CN111177736A - 一种数据存储和访问的***、方法和装置 - Google Patents
一种数据存储和访问的***、方法和装置 Download PDFInfo
- Publication number
- CN111177736A CN111177736A CN201910697348.3A CN201910697348A CN111177736A CN 111177736 A CN111177736 A CN 111177736A CN 201910697348 A CN201910697348 A CN 201910697348A CN 111177736 A CN111177736 A CN 111177736A
- Authority
- CN
- China
- Prior art keywords
- data
- access
- encrypted
- management server
- data storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请属于数据处理技术领域,公开了一种数据存储和访问的***、方法和装置,本申请公开的一种数据存储和访问的方法包括,位于网络安全域的数据管理服务器根据接收的访问终端的数据请求消息,从本地的数据存储池中获取相应的加密数据,并将加密数据解密,获得解密数据,以及将解密数据返回至访问终端。其中,加密数据是各互联网服务器对指定类型数据进行加密并同步上传至数据存储池的数据。这样,将外网中各互联网服务器中的数据集中存储到网络安全域中的一个数据管理服务器中,提高了数据存储和访问的安全性,还提高了数据访问效率。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种数据存储和访问的***、方法和装置。
背景技术
随着互联网技术的发展,数据成为重要的核心资产,人们对数据的存储以及访问的安全需求也越来越高。
以第三方支付行业数据安全标准(Payment Card Industry Data SecurityStandard,PCI DSS)规范保护的数据为例。PCI DSS的目的是确保持卡人的***和借记卡的信息安全。现有技术下,为保证PCI DSS规范保护的保密数据的存储和访问安全,用户终端将保密数据发送至位于外网的互联网服务器。互联网服务器对保密数据加密后存储,并根据接收的访问终端的数据请求消息,将解密后的保密数据返回至访问终端。
但是,由于不同的保密数据分别存储于不同的互联网服务器,数据访问时需要依次查询每一互联网服务器,因此,数据访问效率较低。再者,由于互联网服务器位于外网,因此,解密后传输的保密数据的安全隐患较高。
由此,如何提高数据存储和访问的安全性以及访问效率,是一个亟待解决的问题。
发明内容
本申请实施例提供一种数据存储和访问的***、方法和装置,用以在数据存储和访问时,提高数据存储和访问的安全性以及访问效率。
一方面,提供一种数据存储和访问的***,包括多个互联网服务器、数据管理服务器以及多个访问终端,数据管理服务器包括数据存储池,互联网服务器位于外网,数据管理服务器位于网络安全域,其中,
每一互联网服务器,用于将接收的指定类型数据进行加密,并将获取的加密数据同步至数据管理服务器,指定类型数据为需要保证数据安全的数据;
数据管理服务器,用于将接收的加密数据存储至数据存储池;以及用于根据接收的访问终端的数据请求消息,将从数据存储池中获取的相应加密数据解密,以及将解密数据返回至该访问终端;
每一访问终端,用于向数据管理服务器发送数据请求消息,并接收数据管理服务器根据数据请求消息返回的解密数据。
一方面,提供一种数据存储和访问的方法,应用于上述数据存储和访问的***,包括:
根据接收的访问终端的数据请求消息,从数据存储池中获取相应的加密数据,加密数据是互联网服务器对指定类型数据进行加密并同步上传至数据存储池的数据;
将加密数据解密,获得解密数据;
将解密数据返回至访问终端。
较佳的,指定类型数据为PCI DSS规范保护的数据。
较佳的,还包括:
获取接收的加密数据的标识信息;
当数据存储池中存储有标识信息对应的历史数据时,将历史数据更新为加密数据;
当数据存储池中未存储标识信息对应的历史数据时,将加密数据添加到数据存储池中。
较佳的,根据接收的访问终端的数据请求消息,从数据存储池中获取相应的加密数据,包括:
接收访问终端发送的包含用户标识信息的数据请求消息;
从数据存储池中,获取用户标识信息对应的加密数据。
较佳的,将解密数据返回至访问终端,包括:
将解密数据采用指定编码方式编码后返回至该访问终端。
一方面,提供一种数据存储和访问的装置,包括:
获取单元,用于根据接收的访问终端的数据请求消息,从数据存储池中获取相应的加密数据,加密数据是互联网服务器对指定类型数据进行加密并同步上传至数据存储池的数据;
解密单元,用于将加密数据解密,获得解密数据;
返回单元,用于将解密数据返回至访问终端。
较佳的,指定类型数据为PCI DSS规范保护的数据。
较佳的,返回单元还用于:
获取接收的加密数据的标识信息;
当数据存储池中存储有标识信息对应的历史数据时,将历史数据更新为加密数据;
当数据存储池中未存储标识信息对应的历史数据时,将加密数据添加到数据存储池中。
较佳的,获取单元具体用于:
接收访问终端发送的包含用户标识信息的数据请求消息;
从数据存储池中,获取用户标识信息对应的加密数据。
较佳的,返回单元具体用于:
将解密数据采用指定编码方式编码后返回至该访问终端。
一方面,提供一种控制设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述任一种数据存储和访问的方法的步骤。
一方面,提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一种数据存储和访问的方法的步骤。
本申请实施例提供的一种数据存储和访问的***、方法和装置中,位于网络安全域的数据管理服务器根据接收的访问终端的数据请求消息,从本地的数据存储池中获取相应的加密数据,并将加密数据解密,获得解密数据,以及将解密数据返回至访问终端。其中,加密数据是各互联网服务器对指定类型数据进行加密并同步上传至数据存储池的数据。这样,将外网中各互联网服务器中的数据集中存储到网络安全域中的一个数据管理服务器中,提高了数据存储和访问的安全性,还提高了数据访问效率。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施方式中一种数据存储和访问的***的架构示意图;
图2为本申请实施方式中一种数据存储的方法的实施流程图;
图3为本申请实施方式中一种数据访问的方法的实施流程图;
图4为本申请实施方式中一种数据存储和访问的方法的交互流程图;
图5为传统技术下的一种保密数据存储和访问的***架构示意图;
图6为本申请实施方式中一种保密数据存储和访问的***架构示意图;
图7a为本申请实施方式中一种个人资料页面示例图;
图7b为本申请实施方式中一种身份认证页面示例图;
图7c为本申请实施方式中一种上传页面示例图;
图7d为本申请实施方式中一种提交确认页面示例图;
图7e为本申请实施方式中一种提交成功页面示例图;
图7f为本申请实施方式中一种互联网服务器的数据存储示例图;
图7g为本申请实施方式中一种数据管理服务器的数据存储示例图;
图7h为本申请实施方式中一种用户信息示例图;
图8为本申请实施方式中一种数据存储和访问的装置的结构示意图;
图9为本申请实施方式中一种控制设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
首先,对本申请实施例中涉及的部分用语进行说明,以便于本领域技术人员理解。
终端设备:可以安装各类应用,并且能够将已安装的应用中提供的对象进行显示的设备,该电子设备可以是移动的,也可以是固定的。本申请实施例中,终端设备主要为用户终端或访问终端。
外网:即国际互联网(Internet),是把全球不同位置、不用规模的计算机网络(包括局域网、城域网、广域网)相互连接在一起所形成的计算机网络的集合体。
网络安全域:一般实现方法是采用防火墙部署在边界处来实现,通过防火墙策略控制允许哪些互联网协议(Internet Protocol,IP)访问此域、不允许哪些访问此域;允许此域访问哪些IP/网段、不允许访问哪些IP/网段。通过网络安全域,可以提高设备的安全性。
脚本:是批处理数据的延伸,是一种纯文本保存的程序,是确定的一系列控制计算机进行运算操作动作的组合,在其中可以实现一定的逻辑分支等。
下面介绍本申请实施例的设计思想。
随着互联网技术的发展,数据成为重要的核心资产,人们对数据的存储以及访问的安全需求也越来越高。
本申请实施例中,以PCI DSS保护的数据为例进行说明。PCI DSS的目的是确保持卡人的***和借记卡的信息安全。例如,PCI DSS规范保护的保密数据可以为用户的证件照数据。现有技术下,保密数据的存储以及访问时通常采用以下方式:
用户终端将保密数据上传至位于外网的多个互联网服务器中的任意一个,互联网服务器将接收的保密数据加密后存储。访问终端依次访问每一互联网服务器中的数据应用,以确定保密数据存储的互联网服务器。互联网服务器将访问终端请求的保密数据解密后返回至访问终端。
但是,由于保密数据分散存储于多个互联网服务器,访问终端依次访问每一互联网服务器中的数据应用,因此,数据访问效率较低。再者,由于外网的安全性较低,因此,互联网服务器将保密数据解密后传输,使得保密数据的安全隐患较高。进一步地,互联网服务器变更(如扩容或缩容)时,访问终端需要配置相应的访问设备信息,配置步骤繁琐,给用户带来了不便。
由此,如何提高数据存储和访问的安全性以及访问效率,是一个亟待解决的问题。
鉴于此,申请人考虑到可以将各互联网服务器中的数据集中存储到网络安全域中的一个数据管理服务器中,以提高数据存储以及访问的安全性和访问效率。
鉴于以上分析和考虑,本申请实施例中提供了一种数据存储和访问的方案,该方案中,将指定类型数据的加密数据集中存储于位于网络安全域的数据管理服务器中,数据管理服务器根据接收的访问终端的数据请求消息,从本地的数据存储池中获取相应的加密数据,并将加密数据解密后的解密数据返回至访问终端。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。方法在实际的处理过程中或者装置执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行。
参阅图1所示,为一种数据存储和访问的***的架构示意图。该***包括:多个用户终端10、多个互联网服务器11、数据管理服务器12以及多个访问终端13。
其中,用户终端10中安装有终端应用,用于通过终端应用获取用户输入的信息以及上传的数据,以及通过终端应用页面向用户呈现相应的页面信息。例如,终端应用为支付应用,上传的数据为证件照数据。
每一互联网服务器11位于外网,并设置有同步脚本,用于将接收的数据加密以及数据同步。
由于任何用户均可以访问外网中的设备,因此,互联网服务器11的安全性较低。
数据管理服务器12位于网络安全域,并设置有用于存储数据的数据存储池,用于将数据集中存储,以及数据解密。
其中,访问终端13中安装有访问应用,用于通过访问应用获取数据管理服务器12中的数据。
本申请实施例中,将分散存储于外网中的不同互联网服务器11的数据,集中存储至网络安全域的数据管理服务器12中,避免了需要依次查询每一互联网服务器11以获取数据的繁琐步骤,提高了数据访问效率;再者,通过网络安全域中的数据管理服务器进行解密传输,而非通过外网的互联网服务器进行解密传输,极大地提高了数据访问的安全性。进一步地,将互联网服务器与访问终端的部署解耦,减少了互联网服务器变更时,访问终端的配置繁琐步骤。
需要说明的是,本申请实施例,主要应用于对需要保证数据安全的数据的存储和访问的应用场景,如,PCI DSS规范保护的保密数据的存储和访问。
参阅图2所示,为本申请提供的一种数据存储的方法的实施流程图。该方法的具体流程如下:
步骤200:用户终端获取通过终端应用页面提交的指定类型数据。
具体的,用户终端中安装有终端应用,用户通过终端应用上传指定类型的数据,终端应用响应于针对终端应用页面的数据提交操作,获取指定类型数据。
其中,指定类型数据为需要保证数据安全的数据,即对数据的安全级别要求较高的数据。可选的,指定类型数据为PCI DSS规范保护的数据,即保密数据。
进一步地,当用户终端获取的指定类型数据不符合预设数据条件时,通过终端应用页面呈现数据上传失败指示信息。
其中,预设数据条件可以根据实际应用场景进行设置,在此不作限制。
一种实施方式中,预设数据条件为:指定类型数据的数据容量不低于0k。
步骤201:用户终端将指定类型数据通过加密传输协议上传至互联网服务器。
具体的,执行步骤201时,为保证数据传输的安全性,用户终端通过加密传输协议,将指定类型数据发送至外网的互联网服务器。
可选的,加密传输协议可以为超文本传输安全协议(Hyper Text TransferProtocol over Secure Socket Layer,HTTPS)。
步骤202:互联网服务器将接收的指定类型数据进行加密,获得加密数据。
步骤203:互联网服务器将加密数据同步至数据管理服务器。
具体的,互联网服务器通过部署的同步脚本,实时或周期性地将接收的加密数据同步至数据管理服务器,并将加密数据存储至本地。
可选的,同步脚本可以采用超级文本预处理语言(Hypertext Preprocessor,PHP)以及解析型的服务端(Visual Basic Script,VBScript)等语言开发,在此不作限制。
也就是说,互联网服务器中部署同步脚本,通过同步脚本,确定检测到存在新的加密数据时,将新的加密数据实时发送至数据管理服务器,或者,按照预设时长,将新的加密数据发送至数据管理服务器。
其中,预设时长可以根据实际应用场景进行设置,如1分钟,在此不作限制。
一种实施方式中,互联网服务器通过同步脚本,获取本地指定数据目录的第一数据列表,以及数据管理服务器中指定数据目录的第二数据列表,并根据第一数据列表和第二数据列表之间的数据差异,进行数据同步。互联网服务器确定数据同步失败时,根据第一数据列表和第二数据列表之间的数据差异,再次进行数据同步,从而通过数据重传,实现数据的完全同步。
步骤204:数据管理服务器接收加密数据,并将加密数据存储至数据存储池。
具体的,执行步骤204时,数据管理服务器可以采用以下步骤:
获取接收的加密数据的标识信息,当数据存储池中存储有该标识信息对应的历史数据时,将该历史数据更新为该加密数据;当数据存储池中未存储该标识信息对应的历史数据时,将该加密数据添加到数据存储池中。
其中,存储池是服务器中用于存储副本、卷影副本和传输日志的一组磁盘。标识信息用于标识加密数据,可以为加密数据的数据名以及编码等信息。
例如,加密数据为用户S的证件照文件加密后的数据,标识信息为用户S的身份证号码,则用户S将更新后的证件照文件再次上传时,数据存储池根据用户S的身份证号码,对存储的相应历史证件照文件的加密数据进行更新。
这样,就可以将各互联网服务器中的数据集中存储至位于网络安全域中的数据管理服务器中,还可以根据加密数据的标识信息,将相应加密数据进行更新。
参阅图3所示,为本申请提供的一种数据访问的方法的实施流程图。该方法的具体流程如下:
步骤300:访问终端向数据管理服务器发送数据请求消息。
具体的,访问终端向数据管理服务器发送包含用户标识信息的数据请求消息。
其中,用户标识信息与指定类型数据的加密数据具有对应关系,可以为编码或名称等,例如,用户标识信息可以为用户的昵称、账号或证件号码等,在此不再赘述。
步骤301:数据管理服务器获取接收的数据请求消息,从数据存储池中获取请求的加密数据。
具体的,数据管理服务器接收数据请求消息,并获取数据请求消息中包含的用户标识信息,以及根据用户标识信息,从数据存储池中搜索用户标识信息对应的加密数据。
步骤302:数据管理服务器将加密数据进行解密,获得解密数据。
步骤303:数据管理服务器将解密数据返回至访问终端。
具体的,数据管理服务器将解密数据按照指定编码方式进行编码,并将编码后的解密数据返回至访问终端。
其中,指定编码方式可以根据实际应用场景进行设置,例如,指定编码方式可以为BASE64编码,在此不再赘述。
传统方式中,通常通过位于外网的互联网服务器对加密数据进行解密以及传输,由于互联网服务器处于外网中,因此,互联网服务器的安全隐患较大,进而存储于互联网服务器中解密数据容易被窃取、篡改或者破坏,进一步地,将解密数据从外网中的互联网服务器传输至访问终端的过程中,解密数据也容易被窃取、篡改或者破坏。
而本申请实施例中,由于网络安全域的实现方法是采用防火墙部署在边界处来实现,通过防火墙策略控制允许哪些互联网协议IP访问此域、不允许哪些访问此域;允许此域访问哪些IP/网段、不允许访问哪些IP/网段。因此,只要通过防火墙策略控制允许访问终端访问数据管理服务器,访问终端就可以对数据管理服务器进行数据访问,位于网络安全域数据管理服务器将加密数据进行解密以及传输,数据存储以及数据访问的安全性较高,极大地减少了安全隐患。
步骤304:访问终端呈现接收的解密数据。
具体的,访问终端通过访问应用的访问应用页面呈现接收的解密数据。
需要说明的是,为进一步提高解密数据的安全性,解密数据不能通过所述访问应用下载。访问应用无法下载以及存储解密数据,也就是说,访问应用中未设置解密数据下载的功能,用户只能通过访问应用页面查看解密数据,而无法通过访问应用下载解密数据。
一种实施方式中,访问应用为审核人员进行数据审核的应用,响应于针对访问应用页面的审核失败操作,向用户终端返回审核失败指示信息。当用户终端接收到数据审核失败消息时,通过终端应用页面向用户呈现数据审核失败指示信息。
参阅图4所示,为本申请提供的一种数据存储和访问的方法的交互流程图。该方法的具体流程如下:
步骤400:用户终端获取通过终端应用页面提交的指定类型数据。
具体的,执行步骤400时,具体步骤参见上述步骤200。
步骤401:用户终端将指定类型数据通过加密传输协议,上传至互联网服务器。
具体的,执行步骤401时,具体步骤参见上述步骤201。
步骤402:互联网服务器将接收的指定类型数据进行加密,获得加密数据。
具体的,执行步骤402时,具体步骤参见上述步骤202。
步骤403:互联网服务器将加密数据同步至数据管理服务器。
具体的,执行步骤403时,具体步骤参见上述步骤203。
步骤404:数据管理服务器接收加密数据,并将加密数据存储至数据存储池。
具体的,执行步骤404时,具体步骤参见上述步骤204。
步骤405:访问终端向数据管理服务器发送数据请求消息。
具体的,执行步骤405时,具体步骤参见上述步骤300。
步骤406:数据管理服务器获取接收的数据请求消息,从数据存储池中获取请求的加密数据。
具体的,执行步骤406时,具体步骤参见上述步骤301。
步骤407:数据管理服务器将加密数据进行解密,获得解密数据。
步骤408:数据管理服务器将解密数据返回至访问终端。
具体的,执行步骤408时,具体步骤参见上述步骤303。
步骤409:访问终端呈现接收的解密数据。
具体的,执行步骤409时,具体步骤参见上述步骤304。
下面采用一个具体的应用场景,将传统方式与本申请进行对比说明。
应用场景为:在使用支付业务之前,根据监管要求,需要对用户身份进行认证,用户需要上传保密数据至外网的互联网服务器,以进行个人用户尽职调查(Customer DueDiligence,CDD)。审核人员需要通过访问终端获取保密数据,从而根据用户填写的信息对用户的保密数据进行审核。
需要说明的是,实际应用中,根据PCI DSS的要求,为保护信息安全,保密数据不得以明文存储,并且必须上传至外网的互联网服务(如,某个国家的服务器),以及互联网服务至少需要能够保存指定时间(如,3年),互联网服务器的数量通常为多个,并且均位于外网,访问终端位于内网,访问终端和互联网服务器位于不同的***中。
参阅图5所示,为传统技术下的一种保密数据存储和访问的***架构示意图。该***包括:用户终端、位于外网的多个互联网服务器以及访问终端。
传统技术中,用户通过用户终端的终端应用将CDD信息上传至互联网服务器。互联网服务器将接收的CDD信息进行加密以及本地存储。其中,CDD信息包括保密数据。不同的CDD信息分散存储于不同的互联网服务器中。审核人员通过访问终端依次询问每一互联网服务器的代理应用,直至确定存储目标保密数据的互联网服务器。该互联网服务器将目标保密数据进行解密后返回至访问终端,以便审核人员审核。
显然,传统方式中,访问终端需要依次访问外网中的每一互联网服务器中的代理应用,这会耗费大量的数据访问时间,并且***的稳定性较低,再者,互联网服务器在外网中对加密数据进行解密以及传输,信息泄露的风险性极高,有较大的安全隐患;进一步地,当互联网服务器扩容等变更时,访问终端需要重新配置访问的设备信息,操作步骤繁琐。
参阅图6所示,为本申请实施例中一种保密数据存储和访问的***架构示意图。该***中包括:用户终端、位于外网的多个互联网服务器、位于网络安全域的数据管理服务器以及访问终端。
其中,保密数据存储以及访问的具体步骤如下:
S600:用户终端获取通过终端应用页面提交的保密数据。
参阅图7a所示,为一种个人资料页面示例图。参阅图7b所示,为一种身份认证页面示例图。参阅图7c所示,为一种上传页面示例图。参阅图7d所示,为一种提交确认页面示例图。参阅图7e所示,为一种提交成功页面示例图。
例如,用户终端在终端应用的终端应用页面提交CDD请求,终端应用页面跳转至图7a所示的个人资料页面。其中,图7a中的个人资料包括:姓名、性别、国籍、出生日期以及地址。
用户填写完成个人资料后,点击“下一步”按钮,终端应用响应于针对个人资料页面的下一步操作,跳转至图7b所示的身份认证页面。其中,身份认证页面包括证件类型、证件号码以及添加身份证照片等。当用户点击“添加身份证照片”时,身份认证页面跳转至图7c所示的上传页面。其中,身份证照片为保密数据。
其中,上传页面用于上传照片,包括正确示例以及错误示例信息。当用户点击“上传照片”按钮时,上传页面跳转至图7d所示的提交确认页面。当用户点击“确定”按钮时,提交确认页面跳转至图7e所示的提交成功页面。
S601:用户终端将保密数据通过加密传输协议,上传至互联网服务器。
其中,执行S601时,可以采用公共网关接口(Common Gateway Interface,CGI)进行数据上传。CGI在物理上是一段程序,运行在服务器上,提供同客户端HTML页面的接口。CGI是服务器运行时外部程序的规范,按CGI编写的程序可以扩展服务器功能。CGI应用程序能与浏览器进行交互,还可通过数据库接口与数据库服务器等外部数据源进行通信,从数据库服务器中获取数据。
S602:互联网服务器将接收的保密数据进行加密以及本地存储,获得加密数据。
参阅图7f所示,为一种互联网服务器的数据存储示例图。图7f中展示了在互联网服务器的xxx/xxx/data目录下存储的数据列表。
S603:互联网服务器将加密数据发送至数据管理服务器。
具体的,执行S603时,参见上述步骤203。
S604:数据管理服务器接收加密数据,并将加密数据存储至数据存储池。
参阅图7g所示,为一种数据管理服务器的数据存储示例图。图7g展示了在数据管理服务器的xxx/server/xxx/data目录下同步的数据列表。
S605:访问终端向数据管理服务器发送数据请求消息。
S606:数据管理服务器获取接收的数据请求消息,从数据存储池中获取请求的加密数据。
S607:数据管理服务器将加密数据进行解密,获得解密数据。
S608:数据管理服务器将解密数据返回至访问终端。
S609:访问终端呈现接收的解密数据。
参阅图7h所示,为一种用户信息示例图。包括姓名、性别、宗教、证件照文件(保密数据)……等。审核人员根据图7h中的用户信息对证件照文件进行审核,判断是否审核通过。当审核人员确认审核失败时,通过访问终端向用户终端发送审核失败指示信息。当用户终端接收到数据审核失败消息时,通过终端应用页面向用户呈现数据审核失败指示信息。
本申请实施例中,满足了保密数据的存储要求以及访问要求即:敏感数据加密存储,统一长时间存储至特定位置(数据管理服务器),访问终端可以简单方便的通过数据管理服务器中获取解密数据,并且安全隐患小;互联网服务器变更时,访问终端不需要进行相应的配置信息更改,提高了***的适用性和稳定性,还可以通过访问终端进行审核通过和审核驳回,从而对数据进行重传;提高了数据存储和数据访问的安全性和效率,简化了操作步骤,给用户带来了极大地便利。
基于同一发明构思,本申请实施例中还提供了一种数据存储和访问的装置,由于上述装置及设备解决问题的原理与一种数据存储和访问的方法相似,因此,上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图8示,其为本申请实施例提供的一种数据存储和访问的装置的结构示意图。一种数据存储和访问的装置包括:
获取单元801,用于根据接收的访问终端的数据请求消息,从数据存储池中获取相应的加密数据,加密数据是互联网服务器对指定类型数据进行加密并同步上传至数据存储池的数据;
解密单元802,用于将加密数据解密,获得解密数据;
返回单元803,用于将解密数据返回至访问终端。
较佳的,指定类型数据为PCI DSS规范保护的数据。
较佳的,返回单元803还用于:
获取接收的加密数据的标识信息;
当数据存储池中存储有标识信息对应的历史数据时,将历史数据更新为加密数据;
当数据存储池中未存储标识信息对应的历史数据时,将加密数据添加到数据存储池中。
较佳的,获取单元801具体用于:
接收访问终端发送的包含用户标识信息的数据请求消息;
从数据存储池中,获取用户标识信息对应的加密数据。
较佳的,返回单元803具体用于:
将解密数据采用指定编码方式编码后返回至该访问终端。
本申请实施例提供的一种数据存储和访问的***、方法和装置中,位于网络安全域的数据管理服务器根据接收的访问终端的数据请求消息,从本地的数据存储池中获取相应的加密数据,并将加密数据解密,获得解密数据,以及将解密数据返回至访问终端。其中,加密数据是各互联网服务器对指定类型数据进行加密并同步上传至数据存储池的数据。这样,将外网中各互联网服务器中的数据集中存储到网络安全域中的一个数据管理服务器中,提高了数据存储和访问的安全性,还提高了数据访问效率。
参阅图9所示,为一种控制设备的结构示意图。基于同一技术构思,本申请实施例还提供了一种控制设备,可以包括存储器901和处理器902。
存储器901,用于存储处理器902执行的计算机程序。存储器901可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。处理器902,可以是一个中央处理单元(central processing unit,CPU),或者为数字处理单元等。本申请实施例中不限定上述存储器901和处理器902之间的具体连接介质。本申请实施例在图9中以存储器901和处理器902之间通过总线903连接,总线903在图9中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线903可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器901可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器901也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器901是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器901可以是上述存储器的组合。
处理器902,用于调用存储器901中存储的计算机程序时执行如图4中所示的实施例提供的数据存储和访问的方法。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任意方法实施例中的数据存储和访问的方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对相关技术做出贡献的部分可以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台控制设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种数据存储和访问的***,其特征在于,包括多个互联网服务器、数据管理服务器以及多个访问终端,所述数据管理服务器包括数据存储池,所述互联网服务器位于外网,所述数据管理服务器位于网络安全域,其中,
每一互联网服务器,用于将接收的指定类型数据进行加密,并将获取的加密数据同步至所述数据管理服务器,所述指定类型数据为需要保证数据安全的数据;
所述数据管理服务器,用于将接收的加密数据存储至所述数据存储池;以及用于根据接收的访问终端的数据请求消息,将从所述数据存储池中获取的相应加密数据解密,以及将解密数据返回至该访问终端;
每一访问终端,用于向所述数据管理服务器发送数据请求消息,并接收所述数据管理服务器根据所述数据请求消息返回的解密数据。
2.如权利要求1所述的***,其特征在于,所述指定类型数据为第三方支付行业数据安全标准PCI DSS规范保护的数据。
3.如权利要求1所述的***,其特征在于,每一互联网服务器具体用于:
通过部署的同步脚本,实时或周期性地将接收的加密数据同步至所述数据管理服务器。
4.如权利要求1所述的***,其特征在于,所述数据管理服务器具体用于:
获取接收的加密数据的标识信息;
当所述数据存储池中存储有所述标识信息对应的历史数据时,将所述历史数据更新为所述加密数据;
当所述数据存储池中未存储所述标识信息对应的历史数据时,将所述加密数据添加到所述数据存储池中。
5.如权利要求1所述的***,其特征在于,所述数据管理服务器具体用于:
接收访问终端发送的包含用户标识信息的数据请求消息;
从所述数据存储池中,获取所述用户标识信息对应的加密数据;
将所述加密数据解密,获得解密数据;
将所述解密数据采用指定编码方式编码后返回至该访问终端。
6.如权利要求1-5任一项所述的***,其特征在于,每一访问终端还用于:
通过访问应用的访问应用页面呈现所述解密数据,其中,所述解密数据不能通过所述访问应用下载。
7.如权利要求1-5任一项所述的***,其特征在于,还包括多个用户终端,每一用户终端用于:
当确定获取的指定类型数据不符合预设数据条件时,通过终端应用页面呈现数据上传失败指示信息。
8.如权利要求1-5任一项所述的***,其特征在于,还包括多个用户终端,每一用户终端用于:
当接收到数据审核失败消息时,通过终端应用页面呈现数据审核失败指示信息。
9.一种数据存储和访问的方法,其特征在于,应用于如权利要求1-8任一项所述的***,包括:
根据接收的访问终端的数据请求消息,从所述数据存储池中获取相应的加密数据,所述加密数据是互联网服务器对指定类型数据进行加密并同步上传至所述数据存储池的数据;
将所述加密数据解密,获得解密数据;
将所述解密数据返回至所述访问终端。
10.一种数据存储和访问的装置,其特征在于,包括:
获取单元,用于根据接收的访问终端的数据请求消息,从数据存储池中获取相应的加密数据,所述加密数据是互联网服务器对指定类型数据进行加密并同步上传至所述数据存储池的数据;
解密单元,用于将所述加密数据解密,获得解密数据;
返回单元,用于将所述解密数据返回至所述访问终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910697348.3A CN111177736A (zh) | 2019-07-30 | 2019-07-30 | 一种数据存储和访问的***、方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910697348.3A CN111177736A (zh) | 2019-07-30 | 2019-07-30 | 一种数据存储和访问的***、方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111177736A true CN111177736A (zh) | 2020-05-19 |
Family
ID=70657033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910697348.3A Pending CN111177736A (zh) | 2019-07-30 | 2019-07-30 | 一种数据存储和访问的***、方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111177736A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112148920A (zh) * | 2020-08-11 | 2020-12-29 | 中标慧安信息技术股份有限公司 | 数据管理方法 |
| CN114944940A (zh) * | 2022-04-26 | 2022-08-26 | 国网山东省电力公司滨州供电公司 | 一种用于电气试验数据的电子档案处理***及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598610A (zh) * | 2015-01-29 | 2015-05-06 | 无锡江南计算技术研究所 | 一种分步式数据库数据分发上传同步方法 |
| CN104750740A (zh) * | 2013-12-30 | 2015-07-01 | 北京新媒传信科技有限公司 | 数据更新的方法及装置 |
| CN105630786A (zh) * | 2014-10-27 | 2016-06-01 | 航天信息股份有限公司 | 一种车购税电子档案上传、存储、查询的***与方法 |
| CN106161535A (zh) * | 2015-04-10 | 2016-11-23 | 天津铂创国茂电子科技发展有限公司 | 基于云节点服务器的水电煤气表数据采集处理方法及装置 |
| CN106411884A (zh) * | 2016-09-29 | 2017-02-15 | 郑州云海信息技术有限公司 | 一种数据存储加密的方法及装置 |
-
2019
- 2019-07-30 CN CN201910697348.3A patent/CN111177736A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104750740A (zh) * | 2013-12-30 | 2015-07-01 | 北京新媒传信科技有限公司 | 数据更新的方法及装置 |
| CN105630786A (zh) * | 2014-10-27 | 2016-06-01 | 航天信息股份有限公司 | 一种车购税电子档案上传、存储、查询的***与方法 |
| CN104598610A (zh) * | 2015-01-29 | 2015-05-06 | 无锡江南计算技术研究所 | 一种分步式数据库数据分发上传同步方法 |
| CN106161535A (zh) * | 2015-04-10 | 2016-11-23 | 天津铂创国茂电子科技发展有限公司 | 基于云节点服务器的水电煤气表数据采集处理方法及装置 |
| CN106411884A (zh) * | 2016-09-29 | 2017-02-15 | 郑州云海信息技术有限公司 | 一种数据存储加密的方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112148920A (zh) * | 2020-08-11 | 2020-12-29 | 中标慧安信息技术股份有限公司 | 数据管理方法 |
| CN114944940A (zh) * | 2022-04-26 | 2022-08-26 | 国网山东省电力公司滨州供电公司 | 一种用于电气试验数据的电子档案处理***及方法 |
| CN114944940B (zh) * | 2022-04-26 | 2023-10-03 | 国网山东省电力公司滨州供电公司 | 一种用于电气试验数据的电子档案处理***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230237132A1 (en) | System and Method for Memetic Authentication and Identification | |
| CN104270338B (zh) | 一种电子身份注册及认证登录的方法及其*** | |
| JP7007985B2 (ja) | 鍵を有するリソースロケーター | |
| CN101427510B (zh) | 用于网络功能描述的数字通行 | |
| CN109274652B (zh) | 身份信息验证***、方法及装置及计算机存储介质 | |
| US8539231B1 (en) | Encryption key management | |
| JP4863777B2 (ja) | 通信処理方法及びコンピュータ・システム | |
| US11675922B2 (en) | Secure storage of and access to files through a web application | |
| CN111177735B (zh) | 身份认证方法、装置、***和设备以及存储介质 | |
| CN111740966B (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
| CN106936898B (zh) | 一种跨区间文件传输方法及*** | |
| CN102469080A (zh) | 实现通行证用户安全登录应用客户端的方法和*** | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及*** | |
| US20110238994A1 (en) | Management of secret data items used for server authentication | |
| CN106845986A (zh) | 一种数字证书的签章方法及*** | |
| CN111177736A (zh) | 一种数据存储和访问的***、方法和装置 | |
| CN117993017A (zh) | 数据共享***、方法、装置、计算机设备及存储介质 | |
| CN106357727A (zh) | 向多个服务器同时上传文件的方法和*** | |
| JP5678150B2 (ja) | ユーザ端末、鍵管理システム、及びプログラム | |
| CN113312576A (zh) | 一种页面跳转方法、***及装置 | |
| EP3900289B1 (en) | Method to monitor sensitive web embedded code authenticity | |
| CN115694878A (zh) | 一种数据传输的方法、设备及存储介质 | |
| CN112822020B (zh) | 网络请求方法、装置、计算机设备及存储介质 | |
| CN111698299B (zh) | Session对象复制方法、装置、分布式微服务架构及介质 | |
| KR20050112146A (ko) | 웹서비스를 이용하여 인증서 및 개인비밀정보를 안전하게보관하고 전달하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |