本發明涉及加解密技術，其公開了一種業務端用戶數據加密方法和解密方法，提高用戶密鑰存儲的安全性和加解密的安全性。加密方法包括：A、業務端調用加密函數，傳輸參數包括業務標識、用戶標識和待加密的用戶明文數據；B、判斷是否存在所述業務標識對應的業務密鑰，若不存在，則生成對應的業務密鑰；C、根據所述用戶標識生成隨機用戶密鑰，選擇加密算法和加密參數，基于所述隨機用戶密鑰對待加密的用戶明文數據進行加密，生成用戶數據密文；D、生成包括密鑰頭、業務密鑰密文、用戶密鑰密文的密鑰集；E、將生成的密鑰集寫入密鑰文件。本發明適用于對業務端用戶數據的加解密。

技術領域

本發明涉及加解密技術，具體涉及一種業務端用戶數據加密方法和解密方法。

背景技術

因特網作為信息傳輸的載體是不安全的信息媒介，它所遵循的通訊協議(TCP/IP協議)本身具有脆弱性。由于當初設計該協議的初衷并非出于對通信安全的考慮，而是出于對通信自由的考量。因此，一些基于TCP/IP協議的服務也是極不安全；另一方面，因特網給眾多的商家帶來了無限的商機，許多網絡黑客依照經濟利益或個人愛好，專門跟蹤Internet的特殊群體或個別敏感用戶，盜取他們的網絡身份或銀行帳戶信息，再冒充合法用戶的身份，進一步侵入信息系統，非法盜取經濟、政治、軍事機密。為了保證因特網的安全和充分發揮其商業信息交換的價值，人們選擇了數據加密技術，對訪問Internet網絡的用戶實施身份認證。

加密技術在網絡應用方面概括起來有：數據加密、身份認證、數字簽名和(不可否認性)防止個人否認事實的行為(撒謊)。其次就是對于黑客的非法入侵行為在網絡上進行攔截。許多安全防護體系是基于密碼的，密碼一旦泄露出去可以導致很多的安全隱患，甚至導致網絡的全面崩潰。當人在網絡上進行訪問時必須進入第一道門坎——登錄(Login)。系統要求你鍵入的密碼(Password)以明文的形式被傳輸到用戶服務器上，系統自動對你的用戶身份進行鑒別，這就是身份認證。確定你的身份后才容許你訪問該網絡或進行彼此通訊。身份認證是基于加密技術的一種網絡防范行為，它的作用就是用來確定用戶是否是真實的。

有些時候，用戶可能需要對一些機密文件進行加密，并不一定因為要在網絡間進行傳輸，而是要防止別人竊得計算機密碼而獲得該機密文件，因此要對數據實行加密，從而實現多重保護。例如，通常使用的VPN系統，又如在UNIX系統中常用的crypt(3)命令對文件進行加密，盡管這些加密手段已不是那么先進，甚至有被破解的較大可能性，但是最起碼可以保證文件的完整無誤地傳輸到信息接受方。

現有數據加解密方法要么基于某種特定的算法根據相應的密鑰進行加解密處理，單純的加解密算法本身有被破解的風險，密鑰泄漏也會直接導致數據的泄漏，安全性較低；要么基于底層的存儲器特性和加解密場景的實際情況進行特殊處理，不具有較強的通用性和適用性。

發明內容

本發明所要解決的技術問題是：提出一種業務端用戶數據加密方法和解密方法，提高用戶密鑰存儲的安全性和加解密的安全性。

本發明解決上述技術問題采用的技術方案是：

一種業務端用戶數據加密方法，包括以下步驟：

A、業務端調用加密函數，傳輸參數包括業務標識、用戶標識和待加密的用戶明文數據；

B、判斷是否存在所述業務標識對應的業務密鑰，若不存在，則生成對應的業務密鑰；

C、根據所述用戶標識生成隨機用戶密鑰，選擇加密算法和加密參數，基于所述隨機用戶密鑰對待加密的用戶明文數據進行加密，生成用戶數據密文；

D、生成密鑰集：利用所述業務標識加上所述用戶標識，填充固定長度，記為加密頭中綴；對所述加密頭中綴采用摘要算法生成數字形式摘要信息，填充固定長度，記錄為加密頭前綴；利用步驟C中選擇的加密算法加上加密參數對所述用戶密鑰進行加密，記為加密頭后綴；對所述業務密鑰加密，填充固定長度，記為業務密鑰密文；對所述用戶密鑰加密，填充固定長度，記錄為用戶密鑰密文；