本公开的实施例提供用于数据安全的方法、装置、电子设备和计算机可读介质。在此描述的方法包括:在数据保护服务处,从操作系统的内核空间接收针对目标数据的访问请求,所述请求由业务服务发起,所述数据保护服务和所述业务服务均运行于用户空间;响应于所述访问请求,通过与运行于所述内核空间的一个或多个内核模块协作,以对所述业务服务透明的方式,对所述目标数据执行保护操作;以及针对应用了所述保护操作的目标数据,执行所述访问请求。执行所述访问请求。执行所述访问请求。
【技术实现步骤摘要】
用于数据安全的方法、装置、设备和存储介质
[0001]本公开的示例实施例总体涉及数字保护,并且更具体地,涉及用于数据安全的方法、装置、设备和计算机可读存储介质。
技术介绍
[0002]随着互联网业务等各种应用的发展,对关键数据的保护需求日益增强。例如,需要保护的数据类型可能包括:服务器使用的各种证书、密钥文件,业务软件敏感配置文件,业务交互过程中生成的授权信息文件,涉及隐私相关的数据文件,等等。期望从文件系统级别对数据进行保护。
技术实现思路
[0003]在本公开的第一方面,提供一种用于数据安全的方法。该方法包括:在数据保护服务处,从操作系统的内核空间接收针对目标数据的访问请求,所述请求由业务服务发起,所述数据保护服务和所述业务服务均运行于用户空间;响应于所述访问请求,通过与运行于所述内核空间的一个或多个内核模块协作,以对所述业务服务透明的方式,对所述目标数据执行保护操作;以及针对应用了所述保护操作的目标数据,执行所述访问请求。
[0004]在本公开的第二方面,提供一种用于数据安全的装置。该装置包括:请求接收模块,被配置为在数据保护服务处从操作系统的内核空间接收针对目标数据的访问请求,所述请求由业务服务发起,所述数据保护服务和所述业务服务均运行于用户空间;数据保护模块,被配置为响应于所述访问请求,通过与运行于所述内核空间的一个或多个内核模块协作,以对所述业务服务透明的方式,对所述目标数据执行保护操作;以及数据访问模块,被配置为针对应用了所述保护操作的目标数据,执行所述访问请求。
[0005]在本公开的第三方面,提供了一种电子设备。该电子设备包括至少一个处理单元;以及至少一个存储器,至少一个存储器被耦合到至少一个处理单元并且存储用于由至少一个处理单元执行的指令。指令在由至少一个处理单元执行时使电子设备执行根据本公开的第一方面的方法。
[0006]在本公开的第四方面,提供了一种计算机可读存储介质。该计算机可读存储介质上存储有计算机程序,计算机程序可由处理器执行以执行根据本公开的第一方面的方法。
[0007]应当理解,此部分中所描述的内容并非旨在限定本公开的实施例的关键特征或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的描述而变得容易理解。
附图说明
[0008]在下文中,结合附图并参考以下详细说明,本公开各实现方式的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0009]图1示出了根据本公开一些实施例的用于数据安全的系统的框图;
[0010]图2示出了根据本公开一些实施例的用于数据安全的方法的流程图;
[0011]图3示出了根据本公开一些实施例的用于数据读取的方法的流程图;
[0012]图4示出了根据本公开一些实施例的用于无感数据保护配置的方法的流程图;
[0013]图5示出了根据本公开一些实施例的用于数据安全的装置的框图;
[0014]图6示出了能够被用来实现本公开一些实施例的电子设备的框图。
具体实施方式
[0015]下面将参照附图更详细地描述本公开的实施例。虽然附图中示出了本公开的一些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
[0016]在本公开的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“一些实施例”应当理解为“至少一些实施例”。下文还可能包括其它明确的和隐含的定义。
[0017]术语“响应于”表示相应的事件发生或者条件得以满足。将会理解,响应于该事件或者条件而被执行的后续动作的执行时机,与事件发生或者条件满足的时间,这二者不一定是强关联的。在某些情况下,后续动作可在事件发生或者条件成立时立即被执行;在另一些情况下,后续动作也可在事件发生或者条件成立后经过一段时间才被执行。
[0018]可以理解的是,本技术方案所涉及的数据(包括但不限于数据本身、数据的获得或使用)应当遵循相应法律法规及相关规定的要求。
[0019]可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当根据相关法律法规通过适当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
[0020]例如,在响应于接收到用户的主动请求时,向用户发送提示信息,以明确地提示用户,其请求执行的操作将需要获得和使用到用户的个人信息,从而使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
[0021]作为一种可选的但非限制性的实现方式,响应于接收到用户的主动请求,向用户发送提示信息的方式,例如可以是弹出窗口的方式,弹出窗口中可以以文字的方式呈现提示信息。此外,弹出窗口中还可以承载供用户选择“同意”或“不同意”向电子设备提供个人信息的选择控件。
[0022]可以理解的是,上述通知和获得用户授权过程仅是示意性的,不对本公开的实现方式构成限定,其它满足相关法律法规的方式也可应用于本公开的实现方式中。
[0023]上文已经提到,对数据进行保护的需求日益增长。期望的是从文件系统级别对数据保护提供支持。如果仅仅从用户应用级别执行对数据的加密和解密等操作,则没有操作系统和底层硬件的支持,保护的力度和级别可能无法达到预期。而如果将业务应用直接与操作系统的内核模块甚至底层存储系统对接,则可能需要业务服务与内核模块进行交互和
配合,例如调用操作系统的各种接口等。这可能需要修改业务服务的配置甚至代码,因此是不期望的。
[0024]根据本公开的实施例,提供了一种运行于用户空间、但是借助了操作系统的各内核模块来提供数据保护的方案。在此提出的数据保护服务可以被视为一种在操作系统内核的支持下运行在用户空间的安全文件系统。用户空间中的业务服务可以注册并使用该数据保护服务。由此,对于业务服务所要访问和使用的数据,数据保护服务可以通过与内核模块提供的协作来执行数据保护,这些数据保护操作对于业务服务而言是透明的。
[0025]而且,数据保护服务还可以提供以下一个或多个附加的特征:访问方身份验证,对主机和容器二者的支持,对保护策略的动态配置,借助于底层硬件设备的加强的安全性保护,系统故障后对受保护数据的恢复,对用户无感的保护路径设置,等等。本公开的这些以及其他方面将通过参考附图的描述而变得更加清晰。
[0026]在参考附图描述本公开的各示例实施例之前,首先对本公开使用的若干术语进行定义。
[0027]在此使用的术语“操作系统”(OS)是指一组主管并控制计算机操作、运用和运行硬件、软件资源和本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于数据安全的方法,包括:在数据保护服务处,从操作系统的内核空间接收针对目标数据的访问请求,所述请求由业务服务发起,所述数据保护服务和所述业务服务均运行于用户空间;响应于所述访问请求,通过与运行于所述内核空间的一个或多个内核模块协作,以对所述业务服务透明的方式,对所述目标数据执行保护操作;以及针对应用了所述保护操作的目标数据,执行所述访问请求。2.根据权利要求1所述的方法,其中所述访问请求涉及对所述数据的写入,其中对所述目标数据执行保护操作包括:在所述数据保护服务处,对待写入的所述目标数据进行加密,并且其中执行所述访问请求包括:经由所述一个或多个内核模块中的至少一个,将所述目标数据的加密副本写入存储系统。3.根据权利要求1所述的方法,其中所述访问请求涉及对所述目标数据的读取,其中对所述目标数据执行保护操作包括:对所述访问请求的合法性进行验证;响应于所述验证通过,从存储系统获取所述目标数据的加密副本;以及对所述目标数据的所述加密副本执行解密,并且其中执行所述访问请求包括:经由所述一个或多个内核模块中的至少一个,将解密后的所述目标数据返回给所述业务服务。4.根据权利要求1所述的方法,其中对所述访问请求的合法性进行验证包括在所述数据保护服务处验证以下至少一项:所述访问请求的发起方的身份,所述访问请求的发起方关于所请求的所述目标数据的访问权限。5.根据权利要求4所述的方法,其中验证所述访问请求的发起方的身份包括:获取在所述业务服务的签名使用的公钥;以及利用所述公钥对所述请求方进行签名验证。6.根据权利要求1所述的方法,其中执行针对访问请求包括:确定所述访问请求是来自物理机器还是来自物理机器上运行的容器;响应于确定所述访问请求来自容器,确定存储系统中特定于所述容器的数据访问路径;以及根...
【专利技术属性】
技术研发人员:笪禹,佘开锐,冯帅虎,董宇,张宇,王剑,
申请(专利权)人:北京有竹居网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。