数据保护方法及系统技术方案

本发明专利技术实施例公开了一种数据保护方法，包括：在数据接收方要对来自数据发送方的经过加密的数据进行解密时，检查数据接收方是否有由数据发送方生成的且处于有效状态的数字许可，如有则允许数据接收方使用在数据解密过程中所需的至少一个密钥。本发明专利技术实施例同时公开了一种数据保护系统。通过本发明专利技术的实施例，能够实现云办公时代的共享数据的安全使用。

【技术实现步骤摘要】
数据保护方法及系统
本专利技术涉及数据安全领域，特别涉及一种数据保护方法及系统。
技术介绍
随着互联网的发展，人们可以随时随地接入互联网，与不同地域不同行业的人进行即时的互动。基于互联网技术带来的便利性，各种云办公协作系统应运而生。云办公模式打破了企业传统的办公室协作模式，目前很多企业正在往云办公模式悄然进化。云办公模式，本质上是通过云计算技术，让员工可以在任何时间任何地点接入网络进行办公，同时把企业进行以人为单位的细胞拆分，随时进行重组合作。这样从个体到团体进行效率激发，又同时提高了员工舒适度降低了企业办公成本，未来优势可想而知。然而，互联网技术的发展为人们生活，企业运营等带来便利和高效的同时，也加大了数据安全的风险。近年来，各种数据安全事件层出不穷，据报道，2015年，全球61个国家出现79790起数据泄露事件，其中2122起已经得到确认。想让基于互联网技术的云办公计算技术健康发展，必须解决数据安全问题。现有的数据安全技术还停留在办公室模式时代，其基本思想是对数据的流转画出一个边界，数据在边界之内可以自由流转，但不能跨出边界。这种数据安全技术已经无法适应云办公时代的要求。
技术实现思路
在云办公时代，数据流转是没有边界的。数据在哪儿并不重要，也不需要被关心。重要的是谁有权限对数据做什么样的操作。为此，本专利技术实施例提供了一种通过对数据的使用权限进行管理来保护数据的方法，使得数据的使用在提高安全性的同时，能够打破地域的限制。具体而言，本专利技术实施例提供了一种数据保护方法，包括：在数据接收方要对来自数据发送方的经过加密的数据进行解密时，检查数据接收方是否有由数据发送方生成的且处于有效状态的数字许可，如有则允许数据接收方使用在数据解密过程中所需的至少一个密钥。本专利技术实施例还提供了一种数据保护系统，包括服务器，所述服务器包括：密钥管理单元，其配置为基于数据发送方的请求而生成或存储至少一个密钥；验证单元，其配置为基于数据接收方的请求而检查数据接收方是否有对应于该请求的处于有效状态的数字许可，如有则允许数据接收方在对来自数据发送方的经过加密的数据进行解密的过程中使用所述至少一个密钥。通过本专利技术实施例，数据接收方在得到来自数据发送方的加密数据后，需要向服务器提出申请来获得数据解密过程所需的密钥的使用权，服务器检查接收方是否有该密钥的使用许可，如有则允许解密数据，如果没有则不允许解密数据，通过对密钥及其使用许可进行管理实现对数据解密权限的有效管理和控制，极大地提高了云办公时代的数据安全性。附图说明图1为本专利技术的数据保护方法的一个实施方式的流程图；图2为本专利技术的数据保护方法的另一个实施方式的流程图；图3为本专利技术的数据保护方法的一个具体实施例的流程图；图4为本专利技术的数据保护方法的另一个具体实施例的流程图；图5为本专利技术的数据保护方法的再一个具体实施例的流程图；图6为本专利技术的数据保护系统的一个实施方式的框图。具体实施方式下面参照附图对本专利技术的实施方式进行详细说明。图1为本专利技术的数据保护方法的一个实施方式的流程图。如图1所示，本实施方式的数据保护方法包括：S101、数据接收方要对来自数据发送方的经过加密的数据进行解密；数据发送方可将经过加密的数据发送给数据接收方，该加密的数据是由数据发送方使用数据加密密钥加密后生成并发送的。数据加密密钥可以由数据发送方生成后在服务器中进行备份，或者也可以由服务器响应于数据发送方的请求而生成数据加密密钥。S102、检查数据接收方是否有由数据发送方生成的且处于有效状态的数字许可；在本专利技术各个实施方式中，数据接收方在从数据发送方获得经过加密的数据后，并不能直接从数据接收方获得数据加密密钥或直接使用密钥对数据进行解密，而是需要先由服务器检查数据接收方是否拥有合法有效的数字许可。合法的数据接收方会持有数据发送方颁发的数字许可。数据发送方可以生成数字许可后发送给数据接收方，或者将数字许可发送给服务器。数据发送方也可以在服务器上为数据发送方生成数字许可。服务器收到数字许可后可进行存储，或者转发给数据接收方。在数字许可中例如可限制接收方对数据的使用次数、使用期限、是否可转发他人使用、接收方的权限是否仅限于转发、是否允许修改数据等。作为备选，在本专利技术一个实施方式中，在数字许可中可以例如限制接收方对数据加密密钥的使用次数、使用期限等。服务器对数字许可的检查可以例如由数据接收方发起的密钥使用请求而触发，或者也可以例如在数据接收方从服务器获得数据加密密钥后对数据进行解密的动作来触发检查。S103、如有，则允许数据接收方使用在数据解密过程中所需的至少一个密钥；在本专利技术实施方式中，数据加密密钥可以是一组直接或者间接的用于加解密数据的密钥及管理和使用该组密钥所需要的相关数据的集合。数据接收方可以通过向服务器提出密钥使用请求而获得数据解密过程中所需的密钥或使用密钥所需的相关数据，在服务器通过检查确定数据接收方持有数据发送方颁发的处于有效状态的数字许可时，确定数据接收方拥有对加密数据进行解密的权限，则向数据接收方发送数据加密密钥或对数据加密密钥进行加密的密钥等数据解密过程所需的密钥，或发送使用密钥所需的相关数据。服务器可以在下发密钥或其使用相关数据之前或之后对数据接收方是否拥有合法有效的数字许可进行检查。只有在通过服务器的检查后，数据接收方才能获得使用解密过程所需密钥或与密钥的使用相关数据的权限，从而对加密的数据进行解密使用。通过本专利技术实施例，数据接收方在得到来自数据发送方的加密数据后，需要向服务器提出申请来获得数据解密过程所需的密钥的使用权，服务器检查接收方是否有该密钥的使用许可，如有则允许解密数据，如果没有则不允许解密数据，通过对密钥及其使用许可进行管理实现对数据加解密的有效管理和控制，极大地提高了云办公时代的数据安全性。作为示例，在本专利技术实施方式中，S103可以具体实施为，服务器响应于数据接收方的请求或在检查确定存在有效数字许可后，根据所述数字许可中的许可信息而允许数据接收方使用服务器上的所述至少一个密钥中的相应密钥和/或在使用所述相应密钥时所需的相关数据。在本专利技术上述实施方式中，加密的数据可以通过采用多个密钥对目标数据进行加密而生成。例如，将数据划分为多个部分，每个部分用不同的密钥进行加密。相应地，数字许可中可以不仅包括前述的限制接收方对数据加密密钥的使用次数、使用期限等，还可以规定该数据接收方有权限使用的那部分密钥。数据接收方的最高权限为能够使用对上述数据每个部分进行加密的密钥。如此，服务器在检查数据接收方的数字许可并确定有效后，可以将数字许可中记载的授权给数字接收方使用的那部分密钥或者密钥使用相关数据下发给数据接收方使用。以这种方式，可以不必针对不同权限的用户分别对数据进行不同地加密，而是可以通过对多个数据加密密钥中的相应密钥进行许可使用的方式来实现让不同权限的用户获得数据中其有权使用的部分。在本专利技术一个实施方式中，数据接收方的终端上安装有密钥管理模块，用于为用户提供专业安全的密钥管理服务。在这种情况下，S103可以具体实施为，服务器响应于数据接收方的请求或在检查确定存在有效数字许可后，向数据接收方的密钥管理模块发送至少一个密钥和/或在使用所述至少一个密钥时所需的相关数据。在本专利技术上述实施方式中，通过为数据接本文档来自技高网...

【技术保护点】
一种数据保护方法，其特征在于，所述方法包括：在数据接收方要对来自数据发送方的经过加密的数据进行解密时，检查数据接收方是否有由数据发送方生成的且处于有效状态的数字许可，如有则允许数据接收方使用在数据解密过程中所需的至少一个密钥。

【技术特征摘要】
1.一种数据保护方法，其特征在于，所述方法包括：在数据接收方要对来自数据发送方的经过加密的数据进行解密时，检查数据接收方是否有由数据发送方生成的且处于有效状态的数字许可，如有则允许数据接收方使用在数据解密过程中所需的至少一个密钥。2.如权利要求1所述的数据保护方法，其特征在于，允许数据接收方使用在数据解密过程中所需的至少一个密钥包括：根据所述数字许可中的许可信息而向数据接收方发送所述至少一个密钥中的相应密钥和/或在使用所述相应密钥时所需的相关数据。3.如权利要求1所述的数据保护方法，其特征在于，允许数据接收方使用在数据解密过程中所需的至少一个密钥包括：向数据接收方的密钥管理模块发送所述至少一个密钥和/或在使用所述至少一个密钥时所需的相关数据。4.如权利要求1所述的数据保护方法，其特征在于，在检查数据接收方是否有所述处于有效状态的数字许可之前，向数据接收方发送对所述数据加密时使用的第一预定密钥的密文。5.如权利要求1所述的数据保护方法，其特征在于，在检查数据接收方是否有所述处于有效状态的数字许可之前，向数据接收方发送第二预定密钥的密文，第二预定密钥用于加密对所述数据加密时使用的第一预定密钥。6.如权利要求1所述的数据保护方法，其特征在于，所述数据发送方包括两个以上数据发送端，所述经过加密的数据和所述数字许可由同一数据发送端生成或由不同的数据发送端生成。7.如权利要求1至6中任一项所述的数据保护方法，其特征在于，所述至少一个密钥和/或所述相关数据对于数据发送方的用户和/或数据接收方的用户不可见。8.如权利要求1至6中任一项所述的数据保护方法，其特征在于，基于数据接收方登录的用户账户检查数据接收方是否有所述处于有效状态的数字许可。9.如权利要求1至6中任一项所述的数据保护方法，其特征在于，所述数字许可的至少一部分用数据接收方的公钥直接或间接加密。10.如权利要求1至6中任一项所述的数据保护方法，其特征在于，所述经过加密的数据通过用所述至少一个密钥对数据进行加密而生成。11.如权利要求1至6中任一项所述的数据保护方法，其特征在于，所述经过加密的数据通过用所述至少一个密钥和接收方的公钥对数据进行加密而生成。12.如权利要求1至6中任一项所述的数据保护方法，其特征在于，所述经过加密的数据通过用第一预定密钥对数据进行加密而生成，所述至少一个密钥参与对第一预定密钥的加密过程。13.如权利要求12所述的数据保护方法，其特征在于，所述至少一个密钥参与对第一预定密钥的加密过程包括：使用所述至少一个密钥对第一预定密钥进行加密；或者使用所述至少一个密钥和数据接收方的公钥对第一预定密钥进行加密。14.如权利要求1至6中任一项所述的数据保护方法，其特征在于，所述经过加密的数据通过用第一预定密钥对数据进行加密而生成，使用第二预定密钥对第一预定密钥进行加密，并使用所述至少一个密钥和数据接收方的公钥对第二预...

【专利技术属性】
技术研发人员：孙吉平，念龙龙，
申请(专利权)人：北京深思数盾科技股份有限公司，
类型：发明
国别省市：北京,11