[发明专利]一种基于安全网关的自动化数据加密系统及其应用

说明书

本发明公开了一种基于安全网关的自动化数据加密系统及其应用，自动化数据加密系统包括：协议解析器，接收云服务器的web页面并识别云服务器的通信协议，解析请求内容格式，传至注入模块或数据加解密模块；注入模块，接收到web页面后，将JavaScript包装器的代码注入到web页面的头部；请求转发器，接收各类请求转发至云服务器与浏览器；数据加解密模块，将敏感文件数据对称加密为加密文件，在生成密钥时引入随机数将密钥分解为多个分组；密钥管理模块，管理密钥；JavaScript包装器，在浏览器中执行并重写JavaScriptAPI。本申请保证了用户储存在云服务器的数据的安全。

技术领域

本发明涉及云计算安全技术领域，尤其涉及一种基于安全网关的自动化数据加密系统及其应用。

背景技术

当前，随着云计算的飞速发展，越来越多的个人或企业选择使用云服务器，与此同时，云存储数据安全事件频频发生。由于云存储服务的漏洞导致敏感文件泄露。SkyhighNetwork基于1800万用户的云存储使用情况分析得到每个企业平均会使用到923个云服务，大部分服务均有基于浏览器的云服务器。值得注意的是，云存储服务中有21％的文件数据包含有敏感信息，比如知识产权和商业秘密。一个最有效的模式是用户将敏感数据加密后上传至云服务，用户通过掌握数据加密密钥实现数据所有权和使用权分离。然而，在实际中针对基于浏览器的云服务器进行加密面临着如下挑战：

现有的云访问安全代理技术，通过逆向分析云服务应用协议来适配各类云服务，进而对上云数据进行加密。面对众多SaaS云服务，目前的技术需要人工逐个分析云服务协议进行适配，不仅工作量巨大而且容易出错。这种方式耗时耗力，并且一旦协议发生变动，数据加密功能就会失效。因此，如何实现自动化地识别和适配云服务是一大技术挑战。

近年来，其他数据加密系统也涌现出一些针对云应用数据加密系统的研究工作。CryptDB作为代理服务器，部署在服务器端和数据库服务器之间。CryptDB将数据加密后存储到数据库，并对加密数据执行查询操作，可有效防范内部恶意数据库管理员。ARX提出了针对MongoDB的数据库加密系统，可支持丰富的复杂密文计算功能。然而，CryptDB与ARX均无法阻止恶意云服务器窃取用户敏感数据行为。Mylarl34提供了一种基于MeteorJavaScript的Web框架，由云服务开发者调用该框架编程接口来实现用户数据的加密。Mylar假设云服务商是可信的，难以防范云服务提供商。DataBlinder35针对软件服务开发商提供分布式数据访问中间件的方式，确保其开发的软件服务上云数据的安全性。另外，该方法需要对云服务应用进行改造。即使云服务商提供了数据保护，对于用户来说依然是不可信的。

发明内容

鉴于背景技术中存在的问题，本发明的目的之一在于提供一种基于安全网关的自动化数据加密系统，提供一个安全隔离数据加密环境，以抵御恶意或被攻陷的云提供商；保证了用户储存在云服务器的数据的安全。本发明的目的之二在于提供一种基于安全网关的自动化数据加密系统的应用，具有良好的扩展性，又可支持云服务器原有功能。

为了实现上述目的，本发明采用以下技术方案：

第一方面，本发明提供一种基于安全网关的自动化数据加密系统，包括：协议解析器、注入模块、请求转发器、数据加解密模块、密钥管理模块、JavaScript包装器，其中，

所述协议解析器接收云服务器的web页面并识别云服务器的通信协议，解析请求内容格式，传至所述注入模块或所述数据加解密模块；

所述注入模块接收到所述web页面后，将所述JavaScript包装器的代码注入到所述web页面的头部；

所述请求转发器接收各类请求转发至所述云服务器与所述浏览器；

所述数据加解密模块将敏感文件数据对称加密为加密文件，在生成密钥时引入随机数将所述密钥分解为多个分组；

所述密钥管理模块管理所述密钥；