CN113645235A - 分布式数据加解密***及加解密方法 - Google Patents

分布式数据加解密***及加解密方法 Download PDF

Info

Publication number
CN113645235A
CN113645235A CN202110914330.1A CN202110914330A CN113645235A CN 113645235 A CN113645235 A CN 113645235A CN 202110914330 A CN202110914330 A CN 202110914330A CN 113645235 A CN113645235 A CN 113645235A
Authority
CN
China
Prior art keywords
key
packet
serial number
computer
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110914330.1A
Other languages
English (en)
Inventor
张牧宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202110914330.1A priority Critical patent/CN113645235A/zh
Publication of CN113645235A publication Critical patent/CN113645235A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种分布式数据加解密***及加解密方法,涉及网络安全领域,其中该***包括:主密钥计算机和多个数据处理计算机;主密钥计算机,用于:生成一对称密钥;接收各数据处理计算机提供的包序列号;根据对称密钥、包序列号,向各数据处理计算机提供包密钥;向各数据处理计算机提供加密密钥序号;向接收方提供加密密钥和加密密钥序号;各数据处理计算机,用于:接收数据包;生成包序列号;用包密钥对数据包进行加密,得到加密数据包;将加密数据包、包序列号、加密密钥序列号打包成组合数据包;向接收方提供组合数据包。从而使整个加解密***不但拥有处理大数据的高性能,同时也有着很高的安全性,也简化了处理流程。

Description

分布式数据加解密***及加解密方法
技术领域
本发明涉及网络安全技术领域,尤其涉及分布式数据加解密***及加解密方法。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
在当今互联网时代,数据安全的重要性日益提高。在现有的数据传输中,通常采用加密措施以确保数据的安全性。在此过程当中,由于硬件加密机算法结构规范,密钥独立存储在硬件设备,所以安全性远大于软件加密。
在数据安全要求较高的***架构当中,通常采用一台硬件加密机提供加密服务,***当中的其他计算机通过服务调用的方式,访问硬件加密机,完成对应的加解密操作。
但随着数据技术的发展,大数据的处理需求日益频繁,且金融交易等处理平台由于访问量大幅增长,传统的硬件加密机在数据量和访问量上已难以符合要求。采用多台加密机,导致密钥存储的复杂性提高,会增加***的复杂性。一方面由于多台加密机均存储密钥,***整体安全性下降;另一方面多台加密机在做对外密钥交换时,需要将同一密钥证书分配到所有加密机上,流程繁琐且容易产生数据不同步问题。在安全***中,采用多台加密机导致复杂性的增强、关键节点的增加,会使得数据泄露风险增加、***脆弱性加重。
发明内容
本发明实施例提供一种分布式数据加密***,用以提高数据传输的安全性,并简化处理流程,该***包括:
主密钥计算机和多个数据处理计算机;其中:
主密钥计算机,用于:为待加密明文随机生成一对称密钥;接收各数据处理计算机提供的包序列号;根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥;对对称密钥进行加密,得到加密密钥;对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;向各数据处理计算机提供加密密钥序号;向接收方提供加密密钥和加密密钥序号;
各数据处理计算机,用于:接收由待加密明文拆分出的数据包;为数据包随机生成一包序列号;用包密钥对数据包进行加密,得到加密数据包;将加密数据包、包序列号、加密密钥序列号打包成组合数据包;向接收方提供组合数据包。
本发明实施例还提供一种分布式数据解密***,用以提高数据传输的安全性,并简化处理流程,该***包括:
主密钥计算机和多个数据处理计算机;其中:
主密钥计算机,用于:接收加密密钥和加密密钥序号;对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥;
各数据处理计算机,用于:接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;从组合数据包中提取加密数据包、包序列号、加密密钥序列号;将包序列号、加密密钥序列号提供至主密钥计算机;用包密钥对加密数据包进行解密,得到明文数据包。
本发明实施例还提供一种分布式数据加密***中的主密钥计算机,用以提高数据传输的安全性,并简化处理流程,该分布式数据加密***还包括多个数据处理计算机,该主密钥计算机包括:
生成密钥模块:用于为待加密明文随机生成一对称密钥;
接收包序列号模块:用于接收各数据处理计算机提供的包序列号;包序列号由各数据处理计算机为由待加密明文拆分出的数据包随机生成;
提供包密钥模块:用于根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥;
加密密钥模块:用于对对称密钥进行加密,得到加密密钥;
加密密钥序号模块:用于对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;
提供加密密钥序号模块:用于向各数据处理计算机提供加密密钥序号;
第一发送模块:用于向接收方提供加密密钥和加密密钥序号。
本发明实施例还提供一种分布式数据加密***中的数据处理计算机,用以提高数据传输的安全性,并简化处理流程,该分布式数据加密***包括主密钥计算机和多个数据处理计算机,该各数据处理计算机包括:
接收数据包模块:用于接收由待加密明文拆分出的数据包;
生成包序列号模块:用于为数据包随机生成一包序列号;
加密数据包模块:用于用包密钥对数据包进行加密,得到加密数据包;包密钥由主密钥计算机根据为待加密明文随机生成的一对称密钥、各数据处理计算机的包序列号生成;
打包模块:用于将加密数据包、包序列号、加密密钥序列号打包成组合数据包;加密密钥序列号由主密钥计算机对对称密钥对应的密钥序列号进行加密得到;
第二发送模块:用于向接收方提供组合数据包。
本发明实施例还提供一种分布式数据解密***中的主密钥计算机,用以提高数据传输的安全性,并简化处理流程,该分布式数据解密***还包括多个数据处理计算机,该主密钥计算机包括:
接收密钥模块:用于接收加密密钥和加密密钥序号;
解密密钥模块:用于对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;
处理包密钥模块:用于根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥,将包密钥提供给各数据处理计算机,用于对数据包进行解密得到明文数据包。
本发明实施例还提供一种分布式数据解密***中的数据处理计算机,用以提高数据传输的安全性,并简化处理流程,该分布式数据解密***包括主密钥计算机和多个数据处理计算机,该各数据处理计算机包括:
接收组合数据包模块:用于接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;
提取模块:用于从组合数据包中提取加密数据包、包序列号、加密密钥序列号;
第三发送模块:用于将包序列号、加密密钥序列号提供至主密钥计算机;
解密数据包模块:用于接收主密钥计算机根据包序列号、加密密钥序列号提供的包密钥,用包密钥对加密数据包进行解密,得到明文数据包。
本发明实施例还提供一种分布式数据加密方法,用以提高数据传输的安全性,并简化处理流程,该方法包括:
各数据处理计算机接收由待加密明文拆分出的数据包;
主密钥计算机为待加密明文随机生成一对称密钥;
各数据处理计算机为数据包随机生成一包序列号;
主密钥计算机接收各数据处理计算机提供的包序列号;根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥;
主密钥计算机对对称密钥进行加密,得到加密密钥;对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;向各数据处理计算机提供加密密钥序号;
各数据处理计算机用包密钥对数据包进行加密,得到加密数据包;将加密数据包、包序列号、加密密钥序列号打包成组合数据包;
主密钥计算机向接收方提供加密密钥和加密密钥序号;
各数据处理计算机向接收方提供组合数据包。
本发明实施例还提供一种分布式数据解密方法,用以提高数据传输的安全性,并简化处理流程,该方法包括:
主密钥计算机接收加密密钥和加密密钥序号;对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;
各数据处理计算机接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;从组合数据包中提取加密数据包、包序列号、加密密钥序列号;将包序列号、加密密钥序列号提供至主密钥计算机;
主密钥计算机根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥;
各数据处理计算机用包密钥对加密数据包进行解密,得到明文数据包。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述分布式数据加密或解密方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述分布式数据加密或解密方法的计算机程序。
本发明实施例中,通过分布式的方式实现数据加解密,可以提升加解密过程中的数据处理能力,满足高并发或大数据量处理要求;通过一台主密钥计算机提供密钥分发功能,不触及具体数据包,各数据处理计算机提供算力来进行数据包的加解密,各数据处理计算机无法访问主密钥计算机为待加密明文随机生成的对称密钥,提供密钥的计算机与提供算力的计算机相分离,即使有一台数据处理计算机被黑客攻破,也只有当前正在处理的数据包存在被破解风险,其余数据包仍然安全,从而使整个加解密***不但拥有处理大数据的高性能,同时也有着很高的安全性,也简化了处理流程。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中一种分布式数据加密***示意图;
图2为本发明实施例中一种分布式数据解密***示意图;
图3为本发明实施例中一种分布式数据加密***中的主密钥计算机示意图;
图4为本发明实施例中一种分布式数据加密***中的数据处理计算机示意图;
图5为本发明实施例中一种分布式数据解密***示中的主密钥计算机意图;
图6为本发明实施例中一种分布式数据解密***示中的数据处理计算机意图;
图7为本发明实施例中一种分布式数据加密方法流程图;
图8为本发明实施例中一种分布式数据解密方法流程图;
图9为本发明实施例中一种分布式数据加密方法的一具体实例的流程示意图;
图10为本发明实施例中一种分布式数据解密方法的一具体实例的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本发明实施例中提供了一种分布式数据加密***,图1为本发明实施例中提供的一种分布式数据加密***示意图,如图1所示,该***可以包括:
主密钥计算机101和多个数据处理计算机102;其中:
主密钥计算机101,用于:为待加密明文随机生成一对称密钥;接收各数据处理计算机102提供的包序列号;根据对称密钥、各数据处理计算机102的包序列号,向各数据处理计算机102提供包密钥;对对称密钥进行加密,得到加密密钥;对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;向各数据处理计算机102提供加密密钥序号;向接收方提供加密密钥和加密密钥序号;
各数据处理计算机102,用于:接收由待加密明文拆分出的数据包;为数据包随机生成一包序列号;用包密钥对数据包进行加密,得到加密数据包;将加密数据包、包序列号、加密密钥序列号打包成组合数据包;向接收方提供组合数据包。
本发明实施例中,通过分布式的方式实现数据加密,可以提升加密过程中的数据处理能力,满足高并发或大数据量处理要求;通过一台主密钥计算机提供密钥分发功能,不触及具体数据包,各数据处理计算机提供算力来进行数据包的加密,各数据处理计算机无法访问主密钥计算机为待加密明文随机生成的对称密钥,提供密钥的计算机与提供算力的计算机相分离,即使有一台数据处理计算机被黑客攻破,也只有当前正在处理的数据包存在被破解风险,其余数据包仍然安全,从而使整个加密***不但拥有处理大数据的高性能,同时也有着很高的安全性,也简化了处理流程。
本发明实施例的分布式数据加密***和分布式数据解密***中,主密钥计算机符合硬件加密机相关标准,可提供标准对称加解密、非对称加解密、加验签功能,同时还可导入相关证书文件。数据处理计算机是用来实现数据加解密的计算机设备。
在一个实施例中,为待加密明文随机生成一对称密钥可以是:采用对称加密算法为待加密明文,随机生成一对称密钥。例如,采用DES(Des Symmetric Encryption)对称加密算法,为待加密明文,随机生成一对称密钥,DES是一种比较传统的对称加密方式,其加密运算、解密运算使用的是同样的密钥,信息的发送者和信息的接收者在进行信息的传输与处理时,必须共同持有该密码(称为对称密码)。比如,主密钥计算机生成一个对称随机密钥SM4Key(上述对称密钥)。
在一个实施例中,根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥可以是:将对称密钥作为密钥,各数据处理计算机的包序列号作为明文,计算得到各数据处理计算机的包密钥,向各数据处理计算机提供。
例如,采用密码分组算法,根据对称密钥、各数据处理计算机的包序列号,为各数据处理计算机生成包密钥,向各数据处理计算机提供相应的包密钥。比如,各数据处理计算机为自己的数据包生成一个随机的包序列号PacNo(上述包序列号),主密钥计算机根据SM4Key(上述对称密钥)与每个PacNo(上述包序列号)进行密码分组算法,生成不同的PacKey(上述包密钥)返回给各数据处理计算机。
在上述实施例中,密码分组算法的数学模型是将明文消息编码表示后的数字(上述各数据处理计算机的包序列号)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥(上述对称密钥)的控制下变换成等长的输出数字(上述包密钥)序列。采用密码分组算法,确保每一个数据处理计算机使用不同的密钥。即使有一台数据处理计算机被黑客攻破,也只有当前正在处理的数据包存在被破解风险,其余数据包仍然安全。
具体实施时,采用AES(AES,Advanced Encryption Standard,高级加密标准)分组密码,AES分组密码把包序列号(明文)分成一组一组的,每组长度相等,每次使用对称密钥加密一组数据,直到加密完整个包序列号。
在一个实施例中,对对称密钥进行加密,得到加密密钥可以是:采用非对称加密算法,获取接收方的公钥,对对称密钥进行加密,得到加密密钥。
在上述实施例中,非对称加密算法需要两个密钥:公开密钥(简称公钥)和私有密钥(简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
具体实施时,可采用RSA算法,获取接收方的公钥,对对称密钥进行加密,得到加密密钥,RSA算法是由Rivest,Shamir和Adleman提出的一种常用的非对称加密算法,该算法的既能用于数据加密,也能用于数字签名,主要原理是通过生成两个大素数来增加因数分解的难度,从而防止窃听者破解密码。
在一个实施例中,对对称密钥对应的密钥序列号进行加密,得到加密密钥序号可以是:采用非对称加密算法,获取接收方的公钥,对对称密钥对应的密钥序列号进行加密,得到加密密钥序号。
具体实施时,可采用RSA算法,获取接收方的公钥,对对称密钥对应的密钥序列号(SM4KeyN)进行加密,得到加密密钥序号(SM4KeyNo)。
在一个实施例中,向各数据处理计算机提供加密密钥序号可以是:将加密密钥序号通过ZMK(即主密钥MK,存于本地或共享网络中,用于加密在通讯线路上需要传递的数据密钥)加密,SSH(Secure Shell,安全外壳协议)方式传输,提供给对应的各数据处理计算机。
在一个实施例中,接收由待加密明文拆分出的数据包可以是:大数据拆分,将待加密明文拆分成N个相对较小的数据包PacData(上述数据包),分配到N个数据处理计算机当中。
在一个实施例中,为数据包随机生成一包序列号可以是:主密钥计算机生成密钥序列号SM4KeyN(上述对称密钥对应的密钥序列号)。
在一个实施例中,用包密钥对数据包进行加密,得到加密数据包可以是:各数据处理计算机使用得到的PacKey(上述包密钥)对自己的数据包上述由待加密明文拆分出的数据包)进行加密,得到加密后的数据包PacDataSec(上述加密数据包)。
在一个实施例中,将加密数据包、包序列号、加密密钥序列号打包成组合数据包可以是:各数据处理计算机将PacDataSec(上述加密数据包)、PacNo(明文数据包序列号)、SM4KeyNo(上述加密密钥序列号)打包,生成PackComp(上述组合数据包)。
在一个实施例中,向接收方提供组合数据包可以是:加密过程完成,加密结果为SM4KeySec(上述加密密钥),SM4KeyNo(上述加密密钥序列号),以及PackComp1(上述组合数据包)——PackCompN(上述组合数据包),该内容全部经过加密,可安全地通过公网传输到接收方。
本发明实施例中提供了一种分布式数据解密***,图2为本发明实施例中提供的一种分布式数据解密***示意图,如图2所示,该***可以包括:
主密钥计算机201和多个数据处理计算机202;其中:
主密钥计算机201,用于:接收加密密钥和加密密钥序号;对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;根据各数据处理计算机202提供的包序列号、加密密钥序列号确定各数据处理计算机202的包密钥;
各数据处理计算机202,用于:接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;从组合数据包中提取加密数据包、包序列号、加密密钥序列号;将包序列号、加密密钥序列号提供至主密钥计算机201;用包密钥对加密数据包进行解密,得到明文数据包。
本发明实施例中,通过分布式的方式实现数据解密,可以提升解密过程中的数据处理能力,满足高并发或大数据量处理要求;通过一台主密钥计算机提供密钥分发功能,不触及具体数据包,各数据处理计算机提供算力来进行数据包的解密,各数据处理计算机无法访问主密钥计算机为待加密明文随机生成的对称密钥,提供密钥的计算机与提供算力的计算机相分离,即使有一台数据处理计算机被黑客攻破,也只有当前正在处理的数据包存在被破解风险,其余数据包仍然安全,从而使整个解密***不但拥有处理大数据的高性能,同时也有着很高的安全性,也简化了处理流程。
在一个实施例中,接收加密密钥和加密密钥序号;对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号,可以是:SM4KeySec(上述加密密钥)和SM4KeyNo(上述加密密钥序号)被传输至接收方主密钥计算机,之后使用私钥对SM4KeySec进行解密,得到随机对称密钥SM4Key(上述对称密钥),它对应的序列号为SM4KeyN(上述对称密钥对应的密钥序列号)。
在一个实施例中,根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥,可以是:主密钥计算机根据序列号SM4KeyNo(上述加密密钥序列号)确定对应的SM4Key(上述对称密钥)。然后使用SM4Key(上述对称密钥)和PacNo(上述包序列号)根据分组算法计算出该数据包的对应分组密钥PacKey(上述包密钥)。
在一个实施例中,接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包,可以是:加密数据包PackComp1(上述组合数据包)——PackCompN(上述组合数据包)被分配到N个不同的处理计算机。在实际使用过程中,两方(发送方与接收方)的数据处理计算机也可以不同,这样有可能会出现一机处理多包的情况。
在一个实施例中,从组合数据包中提取加密数据包、包序列号、加密密钥序列号,可以是:数据处理计算机从加密数据包PackComp(上述组合数据包)中得到PacDataSec(上述加密数据包),PacNo(上述包序列号),SM4KeyNo(上述加密密钥序列号)三项内容。
在一个实施例中,将包序列号、加密密钥序列号提供至主密钥计算机,可以是:数据处理计算机将PacNo(上述包序列号)、SM4KeyNo(上述加密密钥序列号)发送至主密钥计算机。
在一个实施例中,用包密钥对加密数据包进行解密,得到明文数据包,可以是:数据处理计算机使用PacKey(上述包密钥)对PacDataSec(上述加密数据包)进行解密,重新得到明文。
实施例中,主密钥计算机具体可用于:用本机的私钥,对用本机的公钥加密的加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号。
在上述实施例中,公钥是与私钥算法一起使用的密钥对的非秘密一半。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),其中的一个向外界公开,称为公钥;另一个自己保留,称为私钥。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。
具体实施时,主密钥计算机利用非对称密钥算法得到一公钥与一私钥,将私钥保存在本机,将公钥公开,接收到加密密钥和加密密钥序号时,用本机的私钥,对用本机的公钥加密的加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号。
实施例中,主密钥计算机具体可用于:根据各数据处理计算机提供的加密密钥序列号,确定加密密钥序列号对应的对称密钥;根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥。
在上述实施例中,根据各数据处理计算机提供的加密密钥序列号,确定加密密钥序列号对应的对称密钥可以是:根据各数据处理计算机提供的加密密钥序列号,与发送方提供的加密密钥序列号,均用本机的私钥解密,得到二者解密后的密钥序列号,若二者解密后的密钥序列号一致,说明二者的对称密钥一致,就可以根据发送方提供的加密密钥序列号对应的对称密钥,确定数据处理计算机提供的加密密钥序列号对应的对称密钥。
根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥可以是:采用密码分组算法,根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥。
本发明将待加密的大量数据拆分成较小的数据包,之后分发给各数据处理计算机,各数据处理计算机生成随机序列号,主密钥计算机生成随机对称密钥,并以该密钥作为主密钥,通过分组算法对随机序列号生成完全不同的分组子密钥,数据处理计算机各自采用完全不同的子密钥进行加密解密操作。本发明实施过程安全性较高,即使其中一个子密钥被暴露,也不影响其他加密数据包。待所有加密数据包准备就绪,随机对称密钥也被非对称加密,该过程与数字信封技术中相同。
本发明采用分包加解密策略,将大数据分解,进行分布式计算处理。采用密钥体系与计算资源相分离,数据处理计算机仅提供算力,从原理上并不涉及对外密钥交换等操作,提升了***的安全性。数据处理计算机在可靠性上低于主密钥计算机,采用密码分组算法,将彼此加密密钥相互隔离,将风险缩小到最小范围。
本发明具有以下优点:在大规模数据或大并发访问加解密操作中,可以大幅提升处理效率;***成本较多台硬件加密机明显降低;安全性有保障,可将风险范围明显缩小;***易于维护。
本发明实施例中提供了一种分布式数据加密***中的主密钥计算机,上述分布式数据加密***还包括多个数据处理计算机,图3为本发明实施例中提供的一种分布式数据加密***中的主密钥计算机示意图,如图3所示,主密钥计算机可以包括:
生成密钥模块301:用于为待加密明文随机生成一对称密钥;
接收包序列号模块302:用于接收各数据处理计算机提供的包序列号;包序列号由各数据处理计算机为由待加密明文拆分出的数据包随机生成;
提供包密钥模块303:用于根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥,以供各数据处理计算机对数据包进行加密;
加密密钥模块304:用于对对称密钥进行加密,得到加密密钥;
加密密钥序号模块305:用于对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;
提供加密密钥序号模块306:用于向各数据处理计算机提供加密密钥序号;
第一发送模块307:用于向接收方提供加密密钥和加密密钥序号。
实施例中,提供包密钥模块具体可用于:采用密码分组算法,根据对称密钥、各数据处理计算机的包序列号,为各数据处理计算机生成包密钥,向各数据处理计算机提供相应的包密钥。
实施例中,加密密钥模块具体可用于:采用非对称加密算法,获取接收方的公钥,对对称密钥进行加密,得到加密密钥。
实施例中,加密密钥序号模块具体可用于:采用非对称加密算法,获取接收方的公钥,对对称密钥对应的密钥序列号进行加密,得到加密密钥序号。
本发明实施例中提供了一种分布式数据加密***中的数据处理计算机,图4为本发明实施例中提供的一种分布式数据加密***中的数据处理计算机示意图,上述分布式数据加密***包括主密钥计算机和多个数据处理计算机,如图4所示,各数据处理计算机可以包括:
接收数据包模块401:用于接收由待加密明文拆分出的数据包;
生成包序列号模块402:用于为数据包随机生成一包序列号;
加密数据包模块403:用于用包密钥对数据包进行加密,得到加密数据包;包密钥由主密钥计算机根据为待加密明文随机生成的一对称密钥、各数据处理计算机的包序列号生成;
打包模块404:用于将加密数据包、包序列号、加密密钥序列号打包成组合数据包;加密密钥序列号由主密钥计算机对对称密钥对应的密钥序列号进行加密得到;
第二发送模块405:用于向接收方提供组合数据包。
本发明实施例中提供了一种分布式数据解密***中的主密钥计算机,图5为本发明实施例中提供的一种分布式数据解密***中的主密钥计算机示意图,上述分布式数据解密***还包括多个数据处理计算机,如图5所示,该主密钥计算机可以包括:
接收密钥模块501:用于接收加密密钥和加密密钥序号;
解密密钥模块502:用于对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;
处理包密钥模块503:用于根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥,将包密钥提供给各数据处理计算机,用于对数据包进行解密得到明文数据包。
实施例中,解密模块具体可用于:
用本机的私钥,对用本机的公钥加密的加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号。
实施例中,处理包密钥模块具体可用于:
根据各数据处理计算机提供的加密密钥序列号,确定加密密钥序列号对应的对称密钥;
根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥。
本发明实施例中提供了一种分布式数据解密***中的数据处理计算机,图6为本发明实施例中提供的一种分布式数据解密***中的数据处理计算机示意图,上述分布式数据解密***包括主密钥计算机和多个数据处理计算机,如图6所示,各数据处理计算机可以包括:
接收组合数据包模块601:用于接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;
提取模块602:用于从组合数据包中提取加密数据包、包序列号、加密密钥序列号;
第三发送模块603:用于将包序列号、加密密钥序列号提供至主密钥计算机;
解密数据包模块604:用于接收主密钥计算机根据包序列号、加密密钥序列号提供的包密钥,用包密钥对加密数据包进行解密,得到明文数据包。
本发明实施例还提供一种分布式数据加密方法,应用于上述的分布式数据加密***,用以提高数据传输的安全性,并简化处理流程,如图7所示,该方法包括:
步骤701、各数据处理计算机接收由待加密明文拆分出的数据包;
步骤702、主密钥计算机为待加密明文随机生成一对称密钥;
步骤703、各数据处理计算机为数据包随机生成一包序列号;
步骤704、主密钥计算机接收各数据处理计算机提供的包序列号;根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥;
步骤705、主密钥计算机对对称密钥进行加密,得到加密密钥;对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;向各数据处理计算机提供加密密钥序号;
步骤706、各数据处理计算机用包密钥对数据包进行加密,得到加密数据包;将加密数据包、包序列号、加密密钥序列号打包成组合数据包;
步骤707、主密钥计算机向接收方提供加密密钥和加密密钥序号;
步骤708、各数据处理计算机向接收方提供组合数据包。
为了进一步提高数据传输的安全性,上述步骤704可以包括如下步骤:
主密钥计算机采用密码分组算法,根据对称密钥、各数据处理计算机的包序列号,为各数据处理计算机生成包密钥,向各数据处理计算机提供相应的包密钥。
为了进一步提高数据传输的安全性,上述步骤705可以包括如下步骤:
主密钥计算机采用非对称加密算法,获取接收方的公钥,对对称密钥进行加密,得到加密密钥。
为了进一步提高数据传输的安全性,上述步骤705可以包括如下步骤:
主密钥计算机采用非对称加密算法,获取接收方的公钥,对对称密钥对应的密钥序列号进行加密,得到加密密钥序号。
本发明实施例还提供一种分布式数据解密方法,应用于上述的分布式数据加密***,用以提升大数据接收的安全性与高效性,如图8所示,该方法包括:
步骤801、主密钥计算机接收加密密钥和加密密钥序号;对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;
步骤802、各数据处理计算机接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;从组合数据包中提取加密数据包、包序列号、加密密钥序列号;将包序列号、加密密钥序列号提供至主密钥计算机;
步骤803、主密钥计算机根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥;
步骤804、各数据处理计算机用包密钥对加密数据包进行解密,得到明文数据包。
为了进一步提高数据传输的安全性,上述步骤801可以包括如下步骤:
主密钥计算机用本机的私钥,对用本机的公钥加密的加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号。
为了进一步提高数据传输的安全性,上述步骤801可以包括如下步骤:
主密钥计算机根据各数据处理计算机提供的加密密钥序列号,确定加密密钥序列号对应的对称密钥;
根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥。
图9为本发明实施例中一种分布式数据加密方法的一具体实例的流程示意图,如图9所示,该流程包括:
1.大数据拆分。将待加密明文拆分成N个相对较小的数据包PacData,分配到N个数据处理计算机当中。
2.主密钥计算机生成一个对称随机密钥SM4Key,同时生成密钥序列号SM4KeyN。
3.各数据处理计算机为自己的数据包生成一个随机的包序列号PacNo。
4.各数据处理计算机将PacNo发送至主密钥计算机,主密钥计算机根据SM4Key与每个PacNo进行密码分组算法,生成不同的PacKey返回给各数据处理计算机。
5.主密钥计算机将SM4Key使用接收方的公钥进行非对称加密,得到密文SM4KeySec。
6.各数据处理计算机使用得到的PacKey对自己的数据包进行加密,得到加密后的数据包PacDataSec。
7.各数据处理计算机将PacDataSec、PacNo、SM4KeyNo打包,生成PackComp。
8.加密过程完成,加密结果为SM4KeySec,SM4KeyNo,以及PackComp1——PackCompN。该内容全部经过加密,可安全地通过公网传输到接收方。
图10为本发明实施例中一种分布式数据解密方法的一具体实例的流程示意图,如图10所示,该流程包括:
1.SM4KeySec和SM4KeyNo被传输至接收方主密钥计算机,之后使用私钥对SM4KeySec进行解密,得到随机对称密钥SM4Key,它对应的序列号为SM4KeyN。
2.加密数据包PackComp1——PackCompN被分配到N个不同的处理计算机。(在实际使用过程中,两方的数据处理计算机也可以不同,这样有可能会出现一机处理多包的情况)
3.数据处理计算机从加密数据包PackComp中得到PacDataSec,PacNo,SM4KeyNo三项内容。
4.数据处理计算机将PacNo、SM4KeyNo发送至主密钥计算机,主密钥计算机根据序列号SM4KeyNo确定对应的SM4Key。然后使用SM4Key和PacNo根据分组算法计算出该数据包的对应分组密钥PacKey。
5.主密钥计算机将PacKey通过ZMK加密,SSH方式传输,返回给对应的数据处理计算机。(ZMK为***内为保证安全传输信息的加密密钥,SSH为安全外壳协议,该步骤的目标是将PacKey安全的传送至数据处理计算机)
6.数据处理计算机使用PacKey对PacDataSec进行解密,重新得到明文。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述分布式数据加密\解密方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述分布式数据加密\解密方法的计算机程序。
本发明实施例中,通过分布式的方式实现数据加解密,可以提升加解密过程中的数据处理能力,满足高并发或大数据量处理要求;通过一台主密钥计算机提供密钥分发功能,不触及具体数据包,各数据处理计算机提供算力来进行数据包的加解密,各数据处理计算机无法访问主密钥计算机为待加密明文随机生成的对称密钥,提供密钥的计算机与提供算力的计算机相分离,即使有一台数据处理计算机被黑客攻破,也只有当前正在处理的数据包存在被破解风险,其余数据包仍然安全,从而使整个加解密***不但拥有处理大数据的高性能,同时也有着很高的安全性,也简化了处理流程。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (25)

1.一种分布式数据加密***,其特征在于,包括:
主密钥计算机和多个数据处理计算机;其中:
主密钥计算机,用于:为待加密明文随机生成一对称密钥;接收各数据处理计算机提供的包序列号;根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥;对对称密钥进行加密,得到加密密钥;对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;向各数据处理计算机提供加密密钥序号;向接收方提供加密密钥和加密密钥序号;
各数据处理计算机,用于:接收由待加密明文拆分出的数据包;为数据包随机生成一包序列号;用包密钥对数据包进行加密,得到加密数据包;将加密数据包、包序列号、加密密钥序列号打包成组合数据包;向接收方提供组合数据包。
2.如权利要求1所述的***,其特征在于,主密钥计算机具体用于:
采用密码分组算法,根据对称密钥、各数据处理计算机的包序列号,为各数据处理计算机生成包密钥,向各数据处理计算机提供相应的包密钥。
3.如权利要求1所述的***,其特征在于,主密钥计算机具体用于:
采用非对称加密算法,获取接收方的公钥,对对称密钥进行加密,得到加密密钥。
4.如权利要求1所述的***,其特征在于,主密钥计算机具体用于:
采用非对称加密算法,获取接收方的公钥,对对称密钥对应的密钥序列号进行加密,得到加密密钥序号。
5.一种分布式数据解密***,其特征在于,包括:
主密钥计算机和多个数据处理计算机;其中:
主密钥计算机,用于:接收加密密钥和加密密钥序号;对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥;
各数据处理计算机,用于:接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;从组合数据包中提取加密数据包、包序列号、加密密钥序列号;将包序列号、加密密钥序列号提供至主密钥计算机;用包密钥对加密数据包进行解密,得到明文数据包。
6.如权利要求5所述的***,其特征在于,主密钥计算机具体用于:
用本机的私钥,对用本机的公钥加密的加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号。
7.如权利要求5所述的***,其特征在于,主密钥计算机具体用于:
根据各数据处理计算机提供的加密密钥序列号,确定加密密钥序列号对应的对称密钥;
根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥。
8.一种分布式数据加密***中的主密钥计算机,其特征在于,所述分布式数据加密***还包括多个数据处理计算机,所述主密钥计算机包括:
生成密钥模块:用于为待加密明文随机生成一对称密钥;
接收包序列号模块:用于接收各数据处理计算机提供的包序列号;包序列号由各数据处理计算机为由待加密明文拆分出的数据包随机生成;
提供包密钥模块:用于根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥,以供各数据处理计算机对数据包进行加密;
加密密钥模块:用于对对称密钥进行加密,得到加密密钥;
加密密钥序号模块:用于对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;
提供加密密钥序号模块:用于向各数据处理计算机提供加密密钥序号;
第一发送模块:用于向接收方提供加密密钥和加密密钥序号。
9.如权利要求8所述的主密钥计算机,其特征在于,提供包密钥模块具体用于:
采用密码分组算法,根据对称密钥、各数据处理计算机的包序列号,为各数据处理计算机生成包密钥,向各数据处理计算机提供相应的包密钥。
10.如权利要求8所述的主密钥计算机,其特征在于,加密密钥模块具体用于:
采用非对称加密算法,获取接收方的公钥,对对称密钥进行加密,得到加密密钥。
11.如权利要求8所述的主密钥计算机,其特征在于,加密密钥序号模块具体用于:
采用非对称加密算法,获取接收方的公钥,对对称密钥对应的密钥序列号进行加密,得到加密密钥序号。
12.一种分布式数据加密***中的数据处理计算机,其特征在于,所述分布式数据加密***包括主密钥计算机和多个数据处理计算机,各数据处理计算机包括:
接收数据包模块:用于接收由待加密明文拆分出的数据包;
生成包序列号模块:用于为数据包随机生成一包序列号;
加密数据包模块:用于用包密钥对数据包进行加密,得到加密数据包;包密钥由主密钥计算机根据为待加密明文随机生成的一对称密钥、各数据处理计算机的包序列号生成;
打包模块:用于将加密数据包、包序列号、加密密钥序列号打包成组合数据包;加密密钥序列号由主密钥计算机对对称密钥对应的密钥序列号进行加密得到;
第二发送模块:用于向接收方提供组合数据包。
13.一种分布式数据解密***中的主密钥计算机,其特征在于,所述分布式数据解密***还包括多个数据处理计算机,所述主密钥计算机包括:
接收密钥模块:用于接收加密密钥和加密密钥序号;
解密密钥模块:用于对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;
处理包密钥模块:用于根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥,将包密钥提供给各数据处理计算机,用于对数据包进行解密得到明文数据包。
14.如权利要求13所述的主密钥计算机,其特征在于,解密模块具体用于:
用本机的私钥,对用本机的公钥加密的加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号。
15.如权利要求13所述的主密钥计算机,其特征在于,处理包密钥模块具体用于:
根据各数据处理计算机提供的加密密钥序列号,确定加密密钥序列号对应的对称密钥;
根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥。
16.一种分布式数据解密***中的数据处理计算机,其特征在于,所述分布式数据解密***包括主密钥计算机和多个数据处理计算机,各数据处理计算机包括:
接收组合数据包模块:用于接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;
提取模块:用于从组合数据包中提取加密数据包、包序列号、加密密钥序列号;
第三发送模块:用于将包序列号、加密密钥序列号提供至主密钥计算机;
解密数据包模块:用于接收主密钥计算机根据包序列号、加密密钥序列号提供的包密钥,用包密钥对加密数据包进行解密,得到明文数据包。
17.一种分布式数据加密方法,其特征在于,包括:
各数据处理计算机接收由待加密明文拆分出的数据包;
主密钥计算机为待加密明文随机生成一对称密钥;
各数据处理计算机为数据包随机生成一包序列号;
主密钥计算机接收各数据处理计算机提供的包序列号;根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥;
主密钥计算机对对称密钥进行加密,得到加密密钥;对对称密钥对应的密钥序列号进行加密,得到加密密钥序号;向各数据处理计算机提供加密密钥序号;
各数据处理计算机用包密钥对数据包进行加密,得到加密数据包;将加密数据包、包序列号、加密密钥序列号打包成组合数据包;
主密钥计算机向接收方提供加密密钥和加密密钥序号;
各数据处理计算机向接收方提供组合数据包。
18.如权利要求17所述的方法,其特征在于,主密钥计算机根据对称密钥、各数据处理计算机的包序列号,向各数据处理计算机提供包密钥,包括,
主密钥计算机采用密码分组算法,根据对称密钥、各数据处理计算机的包序列号,为各数据处理计算机生成包密钥,向各数据处理计算机提供相应的包密钥。
19.如权利要求17所述的方法,其特征在于,主密钥计算机对对称密钥进行加密,得到加密密钥,包括,
主密钥计算机采用非对称加密算法,获取接收方的公钥,对对称密钥进行加密,得到加密密钥。
20.如权利要求17所述的方法,其特征在于,主密钥计算机对对称密钥对应的密钥序列号进行加密,得到加密密钥序号,包括,
主密钥计算机采用非对称加密算法,获取接收方的公钥,对对称密钥对应的密钥序列号进行加密,得到加密密钥序号。
21.一种分布式数据解密方法,其特征在于,包括:
主密钥计算机接收加密密钥和加密密钥序号;对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号;
各数据处理计算机接收由加密数据包、包序列号、加密密钥序列号打包而成的组合数据包;从组合数据包中提取加密数据包、包序列号、加密密钥序列号;将包序列号、加密密钥序列号提供至主密钥计算机;
主密钥计算机根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥;
各数据处理计算机用包密钥对加密数据包进行解密,得到明文数据包。
22.如权利要求21所述的方法,其特征在于,主密钥计算机对加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号,包括,
主密钥计算机用本机的私钥,对用本机的公钥加密的加密密钥和加密密钥序号进行解密,得到对称密钥、对称密钥对应的密钥序列号。
23.如权利要求21所述的方法,其特征在于,主密钥计算机根据各数据处理计算机提供的包序列号、加密密钥序列号确定各数据处理计算机的包密钥,包括,
主密钥计算机根据各数据处理计算机提供的加密密钥序列号,确定加密密钥序列号对应的对称密钥;
根据加密密钥序列号对应的对称密钥、各数据处理计算机提供的包序列号,确定各数据处理计算机的包密钥。
24.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求17至23任一所述方法。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求17至23任一所述方法的计算机程序。
CN202110914330.1A 2021-08-10 2021-08-10 分布式数据加解密***及加解密方法 Pending CN113645235A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110914330.1A CN113645235A (zh) 2021-08-10 2021-08-10 分布式数据加解密***及加解密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110914330.1A CN113645235A (zh) 2021-08-10 2021-08-10 分布式数据加解密***及加解密方法

Publications (1)

Publication Number Publication Date
CN113645235A true CN113645235A (zh) 2021-11-12

Family

ID=78420533

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110914330.1A Pending CN113645235A (zh) 2021-08-10 2021-08-10 分布式数据加解密***及加解密方法

Country Status (1)

Country Link
CN (1) CN113645235A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114584301A (zh) * 2022-03-04 2022-06-03 中国银行股份有限公司 数据传输方法及装置
CN115021906A (zh) * 2022-05-27 2022-09-06 ***量子科技有限公司 数字信封实现数据传输的方法、终端及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111143870A (zh) * 2019-12-30 2020-05-12 兴唐通信科技有限公司 一种分布式加密存储装置、***及加解密方法
CN111654511A (zh) * 2020-07-13 2020-09-11 中国银行股份有限公司 一种链式数据加密方法、链式数据解密方法及相应的***
CN112084525A (zh) * 2020-10-23 2020-12-15 北京东方通科技股份有限公司 一种分布式密钥加密方法、装置、电子设备和存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111143870A (zh) * 2019-12-30 2020-05-12 兴唐通信科技有限公司 一种分布式加密存储装置、***及加解密方法
CN111654511A (zh) * 2020-07-13 2020-09-11 中国银行股份有限公司 一种链式数据加密方法、链式数据解密方法及相应的***
CN112084525A (zh) * 2020-10-23 2020-12-15 北京东方通科技股份有限公司 一种分布式密钥加密方法、装置、电子设备和存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114584301A (zh) * 2022-03-04 2022-06-03 中国银行股份有限公司 数据传输方法及装置
CN114584301B (zh) * 2022-03-04 2024-05-28 中国银行股份有限公司 数据传输方法及装置
CN115021906A (zh) * 2022-05-27 2022-09-06 ***量子科技有限公司 数字信封实现数据传输的方法、终端及装置

Similar Documents

Publication Publication Date Title
US10785019B2 (en) Data transmission method and apparatus
CN109800584B (zh) 一种基于Intel SGX机制的身份或属性加密计算方法和***
US11128447B2 (en) Cryptographic operation method, working key creation method, cryptographic service platform, and cryptographic service device
CN109800588B (zh) 条码动态加密方法及装置、条码动态解密方法及装置
CN110889696A (zh) 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质
US12010216B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
EP3664360A1 (en) Certificateless public key encryption using pairings
US11528127B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
CN113645235A (zh) 分布式数据加解密***及加解密方法
GB2603495A (en) Generating shared keys
CN112948867A (zh) 加密报文的生成与解密方法、装置及电子设备
US11563566B2 (en) Key splitting
CN116567624A (zh) 一种5g馈线终端通信安全防护方法、装置及存储介质
CN112861164B (zh) 一种加密方法、解密方法、数据处理方法、终端及加密机
EP3010173B1 (en) Key storage device, key storage method, and program therefor
US20230153445A1 (en) Enhanced security systems and methods using a hybrid security solution
CN115834038A (zh) 基于国家商用密码算法的加密方法及装置
CN112149166B (zh) 非常规密码保护方法及银行智能机器
CN107483387A (zh) 一种安全控制方法及装置
CN116599772B (zh) 一种数据处理方法及相关设备
US11743039B2 (en) System and method for data encryption using key derivation
CN114124369B (zh) 一种多组量子密钥协同方法及***
CN117749360A (zh) 协同密钥管理方法、***、存储介质及电子设备
CN117675205A (zh) 一种数据安全传输方法
CN118101185A (zh) 一种量子密钥加密方法、***、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20211112