[发明专利]非浸入式多种加密算法的数据加密解密的方法

权利要求书

1.非浸入式多种加密算法的数据加密解密的方法，其特征在于：

（1）采用二级密钥体系增强对密钥使用的管理，客户端用户的密钥根据用户申请来进行分配，由管理员确认并派发密钥，同时在客户端使用密钥时进行记录，并且客户端密钥也根据数据记录来分配；对敏感数据采用非对称加密算法进行加密解密；

（2）采用密文字段索引表方法来解决数据库加密系统中的密文查询问题，采用HASH算法，基于哈希函数将待加密字段内容映射到哈希值，基于加密函数将待加密字段内容进行加密并记录的映射后的哈希值,实现对加密字段的等值查询和范围查询；

（3）采用非浸入式提供加密解密服务，通过配置依赖注入方式完成应用数据加密解密，无需修改原应用系统的代码；

该方法具体包括下列步骤：

步骤S100：管理员创建非对称加密的密钥对，同时保存私钥，发送公钥到客户端，管理员生成对称加密密钥，利用密钥对非对称加密的私钥和公钥密钥对进行二次加密存储到数据库；

步骤S200：应用配置加密解密服务，在应用程序包中，前置注入到需要对敏感数据进行加密解密的接口，先对敏感数据进行加密或解密，后执行业务操作接口服务，后置注入加密解密调用的日志信息；

步骤S300：客户端利用公钥加密待上传的明文数据，服务器端记录公钥使用情况，并保存密文到数据库数据表中；

步骤S400：基于加密字段建立密文索引表，密文索引表中记录与加密字段建立一一对应关系的字段和唯一标识字段ID；利用Hash函数，将待加密字段所在记录唯一标识ID映射到加密唯一标识ID，并将ID和字段内容哈希值存入索引表；

步骤S500：基于映射后的哈希值，实现对加密字段的等值查询和范围查询；并调用私钥或公钥对加密数据进行解密，并进行展示；

所述步骤S400包含以下子步骤：

（1）建立加密字段所对应的索引表；

（2）在索引表中定义索引字段，索引字段的内容由字符串数据的划分值和特征值两部分组成；

（3）定义索引字段划分函数，将属性R.Ai的值域Di映射到划分{P1，P2，…，Pk}，满足：(1)所有划分的并集可以覆盖整个域；(2)任意两个划分不重叠；形式上，定义函数partition如下：partition(R. Ai)={P1，P2，…，Pk}；数值型字段值域的划分方法，通常采用等宽或等深划分的方法；对于字符型字段，根据属性值的概率分布对属性的值域进行划分，使得每个划分包含的元素数目大致相等；

（4）定义索引字段标识函数，为属性Ai的每个划分Pi指定一个标识符identRAi(Pi)；

（5）定义索引字段映射函数，将属性Ai域中的一个值v映射到v隶属划分的标识符；形式上，MapR. Ai（v）=identR.(Ai)，其中向量v是标识函数的划分；

（6）定义索引字段特征函数：利用HASH函数将字符串C1 C2…Cn映射到二进制位串b0b1…bm-1；

（7）对于需要加密的任何一个字符串，通过映射函数和特征函数求得它的划分值和特征值；为了便于对查询条件进行翻译，规定索引字段的前h位表示字符串数据的划分值，后m位表示字符串数据的特征值，整个索引字段的长度为h+m位；

（8）建立加密字段与索引表字段记录的一一对应关系；对于每个关系R(A1,…,Ar,…,An)，Ar为待加密的字符串字段，加密后的关系模式为RE (A1,…,ArE,…,An,...,Ars)；其中，ArE是对应于Ar的加密字符串字段，即ArE=E(Ar)；Ars是对应于Ar的辅助索引字段，通过对Ar的划分值和特征值组合得到。

2.根据权利要求1所述的非浸入式多种加密算法的数据加密解密的方法，其特征在于，所述步骤S100包括以下子步骤：

（1）管理员生成SM2密钥，采用非对称加密SM2算法生成公钥和私钥；

（2）管理员生成SM4密钥，采用对称加密算法SM4生成密钥；

（3）对生成的公钥私钥加密存储，管理员用SM4密钥加密生成的非对称加密的私钥和公钥，同时将加密后的公钥、私钥保存到数据库；

（4）用户申请密钥，管理员审批登记发放记录，并提供密码明文给客户端，客户端通过对称加密的密钥，形成打开公钥的密文，打开非对称加密的公钥；

（5）管理员记录密钥申请，管理员记录用户申请密钥情况，并保存到数据库。