一种密钥处理方法、装置、终端设备及存储介质与流程
本发明涉及通信技术领域,尤其涉及一种密钥处理方法、装置、终端设备及存储介质。
背景技术:
随着信息化和数字化的普及,密钥安全性问题越来越受到人们的关注。现在市面软件系统(例如:andorid、kaios)上有以下几类通用的密钥签名方法:
方法a:密钥存放在本地,本地直接使用,没有任何安全措施;方法b:密钥存放在服务器,将需要加密的文件传输到服务器进行加密,然后再将加密后文件回传到本地。
虽然方法b较于方法a已经具有更强的安全性,但在方法b中,文件传输过程中仍然存在密钥数据被获取、泄露的可能。
技术实现要素:
本发明的主要目的在于提出一种密钥处理方法、装置、终端设备及存储介质,以解决现有技术的密钥签名方法中密钥数据安全性低的问题。
为实现上述目的,本发明实施例第一方面提供了一种密钥处理方法,应用于服务器和处理器构成的密钥处理系统,所述处理器包括临时文件程序和本地密钥操作程序,方法包括:
当需要对数据进行加密或解密时,利用密钥文件路径获取对应的初始密钥,将所述初始密钥同步到所述临时文件程序中,所述临时文件程序已挂载所述密钥文件路径,所述初始密钥已加密;
调用本地密钥操作程序中的解密密钥,在所述临时文件程序中对所述初始密钥进行解密,所述本地密钥操作程序用于根据解密后的初始密钥对待加密的数据进行加密,或根据解密后的初始密钥对待解密的数据进行解密;
处理器向所述临时文件程序发送清除指令,所述清除指令用于清除所述临时文件程序中的密钥文件路径,并卸载所述临时文件程序。
结合本发明第一方面,本发明第一实施方式中,当需要对数据进行加密或解密时,利用所述密钥文件路径获取对应的所述初始密钥,将所述初始密钥同步到所述临时文件程序中之前,包括:
处理器将已经加密的初始密钥发送给所述服务器,所述服务器用于保存所述初始密钥及保存所述初始密钥在所述服务器的密钥文件路径,并反馈所述密钥文件路径给所述处理器;
将所述密钥文件路径挂载到所述临时文件程序上。
结合本发明第一方面和第一方面第一实施方式,本发明第二实施方式中,当需要对数据进行加密或解密时,利用所述密钥文件路径获取对应的所述初始密钥,将所述初始密钥同步到所述临时文件程序中,包括:
当需要对数据进行加密或解密时,获取与所述初始密钥对应的密钥文件路径;
根据所述密钥文件路径在所述服务器中获取到所述初始密钥,并将所述初始密钥从所述服务器同步到所述临时文件程序中。
结合本发明第一方面,本发明第三实施方式中,当需要对数据进行加密或解密时,利用所述密钥文件路径获取对应的所述初始密钥之后,将所述初始密钥同步到所述临时文件程序中之前,还包括:
处理器向所述服务器发出密钥同步请求,所述密钥同步请求中包含验证地址,所述验证地址用于所述服务器验证所述处理器是否在预设的白名单内;
接收所述服务器发送的验证结果,若所述验证结果中所述处理器在所述白名单内,则所述密钥同步请求通过,继续执行将所述初始密钥同步到所述临时文件程序的步骤。
结合本发明第一方面的第三实施方式,本发明第四实施方式中,密钥处理方法还包括:
若所述验证结果中所述处理器不在所述白名单内,则所述处理器向所述服务器发送身份验证请求,所述身份验证请求包括所述处理器的mac地址;
接收所述服务器发送的身份验证结果,若所述身份验证结果中所述处理器的身份安全,则所述身份验证请求通过,继续执行将所述初始密钥同步到所述临时文件程序的步骤。
结合本发明第一方面的第四实施方式,本发明第五实施方式中,密钥处理方法还包括:
若所述身份验证结果中所述处理器的身份存在风险,则所述处理器获取到警示标志,所述警示标志在所述处理器向所述服务器再次发出的身份验证请求时,在所述服务器中显示。
结合本发明第一方面,本发明第六实施方式中,调用本地密钥操作程序中的解密密钥,在所述临时文件程序中对所述初始密钥进行解密之前,包括:
获取与所述解密密钥对应的解密算法;
将所述解密密钥和所述解密算法封装后保存至所述本地密钥操作程序。
本发明实施例第二方面提供了一种密钥处理装置,应用于服务器和处理器构成的密钥处理系统,所述处理器包括临时文件程序和本地密钥操作程序,装置包括:
初始密钥同步模块,用于当需要对数据进行加密或解密时,利用密钥文件路径获取对应的初始密钥,将所述初始密钥同步到所述临时文件程序中,所述临时文件程序已挂载所述密钥文件路径,所述初始密钥已加密;
初始密钥解密模块,用于调用本地密钥操作程序中的解密密钥,在所述临时文件程序中对所述初始密钥进行解密,所述本地密钥操作程序用于根据解密后的初始密钥对待加密的数据进行加密,或根据解密后的初始密钥对待解密的数据进行解密;
清除模块,用于向所述临时文件程序发送清除指令,所述清除指令用于清除所述临时文件程序中的密钥文件路径,并卸载所述临时文件程序。
本发明实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器执行上述计算机程序时实现如上第一方面所提供的方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序被处理器执行时实现如上第一方面所提供的方法的步骤。
本发明实施例提出一种密钥处理方法,应用于服务器和处理器构成的系统,处理器中设有临时文件程序和本地密钥操作程序,先将密钥文件路径挂载到临时文件程序上,当需要将初始密钥同步到临时文件程序中时,通过密钥文件路径查找初始密钥,再将初始密钥同步到临时文件程序中,最后将本地密钥操作程序中的解密密钥调用出来,在临时文件程序中对初始密钥进行解密,从而通过解密后的初始密钥对待处理数据的进行加密操作或解密操作。其中,在初始密钥解密后,处理器向临时文件程序发送清除指令,以清除临时文件程序中的密钥文件路径,并卸载临时文件程序,并且,临时文件程序所执行的步骤异常或失败时,密钥文件路径及初始密钥都将被清除,因此,本发明实施例通过临时文件程序的应用,有效降低了数据泄露的可能性,从而提高密钥数据的安全性。
附图说明
图1为本发明实施例一提供的密钥处理方法的实现流程示意图;
图2为本发明实施例二提供的密钥处理方法的实现流程示意图;
图3为本发明实施例二提供的验证过程示意图;
图4为本发明实施例三提供的密钥处理装置的组成结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本文中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。
在后续的描述中,发明实施例序号仅仅为了描述,不代表实施例的优劣。
实施例一
如图1所示,本发明实施例一提供了一种密钥处理方法,应用于服务器和处理器构成的密钥处理系统,所述处理器包括临时文件程序和本地密钥操作程序。
在本发明实施例中,临时文件程序为tmpfs(tempfilesystem,临时文件系统),是一种基于内存的文件系统;而本地密钥操作程序用于在本地环境下,对待处理的数据进行加密处理或解密处理。
密钥处理方法包括但不限于以下步骤:
s101、当需要对数据进行加密或解密时,利用密钥文件路径获取对应的初始密钥,将所述初始密钥同步到所述临时文件程序中。
其中,所述临时文件程序已挂载所述密钥文件路径,初始密钥已经加密。
在上述步骤s101中,临时文件程序是处理器中的一个存储地址;临时文件程序与密钥文件路径挂载,相当于将临时文件程序这个存储地址与密钥文件的存储地址链接,由密钥文件路径可以帮助处理器获取到与此密钥文件路径所对应的初始密钥,从而将初始密钥同步到临时文件程序中。
在一个实施例中,处理器可以将初始密钥加密后存储在服务器中,从而使已加密的初始密钥和本地密钥操作程序中的解密密钥分离存储。
则在本发明实施例中,在上述步骤s101之前,密钥处理方法还可以包括:
s1011、处理器将已经加密的初始密钥发送给所述服务器,所述服务器用于保存所述初始密钥及保存所述初始密钥在所述服务器的密钥文件路径,并反馈所述密钥文件路径给所述处理器;
s1012、将所述密钥文件路径挂载到所述临时文件程序上。
其中,服务器仅保存了已经加密的初始密钥,以及对应的密钥文件路径,当需要对数据进行加密或解密时,初始密钥的解密过程在初始密钥被同步至临时文件程序后于临时文件程序中进行,即在本地环境中进行,而在下文中,对待加密的数据进行加密,或对待解密的数据进行解密的过程也在本地进行,因此,除密钥以外的数据不需要在本地和服务器之间传输,则在本发明实施例提供的密钥处理方法的实现过程中,文件的传输可以不受文件大小传输环境干扰,从而避免了数据阻塞、抢占情况的发生,提高了系统的处理性能。
在具体应用中,服务器还可以同时保存多个初始密钥,但仅保存部分初始密钥的密钥文件路径,从而达到保护初始密钥的目的。
基于上述步骤s101、步骤s1011和步骤s1012,本发明实施例还示出了,当需要对数据进行加密或解密时,利用所述密钥文件路径获取对应的所述初始密钥,将所述初始密钥同步到所述临时文件程序中的一种详细实现方式,其包括:
当需要对数据进行加密或解密时,获取与所述初始密钥对应的密钥文件路径;
根据所述密钥文件路径在所述服务器中获取到所述初始密钥,并将所述初始密钥从所述服务器同步到所述临时文件程序中。
s102、调用本地密钥操作程序中的解密密钥,在所述临时文件程序中对所述初始密钥进行解密。
在上述步骤s102中,本地密钥操作程序中存储有与初始密钥对应的解密密钥,初始密钥的解密在临时文件程序中进行,则关于初始密钥的密钥处理已经完成。在具体应用中,解密后的初始密钥仍在本地环境中,则本地密钥操作程序可以根据解密后的初始密钥对待加密的数据进行加密,或根据解密后的初始密钥对待解密的数据进行解密。
在本发明实施例中,为保证本地密钥操作程序中,基于初始密钥的解密过程的安全性,在上述步骤s102之前,即调用本地密钥操作程序中的解密密钥,在所述临时文件程序中对所述初始密钥进行解密之前,包括:
获取与所述解密密钥对应的解密算法;
将所述解密密钥和所述解密算法封装后保存至所述本地密钥操作程序。
其中,本地密钥操作程序中,解密密钥及解密算法被封装成二进制程序,(如用python代码完成,可用pyinstaller封装),可以避免用户直接从脚本中获取解密的密码和详细步骤,从而保护整个流程的隐私和稳定。
在具体应用中,根据解密后的初始密钥对待加密的数据进行加密所使用的加密算法,或根据解密后的初始密钥对待解密的数据进行解密所使用的解密算法也可以使用上述步骤将其封装起来,从而加强密钥安全性。
s103、处理器向所述临时文件程序发送清除指令,所述清除指令用于清除所述临时文件程序中的密钥文件路径,并卸载所述临时文件程序。
上述步骤s103可以在上述步骤s102中的初始密钥解密后执行,也可以在本地密钥操作程序对待加密或待解密的数据解密或加密后执行。
在具体应用中,清除所述临时文件程序中的密钥文件路径后,即使临时文件程序丢失,也无法根据密钥文件路径获取到初始密钥。
在具体应用中,临时文件程序是系统内存中的一个临时文件,因此,完成初始密钥的解密后,需要卸载临时文件程序;当获取新的初始密钥时,则重新将临时文件程序与新的密钥文件路径挂载。
在上述步骤s101至步骤s103中,由于临时文件程序在运行过程中一旦中断就会自启,并清除之前使用或暂时存储的数据,因此,上述步骤s101至步骤s103中的任一个执行过程中,若处理器接收到异常/失败的信息,挂载中的临时文件程序将被中断,临时文件程序中的密钥文件路径被自行清除,并自动卸载其与密钥文件路径之间的挂载关系,从而确保密钥数据不被获取、泄露,此外,临时文件程序不占用磁盘的空间,可以加快访问速度。
本发明实施例提供的密钥处理方法,初始密钥加密后保存在服务器中,服务器还保存有初始密钥的密钥文件路径。将密钥文件路径挂载到临时文件程序上后,当需要将初始密钥同步到临时文件程序中时,先通过密钥文件路径查找初始密钥,再将初始密钥同步到临时文件程序中,最后将本地密钥操作程序中的解密密钥调用出来,在临时文件程序中对初始密钥进行解密,从而通过解密后的初始密钥对待处理数据的进行加密操作或解密操作。其中,在初始密钥解密后,处理器向临时文件程序发送清除指令,以清除临时文件程序中的密钥文件路径,并卸载临时文件程序,并且,临时文件程序所执行的步骤异常或失败时,密钥文件路径及初始密钥都将被清除,因此,本发明实施例通过临时文件程序的应用,有效降低了数据泄露的可能性,从而提高密钥数据的安全性。此外,初始密钥保存在服务器、解密密钥保存在本地密钥操作程序,可以不受文件大小传输环境干扰,从而避免了数据阻塞、抢占情况的发生,提高了系统的处理性能。
实施例二
本发明实施例基于上述实施例一提供的密钥处理方法的实现流程,提出了另一密钥处理方法的实现流程,以完善密钥处理过程中的安全性。
如图2所示,在本发明实施例中,上述实施例一中的步骤s101之前,即当需要对数据进行加密或解密时,利用所述密钥文件路径获取对应的所述初始密钥之后,将所述初始密钥同步到所述临时文件程序中之前,还包括:
s2011、处理器向所述服务器发出密钥同步请求,所述密钥同步请求中包含验证地址。
其中,所述验证地址用于所述服务器验证所述处理器是否在预设的白名单内。
s2012、接收所述服务器发送的验证结果,若所述验证结果中所述处理器在所述白名单内,则所述密钥同步请求通过,继续执行将所述初始密钥同步到所述临时文件程序的步骤。
后续步骤s201至步骤s203与实施例一中的步骤s101至步骤s103相同,本发明实施例中不再赘述。
在上述步骤s2011和步骤s2012中,白名单用于限制访问服务器的对象,确保访问对象,即处理器是安全的,避免初始密钥被盗用。
在具体应用中,白名单是可以更新的,但更新可能具有延迟,因此,当前的处理器可能不在白名单内,则在本发明实施中,上述步骤s2012还包括:
s20121、若验证结果中所述处理器不在所述白名单内,则处理器向所述服务器发送身份验证请求,所述身份验证请求包括所述处理器的mac地址。
在具体应用中,通过mac地址可以验证处理器的身份,若处理器的mac地址与预设的地址匹配,则说明处理器是可以信任的,因此可以添加到白名单中。若处理器的mac地址与预设的地址不匹配,则说明处理器可能是仿冒的,不能够进入白名单内。
本发明实施例中,还根据处理器接收服务器发送的身份验证结果后所执行的步骤,说明上述的两种验证结果,则上述步骤s2012-1后,即处理器接收服务器发送的身份验证结果后,包括:
s201211、若所述身份验证结果中所述处理器的身份安全,则所述身份验证请求通过,继续执行将所述初始密钥同步到所述临时文件程序的步骤。
在具体应用中,还存在身份验证请求不能通过的情况,因此,在本发明实施例中,处理器接收服务器发送的身份验证结果后,还包括:
s201212、若所述身份验证结果中所述处理器的身份存在风险,则所述处理器获取到警示标志,所述警示标志在所述处理器向所述服务器再次发出的身份验证请求时,在所述服务器中显示。
如图3所示,本发明实施例还示例性的示出了上述步骤s2012、以及基于步骤s2012的子步骤s20121、s201211、s201212中的验证过程,以说明几种处理器向服务器发送的密钥同步请求通过或不通过的情况。
在图3中,可见服务器第一次接收到密钥同步请求,判断处理器不在白名单中时,不会立即将此服务器拉入黑名单,而是等待处理器再次发出身份验证请求,当身份验证请求也无法通过时,才在此处理器上添加警示标志。
在具体应用中,若处理器获得的警示标示次数过多,则当此处理器访问服务器时,服务器可直接将此处理器拉入黑名单,拒绝其任何请求。
实施例三
如图4所示,本发明实施例提供了一种密钥处理装置40,应用于服务器和处理器构成的密钥处理系统,处理器包括临时文件程序和本地密钥操作程序,装置包括:
初始密钥同步模块41,用于当需要对数据进行加密或解密时,利用密钥文件路径获取对应的初始密钥,将初始密钥同步到临时文件程序中,临时文件程序已挂载密钥文件路径,初始密钥已加密;
初始密钥解密模块42,用于调用本地密钥操作程序中的解密密钥,在临时文件程序中对初始密钥进行解密。
其中,本地密钥操作程序用于根据解密后的初始密钥对待加密的数据进行加密,或根据解密后的初始密钥对待解密的数据进行解密;
清除模块43,用于向临时文件程序发送清除指令,清除指令用于清除临时文件程序中的密钥文件路径,并卸载临时文件程序。
在上述的初始密钥同步模块41、初始密钥解密模块42以及清除模块43中,由于临时文件程序在运行过程中一旦中断就会自启,并清除之前使用或暂时存储的数据,因此,初始密钥同步模块41、初始密钥解密模块42以及清除模块43任一模块的工作过程中,若处理器接收到异常/失败的信息,挂载中的临时文件程序将被中断,临时文件程序中的密钥文件路径被自行清除,并自动卸载其与密钥文件路径之间的挂载关系,从而确保密钥数据不被获取、泄露,此外,临时文件程序不占用磁盘的空间,可以加快访问速度。
在一个实施例中,密钥处理装置还包括初始密钥存储模块和密钥文件路径挂载模块。
其中,初始密钥存储模块,用于将已经加密的初始密钥发送给服务器,服务器用于保存初始密钥及保存初始密钥在服务器的密钥文件路径,并反馈密钥文件路径给处理器;
密钥文件路径挂载模块,用于将密钥文件路径挂载到临时文件程序上。
其中,服务器仅保存了已经加密的初始密钥,以及对应的密钥文件路径,当需要对数据进行加密或解密时,初始密钥的解密过程在初始密钥被同步至临时文件程序后于临时文件程序中进行,即在本地环境中进行,而在本地密钥操作程序中,对待加密的数据进行加密,或对待解密的数据进行解密的过程也在本地进行,因此,除密钥以外的数据不需要在本地和服务器之间传输,则在本发明实施例提供的密钥处理装置的应用过程中,文件的传输可以不受文件大小传输环境干扰,从而避免了数据阻塞、抢占情况的发生,提高了系统的处理性能。
本发明实施例还提供一种终端设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如实施例一中所述的密钥处理方法中的各个步骤。
本发明实施例还提供一种存储介质,所述存储介质为计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如实施例一中所述的密钥处理方法中的各个步骤。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!