[发明专利]基于可信数据格式的通用数据的加密方法、解密方法及其装置

说明书

技术领域

本发明涉及计算机信息安全技术领域，特别是指一种基于可信数据格式的通用数据的加密方法、解密方法及其装置。

背景技术

随着大数据时代的到来，数据规模发生爆发式增长，数据安全问题愈发重要，数据保护尤为重要，因此加密是增强数据安全性的最有效方式。例如文档加密方法是通过采用加密算法和各种加密技术对网络或计算机中的文档进行加密防止文档非法外泄的技术；流数据加密方法是针对流数据如二进制文件数据流、网络传输数据流等进行的加密的技术。

然而，对于各种类型各种格式的数据如图片、文档、邮件、流数据等，对应的数据加密方法和权限管理方法也是各种各样，因此无法支持面向各种结构化和非结构化数据的通用数据加密，也无法支持多用户的数据协作、数据分享和数据的访问控制，导致不利于多部门，多成员的数据协作、数据分享和访问控制。

发明内容

有鉴于此，本发明的目的在于提出一种基于可信数据格式的通用数据的加密方法、解密方法及其装置，以便于数据安全交换，有利于加密数据的分享、协作和访问控制。

基于上述目的，在本发明的第一方面，本发明提供了一种基于可信数据格式的通用数据的加密方法，所述方法包括：

采用加密算法对数据进行加密，得到密文；

将所述密文标记封装为可信数据格式，得到可信数据格式数据。

在本发明的一些实施例中，所述将所述密文标记封装为可信数据格式的步骤，包括：

将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分；

将密文部分和元数据部分封装为可信数据格式。

在本发明的一些实施例中，所述元数据信息包括唯一标识、创建者、创建时间、密文数据属性、密文摘要、加密所述密文的密钥元数据、数据访问策略元数据中的至少一种。

在本发明的第二方面，本发明提供了一种基于可信数据格式的通用数据的解密方法，所述方法包括：

解析可信数据格式化数据，得到元数据部分；

根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略；

若用户访问数据行为符合数据访问策略，则根据所述密钥元数据获取密钥组；

使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。

在本发明的一些实施例中，所述数据访问策略包括访问数据用户策略、访问数据时间策略、访问数据权限策略中的至少一种。

在本发明的一些实施例中，所述根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略的步骤，包括：

向控制中心发送用户访问数据行为和密钥元数据，控制中心根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略；

所述控制中心存储有数据访问策略元数据和密钥组。

在本发明的一些实施例中，所述方法还包括：

过滤和验证可信数据格式化数据。

在本发明的第三方面，本发明提供了一种基于可信数据格式的通用数据的加密装置，所述装置包括：

加密模块，用于采用加密算法对数据进行加密，得到密文；

封装模块，用于将所述密文标记封装为可信数据格式，得到可信数据格式数据。

在本发明的一些实施例中，所述封装模块包括：

分配模块，用于将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分；

数据模块，用于将密文部分和元数据部分封装为可信数据格式。

在本发明的第四方面，本发明提供了一种基于可信数据格式的通用数据的解密装置，所述装置包括：

解析模块，用于解析可信数据格式化数据，得到元数据部分；

判断模块，用于根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略；

获取模块，用于若用户访问数据行为符合数据访问策略，则根据所述密钥元数据获取密钥组；

解密模块，用于使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。

本发明实施例提供的基于可信数据格式的通用数据的加密方法、解密方法及其装置具有以下有益效果：

(1)保证敏感数据在不可信网络下的安全交换；

(2)面向各类数据通用的数据加密方法，无需多种针对不同格式数据的加密方法，有利于加密数据的分享、协作；