CN116488892A - 数据安全交互方法、装置、电子设备及存储介质 - Google Patents

数据安全交互方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116488892A
CN116488892A CN202310429521.8A CN202310429521A CN116488892A CN 116488892 A CN116488892 A CN 116488892A CN 202310429521 A CN202310429521 A CN 202310429521A CN 116488892 A CN116488892 A CN 116488892A
Authority
CN
China
Prior art keywords
data processing
processing request
security
encryption
security level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310429521.8A
Other languages
English (en)
Inventor
杨骁�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pingan Payment Technology Service Co Ltd
Original Assignee
Pingan Payment Technology Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pingan Payment Technology Service Co Ltd filed Critical Pingan Payment Technology Service Co Ltd
Priority to CN202310429521.8A priority Critical patent/CN116488892A/zh
Publication of CN116488892A publication Critical patent/CN116488892A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及网络安全技术领域,提供一种数据安全交互方法、装置、电子设备及存储介质,接收客户端发起的对目标应用的数据处理请求,根据目标应用及数据处理请求生成加密参数;识别数据处理请求的安全等级,并从配置数据库中获取与安全等级对应的加密算法;使用加密参数及加密算法对数据处理请求进行加密,得到加密数据处理请求;将加密数据处理请求发送至与目标应用对应的服务器;接收服务端发送的加密数据处理响应,并根据加密参数及加密算法对加密数据处理响应进行解密,得到解密数据处理响应;将解密数据处理响应返回客户端。本发明能够提高数据的安全。

Description

数据安全交互方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,具体涉及一种数据安全交互方法、装置、电子设备及存储介质。
背景技术
当前互联网环境中,Web浏览器与Web服务器之间主要使用超文本传输协议作为规范(HyperText Transfer Protocol,HTTP),完成从客户端到服务端的网络交互。
从客户端到服务端的网络交互过程中,网络安全是影响网络交互的关键因素,针对于客户端的网络安全,现有技术中存在token令牌认证(jwt)、时间戳超时验证、HTTPS等方法,但这些方法任然存在着安全性以及性能上的问题。
发明内容
鉴于以上内容,有必要提出一种数据安全交互方法、装置、电子设备及存储介质,能够提高数据的安全。
本发明的第一方面提供一种数据安全交互方法,所述数据安全交互方法应用于前端接口安全系统,所述方法包括:
接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数;
识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法;
使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求;
将所述加密数据处理请求发送至与所述目标应用对应的服务器;
接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应;
将所述解密数据处理响应返回所述客户端。
根据本发明的一个可选的实施方式,所述加密参数包括目标盐值,所述根据所述目标应用及所述数据处理请求生成加密参数包括:
获取所述目标应用的应用标识,并根据所述应用标识进行计算得到第一计算结果;
获取所述数据处理请求的请求时间,并根据所述请求时间进行计算得到第二计算结果;
根据所述第一计算结果及所述第二计算结果进行计算得到第三计算结果,并将所述第三计算结果作为所述目标盐值。
根据本发明的一个可选的实施方式,所述使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求包括:
获取所述加密算法对应的固定密钥;
根据所述加密参数中的目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述数据处理请求进行加密,得到加密数据处理请求。
根据本发明的一个可选的实施方式,所述根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应包括:
根据所述请求时间确定有效期限;
判断所述目标盐值是否在所述有效期限内;
当所述目标盐值在所述有效期限内时,获取所述加密算法对应的固定密钥;
根据所述目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述加密数据处理响应进行解密,得到解密数据处理响应。
根据本发明的一个可选的实施方式,所述识别所述数据处理请求的安全等级包括:
当所述数据处理请求为数据搜索请求时,确定所述数据处理请求的安全等级为预设第一安全等级;
当所述数据处理请求为数据查询请求时,确定所述数据处理请求的安全等级为预设第二安全等级;
当所述数据处理请求为数据交易请求时,确定所述数据处理请求的安全等级为预设第三安全等级;
其中,所述预设第一安全等级低于所述预设第二安全等级,所述预设第二安全等级低于所述预设第三安全等级。
根据本发明的一个可选的实施方式,所述方法还包括:
监控所述客户端的资源利用率;
当所述资源利用率低于预设资源利用率阈值时,将所述配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器中。
根据本发明的一个可选的实施方式,所述方法还包括:
在预设第一时间点获取所述前端接口安全系统对应的第一全量代码,并根据所述第一全量代码生成第一快照;
在预设第二时间点获取所述前端接口安全系统对应的第二全量代码,并根据所述第二全量代码生成第二快照;
比较所述第二快照与所述第一快照是否一致;
当所述第二快照与所述第一快照不一致时,更新所述配置数据库。
本发明的第二方面提供一种数据安全交互装置,所述数据安全交互装置运行于前端接口安全系统,所述装置包括:
生成模块,用于接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数;
识别模块,用于识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法;
加密模块,用于使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求;
发送模块,用于将所述加密数据处理请求发送至与所述目标应用对应的服务器;
解密模块,用于接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应;
返回模块,用于将所述解密数据处理响应返回所述客户端。
本发明的第三方面提供一种电子设备,所述电子设备包括处理器和存储器,所述处理器用于执行所述存储器中存储的计算机程序时实现所述数据安全交互方法。
本发明的第四方面提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现所述数据安全交互方法。
本发明提供的数据安全交互方法、装置、电子设备及存储介质,在接收客户端发起的对目标应用的数据处理请求时,首先根据目标应用及数据处理请求生成加密参数,使得加密参数具有唯一性和随机性;接着识别数据处理请求的安全等级,从而从根据安全等级获取适用于目标应用和数据处理请求的加密算法;然后使用加密参数及加密算法对数据处理请求进行加密,得到加密数据处理请求;通过将加密数据处理请求发送至与目标应用对应的服务器,并在接收到服务端发送的加密数据处理响应时,根据加密参数及加密算法对加密数据处理响应进行解密,得到解密数据处理响应;最后将解密数据处理响应返回客户端,提高了数据交互的安全。
附图说明
图1是本发明实施例提供的数据安全交互的应用环境图。
图2是本发明实施例一提供的数据安全交互方法的流程图。
图3是本发明实施例二提供的数据安全交互装置的结构图。
图4是本发明实施例三提供的电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施例对本发明进行详细描述。在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述在一个可选的实施方式中实施例的目的,不是旨在于限制本发明。
本发明实施例提供的数据安全交互方法由电子设备执行,相应地,数据安全交互装置运行于电子设备中。
本发明实施例可以基于人工智能技术对数据进行标准化处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
如图1所示,本发明在客户端的网络应用(称之为前端)与服务端(服务器)中间建立一套前端接口安全系统,通过前端接口安全系统承载客户端的网络应用与服务器交互的接口请求与响应,分析并对需要加解密的客户端的网络应用进行安全处理,达到前端接口的安全防护。
示例性的,假设客户端发起了请求A和请求B,前端接口安全系统分析请求A需要进行加解密,而请求B不需要进行加解密,则前端接口安全系统对客户端发起的请求A进行加密得到加密请求A,并将加密请求A发送给服务器,服务器根据加密请求A进行响应并加密得到加密响应A,前端接口安全系统对加密响应A进行解密,并将解密得到的解密响应数据返回给客户端。
由于前端接口安全系统分析请求B不需要进行加解密,则直接将请求B转发给服务器,而不对请求B进行加密操作,服务器根据请求B产生响应B后直接返回给客户端,而不需要经过前端接口安全系统的转发。
本发明实施例提供的数据安全交互方法应用于前端接口安全系统中,下面结合图2来详细阐述本发明实施例提供的数据安全交互方法。
实施例一
图2是本发明实施例一提供的数据安全交互方法的流程图。所述数据安全交互方法具体包括以下步骤,根据不同的需求,该流程图中步骤的顺序可以改变,某些可以省略。
S21,接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数。
其中,所述目标应用是指需要进行数据安全处理的应用程序,例如,壹钱包应用程序。目标应用是相对于非目标应用而言的,非目标应用是指不需要进行数据安全处理的应用程序。
其中,客户端可以是任何具有一定计算能力的计算设备。
其中,服务端是指可以在网络虚拟环境中提供计算处理服务的设备,通常是指利用网络进行信息规划的服务器。在物理实现上,服务器可以是任何能够提供计算服务,响应服务请求,并进行数据处理的设备,例如:可以是常规服务器、云服务器、云主机、虚拟中心等。服务器的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。
用户通过客户端的浏览器登录目标应用,并在目标应用上进行数据处理操作,例如,查询操作,检索操作,转账操作,交易操作等,从而触发客户端向前端接口安全系统发起对目标应用的数据处理请求。前端接口安全系统响应于客户端发起的对目标应用的数据处理请求,根据所述目标应用及所述数据处理请求生成加密参数。
在一个可选的实施方式中,所述根据所述目标应用及所述数据处理请求生成加密参数包括:
获取所述目标应用的应用标识,并根据所述应用标识进行计算得到第一计算结果;
获取所述数据处理请求的请求时间,并根据所述请求时间进行计算得到第二计算结果;
根据所述第一计算结果及所述第二计算结果进行计算得到第三计算结果,并将所述第三计算结果作为目标盐值。
电子设备根据所述目标应用及所述数据处理请求生成的加密参数包括目标盐值及所述目标盐值的有效期限。
本申请实施方式中,前端接口安全系统还可以根据所述请求时间确定所述目标盐值的有效期限。在所述有效期限内时,所述目标盐值为有效盐值,超过所述有效期限时,所述目标盐值变为无效盐值。盐(Salt)在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。Salt可以是任意字母、数字、或是字母或数字的组合。
本申请实施方式中,目标应用的应用标识是用以标识目标应用的字符串,具有唯一性,数据处理请求的请求时间可以精确到毫秒。电子设备可以使用信息摘要算法(Message-Digest Algorithm,MD5)根据所述应用标识进行计算,得到第一MD5值,作为第一计算结果;使用信息摘要算法根据所述请求时间进行计算,得到第二MD5值,作为第二计算结果;将所述第一MD5值和所述第二MD5值进行串联并使用信息摘要算法进行计算,得到第三MD5值,作为第三计算结果。信息摘要算法是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
上述可选的实施方式,由于目标应用的应用标识具有唯一性,数据处理请求的请求时间也具有唯一性且精确到毫秒,相当于随机生成的数值,因而根据目标应用的应用标识及数据处理请求的请求时间计算得到的目标盐值具有唯一性和随机性。
在一个可选的实施方式中,前端接口安全系统在接收到客户端发起的对应用的数据处理请求时,先判断应用是否为目标应用,如果是对目标应用的数据处理请求,则根据所述目标应用及所述数据处理请求生成加密参数,并执行S22。如果不是对目标应用的数据处理请求,即客户端发起的是对非目标应用的数据处理请求,则不根据所述非目标应用及所述数据处理请求生成加密参数。
前端接口安全系统接收到客户端发起的对非目标应用的数据处理请求时,不需要对数据处理请求进行加密,直接将数据处理请求转发给非目标应用对应的服务端。服务端则根据数据处理请求产生数据处理响应,并将数据处理响应直接返回给客户端。
前端接口安全系统可以根据应用的应用标识判断应用是否为目标应用,还可以根据数据处理请求中携带的URL判断应用是否为目标应用,判断应用是否为目标应用的过程不做任何限制。
S22,识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法。
前端接口安全系统识别所述数据处理请求的安全等级,便于根据安全等级确定采用何种加密算法。
前端接口安全系统中设置有安全中心,用户可以事先在安全中心的配置中心模块配置每个目标应用的安全等级及对应的加密算法。每个目标应用的安全等级及对应的加密算法存储在安全中心的配置数据库中。
在一个可选的实施方式中,所述识别所述数据处理请求的安全等级包括:
当所述数据处理请求为数据搜索请求时,确定所述数据处理请求的安全等级为预设第一安全等级;
当所述数据处理请求为数据查询请求时,确定所述数据处理请求的安全等级为预设第二安全等级;
当所述数据处理请求为数据交易请求时,确定所述数据处理请求的安全等级为预设第三安全等级;
其中,所述预设第一安全等级低于所述预设第二安全等级,所述预设第二安全等级低于所述预设第三安全等级。
本实施方式中,安全中心的代理模块捕获数据处理请求,并识别数据处理请求的请求类型,将请求类型与配置中心模块配置的安全等级进行比对,在确定数据处理请求的安全等级之后,再确定安全等级对应的加密算法。预设第一安全等级对应预设第一加密算法,预设第二安全等级对应预设第二加密算法,预设第三安全等级对应预设第三加密算法。
示例性的,应用A的安全等级如下:
安全等级I:安全敏感度较低,使用异或(XOR)加密算法;
安全等级II:安全敏感度中等,使用国密SM4对称加密算法;
安全等级III:安全敏感度较高,使用国密SM2非对称加密算法。
在一个可选的实施方式中,前端接口安全系统在识别所述数据处理请求的安全等级之后,对所述数据处理请求进行安全等级打标。打标后的数据处理请求会携带对应安全等级的加密算法。
S23,使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求。
前端接口安全系统根据不同的目标应用的数据处理请求,得到的加密参数不同,由于不同的数据处理请求对应的安全等级不同,得到的加密算法也不同,从而实现了可以基于不同的加密参数和加密算法对数据处理请求的加密操作,满足了目标应用的加密需求,并且也提高了前端接口安全系统使用的灵活可靠性。
在一个可选的实施方式中,所述使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求包括:
获取所述加密算法对应的固定密钥;
根据所述加密参数中的目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述数据处理请求进行加密,得到加密数据处理请求。
每个加密算法均有对应的固定密钥,通过具有有效期限的目标盐值对所述固定密钥进行处理,得到衍生密钥,最后根据所述加密算法和所述衍生密钥对所述数据处理请求进行加密。由于目标盐值是有有效期限的,在超过有效期限之后,目标盐值将失效不能再用,只能重新通过客户端发起对目标应用的数据处理请求,从而得到新的目标盐值,所以不同的请求时间得到的衍生密钥不同,大大提高了加密数据处理请求的密钥安全性。
现有技术中使用https方式传输数据处理请求时,容易被抓包获取到,进而导致数据处理请求的隐私泄露,危害了数据的安全性。由于加了目标盐值,即便数据库泄露了,但是由于固定密钥都是加了目标盐值之后的散列,因此被破解出来的概率也大大降低。
在一个可选的实施方式中,所述方法还包括:
监控所述客户端的资源利用率;
当所述资源利用率低于预设资源利用率阈值时,将所述配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器中。
其中,资源利用率可以包括CPU利用率,内存利用率,线程利用率,数据库利用率等。
当资源利用率低于预设资源利用率阈值时,表明前端接口安全系统处于空闲状态,此时可以将所述配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器的内存中。
由于加解密操作很费时,尤其是同一时间并发的目标应用的数据处理请求较多时,对每个目标应用的每个数据处理请求进行加解密,会非常消耗前端接口安全系统的算力,利用前端接口安全系统处于空闲状态时,通过缓存机制,将配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器的内存中,能够使得加解密时,直接从客户端浏览器中获取加密算法,提高了加解密的效率。
在一个可选的实施方式中,前端接口安全系统的加解密计算单元在客户端进入目标应用后,开启Web Worker的一个进程,利用Web Worker的多线程能力,合理的调度加解密的算力资源。Web Worker为目前主流浏览器提供的JavaScript多线程运行环境。
S24,将所述加密数据处理请求发送至与所述目标应用对应的服务器。
前端接口安全系统将加密数据处理请求发送给目标应用对应的服务器。服务器调用前端接口安全系统的加解密计算单元提供的Node服务器SDK进行解密操作,得到解密数据处理请求。
服务器根据解密数据处理请求产生数据处理响应,并使用加解密计算单元提供的Node服务器SDK对所述数据处理响应进行加密,得到加密数据响应。
S25,接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应。
前端接口安全系统接收到服务器发送的加密数据处理响应时,查询安全中心的配置中心模块缓存的安全等级与加密算法,调用加解密计算单元提供的浏览器SDK根据所述加密参数及加密算法对加密数据处理响应进行解密,得到解密数据响应。
根据本发明的一个可选的实施方式,所述根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应包括:
根据所述请求时间确定有效期限;
判断所述目标盐值是否在所述有效期限内;
当所述目标盐值在所述有效期限内时,获取所述加密算法对应的固定密钥;
根据所述目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述加密数据处理响应进行解密,得到解密数据处理响应。
S26,将所述解密数据处理响应返回所述客户端。
前端接口安全系统将解密数据处理响应返回至所述客户端。
在一个可选的实施方式中,所述方法还包括:
在预设第一时间点获取所述前端接口安全系统对应的第一全量代码,并根据所述第一全量代码生成第一快照;
在预设第二时间点获取所述前端接口安全系统对应的第二全量代码,并根据所述第二全量代码生成第二快照;
比较所述第二快照与所述第一快照是否一致;
当所述第二快照与所述第一快照不一致时,更新所述配置数据库。
其中,预设第一时间点可以为前端接口安全系统发布时的时间点,也可以为每次前端接口安全系统进行升级更新后发布新版本的时间点。
其中,预设第二时间点可以是每次接收到目标应用的数据处理请求时的时间点。
上述可选的实施方式,通过将根据在预设第一时间点获取的第一全量代码生成的第一快照,与根据在预设第二时间点获取的第二全量代码生成的第二快照进行比较,判断所述前端接口安全系统是否被强行注入了恶意代码。当比较所述第一快照与所述第二快照一致时,表明所述前端接口安全系统的全量代码没有发生任何改变。当比较所述第一快照与所述第二快照不一致时,表明所述前端接口安全系统的全量代码被强行注入了恶意代码。
当确定所述前端接口安全系统的全量代码被强行注入了恶意代码时,对所述配置数据库进行更新。例如,更新所述目标应用的安全等级。示例性的,假设目标应用的安全等级为预设第一安全等级,则更新所述目标应用的安全等级为预设第二安全等级。假设目标应用的安全等级为预设第二安全等级,则更新所述目标应用的安全等级为预设第三安全等级。
本发明实施例对生成第一快照和第二快照的过程不做任何限制,只要是能够根据获取的全量代码生成具有唯一表示的快照即可。
在一些实施方式中,还可以对前端接口安全系统自身的安全性进行加固与优化。前端接口安全系统的核心代码使用TypeScript与WebAssembly开发,其中基础代码均使用TypeScript开发,而核心的加解密算法由WebAssembly开发。WebAssembly可以编译为wasm的可执行二进制文件,被客户端的浏览器执行或被js调用,由于最终编译为二进制文件,具有较高的性能与反编译安全性。基础代码由TypeScript开发,也通过关键字处理、安全外挂、控制流变换等加固技术进行混淆编译,最终输出浏览器与Node服务器可用的浏览器SDK与Node SDK,核心算法编译为wasm供前端SDK调用。
实施例二
图3是本发明实施例二提供的数据安全交互装置的结构图。
在一些实施例中,所述数据安全交互装置30可以包括多个由计算机程序段所组成的功能模块。所述数据安全交互装置30中的各个程序段的计算机程序可以存储于电子设备的存储器中,并由至少一个处理器所执行,以执行(详见图2描述)数据安全交互的功能。
本实施例中,所述数据安全交互装置30根据其所执行的功能,可以被划分为多个功能模块。所述功能模块可以包括:生成模块301、识别模块302、加密模块303、发送模块304、解密模块305、返回模块306、缓存模块307及更新模块308。本发明所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机程序段,其存储在存储器中。在本实施例中,关于各模块的功能将在后续的实施例中详述。
所述生成模块301,用于接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数。
其中,所述目标应用是指需要进行数据安全处理的应用程序,例如,壹钱包应用程序。目标应用是相对于非目标应用而言的,非目标应用是指不需要进行数据安全处理的应用程序。
其中,客户端可以是任何具有一定计算能力的计算设备。
其中,服务端是指可以在网络虚拟环境中提供计算处理服务的设备,通常是指利用网络进行信息规划的服务器。在物理实现上,服务器可以是任何能够提供计算服务,响应服务请求,并进行数据处理的设备,例如:可以是常规服务器、云服务器、云主机、虚拟中心等。服务器的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。
用户通过客户端的浏览器登录目标应用,并在目标应用上进行数据处理操作,例如,查询操作,检索操作,转账操作,交易操作等,从而触发客户端向前端接口安全系统发起对目标应用的数据处理请求。前端接口安全系统响应于客户端发起的对目标应用的数据处理请求,根据所述目标应用及所述数据处理请求生成加密参数。
在一个可选的实施方式中,所述根据所述目标应用及所述数据处理请求生成加密参数包括:
获取所述目标应用的应用标识,并根据所述应用标识进行计算得到第一计算结果;
获取所述数据处理请求的请求时间,并根据所述请求时间进行计算得到第二计算结果;
根据所述第一计算结果及所述第二计算结果进行计算得到第三计算结果,并将所述第三计算结果作为目标盐值。
电子设备根据所述目标应用及所述数据处理请求生成的加密参数包括目标盐值及所述目标盐值的有效期限。
本申请实施方式中,前端接口安全系统还可以根据所述请求时间确定所述目标盐值的有效期限。在所述有效期限内时,所述目标盐值为有效盐值,超过所述有效期限时,所述目标盐值变为无效盐值。盐(Salt)在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。Salt可以是任意字母、数字、或是字母或数字的组合。
本申请实施方式中,目标应用的应用标识是用以标识目标应用的字符串,具有唯一性,数据处理请求的请求时间可以精确到毫秒。电子设备可以使用信息摘要算法(Message-Digest Algorithm,MD5)根据所述应用标识进行计算,得到第一MD5值,作为第一计算结果;使用信息摘要算法根据所述请求时间进行计算,得到第二MD5值,作为第二计算结果;将所述第一MD5值和所述第二MD5值进行串联并使用信息摘要算法进行计算,得到第三MD5值,作为第三计算结果。信息摘要算法是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
上述可选的实施方式,由于目标应用的应用标识具有唯一性,数据处理请求的请求时间也具有唯一性且精确到毫秒,相当于随机生成的数值,因而根据目标应用的应用标识及数据处理请求的请求时间计算得到的目标盐值具有唯一性和随机性。
在一个可选的实施方式中,前端接口安全系统在接收到客户端发起的对应用的数据处理请求时,先判断应用是否为目标应用,如果是对目标应用的数据处理请求,则根据所述目标应用及所述数据处理请求生成加密参数。如果不是对目标应用的数据处理请求,即客户端发起的是对非目标应用的数据处理请求,则不根据所述非目标应用及所述数据处理请求生成加密参数。
前端接口安全系统接收到客户端发起的对非目标应用的数据处理请求时,不需要对数据处理请求进行加密,直接将数据处理请求转发给非目标应用对应的服务端。服务端则根据数据处理请求产生数据处理响应,并将数据处理响应直接返回给客户端。
前端接口安全系统可以根据应用的应用标识判断应用是否为目标应用,还可以根据数据处理请求中携带的URL判断应用是否为目标应用,判断应用是否为目标应用的过程不做任何限制。
所述识别模块302,用于识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法。
前端接口安全系统识别所述数据处理请求的安全等级,便于根据安全等级确定采用何种加密算法。
前端接口安全系统中设置有安全中心,用户可以事先在安全中心的配置中心模块配置每个目标应用的安全等级及对应的加密算法。每个目标应用的安全等级及对应的加密算法存储在安全中心的配置数据库中。
在一个可选的实施方式中,所述识别所述数据处理请求的安全等级包括:
当所述数据处理请求为数据搜索请求时,确定所述数据处理请求的安全等级为预设第一安全等级;
当所述数据处理请求为数据查询请求时,确定所述数据处理请求的安全等级为预设第二安全等级;
当所述数据处理请求为数据交易请求时,确定所述数据处理请求的安全等级为预设第三安全等级;
其中,所述预设第一安全等级低于所述预设第二安全等级,所述预设第二安全等级低于所述预设第三安全等级。
本实施方式中,安全中心的代理模块捕获数据处理请求,并识别数据处理请求的请求类型,将请求类型与配置中心模块配置的安全等级进行比对,在确定数据处理请求的安全等级之后,再确定安全等级对应的加密算法。预设第一安全等级对应预设第一加密算法,预设第二安全等级对应预设第二加密算法,预设第三安全等级对应预设第三加密算法。
示例性的,应用A的安全等级如下:
安全等级I:安全敏感度较低,使用异或(XOR)加密算法;
安全等级II:安全敏感度中等,使用国密SM4对称加密算法;
安全等级III:安全敏感度较高,使用国密SM2非对称加密算法。
在一个可选的实施方式中,前端接口安全系统在识别所述数据处理请求的安全等级之后,对所述数据处理请求进行安全等级打标。打标后的数据处理请求会携带对应安全等级的加密算法。
所述加密模块303,用于使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求。
前端接口安全系统根据不同的目标应用的数据处理请求,得到的加密参数不同,由于不同的数据处理请求对应的安全等级不同,得到的加密算法也不同,从而实现了可以基于不同的加密参数和加密算法对数据处理请求的加密操作,满足了目标应用的加密需求,并且也提高了前端接口安全系统使用的灵活可靠性。
在一个可选的实施方式中,所述使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求包括:
获取所述加密算法对应的固定密钥;
根据所述加密参数中的目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述数据处理请求进行加密,得到加密数据处理请求。
每个加密算法均有对应的固定密钥,通过具有有效期限的目标盐值对所述固定密钥进行处理,得到衍生密钥,最后根据所述加密算法和所述衍生密钥对所述数据处理请求进行加密。由于目标盐值是有有效期限的,在超过有效期限之后,目标盐值将失效不能再用,只能重新通过客户端发起对目标应用的数据处理请求,从而得到新的目标盐值,所以不同的请求时间得到的衍生密钥不同,大大提高了加密数据处理请求的密钥安全性。
现有技术中使用https方式传输数据处理请求时,容易被抓包获取到,进而导致数据处理请求的隐私泄露,危害了数据的安全性。由于加了目标盐值,即便数据库泄露了,但是由于固定密钥都是加了目标盐值之后的散列,因此被破解出来的概率也大大降低。
在一个可选的实施方式中,前端接口安全系统的加解密计算单元在客户端进入目标应用后,开启Web Worker的一个进程,利用Web Worker的多线程能力,合理的调度加解密的算力资源。Web Worker为目前主流浏览器提供的JavaScript多线程运行环境。
所述发送模块304,用于将所述加密数据处理请求发送至与所述目标应用对应的服务器。
前端接口安全系统将加密数据处理请求发送给目标应用对应的服务器。服务器调用前端接口安全系统的加解密计算单元提供的Node服务器SDK进行解密操作,得到解密数据处理请求。
服务器根据解密数据处理请求产生数据处理响应,并使用加解密计算单元提供的Node服务器SDK对所述数据处理响应进行加密,得到加密数据响应。
所述解密模块305,用于接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应。
前端接口安全系统接收到服务器发送的加密数据处理响应时,查询安全中心的配置中心模块缓存的安全等级与加密算法,调用加解密计算单元提供的浏览器SDK根据所述加密参数及加密算法对加密数据处理响应进行解密,得到解密数据响应。
根据本发明的一个可选的实施方式,所述根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应包括:
根据所述请求时间确定有效期限;
判断所述目标盐值是否在所述有效期限内;
当所述目标盐值在所述有效期限内时,获取所述加密算法对应的固定密钥;
根据所述目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述加密数据处理响应进行解密,得到解密数据处理响应。
所述返回模块306,用于将所述解密数据处理响应返回所述客户端。
前端接口安全系统将解密数据处理响应返回至所述客户端。
在一个可选的实施方式中,所述缓存模块307,用于:
监控所述客户端的资源利用率;
当所述资源利用率低于预设资源利用率阈值时,将所述配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器中。
其中,资源利用率可以包括CPU利用率,内存利用率,线程利用率,数据库利用率等。
当资源利用率低于预设资源利用率阈值时,表明前端接口安全系统处于空闲状态,此时可以将所述配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器的内存中。
由于加解密操作很费时,尤其是同一时间并发的目标应用的数据处理请求较多时,对每个目标应用的每个数据处理请求进行加解密,会非常消耗前端接口安全系统的算力,利用前端接口安全系统处于空闲状态时,通过缓存机制,将配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器的内存中,能够使得加解密时,直接从客户端浏览器中获取加密算法,提高了加解密的效率。
在一个可选的实施方式中,所述更新模块308,用于:
在预设第一时间点获取所述前端接口安全系统对应的第一全量代码,并根据所述第一全量代码生成第一快照;
在预设第二时间点获取所述前端接口安全系统对应的第二全量代码,并根据所述第二全量代码生成第二快照;
比较所述第二快照与所述第一快照是否一致;
当所述第二快照与所述第一快照不一致时,更新所述配置数据库。
其中,预设第一时间点可以为前端接口安全系统发布时的时间点,也可以为每次前端接口安全系统进行升级更新后发布新版本的时间点。
其中,预设第二时间点可以是每次接收到目标应用的数据处理请求时的时间点。
上述可选的实施方式,通过将根据在预设第一时间点获取的第一全量代码生成的第一快照,与根据在预设第二时间点获取的第二全量代码生成的第二快照进行比较,判断所述前端接口安全系统是否被强行注入了恶意代码。当比较所述第一快照与所述第二快照一致时,表明所述前端接口安全系统的全量代码没有发生任何改变。当比较所述第一快照与所述第二快照不一致时,表明所述前端接口安全系统的全量代码被强行注入了恶意代码。
当确定所述前端接口安全系统的全量代码被强行注入了恶意代码时,对所述配置数据库进行更新。例如,更新所述目标应用的安全等级。示例性的,假设目标应用的安全等级为预设第一安全等级,则更新所述目标应用的安全等级为预设第二安全等级。假设目标应用的安全等级为预设第二安全等级,则更新所述目标应用的安全等级为预设第三安全等级。
本发明实施例对生成第一快照和第二快照的过程不做任何限制,只要是能够根据获取的全量代码生成具有唯一表示的快照即可。
在一些实施方式中,还可以对前端接口安全系统自身的安全性进行加固与优化。前端接口安全系统的核心代码使用TypeScript与WebAssembly开发,其中基础代码均使用TypeScript开发,而核心的加解密算法由WebAssembly开发。WebAssembly可以编译为wasm的可执行二进制文件,被客户端的浏览器执行或被js调用,由于最终编译为二进制文件,具有较高的性能与反编译安全性。基础代码由TypeScript开发,也通过关键字处理、安全外挂、控制流变换等加固技术进行混淆编译,最终输出浏览器与Node服务器可用的浏览器SDK与Node SDK,核心算法编译为wasm供前端SDK调用。
实施例三
本实施例提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述数据安全交互方法实施例中的步骤,例如图2所示的S21-S26:
S21,接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数;
S22,识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法;
S23,使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求;
S24,将所述加密数据处理请求发送至与所述目标应用对应的服务器;
S25,接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应;
S26,将所述解密数据处理响应返回所述客户端。
或者,该计算机程序被处理器执行时实现上述装置实施例中各模块/单元的功能,例如图3中的模块301-306:
所述生成模块301,用于接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数;
所述识别模块302,用于识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法;
所述加密模块303,用于使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求;
所述发送模块304,用于将所述加密数据处理请求发送至与所述目标应用对应的服务器;
所述解密模块305,用于接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应;
所述返回模块306,用于将所述解密数据处理响应返回所述客户端。
该计算机程序被处理器执行时实现上述装置实施例中的缓存模块307及更新模块308,具体请参见图3及其相关描述。
实施例四
参阅图4所示,为本发明实施例三提供的电子设备的结构示意图。在本发明较佳实施例中,所述电子设备4包括存储器42、至少一个处理器42、至少一条通信总线43及收发器44。所述电子设备4中安装有所述前端接口安全系统。
本领域技术人员应该了解,图4示出的电子设备的结构并不构成本发明实施例的限定,既可以是总线型结构,也可以是星形结构,所述电子设备4还可以包括比图示更多或更少的其他硬件或者软件,或者不同的部件布置。
在一些实施例中,所述电子设备4是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路、可编程门阵列、数字处理器及嵌入式设备等。所述电子设备4还可包括客户设备,所述客户设备包括但不限于任何一种可与客户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、数码相机等。
所述电子设备4仅为举例,其他现有的或今后可能出现的电子产品如可适应于本发明,也应包含在本发明的保护范围以内,并以引用方式包含于此。
在一些实施例中,所述存储器42中存储有计算机程序,所述计算机程序被所述至少一个处理器42执行时实现如所述的数据安全交互方法中的全部或者部分步骤。所述存储器42包括只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-OnlyMemory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子擦除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
进一步地,所述计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
在一些实施例中,所述至少一个处理器42是所述电子设备4的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备4的各个部件,通过运行或执行存储在所述存储器42内的程序或者模块,以及调用存储在所述存储器42内的数据,以执行电子设备4的各种功能和处理数据。例如,所述至少一个处理器42执行所述存储器中存储的计算机程序时实现本发明实施例中所述的数据安全交互方法的全部或者部分步骤;或者实现数据安全交互装置的全部或者部分功能。所述至少一个处理器42可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。
在一些实施例中,所述至少一条通信总线43被设置为实现所述存储器42以及所述至少一个处理器42等之间的连接通信。
尽管未示出,所述电子设备4还可以包括给各个部件供电的电源(比如电池),优选的,电源可以通过电源管理装置与所述至少一个处理器42逻辑相连,从而通过电源管理装置实现管理充电、放电、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备4还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
上述以软件功能模块的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,电子设备,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,既可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或,单数不排除复数。说明书中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种数据安全交互方法,其特征在于,所述数据安全交互方法应用于前端接口安全系统,所述方法包括:
接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数;
识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法;
使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求;
将所述加密数据处理请求发送至与所述目标应用对应的服务器;
接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应;
将所述解密数据处理响应返回所述客户端。
2.如权利要求1所述的数据安全交互方法,其特征在于,所述加密参数包括目标盐值,所述根据所述目标应用及所述数据处理请求生成加密参数包括:
获取所述目标应用的应用标识,并根据所述应用标识进行计算得到第一计算结果;
获取所述数据处理请求的请求时间,并根据所述请求时间进行计算得到第二计算结果;
根据所述第一计算结果及所述第二计算结果进行计算得到第三计算结果,并将所述第三计算结果作为所述目标盐值。
3.如权利要求2所述的数据安全交互方法,其特征在于,所述使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求包括:
获取所述加密算法对应的固定密钥;
根据所述加密参数中的目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述数据处理请求进行加密,得到加密数据处理请求。
4.如权利要求2所述的数据安全交互方法,其特征在于,所述根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应包括:
根据所述请求时间确定有效期限;
判断所述目标盐值是否在所述有效期限内;
当所述目标盐值在所述有效期限内时,获取所述加密算法对应的固定密钥;
根据所述目标盐值对所述固定密钥进行处理,得到衍生密钥;
根据所述加密算法和所述衍生密钥对所述加密数据处理响应进行解密,得到解密数据处理响应。
5.如权利要求1至4中任意一项所述的数据安全交互方法,其特征在于,所述识别所述数据处理请求的安全等级包括:
当所述数据处理请求为数据搜索请求时,确定所述数据处理请求的安全等级为预设第一安全等级;
当所述数据处理请求为数据查询请求时,确定所述数据处理请求的安全等级为预设第二安全等级;
当所述数据处理请求为数据交易请求时,确定所述数据处理请求的安全等级为预设第三安全等级;
其中,所述预设第一安全等级低于所述预设第二安全等级,所述预设第二安全等级低于所述预设第三安全等级。
6.如权利要求1至4中任意一项所述的数据安全交互方法,其特征在于,所述方法还包括:
监控所述客户端的资源利用率;
当所述资源利用率低于预设资源利用率阈值时,将所述配置数据库中的安全等级及加密算法缓存至所述客户端的浏览器中。
7.如权利要求6所述的数据安全交互方法,其特征在于,所述方法还包括:
在预设第一时间点获取所述前端接口安全系统对应的第一全量代码,并根据所述第一全量代码生成第一快照;
在预设第二时间点获取所述前端接口安全系统对应的第二全量代码,并根据所述第二全量代码生成第二快照;
比较所述第二快照与所述第一快照是否一致;
当所述第二快照与所述第一快照不一致时,更新所述配置数据库。
8.一种数据安全交互装置,其特征在于,所述数据安全交互装置运行于前端接口安全系统,所述装置包括:
生成模块,用于接收客户端发起的对目标应用的数据处理请求,并根据所述目标应用及所述数据处理请求生成加密参数;
识别模块,用于识别所述数据处理请求的安全等级,并从配置数据库中获取与所述安全等级对应的加密算法;
加密模块,用于使用所述加密参数及所述加密算法对所述数据处理请求进行加密,得到加密数据处理请求;
发送模块,用于将所述加密数据处理请求发送至与所述目标应用对应的服务器;
解密模块,用于接收所述服务端发送的加密数据处理响应,并根据所述加密参数及所述加密算法对所述加密数据处理响应进行解密,得到解密数据处理响应;
返回模块,用于将所述解密数据处理响应返回所述客户端。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述处理器用于执行所述存储器中存储的计算机程序时实现如权利要求1至7中任意一项所述数据安全交互方法。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述数据安全交互方法。
CN202310429521.8A 2023-04-13 2023-04-13 数据安全交互方法、装置、电子设备及存储介质 Pending CN116488892A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310429521.8A CN116488892A (zh) 2023-04-13 2023-04-13 数据安全交互方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310429521.8A CN116488892A (zh) 2023-04-13 2023-04-13 数据安全交互方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116488892A true CN116488892A (zh) 2023-07-25

Family

ID=87226316

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310429521.8A Pending CN116488892A (zh) 2023-04-13 2023-04-13 数据安全交互方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116488892A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640220A (zh) * 2023-12-04 2024-03-01 广州启宁信息科技有限公司 一种数据传输安全管理方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640220A (zh) * 2023-12-04 2024-03-01 广州启宁信息科技有限公司 一种数据传输安全管理方法及装置

Similar Documents

Publication Publication Date Title
CN109257342B (zh) 区块链跨链的认证方法、系统、服务器及可读存储介质
US10560450B2 (en) Algorithm hardening in background context and external from the browser to prevent malicious intervention with the browser
CN111492624B (zh) 用于控制和/或监控装置的方法和控制系统
US8484480B2 (en) Transmitting information using virtual input layout
KR100936920B1 (ko) 원 타임 패스워드를 사용하는 관리 서버 예약 접속 방법,클라이언트 및 시스템
CN111737366B (zh) 区块链的隐私数据处理方法、装置、设备以及存储介质
CN116980230B (zh) 一种信息安全保护方法及装置
CN106790045B (zh) 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法
CN112313908B (zh) 用于控制和/或监控装置的方法和控制系统
KR20160081255A (ko) Otp 제공을 위한 모바일 단말 및 그 동작 방법
Gu et al. Secure data sequence query framework based on multiple fogs
CN116488892A (zh) 数据安全交互方法、装置、电子设备及存储介质
CN113872751B (zh) 业务数据的监控方法、装置、设备及存储介质
CN111934882B (zh) 基于区块链的身份认证方法、装置、电子设备及存储介质
Chen et al. Privacy-preserving anomaly detection of encrypted smart contract for blockchain-based data trading
CN109698839B (zh) 一种基于非对称算法的脱敏数据比对方法及装置
Kim et al. Single tag sharing scheme for multiple-object RFID applications
CN114189515B (zh) 基于sgx的服务器集群日志获取方法和装置
CN112104625B (zh) 一种进程访问的控制方法及装置
CN114866228A (zh) 一种实现软密码模块的方法、系统、存储介质及终端
Xiaohong et al. Intelligent computing scheme of blockchain based on trusted execution environment
CN115391795A (zh) 数据处理方法、相关设备及介质
Szymoniak Kaochow protocol timed analysis
TWI841331B (zh) 零信任鑑別聲明系統、方法及電腦可讀媒介
CN114117553B (zh) 基于区块链的物联网终端的控制方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination