一种数据加密方法及加密装置制造方法及图纸

本发明专利技术公开了一种数据加密方法及加密装置，所述方法通过运行于云端或虚拟机上的加密服务器实现对数据进行加密，所述方法包括以下步骤：客户端主机发送加密盘解锁请求；所述加密服务器验证加密盘解锁请求，打开存储设备内的加密盘；应用程序对盘内数据进行访问；访问前，加密服务器对访问的应用程序实施访问控制许可；对存盘数据进行加密，并写入存储设备；客户端主机发送关闭加密盘请求，加密盘关闭。本发明专利技术中加密方法不需要修改客户端操作系统，降低软件复杂性，增强可靠性；兼容性佳，无惧操作系统升级。客户端上的任何恶意软件无法危害加密服务器。加密服务器可以校验客户端软件是否经过恶意修改，以保证客户端软件的决策可靠。

A data encryption method and device

The invention discloses a data encryption method and an encryption device. The method encrypts data through an encryption server running on the cloud or virtual machine. The method comprises the following steps: the client host sends an encryption disk unlocking request; the encryption server verifies the encryption disk unlocking request, opens the encryption disk in the storage device; the application program encrypts the data in the disk Access; before access, the encryption server implements access control permission for the accessed application; encrypts the saved data and writes it to the storage device; the client host sends the request to close the encrypted disk, and the encrypted disk is closed. The encryption method in the invention does not need to modify the client operating system, reduces software complexity and enhances reliability; it has good compatibility and is not afraid to upgrade the operating system. Any malware on the client cannot harm the encryption server. The encryption server can verify whether the client software has been maliciously modified, so as to ensure the decision-making of the client software is reliable.

【技术实现步骤摘要】
一种数据加密方法及加密装置
本专利技术属于信息安全领域，具体涉及一种数据加密方法及加密装置。
技术介绍
随着信息时代和网络时代的到来，人们每天需要使用各类信息系统来处理生活中的事物，人们处于永远“在线”的状态，时刻将生活方方面面的信息数字化并通过网络传输出去。然而，人们在享受现代信息技术的同时，频发的网络泄密事件也引起了人们对个人隐私的普遍担心。多家大型网站都出现了服务器遭受攻击，用户密码泄露的情况，甚至有些网站的用户信用卡信息也发生了泄露，这让我们意识到服务提供商在攻击面前也未必可靠。而棱镜事件的曝光更让我们发现很多大型服务提供商也是不可信的，我们的电子邮件、传输的文档、视频、语音交流、银行账户等信息都毫无保留地暴露在外。而广泛使用的OpenSSL协议的漏洞威胁到了各大网站，说明网络信道也充满了危险。信息时代，隐私已经成为一个非常重要的课题，很好的保护隐私才能保护个人、团体的名誉、财产及安全。现有常见的加密形式为在客户端主机上安装操作系统内核底层驱动，来查验和控制对文件的访问。主要流程为：首先，通过设置的文件系统文件访问过滤功能，得到访问文件的进程号及名字；其次，根据文件访问规则，判断该进程访问是否合法。但是，上述技术方案并不是理想的方案，主要有以下原因：1)任何对操作系统内核层的修改都是非常复杂且极易出错的，尤其是在最普遍的Windows操作系统上；2)多平台支持差，因为必须为不同的操作系统提供不同的内核驱动。实际上，国内常见的几款数据加密软件都只支持Windows客户端；3)即使同一个客户端平台上，如果操作系统的升级带来了操作系统内核改动，就有可能导致之前版本的内核驱动无法运行或出现异常，最可怕的是“无察觉的数据损坏”；4)一个数据保护软件的所有模块都运行在客户端上，这些软件模块就有可能被恶意软件或病毒破坏、失效，从而彻底丧失对数据的保护。为了解决上述结束问题，专利技术人之前的专利技术专利(CN109643281A)公开了一种数据加密和解密的系统和方法。上述专利提供独立于主机以外的数据加密和解密的系统和方法。上述专利中主机不需要将大量的计算资源转移到数据加密和解密活动中去；数据加密和解密活动受主机限制较少，不需要在主机上安装重量级加密和解密软件；用户数据以加密格式存储在主机上，与其他小工具相比，主机通常配备有更多的存储空间；数据安全性得到增强，因为甚至主机的超级用户可能也无法访问存储在主机上的数据；数据加密和加密对于访问数据的用户来说可以是透明的，从而减少用户管理和控制数据安全性所需的努力。但是，上述专利仍然存在如下技术缺陷：1)其加密和解密系统和设备应用于局域网内，没有涉及云端部署；2)其数据加密平台是独立于客户端之外的物理机，没有提出用虚拟机实现加密平台；3)上述专利主要涉及数据加解密，即被动防御，对于主动防御(例如：对加密盘中已解锁的加密数据的保护)并未涉及；4)其数据加密平台存在部署成本高、主动防御功能弱的缺陷。因此，为解决上述问题，设计一款能够有效解决在云环境中，尤其是公有云平台上的数据安全问题，并加强对已解锁的加密数据主动保护的数据加密方法和加密装置就显的尤为必要。
技术实现思路
本专利技术的目的是提出一种能够实现主动防御和云端部署的数据加密方法及加密装置，具体采用如下的技术方案：一种数据加密方法，所述方法通过独立的加密服务器实现对客户端主机内的数据进行加密，所述方法包括以下步骤：客户端主机向加密服务器发送加密盘解锁请求；所述加密服务器验证加密盘解锁请求，加密盘解锁请求获准，打开存储设备内的加密盘；应用程序对加密盘内的数据进行访问；其中，访问前，加密服务器对访问的应用程序实施访问控制许可；访问时，加密服务器先对被访问数据进行解密，应用程序再对解密数据进行访问；对存盘数据进行加密，并将加密数据写入存储设备；客户端主机向加密服务器发送关闭加密盘请求，加密盘关闭。进一步地，所述加密服务器运行于客户端主机内虚拟机中或运行于公有云平台上。进一步地，所述存储设备包括客户端主机内的存储设备、与客户端主机连接的移动存储设备或者虚拟存储设备。进一步地，所述加密服务器包括访问控制模块和访问控制模块客户端；所述访问许可控制的具体步骤为：解密数据中的文件F被客户端主机访问时，所述访问控制模块会得到文件F的信息，同时，客户端主机的数据访问流程被暂停，等待加密服务器的访问控制许可；所述访问控制模块将文件F的信息发送给运行于客户端主机上的访问控制模块客户端；访问控制模块客户端根据文件F的信息在客户端主机上找到发起此次数据访问的进程信息，并将进程信息发送到访问控制模块；根据用户设置的数据访问控制策略，访问控制模块做出此次数据访问是否应该被许可的决定；如果访问被许可，数据访问如常运行；否则，客户端主机会得到访问失败的通知。进一步地，客户端主机对数据访问结束后，加密服务器对加密数据进行备份。进一步地，所述加密服务器对加密数据进行备份的步骤具体包括：客户端主机向加密服务器发送数据1访问请求；加密服务器经访问控制许可，向客户端主机发送数据1访问许可，进而客户端主机访问数据1；访问数据1结束，客户端主机向加密服务器发送数据1访问结束请求；加密服务器的备份模块对数据1进行备份；备份模块对数据1备份完毕之后，加密服务器向客户端主机发送数据1结束请求许可，数据1访问结束；重复上述步骤，直至客户端主机完成对所有加密数据的访问；需要关闭加密盘时，客户端主机向加密服务器发送关闭加密盘请求；加密服务器确认所有数据已经完成备份，向客户端主机发送关闭加密盘请求许可，则客户端主机关闭加密盘。进一步地，实现上述数据加密方法的一种加密服务器，所述加密服务器包括访问控制模块、访问控制模块客户端和备份模块。进一步地，一种加密服务器，所述服务器包括：至少一个处理器；以及存储器，所述存储器上存储有可执行指令，所述可执行指令由所述至少一个处理器执行，导致所述服务器实现如下方法：接收客户端主机发送的加密盘解锁请求；验证加密盘解锁请求，加密盘解锁请求获准，打开存储设备内的加密盘；应用程序对加密盘内的数据进行访问；其中，访问前，加密服务器对访问的应用程序实施访问控制许可；访问时，加密服务器先对被访问数据进行解密，应用程序再对解密数据进行访问；对存盘数据进行加密，并将加密数据写入存储设备；接收客户端主机发送的关闭加密盘请求，加密盘关闭。进一步地，一种计算机可读储存介质，包括可执行指令，所述指令被至少一个处理器执行时，实现如下方法：接收客户端主机发送的加密盘解锁请求；验证加密盘解锁请求，加密盘解锁请求获准，打开存储设备内的加密盘；应用程序对加密盘内的数据进行访问；其中，访问前，所述介质对访问的应用程序实施访问控制许可；访问时，所述介质先对被访问数据进行解密，本文档来自技高网...

【技术保护点】
1.一种数据加密方法，其特征在于，所述方法通过独立的加密服务器实现对客户端主机内的数据进行加密，所述方法包括以下步骤：/n客户端主机向加密服务器发送加密盘解锁请求；/n所述加密服务器验证加密盘解锁请求，加密盘解锁请求获准，打开存储设备内的加密盘；/n应用程序对加密盘内的数据进行访问；其中，访问前，加密服务器对访问的应用程序实施访问控制许可；访问时，加密服务器先对被访问数据进行解密，应用程序再对解密数据进行访问；/n对存盘数据进行加密，并将加密数据写入存储设备；/n客户端主机向加密服务器发送关闭加密盘请求，加密盘关闭。/n

【技术特征摘要】
1.一种数据加密方法，其特征在于，所述方法通过独立的加密服务器实现对客户端主机内的数据进行加密，所述方法包括以下步骤：
客户端主机向加密服务器发送加密盘解锁请求；
所述加密服务器验证加密盘解锁请求，加密盘解锁请求获准，打开存储设备内的加密盘；
应用程序对加密盘内的数据进行访问；其中，访问前，加密服务器对访问的应用程序实施访问控制许可；访问时，加密服务器先对被访问数据进行解密，应用程序再对解密数据进行访问；
对存盘数据进行加密，并将加密数据写入存储设备；
客户端主机向加密服务器发送关闭加密盘请求，加密盘关闭。


2.根据权利要求1所述的一种数据加密方法，其特征在于，所述加密服务器运行于客户端主机内虚拟机中或运行于公有云平台上。


3.根据权利要求1所述的一种数据加密方法，其特征在于，所述存储设备包括客户端主机内的存储设备、与客户端主机连接的移动存储设备或者虚拟存储设备。


4.根据权利要求1所述的一种数据加密方法，其特征在于，所述加密服务器包括访问控制模块和访问控制模块客户端；所述访问许可控制的具体步骤为：
解密数据中的文件F被客户端主机访问时，所述访问控制模块会得到文件F的信息，同时，客户端主机的数据访问流程被暂停，等待加密服务器的访问控制许可；
所述访问控制模块将文件F的信息发送给运行于客户端主机上的访问控制模块客户端；
访问控制模块客户端根据文件F的信息在客户端主机上找到发起此次数据访问的进程信息，并将进程信息发送到访问控制模块；
根据用户设置的数据访问控制策略，访问控制模块做出此次数据访问是否应该被许可的决定；
如果访问被许可，数据访问如常运行；否则，客户端主机会得到访问失败的通知。


5.根据权利要求1所述的一种数据加密方法，其特征在于，客户端主机对数据访问结束后，加密服务器对加密数据进行备份。


6.根据权利要求5所述的一种数据加密方法，其特征在于，所述加密服务器对加密数据进行备份的步骤具体包括：
客户端主机向加密服务器发送数据1访问请...

【专利技术属性】
技术研发人员：冯幼林，
申请(专利权)人：苏州赛器信息安全科技有限公司，
类型：发明
国别省市：江苏;32