CN116112152A - 跨企业网络的数据共享安全加密方法和装置 - Google Patents

跨企业网络的数据共享安全加密方法和装置 Download PDF

Info

Publication number
CN116112152A
CN116112152A CN202310377267.1A CN202310377267A CN116112152A CN 116112152 A CN116112152 A CN 116112152A CN 202310377267 A CN202310377267 A CN 202310377267A CN 116112152 A CN116112152 A CN 116112152A
Authority
CN
China
Prior art keywords
server
key
data
hash value
product
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310377267.1A
Other languages
English (en)
Other versions
CN116112152B (zh
Inventor
王落
李明亮
许晨
夏维强
黄斌
赵峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Xugong Hanyun Industrial Internet Co ltd
XCMG Hanyun Technologies Co Ltd
Original Assignee
Guangdong Xugong Hanyun Industrial Internet Co ltd
XCMG Hanyun Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Xugong Hanyun Industrial Internet Co ltd, XCMG Hanyun Technologies Co Ltd filed Critical Guangdong Xugong Hanyun Industrial Internet Co ltd
Priority to CN202310377267.1A priority Critical patent/CN116112152B/zh
Publication of CN116112152A publication Critical patent/CN116112152A/zh
Application granted granted Critical
Publication of CN116112152B publication Critical patent/CN116112152B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开一种跨企业网络的数据共享安全加密方法和装置,属于数据通信技术领域,该方法通过位于第一企业网络的第一客户机基于第一服务器的第一公钥将目标数据的第一加密数据发送给第一服务器,由第一服务器与位于第二企业网络的第二服务器经过会话密钥协商建立安全通信通道,向第二服务器发送经由会话密钥加密的第二加密数据,进而由第二服务器向第二企业网络的第二客户机进行目标数据的加密转发,实现了跨企业网络之间的关键敏感数据的共享传输。本申请可以降低跨企业网络的数据共享加密的计算开销,提高跨企业网络的数据加密和传输效率,防止关键敏感数据在跨企业网络之间共享传输的安全风险。

Description

跨企业网络的数据共享安全加密方法和装置
技术领域
本申请涉及数据通信技术领域,具体而言,涉及一种跨企业网络的数据共享安全加密方法和装置。
背景技术
在现代化工业生产中,各企业通常包括一些关键敏感数据,例如生产设计图纸、材料配比、产线调试数据等,这些关键敏感数据通常需要在合作企业之间共享,由此产生了跨企业组织之间的关键敏感数据的安全共享问题。为了保证关键敏感数据的安全保密性,跨企业组织之间的关键敏感数据的共享传输通常需要对这些关键敏感数据进行加密。现有的一种加密方案是使用椭圆曲线上的双线性映射的基于标识的加密算法(identity-basedencryption),数据的发送方和接收方在统一的密钥中心中基于标识生成各自的公钥和私钥,然后发送方使用接收方的公钥对关键敏感数据进行加密,传输给接收方,由接收方根据自己的私钥对其进行解密,从而可以避免传统PKI公钥体系下对数字证书的认证需要。
但是,一方面,利用椭圆曲线上的双线性映射的基于标识的加密算法计算开销较大,在需要共享的关键敏感数据较大时,会导致较低的加密和传输效率;另一方面,如果需要共享关键敏感数据的多个企业组织各自采用不同的密钥中心来生成组织内部用户的公钥和私钥,现有加密方案通常不支持这种跨企业网络的发送方和接收方之间的密钥协商机制,难以保证关键敏感数据在跨企业网络之间进行安全传输;此外,现有加密方案中用户公钥和私钥生成过度依赖用户的身份标识,公钥和私钥更新不易,降低了对私钥泄露导致的安全风险的抵御能力,不能完全防止跨企业网络的发送方和接收方之间的会话劫持和攻击,可能导致关键敏感数据在跨企业网络的共享传输中发生泄露风险。因此,亟需一种改进的技术方案来解决上述问题。
发明内容
有鉴于此,本申请提出一种跨企业网络的数据共享安全加密方法和装置,能够实现跨不同密钥中心的企业网络的发送方和接收方之间的安全密钥协商,降低跨企业网络的数据加密计算开销,提高跨企业网络的数据加密和传输效率,防止关键敏感数据在跨企业网络之间共享传输的安全风险。
第一方面,本申请提出一种跨企业网络的数据共享安全加密方法,应用于第一企业网络和第二企业网络,所述第一企业网络包括第一密钥中心、第一服务器和至少一个第一客户机,所述第二企业网络包括第二密钥中心、第二服务器和至少一个第二客户机,所述方法包括:
第一客户机基于第一服务器的第一标识从第一密钥中心获得第一服务器的第一公钥,基于第一公钥生成目标数据的第一加密数据,向所述第一服务器发送携带所述第一加密数据和第二客户机的第二标识的第一数据报文;
所述第一服务器基于从所述第一密钥中心获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,并向第二服务器发起会话密钥协商以致所述第一服务器和第二服务器生成相同的会话密钥,并基于所述会话密钥对所述目标数据进行对称加密,得到第二加密数据,向所述第二服务器发送携带所述第二加密数据和第二标识的第二数据报文;
所述第二服务器基于所述会话密钥从所述第二数据报文中解密所述第二加密数据得到所述目标数据,基于所述第二标识从所述第二密钥中心获得所述第二客户机的第三公钥,基于所述第三公钥生成所述目标数据的第三加密数据,向所述第二客户机发送携带所述第三加密数据的第三数据报文;
所述第二客户机基于从所述第二密钥中心获得的第三私钥,从所述第三数据报文中解密所述第三加密数据,得到所述目标数据。
在可选的实施方式中,所述方法还包括:
所述第一密钥中心和第二密钥中心包括相同的无双线性映射的基于标识的加密策略,分别包括对应的第一组参数和第二组参数,所述第一组参数包括第一主私钥和由有限域的椭圆曲线上点的循环加法群、所述循环加法群的第一基点、第一主公钥和第一哈希函数构成的第一组公开参数,所述第二组参数包括第二主私钥和由所述循环加法群、所述循环加法群的第二基点、第二主公钥和所述第一哈希函数构成的第二组公开参数。
在可选的实施方式中,所述方法包括:
所述第一密钥中心以第一随机整数乘以所述第一基点,得到第一随机点,并将包括所述第一标识和所述第一随机点的坐标对的二元组作为所述第一公钥;
所述第一密钥中心以所述第一哈希函数计算所述第一标识的第一哈希值以及所述第一标识与第一字符串的连接字符串的第二哈希值,并计算所述第一哈希值与所述第一主私钥的第一乘积、所述第二哈希值与所述第一随机整数的第二乘积,将所述第一乘积与第二乘积相加,得到第一私钥。
在可选的实施方式中,所述第一客户机基于第一公钥生成目标数据的第一加密数据,包括:
所述第一客户机计算所述第一哈希值和所述第二哈希值,并计算所述第一哈希值与所述第一主公钥的第三乘积、所述第二哈希值与所述第一随机点的坐标对的第四乘积,并以第二哈希函数计算所述第三乘积与第四乘积的相加结果的第三哈希值,将所述第三哈希值与目标数据进行异或运算,得到第一加密数据。
在可选的实施方式中,所述第一服务器基于从所述第一密钥中心获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,包括:
所述第一服务器以所述第二哈希函数计算所述第一私钥与所述第一基点的乘积的第四哈希值,将所述第四哈希值与所述第一加密数据进行异或运算,得到所述目标数据。
在可选的实施方式中,所述第一服务器向第二服务器发起会话密钥协商以致所述第一服务器和第二服务器生成相同的会话密钥,包括:
第二密钥中心以第二随机整数乘以所述第二基点,得到第二随机点,将包括第二服务器的第三标识和所述第二随机点的坐标对的二元组作为第二服务器的第二公钥;以所述第一哈希函数计算所述第三标识的第五哈希值以及所述第三标识与第二字符串的连接字符串的第六哈希值,并计算所述第五哈希值与所述第二主私钥的第五乘积、所述第六哈希值与所述第二随机整数的第六乘积,将所述第五乘积与第六乘积相加,得到第二服务器的第二私钥。
在可选的实施方式中,所述方法包括:
所述第二密钥中心以第三随机整数乘以所述第二基点,得到第三随机点,将包括所述第二标识和所述第三随机点的坐标对的二元组作为所述第三公钥;
所述第二密钥中心以所述第一哈希函数计算所述第二标识的第七哈希值以及所述第二标识与第二字符串的连接字符串的第八哈希值,并计算所述第七哈希值与所述第二主私钥的第七乘积、所述第八哈希值与所述第三随机整数的第八乘积,将所述第七乘积与第八乘积相加,得到所述第三私钥。
在可选的实施方式中,所述第二服务器基于所述第三公钥生成所述目标数据的第三加密数据,包括:
所述第二服务器计算所述第七哈希值和所述第八哈希值,并计算所述第七哈希值与所述第二主公钥的第九乘积、所述第八哈希值与所述第三随机点的坐标对的第十乘积,并以所述第二哈希函数计算所述第九乘积与第十乘积的相加结果的第九哈希值,将所述第九哈希值与目标数据进行异或运算,得到第三加密数据。
在可选的实施方式中,所述第二客户机基于从所述第二密钥中心获得的第三私钥,从所述第三数据报文中解密所述第三加密数据,得到所述目标数据,包括:
所述第二客户机以所述第二哈希函数计算所述第三私钥与所述第二基点的乘积的第十哈希值,将所述第十哈希值与所述第三加密数据进行异或运算,得到所述目标数据。
在可选的实施方式中,所述第一服务器和第二服务器各自通过双方交换的随机整数、所述第一公钥和第一私钥、所述第二公钥和第二私钥以及所述第一组公开参数、第二组公开参数的运算来生成所述会话密钥,包括:
所述第一服务器向第二服务器发送携带第四随机整数和所述第二基点的第一协商报文;
响应于所述第一协商报文,所述第二服务器向所述第一服务器发送携带第五随机整数和所述第一基点的第二协商报文;
所述第二服务器基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、所述第一公钥和第二私钥生成会话密钥,所述第一服务器基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、所述第二公钥和第一私钥生成相同的会话密钥。
第二方面,本申请还提出一种跨企业网络的数据共享安全加密装置,应用于第一企业网络和第二企业网络,所述第一企业网络包括第一密钥中心、第一服务器和至少一个第一客户机,所述第二企业网络包括第二密钥中心、第二服务器和至少一个第二客户机,所述装置包括:
第一处理单元,用于第一客户机基于第一服务器的第一标识从第一密钥中心获得第一服务器的第一公钥,基于第一公钥生成目标数据的第一加密数据,向所述第一服务器发送携带所述第一加密数据和第二客户机的第二标识的第一数据报文;
第二处理单元,用于所述第一服务器基于从所述第一密钥中心获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,并向第二服务器发起会话密钥协商以致所述第一服务器和第二服务器生成相同的会话密钥,并基于所述会话密钥对所述目标数据进行对称加密,得到第二加密数据,向所述第二服务器发送携带所述第二加密数据和第二标识的第二数据报文;
第三处理单元,用于所述第二服务器基于所述会话密钥从所述第二数据报文中解密所述第二加密数据得到所述目标数据,基于所述第二标识从所述第二密钥中心获得所述第二客户机的第三公钥,基于所述第三公钥生成所述目标数据的第三加密数据,向所述第二客户机发送携带所述第三加密数据的第三数据报文;
第四处理单元,用于所述第二客户机基于从所述第二密钥中心获得的第三私钥,从所述第三数据报文中解密所述第三加密数据,得到所述目标数据。
本申请至少可以达到如下有益效果:
本申请可以基于无双线性映射的基于标识的加密方法,实现跨不同密钥中心的企业网络的发送方和接收方之间的安全密钥协商,降低了跨企业网络的数据共享加密的计算开销,提高跨企业网络的数据加密和传输效率,防止关键敏感数据在跨企业网络之间共享传输的安全风险。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本申请的某些实施例,而不应被看作是对本申请范围的限制。
图1是本申请的跨企业网络的数据共享安全加密方法适用的系统架构示意图;
图2是根据本申请一实施例的跨企业网络的数据共享安全加密方法的流程示意图;
图3是根据本申请另一实施例的跨企业网络的数据共享安全加密方法的部分流程示意图;
图4是根据本申请一种可选的具体实施方式的通信交互图;
图5是根据本申请一实施例的跨企业网络的数据共享安全加密装置的结构示意图;
图6是根据本申请另一实施例的跨企业网络的数据共享安全加密装置的部分结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请实施例的附图,对本申请实施例中的技术方案进行清楚、完整地描述。然而,应当理解,所描述的实施例仅仅是本申请的部分示例性实施例,而不是全部实施例,因此以下对本申请实施例的详细描述并非旨在限制本申请要求保护的范围。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书中的术语“第一”、“第二”等仅是用于区别描述类似的对象,而不是用于描述特定的顺序或先后次序,也不能理解为指示或暗示相对重要性。
图1是本申请的跨企业网络的数据共享安全加密方法适用的系统架构示意图。该系统包括不同企业组织的第一企业网络110和第二企业网络120,第一企业网络110和第二企业网络120之间通过网络130连接。其中,第一企业网络110包括一个或多个客户机111、第一服务器112和第一密钥中心113,所述一个或多个客户机111、第一服务器112可以通过内部网络连接至所述第一密钥中心113。第二企业网络120包括一个或多个客户机121、第二服务器122和第二密钥中心123,所述一个或多个客户机121、第二服务器122可以通过内部网络连接至所述第二密钥中心123。位于第一企业网络110的第一服务器112还可以通过网络130与位于第二企业网络120的第二服务器122和第二密钥中心123建立通信连接;位于第二企业网络120的第二服务器122还可以通过网络130与位于第一企业网络110的第一服务器112和第一密钥中心113建立通信连接。其中,网络130可以包括互联网或者虚拟专用网等多种网络形式。
如前所述,在图1所示系统架构的应用场景下,现有的利用椭圆曲线上的双线性映射的基于标识的加密算法计算开销较大,在需要共享的关键敏感数据较大时,会导致较低的加密和传输效率,并且通常不支持跨不同密钥中心的企业网络的发送方和接收方之间的密钥协商机制;此外,用户公钥和私钥生成过度依赖用户的身份标识,降低了对私钥泄露导致的安全风险的抵御能力,不能完全防止跨企业网络的发送方和接收方之间的会话劫持和攻击,从而难以保证关键敏感数据在跨企业网络的共享传输中的安全风险。为此,本申请提出一种跨企业网络的数据共享安全加密方法和装置,可以基于无双线性映射的基于标识的加密方法,实现跨不同密钥中心的企业网络的发送方和接收方之间的安全密钥协商,降低跨企业网络的数据加密计算开销,提高跨企业网络的数据加密和传输效率,防止关键敏感数据在跨企业网络之间共享传输的安全风险。
图2是根据本申请一实施例的跨企业网络的数据共享安全加密方法的流程示意图。如图2所示,该方法应用于图1所示的系统架构,包括以下步骤:
步骤S201,第一客户机111基于第一服务器112的第一标识从第一密钥中心113获得第一服务器112的第一公钥,基于第一公钥生成目标数据的第一加密数据,向所述第一服务器112发送携带所述第一加密数据和第二客户机121的第二标识的第一数据报文;
步骤S202,所述第一服务器112基于从所述第一密钥中心113获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,并向第二服务器122发起会话密钥协商以致所述第一服务器112和第二服务器122生成相同的会话密钥,并基于所述会话密钥对所述目标数据进行对称加密,得到第二加密数据,向所述第二服务器122发送携带所述第二加密数据和第二标识的第二数据报文;
步骤S203,所述第二服务器122基于所述会话密钥从所述第二数据报文中解密所述第二加密数据得到所述目标数据,基于所述第二标识从所述第二密钥中心123获得所述第二客户机121的第三公钥,基于所述第三公钥生成所述目标数据的第三加密数据,向所述第二客户机121发送携带所述第三加密数据的第三数据报文;
步骤S204,所述第二客户机121基于从所述第二密钥中心123获得的第三私钥,从所述第三数据报文中解密所述第三加密数据,得到所述目标数据。
本申请实施例中,位于第一企业网络110的第一密钥中心113和位于第二企业网络120的第二密钥中心123分别包括相同的无双线性映射的基于标识的加密策略。该无双线性映射的基于标识的加密策略中,第一密钥中心113和第二密钥中心123分别具有对应的第一组参数和第二组参数。第一密钥中心113和第二密钥中心123分别基于第一组参数和第二组参数,利用有限域的椭圆曲线上点的循环加法群 G中的任意基点和随机整数产生各自的主公钥和主私钥,然后结合哈希函数和随机整数的运算来为不同标识的目标实体生成公钥和私钥。目标实体的标识是可以在企业网络中唯一识别该目标实体的唯一标识符。
在一个实施方式中,第一密钥中心113的第一组参数可以包括:有限域的椭圆曲线上点的循环加法群 G、所述循环加法群上的第一基点 第一主私钥、第一主公钥和第一哈希函数,可以表示为。其中,第一组参数中各参数的定义如下:
G表示有限域的椭圆曲线上点的循环加法群,该循环加法群具有大素数的阶n;
表示为循环加法群G上的第一基点;
表示第一密钥中心的第一主私钥,取自区间的随机整数;
表示第一密钥中心的第一主公钥,可以通过上述第一主私钥和第一基点的乘法运算计算得到,
表示指定的第一哈希函数,该第一哈希函数表示为,即将任意长度的二进制串映射到模n的整数乘法群,该模n等于所述循环加法群的阶n。
同理,第二密钥中心123的第二组参数可以包括:有限域的椭圆曲线上的点的循环加法群 G、所述循环加法群上的第二基点、第二主私钥、第二主公钥和第一哈希函数,可以表示为。其中,第二组参数中各参数的定义如下:
G表示有限域的椭圆曲线上点的循环加法群,该循环加法群具有大素数的阶n;
表示为循环加法群G上的第二基点;
表示第二密钥中心的第二主私钥,取自区间的随机整数;
表示第二密钥中心的第二主公钥,可以通过上述第二主私钥和第二基点的乘法运算计算得到,
表示指定的第一哈希函数,定义同上。
可见,第一密钥中心113的第一组参数和第二密钥中心123的第二组参数包括了相同的第一参数子组和不同的第二参数子组,所述第一参数子组包括有限域的椭圆曲线上点的循环加法群和第一哈希函数,所述第二参数子组包括主公钥、主私钥和所述循环加法群上的基点。其中,第一密钥中心和第二密钥中心可以各自保存自己的主私钥,并且分别向企业网络中的实体公开第一组公开参数和第二组公开参数,用于跨企业网络之间的数据加解密运算和密钥协商。
本实施例中,当位于第一企业网络110的第一客户机111想要向位于第二企业网络120的第二客户机121共享关键敏感数据(称为目标数据),第一客户机111需要先将目标数据以加密的方式发送给第一企业网络110的第一服务器112,由第一服务器112与位于第二企业网络120的第二服务器122建立安全通信通道,进而由第二服务器122向第二客户机121进行目标数据的加密转发,这样可以在各自的企业网络实现内外网隔离的安全策略下实现跨企业网络之间的关键敏感数据的共享传输。
首先,第一客户机111可以基于第一服务器112的第一标识从第一密钥中心113获得所述第一服务器112的第一公钥,基于所述第一公钥生成目标数据的第一加密数据,向所述第一服务器112发送携带所述第一加密数据和第二客户机121的第二标识的第一数据报文。
随后,所述第一服务器112可以基于所述第一标识从所述第一密钥中心113获得与所述第一公钥对应的第一私钥,基于所述第一私钥从所述第一数据报文中解密所述第一加密数据,从而得到所述目标数据。
在一个实施方式中,第一密钥中心113可以响应于客户机111和第一服务器112分别发送的携带第一标识的公钥获取请求和私钥获取请求,按照无双线性映射的基于标识的加密策略,基于所述第一标识和第一组参数来生成第一公钥和第一私钥。
具体而言,第一密钥中心113可以选取区间的随机整数作为第一随机整数,以第一随机整数乘以所述第一组参数中的第一基点,得到第一随机点,即,将包括所述第一标识和所述第一随机点的坐标对的二元组作为所述第一公钥。第一公钥用数学表达式可以表示为:
其次,所述第一密钥中心113可以以所述第一哈希函数计算所述第一标识的第一哈希值以及所述第一标识与第一字符串Str1的连接字符串的第二哈希值,并计算所述第一哈希值与所述第一组参数中的第一主私钥的第一乘积、所述第二哈希值与所述第一随机整数的第二乘积,将所述第一乘积与第二乘积相加,得到第一私钥。第一私钥用数学表达式可以表示为:
上述第一公钥和第一私钥的生成策略中,第一公钥除了依赖于目标实体的标识,还同时依赖于第一随机整数与循环加法群 G上的任意基点的乘积产生的随机点的坐标对,从而不像现有的基于标识的加密算法过度依赖目标实体的标识所导致用户公钥和私钥更新不易的问题,本申请中第一密钥中心113为第一服务器和第一客户机生成的公钥同时包含了目标实体的标识和随机点的坐标对的二元组,一旦发生公钥和私钥的泄露,第一密钥中心113很容易基于新的随机数生成随机点来产生新的公钥和私钥。其次,由于目标实体的公钥同时包含了目标实体的标识和随机点的坐标对的二元组,即公钥和私钥的生成策略中都依赖区间的任一随机数和循环加法群 G上的任一随机点,即使跨企业网络的发送方和接收方之间遭遇会话劫持和攻击,攻击者也无法根据假冒的标识所产生的虚假公钥和对应的私钥来还原加密数据,从而可以防止跨企业网络的发送方和接收方之间的会话劫持和攻击,防止关键敏感数据在跨企业网络的共享传输中的安全风险。此外,在第一私钥的生成中除了计算了第一标识的第一哈希值,同时还计算第一标识与第一字符串Str1的连接字符串的第二哈希值,第一字符串Str1是与第一密钥中心对应设定的指定字符串,进一步使得生成的私钥更不易破解,增加了目标实体的私钥的安全隐私性。
本实施例中,当第一客户机111从第一密钥中心113获得所述第一服务器112的第一公钥,就可以基于所述第一公钥生成目标数据的第一加密数据。具体而言,按照无双线性映射的基于标识的加密策略,基于所述第一公钥、第一组参数执行嵌套的哈希运算来对目标数据进行加密。
在一个实施方式中,所述第一客户机111可以以所述第一哈希函数计算所述第一标识的第一哈希值以及所述第一标识与第一字符串Str1的连接字符串的第二哈希值,并计算所述第一哈希值与所述第一组参数中的第一主公钥的第三乘积、所述第二哈希值与所述第一随机点的坐标对的第四乘积,并以第二哈希函数计算所述第三乘积与第四乘积的相加结果的第三哈希值,将所述第三哈希值与目标数据D进行异或运算,得到第一加密数据。第一加密数据用数学表达式可以表示为:
其中,为第二哈希函数,表示为,即将循环加法群G上的任一点映射到m长度的二进制串。表示将第二哈希函数的哈希值与目标数据D进行异或运算。表示将第一标识与第一字符串Str1进行字符串连接运算。
本实施例中,所述第一服务器112可以基于从所述第一密钥中心113获得的第一私钥,从所述第一数据报文中解密所述第一加密数据,从而得到所述目标数据D。解密第一加密数据的过程是加密目标数据的逆运算。
在一个实施方式中,所述第一服务器112以所述第二哈希函数计算所述第一私钥与所述第一组参数中的第一基点的乘积的第四哈希值,将所述第四哈希值与所述第一加密数据进行异或运算,就可以得到所述目标数据D。用数学表达式可以表示为:
本实施例的步骤S202中,所述第一服务器112在解密所述第一加密数据,得到所述目标数据之后,会进一步向位于第二企业网络120的第二服务器122发起会话密钥协商以致所述第一服务器112和第二服务器122生成相同的会话密钥。不像现有的基于标识的加密算法通常仅支持统一密钥中心下的发送方和接收方之间的密钥协商,本申请实施例可以实现跨不同密钥中心的发送方和接收方之间的安全密钥协商。
具体而言,所述第一服务器112和第二服务器122通过交换区间的随机整数,以及第一密钥中心的第一组公开参数和第二密钥中心的第二组公开参数中的部分参数来进行会话密钥协商,而后所述第一服务器112和第二服务器122各自通过双方交换的随机整数、第一服务器的第一公钥和第一私钥、第二服务器的第二公钥和第二私钥以及第一组公开参数和第二组公开参数的运算来生成相同的会话密钥。
在一个实施方式中,所述第二密钥中心123实现与第一密钥中心113相同的无双线性映射的基于标识的加密策略,可以基于第二服务器122的第三标识和第二组参数来生成所述第二服务器122的第二公钥和第二私钥
具体而言,第二密钥中心123可以选取区间的随机整数作为第二随机整数,以第二随机整数乘以所述第二组参数中的第二基点,得到第二随机点,即,将包括所述第三标识和所述第二随机点的坐标对的二元组作为所述第二公钥。第二公钥用数学表达式可以表示为:
其次,所述第二密钥中心123可以以所述第一哈希函数计算所述第三标识的第五哈希值以及所述第三标识与第二字符串Str2的连接字符串的第六哈希值,并计算所述第五哈希值与所述第二组参数中的第二主私钥的第五乘积、所述第六哈希值与所述第二随机整数的第六乘积,将所述第五乘积与第六乘积相加,得到第二私钥。第二字符串Str2是与第二密钥中心123对应设定的指定字符串。第二私钥用数学表达式可以表示为:
由于上述会话密钥的协商过程中第一服务器的第一公钥、第一私钥和第二服务器的第二公钥、第二私钥都依赖区间的任一随机数和对应的循环加法群G上的任一随机点,即使在第一服务器和第二服务器的密钥协商过程遭遇会话劫持和攻击,攻击者也无法根据假冒的标识产生的公钥和相应生成的私钥来生成双方相同的会话密钥,导致会话密钥无法协商成功,从而可以防止跨企业网络的发送方和接收方之间的会话劫持和攻击,保证关键敏感数据在跨企业网络的共享传输中的安全风险。
进一步地,本实施例的步骤202中,所述第一服务器112和第二服务器122生成相同的会话密钥之后,可以进一步基于所述会话密钥对所述目标数据D进行对称加密,得到第二加密数据,向所述第二服务器122发送携带所述第二加密数据和第二标识的第二数据报文。
在一个实施方式中,所述第一服务器112基于所述会话密钥对所述目标数据D进行对称加密可以使用现有的对称加密算法,例如AES对称加密算法。对目标数据D进行AES对称加密可以表示为:
随后,第二服务器122在接收到第二数据报文之后,利用会话密钥对第二加密数据进行AES对称解密,AES对称解密是对称加密的逆运算,可以表示为:
进一步地,本实施例的步骤203中,所述第二服务器122基于所述会话密钥从所述第二数据报文中解密所述第二加密数据得到所述目标数据之后,可以基于所述第二标识从所述第二密钥中心123获得所述第二客户机121的第三公钥,基于所述第三公钥生成所述目标数据D的第三加密数据,向所述第二客户机121发送携带所述第三加密数据的第三数据报文。
随后,步骤S204中,所述第二客户机121基于所述第二标识从所述第二密钥中心123获得第三私钥,从所述第三数据报文中解密所述第三加密数据,从而得到所述目标数据D,至此实现目标数据D从第一企业网络110内的第一客户机111向第二企业网络120内的第二客户机121的安全共享传输。
在一个实施方式中,第二密钥中心123根据与第一密钥中心113相同的无双线性映射的基于标识的加密策略,基于所述第二标识和第二组参数来生成第二客户机121的第三公钥和第三私钥
具体而言,第二密钥中心123可以选取区间的随机整数作为第三随机整数,以第三随机整数乘以所述第二组参数中的第二基点,得到第三随机点,即,将包括所述第二标识和所述第三随机点的坐标对的二元组作为所述第三公钥。第三公钥用数学表达式可以表示为:
其次,所述第二密钥中心123可以以所述第一哈希函数计算所述第二标识的第七哈希值以及所述第二标识与第二字符串Str2的连接字符串的第八哈希值,并计算所述第七哈希值与所述第二组参数中的第二主私钥的第七乘积、所述第八哈希值与所述第三随机整数的第八乘积,将所述第七乘积与第八乘积相加,得到第三私钥。第三私钥用数学表达式可以表示为:
在一个实施方式中,第二服务器122基于所述第三公钥生成所述目标数据D的第三加密数据可以包括:
所述第二服务器122以所述第一哈希函数计算所述第二标识的第七哈希值以及所述第二标识与第二字符串Str2的连接字符串的第八哈希值,并计算所述第七哈希值与所述第二组参数中的第二主公钥的第九乘积、所述第八哈希值与所述第三随机点的坐标对的第十乘积,并以第二哈希函数计算所述第九乘积与第十乘积的相加结果的第九哈希值,将所述第九哈希值与目标数据D进行异或运算,得到第三加密数据。第三加密数据用数学表达式可以表示为:
其中,为第二哈希函数,表示为,即将循环加法群G上的任一点映射到m长度的二进制串。表示将第二哈希函数的哈希值与目标数据D进行异或运算。表示将第二标识与第二字符串Str2进行字符串连接运算。
在一个实施方式中,所述第二客户机121以所述第二哈希函数计算所述第三私钥与所述第二组参数中的第二基点的乘积的第十哈希值,将所述第十哈希值与所述第三加密数据进行异或运算,就可以得到所述目标数据D。用数学表达式可以表示为:
综上,本申请实施例通过位于不同企业网络的第一密钥中心和第二密钥中心,实现了无双线性映射的基于标识的加密策略,位于第一企业网络的第一客户机基于第一服务器的第一公钥将目标数据的第一加密数据发送给第一服务器,由第一服务器与位于第二企业网络的第二服务器经过会话密钥协商建立安全通信通道,向第二服务器发送经由会话密钥加密的第二加密数据,进而由第二服务器向第二企业网络的第二客户机进行目标数据的加密转发,实现了跨企业网络之间的关键敏感数据的共享传输。从而,本申请实施例可以基于无双线性映射的基于标识的加密方法,实现跨不同密钥中心的企业网络的发送方和接收方之间的安全密钥协商,降低了跨企业网络的数据共享加密的计算开销,提高跨企业网络的数据加密和传输效率,防止关键敏感数据在跨企业网络之间共享传输的安全风险。
在一个实施方式中,如图3所示,所述步骤S202中,第一服务器112向第二服务器122发起会话密钥协商以致所述第一服务器112和第二服务器122生成相同的会话密钥,可以包括以下步骤:
步骤S301,所述第一服务器112向第二服务器122发送携带第四随机整数和所述第二基点的第一协商报文;
步骤S302,响应于所述第一协商报文,所述第二服务器122向所述第一服务器112发送携带第五随机整数和所述第一基点的第二协商报文;
步骤S303,所述第二服务器122基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、第一公钥和第二私钥生成会话密钥,所述第一服务器112基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、第二公钥和第一私钥生成相同的会话密钥。
具体而言,所述第一服务器112可以选取区间的任一随机整数作为第四随机整数,向第二服务器122发送携带第四随机整数和所述第二组公开参数中的第二基点的第一协商报文。响应于所述第一协商报文,所述第二服务器122可以选取区间的任一随机整数作为第五随机整数,向所述第一服务器112发送携带第五随机整数和所述第一组公开参数中的第一基点的第二协商报文。随后,所述第二服务器122基于第一服务器112的第一标识从所述第一密钥中心113获得所述第一服务器112的第一公钥,以及基于所述第二服务器122的第三标识从所述第二密钥中心123获得自己的第二私钥,所述第一服务器112基于所述第三标识从所述第二密钥中心123获得所述第二服务器122的第二公钥
随后,所述第二服务器122基于所述第四随机整数、第五随机整数、所述第二组公开参数中的第二基点、所述第一组公开参数中的第一主公钥、所述第一公钥、所述第二私钥生成会话密钥。会话密钥的生成用数学表达式可以表示为:
上述公式的含义是所述第二服务器122以以所述第一哈希函数计算所述第一标识的第一哈希值以及所述第一标识与第一字符串Str1的连接字符串的第二哈希值,并计算所述第一哈希值与所述第一组参数中的第一主公钥的第三乘积、所述第二哈希值与所述第一随机点的坐标对的第四乘积,并计算所述第三乘积与第四乘积的相加结果与所述第五随机整数的第十一乘积;计算所述第四随机整数、所述第二组公开参数中的第二基点和所述第二私钥的第十二乘积;计算所述第十一乘积和第十二乘积的相加结果,得到所述会话密钥
相应地,所述第一服务器112基于所述第四随机整数、第五随机整数、所述第一组公开参数中的第一基点、所述第二组公开参数中的第二主公钥、所述第二公钥、所述第一私钥生成相同的会话密钥。会话密钥的生成用数学表达式可以表示为:
上述公式的含义是所述第一服务器112以所述第一哈希函数计算所述第三标识的第五哈希值以及所述第三标识与第二字符串Str2的连接字符串的第六哈希值,并计算所述第五哈希值与所述第二组参数中的第二主公钥的第十三乘积、所述第六哈希值与所述第二随机点的坐标对的第十四乘积,并计算所述第十三乘积与第十四乘积的相加结果与所述第四随机整数的第十五乘积;计算所述第五随机整数、所述第一组公开参数中的第一基点和所述第一私钥的第十六乘积;计算所述第十五乘积和第十六乘积的相加结果,得到所述会话密钥
根据上述加密数学原理,上述两个数学表达式计算出来的会话密钥实质是相同的,具体数学推导过程在此不再赘述。同时,由于上述会话密钥的协商过程依赖的第一服务器的第一公钥、第一私钥和第二服务器的第二公钥、第二私钥都依赖区间的任一随机数和对应的循环加法群 G上的任一随机点,即使在第一服务器和第二服务器的密钥协商过程遭遇会话劫持和攻击,攻击者也无法根据假冒的标识产生的公钥和相应生成的私钥来生成双方相同的会话密钥,导致会话密钥无法协商成功,从而可以防止跨企业网络的发送方和接收方之间的会话劫持和攻击,防止关键敏感数据在跨企业网络的共享传输中的安全风险。
下面结合图4所示的可选的具体实施方式的通信交互图进行示例性地描述。需要说明的是,本具体实施方式的示例性描述不能理解为本申请技术方案的唯一实施方式或者对本申请保护范围的限制。
如图4所示,步骤S401,企业网络110的第一客户机111首先基于第一服务器112的第一标识从第一密钥中心113请求所述第一服务器112的第一公钥
步骤S402,第一密钥中心113按照无双线性映射的基于标识的加密策略,基于第一标识和第一随机点生成第一公钥,并返回给第一客户机111;
步骤S403,第一客户机111基于所述第一公钥生成目标数据的第一加密数据,第一服务器112发送携带所述第一加密数据和位于企业网络120的第二客户机121的第二标识的第一数据报文;
步骤S404,所述第一服务器112基于所述第一标识从所述第一密钥中心113请求第一私钥
步骤S405,所述第一密钥中心113生成所述第一私钥,返回给所述第一服务器112,所述第一服务器112基于所述第一私钥从所述第一数据报文中解密所述第一加密数据,从而得到所述目标数据;
步骤S406,所述第一服务器112向位于企业网络120的第二服务器122发送第一协商报文,向第二服务器122发起会话密钥协商;
步骤S407,所述第二服务器122向所述第一服务器112发送第二协商报文
步骤S408,第一服务器112和第二服务器122各自生成相同的会话密钥
步骤S409,所述第一服务器112基于所述会话密钥对所述目标数据D进行对称加密,得到第二加密数据,向所述第二服务器122发送携带所述第二加密数据和第二标识的第二数据报文;
步骤S410,所述第二服务器122利用会话密钥对第二加密数据进行对称解密,并基于第二客户机121的第二标识从所述第二密钥中心123请求所述第二客户机121的第三公钥
步骤S411,所述第二密钥中心123按照无双线性映射的基于标识的加密策略,基于第二标识和第三随机点生成所述第三公钥,返回给第二服务器122;
步骤S412,所述第二服务器122基于所述第三公钥生成所述目标数据D的第三加密数据,向所述第二客户机121发送携带所述第三加密数据的第三数据报文。
步骤S413,所述第二客户机121基于所述第二标识从所述第二密钥中心123请求第三私钥
步骤S414,所述第二密钥中心123按照无双线性映射的基于标识的加密策略生成所述第三私钥,返回给所述第二客户机121,所述第二客户机121基于所述第三私钥从所述第三数据报文中解密所述第三加密数据,从而得到所述目标数据。
图5是根据本申请一实施例的跨企业网络的数据共享安全加密装置的结构示意图。如图5所示,该装置包括以下单元:
第一处理单元501,用于第一客户机111基于第一服务器112的第一标识从第一密钥中心113获得第一服务器112的第一公钥,基于第一公钥生成目标数据的第一加密数据,向所述第一服务器112发送携带所述第一加密数据和第二客户机121的第二标识的第一数据报文;
第二处理单元502,用于所述第一服务器112基于从所述第一密钥中心113获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,并向第二服务器122发起会话密钥协商以致所述第一服务器112和第二服务器122生成相同的会话密钥,并基于所述会话密钥对所述目标数据进行对称加密,得到第二加密数据,向所述第二服务器122发送携带所述第二加密数据和第二标识的第二数据报文;
第三处理单元503,用于所述第二服务器122基于所述会话密钥从所述第二数据报文中解密所述第二加密数据得到所述目标数据,基于所述第二标识从所述第二密钥中心123获得所述第二客户机121的第三公钥,基于所述第三公钥生成所述目标数据的第三加密数据,向所述第二客户机121发送携带所述第三加密数据的第三数据报文;
第四处理单元504,用于所述第二客户机121基于从所述第二密钥中心123获得的第三私钥,从所述第三数据报文中解密所述第三加密数据,得到所述目标数据。
在一个实施方式中,如图6所示,所述第二处理单元502,还可以包括以下单元:
第一协商单元601,用于所述第一服务器112向第二服务器122发送携带第四随机整数和所述第二基点的第一协商报文;
第二协商单元602,用于响应于所述第一协商报文,所述第二服务器122向所述第一服务器112发送携带第五随机整数和所述第一基点的第二协商报文;
会话密钥生成单元603,用于所述第二服务器122基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、所述第一公钥和第二私钥生成会话密钥,所述第一服务器112基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、所述第二公钥和第一私钥生成相同的会话密钥。
综上,本申请实施例通过位于不同企业网络的第一密钥中心和第二密钥中心,实现了无双线性映射的基于标识的加密策略,位于第一企业网络的第一客户机基于第一服务器的第一公钥将目标数据的第一加密数据发送给第一服务器,由第一服务器与位于第二企业网络的第二服务器经过会话密钥协商建立安全通信通道,向第二服务器发送经由会话密钥加密的第二加密数据,进而由第二服务器向第二企业网络的第二客户机进行目标数据的加密转发,实现了跨企业网络之间的关键敏感数据的共享传输。从而,本申请实施例可以基于无双线性映射的基于标识的加密方法,实现跨不同密钥中心的企业网络的发送方和接收方之间的安全密钥协商,降低了跨企业网络的数据共享加密的计算开销,提高跨企业网络的数据加密和传输效率,防止关键敏感数据在跨企业网络之间共享传输的安全风险。
需要说明的是,本领域技术人员可以理解,本申请的方法实施例所描述的不同实施方式及其说明解释和所达到的技术效果,同样适用于本申请的装置实施例中,在此不再赘述。
进一步地,本申请实施例还提出一种电子设备,该电子设备可以包括:处理器和存储器。其中,存储器存储有计算机程序指令,处理器可以调用存储器中的计算机程序指令以执行本申请任一实施方式所述方法的全部或部分步骤。上述的存储器中的计算机程序指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。
进一步地,本申请还提供一种计算机程序产品,所述计算机程序产品包括存储有计算机程序的非暂态计算机可读存储介质,当该计算机可读存储介质连接至计算机设备,所述计算机程序被计算机设备的一个或多个处理器执行时,能够执行本申请任一实施方式所述方法的全部或部分步骤。
进一步地,本申请还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序可以被一个或多个处理器执行以执行本申请任一实施方式所述方法的全部或部分步骤。
通过以上的实施方式的描述,本领域技术人员可以清楚地了解到本申请的各实施方式可借助软件或者软件结合必要的通用硬件平台的方式来实现,当然也可以通过硬件功能实现。基于这样的理解,本申请的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如包括但不限于个人计算机,服务器,或者网络设备等,来执行本申请任一实施方式所述方法的全部或部分步骤。前述的存储介质可以包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储计算机程序代码的介质。
以上描述了本申请示例性的实施例,应当理解,上述示例性的实施例不是限制性的,而是说明性的,本申请的保护范围不限于此。应理解,本领域技术人员在不脱离本申请的精神和范围的情况下,可以对本申请实施例进行修改和变型,这些修改和变型理应在本申请的保护范围之内。

Claims (10)

1.一种跨企业网络的数据共享安全加密方法,其特征在于,应用于第一企业网络和第二企业网络,所述第一企业网络包括第一密钥中心、第一服务器和至少一个第一客户机,所述第二企业网络包括第二密钥中心、第二服务器和至少一个第二客户机,所述方法包括:
第一客户机基于第一服务器的第一标识从第一密钥中心获得第一服务器的第一公钥,基于第一公钥生成目标数据的第一加密数据,向所述第一服务器发送携带所述第一加密数据和第二客户机的第二标识的第一数据报文;
所述第一服务器基于从所述第一密钥中心获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,并向第二服务器发起会话密钥协商以致所述第一服务器和第二服务器生成相同的会话密钥,并基于所述会话密钥对所述目标数据进行对称加密,得到第二加密数据,向所述第二服务器发送携带所述第二加密数据和第二标识的第二数据报文;
所述第二服务器基于所述会话密钥从所述第二数据报文中解密所述第二加密数据得到所述目标数据,基于所述第二标识从所述第二密钥中心获得所述第二客户机的第三公钥,基于所述第三公钥生成所述目标数据的第三加密数据,向所述第二客户机发送携带所述第三加密数据的第三数据报文;
所述第二客户机基于从所述第二密钥中心获得的第三私钥,从所述第三数据报文中解密所述第三加密数据,得到所述目标数据。
2.根据权利要求1所述的跨企业网络的数据共享安全加密方法,其特征在于,所述方法还包括:
所述第一密钥中心和第二密钥中心包括相同的无双线性映射的基于标识的加密策略,分别包括对应的第一组参数和第二组参数,所述第一组参数包括第一主私钥和由有限域的椭圆曲线上点的循环加法群、所述循环加法群的第一基点、第一主公钥和第一哈希函数构成的第一组公开参数,所述第二组参数包括第二主私钥和由所述循环加法群、所述循环加法群的第二基点、第二主公钥和所述第一哈希函数构成的第二组公开参数。
3.根据权利要求2所述的跨企业网络的数据共享安全加密方法,其特征在于,所述方法包括:
所述第一密钥中心以第一随机整数乘以所述第一基点,得到第一随机点,并将包括所述第一标识和所述第一随机点的坐标对的二元组作为所述第一公钥;
所述第一密钥中心以所述第一哈希函数计算所述第一标识的第一哈希值以及所述第一标识与第一字符串的连接字符串的第二哈希值,并计算所述第一哈希值与所述第一主私钥的第一乘积、所述第二哈希值与所述第一随机整数的第二乘积,将所述第一乘积与第二乘积相加,得到第一私钥。
4.根据权利要求3所述的跨企业网络的数据共享安全加密方法,其特征在于,所述第一客户机基于第一公钥生成目标数据的第一加密数据,包括:
所述第一客户机计算所述第一哈希值和所述第二哈希值,并计算所述第一哈希值与所述第一主公钥的第三乘积、所述第二哈希值与所述第一随机点的坐标对的第四乘积,并以第二哈希函数计算所述第三乘积与第四乘积的相加结果的第三哈希值,将所述第三哈希值与目标数据进行异或运算,得到第一加密数据。
5.根据权利要求4所述的跨企业网络的数据共享安全加密方法,其特征在于,所述第一服务器基于从所述第一密钥中心获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,包括:
所述第一服务器以所述第二哈希函数计算所述第一私钥与所述第一基点的乘积的第四哈希值,将所述第四哈希值与所述第一加密数据进行异或运算,得到所述目标数据。
6.根据权利要求5所述的跨企业网络的数据共享安全加密方法,其特征在于,所述第一服务器向第二服务器发起会话密钥协商以致所述第一服务器和第二服务器生成相同的会话密钥,包括:
所述第二密钥中心以第二随机整数乘以所述第二基点,得到第二随机点,将包括第二服务器的第三标识和所述第二随机点的坐标对的二元组作为第二服务器的第二公钥;以所述第一哈希函数计算所述第三标识的第五哈希值以及所述第三标识与第二字符串的连接字符串的第六哈希值,并计算所述第五哈希值与所述第二主私钥的第五乘积、所述第六哈希值与所述第二随机整数的第六乘积,将所述第五乘积与第六乘积相加,得到第二服务器的第二私钥。
7.根据权利要求6所述的跨企业网络的数据共享安全加密方法,其特征在于,所述方法包括:
所述第二密钥中心以第三随机整数乘以所述第二基点,得到第三随机点,将包括所述第二标识和所述第三随机点的坐标对的二元组作为所述第三公钥;
所述第二密钥中心以所述第一哈希函数计算所述第二标识的第七哈希值以及所述第二标识与第二字符串的连接字符串的第八哈希值,并计算所述第七哈希值与所述第二主私钥的第七乘积、所述第八哈希值与所述第三随机整数的第八乘积,将所述第七乘积与第八乘积相加,得到所述第三私钥。
8.根据权利要求7所述的跨企业网络的数据共享安全加密方法,其特征在于,所述第二服务器基于所述第三公钥生成所述目标数据的第三加密数据,包括:
所述第二服务器计算所述第七哈希值和所述第八哈希值,并计算所述第七哈希值与所述第二主公钥的第九乘积、所述第八哈希值与所述第三随机点的坐标对的第十乘积,并以所述第二哈希函数计算所述第九乘积与第十乘积的相加结果的第九哈希值,将所述第九哈希值与目标数据进行异或运算,得到第三加密数据。
9.根据权利要求6或8所述的跨企业网络的数据共享安全加密方法,其特征在于,所述第一服务器向第二服务器发起会话密钥协商以致所述第一服务器和第二服务器生成相同的会话密钥,包括:
所述第一服务器向第二服务器发送携带第四随机整数和所述第二基点的第一协商报文;
响应于所述第一协商报文,所述第二服务器向所述第一服务器发送携带第五随机整数和所述第一基点的第二协商报文;
所述第二服务器基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、所述第一公钥和第二私钥生成会话密钥,所述第一服务器基于所述第四随机整数和第五随机整数、所述第一组公开参数和第二组公开参数、所述第二公钥和第一私钥生成相同的会话密钥。
10.一种跨企业网络的数据共享安全加密装置,其特征在于,应用于第一企业网络和第二企业网络,所述第一企业网络包括第一密钥中心、第一服务器和至少一个第一客户机,所述第二企业网络包括第二密钥中心、第二服务器和至少一个第二客户机,所述装置包括:
第一处理单元,用于第一客户机基于第一服务器的第一标识从第一密钥中心获得第一服务器的第一公钥,基于第一公钥生成目标数据的第一加密数据,向所述第一服务器发送携带所述第一加密数据和第二客户机的第二标识的第一数据报文;
第二处理单元,用于所述第一服务器基于从所述第一密钥中心获得的第一私钥,从所述第一数据报文中解密所述第一加密数据得到所述目标数据,并向第二服务器发起会话密钥协商以致所述第一服务器和第二服务器生成相同的会话密钥,并基于所述会话密钥对所述目标数据进行对称加密,得到第二加密数据,向所述第二服务器发送携带所述第二加密数据和第二标识的第二数据报文;
第三处理单元,用于所述第二服务器基于所述会话密钥从所述第二数据报文中解密所述第二加密数据得到所述目标数据,基于所述第二标识从所述第二密钥中心获得所述第二客户机的第三公钥,基于所述第三公钥生成所述目标数据的第三加密数据,向所述第二客户机发送携带所述第三加密数据的第三数据报文;
第四处理单元,用于所述第二客户机基于从所述第二密钥中心获得的第三私钥,从所述第三数据报文中解密所述第三加密数据,得到所述目标数据。
CN202310377267.1A 2023-04-11 2023-04-11 跨企业网络的数据共享安全加密方法和装置 Active CN116112152B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310377267.1A CN116112152B (zh) 2023-04-11 2023-04-11 跨企业网络的数据共享安全加密方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310377267.1A CN116112152B (zh) 2023-04-11 2023-04-11 跨企业网络的数据共享安全加密方法和装置

Publications (2)

Publication Number Publication Date
CN116112152A true CN116112152A (zh) 2023-05-12
CN116112152B CN116112152B (zh) 2023-06-02

Family

ID=86261943

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310377267.1A Active CN116112152B (zh) 2023-04-11 2023-04-11 跨企业网络的数据共享安全加密方法和装置

Country Status (1)

Country Link
CN (1) CN116112152B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106712932A (zh) * 2016-07-20 2017-05-24 腾讯科技(深圳)有限公司 密钥管理方法、装置及系统
CN109756324A (zh) * 2017-11-02 2019-05-14 大唐移动通信设备有限公司 一种Mesh网络中的密钥协商方法、终端及网关
CN110427762A (zh) * 2019-07-23 2019-11-08 湖南匡安网络技术有限公司 一种实现电力监控系统视频安全传输的加密和解密方法
CN111082934A (zh) * 2019-12-31 2020-04-28 支付宝(杭州)信息技术有限公司 基于可信执行环境的跨域安全多方计算的方法及装置
US20200351080A1 (en) * 2017-12-27 2020-11-05 Atos Integration Method of end to end securing of a communication
CN112075051A (zh) * 2018-03-02 2020-12-11 日东电工株式会社 用于保护计算机之间的数据通信的系统和方法
CN113497778A (zh) * 2020-03-18 2021-10-12 北京同邦卓益科技有限公司 一种数据的传输方法和装置
CN113612610A (zh) * 2021-09-15 2021-11-05 深圳市国信量子科技有限公司 一种会话密钥协商方法
CN114826627A (zh) * 2021-01-13 2022-07-29 中国电信股份有限公司 信息传输方法、企业安全网关和系统
CN115766066A (zh) * 2022-09-26 2023-03-07 国网山西省电力公司电力科学研究院 数据传输方法、装置、安全通信系统及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106712932A (zh) * 2016-07-20 2017-05-24 腾讯科技(深圳)有限公司 密钥管理方法、装置及系统
CN109756324A (zh) * 2017-11-02 2019-05-14 大唐移动通信设备有限公司 一种Mesh网络中的密钥协商方法、终端及网关
US20200351080A1 (en) * 2017-12-27 2020-11-05 Atos Integration Method of end to end securing of a communication
CN112075051A (zh) * 2018-03-02 2020-12-11 日东电工株式会社 用于保护计算机之间的数据通信的系统和方法
CN110427762A (zh) * 2019-07-23 2019-11-08 湖南匡安网络技术有限公司 一种实现电力监控系统视频安全传输的加密和解密方法
CN111082934A (zh) * 2019-12-31 2020-04-28 支付宝(杭州)信息技术有限公司 基于可信执行环境的跨域安全多方计算的方法及装置
CN113497778A (zh) * 2020-03-18 2021-10-12 北京同邦卓益科技有限公司 一种数据的传输方法和装置
CN114826627A (zh) * 2021-01-13 2022-07-29 中国电信股份有限公司 信息传输方法、企业安全网关和系统
CN113612610A (zh) * 2021-09-15 2021-11-05 深圳市国信量子科技有限公司 一种会话密钥协商方法
CN115766066A (zh) * 2022-09-26 2023-03-07 国网山西省电力公司电力科学研究院 数据传输方法、装置、安全通信系统及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
靳黎忠;: "企业专网关键数据加密技术分析", 科技情报开发与经济, no. 06 *

Also Published As

Publication number Publication date
CN116112152B (zh) 2023-06-02

Similar Documents

Publication Publication Date Title
US10785019B2 (en) Data transmission method and apparatus
JP7119040B2 (ja) データ伝送方法、装置およびシステム
CN109800584B (zh) 一种基于Intel SGX机制的身份或属性加密计算方法和系统
CN108347404B (zh) 一种身份认证方法及装置
EP3673610B1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
CN105812349B (zh) 一种基于身份信息的非对称密钥分发及消息加密方法
US20200195446A1 (en) System and method for ensuring forward & backward secrecy using physically unclonable functions
CN111953479B (zh) 数据处理的方法及装置
WO2018127118A1 (zh) 一种身份认证方法及装置
CN110519226B (zh) 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和系统
US11528127B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
CN115766066A (zh) 数据传输方法、装置、安全通信系统及存储介质
WO2020042023A1 (zh) 一种即时通信的数据加密方法及装置
JP4924943B2 (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
CN116112152B (zh) 跨企业网络的数据共享安全加密方法和装置
KR101793528B1 (ko) 무인증서 공개키 암호 시스템
Mishra et al. A certificateless authenticated key agreement protocol for digital rights management system
CN114362912A (zh) 基于分布式密钥中心的标识密码生成方法、电子设备及介质
CN108429717B (zh) 一种身份认证方法及装置
US12010216B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
Soman Lightweight Elliptical Curve Cryptography (ECC) for Data Integrity and User Authentication in Smart Transportation IoT System
CN115276961B (zh) 基于ot协议的数据处理方法及装置
CN114697001B (zh) 一种基于区块链的信息加密传输方法、设备及介质
CN110572788B (zh) 基于非对称密钥池和隐式证书的无线传感器通信方法和系统
US20240137213A1 (en) Method for Arranging a Shared Cryptographic Key and Method for Encrypted Communication, Computer Program Product and Device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant