一种云数据透明加密保护方法、系统及装置与流程

本申请涉及数据安全，尤其是涉及一种云数据透明加密保护方法、系统及装置。

背景技术：

1、云数据库是托管在云平台上的数据库，云数据库使租户能够通过互联网存储、管理和访问数据（称为云数据）。云数据存储在远程服务器（称为云服务器）上，消除了租户位置处的物理服务器需求。云数据库可以通过任何有互联网连接的地方进行访问，云数据库是数据存储和管理的未来。

2、在云数据库场景下，租户设备可以与云服务器交互云数据，如租户设备将云数据发送给云服务器，由云服务器存储云数据。然而，若云数据被攻击者拦截，且云数据包括敏感信息，则可能造成敏感信息泄漏，无法保证数据安全。

技术实现思路

1、有鉴于此，本申请提供一种云数据透明加密保护方法、系统及装置，能够对云数据进行保护，减少敏感信息的泄漏，从而保护数据的安全。

2、本申请提供一种云数据透明加密保护方法，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，所述方法包括：

3、所述数据保护网关拦截所述租户设备向所述云服务器发送的原始云数据；

4、所述数据保护网关确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；

5、所述数据保护网关确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

6、所述数据保护网关将所述目标云数据发送给所述云服务器。

7、本申请提供一种云数据透明加密保护装置，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，所述云数据透明加密保护装置应用于所述数据保护网关，所述装置包括：

8、拦截模块，用于拦截所述租户设备向所述云服务器发送的原始云数据；

9、确定模块，用于确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；

10、处理模块，用于确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

11、发送模块，用于将所述目标云数据发送给所述云服务器。

12、本申请提供一种数据保护系统，包括：数据保护网关、数据保护插件和数据保护内核模块，数据保护网关部署在租户设备与云服务器之间，数据保护插件部署在租户设备，数据保护内核模块部署在云服务器；其中：

13、所述数据保护插件，用于拦截所述租户设备发送的待处理云数据；确定所述待处理云数据的第二数据特征，所述第二数据特征包括所述待处理云数据的第二数据类别和/或第二数据级别；确定所述第二数据特征的加密参数，基于所述加密参数对所述待处理云数据进行加密得到加密后云数据；基于所述加密后云数据生成原始云数据，向所述云服务器发送所述原始云数据；

14、所述数据保护网关，用于拦截原始云数据，确定原始云数据的第一数据特征，所述第一数据特征包括原始云数据的第一数据类别和/或第一数据级别；确定第一数据特征对应的保护策略，基于所述保护策略对原始云数据进行数据保护得到目标云数据，将目标云数据发送给云服务器；其中，所述保护策略包括以下至少一种：透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若所述保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若所述保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若所述保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；

15、所述数据保护内核模块，用于在接收到目标云数据时，若确定目标云数据的存储区域是已配置的加密安全存储区域，则确定目标云数据的完整性校验值，对所述目标云数据进行加密得到密文数据，将所述完整性校验值与所述密文数据拼接得到待存储数据，并将所述待存储数据存储到所述加密安全存储区域。

16、本申请提供一种数据保护网关，包括：处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，处理器用于执行机器可执行指令，以实现上述的云数据透明加密保护方法。

17、本申请提供一种机器可读存储介质，所述机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，所述处理器用于执行所述机器可执行指令，以实现本申请上述示例的云数据透明加密保护方法。

18、本申请提供一种计算机程序，所述计算机程序存储于机器可读存储介质，当处理器执行所述机器可读存储介质中的所述计算机程序时，能够促使所述处理器实现本申请上述示例的云数据透明加密保护方法。

19、由以上技术方案可见，本申请实施例中，基于云数据的第一数据特征（如第一数据类别、第一数据级别等）确定保护策略（如透明加密保护策略、数据脱敏保护策略、数据水印保护策略等），基于该保护策略对云数据进行数据保护，从而能够对云数据进行保护，减少敏感信息的泄漏，并保护数据的安全性。在对云数据进行保护的同时，还可以根据数据特征动态编排调整保护策略，比如说，在数据特征表示云数据重要性更高时，可以同时采用透明加密保护策略、数据脱敏保护策略和数据水印保护策略，在数据特征表示云数据重要性更低时，可以只采用透明加密保护策略，从而降低安全风险，提升业务性能。

技术特征：

1.一种云数据透明加密保护方法，其特征在于，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，

3.根据权利要求2所述的方法，其特征在于，所述数据保护网关对所述原始云数据进行基于噪声的有索引保序加密处理，包括：

4.根据权利要求1所述的方法，其特征在于，

5.根据权利要求1所述的方法，其特征在于，

6.根据权利要求1-5任一项所述的方法，其特征在于，所述数据保护系统还包括数据保护插件，所述数据保护插件部署在租户设备，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，

8.根据权利要求1-5任一项所述的方法，其特征在于，所述数据保护系统还包括数据保护内核模块，所述数据保护内核模块部署在所述云服务器，所述数据保护网关将所述目标云数据发送给所述云服务器之后，所述方法还包括：

9.根据权利要求1-5任一项所述的方法，其特征在于，所述数据保护系统还包括数据安全态势感知设备，所述方法还包括：

10.一种云数据透明加密保护装置，其特征在于，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，且所述云数据透明加密保护装置应用于所述数据保护网关，所述装置包括：

11.一种数据保护系统，其特征在于，包括：数据保护网关、数据保护插件和数据保护内核模块，数据保护网关部署在租户设备与云服务器之间，数据保护插件部署在租户设备，数据保护内核模块部署在云服务器；其中：

技术总结
本申请提供一种云数据透明加密保护方法、系统及装置，该方法包括：数据保护网关拦截租户设备向云服务器发送的原始云数据，确定原始云数据的第一数据特征，确定第一数据特征对应的保护策略，基于保护策略对原始云数据进行数据保护得到目标云数据；保护策略包括以下至少一种透明加密保护策略、数据脱敏保护策略、数据水印保护策略；若保护策略包括透明加密保护策略，则对原始云数据进行数据加密处理；若保护策略包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；若保护策略包括数据水印保护策略，则对原始云数据进行数据水印处理；数据保护网关将目标云数据发送给云服务器。通过本申请方案，能够对云数据进行保护，减少敏感信息的泄漏。

技术研发人员：王滨,陈达,管晓宏,陈加栋,王伟,王星
受保护的技术使用者：杭州海康威视数字技术股份有限公司
技术研发日：
技术公布日：2024/2/1