CN118074903A - 一种集成数据加解密授权验证方法 - Google Patents
一种集成数据加解密授权验证方法 Download PDFInfo
- Publication number
- CN118074903A CN118074903A CN202410261914.7A CN202410261914A CN118074903A CN 118074903 A CN118074903 A CN 118074903A CN 202410261914 A CN202410261914 A CN 202410261914A CN 118074903 A CN118074903 A CN 118074903A
- Authority
- CN
- China
- Prior art keywords
- integrated data
- hash value
- decryption
- module
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 28
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000012795 verification Methods 0.000 title claims abstract description 16
- 238000004364 calculation method Methods 0.000 claims abstract description 9
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 4
- 238000003780 insertion Methods 0.000 claims description 3
- 230000037431 insertion Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了集成数据加解密技术领域内的一种集成数据加解密授权验证方法,包括:将获取的集成数据生成文档,同时进行哈希处理生成文档密钥;解密装置对加密后的文档数据进行解密,解密装置包括:启动模块,用于在系统上电后,加载系统引导镜像,而加载集成数据镜像;哈希计算模块,用于计算集成数据镜像得到计算哈希值;解密模块,用于通过存储的第一公钥解密签名哈希值,得到解密哈希值;判断模块,用于判断计算哈希值与解密哈希值是否相同;执行模块,用于在判断模块判断计算哈希值与解密哈希值相同时,执行集成数据镜像。本验证方法中通过验证解密哈希值和计算哈希值,起到了安全验证的作用,从而提高了集成数据加解密授权信息的安全性。
Description
技术领域
本发明涉及集成数据加解密技术领域,特别涉及一种集成数据加解密授权验证方法。
背景技术
目前,随着互联网信息技术快速发展,特别是5G、云和大数据等新技术不断发展,各行各业信息系统的安全性和保密性显得越来越重要。其中,加解密算法的研究在安全保密体系中处于核心地位,对应的,各行各业的用户也逐步增大对加解密算法的研究投入。
相较于需要各自开发出一套独立的加解密工具而言,如中国专利号为:CN116009854A的“一种数据加解密的处理方法及加解密工具”,通过为加解密工具配置至少一组服务参数,该服务参数包括有读取数据类型、加解密类型、加解密目标、加解密数据名以及加解密范围,之后根据服务配置获取待处理数据并对待处理数据进行加密或解密处理,最后生成处理结果。上述数据加解密的处理方法使用者只需要为加解密工具进行服务参数的配置即可进行加密解密处理,从而提高处理系统间加密解密的效率,降低了开发成本。
但上述数据加解密的处理方法中,存在集成数据的加密以及解密安全系数不高,在遇到恶意攻击时,容易遭到破解,严重影响数据授权的安全。
发明内容
本申请通过提供一种集成数据加解密授权验证方法,解决了现有技术中普适性加解密工具安全系数不高的问题,实现了提高集成数据加解密授权信息安全性的技术效果。
本申请实施例提供了一种集成数据加解密授权验证方法,包括:
S1:获取待处理的集成数据;
S2:将集成数据生成文档,同时生成文档密钥,所述文档密钥生成方式如下:
按照预设的哈希函数计算码因子对应的哈希值,并计算所述哈希值的平方值;
统计所述平方值的位数,并根据所述位数和预设规则获取所述平方值中的N个数值作为所述文档密钥,N为自然数,且N≤M,M为位数;
S3:解密装置获得用户授权对加密后的文档数据进行解密,所述解密装置包括:
启动模块,用于在系统上电后,加载SD密码卡内的系统引导镜像,并由所述系统引导镜像加载集成数据镜像;
哈希计算模块,用于计算所述集成数据镜像得到计算哈希值;
解密模块,用于通过存储于所述SD密码卡内的第一公钥解密附着于所述集成数据镜像上的签名哈希值,得到解密哈希值,所述签名哈希值根据所述文档密钥加密形成;
判断模块,用于判断所述计算哈希值与所述解密哈希值是否相同;
执行模块,用于在所述判断模块判断所述计算哈希值与所述解密哈希值相同时,执行集成数据镜像。
上述实施例的有益效果在于:本验证方法中通过存储于SD密码卡内的第一公钥对该签名哈希值进行解密,获取解密后的哈希值,将该解密得出的哈希值称之为解密哈希值,由于,哈希值是一段数据唯一且极其紧凑的数值表示形式,如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值,要找到散列为同一个值的两个不同的输入,在计算上来说基本上是不可能的,因此,当计算哈希值与解密哈希值相同时,则证明该加载的集成数据镜像为原始未修改的集成数据镜像,可正常引导系统启动,而当计算哈希值与解密哈希值不同时,则证明是非原始集成数据镜像,可能是经过修改的集成数据镜像,从而禁止引导启动,起到了安全验证的作用,从而提高了集成数据加解密授权信息的安全性。
在上述实施例基础上,本申请可进一步改进,具体如下:
在本申请其中一个实施例中,所述步骤S2中,所述预设规则包括:
当所述位数为奇数时,N为奇数;
当所述位数为偶数时,N为偶数。
在本申请其中一个实施例中,所述步骤S2中,所述预设规则还包括:
获取所述平方值中第p位到第q位的数值作为所述文档密钥;其中,p-1=M-q,且q-p=N-1,M为位数。
上述实施例的有益效果在于:通过上述规则选取对应特定位的中间数值作为文档密钥,进一步提高安全性。
在本申请其中一个实施例中,所述解密装置还包括:
密钥生成模块,用于触发生成包含相互匹配的所述第一公钥和第一私钥的第一公私密钥对;
加密模块,用于通过所述第一私钥对所述文档密钥加密形成签名哈希值;
代码生成模块,用于将所述签名哈希值附着于相应的所述集成数据镜像上;
加密存储模块,用于加密存储所述第一公钥;
监控模块,用于实时检测终端内所述SD密码卡的插入状态;
锁屏模块,用于在所述监控模块检测到所述SD密码卡与终端分离时,锁定终端。
上述实施例的有益效果在于:解密装置实时检测SD密码卡和终端连接状态,保持连接时才会进行解密,断开连接时锁定终端,进一步提高安全性。
在本申请其中一个实施例中,所述加密模块还用于通过存储于终端内的第二公钥加密第一随机数生成密文;
所述解密模块还用于将终端发送至所述SD密码卡的密文通过存储于所述SD密码卡内的第二私钥解密生成第二随机数。
在本申请其中一个实施例中,所述解密装置还包括:
身份认证模块,用于判断所述第一随机数与所述第二随机数是否一致,若一致,则身份验证通过。
上述实施例的有益效果在于:进行二次身份验证,进一步提高安全性。
在本申请其中一个实施例中,所述哈希计算模块还用于获取系统启动过程中的每一阶段的所述集成数据镜像的哈希值。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本发明一种集成数据加解密授权验证方法的步骤流程图;
图2为本发明一种集成数据加解密授权验证方法的解密装置系统结构示意图。
具体实施方式
下面结合具体实施方式,进一步阐明本发明,应理解这些实施方式仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
本申请实施例通过提供一种集成数据加解密授权验证方法,解决了现有技术中普适性加解密工具安全系数不高的问题,实现了提高集成数据加解密授权信息安全性的技术效果。
本申请实施例中的技术方案为解决上述问题,总体思路如下:
实施例:
如图1所示,一种集成数据加解密授权验证方法,包括:
S1:获取待处理的集成数据。
S2:将集成数据生成文档,同时进行哈希处理生成文档密钥,文档密钥生成方式如下:
按照预设的哈希函数计算码因子对应的哈希值,并计算哈希值的平方值;
统计平方值的位数,并根据位数和预设规则获取平方值中的N个数值作为文档密钥,N为自然数,且N≤M,M为位数。
关于步骤S2,需要说明的是:哈希处理,就是把任意长度的输入通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。这样可以有效减少内容空间。示例性的,假设哈希值为111112113,计算出的平方值为12345901655324769,共17位,即M=17,可以选取其中的5位数值作为文档密钥,如选取“45901”作为文档密钥。
优选的,在实际中,可以从平方值中任意选取N个数值,也可以按照预设规则选择。
当位数为奇数时,N为奇数;
当位数为偶数时,N为偶数。
示例性的,假设平方值共5位数值,N可以为1,也可以为3,也可以为5。再假设平方值共4位数值,N可以为2,也可以为4。
根据位数和预设规则获取平方值中的N个数值作为文档密钥,包括:
获取平方值中第p位到第q位的数值作为文档密钥;其中,p-1=M-q,且q-p=N-1,M为位数。
示例性的,假设平方值为12598,共5位数值,N=3。此时满足条件的p=2,q=4,即选取平方值中的第2位到第4位的数值259作为文档密钥。
再假设平方值为125876,共6位数值,N=4。此时满足条件的p=2,q=5,即选取平方值中的第2位到第5位的数值2587作为文档密钥。
需要说明的是,上述只是一种预设规则的示例,即选取位于平方值中间的N个数值作为文档密钥。实际中,也可以选用其他预设规则。例如,选取平方值中前N个数值,或者,选择平方值中后N个数值等等。在此不做具体限定。
S3:解密装置获得用户授权对加密后的文档数据进行解密。
在进行解密操作之前,系统通过弹窗发出确定和取消的信息,当用户点击确定,即获得授权,系统立即进行解密操作,当用户点击取消,无法获得授权,系统立即取消解密操作。
如图2所示,解密装置包括:
启动模块,用于在系统上电后,加载SD密码卡内的系统引导镜像,并由系统引导镜像加载集成数据镜像;
哈希计算模块,用于计算集成数据镜像得到计算哈希值;哈希计算模块还用于获取系统启动过程中的每一阶段的集成数据镜像的哈希值;
解密模块,用于通过存储于SD密码卡内的第一公钥解密附着于集成数据镜像上的签名哈希值,得到解密哈希值;解密模块还用于将终端发送至SD密码卡的密文通过存储于SD密码卡内的第二私钥解密生成第二随机数;
判断模块,用于判断计算哈希值与解密哈希值是否相同;
执行模块,用于在判断模块判断计算哈希值与解密哈希值相同时,执行集成数据镜像;
密钥生成模块,用于触发生成包含相互匹配的第一公钥和第一私钥的第一公私密钥对;
加密模块,用于通过第一私钥对前述文档密钥加密形成签名哈希值;加密模块还用于通过存储于终端内的第二公钥加密第一随机数生成密文;
代码生成模块,用于将签名哈希值附着于相应的集成数据镜像上;
加密存储模块,用于加密存储第一公钥;
监控模块,用于实时检测终端内SD密码卡的插入状态;
锁屏模块,用于在监控模块检测到SD密码卡与终端分离时,锁定终端;
身份认证模块,用于判断第一随机数与第二随机数是否一致,若一致,则身份验证通过。
关于解密装置,需要说明的是:
具体的,通过系统的启动指令加载预设于SD密码卡内的系统引导镜像。其中,SD密码卡是指具有加解密芯片和具有私有存储区的SD存储卡,具体地,在该私有存储区内设置两个子存储区,其一是存放系统引导镜像的第一子存储区,其二是存储第一公钥的第二子存储区。
系统引导镜像是指用于引导系统启动的镜像文件,在Android操作系统中,该系统引导镜像可以是Bootloader镜像文件。
集成数据镜像是指操作系统的代码镜像,在Android操作系统中,该集成数据镜像可以是kernel镜像文件。
通过SD密码卡私有接口加载SD密码卡内的系统引导镜像,在该系统引导镜像加载成功后,根据该系统引导镜像加载集成数据镜像。
计算集成数据镜像得到计算哈希值,同时,通过存储于SD密码卡内的第一公钥解密附着于该集成数据镜像上的签名哈希值,得到解密哈希值。
在系统启动之前,首先获取集成数据镜像进行哈希计算得到相应的哈希值,然后通过密钥对生成模块通生成的第一公私密钥对中的第一私钥对该哈希值进行加密形成签名哈希值,该签名哈希值也可以称之为数字签名,然后将该签名哈希值附着于相应的集成数据镜像的尾部。
在系统引导镜像加载集成数据镜像的过程中,首先通过哈希算法计算出该段集成数据镜像的哈希值,将该计算得出的哈希值称之为计算哈希值;
同时,获取位于该集成数据镜像尾部的签名哈希值,通过存储于SD密码卡内的第一公钥对该签名哈希值进行解密,获取解密后的哈希值,将该解密得出的哈希值称之为解密哈希值。
由于,哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上来说基本上是不可能的。
因此,当计算哈希值与解密哈希值相同时,则证明该加载的集成数据镜像为原始未修改的集成数据镜像,可正常引导系统启动,而当计算哈希值与解密哈希值不同时,则证明是非原始集成数据镜像,可能是经过修改的集成数据镜像,从而禁止引导启动,起到了安全验证的作用,从而提高了集成数据授权信息的安全性。
密钥生成模块,用于触发生成包含相互匹配的第一公钥和第一私钥的第一公私密钥对;加密模块,用于通过第一私钥对哈希值加密形成签名哈希值;代码生成模块,用于将签名哈希值附着于相应的集成数据镜像上。
该第一公私密钥对是由安全机构生成,也可以由终端厂商通过密钥生成器等生成,该生成的第一公私密钥对包括相互匹配的第一公钥和第一私钥。在第一公私密钥对生成之后,第一公钥和系统引导镜像最后会在设备初始化阶段烧录进SD密码卡的私有存储区中。
而第一私钥则存放在一台封闭区域的安全装置中,例如,该安全装置可以是安全机构或者终端设备厂商的安全电脑中,终端设备厂商可以通过该安全电脑于制作系统代码镜像的数字签名,此时,终端设备在该安全电脑上使用第一私钥对系统代码镜像的哈希值进行加密,也就是生成系统代码镜像的签名哈希值,并将该签名哈希值附着在对应的系统代码镜像的首端或末端。
对于普通的SD卡,在遵守普通SD协议的情况下就读写该SD卡内的数据。为防止SD卡内的第一公钥被盗取,在本实施方式的SD密码卡的中,在该SD密码卡内除了设置普通的存储区外,还设有用于存储第一公钥的私密存储区,该私密存储区使用普通的接口是无法读取的,只能通过SD密码卡私有接口才能读取。也就是说该私密存储区对于其他操作系统是不可见的,因此,当把该SD密码卡插入其他终端或电脑上时,也是无法读取存储于私密存储区的文件的。只有通过特殊接口去读取,才能够读取到。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (7)
1.一种集成数据加解密授权验证方法,其特征在于,包括以下步骤:
S1:获取待处理的集成数据;
S2:将集成数据生成文档,同时生成文档密钥,所述文档密钥生成方式如下:
按照预设的哈希函数计算码因子对应的哈希值,并计算所述哈希值的平方值;
统计所述平方值的位数,并根据所述位数和预设规则获取所述平方值中的N个数值作为所述文档密钥,N为自然数,且N≤M,M为位数;
S3:解密装置获得用户授权对加密后的文档数据进行解密,所述解密装置包括:
启动模块,用于在系统上电后,加载SD密码卡内的系统引导镜像,并由所述系统引导镜像加载集成数据镜像;
哈希计算模块,用于计算所述集成数据镜像得到计算哈希值;
解密模块,用于通过存储于所述SD密码卡内的第一公钥解密附着于所述集成数据镜像上的签名哈希值,得到解密哈希值,所述签名哈希值根据所述文档密钥加密形成;
判断模块,用于判断所述计算哈希值与所述解密哈希值是否相同;
执行模块,用于在所述判断模块判断所述计算哈希值与所述解密哈希值相同时,执行集成数据镜像。
2.根据权利要求1所述的集成数据加解密授权验证方法,其特征在于:所述步骤S2中,所述预设规则包括:
当所述位数为奇数时,N为奇数;
当所述位数为偶数时,N为偶数。
3.根据权利要求2所述的集成数据加解密授权验证方法,其特征在于:所述步骤S2中,所述预设规则还包括:
获取所述平方值中第p位到第q位的数值作为所述文档密钥;其中,p-1=M-q,且q-p=N-1,M为位数。
4.根据权利要求1所述的集成数据加解密授权验证方法,其特征在于:所述解密装置还包括:
密钥生成模块,用于触发生成包含相互匹配的所述第一公钥和第一私钥的第一公私密钥对;
加密模块,用于通过所述第一私钥对所述文档密钥加密形成所述签名哈希值;
代码生成模块,用于将所述签名哈希值附着于相应的所述集成数据镜像上;
加密存储模块,用于加密存储所述第一公钥;
监控模块,用于实时检测终端内所述SD密码卡的插入状态;
锁屏模块,用于在所述监控模块检测到所述SD密码卡与所述终端分离时,锁定所述终端。
5.根据权利要求4所述的集成数据加解密授权验证方法,其特征在于:所述加密模块还用于通过存储于所述终端内的第二公钥加密第一随机数生成密文;
所述解密模块还用于将所述终端发送至所述SD密码卡的密文通过存储于所述SD密码卡内的第二私钥解密生成第二随机数。
6.根据权利要求5所述的集成数据加解密授权验证方法,其特征在于:所述解密装置还包括:
身份认证模块,用于判断所述第一随机数与所述第二随机数是否一致,若一致,则身份验证通过。
7.根据权利要求1所述的集成数据加解密授权验证方法,其特征在于:所述哈希计算模块还用于获取系统启动过程中的每一阶段的所述集成数据镜像的哈希值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410261914.7A CN118074903A (zh) | 2024-03-07 | 2024-03-07 | 一种集成数据加解密授权验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410261914.7A CN118074903A (zh) | 2024-03-07 | 2024-03-07 | 一种集成数据加解密授权验证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118074903A true CN118074903A (zh) | 2024-05-24 |
Family
ID=91096872
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410261914.7A Pending CN118074903A (zh) | 2024-03-07 | 2024-03-07 | 一种集成数据加解密授权验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118074903A (zh) |
-
2024
- 2024-03-07 CN CN202410261914.7A patent/CN118074903A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6400823B1 (en) | Securely generating a computer system password by utilizing an external encryption algorithm | |
| US6049612A (en) | File encryption method and system | |
| US7596704B2 (en) | Partition and recovery of a verifiable digital secret | |
| US8995653B2 (en) | Generating a secret key from an asymmetric private key | |
| JP2001514834A (ja) | 安全決定性暗号鍵発生システムおよび方法 | |
| US20030219121A1 (en) | Biometric key generation for secure storage | |
| US20030084308A1 (en) | Memory encryption | |
| JP3871996B2 (ja) | データ分割管理方法及びプログラム | |
| WO2000017731A1 (en) | Volatile key apparatus for safeguarding confidential data stored in a computer system memory | |
| KR20110051181A (ko) | 데이터 보안 시스템, 방법 및 컴퓨터 판독가능 매체 | |
| JP2007013433A (ja) | 暗号化データを送受信する方法及び情報処理システム | |
| JP2004503006A (ja) | 悪質コード検出方法 | |
| CN110084599B (zh) | 密钥处理方法、装置、设备和存储介质 | |
| US7076062B1 (en) | Methods and arrangements for using a signature generating device for encryption-based authentication | |
| CN112469036A (zh) | 一种消息加解密方法、装置、移动终端和存储介质 | |
| CN116070241A (zh) | 一种移动硬盘加密控制方法 | |
| CN111884814A (zh) | 一种用于智能终端防伪造的方法和系统 | |
| CN114491611A (zh) | 基于备份数据的安全芯片防攻击方法及装置 | |
| US7809130B1 (en) | Password recovery system and method | |
| CN114915504A (zh) | 安全芯片初始认证方法及系统 | |
| JP2007094879A (ja) | オペレーティングシステム用基本プログラムの認証システム、これに用いるコンピュータ、およびコンピュータプログラム | |
| JPH10271107A (ja) | データ暗号化方法及び装置 | |
| JPH10271104A (ja) | 暗号化方法及び復号化方法 | |
| CN111010275A (zh) | 密钥管理方法、生成密钥的方法和密钥管理系统 | |
| JP4350961B2 (ja) | データ処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |