CN116611098A - 文件加密移动存储方法、***及存储介质、电子设备 - Google Patents
文件加密移动存储方法、***及存储介质、电子设备 Download PDFInfo
- Publication number
- CN116611098A CN116611098A CN202310889704.8A CN202310889704A CN116611098A CN 116611098 A CN116611098 A CN 116611098A CN 202310889704 A CN202310889704 A CN 202310889704A CN 116611098 A CN116611098 A CN 116611098A
- Authority
- CN
- China
- Prior art keywords
- key
- mobile storage
- authentication
- storage device
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000007246 mechanism Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 4
- 230000008520 organization Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种文件加密移动存储方法、***及存储介质、电子设备,方法包括:通过移动存储装置获取用户的第一身份信息,并根据第一身份信息对用户进行第一次认证;第一次认证成功后,从移动存储装置读取数字证书和第一密钥,并利用数字证书和第一密钥对用户进行第二次认证;第二次认证成功后,通过预设业务***接受填报的业务信息,并根据业务信息生成目标文件;对目标文件进行加密,并存储至移动存储装置。该方法大大提高了互联网线上交易以及交易时产生的目标文件安全性。
Description
技术领域
本发明涉及信息与网络安全领域,尤其涉及一种文件加密移动存储方法、***及存储介质、电子设备。
背景技术
随着电子政务、网上交易、招投标、电力交易等互联网线上交易越来越频繁,***交易中产生商业数据、用户信息等重要数据安全问题日益突出。
相关技术,普遍采用PKI(公钥基础设施,Public Key Infrastructure)技术和数字证书认证技术,客户端***USBKEY输入PIN码登录互联网线上交易***,调用第三方CA(Certification Authority,认证机构)进行用户身份认证,该方式口令容易被破解。同时,互联网线上交易***填报的重要文件,基本保存在公网下的电脑中,阶段性按照单位要求进行备份,备份期间很难保障重要信息不被泄露。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的一个目的在于提出一种文件加密移动存储方法,大大提高了互联网线上交易以及交易时产生的目标文件安全性。
本发明的第二个目的在于提出一种计算机可读存储介质。
本发明的第三个目的在于提出一种电子设备。
本发明的第四个目的在于提出一种移动存储***。
为达到上述目的,本发明第一方面实施例提出一种文件加密移动存储方法,所述方法包括:通过移动存储装置获取用户的第一身份信息,并根据所述第一身份信息对所述用户进行第一次认证;第一次认证成功后,从所述移动存储装置读取数字证书和第一密钥,并利用所述数字证书和所述第一密钥对所述用户进行第二次认证;第二次认证成功后,通过预设业务***接受填报的业务信息,并根据所述业务信息生成目标文件;对所述目标文件进行加密,并存储至所述移动存储装置。
根据本发明实施例的文件加密移动存储方法,通过移动存储装置对用户进行第一次认证,在第一次认证成功后,放开该用户对应数字证书和第一密钥的使用权限,再基于数字证书和第一密钥对用户进行第二次认证。在第二次认证成功后,对用户通过预设业务***填报业务信息生成的目标文件进行加密存储至移动存储装置,大大提高了互联网线上交易以及交易时产生的目标文件安全性。
另外,根据本发明上述实施例提出的文件加密移动存储方法还可以具有如下附加的技术特征:
根据本发明的一个实施例,所述第一身份信息包括指纹特征图像,所述根据所述第一身份信息对所述用户进行第一次认证,包括:基于预设指纹对比算法,将所述指纹特征图像与预先注册的指纹特征模板进行比对;若对比成功,则判定第一次认证成功,否则反馈第一认证失败信息。
根据本发明的一个实施例,利用所述数字证书和所述第一密钥对所述用户进行第二次认证,包括:调用所述移动存储装置中的安全芯片生成第一随机数;利用所述第一密钥中的私钥对所述第一随机数进行签名,生成签名值;将所述签名值、所述第一随机数和所述数字证书发送至第三方CA机构,以使所述第三方CA机构利用所述第一密钥中的公钥对所述签名值和所述数字证书进行验签,生成第二随机数,并所述第一随机数与所述第二随机数进行对比;若对比通过,则判定第二次认证成功,否则反馈第二认证失败信息。
根据本发明的一个实施例,所述预设业务***至少包括电子政务、招投标或电力交易中的一者,所述目标文件包括商业数据和用户信息,所述方法还包括:利用电子签章对所述目标文件进行电子签名,其中,所述电子签章至少包括***授权、获取短信码、基于坐标和关键字PDF签章、基于坐标和关键字OFD签章、骑缝章、文件验签接口实现企业公章、合同章、财务章中的一者。
根据本发明的一个实施例,对所述目标文件进行加密,并存储至所述移动存储装置,包括:将所述目标文件拖入到所述移动存储装置中的文件存储区;调用所述移动存储装置中安全芯片生成的第二密钥对所述目标文件进行加密,以使所述目标文件以密文的形式存储在所述文件存储区。
根据本发明的一个实施例,所述方法还包括:通过所述移动存储装置获取所述用户的第一身份信息,并根据所述第一身份信息对所述用户进行第一次认证;第一次认证成功后,从所述移动存储装置读取所述数字证书和所述第一密钥,并利用所述数字证书和所述第一密钥对所述用户进行第二次认证;第二次认证成功后,将加密后的目标文件拖出所述移动存储装置中的文件存储区;调用所述移动存储装置中安全芯片生成的所述第二密钥对所述加密后的目标文件进行解密,以使所述目标文件以明文的形式显示。
根据本发明的一个实施例,所述方法还包括:使用所述第一密钥中的私钥对所述第二密钥进行加密,得到密文;将所述密文和所述数字证书通过服务端安全加密发给第三方CA机构;调用所述第三方CA机构根据所述第一密钥中的公钥对所述密文进行解密,得到所述第二密钥;利用所述第三方CA机构将所述第二密钥加密保存到密钥数据库。
根据本发明的一个实施例,所述方法还包括:调用所述第三方CA机构根据密钥标识定位到所述密钥数据库存储的第二密钥,其中,所述密钥标识由所述第一密钥中的私钥确定;利用所述第一密钥中的公钥加密所述第二密钥,并通过服务端安全加密通道接收所述第二密钥中密文的Base64编码;利用所述安全芯片和所述第一密钥中的私钥获取所述第二密钥,将所述第二密钥恢复到密钥备份区。
为达到上述目的,本发明第二方面实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如本发明第一方面实施例提出的文件加密移动存储方法。
为达到上述目的,本发明第三方面实施例提出了一种电子设备,包括存储器、处理器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如本发明第一方面实施例提出的文件加密移动存储方法。
为达到上述目的,本发明第四方面实施例提出了一种移动存储***,包括:移动存储装置和如本发明第三方面实施例提出的电子设备。
附图说明
图1是本发明一个实施例的文件加密移动存储方法的流程图;
图2是本发明一个实施例的对用户进行第一次认证的流程图;
图3是本发明一个实施例的对用户进行第二次认证的流程图;
图4是本发明一个实施例的对目标文件进行加密存储的流程图;
图5是本发明一个实施例的预览或获取目标文件的流程图;
图6是本发明一个实施例的目标文件加密和解密的流程图;
图7是本发明一个实施例的对第二密钥进行备份的流程图;
图8是本发明一个实施例的对备份的第二密钥进行恢复的流程图;
图9是本发明一个实施例的电子设备的结构框图;
图10是本发明一个实施例的移动存储***的示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面结合说明书附图1-附图10以及具体的实施方式对本发明实施例的文件加密移动存储方法、***及存储介质、电子设备进行详细说明。
图1是本发明一个实施例的文件加密移动存储方法的流程图。如图1所示,文件加密移动存储方法可包括:
S101,通过移动存储装置获取用户的第一身份信息,并根据第一身份信息对用户进行第一次认证;
S102,第一次认证成功后,从移动存储装置读取数字证书和第一密钥,并利用数字证书和第一密钥对用户进行第二次认证;
S103,第二次认证成功后,通过预设业务***接受填报的业务信息,并根据业务信息生成目标文件;
S104,对目标文件进行加密,并存储至移动存储装置。
为提高互联网线上交易中生成的重要文件的安全性,本发明实施例在进行互联网线上交易时,将移动存储装置与进行互联网线上交易的设备端,如电脑,连接,通过移动存储装置获取用户的第一身份信息,根据第一身份信息对用户进行第一次认证。在第一次认证成功后,开放与该用户对应的数字证书和第一密钥的使用权限。设备端的业务***从移动存储装置读取数字证书和第一密钥,并基于数字证书和第一密钥对用户进行第二次认证,以确定是否允许该用户登录业务***。在第二次认证成功后,设备端的业务***允许该用户登录业务***,通过预设业务***接受用户填报的业务信息,并根据用户填报的业务信息生成目标文件。为提高生成的目标文件的安全性,防止目标文件泄露,对目标文件进行加密,并将加密的目标文件存储至移动存储装置。
本发明实施例的文件加密移动存储方法,通过移动存储装置对用户进行第一次认证,在第一次认证成功后,放开该用户对应数字证书和第一密钥的使用权限,再基于数字证书和第一密钥对用户进行第二次认证。在第二次认证成功后,对用户通过预设业务***填报业务信息生成的目标文件进行加密存储至移动存储装置,大大提高了互联网线上交易以及交易时产生的目标文件安全性。
在本发明的一个实施例中,预设业务***至少包括电子政务、招投标或电力交易中的一者,目标文件包括商业数据和用户信息,文件加密移动存储方法还可包括:
利用电子签章对目标文件进行电子签名,其中,电子签章至少包括***授权、获取短信码、基于坐标和关键字PDF签章、基于坐标和关键字OFD签章、骑缝章、文件验签接口实现企业公章、合同章、财务章中的一者。
具体地,第一次认证和第二次认证均成功后,用户通过电子政务***、招投标***、电力交易***或其他预设业务***填报的业务信息,生成包括商业数据和用户信息等数据或信息的目标文件。在生成目标文件后,可调用***授权、获取短信码、基于坐标和关键字PDF签章、基于坐标和关键字OFD签章、骑缝章、文件验签接口实现企业公章、合同章、财务章等电子签章对目标文件进行电子签名。利用电子签章对目标文件进行电子签名,可以保障本次商务活动的真实性和完整性以及签名人的不可否认性。
需要说明的是,利用电子签章对目标文件进行电子签名,可将电子签名操作转化为与纸质文件盖章操作相同的可视效果。
在本发明的实施例中,对用户进行的第一次认证可为生物信息认证,如对用户的指纹信息进行认证。
作为一个具体地实施例中,如图2所示,第一身份信息包括指纹特征图像,根据第一身份信息对用户进行第一次认证,可包括:
S201,基于预设指纹对比算法,将指纹特征图像与预先注册的指纹特征模板进行比对;
S202,若对比成功,则判定第一次认证成功,否则反馈第一认证失败信息。
可实施的,可通过移动存储装置的传感器模块多次采集用户的指纹特征图像,获取用户的指纹特征图像。基于预设指纹对比算法,将获取到的指纹特征图像与预先注册的指纹特征模板进行比对。若对比成功,则判定第一次认证成功,向设备端开放与指纹特征模板对应的数字证书和密钥文件的使用权限。若对比失败,则判定第一认证失败。当第一认证失败时,反馈第一认证失败信息,如指纹验证失败。
在本发明的一个实施例中,如图3所示,利用数字证书和第一密钥对用户进行第二次认证,包括:
S301,调用移动存储装置中的安全芯片生成第一随机数;
S302,利用第一密钥中的私钥对第一随机数进行签名,生成签名值;
S303,将签名值、第一随机数和数字证书发送至第三方CA机构,以使第三方CA机构利用第一密钥中的公钥对签名值进行验签,生成第二随机数,并将第一随机数与第二随机数进行对比;
S304,若对比通过,则判定第二次认证成功,否则反馈第二认证失败信息。
在本发明的实施例中,在第一次认证后,即在移动存储装置向设备端开放与指纹特征模板对应的数字证书和密钥文件的使用权限后,设备端基于移动存储装置开放的数字证书和第一密钥对用户进行第二次认证。
具体地,登录业务***,对用户进行第二次认证时,设备端通过业务***调用移动存储装置中的安全芯片生成第一随机数,并调用移动存储装置中第一密钥的私钥对第一随机数进行签名,生成签名值。设备端通过业务***将签名值、第一随机数和数字证书发送至第三方CA机构,以使第三方CA机构根据第一密钥中的公钥对签名值和数字证书进行验签,验签通过后则生成第二随机数。第三方CA机构的统一密码服务平台将第一随机数与第二随机数进行对比。若对比通过,则判定第二次认证成功,允许该用户登录业务***。若对比未通过,则判定第二次认证失败,不允许该用户登录业务***。在第二次认证失败时,反馈第二认证失败信息,如登录失败。在反馈登录失败时还可进一步提示登陆错误的原因,以提醒用户。
在本发明的一个实施例中,如图4和图6所示,对目标文件进行加密,并存储至移动存储装置,包括:
S401,将目标文件拖入到移动存储装置中的文件存储区;
S402,调用移动存储装置中安全芯片生成的第二密钥对目标文件进行加密,以使目标文件以密文的形式存储在文件存储区。
具体地,对目标文件进行加密存储时,将生成的目标文件拖入到移动存储装置中的文件存储区,调用移动存储装置中安全芯片生成的第二密钥(SM1)对目标文件进行加密,以使目标文件以密文的形式存储在文件存储区。
在本发明的实施例中,第二密钥可为对称密钥。
在本发明的一个实施例中,如图5和图6所示,文件加密移动存储方法还可包括:
S501,通过移动存储装置获取用户的第一身份信息,并根据第一身份信息对用户进行第一次认证;
S502,第一次认证成功后,从移动存储装置读取数字证书和第一密钥,并利用数字证书和第一密钥对用户进行第二次认证;
S503,第二次认证成功后,将加密后的目标文件拖出移动存储装置中的文件存储区;
S504,调用移动存储装置中安全芯片生成的第二密钥对加密后的目标文件进行解密,以使目标文件以明文的形式显示。
在本发明的实施例中,在预览或获取目标文件时,将目标文件从移动存储装置中的文件存储区拖出并进行解密,以预览或获取目标文件。
具体地,将目标文件从移动存储装置中的文件存储区拖出前,需对用户进行第一次认证和第二次认证,其中,第一次认证和第二次认证的认证过程如上所述,在此不再赘述。在第一次认证和第二次认证均成功后,将加密后的目标文件从移动存储装置中的文件存储区拖出,同时调用移动存储装置中安全芯片生成的第二密钥对加密后的目标文件进行解密,以使目标拖出文件存储区,以明文形式显示,或进行在线预览。
在本发明的实施例中,移动存储装置在第一次认证失败,如指纹认证超过三次时,在预设时间内,如一个小时内无法再次进行第一次认证。多次第一次认证,如指纹认证无果后,恢复出厂设置重新设置第一身份信息,如指纹特征图像的采集。
在本发明的实施例中,移动存储装置中第一密钥由移动存储装置根据初始密钥向第三方CA机构或安全芯片申请得到。其中,初始密钥在移动存储装置出厂时由第三方CA机构通过业务***向移动存储装置灌装得到。
具体地,移动存储装置在根据初始密钥向第三方CA机构申请得到第一密钥时,移动存储装置通过业务***调用的密钥生成接口向第三方CA机构发送数字签名、序列号和数字证书(其中,数字签名由移动存储装置申请得到数字证书后,利用数字证书对移动存储装置的序列号进行签名得到)。第三方CA机构利用初始密钥中的公钥对数字签名和数字证书进行验证,验证通过后,将序列号分散成第一密钥,并利用数字证书对第一密钥进行加密。加密后的第一密钥通过业务***返回给移动存储装置。移动存储装置对加密后的第一密钥进行解密,并保存解密后的第一密钥。
具体地,移动存储装置在根据初始密钥向安全芯片申请得到第一密钥时,移动存储装置通过业务***调用的密钥生成接口向安全芯片发送数字签名、序列号和数字证书。安全芯片利用初始密钥中的公钥对数字签名和数字证书进行验证,验证通过后,将序列号分散成第一密钥,并利用数字证书对第一密钥进行加密。加密后的第一密钥通过业务***返回给移动存储装置。移动存储装置对加密后的第一密钥进行解密,并保存解密后的第一密钥。
在本发明的实施例中,移动存储装置中的数字证书(SM2、SM3)由移动存储装置向第三方CA机构申请得到。其中,移动存储装置在向第三方CA机构申请数字证书时,利用初始密钥中的私钥签名生成的数字证书申请请求P10文件。P10文件通过业务***调用的证书申请接口发送到第三方CA机构,第三方CA机构利用初始密钥中的公钥对P10文件中的私钥进行验证,以验证业务***接入用户的身份。在验证通过后签发数字证书,并通过业务***将签发的数字证书发送给移动存储装置。
在本发明的实施例中,第一密钥起到保护移动存储装置中安全芯片生成的第二密钥的作用。
在本发明的实施例中,第一密钥可按时间定期进行密钥的更新。
在本发明的实施例中,移动存储装置中的数字证书和第一密钥,以及移动存储装置中安全芯片产生的第二密钥,存储在移动存储装置中密钥存储区。其中,第二密钥以密文的形式存储在移动存储装置中密钥存储区,其中,密文由第一密钥对第二密钥加密得到。
在本发明的一个实施例中,如图7所示,文件加密移动存储方法还可包括:
S601,使用第一密钥中的私钥对第二密钥进行加密,得到密文;
S602,将密文和数字证书通过服务端安全加密发给第三方CA机构;
S603,调用第三方CA机构根据第一密钥中的公钥对密文进行解密,得到第二密钥;
S604,利用第三方CA机构将第二密钥加密保存到密钥数据库。
在本发明的实施例,为防止第二密钥丢失,对第二密钥进行备份。
具体地,对第二密钥进行备份前,需要对用户进行第一次认证和第二次认证,在第一次认证和第二次认证均成功后,设备端通过业务***调用移动存储装置中第一密钥的私钥对第二密钥进行加密,得到第二密钥的加密密文。业务***将密文和数字证书通过服务端安全加密发给第三方CA机构,以调用第三方CA机构根据第一密钥中的公钥对密文解密,得到第二密钥。业务***利用第三方CA机构将第二密钥加密保存到密钥数据库,完成对第二密钥的备份。
在本发明的一个实施例中,如图8所示,文件加密移动存储方法还可包括:
S701,调用第三方CA机构根据密钥标识定位到密钥数据库存储的第二密钥,其中,密钥标识由第一密钥中的私钥确定;
S702,利用第一密钥中的公钥加密第二密钥,并通过服务端安全加密通道接收第二密钥中密文的Base64编码;
S703,利用安全芯片和第一密钥中的私钥获取第二密钥,将第二密钥恢复到密钥备份区。
在本发明的实施例,在第二密钥丢失时,对备份的第二密钥进行恢复。
具体地,对备份的第二密钥进行恢复前,需要对用户进行第一次认证和第二次认证。在第一次认证和第二次认证均成功后,设备端通过业务***调用第三方CA机构根据第一密钥中的私钥确定密钥标识,并基于密钥标识准确定位到密钥数据库存储的第二密钥。设备端通过业务***调用第三方CA机构,使第三方CA机构利用第一密钥的公钥对第二密钥进行加密,并通过服务端安全加密通道接收第二密钥中密文的Base64编码,设备端通过业务***获取到第二密钥中密文的Base64编码后,调用移动存储装置安全芯片和第一密钥的私钥获取第二密钥。设备端通过业务***获取到第二密钥后,将第二密钥恢复到移动存储装置的密钥备份区,以解密相关加密的目标文件。
本发明实施例的文件加密移动存储方法,结合生物识别技术和PKI技术于一体,使用指纹认证对第二密钥进行保护,此验证方式更便捷,实现***登陆用户身份识别;采用高性能安全芯片对目标文件对称加解密的方法,保证***填报的重要文件阶段性存储的安全性;对第二密钥(对称密钥)进行备份与恢复,解决第二密钥管理与分配难的问题。
本发明提供一种计算机可读存储介质。
在该实施例中,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,实现如上述的文件加密移动存储方法。
本发明提供一种电子设备。
在该实施例中,电子设备可包括存储器、处理器,存储器上存储有计算机程序,计算机程序被处理器执行时,实现如上述的文件加密移动存储方法。
图9是本发明一个实施例的电子设备的结构框图。
如图9所示,电子设备500包括:处理器501和存储器503。其中,处理器501和存储器503相连,如通过总线502相连。可选地,电子设备500还可以包括收发器504。需要说明的是,实际应用中收发器504不限于一个,该电子设备500的结构并不构成对本发明实施例的限定。
处理器501可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框、模块和电路。处理器501也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线502可包括一通路,在上述组件之间传送信息。总线502可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线502可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器503用于存储与本发明上述实施例的文件加密移动存储方法对应的计算机程序,该计算机程序由处理器501来控制执行。处理器501用于执行存储器503中存储的计算机程序,以实现前述方法实施例所示的内容。图9示出的电子设备500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
本发明提供一种移动存储***。
图10是本发明一个实施例的移动存储***的示意图。如图10所示,移动存储***1000可包括移动存储装置400和如上述的电子设备500。
本发明实施例的计算机可读存储介质、电子设备和移动存储***,利用如上文件加密移动存储方法,大大提高了互联网线上交易以及交易时产生的目标文件安全性。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (11)
1.一种文件加密移动存储方法,其特征在于,所述方法包括:
通过移动存储装置获取用户的第一身份信息,并根据所述第一身份信息对所述用户进行第一次认证;
第一次认证成功后,从所述移动存储装置读取数字证书和第一密钥,并利用所述数字证书和所述第一密钥对所述用户进行第二次认证;
第二次认证成功后,通过预设业务***接受填报的业务信息,并根据所述业务信息生成目标文件;
对所述目标文件进行加密,并存储至所述移动存储装置。
2.根据权利要求1所述的文件加密移动存储方法,其特征在于,所述第一身份信息包括指纹特征图像,所述根据所述第一身份信息对所述用户进行第一次认证,包括:
基于预设指纹对比算法,将所述指纹特征图像与预先注册的指纹特征模板进行比对;
若对比成功,则判定第一次认证成功,否则反馈第一认证失败信息。
3.根据权利要求1所述的文件加密移动存储方法,其特征在于,利用所述数字证书和所述第一密钥对所述用户进行第二次认证,包括:
调用所述移动存储装置中的安全芯片生成第一随机数;
利用所述第一密钥中的私钥对所述第一随机数进行签名,生成签名值;
将所述签名值、所述第一随机数和所述数字证书发送至第三方CA机构,以使所述第三方CA机构利用所述第一密钥中的公钥对所述签名值和所述数字证书进行验签,生成第二随机数,并将所述第一随机数与所述第二随机数进行对比;
若对比通过,则判定第二次认证成功,否则反馈第二认证失败信息。
4.根据权利要求1所述的文件加密移动存储方法,其特征在于,所述预设业务***至少包括电子政务、招投标或电力交易中的一者,所述目标文件包括商业数据和用户信息,所述方法还包括:
利用电子签章对所述目标文件进行电子签名,其中,所述电子签章至少包括***授权、获取短信码、基于坐标和关键字PDF签章、基于坐标和关键字OFD签章、骑缝章、文件验签接口实现企业公章、合同章、财务章中的一者。
5.根据权利要求1所述的文件加密移动存储方法,其特征在于,对所述目标文件进行加密,并存储至所述移动存储装置,包括:
将所述目标文件拖入到所述移动存储装置中的文件存储区;
调用所述移动存储装置中安全芯片生成的第二密钥对所述目标文件进行加密,以使所述目标文件以密文的形式存储在所述文件存储区。
6.根据权利要求5所述的文件加密移动存储方法,其特征在于,所述方法还包括:
通过所述移动存储装置获取所述用户的第一身份信息,并根据所述第一身份信息对所述用户进行第一次认证;
第一次认证成功后,从所述移动存储装置读取所述数字证书和所述第一密钥,并利用所述数字证书和所述第一密钥对所述用户进行第二次认证;
第二次认证成功后,将加密后的目标文件拖出所述移动存储装置中的文件存储区;
调用所述移动存储装置中安全芯片生成的所述第二密钥对所述加密后的目标文件进行解密,以使所述目标文件以明文的形式显示。
7.根据权利要求6所述的文件加密移动存储方法,其特征在于,所述方法还包括:
使用所述第一密钥中的私钥对所述第二密钥进行加密,得到密文;
将所述密文和所述数字证书通过服务端安全加密发给第三方CA机构;
调用所述第三方CA机构根据所述第一密钥中的公钥对所述密文进行解密,得到所述第二密钥;
利用所述第三方CA机构将所述第二密钥加密保存到密钥数据库。
8.根据权利要求7所述的文件加密移动存储方法,其特征在于,所述方法还包括:
调用所述第三方CA机构根据密钥标识定位到所述密钥数据库存储的第二密钥,其中,所述密钥标识由所述第一密钥中的私钥确定;
利用所述第一密钥中的公钥加密所述第二密钥,并通过服务端安全加密通道接收所述第二密钥中密文的Base64编码;
利用所述安全芯片和所述第一密钥中的私钥获取所述第二密钥,将所述第二密钥恢复到密钥备份区。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-8中任一项所述的文件加密移动存储方法。
10.一种电子设备,包括存储器、处理器,所述存储器上存储有计算机程序,其特征在于,所述计算机程序被所述处理器执行时,实现如权利要求1-8中任一项所述的文件加密移动存储方法。
11.一种移动存储***,其特征在于,包括:移动存储装置和如权利要求10所述的电子设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310889704.8A CN116611098B (zh) | 2023-07-19 | 2023-07-19 | 文件加密移动存储方法、***及存储介质、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310889704.8A CN116611098B (zh) | 2023-07-19 | 2023-07-19 | 文件加密移动存储方法、***及存储介质、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116611098A true CN116611098A (zh) | 2023-08-18 |
| CN116611098B CN116611098B (zh) | 2023-10-27 |
Family
ID=87685724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310889704.8A Active CN116611098B (zh) | 2023-07-19 | 2023-07-19 | 文件加密移动存储方法、***及存储介质、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116611098B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110246764A1 (en) * | 2010-04-05 | 2011-10-06 | Juan Gamez | User authentication system |
| CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密***及其实现方法 |
| CN104660412A (zh) * | 2014-10-22 | 2015-05-27 | 南京泽本信息技术有限公司 | 一种移动设备无密码安全认证方法及*** |
| CN110391900A (zh) * | 2019-07-04 | 2019-10-29 | 晋商博创(北京)科技有限公司 | 基于sm2算法的私钥处理方法、终端及密钥中心 |
| CN115086090A (zh) * | 2022-08-23 | 2022-09-20 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于UKey的网络登录认证方法及装置 |
| US20230224167A1 (en) * | 2021-06-15 | 2023-07-13 | Tencent cloud computing (Beijing) Co., Ltd | Access control method based on zero-trust security, device, and storage medium |
-
2023
- 2023-07-19 CN CN202310889704.8A patent/CN116611098B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110246764A1 (en) * | 2010-04-05 | 2011-10-06 | Juan Gamez | User authentication system |
| CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密***及其实现方法 |
| CN104660412A (zh) * | 2014-10-22 | 2015-05-27 | 南京泽本信息技术有限公司 | 一种移动设备无密码安全认证方法及*** |
| CN110391900A (zh) * | 2019-07-04 | 2019-10-29 | 晋商博创(北京)科技有限公司 | 基于sm2算法的私钥处理方法、终端及密钥中心 |
| US20230224167A1 (en) * | 2021-06-15 | 2023-07-13 | Tencent cloud computing (Beijing) Co., Ltd | Access control method based on zero-trust security, device, and storage medium |
| CN115086090A (zh) * | 2022-08-23 | 2022-09-20 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于UKey的网络登录认证方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| VINCENT LOZUPONE等: "Analyze encryption and public key infrastructure (PKI)", 《INTERNATIONAL JOURNAL OF INFORMATION MANAGEMENT》 * |
| 刘邦桂等: "电子政务中身份认证技术的研究与实现", 《软件工程》, vol. 24, no. 11 * |
| 赵永国等: "CA加解密技术在电子招投标中的应用研究", 《现代国企研究》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116611098B (zh) | 2023-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768664B (zh) | 密钥管理方法、装置、***、存储介质和计算机设备 | |
| CN109067801B (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| US20210367795A1 (en) | Identity-Linked Authentication Through A User Certificate System | |
| TWI454111B (zh) | 用於確保通訊之鑑別及完備性的技術 | |
| US9992026B2 (en) | Electronic biometric (dynamic) signature references enrollment method | |
| US9137017B2 (en) | Key recovery mechanism | |
| KR101863953B1 (ko) | 전자 서명 서비스 시스템 및 방법 | |
| US8433914B1 (en) | Multi-channel transaction signing | |
| US7526649B2 (en) | Session key exchange | |
| US20110289318A1 (en) | System and Method for Online Digital Signature and Verification | |
| CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| CN105635187B (zh) | 带印模的电子文件的生成方法与装置、认证方法与装置 | |
| CN109560934B (zh) | 数据防篡改方法、装置、计算机设备和存储介质 | |
| US20120124378A1 (en) | Method for personal identity authentication utilizing a personal cryptographic device | |
| CN111062059B (zh) | 用于业务处理的方法和装置 | |
| US9673986B2 (en) | Methods and systems for increasing the security of private keys | |
| CN112583588A (zh) | 一种通信方法及装置、可读存储介质 | |
| US20150236858A1 (en) | Method for Creating a Derived Entity of an Original Data Carrier | |
| CN116611098B (zh) | 文件加密移动存储方法、***及存储介质、电子设备 | |
| CN111369364A (zh) | 基于超级柜台的电子签名方法及装置 | |
| KR101868564B1 (ko) | 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 | |
| CN114238912A (zh) | 数字证书的处理方法、装置、计算机设备和存储介质 | |
| KR20140050257A (ko) | 디지털 정보 상속 방법 | |
| KR102056612B1 (ko) | 임시 익명 인증서 생성 방법 | |
| KR20180058996A (ko) | 전자 서명 제공 방법 및 그 서버 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |