本發明公開了一種數據安全存儲方法及系統，該方法包括：獲取待存儲數據；采用第一密鑰對待存儲數據進行加密，獲得第一加密密文，將第一加密密文存儲于第一數據庫；通過非對稱加密算法利用第二密鑰對第一密鑰進行加密，獲得第二加密密文，第二密鑰包括公鑰和私鑰，將私鑰和第二加密密文存儲于不同的存儲設備中。本發明的數據安全存儲方法使用第一密鑰對待存儲數據加密獲得第一加密密文，采用第二密鑰的私鑰對第一密鑰進行加密，獲得第二加密密文，第一加密密文被存放入第一數據庫中，將第二加密密文和第二密鑰的公鑰存放物理上相互隔離的設備上。這種物理隔離的存儲方式，杜絕非法獲取第一密鑰的可能，提高數據存儲的安全性。

技術領域

本發明屬于互聯網技術領域，更具體地，涉及一種數據安全存儲方法及系統。

背景技術

大多數的基于互聯網的應用，其數據都存儲在數據庫服務器中。對于其中的一些敏感數據，如果使用明文存儲容易造成用戶的信息泄漏，為用戶和公司帶來極大的損失。

一種常見的方式是將其中的敏感字段進行加密，并將加密使用的密鑰存放在特定的位置。具有權限訪問的用戶使用簡單的操作即可獲取該部分數據，使數據存在泄漏的安全隱患。一些方法對密鑰進行二次加密，并將二次加密密鑰存儲在服務器上，這樣在一定程度上可使得數據的安全性提高，但由于都存儲在服務器端，一旦對應的模塊被破解，仍存在泄漏的風險。

因此，特別需要一種能防止密鑰泄露，確保安全的數據存儲方法。

發明內容

本發明的目的是提出一種能防止密鑰泄露，確保安全的數據存儲方法。

為了實現上述目的，本發明提供一種數據安全存儲方法，包括：獲取待存儲數據；采用第一密鑰對所述待存儲數據進行加密，獲得第一加密密文，將所述第一加密密文存儲于第一數據庫；通過非對稱加密算法利用第二密鑰對所述第一密鑰進行加密，獲得第二加密密文，所述第二密鑰包括公鑰和私鑰，將所述私鑰和所述第二加密密文存儲于不同的存儲設備中。

優選的，將所述私鑰存儲于服務器中，將所述公鑰、所述第二加密密文存儲于第二數據庫中。

優選的，將所述第二加密密文存儲于所述第一數據庫中，將所述私鑰存儲于外設密鑰存儲器中。

優選的，采用對稱加密算法對所述待存儲數據進行加密。

優選的，接收讀取數據請求，驗證用戶信息；

當所述用戶信息通過驗證后，根據所述用戶信息計算與其對應的公鑰；基于所述公鑰，從所述第二數據庫獲取第二加密密文；根據所述用戶信息，從所述服務器獲取私鑰，并從所述第一數據庫獲取第一加密密文。

優選的，接收讀取數據請求，從所述外設密鑰存儲器中獲取所述私鑰；根據所述讀取數據請求，從所述第一數據庫中獲取第一加密密文和第二加密密文。

優選的，采用所述私鑰對所述第二加密密文進行解密，獲得第一密鑰；采用第一密鑰對所述第一加密密文進行解密，獲得明文數據。

第二方面，本發明還提供一種數據安全存儲系統，包括：客戶端，所述客戶端用于發送待存儲數據；服務器，所述服務器與所述客戶端連接，所述服務器獲取待存儲數據，采用第一密鑰對所述待存儲數據進行加密，獲得第一加密密文，并將第一加密密文發送至第一數據庫，采用第二密鑰對所述第一密鑰進行加密，獲得第二加密密文，所述第二密鑰包括公鑰和私鑰，將所述私鑰和所述第二加密密文存儲于不同的存儲設備中；所述第一數據庫，所述第一數據庫與所述服務器連接，用于接收并存儲第一加密密文。

優選的，所述系統還包括：第二數據庫，所述第二數據庫接收并儲存所述公鑰和所述第二加密密文，所述服務器存儲所述私鑰。

優選的，所述系統還包括：外設密鑰存儲器，所述私鑰存儲于所述外設密鑰存儲器中，所述第一數據庫存儲所述第二加密密文。