数据加密存储方法、装置、电子设备及存储介质
技术领域
本发明实施例涉及数据安全技术领域,尤其涉及一种数据加密存储方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的发展,互联网应用的普及率迅速攀升,在互联网应用过程中涉及的敏感数据,比如用户银行卡信息、用户身份证号码、用户登录密码、用户支付过程中产生的数据等也日趋增长。为了避免数据泄露,将互联网应用过程中涉及的敏感数据加密存储在设备内存中。
目前常用的加密方法是,利用设备指纹对数据进行加密。然而,在同一台设备上,不同的应用进程都可以获取到设备指纹,这也就意味着对于某一应用进程的加密数据而言,其他应用进程也可以利用设备指纹对该应用进程的加密数据进行解密,得到明文数据,这就导致数据泄露。
发明内容
鉴于此,为解决上述技术问题或部分技术问题,本发明实施例提供一种数据加密存储方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供一种数据加密存储方法,应用于电子设备,所述方法包括:
在应用进程启动后,生成一个随机对称密钥,并将所述随机对称密钥与所述应用进程绑定;
获取所述应用进程的待加密数据;
利用所述应用进程绑定的随机对称密钥对所述待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处。
在一个可能的实施方式中,所述生成一个随机对称密钥,包括:
获取本设备的设备指纹;
将所述设备指纹作为随机因子,并按照设定的随机数生成方法生成一个随机数,将所述随机数作为随机对称密钥。
在一个可能的实施方式中,所述将随机对称密钥与所述应用进程绑定,包括:
调用Linux密钥保留服务将所述随机对称密钥的访问权限设置为仅允许所述应用进程访问该随机对称密钥。
在一个可能的实施方式中,所述获取应用进程的待加密数据,包括:
向密钥管理系统发送所述应用进程的登录请求,以使所述密钥管理系统依据所述登录请求对所述应用进程进行身份验证,并在验证结果表示验证通过时,将传输会话密钥发送至所述电子设备;
在确定所述应用进程成功登录所述密钥管理系统时,向所述密钥管理系统发送所述应用进程的密钥获取请求,以使所述密钥管理系统依据所述密钥获取请求,将利用所述传输会话密钥加密后的目标密钥发送至所述电子设备;
利用所述传输会话密钥对所述加密后的目标密钥进行解密,将解密后的目标密钥作为所述应用进程的待加密数据。
在一个可能的实施方式中,在所述利用应用进程绑定的随机对称密钥对所述待加密数据进行加密之后,所述方法还包括:
从本设备内存中删除所述待加密数据。
第二方面,本发明实施例提供一种数据加密存储装置,应用于电子设备,所述装置包括:
密钥生成模块,用于在应用进程启动后,生成一个随机对称密钥,并将所述随机对称密钥与所述应用进程绑定;
数据获取模块,用于获取所述应用进程的待加密数据;
加密存储模块,用于利用所述应用进程绑定的随机对称密钥对所述待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处。
在一个可能的实施方式中,所述密钥生成模块生成一个随机对称密钥,包括:
获取本设备的设备指纹;
将所述设备指纹作为随机因子,并按照设定的随机数生成方法生成一个随机数,将所述随机数作为随机对称密钥。
在一个可能的实施方式中,所述密钥生成模块将随机对称密钥与所述应用进程绑定,包括:
调用Linux密钥保留服务将所述随机对称密钥的访问权限设置为仅允许所述应用进程访问该随机对称密钥。
在一个可能的实施方式中,所述数据获取模块获取所述应用进程的待加密数据,包括:
向密钥管理系统发送所述应用进程的登录请求,以使所述密钥管理系统依据所述登录请求对所述应用进程进行身份验证,并在验证结果表示验证通过时,将传输会话密钥发送至所述电子设备;
在确定所述应用进程成功登录所述密钥管理系统时,向所述密钥管理系统发送所述应用进程的密钥获取请求,以使所述密钥管理系统依据所述密钥获取请求,将利用所述传输会话密钥加密后的目标密钥发送至所述电子设备;
利用所述传输会话密钥对所述加密后的目标密钥进行解密,将解密后的目标密钥作为所述应用进程的待加密数据。
在一个可能的实施方式中,所述装置还包括:
删除模块,用于从本设备内存中删除所述待加密数据。
第三方面,本发明实施例提供一种电子设备,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的数据加密存储程序,以实现上述任一项所述的数据加密存储方法。
第四方面,本发明实施例提供一种存储介质,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一项所述的数据加密存储方法。
本发明实施例提供的数据加密存储方法,通过在应用进程启动后,生成一个随机对称密钥,并将该随机对称密钥与该应用进程绑定,之后利用应用进程绑定的随机对称密钥对该应用进程的待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处,实现了数据的加密存储。
进一步,由于应用进程与加密数据用的随机对称密钥是一对一绑定的,即,在对应用进程的数据进行加密时,只能利用该应用进程绑定的密钥对该应用进程的数据进行加密,并且,应用进程仅可以获取到绑定的密钥,而不能获取其他应用进程的密钥,这就能够保证应用进程仅可以获取到自身的数据,而无法获取到其他应用进程的数据,从而能够避免数据泄露,提高数据安全性。
附图说明
图1为本发明实施例提供的一种数据加密存储方法的实施例流程图;
图2为本发明实施例提供的一种步骤102的实现流程;
图3为本发明实施例提供的一种数据加密存储装置的实施例框图;
图4为本发明实施例提供的一种的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
参见图1,为本发明实施例提供的一种数据加密存储方法的实施例流程图,在一个例子中,该方法可应用于电子设备,这里的电子设备可以是支持网络连接从而提供各种网络服务的硬件设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、服务器等。可选的,该电子设备上安装Linux系统。如图1所示,该方法包括以下步骤:
步骤101:在应用进程启动后,生成一个随机对称密钥,并将该随机对称密钥与该应用进程绑定。
在本发明实施例中,对于一个应用进程而言,为了防止其他应用进程获取该应用进程的数据,可以设置应用进程与加密该应用进程的数据时所利用的密钥之间的绑定关系,这里,应用进程与密钥是一对一绑定的。在对应用进程的数据进行加密时,利用该应用进程绑定的密钥对该应用进程的数据进行加密,并且,应用进程仅可以获取到绑定的密钥,而不能获取其他应用进程的密钥,这就能够实现应用进程仅可以获取到自身的数据,而无法获取到其他应用进程的数据。
在一实施例中,在应用进程启动后,则生成一个随机对称密钥,并将该随机对称密钥与该应用进程进行绑定。这里,不同的应用进程对应的随机对称密钥不同,这也就能够实现应用进程与随机对称密钥一对一绑定。
在一个可选的实现方式中,可以获取本设备的设备指纹,比如设备的MAC地址、IP地址、硬盘序列号等等,将获取到的设备指纹作为随机因子,并按照设定的随机数生成方法,比如Random方法生成一个随机数,将生成的随机数作为上述随机对称密钥。可选的,可以将上述随机对称密钥作为国密SM4对称加密算法密钥。
在一个可选的实现方式中,通过调用Linux密钥保留服务将随机对称密钥保存在Linux系统内核中,并将随机对称密钥的访问权限设置为仅允许该应用进程访问该随机对称密钥,以实现应用进程与随机对称密钥一对一绑定。至于是如何调用Linux密钥保留服务将随机对称密钥的访问权限设置为仅允许该应用进程访问该随机对称密钥的,本发明不再赘述。
步骤102:获取应用进程的待加密数据。
可选的,应用进程的待加密数据可以为应用进程对应的用户的登录密码或者登录密码的特征值、数据库连接密码、用户的银行卡信息、身份证号码等。
在实际应用中,待加密数据不同,获取待加密数据的具体过程则不同。以下通过图2所示流程,对待加密数据为应用进程对应的用户的登录密码或者登录密码的特征值、数据库连接密码等密码(也可称密钥)相关数据时,待加密数据的获取过程进行说明,这里先不做详述。
需要说明的是,上述步骤101和步骤102的执行顺序仅仅用作举例,并非用作限定。换言之,在应用进程启动后则生成一个随机对称密钥仅仅用作举例,并非用作限定。在实际应用中,还可以在其他时间点,比如在获取到应用进程的待加密数据之后,生成随机对称密钥。
步骤103:利用应用进程绑定的随机对称密钥对待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处。
在一实施例中,调用Linux密钥保留服务,从本设备的Linux系统内核中获取到应用进程绑定的随机对称密钥。
在一实施例中,若随机对称密钥为国密SM4对称加密算法密钥,则利用国密SM4对称加密算法对待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处,比如指定文件中。
由上述实施例可见,通过在应用进程启动后,生成一个随机对称密钥,并将该随机对称密钥与该应用进程绑定,之后利用应用进程绑定的随机对称密钥对该应用进程的待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处,实现了数据的加密存储。
进一步,由于应用进程与加密数据用的随机对称密钥是一对一绑定的,即,在对应用进程的数据进行加密时,只能利用该应用进程绑定的密钥对该应用进程的数据进行加密,并且,应用进程仅可以获取到绑定的密钥,而不能获取其他应用进程的密钥,这就能够保证应用进程仅可以获取到自身的数据,而无法获取到其他应用进程的数据,从而能够避免数据泄露,提高数据安全性。
至此,完成图1所示流程的相关描述。以下则通过图2所示流程,对待加密数据为应用进程对应的用户的登录密码或者登录密码的特征值、数据库连接密码等密码(也可称密钥)相关数据时,待加密数据的获取过程进行说明:
参见图2,为本发明实施例提供的一种步骤102的实现流程。如图2所示,该流程包括以下步骤:
步骤201:电子设备向密钥管理系统发送应用进程的登录请求。
这里,密钥管理系统用于统一管理各个系统的密钥,比如用户的登录密码或者登录密码的特征值、数据库连接密码等,本发明实施例中将这些与密码(也可称密钥)相关的数据统称为密钥。可选的,密钥管理系统为AKS(Authentication Key Management System,认证密钥管理系统)。
以客户端请求连接数据库为例,客户端在请求连接数据库时,向数据库所在的服务端,即本发明实施例所应用的电子设备发送数据库连接请求。可选的,该数据库连接请求携带用户输入的用户名和数据库连接密码。电子设备接收到该数据库连接请求时,则启动相应的应用进程对该数据库连接请求进行处理,以实现客户端连接数据库。
该应用进程对数据库连接请求进行处理的过程包括:首先,登录密钥管理系统,在成功登录密钥管理系统后,从密钥管理系统中获取上述用户名对应的数据库连接密码,该对应的数据库连接密码则为用户注册时设置的数据库连接密码。之后,利用获取到的数据库连接密码对上述数据库连接请求中携带的数据库连接密码进行验证,在验证通过,比如比较出两者一致时,则可实现客户端连接数据库。
基于此,在本步骤201中,电子设备向密钥管理系统发送应用进程的登录请求,以请求登录密钥管理系统。
步骤202:密钥管理系统依据登录请求对应用进程进行身份验证,并在验证结果表示验证通过时,将传输会话密钥发送至电子设备。
在一实施例中,上述登录请求至少携带电子设备的IP地址,密钥管理系统则依据登录请求中的IP地址对应用进程进行身份验证,比如在已注册的合法IP地址中查找登录请求携带的IP地址,如果查找到该登录请求携带的IP地址,则确定应用进程通过身份验证。
密钥管理系统在确定应用进程通过身份验证时,将传输会话密钥发送至电子设备。在一个例子中,传输会话密钥由密钥管理系统随机生成,且为对称密钥,用于保障电子设备和密钥管理系统本次通信会话的安全性。
步骤203:电子设备在确定应用进程成功登录密钥管理系统时,向密钥管理系统发送应用进程的密钥获取请求。
在一实施例中,电子设备在接收到密钥管理系统发送的传输会话密钥时,则确定应用进程成功登录密钥管理系统。
在一实施例中,密钥管理系统将对应用进程进行身份验证的验证结果发送给电子设备,电子设备在确定验证结果表示验证通过时,确定应用进程成功登录密钥管理系统。
基于步骤201中的相关描述,在本步骤203中,电子设备在确定应用进程成功登录密钥管理系统时,则可以向密钥管理系统发送应用进程的密钥获取请求。在上述客户端请求连接数据库的例子中,该密钥获取请求携带用户名,用于从密钥管理系统中获取该用户名对应的数据库连接密码。
步骤204:密钥管理系统依据密钥获取请求,将利用传输会话密钥加密后的目标密钥发送至电子设备。
这里,目标密钥则是指应用进程所请求获取的密钥,比如数据库连接密码。
在实际应用中,为了保证通信会话的安全性,密钥管理系统利用传输会话密钥对目标密钥进行加密,将加密后的目标密钥发送给电子设备,这能够避免目标密钥在传输过程中出现数据泄露。
步骤205:电子设备利用传输会话密钥对加密后的目标密钥进行解密,将解密后的目标密钥作为应用进程的待加密数据。
由于传输会话密钥为对称密钥,因此,电子设备可以利用传输会话密钥对加密后的目标密钥进行解密,将解密后的目标密钥,比如数据库连接密码,该解密后的目标密钥即为应用进程的待加密数据。
通过图2所示流程,实现了从密钥管理系统中获取应用进程的待加密数据。
此外,在本发明实施例中,在利用应用进程绑定的随机对称密钥对待加密数据进行加密之后,从电子设备的内存中删除待加密数据,即,电子设备的内存中仅保存有加密后的数据。这能够实现即使电子设备的内存泄露,也无法获取到需要保护的数据的明文数据,从而提高数据安全性。
与前述数据加密存储方法的实施例相对应,本发明还提供数据加密存储装置的具体实施例。
参见图3,为本发明实施例提供的一种数据加密存储装置的实施例框图。如图3所示,该装置包括:密钥生成模块31、数据获取模块32、加密存储模块33。
其中,密钥生成模块31,用于在应用进程启动后,生成一个随机对称密钥,并将所述随机对称密钥与所述应用进程绑定;
数据获取模块32,用于获取所述应用进程的待加密数据;
加密存储模块33,用于利用所述应用进程绑定的随机对称密钥对所述待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处。
在一可能的实施方式中,所述密钥生成模块31生成一个随机对称密钥,包括:
获取本设备的设备指纹;
将所述设备指纹作为随机因子,并按照设定的随机数生成方法生成一个随机数,将所述随机数作为随机对称密钥。
在一可能的实施方式中,所述密钥生成模块31将随机对称密钥与所述应用进程绑定,包括:
调用Linux密钥保留服务将所述随机对称密钥的访问权限设置为仅允许所述应用进程访问该随机对称密钥。
在一可能的实施方式中,所述数据获取模块32获取所述应用进程的待加密数据,包括:
向密钥管理系统发送所述应用进程的登录请求,以使所述密钥管理系统依据所述登录请求对所述应用进程进行身份验证,并在验证结果表示验证通过时,将传输会话密钥发送至所述电子设备;
在确定所述应用进程成功登录所述密钥管理系统时,向所述密钥管理系统发送所述应用进程的密钥获取请求,以使所述密钥管理系统依据所述密钥获取请求,将利用所述传输会话密钥加密后的目标密钥发送至所述电子设备;
利用所述传输会话密钥对所述加密后的目标密钥进行解密,将解密后的目标密钥作为所述应用进程的待加密数据。
在一可能的实施方式中,所述装置还包括(图3中未示出):
删除模块,用于从本设备内存中删除所述待加密数据。
图4为本发明实施例提供的一种的电子设备的结构示意图,图4所示的电子设备400包括:至少一个处理器401、存储器402、至少一个网络接口404和其他用户接口403。电子设备400中的各个组件通过总线系统405耦合在一起。可理解,总线系统405用于实现这些组件之间的连接通信。总线系统405除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统405。
其中,用户接口403可以包括显示器、键盘或者点击设备(例如,鼠标,轨迹球(trackball)、触感板或者触摸屏等。
可以理解,本发明实施例中的存储器402可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-OnlyMemory,ROM)、可编程只读存储器(ProgrammableROM,PROM)、可擦除可编程只读存储器(ErasablePROM,EPROM)、电可擦除可编程只读存储器(ElectricallyEPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(RandomAccessMemory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(StaticRAM,SRAM)、动态随机存取存储器(DynamicRAM,DRAM)、同步动态随机存取存储器(SynchronousDRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(DoubleDataRateSDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(SynchlinkDRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambusRAM,DRRAM)。本文描述的存储器402旨在包括但不限于这些和任意其它适合类型的存储器。
在一些实施方式中,存储器402存储了如下的元素,可执行单元或者数据结构,或者他们的子集,或者他们的扩展集:操作系统4021和应用程序4022。
其中,操作系统4021,包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序4022,包含各种应用程序,例如媒体播放器(MediaPlayer)、浏览器(Browser)等,用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序4022中。
在本发明实施例中,通过调用存储器402存储的程序或指令,具体的,可以是应用程序4022中存储的程序或指令,处理器401用于执行各方法实施例所提供的方法步骤,例如包括:
在应用进程启动后,生成一个随机对称密钥,并将所述随机对称密钥与所述应用进程绑定;
获取所述应用进程的待加密数据;
利用所述应用进程绑定的随机对称密钥对所述待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处。
上述本发明实施例揭示的方法可以应用于处理器401中,或者由处理器401实现。处理器401可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器401中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器401可以是通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecific IntegratedCircuit,ASIC)、现成可编程门阵列(FieldProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件单元组合执行完成。软件单元可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器402,处理器401读取存储器402中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(ApplicationSpecificIntegratedCircuits,ASIC)、数字信号处理器(DigitalSignalProcessing,DSP)、数字信号处理设备(DSPDevice,DSPD)、可编程逻辑设备(ProgrammableLogicDevice,PLD)、现场可编程门阵列(Field-ProgrammableGateArray,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的单元来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
本实施例提供的电子设备可以是如图4中所示的电子设备,可执行如图1-2中数据加密方法的所有步骤,进而实现图1-2所示数据加密存储方法的技术效果,具体请参照图1-2相关描述,为简洁描述,在此不作赘述。
本发明实施例还提供了一种存储介质(计算机可读存储介质)。这里的存储介质存储有一个或者多个程序。其中,存储介质可以包括易失性存储器,例如随机存取存储器;存储器也可以包括非易失性存储器,例如只读存储器、快闪存储器、硬盘或固态硬盘;存储器还可以包括上述种类的存储器的组合。
当存储介质中一个或者多个程序可被一个或者多个处理器执行,以实现上述在电子设备侧执行的数据加密存储方法。
所述处理器用于执行存储器中存储的数据加密存储程序,以实现以下在电子设备侧执行的数据加密存储方法的步骤:
在应用进程启动后,生成一个随机对称密钥,并将所述随机对称密钥与所述应用进程绑定;
获取所述应用进程的待加密数据;
利用所述应用进程绑定的随机对称密钥对所述待加密数据进行加密,将加密后的数据存储在本设备内存的指定位置处。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。