CN114095165B - 密钥更新方法、服务端设备、客户端设备及存储介质 - Google Patents
密钥更新方法、服务端设备、客户端设备及存储介质 Download PDFInfo
- Publication number
- CN114095165B CN114095165B CN202111388891.9A CN202111388891A CN114095165B CN 114095165 B CN114095165 B CN 114095165B CN 202111388891 A CN202111388891 A CN 202111388891A CN 114095165 B CN114095165 B CN 114095165B
- Authority
- CN
- China
- Prior art keywords
- key
- client
- updated
- ciphertext
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000004044 response Effects 0.000 claims description 136
- 238000012545 processing Methods 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 20
- 230000008569 process Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种密钥更新方法、服务端设备、客户端设备及存储介质,涉及密码安全领域。其中,服务端接收客户端发送的密钥更新请求;根据客户端标识查找客户端对应的待更新密钥,为客户端生成已更新密钥,并采用待更新密钥对已更新密钥进行加密,得到已更新密钥密文;服务端将已更新密钥密文发送至客户端,以使客户端采用待更新密钥对已更新密钥密文进行解密,得到已更新密钥,不仅可以定期对客户端的待更新密钥进行更新,还可以采用待更新密钥对已更新密钥进行加密,进一步提高密钥的安全性,降低密钥被窃取的机率。
Description
技术领域
本申请涉及密码安全领域,特别涉及一种密钥更新方法、服务端设备、客户端设备及存储介质。
背景技术
随着互联网的发展以及信息技术的快速进步,新一代电子商务正在改变人们的生活方式,如网上购物、电子银行、网上纳税、网上报关等。由于互联网的开放性设计,存在着许多安全问题,严重影响了电子商务的普及和发展。其中最重要一点是数据在传输过程中的安全性问题,即如何防止数据被截获、窃听、篡改等。
目前,在数据传输过程中,为了防止数据被截获、窃听或篡改等,常使用密钥对数据信息进行加密,虽然在一定程度上保证了数据在交互过程中的安全性,但密钥一旦被窃取,数据就很容易被泄露,造成多方利益受损。
发明内容
本申请实施例提供一种密钥更新方法、服务端设备、客户端设备及存储介质,可以定期更新密钥,提高密钥的安全性,降低密钥被窃取的机率。
第一方面,本申请实施例提供一种密钥更新方法,应用于服务端,所述方法包括:
接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
根据所述客户端标识查找所述客户端对应的待更新密钥;
为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥。
在一种可选的实施例中,所述密钥更新请求中还包括客户端标识密文,所述客户端标识密文是采用所述待更新密钥对所述客户端的客户端标识进行加密得到的;所述为所述客户端生成已更新密钥之前,所述方法还包括:
采用所述客户端对应的待更新密钥对所述客户端标识密文进行解密,得到所述客户端标识密文中的客户端标识;
将所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识进行比对;
若所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识一致,则执行所述为所述客户端生成已更新密钥的步骤。
在一种可选的实施例中,所述接收客户端发送的密钥更新请求之前,所述方法还包括:
若接收到所述客户端发送的注册请求,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
在一种可选的实施例中,所述将所述已更新密钥密文发送至所述客户端后,所述方法还包括:
接收所述客户端发送的客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端的客户端公钥进行加密得到的;
采用所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥。
在一种可选的实施例中,所述生成与所述客户端标识对应的服务端公钥和服务端私钥之后,所述方法还包括:
生成与所述客户端标识对应的服务端公钥和服务端私钥;
接收所述客户端发送的服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
根据所述服务端公钥下载请求中的客户端标识查找所述客户端对应的已更新密钥和客户端公钥;
采用所述客户端对应的所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;
若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则向所述客户端发送服务端公钥密文;所述服务端公钥密文采用所述已更新密钥对所述服务端公钥进行加密得到的。
在一种可选的实施例中,所述向所述客户端发送服务端公钥密文之后,所述方法还包括:
接收所述客户端发送的请求密文签名数据;所述请求密文签名数据是所述客户端采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;
根据所述客户端标识查找所述客户端对应的已更新密钥和客户端公钥;
采用所述已更新密钥对所述请求密文签名数据进行解密,并采用所述客户端公钥进行解密,得到所述请求明文;
对所述请求明文进行业务处理,得到响应明文;
采用所述已更新密钥对所述响应明文进行对称加密,并采用所述服务端私钥对所述响应明文进行非对称加密,得到响应密文签名数据;
将所述响应密文签名数据发送至所述客户端。
第二方面,本申请实施例提供了一种密钥更新方法,应用于客户端,所述方法包括:
向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的。
在一种可选的实施例中,所述向服务端发送密钥更新请求之前,所述方法还包括:
向所述服务端发送注册请求,以使所述服务端接收到所述注册请求后,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
在一种可选的实施例中,所述得到所述已更新密钥之后,所述方法还包括:
生成客户端公钥和客户端私钥;
向所述服务端发送客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端公钥进行加密得到的;以使所述服务端采用与所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥,并生成与所述客户端标识对应的服务端公钥和服务端私钥。
在一种可选的实施例中,所述向所述服务端发送客户端公钥密文和所述客户端标识之后,所述方法还包括:
向所述服务端发送服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
接收所述服务端发送的服务端公钥密文;所述服务端公钥密文是所述服务端根据所述服务端公钥下载请求中的客户端标识查找到所述客户端对应的已更新密钥和客户端公钥后;采用所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则采用所述已更新密钥对所述服务端公钥进行加密得到的。
在一种可选的实施例中,所述接收所述服务端发送的服务端公钥密文之后,所述方法还包括:
向所述服务端发送请求密文签名数据;所述请求密文签名数据是采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;
接收所述服务端发送的响应密文签名数据,采用所述已更新密钥对所述响应密文签名数据进行解密,并采用所述服务端公钥进行解密,得到响应明文;所述响应密文签名数据是所述服务端分别采用所述已更新密钥和所述客户端公钥对所述请求密文签名数据进行解密,得到请求明文后,对所述请求明文进行业务处理,以得到所述响应明文,并分别采用所述已更新密钥和所述服务端私钥对所述响应明文进行加密后得到的。
第三方面,本申请实施例提供了一种密钥更新装置,应用于服务端,所述装置包括:
第一接收单元,接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
查找单元,根据所述客户端标识查找所述客户端对应的待更新密钥;
生成单元,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
第一发送单元,将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥。
第四方面,本申请实施例提供了一种服务端设备,包括:存储器、收发机以及处理器;
所述存储器,用于存储计算机指令;
所述收发机,用于在所述处理器的控制下收发数据;
所述处理器,用于读取所述存储器中的计算机程序并执行如下步骤:
接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
根据所述客户端标识查找所述客户端对应的待更新密钥;
为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥。
第五方面,本申请实施例提供了一种密钥更新装置,应用于客户端,所述装置包括:
第二发送单元,向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
第二接收单元,接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的。
第六方面,本申请实施例提供了一种客户端设备,包括:存储器、收发机以及处理器;
所述存储器,用于存储计算机指令;
所述收发机,用于在所述处理器的控制下收发数据;
所述处理器,用于读取所述存储器中的计算机程序并执行如下步骤:
向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的。
第七方面,本申请实施例提供了一种计算机可读存储介质,所述存储介质存储有计算机指令,所述计算机指令被处理器执行时实现如第一方面和第二方面中任一项所述的方法。
第八方面,本申请实施例提供了一种计算机程序产品,包含有计算机可执行指令,所述计算机可执行指令用于使计算机执行如第一方面和第二方面中任一项所述的方法。
本申请实施例提供的密钥更新方法、服务端设备、客户端设备及存储介质,服务端在定期接收到客户端发送的密钥更新请求后,可以为客户端生成已更新密钥,并采用与客户端对应的待更新密钥对生成的已更新密钥进行加密,得到已更新密钥密文,并发送至客户端。通过该方法不仅可以定期对客户端的待更新密钥进行更新,还可以采用待更新密钥对已更新密钥进行加密,进一步提高密钥的安全性,降低密钥被窃取的机率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例适用的密钥更新的应用场景图;
图2为本申请实施例提供的一种密钥更新方法的交互流程图;
图3为本申请实施例提供的一种报文加密方法的交互流程图;
图4为本申请实施例提供的一种报文加密方法的流程图;
图5为本申请实施例提供的另一种报文加密方法的流程图;
图6为本申请实施例提供的一种密钥更新装置的结构示意图;
图7为本申请实施例提供的另一种密钥更新装置的结构示意图;
图8为本申请实施例提供的另一种密钥更新装置的结构示意图;
图9为本申请实施例提供的一种服务端设备的结构示意图;
图10为本申请实施例提供的一种客户端设备的结构示意图。
具体实施方式
下面结合附图对本申请的具体实施方式进行详细的说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请,并不用于限制本申请。
随着互联网技术的不断发展,电子商务的交易数量非常庞大,发起交易的客户遍布全球,大型的电子商务服务商普遍采用部署有多个服务实例(Service Instance)的服务端来实现电子商务后台。
服务端可以通过多个服务实例共同提供同一种服务。对于客户端来说,无需区分服务端中的多个服务实例,客户端与服务端的交互过程可以为客户端与服务端中的任一服务实例的交互过程。服务端可以利用多个服务实例进行并行处理从而获得很高的处理效率,也可以利用多个服务实例进行多副本备份,从而在任一服务实例出现异常时整个集群系统还可以正常运行。
图1是根据本申请实施例提供的密钥更新方法的一种应用场景图。需要注意的是,图1所示仅为本申请实施例提供的一种应用场景示例图,以帮助本领域技术人员理解本申请的技术内容,但并不意味着本申请实施例不可以用于其他设备、系统、环境或场景。
如图1所示,在本申请中可以包括客户端110、网络120和服务端130,服务端130可以包括多个服务器,每个服务器中可以部署有服务实例。其中,客户端110可以是各种可以进行网络通信的电子设备,例如智能手机、平板电脑、笔记本电脑、台式计算机等,本申请对此不做限定。服务端130中的各个服务器可以是各种具有一定计算能力的电子设备,客户端110可以安装各种类型的客户端,例如浏览器客户端、移动互联网应用(Application)客户端等,与服务端130进行交互。
由于互联网的开放性设计,存在着许多安全问题,严重影响了电子商务的普及和发展。其中最重要一点是数据在传输过程中的安全性问题,即如何防止数据被截获、窃听、篡改等。目前,在数据传输过程中,为了防止数据被截获、窃听或篡改等,常使用密钥对数据信息进行加密,虽然在一定程度上保证了数据在交互过程中的安全性,但当密钥使用时间过长后,被窃取的机率就会不断增高,密钥一旦被窃取,数据就很容易被泄露,造成多方利益受损。
基于此,本申请提出了一种密钥更新方法,可以定期更新密钥,提高密钥的安全性,降低密钥被窃取的机率。如图2所示,图2示出了一种密钥更新方法的交互流程图,该方法可以包括如下步骤:
步骤S201,客户端向服务端发送注册请求;
步骤S202,服务端接收客户端发送的注册请求,向客户端发送客户端标识和初始密钥;
在一种可选的实施方式中,初始密钥为客户端首次向服务端发送密钥更新请求时的待更新密钥,且初始密钥只能用于后续密钥的更新,不能对报文数据进行加密和解密。
步骤S203,客户端向服务端发送密钥更新请求;
在一种可选的实施方式中,密钥更新请求是客户端按照设定时间周期发送的,其中,设定时间周期可以是一个月,也可以是两个月等,本申请对此不做限定。
在一种可选的实施方式中,密钥更新请求中可以包括客户端的客户端标识和客户端标识密文;其中,客户端标识密文是采用待更新密钥对客户端的客户端标识进行加密得到的,在加密过程中,可以对客户端标识密文设置有效时间;例如,假设客户端标识密文的有效期为一个月;在一个月内,该客户端标识密文为有效密文,服务端在接收到该客户端标识密文后,可以对该客户端标识密文正常响应;当超过一个月后,该客户端标识密文为无效密文,服务端在接收到该客户端标识密文后,不对该客户端标识密文进行响应。
步骤S204,服务端根据密钥更新请求中的客户端标识查找客户端对应的待更新密钥;并采用客户端对应的待更新密钥对客户端标识密文进行解密,得到客户端标识密文中的客户端标识;
步骤S205,生成已更新密钥,并采用待更新密钥对已更新密钥进行加密,得到已更新密钥密文。
在一种可选的实施方式中,服务端可以将客户端标识密文中的客户端标识与密钥更新请求中的客户端标识进行比对;若客户端标识密文中的客户端标识与密钥更新请求中的客户端标识一致,则生成已更新密钥,并采用待更新密钥对已更新密钥进行加密,得到已更新密钥密文;若客户端标识密文中的客户端标识与密钥更新请求中的客户端标识不一致,则不对客户端进行响应。
在一种可选的实施方式中,服务端可以针对各个客户端,在服务端数据库中对应存储与各个客户端相关的待更新密钥,在每次生成已更新密钥,并采用待更新密钥对已更新密钥进行加密,得到已更新密钥密文后,将已更新密钥作为新的待更新密钥存储至服务端数据库中,并删除旧的待更新密钥。
步骤S206,服务端将已更新密钥密文发送至客户端;
步骤S207,客户端接收服务端发送的已更新密钥密文,采用待更新密钥对已更新密钥密文进行解密,得到已更新密钥;
在一种可选的实施方式中,客户端在采用待更新密钥对已更新密钥密文进行解密,得到已更新密钥后,可以删除旧的待更新密钥,并将得到的已更新密钥作为新的待更新密钥对应存储至客户端数据库中。
步骤S208,客户端生成客户端公钥和客户端私钥;
步骤S209,客户端向服务端发送客户端公钥密文和客户端标识;
在一种可选的实施方式中,客户端公钥密文是客户端采用已更新密钥对客户端公钥进行加密后得到的。
步骤S210,服务端接收客户端发送的客户端公钥密文和客户端标识,根据客户端标识查找到客户端对应的已更新密钥,采用已更新密钥对客户端公钥密文进行解密,得到客户端的客户端公钥,并生成与客户端标识对应的服务端公钥和服务端私钥;
步骤S211,客户端向服务端发送服务端公钥下载请求;
在一种可选的实施方式中,服务端公钥下载请求中包括服务端公钥下载密文和客户端标识。其中,服务端公钥下载密文是客户端采用已更新密钥对客户端标识进行加密,并采用客户端私钥对客户端标识进行加密后得到的;
步骤S212,服务端接收客户端发送的服务端公钥下载请求,根据服务端公钥下载请求中的客户端标识查找与客户端对应的已更新密钥和客户端公钥;分别采用客户端对应的已更新密钥和客户端公钥对服务端公钥下载密文进行解密,得到服务端公钥下载密文中的客户端标识;
步骤S213,服务端向客户端发送服务端公钥密文;
在一种可选的实施方式中,服务端公钥密文是采用已更新密钥对服务端公钥进行加密得到的;服务端可以将服务端公钥下载密文中的客户端标识与服务端公钥下载请求中的客户端标识进行比较,若服务端公钥下载密文中的客户端标识与服务端公钥下载请求中的客户端标识一致,则向客户端发送服务端公钥密文;若服务端公钥下载密文中的客户端标识与服务端公钥下载请求中的客户端标识不一致,则服务端不对客户端进行响应。
步骤S214,客户端接收服务端发送的服务端公钥密文,采用已更新密钥对服务端公钥密文进行解密,得到服务端公钥。
示例性地,在一种实施例中,假设服务端向客户端发送的客户端标识为id1,初始秘钥为m1,客户端向服务端发送密钥更新请求,该密钥更新请求中包括客户端的客户端标识id1和客户端标识密文,客户端标识密文是使用初始秘钥m1对客户端标识id1进行加密得到的;服务端在接收到密钥更新请求后,根据密钥更新请求中包含的客户端标识id1查找到对应的待更新密钥,采用客户端对应的待更新密钥对客户端标识密文进行解密,得到客户端标识密文中的客户端标识。
服务端将客户端标识密文中的客户端标识和密钥更新请求中的客户端标识id1进行比对;若比对结果一致,则生成已更新密钥m2;采用待更新密钥m1对已更新密钥m2进行加密,得到已更新密钥密文,并发送至客户端。
客户端接收服务端发送的已更新密钥密文后,采用待更新密钥m1对已更新密钥密文进行解密,得到已更新密钥m2。
客户端生成客户端公钥P1和客户端私钥S1,向服务端发送客户端公钥密文和客户端标识id1,其中,客户端公钥密文是客户端采用已更新密钥m2对客户端公钥P1进行加密后得到的。服务端根据客户端标识查找到客户端对应的已更新密钥m2,采用已更新密钥m2对客户端公钥密文进行解密,得到客户端的客户端公钥P1,并生成与客户端标识对应的服务端公钥P2和服务端私钥S2。
客户端向服务端发送服务端公钥下载请求,服务端公钥下载请求中包括服务端公钥下载密文和客户端标识id1。其中,服务端公钥下载密文是客户端采用已更新密钥m2对客户端标识id1进行加密,并采用客户端私钥S1对客户端标识id1进行加密后得到的。
服务端接收客户端发送的服务端公钥下载请求后,根据服务端公钥下载请求中的客户端标识id1查找与客户端对应的已更新密钥m2和客户端公钥P1;分别采用客户端对应的已更新密钥m2和客户端公钥P1对服务端公钥下载密文进行解密,得到服务端公钥下载密文中的客户端标识;服务端公钥密文是采用已更新密钥对服务端公钥进行加密得到的;服务端可以将服务端公钥下载密文中的客户端标识与服务端公钥下载请求中的客户端标识进行比较,若比对结果一致,则向客户端发送服务端公钥密文。
客户端接收服务端发送的服务端公钥密文,并采用已更新密钥对服务端公钥密文进行解密,以得到服务端公钥。
在本申请实施例中,初始秘钥可以通过短信、邮件或线下等方式进行申请,本申请对此不做限定。
通过上述步骤完成对密钥的更新后,可以在报文传输过程中采用已更新密钥对报文数据进行加密,如图3所示,图3示出了一种报文加密方法的交互流程图,该方法可以包括如下步骤:
步骤S301,客户端采用已更新密钥对请求明文进行对称加密得到密文数据,并采用客户端私钥对请求明文进行非对称加密得到签名数据;
步骤S302,客户端将密文数据和签名数据发送至服务端;
在一种可选的实施方式中,客户端在向服务端发送密文数据和签名数据时,也可以向服务端发送客户端标识。
步骤S303,服务端接收到客户端发送的密文数据和签名数据后,根据客户端标识查找客户端对应的已更新密钥和客户端公钥;并采用已更新密钥对密文数据进行解密,采用客户端公钥对签名数据进行解密,得到请求明文;
在一种可选的实施方式中,服务端在接收到客户端发送的密文数据和签名数据后,可以先对该密文数据和签名数据进行关联,得到请求密文签名数据,并分别采用已更新密钥和客户端公钥对请求密文签名数据进行解密,当两种解密均通过后,才可得到请求明文;当两种解密中任一种未通过时,则响应失败。
步骤S304,服务端对请求明文进行业务处理,得到响应明文;
步骤S305,服务端采用已更新密钥对响应明文进行对称加密,并采用服务端私钥对响应明文进行非对称加密,得到响应密文签名数据;
步骤S306,服务端将响应密文签名数据发送至客户端;
在一种可选的实施方式中,服务端可以采用客户端对应的已更新密钥对响应明文进行加密,得到响应密文;并采用服务端私钥对响应明文进行加密,得到响应明文签名数据,并对响应密文和响应明文签名数据进行关联得到响应密文签名数据,并将该响应密文签名数据发送至客户端。
步骤S307,客户端接收到服务端发送的响应密文签名数据后,采用已更新密钥对响应密文签名数据进行解密,并采用服务端公钥进行解密,得到响应明文。
在一种可选的实施方式中,客户端在对响应密文签名数据进行解密时,只有两种解密均通过后,才可得到响应明文;当两种解密中任一种未通过时,则响应失败。
示例性地,在一种实施例中,客户端可以采用已更新对称秘钥m2对请求明文进行3des对称算法加密,得到密文数据;再采用客户端私钥S1对请求明文进行MD5withRSA非对称算法加密,得到签名数据。将密文数据和签名数据发送至服务端,服务端接收到密文数据和签名数据后,对密文数据和签名数据进行关联得到请求密文签名数据,分别采用与客户端对应的对称秘钥m2和客户端公钥P1对请求密文签名数据进行解密,两种解密均成功后,即可得到请求明文。
服务端对请求明文进行业务处理得到响应明文后,采用已更新对称秘钥m2对响应明文进行3des对称算法加密,得到响应密文;再采用服务端私钥S2对响应明文进行MD5withRSA非对称算法加密,得到响应明文签名数据,并对两者进行关联,得到响应密文签名数据,并发送至客户端。
客户端接收到响应密文签名数据后,分别用对称秘钥m2和服务端公钥P2对响应密文签名数据进行解密,两种解密均成功后,即可得到响应明文。
通过上述方法,服务端在定期接收到客户端发送的密钥更新请求后,可以为客户端生成已更新密钥,并采用与客户端对应的待更新密钥对生成的已更新密钥进行加密,得到已更新密钥密文,并发送至客户端。不仅可以定期对客户端的待更新密钥进行更新,还可以采用待更新密钥对已更新密钥进行加密,进一步提高密钥的安全性,降低密钥被窃取的机率。
基于相同的技术构思,本申请实施例还提供了一种密钥更新方法,应用于服务端,如图4所示,该方法可以包括以下步骤:
步骤S401,接收客户端发送的密钥更新请求;
密钥更新请求中包括客户端的客户端标识;密钥更新请求是客户端按照设定时间周期发送的;
步骤S402,根据客户端标识查找客户端对应的待更新密钥;
步骤S403,为客户端生成已更新密钥,并采用待更新密钥对已更新密钥进行加密,得到已更新密钥密文;
步骤S404,将已更新密钥密文发送至客户端;
以使客户端采用待更新密钥对已更新密钥密文进行解密,得到已更新密钥。
基于相同的技术构思,本申请实施例还提供了一种密钥更新方法,应用于客户端,如图5所示,该方法可以包括以下步骤:
步骤S501,向服务端发送密钥更新请求;
密钥更新请求中包括客户端的客户端标识;密钥更新请求是客户端按照设定时间周期发送的,用于请求对客户端的待更新密钥进行更新;
步骤S502,接收服务端返回的已更新密钥密文,并采用待更新密钥对已更新密钥密文进行解密,得到已更新密钥;
已更新密钥密文是服务端根据客户端标识查找客户端对应的待更新密钥,为客户端生成已更新密钥,并采用待更新密钥对已更新密钥进行加密得到的。
基于相同的技术构思,本申请实施例还提供了一种服务端设备,该服务端设备可实现前述实施例所执行的流程。
图6为本申请实施例提供的一种密钥更新装置的结构示意图。如图6所示,该密钥更新装置应用于服务端,该装置包括:第一接收单元601、查找单元602、生成单元603和第一发送单元604;
第一接收单元601,接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
查找单元602,根据所述客户端标识查找所述客户端对应的待更新密钥;
生成单元603,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
第一发送单元604,将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥。
在一种可选的实施例中,所述第一接收单元601,还可以用于:
在接收客户端发送的密钥更新请求之前,若接收到所述客户端发送的注册请求,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
在一种可选的实施例中,所述第一接收单元601,还可以用于:
接收所述客户端发送的客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端的客户端公钥进行加密得到的;
采用所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥。
在一种可选的实施例中,所述第一接收单元601,还可以用于:
生成与所述客户端标识对应的服务端公钥和服务端私钥;
接收所述客户端发送的服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
根据所述服务端公钥下载请求中的客户端标识查找所述客户端对应的已更新密钥和客户端公钥;
采用所述客户端对应的所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;
若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则向所述客户端发送服务端公钥密文;所述服务端公钥密文采用所述已更新密钥对所述服务端公钥进行加密得到的。
在一种可选的实施例中,密钥更新装置在查找单元602和生成单元603之间还包括对比单元701,如图7所示,所述对比单元701,具体用于:
在为所述客户端生成已更新密钥之前;
采用所述客户端对应的待更新密钥对所述客户端标识密文进行解密,得到所述客户端标识密文中的客户端标识;
将所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识进行比对;
若所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识一致,则执行所述为所述客户端生成已更新密钥的步骤。
基于相同的技术构思,本申请实施例还提供了一种客户端设备,该客户端设备可实现前述实施例所执行的流程。
图8为本申请实施例提供的一种密钥更新装置的结构示意图。如图8所示,该密钥更新装置应用于客户端,包括:第二发送单元801和第二接收单元802。
第二发送单元801,向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
第二接收单元802,接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的。
在一种可选的实施例中,所述第二发送单元801,还可以用于:
向所述服务端发送注册请求,以使所述服务端接收到所述注册请求后,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
在一种可选的实施例中,所述第二发送单元801,还可以用于:
生成客户端公钥和客户端私钥;
向所述服务端发送客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端公钥进行加密得到的;以使所述服务端采用与所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥,并生成与所述客户端标识对应的服务端公钥和服务端私钥。
在一种可选的实施例中,所述第二发送单元801,还可以用于:
向所述服务端发送服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
接收所述服务端发送的服务端公钥密文;所述服务端公钥密文是所述服务端根据所述服务端公钥下载请求中的客户端标识查找到所述客户端对应的已更新密钥和客户端公钥后;采用所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则采用所述已更新密钥对所述服务端公钥进行加密得到的。
在一种可选的实施例中,所述第二发送单元801,还可以用于:
向所述服务端发送请求密文签名数据;所述请求密文签名数据是采用已更新密钥对请求明文进行加密,并采用客户端私钥对所述请求明文进行加密后得到的;
接收所述服务端发送的响应密文签名数据,采用所述已更新密钥对所述响应密文签名数据进行解密,并采用所述服务端公钥进行解密,得到响应明文;所述响应密文签名数据是所述服务端分别采用所述已更新密钥和所述客户端公钥对所述请求密文签名数据进行解密,得到请求明文后,对所述请求明文进行业务处理,以得到所述响应明文,并分别采用所述已更新密钥和所述服务端私钥对所述响应明文进行加密后得到的。
基于相同的技术构思,本申请实施例还提供了一种服务端设备。该服务端设备可实现前述实施例中图9所执行的方法的流程。
图9示出了本申请实施例提供的该服务端设备的结构示意图,即示出了服务端设备的另一结构示意图。如图9所示,该服务端设备包括处理器901、存储器902和收发机903;
处理器901负责管理总线架构和通常的处理,存储器902可以存储处理器901在执行操作时所使用的数据。收发机903用于在处理器901的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器901代表的一个或多个处理器和存储器902代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器901负责管理总线架构和通常的处理,存储器902可以存储处理器901在执行操作时所使用的数据。
本申请实施例揭示的流程,可以应用于处理器901中,或者由处理器901实现。在实现过程中,信号处理流程的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。处理器901可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器902,处理器901读取存储器902中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器901,用于读取存储器902中的程序并执行:
接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
根据所述客户端标识查找所述客户端对应的待更新密钥;
为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥。
在一种可选的实施例中,所述密钥更新请求中还包括客户端标识密文,所述客户端标识密文是采用所述待更新密钥对所述客户端的客户端标识进行加密得到的;所述处理器901,还可以用于:
在为所述客户端生成已更新密钥之前,采用所述客户端对应的待更新密钥对所述客户端标识密文进行解密,得到所述客户端标识密文中的客户端标识;
将所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识进行比对;
若所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识一致,则执行所述为所述客户端生成已更新密钥的步骤。
在一种可选的实施例中,所述处理器901,还可以用于:
在接收客户端发送的密钥更新请求之前,若接收到所述客户端发送的注册请求,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
在一种可选的实施例中,所述处理器901,还可以用于:
在将所述已更新密钥密文发送至所述客户端后,接收所述客户端发送的客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端的客户端公钥进行加密得到的;
采用所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥。
在一种可选的实施例中,所述处理器901,还可以用于:
在生成与所述客户端标识对应的服务端公钥和服务端私钥之后,生成与所述客户端标识对应的服务端公钥和服务端私钥;
接收所述客户端发送的服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
根据所述服务端公钥下载请求中的客户端标识查找所述客户端对应的已更新密钥和客户端公钥;
采用所述客户端对应的所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;
若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则向所述客户端发送服务端公钥密文;所述服务端公钥密文采用所述已更新密钥对所述服务端公钥进行加密得到的。
在一种可选的实施例中,所述处理器901,还可以用于:
在向所述客户端发送服务端公钥密文之后,接收所述客户端发送的请求密文签名数据;所述请求密文签名数据是所述客户端采用已更新密钥对请求明文进行加密,并采用客户端私钥对所述请求明文进行加密后得到的;
根据所述客户端标识查找所述客户端对应的已更新密钥和客户端公钥;
采用所述已更新密钥对所述请求密文签名数据进行解密,并采用所述客户端公钥进行解密,得到所述请求明文;
对所述请求明文进行业务处理,得到响应明文;
采用所述已更新密钥对所述响应明文进行加密,并采用所述服务端私钥对所述响应明文进行加密,得到响应密文签名数据;
将所述响应密文签名数据发送至所述客户端。
基于相同的技术构思,本申请实施例还提供了一种客户端设备。该客户端设备可实现前述实施例中图10所执行的方法的流程。
图10示出了本申请实施例提供的该客户端设备的结构示意图,即示出了客户端设备的另一结构示意图。如图10所示,该客户端设备包括处理器1001、存储器1002和收发机1003;
处理器1001负责管理总线架构和通常的处理,存储器1002可以存储处理器1001在执行操作时所使用的数据。收发机1003用于在处理器1001的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器1001代表的一个或多个处理器和存储器1002代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器1001负责管理总线架构和通常的处理,存储器1002可以存储处理器1001在执行操作时所使用的数据。
本申请实施例揭示的流程,可以应用于处理器1001中,或者由处理器1001实现。在实现过程中,信号处理流程的各步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。处理器1001可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1002,处理器1001读取存储器1002中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器1001,用于读取存储器1002中的程序并执行:
向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的。
在一种可选的实施例中,所述处理器1001,还可以用于:
在向服务端发送密钥更新请求之前,向所述服务端发送注册请求,以使所述服务端接收到所述注册请求后,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
在一种可选的实施例中,所述处理器1001,还可以用于:
在得到所述已更新密钥之后,生成客户端公钥和客户端私钥;
向所述服务端发送客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端公钥进行加密得到的;以使所述服务端采用与所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥,并生成与所述客户端标识对应的服务端公钥和服务端私钥。
在一种可选的实施例中,所述处理器1001,还可以用于:
在向所述服务端发送客户端公钥密文和所述客户端标识之后,向所述服务端发送服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
接收所述服务端发送的服务端公钥密文;所述服务端公钥密文是所述服务端根据所述服务端公钥下载请求中的客户端标识查找到所述客户端对应的已更新密钥和客户端公钥后;采用所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则采用所述已更新密钥对所述服务端公钥进行加密得到的。
在一种可选的实施例中,所述处理器1001,还可以用于:
在接收所述服务端发送的服务端公钥密文之后,向所述服务端发送请求密文签名数据;所述请求密文签名数据是采用已更新密钥对请求明文进行加密,并采用客户端私钥对所述请求明文进行加密后得到的;
接收所述服务端发送的响应密文签名数据,采用所述已更新密钥对所述响应密文签名数据进行解密,并采用所述服务端公钥进行解密,得到响应明文;所述响应密文签名数据是所述服务端分别采用所述已更新密钥和所述客户端公钥对所述请求密文签名数据进行解密,得到请求明文后,对所述请求明文进行业务处理,以得到所述响应明文,并分别采用所述已更新密钥和所述服务端私钥对所述响应明文进行加密后得到的。
本申请实施例针对密钥更新方法还提供一种计算设备可读存储介质,即断电后内容不丢失。该存储介质中存储软件程序,包括程序代码,当程序代码在计算设备上运行时,该软件程序在被一个或多个处理器读取并执行时可实现本申请实施例上面任何一种密钥更新方法的方案。
在一些可能的实施方式中,本申请提供的密钥更新方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的密钥更新方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (15)
1.一种密钥更新方法,其特征在于,应用于服务端,所述方法包括:
接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
根据所述客户端标识查找所述客户端对应的待更新密钥;
为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;
接收所述客户端发送的请求密文签名数据和客户端标识,所述请求密文签名数据是所述客户端采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;
根据所述客户端标识查找客户端对应的已更新密钥和客户端公钥;
采用所述已更新密钥和客户端公钥对所述请求密文签名数据进行解密,当两种解密均通过后,得到所述请求明文;
对所述请求明文进行业务处理,得到响应明文;
采用所述客户端的已更新密钥对所述响应明文进行对称加密,得到响应密文;并采用服务端私钥对所述响应明文进行非对称加密,得到响应明文签名数据;
对所述响应密文和所述响应明文签名数据进行关联,得到响应密文签名数据;
将所述响应密文签名数据发送至所述客户端,以使所述客户端采用所述已更新密钥和服务端公钥对所述响应密文签名数据进行解密,并在两种解密均通过后,得到所述响应明文。
2.根据权利要求1所述的方法,其特征在于,所述密钥更新请求中还包括客户端标识密文,所述客户端标识密文是采用所述待更新密钥对所述客户端的客户端标识进行加密得到的;所述为所述客户端生成已更新密钥之前,所述方法还包括:
采用所述客户端对应的待更新密钥对所述客户端标识密文进行解密,得到所述客户端标识密文中的客户端标识;
将所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识进行比对;
若所述客户端标识密文中的客户端标识与所述密钥更新请求中的客户端标识一致,则执行所述为所述客户端生成已更新密钥的步骤。
3.根据权利要求2所述的方法,其特征在于,所述接收客户端发送的密钥更新请求之前,所述方法还包括:
若接收到所述客户端发送的注册请求,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
4.根据权利要求1所述的方法,其特征在于,所述将所述已更新密钥密文发送至所述客户端后,所述方法还包括:
接收所述客户端发送的客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端的客户端公钥进行加密得到的;
采用所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
生成与所述客户端标识对应的服务端公钥和服务端私钥;
接收所述客户端发送的服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
根据所述服务端公钥下载请求中的客户端标识查找所述客户端对应的已更新密钥和客户端公钥;
采用所述客户端对应的所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;
若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则向所述客户端发送服务端公钥密文;所述服务端公钥密文采用所述已更新密钥对所述服务端公钥进行加密得到的。
6.一种密钥更新方法,其特征在于,应用于客户端,所述方法包括:
向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的;
向所述服务端发送请求密文签名数据和客户端标识;所述请求密文签名数据是采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;
接收所述服务端发送的响应密文签名数据,采用所述已更新密钥对所述响应密文签名数据进行解密,并采用所述服务端公钥进行解密,得到响应明文;所述响应密文签名数据是所述服务端根据所述客户端标识查找客户端对应的已更新密钥和客户端公钥,分别采用所述已更新密钥和所述客户端公钥对所述请求密文签名数据进行解密,得到请求明文后,对所述请求明文进行业务处理,以得到所述响应明文,采用所述客户端的已更新密钥对所述响应明文进行对称加密,得到响应密文,并采用服务端私钥对所述响应明文进行非对称加密,得到响应明文签名数据,对所述响应密文和所述响应明文签名数据进行关联得到的;
采用所述已更新密钥对所述响应密文签名数据进行解密,并采用服务端公钥对所述响应密文签名数据进行解密,在两种解密均通过后,得到所述响应明文。
7.根据权利要求6所述的方法,其特征在于,所述向服务端发送密钥更新请求之前,所述方法还包括:
向所述服务端发送注册请求,以使所述服务端接收到所述注册请求后,向所述客户端发送所述客户端标识和初始密钥;所述初始密钥为所述客户端首次发送密钥更新请求时的待更新密钥。
8.根据权利要求6所述的方法,其特征在于,所述得到所述已更新密钥之后,所述方法还包括:
生成客户端公钥和客户端私钥;
向所述服务端发送客户端公钥密文和所述客户端标识,所述客户端公钥密文是采用所述已更新密钥对所述客户端公钥进行加密得到的;以使所述服务端采用与所述客户端对应的已更新密钥对所述客户端公钥密文进行解密,得到所述客户端的客户端公钥,并生成与所述客户端标识对应的服务端公钥和服务端私钥。
9.根据权利要求8所述的方法,其特征在于,所述向所述服务端发送客户端公钥密文和所述客户端标识之后,所述方法还包括:
向所述服务端发送服务端公钥下载请求;所述服务端公钥下载请求中包括服务端公钥下载密文和所述客户端标识,所述服务端公钥下载密文是所述客户端采用所述已更新密钥和客户端私钥分别对所述客户端标识进行加密得到的;
接收所述服务端发送的服务端公钥密文;所述服务端公钥密文是所述服务端根据所述服务端公钥下载请求中的客户端标识查找到所述客户端对应的已更新密钥和客户端公钥后;采用所述已更新密钥和所述客户端公钥分别对所述服务端公钥下载密文进行解密,得到所述服务端公钥下载密文中的客户端标识;若所述服务端公钥下载密文中的客户端标识与所述服务端公钥下载请求中一致,则采用所述已更新密钥对所述服务端公钥进行加密得到的。
10.一种密钥更新装置,其特征在于,应用于服务端,所述装置包括:
第一接收单元,用于接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
查找单元,用于根据所述客户端标识查找所述客户端对应的待更新密钥;
生成单元,用于为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
第一发送单元,用于将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;
所述第一接收单元,还用于接收所述客户端发送的请求密文签名数据和客户端标识,所述请求密文签名数据是所述客户端采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;根据所述客户端标识查找客户端对应的已更新密钥和客户端公钥;采用所述已更新密钥和客户端公钥对所述请求密文签名数据进行解密,当两种解密均通过后,得到所述请求明文;对所述请求明文进行业务处理,得到响应明文;采用所述客户端的已更新密钥对所述响应明文进行对称加密,得到响应密文;并采用服务端私钥对所述响应明文进行非对称加密,得到响应明文签名数据;对所述响应密文和所述响应明文签名数据进行关联,得到响应密文签名数据;
所述第一发送单元,还用于将所述响应密文签名数据发送至所述客户端,以使所述客户端采用所述已更新密钥和服务端公钥对所述响应密文签名数据进行解密,并在两种解密均通过后,得到所述响应明文。
11.一种服务端设备,其特征在于,包括:存储器、收发机以及处理器;
所述存储器,用于存储计算机指令;
所述收发机,用于在所述处理器的控制下收发数据;
所述处理器,用于读取所述存储器中的计算机程序并执行如下步骤:
接收客户端发送的密钥更新请求;所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的;
根据所述客户端标识查找所述客户端对应的待更新密钥;
为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密,得到已更新密钥密文;
将所述已更新密钥密文发送至所述客户端,以使所述客户端采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;
接收所述客户端发送的请求密文签名数据和客户端标识,所述请求密文签名数据是所述客户端采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;
根据所述客户端标识查找客户端对应的已更新密钥和客户端公钥;
采用所述已更新密钥和客户端公钥对所述请求密文签名数据进行解密,当两种解密均通过后,得到所述请求明文;
对所述请求明文进行业务处理,得到响应明文;
采用所述客户端的已更新密钥对所述响应明文进行对称加密,得到响应密文;并采用服务端私钥对所述响应明文进行非对称加密,得到响应明文签名数据;
对所述响应密文和所述响应明文签名数据进行关联,得到响应密文签名数据;
将所述响应密文签名数据发送至所述客户端,以使所述客户端采用所述已更新密钥和服务端公钥对所述响应密文签名数据进行解密,并在两种解密均通过后,得到所述响应明文。
12.一种密钥更新装置,其特征在于,应用于客户端,所述装置包括:
第二发送单元,用于向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
第二接收单元,用于接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的;
所述第二发送单元,还用于向所述服务端发送请求密文签名数据和客户端标识;所述请求密文签名数据是采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;
所述第二接收单元,还用于接收所述服务端发送的响应密文签名数据,采用所述已更新密钥对所述响应密文签名数据进行解密,并采用所述服务端公钥进行解密,得到响应明文;所述响应密文签名数据是所述服务端根据所述客户端标识查找客户端对应的已更新密钥和客户端公钥,分别采用所述已更新密钥和所述客户端公钥对所述请求密文签名数据进行解密,得到请求明文后,对所述请求明文进行业务处理,以得到所述响应明文,采用所述客户端的已更新密钥对所述响应明文进行对称加密,得到响应密文,并采用服务端私钥对所述响应明文进行非对称加密,得到响应明文签名数据,对所述响应密文和所述响应明文签名数据进行关联得到的;采用所述已更新密钥对所述响应密文签名数据进行解密,并采用服务端公钥对所述响应密文签名数据进行解密,在两种解密均通过后,得到所述响应明文。
13.一种客户端设备,其特征在于,包括:存储器、收发机以及处理器;
所述存储器,用于存储计算机指令;
所述收发机,用于在所述处理器的控制下收发数据;
所述处理器,用于读取所述存储器中的计算机程序并执行如下步骤:
向服务端发送密钥更新请求,所述密钥更新请求中包括所述客户端的客户端标识;所述密钥更新请求是所述客户端按照设定时间周期发送的,用于请求对所述客户端的待更新密钥进行更新;
接收所述服务端返回的已更新密钥密文,并采用所述待更新密钥对所述已更新密钥密文进行解密,得到所述已更新密钥;所述已更新密钥密文是所述服务端根据所述客户端标识查找所述客户端对应的待更新密钥,为所述客户端生成已更新密钥,并采用所述待更新密钥对所述已更新密钥进行加密得到的;
向所述服务端发送请求密文签名数据和客户端标识;所述请求密文签名数据是采用已更新密钥对请求明文进行对称加密,并采用客户端私钥对所述请求明文进行非对称加密后得到的;
接收所述服务端发送的响应密文签名数据,采用所述已更新密钥对所述响应密文签名数据进行解密,并采用所述服务端公钥进行解密,得到响应明文;所述响应密文签名数据是所述服务端根据所述客户端标识查找客户端对应的已更新密钥和客户端公钥,分别采用所述已更新密钥和所述客户端公钥对所述请求密文签名数据进行解密,得到请求明文后,对所述请求明文进行业务处理,以得到所述响应明文,采用所述客户端的已更新密钥对所述响应明文进行对称加密,得到响应密文,并采用服务端私钥对所述响应明文进行非对称加密,得到响应明文签名数据,对所述响应密文和所述响应明文签名数据进行关联得到的;
采用所述已更新密钥对所述响应密文签名数据进行解密,并采用服务端公钥对所述响应密文签名数据进行解密,在两种解密均通过后,得到所述响应明文。
14.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被处理器执行时实现如权利要求1至9中任一项所述的方法。
15.一种计算机程序产品,其特征在于,包含有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1至9中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111388891.9A CN114095165B (zh) | 2021-11-22 | 2021-11-22 | 密钥更新方法、服务端设备、客户端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111388891.9A CN114095165B (zh) | 2021-11-22 | 2021-11-22 | 密钥更新方法、服务端设备、客户端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114095165A CN114095165A (zh) | 2022-02-25 |
| CN114095165B true CN114095165B (zh) | 2024-04-26 |
Family
ID=80302870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111388891.9A Active CN114095165B (zh) | 2021-11-22 | 2021-11-22 | 密钥更新方法、服务端设备、客户端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095165B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114679724A (zh) * | 2022-05-12 | 2022-06-28 | 支付宝实验室(新加坡)有限公司 | 密钥更新系统以及方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036880A (zh) * | 2012-12-12 | 2013-04-10 | 华为技术有限公司 | 网络信息传输方法、设备及系统 |
| CN106571915A (zh) * | 2016-11-15 | 2017-04-19 | 中国银联股份有限公司 | 一种终端主密钥的设置方法和装置 |
| CN110166242A (zh) * | 2019-05-22 | 2019-08-23 | 吉林亿联银行股份有限公司 | 报文传输方法及装置 |
| CN110535641A (zh) * | 2019-08-27 | 2019-12-03 | 中国神华能源股份有限公司神朔铁路分公司 | 密钥管理方法和装置、计算机设备和存储介质 |
| CN111147247A (zh) * | 2020-03-09 | 2020-05-12 | 广东电网有限责任公司电力调度控制中心 | 密钥更新方法、装置、计算机设备和存储介质 |
| CN111565107A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 基于云服务平台的密钥处理方法、装置和计算机设备 |
| WO2020181845A1 (zh) * | 2019-03-14 | 2020-09-17 | 深圳壹账通智能科技有限公司 | 区块链数据加密方法、装置、计算机设备及存储介质 |
| CN112653705A (zh) * | 2020-12-29 | 2021-04-13 | 中国农业银行股份有限公司 | 一种数据加密传输方法、装置及设备 |
| CN112671733A (zh) * | 2020-12-16 | 2021-04-16 | 平安科技(深圳)有限公司 | 数据通信方法、密钥管理系统、设备及存储介质 |
| CN112966287A (zh) * | 2021-03-30 | 2021-06-15 | 建信金融科技有限责任公司 | 获取用户数据的方法、系统、设备和计算机可读介质 |
| CN113572604A (zh) * | 2021-07-22 | 2021-10-29 | 航天信息股份有限公司 | 一种发送密钥的方法、装置、系统及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109462472A (zh) * | 2017-09-06 | 2019-03-12 | 阿里巴巴集团控股有限公司 | 数据加密和解密的方法、装置和系统 |
-
2021
- 2021-11-22 CN CN202111388891.9A patent/CN114095165B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036880A (zh) * | 2012-12-12 | 2013-04-10 | 华为技术有限公司 | 网络信息传输方法、设备及系统 |
| CN106571915A (zh) * | 2016-11-15 | 2017-04-19 | 中国银联股份有限公司 | 一种终端主密钥的设置方法和装置 |
| WO2020181845A1 (zh) * | 2019-03-14 | 2020-09-17 | 深圳壹账通智能科技有限公司 | 区块链数据加密方法、装置、计算机设备及存储介质 |
| CN110166242A (zh) * | 2019-05-22 | 2019-08-23 | 吉林亿联银行股份有限公司 | 报文传输方法及装置 |
| CN110535641A (zh) * | 2019-08-27 | 2019-12-03 | 中国神华能源股份有限公司神朔铁路分公司 | 密钥管理方法和装置、计算机设备和存储介质 |
| CN111147247A (zh) * | 2020-03-09 | 2020-05-12 | 广东电网有限责任公司电力调度控制中心 | 密钥更新方法、装置、计算机设备和存储介质 |
| CN111565107A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 基于云服务平台的密钥处理方法、装置和计算机设备 |
| CN112671733A (zh) * | 2020-12-16 | 2021-04-16 | 平安科技(深圳)有限公司 | 数据通信方法、密钥管理系统、设备及存储介质 |
| CN112653705A (zh) * | 2020-12-29 | 2021-04-13 | 中国农业银行股份有限公司 | 一种数据加密传输方法、装置及设备 |
| CN112966287A (zh) * | 2021-03-30 | 2021-06-15 | 建信金融科技有限责任公司 | 获取用户数据的方法、系统、设备和计算机可读介质 |
| CN113572604A (zh) * | 2021-07-22 | 2021-10-29 | 航天信息股份有限公司 | 一种发送密钥的方法、装置、系统及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114095165A (zh) | 2022-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768633B (zh) | 实现区块链中信息共享的方法及装置 | |
| US11676133B2 (en) | Method and system for mobile cryptocurrency wallet connectivity | |
| US20230014599A1 (en) | Data processing method and apparatus for blockchain system | |
| CN114024710A (zh) | 一种数据传输方法、装置、系统及设备 | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| CN109660534B (zh) | 基于多商户的安全认证方法、装置、电子设备及存储介质 | |
| CN107040520B (zh) | 一种云计算数据共享系统及方法 | |
| CN108923925B (zh) | 应用于区块链的数据存储方法和装置 | |
| US11616643B2 (en) | System and method of management of a shared cryptographic account | |
| CN112966287B (zh) | 获取用户数据的方法、系统、设备和计算机可读介质 | |
| CN113015991A (zh) | 安全的数字钱包处理系统 | |
| CN110737905B (zh) | 数据授权方法、数据授权装置及计算机存储介质 | |
| CN114095165B (zh) | 密钥更新方法、服务端设备、客户端设备及存储介质 | |
| CN109698839B (zh) | 一种基于非对称算法的脱敏数据比对方法及装置 | |
| CN108848094B (zh) | 数据安全验证方法、装置、系统、计算机设备及存储介质 | |
| CN114640524B (zh) | 用于处理交易重放攻击的方法、装置、设备及介质 | |
| CN114584378B (zh) | 数据处理方法、装置、电子设备和介质 | |
| CN114357472B (zh) | 数据的打标签方法、系统、电子设备和可读存储介质 | |
| CN115599959A (zh) | 数据共享方法、装置、设备及存储介质 | |
| CN115001828A (zh) | 交易数据的安全访问方法、系统、电子设备及介质 | |
| CN114095254B (zh) | 报文加密方法、服务端设备、客户端设备及存储介质 | |
| CN113868713A (zh) | 一种数据验证方法、装置、电子设备及存储介质 | |
| CN110166226B (zh) | 一种生成秘钥的方法和装置 | |
| JP2021148850A (ja) | 情報処理システム、情報処理方法、情報処理プログラム、秘密計算システム、秘密計算方法、及び、秘密計算プログラム | |
| CN112565156A (zh) | 信息注册方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |