技術領域

本發明涉及一種數據加密和解密的方法，尤其涉及一種通過互聯網自動完成多讀者授權文檔加、解密的方法。

背景技術

在一種數據加密、解密系統和方法(申請號：200710030135.2，申請人農革)中提出了一個加密方案，該方案利用每個讀者的公鑰對文件密碼進行加密，然后把加密后的密碼和讀者身份信息附在文件頭中。解密時根據文件頭中的讀者身份信息，通過網絡獲取該讀者的私鑰，再利用該私鑰解密文件頭中的文件密碼，然后用解密后的文件密碼對文件進行解密。用該方案生成的文件，對每一個該文件的讀者，在文件頭中都包含了用該讀者的公鑰進行加密后的文件密碼。假設每個讀者的授權信息需要m字節，存儲n個讀者的授權信息所需的空間為nm字節。在實際應用中，為了使加密后的文件密碼被破解的難度增加，m的典型值為256到512個字節。不失一般性，假設m為256；如果n為1024，則授權信息至少需要256K字節以上。這樣就導致了該方案的一個缺點：當讀者數增加時，授權信息增長過快、占用過多的存儲空間。

發明內容

本申請提出一個新型的文件加密和授權方案，有效克服上述所提方案的缺點。利用本發明生成的每個文件，其中包含的授權信息所需的存儲空間約為32n字節，其中n為讀者數。假設n為1024，本發明的方案只需要32K字節的空間來存儲加密文件的讀者授權信息。

多讀者文檔加密和解密方法是基于一種加密和解密系統，該系統包括一個接受用戶指令對文件進行加密和解密、以及進行公/私鑰管理的客戶端系統和一個從客戶端子系統處接受作業請求、執行作業并返回作業結果的服務器系統，客戶端子系統和服務器子系統通過互聯網進行數據通訊。

客戶端系統的公/私鑰管理包括利用用戶的身份驗證碼通過互聯網登錄遠程服務器系統，并從用戶處接受指令，對存儲于遠程服務器系統中的公、私鑰進行更新、發布和檢索管理，還包括在本地生成公、私鑰，并將其存儲到遠程服務器系統。

服務器系統執行的作業包括公/私鑰的生成、存儲、發布和管理，所述公鑰的發布信息的查閱，服務器還根據用戶的預先設置對來自不同用戶的查閱請求作出權限控制，根據用戶在服務器中所存儲的密鑰對作業中提交的數據進行加密、解密、簽名和驗證簽名。

該方法加密過程為：

11)在所述客戶端，作者A把文件密碼Kb和一個隨機數S用作者的密鑰Kp進行加密，獲取加密后的密碼數據X，并把X存儲于Fd的文件頭；

12)把n個讀者按每組不多于g個讀者分為j組，對每組讀者重復步驟13)—14)；

13)用Ks對該組讀者的身份信息和X進行簽名運算，獲得該組讀者授權信息的簽名數據H；

14)把該組讀者的身份信息和簽名數據H作為一個記錄，存儲于Fd的文件頭；

15)把源文件Fs用Kb加密后獲得密文Y，然后把Y存儲于Fd的文件頭之后。

該方法解密過程為：

21)在所述客戶端，讀者R查找Fd文件頭中所有讀者組，如果有讀者組包含R為讀者，則把該組的讀者身份信息、簽名數據和加密后的密碼數據X一起通過互聯網發往服務器請求解密；

22)所述服務器收到解密請求后，根據該請求中的讀者身份信息和加密后的密碼數據X用作者的密鑰Kp驗證讀者R是否屬于該讀者組；

23)如果步驟2中驗證簽名不通過，則拒絕該請求并退出，否則進行下一步；

24)用作者的密鑰Ks對X進行解密，獲取加密Fs的密碼Kb；

25)把Kb通過互聯網返回給提交請求的讀者R；

26)讀者R用Kb把Fd解密還原為源文件Fs。

上述整個加密文件Fd的數據結構為：

上述每個讀者組的數據結構為：

利用本發明生成的每個文件，其中包含的授權信息所需的存儲空間約為32n字節，其中n為讀者數；假設n為1024，本發明的方案只需要32K字節的空間來存儲加密文件的讀者授權信息。而背景技術中專利中的方案所需的256K字節相比，僅為其1/8，因而顯著提高了存儲效率，可用于對具有大讀者群的文件進行加密授權。

附圖說明

圖1a為本方法的加密流程圖，圖1b為本方法的解密流程圖。

圖2為本方法所基于系統的結構圖。

具體實施方式

下面結合附圖對本發明進行進一步闡述。