[发明专利]一种业务数据保护方法、装置、设备及可读存储介质

说明书

本发明公开了一种业务数据保护方法、装置、设备及可读存储介质，该方法包括以下步骤：利用安全通信通道接收目标业务程序发送的加解密请求；验证目标业务程序是否合法；如果是，则利用密钥对加解密请求对应的业务数据进行加解密处理；如果否，则断开与目标业务程序之间的安全通信通道。在本方法中，通过文件系统过滤驱动即可实现对业务数据进行加解密保护，无需添加硬件设备，另外，由于加解密请求通过安全通信通道进行传输，对目标业务程序的合法性进行验证，从多个保护角度对业务数据实现了多重保护，可保障业务数据安全。

技术领域

本发明涉及数据安全保障技术领域，特别是涉及一种业务数据保护方法、装置、设备及可读存储介质。

背景技术

随着云计算、大数据等新型技术的发展，对云主机和服务器的安全性要求越来越高。云主机和服务器上的应用程序是对外提供服务的承载者，其通过处理各种各样的业务数据来为用户提供着所需的服务。业务数据包含许多敏感信息，黑客获取到这些敏感信息后，可以很容易获取利益。因此业务数据受到了外部黑客的重点关注，防止业务数据中的敏感信息泄露也就成了重中之重。保护业务数据中的敏感信息最常用的手段就是加密，包括加密保存和加密传输。黑客面对一份加密后的业务数据，就相当于面对了一个上锁的大门，是无法获取任何有价值的信息的。加密如此重要，就决定了加解密系统要足够安全，足够健壮。

加解密能力，通常被设计为独立的硬件(如HSM、USB Key)，独立的系统(如KMS、KMC)，独立的芯片(如TPM)，以独立于应用程序所在的操作系统，达到足够的安全。但是，在实际生产环境下，一些小型系统本身投入就很低，如果再引入独立的硬件/系统/芯片，系统厂商将不能接受额外的硬件费用。另外，一些现有业务系统的安全升级改造，运营商或客户也不允许再添加另外的硬件/系统/芯片。

综上所述，如何有效地解决在无需额外添加加解密硬件的情况下，对业务数据进行有效保护等问题，是目前本领域技术人员急需解决的技术问题。

发明内容

本发明的目的是提供一种业务数据保护方法、装置、设备及可读存储介质，以在无需额外添加加解密硬件的情况下，对业务数据进行有效保护。

为解决上述技术问题，本发明提供如下技术方案：

一种业务数据保护方法，应用于文件系统过滤驱动，包括：

利用安全通信通道接收目标业务程序发送的加解密请求；

验证所述目标业务程序是否合法；

如果是，则利用密钥对所述加解密请求对应的业务数据进行加解密处理；

如果否，则断开与所述目标业务程序之间的所述安全通信通道。

优选地，还包括：

定期利用密钥生成逻辑对所述密钥进行更新。

优选地，所述定期利用密钥生成逻辑对所述密钥进行更新，包括：

定期利用所述密钥生成逻辑并结合指定数据对应的变换和组合的方式生成新密钥；其中，所述指定数据包括的硬件网卡的MAC地址、硬件CPU的ID、当前系统时间和当前生成的随机数；

利用所述新密钥的分段数据对所述指定文件中的所述分块密钥数据进行更新。

优选地，在所述文件系统重启后，还包括：

从对外处于隐藏状态的指定文件中读取出多个分块密钥数据，并对多个分块密钥数据进行组合，获得所述密钥。

优选地，所述对多个分块密钥数据进行组合，获得密钥，包括：

利用进行代码混淆后的密钥组合逻辑对多个所述分块密钥数据进行组合，获得所述密钥。

优选地，还包括：