一种基于透明加密的数据安全管理系统、计算机设备及终端的制作方法

1.本发明属于数据安全技术领域，尤其涉及一种基于透明加密的数据安全管理系统、计算机设备及终端。


背景技术：

2.目前，通信技术以及成熟并且广泛应用于各种行业，包括传统的电力行业。在电力行业中，为了可以实时监控电力系统的运行，需要实现实时对电力数据的获取，通信移动终端可以通过接入电网数据库获取电网数据，但存在的问题是电网数据是十分重要的保密信息，而现有技术中使用的通信移动终端获取电网数据的方式在安全性能方面上较弱，不适合应用于电网数据的通信传输。因此，数据安全已经成为当今信息安全建设的重中之重。利用数据加密的技术方案可保护存储在硬盘、usb存储设备等数据存储设备上的数据安全。即使存储设备被盗，用户依然可放心数据不会被非授权人浏览或获取。
3.通过上述分析，现有技术存在的问题及缺陷为：
4.现有技术中使用的通信移动终端获取电网数据的方式在安全性能方面上较弱，不适合应用于电网数据的通信传输。


技术实现要素：

5.针对现有技术存在的问题，本发明提供了一种基于透明加密的数据安全管理系统。
6.本发明是这样实现的，一种基于透明加密的数据安全管理系统包括数据收集模块、数据分类存储模块、数据加密模块、身份认证模块、usb存储设备检测模块、证书发布模块、证书验证模块和中央处理与控制模块；
7.所述中央处理与控制模块分别与数据收集模块、数据分类存储模块、数据加密模块、身份认证模块、usb存储设备检测模块、证书发布模块和证书验证模块连接，用于通过中央控制器对采集数据进行处理，并对各个模块的工作进行协调控制；
8.所述数据分类存储模块用于对数据收集模块收集的存储数据进行分类，并根据具体的分类结果对数据进行分别存储；
9.所述数据加密模块用于利用透明加密方式对分类存储后的数据进行加密；
10.所述身份认证模块用于在对加密数据进行提取时进行身份认证；
11.所述usb存储设备检测模块用于对usb端口的usb存储设备的连接状态进行检测；
12.所述证书发布模块用于对连接的usb存储设备转存的数据分配相应的证书；
13.所述证书验证模块用于在对usb存储设备内的存储数据读取时进行证书的验证。
14.进一步，所述数据收集模块采用的数据收集方法包括：
15.在计算机系统中增加数据收集插件，所述数据收集插件在应用界面以可触发的接口形式显示；
16.接收用户的数据存储请求，显示所述数据收集插件的数据收集界面；
17.在数据收集界面收集用户输入的用户数据，通过数据收集插件的特定通道将收集的用户数据上传至存储器。
18.进一步，所述身份认证模块进行身份认证时的具体方法包括：
19.获取数据访问请求，提取数据访问请求中包含的身份认证信息；
20.对身份认证信息中的身份信息进行提取识别；
21.根据提取识别后的身份信息确定相应的身份权限。
22.进一步，所述数据加密模块对分类存储后的数据进行加密的具体方法包括：
23.对于身份认证通过的不同用户的用户端完成网络地址交换；
24.用户端的不同用户用自己的cpk key设备进行身份认证及会话密钥交换；
25.基于会话密钥实现用户端对用户端的认证加密通信；
26.利用透明加密方式对通信数据进行加密。
27.进一步，所述usb存储设备检测模块包括：
28.usb端口检测单元，用于对各个usb端口的连接状态进行检测；
29.usb端口设备类型确认单元，用于对usb端口连接的usb存储设备的类型进行确认。
30.进一步，所述证书发布模块对连接的usb存储设备转存的数据分配相应的证书的方法包括：
31.对usb存储设备执行安全初始化处理，由证书服务器为每个usb存储设备生成新的唯一的证书；
32.将加密的证书信息写入usb存储设备中对每个usb存储设备进行认证。
33.进一步，所述证书验证模块进行证书验证的具体方法包括：
34.提取usb存储设备中存储的验证证书；
35.对验证证书与预存的证书进行筛选识别，确认所述验证证书是否属于预存的证书类别；
36.若检索到相符的证书类别，则根据对应的证书权限对存储数据进行相应权限的显示。
37.本发明的另一目的在于提供一种存储在计算机可读介质上的计算机设备，包括计算机可读程序，供于电子装置上执行时，提供用户输入接口以应用所述的基于透明加密的数据安全管理系统的功能。
38.本发明的另一目的在于提供一种计算机可读存储介质，储存有指令，当所述指令在计算机上运行时，使得计算机应用所述的基于透明加密的数据安全管理系统的功能。
39.本发明的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端用于实现所述的基于透明加密的数据安全管理系统的功能。
40.结合上述的所有技术方案，本发明所具备的优点及积极效果为：
41.本发明通过采用透明加密方式进行数据加密，用户通过服务器平台下发透明加密策略(关联的应用软件进程及其产生的文件类型)后，客户端根据策略实时监控应用程序对指定类型文件的读写操作(读解密、写加密)，实现文档的实时动态加解密，文档加密后，在受控范围(安装客户端的合法用户)内透明使用，脱离受控环境无法使用，从而有效解决用户核心数据文档在生产过程中面临的数据泄密风险，可以用于解决用户核心数据文档在生产过程中，避免明文存储面临的众多泄密风险，如离职人员拷贝、移动存储设备丢失、网络
传输拦截等情况。
附图说明
42.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
43.图1是本发明实施例提供的基于透明加密的数据安全管理系统的结构框图。
44.图2是本发明实施例提供的数据收集模块采用的数据收集方法流程图。
45.图3是本发明实施例提供的身份认证模块进行身份认证时的方法流程图。
46.图4是本发明实施例提供的数据加密模块对分类存储后的数据进行加密的方法流程图。
具体实施方式
47.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
48.针对现有技术存在的问题，本发明提供了一种基于透明加密的数据安全管理系统，下面结合附图对本发明作详细的描述。
49.如图1所示，本发明实施例提供的基于透明加密的数据安全管理系统包括数据收集模块1、数据分类存储模块2、数据加密模块3、身份认证模块4、usb存储设备检测模块5、证书发布模块6、证书验证模块7和中央处理与控制模块8；
50.所述中央处理与控制模块8分别与数据收集模块1、数据分类存储模块2、数据加密模块3、身份认证模块4、usb存储设备检测模块5、证书发布模块6和证书验证模块7连接，用于通过中央控制器对采集数据进行处理，并对各个模块的工作进行协调控制；
51.所述数据分类存储模块2用于对数据收集模块收集的存储数据进行分类，并根据具体的分类结果对数据进行分别存储；
52.所述数据加密模块3用于利用透明加密方式对分类存储后的数据进行加密；
53.所述身份认证模块4用于在对加密数据进行提取时进行身份认证；
54.所述usb存储设备检测模块5用于对usb端口的usb存储设备的连接状态进行检测；
55.usb存储设备检测模块包括：
56.usb端口检测单元，用于对各个usb端口的连接状态进行检测；
57.usb端口设备类型确认单元，用于对usb端口连接的usb存储设备的类型进行确认。
58.所述证书发布模块6用于对连接的usb存储设备转存的数据分配相应的证书；
59.所述证书验证模块7用于在对usb存储设备内的存储数据读取时进行证书的验证。
60.如图2所示，本发明实施例中的数据收集模块采用的数据收集方法包括：
61.s101，在计算机系统中增加数据收集插件，所述数据收集插件在应用界面以可触发的接口形式显示；
62.s102，接收用户的数据存储请求，显示所述数据收集插件的数据收集界面；
63.s103，在数据收集界面收集用户输入的用户数据，通过数据收集插件的特定通道将收集的用户数据上传至存储器。
64.如图3所示，本发明实施例中的身份认证模块进行身份认证时的具体方法包括：
65.s201，获取数据访问请求，提取数据访问请求中包含的身份认证信息；
66.s202，对身份认证信息中的身份信息进行提取识别；
67.s203，根据提取识别后的身份信息确定相应的身份权限。
68.如图4所示，本发明实施例中的数据加密模块对分类存储后的数据进行加密的具体方法包括：
69.s301，对于身份认证通过的不同用户的用户端完成网络地址交换；
70.s302，用户端的不同用户用自己的cpk key设备进行身份认证及会话密钥交换；
71.s303，基于会话密钥实现用户端对用户端的认证加密通信；
72.s304，利用透明加密方式对通信数据进行加密。
73.本发明实施例中的证书发布模块对连接的usb存储设备转存的数据分配相应的证书的方法包括：
74.对usb存储设备执行安全初始化处理，由证书服务器为每个usb存储设备生成新的唯一的证书；
75.将加密的证书信息写入usb存储设备中对每个usb存储设备进行认证。
76.本发明实施例中的证书验证模块进行证书验证的具体方法包括：
77.提取usb存储设备中存储的验证证书；
78.对验证证书与预存的证书进行筛选识别，确认所述验证证书是否属于预存的证书类别；
79.若检索到相符的证书类别，则根据对应的证书权限对存储数据进行相应权限的显示。
80.应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
81.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。