个人密钥进行信息处理,还能够避免因硬件设备丢失而造成个人密钥丢失,继而避免因此引发的信息安全问题。采用本申请实施例的方法,不仅保障了个人密钥在离开客户端,托管至服务端或加密机上之后的安全性,也使得客户端在使用个人密钥时具有很高的操作便利性。
在具体实施时,客户端和服务端可通过多种方法协商会话密钥。配合图2和图3所示,在一个实施例中,步骤S110,所述接收客户端发送的用于请求确定会话密钥的第一请求,与所述客户端协商会话密钥,可包括:
S111,接收所述客户端发送的第一请求,从所述第一请求中提取用于标识所述客户端身份的第二信息。
具体的,该第二信息可包括例如用户名或用户编号等。客户端可基于该第二信息生成第一请求,并将该第一请求发送至服务端。服务端响应于接收到第一请求,解析该第一请求以获取第二信息。
S112,基于所述第二信息获取相对应的校验符和盐值,向所述客户端发送所述盐值。
在客户端注册时,服务端可基于客户端的用户名、用户密码等信息生成校验符(Verifier)和盐值(Salt),并存储在服务端。服务端获取到用户名和/或用户编号的情况下,可基于该用户名和/或用户编号查找相对应的校验符和盐值,并将盐值反馈至客户端。当然,在实际应用时,服务端也可将校验符和盐值一并发送至客户端,或者客户端也可预存有该校验符。
S113,接收所述客户端发送的第一标识量,生成与所述第一标识量相对应的第二标识量。
客户端可获取一随机数a,基于该随机数a生成第一标识量A,例如A=ga,其中,g可为随机选取的底数。继而将该第一标识量A和随机选取的底数g发送至服务端,服务端可获取另一随机数b,基于例如B=gb生成第二标识量B。
S114,基于所述校验符、所述第一标识量和所述第二标识量生成所述第一会话密钥。
在获取到第一标识量A和第二标识量B的情况下,可基于例如u=H(A+B)生成中间量u,继而,基于例如S1=(Avu)b和K1=H(S1)生成第一会话密钥K1。
S115,向所述客户端发送所述第二标识量,以使所述客户端基于所述盐值、所述第一标识量和所述第二标识量生成所述第二会话密钥。
服务端将第二标识量B发送至客户端,客户端基于例如u=H(A+B)生成中间量u,客户端还可基于例如x=H(s,I,P)生成另一中间量x,其中,s为盐值,I为用户名,P为用户密码。继而,客户端可基于例如S2=(B-3gx)a+ux和K2=H(S2)生成第二会话密钥K2。
这样,客户端和服务端完成了会话密钥的协商,分别生成了第一会话密钥和第二会话密钥,能够保证后续会话的安全性和机密性。
在另一个具体实施例中,步骤S110,所述接收客户端发送的用于请求确定会话密钥的第一请求,与所述客户端协商会话密钥,可包括:
S116,接收所述客户端发送的素数、底数和第一标识量,基于所述第一标示量生成第一会话密钥,其中,所述第一标识量为基于所述素数、所述底数和第一随机数生成。
具体的,客户端可基于预设规则确定素数p、底数g和第一随机数a,基于例如A=g^a mod p生成第一标识量A,继而将素数p、底数g和第一标识量A发送至服务端,服务端可基于预设规则生成随机数b,基于例如K1=A^b mod p生成第一会话密钥K1。
S117,基于预设规则确定第二随机数,基于所述素数、所述底数和所述第二随机数生成第二标识量,向客户端发送所述第二标识量,以使客户端基于第二标识量生成第二会话密钥。
具体的,服务端可基于预设规则确定第二随机数b,并基于例如B=g^b mod p生成第二标识量B,将第二标识量B发送至客户端,客户端可基于例如K2=B^a mod p生成第二会话密钥K2。该预设规则可为客户端和服务端预先商定的会话密钥协商规则。
需要说明的是,上述会话密钥的协商方法仅为示例性的,不应理解为对会话密钥的协商方法的具体限定,在具体实施时,还可通过其他方法生成对称的会话密钥,或者非对称的会话密钥。
采用上述方法,当客户端想要使用托管在服务端的个人密钥来处理数据时,其每次使用个人密钥时与服务端进行交互所使用的会话密钥大概率都是不同的,这有利于提高客户端使用托管在服务端的个人密钥来处理数据时的安全性。
配合图3所示,在一些实施例中,个人密钥可以第一加密数据的形式存储在服务端,在此基础上,步骤S130,所述在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,可包括:
S131,在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息和用于标识所述客户端身份的第二信息。
S132,基于所述第二信息获取包含所述个人密钥的第一加密数据。
S133,将所述第一加密数据和所述第一信息发送至所述加密机,以使所述加密机对所述第一加密数据进行解密,获取所述个人密钥,并基于所述个人密钥对所述第一信息进行处理。
也即,第二请求中不仅包括待处理的第一信息,还包括用于标识客户端身份的例如用户名和/或用户编号等第二信息。服务端可基于该第二信息调取与该第二信息相对应的第一加密数据,该第一加密数据包含该客户端的个人密钥。服务端可将该第一加密数据和第一信息一并发送至加密机,加密机可基于持有的另一特定密钥对第一加密数据进行解密,以获取该个人密钥,继而基于个人密钥对第一信息进行例如加密、解密、签名或验签等处理。示例性地,上述的用于解密第一加密数据的特定密钥可以仅存储在加密机中。通过将个人密钥以第一加密数据的形式存储在服务端,既能够保证个人密钥的安全,还能够充分利用服务端的存储能力,避免占用加密机有限的存储空间。当大量的客户端用户将其各自的个人密钥都托管在服务端时尤其适合采用上述实现方式。
在一些实施例中,个人密钥也可存储在所述加密机的本地空间内。在此基础上,步骤S130,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,可包括:
S134,在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息和用于标识所述客户端身份的第二信息。
S135,将所述第一信息和所述第二信息发送至所述加密机,以使所述加密机基于所述第二信息调取所述个人密钥,基于所述个人密钥对所述第一信息进行处理。
此时,服务端无需从其本地存储空间中调取个人密钥或包含该个人密钥的第一加密数据,在获取到第一信息和第二信息的情况下,可将第一信息和第二信息一并发送至加密机,由加密机从其本地存储空间中调取与第二信息对应的个人密钥,继而基于调取的个人密钥对第一信息进行处理。将个人密钥存储在加密机中,无需对个人密钥进行加密处理,也省却了解密操作,不仅有益于提高个人密钥的安全性,而且有益于简化操作,能够提高处理速度。
在一些实施例中,所述方法还包括:
接收所述客户端发送的所述个人密钥,并将所述个人密钥发送至所述加密机,以使所述加密机对所述个人密钥进行加密处理以生成所述第一加密数据;
接收所述加密机反馈的所述第一加密数据,存储所述第一加密数据以供调用。
用户在获取到个人密钥后,可通过客户端将个人密钥发送至服务端,服务端将接收的个人密钥转发至加密机,由加密机利用所持有的另一特定密钥对个人密钥进行加密处理以生成第一加密数据,继而加密机将第一加密数据反馈至服务端,服务端将第一加密数据存储在其本地空间以供调用。在保证个人密钥安全的情况下,充分利用服务端的存储能力,避免占用加密机有限的存储空间。
在一个优选实施例中,所述接收所述客户端发送的所述个人密钥,并将所述个人密钥发送至所述加密机,以使所述加密机对所述个人密钥进行加密处理以生成所述第一加密数据,包括:
接收所述客户端发送的包含所述个人密钥的第二加密数据,将所述第二加密数据发送至所述加密机,以使所述加密机对所述第二加密数据进行解密处理,获取所述个人密钥,对所述个人密钥进行加密处理以生成所述第一加密数据。
在具体实施时,客户端可通过例如加密机的公钥对个人密钥进行加密处理以生成第二加密数据,并将该第二加密数据发送至服务端,服务端将第二加密数据转发至加密机,加密机通过私钥对该第二加密数据进行解密处理,以获取该个人密钥,继而通过例如另一特定密钥对该个人密钥进行加密处理以生成第一加密数据。这样,能够保证个人密钥传输过程中的安全,避免因在传输过程中被非法获取而威胁信息安全。
应理解,上述生成第二加密数据所使用的密钥,与生成第一加密数据所使用的密钥可以不同。也就是说,在客户端将个人密钥托管至服务端(或服务器侧的加密机)过程中使用的密钥,以及服务端保存个人密钥时使用的密钥不相同,采用这样的方式有利于进一步提高个人密钥在这个过程中的安全性。
在一些实施例中,所述方法还包括:
在接收到所述客户端发送的用于通知会话结束的第一通知的情况下,或者,在所述会话密钥的有效期到期的情况下,删除所述第一会话密钥。
在具体实施时,客户端可在接收到服务端反馈的处理结果的情况下,向服务端发送用于通知会话结束的第一通知,或者,客户端也可响应于退出登录操作,向服务端发送第一通知。服务端接收到第一通知,删除第一会话密钥,当然,客户端也可响应于向服务端发送第一通知而删除第二会话密钥。会话密钥在创建时通常配置有有效期,服务端也可响应于会话密钥的有效期到期,删除第一会话密钥,服务端还可向客户端发送第二通知,以使客户端删除与该第一会话密钥对应的第二会话密钥。会话密钥为临时协商的密钥,在会话结束后,该次会话协商的密钥就已经失效,删除会话密钥能够避免无效数据占用存储空间,还能够避免因会话密钥泄漏而威胁信息安全,有益于提高信道安全性。
参见图4所示,本申请实施例还提供了一种数据处理方法,应用于加密机,该加密机可为具有基于个人密钥进行信息处理功能的设备,该加密机可安装在服务端上,或与服务端连接。所述方法包括:
S210,至少接收服务端发送的待处理的第一信息;其中,所述第一信息包含于所述客户端基于第二会话密钥生成的第二请求;所述服务端接收客户端发送的用于请求确定会话密钥的第一请求,与客户端协商会话密钥,所述会话密钥包括所述服务端生成的第一会话密钥,以及所述客户端生成的所述第二会话密钥;所述服务端接收所述客户端发送的第二请求,基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息。
在客户端需要请求加密机基于个人密钥进行信息处理之前,客户端需要与服务端协商会话密钥,以在客户端和服务端之间构建安全信道,从而确保客户端和服务端之间交互操作的信息安全。
在具体实施时,可由客户端生成用于请求确定会话密钥的第一请求,并将第一请求发送至服务端,服务端响应于接收到第一请求,与客户端协商会话密钥,在这个过程中,服务端会基于协商结果生成第一会话密钥,客户端会基于协商协商结果生成第二会话密钥。该会话密钥可为对称密钥,此时,第一会话密钥和第二会话密钥相同;该会话密钥也可为非对称密钥,此时,第一会话密钥可为公钥,第二会话密钥可为私钥,或者,第一会话密钥和第二会话密钥均可包括相对应的公钥和私钥。
在客户端与服务端协商完成会话密钥的情况下,可由客户端确定需要请求加密机基于个人密钥进行处理的第一信息。该第一信息可为需要加密机基于个人密钥进行签名、验签、加密或解密等处理的信息。例如,该第一信息也可为包含一特定密钥的加密数据包,当客户端需要基于该特定密钥对信息进行处理时,请求加密机基于个人密钥对该加密数据包进行解密,并将解密获得的特定密钥反馈给客户端,以便客户端能够基于该特定密钥进行信息处理。
在确定第一信息的情况下,可由客户端基于所持有的第二会话密钥对第一信息进行例如签名或加密处理以生成第二请求,继而将第二请求发送至服务端。服务端响应于接收到第二请求,调取相对应的第一会话密钥,对接收的第二请求进行验证。当客户端从信息保密角度出发,对第一信息进行加密处理而生成第二请求时,服务端可基于第一会话密钥对第二请求进行解密;当客户端从保障信息正确和完整性的角度出发,对第一信息进行签名而生成第二请求时,服务端可基于第一会话密钥对第二请求进行验签。
当服务端基于第一会话密钥对第二请求进行解密时,如果第二请求解密成功,则服务端确定第二请求通过验证,与此同时,也可从解密的第二请求中成功获取第一信息,继而将该第一信息发送至与服务端连接的加密机,由加密机基于客户端的个人密钥对第一信息进行处理。
当服务端基于第一会话密钥对第二请求进行验签时,首先可解析该第二请求以获取第一信息和签名,继而通过第一会话密钥对签名进行验签,如果验签通过,则确定第二请求通过验证,表明该第一信息在传输过程中未丢失数据、未被修改且未被替换,该第一信息正确且完整。将第一信息发送至加密机,使加密机基于客户端的个人密钥对该第一信息进行处理。
S220,基于所述客户端的个人密钥对所述第一信息进行处理,以生成处理结果。
加密机可基于客户端的个人密钥对第一信息进行例如签名、验签、加密、解密、授权等处理,并生成处理结果。在具体实施时,第二请求中还可包括第一指令,该第一指令包含指示加密机对第一信息所进行的具体处理内容,如果第二请求验证通过,将第一信息和第一指令一并发送至加密机,以使加密机基于该第一指令对第一信息进行处理。或者,加密机也可基于特定协议通过识别例如服务端接收第二请求的端口号等信息,确定需要对第一信息所进行的具体处理内容。
S230,将所述处理结果反馈至所述服务端,以使所述服务端将所述处理结果发送至所述客户端。
如当该第一信息为包含特定密钥的加密数据包时,加密机利用个人密钥对加密数据包进行解密,获得该特定密钥,继而可将该特定密钥反馈至服务端,服务端可基于第一会话密钥对该特定密钥进行加密或签名,将加密或签名后的特定密钥发送至客户端,以便客户端基于第二会话密钥对加密或签名后的特定密钥进行解密或验签后可获得该特定密钥,继而客户端可基于该特定密钥进行信息处理。当然,该第一信息不仅限于包含特定密钥的加密数据包,处理结果也不仅限于解密后的特定密钥。
本申请实施例的数据处理方法,通过客户端和服务端协商会话密钥,能够在二者之间构建安全信道,保障交互操作的信息安全,通过将个人密钥托管在服务端或与服务端连接的加密机上,能够方便客户在不同的硬件设备上使用个人密钥进行信息处理,还能够避免因硬件设备丢失而造成个人密钥丢失,继而避免因此引发的信息安全问题。
在一些实施例中,所述至少接收服务端发送的待处理的第一信息,包括:
接收所述服务端发送的所述第一信息和第一加密数据包,其中,所述第一加密数据包包含所述客户端的个人密钥;
相应的,所述基于所述客户端的个人密钥对所述第一信息进行处理,以生成处理结果,包括:
对所述第一加密数据进行解密,以获得所述个人密钥;
基于所述个人密钥对所述第一信息进行处理,以生成处理结果。
在一些实施例中,所述至少接收服务端发送的待处理的第一信息,包括:
接收所述服务端发送的所述第一信息和第二信息,其中,所述第二信息用于标识所述客户端身份;
相应的,所述基于所述客户端的个人密钥对所述第一信息进行处理,以生成处理结果,包括:
基于所述第二信息调取所述客户端的个人密钥;
基于所述个人密钥对所述第一信息进行处理,以生成处理结果。
在一些实施例中,所述方法还包括:
接收所述服务端发送的个人密钥,对所述个人密钥进行加密处理,以生成所述第一加密数据;
将所述第一加密数据反馈至所述服务端,以使所述服务端存储所述第一加密数据。
在一些实施例中,所述方法还包括:
接收所述服务端发送的第二加密数据,对所述第二加密数据进行解密处理,以获得所述个人密钥;
对所述个人密钥进行加密处理,以生成所述第一加密数据。
参见图5所示,本申请实施例还提供了一种数据处理方法,应用于客户端,该客户端可为例如智能手机、平板电脑、笔记本电脑、台式电脑等终端设备,所述方法包括:
S310,向服务端发送用于请求确定会话密钥的第一请求,以与所述服务端协商会话密钥,其中,第一会话密钥为所述服务端生成的会话密钥,所述第二会话密钥为所述客户端生成的会话密钥。
在客户端需要请求加密机基于个人密钥进行信息处理之前,客户端需要与服务端协商会话密钥,以在客户端和服务端之间构建安全信道,从而确保客户端和服务端之间交互操作的信息安全。
在具体实施时,可由客户端生成用于请求确定会话密钥的第一请求,并将第一请求发送至服务端,服务端响应于接收到第一请求,与客户端协商会话密钥,在这个过程中,服务端会基于协商结果生成第一会话密钥,客户端会基于协商协商结果生成第二会话密钥。该会话密钥可为对称密钥,此时,第一会话密钥和第二会话密钥相同;该会话密钥也可为非对称密钥,此时,第一会话密钥可为公钥,第二会话密钥可为私钥,或者,第一会话密钥和第二会话密钥均可包括相对应的公钥和私钥。
S320,基于所述第二会话密钥生成包含待处理的第一信息的第二请求,向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理。
在客户端与服务端协商完成会话密钥的情况下,可由客户端确定需要请求加密机基于个人密钥进行处理的第一信息。该第一信息可为需要加密机基于个人密钥进行签名、验签、加密或解密等处理的信息。例如,该第一信息也可为包含一特定密钥的加密数据包,当客户端需要基于该特定密钥对信息进行处理时,请求加密机基于个人密钥对该加密数据包进行解密,并将解密获得的特定密钥反馈给客户端,以便客户端能够基于该特定密钥进行信息处理。
在确定第一信息的情况下,可由客户端基于所持有的第二会话密钥对第一信息进行例如签名或加密处理以生成第二请求,继而将第二请求发送至服务端。服务端响应于接收到第二请求,调取相对应的第一会话密钥,对接收的第二请求进行验证。当客户端从信息保密角度出发,对第一信息进行加密处理而生成第二请求时,服务端可基于第一会话密钥对第二请求进行解密;当客户端从保障信息正确和完整性的角度出发,对第一信息进行签名而生成第二请求时,服务端可基于第一会话密钥对第二请求进行验签。
当服务端基于第一会话密钥对第二请求进行解密时,如果第二请求解密成功,则服务端确定第二请求通过验证,与此同时,也可从解密的第二请求中成功获取第一信息,继而将该第一信息发送至与服务端连接的加密机,由加密机基于客户端的个人密钥对第一信息进行处理。
当服务端基于第一会话密钥对第二请求进行验签时,首先可解析该第二请求以获取第一信息和签名,继而通过第一会话密钥对签名进行验签,如果验签通过,则确定第二请求通过验证,表明该第一信息在传输过程中未丢失数据、未被修改且未被替换,该第一信息正确且完整。将第一信息发送至加密机,使加密机基于客户端的个人密钥对该第一信息进行处理。
在具体实施时,第二请求中还可包括第一指令,该第一指令包含指示加密机对第一信息所进行的具体处理内容,如果第二请求验证通过,将第一信息和第一指令一并发送至加密机,以使加密机基于该第一指令对第一信息进行处理。或者,加密机也可基于特定协议通过识别例如服务端接收第二请求的端口号等信息,确定需要对第一信息所进行的具体处理内容。
对第一信息进行处理所获得的处理结果,视具体处理内容的不同,可通过服务端将该处理结果反馈至客户端,或者,也可通过服务端将处理结果发送至另一电子设备,亦或者,也可将处理结果存储在服务端。如当该第一信息为包含特定密钥的加密数据包时,加密机利用个人密钥对加密数据包进行解密,获得该特定密钥,继而可将该特定密钥反馈至服务端,服务端可基于第一会话密钥对该特定密钥进行加密或签名,将加密或签名后的特定密钥发送至客户端,以便客户端基于第二会话密钥对加密或签名后的特定密钥进行解密或验签后可获得该特定密钥,继而客户端可基于该特定密钥进行信息处理。
本申请实施例的数据处理方法,通过客户端和服务端协商会话密钥,能够在二者之间构建安全信道,保障交互操作的信息安全,通过将个人密钥托管在服务端或与服务端连接的加密机上,能够方便客户在不同的硬件设备上使用个人密钥进行信息处理,还能够避免因硬件设备丢失而造成个人密钥丢失,继而避免因此引发的信息安全问题。
在一些实施例中,所述向服务端发送用于请求确定会话密钥的第一请求,以与所述服务端协商会话密钥,包括:
向所述服务端发送包含用于标识所述客户端身份的第二信息,以使所述服务端基于所述第二信息获取相对应的校验符和盐值;
接收所述服务端发送的盐值,生成第一标识量,将所述第一标识量发送至所述服务端,使所述服务端生成与所述第一标识量相对应的第二标识量,并使所述服务端基于所述校验符、所述第一标识量和所述第二标识量生成所述第一会话密钥;
接收所述服务端发送的所述第二标识量,基于所述盐值、所述第一标识量和所述第二标识量生成所述第二会话密钥。
在一些实施例中,所述向服务端发送用于请求确定会话密钥的第一请求,以与所述服务端协商会话密钥,包括:
基于预设规则确定素数、底数和第一随机数,基于所述素数、所述底数和所述第一随机数生成第一标识量;
将所述素数、所述底数和所述第一标识量发送至所述服务端,以使所述服务端基于所述素数、所述底数和所述第一标识量生成所述第一会话密钥;
接收所述服务端发送的第二标识量,基于所述素数、所述底数和所述第二标识量生成第二会话密钥,其中,所述第二标识量为所述服务端基于所述素数、所述底数以及第二随机数生成,所述第二随机数为所述服务端基于预设规则确定。
在一些实施例中,所述基于所述第二会话密钥生成包含待处理的第一信息的第二请求,向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,包括:
基于第二会话密钥对第一信息和第二信息进行处理,以生成所述第二请求;其中,所述第二信息用于标识客户端身份;
向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,基于所述第二信息获取包含所述个人密钥的第一加密数据,并将所述第一信息和所述第一加密数据发送至所述加密机,以使所述加密机对所述第一加密数据进行解密获得所述个人密钥,并基于所述个人密钥对所述第一信息进行处理。
在一些实施例中,所述基于所述第二会话密钥生成包含待处理的第一信息的第二请求,向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,包括:
基于第二会话密钥对待处理的第一信息和第二信息进行处理,以生成所述第二请求;其中,所述第二信息用于标识客户端身份;
向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,将所述第一信息和所述第二信息发送至所述加密机,以使所述加密机基于所述第二信息调取所述个人密钥,基于所述个人密钥对所述第一信息进行处理。
本申请实施例还提供了一种电子设备,至少包括存储器和处理器,所述存储器上存储有程序,所述处理器在执行所述存储器上的程序时实现如上任一实施例所述的数据处理方法。当该电子设备作为服务端时可为具有服务功能的设备,具体的,该电子设备可为例如服务器或云服务器等。当该电子设备作为加密机时,该电子设备可为具有基于个人密钥进行信息处理功能的设备,该加密机可安装在服务端上,或与服务端连接。当该电子设备作为客户端时,该电子设备可为例如智能手机、平板电脑、笔记本电脑或台式电脑等终端设备。
本申请实施例还一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现如上任一实施例所述的数据处理方法。
本领域技术人员应明白,本申请的实施例可提供为方法、电子设备、计算机可读存储介质或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。当通过软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
上述处理器可以是通用处理器、数字信号处理器、专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logicdevice,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。通用处理器可以是微处理器或者任何常规的处理器等。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
上述可读存储介质可为磁碟、光盘、DVD、USB、只读存储记忆体(ROM)或随机存储记忆体(RAM)等,本申请对具体的存储介质形式不作限定。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (11)

1.一种数据处理方法,其特征在于,应用于服务端,所述方法包括:
接收客户端发送的用于请求确定会话密钥的第一请求,与所述客户端协商会话密钥,其中,第一会话密钥为所述服务端生成的会话密钥,第二会话密钥为所述客户端生成的会话密钥;
接收所述客户端发送的基于所述第二会话密钥生成的第二请求,基于所述第一会话密钥对所述第二请求进行验证;其中,所述第二请求包含待处理的第一信息;
在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理;
其中,所述在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,包括:
在所述第二请求通过验证的情况下,所述服务端从所述第二请求中提取所述第一信息和用于标识所述客户端身份的第二信息;
所述服务端基于所述第二信息获取包含所述个人密钥的第一加密数据;
所述服务端将所述第一加密数据和所述第一信息发送至所述加密机,以使所述加密机基于存储在所述加密机中的另一特定密钥对所述第一加密数据进行解密,获取所述个人密钥,并使所述加密机基于所述个人密钥对所述第一信息进行处理以获取处理结果;
所述服务端接收所述加密机反馈的所述处理结果,并将所述处理结果发送至所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述客户端发送的所述个人密钥,并将所述个人密钥发送至所述加密机,以使所述加密机对所述个人密钥进行加密处理以生成所述第一加密数据;
接收所述加密机反馈的所述第一加密数据,存储所述第一加密数据以供调用。
3.根据权利要求2所述的方法,其特征在于,所述接收所述客户端发送的所述个人密钥,并将所述个人密钥发送至所述加密机,以使所述加密机对所述个人密钥进行加密处理以生成所述第一加密数据,包括:
接收所述客户端发送的包含所述个人密钥的第二加密数据,将所述第二加密数据发送至所述加密机,以使所述加密机对所述第二加密数据进行解密处理,获取所述个人密钥,对所述个人密钥进行加密处理以生成所述第一加密数据。
4.根据权利要求1所述的方法,其特征在于,所述在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,包括:
在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息和用于标识所述客户端身份的第二信息;
将所述第一信息和所述第二信息发送至所述加密机,以使所述加密机基于所述第二信息调取所述个人密钥,基于所述个人密钥对所述第一信息进行处理。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述接收客户端发送的用于请求确定会话密钥的第一请求,与所述客户端协商会话密钥,包括:
接收所述客户端发送的第一请求,从所述第一请求中提取用于标识所述客户端身份的第二信息;
基于所述第二信息获取相对应的校验符和盐值,向所述客户端发送所述盐值;
接收所述客户端发送的第一标识量,生成与所述第一标识量相对应的第二标识量;
基于所述校验符、所述第一标识量和所述第二标识量生成所述第一会话密钥;
向所述客户端发送所述第二标识量,以使所述客户端基于所述盐值、所述第一标识量和所述第二标识量生成所述第二会话密钥。
6.根据权利要求1所述的方法,其特征在于,所述基于所述第一会话密钥对所述第二请求进行验证,包括:
基于所述第一会话密钥对所述第二请求进行解密;或
基于所述第一会话密钥对所述第二请求中的签名进行验签。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到所述客户端发送的用于通知会话结束的第一通知的情况下,或者,在所述会话密钥的有效期到期的情况下,删除所述第一会话密钥。
8.一种数据处理方法,其特征在于,应用于加密机,所述方法包括:
至少接收服务端发送的待处理的第一信息;其中,所述第一信息包含于客户端基于第二会话密钥生成的第二请求;所述服务端接收客户端发送的用于请求确定会话密钥的第一请求,与客户端协商会话密钥,所述会话密钥包括所述服务端生成的第一会话密钥,以及所述客户端生成的所述第二会话密钥;所述服务端接收所述客户端发送的第二请求,基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,从所述第二请求中提取所述第一信息和用于标识所述客户端身份的第二信息,基于所述第二信息获取包含所述客户端的个人密钥的第一加密数据;
基于所述客户端的个人密钥对所述第一信息进行处理,以生成处理结果;
将所述处理结果反馈至所述服务端,以使所述服务端将所述处理结果发送至所述客户端;
其中,所述至少接收服务端发送的待处理的第一信息,包括:
接收所述服务端发送的所述第一信息和所述第一加密数据,其中,所述第一加密数据包含所述客户端的个人密钥;
相应的,所述基于所述客户端的个人密钥对所述第一信息进行处理,以生成处理结果,包括:
所述加密机基于存储在所述加密机中的另一特定密钥对所述第一加密数据进行解密,以获得所述个人密钥;
所述加密机基于所述个人密钥对所述第一信息进行处理,以生成处理结果;
所述加密机将所述处理结果反馈至所述服务端,以使所述服务端将所述处理结果发送至所述客户端。
9.一种数据处理方法,其特征在于,应用于客户端,所述方法包括:
向服务端发送用于请求确定会话密钥的第一请求,以与所述服务端协商会话密钥,其中,第一会话密钥为所述服务端生成的会话密钥,第二会话密钥为所述客户端生成的会话密钥;
基于所述第二会话密钥生成包含待处理的第一信息的第二请求,向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理;
其中,所述基于所述第二会话密钥生成包含待处理的第一信息的第二请求,向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,将所述第一信息发送至加密机,以使所述加密机基于所述客户端的个人密钥对所述第一信息进行处理,包括:
基于第二会话密钥对第一信息和第二信息进行处理,以生成所述第二请求;其中,所述第二信息用于标识客户端身份;
向所述服务端发送所述第二请求,使所述服务端基于所述第一会话密钥对所述第二请求进行验证,在所述第二请求通过验证的情况下,所述服务端基于所述第二信息获取包含所述个人密钥的第一加密数据,所述服务端将所述第一信息和所述第一加密数据发送至所述加密机,以使所述加密机基于存储在所述加密机中的另一特定密钥对所述第一加密数据进行解密获得所述个人密钥,并使所述加密机基于所述个人密钥对所述第一信息进行处理以获取处理结果,并由所述加密机将所述处理结果反馈至所述服务端;
接收所述服务端发送的所述处理结果。
10.一种电子设备,至少包括存储器和处理器,所述存储器上存储有程序,其特征在于,所述处理器在执行所述存储器上的程序时实现权利要求1-7任一项所述的方法,或者,权利要求8或权利要求9所述的方法。
11.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,其特征在于,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现权利要求1-7任一项所述的方法,权利要求8或权利要求9所述的方法。
CN202110118035.5A 2021-01-28 2021-01-28 数据处理方法、服务端、客户端及加密机 Active CN112861148B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110118035.5A CN112861148B (zh) 2021-01-28 2021-01-28 数据处理方法、服务端、客户端及加密机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110118035.5A CN112861148B (zh) 2021-01-28 2021-01-28 数据处理方法、服务端、客户端及加密机

Publications (2)

Publication Number Publication Date
CN112861148A CN112861148A (zh) 2021-05-28
CN112861148B true CN112861148B (zh) 2022-02-18

Family

ID=75987499

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110118035.5A Active CN112861148B (zh) 2021-01-28 2021-01-28 数据处理方法、服务端、客户端及加密机

Country Status (1)

Country Link
CN (1) CN112861148B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114239065A (zh) * 2021-12-20 2022-03-25 北京深思数盾科技股份有限公司 基于密钥的数据处理方法、电子设备及存储介质
CN114398688B (zh) * 2021-12-29 2024-11-08 江苏亨通问天量子信息研究院有限公司 一种基于量子加密盒子的通信系统
CN114599032B (zh) * 2022-03-15 2024-06-25 平安科技(深圳)有限公司 基于盐值加密的短信传输方法、装置、设备和介质
CN115276963B (zh) * 2022-06-13 2024-06-14 云南电网有限责任公司 一种基于智能密钥的电网安全管理方法、系统及介质
CN117118763B (zh) * 2023-10-25 2024-03-01 紫光同芯微电子有限公司 用于数据传输的方法及装置、系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103259651A (zh) * 2013-05-30 2013-08-21 成都欣知科技有限公司 一种对终端数据加解密的方法及系统
CN104023013A (zh) * 2014-05-30 2014-09-03 上海帝联信息科技股份有限公司 数据传输方法、服务端和客户端
CN111404950A (zh) * 2020-03-23 2020-07-10 腾讯科技(深圳)有限公司 一种基于区块链网络的信息共享方法、装置和相关设备
CN111431713A (zh) * 2020-03-27 2020-07-17 财付通支付科技有限公司 一种私钥存储方法、装置和相关设备
CN111614686A (zh) * 2020-05-26 2020-09-01 牛津(海南)区块链研究院有限公司 一种密钥管理方法、控制器及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103259651A (zh) * 2013-05-30 2013-08-21 成都欣知科技有限公司 一种对终端数据加解密的方法及系统
CN104023013A (zh) * 2014-05-30 2014-09-03 上海帝联信息科技股份有限公司 数据传输方法、服务端和客户端
CN111404950A (zh) * 2020-03-23 2020-07-10 腾讯科技(深圳)有限公司 一种基于区块链网络的信息共享方法、装置和相关设备
CN111431713A (zh) * 2020-03-27 2020-07-17 财付通支付科技有限公司 一种私钥存储方法、装置和相关设备
CN111614686A (zh) * 2020-05-26 2020-09-01 牛津(海南)区块链研究院有限公司 一种密钥管理方法、控制器及系统

Also Published As

Publication number Publication date
CN112861148A (zh) 2021-05-28

Similar Documents

Publication Publication Date Title
CN112861148B (zh) 数据处理方法、服务端、客户端及加密机
CN109818747B (zh) 数字签名方法及装置
US8719952B1 (en) Systems and methods using passwords for secure storage of private keys on mobile devices
US7111172B1 (en) System and methods for maintaining and distributing personal security devices
CN107317677B (zh) 密钥存储及设备身份认证方法、装置
CN112751821B (zh) 一种数据传输方法、电子设备和一种存储介质
US20180219688A1 (en) Information Transmission Method and Mobile Device
CN110958209B (zh) 基于共享密钥的双向认证方法及系统、终端
CN109150897B (zh) 一种端到端的通信加密方法及装置
CN109714176B (zh) 口令认证方法、装置及存储介质
CN109981562B (zh) 一种软件开发工具包授权方法及装置
CN111030814A (zh) 秘钥协商方法及装置
CN113806772A (zh) 基于区块链的信息加密传输方法及装置
CN112823503B (zh) 一种数据访问方法、数据访问装置及移动终端
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN109684129B (zh) 数据备份恢复方法、存储介质、加密机、客户端和服务器
CN113204760B (zh) 用于软件密码模块的安全通道建立方法及系统
CN112241527B (zh) 物联网终端设备的密钥生成方法、系统及电子设备
CN110417740B (zh) 用户数据的处理方法、智能终端、服务器及存储介质
CN109246156B (zh) 登录认证方法及装置、登录方法及装置以及登录认证系统
CN115314313A (zh) 信息加密方法、装置、存储介质及计算机设备
CN108737087B (zh) 邮箱账号密码的保护方法及计算机可读存储介质
CN106027254A (zh) 一种身份证认证系统中身份证读卡终端使用密钥的方法
CN115529591B (zh) 基于令牌的认证方法、装置、设备及存储介质
CN110968878B (zh) 信息传输方法、系统、电子设备及可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee after: Beijing Shendun Technology Co.,Ltd.

Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder