[发明专利]计算与数据分离支持热更新加密算法和密钥数据加密方法

说明书

本发明提供一种计算与数据分离支持热更新加密算法和密钥数据加密方法。所述计算与数据分离支持热更新加密算法，首先把加密的运算抽象出来，组成一个统一的服务；再按工作密钥的加密、工作密钥的升级、加密和解密实现。所述密钥数据加密方法包括加密数据服务和加密升级两部分。有益的技术效果：本发明的计算和数据分离，增强了数据安全性；本发明的升级加密算法或更改密钥对调用方透明，无须调用方更改；本发明的工作密钥双重不同方式加密,降低密钥泄露风险。

技术领域

本发明属于数据保密、安防技术领域，具体涉及一种计算与数据分离支持热更新加密算法和密钥数据加密方法。

背景技术

现在数据安全、客户隐私越来越重要。为了预防拖库发生后，和可能的人为造成的数据泄露，对敏感隐私数据采取加密存储就很重要。一般加密方法有对称加密和非对称加密,一般开发中，会在各自程序里实现一套加密解密方法。但是现在微服务流行,仅我们部门就有几十个微服务,并且仍然保持一定的增势。对于有些服务可能共用着一些敏感数据,有些服务又共用着一套相同的加密方法。若是各自实现一套加解密方法,不便于服务的管理，升级等。此外，现有数据保密技术存在如下的技术难点：

1.大部分的加密方案无法支持加密算法或密钥的更新，或更新的成本非常大。

2.已有的大部分加密方案计算和存储并未分离，加密数据的安全性仍有较大隐患。

3.工作密钥单层保护,易泄露，并对主密钥的安全要求很高

综上所述，为了现有技术的不足，需要一个共用的加密服务。

发明内容

本发明的目的是提供一种计算与数据分离支持热更新加密算法和密钥数据加密方法。其具体的实现方法如下：

计算与数据分离支持热更新加密算法，其特征在于，首先把加密的运算抽象出来，组成一个统一的服务；再按如下步骤进行：

步骤1.工作密钥的加密；采用双重加密的方式加密工作密钥：

第一层/第一重：利用密钥结构先打乱工作密钥原有的结构,重新得到打乱后的工作密钥；

第二层/第二重：由主密钥加密第一层得到的打乱后的工作密钥；

步骤2.工作密钥的升级；工作密钥仅通过增加的方式升级；换言之，工作密钥不能更改，也不能删除；基于工作密钥只能增加,不能修改和删除,业务随时拿着旧数据或者新数据均可解密成功。

步骤3.加密；

3.1根据对应的加密算法得到原密文；

3.2组合新的密文，该密文结构为:加密算法id长度+加密算法id长度+原密文长度+原密文；

3.3用3BASE64加密新的密文结构，得到最后的密文。

步骤4.解密；

4.1先解开密文结构,得到算法id和真实的密文；

4.2再按照算法id找到对应的算法类型,加密后的算法密钥；

4.3之后，利用密钥结构和主密钥解开被加密的算法密钥，得到真实的算法密钥；

4.4最后，再解密文。这样即便有旧数据请求解密时，也能解开。

进一步说，在步骤一中，密钥结构是一种加密算法,一种随机打乱,一种插入常量或变量的方式。

进一步说，密钥结构存储在数据库,主密钥存储在配置里；换言之，主密钥和密钥结构单独分开存储。优选的方案是，主密钥存储在配置里并由关键人物保密存储在其它安全的地方。这样,无论密钥结构或者主密钥单独泄露，都不能解密数据。而,也降低了两者都泄露的风险。