本发明涉及加密处理,具体而言,涉及一种可信数据空间应用程序数据落盘加密存储方法及系统。
背景技术:
1、数据落盘加密通常用于保护敏感信息,如个人数据、财务记录和机密业务数据,防止在存储介质丢失、被盗或遭受黑客攻击时数据泄露。它是数据安全措施中的重要一环,能够提升信息系统的整体安全性。
2、数据空间是一个虚拟的数据空间,利用现有标准和技术以及数据经济中广泛接受的治理模型,以促进受信任的商业生态系统中安全和标准化的数据交换和数据链接。因此,它为创建智能服务场景和促进创新的跨公司业务流程提供了基础,同时保证数据所有者的数据主权。其中数据主权是数据空间的核心方面,它可以定义为自然人或法人实体对其数据完全自主决定的能力。
3、数据安全在数据空间中显得尤为重要,除了常规防止在存储介质丢失、被盗或遭受黑客攻击时数据泄露以外,还需要防止拥有主机和虚拟机权限的用户对数据的非法使用或恶意泄露,以及防止处于同一个主机和虚拟机系统环境中的其它应用程序非法使用或篡改,确保数据只能被创建它的应用程序访问。
4、针对现有技术中数据落盘加密只能防止在存储介质丢失、被盗或遭受黑客攻击时数据泄露,不能防止拥有主机和虚拟机权限的用户对数据的非法使用或恶意泄露、以及不能防止处于同一个主机和虚拟机系统环境中的其它应用程序非法使用或篡改的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本发明实施例中提供一种可信数据空间应用程序数据落盘加密存储方法及系统,以解决现有技术中数据落盘加密只能防止在存储介质丢失、被盗或遭受黑客攻击时数据泄露,不能防止拥有主机和虚拟机权限的用户对数据的非法使用或恶意泄露、以及不能防止处于同一个主机和虚拟机系统环境中的其它应用程序非法使用或篡改的问题。
2、为达到上述目的,一方面,本发明提供了一种可信数据空间应用程序数据落盘加密存储方法,该方法包括:s1、基于海光csv技术派生每个安全虚拟机内每个应用程序的封印密钥;s2、获取当前明文数据,将所述当前明文数据在当前应用程序中通过随机生成的当前数据加密密钥进行加密后得到当前密文数据,将所述当前密文数据存储在第一存储单元中;以及通过当前应用程序的封印密钥对随机生成的当前数据加密密钥进行加密封印,将加密封印后的当前数据加密密钥存储在第二存储单元中;s3、当前应用程序重启时,获取第一存储单元中的当前密文数据和第二存储单元中的加密封印后的当前数据加密密钥;通过当前应用程序的封印密钥对所述加密封印后的当前数据加密密钥进行解密得到当前数据加密密钥;并通过当前数据加密密钥对所述当前密文数据进行解密,得到当前明文数据。
3、可选的,通过海光安全芯片根密钥派生每个安全虚拟机的封印密钥;根据当前安全虚拟机的封印密钥、当前安全虚拟机内当前应用程序的身份id以及其它特征信息,采用cmac算法派生当前安全虚拟机内当前应用程序的封印密钥。
4、可选的,所述应用程序与所述明文数据为一对多的对应关系;所述明文数据与所述数据加密密钥为一对一的对应关系。
5、可选的,在当前应用程序中,将随机生成指定密钥位数的对称加密密钥作为当前数据加密密钥。
6、可选的,所述其它特征信息包括:版本号、版本名称、特征值;所述第一存储单元包括:磁盘或外部数据库;所述第二存储单元包括:安全硬件、磁盘或外部数据库。
7、另一方面,本发明提供了一种可信数据空间应用程序数据落盘加密存储系统,该系统包括:派生单元,用于基于海光csv技术派生每个安全虚拟机内每个应用程序的封印密钥;加密存储单元,用于获取当前明文数据,将所述当前明文数据在当前应用程序中通过随机生成的当前数据加密密钥进行加密后得到当前密文数据,将所述当前密文数据存储在第一存储单元中;以及通过当前应用程序的封印密钥对随机生成的当前数据加密密钥进行加密封印,将加密封印后的当前数据加密密钥存储在第二存储单元中;解密单元,用于当前应用程序重启时,获取第一存储单元中的当前密文数据和第二存储单元中的加密封印后的当前数据加密密钥;通过当前应用程序的封印密钥对所述加密封印后的当前数据加密密钥进行解密得到当前数据加密密钥;并通过当前数据加密密钥对所述当前密文数据进行解密,得到当前明文数据。
8、可选的,所述派生单元包括:第一派生子单元,用于通过海光安全芯片根密钥派生每个安全虚拟机的封印密钥;第二派生子单元,用于根据当前安全虚拟机的封印密钥、当前安全虚拟机内当前应用程序的身份id以及其它特征信息,采用cmac算法派生当前安全虚拟机内当前应用程序的封印密钥。
9、可选的,所述应用程序与所述明文数据为一对多的对应关系;所述明文数据与所述数据加密密钥为一对一的对应关系。
10、可选的,在当前应用程序中,将随机生成指定密钥位数的对称加密密钥作为当前数据加密密钥。
11、可选的,所述其它特征信息包括:版本号、版本名称、特征值;所述第一存储单元包括:磁盘或外部数据库;所述第二存储单元包括:安全硬件、磁盘或外部数据库。
12、本发明的有益效果:
13、本发明提供了一种可信数据空间应用程序数据落盘加密存储方法及系统,其中,该方法基于海光csv技术派生每个安全虚拟机内每个应用程序的封印密钥;将当前明文数据在当前应用程序中通过随机生成的当前数据加密密钥进行加密后得到当前密文数据,将所述当前密文数据存储在第一存储单元中;以及通过当前应用程序的封印密钥对随机生成的当前数据加密密钥进行加密封印,将加密封印后的当前数据加密密钥存储在第二存储单元中。该方法可以防止在存储介质丢失、被盗或遭受黑客攻击时数据泄露以外,还可以防止拥有主机和虚拟机权限的用户对数据的非法使用或恶意泄露,以及防止处于同一个主机和虚拟机系统环境中的其它应用程序非法使用或篡改,确保数据只能被创建数据的应用程序访问。
1.一种可信数据空间应用程序数据落盘加密存储方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述s1包括:
3.根据权利要求1所述的方法,其特征在于:
4.根据权利要求3所述的方法,其特征在于:
5.根据权利要求2所述的方法,其特征在于:
6.一种可信数据空间应用程序数据落盘加密存储系统,其特征在于,包括:
7.根据权利要求6所述的系统,其特征在于,所述派生单元包括:
8.根据权利要求6所述的系统,其特征在于:
9.根据权利要求8所述的系统,其特征在于:
10.根据权利要求7所述的系统,其特征在于:
