CN114978694A - 基于数字签名的数据体生成方法、装置、设备及存储介质 - Google Patents
基于数字签名的数据体生成方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114978694A CN114978694A CN202210565507.6A CN202210565507A CN114978694A CN 114978694 A CN114978694 A CN 114978694A CN 202210565507 A CN202210565507 A CN 202210565507A CN 114978694 A CN114978694 A CN 114978694A
- Authority
- CN
- China
- Prior art keywords
- data
- processed
- certificate information
- generating
- sender
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 12
- 238000005538 encapsulation Methods 0.000 claims abstract description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 10
- 238000004806 packaging method and process Methods 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 7
- 230000008520 organization Effects 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 101150069304 ASN1 gene Proteins 0.000 description 2
- 241000555745 Sciuridae Species 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及数据处理技术,揭露了一种基于数字签名的数据体生成方法、装置、设备以及存储介质,所述方法包括:解析数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;获取数据发送方的私钥与第一证书信息,以及数据接收方的第二证书信息,利用第二证书信息中的公钥对待处理数据进行加密,得到数据密文,利用私钥对数据密文签名;在生成签名数据后,生成待处理数据的时间戳;对数据发送方的字段、第一证书信息、数据密文、签名数据以及时间戳进行格式封装,得到目标数据体,根据待处理数据的数据类型及数据接收方分别设置目标数据体的使用范围限制及使用权限。本发明可以实现数据的确权、归属管控并提高数据安全性。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于数字签名的数据体生成方法、装置、电子设备及计算机可读存储介质。
背景技术
在大数据背景下,数据已经成为重要资产。然而数据在使用过程中会在各方传输,进而接触到不同的使用方,并对数据进行或多或少的处理。人们希望使用数据能够像使用实物资产一样,在数据使用过程中保证数据来源的可靠性,数据发送的安全性,数据传达的可确定性以及在数据流转过程中出现问题时,能够具有可溯源性。现有技术往往通过生成数据传输日志或者增加数据水印的方法,实现对数据身份的标识,或者单一的使用加密技术来保证数据的安全。但是上述方法不能使得数据具有综合属性,不能让数据更安全且具有身份属性,进而不能实现数据的综合管控。综上所述,现有技术中存在着无法有效的实现数据的确权、归属管控以及数据安全性较低的问题。
发明内容
本发明提供一种基于数字签名的数据体生成方法、装置、电子设备及计算机可读存储介质,其主要目的在于解决无法有效的实现数据的确权、归属管控以及数据安全性较低的问题。
为实现上述目的,本发明提供的一种基于数字签名的数据体生成方法,包括:
获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;
获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据;
在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合;
对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
可选地,所述获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,包括:
调用预设的密码机数据接口以及证书服务器接口;
利用所述密码机数据接口导出所述数据发送方的私钥;
利用所述证书服务器接口查询所述数据发送方的第一证书信息及所述数据接收方的第二证书信息。
可选地,所述利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,包括:
获取预设认证机构的机构公钥,利用所述机构公钥对所述第二证书信息中的证书签名进行身份验证;
对所述数据接收方的身份验证通过后,提取所述第二证书信息中的公钥,将所述公钥作为可信公钥,并利用预设的公钥加密算法对所述待处理数据计算,得到数据密文。
可选地,所述利用所述私钥对所述数据密文签名,得到签名数据,包括:
对所述数据密文进行哈希计算,得到数据摘要;
利用所述私钥对所述数据摘要进行加密,得到签名数据。
可选地,所述生成所述待处理数据的时间戳,包括:
从预设的时间获取组件中获得时间信息以及对应的随机代码;
计算所述待处理数据的摘要,并将所述时间信息与所述随机代码添加至所述待处理数据的摘要上,得到时间戳处理数据;
将所述时间戳处理数据发送至预设的时间戳服务器,并对返回的初始时间戳进行签名,得到所述待处理数据的时间戳。
可选地,所述对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,包括:
获取预设的格式配置文件,将所述数据发送方的字段以及所述加密数据集合整理成数据文件;
在所述格式配置文件中查找与所述数据文件相对应的配置规则;
根据所述配置规则从所述数据文件中逐一提取数据并封装至临时文件中;
直至遍历完所述数据文件中的所有数据,根据所述临时文件生成目标数据体。
可选地,所述解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方,包括:
从所述数据体生成请求中拆分得到请求头及请求体;
从所述请求头的属性中提取服务端与客户端的属性,根据所述服务端与客户端的属性提取对应的属性值,得到所述待处理数据的数据发送方与数据接收方;
利用预设的解析器解析所述请求体中的格式化串,得到所述待处理数据。
为了解决上述问题,本发明还提供一种基于数字签名的数据体生成装置,所述装置包括:
数据体生成请求解析模块,用于获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;
数据加密模块,用于获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据;
时间戳生成模块,用于在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合;
数据体生成模块,用于对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述所述的基于数字签名的数据体生成方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的基于数字签名的数据体生成方法。
本发明实施例通过数据加密与数字签名共用的方法,保证了数据的机密性以及身份认证的不可否认;在数据加密与数据签名的两次非对称加密过程中,数据加密利用数据接收方的公钥进行数据加密,在数据传输过程中只有数据接收方对应的私钥才能实现数据的解密,保证了数据的安全性;而数字签名利用数据发送方的私钥进行加密,数据接收方可以通过证书信息中的公钥对数字签名进行验证,实现对数据发送方身份的确认,通过数字签名技术进而保证了数据发送方身份的不可否认与不可篡改,也使得待处理数据的数据体具有身份属性,进一步实现了数据的确权以及有效管控;通过对目标数据体设置使用范围限制与使用权限,进一步使得数据能够实现归属管控。因此本发明提出的基于数字签名的数据体生成方法、装置、电子设备及计算机可读存储介质,可以解决无法有效的实现数据的确权、归属管控以及数据安全性较低的问题。
附图说明
图1为本发明一实施例提供的基于数字签名的数据体生成方法的流程示意图;
图2为本发明一实施例提供的获取数据发送方的私钥与第一证书信息,以及数据接收方的第二证书信息的流程示意图;
图3为本发明一实施例提供的生成待处理数据的时间戳的流程示意图;
图4为本发明一实施例提供的基于数字签名的数据体生成装置的功能模块图;
图5为本发明一实施例提供的实现所述基于数字签名的数据体生成方法的电子设备的结构示意图。
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种基于数字签名的数据体生成方法。所述基于数字签名的数据体生成方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述基于数字签名的数据体生成方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。所述服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDeliveryNetwork,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
参照图1所示,为本发明一实施例提供的基于数字签名的数据体生成方法的流程示意图。在本实施例中,所述基于数字签名的数据体生成方法包括:
S1、获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方。
本发明实施例中,所述数据体生成请求可以为生成需传输的数据时系统自动触发生成的请求,或者根据数据属性配置生成的数据请求。
本发明实施例中,所述解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方,包括:
从所述数据体生成请求中拆分得到请求头及请求体;
从所述请求头的属性中提取服务端与客户端的属性,根据所述服务端与客户端的属性提取对应的属性值,得到所述待处理数据的数据发送方与数据接收方;
利用预设的解析器解析所述请求体中的格式化串,得到所述待处理数据。
本发明实施例中,所述待处理数据在所述请求体中的表现形式为param1=value1¶m2=value2的键值对形式编码成的格式化串,承载多个请求参数的数据。
本发明实施例中,所述解析器包括但不限于lua语言/命令,CarakanC/C++,SquirrelFishC++和SquirrelFishExtremeC++。
S2、获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据。
本发明实施例中,所述数据发送方的私钥可以从预设的密码机、KM、USB KEY或者数据证书中获取,从而保证私钥的安全性,使得私钥处于数据发送者自己可控的环境中。
其中,所述密码机具有实现数据加解密、签名/验证、密钥管理、随机数生成等功能。密码机的接口可以采用数字信封的形式、密钥加密密钥加密传输或者密钥协商的方式进行会话密钥的导入和导出。密码机都具有一定的安全强度,例如达到NIST FIPS180-2级别的安全标准,从而防止侧信道攻击等,达到保护密码机中数据安全的目的。
请参阅图2所示,本发明实施例中,所述获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,包括:
S21、调用预设的密码机数据接口以及证书服务器接口;
S22、利用所述密码机数据接口导出所述数据发送方的私钥;
S23、利用所述证书服务器接口查询所述数据发送方的第一证书信息及所述数据接收方的第二证书信息。
本发明实施例可以从证书颁发机构的服务器上查询并获取数据发送方及数据接收方的公钥。
本发明实施例中,所述利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,包括:
获取预设认证机构的机构公钥,利用所述机构公钥对所述第二证书信息中的证书签名进行身份验证;
对所述数据接收方的身份验证通过后,提取所述第二证书信息中的公钥,将所述公钥作为可信公钥,并利用预设的公钥加密算法对所述待处理数据计算,得到数据密文。
本发明实施例中,所述公钥加密算法是一中不对称加密算法,与所述公钥对应的私钥存储在数据接收方可控的环境中。其中,所述公钥加密算法包括但不限于RSA算法、ElGamal算法、背包算法、Rabin算法、Diffie-Hellman(D-H)密钥交换协议中的公钥加密算法、Elliptic Curve Cryptography(ECC,椭圆曲线加密算法)。
本发明另一可选实施例中,可以根据数据发送方及数据接收方使用各自数字证书发送的签名邮件,来获取包含发件人的公钥;或者获取数据发送方及数据接收方导出的公钥文件,进而获取公钥。
本发明实施例中,由于使用数据接收方的公钥进行数据加密,在数据传输过程中只有数据接收方对应的私钥才能实现数据的解密,进而保证了数据的安全性
本发明实施例中,所述利用所述私钥对所述数据密文签名,得到签名数据,包括:
对所述数据密文进行哈希计算,得到数据摘要;
利用所述私钥对所述数据摘要进行加密,得到签名数据。
本发明实施例可以采用RSA算法对所述数据摘要进行加密。
本发明实施例中,利用所述私钥对所述数据密文签名的过程采用非对称加密,非对称加密依赖于复杂的数学运算,包括大数乘法、大数模等等,耗时比较久。如果数据量大的时候计算数字签名将会比较耗时,通过将数据密文进行Hash运算,得到的Hash值即为数据摘要。所述数据摘要就像人的指纹一样,可以代表一个人,只要内容发生了改变,计算出来的摘要也应该变化,防止了数据在传输过程中的篡改及丢失。
本发明实施例中,通过对数据密文进行签名,其中,数字签名的基础数据为加密后的待处理数据,使得签名数据在数据传输过程中被篡改的难度增大,进一步保证了签名数据的安全性;本发明实施例通过数字签名技术进而保证了数据发送方身份的不可否认与不可篡改,也使得待处理数据的数据体具有身份属性,进一步实现了数据的确权以及有效管控。
本发明实施例可以基于NGINX,使用lua语言开发,将数字认证、数字签名技术结合对待处理数据进行签名授权,继承了NGINX高并发、实现了签名授权高配置、高效性能,以及实现了前段安全授权,让数据更安全、数据有身份属性。
S3、在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合。
本发明实施例中,通过所述时间戳、所述数据密文、所述签名数据等,实现所述待处理数据在后续数据传输以及数据处理的可追溯。例如,在数据传输过程中,需要追溯数据的生成信息,则可以通过所述时间戳追溯数据的生成时间。
请参阅图3所示,本发明实施例中,所述生成所述待处理数据的时间戳,包括:
S31、从预设的时间获取组件中获得时间信息以及对应的随机代码;
S32、计算所述待处理数据的摘要,并将所述时间信息与所述随机代码添加至所述待处理数据的摘要上,得到时间戳处理数据;
S33、将所述时间戳处理数据发送至预设的时间戳服务器,并对返回的初始时间戳进行签名,得到所述待处理数据的时间戳。
本发明实施例中,所述时间获取组件可以连续生成准确的时间和与每个时间对应的随机代码,并且发送给需要生成时间戳的组件(装置),其中,所述随机代码可以是随机生成的随机数。所述时间获取组件可以包括时钟、随机代码生成器(用于生成的随机代码)以及时间信息发送装置(用于发送当前时间信息)。
本发明实施例中,通过将时间获取组件发出的不可预测的随机代码与时间信息对应地包含在时间戳内,由于在该时间信息所示的时刻之前,无法预测到随机代码的内容,因此,可以可靠地证明该时间戳是在该时间信息所示的时刻之后生成的。本发明实施例可以通过无需设置本地时钟和进行本地时间同步的方法,就生成可信的数字时间戳。
本发明另一可选实施例中,通过生成的随机代码可以在验证时间戳时,对签名后的时间戳进行解密,将解密后得到的随机代码与时间获取组件中记录的时间信息所对应的随机代码进行一致性比较,进而判断时间戳是否可信。
本发明实施例中,通过对返回的初始时间戳进行签名,实现的时间戳的准确性,预防了时间戳的篡改。
S4、对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
本发明实施例中,所述格式封装可以为ASN1格式封装,得到的ASN1格式数据体,实现了数据格式明确、解析快速、数据占量小。
本发明实施例中,所述目标数据体的使用范围限制包括数据有效期、数据的使用范围;所述目标数据体的使用权限包括授权对象的使用权限以及解密权限。
本发明实施例中,所述对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,包括:
获取预设的格式配置文件,将所述数据发送方的字段以及所述加密数据集合整理成数据文件;
在所述格式配置文件中查找与所述数据文件相对应的配置规则;
根据所述配置规则从所述数据文件中逐一提取数据并封装至临时文件中;
直至遍历完所述数据文件中的所有数据,根据所述临时文件生成目标数据体。
本发明实施例中,所述配置文件中可以包括多种配置规则,所述配置规则包含数据的处理方法、封装方法等。
本发明实施例根据待处理数据的数据类型在历史数据体生成日志中检索相同类型的数据所产生的日志记录,并从所述日志记录中提取对应的数据有效期、数据的使用范围,作为所述目标数据体的使用范围限制;或者根据待处理数据的数据类型从预设的数据限制表中提取对应的数据有效期、数据的使用范围,作为所述目标数据体的使用范围限制。
本发明实施例通过对目标数据体设置使用范围限制与使用权限,进一步使得数据能够实现归属管控。
本发明实施例中,可以将对所述数据接收方的身份属性进行权限分级,根据权限分级设置不同的授权对象使用权限以及解密权限。例如,在存在数据接收方A接收目标数据体B,根据数据接收方A是否为目标数据体B的授权对象,以及数据接收方A为目标数据体B的授权对象时,其身份属性对应于哪种解密权限,最终得到的使用权限有所不同。
例如,所述目标数据体的数据结构可以如下所示:
其中,“INTEGER 17”为数据发送方的字段,“OCTET STRING(34byte)A1D3EE60B9AE4E3AC51E8E4C9CB1B6C804”为数据密文,“INTEGER(62bit)3113302881287118690”为第一证书信息,“BIT STRING(2048bit)00110101011110001100111111110100100011010000111101010001000100111000”为签名数据,“GeneralizedTime 2021-03-24 07:30:36UTC”为时间戳,STRING(256bit)为数据摘要,STRING(1024bit)目标数据体的的使用范围限制以及使用权限(包括授权给谁、有效期、使用范围、是否可以解密)。
本发明实施例通过数据加密与数字签名共用的方法,保证了数据的机密性以及身份认证的不可否认;在数据加密与数据签名的两次非对称加密过程中,数据加密利用数据接收方的公钥进行数据加密,在数据传输过程中只有数据接收方对应的私钥才能实现数据的解密,保证了数据的安全性;而数字签名利用数据发送方的私钥进行加密,数据接收方可以通过证书信息中的公钥对数字签名进行验证,实现对数据发送方身份的确认,通过数字签名技术进而保证了数据发送方身份的不可否认与不可篡改,也使得待处理数据的数据体具有身份属性,进一步实现了数据的确权以及有效管控;通过对目标数据体设置使用范围限制与使用权限,进一步使得数据能够实现归属管控。因此本发明提出的基于数字签名的数据体生成方法,可以解决无法有效的实现数据的确权、归属管控以及数据安全性较低的问题。
如图4所示,是本发明一实施例提供的基于数字签名的数据体生成装置的功能模块图。
本发明所述基于数字签名的数据体生成装置100可以安装于电子设备中。根据实现的功能,所述基于数字签名的数据体生成装置100可以包括数据体生成请求解析模块101、数据加密模块102、时间戳生成模块103及数据体生成模块104。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述数据体生成请求解析模块101,用于获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;
所述数据加密模块102,用于获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据;
所述时间戳生成模块103,用于在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合;
所述数据体生成模块104,用于对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
详细地,本发明实施例中所述基于数字签名的数据体生成装置100中所述的各模块在使用时采用与上述图1至图3中所述的基于数字签名的数据体生成方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图5所示,是本发明一实施例提供的实现基于数字签名的数据体生成方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11、通信总线12以及通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如基于数字签名的数据体生成程序。
其中,所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing Unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行基于数字签名的数据体生成程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如基于数字签名的数据体生成程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述通信总线12可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
所述通信接口13用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的基于数字签名的数据体生成程序是多个指令的组合,在所述处理器10中运行时,可以实现:
获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;
获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据;
在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合;
对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
具体地,所述处理器10对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;
获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据;
在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合;
对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种基于数字签名的数据体生成方法,其特征在于,所述方法包括:
获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;
获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据;
在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合;
对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
2.如权利要求1所述的基于数字签名的数据体生成方法,其特征在于,所述获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,包括:
调用预设的密码机数据接口以及证书服务器接口;
利用所述密码机数据接口导出所述数据发送方的私钥;
利用所述证书服务器接口查询所述数据发送方的第一证书信息及所述数据接收方的第二证书信息。
3.如权利要求1所述的基于数字签名的数据体生成方法,其特征在于,所述利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,包括:
获取预设认证机构的机构公钥,利用所述机构公钥对所述第二证书信息中的证书签名进行身份验证;
对所述数据接收方的身份验证通过后,提取所述第二证书信息中的公钥,将所述公钥作为可信公钥,并利用预设的公钥加密算法对所述待处理数据计算,得到数据密文。
4.如权利要求1所述的基于数字签名的数据体生成方法,其特征在于,所述利用所述私钥对所述数据密文签名,得到签名数据,包括:
对所述数据密文进行哈希计算,得到数据摘要;
利用所述私钥对所述数据摘要进行加密,得到签名数据。
5.如权利要求1所述的基于数字签名的数据体生成方法,其特征在于,所述生成所述待处理数据的时间戳,包括:
从预设的时间获取组件中获得时间信息以及对应的随机代码;
计算所述待处理数据的摘要,并将所述时间信息与所述随机代码添加至所述待处理数据的摘要上,得到时间戳处理数据;
将所述时间戳处理数据发送至预设的时间戳服务器,并对返回的初始时间戳进行签名,得到所述待处理数据的时间戳。
6.如权利要求1所述的基于数字签名的数据体生成方法,其特征在于,所述对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,包括:
获取预设的格式配置文件,将所述数据发送方的字段以及所述加密数据集合整理成数据文件;
在所述格式配置文件中查找与所述数据文件相对应的配置规则;
根据所述配置规则从所述数据文件中逐一提取数据并封装至临时文件中;
直至遍历完所述数据文件中的所有数据,根据所述临时文件生成目标数据体。
7.如权利要求1至6中任一项所述的基于数字签名的数据体生成方法,其特征在于,所述解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方,包括:
从所述数据体生成请求中拆分得到请求头及请求体;
从所述请求头的属性中提取服务端与客户端的属性,根据所述服务端与客户端的属性提取对应的属性值,得到所述待处理数据的数据发送方与数据接收方;
利用预设的解析器解析所述请求体中的格式化串,得到所述待处理数据。
8.一种基于数字签名的数据体生成装置,其特征在于,所述装置包括:
数据体生成请求解析模块,用于获取数据体生成请求,解析所述数据体生成请求,得到待处理数据以及所述待处理数据的数据发送方与数据接收方;
数据加密模块,用于获取所述数据发送方的私钥与第一证书信息,以及所述数据接收方的第二证书信息,利用所述第二证书信息中的公钥对所述待处理数据进行加密,得到数据密文,并利用所述私钥对所述数据密文签名,得到签名数据;
时间戳生成模块,用于在生成签名数据后,生成所述待处理数据的时间戳,并将所述第一证书信息、所述数据密文、所述签名数据以及所述时间戳汇总为加密数据集合;
数据体生成模块,用于对所述数据发送方的字段以及所述加密数据集合进行格式封装,得到目标数据体,根据所述待处理数据的数据类型设置所述目标数据体的使用范围限制,根据所述数据接收方设置所述目标数据体的使用权限。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的基于数字签名的数据体生成方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的基于数字签名的数据体生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210565507.6A CN114978694B (zh) | 2022-05-23 | 2022-05-23 | 基于数字签名的数据体生成方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210565507.6A CN114978694B (zh) | 2022-05-23 | 2022-05-23 | 基于数字签名的数据体生成方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978694A true CN114978694A (zh) | 2022-08-30 |
| CN114978694B CN114978694B (zh) | 2024-07-23 |
Family
ID=82985213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210565507.6A Active CN114978694B (zh) | 2022-05-23 | 2022-05-23 | 基于数字签名的数据体生成方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978694B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642077A (zh) * | 2004-01-13 | 2005-07-20 | 国际商业机器公司 | 可信数字时间戳的生成和验证的方法及系统 |
| US20120204032A1 (en) * | 2006-05-09 | 2012-08-09 | Syncup Corporation | Encryption key exchange system and method |
| US8831228B1 (en) * | 2009-08-28 | 2014-09-09 | Adobe Systems Incorporated | System and method for decentralized management of keys and policies |
| CN104506503A (zh) * | 2014-12-08 | 2015-04-08 | 北京北邮国安技术股份有限公司 | 一种基于广电单向传输网络的安全认证系统 |
| CN108696360A (zh) * | 2018-04-16 | 2018-10-23 | 北京虎符信息技术有限公司 | 一种基于cpk密钥的ca证书发放方法及系统 |
| CN110377856A (zh) * | 2019-06-19 | 2019-10-25 | 深圳壹账通智能科技有限公司 | 网页注册方法、系统、设备和计算机存储介质 |
| CN112688784A (zh) * | 2020-12-23 | 2021-04-20 | 安徽中科美络信息技术有限公司 | 一种数字签名、验证方法、装置及系统 |
| CN114026820A (zh) * | 2021-03-09 | 2022-02-08 | 深圳市汇顶科技股份有限公司 | 数据上传方法、数据下载方法及相关设备 |
| CN114301695A (zh) * | 2021-12-30 | 2022-04-08 | 工银科技有限公司 | 一种数据传输方法、装置、电子设备和存储介质 |
| CN114499875A (zh) * | 2021-12-31 | 2022-05-13 | 兴业消费金融股份公司 | 业务数据处理方法、装置、计算机设备和存储介质 |
| CN114520976A (zh) * | 2022-04-20 | 2022-05-20 | 北京时代亿信科技股份有限公司 | 用户身份识别卡的认证方法及装置、非易失性存储介质 |
-
2022
- 2022-05-23 CN CN202210565507.6A patent/CN114978694B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642077A (zh) * | 2004-01-13 | 2005-07-20 | 国际商业机器公司 | 可信数字时间戳的生成和验证的方法及系统 |
| US20120204032A1 (en) * | 2006-05-09 | 2012-08-09 | Syncup Corporation | Encryption key exchange system and method |
| US8831228B1 (en) * | 2009-08-28 | 2014-09-09 | Adobe Systems Incorporated | System and method for decentralized management of keys and policies |
| CN104506503A (zh) * | 2014-12-08 | 2015-04-08 | 北京北邮国安技术股份有限公司 | 一种基于广电单向传输网络的安全认证系统 |
| CN108696360A (zh) * | 2018-04-16 | 2018-10-23 | 北京虎符信息技术有限公司 | 一种基于cpk密钥的ca证书发放方法及系统 |
| CN110377856A (zh) * | 2019-06-19 | 2019-10-25 | 深圳壹账通智能科技有限公司 | 网页注册方法、系统、设备和计算机存储介质 |
| CN112688784A (zh) * | 2020-12-23 | 2021-04-20 | 安徽中科美络信息技术有限公司 | 一种数字签名、验证方法、装置及系统 |
| CN114026820A (zh) * | 2021-03-09 | 2022-02-08 | 深圳市汇顶科技股份有限公司 | 数据上传方法、数据下载方法及相关设备 |
| CN114301695A (zh) * | 2021-12-30 | 2022-04-08 | 工银科技有限公司 | 一种数据传输方法、装置、电子设备和存储介质 |
| CN114499875A (zh) * | 2021-12-31 | 2022-05-13 | 兴业消费金融股份公司 | 业务数据处理方法、装置、计算机设备和存储介质 |
| CN114520976A (zh) * | 2022-04-20 | 2022-05-20 | 北京时代亿信科技股份有限公司 | 用户身份识别卡的认证方法及装置、非易失性存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978694B (zh) | 2024-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109409122B (zh) | 文件存储方法及其电子设备、存储介质 | |
| CN101459661B (zh) | 电子文档保护系统及方法 | |
| Yang et al. | Provable data possession of resource-constrained mobile devices in cloud computing | |
| CN106357701A (zh) | 云存储中数据的完整性验证方法 | |
| CN109491965A (zh) | 购售电合同的存储方法及其网络和电子设备 | |
| CN114389889B (zh) | 基于区块链技术的文件全生命周期管理方法及装置 | |
| CN105162760A (zh) | 随机抽取方法、装置以及系统 | |
| CN114125158B (zh) | 基于可信电话的防骚扰方法、装置、设备及存储介质 | |
| CN113704781A (zh) | 文件安全传输方法、装置、电子设备及计算机存储介质 | |
| CN117240625B (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| CN115270193B (zh) | 基于区块链及协同同步下的数据档案安全共享方法及装置 | |
| CN113610526A (zh) | 一种数据信任方法、装置、电子设备及存储介质 | |
| CN115048664A (zh) | 基于固态硬盘的数据安全存储方法、装置、设备及介质 | |
| CN111859431A (zh) | 电子文件签章方法、装置、电子设备及存储介质 | |
| CN113822675A (zh) | 基于区块链的报文处理方法、装置、设备及存储介质 | |
| CN114884697A (zh) | 基于国密算法的数据加解密方法及相关设备 | |
| CN117335989A (zh) | 基于国密算法在互联网系统中安全应用方法 | |
| CN111614658A (zh) | 基于区块链网络的算力合约生成方法、电子装置和介质 | |
| CN115085934A (zh) | 基于区块链和组合密钥的合同管理方法及相关设备 | |
| CN114553532A (zh) | 数据安全传输方法、装置、电子设备及存储介质 | |
| CN114499859A (zh) | 密码验证方法、装置、设备及存储介质 | |
| CN117938381A (zh) | 一种基于国密ibc标识轻量级密码的电力物联终端双向认证方法和系统 | |
| CN111934882B (zh) | 基于区块链的身份认证方法、装置、电子设备及存储介质 | |
| CN115941352B (zh) | 基于大数据的信息安全交互方法、装置、电子设备及存储介质 | |
| CN117370952A (zh) | 基于区块链的多重节点身份验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |