数据安全保护方法、数据安全管理平台、系统和存储介质技术方案

本申请实施例涉及数据管理技术领域，公开了一种数据安全保护方法、数据安全管理平台、系统和存储介质，该方法包括：调用探针采集第一数据，第一数据是数据供应方的业务数据经数据安全管理平台协商的第一量子密钥加密后的密文；根据共享的第一量子密钥对经第一IPsec传输的第一数据解密获得业务数据；利用第二量子密钥对业务数据加密生成第二数据并存储于量子可信云；若收到数据监管方和/或数据需求方对业务数据的使用请求，则利用共享的第二量子密钥对第二数据解密获得业务数据，采用一体化密钥应用体系对业务数据进行计算过程的加密，并将计算结果经第二IPsec共享至数据监管方和/或数据需求方，从而对数据进行全生命周期的安全保护。期的安全保护。期的安全保护。

【技术实现步骤摘要】
数据安全保护方法、数据安全管理平台、系统和存储介质


[0001]本申请实施例涉及数据管理
，特别涉及一种数据安全保护方法、数据安全管理平台、系统和存储介质。

技术介绍

[0002]随着通信技术和互联网技术的飞速发展，政府、银行、工厂、学校、研究所等机构和组织均已实现网络化、信息化、数据化升级，各种与工业、商业、电信、交通、金融、自然资源、卫生健康、教育和科技相关的数据均需要在网络中进行传输、共享，而《中华人民共和国数据安全法》的施行，要求各地区、各部门必须对本地区、本部门工作中收集和产生的数据及数据安全负责，对工业、商业、电信、交通、金融、自然资源、卫生健康、教育和科技相关的数据更是要进行严格的数据安全管理。
[0003]然而，本申请的专利技术人发现，业内常用的数据安全管理系统，仅仅是根据预设的密钥对需要进行安全管理的数据进行简单的加密后，进行存储、传输、共享，需要查看、使用这些数据的用户经过身份验证后便可以查看、使用这些数据，安全管理等级比较低、保护力度比较弱，数据仍然面临着被窃取导致泄密的风险。

技术实现思路

[0004]本申请实施例的目的在于至少提供一种数据安全保护方法、数据安全管理平台、系统和存储介质，至少解决数据安全管理等级比较低、数据安全保护力度比较弱的问题，至少可以对数据进行全生命周期的安全保护，大大降低了数据被窃取导致泄密的风险。
[0005]本申请的至少一个实施例提供了一种数据安全保护方法，适用于数据安全管理平台，所述数据安全管理平台分别与数据供应方、数据监管方、数据需求方连接，所述方法包括以下步骤：调用探针采集所述数据供应方的第一数据，其中，所述第一数据是所述数据供应方的业务数据经所述数据安全管理平台协商的第一量子密钥加密后的密文；根据共享的所述第一量子密钥对经第一IPsec安全传输的所述第一数据解密，获得所述业务数据；利用第二量子密钥对所述业务数据加密生成第二数据，并存储于量子可信云；若收到所述数据监管方和/或所述数据需求方对所述业务数据的使用请求，则利用共享的所述第二量子密钥对所述第二数据解密获得所述业务数据，采用一体化密钥应用体系对所述业务数据进行计算过程的加密，并将计算结果经第二IPsec共享至所述数据监管方和/或所述数据需求方。
[0006]本申请的至少一个实施例还提供了一种数据安全管理平台，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述的数据安全保护方法。
[0007]本申请的至少一个实施例还提供了一种数据安全管理系统，包括上述的数据安全管理平台。
[0008]本申请的至少一个实施例还提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述的数据安全保护方法。
[0009]本申请的至少一个实施例提出的数据安全保护方法、数据安全管理平台、系统和存储介质，数据安全管理平台调用探针采集数据供应方的第一数据，第一数据是数据供应方的业务数据经数据安全管理平台协商的第一量子密钥加密后的密文，第一数据经第一IPsec安全传输至数据安全管理平台，数据安全管理平台根据共享的第一量子密钥对第一数据解密，获得业务数据，再利用第二量子密钥对业务数据加密生成第二数据，并将生成的第二数据存储于量子可信云，若收到数据监管方和/或数据需求方对业务数据的使用请求，数据安全管理平台则利用共享的第二量子密钥对第二数据解密获得业务数据，采用量子可信云提供的一体化密钥应用体系对业务数据进行计算过程的加密，并将计算结果经第二IPsec共享至数据监管方和/或数据需求方。考虑到业内只是使用预设的密钥对数据进行简单加密后再进行传输，安全管理等级比较低、保护力度比较弱，而本申请的实施例，数据安全管理平台可以对数据的采集、传输、存储、使用、共享进行全生命周期的安全保护，全程使用安全等级更高、保护力度更强的量子加密技术进行加密，大大降低了数据被窃取导致泄密的风险，实现数据的可靠、可信、可溯源。
[0010]在一些可选的实施例中，所述数据供应方设置有封装第一安全代理的第一量子安全网关，所述数据安全管理平台设置有部署于所述数据供应方侧的探针，所述调用探针采集所述数据供应方的第一数据，包括：向所述数据供应方发起回传数据采集请求，其中，所述数据供应方以流量复制或分光的方式获取业务数据的回传数据，所述第一安全代理利用所述第一量子一体机提供的所述第一量子密钥对所述回传数据加密形成第一数据；调用所述探针在所述数据供应方网络的预设位置处采集所述数据供应方的所述第一数据，其中，所述预设位置包括网络出口、安全中心、核心交换区、业务接入区、数据库服务器、和/或政务云。
[0011]在一些可选的实施例中，所述数据安全管理平台还设置有封装第二安全代理的第二量子安全网关，所述根据共享的所述第一量子密钥对经第一IPsec安全传输的所述第一数据解密，包括：所述第二安全代理从量子一体机获取共享的所述第一量子密钥，其中，所述第二安全代理与所述第一安全代理在所述数据安全管理平台的协商下共享所述第一量子密钥；利用所述第一量子密钥对经第一IPsec安全传输的所述第一数据解密，获得所述数据供应方的业务数据，其中，所述数据供应方经第一量子安全网关、第二量子安全网关与所述数据安全管理平台连接，所述第一量子安全网关和所述第二量子安全网关在所述数据供应方和所述数据安全管理平台之间的物理链路建立双向SA以提供加密传输通道第一IPsec。
[0012]在一些可选的实施例中，所述利用第二量子密钥对所述业务数据加密生成第二数据，包括：所述第二安全代理利用第二量子密钥对所述业务数据加密生成第二数据，并将所述第二数据存储于数据仓库ODS层的第一空间，其中，所述数据安全管理平台的数据仓库搭建在所述量子可信云上，所述数据仓库包括用于存储原始数据的ODS层，所述ODS层包括第一空间和若干个第二空间；所述第二安全代理利用第五量子密钥对所述业务数据加密生成灾备数据，并将所述灾备数据存储于任意一个所述第二空间，其中，所述灾备数据是所述第二数据的数据灾备。
[0013]在一些可选的实施例中，所述数据安全管理平台还设置有第三安全代理，在将所述第二数据存储于所述ODS层之后，所述方法还包括：若所述第二量子密钥满足预设的更新条件，则利用所述第三安全代理共享的第二量子密钥对所述第二数据解密获得所述业务数据，其中，所述第三安全代理与所述第二安全代理在所述数据安全管理平台的协商下共享所述第二量子密钥，所述更新条件包括所述第二量子密钥未更新的时间超过预设的安全时长，以及所述第二量子密钥存在安全隐患；利用更新的第三量子密钥对所述业务数据加密生成第三数据并存储于所述ODS层中。
[0014]在一些可选的实施例中，所述采用一体化密钥应用体系对所述业务数据进行计算的加密，包括：根据所述数据监管方和/或所述数据需求方对所述业务数据的使用请求，获取量子根密钥，其中，所述量子根密钥由所述第三安全代理从量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据安全保护方法，适用于数据安全管理平台，所述数据安全管理平台分别与数据供应方、数据监管方、数据需求方连接，其特征在于，所述方法包括：调用探针采集所述数据供应方的第一数据，其中，所述第一数据是所述数据供应方的业务数据经所述数据安全管理平台协商的第一量子密钥加密后的密文；根据共享的所述第一量子密钥对经第一IPsec安全传输的所述第一数据解密，获得所述业务数据；利用第二量子密钥对所述业务数据加密生成第二数据，并存储于量子可信云；若收到所述数据监管方和/或所述数据需求方对所述业务数据的使用请求，则利用共享的所述第二量子密钥对所述第二数据解密获得所述业务数据，采用一体化密钥应用体系对所述业务数据进行计算过程的加密，并将计算结果经第二IPsec共享至所述数据监管方和/或所述数据需求方。2.根据权利要求1所述的数据安全保护方法，其特征在于，所述数据供应方设置有封装第一安全代理的第一量子安全网关，所述数据安全管理平台设置有部署于所述数据供应方侧的探针，所述调用探针采集所述数据供应方的第一数据，包括：向所述数据供应方发起回传数据采集请求，其中，所述数据供应方以流量复制或分光的方式获取业务数据的回传数据，所述第一安全代理利用量子一体机提供的所述第一量子密钥对所述回传数据加密形成第一数据；调用所述探针在所述数据供应方网络的预设位置处采集所述数据供应方的所述第一数据，其中，所述预设位置包括网络出口、安全中心、核心交换区、业务接入区、数据库服务器、和/或政务云。3.根据权利要求2所述的数据安全保护方法，其特征在于，所述数据安全管理平台还设置有封装第二安全代理的第二量子安全网关，所述根据共享的所述第一量子密钥对经第一IPsec安全传输的所述第一数据解密，包括：所述第二安全代理从量子一体机获取共享的所述第一量子密钥，其中，所述第二安全代理与所述第一安全代理在所述数据安全管理平台的协商下共享所述第一量子密钥；利用所述第一量子密钥对经第一IPsec安全传输的所述第一数据解密，获得所述数据供应方的业务数据，其中，所述数据供应方经第一量子安全网关、第二量子安全网关与所述数据安全管理平台连接，所述第一量子安全网关和所述第二量子安全网关在所述数据供应方和所述数据安全管理平台之间的物理链路建立双向SA以提供加密传输通道第一IPsec。4.根据权利要求3所述的数据安全保护方法，其特征在于，所述利用第二量子密钥对所述业务数据加密生成第二数据，包括：所述第二安全代理利用第二量子密钥对所述业务数据加密生成第二数据，并将所述第二数据存储于数据仓库ODS层的第一空间，其中，所述数据安全管理平台的数据仓库搭建在所述量子可信云上，所述数据仓库包括用于存储原始数据的ODS层，所述ODS层包括第一空间和若干个第二空间；所述第二安全代理利用第五量子密钥对所述业务数据加密生成灾备数据，并将所述灾备数据存储于任意一个所述第二空间，其中，所述灾备数据是所述第二数据的数据灾备。5.根据权利要求4所述的数据安全保护方法，其特征在于，所述数据安全管理平台还设置有第三安全代理，在将所述第二数据存储于所述ODS层之后，所述方法还包括：
若所述第二量...

【专利技术属性】
技术研发人员：辛华，左崴东，刘龙山，蒋运平，杨勇，
申请(专利权)人：国科量子通信网络有限公司，
类型：发明
国别省市：