技術領域

本發明屬于數據加解密技術領域，尤其涉及一種密鑰分配方法及解密方法。

背景技術

隨著信息技術的飛速發展，計算機大批量數據存儲的安全問題、敏感數據的防竊取和防篡改問題越來越引起人們的重視。保護數據的有效方法是建立數據保護系統，數據保護系統可以對數據庫中的數據以及文件夾中的數據進行保護。

數據保護系統中不同的數據有不同的安全性需求，根據安全性需求的不同，可以將數據庫的數據和文件夾中的文件分成若干個不同的安全數據類，每個安全數據類都有一個數據類密鑰，不同的安全數據類對應的數據類密鑰也不相同。與數據安全相對應的是用戶權限，根據用戶權限的不同，用戶可以分成若干個用戶類，不同用戶類權限的不同主要體現在它們對數據類密鑰的掌握上，權限越高的用戶類所掌握的數據類密鑰越多、對數據的訪問權限越大。

目前對數據類密鑰的分配方式為：中央授權機構或密鑰分配中心根據不同用戶類具有的用戶權限確定各用戶類可以掌握的若干個數據類密鑰，之后將此若干個數據類密鑰傳輸至屬于該用戶類的所有用戶。

但是，上述數據類密鑰的分配方法具有如下缺點：用戶掌握了多個數據類密鑰，需要對多個數據類密鑰進行管理，隨著用戶所掌握數據類密鑰數量的增加，管理難度也隨之增加；由于用戶直接掌握了數據類密鑰，當分屬于不同用戶類的多個用戶進行協作之后，可能獲取其他用戶類所掌握的數據類密鑰，降低了數據保護系統的安全性。

發明內容

有鑒于此，本發明的目的在于提供一種密鑰分配方法，可以降低用戶管理密鑰的難度，并且可以提高數據保護系統的安全性。同時提供一種解密方法，實現對數據的解密。

為實現上述目的，本發明提供如下技術方案：

一種密鑰分配方法，應用于中央授權機構，該方法包括：

分別為每個安全數據類分配一個數據類密鑰；

分別為每個所述安全數據類分配一個影子數，并另外產生一個混淆數，存儲所述影子數和混淆數，所述混淆數和多個影子數為互素數，所述每個安全數據類的影子數大于其數據類密鑰，所述混淆數大于所有數據類密鑰；

確定合成模數，所述合成模數為所述影子數和混淆數的乘積；

分別確定每個安全數據類的第一影子伴數，每個安全數據類的第一影子伴數為所述合成模數與當前安全數據類的影子數的比值；

分別確定每個安全數據類的第二影子伴數，每個安全數據類的第二影子伴數和第一影子伴數的乘積模該安全數據類的影子數余1，并且每個安全數據類的第二影子伴數小于其影子數；

確定第一混淆伴數，所述第一混淆伴數為所述合成模數與所述混淆數的比值；

確定第二混淆伴數，所述第二混淆伴數和第一混淆伴數的乘積模所述混淆數余1，并且所述第二混淆伴數小于所述混淆數；

查詢用戶權限表，確定用戶類的用戶類標識和可處理的安全數據類；

確定所述用戶類可處理的每個安全數據類的密鑰隱藏項，所述密鑰隱藏項為該安全數據類的數據類密鑰、第一影子伴數和第二影子伴數的乘積；

確定所述用戶類的身份隱藏項，所述身份隱藏項為所述用戶類標識、第一混淆伴數和第二混淆伴數的乘積；

確定所述用戶類的用戶類密鑰，并將所述用戶類密鑰傳輸至屬于所述用戶類的用戶所在的客戶端，所述用戶類密鑰為所述用戶類可處理的各安全數據類的密鑰隱藏項與所述用戶類的身份隱藏項之和模所述合成模數的結果。

一種解密方法，應用于數據保護系統服務器，該方法包括：

獲取用戶的用戶類密鑰和數字指紋；

獲取用戶發送的包含要處理數據的標識和操作類型的請求；

獲取影子表中存儲的混淆數；

根據所述用戶類密鑰和所述混淆數確定所述用戶的理論用戶類標識，所述理論用戶類標識為所述用戶類密鑰模所述混淆數的結果；

判斷所述理論用戶類標識是否包含于用戶權限表存儲的用戶類標識中，當所述理論用戶類標識包含于所述用戶權限表存儲的用戶類標識時，獲取以所述理論用戶類標識命名的指紋文件，判斷所述數字指紋是否包含于所述指紋文件中，當所述數字指紋包含于所述指紋文件時，通過查詢數據字典確定所述要處理數據所屬的安全數據類；

判斷所述用戶發送的操作類型是否未超出用戶權限表存儲的對所述安全數據類的操作權限，當未超出對所述安全數據類的操作權限時，根據用戶類密鑰計算所述安全數據類的數據類密鑰，計算所述安全數據類的數據類密鑰具體為：獲取影子表中存儲的所述安全數據類的影子數，將所述用戶類密鑰模所述安全數據類的影子數，模運算的結果即為所述安全數據類的密鑰；