一种基于漏洞检测的数据安全治理方法、系统及存储介质与流程

本发明涉及数据传输，更具体涉及一种基于漏洞检测的数据安全治理方法、系统及存储介质。

背景技术：

1、在电子商务快速发展的背景下，个人信息在线传输和使用越来越普遍，比如个人用户使用银行卡消费，商铺终端对银行卡信息进行加密，并将其发送至令牌服务器，请求生成令牌；令牌服务器生成与银行卡信息相对应的令牌，并将该令牌发送至商铺终端，同时将令牌和与其匹配的银行卡信息存储在令牌服务器中；商铺终端接收到该令牌后将其发送至银行卡服务器，银行卡服务器接收到该令牌后请求令牌服务器解密，以确认银行卡信息；令牌服务器基于存储的与该令牌对应的信息对银行卡信息进行解码，并通知银行卡服务器。由于所有机密信息和令牌都存储在令牌服务器上，因此安全风险都集中在令牌服务器上。然而，不法分子还可以通过各种手段在通信过程中窃取个人信息，给数据安全带来严重威胁。

2、在现有技术中，比如中国专利“cn111585749b”数据传输方法、装置、系统及设备，提供了数据传输方法、装置、系统及设备，包括：生成包括第一公钥和第一私钥的非对称密钥对，向服务端发送携带有第一公钥的数据请求；接收服务端发送的密文和第二公钥，第二公钥是服务端获取的非对称密钥对中的公钥，该服务端获取的非对称密钥对中还包括第二私钥，密文是利用共享密钥将用于生成离线付款码的种子参数加密后的信息；该共享密钥是根据第二私钥和第一公钥，采用预设的密钥协商算法生成的密钥；根据第一私钥和第二公钥，采用密钥协商算法生成共享密钥，并利用共享密钥对密文进行解密，得到种子参数。

3、还比如中国专利“cn109120649a”密钥协商方法、云服务器、设备、存储介质以及系统，公开了一种密钥协商方法，包括以下步骤：云服务器在接收到设备发送的随机数请求时，则生成第一随机数，并将第一随机数返回至设备；云服务器在接收到密钥协商请求报文时，根据密钥协商请求报文获取设备公钥以及签名数据；通过设备公钥对签名数据进行解密得到第二随机数；在第二随机数与第一随机数一致时，则云服务器与设备进行密钥协商。

4、两项发明都是在服务器和终端之间同时传输数据请求和密钥，很容易造成请求数据和密钥在通信传输过程中一起被截获的情况，导致目标数据被纂改或泄露。因此本发明提出一种基于漏洞检测的数据安全治理方法，不仅能够解决安全风险都集中在令牌服务器上的问题，从而分散安全风险，同时还能提高机密数据在通信传输过程中的安全性。

技术实现思路

1、为增加机密数据在传输过程中的安全性，本发明提供一种基于漏洞检测的数据安全治理方法，所述方法包括：

2、步骤s1：第一终端发送密钥请求信号至密钥生成单元，所述密钥请求信号包括所述第一终端对应第一对象的身份数据；

3、步骤s2：所述密钥生成单元接收所述密钥请求信号，并基于所述密钥请求信号生成第一动态密钥、第二动态密钥、第一验证消息和第二验证消息，从所述密钥生成单元中的第一密钥数据库中获取第一加密密钥，并对所述第一动态密钥和所述第一验证消息进行加密获取第一加密消息包，并基于所述第一加密消息包、所述第一验证消息及第一加密密钥信息生成第一消息，同理生成第二消息，将所述第一消息和所述第二消息分别发送给所述第一终端和所述第一对象对应的第二终端；

4、步骤s3：所述第一终端和所述第二终端分别接收所述第一消息和所述第二消息，并分别通过所述第一验证消息和所述第二验证消息验证所述第一消息和所述第二消息的真伪；

5、步骤s4：在所述第一消息和第二消息分别为真时，所述第一终端基于所述第一消息中的第一加密密钥信息从第二密钥数据库中获取第一解密密钥，并通过所述第一解密密钥对所述第一加密消息包进行解密，获取所述第一动态密钥，并通过所述第一动态密钥对所述第一对象的机密数据进行加密获取数字令牌，并将所述数字令牌发送给所述第二终端；

6、步骤s5：所述第二终端基于第二加密密钥信息从第三密钥数据库中获取第二解密密钥，根据所述第二解密密钥对所述第二加密消息包进行解密并获取所述第二动态密钥，所述第二终端接收所述数字令牌，并通过所述第二动态密钥对所述数字令牌进行解密获取所述第一对象的机密数据。

7、作为本发明的一种优选技术方案，在所述步骤s5之后还包括步骤s6：

8、对所述密钥生成单元的第一密钥数据库进行周期性的更新，同时还对所述第一终端的第二密钥数据库和所述第二终端的第三密钥数据库进行同步更新。

9、作为本发明的一种优选技术方案，所述步骤s2中，所述第一验证消息和所述第二验证消息通过所述密钥生成单元的随机生成模块生成，所述第一验证消息和所述第二验证为包括n个字节的一串随机数。

10、作为本发明的一种优选技术方案，所述步骤s3包括如下步骤：

11、步骤s31：所述第一终端接收所述第一消息，并从所述第一消息中获取所述第一加密密钥信息，并基于所述第一加密密钥信息从所述第二密钥数据库中获取与所述第一加密密钥对应的第一解密密钥；

12、步骤s32：根据所述第一解密密钥对所述第一消息中的所述第一加密消息包进行解密，获取解密后的所述第一动态密钥和所述第一验证消息；

13、步骤s33：将所述第一消息中的所述第一验证消息与解密后的所述第一验证消息进行比较，并获取比较结果，在所述第一验证消息和解密后的所述第一验证消息相同时，确定所述第一消息为真，否则为假；

14、步骤s34：同理，判断所述第二终端接收到的所述第二消息的真假。

15、作为本发明的一种优选技术方案，所述步骤s3还包括：在所述第二终端收到的所述第二消息为真时，向所述第一终端发送确认信号，在所述第一终端收到所述第一消息前后的预定时间内收到所述确认信号，且所述第一消息为真时，执行所述步骤s4，否则，所述第一终端重新向所述密钥生成单元发送所述密钥请求信号。

16、作为本发明的一种优选技术方案，所述步骤s6包括如下步骤：

17、步骤s61：所述密钥生成单元基于所述密钥生成单元中的存储模块中存储的种子密钥生成第mi密钥，同时从所述第一密钥数据库中随机抽取第ni密钥，并通过所述第ni密钥对所述第mi密钥进行加密获取第三加密消息包，将所述第三加密消息包、所述第ni密钥信息和第一更新信息作为第三消息发送至所述第一终端和所述第二终端，其中所述第ni密钥为所述第一密钥数据库更新之前的任一密钥；

18、步骤s62：所述第一终端接收所述第三消息，从所述第三消息中获取所述第一更新信息，并在所述第一更新信息和保存在所述第一终端的第一确认信息一致时，根据所述第三消息中所述第ni密钥信息从所述第二密钥数据库中获取所述第ni密钥，并使用所述第ni密钥对所述第三加密消息包进行解密，并获取所述第mi密钥，并将所述第mi密钥替换掉所述第ni密钥，并发送第二更新信息至所述密钥生成单元，否则，不替换；同理，更新所述第二终端中所述第二密钥数据库中的所述第ni密钥；

19、步骤s63：所述密钥生成单元分别接收所述第一终端的所述第二更新信息和所述第二终端的所述第二更新信息，并分别将所述第一终端的所述第二更新信息和所述第二终端的所述第二更新信息与所述密钥生成单元的存储模块中保存的第二确认信息进行比较获取第一比较结果和第二比较结果，在所述第一比较结果和所述第二比较结果都为所述第二确认信息分别与所述第一终端发送的第二更新信息和所述第二终端发送的第二更新信息一致时，将所述第mi密钥替换掉所述第一密钥数据库中的所述第ni密钥，否则重复所述步骤s61和所述步骤s62重新更新所述第一终端和所述第二终端中所述第ni密钥更新失败的至少一个；

20、步骤s64：重复所述步骤s61至所述步骤s63完成所述第一密钥数据库、所述第二密钥数据库、所述第三密钥数据库的同步更新。

21、本发明还提供一种如上所述的基于漏洞检测的数据安全治理系统，包括如下模块：

22、请求单元，用于第一终端向密钥生成单元发送密钥请求信号，所述密钥请求信号包括所述第一终端对应第一对象的身份数据；

23、密钥生成单元，用于接收所述密钥请求信号，并基于所述密钥请求信号生成第一动态密钥、第二动态密钥、第一验证消息和第二验证消息，从所述密钥生成单元中的第一密钥数据库中获取第一加密密钥，并对所述第一动态密钥和所述第一验证消息进行加密获取第一加密消息包，并基于所述第一加密消息包、所述第一验证消息及第一加密密钥信息生成第一消息，同理生成第二消息，将所述第一消息和所述第二消息分别发送给所述第一终端和所述第一对象对应的第二终端；

24、验证单元，用于在所述第一终端和所述第二终端分别接收所述第一消息和所述第二消息后，分别对所述第一验证消息和所述第二验证消息验证所述第一消息和所述第二消息的真伪；

25、发送单元，用于在所述第一消息和第二消息分别为真时，所述第一终端基于所述第一消息中的第一加密密钥信息从第二密钥数据库中获取第一解密密钥，并通过所述第一解密密钥对所述第一加密消息包进行解密，获取所述第一动态密钥，并通过所述第一动态密钥对所述第一对象的机密数据进行加密获取数字令牌，并将所述数字令牌发送给所述第二终端；

26、接收单元，用于所述第二终端基于第二加密密钥信息从第三密钥数据库中获取第二解密密钥，根据所述第二解密密钥对所述第二加密消息包进行解密并获取所述第二动态密钥，所述第二终端接收所述数字令牌，并通过所述第二动态密钥对所述数字令牌进行解密获取所述第一对象的机密数据。

27、本发明还提供一种存储介质，所述存储介质存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现上述所述的基于漏洞检测的数据安全治理方法。

28、与现有技术相比，本发明的有益效果至少如下所述：

29、本发明的技术方案通过第一终端发送密钥请求信号至密钥生成单元，密钥请求信号包括第一终端对应第一对象的身份数据；来增强机密数据在通信传输过程中的安全性。密钥生成单元接收密钥请求信号，并基于密钥请求信号生成第一动态密钥、第二动态密钥、第一验证消息和第二验证消息，从密钥生成单元中的第一密钥数据库中获取第一加密密钥，并对第一动态密钥和第一验证消息进行加密获取第一加密消息包，并基于第一加密消息包、第一验证消息及第一加密密钥信息生成第一消息，同理生成第二消息，将第一消息和第二消息分别发送给第一终端和第一对象对应的第二终端；是为确保密钥生成单元与第一终端和密钥请求信号对应的第二终端在通信传输过程中数据是安全的。第一终端和第二终端分别接收第一消息和第二消息，并分别通过第一验证消息和第二验证消息验证第一消息和第二消息的真伪；从而确保机密数据在通信传输过程中不被窃取或纂改，并且确认收到的消息是否都是真的。在第一消息和第二消息分别为真时，第一终端基于第一消息中的第一加密密钥信息从第二密钥数据库中获取第一解密密钥，并通过第一解密密钥对第一加密消息包进行解密，获取第一动态密钥，并通过第一动态密钥对第一对象的机密数据进行加密获取数字令牌，并将数字令牌发送给第二终端；第二终端基于第二加密密钥信息从第三密钥数据库中获取第二解密密钥，根据第二解密密钥对第二加密消息包进行解密并获取第二动态密钥，第二终端接收数字令牌，并通过第二动态密钥对数字令牌进行解密获取第一对象的机密数据。能够解决安全风险都集中在令牌服务器上的问题，从而分散安全风险，同时还能提高机密数据在通信传输过程中的安全性。