[发明专利]计算与数据分离支持热更新加密算法和密钥数据加密方法

权利要求书

1.计算与数据分离支持热更新加密算法，其特征在于，首先把加密的运算抽象出来，组成一个统一的服务；再按如下步骤进行：

步骤1.工作密钥的加密；采用双重加密的方式加密工作密钥：

第一层利用密钥结构先打乱工作密钥原有的结构,重新得到打乱后的工作密钥；

第二层由主密钥加密第一层得到的打乱后的工作密钥；

步骤2.工作密钥的升级；工作密钥的升级；工作密钥仅通过增加的方式升级；

步骤3.加密；

3.1根据对应的加密算法得到原密文；

3.2组合新的密文，该密文结构为:加密算法id长度+加密算法id长度+原密文长度+原密文；

3.3用3BASE64加密新的密文结构，得到最后的密文。

步骤4.解密；

4.1先解开密文结构,得到算法id和真实的密文；

4.2再按照算法id找到对应的算法类型,加密后的算法密钥；

4.3之后，利用密钥结构和主密钥解开被加密的算法密钥，得到真实的算法密钥；

4.4最后，再解密文。

2.根据权利要求1所述的计算与数据分离支持热更新加密算法，其特征在于，在步骤一中，密钥结构是一种加密算法,一种随机打乱,一种插入常量或变量的方式。

3.根据权利要求1所述的计算与数据分离支持热更新加密算法，其特征在于，密钥结构存储在数据库,主密钥存储在配置里；换言之，主密钥和密钥结构单独分开存储。

4.根据权利要求1所述的计算与数据分离支持热更新加密算法，其特征在于，加密算法id为1位16进制；加密算法id为16进制,且长度可变；原密文长度为4位16进制。

5.采用权利要求1至4任一计算与数据分离支持热更新加密算法的加密数据方法，其特征在于，包括加密数据服务和加密升级两部分；其中，加密数据服务存储原文加密的密文,而抛给业务方的是为每条密文单独颁发的密文id；任何业务服务用相同的数据请求加密后，会得到相同的密文id；

加密升级具体为：新建一张密码密文表,对原密码密文表里的数据逐一按照新的加密方法重新加密，并存储到新建的密码密文表里；若此时有密码请求加密，则会进行两次加密：按照旧算法加密，存储到旧密码密文表里；再按照新算法加密，并存储到新的密码密文表里；得到不同的密文，但是密文id确是一样的；随后，再将密文id返回给业务调用方。

6.根据权利要求5所述的加密数据方法，其特征在于，在加密升级中，当旧密码密文表里的数据已经全部在新密码密文表里有新的对应关系时，更改消息类型和算法的对应关系；当再有新的数据请求加密时，则只采用新的算法加密且只存储在新的密码密文表里。

7.根据权利要求5所述的加密数据方法，其特征在于，当加密运算服务的工作密钥进行升级时，相应的加密数据服务就进行升级；且加密数据服务是对业务调用方的直接接口，故在本方法中的升级为平滑升级。

8.根据权利要求5所述的加密数据方法，其特征在于，在升级的时候,按照原文类型来做升级；换言之，当密码的安全性需要提高并需要升级时，只升级密码密文表就可实现提高密码的安全性。

9.根据权利要求5所述的加密数据方法，其特征在于，本发明通过返回加密id来保证后续加密算法或密钥升级，对业务无影响；本发明的服务拆分为加密数据服务和加密运算服务，将计算和数据分离；即在本发明中，不同数据来源之间的数据互不可见。