本發明提供了一種數據存儲加密和解密的方法，該方法通過在每個數據串的指定位置增加算法的類型以及秘鑰索引信息組成一串加密密文，如果需要解密時，通過指定位置的算法類型以及秘鑰索引信息，得到需要進行解密的算法類型以及秘鑰信息，從而進行解密；保證了加密數據的安全性。

技術領域

本發明涉及數據安全技術領域，特別是一種數據存儲加密和解密的方法及其裝置。

背景技術

加密，是以某種特殊的算法改變原有的信息數據，使得未授權的用戶即使獲得了已加密的信息，但因不知解密的方法，仍然無法了解信息的內容。

隨著云服務的普及，越來越多敏感信息被外包給云，這些存儲在云上的數據需要被加密。然而，云端數據不在企業及個人用戶的監管中，因此為了防止隱私信息泄露，數據在上傳至云端或者服務器之前需要進行加密。現有的在存儲加密的技術上，大部分是對增加秘鑰存儲介質或者針對存儲設備進行相關處理的加密方案，現有技術的方案可擴展性不高，且安全性低。

發明內容

為克服上述問題，本發明的目的是提供一種數據存儲加密和解密的方法，使得業務無需關心具體的數據加密邏輯，增加了破解難度，提高了安全性。

本發明采用以下方案實現：一種數據存儲加密和解密的方法，所述方法包括加密階段和解密階段；

所述加密階段包括如下步驟：步驟S11、應用服務器獲取需要加密的數據，提交給數據加密服務；

步驟S12、數據加密服務隨機獲取需要加密的加密類型以及生成秘鑰，將秘鑰保存在一秘鑰存儲介質中；

步驟S13、秘鑰存儲完成后，數據加密服務將加密類型、秘鑰索引信息、加密后的數據組成一串密文，這個密文存儲至對應的業務數據庫中；

所述解密階段包括如下步驟：

步驟S21、應用服務器獲取需要的數據，則從業務數據庫中獲取密文后，提交給數據加密服務；

步驟S22、數據加密服務獲取到密文后，根據密文中的數據加密類型以及根據秘鑰索引從秘鑰存儲介質中獲取的秘鑰對加密的數據進行解密，解密后將解密的原文數據提供給業務服務器。

進一步的，所述加密類型包括DES、ECC、AES、MD5、SHA1、DSA或者RSA加密算法。

進一步的，所述密文的格式為秘鑰索引+加密類型+加密后的數據+數據簽名，通過該格式形成一字符串。

進一步的，所述解密進一步具體為：先通過所述數據簽名對加密的數據進行驗證簽名是否合法，不合法，則不進行解密操作，合法，則通過秘鑰索引從秘鑰存儲介質獲取秘鑰，再通過加密類型得到加密算法對加密的數據進行解密操作。

本發明還提供了一種數據存儲加密和解密的裝置，所述方法包括加密模塊和解密模塊；

所述加密模塊包括獲取數據單元、秘鑰存儲單元、密文生成單元；

所述獲取數據單元，通過應用服務器獲取需要加密的數據，提交給數據加密服務；

所述秘鑰存儲單元，通過數據加密服務隨機獲取需要加密的加密類型以及生成秘鑰，將秘鑰保存在一秘鑰存儲介質中；

所述密文生成單元，在秘鑰存儲完成后，通過數據加密服務將加密類型、秘鑰索引信息、加密后的數據組成一串密文，這個密文存儲至對應的業務數據庫中；

所述解密模塊包括：獲取密文單元、解密單元；

所述獲取密文單元，通過應用服務器獲取需要的數據，則從業務數據庫中獲取密文后，提交給數據加密服務；

所述解密單元，通過數據加密服務獲取到密文后，根據密文中的數據加密類型以及根據秘鑰索引從秘鑰存儲介質中獲取的秘鑰對加密的數據進行解密，解密后將解密的原文數據提供給業務服務器。

進一步的，所述加密類型包括DES、ECC、AES、MD5、SHA1、DSA或者RSA加密算法。