TW201835809A - 密鑰加密方法、裝置和系統 - Google Patents

密鑰加密方法、裝置和系統 Download PDF

Info

Publication number
TW201835809A
TW201835809A TW106138272A TW106138272A TW201835809A TW 201835809 A TW201835809 A TW 201835809A TW 106138272 A TW106138272 A TW 106138272A TW 106138272 A TW106138272 A TW 106138272A TW 201835809 A TW201835809 A TW 201835809A
Authority
TW
Taiwan
Prior art keywords
key
client
information header
server
encryption algorithm
Prior art date
Application number
TW106138272A
Other languages
English (en)
Inventor
徐蘇杭
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201835809A publication Critical patent/TW201835809A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本發明實施例公開了一種密鑰加密方法、裝置和系統,客戶端並不會儲存用於對密鑰進行加密的加密演算法,而僅儲存密鑰被加密演算法加密後的資訊頭,使得即使客戶端被攻擊,攻擊者也無法直接獲得用於解密資訊頭的加密演算法,提高了密鑰在客戶端的安全性。當客戶端需要使用密鑰加密所獲取資料時,可以通過所儲存的第一資訊頭向伺服器請求獲取密鑰,由安全性更高的伺服器根據所儲存的第一加密演算法來還原出該密鑰,並向客戶端發送根據第二加密演算法加密該密鑰所得到的第二資訊頭,客戶端可以使用從該第二資訊頭中獲取的該密鑰對資料進行加密,使得客戶端在不儲存加密演算法的情況下保證了所獲取資料的安全。

Description

密鑰加密方法、裝置和系統
本發明涉及資料處理領域,特別是涉及一種密鑰加密方法、裝置和系統。
為了保證客戶端的資料安全,客戶端獲取的資料需要通過密鑰加密後再儲存在客戶端本地。若該客戶端遭到攻擊,攻擊者獲取的資料都是被加密過的,無法直接使用。   傳統方式中,客戶端的密鑰是由客戶端自己產生的,為了提高密鑰的安全性,客戶端一般通過加密演算法將該密鑰加密後儲存在客戶端本地,並在需要使用密鑰加密資料時,可以根據本地儲存的加密演算法從加密後的密鑰中還原出密鑰。   然而,由於加密演算法儲存在客戶端本地,容易被攻擊者非法獲取,使得攻擊者可以通過該加密演算法從加密後的密鑰中還原出密鑰,從而根據密鑰破解客戶端中儲存的加密資料。
為了解決上述技術問題,本發明實施例提供了一種密鑰加密方法、裝置和系統,不需要在客戶端儲存加密演算法,提高了密鑰在客戶端的安全性。   本發明實施例公開了如下技術方案:   第一方面,本發明實施例提供了一種密鑰加密系統,該系統包括客戶端和伺服器:   該客戶端,用於向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的;   該伺服器,用於獲取該客戶端發送的用於請求獲取該密鑰的該第一資訊頭;根據該第一加密演算法從該第一資訊頭中還原出該密鑰;根據第二加密演算法加密該密鑰得到第二資訊頭;向該客戶端發送該第二資訊頭和該密鑰。   第二方面,本發明實施例提供了一種密鑰加密方法,該方法包括:   客戶端向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該客戶端從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的。   可選的,在該客戶端向伺服器發送用於請求獲取密鑰的第一資訊頭之前,還包括:   該客戶端判斷本地是否儲存有資訊頭;   若未儲存,該客戶端向該伺服器發送密鑰獲取請求;   該客戶端從該伺服器獲取該第一資訊頭和該密鑰;   該客戶端將該第一資訊頭儲存至本地。   可選的,該客戶端判斷本地是否儲存有資訊頭,包括:   若儲存有資訊頭,該客戶端將儲存的資訊頭作為第一資訊頭,並執行向伺服器發送用於請求獲取密鑰的第一資訊頭的步驟。   可選的,在該客戶端從該伺服器獲取第二資訊頭和該密鑰之後,還包括:   該客戶端將該第二資訊頭儲存在本地,並從本地刪除該第一資訊頭。   可選的,該第一加密演算法和該第二加密演算法不同。   可選的,還包括:   該客戶端將該密鑰儲存在記憶體中。   第三方面,本發明實施例提供了一種密鑰加密裝置,該裝置包括發送單元和接收單元:   該發送單元,用於向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該接收單元,用於從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的。   可選的,還包括判斷單元:   該判斷單元,用於判斷本地是否儲存有資訊頭;若未儲存,向該伺服器發送密鑰獲取請求;從該伺服器獲取該第一資訊頭和該密鑰;將該第一資訊頭儲存至本地。   可選的,該判斷單元還用於若儲存有資訊頭,將儲存的資訊頭作為第一資訊頭,並觸發該發送單元。   可選的,該接收單元還用於將該第二資訊頭儲存在本地,並從本地刪除該第一資訊頭。   可選的,該第一加密演算法和該第二加密演算法不同。   可選的,該接收單元還用於將該密鑰儲存在記憶體中。   第四方面,本發明實施例提供了一種密鑰加密方法,該方法包括:   伺服器獲取客戶端發送的用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該伺服器根據該第一加密演算法從該第一資訊頭中還原出該密鑰;   該伺服器根據第二加密演算法加密該密鑰得到第二資訊頭;   該伺服器向該客戶端發送該第二資訊頭和該密鑰。   可選的,該第一資訊頭中還包括該第一加密演算法的標識,在該伺服器根據該第一加密演算法從該第一資訊頭中還原出該密鑰之前,包括:   該伺服器根據該第一加密演算法的標識查找出該第一加密演算法。   可選的,在該伺服器獲取客戶端發送的用於請求獲取密鑰的第一資訊頭之前,還包括:   該伺服器獲取該客戶端發送的密鑰獲取請求;   該伺服器將隨機產生的密鑰串作為該密鑰;   該伺服器通過該第一加密演算法加密該密鑰得到該第一資訊頭;   該伺服器向該客戶端發送該第一資訊頭和該密鑰。   可選的,該第一加密演算法和該第二加密演算法不同。   第五方面,本發明實施例提供了一種密鑰加密裝置,該裝置包括獲取單元、還原單元、產生單元和發送單元:   該獲取單元,用於獲取客戶端發送的用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該還原單元,用於根據該第一加密演算法從該第一資訊頭中還原出該密鑰;   該產生單元,用於根據第二加密演算法加密該密鑰得到第二資訊頭;   該發送單元,用於向該客戶端發送該第二資訊頭和該密鑰。   可選的,該第一資訊頭中還包括該第一加密演算法的標識,該還原單元還用於根據該第一加密演算法的標識查找出該第一加密演算法。   可選的,該獲取單元還用於獲取該客戶端發送的密鑰獲取請求;將隨機產生的密鑰串作為該密鑰;通過該第一加密演算法加密該密鑰得到該第一資訊頭;向該客戶端發送該第一資訊頭和該密鑰。   可選的,該第一加密演算法和該第二加密演算法不同。   由上述技術方案可以看出,客戶端並不會儲存用於對密鑰進行加密的加密演算法,而僅儲存密鑰被加密演算法加密後的資訊頭,使得即使客戶端被攻擊,攻擊者也無法直接獲得用於解密資訊頭的加密演算法,提高了密鑰在客戶端的安全性。當客戶端需要使用密鑰加密所獲取資料時,可以通過所儲存的第一資訊頭向伺服器請求密鑰,由安全性更高的伺服器根據所儲存的第一加密演算法來還原出該密鑰,客戶端可以使用從伺服器獲取的該密鑰對資料進行加密,使得客戶端在不儲存加密演算法的情況下保證了所獲取資料的安全。
為使本發明實施例的目的、技術方案和優點更加清楚,下面將結合本發明實施例中的圖式,對本發明實施例中的技術方案進行清楚地描述,顯然,所描述的實施例是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。   大數據時代,資料安全越來越受到人們的重視,為了保證客戶端的資料安全,客戶端往往將獲取的資料通過密鑰加密後再儲存。當資料通過密鑰加密後,資料的安全性得到提高,但當密鑰一旦被攻擊者非法獲取後,攻擊者依據獲取的密鑰便可以獲取到資料,因此,為了資料的安全,需要保證密鑰的安全性。傳統方式中,客戶端的密鑰是由客戶端自己產生的,為了提高密鑰的安全性,客戶端一般通過加密演算法將該密鑰加密後儲存在客戶端本地,並在需要使用密鑰時,可以根據本地儲存的加密演算法從加密後的密鑰中還原出密鑰。   由於加密演算法儲存在客戶端本地,容易被攻擊者非法獲取,從而可以通過該加密演算法還原出密鑰,根據密鑰破解出客戶端中儲存的加密資料,造成客戶端資料的洩露,由於資料中可能涉及到隱私等重要資訊,會造成嚴重的影響。例如,企業發生資料洩露事件,會導致企業在公眾中的威望和信任度下降,甚至會對企業的經濟利益造成重創。   針對上述問題,本發明實施例提供一種密鑰加密方法、裝置和系統,客戶端僅儲存密鑰被加密演算法加密後的資訊頭,而該加密演算法儲存在安全性更高的伺服器中。當客戶端需要使用密鑰時,通過向伺服器發送請求獲取密鑰的資訊頭,獲取到密鑰從而對資料進行處理,充分保證了客戶端資料的安全。   基於上述基本思想,本發明實施例主要通過客戶端與伺服器的交互來實現。可以參見圖1所示,客戶端100本地儲存有由密鑰經過加密後得到的資訊頭,伺服器200儲存有相應的加密演算法。當客戶端100需要依據密鑰對所獲取資料進行加密時,可以通過向伺服器200發送請求獲取密鑰的第一資訊頭,來獲取密鑰。   客戶端100所獲取資料可以是客戶端100自身產生的資料,例如,用戶通過客戶端登錄旺旺,產生的聊天記錄即為客戶端自身產生的資料。客戶端100所獲取資料也可以是通過其它方式從外部接收到的資料,例如,用戶通過客戶端接收伺服器發送的資料。該資料往往涉及重要的資訊,可以利用密鑰對資料進行加密處理後再儲存到客戶端本地,以保證資料的安全性。   密鑰可以是將資料加密為密文或者從密文還原出資料的過程中所使用的加密參數。例如,用戶可以將獲取的資料{A1、A2、A3},通過密鑰加密成密文{B1、B2、B3},並儲存;當用戶需要讀取該資料時,可以將儲存的密文{B1、B2、B3}通過密鑰解密出資料{A1、A2、A3}。   加密演算法是對密鑰進行加密的一種演算法,除了可以用於對密鑰進行加密得到資訊頭之外,還可以用於對資訊頭進行解密還原出密鑰。在本發明中,該加密演算法儲存在相較於客戶端100的安全性更高的伺服器200中。   其中,伺服器所儲存的加密演算法中可以包括第一加密演算法和第二加密演算法。伺服器200可以利用第二加密演算法對密鑰進行加密得到第二資訊頭,並將第二資訊頭和密鑰發送給客戶端100。   上述資訊頭即為將密鑰經過加密演算法加密後得到的資訊頭,可以儲存在客戶端100本地。其中,資訊頭中除了包含密鑰加密後的資訊外,還可以包含用戶名等加密後的資訊,即可以通過加密演算法對密鑰、用戶名等資訊進行加密得到資訊頭。   針對於上述場景,通過一個具體的示例來進行介紹,例如,用戶通過客戶端登錄旺旺時,客戶端將本地儲存的資訊頭1發送給伺服器,用於請求獲取密鑰,伺服器依據接收的資訊頭1查找對應的加密演算法1,從資訊頭1中還原出密鑰,並使用加密演算法2對密鑰加密產生資訊頭2,並將該資訊頭2和密鑰通過安全通道發送給客戶端,客戶端可以依據獲取的密鑰對資料進行加密,並將加密後的密文儲存在客戶端本地或者依據獲取的密鑰對加密後的資料進行解密,將解密後的資料進行展示。   接下來結合圖2來說明本發明實施例所提供的密鑰加密的方法。   如圖2所示,為本發明實施例提供的一種密鑰加密的方法的流程圖,該方法包括:   S201:客戶端向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的。   在本發明實施例中,當客戶端需要對獲取的資料進行加密處理,或者對加密後的資料進行解密處理時,可以使用從伺服器獲取的密鑰。為了避免持久儲存該密鑰導致密鑰洩露,客戶端一般將該密鑰緩存在記憶體中,而並不儲存在持久儲存區域例如硬碟中。在客戶端獲取資料時,可以從記憶體中調取該密鑰對資料進行加密。   由於緩存在記憶體中的密鑰容易被刪除,例如在記憶體更新、客戶端重啟的情況下。故若客戶端從記憶體中未找到所需的密鑰,客戶端需要從伺服器重新獲取該密鑰。在本發明中,由於伺服器中儲存有第一加密演算法,伺服器可以依據第一加密演算法可以從第一資訊頭中還原出密鑰。因此,客戶端可以使用本地儲存的第一資訊頭作為獲取密鑰的依據。第一資訊頭是根據對該密鑰使用第一加密演算法進行加密後得到的,即使被第三方獲取,被非法解密的難度也較大,故客戶端一般可以將第一資訊頭儲存在持久儲存區域中。   S202:伺服器獲取客戶端發送的用於請求獲取密鑰的第一資訊頭。   S203:該伺服器根據該第一加密演算法從該第一資訊頭中還原出該密鑰。   伺服器中儲存有產生資訊頭的加密演算法,針對不同客戶端的密鑰,伺服器可以採用不同的加密演算法進行加密,也可以採用相同的加密演算法進行加密。故當伺服器獲取到該客戶端的第一資訊頭時,可以先確定出加密得到第一資訊頭時所採用的第一加密演算法,再使用該第一加密演算法從第一資訊頭中還原出密鑰。   例如,伺服器依據獲取到的資訊頭1,從儲存的加密演算法中,查找對應的加密演算法1,利用該加密演算法1從資訊頭1中還原出密鑰。   為了便於伺服器迅速查找到對應第一資訊頭的第一加密演算法,伺服器在通過第一加密演算法產生第一資訊頭時可以在第一資訊頭中攜帶第一加密演算法的標識。具體的,在該伺服器根據該第一加密演算法從該第一資訊頭中還原出該密鑰之前,包括:   該伺服器根據該第一加密演算法的標識查找出該第一加密演算法。   舉例說明,加密演算法的標識可以起到標識加密演算法的作用,具體的,加密演算法的標識可以用於標明所標識加密演算法的種類,也可以用於標明所標識加密演算法的版本資訊,也可以既用於標明所標識加密演算法的種類,也標明所標識加密演算法的版本資訊。例如,當標識為加密演算法的版本資訊時,伺服器使用加密演算法版本V1.0的加密演算法對密鑰進行加密,產生包含密鑰加密後的資訊及加密演算法版本的資訊頭{“EncryptedData”:“qbduada1232j adfijijiafadfasdfa7667766adfds67767sf667sdfhhffs”, “EncryptVersion”:“1.0”},其中,“EncryptedData”用於表示加密後的密鑰,“EncryptVersion”用於表示加密演算法的版本資訊為“1.0”。   需要說明的是,在資訊頭中攜帶對應的加密演算法的標識是便於伺服器查找加密演算法的一種可選的方式,不攜帶該標識並不會影響伺服器對加密演算法的順利查找。   S204:該伺服器根據第二加密演算法加密該密鑰得到第二資訊頭。   伺服器在還原出客戶端所需密鑰後,在將密鑰發給該客戶端之前,可以將該密鑰通過加密演算法進行加密,並將加密得到的第二資訊頭和密鑰一起發給客戶端。客戶端在再次需要從伺服器獲取密鑰時,可以使用該第二資訊頭來請求獲取密鑰。   在一些場景下,本步驟所使用的第二加密演算法和加密得到第一資訊頭時所使用的第一加密演算法可以相同,例如,第一加密演算法為演算法A,當伺服器接收到客戶端用於請求獲取密鑰的第一資訊頭時,若伺服器可以明確該演算法A仍具有較高的安全性,那麼伺服器可以依舊使用演算法A對該密鑰進行加密,也就是說第二加密演算法仍可以為演算法A,即第二加密演算法與第一加密演算法相同,相應的,通過第二加密演算法得到的第二資訊頭也可以與第一資訊頭相同。   在一些場景下,第二加密演算法和第一加密演算法也可以不同,例如,第一加密演算法為演算法A,當伺服器接收到客戶端用於請求獲取密鑰的第一資訊頭時或之前,伺服器檢測到演算法A有可能已經被攻擊者獲取或破解,那麼繼續使用演算法A將會降低密鑰的安全性,這種情況下,伺服器可以不再使用演算法A,而使用演算法B作為第二加密演算法對密鑰進行加密,以保證密鑰的安全性。這裡的演算法B可以是與演算法A為不同種類的加密演算法。演算法B也可以是基於演算法A的改進版本,例如演算法A是一個加密演算法的版本1,演算法B可以是這個加密演算法的版本2。   除了伺服器檢測到演算法A可能洩露的場景下可以使用不同於第一加密演算法的第二加密演算法,伺服器也可以採用週期性更換加密演算法的方式。例如伺服器可以每隔固定週期更換一次加密演算法,第一加密演算法可以為一個固定週期內所使用的加密演算法,第二加密演算法可以為另一個固定週期內所使用的加密演算法。在這種情況下,第二加密演算法同樣也可以是與第一加密演算法不同種類的加密演算法,也可以是基於第一加密演算法的改進版本。   S205:該伺服器向該客戶端發送該第二資訊頭和該密鑰。   伺服器將S203還原出的密鑰,以及S204通過第二加密演算法加密該密鑰得到的第二資訊頭髮送給客戶端。   其中,伺服器將上述資訊發送給客戶端的方式可以有多種,可以是伺服器在還原出密鑰並且得到第二資訊頭後,直接將其發送給客戶端。也可以由客戶端向伺服器發送請求消息,伺服器在接收到該請求消息後,將該第二資訊頭和該密鑰發送給客戶端,本發明實施例不對其發送的方式進行限定。   S206:該客戶端從該伺服器獲取該第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的。   客戶端將獲取的第二資訊頭儲存在客戶端本地,以便於客戶端再次需要從伺服器獲取密鑰時,可以使用儲存的第二資訊頭來請求獲取密鑰。   為了避免持久儲存該密鑰導致密鑰洩露,客戶端一般將該密鑰緩存在記憶體中,在客戶端獲取資料時,可以從記憶體中調取該密鑰對資料進行加密。為了進一步提高密鑰的安全性,當客戶端完成對資料的加密後,可以將密鑰從客戶端記憶體中刪除。   考慮到在完成對當前資料的加密後,可能在較短的時間間隔內,有新獲取的資料需要加密,此時若在當前資料加密結束後,將密鑰刪除,則在需要加密新獲取的資料時客戶端需要重新獲取密鑰。   針對上述情況,可以對儲存在客戶端記憶體中的密鑰進行時間限制,可以設置時間段,在客戶端處理完當前資料,在設置的時間段結束後,若沒有新的資料需要加密則將密鑰從客戶端記憶體中刪除。例如,客戶端將獲取的密鑰儲存在記憶體中,利用該密鑰對資料{A1、A2、A3}進行加密處理,處理完成後,等待10秒,若在10秒內無新的資料需要處理,則將該密鑰刪除。   同理,當客戶端需要對資料進行解密時,也可以將獲取的密鑰儲存在記憶體中,並設置時間段,在設置的時間段結束後若沒有資料需要解密則將密鑰從客戶端記憶體中刪除。   其中,時間段的設置可以是客戶端預先設置,也可以是客戶端需要對資料進行處理時,進行設置,本發明實施例並不對其做限定。設置的時間段的長短可以依據實際操作的安全性進行選擇,對其不做限定。   通過將獲取的密鑰儲存在客戶端記憶體中,並設置時間段對密鑰的儲存時間進行限制,在保證密鑰安全的前提下,減少了客戶端和伺服器的工作量,充分提高了資料加密或解密的工作效率。   此外,在客戶端記憶體中儲存密鑰的期間,若客戶端檢測到異常情況,例如,客戶端被非法攻擊,則客戶端可以直接將儲存的密鑰刪除,以保證資料的安全。   在S206中,客戶端將獲取的第二資訊頭儲存在本地,當客戶端再次需要從伺服器獲取密鑰時,可以使用第二資訊頭來請求獲取密鑰,但是由於客戶端本地儲存有第一資訊頭,可能會造成客戶端發送請求獲取密鑰時資訊頭的混淆,例如,客戶端可能仍使用第一資訊頭向伺服器發送獲取密鑰的請求。   為了避免出現上述問題,在客戶端從伺服器獲取到第二資訊頭和密鑰之後,客戶端可以將該第二資訊頭儲存在本地,並從本地刪除該第一資訊頭。例如,客戶端本地儲存由加密演算法A對密鑰加密後得到的資訊頭1,當伺服器將通過加密演算法B對密鑰加密後得到的資訊頭2發送給客戶端後,客戶端可以將本地儲存的資訊頭1刪除,並將資訊頭2儲存在本地。使得客戶端本地只會儲存最近一次收到的資訊頭,提高了安全性。   在客戶端獲取到第二資訊頭後,通過刪除第一資訊頭,儲存第二資訊頭,以便於客戶端可以直接依據本地儲存的第二資訊頭發送請求獲取密鑰。   由上述內容可知,本實施例提供的密鑰加密的方法,客戶端並不會儲存用於對密鑰進行加密的加密演算法,而僅儲存密鑰被加密演算法加密後的資訊頭,使得即使客戶端被攻擊,攻擊者也無法直接獲得用於解密資訊頭的加密演算法,提高了密鑰在客戶端的安全性。當客戶端需要使用密鑰加密所獲取資料時,可以通過所儲存的第一資訊頭向伺服器請求密鑰,由安全性更高的伺服器根據所儲存的第一加密演算法來還原出該密鑰,客戶端可以使用從伺服器獲取的該密鑰對資料進行加密,使得客戶端在不儲存加密演算法的情況下保證了所獲取資料的安全。   對於上述實施例,在客戶端通過向伺服器發送資訊頭來請求獲取密鑰之前,客戶端本地可能已經儲存有資訊頭,則執行上述操作即可,也可能客戶端本地中未儲存資訊頭,在執行上述操作步驟前需要先從伺服器獲取資訊頭,因此,在S201之前,還可以增加對客戶端本地是否儲存有資訊頭的判斷。如圖3所示,在客戶端向伺服器發送用於請求獲取密鑰的第一資訊頭之前,還包括:   S301:客戶端判斷本地是否儲存有資訊頭,若未儲存,則執行S302。   在客戶端發送請求獲取密鑰的資訊頭之前,可以先對客戶端本地是否儲存有資訊頭進行判斷。若未儲存,則需要獲取資訊頭;若儲存有消息頭,則可以將儲存的資訊頭作為第一資訊頭,並執行向伺服器發送用於請求獲取密鑰的第一資訊頭的步驟。   其中,客戶端本地未儲存資訊頭的原因有多種,可能是客戶端首次需要對資料進行加密操作,之前並未向伺服器請求獲取過密鑰,故客戶端本地並未儲存有密鑰對應的資訊頭。也可能是客戶端本地儲存的資訊頭被誤刪等原因造成本地儲存資訊頭的丟失的情況。   S302:該客戶端向伺服器發送密鑰獲取請求。   當客戶端中未儲存資訊頭時,則無法通過發送資訊頭來獲取密鑰,此時,當客戶端需要獲取密鑰時,可以向伺服器發送密鑰獲取請求。   S303:該伺服器獲取該客戶端發送的密鑰獲取請求。   S304:該伺服器將隨機產生的密鑰串作為該密鑰。   在本發明中,客戶端所使用的密鑰可以由伺服器產生。伺服器可以針對一個客戶端產生一個對應的密鑰,也可以將產生的一個密鑰分配給多個客戶端。為了提高密鑰的破解難度,伺服器可以採用隨機的方式產生一串字符串作為密鑰,例如,伺服器可以將數字(0-9)、字母(A-Z)和符號“-”隨機組合出的一個密鑰串344A2F6F-DB62-DE45-BEF1-4A49E89FB7CE,作為密鑰。   密鑰串的隨機產生,提高了破解密鑰的複雜度,進一步保證了密鑰的安全性。   需要說明的是,密鑰的隨機產生是一種可選的方式,本發明實施例中對密鑰的產生方式不作限定。   S305:該伺服器通過第一加密演算法加密該密鑰得到第一資訊頭。   為了便於後續操作中伺服器可以迅速查找到對應第一資訊頭的第一加密演算法,伺服器在得到第一資訊頭時可以在第一資訊頭中攜帶第一加密演算法的標識,該步驟與S203中在資訊頭中攜帶加密演算法標識類似,在此不再贅述。   S306:該伺服器向該客戶端發送該第一資訊頭和該密鑰。   伺服器可以通過安全通道將資訊頭和密鑰發送給客戶端,其中發送的方式,與S205伺服器向客戶端發送密鑰和資訊頭的發送方式類似,在此不再贅述。   S307:該客戶端從該伺服器獲取該第一資訊頭和該密鑰,並將該第一資訊頭儲存至本地。   客戶端將獲取的資訊頭儲存在客戶端本地,便於下次需要獲取密鑰時,可以直接向伺服器發送請求獲取密鑰的資訊頭,而不需要再重複執行S301-S307的操作,提高了密鑰加密的工作效率。   客戶端會將獲取的密鑰儲存在記憶體中,該操作與S206中介紹的將獲取的密鑰儲存在記憶體中類似,在此不再贅述。   圖4為本發明實施例提供的一種密鑰加密系統的系統結構圖,該系統包括客戶端401和伺服器402:   客戶端401,用於向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的。   伺服器402,用於獲取該客戶端發送的用於請求獲取該密鑰的該第一資訊頭;根據該第一加密演算法從該第一資訊頭中還原出該密鑰;根據第二加密演算法加密該密鑰得到第二資訊頭;向該客戶端發送該第二資訊頭和該密鑰。   需要注意的是,圖4所對應實施例中的特徵均可以參見圖1-3所對應實施例中相關特徵的相關描述,這裡不再贅述。   可見,客戶端並不會儲存用於對密鑰進行加密的加密演算法,而僅儲存密鑰被加密演算法加密後的資訊頭,使得即使客戶端被攻擊,攻擊者也無法直接獲得用於解密資訊頭的加密演算法,提高了密鑰在客戶端的安全性。當客戶端需要使用密鑰加密所獲取資料時,可以通過所儲存的第一資訊頭向伺服器請求密鑰,由安全性更高的伺服器根據所儲存的第一加密演算法來還原出該密鑰,客戶端可以使用從伺服器獲取的該密鑰對資料進行加密,使得客戶端在不儲存加密演算法的情況下保證了所獲取資料的安全。   圖5為本發明實施例提供的一種密鑰加密裝置的裝置結構圖,該裝置包括發送單元501和接收單元502:   發送單元501,用於向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的。   接收單元502,用於從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的。   可選的,還包括判斷單元:   該判斷單元,用於判斷本地是否儲存有資訊頭;若未儲存,向該伺服器發送密鑰獲取請求;從該伺服器獲取該第一資訊頭和該密鑰;將該第一資訊頭儲存至本地。   可選的,該判斷單元還用於若儲存有資訊頭,將儲存的資訊頭作為第一資訊頭,並觸發該發送單元。   可選的,該接收單元還用於將該第二資訊頭儲存在本地,並從本地刪除該第一資訊頭。   可選的,該第一加密演算法和該第二加密演算法不同。   可選的,該接收單元還用於將該密鑰儲存在記憶體中。   需要注意的是,圖5所對應實施例中的特徵均可以參見圖1-3所對應實施例中相關特徵的相關描述,這裡不再贅述。   可見,客戶端並不會儲存用於對密鑰進行加密的加密演算法,而僅儲存密鑰被加密演算法加密後的資訊頭,使得即使客戶端被攻擊,攻擊者也無法直接獲得用於解密資訊頭的加密演算法,提高了密鑰在客戶端的安全性。當客戶端需要使用密鑰加密所獲取資料時,可以通過所儲存的第一資訊頭向伺服器請求密鑰,由安全性更高的伺服器根據所儲存的第一加密演算法來還原出該密鑰,客戶端可以使用從伺服器獲取的該密鑰對資料進行加密,使得客戶端在不儲存加密演算法的情況下保證了所獲取資料的安全。   圖6為本發明實施例提供的一種密鑰加密裝置的裝置結構圖,該裝置包括獲取單元601、還原單元602、產生單元603和發送單元604:   獲取單元601,用於獲取客戶端發送的用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的。   還原單元602,用於根據該第一加密演算法從該第一資訊頭中還原出該密鑰。   產生單元603,用於根據第二加密演算法加密該密鑰得到第二資訊頭。   發送單元604,用於向該客戶端發送該第二資訊頭和該密鑰。   可選的,該第一資訊頭中還包括該第一加密演算法的標識,該還原單元還用於根據該第一加密演算法的標識查找出該第一加密演算法。   可選的,該獲取單元還用於獲取該客戶端發送的密鑰獲取請求;將隨機產生的密鑰串作為該密鑰;通過該第一加密演算法加密該密鑰得到該第一資訊頭;向該客戶端發送該第一資訊頭和該密鑰。   可選的,該第一加密演算法和該第二加密演算法不同。   需要注意的是,圖6所對應實施例中的特徵均可以參見圖1-3所對應實施例中相關特徵的相關描述,這裡不再贅述。   可見,客戶端並不會儲存用於對密鑰進行加密的加密演算法,而僅儲存密鑰被加密演算法加密後的資訊頭,使得即使客戶端被攻擊,攻擊者也無法直接獲得用於解密資訊頭的加密演算法,提高了密鑰在客戶端的安全性。當客戶端需要使用密鑰加密所獲取資料時,可以通過所儲存的第一資訊頭向伺服器請求密鑰,由安全性更高的伺服器根據所儲存的第一加密演算法來還原出該密鑰,客戶端可以使用從伺服器獲取的該密鑰對資料進行加密,使得客戶端在不儲存加密演算法的情況下保證了所獲取資料的安全。   本領域普通技術人員可以理解:實現上述方法實施例的全部或部分步驟可以通過程式指令相關的硬體來完成,前述程式可以儲存於一計算機可讀取儲存介質中,該程式在執行時,執行包括上述方法實施例的步驟;而前述的儲存介質可以是下述介質中的至少一種:唯讀記憶體(英文:read-only memory,縮寫:ROM)、RAM、磁碟或者光碟等各種可以儲存程式代碼的介質。   需要說明的是,本說明書中的各個實施例均採用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於設備及系統實施例而言,由於其基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。以上所描述的設備及系統實施例僅僅是示意性的,其中作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模組來實現本實施例方案的目的。本領域普通技術人員在不付出創造性勞動的情況下,即可以理解並實施。   以上所述,僅為本發明較佳的具體實施方式,但本發明的保護範圍並不局限於此,任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內,可輕易想到的變化或替換,都應涵蓋在本發明的保護範圍之內。因此,本發明的保護範圍應該以申請專利範圍的保護範圍為準。
100‧‧‧客戶端
200‧‧‧伺服器
S201~S206‧‧‧步驟
S301~S307‧‧‧步驟
401‧‧‧客戶端
402‧‧‧伺服器
501‧‧‧發送單元
502‧‧‧接收單元
601‧‧‧獲取單元
602‧‧‧還原單元
603‧‧‧產生單元
604‧‧‧發送單元
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的圖式作簡單地介紹,顯而易見地,下面描述中的圖式僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些圖式獲得其他的圖式。   圖1為本發明實施例提供的一種密鑰加密的系統示意圖;   圖2為本發明實施例提供的一種密鑰加密的方法的流程圖;   圖3為本發明實施例提供的另一種密鑰加密的方法的流程圖;   圖4為本發明實施例提供的一種密鑰加密系統的系統結構圖;   圖5為本發明實施例提供的一種密鑰加密裝置的裝置結構圖;   圖6為本發明實施例提供的一種密鑰加密裝置的裝置結構圖。

Claims (13)

  1. 一種密鑰加密系統,其特徵在於,該系統包括客戶端和伺服器:   該客戶端,用於向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的;   該伺服器,用於獲取該客戶端發送的用於請求獲取該密鑰的該第一資訊頭;根據該第一加密演算法從該第一資訊頭中還原出該密鑰;根據第二加密演算法加密該密鑰得到第二資訊頭;向該客戶端發送該第二資訊頭和該密鑰。
  2. 一種密鑰加密方法,其特徵在於,該方法包括:   客戶端向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該客戶端從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的。
  3. 根據請求項2所述的方法,其中,在該客戶端向伺服器發送用於請求獲取密鑰的第一資訊頭之前,還包括:   該客戶端判斷本地是否儲存有資訊頭;   若未儲存,該客戶端向該伺服器發送密鑰獲取請求;   該客戶端從該伺服器獲取該第一資訊頭和該密鑰;   該客戶端將該第一資訊頭儲存至本地。
  4. 根據請求項3所述的方法,其中,該客戶端判斷本地是否儲存有資訊頭,包括:   若儲存有資訊頭,該客戶端將儲存的資訊頭作為第一資訊頭,並執行向伺服器發送用於請求獲取密鑰的第一資訊頭的步驟。
  5. 根據請求項2所述的方法,其中,在該客戶端從該伺服器獲取第二資訊頭和該密鑰之後,還包括:   該客戶端將該第二資訊頭儲存在本地,並從本地刪除該第一資訊頭。
  6. 根據請求項2至5任一項所述的方法,其中,該第一加密演算法和該第二加密演算法不同。
  7. 根據請求項2至5任一項所述的方法,其中,還包括:   該客戶端將該密鑰儲存在記憶體中。
  8. 一種密鑰加密裝置,其特徵在於,該裝置包括發送單元和接收單元:   該發送單元,用於向伺服器發送用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該接收單元,用於從該伺服器獲取第二資訊頭和該密鑰,該第二資訊頭為該伺服器根據第二加密演算法對該密鑰加密得到的;   其中,還包括判斷單元:   該判斷單元,用於判斷本地是否儲存有資訊頭;若未儲存,向該伺服器發送密鑰獲取請求;從該伺服器獲取該第一資訊頭和該密鑰;將該第一資訊頭儲存至本地;   其中,該判斷單元還用於若儲存有資訊頭,將儲存的資訊頭作為第一資訊頭,並觸發該發送單元;   其中,該接收單元還用於將該第二資訊頭儲存在本地,並從本地刪除該第一資訊頭;   其中,該第一加密演算法和該第二加密演算法不同;   其中,該接收單元還用於將該密鑰儲存在記憶體中。
  9. 一種密鑰加密方法,其特徵在於,該方法包括:   伺服器獲取客戶端發送的用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該伺服器根據該第一加密演算法從該第一資訊頭中還原出該密鑰;   該伺服器根據第二加密演算法加密該密鑰得到第二資訊頭;   該伺服器向該客戶端發送該第二資訊頭和該密鑰。
  10. 根據請求項9所述的方法,其中,該第一資訊頭中還包括該第一加密演算法的標識,在該伺服器根據該第一加密演算法從該第一資訊頭中還原出該密鑰之前,包括:   該伺服器根據該第一加密演算法的標識查找出該第一加密演算法。
  11. 根據請求項9所述的方法,其中,在該伺服器獲取客戶端發送的用於請求獲取密鑰的第一資訊頭之前,還包括:   該伺服器獲取該客戶端發送的密鑰獲取請求;   該伺服器將隨機產生的密鑰串作為該密鑰;   該伺服器通過該第一加密演算法加密該密鑰得到該第一資訊頭;   該伺服器向該客戶端發送該第一資訊頭和該密鑰。
  12. 根據請求項9至11任一項所述的方法,其中,該第一加密演算法和該第二加密演算法不同。
  13. 一種密鑰加密裝置,其特徵在於,該裝置包括獲取單元、還原單元、產生單元和發送單元:   該獲取單元,用於獲取客戶端發送的用於請求獲取密鑰的第一資訊頭,該密鑰為該客戶端用於加密該客戶端所獲取資料的密鑰,該第一資訊頭為該伺服器通過第一加密演算法對該密鑰進行加密得到的;   該還原單元,用於根據該第一加密演算法從該第一資訊頭中還原出該密鑰;   該產生單元,用於根據第二加密演算法加密該密鑰得到第二資訊頭;   該發送單元,用於向該客戶端發送該第二資訊頭和該密鑰;   其中,該第一資訊頭中還包括該第一加密演算法的標識,該還原單元還用於根據該第一加密演算法的標識查找出該第一加密演算法;   其中,該獲取單元還用於獲取該客戶端發送的密鑰獲取請求;將隨機產生的密鑰串作為該密鑰;通過該第一加密演算法加密該密鑰得到該第一資訊頭;向該客戶端發送該第一資訊頭和該密鑰;   其中,該第一加密演算法和該第二加密演算法不同。
TW106138272A 2017-03-15 2017-11-06 密鑰加密方法、裝置和系統 TW201835809A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
??201710153405.2 2017-03-15
CN201710153405.2A CN108632021A (zh) 2017-03-15 2017-03-15 一种密钥加密方法、装置和系统

Publications (1)

Publication Number Publication Date
TW201835809A true TW201835809A (zh) 2018-10-01

Family

ID=63522767

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106138272A TW201835809A (zh) 2017-03-15 2017-11-06 密鑰加密方法、裝置和系統

Country Status (6)

Country Link
US (1) US11271726B2 (zh)
EP (1) EP3598714A4 (zh)
JP (1) JP2020510353A (zh)
CN (1) CN108632021A (zh)
TW (1) TW201835809A (zh)
WO (1) WO2018166356A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3058012C (en) 2019-03-29 2021-05-11 Alibaba Group Holding Limited Cryptography chip with identity verification
JP6921222B2 (ja) 2019-03-29 2021-08-18 アドバンスド ニュー テクノロジーズ カンパニー リミテッド Id情報に基づく暗号鍵管理
CA3057398C (en) 2019-03-29 2021-07-06 Alibaba Group Holding Limited Securely performing cryptographic operations
KR20200116010A (ko) 2019-03-29 2020-10-08 알리바바 그룹 홀딩 리미티드 아이덴티티 정보에 기초한 암호 키 관리
CN110890968B (zh) * 2019-10-24 2022-08-23 成都卫士通信息产业股份有限公司 一种即时通信方法、装置、设备及计算机可读存储介质
CN112738117A (zh) * 2020-12-31 2021-04-30 青岛海尔科技有限公司 数据传输方法、装置、系统和存储介质及电子装置
US11062046B1 (en) * 2021-01-11 2021-07-13 DeCurtis LLC Self-referencing data encryption
CN112887087B (zh) * 2021-01-20 2023-04-18 成都质数斯达克科技有限公司 数据管理方法、装置、电子设备及可读存储介质
CN113382001B (zh) * 2021-06-09 2023-02-07 湖南快乐阳光互动娱乐传媒有限公司 一种通信加密方法及相关装置
CN113704744A (zh) * 2021-07-21 2021-11-26 阿里巴巴(中国)有限公司 数据处理方法及装置
CN114662146A (zh) * 2022-03-24 2022-06-24 平安科技(深圳)有限公司 密文数据的存放方法、装置、设备及存储介质

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096355B1 (en) * 1999-04-26 2006-08-22 Omniva Corporation Dynamic encoding algorithms and inline message decryption
US7376835B2 (en) 2000-04-25 2008-05-20 Secure Data In Motion, Inc. Implementing nonrepudiation and audit using authentication assertions and key servers
US7010689B1 (en) 2000-08-21 2006-03-07 International Business Machines Corporation Secure data storage and retrieval in a client-server environment
US6947556B1 (en) 2000-08-21 2005-09-20 International Business Machines Corporation Secure data storage and retrieval with key management and user authentication
US7421082B2 (en) * 2000-12-28 2008-09-02 Sony Corporation Data delivery method and data delivery system using sets of passkeys generated by dividing an encryption key
US6754450B2 (en) * 2001-01-30 2004-06-22 The Regents Of The University Of California Optical layer multicasting using a single sub-carrier header with active header detection, deletion, and new header insertion via opto-electrical processing
US7360096B2 (en) 2002-11-20 2008-04-15 Microsoft Corporation Securely processing client credentials used for Web-based access to resources
US7774411B2 (en) 2003-12-12 2010-08-10 Wisys Technology Foundation, Inc. Secure electronic message transport protocol
US7716481B2 (en) * 2005-11-14 2010-05-11 Kabushiki Kaisha Toshiba System and method for secure exchange of trust information
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8254571B1 (en) * 2007-12-21 2012-08-28 Voltage Security, Inc. Cryptographic system with halting key derivation function capabilities
CA2716335A1 (en) 2008-02-22 2009-08-27 Stephen C. Bono Systems and methods for secure workgroup management and communication
US8601600B1 (en) 2010-05-18 2013-12-03 Google Inc. Storing encrypted objects
CN101951315A (zh) * 2010-09-10 2011-01-19 中国联合网络通信集团有限公司 密钥处理方法及装置
CN102457561B (zh) * 2010-10-28 2015-02-11 无锡江南计算技术研究所 数据访问方法及使用该数据访问方法的设备
CN103563278B (zh) 2011-05-20 2017-02-08 西里克斯系统公司 保护加密的虚拟硬盘
US8798273B2 (en) 2011-08-19 2014-08-05 International Business Machines Corporation Extending credential type to group Key Management Interoperability Protocol (KMIP) clients
WO2013097209A1 (zh) * 2011-12-31 2013-07-04 华为技术有限公司 一种加密方法、解密方法和相关装置及系统
CN103916359A (zh) * 2012-12-30 2014-07-09 航天信息股份有限公司 防止网络中arp中间人攻击的方法和装置
CN103220295A (zh) * 2013-04-26 2013-07-24 福建伊时代信息科技股份有限公司 一种文档加密及解密的方法、装置和系统
CN103259651B (zh) * 2013-05-30 2016-06-08 成都欣知科技有限公司 一种对终端数据加解密的方法及系统
US20150281185A1 (en) * 2014-03-26 2015-10-01 Cisco Technology, Inc. Cloud Collaboration System With External Cryptographic Key Management

Also Published As

Publication number Publication date
JP2020510353A (ja) 2020-04-02
CN108632021A (zh) 2018-10-09
EP3598714A1 (en) 2020-01-22
EP3598714A4 (en) 2021-01-13
US11271726B2 (en) 2022-03-08
US20200007320A1 (en) 2020-01-02
WO2018166356A1 (zh) 2018-09-20

Similar Documents

Publication Publication Date Title
TW201835809A (zh) 密鑰加密方法、裝置和系統
TWI750157B (zh) 資料加密方法、資料解密方法、裝置及系統
US9985782B2 (en) Network bound decryption with offline encryption
US8798272B2 (en) Systems and methods for managing multiple keys for file encryption and decryption
Bajpai et al. A key-management-based taxonomy for ransomware
CN105681031B (zh) 一种存储加密网关密钥管理系统及方法
US9256499B2 (en) Method and apparatus of securely processing data for file backup, de-duplication, and restoration
CN109981255B (zh) 密钥池的更新方法和系统
US9122882B2 (en) Method and apparatus of securely processing data for file backup, de-duplication, and restoration
EP3860036B1 (en) Key management method, security chip, service server and information system
Selvakumar et al. PDDS-Improving cloud data storage security using data partitioning technique
US20030210791A1 (en) Key management
WO2002101974A1 (en) Secure ephemeral decryptability
US11394543B2 (en) System and method for secure sensitive data storage and recovery
JP2022501971A (ja) 鍵管理のための方法、ユーザ・デバイス、管理デバイス、記憶媒体及びコンピュータ・プログラム製品
CN111971929A (zh) 安全分布式密钥管理系统
CN102821098A (zh) 云环境下即时通讯消息自溶解系统及方法
CN110704856B (zh) 一种基于运维审计系统的秘密共享方法
KR102216869B1 (ko) 종단간 암호화가 적용된 파일에 대한 복호화 장치 및 방법
CN105656866B (zh) 数据加密方法及系统
CN109120621B (zh) 数据处理器
JP2022523068A (ja) 安全な電子データ転送のためのシステムと方法
JP6175807B2 (ja) 情報処理装置、プログラム
JP2012175187A (ja) 鍵管理装置及び暗号処理システム及びコンピュータプログラム及び鍵管理方法