本发明专利技术提供了一种敏感文件安全存储办法,包括以下步骤:S1、对文件进行数据分割;S2、分割后数据块的随机离散;S3、分割后数据块依据离散地址进行安全存储;S4、用户访问文件申请鉴权。本发明专利技术能够在运维活动过程中,对一些重要的敏感数据的跨应用交换和接口行为进行有效监管,防止敏感数据无序的流转失控。
【技术实现步骤摘要】
本专利技术涉及信息安全,具体涉及一种敏感文件安全存储办法。
技术介绍
目前针对敏感文件的存储方式都是采用加密保护技术实现,该技术实现方式的缺点有:1)密钥的安全保护难度大,密钥传递过程中的不安全因素会引起文件泄密;2)文件数据体本身还是依赖操作系统的文件系统存储机制进行存储,而操作系统的文件系统的安全保护手段缺乏完备细化的深度保护策略,而且文件系统的访问入口和技术手段都标准开放,安全隐患多。
技术实现思路
针对现有技术的上述缺陷和问题,本专利技术所要解决的技术问题是现有文件系统的访问入口和技术手段都标准开放,安全隐患多。为了达到上述目的,本专利技术提供如下技术方案:一种敏感文件安全存储办法,包括以下步骤:S1、对文件进行数据分割:依据文件大小和可配置的数据块数对文件数据体进行分割,形成预定数量的数据块,文件头信息作为第一个数据块,对分割后的数据块进行标签,通过唯一流水ID标签该文件的每个数据块;S2、分割后数据块的随机离散:对分割的数据块按照哈希算法进行散列计算,得到所有分割数据块的随机散列数值作为该数据块的散列地址,对敏感文件创建分割数据块的散列地址表,包括散列地址和在文件中
的序列号,散列地址表通过加密保存;S3、分割后数据块依据离散地址进行安全存储:除第一个序列号的分割数据块外,对其余分割数据块进行加密,加密密钥采用该文件的文件头信息,按照散列地址表,将各序列的加密后分割数据块存储到对应散列地址所指引的记录号中;S4、用户访问文件申请鉴权:对用户提交的文件访问申请,鉴权模块首先进行用户身份校验,其次进行用户访问行为的时间规则校验,最后进行用户访问的目标文件属性规则校验,如果鉴权通过,将为该用户的访问请求执行文件数据提取功能,通过提取获取文件数据,提交给该访问用户。上述技术方案中,在步骤S4中,所述用户身份校验包括校验用户账户和身份信息的可靠以及校验用户部门和岗位是否符合授权规则,所述用户访问行为的时间规则校验包括校验当前的访问时间是否符合许可的访问时间段规则,用户访问的目标文件属性规则校验包括校验用户访问的文件大小、创建时间、基本属性、文件来源是否在许可的规则访问内。上述技术方案中,在步骤S4中,所述文件数据提取方法如下:通过鉴权验证后,系统返回散列地址表的加密密钥;通过散列地址表的密钥解密散列地址表;通过散列地址表得到该文件各序列分割包的存储散列地址;依据散列地址得到第一个序列的存储地址,获取第一序列分割数据块,即文件头信息;按照序列号依次获得第二序列到最后序列的分割块数据,并用文件头信息作为密钥进行解密形成原始明文分块数据;将各序列分块数据按照序列顺序进行合并,形成敏感文
件数据。本专利技术提供了一种离散安全存储的敏感文件安全存储方法。本方法提出的敏感文件存储方法是通过将敏感文件进行分割、离散后,对离散的数据片再进行加密存储,从而做到文件的存储安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的用户访问文件申请鉴权流程图;图2为本专利技术的敏感文件安全管控实现实例的功能结构图。具体实施方式下面将结合本专利技术的附图,对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。作为实施例所示的一种敏感文件安全存储办法包括以下步骤:S1、对文件进行数据分割:依据文件大小和可配置的数据块数对文件数据体进行分割,形成预定数量的数据块,文件头信息作为第一
个数据块,对分割后的数据块进行标签,通过唯一流水ID标签该文件的每个数据块;S2、分割后数据块的随机离散:对分割的数据块按照哈希算法进行散列计算,得到所有分割数据块的随机散列数值作为该数据块的散列地址,对敏感文件创建分割数据块的散列地址表,包括散列地址和在文件中的序列号,散列地址表通过加密保存;S3、分割后数据块依据离散地址进行安全存储:除第一个序列号的分割数据块外,对其余分割数据块进行加密,加密密钥采用该文件的文件头信息,按照散列地址表,将各序列的加密后分割数据块存储到对应散列地址所指引的记录号中;S4、用户访问文件申请鉴权:对用户提交的文件访问申请,鉴权模块首先进行用户身份校验,其次进行用户访问行为的时间规则校验,最后进行用户访问的目标文件属性规则校验,如果鉴权通过,将为该用户的访问请求执行文件数据提取功能,通过提取获取文件数据,提交给该访问用户。在步骤S4中,用户身份校验包括校验用户账户和身份信息的可靠以及校验用户部门和岗位是否符合授权规则,用户访问行为的时间规则校验包括校验当前的访问时间是否符合许可的访问时间段规则,用户访问的目标文件属性规则校验包括校验用户访问的文件大小、创建时间、基本属性、文件来源是否在许可的规则访问内。如图1所示,在步骤S4中,文件数据提取方法如下:通过鉴权验证后,系统返回散列地址表的加密密钥;通过散列地址表的密钥解
密散列地址表;通过散列地址表得到该文件各序列分割包的存储散列地址;依据散列地址得到第一个序列的存储地址,获取第一序列分割数据块,即文件头信息;按照序列号依次获得第二序列到最后序列的分割块数据,并用文件头信息作为密钥进行解密形成原始明文分块数据;将各序列分块数据按照序列顺序进行合并,形成敏感文件数据。本专利技术实现的敏感文件安全管控应用实例的具体实现如下图2:文件接口模块接收需要纳入安全管控的文件,通过文件接口模块获得文件的文件属性信息和文件体数据。文件属性信息,包括文件名、文件类型、文件大小、创建时间、所有者,由文件标识信息管理功能模块实现管理。文件标识信息管理中的文件标识信息通过文件标识访问门户对外开放,供用户访问查阅,用户通过该访问门户查看哪些文件,以及文件的基本属性,并能够通过该门户发起文件内容查看申请。文件数据分割模块和文件数据存储模块分别提供按照本专利技术方法实现的文件数据分割和对分割的数据库按照离散地址表的存储地址进行离散加密存储的功能。文件数据存储中心实现对分割存储的所有文件数据进行统一管理,包括数据的一致性维护,数据的安全性维护,数据的提取访问鉴权等功能。文件散列表管理中心负责管理各文件的散列地址表,散列地址表进行非对称加密存储,加密密钥由文件散列表管理中心模块动态创
建,创建的加密密钥提交给文件离散密钥管理模块进行统一管理。文件散列表管理中心创建的文件散列表加密密钥统一由散列表密钥管理模块进行管理,密钥管理模块对文件的散列表加密密钥由模块内部的私密算法进行进行摘要计算,将计算得到的摘要数据提交给文件散列表管理中心作为散列表加密的密钥。并同时创建与该加密密钥配对的解密密钥,解密密钥在密钥管理模块进行分割存储。生成当用户对某个文件的数据体查看申请得到鉴权通过后,文件散列表密钥管理模块会将该文件的散列表解密密钥安全传递给文件提取模块进行文件数据提取。用户通过文件标识访问门户对敏感本文档来自技高网...
【技术保护点】
一种敏感文件安全存储办法,其特征在于,包括以下步骤:S1、对文件进行数据分割:依据文件大小和可配置的数据块数对文件数据体进行分割,形成预定数量的数据块,文件头信息作为第一个数据块,对分割后的数据块进行标签,通过唯一流水ID标签该文件的每个数据块;S2、分割后数据块的随机离散:对分割的数据块按照哈希算法进行散列计算,得到所有分割数据块的随机散列数值作为该数据块的散列地址,对敏感文件创建分割数据块的散列地址表,包括散列地址和在文件中的序列号,散列地址表通过加密保存;S3、分割后数据块依据离散地址进行安全存储:除第一个序列号的分割数据块外,对其余分割数据块进行加密,加密密钥采用该文件的文件头信息,按照散列地址表,将各序列的加密后分割数据块存储到对应散列地址所指引的记录号中;S4、用户访问文件申请鉴权:对用户提交的文件访问申请,鉴权模块首先进行用户身份校验,其次进行用户访问行为的时间规则校验,最后进行用户访问的目标文件属性规则校验,如果鉴权通过,将为该用户的访问请求执行文件数据提取功能,通过提取获取文件数据,提交给该访问用户。
【技术特征摘要】
1.一种敏感文件安全存储办法,其特征在于,包括以下步骤:S1、对文件进行数据分割:依据文件大小和可配置的数据块数对文件数据体进行分割,形成预定数量的数据块,文件头信息作为第一个数据块,对分割后的数据块进行标签,通过唯一流水ID标签该文件的每个数据块;S2、分割后数据块的随机离散:对分割的数据块按照哈希算法进行散列计算,得到所有分割数据块的随机散列数值作为该数据块的散列地址,对敏感文件创建分割数据块的散列地址表,包括散列地址和在文件中的序列号,散列地址表通过加密保存;S3、分割后数据块依据离散地址进行安全存储:除第一个序列号的分割数据块外,对其余分割数据块进行加密,加密密钥采用该文件的文件头信息,按照散列地址表,将各序列的加密后分割数据块存储到对应散列地址所指引的记录号中;S4、用户访问文件申请鉴权:对用户提交的文件访问申请,鉴权模块首先进行用户身份校验,其次进行用户访问行为的时间规则校验,最后进行用户访问的目标文件属性规则校验,如果鉴权通过,将为该用户的访问请求执行文件数据...
【专利技术属性】
技术研发人员:王富强,李昕,叶雄,
申请(专利权)人:中国联合网络通信有限公司重庆市分公司,
类型:发明
国别省市:重庆;50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。