CN105610845A - 一种基于云服务的数据路由方法、装置及*** - Google Patents
一种基于云服务的数据路由方法、装置及*** Download PDFInfo
- Publication number
- CN105610845A CN105610845A CN201610006236.5A CN201610006236A CN105610845A CN 105610845 A CN105610845 A CN 105610845A CN 201610006236 A CN201610006236 A CN 201610006236A CN 105610845 A CN105610845 A CN 105610845A
- Authority
- CN
- China
- Prior art keywords
- data
- cloud service
- user
- application data
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用计算机技术领域,提供了一种基于云服务的数据路由方法、装置及***,方法包括:接收第一用户通过第一用户终端发送的云服务的应用数据上传请求;根据预先为云服务设置的加密规则,获取用于云服务的一加密密钥组,加密密钥组包括用于对应用数据中的一个或多个数据段进行加密的一个或多个密钥;使用对应的云服务协议解析器对应用数据进行解析;使用加密密钥组对应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给提供云服务的存储服务器。从而无须在用户终端配置专门的加密客户端或装置,降低了用户终端的软硬件要求,且整个加密过程对用户透明,可为不同云服务提供差异性加密,在提供差异化安全的同时,实现了数据共享。
Description
技术领域
本发明属于计算机技术领域,尤其涉及一种基于云服务的数据路由方法、装置及***。
背景技术
云服务是基于互联网的相关服务的增加、使用和交付模式,云服务的服务提供商将应用软件或服务统一部署在自己的服务器上,用户可根据自己实际需求,通过互联网向服务提供商订购所需的应用服务,按订购的服务多少和时间长短向服务提供商支付费用,并通过互联网获得服务提供商提供的服务。用户不用再购买软件,而改用向服务提供商租用基于Web的软件来管理企业经营活动,且无需对软件进行维护,服务提供商负责管理和维护软件。
云服务典型的应用包括搜索服务、邮件服务、云存储服务等,当用户使用这些应用服务时,不需要在本地安装大型的搜索引擎***、邮箱管理***以及文件管理***等,极大地方便了用户,降低了企业成本。然而,这些应用在给用户带来便利的同时,也存在一定的安全风险。例如,当前的云存储服务如百度网盘、金山网盘等就存在着一系列的问题,如网盘上存储的内容杂乱、云存储服务提供商管理不透明,安全问题频发,导致云存储下用户数据的安全性较低,用户由于担心存储内容被泄露一般不愿意将重要内容放置其中。
现有云服务虽然会采取加密方式对用户数据进行保护,然而,一方面,如果在用户终端对用户数据进行加密,则只能安装对应的客户端提供加密,或为每个云服务开发特定的客户端,例如需要开发特定的邮件收发客户端,云盘上传客户端等等,造成用户终端软件繁杂,操作时需要消耗较高的终端资料,加密对用户不透明,不能为不同云服务提供差异化的加密。另一方面,若网盘等服务提供商为保证数据安全将数据加密存储,则会涉及复杂的加密和密钥管理,用户难以方便地与其他用户分享相关数据,数据分享困难,同时,服务提供商的保密措施对用户不透明,用户对服务提供商也存在一定的信心不足。
发明内容
本发明实施例的目的在于提供一种基于云服务的数据路由方法、装置及***,旨在解决由于现有技术无法提供一种用于各种云服务的用户透明、差异化的加密方式的问题。
一方面,本发明提供了一种基于云服务的数据路由方法,所述方法包括下述步骤:
接收第一用户通过第一用户终端发送的云服务的应用数据上传请求;
根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析;
根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给提供所述云服务的存储服务器。
另一方面,本发明提供了一种基于云服务的数据路由装置,所述装置包括:
数据接收单元,用于接收第一用户通过第一用户终端发送的云服务的应用数据上传请求;
加密密钥获取单元,用于根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
数据解析单元,用于使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析;以及
数据加密单元,用于根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给提供所述云服务的存储服务器。
另一方面,本发明提供了一种用于云服务的数据保护***的数据保护方法,所述数据保护***包括第一用户终端、路由装置以及云服务存储服务器,所述路由装置包括代理服务器以及密钥管理服务器,所述方法包括:
第一用户终端接收第一用户输入的云服务的应用数据上传请求,将所述应用数据上传请求发送给所述路由装置的所述代理服务器;
代理服务器接收到所述第一用户终端发送的应用数据上传请求后,向所述密钥服务器发送获取用于所述云服务的加密密钥组的请求;
密钥服务器接收到获取用于所述云服务的加密密钥组的请求后,向所述代理服务器返回用于所述云服务的加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
代理服务器在接收到所述密钥服务器返回的所述加密密钥组后,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析,并根据所述加密规则,使用所述加密密钥组对所述应用数据中的一或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器;
云服务存储服务器接收所述代理服务器发送的所述应用数据对应的加密后的密文数据并存储。
另一方面,本发明提供了一种基于云服务的数据保护***,所述数据保护***包括第一用户接入设备、路由装置以及云服务存储服务器,所述路由装置包括代理服务器以及密钥管理服务器,其中:
第一用户终端接收第一用户输入的云服务的应用数据上传请求,将所述应用数据上传请求发送给所述路由装置的所述代理服务器;
代理服务器接收到所述第一用户终端发送的应用数据上传请求后,向所述密钥服务器发送获取用于所述云服务的加密密钥组的请求;
密钥服务器接收到获取用于所述云服务的加密密钥组的请求后,向所述代理服务器返回用于所述云服务的加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
代理服务器在接收到所述密钥服务器返回的所述加密密钥组后,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析,并根据所述加密规则,使用所述加密密钥组对所述应用数据中的一或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器;
云服务存储服务器接收所述代理服务器发送的所述应用数据对应的加密后的密文数据并存储。
本发明实施例在接收用户终端发送的云服务的应用数据上传请求时,根据预先为不同云服务设置的加密规则,获取用于云服务的一加密密钥组,使用预先存储的与云服务对应的云服务协议解析器对应用数据进行解析,使用加密密钥组对应用数据中的一个或多个数据段进行加密,最后将加密后的密文数据发送给提供云服务的存储服务器,从而无须在用户终端配置专门的加密客户端或装置,降低了用户终端的软硬件要求,且整个加密过程对用户透明,可以为不同云服务提供差异性加密,在提供差异化安全的同时,实现了数据共享。
附图说明
图1是本发明实施例一提供的基于云服务的数据路由方法的实现流程图;
图2是本发明实施例二提供的基于云服务的数据路由方法的实现流程图;
图3是本发明实施例三提供的基于云服务的数据路由方法的实现流程图;
图4是本发明实施例四提供的基于云服务的数据路由装置的结构图;
图5是本发明实施例五提供的基于云服务的数据路由装置的结构图;
图6是本发明实施例六提供的用于云服务的数据保护***的数据保护方法的实现流程图;
图7是本发明实施例七提供的用于云服务的数据保护***的数据保护方法的实现流程图;以及
图8是本发明实施例八提供的基于云服务的数据保护***的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下结合具体实施例对本发明的具体实现进行详细描述:
实施例一:
图1示出了本发明实施例一提供的基于云服务的数据路由方法的实现流程,详述如下:
在步骤S101中,接收第一用户通过第一用户终端发送的云服务的应用数据上传请求。
在本发明实施例中,云服务可以为云存储服务/应用、邮件服务等,应用数据上传请求可以是云存储文件的上传、web邮件的发送上传等。具体地,可以通过用户终端上的通用浏览器、邮件客户端等通用云存储客户端进行应用数据的上传。另外,第一用户终端为一普通用户终端。
在步骤S102中,根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥。
在本发明实施例中,为了针对不同云服务提供差异化的安全服务或根据用户要求提供差异化的安全服务,预先为不同的云服务设置的不同的加密规则,例如,设置加密算法、加密字段等。在接收到第一用户通过第一用户终端发送的云服务的应用数据上传请求后,根据请求中的云服务获取用于云服务的一加密密钥组,加密密钥组中包括用于对云服务数据中的一个或多个数据段进行加密的一个或多个密钥。例如,在邮件服务中,可能只需要对邮件主题和正文进行加密,而收件人、发件人、抄送人则无需加密,此时则只需包括两个密钥的密钥组。而在云存储应用中,如果用户只需上件一个文件,则只需一个密钥对整个文件进行加密。
在步骤S103中,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析。
在本发明实施例中,预先存储的与各种云服务对应的云服务协议解析器,以用于对接收到云服务数据进行解析,从接收到的云服务中解析出需要进行加密的数据段或字段等。
在步骤S104中,根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器。
本发明实施例提供的方法可由单一的路由装置、安全网关或网关服务器执行,也可以由多个具有数据汇聚和路由功能的组件组合执行。作为示例地,后续将以路由装置为示例对本发明实施例进行描述。
本发明实施例可为不同的云服务提供差异性加密,从而无须在用户终端配置专门的加密客户端或装置,降低了用户终端的软硬件要求,且整个加密过程对用户透明,在提供差异化安全的同时,实现了数据共享。另外,在具体的实施过程中,也可以为应用数据的访问设置对应的访问控制策略,例如,通过访问控制树或直接对用户设置访问权限等。
实施例二:
图2示出了本发明实施例二提供的基于云服务的数据路由方法的实现流程,详述如下:
在步骤S201中,接收第一用户发送的切换到安全路由模式的路由模式切换请求,根据该路由模式切换请求中的用户身份信息获取第一用户的用户属性,根据所述第一用户的用户属性对所述第一用户进行认证。
在本发明实施例中,执行本发明实施例方法的路由装置可向接入的用户终端提供至少两种路由模式,即该由装置有两种工作模式。在第一种模式下,不对接入的用户终端发送的数据作任何处理,直接进行转发,即与现有的路由器或中继设备一样只进行中继、转发。在第二种模式下,路由装置可对接收到应用数据执行如实施例一所述的数据路由方法,实现对用户透明的加密,从而为不同的云服务提供差异性加密,即通过执行本发明的方法步骤提供数据的安全路由。
在本发明实施例中,执行本发明实施例方法的路由装置、安全网关或网关服务器预先存储有经过认证的用户身份信息、用户属性信息、权限等。当接收第一用户发送的切换到安全路由模式的路由模式切换请求时,根据用户身份信息获取第一用户的用户属性,进而根据第一用户的用户属性对第一用户进行认证。
可选地,也可以是针对用户终端的论证,即路由装置预先存储的是用户终端的属性,接入路由装置的安全路由模式跟用户终端绑定。
在步骤S202中,当对所述第一用户认证成功后,将所述第一用户终端的路由模式设置为安全路由模式。
在步骤S203中,接收第一用户通过第一用户终端发送的云服务的应用数据上传请求。
在步骤S204中,根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥。
在步骤S205中,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析。
在步骤S206中,根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给提供所述云服务的存储服务器。
在本发明实施例中,步骤S203至步骤S206与实施例一中的步骤S101至S104相同,在此不再赘述。
进一步地,在本发明实施例中,在加密完成后可将应用数据与所述获取的加密密钥组的关联关系存储下来,以用于所述应用数据对应的加密后密文数据的解密。可选地,该加密密钥组也为解密密钥组,或可根据该加密密钥组获取解密密钥组。
本发明实施例只有当对用户进行认证后,路由装置才向用户终端提供安全路由服务,这样,无须在用户终端配置专门的加密客户端或装置,只要请求路由装置切换到安全路由模式或接入到本发明实施例的路由装置就可以为不同的云服务提供差异性加密,在提供差异化安全的同时,实现了数据共享,从而降低了用户终端的软硬件要求,且整个加密过程对用户透明。
优选地,当执行本发明实施例的路由装置接收到第一用户对应用数据的共享请求时,可将共享请求发送给提供云服务的存储服务器,在存储服务器生成并返回应用数据的共享地址后,将返回的应用数据的共享地址发送给第一用户,第一用户可将该地址发送给其他用户,以用于应用数据的共享。
实施例三:
图3示出了本发明实施例三提供的基于云服务的数据路由方法的实现流程,详述如下:
在步骤S301中,当接收到第二用户通过第二用户终端发送的对应用数据的访问请求时,检测第二用户终端的路由模式是否处于安全路由模式。
在本发明实施例中,当第二用户希望访问通过实施例一或实施例二上传到存储服务器上的应用数据时,可向路由装置发送访问请求,路由装置在接收到第二用户通过第二用户终端发送的对应用数据的访问请求时,检测第二用户终端的路由模式是否处于安全路由模式。
在步骤S302中,当第二用户终端的路由模式处于安全路由模式时,获取存储的与应用数据关联的解密密钥组以及从存储服务器获取对应的密文数据。
在本发明实施例中,当第二用户终端的路由模式处于安全路由模式时,则可直接获取存储的与访问的应用数据关联的解密密钥组,并从存储服务器获取对应的密文数据。
在本发明实施例中,当第二用户终端的路由模式不处于安全路由模式时,则可通过用户终端提示用户切换到安全路由模式,当用户终端接收到用户输入的切换到安全路由模式时,将该请求发送本发明实施例的路由装置。
在步骤S303中,使用云服务协议解析器对获取的所述应用数据对应的密文数据进行解析,根据所述加密规则,使用所述解密密钥组对所述应用数据对应的密文数据进行解密。
在步骤S304中,将解密后的所述应用数据输出到所述第二用户终端。
在本发明实施例中,处于安全路由模式下的用户终端在满足云服务的应用数据的访问控制要求的情况下,可查看其他用户存储的数据,从而在保证数据安全的情况下实现数据的共享,在这一过程中,第二用户终端无须进行或知晓任何的解密操作。
在本发明实施例中,当第二用户终端的路由模式不处于安全路由模式时,则可通过用户终端提示用户切换到安全路由模式,若用户选择切换,则可对第二用户进行认证,当对第二用户认证成功后,将第二用户终端的路由模式设置为安全路由模式,这样第二用户终端就可以访问其他用户存储的应用数据了。
实施例四:
图4示出了本发明实施例四提供的基于云服务的数据路由装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
本发明实施例基于云服务的数据路由装置4包括数据接收单元41、加密密钥获取单元42、数据解析单元43以及数据加密单元44,其中:
数据接收单元41,用于接收第一用户通过第一用户终端发送的云服务的应用数据上传请求;
加密密钥获取单元42,用于根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
数据解析单元43,用于使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析;以及
数据加密单元44,用于根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器。
本发明实施例提供的数据路由装置的具体实施方式可参考实施例一,该数据路由装置可为不同的云服务提供差异性加密,从而无须在用户终端配置专门的加密客户端或装置,降低了用户终端的软硬件要求,且整个加密过程对用户透明,在提供差异化安全的同时,实现了数据共享。
实施例五:
图5示出了本发明实施例五提供的基于云服务的数据路由装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
本发明实施例基于云服务的数据路由装置500包括用户认证单元501、模式设置单元502、数据接收单元503、加密密钥获取单元504、数据解析单元505、数据加密单元506、关联关系存储单元507、模式检测单元508、数据获取单元509、数据解密单元510、数据输出单元511以及共享地址获取单元512,其中:
用户认证单元501,用于接收第一用户发送的切换到安全路由模式的路由模式切换请求,根据所述路由模式切换请求中包括的用户身份信息获取第一用户的用户属性,根据所述第一用户的用户属性对所述第一用户进行认证;
模式设置单元502,用于当对所述第一用户认证成功后,将所述第一用户终端的路由模式设置为安全路由模式;
数据接收单元503,用于接收第一用户通过第一用户终端发送的云服务的应用数据上传请求;
加密密钥获取单元504,用于根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
数据解析单元505,用于使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析;
数据加密单元506,用于根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器;
关联关系存储单元507,用于对所述应用数据与所述获取的加密密钥组的关联关系进行存储,以用于所述应用数据对应的加密后密文数据的解密;
模式检测单元508,用于当接收到第二用户通过第二用户终端发送的对所述应用数据的访问请求时,检测第二用户终端的路由模式是否处于安全路由模式;
数据获取单元509,用于当第二用户终端的路由模式处于安全路由模式时,获取存储的与所述应用数据关联的解密密钥组以及从所述云服务存储服务器获取对应的密文数据;
数据解密单元510,用于使用所述云服务协议解析器对获取的所述应用数据对应的密文数据进行解析,根据所述加密规则,使用所述解密密钥组对所述应用数据对应的密文数据进行解密;
数据输出单元511,用于将解密后的应用数据输出到所述第二用户终端;以及
共享地址获取单元512,用于当接收到所述第一用户对所述应用数据的共享请求时,将所述共享请求发送给所述云服务存储服务器,并接收所述云服务存储服务器返回的的共享地址并返回给所述第一用户,以用于所述应用数据的共享。
本发明实施例各单元的实施方式具体可参考实施一和实施例二,在此不再赘述。
本发明实施例只有当对用户进行认证后,路由装置才向用户终端提供安全路由服务,这样,无须在用户终端配置专门的加密客户端或装置,只要请求路由装置切换到安全路由模式或接入到本发明实施例的路由装置就可以为不同的云服务提供差异性加密,在提供差异化安全的同时,实现了数据共享,从而降低了用户终端的软硬件要求,且整个加密过程对用户透明。
实施例六:
图6示出了本发明实施例六提供的用于云服务的数据保护***的数据保护方法的实现流程。
在本发明实施例中,云服务的数据保护***包括第一用户终端、路由装置以及云服务存储服务器,路由装置包括代理服务器以及密钥管理服务器。
在步骤S601中,第一用户终端接收第一用户输入的云服务的应用数据上传请求,将所述应用数据上传请求发送给所述路由装置的所述代理服务器。
在本发明实施例中,第一用户终端通过其上的应用程序接收第一用户输入的云服务的应用数据上传请求,并转发给代理服务器。
在本发明实施例中,云服务可以为云存储服务/应用、邮件服务等,应用数据上传请求可以是云存储文件的上传、web邮件的发送上传等。具体地,可以通过用户终端上的通用浏览器、邮件客户端等通用云存储客户端进行应用数据的上传。
在步骤S602中,代理服务器接收到第一用户终端发送的应用数据上传请求后,向所述密钥服务器发送获取用于所述云服务的加密密钥组的请求。
在本发明实施例中,为了针对不同云服务提供差异化的安全服务或根据用户要求提供差异化的安全服务,预先为不同的云服务设置的不同的加密规则,例如,设置加密算法、加密字段等。当代理服务器接收到上传请求后,根据云服务类型向密钥服务器请求对应的加密密钥组。
在步骤S603中,密钥服务器接收到获取用于所述云服务的加密密钥组的请求后,向所述代理服务器返回用于所述云服务的加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥。
在步骤S604中,代理服务器在接收到密钥服务器返回的加密密钥组后,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析,并根据所述加密规则,使用所述加密密钥组对所述应用数据中的一或多个数据段进行加密。
在本发明实施例中,代理服务器预先存储或配置有与各种云服务对应的云服务协议解析器,以用于对接收到云服务数据进行解析,从接收到的云服务中解析出需要进行加密的数据段或字段等,之后根据用户设置或***默认的加密规则,使用加密密钥组对所述应用数据中的一或多个数据段进行加密,从而实现对不同云服务进行差异化加密。
在步骤S605中,代理服务器将加密后的密文数据发送给所述云服务存储服务器。
在步骤S606中,云服务存储服务器向代理服务器返回数据上传成功的消息。
在本发明实施例中,云服务存储服务器接收到代理服务器发送的所述应用数据对应的加密后的密文数据并存储后向代理服务器返回数据上传成功的消息,以响应第一用户终端的请求。
在步骤S607中,代理服务器向第一用户终端返回数据上传成功的消息。
本发明实施例中,用户终端无须配置专门的加密客户端或装置,在接入到本发明实施例***中的路由装置后,就可以为不同的云服务提供针对性的加密,整个加密过程对用户透明,在提供差异化安全的同时,实现了数据共享。
实施例七:
图7示出了本发明实施例七提供的用于云服务的数据保护***的数据保护方法的实现流程。
在本发明实施例中,云服务的数据保护***包括第一用户终端、路由装置以及云服务存储服务器,路由装置包括代理服务器以及密钥管理服务器。
在步骤S701中,第一用户终端向代理服务器发送切换到安全路由模式的路由模式切换请求。
在步骤S702中,代理服务器根据该路由模式切换请求中的用户身份信息获取第一用户的用户属性。
在本发明实施例中,执行本发明实施例方法的路由装置可向接入的用户终端提供至少两种路由模式,即该由装置有两种工作模式。在第一种模式下,不对接入的用户终端发送的数据作任何处理,直接进行转发,即与现有的路由器或中继设备一样只进行中继、转发。在第二种模式下,路由装置可对接收到应用数据执行如实施例一所述的数据路由方法,实现对用户透明的加密,从而为不同的云服务提供差异性加密,即通过执行本发明的方法步骤提供数据的安全路由。
在步骤S703中,代理服务器将第一用户的用户属性发送给密钥管理服务器。
在步骤S704中,密钥管理服务器根据第一用户的用户属性对第一用户进行论证。
在步骤S705中,当密钥管理服务器对所述第一用户认证成功后,向代理服务器返回认证成功的信息。
在步骤S706中,当代理服务器接收到认证成功的信息后,将第一用户终端的路由模式设置为安全路由模式。
在步骤S707中,第一用户终端接收第一用户输入的云服务的应用数据上传请求,将所述应用数据上传请求发送给所述路由装置的所述代理服务器。
在本发明实施例中,第一用户终端通过其上的应用程序接收第一用户输入的云服务的应用数据上传请求,并转发给代理服务器。
在本发明实施例中,云服务可以为云存储服务/应用、邮件服务等,应用数据上传请求可以是云存储文件的上传、web邮件的发送上传等。具体地,可以通过用户终端上的通用浏览器、邮件客户端等通用云存储客户端进行应用数据的上传。
在步骤S708中,代理服务器接收到第一用户终端发送的应用数据上传请求后,向所述密钥服务器发送获取用于所述云服务的加密密钥组的请求。
在本发明实施例中,为了针对不同云服务提供差异化的安全服务或根据用户要求提供差异化的安全服务,预先为不同的云服务设置的不同的加密规则,例如,设置加密算法、加密字段等。当代理服务器接收到上传请求后,根据云服务类型向密钥服务器请求对应的加密密钥组。
在步骤S709中,密钥服务器接收到获取用于所述云服务的加密密钥组的请求后,向所述代理服务器返回用于所述云服务的加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥。
在步骤S710中,代理服务器在接收到密钥服务器返回的加密密钥组后,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析,并根据所述加密规则,使用所述加密密钥组对所述应用数据中的一或多个数据段进行加密。
在本发明实施例中,代理服务器预先存储或配置有与各种云服务对应的云服务协议解析器,以用于对接收到云服务数据进行解析,从接收到的云服务中解析出需要进行加密的数据段或字段等,之后根据用户设置或***默认的加密规则,使用加密密钥组对所述应用数据中的一或多个数据段进行加密,从而实现对不同云服务进行差异化加密。
在步骤S711中,代理服务器将加密后的密文数据发送给所述云服务存储服务器。
在步骤S712中,云服务存储服务器向代理服务器返回数据上传成功的消息。
在本发明实施例中,云服务存储服务器接收到代理服务器发送的所述应用数据对应的加密后的密文数据并存储后向代理服务器返回数据上传成功的消息,以响应第一用户终端的请求。
在步骤S713中,代理服务器向第一用户终端返回数据上传成功的消息。
本发明实施例只有当对用户进行认证后,用户终端才被允许切换到安全路由模式,这样,无须在用户终端配置专门的加密客户端或装置,就可以为不同的云服务提供差异性加密,在提供差异化安全的同时,实现了数据共享,从而降低了用户终端的软硬件要求,且整个加密过程对用户透明。
实施例八:
图8示出了本发明实施例八提供的基于云服务的数据保护***,为了便于说明,仅示出了与本发明实施例相关的部分。
本发明实施例提供的该数据保护***8包括第一用户接入设备81、路由装置82以及云服务存储服务器83,所述路由装置82包括代理服务器821以及密钥管理服务器822,其中:
第一用户终端81接收第一用户输入的云服务的应用数据上传请求,将所述应用数据上传请求发送给所述路由装置82的代理服务器821;
代理服务器821接收到所述第一用户终端81发送的应用数据上传请求后,向所述密钥服务器822发送获取用于所述云服务的加密密钥组的请求;
密钥服务器822接收到获取用于所述云服务的加密密钥组的请求后,向所述代理服务器821返回用于所述云服务的加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
代理服务器821在接收到所述密钥服务器返回的所述加密密钥组后,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析,并根据所述加密规则,使用所述加密密钥组对所述应用数据中的一或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器83;
云服务存储服务器83接收所述代理服务器821发送的所述应用数据对应的加密后的密文数据并存储。
本发明实施例可为不同的云服务提供差异性加密,从而无须在用户终端配置专门的加密客户端或装置,降低了用户终端的软硬件要求,且整个加密过程对用户透明,在提供差异化安全的同时,实现了数据共享。另外,在具体的实施过程中,也可以为应用数据的访问设置对应的访问控制策略,例如,通过访问控制树或直接对用户设置访问权限等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种基于云服务的数据路由方法,其特征在于,所述方法包括下述步骤:
接收第一用户通过第一用户终端发送的云服务的应用数据上传请求;
根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析;
根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给提供所述云服务的存储服务器。
2.如权利要求1所述的方法,其特征在于,在接收第一用户发送的所述云服务的应用数据上传请求的步骤之前,所述方法还包括步骤:
接收第一用户发送的切换到安全路由模式的路由模式切换请求,根据所述路由模式切换请求中包括的用户身份信息获取第一用户的用户属性,根据所述第一用户的用户属性对所述第一用户进行认证;
当对所述第一用户认证成功后,将所述第一用户终端的路由模式设置为安全路由模式。
3.如权利要求1所述的方法,其特征在于,所述方法还包括步骤:
对所述应用数据与所述获取的加密密钥组的关联关系进行存储,以用于所述应用数据对应的加密后密文数据的解密。
4.如权利要求1所述的方法,其特征在于,所述方法还包括步骤:
当接收到第二用户通过第二用户终端发送的对所述应用数据的访问请求时,检测第二用户终端的路由模式是否处于安全路由模式;
当第二用户终端的路由模式处于安全路由模式时,获取存储的与所述应用数据关联的解密密钥组以及从所述存储服务器获取对应的密文数据;
使用所述云服务协议解析器对获取的所述应用数据对应的密文数据进行解析,根据所述加密规则,使用所述解密密钥组对所述应用数据对应的密文数据进行解密;
将解密后的所述应用数据输出到所述第二用户终端。
5.如权利要求1所述的方法,其特征在于,所述方法还包括步骤:
当接收到所述第一用户对所述应用数据的共享请求时,将所述共享请求发送给所述存储服务器,并接收所述存储服务器返回的共享地址,并返回给所述第一用户,以用于所述应用数据的共享。
6.一种基于云服务的数据路由装置,其特征在于,所述装置包括:
数据接收单元,用于接收第一用户通过第一用户终端发送的云服务的应用数据上传请求;
加密密钥获取单元,用于根据预先为所述云服务设置的加密规则,获取用于所述云服务的一加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
数据解析单元,用于使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析;以及
数据加密单元,用于根据所述加密规则,使用所述加密密钥组对所述应用数据中的一个或多个数据段进行加密,将加密后的密文数据发送给提供所述云服务的存储服务器。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
用户认证单元,用于接收第一用户发送的切换到安全路由模式的路由模式切换请求,根据所述路由模式切换请求中包括的用户身份信息获取第一用户的用户属性,根据所述第一用户的用户属性对所述第一用户进行认证;以及
模式设置单元,用于当对所述第一用户认证成功后,将所述第一用户终端的路由模式设置为安全路由模式。
8.如权利要求6所述的装置,其特征在于,所述装置还包括:
关联关系存储单元,用于对所述应用数据与所述获取的加密密钥组的关联关系进行存储,以用于所述应用数据对应的加密后密文数据的解密。
9.如权利要求6所述的装置,其特征在于,
模式检测单元,用于当接收到第二用户通过第二用户终端发送的对所述应用数据的访问请求时,检测第二用户终端的路由模式是否处于安全路由模式;
数据获取单元,用于当第二用户终端的路由模式处于安全路由模式时,获取存储的与所述应用数据关联的解密密钥组以及从所述存储服务器获取对应的密文数据;
数据解密单元,用于使用所述云服务协议解析器对获取的所述应用数据对应的密文数据进行解析,根据所述加密规则,使用所述解密密钥组对所述应用数据对应的密文数据进行解密;以及
数据输出单元,用于将解密后的应用数据输出到所述第二用户终端。
10.如权利要求6所述的装置,其特征在于,所述装置还包括:
共享地址获取单元,用于当接收到所述第一用户对所述应用数据的共享请求时,将所述共享请求发送给所述存储服务器,并接收所述存储服务器返回的共享地址并返回给所述第一用户,以用于所述应用数据的共享。
11.一种用于云服务的数据保护***的数据保护方法,其特征在于,所述数据保护***包括第一用户终端、路由装置以及云服务存储服务器,所述路由装置包括代理服务器以及密钥管理服务器,所述方法包括:
第一用户终端接收第一用户输入的云服务的应用数据上传请求,将所述应用数据上传请求发送给所述路由装置的所述代理服务器;
代理服务器接收到所述第一用户终端发送的应用数据上传请求后,向所述密钥服务器发送获取用于所述云服务的加密密钥组的请求;
密钥服务器接收到获取用于所述云服务的加密密钥组的请求后,向所述代理服务器返回用于所述云服务的加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
代理服务器在接收到所述密钥服务器返回的所述加密密钥组后,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析,并根据所述加密规则,使用所述加密密钥组对所述应用数据中的一或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器;
云服务存储服务器接收所述代理服务器发送的所述应用数据对应的加密后的密文数据并存储。
12.如权利要求11所述的方法,其特征在于,第一用户终端接收第一用户输入的云服务的应用数据上传请求的步骤之前,所述方法还包括:
代理服务器接收第一用户发送的切换到安全路由模式的路由模式切换请求,根据所述路由模式切换请求中包括的用户身份信息获取第一用户的用户属性,将所述第一用户的用户属性发送给所述密钥服务器;
密钥服务器根据所述第一用户的用户属性对所述第一用户进行认证,当对所述第一用户认证成功后,将认证结果发送给所述代理服务器,
代理服务器接收到认证成功的认证结果后,将所述第一用户终端的路由模式设置为安全路由模式。
13.如权利要求11所述的方法,其特征在于,所述数据保护***包括第二用户接入设备,所述方法还包括步骤:
当代理服务器接收到第二用户通过第二用户终端发送的对所述应用数据的访问请求时,检测第二用户终端的路由模式是否处于安全路由模式;
当第二用户终端的路由模式处于安全路由模式时,代理服务器获取存储的与所述应用数据关联的解密密钥组以及从所述云服务存储服务器获取对应的密文数据;
所述代理服务器使用所述云服务协议解析器对从所述云服务存储服务器获取的应用数据对应的密文数据进行解析,根据所述加密规则,使用所述解密密钥组对所述应用数据对应的密文数据进行解密,并将解密后的所述应用数据输出到所述第二用户终端。
14.一种基于云服务的数据保护***,其特征在于,所述数据保护***包括第一用户接入设备、路由装置以及云服务存储服务器,所述路由装置包括代理服务器以及密钥管理服务器,其中:
第一用户终端接收第一用户输入的云服务的应用数据上传请求,将所述应用数据上传请求发送给所述路由装置的所述代理服务器;
代理服务器接收到所述第一用户终端发送的应用数据上传请求后,向所述密钥服务器发送获取用于所述云服务的加密密钥组的请求;
密钥服务器接收到获取用于所述云服务的加密密钥组的请求后,向所述代理服务器返回用于所述云服务的加密密钥组,所述加密密钥组包括用于对所述应用数据中的一个或多个数据段进行加密的一个或多个密钥;
代理服务器在接收到所述密钥服务器返回的所述加密密钥组后,使用预先存储的与所述云服务对应的云服务协议解析器对所述应用数据进行解析,并根据所述加密规则,使用所述加密密钥组对所述应用数据中的一或多个数据段进行加密,将加密后的密文数据发送给所述云服务存储服务器;
云服务存储服务器接收所述代理服务器发送的所述应用数据对应的加密后的密文数据并存储。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610006236.5A CN105610845B (zh) | 2016-01-05 | 2016-01-05 | 一种基于云服务的数据路由方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610006236.5A CN105610845B (zh) | 2016-01-05 | 2016-01-05 | 一种基于云服务的数据路由方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105610845A true CN105610845A (zh) | 2016-05-25 |
| CN105610845B CN105610845B (zh) | 2019-07-09 |
Family
ID=55990383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610006236.5A Active CN105610845B (zh) | 2016-01-05 | 2016-01-05 | 一种基于云服务的数据路由方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105610845B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302422A (zh) * | 2016-08-08 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 业务加密、解密方法和装置 |
| CN106330869A (zh) * | 2016-08-15 | 2017-01-11 | 江苏敏捷科技股份有限公司 | 一种基于云应用的数据安全保护***和方法 |
| CN106598872A (zh) * | 2017-01-03 | 2017-04-26 | 百融(北京)金融信息服务股份有限公司 | 智能设备应用程序处理***和方法 |
| CN107070931A (zh) * | 2017-04-21 | 2017-08-18 | 北京奇安信科技有限公司 | 云应用数据上传/访问方法、***及云代理服务器 |
| CN109067712A (zh) * | 2018-07-16 | 2018-12-21 | 成都亚信网络安全产业技术研究院有限公司 | 一种用户云端数据保护方法及代理服务器 |
| CN109583221A (zh) * | 2018-12-07 | 2019-04-05 | 中国科学院深圳先进技术研究院 | 基于多云服务器架构的网盘*** |
| CN112295217A (zh) * | 2020-11-17 | 2021-02-02 | Oppo广东移动通信有限公司 | 设备加入方法、装置、电子设备及计算机可读介质 |
| CN112311837A (zh) * | 2019-08-02 | 2021-02-02 | 上海擎感智能科技有限公司 | 基于云平台路由服务器的车机数据传输方法、***及装置 |
| CN112333150A (zh) * | 2020-10-12 | 2021-02-05 | 成都安易迅科技有限公司 | 一种数据解密方法、装置、存储介质及计算设备 |
| CN112865968A (zh) * | 2021-02-08 | 2021-05-28 | 上海万向区块链股份公司 | 数据密文托管方法、***、计算机设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831080A (zh) * | 2012-08-28 | 2012-12-19 | 广东欧珀移动通信有限公司 | 一种移动存储设备的数据安全防护方法 |
| CN103747008A (zh) * | 2014-01-22 | 2014-04-23 | 李南南 | 一种具有加密功能的互联网存储设备及其技术 |
| US20140344570A1 (en) * | 2013-05-20 | 2014-11-20 | Microsoft Corporation | Data Protection For Organizations On Computing Devices |
-
2016
- 2016-01-05 CN CN201610006236.5A patent/CN105610845B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831080A (zh) * | 2012-08-28 | 2012-12-19 | 广东欧珀移动通信有限公司 | 一种移动存储设备的数据安全防护方法 |
| US20140344570A1 (en) * | 2013-05-20 | 2014-11-20 | Microsoft Corporation | Data Protection For Organizations On Computing Devices |
| CN103747008A (zh) * | 2014-01-22 | 2014-04-23 | 李南南 | 一种具有加密功能的互联网存储设备及其技术 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302422A (zh) * | 2016-08-08 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 业务加密、解密方法和装置 |
| CN106302422B (zh) * | 2016-08-08 | 2019-08-16 | 腾讯科技(深圳)有限公司 | 业务加密、解密方法和装置 |
| CN106330869A (zh) * | 2016-08-15 | 2017-01-11 | 江苏敏捷科技股份有限公司 | 一种基于云应用的数据安全保护***和方法 |
| CN106598872A (zh) * | 2017-01-03 | 2017-04-26 | 百融(北京)金融信息服务股份有限公司 | 智能设备应用程序处理***和方法 |
| CN107070931A (zh) * | 2017-04-21 | 2017-08-18 | 北京奇安信科技有限公司 | 云应用数据上传/访问方法、***及云代理服务器 |
| CN109067712A (zh) * | 2018-07-16 | 2018-12-21 | 成都亚信网络安全产业技术研究院有限公司 | 一种用户云端数据保护方法及代理服务器 |
| CN109583221A (zh) * | 2018-12-07 | 2019-04-05 | 中国科学院深圳先进技术研究院 | 基于多云服务器架构的网盘*** |
| CN112311837A (zh) * | 2019-08-02 | 2021-02-02 | 上海擎感智能科技有限公司 | 基于云平台路由服务器的车机数据传输方法、***及装置 |
| CN112333150A (zh) * | 2020-10-12 | 2021-02-05 | 成都安易迅科技有限公司 | 一种数据解密方法、装置、存储介质及计算设备 |
| CN112295217A (zh) * | 2020-11-17 | 2021-02-02 | Oppo广东移动通信有限公司 | 设备加入方法、装置、电子设备及计算机可读介质 |
| CN112865968A (zh) * | 2021-02-08 | 2021-05-28 | 上海万向区块链股份公司 | 数据密文托管方法、***、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105610845B (zh) | 2019-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105610845A (zh) | 一种基于云服务的数据路由方法、装置及*** | |
| CN105516110B (zh) | 移动设备安全数据传送方法 | |
| CN106453612B (zh) | 一种数据存储与共享*** | |
| CN103297437B (zh) | 一种移动智能终端安全访问服务器的方法 | |
| CN113347206B (zh) | 一种网络访问方法和装置 | |
| CN109347835A (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| CN103095847B (zh) | 一种云存储***安全保障方法及其*** | |
| CN103248479A (zh) | 云存储安全***、数据保护以及共享方法 | |
| CN102420836A (zh) | 业务信息***的登录方法以及登录管理*** | |
| Pradeep et al. | An efficient framework for sharing a file in a secure manner using asymmetric key distribution management in cloud environment | |
| CN101815091A (zh) | 密码提供设备、密码认证***和密码认证方法 | |
| CN103036867A (zh) | 基于相互认证的虚拟专用网络服务设备和方法 | |
| CN106576043A (zh) | 病毒式可分配可信消息传送 | |
| CN103428221A (zh) | 对移动应用的安全登录方法、***和装置 | |
| CN104158827A (zh) | 密文数据共享方法、装置、查询服务器和上传数据客户端 | |
| CN104967590A (zh) | 一种传输通信消息的方法、装置和*** | |
| CN103812651A (zh) | 密码验证方法、装置及*** | |
| CN106357601A (zh) | 数据访问方法、装置及*** | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| Kumar et al. | Data outsourcing: A threat to confidentiality, integrity, and availability | |
| US10158610B2 (en) | Secure application communication system | |
| CN113472668B (zh) | 多方安全计算中的路由方法和*** | |
| CN107104888B (zh) | 一种安全的即时通信方法 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200120 Address after: 518057 4a01, block D, Meirui building, Keji South 12 road, high tech Industrial Park, Nanshan District, Shenzhen City, Guangdong Province Co-patentee after: Harbin Institute of Technology (Shenzhen) Patentee after: SHENZHEN YUN AN BAO TECHNOLOGY CO., LTD. Address before: 518000 Guangdong city of Shenzhen province Qianhai Shenzhen Hong Kong cooperation zone before Bay Road No. 1 building 201 room A (located in Shenzhen Qianhai business secretary Co. Ltd.) Patentee before: SHENZHEN YUN AN BAO TECHNOLOGY CO., LTD. |
|
| TR01 | Transfer of patent right |