数据加密方法、装置、设备及存储介质与流程

1.本发明涉及密码技术领域，尤其涉及一种数据加密方法、装置、设备及存储介质。


背景技术：

2.随着数据种类以及数量的日益增多，为了避免公司数据、客户数据等敏感数据因为泄露而引发的损失，数据存储加密技术得到了较为普遍的应用，成为保护数据安全性的有效方法。数据存储加密技术通常是指，在将数据写入存储设备之前采用特定技术为数据加密，从而确保存放在存储设备上的数据的安全性，相应的，在读取已存储数据时则采用相应技术为数据解密。
3.目前现有的催收系统，都是给催员配置一台公司的个人手机，催员不得将手机带出公司，催员在客户触达的时候一个普遍的问题是如何确保用户的数据安全性。对大多数公司而言，更多的是要求员工人为的做好数据安全问题。但是不免有些问题员工会铤而走险，搜集客户信息用于不法行为，因此如何通过加密技术增加数据安全性，成了本领域技术人员需要解决的技术问题。


技术实现要素：

4.本发明的主要目的是在保证系统效率和数据加密准确性的前提下，通过系统层面对用户数据数据加密和脱敏处理，能够有效避免数据泄露等技术问题，提高了数据安全性。
5.本发明第一方面提供了数据加密方法，包括：获取待加密的用户原始数据；接收针对所述用户原始数据的加密请求；基于所述加密请求，确定加密密钥和与所述加密密钥对应的密钥标签；获取与所述密钥标签对应的加密规则，基于所述加密规则对所述加密密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串，通过所述字符串得到所述对称加密算法的公钥，并通过所述公钥对所述用户原始数据进行加密处理，得到初始加密数据；对所述初始加密数据进行脱敏处理，得到数据加密结果。
6.可选地，在本发明第一方面的第一种实现方式中，所述基于所述加密请求，确定加密密钥和与所述加密密钥对应的密钥标签包括：基于所述加密请求和预设密钥更换规则，判断是否需要更换预设密钥；若是，则从预设密钥池中获取加密密钥以及与所述加密密钥对应的密钥标签；否则，采用上一次执行加密操作所用的密钥、以及相应的密钥标签。
7.可选地，在本发明第一方面的第二种实现方式中，所述获取与所述密钥标签对应的加密规则，基于所述加密规则对所述加密密钥进行分块，得到多个加密秘钥块包括：从所述密钥的第一位字节开始获取预设位数的字节，得到加密规则；根据所述加密规则中的各字节，确定首块字节数、分块方式和分块参数；基于所述首块字节数、所述分块方式和所述分块参数对所述密钥进行分块，得到多个加密密钥块。
8.可选地，在本发明第一方面的第三种实现方式中，所述调用预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串，通过所述字符串得到所述对称加密算法的
公钥，并通过所述公钥对所述用户原始数据进行加密处理，得到初始加密数据包括：预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串；将所述字符串映射至所述对称加密算法的密钥空间，并通过所述密钥空间获得所述对称加密算法的公钥；通过所述对称加密算法的公钥对所述用户原始数据进行加密处理，得到初始加密数据。
9.可选地，在本发明第一方面的第四种实现方式中，所述对所述初始加密数据进行脱敏处理，得到数据加密结果包括：获取所述初始加密数据中的目标字段和非目标字段；对所述初始加密数据中的目标字段进行脱敏处理，得到第一加密数据；对所述待加密的用户原始数据中所述非目标字段的数据进行差分隐私处理，得到第二加密数据；将所述第一加密数据和所述第二加密数据进行拼接，得到数据加密结果。
10.可选地，在本发明第一方面的第五种实现方式中，所述对所述初始加密数据中的目标字段进行脱敏处理，得到第一加密数据包括：获取所述目标字段中每个字段的脱敏规则；根据所述脱敏规则，对所述初始加密数据中对应字段的数据进行脱敏处理，得到第一加密数据。
11.本发明第二方面提供了一种数据加密装置，包括：获取模块，用于获取待加密的用户原始数据；接收模块，用于接收针对所述用户原始数据的加密请求；确定模块，用于基于所述加密请求，确定加密密钥和与所述加密密钥对应的密钥标签；分块模块，用于获取与所述密钥标签对应的加密规则，基于所述加密规则对所述加密密钥进行分块，得到多个加密秘钥块；加密模块，用于调用预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串，通过所述字符串得到所述对称加密算法的公钥，并通过所述公钥对所述用户原始数据进行加密处理，得到初始加密数据；脱敏模块，用于对所述初始加密数据进行脱敏处理，得到数据加密结果。
12.可选地，在本发明第二方面的第一种实现方式中，所述确定模块具体用于：基于所述加密请求和预设密钥更换规则，判断是否需要更换预设密钥；若是，则从预设密钥池中获取加密密钥以及与所述加密密钥对应的密钥标签；否则，采用上一次执行加密操作所用的密钥、以及相应的密钥标签。
13.可选地，在本发明第二方面的第二种实现方式中，所述分块模块具体用于：从所述密钥的第一位字节开始获取预设位数的字节，得到加密规则；根据所述加密规则中的各字节，确定首块字节数、分块方式和分块参数；基于所述首块字节数、所述分块方式和所述分块参数对所述密钥进行分块，得到多个加密密钥块。
14.可选地，在本发明第二方面的第三种实现方式中，所述加密模块具体用于：预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串；将所述字符串映射至所述对称加密算法的密钥空间，并通过所述密钥空间获得所述对称加密算法的公钥；通过所述对称加密算法的公钥对所述用户原始数据进行加密处理，得到初始加密数据。
15.可选地，在本发明第二方面的第四种实现方式中，所述脱敏模块包括：获取单元，用于获取所述初始加密数据中的目标字段和非目标字段；脱敏单元，用于对所述初始加密数据中的目标字段进行脱敏处理，得到第一加密数据；差分隐私单元，用于对所述待加密的用户原始数据中所述非目标字段的数据进行差分隐私处理，得到第二加密数据；拼接单元，用于将所述第一加密数据和所述第二加密数据进行拼接，得到数据加密结果。
16.可选地，在本发明第二方面的第五种实现方式中，所述脱敏单元具体用于：获取所
述目标字段中每个字段的脱敏规则；根据所述脱敏规则，对所述初始加密数据中对应字段的数据进行脱敏处理，得到第一加密数据。
17.本发明第三方面提供了数据加密设备，包括：存储器和至少一个处理器，所述存储器中存储有指令，所述存储器和所述至少一个处理器通过线路互连；
18.所述至少一个处理器调用所述存储器中的所述指令，以使得所述数据加密设备执行上述的数据加密方法的步骤。
19.本发明的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述的数据加密方法的步骤。
20.本发明提供的技术方案中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
附图说明
21.图1为本发明提供的数据加密方法的第一个实施例示意图；
22.图2为本发明提供的数据加密方法的第二个实施例示意图；
23.图3为本发明提供的数据加密方法的第三个实施例示意图；
24.图4为本发明提供的数据加密方法的第四个实施例示意图；
25.图5为本发明提供的数据加密方法的第五个实施例示意图；
26.图6为本发明提供的数据加密装置的第一个实施例示意图；
27.图7为本发明提供的数据加密装置的第二个实施例示意图；
28.图8为本发明提供的数据加密设备的一个实施例示意图。
具体实施方式
29.本发明实施例提供的数据加密方法、装置、设备及存储介质，先通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
30.本发明的说明书和权利要求书及上述附中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”或“具有”及其任何变形，意图在于覆盖不排
他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
31.为便于理解，下面对本发明实施例的具体流程进行描述，请参阅图1，本发明实施例中数据加密方法的第一个实施例包括：
32.101、获取待加密的用户原始数据；
33.本实施例中，待加密的用户原始数据可以包括字段名称，同时在字段名称下对应有数据，例如，字段名称为“欠款”，“欠款”字段下对应的数据为4000(数值)，“欠款”字段与4000构成待加密的用户原始数据，字段名称可以用于区别不同类别的数据，该待加密的用户原始数据可以是资产包数据，资产包数据中包含个人信息的字段对应的个人数据以及资产信息的字段对应的资产数据；该待加密的用户原始数据可以存储于服务器，终端设备连接服务器，并向服务器发送数据获取指令，服务器接收数据获取指令并将对应的待加密的用户原始数据发送至终端设备，当然，该待加密的用户原始数据还可以存储于终端设备中，在运行数据加密方法时终端设备可以直接调用待加密的用户原始数据。
34.102、接收针对用户原始数据的加密请求；
35.本实施例中，前端主机或者服务器输出的数据，通常会经过拆分、压缩等数据处理后，经由加密解密单元的数据存储加密模块进行加密处理。例如：前端主机或者服务器输出的数据，由执行上述数据处理操作的功能单元进行必要处理后，功能单元可以通过调用预设接口或者发送消息等方式触发数据加密模块对用户原始数据加密，数据加密模块就会相应接收到针对用户原始数据的加密请求，所述请求中至少携带用户原始数据。
36.103、基于加密请求确定密钥和与密钥对应的密钥标签；
37.本实施例中，加密解密单元与密钥管理中心通过各自的量子密钥分发引擎执行量子密钥分发操作生成密钥序列，并存储在各自的密钥池中。对待存储数据加密时，则可以采用加密解密单元密钥池中的密钥进行加密。具体到每一次的数据加密操作，可以选用上一次执行加密操作所使用的密钥、该密钥也是从密钥池中获取的，即，用旧密钥执行本次加密操作，也可以重新从密钥池中获取密钥，即，用更换后的新密钥执行本次加密操作。
38.104、获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；
39.本实施例中，加密规则是加密时所需要遵循的规则，携带在密钥中。分块是指将完整的数据划分为多个数据块，具体到本实施例，即将完整的密钥划分为多个密钥块，多个密钥块能够组成完整的密钥。
40.具体地，服务器获取包括待加密的用户原始数据和密钥的加密请求之后，响应该加密请求。服务器首先从密钥中获取秘钥所携带的加密规则。然后，服务器基于加密规则对密钥进行分块。加密规则可以是以字节的形式存在于密钥中，服务器从加密规则中获取作为加密规则的字节。进而，服务器根据字节所表示的意义确定分块方式和分块参数。服务器根据分块方式和分块参数对密钥进行分块，得到密钥块。例如，当获取的字节表示分块方式为均分时，那么字节表示的分块参数即为均分对应的均分字节数。服务器则可以按照均分字节数对密钥进行均匀分块，所得到的每一块密钥块所包括的字节的数量相同。
41.105、调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字
符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；
42.本实施例中，数据统计维度是隔离不同业务数据时所基于的维度。比如，对于商品数据，可以按照商品的种类设置数据统计维度，也可以按照商品的应用场景设置数据统计维度，或按照商品的产地设置数据统计维度。则种类、应用场景、或产地等都可以作为商品数据对应的数据统计维度。
43.106、对初始加密数据进行脱敏处理，得到数据加密结果。
44.本实施例中，获取初始加密数据中每个字段的脱敏规则；根据每个字段的脱敏规则，对待加密的用户原始数据中对应字段的数据进行脱敏处理，得到脱敏处理后的数据。
45.其中，脱敏处理可以是指对一些敏感数据通过脱敏规则进行数据变形，实现对敏感数据的保护，脱敏规则可以根据实际需求设定，针对不同类型的敏感数据(即字段名称不同的数据)可以采用相同的脱敏规则，也可以采用不同的脱敏规则；另外，脱敏处理后的数据可以是指由目标字段的字段名称及其根据脱敏规则变形后的数据构成的数据。
46.其中，脱敏规则包括但不限于脱敏替换符号、脱敏区域和长度等，当目标字段的数量为至少两个时，需要对所有目标字段的数据进行脱敏处理，不同目标字段对应的脱敏规则可以相同，也可以不同，例如，针对“身份证号”字段的脱敏规则为保留前三位，其余部分用*号代替，针对“手机号”字段的脱敏规则为保留前三位，其余部分用*号代替，针对“银行卡号”字段的脱敏规则为保留前两位，其余部分用*号代替。
47.本发明实施例中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
48.请参阅图2，本发明实施例中数据加密方法的第二个实施例包括：
49.201、获取待加密的用户原始数据；
50.202、接收针对用户原始数据的加密请求；
51.203、基于加密请求和预设密钥更换规则，判断是否需要更换预设密钥；
52.本实施例中，所述预设的密钥更换策略可以是：按照预设的时间间隔更换密钥。例如：预设的时间间隔为5秒，在具体实施时则可以设置定时器的超时时间为5秒，如果发生定时器超时事件，则判定需要更换密钥(并在更换密钥后复位定时器)，否则不需要更换。
53.所述预设的密钥更换策略，也可以是：针对每次接收到的加密请求更换密钥，这也是本实施例提供的优选实施方式。针对每次加密请求中携带的数据都采用更换后的密钥进行加密，即：实现对数据的“一存一密”，从而可以提供更高安全等级的加密服务，即使出现某一密钥泄露的情况，被破解的也只是用这个密钥加密的数据，不会造成其他的数据泄露。
54.上述列举了两种密钥更换策略，在实际实施时，还可以预先设定其他的密钥更换策略，此处不再赘述。
55.204、当需要更换预设密钥时，从预设密钥池中获取加密密钥以及与加密密钥对应
的密钥标签；
56.本实施例中，当需要更换密钥时，可以从加密解密单元的密钥池中获取密钥，考虑到后续通常会有对加密数据的解密需求，因此从密钥池中获取密钥的操作应该与密钥管理中心同步，从而密钥管理中心可以存储相应的密钥信息以便执行解密操作。
57.具体实现可以是：按照预设方式从加密解密单元的密钥池中获取密钥；向密钥管理中心发送密钥更换同步请求、以触发密钥管理中心获取相同的密钥。所述预设方式可以是：从所述密钥池存储的、尚未使用的密钥序列的第一个密钥比特开始，截取预设长度的密钥，并在密钥池中将该密钥标识为已使用。密钥管理中心也采用同样的方式从其密钥池中截取密钥，从而双方获取了相同的密钥。
58.优选地，在按照预设方式从所述密钥池中获取密钥之后，还可以采用预设算法计算所述密钥的散列值，并在向密钥管理中心发送的密钥更换同步请求中包含所述散列值，从而密钥管理中心可以通过比对散列值，验证双方选取的密钥的确是相同的。在具体实施过程中，如果出现不一致的现象，则双方可以通过协商重新选取密钥。
59.205、当不需要更换预设密钥时，采用上一次执行加密操作所用的密钥、以及相应的密钥标签；
60.本实施例中，当密钥不需要更换时，可以继续采用上一次执行加密操作所用的密钥、以及相应的密钥标签。
61.206、获取与密钥标签对应的加密规则，基于加密规则对加密密钥进行分块，得到多个加密秘钥块；
62.207、调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；
63.208、对初始加密数据进行脱敏处理，得到数据加密结果。
64.本实施例中步骤201-202、206-208与第一实施例中的步骤101-102、104-106类似，此处不再赘述。
65.本发明实施例中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
66.请参阅图3，本发明实施例中数据加密方法的第三个实施例包括：
67.301、获取待加密的用户原始数据；
68.302、接收针对用户原始数据的加密请求；
69.303、基于加密请求，确定加密密钥和与加密密钥对应的密钥标签；
70.304、从密钥的第一位字节开始获取预设位数的字节，得到加密规则；
71.本实施例中，加密规则是加密时所需要遵循的规则，携带在密钥中。分块是指将完整的数据划分为多个数据块，具体到本实施例，即将完整的密钥划分为多个密钥块，多个密
钥块能够组成完整的密钥。
72.本实施例中，预设位数是预先设定的，用于表示秘钥中有多少位的字节是作为加密规则的。因此，服务器可以通过获取预设位数的字节得到加密规则。
73.具体地，当服务器获取加密规则时，由于已经预先配置预设位数告知服务器秘钥中有多少位的字节是加密规则。所以，服务器直接从密钥的第一位开始，获取预设位数字节，从而得到加密规则。例如，假设预设位数为9位，则获取秘钥前9位的字节，这9个字节组成加密规则。
74.应当理解的是，本实施例为了便于数据处理，优选将作为加密规则的字节呈连续放置且从秘钥的第一位开始，但是本实施例不限定于此。作为加密规则的字节在秘钥中的位置可以设置在任意位置
75.305、根据加密规则中的各字节，确定首块字节数、分块方式和分块参数；
76.本实施例中，首块字节数是指分块时，第一块秘钥块所包括的字节的数量。分块方式是指分块的方式，包括但不限于均分分块、等差分块和等比分块。分块参数是用于辅助分块的参数，基于不同的分块方式，分块参数所表示的意义不同。例如，当分块方式为均分分块时，分块参数为均分字节数。当分块方式为等差分块时，分块参数为等差。而当分块方式为等比分块时，分块参数为等比。
77.具体地，当服务器从密钥中获取到预设位数的字节，得到加密规则之后，根据加密规则中各字节的预设排序对预设位数的字节进行划分，分别得到表示首块字节数的字节、表示分块方式的字节以及表示分块参数的字节。例如，假设获取到前9位字节组成的加密规则。若预设排序为第1-3位的字节表示首块字节数，第4位的字节表示分块方式，以及第5-8位的字节表示分块参数。服务器则从9位字节中划分出第1-3位、第4位以及第5-8位的字节。然后，服务器根据第1-3位字节所对应的数值确定首块字节数，比如第1-3位的字节对应数值30，则首块秘钥块的字节的数量为30个字节。服务器根据第4位字节确定分块方式，比如第4位的字节是等差分块对应的字节，则分块方式为等差分块。而根据第5-8位的字节确定的数值即为分块参数。
78.另外，当根据加密规则中的字节确定首块字节数和分块参数之后，还可以对首块字节数和分块参数进行预处理以增加加密的复杂度。以首块字节数为例，若第1-3位的字节对应数值30，而首块字节数的预处理为进行平方计算，则取30的平方作为最终的首块字节数。那么，首块秘钥块的字节的数量实际上为900个字节。通过预处理，即使加密规则中各字节所表示的意义被破解，也无法得到准确的加密规则，进一步保证了加密的安全性。
79.306、基于首块字节数、分块方式和分块参数对密钥进行分块，得到多个加密密钥块；
80.本实施例中，分块加密是指利用各个密钥块分别对部分的待加密的用户原始数据进行加密。例如，密钥块1对一部分待加密的用户原始数据进行加密，密钥2对未加密的部分加密数据进行加密。
81.具体地，待加密的用户原始数据是由多个字节组成的数据，而由于本实施例的加密是分别利用秘钥对待加密的用户原始数据中的每个字节进行加密。因此，当利用多个密钥块对待加密的用户原始数据进行分块加密时，可以基于各个密钥块的字节数对待加密的用户原始数据进行分块，得到待加密的用户原始数据块。也就是说，待加密的用户原始数据
块中字节的数量与各个密钥块中字节的数量相等。然后，服务器再利用各个密钥块分别对其对应的待加密的用户原始数据块进行加密，从而得到多个加密数据块。
82.307、调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；
83.308、对初始加密数据进行脱敏处理，得到数据加密结果。
84.本实施例中步骤301-303、307-308与第一实施例中的步骤101-103、105-106类似，此处不再赘述。
85.本发明实施例中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
86.请参阅图4，本发明实施例中数据加密方法的第四个实施例包括：
87.401、获取待加密的用户原始数据；
88.402、接收针对用户原始数据的加密请求；
89.403、基于加密请求，确定加密密钥和与加密密钥对应的密钥标签；
90.404、获取与密钥标签对应的加密规则，基于加密规则对加密密钥进行分块，得到多个加密秘钥块；
91.405、预设对称加密算法分别将加密秘钥块转换为预设格式的字符串；
92.本实施例中，对称加密(也叫私钥加密)指加密和解密使用相同密钥的加密算法。有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来。而在大多数的对称算法中，加密密钥和解密密钥是相同的，所以也称这种加密算法为秘密密钥算法或单密钥算法。它要求发送方和接收方在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密，所以密钥的保密性对通信的安全性至关重要。
93.406、将字符串映射至对称加密算法的密钥空间，并通过密钥空间获得对称加密算法的公钥；
94.本实施例中，在对称加密算法中，数据发信方将明文(原始数据)和加密密钥(mi yao)一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。
95.对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。其中，对称加密算法主要有des算法，3des算法，tdea算法，blowfish算法，rc5算法，idea算法。
96.407、通过对称加密算法的公钥对用户原始数据进行加密处理，得到初始加密数据；
97.本实施例中，将图像数据转换为像素矩阵；由用户输入密钥，根据密钥，通过全同态加密算法对像素矩阵进行加密处理。
98.中根据密钥对像素矩阵进行加密处理的具体方法包括：将用户输入的密钥输入sha256(secure hash algorithm256)算法，将任意长的密钥转换为长度为64字节的十六进制字符串；将字符串映射至全同态加密算法的密钥空间，并通过密钥空间获得全同态加密算法的公私钥对；将公私钥对中的公钥用于图像数据加密，将公私钥对中的私钥用于解密。
99.408、对初始加密数据进行脱敏处理，得到数据加密结果。
100.本实施例中步骤401-404、407与第一实施例中的步骤101-104、106类似，此处不再赘述。
101.在本发明实施例中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
102.请参阅图5，本发明实施例中数据加密方法的第五个实施例包括：
103.501、获取待加密的用户原始数据；
104.502、接收针对用户原始数据的加密请求；
105.503、基于加密请求，确定加密密钥和与加密密钥对应的密钥标签；
106.504、获取与密钥标签对应的加密规则，基于加密规则对加密密钥进行分块，得到多个加密秘钥块；
107.505、调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；
108.506、获取初始加密数据中的目标字段和非目标字段；
109.本实施例中，根据需求预先定义目标字段或者非目标字段。在预先定义目标字段时，预先定义的目标字段包括n个字段名称(即预先定义的目标字段的数量为n)，n为大于零的整数，字段清单中的目标字段可以是指与预先定义的目标字段的字段名称相同的字段，字段清单中的非目标字段可以是指字段清单中除目标字段之外的字段，例如，预先定义的目标字段为客户姓名、性别、身份证号和手机号等，若字段清单为客户姓名、身份证号、手机号、年龄和欠款，则字段清单中的目标字段为客户姓名、身份证号和手机号，字段清单中的非目标字段为年龄和欠款。在预先定义非目标字段时，非目标字段可以是包括m个字段名称(即预先定义的非目标字段的数量为m)，m为大于零的整数，字段清单中的非目标字段可以是指与非目标字段的字段名称相同的字段，字段清单中的目标字段可以是指字段清单中除非目标字段之外的字段。其中，字段名称是否相同可以采用比较字段名称的字符长度和类型的方法来确定，例如，预先定义的非目标字段为年龄和欠款，若字段清单为客户姓名、身份证号、手机号、年龄和欠款，则字段清单中的非目标字段为年龄和欠款，字段清单中的目标字段为客户姓名、身份证号和手机号。
110.507、获取目标字段中每个字段的脱敏规则；
111.本实施例中，获取目标字段中每个字段的脱敏规则；
112.根据每个字段的脱敏规则，对待加密的用户原始数据中对应字段的数据进行脱敏处理，得到脱敏处理后的数据。
113.其中，脱敏处理可以是指对一些敏感数据通过脱敏规则进行数据变形，实现对敏感数据的保护，脱敏规则可以根据实际需求设定，针对不同类型的敏感数据(即字段名称不同的数据)可以采用相同的脱敏规则，也可以采用不同的脱敏规则；另外，脱敏处理后的数据可以是指由目标字段的字段名称及其根据脱敏规则变形后的数据构成的数据。
114.508、根据脱敏规则，对初始加密数据中对应字段的数据进行脱敏处理，得到第一加密数据；
115.本实施例中，脱敏规则包括但不限于脱敏替换符号、脱敏区域和长度等，当目标字段的数量为至少两个时，需要对所有目标字段的数据进行脱敏处理，不同目标字段对应的脱敏规则可以相同，也可以不同，例如，针对“身份证号”字段的脱敏规则为保留前三位，其余部分用*号代替，针对“手机号”字段的脱敏规则为保留前三位，其余部分用*号代替，针对“银行卡号”字段的脱敏规则为保留前两位，其余部分用*号代替。
116.509、对待加密的用户原始数据中非目标字段的数据进行差分隐私处理，得到第二加密数据；
117.本实施例中，差分隐私处理可以是指在保留原始数据的统计学特征的前提下去除个体特征，统计学特征可以是指原始数据的总量和原始数据的数量，个体特征可以是指原始数据中某个体数据的数据值特征等，即在不影响统计结果的情况下在个体的原始数据上增加一定的噪音，使个体的原始数据发生改变。
118.差分隐私的实现机制一般包括拉普拉斯机制和指数机制，本技术对差分隐私的实现机制不做限定。
119.510、将第一加密数据和第二加密数据进行拼接，得到数据加密结果。
120.本实施例中，脱敏处理后的第一加密数据是待加密的用户原始数据的一部分，差分隐私处理后的第二加密数据是待加密的用户原始数据的另一部分，将两部分合并构成完整的待加密的用户原始数据。
121.本实施例中步骤501-505与第一实施例中的步骤101-105类似，此处不再赘述。
122.本发明实施例中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
123.上面对本发明实施例中数据加密方法进行了描述，下面对本发明实施例中数据加密装置进行描述，请参阅图6，本发明实施例中数据加密装置的第一个实施例包括：
124.获取模块601，用于获取待加密的用户原始数据；
125.接收模块602，用于接收针对所述用户原始数据的加密请求；
126.确定模块603，用于基于所述加密请求，确定加密密钥和与所述加密密钥对应的密钥标签；
127.分块模块604，用于获取与所述密钥标签对应的加密规则，基于所述加密规则对所述加密密钥进行分块，得到多个加密秘钥块；
128.加密模块605，用于调用预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串，通过所述字符串得到所述对称加密算法的公钥，并通过所述公钥对所述用户原始数据进行加密处理，得到初始加密数据；
129.脱敏模块606，用于对所述初始加密数据进行脱敏处理，得到数据加密结果。
130.本发明实施例中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
131.请参阅图7，本发明实施例中数据加密装置的第二个实施例，该数据加密装置具体包括：
132.获取模块601，用于获取待加密的用户原始数据；
133.接收模块602，用于接收针对所述用户原始数据的加密请求；
134.确定模块603，用于基于所述加密请求，确定加密密钥和与所述加密密钥对应的密钥标签；
135.分块模块604，用于获取与所述密钥标签对应的加密规则，基于所述加密规则对所述加密密钥进行分块，得到多个加密秘钥块；
136.加密模块605，用于调用预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串，通过所述字符串得到所述对称加密算法的公钥，并通过所述公钥对所述用户原始数据进行加密处理，得到初始加密数据；
137.脱敏模块606，用于对所述初始加密数据进行脱敏处理，得到数据加密结果。
138.在本实施例中，所述确定模块603具体用于：
139.基于所述加密请求和预设密钥更换规则，判断是否需要更换预设密钥；
140.若是，则从预设密钥池中获取加密密钥以及与所述加密密钥对应的密钥标签；
141.否则，采用上一次执行加密操作所用的密钥、以及相应的密钥标签。
142.在本实施例中，所述分块模块604具体用于：
143.从所述密钥的第一位字节开始获取预设位数的字节，得到加密规则；
144.根据所述加密规则中的各字节，确定首块字节数、分块方式和分块参数；
145.基于所述首块字节数、所述分块方式和所述分块参数对所述密钥进行分块，得到多个加密密钥块。
146.在本实施例中，所述加密模块605具体用于：
147.预设对称加密算法分别将所述加密秘钥块转换为预设格式的字符串；
148.将所述字符串映射至所述对称加密算法的密钥空间，并通过所述密钥空间获得所
述对称加密算法的公钥；
149.通过所述对称加密算法的公钥对所述用户原始数据进行加密处理，得到初始加密数据。
150.在本实施例中，所述脱敏模块606包括：
151.获取单元6061，用于获取所述初始加密数据中的目标字段和非目标字段；
152.脱敏单元6062，用于对所述初始加密数据中的目标字段进行脱敏处理，得到第一加密数据；
153.差分隐私单元6063，用于对所述待加密的用户原始数据中所述非目标字段的数据进行差分隐私处理，得到第二加密数据；
154.拼接单元6064，用于将所述第一加密数据和所述第二加密数据进行拼接，得到数据加密结果。
155.在本实施例中，所述脱敏单元6062具体用于：
156.取所述目标字段中每个字段的脱敏规则；
157.根据所述脱敏规则，对所述初始加密数据中对应字段的数据进行脱敏处理，得到第一加密数据。
158.本发明实施例中，通过获取待加密的用户原始数据；接收针对用户原始数据的加密请求；基于加密请求确定密钥和与密钥对应的密钥标签；获取与密钥标签对应的加密规则，基于加密规则对密钥进行分块，得到多个加密秘钥块；调用预设对称加密算法分别将加密秘钥块转换为预设格式的字符串，通过字符串得到对称加密算法的公钥，并通过公钥对用户原始数据进行加密处理，得到初始加密数据；对初始加密数据进行脱敏处理，得到数据加密结果。本发明通过系统层面对用户数据数据加密、脱敏处理。在保证系统效率、可扩展性和数据加密准确性的前提下，提高了数据安全性，能够有效避免数据泄露。
159.上面图6和图7从模块化功能实体的角度对本发明实施例中的数据加密装置进行详细描述，下面从硬件处理的角度对本发明实施例中数据加密设备进行详细描述。
160.图8是本发明实施例提供的数据加密设备的结构示意图，该数据加密设备800可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)810(例如，一个或一个以上处理器)和存储器820，一个或一个以上存储应用程序833或数据832的存储介质830(例如一个或一个以上海量存储设备)。其中，存储器820和存储介质830可以是短暂存储或持久存储。存储在存储介质830的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据加密设备800中的一系列指令操作。更进一步地，处理器810可以设置为与存储介质830通信，在数据加密设备800上执行存储介质830中的一系列指令操作，以实现上述各方法实施例提供的数据加密方法的步骤。
161.数据加密设备800还可以包括一个或一个以上电源840，一个或一个以上有线或无线网络接口850，一个或一个以上输入输出接口860，和/或，一个或一个以上操作系统831，例如windows serve，mac os x，unix，linux，freebsd等等。本领域技术人员可以理解，图8示出的数据加密设备结构并不构成对本技术提供的数据加密设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
162.本发明还提供一种计算机可读存储介质，该计算机可读存储介质可以为非易失性
计算机可读存储介质，该计算机可读存储介质也可以为易失性计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，使得计算机执行上述数据加密方法的步骤。
163.所述领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
164.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(randomaccess memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
165.以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。