[go: up one dir, main page]

CN117040905A - 数据加密传输方法、装置、设备及存储介质 - Google Patents

数据加密传输方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117040905A
CN117040905A CN202311148900.6A CN202311148900A CN117040905A CN 117040905 A CN117040905 A CN 117040905A CN 202311148900 A CN202311148900 A CN 202311148900A CN 117040905 A CN117040905 A CN 117040905A
Authority
CN
China
Prior art keywords
plaintext data
digital
target
message
digital signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311148900.6A
Other languages
English (en)
Inventor
申世哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202311148900.6A priority Critical patent/CN117040905A/zh
Publication of CN117040905A publication Critical patent/CN117040905A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种数据加密传输方法、装置、设备及存储介质,可用于网络安全领域。该方法包括:确定待发送的第一明文数据;通过第一私钥对第一明文数据进行加密处理,得到第一明文数据对应的第一数字签名;确定第一私钥对应的第一公钥;通过证书管理机构的第二私钥对第一公钥进行加密处理,得到第一明文数据对应的第一数字证书;根据第一明文数据、第一数字签名和第一数字证书,生成第一目标报文,并向目标设备发送第一目标报文。本申请的方法,提高了不同系统之间信息加密传输的安全性。

Description

数据加密传输方法、装置、设备及存储介质
技术领域
本申请涉及网络安全领域,尤其涉及一种数据加密传输方法、装置、设备及存储介质。
背景技术
不同系统之间的信息传递,需要对信息进行加密。目前,常用的加密方式是发送方使用自己的私钥对信息进行加密生成数字签名,把数字签名和信息发送至接收方,接收方根据发送方的公钥先解密数字签名,再比对解密的结果和信息是否一致,若一致,则说明信息没有被篡改。
若不法分子伪装成发送方发布公钥信息,使所有接收方保存的发送方的公钥信息均为错误信息;若不法分子盗取了发送方的私钥信息,可以对发送信息进行篡改。通过上述方式进行加密,导致不同系统之间信息加密传输的安全性较低。
发明内容
本申请提供一种数据加密传输方法、装置、设备及存储介质,用以解决现有技术中不同系统之间信息加密传输的安全性较低的问题。
第一方面,本申请提供一种数据加密传输方法,包括:
确定待发送的第一明文数据;
通过第一私钥对所述第一明文数据进行加密处理,得到所述第一明文数据对应的第一数字签名;
确定所述第一私钥对应的第一公钥;
通过证书管理机构的第二私钥对所述第一公钥进行加密处理,得到所述第一明文数据对应的第一数字证书;
根据所述第一明文数据、所述第一数字签名和所述第一数字证书,生成第一目标报文,并向目标设备发送所述第一目标报文。
在一种可能的实施方式中,通过第一私钥对所述第一明文数据进行加密处理,得到所述第一明文数据对应的第一数字签名,包括:
对所述第一明文数据进行哈希运算,得到所述第一明文数据的第一数字摘要;
通过所述第一私钥对所述第一数字摘要进行加密处理,得到所述第一数字签名。
在一种可能的实施方式中,根据所述第一明文数据、所述第一数字签名和所述第一数字证书,生成第一目标报文,包括:
确定所述第一明文数据的第一报文位置、所述数字签名的第二报文位置、以及所述数字证书的第三报文位置;
根据所述第一报文位置、所述第二报文位置、以及所述第三报文位置,对所述第一明文数据、所述第一数字签名和所述第一数字证书进行组合处理,以生成所述第一目标报文。
在一种可能的实施方式中,所述方法还包括:
接收所述目标设备发送的第二目标报文;
对所述第二目标报文进行解析处理,以在所述第二目标报文中获取第二明文数据、第二数字签名和第二数字证书;
根据所述第二数字签名和所述第二数字证书,对所述第二明文数据进行验证处理,得到验证结果,所述验证结果为验证通过或者验证未通过。
在一种可能的实施方式中,根据所述第二数字签名和所述第二数字证书,对所述第二明文数据进行验证处理,得到验证结果,包括:
对所述第二明文数据进行哈希运算,得到所述第二明文数据对应的第二数字摘要;
根据所述第二数字签名和所述第二数字证书,生成目标数字摘要;
若所述第二数字摘要和所述目标数字摘要相同,则确定所述验证结果为所述验证通过;
若所述第二数字摘要和所述目标数字摘要不同,则确定所述验证结果为所述验证未通过。
在一种可能的实施方式中,根据所述第二数字签名和所述第二数字证书,生成目标数字摘要,包括:
确定所述证书管理机构的所述第二私钥对应的第二公钥;
通过所述第二公钥对所述第二数字证书进行解密处理,得到目标公钥;
通过所述目标公钥对所述第二数字签名进行解密处理,得到所述目标数字摘要。
在一种可能的实施方式中,所述方法还包括:
若所述验证结果为所述验证未通过,则向所述目标设备发送提示消息,所述提示消息用于指示所述第二目标报文中的所述第二明文数据被篡改。
第二方面,本申请提供一种数据加密传输装置,包括:
第一确定模块,用于确定待发送的第一明文数据;
第一加密模块,用于通过第一私钥对所述第一明文数据进行加密处理,得到所述第一明文数据对应的第一数字签名;
第二确定模块,用于确定所述第一私钥对应的第一公钥;
第二加密模块,用于通过证书管理机构的第二私钥对所述第一公钥进行加密处理,得到所述第一明文数据对应的第一数字证书;
生成模块,用于根据所述第一明文数据、所述第一数字签名和所述第一数字证书,生成第一目标报文;
发送模块,用于向目标设备发送所述第一目标报文。
在一种可能的实施方式中,第一加密模块具体用于:
对所述第一明文数据进行哈希运算,得到所述第一明文数据的第一数字摘要;
通过所述第一私钥对所述第一数字摘要进行加密处理,得到所述第一数字签名。
在一种可能的实施方式中,生成模块具体用于:
确定所述第一明文数据的第一报文位置、所述数字签名的第二报文位置、以及所述数字证书的第三报文位置;
根据所述第一报文位置、所述第二报文位置、以及所述第三报文位置,对所述第一明文数据、所述第一数字签名和所述第一数字证书进行组合处理,以生成所述第一目标报文。
在一种可能的实施方式中,所述装置还包括:
接收模块,用于接收所述目标设备发送的第二目标报文;
解析模块,用于对所述第二目标报文进行解析处理,以在所述第二目标报文中获取第二明文数据、第二数字签名和第二数字证书;
验证模块,用于根据所述第二数字签名和所述第二数字证书,对所述第二明文数据进行验证处理,得到验证结果,所述验证结果为验证通过或者验证未通过。
在一种可能的实施方式中,验证模块具体用于:
对所述第二明文数据进行哈希运算,得到所述第二明文数据对应的第二数字摘要;
根据所述第二数字签名和所述第二数字证书,生成目标数字摘要;
若所述第二数字摘要和所述目标数字摘要相同,则确定所述验证结果为所述验证通过;
若所述第二数字摘要和所述目标数字摘要不同,则确定所述验证结果为所述验证未通过。
在一种可能的实施方式中,验证模块具体用于:
确定所述证书管理机构的所述第二私钥对应的第二公钥;
通过所述第二公钥对所述第二数字证书进行解密处理,得到目标公钥;
通过所述目标公钥对所述第二数字签名进行解密处理,得到所述目标数字摘要。
在一种可能的实施方式中,所述装置还包括:
提示模块,用于若所述验证结果为所述验证未通过,则向所述目标设备发送提示消息,所述提示消息用于指示所述第二目标报文中的所述第二明文数据被篡改。
第三方面,本申请实施例提供一种电子设备,包括:存储器和处理器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面任一项所述的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当所述计算机执行指令被处理器执行时用于实现第一方面中任一项所述的方法。
第五方面,本申请实施例提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面中任一项所述的方法。
本申请实施例提供一种超车辅助控制方法、装置、设备及存储介质,该方法中,通过确定待发送的第一明文数据;通过第一私钥对第一明文数据进行加密处理,得到第一明文数据对应的第一数字签名;确定第一私钥对应的第一公钥;通过证书管理机构的第二私钥对第一公钥进行加密处理,得到第一明文数据对应的第一数字证书;根据第一明文数据、第一数字签名和第一数字证书,生成第一目标报文,并向目标设备发送第一目标报文。这样,接收方不需要在数据库中存储大量接收方的公钥信息,释放资源,如果不法者想要篡改信息,不但需要获得发送者的私钥,还需要获得证书管理机构的私钥,提高了不同系统之间信息加密传输的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的一种数据加密传输方法的流程示意图;
图3为本申请实施例提供的另一种数据加密传输方法的流程示意图;
图4为本申请实施例提供的又一种数据加密传输方法的流程示意图;
图5为本申请实施例提供的另一种应用场景示意图;
图6为本申请实施例提供的一种数据加密传输装置的结构示意图;
图7为本申请实施例提供的另一种数据加密传输装置的结构示意图;
图8为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,本申请一种数据加密传输方法和装置可用于网络安全领域,也可用于除网络安全领域之外的任意领域,本申请一种数据加密传输方法和装置的应用领域不做限定。
图1为本申请实施例提供的一种应用场景示意图。其中,应用场景可以包括第一系统和第二系统,第一系统和第二系统之间可以进行通信交互,第一系统与第二系统均可以作为信息传递发送方或者接收方。
假设第一系统作为信息传递的发送方,第二系统作为信息传递的接收方,第一系统向第二系统发送明文数据。
在相关技术中,加密方式是第一系统作为发送方使用第一私钥信息对明文数据进行加密,生成数字签名,把数字签名和明文数据发送至第二系统,第二系统作为接收方根据第一系统对应的第一公钥对数字签名进行解密,再比对解密结果与明文数据是否一致,若一致,则说明明文数据没有被篡改,以确定明文数据的安全性。
在上述过程中,若不法分子伪装成发送方发布公钥信息,使所有接收方保存的发送方的公钥信息均为错误信息。例如,C把自己的公钥信息伪装成A的公钥信息发送给B,B以为自己持有的是A的公钥(实质是C的公钥),当B接收到C伪装成A发来的信息,B以为是A发来的信息(实质是C发送的信息),因为C用自己的私钥加密的信息,B可以正常解密。B以为自己是在和A通信,但其实是和C在通信。若不法分子盗取了发送方的私钥信息,可以对发送信息进行篡改。通过上述方式进行加密,导致不同系统之间信息加密传输的安全性较低。
为了解决上述技术问题,本申请实施例提供了一种数据加密传输方法,发送方通过证书管理机构的私钥将发送方的公钥进行加密处理,得到数字证书,并将数字证书与上述明文数据和数字签名一同发送至接收方,以使接收方先通过证书管理机构的公钥对数字证书进行解密,得到发送方的公钥,再通过发送方的公钥对数字签名进行解密,得到解密结果,再比对解密结果与明文数据是否一致。这样,接收方不需要在数据库中存储大量接收方的公钥信息,释放资源,如果不法者想要篡改信息,不但需要获得发送者的私钥,还需要获得证书管理机构的私钥,提高了不同系统之间信息加密传输的安全性。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的一种数据加密传输方法的流程示意图。本申请实施例的执行主体可以为电子设备,也可以为设置在电子设备中的数据加密传输装置。数据加密传输装置可以通过软件实现,也可以通过软件和硬件的结合实现。请参见图2,该方法包括:
S201、确定待发送的第一明文数据。
第一明文数据可以是XML报文。
例如,第一明文数据可以是第一用户在第一银行内的关于交易记录的XML报文。
可以获取多个明文数据,在多个明文数据中确定待发送的第一明文数据。
S202、通过第一私钥对第一明文数据进行加密处理,得到第一明文数据对应的第一数字签名。
第一私钥可以为当前电子设备通过非对称加密算法确定的私钥与公钥对中的私钥。
第一数字签名可以由当前电子设备创建,被任何设备进行校验。第一数字签名可以是验证第一明文数据真伪的数字签名。
非对称加密算法是加密和解密使用不同的秘钥,一把作为公开的公钥,另一把作为私钥。公钥加密的信息,只有私钥才能解密。私钥加密的信息,只有公钥才能解密。
其中,私钥与公钥是一一对应的。
例如,多个私钥与公钥对可以如表1所示:
表1
可以获取当前设备中在有效期内的多个私钥与公钥对,在多个私钥与公钥对中确定第一私钥,采用非对称加密算法通过第一私钥对第一明文数据进行加密处理,得到第一明文数据对应的第一数字签名。
可选地,可以通过如下的方式得到第一明文数据对应的第一数字签名:对第一明文数据进行哈希运算,得到第一明文数据的第一数字摘要;通过第一私钥对第一数字摘要进行加密处理,得到第一数字签名。
其中,哈希运算可以是一种接受一个不限长度的输入返回一个固定长度的输出的一种算法。第一数字摘要可以是一个256bit的字符串。
S203、确定第一私钥对应的第一公钥。
第一公钥可以为当前电子设备通过非对称加密算法确定的私钥与公钥对中的公钥。
第一公钥可以只保存在当前电子设备中,不发送至多个其他设备中进行保存。
可以根据第一私钥,在多个私钥与公钥对中确定第一私钥对应的第一公钥。
S204、通过证书管理机构的第二私钥对第一公钥进行加密处理,得到第一明文数据对应的第一数字证书。
证书管理机构可以是受委托发放数字证书的第三方组织。
其中,证书管理机构中的私钥和公钥可以是成对出现的,私钥可以是用户自己的,用于解密和签名。公钥可以是对外开放的,用于加密和验证签名。证书管理机构中的公钥和私钥在数字证书中是配对的,只有用公钥才能解开证书中的私钥。
第一数字证书可以由证书管理机构保证所加密的第一公钥的有效性,不会被不法分子伪装。第一数字证书包括证书的颁发日期、失效日期等,在此不做限定。
可以获取证书管理机构的第二私钥,通过第二私钥对第一公钥进行加密处理,得到第一明文数据对应的第一数字证书。
S205、根据第一明文数据、第一数字签名和第一数字证书,生成第一目标报文,并向目标设备发送第一目标报文。
第一目标报文可以包括报文首部和数据部分。数据部分包括第一明文数据、第一数字签名和第一数字证书。
例如,第一目标报文可以如表1所示:
表1
其中,报文首部可以为20个字节,数据部分可以为40个字节。包头可以表示数据包的合法性;状态可以表示报文状态标志;有效性可以表示该数据包的有效性;保留位可以表示协议字节对齐;标识位可以表示上下行报文;序号可以表示数据包的分包号;流水号可以表示报文的流水号;时间戳可以表示发送报文的北京时间。数据部分可以包括加密后的共享请求对应的数据。
可以对第一明文数据、第一数字签名和第一数字证书进行编码,生成第一目标报文,并向目标设备发送第一目标报文。
可选地,可以通过如下方式生成第一目标报文:确定第一明文数据的第一报文位置、数字签名的第二报文位置、以及数字证书的第三报文位置;根据第一报文位置、第二报文位置、以及第三报文位置,对第一明文数据、第一数字签名和第一数字证书进行组合处理,以生成第一目标报文。
本实施例提供的数据加密传输方法,通过确定待发送的第一明文数据;通过第一私钥对第一明文数据进行加密处理,得到第一明文数据对应的第一数字签名;确定第一私钥对应的第一公钥;通过证书管理机构的第二私钥对第一公钥进行加密处理,得到第一明文数据对应的第一数字证书;根据第一明文数据、第一数字签名和第一数字证书,生成第一目标报文,并向目标设备发送第一目标报文。这样,接收方不需要在数据库中存储大量接收方的公钥信息,释放资源,如果不法者想要篡改信息,不但需要获得发送者的私钥,还需要获得证书管理机构的私钥,提高了不同系统之间信息加密传输的安全性。
图3为本申请实施例提供的另一种数据加密传输方法的流程示意图。在上述实施例的基础上,可参见图3,对该方法进行详细说明。该方法包括:
S301、确定待发送的第一明文数据。
S301的执行过程可以参见S201的执行过程,此处不再进行赘述。
S302、对第一明文数据进行哈希运算,得到第一明文数据的第一数字摘要。
第一数字摘要可以是一个唯一对应一个消息或文本的固定长度的值,是由一个单项哈希函数对消息进行计算而产生。如果消息在传递的途中改变了,接收者通过对收到的消息采用相同的哈希算法重新计算,新产生的数字摘要与原来的数字摘要进行比较,就可知道消息是否被篡改了,确保消息的完整性。
可以获取哈希数据库以及哈希函数,将第一明文数据输入至哈希函数中,该哈希函数输出哈希字符串,将该哈希字符串作为第一明文数据的第一数字摘要。
其中,哈希函数可以调用哈希数据库中的数据。
S303、通过第一私钥对第一数字摘要进行加密处理,得到第一数字签名。
其中,第一私钥可以是只有发送方知道的密钥,通过它对第一数字摘要进行加密,可以保证只有拥有第一私钥对应公钥的接收方才能解密并获取到第一数字摘要的信息。这样,可以确保第一明文数据的完整性和真实性。
S304、确定第一私钥对应的第一公钥。
S304的执行过程可以参见S203的执行过程,此处不再进行赘述。
S305、通过证书管理机构的第二私钥对第一公钥进行加密处理,得到第一明文数据对应的第一数字证书。
S305的执行过程可以参见S204的执行过程,此处不再进行赘述。
S306、确定第一明文数据的第一报文位置、数字签名的第二报文位置、以及数字证书的第三报文位置。
第一报文位置可以是第一明文数据所在字段的位置。第二报文位置可以是数字签名在加密后的所在字段的位置。第三报文位置可以是数字证书在加密后所在字段的位置。
例如,第一报文位置在字段1到字段5的位置,第二报文位置在字段6的位置,第三报文位置在字段7、字段8的位置。
S307、根据第一报文位置、第二报文位置、以及第三报文位置,对第一明文数据、第一数字签名和第一数字证书进行组合处理,以生成第一目标报文。
可以确定报文首部内容,根据第一报文位置、第二报文位置、以及第三报文位置,对报文首部内容、第一明文数据、第一数字签名和第一数字证书进行组合处理,生成第一目标报文。
本实施例提供的数据加密传输方法,通过确定待发送的第一明文数据;对第一明文数据进行哈希运算,得到第一明文数据的第一数字摘要;通过第一私钥对第一数字摘要进行加密处理,得到第一数字签名;确定第一私钥对应的第一公钥;通过证书管理机构的第二私钥对第一公钥进行加密处理,得到第一明文数据对应的第一数字证书;确定第一明文数据的第一报文位置、数字签名的第二报文位置、以及数字证书的第三报文位置;根据第一报文位置、第二报文位置、以及第三报文位置,对第一明文数据、第一数字签名和第一数字证书进行组合处理,以生成第一目标报文。这样,接收方不需要在数据库中存储大量接收方的公钥信息,释放资源,如果不法者想要篡改信息,不但需要获得发送者的私钥,还需要获得证书管理机构的私钥,提高了不同系统之间信息加密传输的安全性。
下面,结合图4,对当前设备接收目标设备发送的第二目标报文后,验证第二目标报文的过程进行解释说明。
图4为本申请实施例提供的又一种数据加密传输方法的流程示意图。在上述实施例的基础上,可参见图4,该方法还包括:
S401、接收目标设备发送的第二目标报文。
第二目标报文可以是目标设备生成的。
第二目标报文的结构与上述第一目标报文的结构相似,可参考上述第一目标报文,在此不做赘述。
S402、对第二目标报文进行解析处理,以在第二目标报文中获取第二明文数据、第二数字签名和第二数字证书。
可以检查第二目标报文是否合法,在检查第二目标报文合法后,获取报文解析器,通过报文解析器对第二目标报文进行解析处理,获取第二目标报文中的第二明文数据、第二数字签名和第二数字证书。
S403、对第二明文数据进行哈希运算,得到第二明文数据对应的第二数字摘要。
可以获取哈希数据库以及哈希函数,将第二明文数据输入至哈希函数中,该哈希函数输出哈希字符串,将该哈希字符串作为第二明文数据的第一数字摘要。
其中,哈希函数可以调用哈希数据库中的数据。
S404、根据第二数字签名和第二数字证书,生成目标数字摘要。
目标数字摘要可以是发送设备根据第二明文数据生成的数字摘要。目标数字摘要可以验证接收的第二明文数据是否被篡改。
可以分别对第二数字证书和第二数字签名进行解密处理,得到目标数字摘要。
可选地,可以通过如下的方式生成目标数字摘要:确定证书管理机构的第二私钥对应的第二公钥;通过第二公钥对第二数字证书进行解密处理,得到目标公钥;通过目标公钥对第二数字签名进行解密处理,得到目标数字摘要。
S405、判断第二数字摘要和目标数字摘要是否相同。
可以判断第二数字摘要和目标数字摘要是否相同,以确定接收到的第二明文数据的真实性和完整性。
若是,执行S406;
若否,执行S407。
S406、确定验证结果为验证通过。
S407、确定验证结果为验证未通过。
可选地,在验证结果为验证未通过时,可以通过如下的方式发出警报:向目标设备发送提示消息,提示消息用于指示第二目标报文中的第二明文数据被篡改。
本实施例提供的数据加密传输方法,通过接收目标设备发送的第二目标报文;对第二目标报文进行解析处理,以在第二目标报文中获取第二明文数据、第二数字签名和第二数字证书;对第二明文数据进行哈希运算,得到第二明文数据对应的第二数字摘要;根据第二数字签名和第二数字证书,生成目标数字摘要;若第二数字摘要和目标数字摘要相同,则确定验证结果为验证通过;若第二数字摘要和目标数字摘要不同,则确定验证结果为验证未通过。这样,接收方不需要在数据库中存储大量接收方的公钥信息,释放资源,如果不法者想要篡改信息,不但需要获得发送者的私钥,还需要获得证书管理机构的私钥,提高了不同系统之间信息加密传输的安全性。
下面,在上述任一实施例的基础上,结合图5,通过具体示例,对上述数据加密传输的过程进行进一步详细说明。
图5为本申请实施例提供的另一种应用场景示意图。请参见图5,其中,应用场景可以包括第一系统和第二系统,第一系统和第二系统之间可以进行通信交互,第一系统与第二系统均可以作为信息传递发送方或者接收方。
假设第一系统作为信息传递的发送方,第二系统作为信息传递的接收方,第一系统向第二系统发送明文数据。
第一系统将明文数据进行哈希运算,得到明文数据的数字摘要,通过第一系统的第一私钥对数字摘要进行加密处理,得到数字签名。通过证书管理机构的第二私钥对第一系统的第一公钥进行加密处理,得到明文数据对应的数字证书。确定明文数据的第一报文位置、数字签名的第二报文位置、以及数字证书的第三报文位置;根据第一报文位置、第二报文位置、以及第三报文位置,对明文数据、数字签名和数字证书进行组合处理,以生成第一目标报文,并向第二系统发送第一目标报文。
第二系统接收第一目标报文,对第一目标报文进行解析处理,以在第一目标报文中获取明文数据、数字签名和数字证书。对明文数据进行哈希运算,得到明文数据对应的数字摘要;确定证书管理机构的第二私钥对应的第二公钥;通过第二公钥对数字证书进行解密处理,得到第一公钥;通过第一公钥对数字签名进行解密处理,得到目标数字摘要;比较数字摘要和目标数字摘要是否相同;若数字摘要和目标数字摘要相同,则确定验证结果为验证通过;若数字摘要和目标数字摘要不同,则确定验证结果为验证未通过。
本实施例提供的数据加密传输方法,通过将明文数据进行哈希运算,得到明文数据的数字摘要,通过第一系统的第一私钥对数字摘要进行加密处理,得到数字签名。通过证书管理机构的第二私钥对第一系统的第一公钥进行加密处理,得到明文数据对应的数字证书。确定明文数据的第一报文位置、数字签名的第二报文位置、以及数字证书的第三报文位置;根据第一报文位置、第二报文位置、以及第三报文位置,对明文数据、数字签名和数字证书进行组合处理,以生成第一目标报文,并向第二系统发送第一目标报文,第二系统接收第一目标报文,对第一目标报文进行解析处理,以在第一目标报文中获取明文数据、数字签名和数字证书。对明文数据进行哈希运算,得到明文数据对应的数字摘要;确定证书管理机构的第二私钥对应的第二公钥;通过第二公钥对数字证书进行解密处理,得到第一公钥;通过第一公钥对数字签名进行解密处理,得到目标数字摘要;比较数字摘要和目标数字摘要是否相同;若数字摘要和目标数字摘要相同,则确定验证结果为验证通过。这样,第二系统不需要在数据库中存储大量的公钥信息,释放资源,如果不法者想要篡改信息,不但需要获得发送者的私钥,还需要获得证书管理机构的私钥,提高了不同系统之间信息加密传输的安全性。
图6为本申请实施例提供的一种数据加密传输装置的结构示意图。请参见图6,该数据加密传输装置600包括该装置600包括第一确定模块601、第一加密模块602、第二确定模块603、第二加密模块604、生成模块605和发送模块606,其中,
第一确定模块601,用于确定待发送的第一明文数据;
第一加密模块602,用于通过第一私钥对所述第一明文数据进行加密处理,得到所述第一明文数据对应的第一数字签名;
第二确定模块603,用于确定所述第一私钥对应的第一公钥;
第二加密模块604,用于通过证书管理机构的第二私钥对所述第一公钥进行加密处理,得到所述第一明文数据对应的第一数字证书;
生成模块605,用于根据所述第一明文数据、所述第一数字签名和所述第一数字证书,生成第一目标报文;
发送模块606,用于向目标设备发送所述第一目标报文。
本申请实施例提供的任务处理装置可以执行上述方法实施例所示的技术方案,其实现原理以及有益效果类似,此处不再进行赘述。
在一种可能的实施方式中,第一加密模块602具体用于:
对所述第一明文数据进行哈希运算,得到所述第一明文数据的第一数字摘要;
通过所述第一私钥对所述第一数字摘要进行加密处理,得到所述第一数字签名。
在一种可能的实施方式中,生成模块605具体用于:
确定所述第一明文数据的第一报文位置、所述数字签名的第二报文位置、以及所述数字证书的第三报文位置;
根据所述第一报文位置、所述第二报文位置、以及所述第三报文位置,对所述第一明文数据、所述第一数字签名和所述第一数字证书进行组合处理,以生成所述第一目标报文。
图7为本申请实施例提供的另一种数据加密传输装置的结构示意图。在图6所示实施例的基础上,请参见图7,数据加密传输装置600还包括:
接收模块607,用于接收所述目标设备发送的第二目标报文;
解析模块608,用于对所述第二目标报文进行解析处理,以在所述第二目标报文中获取第二明文数据、第二数字签名和第二数字证书;
验证模块609,用于根据所述第二数字签名和所述第二数字证书,对所述第二明文数据进行验证处理,得到验证结果,所述验证结果为验证通过或者验证未通过。
在一种可能的实施方式中,验证模块609具体用于:
对所述第二明文数据进行哈希运算,得到所述第二明文数据对应的第二数字摘要;
根据所述第二数字签名和所述第二数字证书,生成目标数字摘要;
若所述第二数字摘要和所述目标数字摘要相同,则确定所述验证结果为所述验证通过;
若所述第二数字摘要和所述目标数字摘要不同,则确定所述验证结果为所述验证未通过。
在一种可能的实施方式中,验证模块609具体用于:
确定所述证书管理机构的所述第二私钥对应的第二公钥;
通过所述第二公钥对所述第二数字证书进行解密处理,得到目标公钥;
通过所述目标公钥对所述第二数字签名进行解密处理,得到所述目标数字摘要。
在一种可能的实施方式中,所述装置还包括:
提示模块610用于,若所述验证结果为所述验证未通过,则向所述目标设备发送提示消息,所述提示消息用于指示所述第二目标报文中的所述第二明文数据被篡改。
图8为本申请实施例提供的一种电子设备的结构示意图。请参见图8,电子设备800可以包括:存储器801、处理器802、收发器803。
存储器801用于存储程序指令;
处理器802用于执行该存储器所存储的程序指令,用以使得电子设备800执行上述任一所示的数据加密传输方法。
收发器803可包括:发射器和/或接收器。该发射器还可称为发送器、发射机、发送端口或发送接口等类似描述,接收器还可称为接收机、接收端口或接收接口等类似描述。示例性地,存储器801、处理器802、收发器803,各部分之间通过总线804相互连接。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,在计算机执行指令被处理器执行时,可实现上述数据加密传输方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品可以由处理器执行,在计算机程序产品被执行时,可实现上述数据加密传输方法。
本申请实施例的数据加密传输装置、电子设备、计算机可读存储介质及计算机程序产品,可执行上述数据加密传输方法实施例所示的技术方案,其实现原理以及有益效果类似,此处不再进行赘述。
实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储器(存储介质)包括:只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、快闪存储器、硬盘、固态硬盘、磁带(magnetictape)、软盘(floppy disk)、光盘(optical disc)及其任意组合。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理单元以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理单元执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (10)

1.一种数据加密传输方法,其特征在于,包括:
确定待发送的第一明文数据;
通过第一私钥对所述第一明文数据进行加密处理,得到所述第一明文数据对应的第一数字签名;
确定所述第一私钥对应的第一公钥;
通过证书管理机构的第二私钥对所述第一公钥进行加密处理,得到所述第一明文数据对应的第一数字证书;
根据所述第一明文数据、所述第一数字签名和所述第一数字证书,生成第一目标报文,并向目标设备发送所述第一目标报文。
2.根据权利要求1所述的方法,其特征在于,通过第一私钥对所述第一明文数据进行加密处理,得到所述第一明文数据对应的第一数字签名,包括:
对所述第一明文数据进行哈希运算,得到所述第一明文数据的第一数字摘要;
通过所述第一私钥对所述第一数字摘要进行加密处理,得到所述第一数字签名。
3.根据权利要求1或2所述的方法,其特征在于,根据所述第一明文数据、所述第一数字签名和所述第一数字证书,生成第一目标报文,包括:
确定所述第一明文数据的第一报文位置、所述数字签名的第二报文位置、以及所述数字证书的第三报文位置;
根据所述第一报文位置、所述第二报文位置、以及所述第三报文位置,对所述第一明文数据、所述第一数字签名和所述第一数字证书进行组合处理,以生成所述第一目标报文。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
接收所述目标设备发送的第二目标报文;
对所述第二目标报文进行解析处理,以在所述第二目标报文中获取第二明文数据、第二数字签名和第二数字证书;
根据所述第二数字签名和所述第二数字证书,对所述第二明文数据进行验证处理,得到验证结果,所述验证结果为验证通过或者验证未通过。
5.根据权利要求4所述的方法,其特征在于,根据所述第二数字签名和所述第二数字证书,对所述第二明文数据进行验证处理,得到验证结果,包括:
对所述第二明文数据进行哈希运算,得到所述第二明文数据对应的第二数字摘要;
根据所述第二数字签名和所述第二数字证书,生成目标数字摘要;
若所述第二数字摘要和所述目标数字摘要相同,则确定所述验证结果为所述验证通过;
若所述第二数字摘要和所述目标数字摘要不同,则确定所述验证结果为所述验证未通过。
6.根据权利要求5所述的方法,其特征在于,根据所述第二数字签名和所述第二数字证书,生成目标数字摘要,包括:
确定所述证书管理机构的所述第二私钥对应的第二公钥;
通过所述第二公钥对所述第二数字证书进行解密处理,得到目标公钥;
通过所述目标公钥对所述第二数字签名进行解密处理,得到所述目标数字摘要。
7.根据权利要求4-6任一项所述的方法,其特征在于,所述方法还包括:
若所述验证结果为所述验证未通过,则向所述目标设备发送提示消息,所述提示消息用于指示所述第二目标报文中的所述第二明文数据被篡改。
8.一种数据加密传输装置,其特征在于,包括:
第一确定模块,用于确定待发送的第一明文数据;
第一加密模块,用于通过第一私钥对所述第一明文数据进行加密处理,得到所述第一明文数据对应的第一数字签名;
第二确定模块,用于确定所述第一私钥对应的第一公钥;
第二加密模块,用于通过证书管理机构的第二私钥对所述第一公钥进行加密处理,得到所述第一明文数据对应的第一数字证书;
生成模块,用于根据所述第一明文数据、所述第一数字签名和所述第一数字证书,生成第一目标报文;
发送模块,用于向目标设备发送所述第一目标报文。
9.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至7任一项所述的方法。
CN202311148900.6A 2023-09-07 2023-09-07 数据加密传输方法、装置、设备及存储介质 Pending CN117040905A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311148900.6A CN117040905A (zh) 2023-09-07 2023-09-07 数据加密传输方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311148900.6A CN117040905A (zh) 2023-09-07 2023-09-07 数据加密传输方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117040905A true CN117040905A (zh) 2023-11-10

Family

ID=88644999

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311148900.6A Pending CN117040905A (zh) 2023-09-07 2023-09-07 数据加密传输方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117040905A (zh)

Similar Documents

Publication Publication Date Title
US12375304B2 (en) Mutual authentication of confidential communication
EP3642997B1 (en) Secure communications providing forward secrecy
US10652015B2 (en) Confidential communication management
JP5432999B2 (ja) 暗号鍵配布システム
CA2197915C (en) Cryptographic key recovery system
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
CN114697040B (zh) 一种基于对称密钥的电子签章方法和系统
CN113872769B (zh) 基于puf的设备认证方法、装置、计算机设备及存储介质
CN114697038B (zh) 一种抗量子攻击的电子签章方法和系统
CN108768958B (zh) 基于第三方不泄露被验信息的数据完整性和来源的验证方法
CN115174277B (zh) 基于区块链的数据通信和档案交换方法
CN109104393B (zh) 一种身份认证的方法、装置和系统
CN117040905A (zh) 数据加密传输方法、装置、设备及存储介质
EP3361670B1 (en) Multi-ttp-based method and device for verifying validity of identity of entity
CN119484137B (zh) 基于请求报文的数据传输方法及装置
US20240356904A1 (en) Signature-less self-authenticating encrypted messages via asymmetric key pairs
CN116886426A (zh) 一种信息加密传输方法、装置及设备
CN120281510A (zh) 数据处理方法、系统、电子设备及计算机程序产品
CN119670110A (zh) 一种基于区块链的工程信息数据管理方法
CN120263448A (zh) 接口请求方法、电子设备、介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination