一种分布式的数据加解密的方法技术

本发明专利技术提供了一种分布式的数据加解密的方法。所述方法是，一个完整的业务过程中所有的明文，被安排在两类业务终端

【技术实现步骤摘要】
一种分布式的数据加解密的方法


[0001]本专利技术涉及一种分布式的数据加解密的方法。

技术介绍

[0002]数据加密是计算机行业保证数据安全的常规技术手段。但在以下应用场景下，所有被处理的数据都会明文方式出现在处理这些数据的信息终端上。而这些业务过程中的呈现的明文，就会成为网络安全的攻击方的攻击目标，成为影响整个业务过程安全的安全隐患。
[0003]场景1：文件录入/阅读。
[0004]在文件的录入和阅读阶段，正在被录入或被阅读的文件，必然是以明文状态出现在录入或阅读的信息终端上。
[0005]对于一个被病毒入侵的信息终端而言，明文就意味则泄密。
[0006]对于一个由多人协同录入的大型文件，泄密的风险会随着录入人员的增加而增加。
[0007]场景2：网络应用的登录环节在进行网络应用登录时，输入的登录终端的登录账号、密码，总会在某一时刻以明文的方式呈现在登录终端。病毒的入侵、操作系统、应用系统的漏洞、后门，都会造成这些敏感信息的泄露。
[0008]这个场景还有如下几个行业痛点：痛点1：记住登录用户名、密码。
[0009]在网络应用全面渗透人们的工作、生活的方方面面今天，一个网民最少要有2、30个网络应用。这就意味着他需要记住最少2、30个与之相对应的登录账号、密码。
[0010]一方面各种专业的科普式的宣传和号召式是，密码最好选择位数足够长且包含各种特殊符号的强密码，最好要一个应用一个密码。另一个方面就是对于绝大多数的网民而言，在没有超强记忆力加持的情况下，又不得不采用弱密码，且一个弱密码对应多个网络应用。第三个方面就是提供网络应用的服务器，不断遭受各种各样的撞库攻击。而在各种AI能力加持下，服务器的抵御撞库攻击的能力也越来越弱。
[0011]痛点2：在越来越多的网络应用账号为手机号码的今天，攻击方只要在AI的驱动下，猜测登录密码即可。这就对服务器提出了一个新要求，既服务器首先要对进行登录操作的人，进行一个测试，以判断进行登录操作的“人”是“生物人”还是“机器人”。目前这一测试，主要通过填写各种各样的验证码来实现。
[0012]但这种验证码测试方法的出现，并未起到太长久的有效作用，究其原因就是，验证码太复杂，首先被“考倒”是“生物人”而非机器人。验证码太简单，通过AI训练的机器人，很快就可以达到普通“生物人”的识别能力。更何况攻击方还有拦截验证码并转发到第三方，由“生物人”解读验证码这一终极杀手武器可以使用。
[0013]场景3：诈骗攻击
诈骗攻击是目前实施网络攻击的各种方法中，一类很重要也很常见的攻击方法。而无法有效抵御诈骗攻击的主要原因就是：原因1：对于绝大多数的网民而言，他们是无法抵抗各种各样设计的攻击套路。
[0014]原因2：攻击方可以通过各种技术手段进行攻击，从而获取验证码，特别是以明文方式存在的验证码。
[0015]验证短信是所有验证码中，最常见且应用范围最广的验证码。在网银这一高价值的网络应用中，验证短信承担了重要的验证角色，并承担了相当大一部分的验证工作。而短信嗅探攻击，则是一种专门针对为获得处于明文状态下的短信验证码而设计的攻击方式。。这一攻击方式已经出现多年，业内至今尚未找到有效的解决办法。
[0016]对于这种呈现在多应用场景、多业务过程中的核心敏感数据因处于明文状态而产生的泄露或或因此而引起的攻击，至今业内也没有一个有效的应对方案。

技术实现思路

[0017]为解决这种在多应用场景、多业务过程中普遍存在的核心敏感数据因处于明文状态而产生的泄露或因此而引起的攻击，本专利技术提供了专为解决以上问题的分布式的数据加解密的方法。
[0018]所述的方法是：在一个业务过程中需要呈现的全部明文，将被分布在两类业务终端上出现。这两类业务终端分别是：主业务终端和加密业务终端。在整个的业务过程中，两类终端最少各有一台。这两类终端之间，没有任何的直接电气连接，以确保在任何时候，一个完整的业务过程中的所有数据的明文，都不会全部出现在同一类业务终端上。
[0019]所述的加密业务终端具有以下两种技术特征中的一种：技术特征1：所述的加密业务终端没有任何的网络功能。数据进入所述终端的方式只有键盘输入和/或摄像头输入。所述终端的数据输出只有屏幕显示这唯一的一种方式。
[0020]技术特征2：所述的加密业务终端具有受限的网络功能。所述的受限的网络功能的技术特征是，在所述的加密业务终端进行加/解密的作业过程中，所述终端的网络功能需全部关闭。数据进入所述终端的方式是以下三种方式中的一种或多种。方式1：键盘输入。方式2：摄像头输入。方式3：短信输入。所述终端的数据输出只有屏幕显示这唯一的一种方式。
[0021]所述方法的优点是：优点1：采用所述方法的网络应用，可以在不增加额外预算的情况下，轻松构建一条全业务过程的安全控制链。
[0022]在本专利技术的多主业务终端和/或多加密业务终端模式下，可构成一个由相关业务过程操作人员共同参与的业务过程控制链。传统的各种被业内普遍认可安全极高的各种“链”，都是由多台具有特定功能的信息终端共同参与下完成构建。而在本专利技术的多主业务终端和/或多加密业务终端模式下，加密终端的操作人，也参与到控制“链”的构建过程中。这将使由本专利技术所述方法构成的控制链，具有更高等级的安全度。
[0023]所述方法是目前业内唯一一个在客户端可有效对抗各种利用操作系统、应用系统
的安全漏洞、后门，以盗取整个业务过程中的全部明文为目的或实施远程遥控的攻击的防御方案。
[0024]优点2：大大降低了信息终端防御病毒的技术门槛。
[0025]整个业务过程的明文，被分布在两类终端上呈现，就使得任何一个入侵到主业务终端的病毒，都无法接触到整个业务过程的全部明文。
[0026]主业务终端和加密业务终端的无直接电气连接，加密业务终端的无网络特性或受限网络特性，数据进出加密业务终端技术特性，这三大技术特征，在提高整体业务过程数据安全度的同时，大大降低了终端防御病毒的技术门槛。
[0027]优点3：大大降低了病毒的攻击效果。
[0028]对于一个以盗取明文为目的的病毒而言，一个业务过程中的所有明文，永远都不会在同一类终端上呈现。这就使得入侵到主业务终端或加密业务终端的病毒，永远都只能获得部分的明文。
[0029]对于入侵到具有技术特征1的加密业务终端的病毒而言，具有极小的机会，送出其盗取到的明文数据。
[0030]对于入侵到具有技术特征2的加密业务终端的病毒而言，通过短信或在非加密工作时间可能开放的网络功能，送出其盗取的明文，就意味着入侵行为的暴露。
[0031]不论是那种技术特征的加密业务终端，所有的无论是利用现有还是未来发现的操作系统、应用系统的安全漏洞或后门，发起的远程控制攻击，都将永远失效。
[0032]优点4：大大降低了对绝大多数普通网民记忆力的要求。
[0033]在网络应用无处不在的当下，对于绝大多数的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式的数据加解密的方法，其特征在于：在一个业务过程中需要呈现的全部明文，被分布在两类业务终端上出现；这两类业务终端分别是，主业务终端和加密业务终端；在整个的业务过程中，这两类终端中，每一种业务终端最少各有一台；这两类终端之间，没有任何的直接电气连接；在一个完整的业务过程中的全部数据的明文，都不会全部出现在同一类业务终端上；所述的加密业务终端具有以下两种技术特征中的一种：技术特征1：所述的加密业务终端没有任何的网络功能...

【专利技术属性】
技术研发人员：黄策，
申请(专利权)人：黄策，
类型：发明
国别省市：