CN115221538A - 适用于财务数据的加密方法及系统 - Google Patents

Abstract

本发明公开了适用于财务数据的加密方法及系统，所述加密系统包括有财务内部服务器、财务软件控制单元、业务数据范围控制单元、杀毒防火墙单元、加密算法单元、财务数据异地备份单元。本发明通过结合对称式加密算法对财务数据进行加密之前，将财务数据通过财务软件控制单元控制来自财务软件漏洞造成的数据泄露，并通过判定录入到财务内部服务器中的财务数据是否在业务范围内，来实现数据的安全，且杀毒防火墙单元利用只给与内部邮件收发的权限和内置的网络版杀毒程序对录入的数据进行管控和杀毒，再结合加密算法对完全录入后的数据进行加密处理，从而实现对财务数据的加密和保护。

Description

适用于财务数据的加密方法及系统

技术领域

本发明涉及数据加密技术领域，具体涉及适用于财务数据的加密方法及系统。

背景技术

随着计算机应用技术及网络的普及，越来越多的企业抛弃了原始的笔杆纸张办公模式，财务工作也进入了信息化办公行列，财务数据以电子文档形式存储于计算机中，并且借助互联网络和各种移动存储设备进行快速的传播和共享，作为财务数据的载体，电子文档的安全直接影响了数字信息的安全，电子文档易复制、易修改的特点直接导致了它的安全风险性大大超过了传统纸质文档，财务人员办公计算机的使用，令财务数据存在安全隐患，导致了整个企业存在安全隐患和管理漏洞：财务数据没有控制在业务范围内；财务软件存在漏洞以及非抗力原因：财务数据库拷贝出财务部门，财务机器离开公司(盗窃、维修和检查等)，而为保护财务数据安全，现提出适用于财务数据的加密方法及系统。

发明内容

本发明的目的是提供适用于财务数据的加密方法及系统，以解决技术中的上述不足之处。

为了实现上述目的，本发明提供如下技术方案：适用于财务数据的加密方法及系统，所述加密系统包括有财务内部服务器、财务软件控制单元、业务数据范围控制单元、杀毒防火墙单元、加密算法单元、财务数据异地备份单元；

其中，所述财务软件控制单元控制来自财务软件漏洞造成的数据泄露，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，并按照服务器给予的权限管理录入数据的软件；

所述业务数据范围控制单元解决来自财务人员操作的问题，通过判定录入到财务内部服务器中的财务数据是否在业务范围内，来实现数据的安全；

所述杀毒防火墙单元利用在财务工作站安装个人防火墙避免连接互联网，只给与内部邮件收发的权限，且内置网络版杀毒程序，通过与杀毒公司的服务器连通，在病毒进攻前筑好必要的防护墙，将损失减到最小；

所述加密算法单元内置HMAC加密算法，并能根据财务内部服务器中的算法协议选择对称加密算法或是非对称加密算法；

所述财务数据异地备份单元通过安全网络，将财务数据定期备份到异地的数据中心。

作为本发明一种优选的方案，所述财务内部服务器可选择塔式服务器、机柜式服务器，且塔式服务器需要选择raid5功能，通过磁盘阵列的功能，实现当一个硬盘损坏的时候，数据是可以在另外一个硬盘完整保存。

作为本发明一种优选的方案，所述财务软件控制单元将财务软件限定控制为用友U8、金蝶/3、易飞ERP等大厂财务软件范围内。

作为本发明一种优选的方案，所述业务数据范围控制单元包括有如下三个方面：

①数据治理：通过指明数据管理过程中有哪些决策要制定、由谁负责，强调组织模式、职责分工和标准规范；

②数据管理：实现数据和信息资产价值的获取、控制、保护、交付及提升，对政策、实践和项目所做的计划、执行和监督；

③数据管控：侧重于执行层面，是具体落地执行所涉及的各种措施，如数据建模、数据抽取、数据处理、数据加工、数据分析，从而确保数据被管理和监控，从而让数据得到更好的利用。

作为本发明一种优选的方案，包括有如下的步骤：

S1：财务人员向服务器中录入数据，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作；

S2：在经过S1筛查后的数据通过业务数据范围控制单元判定录入到财务内部服务器中的财务数据是否在业务范围内；

S3：经过S2判定后的数据在持续录入的过程中，杀毒防火墙单元利用只给与内部邮件收发的权限和内置的网络版杀毒程序对录入的数据进行管控和杀毒；

S4：在数据经过S3的管控和杀毒之后，加密算法单元通过HMAC加密算法在对完全录入后的数据进行加密处理；

S5：在S4对数据经过加密处理后，将加密后的财务数据复制为两份，一份放在内部服务器中，另一份通过异地备份单元连接的安全网络传输备份到异地的数据中心。

作为本发明一种优选的方案，所述HMAC加密算法具体有如下的加密步骤：

通过用公式表示HMAC：

H(K XOR opad,H(K XOR ipad，text))

其中H代表hash算法；B代表块字节的长度；块是hash操作的基本单位，在这里B＝64；L代表hash算法计算出来的字节长度；K代表共享密钥；K的长度可以是任意的，但是为了安全考虑，推荐K的长度>B；当K长度大于B时候，会先在K上面执行hash算法，将得到的L长度结果作为新的共享密钥；如果K的长度<B，那么会在K后面填充0x00一直到等于长度B；text代表要加密的内容；opad代表外部填充常量；是0x5C重复B次；ipad代表内部填充常量，是0x36重复B次，XOR代表异或运算。

计算步骤如下：

①、将0x00填充到K的后面，直到其长度等于B；

②、将步骤1的结果跟ipad做异或；

③、将要加密的信息附在步骤2的结果后面；

④、调用H方法；

⑤、将步骤1的结果跟opad做异或；

⑥、将步骤4的结果附在步骤5的结果后面；

⑦、调用H方法。

在上述技术方案中，本发明提供的技术效果和优点：

本发明通过结合对称式加密算法对财务数据进行加密之前，将财务数据通过财务软件控制单元控制来自财务软件漏洞造成的数据泄露，并通过判定录入到财务内部服务器中的财务数据是否在业务范围内，来实现数据的安全，且杀毒防火墙单元利用只给与内部邮件收发的权限和内置的网络版杀毒程序对录入的数据进行管控和杀毒，再结合加密算法对完全录入后的数据进行加密处理，从而实现对财务数据的加密和保护。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明提出的适用于财务数据的加密方法及系统的框架结构示意图。

具体实施方式

为了对本发明的技术方案和实现方式做出更清楚地解释和说明，以下介绍实现本发明技术方案的几个优选的具体实施例。

下文的描述本质上仅是示例性的而并非意图限制本公开、应用及用途。应当理解，在所有这些附图中，相同或相似的附图标记指示相同的或相似的零件及特征。各个附图仅示意性地表示了本公开的实施方式的构思和原理，并不一定示出了本公开各个实施方式的具体尺寸及其比例。在特定的附图中的特定部分可能采用夸张的方式来图示本公开的实施方式的相关细节或结构，本文所引用的各种出版物、专利和公开的专利说明书，其公开内容通过引用整体并入本文，下面将结合本发明实施例，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例。

在本发明的描述中，除非另有明确的规定和限定，术语“第一”、“第二”仅用于描述的目的，而不能理解为指示或暗示相对重要性；除非另有规定或说明，术语“多个”是指两个或两个以上；术语“连接”、“固定”等均应做广义理解，例如，“连接”可以是固定连接，也可以是可拆卸连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

本说明书的描述中，需要理解的是，本申请实施例所描述的“上”、“下”、“左”、“右”等方位词是以附图所示的角度来进行描述的，不应理解为对本申请实施例的限定。此外，在上下文中，还需要理解的是，当提到一个元件连接在另一个元件“上”或者“下”时，其不仅能够直接连接在另一个元件“上”或者“下”，也可以通过中间元件间接连接在另一个元件“上”或者“下”。

实施例一

参照说明书附图1，适用于财务数据的加密方法及系统：

包括有如下的步骤：

财务内部服务器可选择塔式服务器、机柜式服务器，且塔式服务器需要选择raid5功能，通过磁盘阵列的功能，实现当一个硬盘损坏的时候，数据是可以在另外一个硬盘完整保存。

财务人员向服务器中录入数据，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，财务软件控制单元控制来自财务软件漏洞造成的数据泄露，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，并按照服务器给予的权限管理录入数据的软件。

在经过筛查后的数据通过业务数据范围控制单元判定录入到财务内部服务器中的财务数据是否在业务范围内，解决来自财务人员操作的问题，通过判定录入到财务内部服务器中的财务数据是否在业务范围内，来实现数据的安全，且业务数据范围控制单元从三个方面进行控制：①数据治理：通过指明数据管理过程中有哪些决策要制定、由谁负责，强调组织模式、职责分工和标准规范；②数据管理：实现数据和信息资产价值的获取、控制、保护、交付及提升，对政策、实践和项目所做的计划、执行和监督；③数据管控：侧重于执行层面，是具体落地执行所涉及的各种措施，如数据建模、数据抽取、数据处理、数据加工、数据分析，从而确保数据被管理和监控，从而让数据得到更好的利用。

经过判定后的数据在持续录入的过程中，杀毒防火墙单元利用只给与内部邮件收发的权限和内置的网络版杀毒程序对录入的数据进行管控和杀毒，利用在财务工作站安装个人防火墙避免连接互联网，只给与内部邮件收发的权限，且内置网络版杀毒程序，通过与杀毒公司的服务器连通，在病毒进攻前筑好必要的防护墙，将损失减到最小。

在数据经过管控和杀毒之后，加密算法单元通过HMAC加密算法在对完全录入后的数据进行加密处理，通过用公式表示HMAC：

H(K XOR opad,H(K XOR ipad，text))

将0x00填充到K的后面，直到其长度等于B；将步骤1的结果跟ipad做异或；将要加密的信息附在步骤2的结果后面；调用H方法；将步骤1的结果跟opad做异或；将步骤4的结果附在步骤5的结果后面；调用H方法；其中H代表hash算法；B代表块字节的长度；块是hash操作的基本单位，在这里B＝64；L代表hash算法计算出来的字节长度；K代表共享密钥；K的长度可以是任意的，但是为了安全考虑，推荐K的长度>B；当K长度大于B时候，会先在K上面执行hash算法，将得到的L长度结果作为新的共享密钥；如果K的长度<B，那么会在K后面填充0x00一直到等于长度B；text代表要加密的内容；opad代表外部填充常量；是0x5C重复B次；ipad代表内部填充常量，是0x36重复B次，XOR代表异或运算。

通过内置HMAC加密算法，并能根据财务内部服务器中的算法协议选择对称加密算法或是非对称加密算法，在对数据经过加密处理后，将加密后的财务数据复制为两份，一份放在内部服务器中，另一份通过异地备份单元连接的安全网络传输备份到异地的数据中心。

实施例二

基于实施例一的基础上，参照说明书附图1，适用于财务数据的加密方法及系统：

财务内部服务器可选择塔式服务器、机柜式服务器，且塔式服务器需要选择raid5功能，通过磁盘阵列的功能，实现当一个硬盘损坏的时候，数据是可以在另外一个硬盘完整保存。

财务人员向服务器中录入数据，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，财务软件控制单元控制来自财务软件漏洞造成的数据泄露，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，并按照服务器给予的权限管理录入数据的软件。

在经过筛查后的数据通过业务数据范围控制单元判定录入到财务内部服务器中的财务数据是否在业务范围内，解决来自财务人员操作的问题，通过判定录入到财务内部服务器中的财务数据是否在业务范围内，来实现数据的安全，且业务数据范围控制单元从三个方面进行控制：①数据治理：通过指明数据管理过程中有哪些决策要制定、由谁负责，强调组织模式、职责分工和标准规范；②数据管理：实现数据和信息资产价值的获取、控制、保护、交付及提升，对政策、实践和项目所做的计划、执行和监督；③数据管控：侧重于执行层面，是具体落地执行所涉及的各种措施，如数据建模、数据抽取、数据处理、数据加工、数据分析，从而确保数据被管理和监控，从而让数据得到更好的利用。

经过判定后的数据在持续录入的过程中，杀毒防火墙单元利用只给与内部邮件收发的权限和内置的网络版杀毒程序对录入的数据进行管控和杀毒，利用在财务工作站安装个人防火墙避免连接互联网，只给与内部邮件收发的权限，且内置网络版杀毒程序，通过与杀毒公司的服务器连通，在病毒进攻前筑好必要的防护墙，将损失减到最小。

在数据经过管控和杀毒之后，加密算法单元通过非对称加密算法在对完全录入后的数据进行加密处理，如果用非对称加密，客户端的数据通过公钥加密，服务端通过私钥解密，客户端发送数据实现加密没问题，客户端接受数据，需要服务端用公钥加密，然后客户端用私钥解密，这个方案需要两套公钥和私钥，需要在客户端和服务端各自生成自己的密钥。

通过非对称加密算法对数据经过加密处理后，将加密后的财务数据复制为两份，一份放在内部服务器中，另一份通过异地备份单元连接的安全网络传输备份到异地的数据中心。

实施例三

基于实施例一和二的基础上，参照说明书附图1，适用于财务数据的加密方法及系统：

财务内部服务器可选择塔式服务器、机柜式服务器，且塔式服务器需要选择raid5功能，通过磁盘阵列的功能，实现当一个硬盘损坏的时候，数据是可以在另外一个硬盘完整保存。

财务人员向服务器中录入数据，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，财务软件控制单元控制来自财务软件漏洞造成的数据泄露，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，并按照服务器给予的权限管理录入数据的软件。

在经过筛查后的数据通过业务数据范围控制单元判定录入到财务内部服务器中的财务数据是否在业务范围内，解决来自财务人员操作的问题，通过判定录入到财务内部服务器中的财务数据是否在业务范围内，来实现数据的安全，且业务数据范围控制单元从三个方面进行控制：①数据治理：通过指明数据管理过程中有哪些决策要制定、由谁负责，强调组织模式、职责分工和标准规范；②数据管理：实现数据和信息资产价值的获取、控制、保护、交付及提升，对政策、实践和项目所做的计划、执行和监督；③数据管控：侧重于执行层面，是具体落地执行所涉及的各种措施，如数据建模、数据抽取、数据处理、数据加工、数据分析，从而确保数据被管理和监控，从而让数据得到更好的利用。

经过判定后的数据在持续录入的过程中，杀毒防火墙单元利用只给与内部邮件收发的权限和内置的网络版杀毒程序对录入的数据进行管控和杀毒，利用在财务工作站安装个人防火墙避免连接互联网，只给与内部邮件收发的权限，且内置网络版杀毒程序，通过与杀毒公司的服务器连通，在病毒进攻前筑好必要的防护墙，将损失减到最小。

在数据经过管控和杀毒之后，加密算法单元通过将对称加密和非对称加密相结合对完全录入后的数据进行加密处理，客户端需要生成一个对称加密的密钥1，传输内容与该密钥1进行对称加密传给服务端，并且把密钥1和公钥进行非对称加密，然后也传给服务端，服务端通过私钥把对称加密的密钥1解密出来，然后通过该密钥1解密出内容，以上是客户端到服务端的过程；如果是服务端要发数据到客户端，就需要把响应数据跟对称加密的密钥1进行加密，然后客户端接收到密文，通过客户端的密钥1进行解密，从而完成加密传输，通过将对称加密和非对称加密相结合的方式对数据经过加密处理后，将加密后的财务数据复制为两份，一份放在内部服务器中，另一份通过异地备份单元连接的安全网络传输备份到异地的数据中心。

以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。

Claims (6)

1.适用于财务数据的加密系统，其特征在于：所述加密系统包括有财务内部服务器、财务软件控制单元、业务数据范围控制单元、杀毒防火墙单元、加密算法单元、财务数据异地备份单元；

其中，所述财务软件控制单元控制来自财务软件漏洞造成的数据泄露，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作，并按照服务器给予的权限管理录入数据的软件；

所述业务数据范围控制单元解决来自财务人员操作的问题，通过判定录入到财务内部服务器中的财务数据是否在业务范围内，来实现数据的安全；

所述杀毒防火墙单元利用在财务工作站安装个人防火墙避免连接互联网，只给与内部邮件收发的权限，且内置网络版杀毒程序，通过与杀毒公司的服务器连通，在病毒进攻前筑好必要的防护墙，将损失减到最小；

所述加密算法单元内置HMAC加密算法，并能根据财务内部服务器中的算法协议选择对称加密算法或是非对称加密算法；

所述财务数据异地备份单元通过安全网络，将财务数据定期备份到异地的数据中心。

2.根据权利要求1所述的适用于财务数据的加密系统，其特征在于：所述财务内部服务器可选择塔式服务器、机柜式服务器，且塔式服务器需要选择raid5功能，通过磁盘阵列的功能，实现当一个硬盘损坏的时候，数据是可以在另外一个硬盘完整保存。

3.根据权利要求1所述的适用于财务数据的加密系统，其特征在于：所述财务软件控制单元将财务软件限定控制为用友U8、金蝶/3、易飞ERP等大厂财务软件范围内。

4.根据权利要求1所述的适用于财务数据的加密系统，其特征在于：所述业务数据范围控制单元包括有如下三个方面：

①数据治理：通过指明数据管理过程中有哪些决策要制定、由谁负责，强调组织模式、职责分工和标准规范；

②数据管理：实现数据和信息资产价值的获取、控制、保护、交付及提升，对政策、实践和项目所做的计划、执行和监督；

③数据管控：侧重于执行层面，是具体落地执行所涉及的各种措施，如数据建模、数据抽取、数据处理、数据加工、数据分析，从而确保数据被管理和监控，从而让数据得到更好的利用。

5.适用于财务数据的加密方法，其特征在于：包括有如下的步骤：

S1：财务人员向服务器中录入数据，通过财务软件控制单元筛查判断是否为业务系统内的财务软件在操作；

S2：在经过S1筛查后的数据通过业务数据范围控制单元判定录入到财务内部服务器中的财务数据是否在业务范围内；

S3：经过S2判定后的数据在持续录入的过程中，杀毒防火墙单元利用只给与内部邮件收发的权限和内置的网络版杀毒程序对录入的数据进行管控和杀毒；

S4：在数据经过S3的管控和杀毒之后，加密算法单元通过HMAC加密算法在对完全录入后的数据进行加密处理；

S5：在S4对数据经过加密处理后，将加密后的财务数据复制为两份，一份放在内部服务器中，另一份通过异地备份单元连接的安全网络传输备份到异地的数据中心。

6.根据权利要求5所述的适用于财务数据的加密方法，其特征在于：所述HMAC加密算法具体有如下的加密步骤：

通过用公式表示HMAC：

H(K XOR opad,H(K XOR ipad，text))

其中H代表hash算法；B代表块字节的长度；块是hash操作的基本单位，在这里B＝64；L代表hash算法计算出来的字节长度；K代表共享密钥；K的长度可以是任意的，但是为了安全考虑，推荐K的长度>B；当K长度大于B时候，会先在K上面执行hash算法，将得到的L长度结果作为新的共享密钥；如果K的长度<B，那么会在K后面填充0x00一直到等于长度B；text代表要加密的内容；opad代表外部填充常量；是0x5C重复B次；ipad代表内部填充常量，是0x36重复B次，XOR代表异或运算。

计算步骤如下：

①、将0x00填充到K的后面，直到其长度等于B；

②将步骤1的结果跟ipad做异或；

③将要加密的信息附在步骤2的结果后面；

④调用H方法；

⑤将步骤1的结果跟opad做异或；

⑥将步骤4的结果附在步骤5的结果后面；

⑦调用H方法。

Images