[发明专利]一种基于完全同态加密的高性能数据多级加解密方法和系统

权利要求书

1.一种基于完全同态加密的高性能数据多级加解密方法，其特征在于，包括如下步骤：

步骤一、子账号使用对称完全同态加密技术对需要保护的数据进行加密；所述子账号将用于加密的对称加密密钥按照账号层级数拆解成多个部分，并使用所述子账号及其直系上级账号的公钥分别对密钥的每一部分通过非对称完全同态加密技术进行加密；

步骤二、子账号进行解密时，使用相应的密文转换字典将每个部分的密钥密文转换到自己的密文空间；

步骤三、子账号使用所述子账号自身的私钥对密钥密文进行解密，得到正确的对称加密密钥；

步骤四、子账号使用解密得到的对称加密密钥，对数据的密文进行解密，得到正确结果；

所述加密功能的实现基于用户关系树结构，所述用户关系树包括：根账号和多层级的下级帐号；其中，所述根账号是所有账号的源头，能解密所有用户的加密数据，并对下级账号进行授权；下级帐号的加密数据能被其直系上级账号解密，但不能被同级账号解密，同时也无法解密其直系上级账号的加密数据和与其同级账号的加密数据及所述同级账号的子账号的加密数据；

所述直系上级账号是指从子账号的上一级账号开始到根账号为止的整条路径下的所有上级账号。

2.一种基于完全同态加密的高性能数据多级加解密方法，其特征在于，包括如下步骤：

步骤一、子账号使用对称完全同态加密技术对需要保护的数据进行加密；所述子账号将用于加密的对称加密密钥按照账号层级数拆解成多个部分，并使用所述子账号及其直系上级账号的公钥分别对密钥的每一部分通过非对称完全同态加密技术进行加密；

步骤二、子账号的直系上级账号解密时，使用直系上级账号自己掌握的对应密文转换字典将每个部分的密钥密文进行转化；

步骤三、子账号的直系上级账号用自己的私钥对密钥密文进行解密，得到正确的对称加密密钥；

步骤四、子账号的直系上级账号使用解密得到的对称加密密钥，对数据的密文进行解密，得到正确结果；

所述加密功能的实现基于用户关系树结构，所述用户关系树包括：根账号和多层级的下级帐号；其中，所述根账号是所有账号的源头，能解密所有用户的加密数据，并对下级账号进行授权；下级帐号的加密数据能被其直系上级账号解密，但不能被同级账号解密，同时也无法解密其直系上级账号的加密数据和与其同级账号的加密数据及所述同级账号的子账号的加密数据；

所述直系上级账号是指从子账号的上一级账号开始到根账号为止的整条路径下的所有上级账号。

3.如权利要求1或2所述的加解密方法，其特征在于，步骤一中，如果不需要对加密存储的数据进行运算处理，所述对数据进行加密的方法还包括普通对称加密技术。

4.如权利要求1所述的加解密方法，其特征在于，所述对称完全同态加密是指通过基于系数映射变换的多项式完全同态方法进行加密。

5.如权利要求4所述的方法，其特征在于，所述基于系数映射变换的多项式完全同态方法需要将明文数据表达为指定映射函数的随机取值、随机系数因子以及随机常数组成的多项式，并能进行同态运算。

6.如权利要求3所述的加解密方法，其特征在于，所述普通对称加密技术包括国密SM1、SM4、SM7、祖冲之密码中的一种或几种。

7.如权利要求1或2所述的加解密方法，其特征在于，步骤一中，所述对称加密密钥的加密使用的非对称完全同态加密技术，通过输入明文，请求获取公钥、单位密文、公钥加密支持函数，对公钥进行加密运算，并获得密文。

8.如权利要求1或2所述的加解密方法，其特征在于，步骤三中，若解密的私钥丢失或者无法获取时，通过密钥置换方式生成新的私钥并将密文转换到对应的密钥空间实现解密。

9.如权利要求1或2所述的加解密方法，其特征在于，所述数据多级加密方法是指当需要对加密密钥进行加密时，先将密钥拆解成若干部分，份数等于对应的账号层级数，然后通过子账号及其直系上级账号的公钥对加密密钥的每一部分进行加密。

10.一种实现如权利要求1-9任一项所述方法的系统，其特征在于，所述系统包括：权限树管理模块、密钥生成模块、加密/解密模块；其中，

所述权限树管理模块用于对用户权限树结构进行定义、存储、修改、维护操作；所述密钥生成模块用于根据用户所处的权限树位置，为其生成多级加密公私钥对及相应的转换字典，同时生成用于数据加密的对称加密密钥；所述加密/解密模块用于对用于数据加密的对称密钥进行加密和解密操作，以及对需要保护的数据进行加密和解密操作。