CN106330869A - 一种基于云应用的数据安全保护系统和方法 - Google Patents
一种基于云应用的数据安全保护系统和方法 Download PDFInfo
- Publication number
- CN106330869A CN106330869A CN201610668283.6A CN201610668283A CN106330869A CN 106330869 A CN106330869 A CN 106330869A CN 201610668283 A CN201610668283 A CN 201610668283A CN 106330869 A CN106330869 A CN 106330869A
- Authority
- CN
- China
- Prior art keywords
- data
- gateway
- cloud
- module
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于计算机信息安全技术领域,公开了一种基于云应用的数据安全保护系统和方法,其中,该数据安全保护系统中包括:用户终端、云安全卫士网关以及云应用平台,用户终端获取写入数据并将其发送至云安全卫士网关,云安全卫士网关接收到写入数据之后对其进行加密并将生成的加密数据发送至云应用平台;用户终端获取数据读取请求并将其发送至云安全卫士网关,云安全卫士网关接收到数据读取请求之后将其转发至云应用平台,云应用平台基于数据读取请求返回加密数据,云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端,有效保证了应用数据(敏感数据)在网络中传输及存储在云端的安全。
Description
技术领域
本发明属于计算机信息安全技术领域,尤其涉及一种数据安全保护系统和方法。
背景技术
目前绝大部分主流云存储服务提供商都不支持对云端数据进行加密保护,在安全事故频发的当前背景下,虽然云存储技术已经比较成熟,但企业和组织等并不敢真正将应用数据部署在云端,显然极大地阻碍了云计算的发展与应用。国内市场有厂商推出针对企业内网的解决方案,但一般部署复杂,兼容性差,加解密速度慢,同时也并没有实现第三方云应用数据安全的保护,因此,并没有得到广泛的认可。
发明内容
针对上述问题,本发明旨在提供一种基于云应用的数据安全保护系统和方法,解决了现有云应用数据所面临的安全和速度问题。
本发明提供的技术方案如下:
一种基于云应用的数据安全保护系统,包括:用户终端、云安全卫士网关以及云应用平台,其中,所述用户终端与所述云安全卫士网关通信连接,所述云安全卫士网关与所述云应用平台通信连接;
所述用户终端获取写入数据并将其发送至所述云安全卫士网关,所述云安全卫士网关接收到所述写入数据之后对其进行加密并将生成的加密数据发送至所述云应用平台;
所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关,所述云安全卫士网关接收到所述数据读取请求之后将其转发至云应用平台,所述云应用平台基于所述数据读取请求返回加密数据,所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。
进一步优选地,所述云安全卫士网关中包括:第一通信模块、加解密模块以及密钥管理模块,其中,
所述第一通信模块,用于实现所述云安全卫士网关与用户终端及所述云应用平台与所述云应用平台之间的通信;所述密钥管理模块用于管理所述加解密模块中加解密所需的密钥;
所述加解密模块,与所述密钥管理模块和第一通信模块连接,所述加解密模块使用所述密钥管理模块中存储的密钥,对所述第一通信模块从应用终端中获取的写入数据进行加密生成加密数据、及对所述第一通信模块从云应用平台中获取的加密数据进行解密生成明文数据;所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。
进一步优选地,所述云安全卫士网关中还包括:智能协议监听模块、智能协议解析模块、智能协议组包模块以及系统配置模块,其中,
所述智能协议监听模块,与所述第一通信模块连接,所述智能协议监听模块用于监听所述第一通信模块从所述用户终端中接收的写入数据及从云应用平台中接收的加密数据中是否包含超文本传输协议(HTTP,Hyper Text Transfer Protocol)数据包;
所述智能协议解析模块,分别与所述智能协议监听模块和系统配置模块连接,所述智能协议解析模块根据所述系统配置模块中的预设规则对所述智能协议监听模块过滤出的超文本传输协议数据包进行解析,获取其中的应用数据;
所述加解密模块,分别与所述智能协议解析模块和密钥管理模块连接,所述加解密模块使用所述密钥管理模块中存储的密钥,对所述智能协议解析模块中获取的应用数据进行加密或解密;
所述智能协议组包模块,与所述加解密模块和第一通信模块连接,所述智能协议组包模块用于:对所述加解密模块对加密后的应用数据和所述写入数据中的非超文本传输协议数据进行重组生成加密数据;对所述加解密模块解密后的应用数据和所述加密数据中的非超文本传输协议数据进行重组生成明文数据;
所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。
进一步优选地,所述云安全卫士网关中包括一身份认证模块,用于完成所述用户终端和所述云安全卫士网关之间的双向身份认证。
进一步优选地,云应用平台中包括第二通信模块、存储模块以及查找模块,其中,
所述第二通信模块,用于实现所述云应用平台与所述云安全卫士网关之间的通信;
所述存储模块,与所述第二通信模块连接,所述存储模块用于存储所述第二通信模块从云安全卫士网关接收的加密数据;
所述查找模块,分别与所述第二通信模块和存储模块连接,基于所述用户终端发送的数据读取请求在所述存储模块中查找与之匹配的加密数据,并通过第二通信模块将查找到的加密数据发送至所述云安全卫士网关。
本发明还提供了一种基于云应用的数据安全保护方法,所述数据安全保护方法应用于上述数据安全保护系统,所述数据安全保护方法包括以下步骤:
S1用户终端获取写入数据并将其发送至所述云安全卫士网关;
S2所述云安全卫士网关对接收到的写入数据进行加密并将生成的加密数据发送至所述云应用平台;
S3所述云应用平台接收所述加密数据进行存储;
S4所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关;
S5所述云安全卫士网关将接收到的数据读取请求转发至云应用平台;
S6所述云应用平台基于所述数据读取请求返回加密数据至所述云安全卫士网关;
S7所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。
进一步优选地,在步骤S2中具体包括:
S21所述云安全卫士网关监听所述写入数据中是否包含超文本传输协议数据包;
S22若包含,则所述云安全卫士网关从所述写入数据中过滤出相应超文本传输协议数据包;
S23所述云安全卫士网关根据预设规则对所述超文本传输协议数据包进行解析,获取其中的应用数据;
S24所述云安全卫士网关对获取的应用数据进行加密;
S25所述云安全卫士网关对加密后的应用数据和所述写入数据中的非超文本传输协议数据进行重组生成加密数据;
S26所述云安全卫士网关将生成的加密数据发送至云应用平台。
进一步优选地,在步骤S6中具体包括:
S61所述云应用平台接收所述数据读取请求;
S62所述云应用平台基于数据读取请求查找到与之匹配的加密数据;
S63所述云应用平台将查找到的加密数据发送至所述云安全卫士网关。
进一步优选地,在步骤S7中具体包括:
S71所述云安全卫士网关监听所述加密数据中是否包含超文本传输协议数据包;
S72若包含,则所述云安全卫士网关从所述加密数据中过滤出相应超文本传输协议数据包;
S73所述云安全卫士网关根据预设规则对所述超文本传输协议数据包进行解析,获取其中加密的应用数据;
S74所述云安全卫士网关对获取加密的应用数据进行解密;
S75所述云安全卫士网关对解密后的应用数据和所述加密数据中的非超文本传输协议数据进行重组生成明文数据;
S76所述云安全卫士网关将生成的解密数据发送至用户终端。
进一步优选地,在步骤S1之前还包括:
S01所述云安全卫士网关接收所述用户终端发送的身份认证请求;
S02所述云安全卫士网关基于所述身份认证请求实现对所述用户终端的身份认证;
S03所述云安全卫士网关反馈身份认证成功消息至用户终端;
S04所述用户终端基于所述身份认证成功消息实现对所述云安全卫士网关的身份认证。
本发明提供的基于云应用的数据安全保护系统和方法,其有益效果在于:
在本发明中,通过云安全卫士网关对写入数据中包含的超文本传输协议数据包进行解析,进而对其中包含的应用数据(敏感数据)进行加密,并对加密后的应用数据和写入数据中的非超文本传输协议数据进行重组,保证数据能正常传输到云应用平台并存储。相对应地,当需要读取云应用平台中存储的加密数据,首先云应用平台将相应加密数据反馈回云安全卫士网关,之后云安全卫士网关将加密数据进行解密并重组成明文数据发送至用户终端。在这一过程中,有效保证了应用数据(敏感数据)在网络中传输及存储在云端的安全。另外,在本发明中,采用高速硬件加密卡对应用数据进行加解密,保证了加解密的速度,使加解密操作不会成为影响网络传输效率的瓶颈。
附图说明
图1为本发明中基于云应用的数据安全保护系统结构示意图;
图2为本发明中云安全卫士网关第一种实施方式结构示意图;
图3为本发明中云安全卫士网关第二种实施方式结构示意图;
图4为本发明中云安全卫士网关第三种实施方式结构示意图;
图5为本发明中基于云应用的数据安全保护方法流程示意图。
附图标记:
100-数据安全保护系统,110-用户终端,120-云安全卫士网关,130-云应用平台,121-第一通信模块,122-加解密模块,123-密钥管理模块,124-智能协议监听模块,125-智能协议解析模块,126-智能协议组包模块,127-系统配置模块,128-身份认证模块。
具体实施方式
下面结合附图和具体实施方式,对本发明作进一步详细说明。需要说明的是,下面描述的本发明的特定细节仅为说明本发明用,并不构成对本发明的限制。根据所描述的本发明的教导作出的任何修改和变型也在本发明的范围内。
如图1所示为本发明提供的基于云应用的数据安全保护系统100结构示意图,从图中可以看出,在该数据安全保护系统100中包括:用户终端110、云安全卫士网关120以及云应用平台130,其中,用户终端110与云安全卫士网关120通信连接,云安全卫士网关120与云应用平台130通信连接。该数据安全保护系统在工作过程中,主要分为两大块,分别为:写入过程中对写入数据的加密过程和读取过程中对加密数据的解密过程。具体,在加密过程中,用户终端110获取用户输入的写入数据并将其发送至云安全卫士网关120,则云安全卫士网关120接收到写入数据之后随即对其进行加密并将生成的加密数据发送至云应用平台130。在解密过程中,用户终端110获取用户输入的数据读取请求并将其发送至云安全卫士网关120,云安全卫士网关120接收到数据读取请求之后将其转发至云应用平台130,云应用平台130基于数据读取请求返回相应的加密数据,之后云安全卫士网关对接收到的加密数据进行解密并将生成的明文数据发送至用户终端110。在具体实施例中,上述用户终端110可以为个人电脑、平板电脑、智能手机等,且写入数据的用户终端和请求数据读取的用户终端可以为同一用户终端,也可以为不同的用户终端。
在本实施方式中,如图2所示,云安全卫士网关120中包括:第一通信模块121、加解密模块122以及密钥管理模块123,其中,加解密模块122分别与第一通信模块121和密钥管理模块123连接。第一通信模块121用于实现云安全卫士网关120与用户终端110及云应用平台与云应用平台130之间的通信;密钥管理模块123用于管理加解密模块122中加解密所需的密钥。在加密过程中,加解密模块122使用密钥管理模块123中存储的密钥对第一通信模块121从应用终端中获取的写入数据进行加密生成加密数据,并通过第一通信模块121将加密数据发送至云应用平台130。在解密过程中,加解密模块122对第一通信模块121从云应用平台130中获取的加密数据进行解密生成明文数据,并通过第一通信模块121将解密得到的明文数据发送至用户终端110。在具体实施例中,上述加解密模块122为高速硬件加密卡,以此保证了加解密的速度,这样,在这个过程中加解密操作不会影响网络传输效率。
在本实施方式中,如图3所示,云安全卫士网关120中除了包括上述第一通信模块121、加解密模块122以及密钥管理模块123,还包括:智能协议监听模块124、智能协议解析模块125、智能协议组包模块126以及系统配置模块127,其中,智能协议监听模块124与第一通信模块121连接,智能协议解析模块125分别与智能协议监听模块124和系统配置模块127连接,加解密模块122分别与智能协议解析模块125和密钥管理模块123连接,智能协议组包模块126分别与加解密模块122和第一通信模块121连接。在加密的过程中,第一通信模块从用户终端中获取写入数据之后,智能协议监听模块124随即监听该写入数据中是否包含超文本传输协议数据包;若监听到包括超文本传输协议数据包,则智能协议解析模块125根据系统配置模块127中的预设规则对智能协议监听模块124过滤出的超文本传输协议数据包进行解析,获取其中的应用数据(敏感数据);接着,加解密模块122对该应用数据进行加密;之后,智能协议组包模块126对加密后的应用数据和写入数据中的非超文本传输协议数据进行重组生成加密数据,并通过第一通信模块将加密数据发送至云应用平台中进行存储。相对应地,在解密过程中,第一通信模块从用户终端中获取数据读取请求,并将其转发至云应用平台;云应用平台基于接收到的数据读取请求反馈相应的加密数据至云安全卫士网管120;云安全卫士网管120接收到该加密数据之后,智能协议监听模块随即监听该加密数据中是否包含超文本传输协议数据包,若监听到包括,则智能协议解析模块125根据系统配置模块127中的预设规则对智能协议监听模块124过滤出的超文本传输协议数据包进行解析,同样地,获取其中的应用数据;之后,加解密模块使用密钥管理模块123中存储的密钥、对获取的应用数据进行解密;接着,智能协议组包模块对解密后的应用数据和加密数据中非超文本传输协议数据进行重组生成明文数据并通过第一通信模块将其反馈回用户终端110。
在本实施方式中,如图4所示,云安全卫士网关120中还包括一身份认证模块128,用于完成用户终端110和云安全卫士网关120之间的双向身份认证。具体来说,在身份认证过程中,首先,用户终端110获取用户输入的身份认证请求并将其发送至云安全卫士网关120;云安全卫士网关120接收到该身份认证请求,根据该用户终端在云安全卫士网管中预存的注册信息对其进行身份认证。在完成了身份认证之后,云安全卫士网关120随即反馈身份认证成功消息至用户终端110;用户终端接收到该身份认证成功消息,基于其中包含的标识信息实现对云安全卫士网关120的身份认证,以此完成用户终端和云安全卫士网关之间的双向身份认证,之后用户终端和云安全卫士网关之间即能进行会话,且只有通过了双向身份认证的用户终端才能访问云安全卫士网关,没有通过双向身份认证的用户终端不能访问云安全卫士网关。
在本实施方式中,云应用平台130中包括第二通信模块、存储模块以及查找模块,其中,存储模块与第二通信模块连接,查找模块分别与第二通信模块和存储模块连接。在工作过程中,存储模块用于存储第二通信模块从云安全卫士网关120接收的加密数据;查找模块基于用户终端110发送的数据读取请求在存储模块中查找与之匹配的加密数据,并通过第二通信模块将查找到的加密数据发送至云安全卫士网关120。
以下我们对上述数据安全保护系统的在一个具体实施例中完整的工作流程做出详细描述:
首先,用户终端通过认证程序与云安全卫士网关中的身份认证模块进行双向认证。在双向认证通过之后,用户终端通过浏览器等web方式连接云安全卫士网关并访问到云应用平台中的应用。
云安全卫士网关中的智能协议监听模块截获所有通过其的网络数据包(写入数据),并过滤出其中的超文本传输协议数据包,其他协议数据包(非超文本传输协议数据包)将不做任何处理,直接放行;将超文本传输协议数据包发送至智能协议解析模块进行解析,提取其中的应用数据;并根据系统配置模块设定的预设规则,对提取出的应用数据中的字段进行二次分离;之后通过高速硬件加密卡对其进行加密,得到的加密数据转交给智能协议组包模块对超文本传输数据数据包进行重组,最后发送到云应用平台,完成写操作。
授权后的用户终端经由云安全卫士网关向云应用平台发送数据读取请求;云应用平台返回加密数据给云安全卫士网关,云安全卫士网关通过智能协议监听模块过滤出超文本传输协议数据包;接着,云安全卫士网关的智能协议解析模块对过滤出的超文本传输协议数据包进行解析,获取其中加密的应用数据;之后,对提取的加密应用数据通过高速硬件加密卡解密,将明文数据发送到智能协议组包模块;最后,云安全卫士网关的智能协议组包模块重组明文数据包,返回明文数据给授权后用户终端,完成读操作。
如图5所示位本发明还提供的基于云应用的数据安全保护方法一种实施方式流程示意图,该数据安全保护方法应用于上述数据安全保护系统100,从图中可以看出,该数据安全保护方法包括以下步骤:S1用户终端110获取写入数据并将其发送至云安全卫士网关120;S2云安全卫士网关120对接收到的写入数据进行加密并将生成的加密数据发送至云应用平台130;S3云应用平台130接收加密数据进行存储;S4用户终端110获取数据读取请求并将其发送至云安全卫士网关120;S5云安全卫士网关120将接收到的数据读取请求转发至云应用平台130;S6云应用平台130基于数据读取请求返回加密数据至云安全卫士网关120;S7云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端110。在具体实施例中,上述用户终端110可以为个人电脑、平板电脑、智能手机等,且写入数据的用户终端和请求数据读取的用户终端可以为同一用户终端,也可以为不同的用户终端。
更进一步来说,在步骤S2,对写入数据进行加密的过程中,具体包括:S21云安全卫士网关120监听写入数据中是否包含超文本传输协议数据包;S22若包含,则云安全卫士网关120从写入数据中过滤出相应超文本传输协议数据包;S23云安全卫士网关120根据预设规则对超文本传输协议数据包进行解析,获取其中的应用数据;S24云安全卫士网关120对获取的应用数据进行加密;S25云安全卫士网关120对加密后的应用数据和写入数据中的非超文本传输协议数据进行重组生成加密数据;S26云安全卫士网关120将生成的加密数据发送至云应用平台130。具体在步骤S23中的预设规则包括:根据预设/指定的数据字段(敏感字段)对提取出的应用数据中的字段进行二次分离。
在步骤S6中具体包括:S61云应用平台130接收数据读取请求;S62云应用平台130基于数据读取请求查找到与之匹配的加密数据;S63云应用平台130将查找到的加密数据发送至云安全卫士网关120。
在步骤S7中具体包括:S71云安全卫士网关120监听加密数据中是否包含超文本传输协议数据包;S72若包含,则云安全卫士网关120从加密数据中过滤出相应超文本传输协议数据包;S73云安全卫士网关120根据预设规则对超文本传输协议数据包进行解析,获取其中加密的应用数据;S74云安全卫士网关120对获取加密的应用数据进行解密;S75云安全卫士网关120对解密后的应用数据和加密数据中的非超文本传输协议数据进行重组生成明文数据;S76云安全卫士网关120将生成的解密数据发送至用户终端110。具体在步骤S73中的预设规则包括:根据预设/指定的数据字段(敏感字段)对提取出的应用数据中的字段进行二次分离。
在步骤S1之前还包括:S01云安全卫士网关120接收用户终端110发送的身份认证请求;S02云安全卫士网关120基于身份认证请求实现对用户终端110的身份认证;S03云安全卫士网关120反馈身份认证成功消息至用户终端110;S04用户终端110基于身份认证成功消息实现对云安全卫士网关120的身份认证,以此完成用户终端和云安全卫士网关之间的双向身份认证,之后用户终端和云安全卫士网关之间即能进行会话,且只有通过了双向身份认证的用户终端才能访问云安全卫士网关,没有通过双向身份认证的用户终端不能访问云安全卫士网关。
以下以云应用平台为云端邮件,用户通过个人电脑中的客户端发起身份认证请求至云安全卫士网关,双向身份认证获得授权之访问云端邮件应用,编辑邮件内容并发送这一过程做出详细描述:
在上述过程中,云安全卫士网关中的智能协议监听模块拦截邮件数据包中的超文本传输协议数据包,并交由智能协议解析模块;智能协议解析模块读取系统配置模块中的预设规则,提取该超文本传输协议数据包中的数据字段并分离邮件主题跟正文字段,并通过加解密模块对邮件主题及正文字段分别加密;之后,通过智能协议组包模块重组超文本传输协议数据包并通过第一通信模块发送到云端邮件应用,至此,发送的邮件主题跟正文处于加密保护状态。
以上通过分别描述每个过程的实施场景案例,详细描述了本发明,本领域的技术人员应能理解。在不脱离本发明实质的范围内,可以作修改和变形,比如部分模块的剥离使用和将系统嵌入于其他应用系统中。
Claims (10)
1.一种基于云应用的数据安全保护系统,其特征在于,所述数据安全保护系统中包括:用户终端、云安全卫士网关以及云应用平台,其中,所述用户终端与所述云安全卫士网关通信连接,所述云安全卫士网关与所述云应用平台通信连接;
所述用户终端获取写入数据并将其发送至所述云安全卫士网关,所述云安全卫士网关接收到所述写入数据之后对其进行加密并将生成的加密数据发送至所述云应用平台;
所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关,所述云安全卫士网关接收到所述数据读取请求之后将其转发至云应用平台,所述云应用平台基于所述数据读取请求返回加密数据,所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。
2.如权利要求1所述的数据安全保护系统,其特征在于,所述云安全卫士网关中包括:第一通信模块、加解密模块以及密钥管理模块,其中,
所述第一通信模块,用于实现所述云安全卫士网关与用户终端及所述云应用平台与所述云应用平台之间的通信;所述密钥管理模块用于管理所述加解密模块中加解密所需的密钥;
所述加解密模块,分别与所述密钥管理模块和第一通信模块连接,所述加解密模块使用所述密钥管理模块中存储的密钥,对所述第一通信模块从应用终端中获取的写入数据进行加密生成加密数据、及对所述第一通信模块从云应用平台中获取的加密数据进行解密生成明文数据;所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。
3.如权利要求2所述的数据安全保护系统,其特征在于,所述云安全卫士网关中还包括:智能协议监听模块、智能协议解析模块、智能协议组包模块以及系统配置模块,其中,
所述智能协议监听模块,与所述第一通信模块连接,所述智能协议监听模块用于监听所述第一通信模块从所述用户终端中接收的写入数据及从云应用平台中接收的加密数据中是否包含超文本传输协议数据包;
所述智能协议解析模块,分别与所述智能协议监听模块和系统配置模块连接,所述智能协议解析模块根据所述系统配置模块中的预设规则对所述智能协议监听模块过滤出的超文本传输协议数据包进行解析,获取其中的应用数据;
所述加解密模块,分别与所述智能协议解析模块和密钥管理模块连接,所述加解密模块使用所述密钥管理模块中存储的密钥,对所述智能协议解析模块中获取的应用数据进行加密或解密;
所述智能协议组包模块,与所述加解密模块和第一通信模块连接,所述智能协议组包模块用于:对所述加解密模块对加密后的应用数据和所述写入数据中的非超文本传输协议数据进行重组生成加密数据;对所述加解密模块解密后的应用数据和所述加密数据中的非超文本传输协议数据进行重组生成明文数据;
所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。
4.如权利要求1-3任意一项所述的数据安全保护系统,其特征在于,所述云安全卫士网关中包括一身份认证模块,用于完成所述用户终端和所述云安全卫士网关之间的双向身份认证。
5.如权利要求4所述的数据安全保护系统,其特征在于,云应用平台中包括第二通信模块、存储模块以及查找模块,其中,
所述第二通信模块,用于实现所述云应用平台与所述云安全卫士网关之间的通信;
所述存储模块,与所述第二通信模块连接,所述存储模块用于存储所述第二通信模块从云安全卫士网关接收的加密数据;
所述查找模块,分别与所述第二通信模块和存储模块连接,基于所述用户终端发送的数据读取请求在所述存储模块中查找与之匹配的加密数据,并通过第二通信模块将查找到的加密数据发送至所述云安全卫士网关。
6.一种基于云应用的数据安全保护方法,其特征在于,所述数据安全保护方法应用于如权利要求1-5任意一项所述的数据安全保护系统,所述数据安全保护方法包括以下步骤:
S1用户终端获取写入数据并将其发送至所述云安全卫士网关;
S2所述云安全卫士网关对接收到的写入数据进行加密并将生成的加密数据发送至所述云应用平台;
S3所述云应用平台接收所述加密数据进行存储;
S4所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关;
S5所述云安全卫士网关将接收到的数据读取请求转发至云应用平台;
S6所述云应用平台基于所述数据读取请求返回加密数据至所述云安全卫士网关;
S7所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。
7.如权利要求6所述的数据安全保护方法,其特征在于,在步骤S2中具体包括:
S21所述云安全卫士网关监听所述写入数据中是否包含超文本传输协议数据包;
S22若包含,则所述云安全卫士网关从所述写入数据中过滤出相应超文本传输协议数据包;
S23所述云安全卫士网关根据预设规则对所述超文本传输协议数据包进行解析,获取其中的应用数据;
S24所述云安全卫士网关对获取的应用数据进行加密;
S25所述云安全卫士网关对加密后的应用数据和所述写入数据中的非超文本传输协议数据进行重组生成加密数据;
S26所述云安全卫士网关将生成的加密数据发送至云应用平台。
8.如权利要求6所述的数据安全保护方法,其特征在于,在步骤S6中具体包括:
S61所述云应用平台接收所述数据读取请求;
S62所述云应用平台基于数据读取请求查找到与之匹配的加密数据;
S63所述云应用平台将查找到的加密数据发送至所述云安全卫士网关。
9.如权利要求6所述的数据安全保护方法,其特征在于,在步骤S7中具体包括:
S71所述云安全卫士网关监听所述加密数据中是否包含超文本传输协议数据包;
S72若包含,则所述云安全卫士网关从所述加密数据中过滤出相应超文本传输协议数据包;
S73所述云安全卫士网关根据预设规则对所述超文本传输协议数据包进行解析,获取其中加密的应用数据;
S74所述云安全卫士网关对获取加密的应用数据进行解密;
S75所述云安全卫士网关对解密后的应用数据和所述加密数据中的非超文本传输协议数据进行重组生成明文数据;
S76所述云安全卫士网关将生成的解密数据发送至用户终端。
10.如权利要求6所述的数据安全保护方法,其特征在于,在步骤S1之前还包括:
S01所述云安全卫士网关接收所述用户终端发送的身份认证请求;
S02所述云安全卫士网关基于所述身份认证请求实现对所述用户终端的身份认证;
S03所述云安全卫士网关反馈身份认证成功消息至用户终端;
S04所述用户终端基于所述身份认证成功消息实现对所述云安全卫士网关的身份认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610668283.6A CN106330869A (zh) | 2016-08-15 | 2016-08-15 | 一种基于云应用的数据安全保护系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610668283.6A CN106330869A (zh) | 2016-08-15 | 2016-08-15 | 一种基于云应用的数据安全保护系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106330869A true CN106330869A (zh) | 2017-01-11 |
Family
ID=57740425
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610668283.6A Pending CN106330869A (zh) | 2016-08-15 | 2016-08-15 | 一种基于云应用的数据安全保护系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106330869A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302328A (zh) * | 2015-05-20 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 敏感用户数据处理系统和方法 |
CN106790697A (zh) * | 2017-02-20 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 安全存储实现方法及装置 |
CN107438071A (zh) * | 2017-07-28 | 2017-12-05 | 北京信安世纪科技有限公司 | 云存储安全网关及访问方法 |
CN108183899A (zh) * | 2017-12-28 | 2018-06-19 | 北京明朝万达科技股份有限公司 | 一种数据安全管理系统和方法 |
CN111835723A (zh) * | 2020-06-09 | 2020-10-27 | 武汉枫丹博晨信息科技有限公司 | 一种基于云平台的业务数据加密传输系统及方法 |
CN112152915A (zh) * | 2019-06-28 | 2020-12-29 | 北京沃东天骏信息技术有限公司 | 消息转发网关系统和消息转发方法 |
CN112351422A (zh) * | 2020-09-11 | 2021-02-09 | 深圳Tcl新技术有限公司 | 加解密数据的方法、装置、设备及计算机存储介质 |
CN112491922A (zh) * | 2020-12-07 | 2021-03-12 | 中国电子信息产业集团有限公司第六研究所 | 集中式网关数据保护方法、网关设备、数据服务器及系统 |
CN112887427A (zh) * | 2021-03-05 | 2021-06-01 | 杭州奕锐电子有限公司 | 一种云平台加密系统及方法 |
CN114553594A (zh) * | 2022-03-24 | 2022-05-27 | 浙江网商银行股份有限公司 | 保护数据安全的方法以及装置 |
CN114697744A (zh) * | 2020-12-28 | 2022-07-01 | 海能达通信股份有限公司 | 一种视频数据处理方法及相关装置 |
WO2024120113A1 (zh) * | 2022-12-09 | 2024-06-13 | 华为云计算技术有限公司 | 云应用访问控制方法、装置及计算机可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219234A (zh) * | 2014-08-28 | 2014-12-17 | 杭州华澜微科技有限公司 | 一种云存储个人数据安全的方法 |
CN105516117A (zh) * | 2015-12-02 | 2016-04-20 | 南方电网科学研究院有限责任公司 | 一种基于云计算的电力数据安全存储方法 |
CN105610845A (zh) * | 2016-01-05 | 2016-05-25 | 深圳云安宝科技有限公司 | 一种基于云服务的数据路由方法、装置及系统 |
-
2016
- 2016-08-15 CN CN201610668283.6A patent/CN106330869A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219234A (zh) * | 2014-08-28 | 2014-12-17 | 杭州华澜微科技有限公司 | 一种云存储个人数据安全的方法 |
CN105516117A (zh) * | 2015-12-02 | 2016-04-20 | 南方电网科学研究院有限责任公司 | 一种基于云计算的电力数据安全存储方法 |
CN105610845A (zh) * | 2016-01-05 | 2016-05-25 | 深圳云安宝科技有限公司 | 一种基于云服务的数据路由方法、装置及系统 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302328A (zh) * | 2015-05-20 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 敏感用户数据处理系统和方法 |
CN106790697A (zh) * | 2017-02-20 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 安全存储实现方法及装置 |
CN107438071A (zh) * | 2017-07-28 | 2017-12-05 | 北京信安世纪科技有限公司 | 云存储安全网关及访问方法 |
CN108183899A (zh) * | 2017-12-28 | 2018-06-19 | 北京明朝万达科技股份有限公司 | 一种数据安全管理系统和方法 |
CN108183899B (zh) * | 2017-12-28 | 2019-02-22 | 北京明朝万达科技股份有限公司 | 一种数据安全管理系统和方法 |
CN112152915A (zh) * | 2019-06-28 | 2020-12-29 | 北京沃东天骏信息技术有限公司 | 消息转发网关系统和消息转发方法 |
CN111835723A (zh) * | 2020-06-09 | 2020-10-27 | 武汉枫丹博晨信息科技有限公司 | 一种基于云平台的业务数据加密传输系统及方法 |
CN112351422B (zh) * | 2020-09-11 | 2024-04-30 | 深圳Tcl新技术有限公司 | 加解密数据的方法、装置、设备及计算机存储介质 |
CN112351422A (zh) * | 2020-09-11 | 2021-02-09 | 深圳Tcl新技术有限公司 | 加解密数据的方法、装置、设备及计算机存储介质 |
CN112491922A (zh) * | 2020-12-07 | 2021-03-12 | 中国电子信息产业集团有限公司第六研究所 | 集中式网关数据保护方法、网关设备、数据服务器及系统 |
CN112491922B (zh) * | 2020-12-07 | 2023-04-18 | 中国电子信息产业集团有限公司第六研究所 | 集中式网关数据保护方法、网关设备、数据服务器及系统 |
CN114697744A (zh) * | 2020-12-28 | 2022-07-01 | 海能达通信股份有限公司 | 一种视频数据处理方法及相关装置 |
CN114697744B (zh) * | 2020-12-28 | 2023-12-19 | 海能达通信股份有限公司 | 一种视频数据处理方法及相关装置 |
CN112887427A (zh) * | 2021-03-05 | 2021-06-01 | 杭州奕锐电子有限公司 | 一种云平台加密系统及方法 |
CN114553594A (zh) * | 2022-03-24 | 2022-05-27 | 浙江网商银行股份有限公司 | 保护数据安全的方法以及装置 |
CN114553594B (zh) * | 2022-03-24 | 2024-05-14 | 浙江网商银行股份有限公司 | 保护数据安全的方法以及装置 |
WO2024120113A1 (zh) * | 2022-12-09 | 2024-06-13 | 华为云计算技术有限公司 | 云应用访问控制方法、装置及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106330869A (zh) | 一种基于云应用的数据安全保护系统和方法 | |
CN103327002B (zh) | 基于属性的云存储访问控制系统 | |
CN106789015B (zh) | 一种智能配电网通信安全系统 | |
CN107453868A (zh) | 一种安全高效的量子密钥服务方法 | |
CN108390851A (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
CN104243439B (zh) | 文件传输处理方法、系统及终端 | |
CN104113528A (zh) | 一种基于前置网关的防止敏感信息泄露的方法和系统 | |
CN101247232A (zh) | 数据交换传输中基于数字签名的加密技术方法 | |
CN102611732A (zh) | 一种基于b/s架构的加密文档外发控制系统及方法 | |
CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
CN102833244A (zh) | 利用指纹信息认证的通信方法 | |
CN103560911A (zh) | 一种金融自助设备主动预防维修维护的方法及系统 | |
CN109743170A (zh) | 一种流媒体登录以及数据传输加密的方法和装置 | |
CN114143068A (zh) | 电力物联网网关设备容器安全防护系统及其方法 | |
CN109525388A (zh) | 一种密钥分离的组合加密方法及系统 | |
CN106452752B (zh) | 修改密码的方法、系统及客户端、服务器和智能设备 | |
CN102932345B (zh) | 一种信息传输方法、装置及系统 | |
CN106603499A (zh) | 一种配电终端的安全通信改造方法及系统 | |
CN107135228B (zh) | 一种基于中心节点的认证系统与认证方法 | |
US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
CN107070653A (zh) | 一种pos交易加密系统、方法、posp前置服务器和pos终端 | |
CN103853340A (zh) | 一种采用国密sm1加密芯片的触摸键盘及其加密方法 | |
CN102882897A (zh) | 一种cookie保护的方法和装置 | |
CN103916359A (zh) | 防止网络中arp中间人攻击的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170111 |