CN116865999A - 一种加密方法、装置、设备及存储介质 - Google Patents

一种加密方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116865999A
CN116865999A CN202310666614.2A CN202310666614A CN116865999A CN 116865999 A CN116865999 A CN 116865999A CN 202310666614 A CN202310666614 A CN 202310666614A CN 116865999 A CN116865999 A CN 116865999A
Authority
CN
China
Prior art keywords
file
encryption
target
encrypted
plaintext data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310666614.2A
Other languages
English (en)
Inventor
袁航
邹奋
周雍恺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN202310666614.2A priority Critical patent/CN116865999A/zh
Publication of CN116865999A publication Critical patent/CN116865999A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种加密方法、装置、设备及存储介质,涉及安全信息技术领域,该方法包括:检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存文件;对文件进行识别,获得文件中的满足加密条件的明文数据;在可信执行环境中采用文件路径对应的工作密钥,对明文数据进行加密,获得目标密文;采用目标密文替换文件中的明文数据,获得目标加密文件。通过在可信执行环境下对文件进行加密、传输、存储,使得密钥明文都在安全的环境中进行,提升了文件的安全性。通过识别文件中的满足加密条件的明文数据,从而仅仅对满足加密条件的明文数据进行加密,避免了将文件中的所有内容进行加密,减少了文件加密的资源消耗。

Description

一种加密方法、装置、设备及存储介质
技术领域
本申请涉及安全信息技术领域,尤其涉及一种加密方法、装置、设备及存储介质。
背景技术
文件的安全存储问题得到了越来越多的关注,现如今对文件进行加密一般采用应用侧加密的方法,也就是将密钥明文存储在加密机中,然后通过加密机对文件中的敏感数据进行加密。具体在加密敏感数据时,从加密机中读取密钥明文存放在内存中,在内存中对数据进行加密,然后将加密后的密文数据存入文件。
然而,采用应用侧加密方法对敏感数据进行加密时,密钥明文会出现在加密机外的应用内存中,导致密钥安全性不足。同时,该方法也无法做到对现有系统兼容,应用代码需要改造,还会带来成本较高的问题。
发明内容
本申请实施例提供了一种加密方法、装置、设备及存储介质,用于提升数据加密的安全性并降低成本。
一方面,本申请实施例提供了一种加密方法,包括:
检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存所述文件;
对所述文件进行识别,获得所述文件中的满足加密条件的明文数据;
在可信执行环境中采用所述文件路径对应的工作密钥,对所述明文数据进行加密,获得目标密文;
采用所述目标密文替换所述文件中的明文数据,获得目标加密文件。
本申请实施例中,通过从加密目录下获取文件,可以将文件和不需加密文件进行区分,使得文件得到安全存储,通过在可信执行环境下对文件进行加密、传输、存储,使得密钥明文都在安全的环境中进行,进一步提升了文件的安全性。通过识别文件中的满足加密条件的明文数据,从而仅仅对满足加密条件的明文数据进行加密,将目标密文替换明文数据,避免了将文件中的所有内容进行加密,只针对目标密文进行加密,减少了文件加密的资源消耗。
可选地,所述检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存所述文件之前,还包括:
接收目录注册命令后,在所述可信执行环境中生成所述文件路径对应的工作密钥;
在所述可信执行环境中,采用保护密钥对所述工作密钥进行加密,并将加密后的所述工作密钥保存在本地节点。
本申请实施例中,在对文件进行加密之前,首先在可信执行环境中生成文件路径对应的工作密钥,可以使得将文件按照文件路径保存。通过采用保护密钥对工作密钥进行加密,使得工作密钥更加安全。
可选地,还包括:
通过与管理节点之间建立加密传输通道,将本地节点的标识、所述文件路径、加密后的所述工作密钥发送至所述管理节点进行备份存储,所述本地节点的标识是基于本地节点的名称、本地节点的网络协议地址和时间信息确定的。
本申请实施例中,通过与管理节点建立加密传输通道,可以在管理节点进行存储备份,节省了本地节点的空间,同时通过加密传输通道,可以使得在与管理节点进行传输时保证了传输的安全性。
可选地,所述采用所述目标密文替换所述文件中的明文数据,获得目标加密文件,包括:
采用所述目标密文和相应的加密标识替换所述文件中的明文数据,获得目标加密文件。
本申请实施例中,根据加密标识,用目标密文替换文件中的明文数据,使得替换的过程安全,同时也避免了错误替换的问题。
可选地,所述采用所述目标密文替换所述文件中的明文数据,获得目标加密文件之后,还包括:
通过虚拟文件系统,以数据流的方式将所述目标加密文件传递至文件系统。
本申请实施例中,通过虚拟文件系统将目标加密文件传递至文件系统,减少了文件系统的工作量,进而减轻系统的工作量。
可选地,还包括:
检测到应用读取所述目标加密文件时,基于所述目标加密文件中的加密标识,识别所述目标加密文件中的目标密文;
在可信执行环境中采用所述文件路径对应的工作密钥,对所述目标密文进行解密,获得所述明文数据;
采用所述明文数据替换所述文件中的目标密文,获得所述待加密。
本申请实施例中,通过在可信执行环境中对目标密文进行解密,使得解密的过程更加安全,根据文件路径对应的工作密钥对目标密文进行解密,保证的解密的严谨性和安全性。
可选地,还包括:
通过所述虚拟文件系统将所述文件传递至所述文件系统。
本申请实时例中,在解密后通过虚拟文件系统将文件传递至文件系统,避免了文件系统的工作量过多而给整个系统带来负担。
一方面,本申请实施例提供了一种加密装置,该装置包括:
获取模块,用于检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存所述文件;
识别模块,用于对所述文件进行识别,获得所述文件中的满足加密条件的明文数据;
加密模块,用于在可信执行环境中采用所述文件路径对应的工作密钥,对所述明文数据进行加密,获得目标密文;
替换模块,用于采用所述目标密文替换所述文件中的明文数据,获得目标加密文件。
可选地,所述获取模块具体用于:
接收目录注册命令后,在所述可信执行环境中生成所述文件路径对应的工作密钥;
在所述可信执行环境中,采用保护密钥对所述工作密钥进行加密,并将加密后的所述工作密钥保存在本地节点。
可选地,所述获取模块还用于:
通过与管理节点之间建立加密传输通道,将本地节点的标识、所述文件路径、加密后的所述工作密钥发送至所述管理节点进行备份存储,所述本地节点的标识是基于本地节点的名称、本地节点的网络协议地址和时间信息确定的。
可选地,所述替换模块具体用于:
采用所述目标密文和相应的加密标识替换所述文件中的明文数据,获得目标加密文件。
可选地,所述替换模块还用于:
通过虚拟文件系统,以数据流的方式将所述目标加密文件传递至文件系统。
可选地,所述替换模块还用于:
检测到应用读取所述目标加密文件时,基于所述目标加密文件中的加密标识,识别所述目标加密文件中的目标密文;
在可信执行环境中采用所述文件路径对应的工作密钥,对所述目标密文进行解密,获得所述明文数据;
采用所述明文数据替换所述文件中的目标密文,获得所述文件。
可选地,所述替换模块还用于:
通过所述虚拟文件系统将所述文件传递至所述文件系统。
一方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述加密方法的步骤。
一方面,本申请实施例提供了一种计算机可读存储介质,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行上述加密方法的步骤。
附图说明
图1为本申请实施例提供的一种系统架构图;
图2为本申请实施例提供的一种加密方法的流程示意图一;
图3为本申请实施例提供的一种解密方法的流程示意图;
图4为本申请实施例提供的一种加密方法的流程示意图二;
图5为本申请实施例提供的一种加密装置的结构示意图;
图6为本申请实施例提供的一种计算机设备。
具体实施方式
为了使本申请的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参考图1,其为本申请实施例适用的一种系统架构图,该系统至少包括本地节点101和远程管理节点102,其中本地节点101包括文件加密模块103、虚拟文件系统104、文件系统105。文件加密模块103包括:目录注册模块1031、敏感数据识别模块1032、加解密模块1033,目录注册模块1031用于生成用于保存待加密文件的文件路径,敏感数据识别模块1032用于识别待加密文件中的待加密内容后,将待加密内容发送至加解密模块1033,加解密模块1033用于生成文件路径所对应的工作密钥,在可信执行环境中采用工作密钥对待加密内容进行加密后,得到目标密文,敏感数据识别模块1032将目标密文替换满足加密条件的明文数据后得到目标加密文件。
本地节点101通过与管理节点102之间建立加密传输通道,将本地节点101的标识、文件路径、加密后的工作密钥发送至管理节点102进行备份存储。
本地节点101和管理节点102可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。本地节点101和管理节点102可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
在对具体实施方式展开介绍之前,首先对实施例中的专有名词进行解释。
可信执行环境,通过软硬件方法在中央处理器中构建一个安全区域,保证其内部加载的程序和数据在机密性和完整性上得到保护。本申请实施例中,可信执行环境存在本地计算节点中。
虚拟文件系统是允许和操作系统使用不同的文件系统实现的接口,它是物理文件系统与服务之间的一个接口层,不是一种实际的文件系统,它只存在于内存中。
基于图1所示的系统架构图,本申请实施例提供了一种加密方法的流程,如图2所示,该方法的流程由计算机设备执行,计算机设备可以是图1所示的本地节点101执行,包括以下步骤:
步骤201、检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存文件。
具体地,加密目录专门用于存储文件,在对文件进行加密之前,首先需要从加密目录下获取文件。在目录注册模块中,预先注册需要注册文件的文件路径,文件路径可以有多个,每个文件路径都包含各自的工作密钥。
步骤202、对文件进行识别,获得文件中的满足加密条件的明文数据。
具体地,敏感数据识别模块对文件中的满足加密条件的明文数据进行识别和并提取文件中满足加密条件的明文数据。其中,满足加密条件的明文数据是需要加密的敏感数据。敏感数据识别模块中基于规则库和命名实体识别来对满足加密条件的明文数据进行精准识别。规则库可以是根据行业监管要求标准制定的,也可以是根据业务需求定制化的,可以用来对结构化数据进行识别,如文本识别。命名实体识别可以对非结构化数据进行识别,如图片、音频等。
举例说明,文件A为一个TXT格式的文档,其中的内容为:
2021-08-24 15:24:02,085-log.py-INFO->>>>>>>>>>>>>>>>>>>手机号:18866666666(满足加密条件的明文数据,需加密)
2021-08-24 15:24:03,085-log.py-INFO->>>>>>>>>>>>>>>>>>>插入一条数据XX
2021-08-24 15:24:04,085-log.py-INFO->>>>>>>>>>>>>>>>>>>修改一条数据YY
在对文件A进行识别后,得到文件A中的满足加密条件的明文数据为:18866666666。
步骤203、在可信执行环境中采用文件路径对应的工作密钥,对明文数据进行加密,获得目标密文。
具体地,在可信执行环境中不同的文件路径对应不同的工作密钥,加解密模块基于文件的文件路径对应的工作密钥对明文数据进行加密,明文数据即满足加密条件的,从而得到目标密文。
举例说明,文件A存储在文件路径a-b-c下,该存储路径对应的工作密钥为x,加解密模块根据文件路径a-b-c以及工作密钥x对明文数据18866666666进行加密,得到目标密文mnl。
步骤204、采用目标密文替换文件中的明文数据,获得目标加密文件。
具体地,在得到目标密文后,加解密模块将目标密文发送至敏感数据识别模块,敏感数据识别模块把文件中的明文数据替换成目标密文,得到目标加密文件。
举例说明,文件A中的目标密文为mnl,文件A中的明文数据为:18866666666,用目标密文为mnl替换掉文件A中的明文数据:18866666666,得到目标加密文件A。
在一些实施例中,采用目标密文和相应的加密标识替换文件中的明文数据,获得目标加密文件。
具体地,在得到目标密文后,还要对目标密文进行标识,以方便解密时进行识别。将目标密文以及目标密文相应的加密标识替换文件中的明文数据,得到目标加密文件。加密标识为对本地节点的名称、本地节点的网络协议地址以及时间信息作哈希处理,得到的哈希值。在一些实施例中,检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存文件之前,还包括以下步骤:
接收目录注册命令后,在可信执行环境中生成文件路径对应的工作密钥。在可信执行环境中,采用保护密钥对工作密钥进行加密,并将加密后的工作密钥保存在本地节点。
具体地,在对文件进行加密之前,首先进行目录注册,目录注册模快在接收到目录注册命令后,以命令行的方式进行目录注册,在目录注册完成后将文件路径发送至可信执行环境,在可信执行环境中,加解密模块根据文件路径生成文件路径对应的工作密钥。为了对工作密钥进一步加密,采用保护密钥再对工作密钥进行加密。
在一些实施例中,通过与管理节点之间建立加密传输通道,将本地节点的标识、文件路径、加密后的工作密钥发送至管理节点进行备份存储,本地节点的标识是基于本地节点的名称、本地节点的网络协议地址和时间信息确定的。
具体地,管理节点通过加密传输通道与本地节点连接。本地节点可以有多个,每个本地节点都有各自的标识,本地节点将自身的标识,以及文件路径和加密后的工作密钥都通过加密传输通道发送至管理节点进行存储和备份。同时,工作密钥也需要在本地进行备份,当进程出现故障后,可通过本地存储来对工作密钥进行恢复。
在一些实施例中,采用目标密文替换文件中的明文数据,获得目标加密文件之后,通过虚拟文件系统,以数据流的方式将目标加密文件传递至文件系统。
具体地,在获得加密文件后,通过敏感数据识别模块将目标加密文件传递至虚拟文件系统,虚拟文件系统再将目标加密文件传递至文件系统。文件系统可以EXT4、F2FS。敏感数据识别模块会接收到文件和目标加密文件,根据目标密文是否存在标识敏感数据识别模块来判断接收到的是文件还是目标加密文件,文件不包含标识,而目标加密文件中含有标识。
在一些实施例中,采用目标密文替换文件中的明文数据,获得目标加密文件之后,如图3所示,还包括以下步骤:
步骤301、检测到应用读取所述目标加密文件时,基于目标加密文件中的加密标识,识别目标加密文件中的目标密文。
具体地,在对目标加密文件进行解密时,应用需要通过虚拟文件系统从文件系统中读取目标加密文件,再将目标加密文件发送至敏感数据识别模块。
敏感数据识别模块在获取目标加密文件后,根据目标加密文件中的加密标识,识别目标加密文件中的目标密文。敏感数据识别模块将识别的目标加密文件发送至加解密模块。
步骤302、在可信执行环境中采用文件路径对应的工作密钥,对目标密文件进行解密,获得明文数据。
具体地,加解密模块在对目标加密文件进行解密时,首先获取目标加密文件路径对应的工作密钥,根据工作密钥对文件路径进行解密,然后找到目标文件再进行解密,得到明文数据。
步骤303、采用明文数据替换目标加密文件中的目标密文,获得所述文件。
具体地,在加解密模块将解密后得到的明文数据替换掉目标加密文件中的目标密文,得到了待加密文件。
举例说明,目标加密文件A中的内容为:
2021-08-24 15:24:02,085-log.py-INFO->>>>>>>>>>>>>>>>>>>手机号:mnl
2021-08-24 15:24:03,085-log.py-INFO->>>>>>>>>>>>>>>>>>>插入一条数据XX
2021-08-24 15:24:04,085-log.py-INFO->>>>>>>>>>>>>>>>>>>修改一条数据YY
对目标密文mnl进行解密,得到满足加密条件的明文数据:18866666666,再将满足加密条件的明文数据替换目标密文,得到文件A。
在一些实施例中,通过虚拟文件系统将待加密文件传递至文件系统。
具体地,在得到文件后,通过虚拟文件系统将文件传递至文件系统。
为了更好地解释本申请实施例,下面结合具体实施场景介绍本申请实施例提供的一种加密方法,该方法的流程可以由图1所示的本地节点和远程管理节点共同执行,如图4所示:
首先介绍加密阶段,包括以下步骤:
步骤401、接收应用的目录注册请求,生成文件路径,并在可信执行环境中生成文件路径对应的工作密钥。
步骤402、通过保护密钥对工作密钥进行加密。
步骤403、通过虚拟文件系统从加密目录获取向目录注册中写入的文件。
步骤404、通过敏感数据识别模块对文件进行识别,获取文件中的满足加密条件的明文数据。
步骤405、加解密模块对满足加密条件的明文数据进行加密,得到目标密文,并对目标密文进行标识。
步骤406、加解密模块将目标密文替换满足加密条件的明文数据,得到目标加密文件。
步骤407、加解密模块通过虚拟文件系统将目标加密文件存储至文件系统。
接下来介绍解密阶段,包括以下步骤:
步骤408、通过虚拟文件系统从文件系统中获取目标加密文件。
步骤409、敏感数据识别模块通过标识识别目标加密内容。
步骤410、敏感数据识别模块将目标加密内容发送至加解密模块。
步骤411、加解密模块根据目标加密文件所在的文件路径以及文件路径对应的工作密钥,对目标加密内容进行解密,得到明文数据。
步骤412、加解密模块将明文数据发送至敏感数据识别模块。
步骤413、敏感数据识别模块将目标加密内容替换为明文数据,得到文件。
步骤414、敏感数据识别模块将文件通过虚拟文件系统发送至文件系统。
本申请实施例中,通过从加密目录下获取文件,可以将文件和不需加密文件进行区分,使得文件得到安全存储,通过在可信执行环境下对文件进行加密、传输、存储,使得密钥明文都在安全的环境中进行,进一步提升了文件的安全性。通过识别文件中的满足加密条件的明文数据,从而仅仅对满足加密条件的明文数据进行加密,将目标密文替换满足加密条件的明文数据,避免了将文件中的所有内容进行加密,只针对目标密文进行加密,减少了文件加密的资源消耗。
基于相同的技术构思,本申请实施例提供了一种加密装置500,如图5所示,该装置包括:
获取模块501,用于检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存所述文件;
识别模块502,用于对所述文件进行识别,获得所述文件中的满足加密条件的明文数据;
加密模块503,用于在可信执行环境中采用所述文件路径对应的工作密钥,对所述明文数据进行加密,获得目标密文;
替换模块504,用于采用所述目标密文替换所述文件中的明文数据,获得目标加密文件。
可选地,所述获取模块501具体用于:
接收目录注册命令后,在所述可信执行环境中生成所述文件路径对应的工作密钥;
在所述可信执行环境中,采用保护密钥对所述工作密钥进行加密,并将加密后的所述工作密钥保存在本地节点。
可选地,所述获取模块501还用于:
通过与管理节点之间建立加密传输通道,将本地节点的标识、所述文件路径、加密后的所述工作密钥发送至所述管理节点进行备份存储,所述本地节点的标识是基于本地节点的名称、本地节点的网络协议地址和时间信息确定的。
可选地,所述替换模块504具体用于:
采用所述目标密文和相应的加密标识替换所述文件中的明文数据,获得目标加密文件。
可选地,所述替换模块504还用于:
通过虚拟文件系统,以数据流的方式将所述目标加密文件传递至文件系统。
可选地,所述替换模块504还用于:
检测到应用读取所述目标加密文件时,基于所述目标加密文件中的加密标识,识别所述目标加密文件中的目标密文;
在可信执行环境中采用所述文件路径对应的工作密钥,对所述目标密文进行解密,获得明文数据;
采用所述明文数据替换所述文件中的目标密文,获得所述文件。
可选地,所述替换模块504还用于:
通过所述虚拟文件系统将所述文件传递至所述文件系统。
基于相同的技术构思,本申请实施例提供了一种计算机设备,计算机设备可以是服务器,如图6示,包括至少一个处理器601,以及与至少一个处理器连接的存储器602,本申请实施例中不限定处理器601与存储器602之间的具体连接介质,图6处理器601和存储器602之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本申请实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以执行上述加密方法中所包括的步骤。
其中,处理器601是计算机设备的控制中心,可以利用各种接口和线路连接计算机设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,从而进行加密。可选的,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(StaticRandom Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(ReadOnly Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于同一发明构思,本申请实施例提供了一种计算机可读存储介质,其存储有可由计算机设备执行的计算机程序,当程序在计算机设备上运行时,使得计算机设备执行上述加密方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种加密方法,其特征在于,包括:
检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存所述文件;
对所述文件进行识别,获得所述文件中的满足加密条件的明文数据;
在可信执行环境中采用所述文件路径对应的工作密钥,对所述明文数据进行加密,获得目标密文;
采用所述目标密文替换所述文件中的所述明文数据,获得目标加密文件。
2.如权利要求1所述的方法,其特征在于,所述检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存所述文件之前,还包括:
接收目录注册命令后,在所述可信执行环境中生成所述文件路径对应的工作密钥;
在所述可信执行环境中,采用保护密钥对所述工作密钥进行加密,并将加密后的所述工作密钥保存在本地节点。
3.如权利要求2所述的方法,其特征在于,还包括:
通过与管理节点之间建立加密传输通道,将本地节点的标识、所述文件路径、加密后的所述工作密钥发送至所述管理节点进行备份存储,所述本地节点的标识是基于本地节点的名称、本地节点的网络协议地址和时间信息确定的。
4.如权利要求1所述的方法,其特征在于,所述采用所述目标密文替换所述文件中的所述明文数据,获得目标加密文件,包括:
采用所述目标密文和相应的加密标识替换所述文件中的明文数据,获得目标加密文件。
5.如权利要求1所述的方法,其特征在于,所述采用所述目标密文替换所述文件中的明文数据,获得目标加密文件之后,还包括:
通过虚拟文件系统,以数据流的方式将所述目标加密文件传递至文件系统。
6.如权利要求5所述的方法,其特征在于,还包括:
检测到应用读取所述目标加密文件时,基于所述目标加密文件中的加密标识,识别所述目标加密文件中的目标密文;
在可信执行环境中采用所述文件路径对应的工作密钥,对所述目标密文进行解密,获得所述明文数据;
采用所述明文数据替换所述目标加密文件中的目标密文,获得所述文件。
7.如权利要求6所述的方法,其特征在于,还包括:
通过所述虚拟文件系统将所述文件传递至所述文件系统。
8.一种加密装置,其特征在于,包括:
获取模块,用于检测到应用向加密目录下写文件时,获取所述文件并按照预先注册的文件路径保存所述文件;
识别模块,用于对所述文件进行识别,获得所述文件中的满足加密条件的明文数据;
加密模块,用于在可信执行环境中采用所述文件路径对应的工作密钥,对所述明文数据进行加密,获得目标密文;
替换模块,用于采用所述目标密文替换所述文件中的明文数据,获得目标加密文件。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1~7任一所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行权利要求1~7任一所述方法的步骤。
CN202310666614.2A 2023-06-06 2023-06-06 一种加密方法、装置、设备及存储介质 Pending CN116865999A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310666614.2A CN116865999A (zh) 2023-06-06 2023-06-06 一种加密方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310666614.2A CN116865999A (zh) 2023-06-06 2023-06-06 一种加密方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116865999A true CN116865999A (zh) 2023-10-10

Family

ID=88225800

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310666614.2A Pending CN116865999A (zh) 2023-06-06 2023-06-06 一种加密方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116865999A (zh)

Similar Documents

Publication Publication Date Title
CN109344631B (zh) 区块链的数据修改及区块验证方法、装置、设备和介质
CN107948152B (zh) 信息存储方法、获取方法、装置及设备
US8548169B2 (en) Communication apparatus, key server, and data
CN108270739B (zh) 一种管理加密信息的方法及装置
CN110690962B (zh) 一种服务节点的应用方法与装置
EP4258593A1 (en) Ota update method and apparatus
CN111597567B (zh) 数据处理方法、装置、节点设备及存储介质
US20220366030A1 (en) Password Management Method and Related Apparatus
CN105635320A (zh) 一种用于调用配置信息的方法与设备
CN109347839A (zh) 集中式密码管理方法、装置、电子设备及计算机存储介质
CN110717190A (zh) 一种分布式数据存储方法、装置及数据存储设备
EP3306855A1 (en) Authentication device, authentication system, authentication method, and program
CN114285551A (zh) 量子密钥分发方法、装置、可读存储介质及电子设备
CN114142995B (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN113824553A (zh) 密钥管理方法、装置及系统
CN114780982A (zh) 一种流程业务流转方法、装置和系统
CN113312655A (zh) 基于重定向的文件传输方法、电子设备及可读存储介质
CN116166749A (zh) 数据共享方法、装置、电子设备及存储介质
CN116865999A (zh) 一种加密方法、装置、设备及存储介质
CN114915503A (zh) 基于安全芯片的数据流拆分处理加密方法及安全芯片装置
CN113595962B (zh) 一种安全管控的方法、装置和安全管控设备
US11856085B2 (en) Information management system and method for the same
CN113556333A (zh) 一种计算机网络数据安全传输方法、装置
US11176264B2 (en) Data access control using data block level decryption
CN113992359A (zh) 用户信息的加密控制方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40101647

Country of ref document: HK