CN107733936B - 一种移动数据的加密方法 - Google Patents

一种移动数据的加密方法 Download PDF

Info

Publication number
CN107733936B
CN107733936B CN201711257708.5A CN201711257708A CN107733936B CN 107733936 B CN107733936 B CN 107733936B CN 201711257708 A CN201711257708 A CN 201711257708A CN 107733936 B CN107733936 B CN 107733936B
Authority
CN
China
Prior art keywords
key
encryption
mobile application
usb
device hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711257708.5A
Other languages
English (en)
Other versions
CN107733936A (zh
Inventor
王潇
孙建
张淑娟
朱颖
丁全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201711257708.5A priority Critical patent/CN107733936B/zh
Publication of CN107733936A publication Critical patent/CN107733936A/zh
Application granted granted Critical
Publication of CN107733936B publication Critical patent/CN107733936B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及信息安全领域,更具体地说,特别涉及一种移动数据的加密方法。所述移动数据的加密方法包括数据传输加密方法和数据存储加密方法,所述数据传输加密方法创造性的增设了安全设备硬件A和安全设备硬件B,由增设的安全设备硬件A和安全设备硬件B实现传输加密算法,将加解密计算任务从服务器主处理器部分剥离出来,移植到单独的安全设备硬件上,从而极大的提升了计算效率,且信息保密的等级更高,安全性更好。

Description

一种移动数据的加密方法
技术领域
本发明涉及信息安全领域,更具体地说,特别涉及一种移动数据的加密方法。
背景技术
随着网络的飞速发展,用户借助这网络极大提高了工作效率,但同时,网络存在着各种各样的安全隐患,近年来各种互联网安全事故频发,连入互联网将面临各种安全风险,如信息泄漏,信息篡改,资源盗用等。还有随着电子产业的发展,移动设备如智能手机,平板,笔记本等也是进入千家万户,而移动设备携带方便的同时也伴随着易丢失的缺点,丢失后设备上的软件被他人随意使用,造成各种重要信息的泄漏。这些风险的存在阻碍了网络的应用和发展,在网络化,信息化的进程不可逆的形势下,保障信息安全至关重要。
现有技术中关于移动设备的数据加密的技术已经非常成熟,如:
中国专利文献ZL200710065062.0公开了一种加密型移动存储装置,包括:存储器,用于存储数据;通信接口模块,用于与外部设备进行数据传输;无线接收模块,接收无线信号;数据处理模块,提取该无线信号中的密钥,在该数据处理模块中包括加密单元和解密单元,该加密单元利用有效密钥对向存储器中存储的文件进行加密,解密单元用于对从存储器中取出的已加密文件进行解密,且该解密单元仅在无线信号中的密钥与有效密钥匹配时可将已加密文件进行解密;时钟单元,向数据处理模块提供时钟脉冲。数据处理模块根据时钟脉冲监测是否在设定时间内接收到新的无线信号,且该无线信号中包含与有效密钥匹配的密钥,如在设定时间内未收到或密钥不匹配则使解密单元无法对已加密文件进行解密。
中国专利文献CN201410569920.5公开了一种数据加密的移动硬盘,包括磁盘以及在磁盘上设有与外界进行数据交互的数据接口,其特征在于,还包括:连接数据接口的安全识别模块和控制模块,当由安全识别模块识别到与磁盘有数据交互的设备的安全等级小于预设安全等级时,控制模块控制切断与磁盘有数据交互的设备的连接;还包括:数据加解密引擎,设置于数据接口,在由安全识别模块识别到与磁盘有数据交互的设备的安全等级大于或等于预设安全等级时,对进出磁盘的数据进行加解密。
中国专利文献CN201310677217.1公开了一种移动存储介质的数据安全保护方法,在移动存储介质上创建一个操作***不能加载的文件***;根据用户输入的验证口令,生成文件***的随机密钥,将验证口令的哈希值和使用验证口令加密后的随机密钥保存到文件***中;利用随机密钥对移动存储介质进行数据加解密操作,从而实现对移动存储介质的数据安全保护。
中国专利文献CN201210034983.1公开了一种基于云存储的文件加密、解密方法,该方法包括:应用终端向云存储平台发起文件写入,云存储平台对文件进行分片存储;加密和解密平台对分片存储到云存储平台的文件进行分布式加密。
上述的加密方法通过设备本身自带的加密硬件和软件进行加密,数据容易遭到破解。
发明内容
针对上述现有技术中的不足,本发明的目的是提供了一种移动数据的加密方法,能够保证和提高移动数据安全性。
为实现上述目的,本发明采用了以下技术方案:
一种移动数据的加密方法,包括数据传输加密方法和数据存储加密方法,所述数据传输加密方法应用在数据传输加密***中,所述数据传输加密***包括移动应用客户端、移动应用服务器端、安全设备硬件A、安全设备硬件B和密钥管理数据库;所述安全设备硬件A与移动应用客户端相配合,且安全设备硬件A中存储有初始密钥SA;所述安全设备硬件B与移动应用服务器端相配合;所述密钥管理数据库处于内部网络,与外部公用网络进行物理隔离,且所述密钥管理数据库只能被所述移动应用服务器端访问,所述密钥管理数据库也存储有初始密钥SA;
所述数据传输加密方法包括如下步骤:
S11、所述移动应用客户端获取安全设备硬件A的ID,其中,所述安全设备硬件A的ID在生产时进行设定,并且不能修改,用于唯一标识该安全设备硬件A;
S12、所述移动应用客户端向所述安全设备硬件A发送更新密钥的请求;
S13、所述安全设备硬件A收到所述移动应用客户端发送的请求时,首先随机产生一个密钥种子RA,并利用密钥生成算法将所述密钥种子RA与所述初始密钥SA进行运算,获得最终密钥KEY;同时,所述安全设备硬件A将生成的密钥种子RA返回给所述移动应用客户端;
S14、在所述移动应用客户端获得密钥种子RA后,所述移动应用客户端将所述密钥种子RA和安全设备硬件A的ID发送至所述移动应用服务器端;
S15、所述移动应用服务器端根据收到的所述安全设备硬件A的ID,在所述密钥管理数据库中查找得到所述安全设备硬件A的初始密钥SA,之后所述移动应用服务器端将初始密钥SA与密钥种子RA同时发给所述安全设备硬件B;
S16、所述安全设备硬件B利用所述密钥生成算法将所述密钥种子RA和初始密钥SA进行运算,获得最终密钥KEY,其中,在所述安全设备硬件A与所述安全设备硬件B计算出同样的最终密钥KEY时,则所述移动应用客户端和移动应用服务器端完成数据传输的加密。
在上述移动数据的加密方法中,作为本发明的进一步的技术方案,存储在所述安全设备硬件A中的初始密钥SA,不能进行修改,并不能从所述安全设备硬件A中读出。
在上述移动数据的加密方法中,作为本发明的进一步的技术方案,所述最终密钥KEY拒绝被数据传输加密***外的软件读出。
在上述移动数据的加密方法中,作为本发明的进一步的技术方案,所述密钥生成算法为SM4算法。
在上述移动数据的加密方法中,作为本发明的进一步的技术方案,所述数据存储加密方法包括信息加密流程和信息解密流程,其中,所述信息加密流程包括如下步骤:S21,接收用户每次使用时首先输入的PIN码,以进入USB Key***;
S22,接收用户根据提示信息输入特定识别符[A]以加密存储信息;
S23,所述USB Key***使用内置加密算法加密所述特定识别符[A]得到密钥[Y0];
S24,所述USB Key***使用所述密钥[Y0]解密存储在USB Key***的内置ROM模块的特定多维密钥[B],并在解密后得到密钥组[Y],其中,所述特定多维密钥[B]=[B1,B2,B3,…,Bn],所述特定多维密钥[B]为所述USB Key***随机生成,并存储于该USB Key***的内置ROM模块中,所述密钥组[Y]=[Y1,Y2,Y3,…,Yn];
S25,所述USB Key***使用密钥组[Y]作为加密密钥,对用户需要加密存储的信息[C]使用加密算法进行加密,得到加密密文[D],并将所述加密密文[D]和与所述密钥组[Y]的对应关系[D→Y]保存在USB Key***的外置存储模块中,并生成反馈信息,以确定本次加密完成,其中,用户需要加密存储的信息[C]=[C1,C2,C3,…,Cn],所述加密密文[D]=[D1,D2,D3,…,Dn];
所述信息解密流程包括如下步骤:
S31:接收用户每次使用时需首先输入PIN码,以进入USB Key***;
S32:接收用户在需要解密USB Key***的外置存储模块中的加密密文[D]时按提示输入的特定识别符[A];
S33:所述USB Key***使用所述内置加密算法加密所述特定识别符[A]得到密钥[Y0];
S34:所述USB Key***使用该密钥[Y0]解密存储在USB Key***的内置ROM模块的特定多维密钥[B]得到密钥组[Y],其中密钥组[Y]=[Y1,Y2,Y3,…,Yn];
S35:所述USB Key***读取所述外置存储模块中存储的对应关系[D→Y],并根据所述对应关系[D→Y]从[Y]中选择密钥使用加密算法解密信息[D],得到明文信息[C]并生成反馈信息,以确定本次解密成功,其中,所述明文信息[C]=[C1,C2,C3,…,Cn]。
在上述移动数据的加密方法中,作为本发明的进一步的技术方案,所述USB Key***使用密钥组[Y]作为加密密钥,对所述信息[C]使用加密算法进行加密的步骤包括:所述USB Key***加密计算时随机从密钥组[Y]=[Y1,Y2,Y3,…,Yn]中选择一个未选择过的密钥Yi对信息[C]进行加密处理,直至所述USB Key***总共进行n次加密计算后得到加密密文[D]=[D1,D2,D3,…,Dn],其中,i=1,2,3,…,n。
在上述移动数据的加密方法中,作为本发明的进一步的技术方案,,所述数据存储加密方法中的加密算法为SM2算法。
本发明提供的一种移动数据的加密方法,通过增设安全设备硬件A和安全设备硬件B实现加密算法,将加解密计算任务从服务器主处理器部分剥离出来,移植到单独的专用集成芯片上,如:安全设备硬件A和安全设备硬件A,从而极大的提升了计算效率,并提高了安全性能。
进一步地,本发明在数据传输加密方法中使用了SM4算法。SM4算法作为一种对称分组密码算法,2006年由我国公布,其使用32轮的Feistel非线性迭代结构,具有很强的抗差分攻击能力,其安全性达到先进的分组密码算法的标准。就目前公开的研究结果看,还没有任何方法能攻破24轮的SM4算法,因此,32轮的SM4算法具有一定的安全冗余度,尤其适用于银行等涉及国家金融安全的机构进行移动数据的加密保护。
进一步地,本发明在数据存储保护方法中采用了SM2加密算法,SM2算法属于非对称密钥算法,通过使用公钥加密私钥解密的方式工作。在非对称密钥算法工作过程中,加密密钥和解密密钥各不相同,加密密钥是公开使用的,解密密钥只有用户自己知道,攻击者无法根据加密密钥计算出解密密钥。
SM2算法的优点主要包括:密钥管理简单,保密传输时所需要的密钥组数量较少;密钥可以公开发布,易传播而不易破解;信息保密的等级较高,安全性较好;密钥占用存储空间小。
附图说明
图1为本发明中的数据传输加密方法的时序图。
图2为本发明中的数据存储加密方法中的信息加密流程图。
图3为本发明中的数据存储加密方法中的信息解密流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明中的技术方案进行清楚、完整地描述。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
在数据传输加密***中,所述数据传输加密***包括移动应用客户端、移动应用服务器端、安全设备硬件A、安全设备硬件B和密钥管理数据库。所述安全设备硬件A与移动应用客户端相配合,且安全设备硬件A中存储有初始密钥SA;所述安全设备硬件B与移动应用服务器端相配合。
本发明的创造性的在移动应用客户端与移动应用服务器端分别加装安全设备硬件,同时,设立密钥管理数据库,对安全设备硬件的初始密钥进行管理。在该设计方案中,安全设备硬件(包括安全设备硬件A、安全设备硬件B)主要具备四个功能:
(1)存储安全设备硬件的唯一序号ID及初始密钥;
(2)实现随机密钥种子生成算法;
(3)根据密钥种子和初始密钥生成密钥算法;
(4)利用密钥进行加密/解密。
密钥管理数据库则主要用于管理与各个安全设备硬件ID所对应的初始密钥,并且密钥管理数据库处于内部网络,与外部公用网络进行物理隔离,只能被移动应用服务器端访问,
实现了在移动数据传输的保护过程中,主要考虑安全和速度两个因素,其一从安全问题角度考虑,避免了运行在软件层次的加解密算法,缺乏物理保护,在面临病毒入侵等问题时,加解密模块可能会遭到病毒篡改,从而导致严重后果;另一方面从速度问题方面考虑,避免了移动应用服务器端往往需要同时面临成千上万的用户同时访问,所需要加密的数据量非常大,对硬件的要求也较高的问题。
如图1所示,图1中的以移动应用设备为安全设备硬件A,移动支付客户端为移动应用客户端,移动支付服务器为移动应用服务器端,移动设备硬件为安全设备硬件B进行说明。
如图1所示,所述数据传输加密方法包括如下步骤:
S11、所述移动支付客户端获取移动应用设备的ID,其中,所述移动应用设备的ID在生产时进行设定,并且不能修改,用于唯一标识该移动应用设备。
S12、所述移动支付客户端向所述移动应用设备发送更新密钥的请求。
S13、所述移动应用设备收到所述移动支付客户端发送的请求时,首先随机产生一个密钥种子RA,并利用密钥生成算法将所述密钥种子RA与所述初始密钥SA进行运算,获得最终密钥KEY,同时,所述移动应用设备将生成的密钥种子RA返回给所述移动支付客户端。
S14、在所述移动支付客户端获得密钥种子RA后,所述移动支付客户端将所述密钥种子RA和移动应用设备的ID发送至所述移动支付服务器。
S15、所述移动支付服务器根据收到的所述移动应用设备的ID,在所述密钥管理数据库中查找得到所述移动应用设备的初始密钥SA,之后所述移动支付服务器将初始密钥SA与密钥种子RA同时发给所述移动设备硬件。
S16、所述移动设备硬件利用所述密钥生成算法将所述密钥种子RA和初始密钥SA进行运算,获得最终密钥KEY,其中,在所述移动应用设备与所述移动设备硬件计算出同样的最终密钥KEY时,则所述移动支付客户端和移动支付服务器完成数据传输的加密。
通过上述设置以实现了将加解密计算任务从服务器主处理器部分剥离出来,移植到单独的安全设备硬件上,从而极大的提升了计算效率,且加密后的信息保密的等级更高,安全性更好。
可选的,在本实施例中,存储在所述移动应用设备中的初始密钥SA,是在移动应用设备生产环节时设定的,不能进行修改,并拒绝从移动应用设备中读出初始密钥SA。
可选的,在本实施例中,所生成的最终密钥KEY拒绝被数据传输加密***外的软件读出,从而保证在病毒软件入侵时,无法突破物理保护,导致密钥泄露丢失。
可选的,在本实施例中,密钥种子RA与初始密钥SA进行运算所采用的密钥生成算法均为SM4算法。
其中,SM4算法作为一种对称分组密码算法,2006年由我国公布,其使用32轮的Feistel非线性迭代结构,具有很强的抗差分攻击能力,其安全性达到先进的分组密码算法的标准。就目前公开的研究结果看,还没有任何方法能攻破24轮的SM4算法,因此,32轮的SM4算法具有一定的安全冗余度,尤其适用于银行等涉及国家金融安全的机构进行移动数据的加密保护。
实施例2
如图2所示,本实施例中涉及数据存储加密方法,所述数据存储加密方法包括信息加密流程和信息解密流程。
所述信息加密流程包括如下步骤:
S21,接收用户每次使用时首先输入的PIN码,以进入USB Key***。其中,USB Key***可以是移动支付客户端的***。
需要说明的是,在输入的PIN码正确时进入USB Key***,并输出提示信息,当在输入的PIN码错误时,再次接收用户输入的PIN码,直至在超出预设次数后输入的PIN码都为错误时不再接受用户输入的PIN码。
S22,接收用户根据提示信息输入特定识别符[A]以加密存储信息。
S23,所述USB Key***使用内置加密算法加密所述特定识别符[A]得到密钥[Y0]。
S24,所述USB Key***使用所述密钥[Y0]解密存储在USB Key***的内置ROM模块的特定多维密钥[B],并在解密后得到密钥组[Y],其中,所述特定多维密钥[B]=[B1,B2,B3,…,Bn],所述特定多维密钥[B]为所述USB Key***随机生成,并存储于该USB Key***的内置ROM模块中,所述密钥组[Y]=[Y1,Y2,Y3,…,Yn]。
S25,所述USB Key***使用密钥组[Y]作为加密密钥,对用户需要加密存储的信息[C]使用加密算法进行加密,得到加密密文[D],并将所述加密密文[D]和与所述密钥组[Y]的对应关系[D→Y]保存在USB Key***的外置存储模块中,并生成反馈信息,以确定本次加密完成,其中,用户需要加密存储的信息[C]=[C1,C2,C3,…,Cn],加密密文[D]=[D1,D2,D3,…,Dn]。
请结合图3,所述信息解密流程包括如下步骤:
S31:接收用户每次使用时需首先输入PIN码,以进入USB Key***。
需要说明的是,在输入的PIN码正确时进入USB Key***,并输出提示,当在输入的PIN码错误时,再次接收用户输入的PIN码,直至在超出预设次数后输入的PIN码都为错误时不再接受用户输入的PIN码。
S32:接收用户在需要解密USB Key***的外置存储模块中的加密密文[D]时按提示输入的特定识别符[A]。
S33:所述USB Key***使用所述内置加密算法加密所述特定识别符[A]得到密钥[Y0]。
S34:所述USB Key***使用该密钥[Y0]解密存储在USB Key***的内置ROM模块的特定多维密钥[B]得到密钥组[Y],其中,所述密钥组[Y]=[Y1,Y2,Y3,…,Yn]。
S35:所述USB Key***读取所述外置存储模块中存储的对应关系[D→Y],并根据所述对应关系[D→Y]从[Y]中选择密钥使用加密算法解密信息[D],得到明文信息[C],并生成反馈信息,以确定本次解密成功,其中,所述明文信息[C]=[C1,C2,C3,…,Cn]。
可选的,在本实施例中,在上述步骤S25中,所述USB Key***使用密钥组[Y]作为加密密钥,对所述信息[C]使用加密算法进行加密的步骤包括:所述USB Key***加密计算时随机从密钥组[Y]=[Y1,Y2,Y3,…,Yn]中选择一个未选择过的密钥Yi对信息[C]进行加密处理,直至所述USB Key***总共进行n次加密计算后得到加密密文[D]=[D1,D2,D3,…,Dn],其中,i=1,2,3,…,n。
可选的,在在本实施例中,所述数据存储加密方法中的加密算法为SM2算法。
其中,SM2算法属于非对称密钥算法,通过使用公钥加密私钥解密的方式工作。在非对称密钥算法工作过程中,加密密钥和解密密钥各不相同,加密密钥是公开使用的,解密密钥只有用户自己知道,攻击者无法根据加密密钥计算出解密密钥,使得信息保密的等级较高,安全性较好。
综上,本发明提供的一种移动数据的加密方法,以实现创造性地通过增设硬件实现加密算法,将加解密计算任务从服务器主处理器部分剥离出来,移植到单独的专用集成芯片上,从而极大的提升了计算效率。此外,本发明在数据传输加密方法中使用了SM4算法,以使加密后的信息具有很强的抗差分攻击能力,其安全性达到先进的分组密码算法的标准。本发明在数据存储保护方法中采用了SM2加密算法,使得密钥管理简单,保密传输时所需要的密钥组数量较少,密钥占用存储空间小,密钥可以公开发布,且信息保密的等级较高,安全性较好。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种移动数据的加密方法,包括数据传输加密方法和数据存储加密方法,其特征在于,所述数据传输加密方法应用在数据传输加密***中,所述数据传输加密***包括移动应用客户端、移动应用服务器端、安全设备硬件A、安全设备硬件B和密钥管理数据库;所述安全设备硬件A与移动应用客户端相配合,且安全设备硬件A中存储有初始密钥SA;所述安全设备硬件B与移动应用服务器端相配合;所述密钥管理数据库处于内部网络,与外部公用网络进行物理隔离,且所述密钥管理数据库只能被所述移动应用服务器端访问,所述密钥管理数据库也存储有初始密钥SA;
所述数据传输加密方法包括如下步骤:
S11、所述移动应用客户端获取安全设备硬件A的ID,其中,所述安全设备硬件A的ID在生产时进行设定,并且不能修改,用于唯一标识该安全设备硬件A;
S12、所述移动应用客户端向所述安全设备硬件A发送更新密钥的请求;
S13、所述安全设备硬件A收到所述移动应用客户端发送的请求时,首先随机产生一个密钥种子RA,并利用密钥生成算法将所述密钥种子RA与所述初始密钥SA进行运算,获得最终密钥KEY,同时,所述安全设备硬件A将生成的密钥种子RA返回给所述移动应用客户端;
S14、在所述移动应用客户端获得密钥种子RA后,所述移动应用客户端将所述密钥种子RA和安全设备硬件A的ID发送至所述移动应用服务器端;
S15、所述移动应用服务器端根据收到的所述安全设备硬件A的ID,在所述密钥管理数据库中查找得到所述安全设备硬件A的初始密钥SA,之后所述移动应用服务器端将初始密钥SA与密钥种子RA同时发给所述安全设备硬件B;
S16、所述安全设备硬件B利用所述密钥生成算法将所述密钥种子RA和初始密钥SA进行运算,获得最终密钥KEY,其中,在所述安全设备硬件A与所述安全设备硬件B计算出同样的最终密钥KEY时,则所述移动应用客户端和移动应用服务器端完成数据传输的加密;
所述数据存储加密方法包括信息加密流程和信息解密流程,其中,所述信息加密流程包括如下步骤:
S21,接收用户每次使用时首先输入的PIN码,以进入USB Key***;
S22,接收用户根据提示信息输入特定识别符[A]以加密存储信息;
S23,所述USB Key***使用内置加密算法加密所述特定识别符[A]得到密钥[Y0];
S24,所述USB Key***使用所述密钥[Y0]解密存储在USB Key***的内置ROM模块的特定多维密钥[B],并在解密后得到密钥组[Y],其中,所述特定多维密钥[B]=[B1,B2,B3,…,Bn],所述特定多维密钥[B]为所述USB Key***随机生成,并存储于该USB Key***的内置ROM模块中,所述密钥组[Y]=[Y1,Y2,Y3,…,Yn];
S25,所述USB Key***使用密钥组[Y]作为加密密钥,对用户需要加密存储的信息[C]使用加密算法进行加密,得到加密密文[D],并将所述加密密文[D]和与所述密钥组[Y]的对应关系[D→Y]保存在USB Key***的外置存储模块中,并生成反馈信息,以确定本次加密完成,其中,用户需要加密存储的信息[C]=[C1,C2,C3,…,Cn],加密密文[D]=[D1,D2,D3,…,Dn];
所述信息解密流程包括如下步骤:
S31:接收用户每次使用时需首先输入PIN码,以进入USB Key***;
S32:接收用户在需要解密USB Key***的外置存储模块中的加密密文[D]时按提示输入的特定识别符[A];
S33:所述USB Key***使用所述内置加密算法加密所述特定识别符[A]得到密钥[Y0];
S34:所述USB Key***使用该密钥[Y0]解密存储在USB Key***的内置ROM模块的特定多维密钥[B]得到密钥组[Y],其中,所述密钥组[Y]=[Y1,Y2,Y3,…,Yn];
S35:所述USB Key***读取所述外置存储模块中存储的对应关系[D→Y],并根据所述对应关系[D→Y]从[Y]中选择密钥使用加密算法解密信息[D],得到明文信息[C]并生成反馈信息,以确定本次解密成功,其中,明文信息[C]=[C1,C2,C3,…,Cn]。
2.根据权利要求1所述的一种移动数据的加密方法,其特征在于,存储在所述安全设备硬件A中的初始密钥SA,不能进行修改,并不能从所述安全设备硬件A中读出。
3.根据权利要求2所述的一种移动数据的加密方法,其特征在于,所述最终密钥KEY拒绝被数据传输加密***外的软件读出。
4.根据权利要求1或2或3所述的一种移动数据的加密方法,其特征在于,所述密钥生成算法为SM4算法。
5.根据权利要求1所述的一种移动数据的加密方法,其特征在于,所述USB Key***使用密钥组[Y]作为加密密钥,对所述信息[C]使用加密算法进行加密的步骤包括:所述USBKey***加密计算时随机从密钥组[Y]=[Y1,Y2,Y3,…,Yn]中选择一个未选择过的密钥Yi对信息[C]进行加密处理,直至所述USB Key***总共进行n次加密计算后得到加密密文[D]=[D1,D2,D3,…,Dn],其中,i=1,2,3,…,n。
6.根据权利要求5所述的一种移动数据的加密方法,其特征在于,所述数据存储加密方法中的加密算法为SM2算法。
CN201711257708.5A 2017-12-04 2017-12-04 一种移动数据的加密方法 Active CN107733936B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711257708.5A CN107733936B (zh) 2017-12-04 2017-12-04 一种移动数据的加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711257708.5A CN107733936B (zh) 2017-12-04 2017-12-04 一种移动数据的加密方法

Publications (2)

Publication Number Publication Date
CN107733936A CN107733936A (zh) 2018-02-23
CN107733936B true CN107733936B (zh) 2020-08-07

Family

ID=61220946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711257708.5A Active CN107733936B (zh) 2017-12-04 2017-12-04 一种移动数据的加密方法

Country Status (1)

Country Link
CN (1) CN107733936B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995648A (zh) * 2019-10-25 2020-04-10 金现代信息产业股份有限公司 安全加密方法
CN112101977A (zh) * 2020-07-01 2020-12-18 上海世强信息技术有限公司 一种精准的大数据分析方法
CN112053476A (zh) * 2020-09-08 2020-12-08 四川铁集共联科技股份有限公司 一种基于智能锁和手机终端的加密方法及***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005357A (zh) * 2006-12-28 2007-07-25 北京飞天诚信科技有限公司 一种更新认证密钥的方法和***
CN101615322A (zh) * 2008-06-25 2009-12-30 上海富友网络技术有限公司 实现有磁支付功能的移动终端支付方法及***
CN104253694A (zh) * 2014-09-27 2014-12-31 杭州电子科技大学 一种用于网络数据传输的保密方法
CN104270242A (zh) * 2014-09-27 2015-01-07 杭州电子科技大学 一种用于网络数据加密传输的加解密装置
CN105376216A (zh) * 2015-10-12 2016-03-02 华为技术有限公司 一种远程访问方法、代理服务器及客户端

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9356916B2 (en) * 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005357A (zh) * 2006-12-28 2007-07-25 北京飞天诚信科技有限公司 一种更新认证密钥的方法和***
CN101615322A (zh) * 2008-06-25 2009-12-30 上海富友网络技术有限公司 实现有磁支付功能的移动终端支付方法及***
CN104253694A (zh) * 2014-09-27 2014-12-31 杭州电子科技大学 一种用于网络数据传输的保密方法
CN104270242A (zh) * 2014-09-27 2015-01-07 杭州电子科技大学 一种用于网络数据加密传输的加解密装置
CN105376216A (zh) * 2015-10-12 2016-03-02 华为技术有限公司 一种远程访问方法、代理服务器及客户端

Also Published As

Publication number Publication date
CN107733936A (zh) 2018-02-23

Similar Documents

Publication Publication Date Title
CN110324143B (zh) 数据传输方法、电子设备及存储介质
US11880831B2 (en) Encryption system, encryption key wallet and method
CN105760764B (zh) 一种嵌入式存储设备文件的加解密方法、装置及终端
CN108833114A (zh) 一种基于区块链的去中心化身份认证***及方法
CN102685093A (zh) 一种基于移动终端的身份认证***及方法
US11012722B2 (en) System and method for securely transferring data
CN102325026A (zh) 账号密码安全加密***
CN102904712A (zh) 信息加密方法
CN104579689A (zh) 一种软密钥***及实现方法
CN107733936B (zh) 一种移动数据的加密方法
CA2809144A1 (en) Encryption device and method
CN110225014B (zh) 基于指纹集中下发式的物联网设备身份认证方法
CN103853943B (zh) 程序保护方法及装置
CN107070896B (zh) 一种安全高效的区块链网络客户化登录方法及安全加固***
WO2019242645A1 (zh) 密钥生成装置、加密解密装置、密钥生成和分发***以及信息安全传递***
CN111404953A (zh) 一种消息加密方法、解密方法及相关装置、***
CN105281902A (zh) 一种基于移动终端的Web***安全登录方法
Wang et al. Leakage models and inference attacks on searchable encryption for cyber-physical social systems
CN111680013A (zh) 基于区块链的数据共享方法、电子设备和装置
CN113726515B (zh) 一种基于ukey的密钥处理方法、存储介质及电子设备
CN113507482B (zh) 数据安全传输方法、安全交易方法、***、介质和设备
CN103873257A (zh) 密钥更新、数字签名及签名验证的方法及装置
CN107104792B (zh) 一种便携式移动口令管理***及其管理方法
CN117725598A (zh) 安卓端数据加解密方法、装置、设备及介质
CN116155491B (zh) 安全芯片的对称密钥同步方法及安全芯片装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant