(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110768797A(43)申请公布日2020.02.07(21)申请号201911107384.6(22)申请日2019.11.13(71)申请人西北师范大学地址陕西省西安市安宁区安宁东路967号(72)发明人张玉磊张雪微(74)专利代理机构西安研创天下知识产权代理事务所(普通合伙)61239代理人白志杰(51)Int.Cl.H04L9/08(2006.01)H04L29/06(2006.01)G06F21/62(2013.01)权利要求书2页说明书5页附图1页(54)发明名称一种基于身份格式保留加密的数据脱敏方法(57)摘要本发明提供了一种基于身份格式保留加密的数据脱敏方法，包括以下步骤：S1、系统的建立，确定主密钥空间MKS主密钥K，以及用于存放身份I的身份空间IS；S2、系统密钥生成，S3、字符的切分，S4、算法管理，S5、密钥的派生，S6、IB-FPE数据脱敏，已选择的FPE算法和已生成的工作密钥对数据进行格式保留加密脱敏，S7，数据的整合，数据的整合包括通过加密过程得到密文Y和通过解密过程得到密文X；S8、数据的合法性校验，解决了传统的格式保留加密技术进行数据脱敏操作，容易将系统的主密钥暴露，容易对主系统加密格式造成的伤害，同时传统格式保留加密技术下脱敏效率较低，影响格式保留加密技术的应用范围的问题。CN110768797ACN110768797A权利要求书1/2页1.一种基于身份格式保留加密的数据脱敏方法，其特征在于：包括以下步骤：S1、系统的建立，确定主密钥空间MKS主密钥K，以及用于存放身份I的身份空间IS；S2、系统密钥生成，通过密钥派生函数KDF根据主密钥K以及身份信息I生成系统密钥JI；S3、字符的切分，通过separate方法对明文X进行切分得到k个具有不同特征的分段子字符串X1,X2,…XK；S4、算法管理，根据各分段的数据类型type及格式约束特征feature，选择适当的FPE算法ALM：ALM(Enc,Dec)←AlmSelect(EAS,type,feature)其中Alm包括加密算法Enc和解密算法Dec；S5、密钥的派生，根据数据类型type和长度length格式特征以及已选择的FPE算法Alm的特征，由系统密钥JI分散成工作密钥，key←KeyDiversity(JI,factor,E(·))；其中：factor为数据格式特征和FPE算法特征构成的分散因子，E(·)为分散过程使用的3DES或AES加密算法；S6、IB-FPE数据脱敏，已选择的FPE算法和已生成的工作密钥对数据进行格式保留加密脱敏，IB-FPE分为加密模块和解密模块；S7，数据的整合，数据的整合包括通过加密过程得到密文Y和通过解密过程得到密文X；S8、数据的合法性校验，根据特征数据整体的要求保留的数据格式ω构造合法性验证算法，若密文Y通过合法性验证，证明与其对应的明文X具有相同的特征格式，则此密文为合法密文，否则将重新进行加密操作，重复依次进行S6、S7和S8直至结束。2.根据权利要求1所述的一种基于身份格式保留加密的数据脱敏方法，其特征在于，在S3中，字符的切分是首先将特征不同的字段进行分割，分割方案共有两种：第一种是直接使用明文中包含的特定字符进行分割；第二种是根据子段的字符位置进行分割；运用separate法针对第一种分割方式的切分具体为：输入原始字符串X以及分隔符Sep(separator)，输出分割后的子字符串：separate1(X,Sep)→X1,X2,...,Xi，i＝1,2,3,…,k，其中k表示分割后的子字符串个数，Xi表示分割后的子字符串；运用separate法针对第二种分割方式的切分具体为：需输入原始字符串以及由分割点表示的数组进行切分，separate2(X,SA)→X1,X2,...,Xi，i＝1,2,3,…,k,其中k表示分割后的子字符串个数，Xi表示分割后的子字符串。3.根据权利要求1所述的一种基于身份格式保留加密的数据脱敏方法，其特征在于，在S6中，所述加密模块是利用Alm的加密算法Enc和工作密钥key，对分割后的子明文串X1,X2,...,XK进行加密，生成对应密文Y1,Y2,...,YK，Xi←Deckey(Yi,ω,t)，其中ω为要求保留的数据格式，t为调整因子，且Yi和Xi具有相同的格式ω。4.根据权利要求1所述的一种基于身份格式保留加密的数据脱敏方法，其特征在于，在2CN110768797A权利要求书2/2页S6中，所述解密模块是利用Alm的解密算法Dec和KD生成的工作密钥key，对密文子字符串yi进行解密，生成明文子字符串Xi，Xi←Deckey(Yi,ω,t)，其中ω为要求保留的数据格式，t为