CN112887427B - 一种云平台加密***及方法 - Google Patents

一种云平台加密***及方法 Download PDF

Info

Publication number
CN112887427B
CN112887427B CN202110246241.4A CN202110246241A CN112887427B CN 112887427 B CN112887427 B CN 112887427B CN 202110246241 A CN202110246241 A CN 202110246241A CN 112887427 B CN112887427 B CN 112887427B
Authority
CN
China
Prior art keywords
file
module
uploaded
user
cloud platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110246241.4A
Other languages
English (en)
Other versions
CN112887427A (zh
Inventor
蒋晓宁
章丰青
黄军
李渝川
黄海峰
方健
周郁寒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huzhou Yirui Xin'an Technology Co ltd
Original Assignee
Huzhou Yirui Xin'an Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huzhou Yirui Xin'an Technology Co ltd filed Critical Huzhou Yirui Xin'an Technology Co ltd
Priority to CN202110246241.4A priority Critical patent/CN112887427B/zh
Publication of CN112887427A publication Critical patent/CN112887427A/zh
Application granted granted Critical
Publication of CN112887427B publication Critical patent/CN112887427B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种云平台加密***及方法,包括:接收模块,接收客户端上传的迁移数据;敏感度分析模块,对迁移数据中的上传文件进行敏感度分析,根据分析结果对上传文件设置文件权限;加密模块,对设置有文件权限的上传文件进行加密得到加密文件;网关模块,将加密文件上传至对应的迁移地址所在的第三方云平台,从第三方云平台中获取已存储的加密文件;判断模块,根据敏感度分析模块获取的分析结果依照预设的传输策略判断上传文件是否进行上传或下载;索引设置模块,对设置有文件权限的上传文件提取至少一个第一关键词,将上传文件对应的所有第一关键词设置为加密索引。有益效果:实现不同局域网络之间的数据传输,并且提高加密文件的安全性。

Description

一种云平台加密***及方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种云平台加密***及方法。
背景技术
随着科技的发展,网络在日常的生活中越来越重要,用户会经常使用网盘、云盘等产品存放自己的资料。云存储的优点显而易见,即它提供了一种方便的外包存储空间,减少了数据存储和维护的负担。但是与此同时,用户丧失了对数据的绝对控制权,那些放在第三方云平台上数据存在被泄露和被篡改地风险,因此,虽然这种存储方式让用户的生活更加便利,但是敏感信息的不安全性却对人们的人身财产安全和隐私安全产生了威胁。
目前在一个不被信任的云端服务器上存储敏感数据的主要方法是:在数据被外包前进行加密操作。然而现有的第三方云平台存在“私有”信息泄露的问题,这源于那些对资源有操作特权的人。例如云端服务器的管理员或者是成功入侵服务器的黑客等。另外,现有的安全云存储***安全性较低,不仅仅是第三方云平台不可信,内部环境和人员也会成为数据安全隐患从而导致数据泄露地风险;
并且目前的数据被外包前进行加密操作后直接上传至云端,没有在上传期间对数据进行进一步保密处理,从而使得用户无法利用本地化的网络的私密性和安全性来提高获取数据上传的安全性。
发明内容
针对现有技术中存在的上述问题,现提供一种云平台加密***及方法。
具体技术方案如下:
一种云平台加密***,其中,包括:
接收模块,用于接收客户端上传的迁移数据,迁移数据包括用户信息、用户私钥、上传文件和迁移地址;
敏感度分析模块,与接收模块连接,对迁移数据中的上传文件进行敏感度分析,根据分析结果对上传文件设置文件权限;
加密模块,与敏感度分析模块连接,对设置有文件权限的上传文件进行加密,以得到加密文件;
网关模块,与加密模块连接,用于将加密文件上传至对应的迁移地址所在的第三方云平台,还用于从第三方云平台中获取已存储的加密文件;
判断模块,分别与敏感度分析模块和网关发送模块连接,根据敏感度分析模块获取的分析结果依照预设的传输策略判断上传文件是否进行上传或下载;
索引设置模块,分别与敏感度分析模块和网关发送模块连接,对设置有文件权限的上传文件提取至少一个第一关键词,将上传文件对应的所有第一关键词设置为加密索引,并将加密索引进行存储,使得用户根据自身的用户信息、用户私钥和第二关键词检索得到对应的加密索引,以通过网关模块获取得到加密索引对应的加密文件,使得用户根据自身的用户信息和用户私钥对加密文件进行操作。
优选的,云平台加密***,其中,网关包括:
接收模块包括:第一接口,与每个外接的客户端采用第一局域网络进行通讯连接;和
网关模块包括:
第二接口,与第三方云平台采用第二局域网络进行通讯连接;
转换模块,将第一局域网络接收的迁移数据发送至第二接口。
优选的,云平台加密***,其中,敏感度分析模块具体包括:
分析单元,用于对上传文件进行敏感度分析,以得到上传文件对应的敏感度级别;
权限设置单元,与分析单元连接,用于根据上传文件对应的敏感度级别设置对应于敏感度级别的文件权限。
优选的,云平台加密***,其中,分析单元具体包括:
匹配组件,用于将上传文件和敏感信息列表进行匹配,并根据匹配结果计算上传文件的敏感度;
级别获取组件,与匹配组件连接,用于获取敏感度对应的敏感度级别。
优选的,云平台加密***,其中,索引设置模块具体包括:
提取单元,用于对设置有文件权限的上传文件进行第一关键词提取,将提取得到的所有第一关键词存储到一索引中;
索引加密单元,与提取单元连接,用于对索引进行加密,以得到加密索引;
索引存储单元,与索引加密单元连接,用于将加密索引存储到一索引列表中;
判断单元,与索引存储单元连接,用于获取用户的检索请求,并判断检索请求中的用户信息是否存在对上传文件的检索权限;
若是,用户根据需检索的上传文件的第二关键词进行检索,以检索得到对索引列表中的加密索引,执行解密单元;
解密单元,与判断单元连接,用于使得用户根据用户私钥对检索得到的加密索引进行解密,以根据解密后的索引获取得到索引指向的加密文件。
优选的,云平台加密***,其中,解密单元具体包括:
接收组件,用于接收用户的操作请求;
解密组件,与接收组件连接,用于在操作请求中的用户信息存在对加密文件的对应的用户权限时,将加密文件进行解密,以得到解密文件,使得用户对解密文件进行对应与操作请求的操作。
优选的,云平台加密***,其中,操作请求包括查看请求、发送请求和下载请求。
优选的,云平台加密***,其中,接收模块、敏感度分析模块、加密模块、网关模块、判断模块和索引设置模块设置在不同的服务器中。
优选的,云平台加密***,其中,接收模块、敏感度分析模块、加密模块、网关模块、判断模块和索引设置模块均设置对应的唯一应用权限。
还包括一种云平台加密方法,其中,包括以下步骤:
对每个用户均设置唯一的用户信息和用户私钥;
接收用户上传的迁移数据,迁移数据包括用户信息、用户私钥、上传文件和迁移地址;
对迁移数据中的上传文件进行敏感度分析,并根据分析结果对上传文件设置文件权限;
将加密文件上传至对应的迁移地址所在的第三方云平台;
对设置有文件权限的上传文件提取至少一个第一关键词,将上传文件对应的所有第一关键词设置为加密索引,并将加密索引进行存储,使得用户根据自身的用户信息、用户私钥和第二关键词检索得到对应的加密索引,以获取得到加密索引对应的第三方云平台上的加密文件,使得用户根据自身的用户信息和用户私钥对加密文件进行操作;
其中,于将加密文件上传至对应的迁移地址所在的第三方云平台时,根据分析结果依照预设的传输策略判断上传文件是否进行上传;
以及于下载第三方云平台中存储的加密文件时,根据分析结果依照预设的传输策略判断上传文件是否进行下载。
上述技术方案具有如下优点或有益效果:
通过网关模块获取加密索引对应的存储在第三方云平台上的加密文件。以实现无论是检索还是后续操作,都需要判断用户信息是否符合文件权限,于用户信息符合文件权限时进行文件权限对应的操作。进而实现一种零信任数据安全托管方法,即引入零信任的概念,即对任何事物均建立在不信任的基础之上,通过给用户设定用户信息,来降低内部环境和人员对数据安全造成的隐患;
通过设置网关模块将加密文件上传至对应的迁移地址所在的第三方云平台,还用于从第三方云平台中获取已存储的加密文件,从而实现将加密文件存储到特定迁移地址所在的第三方云平台中,提高加密文件的安全性;
通过网关模块实现不同局域网络之间的数据传输;
通过网关设备对加密文件进行上传或者下载,相比用户直接将上传文件上传到第三方云平台具有更快的传输速度,可大大提升用户体验感。
附图说明
参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于说明和阐述,并不构成对本发明范围的限制。
图1为本发明云平台加密***的实施例的原理框图;
图2为本发明云平台加密***的实施例的网络结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明包括一种云平台加密***,如图1,云平台加密***2包括:
接收模块,用于接收外接的客户端1上传的迁移数据,迁移数据包括用户信息、用户私钥、上传文件和迁移地址;
敏感度分析模块,与接收模块连接,对迁移数据中的上传文件进行敏感度分析,根据分析结果对上传文件设置文件权限;
加密模块,与敏感度分析模块连接,对设置有文件权限的上传文件进行加密,以得到加密文件;
网关模块,与加密模块连接,用于将加密文件上传至对应的迁移地址所在的第三方云平台3,还用于从第三方云平台3中获取已存储的加密文件;
判断模块,分别与敏感度分析模块和网关发送模块连接,根据敏感度分析模块获取的分析结果依照预设的传输策略判断上传文件是否进行上传或下载;
索引设置模块,分别与敏感度分析模块和网关发送模块连接,对设置有文件权限的上传文件提取至少一个第一关键词,将上传文件对应的所有第一关键词设置为加密索引,并将加密索引进行存储,使得用户根据自身的用户信息、用户私钥和第二关键词检索得到对应的加密索引,以通过网关模块获取得到加密索引对应的第三方云平台3上的加密文件,使得用户根据自身的用户信息和用户私钥对加密文件进行操作。
在上述实施例中,通过敏感度分析模块对上传文件设置文件权限,以及通过加密模块对设置好文件权限的上传文件进行加密,以得到加密文件,随后采用网关模块将加密文件上传至迁移地址所在的第三方云平台3,并且通过索引设置模块对上传文件设置加密索引,并通过网关模块获取加密索引对应的存储在第三方云平台3上的加密文件。以实现无论是检索还是后续操作,都需要判断用户信息是否符合文件权限,于用户信息符合文件权限时进行文件权限对应的操作。进而实现一种零信任数据安全托管方法,即引入零信任的概念,即对任何事物均建立在不信任的基础之上,通过给用户设定用户信息,来降低内部环境和人员对数据安全造成的隐患。
在上述实施例中,通过设置网关模块将加密文件上传至对应的迁移地址所在的第三方云平台3,还用于从第三方云平台3中获取已存储的加密文件,从而实现将加密文件存储到特定迁移地址所在的第三方云平台3中,提高加密文件的安全性。
在上述实施例中,通过设置判断模块,对上传文件是否进行上传或下载进行判断,并将判断结果反馈给用户。
在上述实施例中,可以根据文件权限判断用户信息是否符合该文件权限,当用户信息符合该文件权限时,用户信息对应的用户可以对存储在第三方云平台3上的加密文件进行对应于文件权限的操作。
在上述实施例中,上传文件可以为Word文档文件、便携文档文件、根证书文件、名片文件和通讯录备份文件等。
作为具体的实施方式,云平台加密***2可以对每个用户均设置唯一的用户信息和用户私钥;
接着,采用接收模块接收用户上传的迁移数据,迁移数据包括用户信息、用户私钥、上传文件和迁移地址;
随后,采用敏感度分析模块对上传文件进行敏感度分析来确定上传文件的文件权限;
然后,采用加密模块对设置有文件权限的上传文件进行加密以得到加密文件;
并且,采用网关模块将加密文件上传至对应的迁移地址所在的第三方云平台3;
与此同时,可以采用索引设置模块对设置有文件权限的上传文件提取至少一个第一关键词,将上传文件对应的所有第一关键词设置为加密索引,并将加密索引进行存储;
最后,使得用户根据自身的用户信息、用户私钥和第二关键词检索得到对应的加密索引,以获取得到加密索引对应的第三方云平台3上的加密文件,使得用户根据自身的用户信息和用户私钥对加密文件进行操作;
其中,在网关模块将加密文件上传至对应的迁移地址所在的第三方云平台3时,采用判断模块根据分析结果依照预设的传输策略判断上传文件是否进行上传;
以及在通过网关模块下载第三方云平台3中存储的加密文件时,采用判断模块根据分析结果依照预设的传输策略判断上传文件是否进行下载。
在上述实施例中,客户端1可以为笔记本、台式电脑和移动设备中的一种。
进一步地,在上述实施例中,网关包括:
接收模块包括:第一接口,与每个外接的客户端1采用第一局域网络进行通讯连接;和
网关模块包括:
第二接口,与第三方云平台3采用第二局域网络进行通讯连接;
转换模块,将第一局域网络接收的迁移数据发送至第二接口。
在上述实施例中,如图2所示,第一局域网络和第二局域网络可以是不同的局域网络,从而通过网关模块实现不同局域网络之间的数据传输。
在上述实施例中,第一局域网络可以为客户端1的私有网络。
在上述实施例中,第一局域网络和第二局域网络也可以是相同的局域网络。
在上述实施例中,通过网关设备对加密文件进行上传或者下载,相比用户直接将上传文件上传到第三方云平台3具有更快的传输速度,可大大提升用户体验感。
进一步地,在上述实施例中,敏感度分析模块具体包括:
分析单元,用于对上传文件进行敏感度分析,以得到上传文件对应的敏感度级别;
权限设置单元,与分析单元连接,用于根据上传文件对应的敏感度级别设置对应于敏感度级别的文件权限。
进一步地,在上述实施例中,客户端1的用户包括管理员、已注册用户和待注册用户;
管理员对待注册用户进行注册,并给待注册用户设置用户权限;
对待注册用户设置唯一的用户标签和用户私钥,使得待注册用户成为已注册用户。
在上述实施例中,管理员可以对待注册用户进行注册,并给待注册用户进行分组,并设备对应的用户权限,随后云端服务器采用属性加密服务对待注册用户进行用户注册,生成该待注册用户的唯一的用户标签和用户私钥。
其中,通过对用户进行分组以方便对用户进行管理,可以按照用户权限进行分组,例如将所有的管理员分为一个小组。
进一步地,在上述实施例中,管理员和已注册用户的用户信息包括:用户权限和用户标签。
在上述实施例中,对每个用户均设置用户权限、用户标签和用户私钥,即无论是管理员还是其他用户均需要满足文件权限才可以对加密文件进行文件权限对应的操作,从而避免了对资源有操作特权的管理员造成泄漏,进而降低内部环境和人员对数据安全造成的隐患,以提高上传文件的安全性。
在上述实施例中,敏感度分析模块对上传文件进行数据敏感度分析,区分敏感度级别,从而分配不同的文件权限,例如敏感度级别可以包括高、低两个级别,敏感度高的文件权限默认设为只有文件拥有者可进行对应文件权限的操作,即上传文件中设置有用户信息的;敏感度低的文件权限默认全员只可预览,而其他文件权限默认为不可操作。
其中,每个上传文件的文件权限可以根据用户需求进行修改。因为无论文件的敏感度高低,文件最终都会以密文的形式存放在第三方云平台3,从而避免数据从第三方云平台3泄露出去。
进一步地,在上述实施例中,分析单元具体包括:
匹配组件,用于将上传文件和敏感信息列表进行匹配,并根据匹配结果计算上传文件的敏感度;
级别获取组件,与匹配组件连接,用于获取敏感度对应的敏感度级别。
在上述实施例中,可以设置有敏感信息列表,或者用户可根据自己的需求在云端服务器中设置对应的敏感信息列表,即用户上传的上传文件可以采用自己设置的敏感信息列表进行敏感度分析。更具体地,敏感信息列表可包括多个敏感文件类型,例如,根证书文件、名片文件、通讯录备份文件等。敏感词列表中还可包括每种敏感件类型对应的多个敏感词,例如,“银行账号”、“身份证号”、“重要机密”、“交易密码”、“商业合同”、“现金账目”、“流水明细”等。
作为优选的实施方式,可以采用匹配组件对上传文件进行解析,以获取到上传文件的文本内容,随后可对文本内容进行分词处理,以获取文本内容中所有的分词,即云端服务器获取文本内容中所有具有含义的词语,接着对分词和敏感信息列表进行匹配,当在敏感列表信息中匹配到某个分词,则对该分词前后文中其他的相关联的分词进行分析。例如,如果在敏感信息列表中匹配到分词“身份证”,则查找该分词“身份证”前后位置的几个分词是否有符合“身份证”的数字和英文符号序列,如果没有符合的数字和英文符号序列,则不将“身份证”作为敏感信息处理;如果有符合的数字和英文符号序列,则将“身份证”作为敏感词,并将计算“身份证”对应的敏感度。
将所有匹配得到的敏感词对应的敏感度进行累加,以得到上传文件的敏感度。
其中,作为优选的实施方式,可设置敏感信息列表中的每种敏感文件类型和对应的每个敏感词的权重值,例如,根证书文件的权重值为0.8、名片文件的权重值为0.5、敏感词“重要机密”的权重值为0.9、敏感词“身份证”的权重值为0.7等等。云端服务器可将敏感文件类型和敏感词的权重值存储在敏感信息列表中,并建立敏感文件类型和敏感词以及对应的权重值的映射关系。由此,云端服务器可根据敏感文件类型和敏感词快速查找到对应的权重值。
在上述实施例中,可以采用级别获取组件预先设置敏感度区间,并根据上传文件的敏感度所在的敏感度区间确定敏感度级别。其中,云端服务器可在云端服务器中默认设置敏感度区间,或者用户在云端服务器中根据自己的需求设置敏感度区间。例如,敏感度区间可以包括:
低敏感区间:敏感度在100以下,对应的敏感度级别为低敏感;
高敏感区间:敏感度在101以上,对应的敏感度级别为高敏感。
需要说明的是,敏感度级别不一定只有两个级别,上述设置高低两个级别,只是为了简要说明;例如,敏感度级别可以包括低敏感,可能存在敏感,一般敏感,中敏感,高敏感等,即低敏感对应于全员可查看的文件权限,高敏感对应于对加密文件的上传用户可查看、检索、下载和发送的文件权限。
进一步地,在上述实施例中,索引设置模块具体包括:
提取单元,用于对设置有文件权限的上传文件进行第一关键词提取,将提取得到的所有第一关键词存储到一索引中;
索引加密单元,与提取单元连接,用于对索引进行加密,以得到加密索引;
索引存储单元,与索引加密单元连接,用于将加密索引存储到一索引列表中;
判断单元,与索引存储单元连接,用于获取用户的检索请求,并判断检索请求中的用户信息是否存在对上传文件的检索权限;
若是,用户根据需检索的上传文件的第二关键词进行检索,以检索得到对索引列表中的加密索引,执行解密单元;
若否,可以将提示信息返回给客户端1,其中,提示信息可以为“无检索权限”之类的提示文字、图片、语音;
解密单元,与判断单元连接,用于使得用户根据用户私钥对检索得到的加密索引进行解密,以根据解密后的索引获取得到索引指向的加密文件。
在上述实施例中,当第二关键词与加密索引相匹配时,可以根据用户私钥对检索得到的加密索引进行解密,以根据解密后的索引获取得到索引指向的加密文件;从而简化了检索流程,并且有效地保护了上传文件的个人敏感信息,提高了上传文件的安全性,并且简化了用户操作,提升了用户体验。
在上述实施例中,第一关键词可以是敏感信息列表中的敏感词,也可以是用户自设定的第一关键词;
在上述实施例中,通过对索引进行加密,以保障上传文件的安全性;
进一步地,在上述实施例中,解密单元具体包括:
接收组件,用于接收用户的操作请求;
解密组件,与接收组件连接,用于在操作请求中的用户信息存在对加密文件的对应的用户权限时,将加密文件进行解密,以得到解密文件,使得用户对解密文件进行对应与操作请求的操作。
在上述实施例中,用户下载或查看加密文件的时候,需要通过用户私钥对加密文件进行预解密和解密操作。
进一步地,在上述实施例中,操作请求包括查看请求、发送请求和下载请求。
在上述实施例中,用户信息中的用户权限包括查看权限、检索权限、发送权限和下载权限,并且上传文件的文件权限对应设置有被查看权限、被检索权限、被发送权限和被下载权限;
当上传文件的文件权限设置有被查看权限,并且操作请求为查看请求的用户对应的用户权限中设置有查看该上传文件对应的加密文件的查看权限时,该加密文件可以被该用户查看。
作为优选的实施方式,对不同敏感度的上传文件设置不同的文件权限,例如对低敏感的上传文件可以设置有全员可查看、全员可检索、全员可发送、全员可下载的文件权限,对一般敏感的上传文件可以设置有全员可查看、特定用户可检索、特定用户可发送、特定用户可下载的文件权限,对高敏感的上传文件可以设置有上传文件的上传用户可查看、可检索、可发送、可下载的文件权限。其中,文件权限可以由上传文件的上传用户自设定。
其中,特定用户可以包括管理员和上传文件的上传用户。
进一步地,在上述实施例中,接收模块、敏感度分析模块、加密模块、网关模块、判断模块和索引设置模块设置在不同的服务器中。
进一步地,在上述实施例中,接收模块、敏感度分析模块、加密模块、网关模块、判断模块和索引设置模块均设置对应的唯一应用权限。
在上述实施例中,接收模块、敏感度分析模块、加密模块、网关模块、判断模块和索引设置模块可以采用不同的语言开发,从而提高云端服务器的性能。
在上述实施例中,引入零信任的概念,即对任何事物均建立在不信任的基础之上,因此接收模块、敏感度分析模块、加密模块、网关模块、判断模块和索引设置模块可以通过设置对应的唯一应用权限和应用私钥来对上传文件进行对应应用权限的操作;
例如,接收模块的应用权限是接收上传文件。
还包括一种云平台加密方法,其中,包括以下步骤:
对每个用户均设置唯一的用户信息和用户私钥;
接收用户上传的迁移数据,迁移数据包括用户信息、用户私钥、上传文件和迁移地址;
对迁移数据中的上传文件进行敏感度分析,并根据分析结果对上传文件设置文件权限;
将加密文件上传至对应的迁移地址所在的第三方云平台3;
对设置有文件权限的上传文件提取至少一个第一关键词,将上传文件对应的所有第一关键词设置为加密索引,并将加密索引进行存储,使得用户根据自身的用户信息、用户私钥和第二关键词检索得到对应的加密索引,以获取得到加密索引对应的第三方云平台3上的加密文件,使得用户根据自身的用户信息和用户私钥对加密文件进行操作;
其中,于将加密文件上传至对应的迁移地址所在的第三方云平台3时,根据分析结果依照预设的传输策略判断上传文件是否进行上传;
以及于下载第三方云平台3中存储的加密文件时,根据分析结果依照预设的传输策略判断上传文件是否进行下载。
本发明云平台加密方法的具体实施方式与上述云平台加密***2各实施例基本相同,在此不再赘述。
以上仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。

Claims (9)

1.一种云平台加密***,其特征在于,包括:
接收模块,用于接收客户端上传的迁移数据,所述迁移数据包括用户信息、用户私钥、上传文件和迁移地址;
敏感度分析模块,与所述接收模块连接,对所述迁移数据中的所述上传文件进行敏感度分析,根据分析结果对所述上传文件设置文件权限;
加密模块,与所述敏感度分析模块连接,对设置有所述文件权限的所述上传文件进行加密,以得到加密文件;
网关模块,与所述加密模块连接,用于将所述加密文件上传至对应的迁移地址所在的第三方云平台,还用于从所述第三方云平台中获取已存储的所述加 密文件;
判断模块,分别与所述敏感度分析模块和所述网关发送模块连接,根据所述敏感度分析模块获取的所述分析结果依照预设的传输策略判断所述上传文件是否进行上传或下载;
索引设置模块,分别与所述敏感度分析模块和所述网关发送模块连接,具体包括:
提取单元,用于对设置有所述文件权限的所述上传文件进行第一关键词提取,将提取得到的所有所述第一关键词存储到一索引中;
索引加密单元,与所述提取单元连接,用于对所述索引进行加密,以得到加密索引;
索引存储单元,与所述索引加密单元连接,用于将所述加密索引存储到一索引列表中;
判断单元,与所述索引存储单元连接,用于获取用户的检索请求,并判断所述检索请求中的用户信息是否存在对所述上传文件的检索权限;
若是用户根据需检索的所述上传文件的第二关键词进行检索,所述第二关键词为敏感词或用户自设定的第二关键词,以检索得到所述索引列表中的所述加密索引,执行解密单元;
所述解密单元,与所述判断单元连接,用于使得用户根据所述用户私钥对 检索得到的所述加密索引进行解密,以根据解密后的索引获取得到所述索引指 向的所述加密文件。
2.如权利要求 1 所述的云平台加密***,其特征在于,
所述接收模块包括:第一接口,与每个外接的客户端采用第一局域网络进行通讯连接;
和所述网关模块包括:
第二接口,与所述第三方云平台采用第二局域网络进行通讯连接;
转换模块,将所述第一局域网络接收的所述迁移数据发送至所述第二接口。
3.如权利要求 1 所述的云平台加密***,其特征在于,所述敏感度分析模块具体包括:
分析单元,用于对所述上传文件进行敏感度分析,以得到所述上传文件对应的敏感度级别;
权限设置单元,与所述分析单元连接,用于根据所述上传文件对应的所述敏感度级别设置对应于所述敏感度级别的文件权限。
4.如权利要求 3 所述的云平台加密***,其特征在于,所述分析单元具体包括:
匹配组件,用于将所述上传文件和敏感信息列表进行匹配,并根据匹配结果计算所述上传文件的敏感度;
级别获取组件,与所述匹配组件连接,用于获取所述敏感度对应的所述敏感度级别。
5.如权利要求 1 所述的云平台加密***,其特征在于,所述解密单元具体 包括:
接收组件,用于接收用户的操作请求;
解密组件,与所述接收组件连接,用于在所述操作请求中的用户信息存在
对所述加密文件的对应的用户权限时,将所述加密文件进行解密,以得到解密 文件,使得用户对所述解密文件进行对应于所述操作请求的操作。
6.如权利要求 5 所述的云平台加密***,其特征在于,所述操作请求包括 查看请求、发送请求和下载请求。
7.如权利要求 1 所述的云平台加密***,其特征在于,所述接收模块、所 述敏感度分析模块、所述加密模块、所述网关模块、所述判断模块和所述索引 设置模块设置在不同的服务器中。
8.如权利要求 1 所述的云平台加密***,其特征在于,所述接收模块、所 述敏感度分析模块、所述加密模块、所述网关模块、所述判断模块和所述索引 设置模块均设置对应的唯一应用权限。
9.一种云平台加密方法,其特征在于,包括以下步骤:
对每个用户均设置唯一的用户信息和用户私钥;
接收用户上传的迁移数据,所述迁移数据包括用户信息、用户私钥、上传文件和迁移地址;
对所述迁移数据中的所述上传文件进行敏感度分析,并根据分析结果对所述上传文件设置文件权限;
将加密文件上传至对应的迁移地址所在的第三方云平台,所述加密文件是对设置有所述文件权限的所述上传文件进行加密得到的;
对设置有所述文件权限的所述上传文件提取至少一个第一关键词,将所述上传文件对应的所有所述第一关键词设置为加密索引,并将所述加密索引进行存储,使得用户根据自身的所述用户信息、所述用户私钥和第二关键词检索得到对应的所述加密索引,所述第二关键词为敏感词或用户自设定的第二关键词,以获取得到所述加密索引对应的所述第三方云平台上的所述加密文件,使得用户根据自身的所述用户信息和用户私钥对所述加密文件进行操作;
其中,于将所述加密文件上传至对应的迁移地址所在的所述第三方云平台 时,根据所述分析结果依照预设的传输策略判断所述上传文件是否进行上传;
以及于下载所述第三方云平台中存储的所述加密文件时,根据所述分析结 果依照预设的传输策略判断所述上传文件是否进行下载。
CN202110246241.4A 2021-03-05 2021-03-05 一种云平台加密***及方法 Active CN112887427B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110246241.4A CN112887427B (zh) 2021-03-05 2021-03-05 一种云平台加密***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110246241.4A CN112887427B (zh) 2021-03-05 2021-03-05 一种云平台加密***及方法

Publications (2)

Publication Number Publication Date
CN112887427A CN112887427A (zh) 2021-06-01
CN112887427B true CN112887427B (zh) 2023-04-07

Family

ID=76055581

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110246241.4A Active CN112887427B (zh) 2021-03-05 2021-03-05 一种云平台加密***及方法

Country Status (1)

Country Link
CN (1) CN112887427B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113342753B (zh) * 2021-06-25 2023-04-14 长江存储科技有限责任公司 文件安全管理方法、装置、设备及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302449A (zh) * 2016-08-15 2017-01-04 中国科学院信息工程研究所 一种密文存储与密文检索开放云服务方法和***
CN111245832A (zh) * 2020-01-13 2020-06-05 深圳云塔信息技术有限公司 用于与云存储平台对接的加密***及方法
CN111835723A (zh) * 2020-06-09 2020-10-27 武汉枫丹博晨信息科技有限公司 一种基于云平台的业务数据加密传输***及方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368901A (zh) * 2012-03-27 2013-10-23 复旦大学 基于大规模离散数据的云计算***
CN104156365B (zh) * 2013-05-14 2018-05-11 ***通信集团湖南有限公司 一种文件的监控方法、装置及***
CN106330869A (zh) * 2016-08-15 2017-01-11 江苏敏捷科技股份有限公司 一种基于云应用的数据安全保护***和方法
CN106357601A (zh) * 2016-08-15 2017-01-25 北京奇虎科技有限公司 数据访问方法、装置及***
WO2018188074A1 (en) * 2017-04-14 2018-10-18 Nokia Technologies Oy Secure encrypted data deduplication with efficient ownership proof and user revocation
CN108494768B (zh) * 2018-03-22 2021-07-23 深圳大学 一种支持访问控制的密文搜索方法及***
CN109495254A (zh) * 2018-12-05 2019-03-19 广东工业大学 一种可搜索对称加密方法、装置及设备
CN111787025B (zh) * 2020-07-23 2022-02-22 迈普通信技术股份有限公司 加解密处理方法、装置、***以及数据保护网关

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302449A (zh) * 2016-08-15 2017-01-04 中国科学院信息工程研究所 一种密文存储与密文检索开放云服务方法和***
CN111245832A (zh) * 2020-01-13 2020-06-05 深圳云塔信息技术有限公司 用于与云存储平台对接的加密***及方法
CN111835723A (zh) * 2020-06-09 2020-10-27 武汉枫丹博晨信息科技有限公司 一种基于云平台的业务数据加密传输***及方法

Also Published As

Publication number Publication date
CN112887427A (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
CA2709944C (en) System and method for securing data
US20150244684A1 (en) Data security management system
US11626976B2 (en) Information processing system, information processing device, information processing method and information processing program
US20140331338A1 (en) Device and method for preventing confidential data leaks
CN104579689A (zh) 一种软密钥***及实现方法
CN113259382B (zh) 数据传输方法、装置、设备及存储介质
CN105871892A (zh) 文件的云存储安全解决方法及***
CN115694932A (zh) 一种基于区块链技术实现社区敏感数据保护的方法及设备
CN106685995B (zh) 一种基于硬件加密的泄漏账号数据查询***
CN112887427B (zh) 一种云平台加密***及方法
CN113037743B (zh) 一种云端服务器文件的加密方法及***
CN111046405A (zh) 一种数据处理方法、装置、设备及存储介质
Prasadreddy et al. A threat free architecture for privacy assurance in cloud computing
EP4141721A1 (en) System and method for secure collection and display of sensitive data
CN107222453A (zh) 一种文件传输方法及装置
JP5972471B2 (ja) データ処理装置及びデータ処理方法及びプログラム
CN112769565B (zh) 密码加密算法的升级方法、装置、计算设备和介质
CN113658709A (zh) 用于医疗数据信息查询的方法、装置、计算机设备及存储介质
Mbae et al. Secure Cloud Based Approach for Mobile Devices User Data
Patil et al. Pen-drive based password management system for online accounts
Melnyk et al. Protection of Biometric Data Transmission and Storage in the Human State Remote Monitoring Tools
CN112182628B (zh) 一种隐私信息安全访问方法及装置
CN113486380B (zh) 文本文件的加密方法
CN106506148A (zh) 一种基于手机指纹的数据存储方法
Yang et al. Secure Data Access Method based on electronic identity for Mobile Internet

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230308

Address after: 313300 room 522, floor 5, building 7, west side of Phoenix, No. 8, Anji Avenue, Changshuo street, Anji County, Huzhou City, Zhejiang Province

Applicant after: Huzhou Yirui Xin'an Technology Co.,Ltd.

Address before: Room 1501, building 1, North District, United Center, 501 Minhe Road, ningwei street, Xiaoshan District, Hangzhou City, Zhejiang Province, 311200

Applicant before: HANGZHOU ETARAY TECHNOLOGIES CO.,LTD.

GR01 Patent grant
GR01 Patent grant