CN112995096B - 数据加密、解密方法、装置及设备 - Google Patents

数据加密、解密方法、装置及设备 Download PDF

Info

Publication number
CN112995096B
CN112995096B CN201911283079.2A CN201911283079A CN112995096B CN 112995096 B CN112995096 B CN 112995096B CN 201911283079 A CN201911283079 A CN 201911283079A CN 112995096 B CN112995096 B CN 112995096B
Authority
CN
China
Prior art keywords
file
encrypted
client
decrypted
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911283079.2A
Other languages
English (en)
Other versions
CN112995096A (zh
Inventor
代建东
敖锦蓉
蒋姣娥
徐赛因
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201911283079.2A priority Critical patent/CN112995096B/zh
Publication of CN112995096A publication Critical patent/CN112995096A/zh
Application granted granted Critical
Publication of CN112995096B publication Critical patent/CN112995096B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Abstract

本发明实施例公开了一种数据加密、解密方法、装置及设备。数据加密方法包括:获取客户端传输的至少一个待加密文件;针对每一个待加密文件,识别待加密文件中的敏感数据;对敏感数据进行加密,得到待加密文件对应的加密文件;将加密文件发送给客户端。本发明实施例的数据加密、解密方法、装置及设备,没有在客户端中进行数据加密和数据解密,也没有将密钥发送给客户端,能够防止密钥泄露,提高数据安全性。

Description

数据加密、解密方法、装置及设备
技术领域
本发明涉及数据处理技术领域,尤其涉及一种数据加密、解密方法、装置、设备及介质。
背景技术
加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。加密是将明文变成密文。解密与加密相对应,是将密文变成明文。
目前,加密和解密通常在客户端中完成,当需要加密或者解密时,服务器将密钥发送给客户端,客户端使用该密钥对数据进行加密或解密。密钥在很大程度上存在被泄露的风险,进而影响数据的安全性。
发明内容
本发明实施例提供一种数据加密、解密方法、装置、设备及介质,能够防止密钥泄露,提高数据安全性。
第一方面,本发明实施例提供了一种数据加密方法,包括:
获取客户端传输的至少一个待加密文件;
针对每一个待加密文件,识别待加密文件中的敏感数据;
对敏感数据进行加密,得到待加密文件对应的加密文件;
将加密文件发送给客户端。
在本发明的一个实施例中,对敏感数据进行加密,得到待加密文件对应的加密文件,包括:
针对每一个待加密文件,确定待加密文件的文件敏感指数;
利用与文件敏感指数对应的加密密钥,对敏感数据进行加密。
在本发明的一个实施例中,针对每一个待加密文件,确定待加密文件的文件敏感指数,包括:
针对每一个待加密文件,确定待加密文件与至少一个待加密文件中除待加密文件之外的其他每一个待加密文件的文件连接度;
根据文件连接度,确定待加密文件的文件敏感指数。
在本发明的一个实施例中,利用与文件敏感指数对应的加密密钥,对敏感数据进行加密,包括:
若待加密文件的文件敏感指数大于预设指数,将与文件敏感指数对应的预设加密密钥进行加密得到第一密钥,利用第一密钥对敏感数据进行加密;
若待加密文件的文件敏感指数不大于预设指数,利用与文件敏感指数对应的预设加密密钥对敏感数据进行加密。
第二方面,本发明实施例提供一种数据解密方法,包括:
获取客户端传输的待解密文件;
确定待解密文件中的待解密数据;
对待解密数据进行解密,得到待解密文件对应的解密文件;
将解密文件发送给客户端。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,本发明实施例提供的数据解密方法还包括:
获取客户端的安全证书;
基于安全证书对客户端进行身份验证,若客户端通过身份验证,获取客户端传输的待解密文件。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,本发明实施例提供的数据解密方法还包括:
获取客户端的网际协议(Internet Protocol,IP)地址;
基于网际协议地址对客户端进行权限验证,若客户端通过权限验证,获取客户端传输的待解密文件。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,本发明实施例提供的数据解密方法还包括:
获取客户端传输的第一字符串、用户标识信息和第二字符串;第二字符串为客户端利用消息摘要算法对第一字符串对应的未传输字符串和用户标识信息对应的未传输用户标识信息进行摘要计算,得到的第一摘要值;
利用消息摘要算法对第一字符串和用户标识信息进行摘要计算,得到第二摘要值;
比较第二字符串和第二摘要值,若第二字符串和第二摘要值相同,获取客户端传输的待解密文件。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,本发明实施例提供的数据解密方法还包括:
监测客户端调用解密接口的调用时长,若调用时长未到达预设时长,获取客户端传输的待解密文件。
第三方面,本发明实施例提供一种数据加密装置,包括:
待加密文件获取模块,用于获取客户端传输的至少一个待加密文件;
识别模块,用于针对每一个待加密文件,识别待加密文件中的敏感数据;
加密模块,用于对敏感数据进行加密,得到待加密文件对应的加密文件;
加密文件发送模块,用于将加密文件发送给客户端。
在本发明的一个实施例中,加密模块,包括:
确定单元,用于针对每一个待加密文件,确定待加密文件的文件敏感指数;
加密单元,用于利用与文件敏感指数对应的加密密钥,对敏感数据进行加密。
在本发明的一个实施例中,确定单元,具体用于:
针对每一个待加密文件,确定待加密文件与至少一个待加密文件中除待加密文件之外的其他每一个待加密文件的文件连接度;
根据文件连接度,确定待加密文件的文件敏感指数。
在本发明的一个实施例中,加密单元,具体用于:
若待加密文件的文件敏感指数大于预设指数,将与文件敏感指数对应的预设加密密钥进行加密得到第一密钥,利用第一密钥对敏感数据进行加密;
若待加密文件的文件敏感指数不大于预设指数,利用与文件敏感指数对应的预设加密密钥对敏感数据进行加密。
第四方面,本发明实施例提供一种数据解密装置,包括:
待解密文件获取模块,用于获取客户端传输的待解密文件;
确定模块,用于确定待解密文件中的待解密数据;
解密模块,用于对待解密数据进行解密,得到待解密文件对应的解密文件;
解密文件发送模块,用于将解密文件发送给客户端。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还包括:
安全证书获取模块,用于获取客户端的安全证书;
身份验证模块,用于基于安全证书对客户端进行身份验证,若客户端通过身份验证,触发待解密文件获取模块。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还包括:
网际协议地址获取模块,用于获取客户端的网际协议地址;
权限验证模块,用于基于网际协议地址对客户端进行权限验证,若客户端通过权限验证,触发待解密文件获取模块。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还包括:
字符串获取模块,用于获取客户端传输的第一字符串、用户标识信息和第二字符串;第二字符串为客户端利用消息摘要算法对第一字符串对应的未传输字符串和用户标识信息对应的未传输用户标识信息进行摘要计算,得到的第一摘要值;
计算模块,用于利用消息摘要算法对第一字符串和用户标识信息进行摘要计算,得到第二摘要值;
比较模块,用于比较第二字符串和第二摘要值,若第二字符串和第二摘要值相同,触发待解密文件获取模块。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还包括:
监测模块,用于监测客户端调用解密接口的调用时长,若调用时长未到达预设时长,触发待解密文件获取模块。
第五方面,本发明实施例提供一种数据加密设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序;
处理器执行计算机程序时实现本发明实施例第一方面提供的数据加密方法。
第六方面,本发明实施例提供一种数据解密设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序;
处理器执行计算机程序时实现本发明实施例第二方面提供的数据解密方法。
第七方面,本发明实施例提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现本发明实施例第一方面提供的数据加密方法或本发明实施例第二方面提供的数据解密方法。
本发明实施例的数据加密、解密方法、装置、设备及介质,没有在客户端中进行数据加密和数据解密,也没有将密钥发送给客户端,能够防止密钥泄露,提高数据安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提供的数据加密方法的流程示意图;
图2示出了本发明实施例提供的数据解密方法的流程示意图;
图3示出了本发明实施例提供的数据加密装置的结构示意图;
图4示出了本发明实施例提供的数据解密装置的结构示意图;
图5示出了能够实现根据本发明实施例的数据加密方法及装置的计算设备的示例性硬件架构的结构图;
图6示出了能够实现根据本发明实施例的数据解密方法及装置的计算设备的示例性硬件架构的结构图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了解决现有技术问题,本发明实施例提供一种数据加密、解密方法、装置、设备及介质。下面首先对本发明实施例提供的数据加密方法进行说明。
图1示出了本发明实施例提供的数据加密方法的流程示意图。数据加密方法可以包括:
S101:获取客户端传输的至少一个待加密文件。
S102:针对每一个待加密文件,识别待加密文件中的敏感数据。
S103:对敏感数据进行加密,得到待加密文件对应的加密文件。
S104:将加密文件发送给客户端。
在本发明的一个实施例中,服务端可以提供加密接口。客户端与服务端进行基于安全文件传输协议(Secure Shell File Transfer Protocol,SFTP)或文件传输协议(FileTransfer Protocol,FTP)或超文本传输协议(Hyper Text Transfer Protocol,HTTP)或超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)等的通信连接。客户端将待加密文件的路径信息发送给服务端,服务端通过该加密接口将客户端对应该路径信息的文件拉取到服务端。可以理解的是,该路径信息的文件即为待加密文件。客户端还可以通过该加密接口直接将待加密文件传输给服务端。
本发明实施例的敏感数据包括但不限于:数值(比如,手机号、身份证号、银行卡余额、银行卡卡号和验证码等)、地址和疾病名称等等。
本发明实施例并不对识别待加密文件中的敏感数据所采用的方式进行限定,任何可用的方式均可应用于本发明实施例中。
比如,设置正则表达式[0-9]*用来识别数值。
设置正则表达式[1-9]\d{5}(18|19|([23]\d))\d{2}((0[1-9])|(10|11|12))(([0-2][1-9])|10|20|30|31)\d{3}[0-9Xx]用来识别身份证号。
当识别出待加密文件中的敏感数据中,对待加密文件中的敏感数据进行加密,得到待加密文件对应的加密文件。将加密文件发送给客户端。
本发明实施例并不对加密时所采用的加密算法进行限定,任何可用的加密算法均可以应用于本发明实施例中。比如:由国家密码管理局发布的分组密码算法,对称加密算法,非对称加密算法,国际数据加密算法等等。
可以理解的是,加密文件中包括待加密文件中的非敏感数据和经过加密的待加密文件中的敏感数据。
本发明实施例的数据加密方法,没有在客户端中进行数据加密,也没有将加密密钥发送给客户端,密钥始终保存在服务端上,密钥对于客户端是完全不可见的,能够防止密钥泄露,提高数据安全性。
在本发明的一个实施例中,对敏感数据进行加密,得到待加密文件对应的加密文件,可以包括:针对每一个待加密文件,可以确定待加密文件的文件敏感指数;利用与文件敏感指数对应的加密密钥,对敏感数据进行加密。
示例性的,假设获取到N个待加密文件,N个待加密文件分别为待加密文件1、待加密文件2、……、待加密文件N。
针对待加密文件1,确定待加密文件1的文件敏感指数;利用与待加密文件1的文件敏感指数对应的加密密钥,对待加密文件1中的敏感数据进行加密。
针对待加密文件2,确定待加密文件2的文件敏感指数;利用与待加密文件2的文件敏感指数对应的加密密钥,对待加密文件2中的敏感数据进行加密。
……
针对待加密文件N,确定待加密文件N的文件敏感指数;利用与待加密文件N的文件敏感指数对应的加密密钥,对待加密文件N中的敏感数据进行加密。
在本发明的一个实施例中,针对每一个待加密文件,确定待加密文件的文件敏感指数,包括:针对每一个待加密文件,确定待加密文件与至少一个待加密文件中除待加密文件之外的其他每一个待加密文件的文件连接度;根据文件连接度,确定待加密文件的文件敏感指数。
示例性的,假设获取到N个待加密文件,N个待加密文件分别为待加密文件1、待加密文件2、……、待加密文件N。
针对待加密文件1,确定待加密文件1分别与待加密文件2至N的文件连接度;根据待加密文件1分别与待加密文件2至N的文件连接度,确定待加密文件1的文件敏感指数。
针对待加密文件2,确定待加密文件2分别与待加密文件1、待加密文件3至N的文件连接度;根据待加密文件2分别与待加密文件1、待加密文件3至N的文件连接度,确定待加密文件2的文件敏感指数。
……
针对待加密文件N,确定待加密文件N分别与待加密文件1至N-1的文件连接度;根据待加密文件N分别与待加密文件1至N-1的文件连接度,确定待加密文件N的文件敏感指数。
在本发明的一个实施例中,文件间的文件连接度可以根据文件间的逻辑关系确定。
比如,文件A与文件B存在直接的逻辑关系,则文件A与文件B的文件连接度为1。再比如,文件A与文件B通过n个文件存在间接的逻辑关系,则文件A和文件B的文件连接度为n+1。若文件A与文件B不存在逻辑关系,则文件A与文件B的文件连接度为0。
当确定出文件连接度之后,可以利用公式(1)计算文件敏感指数。
DSIi=[(mi+文件i的文件连接度之和)/Mi]*a1/X*b1/X  (1)
其中,公式(1)中,DSIi为文件i的文件敏感指数;mi为将文件i进行分词处理后,得到的词总数;Mi为文件i中敏感数据数量,X为包括文件i中的敏感数据的其他文件的数量;a和b为参数。
在本发明的一个实施例中,a取值可以为1.2,b取值可以为0.8。
当确定出待加密文件对应的文件敏感指数后,可以基于该文件敏感指数,确定对待加密文件中的敏感数据进行加密所需使用的密钥。
在本发明的一个实施例中,若待加密文件的文件敏感指数大于预设指数,将与文件敏感指数对应的预设加密密钥进行加密得到第一密钥,利用第一密钥对敏感数据进行加密;若待加密文件的文件敏感指数不大于预设指数,利用与文件敏感指数对应的预设加密密钥对敏感数据进行加密。
在本发明的一个实施例中,一个文件敏感指数可以对应一个预设加密密钥,或者,一定数值范围内的文件敏感指数对应一个预设加密密钥。
在本发明的一个实施例中,当对待加密文件中的敏感数据进行加密,得到加密文件后,可以存储加密数据、加密秘钥、加密算法和加密文件之间的对应关系,以用于对加密文件中的加密数据进行解密得到原始文件。加密数据、加密秘钥、加密算法和加密文件之间的对应关系可以如表1所示。
表1
加密文件 加密数据 加密秘钥 加密算法
加密文件1 加密数据1 加密秘钥1 加密算法1
本发明实施例还提供一种数据解密方法,如图2所示。图2示出了本发明实施例提供的数据解密方法的流程示意图。数据解密方法可以包括:
S201:获取客户端传输的待解密文件。
S202:确定待解密文件中的待解密数据。
S203:对待解密数据进行解密,得到待解密文件对应的解密文件。
S204:将解密文件发送给客户端。
在本发明的一个实施例中,服务端可以提供解密接口。客户端与服务端进行基于SFTP或FTP或HTTPS等的通信连接。客户端将待解密文件的路径信息发送给服务端,服务端通过该解密接口将客户端对应该路径信息的文件拉取到服务端。可以理解的是,此时,该路径信息的文件即为待解密文件。客户端还可以通过该解密接口直接将待解密文件传输给服务端。
可以理解的是,待解密文件即为上述的加密文件。待解密文件中的待解密数据即为上述的加密数据。
服务端在获取到待解密文件后,通过上述表1获取到待解密文件中的待解密数据、以及加密时所使用的加密密钥和加密算法,进而利用与该加密算法对应的解密算法以及与该加密密钥对应的解密秘钥对应该待解密文件中的待解密数据进行解密,得到解密文件。
数据解密有可能泄露数据,影响数据安全。因此对于数据解密需要进行控制。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,可以获取客户端的安全证书;基于安全证书对客户端进行身份验证,若客户端通过身份验证,获取客户端传输的待解密文件。
具体的,客户端在请求与服务端建立通信连接时,通信连接请求中包括由服务端颁发给该客户端的证书。服务端接收到该通信连接请求时,通过通信连接请求中包括的证书对客户端进行身份验证,当客户端通过身份验证时,建立与该客户端的通信连接,进而获取待解密文件,对该待解密文件中的待解密数据进行解密。
当通信连接请求中包括的证书并不是服务端颁发给该客户端的证书时,客户端则不会通过身份验证,进而服务端也不会与该客户端建立通信连接。
通过本发明实施例提供的数据解密方法,未通过身份验证的客户端并不能向服务器传输待解密文件,进而能够防止数据被泄露到未通过身份验证的客户端,能够提高数据的安全性。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,可以获取客户端的网际协议地址;基于网际协议地址对客户端进行权限验证,若客户端通过权限验证,获取客户端传输的待解密文件。
具体的,客户端在请求文件解密时,文件解密请求中包括该客户端的网际协议地址。服务端接收到该文件解密请求时,验证该客户端的网际协议地址是否处于地址白名单中,若该客户端的网际协议地址处于地址白名单中,则该客户端通过权限验证,有权限调用解密接口,进而服务端获取待解密文件,对该待解密文件中的待解密数据进行解密。
当该客户端的网际协议地址未处于地址白名单中,则该客户端未通过权限验证,没有权限调用解密接口,进而客户端也不可能通过该解密接口向服务端传输待解密文件。
通过本发明实施例提供的数据解密方法,能够防止数据被泄露到没有权限调用解密接口的客户端,能够提高数据的安全性。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,可以获取客户端传输的第一字符串、用户标识信息和第二字符串;利用消息摘要算法对第一字符串和用户标识信息进行摘要计算,得到第二摘要值;比较第二字符串和第二摘要值,若第二字符串和第二摘要值相同,获取客户端传输的待解密文件。
其中,第二字符串为客户端利用消息摘要算法对第一字符串对应的未传输字符串和用户标识信息对应的未传输用户标识信息进行摘要计算,得到的第一摘要值。
本发明实施例中的第一字符串可以为随机生成的字符串;用户标识信息可以为用户名和用户ID等;消息摘要算法为MD5算法或SHA-1算法等。
示例性的,假设客户端欲传输的字符串为stringX1,欲传输的用户标识信息为stringY1。则客户端利用摘要算法计算stringX1和stringY1的摘要值。假设计算得到的摘要值为stringZ1。
客户端将stringX1、stringY1和stringZ1发送给服务端。
假设服务端接收到客户端接收到的数据是stringX1、stringY1和stringZ1。则服务器利用与客户端相同的摘要算法计算stringX1和stringY1的摘要值。此时得到的摘要值必然与stringZ1相同,在传输的过程中,没有出现错误,则获取客户端传输的待解密文件。
可以理解的是,此时stringX1既为第一字符串又为第一字符串对应的未传输字符串,stringY1既为用户标识信息又为用户标识信息对应的未传输用户标识信息。
假设服务端接收到客户端接收到的数据是stringX2、stringY2和stringZ1。则服务器利用与客户端相同的摘要算法计算stringX2和stringY2的摘要值。假设计算得到的摘要值为stringZ2。通过比较stringZ2和stringZ1不同,则不获取客户端传输的待解密文件。
可以理解的是,此时stringX2为第一字符串,stringX1为第一字符串对应的未传输字符串,stringY2为用户标识信息,stringY1为用户标识信息对应的未传输用户标识信息。
通过本发明实施例提供的数据解密方法,能够提高数据的安全性。
在本发明的一个实施例中,在获取客户端传输的待解密文件之前,可以监测客户端调用解密接口的调用时长,若调用时长未到达预设时长,获取客户端传输的待解密文件。
示例性的,假设预设时长为半小时,客户端调用解密接口的调用时长达到半小时后,停止客户端调用该解密接口,防止客户端长时间调用该解密接口,黑客通过该加密接口获取密钥。
通过本发明实施例提供的数据解密方法,能够防止解密密钥泄露,提高数据安全性。
与上述的方法实施例相对应,本发明实施例还提供一种数据加密装置。如图3所示,图3示出了本发明实施例提供的数据加密装置的结构示意图。
数据加密装置可以包括:
待加密文件获取模块301,用于获取客户端传输的至少一个待加密文件;
识别模块302,用于针对每一个待加密文件,识别待加密文件中的敏感数据;
加密模块303,用于对敏感数据进行加密,得到待加密文件对应的加密文件;
加密文件发送模块304,用于将加密文件发送给客户端。
在本发明的一个实施例中,加密模块303,可以包括:
确定单元,用于针对每一个待加密文件,确定待加密文件的文件敏感指数;
加密单元,用于利用与文件敏感指数对应的加密密钥,对敏感数据进行加密。
在本发明的一个实施例中,确定单元,具体可以用于:
针对每一个待加密文件,确定待加密文件与至少一个待加密文件中除待加密文件之外的其他每一个待加密文件的文件连接度;
根据文件连接度,确定待加密文件的文件敏感指数。
在本发明的一个实施例中,加密单元,具体可以用于:
若待加密文件的文件敏感指数大于预设指数,将与文件敏感指数对应的预设加密密钥进行加密得到第一密钥,利用第一密钥对敏感数据进行加密;
若待加密文件的文件敏感指数不大于预设指数,利用与文件敏感指数对应的预设加密密钥对敏感数据进行加密。
本发明实施例还提供一种数据解密装置。如图4所示,图4示出了本发明实施例提供的数据解密装置的结构示意图。数据解密装置可以包括:
待解密文件获取模块401,用于获取客户端传输的待解密文件;
确定模块402,用于确定待解密文件中的待解密数据;
解密模块403,用于对待解密数据进行解密,得到待解密文件对应的解密文件;
解密文件发送模块404,用于将解密文件发送给客户端。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还可以包括:
安全证书获取模块,用于获取客户端的安全证书;
身份验证模块,用于基于安全证书对客户端进行身份验证,若客户端通过身份验证,触发待解密文件获取模块401。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还可以包括:
网际协议地址获取模块,用于获取客户端的网际协议地址;
权限验证模块,用于基于网际协议地址对客户端进行权限验证,若客户端通过权限验证,触发待解密文件获取模块401。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还可以包括:
字符串获取模块,用于获取客户端传输的第一字符串、用户标识信息和第二字符串;第二字符串为客户端利用消息摘要算法对第一字符串对应的未传输字符串和用户标识信息对应的未传输用户标识信息进行摘要计算,得到的第一摘要值;
计算模块,用于利用消息摘要算法对第一字符串和用户标识信息进行摘要计算,得到第二摘要值;
比较模块,用于比较第二字符串和第二摘要值,若第二字符串和第二摘要值相同,触发待解密文件获取模块401。
在本发明的一个实施例中,本发明实施例提供的数据解密装置还可以包括:
监测模块,用于监测客户端调用解密接口的调用时长,若调用时长未到达预设时长,触发待解密文件获取模块401。
图5示出了能够实现根据本发明实施例的数据加密方法及装置的计算设备的示例性硬件架构的结构图。如图5所示,计算设备500包括输入设备501、输入接口502、中央处理器503、存储器504、输出接口505、以及输出设备506。其中,输入接口502、中央处理器503、存储器504、以及输出接口505通过总线510相互连接,输入设备501和输出设备506分别通过输入接口502和输出接口505与总线510连接,进而与计算设备500的其他组件连接。
具体地,输入设备501接收来自外部的输入信息,并通过输入接口502将输入信息传送到中央处理器503;中央处理器503基于存储器504中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器504中,然后通过输出接口505将输出信息传送到输出设备506;输出设备506将输出信息输出到计算设备500的外部供用户使用。
也就是说,图5所示的计算设备也可以被实现为数据加密设备,该数据加密设备可以包括:存储有计算机程序的存储器;以及处理器,该处理器在执行计算机程序时可以实现本发明实施例提供的数据加密方法。
图6示出了能够实现根据本发明实施例的数据解密方法及装置的计算设备的示例性硬件架构的结构图。如图6所示,计算设备600包括输入设备601、输入接口602、中央处理器603、存储器604、输出接口605、以及输出设备606。其中,输入接口602、中央处理器603、存储器604、以及输出接口605通过总线610相互连接,输入设备601和输出设备606分别通过输入接口602和输出接口605与总线610连接,进而与计算设备600的其他组件连接。
具体地,输入设备601接收来自外部的输入信息,并通过输入接口602将输入信息传送到中央处理器603;中央处理器603基于存储器604中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器604中,然后通过输出接口605将输出信息传送到输出设备606;输出设备606将输出信息输出到计算设备600的外部供用户使用。
也就是说,图6所示的计算设备也可以被实现为数据解密设备,该数据解密设备可以包括:存储有计算机程序的存储器;以及处理器,该处理器在执行计算机程序时可以实现本发明实施例提供的数据解密方法。
在本发明的一个实施例中,数据加密设备和数据解密设备可以为同一设备。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序;该计算机程序被处理器执行时实现本发明实施例提供的数据加密方法或本发明实施例提供的数据解密方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (11)

1.一种数据加密方法,其特征在于,所述方法包括:
获取客户端传输的至少一个待加密文件;
针对每一个待加密文件,识别所述待加密文件中的敏感数据;
对所述敏感数据进行加密,得到所述待加密文件对应的加密文件;
将所述加密文件发送给所述客户端;
其中,所述对所述敏感数据进行加密,得到所述待加密文件对应的加密文件,包括:
针对每一个待加密文件,确定所述待加密文件的文件敏感指数;
利用与所述文件敏感指数对应的加密密钥,对所述敏感数据进行加密;
其中,所述针对每一个待加密文件,确定所述待加密文件的文件敏感指数,包括:
针对每一个待加密文件,确定所述待加密文件与所述至少一个待加密文件中除所述待加密文件之外的其他每一个待加密文件的文件连接度;
根据所述文件连接度,确定所述待加密文件的文件敏感指数;
其中,利用以下公式计算文件敏感指数,
DSIi=[(mi+文件i的文件连接度之和)/Mi]*a1/X*b1/X
其中,DSIi为文件i的文件敏感指数;mi为将文件i进行分词处理后,得到的词总数;Mi为文件i中敏感数据数量,X为包括文件i中的敏感数据的其他文件的数量;a和b为参数。
2.根据权利要求1所述的方法,其特征在于,所述利用与所述文件敏感指数对应的加密密钥,对所述敏感数据进行加密,包括:
若所述待加密文件的文件敏感指数大于预设指数,将与所述文件敏感指数对应的预设加密密钥进行加密得到第一密钥,利用所述第一密钥对所述敏感数据进行加密;
若所述待加密文件的文件敏感指数不大于预设指数,利用与所述文件敏感指数对应的预设加密密钥对所述敏感数据进行加密。
3.一种数据解密方法,其特征在于,所述方法包括:
获取客户端传输的待解密文件;
确定所述待解密文件中的待解密数据;
对所述待解密数据进行解密,得到所述待解密文件对应的解密文件;
将所述解密文件发送给所述客户端;
其中,所述待解密文件是按照权利要求1至2中任意一项所述的数据加密方法对待加密文件进行加密后得到的。
4.根据权利要求3所述的方法,在所述获取客户端传输的待解密文件之前,所述方法还包括:
获取所述客户端的安全证书;
基于所述安全证书对所述客户端进行身份验证,若所述客户端通过身份验证,获取客户端传输的待解密文件。
5.根据权利要求3所述的方法,其特征在于,在所述获取客户端传输的待解密文件之前,所述方法还包括:
获取所述客户端的网际协议地址;
基于所述网际协议地址对所述客户端进行权限验证,若所述客户端通过权限验证,获取客户端传输的待解密文件。
6.根据权利要求3所述的方法,其特征在于,在所述获取客户端传输的待解密文件之前,所述方法还包括:
获取所述客户端传输的第一字符串、用户标识信息和第二字符串;所述第二字符串为所述客户端利用消息摘要算法对所述第一字符串对应的未传输字符串和所述用户标识信息对应的未传输用户标识信息进行摘要计算,得到的第一摘要值;
利用所述消息摘要算法对所述第一字符串和所述用户标识信息进行摘要计算,得到第二摘要值;
比较所述第二字符串和所述第二摘要值,若所述第二字符串和所述第二摘要值相同,获取客户端传输的待解密文件。
7.根据权利要求3所述的方法,其特征在于,在所述获取客户端传输的待解密文件之前,所述方法还包括:
监测所述客户端调用解密接口的调用时长,若所述调用时长未到达预设时长,获取客户端传输的待解密文件。
8.一种数据加密装置,其特征在于,所述装置包括:
待加密文件获取模块,用于获取客户端传输的至少一个待加密文件;
识别模块,用于针对每一个待加密文件,识别所述待加密文件中的敏感数据;
加密模块,用于对所述敏感数据进行加密,得到所述待加密文件对应的加密文件;
加密文件发送模块,用于将所述加密文件发送给所述客户端;
其中,所述加密模块,包括:
确定单元,用于针对每一个待加密文件,确定所述待加密文件的文件敏感指数;
加密单元,用于利用与所述文件敏感指数对应的加密密钥,对所述敏感数据进行加密;
其中,所述确定单元,具体用于:
针对每一个待加密文件,确定所述待加密文件与所述至少一个待加密文件中除所述待加密文件之外的其他每一个待加密文件的文件连接度;
根据所述文件连接度,确定所述待加密文件的文件敏感指数;
其中,利用以下公式计算文件敏感指数,
DSIi=[(mi+文件i的文件连接度之和)/Mi]*a1/X*b1/X
其中,DSIi为文件i的文件敏感指数;mi为将文件i进行分词处理后,得到的词总数;Mi为文件i中敏感数据数量,X为包括文件i中的敏感数据的其他文件的数量;a和b为参数。
9.一种数据解密装置,其特征在于,所述装置包括:
待解密文件获取模块,用于获取客户端传输的待解密文件;
确定模块,用于确定所述待解密文件中的待解密数据;
解密模块,用于对所述待解密数据进行解密,得到所述待解密文件对应的解密文件;
解密文件发送模块,用于将所述解密文件发送给所述客户端;
其中,所述待解密文件是按照权利要求1至2中任意一项所述的数据加密方法对待加密文件进行加密后得到的。
10.一种数据加密设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;
所述处理器执行所述计算机程序时实现如权利要求1至2任一项所述的数据加密方法。
11.一种数据解密设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;
所述处理器执行所述计算机程序时实现如权利要求3至7任一项所述的数据解密方法。
CN201911283079.2A 2019-12-13 2019-12-13 数据加密、解密方法、装置及设备 Active CN112995096B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911283079.2A CN112995096B (zh) 2019-12-13 2019-12-13 数据加密、解密方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911283079.2A CN112995096B (zh) 2019-12-13 2019-12-13 数据加密、解密方法、装置及设备

Publications (2)

Publication Number Publication Date
CN112995096A CN112995096A (zh) 2021-06-18
CN112995096B true CN112995096B (zh) 2023-04-25

Family

ID=76332463

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911283079.2A Active CN112995096B (zh) 2019-12-13 2019-12-13 数据加密、解密方法、装置及设备

Country Status (1)

Country Link
CN (1) CN112995096B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116150796B (zh) * 2023-04-18 2023-12-08 安羚科技(杭州)有限公司 用于数据防泄露系统的数据防护方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850231A (zh) * 2017-02-22 2017-06-13 济南浪潮高新科技投资发展有限公司 一种保护接口安全的方法、服务端及系统、一种客户端
CN109033855A (zh) * 2018-07-18 2018-12-18 腾讯科技(深圳)有限公司 一种基于区块链的数据传输方法、装置及存储介质
CN110505066A (zh) * 2019-08-30 2019-11-26 北京字节跳动网络技术有限公司 一种数据传输方法、装置、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8677154B2 (en) * 2011-10-31 2014-03-18 International Business Machines Corporation Protecting sensitive data in a transmission

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850231A (zh) * 2017-02-22 2017-06-13 济南浪潮高新科技投资发展有限公司 一种保护接口安全的方法、服务端及系统、一种客户端
CN109033855A (zh) * 2018-07-18 2018-12-18 腾讯科技(深圳)有限公司 一种基于区块链的数据传输方法、装置及存储介质
CN110505066A (zh) * 2019-08-30 2019-11-26 北京字节跳动网络技术有限公司 一种数据传输方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN112995096A (zh) 2021-06-18

Similar Documents

Publication Publication Date Title
US10979231B2 (en) Cross-chain authentication method, system, server, and computer-readable storage medium
CN107493273B (zh) 身份认证方法、系统及计算机可读存储介质
US10178090B2 (en) System and methods for protecting keys using garbled circuits
US20170208049A1 (en) Key agreement method and device for verification information
CN110519309B (zh) 数据传输方法、装置、终端、服务器及存储介质
CN110401615B (zh) 一种身份认证方法、装置、设备、系统及可读存储介质
CN111079128A (zh) 一种数据处理方法、装置、电子设备以及存储介质
WO2016131056A1 (en) Confidential communication management
CN107733933B (zh) 一种基于生物识别技术的双因子身份认证的方法及系统
CN113691502B (zh) 通信方法、装置、网关服务器、客户端及存储介质
KR20080051753A (ko) 보안 제공 시스템 및 방법
WO2015003503A1 (zh) 一种提高信息安全性的方法、终端设备及网络设备
WO2018220693A1 (ja) 情報処理装置、検証装置、情報処理システム、情報処理方法、及び、記録媒体
CN107636669B (zh) 不期望网络业务的控制
WO2018112482A1 (en) Method and system for distributing attestation key and certificate in trusted computing
CN111917540A (zh) 一种数据加解密方法、装置、移动终端和存储介质
CN114244522A (zh) 信息保护方法、装置、电子设备及计算机可读存储介质
CN112995096B (zh) 数据加密、解密方法、装置及设备
CN115549906B (zh) 基于区块链的隐私计算方法、系统、设备和介质
CN115344848B (zh) 标识获取方法、装置、设备及计算机可读存储介质
US20230068650A1 (en) Method for testing if a data element belongs to a list of reference data elements
CN113595982B (zh) 一种数据传输方法、装置、电子设备及存储介质
CN114553566A (zh) 数据加密方法、装置、设备及存储介质
CN112925535A (zh) 一种密码芯片嵌入式应用安装方法及装置
Dauterman et al. Accountable authentication with privacy protection: The Larch system for universal login

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant