[发明专利]一种三级秘钥加密方法

权利要求书

1.一种三级秘钥加密方法 ，其特征在于，包括以下步骤：

S1、三级秘钥包括固化于程序中只用于加密系统秘钥的根秘钥、可以动态修改的系统秘钥以及使用随机算法生产的与文件对应的文件秘钥；

S2、文件加密：加密算法采用对称式加密算法，使用256位秘钥、CBC模式，为每个文件配置一个文件秘钥和一个初始向量(IV)，文件秘钥通过内置的系统秘钥加密后存储在数据库中；具体包括以下步骤：

S2-1、使用秘钥生成算法生成加密需要的长度的文件秘钥；

S2-2、使用随机算法生成文件加密运算时需要的初始向量；

S2-3、使用文件秘钥及初始向量对文件进行加密；

S2-4、将文件密文保存在文件服务器，初始向量及文件ID保存在加密文件的开头位置，文件ID使用流水号或其他方式生成的唯一字符序列；

S2-5、使用系统秘钥加密文件秘钥，并将文件秘钥密文保存在数据库中，文件秘钥密文以文件ID为主键；

S3、文件解密：文件秘钥和初始向量两个要素同时具备时才能解密文件，文件秘钥通过系统秘钥加密后存储在数据库中，初始向量存储在加密文件中；解密时需要先读出文件秘钥密文并解密，然后配合初始向量解密文件密文；具体包括以下步骤：

S3-1、从加密文件中读出文件ID，并根据所述文件ID从数据库中获取文件秘钥密文；

S3-2、获取系统秘钥密文，解密出系统秘钥并使用系统秘钥解密文件秘钥密文；

S3-3、使用解密出的文件秘钥及从文件密文中读出的初始向量对文件密文进行解密；

S4、秘钥管理：系统秘钥、文件秘钥存放在数据库；初始向量存放在文件服务器上；具体包括以下步骤：

S4-1、系统开发时将根秘钥固化在编译后的程序中，或通过附加独立文件的形式提供；

S4-2、系统秘钥通过对外提供的界面功能由系统管理员触发，系统后台自动生成，并使用根秘钥加密后保存在数据库中，使得开发和测试过程中生成的临时系统秘钥在正式上线时会被替换；

S4-3、文件秘钥和初始向量是每个文件加密时生成的，文件秘钥被加密存放在数据库中，初始向量以特定格式保存在加密后的文件中；

S4-4、通过S4-1～S4-3的秘钥管理流程，根秘钥由开发者生成存在于应用服务器，系统秘钥使用根秘钥加密、文件秘钥使用系统秘钥加密后存放在数据库，初始向量、文件密文存放在文件服务器。

2.根据权利要求1所述的一种三级秘钥加密方法 ，其特征在于：所述系统秘钥每次更改时，需要重新解密文件秘钥并使用新的系统秘钥加密后存储。