本发明涉及信息安全,尤其涉及一种基于秘钥分享算法的数据安全存储方法、系统、计算机设备及存储介质。
背景技术:
1、随着移动互联网的发展,人们在日常办公中会有遇到隐私的数据文件,比如各类商务报价文件、机密办公文档、设计图纸、客户名录、财务报表、采购渠道、招标文件等。隐私数据文件的密文需要使用密钥加密,密钥的控制权往往只能单一主体掌控,容易产生监守自盗。若遇到单一主体的密钥丢失,会出现无法恢复原文的情况。因此,人们逐渐想到改变密钥的控制权,试图安全地交由多个互不信任的主体协同使用,希望使用加解密技术保障多方授权,来保障公平公正性,任保一方的密钥丢失也不会影响解密,也可实现安全可靠的容灾和恢复。
2、目前,对于多方协同加解密的实现方式主要有四种,第一种是基于似离散对数的elgamal门限密码算法。此类算法是基于离散对数问题,其安全性依赖于计算有限域上离散对数这一难题,目前求解离散对数仍很困难,因此它对隐私数据的安全性有一定保障。第二种,是非对称p7(a/d)方式,pkcs7 attached和detached方式的数字签名,attached方式是将签名内容和原文放在一起,按pkcs7的格式打包,detached方式打包的pkcs7格式包中不包含明文信息,接收者利用私钥解开数字信封。第三种,是托管方式,在远端管理平台,由多名管理员共同授权,才能启用托管密钥,加解密时由远端后台控制。第四种则是基于冗余门限密码算法,侧重数据保护者对数据的保护上,进行冗余。
3、但是,第一种实现方式,在实际应用中,存在一些安全问题,例如,如果相同的随机数被重复使用来加密不同的明文,则可以通过观察两个密文之间的关系来推导出私钥。因此,在使用elgamal算法时,需要确保每次加密都使用不同的随机数。此外,elgamal算法还存在其他安全性问题,如选择明文攻击和密文选择攻击。另外此类算法效率低,elgamal算法的安全密钥长度和其他一些加密算法相比还是较长,因此它的运算速度较慢,造成解密验证的时间消耗多,加密和解密的花费的时间也较长。第二种实现方式,由于p7a(pkcs7attached模式)包含加密后的原文,但原文必须经过asn.1编码。这样处理的话在通信过程中就会增加签名值的长度以及增加包的大小,影响传输效率且消耗磁盘容量。p7d(pkcs7detached模式)格式中虽然不包含加密的原文信息,包体不大,易于网络传输,但pkcs7文件本身存在丢失的风险,托管到磁盘上时若遇到不可测因素,则会丢失p7d文件。第三种实现方式虽然能解决门限问题,但是违背了价值贵重的物品或权利不能由单一主体掌控的业务需求,由此会产生盗用、滥用等潜在风险。第四种实现方式,由于秘密分发者使用的门限密码算法,通常进行了冗余计算方式,得出的储存密文数据大小,均远大于常规加密的大小,导致随着输入原文的增大,密文将成指数变大,将会降低解密的性能,对磁盘占用率也会增大。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种基于秘钥分享算法的数据安全存储方法、系统、计算机设备及存储介质,以解决上述现有技术中存在的至少一个问题。
2、第一方面,提供了一种基于秘钥分享算法的数据安全存储方法,包括:
3、获取原始数据,并对所述原始数据进行预处理;
4、确定对预处理后的所述原始数据进行分片加密存储的数据保护者数量以及最少参与解密的数据保护者数量;
5、根据所述加密存储的数据保护者数量,将所述预处理后的原始数据切割为对应数量的小原文,并分别随机发送给各个所述数据保护者进行加密存储;
6、基于所述加密存储的数据保护者数量以及所述最少参与解密的数据保护者数量,确定实际参与解密的数据保护者数量符合预设解密条件时,按照预设缺席代理人选择规则,确定各个缺席数据保护者对应的缺席代理人;
7、将所述缺席数据保护者加密存储的小原文分别委托给对应的缺席代理人进行解密处理,同时,所述缺席代理人对自身存储的小原文进行解密处理,以得到所有解密后的小原文,并将所述所有解密后的小原文进行组合,以还原成所述原始数据。
8、第二方面,提供了一种基于秘钥分享算法的数据安全存储系统,包括:
9、原始数据获取单元,用于获取原始数据,并对所述原始数据进行预处理;
10、数据保护者数量确定单元,用于确定对预处理后的所述原始数据进行分片加密存储的数据保护者数量以及最少参与解密的数据保护者数量;
11、分片加密存储单元,用于根据所述加密存储的数据保护者数量,将所述预处理后的原始数据切割为对应数量的小原文,并分别随机发送给各个所述数据保护者进行加密存储;
12、缺席代理人确定单元,用于基于所述加密存储的数据保护者数量以及所述最少参与解密的数据保护者数量,确定实际参与解密的数据保护者数量符合预设解密条件时,按照预设缺席代理人选择规则,确定各个缺席数据保护者对应的缺席代理人;
13、解密单元,用于将所述缺席数据保护者加密存储的小原文分别委托给对应的缺席代理人进行解密处理,同时,所述缺席代理人对自身存储的小原文进行解密处理,以得到所有解密后的小原文,并将所述所有解密后的小原文进行组合,以还原成所述原始数据。
14、第三方面,提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令,所述处理器执行所述计算机可读指令时实现如上述所述基于秘钥分享算法的数据安全存储方法的步骤。
15、第四方面,提供了一种可读存储介质,所述可读存储介质存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如上述所述基于秘钥分享算法的数据安全存储方法的步骤。
16、上述基于秘钥分享算法的数据安全存储方法、装置、计算机设备及存储介质,其方法实现包括:获取原始数据,并对所述原始数据进行预处理;确定对预处理后的所述原始数据进行分片加密存储的数据保护者数量以及最少参与解密的数据保护者数量;根据所述加密存储的数据保护者数量,将所述预处理后的原始数据切割为对应数量的小原文,并分别随机发送给各个所述数据保护者进行加密存储;基于所述加密存储的数据保护者数量以及所述最少参与解密的数据保护者数量,确定实际参与解密的数据保护者数量符合预设解密条件时,按照预设缺席代理人选择规则,确定各个缺席数据保护者对应的缺席代理人;将所述缺席数据保护者加密存储的小原文分别委托给对应的缺席代理人进行解密处理,同时,所述缺席代理人对自身存储的小原文进行解密处理,以得到所有解密后的小原文,并将所述所有解密后的小原文进行组合,以还原成所述原始数据。在本技术实施例中,将安全高效地进行加解密作为关键目标,建立一套基于密钥保护的共享式安全防护策略,保证授权的协同数据保护者可正常加解密隐私数据文件,加密时,所有协同数据保护者一起加密,解密时一定数量的数据保护者一并协同就可解密,而不需要所有数据保护者都参与解密。基于缺席代理人算法,对数据进行加密时,可采用预留恢复因子算法,推导出对称密钥,有较高的处理效率,且多数据保护者之间分享秘密,采用协商秘钥方法,外界无法猜测最终的协商秘钥,只有参与者知道,杜绝集中管理时引发盗用、滥用等潜在风险。并且通过秘钥分享算法的数据安全存储方法,运算简单,产生的密文大小不产生冗余,有效减少磁盘占用率,同时有较高的加解密处理性能。