CN114244522B - 信息保护方法、装置、电子设备及计算机可读存储介质 - Google Patents
信息保护方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114244522B CN114244522B CN202111496275.5A CN202111496275A CN114244522B CN 114244522 B CN114244522 B CN 114244522B CN 202111496275 A CN202111496275 A CN 202111496275A CN 114244522 B CN114244522 B CN 114244522B
- Authority
- CN
- China
- Prior art keywords
- salt
- sensitive information
- ciphertext data
- information
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 150000003839 salts Chemical class 0.000 claims abstract description 225
- 238000012795 verification Methods 0.000 claims description 42
- 238000012360 testing method Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012512 characterization method Methods 0.000 claims description 6
- 238000009938 salting Methods 0.000 abstract description 2
- 230000035515 penetration Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000003993 interaction Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种信息保护方法、装置、电子设备及计算机可读存储介质,属于网络安全技术领域。该方法包括:对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息;利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据,将携带有所述密文数据的访问请求发送给服务器,以使所述服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。本申请采用了密码加盐和非对称加密双保险,来提升敏感信息的安全性,使得攻击者既无法破解加密信息获取敏感信息,也无法滥用已生成的密文数据。
Description
技术领域
本申请属于网络安全技术领域,具体涉及一种信息保护方法、装置、电子设备及计算机可读存储介质。
背景技术
随着Web(网页)技术的不断发展,越来越多的企业将业务以Web应用的形式放在了互联网上。这在给企业带来便利的同时,也将业务暴露给更多的攻击者,因此Web应用安全日渐重要起来。而敏感信息(如登录密码)的保护是Web应用安全的重要方向之一。
现阶段,对于敏感信息的保护已经存在比较多的成熟方案,例如,有SHA(SecureHash Algorithm,安全散列算法)保护,AES(AdvancedEncryption Standard,高级加密标准)算法保护等。但是随着渗透攻击技术的发展以及渗透测试工具(如Burp Suite)的不断强大,这些方案又出现了新的风险与漏洞。以Burp Suite渗透测试工具为例,若在浏览器中安装一个Burp Suite的CA(Certificate Authority)证书,并在Burp Suite应用中设置浏览器代理,那么无论是HTTP(Hyper Text Transfer Protocol,超文本传输协议)协议还是HTTPS(HTTP的安全版,即支持SSL(Secure Socket Layer,安全套接层协议)的HTTP)协议,客户端与服务器交互的每一步都可以被攻击者拦截、查看、修改、转发。攻击者不但能够截取用户加密后的敏感信息,还能通过源码分析等手段获取到加密规则和加密秘钥,进而获取到被保护的敏感信息。
目前Web应用中敏感信息的保护,并没有考虑过Burp Suite等渗透测试工具对其造成的冲击,而在渗透测试工具下,HTTP或HTTPS的请求包与响应包,以及Web应用中客户端代码都是可获取的,在这种情况下,现有的很多敏感信息保护方案的安全性就大打折扣,这也正是本发明需要解决的问题。
发明内容
鉴于此,本申请的目的在于提供一种信息保护方法、装置、电子设备及计算机可读存储介质,以改善因渗透测试工具的出现使现有敏感信息保护方案的安全性降低的问题。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供了一种信息保护方法,应用于客户终端,所述方法包括:对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息;利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据,将携带有所述密文数据的访问请求发送给服务器,以使所述服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。本申请实施中,采用了密码加盐和非对称加密双保险,来提升敏感信息的安全性。由于采用了非对称加密算法,并且很好的保护了私钥,提升了敏感信息的安全性,因此可以在渗透测试的过程中,避免产生敏感信息泄露相关的漏洞,系统的安全性也得到了提升。由于引入了敏感信息密文快速失效的机制,避免了加密的敏感信息长期有效带来的风险,比如利用固定的密文获取用户权限等。
结合第一方面实施例的一种可能的实施方式,所述盐包括时间戳、动态码、设备码、短信验证码中的至少一种。本申请实施例中,盐的方式可以有多种,使得该方案的适用性和实用性较强。
第二方面,本申请实施例还提供了一种信息保护方法,应用于服务器,所述方法包括:获取客户终端发送的密文数据,其中,所述密文数据为所述客户终端利用非对称加密公钥对带盐的敏感信息加密得到;利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息;利用预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息;对分离出的盐和敏感信息进行有效性校验,得到校验结果。本申请实施例中,由于采用了非对称加密算法,并且很好的保护了私钥,提升了敏感信息的安全性,因此可以在渗透测试的过程中,避免产生敏感信息泄露相关的漏洞,系统的安全性也得到了提升。由于引入了敏感信息密文快速失效的机制,避免了加密的敏感信息长期有效带来的风险,比如利用固定的密文获取用户权限等。
结合第二方面实施例的一种可能的实施方式,所述盐包括时间戳、动态码、设备码、短信验证码中的至少一种。
结合第二方面实施例的一种可能的实施方式,对分离出的盐和敏感信息进行有效性校验,得到检验结果,包括:对所述盐进行有效性校验;在确定所述盐有效时,再对所述敏感信息有效性校验,其中,在所述盐有效,且所述敏感信息有效时,得到表征校验通过的校验结果,反之得到表征校验失败的校验结果。本申请实施例中,通过先校验盐的有效性,在确定盐有效时,再校验敏感信息,相比于先校验敏感信息,在敏感信息有效时,再去校验盐的有效性,可以提高校验的效率。
第三方面,本申请实施例还提供了一种信息保护方法,包括:客户终端对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息,并利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据;服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
第四方面,本申请实施例还提供了一种信息保护装置,包括:加盐模块、加密模块以及发送模块;加盐模块,用于对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息;加密模块,用于利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据;发送模块,用于将携带有所述密文数据的访问请求发送给服务器,以使所述服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
第五方面,本申请实施例还提供了一种信息保护装置,包括:获取模块、解密模块以及校验模块;获取模块,用于获取客户终端发送的密文数据,其中,所述密文数据为所述客户终端利用非对称加密公钥对带盐的敏感信息加密得到;解密模块,用于利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息;校验模块,用于利用预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行有效性校验,得到校验结果。
第六方面,本申请实施例还提供了一种电子设备,包括:存储器和处理器,所述处理器与所述存储器连接;所述存储器,用于存储程序;所述处理器,用于调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法,或者,执行上述第二方面实施例和/或结合第二方面实施例的任一种可能的实施方式提供的方法。
第七方面,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器运行时,执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法,或者,执行上述第二方面实施例和/或结合第二方面实施例的任一种可能的实施方式提供的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种信息保护方法的流程示意图。
图2示出了本申请实施例提供的一种客户终端和服务器交互的流程示意图。
图3示出了本申请实施例提供的又一种客户终端和服务器交互的流程示意图。
图4示出了本申请实施例提供的一种信息保护装置的模块示意图。
图5示出了本申请实施例提供的又一种信息保护装置的模块示意图。
图6示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
鉴于在渗透测试工具(Burp Suite)下,HTTP或HTTPS的请求包与响应包,以及Web应用中客户端代码都是可获取的,从而导致现有敏感信息保护方案的安全性降低的问题。本申请实施例提供了一种信息保护方法,使得攻击者即便通过渗透测试工具可以获取到敏感信息(如密码)的密文、加密算法,加密秘钥等,也依然无法通过上述信息破解加密信息拿到敏感信息。
本申请实施例中的信息保护方法并不限于Web应用场景,凡事涉及敏感信息的场景都可以,如密码登录、权限申请或访问等均可。本申请实施例提供的信息保护方法可以应用于客户终端(安装有客户端的终端),也可以应用于服务器,下面将结合图1,以客户终端和服务器交互的方式,对本申请实施例提供的信息保护方法进行说明。
S1:客户终端对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息。
客户终端对于敏感信息按照预设加盐规则加盐,得到带盐的敏感信息。由于敏感信息的密文是可通过渗透测试工具获取的,因此,本申请通过对敏感信息加盐,使得敏感信息的密文具有一定的失效机制,防止加密后的敏感信息可以被重复利用,以增强系统安全性。加盐是指在密码任意固定位置插入特定的字符串,而插入的特定字符串称为盐(salt)。
其中,预设加盐规则为事先根据需要设置,可以由客户终端和服务器事先进行约定,而且可以定期或不定期更换。预设加盐规则中可以约定插入盐的位置、盐的形式等内容。盐的形式可以有多种,例如,盐可以包括时间戳、动态码、设备码(在线设备的设备码或已注册设备的设备码)、短信验证码中的至少一种。
需要说明的是,在加盐时可以是仅添加时间戳、动态码、设备码、短信验证码中的一种,也可以是同时添加几种,例如同时,添加时间戳和动态码。此外,在对敏感信息加盐时,可以是在一个固定位置插入盐,也可以是同时在多个固定位置插入盐,也可以是将插入的盐拆分之后插入敏感信息的不同位置等,以进一步增强安全性。这些插入的规则都可以对预设加盐规则进行设定而体现出来。
S2:客户终端利用非对称加密公钥对带盐的敏感信息加密,得到密文数据,将携带有所述密文数据的访问请求发送给服务器。
在得到带盐的敏感信息后,客户终端利用非对称加密公钥对带盐的敏感信息加密,得到密文数据,之后将携带有密文数据的访问请求(可以是HTTP或HTTPS的访问请求)发送给服务器。
由于攻击者可以利用渗透测试工具,不但能够截取用户加密后的敏感信息,还能通过源码分析等手段获取到加密规则和加密秘钥。在渗透测试工具下,加密秘钥无论是存储于客户端代码中,还是从服务器动态获取,对于攻击者,均是可获取对象。
因此,本申请实施例采用非对称加密算法来对数据加密,使得解密秘钥与加密秘钥无关,而将解密秘钥存储于服务器,利用其它安全防护手段,比如边界防护,主机防护等阻断攻击,保证敏感信息的安全性。由于非对称加密算法在加密和解密时所使用的秘钥并不相同,使得攻击者即便是获取到加密秘钥也无法对加密数据进行解密。其中,非对称加密算法是指在信息加密和解密时,使用的是两个不同秘钥的加密算法。加密使用的秘钥称之为公钥,解密使用的秘钥称之为私钥。
S3:服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息。
服务器接收到客户终端发送的访问请求后,获取该访问请求中携带的密文数据,其中,该密文数据为客户终端利用非对称加密公钥对带盐的敏感信息加密得到。之后,服务器利用与非对称加密公钥对应的私钥对密文数据解密,得到带盐的敏感信息。
由于解密的私钥由服务器保管,由于现有的服务器通常都部署有安全防护产品,比如边界安全防护产品,主机安全防护产品等,让攻击者无法获取用于解密的私钥,以保障敏感信息的安全。
S4:服务器利用预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息。
服务器获取到带盐的敏感信息后,服务器利用预设加盐规则从带盐的敏感信息中分离出盐和敏感信息。其中,预设加盐规则可以由客户终端和服务器事先进行约定,而且可以定期或不定期更换。
S5:服务器对分离出的盐和敏感信息进行有效性校验,得到校验结果。
在分离出盐和敏感信息后,服务器对分离出的盐和敏感信息进行有效性校验,得到校验结果。
其中,服务器在对分离出的盐和敏感信息进行有效性校验时,一种可选实施方式下,可以是先对盐进行有效性校验,在确定盐有效时,再对敏感信息有效性校验,其中,在盐有效,且敏感信息有效时,得到表征校验通过的校验结果,反之得到表征校验失败的校验结果。相比于先校验敏感信息,在敏感信息有效时,再去校验盐的有效性,可以提高验证效率。
其中,盐的形式多种可以是,可以是时间戳、动态码、设备码、短信验证码中的至少一种。例如,当盐为时间戳时,对分离出的盐进行有效性校验可以是:判断时间戳与当前时间的间隔是否小于预设阈值,在间隔小于预设阈值时,确定盐有效。
若盐为动态码时,客户终端向服务器发送动态码获取请求,以获取动态码,服务器在对其进行验证时,判断该验证码是否与响应客户终端动态码获取请求时下发的动态码一致,若一致则为认为有效。其中,动态码由服务器生成与维护,在指定的时间或触发验证后失效。
若盐为设备码时,服务器在对其进行验证时,判断该设备码是否为已注册设备码或在线设备的设备,在为是时,认为有效,反之无效。
若盐为短信验证码时,服务器在对其进行验证时,可以是通过第三方短信验证平台来判断该短信验证码是否有效,若第三方短信验证平台验证通过,则认为该短信验证码有效,反之认为无效。
本申请实施例提供的信息保护方法,采用了密码加盐和非对称加密双保险,来提升敏感信息的安全性。由于采用了非对称加密算法,并且很好的保护了私钥,提升了敏感信息的安全性,因此可以在渗透测试的过程中,避免产生敏感信息泄露相关的漏洞,系统的安全性也得到了提升。由于引入了敏感信息密文快速失效的机制,避免了加密的敏感信息长期有效带来的风险,比如利用固定的密文获取用户权限等。
为了更好的理解,上述的信息保护方法的原理,下面结合图2所述的原理图进行说明。客户终端对于敏感信息的处理包括对敏感信息加盐,获取带盐的敏感信息;利用非对称加密公钥对带盐的敏感信息加密,获取敏感信息的密文。对于服务器,在获取到敏感信息密文数据后,对其处理也包括利用非对称加密算法的私钥对敏感信息密文数据解密,获取带盐的敏感信息;根据约定好的加盐手段,从带盐的敏感信息里分离出盐和敏感信息,并对盐进行校验,判断是否满足预定的规则。如果满足,则敏感信息有效,可以继续后续操作,如果不满足,则敏感信息无效,直接结束。
其中,安全防护产品保护的是右侧服务器区域,左侧客户终端区域的信息以及HTTP/HTTPS的请求包内的信息均可以通过Burp Suite等渗透测试工具分析获取到。
下面以本申请实施例提供的信息保护方法应用于Web应用的登录场景进行说明,其示意图如图3所示。在客户终端将服务器时间戳作为盐,处理明文密码,并通过公钥加密得到密文密码,向服务器发送密文密码。服务器根据私钥解密密文,并分离出时间戳,校验时间戳是否在有效时间范围内,如果不在,则登录失败;如果在,再校验明文密码是否正确,如果明文密码正确,则登录成功,否则登录也是失败。
基于同样的发明构思,本申请实施例还提供了一种信息保护装置100,如图4所示。该信息保护装置100包括加盐模块110、加密模块120、发送模块130。
加盐模块110,用于对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息。
加密模块120,用于利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据。
发送模块130,用于将携带有所述密文数据的访问请求发送给服务器,以使所述服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
本申请实施例所提供的信息保护装置100,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
基于同样的发明构思,本申请实施例还提供了一种信息保护装置200,如图5所示。该信息保护装置200包括:获取模块210、解密模块220、校验模块230。
获取模块210,用于获取客户终端发送的密文数据,其中,所述密文数据为所述客户终端利用非对称加密公钥对带盐的敏感信息加密得到;解密模块220,用于利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息;校验模块230,用于利用预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行有效性校验,得到校验结果。
可选地,校验模块230用于对所述盐进行有效性校验;在确定所述盐有效时,再对所述敏感信息有效性校验,其中,在所述盐有效,且所述敏感信息有效时,得到表征校验通过的校验结果,反之得到表征校验失败的校验结果。
可选地,校验模块230用于判断所述时间戳与当前时间的间隔是否小于预设阈值;在所述间隔小于所述预设阈值时,确定所述盐有效。
本申请实施例所提供的信息保护装置200,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
如图6所示,图6示出了本申请实施例提供的一种电子设备300的结构框图。所述电子设备300包括:收发器310、存储器320、通讯总线330以及处理器340。
所述收发器310、所述存储器320、处理器340各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线330或信号线实现电性连接。其中,收发器310用于收发数据。存储器320用于存储计算机程序,如存储有图4或图5中所示的软件功能模块,即图4的信息保护装置100或图5的信息保护装置200。其中,信息保护装置100或信息保护装置200包括至少一个可以软件或固件(Firmware)的形式存储于所述存储器320中或固化在所述电子设备300的操作系统(OperatingSystem,OS)中的软件功能模块。所述处理器340,用于执行存储器320中存储的可执行模块。
处理器340在执行信息保护装置100包括的软件功能模块或计算机程序时,处理器340,用于,对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息;利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据,将携带有所述密文数据的访问请求发送给服务器,以使所述服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
处理器340在执行信息保护装置200包括的软件功能模块或计算机程序时,处理器340,用于,对客户终端对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息,并利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据;服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
其中,存储器320可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器340可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器340也可以是任何常规的处理器等。
其中,上述的电子设备300,包括但不限于上述的客户终端或服务器。其中,客户终端可以是手机、平板、电脑等终端。
本申请实施例还提供了一种非易失性的计算机可读取存储介质(以下简称存储介质),该存储介质上存储有计算机程序,该计算机程序被计算机如上述的电子设备300运行时,执行上述所示的信息保护方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个计算机可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者电子设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种信息保护方法,其特征在于,应用于客户终端,所述方法包括:
对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息,其中,所述预设加盐规则约定插入盐的位置、盐的形式,所述盐的形式是时间戳、动态码、设备码、短信验证码中的至少一种,将盐拆分之后插入敏感信息的不同位置;
利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据,将携带有所述密文数据的访问请求发送给服务器,以使所述服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
2.一种信息保护方法,其特征在于,应用于服务器,所述方法包括:
获取客户终端发送的密文数据,其中,所述密文数据为所述客户终端利用非对称加密公钥对带盐的敏感信息加密得到;
利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息;
利用预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,其中,所述预设加盐规则约定插入盐的位置、盐的形式,所述盐的形式是时间戳、动态码、设备码、短信验证码中的至少一种,将盐拆分之后插入敏感信息的不同位置;
对分离出的盐和敏感信息进行有效性校验,得到校验结果。
3.根据权利要求2所述的方法,其特征在于,对分离出的盐和敏感信息进行有效性校验,得到检验结果,包括:
对所述盐进行有效性校验;
在确定所述盐有效时,再对所述敏感信息有效性校验,
其中,在所述盐有效,且所述敏感信息有效时,得到表征校验通过的校验结果,反之得到表征校验失败的校验结果。
4.一种信息保护方法,其特征在于,包括:
客户终端对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息,并利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据,其中,所述预设加盐规则约定插入盐的位置、盐的形式,所述盐的形式是时间戳、动态码、设备码、短信验证码中的至少一种,将盐拆分之后插入敏感信息的不同位置;
服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
5.一种信息保护装置,其特征在于,包括:
加盐模块,用于对敏感信息按照预设加盐规则加盐,得到带盐的敏感信息,其中,所述预设加盐规则约定插入盐的位置、盐的形式,所述盐的形式是时间戳、动态码、设备码、短信验证码中的至少一种,将盐拆分之后插入敏感信息的不同位置;
加密模块,用于利用非对称加密公钥对所述带盐的敏感信息加密,得到密文数据;
发送模块,用于将携带有所述密文数据的访问请求发送给服务器,以使所述服务器利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息,利用所述预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行校验,得到校验结果。
6.一种信息保护装置,其特征在于,包括:
获取模块,用于获取客户终端发送的密文数据,其中,所述密文数据为所述客户终端利用非对称加密公钥对带盐的敏感信息加密得到;
解密模块,用于利用与所述非对称加密公钥对应的私钥对所述密文数据解密,得到带盐的敏感信息;
校验模块,用于利用预设加盐规则从所述带盐的敏感信息中分离出盐和敏感信息,并对分离出的盐和敏感信息进行有效性校验,得到校验结果,其中,所述预设加盐规则约定插入盐的位置、盐的形式,所述盐的形式是时间戳、动态码、设备码、短信验证码中的至少一种,将盐拆分之后插入敏感信息的不同位置。
7.一种电子设备,其特征在于,包括:
存储器和处理器,所述处理器与所述存储器连接;
所述存储器,用于存储程序;
所述处理器,用于调用存储于所述存储器中的程序,以执行如权利要求1所述的方法,或者,执行如权利要求2-4中任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器运行时,执行如权利要求1所述的方法,或者,执行如权利要求2-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111496275.5A CN114244522B (zh) | 2021-12-09 | 2021-12-09 | 信息保护方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111496275.5A CN114244522B (zh) | 2021-12-09 | 2021-12-09 | 信息保护方法、装置、电子设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114244522A CN114244522A (zh) | 2022-03-25 |
CN114244522B true CN114244522B (zh) | 2024-05-03 |
Family
ID=80754150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111496275.5A Active CN114244522B (zh) | 2021-12-09 | 2021-12-09 | 信息保护方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114244522B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116208420B (zh) * | 2023-03-08 | 2024-03-12 | 武汉维高凡科技有限公司 | 一种监测信息安全传输方法、系统、设备及存储介质 |
CN116684075B (zh) * | 2023-07-31 | 2023-09-29 | 章和技术(广州)有限公司 | 一种移动介质加密方法、装置、设备及存储介质 |
CN117494077A (zh) * | 2023-11-09 | 2024-02-02 | 杭州医策科技有限公司 | 基于非对称加密的设备离线激活方法和装置 |
CN118381676A (zh) * | 2024-06-24 | 2024-07-23 | 深圳龙电华鑫控股集团股份有限公司 | 集中器及其数据安全处理方法、装置及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871889A (zh) * | 2016-05-16 | 2016-08-17 | 广州视睿电子科技有限公司 | 一种登陆方法及系统 |
CN107454048A (zh) * | 2016-06-01 | 2017-12-08 | 腾讯科技(深圳)有限公司 | 信息的处理方法及装置、信息的认证方法、装置及系统 |
CN107707354A (zh) * | 2017-10-16 | 2018-02-16 | 广东工业大学 | 一种基于椭圆曲线加密法的云存储数据验证方法及系统 |
CN108134666A (zh) * | 2018-02-07 | 2018-06-08 | 北京安博通科技股份有限公司 | 一种加密解密方法及装置 |
CN108494783A (zh) * | 2018-03-28 | 2018-09-04 | 湖南东方华龙信息科技有限公司 | 云端数据的保护方法 |
CN111107066A (zh) * | 2019-12-06 | 2020-05-05 | 中国联合网络通信集团有限公司 | 敏感数据的传输方法和系统、电子设备、存储介质 |
CN113329004A (zh) * | 2021-05-25 | 2021-08-31 | 浙江大华技术股份有限公司 | 一种认证方法、系统及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100617734B1 (ko) * | 2003-03-19 | 2006-08-28 | 삼성전자주식회사 | 이더넷 수동 광가입자망 시스템의 논리적 mac구현방법과 그 방법을 실현시키기 위한 프로그램을 기록한컴퓨터로 읽을 수 있는 기록매체 |
US9253199B2 (en) * | 2010-09-09 | 2016-02-02 | Red Hat, Inc. | Verifying authenticity of a sender of an electronic message sent to a recipient using message salt |
CN105991563B (zh) * | 2015-02-05 | 2020-07-03 | 阿里巴巴集团控股有限公司 | 一种保护敏感数据安全的方法、装置及三方服务系统 |
US11005650B2 (en) * | 2016-10-19 | 2021-05-11 | Stripe, Inc. | Systems and methods for data management and the use of salts and keys in data encryption/decryption |
TWI677805B (zh) * | 2018-04-24 | 2019-11-21 | 大陸商物聯智慧科技(深圳)有限公司 | 資料加解密方法及系統與連網裝置及其資料加解密方法 |
US11412373B2 (en) * | 2020-04-03 | 2022-08-09 | Nxp B.V. | Client privacy preserving session resumption |
-
2021
- 2021-12-09 CN CN202111496275.5A patent/CN114244522B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871889A (zh) * | 2016-05-16 | 2016-08-17 | 广州视睿电子科技有限公司 | 一种登陆方法及系统 |
CN107454048A (zh) * | 2016-06-01 | 2017-12-08 | 腾讯科技(深圳)有限公司 | 信息的处理方法及装置、信息的认证方法、装置及系统 |
CN107707354A (zh) * | 2017-10-16 | 2018-02-16 | 广东工业大学 | 一种基于椭圆曲线加密法的云存储数据验证方法及系统 |
CN108134666A (zh) * | 2018-02-07 | 2018-06-08 | 北京安博通科技股份有限公司 | 一种加密解密方法及装置 |
CN108494783A (zh) * | 2018-03-28 | 2018-09-04 | 湖南东方华龙信息科技有限公司 | 云端数据的保护方法 |
CN111107066A (zh) * | 2019-12-06 | 2020-05-05 | 中国联合网络通信集团有限公司 | 敏感数据的传输方法和系统、电子设备、存储介质 |
CN113329004A (zh) * | 2021-05-25 | 2021-08-31 | 浙江大华技术股份有限公司 | 一种认证方法、系统及装置 |
Non-Patent Citations (1)
Title |
---|
口令加密算法安全性分析与对比;祁鑫;魏美荣;蒋文保;;网络空间安全(第Z2期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114244522A (zh) | 2022-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114244522B (zh) | 信息保护方法、装置、电子设备及计算机可读存储介质 | |
CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
JP5981610B2 (ja) | 電子取引用のネットワーク認証方法 | |
EP2854365B1 (en) | Detecting and preventing man-in-the-middle attacks on an encrypted connection | |
WO2019134233A1 (zh) | 网络令牌生成的方法、装置、终端设备及存储介质 | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
CN101860540B (zh) | 一种识别网站服务合法性的方法及装置 | |
TWI424726B (zh) | 消除中間人電腦駭客技術之方法及系統 | |
US10263782B2 (en) | Soft-token authentication system | |
JP2013516685A (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
CN111639325B (zh) | 基于开放平台的商户认证方法、装置、设备和存储介质 | |
KR101078546B1 (ko) | 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 | |
US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
CN114430346B (zh) | 登录方法、装置及电子设备 | |
CN114143082A (zh) | 一种加密通信方法、系统及装置 | |
US10635826B2 (en) | System and method for securing data in a storage medium | |
Han et al. | A survey on MITM and its countermeasures in the TLS handshake protocol | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
CA2793422C (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
CN116527261A (zh) | 密钥恢复方法、电子设备、存储介质 | |
JP4921614B2 (ja) | 中間者によるコンピュータのハッキング技法を防止するための方法およびシステム | |
CN114553566B (zh) | 数据加密方法、装置、设备及存储介质 | |
CN107404476B (zh) | 一种大数据云环境中数据安全的保护方法与装置 | |
CN114070571B (zh) | 一种建立连接的方法、装置、终端及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |