CN115632778B - 一种多端加解密互通方法 - Google Patents
一种多端加解密互通方法 Download PDFInfo
- Publication number
- CN115632778B CN115632778B CN202211637982.6A CN202211637982A CN115632778B CN 115632778 B CN115632778 B CN 115632778B CN 202211637982 A CN202211637982 A CN 202211637982A CN 115632778 B CN115632778 B CN 115632778B
- Authority
- CN
- China
- Prior art keywords
- equipment
- key
- certificate
- decryption
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/08—Auctions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Computing Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种多端加解密互通方法,涉及信息安全技术领域,包括当用户申请数字证书时,采用第一设备与第二设备联动机制发起证书申请,由CA服务器生成专属对称密钥,并通过秘密分片及门限技术,将对称密钥分成三片并加密分别存储在第一设备、第二设备和第三设备中,当达到三选二的门限条件时,可以在第一设备、第二设备和第三设备任意一端恢复出原始对称密钥,对数据进行加密或解密,从而实现了多端加密解密互通。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种多端加解密互通方法。
背景技术
在电子招投标应用场景中,电子招投标系统对投标人上传电子标书有保密性要求,目前的做法是基于PC端的USBKEY数字证书,采用数字信封加密技术对投标文件进行加密,再上传到服务器。在开标时,同样需要在PC端使用USBKEY数字证书对上传的密文状态标书进行解密才能进行评标。
上述模式在电子招投标移动端应用开发中存在以下局限:
一是USBKEY属于电子产品,在PC上频繁拔插,容易出现接口损坏、静电导致USBKEY元器件受损等故障,导致后续开标解密失败。
二是该模式不能应用在移动端上,无法满足在手机端即可解密开标的新需求。
三是不能实现在服务器端解密,因为加密所用密钥完全依赖于PC端的USBKEY数字证书。
发明内容
为解决现有技术中存在的问题,本发明的目的是提供一种多端加解密互通方法,本发明实现了任意三方设备相互之间的数据加密与解密互通。
为实现上述目的,本发明采用的技术方案是:一种多端加解密互通方法,包括对第一设备、第二设备、和第三设备的任意两端之间进行加解密互通,具体包括以下步骤:
S100、第一设备和第二设备分别申请证书,并将生成的证书请求及用户身份信息发送到第三设备;
S200、第三设备申请证书、生成证书请求,将第一设备、第二设备和第三设备生成的证书请求以及用户身份信息作为证书申请信息集合,将所述证书申请信息集合发送到CA服务器;
S300、CA服务器返回证书及分片密钥:CA服务器产生对称密钥并将其分片成三段,将分片后的密钥进行两两拼接,拼接成三个分片密钥,并利用第一设备、第二设备和第三设备生成的证书请求中的公钥分别对拼接后的三个分片密钥进行加密,CA服务器再为三个设备的证书请求分别签发数字证书,同时将第一设备和第二设备加密后的分片密钥分别写入为第一设备和第二设备签发的数字证书扩展域中,最后连同第三设备加密后的分片密钥一并返回给第三设备;
S400、第三设备返回数字证书给第一设备和第二设备;
S500、多端加密解密互通:从三个设备中任意选取两个设备,使用各自的证书私钥对各自证书扩展域或第三设备存储中的分片密钥密文解密出对应的分片密钥,将分片密钥去重后按顺序拼接恢复出原始的对称密钥,利用原始的对称密钥对数据进行加密或解密,从而实现多端加密解密互通。
作为本发明的进一步改进,所述步骤S100具体包括以下步骤:
S101、第一设备生成包括公钥和私钥的密钥对及证书请求;
S102、第二设备对第一设备进行认证并获取第一设备的证书请求,第二设备生成包括公钥和私钥的密钥对及证书请求;
S103、第二设备发送第一设备和第二设备的证书请求以及用户身份信息到第三设备。
作为本发明的进一步改进,所述步骤S200具体包括以下步骤:
S201、第三设备生成包括公钥和私钥的密钥对及证书请求;
S202、第三设备发送证书申请信息集合到CA服务器,其中,所述证书申请信息集合包括第一设备、第二设备和第三设备的证书请求以及用户身份信息。
作为本发明的进一步改进,所述步骤S300具体包括以下步骤:
S301、CA服务器产生对称密钥及密钥分片:CA服务器为用户身份信息产生对称密钥,并将对称密钥分割为三个片段;
S302、CA服务器对分片后的密钥进行加密:CA服务器分别从第一设备、第二设备和第三设备的证书请求中获取对应的公钥,使用对应的公钥分别对分割的三个片段两两拼接后形成的三个分片密钥进行加密得到对应的三个分片密钥密文;
S303、CA服务器签发证书:CA服务器分别为第一设备、第二设备和第三设备的证书请求签发数字证书,并分别将第一设备和第二设备对应的分片密钥写入其数字证书的扩展域中;
S304、CA服务器返回证书及分片密钥:CA服务器将第一设备、第二设备、第三设备的数字证书以及第三设备对应的分片密钥返回给第三设备。
作为本发明的进一步改进,所述步骤S400具体包括:
第三设备存储数字证书;存储用户身份信息对应的第一设备和第二设备的数字证书及第三设备的分片密钥,并将第一设备、第二设备和第三设备的数字证书返回给第一设备和第二设备并保存。
作为本发明的进一步改进,所述步骤S500包括加密环节和解密环节,其中,所述加密环节具体包括以下步骤:
S501、解密端先使用自己的私钥对解密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;使用加密端的数字证书对得到的分片密钥进行加密,并发送给加密端;
S502、加密端使用自己的私钥对加密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;对步骤S501中解密端加密后的分片密钥进行解密得到解密端的拼接的分片密钥,将得到的两个拼接的分片密钥按顺序拼接恢复出原始的CA服务器产生的对称密钥;
S503、加密端使用原始的CA服务器产生的对称密钥对数据进行加密;
所述的解密环节具体包括以下步骤:
S504、加密端先使用自己的私钥对加密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;使用解密端的数字证书对得到的分片密钥进行加密,并发送给解密端;
S505、解密端使用自己的私钥对解密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;对步骤S504中加密端加密后的分片密钥进行解密得到加密端的拼接的分片密钥,将得到的两个拼接的分片密钥按顺序拼接恢复出原始的CA服务器产生的对称密钥;
S506、解密端使用原始的CA服务器产生的对称密钥对数据进行解密;
所述加密端和解密端为第一设备、第二设备和第三设备中的任意两个设备。
作为本发明的进一步改进,进行加密和解密的数据为电子招投标数据。
作为本发明的进一步改进,所述第一设备为PC端,所述第二设备为手机端,所述第三设备为电子招投标业务服务器。
本发明的有益效果是:
1、本发明中,用户对称密钥通过秘密分片及门限技术,确保只有达到门限条件时,才能恢复出完整的对称密钥,单一一方的片段密钥数据泄露不影响整个对称密钥的安全使用。正是由于该模式具有一定冗余机制,就可以很好地避免USBKEY硬件介质损坏对电子招投标加解密功能的使用造成影响。
2、本发明针对用户端的分片密钥采用自身公钥加密后存储于数字证书自身文件的扩展域中,不仅方便用户随时读取解密后使用,而且不依赖于其他相关方的数据存储。若PC端和手机端联动加密和解密,则可以实现电子招投标在离线封闭环境中不依赖于服务器进行解密、开标,可适用于某些特殊应用场景。
3、本发明实现了用户在PC端、移动端、服务器端三端共同参与的加密、解密互通,用户在其中一端加密后,根据应用场景需要,可在其他两端解密,极大拓展了电子招投标系统的加解密应用场景,解决了电子招投标在移动端APP应用的困惑。
附图说明
图1为本发明实施例的结构框图;
图2为本发明实施例的流程图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例1:
本实施例以进行加密和解密的数据为电子招投标数据为例进行具体说明,其中第一设备为PC端,第二设备为手机端,第三设备为电子招投标业务服务器。
本实施例采用了PKI数字证书技术并对数字证书扩展域进行了适当扩展,当用户申请数字证书时,采用PC端与手机端联动机制发起证书申请,由CA服务器生成专属对称密钥,并通过秘密分片及门限技术,将对称密钥分成三片并加密分别存储在电子招投标业务服务器中、以及用户PC端和手机端的数字证书扩展域中,当达到3选2的门限条件时,可以在电子招投标业务服务器、PC端和手机端任意一端恢复出原始对称密钥,对电子标书进行加密或解密,从而实现了在电子招投标业务服务器、PC端、移动端三方任意相互之间的数据加密与解密互通。
如图1所示,本实施例由PC端USBKEY、手机端APP、电子招投标业务服务器、CA服务器及2个密码机构成。
如图2所示,多端加解密互通具体包括以下步骤:
S100:PC端及手机端申请证书。
S101:PC端生成CSR_1。用户在PC上插入USBKEY,通过证书助手客户端工具产生密钥对(私钥记为Pri_1,公钥记为Pub_1)及证书请求CSR_1。
S102:PC端展示二维码。证书助手客户端工具将证书请求CSR_1生成二维码,展示二维码,提示用户使用对应手机APP扫码认证。
S103:手机端生成CSR_2。用户下载、安装手机APP并登录、注册账号,若账号未实名,提示先进行实名及实人认证;若已实名,则扫码获取PC端的CSR_1,并生成手机端数字证书的密钥对(私钥记为Pri_2,公钥记为Pub_2)及证书请求CSR_2。
S104:手机端发送CSR_1、CSR_2及UserID。手机APP将CSR_1、CSR_2及通过实名认证的用户身份信息(记为UserID)通过https安全通道发送到电子招投标业务服务器。
S200:电子招投标业务服务器申请证书。
S201:电子招投标业务服务器生成证书请求CSR_3。电子招投标业务服务器通过自身连接的密码机2产生密钥对(私钥记为Pri_3,公钥记为Pub_3)及证书请求CSR_3;若自身服务器已存在数字证书Cert3,则该步骤跳过,后续发送信息去掉CSR_3及服务器身份信息(记为ServerID)。
S202:电子招投标业务服务器发送证书申请信息集合。电子招投标业务服务器将证书申请信息集合发送到CA服务器,证书申请信息集合包括“CSR_3及ServerID,CSR_1、CSR_2及UserID”。
S300:CA服务器返回证书及分片密钥。
S301:CA服务器产生SymKey及密钥分片。CA服务器调用自身连接的加密机1为UserID产生对称密钥SymKey,并对SymKey分割为SymKey_1、SymKey_2、SymKey_3三个片段。
S302:CA服务器对分片密钥加密。CA服务器分别从CSR_1、CSR_2、CSR_3中获取对应的公钥Pub_1、Pub_2、Pub_3,使用Pub_1、Pub_2、Pub_3分别对SymKey_1||SymKey_2、SymKey_2||SymKey_3、SymKey_3||SymKey_1加密得到EncSymKey_1、EncSymKey_2、EncSymKey_3。
S303:CA服务器签发证书。CA服务器分别为CSR_1、CSR_2、CSR_3签发数字证书Cert1、Cert2、Cert3,并分别将EncSymKey_1、EncSymKey_2写入Cert1、Cert2的证书扩展域中。
S304:CA服务器返回证书及分片密钥。CA服务器将Cert1、Cert2、Cert3、EncSymKey_3返回给电子招投标业务服务器。
S400:电子招投标业务服务器返回证书及分片密钥。
S401:电子招投标业务服务器存储Cert3;存储该UserID对应的Cert1、Cert2及分片密钥EncSymKey_3,并将Cert1、Cert2、Cert3返回给PC端和手机端。
S402:PC端收到Cert1、Cert2、Cert3,写入USBKEY中;手机端收到Cert1、Cert2、Cert3,保存到APP中。
S500:多端加密解密互通。
在目前的电子招投标移动端应用开发中,关于加解密应用场景的创新需求主要是:(1)PC端加密——》手机端解密;(2)PC端加密——》电子招投标业务服务器端解密;(3)电子招投标业务服务器端加密——》手机端解密,其他加解密模式与这三种类似,下面仅对这三种模式进行介绍。
S501:PC端加密——》手机端解密。
PC端加密环节:
S50101:手机端APP先使用自己的私钥Pri_2对Cert2中的证书扩展域EncSymKey_2进行解密,得到SymKey_2||SymKey_3;使用PC端的Cert1对SymKey_2||SymKey_3加密,得到Cert1EncSymKey_2,将Cert1EncSymKey_2发送给PC端。
S50102:PC端使用Cert1的私钥Pri_1对Cert1证书扩展域EncSymKey_1解密得到SymKey_1||SymKey_2;对Cert1EncSymKey_2解密得到SymKey_2||SymKey_3;对分片密钥SymKey_2去重后按顺序拼接恢复出原始对称密钥为SymKey_1||SymKey_2||SymKey_3=SymKey。
S50103:PC端使用SymKey加密电子标书文件。
手机端解密环节:
S50104:PC端APP先使用自己的私钥Pri_1对Cert1中的证书扩展域EncSymKey_1进行解密,得到SymKey_1||SymKey_2;使用手机端的Cert2对SymKey_1||SymKey_2加密,得到Cert2EncSymKey_1,将Cert2EncSymKey_1发送给手机端。
S50105:手机端使用Cert2的私钥Pri_2对Cert2证书扩展域EncSymKey_2解密得到SymKey_2||SymKey_3;对Cert2EncSymKey_1解密得到SymKey_1||SymKey_2;对分片密钥SymKey_2去重后按顺序拼接恢复出原始对称密钥为SymKey_1||SymKey_2||SymKey_3=SymKey。
S50106:手机端使用SymKey解密电子标书文件。
S502:PC端加密——》电子招投标业务服务器端解密。
PC端加密环节:
S50201:电子招投标业务服务器端先使用自己的私钥Pri_3对存储的EncSymKey_3进行解密,得到SymKey_3||SymKey_1;使用PC端的Cert1对SymKey_3||SymKey_1加密,得到Cert1EncSymKey_3,将Cert1EncSymKey_3发送给PC端。
S50202:PC端使用Cert1的私钥Pri_1对Cert1证书扩展域EncSymKey_1解密得到SymKey_1||SymKey_2;对Cert1EncSymKey_3解密得到SymKey_3||SymKey_1;对分片密钥SymKey_1去重后按顺序拼接恢复出原始对称密钥为SymKey_1||SymKey_2||SymKey_3=SymKey。
S50203:PC端使用SymKey加密电子标书文件。
电子招投标业务服务器端解密环节:
S50204:PC端APP先使用自己的私钥Pri_1对Cert1中的证书扩展域EncSymKey_1进行解密,得到SymKey_1||SymKey_2;使用电子招投标业务服务器端的Cert3对SymKey_1||SymKey_2加密,得到Cert3EncSymKey_1,将Cert3EncSymKey_1发送给电子招投标业务服务器端。
S50205:电子招投标业务服务器端使用Cert3的私钥Pri_3对存储的EncSymKey_3解密得到SymKey_3||SymKey_1;对Cert3EncSymKey_1解密得到SymKey_1||SymKey_2;对分片密钥SymKey_1去重后按顺序拼接恢复出原始对称密钥为SymKey_1||SymKey_2||SymKey_3=SymKey。
S50206:电子招投标业务服务器端使用SymKey解密电子标书文件。
S503:电子招投标业务服务器端加密——》手机端解密。
电子招投标业务服务器端加密环节:
S50301:手机端先使用Cert2的私钥Pri_2对Cert2证书扩展域EncSymKey_2解密得到SymKey_2||SymKey_3;再使用电子招投标业务服务器端的Cert3对SymKey_2||SymKey_3加密,得到Cert3EncSymKey_2,将Cert3EncSymKey_2发送给电子招投标业务服务器端。
S50302:电子招投标业务服务器端使用自己的私钥Pri_3对存储的EncSymKey_3进行解密,得到SymKey_3||SymKey_1;对Cert3EncSymKey_2解密得到SymKey_2||SymKey_3;对分片密钥SymKey_3去重后按顺序拼接恢复出原始对称密钥为SymKey_1||SymKey_2||SymKey_3=SymKey。
S50303:电子招投标业务服务器端使用SymKey加密电子标书文件。
手机端解密环节:
S50304:电子招投标业务服务器先使用自己的私钥Pri_3对存储的EncSymKey_3进行解密,得到SymKey_3||SymKey_1;再使用手机端的Cert2对SymKey_3||SymKey_1加密,得到Cert2EncSymKey_3,将Cert2EncSymKey_3发送给手机端。
S50305:手机端使用Cert2的私钥Pri_2对Cert2证书扩展域EncSymKey_2解密得到SymKey_2||SymKey_3;对Cert2EncSymKey_3解密得到SymKey_3||SymKey_1;对分片密钥SymKey_3去重后按顺序拼接恢复出原始对称密钥为SymKey_1||SymKey_2||SymKey_3=SymKey。
S50306:手机端使用SymKey解密电子标书文件。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (3)
1.一种多端加解密互通方法,其特征在于,包括对第一设备、第二设备、和第三设备的任意两端之间进行加解密互通,具体包括以下步骤:
S100、第一设备和第二设备分别申请证书,并将生成的证书请求及用户身份信息发送到第三设备;
所述步骤S100具体包括以下步骤:
S101、第一设备生成包括公钥和私钥的密钥对及证书请求;
S102、第二设备对第一设备进行认证并获取第一设备的证书请求,第二设备生成包括公钥和私钥的密钥对及证书请求;
S103、第二设备发送第一设备和第二设备的证书请求以及用户身份信息到第三设备;
S200、第三设备申请证书、生成证书请求,将第一设备、第二设备和第三设备生成的证书请求以及用户身份信息作为证书申请信息集合,将所述证书申请信息集合发送到CA服务器;
所述步骤S200具体包括以下步骤:
S201、第三设备生成包括公钥和私钥的密钥对及证书请求;
S202、第三设备发送证书申请信息集合到CA服务器,其中,所述证书申请信息集合包括第一设备、第二设备和第三设备的证书请求以及用户身份信息;
S300、CA服务器返回证书及分片密钥:CA服务器产生对称密钥并将其分片成三段,将分片后的密钥进行两两拼接,拼接成三个分片密钥,并利用第一设备、第二设备和第三设备生成的证书请求中的公钥分别对拼接后的三个分片密钥进行加密,CA服务器再为三个设备的证书请求分别签发数字证书,同时将第一设备和第二设备加密后的分片密钥分别写入为第一设备和第二设备签发的数字证书扩展域中,最后连同第三设备加密后的分片密钥一并返回给第三设备;
所述步骤S300具体包括以下步骤:
S301、CA服务器产生对称密钥及密钥分片:CA服务器为用户身份信息产生对称密钥,并将对称密钥分割为三个片段;
S302、CA服务器对分片后的密钥进行加密:CA服务器分别从第一设备、第二设备和第三设备的证书请求中获取对应的公钥,使用对应的公钥分别对分割的三个片段两两拼接后形成的三个分片密钥进行加密得到对应的三个分片密钥密文;
S303、CA服务器签发证书:CA服务器分别为第一设备、第二设备和第三设备的证书请求签发数字证书,并分别将第一设备和第二设备对应的分片密钥写入其数字证书的扩展域中;
S304、CA服务器返回证书及分片密钥:CA服务器将第一设备、第二设备、第三设备的数字证书以及第三设备对应的分片密钥返回给第三设备;
S400、第三设备返回数字证书给第一设备和第二设备;
所述步骤S400具体包括:
第三设备存储数字证书;存储用户身份信息对应的第一设备和第二设备的数字证书及第三设备的分片密钥,并将第一设备、第二设备和第三设备的数字证书返回给第一设备和第二设备并保存;
S500、多端加密解密互通:从三个设备中任意选取两个设备,使用各自的证书私钥对各自证书扩展域或第三设备存储中的分片密钥密文解密出对应的分片密钥,将分片密钥去重后按顺序拼接恢复出原始的对称密钥,利用原始的对称密钥对数据进行加密或解密,从而实现多端加密解密互通;
所述步骤S500包括加密环节和解密环节,其中,所述加密环节具体包括以下步骤:
S501、解密端先使用自己的私钥对解密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;使用加密端的数字证书对得到的分片密钥进行加密,并发送给加密端;
S502、加密端使用自己的私钥对加密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;对步骤S501中解密端加密后的分片密钥进行解密得到解密端的拼接的分片密钥,将得到的两个拼接的分片密钥按顺序拼接恢复出原始的CA服务器产生的对称密钥;
S503、加密端使用原始的CA服务器产生的对称密钥对数据进行加密;
所述的解密环节具体包括以下步骤:
S504、加密端先使用自己的私钥对加密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;使用解密端的数字证书对得到的分片密钥进行加密,并发送给解密端;
S505、解密端使用自己的私钥对解密端对应的分片密钥进行解密,得到对应的拼接的分片密钥;对步骤S504中加密端加密后的分片密钥进行解密得到加密端的拼接的分片密钥,将得到的两个拼接的分片密钥按顺序拼接恢复出原始的CA服务器产生的对称密钥;
S506、解密端使用原始的CA服务器产生的对称密钥对数据进行解密;
所述加密端和解密端为第一设备、第二设备和第三设备中的任意两个设备。
2.根据权利要求1所述的多端加解密互通方法,其特征在于,进行加密和解密的数据为电子招投标数据。
3.根据权利要求2所述的多端加解密互通方法,其特征在于,所述第一设备为PC端,所述第二设备为手机端,所述第三设备为电子招投标业务服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211637982.6A CN115632778B (zh) | 2022-12-20 | 2022-12-20 | 一种多端加解密互通方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211637982.6A CN115632778B (zh) | 2022-12-20 | 2022-12-20 | 一种多端加解密互通方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115632778A CN115632778A (zh) | 2023-01-20 |
| CN115632778B true CN115632778B (zh) | 2023-04-18 |
Family
ID=84910434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211637982.6A Active CN115632778B (zh) | 2022-12-20 | 2022-12-20 | 一种多端加解密互通方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115632778B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117459233A (zh) * | 2023-12-21 | 2024-01-26 | 法琛堂(昆明)医疗科技有限公司 | 医疗信息多层加密方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548345A (zh) * | 2016-12-07 | 2017-03-29 | 北京信任度科技有限公司 | 基于密钥分割实现区块链私钥保护的方法及系统 |
| CN109962784A (zh) * | 2019-03-22 | 2019-07-02 | 西安电子科技大学 | 一种基于数字信封多证书的数据加解密及恢复方法 |
| CN112651036A (zh) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | 基于协同签名的身份认证方法及计算机可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5737419A (en) * | 1994-11-09 | 1998-04-07 | Bell Atlantic Network Services, Inc. | Computer system for securing communications using split private key asymmetric cryptography |
| US11070374B2 (en) * | 2018-02-28 | 2021-07-20 | Vmware, Inc. | Methods and systems that efficiently and securely store encryption keys |
| CN110932851B (zh) * | 2019-11-29 | 2022-09-23 | 四川省数字证书认证管理中心有限公司 | 一种基于pki的多方协同运算的密钥保护方法 |
| JP2021118406A (ja) * | 2020-01-23 | 2021-08-10 | 株式会社リーディングエッジ | ユーザ認証方法、ユーザ認証方式 |
| CN111431719A (zh) * | 2020-04-20 | 2020-07-17 | 山东确信信息产业股份有限公司 | 一种移动终端密码保护模块、移动终端及密码保护方法 |
| JP2023534970A (ja) * | 2020-07-16 | 2023-08-15 | セールスフォース,インコーポレイティッド | 鍵共有を使用するデータのセキュア化 |
| US11711213B2 (en) * | 2020-07-23 | 2023-07-25 | PolySign, Inc. | Master key escrow process |
-
2022
- 2022-12-20 CN CN202211637982.6A patent/CN115632778B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548345A (zh) * | 2016-12-07 | 2017-03-29 | 北京信任度科技有限公司 | 基于密钥分割实现区块链私钥保护的方法及系统 |
| CN109962784A (zh) * | 2019-03-22 | 2019-07-02 | 西安电子科技大学 | 一种基于数字信封多证书的数据加解密及恢复方法 |
| CN112651036A (zh) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | 基于协同签名的身份认证方法及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115632778A (zh) | 2023-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10785019B2 (en) | Data transmission method and apparatus | |
| CN108199835B (zh) | 一种多方联合私钥解密方法 | |
| WO2018000886A1 (zh) | 应用程序通信处理系统、装置、方法及客户端、服务端 | |
| CN111130803B (zh) | 数字签名的方法、系统及装置 | |
| US7073066B1 (en) | Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution | |
| CN113364760A (zh) | 一种数据加密处理方法、装置、计算机设备及存储介质 | |
| CN110932851B (zh) | 一种基于pki的多方协同运算的密钥保护方法 | |
| US20150244520A1 (en) | One-time-pad data encryption with media server | |
| CN109068322B (zh) | 解密方法、系统、移动终端、服务器及存储介质 | |
| CN113572743B (zh) | 数据加密、解密方法、装置、计算机设备和存储介质 | |
| CN108924147A (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
| CN105208028A (zh) | 一种数据传输方法和相关装置及设备 | |
| CN115632778B (zh) | 一种多端加解密互通方法 | |
| CN113987583A (zh) | 一种隐匿查询方法及系统 | |
| CN113987584A (zh) | 一种隐匿查询方法及系统 | |
| CN113868684A (zh) | 一种签名方法、装置、服务端、介质以及签名系统 | |
| CN114567427B (zh) | 一种区块链隐蔽数据分段传输方法 | |
| CN114257562B (zh) | 即时通讯方法、装置、电子设备和计算机可读存储介质 | |
| CN111884802A (zh) | 媒体流加密传输方法、系统、终端和电子设备 | |
| Pradhan et al. | Cryptography encryption technique using circular bit rotation in binary field | |
| CN113612746B (zh) | 基于Android系统的敏感信息存储方法及系统 | |
| CN108390755A (zh) | 基于内置安全芯片的sim贴膜卡的安全输入法 | |
| CN102523563B (zh) | 一种基于标识密码技术的彩信加密方法 | |
| CN114117406A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN111277605B (zh) | 数据分享方法、装置、计算机设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |