CN113452661A - 一种服务端密钥安全防护方法、设备及介质 - Google Patents
一种服务端密钥安全防护方法、设备及介质 Download PDFInfo
- Publication number
- CN113452661A CN113452661A CN202010228555.7A CN202010228555A CN113452661A CN 113452661 A CN113452661 A CN 113452661A CN 202010228555 A CN202010228555 A CN 202010228555A CN 113452661 A CN113452661 A CN 113452661A
- Authority
- CN
- China
- Prior art keywords
- key
- server
- protected
- protected key
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims description 6
- 239000000126 substance Substances 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 5
- 239000010410 layer Substances 0.000 description 26
- 238000010586 diagram Methods 0.000 description 14
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000012795 verification Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 208000008918 voyeurism Diseases 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种服务端密钥安全防护方法、设备及介质,方法包括:通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护密钥存入所述服务端的缓存存储器中。利用本方法构建的密码(或密钥)防护体系不需要依赖特别的硬件设备,具有实施方便、成本低,防盗效果好的特点,既适用于服务端一般密码、密钥的保护管理,同时也适用于区块链中私钥的保护管理。通过保护密码、密钥及私钥,进而保障用户生命财产安全,保护用户隐私数据,保护用户免遭经济损失,保护用户远离危险。
Description
技术领域
本申请涉及加密技术领域,尤其涉及一种密钥安全防护方法、设备及介质。
背景技术
某学术论坛的安全***遭到黑客攻击,600万用户的登录名、密码及邮箱 遭到泄漏。随后,“密码外泄门”持续发酵,著名游戏论坛,交友平台等多家 网站的用户数据库也被曝光在网络上,由于部分密码以明文方式显示,导致大 量网民受到隐私泄露的威胁。某社区论坛发布致歉信,称其4000万用户隐私 遭到黑客泄露。上述事件中失窃的只是密码集,用户只要及时修改密码即可避 免隐私失窃,因此不用恐慌。
目前市场上密钥防护方法有如下共同的特点:一是软件加密方法,可以防 止“脱库”等多种类别的攻击,因为密钥采用加密的方法存储,即使数据库数 据泄露,攻击者得到的是密文而不是明文,数据无法使用。但是,如果加密的 密钥保护不当,服务被攻击,加密密钥遭到泄露,数据仍然有泄露的风险。二 是硬件加密方法相对于软件方法安全性高,但是成本高,应用场景有限。
发明内容
本说明书实施例提供一种密钥安全防护方法、设备及介质,用于解决现有 技术中的如下技术问题:
服务器遭到攻击时,大量存储于服务器中的密码被盗;
防止服务器维护人员监守自盗。
本说明书实施例采用下述技术方案:
本发明实施例的第一方面提供了一种服务端密钥安全防护方法,包括:通 过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全 因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护 密钥存入所述服务端的缓存存储器中。
在一个示例中,所述通过加密算法和安全因子对受保护密钥进行多层加密 后存储至服务端,包括:
通过所述安全因子和所述受保护密钥的哈希值对所述受保护密钥进行第 一层加密;
通过公钥对所述第一层加密形成的文件进行第二层加密。
在一个示例中,所述通过加密算法和安全因子对受保护密钥进行多层加密 后存储至服务端,包括:
通过所述安全因子和所述受保护密钥哈希值对所述受保护密钥进行加密, 并将所述安全因子、所述受保护密钥的哈希值和所述加密后的受保护密钥存储 至所述服务端的指定存储文件中;
通过公钥对所述指定存储文件进行加密得到秘密文件,将所述秘密文件保 存至所述服务端的永久性存储介质中,其中,所述公钥及其对应的私钥由所述 服务端生成。
在一个示例中,所述通过所述安全因子和所述受保护密钥哈希值对所述受 保护密钥进行加密,并将所述安全因子、所述受保护密钥哈希值和所述加密后 的受保护密钥存储至所述服务端的指定存储文件中,包括:
将随机数和所述受保护密钥的哈希值进行处理,形成第一加密密钥,使用 所述第一加密密钥对所述受保护密钥进行加密,其中,所述随机数是所述安全 因子中的一种;
将所述随机数的位数、所述受保护密钥的哈希值和所述加密后的受保护密 钥存储至所述服务端的指定存储文件中,其中,所述随机数的位数是所述安全 因子的另一种。
在一个示例中,还包括:
判断所述服务端是否提供服务,并在所述服务端终止服务后删除存储在所 述缓存存储器中的所述受保护密钥。
在一个示例中,所述接收最外层加密的解密密钥,使服务端获取所述安全 因子以及在所述安全因子的范围内,对加密后的受保护密钥进行解密,包括:
所述服务端接收所述私钥,使所述服务端通过所述私钥解密所述秘密文件 获取所述随机数的位数,在所述随机数的位数的范围内得到所述受保护密钥。
在一个示例中,所述使所述服务端通过解密算法将所述秘密文件解密获取 所述随机数的位数,在所述随机数的位数的范围内得到所述受保护密钥,包括:
所述服务端通过解密算法将所述秘密文件解密,得到所述受保护密钥的哈 希值、随机数的位数和所述加密后的受保护密钥;
根据所述受保护密钥的哈希值和所述随机数的位数解密所述加密后的受 保护密钥,得到所述受保护密钥。
在一个示例中,所述根据所述受保护密钥的哈希值和随机数的位数解密所 述加密后的受保护密钥,得到所述受保护密钥,包括:
根据所述随机数的位数生成新的随机数;
将所述受保护密钥的哈希值和所述新的随机数进行拼接形成新的拼接信 息;
使用哈希算法计算所述新的拼接信息的哈希值;
将所述新的拼接信息的哈希值作为密钥,通过解密算法对所述受保护密钥 进行解密,得到所述受保护密钥。
本发明实施例的第二方面提供了一种服务端密钥安全防护设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述 至少一个处理器执行,以使所述至少一个处理器能够:
通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全 因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护 密钥存入所述服务端的缓存存储器中。
本发明实施例的第三方面提供了一种服务端密钥安全防护的非易失性计 算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:
通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全 因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护 密钥存入所述服务端的缓存存储器中。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
1)防外盗。服务器受到攻击时,攻击者无法看到或者得到原始密码(或 密钥),因为原始密码(或密钥)已经加密存储;
2)防内贼。不在服务端存储加密密钥,而是在服务启动后动态计算结果, 运维人员也无法看到或得到加密密钥;
3)双重防护。秘密文件的解密密钥,可以为不同的运维人员(或其他安 全员)所持有,防止监守自盗;
4)利用本方法构建的密码(或密钥)防护体系不需要依赖特别的硬件设 备,具有实施方便、成本低,防盗效果好的特点;
5)既适用于服务端一般密码、密钥的保护管理,同时也适用于区块链中 私钥的保护管理。通过保护密码、密钥及私钥,进而保障用户生命财产安全, 保护用户隐私数据,保护用户免遭经济损失,保护用户远离危险。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分, 本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限 定。在附图中:
图1为本说明书实施例提供的方法流程示意图;
图2为本说明书实施例提供的加密逻辑示意图;
图3为本说明书实施例提供的解密逻辑示意图;
图4为本说明书实施例提供的设备框架示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具 体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描 述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于说明书中的 实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本申请保护的范围。
在互联网的各个领域不断传出存在漏洞、用户泄露的消息,漏洞报告平台 乌云发布漏洞报告称,例如,某支付软件用户大量泄露,被用于网络营销,泄 露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号, 没有密码。被卷入的企业还有一些电商平台。2014年全球最大的比特币交易所 被盗走85万枚比特币,价值120亿美元。2017年12月,韩国比特币交易所因 遭遇“黑客攻击”,丢失了17%的数字货币,宣布破产。2018年1月,日本最 大的加密货币交易所遭黑客袭击,价值5.3亿美元的新经币被非法转移至其他交易所。新经币市值一度在全球数字货币排名第八,受被盗事件影响,新经币 在5小时内暴跌20%,并引发全球数字货币的普跌。2018年9月份,国外某 社交软件通告,黑客利用控制的40万个账户获得了3000万用户账号的信息。 他们可以在不输入密码的情况下,随意登陆这些用户的个人主页,任意拿走想 要的数据等。该软件爆发的隐私泄露危机使公司股价一度蒸发590亿美元,公 司股东会联名要求掌舵人交出权利,与此同时,许多国家议会要求其亲自出席 用户信息被盗、偷用的辩证会。
以上安全事件都与密码泄露密切相关,主观上归因于攻击者的盗窃行为, 客观本质上归于密码保护不当,导致大量密码泄露,最终造成人民隐私数据泄 露及重大财产损失,甚至威胁人民生命安全。因此,密码保护工作紧急而非常 重要。
《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大 会常务委员会第十四次会议于2019年10月26日通过,自2020年1月 1日起施行。《中华人民共和国密码法》的通过,标志着我国在密码的应用和 管理等方面有了专门性的法律保障。《密码法》将密码分为核心密码、普通密 码和商用密码三类,实行分类管理。其中核心密码、普通密码用于保护国家秘 密信息,属于国家秘密;商用密码用于保护不属于国家秘密的信息,公民、法人 和其他组织可以依法使用商用密码保护网络与信息安全。
基于以上情形,深入探索现有密码(或密钥)安全防护方法发现,目前密 码(或密钥)保护方法可以分为两类:软件加密方法及硬件加密方法。一是软 件加密方法,即对密码(或密钥)进行加密,然后将加密结果存储在永久性存 储介质上。使用时需要对加密结果进行解密,然后用解密后的密码(或密钥) 与用户输入的密码(或密钥)进行比对验证,以便确定是否验证成功。二是硬 件加密方法,即利用硬件的算力优势、不可篡改的优势等硬件独有的特性保证 密码(或密钥)的安全。如,设计某种算法,软件需要计算100年,而利用硬 件只需几秒就可以算出结果。
本申请的实施例提供了密钥的安全防护方法及相应方案,针对因为用户密 码、密钥或者私钥遭受攻击,进而导致用户隐私数据泄露、致使用户财产遭受 损失,甚至用户生命受到威胁的情形,本发明提出一种全新的服务端密码(或 密钥)防护方法。通过工作量密码学算法对受保护的密码(或密钥)进行加密, 并且进一步妥善处理、保护加密密钥。依此方法防止因遭受外部攻击而泄露受 保护的密码(或密钥),同时,杜绝内部人员窥视受保护的密码(或密钥)及 加密密钥。其目的在于,保护用户数字资产不被盗用,保护用户隐私数据不被 泄露,保护用户生命安全。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本说明书实施例提供的方法流程示意图。如图所示,方法包括:
S101通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务 端;
S102接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述 安全因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受 保护密钥存入所述服务端的缓存存储器中。
本发明实施例提出一种全新的密码(或密钥)防护方法,属于软件加密类 密码(或密钥)防护方法。大致描述如下,
本发明实施例的服务端不直接存密码(或密钥)本身,服务端对密码(或 密钥)进行加密后,存储加密后的结果;在服务端不直接存储密钥,仅仅存储 一个大致的范围(安全因子),避免泄露加密密钥;服务启动后,在该范围内 寻找加密密钥。找到后,即完成解密防护目标原始密码(或密钥),为了方便 描述,下文统称为密钥。
根据本发明的具体实施例,步骤S101中,所述通过加密算法和安全因子 对受保护密钥进行多层加密后存储至服务端,包括:通过所述安全因子和所述 受保护密钥的哈希值对所述受保护密钥进行第一层加密;通过公钥对所述第一 层加密形成的文件进行第二层加密,其中,所述公钥及其对应的私钥由所述服 务端生成。
本发明实施例中公开了对受保护密钥进行多层加密,可以理解的是,不仅 可以是两层,也可是三层或其他保密层数,具体视需求而定,本申请对此不作 特别的限制。
具体而言,在第一层加密中,通过所述安全因子和所述受保护密钥哈希值 对所述受保护密钥进行加密,并将所述安全因子、所述受保护密钥的哈希值和 所述加密后的受保护密钥存储至所述服务端的指定存储文件中。在第一层加密 中,使用的算法可以是对称加解密算法,例如SM1,AES等对称加解密算法。
更具体的,将随机数和所述受保护密钥的哈希值进行处理,形成第一加密 密钥,使用所述第一加密密钥对所述受保护密钥进行加密,其中,所述随机数 是所述安全因子中的一种。通过所述安全因子和所述受保护密钥哈希值对所述 受保护密钥进行加密,并将所述安全因子、所述受保护密钥的哈希值和所述加 密后的受保护密钥存储至所述服务端的指定存储文件中;
相应的,在第二层加密中,通过公钥对所述指定存储文件进行加密得到秘 密文件,将所述秘密文件保存至所述用户端的永久性存储介质中,其中,所述 公钥及其对应的私钥由所述服务端生成。将所述随机数的位数、所述受保护密 钥的哈希值和所述加密后的受保护密钥存储至所述服务端的指定存储文件中, 其中,所述随机数的位数是所述安全因子的另一种。
可以理解的是,本发明的一些优选的实施例中,安全因子包括但不限于随 机数及其位数,也可以是序列号等,在此不做赘述。
图2为本说明书实施例提供的加密逻辑示意图;下面结合图2对本发明实 施例中的加密过程进行详细介绍.
首先是第一层加密,采用哈希算法,例如SM3,SHA256等哈希算法计算 受保护密钥的哈希值,为了便于后续描述,将其命名为Hash1,并在图2中使 用Hash1进行表示。
接着,生成指定位数的随机数,为了便于后续描述,将其命名为random1, 并在图2中使用random1进行表示。随机数的位数可以依据不同的应用场景灵 活设置。随机数位数越多,可能空间越大,安全性越好。随机数位数默认值设 定为8位。某种特定场景下,一旦设定随机数位,以后若要更改,随机数的位 数应大于初始设定的位数,否则可能会导致无法解密。
次之,拼接Hash1与random1,然后进行哈希运算,例如SM3,SHA256 等哈希算法,得到哈希值,为了便于后续描述,将其命名为HashKey1,并在 图2中使用HashKey1表示。
次之,将HashKey1作为密钥,采用对称加解密算法,例如SM1,AES等 对称加解密算法对受保护密钥进行加密,得到密文(即加密后的受保护密钥), 为了便于后续描述,将其命名为AesSecretText1,并将其在图2中使用 AesSecretText1表示。
次之,将Hash1,random1的位数,AesSecretText1作为一条记录,添加保 存到密钥内存文件,为了便于后续描述,将其命名为SecretMemoryFile1,并将 其在图2中使用SecretMemoryFile1表示。
最后是第二层加密,生成非对称加解密算法,例如,SM2,RSA等非对称 加解密算法的公私钥,使用公钥对SecretMemoryFile1的文件内容,进行非对 称加密计算,形成秘密文件,并保存到服务端的永久性存储介质。为了便于后 续描述,将其秘密文件命名为SecretFile2。秘密文件SecretFile2的解密密钥, 即私钥,由运维人员(或其他安全员)妥善保管,在本机器上不存储秘密文件 SecretFile2的解密密钥。
如前所述,本申请实施例中一些方案中使用双层加密的方式,相应的,在 解密时进行两次解密。
根据本发明的具体实施例,步骤S102中,所述向服务端发送最外层加密 的解密密钥,使服务器完成第一次解密;然后,服务端在所述安全因子的范围 内,对加密后的受保护密钥进行解密,完成第二次解密。
大致包括所述服务端接收所述私钥,使所述服务端通过私钥解密所述秘密 文件,所述服务端通过解密算法将所述秘密文件解密,得到所述受保护密钥的 哈希值、随机数的位数和所述加密后的受保护密钥;根据所述受保护密钥的哈 希值和所述随机数的位数解密所述加密后的受保护密钥,得到所述受保护密钥。
图3为本说明书实施例提供的解密逻辑示意图;下面结合图3对解密的过 程进行详细的介绍。
服务端密钥安全防护服务启动时,需要运维人员(或其他安全员)输入秘 密文件SecretFile2的解密密钥。只有输入正确的秘密文件SecretFile2的解密密 钥,服务才能解开秘密文件SecretFile2的内容,从而读取受保护的内容。
服务端密码(或密钥)安全防护服务读取秘密文件SecretFile2的内容,使 用维人员输入的秘密文件SecretFile2的解密密钥,运用非对称加解密算法,例 如,SM2,RSA等非对称加解密算法解密秘密文件SecretFile2的内容,将解密 后的内容存入计算机内存。为了便于后续描述,将解密后的内容命名为 SecretMemoryFile2,并在图3中用其表示。
服务端从密码(密钥)内存文件SecretMemoryFile2中读取数据记录,得 到Hash1,random1的位数,AesSecretText1。
服务端依据random1的位数的限制,生成新的随机数,为了便于后续描述, 将其命名为random2,并在图3中用其进行表示。拼接Hash1与random2,进 行哈希运算,例如SM3,SHA256等哈希算法,得到哈希值,为了便于后续描 述,将其命名为HashKey2,并在图3中用HashKey2表示。将HashKey2作为 对称加解密算法的密钥尝试解密AesSecretText1,得到可能的原始受保护密钥。 判断该解密步骤是否正常结束,若解密异常,则重复此步骤,直至解密正常结 束。
服务端计算上述解密步骤得到的可能原始受保护密钥的哈希值,为了便于 后续描述,将该哈希值命名为Hash2,并在附图3中使用Hash2进行表示。
服务端判断Hash1与Hash2是否相同。若相同,则验证成功,即解密成功。 解密成功后,将可能的原始受保护密钥作为真正的原始受保护密钥存入客户端 内存以待使用。若不同,则重复上述步骤,直至解密并验证成功。在可预测的 次数内(最多10的随机数位数加1次方),一定会碰撞验证成功。
在本发明的一些优选的实施例中,客户端判断所述服务端是否提供服务, 并在所述服务端终止服务后删除存储在所述缓存存储器中的所述受保护密钥。 考虑效率因素,将解密后的防护目标原始密钥暂存入客户端计算机的缓存,在 服务运行期间,内存中的原始密钥均可使用。服务端的服务关闭、重启后,重 新解密原始密钥。
基于同样的思路,本申请的一些实施例还提供了上述方法对应的设备和非 易失性计算机存储介质。
图2为本说明书实施例提供的设备框架示意图,一种密钥安全防护设备, 包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述 至少一个处理器执行,以使所述至少一个处理器能够:
通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全 因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护 密钥存入所述服务端的缓存存储器中。
本申请的一些实施例提供的对应于图1的一种服务端密钥安全防护的非易 失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可 执行指令设置为:
通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全 因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护 密钥存入所述服务端的缓存存储器中。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似 的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。 尤其,对于设备和介质实施例而言,由于其基本相似于方法实施例,所以描述 的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的设备和介质与方法是一一对应的,因此,设备和介质 也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术 效果进行了详细说明,因此,这里不再赘述设备和介质的有益技术效果。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计 算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结 合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包 含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产
品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程 图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程 和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、 嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过 计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程 图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装 置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设 备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中 的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个 流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使 得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处 理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个 流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输 出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。 内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任 何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序 的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其 他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读 存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器 (CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁 磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算 设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒 体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非 排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包 括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、 方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括 一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设 备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技 术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所 作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种服务端密钥安全防护方法,其特征在于,包括:
通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护密钥存入所述服务端的缓存存储器中。
2.根据权利要求1所述的方法,其特征在于,所述通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端,包括:
通过所述安全因子和所述受保护密钥的哈希值对所述受保护密钥进行第一层加密;
通过公钥对所述第一层加密形成的文件进行第二层加密。
3.根据权利要求1所述的方法,其特征在于,所述通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端,包括:
通过所述安全因子和所述受保护密钥哈希值对所述受保护密钥进行加密,并将所述安全因子、所述受保护密钥的哈希值和所述加密后的受保护密钥存储至所述服务端的指定存储文件中;
通过公钥对所述指定存储文件进行加密得到秘密文件,将所述秘密文件保存至所述服务端的永久性存储介质中,其中,所述公钥及其对应的私钥由所述服务端生成。
4.根据权利要求3所述的方法,其特征在于,所述通过所述安全因子和所述受保护密钥哈希值对所述受保护密钥进行加密,并将所述安全因子、所述受保护密钥哈希值和所述加密后的受保护密钥存储至所述服务端的指定存储文件中,包括:
将随机数和所述受保护密钥的哈希值进行处理,形成第一加密密钥,使用所述第一加密密钥对所述受保护密钥进行加密,其中,所述随机数是所述安全因子中的一种;
将所述随机数的位数、所述受保护密钥的哈希值和所述加密后的受保护密钥存储至所述服务端的指定存储文件中,其中,所述随机数的位数是所述安全因子的另一种。
5.根据权利要求1所述的方法,其特征在于,还包括:
判断所述服务端是否提供服务,并在所述服务端终止服务后删除存储在所述缓存存储器中的所述受保护密钥。
6.根据权利要求4所述的方法,其特征在于,所述接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全因子的范围内,对加密后的受保护密钥进行解密,包括:
所述服务端接收所述私钥,使所述服务端通过所述私钥解密所述秘密文件获取所述随机数的位数,在所述随机数的位数的范围内得到所述受保护密钥。
7.根据权利要求6所述的方法,其特征在于,所述使所述服务端通过解密算法将所述秘密文件解密获取所述随机数的位数,在所述随机数的位数的范围内得到所述受保护密钥,包括:
所述服务端通过解密算法将所述秘密文件解密,得到所述受保护密钥的哈希值、随机数的位数和所述加密后的受保护密钥;
根据所述受保护密钥的哈希值和所述随机数的位数解密所述加密后的受保护密钥,得到所述受保护密钥。
8.根据权利要求7所述的方法,其特征在于,所述根据所述受保护密钥的哈希值和随机数的位数解密所述加密后的受保护密钥,得到所述受保护密钥,包括:
根据所述随机数的位数生成新的随机数;
将所述受保护密钥的哈希值和所述新的随机数进行拼接形成新的拼接信息;
使用哈希算法计算所述新的拼接信息的哈希值;
将所述新的拼接信息的哈希值作为密钥,通过解密算法对所述受保护密钥进行解密,得到所述受保护密钥。
9.一种服务端密钥安全防护设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护密钥存入所述服务端的缓存存储器中。
10.一种服务端密钥安全防护的非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令设置为:
通过加密算法和安全因子对受保护密钥进行多层加密后存储至服务端;
接收最外层加密的解密密钥,使服务端获取所述安全因子以及在所述安全因子的范围内,对加密后的受保护密钥进行解密,并将解密得到的所述受保护密钥存入所述服务端的缓存存储器中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010228555.7A CN113452661A (zh) | 2020-03-27 | 2020-03-27 | 一种服务端密钥安全防护方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010228555.7A CN113452661A (zh) | 2020-03-27 | 2020-03-27 | 一种服务端密钥安全防护方法、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113452661A true CN113452661A (zh) | 2021-09-28 |
Family
ID=77807833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010228555.7A Pending CN113452661A (zh) | 2020-03-27 | 2020-03-27 | 一种服务端密钥安全防护方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113452661A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884716A (zh) * | 2022-04-28 | 2022-08-09 | 世融能量科技有限公司 | 加密解密方法、装置及介质 |
-
2020
- 2020-03-27 CN CN202010228555.7A patent/CN113452661A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884716A (zh) * | 2022-04-28 | 2022-08-09 | 世融能量科技有限公司 | 加密解密方法、装置及介质 |
| CN114884716B (zh) * | 2022-04-28 | 2024-02-27 | 世融能量科技有限公司 | 加密解密方法、装置及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10986073B2 (en) | Vaultless tokenization engine | |
| Arockiam et al. | Efficient cloud storage confidentiality to ensure data security | |
| KR102224998B1 (ko) | 데이터 재-암호화를 통하여 민감한 데이터를 보호하기 위한 컴퓨터-구현 시스템 및 방법 | |
| CN109829333B (zh) | 一种基于OpenID的关键信息保护方法及*** | |
| AU2020245399B2 (en) | System and method for providing anonymous validation of a query among a plurality of nodes in a network | |
| CN111859446A (zh) | 一种农产品溯源信息共享-隐私保护的方法及*** | |
| Süzen et al. | Blockchain-based secure credit card storage system for e-commerce | |
| Jayapandian et al. | A novel approach to enhance multi level security system using encryption with fingerprint in cloud | |
| CN111079157A (zh) | 一种基于区块链的秘密碎片化托管平台及设备、介质 | |
| EP3485389A1 (en) | Methods and systems for a redundantly-secure data store using independent networks | |
| CN113452661A (zh) | 一种服务端密钥安全防护方法、设备及介质 | |
| US10402573B1 (en) | Breach resistant data storage system and method | |
| Jabbar et al. | Design and implementation of hybrid EC-RSA security algorithm based on TPA for cloud storage | |
| Ullah et al. | TCLOUD: A Trusted Storage Architecture for Cloud Computing | |
| Ramprasath et al. | Protected data sharing using attribute based encryption for remote data checking in cloud environment | |
| El-Kafrawy et al. | Security issues over some cloud models | |
| Vishwakarma et al. | Designing a cryptosystem for data at rest encryption in mobile payments | |
| CN113836239A (zh) | 交易数据监管方法、存储介质及计算机设备 | |
| Geetha et al. | Blockchain based Mechanism for Cloud Security | |
| Rupa et al. | Study and improved data storage in cloud computing using cryptography | |
| CN109495455A (zh) | 一种数据处理***、方法及设备 | |
| Wilusz et al. | Secure protocols for smart contract based insurance services | |
| CN109522727A (zh) | 一种数据处理方法、装置及设备 | |
| Muhasin et al. | Managing sensitive data in cloud computing for effective information systems’ decisions | |
| Mondal et al. | A Systematic Literature Survey on Data Security Techniques in a Cloud Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210928 |