CN109918934A - 基于aes三层动态加密技术的研发数据安全与保密系统 - Google Patents
基于aes三层动态加密技术的研发数据安全与保密系统 Download PDFInfo
- Publication number
- CN109918934A CN109918934A CN201910197410.2A CN201910197410A CN109918934A CN 109918934 A CN109918934 A CN 109918934A CN 201910197410 A CN201910197410 A CN 201910197410A CN 109918934 A CN109918934 A CN 109918934A
- Authority
- CN
- China
- Prior art keywords
- encryption
- management module
- module
- key
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
基于AES三层动态加密技术的研发数据安全与保密系统,用于实现对数据的加密。它包括内核模块、密钥管理模块、用户加解密管理模块、日志管理模块、配置管理模块、流程管理模块、服务器端模块和客户端模块,内核模块负责监控客户端应用程序的指定操作;密钥管理模块用于从加密锁加载并给客户端提供密钥;加解密管理模块用于查看加密和未加密文件的状态;日志管理模块用于对各种操作提供日志审查功能;配置管理模块用于授权可被允许的操作;流程管理模块处理各种流程并管理、追踪各种操作的相关信息;服务器端模块包括中心服务器、WEB服务器、锁服务器、管理控制台;客户端模块包括、加密客户端模块、加解密模块;本发明可有效实现对数据的加密。
Description
技术领域
本发明涉及数据保密技术领域,具体地说是一种基于AES三层动态加密技术的研发数据安全与保密系统。
背景技术
随着企业间的市场竞争不断加剧,技术创新、管理创新等理念使企业对信息化建设持续深入,各类应用软件和管理平台在企业内得到充分利用,企业的核心资产已逐渐向电子信息转变,而电子信息在日益发达的内外部信息网络以及充斥着各种传播数据途径的企业环境下存在着严重的安全隐患,在相关保护知识产权法规还待完善的今天,窃取和泄漏企业敏感数据的现象非常普遍,如何有效的控制这些关系着企业生存和发展的核心数据已成了企业新的挑战。
面对严峻现实,各企业也一直在寻求和探索着一个能够内外兼顾的完善的信息安全保障方案。通过网络安全防护技术如防火墙、入侵检测、反病毒软件应用、身份认证等技术应用,从一定程度上解决了企业外网如病毒和黑客等入侵,使通过外网来侵入企业内部进行窃密的行为得到一定遏制,但现实中企业内数据流失的现象却依然十分严重,这是因为对企业数据安全威胁最大的是企业内部管理,在企业内部存在着多种传播的途径,主要包括:(1) 通过移动存储器可以复制、传播电子文件;(2)通过网络可以复制、传播电子文件;(3)通过电子邮件可以复制、传播电子文件;(4)硬件(电脑、硬盘)的丢失造成电子文件的流失;(5)员工离职带走重要的电子文件;(6) 外公司人员到企业内接入电脑轻易拷走企业内数据;(7)公司人员带电脑出差将重要数据泄露或遗失。
为了解决这一棘手问题,很多企业采用了如设置上网权限、门禁、封计算机USB和光区等各类端口和设备、打印控制,采用监控软件对机器进行监察和控制以及设置计算机管理规范等各种手段,这些强制手段让内网安全得到一定保障,但由于各种限制降低了工作的效率,且没有从数据源头来根治问题,计算机易管理人却难管控,是很多企业在信息安全工作中遇到的共同问题,很多制定的规范和限制策略由于人的因素而成了空谈,所以如何从数据源头上杜绝数据的扩散成了数据安全的新思考。
发明内容
本发明的目的在于提供一种基于AES三层动态加密技术的研发数据安全与保密系统,用于实现对数据的加密。
本发明解决其技术问题所采取的技术方案是:基于AES三层动态加密技术的研发数据安全与保密系统,其特征是,它包括内核模块、密钥管理模块、用户加解密管理模块、日志管理模块、配置管理模块、流程管理模块、服务器端模块和客户端模块,内核模块负责监控客户端应用程序的指定操作,使用从密钥服务器获得的信息自动完成文件的加/解密操作,并保证文件始终处于密文形式,降低信息流失的风险;密钥管理模块用于从加密锁加载并给客户端提供密钥;加解密管理模块用于查看加密和未加密文件的状态,对指定的文件进行加密解密操作;日志管理模块用于对各种操作提供日志审查功能;配置管理模块用于授权可被允许的操作;流程管理模块处理各种流程并管理、追踪各种操作的相关信息;服务器端模块包括(1)中心服务器:负责所有控制指令的上传下达、配置调度、信息数据存储;(2)WEB服务器:为 WEB的各种功能提供应用,负责与数据库的通信;(3)锁服务器:负责锁管理,与智能IC卡直接通信,具体功能包括密钥控制和License控制功能;(4)管理控制台:通过浏览器访问实现对管辖的计算机和用户进行配置和管理,提供系统配置、日志查询、客户端状态监控、策略下发、权限控制等功能,便于系统管理员对系统进行全局管理;客户端模块包括(1)加密客户端模块:按照服务端设定的策略,对文件进行实时、动态加解密操作;(2)加解密模块:用于查看文件的加密或非加密状态,并可对指定的文件或文件夹进行加密、解密操作。
进一步地,密钥管理模块包括密钥服务管理器,密钥服务管理器随系统自启动,密钥信息存放于加密锁中,不可复制、修改。
本发明的有益效果是:本发明提供的基于AES三层动态加密技术的研发数据安全与保密系统,可以实现对数据的三层加密。架构上,顺应互联网+的时势,采用B/S模式(Browser/Server浏览器/服务器模式)架构,InteKey已经由传统C/S架构软件转型为B/S架构互联网软件,支持在互联网上部署及移动设备(手机等)应用。只连接InteKey服务端的网络通畅,就可以正常使用,省去因为出差而必须让笔记本电脑进行离线使用授权、离线解密授权的烦恼。技术上,采用“文件过滤驱动”的底层驱动技术和先进的流加密算法AES三层加密体系,1024位密钥及核心算法存放于硬件智能卡内,不可跟踪及复制。加密后的文件在企业内部可以正常使用,在企业外部则由于不能获得文件的密钥,无法解析文件的加密数据,文件打不开从而达到对重要核心数据进行保护的目的。系统更采用Md5值校验方式,有效杜绝因更改进程名而引发的加密异常。各模块间通讯全部采用RPC的通讯方式,加密更加严谨安全。
附图说明
图1为本发明的结构示意图。
具体实施方式
下面结合附图对本发明进行详细描述。
如图1所示,本发明主要包括内核模块、密钥管理模块、用户加解密管理模块、日志管理模块、配置管理模块、流程管理模块、服务器端模块和客户端模块。
内核模块
内核模块负责监控客户端应用程序的指定操作,使用从密钥服务器获得的信息自动完成文件的加/解密操作,并保证文件始终处于密文形式,降低信息流失的风险。
密钥管理模块
密钥管理模块用于从加密锁加载并给客户端提供密钥。密钥管理模块包括密钥服务管理器,密钥服务管理器随系统自启动,密钥信息存放于加密锁中,不可复制、修改。
加解密管理模块
加解密管理模块用于查看加密和未加密文件的状态,可对指定的文件进行加密解密操作。由于该程序具有解密功能,应严格控制该程序的使用权限。
日志管理模块
日志管理模块用于对各种操作提供日志审查功能。
配置管理模块
管理人员可对每台客户机的加密功能进行订制,所有的配置操作均可在服务端实时完成,这些配置操作包括:是否允许打印,是否允许拷贝,是否允许拖拽,是否允许拷屏,是否允许USB设备接入,以及更新客户端加密软件等。
流程管理模块
当用户需要将已加密文件提交给企业外部人员,或启用了打印流程策略,需要经过审批才能打印文档时,流程管理模块处理各种流程的同时,亦可用于管理、追踪各种操作的相关信息。
服务器端模块是搭建系统服务器端时所需部署的模块,这些模块可完全部署于同一台服务器上,也可按需分离部署。
服务器端模块具体包括:(1)中心服务器(CenterServer):负责所有控制指令的上传下达、配置调度、信息数据存储。(2)WEB服务器:为WEB的各种功能提供应用,负责与数据库的通信。(3)锁服务器(Lock Server):负责锁管理,与智能IC卡直接通信,具体功能包括密钥控制和License控制功能。(4)管理控制台(Manager):通过浏览器访问实现对管辖的计算机和用户进行配置和管理。提供系统配置、日志查询、客户端状态监控、策略下发、权限控制等功能,便于系统管理员对系统进行全局管理。
客户端模块包括:(1)加密客户端模块:按照服务端设定的策略,对文件进行实时、动态加解密操作。同时,接收服务端的指令,执行策略管控、扫描加解密处理、客户端实效控制等功能。(2)加解密模块:加解密模块用于查看文件的加密或非加密状态,并可对指定的文件或文件夹进行加密、解密操作。
本发明通过以下三层加密体系保护,保障了数据的绝对安全性。A:外部存储层采用基于智能卡的密钥存储机制,难以非法获取;B:传输层采用基于 3DES的加密传输机制,难以破解;C:数据加密采用基于高级加密标准算法 AES算法,并采用了高加密强度的全文加密的方式,支持AES1024加密算法;数据高强度加密后,在未获得密钥和未经授权的前提下流出企业,将自动不可用,未经授权的第三方用户无法破译或打开。
加密方式有以下三种:客户端动态加密:客户端涉密程序新建、编辑、保存一个涉密文件后,文件自动以密文形式存放于存储介质中。手动加密:具备权限的用户可以使用文件加解密模块对数据进行手动、批量加密。后台扫描加密:支持后台扫描加密功能,便于管理人员通过后台对客户端文件按照类型进行批量扫描加密。
密钥的产生、计算过程均采用随机算法。程序密钥为256位密钥,可破解性极低。产品密钥存放于硬件智能卡(硬件锁)中,不可追踪、不可复制、不可反编译。密钥的获取过程、传输过程、使用过程均再次加密处理,杜绝密钥的非法获取,通过以上措施保障密钥的绝对安全。
涉密数据一旦产生,即刻被高效、快速加密处理。加密后的文件在内部 (安装有InteKEY客户端的用户)的交流不受影响;加密后的文件流出后(或在非授权的机器上),将无法正常使用;加密后的文件若需提供至外部,必须通过授权解密、审核解密或进行外发权限限制后才能提供。
泄密途径控制:
本系统对所有可能造成信息流失的方式都提供了完备的解决方案,尽量考虑到所有可能造成信息流失的途径,屏蔽了诸如另存输出、剪贴板、打印机、截屏等各种高危操作,涉密数据将始终以密文形式存储在物理介质上,从而能够有效的防止内部涉密信息的流失。系统屏蔽的可泄密途径列举如下: (支持但不仅限于)
解密方式包括:客户端授权解密:拥有“直接解密”权限的用户可直接执行解密操作;后台扫描解密:支持后台扫描解密功能,便于管理人员通过后台对客户端的文件按照类型进行批量扫描解密。流程解密:提供流程审核解密功能,管理员可设置相关解密流程,用户必须提出解密申请,由相关领导审核通过后,方可获取解密后的文件。
Claims (2)
1.基于AES三层动态加密技术的研发数据安全与保密系统,其特征是,它包括内核模块、密钥管理模块、用户加解密管理模块、日志管理模块、配置管理模块、流程管理模块、服务器端模块和客户端模块,内核模块负责监控客户端应用程序的指定操作,使用从密钥服务器获得的信息自动完成文件的加/解密操作,并保证文件始终处于密文形式,降低信息流失的风险;密钥管理模块用于从加密锁加载并给客户端提供密钥;加解密管理模块用于查看加密和未加密文件的状态,对指定的文件进行加密解密操作;日志管理模块用于对各种操作提供日志审查功能;配置管理模块用于授权可被允许的操作;流程管理模块处理各种流程并管理、追踪各种操作的相关信息;服务器端模块包括(1)中心服务器:负责所有控制指令的上传下达、配置调度、信息数据存储;(2)WEB服务器:为WEB的各种功能提供应用,负责与数据库的通信;(3)锁服务器:负责锁管理,与智能IC卡直接通信,具体功能包括密钥控制和License控制功能;(4)管理控制台:通过浏览器访问实现对管辖的计算机和用户进行配置和管理,提供系统配置、日志查询、客户端状态监控、策略下发、权限控制等功能,便于系统管理员对系统进行全局管理;客户端模块包括(1)加密客户端模块:按照服务端设定的策略,对文件进行实时、动态加解密操作;(2)加解密模块:用于查看文件的加密或非加密状态,并可对指定的文件或文件夹进行加密、解密操作。
2.根据权利要求1所述的基于AES三层动态加密技术的研发数据安全与保密系统,其特征是,密钥管理模块包括密钥服务管理器,密钥服务管理器随系统自启动,密钥信息存放于加密锁中,不可复制、修改。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910197410.2A CN109918934A (zh) | 2019-03-15 | 2019-03-15 | 基于aes三层动态加密技术的研发数据安全与保密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910197410.2A CN109918934A (zh) | 2019-03-15 | 2019-03-15 | 基于aes三层动态加密技术的研发数据安全与保密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109918934A true CN109918934A (zh) | 2019-06-21 |
Family
ID=66965039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910197410.2A Pending CN109918934A (zh) | 2019-03-15 | 2019-03-15 | 基于aes三层动态加密技术的研发数据安全与保密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109918934A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110598440A (zh) * | 2019-08-08 | 2019-12-20 | 中腾信金融信息服务(上海)有限公司 | 一种分布式自动加解密系统 |
| CN112182617A (zh) * | 2020-09-29 | 2021-01-05 | 京东数字科技控股股份有限公司 | 针对接口请求的处理方法、装置及系统 |
| CN113221155A (zh) * | 2021-05-29 | 2021-08-06 | 合肥学院 | 一种多层级与多等级加密的云储存系统 |
| CN114915495A (zh) * | 2022-07-05 | 2022-08-16 | 浙江华东工程数字技术有限公司 | 一种支持多种算法切换的报文加解密方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102156844A (zh) * | 2011-04-22 | 2011-08-17 | 南京邮电大学 | 一种电子文档在线离线安全管理系统的实现方法 |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理系统及方法 |
| CN103716354A (zh) * | 2012-10-09 | 2014-04-09 | 苏州慧盾信息安全科技有限公司 | 一种信息系统的安全防护系统和方法 |
| US20140143550A1 (en) * | 2012-11-16 | 2014-05-22 | Nuance Cornmunications, Inc. | Securing speech recognition data |
-
2019
- 2019-03-15 CN CN201910197410.2A patent/CN109918934A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102156844A (zh) * | 2011-04-22 | 2011-08-17 | 南京邮电大学 | 一种电子文档在线离线安全管理系统的实现方法 |
| CN103716354A (zh) * | 2012-10-09 | 2014-04-09 | 苏州慧盾信息安全科技有限公司 | 一种信息系统的安全防护系统和方法 |
| US20140143550A1 (en) * | 2012-11-16 | 2014-05-22 | Nuance Cornmunications, Inc. | Securing speech recognition data |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| GUIZI_222: "天喻产品数据安全解决方案介绍", 《HTTPS://WENKU.BAIDU.COM/VIEW/8F7CA25D3B3567EC102D8A32》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110598440A (zh) * | 2019-08-08 | 2019-12-20 | 中腾信金融信息服务(上海)有限公司 | 一种分布式自动加解密系统 |
| CN110598440B (zh) * | 2019-08-08 | 2023-05-09 | 中腾信金融信息服务(上海)有限公司 | 一种分布式自动加解密系统 |
| CN112182617A (zh) * | 2020-09-29 | 2021-01-05 | 京东数字科技控股股份有限公司 | 针对接口请求的处理方法、装置及系统 |
| CN113221155A (zh) * | 2021-05-29 | 2021-08-06 | 合肥学院 | 一种多层级与多等级加密的云储存系统 |
| CN113221155B (zh) * | 2021-05-29 | 2022-07-01 | 合肥学院 | 一种多层级与多等级加密的云储存系统 |
| CN114915495A (zh) * | 2022-07-05 | 2022-08-16 | 浙江华东工程数字技术有限公司 | 一种支持多种算法切换的报文加解密方法 |
| CN114915495B (zh) * | 2022-07-05 | 2022-11-01 | 浙江华东工程数字技术有限公司 | 一种支持多种算法切换的报文加解密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100568251C (zh) | 协同工作环境下涉密文档的保护方法 | |
| CN109918934A (zh) | 基于aes三层动态加密技术的研发数据安全与保密系统 | |
| CN101729550B (zh) | 基于透明加解密的数字内容安全防护系统及加解密方法 | |
| CN106462718B (zh) | 存储设备的快速数据保护 | |
| CN103530570B (zh) | 一种电子文档安全管理系统及方法 | |
| Dwoskin et al. | Hardware-rooted trust for secure key management and transient trust | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| CN100592313C (zh) | 一种电子文档防泄密系统及实现方法 | |
| CN103080946B (zh) | 用于安全地管理文件的方法、安全设备、系统和计算机程序产品 | |
| CN107919954A (zh) | 一种基于sgx的区块链用户密钥保护方法和装置 | |
| CN101098224B (zh) | 对数据文件动态加解密的方法 | |
| CN104077244A (zh) | 基于进程隔离加密机制的安全保密盘模型及其生成方法 | |
| CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN102299920A (zh) | 电子文档安全管理系统 | |
| CN102799539A (zh) | 一种安全优盘及其数据主动防护方法 | |
| CN104219077A (zh) | 一种中小企业信息管理系统 | |
| CN107563221A (zh) | 一种用于加密数据库的认证解码安全管理系统 | |
| CN104239812A (zh) | 一种局域网数据安全防护方法及系统 | |
| CN104376270A (zh) | 一种文件保护方法及系统 | |
| CN101923610A (zh) | 一种数据保护方法及系统 | |
| CN107147665A (zh) | 基于属性的访问控制模型在工业4.0系统中的应用方法 | |
| CN114091015A (zh) | 一种基于数据安全沙箱的数据处理方法及系统 | |
| CN107273725B (zh) | 一种针对涉密信息的数据备份方法及系统 | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| CN104732160A (zh) | 一种防止数据库信息内部泄密的控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190621 |
|
| RJ01 | Rejection of invention patent application after publication |