监察系统文件的访问处理方法、装置和计算机设备与流程

文档序号：15402257发布日期：2018-09-11 17:49阅读：118来源：国知局

本申请涉及信息系统安全建设技术领域，特别是涉及一种监察系统文件的访问处理方法、装置、计算机设备。

背景技术：

监察系统在被访问的过程中，可以自动搜集访问数据，生成文件。拥有访问权限的用户可以通过对监察系统搜集的文件进行审计，来实现对外部访问行为的监管。例如，在内控安全监察系统中，可以在成功接入系统后，对客户的访问过程进行实时录屏，并将录像保存，拥有访问权限的用户可对录屏的录像进行审计。

目前的监察系统中，文件的访问控制权由访问权限鉴别来控制，拥有访问权限的即可访问监察系统文件，没有访问权限的则无法获取监察系统文件。然而，在监察系统本身被非法访问或数据泄露时，容易被直接获取，安全性低。

技术实现要素：

基于此，有必要针对上述技术问题，提供一种能够提高监察系统文件安全性的监察系统文件的访问处理方法、装置、计算机设备和存储介质。

一种监察系统文件的访问处理方法，所述方法包括：

接收加密卡输出的所述公钥，对监察系统中的文件进行加密得到加密文件，存储所述加密文件；其中，加密卡用于生成密钥对，所述密钥对包括公钥和私钥；

接收客户端访问加密文件的请求，并对所述客户端进行鉴权；

若鉴权通过，则通过调用存储于所述加密卡的所述私钥，对所述加密文件进行解密。

在一个实施例中，所述的监察系统文件的访问处理方法，接收客户端访问加密文件的请求的步骤之前，包括：

触发所述加密卡存储所述私钥并生成私钥提取码，将所述私钥提取码与客户端权限以及所述文件的文件标识进行对应并记录在数据库中。

在一个实施例中，所述的监察系统文件的访问处理方法，对所述客户端进行鉴权的步骤，包括：

通过查询所述数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若所述客户端存在所述解密权限，则获取所述数据库中的所述私钥提取码；

在获取私钥提取码后，触发所述加密卡判断所述客户端是否存在加密卡访问权限，若所述客户端存在所述加密卡访问权限，则鉴权通过。

一种监察系统文件的访问处理方法，所述方法包括：

生成密钥对，所述密钥对包括公钥和私钥；

向监察系统服务器输出所述公钥，所述公钥用于指示监察系统服务器根据所述公钥对监察系统中的文件进行加密得到加密文件，并触发所述监察系统服务器存储所述加密文件；

当所述服务器接收客户端访问加密文件的请求时，对所述客户端进行鉴权，若鉴权通过，则根据所述私钥，对所述加密文件进行解密。

在一个实施例中，所述的监察系统文件的访问处理方法，对所述客户端进行鉴权的步骤之前，包括：

存储所述私钥并生成私钥提取码，触发所述服务器将所述私钥提取码与客户端权限以及所述文件的文件标识进行对应并记录在数据库中。

在一个实施例中，所述的监察系统文件的访问处理方法，对所述客户端进行鉴权的步骤，包括：

指示所述服务器通过查询所述数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若所述客户端存在所述解密权限，则触发所述服务器获取所述数据库中的所述私钥提取码；

在所述服务器获取所述私钥提取码后，判断所述客户端是否存在加密卡访问权限，若所述客户端存在所述加密卡访问权限，则鉴权通过。

一种监察系统文件的访问处理装置，所述装置包括：

存储模块，用于接收加密卡输出的所述公钥，对监察系统中的文件进行加密得到加密文件，存储所述加密文件；其中，加密卡用于生成密钥对，所述密钥对包括公钥和私钥；

鉴权模块，用于接收客户端访问加密文件的请求，并对所述客户端进行鉴权；

解密模块，用于若鉴权通过，则通过调用存储于所述加密卡的所述私钥，对所述加密文件进行解密。

一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

接收客户端访问加密文件的请求，并对所述客户端进行鉴权；

若鉴权通过，则通过调用存储于所述加密卡的所述私钥，对所述加密文件进行解密。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

生成密钥对，所述密钥对包括公钥和私钥；

当所述服务器接收客户端访问加密文件的请求时，对所述客户端进行鉴权，若鉴权通过，则根据所述私钥，对所述加密文件进行解密。

一种内控安全监察系统，所述系统包括：

监察系统服务器和加密卡；

所述监察系统服务器用于执行以下步骤：

接收客户端访问加密文件的请求，并对所述客户端进行鉴权；

若鉴权通过，则通过调用存储于所述加密卡的所述私钥，对所述加密文件进行解密；

所述加密卡用于执行以下步骤：

生成密钥对，所述密钥对包括公钥和私钥；

当所述服务器接收客户端访问加密文件的请求时，对所述客户端进行鉴权，若鉴权通过，则根据所述私钥，对所述加密文件进行解密。

上述监察系统文件的访问处理方法、装置、内控安全监察系统、计算机设备和存储介质，通过将监察系统与加密卡进行连接，通过加密卡生成密钥对，通过公钥对监察系统文件进行加密得到加密文件，在监察系统接收到客户端对加密文件的访问请求时，根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密，在监察系统本身被非法访问或数据泄露时，文件以密文的形式存储，文件的保密安全性高。

附图说明

图1为一个实施例中监察系统文件的访问处理方法的应用环境图；

图2为一个实施例中监察系统文件的访问处理方法的流程示意图；

图3为一个实施例中客户端访问录像文件的流程示意图；

图4为另一个实施例中监察系统文件的访问处理方法的流程示意图；

图5为一个实施例中加密过程的流程示意图；

图6为一个实施例中解密过程的流程示意图；

图7为一个实施例中监察系统文件加密装置的结构框图；

图8为另一个实施例中监察系统文件加密装置的结构框图；

图9为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的监察系统文件加密和解密方法，可以应用于如图1所示的应用环境中。其中，加密卡102与监察系统服务器101进行连接，可以把加密卡102内置于监察系统服务器101。客户端103与监察系统服务器101进行连接，通过连接对监察系统进行访问。其中，客户端103可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器101可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本发明实施例中的监察系统以内控安全监察系统为例进行详细说明。

在一个实施例中，如图2所示，提供了一种监察系统文件的访问处理方法，以该方法应用于图1中的监察系统服务器为例进行说明，包括以下步骤：

s201，接收加密卡输出的公钥，对监察系统中的文件进行加密得到加密文件，存储加密文件；其中，加密卡用于生成密钥对，密钥对包括公钥和私钥；

s202，接收客户端访问加密文件的请求，并对客户端进行鉴权。

对于步骤s201和步骤s202，监察系统可以为内控安全监察系统，可以在内控安全监察系统内设置加密卡，并与内控安全监察系统内的相关接口相连。在内控安全监察系统的正常使用过程中，可以将客户端的访问过程生成监察系统文件。例如，可以对访问过程进行录像，生成录像文件。可以通过调用加密卡接口来获取加密卡的公钥，可以通过公钥对监察系统中的文件进行加密，例如，通过公钥对监察系统生成的录像文件进行加密。

s203，若鉴权通过，则通过调用存储于加密卡的私钥，对加密文件进行解密。

本步骤中的私钥可以预先存储在加密卡中，在监察系统服务器接收到客户端的访问文件的请求时，可以根据私钥响应访问请求。还可以判断客户端的访问权限，有访问权限的客户可以获取私钥，对监察系统文件进行访问，还可以对文件进行审计。

下面结合图3描述一个客户端访问录像文件的流程示例，在客户端对监察系统访问的同时，监察系统的堡垒机开始录像，监察系统服务器调用加密卡接口，加密卡生成密钥对，服务器使用密钥对中的公钥对录像进行加密。在客户端需要对录像文件进行查看时，判断需要查看录像文件的客户端是否拥有权限，若是，则服务器调用接口，获取密匙对的私钥，通过私钥对录像文件进行解密。若否，则拒绝访问。

上述实施例，通过将监察系统与加密卡进行连接，通过加密卡生成密钥对，通过公钥对监察系统文件进行加密得到加密文件，在监察系统接收到客户端对加密文件的访问请求时，根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密，在监察系统本身被非法访问或数据泄露时，文件以密文的形式存储，文件的保密安全性高。

在一个实施例中，在步骤s202之前，可以对私钥进行以下处理：触发加密卡存储私钥并生成私钥提取码，将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。

上述实施例中的步骤由监察系统服务器用于执行，文件标识可以是文件的唯一编码(identification，id)，例如，可以将私钥提取码与录像id及权限进行对应记录在数据库中。

上述实施例，通过将监察系统与加密卡进行连接，通过加密卡生成密钥对，通过公钥对监察系统文件进行加密得到加密文件，在监察系统接收到客户端对加密文件的访问请求时，根据私钥响应客户端对加密文件的访问请求。由加密卡对文件进行加密，在监察系统本身被非法访问或数据泄露时，文件以密文的形式存储，文件的保密安全性高，且只需增加相应的加密卡模块，设备投资增加小。

在一个实施例中，步骤s203可以通过以下步骤对客户端进行鉴权：通过查询数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若客户端存在解密权限，则获取数据库中的私钥提取码；在获取私钥提取码后，触发加密卡判断客户端是否存在加密卡访问权限，若客户端存在加密卡访问权限，则鉴权通过。

上述实施例中的步骤由监察系统服务器用于执行，加密文件可以存储在服务器里，在响应客户端对加密文件的访问请求之后可以对加密文件进行解密，解密之后可以对于文件进行分发或播放或下载。

如图4所示，在一个实施例中，提供了一种监察系统文件的访问处理方法，以该方法应用于图1中的加密卡为例进行说明，包括以下步骤：

s401，生成密钥对，密钥对包括公钥和私钥。

加密卡在成密钥对时，可以根据椭圆曲线密码编码学(ellipticcurvescryptography，ecc)算法生成密钥对，也可以根据rsa算法(rsaalgorithm，rsa)生成密钥对。其中，ecc算法是一种公钥加密体制，其数学基础是利用椭圆曲线上的有理点构成阿贝尔(abel)加法群上椭圆离散对数的计算困难性；rsa是三个该算法的创始人姓氏开头字母拼在一起组成的，rsa算法是一种非对称加密算法，rsa算法使用公开密钥密码体制，所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。

s402，向监察系统服务器输出公钥，公钥用于指示监察系统服务器根据公钥对监察系统中的文件进行加密得到加密文件，并触发监察系统服务器存储加密文件。

在上述步骤中，加密卡可以在接收到接口调用指令时将公钥输出至服务器，服务器可以通过公钥对监察系统中的文件进行加密，例如，通过公钥对监察系统生成的录像文件进行加密。

s403，当服务器接收客户端访问加密文件的请求时，对客户端进行鉴权，若鉴权通过，则根据私钥，对加密文件进行解密。

本步骤中的私钥可以预先存储在加密卡中，在监察系统服务器接收到客户端的访问文件的请求时，可以根据私钥响应访问请求。还可以判断客户端的访问权限，有访问权限的客户可以获取私钥对监察系统文件进行访问，还可以对文件进行审计。

在一个实施例中，加密过程中加密卡对私钥的处理步骤为：存储私钥并生成私钥提取码，触发服务器将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。

加密过程中生成了公钥和私钥，下面结合图4描述一个实施例的加密过程。在用户对设备进行访问的同时，监察系统中的堡垒机开始录像，加密卡生成密钥对，输出密钥对中的公钥对录像文件进行加密，并生成私钥存储在加密卡中，并生成私钥提取码存储在数据库中。

在一个实施例中，加密卡可以通过以下步骤对文件进行鉴权：指示服务器通过查询数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若客户端存在解密权限，则触发服务器获取数据库中的私钥提取码；在服务器获取私钥提取码后，判断客户端是否存在加密卡访问权限，若客户端存在加密卡访问权限，则鉴权通过。

鉴权步骤产生在对文件进行解密的过程中，下面结合图5描述一个实施例中的文件解密过程。判断加密后的录像文件是否存在解密权限，若是，则连接数据库，获取数据库中的私钥提取码，再判断需要访问录像文件的客户端是否有加密卡访问权限，若是，则向加密卡输入私钥提取码，获取私钥，实用私钥对录像文件进行解密。

应该理解的是，虽然图2-6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-6中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图7所示，提供了一种监察系统文件的访问处理装置，包括：

存储模块71，用于接收加密卡输出的公钥，对监察系统中的文件进行加密得到加密文件，存储加密文件；其中，加密卡用于生成密钥对，密钥对包括公钥和私钥；

鉴权模块72，用于接收客户端访问加密文件的请求，并对客户端进行鉴权；

解密模块73，用于若鉴权通过，则通过调用存储于加密卡的私钥，对加密文件进行解密。

在一个实施例中，如图8所示，还提供了一种监察系统文件的访问处理装置，包括：

密钥对生成模块81，用于生成密钥对，密钥对包括公钥和私钥；

公钥输出模块82，用于向监察系统服务器输出公钥，公钥用于指示监察系统服务器根据公钥对监察系统中的文件进行加密得到加密文件，并触发监察系统服务器存储加密文件；

访问处理模块83，用于当服务器接收客户端访问加密文件的请求时，对客户端进行鉴权，若鉴权通过，则根据私钥，对加密文件进行解密。

关于监察系统文件加密装置的具体限定可以参见上文中对于监察系统文件的访问处理方法的限定，在此不再赘述。上述监察系统文件加密装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

本发明实施例的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或(模块)单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储监察系统的文件。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种监察系统文件的访问处理方法。

本领域技术人员可以理解，图9中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：

接收加密卡输出的公钥，对监察系统中的文件进行加密得到加密文件，存储加密文件；其中，加密卡用于生成密钥对，密钥对包括公钥和私钥；

接收客户端访问加密文件的请求，并对客户端进行鉴权；

若鉴权通过，则通过调用存储于加密卡的私钥，对加密文件进行解密。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：触发加密卡存储私钥并生成私钥提取码，将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：通过查询数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若客户端存在解密权限，则获取数据库中的私钥提取码；在获取私钥提取码后，触发加密卡判断客户端是否存在加密卡访问权限，若客户端存在加密卡访问权限，则鉴权通过。

生成密钥对，密钥对包括公钥和私钥；

向监察系统服务器输出公钥，公钥用于指示监察系统服务器根据公钥对监察系统中的文件进行加密得到加密文件，并触发监察系统服务器存储加密文件；

当服务器接收客户端访问加密文件的请求时，对客户端进行鉴权，若鉴权通过，则根据私钥，对加密文件进行解密。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：存储私钥并生成私钥提取码，触发服务器将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：指示服务器通过查询数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若客户端存在解密权限，则触发服务器获取数据库中的私钥提取码；在服务器获取私钥提取码后，判断客户端是否存在加密卡访问权限，若客户端存在加密卡访问权限，则鉴权通过。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

接收加密卡输出的公钥，对监察系统中的文件进行加密得到加密文件，存储加密文件；其中，加密卡用于生成密钥对，密钥对包括公钥和私钥；

接收客户端访问加密文件的请求，并对客户端进行鉴权；

若鉴权通过，则通过调用存储于加密卡的私钥，对加密文件进行解密。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：触发加密卡存储私钥并生成私钥提取码，将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：通过查询数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若客户端存在解密权限，则获取数据库中的私钥提取码；在获取私钥提取码后，触发加密卡判断客户端是否存在加密卡访问权限，若客户端存在加密卡访问权限，则鉴权通过。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

生成密钥对，密钥对包括公钥和私钥；

当服务器接收客户端访问加密文件的请求时，对客户端进行鉴权，若鉴权通过，则根据私钥，对加密文件进行解密。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：存储私钥并生成私钥提取码，触发服务器将私钥提取码与客户端权限以及文件的文件标识进行对应并记录在数据库中。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：指示服务器通过查询数据库，判断待访问客户端是否存在获取私钥提取码的解密权限，若客户端存在解密权限，则触发服务器获取数据库中的私钥提取码；在服务器获取私钥提取码后，判断客户端是否存在加密卡访问权限，若客户端存在加密卡访问权限，则鉴权通过。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

在一个实施例中还提供一种内控安全监察系统，系统包括：监察系统服务器和加密卡。

监察系统服务器用于执行以下步骤：接收加密卡输出的公钥，对监察系统中的文件进行加密得到加密文件，存储加密文件；其中，加密卡用于生成密钥对，密钥对包括公钥和私钥；接收客户端访问加密文件的请求，并对客户端进行鉴权；若鉴权通过，则通过调用存储于加密卡的私钥，对加密文件进行解密。

加密卡用于执行以下步骤：生成密钥对，密钥对包括公钥和私钥；向监察系统服务器输出公钥，公钥用于指示监察系统服务器根据公钥对监察系统中的文件进行加密得到加密文件，并触发监察系统服务器存储加密文件；当服务器接收客户端访问加密文件的请求时，对客户端进行鉴权，若鉴权通过，则根据私钥，对加密文件进行解密。

上述实施例中内控安全监察系统中的监察系统服务器和加密卡所执行的步骤与监察系统文件的访问处理方法对应的步骤相类似，此处不再赘述。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：邓越;陈光明;吕齐萌;康健;邱峰;陈家良
技术所有人：广州赛姆科技资讯股份有限公司
我是此专利的发明人

上一篇：软件定义互连方法、装置及组网系统与流程
上一篇：定时定量药物供给装置的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。