WO2018166356A1 - 一种密钥加密方法、装置和系统 - Google Patents

Abstract

本申请实施例公开了一种密钥加密方法、装置和系统，客户端并不会保存用于对密钥进行加密的加密算法，而仅保存密钥被加密算法加密后的信息头，使得即使客户端被攻击，攻击者也无法直接获得用于解密信息头的加密算法，提高了密钥在客户端的安全性。当客户端需要使用密钥加密所获取数据时，可以通过所保存的第一信息头向服务器请求获取密钥，由安全性更高的服务器根据所保存的第一加密算法来还原出该密钥，并向客户端发送根据第二加密算法加密该密钥所得到的第二信息头，客户端可以使用从该第二信息头中获取的该密钥对数据进行加密，使得客户端在不保存加密算法的情况下保证了所获取数据的安全。

Description

一种密钥加密方法、装置和系统

本申请要求2017年03月15日递交的申请号为201710153405.2、发明名称为“一种密钥加密方法、装置和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及数据处理领域，特别是涉及一种密钥加密方法、装置和系统。

背景技术

为了保证客户端的数据安全，客户端获取的数据需要通过密钥加密后再保存在客户端本地。若该客户端遭到攻击，攻击者获取的数据都是被加密过的，无法直接使用。

传统方式中，客户端的密钥是由客户端自己生成的，为了提高密钥的安全性，客户端一般通过加密算法将该密钥加密后保存在客户端本地，并在需要使用密钥加密数据时，可以根据本地保存的加密算法从加密后的密钥中还原出密钥。

然而，由于加密算法保存在客户端本地，容易被攻击者非法获取，使得攻击者可以通过该加密算法从加密后的密钥中还原出密钥，从而根据密钥破解客户端中保存的加密数据。

发明内容

为了解决上述技术问题，本申请实施例提供了一种密钥加密方法、装置和系统，不需要在客户端保存加密算法，提高了密钥在客户端的安全性。

本申请实施例公开了如下技术方案：

第一方面，本申请实施例提供了一种密钥加密系统，所述系统包括客户端和服务器：

所述客户端，用于向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的；

所述服务器，用于获取所述客户端发送的用于请求获取所述密钥的所述第一信息头；根据所述第一加密算法从所述第一信息头中还原出所述密钥；根据第二加密算法加密所述密钥得到第二信息头；向所述客户端发送所述第二信息头和所述密钥。

第二方面，本申请实施例提供了一种密钥加密方法，所述方法包括：

客户端向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；

所述客户端从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的。

可选的，在所述客户端向服务器发送用于请求获取密钥的第一信息头之前，还包括：

所述客户端判断本地是否保存有信息头；

若未保存，所述客户端向所述服务器发送密钥获取请求；

所述客户端从所述服务器获取所述第一信息头和所述密钥；

所述客户端将所述第一信息头保存至本地。

可选的，所述客户端判断本地是否保存有信息头，包括：

若保存有信息头，所述客户端将保存的信息头作为第一信息头，并执行向服务器发送用于请求获取密钥的第一信息头的步骤。

可选的，在所述客户端从所述服务器获取第二信息头和所述密钥之后，还包括：

所述客户端将所述第二信息头保存在本地，并从本地删除所述第一信息头。

可选的，所述第一加密算法和所述第二加密算法不同。

可选的，还包括：

所述客户端将所述密钥保存在内存中。

第三方面，本申请实施例提供了一种密钥加密装置，所述装置包括发送单元和接收单元：

所述发送单元，用于向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；

所述接收单元，用于从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的。

可选的，还包括判断单元：

所述判断单元，用于判断本地是否保存有信息头；若未保存，向所述服务器发送密 钥获取请求；从所述服务器获取所述第一信息头和所述密钥；将所述第一信息头保存至本地。

可选的，所述判断单元还用于若保存有信息头，将保存的信息头作为第一信息头，并触发所述发送单元。

可选的，所述接收单元还用于将所述第二信息头保存在本地，并从本地删除所述第一信息头。

可选的，所述第一加密算法和所述第二加密算法不同。

可选的，所述接收单元还用于将所述密钥保存在内存中。

第四方面，本申请实施例提供了一种密钥加密方法，所述方法包括：

服务器获取客户端发送的用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；

所述服务器根据所述第一加密算法从所述第一信息头中还原出所述密钥；

所述服务器根据第二加密算法加密所述密钥得到第二信息头；

所述服务器向所述客户端发送所述第二信息头和所述密钥。

可选的，所述第一信息头中还包括所述第一加密算法的标识，在所述服务器根据所述第一加密算法从所述第一信息头中还原出所述密钥之前，包括：

所述服务器根据所述第一加密算法的标识查找出所述第一加密算法。

可选的，在所述服务器获取客户端发送的用于请求获取密钥的第一信息头之前，还包括：

所述服务器获取所述客户端发送的密钥获取请求；

所述服务器将随机生成的密钥串作为所述密钥；

所述服务器通过所述第一加密算法加密所述密钥得到所述第一信息头；

所述服务器向所述客户端发送所述第一信息头和所述密钥。

可选的，所述第一加密算法和所述第二加密算法不同。

第五方面，本申请实施例提供了一种密钥加密装置，所述装置包括获取单元、还原单元、生成单元和发送单元：

所述获取单元，用于获取客户端发送的用于请求获取密钥的第一信息头，所述密钥 为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；

所述还原单元，用于根据所述第一加密算法从所述第一信息头中还原出所述密钥；

所述生成单元，用于根据第二加密算法加密所述密钥得到第二信息头；

所述发送单元，用于向所述客户端发送所述第二信息头和所述密钥。

可选的，所述第一信息头中还包括所述第一加密算法的标识，所述还原单元还用于根据所述第一加密算法的标识查找出所述第一加密算法。

可选的，所述获取单元还用于获取所述客户端发送的密钥获取请求；将随机生成的密钥串作为所述密钥；通过所述第一加密算法加密所述密钥得到所述第一信息头；向所述客户端发送所述第一信息头和所述密钥。

可选的，所述第一加密算法和所述第二加密算法不同。

由上述技术方案可以看出，客户端并不会保存用于对密钥进行加密的加密算法，而仅保存密钥被加密算法加密后的信息头，使得即使客户端被攻击，攻击者也无法直接获得用于解密信息头的加密算法，提高了密钥在客户端的安全性。当客户端需要使用密钥加密所获取数据时，可以通过所保存的第一信息头向服务器请求密钥，由安全性更高的服务器根据所保存的第一加密算法来还原出该密钥，客户端可以使用从服务器获取的该密钥对数据进行加密，使得客户端在不保存加密算法的情况下保证了所获取数据的安全。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种密钥加密的系统示意图；

图2为本申请实施例提供的一种密钥加密的方法的流程图；

图3为本申请实施例提供的另一种密钥加密的方法的流程图；

图4为本申请实施例提供的一种密钥加密系统的系统结构图；

图5为本申请实施例提供的一种密钥加密装置的装置结构图；

图6为本申请实施例提供的一种密钥加密装置的装置结构图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

大数据时代，数据安全越来越受到人们的重视，为了保证客户端的数据安全，客户端往往将获取的数据通过密钥加密后再保存。当数据通过密钥加密后，数据的安全性得到提高，但当密钥一旦被攻击者非法获取后，攻击者依据获取的密钥便可以获取到数据，因此，为了数据的安全，需要保证密钥的安全性。传统方式中，客户端的密钥是由客户端自己生成的，为了提高密钥的安全性，客户端一般通过加密算法将该密钥加密后保存在客户端本地，并在需要使用密钥时，可以根据本地保存的加密算法从加密后的密钥中还原出密钥。

由于加密算法保存在客户端本地，容易被攻击者非法获取，从而可以通过该加密算法还原出密钥，根据密钥破解出客户端中保存的加密数据，造成客户端数据的泄露，由于数据中可能涉及到隐私等重要信息，会造成严重的影响。例如，企业发生数据泄露事件，会导致企业在公众中的威望和信任度下降，甚至会对企业的经济利益造成重创。

针对上述问题，本申请实施例提供一种密钥加密方法、装置和系统，客户端仅保存密钥被加密算法加密后的信息头，而该加密算法保存在安全性更高的服务器中。当客户端需要使用密钥时，通过向服务器发送请求获取密钥的信息头，获取到密钥从而对数据进行处理，充分保证了客户端数据的安全。

基于上述基本思想，本申请实施例主要通过客户端与服务器的交互来实现。可以参见图1所示，客户端100本地保存有由密钥经过加密后得到的信息头，服务器200保存有相应的加密算法。当客户端100需要依据密钥对所获取数据进行加密时，可以通过向服务器200发送请求获取密钥的第一信息头，来获取密钥。

客户端100所获取数据可以是客户端100自身生成的数据，例如，用户通过客户端登录旺旺，产生的聊天记录即为客户端自身生成的数据。客户端100所获取数据也可以是通过其它方式从外部接收到的数据，例如，用户通过客户端接收服务器发送的数据。所述数据往往涉及重要的信息，可以利用密钥对数据进行加密处理后再保存到客户端本地，以保证数据的安全性。

密钥可以是将数据加密为密文或者从密文还原出数据的过程中所使用的加密参数。 例如，用户可以将获取的数据{A1、A2、A3}，通过密钥加密成密文{B1、B2、B3}，并保存；当用户需要读取该数据时，可以将保存的密文{B1、B2、B3}通过密钥解密出数据{A1、A2、A3}。

加密算法是对密钥进行加密的一种算法，除了可以用于对密钥进行加密得到信息头之外，还可以用于对信息头进行解密还原出密钥。在本发明中，该加密算法保存在相较于客户端100的安全性更高的服务器200中。

其中，服务器所保存的加密算法中可以包括第一加密算法和第二加密算法。服务器200可以利用第二加密算法对密钥进行加密得到第二信息头，并将第二信息头和密钥发送给客户端100。

上述信息头即为将密钥经过加密算法加密后得到的信息头，可以保存在客户端100本地。其中，信息头中除了包含密钥加密后的信息外，还可以包含用户名等加密后的信息，即可以通过加密算法对密钥、用户名等信息进行加密得到信息头。

针对于上述场景，通过一个具体的示例来进行介绍，例如，用户通过客户端登录旺旺时，客户端将本地保存的信息头1发送给服务器，用于请求获取密钥，服务器依据接收的信息头1查找对应的加密算法1，从信息头1中还原出密钥，并使用加密算法2对密钥加密生成信息头2，并将该信息头2和密钥通过安全通道发送给客户端，客户端可以依据获取的密钥对数据进行加密，并将加密后的密文保存在客户端本地或者依据获取的密钥对加密后的数据进行解密，将解密后的数据进行展示。

接下来结合图2来说明本申请实施例所提供的密钥加密的方法。

如图2所示，为本申请实施例提供的一种密钥加密的方法的流程图，该方法包括：

S201：客户端向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的。

在本申请实施例中，当客户端需要对获取的数据进行加密处理，或者对加密后的数据进行解密处理时，可以使用从服务器获取的密钥。为了避免持久保存该密钥导致密钥泄露，客户端一般将该密钥缓存在内存中，而并不存储在持久存储区域例如硬盘中。在客户端获取数据时，可以从内存中调取该密钥对数据进行加密。

由于缓存在内存中的密钥容易被删除，例如在内存更新、客户端重启的情况下。故若客户端从内存中未找到所需的密钥，客户端需要从服务器重新获取该密钥。在本发明中，由于服务器中保存有第一加密算法，服务器可以依据第一加密算法可以从第一信息 头中还原出密钥。因此，客户端可以使用本地保存的第一信息头作为获取密钥的依据。第一信息头是根据对该密钥使用第一加密算法进行加密后得到的，即使被第三方获取，被非法解密的难度也较大，故客户端一般可以将第一信息头存储在持久存储区域中。

S202：服务器获取客户端发送的用于请求获取密钥的第一信息头。

S203：所述服务器根据所述第一加密算法从所述第一信息头中还原出所述密钥。

服务器中保存有生成信息头的加密算法，针对不同客户端的密钥，服务器可以采用不同的加密算法进行加密，也可以采用相同的加密算法进行加密。故当服务器获取到该客户端的第一信息头时，可以先确定出加密得到第一信息头时所采用的第一加密算法，再使用该第一加密算法从第一信息头中还原出密钥。

例如，服务器依据获取到的信息头1，从保存的加密算法中，查找对应的加密算法1，利用该加密算法1从信息头1中还原出密钥。

为了便于服务器迅速查找到对应第一信息头的第一加密算法，服务器在通过第一加密算法生成第一信息头时可以在第一信息头中携带第一加密算法的标识。具体的，在所述服务器根据所述第一加密算法从所述第一信息头中还原出所述密钥之前，包括：

所述服务器根据所述第一加密算法的标识查找出所述第一加密算法。

举例说明，加密算法的标识可以起到标识加密算法的作用，具体的，加密算法的标识可以用于标明所标识加密算法的种类，也可以用于标明所标识加密算法的版本信息，也可以既用于标明所标识加密算法的种类，也标明所标识加密算法的版本信息。例如，当标识为加密算法的版本信息时，服务器使用加密算法版本V1.0的加密算法对密钥进行加密，生成包含密钥加密后的信息及加密算法版本的信息头{“EncryptedData”：“qbduada1232j adfijijiafadfasdfa7667766adfds67767sf667sdfhhffs”，“EncryptVersion”：“1.0”}，其中，“EncryptedData”用于表示加密后的密钥，“EncryptVersion”用于表示加密算法的版本信息为“1.0”。

需要说明的是，在信息头中携带对应的加密算法的标识是便于服务器查找加密算法的一种可选的方式，不携带该标识并不会影响服务器对加密算法的顺利查找。

S204：所述服务器根据第二加密算法加密所述密钥得到第二信息头。

服务器在还原出客户端所需密钥后，在将密钥发给该客户端之前，可以将该密钥通过加密算法进行加密，并将加密得到的第二信息头和密钥一起发给客户端。客户端在再次需要从服务器获取密钥时，可以使用该第二信息头来请求获取密钥。

在一些场景下，本步骤所使用的第二加密算法和加密得到第一信息头时所使用的第 一加密算法可以相同，例如，第一加密算法为算法A，当服务器接收到客户端用于请求获取密钥的第一信息头时，若服务器可以明确该算法A仍具有较高的安全性，那么服务器可以依旧使用算法A对该密钥进行加密，也就是说第二加密算法仍可以为算法A，即第二加密算法与第一加密算法相同，相应的，通过第二加密算法得到的第二信息头也可以与第一信息头相同。

在一些场景下，第二加密算法和第一加密算法也可以不同，例如，第一加密算法为算法A，当服务器接收到客户端用于请求获取密钥的第一信息头时或之前，服务器检测到算法A有可能已经被攻击者获取或破解，那么继续使用算法A将会降低密钥的安全性，这种情况下，服务器可以不再使用算法A，而使用算法B作为第二加密算法对密钥进行加密，以保证密钥的安全性。这里的算法B可以是与算法A为不同种类的加密算法。算法B也可以是基于算法A的改进版本，例如算法A是一个加密算法的版本1，算法B可以是这个加密算法的版本2。

除了服务器检测到算法A可能泄露的场景下可以使用不同于第一加密算法的第二加密算法，服务器也可以采用周期性更换加密算法的方式。例如服务器可以每隔固定周期更换一次加密算法，第一加密算法可以为一个固定周期内所使用的加密算法，第二加密算法可以为另一个固定周期内所使用的加密算法。在这种情况下，第二加密算法同样也可以是与第一加密算法不同种类的加密算法，也可以是基于第一加密算法的改进版本。

S205：所述服务器向所述客户端发送所述第二信息头和所述密钥。

服务器将S203还原出的密钥，以及S204通过第二加密算法加密该密钥得到的第二信息头发送给客户端。

其中，服务器将上述信息发送给客户端的方式可以有多种，可以是服务器在还原出密钥并且得到第二信息头后，直接将其发送给客户端。也可以由客户端向服务器发送请求消息，服务器在接收到该请求消息后，将所述第二信息头和所述密钥发送给客户端，本申请实施例不对其发送的方式进行限定。

S206：所述客户端从所述服务器获取所述第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的。

客户端将获取的第二信息头保存在客户端本地，以便于客户端再次需要从服务器获取密钥时，可以使用保存的第二信息头来请求获取密钥。

为了避免持久保存该密钥导致密钥泄露，客户端一般将该密钥缓存在内存中，在客 户端获取数据时，可以从内存中调取该密钥对数据进行加密。为了进一步提高密钥的安全性，当客户端完成对数据的加密后，可以将密钥从客户端内存中删除。

考虑到在完成对当前数据的加密后，可能在较短的时间间隔内，有新获取的数据需要加密，此时若在当前数据加密结束后，将密钥删除，则在需要加密新获取的数据时客户端需要重新获取密钥。

针对上述情况，可以对保存在客户端内存中的密钥进行时间限制，可以设置时间段，在客户端处理完当前数据，在设置的时间段结束后，若没有新的数据需要加密则将密钥从客户端内存中删除。例如，客户端将获取的密钥保存在内存中，利用该密钥对数据{A1、A2、A3}进行加密处理，处理完成后，等待10秒，若在10秒内无新的数据需要处理，则将该密钥删除。

同理，当客户端需要对数据进行解密时，也可以将获取的密钥保存在内存中，并设置时间段，在设置的时间段结束后若没有数据需要解密则将密钥从客户端内存中删除。

其中，时间段的设置可以是客户端预先设置，也可以是客户端需要对数据进行处理时，进行设置，本申请实施例并不对其做限定。设置的时间段的长短可以依据实际操作的安全性进行选择，对其不做限定。

通过将获取的密钥保存在客户端内存中，并设置时间段对密钥的保存时间进行限制，在保证密钥安全的前提下，减少了客户端和服务器的工作量，充分提高了数据加密或解密的工作效率。

此外，在客户端内存中保存密钥的期间，若客户端检测到异常情况，例如，客户端被非法攻击，则客户端可以直接将保存的密钥删除，以保证数据的安全。

在S206中，客户端将获取的第二信息头保存在本地，当客户端再次需要从服务器获取密钥时，可以使用第二信息头来请求获取密钥，但是由于客户端本地保存有第一信息头，可能会造成客户端发送请求获取密钥时信息头的混淆，例如，客户端可能仍使用第一信息头向服务器发送获取密钥的请求。

为了避免出现上述问题，在客户端从服务器获取到第二信息头和密钥之后，客户端可以将所述第二信息头保存在本地，并从本地删除所述第一信息头。例如，客户端本地保存由加密算法A对密钥加密后得到的信息头1，当服务器将通过加密算法B对密钥加密后得到的信息头2发送给客户端后，客户端可以将本地保存的信息头1删除，并将信息头2保存在本地。使得客户端本地只会保存最近一次收到的信息头，提高了安全性。

在客户端获取到第二信息头后，通过删除第一信息头，保存第二信息头，以便于客 户端可以直接依据本地保存的第二信息头发送请求获取密钥。

由上述内容可知，本实施例提供的密钥加密的方法，客户端并不会保存用于对密钥进行加密的加密算法，而仅保存密钥被加密算法加密后的信息头，使得即使客户端被攻击，攻击者也无法直接获得用于解密信息头的加密算法，提高了密钥在客户端的安全性。当客户端需要使用密钥加密所获取数据时，可以通过所保存的第一信息头向服务器请求密钥，由安全性更高的服务器根据所保存的第一加密算法来还原出该密钥，客户端可以使用从服务器获取的该密钥对数据进行加密，使得客户端在不保存加密算法的情况下保证了所获取数据的安全。

对于上述实施例，在客户端通过向服务器发送信息头来请求获取密钥之前，客户端本地可能已经保存有信息头，则执行上述操作即可，也可能客户端本地中未保存信息头，在执行上述操作步骤前需要先从服务器获取信息头，因此，在S201之前，还可以增加对客户端本地是否保存有信息头的判断。如图3所示，在客户端向服务器发送用于请求获取密钥的第一信息头之前，还包括：

S301：客户端判断本地是否保存有信息头，若未保存，则执行S302。

在客户端发送请求获取密钥的信息头之前，可以先对客户端本地是否保存有信息头进行判断。若未保存，则需要获取信息头；若保存有消息头，则可以将保存的信息头作为第一信息头，并执行向服务器发送用于请求获取密钥的第一信息头的步骤。

其中，客户端本地未保存信息头的原因有多种，可能是客户端首次需要对数据进行加密操作，之前并未向服务器请求获取过密钥，故客户端本地并未保存有密钥对应的信息头。也可能是客户端本地保存的信息头被误删等原因造成本地保存信息头的丢失的情况。

S302：所述客户端向服务器发送密钥获取请求。

当客户端中未保存信息头时，则无法通过发送信息头来获取密钥，此时，当客户端需要获取密钥时，可以向服务器发送密钥获取请求。

S303：所述服务器获取所述客户端发送的密钥获取请求。

S304：所述服务器将随机生成的密钥串作为所述密钥。

在本发明中，客户端所使用的密钥可以由服务器生成。服务器可以针对一个客户端生成一个对应的密钥，也可以将生成的一个密钥分配给多个客户端。为了提高密钥的破解难度，服务器可以采用随机的方式生成一串字符串作为密钥，例如，服务器可以将数字(0-9)、字母(A-Z)和符号“-”随机组合出的一个密钥串 344A2F6F-DB62-DE45-BEF1-4A49E89FB7CE，作为密钥。

密钥串的随机生成，提高了破解密钥的复杂度，进一步保证了密钥的安全性。

需要说明的是，密钥的随机生成是一种可选的方式，本申请实施例中对密钥的生成方式不作限定。

S305：所述服务器通过第一加密算法加密所述密钥得到第一信息头。

为了便于后续操作中服务器可以迅速查找到对应第一信息头的第一加密算法，服务器在得到第一信息头时可以在第一信息头中携带第一加密算法的标识，该步骤与S203中在信息头中携带加密算法标识类似，在此不再赘述。

S306：所述服务器向所述客户端发送所述第一信息头和所述密钥。

服务器可以通过安全通道将信息头和密钥发送给客户端，其中发送的方式，与S205服务器向客户端发送密钥和信息头的发送方式类似，在此不再赘述。

S307：所述客户端从所述服务器获取所述第一信息头和所述密钥，并将所述第一信息头保存至本地。

客户端将获取的信息头保存在客户端本地，便于下次需要获取密钥时，可以直接向服务器发送请求获取密钥的信息头，而不需要再重复执行S301-S307的操作，提高了密钥加密的工作效率。

客户端会将获取的密钥保存在内存中，该操作与S206中介绍的将获取的密钥保存在内存中类似，在此不再赘述。

图4为本申请实施例提供的一种密钥加密系统的系统结构图，所述系统包括客户端401和服务器402：

客户端401，用于向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的。

服务器402，用于获取所述客户端发送的用于请求获取所述密钥的所述第一信息头；根据所述第一加密算法从所述第一信息头中还原出所述密钥；根据第二加密算法加密所述密钥得到第二信息头；向所述客户端发送所述第二信息头和所述密钥。

需要注意的是，图4所对应实施例中的特征均可以参见图1-3所对应实施例中相关特征的相关描述，这里不再赘述。

可见，客户端并不会保存用于对密钥进行加密的加密算法，而仅保存密钥被加密算法加密后的信息头，使得即使客户端被攻击，攻击者也无法直接获得用于解密信息头的加密算法，提高了密钥在客户端的安全性。当客户端需要使用密钥加密所获取数据时，可以通过所保存的第一信息头向服务器请求密钥，由安全性更高的服务器根据所保存的第一加密算法来还原出该密钥，客户端可以使用从服务器获取的该密钥对数据进行加密，使得客户端在不保存加密算法的情况下保证了所获取数据的安全。

图5为本申请实施例提供的一种密钥加密装置的装置结构图，所述装置包括发送单元501和接收单元502：

发送单元501，用于向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的。

接收单元502，用于从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的。

可选的，还包括判断单元：

所述判断单元，用于判断本地是否保存有信息头；若未保存，向所述服务器发送密钥获取请求；从所述服务器获取所述第一信息头和所述密钥；将所述第一信息头保存至本地。

可选的，所述判断单元还用于若保存有信息头，将保存的信息头作为第一信息头，并触发所述发送单元。

可选的，所述接收单元还用于将所述第二信息头保存在本地，并从本地删除所述第一信息头。

可选的，所述第一加密算法和所述第二加密算法不同。

可选的，所述接收单元还用于将所述密钥保存在内存中。

需要注意的是，图5所对应实施例中的特征均可以参见图1-3所对应实施例中相关特征的相关描述，这里不再赘述。

可见，客户端并不会保存用于对密钥进行加密的加密算法，而仅保存密钥被加密算法加密后的信息头，使得即使客户端被攻击，攻击者也无法直接获得用于解密信息头的加密算法，提高了密钥在客户端的安全性。当客户端需要使用密钥加密所获取数据时，可以通过所保存的第一信息头向服务器请求密钥，由安全性更高的服务器根据所保存的 第一加密算法来还原出该密钥，客户端可以使用从服务器获取的该密钥对数据进行加密，使得客户端在不保存加密算法的情况下保证了所获取数据的安全。

图6为本申请实施例提供的一种密钥加密装置的装置结构图，所述装置包括获取单元601、还原单元602、生成单元603和发送单元604：

获取单元601，用于获取客户端发送的用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的。

还原单元602，用于根据所述第一加密算法从所述第一信息头中还原出所述密钥。

生成单元603，用于根据第二加密算法加密所述密钥得到第二信息头。

发送单元604，用于向所述客户端发送所述第二信息头和所述密钥。

可选的，所述第一信息头中还包括所述第一加密算法的标识，所述还原单元还用于根据所述第一加密算法的标识查找出所述第一加密算法。

可选的，所述获取单元还用于获取所述客户端发送的密钥获取请求；将随机生成的密钥串作为所述密钥；通过所述第一加密算法加密所述密钥得到所述第一信息头；向所述客户端发送所述第一信息头和所述密钥。

可选的，所述第一加密算法和所述第二加密算法不同。

需要注意的是，图6所对应实施例中的特征均可以参见图1-3所对应实施例中相关特征的相关描述，这里不再赘述。

可见，客户端并不会保存用于对密钥进行加密的加密算法，而仅保存密钥被加密算法加密后的信息头，使得即使客户端被攻击，攻击者也无法直接获得用于解密信息头的加密算法，提高了密钥在客户端的安全性。当客户端需要使用密钥加密所获取数据时，可以通过所保存的第一信息头向服务器请求密钥，由安全性更高的服务器根据所保存的第一加密算法来还原出该密钥，客户端可以使用从服务器获取的该密钥对数据进行加密，使得客户端在不保存加密算法的情况下保证了所获取数据的安全。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质可以是下述介质中的至少一种：只读存储器(英文：read-only memory，缩写：ROM)、RAM、磁碟或者光盘等 各种可以存储程序代码的介质。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (13)

1. 一种密钥加密系统，其特征在于，所述系统包括客户端和服务器：

   所述客户端，用于向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的；

   所述服务器，用于获取所述客户端发送的用于请求获取所述密钥的所述第一信息头；根据所述第一加密算法从所述第一信息头中还原出所述密钥；根据第二加密算法加密所述密钥得到第二信息头；向所述客户端发送所述第二信息头和所述密钥。
2. 一种密钥加密方法，其特征在于，所述方法包括：

   客户端向服务器发送用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；

   所述客户端从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的。
3. 根据权利要求2所述的方法，其特征在于，在所述客户端向服务器发送用于请求获取密钥的第一信息头之前，还包括：

   所述客户端判断本地是否保存有信息头；

   若未保存，所述客户端向所述服务器发送密钥获取请求；

   所述客户端从所述服务器获取所述第一信息头和所述密钥；

   所述客户端将所述第一信息头保存至本地。
4. 根据权利要求3所述的方法，其特征在于，所述客户端判断本地是否保存有信息头，包括：

   若保存有信息头，所述客户端将保存的信息头作为第一信息头，并执行向服务器发送用于请求获取密钥的第一信息头的步骤。
5. 根据权利要求2所述的方法，其特征在于，在所述客户端从所述服务器获取第二信息头和所述密钥之后，还包括：

   所述客户端将所述第二信息头保存在本地，并从本地删除所述第一信息头。
6. 根据权利要求2至5任意一项所述的方法，其特征在于，所述第一加密算法和 所述第二加密算法不同。
7. 根据权利要求2至5任意一项所述的方法，其特征在于，还包括：

   所述客户端将所述密钥保存在内存中。
8. 一种密钥加密装置，其特征在于，所述装置包括发送单元和接收单元：

   所述发送单元，用于向服务器发送用于请求获取密钥的第一信息头，所述密钥为客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；

   所述接收单元，用于从所述服务器获取第二信息头和所述密钥，所述第二信息头为所述服务器根据第二加密算法对所述密钥加密得到的。

   可选的，还包括判断单元：

   所述判断单元，用于判断本地是否保存有信息头；若未保存，向所述服务器发送密钥获取请求；从所述服务器获取所述第一信息头和所述密钥；将所述第一信息头保存至本地。

   可选的，所述判断单元还用于若保存有信息头，将保存的信息头作为第一信息头，并触发所述发送单元。

   可选的，所述接收单元还用于将所述第二信息头保存在本地，并从本地删除所述第一信息头。

   可选的，所述第一加密算法和所述第二加密算法不同。

   可选的，所述接收单元还用于将所述密钥保存在内存中。
9. 一种密钥加密方法，其特征在于，所述方法包括：

   服务器获取客户端发送的用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为所述服务器通过第一加密算法对所述密钥进行加密得到的；

   所述服务器根据所述第一加密算法从所述第一信息头中还原出所述密钥；

   所述服务器根据第二加密算法加密所述密钥得到第二信息头；

   所述服务器向所述客户端发送所述第二信息头和所述密钥。
10. 根据权利要求9所述的方法，其特征在于，所述第一信息头中还包括所述第一加密算法的标识，在所述服务器根据所述第一加密算法从所述第一信息头中还原出所述 密钥之前，包括：

    所述服务器根据所述第一加密算法的标识查找出所述第一加密算法。
11. 根据权利要求9所述的方法，其特征在于，在所述服务器获取客户端发送的用于请求获取密钥的第一信息头之前，还包括：

    所述服务器获取所述客户端发送的密钥获取请求；

    所述服务器将随机生成的密钥串作为所述密钥；

    所述服务器通过所述第一加密算法加密所述密钥得到所述第一信息头；

    所述服务器向所述客户端发送所述第一信息头和所述密钥。
12. 根据权利要求9至11任意一项所述的方法，其特征在于，所述第一加密算法和所述第二加密算法不同。
13. 一种密钥加密装置，其特征在于，所述装置包括获取单元、还原单元、生成单元和发送单元：

    所述获取单元，用于获取客户端发送的用于请求获取密钥的第一信息头，所述密钥为所述客户端用于加密所述客户端所获取数据的密钥，所述第一信息头为服务器通过第一加密算法对所述密钥进行加密得到的；

    所述还原单元，用于根据所述第一加密算法从所述第一信息头中还原出所述密钥；

    所述生成单元，用于根据第二加密算法加密所述密钥得到第二信息头；

    所述发送单元，用于向所述客户端发送所述第二信息头和所述密钥。

    可选的，所述第一信息头中还包括所述第一加密算法的标识，所述还原单元还用于根据所述第一加密算法的标识查找出所述第一加密算法。

    可选的，所述获取单元还用于获取所述客户端发送的密钥获取请求；将随机生成的密钥串作为所述密钥；通过所述第一加密算法加密所述密钥得到所述第一信息头；向所述客户端发送所述第一信息头和所述密钥。

    可选的，所述第一加密算法和所述第二加密算法不同。

Images