基于双栈密码的数据托管方法及装置与流程

1.本技术涉及域名的数据托管技术领域，特别是涉及一种基于双栈密码的数据托管方法、装置、计算机设备和存储介质。


背景技术：

2.2011年6月20日，icann正式通过新通用顶级域名(newgtld)批案，任何企业、组织都有权向icann申请新的顶级域名。这项历史性决议将给互联网的样式和运行模式带来巨大变化。在新通用顶级域名时代，为了保证互联网域名系统的正常运转，即便在遭遇物理攻击或注册商经营失败的情况下也要保证互联网服务的连续性，icann出台了一系列针对于新通用顶级域的安全机制和资格认证。其中，dataescrow即数据托管，是icann对新通用顶级域申请人的一项新要求。数据托管，本质上包括数据接收、数据验证存储、通知与数据转让等部分。
3.pgp(pretty good privacy)是一套用于消息加密、验证的应用程序，采用idea的散列算法作为加密与验证之用。
4.pgp加密由一系列散列、数据压缩、对称密钥加密，以及公钥加密的算法组合而成。每个步骤支持几种算法，可以选择一个使用。每个公钥均绑定唯一的用户名和/或者e-mail地址。这个系统的第一个版本通常称为可信web或x.509系统；x.509系统使用的是基于数字证书认证机构的分层方案，该方案后来被加入到pgp的实现中。当前的pgp加密版本通过一个自动密钥管理服务器来进行密钥的可靠存放。
5.之后ietf制定一项公开的互联网标准，称作openpgp，任何支持这一标准的程序也被允许称作openpgp。
6.sm2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法。
7.sm2算法和rsa算法都是公钥密码算法，sm2算法是一种更先进安全的算法，在我们国家商用密码体系中被用来替换rsa算法。
8.随着密码技术和计算机技术的发展，目前常用的1024位rsa算法面临严重的安全威胁，我们国家密码管理部门经过研究，决定采用sm2椭圆曲线算法替换rsa算法。
9.sm2算法相比rsa算法，性能更优更安全：密码复杂度高、处理速度快、机器性能消耗更小。
10.目前，数据托管只支持域名数据，而一些如通用类型数据、行业类型数据等，为了安全稳定起见，也想托管到第三方机构，目前并没有成熟的解决方案。此外，现有的数据托管只支持国际通用算法，而一些部分场景下的数据托管，希望使用国产加密算法传输与存储，那么默认下使用国际rsa算法的数据托管就不合适。
11.因此，设计一种支持不同数据类型的托管数据并可使用国际密码算法或国密算法两种的数据托管方法，是目前需要解决的技术问题。


技术实现要素：

12.基于此，有必要针对上述技术问题，提供一种基于双栈密码的数据托管方法、装置、计算机设备和存储介质，通过建立数据托管流程，识别数据加密算法是基于国际加密算法还是国产加密算法并进行对应措施的解密，满足不同类型加密数据的数据托管需求。
13.本发明的第一方面，提供了一种基于双栈密码的数据托管方法，包括：
14.接收用户端通过sftp加密协议上传的托管文件；
15.判断用户使用的公钥类型，以确定采用国际密码算法或国密密码算法对所述托管文件进行验签；
16.采用对应的解密算法对所述托管文件进行解密。
17.进一步地，在对所述托管文件进行验签后，继续判断所述的托管文件是否是分卷压缩上传的，若是，则将所有分卷压缩后的文件合并为一个文件，并在解密之后再解压文件。
18.进一步地，在解密文件后，还对所述所述托管文件的格式和内容进行校验，并在校验通过后进行备份存储。
19.进一步地，在备份存储完成后，给所述用户端发送完成的通知。
20.进一步地，接收用户通过sftp加密协议上传的托管文件包括：监控文件目录变化，如文件目录出现更新时，记录更新时间日志，并在全部托管文件上传结束后，启动数据托管处理流程。
21.进一步地，所述的国际密码算法为openpgp算法，所述的国密密码算法为sm2算法。
22.本发明的第二方面，提供了一种基于双栈密码的数据托管装置，包括：
23.sftp上传模块，用于通过sftp加密协议上传托管文件；
24.文件操作监控组件，用于监控并记录上传日志数据，并在全部托管文件上传结束后，发送给托管服务器；
25.托管服务器，用于接收所述文件操作监控组件发送的托管文件，并判断用户使用的公钥类型，以确定采用国际密码算法或国密密码算法对所述托管文件进行验签；以及采用对应的解密算法对所述托管文件进行解密。
26.本发明的第三方面，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如本发明第一方面所述的方法之一。
27.本发明的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如本发明第一方面所述的方法之一。
28.本发明所提供的基于双栈密码的数据托管方法、装置、计算机设备和存储介质，建立完整的数据托管流程，监测sftp传输文件系统的更新，不同的数据类型可以采用不同的加密算法，通过识别数据加密算法是基于国际加密算法还是国产加密算法并进行对应措施的解密，满足不同类型加密数据的数据托管需求，既支持域名数据的上传存储，也支持其它通用类型或行业数据的上传托管存储，既支持国际通用算法，如openpgp算法的加密，也支持国产加密算法，如sm2算法的加密。
附图说明
29.图1为本发明实施例中的基于双栈密码的数据托管方法的工作流程图。
30.图2为本发明实施例中的基于双栈密码的数据托管方法的流程示意图。
31.图3为本发明实施例中的基于双栈密码的数据托管装置的系统架构图。
32.图4为本发明实施例中的计算机设备的结构示意图。
具体实施方式
33.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。此外，为了清楚和简洁，省略对公知功能和结构的描述。
34.本文使用的术语仅用于描述本发明的各种实施例，而不旨在限制本发明。除非上下文另有明确指示，否则单数形式旨在包括复数形式。在本发明中，应理解，术语“包括”或“具有”指示特征、数字、步骤、操作、元件、部件或其组合的存在，并且不排除一个或更多个其它特征、数字、步骤、操作、元件、部件或其组合的存在，或添加一个或更多个其它特征、数字、步骤、操作、元件、部件或其组合的可能性。
35.实施例一
36.参照图1～图2所示，本发明的实施例一提供了一种基于双栈密码的数据托管方法，该方法包括：
37.步骤s1、用户端基于sftp(ssh file transferprotocol，安全文件传送协议)的加密协议向sftp传输子系统上传需要托管的文件，这些托管的文件可以是需要备份的域名数据，也可以与域名相关的其它通用类型数据或者行业类型数据。
38.步骤s2、file monitor(文件操作监控)组件负责监控sftp传输子系统上上传的托管文件的目录状态，当发现有上传文件事件时，目录会更新，此时，记录当前上传的日志数据，当判断托管文件全部上传结束后，启动后续的数据托管处理流程。由于上传的托管文件可能是分开上传的，故需要等待一个完整的文件全部上传结束后再启动数据托管处理流程。
39.步骤s3、文件验签，根据用户签名采用的公钥类型，选择对应的算法进行验签，当加密的公钥为国密算法，如sm2算法时，则采用sm2算法验证签名，当加密的公钥为国际加密算法，如openpgp算法时，则采用openpgp算法验证用户的签名。
40.步骤s4、继续判断用户上传的托管文件是否是属于分卷上传，若是，则将所有分卷压缩后的文件合并成一个文件。分卷压缩是拆分压缩文件，常见的格式有:7z、ace、alz、bz2、gz、mou、rar、bz2、zip、zipx等，以分卷压缩的方式进行文件上传能够防止文件在上传不成功时大批丢失，也能减少每次上传的工作量和服务器压力。
41.步骤s5、解密操作，根据加密使用的公钥类型，使用对应类型的解密算法进行解密，比如，可使用opengpg方式解密或者使用sm2算法解密，解密是服务端使用自己的私钥进行解密。
42.步骤s6、解压操作，如能正常解密，则在解密之后，对解密后的文件进行解压操作。
43.步骤s7、文件校验，对原托管文件的格式和内容是否合法进行校验，当格式不合规或内容不完整时，会进行报错，并重新进行解压和校验过程。
44.步骤s8、业务处理，当文件校验通过后，进行后续的业务处理，包括生成处理结果日志，并将结果发送给用户端，进行正常的托管文件备份，还对现场文件进行整理和清理，至此，文件托管流程处理结束。
45.本技术实施例所公开的基于双栈密码的数据托管方法，通过建立数据托管流程，监测sftp传输文件子系统的更新，识别数据加密算法是基于国际加密算法还是国产加密算法并进行对应措施的解密，满足不同类型加密数据的数据托管需求，既支持域名数据的上传存储，也支持其它通用类型或行业数据的上传托管存储，既支持国际通用算法，如openpgp算法的加密，也支持国产加密算法，如sm2算法的加密。
46.实施例二
47.参照图3所示，本发明的实施例二提供了一种基于双栈密码的数据托管装置，包括：sftp上传模块、文件操作监控组件和托管服务器。
48.sftp上传模块，用于通过sftp加密协议上传托管文件；其中，用户端上传时，可以采用分卷压缩后上传的方式。
49.文件操作监控组件，用于监控并记录上传日志数据，并在全部托管文件上传结束后，发送给托管服务器。
50.托管服务器，用于接收所述文件操作监控组件发送的托管文件，并判断用户签名使用的公钥类型，以确定采用国际密码算法或国密密码算法对所述托管文件进行验签；以及采用对应的解密算法(使用自己的私钥)对所述托管文件进行解密。
51.关于本实施例基于双栈密码的数据托管装置的具体限定可以参见上文中对于基于双栈密码的数据托管方法的限定，在此不再赘述。上述基于双栈密码的数据托管装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
52.实施例三
53.本发明的实施例三提供了一种计算机设备，其内部结构图可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与其他的终端或者服务通过网络连接通信。该计算机程序被处理器执行时以实现一种基于双栈密码的数据托管方法。其中，该计算机设备可以服务器，该服务器还可以包括数据库，该服务器的数据库可以存储预先训练的分类模型。该计算机设备还可以终端，该终端还可以包括显示屏和输入装置，该终端的显示屏可以是液晶显示屏或者电子墨水显示屏，该终端的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等，也还可以是语音识别装置或者文字识别装置。
54.本领域技术人员可以理解，图4中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
55.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器存储有计
算机程序，计算机程序被处理器执行时，使得处理器执行上述基于双栈密码的数据托管方法的步骤。此处基于双栈密码的数据托管方法的步骤可以是上述各个实施例的基于双栈密码的数据托管方法中的步骤：接收用户端通过sftp加密协议上传的托管文件；判断用户签名使用的公钥类型，以确定采用国际密码算法或国密密码算法对所述托管文件进行验签；采用对应的解密算法对所述托管文件进行解密。
56.实施例四
57.本发明的实施例四，提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时，使得处理器执行上述基于双栈密码的数据托管方法的步骤。此处基于双栈密码的数据托管方法的步骤可以是上述各个实施例的基于双栈密码的数据托管方法中的步骤：接收用户端通过sftp加密协议上传的托管文件；判断用户签名使用的公钥类型，以确定采用国际密码算法或国密密码算法对所述托管文件进行验签；采用对应的解密算法对所述托管文件进行解密。
58.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
59.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
60.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。