本發(fā)明涉及一種分布式跨域數(shù)據(jù)加密方法，同時也涉及相應(yīng)的分布式跨域數(shù)據(jù)解密方法及用于實施上述方法的分布式密碼計算系統(tǒng)，屬于保密通信。

背景技術(shù)：

1、在保密通信的應(yīng)用場景中，數(shù)據(jù)的傳輸安全性是通過加密和解密流程來保障的。具體來說，數(shù)據(jù)首先在發(fā)送方使用加密密鑰和加密算法進行加密。加密后的數(shù)據(jù)，也就是密文，隨后通過傳輸通道發(fā)送，在接收方利用解密密鑰和解密算法進行解密，以恢復(fù)原始的明文數(shù)據(jù)。這一過程確保了數(shù)據(jù)在傳輸過程中的保密性。

2、在上述數(shù)據(jù)傳輸過程中，主要有兩種常用的加密方案：預(yù)共享主密鑰方案和數(shù)字信封方案。

3、預(yù)共享主密鑰方案的運作方式如下：信息發(fā)送方使用一個預(yù)先與接收方共享的主密鑰，結(jié)合密鑰派生函數(shù)（kdf）和明文數(shù)據(jù)的數(shù)據(jù)標簽（id），來生成一個用于加密的對稱密鑰（k）。然后，發(fā)送方利用這個對稱密鑰和對稱加密算法對明文信息進行加密，生成密文（c）。在傳輸過程中，發(fā)送方將明文數(shù)據(jù)的數(shù)據(jù)標簽（id）和密文（c）一起發(fā)送給接收方。接收方在收到這些信息后，利用同樣的主密鑰、密鑰派生函數(shù)（kdf）和數(shù)據(jù)標簽（id）來還原出對稱密鑰（k），并使用這個密鑰解密密文，從而獲得原始的明文數(shù)據(jù)。然而，預(yù)共享主密鑰方案存在一些缺點。首先，隨著系統(tǒng)服務(wù)范圍的擴大，需要共享的主密鑰數(shù)量增加，這增加了主密鑰被泄露的風險。其次，由于所有接收方都持有相同的主密鑰，無法限制只有特定的接收方才能解密數(shù)據(jù)，這降低了數(shù)據(jù)的機密性保障能力。

4、數(shù)字信封方案的運作方式則依賴于公鑰基礎(chǔ)設(shè)施（pki）系統(tǒng)。在這種方案中，發(fā)送方需要預(yù)先獲取接收方的公鑰證書。發(fā)送方利用接收方的公鑰對對稱密鑰進行加密，形成數(shù)字信封，然后將數(shù)字信封和密文一起發(fā)送給接收方。接收方使用自己的私鑰解密數(shù)字信封，獲取對稱密鑰，再利用對稱密鑰解密密文，恢復(fù)明文數(shù)據(jù)。數(shù)字信封方案的主要缺點在于它對公鑰基礎(chǔ)設(shè)施（pki）系統(tǒng)的依賴。這意味著需要預(yù)先建設(shè)或租用pki服務(wù)來完成證書的簽發(fā)。此外，發(fā)送方還需要預(yù)先獲取并存儲接收方的證書，或者依賴于外部的證書查詢系統(tǒng)，這些都增加了系統(tǒng)的復(fù)雜性和運營成本。

技術(shù)實現(xiàn)思路

1、本發(fā)明所要解決的首要技術(shù)問題在于提供一種分布式跨域數(shù)據(jù)加密方法。

2、本發(fā)明所要解決的另一技術(shù)問題在于提供一種分布式跨域數(shù)據(jù)解密方法。

3、本發(fā)明所要解決的又一技術(shù)問題在于提供一種實施上述方法的分布式密碼計算系統(tǒng)。

4、為實現(xiàn)上述技術(shù)目的，本發(fā)明采用以下的技術(shù)方案：

5、根據(jù)本發(fā)明實施例的第一方面，提供一種分布式跨域數(shù)據(jù)加密方法，包括如下步驟：

6、s11：第一密鑰計算節(jié)點計算橢圓曲線上的第一個點，并向第二密鑰計算節(jié)點發(fā)送參數(shù)；

7、s12：第二密鑰計算節(jié)點計算橢圓曲線上的第二個點，并向第一密鑰計算節(jié)點發(fā)送參數(shù)；

8、s13：第一密鑰計算節(jié)點計算橢圓曲線上的第三個點；

9、s14：第一密鑰計算節(jié)點計算第一對稱加密密鑰；

10、所述計算公式為：

11、=

12、其中，為橢圓曲線上的第三個點的縱坐標值，并且為大整數(shù)；

13、s15：第一密鑰計算節(jié)點加密明文數(shù)據(jù)，生成密文數(shù)據(jù)。

14、其中較優(yōu)地，所述第一密鑰計算節(jié)點計算橢圓曲線上的第一個點，包括如下子步驟：

15、s111：將數(shù)據(jù)標識映射為橢圓曲線上的點；

16、所述映射公式為：

17、=

18、其中，g為所選素數(shù)階的橢圓曲線循環(huán)群的生成元，為g的倍點；

19、s112：第一密鑰計算節(jié)點生成第一隨機大整數(shù)；

20、s113：第一密鑰計算節(jié)點計算橢圓曲線上的第一個點；

21、所述計算公式為：

22、=

23、其中，為系統(tǒng)初始化時，第一密鑰計算節(jié)點的根密鑰，并且；為第一密鑰計算節(jié)點生成的第一隨機大整數(shù)，并且

24、s114：第一密鑰計算節(jié)點向第二密鑰計算節(jié)點發(fā)送｛，｝。

25、其中較優(yōu)地，所述第二密鑰計算節(jié)點計算橢圓曲線上的第二個點，包括如下子步驟：

26、s121：第二密鑰計算節(jié)點根據(jù)｛，｝計算橢圓曲線上的第二個點；

27、所述計算公式為：

28、=

29、其中，為系統(tǒng)初始化時，第二密鑰計算節(jié)點的根密鑰；

30、s122：第二密鑰計算節(jié)點向第一密鑰計算節(jié)點發(fā)送｛，｝。

31、其中較優(yōu)地，所述第一密鑰計算節(jié)點計算橢圓曲線上的第三個點，包括如下子步驟：

32、s131：第一密鑰計算節(jié)點計算第一隨機大整數(shù)在正整素數(shù)集合上的乘法逆元；

33、s132：第一密鑰計算節(jié)點根據(jù)｛，｝計算橢圓曲線上的第三個點；

34、所述計算公式為：

35、=。

36、根據(jù)本發(fā)明實施例的第二方面，提供一種分布式跨域數(shù)據(jù)解密方法，包括如下步驟：

37、s21：第二密鑰計算節(jié)點計算橢圓曲線上的第四個點，并向第一密鑰計算節(jié)點發(fā)送參數(shù)；

38、s22：第一密鑰計算節(jié)點計算橢圓曲線上的第五個點，并向第二密鑰計算節(jié)點發(fā)送參數(shù)；

39、s23：第二密鑰計算節(jié)點計算橢圓曲線上的第六個點；

40、s24：第二密鑰計算節(jié)點計算第二對稱加密密鑰；所述計算公式為：

41、=

42、其中，為橢圓曲線上的第六個點的縱坐標值，并且為大整數(shù)；

43、s25：第二密鑰計算節(jié)點解密密文數(shù)據(jù)，得到明文數(shù)據(jù)。

44、其中較優(yōu)地，第二密鑰計算節(jié)點計算橢圓曲線上的第四個點，包括如下子步驟：

45、s211：將數(shù)據(jù)標識映射為橢圓曲線上的點；

46、所述映射公式為：

47、=

48、其中，g為所選素數(shù)階的橢圓曲線循環(huán)群的生成元，為g的倍點；

49、s212：第二密鑰計算節(jié)點生成第二隨機大整數(shù)；

50、s213：第二密鑰計算節(jié)點計算橢圓曲線上的第四個點；

51、所述計算公式為：

52、=

53、其中，為系統(tǒng)初始化時，第二密鑰計算節(jié)點的根密鑰；為第二隨機大整數(shù)，并且；

54、s214：第二密鑰計算節(jié)點向第一密鑰計算節(jié)點發(fā)送｛，｝。

55、其中較優(yōu)地，所述第一密鑰計算節(jié)點計算橢圓曲線上的第五個點，包括如下子步驟：

56、s221：第一密鑰計算節(jié)點根據(jù)｛，｝，計算橢圓曲線上的第五個點；所述計算公式為：

57、=

58、s222：第一密鑰計算節(jié)點向第二密鑰計算節(jié)點，發(fā)送｛，｝。

59、其中較優(yōu)地，所述第二密鑰計算節(jié)點計算橢圓曲線上的第六個點，包括如下子步驟：

60、s231：第二密鑰計算節(jié)點計算第二隨機大整數(shù)在正整素數(shù)集合上的乘法逆元；

61、s232：第二密鑰計算節(jié)點根據(jù)｛，｝計算橢圓曲線上的第六個點；所述計算公式為：

62、=。

63、根據(jù)本發(fā)明實施例的第三方面，提供一種分布式密碼計算系統(tǒng)，包括多個服務(wù)域和多個密鑰計算節(jié)點，每個密鑰計算節(jié)點對應(yīng)一個服務(wù)域；其中，

64、加密方將待加密的數(shù)據(jù)根據(jù)上述中任意一項所述的分布式跨域數(shù)據(jù)加密方法，通過加密方所在服務(wù)域的密鑰計算節(jié)點進行數(shù)據(jù)加密；

65、數(shù)據(jù)加密完成后，加密方將加密后的數(shù)據(jù)發(fā)送至解密方；

66、解密方接收到加密后的數(shù)據(jù)后，根據(jù)上述中任意一項所述的分布式跨域數(shù)據(jù)解密方法，通過解密方所在服務(wù)域的密鑰計算節(jié)點進行數(shù)據(jù)解密，得到明文數(shù)據(jù)。

67、與現(xiàn)有技術(shù)相比較，本發(fā)明首先解決了跨服務(wù)域之間的數(shù)據(jù)機密性問題，通過分布式密碼計算架構(gòu)，不同服務(wù)域之間無需預(yù)共享主密鑰，從而徹底消除了隨著系統(tǒng)服務(wù)范圍增大，主密鑰暴露風險也隨之增大的問題。其次，本發(fā)明增強了數(shù)據(jù)的機密性保障能力，數(shù)據(jù)發(fā)送方可以限定只有位于特定服務(wù)域內(nèi)的數(shù)據(jù)接收方能夠解密數(shù)據(jù)，確保了數(shù)據(jù)的安全性。此外，本發(fā)明不需要依賴公鑰基礎(chǔ)設(shè)施（pki）系統(tǒng)，降低了系統(tǒng)業(yè)務(wù)功能的復(fù)雜性，同時也省去了預(yù)存接收方證書或依賴外部證書查詢系統(tǒng)的需要，進一步降低了存儲功能復(fù)雜性?？偟膩碚f，本發(fā)明通過其創(chuàng)新的技術(shù)方案，提供了一種安全、高效且易于管理的跨域數(shù)據(jù)加密和解密方法，特別適用于多種需要高安全性的數(shù)據(jù)傳輸場景。