CN115795513A - 文件加密和文件解密方法、装置以及设备 - Google Patents

文件加密和文件解密方法、装置以及设备 Download PDF

Info

Publication number
CN115795513A
CN115795513A CN202211643026.9A CN202211643026A CN115795513A CN 115795513 A CN115795513 A CN 115795513A CN 202211643026 A CN202211643026 A CN 202211643026A CN 115795513 A CN115795513 A CN 115795513A
Authority
CN
China
Prior art keywords
file
encrypted
key
hash value
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211643026.9A
Other languages
English (en)
Inventor
王占备
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202211643026.9A priority Critical patent/CN115795513A/zh
Publication of CN115795513A publication Critical patent/CN115795513A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本公开提供了一种文件加密和文件解密方法、装置以及设备,涉及云计算技术领域,具体为数据传输、加解密和安全认证技术领域,可应用于例如自动驾驶的软件升级等场景。文件加密方法的一具体实施方式包括:获取目标文件;使用对称密码算法的密钥,对目标文件进行加密,生成加密文件;使用客户端的公钥对对称密码算法的密钥进行加密,得到加密密钥;对加密文件和加密密钥进行哈希运算,得到第一加密哈希值;将加密文件、加密密钥和第一加密哈希值发送给客户端。该实施方式采用对称密码算法、非对称密码算法和哈希算法进行三次加密,保护文件安全。

Description

文件加密和文件解密方法、装置以及设备
技术领域
本公开涉及云计算技术领域,具体为数据传输、加解密和安全认证技术领域,可应用于例如自动驾驶的软件升级等场景。
背景技术
随着计算机技术和互联网应用的快速发展,客户端上的软件通常迭代更新比较快,需要进行版本升级。而软件升级需要考虑到数据安全问题,尤其随着自动驾驶技术的发展,软件升级的安全性上升到前所未有的高度。
目前,常用的安全升级方式主要包括以下两种:其一,使用下载器与客户端直连进行安全升级;其二,使用OTA(Over-the-Air Technology,空中下载技术)进行安全升级。
发明内容
本公开实施例提出了一种文件加密和文件解密方法、装置、设备、存储介质以及程序产品。
第一方面,本公开实施例提出了一种文件加密方法,包括:获取目标文件;使用对称密码算法的密钥,对目标文件进行加密,生成加密文件;使用客户端的公钥对对称密码算法的密钥进行加密,得到加密密钥;对加密文件和加密密钥进行哈希运算,得到第一加密哈希值;将加密文件、加密密钥和第一加密哈希值发送给客户端。
第二方面,本公开实施例提出了一种文件解密方法,包括:接收加密文件、加密密钥和第一加密哈希值;对加密文件和加密密钥进行哈希运算,得到第二加密哈希值;若第一加密哈希值与第二加密哈希值一致,使用客户端的私钥对加密密钥进行解密,得到对称密码算法的密钥;利用对称密码算法的密钥对加密文件进行解密,得到目标文件。
第三方面,本公开实施例提出了一种文件加密装置,包括:获取模块,被配置成获取目标文件;第一加密模块,被配置成使用对称密码算法的密钥,对目标文件进行加密,生成加密文件;第二加密模块,被配置成使用客户端的公钥对对称密码算法的密钥进行加密,得到加密密钥;第三加密模块,被配置成对加密文件和加密密钥进行哈希运算,得到第一加密哈希值;第一发送模块,被配置成将加密文件、加密密钥和第一加密哈希值发送给客户端。
第四方面,本公开实施例提出了一种文件解密装置,包括:第一接收模块,被配置成接收加密文件、加密密钥和第一加密哈希值;加密模块,被配置成对加密文件和加密密钥进行哈希运算,得到第二加密哈希值;第一解密模块,被配置成若第一加密哈希值与第二加密哈希值一致,使用客户端的私钥对加密密钥进行解密,得到对称密码算法的密钥;第二解密模块,被配置成利用对称密码算法的密钥对加密文件进行解密,得到目标文件。
第五方面,本公开实施例提出了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如第一方面中任一实现方式描述的方法或第二方面中任一实现方式描述的方法。
第六方面,本公开实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行如第一方面中任一实现方式描述的方法或第二方面中任一实现方式描述的方法。
第七方面,本公开实施例提出了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现如第一方面中任一实现方式描述的方法或第二方面中任一实现方式描述的方法。
本公开实施例提供的文件加密方法,在文件传输之前,采用对称密码算法、非对称密码算法和哈希算法进行三次加密,保护文件安全。采用对称密码算法对文件进行加密,可以提升加密效率。使用客户端的公钥对对称密码算法的密钥进行加密,只有客户端才能使用自己的私钥进行解密,确保了对称密码算法的密钥的安全性。采用哈希算法对加密文件与加密密钥进行加密,能够对文件进行完整性保护,确保传输过程中文件不被篡改。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显。附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本公开的文件加密方法的一个实施例的流程图;
图3是根据本公开的文件加密方法的又一个实施例的流程图;
图4是根据本公开的文件解密方法的一个实施例的流程图;
图5是根据本公开的文件解密方法的又一个实施例的流程图;
图6是根据本公开的文件加密装置的一个实施例的结构示意图;
图7是根据本公开的文件解密装置的一个实施例的结构示意图;
图8是用来实现本公开实施例的文件加密方法和文件解密方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本申请的文件加密方法和文件解密方法的实施例的示例性系统架构图。
如图1所示,系统架构可以包括客户端1、2、3、4,网络5和服务端6。网络5用以在客户端1、2、3、4和服务端6之间提供通信链路的介质。网络5可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
客户端1、2、3、4上可以安装有各种软件。为了实现软件安全升级,客户端1、2、3、4需要支持硬件加解密功能,需要存在安全存储区,可以安全保存密钥信息。在出厂时,需要在客户端1、2、3、4保存服务端的公钥(ServerPubkey)。同时,在出厂时,客户端1需要生成一对非对称密钥对(ClientPubkey1,ClentPrikey1);客户端2需要生成一对非对称密钥对(ClientPubkey2,ClentPrikey2);客户端3需要生成一对非对称密钥对(ClientPubkey3,ClentPrikey3);客户端4需要生成一对非对称密钥对(ClientPubkey4,ClentPrikey4)。并且,将ClientPubkey1、ClientPubkey2、ClientPubkey3和ClientPubkey4保存在服务端6中。
服务端6可以是客户端1、2、3、4上安装的各种软件的后台服务器,可以向客户端1、2、3、4下发升级文件。为了实现软件安全升级,服务端6需要生成一对非对称密钥对(ServerPubkey,ServerPriky)。并且,需要保存客户端1、2、3、4的公钥信息ClientPubkey1、ClientPubkey2、ClientPubkey3和ClientPubkey4。
需要说明的是,本申请实施例所提供的文件加密方法一般由服务端6执行;本申请实施例所提供的文件解密方法一般客户端1、2、3、4执行。
应该理解,图1中的客户端、网络和服务端的数目仅仅是示意性的。根据实现需要,可以具有任意数目的客户端、网络和服务端。
继续参考图2,其示出了根据本公开的文件加密方法的一个实施例的流程200。该文件加密方法包括以下步骤:
步骤201,获取目标文件。
在本实施例中,服务端(例如图1所示的服务端6)可以获取目标文件。其中,目标文件可以是待加密文件,属于明文。
当应用于软件升级领域时,目标文件可以是客户端(例如图1所示的客户端1、2、3、4)上安装的各种软件的升级文件。
步骤202,使用对称密码算法的密钥,对目标文件进行加密,生成加密文件。
在本实施例中,服务端可以使用对称密码算法的密钥,对目标文件进行加密,生成加密文件。
其中,对称密码算法是加密和解密使用相同密钥的密码算法。明文通过密钥加密得到密文,密文通过密钥解密得到明文。为了对称密码算法的安全性,其密钥可以是随机生成的。例如,使用随机数发生器生成一串随机数,使用这串随机数作为对称密码算法的密钥。常用的对称密码算法可以包括但不限于:AES(Advanced Encryption Standard,高级加密标准)、DES(Data Encryption Standard,数据加密标准)或SM4分组密码算法等。
当应用于软件升级领域时,使用对称密码算法的密钥key,对升级文件updata.bin进行加密,生成加密文件encrypt_update.bin。在实际应用中,升级文件通常较大,使用对称密码算法进行加密,可以提升加密效率。
步骤203,使用客户端的公钥对对称密码算法的密钥进行加密,得到加密密钥。
在本实施例中,服务端可以使用客户端的公钥对对称密码算法的密钥进行加密,得到加密密钥。
在出厂时,每个客户端会生成一对非对称密钥对,并且将其中的公钥保存在服务端。服务端可以获取需要接收目标文件的客户端的公钥,对对称密码算法的密钥进行加密。其中,非对称密码算法是加密和解密使用不同密钥的算法。明文通过公钥加密得到密文,密文通过私钥解密得到明文。常用的非对称密码算法可以包括但不限于:ECC(ErrorCorrecting Code,误差校正码)、RSA(Rivest-Shamir-Adleman,公钥加密算法)或SM2分组密码算法等。
当应用于软件升级领域时,使用需要进行软件升级的客户端的公钥ClientPubkey_x,对对称密码算法的密钥key进行加密,得到加密密钥encrypt_key。使用需要进行软件升级的客户端的公钥进行加密,只有需要进行软件升级的客户端才能使用自己的私钥进行解密,确保了对称密码算法的密钥的安全性。
步骤204,对加密文件和加密密钥进行哈希运算,得到第一加密哈希值。
在本实施例中,服务端可以对加密文件和加密密钥进行哈希运算,得到第一加密哈希值。
通常,先将加密文件与加密密钥整合成一个文件,再计算这个文件的哈希值,可以得到第一加密哈希值。其中,哈希算法可以把任意长度的输入通过散列算法变换成固定长度的输出,包括但不限于:SM3分组密码算法、MD5(Message-Digest Algorithm 5,消息摘要算法5)和SHA1(Secure Hash Algorithm 1,安全散列算法1)等。
当应用于软件升级领域时,先将加密文件encrpt_update.bin与加密密钥encrypt_key整合成一个文件,再计算这个文件的哈希值,得到第一加密哈希值encrypt_hash。由于一个文件对应唯一一个哈希值,可以对加密文件encrpt_update.bin与加密密钥encrypt_key进行完整性保护,确保传输过程中文件不被篡改。
步骤205,将加密文件、加密密钥和第一加密哈希值发送给客户端。
在本实施例中,服务端可以将加密文件、加密密钥和第一加密哈希值发送给客户端。
通常,将加密文件、加密密钥和第一加密哈希值整合成一个文件,再将这个文件发送给客户端。
当应用于软件升级领域时,服务端将加密文件encrypt_update.bin、加密密钥encrypt_key和第一加密哈希值encry_hash整合成一个文件,发送给需要进行软件升级的客户端,触发客户端的升级操作。
本公开实施例提供的文件加密方法,在文件传输之前,采用对称密码算法、非对称密码算法和哈希算法进行三次加密,保护文件安全。采用对称密码算法对文件进行加密,可以提升加密效率。使用客户端的公钥对对称密码算法的密钥进行加密,只有客户端才能使用自己的私钥进行解密,确保了对称密码算法的密钥的安全性。采用哈希算法对加密文件与加密密钥进行加密,能够对文件进行完整性保护,确保传输过程中文件不被篡改。
进一步参考图3,其示出了根据本公开的文件加密方法的又一个实施例的流程300。该文件加密方法包括以下步骤:
步骤301,获取目标文件。
步骤302,使用对称密码算法的密钥,对目标文件进行加密,生成加密文件。
步骤303,使用客户端的公钥对对称密码算法的密钥进行加密,得到加密密钥。
步骤304,对加密文件和加密密钥进行哈希运算,得到第一加密哈希值。
在本实施例中,步骤301-304的具体操作已在图2所示的实施例中步骤201-204中进行了详细的介绍,在此不再赘述。
步骤305,使用服务端的私钥对第一加密哈希值进行签名,得到服务端签名数据。
在本实施例中,服务端可以使用自己的私钥对第一加密哈希值进行签名,得到服务端签名数据。
通常,服务端需要生成一对非对称密钥对。并且,其公钥下发到各个客户端进行保存。
当应用于软件升级领域时,服务端使用自己的私钥ServerPrikey,对第一加密哈希值encrypt_hash进行签名,得到服务端签名数据server_sign_date。只有使用服务端的私钥进行签名的服务端签名数据才能使用服务端的公钥验签成功,从而避免攻击者模仿服务端下发升级文件来攻击客户端。
步骤306,将加密文件、加密密钥、第一加密哈希值和服务端签名数据发送给客户端。
在本实施例中,服务端可以将加密文件、加密密钥、第一加密哈希值和服务端签名数据发送给客户端。
通常,将加密文件、加密密钥、第一加密哈希值和服务端签名数据整合成一个文件,再将这个文件发送给客户端。
当应用于软件升级领域时,服务端将加密文件encrypt_update.bin、加密密钥encrypt_key、第一加密哈希值encry_hash和服务端签名数据server_sign_data整合成一个文件,发送给需要进行软件升级的客户端,触发客户端的升级操作。
从图3中可以看出,与图2对应的实施例相比,本实施例中的文件加密方法的流程300增加了签名步骤。由此,本实施例描述的方案在文件传输之前,采用对称密码算法、非对称密码算法和哈希算法进行四次加密,不仅保护文件安全,还避免攻击者模仿服务端下发文件来攻击客户端。增加采用服务端的私钥进行签名的加密步骤,只有使用服务端的私钥进行签名的服务端签名数据才能使用服务端的公钥验签成功,从而避免攻击者模仿服务端下发文件来攻击客户端。
进一步参考图4,其示出了根据本公开的文件解密方法的一个实施例的流程400。该文件解密方法包括以下步骤:
步骤401,接收加密文件、加密密钥和第一加密哈希值。
在本实施例中,客户端可以接收加密文件、加密密钥和第一加密哈希值。
通常,服务端可以将加密文件、加密密钥和第一加密哈希值整合成一个文件,再将这个文件发送给客户端。
当应用于软件升级领域时,服务端将加密文件encrypt_update.bin、加密密钥encrypt_key和第一加密哈希值encry_hash整合成一个文件,发送给需要进行软件升级的客户端。
步骤402,对加密文件和加密密钥进行哈希运算,得到第二加密哈希值。
在本实施例中,客户端可以对加密文件和加密密钥进行哈希运算,得到第二加密哈希值。
通常,先将接收到的加密文件与加密密钥整合成一个文件,再计算这个文件的哈希值,可以得到第二加密哈希值。其中,哈希算法可以把任意长度的输入通过散列算法变换成固定长度的输出,包括但不限于:SM3分组密码算法、MD5和SHA1等。
当应用于软件升级领域时,先将接收到的加密文件encrpt_update.bin与加密密钥encrypt_key整合成一个文件,再计算这个文件的哈希值,得到第二加密哈希值。
步骤403,若第一加密哈希值与第二加密哈希值一致,使用客户端的私钥对加密密钥进行解密,得到对称密码算法的密钥。
在本实施例中,客户端可以确定第一加密哈希值与第二加密哈希值是否一致。若第一加密哈希值与第二加密哈希值一致,说明文件完整,客户端可以使用自己的私钥对加密密钥进行解密,得到对称密码算法的密钥。若第一加密哈希值与第二加密哈希值不一致,说明文件的完整性受到破坏,结束解密流程。
由于一个文件对应唯一一个哈希值,若文件在传输过程中没有被破坏,那么服务端计算出的第一加密哈希值应该与客户端计算出的第二加密哈希值一致。也就是说,若第一加密哈希值与第二加密哈希值一致,说明加密文件与加密密钥完整,在传输过程中文件没有被篡改。
在出厂时,客户端会生成一对非对称密钥对,并且将其中的公钥保存在服务端。在加密流程中,服务端可以利用客户端的公钥,对对称密码算法的密钥进行加密。在解密流程中,服务端可以利用自己的私钥进行解密,以得到对称密码算法的密钥。其中,非对称密码算法是加密和解密使用不同密钥的算法。明文通过公钥加密得到密文,密文通过私钥解密得到明文。常用的非对称密码算法可以包括但不限于:ECC、RSA或SM2分组密码算法等。
当应用于软件升级领域时,在加密流程中,服务端可以使用客户端的公钥ClientPubkey_x,对对称密码算法的密钥key进行加密,得到加密密钥encrypt_key。在解密流程中,客户端可以使用自己的私钥ClientPrikey_x对加密密钥encrypt_key进行解密,得到对称密码算法的密钥key。使用客户端的公钥进行加密,只有客户端才能使用自己的私钥进行解密,确保了对称密码算法的密钥的安全性。
步骤404,利用对称密码算法的密钥对加密文件进行解密,得到目标文件。
在本实施例中,客户端可以利用对称密码算法的密钥对加密文件进行解密,得到目标文件。
其中,对称密码算法是加密和解密使用相同密钥的密码算法。明文通过密钥加密得到密文,密文通过密钥解密得到明文。为了对称密码算法的安全性,其密钥可以是随机生成的。例如,使用随机数发生器生成一串随机数,使用这串随机数作为对称密码算法的密钥。常用的对称密码算法可以包括但不限于:AES、DES或SM4分组密码算法等。
当应用于软件升级领域时,在加密流程中,服务端可以使用对称密码算法的密钥key,对升级文件updata.bin进行加密,生成加密文件encrypt_update.bin。在解密流程中,客户端可以使用对称密码算法的密钥key,对加密文件encrypt_update.bin进行解密,生成升级文件updata.bin。之后,客户端可以基于升级文件updata.bin对其上安装的对应软件进行升级。
本公开实施例提供的文件解密方法,在加密流程中,采用对称密码算法、非对称密码算法和哈希算法进行三次加密。对应地,在解密流程中,采用对称密码算法、非对称密码算法和哈希算法进行三次解密,确保文件完整,不被破坏。通过对比第一加密哈希值和第二加密哈希值的一致性,确保文件完整。使用客户端的公钥对对称密码算法的密钥进行加密,只有客户端才能使用自己的私钥进行解密,确保了对称密码算法的密钥的安全性。
进一步参考图5,其示出了根据本公开的文件解密方法的又一个实施例的流程500。该文件解密方法包括以下步骤:
步骤501,接收加密文件、加密密钥、第一加密哈希值和服务端签名数据。
在本实施例中,客户端可以接收加密文件、加密密钥、第一加密哈希值和服务端签名数据。
通常,服务端可以将加密文件、加密密钥、第一加密哈希值和服务端签名数据整合成一个文件,再将这个文件发送给客户端。
当应用于软件升级领域时,服务端将加密文件encrypt_update.bin、加密密钥encrypt_key、第一加密哈希值encry_hash和服务端签名数据server_sign_data整合成一个文件,发送给需要进行软件升级的客户端。
步骤502,使用服务端的公钥对服务端签名数据进行验证签名,得到第三加密哈希值。
在本实施例中,客户端可以使用服务端的公钥对服务端签名数据进行验证签名,得到第三加密哈希值。
通常,服务端需要生成一对非对称密钥对。并且,其公钥下发到各个客户端进行保存。
当应用于软件升级领域时,客户端使用服务端的公钥ServerPubkey对服务端签名数据server_sign_date进行验签,得到第三加密哈希值。
步骤503,确定第一加密哈希值与第三加密哈希值是否一致。
在本实施例中,客户端可以确定第一加密哈希值与第三加密哈希值是否一致。若第一加密哈希值与第三加密哈希值一致,说明验签成功,执行步骤504;若第一加密哈希值与第三加密哈希值不一致,说明验签失败,执行步骤509。
当应用于软件升级领域时,在加密流程中,服务端使用自己的私钥ServerPrikey,对第一加密哈希值encrypt_hash进行签名,得到服务端签名数据server_sign_date。在解密流程中,客户端使用服务端的公钥ServerPubkey对服务端签名数据server_sign_date进行验签,得到第三加密哈希值。若第一加密哈希值与第三加密哈希值一致,说明验签成功。只有使用服务端的私钥进行签名的服务端签名数据才能使用服务端的公钥验签成功,从而避免攻击者模仿服务端下发升级文件来攻击客户端。
步骤504,对加密文件和加密密钥进行哈希运算,得到第二加密哈希值。
在本实施例中,若第一加密哈希值与第三加密哈希值一致,客户端可以对加密文件和加密密钥进行哈希运算,得到第二加密哈希值。
通常,先将接收到的加密文件与加密密钥整合成一个文件,再计算这个文件的哈希值,可以得到第二加密哈希值。其中,哈希算法可以把任意长度的输入通过散列算法变换成固定长度的输出,包括但不限于:SM3分组密码算法、MD5和SHA1等。
当应用于软件升级领域时,先将接收到的加密文件encrpt_update.bin与加密密钥encrypt_key整合成一个文件,再计算这个文件的哈希值,得到第二加密哈希值。
步骤505,确定第一加密哈希值与第二加密哈希值是否一致。
在本实施例中,客户端可以确定第一加密哈希值与第二加密哈希值是否一致。若第一加密哈希值与第二加密哈希值一致,执行步骤506;若第一加密哈希值与第二加密哈希值不一致,执行步骤509。
步骤506,使用客户端的私钥对加密密钥进行解密,得到对称密码算法的密钥。
在本实施例中,若第一加密哈希值与第二加密哈希值一致,说明文件完整,客户端可以使用自己的私钥对加密密钥进行解密,得到对称密码算法的密钥。
由于一个文件对应唯一一个哈希值,若文件在传输过程中没有被破坏,那么服务端计算出的第一加密哈希值应该与客户端计算出的第二加密哈希值一致。也就是说,若第一加密哈希值与第二加密哈希值一致,说明加密文件与加密密钥完整,在传输过程中文件没有被篡改。
在出厂时,客户端会生成一对非对称密钥对,并且将其中的公钥保存在服务端。在加密流程中,服务端可以利用客户端的公钥,对对称密码算法的密钥进行加密。在解密流程中,服务端可以利用自己的私钥进行解密,以得到对称密码算法的密钥。其中,非对称密码算法是加密和解密使用不同密钥的算法。明文通过公钥加密得到密文,密文通过私钥解密得到明文。常用的非对称密码算法可以包括但不限于:ECC、RSA或SM2分组密码算法等。
当应用于软件升级领域时,在加密流程中,服务端可以使用客户端的公钥ClientPubkey_x,对对称密码算法的密钥key进行加密,得到加密密钥encrypt_key。在解密流程中,客户端可以使用自己的私钥ClientPrikey_x对加密密钥encrypt_key进行解密,得到对称密码算法的密钥key。使用客户端的公钥进行加密,只有客户端才能使用自己的私钥进行解密,确保了对称密码算法的密钥的安全性。
步骤507,利用对称密码算法的密钥对加密文件进行解密,得到升级文件。
在本实施例中,客户端可以利用对称密码算法的密钥对加密文件进行解密,得到升级文件。
其中,对称密码算法是加密和解密使用相同密钥的密码算法。明文通过密钥加密得到密文,密文通过密钥解密得到明文。为了对称密码算法的安全性,其密钥可以是随机生成的。例如,使用随机数发生器生成一串随机数,使用这串随机数作为对称密码算法的密钥。常用的对称密码算法可以包括但不限于:AES、DES或SM4分组密码算法等。
当应用于软件升级领域时,在加密流程中,服务端可以使用对称密码算法的密钥key,对升级文件updata.bin进行加密,生成加密文件encrypt_update.bin。在解密流程中,客户端可以使用对称密码算法的密钥key,对加密文件encrypt_update.bin进行解密,生成升级文件updata.bin。
步骤508,基于升级文件对客户端上安装的对应软件进行升级。
在本实施例中,客户端可以基于升级文件updata.bin对其上安装的对应软件进行升级。
步骤509,退出升级流程。
在本实施例中,若第一加密哈希值与第三加密哈希值不一致,说明验签失败;若第一加密哈希值与第二加密哈希值不一致,说明文件的完整性受到破坏。对于以上两种情况,结束解密流程。
从图5中可以看出,与图4对应的实施例相比,本实施例中的文件加密方法的流程500突出了验签步骤。由此,本实施例描述的方案在文件传输之前,采用对称密码算法、非对称密码算法和哈希算法进行四次加密。对应地,在解密流程中,采用对称密码算法、非对称密码算法和哈希算法进行四次解密。不仅保护文件安全,还避免攻击者模仿服务端下发文件来攻击客户端。只有使用服务端的私钥进行签名的服务端签名数据才能使用服务端的公钥验签成功,从而避免攻击者模仿服务端下发文件来攻击客户端。
进一步参考图6,作为对上述各图所示方法的实现,本公开提供了一种文件加密装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图6所示,本实施例的文件加密装置600可以包括:获取模块601、第一加密模块602、第二加密模块603、第三加密模块604和第一发送模块605。其中,获取模块601,被配置成获取目标文件;第一加密模块602,被配置成使用对称密码算法的密钥,对目标文件进行加密,生成加密文件;第二加密模块603,被配置成使用客户端的公钥对对称密码算法的密钥进行加密,得到加密密钥;第三加密模块604,被配置成对加密文件和加密密钥进行哈希运算,得到第一加密哈希值;第一发送模块605,被配置成将加密文件、加密密钥和第一加密哈希值发送给客户端。
在本实施例中,文件加密装置600中:获取模块601、第一加密模块602、第二加密模块603、第三加密模块604和第一发送模块605的具体处理及其所带来的技术效果可分别参考图2对应实施例中的步骤201-205的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,文件加密装置600还包括:第四加密模块,被配置成使用服务端的私钥对第一加密哈希值进行签名,得到服务端签名数据;第二发送模块,被配置成将服务端签名数据发送给客户端。
进一步参考图7,作为对上述各图所示方法的实现,本公开提供了一种文件解密装置的一个实施例,该装置实施例与图4所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图7所示,本实施例的文件解密装置700可以包括:第一接收模块701、加密模块702、第一解密模块703和第二解密模块704。其中,第一接收模块701,被配置成接收加密文件、加密密钥和第一加密哈希值;加密模块702,被配置成对加密文件和加密密钥进行哈希运算,得到第二加密哈希值;第一解密模块703,被配置成若第一加密哈希值与第二加密哈希值一致,使用客户端的私钥对加密密钥进行解密,得到对称密码算法的密钥;第二解密模块704,被配置成利用对称密码算法的密钥对加密文件进行解密,得到目标文件。
在本实施例中,文件解密装置700中:第一接收模块701、加密模块702、第一解密模块703和第二解密模块704的具体处理及其所带来的技术效果可分别参考图4对应实施例中的步骤401-404的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,文件解密装置700还包括:第二接收模块,被配置成接收服务端签名数据;第三解密模块,被配置成使用服务端的公钥对服务端签名数据进行验证签名,得到第三加密哈希值;确定模块,被配置成确定第一加密哈希值与第三加密哈希值一致。
在本实施例的一些可选的实现方式中,文件解密装置700还包括:升级模块,被配置成基于升级文件对客户端上安装的对应软件进行升级。
在本实施例的一些可选的实现方式中,文件解密装置700还包括:退出模块,被配置成若第一加密哈希值与第二加密哈希值或第三加密哈希值不一致,退出升级流程。
本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图8示出了可以用来实施本公开的实施例的示例电子设备800的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图8所示,设备800包括计算单元801,其可以根据存储在只读存储器(ROM)802中的计算机程序或者从存储单元808加载到随机访问存储器(RAM)803中的计算机程序,来执行各种适当的动作和处理。在RAM 803中,还可存储设备800操作所需的各种程序和数据。计算单元801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
设备800中的多个部件连接至I/O接口805,包括:输入单元806,例如键盘、鼠标等;输出单元807,例如各种类型的显示器、扬声器等;存储单元808,例如磁盘、光盘等;以及通信单元809,例如网卡、调制解调器、无线通信收发机等。通信单元809允许设备800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元801可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元801的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元801执行上文所描述的各个方法和处理,例如文件加密方法和文件解密方法。例如,在一些实施例中,文件加密方法和文件解密方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元808。在一些实施例中,计算机程序的部分或者全部可以经由ROM 802和/或通信单元809而被载入和/或安装到设备800上。当计算机程序加载到RAM 803并由计算单元801执行时,可以执行上文描述的文件加密方法和文件解密方法的一个或多个步骤。备选地,在其他实施例中,计算单元801可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行文件加密方法和文件解密方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以是分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开提供的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (15)

1.一种文件加密方法,包括:
获取目标文件;
使用对称密码算法的密钥,对所述目标文件进行加密,生成加密文件;
使用客户端的公钥对所述对称密码算法的密钥进行加密,得到加密密钥;
对所述加密文件和所述加密密钥进行哈希运算,得到第一加密哈希值;
将所述加密文件、所述加密密钥和所述第一加密哈希值发送给所述客户端。
2.根据权利要求1所述的方法,其中,所述方法还包括:
使用服务端的私钥对所述第一加密哈希值进行签名,得到服务端签名数据;
将所述服务端签名数据发送给所述客户端。
3.一种文件解密方法,包括:
接收加密文件、加密密钥和第一加密哈希值;
对所述加密文件和所述加密密钥进行哈希运算,得到第二加密哈希值;
若所述第一加密哈希值与所述第二加密哈希值一致,使用客户端的私钥对所述加密密钥进行解密,得到对称密码算法的密钥;
利用所述对称密码算法的密钥对所述加密文件进行解密,得到目标文件。
4.根据权利要求3所述的方法,其中,在所述对所述加密文件和所述加密密钥进行哈希运算,得到第二加密哈希值之前,还包括:
接收服务端签名数据;
使用所述服务端的公钥对所述服务端签名数据进行验证签名,得到第三加密哈希值;
确定所述第一加密哈希值与所述第三加密哈希值一致。
5.根据权利要求4所述的方法,其中,所述目标文件是升级文件;以及
所述方法还包括:
基于所述升级文件对所述客户端上安装的对应软件进行升级。
6.根据权利要求5所述的方法,其中,所述方法还包括:
若所述第一加密哈希值与所述第二加密哈希值或所述第三加密哈希值不一致,退出升级流程。
7.一种文件加密装置,包括:
获取模块,被配置成获取目标文件;
第一加密模块,被配置成使用对称密码算法的密钥,对所述目标文件进行加密,生成加密文件;
第二加密模块,被配置成使用客户端的公钥对所述对称密码算法的密钥进行加密,得到加密密钥;
第三加密模块,被配置成对所述加密文件和所述加密密钥进行哈希运算,得到第一加密哈希值;
第一发送模块,被配置成将所述加密文件、所述加密密钥和所述第一加密哈希值发送给所述客户端。
8.根据权利要求7所述的装置,其中,所述装置还包括:
第四加密模块,被配置成使用服务端的私钥对所述第一加密哈希值进行签名,得到服务端签名数据;
第二发送模块,被配置成将所述服务端签名数据发送给所述客户端。
9.一种文件解密装置,包括:
第一接收模块,被配置成接收加密文件、加密密钥和第一加密哈希值;
加密模块,被配置成对所述加密文件和所述加密密钥进行哈希运算,得到第二加密哈希值;
第一解密模块,被配置成若所述第一加密哈希值与所述第二加密哈希值一致,使用客户端的私钥对所述加密密钥进行解密,得到对称密码算法的密钥;
第二解密模块,被配置成利用所述对称密码算法的密钥对所述加密文件进行解密,得到目标文件。
10.根据权利要求9所述的装置,其中,所述装置还包括:
第二接收模块,被配置成接收服务端签名数据;
第三解密模块,被配置成使用所述服务端的公钥对所述服务端签名数据进行验证签名,得到第三加密哈希值;
确定模块,被配置成确定所述第一加密哈希值与所述第三加密哈希值一致。
11.根据权利要求10所述的装置,其中,所述目标文件是升级文件;以及
所述装置还包括:
升级模块,被配置成基于所述升级文件对所述客户端上安装的对应软件进行升级。
12.根据权利要求11所述的装置,其中,所述装置还包括:
退出模块,被配置成若所述第一加密哈希值与所述第二加密哈希值或所述第三加密哈希值不一致,退出升级流程。
13.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1或2所述的方法或权利要求3-6中任一项所述的方法。
14.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行权利要求1或2所述的方法或权利要求3-6中任一项所述的方法。
15.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1或2所述的方法或权利要求3-6中任一项所述的方法。
CN202211643026.9A 2022-12-20 2022-12-20 文件加密和文件解密方法、装置以及设备 Pending CN115795513A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211643026.9A CN115795513A (zh) 2022-12-20 2022-12-20 文件加密和文件解密方法、装置以及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211643026.9A CN115795513A (zh) 2022-12-20 2022-12-20 文件加密和文件解密方法、装置以及设备

Publications (1)

Publication Number Publication Date
CN115795513A true CN115795513A (zh) 2023-03-14

Family

ID=85427425

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211643026.9A Pending CN115795513A (zh) 2022-12-20 2022-12-20 文件加密和文件解密方法、装置以及设备

Country Status (1)

Country Link
CN (1) CN115795513A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115828290A (zh) * 2023-02-24 2023-03-21 卓望数码技术(深圳)有限公司 一种基于分布式对象存储的加解密方法及装置
CN116208428A (zh) * 2023-04-27 2023-06-02 中科信工创新技术(北京)有限公司 一种传输文件的方法、系统、装置、存储介质及电子设备
CN117010003A (zh) * 2023-10-07 2023-11-07 北京国电通网络技术有限公司 基于文件分片和散列存储的文件解密方法与电子设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115828290A (zh) * 2023-02-24 2023-03-21 卓望数码技术(深圳)有限公司 一种基于分布式对象存储的加解密方法及装置
CN116208428A (zh) * 2023-04-27 2023-06-02 中科信工创新技术(北京)有限公司 一种传输文件的方法、系统、装置、存储介质及电子设备
CN117010003A (zh) * 2023-10-07 2023-11-07 北京国电通网络技术有限公司 基于文件分片和散列存储的文件解密方法与电子设备

Similar Documents

Publication Publication Date Title
CN108241517B (zh) 一种软件升级方法、客户端及电子设备
CN115795513A (zh) 文件加密和文件解密方法、装置以及设备
US20130185564A1 (en) Systems and methods for multi-layered authentication/verification of trusted platform updates
CN111131278A (zh) 数据处理方法及装置、计算机存储介质、电子设备
US9160542B2 (en) Authorizing use of a test key signed build
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN110417544B (zh) 一种根密钥的生成方法、装置和介质
CN109586920A (zh) 一种可信验证方法及装置
CN111200593A (zh) 应用登录方法、装置和电子设备
CN109408486B (zh) 文件发布方法和系统、发布服务器和文件生成装置
KR20180046593A (ko) 펌웨어 서명 검증과 보안키 관리를 위한 사물인터넷 디바이스의 펌웨어 업데이트 시스템
CN114448605A (zh) 加密密文校验方法、系统、设备及计算机可读存储介质
CN111669434A (zh) 一种通信群组的建立方法、系统、装置及设备
CN113794706B (zh) 数据的处理方法、装置、电子设备及可读存储介质
CN114139176A (zh) 一种基于国密的工业互联网核心数据的保护方法及系统
KR101593675B1 (ko) 사용자 데이터의 무결성 검증 방법 및 그 장치
CN111400771A (zh) 目标分区的校验方法及装置、存储介质、计算机设备
CN114884714B (zh) 任务处理方法、装置、设备及存储介质
CN115964755A (zh) 数据授权及验证方法、装置、设备和存储介质
CN116132041A (zh) 密钥处理方法、装置、存储介质及电子设备
CN116321022A (zh) 空中下载ota数据文件的加密传输方法及其装置
CN115589316A (zh) 一种数据加密传输方法、装置、电子设备及存储介质
CN115484080A (zh) 小程序的数据处理方法、装置、设备以及存储介质
CN114239014A (zh) 基于离线设备的文件处理方法、装置和电子设备
CN114117388A (zh) 设备注册方法、设备注册装置、电子设备以及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination