CN108809906A - 数据处理方法、系统及装置 - Google Patents
数据处理方法、系统及装置 Download PDFInfo
- Publication number
- CN108809906A CN108809906A CN201710305566.9A CN201710305566A CN108809906A CN 108809906 A CN108809906 A CN 108809906A CN 201710305566 A CN201710305566 A CN 201710305566A CN 108809906 A CN108809906 A CN 108809906A
- Authority
- CN
- China
- Prior art keywords
- data
- cloud
- encryption
- encryption equipment
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种数据处理方法、系统及装置,属于数据库技术领域。所述方法包括:客户端向云管理机发送触发请求,云管理机根据触发请求触发第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典,工作程序用于指示第一云加密机的运行策略;客户端向数据库代理发送数据处理请求;数据库代理在确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和数据密钥标识;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理。本发明中的密钥体系和数据库分离,可以提高数据库的安全性。
Description
技术领域
本发明涉及数据库技术领域,特别涉及一种数据处理方法、系统及装置。
背景技术
为了满足用户对数据库的安全性的需求,数据库需要对写入数据库的数据进行加密,并对从数据库中读取的数据进行解密。
相关技术中,数据库采用透明数据加密模式对数据进行加密/解密。具体地,用户定义需要加密的列,数据库为包含该列的表创建一个数据密钥,再利用为数据库创建的主密钥对数据密钥进行加密,将主密钥存储在数据库中的“钱夹”中,将加密后的数据密钥存储在数据库中的数据字典中。当用户需要向该列写入数据时,数据库从“钱夹”中读取主密钥,利用主密钥解密数据字典中的数据密钥,利用数据密钥加密数据后写入该列中。当用户需要从该列中读取数据时,数据库从“钱夹”中读取主密钥,利用主密钥解密数据字典中的数据密钥,利用数据密钥解密从该列中读取的加密数据。
数据密钥和主密钥都由数据库生成,且都存储在数据库中,即,密钥体系耦合在数据库中,导致数据库的安全性不高。
发明内容
为了解决密钥体系耦合在数据库中,导致数据库的安全性不高的问题,本发明实施例提供了一种数据处理方法、系统及装置。所述技术方案如下:
第一方面,提供了一种数据处理方法,用于包括客户端、第一云加密机、云管理机、数据库代理和数据库的数据处理系统中,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
所述客户端向所述云管理机发送触发请求,所述云管理机根据所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述客户端向所述数据库代理发送数据处理请求;
所述数据库代理在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;
所述第一云加密机运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;
所述数据库代理利用所述处理后的数据响应所述数据处理请求。
第二方面,提供了一种数据处理方法,用于数据处理系统中的云管理机中,所述数据处理系统还包括客户端、第一云加密机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
接收所述客户端发送的触发请求;
根据所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述第一云加密机用于接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
第三方面,提供了一种数据处理方法,用于数据处理系统中的第一云加密机中,所述数据处理系统还包括客户端、云管理机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
在所述云管理机的触发下存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述工作程序用于指示所述第一云加密机的运行策略;
接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
第四方面,提供了一种数据处理方法,用于数据处理系统中的数据库代理中,所述数据处理系统还包括客户端、第一云加密机、云管理机和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
在所述云管理机的触发下存储加密数据字典,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述云管理机还用于触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述工作程序用于指示所述第一云加密机的运行策略;
接收所述客户端发送的数据处理请求;
在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;接收所述第一云加密机在运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理后发送的处理后的数据;利用所述处理后的数据响应所述数据处理请求。
第五方面,提供了一种数据处理方法,用于数据处理系统中的客户端中,所述数据处理系统还包括第一云加密机、云管理机、数据库代理和数据库的数据处理系统中,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
向所述云管理机发送触发请求,所述触发请求用于指示所述云管理机触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
向所述数据库代理发送数据处理请求,所述数据库代理用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;所述第一云加密机用于运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求。
第六方面,提供了一种数据处理系统,所述数据处理系统包括客户端、第一云加密机、云管理机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;
所述客户端,用于向所述云管理机发送触发请求,所述云管理机,用于根据所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述客户端,还用于向所述数据库代理发送数据处理请求;
所述数据库代理,用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;
所述第一云加密机,用于运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;
所述数据库代理,还用于利用所述处理后的数据响应所述数据处理。
第七方面,提供了一种数据处理装置,用于数据处理系统中的云管理机中,所述数据处理系统还包括客户端、第一云加密机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
接收模块,用于接收所述客户端发送的触发请求;
触发模块,用于根据所述接收模块接收的所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述第一云加密机用于接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
第八方面,提供了一种数据处理装置,用于数据处理系统中的第一云加密机中,所述数据处理系统还包括客户端、云管理机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
存储模块,用于在所述云管理机的触发下存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述工作程序用于指示所述第一云加密机的运行策略;
第一处理模块,用于接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
第九方面,提供了一种数据处理装置,用于数据处理系统中的数据库代理中,所述数据处理系统还包括客户端、第一云加密机、云管理机和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
存储模块,用于在所述云管理机的触发下存储加密数据字典,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述云管理机还用于触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述工作程序用于指示所述第一云加密机的运行策略;
接收模块,用于接收所述客户端发送的数据处理请求;
处理模块,用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;接收所述第一云加密机在运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理后发送的处理后的数据;利用所述处理后的数据响应所述数据处理请求。
第十方面,提供了一种数据处理装置,用于数据处理系统中的客户端中,所述数据处理系统还包括第一云加密机、云管理机、数据库代理和数据库的数据处理系统中,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
发送模块,用于向所述云管理机发送触发请求,所述触发请求用于指示所述云管理机触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述发送模块,还用于向所述数据库代理发送数据处理请求,所述数据库代理用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;所述第一云加密机用于运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求。
第十一方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在云管理机上运行时,使得云管理机执行上述第二方面所提供的数据处理方法。
第十二方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在第一云加密机上运行时,使得第一云加密机执行上述第三方面所提供的数据处理方法。
第十三方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在数据库代理上运行时,使得数据库代理执行上述第四方面所提供的数据处理方法。
第十四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在安装有客户端的用户管理终端上运行时,使得客户端执行上述第五方面所提供的数据处理方法。
本发明实施例提供的技术方案的有益效果是:
通过第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,数据库代理在接收到数据处理请求,且确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和数据密钥标识;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,由于根密钥种子和数据密钥种子存储在第一云加密机中,数据存储在数据库中,即,密钥体系与数据库分离,这样,即使数据库中的数据被泄露,若无法获取到第一云加密机中的根密钥种子和数据密钥种子,仍然无法解密数据,从而提高了数据库的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据部分示例性实施例示出的一种数据处理系统的结构示意图;
图2是根据部分示例性实施例示出的一种数据处理系统的硬件示意图;
图3是本发明一个实施例提供的数据处理方法的方法流程图;
图4是本发明另一实施例提供的数据处理方法的方法流程图;
图5是本发明另一实施例提供的数据处理方法的示意图;
图6是本发明另一实施例提供的数据处理方法的应用示意图;
图7是本发明一个实施例提供的数据处理装置的结构框图;
图8是本发明一个实施例提供的数据处理装置的结构框图;
图9是本发明一个实施例提供的数据处理装置的结构框图;
图10是本发明一个实施例提供的数据处理装置的结构框图;
图11是本发明再一实施例提供的终端的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
请参考图1,其示出了本发明实施例提供的一种数据处理系统的结构示意图。该数据处理系统包括客户端110、第一云加密机120、云管理机130、第二云加密机140、数据库代理150和数据库160。
云管理机130与多台云加密机保持网络连接,用于管理这些云加密机。其中,本实施例将其中与云管理机130保持专用网络连接的云加密机称为第二云加密机140,第二云加密机140用于生成根密钥种子,根密钥种子用于生成根密钥;本实施例将云管理机130为客户端110分配的云加密机称为第一云加密机120,第一云加密机120用于生成数据密钥种子,数据密钥种子用于生成数据密钥,第一云加密机120是云管理机130根据就近原则从未被分配给客户端的云加密机中选择的一台云加密机。
需要说明的是,云加密机可以通过加密芯片实现。其中,一个加密芯片可以实现为一个云加密机,此时该加密芯片只能为一个用户提供加解密服务。由于一个加密芯片的处理能力超过一个用户的加解密服务所需的处理能力,因此,加密芯片还剩余一些处理资源,此时,可以通过虚拟化技术将一个加密芯片实现为多个云加密机,即,一个加密芯片对应于多个云加密机。
可选的,还可以根据用户的需求为不同的云加密机分配不同的处理资源。比如,用户需求的大小与处理资源的多少呈正相关关系。
客户端110与云管理机130之间通过有线网络或无线网络建立网络连接。可选的,客户端110与云管理机130之间的网络连接是HTTPS(Hyper Text Transfer Protocol overSecure Socket Layer,基于安全套接层的超文本传输协议)连接,以提高客户端110与云管理机130之间传输的数据的安全性。
客户端110与数据库代理150之间通过有线网络或无线网络建立网络连接,数据库代理150与数据库160之间通过有线网络或无线网络建立网络连接。
数据库代理150与第一云加密机120之间建立基于CA(Certificate Authority;认证授权)证书的CA安全通道,以供数据库代理150和第一云加密机120之间传输数据。
需要说明的是,CA证书可以具有时效性,当CA安全通道所基于的CA证书失效时,数据库代理150与第一云加密机120之间重新建立基于新的CA证书的CA安全通道,以保证CA安全通道的安全性。
请参考图2,图2中的用户管理终端中安装有图1中的客户端110,应用云平台为图1中的数据库代理150,密码云平台包括图1中的第一云加密机120和第二云加密机140,密钥中心用于管理密码云平台,管理中心为图1中的云管理机130。
请参考图3,其示出了本发明一个实施例提供的数据处理方法的方法流程图,该数据处理方法可以应用于图1所示的数据处理系统中。该数据处理方法,包括:
步骤301,客户端向云管理机发送触发请求。
触发请求用于指示云管理机触发第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典。
步骤302,云管理机根据触发请求触发第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典。
工作程序用于指示第一云加密机的运行策略。
数据密钥种子用于生成数据密钥。数据密钥用于对将要写入数据库中的数据进行加密,或,数据密钥用于对从数据库中读出的数据进行解密。其中,数据密钥种子中携带有用于指示加密算法的标志位,第一云加密机在工作程序所指示的运行策略的控制下,根据该加密算法和数据密钥种子生成数据密钥。不同的加密算法生成不同的数据密钥。
数据密钥标识用于标识数据密钥种子。第一云加密机在工作程序所指示的运行策略的控制下,根据数据密钥标识识别出对应的数据密钥种子。
根密钥种子用于生成根密钥。其中,根密钥种子中携带有用于指示加密算法的标志位,第一云加密机在工作程序所指示的运行策略的控制下,根据该加密算法和根密钥种子生成根密钥。不同的加密算法生成不同的根密钥。
加密数据字典包括加密粒度,加密粒度是数据库、表和字段中的一种。比如,加密粒度是数据库时,第一云加密机对一个或多个数据库进行加密,或,加密粒度是表时,第一云加密机对一个数据库中的一张或多张表进行加密,或,加密粒度是字段时,第一云加密机对一张表中的一个或多个字段进行加密。
由于用户可能需要对不同的数据库加密,或,对数据库中不同的表进行加密,或,对不同表中的不同字段进行加密,在这些情况下,每种加密粒度对应的数据密钥是不同的,因此,加密数据字典还包括数据密钥标识,从而通过数据密钥标识来指示不同的加密粒度所对应的数据密钥。
由于客户端可以根据需求选择数据库、表和字段中的一种作为加密粒度,从而提高了数据库加密的灵活性。
步骤303,客户端向数据库代理发送数据处理请求。
步骤304,数据库代理在确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和加密数据字典所指示的数据密钥标识。
当数据处理请求是读请求时,数据满足加密数据字典是指从数据库中读取的数据位于加密数据字典的加密粒度中。比如,加密粒度是数据库a中的表b,若数据库代理读取的该数据位于表b中,则确定该数据满足加密数据字典;若数据库代理读取的该数据不在表b中,则确定该数据不满足加密数据字典。
数据库代理在确定加密粒度后,还需要确定与该加密粒度对应的数据密钥标识,生成携带有该数据和数据密钥标识的解密请求,将解密请求发送给第一云加密机。
当数据处理请求是写请求时,数据满足加密数据字典是指数据将要写入加密数据字典的加密粒度中。比如,加密粒度是数据库a中的表b,若数据库代理需要将该数据写入表b中,则确定该数据满足加密数据字典;若数据库代理不需要将该数据写入表b中,则确定该数据不满足加密数据字典。
数据库代理在确定加密粒度后,还需要确定与该加密粒度对应的数据密钥标识,生成携带有该数据和数据密钥标识的加密请求,将加密请求发送给第一云加密机。
步骤305,第一云加密机运行工作程序,利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,并将处理后的数据发送给数据库代理。
当数据处理请求是读请求时,第一云加密机在工作程序所指示的运行策略的控制下,利用数据密钥标识确定根密钥种子,根据根密钥种子生成根密钥,根据根密钥对数据和数据密钥标识加密后送入运算缓存区。在运算缓存区中,第一云加密机根据数据密钥标识确定数据密钥种子,根据数据密钥种子生成数据密钥,根据数据密钥对数据进行解密。第一云加密机从运算缓存区中读取解密后的数据,再根据根密钥对解密后的数据进行解密,将得到的数据发送给数据库代理。其中,运算缓存区用于缓存第一云加密机在处理客户端所请求处理的数据的过程中的中间数据。
当数据处理请求是写请求时,第一云加密机在工作程序所指示的运行策略的控制下,利用数据密钥标识确定根密钥种子,根据根密钥种子生成根密钥,根据根密钥对数据和数据密钥标识加密后送入运算缓存区。在运算缓存区中,第一云加密机根据数据密钥标识确定数据密钥种子,根据数据密钥种子生成数据密钥,根据数据密钥对数据进行加密。第一云加密机从运算缓存区中读取加密后的数据,再根据根密钥对加密后的数据进行解密,将得到的数据发送给数据库代理。
在这个过程中,根密钥对送入运算缓存区的数据进行加密,再对运算缓存区输出的数据进行解密,以保证运算缓存区中的数据的安全性。
步骤306,数据库代理利用处理后的数据响应数据处理请求。
当数据处理请求是读请求时,数据库代理将处理后的数据发送给客户端;当数据处理请求是写请求时,数据库代理将处理后的数据发送给数据库进行存储。
其中,步骤301和303可以单独实现成为客户端侧的实施例,步骤202可以单独实现成为云管理机侧的实施例,步骤304和306可以单独实现成为数据库代理侧的实施例,步骤305可以单独实现成为第一云加密机侧的实施例。
综上所述,本发明实施例提供的数据处理方法,通过第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,数据库代理在接收到数据处理请求,且确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和数据密钥标识;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理;由于根密钥种子和数据密钥种子存储在第一云加密机中,数据存储在数据库中,即,密钥体系与数据库分离,这样,即使数据库中的数据被泄露,若无法获取到第一云加密机中的根密钥种子和数据密钥种子,仍然无法解密数据,从而提高了数据库的安全性。
请参考图4,其示出了本发明另一详细实施例提供的数据处理方法的方法流程图,该数据处理方法可以应用于图1所示的数据处理系统中。本实施例以数据处理请求为读请求或写请求为例,对数据处理方法进行具体介绍。该数据处理方法,包括:
步骤401,客户端向云管理机发送第一触发请求。
其中,第一触发请求可以是云加密机购买请求,云加密机购买请求用于请求云管理机为客户端分配第一云加密机。
云加密机购买请求中至少携带有客户端的标识。可选的,云加密机购买请求中还可以携带客户端的属性信息,云管理机可以根据该属性信息为客户端分配第一云加密机。比如,属性信息可以用于指示客户端的地理位置,云管理机根据该属性信息和就近原则为客户端分配第一云加密机。
步骤402,云管理机根据第一触发请求触发第一云加密机存储根密钥种子和工作程序。
根密钥种子和工作程序的定义详见步骤202中的描述,此处不再赘述。
具体地,云管理机根据第一触发请求指示客户端选择第一加密算法,并将第一加密算法发送给第二云加密机;第二云加密机生成携带有用于指示第一加密算法的标志位的根密钥种子,并将根密钥种子发送给云管理机;云管理机接收第二云加密机发送的根密钥种子;云管理机指示客户端选择工作程序,将根密钥种子和工作程序发送给第一云加密机;第一云加密机对根密钥种子和工作程序进行存储。
云管理机利用客户端的标识进行登录,并显示加密算法选择界面,用户从该加密算法选择界面所显示的多种加密算法中选择一种加密算法,本实施例中将用户选择的加密算法称为第一加密算法。
云管理机将第一加密算法发送给第二云加密机之后,第二云加密机通过加密芯片生成携带有用于指示第一加密算法的标志位的根密钥种子,该技术已经非常成熟,此处不作赘述。
由于根据不同的第一加密算法可以生成不同的根密钥,因此,用户可以通过更新第一加密算法来更新根密钥,从而实现根据用户的需求动态更新密钥体系的目的。
云管理机在接收到根密钥种子后,显示工作程序选择界面,用户从该工作程序选择界面所显示的多种工作程序中选择一种工作程序。其中,在用户选择工作程序时,还需要选择是单用户模式还是多用户模式。当用户选择单用户模式时,说明一个加密芯片实现为一个云加密机时,该加密芯片的运算缓存区被分配给一个用户使用,通过工作程序来指示该运算缓存区;当用户选择多用户模式时,说明一个加密芯片实现为多个云加密机时,此时,该加密芯片的运算缓存区被划分成多个区间被分配给不同的用户使用,通过工作程序来指示分配给该用户的一个区间。
在第一云加密机存储了根密钥种子和工作程序后,确定完成初始化过程,关闭第一云加密机的写入电路,并向云管理机发送购买结果的响应,云管理机根据客户端的标识将购买结果的响应发送给客户端。
需要说明的是,在USBKey与第一云加密机相连时,第一云加密机将根密钥种子和工作程序写入USBKey中。写入了根密钥和工作程序的USBKey被离线交付给客户端的用户。
步骤403,客户端向云管理机发送第二触发请求。
其中,第二触发请求可以是数据库加密请求,数据库加密请求用于请求云管理机对数据库进行加密。
数据库加密请求中至少携带有客户端的标识和用户所请求加密的数据库的标识。
步骤404,云管理机根据第二触发请求触发第一云加密机存储数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典。
数据密钥种子、数据密钥标识和加密数据字典的定义详见步骤302中的描述,此处不再赘述。
具体地,云管理机根据第二触发请求通过数据库代理获取数据库的数据字典,并指示客户端选择第二加密算法和加密粒度;云管理机将第二加密算法发送给第一云加密机;第一云加密机生成数据密钥标识和携带有用于指示第二加密算法的标志位的数据密钥种子,将数据密钥标识发送给云管理机;云管理机将数据密钥标识和加密粒度写入加密数据字典发送给数据库代理;数据库代理对加密数据字典进行存储。
其中,云管理机通过数据库代理获取数据字典的过程为:云管理机向数据库代理发送携带有数据库的标识的数据字典获取请求,数据库代理根据数据库的标识确定出数据库,并向该数据库请求数据字典;数据库将数据字典发送给数据库代理,数据库代理将数据字典转发给云管理机。
云管理机利用客户端的标识进行登录,并显示加密粒度选择界面,用户从该加密粒度选择界面所显示的多种加密粒度中选择加密粒度。可选的,用户还可以选择多种加密粒度,比如,用户选择对一张表中的多个字段进行加密,此时,这多个字段对应于一组数据密钥;或者,用户选择对不同表中的字段进行加密,此时,每个表中的多个字段对应于一组数据密钥。
对于每组数据密钥,云管理机指示客户端选择第二加密算法。其中,云管理机指示客户端选择第二加密算法的流程与指示客户端选择第一加密算法的流程相同,此处不作赘述。
由于根据不同的第二加密算法可以生成不同的数据密钥,因此,用户可以通过更新第二加密算法来更新数据密钥,从而实现根据用户的需求动态更新密钥体系的目的。
云管理机将第二加密算法发送给第一云加密机之后,第一云加密机通过加密芯片生成携带有用于指示第二加密算法的标志位的数据密钥种子,并生成用于标识该数据密钥种子的数据密钥标识,该技术已经非常成熟,此处不作赘述。
第一云加密机还将数据密钥种子发送给云管理机,云管理机将数据密钥种子和加密粒度写入加密数据字典,并将加密数据字典发送给数据库代理进行存储。
可选的,在USBKey与客户端相连时,云管理机将获取到的数据密钥标识发送给第一云加密机;第一云加密机确定与数据密钥标识对应的根密钥种子和数据密钥种子,利用根据根密钥种子生成的根密钥对数据密钥种子进行加密,将数据密钥标识和加密后的数据密钥种子发送给云管理机;云管理机向客户端发送数据密钥标识和加密后的数据密钥种子;客户端将数据密钥标识和加密后的数据密钥种子写入USBKey中。
在客户端接收到数据密钥标识和加密后的数据密钥种子后,用户将USBKey与客户端相连,并通过客户端将数据密钥标识和加密后的数据密钥种子写入USBKey中。
本实施例中,USBKey中存储有根密钥种子、工作程序、数据密钥标识和加密后的数据密钥种子,这样,当第一云加密机中存储的根密钥种子、工作程序、数据密钥种子和数据密钥标识被销毁时,用户可以将USBKey与第一云加密机相连,并通过USBKey向第一云加密机备份根密钥种子、工作程序、数据密钥种子和数据密钥标识。其中,工作程序可以根据根密钥种子生成根密钥,再根据根密钥对加密后的数据密钥种子进行解密,得到数据密钥种子。
步骤405,客户端向数据库代理发送数据处理请求,当数据处理请求是读请求时,执行步骤406;当数据处理请求是写请求时,执行步骤409。
步骤406,数据库代理根据读请求从数据库中读取数据,在确定数据满足加密数据字典时,向第一云加密机发送携带有数据和加密数据字典所指示的数据密钥标识的解密请求。
其中,数据库代理确定从数据库中读取的数据满足加密数据字典,以及,向第一云加密机发送携带有数据和加密数据字典所指示的数据密钥标识的解密请求的流程详见步骤304中的描述,此处不作赘述。
需要说明的是,在数据库代理向第一云加密机发送解密请求之前,数据库代理向第一云加密机发送CA证书获取请求;第一云加密机向数据库代理发送CA证书;数据库代理利用CA证书与第一云加密机建立CA安全通道,CA安全通道用于供数据库代理和第一云加密机之间传输数据。
在CA安全通道建立后,数据库代理在CA安全通道上向第一云加密机发送解密请求。
可选的,本实施例中的CA证书具有时效性,当CA证书失效时,基于CA证书建立的CA安全通道也会失效,数据库代理需要重新向第一云加密机获取新的CA证书,并利用新的CA证书与第一云加密机建立新的CA安全通道,避免了使用固定的一种CA证书,在该CA证书被泄漏时,CA安全通道不安全的问题。
本实施例中,可以通过数据密钥对数据进行加密,通过根密钥对运算缓冲区进行加密,通过CA安全通道传输数据,形成了三层加密体系,提高了数据库加密的安全性。
步骤407,第一云加密机运行工作程序,利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行解密,并将解密后的数据发送给数据库代理。
具体地,第一云加密机通过运行的工作程序确定客户端对应的运算缓存区;第一云加密机根据与数据密钥标识对应的根密钥种子生成根密钥,并根据根密钥对数据和数据密钥标识进行加密后缓存到运算缓存区中;在运算缓存区中,第一云加密机根据数据密钥标识生成数据密钥,并根据数据密钥对数据进行解密;第一云加密机从运算缓存区中读取解密后的数据,并根据根密钥对解密后的数据进行解密。
其中,第一云加密机还利用根密钥对在运算缓存区中对数据进行处理的程序代码进行加密,这样,即使加密后的程序代码被泄露,由于无法获取到根密钥,因此,无法对加密后的程序代码进行解密,从而无法根据程序代码确定对数据的处理流程,可以进一步保证数据处理的安全性。
第一云加密机在CA安全通道上向数据库代理发送解密后的数据。
步骤408,数据库代理将解密后的数据发送给客户端,流程结束。
步骤409,数据库代理在确定写请求中的数据满足加密数据字典时,向第一云加密机发送携带有数据和加密数据字典所指示的数据密钥标识的加密请求。
其中,数据库代理确定写请求中的数据满足加密数据字典,以及,向第一云加密机发送携带有数据和加密数据字典所指示的数据密钥标识的加密请求的流程详见步骤304中的描述,此处不作赘述。
需要说明的是,在数据库代理向第一云加密机发送加密请求之前,数据库代理向第一云加密机发送CA证书获取请求;第一云加密机向数据库代理发送CA证书;数据库代理利用CA证书与第一云加密机建立CA安全通道,CA安全通道用于供数据库代理和第一云加密机之间传输数据。
在CA安全通道建立后,数据库代理在CA安全通道上向第一云加密机发送加密请求。
可选的,本实施例中的CA证书具有时效性,当CA证书失效时,基于CA证书建立的CA安全通道也会失效,数据库代理需要重新向第一云加密机获取新的CA证书,并利用新的CA证书与第一云加密机建立新的CA安全通道,避免了使用固定的一种CA证书,在该CA证书被泄漏时,CA安全通道不安全的问题。
步骤410,第一云加密机运行工作程序,利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行加密,并将加密后的数据发送给数据库代理。
具体地,第一云加密机通过运行的工作程序确定客户端对应的运算缓存区,运算缓存区用于缓存第一云加密机在处理客户端所请求处理的数据的过程中的中间数据;第一云加密机根据与数据密钥标识对应的根密钥种子生成根密钥,并根据根密钥对数据和数据密钥标识进行加密后缓存到运算缓存区中;在运算缓存区中,第一云加密机根据数据密钥标识生成数据密钥,并根据数据密钥对数据进行加密;第一云加密机从运算缓存区中读取加密后的数据,并根据根密钥对加密后的数据进行解密。
其中,第一云加密机还利用根密钥对在运算缓存区中对数据进行处理的程序代码进行加密,这样,即使加密后的程序代码被泄露,由于无法获取到根密钥,因此,无法对加密后的程序代码进行解密,从而无法根据程序代码确定对数据的处理流程,可以进一步保证数据处理的安全性。
第一云加密机在CA安全通道上向数据库代理发送加密后的数据。
步骤411,数据库代理将加密后的数据发送给数据库。
需要说明的是,第一云加密机在检测到用于非法探测根密钥种子和数据密钥种子的探测行为时,根据探测行为的攻击力度延迟响应探测行为或销毁第一云加密机中存储的根密钥种子和数据密钥种子。
其中,第一云加密机对应的加密芯片具有识别探测行为的功能。具体地,加密芯片在第一云加密机初始化完成后关闭写入电路,当黑客试图探测第一云加密机时,会通过写入电路执行非法写入行为或导出行为,这时,加密芯片能够根据写入电路的电平变化识别出探测行为。
在第一云加密机通过加密芯片确定存在探测行为时,根据探测行为的攻击力度延迟响应探测行为。比如,当攻击力度较弱时,第一云加密机延迟1小时响应探测行为;当攻击力度较强时,第一云加密机延迟1天响应探测行为。
由于黑客可以通过程序持续以高频率执行探测行为,这样,黑客可能在短时间内就会破解密钥体系,而在本实施例中,通过延迟响应探测行为可以降低探测行为的频率,使得黑客需要花费很长时间才能破解密钥体系,甚至有些黑客没有耐心再继续破解密钥体系,从而放弃破解密钥体系,提高了密钥体系的安全性。另外,延迟响应探测行为还可以减少由于响应高频的探测行为所浪费的处理资源,降低了第一云加密机因处理资源紧缺而崩溃的概率。
攻击力度可以根据攻击次数、攻击频率等参数确定,比如,攻击次数的多少与攻击力度的强弱呈正相关关系,攻击频率的高低与攻击力度的强弱呈正相关关系等等,本实施例不作限定。
可选的,第一云加密机还可以根据攻击力度销毁第一云加密机中存储的根密钥种子和数据密钥种子,从而保证密钥体系的安全性。
需要说明的是,在更新了密钥体系后,还可以离线备份原来的数据库,并利用新的密钥体系对备份的数据库进行更新,将更新后的数据库替换原来的数据库,实现合并新库的操作,以便在不影响原来的数据库的使用的前提下更新数据库。其中,对备份的数据库进行更新是指利用新的密钥体系对数据库中的数据进行更新,并利用更新后的数据替换备份的数据库中的原始数据。
本实施例中,密钥体系由云加密机产生,由云管理机分发,由USBKey保存,使得密钥体系的扩展性较好,能够适应云加密机厂商、云管理机厂商和客户等多种角色并存的环境。另外,USBKey与云加密机相互独立,USBKey与云管理机也相互独立,这样,USBKey可以单独保存密钥,与云加密机和云管理机这些设备的管理相互分离,明确角色。
其中,步骤401、403和405可以单独实现成为客户端侧的实施例,步骤402和404可以单独实现成为云管理机侧的实施例,步骤306、308、409和411可以单独实现成为数据库代理侧的实施例,步骤407和410可以单独实现成为第一云加密机侧的实施例。
下面对本实施例提供的数据处理方法的详细流程进行介绍,请参考图5。
步骤501,客户端向云管理机发送云加密机购买请求。
步骤502,云管理机指示客户端选择第一加密算法。
步骤503,云管理机向第二云加密机发送根密钥获取请求,该根密钥获取请求中携带有第一加密算法。
步骤504,第二云加密机将根据第一加密算法生成的根密钥种子发送给云管理机。
步骤505,云管理机指示客户端选择工作程序。
步骤506,云管理机将根密钥种子和工作程序发送给第一云加密机。
步骤507,第一云加密机存储根密钥种子和工作程序,将根密钥种子和工作程序写入USBKey中,并向云管理机发送购买结果。
USBKey被离线发给客户端的用户。
步骤508,云管理机向客户端发送购买结果。
步骤509,客户端向云管理机发送数据库加密请求。
步骤510,云管理机通过数据库代理获取数据库的数据字典。
步骤511,云管理机指示客户端选择第二加密算法和加密粒度。
步骤512,云管理机向第二云加密机发送数据密钥种子获取请求,该数据密钥种子获取请求中携带有第二加密算法。
步骤513,第二云加密机根据第二加密算法生成数据密钥种子,并生成数据密钥标识,将数据密钥标识发送给云管理机。
步骤514,云管理机将加密粒度和数据密钥标识写入加密数据字典,将加密数据字典发送给数据库代理。
步骤515,数据库代理存储加密数据字典。
步骤516,数据库代理向第一云加密机发送CA证书获取请求。
步骤517,第一云加密机向数据库代理发送CA证书。
步骤518,数据库代理根据CA证书与第一云加密机建立CA安全通道。
步骤519,云管理机向第一云加密机发送数据密钥标识。
步骤520,第一云加密机根据数据密钥标识确定根密钥种子和数据密钥种子,根据根密钥种子生成根密钥,根据根密钥对数据密钥种子进行加密,将数据密钥标识和加密后的数据密钥种子发送给云管理器。
步骤521,云管理器将数据密钥标识和加密后的数据密钥种子发送给客户端。
步骤522,客户端将数据密钥标识和加密后的数据密钥种子写入USBKey中。
步骤523,客户端向数据库代理发送读请求。
步骤524,数据库代理根据读请求从数据库中读取数据。
步骤525,数据库代理将该数据与加密数据字典进行匹配,在确定该数据需要解密时,通过CA安全通道向第二云加密机发送解密请求,该解密请求中携带该数据和加密数据字典所指示的数据密钥标识。
步骤526,第二云加密机对数据进行解密,并通过CA安全通道将解密后的数据发送给数据库代理。
步骤527,数据库代理将解密后的数据发送给客户端,流程结束。
步骤528,客户端向数据库代理发送写请求。
步骤529,数据库代理将写请求中的数据与加密数据字典进行匹配,在确定写请求中的数据需要加密时,通过CA安全通道向第二云加密机发送加密请求,该加密请求中携带该数据和加密数据字典所指示的数据密钥标识。
步骤530,第二云加密机对数据进行加密,并通过CA安全通道将加密后的数据发送给数据库代理。
步骤531,数据库代理将加密后的数据发送给数据库,流程结束。
下面以本实施例提供的数据处理方法应用于金融安全数据库为例进行介绍,请参考图6。其中,受信客户端需要向数据库代理查询SSN为“198-33-0987”的数据,数据库代理确定该SSN的密文为“0x7ff654ae6d”,并通过云加密机解密出该密文对应的结果集“JimGary”,将结果集“Jim Gary”反馈给受信客户端。
综上所述,本发明实施例提供的数据处理方法,通过第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,数据库代理在接收到读请求时,从数据库中读取数据,向第一云加密机发送携带有数据和数据密钥标识的解密请求;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行解密;数据库代理在接收到写请求时,向第一云加密机发送携带有数据和数据密钥标识的加密请求;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行加密,由于根密钥种子和数据密钥种子存储在第一云加密机中,数据存储在数据库中,即,密钥体系与数据库分离,这样,即使数据库中的数据被泄露,若无法获取到第一云加密机中的根密钥种子和数据密钥种子,仍然无法解密数据,从而提高了数据库的安全性。
通过第一云加密机将根密钥种子和工作程序写入USBKey中,通过客户端将数据密钥标识和加密后的数据密钥种子写入USBKey中,使得用户可以单独保存根密钥种子、工作程序、数据密钥标识和数据密钥种子,这样,当第一云加密机中存储的根密钥种子、工作程序、数据密钥种子和数据密钥标识被销毁时,USBKey向第一云加密机备份根密钥种子、工作程序、数据密钥种子和数据密钥标识,从而提高密钥体系的安全性。
由于数据库代理和第一云加密机之间建立的是基于CA证书的CA安全通道,因此,可以保证数据库代理和第一云加密机之间传输的数据的安全性,进一步提高了数据库的安全性。另外,CA证书具有时效性,避免了使用固定的一种CA证书,在该CA证书被泄漏时,CA安全通道不安全的问题。
当客户端选择的第一加密算法被更新时,对应的根密钥被相应更新;当客户端选择的第二加密算法被更新时,对应的数据密钥被相应更新,从而实现了根据用户的需求动态更新密钥体系的目的。
客户端可以根据需求选择数据库、表和字段中的一种作为加密粒度,提高了数据库加密的灵活性。
第一云加密机在检测到用于非法探测根密钥种子和数据密钥种子的探测行为时,根据探测行为的攻击力度延迟响应探测行为或销毁第一云加密机中存储的根密钥种子和数据密钥种子,提高了密钥体系的安全性。
请参考图7,其示出了本发明一个实施例提供的数据处理装置的结构框图,该数据处理装置可以应用于图1所示的云管理机中。该数据处理装置,包括:
接收模块710,用于接收客户端发送的触发请求;
触发模块720,用于根据接收模块710接收的触发请求触发第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典,工作程序用于指示第一云加密机的运行策略;
第一云加密机用于接收数据库代理发送的数据和加密数据字典所指示的数据密钥标识,运行工作程序,利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,并将处理后的数据发送给数据库代理;数据库代理用于利用处理后的数据响应所述数据处理请求,数据是数据处理请求所请求处理的数据,且数据和数据密钥标识是数据库代理在确定数据满足加密数据字典时发送的。
可选的,数据处理系统还包括电子钥匙USBKey,装置还包括:
发送模块,用于在USBKey与客户端相连时,将获取到的数据密钥标识发送给第一云加密机;
接收模块710,还用于接收第一云加密机发送的数据密钥标识和加密后的数据密钥种子,加密后的数据密钥种子是第一云加密机确定与数据密钥标识对应的根密钥种子和数据密钥种子,利用根据根密钥种子生成的根密钥对数据密钥种子进行加密得到的;
发送模块,还用于向客户端发送数据密钥标识和加密后的数据密钥种子,数据密钥标识和加密后的数据密钥种子由客户端写入USBKey中。
可选的,触发请求包括第一触发请求和第二触发请求,触发模块720,还用于:
根据第一触发请求触发第一云加密机存储根密钥种子和工作程序;
根据第二触发请求触发第一云加密机存储数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典。
可选的,触发模块720,具体用于:
根据第一触发请求指示客户端选择第一加密算法,并将第一加密算法发送给第二云加密机;
接收第二云加密机发送的根密钥种子,根密钥种子是第二云加密机生成的携带有用于指示第一加密算法的标志位的根密钥种子;
指示客户端选择工作程序,将根密钥种子和工作程序发送给第一云加密机进行存储。
可选的,触发模块720,具体用于:
根据第二触发请求通过数据库代理获取数据库的数据字典,并指示客户端选择第二加密算法和加密粒度,加密粒度是数据库、表和字段中的一种;
将第二加密算法发送给第一云加密机;
接收第一云加密机在生成数据密钥标识和携带有用于指示第二加密算法的标志位的数据密钥种子后发送的数据密钥标识;
将数据密钥标识和加密粒度写入加密数据字典,并将加密数据字典发送给数据库代理进行存储。
综上所述,本发明实施例提供的数据处理装置,通过第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,数据库代理在接收到数据处理请求,且确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和数据密钥标识;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,由于根密钥种子和数据密钥种子存储在第一云加密机中,数据存储在数据库中,即,密钥体系与数据库分离,这样,即使数据库中的数据被泄露,若无法获取到第一云加密机中的根密钥种子和数据密钥种子,仍然无法解密数据,从而提高了数据库的安全性。
通过第一云加密机将根密钥种子和工作程序写入USBKey中,通过客户端将数据密钥标识和加密后的数据密钥种子写入USBKey中,使得用户可以单独保存根密钥种子、工作程序、数据密钥标识和数据密钥种子,这样,当第一云加密机中存储的根密钥种子、工作程序、数据密钥种子和数据密钥标识被销毁时,USBKey向第一云加密机备份根密钥种子、工作程序、数据密钥种子和数据密钥标识,从而提高密钥体系的安全性。
请参考图8,其示出了本发明一个实施例提供的数据处理装置的结构框图,该数据处理装置可以应用于图1所示的第一云加密机中。该数据处理装置,包括:
存储模块810,用于在云管理机的触发下存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,触发是云管理机接收到客户端发送的触发请求后产生的,工作程序用于指示第一云加密机的运行策略;
第一处理模块820,用于接收数据库代理发送的数据和加密数据字典所指示的数据密钥标识,运行工作程序,利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,并将处理后的数据发送给数据库代理;数据库代理用于利用处理后的数据响应数据处理请求,数据是数据处理请求所请求处理的数据,且数据和数据密钥标识是数据库代理在确定数据满足加密数据字典时发送的。
可选的,数据处理系统还包括电子钥匙USBKey,装置还包括:
写入模块,用于在USBKey与第一云加密机相连时,将根密钥种子和工作程序写入USBKey中;
第二处理模块,用于在USBKey与客户端相连时,接收云管理机发送的数据密钥标识;确定与数据密钥标识对应的根密钥种子和数据密钥种子,利用根据根密钥种子生成的根密钥对数据密钥种子进行加密,将数据密钥标识和加密后的数据密钥种子发送给云管理机,数据密钥标识和加密后的数据密钥种子被云管理机发送给客户端,并由客户端写入USBKey中。
可选的,装置还包括:
第一接收模块,用于在USBKey与第一云加密机相连,且第一云加密机中存储的根密钥种子、工作程序、数据密钥种子和数据密钥标识被销毁时,接收USBKey发送的根密钥种子、工作程序、数据密钥种子和数据密钥标识。
可选的,装置还包括:
第三处理模块,用于在检测到用于非法探测根密钥种子和数据密钥种子的探测行为时,根据探测行为的攻击力度延迟响应探测行为或销毁第一云加密机中存储的根密钥种子、工作程序、数据密钥种子和数据密钥标识。
可选的,装置还包括:
第二接收模块,用于接收数据库代理发送的认证授权CA证书获取请求;
发送模块,用于向数据库代理发送CA证书;
建立模块,用于利用CA证书与数据库代理建立CA安全通道,CA安全通道用于供数据库代理和第一云加密机之间传输数据。
可选的,触发请求包括第一触发请求和第二触发请求,存储模块810,还用于:
在云管理机根据第一触发请求所产生的触发下存储根密钥种子和工作程序;
在云管理机根据第二触发请求所产生的触发下存储数据密钥种子和数据密钥标识。
可选的,存储模块810,具体用于:
接收云管理机发送的根密钥种子和工作程序,根密钥种子是云管理机根据第一触发请求指示客户端选择第一加密算法,将第一加密算法发送给第二云加密机,由第二云加密机生成的携带有用于指示第一加密算法的标志位的根密钥种子,工作程序是云管理机指示客户端选择的;
对根密钥种子和工作程序进行存储。
可选的,存储模块810,具体用于:
接收云管理机发送的第二加密算法,第二加密算法是云管理机根据第二触发请求通过数据库代理获取数据库的数据字典后,并指示客户端选择的;
生成数据密钥标识和携带有用于指示第二加密算法的标志位的数据密钥种子;
其中,云管理机还用于指示客户端选择加密粒度,将数据密钥标识和加密粒度写入加密数据字典发送给数据库代理进行存储,加密粒度是数据库、表和字段中的一种。
可选的,当数据处理请求是读请求时,第一处理模块820,还用于:
通过运行的工作程序确定客户端对应的运算缓存区,运算缓存区用于缓存第一云加密机在处理客户端所请求处理的数据的过程中的中间数据;
根据与数据密钥标识对应的根密钥种子生成根密钥,并根据根密钥对数据和数据密钥标识进行加密后缓存到运算缓存区中;
在运算缓存区中,根据数据密钥标识生成数据密钥,并根据数据密钥对数据进行解密;
从运算缓存区中读取解密后的数据,并根据根密钥对解密后的数据进行解密。
可选的,当数据处理请求是写请求时,第一处理模块820,还用于:
通过运行的工作程序确定客户端对应的运算缓存区,运算缓存区用于缓存第一云加密机在处理客户端所请求处理的数据的过程中的中间数据;
根据与数据密钥标识对应的根密钥种子生成根密钥,并根据根密钥对数据和数据密钥标识进行加密后缓存到运算缓存区中;
在运算缓存区中,根据数据密钥标识生成数据密钥,并根据数据密钥对数据进行加密;
从运算缓存区中读取加密后的数据,并根据根密钥对加密后的数据进行解密。
综上所述,本发明实施例提供的数据处理装置,通过第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,数据库代理在接收到数据处理请求,且确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和数据密钥标识;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,由于根密钥种子和数据密钥种子存储在第一云加密机中,数据存储在数据库中,即,密钥体系与数据库分离,这样,即使数据库中的数据被泄露,若无法获取到第一云加密机中的根密钥种子和数据密钥种子,仍然无法解密数据,从而提高了数据库的安全性。
通过第一云加密机将根密钥种子和工作程序写入USBKey中,通过客户端将数据密钥标识和加密后的数据密钥种子写入USBKey中,使得用户可以单独保存根密钥种子、工作程序、数据密钥标识和数据密钥种子,这样,当第一云加密机中存储的根密钥种子、工作程序、数据密钥种子和数据密钥标识被销毁时,USBKey向第一云加密机备份根密钥种子、工作程序、数据密钥种子和数据密钥标识,从而提高密钥体系的安全性。
由于数据库代理和第一云加密机之间建立的是基于CA证书的CA安全通道,因此,可以保证数据库代理和第一云加密机之间传输的数据的安全性,进一步提高了数据库的安全性。另外,CA证书具有时效性,避免了使用固定的一种CA证书,在该CA证书被泄漏时,CA安全通道不安全的问题。
第一云加密机在检测到用于非法探测根密钥种子和数据密钥种子的探测行为时,根据探测行为的攻击力度延迟响应探测行为或销毁第一云加密机中存储的根密钥种子和数据密钥种子,提高了密钥体系的安全性。
请参考图9,其示出了本发明一个实施例提供的数据处理装置的结构框图,该数据处理装置可以应用于图1所示的数据库代理中。该数据处理装置,包括:
存储模块910,用于在云管理机的触发下存储加密数据字典,触发是云管理机接收到客户端发送的触发请求后产生的,云管理机还用于触发第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,工作程序用于指示第一云加密机的运行策略;
接收模块920,用于接收客户端发送的数据处理请求;
处理模块930,用于在确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和加密数据字典所指示的数据密钥标识;接收第一云加密机在运行工作程序,利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理后发送的处理后的数据;利用处理后的数据响应数据处理请求。
可选的,装置还包括:
发送模块,用于向第一云加密机发送认证授权CA证书获取请求;
接收模块920,还用于接收第一云加密机发送的CA证书;
建立模块,用于利用接收模块920接收的CA证书与第一云加密机建立CA安全通道,CA安全通道用于供数据库代理和第一云加密机之间传输数据。
可选的,触发请求包括第二触发请求,存储模块910,还用于:
接收云管理机发送的加密数据字典,加密数据字典中写有数据密钥标识和加密粒度,数据密钥标识是云管理机根据第二触发请求通过数据库代理获取数据库的数据字典,指示客户端选择第二加密算法和加密粒度,将第二加密算法发送给第一云加密机后,由第一云加密机生成的,加密粒度是数据库、表和字段中的一种;
对加密数据字典进行存储。
综上所述,本发明实施例提供的数据处理装置,通过第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,数据库代理在接收到数据处理请求,且确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和数据密钥标识;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,由于根密钥种子和数据密钥种子存储在第一云加密机中,数据存储在数据库中,即,密钥体系与数据库分离,这样,即使数据库中的数据被泄露,若无法获取到第一云加密机中的根密钥种子和数据密钥种子,仍然无法解密数据,从而提高了数据库的安全性。
由于数据库代理和第一云加密机之间建立的是基于CA证书的CA安全通道,因此,可以保证数据库代理和第一云加密机之间传输的数据的安全性,进一步提高了数据库的安全性。另外,CA证书具有时效性,避免了使用固定的一种CA证书,在该CA证书被泄漏时,CA安全通道不安全的问题。
请参考图10,其示出了本发明一个实施例提供的数据处理装置的结构框图,该数据处理装置可以应用于图1所示的客户端中。该数据处理装置,包括:
发送模块1010,用于向云管理机发送触发请求,触发请求用于指示云管理机触发第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典,工作程序用于指示第一云加密机的运行策略;
发送模块1010,还用于向数据库代理发送数据处理请求,数据库代理用于在确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和加密数据字典所指示的数据密钥标识;第一云加密机用于运行工作程序,利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,并将处理后的数据发送给数据库代理;数据库代理用于利用处理后的数据响应数据处理请求。
可选的,数据处理系统还包括电子钥匙USBKey,装置还包括:
接收模块1020,用于在USBKey与客户端相连时,接收云管理机发送的数据密钥标识和加密后的数据密钥种子,数据密钥标识和加密后的数据密钥种子是云管理机将获取到的数据密钥标识发送给第一云加密机;由第一云加密机确定与数据密钥标识对应的根密钥种子和数据密钥种子,利用根据根密钥种子生成的根密钥对数据密钥种子进行加密后发送给云管理机的。
可选的,触发请求包括第一触发请求和第二触发请求,发送模块1010,还用于:
向云管理机发送第一触发请求,第一触发请求用于指示云管理机触发第一云加密机存储根密钥种子和工作程序;
向云管理机发送第二触发请求,第二触发请求用于指示云管理机触发第一云加密机存储数据密钥种子和数据密钥标识,并触发数据库代理存储加密数据字典。
综上所述,本发明实施例提供的数据处理装置,通过第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,数据库代理在接收到数据处理请求,且确定数据处理请求所请求处理的数据满足加密数据字典时,向第一云加密机发送数据和数据密钥标识;第一云加密机利用与数据密钥标识对应的根密钥种子和数据密钥种子对数据进行处理,由于根密钥种子和数据密钥种子存储在第一云加密机中,数据存储在数据库中,即,密钥体系与数据库分离,这样,即使数据库中的数据被泄露,若无法获取到第一云加密机中的根密钥种子和数据密钥种子,仍然无法解密数据,从而提高了数据库的安全性。
通过第一云加密机将根密钥种子和工作程序写入USBKey中,通过客户端将数据密钥标识和加密后的数据密钥种子写入USBKey中,使得用户可以单独保存根密钥种子、工作程序、数据密钥标识和数据密钥种子,这样,当第一云加密机中存储的根密钥种子、工作程序、数据密钥种子和数据密钥标识被销毁时,USBKey向第一云加密机备份根密钥种子、工作程序、数据密钥种子和数据密钥标识,从而提高密钥体系的安全性。
当客户端选择的第一加密算法被更新时,对应的根密钥被相应更新;当客户端选择的第二加密算法被更新时,对应的数据密钥被相应更新,从而实现了根据用户的需求动态更新密钥体系的目的。
客户端可以根据需求选择数据库、表和字段中的一种作为加密粒度,提高了数据库加密的灵活性。
请参考图1,本发明一个实施例提供了一种数据处理系统,该数据处理系统,包括:客户端110、第一云加密机120、云管理机130、第二云加密机140、数据库代理150和数据库160。
其中,客户端110为包括图10所示的数据处理装置的客户端,第一云加密机120为包括图8所示的数据处理装置的第一云加密机,云管理机130为包括图7所示的数据处理装置的云管理机,数据库代理150为包括图9所示的数据处理装置的数据库代理。
请参考图11,其示出了本发明一个实施例提供的终端1100的框图,该终端1100中可以安装有图1所示的客户端或第一云加密机或云管理机或第二云加密机或数据库代理或数据库。
该终端可以包括射频(RF,Radio Frequency)电路1101、包括有一个或一个以上计算机可读存储介质的存储器1102、输入单元1103、显示单元1104、传感器1105、音频电路1106、无线保真(WiFi,Wireless Fidelity)模块1107、包括有一个或者一个以上处理核心的处理器1108、以及电源1109等部件。本领域技术人员可以理解,图11中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路1101可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器1108处理;另外,将涉及上行的数据发送给基站。通常,RF电路1101包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM,Subscriber Identity Module)卡、收发信机、耦合器、低噪声放大器(LNA,Low Noise Amplifier)、双工器等。此外,RF电路1101还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(GSM,Global System of Mobile communication)、通用分组无线服务(GPRS,GeneralPacket Radio Service)、码分多址(CDMA,Code Division Multiple Access)、宽带码分多址(WCDMA,Wideband Code Division Multiple Access)、长期演进(LTE,Long TermEvolution)、电子邮件、短消息服务(SMS,Short Messaging Service)等。
存储器1102可用于存储软件程序以及模块,处理器1108通过运行存储在存储器1102的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器1102可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端设备的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器1102可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器1102还可以包括存储器控制器,以提供处理器1108和输入单元1103对存储器1102的访问。
输入单元1103可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,在一个具体的实施例中,输入单元1103可包括触敏表面以及其他输入设备。触敏表面,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面上或在触敏表面附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器1108,并能接收处理器1108发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面。除了触敏表面,输入单元1103还可以包括其他输入设备。具体地,其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元1104可用于显示由用户输入的信息或提供给用户的信息以及终端设备的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元1104可包括显示面板,可选的,可以采用液晶显示器(LCD,Liquid CrystalDisplay)、有机发光二极管(OLED,Organic Light-Emitting Diode)等形式来配置显示面板。进一步的,触敏表面可覆盖显示面板,当触敏表面检测到在其上或附近的触摸操作后,传送给处理器1108以确定触摸事件的类型,随后处理器1108根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图11中,触敏表面与显示面板是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面与显示面板集成而实现输入和输出功能。
终端还可包括至少一种传感器1105,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板的亮度,接近传感器可在终端移动到耳边时,关闭显示面板和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路1106、扬声器,传声器可提供用户与终端之间的音频接口。音频电路1106可将接收到的音频数据转换后的电信号,传输到扬声器,由扬声器转换为声音信号输出;另一方面,传声器将收集的声音信号转换为电信号,由音频电路1106接收后转换为音频数据,再将音频数据输出处理器1108处理后,经RF电路1101以发送给比如另一终端,或者将音频数据输出至存储器1102以便进一步处理。音频电路1106还可能包括耳塞插孔,以提供外设耳机与终端的通信。
WiFi属于短距离无线传输技术,终端通过WiFi模块1107可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图11示出了WiFi模块1107,但是可以理解的是,其并不属于终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器1108是终端的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器1102内的软件程序和/或模块,以及调用存储在存储器1102内的数据,执行终端的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器1108可包括一个或多个处理核心;优选的,处理器1108可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1108中。
终端还包括给各个部件供电的电源1109(比如电池),优选的,电源可以通过电源管理系统与处理器1108逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源1109还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,终端中的处理器1108会运行存储在存储器1102中的一个或一个以上的程序指令,从而实现上述各个方法实施例中所提供的数据处理方法。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,RandomAccess Memory)、磁盘或光盘等。
需要说明的是:上述实施例提供的数据处理装置在进行数据处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将数据处理装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的数据处理装置与数据处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种数据处理方法,其特征在于,用于包括客户端、第一云加密机、云管理机、数据库代理和数据库的数据处理系统中,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
所述客户端向所述云管理机发送触发请求,所述云管理机根据所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述客户端向所述数据库代理发送数据处理请求;
所述数据库代理在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;
所述第一云加密机运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;
所述数据库代理利用所述处理后的数据响应所述数据处理请求。
2.一种数据处理方法,其特征在于,用于数据处理系统中的云管理机中,所述数据处理系统还包括客户端、第一云加密机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
接收所述客户端发送的触发请求;
根据所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述第一云加密机用于接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
3.根据权利要求2所述的方法,其特征在于,所述数据处理系统还包括电子钥匙USBKey,所述方法还包括:
在所述USBKey与所述客户端相连时,将获取到的数据密钥标识发送给所述第一云加密机;
接收所述第一云加密机发送的所述数据密钥标识和加密后的数据密钥种子,所述加密后的数据密钥种子是所述第一云加密机确定与所述数据密钥标识对应的根密钥种子和数据密钥种子,利用根据所述根密钥种子生成的根密钥对所述数据密钥种子进行加密得到的;
向所述客户端发送所述数据密钥标识和所述加密后的数据密钥种子,所述数据密钥标识和所述加密后的数据密钥种子由所述客户端写入所述USBKey中。
4.一种数据处理方法,其特征在于,用于数据处理系统中的第一云加密机中,所述数据处理系统还包括客户端、云管理机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
在所述云管理机的触发下存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述工作程序用于指示所述第一云加密机的运行策略;
接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收所述数据库代理发送的认证授权CA证书获取请求;
向所述数据库代理发送所述CA证书;
利用所述CA证书与所述数据库代理建立CA安全通道,所述CA安全通道用于供所述数据库代理和所述第一云加密机之间传输数据。
6.一种数据处理方法,其特征在于,用于数据处理系统中的数据库代理中,所述数据处理系统还包括客户端、第一云加密机、云管理机和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
在所述云管理机的触发下存储加密数据字典,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述云管理机还用于触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述工作程序用于指示所述第一云加密机的运行策略;
接收所述客户端发送的数据处理请求;
在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;接收所述第一云加密机在运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理后发送的处理后的数据;利用所述处理后的数据响应所述数据处理请求。
7.根据权利要求6所述的方法,其特征在于,所述触发请求包括第二触发请求,所述在所述云管理机的触发下存储加密数据字典,包括:
接收所述云管理机发送的所述加密数据字典,所述加密数据字典中写有数据密钥标识和加密粒度,所述数据密钥标识是所述云管理机根据所述第二触发请求通过所述数据库代理获取所述数据库的数据字典,指示所述客户端选择第二加密算法和加密粒度,将所述第二加密算法发送给所述第一云加密机后,由所述第一云加密机生成的,所述加密粒度是数据库、表和字段中的一种;
对所述加密数据字典进行存储。
8.一种数据处理方法,其特征在于,用于数据处理系统中的客户端中,所述数据处理系统还包括第一云加密机、云管理机、数据库代理和数据库的数据处理系统中,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述方法包括:
向所述云管理机发送触发请求,所述触发请求用于指示所述云管理机触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
向所述数据库代理发送数据处理请求,所述数据库代理用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;所述第一云加密机用于运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求。
9.根据权利要求8所述的方法,其特征在于,所述数据处理系统还包括电子钥匙USBKey,所述方法还包括:
在所述USBKey与所述客户端相连时,接收所述云管理机发送的数据密钥标识和加密后的数据密钥种子,所述数据密钥标识和所述加密后的数据密钥种子是所述云管理机将获取到的数据密钥标识发送给所述第一云加密机;由所述第一云加密机确定与所述数据密钥标识对应的根密钥种子和数据密钥种子,利用根据所述根密钥种子生成的根密钥对所述数据密钥种子进行加密后发送给所述云管理机的。
10.根据权利要求8所述的方法,其特征在于,所述触发请求包括第一触发请求和第二触发请求,所述向所述云管理机发送触发请求,包括:
向所述云管理机发送所述第一触发请求,所述第一触发请求用于指示所述云管理机触发所述第一云加密机存储所述根密钥种子和所述工作程序;
向所述云管理机发送所述第二触发请求,所述第二触发请求用于指示所述云管理机触发所述第一云加密机存储所述数据密钥种子和所述数据密钥标识,并触发所述数据库代理存储所述加密数据字典。
11.一种数据处理系统,其特征在于,所述数据处理系统包括客户端、第一云加密机、云管理机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;
所述客户端,用于向所述云管理机发送触发请求,所述云管理机,用于根据所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述客户端,还用于向所述数据库代理发送数据处理请求;
所述数据库代理,用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;
所述第一云加密机,用于运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;
所述数据库代理,还用于利用所述处理后的数据响应所述数据处理请求。
12.一种数据处理装置,其特征在于,用于数据处理系统中的云管理机中,所述数据处理系统还包括客户端、第一云加密机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
接收模块,用于接收所述客户端发送的触发请求;
触发模块,用于根据所述接收模块接收的所述触发请求触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述第一云加密机用于接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
13.一种数据处理装置,其特征在于,用于数据处理系统中的第一云加密机中,所述数据处理系统还包括客户端、云管理机、数据库代理和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
存储模块,用于在所述云管理机的触发下存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述工作程序用于指示所述第一云加密机的运行策略;
第一处理模块,用于接收所述数据库代理发送的数据和所述加密数据字典所指示的数据密钥标识,运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求,所述数据是所述数据处理请求所请求处理的数据,且所述数据和所述数据密钥标识是所述数据库代理在确定所述数据满足所述加密数据字典时发送的。
14.一种数据处理装置,其特征在于,用于数据处理系统中的数据库代理中,所述数据处理系统还包括客户端、第一云加密机、云管理机和数据库,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
存储模块,用于在所述云管理机的触发下存储加密数据字典,所述触发是所述云管理机接收到所述客户端发送的触发请求后产生的,所述云管理机还用于触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,所述工作程序用于指示所述第一云加密机的运行策略;
接收模块,用于接收所述客户端发送的数据处理请求;
处理模块,用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;接收所述第一云加密机在运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理后发送的处理后的数据;利用所述处理后的数据响应所述数据处理请求。
15.一种数据处理装置,其特征在于,用于数据处理系统中的客户端中,所述数据处理系统还包括第一云加密机、云管理机、数据库代理和数据库的数据处理系统中,所述第一云加密机是所述云管理机为所述客户端分配的云加密机;所述装置包括:
发送模块,用于向所述云管理机发送触发请求,所述触发请求用于指示所述云管理机触发所述第一云加密机存储根密钥种子、工作程序、数据密钥种子和数据密钥标识,并触发所述数据库代理存储加密数据字典,所述工作程序用于指示所述第一云加密机的运行策略;
所述发送模块,还用于向所述数据库代理发送数据处理请求,所述数据库代理用于在确定所述数据处理请求所请求处理的数据满足所述加密数据字典时,向所述第一云加密机发送所述数据和所述加密数据字典所指示的数据密钥标识;所述第一云加密机用于运行所述工作程序,利用与所述数据密钥标识对应的根密钥种子和数据密钥种子对所述数据进行处理,并将处理后的数据发送给所述数据库代理;所述数据库代理用于利用所述处理后的数据响应所述数据处理请求。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710305566.9A CN108809906B (zh) | 2017-05-03 | 2017-05-03 | 数据处理方法、系统及装置 |
MA051867A MA51867A (fr) | 2017-05-03 | 2018-04-27 | Procédé de traitement de données, système, appareil, support d'informations et dispositif |
EP18795137.1A EP3621268A4 (en) | 2017-05-03 | 2018-04-27 | DATA PROCESSING METHOD, SYSTEM, DEVICE, STORAGE MEDIUM AND INSTALLATION |
PCT/CN2018/084949 WO2018201991A1 (zh) | 2017-05-03 | 2018-04-27 | 数据处理方法、系统、装置、存储介质及设备 |
US16/504,207 US10958650B2 (en) | 2017-05-03 | 2019-07-05 | Data processing method, system, and apparatus, storage medium, and device |
US17/196,978 US11765170B2 (en) | 2017-05-03 | 2021-03-09 | Data processing method, system, and apparatus, storage medium, and device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710305566.9A CN108809906B (zh) | 2017-05-03 | 2017-05-03 | 数据处理方法、系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108809906A true CN108809906A (zh) | 2018-11-13 |
CN108809906B CN108809906B (zh) | 2020-07-07 |
Family
ID=64015898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710305566.9A Active CN108809906B (zh) | 2017-05-03 | 2017-05-03 | 数据处理方法、系统及装置 |
Country Status (5)
Country | Link |
---|---|
US (2) | US10958650B2 (zh) |
EP (1) | EP3621268A4 (zh) |
CN (1) | CN108809906B (zh) |
MA (1) | MA51867A (zh) |
WO (1) | WO2018201991A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061983A (zh) * | 2019-04-09 | 2019-07-26 | 苏宁易购集团股份有限公司 | 一种数据处理方法及系统 |
CN111565107A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 基于云服务平台的密钥处理方法、装置和计算机设备 |
CN111865895A (zh) * | 2020-05-29 | 2020-10-30 | 广西博士海意信息科技有限公司 | 一种基于云平台的数据保密传输方法及系统 |
CN114640510A (zh) * | 2022-03-02 | 2022-06-17 | 宁波三星医疗电气股份有限公司 | 一种采用分离的加密服务器进行通信的方法 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10956583B2 (en) * | 2018-06-27 | 2021-03-23 | At&T Intellectual Property I, L.P. | Multi-phase digital content protection |
CN110688132A (zh) | 2018-07-05 | 2020-01-14 | 阿里巴巴集团控股有限公司 | 升级加密机、数据导入和请求迁移方法、装置及设备 |
CN109450647B (zh) * | 2018-12-18 | 2022-04-29 | 飞天诚信科技股份有限公司 | 一种动态令牌安全生产和检测的方法及系统 |
CN110417544B (zh) * | 2019-06-28 | 2021-10-22 | 腾讯科技(深圳)有限公司 | 一种根密钥的生成方法、装置和介质 |
US20220069981A1 (en) * | 2020-09-03 | 2022-03-03 | Google Llc | Distribute Encryption Keys Securely and Efficiently |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1647442A (zh) * | 2002-02-05 | 2005-07-27 | 舒尔蒂股份有限公司 | 为获得解密密钥请求密钥检索的安全电子消息系统 |
CN104079573A (zh) * | 2009-05-19 | 2014-10-01 | 安全第一公司 | 用于安全保护云中的数据的系统和方法 |
US20150052253A1 (en) * | 2014-09-22 | 2015-02-19 | Weaved, Inc. | Multi-server fractional subdomain dns protocol |
CN104468096A (zh) * | 2014-12-01 | 2015-03-25 | 公安部第三研究所 | 基于密钥分散运算实现网络电子身份标识信息保护的方法 |
CN104519066A (zh) * | 2014-12-23 | 2015-04-15 | 飞天诚信科技股份有限公司 | 一种激活移动终端令牌的方法 |
CN104992212A (zh) * | 2015-07-24 | 2015-10-21 | 大连大学 | 旅游智能卡系统 |
US20150302037A1 (en) * | 2014-04-18 | 2015-10-22 | Wal-Mart Stores, Inc. | System and method for storing and processing database requests |
US9239852B1 (en) * | 2013-03-13 | 2016-01-19 | Amazon Technologies, Inc. | Item collections |
CN106161402A (zh) * | 2015-04-22 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7937753B2 (en) * | 2005-03-25 | 2011-05-03 | Microsoft Corporation | Method and apparatus for distributed information management |
US20160344745A1 (en) * | 2006-09-25 | 2016-11-24 | Weaved, Inc. | Method and protocol for secure device deployment using a partially-encrypted provisioning file |
US8751826B2 (en) | 2009-04-01 | 2014-06-10 | Salesforce.Com, Inc. | Enhanced system security |
CN102841902A (zh) * | 2011-06-23 | 2012-12-26 | 捷达世软件(深圳)有限公司 | 数据库资料管理方法及系统 |
EP2730048A2 (en) * | 2011-07-07 | 2014-05-14 | Verayo, Inc. | Cryptographic security using fuzzy credentials for device and server communications |
CN103392178B (zh) * | 2011-11-11 | 2015-08-26 | 日本电气株式会社 | 数据库加密系统、方法和程序 |
US9087212B2 (en) * | 2012-01-25 | 2015-07-21 | Massachusetts Institute Of Technology | Methods and apparatus for securing a database |
CN102752109A (zh) * | 2012-06-05 | 2012-10-24 | 西安邮电大学 | 应用于数据库列加密的密钥管理方法和装置 |
CN103279715A (zh) * | 2013-05-22 | 2013-09-04 | 李凤华 | 数据库数据加解密方法及装置 |
CN104426973B (zh) * | 2013-09-03 | 2018-03-23 | 中国移动通信集团公司 | 一种云数据库加密方法、系统及装置 |
US9871772B1 (en) * | 2015-03-17 | 2018-01-16 | The Charles Stark Draper Laboratory, Inc. | Cryptographic system for secure command and control of remotely controlled devices |
KR101563461B1 (ko) * | 2015-03-24 | 2015-10-26 | 주식회사 티맥스데이터 | 데이터베이스 보안 관리를 위한 방법, 서버 및 컴퓨터-프로그램 |
US10791100B2 (en) * | 2017-03-10 | 2020-09-29 | Ovsecure Ltd. | Systems, methods and devices for secure routing and recording of network data transported through network switch |
-
2017
- 2017-05-03 CN CN201710305566.9A patent/CN108809906B/zh active Active
-
2018
- 2018-04-27 MA MA051867A patent/MA51867A/fr unknown
- 2018-04-27 EP EP18795137.1A patent/EP3621268A4/en active Pending
- 2018-04-27 WO PCT/CN2018/084949 patent/WO2018201991A1/zh unknown
-
2019
- 2019-07-05 US US16/504,207 patent/US10958650B2/en active Active
-
2021
- 2021-03-09 US US17/196,978 patent/US11765170B2/en active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1647442A (zh) * | 2002-02-05 | 2005-07-27 | 舒尔蒂股份有限公司 | 为获得解密密钥请求密钥检索的安全电子消息系统 |
CN104079573A (zh) * | 2009-05-19 | 2014-10-01 | 安全第一公司 | 用于安全保护云中的数据的系统和方法 |
US9239852B1 (en) * | 2013-03-13 | 2016-01-19 | Amazon Technologies, Inc. | Item collections |
US20150302037A1 (en) * | 2014-04-18 | 2015-10-22 | Wal-Mart Stores, Inc. | System and method for storing and processing database requests |
US20150052253A1 (en) * | 2014-09-22 | 2015-02-19 | Weaved, Inc. | Multi-server fractional subdomain dns protocol |
CN104468096A (zh) * | 2014-12-01 | 2015-03-25 | 公安部第三研究所 | 基于密钥分散运算实现网络电子身份标识信息保护的方法 |
CN104519066A (zh) * | 2014-12-23 | 2015-04-15 | 飞天诚信科技股份有限公司 | 一种激活移动终端令牌的方法 |
CN106161402A (zh) * | 2015-04-22 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
CN104992212A (zh) * | 2015-07-24 | 2015-10-21 | 大连大学 | 旅游智能卡系统 |
Non-Patent Citations (2)
Title |
---|
YUNCHENG HE: ""Description of a cloud based private social network security scheme"", 《INTERNATIONAL JOURNAL OF INFORMATION AND EDUCATION TECHNOLOGY》 * |
孙博,李宁: ""多种网络环境下的内容安全管理统一平台"", 《有线电视技术》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061983A (zh) * | 2019-04-09 | 2019-07-26 | 苏宁易购集团股份有限公司 | 一种数据处理方法及系统 |
CN111865895A (zh) * | 2020-05-29 | 2020-10-30 | 广西博士海意信息科技有限公司 | 一种基于云平台的数据保密传输方法及系统 |
CN111565107A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 基于云服务平台的密钥处理方法、装置和计算机设备 |
CN114640510A (zh) * | 2022-03-02 | 2022-06-17 | 宁波三星医疗电气股份有限公司 | 一种采用分离的加密服务器进行通信的方法 |
Also Published As
Publication number | Publication date |
---|---|
US11765170B2 (en) | 2023-09-19 |
US20190334899A1 (en) | 2019-10-31 |
US20210194877A1 (en) | 2021-06-24 |
US10958650B2 (en) | 2021-03-23 |
WO2018201991A1 (zh) | 2018-11-08 |
MA51867A (fr) | 2020-03-11 |
CN108809906B (zh) | 2020-07-07 |
EP3621268A4 (en) | 2020-12-23 |
EP3621268A1 (en) | 2020-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108809906A (zh) | 数据处理方法、系统及装置 | |
CN106686008B (zh) | 信息存储方法及装置 | |
CN104836664B (zh) | 一种执行业务处理的方法、装置和系统 | |
CN106789089B (zh) | 管理证书的方法、装置、和系统以及服务器 | |
CN104125216B (zh) | 一种提升可信执行环境安全性的方法、系统及终端 | |
US20180234237A1 (en) | Key updating method, apparatus, and system | |
CN104580167B (zh) | 一种传输数据的方法、装置和系统 | |
CN107979461B (zh) | 秘钥找回方法、装置、终端、秘钥托管服务器及可读介质 | |
US10187855B2 (en) | Message processing method and apparatus | |
CN104639672B (zh) | 进行域名解析的方法和装置 | |
US10944558B2 (en) | Key storing method, key managing method and apparatus | |
CN107070909A (zh) | 信息发送方法、信息接收方法、装置及系统 | |
CN104424431B (zh) | 一种重置虚拟机用户登陆密码的方法及装置 | |
CN106709347B (zh) | 应用运行的方法及装置 | |
CN106598584A (zh) | 一种处理资源文件的方法、装置和系统 | |
CN110198301A (zh) | 一种服务数据获取方法、装置及设备 | |
CN106845177A (zh) | 密码管理方法及系统 | |
CN104967601A (zh) | 数据处理方法及装置 | |
CN107154935A (zh) | 业务请求方法及装置 | |
CN107204989A (zh) | 广告拦截方法、终端、服务器和存储介质 | |
CN111475832B (zh) | 一种数据管理的方法以及相关装置 | |
CN106599698B (zh) | 一种加密图片、解密图片的方法和装置 | |
CN106533917B (zh) | 关系链处理方法、装置及系统 | |
CN108234124A (zh) | 身份验证方法、装置与系统 | |
CN109639706A (zh) | 一种请求处理方法、服务器、用户端及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |