一种密文数据篡改的判断方法、装置及存储介质与流程

本说明书涉及计算机领域，尤其涉及一种密文数据篡改的判断方法、装置及存储介质。

背景技术：

1、在如今数据量级日益增多的场景下，企业可将企业自身的数据存储在云服务提供商侧，从而降低企业自身存储数据的成本。为了防止企业自身的私有数据被泄露，企业一般使用密态计算技术对数据进行加密，并在可信执行环境中进行数据传输，以确保数据在企业侧和云服务商侧传输、存储、计算的安全性。

2、由于在执行业务时，通常涉及比较运算，即比较数据的大小，因此，企业可使用密态计算技术中的保序加密算法对企业自身的数据进行加密，这是由于保序加密算法在加密过程中保持了数据的相对顺序。

3、但保序加密算法不能提供明文数据的完整性保护，即企业无法判断对密文数据解密后，得到的数据是否为原来的明文数据，容易对企业自身造成损失。例如，现有一明文数据{1,2,3,4}，加密后的密文数据为{c1,c2,c3,c4}，其中c1<c2<c3<c4。攻击者将密文数据c3篡改成了c3’，c3’仍小于c4，且大于c2，解密之后的明文数据为{1,2,3.2,4}，这个相对顺序仍旧是合理的，但显然不是原来的明文数据，而企业无法辨识出密文数据被篡改。那么，在金融场景下，若密文数据被篡改而不能发现，则可能导致金融机构对账错误，产生直接经济损失。

4、因此，如何判断密文数据是否被篡改是一个亟待解决的问题，基于此，本说明书提供一种密文数据篡改的判断方法。

技术实现思路

1、本说明书提供一种密文数据篡改的判断方法、装置、存储介质及电子设备，以至少部分的解决现有技术存在的上述问题。

2、本说明书采用下述技术方案：

3、本说明书提供一种密文数据篡改的判断方法，包括：

4、将待存储明文数据存储至云服务提供商时，对所述待存储明文数据进行加密，得到所述待存储明文数据的密文数据；根据预设算法，确定所述待存储明文数据的消息认证码；

5、将所述密文数据及所述消息认证码发送至所述云服务提供商存储；

6、当通过存储至所述云服务提供商中的密文数据执行业务时，接收所述云服务提供商发送的加密数据，所述加密数据包括密文数据及消息认证码；

7、对所述加密数据中的密文数据进行解密，得到解密结果；

8、根据所述预设算法，确定所述解密结果的消息认证码；

9、根据所述解密结果的消息认证码及所述加密数据中的消息认证码，判断所述加密数据中的密文数据是否被篡改。

10、可选地，对所述待存储明文数据进行加密，得到所述待存储明文数据的密文数据，具体包括：

11、通过保序加密算法对所述待存储明文数据进行加密，得到所述待存储明文数据的密文数据。

12、可选地，所述预设算法包括基于哈希的消息认证码算法或伽罗瓦哈希算法。

13、可选地，将所述密文数据及所述消息认证码发送至所述云服务提供商存储，具体包括：

14、基于所述待存储明文数据的密文数据及消息认证码，确定所述待存储明文数据的加密数据；

15、将所述待存储明文数据的加密数据发送至所述云服务提供商存储。

16、可选地，基于所述待存储明文数据的密文数据及消息认证码，确定所述待存储明文数据的加密数据，具体包括：

17、根据预设拼接顺序，对所述待存储明文数据的密文数据及消息认证码进行拼接，得到拼接结果；

18、将所述拼接结果确定为所述待存储明文数据的加密数据。

19、可选地，接收所述云服务提供商发送的加密数据，具体包括：

20、向所述云服务提供商发送查询请求，所述查询请求包括对获取的加密数据的查询条件；

21、接收所述云服务提供商基于所述查询条件确定出的加密数据。

22、可选地，根据所述解密结果的消息认证码及所述加密数据中的消息认证码，判断所述加密数据中的密文数据是否被篡改，具体包括：

23、判断所述解密结果的消息认证码与所述加密数据中的消息认证码是否匹配，得到判断结果；

24、若所述判断结果为不匹配，则所述加密数据中的密文数据被篡改；

25、若所述判断结果为匹配，则所述加密数据中的密文数据未被篡改。

26、可选地，当所述密文数据被篡改时，所述方法还包括：

27、停止执行所述业务；并向所述云服务提供商发送数据篡改信息，以使所述云服务提供商发送日志记录；

28、接收所述云服务提供商发送的日志记录；

29、基于所述日志记录，确定安全漏洞并修复。

30、本说明书提供了一种密文数据篡改的判断装置，所述装置包括：

31、加密模块，用于将待存储明文数据存储至云服务提供商时，对所述待存储明文数据进行加密，得到所述待存储明文数据的密文数据；根据预设算法，确定所述待存储明文数据的消息认证码；

32、存储模块，用于将所述密文数据及所述消息认证码发送至所述云服务提供商存储；

33、加密数据获取模块，用于当通过存储至所述云服务提供商中的密文数据执行业务时，接收所述云服务提供商发送的加密数据，所述加密数据包括密文数据及消息认证码；

34、解密模块，用于对所述加密数据中的密文数据进行解密，得到解密结果；

35、消息认证码确定模块，用于根据所述预设算法，确定所述解密结果的消息认证码；

36、判断模块，用于根据所述解密结果的消息认证码及所述加密数据中的消息认证码，判断所述加密数据中的密文数据是否被篡改。

37、可选地，所述加密模块，具体用于通过保序加密算法对所述待存储明文数据进行加密，得到所述待存储明文数据的密文数据。

38、可选地，所述预设算法包括基于哈希的消息认证码算法或伽罗瓦哈希算法。

39、可选地，所述存储模块，具体用于基于所述待存储明文数据的密文数据及消息认证码，确定所述待存储明文数据的加密数据；将所述待存储明文数据的加密数据发送至所述云服务提供商存储。

40、可选地，所述存储模块，具体用于根据预设拼接顺序，对所述待存储明文数据的密文数据及消息认证码进行拼接，得到拼接结果；将所述拼接结果确定为所述待存储明文数据的加密数据。

41、可选地，所述加密数据获取模块，具体用于向所述云服务提供商发送查询请求，所述查询请求包括对获取的加密数据的查询条件；接收所述云服务提供商基于所述查询条件确定出的加密数据。

42、可选地，所述判断模块，具体用于判断所述解密结果的消息认证码与所述加密数据中的消息认证码是否匹配，得到判断结果；若所述判断结果为不匹配，则所述加密数据中的密文数据被篡改；若所述判断结果为匹配，则所述加密数据中的密文数据未被篡改。

43、可选地，当所述密文数据被篡改时，所述装置还包括：

44、修复模块，用于停止执行所述业务；并向所述云服务提供商发送数据篡改信息，以使所述云服务提供商发送日志记录；接收所述云服务提供商发送的日志记录；基于所述日志记录，确定安全漏洞并修复。

45、本说明书提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述密文数据篡改的判断方法。

46、本说明书提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述密文数据篡改的判断方法。

47、本说明书采用的上述至少一个技术方案能够达到以下有益效果：

48、在本说明书提供的密文数据篡改的判断方法中，将待存储明文数据存储至云服务提供商时，对该待存储明文数据进行加密，得到该待存储明文数据的密文数据；根据预设算法，确定该待存储明文数据的消息认证码。将该密文数据及该消息认证码发送至该云服务提供商存储，当通过存储至该云服务提供商中的密文数据执行业务时，接收该云服务提供商发送的加密数据，该加密数据包括密文数据及消息认证码。对该加密数据中的密文数据进行解密，得到解密结果，根据该预设算法，确定该解密结果的消息认证码。根据该解密结果的消息认证码及该加密数据中的消息认证码，判断该加密数据中的密文数据是否被篡改。

49、从上述方法中可以看出，由于确定出的消息认证码与加密密钥相关，而攻击者无法知晓加密密钥，则无法伪造消息认证码。将明文数据对应的密文数据与消息认证码结合，企业方在使用时，可通过密文数据对应的解密结果的消息认证码与加密数据中的消息认证码，判断加密数据中的密文数据是否被篡改。若加密数据中的密文数据被篡改，则密文数据的解密结果对应的消息认证码也会改变。