敏感数据的安全传输方法、客户端以及服务器与流程

1.本发明涉及移动互联技术领域，尤其涉及一种敏感数据的安全传输方法、客户端以及服务器。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
3.目前全球广域网web安全主要分为：保护服务器及其数据的安全、保护服务器和用户之间传递的信息的安全、保护web应用客户端及其环境安全这三个方面。现阶段web前端加密技术整体建设还不完善，web前端应用(app等)与应用服务端的数据传输通常采用明文的形式，易导致敏感数据被泄漏或篡改，给用户造成风险；而复杂的加密技术应用过程繁琐，数据传输效率低，影响用户体验。


技术实现要素：

4.本发明实施例提供一种敏感数据的安全传输方法，用以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验，该方法包括：
5.客户端向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；
6.客户端接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的，其中第二mac值是由服务器根据敏感数据处理结果通过mac算法生成的；
7.客户端解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。
8.本发明实施例提供一种敏感数据的安全传输方法，用以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验，该方法包括：
9.服务器接收客户端传输的加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；
10.服务器获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；
11.服务器根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行
处理，得到敏感数据处理结果；
12.服务器根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。
13.本发明实施例还提供一种客户端，用以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验，该客户端包括：
14.敏感数据和第一mac值传输模块，用于向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；
15.敏感数据处理结果和第二mac值接收模块，用于接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的，其中第二mac值是由服务器根据敏感数据处理结果通过mac算法生成的；
16.验证与执行模块，用于解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。
17.本发明实施例还提供一种服务器，用以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验，该服务器包括：
18.敏感数据和第一mac值接收模块，用于接收客户端传输的加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；
19.查询与解密模块，用于获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；
20.验证与处理模块，用于根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行处理，得到敏感数据处理结果；
21.敏感数据处理结果和第二mac值反馈模块，用于根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。
22.本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述敏感数据的安全传输方法。
23.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述敏感数据的安全传输方法。
24.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述敏感数据的安全传输方法。
25.与现有技术中加密过程繁琐，数据传输效率低，易导致敏感数据被泄漏或篡改的
数据传输技术方案相比，在本发明实施例中，客户端向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的；客户端接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的；客户端解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。通过上述应用于客户端的敏感数据的安全传输方法，可以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验。
26.在本发明实施例中，服务器接收客户端传输的加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的；服务器获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；服务器根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行处理，得到敏感数据处理结果；服务器根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。通过上述应用于服务器的敏感数据的安全传输方法，可以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验。
附图说明
27.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
28.图1为本发明实施例中应用于客户端的敏感数据的安全传输方法的处理流程图；
29.图2为本发明实施例中工作密钥的协商过程的一方法流程图；
30.图3为本发明实施例中客户端对工作密钥进行完整性验证的方法流程图；
31.图4为本发明实施例中客户端对敏感数据处理结果进行完整性验证的方法流程图；
32.图5为本发明实施例中应用于服务器敏感数据的安全传输方法的处理流程图；
33.图6为本发明实施例中工作密钥的协商过程的一方法流程图；
34.图7为本发明实施例中客户端的结构示意图；
35.图8为本发明实施例中服务器的结构示意图；
36.图9为本发明一实施例的计算机设备结构示意图。
具体实施方式
37.为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。
38.首先对本发明实施例中的技术名词进行介绍：
39.mac(message authentication codes)，是一种消息摘要算法，也叫消息认证码算法。这种算法的核心是基于秘钥的散列函数，消息的散列值由只有通信双方知道的秘密密钥k来控制。可以简单这样理解，mac算法是md5算法和sha算法的升级版，是在这两种算法的基础上，又加入了密钥的概念，所以会更加安全。
40.针对现有技术中敏感数据在传输过程中易被泄漏或篡改，而复杂的加密技术过程繁琐，数据传输效率低的技术缺陷，本技术的申请人提出了一种敏感数据的安全传输方法，其通过利用工作密钥和mac算法，可以实现客户端与服务器之间敏感数据的安全、快速传输，改善用户体验。
41.下面介绍本技术的具体技术方案。本技术提出了一种敏感数据的安全传输方法，图1为本发明实施例中应用于客户端的敏感数据的安全传输方法的处理流程图，请参阅图1，在本技术中：
42.步骤101：客户端向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的。
43.为确保客户端与服务器协商得到的工作密钥的安全性，在协商之前，客户端可以先生成保护密钥，用以对后续协商得到的工作密钥进行加密；而为了进一步确保工作密钥的安全性，在生成保护密钥之前，还可以向服务器请求获取公钥数据，用以对后续生成的保护密钥进行加密。通过双重加密，可以为客户端与服务器的提供更加安全的协商环境，保证工作密钥在传输过程中不会被泄露。
44.图2为本发明实施例中工作密钥的协商过程的一方法流程图。如图2所示，在本技术的一种实施方式中，所述所述工作密钥的协商过程可以包括：
45.步骤201、客户端向服务器发出公钥数据获取请求；
46.步骤202、客户端接收服务器下发的公钥数据；
47.步骤203、客户端随机生成保护密钥，利用公钥数据对保护密钥进行加密；
48.步骤204、客户端向服务器发出工作密钥协商请求，所述工作密钥协商请求携带加密后的保护密钥；
49.步骤205、客户端接收服务器反馈的加密后的工作密钥和第三mac值，所述加密后的工作密钥和第三mac值是由服务器利用保护密钥，对工作密钥和第三mac值进行组合加密的，其中第三mac值是服务器根据工作密钥通过mac算法生成的；
50.步骤206、客户端解密后得到工作密钥和第三mac值，根据第三mac值对工作密钥进行完整性验证，验证通过后，将工作密钥存储至客户端指定数据库。
51.除了保证工作密钥在传输过程中不会被泄露之外，还可以采用mac算法，防止工作密钥在传输过程中被篡改。客户端在向服务器发出工作密钥协商请求，并得到服务器反馈的加密后的工作密钥和第三mac值之后，可以根据第三mac值对工作密钥进行完整性验证，验证工作密钥是否完整或被篡改。
52.图3为本发明实施例中客户端对工作密钥进行完整性验证的方法流程图。如图3所示，在本技术的一种实施方式中，对工作密钥进行完整性验证的方法可以包括：
53.步骤301、根据工作密钥，通过mac算法生成第三参考mac值；
54.步骤302、比对第三mac值与第三参考mac值；
55.步骤303、在比对结果一致时，验证通过。
56.客户端向服务器传输加密后的敏感数据和第一mac值之后，相应的客户端还可以接收到服务器反馈的加密后的敏感数据处理结果和第二mac值。
57.步骤102：客户端接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的，其中第二mac值是由服务器根据敏感数据处理结果通过mac算法生成的；
58.步骤103：客户端解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。
59.图4为本发明实施例中客户端对敏感数据处理结果进行完整性验证的方法流程图。如图4所示，在本技术的一种实施方式中，对敏感数据处理结果进行完整性验证的方法可以包括：
60.步骤401、根据敏感数据处理结果，通过mac算法生成第二参考mac值；
61.步骤402、比对第二mac值与第二参考mac值；
62.步骤403、在比对结果一致时，验证通过。
63.具体实施时，在客户端根据第二mac值对敏感数据处理结果进行完整性验证并通过后，可以根据敏感数据处理结果执行相应操作，即客户端与服务端通过多次交互可以实现对敏感数据的安全传输。
64.本技术还提出了一种敏感数据的安全传输方法，图5为本发明实施例中应用于服务器敏感数据的安全传输方法的处理流程图，请参阅图5，在本技术中：
65.步骤501、服务器接收客户端传输的加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；
66.步骤502、服务器获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；
67.步骤503、服务器根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行处理，得到敏感数据处理结果；
68.步骤504、服务器根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。
69.下面介绍应用于服务器一侧的工作密钥的协商过程：
70.图6为本发明实施例中工作密钥的协商过程的一方法流程图。如图6所示，在本技术的一种实施方式中，所述所述工作密钥的协商过程可以包括：
71.步骤601、服务器接收客户端发出的公钥数据获取请求；
72.步骤602、服务器向客户端下发公钥数据；
73.步骤603、服务器接收客户端发出的工作密钥协商请求，所述工作密钥协商请求携
带由客户端利用公钥数据加密后的保护密钥，所述保护密钥是由客户端随机生成的；
74.步骤604、服务器根据工作密钥协商请求，调用加密机生成工作密钥；
75.步骤605、服务器根据工作密钥通过mac算法生成第三mac值，利用保护密钥，对工作密钥和第三mac值进行组合加密，将加密后的工作密钥和第三mac值反馈至客户端。
76.为进一步提高敏感数据的传输安全，需要经常更换工作密钥，服务器可以预先设置工作密钥的有效时长预定范围，一旦超过有效时长预定范围，工作密钥即失效，需要重新协商。
77.在本技术的一种实施方式中，还可以包括：
78.服务器设置工作密钥的密钥标识和有效时长预定范围，建立工作密钥、密钥标识和有效时长预定范围之间的对应关系；
79.服务器将工作密钥、密钥标识和有效时长预定范围之间的对应关系，存储至服务器指定数据库。
80.在本技术的一种实施方式中，根据第一mac值对敏感数据进行完整性验证，可以包括：
81.根据敏感数据，通过mac算法生成第一参考mac值；
82.比对第一mac值与第一参考mac值；
83.在比对结果一致时，验证通过。
84.本发明实施例中还提供了一种客户端，如下面的实施例所述。由于客户端解决问题的原理与敏感数据的安全传输方法相似，因此客户端的实施可以参见敏感数据的安全传输方法的实施，重复之处不再赘述。
85.图7为本发明实施例中客户端的结构示意图。如图7所示，本发明实施例中客户端具体可以包括：
86.敏感数据和第一mac值传输模块701，用于向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；
87.敏感数据处理结果和第二mac值接收模块702，用于接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的，其中第二mac值是由服务器根据敏感数据处理结果通过mac算法生成的；
88.验证与执行模块703，用于解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。
89.本发明实施例中还提供了一种服务器，如下面的实施例所述。由于服务器解决问题的原理与敏感数据的安全传输方法相似，因此服务器的实施可以参见敏感数据的安全传输方法的实施，重复之处不再赘述。
90.图8为本发明实施例中服务器的结构示意图。如图8所示，本发明实施例中服务器具体可以包括：
91.敏感数据和第一mac值接收模块801，用于接收客户端传输的加密后的敏感数据和
第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；
92.查询与解密模块802，用于获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；
93.验证与处理模块803，用于根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行处理，得到敏感数据处理结果；
94.敏感数据处理结果和第二mac值反馈模块804，用于根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。
95.基于前述发明构思，如图9所示，本发明还提出了一种计算机设备900，包括存储器910、处理器920及存储在存储器910上并可在处理器920上运行的计算机程序930，所述处理器920执行所述计算机程序930时实现前述敏感数据的安全传输方法。
96.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述敏感数据的安全传输方法。
97.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述敏感数据的安全传输方法。
98.综上所述，与现有技术中加密过程繁琐，数据传输效率低，易导致敏感数据被泄漏或篡改的数据传输技术方案相比，在本发明实施例中，客户端向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的；客户端接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的；客户端解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。通过上述应用于客户端的敏感数据的安全传输方法，可以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验。
99.在本发明实施例中，服务器接收客户端传输的加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的；服务器获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；服务器根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行处理，得到敏感数据处理结果；服务器根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。通过上述应用于服务器的敏感数据的安全传输方法，可以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验。
100.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机
可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
101.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
102.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
103.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
104.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种敏感数据的安全传输方法，其特征在于，包括：客户端向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；客户端接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的，其中第二mac值是由服务器根据敏感数据处理结果通过mac算法生成的；客户端解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。2.如权利要求1所述的方法，其特征在于，根据第二mac值对敏感数据处理结果进行完整性验证，包括：根据敏感数据处理结果，通过mac算法生成第二参考mac值；比对第二mac值与第二参考mac值；在比对结果一致时，验证通过。3.如权利要求1所述的方法，其特征在于，所述工作密钥的协商过程包括：客户端向服务器发出公钥数据获取请求；客户端接收服务器下发的公钥数据；客户端随机生成保护密钥，利用公钥数据对保护密钥进行加密；客户端向服务器发出工作密钥协商请求，所述工作密钥协商请求携带加密后的保护密钥；客户端接收服务器反馈的加密后的工作密钥和第三mac值，所述加密后的工作密钥和第三mac值是由服务器利用保护密钥，对工作密钥和第三mac值进行组合加密的，其中第三mac值是服务器根据工作密钥通过mac算法生成的；客户端解密后得到工作密钥和第三mac值，根据第三mac值对工作密钥进行完整性验证，验证通过后，将工作密钥存储至客户端指定数据库。4.如权利要求3所述的方法，其特征在于，根据第三mac值对工作密钥进行完整性验证，包括：根据工作密钥，通过mac算法生成第三参考mac值；比对第三mac值与第三参考mac值；在比对结果一致时，验证通过。5.一种敏感数据的安全传输方法，其特征在于，包括：服务器接收客户端传输的加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；服务器获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；服务器根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行处
理，得到敏感数据处理结果；服务器根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。6.如权利要求5所述的方法，其特征在于，所述工作密钥的协商过程包括：服务器接收客户端发出的公钥数据获取请求；服务器向客户端下发公钥数据；服务器接收客户端发出的工作密钥协商请求，所述工作密钥协商请求携带由客户端利用公钥数据加密后的保护密钥，所述保护密钥是由客户端随机生成的；服务器根据工作密钥协商请求，调用加密机生成工作密钥；服务器根据工作密钥通过mac算法生成第三mac值，利用保护密钥，对工作密钥和第三mac值进行组合加密，将加密后的工作密钥和第三mac值反馈至客户端。7.如权利要求6所述的方法，其特征在于，还包括：服务器设置工作密钥的密钥标识和有效时长预定范围，建立工作密钥、密钥标识和有效时长预定范围之间的对应关系；服务器将工作密钥、密钥标识和有效时长预定范围之间的对应关系，存储至服务器指定数据库。8.如权利要求5所述的方法，其特征在于，根据第一mac值对敏感数据进行完整性验证，包括：根据敏感数据，通过mac算法生成第一参考mac值；比对第一mac值与第一参考mac值；在比对结果一致时，验证通过。9.一种客户端，其特征在于，包括：敏感数据和第一mac值传输模块，用于向服务器传输加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；敏感数据处理结果和第二mac值接收模块，用于接收服务器反馈的加密后的敏感数据处理结果和第二mac值，所述加密后的敏感数据处理结果和第二mac值是由服务器利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密的，其中第二mac值是由服务器根据敏感数据处理结果通过mac算法生成的；验证与执行模块，用于解密后得到敏感数据处理结果和第二mac值，根据第二mac值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作。10.一种服务器，其特征在于，包括：敏感数据和第一mac值接收模块，用于接收客户端传输的加密后的敏感数据和第一mac值，所述加密后的敏感数据和第一mac值是由客户端利用工作密钥，对敏感数据和第一mac值进行组合加密的，所述工作密钥是由客户端与服务器预先协商得到的，其中第一mac值是由客户端根据敏感数据通过mac算法生成的；查询与解密模块，用于获取所述工作密钥的密钥标识，根据密钥标识查询所述工作密
钥的有效时长预定范围，在所述工作密钥处于有效时长预定范围内时，解密后得到敏感数据和第一mac值；验证与处理模块，用于根据第一mac值对敏感数据进行完整性验证，验证通过后，对敏感数据进行处理，得到敏感数据处理结果；敏感数据处理结果和第二mac值反馈模块，用于根据敏感数据处理结果通过mac算法生成第二mac值，利用工作密钥，对敏感数据处理结果和第二mac值进行组合加密，将加密后的敏感数据处理结果和第二mac值反馈至客户端。11.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8任一所述方法。12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至8任一所述方法。13.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现权利要求1至8任一所述方法。

技术总结
本发明公开了一种敏感数据的安全传输方法、客户端以及服务器，其该方法包括：客户端向服务器传输加密后的敏感数据和第一MAC值，所述加密后的敏感数据和第一MAC值是由客户端利用工作密钥，对敏感数据和第一MAC值进行组合加密的；客户端接收服务器反馈的加密后的敏感数据处理结果和第二MAC值，所述加密后的敏感数据处理结果和第二MAC值是由服务器利用工作密钥，对敏感数据处理结果和第二MAC值进行组合加密的；客户端解密后得到敏感数据处理结果和第二MAC值，根据第二MAC值对敏感数据处理结果进行完整性验证，验证通过后，根据敏感数据处理结果执行相应操作，可以在确保传输效率的同时，提高敏感数据的传输安全性，改善用户体验。验。验。


技术研发人员：李爱宏 闫党军 颜荣镇
受保护的技术使用者：建信金融科技有限责任公司
技术研发日：2023.04.21
技术公布日：2023/7/22