CN107547570B - 一种数据安全服务平台和数据安全传输方法 - Google Patents
一种数据安全服务平台和数据安全传输方法 Download PDFInfo
- Publication number
- CN107547570B CN107547570B CN201710924198.6A CN201710924198A CN107547570B CN 107547570 B CN107547570 B CN 107547570B CN 201710924198 A CN201710924198 A CN 201710924198A CN 107547570 B CN107547570 B CN 107547570B
- Authority
- CN
- China
- Prior art keywords
- key
- client
- server
- random number
- saas server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 title claims abstract description 20
- 238000012795 verification Methods 0.000 claims abstract description 11
- 238000012790 confirmation Methods 0.000 claims description 11
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种数据安全服务平台,包括:安全服务器、SaaS服务器和至少一个客户端;所述安全服务器,用于针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;以及当接收到所述SaaS服务器发送的第二密钥请求消息时,为所述SaaS服务器生成并分配第二密钥;所述SaaS服务器,用于针对每个客户端,与该客户端使用各自的第一密钥进行身份验证;并在身份验证通过后向所述安全服务器请求第二密钥;并将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端;以及使用所述第二密钥将与该客户端之间的业务数据加密并传输。本发明还提供一种数据安全传输方法。本发明能够增加数据传输的安全性。
Description
技术领域
本发明属于数据处理领域,具体涉及一种数据安全服务平台和数据安全传输方法。
背景技术
SaaS的全称是Software as a Service,是软件即服务的意思,它的中文名称通常被称为软件运营。这种模式是通过Internet来进行软件服务的提供。SaaS提供商在自己的服务器上对所有的应用软件进行统一的安装和部署,每个企业租户需要根据自己对软件的实际需求情况,然后利用互联网来向SaaS提供商租用所需要的软件模块,根据企业租用的模块和租用的时间来计算所需要的费用。租用成功后,企业可以通过网络来进行软件服务的获取。用户无需进行软件的购买,只需要租用软件,就可以实现企业的日常管理和运营,用户也不需要关心软件的日常管理和维护,这些工作都是交给SaaS提供商来负责。这样既节省了用户因为购买、管理和维护软件所带来的开支,又给用户带来了很大的方便。
SaaS具有以下特性:
(1)互联网特性。SaaS模式是利用Internet浏览器或Web Services/Web2.0程序连接的形式把服务提供给租户,因此,SaaS应用也具有典型的互联网技术的特点。
(2)服务特性。SaaS是利用互联网把软件以服务的形式提供给客户,因此,怎样进行合约的签订、怎样计算租户对服务的使用量、如何保证在线服务的质量以及如何确定服务费用的收取方式等,这些都是提供商需要考虑的问题,要实现用户通过互联网浏览器能够在任何时间、任何地点都可以轻松使用软件并按照使用量定期支付使用费。
(3)多租户特性。SaaS服务通常是使用一套标准的软件系统,把软件服务提供给成百上千的不同客户(也可以称为租户)使用。因此,这就需要确保SaaS提供商要能够实现把不同租户之间的业务数据和配置进行隔离,达到能够使不同租户之间的数据是安全的,不能被其他人看见。
由于SaaS模式在节省成本、易维护、易实施等方面存在优势,一直被看作是未来软件发展的趋势。然而,在SaaS的发展过程中,也面临着许多阻碍因素。在拥有成本低、定制灵活等优势条件的背后,其安全性一直是业界关注的焦点。然而对于抗风险能力较差的中小企业而言,确保业务应用的安全是至关重要的。在众多阻碍SaaS发展的因素中,数据安全性问题被看作是主要瓶颈之一。
发明内容
针对上述技术问题,本发明提供一种数据安全服务平台和数据安全传输方法,能够使得SaaS服务器的安全性更高。
本发明采用的技术方案为:
本发明实施例提供一种数据安全服务平台,包括:安全服务器、SaaS服务器和至少一个客户端;所述安全服务器,用于针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;以及当接收到所述SaaS服务器发送的第二密钥请求消息时,为所述SaaS服务器生成并分配第二密钥;所述SaaS服务器,用于针对每个客户端,与该客户端使用各自的第一密钥进行身份验证;并在身份验证通过后向所述安全服务器请求第二密钥;并将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端;以及使用所述第二密钥将与该客户端之间的业务数据加密并传输。
可选地,所述第一密钥为两对公钥和私钥;其中一对的公钥发送给该客户端,私钥发送给SaaS服务器,另一对的公钥发送给SaaS服务器,私钥发送给该客户端;所述第二密钥为对称密钥;所述SaaS服务器,具体用于将接收到的第二密钥通过所述客户端的公钥加密并发送给客户端。
可选地,所述安全服务器、所述SaaS服务器、以及至少一个客户端中还存储有主密钥;所述安全服务器,具体用于使用所述主密钥将为所述SaaS服务器和对应客户端生成的第一密钥加密并分配;以及使用所述主密钥将为所述SaaS服务器生成的第二密钥加密并分配;所述SaaS服务器,还用于使用所述主密钥将分配给自身的第一密钥以及第二密钥解密;所述客户端,用于使用所述主密钥将分配给自身的第一密钥解密。
可选地,所述安全服务器,具体用于按照预设第一密钥更新周期,针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;所述安全服务器,还用于按照预设第二密钥更新周期为所述SaaS服务器生成并分配第二密钥。
可选地,所述SaaS服务器,具体用于生成第一随机数,使用分配的客户端公钥将所述第一随机数和本地IP加密并发送给对应客户端;所述客户端,具体用于使用本地私钥将接收的所述SaaS服务器发送的加密信息解密,并将得到的所述第一随机数加一;生成第二随机数,使用分配的SaaS服务器公钥将加一的第一随机数、第二随机数、以及本地IP加密并发送给所述SaaS服务器;所述SaaS服务器,具体用于使用本地私钥将接收的所述客户端发送的加密信息解密,并将得到的第一随机数与本地第一随机数进行比对,确认客户端身份;以及使用客户端公钥加密加一的第二随机数和本地IP并发送给客户端;所述客户端,具体用于使用本地私钥将接收到的所述SaaS服务器发送的加密信息解密,并将得到的所述第二随机数与本地第二随机数进行比对,确认所述SaaS服务器身份;以及使用分配的所述SaaS服务器公钥加密预设确认标识并发送给所述SaaS服务器以提示所述SaaS服务器提供第二密钥。
可选地,所述SaaS服务器,还用于采用共享schema的方式存储各客户端对应的业务数据;以及针对每个客户端,将存储该客户端信息的用户信息表拆分成两个子表进行存储,并创建表征两个子表之间关联关系的关联信息表;其中,一个子表用于存储用户身份信息,另一个子表用于存储用户业务数据。
可选地,所述SaaS服务器,还用于接收客户端发送的业务数据访问请求;根据所述业务数据访问请求所请求访问的用户信息表,从所述关联信息表中确定该用户信息表拆分后的两个子表;并将所述业务数据访问请求拆分成分别查询用户身份信息以及用户业务数据的两个子访问请求,分别发送给存储对应内容的子表;以及接收两个子表的查询结果,将查询结果合并反馈给客户端。
本发明的另一实施例提供一种数据安全传输方法,应用于安全服务器,所述方法包括:针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;当接收到所述SaaS服务器发送的第二密钥请求消息时,为所述SaaS服务器生成并分配第二密钥。
本发明另一实施例还提供一种数据安全传输方法,应用于软件即服务SaaS服务器,所述方法包括:针对每个客户端,与该客户端使用各自的由安全服务器分配的第一密钥进行身份验证;在身份验证通过后向安全服务器请求第二密钥;将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端;以及使用所述第二密钥将与该客户端之间的业务数据加密并传输。
本发明实施例提供的数据安全服务平台和数据传输方法,通过安全服务器分配的第一密钥对SaaS服务器和与之通信的客户端的身份进行验证,在身份验证通过后,由SaaS服务器向安全服务器请求分配第二密钥,以加密传送给客户端的业务数据,这样,本发明的平台在进行业务数据传输之前,先使用密钥进行身份验证,只有在身份验证通过之后才发送业务数据,从而保证了采用SaaS模式传输数据的安全性。
附图说明
图1为本发明实施例提供的数据安全服务平台的结构示意图;
图2为本发明实施例提供的数据安全传输方法的流程示意图;
图3为本发明另一实施例提供的数据安全传输方法的流程示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
图1为本发明实施例提供的数据安全服务平台的结构示意图。如图1所示,本发明实施例提供的数据安全服务平台,包括:安全服务器1、软件即服务SaaS服务器2和至少一个客户端3;所述安全服务器1,用于针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;以及当接收到所述SaaS服务器2发送的第二密钥请求消息时,为所述SaaS服务器生成并分配第二密钥。所述SaaS服务器2,用于针对每个客户端3,与该客户端使用各自的第一密钥进行身份验证;并在身份验证通过后向所述安全服务器请求第二密钥;并将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端;以及使用所述第二密钥将与该客户端之间的业务数据加密并传输。
本实施例提供的数据安全服务平台通过安全服务器分配的第一密钥对SaaS服务器和与之通信的客户端的身份进行验证,在身份验证通过后,由SaaS服务器向安全服务器请求分配第二密钥,以加密传送给客户端的业务数据,这样,本发明的平台在进行业务数据传输之前,先使用密钥进行身份验证,只有在身份验证通过之后才发送业务数据,从而保证了采用SaaS模式传输数据的安全性。
进一步地,所述第一密钥为两对公钥和私钥;其中一对的公钥发送给该客户端,私钥发送给SaaS服务器,另一对的公钥发送给SaaS服务器,私钥发送给该客户端;所述第二密钥为对称密钥;所述SaaS服务器,具体用于将接收到的第二密钥通过所述客户端的公钥加密并发送给客户端。具体地,安全服务器1可采用非对称加密算法例如RSA生成两对公钥和密钥,然后分配给SaaS服务器2和客户端3,SaaS服务器2和客户端3使用各自的公私密钥进行身份验证确认对方的身份,以防身份的冒充。在身份验证通过之后,安全服务器1基于SaaS服务器2的请求消息生成第二密钥即对称密钥并发送给SaaS服务器2,之后SaaS服务器2将接收到的对称密钥通过分配给客户端的公钥加密并发送给客户端3。
进一步地,在本发明的实施例中,所述安全服务器1、所述SaaS服务器2、以及至少一个客户端3中还存储有主密钥。所述安全服务器,具体用于使用所述主密钥将为所述SaaS服务器和对应客户端生成的第一密钥加密并分配;以及使用所述主密钥将为所述SaaS服务器生成的第二密钥加密并分配;所述SaaS服务器,还用于使用所述主密钥将分配给自身的第一密钥以及第二密钥解密;所述客户端,用于使用所述主密钥将分配给自身的第一密钥解密。也就是说,在本发明实施例中,第一密钥和第二密钥均通过主密钥进行加密和解密,从而保证了密码的统一性和可靠性。
进一步地,所述安全服务器1,具体用于按照预设第一密钥更新周期,针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;所述安全服务器,还用于按照预设第二密钥更新周期为所述SaaS服务器生成并分配第二密钥。在本发明实施例中,为保证密钥安全性,第一密钥需要定期分配,由于使用频率多,更新的周期需要较短,第二密钥由于使用频率较少,更新的周期可以相对较长,具体的第一密钥更新周期和第二密钥更新周期需要根据实际情况来确定,本发明并不做特别地限定。
进一步地,所述SaaS服务器2,具体用于生成第一随机数例如64位随机数,使用分配的客户端公钥将所述第一随机数和本地IP加密并发送给对应客户端;所述客户端3,具体用于使用本地私钥将接收的所述SaaS服务器2发送的加密信息解密,并将得到的所述第一随机数加一;生成第二随机数例如64位随机数,使用分配的SaaS服务器公钥将加一的第一随机数、第二随机数、以及本地IP加密并发送给所述SaaS服务器2;所述SaaS服务器2,具体用于使用本地私钥将接收的所述客户端发送的加密信息解密,并将得到的第一随机数与本地第一随机数进行比对,确认客户端身份;以及使用客户端公钥加密加一的第二随机数和本地IP并发送给客户端;所述客户端3,具体用于使用本地私钥将接收到的所述SaaS服务器2发送的加密信息解密,并将得到的所述第二随机数与本地第二随机数进行比对,确认所述SaaS服务器2身份;以及使用分配的所述SaaS服务器公钥加密预设确认标识并发送给所述SaaS服务器2以提示所述SaaS服务器2提供第二密钥。这样,SaaS服务器2和客户端3使用安全服务器1分配的第一密钥完成具体的身份验证,并在身份验证通过之后,通过身份验证的客户端3会向SaaS服务器2发送提示提供第二密钥的预设确认标识。
进一步地,在SaaS服务器2和客户端3进行身份验证的过程中,在加密的验证信息中携带自身的IP地址,可以用于证实自己的身份,以免第三方截获一方发送的验证信息并假冒该一方向另一方发送消息。
在本发明的另一实施例中,所述SaaS服务器2,还用于采用共享schema的方式存储各客户端对应的业务数据;以及针对每个客户端3,将存储该客户端信息的用户信息表拆分成两个子表进行存储,并创建表征两个子表之间关联关系的关联信息表;其中,一个子表用于存储用户身份信息,另一个子表用于存储用户业务数据。
在本发明实施例中,共享schema的方式是通过添加一个字段Tenant ID的方式来实现对不同客户端进行区别,在共享Schema的基础上,对数据库字段进行隔离,把客户端的敏感数据分别存储在两个数据库服务器中,并保证这两个数据库服务器之间不能通信。本发明采用共享schema的方式存储各客户端对应的业务数据,成本低且能最大限度的容纳租户。此外,将客户端信息的用户信息表拆分成不同的两个子表,这两个子表通过一个关联信息表来建立联系,从而最大程度地保证了客户端的数据安全性。
另外,在本实施例中,SaaS服务器2在对客户端的业务进行存储时可以先加密再存储,向客户端传输的为加密的数据,加密的密码可以通过前述的第二密钥进行传输并加密。
在一个非限制性示例中,以用户信息表User Info为例,实现核心字段隔离:UserInfo表包括id,登录名,密码,所属公司id,所属部门id,职位,用户姓名,性别,年龄,联系方式,邮箱,如下表1所示。
表1:User Info表
在表User Info中,电话和邮箱对用户来说是不希望别人知道的隐私信息,因此可以把表User Info拆分成两张表User Info1和User Info2,为了进一步地提高安全性,也可以将该两张表分别存在两个数据库S1和S2中。如下表2所示,User Info1包括的字段有:Tenant ID,User Name和一个增加的id字段R1;如下表3所示,User Info2包括的字段有:ID,Login Name,Password,Department ID,Position,sex,Tel,Email和一个增加的id字段R2。然后再创建一张表Relation存放R1和R2的对应关系,如下表4所示。
表2:User Info1
表3:User Info2
表4:关联信息表
在本示例中,如果攻击者或者管理员获得了User Info1或者User Info2,也不能看到用户的隐私信息。即使同时获得了两张表,如果没有R1和R2的对应关系表,也不能窃取用户的隐私,因此,增加了数据库的安全性。
进一步地,所述SaaS服务器2,还用于接收客户端发送的业务数据访问请求;根据所述业务数据访问请求所请求访问的用户信息表,从所述关联信息表中确定该用户信息表拆分后的两个子表;并将所述业务数据访问请求拆分成分别查询用户身份信息以及用户业务数据的两个子访问请求,分别发送给存储对应内容的子表;以及接收两个子表的查询结果,将查询结果合并反馈给客户端。
在一个非限制性示例中,例如SaaS服务器2接收到要查询Tenant ID为1002的公司中,年龄小于30的部门主管及其ID的业务数据访问请求。没有字段隔离前对原用户信息表的SQL查询语句Q应该为:
Select ID,User Name
Form User Info
Where Age<30and Position=‘项目主管’and Tenant ID=1002
根据前述表2和表3,SaaS服务器2将SQL查询语句Q分解为两个查询语句Q*1和Q*2,如下所示:
Q*1为:
Select R1,User Name
Form User Info1
Where Tenant ID=1002
Q*2为:
Select R2,ID
Form User Info2
Where Age<30and Position=‘项目主管’
通过上述两条查询语句查询后,SaaS服务器2会将查询结果集A*1和A*2返回并进行处理,以获得最终的查询结果。这时需要通过表4来获取R1和R2的对应关系来整合查询结果,SQL查询语句如下:
Select ID,User Name
Form A*1,A*2,Relation
Where A*1.R1=Relation.R1and A*2.R2=Relation.R2
通过上述查询语句就可以完成对用户信息表的查询,在获得查询结果后,SaaS服务器2会将查询结果反馈给相应的客户端3。
基于同一发明构思,本发明实施例还提供了一种数据安全传输方法,由于该方法所解决问题的原理与前述数据安全服务平台相似,因此该方法的实施可以参见前述平台的实施,重复之处不再赘述。
图2为本发明实施例提供的数据安全传输方法的流程示意图。如图2所示,本发明实施例提供的数据安全传输方法,应用于安全服务器,包括以下步骤:
S101、针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥。
S102、当接收到所述SaaS服务器发送的第二密钥请求消息时,为所述SaaS服务器生成并分配第二密钥。
上述步骤S101和S102具体可通过前述实施例提供的安全服务器执行。
进一步地,所述第一密钥为两对公钥和私钥;其中一对的公钥发送给该客户端,私钥发送给SaaS服务器,另一对的公钥发送给SaaS服务器,私钥发送给该客户端;所述第二密钥为对称密钥。
进一步地,还包括使用所述主密钥将为所述SaaS服务器和对应客户端生成的第一密钥加密并分配;以及使用所述主密钥将为所述SaaS服务器生成的第二密钥加密并分配。
进一步地,还包括按照预设第一密钥更新周期,针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;以及按照预设第二密钥更新周期为所述SaaS服务器生成并分配第二密钥。
基于同一发明构思,本发明的另一实施例还提供了一种数据安全传输方法,由于该方法所解决问题的原理与前述数据安全服务平台相似,因此该方法的实施可以参见前述平台的实施,重复之处不再赘述。
图3为本发明另一实施例提供的数据安全传输方法的流程示意图。如图3所示,本发明实施例提供的数据安全传输方法,应用于软件即服务SaaS服务器,包括以下步骤:
S201、针对每个客户端,与该客户端使用各自的第一密钥进行身份验证。
S202、在身份验证通过后向安全服务器请求第二密钥。
S203、将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端。
S204、使用所述第二密钥将与该客户端之间的业务数据加密并传输。
上述步骤S201至S204具体可通过前述实施例提供的SaaS服务器执行。
进一步地,所述第一密钥为两对公钥和私钥;SaaS服务器和客户端各持有每对公钥和私钥的中的一个公钥和相应的私钥;所述第二密钥为对称密钥;
进一步地,步骤S204具体包括:使用所述主密钥将分配给自身的第一密钥以及第二密钥解密。
进一步地,步骤S201具体包括以下步骤:
步骤一、所述SaaS服务器生成第一随机数,使用分配的客户端公钥将所述第一随机数和本地IP加密并发送给对应客户端;
步骤二、所述客户端使用本地私钥将接收的所述SaaS服务器发送的加密信息解密,并将得到的所述第一随机数加一;生成第二随机数,使用分配的SaaS服务器公钥将加一的第一随机数、第二随机数、以及本地IP加密并发送给所述SaaS服务器;
步骤三、所述SaaS服务器使用本地私钥将接收的所述客户端发送的加密信息解密,并将得到的第一随机数与本地第一随机数进行比对,确认客户端身份;以及使用客户端公钥加密加一的第二随机数和本地IP并发送给客户端;
步骤四、所述客户端使用本地私钥将接收到的所述SaaS服务器发送的加密信息解密,并将得到的所述第二随机数与本地第二随机数进行比对,确认所述SaaS服务器身份;以及使用分配的所述SaaS服务器公钥加密预设确认标识并发送给所述SaaS服务器以提示所述SaaS服务器提供第二密钥。
进一步地,还包括:采用共享schema的方式存储各客户端对应的业务数据;以及针对每个客户端,将存储该客户端信息的用户信息表拆分成两个子表进行存储,并创建表征两个子表之间关联关系的关联信息表;其中,一个子表用于存储用户身份信息,另一个子表用于存储用户业务数据。
进一步地,还包括:接收客户端发送的业务数据访问请求;根据所述业务数据访问请求所请求访问的用户信息表,从所述关联信息表中确定该用户信息表拆分后的两个子表;并将所述业务数据访问请求拆分成分别查询用户身份信息以及用户业务数据的两个子访问请求,分别发送给存储对应内容的子表;以及接收两个子表的查询结果,将查询结果合并反馈给客户端。
上述各步骤可通过前述的各服务器来实现,在此不再赘述。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种数据安全服务平台,其特征在于,包括:安全服务器、软件即服务SaaS服务器和至少一个客户端;
所述安全服务器,用于针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;以及当接收到所述SaaS服务器发送的第二密钥请求消息时,为所述SaaS服务器生成并分配第二密钥;
所述SaaS服务器,用于针对每个客户端,与该客户端使用各自的第一密钥进行身份验证;并在身份验证通过后向所述安全服务器请求第二密钥;并将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端;以及使用所述第二密钥将与该客户端之间的业务数据加密并传输其中,所述第一密钥为两对公钥和私钥;其中一对的公钥发送给该客户端,私钥发送给SaaS服务器,另一对的公钥发送给SaaS服务器,私钥发送给该客户端;所述第二密钥为对称密钥;
所述SaaS服务器,具体用于将接收到的第二密钥通过所述客户端的公钥加密并发送给客户端;
所述SaaS服务器,具体用于生成第一随机数,使用分配的客户端公钥将所述第一随机数和本地IP加密并发送给对应客户端;
所述客户端,具体用于使用本地私钥将接收的所述SaaS服务器发送的加密信息解密,并将得到的所述第一随机数加一;生成第二随机数,使用分配的SaaS服务器公钥将加一的第一随机数、第二随机数、以及本地IP加密并发送给所述SaaS服务器;
所述SaaS服务器,具体用于使用本地私钥将接收的所述客户端发送的加密信息解密,并将得到的第一随机数与本地第一随机数进行比对,确认客户端身份;以及使用客户端公钥加密加一的第二随机数和本地IP并发送给客户端;
所述客户端,具体用于使用本地私钥将接收到的所述SaaS服务器发送的加密信息解密,并将得到的所述第二随机数与本地第二随机数进行比对,确认所述SaaS服务器身份;以及使用分配的所述SaaS服务器公钥加密预设确认标识并发送给所述SaaS服务器以提示所述SaaS服务器提供第二密钥。
2.根据权利要求1所述的数据安全服务平台,其特征在于,所述安全服务器、所述SaaS服务器、以及至少一个客户端中还存储有主密钥;
所述安全服务器,具体用于使用所述主密钥将为所述SaaS服务器和对应客户端生成的第一密钥加密并分配;以及使用所述主密钥将为所述SaaS服务器生成的第二密钥加密并分配;
所述SaaS服务器,还用于使用所述主密钥将分配给自身的第一密钥以及第二密钥解密;
所述客户端,用于使用所述主密钥将分配给自身的第一密钥解密。
3.根据权利要求1-2任一项所述的数据安全服务平台,其特征在于,所述安全服务器,具体用于按照预设第一密钥更新周期,针对每个客户端为该客户端和SaaS服务器生成并分配第一密钥;
所述安全服务器,还用于按照预设第二密钥更新周期为所述SaaS服务器生成并分配第二密钥。
4.根据权利要求1所述的数据安全服务平台,其特征在于,所述SaaS服务器,还用于采用共享schema的方式存储各客户端对应的业务数据;以及针对每个客户端,将存储该客户端信息的用户信息表拆分成两个子表进行存储,并创建表征两个子表之间关联关系的关联信息表;其中,一个子表用于存储用户身份信息,另一个子表用于存储用户业务数据。
5.根据权利要求4所述的数据安全服务平台,其特征在于,所述SaaS服务器,还用于接收客户端发送的业务数据访问请求;根据所述业务数据访问请求所请求访问的用户信息表,从所述关联信息表中确定该用户信息表拆分后的两个子表;并将所述业务数据访问请求拆分成分别查询用户身份信息以及用户业务数据的两个子访问请求,分别发送给存储对应内容的子表;以及接收两个子表的查询结果,将查询结果合并反馈给客户端。
6.一种数据安全传输方法,应用于安全服务器和软件即服务SaaS服务器,其特征在于,所述方法包括:
针对每个客户端为该客户端和软件即服务SaaS服务器生成并分配第一密钥;
当接收到所述SaaS服务器发送的第二密钥请求消息时,为所述SaaS服务器生成并分配第二密钥;
针对每个客户端,与该客户端使用各自的由安全服务器分配的第一密钥进行身份验证;
在身份验证通过后向所述安全服务器请求第二密钥;
将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端;以及
使用所述第二密钥将与该客户端之间的业务数据加密并传输;
其中,所述第一密钥为两对公钥和私钥;SaaS服务器和客户端各持有每对公钥和私钥的中的一个公钥和相应的私钥;所述第二密钥为对称密钥;
针对每个客户端,与该客户端使用各自的由安全服务器分配的第一密钥进行身份验证具体包括以下步骤:
步骤一、所述SaaS服务器生成第一随机数,使用分配的客户端公钥将所述第一随机数和本地IP加密并发送给对应客户端;
步骤二、所述客户端使用本地私钥将接收的所述SaaS服务器发送的加密信息解密,并将得到的所述第一随机数加一;生成第二随机数,使用分配的SaaS服务器公钥将加一的第一随机数、第二随机数、以及本地IP加密并发送给所述SaaS服务器;
步骤三、所述SaaS服务器使用本地私钥将接收的所述客户端发送的加密信息解密,并将得到的第一随机数与本地第一随机数进行比对,确认客户端身份;以及使用客户端公钥加密加一的第二随机数和本地IP并发送给客户端;
步骤四、所述客户端使用本地私钥将接收到的所述SaaS服务器发送的加密信息解密,并将得到的所述第二随机数与本地第二随机数进行比对,确认所述SaaS服务器身份;以及使用分配的所述SaaS服务器公钥加密预设确认标识并发送给所述SaaS服务器以提示所述SaaS服务器提供第二密钥。
7.根据权利要求6所述的数据安全传输方法,其特征在于,将接收到的第二密钥通过与该客户端对应的第一密钥加密并发送给该客户端,具体包括:
将接收到的第二密钥通过分配的客户端的公钥加密并发送给客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710924198.6A CN107547570B (zh) | 2017-09-30 | 2017-09-30 | 一种数据安全服务平台和数据安全传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710924198.6A CN107547570B (zh) | 2017-09-30 | 2017-09-30 | 一种数据安全服务平台和数据安全传输方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107547570A CN107547570A (zh) | 2018-01-05 |
CN107547570B true CN107547570B (zh) | 2023-12-05 |
Family
ID=60964842
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710924198.6A Active CN107547570B (zh) | 2017-09-30 | 2017-09-30 | 一种数据安全服务平台和数据安全传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107547570B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108256344B (zh) * | 2018-01-22 | 2019-10-22 | 商客通尚景科技江苏有限公司 | 一种SaaS企业平台数据库系统及其连接方法 |
CN109583891B (zh) * | 2018-11-14 | 2021-08-24 | 咪咕文化科技有限公司 | 一种信息处理方法、装置及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771699A (zh) * | 2010-01-06 | 2010-07-07 | 华南理工大学 | 一种提高SaaS应用安全性的方法及系统 |
CN101860540A (zh) * | 2010-05-26 | 2010-10-13 | 吴晓军 | 一种识别网站服务合法性的方法及装置 |
CN102833253A (zh) * | 2012-08-29 | 2012-12-19 | 五八同城信息技术有限公司 | 建立客户端与服务器安全连接的方法及服务器 |
CN102833246A (zh) * | 2012-08-24 | 2012-12-19 | 南京大学 | 一种社交视频信息安全方法与系统 |
CN103354498A (zh) * | 2013-05-31 | 2013-10-16 | 北京鹏宇成软件技术有限公司 | 一种基于身份的文件加密传输方法 |
CN103532713A (zh) * | 2012-07-04 | 2014-01-22 | 中国移动通信集团公司 | 传感器认证和共享密钥产生方法和系统以及传感器 |
CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
CN106656992A (zh) * | 2016-11-03 | 2017-05-10 | 林锦吾 | 一种信息验证方法 |
CN106982419A (zh) * | 2016-01-18 | 2017-07-25 | 普天信息技术有限公司 | 一种宽带集群系统单呼端到端加密方法及系统 |
-
2017
- 2017-09-30 CN CN201710924198.6A patent/CN107547570B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771699A (zh) * | 2010-01-06 | 2010-07-07 | 华南理工大学 | 一种提高SaaS应用安全性的方法及系统 |
CN101860540A (zh) * | 2010-05-26 | 2010-10-13 | 吴晓军 | 一种识别网站服务合法性的方法及装置 |
CN103532713A (zh) * | 2012-07-04 | 2014-01-22 | 中国移动通信集团公司 | 传感器认证和共享密钥产生方法和系统以及传感器 |
CN102833246A (zh) * | 2012-08-24 | 2012-12-19 | 南京大学 | 一种社交视频信息安全方法与系统 |
CN102833253A (zh) * | 2012-08-29 | 2012-12-19 | 五八同城信息技术有限公司 | 建立客户端与服务器安全连接的方法及服务器 |
CN103354498A (zh) * | 2013-05-31 | 2013-10-16 | 北京鹏宇成软件技术有限公司 | 一种基于身份的文件加密传输方法 |
CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
CN106982419A (zh) * | 2016-01-18 | 2017-07-25 | 普天信息技术有限公司 | 一种宽带集群系统单呼端到端加密方法及系统 |
CN106656992A (zh) * | 2016-11-03 | 2017-05-10 | 林锦吾 | 一种信息验证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107547570A (zh) | 2018-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11606352B2 (en) | Time-based one time password (TOTP) for network authentication | |
US9716696B2 (en) | Encryption in the cloud using enterprise managed keys | |
US9608814B2 (en) | System and method for centralized key distribution | |
US11362818B2 (en) | Method for issuing quantum key chip, application method, issuing platform and system | |
US9729531B2 (en) | Accessing a computer resource using an access control model and policy | |
EP2702744B1 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud system | |
US20200320178A1 (en) | Digital rights management authorization token pairing | |
US20100088236A1 (en) | Secure software service systems and methods | |
CN109450633B (zh) | 信息加密发送方法及装置、电子设备、存储介质 | |
US20180041520A1 (en) | Data access method based on cloud computing platform, and user terminal | |
US10263789B1 (en) | Auto-generation of security certificate | |
Hojabri | Innovation in cloud computing: Implementation of Kerberos version5in cloud computing in order to enhance the security issues | |
CN107547570B (zh) | 一种数据安全服务平台和数据安全传输方法 | |
CN110022207B (zh) | 密钥管理及处理数据的方法、装置、设备和计算机可读介质 | |
JP2016139910A (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
KR20150116537A (ko) | 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치 | |
KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
JP2009094592A (ja) | 通信システム | |
WO2021133152A1 (en) | A method for authenticating and synchronizing offline data | |
US11558338B1 (en) | System and method for securing information provided via a social network application | |
CN110602074B (zh) | 一种基于主从关联的业务身份使用方法、装置及系统 | |
KR20190019317A (ko) | 사용자 수요 기반의 SaaS 결합 서비스 플랫폼에서의 인증 서버 및 인증 방법 | |
CN113691495B (zh) | 一种基于非对称加密的网络账户共享和分发系统及方法 | |
CN110602076B (zh) | 一种基于主身份多重认证的身份使用方法、装置及系统 | |
JP2006197640A (ja) | 暗号化データ配信サービスシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 100070, No. 101-8, building 1, 31, zone 188, South Fourth Ring Road, Beijing, Fengtai District Applicant after: Guoxin Youyi Data Co.,Ltd. Address before: 100070, No. 188, building 31, headquarters square, South Fourth Ring Road West, Fengtai District, Beijing Applicant before: SIC YOUE DATA Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |