CN116861461A - 数据处理方法、系统、装置、存储介质及电子设备 - Google Patents

数据处理方法、系统、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN116861461A
CN116861461A CN202310869273.9A CN202310869273A CN116861461A CN 116861461 A CN116861461 A CN 116861461A CN 202310869273 A CN202310869273 A CN 202310869273A CN 116861461 A CN116861461 A CN 116861461A
Authority
CN
China
Prior art keywords
data
service
initial vector
encrypted
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310869273.9A
Other languages
English (en)
Inventor
李平
梁亚女
陈燕妮
陈剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310869273.9A priority Critical patent/CN116861461A/zh
Publication of CN116861461A publication Critical patent/CN116861461A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据处理方法、系统、装置、存储介质及电子设备。涉及信息安全领域,该方法包括:获取第一业务系统待发送至第二业务系统的业务数据;利用目标算法对业务数据进行计算,得到第一校验信息;根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,其中,初始向量用于对待加密数据分组后的首个数据块进行加密;将加密密文和初始向量反馈给第一业务系统,其中,第一业务系统用于根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统。本发明解决了相关技术中对数据进行机密性以及完整性保护时,存在的处理效率低的技术问题。

Description

数据处理方法、系统、装置、存储介质及电子设备
技术领域
本发明涉及信息安全领域,具体而言,涉及一种数据处理方法、系统、装置、存储介质及电子设备。
背景技术
金融机构的设备或系统分布十分广泛,从数据中心的集中机房,到各个分支机构,部署在商场等各个外部机构的POS(point of sale,销售终端)、ATM(Automated TellerMachine,自动取款机),以及个人移动设备上的软件、网银等,为了保证客户交易在不同环节传输的安全,金融机构会使用密码技术对客户的信息进行传输机密性保护以及完整性保护。然而,相关技术中对数据进行机密性以及完整性保护时,其数据处理效率较低,从而难以满足金融机构的数据传输需求。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据处理方法、系统、装置、存储介质及电子设备,以至少解决相关技术中对数据进行机密性以及完整性保护时,存在的处理效率低的技术问题。
根据本发明实施例的一个方面,提供了一种数据处理方法,包括:获取第一业务系统待发送至第二业务系统的业务数据;利用目标算法对业务数据进行计算,得到第一校验信息,其中,第一校验信息用于校验业务数据的完整性;根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,其中,初始向量用于对待加密数据分组后的首个数据块进行加密;将加密密文和初始向量反馈给第一业务系统,其中,第一业务系统用于根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统。
进一步地,数据处理方法还包括:将第一校验信息确定为初始向量,或者,对第一校验信息进行信息抽取处理,得到第二校验信息,将第二校验信息确定为初始向量。
进一步地,数据处理方法还包括:对待加密数据进行分组,得到N个数据块,其中,N为大于1的正整数;将初始向量与N个数据块中的第一个数据块进行异或运算,得到第一运算结果;对第一运算结果进行加密处理,得到第一个密文块;将第一个密文块与N个数据块中的下一个数据块进行异或运算,得到第二运算结果;对第二运算结果进行加密处理,得到第二个密文块;重复执行将第二个密文块与N个数据块中的下一个数据块进行异或运算的步骤,直至得到第N个密文块的情况下,根据所有密文块确定加密密文。
进一步地,数据处理方法还包括:从密钥库中确定第一业务系统匹配的密钥,利用第一业务系统匹配的密钥对第一运算结果进行加密处理,得到第一个密文块。
进一步地,数据处理方法还包括:从密钥库中确定第二业务系统匹配的密钥,利用第二业务系统匹配的密钥对第一运算结果进行加密处理,得到第一个密文块。
进一步地,数据处理方法还包括:将初始向量设置在加密密文的头部,得到目标加密密文;将目标加密密文反馈给第一业务系统。
进一步地,第一业务系统用于在待加密数据为业务数据中的全部数据的情况下,根据加密密文和初始向量生成业务报文,在待加密数据为业务数据中的部分数据的情况下,根据加密密文、初始向量、业务数据中除待加密数据以外的数据生成业务报文。
根据本发明实施例的另一方面,还提供了一种数据处理方法,包括:获取第二业务系统发送的业务报文,其中,业务报文为利用上述的数据处理方法得到的;从业务报文中获取初始向量,根据初始向量,对业务报文中的加密密文进行解密处理,得到解密后的数据;利用初始向量对解密后的数据进行数据完整性验证,得到验证结果;在验证结果表征解密后的数据完整的情况下,将解密后的数据反馈给第二业务系统。
根据本发明实施例的另一方面,还提供了一种数据处理系统,包括:第一业务系统,用于将待发送至第二业务系统的业务数据发送给加密单元,并获取加密单元反馈的加密密文和初始向量,根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统;加密单元,用于获取业务数据,利用目标算法对业务数据进行计算,得到第一校验信息,根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,将加密密文和初始向量反馈给第一业务系统,其中,第一校验信息用于校验业务数据的完整性,初始向量用于对待加密数据分组后的首个数据块进行加密;第二业务系统,用于接收业务报文,并将业务报文发送给解密单元;解密单元,用于获取第二业务系统发送的业务报文,从业务报文中获取初始向量,根据初始向量,对业务报文中的加密密文进行解密处理,得到解密后的数据,利用初始向量对解密后的数据进行数据完整性验证,得到验证结果,在验证结果表征解密后的数据完整的情况下,将解密后的数据反馈给第二业务系统。
根据本发明实施例的另一方面,还提供了一种数据处理装置,包括:第一获取模块,用于获取第一业务系统待发送至第二业务系统的业务数据;计算模块,用于利用目标算法对业务数据进行计算,得到第一校验信息,其中,第一校验信息用于校验业务数据的完整性;加密模块,用于根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,其中,初始向量用于对待加密数据分组后的首个数据块进行加密;第一处理模块,用于将加密密文和初始向量反馈给第一业务系统,其中,第一业务系统用于根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统。
根据本发明实施例的另一方面,还提供了一种数据处理装置,包括:第二获取模块,用于获取第二业务系统发送的业务报文,其中,业务报文为利用上述的数据处理方法得到的;解密模块,用于从业务报文中获取初始向量,根据初始向量,对业务报文中的加密密文进行解密处理,得到解密后的数据;验证模块,用于利用初始向量对解密后的数据进行数据完整性验证,得到验证结果;第二处理模块,用于在验证结果表征解密后的数据完整的情况下,将解密后的数据反馈给第二业务系统。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的数据处理方法。
根据本发明实施例的另一方面,还提供了一种电子设备,电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的数据处理方法。
在本发明实施例中,采用根据业务数据的完整性保护的信息对业务数据进行机密性保护的方式,通过获取第一业务系统待发送至第二业务系统的业务数据,然后利用目标算法对业务数据进行计算,得到第一校验信息,接着根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,从而将加密密文和初始向量反馈给第一业务系统。其中,初始向量用于对待加密数据分组后的首个数据块进行加密,第一业务系统用于根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统。
在上述过程中,通过根据第一校验信息确定初始向量,避免了额外采用随机数生成算法生成初始向量,从而减少了对计算资源的占用,提高了对数据的处理效率。进一步地,通过将根据加密密文和初始向量生成的业务报文发送给第二业务系统,使得第二业务系统可以仅根据初始向量实现对接收的数据的解密以及完整性验证,由此,使得在对业务数据进行机密性保护和完整性保护时,生成的业务报文的字段数与仅进行机密性保护时生成的业务报文的字段数相同,从而避免了对业务系统进行多次改造,降低了数据传输成本,并可以有效减少数据传输量,进而进一步地提高了数据处理效率。
由此可见,本申请所提供的方案达到了根据业务数据的完整性保护的信息对业务数据进行机密性保护的目的,从而实现了提高数据处理效率的技术效果,进而解决了相关技术中对数据进行机密性以及完整性保护时,存在的处理效率低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的数据处理方法的流程图一;
图2是根据本发明实施例的一种可选的数据处理方法的流程图二;
图3是根据本发明实施例的一种可选的数据处理系统的工作示意图;
图4是根据本发明实施例的一种可选的数据处理方法的流程图三;
图5是根据本发明实施例的一种可选的数据处理装置的示意图一;
图6是根据本发明实施例的一种可选的数据处理装置的示意图二;
图7是根据本发明实施例的一种可选的电子设备的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
实施例1
根据本发明实施例,提供了一种数据处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种可选的数据处理方法的流程图一,如图1所示,该方法应用于加密单元,包括如下步骤:
步骤S101,获取第一业务系统待发送至第二业务系统的业务数据。
可选的,第一业务系统与第二业务系统之间存在业务关联,第一业务系统与第二业务系统在工作过程中传递业务数据以处理相关业务,例如,第一业务系统可以是ATM机,第二业务系统可以是金融机构的转账系统,第一业务系统待发送给业务系统的业务数据可以是用户的账户密码以及转账金额等,第二业务系统可以根据该业务数据办理转账业务。
其中,加密单元可以与第一业务系统进行数据通信,当第一业务系统想要给第二业务系统发送业务请求时,第一业务系统可以向加密单元发送数据处理请求,以请求对业务数据进行机密性和完整性保护。加密单元可以从数据处理请求中获取上述的业务数据。
步骤S102,利用目标算法对业务数据进行计算,得到第一校验信息,其中,第一校验信息用于校验业务数据的完整性。
其中,数据的完整性保护是为了防止数据被恶意篡改。加密单元可以采用HASH(哈希)或者CBC-MAC对业务数据进行计算,从而得到第一校验信息。其中,CBC-MAC是一种基于分组密码的消息认证码算法,且在本实施例中,第一校验信息为MAC(Messageauthentication code,消息认证码)。
步骤S103,根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,其中,初始向量用于对待加密数据分组后的首个数据块进行加密。
可选的,数据的机密性保护是为了保证数据内容无法被攻击方猜测。上述的密码分组链接模式(Cipher Block Chaining mode,CBC)在加密过程中会对待加密的数据进行分组,且通过初始向量对分组后的首个数据块进行加密。其中,数据处理系统可以根据第一业务系统发送的数据处理请求从业务数据中确定待加密数据,待加密数据可以是业务数据中的全部数据,也可以是业务数据中的部分数据,即业务数据中可能包含不需要加密的明文数据。
在本实施例中,可以根据第一校验信息确定初始向量,以实现对初始向量的快速确定。例如,将第一校验信息作为初始向量,又例如,依照预设的数学计算逻辑对第一校验信息进行计算,并将计算结果作为初始向量等。
需要说明的是,在相关技术中,初始向量一般通过随机数生成方式产生,因此,在加密过程中需要使用随机数生成算法生成初始向量,从而占用计算资源。而在本实施例中,根据第一校验信息确定初始向量,一方面,保证了初始向量的随机性,另一方面,减少了对计算资源的占用。此外,随机数生成算法调用不当会导致初始向量变得有规律而降低数据机密性,因此,通过根据第一校验信息确定初始向量还可以实现对数据机密性更有效的保护。
步骤S104,将加密密文和初始向量反馈给第一业务系统,其中,第一业务系统用于根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统。
其中,当确定了加密密文之后,加密单元可以直接将加密密文和初始向量反馈给第一业务系统,也可以按照预设的数据组合逻辑对加密密文和初始向量进行数据组合后,将组合后的数据反馈给第一业务系统。
需要说明的是,在相关技术中,为了保证业务数据的接收方能够有效对接收到的数据进行解密以及完整性验证,在向接收方发送业务报文时,需要在业务报文中加入用于完整性校验的信息和初始向量,从而会导致输出的业务报文中的字段个数明显增加。由于业务系统的通讯报文结构一般是固定的,因此,在字段数因机密性保护和完整性保护增加的情况下,需要对业务系统进行两次改造,从而增大数据传输成本。且部分业务系统由于系统老旧,并不支持改造以生成包含字段数过多的业务报文。
而在本申请中,由于初始向量为根据第一校验信息确定的,因此,通过将根据加密密文和初始向量生成的业务报文发送给第二业务系统,使得第二业务系统可以仅根据初始向量实现对接收的数据的解密以及完整性验证。由此,使得在对业务数据进行机密性保护和完整性保护时,生成的业务报文的字段数与仅进行机密性保护时生成的业务报文的字段数相同,从而避免了对业务系统进行多次改造,降低了数据传输成本,并可以有效减少数据传输量,从而提高了数据处理效率。
基于上述步骤S101至步骤S104所限定的方案,可以获知,在本发明实施例中,采用根据业务数据的完整性保护的信息对业务数据进行机密性保护的方式,通过获取第一业务系统待发送至第二业务系统的业务数据,然后利用目标算法对业务数据进行计算,得到第一校验信息,接着根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,从而将加密密文和初始向量反馈给第一业务系统。其中,初始向量用于对待加密数据分组后的首个数据块进行加密,第一业务系统用于根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统。
容易注意到的是,在上述过程中,通过根据第一校验信息确定初始向量,避免了额外采用随机数生成算法生成初始向量,从而减少了对计算资源的占用,提高了对数据的处理效率。进一步地,通过将根据加密密文和初始向量生成的业务报文发送给第二业务系统,使得第二业务系统可以仅根据初始向量实现对接收的数据的解密以及完整性验证,由此,使得在对业务数据进行机密性保护和完整性保护时,生成的业务报文的字段数与仅进行机密性保护时生成的业务报文的字段数相同,从而避免了对业务系统进行多次改造,降低了数据传输成本,并可以有效减少数据传输量,进而进一步地提高了数据处理效率。
由此可见,本申请所提供的方案达到了根据业务数据的完整性保护的信息对业务数据进行机密性保护的目的,从而实现了提高数据处理效率的技术效果,进而解决了相关技术中对数据进行机密性以及完整性保护时,存在的处理效率低的技术问题。
在一种可选的实施例中,在根据第一校验信息确定初始向量的过程中,数据处理系统可以将第一校验信息确定为初始向量,或者,对第一校验信息进行信息抽取处理,得到第二校验信息,将第二校验信息确定为初始向量。
可选的,在本实施例中,第一校验信息为MAC,由于在进行完整性校验时,可以根据完整的MAC或者部分的MAC进行完整校验,因此,在本实施例中,可以将第一校验信息或者第二校验信息确定为初始向量。
需要说明的是,通过直接将第一校验信息或第二校验信息作为初始向量,可以实现对初始向量的快速确定。
在一种可选的实施例中,在通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文的过程中,数据处理系统可以对待加密数据进行分组,得到N个数据块,然后将初始向量与N个数据块中的第一个数据块进行异或运算,得到第一运算结果,接着对第一运算结果进行加密处理,得到第一个密文块,将第一个密文块与N个数据块中的下一个数据块进行异或运算,得到第二运算结果,并对第二运算结果进行加密处理,得到第二个密文块,然后重复执行将第二个密文块与N个数据块中的下一个数据块进行异或运算的步骤,直至得到第N个密文块的情况下,根据所有密文块确定加密密文。其中,N为大于1的正整数。
可选的,在本实施例中,设置有存储了多个密钥的密钥库。数据处理系统可以从该密钥库中选择合适的密钥,对运算结果进行加密,以得到密文块。其中,每次加密使用的密钥相同。
可选的,在得到了第二个密文块之后,数据处理系统可以将第二个密文块与N个数据块中的第三个数据块进行异或运算,得到第三运算结果,然后对第三结果进行加密处理,得到第三个密文块,从而在得到第N个密文块的情况下,根据所有密文块确定加密密文。例如,将所有密文块按生成顺序进行排列并组合,得到加密密文。
需要说明的是,通过上述方式,实现了对待加密数据的有效加密,保证了业务数据的机密性。
在一种可选的实施例中,在对第一运算结果进行加密处理,得到第一个密文块的过程中,数据处理系统可以从密钥库中确定第一业务系统匹配的密钥,利用第一业务系统匹配的密钥对第一运算结果进行加密处理,得到第一个密文块。
其中,数据处理系统中预设有密钥库中的密钥与各业务系统之间的关联关系。数据处理系统可以根据关联关系从密钥库中查找到第一业务系统匹配的密钥。
需要说明的是,通过利用第一业务系统匹配的密钥进行加密处理,一方面,便于快速确定加密所需要使用的密钥,提高了数据处理效率,另一方面,便于第二业务系统快速查找到解密所需要使用的密钥,从而更进一步地提高数据处理效率。
在一种可选的实施例中,在对第一运算结果进行加密处理,得到第一个密文块的过程中,数据处理系统可以从密钥库中确定第二业务系统匹配的密钥,利用第二业务系统匹配的密钥对第一运算结果进行加密处理,得到第一个密文块。
可选的,数据处理系统可以根据密钥库中的密钥与各业务系统之间的关联关系从密钥库中查找到第二业务系统匹配的密钥。
需要说明的是,通过利用第二业务系统匹配的密钥进行加密处理,一方面,便于快速确定加密所需要使用的密钥,提高了数据处理效率,另一方面,便于第二业务系统快速查找到解密所需要使用的密钥,从而更进一步地提高数据处理效率。
在一种可选的实施例中,在将加密密文和初始向量反馈给第一业务系统的过程中,数据处理系统可以将初始向量设置在加密密文的头部,得到目标加密密文,从而将目标加密密文反馈给第一业务系统。
例如,若初始向量为[X1],加密密文为[X2],则目标加密密文为[X1+X2]。由此,便于第二业务系统快速确定初始向量,从而提高解密以及完整性校验的效率。
在一种可选的实施例中,第一业务系统用于在待加密数据为业务数据中的全部数据的情况下,根据加密密文和初始向量生成业务报文,在待加密数据为业务数据中的部分数据的情况下,根据加密密文、初始向量、业务数据中除待加密数据以外的数据生成业务报文。
可选的,若待加密数据为业务数据中的全部数据,则第一业务系统可以直接在加密密文和初始向量的基础上,结合第二业务系统的网络地址等信息生成业务报文。若待加密数据为业务数据中的部分数据,也即业务数据中还包括明文数据(即前述的业务数据中除待加密数据以外的数据),则第一业务系统可以将明文数据与加密密文和初始向量相结合,并在此基础上,结合第二业务系统的网络地址等信息生成业务报文。
需要说明的是,通过上述方式,可以实现对业务报文的有效确定,避免了业务数据漏发的现象发生。
由此可见,本申请所提供的方案达到了根据业务数据的完整性保护的信息对业务数据进行机密性保护的目的,从而实现了提高数据处理效率的技术效果,进而解决了相关技术中对数据进行机密性以及完整性保护时,存在的处理效率低的技术问题。
实施例2
根据本发明实施例,提供了一种数据处理方法的实施例,其中,图2是根据本发明实施例的一种可选的数据处理方法的流程图二,如图2所示,该方法应用于解密单元,包括:
步骤S201,获取第二业务系统发送的业务报文,其中,业务报文为利用实施例1中的数据处理方法得到的。
可选的,当第二业务系统获取到上述的第一业务系统发送的业务报文之后,第二业务系统可以向解密单元发送数据处理请求,以请求解密单元对业务报文进行解密,并进行完整性验证。
步骤S202,从业务报文中获取初始向量,根据初始向量,对业务报文中的加密密文进行解密处理,得到解密后的数据。
可选的,第二业务系统可以从业务报文中查找到初始向量,例如,从业务报文中查找到上述的目标加密密文,然后将目标加密密文中头部的数据确定为初始向量,又例如,根据标识信息查找到初始向量。
进一步地,解密单元可以从密钥库中获取对应的密钥,然后利用密钥和初始向量对业务报文中的加密密文进行解密,从而得到解密后的数据。
步骤S203,利用初始向量对解密后的数据进行数据完整性验证,得到验证结果。
可选的,由于在第一校验信息为MAC的情况下,无论MAC是否完整,均可以用于校验数据完整性,且初始想了为根据第一校验信息确定的,因此,在将第一校验信息或者第一校验信息中的部分信息确定为初始向量的情况下,可以直接利用初始向量对解密后的数据进行数据完整性验证。
具体地,在完整性验证过程中,若业务报文中包含明文数据的情况下,解密单元可以结合明文数据与解密后的数据,并对结合后的数据进行完整性计算得到新的MAC,然后判断初始向量中是否存在未包含于新的MAC内的信息,如果存在,则完整性验证未通过,如果不存在,则完整性验证通过,表明报文没有被篡改。
步骤S204,在验证结果表征解密后的数据完整的情况下,将解密后的数据反馈给第二业务系统。
可选的,若验证结果表征解密后的数据不完整,则解密单元可以向第二业务系统反馈报警信息,或者是表征数据异常的信息。
容易注意到的是,在上述过程中,通过根据第一校验信息确定初始向量,避免了额外采用随机数生成算法生成初始向量,从而减少了对计算资源的占用,提高了对数据的处理效率。进一步地,通过将根据加密密文和初始向量生成的业务报文发送给第二业务系统,使得第二业务系统可以仅根据初始向量实现对接收的数据的解密以及完整性验证,由此,使得在对业务数据进行机密性保护和完整性保护时,生成的业务报文的字段数与仅进行机密性保护时生成的业务报文的字段数相同,从而避免了对业务系统进行多次改造,降低了数据传输成本,并可以有效减少数据传输量,进而进一步地提高了数据处理效率。
由此可见,本申请所提供的方案达到了根据业务数据的完整性保护的信息对业务数据进行机密性保护的目的,从而实现了提高数据处理效率的技术效果,进而解决了相关技术中对数据进行机密性以及完整性保护时,存在的处理效率低的技术问题。
实施例3
根据本发明实施例,提供了一种数据处理系统的实施例,其中,图3是根据本发明实施例的一种可选的数据处理系统的工作示意图,如图3所示,该系统包括:
第一业务系统,用于将待发送至第二业务系统的业务数据发送给加密单元,并获取加密单元反馈的加密密文和初始向量,根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统;
加密单元,用于获取业务数据,利用目标算法对业务数据进行计算,得到第一校验信息,根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,将加密密文和初始向量反馈给第一业务系统,其中,第一校验信息用于校验业务数据的完整性,初始向量用于对待加密数据分组后的首个数据块进行加密;
第二业务系统,用于接收业务报文,并将业务报文发送给解密单元;
解密单元,用于获取第二业务系统发送的业务报文,从业务报文中获取初始向量,根据初始向量,对业务报文中的加密密文进行解密处理,得到解密后的数据,利用初始向量对解密后的数据进行数据完整性验证,得到验证结果,在验证结果表征解密后的数据完整的情况下,将解密后的数据反馈给第二业务系统。
图4是根据本发明实施例的一种可选的数据处理方法的流程图三,如图3、图4所示,对本实施例中数据处理系统一种可选的应用过程进行说明。可选的,如图3所示,业务数据包含明文数据和待加密数据。第一业务系统在需要向第二业务系统发送业务数据时,先向加密单元发送数据保护请求,然后由加密单元从密钥库中获取对应的密钥,并利用密钥对明文数据和待加密数据进行散列计算(也即完整性计算),得到第一校验信息,并根据第一校验信息确定初始向量。之后,加密单元可以从密钥库中获取对应的密钥,然后通过密码分组链接模式,利用密钥和初始向量对待加密数据进行加密,得到加密密文,从而根据加密密文和初始向量确定目标加密密文,并将目标加密密文反馈给第一业务系统,第一业务系统根据明文数据和目标加密密文生成业务报文。
进一步地,如图3、图4所示,第一业务系统将业务报文发送给第二业务系统,然后由第二业务系统向解密单元发送数据解密验证请求。之后,解密单元从业务报文中获取初始向量,根据初始向量和密钥库中的密钥对业务报文中的加密密文进行解密,得到解密后的数据。接着,解密单元从密钥库中获取对应的密钥,然后通过该密钥对明文数据以及解密后的数据进行散列验证,以确定业务报文中的数据的完整性。进一步地,在确定明文数据和解密后的数据完整的情况下,解密单元将解密后的数据反馈给第二业务系统。
容易注意到的是,在上述过程中,通过根据第一校验信息确定初始向量,避免了额外采用随机数生成算法生成初始向量,从而减少了对计算资源的占用,提高了对数据的处理效率。进一步地,通过将根据加密密文和初始向量生成的业务报文发送给第二业务系统,使得第二业务系统可以仅根据初始向量实现对接收的数据的解密以及完整性验证,由此,使得在对业务数据进行机密性保护和完整性保护时,生成的业务报文的字段数与仅进行机密性保护时生成的业务报文的字段数相同,从而避免了对业务系统进行多次改造,降低了数据传输成本,并可以有效减少数据传输量,进而进一步地提高了数据处理效率。
由此可见,本申请所提供的方案达到了根据业务数据的完整性保护的信息对业务数据进行机密性保护的目的,从而实现了提高数据处理效率的技术效果,进而解决了相关技术中对数据进行机密性以及完整性保护时,存在的处理效率低的技术问题。
实施例4
根据本发明实施例,提供了一种数据处理装置的实施例,其中,图5是根据本发明实施例的一种可选的数据处理装置的示意图一,如图5所示,该装置包括:
第一获取模块501,用于获取第一业务系统待发送至第二业务系统的业务数据;
计算模块502,用于利用目标算法对业务数据进行计算,得到第一校验信息,其中,第一校验信息用于校验业务数据的完整性;
加密模块503,用于根据第一校验信息确定初始向量,并通过密码分组链接模式对业务数据中的待加密数据进行加密处理,得到加密密文,其中,初始向量用于对待加密数据分组后的首个数据块进行加密;
第一处理模块504,用于将加密密文和初始向量反馈给第一业务系统,其中,第一业务系统用于根据加密密文和初始向量生成业务报文,并将业务报文发送至第二业务系统。
需要说明的是,上述第一获取模块501、计算模块502、加密模块503以及第一处理模块504对应于上述实施例中的步骤S101至步骤S104,四个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例1所公开的内容。
可选的,加密模块503还包括:第一确定子模块,用于将第一校验信息确定为初始向量,或者,第二确定子模块,用于对第一校验信息进行信息抽取处理,得到第二校验信息,将第二校验信息确定为初始向量。
可选的,加密模块503还包括:分组子模块,用于对待加密数据进行分组,得到N个数据块,其中,N为大于1的正整数;第一运算模块,用于将初始向量与N个数据块中的第一个数据块进行异或运算,得到第一运算结果;第一加密子模块,用于对第一运算结果进行加密处理,得到第一个密文块;第二运算模块,用于将第一个密文块与N个数据块中的下一个数据块进行异或运算,得到第二运算结果;第二加密子模块,用于对第二运算结果进行加密处理,得到第二个密文块;第三确定子模块,用于重复执行将第二个密文块与N个数据块中的下一个数据块进行异或运算的步骤,直至得到第N个密文块的情况下,根据所有密文块确定加密密文。
可选的,第一加密子模块还包括:第一加密单元,用于从密钥库中确定第一业务系统匹配的密钥,利用第一业务系统匹配的密钥对第一运算结果进行加密处理,得到第一个密文块。
可选的,第一加密子模块还包括:第二加密单元,用于从密钥库中确定第二业务系统匹配的密钥,利用第二业务系统匹配的密钥对第一运算结果进行加密处理,得到第一个密文块。
可选的,第一处理模块504还包括:第一处理子模块,用于将初始向量设置在加密密文的头部,得到目标加密密文;第二处理子模块,用于将目标加密密文反馈给第一业务系统。
可选的,第一业务系统用于在待加密数据为业务数据中的全部数据的情况下,根据加密密文和初始向量生成业务报文,在待加密数据为业务数据中的部分数据的情况下,根据加密密文、初始向量、业务数据中除待加密数据以外的数据生成业务报文。
实施例5
根据本发明实施例,提供了一种数据处理装置的实施例,其中,图6是根据本发明实施例的一种可选的数据处理装置的示意图二,如图6所示,该装置包括:
第二获取模块601,用于获取第二业务系统发送的业务报文,其中,业务报文为利用实施例1中的数据处理方法得到的;
解密模块602,用于从业务报文中获取初始向量,根据初始向量,对业务报文中的加密密文进行解密处理,得到解密后的数据;
验证模块603,用于利用初始向量对解密后的数据进行数据完整性验证,得到验证结果;
第二处理模块604,用于在验证结果表征解密后的数据完整的情况下,将解密后的数据反馈给第二业务系统。
需要说明的是,上述第二获取模块601、解密模块602、验证模块603以及第二处理模块604对应于上述实施例中的步骤S201至步骤S204,四个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例2所公开的内容。
实施例6
根据本发明实施例的另一方面,还提供了计算机可读存储介质,计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的数据处理方法。
实施例7
根据本发明实施例的另一方面,还提供了一种电子设备,其中,图7是根据本发明实施例的一种可选的电子设备的示意图,如图7所示,电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的数据处理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (13)

1.一种数据处理方法,其特征在于,应用于加密单元,包括:
获取第一业务系统待发送至第二业务系统的业务数据;
利用目标算法对所述业务数据进行计算,得到第一校验信息,其中,所述第一校验信息用于校验所述业务数据的完整性;
根据所述第一校验信息确定初始向量,并通过密码分组链接模式对所述业务数据中的待加密数据进行加密处理,得到加密密文,其中,所述初始向量用于对所述待加密数据分组后的首个数据块进行加密;
将所述加密密文和所述初始向量反馈给所述第一业务系统,其中,所述第一业务系统用于根据所述加密密文和所述初始向量生成业务报文,并将所述业务报文发送至所述第二业务系统。
2.根据权利要求1所述的方法,其特征在于,根据所述第一校验信息确定初始向量,包括:
将所述第一校验信息确定为所述初始向量,或者,
对所述第一校验信息进行信息抽取处理,得到第二校验信息,将所述第二校验信息确定为所述初始向量。
3.根据权利要求1所述的方法,其特征在于,通过密码分组链接模式对所述业务数据中的待加密数据进行加密处理,得到加密密文,包括:
对所述待加密数据进行分组,得到N个数据块,其中,N为大于1的正整数;
将所述初始向量与所述N个数据块中的第一个数据块进行异或运算,得到第一运算结果;
对所述第一运算结果进行加密处理,得到第一个密文块;
将所述第一个密文块与所述N个数据块中的下一个数据块进行异或运算,得到第二运算结果;
对所述第二运算结果进行加密处理,得到第二个密文块;
重复执行将所述第二个密文块与所述N个数据块中的下一个数据块进行异或运算的步骤,直至得到第N个密文块的情况下,根据所有密文块确定所述加密密文。
4.根据权利要求3所述的方法,其特征在于,对所述第一运算结果进行加密处理,得到第一个密文块,包括:
从密钥库中确定所述第一业务系统匹配的密钥,利用所述第一业务系统匹配的密钥对所述第一运算结果进行加密处理,得到所述第一个密文块。
5.根据权利要求3所述的方法,其特征在于,对所述第一运算结果进行加密处理,得到第一个密文块,包括:
从密钥库中确定所述第二业务系统匹配的密钥,利用所述第二业务系统匹配的密钥对所述第一运算结果进行加密处理,得到所述第一个密文块。
6.根据权利要求1所述的方法,其特征在于,将所述加密密文和所述初始向量反馈给所述第一业务系统,包括:
将所述初始向量设置在所述加密密文的头部,得到目标加密密文;
将所述目标加密密文反馈给所述第一业务系统。
7.根据权利要求1所述的方法,其特征在于,所述第一业务系统用于在所述待加密数据为所述业务数据中的全部数据的情况下,根据所述加密密文和所述初始向量生成所述业务报文,在所述待加密数据为所述业务数据中的部分数据的情况下,根据所述加密密文、所述初始向量、所述业务数据中除所述待加密数据以外的数据生成所述业务报文。
8.一种数据处理方法,其特征在于,应用于解密单元,包括:
获取第二业务系统发送的业务报文,其中,所述业务报文为利用权利要求1至7中任意一项所述的方法得到的;
从所述业务报文中获取初始向量,根据所述初始向量,对所述业务报文中的加密密文进行解密处理,得到解密后的数据;
利用所述初始向量对所述解密后的数据进行数据完整性验证,得到验证结果;
在所述验证结果表征所述解密后的数据完整的情况下,将所述解密后的数据反馈给所述第二业务系统。
9.一种数据处理系统,其特征在于,包括:
第一业务系统,用于将待发送至第二业务系统的业务数据发送给加密单元,并获取所述加密单元反馈的加密密文和初始向量,根据所述加密密文和所述初始向量生成业务报文,并将所述业务报文发送至所述第二业务系统;
所述加密单元,用于获取所述业务数据,利用目标算法对所述业务数据进行计算,得到第一校验信息,根据所述第一校验信息确定所述初始向量,并通过密码分组链接模式对所述业务数据中的待加密数据进行加密处理,得到所述加密密文,将所述加密密文和所述初始向量反馈给所述第一业务系统,其中,所述第一校验信息用于校验所述业务数据的完整性,所述初始向量用于对所述待加密数据分组后的首个数据块进行加密;
所述第二业务系统,用于接收所述业务报文,并将所述业务报文发送给解密单元;
所述解密单元,用于获取所述第二业务系统发送的业务报文,从所述业务报文中获取所述初始向量,根据所述初始向量,对所述业务报文中的加密密文进行解密处理,得到解密后的数据,利用所述初始向量对所述解密后的数据进行数据完整性验证,得到验证结果,在所述验证结果表征所述解密后的数据完整的情况下,将所述解密后的数据反馈给所述第二业务系统。
10.一种数据处理装置,其特征在于,包括:
第一获取模块,用于获取第一业务系统待发送至第二业务系统的业务数据;
计算模块,用于利用目标算法对所述业务数据进行计算,得到第一校验信息,其中,所述第一校验信息用于校验所述业务数据的完整性;
加密模块,用于根据所述第一校验信息确定初始向量,并通过密码分组链接模式对所述业务数据中的待加密数据进行加密处理,得到加密密文,其中,所述初始向量用于对所述待加密数据分组后的首个数据块进行加密;
第一处理模块,用于将所述加密密文和所述初始向量反馈给所述第一业务系统,其中,所述第一业务系统用于根据所述加密密文和所述初始向量生成业务报文,并将所述业务报文发送至所述第二业务系统。
11.一种数据处理装置,其特征在于,包括:
第二获取模块,用于获取第二业务系统发送的业务报文,其中,所述业务报文为利用权利要求1至7中任意一项所述的方法得到的;
解密模块,用于从所述业务报文中获取初始向量,根据所述初始向量,对所述业务报文中的加密密文进行解密处理,得到解密后的数据;
验证模块,用于利用所述初始向量对所述解密后的数据进行数据完整性验证,得到验证结果;
第二处理模块,用于在所述验证结果表征所述解密后的数据完整的情况下,将所述解密后的数据反馈给所述第二业务系统。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至8任一项中所述的数据处理方法。
13.一种电子设备,其特征在于,所述电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现用于运行程序,其中,所述程序被设置为运行时执行所述权利要求1至8任一项中所述的数据处理方法。
CN202310869273.9A 2023-07-14 2023-07-14 数据处理方法、系统、装置、存储介质及电子设备 Pending CN116861461A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310869273.9A CN116861461A (zh) 2023-07-14 2023-07-14 数据处理方法、系统、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310869273.9A CN116861461A (zh) 2023-07-14 2023-07-14 数据处理方法、系统、装置、存储介质及电子设备

Publications (1)

Publication Number Publication Date
CN116861461A true CN116861461A (zh) 2023-10-10

Family

ID=88235611

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310869273.9A Pending CN116861461A (zh) 2023-07-14 2023-07-14 数据处理方法、系统、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN116861461A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117098120A (zh) * 2023-10-19 2023-11-21 国网山西省电力公司晋城供电公司 一种北斗短报文数据加解密方法、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117098120A (zh) * 2023-10-19 2023-11-21 国网山西省电力公司晋城供电公司 一种北斗短报文数据加解密方法、设备及存储介质
CN117098120B (zh) * 2023-10-19 2024-01-02 国网山西省电力公司晋城供电公司 一种北斗短报文数据加解密方法、设备及存储介质

Similar Documents

Publication Publication Date Title
US8396218B2 (en) Cryptographic module distribution system, apparatus, and program
US9647845B2 (en) Key downloading method, management method, downloading management method, device and system
US11063754B2 (en) Systems, devices, and methods for hybrid secret sharing
US5708714A (en) Method for sharing secret information and performing certification in a communication system that has a plurality of information processing apparatuses
US6125185A (en) System and method for encryption key generation
US9806889B2 (en) Key downloading method, management method, downloading management method, device and system
EP1261903B2 (en) Method of authenticating users of software
CN108347419A (zh) 数据传输方法和装置
CN110289946B (zh) 一种区块链钱包本地化文件的生成方法及区块链节点设备
CN103716321A (zh) 一种终端主密钥tmk安全下载方法及系统
NO20093259A1 (no) Kryptering
CN112702318A (zh) 一种通讯加密方法、解密方法、客户端及服务端
CN110380859B (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统
CN111327419B (zh) 基于秘密共享的抗量子计算区块链的方法及系统
CN115242553B (zh) 一种支持安全多方计算的数据交换方法及系统
CN111262852B (zh) 基于区块链实现的名片签发方法及系统
CN109995532A (zh) 一种终端主密钥的在线管理方法及系统
CN116861461A (zh) 数据处理方法、系统、装置、存储介质及电子设备
CN115276978A (zh) 一种数据处理方法以及相关装置
CN112600667B (zh) 一种密钥协商方法、装置、设备及存储介质
CN116455572B (zh) 数据加密方法、装置及设备
CN116707778A (zh) 数据混合加密传输方法、装置和电子设备
CN108242997B (zh) 安全通信的方法与设备
CN114726549A (zh) 一种基于双向rsa三次传输协议的数据安全查询方法及系统
CN115022012A (zh) 一种数据传输方法、装置、系统、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination