[go: up one dir, main page]

CN111935122B - 数据的安全处理方法及装置 - Google Patents

数据的安全处理方法及装置 Download PDF

Info

Publication number
CN111935122B
CN111935122B CN202010764909.XA CN202010764909A CN111935122B CN 111935122 B CN111935122 B CN 111935122B CN 202010764909 A CN202010764909 A CN 202010764909A CN 111935122 B CN111935122 B CN 111935122B
Authority
CN
China
Prior art keywords
data
application
target
proxy client
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010764909.XA
Other languages
English (en)
Other versions
CN111935122A (zh
Inventor
张登超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Simplecredit Micro-Lending Co ltd
Original Assignee
Simplecredit Micro-Lending Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Simplecredit Micro-Lending Co ltd filed Critical Simplecredit Micro-Lending Co ltd
Priority to CN202010764909.XA priority Critical patent/CN111935122B/zh
Publication of CN111935122A publication Critical patent/CN111935122A/zh
Application granted granted Critical
Publication of CN111935122B publication Critical patent/CN111935122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请实施例公开了一种数据的安全处理方法及装置,方法包括:响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上;对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据;将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据;将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。采用本申请,第一代理客户端将目标数据加密处理后得到第一数据与第二数据,并且将其分开存储,以此提升数据传输过程以及存储过程的安全性,有效提升信息安全。

Description

数据的安全处理方法及装置
技术领域
本申请涉及信息安全技术领域,尤其涉及一种数据的安全处理方法及装置。
背景技术
随着终端技术的发展,越来越多的信息通过终端应用进行数据传输。目前,企业内部应用之间的数据调用均采用未经保护的数据,即应用A提供给应用B的数据采用明文数据,即便应用A在提供数据时对应用B进行鉴权,但是提供的数据仍然是明文数据,因此存在明文数据被窃取的风险。另外,应用在提供数据给用户的时候,当需要呈现数据时,即便传输中采用对称或非对称加密的方式进行传输,但是最后用户看到的数据均为解密后的数据。而且当用户账户被入侵后,应用提供的呈现给用户的数据也会以明文的方式被恶意攻击者获取。
因此明文数据传输或者将数据以明文的形式存放于终端中,一旦终端被恶意攻击,很容易导致数据的泄露,存在很大的信息安全隐患。
发明内容
本申请实施例提供了一种数据的安全处理方法及装置。通过对数据的加密处理以及数据的获取机制,提高数据传输以及存储的安全性。
第一方面,一种数据的安全处理方法,应用于第一应用的应用服务器上运行的第一代理客户端,所述方法包括:
响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上;
对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据;
将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据;
将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
第二方面,一种数据的安全处理方法,应用于第二应用的应用服务器上运行的第二代理客户端,所述方法包括:
向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上;
接收所述第一代理客户端响应所述数据获取请求发送的第二数据,所述第二数据是所述第一代理客户端在根据所述数据获取请求获取目标数据后,对所述目标数据进行加密处理得到的加密数据中的部分数据,所述加密数据还包括第一数据,所述第一数据和所述第二数据用于还原所述目标数据;
存储所述第二数据。
第三方面,一种数据的安全装置,所述装置包括通信单元与处理单元,其中:
所述通信单元,用于所述通信单元,用于响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上;
所述处理单元,用于对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据;
所述通信单元,还用于将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据;
所述通信单元,还用于将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
第四方面,所述装置包括通信单元与处理单元,其中:
所述通信单元,用于向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上;
所述通信单元,还用于接收所述第一代理客户端响应所述数据获取请求发送的第二数据,所述第二数据是所述第一代理客户端在根据所述数据获取请求获取目标数据后,对所述目标数据进行加密处理得到的加密数据中的部分数据,所述加密数据还包括第一数据,所述第一数据和所述第二数据用于还原所述目标数据;
所述处理单元,用于存储所述第二数据。
第五方面,本申请实施例提供一种服务器,包括处理器、存储器、通信接口以及一个或多个程序,其中,上述一个或多个程序被存储在上述存储器中,并且被配置由上述处理器执行,上述程序包括用于执行本申请实施例第一方面中的步骤的指令。
第六方面,本申请实施例提供了一种芯片,该芯片包括处理器与数据接口,该处理器通过该数据接口读取存储器上存储的指令,执行如上述第一方面至第二方面以及任一种可选的实现方式的方法。
第七方面,本申请实施例提供了一种计算机可读存储介质,其中,上述计算机可读存储介质存储用于电子数据交换的计算机程序,其中,上述计算机程序使得计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。
第八方面,本申请实施例提供了一种计算机程序产品,其中,上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,上述计算机程序可操作来使计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。
可见,本申请实施例中,应用于第一应用的应用服务器上运行的第一代理客户端,响应于第二代理客户端的数据获取请求获取目标数据后,对目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据。进一步的,第一代理客户端将第一数据发送给安全管理服务器,以使得安全管理服务器存储第一数据;将第二数据发送给第二代理客户端,以使得第二代理客户端存储第二数据。将目标数据加密处理后分开存储,以此提升数据传输过程以及存储过程的安全性,有效提升信息安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种安全管理系统的结构示意图;
图2是本申请实施例提供的一种数据的安全处理方法的流程示意图;
图3是本申请实施例提供的另一种数据的安全处理方法的流程示意图;
图4是本申请实施例提供的另一种数据的安全处理方法的流程示意图;
图5是本申请实施例提供的一种数据的安全处理装置的功能单元示意图;
图6是本申请实施例提供的另一种数据的安全处理装置的功能单元示意图;
图7是本申请实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
目前,企业内部应用之间的数据调用均采用未经保护的数据,即应用A提供给应用B的数据采用明文数据,即便应用A在提供数据时对应用B进行鉴权,但是提供的数据仍然是明文数据,因此存在明文数据被窃取的风险。另外,应用在提供数据给用户的时候,当需要呈现数据时,即便传输中采用对称或非对称加密的方式进行传输,但是最后用户看到的数据均为解密后的数据。而且当用户账户被入侵后,应用提供的呈现给用户的数据也会以明文的方式被恶意攻击者获取。因此明文数据传输或者将数据以明文的形式存放于终端中,一旦终端被恶意攻击,很容易导致数据的泄露,存在很大的信息安全隐患。
针对上述问题,本申请实施例提供一种数据的安全处理方法,应用于第一应用的应用服务器上运行的第一代理客户端。下面结合附图进行详细介绍。
首先,请参看图1所示的安全管理系统100的结构示意图,包括安全管理服务器110,应用服务器120,代理客户端130,应用140。
本方案可以应用到各种需要对数据进行安全管理的情景中。比如企业内部应用之间的数据调用,用户获取权限数据等。由安全管理服务器110,应用服务器120,代理客户端130,应用140构成的安全管理系统100可以理解为一个可信阈。位于可信阈中的数据可以进行本方案的数据安全处理。而应用于应用140的应用服务器120上运行的代理客户端130,比如第一代理客户端,第二代理客户端,以及安全管理服务器则对可信阈中的数据加密处理,以及数据权限等进行管理。维护系统内数据的安全性。由代理客户端130之间以及代理客户端与安全管理服务器110,代理客户端130与用户进行加密数据的传输。以此即使出现服务器被攻击,导致数据泄露,攻击者得到的数据是被加密处理过的,且是不完整的。因此极大的保护了数据的安全性。
上述安全管理服务器110,例如可以包括分布式存储服务器、传统服务器、大型存储系统、台式电脑、笔记本电脑、平板电脑、掌上电脑、智能手机等。
上述服务器120,例如可以包括分布式存储服务器、传统服务器、大型存储系统、台式电脑、笔记本电脑、平板电脑、掌上电脑、智能手机等。
上述代理客户端130,可以是安装于上述服务器120的软件系统架构,也可以是等。
上述应用140可以是企业内部应用(Application,APP),不同的应用提供不同的应用程序接口(Application Programming Interface,API),用于提供不同的功能。
本申请实施例的技术方案可以基于图1举例所示架构的通信系统或其形变架构来具体实施。
参见图2,图2是本申请实施例提供的一种数据的安全处理方法的流程示意图,该方法应用于第一应用的应用服务器上运行的第一代理客户端,这种方法可包括但不限于如下步骤:
201、响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上。
具体的,可以理解为第一代理客户端(DS-Agent)为运行在第一应用的应用服务器上的客户端,代理第一应用与安全管理服务器(Delicate Server,DS)以及第二代理客户端进行通信。第二代理客户端(DS-Agent)为运行在第二应用的应用服务器上的客户端。第一应用于第二应用可以具体相同或者不同的API。在第二代理客户端欲获取数据时,向该第一代理客户端发送数据获取请求,第一代理客户端响应该数据获取请求,并且根据该数据获取请求获取目标数据。
202、对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据。
具体的,第一代理客户端可以是按照预先设定的方式对目标数据进行加密处理,得到第一数据和第二数据,加密后的数据被分成两部分,即第一数据和第二数据,需要这两部分数据相结合才能得到目标数据,解密的过程可以被理解成目标数据的还原过程。
可选的,所述对所述目标数据进行加密处理,得到第一数据和第二数据,包括:对所述目标数据进行二进制处理,得到二进制坐标图;从所述二进制坐标图包括的二进制数据中抽取位于所述二进制坐标图的对角线的数据,并将所述对角线的数据作为第一数据;将所述二进制数据中除所述对角线的数据之外的数据作为第二数据。
具体的,该第一代理客户端对该标数据进行二进制处理,得到二进制坐标图。然后第一代理客户端从抽取该二进制坐标图中位于矩阵对角线的数据作为第一数据。该第一数据可以理解为该目标数据的钥匙(Key)。并将该二进制数据中除该对角线的数据之外的数据作为第二数据。也即将目标数据加密得到的二进制坐标图中的数据分成了第一数据与第二数据这两部分。
可见,第一代理客服端在加密处理目标数据时,特提取二进制坐标图数据中的对角线作为第一数据,第一数据起到数据密钥的作用。由于抽取对角线处的数据不同于二进制坐标图的行或者列等处的其他数据,这种特殊的抽取方式能进一步提高目标数据加密处理的安全等级。使得第二数据更难被破解,提高目标数据存储以及传输过程的安全性。
203、将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据。
具体的,该第一代理客户端在得到第一数据和第二数据后,会将第一数据发送给安全管理服务器,以使得该安全管理服务器存储所述第一数据。该安全管理服务器在存储第一数据时会将将第一数据以及第一代理客户端关联起来进行存储。
204、将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
具体的,该第一代理客户端在得到第一数据和第二数据后,会将第二数据发送给该第二代理客户端,以使得该第二代理客户端存储所述第二数据。从而实现第一数据与第二数据的分开存储,也即目标数据的分开存储。
可见,本申请实施例中,应用于第一应用的应用服务器上运行的第一代理客户端,响应于第二代理客户端的数据获取请求获取目标数据后,对目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据。进一步的,第一代理客户端将第一数据发送给安全管理服务器,以使得安全管理服务器存储第一数据;将第二数据发送给第二代理客户端,以使得第二代理客户端存储第二数据。将目标数据加密处理后分开存储,以此提升数据传输过程以及存储过程的安全性,有效提升信息安全。
在一个可能的示例中,所述将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据,包括:从所述第一应用的多个功能接口中确定所述目标数据对应的目标功能接口;根据所述第一应用的应用标识、所述目标功能接口和所述第一数据创建应用与数据的映射表,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;将所述第一数据和所述应用与数据的映射表发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据和所述应用与数据的映射表。
具体的,第一代理客户端加密处理目标数据,得到第一数据与第二数据之后,将第一数据发送给安全管理服务器,还包括建立应用与数据的映射表的过程。该表可以包括其他应用,比如第二应用,第三应用等的应用标识、目标功能接口和所述第一数据的映射关系。第一代理客户端将第一数据发送给安全管理服务器时,还可以将该应用与数据的映射表发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据和所述应用与数据的映射表。
可见,第一代理客户端将第一数据发送给安全管理服务器,还包括根据其与其他代理客户端的通信过程建立应用与数据的映射表的步骤。并且将该表与第一数据一起发送给安全管理服务器。便于本端以及安全管理服务器管理可信域中的应用以及应用数据。
与上述图2所示的实施例一致,请参阅图3,图3是本申请实施例提供的另一种数据的安全处理方法的流程示意图,应用于第二应用的应用服务器上运行的第二代理客户端,所述方法包括:
301、向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上。
具体的,第二应用想要获取第一应用的数据时,则通过第二代理客户端向第一代理客户端发送数据获取请求,该第一代理客户端运行在第一应用的应用服务器上。
可选的,所述向第一代理客户端发送数据获取请求,包括:根据应用与功能接口的映射表和待获取的目标数据确定第一应用,所述应用与功能接口的映射表包括所述各个应用的应用标识和对应的功能接口之间的映射关系;向所述第一应用的应用服务器上运行的第一代理客户端发送数据获取请求。
具体的,如前所述,因为应用与功能接口的映射表包含应用标识、目标功能接口和所述第一数据的映射关系,还可以包括第一数据与目标数据的映射关系。因此通过该表以及待获取的目标数据可以确定第一应用,以及第一应用的功能接口。因此第二代理客户端在确定第一应用后,便可以向该第一应用的应用服务器上运行的第一代理客户端发送数据获取请求。
302、接收所述第一代理客户端响应所述数据获取请求发送的第二数据,所述第二数据是所述第一代理客户端在根据所述数据获取请求获取目标数据后,对所述目标数据进行加密处理得到的加密数据中的部分数据,所述加密数据还包括第一数据,所述第一数据和所述第二数据用于还原所述目标数据。
具体的,参见前述步骤202可知,第二代理客户端接收该第一代理客户端响应该数据获取请求发送的第二数据为目标数据的部分数据。第一数据和第二数据一起才能还原该目标数据。在此不再赘述。
303、存储所述第二数据。
具体的,第二代理客户端接收该第一代理客户端响应该数据获取请求发送的第二数据后,便将该第二数据存储起来。
可见,第二代理客户端在获取目标数据时,接收的数据只是第一代理客户端响应该数据获取请求发送的第二数据。而第二数据只是目标数据加密后的部分数据,及时有恶意的攻击者在应用与应用之间设立监听数据的攻击设备时,攻击者只能获取到被提取第一数据后剩余的第二数据,该数据对攻击者毫无意义。以此实现第二代理客户端存储目标数据的安全性。
在一种可能的示例中,所述存储所述第二数据之后,所述方法还包括:获取当前运行的应用服务器的网络地址;根据所述网络地址生成第一授权码,并与预先生成的所述第二应用的应用服务器的第二授权码进行匹配;若匹配成功,则从安全管理服务器获取所述第一数据,所述第一数据是由所述第一代理客户端向所述安全管理服务器发送的;根据所述第一数据和所述第二数据得到所述目标数据。
具体的,本申请实施例是在第二代理客户端获取第二应用的目标数据的查看请求后,要将第二数据还原成目标数据的过程。即如果第二应用需要把第二数据还原成目标数据,从而用于使用(比如对用户展示数据、利用数据来构建某些功能)时,第二应用所属的第二代理客户端会获取当前运行的应用服务器的网络地址;根据所述网络地址生成第一授权码,并于预先注册后存储在本地的第二授权码进行校验。
进一步的,如果授权码校验通过,那么第二代理客户端向安全管理服务器发送获取第一数据的获取请求。安全管理服务器收到该请求后,查看请求中的应用名称和功能接口(REST API)。然后查找应用与数据的映射表,获取第一数据后发送至第二代理客户端。第二代理客户端接收第一数据后,把第一数据和第二数据部分进行解密处理,得到目标数据。第二代理客户端可以将该目标数据暂时存储起来,也可以将该目标数据发送给第二应用。
可见,第二代理客户端要将第二数据解密处理得到该目标数据时,不仅要根据当前运行的应用服务器的网络地址生成第一授权码,并与预先生成的所述第二应用的应用服务器的第二授权码进行匹配。防止第二代理客户端被拷贝到其他未经过验证的服务器上运行。并在匹配成功的情况下,从安全管理服务器获取所述第一数据,再根据第一数据和第二数据得到所述目标数据。提高数据存储的以及使用过程中的安全性。
在一种可能的示例中,所述从安全管理服务器获取所述第一数据,包括:向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口,所述获取请求用于指示所述安全管理服务器从应用与数据的映射表中查询所述第一数据,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;接收所述安全管理服务器发送的所述第一数据。
具体的,第二代理客户端从安全管理服务器获取第一数据可以包括:向安全管理服务器发送第一数据的获取请求。因为该获取请求包括第一应用的应用标识和目标功能接口。而安全管理服务器中的应用与数据的映射表包括该第一应用的应用标识、该目标功能接口和该第一数据之间的映射关系。所以安全管理服务器在接收该第一数据的获取请求时,便能根据第一应用的应用标识和目标功能接口以及第一数据,快速地从该应用与数据的映射表中查询所述第一数据,并且向该第二代理客户端发送第一数据。第二代理客户端接收该安全管理服务器发送的所述第一数据。
可见,第二代理客户端通过向安全管理服务器发送第一数据的获取请求。因为该获取请求包括第一应用的应用标识和目标功能接口。便于安全管理服务器从应用与数据的映射表快速查询第一数据。提升第二代理客户端获取第一数据的效率与准确程度。
在一种可能的示例中,所述根据应用与功能接口的映射表和待获取的目标数据确定第一应用之前,所述方法还包括:获取各个应用的应用服务器包括的功能接口;根据所述各个应用的应用标识和对应的功能接口创建应用与功能接口的映射表。
具体的,可以理解为,位于安全管理系统(或者说是可信域)中的各个代理客户端(DS-Agent)同样是网络逻辑相连的,也即多个DS-Agent之间可以相互通信。并且因为应用(App)的数据获取请求和目标数据的接收都要通过DS-Agent实现,所以DS-Agent会记录应用发出的请求。因此DS-Agent可以根据与其他各个DS-Agent之间的通信过程,建立应用与功能接口的映射表。通常应用发出的数据获取请求是API的调用。以App_B为第二应用,以App_A为第一应用。App_A的服务器上运行的代理客户端为第一客户端;App_B的服务器上运行的代理客户端为第二客户端。再以App_B请求App_A的数据为例进行说明:
假定App_A的功能应用程序接口(REST API)的形式为:
https://192.168.1.1/App_A/GetUser,
App_A的响应为JSON格式:
Figure BDA0002612854850000111
此时App_B向App_A发出数据获取请求。App_B所在服务器的第二代理客户端将记录App_B的数据获取请求,同时查看统一资源定位器(Uniform Resource Locator,URL)地址中的主机部分,即192.168.1.1。同时,第二代理客户端向整个可信域范围内的服务器发送一个广播消息,广播消息格式如下表1所示:
Figure BDA0002612854850000121
表1
当App_A的第一代理客户端收到广播消息后,查看到目的网际互连协议(InternetProtocol,IP)地址是本端运行于的服务器的IP地址,那么就回复App_B的第二代理客户可以进行通信连接的建立,然后提供App_A的名称,即https://192.168.1.1/App_A中的App_A部分。App_B收到回复消息后,将App_A所在的服务器IP地址,App_A的名称,请求的应用程序接口建立应用与数据的映射表。而类似于上述https://192.168.1.1/App_AGetUser中GetUser为App_A的一个应用程序接口API,而App_A可能提供多个应用程序接口(API),但不同功能API对应不同的条目。该应用与功能接口的映射表可以如下表2所示:
Figure BDA0002612854850000122
表2
可见,第二代理客户端建立应用与功能接口的映射表,便于根据该表以及待获取的目标数据确定第一应用,以提高发送数据获取请求的效率提升目标数据获取的效率。
在一个可能的示例中,所述从安全管理服务器获取所述第一数据,包括:获取目标用户通过所述第二应用的客户端提交的所述目标数据的查询请求;向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口、所述目标用户的用户授权码和用户标识,所述获取请求用于指示所述安全管理服务器从用户、应用与数据的映射表中查询所述第一数据,所述用户、应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口、所述目标用户的用户授权码、所述用户标识和所述第一数据之间的映射关系;接收所述安全管理服务器发送的所述第一数据。
具体的,第二代理客户端从安全管理服务器获取该第一数据,还可以是基于目标用户通过所述第二应用的客户端提交的目标数据的查询请求。第二应用的客户端可以是第二应用前端的客户端。第二代理客户端向安全管理服务器发送该第一数据的获取请求,由于该获取请求包括该第一应用的应用标识和目标功能接口、该目标用户的用户授权码和用户标识,因此便于该安全管理服务器基于该请求从用户、应用与数据的映射表中查询该第一数据。
另外,安全管理服务器会建立一个用户、应用与数据的映射表,该表包含第一应用的应用标识、目标功能接口、所述目标用户的用户授权码、所述用户标识和所述第一数据之间的映射关系。当该目标用户需要查看属于自己的数据时,由第二应用发送请求至第二代理客户端,第二代理客户端获取请求,然后得到用户授权码和用户ID,发送用户授权码和用户ID至安全管理服务器。安全管理服务器根据用户授权码得到第一数据,并向第二代理客户端发送的所述第一数据。第二代理客户端接收第一数据。
另外,当用户账户存在异常登录或被攻击者暴力破解时,第二应用可以根据IP地址记录信息、用户客户端和地理区域位置进行判断,如果不是常用的IP地址信息,用户客户端和地理区域位置,可以要求用户输入密码Key(用户自定义)。如果攻击者输入错误的密码Key,那么将会生成一个与存储的用户授权码不相匹配的授权码。这样安全管理服务器不会第一数据发送给第二代理客户端。第二应用的界面展示将会是不完整的数据,即乱码数据。
可见,通过用户授权码也能提升用户获取目标数据的安全性。
在一个可能的示例中,所所述方法还包括:获取所述第二应用的客户端发送的目标用户的用户授权码,所述用户授权码是根据所述目标用户提交的用户信息生成的;向安全管理服务器发送所述目标用户的用户授权码和用户标识。
具体的,由于大部分App都会提供展示界面,即用户界面(User Interface,UI)。同时提供用户注册、登录、信息查看和信息管理功能。当目标用户对提供用户操作功能的App进行首次注册时,App会将用户的IP地址、用户代理端(User-Agent),比如第二应用的客户端、当前IP地址所在的地理区域和用户自定义的一个密码Key(非用户密码,该Key可以由6-8位数字、字母和特殊字符组成,用于标识用户自身),把这些信息进行安全散列(SecureHash Algorithm,SHA)256算法加密,生成一个用户授权码。该用户授权码由第二应用的客户端发送至第二代理客户端,然后第二代理客户端传输至安全管理服务器保存。
可见,第二代理客户端获取第二应用的客户端发送的目标用户的用户授权码,并向安全管理服务器发送该目标用户的用户授权码和用户标识。当目标用户想要获取第一数据时,第二代理客户端便于根据用户授权码验证用户权限,提升数据获取的安全性。
在一个可能的示例中,所述方法还包括:获取所述应用与功能接口的映射表中各个应用的在线状态和各个功能接口的有效状态;根据所述各个应用的在线状态和所述各个功能接口的有效状态更新所述应用与功能接口的映射表。
可选的,所述方法还包括:根据所述各个应用的在线状态和所述各个功能接口的有效状态确定出下线的应用和失效的功能接口;向所述安全管理服务器发送所述下线的应用和所述失效的功能接口,以使得所述安全管理服务器根据所述下线的应用和所述失效的功能接口更新应用与数据的映射表。
具体的,第二代理客户端获取应用与功能接口的映射表中各个应用的在线状态和各个功能接口的有效状态。比如每10分钟将对自身该映射表中每个条目进行连通性测试,以达到及时确定出下线的应用和失效的功能接口。根据所述各个应用的在线状态和所述各个功能接口的有效状态更新所述应用与功能接口的映射表。即从映射表中移除。并且向所述安全管理服务器发送所述下线的应用和所述失效的功能接口,以使得所述安全管理服务器根据所述下线的应用和所述失效的功能接口更新应用与数据的映射表。
各个服务器中的每一个服务器上运行的代理客户端将生成的整个可信域的映射表发送至安全管理服务器。安全管理服务器把收集的映射表组成一张可信域映射总表。安全管理服务器更新应用与数据的映射表汇成的总表也可参照上述方法。如此,安全管理服务器可以管理整个可信域的映射信息。
可见,根据所述各个应用的在线状态和所述各个功能接口的有效状态确定出下线的应用和失效的功能接口。通过及时确定出下线的应用和失效的功能接口,便于获取对可信域中的应用以及应用接口实施动态管理,保障数据获取渠道的畅通。
与上述图2、图3所示的实施例一致,请参阅图4,图4是本申请实施例提供的另一种数据的安全处理方法的流程示意图,应用于安全管理系统,所述方法包括:
401、第二代理客户端向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上。
402、第一代理客户端响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上。
403、第一代理客户端对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据。
404、第一代理客户端将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据。
405、安全管理服务器存储所述第一数据。
406、第一代理客户端将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
407、第二代理客户端存储所述第二数据。
步骤401至步骤407参照上述步骤201-204以及步骤301-304.在此不再赘述。
基于上述方法实施例的描述,本发明实施例还提出了一种数据的安全装置。请参见图5所示,该数据的安全装置包括通信单元50与处理单元51,其中:
所述通信单元50,用于响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上;
所述处理单元51,用于对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据;
所述通信单元50,还用于将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据;
所述通信单元50,还用于将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
在一个实施例中,所述处理单元51,具体用于对所述目标数据进行二进制处理,得到二进制坐标图;从所述二进制坐标图包括的二进制数据中抽取位于所述二进制坐标图的对角线的数据,并将所述对角线的数据作为第一数据;将所述二进制数据中除所述对角线的数据之外的数据作为第二数据。
在一个实施例中,所述处理单元51,具体用于从所述第一应用的多个功能接口中确定所述目标数据对应的目标功能接口;根据所述第一应用的应用标识、所述目标功能接口和所述第一数据创建应用与数据的映射表,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;所述通信单元50,具体用于将所述第一数据和所述应用与数据的映射表发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据和所述应用与数据的映射表。
需要说明的是,本发明实施例所描述的数据的安全装置的各模块的功能可根据图2或图4所述的方法实施例中的方法具体实现,其具体实现过程可以参照图2或图4方法实施例的相关描述,此处不再赘述。
基于上述方法实施例的描述,本发明实施例还提出了一种数据的安全装置。请参见图6所示,该数据的安全装置包括通信单元60与处理单元61,其中:
所述通信单元60,用于向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上;
所述通信单元60,还用于接收所述第一代理客户端响应所述数据获取请求发送的第二数据,所述第二数据是所述第一代理客户端在根据所述数据获取请求获取目标数据后,对所述目标数据进行加密处理得到的加密数据中的部分数据,所述加密数据还包括第一数据,所述第一数据和所述第二数据用于还原所述目标数据;
所述处理单元61,用于存储所述第二数据。
在一个实施例中,所述存储所述第二数据之后,所述通信单元60,还用于获取当前运行的应用服务器的网络地址;所述处理单元61,还用于根据所述网络地址生成第一授权码,并与预先生成的所述第二应用的应用服务器的第二授权码进行匹配;所述通信单元60,还用于若匹配成功,则从安全管理服务器获取所述第一数据,所述第一数据是由所述第一代理客户端向所述安全管理服务器发送的;所述处理单元61,还用于根据所述第一数据和所述第二数据得到所述目标数据。
在一个实施中,所述通信单元60,具体用于向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口,所述获取请求用于指示所述安全管理服务器从应用与数据的映射表中查询所述第一数据,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;接收所述安全管理服务器发送的所述第一数据。
在一个实施例中,所述处理单元61,具体用于根据应用与功能接口的映射表和待获取的目标数据确定第一应用,所述应用与功能接口的映射表包括所述各个应用的应用标识和对应的功能接口之间的映射关系;所述通信单元60,具体用于向所述第一应用的应用服务器上运行的第一代理客户端发送数据获取请求。
在一个实施例中,所述根据应用与功能接口的映射表和待获取的目标数据确定第一应用之前,所述通信单元60,还用于获取各个应用的应用服务器包括的功能接口;所述处理单元61,还用于根据所述各个应用的应用标识和对应的功能接口创建应用与功能接口的映射表。
在一个实施例中,所述通信单元60,具体用于获取目标用户通过所述第二应用的客户端提交的所述目标数据的查询请求;向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口、所述目标用户的用户授权码和用户标识,所述获取请求用于指示所述安全管理服务器从用户、应用与数据的映射表中查询所述第一数据,所述用户、应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口、所述目标用户的用户授权码、所述用户标识和所述第一数据之间的映射关系;接收所述安全管理服务器发送的所述第一数据。
在一个实施例中,所述通信单元60,还用于获取所述第二应用的客户端发送的目标用户的用户授权码,所述用户授权码是根据所述目标用户提交的用户信息生成的;向安全管理服务器发送所述目标用户的用户授权码和用户标识。
需要说明的是,本发明实施例所描述的数据的安全装置的各模块的功能可根据图3或图4所述的方法实施例中的方法具体实现,其具体实现过程可以参照图3或图4方法实施例的相关描述,此处不再赘述。
基于上述方法实施例以及装置项实施例的描述,本发明实施例还提供一种服务器。请参见图7,该服务器可至少包括处理器701、输入设备702、输出设备703以及存储器704;其中,处理器701、输入设备702、输出设备703以及存储器704可通过总线或者其它连接方式进行连接。所述存储器704用于存储计算机程序,所述计算机程序包括程序指令,所述处理器701用于执行所述存储器704存储的程序指令。处理器701(或称CPU(CentralProcessing Unit,中央处理器))是服务器的计算核心以及控制核心,其适于实现一条或多条指令,具体适于加载并执行一条或多条指令从而实现上述数据的安全处理方法实施例中的相应方法流程或相应功能。其中,处理器701被配置调用所述程序指令执行:响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的服务器上;对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据;将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据;将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
在一个实施例中,所述处理器701,具体用于对所述目标数据进行二进制处理,得到二进制坐标图;从所述二进制坐标图包括的二进制数据中抽取位于所述二进制坐标图的对角线的数据,并将所述对角线的数据作为第一数据;将所述二进制数据中除所述对角线的数据之外的数据作为第二数据。
在一个实施例中,所述处理器701,具体用于从所述第一应用的多个功能接口中确定所述目标数据对应的目标功能接口;根据所述第一应用的应用标识、所述目标功能接口和所述第一数据创建应用与数据的映射表,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;将所述第一数据和所述应用与数据的映射表发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据和所述应用与数据的映射表。
在一个实施例中,所述处理器701被配置调用所述程序指令执行:向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上;接收所述第一代理客户端响应所述数据获取请求发送的第二数据,所述第二数据是所述第一代理客户端在根据所述数据获取请求获取目标数据后,对所述目标数据进行加密处理得到的加密数据中的部分数据,所述加密数据还包括第一数据,所述第一数据和所述第二数据用于还原所述目标数据;存储所述第二数据。
在一个实施例中,所述存储所述第二数据之后,所述处理器701,具体还用于获取当前运行的应用服务器的网络地址;根据所述网络地址生成第一授权码,并与预先生成的所述第二应用的应用服务器的第二授权码进行匹配;若匹配成功,则从安全管理服务器获取所述第一数据,所述第一数据是由所述第一代理客户端向所述安全管理服务器发送的;根据所述第一数据和所述第二数据得到所述目标数据。
在一个实施例中,所述处理器701,具体用于向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口,所述获取请求用于指示所述安全管理服务器从应用与数据的映射表中查询所述第一数据,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;接收所述安全管理服务器发送的所述第一数据。
在一个实施例中,所述处理器701,具体用于根据应用与功能接口的映射表和待获取的目标数据确定第一应用,所述应用与功能接口的映射表包括所述各个应用的应用标识和对应的功能接口之间的映射关系;向所述第一应用的应用服务器上运行的第一代理客户端发送数据获取请求。
在一个实施例中,所述根据应用与功能接口的映射表和待获取的目标数据确定第一应用之前,所述处理器701,具体还用于获取各个应用的应用服务器包括的功能接口;根据所述各个应用的应用标识和对应的功能接口创建应用与功能接口的映射表。
在一个实施例中,所述处理器701,具体用于获取目标用户通过所述第二应用的客户端提交的所述目标数据的查询请求;向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口、所述目标用户的用户授权码和用户标识,所述获取请求用于指示所述安全管理服务器从用户、应用与数据的映射表中查询所述第一数据,所述用户、应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口、所述目标用户的用户授权码、所述用户标识和所述第一数据之间的映射关系;接收所述安全管理服务器发送的所述第一数据。
在一个实施例中,所述处理器701,具体还用于获取所述第二应用的客户端发送的目标用户的用户授权码,所述用户授权码是根据所述目标用户提交的用户信息生成的;向安全管理服务器发送所述目标用户的用户授权码和用户标识。
应当理解,在本发明实施例中,所称处理器701可以是中央处理单元(CentralProcessing Unit,CPU),该处理器701还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立a硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器704可以包括只读存储器和随机存取存储器,并向处理器701提供指令和数据。存储器704的一部分还可以包括非易失性随机存取存储器。例如,存储器704还可以存储设备类型的信息。该输入设备702可以包括触控板、指纹采传感器(用于采集用户的指纹信息)、麦克风、实体键盘等,输出设备703可以包括显示器(LCD等)、扬声器等。
具体实现中,本发明实施例中所描述的处理器701、存储器704、输入设备702和输出设备703可执行本发明实施例提供的图2、图3或图4的方法实施例所描述的实现方式,也可执行本发明实施例图5或图6所描述的数据的安全装置的实现方法,在此不再赘述。
在本发明的另一实施例中提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现本发明实施例提供的图2、图3或者图4所述的方法实施所描述的实现方式,所述计算机可读存储介质可以是前述任一实施例所述的服务器的内部存储单元,例如服务器的硬盘或内存。所述计算机可读存储介质也可以是所述服务器的外部存储设备,例如所述服务器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述计算机可读存储介质还可以既包括所述服务器的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述服务器所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取可读存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
其中,所述的可读存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
本申请实施例还提供一种计算机程序产品,上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,上述计算机程序可操作来使计算机执行如上述方法实施例中记载的任一方法的部分或全部步骤。该计算机程序产品可以为一个软件安装包,上述计算机包括电子设备。
需要说明的是,以上所揭露的仅为本申请的部分实施例而已,当然不能以此来限定本申请之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本申请权利要求所作的等同变化,仍属于本申请所涵盖的范围。

Claims (11)

1.一种数据的安全处理方法,其特征在于,应用于第一应用的应用服务器上运行的第一代理客户端,所述方法包括:
响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上;
对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据;其中,所述对所述目标数据进行加密处理,得到第一数据和第二数据,包括:对所述目标数据进行二进制处理,得到二进制坐标图;从所述二进制坐标图包括的二进制数据中抽取位于所述二进制坐标图的对角线的数据,并将所述对角线的数据作为第一数据;将所述二进制数据中除所述对角线的数据之外的数据作为第二数据;
将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据;
将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
2.根据权利要求1所述的方法,其特征在于,所述将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据,包括:
从所述第一应用的多个功能接口中确定所述目标数据对应的目标功能接口;
根据所述第一应用的应用标识、所述目标功能接口和所述第一数据创建应用与数据的映射表,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;
将所述第一数据和所述应用与数据的映射表发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据和所述应用与数据的映射表。
3.一种数据的安全处理方法,其特征在于,应用于第二应用的应用服务器上运行的第二代理客户端,所述方法包括:
向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上;
接收所述第一代理客户端响应所述数据获取请求发送的第二数据,所述第二数据是所述第一代理客户端在根据所述数据获取请求获取目标数据后,对所述目标数据进行加密处理得到的加密数据中的部分数据,所述加密数据还包括第一数据,所述第一数据和所述第二数据用于还原所述目标数据;其中,所述第一数据为二进制坐标图包括的二进制数据中位于所述二进制坐标图的对角线的数据,所述二进制坐标图是通过对所述目标数据进行二进制处理得到的;所述第二数据为所述二进制坐标图包括的二进制数据中除所述对角线的数据之外的数据;
存储所述第二数据。
4.根据权利要求3所述的方法,其特征在于,所述存储所述第二数据之后,所述方法还包括:
获取当前运行的应用服务器的网络地址;
根据所述网络地址生成第一授权码,并与预先生成的所述第二应用的应用服务器的第二授权码进行匹配;
若匹配成功,则从安全管理服务器获取所述第一数据,所述第一数据是由所述第一代理客户端向所述安全管理服务器发送的;
根据所述第一数据和所述第二数据得到所述目标数据。
5.根据权利要求4所述的方法,其特征在于,所述从安全管理服务器获取所述第一数据,包括:
向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口,所述获取请求用于指示所述安全管理服务器从应用与数据的映射表中查询所述第一数据,所述应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口和所述第一数据之间的映射关系;
接收所述安全管理服务器发送的所述第一数据。
6.根据权利要求3所述的方法,其特征在于,所述向第一代理客户端发送数据获取请求,包括:
根据应用与功能接口的映射表和待获取的目标数据确定第一应用,所述应用与功能接口的映射表包括各个应用的应用标识和对应的功能接口之间的映射关系;
向所述第一应用的应用服务器上运行的第一代理客户端发送数据获取请求。
7.根据权利要求6所述的方法,其特征在于,所述根据应用与功能接口的映射表和待获取的目标数据确定第一应用之前,所述方法还包括:
获取各个应用的应用服务器包括的功能接口;
根据所述各个应用的应用标识和对应的功能接口创建应用与功能接口的映射表。
8.根据权利要求4所述的方法,其特征在于,所述从安全管理服务器获取所述第一数据,包括:
获取目标用户通过所述第二应用的客户端提交的所述目标数据的查询请求;
向安全管理服务器发送所述第一数据的获取请求,所述获取请求包括所述第一应用的应用标识和目标功能接口、所述目标用户的用户授权码和用户标识,所述获取请求用于指示所述安全管理服务器从用户、应用与数据的映射表中查询所述第一数据,所述用户、应用与数据的映射表包括所述第一应用的应用标识、所述目标功能接口、所述目标用户的用户授权码、所述用户标识和所述第一数据之间的映射关系;
接收所述安全管理服务器发送的所述第一数据。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
获取所述第二应用的客户端发送的目标用户的用户授权码,所述用户授权码是根据所述目标用户提交的用户信息生成的;
向安全管理服务器发送所述目标用户的用户授权码和用户标识。
10.一种数据的安全处理装置,其特征在于,所述装置包括通信单元与处理单元,其中:
所述通信单元,用于响应于第二代理客户端的数据获取请求获取目标数据,所述第二代理客户端运行在第二应用的应用服务器上;
所述处理单元,用于对所述目标数据进行加密处理,得到第一数据和第二数据,所述第一数据和所述第二数据用于还原所述目标数据;其中,所述处理单元,具体用于:对所述目标数据进行二进制处理,得到二进制坐标图;从所述二进制坐标图包括的二进制数据中抽取位于所述二进制坐标图的对角线的数据,并将所述对角线的数据作为第一数据;将所述二进制数据中除所述对角线的数据之外的数据作为第二数据;
所述通信单元,还用于将所述第一数据发送给安全管理服务器,以使得所述安全管理服务器存储所述第一数据;
所述通信单元,还用于将所述第二数据发送给所述第二代理客户端,以使得所述第二代理客户端存储所述第二数据。
11.一种数据的安全处理装置,其特征在于,所述装置包括通信单元与处理单元,其中:
所述通信单元,用于向第一代理客户端发送数据获取请求,所述第一代理客户端运行在第一应用的应用服务器上;
所述通信单元,还用于接收所述第一代理客户端响应所述数据获取请求发送的第二数据,所述第二数据是所述第一代理客户端在根据所述数据获取请求获取目标数据后,对所述目标数据进行加密处理得到的加密数据中的部分数据,所述加密数据还包括第一数据,所述第一数据和所述第二数据用于还原所述目标数据;其中,所述第一数据为二进制坐标图包括的二进制数据中位于所述二进制坐标图的对角线的数据,所述二进制坐标图是通过对所述目标数据进行二进制处理得到的;所述第二数据为所述二进制坐标图包括的二进制数据中除所述对角线的数据之外的数据;
所述处理单元,用于存储所述第二数据。
CN202010764909.XA 2020-07-31 2020-07-31 数据的安全处理方法及装置 Active CN111935122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010764909.XA CN111935122B (zh) 2020-07-31 2020-07-31 数据的安全处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010764909.XA CN111935122B (zh) 2020-07-31 2020-07-31 数据的安全处理方法及装置

Publications (2)

Publication Number Publication Date
CN111935122A CN111935122A (zh) 2020-11-13
CN111935122B true CN111935122B (zh) 2022-09-20

Family

ID=73314408

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010764909.XA Active CN111935122B (zh) 2020-07-31 2020-07-31 数据的安全处理方法及装置

Country Status (1)

Country Link
CN (1) CN111935122B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086421B (zh) * 2022-08-22 2022-11-18 广东电网有限责任公司广州供电局 一种分布式优化的多智能代理协作方法及相关设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101375284A (zh) * 2004-10-25 2009-02-25 里克·L·奥尔西尼 安全数据分析方法和系统
CN104093029A (zh) * 2014-07-22 2014-10-08 哈尔滨工业大学(威海) 一种基于新时空混沌系统的视频加密算法
CN107430729A (zh) * 2014-12-30 2017-12-01 万事达卡国际股份有限公司 用于移动支付应用的安全性
CN109936546A (zh) * 2017-12-18 2019-06-25 北京三快在线科技有限公司 数据加密存储方法和装置以及计算设备
CN110505066A (zh) * 2019-08-30 2019-11-26 北京字节跳动网络技术有限公司 一种数据传输方法、装置、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008099119A (ja) * 2006-10-13 2008-04-24 Konica Minolta Business Technologies Inc データ管理システムおよびデータ管理方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101375284A (zh) * 2004-10-25 2009-02-25 里克·L·奥尔西尼 安全数据分析方法和系统
CN104093029A (zh) * 2014-07-22 2014-10-08 哈尔滨工业大学(威海) 一种基于新时空混沌系统的视频加密算法
CN107430729A (zh) * 2014-12-30 2017-12-01 万事达卡国际股份有限公司 用于移动支付应用的安全性
CN109936546A (zh) * 2017-12-18 2019-06-25 北京三快在线科技有限公司 数据加密存储方法和装置以及计算设备
CN110505066A (zh) * 2019-08-30 2019-11-26 北京字节跳动网络技术有限公司 一种数据传输方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种云存储环境下保障数据机密性的方法;任静思等;《计算机工程与科学》;20161215;第38卷(第12期);全文 *

Also Published As

Publication number Publication date
CN111935122A (zh) 2020-11-13

Similar Documents

Publication Publication Date Title
US20220191016A1 (en) Methods, apparatuses, and computer program products for frictionless electronic signature management
WO2020237868A1 (zh) 数据传输方法、电子设备、服务器及存储介质
CN111064757B (zh) 应用访问方法、装置、电子设备以及存储介质
CN102647461B (zh) 基于超文本传输协议的通信方法、服务器、终端
CN101465735B (zh) 网络用户身份验证方法、服务器及客户端
CN106341429B (zh) 一种保护服务器数据安全的认证方法
US9563764B2 (en) Method and apparatus for performing authentication between applications
CN111291043A (zh) 标识值查询方法、标识解析服务器和存储介质
US9215064B2 (en) Distributing keys for decrypting client data
CN109714176B (zh) 口令认证方法、装置及存储介质
US10439809B2 (en) Method and apparatus for managing application identifier
CN104753674A (zh) 一种应用身份的验证方法和设备
CN114157434A (zh) 登录验证方法、装置、电子设备及存储介质
CN111800426A (zh) 应用程序中原生代码接口的访问方法、装置、设备及介质
EP4525358A1 (en) Signature authentication method and apparatus
CN113434882A (zh) 应用程序的通讯保护方法、装置、计算机设备及存储介质
WO2021073224A1 (zh) 数据显示方法、显示终端、服务器、显示系统和存储介质
US12273461B2 (en) Service registration method and device
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
US20240388438A1 (en) Data processing method and apparatus, program product, computer device, and storage medium
CN111935122B (zh) 数据的安全处理方法及装置
CN114944921A (zh) 登录认证方法、装置、电子设备及存储介质
CN114553570A (zh) 生成令牌的方法、装置、电子设备及存储介质
CN113792345A (zh) 一种数据访问控制方法及装置
CN112565156B (zh) 信息注册方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant