CN116405317A - 密钥处理方法、装置、设备及存储介质 - Google Patents

密钥处理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116405317A
CN116405317A CN202310611200.XA CN202310611200A CN116405317A CN 116405317 A CN116405317 A CN 116405317A CN 202310611200 A CN202310611200 A CN 202310611200A CN 116405317 A CN116405317 A CN 116405317A
Authority
CN
China
Prior art keywords
key
terminal
communication
storage key
target storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310611200.XA
Other languages
English (en)
Inventor
邓志豪
刘俊良
任龙
韩国华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apollo Zhilian Beijing Technology Co Ltd
Original Assignee
Apollo Zhilian Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apollo Zhilian Beijing Technology Co Ltd filed Critical Apollo Zhilian Beijing Technology Co Ltd
Priority to CN202310611200.XA priority Critical patent/CN116405317A/zh
Publication of CN116405317A publication Critical patent/CN116405317A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本公开提供了一种密钥处理方法、装置、设备及存储介质,涉及数据处理领域,具体涉及数据安全、通信技术、存储技术、物联网技术等,可应用于物联网、车联网、智能交通等场景。在终端一侧,密钥处理方法包括:接收来自服务端的经通信密钥加密的目标存储密钥,通信密钥用于终端与服务端之间传输数据的加密;通过通信密钥对加密的目标存储密钥进行解密,得到目标存储密钥,目标存储密钥用于终端上本地数据的加密。从而,通过通信密钥降低终端与服务器之间传输数据的泄露风险,通过存储密钥降低终端上本地数据的泄露风险,通过通信密钥对存储密钥进行加密,降低了存储密钥的泄露风险,有效提高了数据安全性。

Description

密钥处理方法、装置、设备及存储介质
技术领域
本公开涉及数据处理领域,具体涉及数据安全、通信技术、存储技术、物联网技术等,可应用于物联网、车联网、智能交通等场景,尤其涉及一种密钥处理方法、装置、设备及存储介质。
背景技术
在数据采集和传输场景中,数据采集设备将采集到的数据传输给数据处理设备,该过程存在数据泄露的安全风险。
相关技术中,数据采集设备通过非对称加密方式中的公钥,对采集到的数据进行加密,将加密的数据传输给数据处理设备;数据处理设备通过非对称加密方式中的私钥,对加密的数据进行解密。
然而,上述方式中数据泄露的风险较高。
发明内容
本公开提供了一种用于降低资源推荐重复率的密钥处理方法、装置、设备及存储介质。
根据本公开的第一方面,提供了一种密钥处理方法,应用于终端,包括:接收来自服务端的经通信密钥加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;通过所述通信密钥对所述加密的目标存储密钥进行解密,得到所述目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密。
根据本公开的第二方面,提供了一种密钥处理方法,应用于服务端,包括:为终端生成对应的目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密;通过通信密钥对所述目标存储密钥进行加密,得到加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;向所述终端发送所述加密的目标存储密钥。
根据本公开的第三方面,提供了一种密钥处理装置,应用于终端,包括:密钥接收单元,用于接收来自服务端的经通信密钥加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;密钥解密单元,用于通过所述通信密钥对所述加密的目标存储密钥进行解密,得到所述目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密。
根据本公开的第四方面,提供了一种密钥处理装置,应用于服务端,包括:存储密钥生成单元,用于为终端生成对应的目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密;存储密钥加密单元,用于通过通信密钥对所述目标存储密钥进行加密,得到加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;存储密钥发送单元,用于向所述终端发送所述加密的目标存储密钥。
根据本公开的第五方面,提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行第一方面或者第二方面所述的密钥处理方法。
根据本公开的第六方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行第一方面或者第二方面所述的密钥处理方法。
根据本公开的第七方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序,所述计算机程序存储在可读存储介质中,电子设备的至少一个处理器可以从所述可读存储介质读取所述计算机程序,所述至少一个处理器执行所述计算机程序使得电子设备执行第一方面或者第二方面所述的密钥处理方法。
根据本公开提供的技术方案,服务端通过通信密钥对目标存储密钥进行加密,将加密的目标存储密钥发送给终端,降低了目标存储密钥的泄露风险;终端通过通信密钥对加密的目标存储密钥进行解密,得到目标存储密钥,目标存储密钥用于终端上本地数据的加密。通过为服务端与终端之间的传输数据提供通信密钥和为终端的本地数据提供存储密钥,降低了数据传输过程的数据泄露风险和终端本地数据的数据泄露风险,提高了数据的安全性。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是本公开实施例适用的一种应用场景的示意图;
图2是根据本公开第一实施例的示意图;
图3是根据本公开第二实施例的示意图;
图4是根据本公开第三实施例的示意图;
图5是终端与服务端进行存储密钥处理的示意图一;
图6是终端与服务端进行存储密钥处理的示意图二;
图7是根据本公开第四实施例的示意图;
图8是根据本公开第五实施例的示意图;
图9是终端与服务端进行通信密钥处理的示例图一;
图10是终端与服务端进行通信密钥处理的示例图二;
图11是本公开第六实施例的示意图;
图12是本公开第七实施例的示意图;
图13为可以用来实施本公开的实施例的示例电子设备1300的示意性框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
数据采集设备可以将采集到的数据加密后发送给数据处理设备。
相关技术中,终端可以通过消息指令将自己的RSA公钥告知服务端,服务端利用终端提供的RSA公钥对数据进行加密,将加密的数据发送给终端,终端再利用自己的RSA私钥对加密的数据进行解密,得到服务端下发的数据;服务端可以通过消息指令将自己的RSA公钥告知终端,终端利用服务端提供的RSA公钥对数据进行加密,将加密的数据发送给服务端,服务端再利用自己的RSA私钥对加密的数据进行解密,得到终端上报给服务端的数据。
然而,上述方式只考虑了对通信过程中传输数据的加密,在实际场景中终端本地也会存储部分数据,这部分数据中也可能包含敏感数据,上述方式未考虑到终端本地数据的加密,存在数据泄露的风险。
为了解决上述问题,本公开提供一种密钥处理方法、装置、设备及存储介质,应用于数据处理领域,可以应用于物联网、车联网、智能交通等场景。在本公开中,通过通信密钥,确保数据在终端和服务端之间进行传输的安全性;通过存储密钥,确保数据在终端存储的安全性。
其中,终端可以是个人数字处理(personal digital assistant,简称PDA)设备、具有无线通信功能的手持设备(例如智能手机、平板电脑)、计算设备(例如个人电脑(personal computer,简称PC))、可穿戴设备(例如智能手表、智能手环)、智能家居设备(例如智能音箱、智能显示设备)、车辆传感器、路侧设备等。服务端可以为独立的服务器也可以为服务器集群,可以为本地服务器也可以为云服务器。
图1是本公开适用的一种应用场景的示意图。在该应用场景中包括数据处理平台101和多个终端102(图1以3个终端102为例)。在终端102中,可以进行本地数据的加密存储;数据处理平台101包括数据接入服务,数据接入服务可接收终端102发送的数据,还可以对数据进行处理,为提高数据的安全性,数据处理平台101与终端102之间的传输数据可以加密传输。
以驾驶场景为例,车辆的安全监督平台可以连接一个或者多个终端,例如,车辆例如为营运车辆,终端例如包括车辆上的传感器(比如速度传感器、车辆雷达)、路侧设备、停车场设备(比如停车场的道闸设备)等等。车辆的安全监督平台可以接收终端采集到的数据,由于采集到的数据中可能包含有敏感信息,本公开可以对终端上本地数据进行加密,还可以对终端与车辆的安全监督平台之间的传输数据进行加密。
其中,驾驶场景为本公开适用的一种应用场景的示例。本公开可以适用于终端与服务端通信、数据采集数据并存储的场景、终端采集数据并上报、物联网(internet ofthings,简称IoT)、车联网、智能交通等场景。
下面以具体的实施例对本公开的技术方案以及本公开的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本公开的实施例进行描述。
图2是根据本公开第一实施例的示意图。如图2所示,本公开第一实施例提供的密钥处理方法包括:
S201,服务端为终端生成对应的目标存储密钥,目标存储密钥用于终端上本地数据的加密。
本实施例中,服务端可以主动为终端生成对应的存储密钥,也可以响应于存储密钥生成请求(可以由终端发送存储密钥生成请求,也可以由服务端连接的客户端上的用户触发存储密钥生成请求),为终端生成对应的存储密钥。为了与后续实施例中其他存储密钥进行区分,将服务端当前为终端生成的存储密钥称为目标存储密钥。
S202,服务端通过通信密钥对目标存储密钥进行加密,得到加密的目标存储密钥,通信密钥用于终端和服务端之间传输数据的加密。
本实施例中,服务端需要将目标存储密钥传输给终端,由于通信密钥用于终端和服务端之间传输数据的加密,在传输目标存储密钥之前,可通过通信密钥对目标存储密钥进行加密,得到加密的存储通信密钥。
S203,服务端向终端发送加密的目标存储密钥。
本实施例中,服务端将经通信密钥加密的目标存储密钥,发送给终端,以便终端能够使用目标存储密钥进行本地数据的加密。从而,实现目标存储密钥的加密传输,降低了目标存储密钥的
S204,终端通过通信密钥对加密的目标存储密钥进行解密,得到目标存储密钥。
本实施例中,终端接收到经通信密钥加密的目标存储密钥后,可通过通信密钥对加密的目标存储密钥进行解密,得到目标存储密钥。之后,终端如果有本地数据需要进行存储,可以利用目标存储密钥进行本地数据的加密,再对加密的本地数据进行存储,提高本地数据的安全性。
本公开实施例中,服务端与终端之间可以通过通信密钥进行传输数据的加密,提高数据在服务端与终端之间传输的安全性;服务端还可以为终端分配存储密钥,通过存储密钥提高数据在终端上的安全性。从而,从多方面降低数据的泄露风险,有效地提高了数据的安全性。
针对上述实施例,提供一些可选的实施方案:
在一些实施例中,服务端可与多个终端进行通信,服务端为不同的终端生成不同的目标存储密钥。从而,避免不同终端共用同一存储密钥导致的数据泄露风险,有效地提高终端上本地数据的安全性。
在S201的一种可能的实现方式中,在接收来自服务端经通信密钥加密的目标存储密钥之前,终端可向服务端发送终端的终端标识,终端标识用于生成终端用于数据存储加密的存储密钥;服务端可根据终端的终端标识,生成目标存储密钥。由于不同终端具有不同的终端标识,基于不同的终端标识可以生成不同的目标存储密钥,实现为不同的终端生成不同的目标存储密钥,确保目标存储密钥的唯一性。
本实现方式中,服务端接收到终端的终端标识之后,可将终端的终端标识输入至密钥生成公式中,通过密钥生成公式生成目标存储密钥。其中。密钥生成公式的具体表示取决于目标存储密钥的类型,在此对公式不做限制。
可选的,终端在服务端注册成功后,向服务端发送终端标识。从而,服务端可以拿到所有注册成功的终端的终端标识。
在一些实施例中,考虑到非对称加密的性能较低,通信密钥可为对称密钥,和/或,目标存储密钥可为对称密钥。从而,基于通信密钥对终端与服务端之间传输数据的加密为对称加密,和/或,基于目标存储密钥对终端本地数据的加密为对称加密,对称加密的性能较高,能够有效提高加密效率,减少数据加密所占用的资源,能够适用于数据量较大的场景。
其中,非对称加密需要用到两个密钥:公钥和私钥。如果用公钥对数据加密,那么需要用对应的私钥解密,加密和解密使用的密钥不同,所以该加密方式被称为非对称加密。对称加密是通过相同密钥进行加密和解密。
基于目标存储密钥为对称密钥,在S201的又一种可能的实现方式中,服务端可将终端的终端标识输入至对称密钥的生成公式中,通过对称密钥的生成公式,计算得到终端对应的目标存储密钥。从而,通过将终端标识作为对称密钥生成公式的输入参数,为不同的终端生成不同的目标存储密钥。
可选的,通信密钥和/或目标存储密钥可以为高级加密标准(advancedencryption standard,简称AES)密钥。相较于其他对称密钥,比如数据加密标准(DataEncryption Standard,DES),AES密钥的安全性和可靠性更高,适用场景也更为普遍,所以通信密钥和/或存储密钥采用AES密钥,可以使得通信密钥和/或目标存储密钥的安全性、可靠性更高,具有更广的适用范围。
基于目标存储密钥为AES密钥,在S201的又一种可能的实现方式中,服务端可将终端的终端标识输入至AES密钥的生成公式中,通过AES密钥的生成公式,计算得到终端对应的目标存储密钥。从而,通过将终端标识作为AES密钥生成公式的输入参数,为不同的终端生成不同的目标存储密钥。
在一些实施例中,终端得到目标存储密钥之后,可以对目标存储密钥进行校验,在目标存储密钥成功通过校验之后,可将终端本地的存储密钥更新为目标存储密钥。之后,终端便可以通过本地的存储密钥对本地数据进行加密,再对加密的本地数据进行存储。从而,通过对目标存储密钥进行校验,避免将不符合要求的目标存储密钥用于本地数据的加密,提高对终端上的本地数据进行加密的可靠性,提高本地数据的安全性。
图3是根据本公开第二实施例的示意图。如图3所示,本公开第二实施例提供的密钥处理方法包括:
S301,服务端为终端生成对应的目标存储密钥,目标存储密钥用于终端上本地数据的加密。
S302,服务端通过通信密钥对目标存储密钥进行加密,得到加密的目标存储密钥,通信密钥用于终端和服务端之间传输数据的加密。
S303,服务端向终端发送加密的目标存储密钥。
S304,终端通过通信密钥对加密的目标存储密钥进行解密,得到目标存储密钥。
其中,S301~S304的实现原理和技术效果可参照前述实施例,不再赘述。
S305,终端对目标存储密钥与终端本地的存储密钥进行冲突校验,确定目标存储密钥与终端本地的存储密钥是否冲突。
其中,终端本地的存储密钥为终端当前用于本地数据加密的存储密钥。
本实施例中,终端得到目标存储密钥之后,可将目标存储密钥与终端本地的存储密钥进行比较,得到比较结果,根据比较结果来确定目标存储密钥与终端本地的存储密钥是否冲突。
在一种可能的实现方式中,如果目标存储密钥与终端本地的存储密钥不同,则确定目标存储密钥与终端本地的存储密钥冲突,否则确定目标存储密钥与终端本地的存储密钥不冲突。
在又一种可能的实现方式中,如果终端本地的存储密钥为空或者终端本地的存储密钥与目标存储密钥不同,则可以确定目标存储密钥与终端本地的存储密钥冲突,否则,可确定目标存储密钥与终端本地的存储密钥不冲突。从而,兼顾了终端本地没有存储密钥和终端本地有存储密钥的情况,提高了对目标存储密钥与终端本地的存储密钥进行冲突检测的准确性。
本实现方式中,终端本地的存储密钥为空,说明服务端尚未给终端分配过存储密钥,目标存储密钥为服务端第一次为终端分配的存储密钥,目标存储密钥与为空的存储密钥是不同的,因此可确定目标存储密钥与终端本地的存储密钥是冲突的;终端本地的存储密钥不为空,说明服务端以前向终端分配过存密钥,目标存储密钥与终端本地不为空的存储密钥不同,即目标存储密钥与终端本地的存储密钥是冲突的。
可选的,在对目标存储密钥与终端本地的存储密钥进行冲突校验之前,可确定目标存储密钥的数据长度为设定长度。即,在进行冲突检验之前,可先对目标存储密钥的数据长度进行校验,如果目标存储密钥的数据长度为预设长度,则对目标存储密钥与终端本地的存储密钥进行冲突校验。从而,结合长度检验和冲突校验,确保终端上用于本地数据加密的存储密钥的准确性和合理性,进而提高终端上本地数据加密的准确性和可靠性。
例如,目标存储密钥为二进制数,目标存储密钥的数据长度为目标存储密钥的比特位数,预先配置存储密钥的设定长度为12位,如果目标存储密钥的比特位数没有达到12位或者超过12位,说明目标存储密钥在长度上不符合要求,比如可能丢失了一些数字,所以对目标存储密钥进行长度校验,可以避免终端采用错误的存储密钥进行本地数据的加密。
需说明,对目标存储密钥的校验也可以先进行冲突校验,再对目标存储密钥的数据长度进行校验;或者,对目标存储密钥的校验也可以只包括对目标存储密钥的数据长度进行校验,如果目标存储密钥的数据长度为设定长度,则可将终端本地的存储密钥更新为目标存储密钥。
S306,如果目标存储密钥与终端本地的存储密钥冲突,则将终端本地的存储密钥更新为目标存储密钥。
本实施例中,如果目标存储密钥与终端本地的存储密钥冲突,说明目标存储密钥与终端本地的存储密钥存在不同之处,可以将终端本地的存储密钥更新为目标存储密钥,实现终端本地的存储密钥的设置或者更新。
在一种可能的实现方式中,如果目标存储密钥与终端本地的存储密钥不同,则确定目标存储密钥与终端本地的存储密钥冲突,将终端本地的存储密钥更新为目标存储密钥。如果目标存储密钥与终端本地的存储密钥相同,则确定目标存储密钥与终端本地的存储密钥不冲突,在完全相同的情况下,无需进行终端本地的存储密钥的更新。
在又一种可能的实现方式中,如果终端本地的存储密钥为空或者终端本地的存储密钥与目标存储密钥不同,则可以确定目标存储密钥与终端本地的存储密钥冲突,将终端本地的存储密钥更新为目标存储密钥。从而,在终端本地的存储密钥为空的情况下,通过将终端本地的存储密钥更新为目标存储密钥,实现为终端的存储密钥的设置;在终端本地的存储密钥不为空且终端本地的存储密钥与目标存储密钥不同的情况下,通过将终端本地的存储密钥更新为目标存储密钥,实现为终端的存储密钥的更新。
可选的,如果目标存储密钥与终端本地的存储密钥不冲突,则终端可保持终端本地的存储密钥不变。
本公开实施例中,服务端将目标存储密钥加密传输给终端,终端得到目标存储密钥之后,对目标存储密钥进行校验,在目标存储密钥成功通过校验后,将终端本地的存储密钥更新为目标存储密钥,从而,不仅实现了目标存储密钥的安全传输,还提高了目标存储密钥的准确性,进而提高了终端采用目标存储密钥进行本地数据加密的可靠性和安全性。
图4是根据本公开第三实施例的示意图。如图4所示,本公开第三实施例提供的密钥处理方法包括:
S401,服务端为终端生成对应的目标存储密钥,目标存储密钥用于终端上本地数据的加密。
S402,服务端通过通信密钥对目标存储密钥进行加密,得到加密的目标存储密钥,通信密钥用于终端和服务端之间传输数据的加密。
S403,服务端向终端发送加密的目标存储密钥。
S404,终端通过通信密钥对加密的目标存储密钥进行解密,得到目标存储密钥。
S405,终端对目标存储密钥与终端本地的存储密钥进行冲突检验,确定目标存储密钥与终端本地的存储密钥是否冲突。
其中,S401~S405的实现原理和技术效果可参照前述实施例,不再赘述。
S406,终端向服务端发送校验消息,校验消息包括终端的终端标识和指示目标存储密钥与终端本地的存储密钥是否冲突的指示信息。
本实施例中,终端可以根据目标存储密钥与终端本地的存储密钥是否冲突,确定指示信息,根据指示信息和终端标识,向服务端发送校验消息。
可选的,终端可在目标存储密钥与终端本地的存储密钥冲突的情况下,向服务端发送校验消息,校验消息中的指示信息用于指示目标存储密钥与终端本地的存储密钥冲突。从而,将目标存储密钥与终端本地的存储密钥冲突的情况告知服务端,服务端可基于目标存储密钥与终端本地存储密钥冲突向终端发送准确的应答消息。
又可选的,终端可在目标存储密钥与终端本地的存储密钥冲突的情况下,将终端本地的存储密钥更新为目标存储密钥,可在目标存储密钥与终端本地的存储密钥不冲突的情况下,向服务端发送校验消息,校验消息中的指示信息用于指示目标存储密钥与终端本地的存储密钥不冲突,以便服务端知晓目标存储密钥与终端本地的存储密钥不冲突导致终端无需进行存储密钥的更新,使得服务端向终端发送准确的应答消息。
又可选的,终端在目标存储密钥与终端本地的存储密钥冲突的情况下,或者,在目标存储密钥与终端本地的存储密钥不冲突的情况下,均可向服务端发送校验消息。如果目标存储密钥与终端本地的存储密钥冲突,则校验消息中的指示信息用于指示目标存储密钥与终端本地的存储密钥冲突;如果目标存储密钥与终端本地的存储密钥不冲突,则指示信息用于指示目标存储密钥与终端本地的存储密钥冲突。从而,将目标存储密钥与终端本地的存储密钥是否冲突准确反馈给服务端,使得服务端给出准确的应答消息。
可选的,校验消息还可包括目标存储密钥和/或终端本地的存储密钥,以便服务端知道终端当前接收到的目标存储密钥和本地采用的存储密钥。
S407,服务端响应于校验消息,向终端发送应答消息。
其中,应答消息指示终端更新用于数据存储加密的存储密钥,或者,应答消息指示终端不更新用于数据存储加密的存储密钥。
本实施例中,服务端接收到校验消息后,可基于校验消息中的指示信息,得知目标存储密钥与终端本地的存储密钥冲突,或者,得知目标存储密钥与终端本地的存储密钥不冲突,可以基于指示信息,向终端发送应答消息。
可选的,如果指示消息指示目标存储密钥与终端本地的存储密钥冲突,则服务端可向终端发送指示终端更新用于数据存储加密的存储密钥的应答消息,从而在目标存储密钥与终端本地的存储密钥存在不同的情况下,更新终端本地的存储密钥为目标存储密钥,实现终端本地存储密钥的准确更新。
又可选的,如果指示信息指示目标存储密钥与终端本地的存储密钥冲突,则服务端可将终端在过去使用过的存储密钥与目标存储密钥进行比较;如果终端在过去使用过的存储密钥中不存在与目标存储密钥相同的存储密钥,则向终端发送指示终端更新用于数据存储加密的存储密钥的应答消息,否则向终端发送指示终端不更新用于数据存储加密的存储密钥的应答消息。
本可选方式中,在终端校验得到目标存储密钥与终端本地的存储密钥冲突之后,服务端对目标存储密钥与终端在过去使用过的存储密钥是否相同进行校验,如果目标存储密钥与终端过去使用过的存储密钥均不同,则向终端发送指示终端更新数据存储加密的存储密钥的应答消息,否则向终端发送指示终端不更新数据存储加密的存储密钥的应答消息,从而,确保终端更新的存储密钥与终端在过去使用的存储密钥均不同,提高终端的存储密钥的安全性,进而提高终端上本地数据的安全性。
可选的,如果指示信息指示目标存储密钥与终端本地的存储密钥不冲突,则服务端向终端发送指示终端不更新用于数据存储加密的存储密钥的应答消息。其中,目标存储密钥与终端本地的存储密钥不冲突,说明目标存储密钥与终端本地的存储密钥相同,无需进行多余的更新操作,所以服务端向终端发送指示终端不更新用于数据存储加密的存储密钥的应答消息。
可选的,服务端向终端发送指示终端不更新用于数据存储加密的存储密钥的应答消息之后,服务端可继续为终端生成新的存储密钥,再重复上述的校验过程,直至为终端生成满足更新要求(比如与终端本地的存储密钥冲突,又如与终端在过去时间使用的存储密钥不同)的存储密钥。
可选的,服务端向终端发送指示终端更新用于数据存储加密的存储密钥的应答消息之后,可保存目标存储密钥。从而,通过记录终端使用的存储密钥,使之可以用于存储密钥的校验过程。
S408,如果应答消息指示终端更新用于数据存储加密的存储密钥,则终端将终端本地的存储密钥更新为目标存储密钥。
本实施例中,如果应答消息指示终端更新用于数据存储加密的存储密钥,则终端可按照应答消息的指示,将终端本地的存储密钥更新为目标存储密钥。如果应答消息指示终端不更新数据存储加密的存储密钥,则终端可保持终端本地的存储密钥不变。
本公开实施例中,服务端将目标存储密钥加密传输给终端,终端得到目标存储密钥之后,对目标存储密钥进行校验,向服务端发送校验消息,服务端响应于校验消息,向终端发送应答消息,从而,通过服务端和终端之间的交互,实现了目标存储密钥的安全传输,提高了目标存储密钥的准确性,进而提高了终端采用目标存储密钥进行本地数据加密的可靠性和安全性。
作为示例的,图5是终端与服务端进行存储密钥处理的示意图一。如图5所示,终端向服务端发起注册并注册成功后,向服务端发送终端标识;服务端可根据终端标识,为终端生成一个独立的存储AES密钥,可通过通讯AES密钥,将存储AES密钥加密发送给终端。终端获取到存储AES密钥后,可以通过存储AES密钥对终端后续采集存储的本地数据进行加密。
如图5所示,为了确保终端本地数据的安全性,存储AES密钥可以由服务端定期触发更新。为了确保存储AES密钥更新的准确性,在第一次收到AES密钥或者在收到服务端更新的存储AES密钥之后,终端可以对存储AES密钥进行校验,将校验结果(即前述实施例中的校验消息)发送给服务端,服务端收到校验结果后,在根据校验结果确定可以更新存储密钥的情况下,可以记录新的存储密钥,并通过应答消息指示终端更新存储密钥;终端接收到服务端指示更新存储密钥的应答消息后,对本地的存储AES密钥进行更新。
作为示例的,图6是终端与服务端进行存储密钥处理的示意图二。如图6所示,终端在服务端注册成功后,可向服务端上报终端标识;服务端可以基于终端标识,生成存储AES密钥并加密,向终端下发加密的存储AES密钥;终端获得存储AES密钥后,进行存储AES密钥的校验,将存储AES密钥的校验消息上报给服务端;服务端响应于校验消息,向终端返回应答消息。如果应答消息指示终端更新本地的存储AES密钥,则终端更新本地的AES密钥。
在一些实施例中,用于服务端与终端之间传输数据加密的通信密钥可以是由用户预先设置好的,用户可以每隔一段周期更新通信密钥,减少通信密钥的泄露风险,提高服务端与终端之间传输数据的安全性。
在一些实施例中,通信密钥可由终端生成并加密发送给服务端,或者,通信密钥可由服务端生成并加密发送给终端。
图7是根据本公开第四实施例的示意图。如图7所示,基于通信密钥有终端生成并加密发送给服务端,在本公开第四实施例提供的密钥处理方法中,通信密钥的处理过程可包括:
S701,终端通过非对称密钥中的公钥对通信密钥进行加密,得到加密的通信密钥,非对称密钥中的私钥位于服务端。
其中,非对称密钥包括公钥和私钥,公钥位于终端,私钥位于服务端。通信密钥为对称密钥,在传输数据量较大的情况下,依旧可以达到较高性能。
本实施例中,终端可获取非对称密钥中的公钥和通信密钥,通过公钥对通信密钥进行加密,得到加密的通信密钥。
可选的,由服务端生成非对称密钥,将非对称密钥中的公钥发送给终端。从而,数据维护人员可以在服务端上控制非对称密钥的生成,提高数据维护人员对非对称密钥的生成的可控性。
可选的,服务端可周期性更新非对称密钥,或者,服务端可响应于非对称密钥更新请求,更新非对称密钥。从而,通过非对称密钥的更新,降低非对称密钥的泄露风险,提高数据安全性。
可选的,非对称密钥可为RSA密钥。
可选的,通信密钥可为AES密钥。
S702,终端向服务端发送加密的通信密钥。
S703,服务端通过非对称密钥中的私钥,对加密的通信密钥进行解密,得到通信密钥,通信密钥用于终端与服务端之间传输数据的加密。
本实施例中,服务端可获取非对称密钥中的私钥,通过私钥对接收到的加密的通信密钥进行解密,得到通信密钥。由于通信密钥的数据量较少,通过非对称密钥对通信密钥进行加解密依旧可以达到较高的性能。在得到通信密钥之后,服务端和终端可以采用通信密钥对待传输给对方的数据进行加密。
本公开实施例中,服务端和终端通过非对称密钥实现通信密钥的加密传输。一方面,通过非对称密钥提高通信密钥传输的安全性,通过通信密钥确保服务端与终端之前传输数据的安全性,降低数据泄露风险;另一方面,通信密钥为对称密钥,通过对称密钥进行传输数据的加解密,在数据量较大的情况下依旧可以达到较高的性能,提高数据加解密效率。
在一些实施例中,终端可响应于终端与服务端之间建立通信连接,生成通信密钥,通信密钥用于该通信连接上传输数据的加密。从而,每次建立通信连接,终端重新生成通信密钥,有效降低了通信密钥的泄露风险。
可选的,终端可随机生成通信密钥,降低通信密钥的泄露风险。
图8是根据本公开第五实施例的示意图。如图8所示,基于通信密钥有终端生成并加密发送给服务端,在本公开第五实施例提供的密钥处理方法中,通信密钥的处理过程可包括:
S801,终端与服务端之间建立通信连接。
S802,响应于终端与服务端之间建立通信连接,服务端向终端发送非对称密钥中的公钥。
本实施例中,服务端可预先生成非对称密钥,在终端与服务端之间就建立通信连接后,服务端向终端发送非对称密钥中的公钥,从而,在每次通信连接中终端等待服务端下发的公钥即可,不需要自身保存或者维护以前采用的公钥,便于服务端对非对称密钥的管理。
可选的,服务端可响应于非对称密钥更新指令,更新公钥和私钥,向终端发送更新后的公钥。从而,通过更新非对称密钥,降低非对称密钥的泄露风险,提高数据的安全性。
进一步的,服务端更新公钥和私钥之后,如果服务端与终端未建立通信连接,则服务端可保存更新后的公钥,在服务端与终端建立通信连接后,向终端发送更新的公钥。
S803,终端响应于接收到公钥,生成通信密钥,通信密钥用于该通信连接上传输数据的加密。
本实施例中,终端接收到公钥后,生成通信密钥,如此,在每次通信连接后重新生成通信密钥,降低通信密钥的泄露风险。如果没有接收到公钥,则无需生成通信密钥,如此,在服务端异常、网络异常导致无法下发公钥的情况下,终端无需在通信密钥的生成上浪费资源。
S804,终端通过公钥对通信密钥进行加密,得到加密的通信密钥。
S805,终端向服务端发送加密的通信密钥。
S806,服务端通过非对称密钥中的私钥,对加密的通信密钥进行解密,得到通信密钥。
其中,S804~S806的实现原理和技术效果可参照前述实施例,不再赘述。
本公开实施例中,终端与服务端连接通信连接后,服务端先向终端发送公钥,终端再生成通信密钥,通过公钥对通信密钥进行加密,将加密的通信密钥发送给服务端。服务端通过私钥对加密的通信密钥进行解密之后,得到通信密钥。如此,在提高数据安全性的同时,提高了数据加解密效率。
图9是终端与服务端进行通信密钥处理的示例图一。如图9所示,服务端生成RSA公钥和RSA私钥。在一轮通信中:终端与服务端建立通信连接,之后服务端将RSA公钥下发给终端;终端生成本轮通信所需的通信AES密钥(即前述通信密钥),通过RSA公钥对通信AES密钥进行加密,将加密的通信AES密钥发送给服务端;服务端通过RSA私钥对加密的通信AES密钥,得到通信AES密钥。从而,完成通信AES密钥的交换;之后,终端与服务端之间的传输数据可以通过通信AES密钥进行加密。
图10是终端与服务端进行通信密钥处理的示例图二。如图10所示,服务端上生成有私钥和公钥,在服务端与终端的通信连接建立成功之后,服务端向终端下发公钥,终端生成通信密钥,通过公钥对通信密钥进行加密,将加密的通信密钥上报给服务端,服务端通过私钥对加密的通信密钥进行解密,得到通信密钥。之后,终端可以使用通信密钥将传输数据加密后上报给服务端,服务端可以通过通信密钥将传输数据加密后下发给终端。
图11是本公开第六实施例的示意图。如图11所示,在终端一侧,本公开第六实施例提供的密钥处理装置1100包括:
密钥接收单元1101,用于接收来自服务端的经通信密钥加密的目标存储密钥,通信密钥用于终端与服务端之间传输数据的加密;
密钥解密单元1102,用于通过通信密钥对加密的目标存储密钥进行解密,得到目标存储密钥,目标存储密钥用于终端上本地数据的加密。
在一些实施例中,密钥处理装置1100还包括:冲突校验单元1103,用于对目标存储密钥与终端本地的存储密钥进行冲突校验,确定目标存储密钥与终端本地的存储密钥是否冲突;存储密钥更新单元1104,用于如果目标存储密钥与终端本地的存储密钥冲突,则将终端本地的存储密钥更新为目标存储密钥。
在一些实施例中,冲突校验单元1103包括:冲突校验模块(图中未示出),用于如果终端本地的存储密钥为空或者终端本地的存储密钥与目标存储密钥不同,则确定目标存储密钥与终端本地的存储密钥冲突,否则确定目标存储密钥与终端本地的存储密钥不冲突。
在一些实施例中,存储密钥更新单元1104包括:校验消息发送模块(图中未示出),用于向服务端发送校验消息,校验消息包括终端的终端标识和指示目标存储密钥与终端本地的存储密钥是否冲突的指示信息;应答消息接收模块(图中未示出),用于接收来自服务端的应答消息;存储密钥更新模块(图中未示出),用于如果应答消息指示终端更新用于数据存储加密的存储密钥,则将终端本地的存储密钥更新为目标存储密钥。
在一些实施例中,密钥处理装置1100还包括:长度判断单元(图中未示出),用于确定目标存储密钥的数据长度为设定长度。
在一些实施例中,密钥处理装置1100还包括:终端标识发送单元(图中未示出),用于向服务端发送终端的终端标识,终端标识用于生成终端用于数据存储加密的存储密钥。
在一些实施例中,通信密钥为对称密钥,密钥处理装置1100还包括:通信密钥加密单元1105,用于通过非对称密钥中的公钥对通信密钥进行加密,得到加密的通信密钥,非对称密钥中的私钥位于服务端;通信密钥发送单元1106,用于向服务端发送加密的通信密钥。
在一些实施例中,密钥处理装置1100还包括:通信密钥生成单元(图中未示出),用于响应于终端与服务端之间建立通信连接,生成通信密钥,通信密钥用于通信连接上传输数据的加密。
在一些实施例中,通信密钥生成单元包括:公钥接收模块(图中未示出),用于在建立通信连接后,接收来自服务端的公钥;通信密钥生成模块,用于响应于接收到公钥,生成通信密钥。
图11提供的密钥处理装置,可以执行上述相应方法实施例中终端涉及的,步骤,其实现原理和技术效果类似,在此不再赘述。
图12是本公开第七实施例的示意图。如图12所示,在服务端一侧,本公开第七实施例提供的密钥处理装置1200包括:
存储密钥生成单元1201,用于为终端生成对应的目标存储密钥,目标存储密钥用于终端上本地数据的加密;
存储密钥加密单元1202,用于通过通信密钥对目标存储密钥进行加密,得到加密的目标存储密钥,通信密钥用于终端与服务端之间传输数据的加密;
存储密钥发送单元1203,用于向终端发送加密的目标存储密钥。
在一些实施例中,存储密钥生成单元1201包括:存储密钥生成模块(图中未示出),用于根据终端的终端标识,生成目标存储密钥。
在一些实施例中,密钥处理装置1200还包括:校验消息接收单元1204,用于接收终端发送的校验消息,校验消息包括终端的终端标识和指示目标存储密钥与终端本地的存储密钥是否冲突的指示信息;应答消息发送单元1205,用于响应于校验消息,向终端发送应答消息,应答消息指示终端更新用于数据存储加密的存储密钥,或者,应答消息指示终端不更新用于数据存储加密的存储密钥。
在一些实施例中,应答消息发送单元1205包括:密钥比较模块(图中未示出),用于如果指示信息指示目标存储密钥与终端本地的存储密钥冲突,则将终端在过去使用过的存储密钥与目标存储密钥进行比较;第一应答消息发送模块(图中未示出),用于如果终端在过去使用过的存储密钥中不存在与目标存储密钥相同的存储密钥,则向终端发送指示终端更新用于数据存储加密的存储密钥的应答消息,否则向终端发送指示终端不更新用于数据存储加密的存储密钥的应答消息。
在一些实施例中,应答消息发送单元1205包括:第二应答消息发送模块(图中未示出),用于如果指示信息指示目标存储密钥与终端本地的存储密钥不冲突,则向终端发送指示终端更新用于数据存储加密的存储密钥的应答消息。
在一些实施例中,通信密钥为对称密钥,密钥处理装置1200还包括:通信密钥接收单元1206,用于接收来自终端的经公钥加密的通信密钥;通信密钥解密单元1207,用于通过公钥所属的非对称密钥中的私钥,对加密的通信密钥进行解密,得到通信密钥。
在一些实施例中,通信密钥接收单元1206包括:通信密钥接收模块(图中未示出),用于响应于终端与服务端之间建立通信连接,接收经公钥加密的通信密钥,通信密钥用于通信连接上传输数据的加密。
在一些实施例中,通信密钥接收模块包括:公钥发送子模块(图中未示出),用于响应于通信连接的建立,向终端发送公钥;通信密钥接收子模块(图中未示出),用于接收终端返回的经公钥加密的通信密钥。
在一些实施例中,密钥处理装置1200还包括:非对称密钥更新单元(图中未示出),用于响应于非对称密钥更新指令,更新公钥和私钥;更新公钥发送单元,用于向终端发送更新后的公钥。
图12提供的密钥处理装置,可以执行上述相应方法实施例中服务端涉及的步骤,其实现原理和技术效果类似,在此不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备,电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述任一实施例提供的方案。
根据本公开的实施例,本公开还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行上述任一实施例提供的方案。
根据本公开的实施例,本公开还提供了一种计算机程序产品,计算机程序产品包括:计算机程序,计算机程序存储在可读存储介质中,电子设备的至少一个处理器可以从可读存储介质读取计算机程序,至少一个处理器执行计算机程序使得电子设备执行上述任一实施例提供的方案。
根据本公开的实施例,本公开还提供了一种路侧设备,该路侧设备中包括上述实施例提供的电子设备。其中,路侧设备例如有计算功能的路侧感知设备、与路侧感知设备相连接的路侧计算设备。
在智能交通车路协同的系统架构中,路侧设备包括路侧感知设备和路侧计算设备,路侧感知设备(例如路侧相机)连接到路侧计算设备(例如路侧计算单元RSCU),路侧计算设备连接到服务器设备,服务器设备可以通过各种方式与自动驾驶或辅助驾驶车辆通信;在另一种系统架构中,路侧感知设备自身包括计算功能,则路侧感知设备直接连接到所述服务器设备。以上连接可以是有线或是无线;本公开中服务器设备例如是云控平台、车路协同管理平台、中心子系统、边缘计算平台、云计算平台等。
根据本公开的实施例,本公开还提供了一种车辆,该车辆中包括上述实施例提供的终端。
图13为可以用来实施本公开的实施例的示例电子设备1300的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图13所示,电子设备1300包括计算单元1301,其可以根据存储在只读存储器(Read Only Memory,ROM)(图13以ROM 1302为例)中的计算机程序或者从存储单元1308加载到随机访问存储器(Random Access Memory,RAM)(图13以RAM 1303为例)中的计算机程序,来执行各种适当的动作和处理。在RAM 1303中,还可存储电子设备1300操作所需的各种程序和数据。计算单元1301、ROM 1302以及RAM 1303通过总线1304彼此相连。输入/输出(I/O)接口(图13以I/O接口1305为例)也连接至总线1304。
电子设备1300中的多个部件连接至I/O接口1305,包括:输入单元1306,例如键盘、鼠标等;输出单元1307,例如各种类型的显示器、扬声器等;存储单元1308,例如磁盘、光盘等;以及通信单元1309,例如网卡、调制解调器、无线通信收发机等。通信单元1309允许电子设备1300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元1301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1301的一些示例包括但不限于中央处理单元(Central Processing Unit,CPU)、图形处理单元(Graphic Processing Unit,GPU)、各种专用的人工智能(ArtificialIntelligence,AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(Digital Signal Process,DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1301执行上文所描述的各个方法和处理,例如密钥处理方法。例如,在一些实施例中,密钥处理方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元1308。在一些实施例中,计算机程序的部分或者全部可以经由ROM 1302和/或通信单元1309而被载入和/或安装到电子设备1300上。当计算机程序加载到RAM 1303并由计算单元1301执行时,可以执行上文描述的密钥处理方法的一个或多个步骤。备选地,在其他实施例中,计算单元1301可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行密钥处理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(Field Program Gate Array,FPGA)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、专用标准产品(Application Specific StandardParts,ASSP)、芯片上系统的系统(System On a Chip,SOC)、复杂可编程逻辑设备(ComplexProgramming Logic Device,CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(Local Area Network,LAN)、广域网(Wide Area Network,WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务("Virtual Private Server",或简称"VPS")中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (39)

1.一种密钥处理方法,应用于终端,包括:
接收来自服务端的经通信密钥加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;
通过所述通信密钥对所述加密的目标存储密钥进行解密,得到所述目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密。
2.根据权利要求1所述的密钥处理方法,所述通过所述通信密钥对所述加密的目标存储密钥进行解密,得到所述目标存储密钥之后,还包括:
对所述目标存储密钥与所述终端本地的存储密钥进行冲突校验,确定所述目标存储密钥与所述终端本地的存储密钥是否冲突;
如果所述目标存储密钥与所述终端本地的存储密钥冲突,则将所述终端本地的存储密钥更新为所述目标存储密钥。
3.根据权利要求2所述的密钥处理方法,其中,所述对所述目标存储密钥与所述终端本地的存储密钥进行冲突校验,确定所述目标存储密钥与所述终端本地的存储密钥是否冲突,包括:
如果所述终端本地的存储密钥为空或者所述终端本地的存储密钥与所述目标存储密钥不同,则确定所述目标存储密钥与所述终端本地的存储密钥冲突,否则确定所述目标存储密钥与所述终端本地的存储密钥不冲突。
4.根据权利要求2所述的密钥处理方法,其中,所述将所述终端本地的存储密钥更新为所述目标存储密钥,包括:
向所述服务端发送校验消息,所述校验消息包括所述终端的终端标识和指示所述目标存储密钥与所述终端本地的存储密钥是否冲突的指示信息;
接收来自所述服务端的应答消息;
如果所述应答消息指示所述终端更新用于数据存储加密的存储密钥,则将所述终端本地的存储密钥更新为所述目标存储密钥。
5.根据权利要求2所述的密钥处理方法,所述对所述目标存储密钥与所述终端本地的存储密钥进行冲突校验之前,还包括:
确定所述目标存储密钥的数据长度为设定长度。
6.根据权利要求1至5中任一项所述的密钥处理方法,所述接收来自服务端的经通信密钥加密的目标存储密钥之前,还包括:
向所述服务端发送所述终端的终端标识,所述终端标识用于生成所述终端用于数据存储加密的存储密钥。
7.根据权利要求1至5中任一项所述的密钥处理方法,所述通信密钥为对称密钥,所述接收来自服务端的第一消息之前,还包括:
通过非对称密钥中的公钥对所述通信密钥进行加密,得到加密的通信密钥,所述非对称密钥中的私钥位于所述服务端;
向所述服务端发送所述加密的通信密钥。
8.根据权利要求7所述的密钥处理方法,所述通过非对称密钥中的公钥对所述通信密钥进行加密,得到加密的通信密钥之前,还包括:
响应于所述终端与所述服务端之间建立通信连接,生成所述通信密钥,所述通信密钥用于所述通信连接上传输数据的加密。
9.根据权利要求8所述的密钥处理方法,所述响应于所述终端与所述服务端之间建立通信连接,生成所述通信密钥,包括:
在建立所述通信连接后,接收来自所述服务端的公钥;
响应于接收到所述公钥,生成所述通信密钥。
10.一种密钥处理方法,应用于服务端,包括:
为终端生成对应的目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密;
通过通信密钥对所述目标存储密钥进行加密,得到加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;
向所述终端发送所述加密的目标存储密钥。
11.根据权利要求10所述的密钥处理方法,其中,所述为终端生成对应的目标存储密钥,包括:
根据所述终端的终端标识,生成所述目标存储密钥。
12.根据权利要求10所述的密钥处理方法,所述向所述终端发送所述加密的目标存储密钥之后,还包括:
接收所述终端发送的校验消息,所述校验消息包括所述终端的终端标识和指示所述目标存储密钥与所述终端本地的存储密钥是否冲突的指示信息;
响应于所述校验消息,向所述终端发送应答消息,所述应答消息指示所述终端更新用于数据存储加密的存储密钥,或者,所述应答消息指示所述终端不更新用于数据存储加密的存储密钥。
13.根据权利要求12所述的密钥处理方法,其中,所述响应于所述校验消息,向所述终端发送应答消息,包括:
如果所述指示信息指示所述目标存储密钥与所述终端本地的存储密钥冲突,则将所述终端在过去使用过的存储密钥与所述目标存储密钥进行比较;
如果所述终端在过去使用过的存储密钥中不存在与所述目标存储密钥相同的存储密钥,则向所述终端发送指示所述终端更新用于数据存储加密的存储密钥的应答消息,否则向所述终端发送指示所述终端不更新用于数据存储加密的存储密钥的应答消息。
14.根据权利要求12所述的密钥处理方法,其中,所述响应于所述校验消息,向所述终端发送应答消息,包括:
如果所述指示信息指示所述目标存储密钥与所述终端本地的存储密钥不冲突,则向所述终端发送指示所述终端不更新用于数据存储加密的存储密钥的应答消息。
15.根据权利要求10至14中任一项所述的密钥处理方法,所述通信密钥为对称密钥,所述通过通信密钥对所述目标存储密钥进行加密,得到加密的目标存储密钥之前,还包括:
接收来自所述终端的经公钥加密的通信密钥;
通过所述公钥所属的非对称密钥中的私钥,对所述加密的通信密钥进行解密,得到所述通信密钥。
16.根据权利要求15所述的密钥处理方法,其中,所述接收来自所述终端的经公钥加密的通信密钥,包括:
响应于所述终端与所述服务端之间建立通信连接,接收经所述公钥加密的通信密钥,所述通信密钥用于所述通信连接上传输数据的加密。
17.根据权利要求16所述的密钥处理方法,其中,所述响应于所述终端与所述服务端之间建立通信连接,接收经所述公钥加密的通信密钥,包括:
响应于所述通信连接的建立,向所述终端发送所述公钥;
接收所述终端返回的经所述公钥加密的通信密钥。
18.根据权利要求15所述的密钥处理方法,还包括:
响应于非对称密钥更新指令,更新所述公钥和所述私钥;
向所述终端发送更新后的公钥。
19.一种密钥处理装置,应用于终端,包括:
密钥接收单元,用于接收来自服务端的经通信密钥加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;
密钥解密单元,用于通过所述通信密钥对所述加密的目标存储密钥进行解密,得到所述目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密。
20.根据权利要求19所述的密钥处理装置,还包括:
冲突校验单元,用于对所述目标存储密钥与所述终端本地的存储密钥进行冲突校验,确定所述目标存储密钥与所述终端本地的存储密钥是否冲突;
存储密钥更新单元,用于如果所述目标存储密钥与所述终端本地的存储密钥冲突,则将所述终端本地的存储密钥更新为所述目标存储密钥。
21.根据权利要求20所述的密钥处理装置,其中,所述冲突校验单元包括:
冲突校验模块,用于如果所述终端本地的存储密钥为空或者所述终端本地的存储密钥与所述目标存储密钥不同,则确定所述目标存储密钥与所述终端本地的存储密钥冲突,否则确定所述目标存储密钥与所述终端本地的存储密钥不冲突。
22.根据权利要求20所述的密钥处理装置,其中,所述存储密钥更新单元包括:
校验消息发送模块,用于向所述服务端发送校验消息,所述校验消息包括所述终端的终端标识和指示所述目标存储密钥与所述终端本地的存储密钥是否冲突的指示信息;
应答消息接收模块,用于接收来自所述服务端的应答消息;
存储密钥更新模块,用于如果所述应答消息指示所述终端更新用于数据存储加密的存储密钥,则将所述终端本地的存储密钥更新为所述目标存储密钥。
23.根据权利要求20所述的密钥处理装置,还包括:
长度判断单元,用于确定所述目标存储密钥的数据长度为设定长度。
24.根据权利要求19至23中任一项所述的密钥处理装置,还包括:
终端标识发送单元,用于向所述服务端发送所述终端的终端标识,所述终端标识用于生成所述终端用于数据存储加密的存储密钥。
25.根据权利要求19至23中任一项所述的密钥处理装置,所述通信密钥为对称密钥,所述密钥处理装置还包括:
通信密钥加密单元,用于通过非对称密钥中的公钥对所述通信密钥进行加密,得到加密的通信密钥,所述非对称密钥中的私钥位于所述服务端;
通信密钥发送单元,用于向所述服务端发送所述加密的通信密钥。
26.根据权利要求25所述的密钥处理装置,还包括:
通信密钥生成单元,用于响应于所述终端与所述服务端之间建立通信连接,生成所述通信密钥,所述通信密钥用于所述通信连接上传输数据的加密。
27.根据权利要求26所述的密钥处理装置,所述通信密钥生成单元包括:
公钥接收模块,用于在建立所述通信连接后,接收来自所述服务端的公钥;
通信密钥生成模块,用于响应于接收到所述公钥,生成所述通信密钥。
28.一种密钥处理装置,应用于服务端,包括:
存储密钥生成单元,用于为终端生成对应的目标存储密钥,所述目标存储密钥用于所述终端上本地数据的加密;
存储密钥加密单元,用于通过通信密钥对所述目标存储密钥进行加密,得到加密的目标存储密钥,所述通信密钥用于所述终端与所述服务端之间传输数据的加密;
存储密钥发送单元,用于向所述终端发送所述加密的目标存储密钥。
29.根据权利要求28所述的密钥处理装置,其中,所述存储密钥生成单元包括:
存储密钥生成模块,用于根据所述终端的终端标识,生成所述目标存储密钥。
30.根据权利要求28所述的密钥处理装置,还包括:
校验消息接收单元,用于接收所述终端发送的校验消息,所述校验消息包括所述终端的终端标识和指示所述目标存储密钥与所述终端本地的存储密钥是否冲突的指示信息;
应答消息发送单元,用于响应于所述校验消息,向所述终端发送应答消息,所述应答消息指示所述终端更新用于数据存储加密的存储密钥,或者,所述应答消息指示所述终端不更新用于数据存储加密的存储密钥。
31.根据权利要求30所述的密钥处理装置,其中,所述应答消息发送单元包括:
密钥比较模块,用于如果所述指示信息指示所述目标存储密钥与所述终端本地的存储密钥冲突,则将所述终端在过去使用过的存储密钥与所述目标存储密钥进行比较;
第一应答消息发送模块,用于如果所述终端在过去使用过的存储密钥中不存在与所述目标存储密钥相同的存储密钥,则向所述终端发送指示所述终端更新用于数据存储加密的存储密钥的应答消息,否则向所述终端发送指示所述终端不更新用于数据存储加密的存储密钥的应答消息。
32.根据权利要求30所述的密钥处理装置,其中,所述应答消息发送单元包括:
第二应答消息发送模块,用于如果所述指示信息指示所述目标存储密钥与所述终端本地的存储密钥冲突,则向所述终端发送指示所述终端不更新用于数据存储加密的存储密钥的应答消息。
33.根据权利要求28至32中任一项所述的密钥处理装置,所述通信密钥为对称密钥,所述密钥处理装置还包括:
通信密钥接收单元,用于接收来自所述终端的经公钥加密的通信密钥;
通信密钥解密单元,用于通过所述公钥所属的非对称密钥中的私钥,对所述加密的通信密钥进行解密,得到所述通信密钥。
34.根据权利要求33所述的密钥处理装置,其中,所述通信密钥接收单元包括:
通信密钥接收模块,用于响应于所述终端与所述服务端之间建立通信连接,接收经所述公钥加密的通信密钥,所述通信密钥用于所述通信连接上传输数据的加密。
35.根据权利要求34所述的密钥处理装置,其中,所述通信密钥接收模块包括:
公钥发送子模块,用于响应于所述通信连接的建立,向所述终端发送所述公钥;
通信密钥接收子模块,用于接收所述终端返回的经所述公钥加密的通信密钥。
36.根据权利要求33所述的密钥处理装置,还包括:
非对称密钥更新单元,用于响应于非对称密钥更新指令,更新所述公钥和所述私钥;
更新公钥发送单元,用于向所述终端发送更新后的公钥。
37.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行根据权利要求1至9中任一项所述的密钥处理方法,或者,执行根据权利要求10至18中任一项所述的密钥处理方法。
38.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1至9中任一项所述的密钥处理方法,或者执行根据权利要求10至18中任一项所述的密钥处理方法。
39.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1至9中任一项所述的密钥处理方法的步骤,或者,实现根据权利要求10至18中任一项所述的密钥处理方法的步骤。
CN202310611200.XA 2023-05-26 2023-05-26 密钥处理方法、装置、设备及存储介质 Pending CN116405317A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310611200.XA CN116405317A (zh) 2023-05-26 2023-05-26 密钥处理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310611200.XA CN116405317A (zh) 2023-05-26 2023-05-26 密钥处理方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116405317A true CN116405317A (zh) 2023-07-07

Family

ID=87020092

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310611200.XA Pending CN116405317A (zh) 2023-05-26 2023-05-26 密钥处理方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116405317A (zh)

Similar Documents

Publication Publication Date Title
CN108833101B (zh) 物联网设备的数据传输方法、物联网设备及认证平台
US20190236300A1 (en) Service processing method and apparatus, data sharing system, and storage medium
US10064025B2 (en) Offline peer-assisted notification delivery
CN106790221B (zh) 一种英特网协议安全IPSec协议加密方法和网络设备
JP7375074B2 (ja) 車両の通信方法、装置、及び電子機器
CN111355684A (zh) 一种物联网数据传输方法、装置、系统、电子设备及介质
CN104216761A (zh) 一种在能够运行两种操作系统的装置中使用共享设备的方法
IL268328A (en) Device, system and method for transport management
CN114095277A (zh) 配电网安全通信方法、安全接入设备及可读存储介质
CN113791792A (zh) 应用调用信息的获取方法、设备以及存储介质
CN111182050B (zh) 一种实现应用与服务器间通信的方法与设备
CN116405317A (zh) 密钥处理方法、装置、设备及存储介质
CN113938883B (zh) 基于中间节点的数据加密发送方法及装置
US10681755B2 (en) Routing method and network entity performing same
CN113422754A (zh) 数据处理方法和装置、电子设备及计算机可读存储介质
CN113068190A (zh) 一种信息分享方法和装置
CN113919511A (zh) 联邦学习方法及装置
CN113763646A (zh) 设备控制方法、装置、电子设备和计算机可读介质
CN110581888A (zh) 物联网终端安全会话的管理方法、网关和系统
CN113014610A (zh) 一种远程访问方法、装置及系统
CN113301542B (zh) 配对连接方法、装置、存储介质及电子设备
US11281599B2 (en) Shared peripheral devices
CN116318727B (zh) 一种ecu访问方法、装置、设备及存储介质
KR102626868B1 (ko) 키 격리 기반의 서명 방법 및 시스템
CN114580665B (zh) 一种联邦学习系统、方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination