CN106855928A - 一种提高数据安全的方法与设备 - Google Patents
一种提高数据安全的方法与设备 Download PDFInfo
- Publication number
- CN106855928A CN106855928A CN201510904243.2A CN201510904243A CN106855928A CN 106855928 A CN106855928 A CN 106855928A CN 201510904243 A CN201510904243 A CN 201510904243A CN 106855928 A CN106855928 A CN 106855928A
- Authority
- CN
- China
- Prior art keywords
- key information
- user
- access
- target data
- original cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请的目的是提供一种提高数据安全的方法与设备。与现有技术相比,本申请在获取访问用户对系统中目标数据的访问请求后,即使所述访问用户在所述系统中拥有比所有者用户更高的用户权限等级也无法随意访问所述目标数据,当获取所述访问用户所提供的关于所述目标数据的访问密钥信息,且所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,才允许所述访问用户访问所述目标数据;从而提高了数据安全,提升了用户体验。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种提高数据安全的技术。
背景技术
随着云服务的快速发展,其数据安全问题也日益受到关注。现有的云数据库中高权限用户(例如超级用户、根权限用户)可以查看低权限用户(例如普通用户)的数据,使得部分用户担忧自己存储在云数据库中的数据的安全性,影响用户体验。
发明内容
本申请的一个目的是提供一种提高数据安全的方法与设备,以解决权限等级高于所有者用户的访问用户可以随意访问目标数据的问题。
根据本申请的一个方面,提供了一种提高数据安全的方法,其中,该方法包括:
获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户;
获取所述访问用户所提供的关于所述目标数据的访问密钥信息;
当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
根据本申请的另一个方面,提供了一种提高数据安全的设备,其中,该设备包括:
访问请求获取装置,用于获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户;
访问密钥获取装置,用于获取所述访问用户所提供的关于所述目标数据的访问密钥信息;
访问允许装置,用于当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
与现有技术相比,本申请在获取访问用户对系统中目标数据的访问请求后,即使所述访问用户在所述系统中拥有比所有者用户更高的用户权限等级也无法随意访问所述目标数据,当获取所述访问用户所提供的关于所述目标数据的访问密钥信息,且所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,才允许所述访问用户访问所述目标数据;从而提高了数据安全,提升了用户体验。进一步地,在获取关于所述原密钥信息的修改操作后,通过检验所述修改操作的用户是否提交与所述原密钥信息相匹配的修改密钥信息,确定是否允许修改操作;从而避免权限等级高于所述所有者用户的所述访问用户通过随意修改所述原密钥信息来访问所述目标数据,进一步保障了所述目标数据的安全。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个方面的一种提高数据安全的方法流程图;
图2示出根据本申请一个优选实施例的一种提高数据安全的方法流程图;
图3示出根据本申请另一个方面的一种提高数据安全的设备示意图;
图4示出根据本申请一个优选实施例的一种提高数据安全的设备示意图;
图5示出根据本申请一个实施例的一种提高数据安全的系统示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
图5示出根据本申请一个实施例的一种提高数据安全的系统示意图。具体地,用户在系统中创建用户账户时可以指定登录密码及登录密钥,在该用户账户下创建一个或多个数据库时可以指定所述数据库对应的密钥,在所述一个或多个数据库中创建用户表时也可以指定所述表对应的密钥,将用户设置的所述登录密钥、所述数据库对应的密钥及所述表对应的密钥存储至密钥表。当系统获取访问所述用户账户创建的所述表或所述数据库的访问请求时,会请求访问用户输入对应的密钥,若检测发现访问用户输入的对应密钥是正确的(与密钥表中存储的对应密钥相一致),则响应该访问请求并返回对应的数据信息。
图1示出根据本申请一个方面的一种提高数据安全的方法流程图。
该方法包括步骤S11、步骤S12和步骤S13。具体地,在步骤S11中,设备1获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户;在步骤S12中,设备1获取所述访问用户所提供的关于所述目标数据的访问密钥信息;在步骤S13中,设备1当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
在此,所述设备1包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品,例如智能手机、平板电脑等,所述移动电子产品可以采用任意操作系统,如android操作系统、iOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(CloudComputing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。优选地,设备1还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的脚本程序。当然,本领域技术人员应能理解上述设备1仅为举例,其他现有的或今后可能出现的设备1如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
设备1的各个步骤之间是持续不断工作的。具体地,在步骤S11中,设备1持续获取访问用户对系统中目标数据的访问请求;在步骤S12中,设备1持续获取所述访问用户所提供的关于所述目标数据的访问密钥信息;在步骤S13中,设备1持续当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据;直至所述设备1停止工作。
在步骤S11中,设备1获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户。
在具体的实施例中,所述系统包括云数据库,所述访问用户包括云数据库的超级用户(super user)或根(root)权限用户,所述所有者用户包括云数据库的普通用户。所述目标数据包含在数据表之中。(数据表是数据库中一个非常重要的对象,一个数据库中可能包含若干个数据表。)在所述系统中,所述所有者用户可以在其用户账户下创建一个或多个数据库,并将所述目标数据存储在所述一个或多个数据库中。在此,所述用户权限指的是用户权利的限制范围,即用一个用户账户登录后,根据为不同用户账户类型设置的对应权限等级,系统中有些功能可以使用,有些功能无法使用;在系统中权限等级更高的用户可以比权限等级更低的用户使用更多的功能。
在步骤S12中,设备1获取所述访问用户所提供的关于所述目标数据的访问密钥信息。
例如,在获取所述访问用户对系统中目标数据的访问请求之后,会向所述访问用户发送提供所述访问密钥信息的请求。在此,获取所述访问用户所提供的所述访问密钥信息,所述访问密钥信息包括但不限于数字、字母、符号中的若干种及其自由组合。
在具体的实施例中,任何用户(包括所述访问用户和所述所有者用户)想要访问所述目标数据,都需要提供所述访问密钥信息。
在步骤S13中,设备1当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
在具体的实施例中,将所述访问用户所提供的访问密钥信息与所述原密钥信息进行比对,若所述访问密钥信息与所述原密钥信息相一致,则相匹配,允许所述访问用户访问所述目标数据。
优选地,所述原密钥信息包括以下至少任一项:所述所有者用户在所述系统中创建用户时设置的登陆密钥信息;所述所有者用户在所述系统中创建所述目标数据对应的数据库时设置的密钥信息;所述所有者用户在所述系统中创建所述目标数据对应的表时设置的密钥信息。
例如,所述所有者用户在第一次使用所述系统时需要创建新的用户账户,此时由所述所有者用户设置该用户账户对应的登录密码和登录密钥信息;在后续操作中,所述所有者用户可以在其所创建的用户账户下创建一个或多个数据库,其中,所述所有者用户在创建所述数据库时可以选择为其设置对应的密钥信息;所述所有者用户还可以在所述一个或多个数据库中创建若干个表,并且所述所有者用户在创建所述表时可以选择为其设置对应的密钥信息,其中,所述表包括数据表(数据表是数据库中一个非常重要的对象,一个数据库中可能包含若干个数据表)。
在优选的实施例中,若所述所有者用户为所述目标数据设置的原密钥信息包括登录密钥信息、所述目标数据对应的数据库的密钥信息和所述目标数据对应的表的密钥信息,那么所述访问用户所提供的所述访问密钥信息也应包括登录密钥信息、所述目标数据对应的数据库的密钥信息和所述目标数据对应的表的密钥信息,且所述访问密钥信息与所述原密钥信息完全匹配,才允许所述访问用户访问所述目标数据。
优选地,设备1当所述访问密钥信息与所述原密钥信息不匹配,拒绝所述访问请求。
在具体的实施例中,将所述访问用户所提供的访问密钥信息与所述原密钥信息进行比对,若所述访问密钥信息与所述原密钥信息不一致,即不匹配,拒绝所述访问用户访问所述目标数据。
与现有技术相比,权限等级高于所述所有者用户的所述访问用户不能直接访问所述目标数据,而是需要提供与所述所有者用户为所述目标数据设置的原密钥信息相匹配的所述访问密钥信息,才被允许访问所述目标数据,从而提高了数据安全。
图2示出根据本申请一个优选实施例的一种提高数据安全的方法流程图。
该方法包括步骤S14’、步骤S11’、步骤S12’和步骤S13’。在此,步骤S11’、步骤S12’、步骤S13’与图1中步骤S11、步骤S12、步骤S13的内容相同或基本相同,为简明起见,不再赘述。
具体地,在步骤S14’中,设备1获取并存储所述所有者用户为所述目标数据设置的原密钥信息。
在具体的实施例中,在获取所述所有者用户为所述目标数据设置的原密钥信息后,将所述原密钥信息存储至密钥表。在此,所述密钥表为所述系统中的全局数据,即所述密钥表中存储的数据可供所述系统中的所有应用调用。
优选地,在步骤S14’中,设备1获取所述所有者用户为所述目标数据设置的原密钥信息;加密并存储所述原密钥信息。
在具体的实施例中,在将所述原密钥信息存储至密钥表之前,先对所述原密钥信息进行加密。例如,可以选定MD5(Message-Digest Algorithm5,消息摘要算法第五版,是计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护)、SHA(Secure Hash Algorithm,安全散列算法,是美国国家安全局设计,美国国家标准与技术研究院发布的一系列密码散列函数)、RIPEMD(RACE Integrity Primitives Evaluation MessageDigest,RACE原始完整性校验消息摘要)等算法中的一种对所述原密钥信息进行加密,然后将通过算法加密后的所述原密钥信息的密文存储至密钥表。
当然,本领域技术人员应能理解上述算法仅为举例,其他现有的或今后可能出现的可以对所述原密钥信息进行加密的算法如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
在此,因为MD5等算法的加密结果是不可逆的,即所述访问用户无法从MD5等算法加密后的所述原密钥信息的密文反向推导出所述原密钥信息的明文。即便所述访问用户比所述所有者用户在所述系统中拥有更高的权限等级,就算所述访问用户能够看到所述原密钥信息的密文,也无法从中获得所述原密钥信息的明文,因此无法访问所述目标数据。从而,避免权限等级高于所述所有者用户的所述访问用户随意访问所述目标数据,提高了所述目标数据的安全性,提升了用户体验。
优选地,该方法还包括:设备1获取关于所述原密钥信息的修改操作;设备1检验所述修改操作的用户是否提交与所述原密钥信息相匹配的修改密钥信息;设备1当所述修改密钥信息与所述原密钥信息相匹配,对所述原密钥信息执行所述修改操作;否则,拒绝所述修改操作。
在此,当获取任何用户(包括所述访问用户和所述所有者用户)对所述原密钥信息的修改操作之后,都需要该用户提交修改密钥信息,若未提交所述修改密钥信息则拒绝所述修改操作。若所述修改密钥信息包括所述原密钥信息,则所述修改密钥信息与所述原密钥信息相匹配,允许对所述原密钥信息执行所述修改操作;若所述修改密钥信息未包括所述原密钥信息,例如所述修改操作的用户在被要求输入原密钥信息时提交错误的所述原密钥信息,则所述修改密钥信息与所述原密钥信息不匹配,拒绝所述修改操作。从而避免权限等级高于所述所有者用户的所述访问用户通过随意修改所述原密钥信息来访问所述目标数据,进一步保障了所述目标数据的安全。
图3示出根据本申请一个方面的一种提高数据安全的设备1,其中,设备1包括访问请求获取装置11、访问密钥获取装置12和访问允许装置13。
具体地,所述访问请求获取装置11获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户;所述访问密钥获取装置12获取所述访问用户所提供的关于所述目标数据的访问密钥信息;所述访问允许装置13当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
在此,所述设备1包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品,例如智能手机、平板电脑等,所述移动电子产品可以采用任意操作系统,如android操作系统、iOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(CloudComputing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。优选地,设备1还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的脚本程序。当然,本领域技术人员应能理解上述设备1仅为举例,其他现有的或今后可能出现的设备1如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
上述各装置之间是持续不断工作的,在此,本领域技术人员应理解“持续”是指上述各装置分别实时地或者按照设定的或实时调整的工作模式要求,例如所述访问请求获取装置11持续获取访问用户对系统中目标数据的访问请求;所述访问密钥获取装置12持续获取所述访问用户所提供的关于所述目标数据的访问密钥信息;所述访问允许装置13持续当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据;直至所述设备1停止工作。
所述访问请求获取装置11获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户。
在具体的实施例中,所述系统包括云数据库,所述访问用户包括云数据库的超级用户(super user)或根(root)权限用户,所述所有者用户包括云数据库的普通用户。所述目标数据包含在数据表之中。(数据表是数据库中一个非常重要的对象,一个数据库中可能包含若干个数据表。)在所述系统中,所述所有者用户可以在其用户账户下创建一个或多个数据库,并将所述目标数据存储在所述一个或多个数据库中。在此,所述用户权限指的是用户权利的限制范围,即用一个用户账户登录后,根据为不同用户账户类型设置的对应权限等级,系统中有些功能可以使用,有些功能无法使用;在系统中权限等级更高的用户可以比权限等级更低的用户使用更多的功能。
所述访问密钥获取装置12获取所述访问用户所提供的关于所述目标数据的访问密钥信息。
例如,在获取所述访问用户对系统中目标数据的访问请求之后,会向所述访问用户发送提供所述访问密钥信息的请求。在此,获取所述访问用户所提供的所述访问密钥信息,所述访问密钥信息包括但不限于数字、字母、符号中的若干种及其自由组合。
在具体的实施例中,任何用户(包括所述访问用户和所述所有者用户)想要访问所述目标数据,都需要提供所述访问密钥信息。
所述访问允许装置13当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
在具体的实施例中,将所述访问用户所提供的访问密钥信息与所述原密钥信息进行比对,若所述访问密钥信息与所述原密钥信息相一致,则相匹配,允许所述访问用户访问所述目标数据。
优选地,所述原密钥信息包括以下至少任一项:所述所有者用户在所述系统中创建用户时设置的登陆密钥信息;所述所有者用户在所述系统中创建所述目标数据对应的数据库时设置的密钥信息;所述所有者用户在所述系统中创建所述目标数据对应的表时设置的密钥信息。
例如,所述所有者用户在第一次使用所述系统时需要创建新的用户账户,此时由所述所有者用户设置该用户账户对应的登录密码和登录密钥信息;在后续操作中,所述所有者用户可以在其所创建的用户账户下创建一个或多个数据库,其中,所述所有者用户在创建所述数据库时可以选择为其设置对应的密钥信息;所述所有者用户还可以在所述一个或多个数据库中创建若干个表,并且所述所有者用户在创建所述表时可以选择为其设置对应的密钥信息,其中,所述表包括数据表(数据表是数据库中一个非常重要的对象,一个数据库中可能包含若干个数据表)。
在优选的实施例中,若所述所有者用户为所述目标数据设置的原密钥信息包括登录密钥信息、所述目标数据对应的数据库的密钥信息和所述目标数据对应的表的密钥信息,那么所述访问用户所提供的所述访问密钥信息也应包括登录密钥信息、所述目标数据对应的数据库的密钥信息和所述目标数据对应的表的密钥信息,且所述访问密钥信息与所述原密钥信息完全匹配,才允许所述访问用户访问所述目标数据。
优选地,设备1还包括访问拒绝装置(未示出)。所述访问拒绝装置当所述访问密钥信息与所述原密钥信息不匹配,拒绝所述访问请求。
在具体的实施例中,将所述访问用户所提供的访问密钥信息与所述原密钥信息进行比对,若所述访问密钥信息与所述原密钥信息不一致,即不匹配,拒绝所述访问用户访问所述目标数据。
与现有技术相比,权限等级高于所述所有者用户的所述访问用户不能直接访问所述目标数据,而是需要提供与所述所有者用户为所述目标数据设置的原密钥信息相匹配的所述访问密钥信息,才被允许访问所述目标数据,从而提高了数据安全。
图4示出根据本申请一个优选实施例的一种提高数据安全的设备1,其中,设备1包括原密钥获取装置14’、访问请求获取装置11’、访问密钥获取装置12’和访问允许装置13’。
在此,所述访问请求获取装置11’、访问密钥获取装置12’、访问允许装置13’与图3中访问请求获取装置11、访问密钥获取装置12、访问允许装置13的内容相同或基本相同,为简明起见,不再赘述。
具体地,原密钥获取装置14’获取并存储所述所有者用户为所述目标数据设置的原密钥信息。
在具体的实施例中,在获取所述所有者用户为所述目标数据设置的原密钥信息后,将所述原密钥信息存储至密钥表。在此,所述密钥表为所述系统中的全局数据,即所述密钥表中存储的数据可供所述系统中的所有应用调用。
优选地,所述原密钥获取装置14’获取所述所有者用户为所述目标数据设置的原密钥信息;加密并存储所述原密钥信息。
在具体的实施例中,在将所述原密钥信息存储至密钥表之前,先对所述原密钥信息进行加密。例如,可以选定MD5(Message-Digest Algorithm5,消息摘要算法第五版,是计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护)、SHA(Secure Hash Algorithm,安全散列算法,是美国国家安全局设计,美国国家标准与技术研究院发布的一系列密码散列函数)、RIPEMD(RACE Integrity Primitives Evaluation MessageDigest,RACE原始完整性校验消息摘要)等算法中的一种对所述原密钥信息进行加密,然后将通过算法加密后的所述原密钥信息的密文存储至密钥表。
当然,本领域技术人员应能理解上述算法仅为举例,其他现有的或今后可能出现的可以对所述原密钥信息进行加密的算法如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
在此,因为MD5等算法的加密结果是不可逆的,即所述访问用户无法从MD5等算法加密后的所述原密钥信息的密文反向推导出所述原密钥信息的明文。即便所述访问用户比所述所有者用户在所述系统中拥有更高的权限等级,就算所述访问用户能够看到所述原密钥信息的密文,也无法从中获得所述原密钥信息的明文,因此无法访问所述目标数据。从而,避免权限等级高于所述所有者用户的所述访问用户随意访问所述目标数据,提高了所述目标数据的安全性,提升了用户体验。
优选地,设备1还包括修改操作获取装置(未示出)、检验装置(未示出)和修改操作匹配装置(未示出)。其中,所述修改操作获取装置获取关于所述原密钥信息的修改操作;所述检验装置检验所述修改操作的用户是否提交与所述原密钥信息相匹配的修改密钥信息;所述修改操作匹配装置当所述修改密钥信息与所述原密钥信息相匹配,对所述原密钥信息执行所述修改操作;否则,拒绝所述修改操作。
在此,当获取任何用户(包括所述访问用户和所述所有者用户)对所述原密钥信息的修改操作之后,都需要该用户提交修改密钥信息,若未提交所述修改密钥信息则拒绝所述修改操作。若所述修改密钥信息包括所述原密钥信息,则所述修改密钥信息与所述原密钥信息相匹配,允许对所述原密钥信息执行所述修改操作;若所述修改密钥信息未包括所述原密钥信息,例如所述修改操作的用户在被要求输入原密钥信息时提交错误的所述原密钥信息,则所述修改密钥信息与所述原密钥信息不匹配,拒绝所述修改操作。从而避免权限等级高于所述所有者用户的所述访问用户通过随意修改所述原密钥信息来访问所述目标数据,进一步保障了所述目标数据的安全。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (12)
1.一种提高数据安全的方法,其中,该方法包括:
获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户;
获取所述访问用户所提供的关于所述目标数据的访问密钥信息;
当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
2.根据权利要求1所述的方法,其中,该方法还包括:
当所述访问密钥信息与所述原密钥信息不匹配,拒绝所述访问请求。
3.根据权利要求1或2所述的方法,其中,该方法还包括:
获取并存储所述所有者用户为所述目标数据设置的原密钥信息。
4.根据权利要求3所述的方法,其中,所述获取并存储所述所有者用户为所述目标数据设置的原密钥信息包括:
获取所述所有者用户为所述目标数据设置的原密钥信息;
加密并存储所述原密钥信息。
5.根据权利要求1所述的方法,其中,该方法还包括:
获取关于所述原密钥信息的修改操作;
检验所述修改操作的用户是否提交与所述原密钥信息相匹配的修改密钥信息;
当所述修改密钥信息与所述原密钥信息相匹配,对所述原密钥信息执行所述修改操作;否则,拒绝所述修改操作。
6.根据权利要求1所述的方法,其中,所述原密钥信息包括以下至少任一项:
所述所有者用户在所述系统中创建用户时设置的登陆密钥信息;
所述所有者用户在所述系统中创建所述目标数据对应的数据库时设置的密钥信息;
所述所有者用户在所述系统中创建所述目标数据对应的表时设置的密钥信息。
7.一种提高数据安全的设备,其中,该设备包括:
访问请求获取装置,用于获取访问用户对系统中目标数据的访问请求,其中,所述访问用户在所述系统中的用户权限等级高于所述目标数据的所有者用户;
访问密钥获取装置,用于获取所述访问用户所提供的关于所述目标数据的访问密钥信息;
访问允许装置,用于当所述访问密钥信息与所述所有者用户为所述目标数据设置的原密钥信息相匹配,允许所述访问用户访问所述目标数据。
8.根据权利要求7所述的设备,其中,该设备还包括:
访问拒绝装置,用于当所述访问密钥信息与所述原密钥信息不匹配,拒绝所述访问请求。
9.根据权利要求7或8所述的设备,其中,该设备还包括:
原密钥获取装置,用于获取并存储所述所有者用户为所述目标数据设置的原密钥信息。
10.根据权利要求9所述的设备,其中,所述原密钥获取装置用于:
获取所述所有者用户为所述目标数据设置的原密钥信息;
加密并存储所述原密钥信息。
11.根据权利要求7所述的设备,其中,该设备还包括:
修改操作获取装置,用于获取关于所述原密钥信息的修改操作;
检验装置,用于检验所述修改操作的用户是否提交与所述原密钥信息相匹配的修改密钥信息;
修改操作匹配装置,用于当所述修改密钥信息与所述原密钥信息相匹配,对所述原密钥信息执行所述修改操作;否则,拒绝所述修改操作。
12.根据权利要求7所述的设备,其中,所述原密钥信息包括以下至少任一项:
所述所有者用户在所述系统中创建用户时设置的登陆密钥信息;
所述所有者用户在所述系统中创建所述目标数据对应的数据库时设置的密钥信息;
所述所有者用户在所述系统中创建所述目标数据对应的表时设置的密钥信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510904243.2A CN106855928A (zh) | 2015-12-09 | 2015-12-09 | 一种提高数据安全的方法与设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510904243.2A CN106855928A (zh) | 2015-12-09 | 2015-12-09 | 一种提高数据安全的方法与设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106855928A true CN106855928A (zh) | 2017-06-16 |
Family
ID=59132467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510904243.2A Pending CN106855928A (zh) | 2015-12-09 | 2015-12-09 | 一种提高数据安全的方法与设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106855928A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109388971A (zh) * | 2018-10-26 | 2019-02-26 | 杭州虹晟信息科技有限公司 | 基于云端的大数据平台移动办公系统 |
| CN113722736A (zh) * | 2021-09-01 | 2021-11-30 | 斑马网络技术有限公司 | 应用文件的访问隔离方法、电子设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090300742A1 (en) * | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Identity selector for use with a user-portable device and method of use in a user-centric identity management system |
| CN102622621A (zh) * | 2012-02-07 | 2012-08-01 | 上海中科高等研究院 | 提高射频识别系统安全性的通信方法 |
| CN103051638A (zh) * | 2013-01-09 | 2013-04-17 | 中国科学院深圳先进技术研究院 | 多媒体数据加密方法和多媒体数据加密分发系统 |
| CN103152417A (zh) * | 2013-03-04 | 2013-06-12 | 上海帜讯信息技术有限公司 | 面向共同客户端的多企业云文件夹部署与信息交互方法 |
| CN103581187A (zh) * | 2013-11-05 | 2014-02-12 | 曙光云计算技术有限公司 | 访问权限的控制方法及控制系统 |
| CN104011728A (zh) * | 2012-07-24 | 2014-08-27 | 英特尔公司 | 提供到加密数据的访问 |
| CN104168291A (zh) * | 2014-08-29 | 2014-11-26 | 宇龙计算机通信科技(深圳)有限公司 | 数据访问方法、数据访问装置和终端 |
-
2015
- 2015-12-09 CN CN201510904243.2A patent/CN106855928A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090300742A1 (en) * | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Identity selector for use with a user-portable device and method of use in a user-centric identity management system |
| CN102622621A (zh) * | 2012-02-07 | 2012-08-01 | 上海中科高等研究院 | 提高射频识别系统安全性的通信方法 |
| CN104011728A (zh) * | 2012-07-24 | 2014-08-27 | 英特尔公司 | 提供到加密数据的访问 |
| CN103051638A (zh) * | 2013-01-09 | 2013-04-17 | 中国科学院深圳先进技术研究院 | 多媒体数据加密方法和多媒体数据加密分发系统 |
| CN103152417A (zh) * | 2013-03-04 | 2013-06-12 | 上海帜讯信息技术有限公司 | 面向共同客户端的多企业云文件夹部署与信息交互方法 |
| CN103581187A (zh) * | 2013-11-05 | 2014-02-12 | 曙光云计算技术有限公司 | 访问权限的控制方法及控制系统 |
| CN104168291A (zh) * | 2014-08-29 | 2014-11-26 | 宇龙计算机通信科技(深圳)有限公司 | 数据访问方法、数据访问装置和终端 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109388971A (zh) * | 2018-10-26 | 2019-02-26 | 杭州虹晟信息科技有限公司 | 基于云端的大数据平台移动办公系统 |
| CN109388971B (zh) * | 2018-10-26 | 2021-10-15 | 广西电网有限责任公司 | 基于云端的大数据平台移动办公系统 |
| CN113722736A (zh) * | 2021-09-01 | 2021-11-30 | 斑马网络技术有限公司 | 应用文件的访问隔离方法、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9152808B1 (en) | Adapting decoy data present in a network | |
| TW201947446A (zh) | 基於區塊鏈的資訊監管方法及裝置 | |
| US9747455B1 (en) | Data protection using active data | |
| US8955143B1 (en) | Use of decoy data in a data store | |
| US10432622B2 (en) | Securing biometric data through template distribution | |
| CN107919954A (zh) | 一种基于sgx的区块链用户密钥保护方法和装置 | |
| Gupta et al. | SELI: Statistical evaluation based leaker identification stochastic scheme for secure data sharing | |
| US11580206B2 (en) | Project-based permission system | |
| CN109829333B (zh) | 一种基于OpenID的关键信息保护方法及系统 | |
| CN117195297B (zh) | 基于erp的数据安全与隐私保护系统及方法 | |
| US20210124732A1 (en) | Blockchain based distributed file systems | |
| CN116319026A (zh) | 一种零信任架构中的信任评估方法、装置及电子设备 | |
| CN109510800B (zh) | 一种网络请求处理方法、装置、电子设备及存储介质 | |
| CN106487770A (zh) | 鉴权方法及鉴权装置 | |
| CN109033882A (zh) | 一种可追溯的大数据安全发布方法及系统 | |
| CN111090616B (zh) | 一种文件管理方法、对应装置、设备及存储介质 | |
| Vaidya et al. | Data leakage detection and security in cloud computing | |
| CN106855928A (zh) | 一种提高数据安全的方法与设备 | |
| Ntonja et al. | Cloud data privacy preserving model for health information systems based on multi factor authentication | |
| CN106230769B (zh) | 基于移动终端信任度的移动云数据分级接入控制方法 | |
| CN105740666A (zh) | 识别线上操作风险的方法及装置 | |
| CN111953637B (zh) | 一种应用服务方法与装置 | |
| US9253174B1 (en) | Providing a second factor authorization | |
| Latha et al. | Secure cloud web application in an industrial environment: a study | |
| Song et al. | Utilizing Hash Algorithms for NFT Data File Integrity Checks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170616 |
|
| RJ01 | Rejection of invention patent application after publication |