CN114553594B - 保护数据安全的方法以及装置 - Google Patents
保护数据安全的方法以及装置 Download PDFInfo
- Publication number
- CN114553594B CN114553594B CN202210297163.5A CN202210297163A CN114553594B CN 114553594 B CN114553594 B CN 114553594B CN 202210297163 A CN202210297163 A CN 202210297163A CN 114553594 B CN114553594 B CN 114553594B
- Authority
- CN
- China
- Prior art keywords
- key data
- message
- data
- server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000006870 function Effects 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本说明书实施例提供保护数据安全的方法以及装置,其中所述保护数据安全的方法包括:捕获客户端对服务器发送的携带有关键数据的第一消息;对所述关键数据进行加密,得到加密后的关键数据;根据所述第一消息,生成携带有加密后的关键数据的第二消息;将所述第二消息发送给所述服务器,从而服务器接收的是已加密的关键数据,可以保护数据安全,对用户和服务器来说透明无感且成本低,极大增强用户储存在互联网服务提供商的数据安全性,让用户的数据安全可控。
Description
技术领域
本说明书实施例涉及互联网技术领域,特别涉及一种保护数据安全的方法以及装置。
背景技术
随着个人隐私信息保护相关法律法规陆续出台,人们安全意识逐渐增强,但更多的还是依赖互联网服务提供商自身的安全水位,一旦互联网服务提供商的数据安全发生问题,用户个人的数据也会相应受到安全威胁。例如,在云存储服务中,如何确保云存储的技术人员无法获得用户敏感信息,甚至云存储被攻击后,如何确保用户的敏感信息不会被泄露,这都是亟需解决的问题。
发明内容
有鉴于此,本说明书实施例提供了一种保护数据安全的方法。本说明书一个或者多个实施例同时涉及一种保护数据安全的装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种保护数据安全的方法,包括:捕获客户端对服务器发送的携带有关键数据的第一消息;对所述关键数据进行加密,得到加密后的关键数据;根据所述第一消息,生成携带有加密后的关键数据的第二消息;将所述第二消息发送给所述服务器。
可选地,还包括:捕获所述服务器发送的携带有已加密关键数据的第三消息,其中,所述第三消息是所述服务器响应于客户端的数据读取请求向所述客户端发送的;将所述已加密关键数据进行解密,得到解密后的关键数据;将解密后的关键数据发送给所述客户端。
可选地,所述捕获客户端对服务器发送的携带有关键数据的第一消息,包括:捕获客户端对服务器发送的第一消息;解析所述第一消息,获取消息内容;将所述消息内容与预先内置的保密配置信息进行匹配,其中,所述保密配置信息是用于描述所述关键数据的信息;根据匹配结果确定所述第一消息中的关键数据。
可选地,还包括:接收并保存用户设置的保密配置信息。
可选地,所述保密配置信息包括:关键数据操作信息和/或接口信息。
可选地,所述将所述消息内容与预先内置的保密配置信息进行匹配,包括:将所述消息内容与预先内置的用于服务器创建或修改关键数据的接口进行匹配。
可选地,还包括:将用于加/解密所述关键数据的秘钥提供给所述用户。
可选地,所述捕获客户端对服务器发送的携带有关键数据的第一消息,包括:预先使所述客户端的计算机系统信任中间人代理工具提供的数字证书;利用基于所述数字证书的中间人代理工具捕获客户端对服务器发送的携带有关键数据的第一消息。
可选地,在所述捕获客户端对服务器发送的携带有关键数据的第一消息之前,还包括:提供保护数据安全功能的开启和关闭的选项;接收用户对所述选项的设置信息,根据所述设置信息确定保护数据安全功能是否开启;在所述保护数据安全功能开启的情况下,触发进入所述捕获客户端对服务器发送的携带有关键数据的第一消息的步骤。
根据本说明书实施例的第二方面,提供了一种保护数据安全的装置,包括:发送消息捕获模块,被配置为捕获客户端对服务器发送的携带有关键数据的第一消息;数据加密模块,被配置为对所述关键数据进行加密,得到加密后的关键数据;消息生成模块,被配置为根据所述第一消息,生成携带有加密后的关键数据的第二消息;消息发送模块,被配置为将所述第二消息发送给所述服务器。
根据本说明书实施例的第三方面,提供了一种计算设备,包括:存储器和处理器;所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现本说明书任意实施例所述保护数据安全的方法的步骤。
根据本说明书实施例的第四方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现本说明书任意实施例所述保护数据安全的方法的步骤。
本说明书一个实施例实现了保护数据安全的方法,由于该方法捕获客户端对服务器发送的携带有关键数据的第一消息,对所述关键数据进行加密,得到加密后的关键数据,根据所述第一消息,生成携带有加密后的关键数据的第二消息,将所述第二消息发送给所述服务器,从而服务器接收的是已加密的关键数据,可以保护数据安全,对用户和服务器来说透明无感且成本低,极大增强用户储存在互联网服务提供商的数据安全性,让用户的数据安全可控。
附图说明
图1是本说明书一个实施例提供的一种保护数据安全的方法的流程图;
图2是本说明书一个实施例提供的应用保护数据安全的方法的系统架构示意图;
图3是本说明书一个实施例提供的一种保护数据安全的装置的结构示意图;
图4是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
中间人代理工具:基于代理模式的服务工具,实现代理时可以查看甚至修改客户端与远程服务器之间传输的数据。
服务器,是互联网服务提供商为用户提供各类互联网服务的服务器,比如即时通信服务、云计算服务等互联网服务的服务器。
在本说明书中,提供了一种保护数据安全的方法,本说明书同时涉及一种保护数据安全的装置,一种计算设备,以及一种计算机可读存储介质,在下面的实施例中逐一进行详细说明。
参见图1,图1示出了根据本说明书一个实施例提供的一种保护数据安全的方法的流程图,具体包括以下步骤。
步骤102:捕获客户端对服务器发送的携带有关键数据的第一消息。
其中,所述客户端可以是用户终端上运行的任一个或多个客户端。根据本说明书实施例提供的方法实现的保护数据安全的软件可以运行于客户端与服务器之间任一传输节点上。例如,保护数据安全的软件可以安装在客户端运行其上的用户终端,与客户端相对独立地运行,也可以嵌入在客户端内部作为客户端的组成部分运行。再例如,保护数据安全的软件可以运行于交换机上,该交换机可以是用于用户终端向服务器发出访问的交换机。
其中,所述第一消息可以是客户端基于与服务器之间的通信协议如HTTPS协议生成的消息。HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,SecureSocket层上的超文本传输协议),是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
其中,所述关键数据,可以是客户端向远程传输的数据中需要保护的任意数据。例如,所述关键数据可以是文章、照片、音/视频等用户数据。这些用户数据可以在如网盘、网站、即时通信等服务的应用场景中,在客户端与服务器之间传输并存储在服务器中。
需要说明的是,捕获客户端对服务器发送的数据的具体捕获方式不限。例如,所述捕获客户端对服务器发送的携带有关键数据的第一消息,可以包括:预先使所述客户端的计算机系统信任中间人代理工具提供的数字证书;利用基于所述数字证书的中间人代理工具捕获客户端对服务器发送的携带有关键数据的第一消息。中间人代理工具,用于将基于HTTPS加密的数据解开,获取客户端与远程通信的数据。其中,所述数字证书可以是基于CA信任的数字证书。
步骤104:对所述关键数据进行加密,得到加密后的关键数据。
其中,对所述关键数据进行加解密的加解密算法不限。例如,可以采用对称加密算法(比如AES、SM4等)或者非对称加密算法(比如RSA等)。加解密算法可以内置于根据本说明书实施例提供的方法实现的软件中,无需联网,以确保其不会泄露数据。
步骤106:根据所述第一消息,生成携带有加密后的关键数据的第二消息。
其中,生成第二消息的具体实施方式,可以根据第一消息所基于的传输协议对应设置。例如,第一消息是客户端向服务器发送的用于创建文章的第一创建消息,则可以在对该文章加密后,根据第一消息所基于的传输协议,生成用于创建加密后的文章的第二创建消息。
步骤108:将所述第二消息发送给所述服务器。
例如,服务器在接收到所述第二消息后,可以从第二消息中获取加密后的关键数据并保存。
由于该方法捕获客户端对服务器发送的携带有关键数据的第一消息,对所述关键数据进行加密,得到加密后的关键数据,根据所述第一消息,生成携带有加密后的关键数据的第二消息,将所述第二消息发送给所述服务器,从而用户使用服务器提供的服务时可以保护数据安全,对用户和服务器来说透明无感且成本低,极大增强用户储存在互联网服务提供商的数据安全性,让用户的数据安全可控。
为了便于用户使用关键数据,本说明书一个或多个实施例中,所述方法还可以包括:捕获所述服务器发送的携带有已加密关键数据的第三消息,其中,所述第三消息是所述服务器响应于客户端的数据读取请求向所述客户端发送的;将所述已加密关键数据进行解密,得到解密后的关键数据;将解密后的关键数据发送给所述客户端。
其中,所述已加密关键数据是根据本说明书实施例提供的方法发送并保存在服务器上的,也即上述通过第二消息发送给服务器的加密后的关键数据,服务器无法对该已加密关键数据进行解密,只能保存或转发,有效保护了关键数据的安全。其中,解密所采用的算法可以与加密采用的算法相对应,例如,可以使用对称加密算法中的解密算法。解密后的关键数据可以通过消息传递的方式发送给客户端,也可以通过写入本地指定地址的方式发送给客户端,本说明书实施例提供的方法对此并不进行限制。
例如,在网盘、网站、即时通信等服务的应用场景中,用户有时需要使用客户端获取服务器存储的如文章、照片、音/视频等关键数据。根据本说明书实施例提供的方法,这些关键数据以加密的形式存储在服务器中,服务器发送出来时是加密的状态。因此,根据上述实施例,可以捕获服务器发送的消息,对消息携带的关键数据解密后再发送给客户端,如将解密后的文章、照片、音/视频等用户数据发送给客户端,客户端可以直接提供给用户使用,从而用户对保护数据安全的功能透明无感,避免了用户解密等额外操作,提高用户体验。
另外,可以根据应用场景实际需要,准确地对某一个或多个服务的关键数据进行加解密。例如,可以预先设置用于描述所述关键数据的保密配置信息,进而利用保密配置信息准确地筛选出需要进行安全保护的关键数据以便进行加解密。因此,所述捕获客户端对服务器发送的携带有关键数据的第一消息,可以包括:捕获客户端对服务器发送的第一消息;解析所述第一消息,获取消息内容;将所述消息内容与预先内置的保密配置信息进行匹配,其中,所述保密配置信息是用于描述所述关键数据的信息;根据匹配结果确定所述第一消息中的关键数据。在该实施例中,可以根据关键数据对应的关键字、项目类型或服务类型等信息设置保密配置信息,通过保密配置信息过滤传输的数据来精准定位需要加解密的场景,提供精准的保护数据安全的服务。
其中,所述保密配置信息可以是本说明书实施例提供的方法实现的软件在安装时已写入的信息,也可以是允许用户灵活设置的信息。因此,所述方法还可以包括:接收并保存用户设置的保密配置信息。
其中,所述保密配置信息的具体内容不限,只要能描述关键数据的信息即可。例如,所述保密配置信息可以包括:关键数据操作信息和/或接口信息。
例如,以所述保密配置信息为关键数据操作信息为例,所述保密配置信息可以为“保存图像数据”、“创建文章”、“修改文章”等对关键数据操作的信息。例如,在网盘存储的应用场景中,保密配置信息可以设置为对图像数据操作这样的关键数据操作信息。当用户需要上传数据到网盘时,根据上述实施例提供的方法,可以将用户要上传的数据与“图像数据”进行匹配,确定用户要上传的数据中是否有图像数据,如果有,则对图像数据进行加密,将加密后的图像数据发送给服务器。如果用户要上传的数据中还有其他类型的数据,则可以不对其他类型的数据加密,仍然按照客户端发出时的明文状态发送给服务器。
再例如,以所述保密配置信息为接口信息为例,所述将所述消息内容与预先内置的保密配置信息进行匹配,可以包括:将所述消息内容与预先内置的用于服务器创建或修改关键数据的接口进行匹配;根据匹配结果确定所述消息是否为携带有关键数据的第一消息。例如,在知识库服务的应用场景中,保密配置信息可以设置为创建或修改文章的接口。当用户需要上传数据到知识库时,根据上述实施例提供的方法,可以将用户上传数据对应的接口与创建或修改文章的接口进行匹配,如果匹配结果确定是创建或修改文章的接口,则对创建或修改的文章进行加密,将加密后的文章发送给服务器。
另外,所述方法还可以包括:将用于加/解密所述关键数据的秘钥提供给所述用户。通过该实施例,可以将用于加/解密的秘钥通过本地生成提供给用户以免客户端设备丢失导致数据无法查看。
为了便于用户灵活选择是否根据本说明书实施例提供的方法保护数据安全,所述方法在所述捕获客户端对服务器发送的携带有关键数据的第一消息之前,还可以包括:提供保护数据安全功能的开启和关闭的选项;接收用户对所述选项的设置信息,根据所述设置信息确定保护数据安全功能是否开启;在所述保护数据安全功能开启的情况下,触发进入所述捕获客户端对服务器发送的携带有关键数据的第一消息的步骤。相应地,在所述保护数据安全功能关闭的情况下,则停止捕获客户端与服务器之间传输的数据,不捕获数据自然也不对客户端向远程服务器发出的数据加密、不对服务器向客户端发出的数据解密。例如,可以在用户使用本说明书实施例提供的方法实现的软件时,或者使用嵌入了该软件的客户端时,在软件或客户端的设置页面显示保护数据安全功能的开启和关闭的选项。用户可以使用选项选择开启或关闭保护数据安全功能。
下述结合附图2,在基于CA信任的系统级中间人代理的基础上实现本说明书提供的保护数据安全的方法为例,对所述保护数据安全的方法进行进一步说明。其中,系统级中间人代理是指终端整个系统对中间人代理的信任。
其中,图2示出了本说明书一个实施例提供的应用保护数据安全的方法的系统架构示意图。如图2所示,客户端本地可以安装本地透明加密模块,所述本地透明加密模块是根据本说明书实施例提供的方法基于CA信任的系统级中间人代理实现的。
其中,客户端的浏览器或应用,可以用于访问服务器以创建或修改数据,访问服务器以读取数据。
本地透明加密模块,可以用于捕获客户端对服务器发送的消息,如果该消息对应的接口是创建或修改关键数据的接口,则进行关键数据本地加密。例如,在远程服务器提供知识库服务的场景中,创建或修改关键数据的消息例如可以是创建新的文章的消息。另外,该模块还可以用于捕获服务器对客户端发送的消息,针对服务器对读数据接口反馈的关键数据进行数据本地解密。结合知识库服务的场景,读数据接口可以是查看文章内容的接口。
另外,本地透明加密模块,还可以提供管控台以显示开启或关闭选项、显示保密配置信息的输入区,以便用户进行灵活设置。例如,用户可以在保密配置信息的输入区输入某个远程服务的接口信息,以对某个远程服务开启加解密服务的信息。
远程服务器,可以是提供任一个或多个远程服务的服务器。例如,知识库服务、云存储服务、即时通信服务等任一个或多个服务的服务器。其中,知识库服务中可以包括发表文章、备忘录、待办等功能。云存储服务例如可以表现为网盘存储等服务。
以知识库服务的应用场景为例,用户通常会使用知识库服务记录大量敏感信息,包括文字和图片等。为了避免研发运维等技术人员通过一些手段获取用户的明文敏感信息,可以利用本说明书实施例提供的方法保护知识库服务的用户的敏感信息。知识库服务的服务器无法获取用户的敏感信息的明文。这样,即使入侵后,黑客也无法获取用户的敏感信息的明文,云存储的技术人员也无法获得用户的敏感信息的明文,有效保护知识库服务的用户的数据安全。
可见,结合上述多个实施例,客户端本地的中间人代理可以对客户端与服务器之间关键数据修改和查看的接口劫持并对关键数据进行加解密,从而储存在服务器的数据是加密后的数据,其他人无法从服务器获取关键数据的明文信息。对于用户来说,所增加的成本只需要安装根据本说明书实施例提供的方法实现的软件,各个互联网服务提供商的网页或软件可以按照原来的习惯正常使用,达到用户和服务器无感的效果。一些实施例中,还可以由系统默认或用户提前内置好各个互联网服务提供商的关键数据操作和查看的API地址,从而可以对该地址的关键数据进行透明加解密能力,实现用户无感的加解密服务,极大增强了用户储存在互联网服务提供商的数据安全性,并且该方法的通用性较强,可适用于任何互联网服务。
与上述方法实施例相对应,本说明书还提供了保护数据安全的装置实施例,图3示出了本说明书一个实施例提供的一种保护数据安全的装置的结构示意图。如图3所示,该装置包括:
发送消息捕获模块302,可以被配置为捕获客户端对服务器发送的携带有关键数据的第一消息。
数据加密模块304,可以被配置为对所述关键数据进行加密,得到加密后的关键数据。
消息生成模块306,可以被配置为根据所述第一消息,生成携带有加密后的关键数据的第二消息。
消息发送模块308,可以被配置为将所述第二消息发送给所述服务器。
由于该装置捕获客户端对服务器发送的携带有关键数据的第一消息,对所述关键数据进行加密,得到加密后的关键数据,根据所述第一消息,生成携带有加密后的关键数据的第二消息,将所述第二消息发送给所述服务器,从而用户使用服务器提供的服务时,服务器上保存的是已加密的关键数据,可以保护数据安全,对用户和服务器来说透明无感且成本低,极大增强用户储存在互联网服务提供商的数据安全性,让用户的数据安全可控。
本说明书另一个实施例提供了一种保护数据安全的装置。所述装置还可以包括:
接收消息捕获模块,可以被配置为捕获所述服务器发送的携带有已加密关键数据的第三消息,其中,所述第三消息是所述服务器响应于客户端的数据读取请求向所述客户端发送的。
数据解密模块,可以被配置为将所述已加密关键数据进行解密,得到解密后的关键数据。
数据发送模块,可以被配置为将解密后的关键数据发送给所述客户端。
在该实施例中,通过将解密后的关键数据发送给客户端,更加便于用户使用关键数据,避免用户进行解密等额外操作,提高用户体验。
另外,可以根据应用场景实际需要,准确地对某一个或多个服务的关键数据进行加解密。
例如,所述装置中的发送消息捕获模块302,可以包括:
消息捕获子模块,可以被配置为捕获客户端对服务器发送的第一消息。
消息解析子模块,可以被配置为解析所述第一消息,获取消息内容。
配置匹配子模块,可以被配置为将所述消息内容与预先内置的保密配置信息进行匹配,其中,所述保密配置信息是用于描述所述关键数据的信息。
数据确定子模块,可以被配置为根据匹配结果确定所述第一消息中的关键数据。
在该实施例中,可以根据关键数据对应的关键字、项目类型或服务类型等信息设置保密配置信息,通过保密配置信息过滤传输的数据来精准定位需要加解密的场景,提供精准的保护数据安全的服务。
本说明书一个或多个实施例中,所述装置还可以包括:配置接收模块,可以被配置为接收并保存用户设置的保密配置信息,从而用户可以灵活设置需要进行数据保护的场景。
其中,所述保密配置信息的具体内容不限,只要能描述关键数据的信息即可。例如,所述保密配置信息可以包括:关键数据操作信息和/或接口信息。
以所述保密配置信息为接口信息为例,所述配置匹配子模块,可以被配置为将所述消息内容与预先内置的用于服务器创建或修改关键数据的接口进行匹配。
另外,为了避免客户端设备丢失导致数据无法查看,所述装置还可以包括:秘钥提供模块,可以被配置为将用于加/解密所述关键数据的秘钥提供给所述用户。
需要说明的是,捕获客户端对服务器发送的数据的具体捕获方式不限。例如,所述发送消息捕获模块302,可以被配置为预先使所述客户端的计算机系统信任中间人代理工具提供的数字证书,利用基于所述数字证书的中间人代理工具捕获客户端对服务器发送的携带有关键数据的第一消息。
为了便于用户灵活选择是否根据本说明书实施例提供的方法保护数据安全,所述装置还可以包括:
功能开关提供模块,可以被配置为在所述发送消息捕获模块302捕获客户端对服务器发送的携带有关键数据的第一消息之前,提供保护数据安全功能的开启和关闭的选项。
开关设置接收模块,可以被配置为接收用户对所述选项的设置信息,根据所述设置信息确定保护数据安全功能是否开启。
开关触发执行模块,可以被配置为在所述保护数据安全功能开启的情况下,触发所述发送消息捕获模块进入所述捕获客户端对服务器发送的携带有关键数据的第一消息的步骤。
上述为本实施例的一种保护数据安全的装置的示意性方案。需要说明的是,该保护数据安全的装置的技术方案与上述的保护数据安全的方法的技术方案属于同一构思,保护数据安全的装置的技术方案未详细描述的细节内容,均可以参见上述保护数据安全的方法的技术方案的描述。
图4示出了根据本说明书一个实施例提供的一种计算设备400的结构框图。该计算设备400的部件包括但不限于存储器410和处理器420。处理器420与存储器410通过总线430相连接,数据库450用于保存数据。
计算设备400还包括接入设备440,接入设备440使得计算设备400能够经由一个或多个网络460通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备440可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备400的上述部件以及图4中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图4所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备400可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备400还可以是移动式或静止式的服务器。
其中,处理器420用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述保护数据安全的方法的步骤。
捕获客户端对服务器发送的携带有关键数据的第一消息;
对所述关键数据进行加密,得到加密后的关键数据;
根据所述第一消息,生成携带有加密后的关键数据的第二消息;
将所述第二消息发送给所述服务器。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的保护数据安全的方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述保护数据安全的方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述保护数据安全的方法的步骤。
捕获客户端对服务器发送的携带有关键数据的第一消息;
对所述关键数据进行加密,得到加密后的关键数据;
根据所述第一消息,生成携带有加密后的关键数据的第二消息;
将所述第二消息发送给所述服务器。
需要说明的是,该存储介质的技术方案与上述的保护数据安全的方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述保护数据安全的方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述保护数据安全的方法的步骤。
捕获客户端对服务器发送的携带有关键数据的第一消息;
对所述关键数据进行加密,得到加密后的关键数据;
根据所述第一消息,生成携带有加密后的关键数据的第二消息;
将所述第二消息发送给所述服务器。
需要说明的是,该计算机程序的技术方案与上述的保护数据安全的方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述保护数据安全的方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (10)
1.一种保护数据安全的方法,包括:
利用基于数字证书的中间代理人工具捕获客户端对服务器发送的携带有关键数据的第一消息,其中,所述数字证书是基于CA信任的数字证书;
解析所述第一消息,获取消息内容,其中,所述消息内容包括用户上传所述关键数据对应的接口;
将所述消息内容与预先内置的保密配置信息进行匹配,其中,所述保密配置信息是用于描述所述关键数据的信息,所述保密配置信息包括关键数据操作信息和接口信息,所述关键数据操作信息包括预设数据类型,所述接口信息包括创建或修改所述关键数据的接口;
根据匹配结果确定所述第一消息中的关键数据,其中,所述匹配结果包括:所述关键数据的类型与所述预设数据类型相同、以及用户上传所述关键数据的接口与创建或修改所述关键数据的接口相匹配;
对所述关键数据进行加密,得到加密后的关键数据;
根据所述第一消息,生成携带有加密后的关键数据的第二消息;
将所述第二消息发送给所述服务器。
2.根据权利要求1所述的方法,还包括:
捕获所述服务器发送的携带有已加密关键数据的第三消息,其中,所述第三消息是所述服务器响应于客户端的数据读取请求向所述客户端发送的;
将所述已加密关键数据进行解密,得到解密后的关键数据;
将解密后的关键数据发送给所述客户端。
3.根据权利要求1所述的方法,还包括:
接收并保存用户设置的保密配置信息。
4.根据权利要求1所述的方法,所述将所述消息内容与预先内置的保密配置信息进行匹配,包括:
将用户上传所述关键数据的接口与预先内置的用于服务器创建或修改关键数据的接口进行匹配。
5.根据权利要求1所述的方法,还包括:
将用于加/解密所述关键数据的秘钥提供给用户。
6.根据权利要求1所述的方法,所述利用基于数字证书的中间人代理工具捕获客户端对服务器发送的第一消息,包括:
预先使所述客户端的计算机系统信任中间人代理工具提供的数字证书;
利用基于所述数字证书的中间人代理工具捕获客户端对服务器发送的携带有关键数据的第一消息。
7.根据权利要求1所述的方法,在所述利用基于数字证书的中间人代理工具捕获客户端对服务器发送的第一消息之前,还包括:
提供保护数据安全功能的开启和关闭的选项;
接收用户对所述选项的设置信息,根据所述设置信息确定保护数据安全功能是否开启;
在所述保护数据安全功能开启的情况下,触发进入所述捕获客户端对服务器发送的携带有关键数据的第一消息的步骤。
8.一种保护数据安全的装置,包括:
发送消息捕获模块,被配置为利用基于数字证书的中间人代理工具捕获客户端对服务器发送的携带有关键数据的第一消息,其中,所述数字证书是基于CA信任的数字证书;解析所述第一消息,获取消息内容,其中,所述消息内容包括用户上传所述关键数据对应的接口;将所述消息内容与预先内置的保密配置信息进行匹配,其中,所述保密配置信息是用于描述所述关键数据的信息,所述保密配置信息包括关键数据操作信息和接口信息,所述关键数据操作信息包括预设数据类型,所述接口信息包括创建或修改所述关键数据的接口;根据匹配结果确定所述第一消息中的关键数据,其中,所述匹配结果包括:所述关键数据的类型与所述预设数据类型相同、以及用户上传所述关键数据的接口与创建或修改所述关键数据的接口相匹配;
数据加密模块,被配置为对所述关键数据进行加密,得到加密后的关键数据;
消息生成模块,被配置为根据所述第一消息,生成携带有加密后的关键数据的第二消息;
消息发送模块,被配置为将所述第二消息发送给所述服务器。
9.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至7任意一项所述保护数据安全的方法的步骤。
10.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至7任意一项所述保护数据安全的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210297163.5A CN114553594B (zh) | 2022-03-24 | 2022-03-24 | 保护数据安全的方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210297163.5A CN114553594B (zh) | 2022-03-24 | 2022-03-24 | 保护数据安全的方法以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553594A CN114553594A (zh) | 2022-05-27 |
| CN114553594B true CN114553594B (zh) | 2024-05-14 |
Family
ID=81664817
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210297163.5A Active CN114553594B (zh) | 2022-03-24 | 2022-03-24 | 保护数据安全的方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553594B (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026844A (zh) * | 2007-03-29 | 2007-08-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种具有信息保密功能的移动终端及保密方法 |
| US7506368B1 (en) * | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| CN103701775A (zh) * | 2013-12-04 | 2014-04-02 | 中国科学院深圳先进技术研究院 | 一种抵御流量分析的发送、接收数据的方法、装置 |
| CN104468562A (zh) * | 2014-12-03 | 2015-03-25 | 南京信息工程大学 | 一种面向移动应用透明的数据安全保护便携式终端 |
| CN104852925A (zh) * | 2015-05-28 | 2015-08-19 | 江南大学 | 移动智能终端数据防泄漏安全存储、备份方法 |
| US9203815B1 (en) * | 2013-11-27 | 2015-12-01 | Symantec Corporation | Systems and methods for secure third-party data storage |
| CN105516157A (zh) * | 2015-12-16 | 2016-04-20 | 上海交通大学 | 基于独立加密的网络信息安全输入系统和方法 |
| CN105740717A (zh) * | 2016-01-29 | 2016-07-06 | 四川效率源信息安全技术股份有限公司 | 一种基于加密分区进行电子数据文件保护的方法和装置 |
| CN106330869A (zh) * | 2016-08-15 | 2017-01-11 | 江苏敏捷科技股份有限公司 | 一种基于云应用的数据安全保护系统和方法 |
| CN108134671A (zh) * | 2018-02-07 | 2018-06-08 | 浙江神州量子通信技术有限公司 | 一种基于量子真随机数的透明加密系统及其加解密方法 |
| CN110768940A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 基于https协议密文数据管控方法、系统及相关装置 |
| CN111034150A (zh) * | 2017-07-24 | 2020-04-17 | 向心网络公司 | 高效ssl/tls代理 |
| CN111212048A (zh) * | 2019-12-26 | 2020-05-29 | 北京安码科技有限公司 | https协议实时监控方法、系统、电子设备及存储介质 |
| CN112699399A (zh) * | 2021-03-22 | 2021-04-23 | 阿里云计算有限公司 | 加密数据库系统、实现加密数据库系统的方法以及装置 |
| US11050723B1 (en) * | 2018-12-29 | 2021-06-29 | Whatsapp Inc. | Methods and systems for transmitting anonymized information |
| CN113626836A (zh) * | 2021-07-09 | 2021-11-09 | 中国科学院信息工程研究所 | 一种基于lsm的对称可搜索加密方法及系统 |
| CN113992432A (zh) * | 2021-12-24 | 2022-01-28 | 南京中孚信息技术有限公司 | 消息处理方法、消息总线系统、计算机设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8135948B2 (en) * | 2006-01-27 | 2012-03-13 | Imperva, Inc. | Method and system for transparently encrypting sensitive information |
| US8214635B2 (en) * | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| US8631460B2 (en) * | 2011-03-23 | 2014-01-14 | CipherPoint Software, Inc. | Systems and methods for implementing transparent encryption |
| US9961103B2 (en) * | 2014-10-28 | 2018-05-01 | International Business Machines Corporation | Intercepting, decrypting and inspecting traffic over an encrypted channel |
-
2022
- 2022-03-24 CN CN202210297163.5A patent/CN114553594B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7506368B1 (en) * | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| CN101026844A (zh) * | 2007-03-29 | 2007-08-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种具有信息保密功能的移动终端及保密方法 |
| US9203815B1 (en) * | 2013-11-27 | 2015-12-01 | Symantec Corporation | Systems and methods for secure third-party data storage |
| CN103701775A (zh) * | 2013-12-04 | 2014-04-02 | 中国科学院深圳先进技术研究院 | 一种抵御流量分析的发送、接收数据的方法、装置 |
| CN104468562A (zh) * | 2014-12-03 | 2015-03-25 | 南京信息工程大学 | 一种面向移动应用透明的数据安全保护便携式终端 |
| CN104852925A (zh) * | 2015-05-28 | 2015-08-19 | 江南大学 | 移动智能终端数据防泄漏安全存储、备份方法 |
| CN105516157A (zh) * | 2015-12-16 | 2016-04-20 | 上海交通大学 | 基于独立加密的网络信息安全输入系统和方法 |
| CN105740717A (zh) * | 2016-01-29 | 2016-07-06 | 四川效率源信息安全技术股份有限公司 | 一种基于加密分区进行电子数据文件保护的方法和装置 |
| CN106330869A (zh) * | 2016-08-15 | 2017-01-11 | 江苏敏捷科技股份有限公司 | 一种基于云应用的数据安全保护系统和方法 |
| CN111034150A (zh) * | 2017-07-24 | 2020-04-17 | 向心网络公司 | 高效ssl/tls代理 |
| CN108134671A (zh) * | 2018-02-07 | 2018-06-08 | 浙江神州量子通信技术有限公司 | 一种基于量子真随机数的透明加密系统及其加解密方法 |
| CN110768940A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 基于https协议密文数据管控方法、系统及相关装置 |
| US11050723B1 (en) * | 2018-12-29 | 2021-06-29 | Whatsapp Inc. | Methods and systems for transmitting anonymized information |
| CN111212048A (zh) * | 2019-12-26 | 2020-05-29 | 北京安码科技有限公司 | https协议实时监控方法、系统、电子设备及存储介质 |
| CN112699399A (zh) * | 2021-03-22 | 2021-04-23 | 阿里云计算有限公司 | 加密数据库系统、实现加密数据库系统的方法以及装置 |
| CN113626836A (zh) * | 2021-07-09 | 2021-11-09 | 中国科学院信息工程研究所 | 一种基于lsm的对称可搜索加密方法及系统 |
| CN113992432A (zh) * | 2021-12-24 | 2022-01-28 | 南京中孚信息技术有限公司 | 消息处理方法、消息总线系统、计算机设备及存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| 一种面向消息的安全传输中间件模型;汪林林;肖常俊;张学旺;;计算机科学;20070725(第07期);全文 * |
| 基于国密算法的即时通信加密软件系统的设计与实现;奚宇航;黄一平;苏检德;王淑沛;;计算机应用与软件;20200612(第06期);全文 * |
| 安全开发之HTTPS中间人攻击漏洞;柳强;;计算机与网络(21);全文 * |
| 适用于网络内容审计的SSL/TLS保密数据高效明文采集方法;董海韬;田静;杨军;叶晓舟;宋磊;;计算机应用(10);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553594A (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10826701B2 (en) | Providing low risk exceptional access | |
| US11363454B2 (en) | Providing low risk exceptional access with verification of device possession | |
| US9813247B2 (en) | Authenticator device facilitating file security | |
| EP4002751A1 (en) | Computer system, device, and method for securing sensitive data in the cloud | |
| US20160248734A1 (en) | Multi-Wrapped Virtual Private Network | |
| CN112287372B (zh) | 用于保护剪贴板隐私的方法和装置 | |
| US20160321459A1 (en) | Method for accessing a data memory of a cloud computer system | |
| CN113301431A (zh) | 视频数据的加解密方法、装置、电子设备及系统 | |
| CN113343212A (zh) | 设备注册方法及装置、电子设备和存储介质 | |
| CN113656713B (zh) | 一种网络资源处理方法、装置及系统 | |
| CN115277117A (zh) | 文件查看方法、装置、电子设备以及存储介质 | |
| CN109120576B (zh) | 数据分享方法及装置、计算机设备及存储介质 | |
| CN114553594B (zh) | 保护数据安全的方法以及装置 | |
| CN103997730A (zh) | 一种加密数据的解密复制粘贴方法 | |
| CN112149177B (zh) | 一种网络信息安全的双向保护方法和系统 | |
| KR20160123416A (ko) | 정보 보안 장치 및 이의 정보 보안 방법, 단말기 및 이를 구비한 네트워크 시스템 | |
| Bala | WhatsApp forensics and its challenges for android smartphone | |
| US20160063264A1 (en) | Method for securing a plurality of contents in mobile environment, and a security file using the same | |
| CN110417638B (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
| US20200351088A1 (en) | System and method for managing certification for webpage service system | |
| GB2566043A (en) | A method of displaying content on a screen of an electronic processing device | |
| CN107318148B (zh) | 无线局域网接入信息存储方法及装置 | |
| CN114218536A (zh) | 一种资源请求方法及系统 | |
| CN115643052A (zh) | 数据加密方法、解密方法、装置、系统、设备及存储介质 | |
| CN113591105A (zh) | 一种基于区块链的大数据分析方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |