[发明专利]一种密钥分配方法及解密方法

说明书

技术领域

本发明属于数据加解密技术领域，尤其涉及一种密钥分配方法及解密方法。

背景技术

随着信息技术的飞速发展，计算机大批量数据存储的安全问题、敏感数据的防窃取和防篡改问题越来越引起人们的重视。保护数据的有效方法是建立数据保护系统，数据保护系统可以对数据库中的数据以及文件夹中的数据进行保护。

数据保护系统中不同的数据有不同的安全性需求，根据安全性需求的不同，可以将数据库的数据和文件夹中的文件分成若干个不同的安全数据类，每个安全数据类都有一个数据类密钥，不同的安全数据类对应的数据类密钥也不相同。与数据安全相对应的是用户权限，根据用户权限的不同，用户可以分成若干个用户类，不同用户类权限的不同主要体现在它们对数据类密钥的掌握上，权限越高的用户类所掌握的数据类密钥越多、对数据的访问权限越大。

目前对数据类密钥的分配方式为：中央授权机构或密钥分配中心根据不同用户类具有的用户权限确定各用户类可以掌握的若干个数据类密钥，之后将此若干个数据类密钥传输至属于该用户类的所有用户。

但是，上述数据类密钥的分配方法具有如下缺点：用户掌握了多个数据类密钥，需要对多个数据类密钥进行管理，随着用户所掌握数据类密钥数量的增加，管理难度也随之增加；由于用户直接掌握了数据类密钥，当分属于不同用户类的多个用户进行协作之后，可能获取其他用户类所掌握的数据类密钥，降低了数据保护系统的安全性。

发明内容

有鉴于此，本发明的目的在于提供一种密钥分配方法，可以降低用户管理密钥的难度，并且可以提高数据保护系统的安全性。同时提供一种解密方法，实现对数据的解密。

为实现上述目的，本发明提供如下技术方案：

一种密钥分配方法，应用于中央授权机构，该方法包括：

分别为每个安全数据类分配一个数据类密钥；

分别为每个所述安全数据类分配一个影子数，并另外产生一个混淆数，存储所述影子数和混淆数，所述混淆数和多个影子数为互素数，所述每个安全数据类的影子数大于其数据类密钥，所述混淆数大于所有数据类密钥；

确定合成模数，所述合成模数为所述影子数和混淆数的乘积；

分别确定每个安全数据类的第一影子伴数，每个安全数据类的第一影子伴数为所述合成模数与当前安全数据类的影子数的比值；

分别确定每个安全数据类的第二影子伴数，每个安全数据类的第二影子伴数和第一影子伴数的乘积模该安全数据类的影子数余1，并且每个安全数据类的第二影子伴数小于其影子数；

确定第一混淆伴数，所述第一混淆伴数为所述合成模数与所述混淆数的比值；

确定第二混淆伴数，所述第二混淆伴数和第一混淆伴数的乘积模所述混淆数余1，并且所述第二混淆伴数小于所述混淆数；

查询用户权限表，确定用户类的用户类标识和可处理的安全数据类；

确定所述用户类可处理的每个安全数据类的密钥隐藏项，所述密钥隐藏项为该安全数据类的数据类密钥、第一影子伴数和第二影子伴数的乘积；

确定所述用户类的身份隐藏项，所述身份隐藏项为所述用户类标识、第一混淆伴数和第二混淆伴数的乘积；

确定所述用户类的用户类密钥，并将所述用户类密钥传输至属于所述用户类的用户所在的客户端，所述用户类密钥为所述用户类可处理的各安全数据类的密钥隐藏项与所述用户类的身份隐藏项之和模所述合成模数的结果。

一种解密方法，应用于数据保护系统服务器，该方法包括：

获取用户的用户类密钥和数字指纹；

获取用户发送的包含要处理数据的标识和操作类型的请求；

获取影子表中存储的混淆数；

根据所述用户类密钥和所述混淆数确定所述用户的理论用户类标识，所述理论用户类标识为所述用户类密钥模所述混淆数的结果；

判断所述理论用户类标识是否包含于用户权限表存储的用户类标识中，当所述理论用户类标识包含于所述用户权限表存储的用户类标识时，获取以所述理论用户类标识命名的指纹文件，判断所述数字指纹是否包含于所述指纹文件中，当所述数字指纹包含于所述指纹文件时，通过查询数据字典确定所述要处理数据所属的安全数据类；

判断所述用户发送的操作类型是否未超出用户权限表存储的对所述安全数据类的操作权限，当未超出对所述安全数据类的操作权限时，根据用户类密钥计算所述安全数据类的数据类密钥，计算所述安全数据类的数据类密钥具体为：获取影子表中存储的所述安全数据类的影子数，将所述用户类密钥模所述安全数据类的影子数，模运算的结果即为所述安全数据类的密钥；