本发明专利技术公开的一种基于数据密钥的加解密方法,包括:当加密时,获取应用系统内的主密钥;调用密钥管理系统的密钥生成接口利用获取到的主密钥生成数据密钥,数据密钥包括一个数据密钥明文和一个数据密钥密文;通过加解密SDK模块采用数据密钥明文对需要加密的数据进行加密处理,得到数据密文;将数据密文、数据密钥密文和主密钥标识进行存储;当解密时,读取数据密文、数据密钥密文和主密钥标识;通过密钥管理系统根据数据密钥密文和主密钥标识获取对应的数据密钥明文;通过加解密SDK模块采用数据密钥明文对需要解密的数据进行解密处理,得到数据明文。还公开了一种基于数据密钥的加解密装置。本发明专利技术提高了数据安全性。本发明专利技术提高了数据安全性。本发明专利技术提高了数据安全性。
【技术实现步骤摘要】
一种基于数据密钥的加解密方法及其装置
[0001]本专利技术涉及密钥管理
,尤其涉及一种基于数据密钥的加解密方法及其装置。
技术介绍
[0002]密码安全作为信息安全的基础性核心技术,是保障数据安全,落实信息安全体系建设最为有效、经济和便捷的手段。在落实数据加密时,最重要的是保障密钥的安全,因为在现代密码体系中,密码系统的安全性不是由密码算法或密码设备决定的,而是由密钥的安全性决定的,一旦密钥泄漏,也就意味着密钥保护的数据安全性荡然无存。
[0003]为此,本申请人经过有益的探索和研究,找到了解决上述问题的方法,下面将要介绍的技术方案便是在这种背景下产生的。
技术实现思路
[0004]本专利技术所要解决的技术问题之一在于:针对现有技术的不足而提供一种提高数据安全性的基于数据密钥的加解密方法。
[0005]本专利技术所要解决的技术问题之二在于:提供一种实现上述基于数据密钥的加解密方法的基于数据密钥的加解密装置。
[0006]作为本专利技术第一方面的一种基于数据密钥的加解密方法,包括:
[0007]当需要对数据进行加密时,获取应用系统内的主密钥,并将获取到的主密钥发送至密钥管理系统;
[0008]调用密钥管理系统的密钥生成接口利用获取到的主密钥生成数据密钥,并将所述数据密钥发送至所述应用系统,所述数据密钥包括一个数据密钥明文和一个数据密钥密文;
[0009]通过所述应用系统的加解密SDK模块采用所述数据密钥明文对需要加密的数据进行加密处理,得到数据密文;
[0010]将所述数据密文、数据密钥密文和主密钥标识存储至所述应用系统中;
[0011]当需要对数据进行解密时,读取所述应用系统存储的数据密文、数据密钥密文和主密钥标识,并将读取到的数据密钥密文和主密钥标识提交至所述密钥管理系统;
[0012]通过所述密钥管理系统根据提交的数据密钥密文和主密钥标识获取对应的数据密钥明文,并将获取到的数据密钥明文发送至所述应用系统;
[0013]通过所述应用系统的加解密SDK模块采用所述数据密钥明文对需要解密的数据进行解密处理,得到数据明文。
[0014]在本专利技术的一个优选实施例中,在获取应用系统内的主密钥之前,还包括:
[0015]判断应用系统是否具备一个主密钥;
[0016]若不具备,则通过所述应用系统向所述密钥管理系统发送主密钥申请请求,所述密钥管理系统根据所述主密钥申请请求生成一个与应用系统匹配的主密钥,并将所述主密
钥发送至所述应用系统。
[0017]作为本专利技术第二方面的一种基于数据密钥的加解密装置,包括:
[0018]加密获取模块,所述加密获取模块用于当需要对数据进行加密时,获取应用系统内的主密钥,并将获取到的主密钥发送至密钥管理系统;
[0019]数据密钥生成模块,所述数据密钥生成模块用于调用密钥管理系统的密钥生成接口利用获取到的主密钥生成数据密钥,并将所述数据密钥发送至所述应用系统,所述数据密钥包括一个数据密钥明文和一个数据密钥密文;
[0020]加密处理模块,所述加密处理模块用于通过所述应用系统的加解密SDK模块采用所述数据密钥明文对需要加密的数据进行加密处理,得到数据密文;
[0021]数据存储模块,所述数据存储模块用于将所述数据密文、数据密钥密文和主密钥标识存储至所述应用系统中;
[0022]解密读取模块,所述解密读取模块用于当需要对数据进行解密时,读取所述应用系统存储的数据密文、数据密钥密文和主密钥标识,并将读取到的数据密钥密文和主密钥标识提交至所述密钥管理系统;
[0023]数据密钥获取模块,所述数据密钥获取模块用于通过所述密钥管理系统根据提交的数据密钥密文和主密钥标识获取对应的数据密钥明文,并将获取到的数据密钥明文发送至所述应用系统;
[0024]解密处理模块,所述解密处理模块用于通过所述应用系统的加解密SDK模块采用所述数据密钥明文对需要解密的数据进行解密处理,得到数据明文。
[0025]由于采用了如上技术方案,本专利技术的有益效果在于:
[0026]1.本专利技术的密钥设计具有分级保护机制,每个应用都需要生成各自的主密钥,主密钥用于加密保护数据密钥,数据密钥受主密钥保护,数据密钥可直接用于数据加解密的密钥;
[0027]2.本专利技术的数据密钥设计具有定期轮转机制,可减少每个数据密钥加密的数据量,从而使每个密钥具有更高的安全性和更小的密码分析攻击面;
[0028]3.本专利技术应用系统无需关注密钥存储和安全性,应用系统集成加解密SDK模块进行本地数据加解密运算,极大地提高了运算性能,为应对海量数据加解密场景提供支持。
附图说明
[0029]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0030]图1是本专利技术的基于数据密钥的加解密方法的流程图。
[0031]图2是本专利技术的基于数据密钥的加解密方法中的数据密钥加密过程的示意图。
[0032]图3是本专利技术的基于数据密钥的加解密方法中的数据密钥解密过程的示意图。
[0033]图4是本专利技术的数据密文格式的示意图。
[0034]图5是本专利技术的基于数据密钥的加解密装置的结构示意图。
具体实施方式
[0035]为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本专利技术。
[0036]参见图1并结合图2和图3,图中给出的是一种基于数据密钥的加解密方法,其是基于现有的几个系统来实现,具体为:
[0037]应该系统10,为用户提供基于密钥的海量数据加解密业务;
[0038]加解密SDK模块11,其集成至应用系统10中,为应用系统进行本地数据加解密和密钥生成API的统一封装调用;
[0039]密钥管理系统20,其提供主密钥和数据密钥的生成接口,且密钥设计具有分级保护、定期轮转机制,为密钥运算提供安全性保障;
[0040]本专利技术的基于数据密钥的加解密方法包括以下步骤:
[0041]步骤S10,当需要对数据进行加密时,获取应用系统10内的主密钥,并将获取到的主密钥发送至密钥管理系统20。
[0042]步骤S20,调用密钥管理系统20的密钥生成接口利用获取到的主密钥生成数据密钥,并将数据密钥发送至应用系统10;其中,数据密钥包括一个数据密钥明文和一个数据密钥密文。
[0043]步骤S30,通过应用系统10的加解密SDK模块11采用数据密钥明文对需要加密的数据进行加密处理,得到数据密文。
[0044]步骤S40,将数据密文、数据密钥密文和主密钥标识存储至应用系统10中,数据密文格式如图4所示。
[0045]步骤S50,当需要对本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于数据密钥的加解密方法,其特征在于,包括:当需要对数据进行加密时,获取应用系统内的主密钥,并将获取到的主密钥发送至密钥管理系统;调用密钥管理系统的密钥生成接口利用获取到的主密钥生成数据密钥,并将所述数据密钥发送至所述应用系统,所述数据密钥包括一个数据密钥明文和一个数据密钥密文;通过所述应用系统的加解密SDK模块采用所述数据密钥明文对需要加密的数据进行加密处理,得到数据密文;将所述数据密文、数据密钥密文和主密钥标识存储至所述应用系统中;当需要对数据进行解密时,读取所述应用系统存储的数据密文、数据密钥密文和主密钥标识,并将读取到的数据密钥密文和主密钥标识提交至所述密钥管理系统;通过所述密钥管理系统根据提交的数据密钥密文和主密钥标识获取对应的数据密钥明文,并将获取到的数据密钥明文发送至所述应用系统;通过所述应用系统的加解密SDK模块采用所述数据密钥明文对需要解密的数据进行解密处理,得到数据明文。2.如权利要求1所述的基于数据密钥的加解密方法,其特征在于,在获取应用系统内的主密钥之前,还包括:判断应用系统是否具备一个主密钥;若不具备,则通过所述应用系统向所述密钥管理系统发送主密钥申请请求,所述密钥管理系统根据所述主密钥申请请求生成一个与应用系统匹配的主密钥,并将所述主密钥发送...
【专利技术属性】
技术研发人员:万磊,冯高威,曾政,朱立通,
申请(专利权)人:上海信元通科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。