【技术实现步骤摘要】
本申请涉及数据加密,具体涉及一种配置文件加解密系统、方法、设备及可读存储介质。
技术介绍
1、配置文件是包含成功操作程序所需信息的文件,这些信息以特定方式构成,它们不是在程序中进行硬编码,而是用户可配置的。配置文件通常包含用户的敏感信息,如果以明文显示这些敏感信息,会存在严重的安全隐患,因此需要对配置文件中的敏感信息进行加密。对于采用解释型语言(例如python)编写的程序,如果将加密使用的密钥写在程序代码中,攻击者很容易从源码中获取到密钥,且密钥修改需要通过修改程序代码来实现,难以维护。
2、相关技术中,将密钥持久化存储于程序外部,在每次对配置文件的敏感信息进行加解密时向程序提供密钥,这种方式对密钥存储的安全稳定性要求高,一旦保存的密钥丢失,根据该密钥加密的密文均无法使用,后果严重。
技术实现思路
1、本申请提供一种配置文件加解密系统、方法、设备及可读存储介质,可以解决现有技术中存在的密钥丢失导致密文不可用的技术问题。
2、第一方面,本申请实施例提供一种配置文件加解密系统,所述配置文件加解密系统包括密钥生成模块、第一部署模块和解密模块,所述密钥生成模块、所述第一部署模块和所述解密模块与目标程序设置于同一主机;
3、所述密钥生成模块用于在被调用时,根据本机特征信息和密钥派生函数生成并返回临时密钥,其中,不同主机对应的本机特征信息不同;
4、所述第一部署模块用于调用所述密钥生成模块以获取临时密钥,根据临时密钥加密敏感信息得到配置密文,并
5、所述解密模块用于调用所述密钥生成模块以获取临时密钥,根据临时密钥解密配置密文得到敏感信息,以供所述目标程序使用。
6、进一步地,一实施例中,所述密钥生成模块中,本机特征信息和/或密钥派生函数预置多种可选类型;
7、所述密钥生成模块还用于响应于密钥轮转指令,更换本机特征信息和/或密钥派生函数的类型,以更新临时密钥。
8、进一步地,一实施例中,所述第一部署模块还用于响应于密钥轮转指令,调用所述密钥生成模块以获取当前的配置密文对应的临时密钥,根据该临时密钥解密该配置密文得到对应的敏感信息,并在再次调用所述密钥生成模块前,向所述密钥生成模块发送密钥轮转指令。
9、进一步地,一实施例中,目标软件为云平台客户端,所述配置文件加解密系统还包括设置于云端的第二部署模块;
10、所述第二部署模块用于向至少一台主机下发敏感信息和密钥轮转指令。
11、进一步地,一实施例中,所述第二部署模块用于基于云管理员操作向所述第一部署模块首次发送敏感信息;
12、所述第二部署模块还用于在达到轮转周期或云管理员操作后,检测云端是否保存之前发送的敏感信息,若云端保存之前发送的敏感信息,则向所述密钥生成模块发送密钥轮转指令,并向所述第一部署模块再次发送该敏感信息。
13、进一步地,一实施例中,所述第二部署模块用于基于云管理员操作向所述第一部署模块首次发送敏感信息;
14、所述第二部署模块还用于在达到轮转周期或云管理员操作后,检测云端是否保存之前发送的敏感信息,若云端未保存之前发送的敏感信息,则向所述第一部署模块发送密钥轮转指令;
15、所述第一部署模块还用于响应于密钥轮转指令,调用所述密钥生成模块以获取当前的配置密文对应的临时密钥,根据该临时密钥解密该配置密文得到对应的敏感信息,并在再次调用所述密钥生成模块前,向所述密钥生成模块发送密钥轮转指令。
16、进一步地,一实施例中,所述密钥生成模块由编译型语言编写。
17、第二方面,本申请实施例提供一种配置文件加解密方法,应用于包括密钥生成模块、第一部署模块和解密模块的配置文件加解密系统,所述密钥生成模块、所述第一部署模块和所述解密模块与目标程序设置于同一主机,所述配置文件加解密方法包括:
18、所述第一部署模块调用所述密钥生成模块以获取临时密钥;
19、所述密钥生成模块根据本机特征信息和密钥派生函数生成临时密钥,并向所述第一部署模块返回临时密钥,其中,不同主机对应的本机特征信息不同;
20、所述第一部署模块根据临时密钥加密敏感信息得到配置密文,并将配置密文配置到所述目标程序的配置文件中;
21、所述解密模块调用所述密钥生成模块以获取临时密钥;
22、所述密钥生成模块根据本机特征信息和密钥派生函数生成临时密钥,并向所述解密模块返回临时密钥;
23、所述解密模块根据临时密钥解密配置密文得到敏感信息,以供所述目标程序使用。
24、第三方面,本申请实施例还提供一种配置文件加解密设备,所述配置文件加解密设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的配置文件加解密程序,其中所述配置文件加解密程序被所述处理器执行时,实现上述配置文件加解密方法的步骤。
25、第四方面,本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有配置文件加解密程序,其中所述配置文件加解密程序被处理器执行时,实现上述配置文件加解密方法的步骤。
26、本申请中,在每次对配置文件的敏感信息进行加解密前,根据本机特征信息和密钥派生函数生成临时密钥,不进行密钥的持久化存储,从而避免密钥丢失导致密文不可用的问题。密钥生成以及加解密操作均在本地进行,无需通过网络传输密钥,大大降低泄漏风险,不依赖于中心集群或外围部署工具,便于维护,扩展性强。对于不同的主机,由于本机特征信息不同,对应的密钥也不同,单密钥仅对某个主机生效,泄露风险可控。
本文档来自技高网...【技术保护点】
1.一种配置文件加解密系统,其特征在于,所述配置文件加解密系统包括密钥生成模块、第一部署模块和解密模块,所述密钥生成模块、所述第一部署模块和所述解密模块与目标程序设置于同一主机;
2.如权利要求1所述的配置文件加解密系统,其特征在于,所述密钥生成模块中,本机特征信息和/或密钥派生函数预置多种可选类型;
3.如权利要求2所述的配置文件加解密系统,其特征在于,所述第一部署模块还用于响应于密钥轮转指令,调用所述密钥生成模块以获取当前的配置密文对应的临时密钥,根据该临时密钥解密该配置密文得到对应的敏感信息,并在再次调用所述密钥生成模块前,向所述密钥生成模块发送密钥轮转指令。
4.如权利要求2所述的配置文件加解密系统,其特征在于,目标软件为云平台客户端,所述配置文件加解密系统还包括设置于云端的第二部署模块;
5.如权利要求4所述的配置文件加解密系统,其特征在于,所述第二部署模块用于基于云管理员操作向所述第一部署模块首次发送敏感信息;
6.如权利要求4所述的配置文件加解密系统,其特征在于,所述第二部署模块用于基于云管理员操作向所述第
7.如权利要求1至6中任一项所述的配置文件加解密系统,其特征在于,所述密钥生成模块由编译型语言编写。
8.一种配置文件加解密方法,其特征在于,应用于包括密钥生成模块、第一部署模块和解密模块的配置文件加解密系统,所述密钥生成模块、所述第一部署模块和所述解密模块与目标程序设置于同一主机,所述配置文件加解密方法包括:
9.一种配置文件加解密设备,其特征在于,所述配置文件加解密设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的配置文件加解密程序,其中所述配置文件加解密程序被所述处理器执行时,实现如权利要求8所述的配置文件加解密方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有配置文件加解密程序,其中所述配置文件加解密程序被处理器执行时,实现如权利要求8所述的配置文件加解密方法的步骤。
...【技术特征摘要】
1.一种配置文件加解密系统,其特征在于,所述配置文件加解密系统包括密钥生成模块、第一部署模块和解密模块,所述密钥生成模块、所述第一部署模块和所述解密模块与目标程序设置于同一主机;
2.如权利要求1所述的配置文件加解密系统,其特征在于,所述密钥生成模块中,本机特征信息和/或密钥派生函数预置多种可选类型;
3.如权利要求2所述的配置文件加解密系统,其特征在于,所述第一部署模块还用于响应于密钥轮转指令,调用所述密钥生成模块以获取当前的配置密文对应的临时密钥,根据该临时密钥解密该配置密文得到对应的敏感信息,并在再次调用所述密钥生成模块前,向所述密钥生成模块发送密钥轮转指令。
4.如权利要求2所述的配置文件加解密系统,其特征在于,目标软件为云平台客户端,所述配置文件加解密系统还包括设置于云端的第二部署模块;
5.如权利要求4所述的配置文件加解密系统,其特征在于,所述第二部署模块用于基于云管理员操作向所述第一部署模块首次发送敏感信息;
6....
【专利技术属性】
技术研发人员:吴江,肖丁,李毅,朱正亮,史汉嶂,李海静,李学真,黄韬,
申请(专利权)人:烽火通信科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。