CN116827565A - 一种数据访问方法、系统、装置以及存储介质 - Google Patents
一种数据访问方法、系统、装置以及存储介质 Download PDFInfo
- Publication number
- CN116827565A CN116827565A CN202210278883.7A CN202210278883A CN116827565A CN 116827565 A CN116827565 A CN 116827565A CN 202210278883 A CN202210278883 A CN 202210278883A CN 116827565 A CN116827565 A CN 116827565A
- Authority
- CN
- China
- Prior art keywords
- access path
- access
- page
- polynomial
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000001960 triggered effect Effects 0.000 claims abstract description 13
- 238000012795 verification Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000004590 computer program Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种数据访问方法,用以解决采用现有数据访问方法,由于待访问数据的地址以及参数都由明文显示,用户很容易通过篡改参数并模拟地址非法打开一些敏感数据链接,而导致出现敏感数据泄露,进而可能造成系统安全隐患的问题。方法包括:判断待访问页面是否为敏感页面;当判断待访问页面为敏感页面时,根据截断多项式环对待访问页面的原始访问路径进行加密,得到与待访问页面对应的虚拟访问路径,并将虚拟访问路径反馈至访问用户;接收访问用户根据虚拟访问路径触发的数据访问请求,当对虚拟访问路径的验证通过后,对虚拟访问路径进行解密还原,得到原始访问路径;基于原始访问路径确定访问数据,并将所述访问数据发送给访问用户。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种数据访问方法、系统、装置以及存储介质。
背景技术
流程系统是基于局域网建设的内部工作流系统,随着业务量的不断扩大,越来越多的敏感信息被纳入流程系统,如话单查询信息、账号信息、策略信息等,这些信息对系统和数据的安全性要求比较高。
在相关技术中,流程系统在支撑网络运维工作中所使用的安全技术方案如下:(1)附件下载功能是通过共用的附件下载url进行下载。用户通过自己账号登录系统进行附件下载时,能看到附件下载需要的所有参数和url地址,如果通过一些非正当手段获取到其他附件的参数信息,就能够模拟附件下载地址进行附件下载,存在一定安全隐患;(2)系统中存在部分敏感数据需要经上级领导审批后才能打开,如果有人非正当获取到敏感页面的url地址并添加相关必要参数,就能够绕过上级领导审批而直接打开敏感数据页面,存在一定安全风险。
由此可见,如何保证业务流程系统数据访问的安全性,避免敏感信息的泄露,成为本领域技术人员亟待解决的问题。
发明内容
本申请实施例提供一种数据访问方法,用以解决采用现有数据访问方法,由于待访问数据的地址以及参数都由明文显示,用户很容易通过篡改参数并模拟地址非法打开一些敏感数据链接,而导致出现敏感数据泄露,进而可能造成系统安全隐患的问题。
本申请实施例还提供一种数据访问系统,用以解决采用现有数据访问方法,由于待访问数据的地址以及参数都由明文显示,用户很容易通过篡改参数并模拟地址非法打开一些敏感数据链接,而导致出现敏感数据泄露,进而可能造成系统安全隐患的问题。
本申请实施例还提供一种数据访问装置,用以解决采用现有数据访问方法,由于待访问数据的地址以及参数都由明文显示,用户很容易通过篡改参数并模拟地址非法打开一些敏感数据链接,而导致出现敏感数据泄露,进而可能造成系统安全隐患的问题。
本申请实施例还提供一种计算机可读存储介质,用以解决采用现有数据访问方法,由于待访问数据的地址以及参数都由明文显示,用户很容易通过篡改参数并模拟地址非法打开一些敏感数据链接,而导致出现敏感数据泄露,进而可能造成系统安全隐患的问题。
本申请实施例采用下述技术方案:
一种数据访问方法,包括:判断待访问页面是否为敏感页面;当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
一种数据访问系统,包括:敏感页面确定单元,用于判断待访问页面是否为敏感页面;访问路径加密单元,用于当敏感页面确定单元判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;访问路径还原单元,用于接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;访问单元,用于基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
一种数据访问装置,包括:
处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:判断待访问页面是否为敏感页面;当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:判断待访问页面是否为敏感页面;当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
采用本申请实施例提供的数据访问方法,当用户需要访问系统某页面时,系统首先可以判断该待访问页面是否为敏感页面,当确定该待访问页面为敏感页面后,可以利用截断多项式环对该待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将虚拟访问路径反馈至访问用户;进而访问用户可以通过点击该虚拟访问路径的方式,向系统发送数据访问请求;系统在接收到该数据访问请求后,会对该虚拟访问路径的有效性进行验证,在对该虚拟访问路径的验证通过后,可以对该虚拟访问路径进行解密还原,得到原始访问路径,并基于原始访问路径确定访问数据,并将访问数据发送给访问用户,以实现用户对敏感数据的访问。采用本方案所提供的数据访问方法,可以通过截断多项式环单元对敏感页面对应的原始路径进行加密,生成虚拟访问路径,通过该种加密方式,对原始访问路径中所携带的数据地址以及请求参数进行了加密,使得攻击者通过盗取该虚拟访问路径的方式,无法检测到用户请求了哪些数据,进而也就无法通过篡改参数或者模拟地址非法打开一些敏感数据链接,极大地保证了用户针对敏感数据访问的安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种数据访问方法的具体流程示意图;
图2为本申请实施例提供的一种数据访问系统的具体结构示意图;
图3为本申请实施例提供的一种数据访问装置的具体结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
本申请实施例提供的一种数据访问方法,用以解决采用现有数据访问方法,由于待访问数据的地址以及参数都由明文显示,用户很容易通过篡改参数并模拟地址非法打开一些敏感数据链接,而导致出现敏感数据泄露,进而可能造成系统安全隐患的问题。
本申请实施例提供的数据访问方法的执行主体,可以但不限于为流程管理系统、数据安全系统以及安全管理系统等中的至少一种;此外,该方法的执行主体还可以是运行该些系统的数据安全服务器本身。
为便于描述,下文以该方法的执行主体为流程管理系统为例,对该方法的实施方式进行介绍。可以理解,该方法的执行主体为流程管理系统只是一种示例性的说明,并不应理解为对该方法的限定。
本申请所提供的数据访问方法的具体实现流程示意图如图1所示,主要包括下述步骤:
步骤11,判断待访问页面是否为敏感页面;
在本申请实施例中,访问用户可以通过点击流程管理系统操作界面中特定操作按键,以触发针对特定操作页面的访问请求(或者是针对指定数据的下载轻请求),比如,访问用户可以在操作界面中点击“客户账号查询”按键,进而可以触发针对“客户账号”数据的下载请求。
流程管理系统根据访问用户发送的访问请求,确定与该访问请求对应的待访问页面(或者待访问数据),并可以通过在预先设置的敏感页面数据库中进行查找匹配的方式,确定该待访问页面是否为敏感页面。
这里需要说明的是,系统管理人员可以根据业务需要,在该敏感页面数据库中进行敏感页面的管理,比如可以在该数据库中录入新增敏感页面,或者也可以在该数据库中删除已失效的敏感页面等。
步骤12,当通过执行步骤11判断该待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;
在一种实施方式中,具体可以采用以下子步骤对原始访问路径进行加密,以得到与待访问页面对应的虚拟访问路径:
子步骤1201:根据所述原始访问路径,生成与所述原始访问路径对应的第一多项式;
在本申请实施例中,为了便于利用截断多项式环对原始访问路径进行加密,流程管理系统首先可以将该原始访问路径转换为对应的多项式形式。
在一种实施方式中,可以通过如下方式将原始访问路径转换为多项式形式:分别确定所述原始访问路径中各字符在表示所述原始路径的字符串中的位置信息;根据所述原始访问路径所包含的字符数量,生成一个项数与所述字符数量相同的多项式;将所述位置信息作为所述多项式中各项对应的系数,生成与所述原始访问路径对应的第一多项式。
首先,流程管理系统可以确定原始访问路径所包含的字符数量,以及每个字符在该原始访问路径中的位置信息,例如,假设获取到的原始访问路径为:“http://127.0.1”,可以确定该原始访问路径一共包含14个字符,且每个字符在该字符串中的位置信息可以表示为:“h1”;“t2”;“t3”;“p4”;“:5”等等。
其次,根据确定的位置信息,生成与该原始访问路径对应的多项式,其中该多项式的项数与原始访问路径所包含的字符数量相同,而该多项式的各项以及各项的系数,则由每个字符串的位置信息确定。
例如,由位置信息“h1”可以生成多项式的项为:“h”;由位置信息“t2”可以生产层多项式的项为:“2t”,位置信息“t3”可以生产层多项式的项为:“3t”,而针对原始访问路径中所包含的符号或者数字,则可以预先设置各个符号以及数字对应的字母,并保存为符号映射表,进而后期可以通过查找该符号映射表,确定原始访问路径中各个符号以及数字所对应的字母,进而确定多项式的项。
假设,预先设置符号“:”对应的字母为a1,符号“/”对应的字母为a2,符号“.”对应的字母为a3,数字“1”对应的字母为b1,数字“2”对应的字母为b2,数字“7”对应的字母为b7,数字“0”对应的字母为b0,则可以确定原始访问路径:“http://127.0.0.1”对应的多项式如下公式[1]为:
M(y)=h+2t+3t-4p-5a1+6a2+7a2-8b1-9b2+14b0+10b7-11a3-12b0-13a3[1]
子步骤1202:在预先生成的截断多项式环上选取两个多项式,作为第二多项式以及第三多项式;
在一种实施方式中,需要保证选取的两个多项式的各项系数互质或者最大公因数等于1,即gcd(p,q)=1,其中p和q分别表示这两个多项式的系数,另外需要这两个多项式的系数必须在(-1,0,1)中,且每个多项式的正系数总数比负系数总数多一。
例如,选取的两个多项式可以为:
第二多项式:f(y)=-1+y+y2-y4+y6+y9-y10;
第三多项式:g(y)=-1+y2+y3+y5-y8。
子步骤1203:根据所述第二多项式以及所述第三多项式,生成加密密钥;
具体地址,可以根据第二多项式,按照以下公式[2]计算第一参数:
Fq=F(y)mod q [2]
其中,Fq表示第一参数,F(y)表示所述第二多项式,p表示所述第二多项式中各项的系数.
根据第二多项式、第三多项式以及第一参数,按照以下公式[3]计算加密密钥:
Pk=p×(Fq×G(y))mod q [3]
其中,G(y)表示第三多项式,q表示第三多项式中各项的系数。
子步骤1204:根据通过执行子步骤1203计算得到的加密密钥以及第一多项式,对原始访问路径进行加密,得到与待访问页面对应的虚拟访问路径。
在预先生成的截断多项式环上选取一个多项式,作为第四多项式,其中,该第四多项式中系数为正数项的数量与所述第四多项式中系数为负数项的数量相同。
按照以下公式[4]确定与原始访问路径对应的虚拟访问路径:
Em=R(y)×Pk+M(y)(mod q) [4]
其中,R(y)表示第四多项式,M(y)表示所述第一多项式。
通过执行上述子步骤1201~子步骤1204,可以完成对原始访问路径的加密,对原始访问路径中所携带的数据地址以及请求参数进行了加密,使得攻击者通过盗取该虚拟访问路径的方式,无法检测到用户请求了哪些数据,进而也就无法通过篡改参数或者模拟地址非法打开一些敏感数据链接,极大地保证了用户针对敏感数据访问的安全性。
同时,为了进一步保证虚拟访问路径的安全性,在本申请实施例中,还可以针对虚拟访问路径设置访问有效期,并将该虚拟访问路径、虚拟访问路径对应的访问有效期、访问用户以及虚拟访问路径的生成时间存储至预先设置的访问数据表,以保证后续当用户通过该虚拟访问路径请求访问时,可以首先根据该访问数据表,对该虚拟访问路径的有效性进行验证。其中对所述虚拟访问路径的具体验证方式,详见下文描述,此处不再赘述。
步骤13,接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;
在一种实施方式中,具体可以按照如下方法对虚拟访问路径进行验证:确定当前接收到的所述虚拟访问路径对应的当前访问用户以及接收时间;针对接收到的所述虚拟访问路径,查询所述访问数据表,判断所述访问数据表中是否存在与接收到的所述虚拟访问路径匹配的数据;当在所述访问数据表中查询到匹配数据后,判断所述当前访问用户与所述访问数据表中记录的访问用户是否一致;当判断所述当前访问用于与所述访问数据表中记录的访问用户一致时,根据所述接收时间,判断所述虚拟访问路径是否处于有效期,并在确定所述虚拟访问路径处于有效期后,确定所述虚拟访问路径验证通过。
假设,流程管理系统在2022年3月10号15点30分接收到了用户A基于虚拟访问路径a发送的访问请求,在访问数据表中查询到了与虚拟访问路径a相匹配的记录,同时在该访问数据表中确定了虚拟访问路径的生成时间为:2022年3月10号15点25分,访问用户为:用户A,访问有效期为10分钟,则可以判断当前虚拟访问路径有效。
在通过上述步骤完成对虚拟访问路径的验证后,流程管理系统可以对该条虚拟访问路径进行解密还原,以确定原始访问路径,在一种实施方式中,具体可以按照如下方式对接收到的虚拟访问路径进行解密还原:
按照以下公式[5]对虚拟访问路径进行解密还原,得到第一中间值:
D1=F(y)×Em(mod q) [5]
按照以下公式[6]对计算得到的第一中间值进行解密还原,得到第二中间值:
D2=D1(mod p) [6]
按照以下公式[7]对第二中间值进行解密还原,得到原始访问路径对应的第一多项式:
M(y)=Fp×D2(mod p) [7]
其中,Fp表示解密私钥,在一种实施方式中,可以按照以下公式[8]计算确定所述解密私钥:
Fp=F(y)-1mod p [8]
根据所述第一多项式中各项的系数,确定所述原始访问路径。
步骤14,基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
采用本申请实施例提供的数据访问方法,当用户需要访问系统某页面时,系统首先可以判断该待访问页面是否为敏感页面,当确定该待访问页面为敏感页面后,可以利用截断多项式环对该待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将虚拟访问路径反馈至访问用户;进而访问用户可以通过点击该虚拟访问路径的方式,向系统发送数据访问请求;系统在接收到该数据访问请求后,会对该虚拟访问路径的有效性进行验证,在对该虚拟访问路径的验证通过后,可以对该虚拟访问路径进行解密还原,得到原始访问路径,并基于原始访问路径确定访问数据,并将访问数据发送给访问用户,以实现用户对敏感数据的访问。采用本方案所提供的数据访问方法,可以通过截断多项式环单元对敏感页面对应的原始路径进行加密,生成虚拟访问路径,通过该种加密方式,对原始访问路径中所携带的数据地址以及请求参数进行了加密,使得攻击者通过盗取该虚拟访问路径的方式,无法检测到用户请求了哪些数据,进而也就无法通过篡改参数或者模拟地址非法打开一些敏感数据链接,极大地保证了用户针对敏感数据访问的安全性。
在一种实施方式中,在一种实施方式中,本申请实施例还提供了一种数据访问系统,用以解决采用现有数据访问方法,由于待访问数据的地址以及参数都由明文显示,用户很容易通过篡改参数并模拟地址非法打开一些敏感数据链接,而导致出现敏感数据泄露,进而可能造成系统安全隐患的问题。该网络安全评估系统的具体结构示意图如图2所示,包括:敏感页面确定单元21、访问路径加密单元22、访问路径还原单元23以及访问单元24。
其中,敏感页面确定单元21,用于判断待访问页面是否为敏感页面;
访问路径加密单元22,用于当敏感页面确定单元判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;
访问路径还原单元23,用于接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;
访问单元24,用于基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
在一种实施方式中,访问路径加密单元22,具体用于:根据所述原始访问路径,生成与所述原始访问路径对应的第一多项式;在预先生成的截断多项式环上选取两个多项式,作为第二多项式以及第三多项式;根据所述第二多项式以及所述第三多项式,生成加密密钥;根据所述加密密钥以及所述第一多项式,对所述原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径。
在一种实施方式中,访问路径加密单元22,具体用于:分别确定所述原始访问路径中各字符在表示所述原始路径的字符串中的位置信息;根据所述原始访问路径所包含的字符数量,生成一个项数与所述字符数量相同的多项式;将所述位置信息作为所述多项式中各项对应的系数,生成与所述原始访问路径对应的第一多项式。
在一种实施方式中,访问路径加密单元22,具体用于:根据所述第二多项式,按照以下公式计算第一参数:
Fq=F(y)mod q
其中,Fq表示所述第一参数,F(y)表示所述第二多项式,p表示所述第二多项式中各项的系数;
根据所述第二多项式、所述第三多项式以及所述第一参数,按照以下公式计算加密密钥:
Pk=p×(Fq×G(y))mod q
其中,G(y)表示所述第三多项式,q表示所述第三多项式中各项的系数。
在一种实施方式中,访问路径加密单元22,具体用于:在预先生成的截断多项式环上选取一个多项式,作为第四多项式,其中,所述第四多项式中系数为正数项的数量与所述第四多项式中系数为负数项的数量相同;
按照以下公式确定与所述待访问页面对应的虚拟访问路径:
Em=R(y)×Pk+M(y)(mod q)
其中,R(y)表示所述第四多项式,M(y)表示所述第一多项式。
在一种实施方式中,访问路径加密单元22,还用于:针对所述虚拟访问路径,设置访问有效期;将所述虚拟访问路径存储至预先设置的访问数据表,并在所述访问数据表中对应记录所述虚拟访问路径对应的访问有效期、访问用户以及所述虚拟访问路径的生成时间;
则访问路径还原单元23,具体用于:确定当前接收到的所述虚拟访问路径对应的当前访问用户以及接收时间;针对接收到的所述虚拟访问路径,查询所述访问数据表,判断所述访问数据表中是否存在与接收到的所述虚拟访问路径匹配的数据;当在所述访问数据表中查询到匹配数据后,判断所述当前访问用户与所述访问数据表中记录的访问用户是否一致;当判断所述当前访问用于与所述访问数据表中记录的访问用户一致时,根据所述接收时间,判断所述虚拟访问路径是否处于有效期,并在确定所述虚拟访问路径处于有效期后,确定所述虚拟访问路径验证通过。
在一种实施方式中,访问路径还原单元23,具体用于:按照以下公式对所述虚拟访问路径进行解密还原,得到第一中间值:
D1=F(y)×Em(mod q)
按照以下公式对所述第一中间值进行解密还原,得到第二中间值:
D2=D1(mod p)
按照以下公式对所述第二中间值进行解密还原,得到所述原始访问路径对应的第一多项式:
M(y)=Fp×D2(mod p)
其中,Fp表示解密私钥,按照以下公式计算确定所述解密私钥:
Fp=F(y)-1mod p
根据所述第一多项式中各项的系数,确定所述原始访问路径。
采用本申请实施例提供的数据访问系统,当用户需要访问系统某页面时,系统首先可以判断该待访问页面是否为敏感页面,当确定该待访问页面为敏感页面后,可以利用截断多项式环对该待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将虚拟访问路径反馈至访问用户;进而访问用户可以通过点击该虚拟访问路径的方式,向系统发送数据访问请求;系统在接收到该数据访问请求后,会对该虚拟访问路径的有效性进行验证,在对该虚拟访问路径的验证通过后,可以对该虚拟访问路径进行解密还原,得到原始访问路径,并基于原始访问路径确定访问数据,并将访问数据发送给访问用户,以实现用户对敏感数据的访问。采用本方案所提供的数据访问方法,可以通过截断多项式环单元对敏感页面对应的原始路径进行加密,生成虚拟访问路径,通过该种加密方式,对原始访问路径中所携带的数据地址以及请求参数进行了加密,使得攻击者通过盗取该虚拟访问路径的方式,无法检测到用户请求了哪些数据,进而也就无法通过篡改参数或者模拟地址非法打开一些敏感数据链接,极大地保证了用户针对敏感数据访问的安全性。
图3是本申请的一个实施例电子设备的结构示意图。请参考图3,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成数据访问装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
判断待访问页面是否为敏感页面;当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
上述如本申请图3所示实施例揭示的数据访问电子设备执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
当然,除了软件实现方式之外,本申请的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图1所示实施例的方法,并具体用于执行以下操作:
判断待访问页面是否为敏感页面;当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种数据访问方法,其特征在于,包括:
判断待访问页面是否为敏感页面;
当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;
接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;
基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
2.根据权利要求1所述的方法,其特征在于,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,具体包括:
根据所述原始访问路径,生成与所述原始访问路径对应的第一多项式;
在预先生成的截断多项式环上选取两个多项式,作为第二多项式以及第三多项式;
根据所述第二多项式以及所述第三多项式,生成加密密钥;
根据所述加密密钥以及所述第一多项式,对所述原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径。
3.根据权利要求2所述的方法,其特征在于,根据所述原始访问路径,生成与所述原始访问路径对应的第一多项式,具体包括:
分别确定所述原始访问路径中各字符在表示所述原始路径的字符串中的位置信息;
根据所述原始访问路径所包含的字符数量,生成一个项数与所述字符数量相同的多项式;
将所述位置信息作为所述多项式中各项对应的系数,生成与所述原始访问路径对应的第一多项式。
4.根据权利要求2所述的方法,其特征在于,所述根据所述第二多项式以及所述第三多项式,生成加密密钥,具体包括:
根据所述第二多项式,按照以下公式计算第一参数:
Fq=F(y)mod q
其中,Fq表示所述第一参数,F(y)表示所述第二多项式,p表示所述第二多项式中各项的系数;
根据所述第二多项式、所述第三多项式以及所述第一参数,按照以下公式计算加密密钥:
Pk=p×(Fq×G(y))mod q
其中,G(y)表示所述第三多项式,q表示所述第三多项式中各项的系数。
5.根据权利要求1所述的方法,其特征在于,所述根据所述加密密钥以及所述第一多项式,对所述原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,具体包括:
在预先生成的截断多项式环上选取一个多项式,作为第四多项式,其中,所述第四多项式中系数为正数项的数量与所述第四多项式中系数为负数项的数量相同;
按照以下公式确定与所述待访问页面对应的虚拟访问路径:
Em=R(y)×Pk+M(y)(modq)
其中,R(y)表示所述第四多项式,M(y)表示所述第一多项式。
6.根据权利要求1所述的方法,其特征在于,所述根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径后,还包括:
针对所述虚拟访问路径,设置访问有效期;
将所述虚拟访问路径存储至预先设置的访问数据表,并在所述访问数据表中对应记录所述虚拟访问路径对应的访问有效期、访问用户以及所述虚拟访问路径的生成时间;
则对所述虚拟访问路径的验证,具体包括:
确定当前接收到的所述虚拟访问路径对应的当前访问用户以及接收时间;
针对接收到的所述虚拟访问路径,查询所述访问数据表,判断所述访问数据表中是否存在与接收到的所述虚拟访问路径匹配的数据;
当在所述访问数据表中查询到匹配数据后,判断所述当前访问用户与所述访问数据表中记录的访问用户是否一致;
当判断所述当前访问用于与所述访问数据表中记录的访问用户一致时,根据所述接收时间,判断所述虚拟访问路径是否处于有效期,并在确定所述虚拟访问路径处于有效期后,确定所述虚拟访问路径验证通过。
7.根据权利要求1所述的方法,其特征在于,所述对所述虚拟访问路径进行解密还原,得到原始访问路径,具体包括:
按照以下公式对所述虚拟访问路径进行解密还原,得到第一中间值:
D1=F(y)×Em(modq)
按照以下公式对所述第一中间值进行解密还原,得到第二中间值:
D2=D1(modp)
按照以下公式对所述第二中间值进行解密还原,得到所述原始访问路径对应的第一多项式:
M(y)=Fp×D2(modp)
其中,Fp表示解密私钥,按照以下公式计算确定所述解密私钥:
Fp=F(y)-1mod p
根据所述第一多项式中各项的系数,确定所述原始访问路径。
8.一种数据访问系统,其特征在于,包括:
敏感页面确定单元,用于判断待访问页面是否为敏感页面;
访问路径加密单元,用于当敏感页面确定单元判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;
访问路径还原单元,用于接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;
访问单元,用于基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
9.一种数据访问装置,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
判断待访问页面是否为敏感页面;
当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;
接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;
基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
10.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
判断待访问页面是否为敏感页面;
当判断所述待访问页面为敏感页面时,根据截断多项式环对所述待访问页面的原始访问路径进行加密,得到与所述待访问页面对应的虚拟访问路径,并将所述虚拟访问路径反馈至访问用户;
接收所述访问用户根据所述虚拟访问路径触发的数据访问请求,当对所述虚拟访问路径的验证通过后,对所述虚拟访问路径进行解密还原,得到原始访问路径;
基于所述原始访问路径确定访问数据,并将所述访问数据发送给所述访问用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210278883.7A CN116827565A (zh) | 2022-03-21 | 2022-03-21 | 一种数据访问方法、系统、装置以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210278883.7A CN116827565A (zh) | 2022-03-21 | 2022-03-21 | 一种数据访问方法、系统、装置以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116827565A true CN116827565A (zh) | 2023-09-29 |
Family
ID=88126201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210278883.7A Pending CN116827565A (zh) | 2022-03-21 | 2022-03-21 | 一种数据访问方法、系统、装置以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116827565A (zh) |
-
2022
- 2022-03-21 CN CN202210278883.7A patent/CN116827565A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108932297B (zh) | 一种数据查询、数据共享的方法、装置及设备 | |
| CN113012008B (zh) | 一种基于可信硬件的身份管理方法、装置及设备 | |
| CN1981262B (zh) | 受信任许可证的移除 | |
| CN111814196B (zh) | 一种数据处理方法、装置及设备 | |
| CN102073826A (zh) | 利用轻量级数字水印添加组件的数字版权管理的系统和方法 | |
| JP2005521281A (ja) | 認証可能な位置データ | |
| US20230080528A1 (en) | Smart data protection | |
| US10536276B2 (en) | Associating identical fields encrypted with different keys | |
| CN110309669B (zh) | 一种数据标注方法、装置及设备 | |
| WO2006065012A1 (en) | System for issuing licenses to protect multi-level distributed digital contents and method thereof | |
| CN110992218A (zh) | 一种基于区块链的音乐版权保护方法及设备、介质 | |
| CN110474775B (zh) | 一种块链式账本中的用户创建方法、装置及设备 | |
| CN111193597A (zh) | 一种可验证声明的传输方法、装置、设备及系统 | |
| EP1430680B1 (en) | Server with file verification | |
| Nair et al. | Enabling DRM-preserving digital content redistribution | |
| CN113918982B (zh) | 一种基于标识信息的数据处理方法及系统 | |
| US20050060544A1 (en) | System and method for digital content management and controlling copyright protection | |
| CN107026841B (zh) | 在网络中发布作品的方法和装置 | |
| CN111104693A (zh) | 一种Android平台软件数据破解方法、终端设备及存储介质 | |
| CN116827565A (zh) | 一种数据访问方法、系统、装置以及存储介质 | |
| CN113901498B (zh) | 一种数据共享方法、装置、设备及存储介质 | |
| CN112866235B (zh) | 一种数据处理方法、装置及设备 | |
| CN117113437B (zh) | 一种文件篡改检测方法、装置、计算机设备及存储介质 | |
| CN113946864B (zh) | 一种机密信息获取方法、装置、设备及存储介质 | |
| CN110008657B (zh) | 一种保护网页代码的方法、存储介质、电子设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |