WO2017024804A1

WO2017024804A1 - 一种数据加密方法、解密方法、装置和系统

Info

Publication number: WO2017024804A1
Application number: PCT/CN2016/078480
Authority: WO
Inventors: 林陆一; 王宇飞
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2015-08-12
Filing date: 2016-04-05
Publication date: 2017-02-16
Also published as: US10659226B2; CN106452770A; US20170373850A1; EP3337088A1; EP3337088A4; CN106452770B; EP3337088B1

Abstract

一种数据加密方法，包括：接收数据加密请求，该数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；分别获取目标存储设备的设备信息；根据设备信息生成公共密钥；采用公共密钥对原始数据进行加密，得到密文；在本地销毁公共密钥的相关数据，并将密文存储至目标存储设备中；此外，还提供相应的装置和系统。

Description

一种数据加密方法、解密方法、装置和系统

本申请要求于2015年8月12日提交中国专利局、申请号为2015104940434、发明名称为“一种数据加密方法、解密方法、装置和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，具体涉及一种数据加密方法、解密方法、装置和系统。

背景技术

随着通信技术的发展，数据安全也越发得到人们的关注。在传统技术中，一般会通过给数据加密来保障数据的安全。其中，为了解密时验证所需，一般在将加密数据（即密文）保存至存储设备的同时，也会将密钥以一定的形式进行保存，因此，若密文和密钥均被盗取，则极易导致数据泄露。为此，现有技术又提出了一种加密方案，在该方案中，可以以单一设备特征，例如设备移动设备国际身份码（IMEI，International Mobile Equipment Identity）等信息作为加密手段，来加密本设备的数据，从而防止本设备的内容在被拷走的情况下造成信息泄漏，因为，设备特征信息并不作保存，因此，即使密文丢失也不会造成信息泄漏。

技术问题

在对现有技术的研究和实践过程中，本发明的发明人发现，上述方案只适合单一设备的存储，对于多设备共同持有一份密文的情况并不适合，而且，若设备也一起丢失，即密文和密钥一起丢失，将同样会造成信息泄漏，因此，现有方案的安全性也不够高。

技术解决方案

本发明实施例提供一种数据加密方法、解密方法、装置和系统，不仅可以适用于多设备共同存储，提高其适用性，而且，也可以提高其安全性。

本发明实施例提供一种数据加密方法，包括：

接收数据加密请求，所述数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；

分别获取所述至少两个目标存储设备的设备信息；

根据所述设备信息，按照预置策略生成公共密钥；

采用所述公共密钥对所述原始数据进行加密，得到密文；

在本地销毁公共密钥的相关数据，并将所述密文存储至所述至少两个目标存储设备中。

相应的，本发明实施例还提供一种数据解密方法，包括：

接收数据解密请求，所述解密请求指示需要进行解密的密文；

确定存储有所述密文的目标存储设备，所述密文存储于至少两个目标存储设备中；

获取所述目标存储设备的设备信息；

根据所述设备信息，按照预置策略生成公共密钥；

采用所述公共密钥对所述密文进行解密，得到原始数据。

相应的，本发明实施例还提供一种数据加密装置，包括：

接收单元，用于接收数据加密请求，所述数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；

获取单元，用于分别获取所述至少两个目标存储设备的设备信息；

生成单元，用于根据所述设备信息，按照预置策略生成公共密钥；

加密单元，用于采用所述公共密钥对所述原始数据进行加密，得到密文；

处理单元，用于在本地销毁公共密钥的相关数据，并将所述密文存储至所述至少两个目标存储设备中。

相应的，本发明实施例还提供一种数据解密装置，包括：

接收单元，用于接收数据解密请求，所述解密请求指示需要进行解密的密文；

确定单元，用于确定存储有所述密文的目标存储设备，所述密文存储于至少两个目标存储设备中；

获取单元，用于获取所述目标存储设备的设备信息；

解密单元，用于采用所述公共密钥对所述密文进行解密，得到原始数据。

此外，本发明实施例还提供一种数据存储系统，包括本发明实施例提供的任一种数据加密装置和任一种数据解密装置。

另外，本发明实施例提供一种存储介质，其内存储有处理器可执行指令，所述处理器可执行指令用于执行如下操作：

分别获取所述至少两个目标存储设备的设备信息；

根据所述设备信息，按照预置策略生成公共密钥；

采用所述公共密钥对所述原始数据进行加密，得到密文；

有益效果

本发明实施例采用在接收到数据加密请求时，获取至少两个目标存储设备的设备信息，然后根据这多个设备信息，按照预置策略生成公共密钥，并利用公共密钥对原始数据进行加密，得到密文，再然后，在本地销毁公共密钥的相关数据，并将密文存储至这些目标存储设备中；该方案不仅可以适用于多设备共同持有一份密文的情况，提高其适用性，而且，由于公共密钥是根据多个目标存储设备的设备信息来生成的，而设备信息需要分别向多个设备来获取，缺少其中任意一个设备信息都无法进行解密，因此，即便其中一个设备被盗取，也不会造成信息泄露，可以大大提高数据的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a是本发明实施例提供的数据存储系统中加密的场景示意图；

图1b是本发明实施例提供的数据存储系统中解密的场景示意图；

图1c是本发明实施例提供的数据加密方法的流程图；

图2是本发明实施例提供的数据解密方法的流程图；

图3a是本发明实施例提供的数据加密方法的另一流程图；

图3b是本发明实施例提供的数据解密方法的另一流程图；

图4是本发明实施例提供的数据加密装置的结构示意图；

图5是本发明实施例提供的数据解密装置的结构示意图。

本发明的最佳实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种数据加密方法、解密方法、装置和系统。

该数据存储系统可以包括数据加密装置和数据解密装置，其中，该数据加密装置和数据解密装置可以以独立的实体存在，也可以集成在同一实体中，如终端、服务器或其他网络设备中。此外，该数据存储系统还可以包括至少两个存储设备，比如参见图1a和图1b中的存储设备1、存储设备2……存储设备n等。为了描述方便，将分别从加密和解密两种场景对该数据存储系统进行简略说明。

参见图1a，该图为该数据存储系统加密时的场景示意图，在需要对某个原始数据进行加密时，数据加密装置可以接收数据加密请求，其中，该数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备，然后，分别获取该至少两个目标存储设备的设备信息，并根据该设备信息，按照预置策略生成公共密钥，再然后，便可以采用该公共密钥对该原始数据进行加密，得到密文，并将该密文存储至该至少两个目标存储设备中，其中，为了避免公共密钥被盗取，可以在本地销毁公共密钥的相关数据。

而在解密时，比如，在接收到数据解密请求（其中，该解密请求指示需要进行解密的密文）后，确定存储有该密文的目标存储设备（该密文存储于至少两个目标存储设备中），然后，获取该目标存储设备的设备信息，并根据该设备信息，按照预置策略生成公共密钥，此后，便可以采用该公共密钥对该密文进行解密，得到原始数据，参见图1b；需说明的是，在生成公共密钥时，解密时所采用的策略应该与加密时所选用的策略保持一致。

以下将分别进行详细说明。

实施例一、

本实施例将从数据加密装置的角度进行描述，该数据加密装置具体可以集成在各式设备，如终端、服务器或其他网络设备等中，终端具体可以手机、平板电脑、个人计算机（PC，Personal Computer）或笔记本电脑等设备。

一种数据加密方法，包括：接收数据加密请求，该数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；分别获取该至少两个目标存储设备的设备信息；根据该设备信息，按照预置策略生成公共密钥；采用该公共密钥对该原始数据进行加密，得到密文；在本地销毁公共密钥的相关数据，并将该密文存储至该至少两个目标存储设备中。

如图1c所示，该数据加密方法的具体流程可以如下：

101、接收数据加密请求。

例如，具体可以接收用户触发的数据加密请求。其中，该数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备等信息，比如，该数据加密请求可以携带该需要进行加密的原始数据的存储位置，比如存储地址等，以及在该原始数据加密后，密文需要存放的存储设备的标识等。

102、分别获取该至少两个目标存储设备的设备信息，比如，可以通过蓝牙、无线网络、移动网或互联网等途径分别获取该至少两个目标存储设备的设备信息。

其中，设备信息可以包括设备的序列号、IMEI码、集成电路卡标识（ICCID，Integrate Circuit Card Identity）和/或移动设备识别码（MEID，Mobile Equipment Identifier）等信息。

其中，获取目标存储设备的设备信息的方式可以有多种，比如，可以由用户通过查看目标存储设备的设备信息，然后进行输入，即接收用户直接输入的目标存储设备的设备信息，或者，也可以直接向目标存储设备获取，即具体可以如下：

分别向该至少两个目标存储设备发送第一信息获取请求，分别接收该至少两个目标存储设备根据该第一信息获取请求返回的设备信息。

比如，以目标存储设备具体为存储设备A和存储设备B为例，则，可以向存储设备A发送第一信息获取请求，并接收存储设备A返回的存储设备A的设备信息；以及，向存储设备B发送第一信息获取请求，并接收存储设备B返回的存储设备A的设备信息，以此类推，等等。

可选的，为了提高安全性，还可以对请求者的权限进行鉴权，即步骤“分别获取该至少两个目标存储设备的设备信息”具体也可以如下：

分别向该至少两个目标存储设备发送第二信息获取请求，其中，该第二信息获取请求中携带鉴权信息，分别接收该至少两个目标存储设备返回的设备信息，该设备信息由目标存储设备在对该第二信息获取请求进行鉴权并确定鉴权通过时返回。

比如，还是以目标存储设备具体为存储设备A和存储设备B为例，则，可以向存储设备A发送携带鉴权信息的第二信息获取请求，由存储设备A根据鉴权信息进行鉴权，并在鉴权通过时，返回存储设备A的设备信息；同理，在向存储设备B发送携带鉴权信息的第二信息获取请求后，由存储设备B根据鉴权信息进行鉴权，并在鉴权通过时，返回存储设备B的设备信息，以此类推，等等。需说明的是，如果鉴权不通过，则拒绝提供目标存储设备的设备信息，此时目标存储设备还可以向该数据加密装置返回请求失败的原因，比如“鉴权不通过，需提供正确的鉴权信息”等的提示，等等，在此不再赘述。

103、根据该设备信息，按照预置策略生成公共密钥。

其中，密钥指的是明文转换为密文或将密文转换为明文的算法中输入的参数。

其中，该策略可以根据实际应用的需求进行设置，比如，可以采用如下任意一种方式：

（1）将该设备信息按照预设第一序列进行组合，得到公共密钥。

比如，以设备信息为设备的IMEI码为例，若第一个目标存储设备为存储设备A，第二目标存储设备为存储设备B，第三目标存储设备为存储设备C，则可以将存储设备A的IMEI码“000000000000001”、存储设备B的IMEI码“000000000000002”和存储设备C的IMEI码“000000000000003”按照预设第一序列，比如按排列先后次序依次进行组合，得到公共密钥，即“000000000000001000000000000002000000000000003”。

（2）按照预设提取规则分别对该设备信息进行提取，得到提取信息，将该提取信息按照预设第二序列进行组合，得到公共密钥。

比如，还是以设备信息为设备的IMEI码为例，若第一个目标存储设备为存储设备A，第二目标存储设备为存储设备B，第三目标存储设备为存储设备C，提取规则为提取IMEI码的后四位数，则可以分别对存储设备A的IMEI码“000000000000001”、存储设备B的IMEI码“000000000000002”和存储设备C的IMEI码“000000000000003”进行提取，得到提取信息为“0001”、“0002”和“0003”，然后将这些提取信息按照预设第二序列，比如按排列先后次序依次进行组合，得到公共密钥，即“000100020003”。

（3）按照预设第一算法分别对该设备信息进行计算，得到计算信息，将该计算信息按照预设第三序列进行组合，得到公共密钥。

比如，可以对设备信息进行一个加权运算或进行某种函数换算，得到计算信息，然后才对计算信息进行组合，得到公共密钥，组合方式与方式（1）和（2）类似，在此不再赘述。

（4）将该设备信息按照预设第四序列进行组合，得到组合信息，按照预设第二算法对该组合信息进行计算，得到公共密钥。

除了可以先对设备信息进行运算再进行组合之外，也可以先进行组合，再进行运算，方式（4）的执行与方式（3）类似，在此不再赘述。

其中，第一序列、第二序列、第三序列和第四序列、预设第一算法、预设第二算法和预设提取规则等可以根据实际应用的需求进行设置，在此不再赘述。

104、采用该公共密钥对该原始数据进行加密，得到密文。

例如，具体可以调用加密进程，执行加密进程，并采用该公共密钥对该原始数据进行加密，得到密文。

105、在本地销毁公共密钥的相关数据，并将该密文存储至该至少两个目标存储设备中。

其中，公共密钥的相关数据指的是可能会泄露公共密钥的相关信息，比如，公共密钥本身，以及用于生成该公共密钥的设备信息，等等，因此，在利用该公共密钥对原始数据进行加密之后，可以不保存该公共密钥，并在本地删除获取到的设备信息（即用于生成该公共密钥的设备信息），这样，基本本地的数据泄露，盗取者也无法得知该公共密钥。

此外，在将该密文存储至目标存储设备时，由于存在多个目标存储设备，因此，存储的方式也可以有多种，比如，可以将密文划分为若干片段，然后分别存进目标存储设备中，即，只有将这些目标存储设备中所存储的密文片段凑齐，才可以得到完整的密文；或者，也可以在每一个目标存储设备中都存储一份完整的密文，即，步骤“将该密文存储至该至少两个目标存储设备中”具体可以如下：

按照目标存储设备的数量将密文划分为对应数量的密文片段，将密文片段分别存储至该目标存储设备中；或者，

将整份密文分别发送至该至少两个目标存储设备中，以进行存储。

由上可知，本实施例采用在接收到数据加密请求时，获取至少两个目标存储设备的设备信息，然后根据这多个设备信息，按照预置策略生成公共密钥，并利用公共密钥对原始数据进行加密，得到密文，再然后，在本地销毁公共密钥的相关数据，并将密文存储至这些目标存储设备中；该方案不仅可以适用于多设备共同持有一份密文的情况，提高其适用性，而且，由于公共密钥是根据多个目标存储设备的设备信息来生成的，而设备信息需要分别向多个设备来获取，缺少其中任意一个设备信息都无法进行解密，因此，即便其中一个设备被盗取，也不会造成信息泄露，可以大大提高数据的安全性。

实施例二、

与数据加密方法对应的，本发明实施例还相应地提供一种数据解密方法，在本实施例中，将进行详细说明。

将从数据解密装置的角度进行描述，该数据解密装置具体可以集成在各式设备，如终端、服务器或其他网络设备等中，该数据解密装置可以与加密装置分别作为独立实体来实现，也可以作为同一实体来实现。

一种数据解密方法，包括：接收数据解密请求，该解密请求指示需要进行解密的密文；确定存储有该密文的目标存储设备，该密文存储于至少两个目标存储设备中；获取该目标存储设备的设备信息；根据该设备信息，按照预置策略生成公共密钥；采用该公共密钥对该密文进行解密，得到原始数据。

如图2所示，该数据解密方法的具体流程可以如下：

201、接收数据解密请求。

例如，具体可以接收用户触发的数据解密请求，其中，该解密请求指示需要进行解密的密文等信息，比如，该数据解密请求中可以携带该密文的存储地址，或者其他可以表示该密文存储位置的信息，等等。

202、确定存储有该密文的目标存储设备，该密文存储于至少两个目标存储设备中。

例如，如果加密时将密文存放在存储设备A和存储设备B中，则可以在数据解密请求中携带该密文的存储地址，这样，此时便可以根据该存储地址确定该密文的目标存储设备为存储设备A和存储设备B；或者，如果在数据解密请求中携带的是存储设备A和存储设备B的标识，则此时可以直接根据存储设备A和存储设备B的标识确定该密文的目标存储设备为存储设备A和存储设备B，以此类推，在此不再列举。

203、获取该目标存储设备的设备信息，比如，通过蓝牙、无线网络、移动网或互联网等途径分别获取该目标存储设备的设备信息。

其中，设备信息可以包括设备的序列号、IMEI码、ICCID码和/或MEID码等信息。

分别向该目标存储设备发送第一信息获取请求，分别接收该目标存储设备根据该第一信息获取请求返回的设备信息。

分别向该目标存储设备发送第二信息获取请求，其中，该第二信息获取请求中携带鉴权信息，分别接收该目标存储设备返回的设备信息，该设备信息由目标存储设备在对该第二信息获取请求进行鉴权并确定鉴权通过时返回。

204、根据该设备信息，按照预置策略生成公共密钥。

需说明的是，解密时所采用的策略应该与加密时所选用的策略一致。

可选的，该解密时所采用的策略可以由数据加密装置和数据解密装置预先进行约定，并分别设置在数据加密装置和数据解密装置中，也可以由数据加密装置和数据解密装置预先进行约定，但并不进行设置，而是在需要时，根据约定来获取，即在步骤“根据该设备信息，按照预置策略生成公共密钥（即步骤204）”之前，该数据解密方法还可以包括：

获取加密时所采用的公共密钥生成策略。

则此时，步骤“根据该设备信息，按照预置策略生成公共密钥（即步骤204）”具体为：根据该设备信息，按照获取到的加密时所采用的公共密钥生成策略生成公共密钥。

205、采用该公共密钥对该密文进行解密，得到原始数据。

例如，具体可以调用解密进程，执行该解密进程，并采用该公共密钥对该密文进行解密，得到原始数据。

可选的，为了提高安全性，在采用公共密钥对该密文进行解密之后，可以在本地销毁公共密钥的相关数据，其中，公共密钥的相关数据指的是可能会泄露公共密钥的相关信息，比如，公共密钥本身，以及用于生成该公共密钥的设备信息，等等，即可以在本地删除获取到的设备信息（即生成该公共密钥的设备信息）。

此外，为了保证数据安全，在用户得到该原始数据之后，还可以将该原始数据删除，在此不再赘述。

由上可知，本实施例采用在接收到数据解密请求时，确定存储有该密文的目标存储设备，其中，密文存储于至少两个目标存储设备中，然后，获取这些目标存储设备的设备信息，并根据这多个设备信息，按照预置策略生成公共密钥，利用公共密钥对密文进行解密，得到原始数据；该方案不仅可以适用于多设备共同持有一份密文的情况，提高其适用性，而且，由于公共密钥是根据多个目标存储设备的设备信息来生成的，而设备信息需要分别向多个设备来获取，缺少其中任意一个设备信息都无法进行解密，因此，即便其中一个设备被盗取，也不会造成信息泄露，可以大大提高数据的安全性。

实施例三、

根据实施例一和二所描述的方法，以下将举例作进一步详细说明。

在本实施例中，将以数据加密装置和数据解密装置均集成在同一终端中，且生成公共密钥的策略为“将该设备信息按照预设第一序列进行组合”为例进行说明。

（一）加密；

如图3a所示，一种数据加密方法，具体流程可以如下：

A301、终端接收用户触发的数据加密请求。

其中，该数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备等信息，比如，该数据加密请求可以携带该需要进行加密的原始数据的存储位置，如存储地址等，以及在该原始数据加密后，密文需要存放的存储设备的标识等。

为了描述方便，在本实施例中，将以该数据加密请求携带需要进行加密的原始数据的存储地址，以及携带存储设备A的标识、存储设备B的标识和存储设备C的标识为例进行说明。

A302、终端根据存储设备A的标识、存储设备B的标识和存储设备C的标识确定目标存储设备为存储设备A、存储设备B和存储设备C，分别获取存储设备A的设备信息、存储设备B的设备信息和存储设备C的设备信息，比如，可以通过蓝牙、无线网络、移动网或互联网等途径分别获取这些设备信息。

其中，设备信息可以包括设备的序列号、IMEI码、ICCID和/或MEID等信息。

分别向存储设备A、存储设备B和存储设备C发送第一信息获取请求，存储设备A、存储设备B和存储设备C在接收到该第一信息获取请求后，分别向该终端返回自身的设备信息。

可选的，为了提高安全性，还可以对请求者的权限进行鉴权，即具体也可以如下：

分别存储设备A、存储设备B和存储设备C发送第二信息获取请求，其中，该第二信息获取请求中携带鉴权信息，这样，存储设备A、存储设备B和存储设备C在接收到该第二信息获取请求后，便可以根据该鉴权信息确定终端是否具有获取设备信息的权限，若有权限，则向终端返回自身的设备信息，比如，存储设备A返回存储设备A的设备信息，存储设备B返回存储设备B的设备信息, 存储设备C返回存储设备C的设备信息，等等。

需说明的是，如果鉴权不通过，即确定终端没有获取设备信息的权限，则存储设备可以拒绝提供自身的设备信息，此时还可以向该终端返回请求失败的原因，比如“鉴权不通过，需提供正确的鉴权信息”等的提示，等等，在此不再赘述。

A303、终端将这些设备信息按照预设第一序列进行组合，得到公共密钥。

其中，第一序列可以根据实际应用的需求进行设置。比如，若第一序列为按存储设备排列先后次序依次进行组合，则该公共密钥具体可以参见表一。

表一：

[根据细则91更正 23.05.2016]　

比如，以设备信息为设备的IMEI码为例，则可以将存储设备A的IMEI码“000000000000001”、存储设备B的IMEI码“000000000000002”和存储设备C的IMEI码“000000000000003”按照预设第一序列，比如按排列先后次序依次进行组合，得到公共密钥，即：

“000000000000001000000000000002000000000000003”。

需说明的是，也可以采用其他的策略，其实现与此类似，在此不再赘述。

A304、终端需要进行加密的原始数据的存储地址获取原始数据，并采用该公共密钥对该原始数据进行加密，得到密文。

例如，在获取到原始数据后，可以调用加密进程，执行加密进程，以采用该公共密钥对该原始数据进行加密，得到密文。

A305、终端在本地（即该终端）销毁公共密钥的相关数据，并将该密文存储至存储设备A、存储设备B和存储设备C中。

此外，在将该密文存储至目标存储设备时，由于存在多个目标存储设备，因此，存储的方式也可以有多种，比如，可以将密文划分为若干片段，然后分别存进目标存储设备中，即，只有将这些目标存储设备中所存储的密文片段凑齐，才可以得到完整的密文；或者，也可以在每一个目标存储设备中都存储一份完整的密文，比如在存储设备A、存储设备B和存储设备C中分别都存储一份完整的密文，等等。

（二）解密；

与（一）的加密过程对应的，如图3b所示，一种数据解密方法，具体流程可以如下：

B301、终端接收用户触发的数据解密请求。

其中，该解密请求指示需要进行解密的密文等信息，比如，该数据解密请求中可以携带该密文的存储地址，或者其他可以表示该密文存储位置的信息，等等。

为了描述方便，在本实施例中，将以该数据解密请求携带该密文的存储地址为例进行说明。

B302、终端根据该密文的存储地址确定目标存储设备，比如，加密时将密文存放在存储设备A、存储设备B和存储设备C中，则此时，可以确定目标存储设备为存储设备A、存储设备B和存储设备C。

B303、终端获取存储设备A的设备信息、存储设备B的设备信息和存储设备C的设备信息，比如，可以通过蓝牙、无线网络、移动网或互联网等途径分别获取这些设备信息。

其中，获取目标存储设备的设备信息的方式可以有多种，具体可参见前面的实施例，此外，可选的，为了提高安全性，还可以对请求者是否具有获取设备信息的权限进行鉴权，详见前面实施例，在此不在赘述。

A304、终端将这些设备信息按照预设第一序列进行组合，得到公共密钥。

“000000000000001000000000000002000000000000003”。

需说明的是，解密时生成公共密钥的策略需要与加密时所采用的策略保持一致。

A305、终端从存储设备A、存储设备B和存储设备C中获取密文，并采用该公共密钥对该密文进行解密，得到原始数据。

例如，在获取到密文后，可以调用解密进程，执行该解密进程，并采用该公共密钥对该密文进行解密，得到原始数据。

可选的，为了提高安全性，在采用公共密钥对该密文进行解密之后，可以在本地（即终端）销毁公共密钥的相关数据，其中，公共密钥的相关数据指的是可能会泄露公共密钥的相关信息，比如，公共密钥本身，以及用于生成该公共密钥的设备信息，等等，即可以在本地删除获取到的设备信息（即生成该公共密钥的设备信息）。

此外，为了保证数据安全，在用户得到该原始数据之后，还可以在终端中将该原始数据删除，在此不再赘述。

由上可知，本实施例采用的终端在接收到数据加密请求时，可以获取至少两个目标存储设备的设备信息，然后根据这多个设备信息，按照预置策略生成公共密钥，并利用公共密钥对原始数据进行加密，得到密文，再然后，在本地销毁公共密钥的相关数据，并将密文存储至这些目标存储设备中；此外，本实施例还提供相应的解密方法。本实施例所提供的方案，不仅可以适用于多设备共同持有一份密文的情况，提高其适用性，而且，由于公共密钥是根据多个目标存储设备的设备信息来生成的，而设备信息需要分别向多个设备来获取，缺少其中任意一个设备信息都无法进行解密，因此，即便其中一个设备被盗取，也不会造成信息泄露，可以大大提高数据的安全性。

实施例四、

为了更好地实施以上方法，本发明实施例还提供一种数据加密装置，如图4所示，该数据加密装置包括接收单元401、获取单元402、生成单元403、加密单元404和处理单元405，如下：

（1）接收单元401；

接收单元401，用于接收数据加密请求。

例如，接收单元401具体可以接收用户触发的数据加密请求。

其中，该数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备等信息，比如，该数据加密请求可以携带该需要进行加密的原始数据的存储位置，比如存储地址等，以及在该原始数据加密后，密文需要存放的存储设备的标识等。

（2）获取单元402；

获取单元402，用于分别获取该至少两个目标存储设备的设备信息。

比如，可以通过蓝牙、无线网络、移动网或互联网等途径分别获取这些设备信息。

中，获取目标存储设备的设备信息的方式可以有多种，比如，可以由用户通过查看目标存储设备的设备信息，然后进行输入，即接收用户直接输入的目标存储设备的设备信息，或者，也可以直接向目标存储设备获取，即：

获取单元402，具体可以用于分别向该至少两个目标存储设备发送第一信息获取请求，分别接收该至少两个目标存储设备根据该第一信息获取请求返回的设备信息。

可选的，为了提高安全性，还可以对请求者的权限进行鉴权，即：

该获取单元402，具体可以用于分别向该至少两个目标存储设备发送第二信息获取请求，该第二信息获取请求中携带鉴权信息，分别接收该至少两个目标存储设备返回的设备信息，该设备信息由目标存储设备在对该第二信息获取请求进行鉴权并确定鉴权通过时返回。

（3）生成单元403；

生成单元403，用于根据该设备信息，按照预置策略生成公共密钥。

生成单元403，具体可以用于将该设备信息按照预设第一序列进行组合，得到公共密钥。

或者，生成单元403，具体可以用于按照预设提取规则分别对该设备信息进行提取，得到提取信息，将该提取信息按照预设第二序列进行组合，得到公共密钥。

或者，生成单元403，具体可以用于按照预设第一算法分别对该设备信息进行计算，得到计算信息，将该计算信息按照预设第三序列进行组合，得到公共密钥。

或者，生成单元403，具体可以用于将该设备信息按照预设第四序列进行组合，得到组合信息，按照预设第二算法对该组合信息进行计算，得到公共密钥。

（4）加密单元404；

加密单元404，用于采用该公共密钥对该原始数据进行加密，得到密文。

例如，加密单元404，具体可以根据数据加密请求获取原始数据，并采用该公共密钥对该原始数据进行加密，得到密文，比如，可以调用加密进程，执行加密进程，并然后采用该公共密钥对该原始数据进行加密，得到密文。

（5）处理单元405；

处理单元405，用于在本地销毁公共密钥的相关数据，并将该密文存储至该至少两个目标存储设备中。

此外，在将该密文存储至目标存储设备时，由于存在多个目标存储设备，因此，存储的方式也可以有多种，比如，可以将密文划分为若干片段，然后分别存进目标存储设备中，即，只有将这些目标存储设备中所存储的密文片段凑齐，才可以得到完整的密文；或者，也可以在每一个目标存储设备中都存储一份完整的密文，即：

该处理单元405，具体可以用于按照目标存储设备的数量将密文划分为对应数量的密文片段，将密文片段分别存储至该目标存储设备中；或者，

该处理单元405，具体可以用于将整份密文分别发送至该至少两个目标存储设备中，以进行存储。

具体实施时，以上各个单元可以作为独立的实体来实现，也可以进行任意组合，作为同一或若干个实体来实现，以上各个单元的具体实施可参见前面的方法实施例，在此不再赘述。

由上可知，本实施例采用在接收到数据加密请求时，由获取单元402获取至少两个目标存储设备的设备信息，然后由生成单元403根据这多个设备信息，按照预置策略生成公共密钥，并由加密单元404利用公共密钥对原始数据进行加密，得到密文，再然后，由处理单元405在本地销毁公共密钥的相关数据，并将密文存储至这些目标存储设备中；该方案不仅可以适用于多设备共同持有一份密文的情况，提高其适用性，而且，由于公共密钥是根据多个目标存储设备的设备信息来生成的，而设备信息需要分别向多个设备来获取，缺少其中任意一个设备信息都无法进行解密，因此，即便其中一个设备被盗取，也不会造成信息泄露，可以大大提高数据的安全性。

实施例五、

相应的，本发明实施例还提供一种数据解密装置，如图5所示，该数据解密装置包括接收单元501、确定单元502、获取单元503、生成单元504和解密单元505，如下：

（1）接收单元501；

接收单元501，用于接收数据解密请求，该解密请求指示需要进行解密的密文。

例如，接收单元501具体可以接收用户触发的数据解密请求。

（2）确定单元502；

确定单元502，用于确定存储有该密文的目标存储设备，该密文存储于至少两个目标存储设备中。

（3）获取单元503；

获取单元503，用于获取该目标存储设备的设备信息。

获取单元503，具体可以用于分别向该目标存储设备发送第一信息获取请求，分别接收该目标存储设备根据该第一信息获取请求返回的设备信息。

该获取单元503，具体可以用于分别向该目标存储设备发送第二信息获取请求，该第二信息获取请求中携带鉴权信息，分别接收该目标存储设备返回的设备信息，该设备信息由目标存储设备在对该第二信息获取请求进行鉴权并确定鉴权通过时返回。

（4）生成单元504；

生成单元504，用于根据该设备信息，按照预置策略生成公共密钥。

生成单元504，具体可以用于将该设备信息按照预设第一序列进行组合，得到公共密钥。

或者，生成单元504，具体可以用于按照预设提取规则分别对该设备信息进行提取，得到提取信息，将该提取信息按照预设第二序列进行组合，得到公共密钥。

或者，生成单元504，具体可以用于按照预设第一算法分别对该设备信息进行计算，得到计算信息，将该计算信息按照预设第三序列进行组合，得到公共密钥。

或者，生成单元504，具体可以用于将该设备信息按照预设第四序列进行组合，得到组合信息，按照预设第二算法对该组合信息进行计算，得到公共密钥。

（5）解密单元505；

解密单元505，用于采用该公共密钥对该密文进行解密，得到原始数据。

例如，解密单元505，具体可以用于根据数据解密请求从目标存储设备中获取密文，然后采用该公共密钥对该密文进行解密，得到原始数据；比如调用解密进程，执行该解密进程，并采用该公共密钥对该密文进行解密，得到原始数据。

可选的，为了提高安全性，在采用公共密钥对该密文进行解密之后，可以在本地销毁公共密钥的相关数据，其中，公共密钥的相关数据指的是可能会泄露公共密钥的相关信息，比如，公共密钥本身，以及用于生成该公共密钥的设备信息，等等，即该数据解密装置还可以包括销毁单元，如下：

该销毁单元，用于在本地销毁公共密钥的相关数据，比如在本地删除获取到的设备信息（即生成该公共密钥的设备信息）。

该数据加密装置具体可以集成在各式设备，如终端、服务器或其他网络设备等中。

由上可知，本实施例的数据解密装置可以采用在接收到数据解密请求时，由确定单元502确定存储有该密文的目标存储设备，其中，密文存储于至少两个目标存储设备中，然后，由获取单元503获取这些目标存储设备的设备信息，并由生成单元504根据这多个设备信息，按照预置策略生成公共密钥，然后，由解密单元505利用公共密钥对密文进行解密，得到原始数据；该方案不仅可以适用于多设备共同持有一份密文的情况，提高其适用性，而且，由于公共密钥是根据多个目标存储设备的设备信息来生成的，而设备信息需要分别向多个设备来获取，缺少其中任意一个设备信息都无法进行解密，因此，即便其中一个设备被盗取，也不会造成信息泄露，可以大大提高数据的安全性。

实施例六、

此外，本发明实施例还提供一种数据存储系统，包括本发明实施例提供的任一种数据加密装置和任一种数据解密装置，其中，数据加密装置可参见实施例四，数据解密装置可参见实施例五。该数据加密装置和数据解密装置也可以集成在同一实体中，如终端、服务器或其他网络设备中。例如，以该数据加密装置和数据解密装置均集成在同一网络设备中为例，则具体可以如下：

网络设备，用于接收数据加密请求，该数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；分别获取该至少两个目标存储设备的设备信息；根据该设备信息，按照预置策略生成公共密钥；采用该公共密钥对该原始数据进行加密，得到密文；在本地销毁公共密钥的相关数据，并将该密文存储至该至少两个目标存储设备中。

该网络设备，还可以用于接收数据解密请求，该解密请求指示需要进行解密的密文；确定存储有该密文的目标存储设备，该密文存储于至少两个目标存储设备中；获取该目标存储设备的设备信息；根据该设备信息，按照预置策略生成公共密钥；采用该公共密钥对该密文进行解密，得到原始数据。

此外，该数据存储系统还可以包括至少两个存储设备，其中，每一种存储设备均可以执行以上功能：

存储设备，用于提供设备信息给网络设备，以及接收网络设备发送的密文，并对密文进行存储。

该存储设备，还可以用于将密文发送给网络设备。

以上各个设备的具体实施可参见前面的实施例，在此不再赘述。

由于该数据存储系统可以包括本发明实施例提供的任一种数据加密装置和任一种数据解密装置，因此，可以实现本发明实施例提供的任一种数据加密装置和任一种数据解密装置所能实现的有益效果，详见前面实施例，在此不再赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器（ROM，Read Only Memory）、随机存取记忆体（RAM，Random Access Memory）、磁盘或光盘等。

以上对本发明实施例所提供的一种数据加密方法、解密方法、装置和系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种数据加密方法，其特征在于，包括：

接收数据加密请求，所述数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；

分别获取所述至少两个目标存储设备的设备信息；

根据所述设备信息，按照预置策略生成公共密钥；

采用所述公共密钥对所述原始数据进行加密，得到密文；

在本地销毁公共密钥的相关数据，并将所述密文存储至所述至少两个目标存储设备中。
根据权利要求1所述的方法，其特征在于，所述根据所述设备信息，按照预置策略生成公共密钥，包括：

将所述设备信息按照预设第一序列进行组合，得到公共密钥；或者，

按照预设提取规则分别对所述设备信息进行提取，得到提取信息，将所述提取信息按照预设第二序列进行组合，得到公共密钥；或者，

按照预设第一算法分别对所述设备信息进行计算，得到计算信息，将所述计算信息按照预设第三序列进行组合，得到公共密钥；或者，

将所述设备信息按照预设第四序列进行组合，得到组合信息，按照预设第二算法对所述组合信息进行计算，得到公共密钥。
根据权利要求1所述的方法，其特征在于，所述分别获取所述至少两个目标存储设备的设备信息，包括：

分别向所述至少两个目标存储设备发送第一信息获取请求；

分别接收所述至少两个目标存储设备根据所述第一信息获取请求返回的设备信息。
根据权利要求1所述的方法，其特征在于，所述分别获取所述至少两个目标存储设备的设备信息，包括：

分别向所述至少两个目标存储设备发送第二信息获取请求，所述第二信息获取请求中携带鉴权信息；

分别接收所述至少两个目标存储设备返回的设备信息，所述设备信息由目标存储设备在对所述第二信息获取请求进行鉴权并确定鉴权通过时返回。
根据权利要求1至4任一项所述的方法，其特征在于，所述在本地销毁公共密钥的相关数据，包括：

在本地删除获取到的设备信息。
根据权利要求1至4任一项所述的方法，其特征在于，所述将所述密文存储至所述至少两个目标存储设备中，包括：

按照目标存储设备的数量将密文划分为对应数量的密文片段，将密文片段分别存储至所述目标存储设备中；或者，

将整份密文分别发送至所述至少两个目标存储设备中，以进行存储。
一种数据解密方法，其特征在于，包括：

接收数据解密请求，所述解密请求指示需要进行解密的密文；

确定存储有所述密文的目标存储设备，所述密文存储于至少两个目标存储设备中；

获取所述目标存储设备的设备信息；

根据所述设备信息，按照预置策略生成公共密钥；

采用所述公共密钥对所述密文进行解密，得到原始数据。
根据权利要求7所述的方法，其特征在于，所述根据所述设备信息，按照预置策略生成公共密钥，包括：

将所述设备信息按照预设第一序列进行组合，得到公共密钥；或者，

按照预设提取规则分别对所述设备信息进行提取，得到提取信息，将所述提取信息按照预设第二序列进行组合，得到公共密钥；或者，

按照预设第一算法分别对所述设备信息进行计算，得到计算信息，将所述计算信息按照预设第三序列进行组合，得到公共密钥；或者，

将所述设备信息按照预设第四序列进行组合，得到组合信息，按照预设第二算法对所述组合信息进行计算，得到公共密钥。
根据权利要求7所述的方法，其特征在于，所述获取所述目标存储设备的设备信息，包括：

分别向所述目标存储设备发送第一信息获取请求；

分别接收所述目标存储设备根据所述第一信息获取请求返回的设备信息。
根据权利要求7所述的方法，其特征在于，所述获取所述目标存储设备的设备信息，包括：

分别向所述目标存储设备发送第二信息获取请求，所述第二信息获取请求中携带鉴权信息；

分别接收所述目标存储设备返回的设备信息，所述设备信息由目标存储设备在对所述第二信息获取请求进行鉴权并确定鉴权通过时返回。
根据权利要求7至10任一项所述的方法，其特征在于，所述采用所述公共密钥对所述密文进行解密，得到原始数据之后，还包括：

在本地销毁公共密钥的相关数据。
一种数据加密装置，其特征在于，包括：

接收单元，用于接收数据加密请求，所述数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；

获取单元，用于分别获取所述至少两个目标存储设备的设备信息；

生成单元，用于根据所述设备信息，按照预置策略生成公共密钥；

加密单元，用于采用所述公共密钥对所述原始数据进行加密，得到密文；

处理单元，用于在本地销毁公共密钥的相关数据，并将所述密文存储至所述至少两个目标存储设备中。
根据权利要求12所述的数据加密装置，其特征在于，

所述生成单元，具体用于将所述设备信息按照预设第一序列进行组合，得到公共密钥；或者，

所述生成单元，具体用于按照预设提取规则分别对所述设备信息进行提取，得到提取信息，将所述提取信息按照预设第二序列进行组合，得到公共密钥；或者，

所述生成单元，具体用于按照预设第一算法分别对所述设备信息进行计算，得到计算信息，将所述计算信息按照预设第三序列进行组合，得到公共密钥；或者，

所述生成单元，具体用于将所述设备信息按照预设第四序列进行组合，得到组合信息，按照预设第二算法对所述组合信息进行计算，得到公共密钥。
根据权利要求12至14任一项所述的数据加密装置，其特征在于，

所述获取单元，具体用于分别向所述至少两个目标存储设备发送第一信息获取请求，分别接收所述至少两个目标存储设备根据所述第一信息获取请求返回的设备信息；或者，

所述获取单元，具体用于分别向所述至少两个目标存储设备发送第二信息获取请求，所述第二信息获取请求中携带鉴权信息，分别接收所述至少两个目标存储设备返回的设备信息，所述设备信息由目标存储设备在对所述第二信息获取请求进行鉴权并确定鉴权通过时返回。
根据权利要求12至14任一项所述的数据加密装置，其特征在于，

所述处理单元，具体用于按照目标存储设备的数量将密文划分为对应数量的密文片段，将密文片段分别存储至所述目标存储设备中；或者，

所述处理单元，具体用于将整份密文分别发送至所述至少两个目标存储设备中，以进行存储。
一种数据解密装置，其特征在于，包括：

接收单元，用于接收数据解密请求，所述解密请求指示需要进行解密的密文；

确定单元，用于确定存储有所述密文的目标存储设备，所述密文存储于至少两个目标存储设备中；

获取单元，用于获取所述目标存储设备的设备信息；

生成单元，用于根据所述设备信息，按照预置策略生成公共密钥；

解密单元，用于采用所述公共密钥对所述密文进行解密，得到原始数据。
根据权利要求16所述的数据解密装置，其特征在于，

所述生成单元，具体用于将所述设备信息按照预设第一序列进行组合，得到公共密钥；或者，

所述生成单元，具体用于按照预设提取规则分别对所述设备信息进行提取，得到提取信息，将所述提取信息按照预设第二序列进行组合，得到公共密钥；或者，

所述生成单元，具体用于按照预设第一算法分别对所述设备信息进行计算，得到计算信息，将所述计算信息按照预设第三序列进行组合，得到公共密钥；或者，

所述生成单元，具体用于将所述设备信息按照预设第四序列进行组合，得到组合信息，按照预设第二算法对所述组合信息进行计算，得到公共密钥。
根据权利要求16或17所述的数据解密装置，其特征在于，

所述获取单元，具体用于分别向所述目标存储设备发送第一信息获取请求，分别接收所述目标存储设备根据所述第一信息获取请求返回的设备信息；或者，

所述获取单元，具体用于分别向所述目标存储设备发送第二信息获取请求，所述第二信息获取请求中携带鉴权信息，分别接收所述目标存储设备返回的设备信息，所述设备信息由目标存储设备在对所述第二信息获取请求进行鉴权并确定鉴权通过时返回。
根据权利要求16或17所述的数据解密装置，其特征在于，还包括销毁单元；

所述销毁单元，用于在本地销毁公共密钥的相关数据。
一种数据存储系统，其特征在于，包括权利要求12至15任一项所述的数据加密装置和权利要求16至19任一项所述的数据解密装置。
一种存储介质，其特征在于，其内存储有处理器可执行指令，所述处理器可执行指令用于执行如下操作：

接收数据加密请求，所述数据加密请求指示需要进行加密的原始数据，以及至少两个目标存储设备；

分别获取所述至少两个目标存储设备的设备信息；

根据所述设备信息，按照预置策略生成公共密钥；

采用所述公共密钥对所述原始数据进行加密，得到密文；

在本地销毁公共密钥的相关数据，并将所述密文存储至所述至少两个目标存储设备中。