一种多端加解密互通方法技术

本发明专利技术公开了一种多端加解密互通方法，涉及信息安全技术领域，包括当用户申请数字证书时，采用第一设备与第二设备联动机制发起证书申请，由CA服务器生成专属对称密钥，并通过秘密分片及门限技术，将对称密钥分成三片并加密分别存储在第一设备、第二设备和第三设备中，当达到三选二的门限条件时，可以在第一设备、第二设备和第三设备任意一端恢复出原始对称密钥，对数据进行加密或解密，从而实现了多端加密解密互通。加密解密互通。加密解密互通。

【技术实现步骤摘要】
一种多端加解密互通方法


[0001]本专利技术涉及信息安全
，特别是一种多端加解密互通方法。

技术介绍

[0002]在电子招投标应用场景中，电子招投标系统对投标人上传电子标书有保密性要求，目前的做法是基于PC端的USBKEY数字证书，采用数字信封加密技术对投标文件进行加密，再上传到服务器。在开标时，同样需要在PC端使用USBKEY数字证书对上传的密文状态标书进行解密才能进行评标。
[0003]上述模式在电子招投标移动端应用开发中存在以下局限：一是USBKEY属于电子产品，在PC上频繁拔插，容易出现接口损坏、静电导致USBKEY元器件受损等故障，导致后续开标解密失败。
[0004]二是该模式不能应用在移动端上，无法满足在手机端即可解密开标的新需求。
[0005]三是不能实现在服务器端解密，因为加密所用密钥完全依赖于PC端的USBKEY数字证书。

技术实现思路

[0006]为解决现有技术中存在的问题，本专利技术的目的是提供一种多端加解密互通方法，本专利技术实现了任意三方设备相互之间的数据加密与解密互通。
[0007]为实现上述目的，本专利技术采用的技术方案是：一种多端加解密互通方法，包括对第一设备、第二设备、和第三设备的任意两端之间进行加解密互通，具体包括以下步骤：S100、第一设备和第二设备分别申请证书，并将生成的证书请求及用户身份信息发送到第三设备；S200、第三设备申请证书、生成证书请求，将第一设备、第二设备和第三设备生成的证书请求以及用户身份信息作为证书申请信息集合，将所述证书申请信息集合发送到CA服务器；S300、CA服务器返回证书及分片密钥:CA服务器产生对称密钥并将其分片成三段，将分片后的密钥进行两两拼接，拼接成三个分片密钥，并利用第一设备、第二设备和第三设备生成的证书请求中的公钥分别对拼接后的三个分片密钥进行加密，CA服务器再为三个设备的证书请求分别签发数字证书，同时将第一设备和第二设备加密后的分片密钥分别写入为第一设备和第二设备签发的数字证书扩展域中，最后连同第三设备加密后的分片密钥一并返回给第三设备；S400、第三设备返回数字证书给第一设备和第二设备；S500、多端加密解密互通：从三个设备中任意选取两个设备，使用各自的证书私钥对各自证书扩展域或第三设备存储中的分片密钥密文解密出对应的分片密钥，将分片密钥去重后按顺序拼接恢复出原始的对称密钥，利用原始的对称密钥对数据进行加密或解密，从而实现多端加密解密互通。
[0008]作为本专利技术的进一步改进，所述步骤S100具体包括以下步骤：S101、第一设备生成包括公钥和私钥的密钥对及证书请求；S102、第二设备对第一设备进行认证并获取第一设备的证书请求，第二设备生成包括公钥和私钥的密钥对及证书请求；S103、第二设备发送第一设备和第二设备的证书请求以及用户身份信息到第三设备。
[0009]作为本专利技术的进一步改进，所述步骤S200具体包括以下步骤：S201、第三设备生成包括公钥和私钥的密钥对及证书请求；S202、第三设备发送证书申请信息集合到CA服务器，其中，所述证书申请信息集合包括第一设备、第二设备和第三设备的证书请求以及用户身份信息。
[0010]作为本专利技术的进一步改进，所述步骤S300具体包括以下步骤：S301、CA服务器产生对称密钥及密钥分片：CA服务器为用户身份信息产生对称密钥，并将对称密钥分割为三个片段；S302、CA服务器对分片后的密钥进行加密：CA服务器分别从第一设备、第二设备和第三设备的证书请求中获取对应的公钥，使用对应的公钥分别对分割的三个片段两两拼接后形成的三个分片密钥进行加密得到对应的三个分片密钥密文；S303、CA服务器签发证书：CA服务器分别为第一设备、第二设备和第三设备的证书请求签发数字证书，并分别将第一设备和第二设备对应的分片密钥写入其数字证书的扩展域中；S304、CA服务器返回证书及分片密钥：CA服务器将第一设备、第二设备、第三设备的数字证书以及第三设备对应的分片密钥返回给第三设备。
[0011]作为本专利技术的进一步改进，所述步骤S400具体包括：第三设备存储数字证书；存储用户身份信息对应的第一设备和第二设备的数字证书及第三设备的分片密钥，并将第一设备、第二设备和第三设备的数字证书返回给第一设备和第二设备并保存。
[0012]作为本专利技术的进一步改进，所述步骤S500包括加密环节和解密环节，其中，所述加密环节具体包括以下步骤：S501、解密端先使用自己的私钥对解密端对应的分片密钥进行解密，得到对应的拼接的分片密钥；使用加密端的数字证书对得到的分片密钥进行加密，并发送给加密端；S502、加密端使用自己的私钥对加密端对应的分片密钥进行解密，得到对应的拼接的分片密钥；对步骤S501中解密端加密后的分片密钥进行解密得到解密端的拼接的分片密钥，将得到的两个拼接的分片密钥按顺序拼接恢复出原始的CA服务器产生的对称密钥；S503、加密端使用原始的CA服务器产生的对称密钥对数据进行加密；所述的解密环节具体包括以下步骤：S504、加密端先使用自己的私钥对加密端对应的分片密钥进行解密，得到对应的拼接的分片密钥；使用解密端的数字证书对得到的分片密钥进行加密，并发送给解密端；S505、解密端使用自己的私钥对解密端对应的分片密钥进行解密，得到对应的拼接的分片密钥；对步骤S504中加密端加密后的分片密钥进行解密得到加密端的拼接的分片密钥，将得到的两个拼接的分片密钥按顺序拼接恢复出原始的CA服务器产生的对称密钥；
S506、解密端使用原始的CA服务器产生的对称密钥对数据进行解密；所述加密端和解密端为第一设备、第二设备和第三设备中的任意两个设备。
[0013]作为本专利技术的进一步改进，进行加密和解密的数据为电子招投标数据。
[0014]作为本专利技术的进一步改进，所述第一设备为PC端，所述第二设备为手机端，所述第三设备为电子招投标业务服务器。
[0015]本专利技术的有益效果是：1、本专利技术中，用户对称密钥通过秘密分片及门限技术，确保只有达到门限条件时，才能恢复出完整的对称密钥，单一一方的片段密钥数据泄露不影响整个对称密钥的安全使用。正是由于该模式具有一定冗余机制，就可以很好地避免USBKEY硬件介质损坏对电子招投标加解密功能的使用造成影响。
[0016]2、本专利技术针对用户端的分片密钥采用自身公钥加密后存储于数字证书自身文件的扩展域中，不仅方便用户随时读取解密后使用，而且不依赖于其他相关方的数据存储。若PC端和手机端联动加密和解密，则可以实现电子招投标在离线封闭环境中不依赖于服务器进行解密、开标，可适用于某些特殊应用场景。
[0017]3、本专利技术实现了用户在PC端、移动端、服务器端三端共同参与的加密、解密互通，用户在其中一端加密后，根据应用场景需要，可在其他两端解密，极大拓展了电子招投标系统的加解密应用场景，解决了电子招投标在移动端APP应用的困惑。
附图说明
[0018]图1为本专利技术实施例的结构框图；图2为本专利技术实施例的流程图。
具体实施方式
[0019本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多端加解密互通方法，其特征在于，包括对第一设备、第二设备、和第三设备的任意两端之间进行加解密互通，具体包括以下步骤：S100、第一设备和第二设备分别申请证书，并将生成的证书请求及用户身份信息发送到第三设备；S200、第三设备申请证书、生成证书请求，将第一设备、第二设备和第三设备生成的证书请求以及用户身份信息作为证书申请信息集合，将所述证书申请信息集合发送到CA服务器；S300、CA服务器返回证书及分片密钥:CA服务器产生对称密钥并将其分片成三段，将分片后的密钥进行两两拼接，拼接成三个分片密钥，并利用第一设备、第二设备和第三设备生成的证书请求中的公钥分别对拼接后的三个分片密钥进行加密，CA服务器再为三个设备的证书请求分别签发数字证书，同时将第一设备和第二设备加密后的分片密钥分别写入为第一设备和第二设备签发的数字证书扩展域中，最后连同第三设备加密后的分片密钥一并返回给第三设备；S400、第三设备返回数字证书给第一设备和第二设备；S500、多端加密解密互通：从三个设备中任意选取两个设备，使用各自的证书私钥对各自证书扩展域或第三设备存储中的分片密钥密文解密出对应的分片密钥，将分片密钥去重后按顺序拼接恢复出原始的对称密钥，利用原始的对称密钥对数据进行加密或解密，从而实现多端加密解密互通。2.根据权利要求1所述的多端加解密互通方法，其特征在于，所述步骤S100具体包括以下步骤：S101、第一设备生成包括公钥和私钥的密钥对及证书请求；S102、第二设备对第一设备进行认证并获取第一设备的证书请求，第二设备生成包括公钥和私钥的密钥对及证书请求；S103、第二设备发送第一设备和第二设备的证书请求以及用户身份信息到第三设备。3.根据权利要求2所述的多端加解密互通方法，其特征在于，所述步骤S200具体包括以下步骤：S201、第三设备生成包括公钥和私钥的密钥对及证书请求；S202、第三设备发送证书申请信息集合到CA服务器，其中，所述证书申请信息集合包括第一设备、第二设备和第三设备的证书请求以及用户身份信息。4.根据权利要求3所述的多端加解密互通方法，其特征在于，所述步骤S300具体包括以下步骤：S301、CA服务器产生对称密钥及密钥分片：CA服务器为用户身份信息产生对称密钥，并将对称密钥分割为三个片段；S302、CA服务器对分片后的密钥进行加密：CA服务器分别从第一设备、第二设备和第三设备的证书请求中获取对应的公钥，使用对应的公钥分别对分...

【专利技术属性】
技术研发人员：尹才敏，杨飞，张晓军，唐正玄，陈燕，
申请(专利权)人：四川省数字证书认证管理中心有限公司，
类型：发明
国别省市：