[发明专利]数据加密及解密方法、系统及设备

说明书

技术领域

本发明涉及信息安全领域，更具体地说，涉及一种数据加密及解密方法、系统及设备。

背景技术

目前大量的服务提供商，例如软件即服务(Software-as-a-service，SaaS)提供商，通常会提供财务、客户关系管理、供应链管理等软件给客户。当客户使用这些软件提供的服务时，客户的数据需保存在服务提供商的公共数据库中，若不对这些数据进行加密处理，就可能会有部分敏感数据被泄露。为避免这种情况的发生，就有必要对数据进行加密。

现有的数据加密方法有多种，包括对称加密算法、不对称加密算法、不可逆加密算法等。其中：

对称加密算法是应用较早的加密算法，技术成熟。在计算机网络中广泛使用的对称加密算法有数据加密算法(Data Encryption Standard，DES)和国际数据加密算法(International Data Encryption Algorithm，IDEA)等，美国国家标准局倡导的高级加密标准(Advanced Encryption Standard，AES)即将作为新标准取代DES。在对称加密算法中，数据发信方将原文和密钥一起经过加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读原文。在对称加密算法中，使用的密钥只有一个，发信方和收信方都使用这个密钥对数据进行加密和解密，因此要求解密方事先必须知道密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样的密钥，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担，管理成本较高。

不对称加密算法的应用也非常广泛，常用的不对称加密算法有公钥加密算法(Rivest-Shamir-Adleman，RSA)和美国国家标准局提出的数字签名算法(Digital Signature Algorithm，DSA)。不对称加密算法使用两个完全不同但相互匹配的钥匙，即公钥和私钥，该算法利用公钥对原文进行加密，利用私钥对密文进行解密。发信方知道收信方的公钥，而收信方是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先从收信方获取到公钥，然后利用该公钥来加密原文；收信方收到密文后，使用自己的私钥解密密文。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。

不可逆加密算法的特征是加密过程中不需使用密钥，在计算机网络中应用较多的不可逆加密算法有MD5是信息-摘要算法(Message-Digest algorithm 5，MD5)和由美国国家标准局建议的安全杂乱信息标准(Secure Hash Standard，SHS)等。在不可逆加密算法中，输入原文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入原文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。显然，在这类加密过程中，加密和解密都是用户自己，而所谓解密，实际上就是重新加一次密，所应用的“密码”也就是输入的原文。不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使用，如广泛应用在计算机系统中的口令加密，利用的就是不可逆加密算法。近年来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增大。

而现阶段为了实现数据加密，最简单的方法是使用DES算法，如前所述，该算法是一种对称加密算法。图1示出了使用该算法对原文进行加密的处理过程，包括：在步骤S101中，获取原文，并接收用户输入的密码；在步骤S102中，通过DES算法，将前述密码作为密钥对原文进行加密。而在解密阶段中，直接使用DES算法，将用户输入的密码作为密钥对密文进行解密，计算生成原文。该现有技术的特点是简单，效率高，能够保证一定的加密强度。但是利用该现有技术的方法时，所存储数据的安全性较低，体现在以下两个方面：(1)由于所有数据采用同一密钥加密，一旦密文被破译，所有存储的数据都会泄密，可靠性难以得到保障；(2)由于该算法中密钥本身的加密强度只有56位，存在弱密钥问题，如果客户使用不当，会使加密强度大幅度降低。

因此需要一种新的数据加密及解密方法，从而提高存储数据的安全性。

发明内容