WO2015127737A1

WO2015127737A1 - 一种数据加密解密方法、装置以及终端

Info

Publication number: WO2015127737A1
Application number: PCT/CN2014/080999
Authority: WO
Inventors: 陈璐
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-02-25
Filing date: 2014-06-27
Publication date: 2015-09-03
Also published as: CN104868996A

Abstract

本发明公开了一种数据加密解密方法、装置以及终端，其中，所述方法包括：在设置用户的隐私密码时随机生成非对称密钥；获得待加密数据时随机生成的对称密钥；利用所述对称密钥对待加密数据使用对称加密算法进行加密，得到已加密数据；使用非对称密钥的公钥对所述对称密钥进行加密，得到与所述对称密钥相对应的第一密文；记录所述已加密数据和第一密文。

Description

一种数据加密解密方法、装置以及终端技术领域

本发明涉及信息安全领域，尤其涉及一种数据加密解密方法、装置以及终端。背景技术

现有的移动终端越来越深入人们的生活，而人们在对移动终端的使用中越来越注重个人的隐私，会将一些不想让其他人知道的通话记录、短信、图片、视频等文件进行数据加密后，存储在移动终端中，知道密码的用户通过输入密码才能查看加密数据。例如：手机应用现在有一个种类叫做隐私空间，其功能是将用户的通话记录，短信，图片，视频，文件等等隐私的内容加密保存，以达到保护用户隐私的目的。

现有的移动终端对隐私数据的加解密通常釆用的是对称加密算法（如

DES, AES ), 其过程是：根据用户预先设置的密码，自行对需要加密的数据进行加密，当用户想要查看加密数据时，输入密码，移动终端对用户输入的密码进行验证，当验证通过后，将加密的数据显示出来供用户查看。以隐私空间应用处理短信为例，其流程是：用户收到短信，隐私空间应用判断是隐私联系人来的短信，就将这条短信加密存储进数据库，同时从系统数据库中删除该短信。当用户想要查看加密短信数据时，输入密码，隐私空间对用户输入的密码进行验证，当验证通过后，将加密的数据显示出来供用户查看。

现有技术的不足之处在于：移动终端必须将用于加密数据的密钥保存在本地。这是因为当隐私联系人来电话和来短信时，移动终端必须要 "自动" （不向用户询问密码）使用存储在本地的密钥通过对称加密算法对隐私通话记录和隐私短信进行加密保存。但由于用于加密的密钥被保存在本地，所以很容易被非法用户运用反编译的方法获得密钥，进而获得用户的隐私数据，因此用户的隐私数据，特别是隐私通话记录和隐私短信是不安全的。发明内容

有鉴于此，本发明提供一种数据加密解密方法、装置以及终端。

第一方面，本发明实施例提供一种数据加密方法，用于终端，所述方法包括：

在设置用户的隐私密码时随机生成非对称密钥；

获得待加密数据时随机生成的对称密钥；

利用所述对称密钥对待加密数据使用对称加密算法进行加密，得到已加密数据；

使用非对称密钥的公钥对所述对称密钥进行加密，得到与所述对称密钥相对应的第一密文；

记录所述已加密数据和第一密文。

优选地，所述在设置用户的隐私密码时随机生成非对称密钥包括：利用用户的隐私密码为密钥通过对称加密算法对非对称密钥中的私钥进行加密，得到第二密文；

通过第一不可逆算法从所述用户的隐私密码中获取第一字符串；存储对称密钥所述非对称加密密钥的公钥、所述第二密文和所述第一字符串。

优选地，在所述通过第一不可逆算法从所述用户的隐私密码中获取第一字符串中，还包括：

获取所述第一用户密码的 CRC32校验码字符串和 Adler32校验码字符串；

将所述 CRC32校验码字符串和所述 Adler32校验码字符串相连接，得到第一字符串。

第二方面，本发明实施例提供一种数据解密方法，用于终端，所述方法包括：

马全证用户输入的隐私密码；

验证通过后，利用该隐私密码对预先存储的第二密文进行解密，获得非对称密钥的私钥；

利用解密后的私钥对预先存储的第一密文进行解密，获得对称密钥；根据解密后的对称密钥，得到已加密数据的明文。

优选地，所述验证用户输入的隐私密码包括：

通过第一不可逆算法从所述输入的隐私密码中提取第二字符串；对比所述第二字符串与预先存储的、通过第一不可逆算法从所述最初设置的用户隐私密码中提取的第一字符串是否一致，得到一判断结果；若判断结果指示所述第二字符串与所述第一字符串一致，则说明所述用户输入的隐私密码通过了验证。

优选地，在所述通过第一不可逆算法从所述输入的隐私密码中提取第二字符串中，还包括：

获取所述第二用户密码的 CRC32校验码字符串和 Adler32校验码字符串；

将所述 CRC32校验码字符串和所述 Adler32校验码字符串相连接，得到第二字符串。

第三方面，本发明实施例提供一种数据加密装置，用于终端，所述装置包括：

第一处理模块，配置为在设置用户的隐私密码时随机生成非对称密钥；获取模块，配置为获得待加密数据时随机生成的对称密钥；

加密模块，配置为利用随机生成的对称密钥使用对称加密算法对待加密数据进行加密计算，得到已加密数据；

第二处理模块，配置为使用非对称密钥的公钥通过非对称加密算法对所述对称密钥进行加密计算，得到与所述对称密钥相对应的第一密文；存储模块，配置为记录所述第一密文和所述已加密数据。

优选地，所述第一处理模块，还配置为：

利用用户的隐私密码为密钥通过对称加密算法对非对称密钥中的私钥进行加密，得到第二密文；

所述第一处理模块、所述获取模块、所述加密模块、所述第二处理模块、所述存储模块在执行处理时，可以釆用中央处理器（CPU， Central Processing Unit )、数字信号处理器（DSP， Digital Singnal Processor )或可编程逻辑阵列（FPGA， Field - Programmable Gate Array ) 实现。

第四方面，本发明实施例提供一种数据解密装置，用于终端，所述装置包括：

验证单元，配置为验证用户输入的隐私密码；

第一处理单元，配置为验证通过后，利用该隐私密码对预先存储的第二密文进行解密，获得非对称密钥的私钥；

第二处理单元，配置为利用解密后的私钥对预先存储的第一密文进行解密，获得对称密钥；

解密单元，配置为才艮据解密后的对称密钥，得到已加密数据的明文。优选地，所述验证单元，还配置为：

所述验证单元、所述第一处理单元、所述第二处理单元、所述解密单元在执行处理时，可以釆用中央处理器（CPU， Central Processing Unit ), 数字信号处理器（ DSP, Digital Singnal Processor )或可编程逻辑阵列（ FPGA， Field - Programmable Gate Array ) 实现。

第五方面，本发明实施例提供一种终端，所述终端配置为：

在设置用户的隐私密码时随机生成非对称密钥，存储所述非对称加密密钥的公钥、并利用用户的隐私密码为密钥通过对称加密算法对非对称密钥中的私钥进行加密，得到与所述私钥对应密文；

获得待加密数据时随机生成对称密钥，利用所述对称密钥对待加密数据使用对称加密算法进行加密、得到已加密数据；

使用非对称密钥的公钥对所述对称密钥进行加密，得到与所述对称密钥对应密文；

存储所述非对称密钥的公钥及所述密文。

优选地，所述终端还配置为：

马全证用户输入的隐私密码；

验证通过后，利用该隐私密码对预先存储的所述私钥对应密文进行解密，获得非对称密钥的私钥；利用解密后的私钥对预先存储的所述对称密钥对应密文进行解密，获得对称密钥；根据解密后的对称密钥，得到已加密数据的明文。

本发明实施例提供的数据加密解密方法、装置以及终端，解决了现有技术将用户的隐私密钥存储在手机本地的而造成安全漏洞的问题，在本发明中，用于解密的用户密钥只存在于用户脑中，这样就保证了密钥的安全，进而大大提高了隐私数据的安全性；另外，将对称加解密算法和非对称加解密算法组合使用，在提高了被加密数据安全性的同时，又比单一使用非对称加解密算法提高了加解密计算的速度。附图说明

图 1为数据加密方法的实施例流程图；

图 2为数据解密方法的实施例流程图；

图 3为数据加密解密方法的又一实施例中生成密钥的流程图；

图 4为数据加密解密方法的又一实施例中加密的流程图；

图 5为数据加密解密方法的又一实施例中解密的流程图；

图 6为数据加密装置的实施例示意图；

图 7为数据解密装置的实施例示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

数据加密方法的流程如图 1所示，用于终端，所述方法包括：步骤 100.在设置用户的隐私密码时随机生成非对称密钥；

步骤 101.获得待加密数据时随机生成的对称密钥；

步骤 102.利用所述对称密钥对待加密数据使用对称加密算法进行加密，得到已加密数据；

步骤 103.使用非对称密钥的公钥对所述对称密钥进行加密，得到与所述对称密钥相对应的第一密文；步骤 104.记录所述已加密数据和第一密文。

具体地，对称加密算法包括扩但不限于： DES、 AES和三重 DES; 非对称加密算法包括但不限于： RSA和 Elg謹 1; 终端包括但不限于：移动终端和台式终端。

通过上述的操作，用于解密的用户密钥只存在于用户脑中，这样就保证了密钥的安全，进而大大提高了隐私数据的安全性；将对称加解密算法和非对称加解密算法组合使用，在提高了被加密数据安全性的同时，又提高了加解密计算的速度。

具体地，所述步骤 102具体包括：

获取待加密数据；

随机生成对称密钥；

利用所述对称密钥通过对称加密算法对所述待加密数据进行加密，得到已加密数据。

具体地，所述步骤 103具体包括：

获取预先存储的利用非对称算法生成的密钥对中的公钥；

利用所述公钥通过非对称加密算法对所述对称密钥进行加密计算，得到与所述对称密钥相对应的第一密文。

现有的终端对用户输入的密码进行存储，在对数据加密的过程中是不需要输入密码的，说明密码是保存在移动终端中的，而一些非法用户运用反编译的方法，是有可以找到密码本身的，从而窥视用户的加密数据，造成用户的隐私泄露，甚至给用户带来不必要的损失。所以目前的加密数据的方式是不安全的。

在本实施例中，所述步骤 100具体包括：

利用用户的隐私密码为密钥通过对称加密算法对非对称密钥中的私钥进行加密，得到第二密文；通过第一不可逆算法从所述用户的隐私密码中获取第一字符串；存储对称密钥所述非对称加密密钥的公钥、所述第二密文和所述第一字符串。

通过上述操作，密码只存储在用户的脑中，终端仅对用户所输入的密码中的特定字符串进行不可逆计算后并进行存储，即使非法用户获取到该特定字符串后，也无法通过反编译的手段得到用户输入的密码，避免了非法用户窥视用户的加密数据所造成用户隐私的泄露，大大提高了用户加密数据的安全性。

现有加密过程中，一般釆用 MD5算法进行不可逆计算，但是 MD5算法较为复杂，每次字符串的计算需要较长的时间，增加了加密计算的复杂度和计算时间。

在所述通过第一不可逆算法从所述第一用户密码中获取第一字符串步骤中：

具体地，所述第一字符串可以是签名或者通过其他不可逆算法得到的字符串。

通过上述的操作，在进行字符串的计算时，无需复杂的 MD5计算，只需将获取的校验字符串相连就可以形成所需要的字符串，而且，根据当前计算机的运算能力，花费很短的时间就可以完成上述操作，大大缩短了加密计算所用的时间，提高了加密计算的效率。

与上述数据加密方法相对应地，本实施例还提出一种数据解密方法，所述数据解密方法的流程图如图 2所示，所述数据解密方法用于终端，所述方法包括：

步骤 200.验证用户输入的隐私密码；

步骤 201.验证通过后，利用该隐私密码对预先存储的第二密文进行解密，获得非对称密钥的私钥；

步骤 202.利用解密后的私钥对预先存储的第一密文进行解密，获得对称密钥；

步骤 203.根据解密后的对称密钥，得到已加密数据的明文。

具体地，所述步骤 200具体包括：

具体地，在所述通过第一不可逆算法从所述第二用户密码中获取第二字符串步骤中：

通过以下是实施例对数据加密解密方法作进一步描述。

本实施例中，生成密钥的过程如图 3所示： 101是用户设置的隐私空间密码 Key; 102是随机生成的一对 RSA非对称密钥，公钥为 PubKey, 私钥为 PriKey; 103是手机应用本地数据库； 104是以 Key作为密钥用 AES对称加密将 PriKey加密得到的密文 T;105是对 Key取签名得到的字串 S。最终将 102中的 PubKey, 104中的 T和 105中的 S存入 103中。加密过程如图 4所示： 201是一个随机生成的 AES密钥 KA，每一次加密都随机生成一个 KA; 202是以 KA为密钥用 AES对称加密将明文加密得到的密文 TM; 103是手机应用本地数据库，从中读出 PubKey送给 204使用； 204是以 PubKey作为公钥，用 RSA非对称加密 KA得到的密文 TA; 205是本次加密过程对应的 TA和 TM组成的数据对（ ΤΑ,ΤΜ ); 最终将 205 作为一条数据存入 103中。

解密过程如图 5所示： 301是用户输入的密码 Key2; 302是对 Key2取签名得到的字串 S2; 103是手机应用本地数据库，从中读出 S送给 304使用； 304判断是否 S2==S，如果不等，说明 Key2是错误的，如果相等，说明 Key2有极大概率就是 Key,将 Key2送给 305使用； 305从 103中读出 T，用 Key2解密 T得到私钥 PriKey; 306从 103中读出数据对（ ΤΑ,ΤΜ ), 用 PriKey解密 TA得到 KA，再用 KA解密 TM得到明文。

以下是一个是在中兴通讯的掌心管家应用的隐私空间模块运用本加密解密方法实施例的例子。该模块可以存储用户的隐私联系人、隐私短信、隐私通话记录、隐私图片、隐私视频、隐私文件、以及各种密码。下面仅以隐私短信来举例：

手机应用本地数据库的表结构用 SQL语句 "CREATE TABLE publicinfo ( ID INTEGER PRIMARY KEY, sms INTEGER, calllog INTEGER, publicKey TEXT, privateKey TEXT , ac TEXT, androidlD TEXT, old— version INTEGER NOT NULL, key— type INTEGER)"创建了一个表，其中 publicKey用于存储明文的 PubKey, privateKey用于前述 T， ac用于存储前述 S。

用 SQL语句" CREATE TABLE privacysms ( ID INTEGER PRIMARY KEY AUTOINCREMENT, id INTEGER, thread— id INTEGER, address TEXT, ac TEXT, person INTEGER, date INTEGER, date— sent INTEGER DEFAULT 0_; protocal INTEGER, read INTEGER DEFAULT 0, status INTEGER DEFAULT -1, type INTEGER, reply_path_present INTEGER, subject TEXT, body TEXT, service— center TEXT, service— date INTERGER, dest_port INTEGER, locked INTEGER DEFAULT 0, sub— id INTEGER DEFAULT 0, error— code INTEGER DEFAULT 0, seen INTEGER DEFAULT 0, recipient— cc— ids TEXT, recipient— bcc— ids TEXT, sms_pdu TEXT, expiry INTEGER DEFAULT 0, sim— index INTEGER DEFAULT 0, expand TEXT, pre— address TEXT, name TEXT, cl TEXT, version INTEGER DEFAULT 1)"创建了一个表用于存储隐私短信。其中 cl是前述 TA， body是前述 TM。表中一条记录即是一个数据对 ( ΤΑ,ΤΜ )₀

1.设置用户密码的过程

用户第一次进入掌心管家的隐私空间时，掌心管家会提示他选择设置文字密码或者设置图形密码，掌心管家会把用户输入的内容转化成字符串，把这串字符串作为用户设置的用户密码 Key。

之后掌心管家会随机生成 1024位 RSA密钥对，同时跳出等待对话框提示用户"由于是首次使用隐私空间，我们正在对隐私空间进行初始化操作" (这是因为生成 1024位 RSA密钥对要耗费 2-5秒钟时间，所以让用户看到等待对话框）。

生成 RSA密钥对成功后，应用就将 PubKey存入数据表 ublicinfo的 publicKey项，以 Key作为密钥用 128位 AES对称加密算法将 PriKey加密得到密文 T，将 Τ存入数据表 ublicinfo的 privateKey项，对 Key取签名得到字串 S，将 S存入数据表 publicinfo的 ac项。

计算签名 S的算法是掌心管家的私有算法。是取输入字符串的 CRC32 校验码字符串和 Adler32校验码字符串相连接得到新字符串作为签名，它与 Md5相比运算速度较快。该算法为不可逆运算，因此不能根据 S反推出 Key, 另外该算法得到的字串不会出现 SQL保留字符，可以直接存入数据库。

另外，为了保证 PubKey和 T存入数据库时不会出现 SQL保留字符，在存入前将他们用 Base64 算法进行了编码，存入数据表的是编码后的 Base64字符串，但因为 Base64是可逆运算的，所以从数据表中读出后，再用 Base64解码一次即可获得真实的 PubKey和 T。

2.加密短信过程

当掌心管家检测到用户收到隐私联系人发来短信时，或者检测到用户自己发短信给隐私联系人时，都需要将该短信加密保存进掌心管家应用的本地数据库，同时从系统的短信数据库中删除该条短信。

加密前，随机生成一个 128位的 AES密钥 ΚΑ，对短信内容进行 AES 加密，得到密文 ΤΜ，然后用 PubKey对 KA进行 1024位 RSA加密得到密文 TA，将 TA和 TM存入 privacysms表中同一条隐私短信记录的 cl项和 body 项中。同样 TA和 TM在数据库中的读写也是使用了 Base64处理的，下面不再赘述。

3.解密短信过程

解密时，先请用户输入用户密码，假设用户输入为 Key2，用前述设置用户密码的过程中计算签名 S的算法计算出签名字符串 S2，从 publicinfo 表中读出 ac和 privateKey, 将 S2与 ac比较，如果相同，证明 Key2有很大可能是 Key。用 Key2对 privateKey进行 128位 AES解密，如解密成功就得到 PriKey (如失败就说明 Key2不是 Key, 但这种不同字串的签名偶然相同的概率极低）。然后从需要解密的 privacysms表的一条隐私短信记录中读出 cl项和 body项，先用 PriKey对 cl进行 1024位 RSA解密得到 KA，接着用 KA对 body进行 128位 AES解密得到短信内容的明文。

以上所述，仅为本实施例的较佳例子而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等（包括且不限于将 AES算法替换成其他对称加解密算法，如 DES， 3DES; 将 RSA算法替换成其他非对称加解密算法，如椭圓曲线算法等；将类似加解密流程用于保护除隐私联系人，隐私通话记录和隐私短信之外的其他类似的因为流程的原因（特点是加密时不便让用户输入密码）而导致使用对称加密算法无法保证其安全性的隐私信息的安全的场景），均应包含在本发明的保护范围之内。

通过以上实施例的描述，本发明实施例提供的数据加密解密方法，解决了现有技术将用户的隐私密钥存储在手机本地的而造成安全漏洞的问题，在本发明中，用于解密的用户密钥只存在于用户脑中，这样就保证了密钥的安全，进而大大提高了隐私数据的安全性；另外，将对称加解密算法和非对称加解密算法组合使用，在提高了被加密数据安全性的同时，又比单一使用非对称加解密算法提高了加解密计算的速度。

一种数据加密装置的结构如图 6所示，用于终端，所述装置包括：配置为在设置用户的隐私密码时随机生成非对称密钥的第一处理模块

10;

配置为获得待加密数据时随机生成的对称密钥的获取模块 20；配置为利用随机生成的对称密钥使用对称加密算法对待加密数据进行加密计算，得到已加密数据的加密模块 30;

配置为使用非对称密钥的公钥通过非对称加密算法对所述对称密钥进行加密计算，得到与所述对称密钥相对应的第一密文的第二处理模块 40; 及

配置为记录所述第一密文和所述已加密数据的存储模块 50。

具体地，所述第一处理模块 10具体配置为：

通过第一不可逆算法从所述用户的隐私密码中获取第一字符串；存储对称密钥所述非对称加密密钥的公钥、所述第二密文和所述第一字符串。本实施例中提供的数据加密装置的功能和处理流程，可以参见上面提供的数据加密方法的实施例的流程，此处不再赘述。

一种数据解密装置的结构如图 7所示，用于终端，所述装置包括：配置为验证用户输入的隐私密码的验证单元 60;

配置为验证通过后，利用该隐私密码对预先存储的第二密文进行解密，获得非对称密钥的私钥的第一处理单元 70;

配置为利用解密后的私钥对预先存储的第一密文进行解密，获得对称密钥的第二处理单元 80;

配置为根据解密后的对称密钥，得到已加密数据的明文的解密单元 90。具体地，所述验证单元 60具体配置为：

本实施例中提供的数据解密装置的功能和处理流程，可以参见上面提供的数解密方法的实施例的流程，此处不再赘述。

本发明实施例提供一种终端，包括：

配置为在设置用户的隐私密码时随机生成非对称密钥，存储所述非对称加密密钥的公钥、并利用用户的隐私密码为密钥通过对称加密算法对非对称密钥中的私钥进行加密，得到与所述私钥对应密文的装置；

获得待加密数据时随机生成对称密钥，利用所述对称密钥对待加密数据使用对称加密算法进行加密、得到已加密数据的装置；

使用非对称密钥的公钥对所述对称密钥进行加密，得到与所述对称密钥对应密文的装置；存储所述非对称密钥的公钥及所述密文的装置。

进一步地，所述终端还包括：

配置为验证用户输入的隐私密码的装置；

本实施例中提供的终端的功能和处理流程，可以参见上面提供的数据加密、解密方法的实施例的流程，此处不再赘述。

通过以上实施例的描述，本发明实施例提供的数据加密解密装置和终端，解决了现有技术将用户的隐私密钥存储在手机本地的而造成安全漏洞的问题，在本发明中，用于解密的用户密钥只存在于用户脑中，这样就保证了密钥的安全，进而大大提高了隐私数据的安全性；另外，将对称加解密算法和非对称加解密算法组合使用，在提高了被加密数据安全性的同时，又比单一使用非对称加解密算法提高了加解密计算的速度。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。工业实用性本发明实施例提供的数据加密解密方法、装置以及终端，解决了现有技术将用户的隐私密钥存储在手机本地的而造成安全漏洞的问题，在本发明中，用于解密的用户密钥只存在于用户脑中，这样就保证了密钥的安全，进而大大提高了隐私数据的安全性；另外，将对称加解密算法和非对称加解密算法组合使用，在提高了被加密数据安全性的同时，又比单一使用非对称加解密算法提高了加解密计算的速度。

Claims

权利要求书

1.一种数据加密方法，用于终端，所述方法包括：

在设置用户的隐私密码时随机生成非对称密钥；

获得待加密数据时随机生成的对称密钥；

记录所述已加密数据和第一密文。

2.根据权利要求 1所述的数据加密方法，其中，所述在设置用户的隐私密码时随机生成非对称密钥包括：

3.根据权利要求 2所述的数据加密方法，其中，在所述通过第一不可逆算法从所述用户的隐私密码中获取第一字符串中，还包括：

4.一种数据解密方法，用于终端，所述方法包括：

马全证用户输入的隐私密码；

验证通过后，利用所述隐私密码对预先存储的第二密文进行解密，获得非对称密钥的私钥；

5.根据权利要求 4所述的数据解密方法，其中，所述验证用户输入的隐私密码包括：

6.根据权利要求 5所述的数据解密方法，其中，在所述通过第一不可逆算法从所述输入的隐私密码中提取第二字符串中，还包括：

7.—种数据加密装置，用于终端，所述装置包括：

第二处理模块，配置为使用非对称密钥的公钥通过非对称加密算法对所述对称密钥进行加密计算，得到与所述对称密钥相对应的第一密文；存储模块，配置为记录所述已加密数据和所述第一密文。

8.根据权利要求 7所述的数据加密装置，其中，所述第一处理模块，还配置为：

9.一种数据解密装置，用于终端，所述装置包括：

验证单元，配置为验证用户输入的隐私密码；

第一处理单元，配置为验证通过后，利用所述隐私密码对预先存储的第二密文进行解密，获得非对称密钥的私钥；

解密单元，配置为才艮据解密后的对称密钥，得到已加密数据的明文。

10.根据权利要求 9所述的数据解密装置，所述验证单元，还配置为：通过第一不可逆算法从所述输入的隐私密码中提取第二字符串；对比所述第二字符串与预先存储的、通过第一不可逆算法从所述最初设置的用户隐私密码中提取的第一字符串是否一致，得到一判断结果；若判断结果指示所述第二字符串与所述第一字符串一致，则说明所述用户输入的隐私密码通过了验证。

11. 一种终端，所述终端配置为：

在设置用户的隐私密码时随机生成非对称密钥，存储所述非对称加密密钥的公钥、并利用用户的隐私密码为密钥，通过对称加密算法对非对称密钥中的私钥进行加密，得到与所述私钥对应密文；

获得待加密数据时随机生成对称密钥，利用所述对称密钥对待加密数据使用对称加密算法进行加密、得到已加密数据；使用非对称密钥的公钥对所述对称密钥进行加密，得到与所述对称密钥对应密文；

存储所述非对称密钥的公钥及所述密文。

12.根据权利要求 11所述的终端，其中，所述终端还配置为：

马全证用户输入的隐私密码的装置；