CN113904832B - 数据加密方法、装置、设备及存储介质 - Google Patents
数据加密方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113904832B CN113904832B CN202111158215.2A CN202111158215A CN113904832B CN 113904832 B CN113904832 B CN 113904832B CN 202111158215 A CN202111158215 A CN 202111158215A CN 113904832 B CN113904832 B CN 113904832B
- Authority
- CN
- China
- Prior art keywords
- data
- key
- encryption
- generated
- advance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000012545 processing Methods 0.000 claims abstract description 25
- 238000013503 de-identification Methods 0.000 claims abstract description 19
- 238000007405 data analysis Methods 0.000 claims abstract description 18
- 238000004422 calculation algorithm Methods 0.000 claims description 53
- 238000004364 calculation method Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 15
- 238000012546 transfer Methods 0.000 claims description 11
- 230000000903 blocking effect Effects 0.000 claims description 8
- 238000013507 mapping Methods 0.000 claims description 5
- 230000009467 reduction Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 239000004973 liquid crystal related substance Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及信息安全领域,提供了一种数据加密方法、装置、设备及存储介质。所述方法包括:对各对象的原始隐私数据执行去标识化处理,根据第一更新密钥对去标识化的隐私数据执行转加密操作,得到去标识化的隐私数据对应的转加密操作后的隐私数据,并将转加密操作后的隐私数据存储至统一密文空间,当接收到对转加密操作后的隐私数据执行还原操作的请求时,利用第二更新密钥对转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至请求对应的密文空间。本发明可以在多方进行数据分析或匹配时,隐私数据不被泄露。本发明还涉及区块链技术领域,上述隐私数据可以存储于一区块链的节点中。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种数据加密方法、装置、设备及存储介质。
背景技术
随着云计算技术与大数据技术的发展,隐私数据的保护越来越受到人们的关注。在数据强监管大环境下,不同公司之间或不同子公司之间的数据流通和使用面临着合规和安全双重考验,例如,不同子公司之间需要进行数据分析或匹配时,往往会涉及到许多隐私数据,如何保证在数据分析或匹配时,隐私数据且不被对方利用且不泄露,且如何开展客户隐私数据的保护,已成为本领域技术人员亟待解决的问题。
发明内容
鉴于以上内容,本发明提供一种数据加密方法、装置、设备及存储介质,其目的在于解决现有技术中多方进行数据分析或匹配时,隐私数据容易泄露的技术问题。
为实现上述目的,本发明提供一种数据加密方法,该方法包括:
基于预设的加密算法对各对象的原始隐私数据执行去标识化处理;
获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,并将转加密操作后的隐私数据存储至预设的统一密文空间;
当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至所述请求对应的密文空间。
优选的,所述基于预设的加密算法对各对象的原始隐私数据执行去标识化处理,包括:
基于SM2椭圆曲线算法生成一个随机数k;
对各对象的原始隐私数据以预设字节长度执行分块操作,得到多个分块数据;
对各所述分块数据的二进制数据映射为SM2椭圆曲线的点P,得到各所述分块数据对应的密文;
将各所述分块数据的密文进行拼接组装,得到各对象对应的去标识化的隐私数据。
优选的,所述第一更新密钥的具体生成步骤,包括:
获取对象预先生成的私钥及该对象所属父对象预先生成的公钥,利用预设的交换协议算法,将所述对象预先生成的私钥和该对象所属父对象预先生成的公钥生成第一更新密钥,其中,所述交换协议算法包括ECDH密钥交换协议算法。
优选的,所述基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,包括:
获取去标识化的隐私数据的分块数据的密文,对所述第一更新密钥与去标识化的隐私数据的分块数据的密文执行第一计算处理,得到转加密操作后的隐私数据;
所述第一计算处理的具体公式包括:[kG,p+kdbG]=p+kdaG+kG*rekey1,
其中,[kG,p+kdbG]表示转加密操作后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey1表示所述第一更新密钥。
优选的,所述第二更新密钥的具体生成步骤,包括:
获取对象预先生成的公钥和该对象所属父对象预先生成的私钥,基于预设的交换协议算法,将所述对象预先生成的公钥和该对象所属父对象预先生成的私钥生成第二更新密钥。
优选的,所述利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,包括:
对所述第二更新密钥与转加密操作后的隐私数据执行第二计算处理,得到还原后的隐私数据;
所述第二计算处理的具体公式包括:[kG,p+kdaG]=p+kdbG+kG*rekey2,其中,[kG,p+kdaG]表示还原后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey2表示所述第二更新密钥。
优选的,所述方法还包括:
当接收到终端发出的数据分析请求时,获取所述数据分析请求对应的转加密操作后的隐私数据并传输至所述请求对应的终端,以供所述终端基于转加密操作后的隐私数据执行数据分析。
为实现上述目的,本发明还提供一种数据加密装置,该数据加密装置包括:
第一加密模块:用于基于预设的加密算法对各对象的原始隐私数据执行去标识化处理;
第二加密模块:用于获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,并将转加密操作后的隐私数据存储至预设的统一密文空间;
还原模块:用于当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至所述请求对应的密文空间。
为实现上述目的,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的程序,所述程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述的数据加密方法的任意步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有数据加密程序,所述数据加密程序被处理器执行时,实现如上所述数据加密方法的任意步骤。
本发明提出的数据加密方法、装置、设备及存储介质,可以使得多方在数据分析或匹配时,各方的隐私数据在不借助额外信息的情况下得以隐藏不会被泄露,也保证了隐私数据加密后,通过在统一密文空间流通转加密操作后的隐私数据,各方之间可以进行有效的数据匹配或分析。
附图说明
图1为本发明数据加密方法较佳实施例的流程图示意图;
图2为本发明数据加密装置较佳实施例的模块示意图;
图3为本发明电子设备较佳实施例的示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种数据加密方法。参照图1所示,为本发明数据加密方法的实施例的方法流程示意图。该方法可以由一个电子设备执行,该电子设备可以由软件和/或硬件实现。数据加密方法包括:
步骤S10:基于预设的加密算法对各对象的原始隐私数据执行去标识化处理,得到各对象去标识化的隐私数据。
以某企业集团旗下的多个专业子公司之间需要使用或分析彼此共同的业务数据的场景对本方案进行说明,需要说明的是,本方案的实际应用场景并不仅限于该场景。
在本实施例中,各个对象(子公司)可以分别从各自的原始文件数据中确定各自的原始隐私数据,原始数据文件可以包括该公司业务系统中根据用户的交易等行为产生的各种数据文件,例如,用户的保险订单数据等、用户在子公司注册时填写的数据文件等,这些数据文件中往往会包含大量能够直接确定出用户的真实身份的隐私信息(例如,姓名、身份证号码、银行卡号等等)。
因此,可以利用加密算法对各子公司的原始隐私数据执行去标识化处理,得到各子公司去标识化后的隐私数据。去标识化处理是指将子公司的用户私密数据信息转换成无法直接确定用户真实身份的数据,以保证在不借助其它信息的情况下,无法根据转换后的数据确定出特定的某个用户。
在一个实施例中,所述基于预设的加密算法对各对象的原始隐私数据执行去标识化处理,包括:
基于SM2椭圆曲线算法生成一个随机数k;
对各对象的原始隐私数据以预设字节长度执行分块操作,得到多个分块数据;
对各所述分块数据的二进制数据映射为SM2椭圆曲线的点P,得到各所述分块数据对应的密文;
将各所述分块数据的密文进行拼接组装,得到各对象对应的去标识化的隐私数据。
SM曲线是指SM2椭圆曲线加密算法的曲线,生成随机数k后,对各子公司的原始隐私数据以16byte为长度进行分块得到多个分块数据,将各分块数据的二进制数据映射为SM2椭圆曲线的点P,得到各分块数据的密文[kG,p+kdaG],将各分块数据的密文进行拼接组装,得到各对象对应的去标识化的隐私数据,其中,G为椭圆曲线中的任意一个点,da表示子公司预先生成的密钥。
步骤S20:获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,得到去标识化的隐私数据对应的转加密操作后的隐私数据,并将转加密操作后的隐私数据存储至预设的统一密文空间。
在本实施例中,将各子公司去标识化后的隐私数据标记为ID1、ID2……IDN,N表示子公司的数量,例如,子公司1为ID1、子公司2为ID2……子公司N为IDN。由于需要将去标识化的隐私数据放入统一的数据分析平台,防止各个子公司倒推出其它子公司隐私数据的明文,因此需要对去标识后的隐私数据执行转加密操作,即获取预先生成的第一更新密钥,根据第一更新密钥对去标识化后的隐私数据执行转加密操作,得到去标识化后的隐私数据对应的转加密的密文,并将各转加密的密文存储至预设的统一密文空间。
在一个实施例中,所述第一更新密钥的具体生成步骤,包括:
获取对象预先生成的私钥及该对象所属父对象预先生成的公钥,利用预设的交换协议算法,将所述对象预先生成的私钥和该对象所属父对象预先生成的公钥生成第一更新密钥,其中,所述交换协议算法包括ECDH密钥交换协议算法。
每个子公司有对应的第一更新密钥,对象所属的父对象可以是指子公司所属的总公司的负责安全的部门,子公司和总公司可以预先生成各自的非对称密钥对,非对称密钥对包括公钥和私钥,根据子公司的私钥和总公司的公钥利用交换协议算法生成第一更新密钥,交换协议算法可以是ECDH密钥交换协议算法,第一更新密钥是双方协商出来的密钥,交换双方可以在不共享任何秘密的情况下协商出一个密钥。
在一个实施例中,所述基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,包括:
获取去标识化的隐私数据的分块数据的密文,对所述第一更新密钥与去标识化的隐私数据的分块数据的密文执行第一计算处理,得到转加密操作后的隐私数据;
所述第一计算处理的具体公式包括:[kG,p+kdbG]=p+kdaG+kG*rekey1,
其中,[kG,p+kdbG]表示转加密操作后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey1表示所述第一更新密钥。
对子公司1、子公司2……子公司N对应的子公司ID1、子公司ID2……子公司IDN的密文[kG,p+kdaG]进行转加密,对去标识化后的隐私数据的每个分块数据,使用第一更新密钥rekey1与密文进行计算:p+kdaG+kG*rekey1,得到转加密密文[kG,p+kdbG],之后将各转加密操作后的隐私数据存储至预设的统一密文空间,统一密文空间用于存储各子公司的转加密操作后的隐私数据。
步骤S30:当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对转加密操作后的隐私数据执行还原操作得到对应的去标识化的隐私数据,并将该去标识化的隐私数据存储至所述请求对应的密文空间。
在本实施例中,各子公司有对应的转加密操作后的隐私数据记为IDX,当接收到还原转加密操作后的隐私数据的请求时,利用预先生成的第二更新密钥,将该转加密的隐私数据转换为去标识化后的隐私数据。例如,子公司1需要将其转加密操作后的隐私数据记为IDX,可利用第二更新密钥将IDX转换为去标识化后的隐私数据ID1,并将ID1存储至子公司1对应的密文空间上。
在一个实施例中,所述第二更新密钥的具体生成步骤,包括:
获取对象预先生成的公钥和该对象所属父对象预先生成的私钥,基于预设的交换协议算法,将所述对象预先生成的公钥和该对象所属父对象预先生成的私钥生成第二更新密钥。
每个子公司有对应的第二更新密钥,对象所属的父对象可以是指子公司所属的总公司的负责安全的部门,子公司和总公司可以预先生成各自的非对称密钥对,非对称密钥对包括公钥和私钥,根据子公司的私钥和总公司的公钥利用交换协议算法生成第二更新密钥,交换协议算法可以是ECDH密钥交换协议算法,第二更新密钥是双方协商出来的密钥,交换双方可以在不共享任何秘密的情况下协商出密钥。
在一个实施例中,所述利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,包括:
对所述第二更新密钥与转加密操作后的隐私数据执行第二计算处理,得到还原后的隐私数据;
所述第二计算处理的具体公式包括:[kG,p+kdaG]=p+kdbG+kG*rekey2,
其中,[kG,p+kdaG]表示还原后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey2表示所述第二更新密钥。
在一个实施例中,所述方法还包括:
当接收到终端发出的数据分析请求时,获取所述数据分析请求对应的转加密操作后的隐私数据并传输至所述请求对应的终端,以供所述终端基于转加密操作后的隐私数据执行数据分析。
转加密操作后的隐私数据IDX在统一数据分析平台上流通,当子公司1要与子公司2做隐私数据的分析匹配时,可以从统一密文空间读取子公司2的IDX,与子公司1自身的IDX进行分析匹配,即保护了各自的隐私数据不被对方利用,又保护了隐私信息不被泄露。
参照图2所示,为本发明数据加密装置100的功能模块示意图。
本发明所述数据加密装置100可以安装于电子设备中。根据实现的功能,所述数据加密装置100可以包括第一加密模块110、第二加密模块120及还原模块130。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
第一加密模块110:用于基于预设的加密算法对各对象的原始隐私数据执行去标识化处理;
第二加密模块120:用于获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,并将转加密操作后的隐私数据存储至预设的统一密文空间;
还原模块130:用于当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至所述请求对应的密文空间。
在一个实施例中,所述基于预设的加密算法对各对象的原始隐私数据执行去标识化处理,包括:
基于SM2椭圆曲线算法生成一个随机数k;
对各对象的原始隐私数据以预设字节长度执行分块操作,得到多个分块数据;
对各所述分块数据的二进制数据映射为SM2椭圆曲线的点P,得到各所述分块数据对应的密文;
将各所述分块数据的密文进行拼接组装,得到各对象对应的去标识化的隐私数据。
在一个实施例中,所述第一更新密钥的具体生成步骤,包括:
获取对象预先生成的私钥及该对象所属父对象预先生成的公钥,利用预设的交换协议算法,将所述对象预先生成的私钥和该对象所属父对象预先生成的公钥生成第一更新密钥,其中,所述交换协议算法包括ECDH密钥交换协议算法。
在一个实施例中,所述基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,包括:
获取去标识化的隐私数据的分块数据的密文,对所述第一更新密钥与去标识化的隐私数据的分块数据的密文执行第一计算处理,得到转加密操作后的隐私数据;
所述第一计算处理的具体公式包括:[kG,p+kdbG]=p+kdaG+kG*rekey1,
其中,[kG,p+kdbG]表示转加密操作后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey1表示所述第一更新密钥。
在一个实施例中,所述第二更新密钥的具体生成步骤,包括:
获取对象预先生成的公钥和该对象所属父对象预先生成的私钥,基于预设的交换协议算法,将所述对象预先生成的公钥和该对象所属父对象预先生成的私钥生成第二更新密钥。
在一个实施例中,所述利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,包括:
对所述第二更新密钥与转加密操作后的隐私数据执行第二计算处理,得到还原后的隐私数据;
所述第二计算处理的具体公式包括:[kG,p+kdaG]=p+kdbG+kG*rekey2,
其中,[kG,p+kdaG]表示还原后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey2表示所述第二更新密钥。
在一个实施例中,数据加密装置100还包括传输模块;
传输模块用于:当接收到终端发出的数据分析请求时,获取所述数据分析请求对应的转加密操作后的隐私数据并传输至所述请求对应的终端,以供所述终端基于转加密操作后的隐私数据执行数据分析。
参照图3所示,为本发明电子设备1较佳实施例的示意图。
该电子设备1包括但不限于:存储器11、处理器12、显示器13及网络接口14。所述电子设备1通过网络接口14连接网络,获取原始数据。其中,所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobilecommunication,GSM)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi、通话网络等无线或有线网络。
其中,存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器11可以是所述电子设备1的内部存储单元,例如该电子设备1的硬盘或内存。在另一些实施例中,所述存储器11也可以是所述电子设备1的外部存储设备,例如该电子设备1配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器11还可以既包括所述电子设备1的内部存储单元也包括其外部存储设备。本实施例中,存储器11通常用于存储安装于所述电子设备1的操作系统和各类应用软件,例如数据加密程序10的程序代码等。此外,存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器12通常用于控制所述电子设备1的总体操作,例如执行数据交互或者通信相关的控制和处理等。本实施例中,所述处理器12用于运行所述存储器11中存储的程序代码或者处理数据,例如运行数据加密程序10的程序代码等。
显示器13可以称为显示屏或显示单元。在一些实施例中显示器13可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-EmittingDiode,OLED)触摸器等。显示器13用于显示在电子设备1中处理的信息以及用于显示可视化的工作界面,例如显示数据统计的结果。
网络接口14可选地可以包括标准的有线接口、无线接口(如WI-FI接口),该网络接口14通常用于在所述电子设备1与其它电子设备之间建立通信连接。
图3仅示出了具有组件11-14以及数据加密程序10的电子设备1,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
可选地,所述电子设备1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的用户接口还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-Emitting Diode,OLED)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
该电子设备1还可以包括射频(Radio Frequency,RF)电路、传感器和音频电路等等,在此不再赘述。
在上述实施例中,处理器12执行存储器11中存储的数据加密程序10时可以实现如下步骤:
基于预设的加密算法对各对象的原始隐私数据执行去标识化处理;
获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,并将转加密操作后的隐私数据存储至预设的统一密文空间;
当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至所述请求对应的密文空间。
所述存储设备可以为电子设备1的存储器11,也可以为与电子设备1通讯连接的其它存储设备。
关于上述步骤的详细介绍,请参照上述图2关于数据加密装置100实施例的功能模块图以及图1关于数据加密方法实施例的流程图的说明。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质可以是非易失性的,也可以是易失性的。该计算机可读存储介质可以是硬盘、多媒体卡、SD卡、闪存卡、SMC、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器等等中的任意一种或者几种的任意组合。所述计算机可读存储介质中包括存储数据区和存储程序区,存储数据区存储根据区块链节点的使用所创建的数据,存储程序区存储有数据加密程序10,所述数据加密程序10被处理器执行时实现如下操作:
基于预设的加密算法对各对象的原始隐私数据执行去标识化处理;
获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,并将转加密操作后的隐私数据存储至预设的统一密文空间;
当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至所述请求对应的密文空间。
本发明之计算机可读存储介质的具体实施方式与上述数据加密方法的具体实施方式大致相同,在此不再赘述。
在另一个实施例中,本发明所提供的数据加密方法,为进一步保证上述所有出现的数据的私密和安全性,上述所有数据还可以存储于一区块链的节点中。例如去标识化的隐私数据及转加密操作后的隐私数据等,这些数据均可存储在区块链节点中。
需要说明的是,本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,电子装置,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种数据加密方法,其特征在于,所述方法包括:
基于预设的加密算法对各对象的原始隐私数据执行去标识化处理;
获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,并将转加密操作后的隐私数据存储至预设的统一密文空间,所述第一更新密钥是根据如下步骤生成:获取对象预先生成的私钥及该对象所属父对象预先生成的公钥,利用预设的交换协议算法,将所述对象预先生成的私钥和该对象所属父对象预先生成的公钥生成第一更新密钥,其中,所述交换协议算法包括ECDH密钥交换协议算法;
当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至所述请求对应的密文空间,所述第二更新密钥是根据如下步骤生成:获取对象预先生成的公钥和该对象所属父对象预先生成的私钥,基于预设的交换协议算法,将所述对象预先生成的公钥和该对象所属父对象预先生成的私钥生成第二更新密钥。
2.如权利要求1所述的数据加密方法,其特征在于,所述基于预设的加密算法对各对象的原始隐私数据执行去标识化处理,包括:
基于SM2椭圆曲线算法生成一个随机数k;
对各对象的原始隐私数据以预设字节长度执行分块操作,得到多个分块数据;
对各所述分块数据的二进制数据映射为SM2椭圆曲线的点P,得到各所述分块数据对应的密文;
将各所述分块数据的密文进行拼接组装,得到各对象对应的去标识化的隐私数据。
3.如权利要求1所述的数据加密方法,其特征在于,所述基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,包括:
获取去标识化的隐私数据的分块数据的密文,对所述第一更新密钥与去标识化的隐私数据的分块数据的密文执行第一计算处理,得到转加密操作后的隐私数据;
所述第一计算处理的具体公式包括:[kG,p+kdbG]=p+kdaG+kG*rekey1,
其中,[kG,p+kdbG]表示转加密操作后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey1表示所述第一更新密钥。
4.如权利要求1所述的数据加密方法,其特征在于,所述利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,包括:
对所述第二更新密钥与转加密操作后的隐私数据执行第二计算处理,得到还原后的隐私数据;
所述第二计算处理的具体公式包括:[kG,p+kdaG]=p+kdbG+kG*rekey2,
其中,[kG,p+kdaG]表示还原后的隐私数据,p表示SM2椭圆曲线的点p,k表示SM2椭圆曲线算法生成的随机数,da表示对象预先生成的密钥,db表示对象所属父对象预先生成的密钥,G表示SM2椭圆曲线中的任意一个点,rekey2表示所述第二更新密钥。
5.如权利要求1所述的数据加密方法,其特征在于,所述方法还包括:
当接收到终端发出的数据分析请求时,获取所述数据分析请求对应的转加密操作后的隐私数据并传输至所述请求对应的终端,以供所述终端基于转加密操作后的隐私数据执行数据分析。
6.一种数据加密装置,其特征在于,所述装置包括:
第一加密模块:用于基于预设的加密算法对各对象的原始隐私数据执行去标识化处理;
第二加密模块:用于获取预先生成的第一更新密钥,基于所述第一更新密钥对去标识化的隐私数据执行转加密操作,并将转加密操作后的隐私数据存储至预设的统一密文空间,所述第一更新密钥是根据如下步骤生成:获取对象预先生成的私钥及该对象所属父对象预先生成的公钥,利用预设的交换协议算法,将所述对象预先生成的私钥和该对象所属父对象预先生成的公钥生成第一更新密钥,其中,所述交换协议算法包括ECDH密钥交换协议算法;
还原模块:用于当接收到对转加密操作后的隐私数据执行还原操作的请求时,获取预先生成的第二更新密钥,利用所述第二更新密钥对所述转加密操作后的隐私数据执行还原操作,并将还原后的隐私数据存储至所述请求对应的密文空间,所述第二更新密钥是根据如下步骤生成:获取对象预先生成的公钥和该对象所属父对象预先生成的私钥,基于预设的交换协议算法,将所述对象预先生成的公钥和该对象所属父对象预先生成的私钥生成第二更新密钥。
7.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的程序,所述程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至5中任一项所述的数据加密方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有数据加密程序,所述数据加密程序被处理器执行时,实现如权利要求1至5中任一项所述数据加密方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111158215.2A CN113904832B (zh) | 2021-09-30 | 2021-09-30 | 数据加密方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111158215.2A CN113904832B (zh) | 2021-09-30 | 2021-09-30 | 数据加密方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113904832A CN113904832A (zh) | 2022-01-07 |
| CN113904832B true CN113904832B (zh) | 2023-10-17 |
Family
ID=79189718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111158215.2A Active CN113904832B (zh) | 2021-09-30 | 2021-09-30 | 数据加密方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113904832B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553612B (zh) * | 2022-04-27 | 2022-07-26 | 深圳市一航网络信息技术有限公司 | 数据加密、解密方法、装置、存储介质及电子设备 |
| CN115118458B (zh) * | 2022-05-31 | 2024-04-19 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453268A (zh) * | 2016-09-21 | 2017-02-22 | 四川大学 | 一种在物流过程中实现快递隐私保护的方法 |
| CN110839026A (zh) * | 2019-11-12 | 2020-02-25 | 深圳市网心科技有限公司 | 基于区块链的数据处理方法及相关设备 |
| CN112287364A (zh) * | 2020-10-22 | 2021-01-29 | 同盾控股有限公司 | 数据共享方法、装置、系统、介质及电子设备 |
| CN112507365A (zh) * | 2020-12-16 | 2021-03-16 | 平安银行股份有限公司 | 数据匹配方法、终端及存储介质 |
| CN113343309A (zh) * | 2021-08-02 | 2021-09-03 | 北京东方通软件有限公司 | 自然人数据库隐私安全保护方法、装置和终端设备 |
| CN113434888A (zh) * | 2021-07-06 | 2021-09-24 | 建信金融科技有限责任公司 | 数据共享方法、装置、设备及系统 |
-
2021
- 2021-09-30 CN CN202111158215.2A patent/CN113904832B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453268A (zh) * | 2016-09-21 | 2017-02-22 | 四川大学 | 一种在物流过程中实现快递隐私保护的方法 |
| CN110839026A (zh) * | 2019-11-12 | 2020-02-25 | 深圳市网心科技有限公司 | 基于区块链的数据处理方法及相关设备 |
| CN112287364A (zh) * | 2020-10-22 | 2021-01-29 | 同盾控股有限公司 | 数据共享方法、装置、系统、介质及电子设备 |
| CN112507365A (zh) * | 2020-12-16 | 2021-03-16 | 平安银行股份有限公司 | 数据匹配方法、终端及存储介质 |
| CN113434888A (zh) * | 2021-07-06 | 2021-09-24 | 建信金融科技有限责任公司 | 数据共享方法、装置、设备及系统 |
| CN113343309A (zh) * | 2021-08-02 | 2021-09-03 | 北京东方通软件有限公司 | 自然人数据库隐私安全保护方法、装置和终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113904832A (zh) | 2022-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110365670B (zh) | 黑名单共享方法、装置、计算机设备和存储介质 | |
| US9489521B2 (en) | Format preserving encryption methods for data strings with constraints | |
| CN111080295B (zh) | 一种基于区块链的电子合同处理方法以及设备 | |
| CN111835511A (zh) | 数据安全传输方法、装置、计算机设备及存储介质 | |
| CN113904832B (zh) | 数据加密方法、装置、设备及存储介质 | |
| US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
| CN114218592A (zh) | 敏感数据的加解密方法、装置、计算机设备及存储介质 | |
| TW201638798A (zh) | 用於在加密資料上進行查詢處理的資料庫伺服器及客戶端 | |
| CN110768790A (zh) | 数据安全授权访问方法、装置、设备及存储介质 | |
| US11251936B2 (en) | System and method for performing homomorphic aggregation over encrypted data | |
| CN115567188B (zh) | 一种多键值隐匿求交方法、装置及存储介质 | |
| CN112332975A (zh) | 物联网设备安全通信方法及系统 | |
| CN112184444A (zh) | 基于信息的特征进行信息处理的方法、装置、设备及介质 | |
| CN110162988A (zh) | 一种基于业务系统的敏感数据加密方法 | |
| CN111404892B (zh) | 数据监管方法、装置和服务器 | |
| US20190089544A1 (en) | Validation code encryption manager | |
| CN112307503B (zh) | 签章管理方法、装置和电子设备 | |
| CN113434882A (zh) | 应用程序的通讯保护方法、装置、计算机设备及存储介质 | |
| US11502856B2 (en) | Method for providing information to be stored and method for providing a proof of retrievability | |
| CN113434535B (zh) | 数据处理方法、通信系统、设备、产品及存储介质 | |
| CN112769565B (zh) | 密码加密算法的升级方法、装置、计算设备和介质 | |
| CN114840739A (zh) | 信息检索方法、装置、电子设备及存储介质 | |
| CN113904865A (zh) | 一种基于非对称算法的日志传输方法及装置 | |
| CN114614972A (zh) | 数据对齐方法、系统、电子装置及存储介质 | |
| CN110784602B (zh) | 软电话通信方法、装置、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |