本发明专利技术公开了一种敏感数据的安全访问方法,属于敏感数据保护技术领域,包括以下步骤:S1:移动介质敏感数据的加密;S2:检测移动介质插入状态;S3:移动介质敏感数据的解密;S4:敏感数据按需动态访问。本发明专利技术通过将系统需要使用的敏感数据加密存储在移动介质中,而不是系统数据库或文件中,实现敏感数据物理隔离;只有移动介质管理者或特定人员才能接触到该移动介质保存的敏感数据,从而大幅降低敏感数据的泄露风险;系统根据业务需求,编写相应的程序,实现移动介质敏感数据的解密、动态按需读取、分析等,而不是将敏感数据持久化保存在系统数据库或系统文件中;当移动介质拔除,所有敏感数据在系统中是无痕的,确保了敏感数据的无痕访问。
【技术实现步骤摘要】
一种敏感数据的安全访问方法
本专利技术涉及敏感数据保护
,具体涉及一种敏感数据的安全访问方法。
技术介绍
随着互联网、大数据时代的到来,互联网的数据量越来越大,数据中的敏感数据也越来越多,如个人身份证、银行卡号、个人家庭住址、电话号码、移动地理轨迹等。这类数据往往需要被某些软件系统应用,以实现一定的功能,如人员画像、可疑人员研判、案情研判等。传统的方法,这类敏感数据一般存储在系统数据库或文件中(本地或网络中)。当系统特定功能模块运行的时候,这类数据会被从数据库或文件中读取,用于特定的数据分析或应用展示等。在存储层,可以通过加密的手段,将敏感数据通过加密算法(如MD5、AES、RSA)进行加密,然后存储到数据库或文件系统中。当上层功能模块需要读取该类数据的时候,通过相应的解密算法将数据解密后再使用。在应用层,可以通过角色、权限管控技术,即,系统只有特定的角色、配置特定的权限才可以读取或修改该类数据,否则拒绝访问该类数据。上述方法,一定程度上实现了敏感数据的保护,但是敏感数据的安全性还是存在漏洞,因为敏感数据驻留在系统中,一方面,数据库可能会被攻破导致数据外泄;另一方面,对于B/S或C/S架构的系统,数据可能通过网络传输增加了泄露的风险。因此,提出一种敏感数据的安全访问方法。
技术实现思路
本专利技术所要解决的技术问题在于:如何解决将敏感数据的泄露风险降低到最小,提高敏感数据的安全性,提供了一种敏感数据的安全访问方法,该方法通过物理隔离实现敏感数据的安全保护,即敏感数据不存储在系统数据库或文件系统中,而是存储在移动介质中。本专利技术是通过以下技术方案解决上述技术问题的,本专利技术包括以下步骤:S1:移动介质敏感数据加密在进行访问之前,对移动介质中的敏感数据进行加密;S2:检测移动介质插入状态当系统中业务模块需要访问指定敏感数据时,检测移动介质是否插入,如果检测到移动介质插入,则转入步骤S3,否则转入步骤S5;S3:解密敏感数据利用预先编制的第一程序调用解密dll(动态链接库),对移动介质中的敏感数据进行解密;S4:敏感数据处理数据解密成功后,预先编制的第一程序实时从移动介质中根据模块需求动态读取需要的敏感数据,进行计算分析或者数据展示;S5:模拟数据处理当未检测到移动介质插入或检测到插入后但未成功解密,则无法读取移动介质中的敏感数据,然后利用预先编制的第二程序进行处理。更进一步的,在所述步骤S1中,对移动介质进行加密的过程具体包括以下步骤:S11:对敏感数据用AES算法进行加密。更进一步的,在所述步骤S2中,检测移动介质是否插入通过的具体过程包括以下步骤:S21:业务模块运行即刻启动检测程序,首先建立map<k,v>数据结构,用于初始化磁盘盘符,如果某个盘符存在,则相应盘符在map中的value值置为1,否则置为0;S22:建立死循环检测(check)程序,判断当前盘符在系统中是否存在,如果存在,判断在map表中对应的值是否为0,如果map表中对应的值为0,则有移动介质插入;如果不存在,但在Map表中对应的值为1,则有移动介质拔除,同时更新map表。更进一步的,在所述步骤S3中,对移动介质解密的过程包括以下步骤:S31:解密算法以dll形式驻留在特定终端中;S32:当检测到移动介质插入后,预先编制的第一程序调用解密算法dll对移动介质进行解密。更进一步的,在所述步骤S5中,利用预先编制的第二程序进行处理的方式包括两种,第一种是通过读取预存在系统数据库中的模拟数据来满足模块分析或展示的要求,第二种是直接拒绝提供数据。更进一步的,所述模拟数据即按照与敏感数据一致的数据结构,在数据库中建立相应的数据表,填充一定条数的模拟数据形成,以满足程序正常运行的要求。本专利技术相比现有技术具有以下优点:通过将系统需要使用的敏感数据存储在加密移动存储介质中,而不是系统数据库或文件中,实现物理隔离;这样只有特定人员才能接触到该移动介质保存的敏感数据,而不是像传统的方式那样,所有系统的使用者都有可能接触到该敏感信息,可以将敏感数据的泄露或被攻击风险降低到最小;同时系统根据应用需求,撰写相应的数据读取程序,实现移动介质敏感数据实时、按需读取,而不是将敏感数据持久保存在系统数据库或系统文件中;当移动介质拔除,所有敏感数据在系统中是没有痕迹的,确保了敏感数据的无痕访问。附图说明图1是本专利技术实施例中访问敏感数据的流程示意图。具体实施方式下面对本专利技术的实施例作详细说明,本实施例在以本专利技术技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本专利技术的保护范围不限于下述的实施例。如图1所示,本实施例提供一种技术方案:开发一种软件,用于人员族谱分析,即,当点击某个人员时,动态展示该人员的族谱关系图,右键点击图中每个人员时,展示该人员的基本信息:姓名、身份证号。姓名、身份证号是该模块应用的敏感数据。系统中针对每个人员有一个唯一的自定义ID,并建立人员数据序列PSeq(ID、姓名、身份证号)存储在移动介质中,同时在系统数据库(本地或网络)中建立了人员信息表PTable,表中每一行按照(ID、姓名、身份证号)存储,其中姓名、身份证号按照既定的规则填充模拟数据。本实施例的敏感数据访问方法包括以下步骤:S1:移动介质敏感数据加密利用AES加密算法对所有人员的姓名、身份证号进行加密。S2:检测是否插入移动介质当系统中业务模块需要访问某个人员的姓名和身份证号时,先检测移动介质是否插入;S3:解密敏感数据如果检测到移动介质插入,则调用解密dll(动态链接库)对敏感数据序列(人员数据数据序列)进行解密;S4:敏感数据处理当敏感数据解密成功后,利用预先编制的程序1从移动介质存储的人员数据序列PSeq中搜寻人员ID=当前ID的人员,获取到其对应的姓名和身份证号,并展示在族谱图上;S5:模拟数据处理如果未检测到移动介质插入或未成功解密,则无法读取移动介质中的敏感数据,利用预先编制的程序2从数据库表PTable中读取ID=当前ID的人员信息,并展示在族谱图上。在所述步骤S2中,检测移动介质是否插入通过的具体过程如下:S21:业务模块运行即刻启动检测程序,首先建立map<k,v>数据结构,用于初始化磁盘盘符,如果某个盘符存在,则相应盘符在map中的value值置为1,否则置为0;S22:建立死循环check程序,判断当前盘符在系统中是否存在,如果存在,判断在map表中对应的值是否为0,如果map表中对应的值为0,则有移动介质插入;如果不存在,但在Map表中对应的值为1,则有移动介质拔除。同时更新map表。在所述步骤S3中,系统对移动介质解密的具体过程包括以下步骤:S31:解密算法以dll(动态链接库)本文档来自技高网...
【技术保护点】
1.一种敏感数据的安全访问方法,其特征在于,包括以下步骤:/nS1:移动介质敏感数据加密/n在进行访问之前,对移动介质中的敏感数据进行加密;/nS2:检测移动介质插入状态/n当系统中业务模块需要访问指定敏感数据时,检测移动介质是否插入;/nS3:解密敏感数据/n利用预先编制的第一程序调用解密动态链接库,对移动介质中的敏感数据进行解密;/nS4:敏感数据处理/n数据解密成功后,预先编制的第一程序实时从移动介质中根据模块需求动态读取需要的敏感数据,进行计算分析或者数据展示;/nS5:模拟数据处理/n当未检测到移动介质插入或检测到插入后但未成功解密,则无法读取移动介质中的敏感数据,然后利用预先编制的第二程序进行处理。/n
【技术特征摘要】
1.一种敏感数据的安全访问方法,其特征在于,包括以下步骤:
S1:移动介质敏感数据加密
在进行访问之前,对移动介质中的敏感数据进行加密;
S2:检测移动介质插入状态
当系统中业务模块需要访问指定敏感数据时,检测移动介质是否插入;
S3:解密敏感数据
利用预先编制的第一程序调用解密动态链接库,对移动介质中的敏感数据进行解密;
S4:敏感数据处理
数据解密成功后,预先编制的第一程序实时从移动介质中根据模块需求动态读取需要的敏感数据,进行计算分析或者数据展示;
S5:模拟数据处理
当未检测到移动介质插入或检测到插入后但未成功解密,则无法读取移动介质中的敏感数据,然后利用预先编制的第二程序进行处理。
2.根据权利要求1所述的一种敏感数据的安全访问方法,其特征在于:在所述步骤S1中,采用AES算法对敏感数据进行加密。
3.根据权利要求2所述的一种敏感数据的安全访问方法,其特征在于:在所述步骤S2中,检测移动介质是否插入通过的具体过程包括以下步骤:
S21:业务模块运行即刻启动检测程序,建立map<k,v>数据结构,初始化磁盘盘符,如果某...
【专利技术属性】
技术研发人员:王建,吕孝忠,牛珊珊,王亚汀,陈飞,马敏,陈楠,
申请(专利权)人:中国电子科技集团公司第三十八研究所,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。