[发明专利]一种对终端数据加解密的方法及系统

说明书

技术领域

本发明涉及数据安全领域的加密技术，尤其涉及一种利用对称加密算法对终端数据加解密的方法及系统。

背景技术

随着移动互联网的发展，智能移动终端如手机、平板电脑等越来越多的应用到政府、公安、银行、企业等各行各业的移动办公和移动业务活动中。由于移动终端上不可避免的会存储企业的机密信息。这些信息的数据安全对企业至关重要，需要加密后保存。数据加密是信息安全的基础，所谓数据加密技术是指将一个信息(通常称为明文)通过加密密钥和加密函数转换，变成无意义的密文。在需要的时候再通过解密密钥和解密函数还原成明文。加密算法分对称加密算法和非对称加密算法，非对称加密算法加密密钥和解密密钥不同，具有速度慢、开销大的特点，通常不直接用于大量数据的加密；对称加密算法加密密钥和解密密钥相同，具有速度快、开销小、安全强度高的特点，适用于大量数据加密。

对于终端上的数据加密，通常采用对称加密算法，当前常见的做法是由系统统一设置密钥或者由用户设置密钥。系统统一设置密钥的情况下，所有终端用于加密的密钥是一样的，当终端被共同使用和交叉使用时，容易导致终端上的数据泄密。由用户设置密钥的情况下，当用户失去权限(如离职)时，仍然可以通过自己设置的密码访问终端上存储的信息，导致泄密。

因此，对于数据安全，密钥保护是关键。常见数据加密方式，即使加密算法强度足够，但密钥来源单一，容易在不同应用场景中导致数据泄密。

发明内容

有鉴于此，本发明提供了一种对终端数据加解密的方法及系统，以解决现有技术中存储在移动终端上的企业数据存在安全隐患的问题。实现不同用户拥有不同的加密密钥，避免终端共同使用和交叉使用时泄密；以及加解密终端数据的时候需要通过系统授权才能得到完整密钥，避免原用户权限撤销后仍可访问终端中的企业数据。

为解决上述技术问题，本发明的技术方案是这样实现的：

第一发明，本发明提供一种对终端数据加解密的方法，包括如下步骤；

客户端接收终端用户设置的个人密钥，并将所述终端用户设置的个人密钥提交给服务器端，服务器端生成所述终端用户对应的系统密钥并保存；

终端用户执行数据保存操作时，客户端将该终端用户的个人密钥提交给服务器端，服务器端对所述个人密钥验证通过后返回对应的系统密钥，客户端采用所述个人密钥和所述对应的系统密钥对数据进行加密；

终端用户读取加密数据时，客户端将该终端用户的个人密钥提交给服务器端，服务器端对所述个人密钥验证通过后返回对应的系统密钥，客户端采用所述个人密钥和所述对应的系统密钥对数据进行解密。

进一步的，所述服务器端首次接收到所述终端用户设置的个人密钥后，首先将所述个人密钥加密后保存，再随机生成所述终端用户对应的系统密钥，并将所述个人密钥与对应的系统密钥进行关联保存。

具体的，所述服务器端在首次接收客户端发送的终端用户个人密钥时保存终端用户ID，并将终端用户ID与所述个人密钥、对应的系统密钥进行关联保存。

第二发明，提供一种对终端数据加解密的系统，包括服务器端和客户端；

所述服务器端，用于从客户端接收到终端用户设置的个人密钥后生成一个对应系统密钥并保存；并在接收到客户端提交的所述终端用户的个人密钥并验证通过后，向客户端返回对应的系统密钥；

所述客户端，用于接收终端用户设置的个人密钥，并将所述终端用户设置的个人密钥提交给服务器端；并在终端用户执行数据保存操作时，客户端将该终端用户的个人密钥提交给服务器端进行验证，并接收服务器端返回的所述终端用户的对应系统密钥，采用所述个人密钥和对应系统密钥进行数据加解密。

进一步的，服务器端还用于在接收到所述终端用户设置的个人密钥后首先将所述个人密钥加密后保存，再随机生成所述终端用户对应的系统密钥，并将所述个人密钥与对应的系统密钥进行关联保存。

具体的，服务器端在首次接收客户端发送的终端用户个人密钥时保存终端用户ID，并将终端用户ID与所述个人密钥、对应的系统密钥进行关联保存。

具体的，所述服务器端包括收发单元和密钥处理单元，

所述收发单元，用于接收客户端发送的终端用户设置的个人密钥，并返回所述终端用户对应的系统密钥给客户端；

所述密钥处理单元，用于从所述收发单元接收到终端用户设置的个人密钥后，判断本地是否保存有该终端用户对应的系统密钥，如否，生成所述终端用户对应的系统密钥并保存，如是生成所述终端用户对应的系统密钥并返回给所述收发单元。

具体的，所述客户端包括用户接口单元、收发单元和数据加解密单元，