本發(fā)明屬于計(jì)算機(jī)信息安全技術(shù)領(lǐng)域,尤其涉及一種數(shù)據(jù)安全保護(hù)系統(tǒng)和方法。
背景技術(shù):
目前絕大部分主流云存儲(chǔ)服務(wù)提供商都不支持對(duì)云端數(shù)據(jù)進(jìn)行加密保護(hù),在安全事故頻發(fā)的當(dāng)前背景下,雖然云存儲(chǔ)技術(shù)已經(jīng)比較成熟,但企業(yè)和組織等并不敢真正將應(yīng)用數(shù)據(jù)部署在云端,顯然極大地阻礙了云計(jì)算的發(fā)展與應(yīng)用。國(guó)內(nèi)市場(chǎng)有廠商推出針對(duì)企業(yè)內(nèi)網(wǎng)的解決方案,但一般部署復(fù)雜,兼容性差,加解密速度慢,同時(shí)也并沒有實(shí)現(xiàn)第三方云應(yīng)用數(shù)據(jù)安全的保護(hù),因此,并沒有得到廣泛的認(rèn)可。
技術(shù)實(shí)現(xiàn)要素:
針對(duì)上述問(wèn)題,本發(fā)明旨在提供一種基于云應(yīng)用的數(shù)據(jù)安全保護(hù)系統(tǒng)和方法,解決了現(xiàn)有云應(yīng)用數(shù)據(jù)所面臨的安全和速度問(wèn)題。
本發(fā)明提供的技術(shù)方案如下:
一種基于云應(yīng)用的數(shù)據(jù)安全保護(hù)系統(tǒng),包括:用戶終端、云安全衛(wèi)士網(wǎng)關(guān)以及云應(yīng)用平臺(tái),其中,所述用戶終端與所述云安全衛(wèi)士網(wǎng)關(guān)通信連接,所述云安全衛(wèi)士網(wǎng)關(guān)與所述云應(yīng)用平臺(tái)通信連接;
所述用戶終端獲取寫入數(shù)據(jù)并將其發(fā)送至所述云安全衛(wèi)士網(wǎng)關(guān),所述云安全衛(wèi)士網(wǎng)關(guān)接收到所述寫入數(shù)據(jù)之后對(duì)其進(jìn)行加密并將生成的加密數(shù)據(jù)發(fā)送至所述云應(yīng)用平臺(tái);
所述用戶終端獲取數(shù)據(jù)讀取請(qǐng)求并將其發(fā)送至所述云安全衛(wèi)士網(wǎng)關(guān),所述云安全衛(wèi)士網(wǎng)關(guān)接收到所述數(shù)據(jù)讀取請(qǐng)求之后將其轉(zhuǎn)發(fā)至云應(yīng)用平臺(tái),所述云應(yīng)用平臺(tái)基于所述數(shù)據(jù)讀取請(qǐng)求返回加密數(shù)據(jù),所述云安全衛(wèi)士網(wǎng)關(guān)對(duì)其進(jìn)行解密并將生成的明文數(shù)據(jù)發(fā)送至用戶終端。
進(jìn)一步優(yōu)選地,所述云安全衛(wèi)士網(wǎng)關(guān)中包括:第一通信模塊、加解密模塊以及密鑰管理模塊,其中,
所述第一通信模塊,用于實(shí)現(xiàn)所述云安全衛(wèi)士網(wǎng)關(guān)與用戶終端及所述云應(yīng)用平臺(tái)與所述云應(yīng)用平臺(tái)之間的通信;所述密鑰管理模塊用于管理所述加解密模塊中加解密所需的密鑰;
所述加解密模塊,與所述密鑰管理模塊和第一通信模塊連接,所述加解密模塊使用所述密鑰管理模塊中存儲(chǔ)的密鑰,對(duì)所述第一通信模塊從應(yīng)用終端中獲取的寫入數(shù)據(jù)進(jìn)行加密生成加密數(shù)據(jù)、及對(duì)所述第一通信模塊從云應(yīng)用平臺(tái)中獲取的加密數(shù)據(jù)進(jìn)行解密生成明文數(shù)據(jù);所述第一通信模塊將加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)、將解密得到的明文數(shù)據(jù)發(fā)送至用戶終端。
進(jìn)一步優(yōu)選地,所述云安全衛(wèi)士網(wǎng)關(guān)中還包括:智能協(xié)議監(jiān)聽模塊、智能協(xié)議解析模塊、智能協(xié)議組包模塊以及系統(tǒng)配置模塊,其中,
所述智能協(xié)議監(jiān)聽模塊,與所述第一通信模塊連接,所述智能協(xié)議監(jiān)聽模塊用于監(jiān)聽所述第一通信模塊從所述用戶終端中接收的寫入數(shù)據(jù)及從云應(yīng)用平臺(tái)中接收的加密數(shù)據(jù)中是否包含超文本傳輸協(xié)議(HTTP,Hyper Text Transfer Protocol)數(shù)據(jù)包;
所述智能協(xié)議解析模塊,分別與所述智能協(xié)議監(jiān)聽模塊和系統(tǒng)配置模塊連接,所述智能協(xié)議解析模塊根據(jù)所述系統(tǒng)配置模塊中的預(yù)設(shè)規(guī)則對(duì)所述智能協(xié)議監(jiān)聽模塊過(guò)濾出的超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,獲取其中的應(yīng)用數(shù)據(jù);
所述加解密模塊,分別與所述智能協(xié)議解析模塊和密鑰管理模塊連接,所述加解密模塊使用所述密鑰管理模塊中存儲(chǔ)的密鑰,對(duì)所述智能協(xié)議解析模塊中獲取的應(yīng)用數(shù)據(jù)進(jìn)行加密或解密;
所述智能協(xié)議組包模塊,與所述加解密模塊和第一通信模塊連接,所述智能協(xié)議組包模塊用于:對(duì)所述加解密模塊對(duì)加密后的應(yīng)用數(shù)據(jù)和所述寫入數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成加密數(shù)據(jù);對(duì)所述加解密模塊解密后的應(yīng)用數(shù)據(jù)和所述加密數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成明文數(shù)據(jù);
所述第一通信模塊將加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)、將解密得到的明文數(shù)據(jù)發(fā)送至用戶終端。
進(jìn)一步優(yōu)選地,所述云安全衛(wèi)士網(wǎng)關(guān)中包括一身份認(rèn)證模塊,用于完成所述用戶終端和所述云安全衛(wèi)士網(wǎng)關(guān)之間的雙向身份認(rèn)證。
進(jìn)一步優(yōu)選地,云應(yīng)用平臺(tái)中包括第二通信模塊、存儲(chǔ)模塊以及查找模塊,其中,
所述第二通信模塊,用于實(shí)現(xiàn)所述云應(yīng)用平臺(tái)與所述云安全衛(wèi)士網(wǎng)關(guān)之間的通信;
所述存儲(chǔ)模塊,與所述第二通信模塊連接,所述存儲(chǔ)模塊用于存儲(chǔ)所述第二通信模塊從云安全衛(wèi)士網(wǎng)關(guān)接收的加密數(shù)據(jù);
所述查找模塊,分別與所述第二通信模塊和存儲(chǔ)模塊連接,基于所述用戶終端發(fā)送的數(shù)據(jù)讀取請(qǐng)求在所述存儲(chǔ)模塊中查找與之匹配的加密數(shù)據(jù),并通過(guò)第二通信模塊將查找到的加密數(shù)據(jù)發(fā)送至所述云安全衛(wèi)士網(wǎng)關(guān)。
本發(fā)明還提供了一種基于云應(yīng)用的數(shù)據(jù)安全保護(hù)方法,所述數(shù)據(jù)安全保護(hù)方法應(yīng)用于上述數(shù)據(jù)安全保護(hù)系統(tǒng),所述數(shù)據(jù)安全保護(hù)方法包括以下步驟:
S1用戶終端獲取寫入數(shù)據(jù)并將其發(fā)送至所述云安全衛(wèi)士網(wǎng)關(guān);
S2所述云安全衛(wèi)士網(wǎng)關(guān)對(duì)接收到的寫入數(shù)據(jù)進(jìn)行加密并將生成的加密數(shù)據(jù)發(fā)送至所述云應(yīng)用平臺(tái);
S3所述云應(yīng)用平臺(tái)接收所述加密數(shù)據(jù)進(jìn)行存儲(chǔ);
S4所述用戶終端獲取數(shù)據(jù)讀取請(qǐng)求并將其發(fā)送至所述云安全衛(wèi)士網(wǎng)關(guān);
S5所述云安全衛(wèi)士網(wǎng)關(guān)將接收到的數(shù)據(jù)讀取請(qǐng)求轉(zhuǎn)發(fā)至云應(yīng)用平臺(tái);
S6所述云應(yīng)用平臺(tái)基于所述數(shù)據(jù)讀取請(qǐng)求返回加密數(shù)據(jù)至所述云安全衛(wèi)士網(wǎng)關(guān);
S7所述云安全衛(wèi)士網(wǎng)關(guān)對(duì)其進(jìn)行解密并將生成的明文數(shù)據(jù)發(fā)送至用戶終端。
進(jìn)一步優(yōu)選地,在步驟S2中具體包括:
S21所述云安全衛(wèi)士網(wǎng)關(guān)監(jiān)聽所述寫入數(shù)據(jù)中是否包含超文本傳輸協(xié)議數(shù)據(jù)包;
S22若包含,則所述云安全衛(wèi)士網(wǎng)關(guān)從所述寫入數(shù)據(jù)中過(guò)濾出相應(yīng)超文本傳輸協(xié)議數(shù)據(jù)包;
S23所述云安全衛(wèi)士網(wǎng)關(guān)根據(jù)預(yù)設(shè)規(guī)則對(duì)所述超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,獲取其中的應(yīng)用數(shù)據(jù);
S24所述云安全衛(wèi)士網(wǎng)關(guān)對(duì)獲取的應(yīng)用數(shù)據(jù)進(jìn)行加密;
S25所述云安全衛(wèi)士網(wǎng)關(guān)對(duì)加密后的應(yīng)用數(shù)據(jù)和所述寫入數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成加密數(shù)據(jù);
S26所述云安全衛(wèi)士網(wǎng)關(guān)將生成的加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)。
進(jìn)一步優(yōu)選地,在步驟S6中具體包括:
S61所述云應(yīng)用平臺(tái)接收所述數(shù)據(jù)讀取請(qǐng)求;
S62所述云應(yīng)用平臺(tái)基于數(shù)據(jù)讀取請(qǐng)求查找到與之匹配的加密數(shù)據(jù);
S63所述云應(yīng)用平臺(tái)將查找到的加密數(shù)據(jù)發(fā)送至所述云安全衛(wèi)士網(wǎng)關(guān)。
進(jìn)一步優(yōu)選地,在步驟S7中具體包括:
S71所述云安全衛(wèi)士網(wǎng)關(guān)監(jiān)聽所述加密數(shù)據(jù)中是否包含超文本傳輸協(xié)議數(shù)據(jù)包;
S72若包含,則所述云安全衛(wèi)士網(wǎng)關(guān)從所述加密數(shù)據(jù)中過(guò)濾出相應(yīng)超文本傳輸協(xié)議數(shù)據(jù)包;
S73所述云安全衛(wèi)士網(wǎng)關(guān)根據(jù)預(yù)設(shè)規(guī)則對(duì)所述超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,獲取其中加密的應(yīng)用數(shù)據(jù);
S74所述云安全衛(wèi)士網(wǎng)關(guān)對(duì)獲取加密的應(yīng)用數(shù)據(jù)進(jìn)行解密;
S75所述云安全衛(wèi)士網(wǎng)關(guān)對(duì)解密后的應(yīng)用數(shù)據(jù)和所述加密數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成明文數(shù)據(jù);
S76所述云安全衛(wèi)士網(wǎng)關(guān)將生成的解密數(shù)據(jù)發(fā)送至用戶終端。
進(jìn)一步優(yōu)選地,在步驟S1之前還包括:
S01所述云安全衛(wèi)士網(wǎng)關(guān)接收所述用戶終端發(fā)送的身份認(rèn)證請(qǐng)求;
S02所述云安全衛(wèi)士網(wǎng)關(guān)基于所述身份認(rèn)證請(qǐng)求實(shí)現(xiàn)對(duì)所述用戶終端的身份認(rèn)證;
S03所述云安全衛(wèi)士網(wǎng)關(guān)反饋身份認(rèn)證成功消息至用戶終端;
S04所述用戶終端基于所述身份認(rèn)證成功消息實(shí)現(xiàn)對(duì)所述云安全衛(wèi)士網(wǎng)關(guān)的身份認(rèn)證。
本發(fā)明提供的基于云應(yīng)用的數(shù)據(jù)安全保護(hù)系統(tǒng)和方法,其有益效果在于:
在本發(fā)明中,通過(guò)云安全衛(wèi)士網(wǎng)關(guān)對(duì)寫入數(shù)據(jù)中包含的超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,進(jìn)而對(duì)其中包含的應(yīng)用數(shù)據(jù)(敏感數(shù)據(jù))進(jìn)行加密,并對(duì)加密后的應(yīng)用數(shù)據(jù)和寫入數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組,保證數(shù)據(jù)能正常傳輸?shù)皆茟?yīng)用平臺(tái)并存儲(chǔ)。相對(duì)應(yīng)地,當(dāng)需要讀取云應(yīng)用平臺(tái)中存儲(chǔ)的加密數(shù)據(jù),首先云應(yīng)用平臺(tái)將相應(yīng)加密數(shù)據(jù)反饋回云安全衛(wèi)士網(wǎng)關(guān),之后云安全衛(wèi)士網(wǎng)關(guān)將加密數(shù)據(jù)進(jìn)行解密并重組成明文數(shù)據(jù)發(fā)送至用戶終端。在這一過(guò)程中,有效保證了應(yīng)用數(shù)據(jù)(敏感數(shù)據(jù))在網(wǎng)絡(luò)中傳輸及存儲(chǔ)在云端的安全。另外,在本發(fā)明中,采用高速硬件加密卡對(duì)應(yīng)用數(shù)據(jù)進(jìn)行加解密,保證了加解密的速度,使加解密操作不會(huì)成為影響網(wǎng)絡(luò)傳輸效率的瓶頸。
附圖說(shuō)明
圖1為本發(fā)明中基于云應(yīng)用的數(shù)據(jù)安全保護(hù)系統(tǒng)結(jié)構(gòu)示意圖;
圖2為本發(fā)明中云安全衛(wèi)士網(wǎng)關(guān)第一種實(shí)施方式結(jié)構(gòu)示意圖;
圖3為本發(fā)明中云安全衛(wèi)士網(wǎng)關(guān)第二種實(shí)施方式結(jié)構(gòu)示意圖;
圖4為本發(fā)明中云安全衛(wèi)士網(wǎng)關(guān)第三種實(shí)施方式結(jié)構(gòu)示意圖;
圖5為本發(fā)明中基于云應(yīng)用的數(shù)據(jù)安全保護(hù)方法流程示意圖。
附圖標(biāo)記:
100-數(shù)據(jù)安全保護(hù)系統(tǒng),110-用戶終端,120-云安全衛(wèi)士網(wǎng)關(guān),130-云應(yīng)用平臺(tái),121-第一通信模塊,122-加解密模塊,123-密鑰管理模塊,124-智能協(xié)議監(jiān)聽模塊,125-智能協(xié)議解析模塊,126-智能協(xié)議組包模塊,127-系統(tǒng)配置模塊,128-身份認(rèn)證模塊。
具體實(shí)施方式
下面結(jié)合附圖和具體實(shí)施方式,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。需要說(shuō)明的是,下面描述的本發(fā)明的特定細(xì)節(jié)僅為說(shuō)明本發(fā)明用,并不構(gòu)成對(duì)本發(fā)明的限制。根據(jù)所描述的本發(fā)明的教導(dǎo)作出的任何修改和變型也在本發(fā)明的范圍內(nèi)。
如圖1所示為本發(fā)明提供的基于云應(yīng)用的數(shù)據(jù)安全保護(hù)系統(tǒng)100結(jié)構(gòu)示意圖,從圖中可以看出,在該數(shù)據(jù)安全保護(hù)系統(tǒng)100中包括:用戶終端110、云安全衛(wèi)士網(wǎng)關(guān)120以及云應(yīng)用平臺(tái)130,其中,用戶終端110與云安全衛(wèi)士網(wǎng)關(guān)120通信連接,云安全衛(wèi)士網(wǎng)關(guān)120與云應(yīng)用平臺(tái)130通信連接。該數(shù)據(jù)安全保護(hù)系統(tǒng)在工作過(guò)程中,主要分為兩大塊,分別為:寫入過(guò)程中對(duì)寫入數(shù)據(jù)的加密過(guò)程和讀取過(guò)程中對(duì)加密數(shù)據(jù)的解密過(guò)程。具體,在加密過(guò)程中,用戶終端110獲取用戶輸入的寫入數(shù)據(jù)并將其發(fā)送至云安全衛(wèi)士網(wǎng)關(guān)120,則云安全衛(wèi)士網(wǎng)關(guān)120接收到寫入數(shù)據(jù)之后隨即對(duì)其進(jìn)行加密并將生成的加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)130。在解密過(guò)程中,用戶終端110獲取用戶輸入的數(shù)據(jù)讀取請(qǐng)求并將其發(fā)送至云安全衛(wèi)士網(wǎng)關(guān)120,云安全衛(wèi)士網(wǎng)關(guān)120接收到數(shù)據(jù)讀取請(qǐng)求之后將其轉(zhuǎn)發(fā)至云應(yīng)用平臺(tái)130,云應(yīng)用平臺(tái)130基于數(shù)據(jù)讀取請(qǐng)求返回相應(yīng)的加密數(shù)據(jù),之后云安全衛(wèi)士網(wǎng)關(guān)對(duì)接收到的加密數(shù)據(jù)進(jìn)行解密并將生成的明文數(shù)據(jù)發(fā)送至用戶終端110。在具體實(shí)施例中,上述用戶終端110可以為個(gè)人電腦、平板電腦、智能手機(jī)等,且寫入數(shù)據(jù)的用戶終端和請(qǐng)求數(shù)據(jù)讀取的用戶終端可以為同一用戶終端,也可以為不同的用戶終端。
在本實(shí)施方式中,如圖2所示,云安全衛(wèi)士網(wǎng)關(guān)120中包括:第一通信模塊121、加解密模塊122以及密鑰管理模塊123,其中,加解密模塊122分別與第一通信模塊121和密鑰管理模塊123連接。第一通信模塊121用于實(shí)現(xiàn)云安全衛(wèi)士網(wǎng)關(guān)120與用戶終端110及云應(yīng)用平臺(tái)與云應(yīng)用平臺(tái)130之間的通信;密鑰管理模塊123用于管理加解密模塊122中加解密所需的密鑰。在加密過(guò)程中,加解密模塊122使用密鑰管理模塊123中存儲(chǔ)的密鑰對(duì)第一通信模塊121從應(yīng)用終端中獲取的寫入數(shù)據(jù)進(jìn)行加密生成加密數(shù)據(jù),并通過(guò)第一通信模塊121將加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)130。在解密過(guò)程中,加解密模塊122對(duì)第一通信模塊121從云應(yīng)用平臺(tái)130中獲取的加密數(shù)據(jù)進(jìn)行解密生成明文數(shù)據(jù),并通過(guò)第一通信模塊121將解密得到的明文數(shù)據(jù)發(fā)送至用戶終端110。在具體實(shí)施例中,上述加解密模塊122為高速硬件加密卡,以此保證了加解密的速度,這樣,在這個(gè)過(guò)程中加解密操作不會(huì)影響網(wǎng)絡(luò)傳輸效率。
在本實(shí)施方式中,如圖3所示,云安全衛(wèi)士網(wǎng)關(guān)120中除了包括上述第一通信模塊121、加解密模塊122以及密鑰管理模塊123,還包括:智能協(xié)議監(jiān)聽模塊124、智能協(xié)議解析模塊125、智能協(xié)議組包模塊126以及系統(tǒng)配置模塊127,其中,智能協(xié)議監(jiān)聽模塊124與第一通信模塊121連接,智能協(xié)議解析模塊125分別與智能協(xié)議監(jiān)聽模塊124和系統(tǒng)配置模塊127連接,加解密模塊122分別與智能協(xié)議解析模塊125和密鑰管理模塊123連接,智能協(xié)議組包模塊126分別與加解密模塊122和第一通信模塊121連接。在加密的過(guò)程中,第一通信模塊從用戶終端中獲取寫入數(shù)據(jù)之后,智能協(xié)議監(jiān)聽模塊124隨即監(jiān)聽該寫入數(shù)據(jù)中是否包含超文本傳輸協(xié)議數(shù)據(jù)包;若監(jiān)聽到包括超文本傳輸協(xié)議數(shù)據(jù)包,則智能協(xié)議解析模塊125根據(jù)系統(tǒng)配置模塊127中的預(yù)設(shè)規(guī)則對(duì)智能協(xié)議監(jiān)聽模塊124過(guò)濾出的超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,獲取其中的應(yīng)用數(shù)據(jù)(敏感數(shù)據(jù));接著,加解密模塊122對(duì)該應(yīng)用數(shù)據(jù)進(jìn)行加密;之后,智能協(xié)議組包模塊126對(duì)加密后的應(yīng)用數(shù)據(jù)和寫入數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成加密數(shù)據(jù),并通過(guò)第一通信模塊將加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)中進(jìn)行存儲(chǔ)。相對(duì)應(yīng)地,在解密過(guò)程中,第一通信模塊從用戶終端中獲取數(shù)據(jù)讀取請(qǐng)求,并將其轉(zhuǎn)發(fā)至云應(yīng)用平臺(tái);云應(yīng)用平臺(tái)基于接收到的數(shù)據(jù)讀取請(qǐng)求反饋相應(yīng)的加密數(shù)據(jù)至云安全衛(wèi)士網(wǎng)管120;云安全衛(wèi)士網(wǎng)管120接收到該加密數(shù)據(jù)之后,智能協(xié)議監(jiān)聽模塊隨即監(jiān)聽該加密數(shù)據(jù)中是否包含超文本傳輸協(xié)議數(shù)據(jù)包,若監(jiān)聽到包括,則智能協(xié)議解析模塊125根據(jù)系統(tǒng)配置模塊127中的預(yù)設(shè)規(guī)則對(duì)智能協(xié)議監(jiān)聽模塊124過(guò)濾出的超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,同樣地,獲取其中的應(yīng)用數(shù)據(jù);之后,加解密模塊使用密鑰管理模塊123中存儲(chǔ)的密鑰、對(duì)獲取的應(yīng)用數(shù)據(jù)進(jìn)行解密;接著,智能協(xié)議組包模塊對(duì)解密后的應(yīng)用數(shù)據(jù)和加密數(shù)據(jù)中非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成明文數(shù)據(jù)并通過(guò)第一通信模塊將其反饋回用戶終端110。
在本實(shí)施方式中,如圖4所示,云安全衛(wèi)士網(wǎng)關(guān)120中還包括一身份認(rèn)證模塊128,用于完成用戶終端110和云安全衛(wèi)士網(wǎng)關(guān)120之間的雙向身份認(rèn)證。具體來(lái)說(shuō),在身份認(rèn)證過(guò)程中,首先,用戶終端110獲取用戶輸入的身份認(rèn)證請(qǐng)求并將其發(fā)送至云安全衛(wèi)士網(wǎng)關(guān)120;云安全衛(wèi)士網(wǎng)關(guān)120接收到該身份認(rèn)證請(qǐng)求,根據(jù)該用戶終端在云安全衛(wèi)士網(wǎng)管中預(yù)存的注冊(cè)信息對(duì)其進(jìn)行身份認(rèn)證。在完成了身份認(rèn)證之后,云安全衛(wèi)士網(wǎng)關(guān)120隨即反饋身份認(rèn)證成功消息至用戶終端110;用戶終端接收到該身份認(rèn)證成功消息,基于其中包含的標(biāo)識(shí)信息實(shí)現(xiàn)對(duì)云安全衛(wèi)士網(wǎng)關(guān)120的身份認(rèn)證,以此完成用戶終端和云安全衛(wèi)士網(wǎng)關(guān)之間的雙向身份認(rèn)證,之后用戶終端和云安全衛(wèi)士網(wǎng)關(guān)之間即能進(jìn)行會(huì)話,且只有通過(guò)了雙向身份認(rèn)證的用戶終端才能訪問(wèn)云安全衛(wèi)士網(wǎng)關(guān),沒有通過(guò)雙向身份認(rèn)證的用戶終端不能訪問(wèn)云安全衛(wèi)士網(wǎng)關(guān)。
在本實(shí)施方式中,云應(yīng)用平臺(tái)130中包括第二通信模塊、存儲(chǔ)模塊以及查找模塊,其中,存儲(chǔ)模塊與第二通信模塊連接,查找模塊分別與第二通信模塊和存儲(chǔ)模塊連接。在工作過(guò)程中,存儲(chǔ)模塊用于存儲(chǔ)第二通信模塊從云安全衛(wèi)士網(wǎng)關(guān)120接收的加密數(shù)據(jù);查找模塊基于用戶終端110發(fā)送的數(shù)據(jù)讀取請(qǐng)求在存儲(chǔ)模塊中查找與之匹配的加密數(shù)據(jù),并通過(guò)第二通信模塊將查找到的加密數(shù)據(jù)發(fā)送至云安全衛(wèi)士網(wǎng)關(guān)120。
以下我們對(duì)上述數(shù)據(jù)安全保護(hù)系統(tǒng)的在一個(gè)具體實(shí)施例中完整的工作流程做出詳細(xì)描述:
首先,用戶終端通過(guò)認(rèn)證程序與云安全衛(wèi)士網(wǎng)關(guān)中的身份認(rèn)證模塊進(jìn)行雙向認(rèn)證。在雙向認(rèn)證通過(guò)之后,用戶終端通過(guò)瀏覽器等web方式連接云安全衛(wèi)士網(wǎng)關(guān)并訪問(wèn)到云應(yīng)用平臺(tái)中的應(yīng)用。
云安全衛(wèi)士網(wǎng)關(guān)中的智能協(xié)議監(jiān)聽模塊截獲所有通過(guò)其的網(wǎng)絡(luò)數(shù)據(jù)包(寫入數(shù)據(jù)),并過(guò)濾出其中的超文本傳輸協(xié)議數(shù)據(jù)包,其他協(xié)議數(shù)據(jù)包(非超文本傳輸協(xié)議數(shù)據(jù)包)將不做任何處理,直接放行;將超文本傳輸協(xié)議數(shù)據(jù)包發(fā)送至智能協(xié)議解析模塊進(jìn)行解析,提取其中的應(yīng)用數(shù)據(jù);并根據(jù)系統(tǒng)配置模塊設(shè)定的預(yù)設(shè)規(guī)則,對(duì)提取出的應(yīng)用數(shù)據(jù)中的字段進(jìn)行二次分離;之后通過(guò)高速硬件加密卡對(duì)其進(jìn)行加密,得到的加密數(shù)據(jù)轉(zhuǎn)交給智能協(xié)議組包模塊對(duì)超文本傳輸數(shù)據(jù)數(shù)據(jù)包進(jìn)行重組,最后發(fā)送到云應(yīng)用平臺(tái),完成寫操作。
授權(quán)后的用戶終端經(jīng)由云安全衛(wèi)士網(wǎng)關(guān)向云應(yīng)用平臺(tái)發(fā)送數(shù)據(jù)讀取請(qǐng)求;云應(yīng)用平臺(tái)返回加密數(shù)據(jù)給云安全衛(wèi)士網(wǎng)關(guān),云安全衛(wèi)士網(wǎng)關(guān)通過(guò)智能協(xié)議監(jiān)聽模塊過(guò)濾出超文本傳輸協(xié)議數(shù)據(jù)包;接著,云安全衛(wèi)士網(wǎng)關(guān)的智能協(xié)議解析模塊對(duì)過(guò)濾出的超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,獲取其中加密的應(yīng)用數(shù)據(jù);之后,對(duì)提取的加密應(yīng)用數(shù)據(jù)通過(guò)高速硬件加密卡解密,將明文數(shù)據(jù)發(fā)送到智能協(xié)議組包模塊;最后,云安全衛(wèi)士網(wǎng)關(guān)的智能協(xié)議組包模塊重組明文數(shù)據(jù)包,返回明文數(shù)據(jù)給授權(quán)后用戶終端,完成讀操作。
如圖5所示位本發(fā)明還提供的基于云應(yīng)用的數(shù)據(jù)安全保護(hù)方法一種實(shí)施方式流程示意圖,該數(shù)據(jù)安全保護(hù)方法應(yīng)用于上述數(shù)據(jù)安全保護(hù)系統(tǒng)100,從圖中可以看出,該數(shù)據(jù)安全保護(hù)方法包括以下步驟:S1用戶終端110獲取寫入數(shù)據(jù)并將其發(fā)送至云安全衛(wèi)士網(wǎng)關(guān)120;S2云安全衛(wèi)士網(wǎng)關(guān)120對(duì)接收到的寫入數(shù)據(jù)進(jìn)行加密并將生成的加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)130;S3云應(yīng)用平臺(tái)130接收加密數(shù)據(jù)進(jìn)行存儲(chǔ);S4用戶終端110獲取數(shù)據(jù)讀取請(qǐng)求并將其發(fā)送至云安全衛(wèi)士網(wǎng)關(guān)120;S5云安全衛(wèi)士網(wǎng)關(guān)120將接收到的數(shù)據(jù)讀取請(qǐng)求轉(zhuǎn)發(fā)至云應(yīng)用平臺(tái)130;S6云應(yīng)用平臺(tái)130基于數(shù)據(jù)讀取請(qǐng)求返回加密數(shù)據(jù)至云安全衛(wèi)士網(wǎng)關(guān)120;S7云安全衛(wèi)士網(wǎng)關(guān)對(duì)其進(jìn)行解密并將生成的明文數(shù)據(jù)發(fā)送至用戶終端110。在具體實(shí)施例中,上述用戶終端110可以為個(gè)人電腦、平板電腦、智能手機(jī)等,且寫入數(shù)據(jù)的用戶終端和請(qǐng)求數(shù)據(jù)讀取的用戶終端可以為同一用戶終端,也可以為不同的用戶終端。
更進(jìn)一步來(lái)說(shuō),在步驟S2,對(duì)寫入數(shù)據(jù)進(jìn)行加密的過(guò)程中,具體包括:S21云安全衛(wèi)士網(wǎng)關(guān)120監(jiān)聽寫入數(shù)據(jù)中是否包含超文本傳輸協(xié)議數(shù)據(jù)包;S22若包含,則云安全衛(wèi)士網(wǎng)關(guān)120從寫入數(shù)據(jù)中過(guò)濾出相應(yīng)超文本傳輸協(xié)議數(shù)據(jù)包;S23云安全衛(wèi)士網(wǎng)關(guān)120根據(jù)預(yù)設(shè)規(guī)則對(duì)超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,獲取其中的應(yīng)用數(shù)據(jù);S24云安全衛(wèi)士網(wǎng)關(guān)120對(duì)獲取的應(yīng)用數(shù)據(jù)進(jìn)行加密;S25云安全衛(wèi)士網(wǎng)關(guān)120對(duì)加密后的應(yīng)用數(shù)據(jù)和寫入數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成加密數(shù)據(jù);S26云安全衛(wèi)士網(wǎng)關(guān)120將生成的加密數(shù)據(jù)發(fā)送至云應(yīng)用平臺(tái)130。具體在步驟S23中的預(yù)設(shè)規(guī)則包括:根據(jù)預(yù)設(shè)/指定的數(shù)據(jù)字段(敏感字段)對(duì)提取出的應(yīng)用數(shù)據(jù)中的字段進(jìn)行二次分離。
在步驟S6中具體包括:S61云應(yīng)用平臺(tái)130接收數(shù)據(jù)讀取請(qǐng)求;S62云應(yīng)用平臺(tái)130基于數(shù)據(jù)讀取請(qǐng)求查找到與之匹配的加密數(shù)據(jù);S63云應(yīng)用平臺(tái)130將查找到的加密數(shù)據(jù)發(fā)送至云安全衛(wèi)士網(wǎng)關(guān)120。
在步驟S7中具體包括:S71云安全衛(wèi)士網(wǎng)關(guān)120監(jiān)聽加密數(shù)據(jù)中是否包含超文本傳輸協(xié)議數(shù)據(jù)包;S72若包含,則云安全衛(wèi)士網(wǎng)關(guān)120從加密數(shù)據(jù)中過(guò)濾出相應(yīng)超文本傳輸協(xié)議數(shù)據(jù)包;S73云安全衛(wèi)士網(wǎng)關(guān)120根據(jù)預(yù)設(shè)規(guī)則對(duì)超文本傳輸協(xié)議數(shù)據(jù)包進(jìn)行解析,獲取其中加密的應(yīng)用數(shù)據(jù);S74云安全衛(wèi)士網(wǎng)關(guān)120對(duì)獲取加密的應(yīng)用數(shù)據(jù)進(jìn)行解密;S75云安全衛(wèi)士網(wǎng)關(guān)120對(duì)解密后的應(yīng)用數(shù)據(jù)和加密數(shù)據(jù)中的非超文本傳輸協(xié)議數(shù)據(jù)進(jìn)行重組生成明文數(shù)據(jù);S76云安全衛(wèi)士網(wǎng)關(guān)120將生成的解密數(shù)據(jù)發(fā)送至用戶終端110。具體在步驟S73中的預(yù)設(shè)規(guī)則包括:根據(jù)預(yù)設(shè)/指定的數(shù)據(jù)字段(敏感字段)對(duì)提取出的應(yīng)用數(shù)據(jù)中的字段進(jìn)行二次分離。
在步驟S1之前還包括:S01云安全衛(wèi)士網(wǎng)關(guān)120接收用戶終端110發(fā)送的身份認(rèn)證請(qǐng)求;S02云安全衛(wèi)士網(wǎng)關(guān)120基于身份認(rèn)證請(qǐng)求實(shí)現(xiàn)對(duì)用戶終端110的身份認(rèn)證;S03云安全衛(wèi)士網(wǎng)關(guān)120反饋身份認(rèn)證成功消息至用戶終端110;S04用戶終端110基于身份認(rèn)證成功消息實(shí)現(xiàn)對(duì)云安全衛(wèi)士網(wǎng)關(guān)120的身份認(rèn)證,以此完成用戶終端和云安全衛(wèi)士網(wǎng)關(guān)之間的雙向身份認(rèn)證,之后用戶終端和云安全衛(wèi)士網(wǎng)關(guān)之間即能進(jìn)行會(huì)話,且只有通過(guò)了雙向身份認(rèn)證的用戶終端才能訪問(wèn)云安全衛(wèi)士網(wǎng)關(guān),沒有通過(guò)雙向身份認(rèn)證的用戶終端不能訪問(wèn)云安全衛(wèi)士網(wǎng)關(guān)。
以下以云應(yīng)用平臺(tái)為云端郵件,用戶通過(guò)個(gè)人電腦中的客戶端發(fā)起身份認(rèn)證請(qǐng)求至云安全衛(wèi)士網(wǎng)關(guān),雙向身份認(rèn)證獲得授權(quán)之訪問(wèn)云端郵件應(yīng)用,編輯郵件內(nèi)容并發(fā)送這一過(guò)程做出詳細(xì)描述:
在上述過(guò)程中,云安全衛(wèi)士網(wǎng)關(guān)中的智能協(xié)議監(jiān)聽模塊攔截郵件數(shù)據(jù)包中的超文本傳輸協(xié)議數(shù)據(jù)包,并交由智能協(xié)議解析模塊;智能協(xié)議解析模塊讀取系統(tǒng)配置模塊中的預(yù)設(shè)規(guī)則,提取該超文本傳輸協(xié)議數(shù)據(jù)包中的數(shù)據(jù)字段并分離郵件主題跟正文字段,并通過(guò)加解密模塊對(duì)郵件主題及正文字段分別加密;之后,通過(guò)智能協(xié)議組包模塊重組超文本傳輸協(xié)議數(shù)據(jù)包并通過(guò)第一通信模塊發(fā)送到云端郵件應(yīng)用,至此,發(fā)送的郵件主題跟正文處于加密保護(hù)狀態(tài)。
以上通過(guò)分別描述每個(gè)過(guò)程的實(shí)施場(chǎng)景案例,詳細(xì)描述了本發(fā)明,本領(lǐng)域的技術(shù)人員應(yīng)能理解。在不脫離本發(fā)明實(shí)質(zhì)的范圍內(nèi),可以作修改和變形,比如部分模塊的剝離使用和將系統(tǒng)嵌入于其他應(yīng)用系統(tǒng)中。