CN115549910B - 一种数据传输方法、设备以及存储介质 - Google Patents

一种数据传输方法、设备以及存储介质 Download PDF

Info

Publication number
CN115549910B
CN115549910B CN202211513285.XA CN202211513285A CN115549910B CN 115549910 B CN115549910 B CN 115549910B CN 202211513285 A CN202211513285 A CN 202211513285A CN 115549910 B CN115549910 B CN 115549910B
Authority
CN
China
Prior art keywords
data
key
hard disk
certificate
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211513285.XA
Other languages
English (en)
Other versions
CN115549910A (zh
Inventor
崔佳宁
尹作刚
张琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202211513285.XA priority Critical patent/CN115549910B/zh
Publication of CN115549910A publication Critical patent/CN115549910A/zh
Application granted granted Critical
Publication of CN115549910B publication Critical patent/CN115549910B/zh
Priority to PCT/CN2023/096611 priority patent/WO2024113724A1/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据传输方法,涉及存储领域,包括以下步骤:数据发送硬盘以及数据接收硬盘利用数字证书进行身份标识信息协商以及临时密钥协商,并基于协商的身份标识信息和临时密钥生成相同的对称密钥;所述数据发送硬盘利用所述对称密钥对待传输的数据进行加密并发送到所述数据接收硬盘;所述数据接收硬盘利用所述对称密钥对接收到的所述待传输的数据进行解密。本发明还公开了一种计算机设备以及可读存储介质。本发明提出的方案通过硬盘之间进行密钥协商和数据加密传输,不依赖于主机环境,保证了数据传输的灵活性和安全性。

Description

一种数据传输方法、设备以及存储介质
技术领域
本发明涉及存储领域,具体涉及一种数据传输方法、设备以及存储介质。
背景技术
目前固态硬盘由于低时延、高性能、低功耗等优点被广泛用于记录数据,例如在人工智能、环境检测等环境中,需要快速的收集大量的数据,用于后续的分析或训练,但限于本地环境的条件,可能需要把数据通过网络远程传输到服务器端进行分析建模。为了防止数据在网络传输过程中被攻击者窃取或修改,需要对数据进行加密处理,一般采用的方案是在主机上把固态硬盘数据读出后,双方进行密钥协商,通过双方协商的密钥进行加密传输,但这种方案依赖于主机环境,需要主机必须是可信任的,否则依然会带来数据的泄密。
发明内容
有鉴于此,为了克服上述问题的至少一个方面,本发明实施例提出一种数据传输方法,包括以下步骤:
数据发送硬盘以及数据接收硬盘利用数字证书进行身份标识信息协商以及临时密钥协商,并基于协商的身份标识信息和临时密钥生成相同的对称密钥;
所述数据发送硬盘利用所述对称密钥对待传输的数据进行加密并发送到所述数据接收硬盘;
所述数据接收硬盘利用所述对称密钥对接收到的所述待传输的数据进行解密。
在一些实施例中,还包括:
所述数据发送硬盘和所述数据接收硬盘出厂前,均预先生成签名公私钥对和加密公私钥对;
利用预设私钥对所述签名公私钥对中的公钥和所述加密公私钥对进行签名得到签名证书和加密证书;
将所述签名公私钥对中与所述签名证书对应的签名私钥、所述签名证书、加密公私钥对中与所述加密证书对应的加密私钥、所述加密证书以及所述预设私钥对应的公钥证书保存到预设存储位置。
在一些实施例中,数据发送硬盘以及数据接收硬盘利用数字证书进行身份标识信息协商以及临时密钥协商,并基于协商的身份标识信息和临时密钥生成相同的对称密钥,进一步包括:
利用所述数据发送硬盘向所述数据接收硬盘发送预设命令;
所述数据接收硬盘接收到所述预设命令,读取第一签名证书和第一加密证书,并发送给所述数据发送硬盘;
响应于所述数据发送硬盘接收到所述第一签名证书和所述第一加密证书,利用所述数据发送硬盘中的公钥证书验证所述第一签名证书和所述第一加密证书的合法性。
在一些实施例中,还包括:
响应于验证通过,所述数据发送硬盘生成第二临时密钥,并利用接收到的第一加密证书加密所述第二临时密钥;
利用所述第二临时密钥加密所述数据发送硬盘的第二身份标识信息;
获取所述数据发送硬盘的第二签名证书和第二加密证书;
利用所述数据发送硬盘的签名私钥对加密后的所述第二临时密钥、加密后的所述第二身份标识信息、所述第二签名证书和所述第二加密证书进行签名得到第二签名数据,并发送到所述数据接收硬盘。
在一些实施例中,还包括:
响应于所述数据接收硬盘接收到所述第二签名数据,利用所述数据接收硬盘中的公钥证书验证所述第二签名数据中的所述第二签名证书和所述第二加密证书的合法性;
响应于合法,利用第二签名证书验证所述第二签名数据是否完整。
在一些实施例中,还包括:
所述数据接收硬盘利用所述第一加密证书对应的第一加密私钥对加密后的所述第二临时密钥进行解密得到所述第二临时密钥;
利用所述第二临时密钥对加密后的所述第二身份标识信息进行解密得到所述第二身份标识信息。
在一些实施例中,还包括:
所述数据接收硬盘生成第一临时密钥,并利用接收到的第二加密证书加密所述第一临时密钥;
利用所述第一临时密钥加密所述数据接收硬盘的第一身份标识信息;
利用所述数据接收硬盘的签名私钥对加密后的所述第一临时密钥、加密后的所述第一身份标识信息进行签名得到第一签名数据,并发送到所述数据接收硬盘。
在一些实施例中,还包括:
响应于所述数据接收硬盘利用所述第一签名证书对所述第一签名数据进行完整性验证。
在一些实施例中,还包括:
所述数据发送硬盘利用所述第二加密证书对应的第二加密私钥对加密后的所述第一临时密钥进行解密得到所述第一临时密钥;
利用所述第一临时密钥对加密后的所述第一身份标识信息进行解密得到所述第一身份标识信息。
在一些实施例中,还包括:
所述数据接收硬盘和所述数据发送硬盘分别利用所述第一临时密钥、所述第一身份标识信息、所述第二临时密钥、所述第二身份标识信息生成所述对称密钥和鉴别密钥。
在一些实施例中,还包括:
所述数据发送硬盘利用第一公式计算第二校验数据,并利用所述对称密钥加密所述第二校验数据,以及将加密后的所述第二校验数据发送到所述数据接收硬盘,其中,所述第一公式为:
HMAC(K,M1)=H(K⊕opad∣H(K⊕ipad∣M1))
其中,K为鉴别密钥,M1为第二临时密钥 | 第一临时密钥 | 第二身份标识信息 |第一身份标识信息,opad、ipad为不同的常数,⊕为XOR运算,H表示hash运算,‘|’表示数据拼接。
在一些实施例中,还包括:
所述数据接收硬盘利用所述第一公式计算第一校验数据,并利用所述对称密钥解密接收到的加密后的所述第二校验数据,并将所述第一校验数据与所述第二校验数据进行对比。
在一些实施例中,还包括:
所述数据接收硬盘利用第二公式计算第一校验数据,并利用所述对称密钥加密所述第一校验数据,以及将加密后的所述第一校验数据发送到所述数据发送硬盘,其中,所述第二公式为:
HMAC(K,M2)=H(K⊕opad∣H(K⊕ipad∣M2))
其中,K为鉴别密钥,M2为第一临时密钥 | 第二临时密钥 | 第一身份标识信息 |第二身份标识信息,opad、ipad为不同的常数,⊕为XOR运算,H表示hash运算,‘|’表示数据拼接。
在一些实施例中,还包括:
所述数据发送硬盘利用所述第二公式计算第二校验数据,并利用所述对称密钥解密接收到的加密后的所述第一校验数据,并将所述第一校验数据与所述第二校验数据进行对比。
在一些实施例中,所述数据发送硬盘利用所述对称密钥对待传输的数据进行加密并发送到所述数据接收硬盘,进一步包括:
获取待传输的数据并利用所述对称密钥进行加密;
组织头信息并利用所述鉴别密钥计算所述头信息的哈希值;
将所述加密后的待传输数据以及所述哈希值发送到所述数据接收硬盘。
在一些实施例中,所述数据接收硬盘利用所述对称密钥对接收到的所述待传输的数据进行解密,进一步包括:
利用鉴别密钥验证所述哈希值;
响应于验证成功,使用对称密钥解密出明文数据,并根据地址和数据长度保存到相应位置。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如上所述的任一种数据传输方法的步骤。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时执行如上所述的任一种数据传输方法的步骤。
本发明具有以下有益技术效果之一:本发明提出的方案通过硬盘之间进行密钥协商和数据加密传输,不依赖于主机环境,保证了数据传输的灵活性和安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明的实施例提供的数据传输方法的流程示意图;
图2为本发明的实施例提供的第一阶段中协商密钥过程中所有数据交互的示意图;
图3为本发明的实施例提供的第一阶段中协商密钥过程中的部分数据交互的示意图;
图4为本发明的实施例提供的第一阶段中协商密钥过程中的另一部分数据交互的示意图;
图5为本发明的实施例提供的第一阶段中协商密钥过程中的另一部分数据交互的示意图;
图6为本发明的实施例定义的通用载荷头示意图;
图7为本发明的实施例提供的头信息示意图;
图8为本发明的实施例提供的计算机设备的结构示意图;
图9为本发明的实施例提供的计算机可读存储介质的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
在本发明的实施例中,Asymmetric_Encrypt(msg, pub_key):使用非对称密钥对的公钥pub_key对消息msg进行非对称算法加密。非对称算法可以为SM2或RSA等。
Asymmetric_Sign(msg,priv_key):使用非对称密钥对的私钥priv_key对消息msg进行数字签名。签名算法可以为SM2或RSA等。
Symmetric_Encrypt(msg,key):使用对称密钥key对消息msg进行对称算法加密。加密算法可以为SM4或3DES等。
PRF(key,msg):使用密钥key对消息msg进行数据摘要计算。PRF(pseudo randomfunction,伪随机函数)
HASH(msg):使用密码杂凑算法对消息msg进行数据摘要计算。摘要算法可以为SM3或SHA-256等。
Vendor_cert:厂商证书,厂商私钥对厂商公钥签发的证书。证书的内容包括:厂商的信息、厂商公钥、权威机构的签字和有效期等等。证书的格式和验证方法普遍遵循X.509国际标准。
SSD_cert:SSD证书,使用厂商私钥对SSD的公钥签发的证书。证书的内容包括:厂商的信息、SSD公钥、权威机构的签字和有效期等等。证书的格式和验证方法普遍遵循X.509国际标准。本发明使用的证书分为2种,一种是签名证书,相关联的公私钥对用来签名验证,本地SSD证书表示为SSD_cert_sig_local,远程服务器端的SSD证书表示为 SSD_cert_sig_server。一种是加解密证书,相关联的公私钥对用来加解密操作,本地SSD证书表示为 SSD_cert_enc_local,远程服务器端的SSD证书表示为 SSD_cert_enc_server。
HMAC:是密钥相关的哈希运算消息认证码(Hash-based Message AuthenticationCode)的缩写。HMAC中的H代指Hash散列算法,HMAC可以使用多种单项散列式,例如使用SHA-1。HMAC(K,M)=H(K⊕opad∣H(K⊕ipad∣M)),其中‘K’表示密钥,‘M’表示消息,‘⊕’表示XOR运算,‘H’表示hash运算,‘|’表示前后数据拼接在一起,opad和ipad表示不同的常数。
根据本发明的一个方面,本发明的实施例提出一种数据传输方法,如图1所示,其可以包括步骤:
S1,数据发送硬盘以及数据接收硬盘利用数字证书进行身份标识信息协商以及临时密钥协商,并基于协商的身份标识信息和临时密钥生成相同的对称密钥;
S2,所述数据发送硬盘利用所述对称密钥对待传输的数据进行加密并发送到所述数据接收硬盘;
S3,所述数据接收硬盘利用所述对称密钥对接收到的所述待传输的数据进行解密。
本发明提出的方案通过在硬盘之间进行密钥协商和数据加密传输,不依赖于主机环境,从而使得数据传输更加灵活和安全。
在一些实施例中,本发明设计的硬盘之间进行数据传输,例如本地固态硬盘与远程服务器上的固态硬盘之间进行安全数据传输,可以分为2个阶段,第一个阶段是密钥交换,第2个阶段是使用密钥加密保护传输数据。
(1)在第一阶段,通信双方使用数字证书的方式保护交互数据,通过交互的数据按照协商好的算法计算出相同的对称密钥,用于保护第二阶段的数据传输过程。攻击者无法获得厂商私钥,就不能生成合法的数字证书,即使攻击者截取到传输的SSD数字证书,但无法获取存储在SSD内部的私钥,也不能使用私钥解密数据或使用私钥签名数据,保证了密钥协商过程的安全性。
(2)在第二阶段,主机向SSD发送要读取的数据的地址和长度,SSD使用第一阶段得到的对称密钥,对数据计算哈希值,并使用对称密钥加密,再返回给主机。主机把数据通过网络远程传输给服务器,服务器上的SSD会使用第一阶段得到的对称密钥解密数据,验证哈希值,并保存数据。
在一些实施例中,还包括:
所述数据发送硬盘和所述数据接收硬盘出厂前,均预先生成签名公私钥对和加密公私钥对;
利用预设私钥对所述签名公私钥对中的公钥和所述加密公私钥对进行签名得到签名证书和加密证书;
将所述签名公私钥对中与所述签名证书对应的签名私钥、所述签名证书、加密公私钥对中与所述加密证书对应的加密私钥、所述加密证书以及所述预设私钥对应的公钥证书保存到预设存储位置。
具体的,在SSD出厂前,厂商向SSD发送私有命令,使SSD产生2对公私钥对,SSD把私钥保存到非易失性flash中,把公钥返回给主机,主机使用厂商私钥对SSD的公钥签名,分别生成SSD的SSD_cert_sig签名证书和SSD_cert_enc加密证书,并和厂商的公钥证书Vendor_cert一起发送给SSD,SSD把Vendor_cert、SSD_cert_sig签名证书和SSD_cert_enc加密证书保存到非易失性flash中。
两对公私钥对,一对公私钥用于在密钥协商阶段,对传输的数据进行签名验签操作,保证数据的完整性和数据源身份,私钥签名,公钥验签。一对公私钥用于加解密操作,在密钥协商阶段,加解密产生的临时对称密钥,公钥加密,私钥解密。
需要说明的是,在本发明的实施例中,数据接收硬盘的签名证书记为第一签名证书,加密证书记为第一加密证书,身份标识信息记为第一身份标识信息,签名数据记为第一签名数据,临时密钥记为第一临时密钥;数据发送硬盘的签名证书记为第二签名证书,加密证书记为第二加密证书,身份标识信息记为第二身份标识信息,签名数据记为第二签名数据,临时密钥记为第二临时密钥。
在一些实施例中,数据发送硬盘以及数据接收硬盘利用数字证书进行身份标识信息协商以及临时密钥协商,并基于协商的身份标识信息和临时密钥生成相同的对称密钥,进一步包括:
利用所述数据发送硬盘向所述数据接收硬盘发送预设命令;
所述数据接收硬盘接收到所述预设命令,读取第一签名证书和第一加密证书,并发送给所述数据发送硬盘;
响应于所述数据发送硬盘接收到所述第一签名证书和所述第一加密证书,利用所述数据发送硬盘中的公钥证书验证所述第一签名证书和所述第一加密证书的合法性。
在一些实施例中,还包括:
响应于验证通过,所述数据发送硬盘生成第二临时密钥,并利用接收到的第一加密证书加密所述第二临时密钥;
利用所述第二临时密钥加密所述数据发送硬盘的第二身份标识信息;
获取所述数据发送硬盘的第二签名证书和第二加密证书;
利用所述数据发送硬盘的签名私钥对加密后的所述第二临时密钥、加密后的所述第二身份标识信息、所述第二签名证书和所述第二加密证书进行签名得到第二签名数据,并发送到所述数据接收硬盘。
在一些实施例中,还包括:
响应于所述数据接收硬盘接收到所述第二签名数据,利用所述数据接收硬盘中的公钥证书验证所述第二签名数据中的所述第二签名证书和所述第二加密证书的合法性;
响应于合法,利用第二签名证书验证所述第二签名数据是否完整。
在一些实施例中,还包括:
所述数据接收硬盘利用所述第一加密证书对应的第一加密私钥对加密后的所述第二临时密钥进行解密得到所述第二临时密钥;
利用所述第二临时密钥对加密后的所述第二身份标识信息进行解密得到所述第二身份标识信息。
在一些实施例中,还包括:
所述数据接收硬盘生成第一临时密钥,并利用接收到的第二加密证书加密所述第一临时密钥;
利用所述第一临时密钥加密所述数据接收硬盘的第一身份标识信息;
利用所述数据接收硬盘的签名私钥对加密后的所述第一临时密钥、加密后的所述第一身份标识信息进行签名得到第一签名数据,并发送到所述数据接收硬盘。
在一些实施例中,还包括:
响应于所述数据接收硬盘利用所述第一签名证书对所述第一签名数据进行完整性验证。
在一些实施例中,还包括:
所述数据发送硬盘利用所述第二加密证书对应的第二加密私钥对加密后的所述第一临时密钥进行解密得到所述第一临时密钥;
利用所述第一临时密钥对加密后的所述第一身份标识信息进行解密得到所述第一身份标识信息。
在一些实施例中,还包括:
所述数据接收硬盘和所述数据发送硬盘分别利用所述第一临时密钥、所述第一身份标识信息、所述第二临时密钥、所述第二身份标识信息生成所述对称密钥和鉴别密钥。
在一些实施例中,还包括:
所述数据发送硬盘利用第一公式计算第二校验数据,并利用所述对称密钥加密所述第二校验数据,以及将加密后的所述第二校验数据发送到所述数据接收硬盘,其中,所述第一公式为:
HMAC(K,M1)=H(K⊕opad∣H(K⊕ipad∣M1))
其中,K为鉴别密钥,M1为第二临时密钥 | 第一临时密钥 | 第二身份标识信息 |第一身份标识信息,opad、ipad为不同的常数,⊕为XOR运算,H表示hash运算,‘|’表示数据拼接。
在一些实施例中,还包括:
所述数据接收硬盘利用所述第一公式计算第一校验数据,并利用所述对称密钥解密接收到的加密后的所述第二校验数据,并将所述第一校验数据与所述第二校验数据进行对比。
在一些实施例中,还包括:
所述数据接收硬盘利用第二公式计算第一校验数据,并利用所述对称密钥加密所述第一校验数据,以及将加密后的所述第一校验数据发送到所述数据发送硬盘,其中,所述第二公式为:
HMAC(K,M2)=H(K⊕opad∣H(K⊕ipad∣M2))
其中,K为鉴别密钥,M2为第一临时密钥 | 第二临时密钥 | 第一身份标识信息 |第二身份标识信息,opad、ipad为不同的常数,⊕为XOR运算,H表示hash运算,‘|’表示数据拼接。
在一些实施例中,还包括:
所述数据发送硬盘利用所述第二公式计算第二校验数据,并利用所述对称密钥解密接收到的加密后的所述第一校验数据,并将所述第一校验数据与所述第二校验数据进行对比。
在一些实施例中,所述数据发送硬盘利用所述对称密钥对待传输的数据进行加密并发送到所述数据接收硬盘,进一步包括:
获取待传输的数据并利用所述对称密钥进行加密;
组织头信息并利用所述鉴别密钥计算所述头信息的哈希值;
将所述加密后的待传输数据以及所述哈希值发送到所述数据接收硬盘。
在一些实施例中,所述数据接收硬盘利用所述对称密钥对接收到的所述待传输的数据进行解密,进一步包括:
利用鉴别密钥验证所述哈希值;
响应于验证成功,使用对称密钥解密出明文数据,并根据地址和数据长度保存到相应位置。
下面以本地硬盘为数据发送硬盘、远程服务器硬盘为数据接收硬盘为例,详细说明本发明提出的数据传输方法。
第一阶段中协商密钥过程中的数据交互可以如图2所示,结合图3-图5对数据交互过程进行分析:
(1)如图3所示,消息1、2、3为:
a)当需要把本地固态硬盘的数据发送给远程服务器上的固态硬盘时,本地主机通过远程服务器的IP地址和事先约定好的端口号向远程服务器发送自定义的协商密钥启动命令。
b)远程服务器通过端口号来判断这是协商密钥及安全数据传输的应用指令,向要存储数据的固态硬盘发送私有命令,读取固态硬盘证书SSD_cert_sig_server签名证书和SSD_cert_enc_server加密证书,SSD组织返回签名证书载荷sig_cert_server_payload和加密证书载荷enc_cert_server_payload(在数据交互过程中会传输多种类型的数据,这里称之为载荷)发送给本地主机。
c)本地主机接收到数据后,发送给本地SSD,该SSD判断收到证书载荷,则使用出厂前保存在非易失性flash中的厂商证书Vendor_cert中的厂商公钥验证这2个证书的合法性。如果验证成功则继续后续操作,如果失败,则停止后续协商,返回错误状态。
(2)如图4所示,消息4、5为:
a)本地SSD验证服务器端SSD的证书成功后,产生一个临时对称密钥Sk_local,使用服务器端SSD的SSD_cert_enc_server加密公钥证书中的公钥pub_server加密该对称密钥Sk_local,得到对称密钥载荷Sk_local_payload。使用对称密钥Sk_local对SSD自身的身份标识信息(如序列号等代表身份的信息)进行加密,得到身份标识信息载荷ID_local_payload。使用本地SSD自身的SSD_cert_sig_local签名证书和SSD_cert_enc_local加密证书组织得到签名证书载荷sig_cert_local_payload和加密证书载荷enc_cert_local_payload。为了保证数据的完整性和防伪造,使用本地SSD的签名私钥sig_priv_local对Sk_local_payload、ID_local_payload、enc_cert_local_payload计算签名数据sig_local(计算公式如下所示),组织签名载荷sig_payload_local。本地SSD把上述组织的载荷数据发送给本地主机,本地主机发送给远程服务器。
sig_local=Asymmetric_Sign(Sk_local_payload|ID_local_payload| enc_cert_local_payload,sig_priv_local)
b)远程服务器接收到数据后,发送给服务器端SSD,服务器端SSD收到数据后,先使用出厂前保存在非易失性flash中的厂商证书Vendor_cert中的厂商公钥验证这 sig_cert_local_payload 和enc_cert_local_payload中的2个证书的合法性。如果合法,则使用签名证书载荷sig_cert_local_payload中的本地SSD签名公钥以及传输的载荷数据验证签名载荷sig_payload_local的签名数据sig_local,如果验证成功,表示数据传输完整且合法。攻击者无法拿到厂商私钥,不能修改证书载荷,否则证书会验证失败。攻击者也无法拿到本地端SSD的私钥,如果修改了传输数据,那么签名载荷sig_payload_local会验签失败。
c)服务器端SSD使用自己的加解密私钥解密对称密钥载荷Sk_local_payload得到本地SSD的临时对称密钥Sk_local(因为本地端SSD加密Sk_local时使用的是服务器端SSD的加密公钥),再使用Sk_local解密身份标识信息载荷ID_local_payload,得到本地SSD的身份标识信息ID_local。
d)服务器端SSD产生一个临时对称密钥Sk_server,使用本地端SSD的SSD_cert_enc_local证书中的公钥pub_local加密该对称密钥Sk_server,得到对称密钥载荷Sk_server_payload。使用对称密钥Sk_server对SSD自身的身份标识信息ID_server(如序列号等代表身份的信息)进行加密,得到身份标识信息载荷ID_server_payload。为了保证数据的完整性和防伪造,使用服务器端SSD的签名私钥sig_priv_server对Sk_server_payload、ID_server_payload、enc_cert_server_payload(在消息3中已经传输给了本地端SSD)计算签名数据sig_server(计算公式如下所示),得到签名载荷sig_payload_server。服务器端SSD把上述组织的载荷数据发送给服务器,服务器发送给本地主机。
sig_server=Asymmetric_Sign(Sk_server_payload|ID_server_payload| enc_cert_server_payload,sig_priv_server)
e)服务器端SSD现在已经知道了Sk_local、Sk_server、ID_local、ID_server,使用如下算法计算得到密钥种子keyseed,再使用keyseed计算得到第二阶段加密数据使用的加密密钥key_enc和验证消息完整性以及数据源身份所使用的鉴别密钥key_auth。
keyseed = PRF(HASH(Sk_local|Sk_server),ID_local|ID_server)
key_enc = PRF(keyseed,ID_local|ID_server|0)
key_auth = PRF(key_enc,ID_local|ID_server|1)
上述计算公式中的值0、1是为了防止计算得到的key_enc和key_auth相同。
f)本地主机接收到数据后,发送给本地端SSD,本地端SSD收到数据后,使用在消息3中收到的服务器端的签名证书载荷sig_cert_server_payload中的服务器端SSD签名公钥以及传输的载荷数据验证签名载荷sig_payload_server的签名数据,如果验证成功,表示数据传输完整且合法。
g)本地端SSD使用自己的加解密私钥解密对称密钥载荷Sk_server_payload得到服务器端SSD的临时对称密钥Sk_server,再使用Sk_server解密身份标识信息载荷ID_server_payload,得到服务器端SSD的身份标识信息ID_server。
h)此时本地端SSD现在已经知道了Sk_local、Sk_server、ID_local、ID_server,使用如下算法计算得到密钥种子keyseed,再使用keyseed计算得到第二阶段加密数据使用的加密密钥key_enc和验证消息完整性以及数据源身份所使用的鉴别密钥key_auth。
keyseed = PRF(HASH(Sk_local|Sk_server), ID_local|ID_server)
key_enc = PRF(keyseed, ID_local|ID_server|0)
key_auth = PRF(key_enc, ID_local|ID_server|1)
(3)如图5所示,消息6、7为:
a)这时本地端和服务器端SSD都已经通过交互的数据和协商好的算法计算出了相同的密钥。为了鉴别前面的交换过程,验证双方计算的密钥是否正确,本地端SSD使用如下公式计算hash_local:
HMAC(K,M1)=H(K⊕opad∣H(K⊕ipad∣M1))
其中,K为key_auth,M1为Sk_local | Sk_server | ID_local | ID_server,opad、ipad为不同的常数,⊕为XOR运算,H表示hash运算,‘|’表示数据拼接。
再使用本地端计算出的加密密钥key_enc密钥加密hash_local,得到的加密的hash数据载荷enc_hash_local_payload通过本地主机发送给远程服务器。
b)服务器收到数据后,发送给服务器端SSD,服务器端SSD使用服务器端计算出的加密密钥key_enc解密载荷数据,并使用上述同样的公式验证 hash_local是否正确。如果验证成功,则服务器端SSD使用如下公式计算hash_server:
HMAC(K,M2)=H(K⊕opad∣H(K⊕ipad∣M2))
K为key_auth,M2为Sk_server | Sk_local | ID_server | ID_local。
需要说明的是,这里计算的消息中本地端和服务器端SSD的相关数据顺序不同,hash值就不同。
再使用服务器端计算出的key_enc密钥加密hash_server,得到的加密的hash数据载荷enc_hash_server_payload通过服务器发送给本地主机。
c)本地主机接收到数据后,发送给本地SSD,本地SSD解密后验证hash_server,验证通过后,表示双方已经通过前面的交互流程,计算得到了相同的加密密钥key_enc和鉴别密钥 key_auth,可以进行第二阶段的数据传输。
在一些实施例中,为了区分每种载荷,可以定义通用载荷头。如图6所示,当前载荷:这个字段的长度为1个字节,标识信息了本载荷的类型。根据载荷类型判断当前数据要应用哪些操作。下一个载荷:这个字段的长度为1个字节,标识信息了本载荷后下一个载荷的类型。如果当前载荷是最后一个,则该字段将被置为0。载荷长度:这个字段的长度为2个字节,长度数值以字节为单位。计算范围包括通用载荷头在内的整个载荷。
第二阶段——数据加密保护传输
(1)经过第一阶段的密钥协商后,通信双方都建立了相同了密钥,可以开始传输数据了,本地主机向本地端SSD发送要读取的数据地址偏移和数据长度,本地端SSD收到后从非易失性flash中读出数据data,使用第一阶段协商出的对称算法加密密钥key_enc,使用如下公式①计算出加密的数据。组织出的如图7所示的头信息header(头信息可以根据实际情况进行扩展)、加密的数据,然后使用第一阶段协商出的鉴别密钥key_auth,使用如下公式②计算得到哈希值,然后加到数据的最后面,本地端SSD把组织后的数据,返回给本地主机,本地主机发送给远程服务器。
data_enc = Symmetric_Encrypt(data, key_enc) ①
data_hash = HMAC(key_auth, header|data_enc) ②
(2)远程服务器收到数据后发给服务器端SSD,服务器端SSD先使用鉴别密钥key_auth验证数据末尾的哈希值,验证成功后,表示数据完整,没有被篡改。接着使用加密密钥key_enc解密出明文数据,根据地址和数据长度保存到非易失性flash中。如果验证失败,则回复给服务器验证失败,服务器告知本地主机。
(3)如此重复上述步骤1、2,把要传输的所有数据都传输保存到了服务器端的SSD上了,这样服务器就可以使用这些数据进行分析或训练等操作。
需要说明的是,密钥的有效期视实际使用情况而定,可以在发送接收完这一批数据之后,密钥就失效,如果再继续传输新的一批数据,则需要重新协商。
本发明提出的方案通过硬盘之间进行密钥协商和数据加密传输,不依赖于主机环境,保证了数据传输的灵活性和安全性。即固态硬盘之间进行密钥协商,不需要主机安装任何相关的安全证书,不需要过多依赖于本地系统环境是否可信,不用担心本地主机被入侵获取到固态硬盘的明文数据或得到密钥信息,只需要在本地系统环境中,向固态硬件发送私有命令,并把得到的数据通过网络远程传输给服务器即可。每次申请数据传输时,固态硬盘之间首先进行密钥协商,使用协商的密钥对传输的数据进行加密,及计算哈希值,保证数据传输的安全性和完整性。
基于同一发明构思,根据本发明的另一个方面,如图8所示,本发明的实施例还提供了一种计算机设备501,包括:
至少一个处理器520;以及
存储器510,存储器510存储有可在处理器上运行的计算机程序511,处理器520执行程序时执行如上的任一种数据传输方法的步骤。
基于同一发明构思,根据本发明的另一个方面,如图9所示,本发明的实施例还提供了一种计算机可读存储介质601,计算机可读存储介质601存储有计算机程序610,计算机程序610被处理器执行时执行如上的任一种数据传输方法的步骤。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

Claims (21)

1.一种数据传输方法,其特征在于,包括以下步骤:
数据发送硬盘以及数据接收硬盘利用数字证书进行身份标识信息协商以及临时密钥协商,并基于协商的身份标识信息和临时密钥生成相同的对称密钥;
所述数据发送硬盘利用所述对称密钥对待传输的数据进行加密并发送到所述数据接收硬盘;
所述数据接收硬盘利用所述对称密钥对接收到的所述待传输的数据进行解密;
其中,所述方法还包括:
所述数据发送硬盘和所述数据接收硬盘出厂前,均预先生成签名公私钥对和加密公私钥对;
利用预设私钥对所述签名公私钥对中的公钥和所述加密公私钥对进行签名得到签名证书和加密证书;
将所述签名公私钥对中与所述签名证书对应的签名私钥、所述签名证书、加密公私钥对中与所述加密证书对应的加密私钥、所述加密证书以及所述预设私钥对应的公钥证书保存到预设存储位置。
2.如权利要求1所述的方法,其特征在于,数据发送硬盘以及数据接收硬盘利用数字证书进行身份标识信息协商以及临时密钥协商,并基于协商的身份标识信息和临时密钥生成相同的对称密钥,进一步包括:
利用所述数据发送硬盘向所述数据接收硬盘发送预设命令;
所述数据接收硬盘接收到所述预设命令,读取第一签名证书和第一加密证书,并发送给所述数据发送硬盘;
响应于所述数据发送硬盘接收到所述第一签名证书和所述第一加密证书,利用所述数据发送硬盘中的公钥证书验证所述第一签名证书和所述第一加密证书的合法性。
3.如权利要求2所述的方法,其特征在于,还包括:
响应于验证通过,所述数据发送硬盘生成第二临时密钥,并利用接收到的第一加密证书加密所述第二临时密钥。
4.如权利要求3所述的方法,其特征在于,还包括:
利用所述第二临时密钥加密所述数据发送硬盘的第二身份标识信息;以及
获取所述数据发送硬盘的第二签名证书和第二加密证书。
5.如权利要求4所述的方法,其特征在于,还包括:
利用所述数据发送硬盘的签名私钥对加密后的所述第二临时密钥、加密后的所述第二身份标识信息、所述第二签名证书和所述第二加密证书进行签名得到第二签名数据,并发送到所述数据接收硬盘。
6.如权利要求5所述的方法,其特征在于,还包括:
响应于所述数据接收硬盘接收到所述第二签名数据,利用所述数据接收硬盘中的公钥证书验证所述第二签名数据中的所述第二签名证书和所述第二加密证书的合法性;
响应于合法,利用第二签名证书验证所述第二签名数据是否完整。
7.如权利要求5所述的方法,其特征在于,还包括:
所述数据接收硬盘利用所述第一加密证书对应的第一加密私钥对加密后的所述第二临时密钥进行解密得到所述第二临时密钥。
8.如权利要求7所述的方法,其特征在于,还包括:
利用所述第二临时密钥对加密后的所述第二身份标识信息进行解密得到所述第二身份标识信息。
9.如权利要求8所述的方法,其特征在于,还包括:
所述数据接收硬盘生成第一临时密钥,并利用接收到的第二加密证书加密所述第一临时密钥;
利用所述第一临时密钥加密所述数据接收硬盘的第一身份标识信息。
10.如权利要求9所述的方法,其特征在于,还包括:
利用所述数据接收硬盘的签名私钥对加密后的所述第一临时密钥、加密后的所述第一身份标识信息进行签名得到第一签名数据,并发送到所述数据发送硬盘。
11.如权利要求10所述的方法,其特征在于,还包括:
响应于所述数据发送硬盘利用所述第一签名证书对所述第一签名数据进行完整性验证。
12.如权利要求10所述的方法,其特征在于,还包括:
所述数据发送硬盘利用所述第二加密证书对应的第二加密私钥对加密后的所述第一临时密钥进行解密得到所述第一临时密钥;
利用所述第一临时密钥对加密后的所述第一身份标识信息进行解密得到所述第一身份标识信息。
13.如权利要求12所述的方法,其特征在于,还包括:
所述数据接收硬盘和所述数据发送硬盘分别利用所述第一临时密钥、所述第一身份标识信息、所述第二临时密钥、所述第二身份标识信息生成所述对称密钥和鉴别密钥。
14.如权利要求13所述的方法,其特征在于,还包括:
所述数据发送硬盘利用第一公式计算第二校验数据,并利用所述对称密钥加密所述第二校验数据,以及将加密后的所述第二校验数据发送到所述数据接收硬盘,其中,所述第一公式为:
HMAC(K,M1)=H(K⊕opad∣H(K⊕ipad∣M1))
其中,K为鉴别密钥,M1为第二临时密钥 | 第一临时密钥 | 第二身份标识信息 | 第一身份标识信息,opad、ipad为不同的常数,⊕为XOR运算,H表示hash运算,‘|’表示数据拼接。
15.如权利要求14所述的方法,其特征在于,还包括:
所述数据接收硬盘利用所述第一公式计算第一校验数据,并利用所述对称密钥解密接收到的加密后的所述第二校验数据,并将所述第一校验数据与所述第二校验数据进行对比。
16.如权利要求13所述的方法,其特征在于,还包括:
所述数据接收硬盘利用第二公式计算第一校验数据,并利用所述对称密钥加密所述第一校验数据,以及将加密后的所述第一校验数据发送到所述数据发送硬盘,其中,所述第二公式为:
HMAC(K,M2)=H(K⊕opad∣H(K⊕ipad∣M2))
其中,K为鉴别密钥,M2为第一临时密钥 | 第二临时密钥 | 第一身份标识信息 | 第二身份标识信息,opad、ipad为不同的常数,⊕为XOR运算,H表示hash运算,‘|’表示数据拼接。
17.如权利要求16所述的方法,其特征在于,还包括:
所述数据发送硬盘利用所述第二公式计算第二校验数据,并利用所述对称密钥解密接收到的加密后的所述第一校验数据,并将所述第一校验数据与所述第二校验数据进行对比。
18.如权利要求13所述的方法,其特征在于,所述数据发送硬盘利用所述对称密钥对待传输的数据进行加密并发送到所述数据接收硬盘,进一步包括:
获取待传输的数据并利用所述对称密钥进行加密;
组织头信息并利用所述鉴别密钥计算所述头信息的哈希值;
将所述加密后的待传输数据以及所述哈希值发送到所述数据接收硬盘。
19.如权利要求18所述的方法,其特征在于,所述数据接收硬盘利用所述对称密钥对接收到的所述待传输的数据进行解密,进一步包括:
利用鉴别密钥验证所述哈希值;
响应于验证成功,使用对称密钥解密出明文数据,并根据地址和数据长度保存到相应位置。
20.一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-19任意一项所述的方法的步骤。
21.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行如权利要求1-19任意一项所述的方法的步骤。
CN202211513285.XA 2022-11-30 2022-11-30 一种数据传输方法、设备以及存储介质 Active CN115549910B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202211513285.XA CN115549910B (zh) 2022-11-30 2022-11-30 一种数据传输方法、设备以及存储介质
PCT/CN2023/096611 WO2024113724A1 (zh) 2022-11-30 2023-05-26 一种数据传输方法、设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211513285.XA CN115549910B (zh) 2022-11-30 2022-11-30 一种数据传输方法、设备以及存储介质

Publications (2)

Publication Number Publication Date
CN115549910A CN115549910A (zh) 2022-12-30
CN115549910B true CN115549910B (zh) 2023-03-10

Family

ID=84721908

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211513285.XA Active CN115549910B (zh) 2022-11-30 2022-11-30 一种数据传输方法、设备以及存储介质

Country Status (2)

Country Link
CN (1) CN115549910B (zh)
WO (1) WO2024113724A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115549910B (zh) * 2022-11-30 2023-03-10 苏州浪潮智能科技有限公司 一种数据传输方法、设备以及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114297355A (zh) * 2021-12-13 2022-04-08 合肥大唐存储科技有限公司 一种安全会话的建立方法、系统、固态硬盘和终端设备
CN115296803A (zh) * 2022-08-03 2022-11-04 北京天融信网络安全技术有限公司 一种密钥协商的方法、装置、介质及电子设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11751049B2 (en) * 2019-05-01 2023-09-05 John A. Nix Distributed EAP-TLS authentication for wireless networks with concealed user identities
CN112332978B (zh) * 2020-11-10 2022-09-20 上海商米科技集团股份有限公司 一种基于密钥协商的远程密钥注入方法
CN115549910B (zh) * 2022-11-30 2023-03-10 苏州浪潮智能科技有限公司 一种数据传输方法、设备以及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114297355A (zh) * 2021-12-13 2022-04-08 合肥大唐存储科技有限公司 一种安全会话的建立方法、系统、固态硬盘和终端设备
CN115296803A (zh) * 2022-08-03 2022-11-04 北京天融信网络安全技术有限公司 一种密钥协商的方法、装置、介质及电子设备

Also Published As

Publication number Publication date
WO2024113724A1 (zh) 2024-06-06
CN115549910A (zh) 2022-12-30

Similar Documents

Publication Publication Date Title
US11323276B2 (en) Mutual authentication of confidential communication
US9537657B1 (en) Multipart authenticated encryption
JP4875075B2 (ja) セキュアパッチシステム
JP6950745B2 (ja) 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム
CN111769938B (zh) 一种区块链传感器的密钥管理系统、数据验证系统
CN111614621B (zh) 物联网通信方法和系统
JP6167990B2 (ja) 署名検証システム、検証装置、及び署名検証方法
CN109861956B (zh) 基于状态通道的数据验证系统、方法、装置及设备
CN109905384B (zh) 数据迁移方法及系统
CN109951276B (zh) 基于tpm的嵌入式设备远程身份认证方法
CN111147245A (zh) 一种区块链中使用国家密码进行加密的算法
CN115549910B (zh) 一种数据传输方法、设备以及存储介质
CN114726536A (zh) 一种时间戳生成方法、装置、电子设备及存储介质
EP3482527B1 (en) Apparatus, computer program, and method for securely broadcasting messages
CN112134693B (zh) 密钥加密存储方法、获取方法及其装置
KR20200043855A (ko) Dim을 이용한 드론 인증 방법 및 장치
US11570008B2 (en) Pseudonym credential configuration method and apparatus
CN112787990B (zh) 一种电力终端可信接入认证方法和系统
CN113114458A (zh) 加密证书生成、解密方法及装置、加密证书系统
CN114070564A (zh) 数字签名的方法和装置
EP3361670B1 (en) Multi-ttp-based method and device for verifying validity of identity of entity
CN117596083B (zh) 基于数据脱敏的智能物联网数据聚合方法及装置
CN117857060B (zh) 一种二维码离线核验方法、系统及存储介质
CN113486381A (zh) 微信银行与厂商服务器传输信息的方法及装置
CN116846660A (zh) 一种基于国密算法的报文传输方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant