CN109495455A - 一种数据处理系统、方法及设备 - Google Patents
一种数据处理系统、方法及设备 Download PDFInfo
- Publication number
- CN109495455A CN109495455A CN201811260152.XA CN201811260152A CN109495455A CN 109495455 A CN109495455 A CN 109495455A CN 201811260152 A CN201811260152 A CN 201811260152A CN 109495455 A CN109495455 A CN 109495455A
- Authority
- CN
- China
- Prior art keywords
- data
- function
- database
- encryption
- encrypting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Abstract
本发明公开了一种数据处理系统、方法及设备,包括:数据加解密服务器,至少一个数据库,其中:数据库,用于存储密文形式的数据,并对密文形式的数据进行数据库处理;数据加解密服务器,用于在数据库导入数据前,采用加密算法对该数据进行加密后生成密文形式的数据,在数据库导出数据前,采用解密算法对密文形式的数据进行解密后生成明文形式的数据,所述解密算法是与所述加密算法相对应的。采用本发明,数据库中只有密文形式的数据,在进行数据库处理时也是对密文形式的数据进行处理;只有进出数据库时才由数据加解密服务器统一进行加解密,即使数据库的数据泄露,获得的也是密文形式的数据,使得数据的安全得到了极大的保证。
Description
技术领域
本发明涉及数据处理技术领域,特别涉及一种数据处理系统、方法及设备。
背景技术
公众查询系统直接部署于互联网,将会面临众多的安全问题,包括服务器被攻击造成网站瘫痪、网站被串改等。其中,最致命的是数据外泄(data breach),也即,敏感的、受保护的或机密的数据被未经授权的组织剽窃、盗走或使用,而通过对这些相关数据的归并整理,就可以筛选出大量有商用价值的数据,而这些数据也是未来互联网企业发展的新型引擎,因此,海量的数据不仅带来了巨大的商用价值,同时也必然会成为众多黑客所觊觎的目标,从而带来更多的安全问题。
目前,从互联网盗走数据的主要是“黑客”,黑客常用的手段可以攻破部分防火墙或者完全避开服务器防火墙的保护范围,主要的方法是撞库攻击和数据“脱库”。
1、撞库攻击
“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息,之后用技术手段前往一些网站逐个“试”着登录,最终“撞大运”地“试”出一些可以登录的用户名、密码。对于公众查询系统来说,目前的设计对于撞库来说更容易一些,例如,攻击者可以从互联网上获取农民的身份证号码,再根据承包经营权代码规则生成权证号,之后试着用户程序循环生成成对的身份证号+承包经营权代码,逐个试着登录,由于目前的验证码非常容易被绕过,黑客程序可以快速的进行撞库攻击,最终可以“试”出一批可以查询信息,经过长时间积累最终可以把大量确权信息盗走。
2、数据“脱库”
“脱库”是指黑客入侵有价值的网络站点,把资料数据库全部盗走的行为。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。“脱库”的通常步骤为:
1、黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。
2、通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后门获取服务器操作系统的权限。
3、利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。
4、查找加密数据的解密服务,如果是软件就直接一起下载走,如果是短期无法攻破的硬件,就调用解密接口,尽可能的把加密数据解密之后下载。
目前,公众查询系统已经采用了常规的安全防范方法,包括登录验证码、限制登录IP、数据加密等,这些常规的方法适用于局域网或者政府内网。
1、登录验证码
登录验证码是一种最常见,也是最简单的一种防撞库攻击的方法,有效防止某个黑客对某一个特定注册用户用特定程序方用不断的登录尝试进行暴力破解。登录验证码经历数字&字符、图片、语言等演变。
虽然验证码采用动态随机生成、动态图像等方式防止暴力破解,利用机器视觉、模式识别,甚至人工智能等现代技术,能快速识别登录验证码。但是其不足在于:验证码容易被获取,例如利用冒名挂失、意外丢失、手机被盗、乘你不备拿起你的手机接收短信、手机中了恶意应用、遭遇诈骗等等的方式都能拿到验证短信甚至SIM卡。
2、动态口令或者数字证书等身份认证方法
身份认证是一种常见的访问控制手段,通过一种介质的持有,来认证一个人的身份,网上银行就广泛的使用了这类技术。但是其不足在于:对于终端用户的计算机技能水平要求较高,而且终端设备的发放管理,需要一个庞大的服务机构。
3、限制登录IP
限制同一个IP的请求次数和请求频率,如一个账户在使用同一个IP登录3次,就锁定该账户当天不能登录。
对于突破限制登录IP的方式,其不足在于:可以借用网络上丰富的代理资源,可以使用不断变化的IP代理突破请求次数或者频率的限制。
4、数据加密
数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。为了防止黑客进行数据“脱库”,数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。直接对数据加以防护,使用密文加密,其中最终使得加密程序不能被攻破。
通常,为了能解密数据,解密算法与程序和加密数据一起放在服务器上,其不足在于,在黑客对数据“脱库”之后,也会顺便下载解密算法与程序,快速对加密数据进行解密。
综上,现有技术虽然对数据安全进行各种防护,但在总会被相应的技术手段克制,从而导致数据泄露。
发明内容
本发明提供了一种数据处理系统、方法及设备,用以解决数据泄露的问题。
本发明实施例中提供了一种数据处理系统,包括:数据加解密服务器,至少一个数据库,其中:
数据库,用于存储密文形式的数据,并对密文形式的数据进行数据库处理;
数据加解密服务器,用于在数据库导入数据前,采用加密算法对该数据进行加密后生成密文形式的数据,在数据库导出数据前,采用解密算法对密文形式的数据进行解密后生成明文形式的数据,所述解密算法是与所述加密算法相对应的。
较佳地,进一步包括:至少一个数据输入终端和/或至少一个数据读取终端,其中:
数据输入终端,用于向数据加解密服务器输出欲导入数据库的明文形式的数据;
数据读取终端,用于从数据加解密服务器获取导出数据库的密文形式的数据,该密文是使用与数据加解密服务器约定的加解密方式进行加解密的。
较佳地,所述数据库是关系型数据库;
数据加解密服务器采用的所述加密算法是根据关系数据库的关系模型确定的,在加密后保持有关系模型所要求的数据的数值特性的加密算法,采用的所述解密算法是与所述加密算法相对应的。
较佳地,数据加解密服务器进一步用于在采用加密算法对该数据进行加密后生成密文时,若数据包括若干字段,采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密。
较佳地,数据加解密服务器进一步用于采用根据初等函数和/或特殊函数构造的所述加密算法。
较佳地,所述初等函数为以下函数之一或者其组合或复合:常函数,幂函数,指数函数,三角函数,反三角函数,对数函数;
和/或,
所述特殊函数为以下函数之一或者其组合或复合:取整函数,狄利克里函数,伽马函数,符号函数,双曲正弦函数,双曲余弦函数,双曲正切函数,序列,求余函数。
本发明实施例中提供了一种数据处理方法,包括:
在数据库导入数据前,采用加密算法对该数据进行加密后生成密文形式的数据;
在数据库存储密文形式的数据,并对密文形式的数据进行数据库处理;
在数据库导出数据前,采用解密算法对密文形式的数据进行解密后生成明文形式的数据,所述解密算法是与所述加密算法相对应的。
较佳地,进一步包括:
使用数据输入终端向数据加解密服务器输出欲导入数据库的明文形式的数据;和/或,
使用数据读取终端从数据加解密服务器获取导出数据库的密文形式的数据,该密文是使用与数据加解密服务器约定的加解密方式进行加解密的。
较佳地,所述数据库是关系型数据库;
数据加解密采用的所述加密算法是根据关系数据库的关系模型确定的,在加密后保持有关系模型所要求的数据的数值特性的加密算法,采用的所述解密算法是与所述加密算法相对应的。
较佳地,在采用加密算法对该数据进行加密后生成密文时,若数据包括若干字段,采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密。
较佳地,所述加密算法是采用根据初等函数和/或特殊函数构造的。
较佳地,所述初等函数为以下函数之一或者其组合或复合:常函数,幂函数,指数函数,三角函数,反三角函数,对数函数;
和/或,
所述特殊函数为以下函数之一或者其组合或复合:取整函数,狄利克里函数,伽马函数,符号函数,双曲正弦函数,双曲余弦函数,双曲正切函数,序列,求余函数。
本发明实施例中提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述数据处理方法。
本发明实施例中提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述数据处理方法的计算机程序。
本发明有益效果如下:
在本发明实施例提供的技术方案中,由于数据库中只有密文形式的数据,在进行数据库处理时也是对密文形式的数据进行处理;只有进出数据库时才由数据加解密服务器统一进行加解密。显然,即使数据库的数据泄露,获得的也是密文形式的数据,使得数据的安全得到了极大的保证。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中数据处理系统结构示意图;
图2为本发明实施例中数据处理方法实施流程示意图;
图3为本发明实施例中幂函数示意图;
图4为本发明实施例中指数函数示意图;
图5为本发明实施例中三角函数示意图;
图6为本发明实施例中对数函数示意图;
图7为本发明实施例中反三角函数y=arcsin(x)示意图;
图8为本发明实施例中反三角函数y=arccos(x)示意图;
图9为本发明实施例中反三角函数y=arctan(x)与反三角函数y=arccot(x)示意图;
图10为本发明实施例中取整函数示意图;
图11为本发明实施例中伽马函数示意图;
图12为本发明实施例中符号函数示意图;
图13为本发明实施例中双曲函数示意图;
图14为本发明实施例中泊松分布序列示意图;
图15为本发明实施例中二项分布序列示意图;
图16为本发明实施例中求余函数示意图;
图17为本发明实施例中数据传输形式示意图;
图18为本发明实施例中数据处理方法实施流程示意图。
具体实施方式
发明人在发明过程中注意到:
在大数据面临的安全问题时,目前的应对有如下问题:
面对大数据平台的信息泄露风险,在对大数据进行数据采集和信息挖掘的时候,要注重用户隐私数据的安全问题,在不泄露用户隐私数据的前提下进行数据挖掘。需要考虑的是在分布计算的信息传输和数据交换时保证各个存储点内的用户隐私数据不被非法泄露和使用是当前大数据背景下信息安全的主要问题。同时,当前的大数据数据量并不是固定的,而是在应用过程中动态增加的,但是,传统的数据隐私保护技术大多是针对静态数据的,所以,如何有效地应对大数据动态数据属性和表现形式的数据隐私保护也是要注重的安全问题。最后,大数据的数据远比传统数据复杂,现有的敏感数据的隐私保护是否能够满足大数据复杂的数据信息也是应该考虑的安全问题。
面对大数据的存储管理风险,大数据的数据类型和数据结构是传统数据不能比拟的,在大数据的存储平台上,数据量是非线性甚至是指数级的速度增长的,各种类型和各种结构的数据进行数据存储,势必会引发多种应用进程的并发且频繁无序的运行,极易造成数据存储错位和数据管理混乱,为大数据存储和后期的处理带来安全隐患。当前的数据存储管理系统,能否满足大数据背景下的海量数据的数据存储需求,还有待考验。不过,如果数据管理系统没有相应的安全机制升级,出现问题后则为时已晚。
然而现有的安全应对原理是源自ITIL(Information TechnologyInfrastructure Library,信息技术基础架构库),ITIL主要包括六个模块,即业务管理、服务管理、ICT基础架构管理、IT服务管理规划与实施、应用管理和安全管理。安全管理模块中架构中并没有自己的固定位置,解决安全问题是用“打补丁”的方式来进行解决,这就导致了没有整体上的安全处理措施,因而在各环节上都会出现问题,需要防护,例如需要在这些环节上都需要进行“打补丁”防护:黑客、内鬼、业务系统、数据库、操作系统、中间件、等级保护、网络安全、身份认证、审计、安全评估、数据保护、行为识别等等。
因此,本发明实施例中提供了一种从整体上来进行防护的机制,该机制使得数据仅在输入和/或使用时是明文,而在其它环节则是使用密文进行数据处理。
目前在涉及数据库数据加密时采用的手段是数据库透明加密技术,该技术是针对关系型数据库保密需求应运而生的一种数据库加密技术。所谓透明,是指对用户来说无需更改现有的应用系统和操作习惯。当用户通过应用程序访问数据库时,得到的是明文数据,而未授权的用户通过非法手段访问数据库得到的都是密文数据。数据在应用程序中是明文,在数据库中是密文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护数据库中数据的效果。
在该方式下,加密的方式为:
在发送端利用加密算法E和加密密钥Ke对明文P进行加密,得到密文Y=EKe(P)。密文Y被传送到接收端后应进行解密。解密过程可描述为:接收端利用解密算法D和解密密钥Kd对密文Y进行解密,将密文恢复为明文P=DKd(Y)。在密码学中,把设计密码的技术称为密码编码,把破译密码的技术称为密码分析。密码编码和密码分析合起来称为密码学。在加密系统中,算法是相对稳定的。为了加密数据的安全性,应经常改变密钥。
发明人注意到,该方式下,实质是数据进入数据库时会被解密,换言之,在数据库中的依然是明文。
而另一些非关系型数据库中,直接对数据进行加密,在数据库中保存的也是密文,这也可以起到数据一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护数据库中数据的效果。但是,发明人注意到,该方式下,数据库中的数据是不能进行关系处理的,也即,不能运用于关系型数据库中,这是因为在加密过程中数据因为加密失去了数据作为数值的特性,使得其不能借助关系数据库进行处理,这与关系型数据库的与数学有关的特性有关。关系数据库是建立在关系模型基础上的数据库,借助于集合代数等数学概念和方法来处理数据库中的数据。其关系模块中常用的操作包括:数据查询、选择、投影、连接、并、交、差、除、数据操作、增加、删除、修改、查询。其数据有完整性要求,完整性约束包括:实体完整性、参照完整性、用户定义完整性。
基于上述原因,本发明实施例中提供了一种数据加密方案,下面结合附图对本发明的具体实施方式进行说明。
首先对实施本方案的硬件环境进行说明。
图1为数据处理系统结构示意图,如图所示,系统中可以包括:数据加解密服务器,至少一个数据库,其中:
数据库,用于存储密文形式的数据,并对密文形式的数据进行数据库处理;
数据加解密服务器,用于在数据库导入数据前,采用加密算法对该数据进行加密后生成密文形式的数据,在数据库导出数据前,采用解密算法对密文形式的数据进行解密后生成明文形式的数据,所述解密算法是与所述加密算法相对应的。
实施中的数据库是指存储数据的物理或逻辑上的功能实体,数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,它产生于距今六十多年前,随着信息技术和市场的发展,特别是二十世纪九十年代以后,数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。数据库有很多种类型,从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。并不仅仅指狭义的数据库,例如:mysql、SQL Server、Oracle、Sybase、DB2等。
事实上,只要涉及到数据的处理,都可以采用本发明实施例提供的技术方案,并不仅限于命名为“数据库”的场景,例如也可以用于与数据存储与搜索软件的软件,例如数据库、搜索引擎等。具体以Elasticsearch为例,ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。但事实上,虽然Elasticsearch被称为是搜索引擎,但其中也有数据库功能,因此,即使一些应用不被称为数据库,但其也适用于本发明实施例中提供的技术方案。
实施中,还可以进一步包括:至少一个数据输入终端和/或至少一个数据读取终端,其中:
数据输入终端,用于向数据加解密服务器输出欲导入数据库的明文形式的数据;
数据读取终端,用于从数据加解密服务器获取导出数据库的密文形式的数据,该密文是使用与数据加解密服务器约定的加解密方式进行加解密的。
实施中,终端使用与数据加解密服务器约定的加解密方式进行加解密,以及下述的使用与终端约定的加密方式对将导出的明文进行加密、使用与终端约定的解密方式进行解密,这一过程中的“加密”是一种限制对数据的访问权的技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。将密文还原为原始明文的过程称为解密,它是加密的反向处理,解密者利用相同类型的加密设备和密钥对密文进行解密。一般常见的加解密方式有:
私用密钥加密技术:也称对称式加密(Symmetric Key Encryption),对称式加密方式对加密和解密使用相同的密钥。对称加密,是一种比较传统的加密方式,其加密运算、解密运算使用的是同样的密钥,信息的发送者和信息的接收者在进行信息的传输与处理时,共同持有该密码(称为对称密码)。通信双方都持有这把钥匙,并保持钥匙的秘密。如:RC4、RC2、DES和AES系列加密算法。
公开密钥加密技术:也称非对称密钥加密(Asymmetric Key Encryption):非对称密钥加密使用一组公共/私人密钥系统,加密时使用一种密钥,解密时使用另一种密钥。公共密钥可以广泛的共享和透露。当需要用加密方式向服务器外部传送数据时,这种加密方式更方便。如:RSA。
数字证书(Certificate):数字证书是一种非对称密钥加密,但是,一个组织可以使用证书并通过数字签名将一组公钥和私钥与其拥有者相关联。
实施中,所述数据库是关系型数据库;
数据加解密服务器采用的所述加密算法是根据关系数据库的关系模型确定的,在加密后保持有关系模型所要求的数据的数值特性的加密算法,采用的所述解密算法是与所述加密算法相对应的。
实施中,数据加解密服务器还可以进一步用于在采用加密算法对该数据进行加密后生成密文时,若数据包括若干字段,采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密。
实施中,数据加解密服务器还可以进一步用于采用根据初等函数和/或特殊函数构造的加密算法。
具体实施中,所述初等函数为以下函数之一或者其组合或复合:常函数,幂函数,指数函数,三角函数,反三角函数,对数函数;
和/或,
所述特殊函数为以下函数之一或者其组合或复合:取整函数,狄利克里函数,伽马函数,符号函数,双曲正弦函数,双曲余弦函数,双曲正切函数,序列,求余函数。
由上述结构可见,将数据输入与使用数据的终端所属的区域称为非安全区的话,那么,非安全区以外均使用密文,可称为安全区,也即非安全区中不会出现明文。
直接由数据加解密服务器提供数据安全运算服务,并直接面向数据的最终目的(使用数据的终端),最大限度的减少数据明文输出。
同时,结合使用数据的终端与数据加解密服务器约定的加解密方式进行加解密来实现访问服务器设备的授权,进一步增强了数据的安全性。
而采用根据关系数据库的关系模型确定的加密算法,在加密后保持有关系模型所要求的数据的数值特性,使得数据依然可以在数据库中按关系模型进行处理,而不仅仅只是存储数据。
若数据包括若干字段,采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密,采用针对每一个数据段进行单独加密的方式,可以针对每条记录的每个字段都采用不同方法加密,既可以保持数据在数据库中的关系型处理,也可以利用不需要进行关系模型进行处理的数据部分来增强加密的破解难度。这是因为在加密时,如果对数据的特性保留越少,其破解难度越大,因此,可以针对无需关系运算的数据段采用通常的加密方式来提高破解难度。
相应的,本发明实施例中还提供了加密方案,下面进行说明。
图2为数据处理方法实施流程示意图,如图所示,可以包括:
步骤201、确定导入关系型数据库的数据;
步骤202、采用加密算法对该数据进行加密后生成密文,所述加密算法是根据关系数据库的关系模型确定的,在加密后保持有关系模型所要求的数据的数值特性的加密算法;
步骤203、将该数据的密文导入关系型数据库。
实施中,还可以进一步包括:
确定导出关系型数据库的数据;
采用解密算法对该数据进行解密后生成明文,所述解密算法是与所述加密算法相对应的;
将该数据的明文导出关系型数据库。
实施中,还可以进一步包括:
在收到终端导出数据的请求后,使用与终端约定的加密方式对将导出的明文进行加密;
将加密后的明文发送给发出请求的终端,该明文是使用与终端约定的解密方式进行解密的。
实施中,在采用加密算法对该数据进行加密后生成密文时,若数据包括若干字段,是采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密的。
实施中,所述加密算法是根据初等函数和/或特殊函数构造的。
具体实施中,所述初等函数为以下函数之一或者其组合或复合:常函数,幂函数,指数函数,三角函数,反三角函数,对数函数;
和/或,
所述特殊函数为以下函数之一或者其组合或复合:取整函数,狄利克里函数,伽马函数,符号函数,双曲正弦函数,双曲余弦函数,双曲正切函数,序列,求余函数。
下面对加密算法可以使用的函数进行说明,实施例中所采用的附图中的函数曲线是采用现有的方式绘制的。
一、基本初等函数
1、常函数:y=a。
常函数不是严格单调递增函数,但是对于构造一些常见函数有非常重要的作用,a的取值对于其它函数的影响是巨大的。比如:y=ax+b,其中a,b表示的是常数。但是当a>0时,该函数是单调递增;当a<0时,该函数是单调递减。
2、幂函数:y=xk。
图3为幂函数示意图,如图所示,具体如下:
2.1、k为正整数。
k为偶数时(0,+∞)单增(-∞,0)单减;k为奇数时(-∞,+∞)单增。
2.2、k为负整数。
k为偶数时(0,+∞)单减,(-∞,0)单增;k为奇数时(-∞,0),(0+∞)单。
2.3、(q与p互素)为正数。
p为偶数时,(0,+∞)单增;p为奇数时,(-∞,+∞)单增;
p为偶数时,(0,+∞)单增;p为奇数时,(-∞,0)单减,(0,+∞)单。
2.4、(q与p互素)为负数。
p为偶数时,(0,+∞)单减;p为奇数时,(-∞,0)单增,(0,+∞)单减;
p为偶数时,(-∞,+∞)单减;p为奇数时,(-∞,0)单增。
4、指数函数:y=ax。
图4为指数函数示意图,如图所示,具体如下:
4.1、0<a<1,(-∞,+∞)单减。
4.2、1<a,(-∞,+∞)单增。
5、三角函数:
图5为三角函数示意图,如图所示,具体如下:
5.1、y=sin(x);
单增;单减。
5.2、y=cos(x);
(2kπ,π+2kπ](k∈Z)单减;(π+2kπ,2π+2kπ](k∈Z)单增。
5.3、y=tan(x);
单增。
5.4、y=cot(x);
单减。
6、对数函数:y=logax
图6为对数函数示意图,如图所示,具体如下:
6.1、0<a<1,(0,+∞)单减。
6.2、1<a,(0,+∞)单增。
7、反三角函数:
7.1、y=arcsin(x)
图7为反三角函数y=arcsin(x)示意图,如图所示,具体如下:
[-1,1]单增。
7.2、y=arccos(x)
图8为反三角函数y=arccos(x)示意图,如图所示,具体如下:
[-1,1]单减。
7.3、y=arctan(x)
(-∞,+∞)单增。
7.4、y=arccot(x)
(-∞,+∞)单减。
图9为反三角函数y=arctan(x)与反三角函数y=arccot(x)示意图,如图所示。
上述初等函数在实施中,常见的初等函数都可以由基本初等函数经过一系列的组合(线性组合或者非线性组合)或者复合构成。对于多层复合函数,多层复合函数的只要内层和外层的函数有偶数次单调减,则为增函数;有奇数次单调减,则为减函数。
例如:y=ax+b函数由幂函数y=xk当k=1时与常函数y=a先进行复合再与常函数y=b进行组合得到;y=ax+b函数由指数函数y=ax与常函数y=b进行组合得到。
二、常见的特殊函数。
1、取整函数:
图10为取整函数示意图,如图所示,具体如下:
y=[x]
在(-∞,+∞)不连续,但是阶梯性递增。
2、狄利克里函数。
它在实数域上处处不连续,但是使用它可以构造定义域为实数域上某个区间连续。
3、伽马函数
图11为伽马函数示意图,如图所示,具体如下:
在[1.461632131,+∞)单增,在(0,1.461632131)单减,函数的极值点无法直接描述,1.46163213是由计算得到的逼近值。
4、符号函数:
图12为符号函数示意图,如图所示,具体如下:
5、双曲正弦函数,双曲余弦函数,双曲正切函数
图13为双曲函数示意图,如图所示,具体如下:
(-∞,+∞)单增;
(0,+∞)单增,(-∞,0]单减;
(-∞,+∞)单增;
6、常见的序列
6.1、泊松分布序列。
图14为泊松分布序列示意图,如图所示,具体如下:
这里N指的是自然数,λ为参数,其中λ≤k单增,0≤k<λ单减。
6.2、二项分布序列:
图15为二项分布序列示意图,如图所示,具体如下:
这里N指的是自然数,[np]≤k单增,0≤k<[np]单减,这里[np]表示对np的取整。
7、求余函数
图16为求余函数示意图,如图所示,具体如下:
y=x mod p
在[kp,(k+1)p)k∈N,单增。
实施中,初等函数域特殊函数的复合或组合也可以构成某个区间的单调函数。
例如:函数由特殊函数中的伽马函数与基本初等函数中的常函数y=b进行组合得到;ECC(Elliptic curve cryptography,椭圆曲线密码学)椭圆曲线y2=x3+ax+b(mod p)这个曲线是由特殊函数中的求余函数和基本初等函数中的幂函数组合得到,其单调性必须进行具体分析。
由上述实施例可以看出,使用上述方案后,由于能够使用明文的仅仅只有数据的输入终端以及使用数据的终端,其它数据均为密文,因而可以防止数据被攻击者“脱库”后扩散,信息防护系统可以完全杜绝被攻击者“下载”。
采用方案的数据系统具备“三防”设计原则,对黑客、安全厂商、内部工作人员都具备全面的防护能力,对所有人来说,系统交付之后都是“黑盒子”。通过端到端对数据进行管理,确保数据在使用、传输和存储过程中不被未授权的用户泄露或者篡改。能够结合企业特有的业务需求、业务模式和管理文化,实现全方位地保护数据安全。
具体的,如方案所示,采用上述方案的数据系统通过在客户端与进行还原解码的数据加解密服务器间安全的上下传递数据,使得黑客在业务系统和数据库中一无所获,因为内部存储的数据全加密,业务系统只能看见被加密之后的数据,而数据全程受使用数据的终端与数据加解密服务器约定的PKI技术保护,只能在指定的客户端打开并展示。
图17为数据传输形式示意图,如图所示,可见,采用上述方案的系统使用后,客户端输入明文,经过系统加工后变成密文,完成业务系统的操作和存储后,数据仍以密文方式传递,最终在客户端以明文方式展现。整个数据传输过程中无明文。
也即,可以实现即使可以入侵操作系统,但是偷不到受保护数据;即使可以入侵中间件,但是偷不到受保护数据;即使可以偷数据库,但是偷不到受保护数据;即使可以偷业务系统,但是偷不到受保护数据。
基于同一发明构思,本发明实施例中还提供了一种数据处理方法、一种计算机设备、一种计算机可读存储介质,由于这些方法及设备解决问题的原理与的数据处理系统相似,因此这些方法及设备的实施可以参见系统的实施,重复之处不再赘述。
图18为数据处理方法实施流程示意图,如图所示,包括:
步骤1801、在数据库导入数据前,采用加密算法对该数据进行加密后生成密文形式的数据;
步骤1802、在数据库存储密文形式的数据,并对密文形式的数据进行数据库处理;
步骤1803、在数据库导出数据前,采用解密算法对密文形式的数据进行解密后生成明文形式的数据,所述解密算法是与所述加密算法相对应的。
实施中,还可以进一步包括:
使用数据输入终端向数据加解密服务器输出欲导入数据库的明文形式的数据;和/或,
使用数据读取终端从数据加解密服务器获取导出数据库的密文形式的数据,该密文是使用与数据加解密服务器约定的加解密方式进行加解密的。
实施中,所述数据库是关系型数据库;
数据加解密采用的所述加密算法是根据关系数据库的关系模型确定的,在加密后保持有关系模型所要求的数据的数值特性的加密算法,采用的所述解密算法是与所述加密算法相对应的。
实施中,在采用加密算法对该数据进行加密后生成密文时,若数据包括若干字段,采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密。
实施中,所述加密算法是采用根据初等函数和/或特殊函数构造的。
实施中,所述初等函数为以下函数之一或者其组合或复合:常函数,幂函数,指数函数,三角函数,反三角函数,对数函数;
和/或,
所述特殊函数为以下函数之一或者其组合或复合:取整函数,狄利克里函数,伽马函数,符号函数,双曲正弦函数,双曲余弦函数,双曲正切函数,序列,求余函数。
本发明实施例中还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述数据处理方法。具体实施可以参见上述数据处理系统与方法的实施。
本发明实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述数据处理方法。具体实施可以参见上述数据处理系统与方法的实施。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种数据处理系统,其特征在于,包括:数据加解密服务器,至少一个数据库,其中:
数据库,用于存储密文形式的数据,并对密文形式的数据进行数据库处理;
数据加解密服务器,用于在数据库导入数据前,采用加密算法对该数据进行加密后生成密文形式的数据,在数据库导出数据前,采用解密算法对密文形式的数据进行解密后生成明文形式的数据,所述解密算法是与所述加密算法相对应的。
2.如权利要求1所述的系统,其特征在于,进一步包括:至少一个数据输入终端和/或至少一个数据读取终端,其中:
数据输入终端,用于向数据加解密服务器输出欲导入数据库的明文形式的数据;
数据读取终端,用于从数据加解密服务器获取导出数据库的密文形式的数据,该密文是使用与数据加解密服务器约定的加解密方式进行加解密的。
3.如权利要求1所述的系统,其特征在于,
所述数据库是关系型数据库;
数据加解密服务器采用的所述加密算法是根据关系数据库的关系模型确定的,在加密后保持有关系模型所要求的数据的数值特性的加密算法,采用的所述解密算法是与所述加密算法相对应的。
4.如权利要求1所述的系统,其特征在于,数据加解密服务器进一步用于在采用加密算法对该数据进行加密后生成密文时,若数据包括若干字段,采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密。
5.如权利要求4所述的系统,其特征在于,数据加解密服务器进一步用于采用根据初等函数和/或特殊函数构造的所述加密算法。
6.如权利要求5所述的系统,其特征在于,所述初等函数为以下函数之一或者其组合或复合:常函数,幂函数,指数函数,三角函数,反三角函数,对数函数;
和/或,
所述特殊函数为以下函数之一或者其组合或复合:取整函数,狄利克里函数,伽马函数,符号函数,双曲正弦函数,双曲余弦函数,双曲正切函数,序列,求余函数。
7.一种数据处理方法,其特征在于,包括:
在数据库导入数据前,采用加密算法对该数据进行加密后生成密文形式的数据;
在数据库存储密文形式的数据,并对密文形式的数据进行数据库处理;
在数据库导出数据前,采用解密算法对密文形式的数据进行解密后生成明文形式的数据,所述解密算法是与所述加密算法相对应的。
8.如权利要求7所述的方法,其特征在于,进一步包括:
使用数据输入终端向数据加解密服务器输出欲导入数据库的明文形式的数据;和/或,
使用数据读取终端从数据加解密服务器获取导出数据库的密文形式的数据,该密文是使用与数据加解密服务器约定的加解密方式进行加解密的。
9.如权利要求7所述的方法,其特征在于,
所述数据库是关系型数据库;
数据加解密采用的所述加密算法是根据关系数据库的关系模型确定的,在加密后保持有关系模型所要求的数据的数值特性的加密算法,采用的所述解密算法是与所述加密算法相对应的。
10.如权利要求7所述的方法,其特征在于,在采用加密算法对该数据进行加密后生成密文时,若数据包括若干字段,采用加密算法对该数据中需保持有关系模型所要求的数据的数值特性的字段进行加密。
11.如权利要求10所述的方法,其特征在于,所述加密算法是采用根据初等函数和/或特殊函数构造的。
12.如权利要求11所述的方法,其特征在于,所述初等函数为以下函数之一或者其组合或复合:常函数,幂函数,指数函数,三角函数,反三角函数,对数函数;
和/或,
所述特殊函数为以下函数之一或者其组合或复合:取整函数,狄利克里函数,伽马函数,符号函数,双曲正弦函数,双曲余弦函数,双曲正切函数,序列,求余函数。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求7至12任一所述方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求7至12任一所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811260152.XA CN109495455A (zh) | 2018-10-26 | 2018-10-26 | 一种数据处理系统、方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811260152.XA CN109495455A (zh) | 2018-10-26 | 2018-10-26 | 一种数据处理系统、方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109495455A true CN109495455A (zh) | 2019-03-19 |
Family
ID=65692748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811260152.XA Pending CN109495455A (zh) | 2018-10-26 | 2018-10-26 | 一种数据处理系统、方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109495455A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112069511A (zh) * | 2020-07-28 | 2020-12-11 | 宁波吉利汽车研究开发有限公司 | 数据保护方法、装置、电子控制单元、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891876A (zh) * | 2011-07-22 | 2013-01-23 | 中兴通讯股份有限公司 | 云计算环境下分布式数据加密方法及系统 |
| CN103870583A (zh) * | 2014-03-25 | 2014-06-18 | 东方电气集团东方汽轮机有限公司 | 一种基于关系型数据库的在线可控浏览pdf文档的方法 |
| CN105787387A (zh) * | 2016-03-07 | 2016-07-20 | 南京邮电大学 | 一种数据库加密方法及该加密数据库查询方法 |
| CN107317666A (zh) * | 2017-05-25 | 2017-11-03 | 南京邮电大学 | 一种支持浮点运算的并行全同态加解密方法 |
-
2018
- 2018-10-26 CN CN201811260152.XA patent/CN109495455A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891876A (zh) * | 2011-07-22 | 2013-01-23 | 中兴通讯股份有限公司 | 云计算环境下分布式数据加密方法及系统 |
| CN103870583A (zh) * | 2014-03-25 | 2014-06-18 | 东方电气集团东方汽轮机有限公司 | 一种基于关系型数据库的在线可控浏览pdf文档的方法 |
| CN105787387A (zh) * | 2016-03-07 | 2016-07-20 | 南京邮电大学 | 一种数据库加密方法及该加密数据库查询方法 |
| CN107317666A (zh) * | 2017-05-25 | 2017-11-03 | 南京邮电大学 | 一种支持浮点运算的并行全同态加解密方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112069511A (zh) * | 2020-07-28 | 2020-12-11 | 宁波吉利汽车研究开发有限公司 | 数据保护方法、装置、电子控制单元、设备及存储介质 |
| CN112069511B (zh) * | 2020-07-28 | 2023-09-05 | 宁波吉利汽车研究开发有限公司 | 数据保护方法、装置、电子控制单元、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AlAhmad et al. | Mobile cloud computing models security issues: A systematic review | |
| Nagaraju et al. | Trusted framework for online banking in public cloud using multi-factor authentication and privacy protection gateway | |
| WO2019195820A1 (en) | Securing temporal digital communications via authentication and validation | |
| Bella et al. | A study of security threats and attacks in cloud computing | |
| WO2019199813A2 (en) | Managed high integrity blockchain and blockchain communications that utilize containers | |
| Suryavanshi et al. | The integration of Blockchain and AI for Web 3.0: A security Perspective | |
| Sehgal et al. | Cloud computing and information security | |
| Gadde et al. | Secure Data Sharing in Cloud Computing: A Comprehensive Survey of Two-Factor Authentication and Cryptographic Solutions. | |
| Gajmal et al. | Blockchain-based access control and data sharing mechanism in cloud decentralized storage system | |
| Bakro et al. | Hybrid blockchain-enabled security in cloud storage infrastructure using ECC and AES algorithms | |
| Srikanth et al. | Security issues in cloud and mobile cloud: A comprehensive survey | |
| CN109495455A (zh) | 一种数据处理系统、方法及设备 | |
| CN109522727A (zh) | 一种数据处理方法、装置及设备 | |
| Sansanwal et al. | Security Attacks in Cloud Computing: A Systematic Review | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| Mumtaz et al. | PDIS: A Service Layer for Privacy and Detecting Intrusions in Cloud Computing. | |
| Abd et al. | A review of cloud security based on cryptographic mechanisms | |
| Geetha et al. | Blockchain based Mechanism for Cloud Security | |
| CN109840423A (zh) | 一种数据关系的记录方法、装置及设备 | |
| CN113452661A (zh) | 一种服务端密钥安全防护方法、设备及介质 | |
| Sirisha et al. | ’Protection of encroachment on bigdata aspects’ | |
| Rassam et al. | Cloud Database Security Issues and Challenges: A Review | |
| Gottipati et al. | A Study on Data Security and Privacy Issues in Cloud Computing | |
| Rupa et al. | Study and improved data storage in cloud computing using cryptography | |
| Geng et al. | Securing Relational Database Storage with Attribute Association Aware Shuffling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190319 |
|
| RJ01 | Rejection of invention patent application after publication |