CN107911393A - 一种数据安全管理系统和方法 - Google Patents

一种数据安全管理系统和方法 Download PDF

Info

Publication number
CN107911393A
CN107911393A CN201711460058.4A CN201711460058A CN107911393A CN 107911393 A CN107911393 A CN 107911393A CN 201711460058 A CN201711460058 A CN 201711460058A CN 107911393 A CN107911393 A CN 107911393A
Authority
CN
China
Prior art keywords
data
encrypted
subsystem
code
ciphering process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711460058.4A
Other languages
English (en)
Other versions
CN107911393B (zh
Inventor
宋博韬
喻波
王志海
魏力
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wondersoft Technology Co Ltd
Original Assignee
Beijing Wondersoft Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wondersoft Technology Co Ltd filed Critical Beijing Wondersoft Technology Co Ltd
Priority to CN201711460058.4A priority Critical patent/CN107911393B/zh
Publication of CN107911393A publication Critical patent/CN107911393A/zh
Application granted granted Critical
Publication of CN107911393B publication Critical patent/CN107911393B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种数据安全管理系统和方法,该系统包括:安全服务子系统和安全支撑子系统。安全服务子系统用于根据加密配置信息对待存储的数据明文进行加密,得到数据密文和加密识别码并发送到存储池进行关联存储;使用预先配置的用户根密钥对加密过程信息进行加密,将加密后的加密过程信息和加密识别码提交给安全支撑子系统。安全支撑子系统用于使用用户公钥对加密后的加密过程信息进行解密;依据解密请求中携带的加密识别码映射对应解密后的加密过程信息,对加密过程信息进行处理,生成解密配置信息并反馈给安全服务子系统,使得安全服务子系统依据解密配置信息生成数据密文对应的数据明文,提供给目标应用使用,满足业务需求。

Description

一种数据安全管理系统和方法
技术领域
本发明涉及数据安全技术领域,特别是涉及一种数据安全管理系统和一种数据安全管理方法。
背景技术
随着信息网络技术的快速发展,云计算生态链日益完善,云计算已经成为一种高价值的生产力工具。
当前,越来越多的政府机构、企事业单位和个人开始将应用向云迁移,实现了自身业务需求与资源优化配置间的平衡;但基于数据安全的顾虑,很少把核心业务应用迁移到云。
具体而言,现有云服务商倡导的数据安全防护,通常从基础设施视角开展,基于云计算服务过程,与云租户进行了安全责任划分。其中,云服务商主要负责基础设施安全、云平台网络安全、云平台主机安全;云租户主要负责虚拟网络安全、虚拟主机安全、云应用安全。但是,由云服务商提供在基础设施安全、云平台网络安全、云平台主机安全等层面的数据安全防护,导致云租户无法对其所提供的数据资产进行自主防护。因此,云租户数据资产的防护效果受限于云服务商的技术能力和投入资源。这严重阻碍了云计算服务的高速发展和广泛应用。
发明内容
鉴于上述问题,本发明实施例提供一种数据安全管理系统,解决现有云计算服务过程云租户数据资产无法自主防护所导致的数据安全问题。
相应的,本发明实施例还提供了一种数据安全管理方法、一种设备以及一种可读存储介质,用以保证上述系统的实现及应用。
为了解决上述问题,本发明实施例公开了一种数据安全管理系统,包括:安全服务子系统和安全支撑子系统;
所述安全服务子系统,用于针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统;
所述安全支撑子系统,用于接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息,对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统,还用于依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
可选地,所述安全服务子系统,还用于在所述目标应用获取到存储的数据密文和对应的加密识别码后,根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,针对所述目标应用获取到的数据密文,依据获取到的加密识别码生成对应的解密请求,将所述解密请求发送给所述安全支撑子系统。
可选地,所述安全服务子系统,还用于在将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统之前,对生成的数据明文进行数据摘要运算,生成原始数据摘要,将所述原始数据摘要添加到所述加密识别码中;以及,对所述目标应用获取到的数据密文进行数据完整性验证,生成验证数据摘要,检测所述验证数据摘要是否与所述目标应用获取到的加密识别码中的原始数据摘要一致,若一致,则执行所述依据获取到的加密识别码生成对应的解密请求的步骤。
可选地,所述安全服务子系统,还用于根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,执行从所述安全支撑子系统中获取预先配置的加密配置信息的步骤。
可选地,所述加密过程信息包括以下至少一项:加密密码算法类型、加密密码算法、加密模式、加密密钥和加密日志;
所述解密配置信息包括以下至少一项:解密密码算法类型、解密密码算法、解密模式和解密密钥。
本发明实施例还公开了一种数据安全管理方法,应用于数据安全管理系统,所述系统包括安全服务子系统和安全支撑子系统,所述方法包括:
所述安全服务子系统针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统;
所述安全支撑子系统接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息,对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
可选地,还包括:在所述目标应用获取到存储的数据密文和对应的加密识别码后,所述安全服务子系统根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,针对所述目标应用获取到的数据密文,依据获取到的加密识别码生成对应的解密请求,将所述解密请求发送给所述安全支撑子系统。
可选地,在将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统之前,还包括:所述安全服务子系统对生成的数据明文进行数据摘要运算,生成原始数据摘要,将所述原始数据摘要添加到所述加密识别码中。在所述目标应用获取到存储的数据密文和对应的加密识别码后,还包括:所述安全服务子系统对获取到的数据密文进行数据完整性验证,生成验证数据摘要,检测所述验证数据摘要是否与所述目标应用获取到的加密识别码中的原始数据摘要一致,若一致,则执行所述依据获取到的加密识别码生成对应的解密请求的步骤。
可选地,还包括:所述安全服务子系统根据所述安全支撑子系统和预先配置的身份认证信息进行身份认证;在认证成功后,执行从所述安全支撑子系统中获取预先配置的加密配置信息的步骤。
可选地,所述加密过程信息包括以下至少一项:加密密码算法类型、加密密码算法、加密模式、加密密钥和加密日志;
所述解密配置信息包括以下至少一项:解密密码算法类型、解密密码算法、解密模式和解密密钥。
本发明实施例还公开了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
所述安全服务子系统针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统;
所述安全支撑子系统接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息;对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
本发明实施例还公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例中的数据安全管理方法的步骤。
本发明实施例包括以下优点:
首先,本发明实施例可以通过安全服务子系统,依据安全支撑字系统中预先配置的加密配置信息,生成目标应用中待存储的数据明文对应的数据密文,将该数据密文和对应的加密识别码发送到存储池进行关联存储,使得目标应用在获取数据密文的同时获取对应关联存储的加密识别码。
其次,本发明实施例中的安全服务子系统可以利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将加密后的加密过程信息和加密识别码提交给所述安全支撑子系统,以通过安全支撑子系统使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,从而可在后续处理中依据目标应用获取到的数据密文对应的加密识别码,从安全支撑子系统中映射出对应解密后的加密过程信息,加强了信息安全的抗抵赖性。
再次,本发明实施例可通过安全支撑子系统生成解密后的加密过程信息对应的解密配置信息,以依据该解密配置信息对目标应用获取到的数据明文进行解密,将解密后的数据明文提供给目标应用使用,从而能够保证目标应用与存储池之间数据传输的机密性。
综上,本发明实施例在满足业务需求的同时实现了数据的加密存储,且加密配置信息可以是依据租户提供的信息进行设置的,使得云租户能够对其所提供的数据资产进行自主防护,解决了现有云存储过程中云租户数据资产无法自主防护所导致的数据安全问题,消除了云租户对数据安全的顾虑,使得云计算服务的应用更加广泛,能够扩大云计算服务的应用范围,促进云计算服务的高速发展。
附图说明
图1是本发明的一种数据安全管理系统实施例的结构框图;
图2是本发明一个示例中的一种数据安全管理系统架构图;
图3是本发明一个示例中的平台云端模块对发送的数据明文进行加密的示意图;
图4是本发明一个示例中的平台云端模块对获取到的数据密文进行解密的示意图;
图5是本发明的一种数据安全管理方法实施例的步骤流程图;
图6是本发明一个示例中的数据安全管理系统对数据安全进行管理的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
云计算是一种基于网络的计算模式,帮助用户方便地从可配置的计算资源共享池中快速、便捷地获取需要的资源,同时可以将资源管理工作和与服务商的交互减小到最低限度。
在云计算服务过程中,云租户通过有偿或无偿的方式,获取云服务商提供的云计算服务,如云租户可以利用云服务商提供的云平台管理系统,将特定的应用和数据上传到云服务商的云平台;并且可以按照云服务商提供的服务与技术规则,利用云平台管理系统完成云应用和对应云存储的配置、初始化,从而实现云应用和对应云存储在云平台的托管。
具体的,云应用可以将运行过程中涉及的数据存储到对应的云存储,以便在后续可以使用存储的数据进行业务处理,满足业务需求。目前,云应用与对应云存储之间涉及的数据交互,均使用数据明文进行数据传输,或使用云服务商主导的由云平台提供的特定加密机制进行加密后的数据密文进行数据传输。但是,现有云服务商与云租户间缺失信任机制。其中,云租户可以包括基于云服务构建应用的政府机构、企事业单位和个人等等;云服务商可以包括云计算服务的提供商。对于云服务商的约束,仅依靠云服务商自律。即使云服务商泄漏和非法授权使用云租户的数据资产,云租户也无从知晓,因此现有技术中云租户无法约束云服务商行为,存在数据安全隐患。
需要说明的是,云计算服务本质上一种托管服务过程。云租户将数据资产托管在云平台上,云服务商对云租户所托管的数据资产拥有实际控制权,即云租户已经丧失了数据的自主控制权。
本发明实施例的核心构思之一在于,利用加密技术,提出一种数据安全管理系统和方法,使得云租户能够对其所提供的数据资产进行自主防护,解决现有技术中云租户无法约束云服务商行为的缺陷,消除了云服务商泄漏和非授权使用云租户数据资产的风险。
参照图1,示出了本发明的一种数据安全管理系统实施例的结构框图,该数据安全管理系统100可以包括:安全服务子系统110和安全支撑子系统120。
所述安全服务子系统110,用于针对目标应用中待存储的数据明文,从所述安全支撑子系统120中获取预先配置的加密配置信息,根据所述加密配置信息加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统120;
所述安全支撑子系统120,用于接收安全服务子系统110发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到所述安全服务子系统110发送的解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息;对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统110,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统110,还用于依据所述解密配置信息,对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
需要说明的是,非对称密码算法可以依据非对称技术进行设置,且可以用于生成非对称密码算法的用户私密钥和用户公钥。本发明实施例中的用户根密钥本质上可以是用户私密钥,如可以是数据销毁系统初始化时配置给安全服务系统的用户私密钥。在生成用户私密钥的同时时,还可以利用非对称加密技术,生成安全服务系统对应的用户公钥,并且可以将该用户公钥发送给安全支撑子系统进行存储、使用,本发明实施例对此不作具体限制。
在具体实现中,可以基于应用场景,对数据安全管理系统中的子系统进行部署。例如,在目标应用为云平台中的云应用,存储池为云平台中的云储存时,安全服务子系统中的一个模块可以部署在云应用中,以为该云应用提供安全管理服务;安全服务支撑子系统可以与安全服务系统中的模块进行交互,并且可以为云应用获取云数据安全管理服务提供支撑。
具体而言,在云应用与云储存数据交互的场景中,安全服务子系统可以针对云应用中待储存的数据明文,即针对云应用准备发送给云存储的数据明文,从安全支撑子系统中获取预先配置的加密配置信息,如云租户预先在安全服务管理系统中配置的加密算式、加密模式等,以根据预先配置的加密配置信息对云应用准备发送给云存储的数据明文进行数据加密,得到数据加密后的数据密文以及加密过程对应的加密识别码,随后可通过特定信道将云应用的数据密文和其对应的加密识别码发送给云存储,以通过云储存对该数据密文和加密识别码进行关联存储;以及,可以提取数据加密的加密过程信息,然后可使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对提取到的加密过程信息进行加密,得到加密后的加密过程信息,在加密后的加密过程信息附上加密识别码,通过安全信道将加密后的加密过程信息和加密识别码提交给安全支撑子系统,如可以按照特定规则对加密后的加密过程信息和加密识别码进行封装,然后通过通过安全信道,将封装后的加密识别码和加密后的加密过程信息发送给安全支撑子系统,使得安全支撑子系统中可以接收到的加密后的加密过程信息和加密识别码。
安全支撑子系统在接收到安全服务子系统发送的加密后的加密过程信息和加密识别码后,可基于接收到的加密后的加密过程信息和加密识别码构建对应的加密过程信息数据库,如可以按照预设的特定规则对接收到的加密识别码和加密后的加密过程信息进行拆分,拆分后可以得到加密识别码和加密后的加密过程信息,随后可使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息,以及将该加密过程信息安全存储至加密过程信息数据库中,实现了对加密过程信息的安全存储。
可选的,加密识别码可以包含在加密日志中定义的存储规则。云存储在接收到云应用发送的数据密文和加密识别码后,可以根据加密识别码中携带的存储规则,对数据密文和加密识别码进行关联存储,从而使得云应用在获取存储的数据密文的同时可以获取到与该数据密文关联存储的加密识别码,亦即云应用可以获取到存储的数据明文和该数据密文对应的加密识别码。在云应用从云存储中获取到储存的数据密文和该数据密文对应的加密识别码后,安全服务子系统可以针对获取到的数据密文,依据获取到的加密识别码向安全支撑子系统发起解密请求。该解密请求可以携带有云应用取到的加密识别码。
安全支撑子系统接收到解密请求后,可以提取加密识别码中的唯一标识号,然后可依据唯一标识号在预先生成的加密过程信息数据库映射出该加密识别码对应的加密过程信息。该加密过程信息可以是记录特定的数据加密操作过程的相关信息集合,具体可以包括数据加密时的过程信息,如可以包括数据加密时,使用的加密密码算法类型、加密密码算法、加密模式、加密密钥等,以及还可包括加密日志等。安全支撑子系统可以对映射到解密后的加密过程信息进行处理,生成对应的解密配置信息,随后可将解密配置信息反馈给安全服务子系统,从而使得安全服务子系统可以依据该将解密配置信息对云应用获取到的数据密文进行解密。具体的,安全服务子系统在接收到解密配置信息后,可以根据解密配置信息对云储存发送给云应用的数据密文进行数据解密,得到数据明文,并提供给云应用使用,满足业务需求。其中,解密配置信息可以是记录特定的数据解密操作过程的相关信息集合,具体可以包括:对数据密文进行数据解密操作时所需要使用的信息,如可以包括:数据解密时使用的解密密码算法类型、解密密码算法、解密模式、解密密钥等。
需要说明的是,数据安全管理系统中预先配置的信息,如安全支撑子系统中预先配置的加密配置信息、用户根密钥等等,可以由云租户手动设置,也可以由数据安全管理系统根据导入的安全管理策略进行自动设置,本发明实施例对此不作限制。该安全管理策略可以由云租户提供,且可以用于在数据安全管理系统初始化时自动配置用户分组、用户权限、用户根密钥,加密配置信息等等,本发明实施例对此也不作限制。
本发明实施例中,可以通过安全服务子系统与安全支撑子系统的交互,根据预先配置的加密配置信息对目标应用中待存储的数据明文进行加密,将加密后得到的数据密文和对应的加密识别码发送到存储池进行关联存储,使得目标应用在获取数据明文的同时获取对应关联存储的加密识别码,并且实现了数据加密存储,保证数据安全。
此外,本发明实施例的安全服务子系统在生成数据密文后,可利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,并将加密后的加密过程信息和加密识别码提交给所述安全支撑子系统;且安全支撑子系统在接收加密后的加密过程信息后,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,即能够给进行抗抵赖,加强了信息安全的抗抵赖性。
进一步而言,本发明实施例中的安全服务子系统在接收解密请求后,能够依据解密请求中携带的加密识别码映射到对应解密后的加密过程信息,以依据该解密后的加密过程信息对应的解密配置信息对目标应用获取到的数据密文进行解密,进而能够将解密后得到的数据明文提供给目标应用使用,满足业务需求。
综上,本发明实施例基于安全服务子系统和安全支撑子系统之间的交互,实现了对目标应用发送给存储池的数据进行加密,并且能够对目标应用从存储池获取的数据密文进行解密,即能够对存储池发送给目标应用的数据进行解密,保证目标应用与存储池之间数据传输的机密性,在满足业务需求的同时实现了数据的加密存储,且加密配置信息可以是依据租户提供的信息进行设置的,使得云租户能够对其所提供的数据资产进行自主防护,解决了现有云存储过程中云租户数据资产无法自主防护所导致的数据安全问题,消除了云租户对数据安全的顾虑,使得云计算服务的应用更加广泛,能够扩大云计算服务的应用范围,促进云计算服务的高速发展。
在本发明实施例中,可选的,数据安全管理系统还可以提供身份认证服务。具体的,安全服务子系统可以依据安全支撑子系统和预先设置的身份认证信息进行身份认证。若身份认证失败,则可以终止数据安全管理服务,如不生成数据密文对应的解密请求、不生成数据明文对应的数据密文等。若身份认证成功,则可以提供数据安全管理服务,如对数据密文进行数据加密、针对数据密文生成解密请求、对数据密文进行解密等等。其中,提供的身份认证服务可以包括以下至少一项:设置身份认证的方式、设置身份认证的模式,设置临时授权的条件、对特定用户控制身份认证的开闭等等。
可选的,身份认证的方式可以包括以下至少一种:静态口令认证方式、动态口令认证方式、生物特征认证方式、其他根据实际安全环境或安全防护需求自定义的认证方式等等,本发明实施例对此不作限制。身份认证的模式可以包括下至少一种:单因素认证模式、多因素认证模式、双向身份认证模式、其他根据实际安全环境或安全防护需求自定义的认证模式等等,本发明实施例对此也不作限制。身份认证模块在特定用户满足自定义条件时,可以对特定用户提供临时授权。
在本发明的一个可选实施例中,所述安全服务子系统110,还用于在所述目标应用获取到存储的数据密文和对应的加密识别码后,根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,针对所述目标应用获取到的数据密文,依据获取到的加密识别码生成对应的解密请求,将所述解密请求发送给所述安全支撑子系统。
例如,云应用可以根据加密日志内定义的存储规则,通过特定信道从云储存中获取特定的数据密文和对应的加密识别码,并且可以通过调用安全服务子系统对获取到的数据密文进行解密。具体而言,云应用可以通过安全服务子系统,根据数据安全管理系统在初始化配置中设置的身份认证方式和身份认证模式,与安全支撑子系统进行身份认证。如果数据安全管理系统在初始化配置中关闭了身份认证功能,则安全服务子系统可以直接按认证成功进行操作。若身份认证失败,则可以终止云数据安全管理服务;若身份认证成功,则可以提供云数据安全管理服务,亦即云应用可通过安全服务子系统,依据获取到加密识别码,向安全支撑子系统发起解密请求,如可以通过安全信道,将携带有加密识别码的解密请求提交给安全支撑子系统。
当然,在对数据明文进行加密之前,安全服务子系统也可以根据安全支撑子系统和预先配置的身份认证信息进行身份认证,本发明实施例对此不作限制。可选的,所述安全服务子系统,还用于根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,执行从所述安全支撑子系统中获取预先配置的加密配置信息的步骤。
例如,云应用可以通过安全服务子系统,根据初始化配置中设置的身份认证方式和身份认证模式,与安全支撑子系统进行身份认证。具体的,在云应用调用安全服务子系统后,若数据安全管理系统在初始化配置中关闭了身份认证功能,则安全服务子系统可以直接按认证成功进行操作;若数据安全管理系统在初始化配置中开启了身份认证功能,则安全服务子系统可以根据初始化配置中设置的身份认证方式和身份认证模式,与安全支撑子系统中进行身份认证。若身份认证失败,则可以终止云数据安全管理服务,如可以不生成数据明文对应的数据密文等;若身份认证成功,则可以提供云数据安全管理服务,亦即安全服务子系统可以根据初始化配置中设置的密码算法类型和加密模式,对云应用准备发送给云存储的数据明文进行数据加密,得到对应的数据密文和加密过程对应的加密识别码。
在本发明实施例中,加密识别码可以包含记录特定的数据加密操作对应的唯一标识号,如数据加密操作对应的流水号等。可选的,加密识别码中还可以包括数据密文的数据摘要,该数据摘要可以用于验证数据完整性。在具体实现中,安全服务子系统可以依据初始化配置中数据完整性验证的开闭设置情况,来确定是否需要依据数据摘要验证数据密文的数据完整性。若数据安全管理系统初始化配置中将数据完整性验证功能设置为开启状态,则安全服务子系统可以在数据加密后在加密识别码中添加原始数据摘要,并将添加了原始数据摘要的加密识别码到存储池进行存储,以便后处理中可以依据原始数据摘要验证获取到的数据密文的完整性。
在本发明的一个可选实施方式中,所述安全服务子系统110,还用于在将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统120之前,对生成的数据明文进行数据摘要运算,生成原始数据摘要,将所述原始数据摘要添加到所述加密识别码中;以及,对所述目标应用获取到的数据密文进行数据完整性验证,生成验证数据摘要,检测所述验证数据摘要是否与所述目标应用获取到的加密识别码中的原始数据摘要一致,若一致,则执行所述依据获取到的加密识别码生成对应的解密请求的步骤。
在具体实现中,可以基于应用场景,对数据安全管理系统中的子系统进行部署。具体而言,数据安全管理系统中的每个子系统可以包括一个或多个模块,如上述的安全服务子系统可以包括租户终端模块、用户终端模块、平台云端模块等等,安全支撑子系统可以包括数据安全模块、身份认证子模块等等,本发明实施例对此不作限制。
其中,安全支撑子系统中的数据安全模块在接收到数据安全服务子系统发送的加密后的加密过程信息和加密识别码后,可以按照特定规则进行拆分,拆分后可得到加密识别码和加密后的加密过程信息,以及,可使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息。在接收到安全服务子系统发送的解密请求后,数据安全模块还可以依据所述解密请求中携带的加密识别码,映射所述加密识别码对应解密后的加密过程信息;对映射到的加密过程信息进行处理,生成对应的解密配置信息,随后可将生成的解密配置信息反馈给所述安全服务子系统,使得安全服务子系统可以依据接收到的解密配置信息对目标应用获取到的数据密文进行解密。
在实际应用中,该数据安全管理系统中的子系统所包含的模块,可以使用不同的形态或方式部署在应用场景中的。具体而言,为保证数据安全管理方法的用户体验,该数据安全管理系统中每个模块,如安全服务子系统中的租户终端模块、平台云端模块和用户终端模块,安全支撑子系统中的数据安全模块和身份认证模块等等,都可以采用软件、硬件部署在应用场景的处理端中。该处终端可以包括云计算服务过程中的任意一处理端,如租户终端、用户终端、云平台中的云端设备(简称平台云端)等等。平台云端可以包括云应用所在的设备,如服务器设备。当然,数据安全管理系统中每个模块也可以采用其他方式部署在应用场景中,如可以采用安全插件、服务接口、应用程序编程接口(Application ProgrammingInterface,API)、软件开发工具包(Software Development Kit,SDK)等方式进行部署,还可以采用其他根据实际安全环境或安全防护需求定制的形态部署在应用场景中,本发明实施例对此不作限制。
作为本发明的一个示例,如图2所示,该数数据管理系统100可以由安全服务子系统110和安全支撑子系统120组成,可以为云租户、云应用、云用户提供云数据安全管理服务。具体的,安全服务子系统110可以为云租户、云应用、云用户提供云数据安全管理服务,具体可以包括以下至少两个模块:租户终端模块211、平台云端模块212和用户终端模块213。安全支撑子系统120可以与安全服务子系统110的租户终端模块211、平台云端模块212、用户终端模块213进行交互,并且可以为云租户、云应用、云用户获得云数据安全管理服务提供支撑,具体可以包括身份认证模块221、数据安全模块121。
其中,租户终端模块211可以是云租户参与云计算服务的安全媒介,具体可以包括身份认证子模块、数据安全子模块和安全配置子模块。身份认证子模块可以与安全支撑子系统120的身份认证模块221进行交互,实现云租户与安全支撑子系统120的身份认证。数据安全子模块可以基于国密兼容国际主流标准密码算法,与安全支撑子系统120的数据安全模块121进行交互,保证云租户与云应用间数据传输的机密性和完整性。
具体的,在云租户与云应用的交互过程中,租户终端模块221中的数据安全子模块可以依据预先在安全支撑子系统120的数据安全模块121中设置的对称密码算法或/和非对称密码算法,对云租户发送给云应用的数据明文进行加密、对云应用发送给云租户的数据密文进行解密,从而保证云租户与云应用间数据传输的机密性。此外,租户终端模块221中的数据安全子模块还支持摘要算法,可以依据摘要算法对云租户与云应用间传输的数据进行完整性验证。
租户终端模块221中的安全配置子模块可以用于配置云数据安全管理系统,具体可以包括身份认证配置、数据安全配置。一个可选示例中,云租户可以通过部署在租户终端中的租户终端模块211,对安全支撑子系统120的身份认证模块221进行身份认证配置,具体可以包括用户帐号管理、身份认证管理等等。具体的,数据安全管理系统中可以支持人工手动和自动这两种方式对用户帐号进行管理,如云租户可以从数据安全管理系统的系统界面添加用户帐号,并且可以设置用户分组、用户权限和用户根密钥等等;又如,租户终端模块211中的安全配置子模块可以根据云租户设置的导入策略,从离线文件或云应用批量、动态导入用户帐号,并且可自动配置用户分组、用户权限和用户根密钥等等。
当然,云租户可以通过租户终端模块221的安全配置子模块对数据安全管理系统中的身份认证进行管理,如可以设置身份认证的方式,具体可以包括:静态口令认证方式、动态口令认证方式、生物特征认证方式、其他根据实际安全环境或安全防护需求自定义的认证方式等等,生物特征认证方式可以利用诸如指纹、虹膜、声纹等其中一种或几种生物特征进行认证;又如可以设置身份认证的模式,可以包括单因素认证模式、多因素认证模式、双向身份认证模式、其他根据实际安全环境或安全防护需求自定义的认证模式等等,多因素认证模式可以采用一种或多种身份认证方式,如可以静态口令认证方式、动态口令认证方式以及生物特征认证方式等;又如可以对特定用户设置身份认证的开闭情况,如针对认证流程繁琐的情形,可对特定用户关闭身份认证功能,以简化特定用户的认证流程;还可设置临时授权的条件,以在满足自定义条件时对特定用户提供临时授权等等。
此外,云租户也可以通过租户终端模块,对安全支撑子系统的身份认证模块进行身份认证配置,如设置机密性管理信息、完整性管理信息。其中,机密性管理信息可以包括以下至少一项:加密配置信息、密码算法类型设置信息、加密模式设置信息、密钥配置信息、临时密钥设置信息等等。加密配置信息可包括数据安全管理系统中设置的密码算法、加密模式等等,密码算法可包括对称密码算法和非对称密码算法。密码算法类型设置信息可以用于设置密码算法类型。在已设置密码算法类型的情况下,可以选择密码算法。加密模式设置信息可以用于设置加密模式,如可以设置一次加密、迭代加密(多重加密)、其他根据实际安全环境或安全防护需求自定义的加密模式等等。密钥配置信息可以用于对密钥分类、分配、注入、存储、更新、销毁、查询等过程进行配置。临时密钥设置信息可以用于设置提供临时密钥的条件,以在满足云租户自定义的临时密钥的条件时,对特定用户提供临时密钥。完整性管理信息可以用于控制数据完整性验证的开闭,如在开启数据安全管理系统的数据完整性验证功能时,可以选择摘要算法对数据明文进行数据完整性验证。
平台云端模块212可以是云应用参与云计算服务的安全媒介,可以包括身份认证子模块和数据安全子模块。平台云端模块212中的身份认证子模块可以与安全支撑子系统120的身份认证模块221交互,实现云应用与安全支撑子系统120的身份认证。平台云端模块212中的数据安全子模块可以基于国密兼容国际主流标准密码算法,与安全支撑子系统120的数据安全模块121交互,保证云应用与云租户间数据传输的机密性和完整性。
具体的,在云应用与云租户的交互过程中,平台云端模块212中的数据安全子模块可依据安全支撑子系中预先设置的对称密码算法或/和非对称密码算法,对云应用发送给云租户的数据明文进行加密、对云租户发送给云应用的数据密文进行解密,从而保证云应用与云租户间数据传输的机密性;此外,平台云端模块212中的数据安全子模块还支持摘要算法,如可以依据信息-摘要算法(Message-Digest Algorithm 5,MD5)对云应用与云租户之间传输的数据密文进行完整性验证。
同理,在云应用与云存储的交互过程中,台云端模块212中的数据安全子模块也可以依据安全支撑子系中预先设置的对称密码算法或/和非对称密码算法,对云应用发送给云存储的数据明文进行加密,对云存储发送给云应用的数据密文进行解密,保证云应用与云存储间数据传输的机密性;还可以可以依据摘要算法,对云应用与云租户间数据传输进行完整性验证。
用户终端模块213可以是云用户参与云计算服务的安全媒介,可包括身份认证子模块、数据安全子模块。用户终端模块213中的身份认证子模块,可与安全支撑子系统120的身份认证模块221进行交互,实现云用户与安全支撑子系统120的身份认证。用户终端模块213中的数据安全子模块,可基于国密兼容国际主流标准密码算法,与安全支撑子系统120的数据安全模块121进行交互,从而保证云用户与云应用间数据传输的机密性和完整性。
具体的,在云用户与云应用的交互过程中,用户终端模块213中的数据安全子模块可以依据安全支撑子系中预先设置的对称密码算法或/和非对称密码算法,对云用户发送给云应用的数据明文进行加密、对云应用发送给云用户的数据密文进行解密,从而保证云用户与云应用间数据传输的机密性。此外,用户终端模块213中的数据安全子模块还支持摘要算法,可以依据摘要算法对云用户与云应用间传输的数据进行数据完整性验证,从而加强了信息安全的抗抵赖性。。
安全支撑子系120中的数据安全模块121可以为云数据安全管理服务提供支撑,可以用于设置包括数据安全管理信息。该数据安全管理信息包括以下至少一项:机密性管理信息、完整性管理信息和加解密管理信息等等。其中,机密性管理信息可与用于设置密码算法类型、加密模式、提供临时密钥的条件等等,还可以对密钥分类、分配、注入、存储、更新、销毁、查询等过程进行配置。完整性管理信息可以用于控制是否提供数据完整性验证服务,如可以控制是否开启数据安全管理系统的数据完整性验证功能。在开启数据安全管理系统的数据完整性验证功能时,可以选择摘要算法对数据明文进行完整性验证。加解密管理信息可以用于提供加密识别码和加密过程信息的关联存储与查询服务。例如,安全支撑子系120中的数据安全模块121可以对加密过程信息进行逆向处理,得到该加密过程信息对应的解密配置信息,该解密配置信息可以用于实现特定数据加密操作对应的数据解密操作。此外,数据安全模块121还可以对加密识别码和加密过程信息进行关联存储,且在存储过程中可以不破坏多类数据对象间的关联关系,如可从加密过程信息数据库中读取加密过程信息,随后进而依据读取到的加密过程信息查找到对应的加密识别码。
在本示例中,云应用可以通过平台云端模块,根据数据安全管理系统在初始化配置中设置的身份认证方式和身份认证模式,与安全支撑子系统进行身份认证。如果数据安全管理系统在初始化配置中关闭了身份认证功能,则可以直接按认证成功进行操作。若身份认证失败,则可以终止云数据安全管理服务;若身份认证成功,则云应用可以通过平台云端模块与从安全支撑子系统进行交互,确定数据安全管理系统在初始化配置过程中设置的密码算法来写和加密模式,随后可根据初始化配置中设置的密码算法类型和加密模式,对云应用准备发送给云存储的数据明文进行数据加密,得到加密后的数据密文,如图3所示。若数据安全管理系统开启了数据完整性验证,则平台云端模块可在数据加密后,对数据密文进行数据摘要运算,生成原始数据摘要,并将该原始数据摘要写入加密识别码中。若数据安全管理系统未开启数据完整性验证,则加密识别码可以不包含原始数据摘要,只包含唯一标识号,本发明实施例对此不作限制。
平台云端模块可通过特定信道,将云应用的数据密文和加密识别码发送给云存储,以通过云存储对数据密文和加密识别码进行关联存储;同时,可以提取数据加密的加密过程信息,对提取到的加密过程信息进行封装,并可以使用预先在安全支撑子系统中设置的用户根密钥,如云应用的用户根密钥进行加密,即可以利用非对称加密技术对加密过程信息进行加密,得到加密后的加密过程信息,以及可按照特定规则对添加了原始验证数据摘要的加密识别码和加密后的加密过程信息进行封装,随后可通过安全通道,将封装后的加密后的加密过程信息和添加了原始数据摘要的加密识别码发送给安全支撑子系统。
安全支撑子系统在接收到平台云端模块发送的加密后的加密过程信息和加密识别码后,可以按照预设的特定规则对接收到的加密识别码和加密后的加密过程信息进行拆分。在拆分得到加密识别码和加密后的加密过程信息后,可使用平台云端模块对应的用户公钥对加密后的加密过程信息进行解密,得到加密过程信息,以及可以对加密识别码和加密过程信息进行关联存储,以便后续处理中可依据加密识别码映射出对应关联存储的加密过程信息。
云存储在接收云应用发送的数据密文和加密识别码后,可根据加密识别码中加密日志内定义的存储规则,对数据密文和加密识别码进行关联存储。
此外,云应用还可以根据加密日志内定义的存储规则,通过特定信道,从云存储中获取特定的数据密文和对应的加密识别码。云应用在获取到存储的数据密文和对应的加密识别码后,可以通过平台云端模块对获取到的数据密文进行数据完整性验证。具体而言,在云应用获取到存储的数据密文和对应的加密识别码后,平台云端模块可以根据在数据安全管理系统初始化配置中设置的数据完整性验证情况进行数据完整性验证。如果初始化配置中关闭了数据完整性验证,则可以直接按验证成功进行操作。在数据安全管理系统中开启了数据完整性验证的情况下,云应用可以通过平台云端模块,对获取到的数据密文进行数据完整性验证,生成验证数据摘要,随后可将该验证数据摘要与获取到的加密识别码中的原始数据摘要进行比较、匹配。若匹配失败,则可以终止云数据安全管理服务。若匹配成功,则云应用可以通过平台云端模块,根据初始化配置中设置的身份认证方式和身份认证模式,与安全支撑子系统进行身份认证。如果初始化配置中关闭了身份认证功能,则可以直接按认证成功进行操作。若身份认证失败,则可以终止云数据安全管理服务;若身份认证成功,则云应用可以通过平台云端模块,提取获取到的加密识别码,以依据该获取到的加密识别码,针对获取到的数据密文向安全支撑子系统发起解密请求,如图4所示,可以通过安全信道,将携带加密识别码的解密请求提交给安全支撑子系统。
安全支撑子系统可响应解密请求。具体的,安全支撑子系统中的数据安全模块可以从该解密请求中提取加密识别码,然后可以依据加密识别码中的唯一标识号,然后在加密过程信息数据库中对该唯一标识号进行映射,以映射出数据加密时的加密过程信息。安全支撑子系统中的数据安全模块可以对映射出的加密过程信息进行逆向处理,得到对应的解密配置信息,随后可通过安全信道将解密配置信息发送给平台云端模块,即平台云端模块可以通过安全通道,从安全支撑子系统提取到解密配置信息,以依据提取到的解密配置信息对数据密文进行解密。
具体的,平台云端模块可以根据解密配置信息中的密码算法类型、密码算法、解密模式、解密密钥等,对云应用获取到的数据密文进行数据解密,得到数据明文,将数据明文提供给云应用使用,满足业务需求。
可选的,平台云端模块还可以在数解密过程中,还可以记录对应的解密日志,以便后续可依据记录的解密日志进行分析审计。
在本发明实施例中,可以根据实际安全环境或安全防护需求,对特定用户设置身份认证的开闭,从而保证数据安全管理系统的效率和性能。例如,数据安全管理系统在采用特定的技术或管理措施保证云租户、云应用、云用户的真实性前提下,可以针对特定用户关闭身份认证功能,以提高数据安全管理系统的处理效率。
本发明实施例中,可选地,针对初始化、系统维护或其他特定的需求,数据安全管理系统可以对特定用户提供临时授权,如可以对特定用户提供临时密钥,提高用户体验。
为了保证云数据安全管理系统的效率和性能,也可以根据实际安全环境或安全防护需求,可以设置数据安全管理系统的数据完整性验证功能的开闭情况,本发明实施例对此不作限制。
参照图5,示出了本发明的一种数据安全管理方法实施例的步骤流程图。该数据安全管理方法可以应用于上述的数据安全管理系统中,具体可以包括如下步骤:
步骤501,安全服务子系统针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给安全支撑子系统。
步骤502,安全支撑子系统接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息,对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统。其中,解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的。
步骤503,所述安全服务子系统依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
在本发明的一个可选实施例中,在所述目标应用获取到存储的数据密文和对应的加密识别码后,还包括:所述安全服务子系统根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,针对所述目标应用获取到的数据密文,依据获取到的加密识别码生成对应的解密请求,将所述解密请求发送给所述安全支撑子系统。
在本发明实施例中,可选的,在将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统之前,还包括:所述安全服务子系统对生成的数据明文进行数据摘要运算,生成原始数据摘要,将所述原始数据摘要添加到所述加密识别码中。在所述目标应用获取到存储的数据密文和对应的加密识别码后,还包括:所述安全服务子系统对获取到的数据密文进行数据完整性验证,生成验证数据摘要,检测所述验证数据摘要是否与所述目标应用获取到的加密识别码中的原始数据摘要一致,若一致,则执行所述依据获取到的加密识别码生成对应的解密请求的步骤。
在本发明的一个可选实施例中,还包括:所述安全服务子系统根据所述安全支撑子系统和预先配置的身份认证信息进行身份认证;在认证成功后,执行从所述安全支撑子系统中获取预先配置的加密配置信息的步骤。
在本发明的一个可选实施例中,所述加密过程信息包括以下至少一项:加密密码算法类型、加密密码算法、加密模式、加密密钥和加密日志。所述解密配置信息包括以下至少一项:解密密码算法类型、解密密码算法、解密模式、解密密钥和解密日志。
作为本发明的一个具体示例,本发明实施例中的数据安全管理系统可以应用在公有云场景下,如图6所示。数据安全管理系统可以包括安全服务子系统和安全支撑子系统。云租户可以通过安全服务子系统中的租户终端模块,对云数据安全管理系统进行初始化配置。具体的,云租户可以通过租户终端模块的安全配置子模块添加云数据安全管理系统的用户,如可以设置导入策略。具体的,租户终端模块可以根据云租户设置的导入策略,从离线文件批量导入用户帐号,同时可随着云应用运行从云应用动态导入用户帐号,自动配置用户分组、用户权限和用户根密钥。当然,云租户还可以通过租户终端模块设置身份认证信息,如将身份认证方式设置为动态口令认证方式、将身份认证模式设置为双向身份认证模式、将身份认证功能设置为开启状态,设置不提供临时授权服务、设置密码算法类型为对称密码算法类型、将密码算法设置为国产密码算法SM1、将加密模式设置为一次加密模式,将密钥管理过程信息配置为默认模式的信息、设置不提供临时密钥,将完整性验证功能设置开启状态、设置采用国产密码算法SM3进行完整性验证,等等。
例如,在云应用与云存储进行数据交互的过程中,云应用可以通过安全服务子系统的平台云端模块,采用动态口令认证方式,与安全支撑子系统进行双向身份认证。如果身份认证失败,则可以终止云数据安全管理服务。如果身份认证成功,则平台云端模块可以利用SM1算法,采用一次加密模式,对云应用准备发送给云存储的数据明文进行数据加密。在数据加密后,平台云端模块可以利用SM3算法对数据密文进行数据摘要运算,生成数据摘要,并且可以将原始数据摘要写入到加密识别码中,随后可通过特定信道,将云应用的数据密文和加密识别码发送给云存储。平台云端模块可以提取数据加密的加密过程信息,按照预设的特定规则进行封装,并且可使用云应用的用户根密钥,利用非对称加密技术对封装的加密过程信息进行加密,得到加密后的加密过程信息,然后可将加密后的加密过程信息附上加密识别码,通过安全信道提交给安全支撑子系统。
安全支撑子系统在接收平台云端模块发送的加密后的加密过程信息和加密识别码,可以使用平台云端模块对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息。例如,在接收到平台云端模块发送的加密后的加密过程信息和加密识别码后,安全支撑子系统可以按照预设的特定规则进行拆分,以及使用平台云端模块对应的用户公钥,对拆分后得到的加密后的加密过程信息进行解密,得到解密后的加密过程信息,以及可以对解码后的加密过程信息和加密识别码进行关联存储。
云存储接收云应用发送的数据密文和加密识别码后,可以根据加密识别码中加密日志内定义的存储规则,对数据密文和加密识别码进行关联存储。
此外,云应用可以根据加密日志内定义的存储规则,通过特定信道,从云存储中获取特定的数据密文和对应的加密识别码。在获取到数据密文和对应的加密识别码后,云应用可以通过平台云端模块,利用SM3算法对数据密文进行数据完整性验证,生成验证数据摘要,然后可以将该验证数据摘要与加密识别码中的原始数据摘要进行匹配。如果匹配失败,则可以终止云数据安全管理服务。如果匹配成功,则云应用可以通过安全服务子系统的平台云端模块,采用动态口令认证方式与安全支撑子系统进行双向身份认证。如果身份认证失败,则可以终止云数据安全管理服务。如果身份认证成功,则云应用可通过平台云端模块,提取加密识别码,针对获取到的数据密文发起解密请求。平台云端模块可以通过安全信道将该解密请求提交给安全支撑子系统。
安全支撑子系统可以响应解密请求,即从该解密请求中提取加密识别码中所包含的唯一标识号,然后将该唯一标识号与加密过程信息数据库中存储的加密识别码中的唯一标识号进行匹配,从而可以映射出数据加密时的加密过程信息;可对加密过程信息进行处理,得到对应的解密配置信息,以及可以通过安全信道,将该解密配置信息发送给平台云端模块,使得平台云端模块可以依据该解密配置信息对数据密文进行数据解密操作。具体的,平台云端模块可以根据解密配置信息中的密码算法类型、密码算法、解密模式、解密密钥和解密日志等,对云租户发送给云应用的数据密文进行数据解密,得到数据明文和记录对应的解密日志,并可将数据明文提供给云应用使用,满足业务需求。
综上,本发明实施例利用身份认证、密码技术,提出一种云数据安全管理系统和方法,解决现有技术在云租户数据资产无法自主防护、无法约束云服务商行为等方面存在的缺陷,实现云租户数据资产自主加密防护,能够有效约束云服务商行为,从而可以消除了云租户对数据安全的顾虑。
在具体实现中,即使云服务商提供的基础设施安全、云平台网络安全、云平台主机安全等层面的数据安全防护,防护效果受限于云服务商的技术能力和投入资源,云租户仍然可以通过本发明实施例提供的数据安全管理系统和方法对数据资产自主加密防护,从而解决了现有云计算服务过程云租户数据资产无法自主防护所导致的数据安全问题。
本发明实施例还可以有效约束云服务商行为。具体的,尽管云服务商自身的管理能力和权限远远高于云租户,对托管数据资产拥有实际控制权,可是云租户已对托管数据资产进行加密保护,云服务商在未获得云租户授权的情况下实际控制的是加密后的数据密文,该数据明文在不解密的情况下不具备使用价值,消除了云服务商泄漏和非授权使用云租户数据资产的风险。
对于方法实施例而言,由于其与系统实施例基本相似,所以描述的比较简单,相关之处参见系统实施例的部分说明即可。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时可以实现以下步骤:
所述安全服务子系统针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统;
所述安全支撑子系统接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息,对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
可选地,所述处理器执行所述程序时还可以实现以下步骤:
在所述目标应用获取到存储的数据密文和对应的加密识别码后,所述安全服务子系统根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,针对所述目标应用获取到的数据密文,依据获取到的加密识别码生成对应的解密请求,将所述解密请求发送给所述安全支撑子系统。
可选地,在将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统之前,所述处理器执行所述程序时还可以实现以下步骤:所述安全服务子系统对生成的数据明文进行数据摘要运算,生成原始数据摘要,将所述原始数据摘要添加到所述加密识别码中。
在所述目标应用获取到存储的数据密文和对应的加密识别码后,所述处理器执行所述程序时还可以实现以下步骤:所述安全服务子系统对获取到的数据密文进行数据完整性验证,生成验证数据摘要,检测所述验证数据摘要是否与所述目标应用获取到的加密识别码中的原始数据摘要一致,若一致,则执行所述依据获取到的加密识别码生成对应的解密请求的步骤。
可选地,所述处理器执行所述程序时还可以实现以下步骤:所述安全服务子系统根据所述安全支撑子系统和预先配置的身份认证信息进行身份认证;在认证成功后,执行从所述安全支撑子系统中获取预先配置的加密配置信息的步骤。
可选地,所述加密过程信息包括以下至少一项:加密密码算法类型、加密密码算法、加密模式、加密密钥和加密日志;所述解密配置信息包括以下至少一项:解密密码算法类型、解密密码算法、解密模式和解密密钥。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现本发明实施例中的数据安全管理方法的步骤。
对于电子设备、计算机可读存储介质实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种数据安全管理系统和方法,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (12)

1.一种数据安全管理系统,其特征在于,所述系统包括:安全服务子系统和安全支撑子系统;
所述安全服务子系统,用于针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统;
所述安全支撑子系统,用于接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息,对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统,还用于依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
2.根据权利要求1所述的系统,其特征在于,
所述安全服务子系统,还用于在所述目标应用获取到存储的数据密文和对应的加密识别码后,根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,针对所述目标应用获取到的数据密文,依据获取到的加密识别码生成对应的解密请求,将所述解密请求发送给所述安全支撑子系统。
3.根据权利要求2所述的系统,其特征在于,
所述安全服务子系统,还用于在将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统之前,对生成的数据明文进行数据摘要运算,生成原始数据摘要,将所述原始数据摘要添加到所述加密识别码中;以及,对所述目标应用获取到的数据密文进行数据完整性验证,生成验证数据摘要,检测所述验证数据摘要是否与所述目标应用获取到的加密识别码中的原始数据摘要一致,若一致,则执行所述依据获取到的加密识别码生成对应的解密请求的步骤。
4.根据权利要求1所述的系统,其特征在于,
所述安全服务子系统,还用于根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,执行从所述安全支撑子系统中获取预先配置的加密配置信息的步骤。
5.根据权利要求1至4任一所述的系统,其特征在于,
所述加密过程信息包括以下至少一项:加密密码算法类型、加密密码算法、加密模式、加密密钥和加密日志;
所述解密配置信息包括以下至少一项:解密密码算法类型、解密密码算法、解密模式、解密密钥。
6.一种数据安全管理方法,其特征在于,应用于数据安全管理系统,所述系统包括安全服务子系统和安全支撑子系统,所述方法包括:
所述安全服务子系统针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统;
所述安全支撑子系统接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息,对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
7.根据权利要求6所述的方法,其特征在于,还包括:
在所述目标应用获取到存储的数据密文和对应的加密识别码后,所述安全服务子系统根据预先配置的身份认证信息和所述安全支撑子系统进行身份认证;在认证成功后,针对所述目标应用获取到的数据密文,依据获取到的加密识别码生成对应的解密请求,将所述解密请求发送给所述安全支撑子系统。
8.根据权利要求7所述的方法,其特征在于,
在将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统之前,还包括:所述安全服务子系统对生成的数据明文进行数据摘要运算,生成原始数据摘要,将所述原始数据摘要添加到所述加密识别码中;
在所述目标应用获取到存储的数据密文和对应的加密识别码后,还包括:所述安全服务子系统对获取到的数据密文进行数据完整性验证,生成验证数据摘要,检测所述验证数据摘要是否与所述目标应用获取到的加密识别码中的原始数据摘要一致,若一致,则执行所述依据获取到的加密识别码生成对应的解密请求的步骤。
9.根据权利要求6所述的方法,其特征在于,还包括:
所述安全服务子系统根据所述安全支撑子系统和预先配置的身份认证信息进行身份认证;在认证成功后,执行从所述安全支撑子系统中获取预先配置的加密配置信息的步骤。
10.根据权利要求6至9任一所述的方法,其特征在于,
所述加密过程信息包括以下至少一项:加密密码算法类型、加密密码算法、加密模式、加密密钥和加密日志;
所述解密配置信息包括以下至少一项:解密密码算法类型、解密密码算法、解密模式和解密密钥。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
所述安全服务子系统针对目标应用中待存储的数据明文,从所述安全支撑子系统中获取预先配置的加密配置信息,根据所述加密配置信息对待存储的数据明文进行加密,得到数据密文和加密过程对应的加密识别码,将所述数据密文和所述加密过程对应的加密识别码发送到存储池进行关联存储;以及,使用所述安全支撑子系统中预先配置的用户根密钥,利用预置的非对称密码算法对所述数据密文对应的加密过程信息进行加密,得到加密后的加密过程信息,将所述加密后的加密过程信息和所述加密识别码提交给所述安全支撑子系统;
所述安全支撑子系统接收安全服务子系统发送的加密后的加密过程信息和加密识别码,使用安全服务子系统对应的用户公钥对加密后的加密过程信息进行解密,得到解密后的加密过程信息;以及,在接收到解密请求后,依据所述解密请求中携带的加密识别码映射对应解密后的加密过程信息;对映射到的加密过程信息进行处理,生成对应的解密配置信息,将所述解密配置信息反馈给所述安全服务子系统,所述解密请求为所述安全服务子系统针对所述目标应用获取到的数据密文发送的;
所述安全服务子系统依据所述解密配置信息对所述获取到的数据密文进行解密,生成对应的数据明文,将生成的数据明文提供给所述目标应用。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求6至10任一项所述方法的步骤。
CN201711460058.4A 2017-12-28 2017-12-28 一种数据安全管理系统和方法 Active CN107911393B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711460058.4A CN107911393B (zh) 2017-12-28 2017-12-28 一种数据安全管理系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711460058.4A CN107911393B (zh) 2017-12-28 2017-12-28 一种数据安全管理系统和方法

Publications (2)

Publication Number Publication Date
CN107911393A true CN107911393A (zh) 2018-04-13
CN107911393B CN107911393B (zh) 2019-01-25

Family

ID=61871704

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711460058.4A Active CN107911393B (zh) 2017-12-28 2017-12-28 一种数据安全管理系统和方法

Country Status (1)

Country Link
CN (1) CN107911393B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108880806A (zh) * 2018-08-01 2018-11-23 深圳三角形科技有限公司 加密、解密方法、芯片及可读存储介质
CN110968743A (zh) * 2019-12-13 2020-04-07 支付宝(杭州)信息技术有限公司 针对隐私数据的数据存储、数据读取方法及装置
CN111740826A (zh) * 2020-07-20 2020-10-02 腾讯科技(深圳)有限公司 基于加密代理网关的加密方法、解密方法、装置及设备
CN112202709A (zh) * 2020-08-25 2021-01-08 中国电力科学研究院有限公司 一种全场景物联网设备安全管理系统及方法
CN112306579A (zh) * 2020-11-12 2021-02-02 北京轩宇信息技术有限公司 一种数据传输系统及方法
CN112434310A (zh) * 2019-08-24 2021-03-02 丁爱民 一种存储设施数权保护方法及装置
CN112954065A (zh) * 2021-02-26 2021-06-11 厦门熵基科技有限公司 一种数据推送方法、装置、电子设备及存储介质
CN114338184A (zh) * 2021-12-29 2022-04-12 中国电信股份有限公司 通信加密方法、装置、非易失性存储介质及处理器
CN115242545A (zh) * 2022-08-06 2022-10-25 山西工程科技职业大学 一种物联网设备数据的安全管理方法及系统
CN116611035A (zh) * 2023-04-24 2023-08-18 苏州魔视智能科技有限公司 应用软件的运行方法、管理方法、设备及可读存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039182A (zh) * 2007-03-07 2007-09-19 广东南方信息安全产业基地有限公司 认证系统及用户标识证书发放方法
CN101727407A (zh) * 2008-10-29 2010-06-09 东北大学兴科中小企业服务中心 安全存储系统和方法
CN101882996A (zh) * 2010-05-28 2010-11-10 南京邮电大学 一种基于身份的分布式系统中信息加密与解密的方法
US20150016606A1 (en) * 2013-07-12 2015-01-15 Kabushiki Kaisha Toshiba Generating device, re-encrypting device, method, and computer program product
CN105009140A (zh) * 2012-12-24 2015-10-28 罗文有限公司 密码管理方法和装置
CN105357012A (zh) * 2015-10-26 2016-02-24 上海易码信息科技有限公司 不依赖于本地密钥的对移动应用程序的认证方法
CN105554008A (zh) * 2015-12-28 2016-05-04 联想(北京)有限公司 用户终端、认证服务器、中间服务器、系统和传送方法
US20160182239A1 (en) * 2014-12-23 2016-06-23 Banco De Mexico Method for certifying and authentifying security documents based on a measure of the relative variations of the different processes involved in its manufacture

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039182A (zh) * 2007-03-07 2007-09-19 广东南方信息安全产业基地有限公司 认证系统及用户标识证书发放方法
CN101727407A (zh) * 2008-10-29 2010-06-09 东北大学兴科中小企业服务中心 安全存储系统和方法
CN101882996A (zh) * 2010-05-28 2010-11-10 南京邮电大学 一种基于身份的分布式系统中信息加密与解密的方法
CN105009140A (zh) * 2012-12-24 2015-10-28 罗文有限公司 密码管理方法和装置
US20150016606A1 (en) * 2013-07-12 2015-01-15 Kabushiki Kaisha Toshiba Generating device, re-encrypting device, method, and computer program product
US20160182239A1 (en) * 2014-12-23 2016-06-23 Banco De Mexico Method for certifying and authentifying security documents based on a measure of the relative variations of the different processes involved in its manufacture
CN105357012A (zh) * 2015-10-26 2016-02-24 上海易码信息科技有限公司 不依赖于本地密钥的对移动应用程序的认证方法
CN105554008A (zh) * 2015-12-28 2016-05-04 联想(北京)有限公司 用户终端、认证服务器、中间服务器、系统和传送方法

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108880806A (zh) * 2018-08-01 2018-11-23 深圳三角形科技有限公司 加密、解密方法、芯片及可读存储介质
CN112434310A (zh) * 2019-08-24 2021-03-02 丁爱民 一种存储设施数权保护方法及装置
CN110968743A (zh) * 2019-12-13 2020-04-07 支付宝(杭州)信息技术有限公司 针对隐私数据的数据存储、数据读取方法及装置
CN110968743B (zh) * 2019-12-13 2021-07-06 支付宝(杭州)信息技术有限公司 针对隐私数据的数据存储、数据读取方法及装置
CN111740826A (zh) * 2020-07-20 2020-10-02 腾讯科技(深圳)有限公司 基于加密代理网关的加密方法、解密方法、装置及设备
CN112202709B (zh) * 2020-08-25 2023-03-24 中国电力科学研究院有限公司 一种全场景物联网设备安全管理系统及方法
CN112202709A (zh) * 2020-08-25 2021-01-08 中国电力科学研究院有限公司 一种全场景物联网设备安全管理系统及方法
CN112306579A (zh) * 2020-11-12 2021-02-02 北京轩宇信息技术有限公司 一种数据传输系统及方法
CN112306579B (zh) * 2020-11-12 2023-09-01 北京轩宇信息技术有限公司 一种数据传输系统及方法
CN112954065A (zh) * 2021-02-26 2021-06-11 厦门熵基科技有限公司 一种数据推送方法、装置、电子设备及存储介质
CN112954065B (zh) * 2021-02-26 2023-12-29 厦门熵基科技有限公司 一种数据推送方法、装置、电子设备及存储介质
CN114338184A (zh) * 2021-12-29 2022-04-12 中国电信股份有限公司 通信加密方法、装置、非易失性存储介质及处理器
CN115242545A (zh) * 2022-08-06 2022-10-25 山西工程科技职业大学 一种物联网设备数据的安全管理方法及系统
CN115242545B (zh) * 2022-08-06 2023-12-08 山西工程科技职业大学 一种物联网设备数据的安全管理方法及系统
CN116611035A (zh) * 2023-04-24 2023-08-18 苏州魔视智能科技有限公司 应用软件的运行方法、管理方法、设备及可读存储介质

Also Published As

Publication number Publication date
CN107911393B (zh) 2019-01-25

Similar Documents

Publication Publication Date Title
CN107911393B (zh) 一种数据安全管理系统和方法
KR102545407B1 (ko) 분산된 문서 및 엔티티 검증 엔진
CN108183899B (zh) 一种数据安全管理系统和方法
US20180082050A1 (en) Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
KR102381153B1 (ko) 신원 정보에 기초한 암호화 키 관리
CN110462658A (zh) 用于提供数字身份记录以核实用户的身份的系统和方法
CN109525400A (zh) 安全处理方法、系统和电子设备
KR101724401B1 (ko) 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
CN111431719A (zh) 一种移动终端密码保护模块、移动终端及密码保护方法
CN110222531A (zh) 一种访问数据库的方法、系统及设备
JP2018504789A (ja) 決済認証システム、方法及び装置
CN109960903A (zh) 一种应用加固的方法、装置、电子设备及存储介质
CN106991298A (zh) 应用程序对接口的访问方法、授权请求方法及装置
EP3206329B1 (en) Security check method, device, terminal and server
CN110401615A (zh) 一种身份认证方法、装置、设备、系统及可读存储介质
CN107871081A (zh) 一种计算机信息安全系统
CN110290134A (zh) 一种身份认证方法、装置、存储介质及处理器
CN113472521A (zh) 基于区块链的实名数字身份管理方法、签名设备和验证设备
CN111460420A (zh) 一种基于区块链使用电子印章的方法、设备及介质
US11251941B2 (en) Managing cryptographic keys based on identity information
US10938808B2 (en) Account access
US8745375B2 (en) Handling of the usage of software in a disconnected computing environment
Bulusu et al. A study on cloud computing security challenges
CN109831300A (zh) 一种密钥销毁方法及装置
CN108416224A (zh) 一种数据加解密方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant