CN117786734B - 考生个人敏感信息防泄漏的方法、装置及存储介质 - Google Patents

Abstract

本申请公开了一种考生个人敏感信息防泄漏的方法、装置及存储介质。涉及信息技术领域。其中方法包括：考生的终端设备访问业务应用服务器进行考生个人信息填写；第一加密机针对考生填写的考生个人敏感信息进行加密；敏感信息查询人登记服务器进行文件密钥设置登记；解密服务器接收审计人员输入的加密后的文件密钥的密文字符串；业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，token服务器通过私钥验签及阈值检测后返回token；解密服务器访问第二加密机得到明文数据；解密服务器将明文数据生成压缩包；考试管理人员的终端设备访问业务应用服务器获取明文数据。解决了加密方式单一并且数据维护难的问题。

Description

考生个人敏感信息防泄漏的方法、装置及存储介质

技术领域

本申请涉及信息技术领域，特别是涉及一种考生个人敏感信息防泄漏的方法、装置及存储介质。

背景技术

目前的网上考试系统存在一些安全性问题。例如公开号为CN105024823A，名称为基于零知识证明的用户身份隐私保护方法及系统，公开了数据使用者10将身份信息发送给可信的身份管理中心30，请求身份管理中心30为其生成唯一代表其身份的身份密钥。身份管理中心30验证数据使用者10的身份信息后，为其生成唯一证明其合法身份的身份密钥，并发送给数据使用者10。之后，数据使用者10根据该身份密钥生成相应的公共参数，并发送给大数据发布平台20。大数据发布平台20与该数据使用者10根据公共参数执行一个交互式的零知识证明协议，以使得大数据发布平台20相信该数据使用者10是一个合法可信的用户，确实拥有身份管理中心30为其颁发的身份密钥，但同时又无法知道该身份密钥也即该数据使用者10的具体信息。大数据发布平台20验证数据使用者10为合法有效的用户后，为该数据使用者10临时生成一个随机账号和口令，以供数据使用者10登录。为保证随机账号和口令是通过安全信道传输的，数据使用者10需要向身份管理中心30发送一个随机数请求身份管理中心30为数据使用者10与大数据发布平台20生成共享密钥。为将数据使用者10的身份信息与共享密钥能够对应起来，身份管理中心30需要维护一张数据使用者信息表(UserInformation Table,UIT)，数据使用者信息表用于管理维护用户身份信息、共享密钥生成请求随机数与共享密钥的对应关系，并将生成的共享密钥分别通过安全信道发送给数据使用者10和大数据发布平台20。拥有共享密钥后，大数据发布平台20和数据使用者10之间就可以基于该共享密钥建立安全信道，大数据发布平台20通过安全信道将临时账号和口令发送给数据使用者10，数据使用者10获取到账号和口令后就可以普通方式登录大数据发布平台20，正常分析使用大数据，并且大数据发布平台20不知道数据使用者10的真实身份，从而有效地保护了用户的身份隐私。

但是现有的网上考试系统，验证用户身份后就将用户信息等数据进行公开，没有对用户信息进行较多的加密设置，从而使得加密方式单一，并且由于用户人数较多，数据量庞大，从而导致数据维护较为困难。

公开号为CN110401635A，发明名称为一种内外网隔离穿透设计方法，公开了一种内外网隔离穿透设计方法，包括以下步骤：S1：利用M/M/1/K/∞/FCFS排队思想对大量负载请求进行排队；S2：在基本线程池的基础上引入扩展线程池，通过池管理模块进行配置参数和控制消息的传递，以获取系统性能指标，并根据动态优化策略，创建新线程和阻塞扩展线程；S3：排队系统；S4：线程池动态管理机制；S5：基于上述的M/M/1/K/∞/FCFS排队模型和两个动态调整过程，给出一个线程调度算法；S6：内外网信息交互的边界安全防护架构设计。

针对上述的现有技术中存在的加密方式单一并且数据维护难的技术问题，目前尚未提出有效的解决方案。

发明内容

本申请的实施例提供了一种考生个人敏感信息防泄漏的方法、装置及存储介质，以至少解决现有技术中存在的加密方式单一并且数据维护难的技术问题。

根据本申请实施例的一个方面，提供了一种考生个人敏感信息防泄漏的方法，包括：通过考生个人敏感信息访问系统保护考生个人敏感信息，其中考生个人敏感信息访问系统包括：业务应用服务器、敏感信息查询人登记服务器、token服务器、解密服务器、数据库、第一加密机以及第二加密机，其中业务应用服务器用于运行网上报名相关的管理业务应用，敏感信息查询人登记服务器用于考试管理人员进行文件密钥设置，token服务器用于向业务应用服务器通过发放token来控制考生个人敏感信息的查询授权和阈值控制，解密服务器用于访问第二加密机，解密相关信息，且解密服务器与外网物理隔离，只允许解密服务器访问第二加密机，数据库用于存储根据加密策略加密的考生个人敏感信息的密文，第一加密机用于根据加密策略加密数据，第二加密机用于根据解密策略解密数据，步骤1：网上报名业务运行期间，考生的终端设备访问业务应用服务器进行考生个人信息填写，其中考生个人信息中包含考生个人敏感信息；步骤2：第一加密机针对考生填写的考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在数据库中，且在外网只加密不解密，以确保在极端情况下，即使破解了业务应用服务器，也无法解密从而获取考生个人敏感信息的明文信息；步骤3：业务应用服务器获取考生个人敏感信息前，敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中登记信息整合后通过公钥进行加密；步骤4：解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而审计人员无法接触文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密；步骤5：考试管理人员的终端设备获取考生个人敏感信息时，访问业务应用服务器，发起考生个人敏感信息的明文获取请求，业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，token服务器通过私钥验签及阈值检测后返回token；步骤6：数据解密：业务应用服务器凭借token通过预设的消息机制访问解密服务器，解密服务器获取考生个人敏感信息的密文后访问第二加密机，在内网将与考生个人敏感信息对应的密文解密为明文数据，且在内网只解密不加密，当内网中解密次数达到数据解密阈值后，不再进行任何解密操作；步骤7：明文数据传输：解密完成后，解密服务器将考生个人敏感信息的明文数据首先使用文件密钥进行文件级加密，再使用随机码将文件级加密后的考生个人敏感信息的明文数据生成压缩包，并将随机码发送给考试管理人员的终端设备，将压缩包通过预设的消息机制发送给业务应用服务器；步骤8：获取明文数据：考试管理人员的终端设备访问业务应用服务器，下载考生个人敏感信息的明文数据的压缩包，凭借随机码及文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

根据本申请实施例的另一个方面，还提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时由处理器执行以上所述的方法。

根据本申请实施例的另一个方面，还提供了一种考生个人敏感信息防泄漏的装置，包括：信息填写模块，用于网上报名业务运行期间，考生的终端设备访问业务应用服务器进行考生个人信息填写，其中考生个人信息中包含考生个人敏感信息；信息加密模块，用于第一加密机针对考生填写的考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在数据库中，且在外网只加密不解密，以确保在极端情况下，即使破解了业务应用服务器，也无法解密从而获取考生个人敏感信息的明文信息；密钥登记模块，用于业务应用服务器获取考生个人敏感信息前，敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中登记信息整合后通过公钥进行加密；信息登记模块，用于解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而审计人员无法接触文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密；请求发起模块，用于考试管理人员的终端设备获取考生个人敏感信息时，访问业务应用服务器，发起考生个人敏感信息的明文获取请求，业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，token服务器通过私钥验签及阈值检测后返回token；数据解密模块，用于数据解密：业务应用服务器凭借token通过预设的消息机制访问解密服务器，解密服务器获取考生个人敏感信息的密文后访问第二加密机，在内网将与考生个人敏感信息对应的密文解密为明文数据，且在内网只解密不加密，当内网中解密次数达到数据解密阈值后，不再进行任何解密操作；数据传输模块，用于明文数据传输：解密完成后，解密服务器将考生个人敏感信息的明文数据首先使用文件密钥进行文件级加密，再使用随机码将文件级加密后的考生个人敏感信息的明文数据生成压缩包，并将随机码发送给考试管理人员的终端设备，将压缩包通过预设的消息机制发送给业务应用服务器；数据获取模块，用于获取明文数据：考试管理人员的终端设备访问业务应用服务器，下载考生个人敏感信息的明文数据的压缩包，凭借随机码及文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

根据本申请实施例的另一个方面，还提供了一种考生个人敏感信息防泄漏的装置，包括：处理器；以及存储器，与处理器连接，用于为处理器提供处理以下处理步骤的指令：通过考生个人敏感信息访问系统保护考生个人敏感信息，其中考生个人敏感信息访问系统包括：业务应用服务器、敏感信息查询人登记服务器、token服务器、解密服务器、数据库、第一加密机以及第二加密机，其中业务应用服务器用于运行网上报名相关的管理业务应用，敏感信息查询人登记服务器用于考试管理人员进行文件密钥设置，token服务器用于向业务应用服务器通过发放token来控制考生个人敏感信息的查询授权和阈值控制，解密服务器用于访问第二加密机，解密相关信息，且解密服务器与外网物理隔离，只允许解密服务器访问第二加密机，数据库用于存储根据加密策略加密的考生个人敏感信息的密文，第一加密机用于根据加密策略加密数据，第二加密机用于根据解密策略解密数据，步骤1：网上报名业务运行期间，考生的终端设备访问业务应用服务器进行考生个人信息填写，其中考生个人信息中包含考生个人敏感信息；步骤2：第一加密机针对考生填写的考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在数据库中，且在外网只加密不解密，以确保在极端情况下，即使破解了业务应用服务器，也无法解密从而获取考生个人敏感信息的明文信息；步骤3：业务应用服务器获取考生个人敏感信息前，敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中登记信息整合后通过公钥进行加密；步骤4：解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而审计人员无法接触文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密；步骤5：考试管理人员的终端设备获取考生个人敏感信息时，访问业务应用服务器，发起考生个人敏感信息的明文获取请求，业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，token服务器通过私钥验签及阈值检测后返回token；步骤6：数据解密：业务应用服务器凭借token通过预设的消息机制访问解密服务器，解密服务器获取考生个人敏感信息的密文后访问第二加密机，在内网将与考生个人敏感信息对应的密文解密为明文数据，且在内网只解密不加密，当内网中解密次数达到数据解密阈值后，不再进行任何解密操作；步骤7：明文数据传输：解密完成后，解密服务器将考生个人敏感信息的明文数据首先使用文件密钥进行文件级加密，再使用随机码将文件级加密后的考生个人敏感信息的明文数据生成压缩包，并将随机码发送给考试管理人员的终端设备，将压缩包通过预设的消息机制发送给业务应用服务器；步骤8：获取明文数据：考试管理人员的终端设备访问业务应用服务器，下载考生个人敏感信息的明文数据的压缩包，凭借随机码及文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

在本申请实施例中，考试管理人员设置仅自己知晓的用于解密与考生个人敏感信息对应的压缩包的文件密钥，审计人员无法接触文件密钥的明文信息，使得减少文件密钥知晓的人数以及途径，从而有效阻挡考生个人敏感信息和文件外泄。并且本技术方案对系统运行情况及时监控，在token数量超过预设阈值的情况下，说明系统运行情况异常，从而本技术方案可以及时发现异常并且及时中断解密操作，避免敏感信息泄露。并且本技术方案通过在外网只加密不解密，在内网解密不加密的方式，使得加密和解密在内外网分离，从而保证外网中数据的安全性。进而解决了现有技术中存在的加密方式单一并且数据维护难的技术问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是用于实现根据本申请实施例1所述的方法的计算设备的硬件结构框图；

图2是根据本申请实施例1所述的考生个人敏感信息访问系统的示意图；

图3是根据本申请实施例1所述的考生个人敏感信息防泄漏的方法的流程示意图；

图4是根据本申请实施例2所述的考生个人敏感信息防泄漏的装置的示意图；以及

图5是根据本申请实施例3所述的考生个人敏感信息防泄漏的装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

根据本实施例，提供了一种考生个人敏感信息防泄漏的方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的计算设备中执行。图1示出了一种用于实现考生个人敏感信息防泄漏的方法的计算设备的硬件结构框图。如图1所示，计算设备可以包括一个或多个处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器、以及用于通信功能的传输装置。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算设备还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算设备中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器可用于存储应用软件的软件程序以及模块，如本申请实施例中的考生个人敏感信息防泄漏的方法对应的程序指令/数据存储装置，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的考生个人敏感信息防泄漏的方法。存储器可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算设备的通信供应商提供的无线网络。在一个实例中，传输装置包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算设备的用户界面进行交互。

此处需要说明的是，在一些可选实施例中，上述图1所示的计算设备可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图1仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算设备中的部件的类型。

图2是根据本实施例所述的考生个人敏感信息访问系统的示意图。参照图2所示，该系统包括：业务应用服务器210、第一加密机220、数据库230、敏感信息查询人登记服务器240、解密服务器250、token服务器260以及第二加密机270。

其中业务应用服务器210用于运行网上报名相关的管理业务应用。

第一加密机220用于根据加密策略加密数据。

数据库230用于存储根据加密策略加密的考生个人敏感信息的密文。

敏感信息查询人登记服务器240用于考试管理人员进行文件密钥设置。

解密服务器250用于访问第二加密机270，解密相关信息，且解密服务器250与外网物理隔离，只允许解密服务器250访问第二加密机270。

token服务器260用于向业务应用服务器210通过发放token来控制敏感信息查询数量不超过token服务器260设置的最大阈值。

第二加密机270用于根据解密策略解密数据。

并且其中业务应用服务器210、第一加密机220和数据库230设置于外网。敏感信息查询人登记服务器240和token服务器260设置于专网。解密服务器250和第二加密机270设置于内网。

需要说明的是，系统中的业务应用服务器210、第一加密机220、数据库230、敏感信息查询人登记服务器240、解密服务器250、token服务器260以及第二加密机270均可适用上面所述的硬件结构。

在上述运行环境下，根据本实施例的第一个方面，提供了一种考生个人敏感信息防泄漏的方法。图3示出了该方法的流程示意图，参考图3所示，该方法包括：

S302：步骤1：网上报名业务运行期间，考生的终端设备访问业务应用服务器进行考生个人信息填写，其中考生个人信息中包含考生个人敏感信息；

具体地，考生通过终端设备101访问业务应用服务器210，从而终端设备101上显示网上考试客户端，之后考生通过终端设备101在网上考试客户端填写考生个人信息，例如可以包括姓名、性别以及考生手机号码等信息。并且其中考生个人信息包含考生个人敏感信息，例如可以为身份证号、准考证号以及登录密码等信息。之后终端设备101将考生个人信息发送给业务应用服务器210。

S304：步骤2：第一加密机针对考生填写的考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在数据库中，且在外网只加密不解密，以确保在极端情况下，即使破解了业务应用服务器，也无法解密从而获取考生个人敏感信息的明文信息；

具体地，业务应用服务器210接收到终端设备101发送的考生个人信息后，将考生个人信息的考生个人敏感信息发送至第一加密机220，第一加密机220将考生个人敏感信息进行加密，得到考生个人敏感信息的密文，之后将考生个人敏感信息的密文发送至数据库230。之后数据库230将接收到的个人敏感信息的密文进行存储。

其中第一加密机220设置于外网中，从而实现在外网只加密不解密，从而以确保在极端情况下，即使破解了业务应用服务器210，也无法对密文进行解密从而获取考生个人敏感信息的明文信息。

S306：步骤3：业务应用服务器获取考生个人敏感信息前，敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中登记信息整合后通过公钥进行加密；

具体地，在考试管理人员想要通过终端设备102访问业务应用服务器210获取已加密的考生个人敏感信息的明文数据的情况下，考试管理人员通过终端设备102访问敏感信息查询人登记服务器240，将考生管理人员的登记信息输入敏感信息查询人登记服务器240。其中登记信息包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥等信息。

进一步地，敏感信息查询人登记服务器240接收到登记信息后，根据公钥将登记信息中的文件密钥进行加密，从而将加密后的文件密钥和其他登记信息存储至本地。

S308：步骤4：解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而审计人员无法接触文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密；

具体地，审计人员通过终端设备103从敏感信息查询人登记服务器240中获取考试管理人员的文件密钥的密文，之后审计人员通过终端设备103访问解密服务器250，在解密服务器250中输入加密后的文件密钥的密文字符串，从而审计人员完成了为考生管理人员进行用户信息登记的操作。

从而审计人员无法接触文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密。

其中基于零知识证明的文件密码机制为：考试管理人员通过终端设备102向解密服务器250发送身份证明信息，解密服务器250根据身份证明信息验证考试管理人员的身份，从而证明考试管理人员是否可以对密文进行解密。

S310：步骤5：考试管理人员的终端设备获取考生个人敏感信息时，访问业务应用服务器，发起考生个人敏感信息的明文获取请求，业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，token服务器通过私钥验签及阈值检测后返回token；

具体地，考试管理人员通过终端设备102获取考生个人敏感信息时，访问业务应用服务器210，向业务应用服务器210发送用于获取考生个人敏感信息的明文信息的明文获取请求。业务应用服务器210接收到明文获取请求后，向token服务器260发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息。token服务器260之后通过私钥验证签名。当私钥验证签名通过，token服务器260则会判断当前已经发放token的token数量是否已经超过预设阈值。其中token数量用于指示访问考生个人敏感信息的次数。

当token服务器260判定当前已经发放token的token数量未超过预设阈值，则将用于访问考生个人敏感信息的token发送至业务应用服务器210。

当token服务器260判定当前已经发放token的token数量超过预设阈值，则拒绝向业务应用服务器210发送token。

S312：步骤6：数据解密：业务应用服务器凭借token通过预设的消息机制访问解密服务器，解密服务器获取考生个人敏感信息的密文后访问第二加密机，在内网将与考生个人敏感信息和考试管理人员文件密钥对应的密文解密为明文数据，且在内网只解密不加密，当内网中解密次数达到数据解密阈值后，不再进行任何解密操作；

具体地，业务应用服务器210获取token后，通过预设的消息机制向解密服务器250发送访问请求。其中访问请求包括与考试管理人员想要获取的考生个人敏感信息对应的ID。解密服务器250根据访问请求从数据库230中获取相应的考生个人敏感信息的密文，将考生个人敏感信息的密文发送至第二加密机270，第二加密机270将考生个人敏感信息的密文进行解密，得到相应的明文数据，之后将明文数据发送至解密服务器250。从而本技术方案实现了在内网只解密不加密的技术效果。

并且解密服务器250还用于统计当天的解密次数，当内网中解密次数达到当天的数据解密阈值后，不再进行任何解密操作。

S314：步骤7：明文数据传输：解密完成后，解密服务器将考生个人敏感信息的明文数据首先使用文件密钥进行文件级加密，再使用随机码将文件级加密后的考生个人敏感信息的明文数据生成压缩包，并将随机码发送给考试管理人员的终端设备，将压缩包通过预设的消息机制发送给业务应用服务器；

具体地，解密服务器250接收到审计人员输入的文件密钥的密文字符串，之后根据私钥对该密文字符串进行解密，得到相应的明文(即，文件密钥)。在解密服务器250接收到第二加密机270发送的考生个人敏感信息的明文数据后，将考生个人敏感信息的明文数据使用文件密钥进行文件级加密，之后将文件级加密后的明文数据生成压缩包。之后解密服务器250获取敏感信息查询人登记服务器240中存储的考试管理人员手机号码，从而将随机码以短信形式发送给考试管理人员的终端设备102，并且将压缩包通过预设的消息机制发送给业务应用服务器210。

S316：步骤8：获取明文数据：考试管理人员的终端设备访问业务应用服务器，下载明文数据的压缩包，凭借随机码及文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

具体地，考试管理人员的终端设备102接收到短信，其中短信中包括随机码。之后考试管理人员通过终端设备102访问业务应用服务器210，下载与明文数据对应的压缩包，之后通过随机码对压缩包进行解压，得到文件级加密后的明文数据。之后考试管理人员通过自己的文件密钥对文件级加密的明文数据进行解密，得到考生个人敏感信息的明文数据。从而考试管理人员可以根据考生个人敏感信息与考生取得联系。

可选地，方法还包括：在日志采集过程中采用全域日志采集整合，其中日志包括token服务器的token服务日志、解密服务器的解密服务器日志、数据库的数据库日志、第一加密机的第一加密机日志以及第二加密机的第二加密机日志，并建立关联，明确单个用户单次使用的ip地址、访问的页面以及获取的数据，其中token服务日志用于记录发放token的数量和日期。从而本技术方案通过对各层级日志信息进行了完整记录，对个人行为能够完成记录、回溯，有效监控个人行为。

此外，本技术方案还包括：

1、加解密分开。通过设置密钥类型将加密、解密机制分离，外网只加密不解密，内网只解密不加密，做到加解密两条线，机制分离、用户分离、通道分离。

2、“三条业务数据总线，两条技术规范线”。1)身份认证总线，使用oauth2.0技术，对全部信息系统的身份和权限信息进行集中管理。2)消息总线，使用分布式消息队列如kafka等，设计并定义了各系统间的消息通信格式，使各系统间使用统一消息通信模式开展数据交换。该消息机制兼容多种模式，外网和专网区使用逻辑隔离进行通信，内网区使用网闸进行通信。3)服务总线，使用API网关定义公共服务，如短信网关、数据网关、身份核验网关等，供各信息系统共同调用。4)数据规范线。发布人事考试数据规范，各信息系统均使用统一。5)安全规范线。各信息系统，统一运行保障和安全防护体系。

3、token机制。服务器分为业务应用服务器、token服务器和解密服务器。解密服务器与外网物理隔离，只允许解密服务器访问第二加密机。系统运行时，业务应用服务器首先需访问token服务器获取授权，提供人员信息、数量、批次等信息，加盖时间戳并用公钥签名。token服务器使用私钥验签后发放授权(含特定信息)。业务应用服务器凭借授权对真实数据进行加密处理，并访问解密服务器，解密服务器获取数据后进行内网解密。解密完成后，业务应用服务器将数据包进行压缩加密(两重密码机制)后，向考试管理人员发送数据包和手机验证码，帮助其获取数据。业务应用服务器与解密服务器通信时使用自定义的消息机制。

4、日志归集。在日志采集过程中创新采用全域日志采集整合，摆脱了传统日志系统日志分层的问题。日志包括token服务器、解密服务器、数据库、加密机和数据库审计等日志，并建立关联。明确单个用户单次使用哪个ip地址访问什么页面，获取了什么数据。形成基于用户维度的态势感知能力。对发现异常日志及时处理。

5、独立文件密码。为防止数据文件外泄，设计基于零知识证明的文件密码机制，管理员设置仅自己知晓的文件密码。该密码在系统管理员、系统开发人员、维护人员均无法知晓。

6、阈值管理。设置数据解密阈值，一旦超过申请阈值，立即中断解密操作。

从而本技术方案实现以下效果：

1、便利性。虽然机制复杂，但对于系统使用人员非常便利，能够快速获取需要的考生个人信息。

2、安全性。管理员设置仅自己知晓的文件密码，有效阻挡敏感信息、文件外泄。

3、日志健全。系统对各层级日志信息进行了完整记录，对个人行为能够完成记录、回溯。

4、态势感知。对网络层、数据层和应用层的日志进行综合，对系统运行情况及时监控，发现异常及时处置。

此外，参考图1所示，根据本实施例的第二个方面，提供了一种存储介质。所述存储介质包括存储的程序，其中，在所述程序运行时由处理器执行以上所述的方法。

从而根据本实施例，考试管理人员设置仅自己知晓的用于解密与考生个人敏感信息对应的压缩包的文件密钥，审计人员无法接触文件密钥的明文信息，使得减少文件密钥知晓的人数以及途径，从而有效阻挡考生个人敏感信息和文件外泄。并且本技术方案对系统运行情况及时监控，在token数量超过预设阈值的情况下，说明系统运行情况异常，从而本技术方案可以及时发现异常并且及时中断解密操作，避免敏感信息泄露。并且本技术方案通过在外网只加密不解密，在内网解密不加密的方式，使得加密和解密在内外网分离，从而保证外网中数据的安全性。进而解决了现有技术中存在的加密方式单一并且数据维护难的技术问题。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

图4示出了根据本实施例所述的考生个人敏感信息防泄漏的装置400，该装置400与根据实施例1的第一个方面所述的方法相对应。参考图4所示，该装置400包括：信息填写模块410，用于网上报名业务运行期间，考生的终端设备访问业务应用服务器进行考生个人信息填写，其中考生个人信息中包含考生个人敏感信息；信息加密模块420，用于第一加密机针对考生填写的考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在数据库中，且在外网只加密不解密，以确保在极端情况下，即使破解了业务应用服务器，也无法解密从而获取考生个人敏感信息的明文信息；密钥登记模块430，用于业务应用服务器获取考生个人敏感信息前，敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中登记信息整合后通过公钥进行加密；信息登记模块440，用于解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而审计人员无法接触文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密；请求发起模块450，用于考试管理人员的终端设备获取考生个人敏感信息时，访问业务应用服务器，发起考生个人敏感信息的明文获取请求，业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，token服务器通过私钥验签及阈值检测后返回token；数据解密模块460，用于数据解密：业务应用服务器凭借token通过预设的消息机制访问解密服务器，解密服务器获取考生个人敏感信息的密文后访问第二加密机，在内网将与考生个人敏感信息对应的密文解密为明文数据，且在内网只解密不加密，当内网中解密次数达到数据解密阈值后，不再进行任何解密操作；数据传输模块470，用于明文数据传输：解密完成后，解密服务器将考生个人敏感信息的明文数据首先使用文件密钥进行文件级加密，再使用随机码将文件级加密后的考生个人敏感信息的明文数据生成压缩包，并将随机码发送给考试管理人员的终端设备，将压缩包通过预设的消息机制发送给业务应用服务器；数据获取模块480，用于获取明文数据：考试管理人员的终端设备访问业务应用服务器，下载考生个人敏感信息的明文数据的压缩包，凭借随机码及文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

可选地，装置400还包括：日志采集模块，用于在日志采集过程中采用全域日志采集整合，其中日志包括token服务器的token服务日志、解密服务器的解密服务器日志、数据库的数据库日志、第一加密机的第一加密机日志以及第二加密机的第二加密机日志，并建立关联，明确单个用户单次使用的ip地址、访问的页面以及获取的数据，其中token服务日志用于记录发放token的数量和日期。

从而根据本实施例，考试管理人员设置仅自己知晓的用于解密与考生个人敏感信息对应的压缩包的文件密钥，审计人员无法接触文件密钥的明文信息，使得减少文件密钥知晓的人数以及途径，从而有效阻挡考生个人敏感信息和文件外泄。并且本技术方案对系统运行情况及时监控，在token数量超过预设阈值的情况下，说明系统运行情况异常，从而本技术方案可以及时发现异常并且及时中断解密操作，避免敏感信息泄露。并且本技术方案通过在外网只加密不解密，在内网解密不加密的方式，使得加密和解密在内外网分离，从而保证外网中数据的安全性。进而解决了现有技术中存在的加密方式单一并且数据维护难的技术问题。

实施例3

图5示出了根据本实施例所述的考生个人敏感信息防泄漏的装置500，该装置500与根据实施例1的第一个方面所述的方法相对应。参考图5所示，该装置500包括：处理器510；以及存储器520，与处理器510连接，用于为处理器510提供处理以下处理步骤的指令：通过考生个人敏感信息访问系统保护考生个人敏感信息，其中考生个人敏感信息访问系统包括：业务应用服务器、敏感信息查询人登记服务器、token服务器、解密服务器、数据库、第一加密机以及第二加密机，其中业务应用服务器用于运行网上报名相关的管理业务应用，敏感信息查询人登记服务器用于考试管理人员进行文件密钥设置，token服务器用于向业务应用服务器通过发放token来控制考生个人敏感信息的查询授权和阈值控制，解密服务器用于访问第二加密机，解密相关信息，且解密服务器与外网物理隔离，只允许解密服务器访问第二加密机，数据库用于存储根据加密策略加密的考生个人敏感信息的密文，第一加密机用于根据加密策略加密数据，第二加密机用于根据解密策略解密数据，步骤1：网上报名业务运行期间，考生的终端设备访问业务应用服务器进行考生个人信息填写，其中考生个人信息中包含考生个人敏感信息；步骤2：第一加密机针对考生填写的考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在数据库中，且在外网只加密不解密，以确保在极端情况下，即使破解了业务应用服务器，也无法解密从而获取考生个人敏感信息的明文信息；步骤3：业务应用服务器获取考生个人敏感信息前，敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中登记信息整合后通过公钥进行加密；步骤4：解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而审计人员无法接触文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密；步骤5：考试管理人员的终端设备获取考生个人敏感信息时，访问业务应用服务器，发起考生个人敏感信息的明文获取请求，业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，token服务器通过私钥验签及阈值检测后返回token；步骤6：数据解密：业务应用服务器凭借token通过预设的消息机制访问解密服务器，解密服务器获取考生个人敏感信息的密文后访问第二加密机，在内网将与考生个人敏感信息对应的密文解密为明文数据，且在内网只解密不加密，当内网中解密次数达到数据解密阈值后，不再进行任何解密操作；步骤7：明文数据传输：解密完成后，解密服务器将考生个人敏感信息的明文数据首先使用文件密钥进行文件级加密，再使用随机码将文件级加密后的考生个人敏感信息的明文数据生成压缩包，并将随机码发送给考试管理人员的终端设备，将压缩包通过预设的消息机制发送给业务应用服务器；步骤8：获取明文数据：考试管理人员的终端设备访问业务应用服务器，下载考生个人敏感信息的明文数据的压缩包，凭借随机码及文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

可选地，存储器520还用于为处理器510提供处理以下处理步骤的指令：在日志采集过程中采用全域日志采集整合，其中日志包括token服务器的token服务日志、解密服务器的解密服务器日志、数据库的数据库日志、第一加密机的第一加密机日志以及第二加密机的第二加密机日志，并建立关联，明确单个用户单次使用的ip地址、访问的页面以及获取的数据，其中token服务日志用于记录发放token的数量和日期。

从而根据本实施例，考试管理人员设置仅自己知晓的用于解密与考生个人敏感信息对应的压缩包的文件密钥，审计人员无法接触文件密钥的明文信息，使得减少文件密钥知晓的人数以及途径，从而有效阻挡考生个人敏感信息和文件外泄。并且本技术方案对系统运行情况及时监控，在token数量超过预设阈值的情况下，说明系统运行情况异常，从而本技术方案可以及时发现异常并且及时中断解密操作，避免敏感信息泄露。并且本技术方案通过在外网只加密不解密，在内网解密不加密的方式，使得加密和解密在内外网分离，从而保证外网中数据的安全性。进而解决了现有技术中存在的加密方式单一并且数据维护难的技术问题。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (6)

1.一种考生个人敏感信息防泄漏的方法，包括：通过考生个人敏感信息访问系统保护考生个人敏感信息，其中所述考生个人敏感信息访问系统包括：业务应用服务器、敏感信息查询人登记服务器、token服务器、解密服务器、数据库、第一加密机以及第二加密机，其中所述业务应用服务器用于运行网上报名相关的管理业务应用，所述敏感信息查询人登记服务器用于考试管理人员进行文件密钥设置，所述token服务器用于向所述业务应用服务器通过发放token来控制所述考生个人敏感信息的查询授权和阈值控制，所述解密服务器用于访问所述第二加密机，解密相关信息，且所述解密服务器与外网物理隔离，只允许所述解密服务器访问所述第二加密机，所述数据库用于存储根据加密策略加密的所述考生个人敏感信息的密文，所述第一加密机用于根据加密策略加密数据，所述第二加密机用于根据解密策略解密数据，其特征在于：

步骤1：网上报名业务运行期间，考生的终端设备访问所述业务应用服务器进行考生个人信息填写，其中所述考生个人信息中包含所述考生个人敏感信息；

步骤2：所述第一加密机针对所述考生填写的所述考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在所述数据库中，且在所述外网只加密不解密，以确保在极端情况下，即使破解了所述业务应用服务器，也无法解密从而获取所述考生个人敏感信息的明文信息；

步骤3：所述业务应用服务器获取所述考生个人敏感信息前，所述敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中所述登记信息整合后通过公钥进行加密；

步骤4：所述解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而所述审计人员无法接触所述文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有所述考试管理人员本人能够解密；

步骤5：所述考试管理人员的终端设备获取所述考生个人敏感信息时，访问所述业务应用服务器，发起所述考生个人敏感信息的明文获取请求，所述业务应用服务器向所述token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，所述token服务器通过私钥验签及阈值检测后返回所述token；

步骤6：数据解密：所述业务应用服务器凭借所述token通过预设的消息机制访问所述解密服务器，所述解密服务器获取所述考生个人敏感信息的密文后访问所述第二加密机，在内网将与所述考生个人敏感信息对应的密文解密为明文数据，且在所述内网只解密不加密，当所述内网中解密次数达到数据解密阈值后，不再进行任何解密操作；

步骤7：明文数据传输：解密完成后，所述解密服务器将所述考生个人敏感信息的明文数据首先使用所述文件密钥进行文件级加密，再使用随机码将文件级加密后的所述考生个人敏感信息的明文数据生成压缩包，并将所述随机码发送给所述考试管理人员的终端设备，将所述压缩包通过预设的消息机制发送给所述业务应用服务器；

步骤8：获取明文数据：所述考试管理人员的终端设备访问所述业务应用服务器，下载所述考生个人敏感信息的明文数据的压缩包，凭借所述随机码及所述文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

2.根据权利要求1所述的方法，其特征在于，还包括：

在日志采集过程中采用全域日志采集整合，其中所述日志包括所述token服务器的token服务日志、所述解密服务器的解密服务器日志、所述数据库的数据库日志、所述第一加密机的第一加密机日志以及所述第二加密机的第二加密机日志，并建立关联，明确单个用户单次使用的ip地址、访问的页面以及获取的数据，其中所述token服务日志用于记录发放所述token的数量和日期。

3.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时由处理器执行权利要求1至2中任意一项所述的方法。

4.一种考生个人敏感信息防泄漏的装置，其特征在于，包括：

信息填写模块，用于网上报名业务运行期间，考生的终端设备访问业务应用服务器进行考生个人信息填写，其中所述考生个人信息中包含考生个人敏感信息；

信息加密模块，用于第一加密机针对所述考生填写的所述考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在数据库中，且在外网只加密不解密，以确保在极端情况下，即使破解了所述业务应用服务器，也无法解密从而获取所述考生个人敏感信息的明文信息；

密钥登记模块，用于所述业务应用服务器获取所述考生个人敏感信息前，敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中所述登记信息整合后通过公钥进行加密；

信息登记模块，用于解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而所述审计人员无法接触所述文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有考试管理人员本人能够解密；

请求发起模块，用于所述考试管理人员的终端设备获取所述考生个人敏感信息时，访问所述业务应用服务器，发起所述考生个人敏感信息的明文获取请求，所述业务应用服务器向token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，所述token服务器通过私钥验签及阈值检测后返回所述token；

数据解密模块，用于数据解密：所述业务应用服务器凭借所述token通过预设的消息机制访问所述解密服务器，所述解密服务器获取所述考生个人敏感信息的密文后访问第二加密机，在内网将与所述考生个人敏感信息对应的密文解密为明文数据，且在所述内网只解密不加密，当所述内网中解密次数达到数据解密阈值后，不再进行任何解密操作；

数据传输模块，用于明文数据传输：解密完成后，所述解密服务器将所述考生个人敏感信息的明文数据首先使用所述文件密钥进行文件级加密，再使用随机码将文件级加密后的所述考生个人敏感信息的明文数据生成压缩包，并将所述随机码发送给所述考试管理人员的终端设备，将所述压缩包通过预设的消息机制发送给所述业务应用服务器；

数据获取模块，用于获取明文数据：所述考试管理人员的终端设备访问所述业务应用服务器，下载所述考生个人敏感信息的明文数据的压缩包，凭借所述随机码及所述文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。

5.根据权利要求4所述的装置，其特征在于，还包括：

日志采集模块，用于在日志采集过程中采用全域日志采集整合，其中所述日志包括所述token服务器的token服务日志、所述解密服务器的解密服务器日志、所述数据库的数据库日志、所述第一加密机的第一加密机日志以及所述第二加密机的第二加密机日志，并建立关联，明确单个用户单次使用的ip地址、访问的页面以及获取的数据，其中所述token服务日志用于记录发放所述token的数量和日期。

6.一种考生个人敏感信息防泄漏的装置，包括：

处理器；以及

存储器，与所述处理器连接，用于为所述处理器提供处理以下处理步骤的指令：

通过考生个人敏感信息访问系统保护考生个人敏感信息，其中所述考生个人敏感信息访问系统包括：业务应用服务器、敏感信息查询人登记服务器、token服务器、解密服务器、数据库、第一加密机以及第二加密机，其中所述业务应用服务器用于运行网上报名相关的管理业务应用，所述敏感信息查询人登记服务器用于考试管理人员进行文件密钥设置，所述token服务器用于向所述业务应用服务器通过发放token来控制所述考生个人敏感信息的查询授权和阈值控制，所述解密服务器用于访问所述第二加密机，解密相关信息，且所述解密服务器与外网物理隔离，只允许所述解密服务器访问所述第二加密机，所述数据库用于存储根据加密策略加密的所述考生个人敏感信息的密文，所述第一加密机用于根据加密策略加密数据，所述第二加密机用于根据解密策略解密数据，其特征在于：

步骤1：网上报名业务运行期间，考生的终端设备访问所述业务应用服务器进行考生个人信息填写，其中所述考生个人信息中包含所述考生个人敏感信息；

步骤2：所述第一加密机针对所述考生填写的所述考生个人敏感信息进行加密，将加密后的考生个人敏感信息保存在所述数据库中，且在所述外网只加密不解密，以确保在极端情况下，即使破解了所述业务应用服务器，也无法解密从而获取所述考生个人敏感信息的明文信息；

步骤3：所述业务应用服务器获取所述考生个人敏感信息前，所述敏感信息查询人登记服务器进行文件密钥设置登记，其中登记信息至少包括：考试管理人员身份标识信息、考试管理人员手机号码以及文件密钥，其中所述登记信息整合后通过公钥进行加密；

步骤4：所述解密服务器接收审计人员输入的加密后的文件密钥的密文字符串，从而进行用户信息登记，从而所述审计人员无法接触所述文件密钥的明文信息，通过基于零知识证明的文件密码机制，以确保加密后的数据仅有所述考试管理人员本人能够解密；

步骤5：所述考试管理人员的终端设备获取所述考生个人敏感信息时，访问所述业务应用服务器，发起所述考生个人敏感信息的明文获取请求，所述业务应用服务器向所述token服务器发送经公钥签名并加盖时间戳的考次、考生状态和考生数量信息，所述token服务器通过私钥验签及阈值检测后返回所述token；

步骤6：数据解密：所述业务应用服务器凭借所述token通过预设的消息机制访问所述解密服务器，所述解密服务器获取所述考生个人敏感信息的密文后访问所述第二加密机，在内网将与所述考生个人敏感信息对应的密文解密为明文数据，且在所述内网只解密不加密，当所述内网中解密次数达到数据解密阈值后，不再进行任何解密操作；

步骤7：明文数据传输：解密完成后，所述解密服务器将所述考生个人敏感信息的明文数据首先使用所述文件密钥进行文件级加密，再使用随机码将文件级加密后的所述考生个人敏感信息的明文数据生成压缩包，并将所述随机码发送给所述考试管理人员的终端设备，将所述压缩包通过预设的消息机制发送给所述业务应用服务器；

步骤8：获取明文数据：所述考试管理人员的终端设备访问所述业务应用服务器，下载所述考生个人敏感信息的明文数据的压缩包，凭借所述随机码及所述文件密钥进行解密，最终获取业务所需考生个人敏感信息的明文数据。