WO2021114891A1

WO2021114891A1 - 密钥加密方法、解密方法及数据加密方法、解密方法

Info

Publication number: WO2021114891A1
Application number: PCT/CN2020/122961
Authority: WO
Inventors: 吴水华; 李锐
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-12-11
Filing date: 2020-10-22
Publication date: 2021-06-17
Also published as: CN112953707A

Abstract

一种密钥加密方法、解密方法及数据加密方法、解密方法。其中，所述密钥加密方法包括获取第一密钥(101)和所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥(102)，利用所述第二密钥对所述第一密钥进行加密，生成加密密钥(103)。

Description

密钥加密方法、解密方法及数据加密方法、解密方法

相关申请的交叉引用

本申请基于申请号为201911266698.0、申请日为2019年12月11日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及加密技术领域，特别是涉及一种密钥加密方法、解密方法及数据加密方法、解密方法。

背景技术

随着互联网和移动网络的快速发展，各种网络安全问题随之出现，网络安全越来越成为人们关注的焦点之一。网络安全发展至今，有比较成熟的框架和理论，涉及的场景和方法也非常多，如密码学、基础设施安全、接入控制、鉴权管理、传输安全、敏感数据保护等。假如涉及身份信息、机密信息以及个人隐私等的重要数据被泄露，将对用户的资产和安全等造成极大的威胁。对于这些重要数据的保护方式，常见的就是利用密钥对这些数据进行加密。然而，现有的加密方式中，由于密钥大多数由用户管理，一旦密钥泄露，攻击者就可能很容易将重要数据解密，因此现有的加密方式安全性仍有待提高。

发明内容

以下是对本申请的主题的概述。本概述并非是为了限制权利要求的保护范围。

一方面，本申请实施例提供了一种密钥加密方法、解密方法及数据加密方法、解密方法,能够提升数据加密的安全性。

另一方面，本申请实施例还提供了一种密钥加密方法，应用于电子设备，包括：获取第一密钥；获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；利用所述第二密钥对所述第一密钥进行加密，生成加密密钥。

另一方面，本申请实施例还提供了一种密钥解密方法，应用于电子设备，包括：获取加密密钥；获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；利用所述第二密钥对所述加密密钥进行解密，得到第一密钥。

另一方面，本申请实施例提供了一种数据加密方法，应用于电子设备，包括：获取原始数据；获取第一密钥，利用所述第一密钥对所述原始数据进行加密，生成加密数据；获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；利用所述第二密钥对所述第一密钥进行加密，生成加密密钥。

另一方面，本申请实施例还提供了一种数据解密方法，应用于电子设备，包括：获取加密数据和加密密钥；获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；利用所述第二密钥对所述加密密钥进行解密，得到第一密钥；利用所述第一密钥对所述加密数据进行解密，得到原始数据。

另一方面，本申请实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序运行时执行上述的密钥加密方法、或者执行上述的密钥解密方法、或者执行上述的数据加密方法、或者执行上述的数据解密方法。

再一方面，本申请实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述的密钥加密方法、或者执行上述的密钥解密方法、或者执行上述的数据加密方法、或者执行上述的数据解密方法。

本申请的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。

图1是适用本申请实施例提供的一种数据加密系统的结构框图；

图2是本申请实施例提供的一种密钥加密方法的流程图；

图3是本申请实施例提供的一种密钥解密方法的流程图；

图4是本申请实施例提供的一种数据加密方法的流程图；

图5是本申请实施例提供的一种数据加密方法中，根据所述设备识别信息生成第二密钥的流程图；

图6是本申请实施例提供的一种数据加密方法中，根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥的流程图；

图7是本申请实施例提供的一种数据加密方法中对原始数据进行单向哈希处理的流程图；

图8是本申请实施例提供的一种数据解密方法的流程图；

图9是本申请实施例提供的一种数据解密方法中，对解密得到的原始数据进行哈希校验的流程图；

图10是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

应了解，在本申请实施例的描述中，多个(或多项)的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。如果有描述到“第一”、“第二”等只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。

随着互联网和移动网络的快速发展，各种网络安全问题随之出现，网络安全越来越成为人们关注的焦点之一。网络安全发展至今，有比较成熟的框架和理论，涉及的场景和方法也非常多，如密码学，基础设施安全，接入控制，鉴权管理，传输安全，敏感数据保护等。假如涉及身份信息、机密信息以及个人隐私等的重要数据被泄露，将对用户的资产和安全等造成极大的威胁。对于这些重要数据的保护方式，常见的就是利用密钥对这些数据进行加密。然而，现有的加密方式中，由于密钥大多数由用户管理，一旦密钥泄露，攻击者就可能很容易将重要数据解密，因此现有的加密方式安全性仍有待提高。

本申请实施例提供一种数据加密方法、解密方法及密钥加密方法、解密方法。该数据加密方法、解密方法及密钥加密方法、解密方法应用于电子设备中。

其中，电子设备为可以安装各种通信应用，或具有通信功能的设备。例如，智能手机、平板电脑、PC机(Personal Computer，个人电脑)、各类可穿戴设备(耳机、手表等)、车载设备、电视机顶盒、无线基站设备、虚拟化数据设备等。

执行本申请实施例提供一种数据加密方法、解密方法及密钥加密方法、解密方法的数据加密系统安装于上述电子设备中。参照图1，为本申请实施例中数据加密系统的一种结构框图。其中：

第一密钥获取模块111用于生成第一密钥；

数据加密模块112用于利用第一密钥将原始数据加密；

第三密钥生成模块113用于根据设备识别信息生成第三密钥；

第二密钥生成模块114用于根据第三密钥生成第二密钥；

密钥加密模块115用于利用第二密钥将第一密钥进行加密以及生成随机数；

密钥解密模块116用于利用第二密钥将第一密钥进行解密；

数据解密模块117用于利用第一密钥将原始数据解密；

存储模块118用于存储加密数据、加密密钥和随机数等；其中存储模块118可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件或其他易失性固态存储器件，又或者是在某些芯片内部的安全存储区域。

应当理解，图1中示出的数据加密系统的结构并不构成对数据加密系统的限定，本申请实施例提供的数据加密系统可以包括比图示更多或更少的模块，或者组合某些模块，或者不同的模块布置。

图2为本申请实施例的一种密钥加密方法的流程图。如图2所示，该方法应用于电子设备，包括但不限于以下步骤：

步骤101：获取第一密钥；

步骤102：获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

步骤103：利用所述第二密钥对所述第一密钥进行加密，生成加密密钥。

其中，第一密钥用于对原始数据进行加密，第一密钥可以预先通过存储介质储存起来，所述的存储介质可以是硬盘、U盘、光碟等。

具体地，设备识别信息用于识别具体的设备，具有唯一性。其中，设备识别信息可以包括软件设备识别信息和硬件设备识别信息。软件设备识别信息可以是主机名、IP地址等一种或者多种组合，例如，在局域网设备群中，单独的每一台主机都有对应的主机名和IP地址，通过主机名或者IP地址可以迅速地确定某一台主机。而硬件设备识别信息可以是CPU(Central Processing Unit，中央处理器)序列号、单板条形码、以太网口MAC(Media Access Control，媒体存取控制)地址等一种或者多种组合，其中，每个CPU都有一个唯一的CPU序列号，CPU序列号是在CPU制造的过程中生产厂家置入到CPU中的，并且，CPU序列号是终生不变的，可以利用软件进行读取；单板条形码包括BOM(Byte Order Mark，字节顺序标记)编码、出厂信息、单板版本、单板名称以及单板特性码等单板基本信息，可以通过软件进行读取，每块单板唯一；以太网口MAC地址，即物理地址，用于在网络中唯一标示一个网卡，同样每台设备的以太网口MAC地址都是唯一的，可以通过软件进行读取。具体地，步骤102中的获取所述的硬件设备识别信息，可以通过读取所述电子设备的硬件运行信息实现，读取电子设备的硬件运行信息的软件为现有技术，在此不再赘述。可以理解的是，本实施例并不将硬件设备识别信息限定为CPU序列号、单板条形码和以太网口MAC地址，本领域技术人员可以在理解本申请的基础上选择其他相类似的硬件设备识别信息。

获取了电子设备的硬件设备识别信息后，再根据所述硬件设备识别信息生成第二密钥。由于硬件设备识别信息对应每台电子设备，并且具有唯一性，因此每台设备所生成的第二密钥均具有对应性和唯一性，使得第一密钥的加密安全性大大提高。利用第二密钥对第一密钥进行加密，可以采用现有技术中的AES-CCM(Advanced Encryption Standard-Counter with Cipher Block Chaining-Message Authentication Code)算法实现。本实施例中并非限定于采用AES-CCM算法对第一密钥进行加密，本领域技术人员还可以采用其他现有技术中相类似的算法。

在本实施例中，利用设备识别信息对第一密钥进行加密，可以有效地保证第一密钥的安全，提高了数据加密的安全性；同时，利用设备识别信息对第一密钥进行加密，基于设备识别信息的唯一性，使得第一密钥的加密安全性大大提高。

对应上述实施例中的密钥加密方法，参照图3，本申请实施例还提供了一种密钥解密方法，该方法包括但不限于以下步骤：

步骤201：获取加密密钥；

步骤202：获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

步骤203：利用所述第二密钥对所述加密密钥进行解密，得到第一密钥。

其中，加密密钥可以预先通过存储介质储存起来，所述的存储介质可以是硬盘、U盘、光碟等。

步骤202与步骤102为相同的操作，在此不再赘述。

在步骤203中，利用第二密钥对所述加密密钥进行解密，采用与上述密钥加密方法实施例中相同的算法，即AES-CCM算法实现。若在第一密钥加密时采用了另外一种算法，则对加密密钥解密时要采用与加密时相同的算法实现。

基于上述实施例中的密钥加密方法，本申请实施例还提供了一种数据加密方法。如图4所示，该方法包括但不限于以下步骤：

步骤301：获取原始数据；

步骤302：获取第一密钥，利用所述第一密钥对所述原始数据进行加密，生成加密数据；

步骤303：获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

步骤304：利用所述第二密钥对所述第一密钥进行加密，生成加密密钥。

其中，原始数据即为用户需要加密的数据，可以涉及身份信息、机密信息以及个人隐私等。例如，若电子设备为无线基站设备时，原始数据可以是数字证书私钥，基站和网管通信的账号和密码等；若电子设备为手机或者PC，原始数据可以是用户的照片、各种账号密码、机密文档等；若电子设备为机顶盒，原始数据可以是用户的观看记录、账户密码等。

具体地，获取原始数据，可以基于加密请求后进行。其中，加密请求可以由电子设备运行的应用程序产生，该应用程序可以是需要安装才能使用的传统应用程序，也可以是不需要下载安装即可使用的小程序。其中，应用程序可以在新产生原始数据时，根据其预先配置的加密规则，识别新产生的原始数据是否需要加密，若需要，则产生加密请求，获取原始数据。此外，应用程序也可以根据其预先配置的加密规则，识别出需要加密的原始数据，并产生加密请求，获取原始数据。又或者，应用程序接收到用户的指令，要求对原始数据进行加密，则产生加密请求，获取原始数据。

在本申请的一个实施例中，为上述实施例的进一步说明，所述步骤102中，获取第一密钥，具体为：生成随机的字符串，以所述随机的字符串作为第一密钥。其中，字符串的组合可以是数字、字母或者是数字和字母的组合；生成随机的字符串，可以采用现有技术中的随机数算法，同时，还可以将本次生成的随机字符串与之前生成的各随机字符串进行对比，若重复，则可以将本次生成的随机字符串丢弃，并再次生成随机字符串。通过这种方式，可以使得对于生成并保留下来的随机字符串具有唯一性。

生成随机字符串后，可以通过现有技术中的加密算法对所述原始数据进行加密，例如AES-CCM算法等。其中，AES-CCM算法为本领域技术人员熟知的加密算法，在此不再赘述。可以理解的是，本实施例中并非限定于采用AES-CCM算法对原始数据进行加密，在获取到随机的字符串后，本领域技术人员还可以采用其他现有技术中的加密算法对原始数据进行加密。

在一实施例中，所述步骤302中，获取第一密钥，还可以为：获取用户配置的字符串，以所述用户配置的字符串作为第一密钥。具体地，用户配置的字符串，即用户通过输入设备自行设置的字符串。用户可以通过自己的爱好或者需求自由设定第一密钥。同样地，字符串的组合可以是数字、字母或者是数字和字母的组合，在获取到随机字符串后，可以通过AES-CCM算法对所述原始数据进行加密。

在一实施例中，所述步骤302中，获取第一密钥，还可以为：连接服务器，获取由服务器动态生成的字符串，以所述服务器动态生成的字符串作为第一密钥。其中，服务器动态生成字符串，可以采用动态口令卡、动态口令牌、手机动态口令或者DHCP(Dynamic Host Configuration Protocol，动态主机配置)协议等一种或者多种组合的方式。同样地，字符串的组合可以是数字、字母或者是数字和字母的组合，在获取到随机字符串后，可以通过AES-CCM算法对所述原始数据进行加密。

可以理解的是，上述实施例获取第一密钥的方式同样适用于密钥加密方法和密钥解密方法的实施例。

本实施例中的设备识别信息与上述密钥加密方法实施例中的设备识别信息一致，用于识别具体的设备，可以包括软件设备识别信息和硬件设备识别信息，具有唯一性。在本实施例中，所述的设备识别信息为硬件设备识别信息，可以是CPU序列号、单板条形码、以太网口MAC地址等一种或者多种组合，CPU序列号、单板条形码、以太网口MAC地址在上述密钥加密方法的实施例中已经进行了详细说明，在此不再赘述。

具体地，参照图5，根据所述设备识别信息生成第二密钥，包括但不限于以下步骤：

步骤401：根据所述设备识别信息，经过一次或者多次迭代生成第三密钥；

步骤402：根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥。

示例性地，生成第二密钥和第三密钥均可以采用现有技术中的SHA-256(Secure Hash Algorithm-256)算法，其中，SHA-256算法为本领域技术人员熟知的算法，可以把任意长度的消息转化为较短的、固定长度的消息摘要，在此不再赘述。可以理解的是，本实施例中并非限定于采用SHA-256算法生成第二密钥或者第三密钥，本领域技术人员还可以采用其他现有技术中相类似的算法。示例性地，当设备识别信息包括多种时，可以采用可以通过简单组合、异或运算等一种或者多种方式进行处理，再作为SHA-256算法的输入。先根据设备识别信息生成第三密钥，再利用第三密钥生成第二密钥，有利于提高第二密钥的复杂度，提高对第一密钥加密的安全性；而通过多次迭代生成第三密钥和第二密钥，同样可以起到提高第二密钥的复杂度，提高对第一密钥加密的安全性的效果。

可以理解的是，本实施例中根据设备识别信息生成第二密钥的具体步骤，同样可以应用于上述密钥加密方法和密钥解密方法的实施例中。

基于上述实施例，参照图6，在一实施例中，根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥时，还引入了随机数，具体包括但不限于以下步骤：

步骤501：获取随机数；

步骤502：根据所述第三密钥和所述随机数，经过一次或者多次迭代生成所述第二密钥。

具体地，在步骤501中，获取随机数可以采用现有技术中的随机数算法，在此不再赘述。而在步骤502中，根据所述第三密钥和所述随机数，经过一次或者多次迭代生成所述第二密钥，即将第三密钥和随机数同时作为SHA-256算法的输入，示例性地，第三密钥和随机数可以通过简单组合、异或运算等一种或者多种方式进行输入前的处理。通过引入随机数，可以起到提高第二密钥的复杂度，提高对第一密钥加密的安全性的效果。随机数获取后，可以被存储介质储存起来，便于后续解密过程中使用，所述的存储介质可以是硬盘、U盘、光碟等。

可以理解的是，本实施例中引入随机数生成第二密钥的具体步骤，同样可以应用于上述密钥加密方法和密钥解密方法的实施例中。

参照图7，在一实施例中，本申请提供的一种数据加密方法还可以包括以下步骤：

步骤601：对所述原始数据进行单向哈希处理，生成对应的第一哈希消息校验数据；

步骤602：利用所述第一密钥，对所述第一哈希消息校验数据进行加密，生成加密哈希消息校验数据。

其中，单向哈希处理可以采用现有技术中的SHA-256算法实现，利用所述第一密钥，对所述第一哈希消息校验数据进行加密，可以采用现有技术中的AES-CCM算法实现。本实施例中对所述原始数据进行单向哈希处理，生成对应的第一哈希消息校验数据，目的是为了便于在解密过程中可以对解密后的原始数据进行校验，验证原始数据是否有被篡改，提高安全性。

图8为本申请实施例中的一种数据解密方法的流程图。如图8所示，对应上述实施例的数据加密方法，该数据解密方法包括但不限于以下步骤：

步骤701：获取加密数据和加密密钥；

步骤702：获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

步骤703：利用所述第二密钥对所述加密密钥进行解密，得到第一密钥；

步骤704：利用所述第一密钥对所述加密数据进行解密，得到原始数据。

其中，加密数据由原始数据经过上述数据加密方法加密后得到，加密密钥由第一密钥经过上述实施例中的数据加密方法加密后得到。加密数据和加密密钥可以预先被存储介质储存起来，所述的存储介质可以是硬盘、U盘、光碟等。

在步骤702中，电子设备的设备识别信息与上述实施例中密钥加密方法的一致，在此不再赘述。

其中，在本实施例中，硬件设备识别信息可以通过软件进行读取，这种方式适用于在原电子设备上进行原始数据的解密；又或者，硬件设备识别信息可以由用户自行输入，用户可以预先记下原电子设备的硬件设备识别信息，此时用户可以在另外的电子设备上进行原始数据的解密，只要提供一个界面给用户输入原电子设备的硬件设备识别信息即可，适用于在其他电子设备上进行原始数据的解密。

同样地，第一密钥用于加密原始数据，可以通过生成随机的字符串，以所述随机的字符串作为第一密钥；或者通过获取用户配置的字符串，以所述用户配置的字符串作为第一密钥；又或者连接服务器，获取由服务器动态生成的字符串，以所述服务器动态生成的字符串作为第一密钥。

利用所述第二密钥对所述加密密钥进行解密以及利用所述第一密钥对所述加密数据进行解密，采用的算法与上述数据加密方法实施例相对应，即采用AES-CCM算法。同样地，若进行原始数据加密或者第一密钥加密时采用了另外一种算法，则对加密数据解密或者加密密钥解密时要采用与加密时相同的算法。

在一实施例中，据所述设备识别信息生成第二密钥，可以先根据所述设备识别信息，经过一次或者多次迭代生成第三密钥；再根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥。与上述数据加密方法实施例对应，生成第二密钥和第三密钥均可以采用现有技术中的SHA-256算法。若在原始数据加密时采用了另外一种算法生成第三密钥和第二密钥，则对加密数据解密时要采用与加密时相同的算法生成第三密钥和第二密钥。

在上述数据加密方法的实施例中，若引入了随机数生成第二密钥，则在一实施例中，生成第二密钥时，需要先获取对应的随机数。具体可以有以下几种情况：在对原始数据加密时，随机数被储存在本地，则在对原始数据解密时从本地获取随机数；或者，在对原始数据加密时，随机数被储存在可移动的存储介质(例如U盘等)，则在对原始数据解密时，先读取可移动的存储介质，再从该可移动的存储介质获取随机数；又或者，在对原始数据加密时，用户以另外的方式记下随机数，则在对原始数据解密时，先提供输入界面供用户输入，再获取随机数。获取随机数后，再根据所述第三密钥和所述随机数，经过一次或者多次迭代生成所述第二密钥。同样地，可以采用现有技术中的SHA-256算法实现。

参照图9，在上述数据加密方法的实施例中，若对原始数据进行了单向哈希处理，则在一实施例中，对加密数据进行解密时，还可以包括以下步骤：

步骤801：获取加密哈希消息校验数据；

步骤802：利用所述第一密钥对所述加密哈希消息校验数据进行解密，得到第一哈希消息校验数据；

步骤803：对解密后得到的原始数据进行单向哈希处理，生成对应的第二哈希消息校验数据；

步骤804：校验所述第一哈希消息校验数据和第二哈希消息校验数据，判断解密后得到的原始数据的完整性。

其中，加密哈希消息校验数据可以预先被存储介质储存起来，所述的存储介质可以是硬盘、U盘、光碟等。

在步骤802中，利用第一密钥对加密哈希消息校验数据进行解密，与上述数据加密方法实施例对应，可以采用现有技术中的AES-CCM算法实现。

在步骤803中，对解密后得到的原始数据进行单向哈希处理，与上述数据加密方法实施例对应，与生成第一哈希消息校验数据所采用的算法一致，可以采用现有技术中的SHA-256算法实现。

在步骤804中，若校验所述第一哈希消息校验数据和第二哈希消息校验数据后，若判断出解密得到的原始数据被篡改过，则可以选择丢弃该原始数据，或者向用户进行告警；若判断出解密得到的原始数据，则可以将解密后的原始数据提交用户使用，从而提高安全性。第一哈希消息校验数据和第二哈希消息校验数据的校验方式为现有技术，在此不再赘述。

下面以一个实际例子对本申请的数据加密方法作示例性说明。

应用场景为多个基站，每个基站设置有对应的无线基站管理电脑，每台管理电脑储存了基站和网管通信的账号和密码，一旦管理密码被破解，基站和网管通信的账号和密码则会被泄露；甚至有时为了便于管理，这批基站的管理密钥均设置成一样，因此一旦其中一个基站的管理密钥被泄露，这批基站和网管通信的账号和密码则会全部被泄露，安全性不高。

针对上述问题，采用本申请的数据加密方法即可大大提高安全性。首先利用第一密钥对基站和网管通信的账号和密码进行加密，然后根据管理电脑的CPU序列号、单板条形码或者以太网口MAC地址中一种或者多种生成对应的第三密钥，再根据第三密钥生成第二密钥，利用第二密钥对第一密钥进行加密。因此，即使第一密钥被泄露了，也是处于被第二密钥加密的状态，攻击者需要进行解密才能得到第一密钥；同时，第二密钥是通过管理电脑的硬件设备识别信息生成的，因此具有唯一性，被破解的成本高，并且即便被破解，基于第二密钥的唯一性，也不会对其他基站造成影响，从而大大提高了数据加密的安全性。

解密时，先利用加密时采用的相同算法生成第二密钥，利用第二密钥，采用与加密时相同算法解密出第一密钥，再利用第一密钥，采用与加密时相同算法即可解密出基站和网管通信的账号和密码。

基于上述例子，通过本申请的数据加密方法，利用第一密钥对原始数据加密后，再利用设备识别信息对第一密钥进行加密，可以有效地保证第一密钥的安全，提高了数据加密的安全性；同时，利用设备识别信息对第一密钥进行加密，基于设备识别信息的唯一性，可以实现“一站一密”，使得第一密钥的加密安全性大大提高。

还应了解，本申请实施例提供的方法的各种实施方式可以任意进行组合，以实现不同的技术效果。

图10示出了本申请实施例提供的电子设备100。电子设备100包括：存储器102、处理器101及存储在存储器102上并可在处理器101上运行的计算机程序，计算机程序运行时用于执行上述的密钥加密方法，或者执行上述的密钥解密方法，或者执行上述的数据加密方法，或者执行上述的数据解密方法。

处理器101和存储器102可以通过总线或者其他方式连接。

存储器102作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序，如本申请实施例描述的密钥加密方法、密钥解密方法、数据加密方法或者数据解密方法。处理器101通过运行存储在存储器102中的非暂态软件程序以及指令，从而实现上述的密钥加密方法、密钥解密方法、数据加密方法或者数据解密方法。

存储器102可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储执行上述的密钥加密方法、密钥解密方法、数据加密方法或者数据解密方法。此外，存储器102可以包括高速随机存取存储器102，还可以包括非暂态存储器102，例如至少一个磁盘存储器件、闪存器件或其他非暂态固态存储器件。在一些实施方式中，存储器102包括相对于处理器101远程设置的存储器102，这些远程存储器102可以通过网络连接至该电子设备100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

实现上述的密钥加密方法、密钥解密方法、数据加密方法或者数据解密方法所需的非暂态软件程序以及指令存储在存储器102中，当被一个或者多个处理器101执行时，执行上述的密钥加密方法、密钥解密方法、数据加密方法或者数据解密方法，例如，执行图2中描述的方法步骤101至103、图3中描述的方法步骤201至203、图4中描述的方法步骤301至304、图5中描述的方法步骤401至402、图6中描述的方法步骤501至502、图7中描述的方法步骤601至602、图8中描述的方法步骤701至704、图9中描述的方法步骤801至804。

本申请实施例还提供了计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行上述的密钥加密方法、密钥解密方法、数据加密方法或者数据解密方法。

在一实施例中，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个控制处理器101执行，例如，被上述电子设备100中的一个处理器101执行，可使得上述一个或多个处理器101执行上述的密钥加密方法、密钥解密方法、数据加密方法或者数据解密方法，例如，执行图2中描述的方法步骤101至103、图3中描述的方法步骤201至203、图4中描述的方法步骤301至304、图5中描述的方法步骤401至402、图6中描述的方法步骤501至502、图7中描述的方法步骤601至602、图8中描述的方法步骤701至704、图9中描述的方法步骤801至804。

本申请实施例包括：获取第一密钥和电子设备的设备识别信息，再根据所述设备识别信息生成第二密钥，并利用所述第二密钥对所述第一密钥进行加密，生成加密密钥。基于本申请实施例的技术方案，利用设备识别信息对第一密钥进行加密，可以有效地保证第一密钥的安全，提高了数据加密的安全性；同时，利用设备识别信息对第一密钥进行加密，基于设备识别信息的唯一性，使得第一密钥的加密安全性大大提高。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器101，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包括计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上是对本申请的较佳实施进行了具体说明，但本申请并不局限于上述实施方式，熟悉本领域的技术人员在不违背本申请精神的共享条件下还可作出种种等同的变形或替换，这些等同的变形或替换均包括在本申请权利要求所限定的范围内。

Claims

一种密钥加密方法，应用于电子设备，包括：

获取第一密钥；

获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

利用所述第二密钥对所述第一密钥进行加密，生成加密密钥。
根据权利要求1所述的密钥加密方法，其中，所述设备识别信息包括硬件设备识别信息，所述获取所述电子设备的设备识别信息，包括：

读取所述电子设备的硬件运行信息，获取所述的硬件设备识别信息。
根据权利要求2所述的密钥加密方法，其中，所述硬件设备识别信息包括以下至少之一：

中央处理器CPU序列号；

单板条形码；

以太网口媒体存取控制MAC地址。
根据权利要求1所述的密钥加密方法，其中，所述获取第一密钥，包括以下步骤之一：

生成随机的字符串，以所述随机的字符串作为第一密钥；

获取用户配置的字符串，以所述用户配置的字符串作为第一密钥；

连接服务器，获取由服务器动态生成的字符串，以所述服务器动态生成的字符串作为第一密钥。
根据权利要求1至4任意一项所述的密钥加密方法，其中，所述的根据所述设备识别信息生成第二密钥，包括以下步骤：

根据所述设备识别信息，经过一次或者多次迭代生成第三密钥；

根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥。
根据权利要求5所述的密钥加密方法，其中，所述的根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥，包括以下步骤：

获取随机数；

根据所述第三密钥和所述随机数，经过一次或者多次迭代生成所述第二密钥。
一种密钥解密方法，应用于电子设备，包括：

获取加密密钥；

获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

利用所述第二密钥对所述加密密钥进行解密，得到第一密钥。
根据权利要求7所述的密钥解密方法，其中，所述设备识别信息包括硬件设备识别信息，所述获取所述电子设备的设备识别信息，包括：

读取所述电子设备的硬件运行信息，获取所述的硬件设备识别信息。
根据权利要求8所述的密钥解密方法，其中，所述硬件设备识别信息包括以下至少之一：

中央处理器CPU序列号；

单板条形码；

以太网口媒体存取控制MAC地址。
根据权利要求9所述的密钥解密方法，其中，所述第一密钥通过以下步骤之一获取：

生成随机的字符串，以所述随机的字符串作为第一密钥；

获取用户配置的字符串，以所述用户配置的字符串作为第一密钥；

连接服务器，获取由服务器动态生成的字符串，以所述服务器动态生成的字符串作为第一密钥。
根据权利要求7至10任意一项所述的密钥解密方法，其中，所述的根据所述设备识别信息生成第二密钥，包括以下步骤：

根据所述设备识别信息，经过一次或者多次迭代生成第三密钥；

根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥。
根据权利要求11所述的密钥解密方法，其中，所述的根据所述第三密钥，经过一次或者多次迭代生成所述第二密钥，包括以下步骤：

获取随机数；

根据所述第三密钥和所述随机数，经过一次或者多次迭代生成所述第二密钥。
一种数据加密方法，应用于电子设备，包括：

获取原始数据；

获取第一密钥，利用所述第一密钥对所述原始数据进行加密，生成加密数据；

获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

利用所述第二密钥对所述第一密钥进行加密，生成加密密钥。
根据权利要求13所述的数据加密方法，还包括：

对所述原始数据进行单向哈希处理，生成对应的第一哈希消息校验数据；

利用所述第一密钥，对所述第一哈希消息校验数据进行加密，生成加密哈希消息校验数据。
一种数据解密方法，应用于电子设备，包括：

获取加密数据和加密密钥；

获取所述电子设备的设备识别信息，根据所述设备识别信息生成第二密钥；

利用所述第二密钥对所述加密密钥进行解密，得到第一密钥；

利用所述第一密钥对所述加密数据进行解密，得到原始数据。
根据权利要求15所述的数据解密方法，还包括：

获取加密哈希消息校验数据；

利用所述第一密钥对所述加密哈希消息校验数据进行解密，得到第一哈希消息校验数据；

对解密后得到的原始数据进行单向哈希处理，生成对应的第二哈希消息校验数据；

校验所述第一哈希消息校验数据和第二哈希消息校验数据，判断解密后得到的原始数据的完整性。
一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序运行时执行如权利要求1至6任一所述的密钥加密方法，或者执行如权利要求7-12所述的密钥解密方法，或者执行如权利要求13或14所述的数据加密方法，或者执行如权利要求15或16所述的数据解密方法。
一种计算机可读存储介质，存储有计算机可执行指令，其中，所述计算机可执行指令用于执行如权利要求1至6任一所述的密钥加密方法，或者执行如权利要求7-12所述的密钥解密方法，或者执行如权利要求13或14所述的数据加密方法，或者执行如权利要求15或16所述的数据解密方法。