CN117010000B - 一种数据安全服务方法、装置、计算机设备和存储介质 - Google Patents
一种数据安全服务方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN117010000B CN117010000B CN202311267882.3A CN202311267882A CN117010000B CN 117010000 B CN117010000 B CN 117010000B CN 202311267882 A CN202311267882 A CN 202311267882A CN 117010000 B CN117010000 B CN 117010000B
- Authority
- CN
- China
- Prior art keywords
- data
- key
- encrypted
- ciphertext
- security service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 238000007789 sealing Methods 0.000 claims description 60
- 238000004590 computer program Methods 0.000 claims description 13
- 238000001583 randomness test Methods 0.000 claims description 13
- 230000000873 masking effect Effects 0.000 claims description 3
- 238000005538 encapsulation Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 12
- 238000013475 authorization Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000528 statistical test Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Abstract
本申请涉及一种数据安全服务方法、装置、计算机设备和存储介质。所述方法包括:基于接收到的数据安全服务请求信息,确定数据安全服务请求信息所适用的非对称加密算法;采用噪声源法生成数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的用户密钥和监管密钥发送至数据安全服务请求信息的委托方;利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并利用非对称加密算法,对密文进行数字签名;将密文存储至云存储服务平台。采用本方法能够解决现有技术中云数据安全服务的方式安全性低的问题。
Description
技术领域
本申请涉及数据安全技术领域,特别是涉及一种数据安全服务方法、装置、计算机设备和存储介质。
背景技术
随着云计算技术的普及和广泛应用,越来越多的企业和个人选择将数据存储在云端,然而,这也带来了数据泄露、云服务提供商滥用数据等安全风险。
为了应对云端数据的威胁,对数据进行加密是一种有效的解决手段。根据加密位置以及适用场景的不同,常用的云数据加密方式有云加密数据库、数据库加密网关、以及云访问安全代理三种。
然而,现有的云数据加密方式,存在云存储平台非法解密用户数据的风险,并且缺少有效的第三方监管,使得现有的云数据安全服务的方式安全性低。
然而,对于现有技术中云数据安全服务的方式安全性低的问题,仍没有得到解决。
发明内容
基于此,有必要针对上述技术问题,提供一种数据安全服务方法、装置、计算机设备和存储介质。
第一方面,本申请提供了一种数据安全服务方法。所述方法包括:
基于接收到的数据安全服务请求信息,确定所述数据安全服务请求信息所适用的非对称加密算法;
采用噪声源法生成所述数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方;
利用所述用户密钥和所述监管密钥对所述待加密的数据进行加密,生成所述待加密的数据的密文,并利用所述非对称加密算法,对所述密文进行数字签名;将所述密文存储至云存储服务平台。
在其中一个实施例中,所述基于接收到的数据安全服务请求信息,确定所述数据安全服务请求信息所适用的非对称加密算法,包括:
基于接收到的所述数据安全服务请求信息中的所述待加密的数据的读写权限,确定所述待加密的数据所适用的所述非对称加密算法。
在其中一个实施例中,所述采用噪声源法生成所述数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方,包括以下步骤:
采用所述噪声源法产生一个随机数序列;
将所述随机数序列按照预设的比特数,分为至少两组随机数序列;
对每组所述随机数序列进行随机性测试,得到两组满足随机性测试要求的随机数序列;
将所述两组满足随机性测试要求的随机数序列分别作为所述数据安全服务请求信息中的待加密的数据的所述用户密钥和所述监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方。
在其中一个实施例中,所述利用所述用户密钥和所述监管密钥对所述待加密的数据进行加密,生成所述待加密的数据的密文,并利用所述非对称加密算法,对所述密文进行数字签名,包括:
利用所述用户密钥对所述待加密的数据进行加密,生成所述待加密的数据的第一密文;利用所述监管密钥对所述第一密文进行加密,生成所述待加密的数据的第二密文;利用所述非对称加密算法,对所述第一密文和所述第二密文分别进行数字签名;
或,计算所述用户密钥和所述监管密钥的异或值;基于所述异或值,生成一个新的密钥;利用所述新的密钥对所述待加密的数据进行加密,生成所述待加密的数据的第三密文;利用所述非对称加密算法,对所述第三密文进行数字签名。
在其中一个实施例中,在利用所述用户密钥和所述监管密钥对所述待加密的数据进行加密,生成所述待加密的数据的密文,并利用所述非对称加密算法,对所述密文进行数字签名之后,还包括:
封存所述待加密的数据。
在其中一个实施例中,所述封存所述待加密的数据,包括:
利用随机数掩盖所述待加密的数据;
或,利用一个或多个随机密钥对所述待加密的数据进行一次或多次加密,并销毁对所述待加密的数据进行加密的一个或多个所述随机密钥。
在其中一个实施例中,所述方法还包括以下步骤:
在接收到所述数据安全服务请求信息的待解密的密文的数字签名的情况下,获取所述委托方所存储的所述待解密的密文所对应的用户密钥和监管密钥;获取所述云存储服务平台存储的所述待解密的密文;利用所述用户密钥和所述监管密钥,对所述待解密的密文进行解密;
或,在接收到所述数据安全服务请求信息的待解密的密文的数字签名的情况下,获取密钥服务平台存储的所述待解密的密文所对应的所述用户密钥和所述监管密钥的异或值;获取所述云存储服务平台存储的所述待解密的密文;利用所述用户密钥和所述监管密钥的异或值,对所述待解密的密文进行解密。
第二方面,本申请还提供了一种数据安全服务装置。所述装置包括:
算法模块,用于基于接收到的数据安全服务请求信息,确定所述数据安全服务请求信息所适用的非对称加密算法;
生成模块,用于采用噪声源法生成所述数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方;
以及加密模块,用于利用所述用户密钥和所述监管密钥对所述待加密的数据进行加密,生成所述待加密的数据的密文,并利用所述非对称加密算法,对所述密文进行数字签名;将所述密文存储至云存储服务平台。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的数据安全服务方法。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的数据安全服务方法。
上述数据安全服务方法、装置、计算机设备和存储介质,通过接收到的数据安全服务请求信息,确定数据安全服务请求信息所适用非对称加密算法,然后生成待加密的数据的用户密钥和监管密钥,进而,利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并利用非对称加密算法,对密文进行数字签名,并将密文存储至云存储服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台或通过云存储服务平台,不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一实施例提供的数据安全服务方法的终端的硬件结构框图;
图2为本申请一实施例提供的数据安全服务方法的流程图;
图3为本申请优选实施例一提供的数据安全服务方法的流程图;
图4为本申请优选实施例二提供的数据安全服务方法的流程图;
图5为本申请优选实施例三提供的数据安全服务方法的流程图;
图6为本申请优选实施例四提供的数据安全服务方法的流程图;
图7为本申请优选实施例五提供的数据安全服务方法的流程图;
图8为本申请一实施例提供的数据安全服务装置的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的数据安全服务方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可以包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本申请实施例提供的数据安全服务方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种数据安全服务方法,图2是本实施例的数据安全服务方法的流程图,如图2所示,该流程包括如下步骤:
步骤S210,基于接收到的数据安全服务请求信息,确定数据安全服务请求信息所适用的非对称加密算法。
在本步骤中,上述接收到的数据安全服务请求信息,可以是接收到的委托方所发送的数据安全服务请求信息。具体地,上述数据安全服务请求信息,可以是待加密的数据的数据内容、待加密的数据的读写权限,待解密的密文的内容、待解密的密文的数字签名以及数据的服务需求。其中,数据的服务需求,可以是对数据的加密、对密文的解密以及对数据的封存中的一个或者多个服务需求。上述委托方,可以是用户方、密钥服务平台或云存储服务平台,其中,用户方,是数据的持有方,密钥服务平台是数据的监管方,云存储服务平台是数据的存储方。上述基于接收到的数据安全服务请求信息,确定数据安全服务请求信息所适用的非对称加密算法,可以是基于接收到的数据安全服务请求信息中的待加密的数据的读写权限,确定待加密的数据所适用的非对称加密算法。具体地,可以是基于接收到的数据安全服务请求信息中的待加密的数据的读写权限,读取到待加密的数据的数据内容,基于读取到的待加密的数据的数据内容,确定待加密的数据所适用的非对称加密算法。上述确定待加密的数据所适用的非对称加密算法,可以是根据待加密的数据的数据内容,从算法库中选取一个合适的非对称加密算法,其目的是通过非对称加密算法,实现对加密后的密文进行数字签名。
步骤S220,采用噪声源法生成数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的用户密钥和监管密钥发送至数据安全服务请求信息的委托方。
上述采用噪声源法生成数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,可以是采用噪声源法产生一个随机数序列,将随机数序列按照预设的比特数,分为至少两组随机数序列,进而,对每组随机数序列进行随机性测试,得到两组满足随机性测试要求的随机数序列,最后,将两组满足随机性测试要求的随机数序列分别作为数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥。上述采用噪声源法产生一个随机数序列,是利用电子元件、热噪声源、光二极管等物理器件的随机性质产生随机数序列。需要说明的是,通过噪声源法产生的随机数序列,并非完全随机,属于伪随机数序列,所以,需要进一步对随机数序列进行分组,进而进行随机性测试。上述随机性测试,可以是使用统计学测试来检测分组后的每组随机数序列是否具有预期的随机性质,并将具有预期的随机性质的随机数序列,作为满足随机性测试要求的随机数序列。上述按照预设的比特数,对随机数序列进行分组,可以是分组后的随机数序列的比特数都等于预设的比特数,能够保证满足随机性测试要求的随机数序列的比特数相同。上述将生成的用户密钥和监管密钥发送至数据安全服务请求信息的委托方,可以是将用户密钥发送给用户方,将监管密钥发送至密钥服务平台。上述通过噪声源法生成数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,能够保证用户密钥和监管密钥的安全性,进而将生成的用户密钥和监管密钥发送至数据安全服务请求信息的委托方,便于后续基于委托方的用户密钥和监管密钥对数据进行解密。
步骤S230,利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并利用非对称加密算法,对密文进行数字签名;将密文存储至云存储服务平台。
在本步骤中,上述利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并利用非对称加密算法,对密文进行数字签名,可以是利用用户密钥对待加密的数据进行加密,生成待加密的数据的第一密文,进而,利用监管密钥对第一密文进行加密,生成待加密的数据的第二密文,最后,利用非对称加密算法,对第一密文和第二密文分别进行数字签名;还可以是计算用户密钥和监管密钥的异或值,并基于异或值,生成一个新的密钥,进而,利用新的密钥对待加密的数据进行加密,生成待加密的数据的第三密文,最后,利用非对称加密算法,对第三密文进行数字签名。上述计算用户密钥和监管密钥的异或值,并基于异或值,生成一个新的密钥,可以是首先获取作为用户密钥的随机数序列和作为监管密钥的随机数序列,计算两组随机数序列的每一序列所对应的异或值,得到两组随机数序列的异或值,并将两组随机数序列的异或值,作为一个新的密钥。在本步骤中,利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并将密文存储到云存储服务平台,使得密文和用户密钥以及监管密钥分开存储,仅通过云存储服务平台不能对密文进行解密,进而提高了数据的安全性。
优选地,可以将数字签名发送至数据安全服务请求信息的委托方。具体地,可以将对第一密文的数字签名发送至用户方,将对第二密文的数字签名发送至密钥服务平台,将第三密文的数字签名分别发送至用户方和密钥服务平台。采用此种方式,可以通过接收到的用户方和密钥服务平台的数字签名,来获取数字签名所对应的待解密是数据的用户密钥和监管密钥,进而实现对待解密的密文进行解密。
优选地,可以将利用用户密钥和监管密钥对待加密的数据进行加密的记录以及利用非对称加密算法对密文进行数字签名的记录进行防篡改保护存储,便于对加密过程和数字签名过程进行调用和查看。
上述步骤S210至步骤S230,首先通过接收到的数据安全服务请求信息,确定数据安全服务请求信息所适用非对称加密算法,进而生成待加密的数据的用户密钥和监管密钥,进而,利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并利用非对称加密算法,对密文进行数字签名,并将密文存储至云存储服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台或通过云存储服务平台,不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
在一个实施例中,在步骤S230之后,数据安全服务方法还包括:封存待加密的数据。
上述封存待加密的数据,可以是利用随机数掩盖待加密的数据,或者是利用一个或多个随机密钥对待加密的数据进行一次或多次加密,并销毁对待加密的数据进行加密的一个或多个随机密钥。采用上述方式对待加密的数据进行封存,能够保证只能通过对待加密的数据生成的密文进行解密,来获取待加密的数据的数据内容,进而保证了待加密的数据的安全性。
在一个实施例中,所述数据安全服务方法还包括以下步骤:
步骤S241,在接收到数据安全服务请求信息的待解密的密文的数字签名的情况下,获取委托方所存储的待解密的密文所对应的用户密钥和监管密钥。
在本步骤中,在接收到数据安全服务请求信息的待解密的密文的数字签名的情况下,根据数字签名,来确定待解密的密文,进而根据待解密的密文来获取与待解密的密文所对应的用户方的用户密钥,以及与待解密的密文所对应的密钥服务平台的监管密钥。
步骤S242,获取云存储服务平台存储的待解密的密文。
步骤S243,利用用户密钥和监管密钥,对待解密的密文进行解密。
上述步骤S241至步骤S243,在接收到数据安全服务请求信息的待解密的密文的数字签名的情况下,通过数据签名来获取存储于委托方的待解密的密文的用户密钥和监管密钥,并获取云存储服务平台存储的待解密的密文,进而利用用户密钥和监管密钥对待解密的密文进行解密。实现了必须委托方提供数字签名、用户密钥以及监管密钥,云存储服务平台提供待解密的密文,才能实现对待解密的密文的解密。仅仅通过云存储服务平台,不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
在另一个实施例中,所述数据安全服务方法还可以包括以下步骤:
步骤S244,在接收到数据安全服务请求信息的待解密的密文的数字签名的情况下,获取密钥服务平台存储的待解密的密文所对应的用户密钥和监管密钥的异或值;
步骤S245,获取云存储服务平台存储的待解密的密文;
步骤S246,利用用户密钥和监管密钥的异或值,对待解密的密文进行解密。
在本步骤中,根据用户密钥和监管密钥的异或值,确定待解密的密文的密钥,进而利用密钥对待解密的密文进行解密。
上述步骤S244至步骤S246,在接收到数据安全服务请求信息的待解密的密文的数字签名的情况下,通过存储于密钥服务平台的用户密钥和监管密钥的异或值,以及云存储服务平台存储的待解密的密文,并对待解密的密文进行解密。实现了必须委托方提供数字签名、密钥服务平台提供用户密钥和监管密钥的异或值,云存储服务平台提供待解密的密文,只有三方数据完全对应,才能实现对待解密的密文的解密。仅仅通过密钥服务平台或通过云存储服务平台,不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
下面通过优选实施例对本实施例进行描述和说明。
图3是本申请提供的优选实施例一的数据安全服务方法的流程图。如图3所示,该数据安全服务方法包括以下步骤:
步骤S310,数据持有方向云存储服务平台发送数据安全服务请求信息;数据安全服务请求信息包括申请封存和签名授权文件;
步骤S320,云存储服务平台基于接收到的数据安全服务请求信息,调用数据封存服务平台的平台接口;
上述数据封存服务平台,用于对待封存的数据进行封存。
步骤S330,数据封存服务平台通过平台接口,利用数据安全服务请求信息中的签名授权文件对待封存的数据进行封存;
步骤S340,在待封存的数据封存结束的情况下,云存储服务平台向数据持有方发送封存反馈文件;封存反馈文件包括封存记录存证和封存密钥托管证明文件;
步骤S350,云存储服务平台向密钥服务平台发送封存记录存证和封存密钥托管文件。
上述步骤S310至步骤S350,首先通过数据持有方向云存储服务平台发送数据安全服务请求信息,云存储服务平台基于接收到的数据安全服务请求信息,调用数据封存服务平台的平台接口,进而数据封存服务平台通过平台接口,利用数据安全服务请求信息中的签名授权文件对待封存的数据进行封存。将封存记录证明发送至数据持有方,将封存密钥托管文件和封存记录存证发送到密钥服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台和云存储服务平台不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
图4是本申请提供的优选实施例二的数据安全服务方法的流程图。如图4所示,该数据安全服务方法包括以下步骤:
步骤S410,数据持有方向数据封存服务平台发送数据安全服务请求信息;数据安全服务请求信息包括申请封存和签名授权文件;
步骤S420,数据封存服务平台基于接收到的云存储服务平台的待封存数据的读写权限,对待封存的数据进行封存;
步骤S430,在待封存的数据封存结束的情况下,数据封存服务平台向数据持有方发送封存反馈文件;封存反馈文件包括封存记录存证和封存密钥托管证明文件;
步骤S440,数据封存服务平台向密钥服务平台发送封存记录存证和封存密钥托管文件。
上述步骤S410至步骤S440,首先通过数据持有方向数据封存服务平台发送数据安全服务请求信息,数据封存服务平台基于接收到的云存储服务平台的待封存数据的读写权限,对待封存的数据进行封存。将封存记录证明发送至数据持有方,将封存密钥托管文件和封存记录存证发送到密钥服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台和云存储服务平台不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
图5是本申请提供的优选实施例三的数据安全服务方法的流程图。如图5所示,该数据安全服务方法包括以下步骤:
步骤S510,数据持有方向数据服务平台发送数据安全服务请求信息;数据安全服务请求信息包括数据托管授权文件;
上述数据服务平台,用于对数据进行加密、解密、封存和销毁。
步骤S520,数据服务平台基于接收到的数据安全服务请求信息,获取云存储服务平台中的待处理数据的读写权限;
步骤S530,数据服务平台基于接收到的待处理数据的读写权限,利用预设的处理规则对待处理的数据进行处理;对待处理的数据进行处理,包括对待处理的数据进行加密、解密、封存和销毁中的一种或多种处理;
步骤S540,在对待处理的数据处理完成的情况下,数据服务平台向密钥服务平台发送数据处理记录存证和密钥托管文件。
上述步骤S510至步骤S540,首先通过数据持有方向数据服务平台发送数据安全服务请求信息,数据服务平台基于接收到的数据安全服务请求信息,获取云存储服务平台的中的待处理数据的读写权限,进而,基于接收到的待处理数据的读写权限,利用预设的处理规则对待处理的数据进行处理。最后,将数据处理记录存证和密钥托管文件发送到密钥服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台和云存储服务平台不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
图6是本申请提供的优选实施例四的数据安全服务方法的流程图。如图6所示,该数据安全服务方法包括以下步骤:
步骤S610,密钥服务平台向云存储服务平台发送数据安全服务请求信息;数据安全服务请求信息包括申请封存并签名授权文件;
步骤S620,云存储服务平台基于接收到的数据安全服务请求信息,调用数据封存服务平台的平台接口;
步骤S630,数据封存服务平台通过平台接口,对数据安全服务请求信息中的待封存的数据进行封存;
步骤S640,在对待封存的数据封存完成的情况下,云存储服务平台向数据持有方发送封存反馈文件;封存反馈文件包括封存结果和停用通知;
步骤S650,在对待封存的数据封存完成的情况下,数据封存服务平台向密钥服务平台发送封存记录存证和封存密钥托管文件。
上述步骤S610至步骤S650,首先通过密钥服务平台向云存储服务平台发送数据安全服务请求信息,云存储服务平台基于接收到的数据安全服务请求信息,调用数据封存服务平台的平台接口,数据封存服务平台通过平台接口,对数据安全服务请求信息中的待封存的数据进行封存。最后,将封存反馈文件发送至数据持有方,将数据处理记录存证和密钥托管文件发送到密钥服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台和云存储服务平台不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
图7是本申请提供的优选实施例五的数据安全服务方法的流程图。如图7所示,该数据安全服务方法包括以下步骤:
步骤S710,密钥服务平台向数据封存服务平台发送数据安全服务请求信息;数据安全服务请求信息包括申请封存和签名授权文件;
步骤S720,数据封存服务平台基于接收到的数据安全服务请求信息,向云存储服务平台发送请求封存申请;请求封存申请包括签名授权文件;
步骤S730,云存储服务平台基于接收到的请求封存申请,向密钥服务平台发送签名授权文件的验证申请;
步骤S740,云存储服务平台基于接收到的签名授权文件的验证结果,向数据封存服务平台发送待封存数据的读写权限;
步骤S750,数据封存服务平台基于接收到的云存储服务平台的待封存数据的读写权限,对待封存的数据进行封存处理;
步骤S760,在对待封存的数据封存完成的情况下,云存储服务平台向数据持有方发送封存反馈文件;封存反馈文件包括数据封存结果和停用通知;
步骤S770,在对待封存的数据封存完成的情况下,数据封存服务平台向密钥服务平台发送封存记录存证和封存密钥托管文件。
上述步骤S710至步骤S770,首先通过密钥服务平台向数据封存服务平台发送数据安全服务请求信息,数据封存服务平台基于接收到的数据安全服务请求信息,向云存储服务平台发送请求封存申请,云存储服务平台基于接收到的请求封存申请,向密钥服务平台发送签名授权文件的验证申请,在验证通过的情况下,云存储服务平台向数据封存服务平台发送待封存数据的读写权限,进而,数据封存服务平台基于接收到的云存储服务平台的待封存数据的读写权限,对待封存的数据进行封存处理。最后,将封存反馈文件发送至数据持有方,将数据处理记录存证和密钥托管文件发送到密钥服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台和云存储服务平台不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,在本实施例中还提供了一种数据安全服务装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
在一个实施例中,图8是本申请一实施例提供的数据安全服务装置的结构框图,如图8所示,该数据安全服务装置,包括:
算法模块82,用于基于接收到的数据安全服务请求信息,确定数据安全服务请求信息所适用的非对称加密算法;
生成模块84,用于采用噪声源法生成数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的用户密钥和监管密钥发送至数据安全服务请求信息的委托方;
加密模块86,用于利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并利用非对称加密算法,对密文进行数字签名;将密文存储至云存储服务平台。
上述数据安全服务装置,通过接收到的数据安全服务请求信息,确定数据安全服务请求信息所适用非对称加密算法,进而生成待加密的数据的用户密钥和监管密钥,进而,利用用户密钥和监管密钥对待加密的数据进行加密,生成待加密的数据的密文,并利用非对称加密算法,对密文进行数字签名,并将密文存储至云存储服务平台。采用此种方式,将密钥信息和密文信息分开存储,仅仅通过密钥服务平台或通过云存储服务平台,不能对加密后的数据进行解密,避免云存储服务平台非法解密用户数据的情况,解决了现有技术中云数据安全服务的方式安全性低的问题。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述实施例中的任意一种数据安全服务方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例中的任意一种数据安全服务方法。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric RandomAccess Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccessMemory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (8)
1.一种数据安全服务方法,其特征在于,所述方法包括:
基于接收到的数据安全服务请求信息,确定所述数据安全服务请求信息所适用的非对称加密算法;
采用噪声源法生成所述数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方;
利用所述用户密钥和所述监管密钥对所述待加密的数据进行加密,生成所述待加密的数据的密文,并利用所述非对称加密算法,对所述密文进行数字签名;封存所述待加密的数据;所述封存所述待加密的数据,包括:利用随机数掩盖所述待加密的数据;或,利用一个或多个随机密钥对所述待加密的数据进行一次或多次加密,并销毁对所述待加密的数据进行加密的一个或多个所述随机密钥;将所述密文存储至云存储服务平台。
2.根据权利要求1所述的数据安全服务方法,其特征在于,所述基于接收到的数据安全服务请求信息,确定所述数据安全服务请求信息所适用的非对称加密算法,包括:
基于接收到的所述数据安全服务请求信息中的所述待加密的数据的读写权限,确定所述待加密的数据所适用的所述非对称加密算法。
3.根据权利要求1所述的数据安全服务方法,其特征在于,所述采用噪声源法生成所述数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方,包括:
采用所述噪声源法产生一个随机数序列;
将所述随机数序列按照预设的比特数,分为至少两组随机数序列;
对每组所述随机数序列进行随机性测试,得到两组满足随机性测试要求的随机数序列;
将所述两组满足随机性测试要求的随机数序列分别作为所述数据安全服务请求信息中的待加密的数据的所述用户密钥和所述监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方。
4.根据权利要求1所述的数据安全服务方法,其特征在于,所述利用所述用户密钥和所述监管密钥对所述待加密的数据进行加密,生成所述待加密的数据的密文,并利用所述非对称加密算法,对所述密文进行数字签名,包括:
利用所述用户密钥对所述待加密的数据进行加密,生成所述待加密的数据的第一密文;利用所述监管密钥对所述第一密文进行加密,生成所述待加密的数据的第二密文;利用所述非对称加密算法,对所述第一密文和所述第二密文分别进行数字签名;
或,计算所述用户密钥和所述监管密钥的异或值;基于所述异或值,生成一个新的密钥;利用所述新的密钥对所述待加密的数据进行加密,生成所述待加密的数据的第三密文;利用所述非对称加密算法,对所述第三密文进行数字签名。
5.根据权利要求1至权利要求4中任一项所述的数据安全服务方法,其特征在于,所述方法还包括:
在接收到所述数据安全服务请求信息的待解密的密文的数字签名的情况下,获取所述委托方所存储的所述待解密的密文所对应的用户密钥和监管密钥;获取所述云存储服务平台存储的所述待解密的密文;利用所述用户密钥和所述监管密钥,对所述待解密的密文进行解密;
或,在接收到所述数据安全服务请求信息的待解密的密文的数字签名的情况下,获取密钥服务平台存储的所述待解密的密文所对应的所述用户密钥和所述监管密钥的异或值;获取所述云存储服务平台存储的所述待解密的密文;利用所述用户密钥和所述监管密钥的异或值,对所述待解密的密文进行解密。
6.一种数据安全服务装置,其特征在于,所述装置包括:
算法模块,用于基于接收到的数据安全服务请求信息,确定所述数据安全服务请求信息所适用的非对称加密算法;
生成模块,用于采用噪声源法生成所述数据安全服务请求信息中的待加密的数据的用户密钥和监管密钥,并将生成的所述用户密钥和所述监管密钥发送至所述数据安全服务请求信息的委托方;
以及加密模块,用于利用所述用户密钥和所述监管密钥对所述待加密的数据进行加密,生成所述待加密的数据的密文,并利用所述非对称加密算法,对所述密文进行数字签名;封存所述待加密的数据;所述封存所述待加密的数据,包括:利用随机数掩盖所述待加密的数据;或,利用一个或多个随机密钥对所述待加密的数据进行一次或多次加密,并销毁对所述待加密的数据进行加密的一个或多个所述随机密钥;将所述密文存储至云存储服务平台。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至权利要求5中任一项所述的方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至权利要求5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311267882.3A CN117010000B (zh) | 2023-09-28 | 2023-09-28 | 一种数据安全服务方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311267882.3A CN117010000B (zh) | 2023-09-28 | 2023-09-28 | 一种数据安全服务方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117010000A CN117010000A (zh) | 2023-11-07 |
| CN117010000B true CN117010000B (zh) | 2024-03-01 |
Family
ID=88571276
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311267882.3A Active CN117010000B (zh) | 2023-09-28 | 2023-09-28 | 一种数据安全服务方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117010000B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9203815B1 (en) * | 2013-11-27 | 2015-12-01 | Symantec Corporation | Systems and methods for secure third-party data storage |
| US9258122B1 (en) * | 2014-01-13 | 2016-02-09 | Symantec Corporation | Systems and methods for securing data at third-party storage services |
| CN112469003A (zh) * | 2021-02-04 | 2021-03-09 | 南京理工大学 | 基于混合加密的交通传感网数据传输方法、系统及介质 |
| CN112732695A (zh) * | 2021-01-21 | 2021-04-30 | 广东工业大学 | 一种基于区块链的云存储数据安全去重方法 |
| CN113946863A (zh) * | 2021-10-15 | 2022-01-18 | 中国电信股份有限公司 | 数据加密存储方法、系统、设备及存储介质 |
| CN114697073A (zh) * | 2022-02-22 | 2022-07-01 | 昆明理工大学 | 一种基于区块链的电信运营商数据安全共享方法 |
| CN116011042A (zh) * | 2022-12-15 | 2023-04-25 | 国汽智端(成都)科技有限公司 | 数据存储方法、装置、系统、计算机设备和存储介质 |
| CN116233158A (zh) * | 2023-02-09 | 2023-06-06 | 北京五八信息技术有限公司 | 一种数据存储方法、装置、设备及存储介质 |
-
2023
- 2023-09-28 CN CN202311267882.3A patent/CN117010000B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9203815B1 (en) * | 2013-11-27 | 2015-12-01 | Symantec Corporation | Systems and methods for secure third-party data storage |
| US9258122B1 (en) * | 2014-01-13 | 2016-02-09 | Symantec Corporation | Systems and methods for securing data at third-party storage services |
| CN112732695A (zh) * | 2021-01-21 | 2021-04-30 | 广东工业大学 | 一种基于区块链的云存储数据安全去重方法 |
| CN112469003A (zh) * | 2021-02-04 | 2021-03-09 | 南京理工大学 | 基于混合加密的交通传感网数据传输方法、系统及介质 |
| CN113946863A (zh) * | 2021-10-15 | 2022-01-18 | 中国电信股份有限公司 | 数据加密存储方法、系统、设备及存储介质 |
| CN114697073A (zh) * | 2022-02-22 | 2022-07-01 | 昆明理工大学 | 一种基于区块链的电信运营商数据安全共享方法 |
| CN116011042A (zh) * | 2022-12-15 | 2023-04-25 | 国汽智端(成都)科技有限公司 | 数据存储方法、装置、系统、计算机设备和存储介质 |
| CN116233158A (zh) * | 2023-02-09 | 2023-06-06 | 北京五八信息技术有限公司 | 一种数据存储方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 云存储平台数据安全方案研究;平恩鹏;;现代信息科技(23);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117010000A (zh) | 2023-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| KR20180119201A (ko) | 인증 시스템을 위한 전자 장치 | |
| US20130151853A1 (en) | Systems and methods for secure peer-to-peer communications | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| CN109274644A (zh) | 一种数据处理方法、终端和水印服务器 | |
| Kumar et al. | Data outsourcing: A threat to confidentiality, integrity, and availability | |
| CN114826702A (zh) | 数据库访问密码加密方法、装置和计算机设备 | |
| CN113918982A (zh) | 一种基于标识信息的数据处理方法及系统 | |
| CN116684102A (zh) | 报文传输方法、报文校验方法、装置、设备、介质和产品 | |
| CN117010000B (zh) | 一种数据安全服务方法、装置、计算机设备和存储介质 | |
| CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN114679299B (zh) | 通信协议加密方法、装置、计算机设备和存储介质 | |
| CN107872312B (zh) | 对称密钥动态生成方法、装置、设备及系统 | |
| KR101812311B1 (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 | |
| CN111431846B (zh) | 数据传输的方法、装置和系统 | |
| CN111541652B (zh) | 一种用于提高秘密信息保管及传递安全性的系统 | |
| JP2023539152A (ja) | 既知のユーザ間のセキュアな通信 | |
| CN114500064A (zh) | 一种通信安全验证方法、装置、存储介质及电子设备 | |
| CN105515760A (zh) | 信息加密方法、信息解密方法及信息加解密系统 | |
| CN116599771B (zh) | 数据分级保护传输方法及装置、存储介质和终端 | |
| Beugin et al. | Privacy-Preserving Protocols for Smart Cameras and Other IoT Devices | |
| CN111314287A (zh) | 一种公钥加密通信方式和装置 | |
| Bhosale et al. | Attribute-based storage control with smart de-duplication filter using hybrid cloud | |
| Sudhakar et al. | A Hybrid Cloud Security System using Cryptography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |