CN114912131A - 数据加密方法、系统以及电子设备 - Google Patents
数据加密方法、系统以及电子设备 Download PDFInfo
- Publication number
- CN114912131A CN114912131A CN202210411762.5A CN202210411762A CN114912131A CN 114912131 A CN114912131 A CN 114912131A CN 202210411762 A CN202210411762 A CN 202210411762A CN 114912131 A CN114912131 A CN 114912131A
- Authority
- CN
- China
- Prior art keywords
- authentication
- information
- data
- write
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000004048 modification Effects 0.000 claims abstract description 37
- 238000012986 modification Methods 0.000 claims abstract description 37
- 230000004044 response Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 230000003993 interaction Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
- G06F21/1078—Logging; Metering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种数据加密方法、系统以及电子设备。通过对系统进行基础认证,确保系统的正确性,对内核进行系统辅助认证,将系统辅助验证与对内核进行的系统验证相结合,验证内核的安全性,这种方式能达到系统与内核互相检验的效果,加强了内核与系统的可靠性。赋予持有特定ukey的用户修改权,保证了访问者的安全性。进一步地,在建立写入任务时,将写入任务信息进行加密,避免了在建立任务时恶意攻击和篡改问题,在进行写入任务时,将重要数据通过客户端和服务端进行双重加密,增大数据破译难度,确保了数据的准确性和安全性。
Description
技术领域
本申请涉及数据加密技术领域,尤其涉及一种数据加密方法、系统以及电子设备。
背景技术
随着数据加密技术的发展,人们不光要从操作系统上抵御恶意攻击,还需要在计算机底层的内核上建立防御机制,现有技术中仅仅在用户访问和系统启动时建立防御机制,无法保证内核和系统的安全,此外,在对系统进行读取和写入时,当前技术只通过内核或者仅在客户端进行数据加密,这种方法可能导致数据在网络传输中被截获,无法保证读写过程中数据的安全。
发明内容
有鉴于此,本申请的目的在于提出一种数据加密方法、系统以及电子设备。
基于上述目的,在第一方面,本申请提供了一种数据加密方法,应用于服务端,所述方法包括:
响应于系统启动,对系统进行基础认证,对内核进行系统认证;
响应于所述基础认证通过,得到系统认证正确信息,根据所述系统正确认证信息对所述内核进行系统辅助认证;
响应于所述系统认证和所述系统辅助认证通过,验证是否为持有特定ukey的根用户登录;响应于为持有特定ukey的根用户登录,赋予所述根用户修改权,以使所述根用户利用所述修改权进行数据加密写入;
接收所述客户端发送的加密写入任务信息,对所述加密写入任务信息进行解密,得到解密后的写入任务信息,根据所述解密后的写入任务信息生成任务写入回执,将所述任务写入回执发送到客户端;
接收客户端发送的第一数据密文;其中,所述第一数据密文是所述客户端的根用户利用所述修改权进行数据加密写入得到的;
对所述第一数据密文进行加密,得到并存储第二数据密文。
可选的,所述方法还包括:
接收所述客户端发送的加密读取任务信息,对所述加密读取任务信息进行解密,得到解密后的读取任务信息,根据所述解密后的读取任务信息调取第二数据密文,对所述第二数据密文进行解密,得到所述第一数据密文,并将所述第一数据密文发送到客户端。
可选的,所述对系统进行基础认证,包括:
获取基础信息,将所述基础信息与预存基础信息进行匹配;
响应于所述基础信息与所述预存基础信息匹配,基础认证通过。
可选的,所述对内核进行系统认证,包括:
获取系统认证身份信息,将所述系统认证身份信息与预存系统认证身份信息进行匹配;
响应于所述系统认证身份信息与所述预存系统认证身份信息匹配,系统认证通过。
可选的,所述方法还包括:
获取系统认证身份信息发送时间差,响应于在所述系统认证身份信息发送时间差内没有获取到所述系统认证身份信息,触发报警并关闭系统。
可选的,所述方法还包括:
响应于不是持有特定ukey的根用户登录,重新验证是否为持有特定ukey的根用户登录,直至确认为持有特定ukey的根用户登录。
本申请提供的数据加密方法,应用于客户端,所述方法包括:
将写入任务信息进行加密,得到加密写入任务信息,并将所述加密写入任务信息发送到服务端;
响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将所述第一数据密文发送到服务端。
可选的,所述方法还包括:
将读取任务信息进行加密,得到加密读取任务信息,并将所述加密读取任务信息发送到服务端;
响应于接收到服务端发送的第一数据密文,根用户利用修改权对所述第一数据密文进行解密,得到第一数据明文。
在第二方面,本申请提供一种数据加密系统,所述系统包括:服务端和客户端;
服务端,被配置为:响应于系统启动,对系统进行基础认证,对内核进行系统认证;响应于所述基础认证通过,得到系统认证正确信息,根据所述系统正确认证信息对所述内核进行系统辅助认证;响应于所述系统认证和所述系统辅助认证通过,验证是否为持有特定ukey的根用户登录;响应于为持有特定ukey的根用户登录,赋予所述根用户修改权,以使所述根用户利用所述修改权进行数据加密写入;接收所述客户端发送的加密写入任务信息,对所述加密写入任务信息进行解密,得到解密后的写入任务信息,根据所述解密后的写入任务信息生成任务写入回执,将所述任务写入回执发送到客户端;接收客户端发送的第一数据密文;其中,所述第一数据密文是所述客户端的根用户利用所述修改权进行数据加密写入得到的;对所述第一数据密文进行加密,得到并存储第二数据密文;
客户端,被配置为:将写入任务信息进行加密,得到加密写入任务信息,并将所述加密写入任务信息发送到服务端;响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将所述第一数据密文发送到服务端。
在第三方面,本申请还提供一种电子设备,包括存储器、处理器及存
储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任意一项所述的数据加密方法。
从上面所述可以看出,本申请提供的数据加密方法、系统以及电子设备,对系统进行基础认证,确保系统的正确性,对内核进行系统辅助认证,将系统辅助验证与对内核进行的系统验证相结合,验证内核的安全性,这种方式能达到系统与内核互相检验的效果,加强了内核与系统的可靠性。赋予持有特定ukey的用户修改权,保证了访问者的安全性。进一步地,在建立写入任务时,将写入任务信息进行加密,避免了在建立任务时恶意攻击和篡改问题,在进行写入任务时,将重要数据通过客户端和服务端进行双重加密,增大数据破译难度,确保了数据的准确性和安全性。
附图说明
为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的数据加密方法应用于服务端的流程示意图。
图2为本申请实施例的数据加密方法应用于客户端的流程示意图。
图3为本申请实施例的数据加密方法的系统和内核认证以及根用户授权流程示意图。
图4为本申请实施例的数据加密方法的客户端和服务端交互流程示意图。
图5为本申请实施例的数据加密系统示意图。
图6为本申请实施例的电子设备示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,随着信息技术的发展,信息系统中系统盘操作的安全性和防止数据泄露的问题变得越来越重要,因此,需要采用更安全有效的方法对系统和内核进行安全验证,此外,在对系统盘的读写过程中,也需要对数据进行进一步加密。
针对于此,本申请提供的数据加密方法、系统以及电子设备,对系统进行基础认证,确保系统的正确性,对内核进行系统辅助认证,将系统辅助验证与对内核进行的系统验证相结合,验证内核的安全性,这种方式能达到系统与内核互相检验的效果,加强了内核与系统的可靠性。赋予持有特定ukey的用户修改权,保证了访问者的安全性。进一步地,在建立写入任务时,将写入任务信息进行加密,避免了在建立任务时恶意攻击和篡改问题,在进行写入任务时,将重要数据通过客户端和服务端进行双重加密,增大数据破译难度,确保了数据的准确性和安全性。
下面通过具体的实施例来对本申请实施例所提供的数据加密方法进行具体说明。
参考图1,为本申请实施例的数据加密方法应用于服务端的流程示意图
步骤S101,响应于系统启动,对系统进行基础认证,对内核进行系统认证。
在具体实施中,如果服务器被非法篡改基础配置,那么系统中的数据的安全性将会受到威胁,因此,本申请提供的数据加密方法,在进行数据加密写入或读取之前,需要对系统进行基础认证,以确保数据系统环境的可靠性。
内核也称BIOS内核,是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置的具体信息。
具体地,服务器系统启动后,系统后台获取基础信息,其中,基础信息包括但不限于有BIOS信息、内核信息、板载网卡mac信息和系统盘ID,将系统后台获取到的基础信息与与预存基础信息进行匹配,其中,预存基础信息包括但不限于有密文记录的BIOS信息、密文记录的内核信息、密文记录的板载网卡mac信息和密文记录的系统盘ID。如果基础信息与预存基础信息匹配,可以认为基础认证通过。如果基础信息与预存基础信息不匹配,则立即触发报警机制,同时关闭服务器系统。
同样地,如果内核磁盘受到恶意拷贝等破坏,也无法保障内核中数据的安全性,因此,在进行数据加密写入或读取之前,需要对内核进行系统认证,以确保数据内核环境的可靠性。
具体地,服务器系统启动后,内核等待系统发送系统认证身份信息,其中,系统认证身份信息包括但不限于有系统的特定ID,将内核获取到的系统认证身份信息与预存系统认证身份信息进行匹配,其中,预存系统认证身份信息包括但不限于有密文记录的系统的特定ID。如果系统认证身份信息与预存系统认证身份信息匹配,可以认为系统认证通过。如果系统认证身份信息与预存系统认证身份信息不匹配,则立即触发报警机制,同时关闭服务器系统。
步骤S102,响应于所述基础认证通过,得到系统认证正确信息,根据所述系统正确认证信息对所述内核进行系统辅助认证。
在本步骤中,当基础认证通过,可以确认此时数据系统环境是安全正确的,系统根据自身认证正确的信息,对内核环境进行系统辅助认证,其目的是确保此时内核处于一个安全的系统环境中,具体操作可以是向内核发送系统认证正确信号,以使内核确认此时系统已经认证成功。
需要说明的是,内核接收到系统发送的系统认证正确信号,还需要进一步根据自身存储的系统信息进行确认,若内核判断接收到的系统认证正确信号与实际配置环境不符,则立即触发报警机制,同时关闭服务器系统,以此达到系统验证内核-内核验证系统的双重验证机制。
步骤S103,响应于所述系统认证和所述系统辅助认证通过,验证是否为持有特定ukey的根用户登录;响应于为持有特定ukey的根用户登录,赋予所述根用户修改权,以使所述根用户利用所述修改权进行数据加密写入。
在具体实施中,得到系统认证正确信息就表示基础认证通过,进一步进行对内核的系统辅助认证,当对内核的系统认证和系统辅助认证都通过,才可以确保数据的系统环境和内核环境都是安全的。
需要说明的是,根用户,也称root用户,是Unix(如Solaris、AIX、BSD)和类UNIX系统(如Linux、QNX等),及Android和iOS移动设备系统中的唯一的超级用户,其可对根目录执行读写和执行操作。其相当于Windows系统中的SYSTEM(XP及以下)/TrustedInstaller(Vista及以上)用户。其具有系统中的最高权限,如启动或停止一个进程,删除或增加用户,增加或者禁用硬件,新建文件、修改文件或删除所有文件等等。
需要说明的是,UKey是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。ukey 是对现行的网络安全体系的一个极为有力的补充,通过中国信息安全测评认证中心认证的网络安全产品。基于可信计算机及智能卡技术把易用性,便携性和最高级别的安全性带给了使用Microsoft IE或NetscapeNavigator进行Web访问,在线交易(购物,付款),收发电子邮件,在线聊天交友及表单签名,文件数字签名等操作的用户,保证用户在ukey下的操作不可篡改,抵赖。ukey最大的特点就是安全性高,技术规范一致性强,操作系统兼容性好,携带使用灵活。
响应于系统认证和系统辅助认证都通过,进一步验证是否为持有特定ukey的根用户登录,现有技术中对于服务器中的无根用户、单用户或只读系统仅对用户访问和服务器启动进行控制,且无法解决非法用户登录的问题。而本申请中加入对持有特定ukey的根用户登录的验证操作,仅将修改权赋予持有特定ukey的根用户,没有持有特定ukey的访问用户因为没有被赋予修改权,只能读取系统配置或属性,不能进行修改或保存。也就无法对系统存储的数据或者内核中存储的数据进行恶意篡改。
参考图3,为本申请实施例的数据加密方法的系统和内核认证以及根用户授权流程示意图。
需要说明的是,在对内核进行系统认证过程中,还需要获取系统认证身份信息发送时间差,如果在发送时间差内没有获取到系统认证身份信息,则立即触发报警机制,同时关闭服务器系统。
需要说明的是,为了保证任务的正常执行,如果验证为不是持有特定ukey的根用户登录,服务端重新验证是否为持有特定ukey的根用户登录,直至确认为持有特定ukey的根用户登录。确保持有特定ukey的根用户登录,有效解决了非法登录的问题。
在具体实施中,需要将客户端和服务端进行连接,具体地:
客户端根据根用户持有的特定ukey,生成非对称加密认证信息,并将非对称加密认证信息发送到服务端,服务端对非对称加密认证信息进行解密,并与服务器预存的连接信息进行匹配,如果匹配成功,则返回允许连接指令给客户端,建立连接关系。如果匹配失败,则返回禁止连接指令给客户端,禁止服务端和客户端连接,客户端的ukey连接认证,有效解决了非法访问的问题。
现有技术中,在服务端和客户端建立连接后,服务端与客户端就直接进行数据交互,而本申请提供的数据加密方法,在服务端和客户端建立连接后,还需要对写入任务信息或者读取任务信息进行加密,在底层数据交互之前完全确保传输数据任务的安全性。
步骤S104,服务端接收所述客户端发送的加密写入任务信息,对所述加密写入任务信息进行解密,得到解密后的写入任务信息,根据所述解密后的写入任务信息生成任务写入回执,将所述任务写入回执发送到客户端。
具体地,客户端将写入任务信息进行加密,得到加密写入任务信息,并将所述加密写入任务信息发送到服务端。
需要说明的是,加密写入任务信息包括但不限于SAN容量、二级对称加密密钥和相应加密算法。
服务端接收客户端发送的加密写入任务信息,服务器SAN分配相应程序对加密写入任务信息进行解密,得到解密后的写入任务信息,根据解密后的写入任务信息生成任务写入回执,将任务写入回执发送到客户端。
客户端响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将所述第一数据密文发送到服务端。
步骤S105,服务端接收客户端发送的第一数据密文;其中,所述第一数据密文是所述客户端的根用户利用所述修改权进行数据加密写入得到的。
步骤S106,对所述第一数据密文进行加密,得到并存储第二数据密文。
具体地,服务端接收客户端发送的第一数据密文,服务器SAN分配相应程序,通过对称密钥和相应的加密算法对第一数据密文再次加密,得到第二数据密文,服务端将二次加密得到的第二数据密文存储在底层磁盘。
由此可见,本申请提供的数据加密方法,在执行数据写入任务时,将写入任务信息和写入数据都进行加密,特别的是,将写入数据在服务端和客户端都进行加密,达到二次加密的效果,保证了本端数据的安全性,同时也避免了数据写入过程中被泄露和攻击的风险。
参考图2,为本申请实施例的数据加密方法应用于客户端的流程示意图。
步骤S201,客户端将写入任务信息进行加密,得到加密写入任务信息,并将所述加密写入任务信息发送到服务端。
步骤S202,客户端响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将所述第一数据密文发送到服务端。
步骤S201和步骤S202的具体实施过程在上述步骤S101至步骤S106中已经进行详细说明,在此不再赘述。
参考图4,为本申请实施例的数据加密方法的客户端和服务端交互流程示意图。
具体地,客户端将写入任务信息进行加密,得到加密写入任务信息,并将加密写入任务信息发送到服务端,服务端接收到客户端发送的加密写入任务信息,对加密写入任务信息进行解密,得到解密后的写入任务信息,根据解密后的写入任务信息生成任务写入回执,将任务写入回执发送到客户端,客户端响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将第一数据密文发送到服务端,服务端接收客户端发送的第一数据密文,对第一数据密文进行加密,得到并存储第二数据密文。
在一种可行的实施例中,本申请提供的数据加密方法,还包括:
客户端将读取任务信息进行加密,得到加密读取任务信息,并将加密读取任务信息发送到服务端。
服务端接收到客户端发送的加密读取任务信息,对加密读取任务信息进行解密,得到解密后的读取任务信息,根据解密后的读取任务信息调取存储在底层磁盘的第二数据密文,对第二数据密文进行解密,得到第一数据密文,并将第一数据密文发送到客户端。
客户端接收到服务端发送的第一数据密文,根用户利用修改权对第一数据密文进行解密,得到第一数据明文。
由此可见,本申请提供的数据加密方法,还可以执行数据读取任务,并且在数据读取过程中进行加密,保证了数据读取传输过程中的安全性。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的数据加密方法。
需要说明的是,上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一技术构思,与上述任意实施例方法相对应的,本申请还提供了一种数据加密系统。
参考图5,为本申请实施例的数据加密系统示意图。
所述数据加密系统,包括:服务端501和客户端502;
服务端501,被配置为:响应于系统启动,对系统进行基础认证,对内核进行系统认证;响应于所述基础认证通过,得到系统认证正确信息,根据所述系统正确认证信息对所述内核进行系统辅助认证;响应于所述系统认证和所述系统辅助认证通过,验证是否为持有特定ukey的根用户登录;响应于为持有特定ukey的根用户登录,赋予所述根用户修改权,以使所述根用户利用所述修改权进行数据加密写入;接收所述客户端发送的加密写入任务信息,对所述加密写入任务信息进行解密,得到解密后的写入任务信息,根据所述解密后的写入任务信息生成任务写入回执,将所述任务写入回执发送到客户端;接收客户端发送的第一数据密文;其中,所述第一数据密文是所述客户端的根用户利用所述修改权进行数据加密写入得到的;对所述第一数据密文进行加密,得到并存储第二数据密文;
客户端502,被配置为:将写入任务信息进行加密,得到加密写入任务信息,并将所述加密写入任务信息发送到服务端;响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将所述第一数据密文发送到服务端。
为了描述的方便,描述以上系统时以功能分为各种模块分别描述。当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的数据加密方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一技术构思,与上述任意实施例方法相对应的,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的数据加密方法。
图6示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器610、存储器620、输入/输出接口630、通信接口640和总线650。其中处理器610、存储器620、输入/输出接口630和通信接口640通过总线650实现彼此之间在设备内部的通信连接。
处理器610可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器620可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器620可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器620中,并由处理器610来调用执行。
输入/输出接口630用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口640用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线650包括一通路,在设备的各个组件(例如处理器610、存储器620、输入/输出接口630和通信接口640)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器610、存储器620、输入/输出接口630、通信接口640以及总线650,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的数据加密方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种数据加密方法,应用于服务端,其特征在于,包括:
响应于系统启动,对系统进行基础认证,对内核进行系统认证;
响应于所述基础认证通过,得到系统认证正确信息,根据所述系统正确认证信息对所述内核进行系统辅助认证;
响应于所述系统认证和所述系统辅助认证通过,验证是否为持有特定ukey的根用户登录;响应于为持有特定ukey的根用户登录,赋予所述根用户修改权,以使所述根用户利用所述修改权进行数据加密写入;
接收所述客户端发送的加密写入任务信息,对所述加密写入任务信息进行解密,得到解密后的写入任务信息,根据所述解密后的写入任务信息生成任务写入回执,将所述任务写入回执发送到客户端;
接收客户端发送的第一数据密文;其中,所述第一数据密文是所述客户端的根用户利用所述修改权进行数据加密写入得到的;
对所述第一数据密文进行加密,得到并存储第二数据密文。
2.根据权利要求1所述的数据加密方法,其特征在于,还包括:
接收所述客户端发送的加密读取任务信息,对所述加密读取任务信息进行解密,得到解密后的读取任务信息,根据所述解密后的读取任务信息调取第二数据密文,对所述第二数据密文进行解密,得到所述第一数据密文,并将所述第一数据密文发送到客户端。
3.根据权利要求1所述的数据加密方法,其特征在于,对系统进行基础认证,包括:
获取基础信息,将所述基础信息与预存基础信息进行匹配;
响应于所述基础信息与所述预存基础信息匹配,基础认证通过。
4.根据权利要求1所述的数据加密方法,其特征在于,对内核进行系统认证,包括:
获取系统认证身份信息,将所述系统认证身份信息与预存系统认证身份信息进行匹配;
响应于所述系统认证身份信息与所述预存系统认证身份信息匹配,系统认证通过。
5.根据权利要求4所述的数据加密方法,其特征在于,还包括:
获取系统认证身份信息发送时间差,响应于在所述系统认证身份信息发送时间差内没有获取到所述系统认证身份信息,触发报警并关闭系统。
6.根据权利要求1所述的数据加密方法,其特征在于,还包括:
响应于不是持有特定ukey的根用户登录,重新验证是否为持有特定ukey的根用户登录,直至确认为持有特定ukey的根用户登录。
7.一种数据加密方法,应用于客户端,其特征在于,包括:
将写入任务信息进行加密,得到加密写入任务信息,并将所述加密写入任务信息发送到服务端;
响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将所述第一数据密文发送到服务端。
8.根据权利要求7所述的数据加密方法,其特征在于,还包括:
将读取任务信息进行加密,得到加密读取任务信息,并将所述加密读取任务信息发送到服务端;
响应于接收到服务端发送的第一数据密文,根用户利用修改权对所述第一数据密文进行解密,得到第一数据明文。
9.一种数据加密系统,其特征在于,包括:服务端和客户端;
服务端,被配置为:响应于系统启动,对系统进行基础认证,对内核进行系统认证;响应于所述基础认证通过,得到系统认证正确信息,根据所述系统正确认证信息对所述内核进行系统辅助认证;响应于所述系统认证和所述系统辅助认证通过,验证是否为持有特定ukey的根用户登录;响应于为持有特定ukey的根用户登录,赋予所述根用户修改权,以使所述根用户利用所述修改权进行数据加密写入;接收所述客户端发送的加密写入任务信息,对所述加密写入任务信息进行解密,得到解密后的写入任务信息,根据所述解密后的写入任务信息生成任务写入回执,将所述任务写入回执发送到客户端;接收客户端发送的第一数据密文;其中,所述第一数据密文是所述客户端的根用户利用所述修改权进行数据加密写入得到的;对所述第一数据密文进行加密,得到并存储第二数据密文;
客户端,被配置为:将写入任务信息进行加密,得到加密写入任务信息,并将所述加密写入任务信息发送到服务端;响应于接收到服务端发送的任务写入回执,根用户利用修改权进行数据加密写入,得到第一数据密文,并将所述第一数据密文发送到服务端。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210411762.5A CN114912131B (zh) | 2022-04-19 | 2022-04-19 | 数据加密方法、系统以及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210411762.5A CN114912131B (zh) | 2022-04-19 | 2022-04-19 | 数据加密方法、系统以及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114912131A true CN114912131A (zh) | 2022-08-16 |
CN114912131B CN114912131B (zh) | 2023-07-25 |
Family
ID=82765432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210411762.5A Active CN114912131B (zh) | 2022-04-19 | 2022-04-19 | 数据加密方法、系统以及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114912131B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
CN106372487A (zh) * | 2016-08-30 | 2017-02-01 | 孙鸿鹏 | 一种服务器操作系统可信增强方法及系统 |
CN106909848A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种基于bios扩展的计算机安全增强系统及其方法 |
CN109474419A (zh) * | 2018-10-22 | 2019-03-15 | 航天信息股份有限公司 | 一种活体人像照片加密、解密方法及加解密系统 |
CN110443049A (zh) * | 2019-07-17 | 2019-11-12 | 南方电网科学研究院有限责任公司 | 一种安全数据存储管理的方法、系统及安全存储管理模块 |
CN112187741A (zh) * | 2020-09-14 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 基于运维审计系统的登录认证方法、装置和电子装置 |
WO2021022701A1 (zh) * | 2019-08-08 | 2021-02-11 | 平安科技(深圳)有限公司 | 信息传输方法、装置、客户端、服务端及存储介质 |
CN113014391A (zh) * | 2021-01-22 | 2021-06-22 | 深圳市网心科技有限公司 | 嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 |
-
2022
- 2022-04-19 CN CN202210411762.5A patent/CN114912131B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106909848A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种基于bios扩展的计算机安全增强系统及其方法 |
CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
CN106372487A (zh) * | 2016-08-30 | 2017-02-01 | 孙鸿鹏 | 一种服务器操作系统可信增强方法及系统 |
CN109474419A (zh) * | 2018-10-22 | 2019-03-15 | 航天信息股份有限公司 | 一种活体人像照片加密、解密方法及加解密系统 |
CN110443049A (zh) * | 2019-07-17 | 2019-11-12 | 南方电网科学研究院有限责任公司 | 一种安全数据存储管理的方法、系统及安全存储管理模块 |
WO2021022701A1 (zh) * | 2019-08-08 | 2021-02-11 | 平安科技(深圳)有限公司 | 信息传输方法、装置、客户端、服务端及存储介质 |
CN112187741A (zh) * | 2020-09-14 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 基于运维审计系统的登录认证方法、装置和电子装置 |
CN113014391A (zh) * | 2021-01-22 | 2021-06-22 | 深圳市网心科技有限公司 | 嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114912131B (zh) | 2023-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9270466B2 (en) | System and method for temporary secure boot of an electronic device | |
CA2838763C (en) | Credential authentication methods and systems | |
CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
US10616215B1 (en) | Virtual smart card to perform security-critical operations | |
CN107004083B (zh) | 设备密钥保护 | |
CN103051451A (zh) | 安全托管执行环境的加密认证 | |
CN108335105B (zh) | 数据处理方法及相关设备 | |
CN113557703A (zh) | 网络摄像机的认证方法和装置 | |
JP2008522470A (ja) | 端末ユーザ識別情報モジュールを接続した通信端末を保護する方法 | |
CN109982150B (zh) | 智能电视终端的信任链建立方法和智能电视终端 | |
CN107124279B (zh) | 擦除终端数据的方法及装置 | |
CA3070540A1 (en) | System and method for authenticating a transaction | |
KR20200050813A (ko) | 생체 인증을 이용한 결제 방법 및 그 전자 장치 | |
NO340355B1 (en) | 2-factor authentication for network connected storage device | |
CN111125665A (zh) | 认证方法及设备 | |
KR20070059891A (ko) | 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 | |
US11727403B2 (en) | System and method for payment authentication | |
CN104010306A (zh) | 一种移动设备使用者身份认证系统及方法 | |
CN114912131B (zh) | 数据加密方法、系统以及电子设备 | |
CN117063174A (zh) | 用于通过基于app的身份的app间相互信任的安全模块及方法 | |
CN113794571A (zh) | 一种基于动态口令的认证方法、装置及介质 | |
CN114021093A (zh) | 信息处理方法、系统及电子设备 | |
US11062299B2 (en) | System and method for indicating entry of personal identification number | |
Vachon | The identity in everyone's pocket | |
CN110851881A (zh) | 终端设备的安全检测方法及装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |