CN105354507A - 一种云环境下的数据安全保密方法 - Google Patents
一种云环境下的数据安全保密方法 Download PDFInfo
- Publication number
- CN105354507A CN105354507A CN201510696609.1A CN201510696609A CN105354507A CN 105354507 A CN105354507 A CN 105354507A CN 201510696609 A CN201510696609 A CN 201510696609A CN 105354507 A CN105354507 A CN 105354507A
- Authority
- CN
- China
- Prior art keywords
- control module
- user
- cloud
- information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种云环境下的数据安全保密方法,其基于一种独立的第三方认证及存储设备和终端安全检测程序,所述第三方认证及存储设备包含自控芯片和存储器,所述自控芯片上运行的程序包含控制模块和文件***模块,所述存储器包含加密存储区和普通存储区,所述控制模块通过调用文件***模块访问存储器的加密存储区,所述普通存储区包含终端安全检测程序,所述加密存储区包含身份认证信息、密钥和算法软件载体,所述密钥采用AES对称密钥和RSA非对称密钥联合的加密方式,所述第三方认证及存储设备上还设有指纹识别器。本发明一种云环境下的数据安全保密方法保障了数据在云环境中不被窃取篡改,提高了用户数据在终端和服务端均有较高的安全性和保密性。
Description
【技术领域】
本发明涉及一种保护信息安全的方法,特别涉及一种云环境下的数据安全保密方法。
【背景技术】
云计算支持用户在任意位置、使用各种终端获取应用服务,所请求的资源来自“云”,而不是固定的有形的实体。无论是企业还是个人用户都存在大量的私密数据,如企业商业机密数据、企业客户信息数据、财务数据、个人银行账户及密码、隐私照片等等。对于使用云计算服务的用户来说,“云”就像一个黑匣子,因为在云环境中,用户并不知道其数据最终存储在何处、数据传输过程是否安全,也不清楚云服务商是否具备特殊权限来获取用户数据。换句话说,用户无法控制云环境下的数据,这必然会引起用户对所存储数据的机密性、完整性以及用户隐私性等安全问题的担心。
在用户使用云计算服务同时如何确保用户的数据在云环境下的安全性,即如何保证网络传输过程当中数据不被窃取和篡改;如何保证云计算服务商在得到数据时无法将用户敏感数据并将其泄露出去;如和保证访问用户经过严格的权限认证并且是合法的数据访问,保证用户在任何时候都可以安全的访问到自身的数据,已经成为与计算服务发展过程当中迫切需要解决的问题。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种云环境下的数据安全保密方法,其旨在解决现有技术中使用云计算服务过程中信息保密性不强、数据容易被泄漏的技术问题。
为实现上述目的,本发明提出了一种云环境下的数据安全保密方法,其基于一种独立的第三方认证及存储设备和终端安全检测程序,所述第三方认证及存储设备包含自控芯片和存储器,所述自控芯片上运行的程序包含控制模块和文件***模块,所述存储器包含加密存储区和普通存储区,所述控制模块通过调用文件***模块访问存储器的加密存储区,所述普通存储区包含终端安全检测程序,所述加密存储区包含身份认证信息、密钥和算法软件载体,所述密钥采用AES对称密钥和RSA非对称密钥联合的加密方式,所述第三方认证及存储设备上还设有指纹识别器,其具体步骤如下:
A)初始状态:将第三方认证及存储设备与云访问终端设备通过USB协议进行通信连接,自控芯片上的控制模块运行;
B)密码验证:第三方认证及存储设备与云访问终端设备通信连接后,自动弹出第三方认证及存储设备密码验证框,等待用户的输入,并将用户输入的密码传输至控制模块,控制模块调用文件***模访问存储器的加密存储区,将用户输入的密码与第三方认证及存储设备配置的设备密码进行比对,如果相符合,则转至步骤E),如果不相符,则反馈密码验证错误的信息,转至步骤C),如果密码验证不相符的次数达到N1次,转至步骤D);
C)验证失败:第三方认证及存储设备重新弹出设备密码验证框,等待用户的输入,回转至步骤B);
D)访问失败:控制模块查看第三方认证及存储设备预定的配置信息,如果配置信息为格式化,则控制模块将验证密码重置为默认值,并调用文件***模块清除存储器内部的所有文件,同时弹出错误次数过多的警示框后自动关闭,断开第三方认证及存储设备与云访问终端设备的通信连接,回转至步骤A),如果配置信息为不格式化,则控制模块将错误次数过多的信息通过在第三方认证及存储设备上弹出警示框反馈给用户,转至步骤W);
E)初始化设备:用户密码验证成功后,第三方认证及存储设备自动加载普通存储区,并初始化自控芯片、加密存储区内的程序和文件,自控芯片通过控制模块检查云访问终端设备是否存在安全检测程序,若存在,则转至步骤G),若不存在,则转至步骤F);
F)安装安全检测程序:自控芯片通过控制模块调用文件***模块访问普通存储区,并运行安全检测程序,在云服务访问终端设备上完成安全检测程序的自动安装,转至步骤I);
G)更新安全策略:自控芯片通过控制模块更新云服务访问终端设备***的全检查策略,更新完成后转至步骤I);
I)安全检查:用户运行安全检测程序对访问终端***进行安全检查,并判断终端***是否满足安全访问基线,若满足,则转至步骤K),若不满足,则转至步骤J);
J)终端***安全加固:安全检测程序在终端***上进行自定安全预警和安全加固,回转至步骤I);
K)权限认证:控制模块根据满足安全访问基线的信息,弹出用户身份权限认证的认证框,用户在认证框内输入身份认证信息,控制模块将身份认证信息与加密存储区预置的身份认证信息进行比对,如果相符,则转至步骤M),如果不相符,则反馈身份认证错误的信息,转至步骤L),如果身份认证的次数达到N2次,则转至步骤W);
L)认证失败:控制模块根据认证失败的信息重新弹出身份认证框,等待用户输入,回转至步骤K);
M)云服务器登录:控制模块根据身份认证成功的信息,在云服务终端弹出用户登录信息验证框,等待用户输入,控制模块将用户输入的登录信息与原配置信息进行比,如果相符,则转至步骤P),如果不相符,则反馈登录信息验证错误的信息,转至步骤O),如果登录信息验证的次数达到N3次,则转至步骤W);
O)登录失败:根据验证失败的信息重新弹出用户登录信息验证框,等待用户输入,回转至步骤M);
P)访问云服务器:用户登录成功后,通过第三方认证及存储设备的控制模块调用文件***模直接访问云计算服务器中的资源;
Q)数据加密传输:用户通过控制模块调用文件***模块访问加密存储区,采用RSA非对称密钥的公钥并运行算法软件载体对AES对称密钥和加密存储区内的重要数据一起进行非对称加密处理,使AES对称密钥和重要数据以密文形式存在,并通过可信通道发送给云服务器的云处理器模块;
R)数据应用处理:运用云处理器模块中的处理程序对密文中的重要数据进行应用处理;
S)对称加密处理:运用云服务器的加密模块,采用AES对称密钥运行对称加密算法对应用处理后的重要数据再次进行加密处理,使数据以二次加密的密文形式存在;
T)数据存储:控制模块直接访问云服务器的云存储处理模块,进行云数据与文件的存储服务,将二次加密的密文存储至云计算数据存储服务器中;
U)退出云服务器:存储完成后,用户退出云服务器;
V)记录日志:在用户完成操作后,控制模块根据用户的操作过程、文件数据等信息的传输过程整理成日志信息,并将该日志信息写入存储器内的记录空间中;
W)结束操作:控制模块接收到的信息,直接控制第三方认证及存储设备与云访问终端设备断开通信连接。
作为优选,所述指纹识别器与自控芯片连接,并与控制模块通信,所述指纹识别器上录制的指纹与用户绑定。
作为优选,所述步骤B)中N1的值≥3。
作为优选,所述步骤K)中N2的值≥3。
作为优选,所述步骤M)中N3的值≥3。
作为优选,所述步骤I)中安全检查对象包括云访问终端设备的操作***类型、端口开发情况、杀毒软件安装情况、病毒木马情况等。
作为优选,所述步骤Q)中的可信通道包括HTTP协议、VPN通道。
作为优选,所述RSA非对称密钥的公钥与RSA非对称密钥的私钥配对,RSA非对称密钥的私钥仅为用户所有。
作为优选,所述步骤W)中控制模块接收到的信息包括不格式化的信息、身份权限认证次数达N2次的信息及登录信息验证次数达N3次的信息。
本发明的有益效果:与现有技术相比,本发明提供的一种云服务访问终端的安全保障方法,步骤合理,采用独立的第三方认证及存储设备对身份认证信息及密钥进行管理,并对数据在云服务终端及服务端进行数据的加密处理,使数据在云环境下以加密密文的形式存在,避免了数据以非以明文形式存在而易被盗用窃取的情况,提高了数据在云环境中的安全性,保障用户的数据所有权。在访问云服务器前,对终端设备***进行安全检测、对终端***的安全性进行自动预警和安全加固处理,为使用云计算服务打下安全基础;数据首先经过非对称加密处理,后又经过云服务器的加密模块对称加密处理,保证在传输和云服务器中的数据始终以密文的形式存在,防止数据在终端、服务端被泄漏、窃取和非法访问,进一步提高了数据的安全性,保障了用户数据云环境下的安全可靠性。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例的流程示意图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图中及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明实施例提供一种云环境下的数据安全保密方法,其基于一种独立的第三方认证及存储设备和终端安全检测程序,所述第三方认证及存储设备包含自控芯片和存储器,所述自控芯片上运行的程序包含控制模块和文件***模块,所述存储器包含加密存储区和普通存储区,所述控制模块通过调用文件***模块访问存储器的加密存储区,所述普通存储区包含终端安全检测程序,所述加密存储区包含身份认证信息、密钥和算法软件载体,所述密钥采用AES对称密钥和RSA非对称密钥联合的加密方式,所述第三方认证及存储设备上还设有指纹识别器。
一般地,普通移动存储设备只含有普通存储区,且其内部的存储的文件可被服务终端操作***直接解析和操作,且移动存储设备不具有对数据的保密功能,即设备内存储的数据容易被泄漏或者窃取,因此,为了避免上诉情况的发生,本发明实施例中的第三方认证及存储设备自带自控芯片,且该第三方认证及存储设备包含加密存储区和普通存储区,重要文件或数据均存储在加密存储区中,由自控芯片来访问或解析加密存储区内的数据和文件,此外加密存储区内包含身份认证信息、密钥、重要数据等,利用第三方认证及存储设备的自控芯片直接访问,将重要信息、密钥及数据同云服务访问终端***物理隔离,确保重要信息不被窃取和泄漏的情况发生,大大减轻了用户的担心程度。
其具体步骤如下:
A)初始状态:将第三方认证及存储设备与云访问终端设备通过USB协议进行通信连接,自控芯片上的控制模块运行。
B)密码验证:第三方认证及存储设备与云访问终端设备通信连接后,自动弹出第三方认证及存储设备密码验证框,等待用户的输入,并将用户输入的密码传输至控制模块,控制模块调用文件***模访问存储器的加密存储区,将用户输入的密码与第三方认证及存储设备配置的设备密码进行比对,如果相符合,则转至步骤E),如果不相符,则反馈密码验证错误的信息,转至步骤C),如果密码验证不相符的次数达到N1次,转至步骤D)。
在本发明实施例中,用户需要通过第三方认证及存储设备配置的设备密码验证方能运行该设备,即步骤B)作为使用云计算服务前在云服务终端的第一步限制,其防止非法用户直接访问第三方认证及存储设备的存储区,同时控制模块能够在第三方认证及存储设备与云服务访问终端设备断开通信后,依然保留密码验证的不符合次数,避免非法用户通过断开第三方认证及存储设备与访问终端设备来不断尝试密码进行验证。
其中,N1的值≥3,在本发明的实施例中,N1的值取5。
C)验证失败:第三方认证及存储设备重新弹出设备密码验证框,等待用户的输入,回转至步骤B)。
D)访问失败:控制模块查看第三方认证及存储设备预定的配置信息,如果配置信息为格式化,则控制模块将验证密码重置为默认值,并调用文件***模块清除存储器内部的所有文件,同时弹出错误次数过多的警示框后自动关闭,断开第三方认证及存储设备与云访问终端设备的通信连接,回转至步骤A),如果配置信息为不格式化,则控制模块将错误次数过多的信息通过在第三方认证及存储设备上弹出警示框反馈给用户,转至步骤W)。
在本发明实施例中,配置的信息由生产者在控制芯片制造阶段进行设定,也可由用户根据存储数据的重要程度进行调整和设定。用户如果配置信息为格式化,则第三方认证及存储设备的存储区内的重要文件或者数据将会通过控制模块进行格式化,防止内部数据被非法用户窃取,避免了不必要的损失。
E)初始化设备:用户密码验证成功后,第三方认证及存储设备自动加载普通存储区,并初始化自控芯片、加密存储区内的程序和文件,自控芯片通过控制模块检查云访问终端设备是否存在安全检测程序,若存在,则转至步骤G),若不存在,则转至步骤F)。
F)安装安全检测程序:自控芯片通过控制模块调用文件***模块访问普通存储区,并运行安全检测程序,在云服务访问终端设备上完成安全检测程序的自动安装,转至步骤I)。
G)更新安全策略:自控芯片通过控制模块更新云服务访问终端设备***的全检查策略,更新完成后转至步骤I)。
I)安全检查:用户运行安全检测程序对访问终端***进行安全检查,并判断终端***是否满足安全访问基线,若满足,则转至步骤K),若不满足,则转至步骤J)。
其中,安全检查对象包括云访问终端设备的操作***类型、端口开发情况、杀毒软件安装情况、病毒木马情况等。
J)终端***安全加固:安全检测程序在终端***上进行自定安全预警和安全加固,回转至步骤I)。
在本发明实施例中,步骤E)至步骤J)作为使用云计算服务前在云服务终端的第二步限制,控制芯片初始化设备并解析终端***的安全性,直至终端***存在安全检查程序,通过安全检查程序的安全检查,加固终端***的安全性能,直到终端***满足安全访问基线方可进入下一步操作。
进一步地,第三方认证及存储设备自带终端安全检测程序,若访问终端设备无安全检查程序,则控制模块运行终端安全检测程序,程序自解析并完成安装。
更进一步地,安全检测程序对访问终端进行操作***类型、端口开发情况、杀毒软件安装情况、病毒木马情况等的安全检测。
K)权限认证:控制模块根据满足安全访问基线的信息,弹出用户身份权限认证的认证框,用户在认证框内输入身份认证信息,控制模块将身份认证信息与加密存储区预置的身份认证信息进行比对,如果相符,则转至步骤M),如果不相符,则反馈身份认证错误的信息,转至步骤L),如果身份认证的次数达到N2次,则转至步骤W)。
其中,N2的值≥3,在本发明的实施例中,N2的值取4。
L)认证失败:控制模块根据认证失败的信息重新弹出身份认证框,等待用户输入,回转至步骤K)。
在本发明实施例中,步骤K)作为使用云计算服务前的第三步限制,防止非法用户通过前两道限制访问文件或数据,用户需要通过权限认证方能访问加密存储区的文件或者数据,而未通过权限认证将被警告,同时控制模块能将认证失败的次数记下,并在第三方认证及存储设备与访问终端设备断开通信连接时,该次数仍然保留,避免了非法用户通过断开第三方认证及存储设备与访问终端设备的连接以清除认证失败记录,从而防止非法用户不断尝试权限认证。
进一步地,第三方认证及存储设备上设有指纹识别器,所述指纹识别器与控制芯片连接,并与控制模块通信,且身份认证信息与用户绑定,即身份认证信息为用户的指纹信息。
M)云服务器登录:控制模块根据身份认证成功的信息,在云服务终端弹出用户登录信息验证框,等待用户输入,控制模块将用户输入的登录信息与原配置信息进行比,如果相符,则转至步骤P),如果不相符,则反馈登录信息验证错误的信息,转至步骤O),如果登录信息验证的次数达到N3次,则转至步骤W)。
O)登录失败:根据验证失败的信息重新弹出用户登录信息验证框,等待用户输入,回转至步骤M)。
在本发明实施例中,步骤M)作为使用云计算服务前在服务终端的第四步限制,其防止非法用户突破前三步限制后访问加密存储区内的数据,若登录验证次数大于N3次,控制模块能够在第三方移动存储设备与硬件平台断开通信后依然保留验证次数,而不会在第三方移动存储设备与硬件平台强行断开后清除登录验证记录,避免了非法用户不断尝试登录。
其中,N3的值≥3,在本发明的实施例中,N3的值取4。
P)访问云服务器:用户登录成功后,通过第三方认证及存储设备的控制模块调用文件***模直接访问云计算服务器中的资源。
Q)数据加密传输:用户通过控制模块调用文件***模块访问加密存储区,采用RSA非对称密钥的公钥并运行算法软件载体对AES对称密钥和加密存储区内的重要数据一起进行非对称加密处理,使AES对称密钥和重要数据以密文形式存在,并通过可信通道发送给云服务器的云处理器模块。
其中,可信通道包括HTTP协议、VPN通道。
在云服务终端,通过RSA非对称密钥的公钥对AES对称密钥联同重要数据一起非对称加密处理,确保重要数据在传输的过程中以及在云服务器中始终以密文的形式存在,确保数据足够安全。
进一步地,RSA非对称密钥的公钥与RSA非对称密钥的私钥配对,RSA非对称密钥的私钥仅为用户所有。当且仅当用户采用私钥对加密的数据解密,才能进一步操作,而私钥仅为用户所有,具有足够的保密性,进一步保障了数据的安全性。
R)数据应用处理:运用云处理器模块中的处理程序对密文中的重要数据进行应用处理。
S)对称加密处理:运用云服务器的加密模块,采用AES对称密钥运行对称加密算法对应用处理后的重要数据再次进行加密处理,使数据以二次加密的密文形式存在。
T)数据存储:控制模块直接访问云服务器的云存储处理模块,进行云数据与文件的存储服务,将二次加密的密文存储至云计算数据存储服务器中。
数据在云服务器中时,再次通过对称加密算法进行加密,使得数据最终在云服务器中时以二次加密的密文形式存在,进一步加强了数据的保密程度和安全程度,用户不需要担心重要数据在云计算数据存储服务器的哪个位置、是否会被窃取的情况。
进一步地,先对重要数据采用RSA非对称加密处理,RSA非对称加密算法强度复杂、安全性高,能够保障重要数据和AES对称密钥不被窃取,在云服务器中在进行对称加密,此时的加密环境安全,且AES对称密钥和重要数据均以不可读取的密文形式,安全性大大增强。
U)退出云服务器:存储完成后,用户退出云服务器。
V)记录日志:在用户完成操作后,控制模块根据用户的操作过程、文件数据等信息的传输过程整理成日志信息,并将该日志信息写入存储器内的记录空间中。
W)结束操作:控制模块接收到的信息,直接控制第三方认证及存储设备与云访问终端设备断开通信连接。
在本发明实施例中,数据通过二次加密后,将加密密文存储至云数据与文件的存储服务器中,保障了用户数据永久性存储,非法用户无法窃取,即使窃取也无法访问,保障了数据在云环境中的可靠性与安全性。
进一步地,用户在退出云服务器后,控制模块将日志信息记录下来,且日志信息是通过控制模块单独写入存储器内的记录空间中,以防第三人或者病毒入侵对加密存储区内的文件或者数据进行访问,或者将其删除时,用户可以通过查看控制模块内部的日志信息,了解文件或者数据的传输路径及时间,并及时找回,避免了不必要的损失。
更近一步地,控制模块能根据接收到的信息,包括不格式化的信息、身份权限认证次数达N2次的信息及登录信息验证次数达N3次的信息,及时断开第三方认证及存储设备与云访问终端设备的通信连接,将数据被窃取的可能性将至为零。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种云环境下的数据安全保密方法,其特征在于:其基于一种独立的第三方认证及存储设备和终端安全检测程序,所述第三方认证及存储设备包含自控芯片和存储器,所述自控芯片上运行的程序包含控制模块和文件***模块,所述存储器包含加密存储区和普通存储区,所述控制模块通过调用文件***模块访问存储器的加密存储区,所述普通存储区包含终端安全检测程序,所述加密存储区包含身份认证信息、密钥和算法软件载体,所述密钥采用AES对称密钥和RSA非对称密钥联合的加密方式,所述第三方认证及存储设备上还设有指纹识别器,其具体步骤如下:
A)初始状态:将第三方认证及存储设备与云访问终端设备通过USB协议进行通信连接,自控芯片上的控制模块运行;
B)密码验证:第三方认证及存储设备与云访问终端设备通信连接后,自动弹出第三方认证及存储设备密码验证框,等待用户的输入,并将用户输入的密码传输至控制模块,控制模块调用文件***模访问存储器的加密存储区,将用户输入的密码与第三方认证及存储设备配置的设备密码进行比对,如果相符合,则转至步骤E),如果不相符,则反馈密码验证错误的信息,转至步骤C),如果密码验证不相符的次数达到N1次,转至步骤D);
C)验证失败:第三方认证及存储设备重新弹出设备密码验证框,等待用户的输入,回转至步骤B);
D)访问失败:控制模块查看第三方认证及存储设备预定的配置信息,如果配置信息为格式化,则控制模块将验证密码重置为默认值,并调用文件***模块清除存储器内部的所有文件,同时弹出错误次数过多的警示框后自动关闭,断开第三方认证及存储设备与云访问终端设备的通信连接,回转至步骤A),如果配置信息为不格式化,则控制模块将错误次数过多的信息通过在第三方认证及存储设备上弹出警示框反馈给用户,转至步骤W);
E)初始化设备:用户密码验证成功后,第三方认证及存储设备自动加载普通存储区,并初始化自控芯片、加密存储区内的程序和文件,自控芯片通过控制模块检查云访问终端设备是否存在安全检测程序,若存在,则转至步骤G),若不存在,则转至步骤F);
F)安装安全检测程序:自控芯片通过控制模块调用文件***模块访问普通存储区,并运行安全检测程序,在云服务访问终端设备上完成安全检测程序的自动安装,转至步骤I);
G)更新安全策略:自控芯片通过控制模块更新云服务访问终端设备***的全检查策略,更新完成后转至步骤I);
I)安全检查:用户运行安全检测程序对访问终端***进行安全检查,并判断终端***是否满足安全访问基线,若满足,则转至步骤K),若不满足,则转至步骤J);
J)终端***安全加固:安全检测程序在终端***上进行自定安全预警和安全加固,回转至步骤I);
K)权限认证:控制模块根据满足安全访问基线的信息,弹出用户身份权限认证的认证框,用户在认证框内输入身份认证信息,控制模块将身份认证信息与加密存储区预置的身份认证信息进行比对,如果相符,则转至步骤M),如果不相符,则反馈身份认证错误的信息,转至步骤L),如果身份认证的次数达到N2次,则转至步骤W);
L)认证失败:控制模块根据认证失败的信息重新弹出身份认证框,等待用户输入,回转至步骤K);
M)云服务器登录:控制模块根据身份认证成功的信息,在云服务终端弹出用户登录信息验证框,等待用户输入,控制模块将用户输入的登录信息与原配置信息进行比,如果相符,则转至步骤P),如果不相符,则反馈登录信息验证错误的信息,转至步骤O),如果登录信息验证的次数达到N3次,则转至步骤W);
O)登录失败:根据验证失败的信息重新弹出用户登录信息验证框,等待用户输入,回转至步骤M);
P)访问云服务器:用户登录成功后,通过第三方认证及存储设备的控制模块调用文件***模直接访问云计算服务器中的资源;
Q)数据加密传输:用户通过控制模块调用文件***模块访问加密存储区,采用RSA非对称密钥的公钥并运行算法软件载体对AES对称密钥和加密存储区内的重要数据一起进行非对称加密处理,使AES对称密钥和重要数据以密文形式存在,并通过可信通道发送给云服务器的云处理器模块;
R)数据应用处理:运用云处理器模块中的处理程序对密文中的重要数据进行应用处理;
S)对称加密处理:运用云服务器的加密模块,采用AES对称密钥运行对称加密算法对应用处理后的重要数据再次进行加密处理,使数据以二次加密的密文形式存在;
T)数据存储:控制模块直接访问云服务器的云存储处理模块,进行云数据与文件的存储服务,将二次加密的密文存储至云计算数据存储服务器中;
U)退出云服务器:存储完成后,用户退出云服务器;
V)记录日志:在用户完成操作后,控制模块根据用户的操作过程、文件数据等信息的传输过程整理成日志信息,并将该日志信息写入存储器内的记录空间中;
W)结束操作:控制模块接收到的信息,直接控制第三方认证及存储设备与云访问终端设备断开通信连接。
2.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述指纹识别器与自控芯片连接,并与控制模块通信,所述指纹识别器上录制的指纹与用户绑定。
3.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述步骤B)中N1的值≥3。
4.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述步骤K)中N2的值≥3。
5.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述步骤M)中N3的值≥3。
6.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述步骤I)中安全检查对象包括云访问终端设备的操作***类型、端口开发情况、杀毒软件安装情况、病毒木马情况等。
7.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述步骤Q)中的可信通道包括HTTP协议、VPN通道。
8.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述RSA非对称密钥的公钥与RSA非对称密钥的私钥配对,RSA非对称密钥的私钥仅为用户所有。
9.如权利要求1所述的一种云环境下的数据安全保密方法,其特征在于:所述步骤W)中控制模块接收到的信息包括不格式化的信息、身份权限认证次数达N2次的信息及登录信息验证次数达N3次的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510696609.1A CN105354507B (zh) | 2015-10-23 | 2015-10-23 | 一种云环境下的数据安全保密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510696609.1A CN105354507B (zh) | 2015-10-23 | 2015-10-23 | 一种云环境下的数据安全保密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105354507A true CN105354507A (zh) | 2016-02-24 |
| CN105354507B CN105354507B (zh) | 2018-09-11 |
Family
ID=55330478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510696609.1A Active CN105354507B (zh) | 2015-10-23 | 2015-10-23 | 一种云环境下的数据安全保密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105354507B (zh) |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656945A (zh) * | 2016-03-28 | 2016-06-08 | 北京天地和兴科技有限公司 | 一种工控主机安全存储验证方法及*** |
| CN105847305A (zh) * | 2016-06-21 | 2016-08-10 | 新昌县七星街道明盛模具厂 | 一种云资源的安全处理与访问方法 |
| CN105871931A (zh) * | 2016-06-21 | 2016-08-17 | 新昌县七星街道明盛模具厂 | 一种云服务终端的安全处理与访问方法 |
| CN105956496A (zh) * | 2016-06-21 | 2016-09-21 | 新昌县七星街道明盛模具厂 | 一种共享存储文件的安全保密方法 |
| CN106169035A (zh) * | 2016-06-28 | 2016-11-30 | 西安建筑科技大学 | 一种高安全性移动存储***及方法 |
| CN106612272A (zh) * | 2016-07-12 | 2017-05-03 | 四川用联信息技术有限公司 | 云存储中一种数据篡改的验证和恢复算法 |
| CN107273148A (zh) * | 2016-04-04 | 2017-10-20 | 恩智浦有限公司 | 数据的更新驱动迁移 |
| CN107438071A (zh) * | 2017-07-28 | 2017-12-05 | 北京信安世纪科技有限公司 | 云存储安全网关及访问方法 |
| CN107770195A (zh) * | 2017-11-27 | 2018-03-06 | 甘肃万维信息技术有限责任公司 | 基于云环境跨域身份认证***及其使用方法 |
| CN108256302A (zh) * | 2018-01-10 | 2018-07-06 | 四川阵风科技有限公司 | 数据安全访问方法及装置 |
| CN108491735A (zh) * | 2018-03-07 | 2018-09-04 | 京信通信***(中国)有限公司 | Nor Flash安全存储方法、装置和设备 |
| CN108710361A (zh) * | 2018-05-30 | 2018-10-26 | 广州明珞软控信息技术有限公司 | 一种安全程序检查方法和*** |
| CN108965222A (zh) * | 2017-12-08 | 2018-12-07 | 翟红鹰 | 身份认证方法、***及计算机可读存储介质 |
| CN109308417A (zh) * | 2017-07-27 | 2019-02-05 | 阿里巴巴集团控股有限公司 | 基于可信计算的解锁方法及装置 |
| CN109324839A (zh) * | 2018-09-21 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种服务器处理方法及装置 |
| CN109951844A (zh) * | 2019-01-31 | 2019-06-28 | 维沃移动通信有限公司 | 一种信息保护方法和装置 |
| CN110234110A (zh) * | 2019-06-26 | 2019-09-13 | 恒宝股份有限公司 | 一种移动网络自动切换方法 |
| CN110311974A (zh) * | 2019-06-28 | 2019-10-08 | 东北大学 | 一种基于异步消息的云存储服务方法 |
| CN110535832A (zh) * | 2019-08-05 | 2019-12-03 | 慧镕电子***工程股份有限公司 | 一种用于数据加密的国产服务器平台架构 |
| CN111382422A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 在非法访问用户数据的威胁下更改账户记录的密码的***和方法 |
| CN111737739A (zh) * | 2020-06-11 | 2020-10-02 | 国网河北省电力有限公司建设公司 | 一种基于二维码物理隔离的信息识别预警通信***及方法 |
| CN111787271A (zh) * | 2020-07-31 | 2020-10-16 | 平安信托有限责任公司 | 视频会议控制方法、装置、设备以及计算机可读存储介质 |
| CN111786958A (zh) * | 2020-06-10 | 2020-10-16 | 刘录占 | 一种基于工业互联网技术的工业数据安全保护*** |
| CN111859378A (zh) * | 2020-07-31 | 2020-10-30 | 中国工商银行股份有限公司 | 保护数据模型的处理方法和装置 |
| CN111881445A (zh) * | 2020-08-07 | 2020-11-03 | 武汉空心科技有限公司 | 一种基于反馈修正功能的工作平台文件共享加密方法 |
| CN111950002A (zh) * | 2020-08-04 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 基于配电网络的加密终端管理*** |
| CN112613011A (zh) * | 2020-12-29 | 2021-04-06 | 北京天融信网络安全技术有限公司 | U盘***认证方法、装置、电子设备及存储介质 |
| CN112738219A (zh) * | 2020-12-28 | 2021-04-30 | 中国第一汽车股份有限公司 | 程序运行方法、装置、车辆及存储介质 |
| CN112968859A (zh) * | 2020-11-27 | 2021-06-15 | 长威信息科技发展股份有限公司 | 一种工作隐私数据的加密存储*** |
| CN113010875A (zh) * | 2021-03-17 | 2021-06-22 | 紫光国芯微电子股份有限公司 | 信息隔离的方法、存储卡和移动终端 |
| CN113315786A (zh) * | 2021-06-25 | 2021-08-27 | 郑州信源信息技术股份有限公司 | 一种安全认证方法及*** |
| CN113572849A (zh) * | 2021-07-29 | 2021-10-29 | 中国联合网络通信集团有限公司 | 文件访问***和方法 |
| CN114389879A (zh) * | 2022-01-13 | 2022-04-22 | 重庆东电通信技术有限公司 | 一种物联网终端数据管控*** |
| CN116305330A (zh) * | 2023-05-22 | 2023-06-23 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
| CN117951737A (zh) * | 2024-01-08 | 2024-04-30 | 广州市蓝粤网络科技有限公司 | 一种机要数据时空关联芯片加密存储管理密钥卡 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567683A (zh) * | 2011-12-31 | 2012-07-11 | 曙光信息产业股份有限公司 | 云计算***和云计算实现方法 |
| CN103491080A (zh) * | 2013-09-12 | 2014-01-01 | 深圳市文鼎创数据科技有限公司 | 信息安全保护方法及*** |
| CN103532966A (zh) * | 2013-10-23 | 2014-01-22 | 成都卫士通信息产业股份有限公司 | 一种支持基于usb key单点登录虚拟桌面的装置及方法 |
| CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
| CN104394214A (zh) * | 2014-11-26 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种通过接入控制保护桌面云服务的方法及*** |
-
2015
- 2015-10-23 CN CN201510696609.1A patent/CN105354507B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567683A (zh) * | 2011-12-31 | 2012-07-11 | 曙光信息产业股份有限公司 | 云计算***和云计算实现方法 |
| CN103491080A (zh) * | 2013-09-12 | 2014-01-01 | 深圳市文鼎创数据科技有限公司 | 信息安全保护方法及*** |
| CN103532966A (zh) * | 2013-10-23 | 2014-01-22 | 成都卫士通信息产业股份有限公司 | 一种支持基于usb key单点登录虚拟桌面的装置及方法 |
| CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
| CN104394214A (zh) * | 2014-11-26 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种通过接入控制保护桌面云服务的方法及*** |
Cited By (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656945B (zh) * | 2016-03-28 | 2018-12-11 | 北京天地和兴科技有限公司 | 一种工控主机安全存储验证方法及*** |
| CN105656945A (zh) * | 2016-03-28 | 2016-06-08 | 北京天地和兴科技有限公司 | 一种工控主机安全存储验证方法及*** |
| CN107273148A (zh) * | 2016-04-04 | 2017-10-20 | 恩智浦有限公司 | 数据的更新驱动迁移 |
| US11050726B2 (en) | 2016-04-04 | 2021-06-29 | Nxp B.V. | Update-driven migration of data |
| CN107273148B (zh) * | 2016-04-04 | 2022-01-11 | 恩智浦有限公司 | 数据的更新驱动迁移 |
| CN105847305A (zh) * | 2016-06-21 | 2016-08-10 | 新昌县七星街道明盛模具厂 | 一种云资源的安全处理与访问方法 |
| CN105871931A (zh) * | 2016-06-21 | 2016-08-17 | 新昌县七星街道明盛模具厂 | 一种云服务终端的安全处理与访问方法 |
| CN105956496A (zh) * | 2016-06-21 | 2016-09-21 | 新昌县七星街道明盛模具厂 | 一种共享存储文件的安全保密方法 |
| CN106169035A (zh) * | 2016-06-28 | 2016-11-30 | 西安建筑科技大学 | 一种高安全性移动存储***及方法 |
| CN106612272A (zh) * | 2016-07-12 | 2017-05-03 | 四川用联信息技术有限公司 | 云存储中一种数据篡改的验证和恢复算法 |
| CN109308417A (zh) * | 2017-07-27 | 2019-02-05 | 阿里巴巴集团控股有限公司 | 基于可信计算的解锁方法及装置 |
| CN107438071A (zh) * | 2017-07-28 | 2017-12-05 | 北京信安世纪科技有限公司 | 云存储安全网关及访问方法 |
| CN107770195A (zh) * | 2017-11-27 | 2018-03-06 | 甘肃万维信息技术有限责任公司 | 基于云环境跨域身份认证***及其使用方法 |
| CN107770195B (zh) * | 2017-11-27 | 2024-01-09 | 中电万维信息技术有限责任公司 | 基于云环境跨域身份认证***及其使用方法 |
| CN108965222A (zh) * | 2017-12-08 | 2018-12-07 | 翟红鹰 | 身份认证方法、***及计算机可读存储介质 |
| CN108965222B (zh) * | 2017-12-08 | 2021-12-07 | 普华云创科技(北京)有限公司 | 身份认证方法、***及计算机可读存储介质 |
| CN108256302A (zh) * | 2018-01-10 | 2018-07-06 | 四川阵风科技有限公司 | 数据安全访问方法及装置 |
| CN108256302B (zh) * | 2018-01-10 | 2020-05-29 | 四川阵风科技有限公司 | 数据安全访问方法及装置 |
| CN108491735A (zh) * | 2018-03-07 | 2018-09-04 | 京信通信***(中国)有限公司 | Nor Flash安全存储方法、装置和设备 |
| CN108710361A (zh) * | 2018-05-30 | 2018-10-26 | 广州明珞软控信息技术有限公司 | 一种安全程序检查方法和*** |
| CN108710361B (zh) * | 2018-05-30 | 2020-07-28 | 广州明珞软控信息技术有限公司 | 一种安全程序检查方法和*** |
| CN109324839A (zh) * | 2018-09-21 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种服务器处理方法及装置 |
| CN111382422A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 在非法访问用户数据的威胁下更改账户记录的密码的***和方法 |
| CN111382422B (zh) * | 2018-12-28 | 2023-08-11 | 卡巴斯基实验室股份制公司 | 在非法访问用户数据的威胁下更改账户记录的密码的***和方法 |
| CN109951844A (zh) * | 2019-01-31 | 2019-06-28 | 维沃移动通信有限公司 | 一种信息保护方法和装置 |
| CN110234110A (zh) * | 2019-06-26 | 2019-09-13 | 恒宝股份有限公司 | 一种移动网络自动切换方法 |
| CN110311974A (zh) * | 2019-06-28 | 2019-10-08 | 东北大学 | 一种基于异步消息的云存储服务方法 |
| CN110535832A (zh) * | 2019-08-05 | 2019-12-03 | 慧镕电子***工程股份有限公司 | 一种用于数据加密的国产服务器平台架构 |
| CN111786958A (zh) * | 2020-06-10 | 2020-10-16 | 刘录占 | 一种基于工业互联网技术的工业数据安全保护*** |
| CN111786958B (zh) * | 2020-06-10 | 2022-08-19 | 正弦科技有限公司 | 一种基于工业互联网技术的工业数据安全保护*** |
| CN111737739A (zh) * | 2020-06-11 | 2020-10-02 | 国网河北省电力有限公司建设公司 | 一种基于二维码物理隔离的信息识别预警通信***及方法 |
| CN111859378A (zh) * | 2020-07-31 | 2020-10-30 | 中国工商银行股份有限公司 | 保护数据模型的处理方法和装置 |
| CN111787271A (zh) * | 2020-07-31 | 2020-10-16 | 平安信托有限责任公司 | 视频会议控制方法、装置、设备以及计算机可读存储介质 |
| CN111950002A (zh) * | 2020-08-04 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 基于配电网络的加密终端管理*** |
| CN111950002B (zh) * | 2020-08-04 | 2022-08-09 | 珠海市鸿瑞信息技术股份有限公司 | 基于配电网络的加密终端管理*** |
| CN111881445A (zh) * | 2020-08-07 | 2020-11-03 | 武汉空心科技有限公司 | 一种基于反馈修正功能的工作平台文件共享加密方法 |
| CN112968859A (zh) * | 2020-11-27 | 2021-06-15 | 长威信息科技发展股份有限公司 | 一种工作隐私数据的加密存储*** |
| CN112738219A (zh) * | 2020-12-28 | 2021-04-30 | 中国第一汽车股份有限公司 | 程序运行方法、装置、车辆及存储介质 |
| CN112613011A (zh) * | 2020-12-29 | 2021-04-06 | 北京天融信网络安全技术有限公司 | U盘***认证方法、装置、电子设备及存储介质 |
| CN112613011B (zh) * | 2020-12-29 | 2024-01-23 | 北京天融信网络安全技术有限公司 | U盘***认证方法、装置、电子设备及存储介质 |
| CN113010875A (zh) * | 2021-03-17 | 2021-06-22 | 紫光国芯微电子股份有限公司 | 信息隔离的方法、存储卡和移动终端 |
| CN113315786A (zh) * | 2021-06-25 | 2021-08-27 | 郑州信源信息技术股份有限公司 | 一种安全认证方法及*** |
| CN113572849A (zh) * | 2021-07-29 | 2021-10-29 | 中国联合网络通信集团有限公司 | 文件访问***和方法 |
| CN114389879A (zh) * | 2022-01-13 | 2022-04-22 | 重庆东电通信技术有限公司 | 一种物联网终端数据管控*** |
| CN116305330A (zh) * | 2023-05-22 | 2023-06-23 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
| CN116305330B (zh) * | 2023-05-22 | 2023-08-04 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
| CN117951737A (zh) * | 2024-01-08 | 2024-04-30 | 广州市蓝粤网络科技有限公司 | 一种机要数据时空关联芯片加密存储管理密钥卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105354507B (zh) | 2018-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105354507A (zh) | 一种云环境下的数据安全保密方法 | |
| CN105847305A (zh) | 一种云资源的安全处理与访问方法 | |
| US9503433B2 (en) | Method and apparatus for cloud-assisted cryptography | |
| WO2015180691A1 (zh) | 验证信息的密钥协商方法及装置 | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及*** | |
| US9225696B2 (en) | Method for different users to securely access their respective partitioned data in an electronic apparatus | |
| CN102984115B (zh) | 一种网络安全方法、及客户端服务器 | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| CN105956496A (zh) | 一种共享存储文件的安全保密方法 | |
| US11050570B1 (en) | Interface authenticator | |
| CN100353787C (zh) | 一种移动终端内存储的资料信息的安全保障方法 | |
| US20120233456A1 (en) | Method for securely interacting with a security element | |
| US20170026385A1 (en) | Method and system for proximity-based access control | |
| WO2017166362A1 (zh) | 一种esim号码的写入方法、安全***、esim号码服务器及终端 | |
| CN107066885A (zh) | 跨平台可信中间件的实现***及实现方法 | |
| WO2021129003A1 (zh) | 一种密码管理方法及相关装置 | |
| WO2015117523A1 (zh) | 访问控制方法及装置 | |
| CN104219077A (zh) | 一种中小企业信息管理*** | |
| US20110154436A1 (en) | Provider Management Methods and Systems for a Portable Device Running Android Platform | |
| CN101262669B (zh) | 一种移动终端内存储的资料信息的安全保障方法 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| US20140250499A1 (en) | Password based security method, systems and devices | |
| KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
| KR20150073567A (ko) | 보안영역을 포함하는 단말을 이용한 보안문자 송수신 방법 | |
| CN103916404A (zh) | 一种数据管理方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |