本發明涉及一種文檔安全加解密方法，包括步驟：文檔加密時：隨機生成密鑰對原始文檔進行加密，生成加密數據；使用被授權訪問者的公鑰生成密鑰字典、驗證字典；將加密數據、密鑰字典、驗證字典打包生成加密文檔；文檔解密時：對加密文檔進行解包得到加密數據、密鑰字典、驗證字典；使用被授權訪問者的私鑰得到解密密鑰字典、解密驗證字典；使用發布者的公鑰從解密驗證字典中獲取索引號，根據索引號從解密密鑰字典中得到密鑰，再使用密鑰對加密數據進行解密，得到原始文檔。本發明適合弱網絡或離線場景下文檔的安全保障，提供不依賴服務端和CA中心的加解密方法，通過自包含信息實現文檔的安全傳輸和訪問控制。

技術領域

本發明涉及信息安全技術領域，特別涉及一種文檔安全加解密方法。

背景技術

對于各企業單位具有保密性質的文檔，通常只允許被授權的少數訪問者查看，被授權訪問者在網絡環境中通過基于服務端的用戶授權系統實現對文檔的訪問控制，使用基于CA中心的HTTPS協議進行文檔的安全傳輸。

在某些特殊應用場景下，被授權訪問者若處于弱在線或離線環境下，基于服務端和CA中心對文檔進行訪問和傳輸時，則無法有效實現文檔的有效安全傳輸和訪問。

發明內容

本發明的目的在于提供不依賴服務端和CA中心的加解密方法，以滿足弱在線和離線環境下文檔的有效安全傳輸和訪問，提供一種文檔安全加解密方法。

為了實現上述發明目的，本發明實施例提供了以下技術方案：

一種文檔安全加解密方法，包括文檔加密過程和文檔解密過程；

文檔加密時：隨機生成密鑰對原始文檔進行加密，生成加密數據；使用被授權訪問者的公鑰對密鑰進行加密生成密鑰字典，再對發布者的公鑰進行加密生成驗證字典；將加密數據、密鑰字典、驗證字典打包生成加密文檔；

文檔解密時：對加密文檔進行解包得到加密數據、密鑰字典、驗證字典；使用被授權訪問者的私鑰對密鑰字典進行解密得到解密密鑰字典，再對驗證字典進行解密得到解密驗證字典；使用發布者的公鑰從解密驗證字典中獲取索引號，根據索引號從解密密鑰字典中得到密鑰，再使用密鑰對加密數據進行解密，得到原始文檔。

所述隨機生成密鑰對原始文檔進行加密，生成加密數據的步驟，包括：

輸入原始文檔D、發布者的SM2公鑰PK、發布者的SM2私鑰SK、所有被授權訪問者的SM2公鑰集AKs，其中AKs={AK1,...,AKi,...,AKn}，AKi為第i個被授權訪問者的公鑰；

使用國密SM3算法對原始文檔D計算得到摘要信息X；使用發布者的SM2私鑰SK對摘要信息X進行非對稱加密，計算得到簽名SX；

隨機生成SM4對稱加密的密鑰K，使用密鑰K對原始文檔D、摘要信息X、簽名SX進行SM4對稱加密，生成加密數據EX。

所述使用被授權訪問者的公鑰對密鑰進行加密生成密鑰字典，再對發布者的公鑰進行加密生成驗證字典的步驟，包括：

使用被授權訪問者的SM2公鑰集AKs中所有的公鑰對密鑰K分別進行SM2非對稱加密，生成密鑰字典EKs，其中EKs={EK1,...,EKi,...,EKn}，EKi為AKi對密鑰K進行SM2非對稱加密后的結果；

使用被授權訪問者的SM2公鑰集AKs中所有的公鑰對發布者的SM2公鑰PK分別進行SM2非對稱加密，生成驗證字典Ts，其中Ts={T1,...,Ti,...,Tn}，Ti為AKi對發布者的SM2公鑰PK進行SM2非對稱加密后的結果。

所述使用被授權訪問者的私鑰對密鑰字典進行解密得到解密密鑰字典，再對驗證字典進行解密得到解密驗證字典的步驟，包括：

輸入加密文檔、發布者的SM2公鑰PK、被授權訪問者的SM2私鑰APK；