本发明专利技术公开一种数据加密方法及装置,其中,该方法包括:预设不同数据加密需求方与具体加密服务组的映射关系;数据加密需求方调用分布式加密服务;分布式加密服务接收到加密请求后,对加密需求方进行身份认证和鉴权,认证和鉴权通过后,对数据进行加密;加密需求方获取密文后对密文数据进行传输或存储;解密调用方调用分布式数据解密服务对密文进行解密。该方法及装置通过对加解密服务的性能指标进行监控,根据服务性能指标数据动态对服务规模进行细粒度的扩缩容,采用动态加密服务机制,数据生产方和使用方无需接触加解密密钥,杜绝了密钥泄露的风险,安全性更好,极大程度的保证了权限最小化原则。了权限最小化原则。了权限最小化原则。
【技术实现步骤摘要】
一种数据加密方法及装置
[0001]本专利技术涉及数据安全领域,尤其是一种数据加密方法及装置。
技术介绍
[0002]当前大数据领域数据安全管控的方法有以下几种:
[0003]第一种方法:在入库前的数据生产或传输过程中使用同一个密钥对敏感数据进行加密,数据使用方使用对应密钥(对等或不对等)进行解密;
[0004]第二种方法:对敏感数据进行高级别的权限管控,从物理和技术上保证只有必要的人员可以接触到敏感数据;
[0005]第三种方法:在数据库的存取引擎上植入加解密机制,敏感数据加解密对用户透明。
[0006]以上方法,存在以下缺陷和不足:
[0007]第一种方法:数据生产方或使用方可以接触到加解密密钥,存在密钥泄露风险,密钥泄露则加密数据不再安全;
[0008]第二种方法:虽然有高级别权限管控,但数据仓库管理人员还是可以直接接触敏感数据,不满足权限最小化原则;
[0009]第三种方法:数据库存取引擎上植入加解密机制,不能避免数据在入库前数据传输过程中存在泄露的可能。
技术实现思路
[0010]为解决数据加密存在的上述问题,本专利技术提供一种数据加密方法及装置,通过对加解密服务的性能指标进行监控,根据服务性能指标数据动态对服务规模进行细粒度的扩缩容,采用动态加密服务机制,数据生产方和使用方无需接触加解密密钥,杜绝了密钥泄露的风险,安全性更好,极大程度的保证了权限最小化原则。
[0011]为实现上述目的,本专利技术采用下述技术方案:
[0012]在本专利技术一实施例中,提出了一种数据加密方法,该方法包括:
[0013]S01、预设不同数据加密需求方与具体加密服务组的映射关系;
[0014]S02、数据加密需求方调用分布式加密服务;
[0015]S03、分布式加密服务接收到加密请求后,对加密需求方进行身份认证和鉴权,认证和鉴权通过后,对数据进行加密;
[0016]S04、加密需求方获取密文后对密文数据进行传输或存储;
[0017]S05、解密调用方调用分布式数据解密服务对密文进行解密。
[0018]进一步地,所述S03包括:
[0019]S031、对加密需求方进行认证和鉴权;
[0020]S032、根据预设的加密需求方与具体加密服务组的映射关系,将加密请求分发到对应的加密服务组;
[0021]S033、加密服务组随机选择一个加密服务处理加密请求;
[0022]S034、加密服务组选择加密算法,并从加密算法对应的密钥池中取出一个或一对密钥;
[0023]S035、加密服务进行加密生成密文并产生一条加密事件数据,并存入至数据库中;
[0024]S036、将加密事件数据转换成字节数组返回给加密需求方。
[0025]进一步地,所述S034中加密服务组选择加密算法依据可配置算法与请求的映射规则,随机选择或者指定算法。
[0026]进一步地,所述加密事件数据包括一个全局唯一的64位的流水号、加密算法以及加密密钥。
[0027]进一步地,所述S05包括:
[0028]S051、分布式数据解密服务对解密需求方进行身份认证和鉴权;
[0029]S052、根据预设的解密需求方与具体解密服务组的映射关系,将加密请求分发到对应的解密服务组;
[0030]S053、解密服务从密文中读取64位流水号和16位密文长度信息;根据密文长度信息从密文中读取相应长度的密文数据;
[0031]S054、根据流水号从加解密服务数据库中读取其对应的加密事件记录,并使用记录中标识的加密算法以及密钥对密文数据进行解密;
[0032]S055、将解密后明文数据返回解密调用方。
[0033]在本专利技术一实施例中,还提出了一种数据加密装置,该装置包括:
[0034]预设映射关系模块、预设不同数据加密需求方与具体加密服务组的映射关系;
[0035]调用模块、数据加密需求方调用分布式加密服务;
[0036]加密模块、分布式加密服务接收到加密请求后,对加密需求方进行身份认证和鉴权,认证和鉴权通过后,对数据进行加密;
[0037]传输存储模块、加密需求方获取密文后对密文数据进行传输或存储;
[0038]解密模块、解密调用方调用分布式数据解密服务对密文进行解密。
[0039]进一步地,所述加密模块包括:
[0040]加密认证模块、对加密需求方进行认证和鉴权;
[0041]加密对应分发模块、根据预设的加密需求方与具体加密服务组的映射关系,将加密请求分发到对应的加密服务组;
[0042]选择加密请求模块、加密服务组随机选择一个加密服务处理加密请求;
[0043]选择加密算法模块、加密服务组选择加密算法,并从加密算法对应的密钥池中取出一个或一对密钥;
[0044]加密事件数据模块、加密服务进行加密生成密文并产生一条加密事件数据,并存入至数据库中;
[0045]返回加密方模块、将加密事件数据转换成字节数组返回给加密需求方。
[0046]进一步地,所述选择加密算法模块中加密服务组选择加密算法依据可配置算法与请求的映射规则,随机选择或者指定算法。
[0047]进一步地,所述加密事件数据包括一个全局唯一的64位的流水号、加密算法以及加密密钥。
[0048]进一步地,所述解密模块包括:
[0049]解密认证模块、分布式数据解密服务对解密需求方进行身份认证和鉴权;
[0050]解密对应分发模块、根据预设的解密需求方与具体解密服务组的映射关系,将加密请求分发到对应的解密服务组;
[0051]读取密文模块、解密服务从密文中读取64位流水号和16位密文长度信息;根据密文长度信息从密文中读取相应长度的密文数据;
[0052]密文数据解密模块、根据流水号从加解密服务数据库中读取其对应的加密事件记录,并使用记录中标识的加密算法以及密钥对密文数据进行解密;
[0053]返回解密方模块、将解密后明文数据返回解密调用方。
[0054]在本专利技术一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述数据加密方法。
[0055]在本专利技术一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行数据加密方法的计算机程序。
[0056]有益效果:
[0057]1、本专利技术极大程度的保证了权限最小化原则。
[0058]2、本专利技术通过对加解密服务的性能指标进行监控,根据服务性能指标数据动态对服务规模进行细粒度的扩缩容。
[0059]3、本专利技术采用动态加密服务机制,数据生产方和使用方无需接触加解密密钥,杜绝了密钥泄露的风险,安全性更好。
附图说明
[0060]图1是本专利技术一实施例数据加密方法的流程示意图;
[0061]图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据加密方法,其特征在于,该方法包括:S01、预设不同数据加密需求方与具体加密服务组的映射关系;S02、数据加密需求方调用分布式加密服务;S03、分布式加密服务接收到加密请求后,对加密需求方进行身份认证和鉴权,认证和鉴权通过后,对数据进行加密;S04、加密需求方获取密文后对密文数据进行传输或存储;S05、解密调用方调用分布式数据解密服务对密文进行解密。2.根据权利要求1所述的数据加密方法,其特征在于,所述S03包括:S031、对加密需求方进行认证和鉴权;S032、根据预设的加密需求方与具体加密服务组的映射关系,将加密请求分发到对应的加密服务组;S033、加密服务组随机选择一个加密服务处理加密请求;S034、加密服务组选择加密算法,并从加密算法对应的密钥池中取出一个或一对密钥;S035、加密服务进行加密生成密文并产生一条加密事件数据,并存入至数据库中;S036、将加密事件数据转换成字节数组返回给加密需求方。3.根据权利要求2所述的数据加密方法,其特征在于,所述S034中加密服务组选择加密算法依据可配置算法与请求的映射规则,随机选择或者指定算法。4.根据权利要求2所述的数据加密方法,其特征在于,所述加密事件数据包括一个全局唯一的64位的流水号、加密算法以及加密密钥。5.根据权利要求1所述的数据加密方法,其特征在于,所述S05包括:S051、分布式数据解密服务对解密需求方进行身份认证和鉴权;S052、根据预设的解密需求方与具体解密服务组的映射关系,将加密请求分发到对应的解密服务组;S053、解密服务从密文中读取64位流水号和16位密文长度信息;根据密文长度信息从密文中读取相应长度的密文数据;S054、根据流水号从加解密服务数据库中读取其对应的加密事件记录,并使用记录中标识的加密算法以及密钥对密文数据进行解密;S055、将解密后明文数据返回解密调用方。6.一种数据加密装置,其特征在于,该装置包括:预设映射关系模块、预设不同数据加密需求方与具体加密服务组的映射关系;调用模块、数据加密需求方调用分布式加密服务;加密模块、分布式加密服务接收到加密请求后,对加密需求方进行身份认证和鉴权...
【专利技术属性】
技术研发人员:毛春阳,闫一帅,
申请(专利权)人:中盈优创资讯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。