CN116846662A - 一种网络数据的安全操作方法、装置、设备及存储介质 - Google Patents

一种网络数据的安全操作方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116846662A
CN116846662A CN202310925459.1A CN202310925459A CN116846662A CN 116846662 A CN116846662 A CN 116846662A CN 202310925459 A CN202310925459 A CN 202310925459A CN 116846662 A CN116846662 A CN 116846662A
Authority
CN
China
Prior art keywords
data
key
application side
encrypted
transmission time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310925459.1A
Other languages
English (en)
Inventor
王小军
高翔
翁武焰
廖秀聆
赖孝友
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Zhongxin Wang 'an Information Technology Co ltd
Original Assignee
Fujian Zhongxin Wang 'an Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Zhongxin Wang 'an Information Technology Co ltd filed Critical Fujian Zhongxin Wang 'an Information Technology Co ltd
Priority to CN202310925459.1A priority Critical patent/CN116846662A/zh
Publication of CN116846662A publication Critical patent/CN116846662A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供的一种网络数据的安全操作方法、装置、设备及存储介质,包括步骤:接收应用侧基于服务侧公钥的加密数据,采用自身私钥对加密数据进行解密以得到密钥序列,并返回应答数据给应用侧;根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥;获取第一数据明文,使用临时对称密钥对第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与应用侧的数据加密传输。本发明能够同时保证网络数据的传输安全性和处理及时性。

Description

一种网络数据的安全操作方法、装置、设备及存储介质
技术领域
本发明涉及数据安全技术领域,特别涉及一种网络数据的安全操作方法、装置、设备及存储介质。
背景技术
随着数据资产和数据隐私保护的兴起,人们越来越重视网络数据的安全性。具体到不同应用侧之间的数据传输过程中,涉及到网络数据的安全性包括有保证网络数据在传输过程中的来源合法性、不可篡改、不可伪造、不可窃取等等。
现有对于网络数据的安全操作方法通常是数据加密,其中数据加密算法包括对称加密算法、非对称加密算法等可逆算法以及哈希函数、消息摘要等不可逆算法,但每一种单独的加密算法都有对应的应用场景和存在的缺陷。其中,对称加密算法是发送和接收数据的双方均使用相同的密钥对明文进行加密和解密运算,其加解密速度较快,但安全性能一般。而非对称加密算法是通过公开的公钥进行加密,通过私密的私钥进行解密,其安全性能更高,但加解密速度一般。在此基础上诞生的数字签名,则进一步提高其安全性,但也进一步降低了加解密速度。因此,在跨网络通信的场景中各有侧重使用。
在现有技术中,服务侧和应用侧之间若采用非对称加密算法进行网络数据的加解密,则会受限于应用侧的性能而影响数据的处理速度;若采用对称加密算法进行网络数据的加解密,则存在对称密钥在传输过程和存储过程的安全性问题,设备端的对称密钥一旦泄露,则后续的所有数据传输就都存在安全性问题。因此,现有急需一种能够同时保证网络数据的传输安全性和处理及时性的操作方法。
发明内容
为了解决现有技术的上述问题,本发明提供一种网络数据的操作方法、装置、设备及存储介质,能够同时保证网络数据的传输安全性和处理及时性。
为了达到上述目的,本发明采用的技术方案为:
第一方面,本发明提供一种网络数据的安全操作方法,包括步骤:
接收应用侧基于服务侧公钥的加密数据,采用自身私钥对所述加密数据进行解密以得到密钥序列,并返回应答数据给所述应用侧,所述应答数据用于所述应用侧根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥,所述主密钥的字符长度大于所述临时对称密钥的字符长度;
根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥;
获取第一数据明文,使用所述临时对称密钥对所述第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与所述应用侧的数据加密传输。
本发明的有益效果在于:通过在应用侧和服务侧都存储有主密钥,而通信过程中所采用的临时对称密钥是基于主密钥和一密钥序列进行生成的,由于密钥序列和选取方法的多样性,使得临时对称密钥是动态且不可预测的,因此能够解决对称密钥在存储过程的安全性问题,而进行传输的仅是密钥序列而已,并非是加解密使用的对称密钥,且是通过非对称加密算法进行传输,因此能保证了其在传输过程中的安全性问题,从而能够同时保证网络数据的传输安全性和处理及时性。
可选地,所述根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥具体包括:
按照预设运算方式对所述加密数据的时间戳和所述应答数据的时间戳进行处理,得到一个小于所述主密钥的字符长度的起始数字;
将所述主密钥上所述起始数字处的字符作为所述临时对称密钥的起始字符;
从所述主密钥上所述起始数字处开始,按照与所述临时对称密钥的字符长度差一的密钥序列上的每一个数字进行依次偏移来获取对应字符,直至得到临时对称密钥,所述密钥序列在生成时不包括0或者将0作为进制数,所述偏移在到达所述主密钥的最后一个字符时返回至第一个字符继续。
根据上述描述可知,基于双方的时间戳进行运算得到的起始数字,基于密钥序列在主密钥上进行偏移来得到临时对称密钥,使得密钥序列本身并不是生成临时对称密钥的唯一依据,依靠时间戳的隐蔽性能够进一步提高临时对称密钥的安全性。
可选地,若所述应用侧存在应用侧公钥和应用侧私钥,则所述接收应用侧基于服务侧公钥的加密数据,采用自身私钥对所述加密数据进行解密以得到密钥序列,并返回一应答数据给所述应用侧包括:
接收应用侧基于数字签名和随机密钥的加密数据,采用自身私钥对所述加密数据进行解密得到加密密文和随机密钥,采用随机密钥对所述加密密文进行解密得到密钥序列和数字签名,采用应用侧私钥进行数字签名的解密得到第一信息摘要,之后对所述密钥序列进行哈希运算,得到第二信息摘要,若所述第一信息摘要和所述第二信息摘要一致,则返回应答数据给所述应用侧,否则返回安全预警数据给所述应用侧。
根据上述描述可知,数字签名的安全性更高,以提高密钥序列在传输过程中的安全性。
可选地,所述返回应答数据给所述应用侧包括:采用所述应用侧公钥对应答数据进行加密之后返回给所述应用侧。
可选地,所述密钥序列为随机数。
可选地,所述使用所述临时对称密钥对所述第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与所述应用侧的数据加密传输还包括步骤:
使用所述临时对称密钥对所述第一数据明文进行加密,得到第一数据密文;
在发送所述第一数据密文的前后分别发送一个心跳包至应用侧;
接收应用侧所发送的对应心跳包的应答数据以及应用侧所发送的对应第一数据密文的第二数据密文;
通过前后两个心跳包的发送时间戳和对应的所述应答数据的接收时间戳之间的差值得到前后两个理论传输时间,并通过所述第一数据密文的发送时间戳和所述第二数据密文的接收时间戳之间的差值得到数据传输时间;
根据前后两个理论传输时间来判断所述数据传输时间是否合理,若是不合理,则发出安全预警数据。
根据上述描述可知,通过前后两个心跳包的理论传输时间来确定待传输数据的所处的网络环境的通信性能,由此确定待传输数据的数据传输时间是否合理,以排除因为网络环境而导致的数据延迟,从而能够通过网络数据的传输时间差来检测是否存在数据窃取或者应用侧被监视的情况,以在发生数据安全事故时能够及时预警处理。
可选地,所述根据前后两个理论传输时间来判断所述数据传输时间是否合理包括:
对所述数据传输时间根据数据长度和加解密时间进行时间补偿之后得到已补偿传输时间,根据前后两个理论传输时间来判断所述已补偿传输时间是否合理。
第二方面,本发明提供一种网络数据的安全操作装置,包括:
获取模块,用于接收应用侧基于服务侧公钥的加密数据,采用自身私钥对所述加密数据进行解密以得到密钥序列,并返回应答数据给所述应用侧,所述应答数据用于所述应用侧根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥,所述主密钥的字符长度大于所述临时对称密钥的字符长度;
重构模块,用于根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥;
加密模块,用于获取第一数据明文,使用所述临时对称密钥对所述第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与所述应用侧的数据加密传输。
第三方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面的一种网络数据的安全操作方法。
第四方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被执行时,实现第一方面的一种网络数据的安全操作方法。
其中,第二方面所提供的一种网络数据的安全操作装置、第三方面所提供的一种电子设备和第四方面所提供的一种计算机可读存储介质所对应的技术效果参照第一方面所提供的一种网络数据的安全操作方法的相关描述。
附图说明
图1为本发明实施例一的一种网络数据的安全操作方法的主要流程示意图;
图2为本发明实施例一的一种网络数据的安全操作方法的应用框架示意图;
图3为本发明实施例二的一种网络数据的安全操作方法的主要流程示意图;
图4为本发明实施例三的一种网络数据的安全操作装置的结构示意图。
图5为本发明实施例四的一种电子设备的结构示意图。
具体实施方式
为了更好的理解上述技术方案,下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更清楚、透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明各实施例中的应用场景为服务侧和多个应用侧之间的通信场景,现有的服务侧和应用侧之间通常采用非对称加密算法或是对称加密算法进行网络数据的加解密,两者都无法同时保证网络数据的传输安全性和处理及时性。因此,本发明通过一事先约定的主密钥,并基于临时的密钥序列和约定的主密钥生成一临时对称密钥,从而在保留对称密钥的处理及时性上,又解决了对称密钥在传输过程和存储过程中的安全性。
下面通过多个实施例进行详细解释。
实施例一
请参照图1和图2,一种网络数据的安全操作方法,其包括步骤:
步骤100、接收应用侧基于服务侧公钥的加密数据,采用自身私钥对加密数据进行解密以得到密钥序列,并返回应答数据给应用侧,应答数据用于应用侧根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥,主密钥的字符长度大于临时对称密钥的字符长度;
其中,本实施例中的步骤是由服务器执行的。
如图2所示,应用侧和服务侧上都存储有事先约定的主密钥SK。由于主密钥并非是与每一个应用侧进行通信时所采用的对称密钥,因此,其在存储过程中泄露也不属于密钥泄露。但是,其作为临时对称密钥的生成基础,对于主密钥的安全存储在一定程度也能提高网络数据的安全通信,因此,本实施例对于主密钥在应用侧和服务侧中的存储进一步说明如下:
步骤1000、在预定的每一个存储位置上都存储有一个原始长密钥,每一个原始长密钥互不相同,所述存储位置至少包括有两个;
其中,按照时间至少包括年、季度、月、周、日、时、分等等,因此,存储位置可以有两个至七个。在本实施例中,考虑到的通信稳定性和通信安全性,需要避免密钥的频繁更新,因此,存储位置有三个,分别对应年、月、日,即有三个互不相同的原始长密钥。
步骤1001、获取当前时间中与每一个存储位置一一对应的时间参数,从原始长密钥上与时间参数数值等同的位置开始依据存储位置的个数进行间隔取值,得到原始子密钥,将所有存储位置的原始子密钥组合为最终的主密钥。
在本实施例中,当前时间的年、月、日即对应的时间参数,比如2023年7月6日,则时间参数分别为2023、7和6,而年是以2000年、公司成立年或者任意选定一个年份作为起始数,以减少不必要的密钥字符浪费,在本实施例中,以2018年为起始数。
此时,在对应年的存储位置上的原始长密钥从第六位开始每间隔两个就取一个数值,得到一个原始子密钥,其中,为了解释说明,以一原始长密钥16F5AC587415A……进行举例说明,原始长密钥的第六位为C,每间隔两个即分别得到7、5,因此,原始子密钥为C75……。同理可得,同理可以得到月和日对应的原始子密钥为53A……和224……。
其中,对于所有原始子密钥的组合可以直接按照年、月、日的时间顺序进行组合即可,比如C75……53A……224……。
由此,原始子密钥的字符长度为所需的主密钥的字符长度的三分之一左右,因此,原始长密钥的字符长度和所需的主密钥的字符长度基本等长,从而在一定程度能够保护主密钥。
应用侧在需要与服务器进行安全通信时,按照上述步骤得到主密钥,之后自行生成一个随机数作为密钥序列,通过服务侧公钥PUKs将密钥序列进行加密之后传输到服务侧,服务侧采用自身私钥对加密数据进行解密以得到密钥序列,并返回应答数据给应用侧。
其中,若应用侧存在应用侧公钥和应用侧私钥,即如图2所示的,应用侧A1有应用侧公钥PUK1和应用侧私钥PRK1、应用侧A2有应用侧公钥PUK2和应用侧私钥PRK2……应用侧An有应用侧公钥PUKn和应用侧私钥PRKn,同时,每一个应用侧A1至An都存储有服务侧公钥PUKs。而服务侧S除了自身的服务侧公钥PUKs和服务侧私钥PRKs,还包括每一个应用侧A1至An的应用侧公钥PUK1……应用侧公钥PUKn
则接收应用侧基于服务侧公钥的加密数据,采用自身私钥对加密数据进行解密以得到密钥序列,并返回一应答数据给应用侧包括:
接收应用侧基于数字签名和随机密钥的加密数据,采用自身私钥对加密数据进行解密得到加密密文和随机密钥,采用随机密钥对加密密文进行解密得到密钥序列和数字签名,采用应用侧私钥进行数字签名的解密得到第一信息摘要,之后对密钥序列进行哈希运算,得到第二信息摘要,若第一信息摘要和第二信息摘要一致,则返回应答数据给应用侧,否则返回安全预警数据给应用侧。
即对于密钥序列的传输可以采用数字签名来进一步提高密钥序列在传输过程中的安全性。
同时,返回应答数据给应用侧包括:采用应用侧公钥对应答数据进行加密之后返回给应用侧。
其中,应答数据作为双方通信的一个确认凭证,使得应用侧在收到应答数据时开始使用主密钥、密钥序列和事先约定的选取方法来重构一个临时对称密钥,而同时,服务侧在发送应答数据时也开始临时对称密钥的序列生成,具体见下列步骤101。
步骤101、根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥;
在本实施例中,步骤101具体包括:
步骤1010、按照预设运算方式对加密数据的时间戳和应答数据的时间戳进行处理,得到一个小于主密钥的字符长度的起始数字;
其中,预设运算方式包括初始运算方式和最终运算方式,对于两个时间戳的初始运算方式包括但不限于:加、减、求平均值、取最大值、取最小值等等。对于初始运算方式得到的时间数值进行最终运算方式包括:使用时间数值来对主密钥的字符长度进行取模等等,最终运算方式保证所得到起始数字是小于主密钥的字符长度。
其中,在本实施例中,临时对称密钥是16个字符长度,则主密钥的字符长度至少为16个以上,一个合理的数值范围在320以上,在本实施例中为1024个字符长度。在本实施例中,起始数字为185。
步骤1011、将主密钥上起始数字处的字符作为临时对称密钥的起始字符;
其中,则主密钥上第185位作为临时对称密钥的起始字符,本实施例在步骤1001中进行举例说明的主密钥为:C75……53A……224……未涉及到185位,因此,以主密钥在第185位起始的字符串举例为:……84652F6565FD546B……。
步骤1012、从主密钥上起始数字处开始,按照与临时对称密钥的字符长度差一的密钥序列上的每一个数字进行依次偏移来获取对应字符,直至得到临时对称密钥,密钥序列在生成时不包括0或者将0作为进制数,偏移在到达主密钥的最后一个字符时返回至第一个字符继续。
在本实施例中,需要的临时对称密钥是16个字符长度,因此,密钥序列为15位分别为5426852179563399,则临时对称密钥的起始字符为8,偏移5位之后为6,再次偏移4位之后为D,再次偏移2位之后为6,即得到临时对称密钥为86D6……。
由此,基于双方的时间戳进行运算得到的起始数字,基于密钥序列在主密钥上进行偏移来得到临时对称密钥,使得密钥序列本身并不是生成临时对称密钥的唯一依据,依靠时间戳的隐蔽性能够进一步提高临时对称密钥的安全性。
而基于主密钥的选取方法则可以通过硬件加密、防反编译等程序代码防止破解的现有技术进行保护。一方面,使用的对称密钥不需要考虑传输,就能够减少密钥传输过程中的安全风险,而进行传输的仅是密钥序列而已,且是通过非对称加密算法进行传输,因此,密钥序列的泄露风险也极低,从而解决了对称密钥的传输安全性问题;另一方面,由于密钥序列和选取方法的多样性,使得临时对称密钥是动态且不可预测的,且在本地存储的也只是主密钥,并非对称密钥,也能解决被其他软件取得访问权限之后就能获取对称密钥的安全风险,因此,本实施例能够解决现有对称密钥在传输过程和存储过程的安全性,从而能够同时保证网络数据的传输安全性和处理及时性。
步骤102、获取第一数据明文,使用临时对称密钥对第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与应用侧的数据加密传输。
由此,应用侧和服务侧都生成了一对相同的临时对称密钥,分别使用进行数据加密,就能够完成服务侧和应用侧的网络数据加密传输。
其中,对于临时对称密钥的有效期可以根据预设更新周期或者是根据通信数据量。
其中,虽然在选择密钥时需要花费一定时间,但是基于密钥的选择在内存中的运行的耗时是可以忽略不计的,相较于传统的一机一密的密钥方案来说,还需要每一次通信时去验证密钥来说反而速度更快。而且,临时对称密钥是基于通信的应用侧才生成的,也就是说,在用户未使用该应用程序时是不需要存储临时对称密钥,因此,对于临时对称密钥的存储压力也会小于一机一密的密钥方案,且还实现了周期性的密钥更新。
实施例二
请参照图3,本实施例在上述实施例一的基础上,在本实施例中,使用临时对称密钥对第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与应用侧的数据加密传输还包括步骤:
步骤200、使用临时对称密钥对第一数据明文进行加密,得到第一数据密文;
步骤201、在发送第一数据密文的前后分别发送一个心跳包至应用侧;
其中,心跳包是非常简单的一个数据包,里面仅包含双方约定的一些基础数据,甚至是空数据。能够尽可能地减少对应用侧的性能占用。
步骤202、接收应用侧所发送的对应心跳包的应答数据以及应用侧所发送的对应第一数据密文的第二数据密文;
步骤203、通过前后两个心跳包的发送时间戳和对应的应答数据的接收时间戳之间的差值得到前后两个理论传输时间,并通过第一数据密文的发送时间戳和第二数据密文的接收时间戳之间的差值得到数据传输时间;
步骤204、根据前后两个理论传输时间来判断数据传输时间是否合理,若是不合理,则发出安全预警数据。
其中,根据前后两个理论传输时间来判断数据传输时间是否合理包括:
对数据传输时间根据数据长度和加解密时间进行时间补偿之后得到已补偿传输时间,根据前后两个理论传输时间来判断已补偿传输时间是否合理。
其中,抛开数据传输时间,根据数据长度和加解密时间进行时间补偿可以通过对应用侧的过往数据进行统计分析得到,包括但不限于先过滤无效数据、时间过长数据、时间过短数据等等,之后聚合与当前场景相似的所有数据进行统计分析。
由此,通过前后两个心跳包的理论传输时间来确定待传输数据的所处的网络环境的通信性能,由此确定待传输数据的数据传输时间是否合理,以排除因为网络环境而导致的数据延迟,从而能够通过网络数据的传输时间差来检测是否存在数据窃取或者应用侧被监视的情况,以在发生数据安全事故时能够及时预警处理。
在本实施例中,上述步骤200至步骤204可以根据一定的条件进行启动,以下提供三种方式进行说明启动条件:
(1)在应用侧上设置有操作键供用户选择是否启动。
(2)按照预设周期进行启动。
(3)在数据延迟、数据错乱等异常情况下启动。
在本实施例中,在启动时,应用侧使用临时对称密钥对约定数值进行加密,并设置该约定数值在被访问时进行计数,生成一个探测包,服务侧对探测包进行解密之后判断约定数值是否合理,若是合理则再发送实际的网络数据。
实施例三
请参照图4,一种网络数据的安全操作装置,包括:
获取模块,用于接收应用侧基于服务侧公钥的加密数据,采用自身私钥对加密数据进行解密以得到密钥序列,并返回应答数据给应用侧,应答数据用于应用侧根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥,主密钥的字符长度大于临时对称密钥的字符长度;
重构模块,用于根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥;
加密模块,用于获取第一数据明文,使用临时对称密钥对第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与应用侧的数据加密传输。
其中,获取模块、重构模块和加密模块的具体执行步骤参照上述实施例一或二。
实施例四
请参照图5,一种电子设备,包括存储器401、处理器400及存储在存储器401上并可在处理器400上运行的计算机程序,处理器400执行计算机程序时实现上述实施例一或二中的方法。
实施例五
一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被执行时,实现上述实施例一或二中的方法。
由于本发明上述实施例所描述的系统/装置,为实施本发明上述实施例的方法所采用的系统/装置,故而基于本发明上述实施例所描述的方法,本领域所属技术人员能够了解该系统/装置的具体结构及变形,因而在此不再赘述。凡是本发明上述实施例的方法所采用的系统/装置都属于本发明所欲保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例,或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。
应当注意的是,在权利要求中,不应将位于括号之间的任何附图标记理解成对权利要求的限制。词语“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的词语“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的权利要求中,这些装置中的若干个可以是通过同一个硬件来具体体现。词语第一、第二、第三等的使用,仅是为了表述方便,而不表示任何顺序。可将这些词语理解为部件名称的一部分。
此外,需要说明的是,在本说明书的描述中,术语“一个实施例”、“一些实施例”、“实施例”、“示例”、“具体示例”或“一些示例”等的描述,是指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管已描述了本发明的优选实施例,但本领域的技术人员在得知了基本创造性概念后,则可对这些实施例作出另外的变更和修改。所以,权利要求应该解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种修改和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也应该包含这些修改和变型在内。

Claims (10)

1.一种网络数据的安全操作方法,其特征在于,包括步骤:
接收应用侧基于服务侧公钥的加密数据,采用自身私钥对所述加密数据进行解密以得到密钥序列,并返回应答数据给所述应用侧,所述应答数据用于所述应用侧根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥,所述主密钥的字符长度大于所述临时对称密钥的字符长度;
根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥;
获取第一数据明文,使用所述临时对称密钥对所述第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与所述应用侧的数据加密传输。
2.根据权利要求1所述的一种网络数据的安全操作方法,其特征在于,所述根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥具体包括:
按照预设运算方式对所述加密数据的时间戳和所述应答数据的时间戳进行处理,得到一个小于所述主密钥的字符长度的起始数字;
将所述主密钥上所述起始数字处的字符作为所述临时对称密钥的起始字符;
从所述主密钥上所述起始数字处开始,按照与所述临时对称密钥的字符长度差一的密钥序列上的每一个数字进行依次偏移来获取对应字符,直至得到临时对称密钥,所述密钥序列在生成时不包括0或者将0作为进制数,所述偏移在到达所述主密钥的最后一个字符时返回至第一个字符继续。
3.根据权利要求1所述的一种网络数据的安全操作方法,其特征在于,若所述应用侧存在应用侧公钥和应用侧私钥,则所述接收应用侧基于服务侧公钥的加密数据,采用自身私钥对所述加密数据进行解密以得到密钥序列,并返回一应答数据给所述应用侧包括:
接收应用侧基于数字签名和随机密钥的加密数据,采用自身私钥对所述加密数据进行解密得到加密密文和随机密钥,采用随机密钥对所述加密密文进行解密得到密钥序列和数字签名,采用应用侧私钥进行数字签名的解密得到第一信息摘要,之后对所述密钥序列进行哈希运算,得到第二信息摘要,若所述第一信息摘要和所述第二信息摘要一致,则返回应答数据给所述应用侧,否则返回安全预警数据给所述应用侧。
4.根据权利要求3所述的一种网络数据的安全操作方法,其特征在于,所述返回应答数据给所述应用侧包括:采用所述应用侧公钥对应答数据进行加密之后返回给所述应用侧。
5.根据权利要求1所述的一种网络数据的安全操作方法,其特征在于,所述密钥序列为随机数。
6.根据权利要求1至5任一项所述的一种网络数据的安全操作方法,其特征在于,所述使用所述临时对称密钥对所述第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与所述应用侧的数据加密传输还包括步骤:
使用所述临时对称密钥对所述第一数据明文进行加密,得到第一数据密文;
在发送所述第一数据密文的前后分别发送一个心跳包至应用侧;
接收应用侧所发送的对应心跳包的应答数据以及应用侧所发送的对应第一数据密文的第二数据密文;
通过前后两个心跳包的发送时间戳和对应的所述应答数据的接收时间戳之间的差值得到前后两个理论传输时间,并通过所述第一数据密文的发送时间戳和所述第二数据密文的接收时间戳之间的差值得到数据传输时间;
根据前后两个理论传输时间来判断所述数据传输时间是否合理,若是不合理,则发出安全预警数据。
7.根据权利要求6所述的一种网络数据的安全操作方法,其特征在于,所述根据前后两个理论传输时间来判断所述数据传输时间是否合理包括:
对所述数据传输时间根据数据长度和加解密时间进行时间补偿之后得到已补偿传输时间,根据前后两个理论传输时间来判断所述已补偿传输时间是否合理。
8.一种网络数据的安全操作装置,其特征在于,包括:
获取模块,用于接收应用侧基于服务侧公钥的加密数据,采用自身私钥对所述加密数据进行解密以得到密钥序列,并返回应答数据给所述应用侧,所述应答数据用于所述应用侧根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥,所述主密钥的字符长度大于所述临时对称密钥的字符长度;
重构模块,用于根据事先约定的选取方法和密钥序列从预先存储的主密钥中重构一个临时对称密钥;
加密模块,用于获取第一数据明文,使用所述临时对称密钥对所述第一数据明文进行加密,将加密后的第一数据密文发送至应用侧,以完成与所述应用侧的数据加密传输。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现以下权利要求1至7中任一项所述的一种网络数据的安全操作方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被执行时,实现如权利要求1至7中任一项所述的一种网络数据的安全操作方法。
CN202310925459.1A 2023-07-26 2023-07-26 一种网络数据的安全操作方法、装置、设备及存储介质 Pending CN116846662A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310925459.1A CN116846662A (zh) 2023-07-26 2023-07-26 一种网络数据的安全操作方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310925459.1A CN116846662A (zh) 2023-07-26 2023-07-26 一种网络数据的安全操作方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116846662A true CN116846662A (zh) 2023-10-03

Family

ID=88170805

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310925459.1A Pending CN116846662A (zh) 2023-07-26 2023-07-26 一种网络数据的安全操作方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116846662A (zh)

Similar Documents

Publication Publication Date Title
US11818262B2 (en) Method and system for one-to-many symmetric cryptography and a network employing the same
US7634659B2 (en) Roaming hardware paired encryption key generation
CA2747891C (en) Method for generating an encryption/decryption key
HU225077B1 (en) Method and apparatus for providing for the recovery of a cryptographic key
CN111371790B (zh) 基于联盟链的数据加密发送方法、相关方法、装置和系统
JP7353375B2 (ja) エポック鍵交換を用いたエンドツーエンドの二重ラチェット暗号化
CN109543443A (zh) 基于区块链的用户数据管理方法、装置、设备和存储介质
CN112165443B (zh) 一种多密钥信息加密解密方法、装置及存储介质
CN112702318A (zh) 一种通讯加密方法、解密方法、客户端及服务端
CN103414682A (zh) 一种数据的云端存储方法及系统
CN103986583A (zh) 一种动态加密方法及其加密通信系统
JP2022521525A (ja) データを検証するための暗号方法
Koko et al. Comparison of Various Encryption Algorithms and Techniques for improving secured data Communication
CN113014380B (zh) 文件数据的密码管理方法、装置、计算机设备及存储介质
JP2005252384A (ja) 暗号化データ保管サーバシステム、暗号化データ保管方法及び再暗号化方法
CN109962924B (zh) 群聊构建方法、群消息发送方法、群消息接收方法及系统
Pöpper et al. Keeping data secret under full compromise using porter devices
CN111510282A (zh) 信息加密算法、装置与信息解密算法、装置以及通讯方法
CN111131311A (zh) 基于区块链的数据传输方法及区块链节点
CN115834038A (zh) 基于国家商用密码算法的加密方法及装置
CN115396190A (zh) 一种数据加密的方法、解密方法及装置
CN116846662A (zh) 一种网络数据的安全操作方法、装置、设备及存储介质
CN100544248C (zh) 密钥数据收发方法
GB2446200A (en) Encryption system for peer-to-peer networks which relies on hash based self-encryption and mapping
CN112954388A (zh) 一种数据文件的获取方法、装置、终端设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination