一种基于云应用的数据安全保护系统和方法技术方案

本发明专利技术属于计算机信息安全技术领域，公开了一种基于云应用的数据安全保护系统和方法，其中，该数据安全保护系统中包括：用户终端、云安全卫士网关以及云应用平台，用户终端获取写入数据并将其发送至云安全卫士网关，云安全卫士网关接收到写入数据之后对其进行加密并将生成的加密数据发送至云应用平台；用户终端获取数据读取请求并将其发送至云安全卫士网关，云安全卫士网关接收到数据读取请求之后将其转发至云应用平台，云应用平台基于数据读取请求返回加密数据，云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端，有效保证了应用数据(敏感数据)在网络中传输及存储在云端的安全。

【技术实现步骤摘要】

本专利技术属于计算机信息安全
，尤其涉及一种数据安全保护系统和方法。
技术介绍
目前绝大部分主流云存储服务提供商都不支持对云端数据进行加密保护，在安全事故频发的当前背景下，虽然云存储技术已经比较成熟，但企业和组织等并不敢真正将应用数据部署在云端，显然极大地阻碍了云计算的发展与应用。国内市场有厂商推出针对企业内网的解决方案，但一般部署复杂，兼容性差，加解密速度慢，同时也并没有实现第三方云应用数据安全的保护，因此，并没有得到广泛的认可。
技术实现思路
针对上述问题，本专利技术旨在提供一种基于云应用的数据安全保护系统和方法，解决了现有云应用数据所面临的安全和速度问题。本专利技术提供的技术方案如下：一种基于云应用的数据安全保护系统，包括：用户终端、云安全卫士网关以及云应用平台，其中，所述用户终端与所述云安全卫士网关通信连接，所述云安全卫士网关与所述云应用平台通信连接；所述用户终端获取写入数据并将其发送至所述云安全卫士网关，所述云安全卫士网关接收到所述写入数据之后对其进行加密并将生成的加密数据发送至所述云应用平台；所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关，所述云安全卫士网关接收到所述数据读取请求之后将其转发至云应用平台，所述云应用平台基于所述数据读取请求返回加密数据，所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。进一步优选地，所述云安全卫士网关中包括：第一通信模块、加解密模块以及密钥管理模块，其中，所述第一通信模块，用于实现所述云安全卫士网关与用户终端及所述云应用平台与所述云应用平台之间的通信；所述密钥管理模块用于管理所述加解密模块中加解密所需的密钥；所述加解密模块，与所述密钥管理模块和第一通信模块连接，所述加解密模块使用所述密钥管理模块中存储的密钥，对所述第一通信模块从应用终端中获取的写入数据进行加密生成加密数据、及对所述第一通信模块从云应用平台中获取的加密数据进行解密生成明文数据；所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。进一步优选地，所述云安全卫士网关中还包括：智能协议监听模块、智能协议解析模块、智能协议组包模块以及系统配置模块，其中，所述智能协议监听模块，与所述第一通信模块连接，所述智能协议监听模块用于监听所述第一通信模块从所述用户终端中接收的写入数据及从云应用平台中接收的加密数据中是否包含超文本传输协议(HTTP，HyperTextTransferProtocol)数据包；所述智能协议解析模块，分别与所述智能协议监听模块和系统配置模块连接，所述智能协议解析模块根据所述系统配置模块中的预设规则对所述智能协议监听模块过滤出的超文本传输协议数据包进行解析，获取其中的应用数据；所述加解密模块，分别与所述智能协议解析模块和密钥管理模块连接，所述加解密模块使用所述密钥管理模块中存储的密钥，对所述智能协议解析模块中获取的应用数据进行加密或解密；所述智能协议组包模块，与所述加解密模块和第一通信模块连接，所述智能协议组包模块用于：对所述加解密模块对加密后的应用数据和所述写入数据中的非超文本传输协议数据进行重组生成加密数据；对所述加解密模块解密后的应用数据和所述加密数据中的非超文本传输协议数据进行重组生成明文数据；所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。进一步优选地，所述云安全卫士网关中包括一身份认证模块，用于完成所述用户终端和所述云安全卫士网关之间的双向身份认证。进一步优选地，云应用平台中包括第二通信模块、存储模块以及查找模块，其中，所述第二通信模块，用于实现所述云应用平台与所述云安全卫士网关之间的通信；所述存储模块，与所述第二通信模块连接，所述存储模块用于存储所述第二通信模块从云安全卫士网关接收的加密数据；所述查找模块，分别与所述第二通信模块和存储模块连接，基于所述用户终端发送的数据读取请求在所述存储模块中查找与之匹配的加密数据，并通过第二通信模块将查找到的加密数据发送至所述云安全卫士网关。本专利技术还提供了一种基于云应用的数据安全保护方法，所述数据安全保护方法应用于上述数据安全保护系统，所述数据安全保护方法包括以下步骤：S1用户终端获取写入数据并将其发送至所述云安全卫士网关；S2所述云安全卫士网关对接收到的写入数据进行加密并将生成的加密数据发送至所述云应用平台；S3所述云应用平台接收所述加密数据进行存储；S4所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关；S5所述云安全卫士网关将接收到的数据读取请求转发至云应用平台；S6所述云应用平台基于所述数据读取请求返回加密数据至所述云安全卫士网关；S7所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。进一步优选地，在步骤S2中具体包括：S21所述云安全卫士网关监听所述写入数据中是否包含超文本传输协议数据包；S22若包含，则所述云安全卫士网关从所述写入数据中过滤出相应超文本传输协议数据包；S23所述云安全卫士网关根据预设规则对所述超文本传输协议数据包进行解析，获取其中的应用数据；S24所述云安全卫士网关对获取的应用数据进行加密；S25所述云安全卫士网关对加密后的应用数据和所述写入数据中的非超文本传输协议数据进行重组生成加密数据；S26所述云安全卫士网关将生成的加密数据发送至云应用平台。进一步优选地，在步骤S6中具体包括：S61所述云应用平台接收所述数据读取请求；S62所述云应用平台基于数据读取请求查找到与之匹配的加密数据；S63所述云应用平台将查找到的加密数据发送至所述云安全卫士网关。进一步优选地，在步骤S7中具体包括：S71所述云安全卫士网关监听所述加密数据中是否包含超文本传输协议数据包；S72若包含，则所述云安全卫士网关从所述加密数据中过滤出相应超文本传输协议数据包；S73所述云安全卫士网关根据预设规则对所述超文本传输协议数据包进行解析，获取其中加密的应用数据；S74所述云安全卫士网关对获取加密的应用数据进行解密；S75所述云安全卫士网关对解密后的应用数据和所述加密数据中的非超文本传输协议数据进行重组生成明文数据；S76所述云安全卫士网关将生成的解密数据发送至用户终端。进一步优选地，在步骤S1之前还包括：S01所述云安全卫士网关接收所述用户终端发送的身份认证请求；S02所述云安全卫士网关基于所述身份认证请求实现对所述用户终端的身份认证；S03所述云安全卫士网关反馈身份认证成功消息至用户终端；S04所述用户终端基于所述身份认证成功消息实现对所述云安全卫士网关的身份认证。本专利技术提供的基于云应用的数据安全保护系统和方法，其有益效果在于：在本专利技术中，通过云安全卫士网关对写入数据中包含的超文本传输协议数据包进行解析，进而对其中包含的应用数据(敏感数据)进行加密，并对加密后的应用数据和写入数据中的非超文本传输协议数据进行重组，保证数据能正常传输到云应用平台并存储。相对应地，当需要读取云应用平台中存储的加密数据，首先云应用平台将相应加密数据反馈回云安全卫士网关，之后云安全卫士网关将加密数据进行解密并重组成明文数据发送至用户终端。在这一过程中，有效保证了应用数据(敏感数据)在网络中传输及存储在云端的安全。另外，在本专利技术中，采用高速硬件加密卡对应用数据本文档来自技高网...

【技术保护点】
一种基于云应用的数据安全保护系统，其特征在于，所述数据安全保护系统中包括：用户终端、云安全卫士网关以及云应用平台，其中，所述用户终端与所述云安全卫士网关通信连接，所述云安全卫士网关与所述云应用平台通信连接；所述用户终端获取写入数据并将其发送至所述云安全卫士网关，所述云安全卫士网关接收到所述写入数据之后对其进行加密并将生成的加密数据发送至所述云应用平台；所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关，所述云安全卫士网关接收到所述数据读取请求之后将其转发至云应用平台，所述云应用平台基于所述数据读取请求返回加密数据，所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。

【技术特征摘要】
1.一种基于云应用的数据安全保护系统，其特征在于，所述数据安全保护系统中包括：用户终端、云安全卫士网关以及云应用平台，其中，所述用户终端与所述云安全卫士网关通信连接，所述云安全卫士网关与所述云应用平台通信连接；所述用户终端获取写入数据并将其发送至所述云安全卫士网关，所述云安全卫士网关接收到所述写入数据之后对其进行加密并将生成的加密数据发送至所述云应用平台；所述用户终端获取数据读取请求并将其发送至所述云安全卫士网关，所述云安全卫士网关接收到所述数据读取请求之后将其转发至云应用平台，所述云应用平台基于所述数据读取请求返回加密数据，所述云安全卫士网关对其进行解密并将生成的明文数据发送至用户终端。2.如权利要求1所述的数据安全保护系统，其特征在于，所述云安全卫士网关中包括：第一通信模块、加解密模块以及密钥管理模块，其中，所述第一通信模块，用于实现所述云安全卫士网关与用户终端及所述云应用平台与所述云应用平台之间的通信；所述密钥管理模块用于管理所述加解密模块中加解密所需的密钥；所述加解密模块，分别与所述密钥管理模块和第一通信模块连接，所述加解密模块使用所述密钥管理模块中存储的密钥，对所述第一通信模块从应用终端中获取的写入数据进行加密生成加密数据、及对所述第一通信模块从云应用平台中获取的加密数据进行解密生成明文数据；所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。3.如权利要求2所述的数据安全保护系统，其特征在于，所述云安全卫士网关中还包括：智能协议监听模块、智能协议解析模块、智能协议组包模块以及系统配置模块，其中，所述智能协议监听模块，与所述第一通信模块连接，所述智能协议监听模块用于监听所述第一通信模块从所述用户终端中接收的写入数据及从云应用平台中接收的加密数据中是否包含超文本传输协议数据包；所述智能协议解析模块，分别与所述智能协议监听模块和系统配置模块连接，所述智能协议解析模块根据所述系统配置模块中的预设规则对所述智能协议监听模块过滤出的超文本传输协议数据包进行解析，获取其中的应用数据；所述加解密模块，分别与所述智能协议解析模块和密钥管理模块连接，所述加解密模块使用所述密钥管理模块中存储的密钥，对所述智能协议解析模块中获取的应用数据进行加密或解密；所述智能协议组包模块，与所述加解密模块和第一通信模块连接，所述智能协议组包模块用于：对所述加解密模块对加密后的应用数据和所述写入数据中的非超文本传输协议数据进行重组生成加密数据；对所述加解密模块解密后的应用数据和所述加密数据中的非超文本传输协议数据进行重组生成明文数据；所述第一通信模块将加密数据发送至云应用平台、将解密得到的明文数据发送至用户终端。4.如权利要求1-3任意一项所述的数据安全保护系统，其特征在于，所述云安全卫士网关中包括一身份认证模块，用于完成所述用户终端和所述云安全卫士网关之间的双向身份认证。5.如权利要求4所述的数据安全保护系统，其特征在于，云应用平台中包括第二通信模块、存储模块以及查找模块，其中，所述第二通信模块，用于实现所述云应用平台与所述云安全...

【专利技术属性】
技术研发人员：陈万江，张晓东，邓长松，
申请(专利权)人：江苏敏捷科技股份有限公司，
类型：发明
国别省市：江苏;32