一種數據防泄漏編碼、解碼方法、裝置及系統與流程
本發明涉及計算機信息安全技術領域,尤其涉及一種數據防泄漏編碼、解碼方法、裝置及系統。
背景技術:
數據防泄漏dlp(dataleakageprotection)是一個計算機安全術語,是指防止指定數據或信息資產流出安全控制范圍。目前,實現數據防泄漏的技術有兩大類:內容過濾技術、數據加密技術。
在實現本發明的過程中,發明人發現,尤其是在網絡存儲和云存儲等方面,目前數據防泄漏技術都存在如下缺陷:
一、內容過濾數據防泄漏技術的漏報和誤報問題嚴重,并且無法避免。為了預防數據丟失,無論數據的存儲、復制或傳輸位置在哪里,都必須準確地檢測所有類型的敏感數據。如果沒有準確的檢測,數據安全系統就會生成許多誤報(將并未違規的消息或文件標識為違規)以及漏報(未將違反策略的消息或文件標識為違規)。誤報會大量耗費進行進一步調查和解決明顯事故所需的時間和資源。漏報會掩蓋安全漏洞,導致數據丟失、潛在財務損失、法律風險并有損組織聲譽。當前使用的內容過濾防泄漏技術,包括正則表達式檢測、關鍵字和關鍵字對檢測、文檔屬性檢測、精確數據比對、指紋文檔比對、向量分類比對等等技術都無法攻克誤報和漏報兩大難題。
二、數據加密防泄漏技術普遍存在兩大問題,包括:密碼管理復雜,用戶操作不便;存儲要繼承加密的復雜性,導致存儲速度慢。
三、無論是上述內容過濾數據防泄漏技術還是數據加密防泄漏技術,都只是提供了針對敏感數據本身的防泄漏措施,而不能為數據的所有方、管理方、存儲服務方等各方之間的數據安全責任管理提供一個技術機制。
技術實現要素:
本發明實施例提供一種數據防泄漏編碼、解碼方法、裝置及系統,以建立了一種數據多方分存、秘密多方共管的數據存儲和交換防泄漏技術機制。
一方面,本發明實施例提供了一種數據防泄漏編碼方法,所述方法包括:
讀取待存儲數據p0,構造當前數據編碼的全球唯一id編碼作為數據編碼id;
利用秘密分割門限方案算法,將所述待存儲數據p0分割為n個數據,其中,n為大于或等于3的自然數;
利用所述數據編碼id,將分割成的n個數據分別編號為:數據p1、數據p2、……、數據pn,以便后期只有集齊數據p1、數據p2、……、數據pn,才能重構出數據p0;
將所述數據p1存儲到數據p1的數據安全服務系統中,由第1參與方負責管理;
將所述數據p2存儲到數據p2的數據安全服務系統中,由第2參與方負責管理;
……;
將所述數據pn存儲到數據pn的數據安全服務系統中,由第n參與方負責管理。
另一方面,本發明實施例提供了一種數據防泄漏解碼方法,所述方法包括:
根據當前輸入數據頭部的數據編碼id,查找數據存儲安全增強服務dsess系統中所存儲的所述數據編碼id對應的數據的存儲位置,登錄各數據的數據安全服務系統:或者,根據當前輸入的各個數據的存儲地址,包括數據p1的存儲地址、數據p2的存儲地址、……數據pn的存儲地址,登錄各數據的數據安全服務系統;
分別從所述各數據安全服務系統讀取數據p1、數據p2、……數據pn;
根據所述數據編碼id所對應的秘密分割門限方案算法,利用所述數據p1、所述數據p2、……、所述數據pn重構出數據p0。
又一方面,本發明實施例提供了一種數據防泄漏編碼裝置,所述裝置包括:
構造單元,用于讀取待存儲數據p0,構造當前數據編碼的全球唯一id編碼作為數據編碼id;
分割單元,用于利用秘密分割門限方案算法,將所述待存儲數據p0分割為n個數據,其中,n為大于或等于3的自然數;
編號單元,用于利用所述數據編碼id,將分割成的n個數據分別編號為:數據p1、數據p2、……、數據pn,以便后期只有集齊數據p1、數據p2、……、數據pn,才能重構出數據p0;
第一存儲單元,用于將所述數據p1存儲到數據p1的數據安全服務系統中,由第1參與方負責管理;
第二存儲單元,用于將所述數據p2存儲到數據p2的數據安全服務系統中,由第2參與方負責管理;
……;
第n存儲單元,用于將所述數據pn存儲到數據pn的數據安全服務系統中,由第n參與方負責管理。
又一方面,本發明實施例提供了一種數據防泄漏解碼裝置,所述裝置包括:
存儲查找單元,用于根據當前輸入數據頭部的數據編碼id,查找數據存儲安全增強服務dsess系統中所存儲的所述數據編碼id對應的數據的存儲位置,登錄各數據的數據安全服務系統;或者,根據當前輸入的各個數據的存儲地址,包括數據p1的存儲地址、數據p2的存儲地址、……數據pn的存儲地址,登錄各數據的數據安全服務系統;
讀取單元,用于分別從所述各數據安全服務系統讀取數據p1、數據p2、……數據pn;
重構單元,用于根據所述數據編碼id所對應的秘密分割門限方案算法,利用所述數據p1、所述數據p2、……、所述數據pn重構出數據p0。
再一方面,本發明實施例提供了一種數據防泄漏系統,所述系統包括上述數據防泄漏編碼裝置和上述數據防泄漏解碼裝置。
上述技術方案具有如下有益效果:建立了一種數據多方分存、秘密多方共管的數據存儲和交換防泄漏技術機制,具備安全責任明確并且易于掌控,數據存儲與交換高速度、高保密等方面的突出優勢,有效解決數據網絡存儲、云存儲、云交換、數據交易等方面的數據防泄漏難題。
附圖說明
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明實施例一種數據防泄漏編碼方法流程圖;
圖2為本發明實施例一種數據防泄漏解碼方法流程圖;
圖3為本發明實施例一種數據防泄漏編碼裝置結構示意圖;
圖4為本發明實施例一種數據防泄漏解碼裝置結構示意圖;
圖5為本發明實施例一種存管分離權限分配示意圖;
圖6為本發明實施例一種存管分離數據編碼流程圖;
圖7為本發明實施例一種存管分離數據解碼流程圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
如圖1所示,為本發明實施例一種數據防泄漏編碼方法流程圖,所述方法包括:
101、讀取待存儲數據p0,構造當前數據編碼的全球唯一id編碼作為數據編碼id;
102、利用秘密分割門限方案算法,將所述待存儲數據p0分割為n個數據,其中,n為大于或等于3的自然數;
103、利用所述數據編碼id,將分割成的n個數據分別編號為:數據p1、數據p2、……、數據pn,以便后期只有集齊數據p1、數據p2、……、數據pn,才能重構出數據p0;
104、將所述數據p1存儲到數據p1的數據安全服務系統中,由第1參與方負責管理;
105、將所述數據p2存儲到數據p2的數據安全服務系統中,由第2參與方負責管理;
……;
106、將所述數據pn存儲到數據pn的數據安全服務系統中,由第n參與方負責管理。
優選地,所述讀取待存儲數據p0,構造當前數據編碼的全球唯一id編碼作為數據編碼id,包括:讀取待存儲數據p0,使用如下編碼規則中的一種構造當前數據編碼的全球唯一id編碼作為數據編碼id:設備全球唯一編碼、設備時間的毫秒數、用作去重標簽的二進制隨機數、用作標識秘密分割門限方案的二進制整數、p0的數字摘要。
優選地,所述秘密分割門限方案算法包括:異或門限方案、shamir門限方案、中國剩余定理門限方案等;當取值n=3時,所述數據p0分割成為3個部分數據:數據1、數據2、數據3,利用所述數據編碼id,將分割成的3個數據分別編號為:數據p1、數據p2、數據p3,包括:
取數據1,在其頭部增加數據編碼id、2位二進制整數數據順序編碼01,作為所述數據p1;
取數據2,在其頭部增加數據編碼id、2位二進制整數數據順序編碼10,作為所述數據p2;
取數據3,在其頭部增加數據編碼id、2位二進制整數數據順序編碼11,作為所述數據p3;所述數據p3的存儲量超過數據p0的存儲量的90%。
如圖2所示,為本發明實施例一種數據防泄漏解碼方法流程圖,所述方法包括:
201、根據當前輸入數據頭部的數據編碼id,查找數據存儲安全增強服務dsess系統中所存儲的所述數據編碼id對應的數據的存儲位置,登錄各數據的數據安全服務系統:或者,根據當前輸入的各個數據的存儲地址,包括數據p1的存儲地址、數據p2的存儲地址、……數據pn的存儲地址,登錄各數據的數據安全服務系統;
202、分別從所述各數據安全服務系統讀取數據p1、數據p2、……數據pn;
203、根據所述數據編碼id所對應的秘密分割門限方案算法,利用所述數據p1、所述數據p2、……、所述數據pn重構出數據p0。
優選地,所述方法還包括:若重構出的所述數據p0的數字摘要,與所述當前輸入數據頭部的數據編碼id內的數字摘要相同,則解碼成功,輸出所述數據p0。
如圖3所示,為本發明實施例一種數據防泄漏編碼裝置結構示意圖,所述裝置包括:
構造單元31,用于讀取待存儲數據p0,構造當前數據編碼的全球唯一id編碼作為數據編碼id;
分割單元32,用于利用秘密分割門限方案算法,將所述待存儲數據p0分割為n個數據,其中,n為大于或等于3的自然數;
編號單元33,用于利用所述數據編碼id,將分割成的n個數據分別編號為:數據p1、數據p2、……、數據pn,以便后期只有集齊數據p1、數據p2、……、數據pn,才能重構出數據p0;
第一存儲單元34,用于將所述數據p1存儲到數據p1的數據安全服務系統中,由第1參與方負責管理;
第二存儲單元35,用于將所述數據p2存儲到數據p2的數據安全服務系統中,由第2參與方負責管理;
……;
第n存儲單元36,用于將所述數據pn存儲到數據pn的數據安全服務系統中,由第n參與方負責管理。
優選地,所述秘密分割門限方案算法包括:異或門限方案、shamir門限方案、中國剩余定理門限方案等;
所述構造單元31,具體用于讀取待存儲數據p0,使用如下編碼規則中的一種構造當前數據編碼的全球唯一id編碼作為數據編碼id:設備全球唯一編碼、設備時間的毫秒數、用作去重標簽的二進制隨機數、用作標識秘密分割門限方案的二進制整數、p0的數字摘要;
所述分割單元32,具體用于當取值n=3時,所述數據p0分割成為3個部分數據:數據1、數據2、數據3,利用所述數據編碼id,將分割成的3個數據分別編號為:數據p1、數據p2、數據p3,包括:取數據1,在其頭部增加數據編碼id、2位二進制整數數據順序編碼01,作為所述數據p1;取數據2,在其頭部增加數據編碼id、2位二進制整數數據順序編碼10,作為所述數據p2;取數據3,在其頭部增加數據編碼id、2位二進制整數數據順序編碼11,作為所述數據p3;所述數據p3的存儲量超過數據p0的存儲量的90%。
如圖4所示,為本發明實施例一種數據防泄漏解碼裝置結構示意圖,所述裝置包括:
存儲查找單元41,用于根據當前輸入數據頭部的數據編碼id,查找數據存儲安全增強服務dsess系統中所存儲的所述數據編碼id對應的數據的存儲位置,登錄各數據的數據安全服務系統;或者,根據當前輸入的各個數據的存儲地址,包括數據p1的存儲地址、數據p2的存儲地址、……數據pn的存儲地址,登錄各數據的數據安全服務系統;
讀取單元42,用于分別從所述各數據安全服務系統讀取數據p1、數據p2、……數據pn;
重構單元43,用于根據所述數據編碼id所對應的秘密分割門限方案算法,利用所述數據p1、所述數據p2、……、所述數據pn重構出數據p0。
優選地,所述裝置還包括:
判斷單元44,用于若判定重構出的所述數據p0的數字摘要,與所述當前輸入數據頭部的數據編碼id內的數字摘要相同,則解碼成功,輸出所述數據p0。
另外,本發明實施例還提供一種數據防泄漏系統,所述系統包括上述數據防泄漏編碼裝置和上述數據防泄漏解碼裝置。以下以n=3舉例說明:
基于以上現有內容過濾和數據加密這兩類防泄漏技術所面臨的問題,本發明實施例的目的是提供一種基于存管分離數據防泄漏方案,在內容過濾和數據加密兩類防泄漏技術之外,提出第三類數據防泄漏技術。
本發明實施例提供一種基于存管分離機制的數據防泄漏方法、裝置及系統,建立了一種數據多方分存、秘密多方共管的數據存儲和交換防泄漏技術機制,具備安全責任明確并且易于掌控,數據存儲與交換高速度、高保密等方面的突出優勢,有效解決數據網絡存儲、云存儲、云交換、數據交易等方面的數據防泄漏難題。
第一方面,本發明實施例提供了一種存管分離數據防泄漏方法,所述存管分離數據防泄漏方法,包括:
設置存管分離的數據安全管理權限
設置存管分離的數據存儲方式
存入數據的存管分離數據編碼
取出數據的存管分離數據解碼
優選的,在本發明一實施例中,所述存管分離是指將數據防泄漏這一數據安全管理職能從數據存儲中分離,使得數據的存儲成為單純的存儲技術服務,而數據防泄漏從數據安全管理層面實現。所述存管分離的數據防泄漏的關鍵特征包括:
1、數據多方分存,即將數據分解為多份,分由多個參與方存儲。數據多方分存必須滿足秘密分割門限方案的技術要求,即:數據p0被分為n個部分(n>1),每個部分由一個參與方持有,使得:(1)由k個(k>1)或多于k個參與方所持有的部分信息可重構p0。(2)由少于k個參與方所持有的部分信息則無法重構p0。滿足以上條件的數據加密方案稱為(k,n)秘密分割門限方案,k稱為門限值。(3)k=n。
2、秘密多方共管,即數據防泄漏由多個數據安全責任參與方共同管理,按照上述數據多方分存的方式,數據防泄漏的所有參與方都存儲和管控一份數據,數據防泄漏的參與方通過自己所掌控的那份數據,對數據防泄漏進行管控。
為了方便,本發明實施例使用如下專用術語與簡稱:
dsess系統:是滿足所述存管分離數據多方分存的秘密分割門限方案的技術實現裝置、系統的簡稱,即所有滿足條件k=n(k>1,n>1)的秘密分割門限方案的技術實現裝置、系統都是一種dsess系統。dsess是英文datastorageenhancedsecurityservice(即數據存儲安全增強服務)的首字母縮寫。任何一種dsess系統能滿足本發明實施例技術要求。
p0是dsess系統的輸入數據的簡稱
p1是dsess系統的第1個參與者所持有的數據的簡稱;
p2是dsess系統的第2個參與者所持有的數據的簡稱;
p3是dsess系統的第3個參與者所持有的數據的簡稱;
……
pn是dsess系統的第n個參與者所持有的數據的簡稱;
優選的,在本發明一實施例中,所述存管分離的數據防泄漏參與方包括:用戶方、管理方、存儲方三方,數據多方分存的秘密分割門限方案的參數取值為k=n=3。在此方案中,專用術語與簡稱有更具體的含義,如下:
p0是dsess系統的輸入數據的簡稱,也是需要防泄漏的數據的簡稱。
p1是dsess系統的第1個參與者所持有的數據的簡稱;也是用戶方持有的數據的簡稱,p1的數據量極小,主要包含dsess分存數據的解碼參數和數據摘要、索引等方面的數據。
p2是dsess系統的第2個參與者所持有的數據的簡稱;也是管理方持有的數據的簡稱。p2的數據量很少,主要包含少量數據編碼和數據摘要、索引等方面的數據。
p3是dsess系統的第3個參與者所持有的數據的簡稱;也是存儲方持有的數據的簡稱。p3的數據量最大,是p0的存儲數據編碼的主體部分,也包含數據摘要、索引等方面的數據。
用戶方:指數據的所有方,包括向dsess系統輸入數據p0的軟件、設備、系統或者人員。
管理方:指數據的防泄漏監管方,包括dsess系統的運維管理者。常見的管理方包括:信息中心、信息管理辦公室、信息資源管理中心、it部門等組織機構。管理方的工作職責一般有這些組織機構的技術管理人員、系統管理員承擔。
存儲方:數據主體部分的數據存儲設施,例如網絡存儲設施、云存儲設施。
優選的,在本發明一實施例中,所述存管分離數據防泄漏設置或系統包括如下組成部分:
dsess管理系統:設置dsess各項參數,管理dsess的用戶安全認證和日志。
dsess編碼系統:將p0按照秘密分割門限方案分解為n份數據組成部分,并將每份數據組成部分輸出到一個參與方的數據安全服務系統中。
dsess解碼系統:從參與方的數據安全服務系統中取得各數據組成部分,解碼出數據p0。
用戶數據安全服務系統:為用戶方提供存儲和管理數據的服務。
管理數據安全服務系統:為管理方提供存儲和管理數據的服務。
存儲數據安全服務系統。為存儲方提供存儲和管理數據的服務。
優選的,在本發明一實施例中,所述設置存管分離的數據安全管理權限,包括:
設置參與方總數量n,優選的,n=3;
設置p1的管理人,優選的,p1的管理人是用戶方。p1的數據安全權限設為:用戶方擁有讀寫刪權限、用戶方同組人員擁有讀寫刪權限、其他人員沒有權限,即,p1的權限配置為:“rwxrwx---”。
設置p2的管理人,優選的,p2的管理人是dsess系統。p2的數據安全權限設為:dsess擁有讀寫刪權限、dsess同組人員及其他人員均沒有權限,即,p2的權限配置為:“rwx------”。
設置p3的管理人,優選的,p3的管理人是存儲方。p3的數據安全權限設為:存儲方擁有讀寫刪權限、存儲方同組人員擁有讀寫刪權限、其他人員沒有權限,即,p3的權限配置為:“rwxrwx---”。
其中,用戶方和dsess同屬于一個組(組名暫定gud),存儲方和dsess同屬于另一個組(組名暫定gds)。
優選的,在本發明一實施例中,所述設置存管分離的數據存儲方式,包括:
設置p1存儲位置,優選的,p1存儲在用戶數據安全服務系統中;
設置p2存儲位置,優選的,p2存儲在管理數據安全服務系統中;
設置p3存儲位置,優選的,p3存儲在存儲數據安全服務系統中。
優選的,在本發明一實施例中,所述存入數據的存管分離數據編碼,其過程包括:(1)構造數據編碼id。即:讀取輸入數據p0,構造本次數據編碼的全球唯一id編碼作為數據編碼id,使用編碼規則為:設備全球唯一編碼、設備時間的毫秒數、用作去重標簽的8位二進制隨機數、用作標識秘密分割門限方案的8位二進制整數、p0的32位數字摘要。(2)分割數據p0。即:選擇秘密分割門限方案,例如,異或門限方案、shamir(k,n)門限方案、中國剩余定理門限方案等秘密分割門限方案算法,設置參數k=n=3,將數據p0分割為3個數據,按照從短到長為序,編號為數據p1、數據p2、數據p3。(3)輸出數據p1。即:取數據p1,在其頭部增加數據編碼id、2位二進制整數數據順序編碼01,作為數據p1,輸出到p1的存儲位置(用戶數據安全服務系統)。(4)輸出數據p2。按照p2=數據編碼id+2位二進制整數編碼10+數據p2,構造出數據p2的編碼,輸出到p2的存儲位置(管理數據安全服務系統)。(5)輸出數據p3。按照p3=數據編碼id+2位二進制整數編碼11+數據p3,構造出數據p3的編碼,輸出到p3的存儲位置(存儲數據安全服務系統)。
優選的,在本發明一實施例中,所述取出數據的存管分離數據解碼,其過程包括:(1)讀取分存的數據。根據任意一項輸入數據頭部的數據編碼id,或者數據編碼id,查找dsess系統中所存儲的各項數據的存儲位置,登錄各數據的數據安全服務系統中,讀入數據p1、p2、p3。(2)重構p0。根據數據編碼id的用作標識秘密分割門限方案的8位二進制整數所對應的秘密分割門限方案,使用p1、p2、p3重構出p0。(3)輸出數據p0。計算重構出的數據p0的數字摘要,與數據編碼id內的數字摘要比對,如果兩種相同,則解碼成功,輸出數據p0。
如圖5所示,為本發明實施例一種存管分離權限分配示意圖,所述存管分離權限分配包括:
數據p0的防泄漏安全管理由用戶方、管理方、存儲方三方共同管理。
數據p0不再存儲在以上三方的任何一方,而是由dsess系統分割為三份數據:p1、p2、p3。分割后,數據p0不再保存。
數據p1存儲在用戶數據安全服務系統中,由用戶方負責管理。
數據p2存儲在管理數據安全服務系統中,由管理方負責管理。通常情況下,dsess系統與管理數據安全服務系統合并為一個,由dsess的存儲服務系統承擔管理數據安全服務系統的功能。
數據p3存儲在存儲數據安全服務系統中,有存儲方負責管理。
在權限分配方面,用戶方與dsess同在一個組,存儲方與dsess同在另一個組。用戶方的權限設置為:“rwxrwx---”;dsess的權限設置為:“rwx------”;存儲方的權限設置為“rwxrwx---”
如圖6所示,為本發明實施例一種存管分離數據編碼流程圖,所述存管分離數據編碼流程包括:
601、構造數據編碼id。數據編碼id是一個固定長度的數據編碼,具備全球唯一性。優選的,數據編碼id編碼規則為:設備全球唯一編碼、設備時間的毫秒數、用作去重標簽的8位二進制隨機數、用作標識秘密分割門限方案的8位二進制整數、p0的32位數字摘要。
602、分割數據p0。優選的,選擇簡單異或秘密分割門限方案,將數據p0分割為3個數據,按照從短到長為序,編號為數據p1、數據p2、數據p3。
603、輸出數據p1。輸出p1到用戶數據安全服務系統。
604、輸出數據p2。優選的,將p2存儲在dsess系統內部。
605、輸出數據p3。優選的,將p3存儲到網絡存儲系統中。
如圖7所示,為本發明實施例一種存管分離數據解碼流程圖,所述存管分離數據解碼流程包括:
701、讀取分存的數據p1、p2、p3;
702、根據密密分割門限方案重構p0;
703、校驗數據摘要后,輸出數據p0。
上述技術方案具有如下有益效果:
本發明實施例建立了一種數據多方分存、秘密多方共管的數據存儲和交換防泄漏技術機制,具備安全責任明確并且易于掌控,數據存儲與交換高速度、高保密等方面的突出優勢,有效解決數據網絡存儲、云存儲、云交換、數據交易等方面的數據防泄漏難題。
本發明實施例提供一種基于存管分離數據防泄漏方案,在內容過濾和數據加密兩類防泄漏技術之外,提出第三類數據防泄漏技術。
本發明實施例提出了一種基于dsess系統的數據防泄漏方法,為所有滿足dsess定義的秘密分割算法用于數據防泄漏提供了一種通用的框架。
本發明實施例提出的dsess系統,當n=k=2時,構成兩方秘密共享防泄漏,數據p0分割為p1和p2兩份數據,可把p1作為密鑰,p2作為密文,dsess系統是一款對稱加密系統的框架,可方便用于構造一次一密的對稱加密算法,為電子簽名技術提供了一種良好的數據加密方法、裝置與系統。
本發明實施例提供一種編碼方式,在輸出數據中添加數據編碼id,是一個固定長度的數據編碼,具備全球唯一性,使得秘密分割后的各份數據能夠獨立于dsess系統而存儲,便于數據備份、數據交換和數據共享。
本發明實施例為企業、政府、部隊提供了網絡存儲與云存儲的數據防泄漏框架,例如,可將大部分數據p3存儲在公有云上,將少量數據p1、p2存在私有云上,可有效地實現以小的私有存儲控制大的公有存儲數據防泄漏效果。
以下結合應用實例對本發明實施例上述技術方案進行詳細說明:
本發明實施例提供一種存管分離數據防泄漏手機云盤系統的技術實現方案,為手機用戶提供個人隱私數據云存儲防泄漏。具體方案由以下幾個部分組成:
1、手機防泄漏云盤app軟件,作為所述存管分離數據防泄漏手機云盤系統的用戶數據安全服務系統和管理數據安全服務系統,并提供dsess編碼系統、dsess解碼系統、dsess管理系統所有功能。
2、數據存儲云,作為所述存管分離數據防泄漏手機云盤系統的存儲云服務,由用戶自己選定一款公有云的數據存儲服務。
用戶在手機防泄漏云盤app軟件上對個人隱私數據p0秘密分割為3份數據p1、p2、p3,其中,p1存儲在手機上的用戶數據目錄中,p2存儲在防泄漏云盤app的數據庫中,p3存儲在公有云上。p1和p2都沒有上網,也沒有離開用戶手機,在網上存儲了數據p3,p3不能夠重構出p0,實現了對數據p0的存儲防泄漏。以下詳細說明上述各部分的工作原理。
一、手機防泄漏云盤app軟件
所述手機防泄漏云盤app軟件中,所含dsess編碼系統和dsess解碼系統采用的秘密分割算法為簡單異或算法。
存入數據過程如下:
(1)初始化手機防泄漏云盤app軟件,配置手機上存儲p1的目錄;配置存儲p3的云存儲的網絡訪問路徑、協議、賬號;p2缺省存儲在手機防泄漏云盤app軟件的數據庫中。
(2)讀入數據p0。p0數據為1mb大小,即數據長度為1048576b。構造數據編碼id,編碼id組成規則為:15個數字的手機imei號+6個數字的日期編碼yymmdd+5個數字的秒數編碼+2個數字的隨機標簽+32個字符的p0的md5數字摘要,編碼id的數據總長度為120b。
(3)分割數據p0。步驟如下:
a)生成兩個二進制256位(即32b)隨機數a1、a2
b)用a1異或a2異或p0,得到pa,即pa=p0⊕a1⊕a2
c)分割a1為前后兩段:a11,a12,長度均為128位(即16b)
d)分割a2為前后兩段:a21,a22,長度均為128位(即16b)
e)分割pa的二進制編碼為前、中、后三段,60b長度的pa1、60b長度的pa2、1048512b長度的pa23
(4)輸出p1,p1編碼為:數據編碼id+a1的前半端a11+a2的后半段a22+pa1,存儲p1到手機上的用戶數據目錄下,p1的數據長度為212b。
(5)輸出p2,p3編碼為:數據編碼id+a1的后半端a12+a2的前半段a21+pa2,存儲p2到手機防泄漏云盤app軟件的數據庫中,p1的數據長度為212b。
(6)輸出p3,p3編碼為:數據編碼id+pa3,存儲p3到指定的公有云上。p3的數據長度為1048576b(即1mb),與p0長度相同。
用戶使用數據時,在手機防泄漏云盤app軟件中導出數據,導出數據過程如下:
(1)在手機防泄漏云盤app軟件中選定需要導出的數據的p2
(2)根據p2,在手機防泄漏云盤app軟件中查找到p1、p3的存儲位置
(3)讀取手機上的用戶數據目錄下的p1、手機防泄漏云盤app軟件的數據庫中的p2、公有云上存儲的p3
(4)根據p1、p2、p3,重構出p0,步驟包括:
a)截取p1、p2、p3的前120b,比對,如果一致,則將該字符作為編碼id;否則,提示出錯后退出
b)從p1、p2的后部的92b數據編碼,按照16b:16b:60b分切,得到a11、a22、pa1、a12、a21、pa2
c)p3切去前120b的數據id,得到pa3
d)重構:a1=a11+a12;a2=a21+a22;pa=pa1+pa2+pa3
e)重構p0,p0=pa⊕a1⊕a2
(5)輸出數據p0,從數據id中,切出尾部的64b二進制字符,與p0的md5數字摘要對比,如果兩者相等,則輸出p0。
二、數據存儲云
數據存儲云是用戶選定的一個公有云存儲服務。數據存儲云存儲p3,并確保只允許用戶賬號訪問p3。
本發明應用實例技術方案帶來如下的有益效果:
1、本發明實施例提供了一種個人隱私數據防泄漏終端軟件解決方案,用戶可通過手機管理和控制存儲在公有云上的數據安全、防泄漏。
2、本發明實施例提出的數據分割方法,對公有云上存儲的數據而言,具備一次一密的高安全特性。
3、用戶的個人隱私數據p0成功導入到手機防泄漏云盤app軟件內以后,數據p0就分割為p1、p2、p3,不再保存p0,p0只能通過p1、p2、p3重構出來。
4、p1和p3都是存儲在文件目錄中,相對易于泄漏,但p1、p3的泄漏不會導致數據p0的泄漏。
5、在手機防泄漏云盤app軟件內存儲數據p2,防范了手機丟失等情況下,p2的泄漏。
本發明應用實例提出的手機防泄漏云盤app軟件在手機上存儲的用戶方和管理方的數據定長、量小,本發明實施例的p1:p2:p3=1:1:4946,在手機上存儲p1、p2不到總數據量的百分之一,在公有云上存儲的p3占數據的超過99%的絕大部分,用戶可通過一個手機上的私有存儲安全管控超過該私有存儲100倍的共有云存儲上的數據安全,實現數據防泄漏。
應該明白,公開的過程中的步驟的特定順序或層次是示例性方法的實例。基于設計偏好,應該理解,過程中的步驟的特定順序或層次可以在不脫離本公開的保護范圍的情況下得到重新安排。所附的方法權利要求以示例性的順序給出了各種步驟的要素,并且不是要限于所述的特定順序或層次。
在上述的詳細描述中,各種特征一起組合在單個的實施方案中,以簡化本公開。不應該將這種公開方法解釋為反映了這樣的意圖,即,所要求保護的主題的實施方案需要比清楚地在每個權利要求中所陳述的特征更多的特征。相反,如所附的權利要求書所反映的那樣,本發明處于比所公開的單個實施方案的全部特征少的狀態。因此,所附的權利要求書特此清楚地被并入詳細描述中,其中每項權利要求獨自作為本發明單獨的優選實施方案。
為使本領域內的任何技術人員能夠實現或者使用本發明,上面對所公開實施例進行了描述。對于本領域技術人員來說;這些實施例的各種修改方式都是顯而易見的,并且本文定義的一般原理也可以在不脫離本公開的精神和保護范圍的基礎上適用于其它實施例。因此,本公開并不限于本文給出的實施例,而是與本申請公開的原理和新穎性特征的最廣范圍相一致。
上文的描述包括一個或多個實施例的舉例。當然,為了描述上述實施例而描述部件或方法的所有可能的結合是不可能的,但是本領域普通技術人員應該認識到,各個實施例可以做進一步的組合和排列。因此,本文中描述的實施例旨在涵蓋落入所附權利要求書的保護范圍內的所有這樣的改變、修改和變型。此外,就說明書或權利要求書中使用的術語“包含”,該詞的涵蓋方式類似于術語“包括”,就如同“包括,”在權利要求中用作銜接詞所解釋的那樣。此外,使用在權利要求書的說明書中的任何一個術語“或者”是要表示“非排它性的或者”。
本領域技術人員還可以了解到本發明實施例列出的各種說明性邏輯塊(illustrativelogicalblock),單元,和步驟可以通過電子硬件、電腦軟件,或兩者的結合進行實現。為清楚展示硬件和軟件的可替換性(interchangeability),上述的各種說明性部件(illustrativecomponents),單元和步驟已經通用地描述了它們的功能。這樣的功能是通過硬件還是軟件來實現取決于特定的應用和整個系統的設計要求。本領域技術人員可以對于每種特定的應用,可以使用各種方法實現所述的功能,但這種實現不應被理解為超出本發明實施例保護的范圍。
本發明實施例中所描述的各種說明性的邏輯塊,或單元都可以通過通用處理器,數字信號處理器,專用集成電路(asic),現場可編程門陣列或其它可編程邏輯裝置,離散門或晶體管邏輯,離散硬件部件,或上述任何組合的設計來實現或操作所描述的功能。通用處理器可以為微處理器,可選地,該通用處理器也可以為任何傳統的處理器、控制器、微控制器或狀態機。處理器也可以通過計算裝置的組合來實現,例如數字信號處理器和微處理器,多個微處理器,一個或多個微處理器聯合一個數字信號處理器核,或任何其它類似的配置來實現。
本發明實施例中所描述的方法或算法的步驟可以直接嵌入硬件、處理器執行的軟件模塊、或者這兩者的結合。軟件模塊可以存儲于ram存儲器、閃存、rom存儲器、eprom存儲器、eeprom存儲器、寄存器、硬盤、可移動磁盤、cd-rom或本領域中其它任意形式的存儲媒介中。示例性地,存儲媒介可以與處理器連接,以使得處理器可以從存儲媒介中讀取信息,并可以向存儲媒介存寫信息。可選地,存儲媒介還可以集成到處理器中。處理器和存儲媒介可以設置于asic中,asic可以設置于用戶終端中。可選地,處理器和存儲媒介也可以設置于用戶終端中的不同的部件中。
在一個或多個示例性的設計中,本發明實施例所描述的上述功能可以在硬件、軟件、固件或這三者的任意組合來實現。如果在軟件中實現,這些功能可以存儲與電腦可讀的媒介上,或以一個或多個指令或代碼形式傳輸于電腦可讀的媒介上。電腦可讀媒介包括電腦存儲媒介和便于使得讓電腦程序從一個地方轉移到其它地方的通信媒介。存儲媒介可以是任何通用或特殊電腦可以接入訪問的可用媒體。例如,這樣的電腦可讀媒體可以包括但不限于ram、rom、eeprom、cd-rom或其它光盤存儲、磁盤存儲或其它磁性存儲裝置,或其它任何可以用于承載或存儲以指令或數據結構和其它可被通用或特殊電腦、或通用或特殊處理器讀取形式的程序代碼的媒介。此外,任何連接都可以被適當地定義為電腦可讀媒介,例如,如果軟件是從一個網站站點、服務器或其它遠程資源通過一個同軸電纜、光纖電纜、雙絞線、數字用戶線(dsl)或以例如紅外、無線和微波等無線方式傳輸的也被包含在所定義的電腦可讀媒介中。所述的碟片(disk)和磁盤(disc)包括壓縮磁盤、鐳射盤、光盤、dvd、軟盤和藍光光盤,磁盤通常以磁性復制數據,而碟片通常以激光進行光學復制數據。上述的組合也可以包含在電腦可讀媒介中。
以上所述的具體實施方式,對本發明的目的、技術方案和有益效果進行了進一步詳細說明,所應理解的是,以上所述僅為本發明的具體實施方式而已,并不用于限定本發明的保護范圍,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
- 還沒有人留言評論。精彩留言會獲得點贊!