CN108521419B - 监察***文件的访问处理方法、装置和计算机设备 - Google Patents
监察***文件的访问处理方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN108521419B CN108521419B CN201810301714.4A CN201810301714A CN108521419B CN 108521419 B CN108521419 B CN 108521419B CN 201810301714 A CN201810301714 A CN 201810301714A CN 108521419 B CN108521419 B CN 108521419B
- Authority
- CN
- China
- Prior art keywords
- file
- private key
- monitoring system
- client
- encryption card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种监察***文件的访问处理方法、装置和内控安全监察***。监察***文件的访问处理方法包括:接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储加密文件;其中,加密卡用于生成密钥对,密钥对包括公钥和私钥;接收客户端访问加密文件的请求,并对客户端进行鉴权;若鉴权通过,则通过调用存储于加密卡的私钥,对加密文件进行解密。采用本方法能够提高监察***文件的安全性。
Description
技术领域
本申请涉及信息***安全建设技术领域,特别是涉及一种监察***文件的访问处理方法、装置、计算机设备。
背景技术
监察***在被访问的过程中,可以自动搜集访问数据,生成文件。拥有访问权限的用户可以通过对监察***搜集的文件进行审计,来实现对外部访问行为的监管。例如,在内控安全监察***中,可以在成功接入***后,对客户的访问过程进行实时录屏,并将录像保存,拥有访问权限的用户可对录屏的录像进行审计。
目前的监察***中,文件的访问控制权由访问权限鉴别来控制,拥有访问权限的即可访问监察***文件,没有访问权限的则无法获取监察***文件。然而,在监察***本身被非法访问或数据泄露时,容易被直接获取,安全性低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高监察***文件安全性的监察***文件的访问处理方法、装置、计算机设备和存储介质。
一种监察***文件的访问处理方法,所述方法包括:
接收加密卡输出的所述公钥,对监察***中的文件进行加密得到加密文件,存储所述加密文件;其中,加密卡用于生成密钥对,所述密钥对包括公钥和私钥;
接收客户端访问加密文件的请求,并对所述客户端进行鉴权;
若鉴权通过,则通过调用存储于所述加密卡的所述私钥,对所述加密文件进行解密。
在一个实施例中,所述的监察***文件的访问处理方法,接收客户端访问加密文件的请求的步骤之前,包括:
触发所述加密卡存储所述私钥并生成私钥提取码,将所述私钥提取码与客户端权限以及所述文件的文件标识进行对应并记录在数据库中。
在一个实施例中,所述的监察***文件的访问处理方法,对所述客户端进行鉴权的步骤,包括:
通过查询所述数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若所述客户端存在所述解密权限,则获取所述数据库中的所述私钥提取码;
在获取私钥提取码后,触发所述加密卡判断所述客户端是否存在加密卡访问权限,若所述客户端存在所述加密卡访问权限,则鉴权通过。
一种监察***文件的访问处理方法,所述方法包括:
生成密钥对,所述密钥对包括公钥和私钥;
向监察***服务器输出所述公钥,所述公钥用于指示监察***服务器根据所述公钥对监察***中的文件进行加密得到加密文件,并触发所述监察***服务器存储所述加密文件;
当所述服务器接收客户端访问加密文件的请求时,对所述客户端进行鉴权,若鉴权通过,则根据所述私钥,对所述加密文件进行解密。
在一个实施例中,所述的监察***文件的访问处理方法,对所述客户端进行鉴权的步骤之前,包括:
存储所述私钥并生成私钥提取码,触发所述服务器将所述私钥提取码与客户端权限以及所述文件的文件标识进行对应并记录在数据库中。
在一个实施例中,所述的监察***文件的访问处理方法,对所述客户端进行鉴权的步骤,包括:
指示所述服务器通过查询所述数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若所述客户端存在所述解密权限,则触发所述服务器获取所述数据库中的所述私钥提取码;
在所述服务器获取所述私钥提取码后,判断所述客户端是否存在加密卡访问权限,若所述客户端存在所述加密卡访问权限,则鉴权通过。
一种监察***文件的访问处理装置,所述装置包括:
存储模块,用于接收加密卡输出的所述公钥,对监察***中的文件进行加密得到加密文件,存储所述加密文件;其中,加密卡用于生成密钥对,所述密钥对包括公钥和私钥;
鉴权模块,用于接收客户端访问加密文件的请求,并对所述客户端进行鉴权;
解密模块,用于若鉴权通过,则通过调用存储于所述加密卡的所述私钥,对所述加密文件进行解密。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收加密卡输出的所述公钥,对监察***中的文件进行加密得到加密文件,存储所述加密文件;其中,加密卡用于生成密钥对,所述密钥对包括公钥和私钥;
接收客户端访问加密文件的请求,并对所述客户端进行鉴权;
若鉴权通过,则通过调用存储于所述加密卡的所述私钥,对所述加密文件进行解密。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
生成密钥对,所述密钥对包括公钥和私钥;
向监察***服务器输出所述公钥,所述公钥用于指示监察***服务器根据所述公钥对监察***中的文件进行加密得到加密文件,并触发所述监察***服务器存储所述加密文件;
当所述服务器接收客户端访问加密文件的请求时,对所述客户端进行鉴权,若鉴权通过,则根据所述私钥,对所述加密文件进行解密。
一种内控安全监察***,所述***包括:
监察***服务器和加密卡;
所述监察***服务器用于执行以下步骤:
接收加密卡输出的所述公钥,对监察***中的文件进行加密得到加密文件,存储所述加密文件;其中,加密卡用于生成密钥对,所述密钥对包括公钥和私钥;
接收客户端访问加密文件的请求,并对所述客户端进行鉴权;
若鉴权通过,则通过调用存储于所述加密卡的所述私钥,对所述加密文件进行解密;
所述加密卡用于执行以下步骤:
生成密钥对,所述密钥对包括公钥和私钥;
向监察***服务器输出所述公钥,所述公钥用于指示监察***服务器根据所述公钥对监察***中的文件进行加密得到加密文件,并触发所述监察***服务器存储所述加密文件;
当所述服务器接收客户端访问加密文件的请求时,对所述客户端进行鉴权,若鉴权通过,则根据所述私钥,对所述加密文件进行解密。
上述监察***文件的访问处理方法、装置、内控安全监察***、计算机设备和存储介质,通过将监察***与加密卡进行连接,通过加密卡生成密钥对,通过公钥对监察***文件进行加密得到加密文件,在监察***接收到客户端对加密文件的访问请求时,根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密,在监察***本身被非法访问或数据泄露时,文件以密文的形式存储,文件的保密安全性高。
附图说明
图1为一个实施例中监察***文件的访问处理方法的应用环境图;
图2为一个实施例中监察***文件的访问处理方法的流程示意图;
图3为一个实施例中客户端访问录像文件的流程示意图;
图4为另一个实施例中监察***文件的访问处理方法的流程示意图;
图5为一个实施例中加密过程的流程示意图;
图6为一个实施例中解密过程的流程示意图;
图7为一个实施例中监察***文件加密装置的结构框图;
图8为另一个实施例中监察***文件加密装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的监察***文件加密和解密方法,可以应用于如图1所示的应用环境中。其中,加密卡102与监察***服务器101进行连接,可以把加密卡102内置于监察***服务器101。客户端103与监察***服务器101进行连接,通过连接对监察***进行访问。其中,客户端103可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器101可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本发明实施例中的监察***以内控安全监察***为例进行详细说明。
在一个实施例中,如图2所示,提供了一种监察***文件的访问处理方法,以该方法应用于图1中的监察***服务器为例进行说明,包括以下步骤:
S201,接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储加密文件;其中,加密卡用于生成密钥对,密钥对包括公钥和私钥;
S202,接收客户端访问加密文件的请求,并对客户端进行鉴权。
对于步骤S201和步骤S202,监察***可以为内控安全监察***,可以在内控安全监察***内设置加密卡,并与内控安全监察***内的相关接口相连。在内控安全监察***的正常使用过程中,可以将客户端的访问过程生成监察***文件。例如,可以对访问过程进行录像,生成录像文件。可以通过调用加密卡接口来获取加密卡的公钥,可以通过公钥对监察***中的文件进行加密,例如,通过公钥对监察***生成的录像文件进行加密。
S203,若鉴权通过,则通过调用存储于加密卡的私钥,对加密文件进行解密。
本步骤中的私钥可以预先存储在加密卡中,在监察***服务器接收到客户端的访问文件的请求时,可以根据私钥响应访问请求。还可以判断客户端的访问权限,有访问权限的客户可以获取私钥,对监察***文件进行访问,还可以对文件进行审计。
下面结合图3描述一个客户端访问录像文件的流程示例,在客户端对监察***访问的同时,监察***的堡垒机开始录像,监察***服务器调用加密卡接口,加密卡生成密钥对,服务器使用密钥对中的公钥对录像进行加密。在客户端需要对录像文件进行查看时,判断需要查看录像文件的客户端是否拥有权限,若是,则服务器调用接口,获取密匙对的私钥,通过私钥对录像文件进行解密。若否,则拒绝访问。
上述实施例,通过将监察***与加密卡进行连接,通过加密卡生成密钥对,通过公钥对监察***文件进行加密得到加密文件,在监察***接收到客户端对加密文件的访问请求时,根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密,在监察***本身被非法访问或数据泄露时,文件以密文的形式存储,文件的保密安全性高。
在一个实施例中,在步骤S202之前,可以对私钥进行以下处理:触发加密卡存储私钥并生成私钥提取码,将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。
上述实施例中的步骤由监察***服务器用于执行,文件标识可以是文件的唯一编码(Identification,ID),例如,可以将私钥提取码与录像ID及权限进行对应记录在数据库中。
上述实施例,通过将监察***与加密卡进行连接,通过加密卡生成密钥对,通过公钥对监察***文件进行加密得到加密文件,在监察***接收到客户端对加密文件的访问请求时,根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密,在监察***本身被非法访问或数据泄露时,文件以密文的形式存储,文件的保密安全性高,且只需增加相应的加密卡模块,设备投资增加小。
在一个实施例中,步骤S203可以通过以下步骤对客户端进行鉴权:通过查询数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若客户端存在解密权限,则获取数据库中的私钥提取码;在获取私钥提取码后,触发加密卡判断客户端是否存在加密卡访问权限,若客户端存在加密卡访问权限,则鉴权通过。
上述实施例中的步骤由监察***服务器用于执行,加密文件可以存储在服务器里,在响应客户端对加密文件的访问请求之后可以对加密文件进行解密,解密之后可以对于文件进行分发或播放或下载。
上述实施例,通过将监察***与加密卡进行连接,通过加密卡生成密钥对,通过公钥对监察***文件进行加密得到加密文件,在监察***接收到客户端对加密文件的访问请求时,根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密,在监察***本身被非法访问或数据泄露时,文件以密文的形式存储,文件的保密安全性高,且只需增加相应的加密卡模块,设备投资增加小。比起由操作***生成密匙对并存放于物理存储上,由加密卡生成密匙对并存储,安全性更高。
如图4所示,在一个实施例中,提供了一种监察***文件的访问处理方法,以该方法应用于图1中的加密卡为例进行说明,包括以下步骤:
S401,生成密钥对,密钥对包括公钥和私钥。
加密卡在成密钥对时,可以根据椭圆曲线密码编码学(Elliptic CurvesCryptography,ECC)算法生成密钥对,也可以根据RSA算法(RSA algorithm,RSA)生成密钥对。其中,ECC算法是一种公钥加密体制,其数学基础是利用椭圆曲线上的有理点构成阿贝尔(Abel)加法群上椭圆离散对数的计算困难性;RSA是三个该算法的创始人姓氏开头字母拼在一起组成的,RSA算法是一种非对称加密算法,RSA算法使用公开密钥密码体制,所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
S402,向监察***服务器输出公钥,公钥用于指示监察***服务器根据公钥对监察***中的文件进行加密得到加密文件,并触发监察***服务器存储加密文件。
在上述步骤中,加密卡可以在接收到接口调用指令时将公钥输出至服务器,服务器可以通过公钥对监察***中的文件进行加密,例如,通过公钥对监察***生成的录像文件进行加密。
S403,当服务器接收客户端访问加密文件的请求时,对客户端进行鉴权,若鉴权通过,则根据私钥,对加密文件进行解密。
本步骤中的私钥可以预先存储在加密卡中,在监察***服务器接收到客户端的访问文件的请求时,可以根据私钥响应访问请求。还可以判断客户端的访问权限,有访问权限的客户可以获取私钥对监察***文件进行访问,还可以对文件进行审计。
上述实施例,通过将监察***与加密卡进行连接,通过加密卡生成密钥对,通过公钥对监察***文件进行加密得到加密文件,在监察***接收到客户端对加密文件的访问请求时,根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密,在监察***本身被非法访问或数据泄露时,文件以密文的形式存储,文件的保密安全性高。
在一个实施例中,加密过程中加密卡对私钥的处理步骤为:存储私钥并生成私钥提取码,触发服务器将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。
加密过程中生成了公钥和私钥,下面结合图4描述一个实施例的加密过程。在用户对设备进行访问的同时,监察***中的堡垒机开始录像,加密卡生成密钥对,输出密钥对中的公钥对录像文件进行加密,并生成私钥存储在加密卡中,并生成私钥提取码存储在数据库中。
上述实施例,通过将监察***与加密卡进行连接,通过加密卡生成密钥对,通过公钥对监察***文件进行加密得到加密文件,在监察***接收到客户端对加密文件的访问请求时,根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密,在监察***本身被非法访问或数据泄露时,文件以密文的形式存储,文件的保密安全性高,且只需增加相应的加密卡模块,设备投资增加小。
在一个实施例中,加密卡可以通过以下步骤对文件进行鉴权:指示服务器通过查询数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若客户端存在解密权限,则触发服务器获取数据库中的私钥提取码;在服务器获取私钥提取码后,判断客户端是否存在加密卡访问权限,若客户端存在加密卡访问权限,则鉴权通过。
鉴权步骤产生在对文件进行解密的过程中,下面结合图5描述一个实施例中的文件解密过程。判断加密后的录像文件是否存在解密权限,若是,则连接数据库,获取数据库中的私钥提取码,再判断需要访问录像文件的客户端是否有加密卡访问权限,若是,则向加密卡输入私钥提取码,获取私钥,实用私钥对录像文件进行解密。
上述实施例,通过将监察***与加密卡进行连接,通过加密卡生成密钥对,通过公钥对监察***文件进行加密得到加密文件,在监察***接收到客户端对加密文件的访问请求时,根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密,在监察***本身被非法访问或数据泄露时,文件以密文的形式存储,文件的保密安全性高,且只需增加相应的加密卡模块,设备投资增加小。比起由操作***生成密匙对并存放于物理存储上,由加密卡生成密匙对并存储,安全性更高。
应该理解的是,虽然图2-6的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-6中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图7所示,提供了一种监察***文件的访问处理装置,包括:
存储模块71,用于接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储加密文件;其中,加密卡用于生成密钥对,密钥对包括公钥和私钥;
鉴权模块72,用于接收客户端访问加密文件的请求,并对客户端进行鉴权;
解密模块73,用于若鉴权通过,则通过调用存储于加密卡的私钥,对加密文件进行解密。
在一个实施例中,如图8所示,还提供了一种监察***文件的访问处理装置,包括:
密钥对生成模块81,用于生成密钥对,密钥对包括公钥和私钥;
公钥输出模块82,用于向监察***服务器输出公钥,公钥用于指示监察***服务器根据公钥对监察***中的文件进行加密得到加密文件,并触发监察***服务器存储加密文件;
访问处理模块83,用于当服务器接收客户端访问加密文件的请求时,对客户端进行鉴权,若鉴权通过,则根据私钥,对加密文件进行解密。
关于监察***文件加密装置的具体限定可以参见上文中对于监察***文件的访问处理方法的限定,在此不再赘述。上述监察***文件加密装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
本发明实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或(模块)单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储监察***的文件。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种监察***文件的访问处理方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储加密文件;其中,加密卡用于生成密钥对,密钥对包括公钥和私钥;
接收客户端访问加密文件的请求,并对客户端进行鉴权;
若鉴权通过,则通过调用存储于加密卡的私钥,对加密文件进行解密。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:触发加密卡存储私钥并生成私钥提取码,将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:通过查询数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若客户端存在解密权限,则获取数据库中的私钥提取码;在获取私钥提取码后,触发加密卡判断客户端是否存在加密卡访问权限,若客户端存在加密卡访问权限,则鉴权通过。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
生成密钥对,密钥对包括公钥和私钥;
向监察***服务器输出公钥,公钥用于指示监察***服务器根据公钥对监察***中的文件进行加密得到加密文件,并触发监察***服务器存储加密文件;
当服务器接收客户端访问加密文件的请求时,对客户端进行鉴权,若鉴权通过,则根据私钥,对加密文件进行解密。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:存储私钥并生成私钥提取码,触发服务器将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:指示服务器通过查询数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若客户端存在解密权限,则触发服务器获取数据库中的私钥提取码;在服务器获取私钥提取码后,判断客户端是否存在加密卡访问权限,若客户端存在加密卡访问权限,则鉴权通过。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储加密文件;其中,加密卡用于生成密钥对,密钥对包括公钥和私钥;
接收客户端访问加密文件的请求,并对客户端进行鉴权;
若鉴权通过,则通过调用存储于加密卡的私钥,对加密文件进行解密。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:触发加密卡存储私钥并生成私钥提取码,将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:通过查询数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若客户端存在解密权限,则获取数据库中的私钥提取码;在获取私钥提取码后,触发加密卡判断客户端是否存在加密卡访问权限,若客户端存在加密卡访问权限,则鉴权通过。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
生成密钥对,密钥对包括公钥和私钥;
向监察***服务器输出公钥,公钥用于指示监察***服务器根据公钥对监察***中的文件进行加密得到加密文件,并触发监察***服务器存储加密文件;
当服务器接收客户端访问加密文件的请求时,对客户端进行鉴权,若鉴权通过,则根据私钥,对加密文件进行解密。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:存储私钥并生成私钥提取码,触发服务器将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:指示服务器通过查询数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若客户端存在解密权限,则触发服务器获取数据库中的私钥提取码;在服务器获取私钥提取码后,判断客户端是否存在加密卡访问权限,若客户端存在加密卡访问权限,则鉴权通过。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
在一个实施例中还提供一种内控安全监察***,***包括:监察***服务器和加密卡。
监察***服务器用于执行以下步骤:接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储加密文件;其中,加密卡用于生成密钥对,密钥对包括公钥和私钥;接收客户端访问加密文件的请求,并对客户端进行鉴权;若鉴权通过,则通过调用存储于加密卡的私钥,对加密文件进行解密。
加密卡用于执行以下步骤:生成密钥对,密钥对包括公钥和私钥;向监察***服务器输出公钥,公钥用于指示监察***服务器根据公钥对监察***中的文件进行加密得到加密文件,并触发监察***服务器存储加密文件;当服务器接收客户端访问加密文件的请求时,对客户端进行鉴权,若鉴权通过,则根据私钥,对加密文件进行解密。
上述实施例中内控安全监察***中的监察***服务器和加密卡所执行的步骤与监察***文件的访问处理方法对应的步骤相类似,此处不再赘述。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种监察***文件的访问处理方法,其特征在于,应用于监察***服务器,所述方法包括:
接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储所述加密文件;其中,所述加密卡用于生成密钥对,所述密钥对包括公钥和私钥;所述加密卡内置于所述监察***服务器;所述文件为通过堡垒机对所述监察***的访问过程进行录像后,生成的录像文件;触发所述加密卡存储所述私钥并生成私钥提取码;
将所述私钥提取码与客户端权限以及所述文件的文件标识进行对应并记录在数据库中;
接收客户端访问加密文件的请求,并对所述客户端进行鉴权;所述对所述客户端进行鉴权,包括:通过查询所述数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若存在,则获取所述数据库中记录的所述私钥提取码;在获取所述私钥提取码后,触发所述加密卡判断所述客户端是否存在加密卡访问权限,若所述客户端存在所述加密卡访问权限,则鉴权通过;
若鉴权通过,则通过调用存储于所述加密卡的所述私钥,对所述加密文件进行解密;所述通过调用存储于所述加密卡的所述私钥,包括:向所述加密卡输入所述私钥提取码,获取私钥。
2.根据权利要求1所述的监察***文件的访问处理方法,其特征在于,
所述密钥对是根据椭圆曲线密码编码学或RSA算法生成的。
3.根据权利要求1或者2所述的监察***文件的访问处理方法,其特征在于,所述对所述加密文件进行解密之后,所述方法还包括:对于解密得到的文件进行分发或播放或下载。
4.一种监察***文件的访问处理方法,其特征在于,应用于加密卡,所述加密卡内置于监察***服务器,所述方法包括:
生成密钥对,所述密钥对包括公钥和私钥;
向监察***服务器输出所述公钥,所述公钥用于指示所述监察***服务器根据所述公钥对所述监察***中的文件进行加密得到加密文件,并触发所述监察***服务器存储所述加密文件;所述文件为通过堡垒机对所述监察***的访问过程进行录像后,生成的录像文件;
存储所述私钥并生成私钥提取码,触发所述监察***服务器将所述私钥提取码与客户端权限以及所述文件的文件标识进行对应并记录在数据库中;
当所述监察***服务器接收客户端访问加密文件的请求时,对所述客户端进行鉴权;所述对所述客户端进行鉴权,包括:指示所述监察***服务器通过查询所述数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若存在,则触发所述监察***服务器获取所述数据库中的私钥提取码;在所述监察***服务器获取所述私钥提取码后,判断所述客户端是否存在加密卡访问权限,若所述客户端存在加密卡访问权限,则鉴权通过;
若鉴权通过,则获取私钥提取码,根据所述私钥,对所述加密文件进行解密。
5.根据权利要求4所述的监察***文件的访问处理方法,其特征在于,所述密钥对是根据椭圆曲线密码编码学或RSA算法生成的。
6.根据权利要求4或者5所述的监察***文件的访问处理方法,其特征在于,所述对所述加密文件进行解密之后,所述方法还包括:触发所述监察***服务器对于解密得到的文件进行分发或播放或下载。
7.一种监察***文件的访问处理装置,其特征在于,所述装置包括:
存储模块,用于接收加密卡输出的公钥,对监察***中的文件进行加密得到加密文件,存储所述加密文件;其中,所述加密卡用于生成密钥对,所述密钥对包括公钥和私钥;所述加密卡内置于所述监察***服务器;所述文件为通过堡垒机对访问过程进行录像后,生成的录像文件;
所述存储模块,还用于触发所述加密卡存储所述私钥并生成私钥提取码,将所述私钥提取码与客户端权限以及所述文件的文件标识进行对应并记录在数据库中;
鉴权模块,用于接收客户端访问加密文件的请求,并对所述客户端进行鉴权;所述对所述客户端进行鉴权,包括:通过查询所述数据库,判断待访问客户端是否存在获取私钥提取码的解密权限,若存在,则获取所述数据库中记录的所述私钥提取码;在获取所述私钥提取码后,触发所述加密卡判断所述客户端是否存在加密卡访问权限,若所述客户端存在所述加密卡访问权限,则鉴权通过;
解密模块,用于若鉴权通过,则通过调用存储于所述加密卡的所述私钥,对所述加密文件进行解密;所述通过调用存储于所述加密卡的所述私钥,包括:向所述加密卡输入所述私钥提取码,获取私钥。
8.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的监察***文件的访问处理方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的监察***文件的访问处理方法的步骤。
10.一种监察***文件的访问处理***,其特征在于,所述***包括:
监察***服务器和加密卡;
所述监察***服务器用于执行权利要求1至3任意一项所述的监察***文件的访问处理方法;
所述加密卡用于执行权利要求4至6任意一项所述的监察***文件的访问处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810301714.4A CN108521419B (zh) | 2018-04-04 | 2018-04-04 | 监察***文件的访问处理方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810301714.4A CN108521419B (zh) | 2018-04-04 | 2018-04-04 | 监察***文件的访问处理方法、装置和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108521419A CN108521419A (zh) | 2018-09-11 |
| CN108521419B true CN108521419B (zh) | 2021-06-01 |
Family
ID=63432146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810301714.4A Active CN108521419B (zh) | 2018-04-04 | 2018-04-04 | 监察***文件的访问处理方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108521419B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495444B (zh) * | 2018-09-30 | 2022-02-22 | 北京工业职业技术学院 | 一种加密请求处理方法 |
| CN112422865A (zh) * | 2020-11-05 | 2021-02-26 | 杭州米络星科技(集团)有限公司 | 用户访问的监控方法及*** |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394749A (zh) * | 2011-09-26 | 2012-03-28 | 深圳市文鼎创数据科技有限公司 | 数据传输的线路保护方法、***、信息安全设备及应用设备 |
| CN102571476A (zh) * | 2010-12-27 | 2012-07-11 | ***股份有限公司 | 一种实时监控终端命令行的方法和装置 |
| CN103488793A (zh) * | 2013-10-09 | 2014-01-01 | 韩金倡 | 一种基于信息检索的用户行为监控方法 |
| CN103747089A (zh) * | 2014-01-14 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种基于堡垒机的文件传输审计***及方法 |
| CN104219330A (zh) * | 2014-09-29 | 2014-12-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于web代理进行录屏审计的方法及*** |
| US9491176B1 (en) * | 2014-08-28 | 2016-11-08 | Google Inc. | Monitoring content consumption by restricted account |
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计***和审计方法以及量子堡垒机*** |
| CN107248989A (zh) * | 2017-06-09 | 2017-10-13 | 浙江宇视科技有限公司 | 监控视频处理方法及装置 |
| CN107276823A (zh) * | 2017-07-20 | 2017-10-20 | 国家电网公司 | 基于信息调度监控***的运维安全操作监控装置及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030046534A1 (en) * | 2001-08-31 | 2003-03-06 | Alldredge Robert L. | Method and apparatus for secured electronic commerce |
| KR20100114066A (ko) * | 2008-01-31 | 2010-10-22 | 인터내셔널 비지네스 머신즈 코포레이션 | 암호화된 파일 엑세스를 위한 방법 및 시스템 |
| CN103701596A (zh) * | 2012-09-27 | 2014-04-02 | 西门子公司 | 文件访问及响应文件访问请求的方法、***和设备 |
| CN105227530A (zh) * | 2014-07-01 | 2016-01-06 | 无锡华赛信息技术有限公司 | 一种基于加密卡的数据安全存储交流方法 |
| CN104967612A (zh) * | 2015-05-27 | 2015-10-07 | 李明 | 一种数据加密存储方法、服务器及*** |
-
2018
- 2018-04-04 CN CN201810301714.4A patent/CN108521419B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571476A (zh) * | 2010-12-27 | 2012-07-11 | ***股份有限公司 | 一种实时监控终端命令行的方法和装置 |
| CN102394749A (zh) * | 2011-09-26 | 2012-03-28 | 深圳市文鼎创数据科技有限公司 | 数据传输的线路保护方法、***、信息安全设备及应用设备 |
| CN103488793A (zh) * | 2013-10-09 | 2014-01-01 | 韩金倡 | 一种基于信息检索的用户行为监控方法 |
| CN103747089A (zh) * | 2014-01-14 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种基于堡垒机的文件传输审计***及方法 |
| US9491176B1 (en) * | 2014-08-28 | 2016-11-08 | Google Inc. | Monitoring content consumption by restricted account |
| CN104219330A (zh) * | 2014-09-29 | 2014-12-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于web代理进行录屏审计的方法及*** |
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计***和审计方法以及量子堡垒机*** |
| CN107248989A (zh) * | 2017-06-09 | 2017-10-13 | 浙江宇视科技有限公司 | 监控视频处理方法及装置 |
| CN107276823A (zh) * | 2017-07-20 | 2017-10-20 | 国家电网公司 | 基于信息调度监控***的运维安全操作监控装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108521419A (zh) | 2018-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109684790B (zh) | 软件启动方法、软件授权验证方法、设备和存储介质 | |
| CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和*** | |
| CN108810894B (zh) | 终端授权方法、装置、计算机设备和存储介质 | |
| CN109150835B (zh) | 云端数据存取的方法、装置、设备及计算机可读存储介质 | |
| CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
| CN108241517B (zh) | 一种软件升级方法、客户端及电子设备 | |
| CN106452770B (zh) | 一种数据加密方法、解密方法、装置和*** | |
| US7930537B2 (en) | Architecture for encrypted application installation | |
| WO2017202025A1 (zh) | 终端文件加密方法、终端文件解密方法和终端 | |
| CN108363580A (zh) | 应用程序安装方法、装置、计算机设备和存储介质 | |
| CN111917540B (zh) | 一种数据加解密方法、装置、移动终端和存储介质 | |
| US11606202B2 (en) | Methods and systems for secure data transmission | |
| CN111614467B (zh) | ***后门防御方法、装置、计算机设备和存储介质 | |
| CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及*** | |
| CN112800393B (zh) | 授权认证、软件开发工具包生成方法、装置及电子设备 | |
| CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN111193740B (zh) | 加密方法、装置、解密方法、计算机设备和存储介质 | |
| CN108989339B (zh) | 一种具有策略隐藏功能的密文加密方法、***及存储介质 | |
| CN107124279B (zh) | 擦除终端数据的方法及装置 | |
| CN108521419B (zh) | 监察***文件的访问处理方法、装置和计算机设备 | |
| EP1593015B1 (en) | Architecture for encrypted application installation | |
| CN108390758B (zh) | 用户口令处理方法、装置和内控安全监察*** | |
| KR101473656B1 (ko) | 모바일 데이터 보안 장치 및 방법 | |
| CN109784072B (zh) | 一种安全文件管理方法和*** | |
| CN112087417A (zh) | 终端权限控制方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210707 Address after: Room 203, building A2, No.3, Keke Road, Science City, Guangzhou hi tech Industrial Development Zone, Guangdong 510670 Patentee after: SYM Technology (Guangdong) Co.,Ltd. Address before: Room 203, building A2, No.3, Keke Road, Science City, Guangzhou hi tech Industrial Development Zone, Guangdong 510670 Patentee before: GUANGZHOU SAM TECHNOLOGY INFORMATION Co.,Ltd. |
|
| TR01 | Transfer of patent right |