CN111314385A - 数据访问方法及装置 - Google Patents
数据访问方法及装置 Download PDFInfo
- Publication number
- CN111314385A CN111314385A CN202010208154.5A CN202010208154A CN111314385A CN 111314385 A CN111314385 A CN 111314385A CN 202010208154 A CN202010208154 A CN 202010208154A CN 111314385 A CN111314385 A CN 111314385A
- Authority
- CN
- China
- Prior art keywords
- cloud server
- public cloud
- data
- encrypted data
- private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供了数据访问方法及装置,其中,应用于公有云客户端的方法包括在接收到待访问加密数据的访问指令的情况下,向公有云服务端发送获取待访问加密数据的指令;待访问加密数据为公有云服务端中预先存储的加密数据中的加密数据;预先存储的加密数据是采用加密密钥对中的公钥对待存储到公有云服务端的关键数据进行加密得到;加密密钥对在私有云服务端生成;在接收到公有云服务端发送的待访问加密数据的情况下,采用预先从私有云服务端获取的加密密钥对中的私钥对待访问加密数据进行解密,得到明文数据;展示明文数据。本申请的公有云服务端可以避免用户数据中的关键数据(明文数据)的泄露。
Description
技术领域
本申请涉及电子信息领域,尤其涉及数据访问方法及装置。
背景技术
目前,随着用户所需存储的数量增大,通常情况下,用户将所需保存的数据存储在公有云中。
但是,用户数据存储在公有云服务端中,会出现数据泄露的问题,使得用户数据中的关键数据泄露。
发明内容
本申请提供了数据访问方法及装置,目的在于解决存储于公有云服务端的关键数据泄露的问题。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了数据访问方法,应用于公有云客户端,所述公有云客户端对应的公有云服务端已与预设的私有云服务端关联;所述方法包括:
在接收到待访问加密数据的访问指令的情况下,向所述公有云服务端发送获取所述待访问加密数据的指令;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
在接收到所述公有云服务端发送的待访问加密数据的情况下,采用预先从所述私有云服务端获取的所述加密密钥对中的私钥对所述待访问加密数据进行解密,得到明文数据;
展示所述明文数据。
可选的,所述公有云客户端从所述私有云服务端获取所述加密密钥对的过程包括:
向所述公有云服务端发送用于表征获取所述私有云服务端的访问地址的请求;
接收所述公有云服务端发送的所述私有云服务端的访问地址;
输出用于指示输入所述私有云服务端的登录密码的信息;
接收所述登录密码;
向所述私有云服务端发送第二信息;所述第二信息为用于表征对所述登录密码进行鉴权的信息;所述第二信息包括所述登录密码;
在接收到所述私有云服务端发送的表征鉴权通过的信息的情况下,向所述私有云服务端发送第三信息;所述第三信息表征获取所述加密密钥对的信息;
接收所述私有云服务端发送的所述加密密钥对。
可选的,该方法还包括:
在接收到向所述公有云服务端存储数据的指令的情况下,根据用户配置信息对所述待存储数据进行处理,得到结果数据;
将所述结果数据发送给所述公有云服务端。
本申请还提供了一种数据访问方法,应用于公有云服务端,所述公有云服务端已与预设的私有云服务端关联;所述方法包括:
在接收到公有云客户端发送的获取待访问加密数据的指令的情况下,从数据库中获取所述加密指令指示的待访问加密数据;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
将所述待访问加密数据发送给所述公有云客户端。
可选的,该方法还包括:
在接收到所述公有云客户端发送的待存储的结果数据的情况下,对所述结果数据进行验证;
在验证通过的情况下,将所述结果数据保存在数据库中;
在所述结果数据中包括密文信息的情况下,将所述结果数据中的密文信息发送给所述私有云服务端,使得所述私有云服务端依据所述加密密钥对中的私钥对所述结果数据中的密文信息进行解密,得到解密后的明文数据。
本申请还提供了一种数据访问方法,应用于私有云服务端,所述私有云服务端已与预设的公有云服务端进行关联,所述方法包括:
在所述私有云服务端和所述公有云服务端关联完成,并且,接收到生成加密密钥对的指令的情况下,生成加密密钥对;
在接收到公有云客户端发送的鉴权消息的情况下,对所述鉴权消息中的登录密码进行鉴权;
在鉴权通过的情况下,向所述公有云客户端发送表征对所述登录密码鉴权通过的消息;
在接收到所述公有云客户端发送的用于获取所述加密密钥对的消息的情况下,将所述加密密钥对发送给所述公有云客户端。
可选的,所述方法还包括:
在接收到所述公有云服务端发送的待存储到所述私有云服务端的密文信息的情况下,采用所述加密密钥对中的私钥对所述待存储到所述私有云服务端的密文信息进行解密,得到解密后的明文数据;
将所述解密后的明文数据保存在所述私有云服务端的数据库中。
本申请还提供了一种公有云客户端,所述公有云客户端对应的公有云服务端已与预设的私有云服务端关联,所述公有云客户端包括:
第一发送模块,用于在接收到待访问加密数据的访问指令的情况下,向所述公有云服务端发送获取所述待访问加密数据的指令;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
解密模块,用于在接收到所述公有云服务端发送的待访问加密数据的情况下,采用预先从所述私有云服务端获取的所述加密密钥对中的私钥对所述待访问加密数据进行解密,得到明文数据;
展示模块,用于展示所述明文数据。
可选的,所述公有云客户端还包括:
第一获取模块,用于从所述私有云服务端获取所述加密密钥对;
所述第一获取模块,用于从所述私有云服务端获取所述加密密钥对,包括:
所述第一获取模块,具体用于向所述公有云服务端发送用于表征获取所述私有云服务端的访问地址的请求;
接收所述公有云服务端发送的所述私有云服务端的访问地址;
输出用于指示输入所述私有云服务端的登录密码的信息;
接收所述登录密码;
向所述私有云服务端发送第二信息;所述第二信息为用于表征对所述登录密码进行鉴权的信息;所述第二信息包括所述登录密码;
在接收到所述私有云服务端发送的表征鉴权通过的信息的情况下,向所述私有云服务端发送第三信息;所述第三信息表征获取所述加密密钥对的信息;
接收所述私有云服务端发送的所述加密密钥对。
可选的,所述公有云客户端还包括数据存储模块,用于在接收到向所述公有云服务端存储数据的指令的情况下,根据用户配置信息对所述待存储数据进行处理,得到结果数据;将所述结果数据发送给所述公有云服务端。
本申请还提供了一种公有云服务端,所述公有云服务端已与预设的私有云服务端关联,该公有云服务端,包括:
第二获取模块,用于在接收到公有云客户端发送的获取待访问加密数据的指令的情况下,从数据库中获取所述加密指令指示的待访问加密数据;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
第二发送模块,用于将所述待访问加密数据发送给所述公有云客户端。
可选的,该公有云服务端还包括:
数据处理模块,用于在接收到所述公有云客户端发送的待存储的结果数据的情况下,对所述结果数据进行验证;
在验证通过的情况下,将所述结果数据保存在数据库中;
在所述结果数据中包括密文信息的情况下,将所述结果数据中的密文信息发送给所述私有云服务端,使得所述私有云服务端依据所述加密密钥对中的私钥对所述结果数据中的密文信息进行解密,得到解密后的明文数据。
本申请还提供了一种私有云服务端,所述私有云服务端已与预设的公有云服务端进行关联,包括:
生成模块,用于在所述私有云服务端和所述公有云服务端关联完成,并且,接收到生成加密密钥对的指令的情况下,生成加密密钥对;
鉴权模块,用于在接收到公有云客户端发送的鉴权消息的情况下,对所述鉴权消息中的登录密码进行鉴权;
第三发送模块,用于在鉴权通过的情况下,向所述公有云客户端发送表征对所述登录密码鉴权通过的消息;
第四发送模块,用于在接收到所述公有云客户端发送的用于获取所述加密密钥对的消息的情况下,将所述加密密钥对发送给所述公有云客户端。
可选的,所述私有云服务端还包括:
解密存储模块,用于在接收到所述公有云服务端发送的待存储到所述私有云服务端的密文信息的情况下,采用所述加密密钥对中的私钥对所述待存储到所述私有云服务端的密文信息进行解密,得到解密后的明文数据;将所述解密后的明文数据保存在所述私有云服务端的数据库中。
本申请所述的数据访问方法及装置中,公有云客户端在接收到待访问加密数据的访问指令的情况下,向公有云服务端发送获取待访问加密数据的指令,在接收到公有云服务端发送的待访问加密数据的情况下,采用加密密钥对中的私钥对该待访问加密数据进行解密,得到明文数据,并展示该明文数据。
由于待访问加密数据为公有云服务端中预先存储的加密数据中的加密数据,其中,预先存储的加密数据是采用加密密钥对中的公钥对待存储到公有云服务端的关键数据进行加密得到,即公有云服务端中存储的关键数据是加密数据,公有云服务端向公有云客户端反馈的关键数据是加密数据,对公有云服务端中关键数据的加密数据进行解密的加密密钥对在私有云服务端生成,并且,公有云客户端从私有云服务端获取该加密密钥对,实现对待访问加密数据的解密,即公有云服务端并没有用于对关键数据的加密数据解密的密钥,从而,公有云服务端可以避免用户的关键数据(明文数据)的泄露。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的公有云客户端从私有云服务端获取加密密钥对的过程示意图;
图2为本申请实施例公开的一种数据访问方法的流程图;
图3为本申请实施例公开的一种向公有云服务端添加新数据的过程示意图;
图4为本申请实施例公开的一种公有云客户端的结构示意图;
图5为本申请实施例公开的一种公有云服务端的结构示意图;
图6为本申请实施例公开的一种私有云服务端的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请实施例中,将开发的用于实现与公有云客户端以及公有云服务端进行交互的程序,安装在预设的私有云服务端。其中,本申请实施例开发的程序可运行在支持PHP的系统中。
在本申请实施例中,实现程序的开发,可以在PHP 7.1.x进行如下扩展:
curl,编译php时使用:--with-curl来安装
iconv,编译php时使用:--with-iconv来安装
json,编译php时使用:--enable-json来启用
mbstring,编译php时使用:--enable-mbstring来启用
openssl,管方扩展,可以自行安装,要求
OpenSSL Library Version OpenSSL 1.0.2k-fips 26 Jan 2017
OpenSSL Header Version OpenSSL 1.0.2k 26 Jan 2017
mcrypt,编译php时使用:--with-mcrypt安装
mongodb,三方框架扩展,自行编译,要求版本>=1.2.6
phalcon,三方扩展,自行编译,要求版本===3.4.1
http服务(include https)https需要自行申请
mongodb(include verision>=3.6.6),需要自行安装
在本申请实施例中,需要将安装有开发的程序的私有云服务端与公有云服务端之间建立关联,形成混合云,具体实现过程包括:
A1、用户登录公有云客户端。
具体的,用户可以通过网页版的公有云客户端登录公有云客户端。
A2、下载私有云安装包。
在本步骤中,下载的私有云安装包为事先开发的用于运行在私有云服务端的安装包。
具体的,用户可以在公有云客户端的组织管理-混合云-客户端下载按钮下载私有云安装包。当然,在实际中,从公有云客户端下载私有云安装包的下载途径可以根据实际需求设定,本实施例不对从公有云客户端下载私有云安装包的下载路径作限定。
A3、依据私有云安装包进行安装。
具体的,包括运行安装脚本检查系统环境,初始化数据库、管理员用户名和密码。
A4、对私有云服务端进行配置。
在本步骤中,配置具体可以包括生成用户密码和加密密钥对。其中,用户密码为用户登录私有云的密码。加密密钥对为非对称加密密钥对,例如,可以为RSA密钥对,当然,在实际中加密密钥对还可以为其他形式的密钥对,本申请实施例不对加密密钥对的具体内容作限定。
A5、在公有云上配置私有云域名和私有云签名密钥。
A6、在公有云上点击验证。
在本步骤中,如果验证通过,则表示已开通混合云。
在建立混合云后,由于在混合云建立完成的情况下,公有云服务端中已存储有数据,即用户在之前使用公有云的过程中存储的数据。在本申请实施例中,在混合云建立完成后,可以将公有云已有的数据同步到私有云,私有云客户端向私有云服务端发起数据同步请求,私有云服务端向公有云服务端发送数据同步请求,公有云服务端在接收到数据同步请求后,将当前已存储的明文数据作为待同步数据,发送给私有云服务端。私有云服务端在接收到同步的明文数据后,将同步的明文数据保存在私有云服务端的数据库中,在同步的明文数据同步完成后,私有云服务端向私有云客户端发送同步完成的信息,私有云客户端在接收到同步完成的信息后,返回预设的私有云列表页。
在本申请实施例中,在用户首次打开公有云客户端的情况下,公有云客户端从私有云服务端获取加密密钥对,具体实现过程如下图1所示,包括以下步骤:
S101、公有云客户端向公有云服务端发送用于表征获取私有云服务端的访问地址的请求。
由于已在公有云服务端中配置私有云域名,即公有云服务端中已存在私有云服务端的访问地址。因此,在本步骤中,公有云客户端向公有云服务端发送获取私有云服务端的访问地址的请求。
S102、公有云服务端向公有云客户端发送私有云服务端的访问地址。
在本步骤中,公有云服务端将已关联的私有云的访问地址,发送给公有云客户端。
S103、公有云客户端输出用于指示输入私有云服务端的登录密码的信息。
在本步骤中,公有云客户端输出指示信息,该指示信息用于用户输入私有云服务端的登录密码,该登录密码为在配置私有云过程中,用户配置的用户密码。
S104、公有云客户端接收登录密码。
在本步骤中,在用户输入登录密码后,公有云客户端接收到用户输入的登录密码。
S105、公有云客户端向私有云服务端发送第二信息。
在本步骤中,第二信息为用于表征对登录密码进行鉴权的信息,第二信息包括登录密码。
S106、私有云服务端在接收到公有云客户端发送的鉴权消息的情况下,对鉴权消息中的登录密码进行鉴权。
私有云服务端为了保证向外发送加密密钥对的安全性,需要对公有云客户端发送的鉴权信息中的登录密码进行鉴权,在鉴权信息中的登录密码与用户在私有云中配置的用户密码相同的情况下,表明鉴权信息中的登录密码是正确的登录密码,表明对登录密码的鉴权通过。如果鉴权信息中的登录密码与用户配置的用户密码不同,则对登录密码的鉴权不通过。
S107、私有云服务端在鉴权通过的情况下,向公有云客户端发送表征对登录密码鉴权通过的消息。
在本步骤中,私有云服务器在对登录密码的鉴权通过的情况下,向公有云客户端发送表征对登录密码鉴权通过的消息。
S108、公有云客户端在接收到私有云服务端发送的表征鉴权通过的信息的情况下,向私有云服务端发送第三信息。
在本步骤中,公有云客户端向私有云服务端发送第三想消息,其中,第三信息表征获取加密密钥对的信息。
S109、私有云服务端在接收到公有云客户端发送的用于获取加密密钥对的消息的情况下,将加密密钥对发送给公有云客户端。
由于私有云服务端已经对登录密码鉴权通过,因此,在本步骤中,私有云服务端将加密密钥对发送给公有云客户端。
S110、公有云客户端接收私有云服务端发送的加密密钥对。
在本步骤,公有云客户端获取到加密密钥对。
本实施例包括以下有益效果:
有益效果一:
在本实施例中,公有云客户端要想从私有云服务端获取到加密密钥对,公有云客户端需要获取到用户登录私有云的登录密码,私有云服务端对公有云客户端获取的登录密码进行鉴权,在鉴权通过的情况下,私有云服务端才将加密密钥对发送给公有云客户端,进而,保证了私有云服务端向外发送加密密钥对的安全性。
图2为本申请实施例提供的一种数据访问方法,包括以下步骤:
S201、公有云客户端在接收到待访问加密数据的访问指令的情况下,向公有云服务端发送获取待访问加密数据的指令。
在本实施例中,在公有云服务端预先存储加密数据,其中,预先存储的加密数据是采用加密密钥对中的公钥对待存储到公有云服务端的关键数据进行加密得到,其中,加密密钥对在私有云服务端生成。
在本步骤中,待访问加密数据为公有云服务端中预先存储的加密数据中的加密数据,具体的,待访问加密数据的具体内容,是用户根据实际需求确定的。
S202、公有云服务端在接收到公有云客户端发送的获取待访问加密数据的指令的情况下,从数据库中获取加密指令指示的待访问加密数据。
在本步骤中,公有云服务端可以依据待访问加密数据的标识,从公有云服务端的数据库中,获取待访问加密数据的标识指示的加密数据。
S203、公有云服务端将待访问加密数据发送给公有云客户端。
S204、公有云客户端在接收到公有云服务端发送的待访问加密数据的情况下,采用预先从私有云服务端获取的加密密钥对中的私钥对待访问加密数据进行解密,得到明文数据。
在本实施例中,由于公有云客户端在首次被打开的情况下,公有云客户端已经获取到加密密钥对,其中,加密密钥对包括公钥和私钥。因此,在本步骤中,公有云客户端在接收到待访问加密数据的情况下,可以采用加密密钥对中的私钥进行解密,得到待访问加密数据对应的明文数据。
S205、公有云客户端展示明文数据。
在本步骤中,公有云客户端将待访问加密数据解密得到的明文数据,进行展示。
在本申请实施例中,用户还可以通过公有云客户端向公有云服务端中添加待存储的数据,具体的添加新数据的过程,如图3所示,包括以下步骤:
S301、公有云客户端在接收到向公有云服务端存储数据的指令的情况下,接收待存储数据。
在本步骤中,公有云客户端在接收到用户发送的向公有云服务端存储新数据的指令的情况下,接收待存储的新数据,为了描述方便,将待存储的新数据称为待存储数据。
在本实施例中,公有云客户端提供了数据配置功能,即用户可以在公有云客户端进行配置,使得公用云客户端依据配置信息,识别待存储数据中的关键数据和非关键数据。
需要说明的是,可选的,在实际中,如果待存储数据全部都是关键数据的情况下,用户可以不进行配置,公有云客户端默认在未接收到用户配置信息的情况下,待存储数据全部是关键数据。
在实际中,待存储数据中是否存在关键数据,以及待存储数据中哪些数据是关键数据,由用户根据实际情况确定。
S302、公有云客户端对待存储数据进行处理,得到结果数据。
由于公有云客户端在首次被打开的情况下,已经获取到加密密钥对,即已经获取到公钥和私钥。
在本步骤中,在公有云客户端接收到配置信息,并且,配置信息指示关键数据的情况下,则将待存储数据中,配置信息指示的关键数据采用公钥进行加密,得到结果数据。该结果数据包括:关键数据的密文信息和非关键数据的明文数据。
在公有云客户端接收到配置信息,并且,配置信息指示无关键数据的情况下,得到结果数据。该结果数据为待存储数据的明文数据。
在公有云客户端未接收到配置信息的情况下,对待存储数据采用公钥进行加密,得到结果数据。该结果数据是待存储数据的密文信息。
S303、公有云客户端将结果数据发送给公有云服务端。
S304、公有云服务端在接收到公有云客户端发送的结果数据的情况下,对结果数据进行验证。
在本步骤中,进行验证的内容可以包括格式的验证,当然,在实际中,验证的具体内容需要根据实际情况确定,本实施例不对验证的具体内容作限定。
S305、在验证通过的情况下,公有云服务端将结果数据保存在数据库中。
在本步骤中,公有云服务端将待存储密文信息,保存在公有云服务端的数据库中。
S306、公有云服务端在结果数据中包括密文信息的情况下,将结果数据中的密文信息发送给私有云服务端。
在本实施例中,为了使得私有云服务端可以保存用户在公有云服务端存储的关键数据,以防止公有云服务端突然出现问题的情况。因此,在本步骤中,在结果数据中包括密文信息的情况下,该密文信息为关键数据的加密数据,公有云服务端将密文信息发送给私有云服务端。
S307、私有云服务端在接收到公有云服务端发送的待存储到私有云服务端的密文信息的情况下,采用加密密钥对中的私钥对待存储到私有云服务端的密文信息进行解密,得到解密后的明文数据。
在本步骤中,待存储到私有云服务端的密文信息是指结果数据中的密文信息。由于私有云服务端中存在加密密钥对,因此,在本步骤中,私有云服务端采用加密密钥对中的私钥对密文信息进行解密,为了描述方便,将解密后的结果称为解密后的明文数据。
S308、将解密后的明文数据保存在私有云服务端的数据库中。
通过本步骤中,将待存储数据中的关键数据保存在了私有云服务端的数据库中。
在本实施例中,公有云服务端在将结果数据保存在数据库后,在结果数据中包括关键数据的密文信息的情况下,将关键数据的密文信息发送给私有云服务端,私有云服务端对密文信息进行解密,得到解密后的明文数据,并将解密后的明文数据保存在私有云服务端的数据库中,使得向公有云服务端添加的关键数据,同步到私有云服务端,使得私有云服务端的数据库中保存的关键数据,与公有云服务端的数据中保存的关键数据是同步的,使得在公有云服务端出现突发问题的情况下,可以从私有云服务端的数据库中获取到关键数据。
通过数据访问过程和数据添加过程,可以看出,在本申请实施例中,对于私有云服务端,在私有云服务端与公有云客户端间的交互过程中,涉及到对公有云客户端发送的鉴权信息中的登录密码进行鉴权,以及向公有云客户端发送加密密钥对,私有云服务端在与公有云服务端的交互流程,涉及对待添加到私有云服务端的关键数据的密文数据进行解密,得到解密后的明文数据,以及对解密后的明文数据进行保存。在实际中,私有云服务端还可以提供对少量关键数据的查看功能、加密密钥对管理,以及混合云用户密码配置这些功能。从私有云的与公有云客户端、公有云服务端的交互流程,以及私有云服务端所提供的功能,可以看出,私有云服务端执行的流程是对所有数据都适用的通用流程,因此,对私用云服务端执行流程进行升级,不会对私有云中存储的明文数据造成影响,进而,对私有云服务端的执行流程进行升级,会解决现有技术中对私有云服务端升级难度大的问题。
在本实施例中,私有云服务端的程序在任意的可执行PHP的系统中,都可以运行,并且,私有云服务端的程序的处理流程简单,因此,不需专业人员进行维护,仅需要注意私有云服务端不突然断电即可,因此,可以降低维护成本。
考虑到私有云服务器性能以及可以长期无需人员维护的特点,为了提高用户的使用体验,在本申请实施例中,可以弱化私有云服务端的功能,使私有云服务端做通用的API处理。即本申请实施例中,私有云服务端仅提供少量的关键数据查看、加密密钥对管理、混合云用户密码配置这些功能。即绝大部分不需要加密的非关键数据仍然保留在公有云服务端。从而,本申请实施例提供的私有云服务端所需存储的数据减少,即本实施例减少了私有云服务端存储的数据。
图4为本申请实施例提供的一种公有云客户端,该公有云客户端对应的公有云服务端已与预设的私有云服务端关联;该公有云客户端包括:第一发送模块401、解密模块402和展示模块403,其中,
第一发送模块401,用于在接收到待访问加密数据的访问指令的情况下,向公有云服务端发送获取待访问加密数据的指令;待访问加密数据为公有云服务端中预先存储的加密数据中的加密数据;预先存储的加密数据是采用加密密钥对中的公钥对待存储到公有云服务端的关键数据进行加密得到;加密密钥对在私有云服务端生成。
解密模块402,用于在接收到公有云服务端发送的待访问加密数据的情况下,采用预先从私有云服务端获取的加密密钥对中的私钥对待访问加密数据进行解密,得到明文数据。
展示模块403,用于展示明文数据。
可选的,该公有云客户端还可以包括:
第一获取模块,用于从私有云服务端获取加密密钥对;
第一获取模块,用于从私有云服务端获取加密密钥对,包括:
第一获取模块,具体用于向公有云服务端发送用于表征获取私有云服务端的访问地址的请求;接收公有云服务端发送的私有云服务端的访问地址;输出用于指示输入私有云服务端的登录密码的信息;所述登录密码;向私有云服务端发送第二信息;第二信息为用于表征对登录密码进行鉴权的信息;第二信息包括所述登录密码;在接收到私有云服务端发送的表征鉴权通过的信息的情况下,向私有云服务端发送第三信息;第三信息表征获取加密密钥对的信息;接收私有云服务端发送的加密密钥对。
可选的,该公有云客户端还可以包括数据存储模块,用于在接收到向公有云服务端存储数据的指令的情况下,根据用户配置信息对待存储数据进行处理,得到结果数据;将结果数据发送给公有云服务端。
图5为本申请实施例提供的一种公有云服务端,公有云服务端已与预设的私有云服务端关联,该公有云服务端包括:第二获取模块501和第二发送模块502,其中,
第二获取模块501,用于在接收到公有云客户端发送的获取待访问加密数据的指令的情况下,从数据库中获取加密指令指示的待访问加密数据;待访问加密数据为公有云服务端中预先存储的加密数据中的加密数据;预先存储的加密数据是采用加密密钥对中的公钥对待存储到公有云服务端的关键数据进行加密得到;加密密钥对在私有云服务端生成。
第二发送模块502,用于将待访问加密数据发送给公有云客户端。
可选的,该公有云服务端还可以包括:
数据处理模块,用于在接收到公有云客户端发送的待存储的结果数据的情况下,对结果数据进行验证;在验证通过的情况下,将结果数据保存在数据库中;在结果数据中包括密文信息的情况下,将结果数据中的密文信息发送给私有云服务端,使得私有云服务端依据加密密钥对中的私钥对结果数据中的密文信息进行解密,得到解密后的明文数据。
图6为本申请实施例提供的一种私有云服务端,私有云服务端已与预设的公有云服务端进行关联,该私有云服务端包括:生成模块601、鉴权模块602、第三发送模块603和第四发送模块604,其中,
生成模块601,用于在私有云服务端和公有云服务端关联完成,并且,接收到生成加密密钥对的指令的情况下,生成加密密钥对。
鉴权模块602,用于在接收到公有云客户端发送的鉴权消息的情况下,对鉴权消息中的登录密码进行鉴权。
第三发送模块603,用于在鉴权通过的情况下,向公有云客户端发送表征对登录密码鉴权通过的消息。
第四发送模块604,用于在接收到公有云客户端发送的用于获取加密密钥对的消息的情况下,将加密密钥对发送给公有云客户端。
可选的,该私有云服务端还可以包括:
解密存储模块,用于在接收到公有云服务端发送的待存储到私有云服务端的密文信息的情况下,采用加密密钥对中的私钥对待存储到私有云服务端的密文信息进行解密,得到解密后的明文数据;将解密后的明文数据保存在私有云服务端的数据库中。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种数据访问方法,其特征在于,应用于公有云客户端,所述公有云客户端对应的公有云服务端已与预设的私有云服务端关联;所述方法包括:
在接收到待访问加密数据的访问指令的情况下,向所述公有云服务端发送获取所述待访问加密数据的指令;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
在接收到所述公有云服务端发送的待访问加密数据的情况下,采用预先从所述私有云服务端获取的所述加密密钥对中的私钥对所述待访问加密数据进行解密,得到明文数据;
展示所述明文数据。
2.根据权利要求1所述的方法,其特征在于,所述公有云客户端从所述私有云服务端获取所述加密密钥对的过程包括:
向所述公有云服务端发送用于表征获取所述私有云服务端的访问地址的请求;
接收所述公有云服务端发送的所述私有云服务端的访问地址;
输出用于指示输入所述私有云服务端的登录密码的信息;
接收所述登录密码;
向所述私有云服务端发送第二信息;所述第二信息为用于表征对所述登录密码进行鉴权的信息;所述第二信息包括所述登录密码;
在接收到所述私有云服务端发送的表征鉴权通过的信息的情况下,向所述私有云服务端发送第三信息;所述第三信息表征获取所述加密密钥对的信息;
接收所述私有云服务端发送的所述加密密钥对。
3.根据权利要求1所述的方法,其特征在于,还包括:
在接收到向所述公有云服务端存储数据的指令的情况下,根据用户配置信息对所述待存储数据进行处理,得到结果数据;
将所述结果数据发送给所述公有云服务端。
4.一种数据访问方法,其特征在于,应用于公有云服务端,所述公有云服务端已与预设的私有云服务端关联;所述方法包括:
在接收到公有云客户端发送的获取待访问加密数据的指令的情况下,从数据库中获取所述加密指令指示的待访问加密数据;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
将所述待访问加密数据发送给所述公有云客户端。
5.根据权利要求4所述的方法,其特征在于,还包括:
在接收到所述公有云客户端发送的待存储的结果数据的情况下,对所述结果数据进行验证;
在验证通过的情况下,将所述结果数据保存在数据库中;
在所述结果数据中包括密文信息的情况下,将所述结果数据中的密文信息发送给所述私有云服务端,使得所述私有云服务端依据所述加密密钥对中的私钥对所述结果数据中的密文信息进行解密,得到解密后的明文数据。
6.一种数据访问方法,其特征在于,应用于私有云服务端,所述私有云服务端已与预设的公有云服务端进行关联,所述方法包括:
在所述私有云服务端和所述公有云服务端关联完成,并且,接收到生成加密密钥对的指令的情况下,生成加密密钥对;
在接收到公有云客户端发送的鉴权消息的情况下,对所述鉴权消息中的登录密码进行鉴权;
在鉴权通过的情况下,向所述公有云客户端发送表征对所述登录密码鉴权通过的消息;
在接收到所述公有云客户端发送的用于获取所述加密密钥对的消息的情况下,将所述加密密钥对发送给所述公有云客户端。
7.根据权利要求6所述的方法,其特征在于,还包括:
在接收到所述公有云服务端发送的待存储到所述私有云服务端的密文信息的情况下,采用所述加密密钥对中的私钥对所述待存储到所述私有云服务端的密文信息进行解密,得到解密后的明文数据;
将所述解密后的明文数据保存在所述私有云服务端的数据库中。
8.一种公有云客户端,其特征在于,所述公有云客户端对应的公有云服务端已与预设的私有云服务端关联;所述公有云客户端,包括:
第一发送模块,用于在接收到待访问加密数据的访问指令的情况下,向所述公有云服务端发送获取所述待访问加密数据的指令;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
解密模块,用于在接收到所述公有云服务端发送的待访问加密数据的情况下,采用预先从所述私有云服务端获取的所述加密密钥对中的私钥对所述待访问加密数据进行解密,得到明文数据;
展示模块,用于展示所述明文数据。
9.一种公有云服务端,其特征在于,所述公有云服务端已与预设的私有云服务端关联,该公有云服务端,包括:
第二获取模块,用于在接收到公有云客户端发送的获取待访问加密数据的指令的情况下,从数据库中获取所述加密指令指示的待访问加密数据;所述待访问加密数据为所述公有云服务端中预先存储的加密数据中的加密数据;所述预先存储的加密数据是采用加密密钥对中的公钥对待存储到所述公有云服务端的关键数据进行加密得到;所述加密密钥对在所述私有云服务端生成;
第二发送模块,用于将所述待访问加密数据发送给所述公有云客户端。
10.一种私有云服务端,其特征在于,所述私有云服务端已与预设的公有云服务端进行关联,包括:
生成模块,用于在所述私有云服务端和所述公有云服务端关联完成,并且,接收到生成加密密钥对的指令的情况下,生成加密密钥对;
鉴权模块,用于在接收到公有云客户端发送的鉴权消息的情况下,对所述鉴权消息中的登录密码进行鉴权;
第三发送模块,用于在鉴权通过的情况下,向所述公有云客户端发送表征对所述登录密码鉴权通过的消息;
第四发送模块,用于在接收到所述公有云客户端发送的用于获取所述加密密钥对的消息的情况下,将所述加密密钥对发送给所述公有云客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010208154.5A CN111314385B (zh) | 2020-03-23 | 2020-03-23 | 数据访问方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010208154.5A CN111314385B (zh) | 2020-03-23 | 2020-03-23 | 数据访问方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111314385A true CN111314385A (zh) | 2020-06-19 |
CN111314385B CN111314385B (zh) | 2022-06-28 |
Family
ID=71162432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010208154.5A Active CN111314385B (zh) | 2020-03-23 | 2020-03-23 | 数据访问方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314385B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113449337A (zh) * | 2021-06-22 | 2021-09-28 | 广州市资拓科技有限公司 | 一种服务器托管信息处理方法及系统 |
CN113642014A (zh) * | 2021-07-23 | 2021-11-12 | 广州有信科技有限公司 | 一种基于混合云的数据访问系统及公有云服务器 |
CN114239065A (zh) * | 2021-12-20 | 2022-03-25 | 北京深思数盾科技股份有限公司 | 基于密钥的数据处理方法、电子设备及存储介质 |
CN114389885A (zh) * | 2022-01-14 | 2022-04-22 | 浙江远东工业开发有限公司 | 一种安全的开放私有云数据库到公有云方法 |
CN115865862A (zh) * | 2022-11-21 | 2023-03-28 | 北京奇艺世纪科技有限公司 | 一种数据访问方法、系统、装置、电子设备及存储介质 |
CN115878629A (zh) * | 2023-01-04 | 2023-03-31 | 摩尔线程智能科技(北京)有限责任公司 | 一种gpu跟踪数据服务系统、电子设备和存储介质 |
CN117240617A (zh) * | 2023-11-13 | 2023-12-15 | 中国联合网络通信集团有限公司 | 公有云存储访问方法、装置、设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209823A (zh) * | 2016-07-08 | 2016-12-07 | 西安电子科技大学 | 一种移动云计算环境下的轻量级文件远程加密方法 |
US20170026355A1 (en) * | 2015-07-20 | 2017-01-26 | Cisco Technology, Inc. | Secure access to virtual machines in heterogeneous cloud environments |
CN106599719A (zh) * | 2016-12-12 | 2017-04-26 | 西安电子科技大学 | 支持高效密钥管理的密文检索方法 |
CN106936579A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 基于可信第三方代理的云存储数据存储及读取方法 |
CN107330337A (zh) * | 2017-07-19 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 混合云的数据存储方法、装置、相关设备及云系统 |
US9954828B1 (en) * | 2014-03-24 | 2018-04-24 | Trend Micro Incorporated | Protection of data stored in the cloud |
CN108881195A (zh) * | 2018-06-07 | 2018-11-23 | 蒋云 | 基于云环境的数据安全共享方法和装置 |
CN109981267A (zh) * | 2019-03-22 | 2019-07-05 | 西安电子科技大学 | 大规模用户多密钥场景云加密数据库系统及存储查询方法 |
WO2019204650A1 (en) * | 2018-04-19 | 2019-10-24 | PIV Security LLC | Peer identity verification |
-
2020
- 2020-03-23 CN CN202010208154.5A patent/CN111314385B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9954828B1 (en) * | 2014-03-24 | 2018-04-24 | Trend Micro Incorporated | Protection of data stored in the cloud |
US20170026355A1 (en) * | 2015-07-20 | 2017-01-26 | Cisco Technology, Inc. | Secure access to virtual machines in heterogeneous cloud environments |
CN106936579A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 基于可信第三方代理的云存储数据存储及读取方法 |
CN106209823A (zh) * | 2016-07-08 | 2016-12-07 | 西安电子科技大学 | 一种移动云计算环境下的轻量级文件远程加密方法 |
CN106599719A (zh) * | 2016-12-12 | 2017-04-26 | 西安电子科技大学 | 支持高效密钥管理的密文检索方法 |
CN107330337A (zh) * | 2017-07-19 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 混合云的数据存储方法、装置、相关设备及云系统 |
WO2019204650A1 (en) * | 2018-04-19 | 2019-10-24 | PIV Security LLC | Peer identity verification |
CN108881195A (zh) * | 2018-06-07 | 2018-11-23 | 蒋云 | 基于云环境的数据安全共享方法和装置 |
CN109981267A (zh) * | 2019-03-22 | 2019-07-05 | 西安电子科技大学 | 大规模用户多密钥场景云加密数据库系统及存储查询方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113449337A (zh) * | 2021-06-22 | 2021-09-28 | 广州市资拓科技有限公司 | 一种服务器托管信息处理方法及系统 |
CN113642014A (zh) * | 2021-07-23 | 2021-11-12 | 广州有信科技有限公司 | 一种基于混合云的数据访问系统及公有云服务器 |
CN114239065A (zh) * | 2021-12-20 | 2022-03-25 | 北京深思数盾科技股份有限公司 | 基于密钥的数据处理方法、电子设备及存储介质 |
CN114389885A (zh) * | 2022-01-14 | 2022-04-22 | 浙江远东工业开发有限公司 | 一种安全的开放私有云数据库到公有云方法 |
CN114389885B (zh) * | 2022-01-14 | 2024-03-22 | 浙江远东工业开发有限公司 | 一种安全的开放私有云数据库到公有云方法 |
CN115865862A (zh) * | 2022-11-21 | 2023-03-28 | 北京奇艺世纪科技有限公司 | 一种数据访问方法、系统、装置、电子设备及存储介质 |
CN115878629A (zh) * | 2023-01-04 | 2023-03-31 | 摩尔线程智能科技(北京)有限责任公司 | 一种gpu跟踪数据服务系统、电子设备和存储介质 |
CN115878629B (zh) * | 2023-01-04 | 2023-05-12 | 摩尔线程智能科技(北京)有限责任公司 | 一种gpu跟踪数据服务系统、电子设备和存储介质 |
CN117240617A (zh) * | 2023-11-13 | 2023-12-15 | 中国联合网络通信集团有限公司 | 公有云存储访问方法、装置、设备及存储介质 |
CN117240617B (zh) * | 2023-11-13 | 2024-02-23 | 中国联合网络通信集团有限公司 | 公有云存储访问方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111314385B (zh) | 2022-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111314385B (zh) | 数据访问方法及装置 | |
WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
US9824353B2 (en) | Key protection method and system | |
CN105007279B (zh) | 认证方法和认证系统 | |
EP2954448B1 (en) | Provisioning sensitive data into third party network-enabled devices | |
CN110597538B (zh) | 一种基于ota升级系统的软件升级方法和ota升级系统 | |
EP2657871B1 (en) | Secure configuration of mobile application | |
CN110401629B (zh) | 一种激活授权的方法及相关装置 | |
CN109302369B (zh) | 一种基于密钥验证的数据传输方法及装置 | |
US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
CN103078742B (zh) | 数字证书的生成方法和系统 | |
CN110366183B (zh) | 短信安全防护方法及装置 | |
WO2011044529A1 (en) | Various methods and apparatuses for securing an application container | |
US9331995B2 (en) | Secure configuration of mobile application | |
CN113992346B (zh) | 一种基于国密加固的安全云桌面的实现方法 | |
US8892873B1 (en) | Verification of user communication addresses | |
CN108710500A (zh) | 资源发布方法、更新方法和装置 | |
US20160085973A1 (en) | Method and apparatus for providing provably secure user input/output | |
CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
CN111460410A (zh) | 服务器登录方法、装置、系统与计算机可读存储介质 | |
WO2021073224A1 (zh) | 数据显示方法、显示终端、服务器、显示系统和存储介质 | |
CN111510448A (zh) | 汽车ota升级中的通讯加密方法、装置及系统 | |
CN109657170B (zh) | 网页加载方法、装置、计算机设备及存储介质 | |
CN113055182B (zh) | 认证方法及系统、终端、服务器、计算机系统和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |