数据密文托管方法、系统、计算机设备及存储介质

技术领域

本发明涉及数据安全领域，具体地，涉及一种数据密文托管方法、系统、计算机设备及存储介质。

背景技术

每个人在网络上或者各种地方都有零碎的信息，比如音乐APP中有喜欢的歌单，医院中有病例，支付宝中有身份证信息。不同的APP或者场景，会需要用户再次提供这些已经有信息，非常麻烦。且传统的APP、平台等需要通过信息验证，但是通常给出的用户信息超出了验证的范围，导致数据信息的泄露风险大大增加。

本发明通过汇总这碎的信息，然后在DID存管中心(DID BANK)一起管理，其中DID表示分布式数字身份，最后根据请求方所需要的内容，给他所要的信息或者结果，使得给出的信息最小化，避免泄密，比如游戏需要验证你是否年满18，只需要从DID BANK中得到这个结果给他，而不是直接告诉他身份证号、身份证照片这样超出需求的内容。从而大大提高了数据安全。

专利文献为CN111866018A的发明专利公开了一种数据信息加密发送方法、装置、计算机设备及存储介质。方法包括：根据密钥生成规则生成密钥信息并生成对应的密钥数组，根据密钥编排规则对密钥数组进行基于代数预算的并行编排得到轮密钥数组，根据加密规则及轮密钥数组对用户所输入的待加密数据信息进行加密得到加密信息，将加密信息及密钥信息中的公钥发送至管理服务器，以实现对数据信息的加密发送。本发明基于信息加密技术，属于密码技术领域，采用基于代数预算的并行编排过程，可对密钥数组进行效率更高的并行编排处理，提高了轮密钥数组的生成效率，进而提高了对数据信息进行加密发送处理的效率。但是上述方案无法实现数据的可控性。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种数据密文托管方法、系统、计算机设备及存储介质。

根据本发明提供的一种数据密文托管方法，包括如下步骤：

授权步骤：客户端生成did唯一标识符，附带授权数据字段field，向DID存管中心发起授权管理自己的密文数据的请求，DID存管中心接收客户端的授权请求，生成公私钥并保存，并将公钥返回客户端；

存储步骤：客户端生成数据加密密钥以及密钥原像，使用数据加密密钥将明文数据在客户端中加密为密文数据，将相应的密文数据上传DID存管中心存储；

加密步骤：客户端生成用户公私钥，使用公钥加密密钥原像，生成数据加密密钥密文，使用私钥分别和客户端授权返回的公钥生成多个重加密密钥，客户端将用户公钥、数据加密密钥密文、重加密密钥上传DID存管中心，由代理重加密提供方托管重加密数据；

请求步骤：请求方指定需要推送的已授权用户的限定条件，请求DID存管中心获取用户did标识列表。

优选地，所述授权步骤中，DID存管中心的解密提供方根据客户端附带的授权数据字段field生成相应的公私钥并保存，DID存管中心将field对应的公钥返回客户端。

优选地，客户端利用数据密钥生成算法，生成field对应的数据加密密钥以及密钥原像。

优选地，明文数据在客户端使用数据加密密钥加密生成密文数据，并将密文数据通过密文服务商进行存储。

优选地，加密步骤中，使用私钥将DID存管中心解密服务方提供的多个field公钥分别进行加密生成多个重加密密钥。

优选地，所述代理重加密提供方为已经在DID存管中心的密文服务商中注册的代理重加密提供方。

优选地，所述请求步骤包括：

步骤S1：请求方指定需要推送的已授权用户的字段field与限定条件condition、此请求方自身id和此次请求id，请求DID存管中心；

步骤S2：DID存管中心中的协调/聚合服务商保存请求id、查询field与condition的映射关系，并请求密文服务商；

步骤S3：密文服务商取出一系列的密文数据，并根据field找到相应的重加密提供方，重加密提供方获取对应的代理重加密数据，对代理重加密数据进行重加密算法计算得到重加密密文；

步骤S4：密文服务商请求协调/聚合服务商，协调/聚合服务商根据接收到的不同field，分别请求field对应的解密提供方，

步骤S5：解密提供方使用私钥对field对应的重加密密文解密，得到field对应的数据加密密钥，并将接收到的密文服务商的数据密文解密，根据condition进行过滤，获取逻辑值，将其返回协调/聚合服务商；

步骤S6：调/聚合服务商将结果聚合，请求密文服务商；

步骤S7：密文服务商根据步骤S2的映射关系，根据请求id得到对应的请求方id信息，获取到请求方对应的endpoint，附带did结果列表请求请求方接口。

本发明还提供一种数据密文托管系统，包括如下模块：

授权模块：客户端生成did唯一标识符，附带授权数据字段field，向DID存管中心发起授权管理自己的密文数据的请求，DID存管中心接收客户端的授权请求，生成公私钥并保存，并将公钥返回客户端；

存储模块：客户端生成数据加密密钥以及密钥原像，将明文数据在客户端中加密为密文数据，将相应的密文数据上传DID存管中心存储；

加密模块：客户端生成用户公私钥，使用公钥加密密钥原像，生成数据加密密钥密文，使用私钥生成多个重加密密钥，客户端将用户公钥、数据加密密钥密文、重加密密钥上传DID存管中心，由代理重加密提供方托管重加密数据；

请求模块：请求方指定需要推送的已授权用户的限定条件，请求DID存管中心获取用户did标识列表。

本发明还提供一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述的数据密文托管方法。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行上述的数据密文托管方法。

与现有技术相比，本发明具有如下的有益效果：

1、本发明通过采用代理重加密技术，DID存管中心在不直接接触用户的数据加密密钥，从而实现了在复用用户数据的同时保护用户数据隐私。

2、本发明通过采用多方协作的方式，DID存管中心中有多个参与者角色，从而实现了任何参与方都不能单独获取DID存管中心中对应的用户数据明文信息。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为数据密文托管系统原理图。

图2为数据密文托管系统示意图。

图3和图4为数据密文托管方法步骤流程图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

如图1至图4所示，本发明提供了一种数据密文托管方法、系统、计算机设备及存储介质，本方案中DID Bank采用代理重加密技术，参与者角色主要有密文服务商、重加密提供方、协调/聚合服务商和解密提供方等。用户向DID Bank发起授权，授权成功后，用户上传密文数据，DID Bank通过多方协作的方式，实现在复用用户数据的同时保护用户数据隐私安全，任何参与方都不能单独获取DID Bank中用户数据明文信息。

本发明的数据密文托管方法包括如下步骤：

步骤1：客户端生成did唯一标识符，附带授权数据字段field，向DID Bank发起授权请求，授权DID Bank管理自己的密文数据，DID Bank收到授权请求，由解密提供方根据field生成相应的公私钥并保存，DID Bank将field对应的公钥返回客户端。

步骤2：客户端利用数据密钥生成算法，生成field对应的数据加密密钥以及密钥原像并将明文数据在客户端使用加密密钥进行加密，将相应的密文数据上传DID Bank，附带did标识，由密文服务商进行存储。

步骤3：客户端生成用户公私钥，使用公钥将多个field对应的数据加密密钥原像分别进行加密生成数据加密密钥密文，使用私钥将DID Bank解密服务方提供的多个field公钥分别进行加密生成多个重加密密钥，最后客户端将用户公钥、field对应的数据加密密钥密文、field对应的重加密密钥上传DID Bank，由已经在密文服务商中注册的代理重加密提供方托管重加密数据。

步骤4：请求方指定需要推送的已授权用户的限定条件，请求DID Bank,获取用户did标识列表。

具体的，步骤4包括如下步骤：

步骤4.1：请求方指定需要推送的已授权用户的字段field与限定条件condition(如年龄>18)、此请求方自身id和此次请求id，附带如上信息，请求DID Bank。

步骤4.2：DID Bank中的协调/聚合服务商保存请求id、查询field与condition的映射关系，并请求密文服务商。

步骤4.3：密文服务商根据一定策略，取出一系列的密文数据，并根据field找到相应的重加密提供方，重加密提供方获取对应的代理重加密数据，对代理重加密数据进行重加密算法计算得到重加密密文。

步骤4.4：密文服务商请求协调/聚合服务商，协调/聚合服务商根据接收到的不同field，分别请求field对应的解密提供方。

步骤4.5：解密提供方使用私钥对field对应的重加密密文解密，得到field对应的数据加密密钥，并将接收到的密文服务商的数据密文解密，根据condition进行过滤，获取逻辑值，将其返回协调/聚合服务商。

步骤4.6：调/聚合服务商将结果聚合，请求密文服务商。

步骤4.7：密文服务商根据步骤4.2的映射关系，根据请求id得到对应的请求方id信息，获取到请求方对应的endpoint，附带did结果列表请求请求方接口。

本发明还提供一种数据密文托管系统，包括：

授权模块：客户端生成did唯一标识符，附带授权数据字段field，向DID Bank发起授权管理自己的密文数据的请求，DID Bank接收客户端的授权请求，生成公私钥并保存，并将公钥返回客户端；

存储模块：客户端利用数据密钥生成算法，生成field对应的数据加密密钥以及密钥原像并将明文数据在客户端使用加密密钥进行加密，将相应的密文数据上传DID Bank，附带did标识，由密文服务商进行存储。

加密模块：客户端生成用户公私钥，使用公钥将多个field对应的数据加密密钥原像分别进行加密生成数据加密密钥密文，使用私钥将DID Bank解密服务方提供的多个field公钥分别进行加密生成多个重加密密钥，最后客户端将用户公钥、field对应的数据加密密钥密文、field对应的重加密密钥上传DID Bank，由已经在密文服务商中注册的代理重加密提供方托管重加密数据。

请求模块：请求方指定需要推送的已授权用户的限定条件，请求DID Bank获取用户did标识列表。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置、模块、单元以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置、模块、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以，本发明提供的系统及其各项装置、模块、单元可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置、模块、单元也可以视为硬件部件内的结构；也可以将用于实现各种功能的装置、模块、单元视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。