本申请涉及数据安全服务的技术领域,尤其是涉及一种多租户模型的数据加解密方法、系统及存储介质,其包括加解密服务器接收服务启动指令;加解密服务器接收应用系统基于加密指令发出的明文数据和与明文数据相对应的加密标识;加解密服务器对加密标识进行验证;验证通过后,加解密服务器从硬件安全模块中获取密钥以对明文数据进行加密,以得到相应的密文数据;加解密服务器接收应用系统基于解密指令发出的密文数据和与密文数据相对应的解密标识;加解密服务器对解密标识进行验证;验证通过后,加解密服务器从硬件安全模块中获取密钥以对密文数据进行解密,以得到相应的明文数据。本申请具有实现中心化的加解密服务以便于企业进行管理维护的效果。业进行管理维护的效果。业进行管理维护的效果。
【技术实现步骤摘要】
一种多租户模型的数据加解密方法、系统及存储介质
[0001]本申请涉及数据安全服务的
,尤其是涉及一种多租户模型的数据加解密方法、系统及存储介质。
技术介绍
[0002]随着进入数字化时代,数据同时兼具国家安全、数字经济、社会治理、个人隐私等多个属性,随着国家多项法案的制定实施,新时代数据安全治理的新局面正慢慢呈现,面对大数据的洪流,数据安全问题如何进行应对,用户隐私如何进行保护,是每一个企业比对考虑并进行采取的措施。
[0003]数据安全的重点之一就是为敏感数据做加密存储,这也是满足监管合规的必要条件,相关技术中的各种应用程序自主完成数据加密的技术差异性非常大:加密算法、加盐方式、存储结构各不相同,不利于管理和维护。
[0004]以用户姓名、手机号、身份证号等信息的加密为例,相关技术中包括以下步骤:应用系统的开发人员在代码中增加AES或其他加解密算法,实现加密、解密方法;将密钥加密存储或存放在应用系统中的安全软件中;找到姓名、手机号、身份证号存储的代码,增加加密方法,并记录返回的密文和iv;找到姓名、手机号、身份证号存储的代码,增加解密方法,调用时传递密文和iv。
[0005]但是使用相关技术中的方法,加解密算法需要由应用系统自行实现,且如果一个企业中存在较多应用系统,那密钥和加解密算法会分散至各个应用系统中,不利于企业进行管理维护。
技术实现思路
[0006]为了实现中心化的加解密服务以便于企业进行管理维护,本申请提供一种多租户模型的数据加解密方法、系统及存储介质。<br/>[0007]第一方面,本申请提供的一种多租户模型的数据加解密方法,采用如下的技术方案:一种多租户模型的数据加解密方法,其特征在于,包括:加解密服务器接收服务启动指令;所述加解密服务器接收应用系统基于加密指令发出的明文数据和与所述明文数据相对应的加密标识,所述加解密标识预存在所述应用系统中集成的加解密工具包内;所述加解密服务器对所述加密标识进行验证;验证通过后,所述加解密服务器从硬件安全模块中获取相对应的密钥并通过所述密钥对所述明文数据进行加密,以得到相应的密文数据;所述加解密服务器将所述密文数据发送至所述应用系统中以完成加密。
[0008]在其中的一些实施例中,所述加解密服务器接收应用系统基于解密指令发出的密文数据和与所述密文数据相对应的解密标识,所述解密标识预存在所述应用系统中集成的
加解密工具包内;所述加解密服务器对所述解密标识进行验证;验证通过后,所述加解密服务器从所述硬件安全模块中获取相对应的密钥并通过所述密钥对所述密文数据进行解密,以得到相应的明文数据;所述加解密服务器将所述明文数据发送至所述应用系统中以完成解密。
[0009]在其中的一些实施例中,所述加密标识和所述解密标识中皆包括apiSign,所述apiSign为签名,所述apiSign的生成过程,具体包括以下步骤:所述应用程序获取企业端颁发的apiSignKey,并将所述apiSignKey发送至所述加解密工具包内,所述apiSignKey由所述加解密服务器预先通过私密通道发送至所述企业端;所述加解密工具包获取所述apiSignKey,并加入相应的时间戳和随机数以得到签名因素集;使用签名加密方法对所述签名因素集进行加密以生成相应的所述apiSign。
[0010]在其中的一些实施例中,所述加解密服务器对所述加解密标识或解密标识进行验证,包括以下步骤:所述加解密服务器调用与所述应用程序中的apiSignKey相对应的myapiSignKey;所述加解密服务器将所述apiSign进行解码以得到签名因素集,并获取所述签名因素集内的时间戳和随机数,并将所述时间戳和随机数加入至所述myapiSignKey以得到验证签名因素集;使用签名加密方法对所述验证签名因素集进行加密以生成相应的myapiSign,将所述myapiSign与所述apiSign进行比对;若所述myapiSign与所述apiSign相等,则验证通过。
[0011]在其中的一些实施例中,所述加密标识还包括keyID,所述keyID为密钥唯一标识,所述加解密服务器从硬件安全模块中获取相对应的密钥并通过所述密钥对所述明文数据进行加密,以得到相应的密文数据,包括以下步骤:所述加解密服务器获取所述加密标识中的keyID,并从所述硬件安全模块中获取与keyID相匹配的密钥;使用所述密钥对所述明文数据进行加密,以得到相应的密文,将所述密钥添加至所述密文中,再添加随机向量至密文中,以得到多元结构的密文数据,所述密文数据的组合结构为encrypt
‑
{keyID}
‑
{iv}
‑
{密文},其中encrypt为固定前缀,iv为本次加密的随机向量,密文是加密后的数据做base64后的字符串。
[0012]在其中的一些实施例中,所述加解密服务器硬件安全模块中获取相对应的密钥并通过所述密钥对所述密文数据进行解密,包括以下步骤:所述加解密服务器通过所述密文数据中的{keyID}获取密文数据中keyID的参数,并根据keyID的参数从所述硬件安全模块中获取与keyID相匹配的密钥;所述加解密服务器通过所述密文数据中的{iv}获取密文数据中随机向量的参数;所述加解密服务器通过所述密钥与所述随机变量对所述密文数据进行解密。
[0013]在其中的一些实施例中,所述加解密服务器判断接收的是明文数据还是密文数据,若接收的是明文数据,则判断所述明文数据是否为所述应用系统基于加密指令发出的,
若不是,则取消加密且生成相应的错误报告,并将所述错误报告与所述明文数据一同退回至所述应用系统中;若接受的是密文数据,则判断所述密文数据是否为所述应用系统基于解密指令发出的,若不是,则取消解密且生成相应的错误报告,并将所述错误报告与所述密文数据一同退回至所述应用系统中。
[0014]在其中的一些实施例中,所述加解密服务器进行加密或解密后,所述加解密工具包对所述密文数据或明文数据进行存储,并在预设时间内对所述加解密工具包内存储的密文数据进行筛选,以判断是否所有所述密文数据皆为多元结构数据,若存在不是多元结构数据的密文数据,则根据所述密文数据内的{keyID}识别其相对应的应用程序,并将所述密文数据发送至该应用程序以进行重新加密。
[0015]第二方面,本申请提供的一种多租户模型的数据加解密系统,采用如下的技术方案:一种多租户模型的数据加解密系统,其特征在于:包括应用系统、加解密工具包、加解密服务器和硬件安全模块,其中,所述应用系统用于接收加密指令,并基于加密指令发出明文数据;所述应用系统还用于接收解密指令,并基于解密指令发出密文数据;所述加解密工具包集成在所述应用系统内,用于接收应用系统发出的明文数据和密文数据,用于存储与应用程序发出的明文数据相对应的加密标识或与密文数据相对应的解密标识,当应用系统接收到加密指令后,将明文数据和加密标识发送至加解密服务器,当应用系统接收到解密指令后,将密文数据和解密标识发送至加解密服务器;所述加解密服本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多租户模型的数据加解密方法,其特征在于,包括:加解密服务器接收服务启动指令;所述加解密服务器接收应用系统基于加密指令发出的明文数据和与所述明文数据相对应的加密标识,所述加解密标识预存在所述应用系统中集成的加解密工具包内;所述加解密服务器对所述加密标识进行验证;验证通过后,所述加解密服务器从硬件安全模块中获取相对应的密钥并通过所述密钥对所述明文数据进行加密,以得到相应的密文数据;所述加解密服务器将所述密文数据发送至所述应用系统中以完成加密。2.根据权利要求1所述的方法,其特征在于,还包括:所述加解密服务器接收应用系统基于解密指令发出的密文数据和与所述密文数据相对应的解密标识,所述解密标识预存在所述应用系统中集成的加解密工具包内;所述加解密服务器对所述解密标识进行验证;验证通过后,所述加解密服务器从所述硬件安全模块中获取相对应的密钥并通过所述密钥对所述密文数据进行解密,以得到相应的明文数据;所述加解密服务器将所述明文数据发送至所述应用系统中以完成解密。3.根据权利要求2所述的方法,其特征在于:所述加密标识和所述解密标识中皆包括apiSign,所述apiSign为签名,所述apiSign的生成过程,具体包括以下步骤:所述应用程序获取企业端颁发的apiSignKey,并将所述apiSignKey发送至所述加解密工具包内,所述apiSignKey由所述加解密服务器预先通过私密通道发送至所述企业端;所述加解密工具包获取所述apiSignKey,并加入相应的时间戳和随机数以得到签名因素集;使用签名加密方法对所述签名因素集进行加密以生成相应的所述apiSign。4.根据权利要求3所述的方法,其特征在于:所述加解密服务器对所述加解密标识或解密标识进行验证,包括以下步骤:所述加解密服务器调用与所述应用程序中的apiSignKey相对应的myapiSignKey;所述加解密服务器将所述apiSign进行解码以得到签名因素集,并获取所述签名因素集内的时间戳和随机数,并将所述时间戳和随机数加入至所述myapiSignKey以得到验证签名因素集;使用签名加密方法对所述验证签名因素集进行加密以生成相应的myapiSign,将所述myapiSign与所述apiSign进行比对;若所述myapiSign与所述apiSign相等,则验证通过。5.根据权利要求2所述的方法,其特征在于:所述加密标识还包括keyID,所述keyID为密钥唯一标识,所述加解密服务器从硬件安全模块中获取相对应的密钥并通过所述密钥对所述明文数据进行加密,以得到相应的密文数据,包括以下步骤:所述加解密服务器获取所述加密标识中的keyID,并从所述硬件安全模块中获取与keyID相匹配的密钥;使用所述密钥对所述明文数据进行加密,以得到相应的密文,将所述密钥添加至所述密文中,再添加随机向量至密文中,以得到多元结构的密文数据,所述密文数据的组合结构为encrypt
‑
{keyID}
‑
{iv}
‑
{密文},其中encrypt为固定前缀,iv为本次加密的随机向量,密
...
【专利技术属性】
技术研发人员:陈山,
申请(专利权)人:杭州沧浪健康管理有限公司杭州联科美讯生物医药技术有限公司杭州丁香健康管理有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。