应用于数据协同加密系统的加密方法、解密方法技术方案

本申请实施例公开了应用于数据协同加密系统的加密方法、解密方法。该加密方法的一具体实施方式包括：数据管理端对明文数据进行加密，得到第一密文，并将第一密文发送至数据服务端；数据访问端集群根据各个数据访问端分别对应的私钥，生成协同公钥，并将协同公钥发送至数据管理端，其中，数据访问端集群中的每个数据访问端的私钥不共享；数据管理端基于协同公钥生成重加密密钥，并将重加密密钥发送至数据服务端；数据服务端基于第一密文和重加密密钥，生成第二密文。该实施方式实现了对协同解密的支持，提高了数据传输的安全性，并且使得数据分享策略更加灵活，能够支持任意个用户。

Encryption and decryption methods applied to data cooperative encryption system

The embodiment of the application discloses an encryption method and a decryption method applied to a data cooperative encryption system. A specific implementation of the encryption method includes: the data management end encrypts the plaintext data, obtains the first ciphertext, and sends the first ciphertext to the data server; the data access end cluster generates the collaborative public key according to the corresponding private keys of each data access end, and sends the collaborative public key to the data management end, wherein, each data access end cluster in the data access end cluster The private key of the query side is not shared; the data management side generates the re encryption key based on the cooperative public key, and sends the re encryption key to the data server; the data server generates the second ciphertext based on the first ciphertext and the re encryption key. The implementation mode realizes the support of cooperative decryption, improves the security of data transmission, and makes the data sharing strategy more flexible, and can support any user.

【技术实现步骤摘要】
应用于数据协同加密系统的加密方法、解密方法
本申请实施例涉及计算机
，具体涉及应用于数据协同加密系统的加密方法、解密方法。
技术介绍
数据分享是云计算环境下一个非常重要的应用，而云服务商往往是不能完全信任的第三方服务商。要保证数据的安全分享，需要将待分享数据加密后再上传。传统的加密机制，加密时需要用到解密方的密钥，而基于云计算的数据分享场景下，加密时往往尚无法确定解密者，因此并不适用。代理重加密机制下，半可信代理人能够通过授权人产生的转换密钥将用授权人的公钥加密的密文转换为用被授权人的公钥加密的密文。在转换过程中，代理人无法得到数据的明文信息。因此，代理重加密机制可用于云计算环境下的数据分享场景。同时，在一些应用场合，存在需要多个解密者协作才能成功解密获取明文的需求。使用密钥分割技术可以实现协同地解密，但是密钥分割技术采用的密钥分量是由加密密钥生成的，密钥分量需要通过安全的信道传输给解密者集群，存在密钥安全分发的困难。
技术实现思路
本申请实施例的目的在于提出了一种改进的应用于数据协同加密系统的加密方法、解密方法，来解决以上
技术介绍
部分提到的技术问题。第一方面，本申请实施例提供了一种应用于数据协同加密系统的加密方法，系统包括：数据访问端集群、数据管理端、数据服务端；该加密方法包括：数据管理端对明文数据进行加密，得到第一密文，并将第一密文发送至数据服务端；数据访问端集群根据各个数据访问端分别对应的私钥，生成协同公钥，并将协同公钥发送至数据管理端，其中，数据访问端集群中的每个数据访问端的私钥不共享；数据管理端基于协同公钥生成重加密密钥，并将重加密密钥发送至数据服务端；数据服务端基于第一密文和重加密密钥，生成第二密文。在一些实施例中，数据访问端集群中的数据访问端分别对应的私钥，预先根据如下步骤生成：对于数据访问端集群中的每个数据访问端，该数据访问端从预设的数据集合中选择数据作为该数据访问端对应的私钥。在一些实施例中，对明文数据进行加密，得到第一密文，包括：获取数据管理端对应的公钥，以及从预设的数据数据集合中选择数据作为加密用数据基于数据管理端对应的公钥和加密用数据，对明文数据进行加密，生成第一密文。在一些实施例中，基于协同公钥生成重加密密钥，包括：基于协同公钥和数据管理端对应的私钥，生成重加密密钥。在一些实施例中，根据各个数据访问端分别对应的私钥，生成协同公钥，包括：数据访问端集群中的第一解密数据访问端基于对应的私钥，生成中转公钥；第一解密数据访问端从数据访问端集群中的未生成中转公钥的其他数据访问端中确定第一目标数据访问端；第一解密数据访问端将所生成的中转公钥发送至第一目标数据访问端；第一目标数据访问端执行如下生成步骤：第一目标数据访问端利用接收的中转公钥和对应的私钥，生成新的中转公钥；确定数据访问端集群中是否存在未生成中转公钥的数据访问端；如果不存在，将最近一次生成的中转公钥确定为协同公钥；如果存在，从数据访问端集群中的未生成中转公钥的其他数据访问端中重新确定第一目标数据访问端；重新确定的第一目标数据访问端继续执行生成步骤。在一些实施例中，系统还包括系统管理端；以及在数据管理端对明文数据进行加密，得到第一密文之前，方法还包括：系统管理端对系统进行初始化操作。在一些实施例中，数据服务端为云服务端。第二方面，本申请实施例提供了一种应用于数据协同加密系统的解密方法，该解密方法包括：数据访问端集群中的第一解密数据访问端从数据服务端获取第一密文和第二密文，其中，第一解密数据访问端为用于协同解密的首个数据访问端；基于第一密文和第二密文，由数据访问端集群中的数据访问端分别利用对应的私钥协同地进行解密，由第二目标数据访问端得到明文数据，其中，第二目标数据访问端为待获得明文数据的数据访问端。在一些实施例中，由数据访问端集群中的数据访问端分别利用对应的私钥协同地进行解密，得到明文数据，包括：第一解密数据访问端基于对应的私钥和第二密文，生成中转密文；第一解密数据访问端从数据访问端集群中的未生成中转密文的其他数据访问端中确定下一个数据访问端，并将所生成的中转密文发送至下一个数据访问端；下一个数据访问端执行如下解密步骤：利用接收的中转密文和对应的私钥，生成新的中转密文；确定数据访问端集群中是否存在未生成中转密文的数据访问端；如果不存在，基于最近一次生成的中转密文和第一密文进行解密，得到明文数据；如果存在，从数据访问端集群中的未生成中转密文的其他数据访问端中重新确定下一个数据访问端；重新确定的下一个数据访问端继续执行解密步骤。本申请实施例提供的应用于数据协同加密系统的加密方法、解密方法，通过数据管理端对明文数据进行加密，得到第一密文，数据访问端集群根据各个数据访问端分别对应的私钥，生成协同公钥，数据管理端基于协同公钥生成重加密密钥，数据服务端基于第一密文和重加密密钥，生成第二密文，解密时，多个数据访问端协同地对第二密文进行解密，从而基于代理重加密技术，实现了对协同解密的支持，提高了数据传输的安全性，并且使得数据分享策略更加灵活，能够支持任意个用户。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1是本申请可以应用于其中的示例性系统架构图；图2是根据本申请的应用于数据协同加密系统的加密方法的一个实施例的时序图；图3是根据本申请的应用于数据协同加密系统的解密方法的一个实施例的流程图。具体实施方式下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关专利技术，而非对该专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关专利技术相关的部分。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。图1示出了可以应用本申请实施例的数据协同加密系统的示例性系统架构100。如图1所示，系统架构100可以包括数据访问端集群101、数据管理端102、数据服务端103和网络104。网络104用以在数据访问端集群101、数据管理端102、数据服务端103之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。数据服务端103可以是提供各种服务的服务器，例如对数据管理端102上传的文件提供服务的云端服务器。数据访问端集群101包括的数据访问端可以是供用户使用的各种电子设备，包括但不限于智能手机、平板电脑、便携式计算机、台式计算机等。应该理解，图1中的数据访问端集群101、数据管理端102、数据服务端103和网络104的数目仅仅是示意性的。根据实现需要，可以具有任意数目的数据访问端集群101、数据管理端102、数据服务端103和网络104。继续参考图2，其示出了根据本申请的应用于数据协同加密系统的加密方法的一个实施例的时序图200。其中，数据协本文档来自技高网...

【技术保护点】
1.一种应用于数据协同加密系统的加密方法，其特征在于，所述系统包括：数据访问端集群、数据管理端、数据服务端；/n所述加密方法包括：/n所述数据管理端对明文数据进行加密，得到第一密文，并将所述第一密文发送至数据服务端；/n所述数据访问端集群根据各个数据访问端分别对应的私钥，生成协同公钥，并将所述协同公钥发送至所述数据管理端，其中，所述数据访问端集群中的每个数据访问端的私钥不共享；/n所述数据管理端基于所述协同公钥生成重加密密钥，并将所述重加密密钥发送至所述数据服务端；/n所述数据服务端基于所述第一密文和所述重加密密钥，生成第二密文。/n

【技术特征摘要】
1.一种应用于数据协同加密系统的加密方法，其特征在于，所述系统包括：数据访问端集群、数据管理端、数据服务端；
所述加密方法包括：
所述数据管理端对明文数据进行加密，得到第一密文，并将所述第一密文发送至数据服务端；
所述数据访问端集群根据各个数据访问端分别对应的私钥，生成协同公钥，并将所述协同公钥发送至所述数据管理端，其中，所述数据访问端集群中的每个数据访问端的私钥不共享；
所述数据管理端基于所述协同公钥生成重加密密钥，并将所述重加密密钥发送至所述数据服务端；
所述数据服务端基于所述第一密文和所述重加密密钥，生成第二密文。


2.根据权利要求1所述的方法，其特征在于，所述数据访问端集群中的数据访问端分别对应的私钥，预先根据如下步骤生成：
对于所述数据访问端集群中的每个数据访问端，该数据访问端从预设的数据集合中选择数据作为该数据访问端对应的私钥。


3.根据权利要求1所述的方法，其特征在于，所述对明文数据进行加密，得到第一密文，包括：
获取所述数据管理端对应的公钥，以及从预设的数据集合中选择数据作为加密用数据；
基于所述数据管理端对应的公钥和所述加密用数据，对所述明文数据进行加密，生成第一密文。


4.根据权利要求3所述的方法，其特征在于，所述基于所述协同公钥生成重加密密钥，包括：
基于所述协同公钥和所述数据管理端对应的私钥，生成重加密密钥。


5.根据权利要求1所述的方法，其特征在于，所述根据各个数据访问端分别对应的私钥，生成协同公钥，包括：
所述数据访问端集群中的第一解密数据访问端基于对应的私钥，生成中转公钥；第一解密数据访问端从所述数据访问端集群中的未生成中转公钥的其他数据访问端中确定第一目标数据访问端；第一解密数据访问端将所生成的中转公钥发送至第一目标数据访问端；
第一目标数据访问端执行如下生成步骤：第一目标数据访问端利用接收的中转公钥和对应的私钥，生成新的中转公钥；确定所述数据访问端集群中是否存在未生成...

【专利技术属性】
技术研发人员：张宇，
申请(专利权)人：北京数字认证股份有限公司，
类型：发明
国别省市：北京;11