CN114117460A - 数据保护方法、装置、电子设备及存储介质 - Google Patents
数据保护方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114117460A CN114117460A CN202010905546.7A CN202010905546A CN114117460A CN 114117460 A CN114117460 A CN 114117460A CN 202010905546 A CN202010905546 A CN 202010905546A CN 114117460 A CN114117460 A CN 114117460A
- Authority
- CN
- China
- Prior art keywords
- data
- decryption key
- protection method
- operation account
- acquisition request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000005192 partition Methods 0.000 claims abstract description 41
- 238000004590 computer program Methods 0.000 claims description 11
- 238000013500 data storage Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000005336 cracking Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0623—Securing storage systems in relation to content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0638—Organizing or formatting or addressing of data
- G06F3/0644—Management of space entities, e.g. partitions, extents, pools
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0679—Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
一种数据保护方法,所述方法包括:当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求;若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥;通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;挂载数据分割区;通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。本发明还提供一种数据保护装置、电子设备以及存储介质。本发明能提高数据的安全性。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种数据保护方法、装置、电子设备及存储介质。
背景技术
目前,随着计算机技术的发展,可以通过对数据进行加密来确保数据不被泄露,但在实践中发现,若非法操作者使用系统的管理者账号,很容易获取到系统的各种数据,从而导致数据的安全性不高。
因此,如何提高数据的安全性是一个需要解决的技术问题。
发明内容
鉴于以上内容,有必要提供一种数据保护方法、装置、电子设备及存储介质,能够提高数据的安全性。
本发明的第一方面提供一种数据保护方法,所述方法包括:
当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求;
若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥;
通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;
挂载数据分割区;
通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。
在一种可能的实现方式中,所述数据保护方法还包括:
当所述使用解密密钥解密所述加密数据失败时,删除所述解密密钥;
生成解密失败的告警信息;
将所述告警信息发送至预设的终端。
在一种可能的实现方式中,所述通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据之后,以及所述挂载数据分割区之前,所述数据保护方法还包括:
删除所述解密密钥;
生成第一提示信息,所述第一提示信息用于提示解密成功;
输出所述第一提示信息。
在一种可能的实现方式中,所述数据保护方法还包括:
若所述解密密钥获取请求为非法请求,停止响应所述解密密钥获取请求;
生成第二提示信息,所述第二提示信息用于提示所述解密密钥获取请求为非法请求;
输出所述第二提示信息。
在一种可能的实现方式中,所述当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求之前,所述数据保护方法还包括:
确定所有操作账号;
通过文件访问控制列表的权限设定方式,对所述所有操作账号进行权限设定。
在一种可能的实现方式中,所述所有操作账号包括第一操作账号以及第二操作账号,不同的操作账号具有不同的任务权限。
在一种可能的实现方式中,所述数据分割区是经过加密的数据存储区域,访问所述数据分割区需要进行权限认证。
本发明的第二方面提供一种数据保护装置,所述数据保护装置包括:
生成模块,用于当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求;
获取模块,用于若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥;
解密模块,用于通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;
挂载模块,用于挂载数据分割区;
存储模块,用于通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。
本发明的第三方面提供一种电子设备,所述电子设备包括处理器和存储器,所述处理器用于执行所述存储器中存储的计算机程序时实现所述的数据保护方法。
本发明的第四方面提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现所述的数据保护方法。
由以上技术方案,本发明中,可以通过第一操作账号,生成解密密钥获取请求,通过第二操作账号,从数据安全区域中获取解密密钥;通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。通过不同的操作账号进行不同的操作,避免了单一操作账号被破解后而导致数据泄露的风险。同时,解密密钥存放在数据安全区域,进一步提高了数据的安全性。
附图说明
图1是本发明公开的一种数据保护方法的较佳实施例的流程图。
图2是本发明公开的一种数据保护装置的较佳实施例的功能模块图。
图3是本发明实现数据保护方法的较佳实施例的电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
本发明实施例的数据保护方法应用在电子设备中,也可以应用在电子设备和通过网络与所述电子设备进行连接的服务器所构成的硬件环境中,由服务器和电子设备共同执行。网络包括但不限于:广域网、城域网或局域网。
其中,服务器可以是指能对网络中其它设备(如电子设备)提供服务的计算机系统。如果一个个人电脑能够对外提供文件传输协议(File Transfer Protocol,简称FTP)服务,也可以叫服务器。从狭义范围上讲,服务器专指某些高性能计算机,能通过网络,对外提供服务,其相对于普通的个人电脑来说,稳定性、安全性、性能等方面都要求更高,因此在CPU、芯片组、内存、磁盘系统、网络等硬件和普通的个人电脑有所不同。
所述电子设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述电子设备还可包括网络设备和/或用户设备。其中,所述网络设备包括但不限于单个网络设备、多个网络设备组成的服务器组或基于云计算(Cloud Computing)的由大量主机或网络设备构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。所述用户设备包括但不限于任何一种可与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理PDA等。
请参见图1,图1是本发明公开的一种数据保护方法的较佳实施例的流程图。其中,根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。其中,所述数据保护方法的执行主体可以为电子设备。
S11、当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求。
其中,所述第一操作账号具有请求获取解密密钥的权限,即,通过所述第一操作账号生成的解密密钥获取请求是合法请求,不通过所述第一操作账号生成的解密密钥获取请求是非法请求。
本发明实施例中,当接收到加密数据时,由预设的数据管理程序进行处理,所述数据管理程序中保存有所述第一操作账号的认证信息(比如账号、密码等)。即所述数据管理程序可以使用所述第一操作账号进行对应权限的相关操作,例如,生成解密密钥获取请求。
作为一种可选的实施方式,所述当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求之前,所述数据保护方法还包括:
确定所有操作账号;
通过文件访问控制列表(Access Control List,ACL)的权限设定方式,对所述所有操作账号进行权限设定。
其中,所述所有操作账号包括第一操作账号以及第二操作账号,不同的操作账号具有不同的操作权限。
其中,所述文件访问控制列表的权限设定方式,可以用来给特定的用户(账号)授予特定的权限。
S12、若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥。
其中,所述第二操作账号,具有从数据安全区域中获取解密密钥的权限,即所述第二操作账号能够访问所述数据安全区域。
其中,所述数据安全区域可以是基于硬件安全TrustZone技术的硬件加密组件,TrustZone是针对电子设备设计的一种硬件架构,其目的是为电子产品构建一个安全框架来抵御各种可能的攻击。
本发明实施例中,先判断所述解密密钥获取请求是否为合法请求,可以通过所述合法请求所携带的认证信息来确定所述解密密钥获取请求是否由所述第一操作账号发起的,如果所述解密密钥获取请求是由所述第一操作账号发起的,确定所述解密密钥获取请求为合法请求,可以从通过第二操作账号,从数据安全区域中获取解密密钥。所述数据安全区域会验证所述第二操作账号是否具有获取所述解密密钥的权限,若所述第二操作账号具有获取所述解密密钥的权限,则允许获取解密密钥的操作,若进行获取所述解密密钥的操作的操作账号不具有对应的权限,则会终止该操作。
可选的,可以将获取到的解密密钥暂时存放于易失性存储器(RAM(Random AccessMemory)中,可以让其他程序进行访问从而获取使用所述解密密钥。
作为一种可选的实施方式,所述数据保护方法还包括:
若所述解密密钥获取请求为非法请求,停止响应所述解密密钥获取请求;
生成第二提示信息,所述第二提示信息用于提示所述解密密钥获取请求为非法请求;
输出所述第二提示信息。
在该可选的实施方式中,若所述解密密钥获取请求为非法请求,停止响应所述解密密钥获取请求,可以丢弃所述解密密钥获取请求,然后生成用于提示所述解密密钥获取请求为非法请求的第二提示信息,并输出所述第二提示信息。可以及时对系统进行错误排查。
S13、通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据。
本发明实施例中,预设的数据管理程序在通过第二操作账号获取到解密密钥后,将所述解密密钥传回给所述第一操作账号使用,可以通过所述第一操作账号,使用所述解密密钥对所述加密数据进行数据解密,获得解密数据。
其中,所述第一操作账号具有使用所述解密密钥解密所述加密数据的权限。
作为一种可选的实施方式,所述数据保护方法还包括:
当所述使用解密密钥解密所述加密数据失败时,删除所述解密密钥;
生成解密失败的告警信息;
将所述告警信息发送至预设的终端。
在该可选的实施方式,当所述使用解密密钥解密所述加密数据失败时,可以删除所述解密密钥,生成解密失败的告警信息,将所述告警信息发送至预设的终端。
所述通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据之后,以及所述挂载数据分割区之前,所述数据保护方法还包括:
删除所述解密密钥;
生成第一提示信息,所述第一提示信息用于提示解密成功;
输出所述第一提示信息。
在该可选的实施方式中,获得解密数据之后,可以及时删除所述解密密钥,然后生成用于提示解密成功的提示信息(所述第一提示信息),并输出所述提示信息。
S14、挂载数据分割区。
其中,所述挂载可以是指由操作系统使一个存储设备上的计算机文件和目录可供用户通过计算机的文件系统访问的一个过程。
其中,所述数据分割区是经过加密的数据存储区域,访问所述数据分割区需要进行权限认证。只有具备指定权限的用户才可以进行访问。
S15、通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。
其中,所述第一操作账号具有访问所述数据分割区的权限。
本发明实施例中,预设的数据管理程序可以通过所述第一操作账号,将所述解密数据存储至所述数据分割区中,当进行数据存储操作时,所述数据分割区会验证当前操作的身份信息。如果所述数据分割区只授予所述第一操作账号权限进行数据访问,则只能通过所述第一操作账号访问所述数据分割区。
在图1所描述的方法流程中,可以通过第一操作账号,生成解密密钥获取请求,通过第二操作账号,从数据安全区域中获取解密密钥;通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。通过不同的操作账号进行不同的操作,避免了单一账号被破解而导致数据泄露的风险。同时,解密密钥存放在数据安全区域,进一步提高了数据的安全性。
图2是本发明公开的一种数据保护装置的较佳实施例的功能模块图。
请参见图2,所述数据保护装置20可运行于电子设备中。所述数据保护装置20可以包括多个由程序代码段所组成的功能模块。所述数据保护装置20中的各个程序段的程序代码可以存储于存储器中,并由至少一个处理器所执行,以执行图1所描述的数据保护方法中的部分或全部步骤。
本实施例中,所述数据保护装置20根据其所执行的功能,可以被划分为多个功能模块。所述功能模块可以包括:生成模块201、获取模块202、解密模块203、挂载模块204及存储模块205。本发明所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机程序段,其存储在存储器中。
生成模块201,用于当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求。
其中,所述第一操作账号具有请求获取解密密钥的权限,即通过所述第一操作账号生成的解密密钥获取请求是合法请求,不通过所述第一操作账号生成的解密密钥获取请求是非法请求。
本发明实施例中,当接收到加密数据时,由预设的数据管理程序进行处理,所述数据管理程序中保存有所述第一操作账号的认证信息(比如账号、密码等)。即所述数据管理程序可以使用所述第一操作账号进行对应权限的相关操作,例如,生成解密密钥获取请求。
获取模块202,用于若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥。
其中,所述第二操作账号,具有从数据安全区域中获取解密密钥的权限,即所述第二操作账号能够访问所述数据安全区域。
其中,所述数据安全区域可以是基于硬件安全TrustZone技术的硬件加密组件,TrustZone是针对电子设备设计的一种硬件架构,其目的是为电子产品构建一个安全框架来抵御各种可能的攻击。
本发明实施例中,先判断所述解密密钥获取请求是否为合法请求,可以通过所述合法请求所携带的认证信息来确定所述解密密钥获取请求是否由所述第一操作账号发起的,如果所述解密密钥获取请求是由所述第一操作账号发起的,确定所述解密密钥获取请求为合法请求,可以从通过第二操作账号,从数据安全区域中获取解密密钥。所述数据安全区域会验证所述第二操作账号是否具有获取所述解密密钥的权限,若所述第二操作账号具有获取所述解密密钥的权限,则允许获取解密密钥的操作,若进行获取所述解密密钥的操作的操作账号不具有对应的权限,则会终止该操作。
可选的,可以将获取到的解密密钥暂时存放于易失性存储器(RAM(Random AccessMemory)中,可以让其他程序进行访问从而获取使用所述解密密钥。
解密模块203,用于通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据。
本发明实施例中,预设的数据管理程序在通过第二操作账号获取到解密密钥后,将所述解密密钥传回给所述第一操作账号使用,可以通过所述第一操作账号,使用所述解密密钥对所述加密数据进行数据解密,获得解密数据。
其中,所述第一操作账号具有使用所述解密密钥解密所述加密数据的权限。
挂载模块204,用于挂载数据分割区。
其中,所述挂载可以是指由操作系统使一个存储设备上的计算机文件和目录可供用户通过计算机的文件系统访问的一个过程。
其中,所述数据分割区是经过加密的数据存储区域,访问所述数据分割区需要进行权限认证。只有具备指定权限的用户才可以进行访问。
存储模块205,用于通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。
其中,所述第一操作账号具有访问所述数据分割区的权限。
本发明实施例中,预设的数据管理程序可以通过所述第一操作账号,将所述解密数据存储至所述数据分割区中,当进行数据存储操作时,所述数据分割区会验证当前操作的身份信息。如果所述数据分割区只授予所述第一操作账号权限进行数据访问,则只能通过所述第一操作账号访问所述数据分割区。
作为一种可选的实施方式,所述数据保护装置20还包括:
第一删除模块,用于当所述使用解密密钥解密所述加密数据失败时,删除所述解密密钥;
所述生成模块201,还用于生成解密失败的告警信息;
发送模块,用于将所述告警信息发送至预设的终端。
在该可选的实施方式,当所述使用解密密钥解密所述加密数据失败时,可以删除所述解密密钥,生成解密失败的告警信息,将所述告警信息发送至预设的终端。
作为一种可选的实施方式,所述数据保护装置20还包括:
第二删除模块,用于所述解密模块203通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据之后,以及所述挂载模块204挂载数据分割区之前,删除所述解密密钥;
所述生成模块201,还用于生成第一提示信息,所述第一提示信息用于提示解密成功;
第一输出模块,用于输出所述第一提示信息。
在该可选的实施方式中,获得解密数据之后,可以及时删除所述解密密钥,然后生成用于提示解密成功的提示信息(所述第一提示信息),并输出所述提示信息。
作为一种可选的实施方式,所述数据保护装置20还包括:
停止模块,用于若所述解密密钥获取请求为非法请求,停止响应所述解密密钥获取请求;
所述生成模块201,还用于生成第二提示信息,所述第二提示信息用于提示所述解密密钥获取请求为非法请求;
第二输出模块,用于输出所述第二提示信息。
在该可选的实施方式中,若所述解密密钥获取请求为非法请求,停止响应所述解密密钥获取请求,可以丢弃所述解密密钥获取请求,然后生成用于提示所述解密密钥获取请求为非法请求的第二提示信息,并输出所述第二提示信息。可以及时对系统进行错误排查。
作为一种可选的实施方式,所述数据保护装置20还包括:
确定模块,用于所述生成模块201当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求之前,确定所有操作账号;
设定模块,用于通过文件访问控制列表(Access Control List,ACL)的权限设定方式,对所述所有操作账号进行权限设定。
其中,所述所有操作账号包括第一操作账号以及第二操作账号不同的操作账号具有不同的任务权限。
其中,所述文件访问控制列表的权限设定方式,可以用来给特定的用户(账号)授予特定的权限。
在图2所描述的数据保护装置20中,可以通过第一操作账号,生成解密密钥获取请求,通过第二操作账号,从数据安全区域中获取解密密钥;通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。通过不同的操作账号进行不同的操作,避免了单一账号被破解而导致数据泄露的风险。同时,解密密钥存放在数据安全区域,进一步提高了数据的安全性。
如图3所示,图3是本发明实现数据保护方法的较佳实施例的电子设备的结构示意图。所述电子设备3包括存储器31、至少一个处理器32、存储在所述存储器31中并可在所述至少一个处理器32上运行的计算机程序33及至少一条通讯总线34。
本领域技术人员可以理解,图3所示的示意图仅仅是所述电子设备3的示例,并不构成对所述电子设备3的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备3还可以包括输入输出设备、网络接入设备等。
所述电子设备3还包括但不限于任何一种可与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)、游戏机、交互式网络电视(InternetProtocol Television,IPTV)、智能式穿戴式设备等。所述电子设备3所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。
所述至少一个处理器32可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、分立硬件组件等。该处理器32可以是微处理器或者该处理器32也可以是任何常规的处理器等,所述处理器32是所述电子设备3的控制中心,利用各种接口和线路连接整个电子设备3的各个部分。
所述存储器31可用于存储所述计算机程序33和/或模块/单元,所述处理器32通过运行或执行存储在所述存储器31内的计算机程序和/或模块/单元,以及调用存储在存储器31内的数据,实现所述电子设备3的各种功能。所述存储器31可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备3的使用所创建的数据等。此外,存储器31可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件等。
结合图1,所述电子设备3中的所述存储器31存储多个指令以实现一种数据保护方法,所述处理器32可执行所述多个指令从而实现:
当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求;
若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥;
通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;
挂载数据分割区;
通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。
具体地,所述处理器32对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
在图3所描述的电子设备3中,可以通过第一操作账号,生成解密密钥获取请求,通过第二操作账号,从数据安全区域中获取解密密钥;通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。通过不同的操作账号进行不同的操作,避免了单一账号被破解而导致数据泄露的风险。同时,解密密钥存放在数据安全区域,进一步提高了数据的安全性。
所述电子设备3集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种数据保护方法,其特征在于,所述数据保护方法包括:
当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求;
若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥;
通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;
挂载数据分割区;
通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。
2.根据权利要求1所述的数据保护方法,其特征在于,所述数据保护方法还包括:
当所述使用解密密钥解密所述加密数据失败时,删除所述解密密钥;
生成解密失败的告警信息;
将所述告警信息发送至预设的终端。
3.根据权利要求1所述的数据保护方法,其特征在于,所述通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据之后,以及所述挂载数据分割区之前,所述数据保护方法还包括:
删除所述解密密钥;
生成第一提示信息,所述第一提示信息用于提示解密成功;
输出所述第一提示信息。
4.根据权利要求1所述的数据保护方法,其特征在于,所述数据保护方法还包括:
若所述解密密钥获取请求为非法请求,停止响应所述解密密钥获取请求;
生成第二提示信息,所述第二提示信息用于提示所述解密密钥获取请求为非法请求;
输出所述第二提示信息。
5.根据权利要求1至4中任一项所述的数据保护方法,其特征在于,所述当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求之前,所述数据保护方法还包括:
确定所有操作账号;
通过文件访问控制列表的权限设定方式,对所述所有操作账号进行权限设定。
6.根据权利要求5所述的数据保护方法,其特征在于,所述所有操作账号包括第一操作账号以及第二操作账号,不同的操作账号具有不同的操作权限。
7.根据权利要求1至4中任一项的数据保护方法,其特征在于,所述数据分割区是经过加密的数据存储区域,访问所述数据分割区需要进行权限认证。
8.一种数据保护装置,其特征在于,所述数据保护装置包括:
生成模块,用于当接收到加密数据时,通过第一操作账号,生成解密密钥获取请求;
获取模块,用于若所述解密密钥获取请求为合法请求,通过第二操作账号,从数据安全区域中获取解密密钥;
解密模块,用于通过所述第一操作账号,使用所述解密密钥解密所述加密数据,获得解密数据;
挂载模块,用于挂载数据分割区;
存储模块,用于通过所述第一操作账号,将所述解密数据存储至所述数据分割区中。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序以实现如权利要求1至7中任意一项所述的数据保护方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有至少一个指令,所述至少一个指令被处理器执行时实现如权利要求1至7中任意一项所述的数据保护方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010905546.7A CN114117460A (zh) | 2020-09-01 | 2020-09-01 | 数据保护方法、装置、电子设备及存储介质 |
US17/095,628 US11340801B2 (en) | 2020-09-01 | 2020-11-11 | Data protection method and electronic device implementing data protection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010905546.7A CN114117460A (zh) | 2020-09-01 | 2020-09-01 | 数据保护方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114117460A true CN114117460A (zh) | 2022-03-01 |
Family
ID=80358535
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010905546.7A Pending CN114117460A (zh) | 2020-09-01 | 2020-09-01 | 数据保护方法、装置、电子设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11340801B2 (zh) |
CN (1) | CN114117460A (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104581214A (zh) * | 2015-01-28 | 2015-04-29 | 三星电子(中国)研发中心 | 基于ARM TrustZone系统的多媒体内容保护方法和装置 |
CN104662870A (zh) * | 2012-09-10 | 2015-05-27 | 云深系统有限公司 | 数据安全管理系统 |
CN105760719A (zh) * | 2014-12-19 | 2016-07-13 | 深圳市中兴微电子技术有限公司 | 一种密文数据解密方法及系统 |
CN107920060A (zh) * | 2017-10-11 | 2018-04-17 | 北京京东尚科信息技术有限公司 | 基于账号的数据访问方法和装置 |
CN109460373A (zh) * | 2017-09-06 | 2019-03-12 | 阿里巴巴集团控股有限公司 | 一种数据共享方法、终端设备和存储介质 |
CN109840435A (zh) * | 2017-11-27 | 2019-06-04 | 深圳市朗科科技股份有限公司 | 一种存储设备的数据保护方法 |
WO2019127467A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种数据访问方法及装置 |
CN110768790A (zh) * | 2019-09-06 | 2020-02-07 | 深圳壹账通智能科技有限公司 | 数据安全授权访问方法、装置、设备及存储介质 |
CN111131216A (zh) * | 2019-12-17 | 2020-05-08 | 云城(北京)数据科技有限公司 | 文件加密、解密方法及装置 |
CN111400735A (zh) * | 2020-03-17 | 2020-07-10 | 北京百度网讯科技有限公司 | 数据传输方法、装置、电子设备及计算机可读存储介质 |
CN111400726A (zh) * | 2019-01-03 | 2020-07-10 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置、设备和机器可读介质 |
CN111563251A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种终端设备中私密信息的加密方法和相关装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5748735A (en) * | 1994-07-18 | 1998-05-05 | Bell Atlantic Network Services, Inc. | Securing E-mail communications and encrypted file storage using yaksha split private key asymmetric cryptography |
US8898472B2 (en) * | 2011-07-18 | 2014-11-25 | Echoworx Corporation | Mechanism and method for managing credentials on IOS based operating system |
US9197408B2 (en) * | 2013-05-10 | 2015-11-24 | Sap Se | Systems and methods for providing a secure data exchange |
US9407440B2 (en) * | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
US9800419B2 (en) * | 2014-02-04 | 2017-10-24 | Exponential Horizons, Llc | Cryptographic method and system of protecting digital content and recovery of same through unique user identification |
US20160142387A1 (en) * | 2014-11-14 | 2016-05-19 | Microsoft Technology Licensing, Llc. | Storage for encrypted data with enhanced security |
US10970378B2 (en) * | 2019-05-13 | 2021-04-06 | Cyberark Software Ltd. | Secure generation and verification of machine-readable visual codes |
-
2020
- 2020-09-01 CN CN202010905546.7A patent/CN114117460A/zh active Pending
- 2020-11-11 US US17/095,628 patent/US11340801B2/en active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104662870A (zh) * | 2012-09-10 | 2015-05-27 | 云深系统有限公司 | 数据安全管理系统 |
CN105760719A (zh) * | 2014-12-19 | 2016-07-13 | 深圳市中兴微电子技术有限公司 | 一种密文数据解密方法及系统 |
CN104581214A (zh) * | 2015-01-28 | 2015-04-29 | 三星电子(中国)研发中心 | 基于ARM TrustZone系统的多媒体内容保护方法和装置 |
CN109460373A (zh) * | 2017-09-06 | 2019-03-12 | 阿里巴巴集团控股有限公司 | 一种数据共享方法、终端设备和存储介质 |
CN107920060A (zh) * | 2017-10-11 | 2018-04-17 | 北京京东尚科信息技术有限公司 | 基于账号的数据访问方法和装置 |
CN109840435A (zh) * | 2017-11-27 | 2019-06-04 | 深圳市朗科科技股份有限公司 | 一种存储设备的数据保护方法 |
WO2019127467A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种数据访问方法及装置 |
CN111400726A (zh) * | 2019-01-03 | 2020-07-10 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置、设备和机器可读介质 |
CN110768790A (zh) * | 2019-09-06 | 2020-02-07 | 深圳壹账通智能科技有限公司 | 数据安全授权访问方法、装置、设备及存储介质 |
CN111131216A (zh) * | 2019-12-17 | 2020-05-08 | 云城(北京)数据科技有限公司 | 文件加密、解密方法及装置 |
CN111400735A (zh) * | 2020-03-17 | 2020-07-10 | 北京百度网讯科技有限公司 | 数据传输方法、装置、电子设备及计算机可读存储介质 |
CN111563251A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种终端设备中私密信息的加密方法和相关装置 |
Also Published As
Publication number | Publication date |
---|---|
US20220066659A1 (en) | 2022-03-03 |
US11340801B2 (en) | 2022-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220376910A1 (en) | Encrypted file storage | |
CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
KR101861401B1 (ko) | 장치 기능과 애플리케이션의 결합 | |
CN109587101B (zh) | 一种数字证书管理方法、装置及存储介质 | |
US20110276490A1 (en) | Security service level agreements with publicly verifiable proofs of compliance | |
KR102030858B1 (ko) | 디지털 서명 권한자 의존형 플랫폼 기밀 생성 기법 | |
CN113498589B (zh) | 托管机密管理传输系统和方法 | |
JP6055023B2 (ja) | クラウド環境にデータを保存する情報処理装置、端末装置および保存方法 | |
US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
US9521032B1 (en) | Server for authentication, authorization, and accounting | |
US11063922B2 (en) | Virtual content repository | |
Kotla et al. | Pasture: Secure offline data access using commodity trusted hardware | |
CN111046427A (zh) | 基于区块链的数据访问控制方法、装置、设备和介质 | |
CN111680308B (zh) | 文件共享方法、对共享文件的控制方法及其装置和终端 | |
US20180219843A1 (en) | Management of access sessions | |
WO2022144024A1 (en) | Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization | |
JP5678150B2 (ja) | ユーザ端末、鍵管理システム、及びプログラム | |
US9900294B2 (en) | Key-based access in batch mode | |
US11647020B2 (en) | Satellite service for machine authentication in hybrid environments | |
CN111865916B (zh) | 资源管理方法、装置及电子设备 | |
CN114117460A (zh) | 数据保护方法、装置、电子设备及存储介质 | |
TW202211064A (zh) | 資料保護方法、裝置、電子設備及存儲介質 | |
CN114244565B (zh) | 密钥分发方法、装置、设备及存储介质 | |
US20220311777A1 (en) | Hardening remote administrator access | |
CN116980118A (zh) | 密钥管理方法、装置、计算机程序产品、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: No. 36, North Street, West District, economic and Technological Development Zone, Binhai New Area, Tianjin Applicant after: Fulian precision electronics (Tianjin) Co.,Ltd. Address before: No. 36, North Street, West District, economic and Technological Development Zone, Binhai New Area, Tianjin Applicant before: HONGFUJIN PRECISION ELECTRONICS (TIANJIN) Co.,Ltd. |
|
CB02 | Change of applicant information |