数据一致性校验方法及装置制造方法及图纸

本申请提供一种数据一致性校验方法及装置。方法包括：接收客户端发送的原始数据、第一密钥分量、第一密文和签名值；利用预先生成的签名公钥对所述签名值进行验签；若验签通过，则根据所述第一密钥分量和预先存储的第二密钥分量生成数据密钥，并利用所述数据密钥对所述第一密文进行解密，获得解密后数据；根据所述原始数据和所述解密后数据进行一致性校验。本申请通过将数据密钥的第一密钥分量存储在UKey中，将第二密钥分量存储在服务器密码机中，在对数据进行一致性校验时，需要将二者合成完整的数据密钥，并且原始数据的验签和解密过程均在服务器密码机中完成，提高了数据密钥的安全性，进而提高了对数据一致性校验的准确性。性。性。

【技术实现步骤摘要】
数据一致性校验方法及装置


[0001]本申请涉及网络安全
，具体而言，涉及一种数据一致性校验方法及装置。

技术介绍

[0002]随着互联网的普及，使用量日益增加，网络安全问题逐渐被各大网络公司所重视。数据在传输过程中，可能存在被攻击者窃取并修改的风险。文件上传作为众多应用中常见的功能，攻击者可通过第三方攻击工具修改上传的文件内容从而达到攻击破坏的目的，鉴别文件上传过程中是否被篡改，保证文件上传前后的一致性是其安全性最基本的保障。
[0003]目前的数据一致性校验的方法大多是通过在客户端对数据进行哈希运算，服务器在接收到数据后，再用同样的算法对数据进行一次哈希运算，然后比较两次哈希值是否相同，以判断数据是否被修改。这种方法容易被攻击者识破，并采用一定的攻击手段使得服务器无法准确的判断数据是否被修改。

技术实现思路

[0004]本申请实施例的目的在于提供一种数据一致性校验方法及装置，用以提高对数据一致性校验的准确性。
[0005]第一方面，本申请实施例提供一种数据一致性校验方法，应用于服务器密码机，所述方法包括：
[0006]接收客户端发送的原始数据、第一密钥分量、第一密文和签名值；其中，所述第一密文为所述客户端根据数据密钥对所述原始数据的数据标识进行加密获得，所述签名值为所述客户端利用签名私钥对所述第一密文进行签名获得；
[0007]利用预先生成的签名公钥对所述签名值进行验签；
[0008]若验签通过，则根据所述第一密钥分量和预先存储的第二密钥分量生成数据密钥，并利用所述数据密钥对所述第一密文进行解密，获得解密后数据；
[0009]根据所述原始数据和所述解密后数据进行一致性校验。
[0010]本申请实施例通过将数据密钥的第一密钥分量存储在UKey中，将第二密钥分量存储在服务器密码机中，在对数据进行一致性校验时，需要将二者合成完整的数据密钥，并且原始数据的验签和解密过程均在服务器密码机中完成，提高了数据密钥的安全性，进而提高了对数据一致性校验的准确性。
[0011]在任一实施例中，所述根据所述原始数据和所述解密后数据进行一致性校验，包括：
[0012]利用散列函数对所述原始数据进行计算，获得散列值；
[0013]根据所述散列值与所述解密后数据对所述数据进行一致性校验。
[0014]本申请实施例通过利用散列函数对原始数据进行计算，获得原始函数的散列值，由于散列值可以用于表示数据的唯一性，若原始数据发生变化，则原始数据的散列值与解密后数据不同，从而可以提高对数据一致性校验的准确性。
[0015]在任一实施例中，所述根据所述散列值与所述解密后数据对所述数据进行一致性校验，包括：
[0016]若所述散列值与所述解密后数据相同，则一致性校验通过；
[0017]若所述散列值与所述解密后数据不同，则一致性校验不通过。
[0018]本申请实施例通过将散列值与解密后数据进行对比，由于数据密钥始终存储在服务器密码机中，因此数据密钥相对较安全，因此，利用数据密钥对第一密文进行解密后，获得的解密后数据也更加准确，从而提高了对数据一致性校验的准确性。
[0019]在任一实施例中，在接收到所述原始数据后，所述方法还包括：
[0020]将所述原始数据存储在临时目录下；
[0021]在根据所述散列值与所述解密后数据对所述数据进行一致性校验之后，所述方法还包括：
[0022]若一致性校验通过，则将所述原始数据迁移至目标目录下；
[0023]若一致性校验不通过，则将所述原始数据从所述临时目录中删除。
[0024]本申请实施例通过先将原始数据存储在临时目录中，待一致性校验通过后再将原始数据迁移至目标目录下，减少了对目标目录对应的存储空间的读写次数。
[0025]在任一实施例中，所述方法还包括：
[0026]生成签名密钥对和数据密钥；所述签名密钥包括签名公钥和签名私钥；
[0027]将所述数据密钥拆分为所述第一密钥分量和所述第二密钥分量；
[0028]将所述签名私钥和所述第一密钥分量存储在所述UKey中。
[0029]本申请实施例通过预先在服务器密码机中生成签名密钥和数据密钥，并将数据密钥拆分成两部分，其中一部分存储在服务器密码机中，另一部分存储在UKey中，进一步提高了数据密钥的安全性。
[0030]在任一实施例中，在利用签名公钥对所述签名值进行验签之后，所述方法还包括：
[0031]若验签不通过，则生成异常信息。
[0032]本申请实施例中，在对接收到的数据进行一致性校验时，先进行验签，若验签不通过则可终止后续的一致性校验流程，提高了对数据处理的效率。
[0033]第二方面，本申请实施例提供另一种数据一致性校验方法，应用于客户端，所述方法包括：
[0034]对原始数据进行散列计算，获得所述原始数据对应的数据标识；
[0035]调用服务器密码机的接口，获取存储在UKey中的第一密钥分量和存储在所述服务器密码机上的第二密钥分量，并根据所述第一密钥分量和所述第二密钥分量生成数据密钥；其中，所述UKey为插在所述服务器密码机上的设备；
[0036]根据所述数据密钥对所述数据标识进行加密，获得第一密文；
[0037]通过存储在所述UKey中签名私钥对所述第一密文进行签名，获得签名值；
[0038]将所述原始数据、所述第一密钥分量、所述第一密文和所述签名值上传给服务器密码机，以使所述服务器密码机对所述原始数据进行一致性校验。
[0039]本申请实施例通过调用服务器密码机对待传输数据的哈希值进行加密、签名以及校验的操作均在服务器密码机中实现，且加密的密钥存储在服务器密码机中，实现了对密钥的安全存储，从而提高了数据在传输过程中的安全性，进而提高了数据的一致性校验的
准确性。
[0040]在任一实施例中，所述接收原始数据对应的数据标识，包括：
[0041]判断所述服务器密码机的工作状态是否正常，若正常则接收所述原始数据对应的所述数据标识。
[0042]本申请实施例在进行数据传输之前，先判断服务器密码机的工作状态是否正常，以确保可以进行后续的步骤。
[0043]第三方面，本申请实施例提供一种服务器密码机，包括：
[0044]接收模块，用于接收客户端发送的原始数据、第一密钥分量、第一密文和签名值；其中，所述第一密文为所述客户端根据数据密钥对所述原始数据的数据标识进行加密获得，所述签名值为所述客户端利用签名私钥对所述第一密文进行签名获得；
[0045]验签模块，用于利用预先生成的签名公钥对所述签名值进行验签；
[0046]解密模块，用于若验签通过，则根据所述第一密钥分量和预先存储的第二密钥分量生成数据密钥，并利用所述数据密钥对所述第一密文进行解密，获得解密后数据；
[0047]校验模块，用于根据所述原始数据和所述解密后数据进行一致性校验本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据一致性校验方法，其特征在于，应用于服务器密码机，所述方法包括：接收客户端发送的原始数据、第一密钥分量、第一密文和签名值；其中，所述第一密文为所述客户端根据数据密钥对所述原始数据的数据标识进行加密获得，所述签名值为所述客户端利用签名私钥对所述第一密文进行签名获得；利用预先生成的签名公钥对所述签名值进行验签；若验签通过，则根据所述第一密钥分量和预先存储的第二密钥分量生成数据密钥，并利用所述数据密钥对所述第一密文进行解密，获得解密后数据；根据所述原始数据和所述解密后数据进行一致性校验。2.根据权利要求1所述的方法，其特征在于，所述根据所述原始数据和所述解密后数据进行一致性校验，包括：利用散列函数对所述原始数据进行计算，获得散列值；根据所述散列值与所述解密后数据对所述数据进行一致性校验。3.根据权利要求2所述的方法，其特征在于，所述根据所述散列值与所述解密后数据对所述数据进行一致性校验，包括：若所述散列值与所述解密后数据相同，则一致性校验通过；若所述散列值与所述解密后数据不同，则一致性校验不通过。4.根据权利要求3所述的方法，其特征在于，在接收到所述原始数据后，所述方法还包括：将所述原始数据存储在临时目录下；在根据所述散列值与所述解密后数据对所述数据进行一致性校验之后，所述方法还包括：若一致性校验通过，则将所述原始数据迁移至目标目录下；若一致性校验不通过，则将所述原始数据从所述临时目录中删除。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：生成签名密钥对和数据密钥；所述签名密钥包括签名公钥和签名私钥；将所述数据密钥拆分为所述第一密钥分量和所述第二密钥分量；将所述签名私钥和所述第一密钥分量存储在UKey中。6.一种数据一致性校验方法，其特征在于，应用于客户端，所述方法包括：对原始数据进行散列计算，获得所述原始数据对应的数据标识；调用服务器密码机的接口，获取存储在UKey中的第一密钥分量和存储在所述服务器密码机上的第二密钥分量，并根据所述第一密钥分量和所述第二密钥分量生成数据密钥；其中，所述UKey为插在所述服务器密码机上的设备；根据所述数据密钥对所述数据标识进行加密，获得第一密文；通过存储在所述UKey中签名私钥对所述第一密文进行签名，获得签名值；将所...

【专利技术属性】
技术研发人员：冯村，罗金，陈翔，
申请(专利权)人：北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：