一种云数据透明加密保护方法、系统及装置

专利主权项内容

1.一种云数据透明加密保护方法，其特征在于，数据保护系统包括数据保护网关，所述数据保护网关部署在租户设备与云服务器之间，所述方法包括：所述数据保护网关拦截所述租户设备向所述云服务器发送的原始云数据；所述数据保护网关确定所述原始云数据的第一数据特征；其中，所述第一数据特征包括所述原始云数据的第一数据类别和/或第一数据级别；所述数据保护网关确定所述第一数据特征对应的保护策略，基于所述保护策略对所述原始云数据进行数据保护得到目标云数据；其中，所述保护策略至少包括透明加密保护策略和数据水印保护策略，且对原始云数据进行数据加密处理，并对原始云数据进行数据水印处理；其中，若所述保护策略还包括数据脱敏保护策略，则对原始云数据进行数据脱敏处理；所述数据保护网关将所述目标云数据发送给所述云服务器；其中，所述数据保护网关对原始云数据进行数据加密处理，包括：采用如下非线性保序函数对所述原始云数据进行基于噪声的有索引保序加密处理：y=a*f(x)+b+noise；其中，a表示斜率加密参数，b表示截距加密参数，noise表示噪声加密参数，f(x)表示所述原始云数据，y表示加密后数据；其中，基于噪声的有索引保序加密处理用于使加密后数据的单调性与加密前数据的单调性一致；若加密前的第一原始云数据大于加密前的第二原始云数据，则第一原始云数据的加密后数据大于第二原始云数据的加密后数据；其中，所述方法还包括：基于所述原始云数据的第一数据特征，确定所述第一数据特征对应的斜率加密参数、截距加密参数和噪声加密参数；其中，不同第一数据特征对应不同的斜率加密参数和斜率加密参数更新周期，不同第一数据特征对应不同的截距加密参数和截距加密参数更新周期，不同第一数据特征对应不同的噪声加密参数和噪声加密参数更新周期；其中，所述数据保护系统还包括部署在所述云服务器的数据保护内核模块，所述数据保护内核模块接收到目标云数据时，若确定所述目标云数据的存储区域是已配置的加密安全存储区域，则确定所述目标云数据的完整性校验值，采用所述租户设备对应的加密密钥对所述目标云数据进行加密得到密文数据，将所述完整性校验值与所述密文数据拼接得到待存储数据，将所述待存储数据存储到所述加密安全存储区域；其中，不同租户设备对应的加密密钥不同；其中，所述数据保护系统还包括数据安全态势感知设备，所述方法还包括：针对每个第一数据特征，所述数据安全态势感知设备统计该第一数据特征对应的泄露云数据的数量，所述泄露云数据是已发生数据泄露的云数据；若所述数量大于预设阈值，则所述数据安全态势感知设备获取该第一数据特征对应的更新后保护策略，并将该第一数据特征对应的更新后保护策略配置到所述数据保护网关；其中，该第一数据特征对应的更新后保护策略的保护效果优于该第一数据特征对应的更新前保护策略的保护效果；其中，所述数据保护网关对原始云数据进行数据水印处理，包括：若所述原始云数据的第一数据类别是半结构化类别，则在API接口中埋入探针，所述探针用于分析数据中的信息；当API接口调用所述原始云数据时，通过所述API接口中的探针对所述原始云数据进行分析得到所述原始云数据对应的属性信息，确定与所述属性信息对应的数据水印，并为所述原始云数据添加所述数据水印；其中，所述方法还包括：所述数据安全态势感知设备从数据保护插件、数据保护网关、数据保护内核模块获取数据异常信息和数据分析信息，并使用机器学习模型对所述数据异常信息和所述数据分析信息进行分析，得到业务数据的血缘关系图谱；其中，所述数据异常信息包括以下至少一种：透明加解密失败信息、完整性校验失败信息、API接口调用频次/时间/地点的异常信息、数据流转路径信息和预设权限匹配失败信息；所述数据分析信息包括以下至少一种：分类分级信息、数据上下级流转信息、数据水印信息。