[发明专利]应用于数据协同加密系统的加密方法、解密方法

说明书

本申请实施例公开了应用于数据协同加密系统的加密方法、解密方法。该加密方法的一具体实施方式包括：数据管理端对明文数据进行加密，得到第一密文，并将第一密文发送至数据服务端；数据访问端集群根据各个数据访问端分别对应的私钥，生成协同公钥，并将协同公钥发送至数据管理端，其中，数据访问端集群中的每个数据访问端的私钥不共享；数据管理端基于协同公钥生成重加密密钥，并将重加密密钥发送至数据服务端；数据服务端基于第一密文和重加密密钥，生成第二密文。该实施方式实现了对协同解密的支持，提高了数据传输的安全性，并且使得数据分享策略更加灵活，能够支持任意个用户。

技术领域

本申请实施例涉及计算机技术领域，具体涉及应用于数据协同加密系统的加密方法、解密方法。

背景技术

数据分享是云计算环境下一个非常重要的应用，而云服务商往往是不能完全信任的第三方服务商。要保证数据的安全分享，需要将待分享数据加密后再上传。传统的加密机制，加密时需要用到解密方的密钥，而基于云计算的数据分享场景下，加密时往往尚无法确定解密者，因此并不适用。

代理重加密机制下，半可信代理人能够通过授权人产生的转换密钥将用授权人的公钥加密的密文转换为用被授权人的公钥加密的密文。在转换过程中，代理人无法得到数据的明文信息。因此，代理重加密机制可用于云计算环境下的数据分享场景。

同时，在一些应用场合，存在需要多个解密者协作才能成功解密获取明文的需求。使用密钥分割技术可以实现协同地解密，但是密钥分割技术采用的密钥分量是由加密密钥生成的，密钥分量需要通过安全的信道传输给解密者集群，存在密钥安全分发的困难。

发明内容

本申请实施例的目的在于提出了一种改进的应用于数据协同加密系统的加密方法、解密方法，来解决以上背景技术部分提到的技术问题。

第一方面，本申请实施例提供了一种应用于数据协同加密系统的加密方法，系统包括：数据访问端集群、数据管理端、数据服务端；该加密方法包括：数据管理端对明文数据进行加密，得到第一密文，并将第一密文发送至数据服务端；数据访问端集群根据各个数据访问端分别对应的私钥，生成协同公钥，并将协同公钥发送至数据管理端，其中，数据访问端集群中的每个数据访问端的私钥不共享；数据管理端基于协同公钥生成重加密密钥，并将重加密密钥发送至数据服务端；数据服务端基于第一密文和重加密密钥，生成第二密文。

在一些实施例中，数据访问端集群中的数据访问端分别对应的私钥，预先根据如下步骤生成：对于数据访问端集群中的每个数据访问端，该数据访问端从预设的数据集合中选择数据作为该数据访问端对应的私钥。

在一些实施例中，对明文数据进行加密，得到第一密文，包括：获取数据管理端对应的公钥，以及从预设的数据数据集合中选择数据作为加密用数据基于数据管理端对应的公钥和加密用数据，对明文数据进行加密，生成第一密文。

在一些实施例中，基于协同公钥生成重加密密钥，包括：基于协同公钥和数据管理端对应的私钥，生成重加密密钥。

在一些实施例中，根据各个数据访问端分别对应的私钥，生成协同公钥，包括：数据访问端集群中的第一解密数据访问端基于对应的私钥，生成中转公钥；第一解密数据访问端从数据访问端集群中的未生成中转公钥的其他数据访问端中确定第一目标数据访问端；第一解密数据访问端将所生成的中转公钥发送至第一目标数据访问端；第一目标数据访问端执行如下生成步骤：第一目标数据访问端利用接收的中转公钥和对应的私钥，生成新的中转公钥；确定数据访问端集群中是否存在未生成中转公钥的数据访问端；如果不存在，将最近一次生成的中转公钥确定为协同公钥；如果存在，从数据访问端集群中的未生成中转公钥的其他数据访问端中重新确定第一目标数据访问端；重新确定的第一目标数据访问端继续执行生成步骤。

在一些实施例中，系统还包括系统管理端；以及在数据管理端对明文数据进行加密，得到第一密文之前，方法还包括：系统管理端对系统进行初始化操作。

在一些实施例中，数据服务端为云服务端。