[发明专利]基于双实体的代理重加密系统及方法

说明书

本发明涉及一种基于双实体的代理重加密系统及方法。该基于双实体的代理重加密系统，包括：至少一个发送用户终端，由数据发送用户所持有；第一重加密服务器，与第一发送用户终端通信连接；第二重加密服务器，与发送用户终端和第一重加密服务器分别通信连接；至少一个接收用户终端，与第一重加密服务器和第二重加密服务器分别通信连接，由数据接收用户所持有其中，发送用户终端具有数据存储部、盲化因子选择部、盲化部、发送侧加密部以及发送侧通信部，第一重加密服务器具有密钥存储部、第一服务侧通信部、服务侧解密部以及服务侧加密部，第二重加密服务器具有第二服务侧通信部以及去盲部，接收用户终端具有接收侧通信部以及接收侧解密部。

技术领域

本发明属于数据安全技术领域，特别涉及一种基于双实体的代理重加密系统及方法。

背景技术

代理重加密技术是一种可以对密文进行安全转换的加密方法，可以将用户A用自己的公钥加密上传的密文转换成另外一种形式的密文，使得用户B可以使用自己的私钥来对转换后的密文进行解密，并且转换的过程中不会暴露所有的原始信息。

代理重加密技术常见的应用场景为数据交换平台。在现行的混合加密体制下，使用对称加密算法对数据进行加密。之后使用公钥加密算法对对称密钥进行加密。通过对公钥加密的对称密钥密文使用代理重加密技术，转换对称密钥的解密能力，从而实现文件的交换共享。即通过转移对称密钥的解密能力，使得接收文件的那一方有能力还原对称密钥，从而解密原始数据。

这种针对公钥加密体制进行设计的代理重加密，能够通过重加密密钥来对原始数据进行密钥转换，从而转移对密文的解密能力；但是，存在着效率较低的缺陷。

发明内容

本发明是为了解决上述问题而进行的，目的在于提供一种能够提高数据交换共享效率的基于双实体的代理重加密系统及方法。

本发明为了实现上述目的，采用了以下方案：

本发明提供了一种基于双实体的代理重加密系统，具有这样的特征，包括：至少一个发送用户终端，由数据发送用户所持有，每个发送用户终端具有唯一的发送用户终端识别号；第一重加密服务器，与第一发送用户终端通信连接；第二重加密服务器，与发送用户终端和第一重加密服务器分别通信连接；至少一个接收用户终端，与第一重加密服务器和第二重加密服务器分别通信连接，由数据接收用户所持有，每个接收用户终端具有唯一的接收终端识别信息，其中，发送用户终端具有数据存储部、盲化因子选择部、盲化部、发送侧加密部以及发送侧通信部，第一重加密服务器具有密钥存储部、第一服务侧通信部、服务侧解密部以及服务侧加密部，第二重加密服务器具有第二服务侧通信部以及去盲部，接收用户终端具有接收侧通信部以及接收侧解密部，数据存储部存储有至少一个数据，密钥存储部存储有接收终端的密钥作为接收侧密钥，盲化因子选择部从预设大素数的简化剩余类中随机选定一个正整数作为盲化因子，一旦数据发送用户从至少一个数据中选定至少一个需要进行发送的数据作为发送数据，盲化部就按照盲化因子对发送数据进行盲化处理得到盲化数据，发送侧加密部使用基于对称全同态加密算法的密钥作为发送侧密钥对盲化数据进行加密处理得到第一密文盲化数据，发送侧通信部将第一密文盲化数据和发送侧密钥发送给第一重加密服务器，并将盲化因子发送给第二重加密服务器，一旦第一服务侧通信部接收到第一密文盲化数据和发送侧密钥，服务侧解密部就使用发送侧密钥对第一密文盲化数据进行解密处理得到盲化数据，服务侧加密部使用接收侧密钥对服务侧解密部所得到的盲化数据进行加密处理得到第二密文盲化数据，第一服务侧通信部将第二密文盲化数据发送给第二重加密服务器，一旦第二服务侧通信部接收到第二密文盲化数据，去盲部就根据盲化因子对第二密文盲化数据进行去盲处理得到密文数据，第二服务侧通信部将密文数据发送给接收用户终端，一旦接收侧通信部接收到密文数据，接收侧解密部就使用接收侧密钥对该密文数据进行解密处理得到明文数据作为接收数据。

在本发明提供的基于双实体的代理重加密系统中，还可以具有这样的特征：其中，去盲部包含逆运算单元和去盲单元，逆运算单元用于对盲化因子进行逆运算处理得到去盲因子，去盲单元用于按照去盲因子对第二密文盲化数据进行去盲处理得到密文数据。