[发明专利]一种业务端用户数据加密方法和解密方法

说明书

本发明涉及加解密技术，其公开了一种业务端用户数据加密方法和解密方法，提高用户密钥存储的安全性和加解密的安全性。加密方法包括：A、业务端调用加密函数，传输参数包括业务标识、用户标识和待加密的用户明文数据；B、判断是否存在所述业务标识对应的业务密钥，若不存在，则生成对应的业务密钥；C、根据所述用户标识生成随机用户密钥，选择加密算法和加密参数，基于所述随机用户密钥对待加密的用户明文数据进行加密，生成用户数据密文；D、生成包括密钥头、业务密钥密文、用户密钥密文的密钥集；E、将生成的密钥集写入密钥文件。本发明适用于对业务端用户数据的加解密。

技术领域

本发明涉及加解密技术，具体涉及一种业务端用户数据加密方法和解密方法。

背景技术

因特网作为信息传输的载体是不安全的信息媒介，它所遵循的通讯协议(TCP/IP协议)本身具有脆弱性。由于当初设计该协议的初衷并非出于对通信安全的考虑，而是出于对通信自由的考量。因此，一些基于TCP/IP协议的服务也是极不安全；另一方面，因特网给众多的商家带来了无限的商机，许多网络黑客依照经济利益或个人爱好，专门跟踪Internet的特殊群体或个别敏感用户，盗取他们的网络身份或银行帐户信息，再冒充合法用户的身份，进一步侵入信息系统，非法盗取经济、政治、军事机密。为了保证因特网的安全和充分发挥其商业信息交换的价值，人们选择了数据加密技术，对访问Internet网络的用户实施身份认证。

加密技术在网络应用方面概括起来有：数据加密、身份认证、数字签名和(不可否认性)防止个人否认事实的行为(撒谎)。其次就是对于黑客的非法入侵行为在网络上进行拦截。许多安全防护体系是基于密码的，密码一旦泄露出去可以导致很多的安全隐患，甚至导致网络的全面崩溃。当人在网络上进行访问时必须进入第一道门坎——登录(Login)。系统要求你键入的密码(Password)以明文的形式被传输到用户服务器上，系统自动对你的用户身份进行鉴别，这就是身份认证。确定你的身份后才容许你访问该网络或进行彼此通讯。身份认证是基于加密技术的一种网络防范行为，它的作用就是用来确定用户是否是真实的。

有些时候，用户可能需要对一些机密文件进行加密，并不一定因为要在网络间进行传输，而是要防止别人窃得计算机密码而获得该机密文件，因此要对数据实行加密，从而实现多重保护。例如，通常使用的VPN系统，又如在UNIX系统中常用的crypt(3)命令对文件进行加密，尽管这些加密手段已不是那么先进，甚至有被破解的较大可能性，但是最起码可以保证文件的完整无误地传输到信息接受方。

现有数据加解密方法要么基于某种特定的算法根据相应的密钥进行加解密处理，单纯的加解密算法本身有被破解的风险，密钥泄漏也会直接导致数据的泄漏，安全性较低；要么基于底层的存储器特性和加解密场景的实际情况进行特殊处理，不具有较强的通用性和适用性。

发明内容

本发明所要解决的技术问题是：提出一种业务端用户数据加密方法和解密方法，提高用户密钥存储的安全性和加解密的安全性。

本发明解决上述技术问题采用的技术方案是：

一种业务端用户数据加密方法，包括以下步骤：

A、业务端调用加密函数，传输参数包括业务标识、用户标识和待加密的用户明文数据；

B、判断是否存在所述业务标识对应的业务密钥，若不存在，则生成对应的业务密钥；

C、根据所述用户标识生成随机用户密钥，选择加密算法和加密参数，基于所述随机用户密钥对待加密的用户明文数据进行加密，生成用户数据密文；

D、生成密钥集：利用所述业务标识加上所述用户标识，填充固定长度，记为加密头中缀；对所述加密头中缀采用摘要算法生成数字形式摘要信息，填充固定长度，记录为加密头前缀；利用步骤C中选择的加密算法加上加密参数对所述用户密钥进行加密，记为加密头后缀；对所述业务密钥加密，填充固定长度，记为业务密钥密文；对所述用户密钥加密，填充固定长度，记录为用户密钥密文；