CN112929169A - 秘钥协商方法及系统 - Google Patents
秘钥协商方法及系统 Download PDFInfo
- Publication number
- CN112929169A CN112929169A CN202110169364.2A CN202110169364A CN112929169A CN 112929169 A CN112929169 A CN 112929169A CN 202110169364 A CN202110169364 A CN 202110169364A CN 112929169 A CN112929169 A CN 112929169A
- Authority
- CN
- China
- Prior art keywords
- key
- application service
- service server
- secret key
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及加密技术领域,公开了一种秘钥协商方法及系统,该方法包括应用业务服务器获取应用标识码;应用业务服务器对应用标识码进行签名,得到数字签名;对数字签名验签通过后,加解密服务器依据应用标识码确定出对应的公钥并将公钥发送给应用业务服务器;应用业务服务器对应用标识码进行签名,得到秘钥;应用业务服务器根据公钥加密秘钥,并将加密后的秘钥发送给加解密服务器;加解密服务器通过对应的私钥对加密后的秘钥进行解密,得到秘钥;加解密服务器生成与秘钥对应的秘钥标识;加解密服务器将秘钥标识发送给应用业务服务器。本发明提供的秘钥协商方法及系统可防止秘钥泄露,保障系统安全。
Description
技术领域
本发明涉及加密技术领域,具体涉及一种秘钥协商方法及系统。
背景技术
在企业的各系统中,为了确保数据的安全,常常需要对数据进行加密和解密操作。
目前,在企业的各系统中,加解密方案大多是各系统单独自行处理,即各系统应用各自使用一套单独的秘钥,当需要跨系统解析密文时就需要进行秘钥的交换,存在秘钥易泄露的风险,进而出现安全问题。
因此,如何提供一种有效的方案以避免秘钥泄露,已逐渐成为现有技术中一亟待解决的问题。
发明内容
为了解决现有技术中所存在的秘钥易泄露的问题,本发明的目的在于提供一种秘钥协商方法及系统,以避免秘钥泄露,保障系统安全。
第一方面,本发明提供了一种秘钥协商方法,包括:
应用业务服务器获取应用标识码,所述应用标识码是加解密服务器为所述应用业务服务器中的应用业务配置的;
所述应用业务服务器对所述应用标识码进行签名,得到数字签名,并将所述数字签名发送给所述加解密服务器;
在对所述数字签名验签通过后,所述加解密服务器依据所述应用标识码确定出与所述应用标识码对应的公钥并将所述公钥发送给所述应用业务服务器;
所述应用业务服务器对所述应用标识码进行签名,得到秘钥;
所述应用业务服务器根据所述公钥加密所述秘钥,并将加密后的秘钥发送给所述加解密服务器;
所述加解密服务器通过与所述公钥对应的私钥对加密后的秘钥进行解密,得到所述秘钥;
所述加解密服务器生成与所述秘钥对应的秘钥标识,并存储所述秘钥和所述秘钥标识;
所述加解密服务器将所述秘钥标识发送给所述应用业务服务器,以便所述应用业务服务器根据所述秘钥和所述秘钥标识对待加密明文进行加密。
通过上述的设计,本发明提供的秘钥协商方法通过应用业务服务器对应用标识码进行签名得到数字签名并发送给加解密服务器,加解密服务器对数字签名验签通过后确定出与应用标识码对应的公钥并发送给应用业务服务器,应用服务器对应用标识签名后得到秘钥并根据公钥对秘钥加密,然后将加密后的秘钥发送给加解密服务器,加解密服务器通过私钥解码出秘钥并生成与秘钥对应的秘钥标识,然后将秘钥标识发送给应用业务服务,以便应用业务服务器根据秘钥和秘钥标识对待加密明文进行加密。在此过程中,秘钥均是以密文的方式进行传输,不会存在秘钥泄露的风险,从而保障了系统安全。
在一个可能的设计中,所述应用业务服务器获取应用标识码,包括:
所述应用业务服务器从与所述应用业务服务器对应的第一缓存中查找与所述应用业务对应的所述应用标识码;
如果所述第一缓存中不存在所述应用标识码,则向所述加解密服务器请求所述应用标识码。
在一个可能的设计中,所述应用业务服务器对所述应用标识码进行签名,得到数字签名,包括:
所述应用业务服务器将所述应用标识码与当前日期组合后进行签名,得到所述数字签名;
所述应用业务服务器对所述应用标识码进行签名,得到秘钥,包括:
所述应用业务服务器将所述应用标识码与当前日期组合后进行签名,得到所述秘钥。
在一个可能的设计中,所述加解密服务器依据所述应用标识码确定出与所述应用标识码对应的公钥,包括:
所述加解密服务器依据所述应用标识码从与所述加解密服务器对应的第二缓存中查找出所述公钥;或
当所述第二缓存中不存在与所述应用标识对应的所述公钥时,生成与所述应用标识对应的所述公钥和与所述公钥对应的私钥。
在一个可能的设计中,所述加解密服务器生成与所述秘钥对应的秘钥标识,并存储所述秘钥和所述秘钥标识,包括:
所述加解密服务器生成与所述秘钥对应的秘钥标识,并以键值对的方式存储所述秘钥和所述秘钥标识。
在一个可能的设计中,所述方法还包括:
所述应用业务服务器接收所述应用业务的客户端所发送的加密请求,所述加密请求中携带有待加密明文;
所述应用业务服务器通过所述秘钥对所述待加密明文进行加密,得到第一密文;
所述应用业务服务器将所述秘钥标识按预定义规则写入所述第一密文中,得到第二密文;
所述应用业务服务器通过摘要算法获取所述待加密明文的摘要;
所述应用业务服务器将所述摘要写入所述第二密文的头部,并将写入所述摘要后的所述第二密文发送给所述应用业务的客户端。
在一个可能的设计中,所述方法还包括:
所述应用业务服务器接收所述应用业务的客户端所发送的解密请求,所述加密请求中携带有待解密密文;
所述应用业务服务器依据所述预定义规则从所述待解密密文中解析出所述秘钥标识;
所述应用业务服务器根据所述秘钥标识查找出与所述秘钥标识对应的所述秘钥;
所述应用业务服务器根据所述秘钥对所述待解密密文进行解密,得到明文;
所述应用业务服务器将所述明文发送给所述应用业务的客户端。
在一个可能的设计中,所述应用业务服务器根据所述秘钥标识查找出与所述秘钥标识对应的所述秘钥,包括:
所述应用业务服务器查找所述第一缓存中是否存在所述秘钥;
如果所述第一缓存中不存在所述秘钥,则所述应用业务服务器向所述加解密服务器发送秘钥获取请求,所述秘钥获取请求中携带有所述秘钥标识;
所述加解密服务器查找出与所述秘钥标识对应的所述秘钥;
所述加解密服务器通过所述私钥对所述秘钥进行加密,并将加密后的所述秘钥发送给所述应用业务服务器;
所述应用业务服务器依据所述公钥对加密后的所述秘钥进行解密,得到所述秘钥。
在一个可能的设计中,所述待解密密文为写入所述摘要后的所述第二密文。
第二方面,本发明提供了一种秘钥协商系统,包括应用业务服务器和加解密服务器,所述应用业务服务器用于获取应用标识码,所述应用标识码是加解密服务器为所述应用业务服务器中的应用业务配置的;
所述应用业务服务器还用于对所述应用标识码进行签名,得到数字签名,并将所述数字签名发送给所述加解密服务器;
所述加解密服务器用于在对所述数字签名验签通过后,依据所述应用标识码确定出与所述应用标识码对应的公钥并将所述公钥发送给所述应用业务服务器;
所述应用业务服务器还用于对所述应用标识码进行签名,得到秘钥;
所述应用业务服务器还用于根据所述公钥加密所述秘钥,并将加密后的秘钥发送给所述加解密服务器;
所述加解密服务器还用于通过与所述公钥对应的私钥对加密后的秘钥进行解密,得到所述秘钥;
所述加解密服务器还用于生成与所述秘钥对应的秘钥标识,并存储所述秘钥和所述秘钥标识;
所述加解密服务器还用于将所述秘钥标识发送给所述应用业务服务器,以便所述应用业务服务器根据所述秘钥和所述秘钥标识对待加密明文进行加密。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的秘钥协商方法的流程图。
图2是本发明提供的秘钥协商系统的结构示意图。
具体实施方式
下面结合附图及具体实施例来对本发明作进一步阐述。在此需要说明的是,对于这些实施例方式的说明虽然是用于帮助理解本发明,但并不构成对本发明的限定。本文公开的特定结构和功能细节仅用于描述本发明的示例实施例。然而,可用很多备选的形式来体现本发明,并且不应当理解为本发明限制在本文阐述的实施例中。
应当理解,尽管本文可能使用术语第一、第二等等来描述各种单元,但是这些单元不应当受到这些术语的限制。这些术语仅用于区分一个单元和另一个单元。例如可以将第一单元称作第二单元,并且类似地可以将第二单元称作第一单元,同时不脱离本发明的示例实施例的范围。
应当理解,对于本文中可能出现的术语“和/或”,其仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,单独存在B,同时存在A和B三种情况;对于本文中可能出现的术语“/和”,其是描述另一种关联对象关系,表示可以存在两种关系,例如,A/和B,可以表示:单独存在A,单独存在A和B两种情况;另外,对于本文中可能出现的字符“/”,一般表示前后关联对象是一种“或”关系。
应当理解,在本文中若将单元称作与另一个单元“连接”、“相连”或“耦合”时,它可以与另一个单元直相连接或耦合,或中间单元可以存在。相対地,在本文中若将单元称作与另一个单元“直接相连”或“直接耦合”时,表示不存在中间单元。另外,应当以类似方式来解释用于描述单元之间的关系的其他单词(例如,“在……之间”对“直接在……之间”,“相邻”对“直接相邻”等等)。
应当理解,本文使用的术语仅用于描述特定实施例,并不意在限制本发明的示例实施例。若本文所使用的,单数形式“一”、“一个”以及“该”意在包括复数形式,除非上下文明确指示相反意思。还应当理解,若术语“包括”、“包括了”、“包含”和/或“包含了”在本文中被使用时,指定所声明的特征、整数、步骤、操作、单元和/或组件的存在性,并且不排除一个或多个其他特征、数量、步骤、操作、单元、组件和/或他们的组合存在性或增加。
应当理解,还应当注意到在一些备选实施例中,所出现的功能/动作可能与附图出现的顺序不同。例如,取决于所涉及的功能/动作,实际上可以实质上并发地执行,或者有时可以以相反的顺序来执行连续示出的两个图。
应当理解,在下面的描述中提供了特定的细节,以便于对示例实施例的完全理解。然而,本领域普通技术人员应当理解可以在没有这些特定细节的情况下实现示例实施例。例如可以在框图中示出系统,以避免用不必要的细节来使得示例不清楚。在其他实例中,可以不以不必要的细节来示出众所周知的过程、结构和技术,以避免使得示例实施例不清。
实施例
为了避免秘钥泄露,本申请实施例提供了一种秘钥协商方法及系统,该秘钥协商方法及系统能够避免秘钥泄露,保障系统安全。
下面将对本申请实施例提供的秘钥协商方法进行详细说明。
本申请实施例提供的秘钥协商方法可应用于秘钥协商系统,秘钥协商系统包括应用业务服务器和与应用业务服务器通信连接的加解密服务器。
具体的,秘钥协商方法的流程如图1所示,可以包括如下步骤:
步骤S101,应用业务服务器获取应用标识码。
其中,所述应用标识码是加解密服务器为所述应用业务服务器中的应用业务配置的。
本申请实施例中,应用业务服务器为企业的各系统应用的服务器,例如企业的客户关系管理(Customer Relationship Management,CRM)系统和办公自动化(OfficeAutomation,OA)系统等的服务器。
加解密服务器为应用业务服务器中的各应用业务配置有不同的应用标识码以识别不同的应用业务。在进行秘钥协商时,应用业务服务器首先获取应用业务的应用标识码。
具体的,应用业务服务器在获取应用标识时,可先从与应用业务服务器对应的第一缓存中查找与应用业务对应的应用标识码。如果第一缓存中不存在与应用业务对应的应用标识码(如加解密服务器还未为应用业务服务器中的应用业务配置),则向解密服务器请求应用标识码。其中与应用业务服务器对应的第一缓存可以是应用业务服务器的内存,也可以是Redis缓存。
步骤S102,应用业务服务器对应用标识码进行签名,得到数字签名,并将数字签名发送给加解密服务器。
应用业务服务器对应用标识码进行签名可以采用,但不限于HMACMD5、HMACMD4算法等。进行签名时,可以直接对应用标识码进行签名,也可以将应用标识码与当前日期组合后进行签名。
本申请实施例中,应用业务服务器将应用标识码与当前日期组合后进行签名,得到数字签名,并将数字签名发送给加解密服务器。如此使得数值签名中的应用标识码在当天有效,进一步保障数据安全。
步骤S103,在对数字签名验签通过后,加解密服务器依据应用标识码确定出与应用标识码对应的公钥并将公钥发送给应用业务服务器。
具体的,加解密服务器接收到应用业务服务器发送的数字签名后,对接收到的数字签名进行验签。验签时,可采用步骤S102中签名过程的逆过程对数字签名进行验签,得到应用标识码和日期。然后判断得到的日期与当前日期是否一致,如果一致则判定验签通过,如果不一致则判定验签不通过。
如果验签不通过,则加解密服务器向应用业务服务器返回一表征验签未通过的信息以便应用业务服务器重新生成数字签名,直至验签通过。
例如,应用业务服务器对应用标识码进行签名时对应的时间是1月1号23时59分59秒。加解密服务器接收到应用业务服务器发送的数字签名后进行验签的时间为1月2号0时0分,对数字签名验签得到的日期(1月1日)与当前日期(1月2日)不一致,此时加解密服务器向应用业务服务器返回一表征验签未通过的信息,应用业务服务器收到表征验签未通过的信息后重新生成数字签名并发送给加解密服务器重新验签。
加解密服务器在依据应用标识码确定出与应用标识码对应的公钥时,可以先从与加解密服务器对应的第二缓存中查找与应用标识码对应的公钥,如果加解密服务器对应的第二缓存中不存在与应用标识码对应的公钥,则加解密服务器生成与应用标识对应的公钥和与公钥对应的私钥,并将生成的公钥和私钥存储至第二缓存中,以便下一次能够直接查找出与该应用标识对应的公钥。
其中,与加解密服务器对应的第二缓存可以是加解密服务器的内存,也可以是Redis缓存。
步骤S104,应用业务服务器对应用标识码进行签名,得到秘钥。
本步骤中,应用业务服务器对应用标识码进行签名同样可以采用,但不限于HMACMD5、HMACMD4算法等。签名时可以是直接对应用标识码进行签名,将应用标识码与当前日期组合后进行签名,本申请实施例中是将应用标识码与当前日期组合后进行签名,得到秘钥。
步骤S105,应用业务服务器根据公钥加密秘钥,并将加密后的秘钥发送给加解密服务器。
步骤S106,加解密服务器生成与秘钥对应的秘钥标识,并存储秘钥和秘钥标识。
加解密服务器在存储秘钥和秘钥标识时,可以以键值对的方式进行存储,以秘钥标识作为键,对应的秘钥为对应的值进行存储,如此在加解密服务器可根据秘钥标识从键值对中十分方便快捷的查找从对应的值(秘钥)。
加解密服务器在存储秘钥和秘钥标识时可以将秘钥和秘钥标识存储在关系型数据库管理系统(Relational Database Management System,MySQL)中,也可以存储在基于分布式文件存储的数据库MongoDB中。本申请实施例中,将秘钥和秘钥标识存储于MySQL和MongoDB中进行双备份。
步骤S107,加解密服务器将秘钥标识发送给应用业务服务器。
应用业务服务器在接收到秘钥标识后可根据秘钥标识找到对应的秘钥,并根据找到的秘钥对待加密明文进行加密,加密后可将加密得到的密文与秘钥标识一并发送给加解密服务器,以便加解密服务器根据秘钥标识查找出对应的秘钥对密文进行解密。
本发明提供的秘钥协商方法,通过应用业务服务器对应用标识码进行签名得到数字签名并发送给加解密服务器,加解密服务器对数字签名验签通过后确定出与应用标识码对应的公钥并发送给应用业务服务器,应用服务器对应用标识签名后得到秘钥并根据公钥对秘钥加密,然后将加密后的秘钥发送给加解密服务器,加解密服务器通过私钥解码出秘钥并生成与秘钥对应的秘钥标识,然后将秘钥标识发送给应用业务服务,以便应用业务服务器根据秘钥和秘钥标识对待加密明文进行加密。在此过程中,秘钥均是以密文的方式进行传输,不会存在秘钥泄露的风险,从而保障了系统安全。同时,在对应用标识码进行签名时,将应用标识码与当前日期组合后进行签名,使得得到的数字签名具有时效性,能够进行动态更新,进一步保障数据安全。另外,将秘钥和秘钥标识以键值对的方式存储于MySQL和MongoDB中进行双备份,确保了秘钥的安全存储。
进一步的,本发明实施例在上述实施例提供的秘钥协商方法的基础上,还提供一种对待加密明文进行加密的可能设计一,其包括但不限于如下步骤S201~S205。
步骤S201,应用业务服务器接收应用业务的客户端所发送的加密请求,加密请求中携带有待加密明文。
步骤S202,应用业务服务器通过秘钥对待加密明文进行加密,得到第一密文。
步骤S203,应用业务服务器将秘钥标识按预定义规则写入第一密文中,得到第二密文。
其中,本步骤中所述的秘钥标识为与步骤S202中秘钥对应的秘钥标识。将秘钥标识写入第一密文中时可以是将秘钥标识按预定义规则混入第一密文中。
步骤S204,应用业务服务器通过摘要算法获取待加密明文的摘要。
本申请实施例中,可以通过,但不限于HMACMD5、HMACMD4算法等获取待加密明文的摘要。
步骤S205,应用业务服务器将摘要写入第二密文的头部,并将写入摘要后的第二密文发送给客户端。
摘要的目的则是为了方便对待加密明文精确查询而使用,精确查询的方式是对密文字段建立索引,然后使用右模糊匹配即可。
由此通过上述的可能设计一,通过秘钥对待加密明文进行加密,得到第一密文,并将秘钥标识按预定义规则写入第一密文中,得到第二密文。如此,在对待加密明文加密过程中不会涉及到秘钥的交换,从而防止秘钥泄露。同时,由于将秘钥标识按预定义规则写入第一密文中,后续需要解密时可以解析出秘钥标识,然后再根据秘钥标识从本地的缓存中找出与秘钥标识对应的秘钥,在通过找出的秘钥进行解密,从而确保能够完成密文的解密。另外,通过获取待加密明文的摘要,并将摘要写入第二密文的头部,方便对待加密明文精确查询。
进一步的,本发明实施例在上述可能设计一基础上,还提供一种对待解密密文进行解密的可能设计二,其包括但不限于如下步骤S301~S305。
步骤S301,应用业务服务器接收应用业务的客户端所发送的解密请求,加密请求中携带有待解密密文。
其中,待解密密文可以是上述步骤S205中写入摘要后的第二密文。
步骤S302,应用业务服务器按预定义规则从待解密密文中解析出秘钥标识。
其中,从待解密密文中解析出秘钥标识的过程,是上述步骤S203中将秘钥按预定义规则写入密文中的逆过程。
步骤S303,应用业务服务器根据秘钥标识查找出与秘钥标识对应的秘钥。
具体的,应用业务服务器根据秘钥标识查找出与秘钥标识对应的秘钥的过程可以如下:
首先,应用业务服务器查找第一缓存中是否存在与秘钥标识对应的秘钥,如果存在则直接获取与秘钥标识对应的秘钥。
如果第一缓存中不存在与秘钥标识对应的秘钥,则应用业务服务器向加解密服务器发送秘钥获取请求,秘钥获取请求中携带有秘钥标识。加解密服务器查找出与秘钥标识对应的秘钥。然后加解密服务器通过私钥对查找出的秘钥进行加密,并将加密后的秘钥发送给应用业务服务器。最后应用业务服务器依据对应的公钥对加密后的秘钥进行解密,得到秘钥标识对应的秘钥。
步骤S304,应用业务服务器根据秘钥对待解密密文进行解密,得到明文。
步骤S305,应用业务服务器将明文发送给应用业务的客户端。
由此通过上述的可能设计二,通过应用业务服务器依据预定义规则从待解密密文中解析出秘钥标识,并根据秘钥标识查找出与秘钥标识对应的秘钥,然后根据秘钥对待解密密文进行解密得到明文,从而实现了对待解密密文的解密,同时在解密过程中不会涉及到秘钥的交换,防止秘钥泄露。
请参阅图2,本申请实施例提供了一种秘钥协商系统,秘钥协商系统包括应用业务服务器和加解密服务器,所述应用业务服务器用于获取应用标识码,所述应用标识码是加解密服务器为所述应用业务服务器中的应用业务配置的。
所述应用业务服务器还用于对所述应用标识码进行签名,得到数字签名,并将所述数字签名发送给所述加解密服务器。
所述加解密服务器用于在对所述数字签名验签通过后,依据所述应用标识码确定出与所述应用标识码对应的公钥并将所述公钥发送给所述应用业务服务器。
所述应用业务服务器还用于对所述应用标识码进行签名,得到秘钥。
所述应用业务服务器还用于根据所述公钥加密所述秘钥,并将加密后的秘钥发送给所述加解密服务器。
所述加解密服务器还用于通过与所述公钥对应的私钥对加密后的秘钥进行解密,得到所述秘钥。
所述加解密服务器还用于生成与所述秘钥对应的秘钥标识,并存储所述秘钥和所述秘钥标识。
所述加解密服务器还用于将所述秘钥标识发送给所述应用业务服务器,以便所述应用业务服务器根据所述秘钥和所述秘钥标识对待加密明文进行加密。
本实施例提供的硬件装置的工作过程、工作细节和技术效果,可以参见上述方法实施例的内容,于此不再赘述。
以上所描述的多个实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备执行各个实施例或者实施例的某些部分所述的方法。
本发明不局限于上述可选实施方式,任何人在本发明的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是落入本发明权利要求界定范围内的技术方案,均落在本发明的保护范围之内。
Claims (10)
1.一种秘钥协商方法,其特征在于,包括:
应用业务服务器获取应用标识码,所述应用标识码是加解密服务器为所述应用业务服务器中的应用业务配置的;
所述应用业务服务器对所述应用标识码进行签名,得到数字签名,并将所述数字签名发送给所述加解密服务器;
在对所述数字签名验签通过后,所述加解密服务器依据所述应用标识码确定出与所述应用标识码对应的公钥并将所述公钥发送给所述应用业务服务器;
所述应用业务服务器对所述应用标识码进行签名,得到秘钥;
所述应用业务服务器根据所述公钥加密所述秘钥,并将加密后的秘钥发送给所述加解密服务器;
所述加解密服务器通过与所述公钥对应的私钥对加密后的秘钥进行解密,得到所述秘钥;
所述加解密服务器生成与所述秘钥对应的秘钥标识,并存储所述秘钥和所述秘钥标识;
所述加解密服务器将所述秘钥标识发送给所述应用业务服务器,以便所述应用业务服务器根据所述秘钥和所述秘钥标识对待加密明文进行加密。
2.如权利要求1所述的方法,其特征在于,所述应用业务服务器获取应用标识码,包括:
所述应用业务服务器从与所述应用业务服务器对应的第一缓存中查找与所述应用业务对应的所述应用标识码;
如果所述第一缓存中不存在所述应用标识码,则向所述加解密服务器请求所述应用标识码。
3.如权利要求1所述的方法,其特征在于,所述应用业务服务器对所述应用标识码进行签名,得到数字签名,包括:
所述应用业务服务器将所述应用标识码与当前日期组合后进行签名,得到所述数字签名;
所述应用业务服务器对所述应用标识码进行签名,得到秘钥,包括:
所述应用业务服务器将所述应用标识码与当前日期组合后进行签名,得到所述秘钥。
4.如权利要求1所述的方法,其特征在于,所述加解密服务器依据所述应用标识码确定出与所述应用标识码对应的公钥,包括:
所述加解密服务器依据所述应用标识码从与所述加解密服务器对应的第二缓存中查找出所述公钥;或
当所述第二缓存中不存在与所述应用标识对应的所述公钥时,生成与所述应用标识对应的所述公钥和与所述公钥对应的私钥。
5.如权利要求1所述的方法,其特征在于,所述加解密服务器生成与所述秘钥对应的秘钥标识,并存储所述秘钥和所述秘钥标识,包括:
所述加解密服务器生成与所述秘钥对应的秘钥标识,并以键值对的方式存储所述秘钥和所述秘钥标识。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述应用业务服务器接收所述应用业务的客户端所发送的加密请求,所述加密请求中携带有待加密明文;
所述应用业务服务器通过所述秘钥对所述待加密明文进行加密,得到第一密文;
所述应用业务服务器将所述秘钥标识按预定义规则写入所述第一密文中,得到第二密文;
所述应用业务服务器通过摘要算法获取所述待加密明文的摘要;
所述应用业务服务器将所述摘要写入所述第二密文的头部,并将写入所述摘要后的所述第二密文发送给所述应用业务的客户端。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
所述应用业务服务器接收所述应用业务的客户端所发送的解密请求,所述加密请求中携带有待解密密文;
所述应用业务服务器依据所述预定义规则从所述待解密密文中解析出所述秘钥标识;
所述应用业务服务器根据所述秘钥标识查找出与所述秘钥标识对应的所述秘钥;
所述应用业务服务器根据所述秘钥对所述待解密密文进行解密,得到明文;
所述应用业务服务器将所述明文发送给所述应用业务的客户端。
8.如权利要求7所述的方法,其特征在于,所述应用业务服务器根据所述秘钥标识查找出与所述秘钥标识对应的所述秘钥,包括:
所述应用业务服务器查找所述第一缓存中是否存在所述秘钥;
如果所述第一缓存中不存在所述秘钥,则所述应用业务服务器向所述加解密服务器发送秘钥获取请求,所述秘钥获取请求中携带有所述秘钥标识;
所述加解密服务器查找出与所述秘钥标识对应的所述秘钥;
所述加解密服务器通过所述私钥对所述秘钥进行加密,并将加密后的所述秘钥发送给所述应用业务服务器;
所述应用业务服务器依据所述公钥对加密后的所述秘钥进行解密,得到所述秘钥。
9.如权利要求8所述的方法,其特征在于,所述待解密密文为写入所述摘要后的所述第二密文。
10.一种秘钥协商系统,其特征在于,包括应用业务服务器和加解密服务器,所述应用业务服务器用于获取应用标识码,所述应用标识码是加解密服务器为所述应用业务服务器中的应用业务配置的;
所述应用业务服务器还用于对所述应用标识码进行签名,得到数字签名,并将所述数字签名发送给所述加解密服务器;
所述加解密服务器用于在对所述数字签名验签通过后,依据所述应用标识码确定出与所述应用标识码对应的公钥并将所述公钥发送给所述应用业务服务器;
所述应用业务服务器还用于对所述应用标识码进行签名,得到秘钥;
所述应用业务服务器还用于根据所述公钥加密所述秘钥,并将加密后的秘钥发送给所述加解密服务器;
所述加解密服务器还用于通过与所述公钥对应的私钥对加密后的秘钥进行解密,得到所述秘钥;
所述加解密服务器还用于生成与所述秘钥对应的秘钥标识,并存储所述秘钥和所述秘钥标识;
所述加解密服务器还用于将所述秘钥标识发送给所述应用业务服务器,以便所述应用业务服务器根据所述秘钥和所述秘钥标识对待加密明文进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110169364.2A CN112929169B (zh) | 2021-02-07 | 2021-02-07 | 秘钥协商方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110169364.2A CN112929169B (zh) | 2021-02-07 | 2021-02-07 | 秘钥协商方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112929169A true CN112929169A (zh) | 2021-06-08 |
| CN112929169B CN112929169B (zh) | 2022-10-28 |
Family
ID=76171095
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110169364.2A Active CN112929169B (zh) | 2021-02-07 | 2021-02-07 | 秘钥协商方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112929169B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230099755A1 (en) * | 2021-09-24 | 2023-03-30 | Sap Se | Sql extension to key transfer system with authenticity, confidentiality, and integrity |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588538A (zh) * | 2009-05-14 | 2009-11-25 | 刘建 | 无线局域网鉴别与保密基础结构组播密钥协商方法及系统 |
| CN104219217A (zh) * | 2013-06-05 | 2014-12-17 | 中国移动通信集团公司 | 安全关联协商方法、设备和系统 |
| WO2015124798A2 (en) * | 2014-02-24 | 2015-08-27 | Mobbu Ltd | Method & system for enabling authenticated operation of a data processing device |
| CN106603485A (zh) * | 2016-10-31 | 2017-04-26 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| CN107251476A (zh) * | 2015-02-13 | 2017-10-13 | 维萨国际服务协会 | 保密通信管理 |
| US20190020633A1 (en) * | 2017-07-12 | 2019-01-17 | Wickr Inc. | Provisioning Ephemeral Key Pools for Sending and Receiving Secure Communications |
| CN109617916A (zh) * | 2019-01-16 | 2019-04-12 | 北京云中融信网络科技有限公司 | 秘钥处理方法及即时通讯系统 |
| CN109698746A (zh) * | 2019-01-21 | 2019-04-30 | 北京邮电大学 | 基于主密钥协商生成绑定设备的子密钥的方法和系统 |
| CN109905350A (zh) * | 2017-12-08 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 一种数据传输方法及系统 |
| CN110896348A (zh) * | 2019-11-26 | 2020-03-20 | 飞天诚信科技股份有限公司 | 一种密钥协商的方法及系统 |
| CN111740958A (zh) * | 2020-05-22 | 2020-10-02 | 卓望数码技术(深圳)有限公司 | 数据加密方法、解密方法、加解密传输方法及系统 |
| CN111835752A (zh) * | 2020-07-09 | 2020-10-27 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
| CN112019503A (zh) * | 2018-03-01 | 2020-12-01 | 北京华为数字技术有限公司 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
| CN112291190A (zh) * | 2020-07-28 | 2021-01-29 | 国网思极网安科技(北京)有限公司 | 一种身份认证方法、终端及服务器 |
-
2021
- 2021-02-07 CN CN202110169364.2A patent/CN112929169B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588538A (zh) * | 2009-05-14 | 2009-11-25 | 刘建 | 无线局域网鉴别与保密基础结构组播密钥协商方法及系统 |
| CN104219217A (zh) * | 2013-06-05 | 2014-12-17 | 中国移动通信集团公司 | 安全关联协商方法、设备和系统 |
| WO2015124798A2 (en) * | 2014-02-24 | 2015-08-27 | Mobbu Ltd | Method & system for enabling authenticated operation of a data processing device |
| CN107251476A (zh) * | 2015-02-13 | 2017-10-13 | 维萨国际服务协会 | 保密通信管理 |
| CN106603485A (zh) * | 2016-10-31 | 2017-04-26 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| US20190020633A1 (en) * | 2017-07-12 | 2019-01-17 | Wickr Inc. | Provisioning Ephemeral Key Pools for Sending and Receiving Secure Communications |
| CN109905350A (zh) * | 2017-12-08 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 一种数据传输方法及系统 |
| CN112019503A (zh) * | 2018-03-01 | 2020-12-01 | 北京华为数字技术有限公司 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
| CN109617916A (zh) * | 2019-01-16 | 2019-04-12 | 北京云中融信网络科技有限公司 | 秘钥处理方法及即时通讯系统 |
| CN109698746A (zh) * | 2019-01-21 | 2019-04-30 | 北京邮电大学 | 基于主密钥协商生成绑定设备的子密钥的方法和系统 |
| CN110896348A (zh) * | 2019-11-26 | 2020-03-20 | 飞天诚信科技股份有限公司 | 一种密钥协商的方法及系统 |
| CN111740958A (zh) * | 2020-05-22 | 2020-10-02 | 卓望数码技术(深圳)有限公司 | 数据加密方法、解密方法、加解密传输方法及系统 |
| CN111835752A (zh) * | 2020-07-09 | 2020-10-27 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
| CN112291190A (zh) * | 2020-07-28 | 2021-01-29 | 国网思极网安科技(北京)有限公司 | 一种身份认证方法、终端及服务器 |
Non-Patent Citations (2)
| Title |
|---|
| KYUNG-AH SHIM: ""A survey of public-key cryptographic primitives in wireless sensor networks"", 《IEEE COMMUNICATIONS SURVEYS & TUTORIALS》 * |
| 归奕红: "无线传感器网络CPKAI密钥管理方案", 《河池学院学报》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230099755A1 (en) * | 2021-09-24 | 2023-03-30 | Sap Se | Sql extension to key transfer system with authenticity, confidentiality, and integrity |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112929169B (zh) | 2022-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
| CN108270739B (zh) | 一种管理加密信息的方法及装置 | |
| CN114024710A (zh) | 一种数据传输方法、装置、系统及设备 | |
| CN111104691A (zh) | 敏感信息的处理方法、装置、存储介质及设备 | |
| KR20180101870A (ko) | 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템 | |
| CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
| CN110490741B (zh) | 一种区块链中数据有效性及可控性管理的装置与方法 | |
| CN112182514A (zh) | 授权验证的方法、装置、设备和计算机可读介质 | |
| CN112332975A (zh) | 物联网设备安全通信方法及系统 | |
| CN109800588A (zh) | 条码动态加密方法及装置、条码动态解密方法及装置 | |
| CN115604038B (zh) | 基于区块链和边缘计算的云存储数据审计系统及方法 | |
| CN115795514A (zh) | 一种隐私信息检索方法、装置及系统 | |
| CN112929169B (zh) | 秘钥协商方法及系统 | |
| CN113794706A (zh) | 数据的处理方法、装置、电子设备及可读存储介质 | |
| CN116975926A (zh) | 一种基于可信执行环境的数据库代理加密系统 | |
| CN103916237A (zh) | 对用户加密密钥恢复进行管理的方法和系统 | |
| CN115766270A (zh) | 文件解密方法、加密方法、密钥管理方法、装置及设备 | |
| CN102404363A (zh) | 一种访问方法及装置 | |
| CN114584299A (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| CN114553557A (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN115438037A (zh) | 数据处理方法及其装置、系统、存储介质 | |
| KR20020020166A (ko) | 무선 데이터 통신에서의 양단간 데이터 암호화/복호화방법 및 장치 | |
| CN112532567A (zh) | 一种交易加密方法和posp系统 | |
| CN115023920B (zh) | 股权激励系统中的数据处理的方法和装置 | |
| CN115208630B (zh) | 基于区块链的数据获取方法、系统及区块链系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |