CN114172710B

CN114172710B - 数据解密方法、装置、设备及存储介质

Info

Publication number: CN114172710B
Application number: CN202111453621.1A
Authority: CN
Inventors: 杨振燕; 王志辉; 周才军; 罗燕武; 陈培杰; 曾依峰; 宁海亮; 雷家庆; 樊鹏辉
Original assignee: Shenzhen Digital Certificate Authority Center Co ltd
Current assignee: Shenzhen Digital Certificate Authority Center Co ltd
Priority date: 2021-12-01
Filing date: 2021-12-01
Publication date: 2024-01-30
Anticipated expiration: 2041-12-01
Also published as: CN114172710A

Abstract

本发明涉及人工智能技术和大数据领域，公开了一种数据解密方法、装置、设备及存储介质。该方法包括：获取第一客户端上传的操作请求，并根据操作请求，采用签名认证方法对第一客户端进行鉴权处理，得到鉴权结果；根据鉴权结果，判断第一客户端是否鉴权通过；若通过，则基于鉴权结果，确定第一客户端对应的密文授权范围和密文操作范围；从数据库中选取密文授权范围对应的权限认证密文，并采用签名认证方法对权限认证密文进行授权解密处理，得到授权同态密文；基于密文操作范围，调用第一全同态算法对授权同态密文进行分布式计算，得到授权同态密文对应的统计明文并发送至第一客户端。本发明提升了数据传输过程和数据使用过程的安全性能。

Description

数据解密方法、装置、设备及存储介质

技术领域

本发明涉及大数据领域，尤其涉及一种数据解密方法、装置、设备及存储介质。

背景技术

数据加密技术发展已久，是指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文，它的核心是密码学。数据加密仍是计算机系统对信息进行保护的一种最可靠的办法，它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。

目前大数据平台是数据明文计算、存储均采用明文方式，处理数据的各环节人员都可以看到明文数据，存在数据泄露的风险；黑客通过某些手段可以从内存中获取到数据的明文信息，从而对用户的数据隐私性，安全性造成了很大的威胁；某些不法分子通过某些手段可以把明文数据拷贝处理带走，给客户和公司造成了巨大的侵害；更不利于公司与公司之间，部门与部门之间的数据的共享。即现有数据流转流程存在安全性问题。

发明内容

本发明的主要目的在于解决现有数据流转流程存在安全较低的技术问题。

本发明第一方面提供了一种数据解密方法，包括：获取第一客户端上传的操作请求，并根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果；根据所述鉴权结果，判断所述第一客户端是否鉴权通过；若所述第一客户端鉴权通过，则基于所述鉴权结果，确定所述第一客户端对应的密文授权范围和密文操作范围；从预置数据库中选取所述密文授权范围对应的权限认证密文，并采用所述签名认证方法对所述权限认证密文进行授权解密处理，得到授权同态密文；基于所述密文操作范围，调用预置第一全同态算法对所述授权同态密文进行分布式计算，得到所述授权同态密文对应的统计明文，并将所述统计明文发送至所述第一客户端。

可选的，在本发明第一方面的第一种实现方式中，在所述获取第一客户端上传的操作请求，并根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果之前，还包括：获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对所述原始录入数据进行加密，得到授权同态密文；采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文，并将所述权限认证密文存储至所述数据库。

可选的，在本发明第一方面的第二种实现方式中，所述采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文包括：获取所述授权同态密文对应的管理私钥和所述第一客户端对应的用户公钥；采用预置单向加密方法，对所述授权同态密文进行加密运算，得到所述授权同态密文对应的特征码，并采用所述特征码对所述授权同态密文进行加密，得到特征码加密密文；采用所述管理私钥对所述特征码进行加密，得到加密特征码，并采用预置对称加密算法对所述特征码加密密文和所述加密特征码进行对称加密，得到对称加密密码；采用所述用户公钥对所述对称加密密码进行加密，得到权限认证密文。

可选的，在本发明第一方面的第三种实现方式中，所述采用所述签名认证方法对所述权限认证密文进行授权解密处理，得到授权同态密文包括：获取所述第一客户端的用户私钥以及所述权限认证密文对应的管理公钥，并采用所述用户私钥对所述权限认证密文进行解密，得到对称加密密码；采用所述对称加密方法，对所述对称加密密码进行解密，得到特征码加密密文和加密特征码；采用所述单向加密方法对所述特征码加密密文进行解密，得到参照特征码，以及采用所述管理公钥对所述加密特征码进行解密，得到特征码；

判断所述特征码和所述参照特征码是否一致；若一致，则采用所述特征码对所述特征码加密密文进行解密，得到授权同态密文。

可选的，在本发明第一方面的第四种实现方式中，所述根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果包括：解析所述操作请求，得到所述第一客户端预存的临时认证证书，并根据所述临时认证证书，对所述第一客户端进行身份认证，得到身份认证结果；根据所述身份认证结果，判断所述第一客户端是否通过身份认证；若通过身份认证，则从预置认证中心获取所述第一客户端对应的永久认证证书和根证书；通过所述永久认证证书和所述根证书，确定所述第一客户端的密文授权范围和密文操作范围，并生成所述密文授权范围和所述密文操作范围对应的鉴权通过的鉴权结果；若不通过身份认证，则生成鉴权不通过的鉴权结果。

可选的，在本发明第一方面的第五种实现方式中，所述基于所述密文操作范围，调用预置第一全同态算法对所述授权同态密文进行分布式计算，得到所述授权同态密文对应的统计明文包括：将所述授权同态密文发送至多个预置分布式消息队列，并基于所述密文操作范围，确定各所述分布式消息队列对应的计算接口；调用各所述计算接口对应的预置运算方法，分别对对应分布式消息队列中的授权同态密文进行统计，得到所述授权同态密文对应的统计明文。

本发明第二方面提供了一种数据解密装置，包括：鉴权模块，用于获取第一客户端上传的操作请求，并根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果；判别模块，用于根据所述鉴权结果，判断所述第一客户端是否鉴权通过；确定模块，用于若所述第一客户端鉴权通过，则基于所述鉴权结果，确定所述第一客户端对应的密文授权范围和密文操作范围；授权解密模块，用于从预置数据库中选取所述密文授权范围对应的权限认证密文，并采用所述签名认证方法对所述权限认证密文进行授权解密处理，得到授权同态密文；同态计算模块，用于基于所述密文操作范围，调用预置第一全同态算法对所述授权同态密文进行分布式计算，得到所述授权同态密文对应的统计明文，并将所述统计明文发送至所述第一客户端。

可选的，在本发明第二方面的第一种实现方式中，所述数据解密装置还包括：同态加密模块，用于获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对所述原始录入数据进行加密，得到授权同态密文；授权加密模块，用于采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文，并将所述权限认证密文存储至所述数据库。

可选的，在本发明第二方面的第二种实现方式中，所述授权加密模块包括：获取单元，用于获取所述授权同态密文对应的管理私钥和所述第一客户端对应的用户公钥；单向加密单元，用于采用预置单向加密方法，对所述授权同态密文进行加密运算，得到所述授权同态密文对应的特征码，并采用所述特征码对所述授权同态密文进行加密，得到特征码加密密文；对称加密单元，用于采用所述管理私钥对所述特征码进行加密，得到加密特征码，并采用预置对称加密算法对所述特征码加密密文和所述加密特征码进行对称加密，得到对称加密密码；公钥加密单元，用于采用所述用户公钥对所述对称加密密码进行加密，得到权限认证密文。

可选的，在本发明第二方面的第三种实现方式中，所述授权解密模块包括：私钥解密单元，用于获取所述第一客户端的用户私钥以及所述权限认证密文对应的管理公钥，并采用所述用户私钥对所述权限认证密文进行解密，得到对称加密密码；对称解密单元，用于采用所述对称加密方法，对所述对称加密密码进行解密，得到特征码加密密文和加密特征码；单向解密单元，用于采用所述单向加密方法对所述特征码加密密文进行解密，得到参照特征码，以及采用所述管理公钥对所述加密特征码进行解密，得到特征码；特征解密单元，用于判断所述特征码和所述参照特征码是否一致；若一致，则采用所述特征码对所述特征码加密密文进行解密，得到授权同态密文。

可选的，在本发明第二方面的第四种实现方式中，所述鉴权模块还用于：解析所述操作请求，得到所述第一客户端预存的临时认证证书，并根据所述临时认证证书，对所述第一客户端进行身份认证，得到身份认证结果；根据所述身份认证结果，判断所述第一客户端是否通过身份认证；若通过身份认证，则从预置认证中心获取所述第一客户端对应的永久认证证书和根证书；通过所述永久认证证书和所述根证书，确定所述第一客户端的密文授权范围和密文操作范围，并生成所述密文授权范围和所述密文操作范围对应的鉴权通过的鉴权结果；若不通过身份认证，则生成鉴权不通过的鉴权结果。

可选的，在本发明第二方面的第五种实现方式中，所述同态计算模块包括：发送单元，用于将所述授权同态密文发送至多个预置分布式消息队列，并基于所述密文操作范围，确定各所述分布式消息队列对应的计算接口；同态计算单元，用于调用各所述计算接口对应的预置运算方法，分别对对应分布式消息队列中的授权同态密文进行统计，得到所述授权同态密文对应的统计明文。

本发明第三方面提供了一种数据解密设备，包括：存储器和至少一个处理器，所述存储器中存储有指令；所述至少一个处理器调用所述存储器中的所述指令，以使得所述数据解密设备执行上述的数据解密方法。

本发明的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述的数据解密方法。

本发明提供的技术方案中，在第一客户端进行数据操作时，通过发起的操作请求对第一客户端进行操作权限的鉴权处理，判断第一客户端是否对对应密文具有操作权限，然后进一步通过对权限认证密文的授权解密和全同态的解密计算，得到第一客户端操作后得到的统计明文，全程都是密文存储、计算和不予显示，只会把第一客户端的操作结果得到的统计明文返回给第一客户端，大大提升密文的保护程度。

附图说明

图1为本发明实施例中数据解密方法的第一个实施例示意图；

图2为本发明实施例中数据解密方法的第二个实施例示意图；

图3为本发明实施例中数据解密方法的第三个实施例示意图；

图4为本发明实施例中数据解密装置的一个实施例示意图；

图5为本发明实施例中数据解密装置的另一个实施例示意图；

图6为本发明实施例中数据解密设备的一个实施例示意图。

具体实施方式

本发明实施例提供了一种数据解密方法、装置、设备及存储介质，获取第一客户端上传的操作请求，并根据操作请求，采用签名认证方法对第一客户端进行鉴权处理，得到鉴权结果；根据鉴权结果，判断第一客户端是否鉴权通过；若通过，则基于鉴权结果，确定第一客户端对应的密文授权范围和密文操作范围；从数据库中选取密文授权范围对应的权限认证密文，并采用签名认证方法对权限认证密文进行授权解密处理，得到授权同态密文；基于密文操作范围，调用第一全同态算法对授权同态密文进行分布式计算，得到授权同态密文对应的统计明文并发送至第一客户端。本发明提升了数据传输过程和数据使用过程的安全性能。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”或“具有”及其任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为便于理解，下面对本发明实施例的具体流程进行描述，请参阅图1，本发明实施例中数据解密方法的第一个实施例包括：

101、获取第一客户端上传的操作请求，并根据操作请求，采用预置签名认证方法对第一客户端进行鉴权处理，得到鉴权结果；

可以理解的是，本发明的执行主体可以为数据解密装置，还可以是终端或者服务器，具体此处不做限定。本发明实施例以服务器为执行主体为例进行说明。

本实施例中，在第一客户端进行数据操作时，比如加减乘除等，会发起操作请求，其中，操作请求包含有第一客户端对应的身份ID，每一条密文均有访问权限，需先通过预先设置的签名认证方法对第一客户端进行身份识别的鉴权处理，根据鉴权结果来确定第一客户端是否有访问权限，只允许有访问权限的用户才能对相应的密文进行授权范围内的操作，以提升数据的安全性能。

比如，可以通过CA(Certificate Authority，电子认证)签名认证方法对第一客户端进行鉴权处理，首先根据操作请求中的第一客户端的身份ID，向第一客户端发送一个随机数；第一客户端使用自己的私钥，对随机数进行加密，得到签名证书并返回，验证第一客户端所提供的签名证书的有效期、证书链和身份权限，并完成黑名单检查，即可得到鉴权成功或者鉴权失败的鉴权结果，在鉴权成功后，继续后续对密文的操作。

102、根据鉴权结果，判断第一客户端是否鉴权通过；

103、若第一客户端鉴权通过，则基于鉴权结果，确定第一客户端对应的密文授权范围和密文操作范围；

本实施例中，鉴权结果中包含鉴权通过或鉴权不通过的记录，通过鉴权结果，即可直接确定第一客户端是否通过签名认证方面的鉴权。其中，在鉴权通过的鉴权结果中，还携带有密文授权范围和密文操作范围的配置信息，故通过鉴权结果，即可确定第一客户端对应的密文授权范围和密文操作范围。其中，密文授权范围指的是第一客户端权限内可以获取到的权限认证密文，而密文操作范围指的是第一客户端权限内可以对权限认证密文进行的一个或多个操作，第一客户端无法获取到权限范围为的权限认证密文，以及无法对获取到的权限认证密文进行权限外的操作。

104、从预置数据库中选取密文授权范围对应的权限认证密文，并采用签名认证方法对权限认证密文进行授权解密处理，得到授权同态密文；

本实施例中，根据密文授权范围，确定第一客户端在预置数据库可以获取到的权限认证密文并进行获取，然后先采用签名认证方法对权限认证明文进行初步解密。根据授权同态密文加密得到权限认证密文的加密过程，此处在对权限认证密文进行解密时，直接采用第一客户端的用户私钥和权限认证密文对应的关联公钥进行逆向运算即可。具体如下所示：

(1)获取第一客户端的用户私钥以及权限认证密文对应的管理公钥，并采用用户私钥对权限认证密文进行解密，得到对称加密密码；

(2)采用对称加密方法，对对称加密密码进行解密，得到特征码加密密文和加密特征码；

(3)采用单向加密方法对特征码加密密文进行解密，得到参照特征码，以及采用管理公钥对加密特征码进行解密，得到特征码；

(4)并判断特征码和参照特征码是否一致；

(5)若一致，则采用特征码对特征码加密密文进行解密，得到授权同态密文。

105、基于密文操作范围，调用预置第一全同态算法对授权同态密文进行分布式计算，得到授权同态密文对应的统计明文，并将统计明文发送至第一客户端。

本实施例中，用户在通过签名认证方法的鉴权解密之后，将已授权的授权同态密文和密文操作范围内的已授权操作，比如加减乘除等，发送到第一全同态加密算法，以对授权同态密文进行解密运算，并将最终计算得到的统计明文保存到MyQSL数据库中。通过第一全同态算法可以直接在授权同态密文加密的状态下进行计算，全程无需进行解密后的明文存储、明文显示和明文计算，即可计算出操作信息对应的统计明文。

具体的，在第一全同态算法对授权同态密文进行分布式计算时，计算授权同态密文对应的密文矩阵，并将密文矩阵左乘矩阵Q^-1，右乘矩阵Q，得到矩阵R，那么解密后的明文数据为tr(R)/‖diag(R)‖0，其中tr(R)是矩阵R的迹，‖diag(R)‖0是矩阵R对角线向量的L0范数。

本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中，人工智能(Artificial Intelligence，AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。

人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。

本发明实施例中，在第一客户端进行数据操作时，通过发起的操作请求对第一客户端进行操作权限的鉴权处理，判断第一客户端是否对对应密文具有操作权限，然后进一步通过对权限认证密文的授权解密和全同态的解密计算，得到第一客户端操作后得到的统计明文，全程都是密文存储、计算和不予显示，只会把第一客户端的操作结果得到的统计明文返回给第一客户端，大大提升密文的保护程度。

请参阅图2，本发明实施例中数据解密方法的第二个实施例包括：

201、获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对原始录入数据进行加密，得到授权同态密文；

202、采用标识信息，通过签名认证方法对授权同态密文进行用户权限加密处理，得到权限认证密文，并将权限认证密文存储至数据库；

本实施例中，用户通过第二客户端上传原始录入数据时，携带有第二客户端用户的标识信息，会先经过预先设置的全同态算法对该原始录入数据进行加密，得到相对应的授权同态密文，然后将加密后的授权同态密文和标识信息，通过解密时所用到的签名认证方法，比如CA专利认证技术，生成权限认证密文，并保存到MySQL(关系型数据库管理系统)数据库。

具体的，通过CA专利认证技术的签名认证方法，可以确定每条权限认证密文的所属用户，只允许所属用户进行已授权的操作，从而更进一步的提升了数据的安全性。还可以通过用户授权接口，授权给其他的用户对不同用户的权限认证密文进行不同的操作，比如加减乘除等。

具体的，在采用第二全同态算法对原始录入数据进行加密时，构造规则函数F(x)，F(x)＝x*H，其中H＝Q*A*Q^-1，Q为n阶的可逆方阵，Q^-1为矩阵Q的逆矩阵，A为n阶的对角阵，ri为对角矩阵的第i个值，r_i的值为0或1，并且至少存在一个i使得r_i＝0，i表示位于1和n之间的整数；通过规则函数对原始录入数据X进行分割，得到X＝(x₁，x₂，……，x_j)进行加密，获得对应的密文矩阵C＝(c₁，c₂，……，c_j)，其中，c_j＝x_j*H；具体的运算方式如下所示：

1)密文矩阵的全同态加法计算的公式为：C₁+2＝c₁+c₂＝F(x₁+x₂)；

2)对密文矩阵C₁和C₂进行同态减法计算的公式为：C_1-2＝c₁-c₂＝F(x₁-x₂)

3)对密文矩阵C₁和C₂进行同态乘法计算的公式为：C₁*2＝c₁*c2＝F(x₁*x₂)

4)对密文矩阵C₁和C₂进行同态除法计算的公式为：C_1/2＝c₁*rec(c₂)，其中，rec(c₂)为密文矩阵c₂的倒数。

203、获取第一客户端上传的操作请求；

204、根据操作请求，采用预置签名认证方法对第一客户端进行鉴权处理，得到鉴权结果；

205、根据鉴权结果，判断第一客户端是否鉴权通过；

206、若第一客户端鉴权通过，则基于鉴权结果，确定第一客户端对应的密文授权范围和密文操作范围；

207、从预置数据库中选取密文授权范围对应的权限认证密文，并采用签名认证方法对权限认证密文进行授权解密处理，得到授权同态密文；

208、将授权同态密文发送至多个预置分布式消息队列，并基于密文操作范围，确定各分布式消息队列对应的计算接口；

209、调用各计算接口对应的预置运算方法，分别对对应分布式消息队列中的授权同态密文进行统计，得到授权同态密文对应的统计明文；

本实施例中，授权同态密文会初步保存在一个MySQL数据库中，然后将保存在MySQL数据库的授权同态数据，通过比如Sqoop的数据导出工具抽取到HDFS(HadoopDistributed File System，分布式文件系统)、Kafka之类的分布式消息队列中，然后通过编写好的MapReduce程序，在MapReduce中调用全同态算法的计算接口，即密文的加减乘除等运算方法，完成对密文数据的统计。

210、将统计明文发送至第一客户端。

本发明实施例中，从第二客户端将原始录入数据存储为数据库的权限认证密文时，在计算过程中和存储过程中，均采用密文的方式进行，从录入到计算、调用和操作，均不会显示原始录入数据，降低整个数据流程中，原始录入数据的泄露。

请参阅图3，本发明实施例中数据解密方法的第三个实施例包括：

301、获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对原始录入数据进行加密，得到授权同态密文；

302、获取授权同态密文对应的管理私钥和第一客户端对应的用户公钥；

303、采用预置单向加密方法，对授权同态密文进行加密运算，得到授权同态密文对应的特征码，并采用特征码对授权同态密文进行加密，得到特征码加密密文；

304、采用管理私钥对特征码进行加密，得到加密特征码，并采用预置对称加密算法对特征码加密密文和加密特征码进行对称加密，得到对称加密密码；

305、采用用户公钥对对称加密密码进行加密，得到权限认证密文，并将权限认证密文存储至数据库；

本实施例中，采用授权同态密文对应的管理私钥，即第一客户端注册的管理服务端的管理私钥，以及第一客户端对应的用户私钥，对对授权同态密文进行加密。整个加密过程包括一个单向加密过程和一个对称加密过程。

具体的，在对授权同态密文进行单向加密时，对授权同态密文做加密运算，将授权同态密文转换为特征码，在加密运算过程中，保证授权同态密文的完整性，以此通过特征码实现对授权同态密文的加密，得到对应的特征码加密密码。常用的单项加密方法包括MD5、SHA(Secure Hash Algorithm)和CRC-32等。

进一步的，比如采用MD5对授权同态密文进行单项加密，可以通过单例的构造方法获取MessageDigest实例，并指定加密算法类型；然后将授权同态密文加掩后转换成byte数组后进行随机哈希过程；接着MessageDigest对字节数组进行摘要提取，得到摘要字节数组；最后循环遍历生成的byte类型数组，让其生成32位字符串，然后拼接字符串得到特征码加密密文。

具体的，在对特征码加密密文和加密特征码进行对称加密时，可以选择将特征码加密密文和加密特征码进行分块处理，然后对其按分块进行加密，其中，在进行对称加密时，先对第一个分块进行加密，加密成功后，再对第二个分块进行加密，将第一个分块加密后的结果与第二个分块加密后的结果做异或运算，作为第二个分块块的输出，以此类推，形成分块链。即如果欲解密前一个分块的内容，必须对后一个分块做异或运算，才能得到解密结果。其中对称加密算法：可以包括DES(Data Encryption Standard，数据加密标准)、3DES(Triple Data Encryption Standard)、AES(Advanced Encryption Standard，高级加密标准)等。

306、获取第一客户端上传的操作请求；

307、解析操作请求，得到第一客户端预存的临时认证证书，并根据临时认证证书，对第一客户端进行身份认证，得到身份认证结果；

308、根据身份认证结果，判断第一客户端是否通过身份认证；

309、若通过身份认证，则从预置认证中心获取第一客户端对应的永久认证证书和根证书；

310、通过永久认证证书和根证书，确定第一客户端的密文授权范围和密文操作范围，并生成密文授权范围和密文操作范围对应的鉴权通过的鉴权结果；

311、若不通过身份认证，则生成鉴权不通过的鉴权结果；

本实施例中，每个用户账户注册时，均会生成临时认证证书存储于对应的客户端的EEPROM(Electrically Erasable Programmable read only memory，带电可擦可编程只读存储器)等存储介质，后续鉴权时，通过第一客户端上传临时认证证书来获取永久认证证书根证书用于建立权限数据的传输通道。

具体的，采用临时认证证书对第一客户端进行身份认证时，第一客户端通过操作请求上传临时认证证书；解析操作请求得到临时认证证书后，使用预存的临时认证证书对应的根证书对临时认证证书进行认证；若认证失败，则反馈认证失败信息；否则进一步获取第一客户端对应的永久认证证书和根证书

具体的，在获取永久认证证书时，通过第一客户端的身份ID向预置认证中心比如RA(Registration Authority，注册审批机构)或CA机构，获取该第一客户端的永久认证证书和对应根证书，并将永久操作证书发送给第一客户端；第一客户端通过获取的永久认证证书和对应预存的根证书建立永久的TLS(Transport Layer Security，安全传输层协议)通道，从而进一步根据SDN(Software Defined Network，软件定义网络)的规范完成后续的解密操作，并同时建立了密文授权范围和密文操作范围的配置信息，将该密文授权范围和密文操作范围的配置信息写入鉴权通过的鉴权结果，用户可以在密文授权范围内获取相应的密文以及在密文操作范围内对获取的密文进行相应的操作。

312、根据鉴权结果，判断第一客户端是否鉴权通过；

313、若第一客户端鉴权通过，则基于鉴权结果，确定第一客户端对应的密文授权范围和密文操作范围；

314、从预置数据库中选取密文授权范围对应的权限认证密文，并采用签名认证方法对权限认证密文进行授权解密处理，得到授权同态密文；

315、基于密文操作范围，调用预置第一全同态算法对授权同态密文进行分布式计算，得到授权同态密文对应的统计明文，并将统计明文发送至第一客户端。

本发明实施例中，通过结合全同态算法、单向加密算法和对称加密算法的权限认证方法，对原始录入数据进行加密，以及对权限认证密文进行解密，提升破解权限认证密文的难度，降低原始录入数据被盗取的几率。

上面对本发明实施例中数据解密方法进行了描述，下面对本发明实施例中数据解密装置进行描述，请参阅图4，本发明实施例中数据解密装置一个实施例包括：

鉴权模块401，用于获取第一客户端上传的操作请求，并根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果；

判别模块402，用于根据所述鉴权结果，判断所述第一客户端是否鉴权通过；

确定模块403，用于若所述第一客户端鉴权通过，则基于所述鉴权结果，确定所述第一客户端对应的密文授权范围和密文操作范围；

授权解密模块404，用于从预置数据库中选取所述密文授权范围对应的权限认证密文，并采用所述签名认证方法对所述权限认证密文进行授权解密处理，得到授权同态密文；

同态计算模块405，用于基于所述密文操作范围，调用预置第一全同态算法对所述授权同态密文进行分布式计算，得到所述授权同态密文对应的统计明文，并将所述统计明文发送至所述第一客户端。

请参阅图5，本发明实施例中数据解密装置的另一个实施例包括：

具体的，所述数据解密装置还包括：

同态加密模块406，用于获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对所述原始录入数据进行加密，得到授权同态密文；

授权加密模块407，用于采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文，并将所述权限认证密文存储至所述数据库。

具体的，所述授权加密模块407包括：

获取单元4071，用于获取所述授权同态密文对应的管理私钥和所述第一客户端对应的用户公钥；

单向加密单元4072，用于采用预置单向加密方法，对所述授权同态密文进行加密运算，得到所述授权同态密文对应的特征码，并采用所述特征码对所述授权同态密文进行加密，得到特征码加密密文；

对称加密单元4073，用于采用所述管理私钥对所述特征码进行加密，得到加密特征码，并采用预置对称加密算法对所述特征码加密密文和所述加密特征码进行对称加密，得到对称加密密码；

公钥加密单元4074，用于采用所述用户公钥对所述对称加密密码进行加密，得到权限认证密文。

具体的，所述授权解密模块404包括：

私钥解密单元4041，用于获取所述第一客户端的用户私钥以及所述权限认证密文对应的管理公钥，并采用所述用户私钥对所述权限认证密文进行解密，得到对称加密密码；

对称解密单元4042，用于采用所述对称加密方法，对所述对称加密密码进行解密，得到特征码加密密文和加密特征码；

单向解密单元4043，用于采用所述单向加密方法对所述特征码加密密文进行解密，得到参照特征码，以及采用所述管理公钥对所述加密特征码进行解密，得到特征码；

特征解密单元4044，用于判断所述特征码和所述参照特征码是否一致；若一致，则采用所述特征码对所述特征码加密密文进行解密，得到授权同态密文。

具体的，所述鉴权模块401还用于：

解析所述操作请求，得到所述第一客户端预存的临时认证证书，并根据所述临时认证证书，对所述第一客户端进行身份认证，得到身份认证结果；

根据所述身份认证结果，判断所述第一客户端是否通过身份认证；

若通过身份认证，则从预置认证中心获取所述第一客户端对应的永久认证证书和根证书；

通过所述永久认证证书和所述根证书，确定所述第一客户端的密文授权范围和密文操作范围，并生成所述密文授权范围和所述密文操作范围对应的鉴权通过的鉴权结果；

若不通过身份认证，则生成鉴权不通过的鉴权结果。

具体的，所述同态计算模块405包括：

发送单元4051，用于将所述授权同态密文发送至多个预置分布式消息队列，并基于所述密文操作范围，确定各所述分布式消息队列对应的计算接口；

同态计算单元4052，用于调用各所述计算接口对应的预置运算方法，分别对对应分布式消息队列中的授权同态密文进行统计，得到所述授权同态密文对应的统计明文。

本发明实施例中，从第二客户端将原始录入数据存储为数据库的权限认证密文时，在计算过程中和存储过程中，均采用密文的方式进行，从录入到计算、调用和操作，均不会显示原始录入数据，降低整个数据流程中，原始录入数据的泄露；另外，还通过结合全同态算法、单向加密算法和对称加密算法的权限认证方法，对原始录入数据进行加密，以及对权限认证密文进行解密，提升破解权限认证密文的难度，降低原始录入数据被盗取的几率。

上面图4和图5从模块化功能实体的角度对本发明实施例中的数据解密装置进行详细描述，下面从硬件处理的角度对本发明实施例中数据解密设备进行详细描述。

图6是本发明实施例提供的一种数据解密设备的结构示意图，该数据解密设备600可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessing units，CPU)610(例如，一个或一个以上处理器)和存储器620，一个或一个以上存储应用程序633或数据632的存储介质630(例如一个或一个以上海量存储设备)。其中，存储器620和存储介质630可以是短暂存储或持久存储。存储在存储介质630的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据解密设备600中的一系列指令操作。更进一步地，处理器610可以设置为与存储介质630通信，在数据解密设备600上执行存储介质630中的一系列指令操作。

数据解密设备600还可以包括一个或一个以上电源640，一个或一个以上有线或无线网络接口650，一个或一个以上输入输出接口660，和/或，一个或一个以上操作系统631，例如Windows Serve，Mac OS X，Unix，Linux，FreeBSD等等。本领域技术人员可以理解，图6示出的数据解密设备结构并不构成对数据解密设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

本发明还提供一种数据解密设备，所述计算机设备包括存储器和处理器，存储器中存储有计算机可读指令，计算机可读指令被处理器执行时，使得处理器执行上述各实施例中的所述数据解密方法的步骤。

本发明还提供一种计算机可读存储介质，该计算机可读存储介质可以为非易失性计算机可读存储介质，该计算机可读存储介质也可以为易失性计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，使得计算机执行所述数据解密方法的步骤。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

服务器可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种数据解密方法，其特征在于，所述数据解密方法包括：

获取第一客户端上传的操作请求，并根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果；

根据所述鉴权结果，判断所述第一客户端是否鉴权通过；

若所述第一客户端鉴权通过，则基于所述鉴权结果，确定所述第一客户端对应的密文授权范围和密文操作范围；

从预置数据库中选取所述密文授权范围对应的权限认证密文，并采用签名认证方法对所述权限认证密文进行授权解密处理，得到授权同态密文；

基于所述密文操作范围，调用预置第一全同态算法对所述授权同态密文进行分布式计算，得到所述授权同态密文对应的统计明文，并将所述统计明文发送至所述第一客户端；

在所述获取第一客户端上传的操作请求，并根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果之前，还包括：

获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对所述原始录入数据进行加密，得到授权同态密文；

采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文，并将所述权限认证密文存储至所述数据库；

所述采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文包括：

获取所述授权同态密文对应的管理私钥和所述第一客户端对应的用户公钥；

采用预置单向加密方法，对所述授权同态密文进行加密运算，得到所述授权同态密文对应的特征码，并采用所述特征码对所述授权同态密文进行加密，得到特征码加密密文；

采用所述管理私钥对所述特征码进行加密，得到加密特征码，并采用预置对称加密算法对所述特征码加密密文和所述加密特征码进行对称加密，得到对称加密密码；

采用所述用户公钥对所述对称加密密码进行加密，得到权限认证密文。

2.根据权利要求1所述的数据解密方法，其特征在于，所述根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果包括：

若不通过身份认证，则生成鉴权不通过的鉴权结果。

3.根据权利要求1-2中任一项所述的数据解密方法，其特征在于，所述基于所述密文操作范围，调用预置第一全同态算法对所述授权同态密文进行分布式计算，得到所述授权同态密文对应的统计明文包括：

将所述授权同态密文发送至多个预置分布式消息队列，并基于所述密文操作范围，确定各所述分布式消息队列对应的计算接口；

调用各所述计算接口对应的预置运算方法，分别对对应分布式消息队列中的授权同态密文进行统计，得到所述授权同态密文对应的统计明文。

4.一种数据解密装置，其特征在于，所述数据解密装置包括：

鉴权模块，用于获取第一客户端上传的操作请求，并根据所述操作请求，采用预置签名认证方法对所述第一客户端进行鉴权处理，得到鉴权结果；

判别模块，用于根据所述鉴权结果，判断所述第一客户端是否鉴权通过；

确定模块，用于若所述第一客户端鉴权通过，则基于所述鉴权结果，确定所述第一客户端对应的密文授权范围和密文操作范围；

授权解密模块，用于从预置数据库中选取所述密文授权范围对应的权限认证密文，并采用签名认证方法对所述权限认证密文进行授权解密处理，得到授权同态密文；

同态计算模块，用于基于所述密文操作范围，调用预置第一全同态算法对所述授权同态密文进行分布式计算，得到所述授权同态密文对应的统计明文，并将所述统计明文发送至所述第一客户端；

权限加密模块，用于获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对所述原始录入数据进行加密，得到授权同态密文；采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文，并将所述权限认证密文存储至所述数据库；

权限加密模块，用于获取所述授权同态密文对应的管理私钥和所述第一客户端对应的用户公钥；采用预置单向加密方法，对所述授权同态密文进行加密运算，得到所述授权同态密文对应的特征码，并采用所述特征码对所述授权同态密文进行加密，得到特征码加密密文；采用所述管理私钥对所述特征码进行加密，得到加密特征码，并采用预置对称加密算法对所述特征码加密密文和所述加密特征码进行对称加密，得到对称加密密码；采用所述用户公钥对所述对称加密密码进行加密，得到权限认证密文。

5.根据权利要求4所述的数据解密装置，其特征在于，所述数据解密装置还包括：

同态加密模块，用于获取第二客户端上传的原始录入数据和标识信息，并采用预置第二全同态算法对所述原始录入数据进行加密，得到授权同态密文；

授权加密模块，用于采用所述标识信息，通过所述签名认证方法对所述授权同态密文进行用户权限加密处理，得到权限认证密文，并将所述权限认证密文存储至所述数据库。

6.一种数据解密设备，其特征在于，所述数据解密设备包括：存储器和至少一个处理器，所述存储器中存储有指令；

所述至少一个处理器调用所述存储器中的所述指令，以使得所述数据解密设备执行如权利要求1-3中任意一项所述的数据解密方法的步骤。

7.一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，其特征在于，所述指令被处理器执行时实现如权利要求1-3中任意一项所述数据解密方法的步骤。