CN112804195A - 一种数据安全存储方法及系统 - Google Patents
一种数据安全存储方法及系统 Download PDFInfo
- Publication number
- CN112804195A CN112804195A CN202011565694.5A CN202011565694A CN112804195A CN 112804195 A CN112804195 A CN 112804195A CN 202011565694 A CN202011565694 A CN 202011565694A CN 112804195 A CN112804195 A CN 112804195A
- Authority
- CN
- China
- Prior art keywords
- key
- data
- encrypted ciphertext
- stored
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000002093 peripheral effect Effects 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 6
- 238000013500 data storage Methods 0.000 abstract description 4
- 238000002955 isolation Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000013523 data management Methods 0.000 description 4
- 238000013496 data integrity verification Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据安全存储方法及系统,该方法包括:获取待存储数据;采用第一密钥对待存储数据进行加密,获得第一加密密文,将第一加密密文存储于第一数据库;通过非对称加密算法利用第二密钥对第一密钥进行加密,获得第二加密密文,第二密钥包括公钥和私钥,将私钥和第二加密密文存储于不同的存储设备中。本发明的数据安全存储方法使用第一密钥对待存储数据加密获得第一加密密文,采用第二密钥的私钥对第一密钥进行加密,获得第二加密密文,第一加密密文被存放入第一数据库中,将第二加密密文和第二密钥的公钥存放物理上相互隔离的设备上。这种物理隔离的存储方式,杜绝非法获取第一密钥的可能,提高数据存储的安全性。
Description
技术领域
本发明属于互联网技术领域,更具体地,涉及一种数据安全存储方法及系统。
背景技术
大多数的基于互联网的应用,其数据都存储在数据库服务器中。对于其中的一些敏感数据,如果使用明文存储容易造成用户的信息泄漏,为用户和公司带来极大的损失。
一种常见的方式是将其中的敏感字段进行加密,并将加密使用的密钥存放在特定的位置。具有权限访问的用户使用简单的操作即可获取该部分数据,使数据存在泄漏的安全隐患。一些方法对密钥进行二次加密,并将二次加密密钥存储在服务器上,这样在一定程度上可使得数据的安全性提高,但由于都存储在服务器端,一旦对应的模块被破解,仍存在泄漏的风险。
因此,特别需要一种能防止密钥泄露,确保安全的数据存储方法。
发明内容
本发明的目的是提出一种能防止密钥泄露,确保安全的数据存储方法。
为了实现上述目的,本发明提供一种数据安全存储方法,包括:获取待存储数据;采用第一密钥对所述待存储数据进行加密,获得第一加密密文,将所述第一加密密文存储于第一数据库;通过非对称加密算法利用第二密钥对所述第一密钥进行加密,获得第二加密密文,所述第二密钥包括公钥和私钥,将所述私钥和所述第二加密密文存储于不同的存储设备中。
优选的,将所述私钥存储于服务器中,将所述公钥、所述第二加密密文存储于第二数据库中。
优选的,将所述第二加密密文存储于所述第一数据库中,将所述私钥存储于外设密钥存储器中。
优选的,采用对称加密算法对所述待存储数据进行加密。
优选的,接收读取数据请求,验证用户信息;
当所述用户信息通过验证后,根据所述用户信息计算与其对应的公钥;基于所述公钥,从所述第二数据库获取第二加密密文;根据所述用户信息,从所述服务器获取私钥,并从所述第一数据库获取第一加密密文。
优选的,接收读取数据请求,从所述外设密钥存储器中获取所述私钥;根据所述读取数据请求,从所述第一数据库中获取第一加密密文和第二加密密文。
优选的,采用所述私钥对所述第二加密密文进行解密,获得第一密钥;采用第一密钥对所述第一加密密文进行解密,获得明文数据。
第二方面,本发明还提供一种数据安全存储系统,包括:客户端,所述客户端用于发送待存储数据;服务器,所述服务器与所述客户端连接,所述服务器获取待存储数据,采用第一密钥对所述待存储数据进行加密,获得第一加密密文,并将第一加密密文发送至第一数据库,采用第二密钥对所述第一密钥进行加密,获得第二加密密文,所述第二密钥包括公钥和私钥,将所述私钥和所述第二加密密文存储于不同的存储设备中;所述第一数据库,所述第一数据库与所述服务器连接,用于接收并存储第一加密密文。
优选的,所述系统还包括:第二数据库,所述第二数据库接收并储存所述公钥和所述第二加密密文,所述服务器存储所述私钥。
优选的,所述系统还包括:外设密钥存储器,所述私钥存储于所述外设密钥存储器中,所述第一数据库存储所述第二加密密文。
优选的,读取存储数据时,客户端发送读取数据请求;服务器接收读取数据请求后,从第一数据库获取第一加密密文,从其他设备上获取第二加密密文和私钥,采用私钥对第二加密密文进行解密,获得第一密钥,采用第一密钥对第一加密密文进行解密,获得明文数据并将明文数据发送客户端。
本发明的有益效果在于:本发明的一种数据安全存储方法采用第一密钥对待存储数据的敏感信息进行加密,第一加密密文被存放入第一数据库中。由于第一数据库中存放的敏感数据为密文,所以即使拥有第一加密密文的访问权限也无法查看对应的信息。采用第二密钥的私钥对第一密钥进行加密获得第二加密密文,将第二加密密文和第二密钥的公钥存放在不同的,物理上相互隔离的设备上,获得其中任何一个数据都不能泄密,该种物理上的隔离存储方式,杜绝非法获取第一密钥的可能,提高了数据存储的安全性。
本发明的方法具有其它的特性和优点,这些特性和优点从并入本文中的附图和随后的具体实施例中将是显而易见的,或者将在并入本文中的附图和随后的具体实施例中进行详细陈述,这些附图和具体实施例共同用于解释本发明的特定原理。
附图说明
通过结合附图对本发明示例性实施方式进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显,其中,在本发明示例性实施方式中,相同的参考标号通常代表相同部件。
图1示出了根据本发明的一个实施例的一种数据安全存储方法的流程图。
图2示出了根据本发明的一个实施例的一种数据安全存储系统的框图。
图3示出了根据本发明的一个实施例的一种数据安全存储系统的又一框图。
102、客户端;104、服务器;106、第一数据库;108、第二数据库; 110、外设密钥存储器。
具体实施方式
下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本发明更加透彻和完整,并且能够将本发明的范围完整地传达给本领域的技术人员。
根据本发明的一种数据安全存储方法,包括:获取待存储数据;采用第一密钥对待存储数据进行加密,获得第一加密密文,将第一加密密文存储于第一数据库;通过非对称加密算法利用第二密钥对第一密钥进行加密,获得第二加密密文,第二密钥包括公钥和私钥,将私钥和第二加密密文存储于不同的存储设备中。
具体的,数据安全存储方法采用第一密钥对待存储数据的敏感信息进行加密,使用第一密钥后的数据密文及未加密字段统称为第一加密密文,第一加密密文被存放入第一数据库中。由于第一数据库中存放的敏感数据为密文,所以即使拥有第一加密密文的访问权限也无法查看对应的信息。采用第二密钥的私钥利用非对称加密方法对第一密钥进行加密,将加密后的数据称为第二加密密文,将第二加密密文和第二密钥的公钥存放在不同的,物理上相互隔离的设备上,获得其中任何一个数据都不能泄密。
根据示例性的实施方式,数据安全存储方法使用第一密钥对待存储数据加密获得第一加密密文,采用第二密钥的私钥对第一密钥进行加密,获得第二加密密文,第一加密密文被存放入第一数据库中,将第二加密密文和第二密钥的公钥存放物理上不同的且物理上相互隔离的设备上。由于第一数据库中存放的数据为密文,第二加密密文和第二密钥的公钥存放在不同的物理上相互隔离的设备上,获得其中任何一个数据都不能泄密,这种物理隔离的存储方式,杜绝非法获取第一密钥的可能,提高数据存储的安全性。
作为优选方案,将私钥存储于服务器中,将公钥、第二加密密文存储于第二数据库中。
具体的,第二密钥的私钥存储于服务器中,从服务器中获取第二密钥的私钥,并用私钥对第一密钥进行加密;根据用户信息生成第二密钥的公钥,将第二密钥的公钥和第二加密密文存储于与服务器物理相隔离的第二数据库中,提高数据存储的安全。
作为优选方案,将第二加密密文存储于第一数据库中,将私钥存储于外设密钥存储器中。
具体的,采用第二密钥的私钥对待存储数据加密后,获得第一加密密文,第一加密密文和第二加密密文存储于第一数据库,第二密钥的私钥存储于外设密钥存储器中。
作为优选方案,采用对称加密算法对待存储数据进行加密。
具体的,为保证数据加解密的效率,第一密钥对应的算法为对称加密算法,如国密SM4,或带加密芯片的国密SM1等。
作为优选方案,接收读取数据请求,验证用户信息;当用户信息通过验证后,根据用户信息计算与其对应的公钥;基于公钥,从第二数据库获取第二加密密文;根据用户信息,从服务器获取私钥,并从第一数据库获取第一加密密文。
具体的,在解密过程中,用接收读取数据请求后,验证用户信息是否属实,不属实则拒绝用户访问。验证通过的情况下,如果用户请求的数据为非敏感字段,则直接调用第一数据库的第一加密密文,查询到相应的字段并返回。如果调用的是敏感字段,则首先根据用户信息计算出对应的公钥,根据公钥调用第二数据库,获取第二加密密文,用第二密钥的私钥对第二加密密文进行解密,得到第一密钥。调用第一数据库中的第一加密数据,并使用第一密钥对其进行解密,获得明文数据。
作为优选方案,接收读取数据请求,从外设密钥存储器中获取私钥;根据读取数据请求,从第一数据库中获取第一加密密文和第二加密密文。
具体的,接收读取数据请求后,获取外设密钥存储器中的私钥后,使用私钥对第二加密密文进行解密,如果是该用户对应的数据,则解密成功,获得该用户对应的第一密钥,再使用第一密钥对第一数据库中获取的第一加密密文进行解密,获得数据明文。如果访问的数据不是该用户的,则此 KEY无法解密,用户也无法获取其他人的数据。
作为优选方案,采用私钥对第二加密密文进行解密,获得第一密钥;采用第一密钥对第一加密密文进行解密,获得明文数据。
第二方面,本发明还提供一种数据安全存储系统,包括:客户端,客户端用于发送待存储数据;服务器,服务器与客户端连接,服务器获取待存储数据,采用第一密钥对待存储数据进行加密,获得第一加密密文,并将第一加密密文发送至第一数据库,采用第二密钥对第一密钥进行加密,获得第二加密密文,第二密钥包括公钥和私钥,将私钥和第二加密密文存储于不同的存储设备中;第一数据库,第一数据库与服务器连接,用于接收并存储第一加密密文。
具体的,发送存储数据时,用户将需要存入的待存储数据通过客户端发送至服务器,并对需要加密的敏感字段做出标识。服务器采用第一密钥即对用户敏感信息进行加密的密钥。使用第一密钥后的数据密文及未加密字段统称为第一加密密文,第一加密密文被存放入第一数据库中。由于第一数据库中存放的敏感数据为密文,所以即使拥有第一加密密文的访问权限也无法查看对应的信息。服务器使用第二密钥的私钥采用非对称加密方法对第一密钥进行加密,将加密后的数据称为第二加密密文,将第二加密密文和第二密钥的公钥存放在不同的且物理上相互隔离的设备上,获得其中任何一个数据都不能泄密。
读取存储的数据时,客户端发送读取数据请求;服务器接收读取数据请求后,从第一数据库获取第一加密密文,从其他设备上获取第二加密密文和私钥,采用私钥对第二加密密文进行解密,获得第一密钥,采用第一密钥对第一加密密文进行解密,获得明文数据并将明文数据发送客户端。
根据示例性的实施方式,数据安全存储系统使用第一密钥对待存储数据加密获得第一加密密文,采用第二密钥的私钥对第一密钥进行加密,获得第二加密密文,第一加密密文被存放入第一数据库中,将第二加密密文和第二密钥的公钥存放在不同且物理上相互隔离的设备上。由于第一数据库中存放的数据为密文,所以即使拥有第一加密密文的访问权限也无法查看对应的信息,第二加密密文和第二密钥的公钥存放物理上相互隔离的设备上,获得其中任何一个数据都不能泄密,这种物理隔离的存储方式,杜绝非法获取第一密钥的可能,提高数据存储的安全性。
作为优选方案,系统还包括:第二数据库,第二数据库接收并储存公钥和第二加密密文,服务器存储私钥。
具体的,该系统包括客户端、服务器、第一数据库服务器和第二数据库服务器。客户端为用户端设备,包括但不仅限于手机、平板、个人电脑等终端设备,客户端的主要功能为写入要存储的数据,或者申请读取数据等。服务器为数据管理平台所在的服务器,负责加密策略管理、数据完整性校验、业务处理、数据加解密等功能。第一数据库存放的是待存储文件加密后的数据,第二数据库存放的是对第一密钥加密后的数据。
用户将需要存入的待存储数据通过客户端发送至服务器,并对需要加密的敏感字段做出标识。服务器内置一个主密钥,根据主密钥及其加密因子计算出对应的第一密钥。第一密钥即对用户敏感信息进行加密的密钥。为保证数据加解密的效率,第一密钥对应的算法为对称加密算法,如国密 SM4,或带加密芯片的国密SM1等。使用第一密钥后的数据密文及未加密字段统称为第一加密密文,第一加密密文被存放入第一数据库中。由于第一数据库中存放的敏感数据为密文,所以即使拥有第一加密密文的访问权限也无法查看对应的信息。服务器使用第二密钥的私钥采用非对称加密方法对第一密钥进行加密,将加密后的数据称为第二加密密文,将第二加密密文和第二密钥的公钥存放在第二数据库上。其中私钥保存在服务器内存中,不允许导出,只有对应的用户可以调用,由于第二数据库上并不存在私钥,所以不存在泄漏数据的风险。
作为优选方案,系统还包括:外设密钥存储器,私钥存储于外设密钥存储器中,第一数据库存储第二加密密文。
具体的,该数据安全存储系统包含四个部分:客户端、服务器、第一数据库和外设KEY(外设密钥存储器)。其中客户端为用户端设备,主要功能为写入要存储的数据,或者申请读取数据等。服务器为数据管理平台所在的服务器,负责对数据进行加密、解密等功能。外设KEY为存放用户私钥的唯一设备,其内数据不允许导出或读取。服务器在加密过程中,用第一密钥对待存储数据的敏感数据加密,加密后的信息为第一加密密文。再使用与用户对应的私钥对第一密钥进行加密,加密后的信息为第二加密密文,第一加密密文和第二加密密文均存储在第一数据库中。由于对应的私钥存储在用户手中的外设KEY内,所以即使外界可以获取其他任何数据,也无法对用户的敏感数据进行解密。当用户需要获取某个敏感数据时,需要提供外设KEY设备。服务器获取外设KEY设备中的私钥后,使用私钥对第二加密密文进行解密,如果是该用户对应的数据,则解密成功,获得该用户对应的第一密钥,再使用第一密钥对第一数据库中的获取的第一加密密文进行解密,获得数据明文,将数据明文返回相应的客户端。如果访问的数据不是该用户的,则此KEY无法解密,用户也无法获取其他人的数据。
实施例一
图1示出了根据本发明的一个实施例的一种数据安全存储方法的流程图。
如图1所示,该数据安全存储方法,包括:
步骤1:获取待存储数据;
步骤2:采用第一密钥对待存储数据进行加密,获得第一加密密文,将第一加密密文存储于第一数据库;
步骤3:通过非对称加密算法利用第二密钥对第一密钥进行加密,获得第二加密密文,第二密钥包括公钥和私钥,将私钥和第二加密密文存储于不同的存储设备中。
其中,将私钥存储于服务器中,将公钥、第二加密密文存储于第二数据库中。
其中,将第二加密密文存储于第一数据库中,将私钥存储于外设密钥存储器中。
其中,采用对称加密算法对待存储数据进行加密。
其中,接收读取数据请求,验证用户信息;
当用户信息通过验证后,根据用户信息计算与其对应的公钥;基于公钥,从第二数据库获取第二加密密文;根据用户信息,从服务器获取私钥,并从第一数据库获取第一加密密文。
其中,接收读取数据请求,从外设密钥存储器中获取私钥;根据读取数据请求,从第一数据库中获取第一加密密文和第二加密密文。
其中,采用私钥对第二加密密文进行解密,获得第一密钥;采用第一密钥对第一加密密文进行解密,获得明文数据。
实施例二
图2示出了根据本发明的一个实施例的一种数据安全存储系统的框图。
如图2所示,该数据安全存储系统,包括:
客户端102,客户端102用于发送待存储数据;
服务器104,服务器104与客户端102连接,服务器104获取待存储数据后,采用第一密钥对待存储数据进行加密,获得第一加密密文,并将第一加密密文发送至第一数据库,采用第二密钥对第一密钥进行加密,获得第二加密密文,第二密钥包括公钥和私钥,将私钥和第二加密密文存储于不同的存储设备中;
第一数据库106,第一数据库106与服务器104连接,用于接收并存储第一加密密文。
其中,系统还包括:第二数据库108,第二数据库108接收并储存公钥和第二加密密文,服务器104存储私钥。
具体的,在图2中,该数据安全存储系统包含四个部分:客户端、主服务器、第一数据库服务器DB_A和第二数据库服务器DB_B。其中客户端为用户端设备,包括但不仅限于手机、平板、个人电脑等终端设备,客户端的主要功能为写入要存储的数据,或者申请读取数据等。服务器为数据管理平台所在的服务器,负责加密策略管理、数据完整性校验、业务处理、数据加解密等功能。第一数据库DB_A存放的是待存储文件加密后的数据,第二数据库DB_B存放的是对第一密钥加密后的数据。
用户将需要存入的待存储数据D_P通过客户端发送至服务器,并对需要加密的敏感字段做出标识。服务器内置一个主密钥,根据主密钥及其加密因子计算出对应的子密钥K_A(第一密钥)。子密钥K_A即对用户敏感信息进行加密的密钥。为保证数据加解密的效率,子密钥K_A对应的算法为对称加密算法,如国密SM4,或带加密芯片的国密SM1等。使用子密钥后的数据密文及未加密字段统称为数据D_A(第一加密密文),数据D_A 会被存放入第一数据库DB_A中。由于数据库服务器DB_A中存放的敏感数据为密文,所以即使拥有DB_A的访问权限也无法查看对应的信息。服务器使用私钥K_PR(第二密钥的私钥)采用非对称加密方法对子密钥K_A 进行加密,将加密后的数据称为数据D_B(第二加密密文),我们将数据 D_B和对应的公钥K_PU(第二密钥的公钥)存放在第二数据库DB_B上。其中私钥K_PR保存在服务器内存中,不允许导出,只有对应的用户可以调用,由于第二数据库DB_B上并不存在私钥K_PR,所以不存在泄漏数据的风险。
在解密过程中,用户通过客户端向服务器发起请求。服务器验证用户信息是否属实,不属实则拒绝用户访问。验证通过的情况下,如果用户请求的数据为非敏感字段,则直接调用第一数据库DB_A,查询到相应的字段并返回。如果调用的是敏感字段,则首先根据用户信息计算出对应的公钥,根据公钥调用第二数据库DB_B,获取数据D_B,在服务器内调用相应的接口,用私钥K_PR对数据D_B进行解密,得到子密钥K_A。调用第一数据库DB_A中的数据,并使用K_A对其进行解密,获得明文数据 D_P,最后将D_P返回给客户端。
在本实例中仅对密钥K_A做一次加密处理,但在实际应用中,可以根据需要对密码K_A做多次加密,并将相应的模块存储在不同的物理设备中。
实施例三
图3示出了根据本发明的一个实施例的一种数据安全存储系统的又一框图。
如图3所示,该数据安全存储系统,包括:
其中,系统还包括:外设密钥存储器110,私钥存储于外设密钥存储器 110中,第一数据库存储第二加密密文。
具体的,在图3中该数据安全存储系统包含四个部分:客户端、服务器、第一数据库和外设KEY(外设密钥存储器)。其中客户端为用户端设备,包括但不仅限于手机、平板、个人电脑等终端设备,客户端的主要功能为写入要存储的数据,或者申请读取数据等。服务器为数据管理平台所在的服务器,负责对数据进行加密、解密等功能。第一数据库存放数据。外设 KEY为存放用户私钥的唯一设备,其内数据不允许导出或读取。在加密过程中,用子密钥K_A(第一密钥)对待存储数据的敏感数据加密,加密后的信息统称为D_A(第一加密密文)。再使用与用户对应的私钥K_PR对 K_A进行加密,加密后的信息为D_B(第二加密密文),D_A和D_B均存储在第一数据库中。由于对应的私钥存储在用户手中的外设KEY内,所以即使外界可以获取其他任何数据,也无法对用户的敏感数据进行解密。当用户需要获取某个敏感数据时,需要提供外设KEY设备。服务器获取外设 KEY设备中的私钥后,使用私钥对D_B进行解密,如果是该用户对应的数据,则解密成功,获得该用户对应的K_A,再使用K_A对第一数据库中的获取的第一加密密文进行解密,获得数据明文,将数据明文返回相应的客户端。如果访问的数据不是该用户的,则此KEY无法解密,用户也无法获取其他人的数据。
在本实例中仅对密钥K_A做一次加密处理,但在实际应用中,可以根据需要对密码K_A做多次加密,并将相应的模块存储在不同的物理设备中。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。
Claims (10)
1.一种数据安全存储方法,其特征在于,包括:
获取待存储数据;
采用第一密钥对所述待存储数据进行加密,获得第一加密密文,将所述第一加密密文存储于第一数据库;
通过非对称加密算法利用第二密钥对所述第一密钥进行加密,获得第二加密密文,所述第二密钥包括公钥和私钥,将所述私钥和所述第二加密密文存储于不同的存储设备中。
2.根据权利要求1所述的数据安全存储方法,其特征在于,将所述私钥存储于服务器中,将所述公钥、所述第二加密密文存储于第二数据库中。
3.根据权利要求1所述的数据安全存储方法,其特征在于,将所述第二加密密文存储于所述第一数据库中,将所述私钥存储于外设密钥存储器中。
4.根据权利要求1所述的数据安全存储方法,其特征在于,采用对称加密算法对所述待存储数据进行加密。
5.根据权利要求2所述的数据安全存储方法,其特征在于,还包括:
接收读取数据请求,验证用户信息;
当所述用户信息通过验证后,根据所述用户信息计算与其对应的公钥;
基于所述公钥,从所述第二数据库获取所述第二加密密文;
根据所述用户信息,从所述服务器获取私钥,并从所述第一数据库获取所述第一加密密文。
6.根据权利要求3所述的数据安全存储方法,其特征在于,还包括:
接收读取数据请求,从所述外设密钥存储器中获取所述私钥;
根据所述读取数据请求,从所述第一数据库中获取所述第一加密密文和第二加密密文。
7.根据权利要求5或6所述的数据安全存储方法,其特征在于,还包括:
采用所述私钥对所述第二加密密文进行解密,获得所述第一密钥;
采用所述第一密钥对所述第一加密密文进行解密,获得明文数据。
8.一种数据安全存储系统,其特征在于,包括:
客户端,所述客户端用于发送待存储数据;
服务器,所述服务器与所述客户端连接,所述服务器获取所述待存储数据,采用第一密钥对所述待存储数据进行加密,获得第一加密密文,并将第一加密密文发送至第一数据库;采用第二密钥对所述第一密钥进行加密,获得第二加密密文,所述第二密钥包括公钥和私钥,将所述私钥和所述第二加密密文存储于不同的存储设备中;
所述第一数据库,所述第一数据库与所述服务器连接,用于接收并存储所述第一加密密文。
9.根据权利要求8所述的数据安全存储系统,其特征在于,所述系统还包括:第二数据库,所述第二数据库接收并储存所述公钥和所述第二加密密文;
所述服务器存储所述私钥。
10.根据权利要求8所述的数据安全存储系统,其特征在于,所述系统还包括:外设密钥存储器,所述私钥存储于所述外设密钥存储器中,所述第一数据库存储所述第二加密密文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011565694.5A CN112804195A (zh) | 2020-12-25 | 2020-12-25 | 一种数据安全存储方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011565694.5A CN112804195A (zh) | 2020-12-25 | 2020-12-25 | 一种数据安全存储方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112804195A true CN112804195A (zh) | 2021-05-14 |
Family
ID=75804901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011565694.5A Pending CN112804195A (zh) | 2020-12-25 | 2020-12-25 | 一种数据安全存储方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112804195A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116011007A (zh) * | 2022-12-21 | 2023-04-25 | 广州辰创科技发展有限公司 | 数据库存储加密方法、解密方法、系统及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1973480A (zh) * | 2004-04-21 | 2007-05-30 | 松下电器产业株式会社 | 内容提供系统、信息处理设备以及存储卡 |
| US20160357980A1 (en) * | 2015-06-04 | 2016-12-08 | Microsoft Technology Licensing, Llc | Secure storage and sharing of data by hybrid encryption using predefined schema |
| CN110740036A (zh) * | 2019-10-31 | 2020-01-31 | 广州知弘科技有限公司 | 基于云计算的防攻击数据保密方法 |
-
2020
- 2020-12-25 CN CN202011565694.5A patent/CN112804195A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1973480A (zh) * | 2004-04-21 | 2007-05-30 | 松下电器产业株式会社 | 内容提供系统、信息处理设备以及存储卡 |
| US20160357980A1 (en) * | 2015-06-04 | 2016-12-08 | Microsoft Technology Licensing, Llc | Secure storage and sharing of data by hybrid encryption using predefined schema |
| CN110740036A (zh) * | 2019-10-31 | 2020-01-31 | 广州知弘科技有限公司 | 基于云计算的防攻击数据保密方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116011007A (zh) * | 2022-12-21 | 2023-04-25 | 广州辰创科技发展有限公司 | 数据库存储加密方法、解密方法、系统及设备 |
| CN116011007B (zh) * | 2022-12-21 | 2023-11-14 | 广州辰创科技发展有限公司 | 数据库存储加密方法、解密方法、系统及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5568552A (en) | Method for providing a roving software license from one node to another node | |
| US9544135B2 (en) | Methods of and systems for facilitating decryption of encrypted electronic information | |
| US7975312B2 (en) | Token passing technique for media playback devices | |
| KR101315076B1 (ko) | Drm 보호 콘텐트 재배포 방법 | |
| US20130007467A1 (en) | Binding of cryptographic content using unique device characteristics with server heuristics | |
| JP2005080315A (ja) | サービスを提供するためのシステムおよび方法 | |
| US20070276756A1 (en) | Recording/Reproducing Device, Recording Medium Processing Device, Reproducing Device, Recording Medium, Contents Recording/Reproducing System, And Contents Recording/Reproducing Method | |
| CN111954211B (zh) | 一种移动终端新型认证密钥协商系统 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| CN112152802B (zh) | 数据加密方法、电子设备及计算机存储介质 | |
| CN114186249A (zh) | 一种计算机文件安全加密方法、解密方法和可读存储介质 | |
| CN112507296A (zh) | 一种基于区块链的用户登录验证方法及系统 | |
| CN105657699A (zh) | 数据安全传输方法 | |
| JPH07123086A (ja) | Icカードを利用した著作物通信管理システム | |
| CN116709325B (zh) | 一种基于高速加密算法的移动设备安全认证方法 | |
| CN110545325B (zh) | 一种基于智能合约的数据加密分享方法 | |
| CN112804195A (zh) | 一种数据安全存储方法及系统 | |
| CN113032802B (zh) | 一种数据安全存储方法及系统 | |
| CN100486157C (zh) | 一种分布式数据加密方法 | |
| CN111542050B (zh) | 一种基于tee的保障虚拟sim卡远程初始化安全的方法 | |
| CN116011007B (zh) | 数据库存储加密方法、解密方法、系统及设备 | |
| CN113162766B (zh) | 一种密钥分量的密钥管理方法和系统 | |
| CN117010001B (zh) | 数据安全服务方法、装置及云存储系统 | |
| KR101298216B1 (ko) | 복수 카테고리 인증 시스템 및 방법 | |
| CN115801439A (zh) | 一种用于数据库的安全网络访问系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210514 |