(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210882163.1 (22)申请日 2022.07.26 (71)申请人 上海同态信息科技有限责任公司 地址 201306 上海市浦东 新区中国(上海) 自由贸易试验区临港新片区环湖西二 路888号C楼-10 (72)发明人 林森　盛俊杰　庞皓天　卞洁楠　 魏立斐　 (74)专利代理 机构 上海创开专利代理事务所 (普通合伙) 31374 专利代理师 谢伟峰 (51)Int.Cl. H04L 9/00(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 数据外包加解密模式下的密钥管理及授权 系统以及方法 (57)摘要 本发明提供一种数据外包加解密模式下的 密钥管理及授权系统以及方法。 该系统包括： 加 解密平台； 数据所有方， 与加解密 平台通信连接； 数据提供方， 与加解密 平台和数据所有方分别通 信连接； 以及数据应用方， 与加解密 平台、 数据所 有方以及数据提供方分别通信连接， 加解密 平台 包含客户信息存储部、 密钥存储部、 密钥授权记 录存储部、 身份认证部、 密钥授权确认部、 密钥检 索获取部、 加密部、 平台侧通信部以及解密部， 数 据所有方包含加密请求生成部以及所有侧通信 部， 数据提供方包含提供侧数据存储部、 提供侧 混淆部、 提供侧通信部以及提供侧去混淆部， 数 据应用方包含应用侧数据存储部、 密钥授权请求 生成部、 应用侧通信部、 应用侧混淆部、 应用侧去 混淆部。 权利要求书4页 说明书12页 附图10页 CN 115225251 A 2022.10.21 CN 115225251 A 1.一种数据外包加解密模式下的密钥管理及授权系统， 其特 征在于， 包括： 加解密平台； 至少一个数据所有方， 由数据 所有者所持有， 与所述加解密平台通信连接， 每个所述数 据所有方 具有唯一的所有方识别 信息； 至少一个数据提供方， 与所述加解密平台和所述数据所有方分别通信连接， 每个所述 数据提供 方具有唯一的提供 方识别信息； 以及 至少一个数据应用方， 与所述加解密平台、 所述数据所有方以及所述数据提供方分别 通信连接， 每 个所述数据应用方 具有唯一的应用方识别 信息， 其中， 所述加解密平台包含客户信息存储部、 密钥存储部、 密钥授权记录存储部、 身份 认证部、 密钥授权确认部、 密钥检索获取部、 加密部、 平台侧通信部以及解密部， 所述数据所有方包 含加密请求 生成部以及所有侧通信部， 所述数据提供方包含提供侧数据存储部、 提供侧混淆部、 提供侧通信部以及提供侧去 混淆部， 所述数据应用方包含应用侧数据存储部、 密钥授权请求生成部、 应用侧通信部、 应用侧 混淆部、 应用侧去混淆部， 所述客户信 息存储部存储有已注册成功的至少一个所有方识别信 息、 至少一个提供方 识别信息以及至少一个 应用方识别 信息， 所述密钥存储部存储有由加密密钥和解密密钥构成的同态密钥对及对应的密钥识别 信息和所述所有方识别 信息， 所述密钥授权记录存储部存储有含有被授权的所述提供方识别信息及对应的所述密 钥识别信息的加密密钥授权记录、 以及 含有被授权的所述应用方识别信息及对应的所述密 钥识别信息的解密 密钥授权记录， 所述提供侧数据存 储部存储有由所述数据所有者所拥有的明文数据， 一旦所述加密请求生成部生成含有所述所有方识别信息及对应的所述密钥识别信息 的加密请求， 所述所有侧通信部就将该加密请求发送给 所述数据提供 方， 所述提供侧混淆部对与接收的所述加密请求对应的所述明文数据进行混淆处理得到 第一明文混淆 数据， 所述提供侧通信 部将所述第 一明文混淆数据、 接收的所述密钥识别信 息以及所述提供 方识别信息发送给 所述加解密平台， 所述身份认证部认证接收的所述 提供方识别信息是否在所述 客户信息存 储部中， 一旦所述身份认证部认证接收的所述提供方识别信 息在所述客户信 息存储部中， 所述 密钥授权确认部就进一步确认接 收的所述密钥识别信息和所述提供方识别信息是否对应 存在于所述加密 密钥授权记录中， 一旦所述密钥授权确认部确认接收的所述密钥识别信息和所述提供方识别信息对应 存在于所述加密密钥授权记录中， 所述密钥检索获取部就根据该密钥识别信息对所述密钥 存储部进行检索获取对应的所述加密 密钥， 所述加密部使用获取的所述加密密钥对接收的所述第一明文混淆数据进行同态加密 得到第一密文混淆 数据， 所述平台侧通信部将所述第一密文混淆 数据发送给 所述数据提供 方，权　利　要　求　书 1/4 页 2 CN 115225251 A 2所述提供侧去混淆部基于同态加密可进行明文密文运算的特性对接收的所述第一密 文混淆数据进行去混淆处 理得到密文数据， 所述提供侧通信部将所述密文数据发送给 所述数据应用方， 所述应用侧数据存 储部将接收的所述密文数据进行存 储， 一旦所述密钥授权请求生成部生成含有所述应用方识别信 息的密钥授权请求， 所述应 用侧通信部就将该密钥授权请求发送给 所述数据所有方， 所述所有侧通信部将与所述密钥授权请求对应的所述密钥识别信息发送给所述数据 应用方， 所述应用侧混淆部基于同态加密可进行明文密文运算的特性对接收的所述密文数据 进行混淆处 理得到第二密文混淆 数据， 所述应用侧通信 部将所述第 二密文混淆数据、 接收的所述密钥识别信 息以及所述应用 方识别信息发送给 所述加解密平台， 所述身份认证部认证接收的所述应用方识别 信息是否在所述 客户信息存 储部中， 一旦所述身份认证部认证接收的所述应用方识别信 息在所述客户信 息存储部中， 所述 密钥授权确认部就进一步确认接 收的所述密钥识别信息和所述应用方识别信息是否对应 存在于所述 解密密钥授权记录中， 一旦所述密钥授权确认部确认接收的所述密钥识别信息和所述应用方识别信息对应 存在于所述解密密钥授权记录中， 所述密钥检索获取部就根据该密钥识别信息对所述密钥 存储部进行检索获取对应的所述 解密密钥， 所述解密部使用获取的所述解密密钥对接收的所述第二密文混淆数据进行同态解密 得到第二明文混淆 数据， 所述平台侧通信部将所述第二明文混淆 数据发送给 所述数据应用方， 所述应用侧去混淆部对接收的所述第二明文混淆数据进行去混淆处理得到所述明文 数据。 2.根据权利要求1所述的数据外包加解密模式下的密钥管理及授权系统， 其特 征在于： 其中， 所述加解密平台还 包含密钥生成部， 所述数据所有方还 包含密钥请求 生成部， 一旦所述密钥请求生成部生成含有所述所有方识别信 息的密钥请求， 所述所有侧通信 部就将该密钥请求发送给 所述加解密平台， 所述身份认证部认证接收的所述所有方识别 信息是否在所述 客户信息存 储部中， 一旦所述身份认证部认证接收的所述所有方识别信 息在所述客户信 息存储部中， 所述 密钥生成部就 根据接收的所述密钥请求 生成所述同态密钥对及对应的所述密钥识别 信息， 所述密钥存储部将所述同态密钥对及对应的所述密钥识别信息与接收的所述所有方 识别信息相对应进行存 储。 3.根据权利要求1所述的数据外包加解密模式下的密钥管理及授权系统， 其特 征在于： 其中， 所述加解密平台还 包含密钥授权记录生成部， 所述数据所有方还 包含密钥授权记录请求 生成部， 一旦所述加密请求被生成， 所述密钥授权记录请求生成部就生成含有被授权的所述提 供方识别信息及对应的所述密钥识别信息和所述所有方识别信息的加密密钥授权记录请权　利　要　求　书 2/4 页 3 CN 115225251 A 3