一种基于密码技术的加密数据监管方法及系统技术方案

本发明专利技术涉及信息技术领域，具体公开了一种基于密码技术的加密数据监管方法及系统，其中系统包括若干用户、监管方、监管服务中心、密钥生成中心及协同解密装置，所述方法包括步骤S100根据监管要求创建若干个监管群组，并请求密钥生成中心为所述若干个监管群组分别生成唯一的群组密钥；步骤S200根据目标用户标识和监管群组的群组密钥生成用户密钥分片，然后将所述密钥分片、所述用户标识和监管群组标识发送至协同解密装置进行保存，等步骤；本发明专利技术监管方用户在获取目标用户的密文数据的过程无需为用户的数据创建数据副本，节约了系统资源，同时在数据监管过程中能有效保护用户密钥的安全性。的安全性。的安全性。

【技术实现步骤摘要】
一种基于密码技术的加密数据监管方法及系统


[0001]本专利技术涉及信息
，具体是一种基于密码技术的加密数据监管方法及系统。

技术介绍

[0002]在信息化系统的设计中，保护用户隐私信息的方式通常是采用数据加密技术对用户数据进行加密，确保用户的隐私信息始终以密文的形式进行传输或存储，保证任何第三方实体无法获取用户的隐私数据信息。然而，除了要确保用户隐私信息的安全性、保密性之外，还需要根据监管要求赋予监管方对被监管用户的各类隐私信息进行获取、解密的权限，确保监管方可及时监管危害社会秩序、国家安全的违法数据。
[0003]在信息监管场景中，如何实现在保护用户隐私信息安全性的同时满足可监管的要求是必须要考虑的问题。现有相关技术的具体实现方式如下所述：
[0004]1)创建数据副本方式，该方式需要在系统中使用监管方的监管密钥对用户的数据进行加密并生成密文数据副本，这使监管方可以直接通过监管密钥解密用户的密文数据副本，从而查看用户原始数据。所述方式需要为用户的数据创建密文数据副本并存储，当用户规模逐渐扩大时，这必然会浪费系统资源；
[0005]2)密钥托管方式，该方式需要在系统中托管用户的解密密钥，以使监管方可以直接获取用户的解密密钥并对密文进行解密，从而查看用户原始的数据。这种方式需要存储若干个目标用户的解密密钥，当目标用户规模逐渐扩大时，必然会加剧监管机构的密钥管理开销；同时用户的解密密钥可容易被获取，这会影响用户密钥的安全性。

技术实现思路

[0006]本专利技术的目的在于提供一种基于密码技术的加密数据监管方法及系统，以解决在信息监管场景中，系统需要为用户的数据创建数据副本并存储，当用户规模逐渐扩大时，这必然会浪费系统资源；系统需要托管用户的解密密钥，以使监管方可以直接获取用户的解密密钥，当用户规模逐渐扩大时，这必然会加剧系统的密钥管理开销，并影响用户密钥的安全性；用户隐私数据的安全问题，当不法分子通过违法手段盗取监管方的监管密钥后，可通过解密操作对用户隐私数据进行解密，从而盗取用户的隐私信息。
[0007]为实现上述目的，本专利技术提供如下技术方案：首先本方法提出一种基于密码技术的加密数据监管系统，所述系统包括：若干用户模块、监管方模块、监管服务中心、密钥生成中心及协同解密装置：
[0008]用户模块：其中用户分为公众用户和目标用户，其中公众用户是隐私数据的产生者和拥有者，可用自己的加密密钥对隐私数据进行加密并传输或存储密文数据；目标用户则是被纳入指定的监管群组的公众用户；
[0009]监管方模块：包含若干个监管方用户，所述监管方用户需要向监管服务中心获取指定监管群组的群组密钥，并联合协同解密装置对目标用户的密文数据进行协同解密操
作，从而完成数据监管；
[0010]密钥生成中心：根据用户标识信息计算生成用户加密密钥；为监管群组分发唯一的群组密钥；根据目标用户标识和所述用户所属监管群组的群组密钥生成密钥分片并将其存储在协同解密装置；
[0011]协同解密装置：安全存储目标用户的密钥分片；联合监管方用户协同解密目标用户的密文隐私数据；
[0012]监管服务中心：创建并维护若干个监管群组；管理所述监管群组的群组密钥；为各监管方用户分发有效的群组密钥；获取目标用户信息并将其纳入对应的监管群组；请求KGC生成所述目标用户的密钥分片。
[0013]结合上述系统，本专利技术提供一种基于密码技术的加密数据监管方法，所述方法包括如下步骤：
[0014]步骤S100根据监管要求创建若干个监管群组，并请求密钥生成中心为所述若干个监管群组分别生成唯一的群组密钥；
[0015]步骤S200根据目标用户标识和监管群组的群组密钥生成用户密钥分片，然后将所述密钥分片、所述用户标识和监管群组标识发送至协同解密装置进行保存；
[0016]步骤S300当监管方用户需要访问目标用户加密后的隐私数据时，根据所述目标用户所属监管群组的群组密钥，联合协同解密装置对用户密文数据进行协同解密操作。
[0017]作为本专利技术所述的一种优选实施方案，其中，所述方法中需要根据实际监管要求将符合要求的公众用户纳入指定的监管群组，从而使监管方用户可以通过该监管群组对所述用户的隐私数据进行监管。
[0018]作为本专利技术所述的一种优选实施方案，其中，在本方法中监管方用户和监管群组的关系发生变更，即当所述监管方用户退出当前所属的监管群组时，该监管方用户无法继续解密原监管群组内的用户密文信息。
[0019]作为本专利技术所述的一种优选实施方案，其中，所述方法中各监管群组的群组密钥是唯一的，并需要定期更新，其中群组密钥用于：监管方用户联合协同解密装置协同解密目标用户的密文数据。
[0020]作为本专利技术所述的一种优选实施方案，其中，所述方法中公众用户保护隐私数据的方式为采用数字信封技术，使用随机生成的对称密钥对隐私数据进行加密并生成数据密文，随后使用非对称密钥对所述对称密钥进行加密并生成密钥密文，最后将数据密文和密钥密文拼接为数字信封，其中密钥密文符合国密SM9标准要求中规定的密文格式。
[0021]作为本专利技术所述的一种优选实施方案，其中，所述方法中密钥生成中心为监管群组生成唯一群组密钥的具体过程如下：
[0022]1)所述KGC使用随机数生成器产生随机整数a∈[1，N
‑
1]；
[0023]2)所述KGC基于系统公开参数计算群组密钥GK＝[a]P2，其中P2为N阶循环子群G2的生成元；
[0024]3)所述KGC返回所述群组私钥GK。
[0025]作为本专利技术所述的一种优选实施方案，其中，所述方法中根据目标用户标识和监管群组的群组密钥生成用户密钥分片的具体过程如下：
[0026]1)监管服务中心接收目标用户信息，并根据监管要求将所述目标用户纳入对应的
监管群组；
[0027]2)监管服务中心将所述用户标识ID
u
、所述监管群组的群组密钥GK发送至KGC；
[0028]3)KGC获取用户标识ID
u
，并计算t1＝Hash(ID
u
||hid，N)+ke，其中hid为加密私钥生成函数标识符，N为素数，ke∈[1，N
‑
1]为KGC的加密主私钥；
[0029]4)KGC计算t2＝ke
·
t1‑1，然后计算所述用户的加密私钥UK
u
＝[t2]P2，其中P2为N阶循环子群G2的生成元；
[0030]5)KGC获取群组密钥GK，并计算用户密钥分片TK
u
＝UK
u
‑
GK，然后将用户密钥分片TK
u
、对应的用户标识ID
u
和监管群组标识发送至协同解密装置。
[0031]作为本专利技术所述的一种优选实施方案，其中，所述方法中根据目标用户所属监管群组的群组密钥联合协同解密装置对用户密文数据进行协同解密本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于密码技术的加密数据监管方法，其特征在于，所述方法包括如下步骤：步骤S100根据监管要求创建若干个监管群组，并请求密钥生成中心为所述若干个监管群组分别生成唯一的群组密钥；步骤S200根据目标用户标识和监管群组的群组密钥生成用户密钥分片，然后将所述密钥分片、所述用户标识和监管群组标识发送至协同解密装置进行保存；步骤S300当监管方用户需要访问目标用户加密后的隐私数据时，根据所述目标用户所属监管群组的群组密钥，联合协同解密装置对用户密文数据进行协同解密操作。2.根据权利要求1所述的一种基于密码技术的加密数据监管方法，其特征在于，所述方法中需要根据实际监管要求将符合要求的公众用户纳入指定的监管群组，从而使监管方用户通过该监管群组对所述公众用户的隐私数据进行监管。3.根据权利要求2所述的一种基于密码技术的加密数据监管方法，其特征在于，在本方法中监管方用户和监管群组的关系发生变更，即当所述监管方用户退出当前所属的监管群组时，该监管方用户无法继续解密原监管群组内的用户密文信息。4.根据权利要求3所述的一种基于密码技术的加密数据监管方法，其特征在于，所述方法中各监管群组的群组密钥是唯一的，并需要定期更新，其中群组密钥用于：监管方用户联合协同解密装置协同解密目标用户的密文数据。5.根据权利要求4所述的一种基于密码技术的加密数据监管方法，其特征在于，所述方法中公众用户保护隐私数据的方式为采用数字信封技术，使用随机生成的对称密钥对隐私数据进行加密并生成数据密文，随后使用非对称密钥对所述对称密钥进行加密并生成密钥密文，最后将数据密文和密钥密文拼接为数字信封，其中密钥密文符合国密SM9标准要求中规定的密文格式。6.根据权利要求5所述的一种基于密码技术的加密数据监管方法，其特征在于，所述方法中密钥生成中心为监管群组生成唯一群组密钥的具体过程如下：1)所述KGC使用随机数生成器产生随机整数a∈[1,N
‑
1]；2)所述KGC基于系统公开参数计算群组密钥GK＝[a]P2，其中P2为N阶循环子群G2的生成元；3)所述KGC返回所述群组私钥GK。7.根据权利要求6所述的一种基于密码技术的加密数据监管方法，其特征在于，所述方法中根据目标用户标识和监管群组的群组密钥生成用户密钥分片的具体过程如下：1)监管服务中心接收目标用户信息，并根据监管要求将所述目标用户纳入对应的监管群组；2)监管服务中心将所述用户标识ID
u
、所述监管群组的群组密钥GK发送至KGC；3)KGC获取用户标识ID
u
，并计算t1＝Hash(ID
u
||hid,N)+ke，其中hid为加密私钥生成函数标识符，N为素数，ke∈[1,N
‑
1]为KGC的加密主私钥；4)KGC计算t2＝ke
·
t1‑1，然后计算所述用户的加密私钥UK
u
＝[t2]P2，其中P2为N阶循环子群G2的生成元；5)KGC获取群组密钥GK，并计算用户密钥分片TK
u
＝UK
u
‑
GK，然后将用户密钥分片TK
u
、对应的用户标识ID
u
和监管群组标识发送至协同解密装置。8.根据权利要求7所述的一种基于密码技术的加密数据监管方法，其特征在于，所述方
法中根据目标用户所属监管群组的群组密钥联合协同解密装置对用户密文数据进行协同解密操作具体步骤如下：1)所述监管方用户向监管服务中心发送获取群组密钥的请求，该请求包括监管方用户标识和监管群组标识；2)监管服务中心获取所述监管方用户标识，并通过身份认证操作检验所述监管方用户身份的有效性；所述身份认证操作包...

【专利技术属性】
技术研发人员：王凯，金赛辉，张云兵，姚景升，荣博，赵朝晖，
申请(专利权)人：商密广州信息科技有限公司，
类型：发明
国别省市：