本申请涉及信息安全领域,尤其涉及一种数据加密传输方法、装置、设备、存储及产品。
背景技术:
1、在目前的通信模式下,用户终端在互相通讯时并非采用直接端对端的方式,而是通过通信服务器进行信息交互。
2、用户终端跟通信服务器之间的通信数据虽然是加密的,但在通信数据经过通信服务器时进行了一次加解密操作。通信服务器会留存所有用户加密后的通信数据及对应的解密方法,使加密后的通信数据很容易受到逆向破解攻击,容易导致用户终端间的通信数据大面积泄露,通信数据的安全性较低。
技术实现思路
1、本申请提供一种数据加密传输方法、装置、设备、存储及产品,用以解决加密后的通信数据很容易受到逆向破解攻击,容易导致用户终端间的通信数据大面积泄露,通信数据的安全性较低的问题。
2、第一方面,本申请提供一种数据加密传输方法,应用于第一用户终端,包括:
3、响应于第一用户对第二用户的通信发起操作,从数据库中获取加密后的第二公钥及加密后的第二数据加密密钥dek;第二公钥为第二用户客户端针对第二用户生成的解密密钥;第二数据加密密钥为密钥管理系统kms服务器针对第二公钥生成的密钥;
4、将加密后的第二公钥及加密后的第二数据加密密钥发送至密钥管理系统kms服务器,以使kms服务器根据加密后的第二数据加密密钥对加密后的第二公钥进行解密;
5、接收kms服务器返回的第二公钥,并采用第二公钥对待发送的第二通信数据进行加密以形成第二通信密文;
6、将所述第二通信密文通过通信系统服务器发送至第二用户终端,以使第二用户终端采用第二私钥对所述第二通信密文进行解密获取第二通信数据;所述第二私钥为与第二公钥对应的解密密钥。
7、第二方面,本申请提供一种数据加密传输方法,应用于密钥管理系统kms服务器,包括:
8、接收第一用户终端发送的加密后的第二公钥及加密后的第二数据加密密钥dek;第二公钥为第二用户客户端针对第二用户生成的解密密钥;第二数据加密密钥为密钥管理系统kms服务器针对第二公钥生成的密钥;所述加密后的第二公钥及加密后的第二数据加密密钥dek为第一用户终端从数据库中获取的;
9、对加密后的第二数据加密密钥进行解密以获取第二数据加密密钥;
10、采用第二数据加密密钥对加密后的第二公钥进行解密以获取第二公钥;
11、将第二公钥发送至第一用户终端,以使第一用户终端采用第二公钥对待发送的第二通信数据进行加密以形成第二通信密文。
12、第三方面,本申请提供一种数据加密传输装置,包括:
13、获取模块,用于响应于第一用户对第二用户的通信发起操作,从数据库中获取加密后的第二公钥及加密后的第二数据加密密钥dek;第二公钥为第二用户客户端针对第二用户生成的解密密钥;第二数据加密密钥为密钥管理系统kms服务器针对第二公钥生成的密钥;
14、发送模块,用于将加密后的第二公钥及加密后的第二数据加密密钥发送至密钥管理系统kms服务器,以使kms服务器根据加密后的第二数据加密密钥对加密后的第二公钥进行解密;
15、接收模块,用于接收kms服务器返回的第二公钥;
16、加密模块,用于采用第二公钥对待发送的第二通信数据进行加密以形成第二通信密文;
17、发送模块,还用于将所述第二通信密文通过通信系统服务器发送至第二用户终端,以使第二用户终端采用第二私钥对所述第二通信密文进行解密获取第二通信数据;所述第二私钥为与第二公钥对应的解密密钥。
18、第四方面,本申请提供一种数据加密传输装置,包括:
19、接收模块,用于接收第一用户终端发送的加密后的第二公钥及加密后的第二数据加密密钥dek;第二公钥为第二用户客户端针对第二用户生成的解密密钥;第二数据加密密钥为密钥管理系统kms服务器针对第二公钥生成的密钥;所述加密后的第二公钥及加密后的第二数据加密密钥dek为第一用户终端从数据库中获取的;
20、密钥解密模块,用于对加密后的第二数据加密密钥进行解密以获取第二数据加密密钥;
21、公钥解密模块,还用于采用第二数据加密密钥对加密后的第二公钥进行解密以获取第二公钥;
22、发送模块,用于将第二公钥发送至第一用户终端,以使第一用户终端采用第二公钥对待发送的第二通信数据进行加密以形成第二通信密文。
23、第五方面,本申请提供一种第一用户终端,包括:处理器,以及与所述处理器通信连接的存储器及收发器;
24、所述存储器存储计算机执行指令;所述收发器用于收发数据;
25、所述处理器执行所述存储器存储的计算机执行指令,以实现上述第一方面所述的数据加密传输方法。
26、第六方面,本申请提供一种密钥管理系统kms服务器,包括:处理器,以及与所述处理器通信连接的存储器及收发器;
27、所述存储器存储计算机执行指令;所述收发器用于收发数据;
28、所述处理器执行所述存储器存储的计算机执行指令,以实现上述第二方面所述的数据加密传输方法。
29、第七方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现上述任一方面所述的数据加密传输方法。
30、第八方面,本申请提供一种计算机程序产品,包括计算机执行指令,该计算机执行指令被处理器执行时实现上述任一方面所述的数据加密传输方法。
31、本申请提供的数据加密传输方法、装置、设备、存储及产品,响应于第一用户对第二用户的通信发起操作,从数据库中获取加密后的第二公钥及加密后的第二数据加密密钥dek;第二公钥为第二用户客户端针对第二用户生成的解密密钥;第二数据加密密钥为密钥管理系统kms服务器针对第二公钥生成的密钥;将加密后的第二公钥及加密后的第二数据加密密钥发送至密钥管理系统kms服务器,以使kms服务器根据加密后的第二数据加密密钥对加密后的第二公钥进行解密;接收kms服务器返回的第二公钥,并采用第二公钥对待发送的第二通信数据进行加密以形成第二通信密文;将所述第二通信密文通过通信系统服务器发送至第二用户终端,以使第二用户终端采用第二私钥对所述第二通信密文进行解密获取第二通信数据;所述第二私钥为与第二公钥对应的解密密钥。由于kms服务器用于对加密后的公钥进行解密,数据库用于存储加密后的公钥,并且数据库与kms服务器不互通,因此难以通过攻击kms服务器或数据库中的任一个获取解密后的公钥,难以通过解密后的公钥逆向破解通信密文,导致大面积的数据泄露,提高了通信数据的安全性。
1.一种数据加密传输方法,所述方法应用于第一用户终端,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,包括:
3.根据权利要求2所述的方法,其特征在于,所述将加密后的第二公钥及加密后的第二数据加密密钥发送至密钥管理系统kms服务器,以使kms服务器根据加密后的第二数据加密密钥对加密后的第二公钥进行解密,包括:
4.根据权利要求3所述的方法,其特征在于,所述将所述第一公钥发送至密钥管理系统kms服务器,以使kms服务器生成第一数据加密密钥并生成加密后的第一公钥及加密后的第一数据加密密钥,包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,包括:
6.一种数据加密传输方法,所述方法应用于密钥管理系统kms服务器,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,还包括:
8.根据权利要求7所述的方法,其特征在于,所述对加密后的第二数据加密密钥进行解密以获取第二数据加密密钥,包括:
9.根据权利要求8所述的方法,其特征在于,所述采用对称加密算法对第一数据加密密钥进行加密以获取加密后的第一数据加密密钥,包括:
10.一种数据加密传输装置,其特征在于,包括:
11.一种数据加密传输装置,其特征在于,包括:
12.一种第一用户终端,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器及收发器;
13.一种密钥管理系统kms服务器,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器及收发器;
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-5中任一项或6-9中任一项所述的方法。
15.一种计算机程序产品,包括计算机执行指令,其特征在于,所述计算机执行指令被处理器执行时实现如权利要求1-5中任一项或6-9中任一项所述的方法。
