技術領域

本發明涉及通信技術領域，尤其涉及一種基于代理加密、解密方法，網絡設備、網絡裝置及系統。

背景技術

共享加密文件系統是在文件系統層實現網絡存儲安全的方法，它提供了端到端的安全，即文件數據經過加密后存儲在代理服務器上，系統中所有涉及文件加密、解密的操作均在客戶端完成。代理服務器上存儲的是密文數據，可以防止因系統入侵或管理員越權造成的信息泄露。

共享加密文件系統面對的主要問題是密鑰管理，包括密鑰的創建、存取、分發和撤銷。現有的共享加密文件系統中的密鑰管理方法可分為兩類：第一類是將文件分組訪問，即將具有相同訪問權限的文件歸為一組，組內文件共享一個密鑰，由文件擁有者或可信任的第三方分發給授權用戶；第二類方法是將文件密鑰用每個授權用戶的公鑰加密，經過代理服務器的一系列計算處理后，每個文件可以有不同的加密密鑰。

采用第二類方式的典型代表為代理重加密，這種方式的特點是可以實現文件粒度級的共享，在具體實現時，代理重加密的共享加密文件系統中的密鑰可通過不完全可信的代理來分發給授權用戶。

現有的代理重加密要求每個用戶都擁有自己的公鑰和私鑰，其中，公鑰為某一用戶向其他得到其授權的用戶公開的密鑰，私鑰為由某一用戶自己保存并且只有自己知道的密鑰，并且，用某一公鑰進行加密的數據或文件只有對應的私鑰可以進行解密，同樣的，用某一私鑰進行加密的文件只有對應的公鑰可以進行解密。

在現有技術中，參與現有的代理重加密方法的代理服務器只有一個，所以若該代理服務器出現故障，會導致代理重加密過程無法順利完成，共享文件過程被迫終止。因此，現有的代理重加密方法的可靠性、安全性較低。

發明內容

本發明實施例提供一種基于代理的加密、解密方法，網絡設備、網絡裝置及系統，能夠提高基于代理進行加密文件傳輸的可靠性和安全性。

本發明實施例采用如下技術方案：

一種基于代理的加密方法，包括：

根據發送端的私鑰和接收端的公鑰生成分別對應于至少兩個代理服務器的代理密鑰，所述代理密鑰的個數等于所述至少兩個代理服務器的個數；

將加密密文和所述分別對應于至少兩個代理服務器的代理密鑰分別發送給所述至少兩個代理服務器，以使所述至少兩個代理服務器分別根據對應的代理密鑰重加密所述加密密文。

一種基于代理的解密方法，包括：

獲取來自至少兩個代理服務器的重加密的加密密文；

對所述來自至少兩個代理服務器的重加密的加密密文進行解密預處理，生成預處理密文；

解密所述預處理密文。

一種網絡設備，包括：

代理密鑰生成模塊，用于根據所述網絡設備的私鑰和接收端的公鑰生成分別對應于至少兩個代理服務器的代理密鑰，所述代理密鑰的個數等于所述至少兩個代理服務器的個數；

發送模塊，用于將加密密文和所述分別對應于至少兩個代理服務器的代理密鑰分別發送給所述至少兩個代理服務器，以使所述至少兩個代理服務器分別根據對應的代理密鑰重加密所述加密密文。

一種網絡裝置，包括：

獲取模塊，用于獲取來自至少兩個代理服務器的重加密的加密密文；

解密預處理模塊，用于對所述來自至少兩個代理服務器的重加密的加密密文進行解密預處理，生成預處理密文；

解密模塊，用于解密所述預處理密文。

一種基于代理的網絡系統，包括：至少一個上述網絡設備，至少一個上述網絡裝置，以及至少兩個代理服務器。

在本發明的實施例中，發送端根據發送端的私鑰和接收端的公鑰生成分別多個分別對應于多個代理服務器的代理密鑰，接收端從多個代理服務器獲取重加密的加密密文進行解密，使得實際參與傳輸的代理服務器的個數遠多于一個，避免了當只有一個代理服務器參與傳輸時可能出現的由于代理服務器故障，傳輸過程被迫終止的狀況，提高了基于代理重加密傳輸的可靠性、安全性。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明實施例中的基于代理的加密方法流程圖；

圖2為本發明實施例中的基于代理的解密方法流程圖；

圖3為本發明實施例中的基于代理重加密的傳輸方法流程圖；

圖4為本發明實施例中的生成代理密鑰方法流程圖；