CN115412255A - 一种基于隐私保护的身份签名加解密方法 - Google Patents

一种基于隐私保护的身份签名加解密方法 Download PDF

Info

Publication number
CN115412255A
CN115412255A CN202210999982.4A CN202210999982A CN115412255A CN 115412255 A CN115412255 A CN 115412255A CN 202210999982 A CN202210999982 A CN 202210999982A CN 115412255 A CN115412255 A CN 115412255A
Authority
CN
China
Prior art keywords
software system
data
request
authentication token
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210999982.4A
Other languages
English (en)
Inventor
贾皓立
陈庆国
梁凯鹏
粟文
李程
宋萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yinfeng Xinrong Technology Development Co ltd
Original Assignee
Beijing Yinfeng Xinrong Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yinfeng Xinrong Technology Development Co ltd filed Critical Beijing Yinfeng Xinrong Technology Development Co ltd
Priority to CN202210999982.4A priority Critical patent/CN115412255A/zh
Publication of CN115412255A publication Critical patent/CN115412255A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本公开涉及一种基于隐私保护的身份签名加解密方法,该方法包括:响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌;响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口;所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理。本公开通过将加解密服务与软件系统分离,即使系统开发人员能够非法修改软件系统的权限或破解软件系统,也无法获取保密数据,提高了数据处理的安全性。

Description

一种基于隐私保护的身份签名加解密方法
技术领域
本公开涉及信息安全领域,尤其涉及一种基于隐私保护的身份签名加解密方法。
背景技术
随着计算机技术的发展,软件系统中数据的安全性问题逐渐受到重视。
目前,当软件系统需要数据加密服务时,开发人员会在软件系统中集成加解密算法工具,在需要进行数据的加解密时调用加解密算法工具,实现数据的存储加密。
然而,在系统中集成加解密算法工具,只能在系统数据层面保护数据的安全,系统开发人员仍可以通过修改原有权限等方式查看到加密数据,保密数据仍有可能被泄露。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种基于隐私保护的身份签名加解密方法,以提高保密数据的安全性。
第一方面,本公开实施例提供一种基于隐私保护的身份签名加解密方法,包括:
响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌;
响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理。
在一些实施例中,所述数据处理请求为新增数据请求,所述数据安全处理服务接口为新增接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口之前,所述方法还包括:所述软件系统生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥;所述软件系统使用所述第一公钥对新增数据进行加密,生成第一密文;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口包括:所述软件系统将所述认证令牌、所述第一密文和所述第一私钥作为调用参数调用所述新增接口。
在一些实施例中,所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统验证所述认证令牌后,存储所述第一密文和所述第一私钥。
在一些实施例中,数据处理请求为审批请求,所述审批请求中携带待审批的数据信息;所述数据安全处理服务接口为修改接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口包括:
所述软件系统将所述认证令牌和所述待审批的数据信息作为调用参数调用所述修改接口。
在一些实施例中,所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统验证所述认证令牌后,基于所述待审批的数据信息查询对应的第一密文和第一私钥;
所述第三方认证系统将查询的第一密文和第一私钥发送给所述软件系统;
所述软件系统基于接收的第一私钥对接收的第一密文进行解密,并将解密得到的数据展示在审批页面中。
在一些实施例中,所述数据处理请求为归档请求,所述数据安全处理服务接口为归档接口;
所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统基于归档请求,查询并获取对应的第一密文和第一私钥;
所述第三方认证系统使用所述第一私钥对所述第一密文进行解密,并使用第二密钥对中的第二公钥再次加密,得到第二密文;
所述第三方认证系统存储所述第二密文。
在一些实施例中,所述数据处理请求为合同管理请求,所述合同管理请求中包括合同信息和所述第二密钥对中的第二私钥,所述数据安全处理服务接口为查询接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口包括:所述软件系统将所述认证令牌和所述合同信息作为调用参数调用所述查询接口。
在一些实施例中,所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统基于所述合同信息查询对应的第二密文;
所述第三方认证系统将所述第二密文发送给所述软件系统;
所述软件系统使用所述第二私钥对所述第二密文进行解密,得到合同明文数据;
所述软件系统将所述合同明文数据显示在合同页面中。
第二方面,本公开实施例提供一种基于隐私保护的身份签名加解密装置,包括:
获取模块,用于响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌;
确定模块,用于响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口;
处理模块,用于所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理。
第三方面,本公开实施例提供一种电子设备,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面所述的方法。
第四方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现第一方面所述的方法。
第五方面,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的基于隐私保护的身份签名加解密方法。
本公开实施例提供的数据安全方法、装置、设备及计算机可读存储介质,通过将加解密服务即第三方认证系统与软件系统分离,即使系统开发人员能够非法修改软件系统的权限或破解软件系统,也无法获取保密数据,提高了身份签名加解密的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的基于隐私保护的身份签名加解密方法流程图;
图2为本公开另一实施例提供的基于隐私保护的身份签名加解密方法流程图;
图3为本公开另一实施例提供的基于隐私保护的身份签名加解密方法流程图;
图4为本公开另一实施例提供的基于隐私保护的身份签名加解密方法流程图;
图5为本公开另一实施例提供的基于隐私保护的身份签名加解密方法流程图;
图6为本公开实施例提供的基于隐私保护的身份签名加解密方法信令图;
图7为本公开实施例提供的基于隐私保护的身份签名加解密方法信令图;
图8为本公开实施例提供的基于隐私保护的身份签名加解密装置的结构示意图;
图9为本公开实施例提供的电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
本公开实施例提供了一种基于隐私保护的身份签名加解密方法,下面结合具体的实施例对该方法进行介绍。
图1为本公开实施例提供的基于隐私保护的身份签名加解密方法流程图。该方法应用于软件系统,具体步骤如下:
S101、响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌。
响应于用户的登录操作,如用户输入用户名及密码登录系统,软件系统获取用户的身份信息,并通过第三方认证系统对用户的身份信息进行认证。其中,第三方认证系统可以是加密机,且该第三方认证系统独立于软件系统存在。第三方认证系统对用户的身份信息认证成功后,生成与用户身份相对应的认证令牌,将该认证令牌发送至软件系统。并且,不同身份的登录用户其认证令牌不同。
S102、响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口。
软件系统接收到认证成功的认证令牌后,进一步获取该用户的数据处理请求,并判断数据处理请求的类型,如新增数据请求、审批请求、归档请求、合同管理请求等。根据数据处理请求的请求类型不同,确定其对应的数据安全处理服务接口,如新增接口、修改接口、归档接口、查询接口。
S103、所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理。
软件系统处理数据处理请求时,将认证令牌作为调用参数调用与数据处理请求对应的数据安全处理服务接口,第三方认证系统验证认证令牌后,确认用户身份合法,配合软件系统对数据处理请求进行处理。需要说明的是,认证令牌具有时效性,即获取一次认证令牌后,用户在预设时间内无需再次进行身份认证,通过该认证令牌即可证明用户身份合法,在系统中进行相应操作,超出预设时间后,需要重新通过身份认证获取新的认证令牌。
本公开实施例通过响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌;响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口;所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理,将加解密服务即第三方认证系统与软件系统分离,即使系统开发人员能够非法修改软件系统的权限或破解软件系统,也无法获取保密数据,提高了身份签名加解密的安全性。
图2至图5为不同场景下的基于隐私保护的身份签名加解密方法示意图,下面结合图2至图5,对本公开提供的基于隐私保护的身份签名加解密方法进行介绍。可以理解的是,本公开提供的基于隐私保护的身份签名加解密方法还可以应用于其他场景中。
图2为本公开实施例提供的基于隐私保护的身份签名加解密方法流程图,该方法可以应用于新增数据场景中。如图2所示,其所包含的具体步骤如下:
S201、响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌。
S202、响应于新增数据请求,确定数据安全处理服务接口为新增接口。
新增数据请求的申请者登录软件系统,软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌,确认申请者的身份合法。申请者进入软件系统菜单,进行相应操作,填写相关数据,提交新增数据的请求。软件系统响应于申请者提交的新增数据请求,确认相应的安全处理服务接口为新增接口。
S203、所述软件系统生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥;所述软件系统使用所述第一公钥对新增数据进行加密,生成第一密文。
对于申请者所提交的新增数据请求,软件系统生成一个密钥对,该密钥对包括一个第一公钥和一个第一私钥。软件系统使用第一公钥对申请者所填写的新增数据进行加密,生成第一密文。可以理解的是,对于不同的新增数据请求,软件系统随机生成不同的密钥对。
S204、所述软件系统将所述认证令牌、所述第一密文和所述第一私钥作为调用参数调用所述新增接口。
软件系统通过调用新增接口,将认证令牌、经过第一公钥加密后的第一密文和第一公钥对应的第一私钥发送至第三方认证系统。
S205、所述第三方认证系统验证所述认证令牌后,存储所述第一密文和所述第一私钥。
第三方认证系统接收到软件系统发送的认证令牌、经过第一公钥加密后的第一密文和第一公钥对应的第一私钥后,首先对认证令牌进行验证,验证成功后,将第一密文以及第一私钥保存在第三方认证系统中相应的第一存储空间内。
图3为本公开另一实施例提供的基于隐私保护的身份签名加解密方法流程图,该方法可以应用于数据审批场景中。如图3所示,该方法所包含的具体步骤如下:
S301、响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌。
S302、响应于审批请求,确定数据安全处理服务接口为修改接口。
审批人员登录软件系统,软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌,确认审批人员的身份合法。审批人员打开审批界面,响应于审批请求,软件系统确定数据安全处理服务接口为修改接口。其中,审批请求中携带待审批的数据信息。
S303、所述软件系统将所述认证令牌和和待审批的数据信息作为调用参数调用所述修改接口。
软件系统通过调用修改接口,将认证令牌与待审批的数据信息发送至第三方认证系统。
S304、所述第三方认证系统验证所述认证令牌后,基于所述待审批的数据信息查询对应的第一密文和第一私钥。
第三方认证系统接收到软件系统发送的认证令牌与待审批的数据信息后,首先对认证令牌进行验证,验证通过后确认审批人员的身份合法,基于待审批的数据信息在第三方认证系统中的第一存储空间中查找对应的第一密文和第一私钥。
S305、所述第三方认证系统将查询的第一密文和第一私钥发送给所述软件系统。
S306、所述软件系统基于接收的第一私钥对接收的第一密文进行解密,并将解密得到的数据展示在审批页面中。
软件系统通过接收第三方认证系统发送的第一私钥与第一密文,并通过第一私钥对第一密文进行解密,将解密后的数据展示在审批页面中供审批人员查看。
审批人员对审批页面中的数据进行编辑,编辑完成后提交审批结果,软件系统通过第一公钥对审批结果重新进行加密,生成审批后的第一密文,通过调用修改接口,将认证令牌、第一秘钥以及审批后的第一密文发送至第三方认证系统。第三方认证系统接收到软件系统发送的认证令牌、第一秘钥以及审批后的第一密文后,首先对认证令牌进行验证,验证成功后,将第一秘钥以及审批后的第一密文保存至第三方认证系统中相应的第一存储空间中。
上述公开实施通过随机生成第一密钥对,包括第一公钥和第一私钥,并通过第一公钥与第一私钥对新增数据以及审批结果以密文形式存储在第三方认证系统中,有效隔离了系统使用人员,保证了第一存储空间中保密数据的安全性,进一步提高了基于隐私保护的身份签名加解密方法的可靠性。
在上述实施例的基础上,图4为本公开另一实施例提供的基于隐私保护的身份签名加解密方法流程图,该方法可以应用于合同归档场景中。如图4所示,该方法所包含的具体步骤如下:
S401、响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌。
S402、响应于归档请求,确定数据安全处理服务接口为归档接口。
归档人员登录软件系统,软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌,确认归档人员的身份合法。归档人员打开归档界面,响应于归档请求,软件系统确定数据安全处理服务接口为归档接口。
S403、所述第三方认证系统基于归档请求,查询并获取对应的第一密文和第一私钥。
软件系统将归档请求和认证令牌通过归档接口发送至第三方认证系统,第三方认证系统对认证令牌进行验证,验证通过后,基于接收到的归档请求,在第一存储空间中查找与归档请求对应的第一密文和第一私钥。
S404、所述第三方认证系统使用所述第一私钥对所述第一密文进行解密,并使用第二密钥对中的第二公钥再次加密,得到第二密文。
其中,第二秘钥对是由最高权限管理员预先设置并存储在第三方认证系统中,其中第二私钥只有系统最高权限管理员拥有。
S405、所述第三方认证系统存储所述第二密文。
第三方认证系统将通过第二秘钥加密后生成的第二密文保存至第三方认证系统中对应的第一存储空间中。
另外,第三方认证系统基于提前配置并保存在第一存储空间中的安全文件传输协议(Secure File Transfer Protocol,SFTP)密码对第一密文解密后的数据进行对称加密,生成SFTP加密文件存储至第三方认证系统中的第二存储空间。具体地,该第二存储空间用于保存文件类型的数据,例如PDF合同文件,供相关人员需要时下载。
图5为本公开实施例提供的基于隐私保护的身份签名加解密方法流程图,该方法可以应用于合同管理场景中。如图5所示,该方法所包含的具体步骤如下:
S501、响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌。
S502、响应于合同管理请求,确定数据安全处理服务接口为查询接口。
其中所述合同管理请求中包括合同信息和所述第二密钥对中的第二私钥。
最高权限管理员登录软件系统,软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌,确认最高权限管理员的身份合法。最高权限管理员打开软件系统中菜单,输入第二私钥,发起合同管理请求。响应于合同管理请求,软件系统确定数据安全处理服务接口为查询接口。
S503、所述软件系统将所述认证令牌和合同信息作为调用参数调用所述查询接口。
S504、所述第三方认证系统基于所述合同信息查询对应的第二密文。
S505、所述第三方认证系统将所述第二密文发送给所述软件系统。
软件系统通过查询接口将认证令牌和合同信息发送至第三方认证系统。第三方认证系统接收到认证令牌与合同信息,对认证令牌验证通过后,在第三方认证系统的第一存储空间中查询与合同信息对应的第二密文,并发送至软件系统。
S506、所述软件系统使用第二私钥对所述第二密文进行解密,得到合同明文数据。
S507、所述软件系统将所述合同明文数据显示在合同页面中。
软件系统通过最高权限管理员输入的第二私钥对第二密文进行解密,获取合同明文数据,并将合同明文显示在合同页面中。
另外,若需要下载合同文件,需要持有SFTP密码的用户(如最高权限管理员)在经过身份验证获取认证令牌后,通过软件系统发起下载请求,下载请求中至少包括SFTP密码和认证令牌。软件系统接收到用户发起的下载请求后,对其中的SFTP密码使用消息摘要算法(Message Digest Algorithm MD5,md5)进行加密,再将携带有加密后SFTP密码的下载请求通过调用加密材料导出接口发送至第三方认证系统。第三方认证系统对认证令牌进行验证并通过后,基于md5对加密后的SFTP密码进行解密,从第二存储空间中获取对应的SFTP加密文件,并使用SFTP密码对其进行解密,将解密后的明文文件发送至软件系统,展示给用户。
上述公开实施例通过生成第二密钥对,使用其中的第一公钥对数据记性加密后保存,而其中的第二私钥只有指定人员拥有,不仅隔离了系统使用人员,同时隔离了系统开发和技术人员,进一步提高了保密数据的安全性。
另外,由于本公开提供的基于隐私保护的身份签名加解密方法在数据传输、数据存储、文件储存等方面提供加解密的接口服务,且接口服务可独立部署,加密数据、加密文件可单独存储,从而实现存储空间、代码、文件等方面的全面加密内容的隔离,有效保证加密内容不被泄露。
在一些实施例中,若需要更新第二密钥对,由最高权限管理员登录软件系统,通过第三方认证系统的身份认证并获取认证令牌后,在软件系统中发起秘钥更新申请,生成更新后的第二秘钥对以及第二私钥,其中更新后的第二秘钥对包括更新后的第二公钥和更新后的第二私钥,将第二私钥通过邮件等方式发送给最高权限管理员。软件系统基于秘钥更新申请,确定数据安全处理服务接口为秘钥更新接口,通过调用秘钥更新接口将第二私钥和更新后的第二公钥发送至第三方认证系统。第三方认证系统根据第二私钥获取所有第二密文并进行解密,重新使用更新后的第二公钥进行加密并保存,完成第二密钥对的更新。
在一些实施例中,若需要更新SFTP密码,则由最高权限管理员登录软件系统,通过第三方认证系统的身份认证并获取认证令牌后,在软件系统中发起密码更新申请,设置新的SFTP密码。软件系统基于密码更新申请,确定数据安全处理服务接口为密码更新接口,通过调用密码更新接口将更新后的SFTP密码发送至第三方认证系统。第三方认证系统根据SFTP密码获取所有SFTP加密文件并进行解密,重新使用更新后的SFTP密码进行加密并保存,同时将配置在第三方认证系统中的SFTP密码修改为更新后的SFTP密码,完成对SFTP密码的更新。
图6和图7分别为本公开实施例提供的基于隐私保护的身份签名加解密方法的信令图。具体地,图6和图7所示的方法与上述方法实施例的实现过程和原理一致,此处不再赘述。
图8为本公开实施例提供的基于隐私保护的身份签名加解密装置的结构示意图。本公开实施例提供的基于隐私保护的身份签名加解密装置可以执行由基于隐私保护的身份签名加解密方法实施例提供的处理流程,如图8所示,基于隐私保护的身份签名加解密装置800包括:获取模块810、确定模块820、处理模块830;其中,获取模块810用于响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌;确定模块820用于响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口;处理模块830用于所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理。
在一些实施例中,所述数据处理请求为新增数据请求,所述数据安全处理服务接口为新增接口,所述确定模块820还用于所述软件系统生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥;所述软件系统使用所述第一公钥对新增数据进行加密,生成第一密文;所述处理模块830还用于所述软件系统将所述认证令牌、所述第一密文和所述第一私钥作为调用参数调用所述新增接口。
在一些实施例中,所述处理模块830还用于所述第三方认证系统验证所述认证令牌后,存储所述第一密文和所述第一私钥。
在一些实施例中,数据处理请求为审批请求,所述审批请求中携带待审批的数据信息;所述数据安全处理服务接口为修改接口;所述处理模块830还用于所述软件系统将所述认证令牌和所述待审批的数据信息作为调用参数调用所述修改接口。
在一些实施例中,所述处理模块830还用于所述第三方认证系统验证所述认证令牌后,基于所述待审批的数据信息查询对应的第一密文和第一私钥;所述第三方认证系统将查询的第一密文和第一私钥发送给所述软件系统;所述软件系统基于接收的第一私钥对接收的第一密文进行解密,并将解密得到的数据展示在审批页面中。
在一些实施例中,所述数据处理请求为归档请求,所述数据安全处理服务接口为归档接口;所述处理模块830还用于所述第三方认证系统基于归档请求,查询并获取对应的第一密文和第一私钥;所述第三方认证系统使用所述第一私钥对所述第一密文进行解密,并使用第二密钥对中的第二公钥再次加密,得到第二密文;所述第三方认证系统存储所述第二密文。
在一些实施例中,所述数据处理请求为合同管理请求,所述合同管理请求中包括合同信息和所述第二密钥对中的第二私钥,所述数据安全处理服务接口为查询接口;所述处理模块830还用于所述软件系统将所述认证令牌和所述合同信息作为调用参数调用所述查询接口。
在一些实施中,所述处理模块830还用于所述第三方认证系统基于所述合同信息查询对应的第二密文;所述第三方认证系统将所述第二密文发送给所述软件系统;所述软件系统使用所述第二私钥对所述第二密文进行解密,得到合同明文数据;所述软件系统将所述合同明文数据显示在合同页面中。
图8所示实施例的基于隐私保护的身份签名加解密装置可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图9为本公开实施例提供的电子设备的结构示意图。本公开实施例提供的电子设备可以执行基于隐私保护的身份签名加解密方法实施例提供的处理流程,如图9所示,电子设备90包括:存储器91、处理器92、计算机程序和通讯接口93;其中,计算机程序存储在存储器91中,并被配置为由处理器92执行如上所述的基于隐私保护的身份签名加解密方法。
存储器91作为一种非暂态计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本公开实施例中的应用程序的基于隐私保护的身份签名加解密方法对应的程序指令/模块(例如,附图8所示的获取模块810、确定模块820、处理模块830)。处理器92通过运行存储在存储器91中的软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的基于隐私保护的身份签名加解密方法。
存储器91可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器91可以包括高速随机存取存储器,还可以包括非暂态性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态性固态存储器件。在一些实施例中,存储器91可选包括相对于处理器92远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
另外,本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现上述实施例所述的基于隐私保护的身份签名加解密方法。
此外,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的基于隐私保护的身份签名加解密方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于隐私保护的身份签名加解密方法,其特征在于,应用于软件系统,所述方法包括:
响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌;
响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理。
2.根据权利要求1所述的方法,其特征在于,所述数据处理请求为新增数据请求,所述数据安全处理服务接口为新增接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口之前,所述方法还包括:所述软件系统生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥;所述软件系统使用所述第一公钥对新增数据进行加密,生成第一密文;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口包括:所述软件系统将所述认证令牌、所述第一密文和所述第一私钥作为调用参数调用所述新增接口。
3.根据权利要求2所述的方法,其特征在于,所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统验证所述认证令牌后,存储所述第一密文和所述第一私钥。
4.根据权利要求3所述的方法,其特征在于,数据处理请求为审批请求,所述审批请求中携带待审批的数据信息;所述数据安全处理服务接口为修改接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口包括:
所述软件系统将所述认证令牌和所述待审批的数据信息作为调用参数调用所述修改接口。
5.根据权利要求4所述的方法,其特征在于,所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统验证所述认证令牌后,基于所述待审批的数据信息查询对应的第一密文和第一私钥;
所述第三方认证系统将查询的第一密文和第一私钥发送给所述软件系统;
所述软件系统基于接收的第一私钥对接收的第一密文进行解密,并将解密得到的数据展示在审批页面中。
6.根据权利要求2所述的方法,其特征在于,所述数据处理请求为归档请求,所述数据安全处理服务接口为归档接口;
所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统基于归档请求,查询并获取对应的第一密文和第一私钥;
所述第三方认证系统使用所述第一私钥对所述第一密文进行解密,并使用第二密钥对中的第二公钥再次加密,得到第二密文;
所述第三方认证系统存储所述第二密文。
7.根据权利要求6所述的方法,其特征在于,所述数据处理请求为合同管理请求,所述合同管理请求中包括合同信息和所述第二密钥对中的第二私钥,所述数据安全处理服务接口为查询接口;
所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口包括:所述软件系统将所述认证令牌和所述合同信息作为调用参数调用所述查询接口。
8.根据权利要求7所述的方法,其特征在于,所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理包括:
所述第三方认证系统基于所述合同信息查询对应的第二密文;
所述第三方认证系统将所述第二密文发送给所述软件系统;
所述软件系统使用所述第二私钥对所述第二密文进行解密,得到合同明文数据;
所述软件系统将所述合同明文数据显示在合同页面中。
9.一种基于隐私保护的身份签名加解密装置,其特征在于,所述装置包括:
获取模块,用于响应于登录操作,所述软件系统通过第三方认证系统对登录用户的身份信息进行认证,并获取所述第三方认证系统生成的认证令牌;
确定模块,用于响应于数据处理请求,所述软件系统基于所述数据处理请求的请求类型,确定所述请求类型对应的数据安全处理服务接口;
处理模块,用于所述软件系统将所述认证令牌作为调用参数调用所述数据安全处理服务接口,以使所述第三方认证系统验证所述认证令牌后,配合所述软件系统进行数据安全处理。
10.一种电子设备,其特征在于,所述装置包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-8中任一项所述的方法。
CN202210999982.4A 2022-08-19 2022-08-19 一种基于隐私保护的身份签名加解密方法 Pending CN115412255A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210999982.4A CN115412255A (zh) 2022-08-19 2022-08-19 一种基于隐私保护的身份签名加解密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210999982.4A CN115412255A (zh) 2022-08-19 2022-08-19 一种基于隐私保护的身份签名加解密方法

Publications (1)

Publication Number Publication Date
CN115412255A true CN115412255A (zh) 2022-11-29

Family

ID=84160816

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210999982.4A Pending CN115412255A (zh) 2022-08-19 2022-08-19 一种基于隐私保护的身份签名加解密方法

Country Status (1)

Country Link
CN (1) CN115412255A (zh)

Similar Documents

Publication Publication Date Title
US10554420B2 (en) Wireless connections to a wireless access point
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN111770057B (zh) 身份验证系统及身份验证方法
CN109981665B (zh) 资源提供方法及装置、资源访问方法及装置和系统
CN110213195B (zh) 一种登录认证方法、服务器及用户终端
KR20220086580A (ko) 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴
WO2009110457A1 (ja) 認証情報生成システム、認証情報生成方法、クライアント装置及びその方法を実装した認証情報生成プログラム
CN110677382A (zh) 数据安全处理方法、装置、计算机系统及存储介质
CN109684129B (zh) 数据备份恢复方法、存储介质、加密机、客户端和服务器
CN111130799B (zh) 一种基于tee进行https协议传输的方法及系统
DK2414983T3 (en) Secure computer system
CN109981677B (zh) 一种授信管理方法及装置
CN108667800B (zh) 一种访问权限的认证方法及装置
CN110807210B (zh) 一种信息处理方法、平台、系统及计算机存储介质
CN117082501A (zh) 一种移动端数据加密方法
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN108429621B (zh) 一种身份验证方法及装置
JP7079528B2 (ja) サービス提供システム及びサービス提供方法
JP2007116641A (ja) 秘密情報送信方法
CN115150193A (zh) 一种数据传输中敏感信息加密方法、系统和可读存储介质
CN115459929A (zh) 安全验证方法、装置、电子设备、系统、介质和产品
CN115412255A (zh) 一种基于隐私保护的身份签名加解密方法
Bojanova et al. Cryptography classes in bugs framework (BF): Encryption bugs (ENC), verification bugs (VRF), and key management bugs (KMN)
CN112769560B (zh) 一种密钥管理方法和相关装置
JP2013179473A (ja) アカウント生成管理システム、アカウント生成管理サーバ、アカウント生成管理方法及びアカウント生成管理プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination