CN114884655B - 数据处理方法、装置、电子设备及可读存储介质 - Google Patents
数据处理方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN114884655B CN114884655B CN202210482088.XA CN202210482088A CN114884655B CN 114884655 B CN114884655 B CN 114884655B CN 202210482088 A CN202210482088 A CN 202210482088A CN 114884655 B CN114884655 B CN 114884655B
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- target
- ciphertext
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供了一种数据处理方法、装置、电子设备及可读存储介质,涉及数据处理技术领域。该方法包括:获取第一密钥密文,然后从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息,目标加密设备依据目标密钥转密信息,将第一密钥密文转换成第二密钥密文。将包含待加密数据和第二密钥密文的数据加密指令发送至目标加密设备,以使目标加密设备基于数据加密指令对待加密数据进行加密,得到目标数据密文。本申请提供的数据处理方法,实现了不同厂商的加密设备可以基于统一管理的第一密钥密文进行密钥密文转译,根据转译得到第二密钥密文对待加密数据进行加密,减少了管理和维护成本,实现对业务系统的工作密钥进行统一管理。
Description
技术领域
本申请涉及数据处理技术领域,具体而言,本申请涉及一种数据处理方法、装置、电子设备及可读存储介质。
背景技术
数据加密是金融业务系统处理过程中,实现个人金融信息保护及数据安全分组保护的重要环节,而加密机则是实现金融数据加解密处理的必不可少的硬件设备,在多个领域的业务系统中被广泛使用。
在目前的数据加密技术方案中,每家金融机构都会同时使用多个厂商加密机对金融数据进行加密,而不同厂商的加密机难以互相兼容。针对不同厂商的加密机,其本地主密钥和加密算法为各个厂商的机密数据,任何一台加密机都无法从其他厂商的加密机中导出其他厂商的本地主密钥,也无法识别和使用被其他厂商的加密机基于各自的本地主密钥加密后的工作密钥,使得当前数据加密的管理和维护成本较高,难以在使用多个厂商加密机时实现对业务系统的工作密钥进行统一管理,由于各厂商的加密机的工作密钥无法共享,导致各厂商加密机加密的数据无法共享。
发明内容
本申请实施例的目的旨在能解决难以实现对业务系统的工作密钥进行统一管理,从而实现各厂商加密机加密的数据共享的问题。
第一方面,本申请提供了一种数据处理方法,该方法包括:
获取第一密钥密文;第一密钥密文为加密后的工作密钥;
从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息;
目标加密设备依据目标密钥转密信息,将第一密钥密文转换成第二密钥密文;
接收目标加密设备发送的第二密钥密文,并向目标加密设备发送携带待加密数据和第二密钥密文的数据加密指令;
目标加密设备依据数据加密指令对第二密钥密文进行解密,得到工作密钥,依据工作密钥对待加密数据进行加密,得到目标数据密文。
在第一方面的申请实施例中,密钥转密信息包括密钥转密密文和密钥转密命令;第一密钥密文为基于预设的第一密钥加密后的工作密钥;
在从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息之前,方法还包括:
获取并存储各个加密设备对应的密钥转密命令,以及各个加密设备通过各自的本地主密钥对第一密钥进行加密后得到密钥转密密文;其中,密钥转密密文用于将第一密钥密文转换为各个加密设备对应的第二密钥密文。
在第一方面的申请实施例中,目标密钥转密信息包括目标密钥转密密文和目标密钥转密命令;目标加密设备依据目标密钥转密信息将第一密钥密文转换成第二密钥密文的步骤,包括:
基于目标加密设备的本地主密钥对目标密钥转密密文进行解密,得到第一密钥;
基于第一密钥对第一密钥密文进行解密,得到工作密钥,然后使用目标加密设备的本地主密钥对工作密钥进行加密,得到第二密钥密文。
在第一方面的申请实施例中,目标加密设备对第二密钥密文进行解密,得到工作密钥,包括:
响应于接收到数据加密指令,基于目标加密设备对应的本地加密算法,对数据加密指令中的第二密钥密文进行解密,得到工作密钥。
在第一方面的申请实施例中,从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息之前,方法还包括:
获取各个加密设备的设备信息,基于设备信息分别设置各个加密设备的权重;
基于各个加密设备的权重和预设的权重轮询调度算法,从至少一个加密设备中确定出目标加密设备。
第二方面,提供了一种数据处理装置,该装置包括:
数据获取模块,用于获取第一密钥密文;第一密钥密文为加密后的工作密钥;
信息确定模块,用于从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息;
密钥转换模块,用于目标加密设备依据目标密钥转密信息,将第一密钥密文转换成第二密钥密文;
指令生成模块,用于接收目标加密设备发送的第二密钥密文,并向目标加密设备发送携带待加密数据和第二密钥密文的数据加密指令;
数据加密模块,用于目标加密设备依据数据加密指令对第二密钥密文进行解密,得到工作密钥,依据工作密钥对待加密数据进行加密,得到目标数据密文。
第三方面,提供了一种电子设备,该电子设备包括:
存储器、处理器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现上述任一实施例的数据处理方法。
第四方面,提供了一种可读存储介质,可读存储介质上存储有程序,该程序被处理器执行时实现上述任一实施例的数据处理方法。
上述的数据处理方法,获取第一密钥密文,然后从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息,目标加密设备依据目标密钥转密信息,将第一密钥密文转换成第二密钥密文。将包含待加密数据和第二密钥密文的数据加密指令发送至目标加密设备,以使目标加密设备基于数据加密指令对待加密数据进行加密,得到目标数据密文。本申请提供的数据处理方法,实现了不同厂商的加密设备可以基于统一管理的第一密钥密文进行密钥密文转译,根据转译得到第二密钥密文对待加密数据进行加密,减少了管理和维护成本,实现对业务系统的工作密钥进行统一管理。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1a为现有技术中的实现数据处理的系统架构示意图;
图1b为本申请实施例中实现数据处理的系统架构示意图;
图2为本申请实施例提供的一种数据处理方法的流程示意图;
图3为本申请实施例提供的一种数据处理方法的流程示意图;
图4为本申请实施例提供的一种数据处理方法中的交互示意图;
图5为本申请实施例提供的一种数据处理方法在实际应用场景中的流程示意图;
图6为本申请实施例提供的一种数据处理装置的结构示意图;
图7为本申请实施例提供的一种用于数据处理的电子设备的结构示意图。
具体实施方式
下面结合本申请中的附图描述本申请的实施例。应理解,下面结合附图所阐述的实施方式,是用于解释本申请实施例的技术方案的示例性描述,对本申请实施例的技术方案不构成限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“”和“该”也可包括复数形式。应该进一步理解的是,本申请实施例所使用的术语“包括”以及“包含”是指相应特征可以实现为所呈现的特征、信息、数据、步骤、操作、元件和/或组件,但不排除实现为本技术领域所支持其他特征、信息、数据、步骤、操作、元件、组件和/或它们的组合等。应该理解,当我们称一个元件被“连接”或“耦接”到另一元件时,该一个元件可以直接连接或耦接到另一元件,也可以指该一个元件和另一元件通过中间元件建立连接关系。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的术语“和/或”指示该术语所限定的项目中的至少一个,例如“A和/或B”可以实现为“A”,或者实现为“B”,或者实现为“A和B”。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
首先对本申请涉及的几个名词进行介绍和解释:
加密设备:用于对数据进行加密的设备。具体的,可以是指加密机(又称硬件安全模块,Hardware Security Module,HSM),一种通过国家商用密码主管部门鉴定并批准使用的国内自主开发的硬件加密设备,实现密码计算及密钥保护功能。
本地主密钥(Local Main Key,LMK),加密机的主密钥,存放在加密机内部的硬件安全模块中,作用是对所有在本地存放的其他密钥和加密数据进行加密。加密机启用时,由2-3名密管员分别在加密机管理界面上输入密钥明文分量,加密机合成完整的主密钥后保存在加密机中。本地主密钥只能被同厂商的加密机识别和共享。
数据加密密钥(Data Encryption Key,DEK),又称工作密钥,用于对数据进行加密,不允许明文存放,通常用本地主密钥(LMK)加密后存放在数据库或文件中。
其次,对目前常规的工作密钥体系进行简述,如图1a所示,常规的工作密钥体系下,工作密钥DEK由加密机的LMK加密保护,不能直接使用明文进行操作。不同厂商的加密机用同样的LMK加密DEK后,会有不同的工作密钥密文,例如图1a所示,A厂的加密机通过自己的本地主密钥LMK_A对DEK进行加密后,得到DEK_LMK_A;B厂的加密机通过自己的本地主密钥LMK_B对DEK进行加密后,得到DEK_LMK_B。A厂和B厂的加密机无法识别并使用对方加密机加密后的工作密钥DEK。
在现有的工作密钥体系中,如果在原本使用A厂加密机的情况下,要增加新厂B的加密机,可能会出现以下几种情况导致B厂的加密机无法使用:
(1)假设LMK明文分量没有存档,从而无法在B厂加密机入导入原有的LMK,那么DEK_LMK_A无法在B厂加密机上识别并使用。
(2)假设LMK明文分量已存档,并且已经在B厂加密机入导入原有的LMK,但因为DEK_LMK_A的加密算法是私有算法,B厂加密机依然无法识别并使用。
综上,现有的工作密钥体系中不同厂商难以共享和统一工作密钥的密文版本,使得当前数据加密的管理和维护成本较高。
本申请提供的数据处理方法、装置、电子设备及可读存储介质,旨在解决现有技术的如上技术问题。
本申请所提供的数据处理方法中提出了一种“主密钥-统一密钥加密密钥-工作密钥”的三层工作密钥体系,如图1b所示,实现了不同厂商加密机设备资源共享及统一工作密钥管理的技术目标,使得本申请实施例的技术方案能够达到降低管理和维护成本以及提高数据处理效率的技术效果。
如图1b所示,本申请实施例中引入了统一密钥加密密钥(Key Encrypting Key,KEK),并且将原来的两层密钥工作体系扩展到三层,说明如下:
(1)为便于加密机的扩充,允许不同厂商的使用不同的本地主密钥LMK_X,减少LMK维护管理的成本。比如上图所示,A厂加密机的LMK明文是LMK_A,B厂加密机的LMK明文是LMK_B,两者可以不相同。
(2)在各个厂商的本地主密钥LMK和工作密钥之间,引入一个统一的工作密钥加密密钥(KEK),通过不同厂商的加密机对工作密钥加密密钥KEK进行加密,生成KEK的不同密文版本后同时保存。KEK是系统初始化时一次性输入,可以基本不作变更,一份KEK可以有相应的多份密文版本,比如图1b所示,A厂加密的版本是KEK_LMK_A,A厂加密的版本是KEK_LMK_B。
(3)工作密钥DEK为由统一密钥加密密钥(KEK)加密保护,并且使用的是KEK对应的标准加密算法进行加密,所有的工作密钥DEK都仅有唯一的一个密文版本,比如图1b所示,三个工作密钥明文DEK1、DEK2、DEK3分别生成和保存唯一的密文DEK1_KEK、DEK2_KEK、DEK3_KEK。
上述的三层密钥工作体系实现了与不同加密机厂商的本地主密钥LMK及私有加密算法完全解耦,达到了统一管理维护工作密钥的目标。
下面通过对几个示例性实施方式的描述,对本申请实施例的技术方案以及本申请的技术方案产生的技术效果进行说明。需要指出的是,下述实施方式之间可以相互参考、借鉴或结合,对于不同实施方式中相同的术语、相似的特征以及相似的实施步骤等,不再重复描述。
本申请实施例中提供了一种数据处理方法,可以应用于加密代理服务模块,其中,加密代理服务模块可以为加密代理服务器或者加密代理服务系统以及相关的硬件设备,本申请不做限制。
以应用于加密代理服务器为例,如图2所示,该方法可以包括如下步骤:
步骤S201,获取第一密钥密文,其中,第一密钥密文可以为加密后的工作密钥。
在本申请实施例中,可以获取工作密钥对应的第一密钥密文;第一密钥密文可以由预设的第一密钥对工作密钥加密后得到。此外,还可以获取待加密数据,待加密数据可以是任何有加密需求的数据明文,具体的,可以是金融业务系统中各种金融信息和数据。
工作密钥可以是数据加密密钥(DEK),预设的第一密钥可以是进行统一管理的密钥加密密钥(KEK),可以基于密钥加密密钥以及密钥加密密钥对应的标准算法对工作密钥进行加密,得到第一密钥密文,可以用DEK_KEK进行表示第一密钥密文。
步骤S202,可以从至少一个加密设备中确定出目标加密设备,通过目标加密设备将第一密钥密文转译为目标加密设备可识别的第二密钥密文。
在本申请实施例中,可以预先有多个加密设备在加密代理服务器中进行注册,加密代理服务器中可以存储有各个加密设备的设备信息,并且,多个加密设备可以来自不同的厂商。
可以以轮询的方式,从至少一个加密设备中确定出目标加密设备。
也可以当需要对数据进行加密时,加密代理服务器实时获取各个加密设备的运行状态(例如空闲程度等),根据运行状态从多个加密设备中选择出目标加密设备,然后可以通过目标加密设备将第一密钥密文转译为第二密钥密文。
步骤S202,从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息。
具体的,在加密代理服务器中可以预存有多个加密设备的密钥转密信息,而密钥转密信息是将第一密钥密文转译为各个设备可识别的第二密钥密文的必要信息,每个加密设备都有各自对应的密钥转密信息。加密代理服务器可以是预先存储所有在服务器上注册了的加密设备的密钥转密信息,也可以在确定出目标加密设备后获取目标加密设备的密钥转密信息,本申请不做限制。
步骤S203,目标加密设备依据所述目标密钥转密信息,将第一密钥密文转换成第二密钥密文。
在本申请实施例中,在从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息之后,可以将目标密钥转密信息和第一密钥密文发送至目标加密设备,然后接收目标加密设备发送的目标加密设备可识别的第二密钥密文。
具体的,可以将目标密钥转密信息和第一密钥密文发送至目标加密设备,作为目标加密设备的输入参数,得到输出的目标加密设备可识别的第二密钥密文。目标加密设备可以将第二密钥密文发送至加密代理服务器进行存储,并记录该第二密钥密文与第二密钥密文存在关联关系。
若后续针对同一工作密钥,再次选择了同一加密设备作为目标加密设备,可以无需再做密钥转密操作,直接从加密代理服务器中确定出该加密设备对应的第二密钥密文,进一步提升数据加密效率。
在本申请实施例中,密钥转密信息可以包括密钥转密密文和密钥转密命令。其中,密钥转密命令用于调用对应的加密设备进行密钥转密操作。加密代理服务器可以预先获取并存储各个加密设备对应的密钥转密命令。第一密钥密文可以为基于预设的第一密钥加密后的工作密钥。
在从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息之前,方法还包括:可以预先获取并存储各个加密设备对应的密钥转密命令,以及各个加密设备通过各自的本地主密钥(LMK)对第一密钥(即密钥加密密钥KEK)进行加密后得到密钥转密密文;密钥转密密文用于将第一密钥密文转换为各个加密设备对应的第二密钥密文。
具体的,目标密钥转密信息可以为目标加密设备对应的密钥转密密文和密钥转密命令。可以将目标加密设备对应的密钥转密密文和密钥转密命令和第一密钥密文发送至目标加密设备,其中,密钥转密密文和第一密钥密文作为目标加密设备的输入参数,通过密钥转密命令调用目标加密机的密钥转密功能,得到输出的目标加密设备可识别的第二密钥密文。
在本申请实施例中,目标密钥转密信息包括目标密钥转密密文和目标密钥转密命令;其中,目标加密设备依据目标密钥转密信息将第一密钥密文转换成第二密钥密文的步骤,可以包括:
基于目标加密设备的本地主密钥对目标密钥转密密文进行解密,得到第一密钥;
基于第一密钥对第一密钥密文进行解密,得到工作密钥,然后使用目标加密设备的本地主密钥对工作密钥进行加密,得到第二密钥密文。
上述目标加密设备将第一密钥密文转换成第二密钥密文的步骤发生在硬件中,软件方法无法获取,具有较高的安全性。
为了更清晰地描述密钥转密密文以及将第一密钥转换为第二密钥的方法,以符号的形式进行举例说明:例如,假设存在A厂的加密设备A,B厂的加密设备B,并且,加密设备A的本地主密钥为LMK_A,加密设备B的本地主密钥为LMK_B。加密设备A和加密设备B可以分别使用各自的本地主密钥对第一密钥,如密钥加密密钥(KEK)进行加密,得到加密设备A对应的密钥转密密文KEK_LMK_A和加密设备B对应的密钥转密密文KEK_LMK_B。
若目标加密设备为加密设备A,则加密代理服务器可以将加密设备A对应的密钥转密密文KEK_LMK_A和密钥转密命令、第一密钥密文DEK_KEK发送到加密设备A,将密钥转密密文KEK_LMK_A和第一密钥密文DEK_KEK作为加密设备A的输入,通过密钥转密命令调用加密设备A的密钥转密功能,将第一密钥密文DEK_KEK转译为第二密钥密文,第二密钥密文可以用DEK_LMK_A进行表示,可以理解为第二密钥密文是加密设备A通过本地主密钥对工作密钥加密后得到的密文,但由于工作密钥不能以明文的形式在各个设备间传输,因此,不是通过加密设备A直接对工作密钥进行加密,而是通过密钥转密流程,将第一密钥密文转译为加密设备A可识别的第二密钥密文。
通过密钥转密流程实现了不同厂商的加密设备可以针对同一工作密钥的密文(即第一密钥密文)进行转译,将第一密钥密文转译为自身可以识别和使用的第二密钥密文,实现了共享和统一管理工作密钥。
步骤S204,接收目标加密设备发送的第二密钥密文,并向目标加密设备发送携带待加密数据和第二密钥密文的数据加密指令。
具体的,加密代理服务器可以生成包含待加密数据和第二密钥密文的数据加密指令,此外,数据加密指令还可以包括目标加密设备对应的数据加密命令,用于调用目标加密设备的数据加密功能。
步骤S205,目标加密设备依据数据加密指令对第二密钥密文进行解密,得到工作密钥,依据工作密钥对待加密数据进行加密,得到目标数据密文。
在本申请实施例中,目标加密设备可以通过以下方式对待加密数据进行加密:
响应于接收到数据加密指令,基于目标加密设备对应的本地加密算法对所述数据加密指令中的所述第二密钥密文进行解密,得到所述工作密钥,并通过工作密钥对待加密数据进行加密,得到目标数据密文。
具体的,数据加密指令中可以包含待加密数据、第二密钥密文和数据加密命令,可以将待加密数据以及第二密钥密文作为目标加密设备的输入,通过数据加密命令调用目标加密设备的数据加密功能进行数据加密,数据加密过程中,在目标加密设备内部可以通过本地加密算法识别出第二密钥密文中的工作密钥,基于工作密钥对待加密数据进行加密,得到目标加密设备输出的目标数据密文,可以理解的是,加密设备内部对第二密钥密文进行解密的过程对于操作人员而言,处于不可见状态。目标数据密文实际为通过工作密钥(DEK)对待加密数据加密的结果,不同厂商进行数据加密后得到的目标数据密文相同,可以便于统一管理。
为了更清晰地描述对数据加密的过程,以符号的形式进行举例说明:假设目标加密设备为加密设备A,加密设备A对应的第二密钥密文为DEK_LMK_A,可以将包含加密设备A对应的第二密钥密文和数据加密命令、以及待加密数据的数据加密指令发送至加密设备A。
加密设备A接收到数据加密指令后,以第二密钥密文DEK_LMK_A和待加密数据作为输入,通过数据加密命令调用目标加密设备的数据加密功能进行数据加密,得到目标数据密文“DEK_数据”。不同厂商的加密设备最终加密得到的目标数据密文均为“DEK_数据”,即目标数据密文实际为通过工作密钥(DEK)对待加密数据加密的结果。
上述的数据处理方法,获取第一密钥密文,第一密钥密文为加密后的工作密钥,然后从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息,目标加密设备依据目标密钥转密信息,将第一密钥密文转换成第二密钥密文。将包含待加密数据和第二密钥密文的数据加密指令发送至目标加密设备,以使目标加密设备基于数据加密指令对待加密数据进行加密,得到目标数据密文。本申请提供的数据处理方法,实现了不同厂商的加密设备可以基于统一管理的第一密钥密文进行密钥密文转译,根据转译得到第二密钥密文对待加密数据进行加密,减少了管理和维护成本,实现对业务系统的工作密钥进行统一管理。
本申请实施例中提供了一种可能的实现方式,从至少一个加密设备中确定出目标加密设备,可以包括:以轮询的方式从至少一个加密设备中确定出目标加密设备。
在本申请实施例中,以轮询的方式从至少一个加密设备中确定出目标加密设备,可以包括以下步骤:
(1)获取各个加密设备的设备信息,基于设备信息分别设置各个加密设备的权重;其中,设备信息可以是各个加密设备的基础性能指标或者运行状态,例如空闲程度等。
(2)基于各个加密设备的权重和预设的权重轮询调度算法,从至少一个加密设备中确定出目标加密设备。
其中,权重轮询调度算法又称加权轮询算法(WeightedRound-Robin),根据各个加密设备的不同处理能力,给每个加密设备分配不同的权值,使其能够接受相应权值数的数据加密请求或者指令。
本申请实施例中提供了一种数据处理方法,可以应用于目标加密设备,如图3所示,可以包括如下步骤:
步骤S301,接收加密代理服务器发送的第一密钥密文;其中,第一密钥密文是基于预设的第一密钥对工作密钥加密后得到的。
具体的,工作密钥可以是数据加密密钥(DEK),预设的第一密钥可以是进行统一管理的密钥加密密钥(KEK),可以基于密钥加密密钥以及密钥加密密钥对应的标准算法对工作密钥进行加密,得到第一密钥密文,可以用DEK_KEK进行表示第一密钥密文。
步骤S302,将第一密钥密文转译为可识别的第二密钥密文;将第二密钥密文发送至加密代理服务器。
在本申请实施例中,将第一密钥密文转译为可识别的第二密钥密文,可以包括如下步骤:
(1)接收加密代理服务器发送的目标密钥转密信息;目标密钥转密信息是加密代理服务器从预存的密钥转密信息中确定出的目标加密设备对应的密钥转密信息。
具体的,在加密代理服务器中可以预存有多个加密设备的密钥转密信息,而密钥转密信息是将第一密钥密文转译为各个设备可识别的第二密钥密文的必要信息,每个加密设备都有各自对应的密钥转密信息。加密代理服务器可以是预先存储所有在服务器上注册了的加密设备的密钥转密信息,也可以在确定出目标加密设备后获取目标加密设备的密钥转密信息,本申请不做限制。
加密代理服务器可以将目标加密设备对应的密钥转密信息作为目标密钥转密信息,并将目标密钥转密信息发送至目标设备。可以理解的是,在本申请实施例中,目标加密设备可以在接收加密代理服务器发送的第一密钥密文时,同时接收目标密钥转密信息,也可以分开接收,对此,本申请不做限制。
(2)可以基于目标密钥转密信息和第一密钥密文,将第一密钥密文转译为可识别的第二密钥密文。
具体的,目标密钥转密信息可以为目标加密设备对应的密钥转密密文和密钥转密命令。目标加密设备可以接收加密代理服务器发送的目标加密设备对应的密钥转密密文和密钥转密命令、以及第一密钥密文,然后可以将密钥转密密文和第一密钥密文作为目标加密设备的输入参数,并通过密钥转密命令调用目标加密机的密钥转密功能进行密钥转密流程,得到目标加密设备输出的第二密钥密文。
步骤S303,接收加密代理服务器发送的数据加密指令;数据加密指令是由加密代理服务器基于待加密数据和第二密钥密文生成的。
具体的,加密代理服务器可以生成包含待加密数据和第二密钥密文的数据加密指令,此外,数据加密指令还可以包括目标加密设备对应的数据加密命令,用于调用目标加密设备的数据加密功能。
目标加密设备可以接收加密代理服务器发送的数据加密指令。
步骤S304,基于数据加密指令对待加密数据进行加密,得到目标数据密文。
在本申请实施例中,基于数据加密指令对待加密数据进行加密,得到目标数据密文,可以包括如下步骤:
响应于接收到数据加密指令,基于预设的本地加密算法识别出第二密钥密文中的工作密钥,并通过工作密钥对待加密数据进行加密,得到目标数据密文。
具体的,数据加密指令中可以包含待加密数据、第二密钥密文和数据加密命令,可以将待加密数据以及第二密钥密文作为目标加密设备的输入,通过数据加密命令调用目标加密设备的数据加密功能进行数据加密,数据加密过程中,在目标加密设备内部可以通过本地加密算法识别出第二密钥密文中的工作密钥,基于工作密钥对待加密数据进行加密,得到目标加密设备输出的目标数据密文,可以理解的是,加密设备内部对第二密钥密文进行解密的过程对于操作人员而言,处于不可见状态。目标数据密文实际为通过工作密钥(DEK)对待加密数据加密的结果,不同厂商进行数据加密后得到的目标数据密文相同,可以便于统一管理。
本申请所提供的数据处理方法中,加密设备和加密服务代理模块的交互图可以如图4所示,其中,加密代理服务模块可以是加密代理服务器,也可以是加密代理服务系统以及运行系统所需的服务器和终端设备。
步骤S401,可以由应用系统将待加密数据、通过第一密钥对工作密钥进行加密后的第一密钥密文组成数据加密请求,将数据加密请求发送至加密代理服务模块;
步骤S402,加密代理服务模块从多个加密设备中确定出目标加密设备;例如,确定出的目标加密设备可以为加密设备A;
步骤S403,由加密代理服务模块确定目标加密设备对应的目标密钥转密信息;例如,当目标加密设备为加密设备A时,可以从预存的密钥转密信息中确定出加密设备A对应的目标密钥转密信息;其中,目标密钥转密信息可以包括加密设备A对应的密钥转密密文和密钥转密命令,而密钥转密密文,是加密设备A通过自身的本地主密钥对第一密钥进行加密后得到的;
步骤S404,若目标加密设备为加密设备A,由加密代理服务模块向加密设备A发送目标密钥转密信息以及第一密钥密文;
步骤S405,通过目标加密设备A将第一密钥密文转译为加密设备A可识别的第二密钥密文;
步骤S406,目标加密设备A将第二密钥密文发送至加密代理服务模块;
步骤S407,加密代理服务模块生成加密设备A对应的数据加密指令;数据加密指令可以包括第二密钥密文、待加密数据以及加密设备A的数据加密命令;
步骤S408,加密代理服务模块向加密设备A发送数据加密指令;
步骤S409,加密设备A基于接收到的数据加密指令,对待加密数据进行加密。
在一个示例中,本申请所提供的数据处理方法,可以对工作密钥(DEK)进行统一管理,使得工作密钥的密文版本只有唯一的版本。为实现统一的工作密钥可以在不同厂商的加密设备上使用,可以通过密钥转密流程,再调用数据加密指令进行数据加密。
具体的,可以将本申请所提供的数据处理方法封装为一个加密服务代理模块,加密服务代理模块可以包含相应的应用程序、服务器或者硬件设备,方法流程可以如图5所示,包括以下步骤:
第一步,应用系统将数据明文(即待加密数据)和用统一密钥加密密钥(KEK)加密后得到的第一密钥密文DEK_KEK组成标准的数据加密请求报文,并将数据加密请求报文发送至加密代理服务模块。
第二步,加密服务模块接收到数据加密请求报文后,进入工作密钥转换流程(即密钥转密流程),以轮询的方式,选择一台可用的加密机作为目标加密机,并根据目标加密机的厂商类型,确定出目标加密机对应的密钥转密密文(即相应的密钥加密密钥KEK的密文版本);例如,若目标加密设备为A厂加密机,则A厂加密机的密钥转密密文为KEK_LMK_A,若目标加密设备为A厂加密机,则B厂加密机的密钥转密密文为KEK_LMK_B;
第三步,以A厂的加密机作为目标加密机为例,确定A厂加密机对应的转密指令,将转密指令、密钥转密密文KEK_LMK_A以及工作密钥密文DEK_KEK发送至A厂加密机,将密钥转密密文KEK_LMK_A以及工作密钥密文DEK_KEK作为A厂加密机的输入,通过转密指令调用A厂加密机的密钥转密功能,生成A厂加密机通过本地主密钥进行加密后的工作密钥密文DEK_LMK_A,即第二密钥密文。
第四步,根据第二密钥密文DEK_LMK_A、数据明文以及A厂加密机对应的数据加密指令组成A厂加密机对应的加密指令,将加密指令发送至A厂加密机。将第二密钥密文DEK_LMK_A以及数据明文作为A厂加密机的输入,通过加密指令调用被选中加密机的数据加密功能,最终生成数据密文。
同理,若轮询选中的加密机是B厂或其他厂商加密机,参考第二步到第四步进行处理,最终生成同样的数据密文。从而实现了不同厂商加密机设备资源共享及工作密钥统一管理的目标。
本申请实施例提供了一种数据处理装置,如图6所示,该数据处理装置60可以包括:数据获取模块601、信息确定模块602、密钥转换模块603、指令生成模块604以及数据加密模块605,其中,
数据获取模块601,用于获取第一密钥密文;第一密钥密文为加密后的工作密钥;
信息确定模块602,用于从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息;
密钥转换模块603,用于目标加密设备依据目标密钥转密信息,将第一密钥密文转换成第二密钥密文;
指令生成模块604,用于接收目标加密设备发送的第二密钥密文,并向目标加密设备发送携带待加密数据和第二密钥密文的数据加密指令;
数据加密模块605,用于目标加密设备依据数据加密指令对第二密钥密文进行解密,得到工作密钥,依据工作密钥对待加密数据进行加密,得到目标数据密文。
上述的数据处理装置,获取第一密钥密文,然后从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息,目标加密设备依据目标密钥转密信息,将第一密钥密文转换成第二密钥密文。将包含待加密数据和第二密钥密文的数据加密指令发送至目标加密设备,以使目标加密设备基于数据加密指令对待加密数据进行加密,得到目标数据密文。本申请提供的数据处理装置,实现了不同厂商的加密设备可以基于统一管理的第一密钥密文进行密钥密文转译,根据转译得到第二密钥密文对待加密数据进行加密,减少了管理和维护成本,实现对业务系统的工作密钥进行统一管理。
在本申请实施例中,密钥转密信息包括密钥转密密文和密钥转密命令;第一密钥密文为基于预设的第一密钥加密后的工作密钥;
在从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息之前,还包括预存储模块,用于:
获取并存储各个加密设备对应的密钥转密命令,以及各个加密设备通过各自的本地主密钥对第一密钥进行加密后得到密钥转密密文;其中,密钥转密密文用于将第一密钥密文转换为各个加密设备对应的第二密钥密文。
在本申请实施例中,目标密钥转密信息包括目标密钥转密密文和目标密钥转密命令;密钥转换模块在由目标加密设备依据目标密钥转密信息将第一密钥密文转换成第二密钥密文的步骤时,具体用于:
基于目标加密设备的本地主密钥对目标密钥转密密文进行解密,得到第一密钥;
基于第一密钥对第一密钥密文进行解密,得到工作密钥,然后使用目标加密设备的本地主密钥对工作密钥进行加密,得到第二密钥密文。
在本申请实施例中,数据加密模块在目标加密设备对第二密钥密文进行解密,得到工作密钥时,具体用于:
响应于接收到数据加密指令,基于目标加密设备对应的本地加密算法,对数据加密指令中的第二密钥密文进行解密,得到工作密钥。
在本申请实施例中,还包括设备确定模块,用于从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息之前,执行以下操作:
获取各个加密设备的设备信息,基于设备信息分别设置各个加密设备的权重;
基于各个加密设备的权重和预设的权重轮询调度算法,从至少一个加密设备中确定出目标加密设备。
本申请实施例的装置可执行本申请实施例所提供的方法,其实现原理相类似,本申请各实施例的装置中的各模块所执行的动作是与本申请各实施例的方法中的步骤相对应的,对于装置的各模块的详细功能描述具体可以参见前文中所示的对应方法中的描述,此处不再赘述。
本申请实施例中提供了一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,该处理器执行上述计算机程序以实现数据处理方法的步骤,与相关技术相比可实现:减少了管理和维护成本,提高数据处理效率,实现对业务系统的工作密钥进行统一管理。
在一个可选实施例中提供了一种电子设备,如图7所示,图7所示的电子设备4000包括:处理器4001和存储器4003。其中,处理器4001和存储器4003相连,如通过总线4002相连。可选地,电子设备4000还可以包括收发器4004,收发器4004可以用于该电子设备与其他电子设备之间的数据交互,如数据的发送和/或数据的接收等。需要说明的是,实际应用中收发器4004不限于一个,该电子设备4000的结构并不构成对本申请实施例的限定。
处理器4001可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器4001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线4002可包括一通路,在上述组件之间传送信息。总线4002可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线4002可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器4003可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质、其他磁存储设备、或者能够用于携带或存储计算机程序并能够由计算机读取的任何其他介质,在此不做限定。
存储器4003用于存储执行本申请实施例的计算机程序,并由处理器4001来控制执行。处理器4001用于执行存储器4003中存储的计算机程序,以实现前述方法实施例所示的步骤。
其中,电子设备包括但不限于:移动电话、笔记本电脑、PAD等等移动终端以及诸如数字TV、台式计算机等等固定终端。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现前述方法实施例的步骤及相应内容。
本申请实施例还提供了一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时可实现前述方法实施例的步骤及相应内容。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”、“1”、“2”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除图示或文字描述以外的顺序实施。
应该理解的是,虽然本申请实施例的流程图中通过箭头指示各个操作步骤,但是这些步骤的实施顺序并不受限于箭头所指示的顺序。除非本文中有明确的说明,否则在本申请实施例的一些实施场景中,各流程图中的实施步骤可以按照需求以其他的顺序执行。此外,各流程图中的部分或全部步骤基于实际的实施场景,可以包括多个子步骤或者多个阶段。这些子步骤或者阶段中的部分或全部可以在同一时刻被执行,这些子步骤或者阶段中的每个子步骤或者阶段也可以分别在不同的时刻被执行。在执行时刻不同的场景下,这些子步骤或者阶段的执行顺序可以根据需求灵活配置,本申请实施例对此不限制。
以上所述仅是本申请部分实施场景的可选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请的方案技术构思的前提下,采用基于本申请技术思想的其他类似实施手段,同样属于本申请实施例的保护范畴。
Claims (8)
1.一种数据处理方法,其特征在于,应用于加密代理服务模块,包括:
获取第一密钥密文;所述第一密钥密文由预设的第一密钥对工作密钥加密后得到;
确定目标加密设备,从预存的各个加密设备的密钥转密信息中确定出所述目标加密设备对应的目标密钥转密信息;每个密钥转密信息包括加密设备对应的密钥转密密文和密钥转密命令;
所述目标加密设备依据所述目标密钥转密信息,将所述第一密钥密文转换成第二密钥密文;
接收所述目标加密设备发送的所述第二密钥密文,并向所述目标加密设备发送携带待加密数据和所述第二密钥密文的数据加密指令;
所述目标加密设备依据所述数据加密指令对所述第二密钥密文进行解密,得到所述工作密钥,依据所述工作密钥对所述待加密数据进行加密,得到目标数据密文;
其中,将所述第一密钥密文转换成第二密钥密文,包括:
基于所述目标加密设备的本地主密钥对目标密钥转密密文进行解密,得到第一密钥,基于第一密钥对第一密钥密文进行解密,得到工作密钥,然后使用目标加密设备的本地主密钥对工作密钥进行加密,得到第二密钥密文。
2.根据权利要求1所述的数据处理方法,其特征在于,在从预存的密钥转密信息中确定出所述目标加密设备对应的目标密钥转密信息之前,所述方法还包括:
获取并存储各个加密设备对应的密钥转密命令,以及各个加密设备通过各自的本地主密钥对所述第一密钥进行加密后得到密钥转密密文;其中,所述密钥转密密文用于将所述第一密钥密文转换为各个加密设备对应的第二密钥密文。
3.根据权利要求2所述的数据处理方法,其特征在于,目标密钥转密信息包括目标密钥转密密文和目标密钥转密命令;所述目标加密设备依据所述目标密钥转密信息将所述第一密钥密文转换成第二密钥密文的步骤,包括:
基于所述目标加密设备的本地主密钥对所述目标密钥转密密文进行解密,得到所述第一密钥;
基于所述第一密钥对所述第一密钥密文进行解密,得到所述工作密钥,然后使用所述目标加密设备的本地主密钥对所述工作密钥进行加密,得到所述第二密钥密文。
4.根据权利要求1所述的数据处理方法,其特征在于,所述目标加密设备对所述第二密钥密文进行解密,得到所述工作密钥,包括:
响应于接收到所述数据加密指令,基于所述目标加密设备对应的本地加密算法,对所述数据加密指令中的所述第二密钥密文进行解密,得到所述工作密钥。
5.根据权利要求4所述的数据处理方法,其特征在于,所述从预存的密钥转密信息中确定出目标加密设备对应的目标密钥转密信息之前,所述方法还包括:
获取各个加密设备的设备信息,基于所述设备信息分别设置各个加密设备的权重;
基于所述各个加密设备的权重和预设的权重轮询调度算法,从至少一个加密设备中确定出目标加密设备。
6.一种数据处理装置,其特征在于,应用于加密代理服务模块,包括:
数据获取模块,用于获取第一密钥密文;所述第一密钥密文由预设的第一密钥对工作密钥加密后得到;
信息确定模块,用于确定目标加密设备,从预存的各个加密设备的密钥转密信息中确定出所述目标加密设备对应的目标密钥转密信息;每个密钥转密信息包括加密设备对应的密钥转密密文和密钥转密命令;
密钥转换模块,用于所述目标加密设备依据所述目标密钥转密信息,将所述第一密钥密文转换成第二密钥密文;其中,所述目标密钥转密信息包括目标加密设备对应的密钥转密密文和密钥转密命令;
其中,将所述第一密钥密文转换成第二密钥密文,包括:
基于所述目标加密设备的本地主密钥对目标密钥转密密文进行解密,得到第一密钥,基于第一密钥对第一密钥密文进行解密,得到工作密钥,然后使用目标加密设备的本地主密钥对工作密钥进行加密,得到第二密钥密文;指令生成模块,用于接收所述目标加密设备发送的所述第二密钥密文,并向所述目标加密设备发送携带待加密数据和所述第二密钥密文的数据加密指令;
数据加密模块,用于所述目标加密设备依据所述数据加密指令对所述第二密钥密文进行解密,得到所述工作密钥,依据所述工作密钥对所述待加密数据进行加密,得到目标数据密文。
7.一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序以实现权利要求1-5任一项所述方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的数据处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210482088.XA CN114884655B (zh) | 2022-05-05 | 2022-05-05 | 数据处理方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210482088.XA CN114884655B (zh) | 2022-05-05 | 2022-05-05 | 数据处理方法、装置、电子设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114884655A CN114884655A (zh) | 2022-08-09 |
| CN114884655B true CN114884655B (zh) | 2023-09-12 |
Family
ID=82673150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210482088.XA Active CN114884655B (zh) | 2022-05-05 | 2022-05-05 | 数据处理方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114884655B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118246050A (zh) * | 2024-04-23 | 2024-06-25 | 深圳计算科学研究院 | 数据库密钥管理器的加密和解密方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9251097B1 (en) * | 2011-03-22 | 2016-02-02 | Amazon Technologies, Inc. | Redundant key management |
| CN112054893A (zh) * | 2020-08-06 | 2020-12-08 | 中信银行股份有限公司 | 一种微服务框架下敏感信息转加密方法及系统 |
| CN113824713A (zh) * | 2021-09-17 | 2021-12-21 | 平安银行股份有限公司 | 一种密钥生成方法、系统及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10043029B2 (en) * | 2014-04-04 | 2018-08-07 | Zettaset, Inc. | Cloud storage encryption |
| US10237061B2 (en) * | 2015-09-25 | 2019-03-19 | International Business Machines Corporation | Generating master and wrapper keys for connected devices in a key generation scheme |
| US10819513B2 (en) * | 2017-12-01 | 2020-10-27 | Oracle International Corporation | Key encryption key (KEK) rotation for multi-tenant (MT) system |
-
2022
- 2022-05-05 CN CN202210482088.XA patent/CN114884655B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9251097B1 (en) * | 2011-03-22 | 2016-02-02 | Amazon Technologies, Inc. | Redundant key management |
| CN112054893A (zh) * | 2020-08-06 | 2020-12-08 | 中信银行股份有限公司 | 一种微服务框架下敏感信息转加密方法及系统 |
| CN113824713A (zh) * | 2021-09-17 | 2021-12-21 | 平安银行股份有限公司 | 一种密钥生成方法、系统及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 王金宝.银行系统密钥管理方案设计与应用.科技资讯.2010,(第33期),30-31. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114884655A (zh) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109120639B (zh) | 一种基于区块链的数据云存储加密方法及系统 | |
| EP3633913B1 (en) | Provisioning a secure connection using a pre-shared key | |
| CN111541725B (zh) | 区块链一体机及其密码加速卡、密钥管理方法和装置 | |
| CN110460439A (zh) | 信息传输方法、装置、客户端、服务端及存储介质 | |
| CN101627390B (zh) | 用于程序状态数据在电子设备中的安全存储的方法 | |
| CN112398826B (zh) | 基于国密的数据处理方法、装置、存储介质及电子设备 | |
| CN107590396B (zh) | 数据处理方法及装置、存储介质、电子设备 | |
| WO2020073712A1 (zh) | 一种移动终端中共享安全应用的方法及移动终端 | |
| CN110708291B (zh) | 分布式网络中数据授权访问方法、装置、介质及电子设备 | |
| CN109347839A (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
| CN112512038B (zh) | 会话密钥的生成方法、装置、电子设备及可读存储介质 | |
| CN112822177A (zh) | 数据传输方法、装置、设备和存储介质 | |
| CN114884655B (zh) | 数据处理方法、装置、电子设备及可读存储介质 | |
| CN117081740B (zh) | 基于密码机资源池的密钥管理方法及装置 | |
| CN114297114A (zh) | 加密卡及其数据交互方法、装置及计算机可读存储介质 | |
| CN112261015B (zh) | 基于区块链的信息共享方法、平台、系统以及电子设备 | |
| CN113595722A (zh) | 量子安全密钥同步方法、装置、电子设备和存储介质 | |
| CN115086048B (zh) | 数据处理方法、装置、电子设备及可读存储介质 | |
| CN103873245A (zh) | 虚拟机系统数据加密方法及设备 | |
| KR20170107818A (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 | |
| CN113411347B (zh) | 交易报文的处理方法及处理装置 | |
| CN113315758B (zh) | 信息代理方法和装置 | |
| EP4020875A1 (en) | Method, first server, second server, and system for transmitting securely a key | |
| KR102512871B1 (ko) | 단일 공개 키와 관련된 복수의 사용자 디바이스의 중앙 비밀 키 관리 방법 | |
| CN110289954B (zh) | 一种密钥处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |