CN111404892A - 数据监管方法、装置和服务器 - Google Patents
数据监管方法、装置和服务器 Download PDFInfo
- Publication number
- CN111404892A CN111404892A CN202010149205.1A CN202010149205A CN111404892A CN 111404892 A CN111404892 A CN 111404892A CN 202010149205 A CN202010149205 A CN 202010149205A CN 111404892 A CN111404892 A CN 111404892A
- Authority
- CN
- China
- Prior art keywords
- private key
- data
- target data
- sub
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种数据监管方法、装置和服务器,首先根据目标数据的特征数据,对第一私钥进行加密处理得到第二私钥;根据第二私钥对应的公钥对目标数据进行加密;如果监管方需要访问加密后的目标数据,根据目标数据的特征数据对第一私钥进行加密处理,得到第二私钥;通过第二私钥对加密后的目标数据进行解密得到目标数据。本发明采用第二私钥对应的公钥对目标数据加密,当监管方访问加密后的目标数据时,可以根据第一私钥和目标数据的特征数据,推导出第二私钥,以采用第二私钥解密加密后的目标数据,由于该方式中的第二私钥需要推导获取,从而保证了目标数据的安全性,同时该方式无需建立数据副本,节省了系统资源的占用量。
Description
技术领域
本发明涉及数据监管技术领域,尤其是涉及一种数据监管方法、装置和服务器。
背景技术
在信息系统建设过程中,需要在考虑客户隐私和交易数据保密的同时,根据监管规则,赋予监管方对客户数据、交易数据、管理数据进行获取、解密、查询的权限。
相关技术中,为了保证客户数据的安全性,通常需要为客户数据建立副本,并通过监管密钥为副本进行加密,以使监管方可以通过监管密钥查看副本中的客户数据,该方式需要为所有的客户数据建立副本,浪费了大量的系统资源;基于此,相关技术中还提供了一种数据密钥托管方式,该方式需要在系统中保存数据密钥明文,以使监管方可以直接获取到数据密钥,来访问客户数据,因此该方式中的数据密钥可被轻易获取到,导致数据的安全性较差。
发明内容
本发明的目的在于提供一种数据监管方法、装置和服务器,以节省系统资源占用量,并提高数据的安全性。
第一方面,本发明实施例提供一种数据监管方法,该方法包括:根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;其中,该第一私钥用于:预设监管方访问目标数据;根据第二私钥对应的公钥,对目标数据进行加密;如果监管方需要访问加密后的目标数据,根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;通过第二私钥对加密后的目标数据进行解密,得到目标数据。
在可选的实施方式中,上述根据目标数据的特征数据,对预先生成的第一私钥进行加密处理,得到第二私钥的步骤,包括:将预先生成的第一私钥划分为多个子私钥;其中,每个子私钥包含第一私钥中,该子私钥对应的指定字节中的数据;通过目标数据的特征数据,分别对每个子私钥进行加密处理,得到每个子私钥对应的加密结果;根据每个子私钥对应的加密结果,确定第二私钥。
在可选的实施方式中,每个所述子私钥的字节数相同;上述通过目标数据的特征数据,分别对每个子私钥进行加密处理,得到每个子私钥对应的加密结果的步骤,包括:通过与子私钥的字节数相同的、目标数据的特征数据,分别对每个子私钥进行加密处理,得到与子私钥的字节数相同的、每个子私钥对应的加密结果。
在可选的实施方式中,上述根据每个子私钥对应的加密结果,确定第二私钥的步骤,包括:拼接每个子私钥对应的加密结果,得到拼接结果;将该拼接结果与目标椭圆曲线的阶数进行取模运算,得到第二私钥。
在可选的实施方式中,上述如果监管方需要访问加密后的目标数据,根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥的步骤,包括:如果接收到监管方对目标数据的访问请求,基于该访问请求获取目标数据的特征数据和第一私钥;根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥。
在可选的实施方式中,上述第一私钥通过下述方式生成:通过预设的基于目标椭圆曲线的非对称加密算法,随机生成目标椭圆曲线的非对称加密私钥,将非对称加密私钥确定为第一私钥。
在可选的实施方式中,上述目标数据的特征数据包括:目标数据对应的用户的用户标识或者目标数据对应的业务的业务标识。
第二方面,本发明实施例提供一种数据监管方法,该方法包括:获取待访问数据的特征数据;根据待访问数据的特征数据,对第一私钥进行加密处理,得到第二私钥;该第一私钥用于:预设监管方访问待访问数据;通过第二私钥对待访问数据进行解密,得到待访问数据。
第三方面,本发明实施例提供一种数据监管装置,该装置包括:私钥加密模块,用于根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;其中,该第一私钥用于:预设监管方访问目标数据;数据加密模块,用于根据第二私钥对应的公钥,对目标数据进行加密;数据访问模块,用于如果监管方需要访问加密后的目标数据,根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;通过第二私钥对加密后的目标数据进行解密,得到目标数据。
第四方面,本发明实施例提供一种数据监管装置,该装置包括:特征数据获取模块,用于获取待访问数据的特征数据;私钥获取模块,用于根据待访问数据的特征数据,对第一私钥进行加密处理,得到第二私钥;该第一私钥用于:预设监管方访问所述待访问数据;数据解密模块,用于通过第二私钥对待访问数据进行解密,得到待访问数据。
第五方面,本发明实施例提供一种服务器,该服务器包括处理器和存储器,该存储器存储有能够被处理器执行的机器可执行指令,该处理器执行机器可执行指令以实现前述实施方式任一项所述的数据监管方法。
第六方面,本发明实施例提供一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,该机器可执行指令促使处理器实现前述实施方式任一项所述的数据监管方法。
本发明实施例带来了以下有益效果:
本发明提供的一种数据监管方法、装置和服务器,首先设置用于监管方访问目标数据的第一私钥;在对目标数据进行加密时,对该第一私钥进行加密处理,得到第二私钥;进而根据该第二私钥对应的公钥,对目标数据进行加密;如果监管方需要访问加密后的目标数据,根据该目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;再通过该第二私钥对加密后的目标数据进行解密,得到目标数据。该方式中,通过第一私钥得到第二私钥,进而采用第二私钥的公钥对目标数据加密,当监管方访问加密后的目标数据时,可以根据第一私钥和目标数据的特征数据,推导出第二私钥,以采用第二私钥解密加密后的目标数据,由于该方式中的第二私钥需要推导获取,从而保证了目标数据的安全性,同时该方式无需建立数据副本,节省了系统资源的占用量。
本发明的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本发明的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种数据监管方法的流程图;
图2为本发明实施例提供的另一种数据监管方法的流程图;
图3为本发明实施例提供的另一种数据监管方法的流程图;
图4为本发明实施例提供的另一种数据监管方法的流程图;
图5为本发明实施例提供的一种数据监管装置的结构示意图;
图6为本发明实施例提供的一种数据监管装置的结构示意图;
图7为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在信息监管场景中,如何满足监管要求是必须要考虑的问题。相关技术中,在保证数据安全的同时满足监管要求,通常采用以下三种方式:
方式一,客户数据未加密,监管方可直接访问客户数据。该方式中所有的客户数据在系统中均以明文方式存在,数据安全无法得到保证。
方式二,为客户数据建立副本,并通过监管密钥为副本进行加密,以使监管方可以通过监管密钥查看副本中的客户数据。该方式需要为所有的客户数据建立副本,浪费了大量的系统资源。
方式三,数据密钥托管方式,该方式需要在系统中保存数据密钥明文,以使监管方可以直接获取到数据密钥,来访问客户数据。该方式中的数据密钥可被轻易获取到,导致数据的安全性较差。
基于此,本发明实施例提供了一种数据监管方法、装置和服务器,该技术可以应用于信息监管场景中,尤其是金融行业、政府公务等的数据监管、数据加密场景中。为了便于对本发明实施例进行理解,首先对本发明实施例所公开的一种数据监管方法进行详细介绍,如图1所示,该方法包括如下具体步骤:
步骤S102,根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;其中,该第一私钥用于:预设监管方访问目标数据。
上述目标数据可以是某个用户的用户数据、交易数据等,也可以是某项业务对应的管理数据、交易数据等。上述特征数据可以用于唯一表征目标数据的来源,例如,该目标数据为用户的用户数据,那么该特征数据为用户的唯一标识。该特征数据可以是数字、字符串、字母等,例如,001、aaaa等。
上述第一私钥可以称为监管私钥,该监管私钥用于预设监管方访问目标数据,该监管方可以是政府部门或者企事业单位等,例如这里的目标数据为金融数据,这里的监管方可以是相应的金融监管机构。可以理解的是,上述监管方在访问数据时也是通过相应的帐号进行访问的,该监管帐号可以通过第一私钥生成可以对加密后的目标数据进行解密的第二私钥。该第一私钥可以预先生成的,可以是根据实际使用需求实时生成或者获取的,也可以是根据预设加密算法随机生成的密钥,该密钥的字节数可以根据需求设定,例如32字节或者16字节等;该预设加密算法可以采用非对称加密算法。在具体实现时,可以将目标数据的特征数据作为第一私钥的加密密钥,也即是采用目标数据的特征数据对第一私钥加密,将第一私钥加密后可得到第二私钥。
步骤S104,根据上述第二私钥对应的公钥,对目标数据进行加密。
在非对称加密体制中,通常私钥和公钥是成对出现的,也即是根据私钥可以直接得到对应的公钥;而且在非对称加密体制中,通常利用公钥对数据进行加密,采用对应的私钥才能对数据进行解密。在具体实现时,可以依照研发人员采用的数据加密算法,直接通过第二私钥得到对应的公钥,并采用该公钥对目标数据进行加密。
步骤S106,如果监管方需要访问加密后的目标数据,根据该目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;通过该第二私钥对加密后的目标数据进行解密,得到目标数据。
上述第一私钥通常保存在预设位置,该预设位置可以是指定的数据库、U盘等。当监管方需要访问加密后的目标数据时,可以从指定位置获取第一私钥,并根据需要访问的加密后的目标数据对应的特征数据,对第一私钥进行加密处理,得到第二私钥,也可以理解为通过步骤S102得到第二私钥;然后通过第二私钥解密加密后的目标数据,从而监管方可以访问目标数据。该方式中,第二私钥难以直接获取,需要经过推到才可得到,因此,增加了获取私钥的难度,从而其他不法分子难以获得私钥盗取数据,提高了数据的安全性。
本发明实施例提供的一种数据监管方法,首先设置用于监管方访问目标数据的第一私钥;在对目标数据进行加密时,对该第一私钥进行加密处理,得到第二私钥;进而根据该第二私钥对应的公钥,对目标数据进行加密;如果监管方需要访问加密后的目标数据,根据该目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;再通过该第二私钥对加密后的目标数据进行解密,得到目标数据。该方式中,通过第一私钥得到第二私钥,进而采用第二私钥的公钥对目标数据加密,当监管方访问加密后的目标数据时,可以根据第一私钥和目标数据的特征数据,推导出第二私钥,以采用第二私钥解密加密后的目标数据,由于该方式中的第二私钥需要推导获取,从而保证了目标数据的安全性,同时该方式无需建立数据副本,节省了系统资源的占用量。
本发明实施例还提供了另一种数据监管方法,该方法在上述实施例方法的基础上实现;该方法重点描述根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥的具体过程(通过下述步骤S202-S206实现);如图2所示,该方法包括如下具体步骤:
步骤S202,将第一私钥划分为多个子私钥;其中,每个子私钥包含第一私钥中,该子私钥对应的指定字节中的数据。
上述第一私钥通常包含有多个字节,将该第一私钥划分为至少两个子私钥,增加了私钥破解的难度。在具体实现时,每个子私钥对应的第一私钥中的字节通常不同,所有的子私钥可以组合成一个完整的第一私钥,例如,当第一私钥为32字节的数据,假设将第一私钥划分为2个私钥,那么可以将第一私钥的前16个字节对应的数据确定为一个子私钥,将后16个字节对应的数据确定为另一个子私钥。通常每一个字节上的数据为16进制数,也即是可以用0~F表示0~16。
在具体实现时,每个子私钥对应的字节数可能相同,也可能不同,也即是在对第一私钥进行划分时,可以将第一私钥划分为字节数相同的多个子私钥,也可以划分为字节数不同的多个子私钥。
步骤S204,通过目标数据的特征数据,分别对每个子私钥进行加密处理,得到每个子私钥对应的加密结果。
在具体实现时,需要将目标数据的特征数据作为每个子私钥的密钥,对每个子私钥进行单独加密处理,得到每个子私钥对应的加密结果,也即是得到多个加密结果。
针对每个子私钥进行加密时,可以将当前子私钥划分为字节数相同的前半部分和后半部分,首先通过目标数据的特征数据对前半部分进行三重加密运算,也即是采用3DES(Triple Data Encryption Algorithm,三重加密算法)对前半部分进行加密,然后在依照该方式对后半部分进行加密,再将前半部分和后半部分对应的加密后的结果相加,得到当前子私钥对应的加密结果。例如,将16字节的子私钥的前8个字节的数据确定为前半部分,将16字节的后8个字节确定为后半部分,将目标数据的特征数据作为密钥,采用3DES算法分别对前半部分和后半部分进行加密,并将加密后的结果进行相加,得到16字节的加密结果。
上述目标数据的特征数据包括:目标数据对应的用户的用户标识或者目标数据对应的业务的业务标识。该用户标识和业务标识可以唯一表征某一用户或者某一业务,该用户标识可以是身份证号、用户编码、手机号等,该业务标识可以是业务代码,该业务代码通常是具有编码意义的字符串,例如,0001、0002、0003等。
步骤S206,根据每个子私钥对应的加密结果,确定第二私钥。
将每个子私钥对应的加密结果进行叠加或者取反,可以得到第二私钥。在具体实现时,上述步骤S206可以通过下述步骤10-11实现:
步骤10,拼接每个子私钥对应的加密结果,得到拼接结果。在对每个子私钥对应的加密结果进行拼接时,可以按照获取的第一私钥的指定字节的顺序进行首尾拼接,也可以随机首尾拼接。例如,第一私钥划分为两个子私钥,这两个子私钥对应的加密结果为123和456,那么拼接结果为123456。
步骤11,将上述拼接结果与目标椭圆曲线的阶数进行取模运算,得到第二私钥。
上述目标椭圆曲线通常是指椭圆加密算法中的椭圆曲线,该椭圆加密算法可以是利用某种特殊形式的椭圆曲线,也即是定义在有限域上的椭圆曲线,来实现非对称加密的算法。上述目标椭圆曲线的阶数可以根据需求设定,该阶数的取值通常较大且为质数,如,FFFFFFFEFFFFFFFFFFF20B5123等。
取模运算通常与取余运算类似,主要区别在于对于负整数进行除法运算时操作不同,取模运算通常用于计算机数据,而取余运算通常用于数学概念。在具体实现时,上述拼接结果通常为正整数,在取模运算时,如果椭圆曲线的阶数远大于或者大于拼接结果,将该拼接结果确定为第二私钥;如果椭圆曲线的阶数小于拼接结果,将该拼接结果除以椭圆曲线的阶数,得到的余数即为第二私钥。
步骤S208,根据上述第二私钥对应的公钥,对目标数据进行加密。
步骤S210,如果监管方需要访问加密后的目标数据,根据该目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;通过该第二私钥对加密后的目标数据进行解密,得到目标数据。
在一些实施例中,在每个子私钥的字节数相同的情况下,上述步骤S204可以通过下述方式实现:通过与子私钥的字节数相同的、目标数据的特征数据,分别对每个子私钥进行加密处理,得到与子私钥的字节数相同的、每个子私钥对应的加密结果。
以第一私钥为32字节为例,对上述方式进行详细介绍:首先获取16字节的目标数据对应的特征数据,当特征数据不满16字节时,可以在特征数据后补零,以满足16字节的要求,当特征数据大于16字节时,可以截取特征数据的前16字节、中间16字节或者后16字节等;进而将第一私钥划分为两个16字节的子私钥SMK1和SMK2,其中,第一私钥的前16字节为SMK1,后16字节为SMK2;通过特征数据分别对两个子私钥进行加密运算,得到两个16字节的加密结果DK1和DK2;然后将DK1和DK2进行拼接,拼接后与预设的椭圆曲线的阶数进行取模运算,得到第二私钥。
在具体实现时,如果特征数据为目标数据对应的用户的用户标识,那么最后得到的第二私钥为用户私钥,并通过用户私钥对应的公钥对目标数据进行加密;如果特征数据为目标数据对应的业务的业务标识,那么最后得到的第二私钥为业务私钥,并通过业务私钥对应的公钥对目标数据进行加密。
当监管方想要访问目标数据时,可以获取目标数据对应的特征数据和第一私钥,以通过上述获取第二私钥的方式再次根据特征数据和第一私钥得到第二私钥,并通过该第二私钥解密加密后的目标数据,以访问该目标数据。
上述数据监管方法,首先将预先生成的第一私钥划分为多个子私钥;再通过目标数据的特征数据,分别对每个子私钥进行加密处理,得到每个子私钥对应的加密结果;进而根据每个子私钥对应的加密结果,确定第二私钥;然后根据该第二私钥对应的公钥,对目标数据进行加密;如果监管方需要访问加密后的目标数据,根据该目标数据的特征数据,对第一私钥进行加密处理得到第二私钥,再通过该第二私钥对加密后的目标数据进行解密,得到目标数据。该方式不法分子无法直接获取第二私钥,且该方式结合了多种加密方式,在满足监管要求的同时,私钥难以破解,从而保证了目标数据的安全。
本发明实施例还提供了另一种数据监管方法,该方法在上述实施例方法的基础上实现;该方法重点描述生成第一私钥的具体过程(具体通过下述步骤302实现),以及如果监管方需要访问加密后的目标数据,根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥的具体过程(具体通过下述步骤S308-S310实现);如图3所示,该方法包括如下具体步骤:
步骤S302,通过基于目标椭圆曲线的非对称加密算法,随机生成该目标椭圆曲线的非对称加密私钥,将该非对称加密私钥确定为第一私钥。
上述目标椭圆曲线的非对称加密算法相当于上述椭圆曲线加密算法。在具体实现时,可以根据椭圆曲线的非对称加密算法,随机生成椭圆曲线的非对称加密私钥,在随机生成时,可根据需求设置生成的加密私钥的字节数。
步骤S304,根据目标数据的特征数据,对上述第一私钥进行加密处理,得到第二私钥;其中,该第一私钥用于:预设监管方访问目标数据。
步骤S306,根据上述第二私钥对应的公钥,对目标数据进行加密。
当采用椭圆曲线的非对称加密算法时,可以通过第二私钥乘以椭圆曲线的基点的方式,得到公钥;该椭圆曲线的为预设的椭圆曲线上的一个点。
步骤S308,如果接收到监管方对目标数据的访问请求,基于该访问请求获取目标数据的特征数据和上述第一私钥。
上述访问请求可以是监管方通过终端设备发送的,该访问请求通常是访问某一目标数据的请求,通过该请求可以获得访问目标数据的权限,也即是通过该请求可以获取到目标数据的特征数据和上述第一私钥。
步骤S310,根据上述目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥。
根据目标数据的特征数据和第一私钥可以推导出第二私钥,也就是可以推导出加密目标数据使用的公钥对应的私钥。在具体实现时,可以通过上述步骤S310可以通过与上述步骤S304相同的方式,推导出第二私钥。
步骤S312,通过上述第二私钥对加密后的目标数据进行解密,得到目标数据。
上述数据监管方法,首先通过预设的基于椭圆曲线的非对称加密算法,随机生成椭圆曲线的非对称加密私钥,将该非对称加密私钥确定为第一私钥;进而根据目标数据的特征数据,对第一私钥进行加密处理得到第二私钥;再根据第二私钥对应的公钥,对目标数据进行加密;如果接收到监管方对目标数据的访问请求,基于该访问请求获取目标数据的特征数据和第一私钥;再次根据目标数据的特征数据,对第一私钥进行加密处理得到第二私钥;然后通过该第二私钥对加密后的目标数据进行解密,得到目标数据。该方式以第一私钥对基于非对称加密安全体系的数据进行监管,且通过第一私钥可推导出第二私钥,从而达到监管目的,同时该方式在不增加系统资源的基础上,保证了数据的安全性,又满足了监管需求。
对应于上述数据监管方法,本发明实施例还提供了另一种数据监管方法,该方法应用于监管方对应的服务器;如图4所示,该方法包括如下步骤:
步骤S402,获取待访问数据的特征数据。该待访问数据问加密数据。
步骤S404,根据上述待访问数据的特征数据,对第一私钥进行加密处理,得到第二私钥;该第一私钥用于:预设监管方访问待访问数据。
步骤S406,通过上述第二私钥对待访问数据进行解密,得到待访问数据。
上述数据监管方法,当监管方访问加密后的待访问数据时,可以根据第一私钥和待访问数据的特征数据,推导出第二私钥,以采用第二私钥解密待访问数据,由于该方式中的第二私钥需要推导获取,从而保证了目标数据的安全性,同时该方式无需建立数据副本,节省了系统资源的占用量。可以理解的是,本发明实施例的应用于监管方对应的服务器的数据监管方法与上述实施例中的数据监管方法可以相互借鉴,为行文简洁,这里不再赘述。
对应于上述数据监管方法,本发明实施例还提供了一种数据监管装置,如图5所示,该装置包括:
私钥加密模块50,用于根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;其中,该第一私钥用于:预设监管方访问所述目标数据。
数据加密模块51,用于根据上述第二私钥对应的公钥,对目标数据进行加密。
数据访问模块52,用于如果监管方需要访问加密后的目标数据,根据该目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;通过该第二私钥对加密后的目标数据进行解密,得到目标数据。
上述数据监管装置,首先设置用于监管方访问目标数据的第一私钥;在对目标数据进行加密时,对该第一私钥进行加密处理,得到第二私钥;进而根据该第二私钥对应的公钥,对目标数据进行加密;如果监管方需要访问加密后的目标数据,根据该目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;再通过该第二私钥对加密后的目标数据进行解密,得到目标数据。该方式中,通过第一私钥得到第二私钥,进而采用第二私钥的公钥对目标数据加密,当监管方访问加密后的目标数据时,可以根据第一私钥和目标数据的特征数据,推导出第二私钥,以采用第二私钥解密加密后的目标数据,由于该方式中的第二私钥需要推导获取,从而保证了目标数据的安全性,同时该方式无需建立数据副本,节省了系统资源的占用量。
具体地,上述私钥加密模块包括:私钥划分模块,用于将预先生成的第一私钥划分为多个子私钥;其中,每个子私钥包含第一私钥中,该子私钥对应的指定字节中的数据;子私钥加密模块,用于通过目标数据的特征数据,分别对每个子私钥进行加密处理,得到每个子私钥对应的加密结果;私钥确定模块,用于根据每个子私钥对应的加密结果,确定第二私钥。
在具体实现时,每个子私钥的字节数相同;上述子私钥加密模块,用于:通过与子私钥字节数相同的、目标数据的特征数据,分别对每个子私钥进行加密处理,得到与子私钥字节数相同的、每个子私钥对应的加密结果。
进一步地,上述私钥确定模块,用于:拼接每个子私钥对应的加密结果,得到拼接结果;将拼接结果与目标椭圆曲线的阶数进行取模运算,得到第二私钥。
进一步地,上述数据解密模块,用于:如果接收到监管方对目标数据的访问请求,基于该访问请求获取目标数据的特征数据和第一私钥;根据该目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥。
在具体实现时,上述装置还包括第一私钥生成模块,用于通过基于目标椭圆曲线的非对称加密算法,随机生成目标椭圆曲线的非对称加密私钥,将该非对称加密私钥确定为第一私钥。
上述目标数据的特征数据包括:目标数据对应的用户的用户标识或者目标数据对应的业务的业务标识。
本发明实施例所提供的数据监控装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
对应于上述数据监管方法,本发明实施例还提供了另一种数据监管装置,如图6所示,该装置包括:
特征数据获取模块60,用于获取待访问数据的特征数据。
私钥获取模块61,用于根据待访问数据的特征数据,对第一私钥进行加密处理,得到第二私钥;该第一私钥用于:预设监管方访问待访问数据。
数据解密模块62,用于通过第二私钥对待访问数据进行解密,得到待访问数据。
上述数据监管装置,当监管方访问加密后的待访问数据时,可以根据第一私钥和待访问数据的特征数据,推导出第二私钥,以采用第二私钥解密待访问数据,由于该方式中的第二私钥需要推导获取,从而保证了目标数据的安全性,同时该方式无需建立数据副本,节省了系统资源的占用量。
本发明实施例还提供了一种服务器,参见图7所示,该服务器包括处理器101和存储器100,该存储器100存储有能够被处理器101执行的机器可执行指令,该处理器101执行机器可执行指令以实现上述数据监管方法。
进一步地,图7所示的服务器还包括总线102和通信接口103,处理器101、通信接口103和存储器100通过总线102连接。
其中,存储器100可能包含高速随机存取存储器(RAM,RandomAccessMemory),也可能还包括非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线102可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器101可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器101可以是通用处理器,包括中央处理器(CentralProcessingUnit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器100,处理器101读取存储器100中的信息,结合其硬件完成前述实施例的方法的步骤。
本发明实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,该机器可执行指令促使处理器实现上述数据监管方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和/或电子设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种数据监管方法,其特征在于,所述方法包括:
根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;其中,所述第一私钥用于:预设监管方访问所述目标数据;
根据所述第二私钥对应的公钥,对所述目标数据进行加密;
如果所述监管方需要访问加密后的所述目标数据,根据所述目标数据的特征数据,对所述第一私钥进行加密处理,得到所述第二私钥;通过所述第二私钥对加密后的所述目标数据进行解密,得到所述目标数据。
2.根据权利要求1所述的方法,其特征在于,所述根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥的步骤,包括:
将所述第一私钥划分为多个子私钥;其中,每个所述子私钥包含所述第一私钥中,所述子私钥对应的指定字节中的数据;
通过所述目标数据的特征数据,分别对每个所述子私钥进行加密处理,得到每个所述子私钥对应的加密结果;
根据每个所述子私钥对应的加密结果,确定所述第二私钥。
3.根据权利要求2所述的方法,其特征在于,每个所述子私钥的字节数相同;
所述通过所述目标数据的特征数据,分别对每个所述子私钥进行加密处理,得到每个所述子私钥对应的加密结果的步骤,包括:
通过与所述子私钥的字节数相同的、所述目标数据的特征数据,分别对每个所述子私钥进行加密处理,得到与所述子私钥的字节数相同的、每个所述子私钥对应的加密结果。
4.根据权利要求2所述的方法,其特征在于,根据每个所述子私钥对应的加密结果,确定所述第二私钥的步骤,包括:
拼接每个所述子私钥对应的加密结果,得到拼接结果;
将所述拼接结果与目标椭圆曲线的阶数进行取模运算,得到所述第二私钥。
5.根据权利要求1所述的方法,其特征在于,所述如果所述监管方需要访问加密后的所述目标数据,根据所述目标数据的特征数据,对所述第一私钥进行加密处理,得到所述第二私钥的步骤,包括:
如果接收到所述监管方对所述目标数据的访问请求,基于所述访问请求获取所述目标数据的特征数据和所述第一私钥;
根据所述目标数据的特征数据,对所述第一私钥进行加密处理,得到所述第二私钥。
6.根据权利要求1所述的方法,其特征在于,所述第一私钥通过下述方式生成:通过基于目标椭圆曲线的非对称加密算法,随机生成所述目标椭圆曲线的非对称加密私钥,将所述非对称加密私钥确定为所述第一私钥。
7.根据权利要求1所述的方法,其特征在于,所述目标数据的特征数据包括:所述目标数据对应的用户的用户标识或者所述目标数据对应的业务的业务标识。
8.一种数据监管方法,其特征在于,所述方法包括:
获取待访问数据的特征数据;
根据所述待访问数据的特征数据,对第一私钥进行加密处理,得到第二私钥;所述第一私钥用于:预设监管方访问所述待访问数据;
通过所述第二私钥对所述待访问数据进行解密,得到所述待访问数据。
9.一种数据监管装置,其特征在于,所述装置包括:
私钥加密模块,用于根据目标数据的特征数据,对第一私钥进行加密处理,得到第二私钥;其中,所述第一私钥用于:预设监管方访问所述目标数据;
数据加密模块,用于根据所述第二私钥对应的公钥,对所述目标数据进行加密;
数据访问模块,用于如果所述监管方需要访问加密后的所述目标数据,根据所述目标数据的特征数据,对所述第一私钥进行加密处理,得到所述第二私钥;通过所述第二私钥对加密后的所述目标数据进行解密,得到所述目标数据。
10.一种数据监管装置,其特征在于,所述装置包括:
特征数据获取模块,用于获取待访问数据的特征数据;
私钥获取模块,用于根据所述待访问数据的特征数据,对第一私钥进行加密处理,得到第二私钥;所述第一私钥用于:预设监管方访问所述待访问数据;
数据解密模块,用于通过所述第二私钥对所述待访问数据进行解密,得到所述待访问数据。
11.一种服务器,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1至8任一项所述的数据监管方法。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使处理器实现权利要求1至8任一项所述的数据监管方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010149205.1A CN111404892B (zh) | 2020-03-05 | 2020-03-05 | 数据监管方法、装置和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010149205.1A CN111404892B (zh) | 2020-03-05 | 2020-03-05 | 数据监管方法、装置和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111404892A true CN111404892A (zh) | 2020-07-10 |
| CN111404892B CN111404892B (zh) | 2022-05-27 |
Family
ID=71428575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010149205.1A Active CN111404892B (zh) | 2020-03-05 | 2020-03-05 | 数据监管方法、装置和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404892B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112465501A (zh) * | 2020-11-11 | 2021-03-09 | 中国人民大学 | 基于区块链的版权存证及侵权行为自动取证的方法及系统 |
| CN113347146A (zh) * | 2021-04-14 | 2021-09-03 | 上海瀚银信息技术有限公司 | 一种自动生成密钥的加密解密方法 |
| CN113676462A (zh) * | 2021-08-03 | 2021-11-19 | 北京海泰方圆科技股份有限公司 | 一种密钥分发、解密方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108780548A (zh) * | 2016-02-23 | 2018-11-09 | 区块链控股有限公司 | 将椭圆曲线加密用于个人装置安全以共享秘密 |
| CN108924147A (zh) * | 2018-07-17 | 2018-11-30 | 中国联合网络通信集团有限公司 | 通信终端数字证书签发的方法、服务器以及通信终端 |
| CN109426730A (zh) * | 2017-09-05 | 2019-03-05 | 北京立思辰计算机技术有限公司 | 一种加密打印方法、装置以及系统 |
| CN110427768A (zh) * | 2019-08-09 | 2019-11-08 | 北京智汇信元科技有限公司 | 一种私钥管理方法及系统 |
| CN110620658A (zh) * | 2019-08-26 | 2019-12-27 | 广州易波区块链技术有限公司 | 安全保存区块链私钥的方法及装置 |
| CN110839026A (zh) * | 2019-11-12 | 2020-02-25 | 深圳市网心科技有限公司 | 基于区块链的数据处理方法及相关设备 |
-
2020
- 2020-03-05 CN CN202010149205.1A patent/CN111404892B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108780548A (zh) * | 2016-02-23 | 2018-11-09 | 区块链控股有限公司 | 将椭圆曲线加密用于个人装置安全以共享秘密 |
| CN109426730A (zh) * | 2017-09-05 | 2019-03-05 | 北京立思辰计算机技术有限公司 | 一种加密打印方法、装置以及系统 |
| CN108924147A (zh) * | 2018-07-17 | 2018-11-30 | 中国联合网络通信集团有限公司 | 通信终端数字证书签发的方法、服务器以及通信终端 |
| CN110427768A (zh) * | 2019-08-09 | 2019-11-08 | 北京智汇信元科技有限公司 | 一种私钥管理方法及系统 |
| CN110620658A (zh) * | 2019-08-26 | 2019-12-27 | 广州易波区块链技术有限公司 | 安全保存区块链私钥的方法及装置 |
| CN110839026A (zh) * | 2019-11-12 | 2020-02-25 | 深圳市网心科技有限公司 | 基于区块链的数据处理方法及相关设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112465501A (zh) * | 2020-11-11 | 2021-03-09 | 中国人民大学 | 基于区块链的版权存证及侵权行为自动取证的方法及系统 |
| CN113347146A (zh) * | 2021-04-14 | 2021-09-03 | 上海瀚银信息技术有限公司 | 一种自动生成密钥的加密解密方法 |
| CN113347146B (zh) * | 2021-04-14 | 2023-09-08 | 上海瀚银信息技术有限公司 | 一种自动生成密钥的加密解密方法 |
| CN113676462A (zh) * | 2021-08-03 | 2021-11-19 | 北京海泰方圆科技股份有限公司 | 一种密钥分发、解密方法、装置、设备及介质 |
| CN113676462B (zh) * | 2021-08-03 | 2022-08-19 | 北京海泰方圆科技股份有限公司 | 一种密钥分发、解密方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111404892B (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110378139B (zh) | 一种数据密钥保护方法、系统及电子设备和存储介质 | |
| CN108809646B (zh) | 安全共享密钥共享系统 | |
| CN110457945B (zh) | 名单查询的方法、查询方设备、服务方设备及存储介质 | |
| CN111404892B (zh) | 数据监管方法、装置和服务器 | |
| CN112202754B (zh) | 一种数据加密方法、装置、电子设备及存储介质 | |
| CN111294203B (zh) | 信息传输方法 | |
| CN111130770A (zh) | 基于区块链的信息存证方法、系统、用户终端、电子设备及存储介质 | |
| CN111669402B (zh) | 加密通信方法、装置、设备及存储介质 | |
| US11075753B2 (en) | System and method for cryptographic key fragments management | |
| CN112948851A (zh) | 用户认证方法、装置、服务器及存储介质 | |
| CN110661748A (zh) | 一种日志的加密方法、解密方法及装置 | |
| WO2017006118A1 (en) | Secure distributed encryption system and method | |
| CN111400728A (zh) | 应用于区块链的数据加密解密方法及装置 | |
| CN112733180A (zh) | 数据查询方法、装置和电子设备 | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| CN114268447B (zh) | 一种文件传输方法、装置、电子设备和计算机可读介质 | |
| CN111628863B (zh) | 一种数据签名的方法、装置、电子设备及存储介质 | |
| CN117155549A (zh) | 密钥分发方法、装置、计算机设备和存储介质 | |
| CN111949996A (zh) | 安全私钥的生成方法、加密方法、系统、设备及介质 | |
| WO2019178981A1 (zh) | 自定义规则密码管理方法、装置、终端设备及存储介质 | |
| CN113434890B (zh) | 数据查询方法及系统、可读存储介质 | |
| CN115603907A (zh) | 加密存储数据的方法、装置、设备和存储介质 | |
| CN114091072A (zh) | 一种数据处理方法及装置 | |
| CN114553557A (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN111931204A (zh) | 用于分布式系统的加密去重存储方法、终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |