专利名称:SaaS应用下提高数据安全性的方法
技术领域:
本发明属于数据安全技术领域,涉及一种提高数据安全性的方法,尤其涉及一种 SaaS应用下提高数据安全性的方法。
背景技术:
SaaS(Software-as-a-service)的意思是软件即服务,&iaS的中文名称为软营或 软件运营。MaS是基于互联网提供软件服务的软件应用模式。作为一种在21世纪开始兴 起的创新的软件应用模式,SaaS是软件科技发展的最新趋势。^aS的基本结构如图1所
7J\ ο随着云计算的快速发展,SaaS应用需求也会快速增加,然而用户数据在服务器中 的安全问题,导致许多人不敢使用^aS服务商提供的服务,SaaS应用的发展因此受阻。因为对用户而言第三方的MaS服务商是不可信任的,特别是用户担心自己的机 密信息会被服务器管理员非法查看或泄漏,有效解决这一问题的方法是将用户数据加密。最新的数据加密方法是采用在服务器保存用户的数据密钥,由客户端来加密和解 密。由于密钥保存在服务器中,密钥易于被服务器的管理员获取。用户端的计算机因为要 进行频繁的加密解密,势必会增加负担,影响运行速度。况且客户端还需安装加解密软件, 这与软件即服务本身有矛盾。
发明内容
本发明所要解决的技术问题是提供一种^aS应用下提高数据安全性的方法,既 不影响用户的正常使用习惯,又能保证用户数据在服务器中的安全。为解决上述技术问题,本发明采用如下技术方案一种MaS应用下提高数据安全性的方法,所述方法包括如下步骤在用户注册时,为用户分配一个数据加密密钥;用服务器的公钥用公钥算法将这 个数据加密密钥加密,并将加密后的密钥交由用户保管;用户在使用MaS服务时,采用加密通信协议通信;采用对称加密算法对用户的数据进行加密解密,数据加密密钥只在应用程序服器 中内存中短暂保存。作为本发明的一种优选方案,所述对称加密算法为DES或AES,其非对称算法为 RSA或ECC算法。作为本发明的一种优选方案,在对用户数据加密时选择指定的应用程序产生的文 档数据进行加密和解密。作为本发明的一种优选方案,用户在打开或者保存数据时,为用户提供服务的应 用程序服务器向认证服务器申请用户保管的加密后的数据加密密钥,认证服务器再向用户 申请加密的数据加密密钥。作为本发明的一种优选方案,认证服务器用自己的私钥解密获得数据加密密钥,再用应用程序服务器的公钥加密数据加密密钥,再转交给应用程序服务器。作为本发明的一种优选方案,应用程序服务器用自己私钥解密得到数据加密密 钥,用于加密和解密用户数据。作为本发明的一种优选方案,使用加密通信,数据不会在通信过程中被截获,数据 在用户端是明文显示,合法用户能正常使用自己的数据,非法用户即使能获得用户存在服 务器中的数据,这些数据也是经过加密的,不会泄密。一种MaS应用下提高数据安全性的方法,所述方法包括如下步骤在应用程序服务器中安装透明加解密程序;采用对称加密算法,针对应用程序进 程,对其读入内存的数据进程解密,读出内存的数据加密保护;用户与服务器之间采用加密通信,用户注册时,由认证服务器随机分配一个密钥 给用户,且认证服务器用自己的公钥加密密钥,再交由用户自己保管;用户登录web服务器后,打开或保存文档时由调用的应用程序所在的应用程序服 务器申请并获取用户的加密密钥来解密和加密数据;密钥只在内存中短暂保存。作为本发明的一种优选方案,只允许安全的进程运行,保护在内存中的明文数据 不会被非法读取。本发明的有益效果在于本发明提出的^aS应用下提高数据安全性的方法,用户 需要保护的数据始终以加密的形式存在数据服务器中。加密密钥由用户来保管,采用加密 通信,避免服务器管理员非法获得密钥。加密和解密过程都在服务器中完成,不会增加客户 端的负担,无需额外安装任何软件。用户在使用服务时打的文档数据是明文形式,因此不影 响用户的操作习惯。本方法特别适合运算能力不强的移动终端。
图1为MaS的基本结构示意图。图2为用户注册过程示意图。图3为用户登录过程示意图。图4为应用程序服务器中透明加解密进程申请数据密钥流程图。图5为文档透明加解密流程图。图6为透明加解密原理示意图。
具体实施例方式下面结合附图详细说明本发明的优选实施例。实施例一本发明揭示了一种^aS应用下提高数据安全性的方法,所述方法包括如下步骤在用户注册时,为用户分配一个数据加密密钥;用服务器的公钥用公钥算法将这 个数据加密密钥加密,并将加密后的密钥交由用户保管;用户在使用MaS服务时,采用加密通信协议通信;采用对称加密算法对用户的数据进行加密解密,数据加密密钥只在应用程序服器 中内存中短暂保存。所述对称加密算法为DES或AES,其非对称算法为RSA或ECC算法。优选地,在对用户数据加密时选择指定的应用程序产生的文档数据进行加密和解
4密。用户在打开或者保存数据时,为用户提供服务的应用程序服务器向认证服务器申请用 户保管的加密后的数据加密密钥,认证服务器再向用户申请加密的数据加密密钥。认证服务器用自己的私钥解密获得数据加密密钥,再用应用程序服务器的公钥加 密数据加密密钥,再转交给应用程序服务器。或者,应用程序服务器用自己私钥解密得到数 据加密密钥,用于加密和解密用户数据。由于使用加密通信,数据不会在通信过程中被截获,数据在用户端是明文显示,所 以合法用户能正常使用自己的数据,非法用户即使能获得用户存在服务器中的数据,这些 数据也是经过加密的,不会泄密。实施例二通过在数据服务器中采用透明加解密技术,对用户的数据文档进行动态加解密, 使数据在数据服务器中始终处于加密状态,而在用户端则处于明文状态,同时采用加密通 迅,并由用户自己来保管数据密钥,应用服务器中不保存数据密钥,从而保证既不影响用户 的正常使用习惯,又能保证用户数据在服务器中的安全。使用户不用担心使用^aS服务会 泄漏自己的机密信息,促进应用的发展。具体实现步骤如下在应用程序服务器中安装透明加解密程序。采用对称加密算法,针对应用程序进 程,对其读入内存的数据进程解密,读出内存的数据加密保护。透明加密解原理如图六所
7J\ ο用户与服务器之间采用加密通信,用户注册时,由认证服务器随机分配一个密钥 给用户,且认证服务器用自己的公钥加密密钥,再交由用户自己保管。用户登录web服务器后,打开或保存文档时由调用的应用程序所在的应用程序服 务器申请并获取用户的加密密钥来解密和加密数据。密钥只在内存中短暂保存。进一步地,只允许安全的进程运行,保护在内存中的明文数据不会被非法读取。实施例三在应用程序服务器端安装加密系统,系统采用透明加密技术。用户与服务器连接 采用HTTPS协议加密通信。透明加密采用对称算法,可以为3DES或AES等。采用非对称算 法加密用户数据密钥,可用)(509证书的扩展字段保存此加密过的密钥,存放在用户的证书 中。应用程序向认证服务器申请密钥,用以加解密用户数据。用户正常使用服务,不受任何影响。用户注册步骤如下1、如图2所示,用户在web页面,申请注册新用户,认证服务器判断是否允许注册, 如果可以注册则在数据库中添加记录,并返回成功的响应;2、与此同时给用户随机分配一个数据密钥,用于透明加解密,此密钥由认证服务 器用其公钥加密后存放在)(509证书的扩展字段中,用户下载并保存该证书。用户登录系统步骤如下使用浏览器在web页面登录系统,如图3所示。用户使用应用程序服务步骤如下(1)用户通过认证后登录系统(2)用户使用应用程序服务,如图5所示,在对文档进行打开、保存、导入、导出等操作时,透明加解密进程会进行相应的加解密操作;(3)在进行加解密操作时,需要先获取用户数据密钥,获取用户数据密钥过程如图 4所示。综上所述,本发明提出的^aS应用下提高数据安全性的方法,用户需要保护的数 据始终以加密的形式存在数据服务器中。加密密钥由用户来保管,采用加密通信,避免服务 器管理员非法获得密钥。加密和解密过程都在服务器中完成,不会增加客户端的负担,无需 额外安装任何软件。用户在使用服务时打的文档数据是明文形式,因此不影响用户的操作 习惯。本方法特别适合运算能力不强的移动终端。这里本发明的描述和应用是说明性的,并非想将本发明的范围限制在上述实施例 中。这里所披露的实施例的变形和改变是可能的,对于那些本领域的普通技术人员来说实 施例的替换和等效的各种部件是公知的。本领域技术人员应该清楚的是,在不脱离本发明 的精神或本质特征的情况下,本发明可以以其它形式、结构、布置、比例,以及用其它组件、 材料和部件来实现。在不脱离本发明范围和精神的情况下,可以对这里所披露的实施例进 行其它变形和改变。
权利要求
1.一种MaS应用下提高数据安全性的方法,其特征在于,所述方法包括如下步骤在用户注册时,为用户分配一个数据加密密钥;用服务器的公钥用公钥算法将这个数 据加密密钥加密,并将加密后的密钥交由用户保管; 用户在使用^aS服务时,采用加密通信协议通信;采用对称加密算法对用户的数据进行加密解密,数据加密密钥只在应用程序服器中内 存中短暂保存。
2.根据权利要求1所述的^aS应用下提高数据安全性的方法,其特征在于 所述对称加密算法为DES或AES,其非对称算法为RSA或ECC算法。
3.根据权利要求1所述的^aS应用下提高数据安全性的方法,其特征在于 在对用户数据加密时选择指定的应用程序产生的文档数据进行加密和解密。
4.根据权利要求1至3之一所述的^aS应用下提高数据安全性的方法,其特征在于 用户在打开或者保存数据时,为用户提供服务的应用程序服务器向认证服务器申请用户保管的加密后的数据加密密钥,认证服务器再向用户申请加密的数据加密密钥。
5.根据权利要求4所述的^aS应用下提高数据安全性的方法,其特征在于 认证服务器用自己的私钥解密获得数据加密密钥,再用应用程序服务器的公钥加密数据加密密钥,再转交给应用程序服务器。
6.根据权利要求5所述的^aS应用下提高数据安全性的方法,其特征在于 应用程序服务器用自己私钥解密得到数据加密密钥,用于加密和解密用户数据。
7.根据权利要求6所述的^aS应用下提高数据安全性的方法,其特征在于使用加密通信,数据不会在通信过程中被截获,数据在用户端是明文显示,合法用户能 正常使用自己的数据,非法用户即使能获得用户存在服务器中的数据,这些数据也是经过 加密的,不会泄密。
8.—种MaS应用下提高数据安全性的方法,其特征在于,所述方法包括如下步骤 在应用程序服务器中安装透明加解密程序;采用对称加密算法,针对应用程序进程,对其读入内存的数据进程解密,读出内存的数据加密保护;用户与服务器之间采用加密通信,用户注册时,由认证服务器随机分配一个密钥给用 户,且认证服务器用自己的公钥加密密钥,再交由用户自己保管;用户登录web服务器后,打开或保存文档时由调用的应用程序所在的应用程序服务器 申请并获取用户的加密密钥来解密和加密数据;密钥只在内存中短暂保存。
9.根据权利要求8所述的^aS应用下提高数据安全性的方法,其特征在于只允许安 全的进程运行,保护在内存中的明文数据不会被非法读取。
全文摘要
本发明揭示了一种SaaS应用下提高数据安全性的方法,包括如下步骤在用户注册时,为用户分配一个数据加密密钥;用服务器的公钥用公钥算法将这个数据加密密钥加密,并将加密后的密钥交由用户保管;用户在使用SaaS服务时,采用加密通信协议通信;采用对称加密算法对用户的数据进行加密解密,数据加密密钥只在应用程序服器中内存中短暂保存。本发明提出的SaaS应用下提高数据安全性的方法,加密密钥由用户来保管,采用加密通信,避免服务器管理员非法获得密钥。加密和解密过程都在服务器中完成,不会增加客户端的负担,无需额外安装任何软件。用户在使用服务时打的文档数据是明文形式,因此不影响用户的操作习惯。
文档编号H04L29/06GK102098295SQ20101061008
公开日2011年6月15日 申请日期2010年12月28日 优先权日2010年12月28日
发明者刘彬, 耿振民 申请人:上海华御信息技术有限公司