CN117763579A - 数据安全管理方法及装置 - Google Patents
数据安全管理方法及装置 Download PDFInfo
- Publication number
- CN117763579A CN117763579A CN202311666496.1A CN202311666496A CN117763579A CN 117763579 A CN117763579 A CN 117763579A CN 202311666496 A CN202311666496 A CN 202311666496A CN 117763579 A CN117763579 A CN 117763579A
- Authority
- CN
- China
- Prior art keywords
- encryption
- stage
- random number
- key
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 9
- 239000013598 vector Substances 0.000 claims description 165
- 238000003860 storage Methods 0.000 claims description 36
- 238000000034 method Methods 0.000 claims description 33
- 230000006870 function Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 21
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000035945 sensitivity Effects 0.000 description 3
- 239000002355 dual-layer Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 239000010410 layer Substances 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002618 waking effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供了数据安全管理方法及装置。本实施例使用双层密钥加密的方式获得最终的加密密钥,来对本地存储的指定数据进行加密,以使得即使按照常规的方式窃取本设备存储的数据,但由于该数据是以密文方式存在的,没有解密密钥是无法获知对应的明文数据,从而提高了保护数据的安全性,防止设备本地存储的指定数据被泄露所出现的风险。
Description
技术领域
本申请涉及数据安全技术,特别涉及数据安全管理方法及装置。
背景技术
在具体应用中,电子设备比如终端或者服务器等本地会存储指定数据,例如一些隐私数据。这里的指定数据比如设备配置信息、用户人员信息等。作为一个实施例,这里的设备配置信息比如为:便于快速唤醒本设备本地功能比如面部识别、指纹识别、二维码等功能的配置信息。另外,这里的用户人员信息比如为任一用户人员的姓名、工号、人脸图片和面部特征值、指纹等信息。
在具体实现时,电子设备比如终端会以明文的方式在本地存储上述指定数据比如以明文存储在本地数据库。而这种明文存储指定数据的方式,常会存在指定数据被泄漏的风险,安全性差。
发明内容
本申请提供了数据安全管理方法及装置,以防止设备本地存储的指定数据被泄露。
本申请至少提供以下方案:
本申请实施例提供了一种数据安全管理方法,所述方法应用于电子设备,该方法包括:
在确定对本地待加密的指定数据进行加密的情况下,先获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量;以及,获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥;以及,获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文;
依据第一级加密向量、第一级根密钥对第一级密钥明文执行第一加密方式对应的加密操作生成的第一级密钥密文;
获得基于本设备标识以及按照第四加密算法对第四随机数进行加密得到的密文数据确定的第二级密钥明文;以及,获得基于本设备标识以及按照第五加密算法对第五随机数进行加密得到的密文数据确定的第二级加密向量;
将所述第一级密钥密文作为第二级根密钥,依据第二级加密向量、第二级根密钥对第二级密钥明文执行第二加密方式对应的加密操作生成的加密密钥;
基于所述加密密钥、以及获得的基于本设备标识和按照第六加密算法对第六随机数进行加密得到的密文数据确定的第三级加密向量,对所述本地待加密的指定数据进行加密并存储。
本申请实施例提供了一种数据安全管理装置,所述装置应用于电子设备,该装置包括:
第一级密钥单元,用于在确定对本地待加密的指定数据进行加密的情况下,先获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量;以及,获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥;以及,获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文;以及,依据第一级加密向量、第一级根密钥对第一级密钥明文执行第一加密方式对应的加密操作生成的第一级密钥密文;
第二级密钥单元,用于获得基于本设备标识以及按照第四加密算法对第四随机数进行加密得到的密文数据确定的第二级密钥明文;以及,获得基于本设备标识以及按照第五加密算法对第五随机数进行加密得到的密文数据确定的第二级加密向量;以及,将所述第一级密钥密文作为第二级根密钥,依据第二级加密向量、第二级根密钥对第二级密钥明文执行第二加密方式对应的加密操作生成的加密密钥;
加密单元,用于基于所述加密密钥、以及获得的基于本设备标识和按照第六加密算法对第六随机数进行加密得到的密文数据确定的第三级加密向量,对所述本地待加密的指定数据进行加密并存储。
本申请实施例还提供了一种电子设备。该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现上述公开的方法的步骤。
由以上技术方案可以看出,在本实施例中,使用双层密钥加密的方式获得最终的加密密钥,来对本地存储的指定数据进行加密,以使得即使按照常规的方式窃取本设备存储的数据,但由于该数据是以密文方式存在的,没有解密密钥是无法获知对应的明文数据,从而提高了保护数据的安全性,防止设备本地存储的指定数据被泄露所出现的风险;
进一步地,本实施例在生成加密向量比如第一级加密向量、第二级加密向量、第三级加密向量、第一级根密钥、第一级密钥明文、第二级密钥明文等时,不用输入口令,降低了口令泄漏的风险,而是依赖于设备标识比如设备固件码等生成,做到一设备一密,自适应提高了保护数据的安全性,防止设备本地存储的指定数据被泄露所出现的风险;
进一步地,在本实施例中,生成加密密钥的方式依赖于第一级密钥密文、第二级加密向量和第二级密钥明文,组成加密密钥的参数比较多,加密密钥生成方式也比较复杂,这提高了加密密钥的随机性和安全性,更加安全。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的方法流程图;
图2为本申请实施例提供的第一级密钥密文生成示意图;
图3为本申请实施例提供的第二级密钥密文生成示意图;
图4为本申请实施例提供的密文数据生成示意图;
图5为本申请实施例提供的加密向量生成示意图;
图6为本申请实施例提供的第一级根密钥生成示意图;
图7为本申请实施例提供的第一级密钥明文生成示意图;
图8为本申请实施例提供的密钥存储示意图;
图9为本申请实施例提供的装置结构图;
图10为本申请实施例提供的电子设备结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
本实施例为防止设备本地存储的指定数据被泄露,使用双层密钥加密的方式获得加密密钥对本地存储的指定数据进行加密,以使得即使按照常规的方式窃取本设备存储的数据,但由于该数据是以密文方式存在的,没有解密密钥是无法获知对应的明文数据,从而提高了保护数据的安全性,防止设备本地存储的指定数据被泄露所出现的风险。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
参见图1,图1为本申请实施例提供的方法流程图。该流程应用于电子设备。可选地,这里的电子设备比如为门禁等终端设备,也可为服务器,本实施例并不具体限定。
如图1所示,该流程可包括以下步骤:
步骤101,在确定对本地待加密的指定数据进行加密的情况下,先执行步骤102。
可选地,在本实施例中,设备本地数据可依赖于该数据的敏感程度确定该数据是否需要被加密,对一些敏感度不高的数据,为节省资源,可不执行对该数据进行加密,而对一些敏感度高的数据,为防止该数据被泄露引起风向比如用户信息被用于不好的用途等,则需要对该数据进行加密,此时该数据即确定为本地待加密的指定数据需要进行加密。针对该数据,则如步骤101的描述,可执行下述的步骤102。
步骤102,先获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量;以及,获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥;以及,获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文。
可选地,本步骤102是为了确定第一级密钥(也称第一级密钥密文)所做的准备。
在本实施例中,设备标识可为用于标识设备的信息,比如设备的固件码、设备序列号等,本实施例并不具体限定。这里,设备固件码为设备自身携带的产品数字信息。产品数字信息是设备的唯一标识,其一般为隐藏的不暴露给普通用户的产品数字信息。一般长度都在9位以上,128位的也有。
作为一个实施例,上述第一加密算法、第二加密算法、第三加密算法可为同一算法,比如都为SHA算法。当然,作为另一个实施例,上述第一加密算法、第二加密算法、第三加密算法中的至少两个也可为不同算法,比如分别为SHA算法、对称加密算法、非对称加密算法等,本实施例并不具体限定。至于步骤102中的具体实现,下文会举例描述,这里暂不赘述。
步骤103,依据第一级加密向量、第一级根密钥对第一级密钥明文执行第一加密方式对应的加密操作生成的第一级密钥密文。
以第一加密方式对应的加密操作为AES加密方法(比如AES128)对应的加密操作为例,则本步骤103中,则使用第一级加密向量、第一级根密钥对第一级密钥明文执行AES加密方法对应的加密操作,以生成的第一级密钥密文。图2举例示出了第一级密钥密文的示例。
步骤104,获得基于本设备标识以及按照第四加密算法对第四随机数进行加密得到的密文数据确定的第二级密钥明文;以及,获得基于本设备标识以及按照第五加密算法对第五随机数进行加密得到的密文数据确定的第二级加密向量。
本步骤104为第二级密钥(也称第二级密钥密文)所做的准备。
可选地,在本实施例中,第二级加密向量可为上述的第一级加密向量。当然,作为另一个实施例,第二级加密向量也可不同于上述的第一级加密向量,其按照如第一级加密向量的生成方式生成。至于第二级密钥明文,其生成方式类似第一级密钥明文的生成方式,下文会有描述,这里暂不赘述。
步骤105,将所述第一级密钥密文作为第二级根密钥,依据第二级加密向量、第二级根密钥对第二级密钥明文执行第二加密方式对应的加密操作生成的加密密钥。
以第二加密方式对应的加密操作为AES加密方法(比如AES128)对应的加密操作为例,则本步骤105中,则使用第二级加密向量、第二级根密钥对第一级密钥明文执行AES加密方法对应的加密操作,以生成的第二级密钥密文(也称加密密钥)。图3举例示出了第二级密钥密文的示例。
步骤106,基于所述加密密钥、以及获得的基于本设备标识和按照第六加密算法对第六随机数进行加密得到的密文数据确定的第三级加密向量,对所述本地待加密的指定数据进行加密并存储。
在本实施例中,第三级加密向量可为上述的第一级加密向量。当然,作为另一个实施例,第三级加密向量也可不同于上述的第一级加密向量,其按照如第一级加密向量的生成方式生成,下文会有描述,这里暂不赘述。
在本实施例中,对所述本地待加密的指定数据进行加密是按照第三加密方式对应的加密操作执行的。以第三加密方式对应的加密操作为AES加密方法(比如AES128)对应的加密操作为例,则本步骤106中,则使用第三级加密向量、加密密钥对本地待加密的指定数据执行AES加密方法对应的加密操作,以生成密文数据。图4举例示出了密文数据的示例。
至此,完成图1所示的流程描述。
通过图1所示流程可以看出,在本实施例中,使用双层密钥加密的方式获得最终的加密密钥,来对本地存储的指定数据进行加密,以使得即使按照常规的方式窃取本设备存储的数据,但由于该数据是以密文方式存在的,没有解密密钥是无法获知对应的明文数据,从而提高了保护数据的安全性,防止设备本地存储的指定数据被泄露所出现的风险;
进一步地,本实施例在生成加密向量比如第一级加密向量、第二级加密向量、第三级加密向量、第一级根密钥、第一级密钥明文、第二级密钥明文等时,不用输入口令,降低了口令泄漏的风险,而是依赖于设备标识比如设备固件码等生成,做到一设备一密,自适应提高了保护数据的安全性,防止设备本地存储的指定数据被泄露所出现的风险;
进一步地,在本实施例中,生成加密密钥的方式依赖于第一级密钥密文、第二级加密向量和第二级密钥明文,组成加密密钥的参数比较多,加密密钥生成方式也比较复杂,这提高了加密密钥的随机性和安全性,更加安全。
下面对上述步骤102中如何获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量进行描述:
参见图5,图5为本申请实施例提供的加密向量生成示意图。如图5所示,该流程可包括以下步骤:
步骤501,利用随机数函数动态生成第一随机数。
作为一个实施例,上述电子设备可具有系统的/dev/urandom功能(该功能可用于生成128字节的随机数,相当于上述的随机数函数)。基于该系统的/dev/urandom功能,则可生成一个128字节的随机数(记为第一随机数)。
步骤502,按照第一加密算法将第一随机数转换成第一加密算法所要求的长度为L1的第一字符串。
以第一加密算法为sha256哈希算法为例,则本步骤502,可使用sha256哈希算法将第一随机数(比如128字节的随机数)散列成32字节的摘要信息(也即L1的第一字符串)。可选地,这里的32字节的摘要信息可相当于长度为64字节的十六进制字符串。
步骤503,从第一字符串中取出长度为L2的第二字符串,L2小于L1,所述L2匹配本设备标识的长度。
以本设备标识为8字节的字符串"7b2707d6"为例,则假若第一字符串为上述的32字节的摘要信息(可相当于长度为64字节的十六进制字符串),则本步骤503中,可先使用已有的PKCS5_PBKDF2_HMAC函数从摘要信息中取出长度为4字节的十六进制数。该4字节的十六进制数可转化为8字节字符串(例如0x8F转化为字符串“8f”)。即最终取出的4字节的十六进制数的长度匹配本设备标识的长度。
步骤504,对第二字符串和本设备标识进行拼接,得到长度为L3的第一级加密向量。
可选地,在本实施例中,假若本设备标识与第二字符串中的数据不为同一量纲,比如,第二字符串由十六进制数组成,而本设备标识不由十六进制数组成,则在执行上述拼接前,可先将第二字符串和本设备标识转换为同一量纲,比如第二字符串为4字节的十六进制数组成,而本设备标识为8字节字符串"7b2707d6",则可将4字节的十六进制数可转化为8字节字符串(例如0x8F转化为字符串“8f”),最终将第二字符串和本设备标识转换为同一量纲。在完成转换后,比如将4字节的十六进制数可转化为8字节字符串(例如0x8F转化为字符串“8f”)后,对转换后得到的字符串与本设备标识进行拼接(本实施例不具体限定字符串与本设备标识的拼接位置),得到长度为L3比如16字节的第一级加密向量。最终实现了第一级加密向量的生成。
至此,完成图5所示的流程。
通过图5所示流程实现了如何生成第一级加密向量。
可选地,在本实施例中,上述第二级加密向量、以及上述第三级加密向量与上述第一级加密向量相同;或者,
上述第二级加密向量与上述第一级加密向量相同,上述第三级加密向量是按照如生成第一级加密向量的方式生成;或者,
上述第二级加密向量、以及上述第三级加密向量不同于第一级加密向量,而是分别按照如生成第一级加密向量的方式生成。本实施例并不具体限定。
下面描述步骤102中如何基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥:
参见图6,图6为本申请实施例提供的第一级根密钥生成示意图。如图6所示,该流程可包括以下步骤:
步骤601,利用随机数函数动态生成第二随机数。
作为一个实施例,上述电子设备可具有系统的/dev/urandom功能(该功能可用于生成128字节的随机数,相当于上述的随机数函数)。基于该系统的/dev/urandom功能,则可生成一个128字节的随机数(记为第二随机数)。
步骤602,按照第二加密算法将第二随机数转换成所述第二加密算法所要求的长度为L4的第三字符串。
这里的第二加密算法可与上述的第一加密算法相同,也可不同,本实施例并不具体限定。
以第一加密算法为sha256哈希算法为例,则本步骤602,可使用sha256哈希算法将第一随机数(比如128字节的随机数)散列成32字节的摘要信息(也即L1的第一字符串)。可选地,这里的32字节的摘要信息可相当于长度为64字节的十六进制字符串。
步骤603,从所述第二字符串中取出长度为L5的第四字符串,L5小于L4,所述L5匹配本设备标识的长度。
以本设备标识为8字节的字符串"7b2707d6"为例,则假若第三字符串为上述的32字节的摘要信息(可相当于长度为64字节的十六进制字符串),则本步骤503中,可先使用已有的PKCS5_PBKDF2_HMAC函数从摘要信息中取出长度为4字节的十六进制数。该4字节的十六进制数可转化为8字节字符串(例如0x8F转化为字符串“8f”)。即最终取出的4字节的十六进制数的长度匹配本设备标识的长度。
步骤604,对所述第四字符串和本设备标识进行拼接,得到长度为L6的第一级根密钥。
可选地,在本实施例中,假若本设备标识与第四字符串中的数据不为同一量纲,比如,第四字符串由十六进制数组成,而本设备标识不由十六进制数组成,则在执行上述拼接前,可先将第四字符串和本设备标识转换为同一量纲,比如第四字符串为4字节的十六进制数组成,而本设备标识为8字节字符串"7b2707d6",则可将4字节的十六进制数可转化为8字节字符串(例如0x8F转化为字符串“8f”),最终将第四字符串和本设备标识转换为同一量纲。在完成转换后,比如将4字节的十六进制数可转化为8字节字符串(例如0x8F转化为字符串“8f”)后,对转换后得到的字符串与本设备标识进行拼接,得到长度为L6比如16字节的第一级根密钥。最终实现了第一级根密钥的生成。
至此,完成图6所示的流程。
通过图6所示流程实现了如何生成第一级根密钥。
下面对步骤102中如何获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文进行描述:
参见图7,图7为本申请实施例提供的第一级密钥明文生成示意图。如图7所示,该流程可包括以下步骤:
步骤701,利用随机数函数动态生成第三随机数。
本步骤701类似上述步骤501、步骤601。
步骤702,按照第三加密算法将第三随机数转换成所述第三加密算法所要求的长度为L7的第五字符串。
这里的第三加密算法可与上述的第一加密算法、第二加密算法相同,也可不同,本实施例并不具体限定。
本步骤702类似上述的步骤502、步骤602。
步骤703,从所述第三字符串中取出长度为L8的第六字符串,L8小于L7,所述L8匹配本设备标识的长度。
本步骤703类似上述的步骤503、步骤603。
步骤704,对所述第六字符串和本设备标识进行拼接,得到长度为L9的第一级密钥明文。
本步骤704类似上述的步骤504、步骤604。
至此,完成图7所示的流程。
通过图7所示流程实现了如何生成第一级密钥明文。
可选地,在本实施例中,上述第二级密钥明文与第一级密钥明文相同;或者,上述第二级密钥明文与所述第一级密钥明文不同,其按照如下方式确定:利用随机数函数动态生成第四随机数;按照第四加密算法将第四随机数转换成所述第四加密算法所要求的长度为L10的第七字符串;从所述第七字符串中取出长度为L11的第八字符串,L11小于L10,所述L11匹配本设备标识的长度;对所述第八字符串和本设备标识进行拼接,得到长度为L12的第二级密钥明文。该方式类似上述的图7所示流程,这里不再赘述。
可选地,本实施例中,为增加安全性。上述第一级密钥明文、第二级密钥明文在存储时以密文的形式存储在在本地指定存储介质比如flash。比如,以Json文件格式将第一级密钥密文、第二级密钥密文(也即上述的加密密钥)写入Json的不同字段,然后存储在flash(比如flash的指定位置)。
另外,在本实施例中,对于根密钥比如上述的第一级根密钥,基于如上描述的第一级根密钥的生成方式,本实施例只需将第一级根密钥中除本设备标识之外的数据存储在本地指定存储介质比如flash,之后即可按照如上描述的第一级根密钥的生成方式生成即可,无需存储整个第一级根密钥,实现简单。以图6所示的第一级根密钥的生成方式,则将第一级根密钥中不同于本设备标识之外的长度为L5的第四字符串存入Json的不同字段并存储在本地指定存储介质比如flash。
另外,对于加密向量,比如上述的第一级加密向量、第二级加密向量、第三级加密向量,若第一级加密向量与第二级加密向量、第三级加密向量相同,则基于如上描述的第一级加密向量的生成方式,本实施例只需将所述第一级加密向量中除本设备标识之外的数据存储在本地指定存储介质比如flash,之后即可按照如上描述的第一级加密向量的生成方式生成即可。而若第一级加密向量与第二级加密向量、第三级加密向量中的至少一个不同,则本实施例只需将第一级加密向量中除本设备标识之外的数据、以及与第一级加密向量不同的其它加密向量中除本设备标识之外的数据,存储在本地指定存储介质比如flash,无需完整存储第一级加密向量以及其它加密向量,比较简单。结合如上描述的图5所示的第一级加密向量的生成方式,则可将第一级加密向量中不同于本设备标识之外的长度为L2的第二字符串存入Json的不同字段,并存储在本地指定存储介质比如flash。其它加密向量的存储方式类似。
基于如上描述,图8举例示出了密钥存储示意图。如图8所示,则对于外部而言,即使获取到对应的Json字段,但其要么是密文比如第一级密钥密文、第二级密钥密文,要么是不完整的信息比如第一级加密向量中除本设备标识之外的数据、第一级根密钥中除本设备标识之外的数据等,是无法解析出正确的密钥数据,从而避免密钥被泄露的风险。需要说明的是,在本实施例中,上述本地指定存储介质存储的如第一级密钥密文、第二级密钥密文、第一级根密钥、第一级加密向量、第二级加密向量、第三级加密向量可定时更新,以增加安全性。
以上对本申请实施例提供的方法进行了描述,下面对本申请实施例提供的装置进行描述:
参见图9,图9为本申请实施例提供的装置结构图。如图9所示,该装置可包括:
第一级密钥单元,用于在确定对本地待加密的指定数据进行加密的情况下,先获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量;以及,获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥;以及,获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文;以及,依据第一级加密向量、第一级根密钥对第一级密钥明文执行第一加密方式对应的加密操作生成的第一级密钥密文;
第二级密钥单元,用于获得基于本设备标识以及按照第四加密算法对第四随机数进行加密得到的密文数据确定的第二级密钥明文;以及,获得基于本设备标识以及按照第五加密算法对第五随机数进行加密得到的密文数据确定的第二级加密向量;以及,将所述第一级密钥密文作为第二级根密钥,依据第二级加密向量、第二级根密钥对第二级密钥明文执行第二加密方式对应的加密操作生成的加密密钥;
加密单元,用于基于所述加密密钥、以及获得的基于本设备标识和按照第六加密算法对第六随机数进行加密得到的密文数据确定的第三级加密向量,对所述本地待加密的指定数据进行加密并存储。
可选地,所述获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量包括:利用随机数函数动态生成第一随机数;按照第一加密算法将第一随机数转换成所述第一加密算法所要求的长度为L1的第一字符串;从所述第一字符串中取出长度为L2的第二字符串,L2小于L1,所述L2匹配本设备标识的长度;对所述第二字符串和本设备标识进行拼接,得到长度为L3的第一级加密向量。
可选地,所述第二级加密向量、以及所述第三级加密向量与所述第一级加密向量相同;或者,所述第二级加密向量与所述第一级加密向量相同,所述第三级加密向量是按照如生成第一级加密向量的方式生成;或者,所述第二级加密向量、以及所述第三级加密向量不同于所述第一级加密向量,分别按照如生成第一级加密向量的方式生成。
可选地,所述获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥包括:利用随机数函数动态生成第二随机数;按照第二加密算法将第二随机数转换成所述第二加密算法所要求的长度为L4的第三字符串;从所述第二字符串中取出长度为L5的第四字符串,L5小于L4,所述L5匹配本设备标识的长度;对所述第四字符串和本设备标识进行拼接,得到长度为L6的第一级根密钥。
可选地,所述获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文包括:利用随机数函数动态生成第三随机数;按照第三加密算法将第三随机数转换成所述第三加密算法所要求的长度为L7的第五字符串;从所述第三字符串中取出长度为L8的第六字符串,L8小于L7,所述L8匹配本设备标识的长度;对所述第六字符串和本设备标识进行拼接,得到长度为L9的第一级密钥明文;
可选地,所述第二级密钥明文与所述第一级密钥明文相同;或者,
所述第二级密钥明文按照如下方式确定:利用随机数函数动态生成第四随机数;按照第四加密算法将第四随机数转换成所述第四加密算法所要求的长度为L10的第七字符串;从所述第七字符串中取出长度为L11的第八字符串,L11小于L10,所述L11匹配本设备标识的长度;对所述第八字符串和本设备标识进行拼接,得到长度为L12的第二级密钥明文。
可选地,所述第二级密钥单元进一步用于当第一级加密向量与第二级加密向量、第三级加密向量相同时,将所述第一级加密向量中除本设备标识之外的数据存储在本地指定存储介质;或者当第一级加密向量与第二级加密向量、第三级加密向量中的至少一个不同时,将第一级加密向量中除本设备标识之外的数据、以及与第一级加密向量不同的其它加密向量中除本设备标识之外的数据,存储在本地指定存储介质;以及,
将第一级根密钥中除本设备标识之外的数据存储在本地指定存储介质;以及,将所述第一级密钥密文、所述加密密钥存储在本地指定存储介质。
至此,完成图9所示装置的结构图。
可选地,本申请实施例还提供了图9所示装置的硬件结构。参见图10,图10为本申请实施例提供的电子设备结构图。如图10所示,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种数据安全管理方法,其特征在于,所述方法应用于电子设备,该方法包括:
在确定对本地待加密的指定数据进行加密的情况下,先获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量;以及,获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥;以及,获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文;
依据第一级加密向量、第一级根密钥对第一级密钥明文执行第一加密方式对应的加密操作生成的第一级密钥密文;
获得基于本设备标识以及按照第四加密算法对第四随机数进行加密得到的密文数据确定的第二级密钥明文;以及,获得基于本设备标识以及按照第五加密算法对第五随机数进行加密得到的密文数据确定的第二级加密向量;
将所述第一级密钥密文作为第二级根密钥,依据第二级加密向量、第二级根密钥对第二级密钥明文执行第二加密方式对应的加密操作生成的加密密钥;
基于所述加密密钥、以及获得的基于本设备标识和按照第六加密算法对第六随机数进行加密得到的密文数据确定的第三级加密向量,对所述本地待加密的指定数据进行加密并存储。
2.根据权利要求1所述的方法,其特征在于,所述获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量包括:
利用随机数函数动态生成第一随机数;
按照第一加密算法将第一随机数转换成所述第一加密算法所要求的长度为L1的第一字符串;
从所述第一字符串中取出长度为L2的第二字符串,L2小于L1,所述L2匹配本设备标识的长度;
对所述第二字符串和本设备标识进行拼接,得到长度为L3的第一级加密向量。
3.根据权利要求2所述的方法,其特征在于,所述第二级加密向量、以及所述第三级加密向量与所述第一级加密向量相同;或者,
所述第二级加密向量与所述第一级加密向量相同,所述第三级加密向量是按照如生成第一级加密向量的方式生成;或者,
所述第二级加密向量、以及所述第三级加密向量不同于所述第一级加密向量,分别按照如生成第一级加密向量的方式生成。
4.根据权利要求1所述的方法,其特征在于,所述获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥包括:
利用随机数函数动态生成第二随机数;
按照第二加密算法将第二随机数转换成所述第二加密算法所要求的长度为L4的第三字符串;
从所述第二字符串中取出长度为L5的第四字符串,L5小于L4,所述L5匹配本设备标识的长度;
对所述第四字符串和本设备标识进行拼接,得到长度为L6的第一级根密钥。
5.根据权利要求1所述的方法,其特征在于,所述获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文包括:
利用随机数函数动态生成第三随机数;
按照第三加密算法将第三随机数转换成所述第三加密算法所要求的长度为L7的第五字符串;
从所述第三字符串中取出长度为L8的第六字符串,L8小于L7,所述L8匹配本设备标识的长度;
对所述第六字符串和本设备标识进行拼接,得到长度为L9的第一级密钥明文。
6.根据权利要求1或5所述的方法,其特征在于,所述第二级密钥明文与所述第一级密钥明文相同;或者,
所述第二级密钥明文按照如下方式确定:利用随机数函数动态生成第四随机数;按照第四加密算法将第四随机数转换成所述第四加密算法所要求的长度为L10的第七字符串;
从所述第七字符串中取出长度为L11的第八字符串,L11小于L10,所述L11匹配本设备标识的长度;
对所述第八字符串和本设备标识进行拼接,得到长度为L12的第二级密钥明文。
7.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
若第一级加密向量与第二级加密向量、第三级加密向量相同,则将所述第一级加密向量中除本设备标识之外的数据存储在本地指定存储介质;
若第一级加密向量与第二级加密向量、第三级加密向量中的至少一个不同,则将第一级加密向量中除本设备标识之外的数据、以及与第一级加密向量不同的其它加密向量中除本设备标识之外的数据,存储在本地指定存储介质;
将第一级根密钥中除本设备标识之外的数据存储在本地指定存储介质;
将所述第一级密钥密文、所述加密密钥存储在本地指定存储介质。
8.一种数据安全管理装置,其特征在于,所述装置应用于电子设备,该装置包括:
第一级密钥单元,用于在确定对本地待加密的指定数据进行加密的情况下,先获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量;以及,获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥;以及,获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文;以及,依据第一级加密向量、第一级根密钥对第一级密钥明文执行第一加密方式对应的加密操作生成的第一级密钥密文;
第二级密钥单元,用于获得基于本设备标识以及按照第四加密算法对第四随机数进行加密得到的密文数据确定的第二级密钥明文;以及,获得基于本设备标识以及按照第五加密算法对第五随机数进行加密得到的密文数据确定的第二级加密向量;以及,将所述第一级密钥密文作为第二级根密钥,依据第二级加密向量、第二级根密钥对第二级密钥明文执行第二加密方式对应的加密操作生成的加密密钥;
加密单元,用于基于所述加密密钥、以及获得的基于本设备标识和按照第六加密算法对第六随机数进行加密得到的密文数据确定的第三级加密向量,对所述本地待加密的指定数据进行加密并存储。
9.根据权利要求8所述的装置,其特征在于,所述获得基于本设备标识以及按照第一加密算法对第一随机数进行加密得到的密文数据确定的第一级加密向量包括:利用随机数函数动态生成第一随机数;按照第一加密算法将第一随机数转换成所述第一加密算法所要求的长度为L1的第一字符串;从所述第一字符串中取出长度为L2的第二字符串,L2小于L1,所述L2匹配本设备标识的长度;对所述第二字符串和本设备标识进行拼接,得到长度为L3的第一级加密向量;
所述第二级加密向量、以及所述第三级加密向量与所述第一级加密向量相同;或者,所述第二级加密向量与所述第一级加密向量相同,所述第三级加密向量是按照如生成第一级加密向量的方式生成;或者,所述第二级加密向量、以及所述第三级加密向量不同于所述第一级加密向量,分别按照如生成第一级加密向量的方式生成;
所述获得基于本设备标识以及按照第二加密算法对第二随机数进行加密得到的密文数据确定的第一级根密钥包括:利用随机数函数动态生成第二随机数;按照第二加密算法将第二随机数转换成所述第二加密算法所要求的长度为L4的第三字符串;从所述第二字符串中取出长度为L5的第四字符串,L5小于L4,所述L5匹配本设备标识的长度;对所述第四字符串和本设备标识进行拼接,得到长度为L6的第一级根密钥;
所述获得基于本设备标识以及按照第三加密算法对第三随机数进行加密得到的密文数据确定的第一级密钥明文包括:利用随机数函数动态生成第三随机数;按照第三加密算法将第三随机数转换成所述第三加密算法所要求的长度为L7的第五字符串;从所述第三字符串中取出长度为L8的第六字符串,L8小于L7,所述L8匹配本设备标识的长度;对所述第六字符串和本设备标识进行拼接,得到长度为L9的第一级密钥明文;
所述第二级密钥明文与所述第一级密钥明文相同;或者,
所述第二级密钥明文按照如下方式确定:利用随机数函数动态生成第四随机数;按照第四加密算法将第四随机数转换成所述第四加密算法所要求的长度为L10的第七字符串;从所述第七字符串中取出长度为L11的第八字符串,L11小于L10,所述L11匹配本设备标识的长度;对所述第八字符串和本设备标识进行拼接,得到长度为L12的第二级密钥明文;
所述第二级密钥单元进一步用于当第一级加密向量与第二级加密向量、第三级加密向量相同时,将所述第一级加密向量中除本设备标识之外的数据存储在本地指定存储介质;或者当第一级加密向量与第二级加密向量、第三级加密向量中的至少一个不同时,将第一级加密向量中除本设备标识之外的数据、以及与第一级加密向量不同的其它加密向量中除本设备标识之外的数据,存储在本地指定存储介质;以及,
将第一级根密钥中除本设备标识之外的数据存储在本地指定存储介质;以及,将所述第一级密钥密文、所述加密密钥存储在本地指定存储介质。
10.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1-7任一项的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311666496.1A CN117763579A (zh) | 2023-12-06 | 2023-12-06 | 数据安全管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311666496.1A CN117763579A (zh) | 2023-12-06 | 2023-12-06 | 数据安全管理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117763579A true CN117763579A (zh) | 2024-03-26 |
Family
ID=90317230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311666496.1A Pending CN117763579A (zh) | 2023-12-06 | 2023-12-06 | 数据安全管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117763579A (zh) |
-
2023
- 2023-12-06 CN CN202311666496.1A patent/CN117763579A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8442218B2 (en) | Method and apparatus for compound hashing via iteration | |
| JP6504013B2 (ja) | 暗号処理方法、暗号処理装置、および暗号処理プログラム | |
| CN107078904B (zh) | 混合密码密钥导出 | |
| US20110179281A1 (en) | Hash function using a quasi-group operation | |
| US11227037B2 (en) | Computer system, verification method of confidential information, and computer | |
| CN115567188B (zh) | 一种多键值隐匿求交方法、装置及存储介质 | |
| CN110689349A (zh) | 一种区块链中的交易哈希值存储和搜索方法及装置 | |
| CN107943450A (zh) | 随机数生成方法、装置、计算机设备及计算机可读介质 | |
| CN112469036B (zh) | 一种消息加解密方法、装置、移动终端和存储介质 | |
| EP2991264B1 (en) | Encrypted text matching system, method and program | |
| CN111475690B (zh) | 字符串的匹配方法和装置、数据检测方法、服务器 | |
| US11750389B2 (en) | System, method, and computer program product for performing hardware backed symmetric operations for password based authentication | |
| WO2019134236A1 (zh) | 密码管理方法、装置、终端设备及存储介质 | |
| US7809130B1 (en) | Password recovery system and method | |
| JP5972181B2 (ja) | 改ざん検知装置、改ざん検知方法、およびプログラム | |
| CN113095430B (zh) | 可保护隐私的模型更新方法、对象识别方法、系统、装置、介质和设备 | |
| CN117763579A (zh) | 数据安全管理方法及装置 | |
| US20200295938A1 (en) | System, method, and computer program product for performing hardware-backed password-based authentication | |
| Gao et al. | Similarity-based Secure Deduplication for IIoT Cloud Management System | |
| US20220083651A1 (en) | Protection of authentication tag computation against power and electromagnetic side-channel attacks | |
| CN117786644B (zh) | 一种人脸自身特征参与加解密的安全人脸识别系统 | |
| CN116522395B (zh) | 对大数据存储系统中的数据文件进行处理的方法及系统 | |
| CN113282543B (zh) | 具有前向安全的可验证可搜索加密方法、装置以及设备 | |
| CN118631590B (zh) | 一种轻量级身份认证方法、系统及装置 | |
| CN113409051B (zh) | 针对目标业务的风险识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |