CN117459327A - 一种云数据透明加密保护方法、系统及装置 - Google Patents

Abstract

本申请提供一种云数据透明加密保护方法、系统及装置，该方法包括：数据保护网关拦截租户设备向云服务器发送的原始云数据，确定原始云数据的第一数据特征，确定第一数据特征对应的保护策略，基于保护策略对原始云数据进行数据保护得到目标云数据；保护策略包括以下至少一种透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；数据保护网关将目标云数据发送给云服务器。通过本申请方案，能够对云数据进行保护，减少敏感信息的泄漏。

Description

一种云数据透明加密保护方法、系统及装置

技术领域

本申请涉及数据安全技术领域，尤其是涉及一种云数据透明加密保护方法、系统及装置。

背景技术

云数据库是托管在云平台上的数据库，云数据库使租户能够通过互联网存储、管理和访问数据（称为云数据）。云数据存储在远程服务器（称为云服务器）上，消除了租户位置处的物理服务器需求。云数据库可以通过任何有互联网连接的地方进行访问，云数据库是数据存储和管理的未来。

在云数据库场景下，租户设备可以与云服务器交互云数据，如租户设备将云数据发送给云服务器，由云服务器存储云数据。然而，若云数据被攻击者拦截，且云数据包括敏感信息，则可能造成敏感信息泄漏，无法保证数据安全。

发明内容

有鉴于此，本申请提供一种云数据透明加密保护方法、系统及装置，能够对云数据进行保护，减少敏感信息的泄漏，从而保护数据的安全。

本申请提供一种云数据透明加密保护方法，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，所述方法包括：

所述数据保护网关拦截所述租户设备向所述云服务器发送的原始云数据；

所述数据保护网关确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；

所述数据保护网关确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

所述数据保护网关将所述目标云数据发送给所述云服务器。

本申请提供一种云数据透明加密保护装置，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，所述云数据透明加密保护装置应用于所述数据保护网关，所述装置包括：

拦截模块，用于拦截所述租户设备向所述云服务器发送的原始云数据；

确定模块，用于确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；

处理模块，用于确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

发送模块，用于将所述目标云数据发送给所述云服务器。

本申请提供一种数据保护系统，包括：数据保护网关、数据保护插件和数据保护内核模块，数据保护网关部署在租户设备与云服务器之间，数据保护插件部署在租户设备，数据保护内核模块部署在云服务器；其中：

所述数据保护插件，用于拦截所述租户设备发送的待处理云数据；确定所述待处理云数据的第二数据特征，所述第二数据特征包括所述待处理云数据的第二数据类别和/或第二数据级别；确定所述第二数据特征的加密参数，基于所述加密参数对所述待处理云数据进行加密得到加密后云数据；基于所述加密后云数据生成原始云数据，向所述云服务器发送所述原始云数据；

所述数据保护网关，用于拦截原始云数据，确定原始云数据的第一数据特征，所述第一数据特征包括原始云数据的第一数据类别和/或第一数据级别；确定第一数据特征对应的保护策略，基于所述保护策略对原始云数据进行数据保护得到目标云数据，将目标云数据发送给云服务器；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

所述数据保护内核模块，用于在接收到目标云数据时，若确定目标云数据的存储区域是已配置的加密安全存储区域，则确定目标云数据的完整性校验值，对所述目标云数据进行加密得到密文数据，将所述完整性校验值与所述密文数据拼接得到待存储数据，并将所述待存储数据存储到所述加密安全存储区域。

本申请提供一种数据保护网关，包括：处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，处理器用于执行机器可执行指令，以实现上述的云数据透明加密保护方法。

本申请提供一种机器可读存储介质，所述机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，所述处理器用于执行所述机器可执行指令，以实现本申请上述示例的云数据透明加密保护方法。

本申请提供一种计算机程序，所述计算机程序存储于机器可读存储介质，当处理器执行所述机器可读存储介质中的所述计算机程序时，能够促使所述处理器实现本申请上述示例的云数据透明加密保护方法。

由以上技术方案可见，本申请实施例中，基于云数据的第一数据特征（如第一数据类别、第一数据级别等）确定保护策略（如透明加密保护策略、数据脱敏保护策略、数据水印保护策略等），基于该保护策略对云数据进行数据保护，从而能够对云数据进行保护，减少敏感信息的泄漏，并保护数据的安全性。在对云数据进行保护的同时，还可以根据数据特征动态编排调整保护策略，比如说，在数据特征表示云数据重要性更高时，可以同时采用透明加密保护策略、数据脱敏保护策略和数据水印保护策略，在数据特征表示云数据重要性更低时，可以只采用透明加密保护策略，从而降低安全风险，提升业务性能。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1是本申请一种实施方式中的云数据透明加密保护方法的流程示意图；

图2是本申请一种实施方式中的数据保护系统的结构示意图；

图3是本申请一种实施方式中的云数据透明加密保护方法的流程示意图；

图4是本申请一种实施方式中的云数据透明加密保护方法的流程示意图；

图5是本申请一种实施方式中的云数据透明加密保护方法的流程示意图；

图6是本申请一种实施方式中的云数据透明加密保护装置的结构示意图。

具体实施方式

在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本申请实施例中提出一种云数据透明加密保护方法，数据保护系统包括数据保护网关，且数据保护网关部署在租户设备与云服务器之间，参见图1所示，为该云数据透明加密保护方法的流程示意图，该方法可以包括：

步骤101、数据保护网关拦截租户设备向云服务器发送的原始云数据。

步骤102、数据保护网关确定该原始云数据的第一数据特征；其中，该第一数据特征可以包括原始云数据的第一数据类别和/或第一数据级别。

步骤103、数据保护网关确定该第一数据特征对应的保护策略，并基于该保护策略对原始云数据进行数据保护得到目标云数据。示例性的，该保护策略可以包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理。

步骤104、数据保护网关将目标云数据发送给云服务器。

示例性的，数据保护网关对原始云数据进行数据加密处理，可以包括但不限于：对该原始云数据进行基于噪声的有索引保序加密处理；和/或，对该原始云数据进行基于单字节的加密处理。其中，基于噪声的有索引保序加密处理用于使加密后数据的单调性与加密前数据的单调性一致；比如说，若加密前的第一原始云数据大于加密前的第二原始云数据，则第一原始云数据的加密后数据可以大于第二原始云数据的加密后数据。其中，基于单字节的加密处理用于对原始云数据的每个字节分别加密；基于此，基于单字节的加密处理用于使加密后数据的模糊查询结果与加密前数据的模糊查询结果一致。

示例性的，数据保护网关对原始云数据进行基于噪声的有索引保序加密处理，可以包括但不限于：采用如下非线性保序函数对原始云数据进行基于噪声的有索引保序加密处理：y=a*f(x)+b+noise；其中，a表示斜率加密参数，b表示截距加密参数，noise表示噪声加密参数，f(x)表示原始云数据，y表示加密后数据。在此基础上，还可以基于原始云数据的第一数据特征，确定该第一数据特征对应的斜率加密参数、截距加密参数和噪声加密参数；其中，不同第一数据特征对应相同或者不同的斜率加密参数，不同第一数据特征对应相同或者不同的截距加密参数，不同第一数据特征对应相同或者不同的噪声加密参数。

示例性的，数据保护网关对原始云数据进行数据脱敏处理，可以包括但不限于：获取下游网络节点的权限信息；其中，下游网络节点可以是原始云数据在数据保护网关与云服务器之间传输时经过的网络节点；若基于该权限信息确定下游网络节点不具有指定数据类型的访问权限，且原始云数据包括指定数据类型的待脱敏子数据，则可以对原始云数据中的待脱敏子数据进行数据脱敏处理；其中，数据脱敏处理可以包括但不限于以下至少一种：隐藏处理、特殊符号替换处理、随机数替换处理、差分隐私共享处理、马赛克处理。

示例性的，数据保护网关对原始云数据进行数据水印处理，可以包括但不限于：若原始云数据的第一数据类别是结构化类别，且原始云数据包括K行子数据，K可以为正整数，则可以为原始云数据添加K行子数据对应的K个数据水印，且每行子数据对应的数据水印是对该行子数据进行处理得到。若原始云数据的第一数据类别是半结构化类别，则可以通过探针对原始云数据进行分析得到原始云数据对应的属性信息，并确定与属性信息对应的数据水印，并为原始云数据添加数据水印。若原始云数据的第一数据类别是非结构化类别，且原始云数据是原始图像数据，则可以获取原始图像数据对应的属性信息，并确定与属性信息对应的数据水印，然后为原始图像数据添加数据水印。

示例性的，数据保护系统还包括数据保护插件，且数据保护插件部署在租户设备。基于此，数据保护插件可以拦截租户设备发送的待处理云数据；数据保护插件确定待处理云数据的第二数据特征；其中，该第二数据特征可以包括待处理云数据的第二数据类别和/或第二数据级别；其中，第二数据特征的确定方式与第一数据特征的确定方式可以不同。数据保护插件确定第二数据特征的加密参数，并基于该加密参数对待处理云数据进行加密得到加密后云数据；其中，不同第二数据特征的加密参数相同或不同，且不同第二数据特征的加密参数更新周期相同或不同。数据保护插件可以基于加密后云数据生成原始云数据，并向云服务器发送原始云数据，由数据保护网关拦截原始云数据。

示例性的，数据保护插件基于加密后云数据生成原始云数据，可以包括但不限于：数据保护插件为加密后云数据添加属性信息，从而得到原始云数据；其中，该属性信息至少可以包括第二数据特征；其中，该属性信息还可以包括但不限于以下至少一种：业务操作者的身份信息、业务操作者的权限信息、租户设备的IP地址、租户设备的MAC地址、租户设备的地理位置。

在此基础上，数据保护网关在拦截到原始云数据之后，数据保护网关从原始云数据中获取第二数据特征；若基于第二数据特征确定原始云数据需要进行数据保护，则执行确定原始云数据的第一数据特征的操作；若基于第二数据特征确定原始云数据不需要进行数据保护，则向云服务器转发原始云数据。

示例性的，数据保护系统还可以包括数据保护内核模块，且数据保护内核模块部署在云服务器，数据保护网关将目标云数据发送给云服务器之后，数据保护内核模块在接收到目标云数据时，若确定目标云数据的存储区域是已配置的加密安全存储区域，则确定目标云数据的完整性校验值，并采用租户设备对应的加密密钥对目标云数据进行加密得到密文数据，将完整性校验值与密文数据拼接得到待存储数据，将待存储数据存储到加密安全存储区域；其中，不同租户设备对应的加密密钥不同。数据保护内核模块在接收到针对加密安全存储区域的数据读取消息时，从加密安全存储区域获取数据读取消息对应的已存储数据；基于已存储数据确定完整性校验值和密文数据；对该密文数据进行解密得到目标云数据，并基于该完整性校验值对该目标云数据进行校验；若校验成功，则将该目标云数据发送给租户设备；若校验失败，则记录异常数据。

示例性的，数据保护系统还可以包括数据安全态势感知设备，针对每个第一数据特征，数据安全态势感知设备统计该第一数据特征对应的泄露云数据的数量，且泄露云数据是已发生数据泄露的云数据。若该数量大于预设阈值，则获取该第一数据特征对应的更新后保护策略，并将该第一数据特征对应的更新后保护策略配置到数据保护网关；其中，该第一数据特征对应的更新后保护策略的保护效果优于该第一数据特征对应的更新前保护策略的保护效果。

由以上技术方案可见，本申请实施例中，基于云数据的第一数据特征（如第一数据类别、第一数据级别等）确定保护策略（如透明加密保护策略、数据脱敏保护策略、数据水印保护策略等），基于该保护策略对云数据进行数据保护，从而能够对云数据进行保护，减少敏感信息的泄漏，并保护数据的安全性。在对云数据进行保护的同时，还可以根据数据特征动态编排调整保护策略，比如说，在数据特征表示云数据重要性更高时，可以同时采用透明加密保护策略、数据脱敏保护策略和数据水印保护策略，在数据特征表示云数据重要性更低时，可以只采用透明加密保护策略，从而降低安全风险，提升业务性能。

以下结合具体应用场景，对本申请实施例的技术方案进行说明。

在云数据库场景下，租户设备可以与云服务器交互云数据，如租户设备将云数据发送给云服务器，由云服务器存储云数据。然而，若云数据被攻击者拦截，且云数据包括敏感信息，则可能造成敏感信息泄漏，无法保证数据安全。

针对上述发现，本申请实施例提出一种云数据透明加密保护方法，透明加密是指，对云数据加密保护的过程对用户无感知，免改接入不影响原业务流程。

示例性的，云数据透明加密保护方法可以应用于数据保护系统，参见图2所示，为该数据保护系统的结构示意图，该数据保护系统可以包括数据保护插件、数据保护网关、数据保护内核模块和数据安全态势感知设备。

数据保护插件为可选模块，即数据保护系统可以部署数据保护插件，也可以未部署数据保护插件，后续以数据保护系统部署数据保护插件为例。数据保护插件可以部署在租户设备，即租户设备可以下载数据保护插件，并运行数据保护插件，由数据保护插件对租户设备的云数据进行加密保护。比如说，数据保护插件可以在数据采集阶段对租户设备的云数据进行加密保护。

数据保护网关为可选设备，即数据保护系统可以部署数据保护网关，也可以未部署数据保护网关，后续以数据保护系统部署数据保护网关为例。数据保护网关可以部署在租户设备与云服务器之间，数据保护网关可以是独立设备部署在租户设备与云服务器之间，也可以是功能模块集成在租户设备与云服务器之间的某个设备上，后续以数据保护网关是一个独立设备为例进行说明。

数据保护网关可以采用主路模式部署，即租户设备与云服务器之间交互的云数据需要经过数据保护网关。数据保护网关也可以采用旁路模式部署，即租户设备与云服务器之间交互的云数据不经过数据保护网关，数据保护网关与某中转设备连接，该中转设备每次接收到云数据时，将云数据发送给数据保护网关，并接收数据保护网关返回的云数据，将该云数据发送给云服务器。

通过在租户设备与云服务器之间部署数据保护网关，由数据保护网关对租户设备与云服务器之间交互的云数据进行加密保护。比如说，数据保护网关可以在数据传输阶段和/或数据共享阶段对云数据进行加密保护。

数据保护内核模块为可选模块，即数据保护系统可以部署数据保护内核模块，也可以未部署数据保护内核模块，后续以数据保护系统部署数据保护内核模块为例。数据保护内核模块可以部署在云服务器，即云服务器可以运行数据保护内核模块，由数据保护内核模块对云数据进行加密保护。比如说，数据保护内核模块可以在数据存储阶段对租户设备的云数据进行加密保护。

需要注意的是，在云数据库场景下，云服务器会创建多个虚拟机，每个虚拟机对应一个租户设备，由这个虚拟机对该租户设备的云数据进行处理，且不同虚拟机之间相互隔离，使得不同租户设备的云数据之间相互隔离。

比如说，云服务器为租户设备1创建虚拟机1，虚拟机1用于处理租户设备1的云数据，且虚拟机1需要与其它租户设备的云数据隔离，因此，将数据保护内核模块1部署在虚拟机1，即虚拟机1运行数据保护内核模块1，由数据保护内核模块1在数据存储阶段对租户设备1的云数据进行加密保护。云服务器为租户设备2创建虚拟机2，将数据保护内核模块2部署在虚拟机2，由数据保护内核模块2在数据存储阶段对租户设备2的云数据进行加密保护，以此类推。

综上可以看出，通过部署数据保护插件、数据保护网关和数据保护内核模块，可以在数据采集阶段、数据传输阶段、数据共享阶段和数据存储阶段对云数据进行加密保护，从而实现数据采集、数据传输、数据共享、数据存储的全链路安全保护，在数据生命周期链条的各个阶段对云数据进行保护。

数据安全态势感知设备为可选设备，即数据保护系统可以部署数据安全态势感知设备，也可以未部署数据安全态势感知设备，以数据保护系统部署安全态势感知设备为例。数据安全态势感知设备可以部署在云系统侧，与数据保护插件、数据保护网关和数据保护内核模块进行数据收集和安全策略联动。数据安全态势感知设备可以是独立设备，也可以是功能模块集成在已有设备上。

以下结合具体实施例，对数据保护插件、数据保护网关、数据保护内核模块和数据安全态势感知设备的功能以及数据处理过程进行说明。

第一，数据保护插件。数据保护插件可以部署在租户设备（即每个租户设备单独部署数据保护插件），在数据采集阶段对云数据进行加密保护。

示例性的，参见图3所示，数据保护插件对云数据进行加密保护可以包括：

步骤301、数据保护插件拦截租户设备发送的待处理云数据。

示例性的，可以将租户设备向云服务器（如云服务器内的虚拟机）发送的云数据称为待处理云数据，且租户设备每次发送待处理云数据时，数据保护插件可以拦截该待处理云数据，继而对待处理云数据进行相关处理。

示例性的，租户设备运行数据保护插件时，数据保护插件可以拦截待处理云数据，继而采用后续步骤对待处理云数据进行处理。比如说，数据保护插件可适配的语言框架可以包括但不限于C++、Java、Golang、Python等，数据保护插件可适配的存储驱动可以包括但不限于Postgres、Mysql、Openguass、HDFS、Hive、HBase等，即设计上述语言框架和存储驱动下的数据保护插件，继而通过数据保护插件拦截待处理云数据，采用后续步骤对待处理云数据进行处理。

以适配Golang语言框架和Postgres存储驱动的数据保护插件为例，其它语言框架和存储驱动下的数据保护插件类似。为了设计数据保护插件，将Postgres存储驱动集成到Golang语言框架，需要实现Open、GetChars、Tables、TableFields等数据存储管理接口，以及增删改查等数据存储操作的回调函数，并在这些回调函数中加入加密保护的实现方式（即数据保护插件的功能）。基于此，上层业务调用存储接口时触发回调函数，继而可以实现数据保护插件的功能。

步骤302、数据保护插件确定待处理云数据的第二数据特征；其中，该第二数据特征可以包括待处理云数据的第二数据类别和/或第二数据级别。

示例性的，数据保护插件可以确定待处理云数据的数据类别（记为第二数据类别），第二数据类别可以包括但不限于：结构化类别、半结构化类别、非结构化类别，对此第二数据类别不作限制。比如说，若待处理云数据是表格类数据，则第二数据类别是结构化类别，表示待处理云数据是结构化数据。若待处理云数据是图像数据、视频数据，则第二数据类别是非结构化类别，表示待处理云数据是非结构化数据。若待处理云数据是HTML数据、XML数据、RDF数据，则第二数据类别是半结构化类别，表示待处理云数据是半结构化数据。

当然，上述只是第二数据类别的示例，还可以采用其它方式划分第二数据类别，比如说，还可以对结构化类别、半结构化类别、非结构化类别进行细分，并将细分后的类别作为第二数据类别。比如说，第二数据类别可以包括表格类别、HTML类别、XML类别、RDF类别、图像类别、视频类别、文件类别等。

为了确定待处理云数据的第二数据类别，可以采用数据分类算法对待处理云数据进行分析得到第二数据类别。比如说，数据分类算法可以包括但不限于：正则匹配、数据字典、数据指纹、数据种类识别、自然语言预定义检测模板等，可以基于这些数据分类算法对待处理云数据进行分析得到第二数据类别。

比如说，正则匹配表示采用正则表达式对待处理云数据进行分析得到第二数据类别，如待处理云数据与某个正则表达式匹配时，则属于该正则表达式对应的数据类别。或者，数据字典表示采用字典对待处理云数据进行分析得到第二数据类别，如待处理云数据与字典中某个词语匹配时，则属于该词语对应的数据类别。或者，数据指纹表示采用指纹特征对待处理云数据进行分析得到第二数据类别，如提取待处理云数据的指纹特征，若待处理云数据的指纹特征与某个指纹特征匹配，则属于该指纹特征对应的数据类别。或者，自然语言预定义检测模板表示采用检测模板对待处理云数据进行分析得到第二数据类别，如待处理云数据与某个检测模板匹配时，属于该检测模板对应的数据类别。当然，上述只是确定待处理云数据的第二数据类别的几个示例，对此不作限制。

示例性的，数据保护插件可以确定待处理云数据的数据级别（记为第二数据级别），第二数据级别表示待处理云数据的安全分级，如第二数据级别越高则安全分级越高（或第二数据级别越高则安全分级越低）。比如说，第二数据级别可以为第1级别、第2级别、第3级别。第3级别是最高安全分级，表示待处理云数据最重要，一旦数据泄露则安全隐患最大，需要对待处理云数据进行重点保护。第1级别是最低安全分级，数据泄露则安全隐患相对较小。

为了确定待处理云数据的第二数据级别，可以预先配置数据安全分级指南，该数据安全分级指南用于表示数据对应的数据级别，例如，身份证数据对应第3级别、车牌标识数据对应第3级别、车身数据对应第2级别、住址数据对应第2级别、性别数据对应第1级别等。基于数据安全分级指南，则数据保护插件可以确定待处理云数据的第二数据级别，对此不作限制。比如说，可以通过数据安全分级指南对待处理云数据进行分析，得到第二数据级别。

比如说，可以预先配置个人信息维度的数据安全分级指南、公共领域维度的数据安全分级指南、行业领域维度的数据安全分级指南。若待处理云数据是个人信息维度的数据，则通过个人信息维度的数据安全分级指南对待处理云数据进行分析，得到第二数据级别。若待处理云数据是公共领域维度的数据，则通过公共领域维度的数据安全分级指南对待处理云数据进行分析，得到第二数据级别。若待处理云数据是行业领域维度的数据，则通过行业领域维度的数据安全分级指南对待处理云数据进行分析，得到第二数据级别。当然，上述只是确定待处理云数据的第二数据级别的几个示例，对此不作限制。

示例性的，数据保护插件可以将第二数据类别作为待处理云数据的第二数据特征，或者，可以将第二数据级别作为待处理云数据的第二数据特征，或者，可以将第二数据类别和第二数据级别作为待处理云数据的第二数据特征。

步骤303、数据保护插件确定第二数据特征的加密参数。

示例性的，可以预先配置数据特征与加密参数的映射关系，以数据特征包括数据类别和数据级别为例，参见表1所示，为该映射关系的示例。基于该映射关系，数据保护插件在得到待处理云数据的第二数据特征（如第二数据类别和第二数据级别）之后，可以查询该映射关系，得到第二数据特征的加密参数。

表1

在一种可能的实施方式中，在配置数据特征对应的加密参数（参见表1所示）时，不同数据特征可以对应同一加密参数，即加密参数a1-加密参数a6均相同，且不同数据特征的加密参数更新周期相同，如每隔预设时长同时对加密参数a1-加密参数a6进行更新，且更新后的加密参数相同。在该情况下，数据保护插件确定第二数据特征的加密参数时，不同第二数据特征的加密参数可以相同，且不同第二数据特征的加密参数更新周期可以相同。

在一种可能的实施方式中，在配置数据特征对应的加密参数时，不同数据特征可以对应不同加密参数，即加密参数a1-加密参数a6可以不同，且不同数据特征的加密参数更新周期可以不同（或不同数据特征的加密参数更新周期也可以相同）。比如说，每隔预设时长1对加密参数a1进行更新，每隔预设时长2对加密参数a2进行更新，且更新后的加密参数a2与更新后的加密参数a1不同，每隔预设时长3对加密参数a3进行更新，以此类推。在该情况下，数据保护插件确定第二数据特征的加密参数时，不同第二数据特征的加密参数可以不同，且不同第二数据特征的加密参数更新周期可以不同。

由于不同第二数据特征的加密参数可以不同，因此，可以为重要等级的数据特征（如结构化类别+第3级别、非结构化类别+第3级别）配置更复杂的加密参数，即加密后数据的安全性更高。反之，可以为不重要等级的数据特征（如结构化类别+第1级别、非结构化类别+第1级别）配置更简单的加密参数，虽然加密后数据的安全性较低，但是，加密运算的速度更快，资源消耗更小。

由于不同第二数据特征的加密参数更新周期可以不同，因此，可以为重要等级的数据特征配置更短的加密参数更新周期，即加密参数的更新频率会更快，通过频繁更新加密参数提高数据安全性。反之，可以为不重要等级的数据特征配置更长的加密参数更新周期，通过减少加密参数更新次数节约资源。

步骤304、数据保护插件基于第二数据特征的加密参数对待处理云数据进行加密得到加密后云数据，如对待处理云数据进行透明加密得到加密后云数据。

示例性的，若第二数据特征的加密参数为空（加密参数可能为空，表示不需要加密，如加密参数a1和加密参数a3为空），则数据保护插件不对待处理云数据进行加密，直接将待处理云数据作为加密后云数据。或者，也可以采用固定加密参数（预先配置固定加密参数，固定加密参数不会发生变化）对待处理云数据进行加密，得到加密后云数据，对此加密过程不作限制。

示例性的，若第二数据特征的加密参数不为空，则数据保护插件可以采用第二数据特征的加密参数对待处理云数据进行加密得到加密后云数据，如对待处理云数据的每个字段进行加密，实现字段级别的透明加密。比如说，采用SM4算法对待处理云数据进行加密得到加密后云数据，对此加密过程不作限制。

步骤305、数据保护插件基于加密后云数据生成原始云数据。

示例性的，数据保护插件可以将加密后云数据作为原始云数据，或者，数据保护插件可以对加密后云数据进行数据打标得到原始云数据。

数据保护插件对加密后云数据进行数据打标时，可以为加密后云数据添加属性信息，从而得到原始云数据。比如说，该属性信息可以包括但不限于以下至少一种：第二数据特征、业务操作者的身份信息、业务操作者的权限信息、租户设备的IP地址、租户设备的MAC地址、租户设备的地理位置。

比如说，该属性信息可以只包括第二数据特征。或者，该属性信息可以包括第二数据特征，除了第二数据特征，该属性信息还可以包括但不限于以下至少一种：业务操作者的身份信息、业务操作者的权限信息、租户设备的IP地址、租户设备的MAC地址、租户设备的地理位置，对此属性信息不作限制。该属性信息后续可以在数据安全态势感知设备中溯源供分析使用。

步骤306、数据保护插件向云服务器发送原始云数据。比如说，可以将原始云数据发送给租户设备，由租户设备向云服务器发送原始云数据。

至此，完成数据采集阶段，通过在租户设备部署数据保护插件，由数据保护插件对云数据进行加密保护，从而在数据采集阶段对云数据进行加密保护。

第二，数据保护网关。数据保护网关可以部署在租户设备与云服务器之间，如云服务器的前一个设备，在数据传输和数据共享阶段对云数据进行加密保护。

示例性的，参见图4所示，数据保护网关对云数据进行加密保护可以包括：

步骤401、数据保护网关拦截租户设备向云服务器发送的原始云数据。

在一种可能的实施方式中，数据保护网关在拦截到原始云数据之后，确定需要对该原始云数据进行数据保护，即需要对所有原始云数据进行数据保护，针对所有原始云数据均可以执行后续步骤进行数据保护。

在一种可能的实施方式中，数据保护网关在拦截到原始云数据之后，还可以从该原始云数据中获取第二数据特征（即数据保护插件为原始云数据打标的第二数据特征）。若基于第二数据特征确定该原始云数据需要进行数据保护，则针对该原始云数据执行后续步骤（步骤402）进行数据保护。若基于第二数据特征确定该原始云数据不需要进行数据保护，则向云服务器转发该原始云数据，即数据保护网关不再执行后续步骤，而是直接转发该原始云数据。

比如说，数据保护网关可以包括数据拦截器和数据分析器，数据拦截器可以配置需要进行数据保护的参考数据特征，如需要对某种数据特征（如结构化类别+第3级别、非结构化类别+第3级别等）的云数据进行保护时，则在数据拦截器配置该数据特征作为参考数据特征。基于此，数据拦截器在接收到原始云数据之后，若原始云数据的第二数据特征与参考数据特征匹配，则表示原始云数据需要进行数据保护，将原始云数据推送到数据分析器进行后续步骤。若原始云数据的第二数据特征与参考数据特征不匹配，则直接转发原始云数据。

在数据拦截器配置参考数据特征时，可以将任意数据特征配置为参考数据特征，将SQL92等关系型数据库通用协议的数据特征配置为参考数据特征，将NoSQL、HBase等非关系型数据存储协议的数据特征配置为参考数据特征，将音视频和图片等协议的数据特征配置为参考数据特征，对此不作限制。

步骤402、数据保护网关确定原始云数据的第一数据特征；其中，该第一数据特征可以包括原始云数据的第一数据类别和/或第一数据级别。

示例性的，数据保护网关可以确定原始云数据的数据类别（记为第一数据类别），第一数据类别可以包括但不限于：结构化类别、半结构化类别、非结构化类别，对此第一数据类别不作限制。为了确定原始云数据的第一数据类别，第一数据类别的确定方式与第二数据类别的确定方式可以不同，当然，第一数据类别的确定方式与第二数据类别的确定方式也可以相同。

比如说，在数据保护插件，可以采用数据分类算法（如正则匹配、数据字典、数据指纹、数据种类识别、自然语言预定义检测模板等）对待处理云数据进行分析得到第二数据类别。在数据保护网关，数据分析器可以基于机器学习模型对原始云数据进行分析得到第一数据类别，对此过程不作限制。通过机器学习模型分析第一数据类别，能够提高识别准确性，得到更加可靠的第一数据类别。即使划分更多数据类别，也可以基于机器学习模型分析出第一数据类别。

示例性的，数据保护网关可以确定原始云数据的数据级别（记为第一数据级别），第一数据级别用于表示原始云数据的安全分级。为了确定原始云数据的第一数据级别，第一数据级别的确定方式与第二数据级别的确定方式可以不同，当然，第一数据级别的确定方式与第二数据级别的确定方式也可以相同。

比如说，在数据保护插件，可以基于数据安全分级指南确定待处理云数据的第二数据级别。在数据保护网关，数据分析器可以基于机器学习模型对原始云数据进行分析得到第一数据级别，对此过程不作限制。通过机器学习模型分析第一数据级别，能够提高识别准确性，得到更加可靠的第一数据级别。而且，可以划分更多的数据级别，如划分第1级别至第8级别的数据级别。

示例性的，数据保护网关可以将第一数据类别作为原始云数据的第一数据特征，或者，可以将第一数据级别作为原始云数据的第一数据特征，或者，可以将第一数据类别和第一数据级别作为原始云数据的第一数据特征。

步骤403、数据保护网关确定第一数据特征对应的保护策略，该保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略。

示例性的，可以预先配置数据特征与保护策略的映射关系，以数据特征包括数据类别和数据级别为例，参见表2所示，为该映射关系的示例。基于该映射关系，数据分析器在得到原始云数据的第一数据特征（如第一数据类别和第一数据级别）之后，可以查询该映射关系，得到第一数据特征对应的保护策略。

表2

在一种可能的实施方式中，在配置数据特征对应的保护策略（参见表2所示）时，不同数据特征可以对应不同保护策略（不同数据特征也可以对应相同保护策略）。在该情况下，在数据保护网关，数据分析器确定第一数据特征对应的保护策略时，不同第一数据特征对应的保护策略可以不同。

由于不同第一数据特征对应的保护策略可以不同，因此，可以为重要等级的数据特征（如结构化类别+第3级别、非结构化类别+第3级别）配置更多的保护策略（透明加密保护策略、数据脱敏保护策略和数据水印保护策略），即加密后数据的安全性更高。反之，可以为不重要等级的数据特征（如结构化类别+第1级别、非结构化类别+第1级别）配置更少的保护策略（如透明加密保护策略或数据脱敏保护策略），使得运算速度更快，资源消耗更小。

步骤404、数据保护网关基于该保护策略对原始云数据进行数据保护得到目标云数据。比如说，若保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理。若保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理。若保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理。若保护策略包括透明加密保护策略和数据脱敏保护策略，则对原始云数据进行数据加密处理和数据脱敏处理（如先数据脱敏处理后数据加密处理，或，先数据加密处理后数据脱敏处理）。若保护策略包括透明加密保护策略和数据水印保护策略，则对原始云数据进行数据加密处理和数据水印处理（如先数据水印处理后数据加密处理，或，先数据加密处理后数据水印处理）。若保护策略包括数据脱敏保护策略和数据水印保护策略，则对原始云数据进行数据脱敏处理和数据水印处理（如先数据水印处理后数据脱敏处理，或，先数据脱敏处理后数据水印处理）。若保护策略包括透明加密保护策略、数据脱敏保护策略和数据水印保护策略，则对原始云数据进行数据加密处理、数据脱敏处理和数据水印处理（对于三者的执行顺序不作限制，可以任意配置执行顺序）。

示例性的，若保护策略包括透明加密保护策略，则数据分析器可以将原始云数据推送给透明加密数据保护器，由透明加密数据保护器对原始云数据进行数据加密处理。比如说，透明加密数据保护器可以确定第一数据特征的加密参数，并基于第一数据特征的加密参数对原始云数据进行数据加密处理。

第一数据特征的加密参数的确定方式可以参见步骤303，在此不再重复赘述。关于第一数据特征的加密参数，不同第一数据特征的加密参数可以相同，且不同第一数据特征的加密参数更新周期可以相同，或者，不同第一数据特征的加密参数可以不同，且不同第一数据特征的加密参数更新周期可以不同。

透明加密数据保护器基于第一数据特征的加密参数对原始云数据进行数据加密处理时，可以将该加密参数和原始云数据提供给云密码资源池，由云密码资源池基于自身资源对原始云数据进行数据加密处理，并返回加密后数据。

透明加密数据保护器还可以联动密钥管理系统，由密钥管理系统对每隔数据特征的加密参数进行更新，透明加密数据保护器记录更新后的加密参数。

透明加密数据保护器基于第一数据特征的加密参数对原始云数据进行数据加密处理时，可以采用SM4算法对原始云数据进行数据加密处理，也可以采用其它加密算法对原始云数据进行数据加密处理。在此基础上，本实施例中提出一种新型加密算法，记为基于噪声的有索引保序加密算法，即，透明加密数据保护器对原始云数据进行基于噪声的有索引保序加密处理。基于噪声的有索引保序加密处理用于使加密后数据的单调性与加密前数据的单调性一致。比如说，若加密前的第一原始云数据大于加密前的第二原始云数据，则第一原始云数据的加密后数据大于第二原始云数据的加密后数据，保证加密前后的单调性一致。

为了实现基于噪声的有索引保序加密算法，可以采用如下非线性保序函数对原始云数据进行基于噪声的有索引保序加密处理：y=a*f(x)+b+noise，通过上述非线性保序函数使加密后数据的单调性与加密前数据的单调性一致。

a表示斜率加密参数，b表示截距加密参数，noise表示噪声加密参数，f(x)表示原始云数据，y表示加密后数据。显然，斜率加密参数、截距加密参数和噪声加密参数就是第一数据特征的加密参数，因此，可以确定第一数据特征对应的斜率加密参数、截距加密参数和噪声加密参数。不同第一数据特征可以对应相同或者不同的斜率加密参数，不同第一数据特征可以对应相同或者不同的截距加密参数，不同第一数据特征可以对应相同或者不同的噪声加密参数。a、b、noise需要秘密存储，且作为开放配置项可进行定期更换，以增加安全性。

基于上述加密参数，将第一数据特征对应的斜率加密参数a（a需要大于0）、截距加密参数b和噪声加密参数noise代入上述非线性保序函数，并将原始云数据f(x)代入上述非线性保序函数，从而得到加密后数据y（即函数输出）。

利用“基于噪声的有索引保序加密算法”的单调递增特性，使得加密后数据也可以比较大小，且加密后数据的单调性与加密前数据的单调性一致。这样，能够支持＞、＜、between and、order by等关键字的大小比较操作。

比如说，若租户设备在云服务器存储云数据A和云数据B，且云数据A小于云数据B，租户设备执行between and的查询语句时，查询结果是云数据A小于云数据B。进一步的，由于数据保护网关对云数据A和云数据B进行加密，使得云服务器存储的是加密后云数据A和加密后云数据B，通过“基于噪声的有索引保序加密算法”的加密，使得加密后云数据A也小于加密后云数据B，租户设备执行between and的查询语句时，能够保证查询结果正确。

由于可供比较的数据有数字类型（整型、浮点型）和字符串类型，且支持同类型间的比较，因此，在对原始云数据f(x)进行基于噪声的有索引保序加密处理时，可以先将原始云数据f(x)中的字符串类型数据的每一位转换成ASCII数字，然后，对转换后原始云数据f(x)进行基于噪声的有索引保序加密处理。这样，由于转换成ASCII数字的过程也是单调递增，因此，最终实现单调递增目的。

透明加密数据保护器基于第一数据特征的加密参数对原始云数据进行数据加密处理时，可以采用SM4算法对原始云数据进行数据加密处理，也可以采用其它加密算法对原始云数据进行数据加密处理。在此基础上，本实施例中提出一种新型加密算法，记为基于单字节的加密算法（如基于单字节的SM4加密算法），即，透明加密数据保护器对原始云数据进行基于单字节的加密处理，基于单字节的加密处理用于对原始云数据的每个字节分别加密。比如说，针对原始云数据的每个字节（即单个字节），可以采用SM4加密算法对该字节进行加密，使得原始云数据的每个单字节均可以加密为不同的密文。

基于单字节的加密处理用于使加密后数据的模糊查询结果与加密前数据的模糊查询结果一致，从而使加密操作对用户透明、无感知、不影响原业务操作。

利用“基于单字节的加密算法”的特性，使得原始云数据的每个单字节均可以加密为不同的密文，这样，能够支持like等关键字的模糊查询操作。比如说，若租户设备在云服务器存储云数据A，租户设备执行like查询语句时，需要对云数据A的每个单字节进行查询。进一步的，由于数据保护网关对云数据A进行加密，使得云服务器存储的是加密后云数据A，通过“基于单字节的加密算法”的加密，使得加密后云数据A也是每个单字节密文，这样，租户设备执行like查询语句时，也能够每个单字节进行查询，能够保证查询结果正确。

示例性的，若保护策略包括数据脱敏保护策略，则数据分析器可以将原始云数据推送给数据脱敏隐私保护器，由数据脱敏隐私保护器对原始云数据进行数据脱敏处理，如对原始云数据中的部分内容或全部内容进行数据脱敏处理。

数据脱敏隐私保护器可以获取下游网络节点的权限信息，下游网络节点可以是原始云数据在数据保护网关与云服务器之间传输时经过的网络节点。比如说，数据脱敏隐私保护器可以预先配置下游网络节点的权限信息，数据脱敏隐私保护器也可以从下游网络节点获取权限信息，对此不作限制。

权限信息用于表示下游网络节点具有哪些数据类型的访问权限（即不具有剩余数据类型的访问权限），或，权限信息用于表示下游网络节点不具有哪些数据类型的访问权限（即具有剩余数据类型的访问权限）。比如说，数据类型可以表示某个字段或某类数据，原始云数据包括字段A和字段B，该权限信息用于表示不具有字段A的访问权限。或者，原始云数据包括身份证号码和住址，权限信息用于表示不具有身份证号码的访问权限。又例如，原始云数据包括字段A和字段B，该权限信息用于表示具有字段B的访问权限。或者，原始云数据包括身份证号码和住址，权限信息用于表示具有住址的访问权限。

若数据脱敏隐私保护器基于该权限信息确定下游网络节点不具有指定数据类型的访问权限，且原始云数据包括指定数据类型的待脱敏子数据，则数据脱敏隐私保护器可以对原始云数据中的待脱敏子数据进行数据脱敏处理。比如说，若下游网络节点不具有字段A的访问权限，且原始云数据包括字段A的待脱敏子数据，则可以对字段A的待脱敏子数据进行数据脱敏处理。又例如，若下游网络节点不具有身份证号码的访问权限，且原始云数据包括身份证号码的待脱敏子数据，则可以对身份证号码的待脱敏子数据进行数据脱敏处理。

在对待脱敏子数据进行数据脱敏处理时，关于数据脱敏处理的方式，可以包括但不限于以下至少一种：隐藏处理、特殊符号替换处理、随机数替换处理、差分隐私共享处理、马赛克处理（针对视频和图像）。当然，上述只是数据脱敏处理的几个示例，本实施例中对此数据脱敏处理的方式不作限制。

示例性的，若数据脱敏隐私保护器基于该权限信息确定下游网络节点不具有指定数据类型的访问权限，且原始云数据包括指定数据类型的待脱敏子数据，则数据脱敏隐私保护器还可以产生告警日志发送至数据安全态势感知设备。

示例性的，若保护策略包括数据水印保护策略，则数据分析器可以将原始云数据推送给数据水印保护器，由数据水印保护器对原始云数据进行数据水印处理，如数据水印保护器可以对原始云数据进行水印打标处理。

若原始云数据的第一数据类别是结构化类别，且原始云数据包括K行子数据，K可以为正整数，则数据水印保护器可以为原始云数据添加K行子数据对应的K个数据水印，即，为原始云数据添加1列数据水印，该列数据水印包括K行子数据对应的K个数据水印，即在原始云数据中新增列存放数据水印。

针对原始云数据的每行子数据，该行子数据对应的数据水印是对该行子数据进行处理得到。比如说，该行子数据可以包括多个列字段的数据值，从多个列字段的数据值中选取部分数据值（如敏感列字段的数据值），对部分数据值进行hash运算或hmac运算，得到该行子数据对应的数据水印，或者，可以对全部数据值进行hash运算或hmac运算，得到该行子数据对应的数据水印。

当然，除了K行子数据对应的K个数据水印，数据水印保护器还可以从原始云数据中获取属性信息（即数据保护插件进行数据打标得到，如第二数据特征、业务操作者的身份信息、业务操作者的权限信息、租户设备的IP地址、租户设备的MAC地址、租户设备的地理位置等），并将属性信息作为数据水印。

若原始云数据的第一数据类别是半结构化类别，则数据水印保护器可以通过探针对原始云数据进行分析得到原始云数据对应的属性信息，确定与属性信息对应的数据水印（如属性信息作为数据水印），为原始云数据添加数据水印。

比如说，可以在API接口中埋入探针（即web测试脚本），探针用于分析数据中的信息，基于此，数据水印保护器在得到原始云数据之后，可以通过探针对原始云数据进行分析得到属性信息，对此分析过程不作限制。在得到属性信息之后，就可以将属性信息作为数据水印，并为原始云数据添加数据水印。

除了探针分析的属性信息，数据水印保护器还可以从原始云数据中获取属性信息（即数据保护插件进行数据打标得到），并将该属性信息作为数据水印。

若原始云数据的第一数据类别是非结构化类别，且原始云数据是原始图像数据（或原始视频数据），则数据水印保护器可以获取原始图像数据对应的属性信息，确定与该属性信息（如属性信息作为数据水印）对应的数据水印，为原始图像数据添加数据水印。其中，该属性信息可以是对原始图像数据进行分析得到，如图像接收时间、图像颜色特征、图像纹理特征等，对此不作限制。

除了分析的属性信息，数据水印保护器还可以从原始云数据中获取属性信息（即数据保护插件进行数据打标得到），并将该属性信息作为数据水印。

对于非结构化类别的原始云数据，如原始图像数据或原始视频数据，可以在编码层进行帧的解析和水印信息的添加并重新封装，且支持多级水印链式叠加，前面节点添加的水印不会被抹除。基于不同节点添加的数据水印，可以在数据安全态势感知设备中溯源供生成数据地图和数据血缘关系分析。

步骤405、数据保护网关将目标云数据发送给云服务器。

至此，完成数据传输阶段和数据共享阶段（即将云数据共享给其它节点），通过在租户设备和云服务器之间部署数据保护网关，由数据保护网关对云数据进行加密保护，从而在数据传输阶段和数据共享阶段对云数据进行加密保护。

第三，数据保护内核模块。数据保护内核模块可以部署在云服务器，如部署在云服务器的虚拟机内（比如说，数据保护内核模块被加载至云服务器的虚拟机的操作系统内核中），在数据存储阶段对云数据进行加密保护。

示例性的，参见图5所示，数据保护内核模块对云数据进行加密保护包括：

步骤501、数据保护内核模块接收到目标云数据。

示例性的，数据安全态势感知设备可以为每个虚拟机配置加密安全存储区域（如/root区域），或采用其它方式为每个虚拟机配置加密安全存储区域，表示需要对存储至加密安全存储区域的云数据进行机密性保护和完整性保护。

云服务器的虚拟机在接收到目标云数据时，若目标云数据的存储区域是加密安全存储区域，则数据保护内核模块需要拦截目标云数据，如目标云数据存储至加密安全存储区域时，数据保护内核模块插入在虚拟文件系统和底层文件系统之间自动拦截目标云数据，并执行后续步骤（如步骤502-步骤504）。若目标云数据的存储区域不是加密安全存储区域，则可以直接存储目标云数据。

步骤502、若数据保护内核模块确定目标云数据的存储区域是加密安全存储区域，则数据保护内核模块确定目标云数据的完整性校验值。

比如说，可以采用HMAC-SM3算法确定该目标云数据的完整性校验值，即HMAC-SM3完整性校验值。如目标云数据的每8K数据计算HMAC-SM3完整性校验值，所有HMAC-SM3完整性校验值组合成目标云数据的完整性校验值。

步骤503、数据保护内核模块对目标云数据进行加密得到密文数据。

比如说，数据保护内核模块可以采用SM4算法（如SM4 CTR算法）对目标云数据进行加密，得到密文数据。比如说，数据保护内核模块可以将目标云数据发送给云密码资源池（即用于实现加密操作的资源），由云密码资源池采用SM4算法对目标云数据进行加密，对此加密过程不作限制。

示例性的，不同租户设备对应云服务器的不同虚拟机，且每个虚拟机内单独部署数据保护内核模块，即不同租户设备对应不同数据保护内核模块。由于不同租户设备的目标云数据可能存储在同一个加密安全存储区域，为了起到数据安全隔离的效果，不同租户设备对应的加密密钥不同，这样，数据保护内核模块可以获取租户设备对应的加密密钥，采用租户设备对应的加密密钥对目标云数据进行加密得到密文数据。加密密钥可以统一管理，可以周期性替换。

步骤504、数据保护内核模块将完整性校验值与密文数据拼接得到待存储数据（如完整性校验值拼接在密文数据的尾部，或者，完整性校验值拼接在密文数据的头部），并将待存储数据存储到加密安全存储区域。

至此，完成数据存储阶段，通过在云服务器的虚拟机内部署数据保护内核模块，由数据保护内核模块对云数据进行机密性保护和完整性保护，从而在数据存储阶段对云数据进行加密保护（即写入底层文件系统的是密文数据）。

当然，数据保护内核模块也可以只对云数据进行机密性保护，如数据保护内核模块对目标云数据进行加密得到密文数据，并将密文数据存储到加密安全存储区域。或者，数据保护内核模块也可以只对云数据进行完整性保护，如数据保护内核模块确定目标云数据的完整性校验值，将完整性校验值与目标云数据拼接得到待存储数据，并将待存储数据存储到加密安全存储区域。

在一种可能的实施方式中，数据保护内核模块在接收到针对加密安全存储区域的数据读取消息时，可以从加密安全存储区域获取该数据读取消息对应的已存储数据（即完整性校验值与密文数据拼接得到），并基于已存储数据确定完整性校验值和密文数据，即将已存储数据拆分为完整性校验值与密文数据。

然后，对该密文数据进行解密得到目标云数据，比如说，可以采用SM4算法对该密文数据进行解密得到目标云数据，对此解密过程不作限制。示例性的，加密过程和解密过程的密钥是根据SM3（设备标识和时间戳）作为唯一标识，实时向密钥管理系统申请密钥资源，同一文件同一时间段一个密钥，保障加密强度安全。上述加密过程和解密过程对用户透明，不影响原有业务流操作。

然后，数据保护内核模块基于该完整性校验值（记为完整性校验值A）对目标云数据进行校验。比如说，数据保护内核模块可以采用HMAC-SM3算法确定该目标云数据的完整性校验值（记为完整性校验值B），参见步骤502。

若完整性校验值B与完整性校验值A相同，则目标云数据的校验成功。若完整性校验值B与完整性校验值A不同，则目标云数据的校验失败。

若校验成功，则将该目标云数据发送给租户设备。若校验失败，则记录异常数据（即错误日志），并将错误日志发送给数据安全态势感知设备。

示例性的，云服务器中各租户数据相互隔离，可以使用不同的保护密钥加密，且云服务器本身无法获取各租户的数据明文，保障租户的隐私安全。

示例性的，当租户读取加密安全存储区域的数据时，数据保护内核模块可以开辟缓存空间，并预加载访问频率较高的数据（即密文数据），对密文数据进行解密得到目标云数据，将目标云数据存至缓存空间，提高读取速率。

第四，数据安全态势感知设备。

数据安全态势感知设备部署在云系统侧，与数据保护插件、数据保护网关、数据保护内核模块进行数据收集和安全策略联动。比如说，将各模块的数据异常信息（如透明加解密失败、完整性校验失败、API接口调用频次/时间/地点异常、数据流转路径和预设权限匹配失败等），以及数据分析信息（如分类分级信息、数据上下级流转信息、数据水印信息等）进行动态数据地图描绘，并使用机器学习模型对相关元数据进行进一步溯源、清洗、归集、分析，形成业务数据的血缘关系图谱，以上数据异常信息和数据分析信息可以实时展示。

数据安全态势感知设备可以对数据安全风险进行预测和预警，并联动数据保护插件、数据保护网关、数据保护内核模块进行安全策略加固。

联动数据保护网关进行安全策略加固是指：针对每个第一数据特征，统计该第一数据特征对应的泄露云数据的数量，泄露云数据是已发生数据泄露的云数据。比如说，在获知某个云数据发生敏感信息泄露时，可以获知该云数据对应的第一数据特征，并将该云数据作为该第一数据特征对应的泄露云数据。

若该数量大于预设阈值（可以根据经验配置），则表示该第一数据特征对应的保护策略无法有效保护云数据，因此，获取该第一数据特征对应的更新后保护策略，将该第一数据特征对应的更新后保护策略配置到数据保护网关，且该第一数据特征对应的更新后保护策略的保护效果优于该第一数据特征对应的更新前保护策略的保护效果。比如说，更新前保护策略可以是透明加密保护策略，更新后保护策略可以是透明加密保护策略和数据脱敏保护策略；更新前保护策略可以是透明加密保护策略和数据脱敏保护策略，更新后保护策略可以是透明加密保护策略、数据脱敏保护策略和数据水印保护策略。当然，上述只是示例，只要更新后保护策略的保护效果优于更新前保护策略的保护效果即可。

联动数据保护插件进行安全策略加固是指：针对每个第二数据特征，统计该第二数据特征对应的泄露云数据的数量。若该数量大于预设阈值，则表示该第二数据特征对应的加密参数无法有效保护云数据，因此，获取该第二数据特征对应的更新后加密参数和更新后加密参数更新周期，将更新后加密参数和更新后加密参数更新周期配置到数据保护插件。其中，更新后加密参数的复杂程度大于更新前加密参数的复杂程度，更新后加密参数更新周期小于更新前加密参数更新周期，使得第二数据特征的加密保护效果更好。

数据安全态势感知设备可以通过数据保护插件、数据保护网关、数据保护内核模块收集信息，实时识别云业务系统的资源负载（算力、网络、性能拥堵瓶颈点等），自适应调整透明加密、数据水印和数据脱敏的运算位置。在插件模式（利用业务系统资源获知租户设备的资源比较充足）下，将透明加密、数据水印和数据脱敏等功能部署在数据保护插件执行（即数据保护网关的功能在数据保护插件执行）。在网关模式（利用业务系统资源获知数据保护网关的资源比较充足）下，将透明加密、数据水印和数据脱敏等功能部署在数据保护网关，即上述实施例的实现方式。在内核模式（利用业务系统资源获知云服务器的资源比较充足）下，将透明加密、数据水印和数据脱敏等功能部署在数据保护内核模块执行（即数据保护网关的功能在数据保护内核模块执行）。在上述方式中，充分利用节点计算资源并根据业务场景动态自适应切换。

由以上技术方案可见，本申请实施例中，基于云数据的第一数据特征确定保护策略，基于该保护策略对云数据进行数据保护，从而能够对云数据进行保护，减少敏感信息的泄漏，并保护数据的安全性。在对云数据进行保护的同时，还可以根据数据特征动态编排调整保护策略，比如说，在数据特征表示云数据重要性更高时，可以同时采用透明加密保护策略、数据脱敏保护策略和数据水印保护策略，在数据特征表示云数据重要性更低时，可以只采用透明加密保护策略，从而降低安全风险，提升业务性能。对业务系统免入侵式改造（无需改变业务系统的数据存储流程），驱动和引擎同时兼容结构化、半结构化和非结构化数据的安全保护，自动实时实现敏感数据识别、分类分级、透明加密、数据打标、数据脱敏等，保护敏感数据的安全。设计保序加密算法和单字节模糊查询算法，解决存储密文无法大小比较和模糊查询的问题。云系统中各租户数据相互隔离，使用不同的保护密钥加密；且云服务本身无法获取各租户的数据明文，保障云系统用户的隐私安全。对域内数据进行资产测绘，根据预设规则和机器学习模型进行数据地图和血缘关系建立。对潜在的威胁风险进行识别和预警，并联动数据保护插件和数据保护网关等模块进行策略下发和修复。

基于与上述方法同样的申请构思，本申请实施例中提出一种数据保护系统，该数据保护系统可以包括：数据保护网关、数据保护插件和数据保护内核模块，所述数据保护网关部署在租户设备与云服务器之间，所述数据保护插件部署在租户设备，所述数据保护内核模块部署在云服务器；其中：

所述数据保护插件，用于拦截所述租户设备发送的待处理云数据；确定所述待处理云数据的第二数据特征，所述第二数据特征包括所述待处理云数据的第二数据类别和/或第二数据级别；确定所述第二数据特征的加密参数，基于所述加密参数对所述待处理云数据进行加密得到加密后云数据；基于所述加密后云数据生成原始云数据，向所述云服务器发送所述原始云数据；

所述数据保护网关，用于拦截原始云数据，确定原始云数据的第一数据特征，所述第一数据特征包括原始云数据的第一数据类别和/或第一数据级别；确定第一数据特征对应的保护策略，基于所述保护策略对原始云数据进行数据保护得到目标云数据，将目标云数据发送给云服务器；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

所述数据保护内核模块，用于在接收到目标云数据时，若确定目标云数据的存储区域是已配置的加密安全存储区域，则确定目标云数据的完整性校验值，对所述目标云数据进行加密得到密文数据，将所述完整性校验值与所述密文数据拼接得到待存储数据，并将所述待存储数据存储到所述加密安全存储区域。

基于与上述方法同样的申请构思，本申请实施例中提出一种云数据透明加密保护装置，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，且所述云数据透明加密保护装置应用于所述数据保护网关，参见图6所示，为所述装置的结构示意图，所述装置可以包括：

拦截模块61，用于拦截所述租户设备向所述云服务器发送的原始云数据；

确定模块62，用于确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；

处理模块63，用于确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

发送模块64，用于将所述目标云数据发送给所述云服务器。

所述处理模块63对原始云数据进行数据加密处理时具体用于：对原始云数据进行基于噪声的有索引保序加密处理；和/或，对原始云数据进行基于单字节的加密处理。基于噪声的有索引保序加密处理用于使加密后数据的单调性与加密前数据的单调性一致；若加密前的第一原始云数据大于加密前的第二原始云数据，则第一原始云数据的加密后数据大于第二原始云数据的加密后数据。基于单字节的加密处理用于对原始云数据的每个字节分别加密；基于单字节的加密处理用于使加密后数据的模糊查询结果与加密前数据的模糊查询结果一致。

示例性的，所述处理模块63对所述原始云数据进行基于噪声的有索引保序加密处理时具体用于：采用如下非线性保序函数对所述原始云数据进行基于噪声的有索引保序加密处理：y=a*f(x)+b+noise；a表示斜率加密参数，b表示截距加密参数，noise表示噪声加密参数，f(x)表示所述原始云数据，y表示加密后数据。所述处理模块63还用于：基于所述原始云数据的第一数据特征，确定所述第一数据特征对应的斜率加密参数、截距加密参数和噪声加密参数；不同第一数据特征对应相同或者不同的斜率加密参数，不同第一数据特征对应相同或者不同的截距加密参数，不同第一数据特征对应相同或者不同的噪声加密参数。

示例性的，所述处理模块63对原始云数据进行数据脱敏处理时具体用于：获取下游网络节点的权限信息；其中，所述下游网络节点是所述原始云数据在所述数据保护网关与所述云服务器之间传输时经过的网络节点；若基于所述权限信息确定所述下游网络节点不具有指定数据类型的访问权限，且所述原始云数据包括所述指定数据类型的待脱敏子数据，则对所述原始云数据中的所述待脱敏子数据进行数据脱敏处理；所述数据脱敏处理包括以下至少一种：隐藏处理、特殊符号替换处理、随机数替换处理、差分隐私共享处理、马赛克处理。

示例性的，所述处理模块63对原始云数据进行数据水印处理时具体用于：若原始云数据的第一数据类别是结构化类别，且原始云数据包括K行子数据，K为正整数，则为所述原始云数据添加所述K行子数据对应的K个数据水印，每行子数据对应的数据水印是对该行子数据进行处理得到；若原始云数据的第一数据类别是半结构化类别，则通过探针对所述原始云数据进行分析得到所述原始云数据对应的属性信息，确定与所述属性信息对应的数据水印，并为所述原始云数据添加所述数据水印；若原始云数据的第一数据类别是非结构化类别，且所述原始云数据是原始图像数据，则获取所述原始图像数据对应的属性信息，确定与所述属性信息对应的数据水印，为所述原始图像数据添加所述数据水印。

基于与上述方法同样的申请构思，本申请实施例中提出一种数据保护网关，数据保护网关可以包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令；其中，所述处理器用于执行机器可执行指令，以实现本申请上述示例的云数据透明加密保护方法。

基于与上述方法同样的申请构思，本申请实施例还提供一种机器可读存储介质，机器可读存储介质上存储有若干计算机指令，计算机指令被处理器执行时，能够实现本申请上述示例的云数据透明加密保护方法。

其中，上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM（Radom Access Memory，随机存取存储器）、易失存储器、非易失性存储器、闪存、存储驱动器（如硬盘驱动器）、固态硬盘、任何类型的存储盘（如光盘、dvd等），或者类似的存储介质，或者它们的组合。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (11)

1.一种云数据透明加密保护方法，其特征在于，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，所述方法包括：

所述数据保护网关拦截所述租户设备向所述云服务器发送的原始云数据；

所述数据保护网关确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；

所述数据保护网关确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

所述数据保护网关将所述目标云数据发送给所述云服务器。

2.根据权利要求1所述的方法，其特征在于，

所述数据保护网关对原始云数据进行数据加密处理，包括：

对所述原始云数据进行基于噪声的有索引保序加密处理；其中，基于噪声的有索引保序加密处理用于使加密后数据的单调性与加密前数据的单调性一致；若加密前的第一原始云数据大于加密前的第二原始云数据，则第一原始云数据的加密后数据大于第二原始云数据的加密后数据；和/或，

对所述原始云数据进行基于单字节的加密处理；其中，基于单字节的加密处理用于对原始云数据的每个字节分别加密；基于单字节的加密处理用于使加密后数据的模糊查询结果与加密前数据的模糊查询结果一致。

3.根据权利要求2所述的方法，其特征在于，所述数据保护网关对所述原始云数据进行基于噪声的有索引保序加密处理，包括：

采用如下非线性保序函数对所述原始云数据进行基于噪声的有索引保序加密处理：y=a*f(x)+b+noise；其中，a表示斜率加密参数，b表示截距加密参数，noise表示噪声加密参数，f(x)表示所述原始云数据，y表示加密后数据；

所述方法还包括：基于所述原始云数据的第一数据特征，确定所述第一数据特征对应的斜率加密参数、截距加密参数和噪声加密参数；其中，不同第一数据特征对应相同或者不同的斜率加密参数，不同第一数据特征对应相同或者不同的截距加密参数，不同第一数据特征对应相同或者不同的噪声加密参数。

4.根据权利要求1所述的方法，其特征在于，

所述数据保护网关对原始云数据进行数据脱敏处理，包括：

获取下游网络节点的权限信息；其中，所述下游网络节点是所述原始云数据在所述数据保护网关与所述云服务器之间传输时经过的网络节点；

若基于所述权限信息确定所述下游网络节点不具有指定数据类型的访问权限，且所述原始云数据包括所述指定数据类型的待脱敏子数据，则对所述原始云数据中的所述待脱敏子数据进行数据脱敏处理；

其中，所述数据脱敏处理包括以下至少一种：隐藏处理、特殊符号替换处理、随机数替换处理、差分隐私共享处理、马赛克处理。

5.根据权利要求1所述的方法，其特征在于，

所述数据保护网关对原始云数据进行数据水印处理，包括：

若所述原始云数据的第一数据类别是结构化类别，且所述原始云数据包括K行子数据，K为正整数，则为所述原始云数据添加所述K行子数据对应的K个数据水印，每行子数据对应的数据水印是对该行子数据进行处理得到；

若所述原始云数据的第一数据类别是半结构化类别，则通过探针对所述原始云数据进行分析得到所述原始云数据对应的属性信息，确定与所述属性信息对应的数据水印，并为所述原始云数据添加所述数据水印；

若所述原始云数据的第一数据类别是非结构化类别，且所述原始云数据是原始图像数据，则获取所述原始图像数据对应的属性信息，确定与所述属性信息对应的数据水印，为所述原始图像数据添加所述数据水印。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述数据保护系统还包括数据保护插件，所述数据保护插件部署在租户设备，所述方法还包括：

所述数据保护插件拦截所述租户设备发送的待处理云数据；

所述数据保护插件确定所述待处理云数据的第二数据特征；其中，所述第二数据特征包括所述待处理云数据的第二数据类别和/或第二数据级别；所述第二数据特征的确定方式与所述第一数据特征的确定方式不同；

所述数据保护插件确定所述第二数据特征的加密参数，基于所述加密参数对所述待处理云数据进行加密得到加密后云数据；其中，不同第二数据特征的加密参数相同或不同，且不同第二数据特征的加密参数更新周期相同或不同；

所述数据保护插件基于所述加密后云数据生成原始云数据，向所述云服务器发送所述原始云数据，由所述数据保护网关拦截所述原始云数据。

7.根据权利要求6所述的方法，其特征在于，

所述数据保护插件基于所述加密后云数据生成原始云数据，包括：

所述数据保护插件为所述加密后云数据添加属性信息得到所述原始云数据；其中，所述属性信息包括所述第二数据特征；其中，所述属性信息还包括以下至少一种：业务操作者的身份信息、业务操作者的权限信息、所述租户设备的IP地址、所述租户设备的MAC地址、所述租户设备的地理位置；

所述数据保护网关在拦截到所述原始云数据之后，所述方法还包括：

所述数据保护网关从所述原始云数据中获取所述第二数据特征；若基于所述第二数据特征确定所述原始云数据需要进行数据保护，则执行确定所述原始云数据的第一数据特征的操作；若基于所述第二数据特征确定所述原始云数据不需要进行数据保护，则向所述云服务器转发所述原始云数据。

8.根据权利要求1-5任一项所述的方法，其特征在于，所述数据保护系统还包括数据保护内核模块，所述数据保护内核模块部署在所述云服务器，所述数据保护网关将所述目标云数据发送给所述云服务器之后，所述方法还包括：

所述数据保护内核模块接收到目标云数据时，若确定所述目标云数据的存储区域是已配置的加密安全存储区域，则确定所述目标云数据的完整性校验值，采用所述租户设备对应的加密密钥对所述目标云数据进行加密得到密文数据，将所述完整性校验值与所述密文数据拼接得到待存储数据，将所述待存储数据存储到所述加密安全存储区域；其中，不同租户设备对应的加密密钥不同；

所述数据保护内核模块在接收到针对所述加密安全存储区域的数据读取消息时，从所述加密安全存储区域获取所述数据读取消息对应的已存储数据；基于所述已存储数据确定完整性校验值和密文数据；对该密文数据进行解密得到目标云数据，并基于该完整性校验值对该目标云数据进行校验；若校验成功，则将该目标云数据发送给租户设备；若校验失败，则记录异常数据。

9.根据权利要求1-5任一项所述的方法，其特征在于，所述数据保护系统还包括数据安全态势感知设备，所述方法还包括：

针对每个第一数据特征，所述数据安全态势感知设备统计该第一数据特征对应的泄露云数据的数量，所述泄露云数据是已发生数据泄露的云数据；

若所述数量大于预设阈值，则所述数据安全态势感知设备获取该第一数据特征对应的更新后保护策略，并将该第一数据特征对应的更新后保护策略配置到所述数据保护网关；其中，该第一数据特征对应的更新后保护策略的保护效果优于该第一数据特征对应的更新前保护策略的保护效果。

10.一种云数据透明加密保护装置，其特征在于，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，且所述云数据透明加密保护装置应用于所述数据保护网关，所述装置包括：

拦截模块，用于拦截所述租户设备向所述云服务器发送的原始云数据；

确定模块，用于确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；

处理模块，用于确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

发送模块，用于将所述目标云数据发送给所述云服务器。

11.一种数据保护系统，其特征在于，包括：数据保护网关、数据保护插件和数据保护内核模块，数据保护网关部署在租户设备与云服务器之间，数据保护插件部署在租户设备，数据保护内核模块部署在云服务器；其中：

所述数据保护插件，用于拦截所述租户设备发送的待处理云数据；确定所述待处理云数据的第二数据特征，所述第二数据特征包括所述待处理云数据的第二数据类别和/或第二数据级别；确定所述第二数据特征的加密参数，基于所述加密参数对所述待处理云数据进行加密得到加密后云数据；基于所述加密后云数据生成原始云数据，向所述云服务器发送所述原始云数据；

所述数据保护网关，用于拦截原始云数据，确定原始云数据的第一数据特征，所述第一数据特征包括原始云数据的第一数据类别和/或第一数据级别；确定第一数据特征对应的保护策略，基于所述保护策略对原始云数据进行数据保护得到目标云数据，将目标云数据发送给云服务器；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

所述数据保护内核模块，用于在接收到目标云数据时，若确定目标云数据的存储区域是已配置的加密安全存储区域，则确定目标云数据的完整性校验值，对所述目标云数据进行加密得到密文数据，将所述完整性校验值与所述密文数据拼接得到待存储数据，并将所述待存储数据存储到所述加密安全存储区域。