[发明专利]一种树状分层系统中分层数据加密方法

说明书

技术领域

本发明涉及一种对应行文级别划分的树状分层系统中分层数据加密方法，属数据处理技术领域。

背景技术

现实生活中有许多组织机构具有树状层次系统结构，例如，军队系统分成军、师、旅、团、营、连、排的建制，而且严格规定下级服从上级、上级可以阅读下级的文件、下级不能阅读上级的文件。又例如，政府机构、企事业单位都有类似的层次结构。因此，研究这种层次结构的信息安全问题具有重要的现实意义。

目前，国内外一些信息安全厂商生产的加密技术产品主要有两种，一种采用对称密码体制，一种采用非对称密码体制。对称密码体制要求通信双方所用的密钥是通过秘密信道私下商定的。网上若有n个用户,则需要C(n,2)=n(n-1)/2 个密钥，例如n=1000时，C(1000,2)≈500000。这么多密钥的管理和必需的更换都将是十分繁重的工程。更有甚者，每个用户必须记下与其它n-1个用户通信所用的密钥，数量如此之大，只能记录在本上或存储在计算机内存或外存上，这本身就是极不安全的。非对称密码体制也称为公开密码体制，它把加密过程和解密过程设计成不同的途径，当算法公开时，在计算上不可能由加密钥匙求得解密钥匙，因而加密密钥可以公开，只需保存解密钥匙。这样密钥分发简单，所需保存数量大大减少。例如，若每一用户A有一加密密钥k1不同于解密密钥k2，可将加密密钥k1公开，k2保密。若用户B欲向A保密送去明文m，可查A的公开密钥k1，若用k1加密得密文

                                     c=Ek1(m)

用户A收到密文c后，用只有A自己才掌握的解密密钥k2对c进行解密得

                                     m=Dk2(c)

任何第三者虽然截获密文c，由于无法从公开的加密密钥k1推出解密密钥k2，故无法恢复明文m。

无论采用非对称密码体制，还是对称密码体制，都具有密钥管理和分发管理难度大、费用高，依赖CA中心的缺点，而且难以实现系统内的一对多文件传递，造成整体使用成本高，实施难度大，影响了企事业单位的网络信息安全。

发明内容

本发明的目的在于提供一种使用灵活方便且能够保证系统内信息安全传递的树状分层系统中分层数据加密方法。

本发明所称问题是以下述技术方案实现的：

一种树状分层系统中分层数据加密方法，在所述树状分层系统中，设定根结点为第1层，根结点的子结点为第2层，根结点的子结点的子结点为第3层，依此类推；该方法首先由系统管理中心为系统内每个用户配置一个加解密硬件设备，所述加解密硬件设备内存储有该用户的个体信息和所在群体用户的特征信息，每个用户向其他个体或群体用户传递文件时，利用由目标接收者的特征信息生成的加密密钥对文件进行加密；用户收到发给自己的文件时，利用由自己的特征信息产生的解密密钥进行解密，从而实现系统内各层次之间的文件传递，具体步骤如下：

a.系统管理中心为系统内每个用户配置一个加解密硬件设备K0，所述加解密硬件设备K0是一个带有安全存储模块和CPU处理模块的微控制器系统，例如一个USB接口的智能密码钥匙，所述加解密硬件设备K0内存储有可读信息和不可读信息，所述可读信息包括该用户的姓名、单位、ID标识、所处层次（假设当前用户所处层次为第i层，下同）；所述不可读信息（该信息在硬件初始化时由管理工具写入，只能被硬件内部调用，外部软件不能读取和更改）为系统内群体用户的密钥特征信息（所谓特征信息是指参与密钥生成运算的一组固定长度的数据，下同），具体包含：

①整个系统内用户都有且内容都相同的公共特征信息Info_Pub；

②与第i-3层具有隶属关系的行文级别的用户(即相当于所述树状分层系统中所述结点的曾祖父结点，下同)通信的特征信息Info_UP3；

③与第i-2层具有隶属关系的行文级别的用户（即相当于所述树状分层系统中所述结点的祖父结点，下同）通信的特征信息Info_UP2；

④与第i-1层具有隶属关系的行文级别的用户（即相当于所述树状分层系统中所述结点的父结点，下同）通信的特征信息Info_UP1；

⑤与同层具有共同隶属关系的行文级别的用户（即相当于所述树状分层系统中所述结点的兄弟结点，下同）通信的特征信息Info_layer；

⑥与第i+1层具有隶属关系的行文级别的用户(即相当于所述树状分层系统中所述结点的子结点，下同)通信的特征信息Info_DOWN，