本公开的实施例涉及用于对敏感数据进行加密和解密的方法、设备和介质。根据该方法,在应用网关处,获取第一用户经由客户端设备向第一业务服务器发送的将待录入数据录入第一业务服务器的第一请求;对待录入数据进行解析,以确定待录入数据中是否包括敏感数据;响应于确定待录入数据中包括敏感数据,基于第一服务器标识和第一访问权限从密钥管理系统获取第一密钥,以便基于第一密钥对敏感数据进行加密;将经加密的敏感数据与第一密钥标识组合成第一密文串;以及将第一密文串与待录入数据中的非敏感数据一起发送到所述第一业务服务器。由此,能够有效地保证敏感数据的安全性和可用性,并且可以降低加密和解密过程的计算量。并且可以降低加密和解密过程的计算量。并且可以降低加密和解密过程的计算量。
【技术实现步骤摘要】
用于对敏感数据进行加密和解密的方法、设备和介质
[0001]本公开的实施例总体涉及数据处理领域,并且更具体地涉及一种用于对敏感数据进行加密和解密的方法、设备和介质。
技术介绍
[0002]数据加密广泛应用于信息系统生命周期的采集、传输、存储、使用等各个阶段,用于保护数据的完整性和保密性。通过对数据进行加密,可提升数据泄露后的破解难度,致使攻击者无法获取原始数据。随着国家越来越重视数据安全和个人隐私信息之类的敏感数据的保护,数据加密也越来越多地应用到个人隐私保护领域。目前,为了保护敏感数据,通常使用信息摘要算法5(Message Digest Algorithm 5,MD5)之类的算法对敏感数据进行加密并存储,或者使用密钥管理系统(Key Management Service, KMS)对敏感数据进行从采集、交换到存储过程的全链路加密。但是,使用MD5算法对敏感数据进行加密的方式过于简单,容易存在被撞库的风险,例如目前国内存在许多提供MD5撞库的网站,因此这种加密方式并不可靠。使用密钥管理系统(KMS)对敏感数据进行全链路加密可以确保在各下游业务系统中传输的数据都是密文数据,但是这种方法存在业务改造成本大、加解密计算压力大、加解密过程不合规等风险。
[0003]由此,有必要提供一种用于对敏感数据进行加密和解密的技术,使得可以有效地保证敏感数据的安全性和可用性,而不会存在数据不合规的风险,并且可以降低加密和解密过程的计算量,进而有助于提高对敏感数据进行加密和解密的效率。
技术实现思路
[0004]针对上述问题,本公开提供了一种用于对敏感数据进行加密和解密的方法和设备,使得可以有效地保证敏感数据的安全性和可用性,而不会存在数据不合规的风险,并且可以降低加密和解密过程的计算量,进而有助于提高对敏感数据进行加密和解密的效率。
[0005]根据本公开的第一方面,提供了一种用于对敏感数据进行加密和解密的方法,包括:在应用网关处,获取第一用户经由客户端设备向第一业务服务器发送的将待录入数据录入所述第一业务服务器的第一请求,所述第一请求包括所述第一业务服务器的第一服务器标识,并且所述第一用户具有对所述第一业务服务器的第一访问权限;对所述待录入数据进行解析,以确定所述待录入数据中是否包括敏感数据;响应于确定所述待录入数据中包括敏感数据,基于所述第一服务器标识和所述第一访问权限从密钥管理系统获取第一密钥,以便基于所述第一密钥对所述敏感数据进行加密,所述第一密钥与第一密钥标识一一对应地保存在所述密钥管理系统中,并且所述第一密钥标识是基于所述第一服务器标识和所述第一访问权限确定的;将经加密的敏感数据与所述第一密钥标识组合成第一密文串;以及将所述第一密文串与所述待录入数据中的非敏感数据一起发送到所述第一业务服务器,以供存储在与所述第一业务服务器相关联的第一数据库中。
[0006]根据本公开的第二方面,提供了一种计算设备,包括:至少一个处理器;以及与所
述至少一个处理器通信连接的存储器;所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开的第一方面的方法。
[0007]在本公开的第三方面中,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中所述计算机指令用于使计算机执行本公开的第一方面的方法。
[0008]在一些实施例中,所述第一访问权限由所述第一业务服务器在对所述第一用户的身份验证通过之后发送给所述第一用户。
[0009]在一些实施例中,该方法还包括:获取第二用户经由客户端设备向所述第一业务服务器发送的访问第一业务服务器上的所述敏感数据的第二请求,所述第二请求包括所述第一服务器标识,并且所述第二用户具有对所述第一业务服务器的第二访问权限;基于所述第二访问权限,确定所述第二用户是否有权访问所述敏感数据;响应于确定所述第二用户有权访问所述敏感数据,从所述第一业务服务器获取与所述敏感数据相关联的所述第一密文串;从所述第一密文串中提取所述第一密钥标识;基于所述第一密钥标识获取所述第一密钥; 利用所述第一密钥对所述第一密文串进行解密,以获得所述敏感数据;以及将所述敏感数据发送给所述第二用户,以供在所述客户端设备上进行显示。
[0010]在一些实施例中,该方法还包括:获取第三用户经由客户端设备向第二业务服务器发送的访问所述第一业务服务器上的所述敏感数据的第三请求,所述第三请求包括所述第二业务服务器的第二服务器标识,并且所述第三用户具有对所述第二业务服务器的第三访问权限;基于所述第三访问权限,确定所述第三用户是否有权访问所述敏感数据;响应于确定所述第三用户有权访问所述敏感数据,从所述第一业务服务器获取与所述敏感数据相关联的所述第一密文串;从所述第一密文串中提取所述第一密钥标识;将所述第一密钥标识发送给所述密钥管理系统,以便从所述密钥管理系统获取所述第一密钥;利用所述第一密钥对所述第一密文串进行解密,以获得所述敏感数据;以及获取与所述第二业务服务器相关联的第二密钥,以对所述敏感数据进行加密。
[0011]在一些实施例中,获取与所述第二业务服务器相关联的第二密钥,以对所述敏感数据进行加密包括:基于所述第二服务器标识和所述第三访问权限从所述密钥管理系统获取所述第二密钥,所述第二密钥与第二密钥标识一一对应地保存在所述密钥管理系统中,所述第二密钥标识是基于所述第二服务器标识和所述第三访问权限生成的;利用所述第二密钥对所述敏感数据进行加密; 将经加密的敏感数据与所述第二密钥标识组合成第二密文串;以及将第二密文串发送给所述第二业务服务器,以供存储在与所述第二业务服务器相关联的第二数据库中。
[0012]在一些实施例中,所述第一密钥是在所述第一业务服务器向所述密钥管理系统注册所述第一服务器标识时,由所述密钥管理系统根据相应的访问权限生成的。
[0013]在一些实施例中,所述第二密钥是在所述第二业务服务器向所述密钥管理系统注册所述第二服务器标识时,由所述密钥管理系统根据相应的访问权限生成的。
[0014]在一些实施例中,所述敏感数据包括所述第一用户的手机号码、所述第一用户的身份证号码、所述第一用户的社保卡号码中的至少一者。
[0015]在一些实施例中,该方法还包括:如果所述敏感数据包括所述第一用户的手机号码,在基于所述第一密钥对所述敏感数据进行加密之前,先使用预定的加密算法对所述手
机号码进行加密。
[0016]应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0017]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标注表示相同或相似的元素。
[0018]图1示出了用于实现根据本专利技术的实施例的用于对敏感数据进行加密和解密的方法的系统100的示意图。
[0019]图2示出了根据本公开的实施例的应本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于对敏感数据进行加密和解密的方法,包括:在应用网关处,获取第一用户经由客户端设备向第一业务服务器发送的将待录入数据录入所述第一业务服务器的第一请求,所述第一请求包括所述第一业务服务器的第一服务器标识,并且所述第一用户具有对所述第一业务服务器的第一访问权限;对所述待录入数据进行解析,以确定所述待录入数据中是否包括敏感数据;响应于确定所述待录入数据中包括敏感数据,基于所述第一服务器标识和所述第一访问权限从密钥管理系统获取第一密钥,以便基于所述第一密钥对所述敏感数据进行加密,所述第一密钥与第一密钥标识一一对应地保存在所述密钥管理系统中,并且所述第一密钥标识是基于所述第一服务器标识和所述第一访问权限确定的;将经加密的敏感数据与所述第一密钥标识组合成第一密文串;以及将所述第一密文串与所述待录入数据中的非敏感数据一起发送到所述第一业务服务器,以供存储在与所述第一业务服务器相关联的第一数据库中。2.根据权利要求1所述的方法,其中所述第一访问权限由所述第一业务服务器在对所述第一用户的身份验证通过之后发送给所述第一用户。3.根据权利要求1所述的方法,还包括:获取第二用户经由客户端设备向所述第一业务服务器发送的访问第一业务服务器上的所述敏感数据的第二请求,所述第二请求包括所述第一服务器标识,并且所述第二用户具有对所述第一业务服务器的第二访问权限;基于所述第二访问权限,确定所述第二用户是否有权访问所述敏感数据;响应于确定所述第二用户有权访问所述敏感数据,从所述第一业务服务器获取与所述敏感数据相关联的所述第一密文串;从所述第一密文串中提取所述第一密钥标识;基于所述第一密钥标识获取所述第一密钥;利用所述第一密钥对所述第一密文串进行解密,以获得所述敏感数据;以及将所述敏感数据发送给所述第二用户,以供在所述客户端设备上进行显示。4.根据权利要求1所述的方法,还包括:获取第三用户经由客户端设备向第二业务服务器发送的访问所述第一业务服务器上的所述敏感数据的第三请求,所述第三请求包括所述第二业务服务器的第二服务器标识,并且所述第三用户具有对所述第二业务服务器的第三访问权限;基于所述第三访问权限,确定所述第三用户是否有权访问所述敏感数据;响应于确定所述第三用户有权访问所述敏感数据,从所述第一业务服务器获取与所述敏感数...
【专利技术属性】
技术研发人员:张静,陈亮,
申请(专利权)人:北京欧应信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。