一种用户云端数据保护方法及代理服务器与流程

本发明的实施例涉及网络安全技术领域，尤其涉及一种用户云端数据保护方法及代理服务器。

背景技术

随着信息技术与智能终端的快速发展，云应用广泛存在于各个领域。使用云应用的用户每天都会产生大量数据文件，很多都涉及到个人与企业的机密或隐私，因此数据安全问题是云盘的关键。目前，虽然大多云应用为用户提供了一些安全解决方案，但云应用实际上是不可信的，主动权都不在用户手中，一些专业人员或管理员可轻易获取数据文件，用户处于被动状态，容易导致大量用户数据泄密事件的发生。也有用户手动对数据先行加密，再上传到云应用服务端，这样虽然用户具有控制权，但由于加密后的数据文件仍有被暴力破解的可能，而且频繁存取过程使得手动加密解密的过程较为复杂，带来不便。

技术实现要素：

本发明的实施例提供一种用户云端数据保护方法及代理服务器，能够通过对数据采用自动加解密的方式，保证存入云应用服务器的数据的安全性的同时，提高数据存取过程的便捷性。

第一方面，提供一种用户云端数据保护方法，该方法包括：代理服务器接收云应用客户端发送的第一数据；第一数据中携带云应用客户端的标识信息；代理服务器确认云应用客户端的标识信息与内存列表中存储的标识信息一致时，根据公钥对第一数据加密，并发送至对应的云应用服务端；其中云应用客户端的标识信息与云应用服务端一一对应。

在上述方法中，代理服务器接收云应用客户端发送的第一数据，确认第一数据中携带云应用客户端的标识信息与内存列表中存储的标识信息一致时，使用公钥对第一数据进行加密，并将第一数据发送至与云应用客户端对应的云应用服务器。本申请通过对数据采用自动加密的方式，保证存入云应用服务器的数据的安全性，提高数据存储过程的便捷性。

可选的，代理服务器接收云应用客户端发送的第一数据之前，包括：代理服务器接收用户管理门户发送的登录请求，登录请求包括用户信息，用户信息包括账号和密码；代理服务器确认账号登陆成功后，根据用户信息向密钥服务器发送公钥获取请求，并接收密钥服务器返回的公钥。

可选的，代理服务器接收用户管理门户发送的登录请求之前，包括：代理服务器接收用户管理门户发送的注册请求，注册请求包括用户管理门户接收的用户输入的用户信息或者通过第三方平台获取的用户信息；代理服务器确认账号注册成功后，生成公钥，并将公钥保存发送至密钥服务器保存。

可选的，代理服务器接收云应用客户端发送的第一数据之前，还包括：代理服务器接收用户管理门户发送的至少一个云应用客户端的标识信息，并将标识信息存储于内存列表中。

第二方面，提供一种用户云端数据保护方法，该方法包括：代理服务器接收云应用客户端发送的第二数据获取请求；第二数据获取请求中携带云应用客户端的标识信息；其中云应用客户端的标识信息与云应用服务端一一对应；代理服务器将第二数据获取请求根据云应用客户端的标识信息发送至对应的云应用服务端；代理服务器接收云应用服务端发送的第二数据；第二数据采用公钥加密；其中第二数据中携带云应用客户端的标识信息；代理服务器确认云应用客户端的标识信息与存储模块在内存列表中存储的标识信息一致时，根据私钥对第二数据解密，并根据云应用客户端的标识信息发送至云应用客户端。

在上述方法中，代理服务器接收云应用客户端发送的第二数据获取请求后，根据第二数据获取请求中携带云应用客户端的标识信息，将第二数据获取请求发送至与云应用客户端对应的云应用服务端；然后接收云应用服务端返回的采用公钥加密的第二数据；代理服务器确认云应用服务端的标识信息与存储模块在内存列表中存储的标识信息一致时，根据私钥对第二数据解密，并将解密后的第二数据根据云应用服务端的标识信息发送至云应用客户端。本申请通过对数据采用私钥自动解密的方式，保证从云应用服务器获取数据的安全性，提高数据获取过程的便捷性。

可选的，代理服务器接收云应用客户端发送的第二数据获取请求之前，包括：代理服务器接收用户管理门户发送的登录请求；登录请求包括用户信息，用户信息包括账号和密码。代理服务器确认账号登陆成功后，根据用户信息向密钥服务器发送加密私钥获取请求；代理服务器接收密钥服务器返回的加密私钥，并对加密密钥根据密码进行解密生成私钥。

可选的，代理服务器接收用户管理门户发送的登录请求，之前包括：代理服务器接收用户管理门户发送的注册请求；注册请求包括管理员通过用户管理门户直接输入用户信息进行注册或者通过第三方平台的用户信息进行注册。代理服务器确认账号注册成功后，生成私钥；代理服务器根据密码对私钥进行加密生成加密私钥，并将加密私钥发送至密钥服务器中保存。

可选的，代理服务器接收云应用客户端发送的第二数据获取请求，之前还包括：代理服务器接收用户管理门户发送的至少一个云应用客户端的标识信息，并将至少一个云应用客户端的标识信息存储于内存中。

第三方面，提供一种代理服务器，该代理服务器包括：

接收模块，用于接收云应用客户端发送的第一数据；第一数据中携带云应用客户端的标识信息。

处理模块，用于确认接收模块接收的云应用客户端的标识信息与存储模块在内存列表中存储的标识信息一致时，根据接收模块接收的公钥对第一数据加密。

发送模块，用于将处理模块加密的第一数据发送至对应的云应用服务端；其中云应用客户端的标识信息与云应用服务端一一对应。

可选的，接收模块，用于接收用户管理门户发送的登录请求，登录请求包括用户信息，用户信息包括账号和密码。

发送模块，用于处理模块确认账号登陆成功后，根据用户信息向密钥服务器发送公钥获取请求。

接收模块，还用于接收密钥服务器返回的公钥。

可选的，接收模块，用于接收用户管理门户发送的注册请求，注册请求包括用户管理门户接收的用户输入的用户信息或者通过第三方平台获取的用户信息。

处理模块，用于确认账号注册成功后，生成公钥。

发送模块，用于将处理模块生成的公钥发送至密钥服务器保存。

可选的，接收模块，用于接收用户管理门户发送的至少一个云应用客户端的标识信息。

存储模块，用于将接收模块接收的标识信息存储于内存列表中。

可以理解地，上述提供的一种代理服务器用于执行上文所提供的第一方面对应的方法，因此，其所能达到的有益效果可参考上文第一方面的方法以及下文具体实施方式中对应的方案的有益效果，此处不再赘述。

第四方面，提供一种代理服务器，该代理服务器包括：

接收模块，用于接收云应用客户端发送的第二数据获取请求；第二数据获取请求中携带云应用客户端的标识信息；其中云应用客户端的标识信息与云应用服务端一一对应。

发送模块，用于将接收模块接收的第二数据获取请求根据云应用客户端的标识信息发送至对应的云应用服务端。

接收模块，还用于接收云应用服务端发送的第二数据；第二数据采用公钥加密；其中第二数据中携带云应用客户端的标识信息。

处理模块，用于确认接收模块接收的云应用客户端的标识信息与存储模块在内存列表中存储的标识信息一致时，根据接收模块接收的私钥对第二数据解密。

发送模块，用于根据接收模块接收的标识信息将处理模块解密的第二数据发送至云应用客户端。

可选的，接收模块，用于接收用户管理门户发送的登录请求；登录请求包括用户信息，用户信息包括账号和密码。

发送模块，用于确认账号登陆成功后，根据用户信息向密钥服务器发送加密私钥获取请求。

接收模块，用于接收密钥服务器返回的加密私钥。

处理模块，用于对接收模块接收的加密私钥根据密码进行解密生成私钥。

可选的，接收模块，用于接收用户管理门户发送的注册请求；注册请求包括管理员通过用户管理门户直接输入用户信息进行注册或者通过第三方平台的用户信息进行注册。

处理模块，用于确认账号注册成功后，生成私钥。

处理模块，还用于根据密码对私钥进行加密生成加密私钥。

发送模块，用于将处理模块生成的加密私钥发送至密钥服务器中保存。

可选的，接收模块，用于接收用户管理门户发送的至少一个云应用客户端的标识信息。

存储模块，用于将接收模块接收的至少一个云应用客户端的标识信息存储于内存中。

可以理解地，上述提供的一种代理服务器用于执行上文所提供的第二方面对应的方法，因此，其所能达到的有益效果可参考上文第二方面的方法以及下文具体实施方式中对应的方案的有益效果，此处不再赘述。

附图说明

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明的实施例提供的一种用户云端数据保护系统的结构示意图；

图2为本发明的实施例提供的一种用户云端数据保护方法的流程示意图；

图3为本发明的实施例提供的一种注册登录代理服务器的流程示意图；

图4为本发明的实施例提供的又一种用户云端数据保护方法的流程示意图；

图5为本发明的实施例提供的一种代理服务器的结构示意图；

图6为本发明的实施例提供的又一种代理服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

云应用向用户提供在线的文件存储、访问、备份、共享等数据管理功能，用户无论在任何地方，只要能连接到互联网，就可通过云应用客户端进行数据的存取，但是用户数据泄露一直是如今互联网世界的一个焦点，也是挡在云应用商用道路上的巨大威胁。现有技术的云应用对于用户数据并没有强有力的保障，因此用户数据仍有泄露的风险。参照图1，本发明实施例一种用户云端数据保护系统10，包括云应用服务端101、云应用客户端102、代理服务器103以及用户管理设备104。其中用户管理设备104包括用户管理门户104-1、密钥服务器104-2以及第三方平台104-3。示例性的，云应用客户端可以为各种终端设备中的浏览器插件、本地应用或者应用程序app(application)等。

参照图2，本发明实施例提供一种用户云端数据保护方法，该方法包括：

201、代理服务器接收云应用客户端发送的第一数据；第一数据中携带云应用客户端的标识信息。

另外，代理服务器接收云应用客户端发送的第一数据之前，包括：代理服务器接收用户管理门户发送的登录请求，登录请求包括用户信息，用户信息包括账号和密码；代理服务器确认账号登陆成功后，根据用户信息向密钥服务器发送公钥获取请求，并接收密钥服务器返回的公钥。

此外，代理服务器接收用户管理门户发送的登录请求之前，包括：代理服务器接收用户管理门户发送的注册请求，注册请求包括用户管理门户接收的用户输入的用户信息或者通过第三方平台获取的用户信息；代理服务器确认账号注册成功后，生成公钥，并将公钥保存发送至密钥服务器保存。

详细的，公钥只在代理服务器确认账号注册成功后生成一次。

为了更好地理解，参照图3，对使用用户信息注册登录代理服务器进行示例性说明，具体步骤如下：

301、接收用户管理门户发送的用户信息。

302、确认用户信息是否为第三方平台用户信息。若是跳转至步骤309，否则跳转至步骤303。

303、判断用户信息是否已注册。若是跳转至步骤304，否则跳转至步骤306。

304、使用用户信息进行登录。跳转至步骤305。

305、判断是否登录成功。若是结束，否则跳转至步骤304。

306、进行用户信息注册。跳转至步骤307。

307、判断是否注册成功。若是跳转至步骤308，否则跳转至步骤306。

308、将用户身份证明uid与注册账号绑定。跳转至步骤304。

309、进行第三方平台认证。跳转至步骤310。

310、判断是否认证成功。若是跳转至步骤308，否则跳转至步骤309。

示例性的，当企业有多台代理服务器时，可以采用统一账号注册登录多台代理服务器，保证上传数据时可以采用统一公钥进行加密。

另外，代理服务器接收云应用客户端发送的第一数据之前，还包括：代理服务器接收用户管理门户发送的至少一个云应用客户端的标识信息，并将标识信息存储于内存列表中。

202、代理服务器确认云应用客户端的标识信息与内存列表中存储的标识信息一致时，根据公钥对第一数据加密，并发送至对应的云应用服务端；其中云应用客户端的标识信息与云应用服务端一一对应。

详细的，云应用客户端经由代理服务器上传至云应用服务端的第一数据均由代理服务器使用公钥进行加密后，再发送至云应用服务端；这样云应用服务器所接收的第一数据永远是加密的第一数据。

示例性的，当代理服务器需要更换时，只需使用原来的用户信息在更换后的代理服务器上通过用户管理门户进行重新登录即可找回之前的公钥，保证云应用客户端通过代理服务器存入对应的云应用服务端的数据使用相同的公钥进行加密。

示例性的，对于代理服务器服务的内网用户，经过代理服务器存储第一数据的过程可以共享，对于外网用户，则需要设置代理服务器的外网地址作为访问代理服务器的代理地址，以便内网用户可以随时随地使用代理服务器对第一数据使用公钥进行加密。

在上述方法中，代理服务器接收云应用客户端发送的第一数据，确认第一数据中携带云应用客户端的标识信息与内存列表中存储的标识信息一致时，使用公钥对第一数据进行加密，并将第一数据发送至与云应用客户端对应的云应用服务器。本申请通过对数据采用自动加密的方式，保证存入云应用服务器的数据的安全性，提高数据存储过程的便捷性。

参照图4，本发明实施例提供一种用户云端数据保护方法，该方法包括：

401、代理服务器接收云应用客户端发送的第二数据获取请求；第二数据获取请求中携带云应用客户端的标识信息；其中云应用客户端的标识信息与云应用服务端一一对应。

另外，代理服务器接收云应用客户端发送的第二数据获取请求之前，包括：所述代理服务器接收用户管理门户发送的登录请求；所述登录请求包括用户信息，所述用户信息包括账号和密码；所述代理服务器确认账号登陆成功后，根据所述用户信息向密钥服务器发送加密私钥获取请求；所述代理服务器接收所述密钥服务器返回的所述加密私钥，并对所述加密密钥根据所述密码进行解密生成所述私钥。

此外，代理服务器接收用户管理门户发送的登录请求，之前包括：所述代理服务器接收用户管理门户发送的注册请求；所述注册请求包括管理员通过所述用户管理门户直接输入用户信息进行注册或者通过第三方平台的用户信息进行注册；所述代理服务器确认账号注册成功后，生成所述私钥；所述代理服务器根据所述密码对所述私钥进行加密生成加密私钥，并将所述加密私钥发送至密钥服务器中保存。

详细的，私钥只在代理服务器确认账号注册成功后生成一次。

需要说明的是，使用用户信息注册登录代理服务器详细步骤参照图2，这里不再赘述。

示例性的，当企业有多台代理服务器时，可以采用统一账号注册登录多台代理服务器，保证获取第二数据时可以采用统一私钥进行解密。

另外，代理服务器接收云应用客户端发送的第二数据获取请求，之前还包括：代理服务器接收用户管理门户发送的至少一个云应用客户端的标识信息，并将至少一个云应用客户端的标识信息存储于内存中。

402、代理服务器将第二数据获取请求根据云应用客户端的标识信息发送至对应的云应用服务端；

403、代理服务器接收云应用服务端发送的第二数据；第二数据采用公钥加密；其中第二数据中携带云应用客户端的标识信息。

404、代理服务器确认云应用客户端的标识信息与存储模块在内存列表中存储的标识信息一致时，根据私钥对第二数据解密，并根据标识信息发送至云应用客户端。

详细的，云应用客户端经由代理服务器从云应用服务端获取的加密的第二数据均由代理服务器使用私钥进行解密后，再发送至云应用客户端。

示例性的，当代理服务器需要更换时，只需使用原来的用户信息在更换后的代理服务器上通过用户管理门户进行重新登录即可找回之前的私钥，保证代理服务器获取云应用服务端的第二数据使用相同的私钥进行解密。

示例性的，对于代理服务器服务的内网用户，经过代理服务器获取第二数据的过程可以共享，对于外网用户，则需要设置代理服务器的外网地址作为访问代理服务器的代理地址，以便内网用户可以随时随地使用代理服务器对第二数据使用私钥进行解密。

在上述方法中，代理服务器接收云应用客户端发送的第二数据获取请求后，根据第二数据获取请求中携带云应用客户端的标识信息，将第二数据获取请求发送至与云应用客户端对应的云应用服务端；然后接收云应用服务端返回的采用公钥加密的第二数据；代理服务器确认云应用服务端的标识信息与存储模块在内存列表中存储的标识信息一致时，根据私钥对第二数据解密，并将解密后的第二数据根据云应用服务端的标识信息发送至云应用客户端。本申请通过对数据采用私钥自动解密的方式，保证从云应用服务器获取数据的安全性，提高数据获取过程的便捷性。

参照图5，本发明实施例提供一种代理服务器103，该代理服务器103包括：

接收模块501，用于接收云应用客户端发送的第一数据；第一数据中携带云应用客户端的标识信息。

处理模块503，用于确认接收模块501接收的云应用客户端的标识信息与存储模块504在内存列表中存储的标识信息一致时，根据接收模块501接收的公钥对第一数据加密。

发送模块502，用于将处理模块503加密的第一数据发送至对应的云应用服务端；其中云应用客户端的标识信息与云应用服务端一一对应。

在一种示例性的方案中，接收模块501，用于接收用户管理门户发送的登录请求，登录请求包括用户信息，用户信息包括账号和密码。

发送模块502，用于处理模块503确认账号登陆成功后，根据用户信息向密钥服务器发送公钥获取请求。

接收模块501，还用于接收密钥服务器返回的公钥。

在一种示例性的方案中，接收模块501，用于接收用户管理门户发送的注册请求，注册请求包括用户管理门户接收的用户输入的用户信息或者通过第三方平台获取的用户信息。

处理模块503，用于确认账号注册成功后，生成公钥。

发送模块502，用于将处理模块503生成的公钥发送至密钥服务器保存。

在一种示例性的方案中，接收模块501，用于接收用户管理门户发送的至少一个云应用客户端的标识信息。

存储模块504，用于将接收模块501接收的标识信息存储于内存列表中。

其中，上述图2所描述的方法实施例涉及的内容以及实现的技术效果可以直接援引图5所描述的代理服务器实施例中对应的功能模块中的描述，具体不再赘述。

参照图6，本发明实施例提供一种代理服务器103，该代理服务器103包括：

接收模块601，用于接收云应用客户端发送的第二数据获取请求；第二数据获取请求中携带云应用客户端的标识信息；其中云应用客户端的标识信息与云应用服务端一一对应。

发送模块602，用于将接收模块601接收的第二数据获取请求根据云应用客户端的标识信息发送至对应的云应用服务端。

接收模块601，还用于接收云应用服务端发送的第二数据；第二数据采用公钥加密；其中第二数据中携带云应用客户端的标识信息。

处理模块603，用于确认接收模块601接收的云应用客户端的标识信息与存储模块604在内存列表中存储的标识信息一致时，根据接收模块601接收的私钥对第二数据解密。

发送模块602，用于根据接收模块601接收的标识信息将处理模块603解密的第二数据发送至云应用客户端。

在一种示例性的方案中，接收模块601，用于接收用户管理门户发送的登录请求；登录请求包括用户信息，用户信息包括账号和密码。

发送模块602，用于处理模块603确认账号登陆成功后，根据用户信息向密钥服务器发送加密私钥获取请求。

接收模块601，用于接收密钥服务器返回的加密私钥。

处理模块603，用于对接收模块601接收的加密私钥根据密码进行解密生成私钥。

在一种示例性的方案中，接收模块601，用于接收用户管理门户发送的注册请求；注册请求包括管理员通过用户管理门户直接输入用户信息进行注册或者通过第三方平台的用户信息进行注册。

处理模块603，用于确认账号注册成功后，生成私钥。

处理模块603，还用于根据密码对私钥进行加密生成加密私钥。

发送模块602，用于将处理模块603生成的加密私钥发送至密钥服务器中保存。

在一种示例性的方案中，接收模块601，用于接收用户管理门户发送的至少一个云应用客户端的标识信息。

存储模块604，用于将接收模块601接收的至少一个云应用客户端的标识信息存储于内存中。

其中，上述图4所描述的方法实施例涉及的内容以及实现的技术效果可以直接援引图6所描述的代理服务器实施例中对应的功能模块中的描述，具体不再赘述。

结合本发明公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。例如：上述的接收模块、处理模块、存储模块以及发送模块可以由单独的处理器实现或者集中于同一个处理器中实现。本发明实施例还提供一种存储介质，该存储介质可以包括存储器，用于储存为代理服务器所用的计算机软件指令，其包含执行用户云端数据保护方法所设计的程序代码。具体的，软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(randomaccessmemory，ram)、闪存、只读存储器(readonlymemory，rom)、可擦除可编程只读存储器(erasableprogrammablerom，eprom)、电可擦可编程只读存储器(electricallyeprom，eeprom)、寄存器、硬盘、移动硬盘、只读光盘(cd-rom)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。

本发明实施例还提供一种计算机程序，该计算机程序可直接加载到存储器中，并含有软件代码，该计算机程序经由计算机载入并执行后能够实现上述的用户云端数据保护方法。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。