The embodiment of the invention relates to the technical field of cryptography, in particular to a data encryption, decryption method and device for improving data security in the process of sharing. To determine the access constraint information of the data to be encrypted, the access constraint information includes N constraint information; the first ciphertext is obtained by encrypting the data to be encrypted with the first key; the first key is a symmetric key; according to the N constraint information, multiple pairs of second keys are generated; for each second public key, the second public key is used to encrypt at least the first key. The second private key corresponding to the second public key is used to decrypt the second ciphertext; the first ciphertext and the second ciphertext are stored in the cloud storage server, and the second private key and access conditions are stored in the key management center, which is used to decrypt the second ciphertext according to the current information of the client. The second private key corresponding to the current information of the sufficient access condition is sent to the client. In this way, the security of shared data can be improved.
【技术实现步骤摘要】
一种数据加密、解密方法和装置
本专利技术实施例涉及密码
,尤其涉及一种数据加密、解密方法和装置。
技术介绍
随着诸如外卖、网购、叫车等互联网O2O行业日益壮大,各大互联网企业积累了海量的用户信息和行为数据,而这些数据被商家、三方物流、数据分析员、运维人员等多方共享,用户隐私和有价值数据难以得到保护。因此,数据管理者如何对用户隐私信息进行脱敏,何时、何地以何种方式共享数据,是有待解决的问题。现有技术中,数据加密技术能够保证数据的传输安全和存储安全,包括对称和非对称两种方式。在数据共享过程中,如果采用单一的对称加密方式,则多方实体共享解密密钥,数据安全性低;如果采用单一的非对称方式,则系统需要为每个用户生成公私钥对,在互联网多方参与的场景中,系统密钥生成和存储开销过大。并且随着数据量的不断增加,本地难以管理庞大的密文数据。所以传统的数据加密技术无法满足互联网O2O行业中大数据安全共享需求。
技术实现思路
本专利技术实施例提供一种数据加密、解密方法和装置,用以实现提高共享过程中的数据安全性。第一方面,本专利技术实施例提供一种数据加密方法,包括:确定待加密数据的访问约束信息;所述访问约束信息包括N个约束信息;通过第一密钥加密所述待加密数据得到第一密文;所述第一密钥为对称密钥;根据所述N个约束信息,生成多对第二密钥;每对第二密钥包括第二公钥和第二私钥;所述N为大于0的整数;针对每个第二公钥,使用所述第二公钥至少加密所述第一密钥的部分密钥参数,得到第二密文;所述第二公钥对应的第二私钥用于解密所述第二密文;将所述第一密文和所述第二密文存储于云存储服务器中,并将各第二私...
【技术保护点】
1.一种数据加密方法,其特征在于,包括:确定待加密数据的访问约束信息;所述访问约束信息包括N个约束信息;通过第一密钥加密所述待加密数据得到第一密文;所述第一密钥为对称密钥;根据所述N个约束信息,生成多对第二密钥;每对第二密钥包括第二公钥和第二私钥;所述N为大于0的整数;针对每个第二公钥,使用所述第二公钥至少加密所述第一密钥的部分密钥参数,得到第二密文;所述第二公钥对应的第二私钥用于解密所述第二密文;将所述第一密文和所述第二密文存储于云存储服务器中,并将各第二私钥和访问条件存储于密钥管理中心;所述密钥管理中心用于根据客户端的当前信息,将满足所述访问条件的当前信息对应的第二私钥发送给所述客户端。
【技术特征摘要】
1.一种数据加密方法,其特征在于,包括:确定待加密数据的访问约束信息;所述访问约束信息包括N个约束信息;通过第一密钥加密所述待加密数据得到第一密文;所述第一密钥为对称密钥;根据所述N个约束信息,生成多对第二密钥;每对第二密钥包括第二公钥和第二私钥;所述N为大于0的整数;针对每个第二公钥,使用所述第二公钥至少加密所述第一密钥的部分密钥参数,得到第二密文;所述第二公钥对应的第二私钥用于解密所述第二密文;将所述第一密文和所述第二密文存储于云存储服务器中,并将各第二私钥和访问条件存储于密钥管理中心;所述密钥管理中心用于根据客户端的当前信息,将满足所述访问条件的当前信息对应的第二私钥发送给所述客户端。2.如权利要求1所述的方法,其特征在于,所述约束信息为时段信息或区域信息;所述根据所述N个约束信息,生成多对第二密钥,包括:根据所述N个约束信息中的各个时段信息,生成每个时段信息对应的具有时间属性的第二密钥;根据所述N个约束信息中的各个区域信息,生成每个区域信息对应的具有空间属性的第二密钥。3.如权利要求1所述的方法,其特征在于,根据所述N个约束信息,生成多对第二密钥之前,还包括:根据所述N个约束信息,构建至少包括N个叶子节点和至少一个非叶子节点的访问控制树;每个叶子节点存储一个约束信息;所述根据所述N个约束信息,生成多对第二密钥,包括:根据所述N个约束信息,生成N对第二密钥;每个约束信息对应一对第二密钥;所述针对每个第二公钥,使用所述第二公钥至少加密所述第一密钥的部分密钥参数,得到第二密文,包括:将所述第一密钥的各密钥参数分散存储于所述访问控制树中的N个叶子节点上;针对每个约束信息,使用所述约束信息对应的第二公钥加密所述约束信息对应的叶子节点中存储的密钥参数,得到所述约束信息对应的第二密文。4.一种数据解密方法,其特征在于,包括:从云存储服务器中获取第一密文和第二密文;所述第一密文为根据第一密钥对待访问数据加密得到的,所述第二密文为根据包括多对第二密钥中的第二公钥对所述第一密钥的各密钥参数加密得到;所述第二密钥为根据所述待访问数据的访问约束信息生成的;从密钥管理中心获取客户端的当前信息对应的第二私钥,通过所述当前信息对应的第二私钥解密所述第二密文得到所述第一密钥;所述当前信息对应的第二私钥为密钥管理中心根据客户端的当前信息确定所述当前信息满足访问条件时发送给所述客户端的;通过所述第一密钥解密所述第一密文得到所述待访问数据。5.如权利要求4所述的方法,其特征在于,所述访问约束信息包括N个约束信息;所述约束信息为时段信息或区域信息;所述从密钥管理中心获取客户端的当前信息对应的第二私钥,包括:若所述当前信息满足所述访问条件,则从所述密钥管理中心获取所述当前信息对应的第二私钥;所述当前信息对应的第二私钥为根据所述当前信息所满足的访问条件确定的;其中,所述访问条件包括以下内容中的至少一项:所述当前访问时间在各时段信息包括的时间范围内;所述...
【专利技术属性】
技术研发人员:裴新,范晓锋,王彬,熊莺,
申请(专利权)人:拉扎斯网络科技上海有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。