CN116032519B - 数据处理方法、设备及计算机可读存储介质 - Google Patents
数据处理方法、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN116032519B CN116032519B CN202210761541.0A CN202210761541A CN116032519B CN 116032519 B CN116032519 B CN 116032519B CN 202210761541 A CN202210761541 A CN 202210761541A CN 116032519 B CN116032519 B CN 116032519B
- Authority
- CN
- China
- Prior art keywords
- key
- group
- key fragment
- data
- fragment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003860 storage Methods 0.000 title claims abstract description 80
- 238000003672 processing method Methods 0.000 title claims abstract description 37
- 239000012634 fragment Substances 0.000 claims abstract description 356
- 238000000034 method Methods 0.000 claims abstract description 52
- 230000005540 biological transmission Effects 0.000 claims abstract description 47
- 238000001341 grazing-angle X-ray diffraction Methods 0.000 claims description 24
- 230000002776 aggregation Effects 0.000 claims description 15
- 238000004220 aggregation Methods 0.000 claims description 15
- 238000004519 manufacturing process Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 6
- 230000004931 aggregating effect Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种数据处理方法、设备及计算机可读存储介质,属于数据安全技术领域。所述方法包括:获取第一设备群组的群组密钥,群组密钥是根据第一密钥分片和第二密钥分片生成的,第一密钥分片是第一设备群组中各个设备的指定部件的部件标识,第一设备群组中各个设备的指定部件的部件标识相同,第二密钥分片是第二设备向第一设备群组中的每个设备写入的相同的数据;使用群组密钥对目标数据进行加密,得到加密数据;向第一设备群组中的每个设备发送加密数据。如此,可以通过群组密钥识别设备群组的群体特征而不是单个设备的个体特征来进行设备管理,从而简化密钥管理方案,以及简化数据加密和传送过程,提高数据加密和传送效率。
Description
技术领域
本申请涉及数据安全技术领域,特别涉及一种数据处理方法、设备及计算机可读存储介质。
背景技术
目前,为了保证设备的安全性和可认证性,在向设备推送目标数据(比如系统镜像等)之前,通常先使用设备的相关信息对目标数据进行加密,得到加密数据,再向设备发送加密数据,由设备通过设备的相关信息对接收的加密数据进行解密,得到目标数据。如此,可以确保推送的目标数据只能在特定的设备上才能解密,提供了基于设备粒度的数据保护方案。
传统的基于设备粒度的数据保护方案通常是在每个设备中预置根密钥,在向目标设备推送目标数据时,先使用目标设备的根密钥对目标数据进行加密,得到加密数据,再向目标设备发送加密数据,由目标设备通过自身的根密钥对接收的加密数据进行解密,得到目标数据。其中,根密钥一般由设备的硬件唯一密钥(hardware unique key,HUK)派生得到,HUK往往直接写在设备的芯片中,且每个芯片的HUK都不一样。由于不同设备中的芯片具有不同的HUK,因此不同设备具有不同的根密钥。这种情况下,如果需要向设备群组包括的多个设备推送目标数据,也就需要先获取多个设备中各个设备的根密钥,使用各个设备的根密钥对目标数据分别进行加密,得到各个设备对应的加密数据,将各个设备对应的加密数据分别发送给对应设备,再由各个设备通过各自的根密钥分别对接收的加密数据进行解密。
由于上述使用设备的根密钥对数据进行加密传输的方案中,在向设备群组进行数据推送时,需要获取多个设备中各个设备的根密钥,使用各个设备的根密钥对数据分别进行加密和传送,因此需要高代价的密钥管理方案,且数据加密和传送过程较为繁琐,效率较低。
发明内容
本申请提供了一种数据处理方法、设备及计算机可读存储介质,可以解决使用设备的根密钥对数据进行加密传输的方案中,需要高代价的密钥管理方案,且数据加密和传送过程较为繁琐,效率较低的问题。所述技术方案如下:
第一方面,提供了一种数据处理方法,应用于第一设备中,所述方法包括:
获取第一设备群组的群组密钥GID,群组密钥GID是根据第一密钥分片和第二密钥分片生成的,第一密钥分片是第一设备群组中各个设备的指定部件的部件标识,第一设备群组中各个设备的指定部件的部件标识相同,第二密钥分片是第二设备向第一设备群组中的每个设备写入的相同的数据;使用GID对目标数据进行加密,得到加密数据;向第一设备群组中的每个设备发送该加密数据。
本申请实施例中,可以预先根据设备群组的共性特征为设备群组中的各个设备配置了统一的GID,在向设备群组推送数据时,可以先使用设备群组的GID对待推送的数据进行加密,得到加密数据,再将加密数据推送给设备群组中的各个设备。如此,可以通过GID识别一些设备群组的群体特征而不是单个设备的个体特征来进行设备管理,从而简化了密钥管理方案。而且,只需要使用设备群组的GID对待推送的数据进行一次加密,并将加密得到的加密数据分别发送给设备群组中的各个设备即可,而不需要使用各个设备的根密钥对待推送的数据分别进行加密和传送,从而简化了数据加密和传送过程,提高了数据加密和传送效率。
可选地,GID是对指定数据集中的数据进行聚合处理得到,指定数据集至少包括第一密钥分片和所述第二密钥分片。
可选地,指定数据集还包括第三密钥分片,第二密钥分片是由第三设备生成后加密传输至所述第二设备,第三密钥分片是所述第三设备将所述第二密钥分片加密传输至所述第二设备的加密传输策略。
由于GID可以根据多个密钥分片生成,因此攻击者必须获取到所有密钥分片才能恢复出GID,从而保证了GID存储的安全性。
可选地,指定部件的部件标识为芯片的芯片标识。
第二方面,提供了一种数据处理方法,应用于第四设备中,所述方法包括:
接收加密数据,加密数据是使用第一设备群组的群组密钥GID对目标数据进行加密得到,第四设备为第一设备群组中的任一设备;获取第四设备存储的第一密钥分片和第二密钥分片,第一密钥分片是第四设备的指定部件的部件标识,第一设备群组中各个设备的指定部件的部件标识相同,第二密钥分片是第二设备向第一设备群组中的每个设备写入的相同的数据;根据第一密钥分片和第二密钥分片,生成GID;使用GID对加密数据进行解密,得到目标数据。
本申请实施例中,设备群组中的设备在接收到第一设备推送的加密数据后,可以先获取存储的多个密钥分片,根据多个密钥分片恢复出所属设备群组的GID,然后根据GID对加密数据进行解密。由于GID可以根据多个密钥分片生成,因此攻击者必须获取到所有密钥分片才能恢复出GID,从而保证了GID在设备端存储的安全性。
可选地,根据第一密钥分片和第二密钥分片,生成GID,包括:
对指定数据集中的数据进行聚合处理,得到GID,指定数据集至少包括第一密钥分片和所述第二密钥分片。
可选地,对指定数据集中的数据进行聚合处理,得到GID之前,还包括:
获取第一设备存储的第三密钥分片,第二密钥分片是由第三设备生成后加密传输至第二设备,第三密钥分片是第三设备将所述第二密钥分片加密传输至第二设备的加密传输策略;
相应地,指定数据集还包括第三密钥分片。
可选地,第一密钥分片存储于第四设备的第一存储空间,第二密钥分片存储于第四设备的第二存储空间,第三密钥分片存储于第四设备的第三存储空间,第一存储空间、第二存储空间和第三存储空间中的两个存储空间相同或不同。
可选地,第一存储空间为用于存储指定部件的部件标识的存储空间,第二存储空间为内存,第三存储空间为用于存储系统软件的相关信息的存储空间。
可选地,对指定数据集中的数据进行聚合处理,得到GID,包括:
对指定数据集中的数据进行拼接,得到拼接数据;
对拼接数据进行哈希处理,得到GID。
可选地,获取所述第一设备存储的第一密钥分片和第二密钥分片之前,还包括:
接收第二设备发送的第二密钥分片;
存储第二密钥分片。
可选地,接收第二设备发送的第二密钥分片,包括:
接收第二设备发送的第一分片加密数据,第一分片加密数据是采用预设加密算法对第二密钥分片进行加密得到;
采用预设加密算法对应的解密算法,对第一分片加密数据进行解密,得到第二密钥分片。
可选地,采用预设加密算法对应的解密算法,对第一分片加密数据进行解密之前,还包括:
根据第四设备存储的第三密钥分片,确定第一分片加密数据采用的预设加密算法,第二密钥分片是由第三设备加密传输至第二设备,第三密钥分片是第三设备将第二密钥分片加密传输至第二设备的加密传输策略;
可选地,根据第四设备存储的第三密钥分片,确定第一分片加密数据采用的所述预设加密算法之前,还包括:
接收第二设备发送的第三密钥分片;
存储第三密钥分片。
可选地,指定部件的部件标识为芯片的芯片标识。
第三方面,提供了一种数据处理方法,所述方法包括:
第二设备获取第二密钥分片,第二密钥分片用于与第一设备群组中各个设备的指定部件的部件标识结合生成第一设备群组的群组密钥GID,第一设备群组中各个设备的指定部件的部件标识相同;第二设备向第一设备群组中的每个设备发送第二密钥分片;第四设备接收第二设备发送的第二密钥分片,第四设备为第一设备群组中的任一设备;第四设备存储第二密钥分片。
本申请实施例中,可以向设备群组的各个设备写入相同的第二密钥分片,第二密钥分片可以与各个设备的第一密钥分片结合生成设备群组的群组标识。由于第一密钥分片用于指示设备群组所属的设备类型具有的共性特征,第一设备群组为第一设备群组所属的设备类型包括的全部设备中的部分设备,第二密钥分片用于指示第一设备群组具有的共性特征,因此,通过向设备群组的各个设备写入额外写入相同的第二密钥分片,可以使得设备群组能够结合第一密钥分片和第二密钥分片生成设备群组的GID,通过GID标识设备群组。
可选地,第二设备获取第二密钥分片之前,还包括:
第三设备生成第二密钥分片;
第三设备向第二设备发送第二密钥分片;
第二设备获取第二密钥分片,包括:
第二设备接收第二设备发送的第二密钥分片。
可选地,第三设备向第二设备发送第二密钥分片之前,还包括:
第三设备采用预设加密算法对第二密钥分片进行加密,得到第一分片加密数据;
第三设备向第二设备发送第二密钥分片,包括:
第三设备向第二设备发送第一分片加密数据;
第二设备接收第三设备发送的第二密钥分片,包括:
第二设备接收第三设备发送的第一分片加密数据;
第二设备向第一设备群组中的每个设备发送第二密钥分片,包括:
第二设备向第一设备群组中的每个设备发送第一分片加密数据。
通过对第二密钥分片进行加密传输,可以避免第二密钥分片在传输过程中被恶意获取,从而保证了第二密钥分片的数据安全。
可选地,第三设备采用预设加密算法对第二密钥分片进行加密之前,还包括:
第二设备生成密钥对,密钥对包括公钥和私钥;
第二设备向第三设备发送公钥;
第三设备向第二设备发送第一分片加密数据之前,还包括:
第三设备接收第二设备发送的公钥;
第三设备采用公钥对第一分片加密数据进行加密,得到第二分片加密数据;
第三设备向第二设备发送第一分片加密数据,包括:
第三设备向第二设备发送第二分片加密数据。
可选地,第二设备接收第三设备发送的第一分片加密数据,包括:
第二设备接收第三设备发送的第二分片加密数据;
采用私钥对第二分片加密数据进行解密,得到第一分片加密数据。
可选地,方法还包括:
第二设备确定第三密钥分片,第三密钥分片为第三设备将第二密钥分片加密传输至第二设备的加密传输策略;
第二设备向第四设备发送第三密钥分片;
第四设备接收第二设备发送的第三密钥分片;
第四设备存储第三密钥分片。
第四方面,提供了一种数据处理装置,所述数据处理装置具有实现上述第一方面中第一设备执行的数据处理方法行为的功能、或者具有实现上述第二方面中第四设备执行的数据处理方法行为的功能、或者具有实现上述第三方面中第二设备或第三设备执行的数据处理方法行为的功能。所述数据处理装置包括至少一个模块,所述至少一个模块用于实现上述第一方面中第一设备执行的数据处理方法、或者上述第二方面中第四设备执行的数据处理方法、或者上述第三方面中第二设备或第三设备执行的数据处理方法。
第五方面,提供了一种数据处理装置,所述数据处理装置的结构中包括处理器和存储器,所述存储器用于存储支持数据处理装置执行上述第一方面中第一设备执行的数据处理方法、或者上述第二方面中第四设备执行的数据处理方法、或者上述第三方面中第二设备或第三设备执行的数据处理方法的程序,以及存储用于实现上述第一方面中第一设备执行的数据处理方法、或者上述第二方面中第四设备执行的数据处理方法、或者上述第三方面中第二设备或第三设备执行的数据处理方法所涉及的数据。所述处理器被配置为用于执行所述存储器中存储的程序。所述数据处理装置还可以包括通信总线,所述通信总线用于在所述处理器与所述存储器之间建立连接。
第六方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面中第一设备执行的数据处理方法、或者上述第二方面中第四设备执行的数据处理方法、或者上述第三方面中第二设备或第三设备执行的数据处理方法。
第七方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面中第一设备执行的数据处理方法、或者上述第二方面中第四设备执行的数据处理方法、或者上述第三方面中第二设备或第三设备执行的数据处理方法。
上述第四方面、第五方面、第六方面和第七方面所获得的技术效果与上述第一方面、第二方面和第三方面中对应的技术手段获得的技术效果近似,在这里不再赘述。
附图说明
图1是本申请实施例提供的一种基于群组密钥的数据保护方案的流程图;
图2是本申请实施例涉及的一种设备生产阶段的实施环境的示意图;
图3是本申请实施例涉及的一种用户阶段的实施环境的示意图;
图4是本申请实施例提供的一种数据处理方法的流程图;
图5是本申请实施例提供的另一种数据处理方法的流程图;
图6是本申请实施例提供的又一种数据处理方法的流程图;
图7是本申请实施例提供的一种根据多个密钥分片生成群组密钥的示意图;
图8是本申请实施例提供的一种数据处理装置的框图;
图9是本申请实施例提供的另一种数据处理装置的框图;
图10是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请的实施方式作进一步地详细描述。
应当理解的是,本申请提及的“多个”是指两个或两个以上。在本申请的描述中,除非另有说明,“/”表示或的意思,比如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,比如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,为了便于清楚描述本申请的技术方案,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
首先,对申请实施例涉及的应用场景进行说明。
本申请实施例提供的数据处理方法可以应用于向设备群组进行数据推送的场景中,设备群组包括多个设备。比如,向设备群组推送系统镜像,以对设备群组中的每个设备的系统进行更新。或者,向设备群组推送应用程序的升级包,以对设备群组中的每个设备的应用程序进行更新。当然,也可以应用于向设备群组推送其他数据的场景中,本申请实施例对向设备群组推送的数据不做限定。
另外,本申请实施例中为了保证设备群组的安全性和可认证性,以及简化密钥管理方案、数据加密和传送过程,提供了一种基于群组密钥的数据保护方案,在该方案中,预先根据设备群组的共性特征为设备群组中的各个设备配置了统一的群组密钥(groupidentifier,GID),在向设备群组推送数据时,可以先使用设备群组的GID对待推送的数据进行加密,得到加密数据,再将加密数据推送给设备群组中的各个设备。设备群组的各个设备可以使用统一的群组密钥对接收的加密数据进行解密,以获取推送的数据。如此,不需要为设备群组中的各个设备分别设置根密钥,从而简化了密钥管理方案。而且,只需要使用设备群组的GID对待推送的数据进行一次加密,并将加密得到的加密数据分别发送给设备群组中的各个设备即可,而不需要使用各个设备的根密钥对待推送的数据分别进行加密和传送,从而简化了数据加密和传送过程,提高了数据加密和传送效率。
其中,设备群组中的设备为相同类型的目标设备,比如相同型号的目标设备等。设备群组为已生产的所有目标设备中具体特定共性特征的目标设备,比如在某个时间段内生产的目标设备,或者使用某一批物料生产的目标设备等。
比如,在设备发货后,设备厂商往往会定期对设备进行软件更新。但是,一部分的软件更新可能并不是针对所有设备的,而是会针对特定的设备群组,比如针对在某个时间段内生产的设备。这种情况下,即可采用本申请实施例提供的方法为这种具有特定的共性特征的设备群组配置统一的群组密钥,通过群组密钥标识出设备群组的群体特征,将需要更新的软件的升级包采用该群组密钥进行加密后向设备群组中的所有设备进行推送。
如图1所示,本申请实施例提供的基于群组密钥的数据保护方案包括如下流程:
1)在设备生产阶段,决定群组密钥的部署策略,并在设备群组的外部设备中进行群组密钥的生成。决定群组密钥的部署策略是指决定将哪些设备作为一个设备群组,为哪些设备部署相同的群组密钥。
2)在设备生产阶段,将群组密钥写入设备群组的各个设备中。
3)在用户阶段,使用群组密钥对待推送的目标数据进行加密,将加密数据推送给对应设备群组的各个设备。
4)在用户阶段,设备群组的任一设备接收到加密数据后,使用群组密钥对加密数据进行解密。
接下来,对本申请实施例涉及的实施环境进行介绍。
图2是本申请实施例涉及的一种设备生产阶段的实施环境的示意图,如图2所示,该实施环境包括第二设备10、第三设备20和设备群组30,设备群组30中包括多个设备,比如包括设备1,设备2,设备3,...,设备n。第二设备10与第三设备20可以通过有线网络或无线网络进行通信,第二设备10与设备群组30中的各个设备可以通过有线网络或无线网络进行通信。
本申请实施例中,设备群组30中的群组密钥至少根据第一密钥分片和第二密钥分片生成。其中,第一密钥分片为设备群组30中的各个设备的指定部件的部件标识,比如芯片的芯片标识。设备群组30中各个设备的指定部件的部件标识相同,也即是,设备群组30中的各个设备使用了相同的指定部件。第一密钥分片预先存储在各个设备中。第二密钥分片是外部设备向设备群组30中的每个设备写入的数据,且设备群组30中的各个设备被写入的第二密钥分片均相同。
其中,第三设备20用于生成待向设备群组30中的各个设备写入的第二密钥分片,将生成的第二密钥分片发送给第二设备10。第三设备20可以采用预设策略生成第二密钥分片,比如采用随机算法生成一个随机值,将生成的随机值作为第二密钥分片。第三设备20可以为终端或服务器等电子设备,比如可以为公钥基础设施(public key infrastructure,PKI)设备。
其中,第二设备10用于接收第三设备20发送的第二密钥分片,向设备群组30中的各个设备写入第二密钥分片,以便设备群组30中的各个设备根据被写入的第二密钥分片以及自身存储的第一密钥分片生成统一的群组密钥。第二设备10可以为设备群组30的原始设备制造商提供的生产设备,例如生产设备群组30的产线上的控制设备,如关注指令(attention command,ATCMD)设备等。设备群组30中的各个设备可以为手机、平板电脑、计算机等电子设备。
作为一个示例,第三设备20在生成第二密钥分片后,可以将第二密钥分片加密传输至第二设备10。第二密钥分片的加密传输策略可以预先根据需要进行设置。比如,加密传输策略可以为先使用预设加密算法进行一次加密,再使用公钥进行二次加密。
作为一个示例,如图2所示,第二设备10可以先生成包括公钥和私钥的密钥对,将密钥对中的公钥发送给第三设备20。第三设备20生成第二密钥分片后,先使用预设加密算法对第二密钥分片进行一次加密,得到第一分片加密数据,再使用公钥对第一分片加密数据进行二次加密,得到第二分片加密数据,将第二分片加密数据发送给第二设备10。第二设备10接收到第三设备20发送的第二分片加密数据后,使用公钥对应的私钥对第二分片加密数据进行解密,得到第一分片加密数据。之后,第二设备10可以将第一分片加密数据分别发送给设备群组30中的各个设备。对于设备群组30中的任一设备来说,该设备接收到第一分片加密数据后,可以采用预设加密算法对应的解密算法对第一分片加密数据进行解密,得到第二密钥分片,然后存储第二密钥分片。解密和存储第二密钥分片后,该设备即可根据自身存储的第一密钥分片和第二密钥分片生成群组密钥,而且由于设备群组30中各个设备存储的第一密钥分片和第二密钥分片均相同,因此,各个设备生成的群组密钥也相同。
需要说明的是,本申请实施例仅是以在设备生产阶段向设备群组30中的各个设备写入第二密钥分片为例进行说明,应理解,也可以在用户阶段向设备群组30中的各个设备写入第二密钥分片或其他数据,本申请实施例对此不做限定。
还需要说明的是,图2仅是以由第三设备20生成第二密钥分片,第二设备10通过第三设备20获取第二密钥分片为例进行说明,应理解,第二设备10也可以通过其他方式获取第二密钥分片,比如由第二设备10生成第二密钥分片,本申请实施例对此不做限定。
图3是本申请实施例涉及的一种用户阶段的实施环境的示意图,如图3所示,该实施环境包括第一设备40和设备群组30,第一设备40与设备群组30中的各个设备可以通过有线网络或无线网络进行通信。
其中,第一设备40用于向设备群组30推送数据。比如,第一设备40可以获取设备群组30的群组密钥,使用设备群组30的群组密钥对待推送的目标数据进行加密,得到加密数据,然后向设备群组30中的每个设备发送该加密数据。第一设备40可以为终端或服务器等电子设备。
作为一个示例,如图3所示,该实施环境还包括第五设备50,第五设备50用于管理设备群组的群组密钥,比如第五设备50存储有多个设备群组的群组密钥。第一设备40可以从第五设备50获取设备群组30的群组密钥。第五设备50可以为终端或服务器等,比如可以为PKI设备。
其中,第五设备50中存储的设备群组30的群组密钥可以由第二设备10或第三设备20上传得到,或者由设备群组30中的设备上传得到,也可以由其他设备上传得到,本申请实施例对此不做限定。比如,第二设备10可以获取第三设备20生成的第二密钥分片,以及设备群组30中的各个设备的第一密钥分片,根据第一密钥分片和第二密钥分片生成设备群组30的群组密钥,将设备群组30的群组密钥上传至第五设备50。
其中,设备群组30中的各个设备用于接收第一设备40推送的数据。比如,对于设备群组30中的任一设备来说,该设备接收到第一设备40发送的加密数据后,可以获取自身设备存储的第一密钥分片和第二密钥分片,根据第一密钥分片和第二密钥分片生成群组密钥,使用该群组密钥对加密数据进行解密,得到目标数据。
需要说明的是,本申请实施例仅是以在设备群组30中的设备接收第一设备40推送的加密数据后,根据存储的第一密钥分片和第二密钥分片生成群组密钥为例进行说明,应理解,设备群组30中的设备也可以在接收第一设备40推送的加密数据之前,根据存储的第一密钥分片和第二密钥分片生成群组密钥,本申请实施例对接收加密数据和生成群组密钥的先后顺序不做限定。
为了便于理解,先对设备生产阶段,生成群组密钥以及向设备群组中的各个设备下发群组密钥的过程进行举例说明。
图4是本申请实施例提供的一种数据处理方法的流程图,如图4所示,该方法包括如下步骤:
步骤401:第二设备获取第二密钥分片,第二密钥分片用于与第一设备群组中各个设备的第一密钥分片结合生成第一设备群组的GID。
其中,第一设备群组为预先规划的任一设备群组。第一设备群组包括多个设备,这多个设备为具有特定的共性特征的目标设备。比如,在某个时间段内生产的目标设备,或者使用某一批物料生产的目标设备等。
其中,第一设备群组中各个设备的第一密钥分片均相同,也即是,第一设备群组中的各个设备具有相同的第一密钥分片。比如,第一密钥分片为第一设备群组中各个设备的指定部件的部件标识,第一设备群组中各个设备的指定部件的部件标识相同。也即是,第一设备群组中的各个设备使用了相同的指定部件。比如,指定部件可以为芯片,指定部件的部件标识为芯片标识。当然,指定部件也可以为其他部件,本申请实施例对此不做限定。
其中,指定部件的部件标识可以为指定部件的名称或身份标识号(identitydocument,ID)等。芯片标识可以为芯片名称或芯片ID等。
其中,各个设备的第一密钥分片可以预先存储在各个设备中。比如,存储于设备的第一存储空间中或者烧录在指定部件上,本申请实施例对此不做限定。当需要获取第一密钥分片时,设备可以直接从自身读取第一密钥分片。比如,第一存储空间可以为用于存储指定部件的部件信息的存储空间。
需要说明的是,第一密钥分片为第一设备群组所属的设备类型具有的共性特征,而第一设备群组为第一设备群组所属的设备类型包括的全部设备中的部分设备。本申请实施例中,为了从第一设备群组所属的设备类型包括的全部设备中区分第一设备群组,还可以在第一设备群组中的各个设备额外写入第二密钥分片,以结合第一密钥分片和第二密钥分片生成第一设备群组的GID,通过GID标识第一设备群组。也即是,GID用于标识具有同一共性特征的设备群组,具有这一共性特征的设备群组的GID是一样的。
作为一个示例,第二设备获取第二密钥分片可以包括如下几种实现方式:
第一种实现方式:第二设备获取其他设备生成的第二密钥分片。
比如,第三设备生成第二密钥分片,向第二设备发送第二密钥分片。第二设备接收第三设备发送的第二密钥分片。
作为一个示例,在第三设备向第二设备发送第二密钥分片的过程中,为了保证数据安全,第三设备可以将第二密钥分片加密传输至第二设备。其中,第二密钥分片的加密传输策略可以由第三设备预先设置,也可以由第三设备与第二设备协商设置,或者由第三设备与第一设备群组中的各个设备协商设置,本申请实施例对此不做限定。
另外,在第三设备将第二密钥分片加密传输至第二设备的情况下,第一设备群组中的各个设备还可以存储第三密钥分片,第三密钥分片为第二密钥分片的加密传输策略。比如,第三密钥分片为第三设备将第二密钥分片加密传输至第二设备的加密传输策略,或者为第二设备将第二密钥分片加密传输至第二设备,再由第二设备传输至设备群组的加密传输策略。
其中,第三密钥分片可以存储于设备的第三存储空间中,第二存储空间与第一存储空间可以相同,也可以不同。比如,第三存储空间可以为用于存储系统软件的相关信息的存储空间中。示例地,第三密钥分片固化在设备的系统软件中。
其中,第三密钥分片可以由外部设备向第一设备群组中的各个设备写入,也可以预先与第三设备协商得到。其中,外部设备可以为第二设备或第三设备,也可以为其他设备,本申请实施例对此不做限定。
第二种实现方式:第二设备生成第二密钥分片。也即是,由第二设备自身生成第二密钥分片。
应理解,第二设备也可以通过其他方式获取第二密钥分片,本申请实施例对此不做限定。
第二设备获取第二密钥分片后,可以向第一设备群组中的各个设备写入第二密钥分片,比如,通过以下步骤402-步骤403向第一设备群组中的各个设备写入第二密钥分片。
步骤402:第二设备向第一设备群组中的每个设备发送第二密钥分片。
步骤403:第四设备接收第二设备发送的第二密钥分片,存储第二密钥分片,第四设备为所述第一设备群组中的任一设备。
第四设备可以将第二密钥分片存储在第二存储空间中。第二存储空间与上述第一存储空间或上述第三存储空间可以相同,也可以不同,本申请实施例对此不做限定。
比如,第二存储空间可以为第四设备的内存。另外,为了保证第二密钥分片的安全性,第二存储空间还可以为第四设备的不可更改存储空间,如熔丝可信应用(fuse TA,fusetrusted application)等。
本申请实施例中,可以向设备群组的各个设备写入相同的第二密钥分片,第二密钥分片可以与各个设备的第一密钥分片结合生成设备群组的群组标识。由于第一密钥分片用于指示设备群组所属的设备类型具有的共性特征,第一设备群组为第一设备群组所属的设备类型包括的全部设备中的部分设备,第二密钥分片用于指示第一设备群组具有的共性特征,因此,通过向设备群组的各个设备写入额外写入相同的第二密钥分片,可以使得设备群组能够结合第一密钥分片和第二密钥分片生成设备群组的GID,通过GID标识设备群组。
接下来,将以由第三设备生成第二密钥分片,将第二密钥分片加密传输至第二设备为例,对设备生产阶段,生成群组密钥以及向设备群组中的各个设备下发群组密钥的过程进行举例说明。
图5是本申请实施例提供的另一种数据处理方法的流程图,如图5所示,该方法包括如下步骤:
步骤501:第二设备生成密钥对,密钥对包括公钥和私钥。
第二设备可以采用预设密钥生成策略生成密钥对,比如采用临时密钥生成策略生成临时密钥对。密钥对包括公钥和私钥,公钥用于对数据进行加密,私钥用于对采用该公钥加密的数据进行解密。
步骤502:第二设备向第三设备发送公钥。
步骤503:第三设备生成第二密钥分片。
第三设备可以采用预设策略生成第二密钥分片。比如采用随机算法生成一个随机值,将生成的随机值作为第二密钥分片。当然,也可以采用其他方式生成第二密钥分片,本申请实施例对此不做限定。
步骤504:第三设备使用预设加密算法对第二密钥分片进行加密,得到第一分片加密数据。
其中,预设加密算法为预先设置的加密算法,比如白盒加密算法等。通过使用白盒加密算法对第二密钥分片进行加密,可以有效避免第二密钥分片被恶意获取。
步骤505:第三设备使用接收的公钥对第一分片加密数据进行加密,得到第二分片加密数据。
也即是,第三设备在生成第二密钥分片之后,可以先使用预设加密算法进行一次加密,再使用第二设备发送的公钥进行二次加密,从而可以进一步避免第二密钥分片被恶意获取,保证了第二密钥分片的数据安全。
步骤506:第三设备向第二设备发送第二分片加密数据。
步骤507:第三设备使用私钥对第二分片加密数据进行解密,得到第一分片加密数据。
步骤508:第三设备向第一设备群组中的每个设备发送第一分片加密数据。
步骤509:第四设备接收第一分片加解密数据,采用预设加密算法对应的解密算法对第一分片加密数据进行解密,得到第二密钥分片。
其中,第四设备可以预先获知第一分片加密数据加密时采用的预设加密算法,然后采用预设加密算法对应的解密算法对第一分片加密数据进行解密,得到第二密钥分片。比如,若预设加密算法为白盒加密算法,则第四设备可以采用白盒加密算法对应的白盒解密算法对第一分片加密数据进行解密,得到第二密钥分片。
其中,第一分片加密数据的预设加密算法可以由第四设备与第三设备预先协商得到,或者由外部设备下发得到,比如由第二设备或第三设备下发得到。
作为一个示例,第四设备还可以预先存储第三密钥分片,第三密钥分片为第二密钥分片的加密传输策略。比如,第三密钥分片为“预设加密算法+公钥加密”,用于指示第二密钥分片先采用预设加密算法进行加密,再采用公钥进行加密。
其中,第三密钥分片可以存储于第四设备的第三存储空间中。比如,第三存储空间可以为用于存储系统软件的相关信息的存储空间中。示例地,第三密钥分片固化在设备的系统软件中。另外,第三密钥分片可以由外部设备向第一设备群组中的各个设备写入,也可以预先与第三设备协商得到。其中,外部设备可以为第二设备或第三设备,也可以为其他设备,本申请实施例对此不做限定。
在第四设备还存储有第三密钥分片的情况下,第四设备可以根据第三密钥分片指示的加密传输策略确定第一分片加解密数据采样的预设加密算法,然后采用预设加密算法对应的解密算法对第一分片加密数据进行解密,得到第二密钥分片。
步骤510:第四设备存储第二密钥分片。
比如,第四设备可以将第二密钥分片存储在第二存储空间中。示例地,第二存储空间可以为第四设备的内存,或者第四设备的不可更改存储空间,比如Fuse TA。
需要说明的是,本申请实施例仅是以第二密钥分片的加密传输策略为先使用预设加密算法进行一次加密,再使用第二设备发送的公钥进行二次加密,将二次加密的第二密钥分片发送给第二设备,由第二设备先使用私钥对二次加密的第二密钥分片进行解密,再将解密的数据下发给设备群组为例进行说明,应理解,第二密钥分片的加密传输策略还可以为其他加密传输策略,本申请实施例对此不做限定。
本申请实施例中,第三设备通过先使用预设加密算法进行一次加密,再使用第二设备发送的公钥进行二次加密,将二次加密的第二密钥分片发送给第二设备,由第二设备先使用私钥对二次加密的第二密钥分片进行解密,再将解密的数据下发给设备群组,可以有效避免第二密钥分片在传输过程中被恶意获取,提高第二密钥分片的数据安全性。
接下来,对用户阶段,向设备群组中的各个设备进行数据推送的过程进行举例说明。
图6是本申请实施例提供的又一种数据处理方法的流程图,如图6所示,该方法包括:
步骤601:第一设备获取第一设备群组的GID。
其中,群组密钥GID是根据第一密钥分片和第二密钥分片生成的,第一密钥分片是第一设备群组中各个设备的指定部件的部件标识,第一设备群组中各个设备的指定部件的部件标识相同,第二密钥分片是第二设备向第一设备群组中的每个设备写入的相同的数据。
比如,GID是对指定数据集中的数据进行聚合处理得到。指定数据集至少包括第一密钥分片和第二密钥分片,还可以包括第三密钥分片等其他数据。第三密钥分片是第三设备将第二密钥分片加密传输至第二设备的加密传输策略。
作为一个示例,第一设备可以从第五设备中获取第一设备群组的GID,第五设备用于管理设备群组的GID。比如,第五设备存储有多个设备群组的GID,第一设备可以从第五设备存储的多个设备群组的群组密钥中获取第一设备群组的GID。示例地,第五设备存储有多个设备群组的群组标识和对应的GID,第一设备可以根据第一设备群组的群组标识,从第五设备中获取第一设备群组的GID。
步骤602:第一设备使用GID对目标数据进行加密,得到加密数据。
其中,目标数据为待推送给第一设备群组的数据,比如可以为系统镜像或应用程序的升级包等,以对第一设备群组的系统或应用程序进行更新。
步骤603:第一设备向第一设备群组中的每个设备发送该加密数据。
步骤604:第四设备接收第一设备发送的加密数据。
步骤605:第四设备获取存储的第一密钥分片和第二密钥分片。
步骤606:第四设备根据第一密钥分片和第二密钥分片,生成GID。
也即是,第四设备在接收到第一设备发送的加密数据后,可以先从相应存储位置获取第一密钥分片和第二密钥分片,然后根据第一密钥分片和第二密钥分片恢复出GID,以便后续根据恢复出的GID对接收到的加密数据进行解密。
作为一个示例,根据第一密钥分片和第二密钥分片,生成GID的操作可以包括如下几种实现方式:
第一种实现方式:第四设备对第一密钥分片和第二密钥分片进行聚合处理,得到GID。
第四设备可以采用预设聚合算法,对第一密钥分片和第二密钥分片进行聚合处理,得到GID。比如,先对第一密钥分片和第二密钥分片进行拼接,得到拼接数据,再对拼接数据进行哈希处理,得到GID。
其中,对拼接数据进行哈希处理所使用的哈希算法可以预先设置得到,比如可以为SHA-256等哈希算法。
第二种实现方式:在第四设备还存储有第三密钥分片的情况下,在根据第一密钥分片和第二密钥分片,生成GID之前,第四设备还可以获取存储的第三密钥分片。相应地,第四设备可以对第一密钥分片、第二密钥分片和第三密钥分片进行聚合处理,得到GID。
第四设备可以采用预设聚合算法,对第一密钥分片、第二密钥分片和第三密钥分片进行聚合处理,得到GID。比如,先对第一密钥分片、第二密钥分片和第三密钥分片进行拼接,得到拼接数据,再对拼接数据进行哈希处理,得到GID。
如图7所示,假设第一密钥分片、第二密钥分片和第三密钥分片分别用GID_P1、GID_P2和GID_P3表示,GID_P1为芯片ID、GID_P2为第二设备写入的数据、GID_P3为GID_P2的加密传输策略,可以对GID_P1、GID_P2和GID_P3进行聚合处理,得到GID。
作为一个示例,GID可以通过以下公式(1)的方式生成:
GID = SHA-256(GID_P1 || GID_P2 || GID_P3) (1)
其中,GID_P1、GID_P2和GID_P3分别为第一密钥分片、第二密钥分片和第三密钥分片,||为拼接符号,也就是将两个字符串拼接为一个字符串,SHA-256为哈希算法。
比如,若GID_P1为芯片ID“ABCD01234”,GID_P2为“AI129JSO254”,假设GID_P2使用了白盒加密方式和公钥加密方式进行加密传输,则GID_P3可以用“PUBLICKEY+WHITEBOXCRYPTO”表示。在生成GID的过程中,首先将GID_P1、GID_P2和GID_P3对应的三个字符串进行拼接,得到拼接字符串“ABCD01234 AI129JSO254PUBLICKEY+WHIT EBOXCRYPTO”,在对该拼接字符串采用SHA-256哈希算法进行哈希处理,得到哈希处理结果“c06f50d837c90ebd0a0eea2e1a685eb99611c3ba8abc6304f4c909ae9a3555a5”,该哈希处理结果即为GID。
第三种实现方式:第四设备对第一密钥分片、第二密钥分片、第三密钥分片和其他数据进行聚合处理,得到GID,得到GID。
其中,其他数据可以根据需要进行设置,本申请实施例对此不做限定。
第四设备可以采用预设聚合算法,对第一密钥分片、第二密钥分片、第三密钥分片和其他数据进行聚合处理,得到GID。比如,先对第一密钥分片、第二密钥分片、第三密钥分片和其他数据进行拼接,得到拼接数据,再对拼接数据进行哈希处理,得到GID。
步骤607:第四设备使用GID对加密数据进行解密,得到目标数据。
需要说明的是,本申请实施例在第四设备接收第一设备发送的加密数据后,根据存储的第一密钥分片和第二密钥分片生成GID为例进行说明,应理解,第四设备也可以在接收第一设备发送的加密数据之前,预先根据存储的第一密钥分片和第二密钥分片生成GID,则在接收到第一设备发送的加密数据后,可以直接获取预先生成的GID,根据预先生成的GID对接收到的加密数据进行解密。也即是,本申请实施例对步骤604和步骤605-步骤606的执行先后顺序不做限定。
本申请实施例中,预先根据设备群组的共性特征为设备群组中的各个设备配置了统一的GID,在向设备群组推送数据时,可以先使用设备群组的GID对待推送的数据进行加密,得到加密数据,再将加密数据推送给设备群组中的各个设备。设备群组的各个设备可以使用统一的群组密钥对接收的加密数据进行解密,以获取推送的数据。如此,可以通过GID识别一些设备群组的群体特征而不是单个设备的个体特征来进行设备管理,从而简化了密钥管理方案。而且,只需要使用设备群组的GID对待推送的数据进行一次加密,并将加密得到的加密数据分别发送给设备群组中的各个设备即可,而不需要使用各个设备的根密钥对待推送的数据分别进行加密和传送,从而简化了数据加密和传送过程,提高了数据加密和传送效率。
本申请实施例中通过使用GID替代根密钥,可以通过识别一些设备群组的群体特征而不是单个设备的个体特征来进行设备管理,在针对设备群组的数据推送中更有效率优势,且可以保证设备群组的安全性和可认证性,避免用户的隐私泄露。另外,GID可以根据多个密钥分片生成,攻击者必须获取到所有密钥分片才能恢复出GID,保证了GID在设备端存储的安全性。
图8是本申请实施例提供的一种数据处理装置的框图,该装置可以集成在终端或服务器等电子设备中,比如集中在上述第一设备40中。如图8所示,该装置包括:
获取模块801,用于执行上述图6实施例中的步骤601。
加密模块802,用于执行上述图6实施例中的步骤602。
发送模块803,用于执行上述图6实施例中的步骤603。
可选地,该GID是对指定数据集中的数据进行聚合处理得到,该指定数据集至少包括该第一密钥分片和该第二密钥分片。
可选地,该指定数据集还包括第三密钥分片,该第二密钥分片是由第三设备生成后加密传输至该第二设备,该第三密钥分片是该第三设备将该第二密钥分片加密传输至该第二设备的加密传输策略。
可选地,该指定部件的部件标识为芯片的芯片标识。
本申请实施例中,预先根据设备群组的共性特征为设备群组中的各个设备配置了统一的GID,在向设备群组推送数据时,可以先使用设备群组的GID对待推送的数据进行加密,得到加密数据,再将加密数据推送给设备群组中的各个设备。如此,可以通过GID识别一些设备群组的群体特征而不是单个设备的个体特征来进行设备管理,从而简化了密钥管理方案。而且,只需要使用设备群组的GID对待推送的数据进行一次加密,并将加密得到的加密数据分别发送给设备群组中的各个设备即可,而不需要使用各个设备的根密钥对待推送的数据分别进行加密和传送,从而简化了数据加密和传送过程,提高了数据加密和传送效率。
图9是本申请实施例提供的另一种数据处理装置的框图,该装置可以集成在终端或服务器等电子设备中,比如集中在上述设备群组30中的任一设备中。如图9所示,该装置包括:
接收模块901,用于执行上述图6实施例中的步骤604。
获取模块902,用于执行上述图6实施例中的步骤605。
生成模块903,用于执行上述图6实施例中的步骤606。
解密模块904,用于执行上述图6实施例中的步骤607。
可选地,生成模块903用于:
对指定数据集中的数据进行聚合处理,得到该GID,该指定数据集至少包括该第一密钥分片和该第二密钥分片。
可选地,获取模块902还用于:
获取该第一设备存储的第三密钥分片,该第二密钥分片是由第三设备生成后加密传输至该第二设备,该第三密钥分片是该第三设备将该第二密钥分片加密传输至该第二设备的加密传输策略;
相应地,该指定数据集还包括该第三密钥分片。
可选地,该第一密钥分片存储于该第四设备的第一存储空间,该第二密钥分片存储于该第四设备的第二存储空间,该第三密钥分片存储于该第四设备的第三存储空间,该第一存储空间、该第二存储空间和该第三存储空间中的两个存储空间相同或不同。
可选地,该第一存储空间为用于存储该指定部件的部件标识的存储空间,该第二存储空间为内存,该第三存储空间为用于存储系统软件的相关信息的存储空间。
可选地,生成模块903用于:
对该指定数据集中的数据进行拼接,得到拼接数据;
对该拼接数据进行哈希处理,得到该GID。
可选地,该装置还包括存储模块:
接收模块901,还用于接收该第二设备发送的该第二密钥分片;
存储模块,用于存储该第二密钥分片。
可选地,接收模块902包括:
接收单元,用于接收该第二设备发送的第一分片加密数据,该第一分片加密数据是采用预设加密算法对该第二密钥分片进行加密得到;
解密单元,用于采用该预设加密算法对应的解密算法,对该第一分片加密数据进行解密,得到该第二密钥分片。
可选地,接收模块901还包括:
确定单元,用于根据该第四设备存储的第三密钥分片,确定该第一分片加密数据采用的该预设加密算法,该第二密钥分片是由第三设备加密传输至该第二设备,该第三密钥分片是该第三设备将该第二密钥分片加密传输至该第二设备的加密传输策略;
可选地,该装置还包括存储模块:
接收模块901,还用于接收该第二设备发送的该第三密钥分片;
存储模块,用于存储该第三密钥分片。
可选地,该指定部件的部件标识为芯片的芯片标识。
本申请实施例中,设备群组中的设备在接收到第一设备推送的加密数据后,可以先获取存储的多个密钥分片,根据多个密钥分片恢复出所属设备群组的GID,然后根据GID对加密数据进行解密。由于GID可以根据多个密钥分片生成,因此攻击者必须获取到所有密钥分片才能恢复出GID,从而保证了GID在设备端存储的安全性。
需要说明的是:上述实施例提供的数据处理装置在进行数据处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
上述实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请实施例的保护范围。
上述实施例提供的数据处理装置与数据处理方法实施例属于同一构思,上述实施例中单元、模块的具体工作过程及带来的技术效果,可参见方法实施例部分,此处不再赘述。
图10是本申请实施例提供的一种电子设备的结构示意图,该电子设备可以是图2中所示的第二设备10、第三设备20或设备群组30中的设备,也可以是图3中的第一设备40、第五设备50或设备群组30中的设备。参见图10,该电子设备包括至少一个处理器201、通信总线202、存储器203以及至少一个通信接口204。
处理器201可以是微处理器(包括中央处理器(central processing unit,CPU)等)、特定应用集成电路(application-specific integrated circuit,ASIC),或者可以是一个或多个用于控制本申请方案程序执行的集成电路。
通信总线202可包括一通路,用于在上述组件之间传送信息。
存储器203可以是只读存储器(read-only memory,ROM)、随机存取存储器(randomaccess memory,RAM)、电可擦可编程只读存储器(electrically erasable programmableread-Only memory,EEPROM)、光盘(包括只读光盘(compact disc read-only memory,CD-ROM)、压缩光盘、激光盘、数字通用光盘、蓝光光盘等)、磁盘存储介质或者其它磁存储设备,或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器203可以是独立存在,并通过通信总线202与处理器201相连接。存储器203也可以和处理器201集成在一起。
通信接口204使用任何收发器一类的装置,用于与其它设备或通信网络通信,如以太网、无线接入网(radio access network,RAN)、无线局域网(wireless local areanetwork,WLAN)等。
在具体实现中,作为一种实施例,处理器201可以包括一个或多个CPU,如图10中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,电子设备可以包括多个处理器,如图10中所示的处理器201和处理器205。这些处理器中的每一个可以是一个单核处理器,也可以是一个多核处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,电子设备还可以包括输出设备206和输入设备207。输出设备206和处理器201通信,可以以多种方式来显示信息。例如,输出设备206可以是液晶显示器(liquid crystal display,LCD)、发光二级管(light emitting diode,LED)显示设备、阴极射线管(cathode ray tube,CRT)显示设备或投影仪(projector)等。输入设备207和处理器201通信,可以以多种方式接收用户的输入。例如,输入设备207可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的电子设备可以是一个通用电子设备或一个专用电子设备。在具体实现中,电子设备可以是台式机、便携式电脑、网络服务器、掌上电脑、移动手机、平板电脑、无线终端设备、通信设备或嵌入式设备,本申请实施例不限定电子设备的类型。
其中,存储器203用于存储执行本申请方案的程序代码210,处理器201用于执行存储器203中存储的程序代码210。该电子设备可以通过处理器201以及存储器203中的程序代码210,来实现上文图4实施例、图5实施例或图6实施例提供的数据处理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,比如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(比如:同轴电缆、光纤、数据用户线(Digital Subscriber Line,DSL))或无线(比如:红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(比如:软盘、硬盘、磁带)、光介质(比如:数字通用光盘(Digital Versatile Disc,DVD))或半导体介质(比如:固态硬盘(Solid State Disk,SSD))等。
以上所述为本申请提供的可选实施例,并不用以限制本申请,凡在本申请的揭露的技术范围之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (23)
1.一种数据处理方法,其特征在于,应用于第一设备中,所述方法包括:
从第五设备存储的多个设备群组的群组密钥GID中获取第一设备群组的GID,所述第一设备群组的GID是根据第一密钥分片和第二密钥分片生成的,所述第一密钥分片是所述第一设备群组中各个设备的指定部件的部件标识,所述第一设备群组中各个设备的指定部件的部件标识相同,所述第二密钥分片是第二设备向所述第一设备群组中的每个设备写入的相同的数据,所述第一设备群组为所述第一设备群组所属设备类型包括的全部设备中的部分设备,所述第二设备为所述第一设备群组的生产设备;
使用所述第一设备群组的GID对目标数据进行加密,得到加密数据;
向所述第一设备群组中的每个设备发送所述加密数据。
2.如权利要求1所述的方法,其特征在于,所述第一设备群组的GID是对指定数据集中的数据进行聚合处理得到,所述指定数据集至少包括所述第一密钥分片和所述第二密钥分片。
3.如权利要求2所述的方法,其特征在于,所述指定数据集还包括第三密钥分片,所述第二密钥分片是由第三设备生成后加密传输至所述第二设备,所述第三密钥分片是所述第三设备将所述第二密钥分片加密传输至所述第二设备的加密传输策略。
4.如权利要求1-3任一所述的方法,其特征在于,所述指定部件的部件标识为芯片的芯片标识。
5.一种数据处理方法,其特征在于,应用于第四设备中,所述方法包括:
接收第一设备发送的加密数据,所述加密数据是所述第一设备使用第一设备群组的群组密钥GID对目标数据进行加密得到,所述第一设备群组的GID是所述第一设备从第五设备存储的多个设备群组的GID中获取得到,所述第四设备为所述第一设备群组中的任一设备,所述第一设备群组为所述第一设备群组所属设备类型包括的全部设备中的部分设备,所述第二设备为所述第一设备群组的生产设备;
获取所述第四设备存储的第一密钥分片和第二密钥分片,所述第一密钥分片是所述第四设备的指定部件的部件标识,所述第一设备群组中各个设备的指定部件的部件标识相同,所述第二密钥分片是第二设备向所述第一设备群组中的每个设备写入的相同的数据;
根据所述第一密钥分片和所述第二密钥分片,生成所述第一设备群组的GID;
使用所述第一设备群组的GID对所述加密数据进行解密,得到所述目标数据。
6.如权利要求5所述的方法,其特征在于,所述根据所述第一密钥分片和所述第二密钥分片,生成所述第一设备群组的GID,包括:
对指定数据集中的数据进行聚合处理,得到所述第一设备群组的GID,所述指定数据集至少包括所述第一密钥分片和所述第二密钥分片。
7.如权利要求6所述的方法,其特征在于,所述对指定数据集中的数据进行聚合处理,得到所述第一设备群组的GID之前,还包括:
获取所述第四设备存储的第三密钥分片,所述第二密钥分片是由第三设备生成后加密传输至所述第二设备,所述第三密钥分片是所述第三设备将所述第二密钥分片加密传输至所述第二设备的加密传输策略;
相应地,所述指定数据集还包括所述第三密钥分片。
8.如权利要求7所述的方法,其特征在于,所述第一密钥分片存储于所述第四设备的第一存储空间,所述第二密钥分片存储于所述第四设备的第二存储空间,所述第三密钥分片存储于所述第四设备的第三存储空间,所述第一存储空间、所述第二存储空间和所述第三存储空间中的两个存储空间相同或不同。
9.如权利要求8所述的方法,其特征在于,所述第一存储空间为用于存储所述指定部件的部件标识的存储空间,所述第二存储空间为内存,所述第三存储空间为用于存储系统软件的相关信息的存储空间。
10.如权利要求6所述的方法,其特征在于,所述对指定数据集中的数据进行聚合处理,得到所述第一设备群组的GID,包括:
对所述指定数据集中的数据进行拼接,得到拼接数据;
对所述拼接数据进行哈希处理,得到所述第一设备群组的GID。
11.如权利要求5-10任一所述的方法,其特征在于,所述获取所述第一设备存储的第一密钥分片和第二密钥分片之前,还包括:
接收所述第二设备发送的所述第二密钥分片;
存储所述第二密钥分片。
12.如权利要求11所述的方法,其特征在于,所述接收所述第二设备发送的所述第二密钥分片,包括:
接收所述第二设备发送的第一分片加密数据,所述第一分片加密数据是采用预设加密算法对所述第二密钥分片进行加密得到;
采用所述预设加密算法对应的解密算法,对所述第一分片加密数据进行解密,得到所述第二密钥分片。
13.如权利要求12所述的方法,其特征在于,所述采用所述预设加密算法对应的解密算法,对所述第一分片加密数据进行解密之前,还包括:
根据所述第四设备存储的第三密钥分片,确定所述第一分片加密数据采用的所述预设加密算法,所述第二密钥分片是由第三设备加密传输至所述第二设备,所述第三密钥分片是所述第三设备将所述第二密钥分片加密传输至所述第二设备的加密传输策略。
14.如权利要求13所述的方法,其特征在于,所述根据所述第四设备存储的第三密钥分片,确定所述第一分片加密数据采用的所述预设加密算法之前,还包括:
接收所述第二设备发送的所述第三密钥分片;
存储所述第三密钥分片。
15.如权利要求5-10任一所述的方法,其特征在于,所述指定部件的部件标识为芯片的芯片标识。
16.一种数据处理方法,其特征在于,所述方法包括:
第二设备获取第二密钥分片,所述第二密钥分片用于与第一设备群组中各个设备的指定部件的部件标识结合生成所述第一设备群组的群组密钥GID,所述第一设备群组中各个设备的指定部件的部件标识相同,所述第一设备群组为所述第一设备群组中的设备所属设备类型包括的全部设备中的部分设备,所述第二设备为所述第一设备群组的生产设备;
所述第二设备向所述第一设备群组中的每个设备发送所述第二密钥分片;
第四设备接收所述第二设备发送的所述第二密钥分片,存储所述第二密钥分片,所述第四设备为所述第一设备群组中的任一设备;
所述第四设备接收第一设备发送的加密数据,所述加密数据是所述第一设备使用所述第一设备群组的GID对目标数据进行加密得到,所述第一设备群组的GID是所述第一设备从第五设备存储的多个设备群组的GID中获取得到;
所述第四设备获取存储的第一密钥分片和所述第二密钥分片,所述第一密钥分片是所述第四设备的指定部件的部件标识;根据所述第一密钥分片和所述第二密钥分片,生成所述第一设备群组的GID;使用所述第一设备群组的GID对所述加密数据进行解密,得到所述目标数据。
17.如权利要求16所述的方法,其特征在于,所述第二设备获取第二密钥分片之前,还包括:
第三设备生成所述第二密钥分片;
所述第三设备向所述第二设备发送所述第二密钥分片;
所述第二设备获取第二密钥分片,包括:
所述第二设备接收所述第三设备发送的所述第二密钥分片。
18.如权利要求17所述的方法,其特征在于,所述第三设备向所述第二设备发送所述第二密钥分片之前,还包括:
所述第三设备采用预设加密算法对所述第二密钥分片进行加密,得到第一分片加密数据;
所述第三设备向所述第二设备发送所述第二密钥分片,包括:
所述第三设备向所述第二设备发送所述第一分片加密数据;
所述第二设备接收所述第三设备发送的所述第二密钥分片,包括:
所述第二设备接收所述第三设备发送的所述第一分片加密数据;
所述第二设备向第一设备群组中的每个设备发送所述第二密钥分片,包括:
所述第二设备向所述第一设备群组中的每个设备发送所述第一分片加密数据。
19.如权利要求18所述的方法,其特征在于,所述第三设备采用预设加密算法对所述第二密钥分片进行加密之前,还包括:
所述第二设备生成密钥对,所述密钥对包括公钥和私钥;
所述第二设备向所述第三设备发送所述公钥;
所述第三设备向所述第二设备发送所述第一分片加密数据之前,还包括:
所述第三设备接收所述第二设备发送的所述公钥;
所述第三设备采用所述公钥对所述第一分片加密数据进行加密,得到第二分片加密数据;
所述第三设备向所述第二设备发送所述第一分片加密数据,包括:
所述第三设备向所述第二设备发送所述第二分片加密数据。
20.如权利要求19所述的方法,其特征在于,所述第二设备接收所述第三设备发送的所述第一分片加密数据,包括:
所述第二设备接收所述第三设备发送的所述第二分片加密数据;
所述第二设备采用所述私钥对所述第二分片加密数据进行解密,得到所述第一分片加密数据。
21.如权利要求17-20任一所述的方法,其特征在于,所述方法还包括:
所述第二设备确定第三密钥分片,所述第三密钥分片为述第三设备将所述第二密钥分片加密传输至所述第二设备的加密传输策略;
所述第二设备向所述第四设备发送所述第三密钥分片;
所述第四设备接收所述第二设备发送的所述第三密钥分片;
所述第四设备存储所述第三密钥分片。
22.一种电子设备,其特征在于,所述电子设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1-4任意一项中第一设备执行的方法、或者如权利要求5-15任意一项中第四设备执行的方法。
23.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行如权利要求1-4任意一项中第一设备执行的方法、或者如权利要求5-15任意一项中第四设备执行的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210761541.0A CN116032519B (zh) | 2022-06-30 | 2022-06-30 | 数据处理方法、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210761541.0A CN116032519B (zh) | 2022-06-30 | 2022-06-30 | 数据处理方法、设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116032519A CN116032519A (zh) | 2023-04-28 |
CN116032519B true CN116032519B (zh) | 2024-04-05 |
Family
ID=86080143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210761541.0A Active CN116032519B (zh) | 2022-06-30 | 2022-06-30 | 数据处理方法、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116032519B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103731258A (zh) * | 2013-12-20 | 2014-04-16 | 三星电子(中国)研发中心 | 生成密钥的方法及设备 |
CN106027241A (zh) * | 2016-07-08 | 2016-10-12 | 郑州轻工业学院 | 一种弹性非对称群组密钥协商的方法 |
KR20210064530A (ko) * | 2019-11-26 | 2021-06-03 | 한국전자통신연구원 | 속성 기반의 그룹키를 이용한 정보 공유 방법 및 이를 위한 장치 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5014608B2 (ja) * | 2005-09-30 | 2012-08-29 | 富士通株式会社 | グループ通信方法、利用装置および管理装置 |
CN103096309B (zh) * | 2011-11-01 | 2016-08-10 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
-
2022
- 2022-06-30 CN CN202210761541.0A patent/CN116032519B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103731258A (zh) * | 2013-12-20 | 2014-04-16 | 三星电子(中国)研发中心 | 生成密钥的方法及设备 |
CN106027241A (zh) * | 2016-07-08 | 2016-10-12 | 郑州轻工业学院 | 一种弹性非对称群组密钥协商的方法 |
KR20210064530A (ko) * | 2019-11-26 | 2021-06-03 | 한국전자통신연구원 | 속성 기반의 그룹키를 이용한 정보 공유 방법 및 이를 위한 장치 |
Non-Patent Citations (1)
Title |
---|
无线传感器网络中基于IBE算法的组密钥管理方案;刘晓文;王淑涵;王振华;赵海登;;计算机应用研究(08);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116032519A (zh) | 2023-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11533187B2 (en) | Device birth certificate | |
US10402571B2 (en) | Community-based de-duplication for encrypted data | |
CN111274268A (zh) | 物联网数据传输方法、装置、介质及电子设备 | |
US20170099144A1 (en) | Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system | |
EP4357950A1 (en) | Device management method, system and apparatus | |
CN112822177A (zh) | 数据传输方法、装置、设备和存储介质 | |
US20220216999A1 (en) | Blockchain system for supporting change of plain text data included in transaction | |
US20200044838A1 (en) | Data encryption method and system using device authentication key | |
CN111427860B (zh) | 分布式存储系统及其数据处理方法 | |
CN111414640A (zh) | 秘钥访问控制方法和装置 | |
CN111010283B (zh) | 用于生成信息的方法和装置 | |
CN110232570B (zh) | 一种信息监管方法及装置 | |
CN112564901A (zh) | 密钥的生成方法和系统、存储介质及电子装置 | |
CN116032519B (zh) | 数据处理方法、设备及计算机可读存储介质 | |
US20200119915A1 (en) | Key generation method and acquisition method, private key update method, chip, and server | |
CN116155491A (zh) | 安全芯片的对称密钥同步方法及安全芯片装置 | |
US9135449B2 (en) | Apparatus and method for managing USIM data using mobile trusted module | |
CN115426111A (zh) | 一种数据加密方法、装置、电子设备及存储介质 | |
JP2024500822A (ja) | 鍵インストール方法、システム、装置、機器及びコンピュータプログラム | |
US9178855B1 (en) | Systems and methods for multi-function and multi-purpose cryptography | |
CN112468291A (zh) | 一种同步敏感数据的方法、装置、系统、计算机设备及计算机可读存储介质 | |
CN111124447A (zh) | 一种平台管理方法、系统、设备及计算机可读存储介质 | |
KR102398380B1 (ko) | 키 교환 방법 및 시스템 | |
CN111526128B (zh) | 一种加密管理的方法和装置 | |
CN112231767A (zh) | 请求信息的处理方法及装置、存储介质、电子装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |