專利名稱:私鑰的加密方法及裝置的制作方法
技術領域:
本發明實施例涉及信息安全技術,尤其涉及一種私鑰的加密方法及裝置。
背景技術:
隨著網絡技術的發展,人們的網絡活動越來越頻繁,隨之而來的網絡傳輸過程中信息的安全性要求也就越來越高。信息加密技術是信息安全的核心技術,所謂加密,就是把稱為“明文”的可讀信息轉換成“密文”的過程,而解密則是把“密文”恢復為“明文”的過程。非對稱加密算法作為常用的加密算法之一,是指加密過程和解密過程使用兩個不同密鑰的密碼算法。用于加密信息的加密密鑰公之于眾,稱為公鑰,用于解密信息的解密密鑰由解密人私密保存,稱為私鑰。非對稱加密算法的關鍵就是私鑰,保證私鑰的安全性,才能保證整個加密體系的安全性。現有技術中,為了保證私鑰的安全性,可用采用硬件加密技術,例如將私鑰保存在 USB密鑰(Universal Serial BUS Key,簡稱USB Key)設備中,USB Key設備為獨立的硬件設備。但是使用USB密鑰設備存儲私鑰必然增加成本,而且USB密鑰設備也存在安全性問題。
發明內容
本發明實施例提供一種私鑰的加密方法及裝置,以實現私鑰的安全性,且無需額外增加安全設備,提高私鑰安全性實現的便捷性。本發明實施例提供一種私鑰的加密方法,包括根據密鑰材料通過預設對稱密鑰生成算法生成密鑰;根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除。本發明實施例提供一種私鑰的加密裝置,包括第一密鑰生成單元,用于根據密鑰材料通過預設對稱密鑰生成算法生成密鑰;私鑰加密單元,用于根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除。由上述技術方案可知,本發明實施例提供的私鑰的加密方法及裝置,根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除,實現私鑰的安全性。本發明實施例無需額外增加安全設備,能夠在提高私鑰安全性的同時降低設備成本。由于用于對私鑰加密的密鑰是在需要使用該密鑰時才生成的,當根據該密鑰完成對私鑰的加密操作后, 該密鑰和私鑰均不保存,避免了固定密鑰存儲的安全問題。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本發明實施例提供的一種私鑰的加密方法流程圖;圖2為本發明實施例提供的另一種私鑰的加密方法流程圖;圖3為本發明實施例提供的一種私鑰的加密裝置結構示意圖;圖4為本發明實施例提供的另一種私鑰的加密裝置結構示意圖。
具體實施例方式為使本發明實施例的目的、技術方案和優點更加清楚,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。圖1為本發明實施例提供的一種私鑰的加密方法流程圖。如圖1所示,在信息安全應用中,用戶通過用戶設備中的私鑰對信息進行加密,再將加密后的信息傳輸給其他用戶, 以保證信息在傳輸過程中的安全性。本實施例提供的私鑰的加密方法具體可以應用于信息安全技術中對私鑰的處理流程,以提高私鑰的安全性。本實施例提供的私鑰的加密方法具體由加密裝置執行,該加密裝置具體可以集成在通過私鑰對信息進行加密處理的用戶設備中,也可以單獨設置。本實施例提供的私鑰的加密方法具體包括步驟10、根據密鑰材料通過預設對稱密鑰生成算法生成密鑰。具體地,所述密鑰材料為用于生成密鑰的素材,該密鑰材料可以任意設置,符合預設對稱密鑰生成算法的要求即可。該預設對稱密鑰生成算法的可以根據實際的信息安全性需要來具體設置。可以根據該通過所述預設對稱密鑰生成算法生成的密鑰對私鑰進行加密,也可以根據該密鑰對加密后的私鑰進行解密。步驟20、根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除。可選地,所述預設加密算法具體為對稱加密算法,可以包括數據加密算法(Data Encryption Algorithm,簡稱 DEA)、高級力口密標準(Advanced Encryption Standard,簡稱 AES)等。預設加密算法也可以根據實際的信息安全性需要來具體設置,不以本實施例為限。根據密鑰對私鑰進行加密,生成加密后的私鑰并存儲,再將步驟10中生成的該密鑰和原始的私鑰刪除。加密裝置中僅存儲有加密后的私鑰,而并不存儲原始的私鑰和用于對該私鑰加密的密鑰,因此,即使加密后的私鑰被黑客獲取,黑客也無法對該加密后的私鑰進行解密,可以保證私鑰的安全性。當在信息交互過程中,需要用到該私鑰對信息進行加密時,再對該加密后的私鑰進行相應的解密處理,以通過獲得的該私鑰進行后續的信息加密處理。本實施例提供的私鑰的加密方法,根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除,實現私鑰的安全性。本發明實施例無需額外增加安全設備,能夠在提高私鑰安全性的同時降低設備成本。由于用于對私鑰加密的密鑰是在需要使用該密鑰時才生成的,當根據該密鑰完成對私鑰的加密操作后,該密鑰和私鑰均不保存,避免了固定密鑰存儲的安全問題。圖2為本發明實施例提供的另一種私鑰的加密方法流程圖。如圖2所示,本實施例提供的私鑰的加密方法在圖1所述實施例的基礎上,具體還可以包括如下步驟步驟30、當接收到攜帶有待加密信息的加密請求時,根據所述密鑰材料通過所述預設對稱密鑰生成算法生成所述密鑰。該加密裝置具體還可以執行通過私鑰對數據信息進行加密的操作。具體地,所述加密請求具體可以為用戶輸入的用以指示對待加密信息進行加密的請求,也可以為業務信息處理過程中由其他功能單元發送的用以指示對待加密信息進行加密的請求。該加密請求中具體可以攜帶有待加密信息。當該加密裝置接收到該加密請求時,根據密鑰材料通過預設對稱密鑰生成算法生成所述密鑰。密鑰材料與步驟10中的密鑰材料相同,預設對稱密鑰生成算法與步驟10中的預設對稱密鑰生成算法也相同,由此生成的密鑰與步驟10中生成的用于對私鑰進行加密的密鑰也相同。因此,可以通過該密鑰對加密后的私鑰進行解密。步驟40、根據所述密鑰對所述加密后的私鑰進行解密,生成所述私鑰,將所述密鑰刪除。對加密后的私鑰進行解密后就得到所述私鑰,再將步驟30中生成的密鑰刪除。步驟50、根據所述私鑰對所述待加密信息進行加密,將所述私鑰刪除。根據該私鑰對待加密信息進行加密處理后,再將該私鑰刪除,然后將加密后的信息返回給請求加密操作的功能單元,以便后續的信息處理。由于用于對加密后的私鑰進行解密的密鑰也是動態生成的,當通過該密鑰完成對加密后的私鑰的解密操作之后就刪除,而且由此獲得的私鑰也在完成對待加密信息的加密操作之后就刪除,加密裝置中依舊只保存加密后的私鑰,進一步提高了私鑰的安全性。可選地,在本實施例中,步驟10,根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,包括對所述密鑰材料進行哈希計算和/或64字符編碼,生成所述密鑰。具體地,所述密鑰材料可以為預設的字符序列,也可以將所述私鑰對應的公鑰作為密鑰材料,密鑰材料的設置以符合哈希計算和64字符編碼要求即可,不以本實施例為限。64字符編碼(Base64)為基于64個字符的編碼方法,可以對所述密鑰材料進行哈希 (Hash)計算生成所述密鑰,也可以對所述密鑰材料進行64字符編碼生成所述密鑰,還可以對所述密鑰材料依次進行上述兩種操作后生成所述密鑰,操作順序可以為哈希計算在前, 64字符編碼在后,也可以為64基編碼在前,哈希計算在后。哈希計算和64字符編碼計算效率都比較高,可以提高密鑰生成的速度。預設對稱密鑰生成算法的選擇不以本實施例為限。可選地,在本實施例中,步驟10,根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,具體可以包括將與所述私鑰對應的公鑰作為所述密鑰材料,根據所述公鑰通過所述預設對稱密鑰生成算法生成所述密鑰。在實際的信息安全應用中,私鑰和公鑰通常是成對出現的。因此,將所述私鑰對應的公鑰作為所述密鑰材料,不僅可以提高密鑰材料的可靠性,而且可以提高實現的方便性。在本實施例中,根據所述公鑰通過所述預設對稱密鑰生成算法生成所述密鑰,具體可以包括如下步驟將所述公鑰的部分內容通過所述預設對稱密鑰生成算法生成所述密鑰。由于公鑰中包含的數據信息比較多,生成所述密鑰的基礎為所述公鑰的部分內容,根據所述公鑰的部分內容計算所述公鑰的特征信息作為所述密鑰。則即使所述公鑰被黑客獲取,黑客也無從獲知作為密鑰生成的基礎為公鑰中的哪部分內容,進一步提高了私鑰的安全性。所述公鑰的部分內容可以根據實際的操作需要來具體設定,也可以將公鑰的全部內容作為生成所述密鑰的基礎,不以本實施例為限。以下以PKI (Public Key Infrastructure,公鑰基礎設施)系統為例,對本實施例提供的私鑰的加密方法進行詳細說明。在HQ (Public Key hfrastructure,公鑰基礎設施)系統中,采用數字證書管理公鑰,通過第三方的可信任機構認證中心,把用戶的公鑰和用戶的其他身份信息捆綁在一起,形成數字證書。數字證書格式及證書內容遵循X. 509標準,它是網上實體的身份證明, 證明某一實體身份和公鑰的合法性以及實體與公鑰的綁定關系。數字證書具體可以包括 序列號、用戶公鑰、用戶實體信息、簽證機構的信息、簽證機構的簽名、證書有效期等信息。用戶的數字證書和私鑰通常一并存儲在加密裝置中,加密裝置可以將數字證書中的公鑰作為密鑰材料,對公鑰的指定部分內容經過哈希計算和64字符編碼后生成密鑰。根據該密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,并將該密鑰和私鑰刪除。即加密裝置中存儲有數字證書和加密后的私鑰。當該機密裝置接收到攜帶有待加密信息的加密請求時,根據所述數字證書中公鑰的指定部分內容哈希計算和64字符編碼后生成密鑰,根據該密鑰對加密后的私鑰進行解密,生成私鑰,并將該密鑰刪除。根據該私鑰對待加密信息進行加密,在完成加密后將該私鑰刪除,并將加密后的信息返回給發送該加密請求的主體,即完成了對交互信息的加密過程。在此過程中,用于解密的密鑰是臨時生成的,密鑰和私鑰在使用完畢后均被刪除,加密設備中只保存數字證書和加密后的私鑰,保證了私鑰的安全性。圖3為本發明實施例提供的一種私鑰的加密裝置結構示意圖。如圖3所示,本實施例提供的私鑰的加密裝置具體可以實現本發明任意實施例提供的私鑰的加密方法的各個步驟,此不再贅述。本實施例提供的私鑰的加密裝置具體可以通過軟件和硬件的形式來實現。本實施例提供的私鑰的加密裝置具體包括第一密鑰生成單元11和私鑰加密單元 12。第一密鑰生成單元11用于根據密鑰材料通過預設對稱密鑰生成算法生成密鑰。私鑰加密單元12用于根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除。本實施例提供的私鑰的加密設備,第一密鑰生成單元11根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,私鑰加密單元12根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除,實現私鑰的安全性。而且本發明實施例無需額外增加安全設備,能夠在提高私鑰安全性的同時降低設備成本。由于用于對私鑰加密的密鑰是在需要使用該密鑰時才生成的,當根據該密鑰完成對私鑰的加密操作后,該密鑰和私鑰均不保存,避免了固定密鑰存儲的安全問題。圖4為本發明實施例提供的另一種私鑰的加密裝置結構示意圖。如圖4所示,在本實施例中,該私鑰的加密裝置具體還可以包括第二密鑰生成單元13、私鑰生成單元14和信息加密單元15。第二密鑰生成單元13用于當接收到攜帶有待加密信息的加密請求時,根據所述密鑰材料通過所述預設對稱密鑰生成算法生成所述密鑰。私鑰生成單元14用于根據所述密鑰對所述加密后的私鑰進行解密,生成所述私鑰,將所述密鑰刪除。信息加密單元 15用于根據所述私鑰對所述待加密信息進行加密,將所述私鑰刪除。通過所述第二密鑰生成單元13、私鑰生成單元14和信息加密單元15的設置,實現對待加密信息的加密,在此實現過程中,由于用于對加密后的私鑰進行解密的密鑰也是在需要使用該密鑰時才生成的,當通過該密鑰完成對加密后的私鑰的解密操作之后就刪除, 而且由此獲得的私鑰也在完成對待加密信息的加密操作之后就刪除,私鑰的加密裝置中依舊只保存加密后的私鑰,進一步提高了私鑰的安全性。在本實施例中,所述第一密鑰生成單元11具體還可以用于對所述密鑰材料進行哈希計算、64字符編碼或哈希計算以及64字符編碼,生成所述密鑰。由于哈希計算和64字符編碼計算效率都比較高,可以提高密鑰生成的速度。在本實施例中,所述第一密鑰生成單元11還用于將與所述私鑰對應的公鑰作為所述密鑰材料,根據所述公鑰通過所述預設對稱密鑰生成算法生成所述密鑰。由于私鑰和公鑰通常是成對出現的,將所述私鑰對應的公鑰作為所述密鑰材料,不僅可以提高密鑰材料的可靠性,而且可以提高實現的方便性。在本實施例中,所述第一密鑰生成單元11還用于將所述公鑰的部分內容通過所述預設對稱密鑰生成算法生成所述密鑰。由于公鑰中包含的數據信息比較多,生成所述密鑰的基礎為所述公鑰的部分內容,則即使所述公鑰被黑客獲取,黑客也無從獲知作為密鑰生成的基礎為公鑰中的哪部分內容,進一步提高了私鑰的安全性。本發明實施例提供的私鑰的加密方法及裝置,可以解決私鑰如何在設備中安全保存的問題。本發明實施例提供的私鑰的加密方法及裝置,不需要增加額外的硬件成本,在設備重啟啟動恢復私鑰時也不需要人工干預。而且加密私鑰的密鑰是在需要使用該密鑰時才計算生成的,不存在加密密鑰安全保存的問題,大大提高了私鑰安全性實現的便捷性。在實現過程中所采用的密鑰材料和預設對稱密鑰生成算法,以及對私鑰的加密算法均可以靈活選擇,適用性和可擴展性都比較強,且實現簡單,易于推廣。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質中,該程序在執行時,執行包括上述方法實施例的步驟;而前述的存儲介質包括R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質。最后應說明的是以上實施例僅用以說明本發明的技術方案,而非對其限制;盡管參照前述實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發明各實施例技術方案的范圍。
權利要求
1.一種私鑰的加密方法,其特征在于,包括根據密鑰材料通過預設對稱密鑰生成算法生成密鑰;根據所述密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除。
2.根據權利要求1所述的私鑰的加密方法,其特征在于,所述方法還包括當接收到攜帶有待加密信息的加密請求時,根據所述密鑰材料通過所述預設對稱密鑰生成算法生成所述密鑰;根據所述密鑰對所述加密后的私鑰進行解密,生成所述私鑰,將所述密鑰刪除;根據所述私鑰對所述待加密信息進行加密,將所述私鑰刪除。
3.根據權利要求1或2所述的私鑰的加密方法,其特征在于,所述根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,包括將與所述私鑰對應的公鑰作為所述密鑰材料,根據所述公鑰通過所述預設對稱密鑰生成算法生成所述密鑰。
4.根據權利要求3所述的私鑰的加密方法,其特征在于,所述根據所述公鑰通過所述預設對稱密鑰生成算法生成所述密鑰,包括將所述公鑰的部分內容通過所述預設對稱密鑰生成算法生成所述密鑰。
5.根據權利要求1或2所述的私鑰的加密方法,其特征在于,所述根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,包括對所述密鑰材料進行哈希計算、64字符編碼或哈希計算以及64字符編碼,生成所述密鑰。
6.一種私鑰的加密裝置,其特征在于,包括第一密鑰生成單元,用于根據密鑰材料通過預設對稱密鑰生成算法生成密鑰;私鑰加密單元,用于根據所述密鑰對私鑰進行加密,生成加密后的私鑰并存儲,將所述密鑰和所述私鑰刪除。
7.根據權利要求6所述的私鑰的加密裝置,其特征在于,還包括第二密鑰生成單元,用于當接收到攜帶有待加密信息的加密請求時,根據所述密鑰材料通過所述預設對稱密鑰生成算法生成所述密鑰;私鑰生成單元,用于根據所述密鑰通過預設加密算法對所述加密后的私鑰進行解密, 生成所述私鑰,將所述密鑰刪除;信息加密單元,用于根據所述私鑰對所述待加密信息進行加密,將所述私鑰刪除。
8.根據權利要求6或7所述的私鑰的加密裝置,其特征在于所述第一密鑰生成單元還用于將與所述私鑰對應的公鑰作為所述密鑰材料,根據所述公鑰通過所述預設對稱密鑰生成算法生成所述密鑰。
9.根據權利要求8所述的私鑰的加密裝置,其特征在于,所述第一密鑰生成單元還用于將所述公鑰的部分內容通過所述預設對稱密鑰生成算法生成所述密鑰。
10.根據權利要求6或7所述的私鑰的加密裝置,其特征在于所述第一密鑰生成單元還用于對所述密鑰材料進行、64字符編碼或哈希計算以及64字符編碼,生成所述密鑰。
全文摘要
本發明實施例提供一種私鑰的加密方法及裝置。私鑰的加密裝置根據密鑰材料通過預設對稱密鑰生成算法生成密鑰,再根據該密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將該密鑰和私鑰刪除。該私鑰的加密裝置包括第一密鑰生成單元和私鑰加密單元。第一密鑰生成單元用于根據密鑰材料通過預設對稱密鑰生成算法生成密鑰。私鑰加密單元用于根據該密鑰通過預設加密算法對私鑰進行加密,生成加密后的私鑰并存儲,將該密鑰和私鑰刪除。本發明實施例提供的私鑰的加密方法及裝置,實現了私鑰的安全性,而且無需額外增加安全設備,能夠在提高私鑰安全性的同時降低設備成本。
文檔編號H04L9/28GK102377564SQ20111036107
公開日2012年3月14日 申請日期2011年11月15日 優先權日2011年11月15日
發明者邵官閣 申請人:華為技術有限公司