数据加密系统、方法、数据处理方法、装置及电子设备制造方法及图纸

本发明专利技术实施例提供一种数据加密系统、方法、数据处理方法、装置及电子设备。系统包括至少一个客户端和服务器；至少一个客户端中的任意一个客户端包括第一通信模块和第一处理模块；第一通信模块用于通过远程证明及安全通信协议与服务器建立通信连接，接收服务器返回的加密处理结果；第一处理模块用于生成加密处理请求，将加密处理请求通过第一通信模块发送至服务器；服务器包括可信执行环境、第二通信模块和第二处理模块；第二通信模块用于通过远程证明及安全通信协议获取加密处理请求；第二处理模块用于在可信执行环境中，对加密处理请求进行处理，获得与加密处理请求相对应的加密处理结果，并将加密处理结果通过第二通信模块返回至客户端。

【技术实现步骤摘要】
数据加密系统、方法、数据处理方法、装置及电子设备
本专利技术涉及计算机
，尤其涉及一种数据加密系统、方法、数据处理方法、装置及电子设备。
技术介绍
云平台具备健全的安全防护能力，因此，在用户使用云数据库的同时，不用担心数据库被从外部攻破而造成数据泄露。但是，用户仍然对于自己数据的完全所有权存疑，因为数据对于云平台是可见的。用户会担心内部运维人员越权访问以及被云平台所使用，即便采用了安全传输层协议(TransportLayerSecurity，简称TLS)、透明数据加密(TransparentDataEncryption，简称TDE)、密钥BYOK等数据加密技术也只能保证数据在存储和传输时的安全，一旦加载到运行态的数据库中就脱离了保护，此时，在服务器端，其他用户或者管理人员以数据库管理员身份登录，或者以内存转储的方式窃取用户数据，从而无法保证用户数据使用的安全可靠性。
技术实现思路
有鉴于此，本专利技术实施例提供一种数据加密系统、方法、数据处理方法、装置及电子设备，以解决现有技术存在的无法保证用户数据使用的安全可靠性的问本文档来自技高网...

【技术保护点】
1.一种数据加密系统，其特征在于，包括：至少一个客户端和服务器；/n所述至少一个客户端中的任意一个客户端，包括第一通信模块和第一处理模块；/n所述第一通信模块，用于通过远程证明及安全通信协议与所述服务器建立通信连接，并接收所述服务器返回的加密处理结果；/n所述第一处理模块，用于生成加密处理请求，并将所述加密处理请求通过所述第一通信模块发送至服务器；/n所述服务器，包括可信执行环境、第二通信模块和第二处理模块；/n所述第二通信模块，用于通过所述远程证明及安全通信协议获取加密处理请求；/n所述第二处理模块，用于在所述可信执行环境中，对所述加密处理请求进行处理，获得与所述加密处理请求相对应的加密处理...

【技术特征摘要】
1.一种数据加密系统，其特征在于，包括：至少一个客户端和服务器；
所述至少一个客户端中的任意一个客户端，包括第一通信模块和第一处理模块；
所述第一通信模块，用于通过远程证明及安全通信协议与所述服务器建立通信连接，并接收所述服务器返回的加密处理结果；
所述第一处理模块，用于生成加密处理请求，并将所述加密处理请求通过所述第一通信模块发送至服务器；
所述服务器，包括可信执行环境、第二通信模块和第二处理模块；
所述第二通信模块，用于通过所述远程证明及安全通信协议获取加密处理请求；
所述第二处理模块，用于在所述可信执行环境中，对所述加密处理请求进行处理，获得与所述加密处理请求相对应的加密处理结果，并将加密处理结果通过所述第二通信模块返回至相对应的客户端。


2.根据权利要求1所述的系统，其特征在于，所述第一处理模块，用于：
获取用户针对云数据库输入的数据处理请求；
利用数据密钥对所述数据处理请求进行加密处理，生成所述加密处理请求。


3.根据权利要求1所述的系统，其特征在于，所述第一处理模块，用于：
获取与所述数据处理请求相对应的敏感数据；
利用数据密钥对所述敏感数据进行加密处理，生成与所述数据处理请求相对应的加密处理请求。


4.根据权利要求1所述的系统，其特征在于，
所述第一处理模块，还用于确定与所述加密处理请求相对应的加密数据密钥；
所述第一通信模块，还用于在所述加密数据密钥为首次应用时，则将所述加密数据密钥发送至服务器。


5.根据权利要求1所述的系统，其特征在于，所述第二处理模块，还用于：
确定所述至少一个客户端各自对应的加密处理等级；
根据所述加密处理等级确定与所述至少一个客户端相对应的至少一个可信执行环境。


6.根据权利要求1所述的系统，其特征在于，
所述可信执行环境中包括：密钥存储区域，所述密钥存储区域用于存储与加密处理请求相对应的加密数据密钥和根密钥、根密钥校验表，所述根密钥校验表中存储有所述根密钥的校验信息。


7.根据权利要求6所述的系统，其特征在于，所述加密处理请求与一云数据库相对应；所述第二处理模块，还用于：
通过所述云数据库，在所述密钥存储区域中确定所述可信执行环境中的与所述加密处理请求相对应的加密数据密钥和根密钥，所述加密数据密钥是由所述根密钥对数据密钥进行加密获得的，所述数据密钥与所述加密处理请求相对应；
利用所述根密钥和所述加密数据密钥对所述加密处理请求进行处理，获得与所述加密处理请求相对应的加密处理结果。


8.根据权利要求7所述的系统，其特征在于，所述第二处理模块，还用于：
在接收客户端发送的加密处理请求之前，获取所述根密钥中包括的盐值和mac值；
基于所述盐值和mac值对所述根密钥进行校验；
在所述根密钥通过校验后，则允许利用所述根密钥和所述加密数据密钥对所述加密处理请求进行处理。


9.根据权利要求8所述的系统，其特征在于，所述第二处理模块，还用于：
获取根密钥校验表，所述根密钥校验表中存储有根密钥的校验信息；
基于所述根密钥校验表确定与所述根密钥相对应的盐值和mac值。


10.根据权利要求8所述的系统，其特征在于，所述第二处理模块，还用于：
基于所述盐值确定与所述根密钥相对应的理论mac值；
在所述理论mac值与所述mac值相同时，则确定所述根密钥通过校验；或者，
在所述理论mac值与所述mac值不同时，则确定所述根密钥未通过校验。


11.根据权利要求10所述的系统，其特征在于，所述第二通信模块，还用于：
在确定所述根密钥未通过校验之后，向客户端发送与所述根密钥相对应的校验反馈信息，以使所述客户端根据所述校验反馈信息对所述根密钥进行调整。


12.根据权利要求7所述的系统，其特征在于，所述第二处理模块，还用于：
通过所述根密钥和所述加密数据密钥对所述加密处理请求进行解密处理，获得与所述加密处理请求相对应的数据处理请求；
在所述可信执行环境中，基于所述数据处理请求在所述云数据库中进行数据处理，获得与所述数据处理请求相对应的数据处理结果；
通过所述根密钥和所述加密数据密钥对所述数据处理结果进行加密处理，获得加密处理结果。


13.根据权利要求12所述的系统，其特征在于，所述第二处理模块，还用于：
通过所述根密钥读取相对应的数据密钥表，获得数据密钥的属性信息；
根据所述属性信息和所述加密数据密钥查询密钥映射表，确定与所述加密数据密钥相对应的数据密钥，所述密钥映射表中存储有属性信息与数据密钥之间的映射关系；
利用所述数据密钥对所述加密处理请求进行解密处理，获得与所述加密处理请求相对应的数据处理请求。


14.根据权利要求13所述的系统，其特征在于，所述属性信息包括：数据行标识信息和数据列标识信息。


15.根据权利要求6-14中任意一项所述的系统，其特征在于，所述第二处理模块，还用于：
识别所述根密钥是否为更新状态；
在所述根密钥为更新状态时，则根据更新后的根密钥对数据进行加密处理。


16.根据权利要求6-14中任意一项所述的系统，其特征在于，所述第二处理模块，还用于：
识别所述数据密钥是否为更新状态；
在所述数据密钥为更新状态时，则对所述数据密钥表中更新之前的数据密钥保持不变，并将更新后的所述数据密钥添加至所述数据密钥表中。


17.根据权利要求6-14中任意一项所述的系统，其特征在于，所述第二处理模块，还用于：
在接收客户端发送的加密处理请求之后，通过执行引擎对所述加密处理请求进行识别，获得与所述加密处理请求相对应的加密数据和未加密数据；
将所述加密数据发送至可信执行环境进行处理，获得与所述加密数据相对应的第一数据结果，所述第一数据结果经过加密处理；
通过执行引擎对所述未加密数据进行处理，获得与所述未加密数据相对应的第二数据结果；
根据所述第一数据结果和第二数据结果获得与所述加密处理请求相对应的加密处理结果。


18.根据权利要求6-14中任意一项所述的系统，其特征在于，所述第二处理模块，还用于：
获取与所述加密处理请求相对应的用户标识信息和键值标识信息；
根据所述用户标识信息和键值标识信息获得数据密钥的属性信息和通过根密钥进行加密处理后的加密数据密钥；
利用所述属性信息和加密数据密钥对所述加密处理请求进行处理，获得与所述加密处理请求相对应的加密处理结果。


19.一种数据加密方法，其特征在于，包括：
获取用户针对云数据库输入的数据处理请求；
利用数据密钥对所述数据处理请求进行加密处理，获得加密处理请求；
将所述加密处理请求发送至服务器，以使所述服务器确定与所述加密处理请求相对应的加密数据密钥和根密钥，所述加密数据密钥是通过根密钥对所述数据密钥进行加密获得的；并通过所述加密数据密钥和根密钥在可信执行环境中对所述加密处理请求进行处理。


20.根据权利要求19所述的方法，其特征在于，利用数据密钥对所述数据处理请求进行加密处理，获得加密处理请求，包括：
获取与所述数据处理请求相对应的敏感数据；
利用数据密钥对所述敏感数据进行加密处理，获得与所述数据处理请求相对应的加密处理请求。


21.根据权利要求19所述的方法，其特征在于，所述方法还包括：
在与服务器进行首次通信连接时，利用远程证明及安全通信协议将所述根密钥发送至服务器中的可信执行环境。


22.根据权利要求19所述的方法，其特征在于，所述方法还包括：
确定与所述加密处理请求相对应的加密数据密钥；
在所述加密数据密钥为首次应用时，则将所述加密数据密钥发送至服务器。


23.根据权利要求19-22中任意一项所述的方法，其特征在于，所述方法还包括：
接收服务器发送的与所述加密处理请求相对应的加密处理结果；
对所述加密处理结果进行解密处理，获得与所述数据处理请求相对应的数据处理结果。


24.一种数据加密方法，其特征在于，包括：
接收至少一个客户端发送的加密处理请求，所述加密处理请求与一云数据库相对应；
通过所述云数据库确定可信执行环境中的与所述加密处理请求相对应的加密数据密钥和根密钥，所述加密数据密钥是由所述根密钥对数据密钥进行加密获得的，所述数据密钥与所述加密处理请求相对应；
利用所述根密钥和所述加密数据密钥对所述加密处理请求进行处理，获得与所述加密处理请求相对应的加密处理结果；
将所述加密处理结果发送至客户端。


25.根据权利要求24所述的方法，其特征在于，在接收客户端发送的加密处理请求之前，所述方法还包括：
获取所述根密钥中包括的盐值和mac值；
基于所述盐值和mac值对所述根密钥进行校验；
在所述根密钥通过校验后，则允许利用所述根密钥和所述加密数据密钥对所述加密处理请求进行处理。


26.根据权利要求25所述的方法，其特征在于，获取所述根密钥中包括的盐值和mac值，包括：
获取根密钥校验表，所述根密钥校验表中存储有根密钥的校验信息；
基于所述根密钥校验表确定...

【专利技术属性】
技术研发人员：汪晟，黎火荣，李飞飞，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY