CN112929325B - 信息处理方法、***、电子设备和可读存储介质 - Google Patents

信息处理方法、***、电子设备和可读存储介质 Download PDF

Info

Publication number
CN112929325B
CN112929325B CN201911244153.XA CN201911244153A CN112929325B CN 112929325 B CN112929325 B CN 112929325B CN 201911244153 A CN201911244153 A CN 201911244153A CN 112929325 B CN112929325 B CN 112929325B
Authority
CN
China
Prior art keywords
key
information
access request
private key
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911244153.XA
Other languages
English (en)
Other versions
CN112929325A (zh
Inventor
王祖熙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201911244153.XA priority Critical patent/CN112929325B/zh
Publication of CN112929325A publication Critical patent/CN112929325A/zh
Application granted granted Critical
Publication of CN112929325B publication Critical patent/CN112929325B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本公开实施例公开了信息处理方法、***、电子设备和可读存储介质,所述信息处理方法包括:获取利用第一密钥对第一信息加密而得到的第二信息;通过解密装置利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。

Description

信息处理方法、***、电子设备和可读存储介质
技术领域
本公开涉及计算机技术领域,具体涉及信息处理方法、***、电子设备和可读存储介质。
背景技术
近年来,随着计算机技术的发展,信息访问的需求越来越大,信息访问的安全性也越发重要。例如,一些网络传输***的安全性最重要的因子是其私钥之类的配置信息安全,目前各平台配置信息安全性没有统一方案,云平台上用户上传配置信息后在各子***之间传输均有被漏洞的风险配置信息的存储也存在人为泄漏的风险。因此,相关技术中的信息访问***可能被破解出私钥,难以实现信息安全。
发明内容
为了解决相关技术中的问题,本公开实施例提信息处理方法、***、电子设备和可读存储介质。
第一方面,本公开实施例中提供了一种信息处理方法,包括:
获取利用第一密钥对第一信息加密而得到的第二信息;
通过解密装置利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥。
结合第一方面,本公开在第一方面的第一种实现方式中,所述第一信息中包括第三密钥,其中,所述第二信息中包括所述第三密钥经所述第一密钥加密而得到的加密第三密钥。
结合第一方面,本公开在第一方面的第二种实现方式中,所述获取利用第一密钥对第一信息加密而得到的第二信息,包括:
接收包括第三密钥的第一信息;
利用所述第一密钥对所述第三密钥加密以生成包括经加密的第三密钥的第二信息。
结合第一方面、第一方面的第一种实现方式至第二种实现方式的任一项,本公开在第一方面的第三种实现方式中,还包括:
根据确定所述可融合指令组集合为空,选择置信度最大的可融合指令组作为最优可融合指令组。
结合第一方面的第三种实现方式,本公开在第一方面的第四种实现方式中,根据所述信息处理结果确定是否允许处理所述外部访问请求。
结合第一方面的第四种实现方式,本公开在第一方面的第五种实现方式中,所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:
根据所述信息处理结果确定所述外部访问请求是否与所述第一信息匹配;
根据匹配结果确定是否允许处理所述外部访问请求。
结合第一方面的第三种实现方式,本公开在第一方面的第六种实现方式中,所述外部访问请求是HTTPS访问请求。
结合第一方面,本公开在第一方面的第七种实现方式中,所述第一信息包括HTTPS证书和用户私钥。
结合第一方面,本公开在第一方面的第八种实现方式中,还包括:
生成由所述第一密钥和所述第二密钥组成的密钥对,其中,所述第一密钥是利用非对称加密算法生成的公钥,并且所述第二密钥是利用非对称加密算法生成的私钥。
第二方面,本公开实施例中提供了一种信息处理装置,包括:
获取装置,被配置为获取利用第一密钥对第一信息加密而得到的第二信息;
解密装置,被配置为利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥。
结合第二方面,本公开在第二方面的第一种实现方式中,所述第一信息中包括第三密钥,其中,所述第二信息中包括所述第三密钥经所述第一密钥加密而得到的加密第三密钥。
结合第二方面,本公开在第二方面的第二种实现方式中,所述获取装置包括:
接收模块,被配置为接收包括第三密钥的第一信息;
加密模块,被配置为利用所述第一密钥对所述第三密钥加密以生成包括经加密的第三密钥的第二信息。
结合第二方面、第二方面的第一种实现方式至第二种实现方式的任一项,本公开在第二方面的第三种实现方式中,还包括:
请求处理装置,被配置为响应于外部访问请求向所述解密装置发送所述第二信息以发起对所述第二信息的解密和利用解密结果的信息处理。
结合第二方面的第三种实现方式,本公开在第二方面的第四种实现方式中,所述请求处理装置还被配置为:
根据所述解密装置的信息处理结果确定是否允许处理所述外部访问请求。
结合第二方面的第四种实现方式,本公开在第二方面的第五种实现方式中,所述请求处理装置包括:
第一确定模块,被配置为根据所述解密模块输出的信息处理结果确定所述外部访问请求是否与所述第一信息匹配;
第二确定模块,被配置为根据所述第一确定模块的匹配结果确定是否允许处理所述外部访问请求。
结合第二方面,本公开在第二方面的第六种实现方式中,所述解密装置还被配置为:
生成由所述第一密钥和所述第二密钥组成的密钥对,其中,所述第一密钥是利用非对称加密算法生成的公钥,并且所述第二密钥是利用非对称加密算法生成的私钥。
第三方面,本公开实施例中提供了一种信息处理方法,包括:
获取证书和经加密的第一私钥,其中,利用公钥对所述第一私钥加密而得到经加密的第一私钥;
响应于外部访问请求发起对经加密的第一私钥的解密;
通过解密装置利用与所述公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,所述第二私钥无法从所述解密装置导出;
根据所述信息处理结果确定是否允许处理所述外部访问请求。
结合第三方面,本公开在第三方面的第一种实现方式中,所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:
根据所述信息处理结果确定所述外部访问请求是否与所述证书和所述第一私钥匹配;
根据匹配结果确定是否允许处理所述外部访问请求。
第四方面,本公开实施例中提供了一种信息处理***,包括:
获取装置,被配置为获取证书和经加密的第一私钥,其中,利用公钥对所述第一私钥加密而得到经加密的第一私钥;
请求处理装置,被配置为响应于外部访问请求发起对经加密的第一私钥的解密;
解密装置,被配置为利用与所述公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,所述第二私钥无法从所述解密装置导出,
其中,所述请求处理装置根据所述信息处理结果确定是否允许处理所述外部访问请求。
结合第四方面,本公开在第四方面的第一种实现方式中,所述请求处理装置包括:
第一确定模块,被配置为根据所述信息处理结果确定所述外部访问请求是否与所述证书和所述第一私钥匹配;
第二确定模块,被配置为根据匹配结果确定是否允许处理所述外部访问请求。
第五方面,本公开实施例中提供了一种电子设备,包括存储器和处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现如第一方面、第一方面的第一种实现方式至第八种实现方式、第三方面、第三方面的第一种实现方式任一项所述的方法。
第六方面,本公开实施例中提供了一种可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现如第一方面、第一方面的第一种实现方式至第八种实现方式、第三方面、第三方面的第一种实现方式任一项所述的方法。
本公开实施例提供的技术方案可以包括以下有益效果:
根据本公开实施例提供的技术方案,通过获取利用第一密钥对第一信息加密而得到的第二信息;通过解密装置利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过所述第一信息中包括第三密钥,其中,所述第二信息中包括所述第三密钥经所述第一密钥加密而得到的加密第三密钥,可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过所述获取利用第一密钥对第一信息加密而得到的第二信息,包括:接收包括第三密钥的第一信息;利用所述第一密钥对所述第三密钥加密以生成包括经加密的第三密钥的第二信息可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过响应于外部访问请求发起对所述第二信息的解密和利用解密结果的信息处理,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过根据所述信息处理结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:根据所述信息处理结果确定所述外部访问请求是否与所述第一信息匹配;根据匹配结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过所述外部访问请求是HTTPS访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理HTTPS访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过所述第一信息包括HTTPS证书和用户私钥,可以通过传输经加密的用户私钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的用户私钥解密得到用户私钥,并且通过解密装置利用用户私钥进行信息处理,使得用户私钥在信息传输过程中不会被泄露或破解,保证处理HTTPS访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过生成由所述第一密钥和所述第二密钥组成的密钥对,其中,所述第一密钥是利用非对称加密算法生成的公钥,并且所述第二密钥是利用非对称加密算法生成的私钥,可以通过传输经加密的用户私钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的用户私钥解密得到用户私钥,并且通过解密装置利用用户私钥进行信息处理,使得用户私钥在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过获取装置,被配置为获取利用第一密钥对第一信息加密而得到的第二信息;解密装置,被配置为利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过所述第一信息中包括第三密钥,其中,所述第二信息中包括所述第三密钥经所述第一密钥加密而得到的加密第三密钥,可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过所述获取装置包括:接收模块,被配置为接收包括第三密钥的第一信息;加密模块,被配置为利用所述第一密钥对所述第三密钥加密以生成包括经加密的第三密钥的第二信息,可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过请求处理装置,被配置为响应于外部访问请求向所述解密装置发送所述第二信息以发起对所述第二信息的解密和利用解密结果的信息处理,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过所述请求处理装置还被配置为:根据所述解密装置的信息处理结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过所述请求处理装置包括:第一确定模块,被配置为根据所述解密模块输出的信息处理结果确定所述外部访问请求是否与所述第一信息匹配;第二确定模块,被配置为根据所述第一确定模块的匹配结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过所述解密装置还被配置为:生成由所述第一密钥和所述第二密钥组成的密钥对,其中,所述第一密钥是利用非对称加密算法生成的公钥,并且所述第二密钥是利用非对称加密算法生成的私钥,可以通过传输经加密的用户私钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的用户私钥解密得到用户私钥,并且通过解密装置利用用户私钥进行信息处理,使得用户私钥在信息传输过程中不会被泄露或破解。
根据本公开实施例提供的技术方案,通过获取证书和经加密的第一私钥,其中,利用公钥对所述第一私钥加密而得到经加密的第一私钥;响应于外部访问请求发起对经加密的第一私钥的解密;通过解密装置利用与所述公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,所述第二私钥无法从所述解密装置导出;根据所述信息处理结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:根据所述信息处理结果确定所述外部访问请求是否与所述证书和所述第一私钥匹配;根据匹配结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过获取装置,被配置为获取证书和经加密的第一私钥,其中,利用公钥对所述第一私钥加密而得到经加密的第一私钥;请求处理装置,被配置为响应于外部访问请求发起对经加密的第一私钥的解密;解密装置,被配置为利用与所述公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,所述第二私钥无法从所述解密装置导出,其中,所述请求处理装置根据所述信息处理结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
根据本公开实施例提供的技术方案,通过所述请求处理装置包括:第一确定模块,被配置为根据所述信息处理结果确定所述外部访问请求是否与所述证书和所述第一私钥匹配;第二确定模块,被配置为根据匹配结果确定是否允许处理所述外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它标签、目的和优点将变得更加明显。在附图中:
图1示出根据本公开一实施方式的信息处理方法的流程图;
图2示出根据本公开一实施方式的信息处理方法中的步骤S120的流程图;
图3示出根据本公开另一实施方式的信息处理方法的流程图;
图4示出根据本公开又一实施方式的信息处理方法的流程图;
图5示出根据本公开又一实施方式的信息处理方法中的步骤S410的流程图;
图6示出根据本公开又一实施方式的信息处理方法的流程图;
图7示出根据本公开一实施方式的信息处理***的结构示意图;
图8示出根据本公开一实施方式的信息处理***中的获取装置的结构示意图;
图9示出根据本公开另一实施方式的信息处理***的结构示意图;
图10示出根据本公开另一实施方式的信息处理***中的请求处理装置的结构示意图;
图11示出根据本公开一实施方式的信息处理***的应用场景示例的示意图;
图12示出根据本公开一实施方式的信息处理***的另一应用场景示例的示意图;
图13示出根据本公开又一实施方式的信息处理方法的流程图;
图14示出根据本公开又一实施方式的信息处理方法中的步骤S1340的流程图;
图15示出根据本公开又一实施方式的信息处理***的结构示意图;
图16示出根据本公开又一实施方式的信息处理***中的请求处理装置的结构示意图;
图17示出根据本公开一实施方式的电子设备的结构示意图;
图18是适于用来实现根据本公开一实施方式的信息处理方法的计算机***的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施方式,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施方式无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的标签、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他标签、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的标签可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
根据本公开实施例提供的技术方案,通过获取利用第一密钥对第一信息加密而得到的第二信息;通过解密装置利用第二密钥对第二信息解密并利用解密结果执行信息处理,其中,第二密钥是无法从解密装置导出的与第一密钥成对的密钥,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
图1示出根据本公开一实施方式的信息处理方法的流程图。如图1所示,信息处理方法包括以下步骤S110和S120:
在步骤S110中,获取利用第一密钥对第一信息加密而得到的第二信息。
在步骤S120中,通过解密装置利用第二密钥对第二信息解密并利用解密结果执行信息处理,其中,第二密钥是无法从解密装置导出的与第一密钥成对的第二密钥。
在本公开的一个实施例中,第一密钥和第二密钥构成的密钥对可以是由作为解密装置的专门硬件生成的,并且第二密钥可以以无法导出的方式存储在专门硬件中,并且只有在该专门硬件中才可以对第二信息进行解密,而且解密出的第一信息仍然在该专门硬件中被用于执行信息处理并输出信息处理结果。在此情况下,在整个信息处理过程中,第一信息仅在存储有第二密钥的专门硬件中被解密和使用而不会被导出,因此,第一信息不会被泄露或破解。
在本公开的一个实施例中,第一信息中包括第三密钥,其中,第二信息中包括第三密钥经第一密钥加密而得到的加密第三密钥。
根据本公开实施例提供的技术方案,通过第一信息中包括第三密钥,其中,第二信息中包括第三密钥经第一密钥加密而得到的加密第三密钥,可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
在本公开的实施例中,执行本公开实施方式的信息处理方法的***接收经加密的包括第三密钥的第一信息。换言之,执行本公开实施方式的信息处理方法的***没有接触到第一信息,而只能接触到第二信息。
在本公开的一个实施例中,第三密钥可以是特定信息传输协议所采用的密钥,例如,第三密钥可以是HTTPS(Hypertext Transfer Protocol Secure,安全超文本传输协议)传输方式中的用户私钥。在本公开的一个实施例中,采用私钥来保证安全的场景包括在云平台存储和颁发用户私钥的场景,例如,私钥如何在管控中进行存储的场景,如何将私钥颁发到各个区域(region)或者节点的机器的场景等。在本公开的一个实施例中,可以通过kms(key management service,密钥管理服务)或者用keyserver(密钥服务器)来集中管理用户私钥。在本公开的一个实施例中,第一信息可以指的是信息处理过程中的配置信息,第三密钥可以是第一信息的全部或一部分。
在本公开的一个实施例中,在利用存储在作为解密装置的专门硬件中的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理之后,在该专门硬件中利用第一信息进行的信息处理包括利用解密出的第三密钥进行解密处理或签名处理。在此情况下,第三密钥不曾从存储有第二密钥的专门硬件导出,该专门硬件输出的解密结果也不包括第三密钥,而仅仅是利用第三密钥执行的解密处理或签名处理的结果。
在一个示例中,利用作为解密装置的专门硬件执行的操作包括接收外部导入的经公钥(第一密钥)加密的用户私钥(第三密钥)、待解密或者待签名数据(本公开的实施例的信息处理方案所要处理的信息)、相关算法参数后,该专门硬件在内部做运算并导出运算结果(信息处理),得到利用用户私钥(第三密钥)解密或者签名后的数据(信息处理结果)。
在本公开的一个实施例中,第一信息包括HTTPS证书和用户私钥。
根据本公开实施例提供的技术方案,通过第一信息包括HTTPS证书和用户私钥,可以通过传输经加密的用户私钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的用户私钥解密得到用户私钥,并且通过解密装置利用用户私钥进行信息处理,使得用户私钥在信息传输过程中不会被泄露或破解,保证处理HTTPS访问请求时的信息安全。
在本公开的一个实施例中,HTTPS协议的HTTPS证书可以是SSL(Secure SocketsLayer,安全套接层)证书。SSL证书是一种数字证书,遵守SSL协议,由受信任的数字证书颁发机构CA在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。在信息处理过程为HTTPS访问的情况下,HTTPS的安全性最重要的因子是用户私钥安全。因此,通过传输经第一密钥加密的用户私钥,并且仅仅在存储有无法导出的第二密钥的专门硬件解密并利用解密结果执行信息处理,才可以确认特定HTTPS访问是否存在匹配的证书和用户私钥。
本领域技术人员可以理解,以上基于HTTPS的实施方式仅仅是本公开中的信息处理方法所针对的信息传输方式的示例,本公开的信息处理方法可以应用于采用各种信息传输方法的方案。
以下参照图2描述根据本公开一实施方式的信息处理方法中的步骤S120的一个示例。
图2示出根据本公开一实施方式的信息处理方法中的步骤S120的流程图。在该实施例中,步骤S120包括步骤S210和S220。
在步骤S210中,接收包括第三密钥的第一信息。
在步骤S220中,利用第一密钥对第三密钥加密以生成包括经加密的第三密钥的第二信息。
根据本公开实施例提供的技术方案,通过获取利用第一密钥对第一信息加密而得到的第二信息,包括:接收包括第三密钥的第一信息;利用第一密钥对第三密钥加密以生成包括经加密的第三密钥的第二信息,可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
在本公开的实施例中,执行本公开实施方式的信息处理方法的***接收未经加密的包括第三密钥的第一信息,并且在接收到第一信息后利用第一密钥对第三密钥加密以生成包括经加密的第三密钥的第二信息。换言之,执行本公开实施方式的信息处理方法的***接触到了第一信息,并且对第一信息加密而生成第二信息。而且,在生成第二信息之后,执行本公开实施方式的信息处理方法的***不能再在执行解密的专门装置之外获取第一信息。
以下参照图3描述根据本公开另一实施方式的信息处理方法。
图3示出根据本公开另一实施方式的信息处理方法的流程图。如图3所示的实施方式除了包括图1的实施方式所示的步骤S110和S120之外,还包括步骤S310。
在步骤S310中,响应于外部访问请求发起对第二信息的解密和利用解密结果的信息处理。
根据本公开实施例提供的技术方案,通过响应于外部访问请求发起对第二信息的解密和利用解密结果的信息处理,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
在本公开的实施例中,在接收到外部访问请求之后在存储有无法导出的第二密钥的专门硬件中执行对第二信息的解密和利用解密结果的信息处理操作。
在本公开的一个实施例中,外部访问请求是HTTPS访问请求。
根据本公开实施例提供的技术方案,通过外部访问请求是HTTPS访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理HTTPS访问请求时的信息安全。
在本公开的一个实施例中,用户HTTPS访问请求流程如下。用户HTTPS请求到达应用本公开实施方式的信息处理方法的***中的代理/应用服务器后,首先做SSL握手。该握手流程需要用到用户的私钥来解密或者签名,此时代理/应用服务器需要将加密的私钥(即,第二信息或第二信息的一部分)和待解密或者待签名数据以及算法参数传到解密装置(例如,硬件加速卡)。接着硬件加速卡在内部用私钥B(即,第二密钥)来解密经公钥A(即,第一密钥)加密的用户私钥(即,第三密钥),然后利用用户私钥做解密或者签名运算,导出运算结果。服务器得到解密或者签名数据(即,信息处理结果)后即可完成后续的SSL握手流程。SSL握手完成之后,便可处理HTTP请求,对于该次请求来说不再需要用户私钥。
在本公开的一个实施例中,公钥:公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。
以下参照图4描述根据本公开又一实施方式的信息处理方法。
图4示出根据本公开又一实施方式的信息处理方法的流程图。如图4所示的实施方式除了包括图3的实施方式所示的步骤S110、S120和S310之外,还包括步骤S410。
在步骤S410中,根据信息处理结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过根据信息处理结果确定是否允许处理外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
以下参照图5描述根据本公开又一实施方式的信息处理方法中的步骤S410的一个示例。
图5示出根据本公开又一实施方式的信息处理方法中的步骤S410的流程图。在该实施例中,步骤S410包括步骤S510和S520。
在步骤S510中,根据信息处理结果确定外部访问请求是否与第一信息匹配。
在步骤S520中,根据匹配结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过根据信息处理结果确定是否允许处理外部访问请求,包括:根据信息处理结果确定外部访问请求是否与第一信息匹配;根据匹配结果确定是否允许处理外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
在本公开的一个实施例中,当外部访问请求是HTTPS访问请求时,代理/应用服务器是用户输入的域名直接访问到的服务器,比如CDN、SLB、WAF等产品的代理或者应用服务器。用户输入的域名cname一般指向这些服务器的IP地址,用户的配置也主要在这些服务器上生效。当第一信息包括HTTPS证书和用户私钥时,该实施方式涉及到的HTTPS证书和用户私钥也是在该服务器上配置和生效,比如用户输入的域名HTTPS访问请求到该服务器时,必须找到匹配有效的证书和私钥才能访问成功。因此,根据信息处理结果确定HTTPS访问请求是否与HTTPS证书和用户私钥匹配,根据匹配结果确定是否允许处理HTTPS访问请求。
以下参照图6描述根据本公开又一实施方式的信息处理方法。
图6示出根据本公开又一实施方式的信息处理方法的流程图。如图6所示的实施方式除了包括图1的实施方式所示的步骤S110和S120之外,还包括步骤S610。
在步骤S610中,生成由第一密钥和第二密钥组成的密钥对,其中,第一密钥是利用非对称加密算法生成的公钥,并且第二密钥是利用非对称加密算法生成的私钥。
根据本公开实施例提供的技术方案,通过生成由第一密钥和第二密钥组成的密钥对,其中,第一密钥是利用非对称加密算法生成的公钥,并且第二密钥是利用非对称加密算法生成的私钥,可以通过传输经加密的用户私钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的用户私钥解密得到用户私钥,并且通过解密装置利用用户私钥进行信息处理,使得用户私钥在信息传输过程中不会被泄露或破解。
在本公开的一个实施例中,通过非对称加密算法和例如解密装置的专门硬件可以提高用户私钥的安全性和解密性能。
在本公开的一个实施例中,第一密钥和第二密钥组成的密钥对可以是从外部导入到作为解密装置的专门硬件,而非由专门硬件生成。
以下参照图7描述根据本公开一实施方式的信息处理***的示例。
图7示出根据本公开一实施方式的信息处理***700的结构示意图。如图7所示,信息处理***700包括以下获取装置710和解密装置720。
获取装置710被配置为获取利用第一密钥对第一信息加密而得到的第二信息。
解密装置720被配置为利用第二密钥对第二信息解密并利用解密结果执行信息处理,其中,第二密钥是无法从解密装置720导出通过解密装置的与第一密钥成对的密钥。
根据本公开实施例提供的技术方案,通过获取装置,被配置为获取利用第一密钥对第一信息加密而得到的第二信息;解密装置,被配置为利用第二密钥对第二信息解密并利用解密结果执行信息处理,其中,第二密钥是无法从解密装置导出通过解密装置的与第一密钥成对的密钥,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
在本公开的一个实施例中,信息处理***700可以被实施为云平台***。获取装置710可以被实现为云平台***中的控制台,控制台可以提供给用户配置其产品相关功能的网站界面。例如,该实施例可以涉及到配置用户域名的HTTPS功能。控制台可以提供API接口给用户来配置其功能。控制台收到用户的配置之后转换成内部数据结构下发到配置管理服务器或者***。用户的配置即为第一信息,可以在用户端通过第一密钥对第一信息加密而得到第二信息,并且将第二信息提供给控制台。另外,也可以将第一信息提供给控制台,由控制台通过第一密钥对第一信息加密而得到第二信息。
在本公开的一个实施例中,解密装置720可以被实现为硬件加速卡之类的专门硬件。硬件加速卡主要用来提高云平台***中的代理/应用服务器的性能。例如,HTTPS握手主要用到非对称加密算法,该算法非常消耗CPU,容易导致服务器的服务能力下降,如果将硬件加速卡(例如,SSL硬件加速卡)插到代理/应用服务器并做一些适配后可将非对应加解密运算之类的非常消耗CPU的操作分配到硬件加速卡中,从而可提高服务器的性能。
在本公开的一个实施例中,第一信息中包括第三密钥,其中,第二信息中包括第三密钥经第一密钥加密而得到的加密第三密钥。
根据本公开实施例提供的技术方案,通过第一信息中包括第三密钥,其中,第二信息中包括第三密钥经第一密钥加密而得到的加密第三密钥,可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
在本公开的一个实施例中,在利用存储在解密装置720中的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理之后,在解密装置720中利用第一信息进行的信息处理包括利用解密出的第三密钥进行解密处理或签名处理。在此情况下,第三密钥不曾从存储有第二密钥的解密装置720导出,解密装置720输出的解密结果也不包括第三密钥,而仅仅是利用第三密钥执行的解密处理或签名处理的结果。
以下参照图8描述根据本公开一实施方式的信息处理***中的获取装置710的一个示例。
图8示出根据本公开一实施方式的信息处理***中的获取装置710的结构示意图。在该实施例中,获取装置710包括接收模块810和加密模块820。
接收模块810被配置为接收包括第三密钥的第一信息。
加密模块820被配置为利用第一密钥对第三密钥加密以生成包括经加密的第三密钥的第二信息。
根据本公开实施例提供的技术方案,通过获取装置包括:接收模块,被配置为接收包括第三密钥的第一信息;加密模块,被配置为利用第一密钥对第三密钥加密以生成包括经加密的第三密钥的第二信息,可以通过传输经加密的第三密钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的第三密钥解密得到第三密钥,并且通过解密装置利用第三密钥进行信息处理,使得第三密钥在信息传输过程中不会被泄露或破解。
在本公开的一个实施例中,当获取装置710为云平台***中的控制台时,获取装置710可以获取包括第三密钥的第一信息,并且在获取装置710中利用第一密钥对第三密钥加密以生成包括经加密的第三密钥的第二信息。但是,控制台向云平台***中的其他装置仅传送第二信息,而不传送第一信息,以保证第三密钥的安全性。
以下参照图9描述根据本公开另一实施方式的信息处理***的示例。
图9示出根据本公开另一实施方式的信息处理***900的结构示意图。如图9所示,信息处理***900除了包括获取装置710和解密装置720之外,还包括请求处理装置910。
请求处理装置910被配置为响应于外部访问请求向解密装置发送第二信息以发起对第二信息的解密和利用解密结果的信息处理。
根据本公开实施例提供的技术方案,通过请求处理装置,被配置为响应于外部访问请求向解密装置发送第二信息以发起对第二信息的解密和利用解密结果的信息处理,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解。
在本公开的一个实施例中,请求处理装置910还被配置为:根据解密装置的信息处理结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过请求处理装置还被配置为:根据解密装置的信息处理结果确定是否允许处理外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
在本公开的一个实施例中,云平台***可以包括代理/应用服务器作为请求处理装置910。例如,当外部访问请求是HTTPS访问请求时,代理/应用服务器是用户输入的域名直接访问到的服务器,比如CDN、SLB、WAF等产品的代理或者应用服务器。用户输入的域名cname一般指向这些服务器的IP地址,用户的配置也主要在这些服务器上生效。当第一信息包括HTTPS证书和用户私钥时,该实施方式涉及到的HTTPS证书和用户私钥也是在该服务器上配置和生效,比如用户输入的域名HTTPS访问请求到该服务器时,必须找到匹配有效的证书和私钥才能访问成功。因此,根据信息处理结果确定HTTPS访问请求是否与HTTPS证书和用户私钥匹配,根据匹配结果确定是否允许处理HTTPS访问请求。
以下参照图10描述根据本公开另一实施方式的信息处理***中的请求处理装置910的示例。
图10示出根据本公开另一实施方式的信息处理***中的请求处理装置910的结构示意图。如图10所示,请求处理装置910包括第一确定模块1010和第二确定模块1020。
第一确定模块1010被配置为根据解密模块输出的信息处理结果确定外部访问请求是否与第一信息匹配。
第二确定模块1020被配置为根据第一确定模块的匹配结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过请求处理装置包括:第一确定模块,被配置为根据解密模块输出的信息处理结果确定外部访问请求是否与第一信息匹配;第二确定模块,被配置为根据第一确定模块的匹配结果确定是否允许处理外部访问请求,可以通过传输经加密的第二信息并且仅允许通过解密装置利用无法导出的第二密钥对第二信息解密得到第一信息,并且通过解密装置利用第一信息进行信息处理,使得第一信息在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
在本公开的一个实施例中,解密装置720还被配置为:生成由第一密钥和第二密钥组成的密钥对,其中,第一密钥是利用非对称加密算法生成的公钥,并且第二密钥是利用非对称加密算法生成的私钥。
据本公开实施例提供的技术方案,通过解密装置还被配置为:生成由第一密钥和第二密钥组成的密钥对,其中,第一密钥是利用非对称加密算法生成的公钥,并且第二密钥是利用非对称加密算法生成的私钥,可以通过传输经加密的用户私钥并且仅允许通过解密装置利用无法导出的第二密钥对经加密的用户私钥解密得到用户私钥,并且通过解密装置利用用户私钥进行信息处理,使得用户私钥在信息传输过程中不会被泄露或破解。
本领域技术人员可以理解,参照图7至图10描述的技术方案的可以与参照图1至图6描述的实施例结合,从而具备参照图1至图6描述的实施例所实现的技术效果。具体内容可以参照以上根据图1至图6进行的描述,其具体内容在此不再赘述。
以下参照图11描述根据本公开一实施方式的信息处理***的应用场景的一个示例。
图11示出根据本公开一实施方式的信息处理***的应用场景示例的示意图。
图11所示的应用场景包括提供用户证书(HTTPS证书)和用户私钥的用户以及用于处理用户的HTTPS请求的云平台***。
图11所示的云平台***包括控制台、配置管理服务器、数据库、代理/应用服务器和硬件加速卡。
控制台是提供给用户配置其产品相关功能的网站界面,图11中的方案主要涉及到配置用户域名的HTTPS功能,同时控制台也提供API接口给用户来配置其功能。收到用户的配置之后转换成内部数据结构下发到配置管理服务器。
配置管理服务器(或者配置管理***)是云平台***管理用户以及***内部配置的***,一般将用户配置存储在数据库中(比如:mysql、redis等等)。配置管理服务器提供API接口或者主动下发配置机制与代理/应用服务器交互。
数据库主要来用存储用户的配置,一般具有离线存储、备份等基本特性,主流数据库包含但不限于mysql、oracle、sql server、redis等。
代理/应用服务器是用户域名直接访问到的服务器,比如CDN、SLB、WAF等产品的代理或者应用服务器,用户的域名cname一般指向这些服务器的IP地址,用户的配置也主要在这些服务器上生效。图11中的方案涉及到的HTTPS证书和用户私钥也是在该服务器上配置和生效,比如用户的域名HTTPS访问请求到该服务器时,必须找到匹配有效的证书和私钥才能访问成功。
硬件加速卡主要用来提高代理/应用服务器的性能,HTTPS握手主要用到非对称加密算法,该算法非常消耗CPU,容易导致服务器的服务能力下降。如果将SSL硬件加速卡插到代理/应用服务器并做一些适配后可将非对应加解密运算非常消耗CPU的操作转移到硬件加速卡中,从而可提高服务器的性能。
图11所示的方案中的硬件加速卡具备以下能力:
(1)支持外部导入或者内部生成一个公私钥对,其中:公钥可导出,私钥不能导出。
(2)用前述公钥加密的用户私钥,导入硬件加速卡后,硬件加速卡内部可解密得到明文用户私钥,但不能导出该明文用户私钥,可传入数据在硬件加速卡内部做运算。
(3)支持RSA、ECDSA等非对称加密算法。在从外部导入前述公钥加密的用户私钥、待解密或者待签名数据、使用的非对称加密算法参数后,硬件加速卡在内部做运算,导出运算结果,得到解密或者签名后的数据。可以通过硬件加速卡接口生成一个公私钥对,假定公钥为A,私钥为B。其中:私钥B在硬件加速卡内部,无法导出。公钥A提供给用户和控制台。用户可使用该公钥A来加密用户的明文用户私钥,再提供给云平台,这样用户私钥在云平台内部都是加密的,只有在硬件加速卡内部才能使用,其他人无法得到用户的明文用户私钥,从而保证了用户私钥的安全。
在图11所示的应用场景中,用户在云平台***上开启域名的HTTPS功能,步骤如下:
在云平台的控制台(比如CDN、SLB、WAF产品控制台)上上传域名的HTTPS证书和用户私钥,或者通过控制台提供的API接口来上传HTTPS证书和用户私钥。明文用户私钥可通过公钥A加密后再提供给云平台的控制台,也可直接向控制台提交明文私钥。
控制台收到用户私钥后,若已加密则无需处理,直接下发给配置管理服务器。若用户私钥没有加密,则利用公钥A将明文用户私钥加密之后再下发给配置管理服务器。
配置管理服务器对用户私钥无感知,当成普通配置来处理,比如存储在数据库、备份、下发到代理/应用服务器。
代理/应用服务器将加密后的用户私钥导入到硬件加速卡中。在一些情况下,硬件加速卡的存储量有限,可通过一些按需加载以及淘汰等机制存储加密后的用户私钥。在整个过程中,加密的用户私钥除了在硬件加速卡中解密外,在其他地方不会被解密,因此保证了用户私钥安全。
在图11所示的应用场景中,用户HTTPS访问请求流程如下。用户HTTPS请求导入代理/应用服务器后,首先做SSL握手,该握手流程需要用到用户私钥来解密或者签名,此时代理/应用服务器需要将加密的私钥和待解密或者待签名数据以及算法参数传到硬件加速卡,接着硬件加速卡在内部用私钥B来解密公钥A加密的用户私钥,然后做解密或者签名运算,导出运算结果。服务器得到解密或者签名数据后即可完成后续的SSL握手流程。SSL握手完成之后,便可处理HTTP请求,对于该次请求来说不再需要用户私钥。
图12示出根据本公开一实施方式的信息处理***的另一应用场景示例的示意图。
图12所示的场景与图11所示的场景的区别在于控制台接收到的用户提供的用户私钥的形式不同。在图11中,用户上传HTTPS证书和利用平台私钥加密的用户私钥到云平台***的控制台。因此,在云平台***中,仅可以在硬件加速卡中对加密的用户私钥解密并利用解密出的用户私钥进行信息处理,在整个云平台***中不会传输解密出的用户私钥。在图12中,用户上传HTTPS证书和明文用户私钥到云平台***的控制台。在控制台中,利用平台公钥加密用户私钥,并且控制台向配置管理服务器仅提供HTTPS证书和利用平台公钥加密的用户私钥。因此,控制台不会向其他装置提供明文用户私钥。
本领域技术人员可以理解,参照图11和图12描述的技术方案的可以与参照图1至图10描述的实施例结合,从而具备参照图1至图10描述的实施例所实现的技术效果。具体内容可以参照以上根据图1至图10进行的描述,其具体内容在此不再赘述。
以下参照图13描述根据本公开又一实施方式的信息处理方法的示例。
图13示出根据本公开又一实施方式的信息处理方法的流程图。如图12所示的实施方式包括步骤S1310、S1320、S1330和S1340。
在步骤S1310中,获取证书和经加密的第一私钥,其中,利用公钥对第一私钥加密而得到经加密的第一私钥。
在步骤S1320中,响应于外部访问请求发起对经加密的第一私钥的解密。
在步骤S1330中,通过解密装置利用与公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,第二私钥无法从解密装置导出。
在步骤S1340中,根据信息处理结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过获取证书和经加密的第一私钥,其中,利用公钥对第一私钥加密而得到经加密的第一私钥;响应于外部访问请求发起对经加密的第一私钥的解密;通过解密装置利用与公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,第二私钥无法从解密装置导出;根据信息处理结果确定是否允许处理外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
以下参照图14描述根据本公开又一实施方式的信息处理方法中的步骤S1340的一个示例。
图14示出根据本公开又一实施方式的信息处理方法中的步骤S1340的流程图。在该实施例中,步骤S1340包括步骤S1410和S1420。
在步骤S1410中,根据信息处理结果确定外部访问请求是否与证书和第一私钥匹配。
在步骤S1420中,根据匹配结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过根据信息处理结果确定是否允许处理外部访问请求,包括:根据信息处理结果确定外部访问请求是否与证书和第一私钥匹配;根据匹配结果确定是否允许处理外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
本领域技术人员可以理解,参照图13和图14描述的技术方案的可以与参照图1至图12描述的实施例结合,从而具备参照图1至图12描述的实施例所实现的技术效果。具体内容可以参照以上根据图1至图12进行的描述,其具体内容在此不再赘述。
以下参照图15描述根据本公开又一实施方式的信息处理***的示例。
图15示出根据本公开又一实施方式的信息处理***1500的结构示意图。如图15所示的信息处理***1500包括获取装置1510、请求处理装置1520和解密装置1530。
获取装置1510被配置为获取证书和经加密的第一私钥,其中,利用公钥对第一私钥加密而得到经加密的第一私钥。
请求处理装置1520被配置为响应于外部访问请求发起对经加密的第一私钥的解密。
解密装置1530被配置为利用与公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,第二私钥无法从解密装置1530导出。
请求处理装置1520根据信息处理结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过获取装置,被配置为获取证书和经加密的第一私钥,其中,利用公钥对第一私钥加密而得到经加密的第一私钥;请求处理装置,被配置为响应于外部访问请求发起对经加密的第一私钥的解密;解密装置,被配置为利用与公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,第二私钥无法从解密装置导出,其中,请求处理装置根据信息处理结果确定是否允许处理外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
以下参照图16描述根据本公开另一实施方式的信息处理***中的请求处理装置1520的示例。
图16示出根据本公开又一实施方式的信息处理***中的请求处理装置1520的结构示意图。如图16所示,请求处理装置1520包括第一确定模块1610和第二确定模块1620。
第一确定模块1610被配置为根据信息处理结果确定外部访问请求是否与证书和第一私钥匹配。
第二确定模块1620被配置为根据匹配结果确定是否允许处理外部访问请求。
根据本公开实施例提供的技术方案,通过请求处理装置包括:第一确定模块,被配置为根据信息处理结果确定外部访问请求是否与证书和第一私钥匹配;第二确定模块,被配置为根据匹配结果确定是否允许处理外部访问请求,可以通过传输经加密的第一私钥并且仅允许通过解密装置利用无法导出的第二私钥对经加密的第一私钥解密得到第一私钥,并且通过解密装置利用第一私钥进行信息处理,使得第一私钥在信息传输过程中不会被泄露或破解,保证处理外部访问请求时的信息安全。
本领域技术人员可以理解,参照图15和图16描述的技术方案的可以与参照图1至图14描述的实施例结合,从而具备参照图1至图14描述的实施例所实现的技术效果。具体内容可以参照以上根据图1至图14进行的描述,其具体内容在此不再赘述。
前述实施例描述了信息处理***的内部功能和结构,在一个可能的设计中,信息处理***的结构可实现为电子设备,如图17中所示,该电子设备1700可以包括处理器1701以及存储器1702。
图17示出根据本公开一实施方式的电子设备的结构示意图。所述存储器1702用于存储支持定位装置执行上述任一实施例中的信息处理方法或代码生成方法的程序,所述处理器1701被配置为用于执行所述存储器1702中存储的程序。
在本公开的一个实施例中,所述存储器1702用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器1701执行以实现以下步骤:
获取利用第一密钥对第一信息加密而得到的第二信息;
通过解密装置利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥。
在本公开的一个实施例中,所述第一信息中包括第三密钥,其中,所述第二信息中包括所述第三密钥经所述第一密钥加密而得到的加密第三密钥。
在本公开的一个实施例中,所述获取利用第一密钥对第一信息加密而得到的第二信息,包括:
接收包括第三密钥的第一信息;
利用所述第一密钥对所述第三密钥加密以生成包括经加密的第三密钥的第二信息。
在本公开的一个实施例中,所述一条或多条计算机指令还被所述处理器1701执行以实现以下步骤:
响应于外部访问请求发起对所述第二信息的解密和利用解密结果的信息处理。
在本公开的一个实施例中,所述一条或多条计算机指令还被所述处理器1701执行以实现以下步骤:
根据所述信息处理结果确定是否允许处理所述外部访问请求。
在本公开的一个实施例中,所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:
根据所述信息处理结果确定所述外部访问请求是否与所述第一信息匹配;
根据匹配结果确定是否允许处理所述外部访问请求。
在本公开的一个实施例中,所述外部访问请求是HTTPS访问请求。
在本公开的一个实施例中,所述第一信息包括HTTPS证书和用户私钥。
在本公开的一个实施例中,所述一条或多条计算机指令还被所述处理器1701执行以实现以下步骤:
生成由所述第一密钥和所述第二密钥组成的密钥对,其中,所述第一密钥是利用非对称加密算法生成的公钥,并且所述第二密钥是利用非对称加密算法生成的私钥。
在本公开的一个实施例中,所述存储器1702用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器1701执行以实现以下步骤:
获取证书和经加密的第一私钥,其中,利用公钥对所述第一私钥加密而得到经加密的第一私钥;
响应于外部访问请求发起对经加密的第一私钥的解密;
通过解密装置利用与所述公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,所述第二私钥无法从所述解密装置导出;
根据所述信息处理结果确定是否允许处理所述外部访问请求。
在本公开的一个实施例中,所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:
根据所述信息处理结果确定所述外部访问请求是否与所述证书和所述第一私钥匹配;
根据匹配结果确定是否允许处理所述外部访问请求。
本公开示例性实施例还提供了一种计算机存储介质,用于储存所述电子设备所用的计算机软件指令,其包含用于执行上述任一实施例所涉及的程序,从而具备方法所带来的技术效果。
图18是适于用来实现根据本公开一实施方式的信息处理方法的计算机***的结构示意图。
如图18所示,计算机***1800包括中央处理单元(CPU)1801,其可以根据存储在只读存储器(ROM)1802中的程序或者从存储部分1808加载到随机访问存储器(RAM)1803中的程序而执行上述附图所示的实施方式中的各种处理。在RAM1803中,还存储有***1800操作所需的各种程序和数据。CPU1801、ROM1802以及RAM1803通过总线1804彼此相连。输入/输出(I/O)接口1805也连接至总线1804。
以下部件连接至I/O接口1805:包括键盘、鼠标等的输入部分1806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1807;包括硬盘等的存储部分1808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1809。通信部分1809经由诸如因特网的网络执行通信处理。驱动器1810也根据需要连接至I/O接口1805。可拆卸介质1811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1810上,以便于从其上读出的计算机程序根据需要被安装入存储部分1808。
特别地,根据本公开的实施方式,上文参考附图描述的方法可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行附图中的方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分1809从网络上被下载和安装,和/或从可拆卸介质1811被安装。
附图中的流程图和框图,图示了按照本公开各种实施方式的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法,从而具备方法所带来的技术效果。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (19)

1.一种信息处理方法,其特征在于,包括:
获取利用第一密钥对第一信息加密而得到的第二信息;
通过解密装置利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥;所述解密装置为硬件加速卡;
响应于外部访问请求发起对所述第二信息的解密和利用解密结果的信息处理;所述外部访问请求是HTTPS访问请求。
2.根据权利要求1所述的方法,其特征在于,所述第一信息中包括第三密钥,其中,所述第二信息中包括所述第三密钥经所述第一密钥加密而得到的加密第三密钥。
3.根据权利要求1所述的方法,其特征在于,所述获取利用第一密钥对第一信息加密而得到的第二信息,包括:
接收包括第三密钥的第一信息;
利用所述第一密钥对所述第三密钥加密以生成包括经加密的第三密钥的第二信息。
4.根据权利要求1所述的方法,其特征在于,还包括:
根据所述信息处理结果确定是否允许处理所述外部访问请求。
5.根据权利要求4所述的方法,其特征在于,所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:
根据所述信息处理结果确定所述外部访问请求是否与所述第一信息匹配;
根据匹配结果确定是否允许处理所述外部访问请求。
6.根据权利要求1所述的方法,其特征在于,所述第一信息包括HTTPS证书和用户私钥。
7.根据权利要求1所述的方法,其特征在于,还包括:
生成由所述第一密钥和所述第二密钥组成的密钥对,其中,所述第一密钥是利用非对称加密算法生成的公钥,并且所述第二密钥是利用非对称加密算法生成的私钥。
8.一种信息处理***,其特征在于,包括:
获取装置,被配置为获取利用第一密钥对第一信息加密而得到的第二信息;
解密装置,被配置为利用第二密钥对所述第二信息解密并利用解密结果执行信息处理,其中,所述第二密钥是无法从所述解密装置导出的与所述第一密钥成对的密钥;所述解密装置为硬件加速卡;
请求处理装置,被配置为响应于外部访问请求向所述解密装置发送所述第二信息以发起对所述第二信息的解密和利用解密结果的信息处理;所述外部访问请求是HTTPS访问请求。
9.根据权利要求8所述的***,其特征在于,所述第一信息中包括第三密钥,其中,所述第二信息中包括所述第三密钥经所述第一密钥加密而得到的加密第三密钥。
10.根据权利要求8所述的***,其特征在于,所述获取装置包括:
接收模块,被配置为接收包括第三密钥的第一信息;
加密模块,被配置为利用所述第一密钥对所述第三密钥加密以生成包括经加密的第三密钥的第二信息。
11.根据权利要求8所述的***,其特征在于,所述请求处理装置还被配置为:
根据所述解密装置的信息处理结果确定是否允许处理所述外部访问请求。
12.根据权利要求11所述的***,其特征在于,所述请求处理装置包括:
第一确定模块,被配置为根据所述解密模块输出的信息处理结果确定所述外部访问请求是否与所述第一信息匹配;
第二确定模块,被配置为根据所述第一确定模块的匹配结果确定是否允许处理所述外部访问请求。
13.根据权利要求8所述的***,其特征在于,所述解密装置还被配置为:
生成由所述第一密钥和所述第二密钥组成的密钥对,其中,所述第一密钥是利用非对称加密算法生成的公钥,并且所述第二密钥是利用非对称加密算法生成的私钥。
14.一种信息处理方法,其特征在于,包括:
获取证书和经加密的第一私钥,其中,利用公钥对所述第一私钥加密而得到经加密的第一私钥;
响应于外部访问请求发起对经加密的第一私钥的解密;
通过解密装置利用与所述公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,所述第二私钥无法从所述解密装置导出;所述解密装置为硬件加速卡;
根据所述信息处理结果确定是否允许处理所述外部访问请求;所述外部访问请求是HTTPS访问请求。
15.根据权利要求14所述的方法,其特征在于,所述根据所述信息处理结果确定是否允许处理所述外部访问请求,包括:
根据所述信息处理结果确定所述外部访问请求是否与所述证书和所述第一私钥匹配;
根据匹配结果确定是否允许处理所述外部访问请求。
16.一种信息处理***,其特征在于,包括:
获取装置,被配置为获取证书和经加密的第一私钥,其中,利用公钥对所述第一私钥加密而得到经加密的第一私钥;
请求处理装置,被配置为响应于外部访问请求发起对经加密的第一私钥的解密;
解密装置,被配置为利用与所述公钥成对生成的第二私钥对经加密的第一私钥解密并利用解密结果执行信息处理,其中,所述第二私钥无法从所述解密装置导出,
其中,所述请求处理装置根据所述信息处理结果确定是否允许处理所述外部访问请求;所述外部访问请求是HTTPS访问请求。
17.根据权利要求16所述的***,其特征在于,所述请求处理装置包括:
第一确定模块,被配置为根据所述信息处理结果确定所述外部访问请求是否与所述证书和所述第一私钥匹配;
第二确定模块,被配置为根据匹配结果确定是否允许处理所述外部访问请求。
18.一种电子设备,其特征在于,包括存储器和处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现如权利要求1-7、14、15任一项所述的方法。
19.一种可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现如权利要求1-7、14、15任一项所述的方法。
CN201911244153.XA 2019-12-06 2019-12-06 信息处理方法、***、电子设备和可读存储介质 Active CN112929325B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911244153.XA CN112929325B (zh) 2019-12-06 2019-12-06 信息处理方法、***、电子设备和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911244153.XA CN112929325B (zh) 2019-12-06 2019-12-06 信息处理方法、***、电子设备和可读存储介质

Publications (2)

Publication Number Publication Date
CN112929325A CN112929325A (zh) 2021-06-08
CN112929325B true CN112929325B (zh) 2023-08-04

Family

ID=76161837

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911244153.XA Active CN112929325B (zh) 2019-12-06 2019-12-06 信息处理方法、***、电子设备和可读存储介质

Country Status (1)

Country Link
CN (1) CN112929325B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027474A (zh) * 2016-01-21 2016-10-12 李明 一种身份证认证***中的身份证读卡终端

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4427693B2 (ja) * 1998-10-02 2010-03-10 ソニー株式会社 データ処理装置および方法、並びにデータ復号処理装置および方法
CN103701594A (zh) * 2014-01-03 2014-04-02 天地融科技股份有限公司 一种数据传输方法及***
CN104796266A (zh) * 2015-05-12 2015-07-22 天地融科技股份有限公司 一种认证方法、装置及***
CN106027251B (zh) * 2016-01-21 2019-06-28 李明 一种身份证读卡终端与云认证平台数据传输方法和***
CN109155733B (zh) * 2016-06-02 2022-01-04 松下知识产权经营株式会社 信息处理装置以及信息处理***
CN106302452A (zh) * 2016-08-15 2017-01-04 北京信安世纪科技有限公司 数据加密和解密方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027474A (zh) * 2016-01-21 2016-10-12 李明 一种身份证认证***中的身份证读卡终端

Also Published As

Publication number Publication date
CN112929325A (zh) 2021-06-08

Similar Documents

Publication Publication Date Title
US10972290B2 (en) User authentication with self-signed certificate and identity verification
US9985782B2 (en) Network bound decryption with offline encryption
US9413730B1 (en) Encryption in the cloud using enterprise managed keys
US9219722B2 (en) Unclonable ID based chip-to-chip communication
US20140282840A1 (en) Managing data handling policies
WO2011080069A1 (en) Secure kerberized access of encrypted file system
US10990692B2 (en) Managing data handling policies
JP6227187B2 (ja) データ保管装置及びデータ更新システム及びデータ処理方法及びデータ処理プログラム
CN112182514A (zh) 授权验证的方法、装置、设备和计算机可读介质
CN111064569A (zh) 可信计算集群的集群密钥获取方法及装置
US11019033B1 (en) Trust domain secure enclaves in cloud infrastructure
CN112966287B (zh) 获取用户数据的方法、***、设备和计算机可读介质
EP2429146B1 (en) Method and apparatus for authenticating access by a service
US11032708B2 (en) Securing public WLAN hotspot network access
CN112929325B (zh) 信息处理方法、***、电子设备和可读存储介质
CN112565156B (zh) 信息注册方法、装置和***
CN113918971A (zh) 基于区块链的消息传输方法、装置、设备及可读存储介质
US20140282838A1 (en) Managing data handling policies
CN113420331B (zh) 一种文件下载权限的管理方法和装置
Li et al. Research on software upgrade in a large-scale network
WO2022269544A1 (en) Secure asset storage system and wearable device
EP4374554A1 (en) Remote attestation transport layer security and split trust encryption

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant