本發(fā)明涉及數據安全領域，具體一種與云存儲結合的數據安全保護方法及系統。

背景技術：

當今，對信息安全的重視已經被推到了一個前所未有的高度。政府、金融以及一些涉密企業(yè)更是對公司內部的數據防護更為重視。在這類行業(yè)中，涉密的內部敏感數據一般存儲于對應的應用系統服務器上，員工使用時需要從應用系統服務器下載到工作機使用。

這種使用方式在搭建之初并未考慮應用系統服務器本身的安全性，而隨著技術的進步和應用系統的不斷使用，應用應用系統服務器之上的敏感數據越來越多，應用系統本身的安全性越來越重要了。對此，本發(fā)明提出并實現一種與云存儲結合的數據安全解決方案。

現在業(yè)界多使用加解密sdk中間件來進行應用系統數據安全保護，一般將加固應用系統數據作為主要思路，采用應用系統調用加解密sdk中間件來實現。圖1為加解密中間件結構圖。圖2是從應用系統下載數據的流程圖。圖3是向應用系統上傳數據的流程圖。

對術語sdk的解釋：softwaredevelopmentkit,軟件開發(fā)工具包，本文中提到的加解密sdk中間件，為專門用于進行數據加解密的軟件開發(fā)包，具備加解密引擎，算法庫支持，密鑰分發(fā)等功能。

加解密sdk中間件方案是應用系統與第三方加解密中間件相結合的安全加固方案。應用系統在進行數據的上傳和下載時調用sdk加解密中間件對數據進行對應的加密和解密。應用系統服務器存儲數據時以密文形式存儲，應用系統前端即瀏覽器前臺下載數據時，應用系統服務器查找到對應的數據，調用中間件進行解密，然后再進行下載；應用系統前端即瀏覽器前臺上傳數據時，應用系統服務器調用中間件進行加密，然后存儲。雖然該圖1-3所述的方案已被廣大開發(fā)人員和用戶認可，但該方案受制于應用系統服務器本身操作系統版本的限定，根據操作系統版本需要開發(fā)不同版本的加解密sdk中間件供應用系統調用，不具有普適性，不便于快速開發(fā)部署。

技術實現要素：

本發(fā)明解決的技術問題：本發(fā)明提出的方案不再需要對應用系統所在操作系統進行適配，具備普適性。

為解決上述技術問題，本發(fā)明提供了一種與云存儲結合的數據安全保護系統，該系統包括應用系統服務器、數據安全服務器與云存儲盤，用于實現所述應用系統服務器中數據的安全保護，所述應用系統服務器、所述數據安全服務器、所述云存儲盤依次連接；所述數據安全服務器中包括加解密模塊、數據庫、消息處理模塊、文件傳輸模塊；所述消息處理模塊用于接收來自所述應用系統服務器的文件上傳請求或文件下載請求，并將待上傳文件的文件數據信息存儲于所述數據庫中或者從所述數據庫中獲取待下載文件的文件數據信息；所述數據庫用于存儲待上傳文件或待下載文件的文件數據信息；所述加解密模塊用于對所述待上傳文件進行加密、對所述待下載文件進行解密；所述文件傳輸模塊用于從應用系統服務器接收所述待上傳文件并將經過加密的所述待上傳文件傳輸給云存儲盤，或者從云存儲盤獲取所述待下載文件并將經過解密的所述待下載文件傳輸給應用系統服務器。

優(yōu)選的，所述應用系統服務器、數據安全服務器為一個或多個。

優(yōu)選的，所述云存儲盤為一個或者多個，與所述多個應用系統服務器可以一對多或者多對多，分別用于存儲所述多個應用系統服務器上傳的文件。

優(yōu)選的，所述文件數據信息是指存儲在所述數據庫中的與所述待上傳文件或待下載文件相關的邏輯映射信息，該文件數據信息與所述應用系統服務器上的文件一一對應。

為解決上述技術問題，本發(fā)明提供了一種與云存儲結合的數據安全保護方法，該方法包括以下步驟：應用系統服務器上傳文件時，先向數據安全服務器發(fā)送文件上傳請求，數據安全服務器在收到文件上傳請求后，先將待上傳文件的文件數據信息存儲于數據安全服務器自帶的數據庫中，然后接收待上傳文件并完成加密處理，最后將經過加密的所述待上傳文件存儲至云存儲盤，或者，所述應用系統服務器下載文件時，先向所述數據安全服務器發(fā)送文件下載請求，所述數據安全服務器在收到文件下載請求后，從自帶的數據庫中獲取待下載文件的文件數據信息，根據該文件數據信息從所述云存儲盤上獲取所述待下載文件并完成解密處理，最后將經解密的所述待下載文件傳輸給所述應用系統服務器。

優(yōu)選的，所述數據安全服務器在收到來自所述應用系統服務器的文件上傳請求或文件下載請求后，首先進行云存儲盤狀態(tài)檢查，在接收到所述云存儲盤返回的狀態(tài)信息之后才執(zhí)行后續(xù)操作。

優(yōu)選的，所述應用系統服務器、數據安全服務器為多個。

優(yōu)選的，所述云存儲盤為為一個或者多個，與所述多個應用系統服務器多對一或者多對多，分別用于存儲所述多個應用系統服務器上傳的加密文件。

優(yōu)選的，所述文件數據信息是指存儲在所述數據庫中的與所述待上傳文件或待下載文件相關的邏輯映射信息，該文件數據信息與所述應用系統服務器上的文件一一對應。

優(yōu)選的，將所述待下載文件下載到終端隔離盤，終端通過終端隔離盤訪問所述文件，無法直接訪問所述云存儲盤。

本發(fā)明技術效果：

1.降低了單一部署加解密sdk中間件的實施工期，不再需要加解密中間件對應用系統所在操作系統版本進行兼容適配；

2.降低了應用系統服務器的改造成本，應用系統服務器僅需按照數據安全服務器給出的通信協議規(guī)范進行適度改造；

3.與云存儲盤結合使用，一定程度上使用者不再受環(huán)境制約，提高工作效率。

附圖說明

圖1是現有技術加解密中間件結構圖。

圖2是現有技術從應用系統下載數據的流程圖。

圖3是現有技術向應用系統上傳數據的流程圖。

圖4是本發(fā)明總體結構圖圖。

圖5是本發(fā)明文件上傳流程圖。

圖6是本發(fā)明文件下載流程圖。

圖7是某實施例中業(yè)務系統數據下載隔離圖。

圖8是某實施例中業(yè)務系統數據下載隔離圖。

具體實施方式

本發(fā)明系統總體結構如圖4所示。本發(fā)明解決方案是通過圖4中數據安全服務器與云存儲盤相結合的方式來完成。

系統包括應用系統服務器(其中應用系統服務器保存著應用數據)、數據安全服務器與云存儲盤，用于實現應用系統服務器中數據的安全保護，應用系統服務器、數據安全服務器、云存儲盤依次連接；數據安全服務器中包括加解密組件、數據庫、消息處理組件、文件傳輸組件；消息處理組件用于接收來自應用系統服務器的文件上傳請求或文件下載請求，并將待上傳文件的文件數據信息存儲于所述數據庫中或者從所述數據庫中獲取待下載文件的文件數據信息；數據庫用于存儲待上傳文件或待下載文件的文件數據信息；加解密組件用于對待上傳文件進行加密、對待下載文件進行解密；文件傳輸組件用于從應用系統服務器接收待上傳文件并將經過加密的待上傳文件傳輸給云存儲盤，或者從云存儲盤獲取待下載文件并將經過解密的待下載文件傳輸給應用系統服務器。

下面給出關鍵技術的實現流程，文件上傳流程如圖5所示，文件下載流程如圖6所示，技術方案實現過程主要包括以下幾方面：

(1)將通用技術中的加解密中間件獨立出來，不再作為sdk提供，而是與消息處理，數據庫組件相結合組成專門的數據安全服務器(網關)；

(2)應用系統服務器上傳文件時，需先向數據安全服務器發(fā)送上傳請求，再進行文件存儲；同理下載文件時，向數據安全服務器發(fā)送下載請求，再完成文件下載；所以應用系統服務器改造僅需完成向數據安全服務器收發(fā)請求消息和文件傳輸，不再關注加解密的實現；

(3)數據安全服務器在收到上傳請求后，先由數據庫組件建立文件數據信息(以便下載時使用)，這里文件數據信息存儲于數據安全服務器自帶的數據庫中，文件數據信息是指存儲在數據庫中的與文件相關的邏輯映射信息，而文件是指文件實體本身，文件數據信息與應用系統服務器上的文件信息一一對應，完成后再進行文件接收和加密處理，最后存儲在云存儲盤上；下載文件時，從數據安全服務器的數據庫中獲取文件數據信息，由數據安全服務器從云存儲盤上獲取文件完成解密處理后，再傳輸給應用系統服務器。

實施例1的業(yè)務系統數據下載隔離如圖7所示。該系統包括存在終端本地使用的情況，文件通過數據安全服務器加密保存在云存儲盤后，終端使用時再從云存儲盤下載，本地使用時，終端不通過數據安全服務器無法直接與云存儲盤進行交互。應用系統服務器需要保存的數據通過數據安全服務器加密后存儲在云存儲盤，終端使用時通過查詢數據庫獲取文檔所在云存儲盤位置，從云存儲盤下載到終端隔離盤，再由終端上的客戶端程序打開。這個實例還有一個隱藏功能就是屏蔽了云存儲盤和終端隔離盤的路徑，用戶只能通過終端的客戶端程序才能獲取相應文件數據信息，打開文件，不能直接從終端隔離盤中打開文件。如果終端在訪問數據時，終端隔離盤中不存在，則通過數據安全服務器向云存儲盤請求數據，經過解密后保存在終端隔離盤，再從終端隔離盤訪問該數據。用戶點擊應用系統數據時文件會先加密存儲在云存儲盤上，同時在數據庫中存儲信息，終端查詢數據庫可以看到這些信息并反饋到終端上，用戶點擊信息時，后臺將文件從云存儲盤下載終端隔離盤上，再打開，整個過程中，用戶看不到實體文件，只能通過終端上的客戶端程序打開文件，圖7中終端上是安裝了一個客戶端程序。

實施例2為標準的使用場景，文件使用還是通過應用系統使用，只是文件保存通過數據安全服務器保護，增加終端標識。實施例2的業(yè)務系統數據下載隔離如圖8所示。該實施例中存在多個應用系統服務器及云存儲盤，由統一一臺數據安全服務器進行文件加解密及分發(fā)存儲，數據訪問通過終端所在的瀏覽器實現。文件通過安全服務器存儲在網盤上，用戶下載或者上傳文件時，應用系統通過安全服務器從網盤存取文件。