一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法
【專利摘要】本發(fā)明提供了一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，包括以下步驟：S1、交換接口身份管理模塊為每個(gè)交換主體創(chuàng)建交換接口數(shù)字簽名身份，并通過(guò)數(shù)字簽名來(lái)唯一識(shí)別交換身份；S2、交換身份1提交交換數(shù)據(jù)，申請(qǐng)交換接口；S3、交換數(shù)據(jù)敏感標(biāo)簽管理模塊對(duì)交換數(shù)據(jù)進(jìn)行敏感掃描，識(shí)別已定義的敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)進(jìn)行敏感標(biāo)簽標(biāo)識(shí)；S4、交換接口連接管理模塊依據(jù)交換身份1和識(shí)別的敏感標(biāo)簽匹配查找對(duì)應(yīng)的交換接口連接；S5、數(shù)據(jù)交換模塊依據(jù)該交換接口連接對(duì)應(yīng)的交換尋址表，獲得下一跳投遞地址，將交換數(shù)據(jù)投遞給接收端交換身份2；S6、數(shù)據(jù)交換模塊在交換成功后將數(shù)據(jù)交換行為形成概要日志記錄。本發(fā)明能夠在運(yùn)維活動(dòng)過(guò)程中，對(duì)一些重要的敏感數(shù)據(jù)的跨應(yīng)用交換和接口行為進(jìn)行有效監(jiān)管，防止敏感數(shù)據(jù)無(wú)序的流轉(zhuǎn)失控。
【專利說(shuō)明】
一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及敏感數(shù)據(jù)交換，具體涉及一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法。
【背景技術(shù)】
[0002]在信息化運(yùn)維活動(dòng)過(guò)程中經(jīng)常需要將數(shù)據(jù)信息包括敏感數(shù)據(jù)信息進(jìn)行跨應(yīng)用系統(tǒng)的交換傳遞。傳統(tǒng)的實(shí)現(xiàn)方法是通過(guò)各種接口，包括數(shù)據(jù)庫(kù)接口、文件接口、API接口等實(shí)現(xiàn)數(shù)據(jù)傳遞交換。這種數(shù)據(jù)交換傳遞過(guò)程缺乏必要的安全管控措施，包括缺乏對(duì)各參與主體身份的安全校驗(yàn)，缺乏對(duì)交換傳遞活動(dòng)的有序監(jiān)管，缺乏對(duì)傳遞數(shù)據(jù)內(nèi)容的安全審計(jì)。因而使得跨應(yīng)用系統(tǒng)或跨主機(jī)之間的數(shù)據(jù)交換傳遞成為重要的敏感泄密安全隱患。

【發(fā)明內(nèi)容】

[0003]針對(duì)現(xiàn)有技術(shù)的上述缺陷和問(wèn)題，本發(fā)明所要解決的技術(shù)問(wèn)題是現(xiàn)有跨應(yīng)用系統(tǒng)或跨主機(jī)之間的數(shù)據(jù)交換傳遞過(guò)程缺乏必要的安全管控措施。
[0004]為了達(dá)到上述目的，本發(fā)明提供如下技術(shù)方案:
[0005]—種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，包括以下步驟:S1、交換接口身份管理模塊為每個(gè)交換主體創(chuàng)建交換接口數(shù)字簽名身份，并通過(guò)數(shù)字簽名來(lái)唯一識(shí)別交換身份，交換身份I準(zhǔn)備交換數(shù)據(jù)，交換身份I可以是客戶端地位身份也可以是服務(wù)端地位身份；S2、交換身份I提交交換數(shù)據(jù)，申請(qǐng)交換接口 ；S3、交換數(shù)據(jù)敏感標(biāo)簽管理模塊對(duì)交換數(shù)據(jù)進(jìn)行敏感掃描，識(shí)別已定義的敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)進(jìn)行敏感標(biāo)簽標(biāo)識(shí)，敏感交換分配模塊為通過(guò)敏感標(biāo)簽標(biāo)識(shí)的待交換敏感數(shù)據(jù)分配一個(gè)唯一的交換接口連接;S4、交換接口連接管理模塊依據(jù)交換身份I和識(shí)別的敏感標(biāo)簽匹配查找對(duì)應(yīng)的交換接口連接;S5、數(shù)據(jù)交換模塊依據(jù)該交換接口連接對(duì)應(yīng)的交換尋址表，獲得下一跳投遞地址，將交換數(shù)據(jù)投遞給接收端交換身份2; S6、數(shù)據(jù)交換模塊在交換成功后將數(shù)據(jù)交換行為形成概要日志記錄。
[0006]上述技術(shù)方案中，在步驟SI中，所述交換接口數(shù)字簽名身份具有交換接口類型信息、交換身份標(biāo)識(shí)信息、交換地位信息，通過(guò)交換接口類型信息能夠識(shí)別交換接口的協(xié)議類型，通過(guò)交換身份標(biāo)識(shí)信息能夠識(shí)別交換主體的身份，通過(guò)交換地位信息能判別交換主體是服務(wù)端還是客戶端。
[0007]上述技術(shù)方案中，在步驟S3中，通過(guò)掃描數(shù)據(jù)內(nèi)容發(fā)現(xiàn)敏感特征數(shù)據(jù)，對(duì)發(fā)現(xiàn)的敏感特征數(shù)據(jù)分配一個(gè)唯一的數(shù)字化標(biāo)簽，通過(guò)唯一的數(shù)字化標(biāo)簽標(biāo)識(shí)該交換數(shù)據(jù)的敏感特征身份。
[0008]上述技術(shù)方案中，在步驟S3中，敏感交換分配模塊通過(guò)將特定的敏感標(biāo)簽與交換連接號(hào)綁定，實(shí)現(xiàn)將特定的交換敏感數(shù)據(jù)分配到該連接號(hào)指定的交換接口連接上，確保敏感交換數(shù)據(jù)只能通過(guò)專用連接接口進(jìn)行交換。
[0009]上述技術(shù)方案中，在步驟S4中，交換接口連接管理模塊為通過(guò)交換接口身份驗(yàn)證的兩端交換主體建立交換接口連接，并且建立連接信息表，通過(guò)連接號(hào)唯一標(biāo)識(shí)并管理建立的交換接口連接，交換接口連接管理模塊建立的連接信息表包括連接號(hào)、連接發(fā)起端，客戶端地位的交換主體身份、連接接收端，服務(wù)端地位的交換主體身份，一個(gè)交換主體身份能夠參與多個(gè)交換接口連接。
[0010]上述技術(shù)方案中，在步驟S5中，數(shù)據(jù)交換模塊在建立交換接口連接的過(guò)程中，通過(guò)客戶端地位的交換主體發(fā)起連接建立請(qǐng)求，再由服務(wù)端地位的交換主體對(duì)連接建立請(qǐng)求進(jìn)行連接合法性校驗(yàn)，合法性校驗(yàn)的方法是在連接信息表中查找連接發(fā)起的客戶端地位的交換主體身份和對(duì)應(yīng)的連接號(hào)是否正確。
[0011]上述技術(shù)方案中，在步驟S5中，數(shù)據(jù)交換模塊為已經(jīng)建立的交換接口連接創(chuàng)建一條交換尋址信息，包括連接號(hào)，左端交換主體的尋址標(biāo)識(shí)，右端交換主體的尋址標(biāo)識(shí)，尋址標(biāo)識(shí)由IP地址和端口號(hào)組成，數(shù)據(jù)交換模塊在創(chuàng)建接口交換尋址信息過(guò)程中，需要先通過(guò)對(duì)敏感交換數(shù)據(jù)的數(shù)字化標(biāo)簽進(jìn)行敏感交換接口的合法性校驗(yàn)，校驗(yàn)該敏感數(shù)據(jù)與該連接是否已經(jīng)被正確地進(jìn)行分配綁定。
[0012]通過(guò)本發(fā)明，能夠在運(yùn)維活動(dòng)過(guò)程中，對(duì)一些重要的敏感數(shù)據(jù)的跨應(yīng)用交換和接口行為進(jìn)行有效監(jiān)管，防止敏感數(shù)據(jù)無(wú)序的流轉(zhuǎn)失控。
【附圖說(shuō)明】
[0013]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0014]圖1為本發(fā)明的方法流程示意圖；
[0015]圖2為本發(fā)明的總體結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0016]下面將結(jié)合本發(fā)明的附圖，對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0017]根據(jù)圖1所示，作為實(shí)施例所示的一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法包括以下步驟:S1、交換接口身份管理模塊為每個(gè)交換主體創(chuàng)建交換接口數(shù)字簽名身份，并通過(guò)數(shù)字簽名來(lái)唯一識(shí)別交換身份，交換身份I準(zhǔn)備交換數(shù)據(jù)，交換身份I可以是客戶端地位身份也可以是服務(wù)端地位身份;S2、交換身份I提交交換數(shù)據(jù)，申請(qǐng)交換接口；S3、交換數(shù)據(jù)敏感標(biāo)簽管理模塊對(duì)交換數(shù)據(jù)進(jìn)行敏感掃描，識(shí)別已定義的敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)進(jìn)行敏感標(biāo)簽標(biāo)識(shí)，敏感交換分配模塊為通過(guò)敏感標(biāo)簽標(biāo)識(shí)的待交換敏感數(shù)據(jù)分配一個(gè)唯一的交換接口連接;S4、交換接口連接管理模塊依據(jù)交換身份I和識(shí)別的敏感標(biāo)簽匹配查找對(duì)應(yīng)的交換接口連接;S5、數(shù)據(jù)交換模塊依據(jù)該交換接口連接對(duì)應(yīng)的交換尋址表，獲得下一跳投遞地址，將交換數(shù)據(jù)投遞給接收端交換身份2 ； S6、數(shù)據(jù)交換模塊在交換成功后將數(shù)據(jù)交換行為形成概要日志記錄。本發(fā)明提出的數(shù)據(jù)交換模塊能夠在完成數(shù)據(jù)交換過(guò)程后，對(duì)交換數(shù)據(jù)進(jìn)行記錄，以支持接口交換內(nèi)容審計(jì)分析。
[0018]在步驟SI中，交換接口數(shù)字簽名身份具有交換接口類型信息、交換身份標(biāo)識(shí)信息、交換地位信息，通過(guò)交換接口類型信息能夠識(shí)別交換接口的協(xié)議類型，通過(guò)交換身份標(biāo)識(shí)信息能夠識(shí)別交換主體的身份，通過(guò)交換地位信息能判別交換主體是服務(wù)端還是客戶端。本方法提供的交換接口身份只有當(dāng)交換接口的注冊(cè)身份被審核通過(guò)后才能創(chuàng)建，交換數(shù)據(jù)敏感標(biāo)簽管理模塊能夠?qū)⒍鄠€(gè)數(shù)字化標(biāo)簽標(biāo)記的敏感特征數(shù)據(jù)進(jìn)行組合，通過(guò)組合和的數(shù)字化標(biāo)簽標(biāo)識(shí)組合后的敏感特征數(shù)據(jù)內(nèi)容。
[0019]在步驟S3中，通過(guò)掃描數(shù)據(jù)內(nèi)容發(fā)現(xiàn)敏感特征數(shù)據(jù)，對(duì)發(fā)現(xiàn)的敏感特征數(shù)據(jù)分配一個(gè)唯一的數(shù)字化標(biāo)簽，通過(guò)唯一的數(shù)字化標(biāo)簽標(biāo)識(shí)該交換數(shù)據(jù)的敏感特征身份。
[0020]在步驟S3中，敏感交換分配模塊通過(guò)將特定的敏感標(biāo)簽與交換連接號(hào)綁定，實(shí)現(xiàn)將特定的交換敏感數(shù)據(jù)分配到該連接號(hào)指定的交換接口連接上，確保敏感交換數(shù)據(jù)只能通過(guò)專用連接接口進(jìn)行交換。
[0021]在步驟S4中，交換接口連接管理模塊為通過(guò)交換接口身份驗(yàn)證的兩端交換主體建立交換接口連接，并且建立連接信息表，通過(guò)連接號(hào)唯一標(biāo)識(shí)并管理建立的交換接口連接，交換接口連接管理模塊建立的連接信息表包括連接號(hào)、連接發(fā)起端，客戶端地位的交換主體身份、連接接收端，服務(wù)端地位的交換主體身份，一個(gè)交換主體身份能夠參與多個(gè)交換接口連接。
[0022]在步驟S5中，數(shù)據(jù)交換模塊在建立交換接口連接的過(guò)程中，通過(guò)客戶端地位的交換主體發(fā)起連接建立請(qǐng)求，再由服務(wù)端地位的交換主體對(duì)連接建立請(qǐng)求進(jìn)行連接合法性校驗(yàn)，合法性校驗(yàn)的方法是在連接信息表中查找連接發(fā)起的客戶端地位的交換主體身份和對(duì)應(yīng)的連接號(hào)是否正確。
[0023]本方法的數(shù)據(jù)交換模塊提供了基于交換接口連接表和交換尋址表實(shí)現(xiàn)的數(shù)據(jù)交換傳遞的功能。在步驟S5中，數(shù)據(jù)交換模塊為已經(jīng)建立的交換接口連接創(chuàng)建一條交換尋址信息，包括連接號(hào)，左端交換主體的尋址標(biāo)識(shí)，右端交換主體的尋址標(biāo)識(shí)，尋址標(biāo)識(shí)由IP地址和端口號(hào)組成，數(shù)據(jù)交換模塊在創(chuàng)建接口交換尋址信息過(guò)程中，需要先通過(guò)對(duì)敏感交換數(shù)據(jù)的數(shù)字化標(biāo)簽進(jìn)行敏感交換接口的合法性校驗(yàn)，校驗(yàn)該敏感數(shù)據(jù)與該連接是否已經(jīng)被正確地進(jìn)行分配綁定。
[0024]本方法的數(shù)據(jù)交換模塊在進(jìn)行接口數(shù)據(jù)交換處理過(guò)程時(shí)，安全如下流程，具體流程見(jiàn)圖1。
[0025]本發(fā)明提出了基于敏感標(biāo)簽實(shí)現(xiàn)數(shù)據(jù)交換的方法。本方法是通過(guò)為數(shù)據(jù)交換接口建立敏感標(biāo)簽，并依據(jù)敏感標(biāo)簽建立特定敏感數(shù)據(jù)的交換表，從而基于交換表實(shí)現(xiàn)敏感數(shù)據(jù)的安全交換。本方法所提出的基于敏感標(biāo)簽實(shí)現(xiàn)數(shù)據(jù)交換的方法包括有交換接口身份管理、交換數(shù)據(jù)敏感標(biāo)簽管理、交換接口連接管理、敏感交換連接分配、數(shù)據(jù)交換模塊、交換數(shù)據(jù)審計(jì)模塊組織。如圖2所示。
[0026]本發(fā)明提出的基于敏感標(biāo)簽進(jìn)行安全管控的敏感數(shù)據(jù)交換傳遞方法，通過(guò)在敏感數(shù)據(jù)傳遞過(guò)程中介入有效的身份校驗(yàn)、過(guò)程監(jiān)管和內(nèi)容審計(jì)，實(shí)現(xiàn)敏感數(shù)據(jù)交換傳遞過(guò)程的可管可控，從而有效提升數(shù)據(jù)交換傳遞過(guò)程的信息安全保障水平。
[0027]以上所述，僅為本發(fā)明的【具體實(shí)施方式】，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【主權(quán)項(xiàng)】
1.一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，其特征在于，包括以下步驟: 51、交換接口身份管理模塊為每個(gè)交換主體創(chuàng)建交換接口數(shù)字簽名身份，并通過(guò)數(shù)字簽名來(lái)唯一識(shí)別交換身份，交換身份I準(zhǔn)備交換數(shù)據(jù)，交換身份I可以是客戶端地位身份也可以是服務(wù)端地位身份； 52、交換身份I提交交換數(shù)據(jù)，申請(qǐng)交換接口； 53、交換數(shù)據(jù)敏感標(biāo)簽管理模塊對(duì)交換數(shù)據(jù)進(jìn)行敏感掃描，識(shí)別已定義的敏感數(shù)據(jù)，并對(duì)敏感數(shù)據(jù)進(jìn)行敏感標(biāo)簽標(biāo)識(shí)，敏感交換分配模塊為通過(guò)敏感標(biāo)簽標(biāo)識(shí)的待交換敏感數(shù)據(jù)分配一個(gè)唯一的交換接口連接； 54、交換接口連接管理模塊依據(jù)交換身份I和識(shí)別的敏感標(biāo)簽在匹配查找對(duì)應(yīng)的交換接口連接； 55、數(shù)據(jù)交換模塊依據(jù)該交換接口連接對(duì)應(yīng)的交換尋址表，獲得下一跳投遞地址，將交換數(shù)據(jù)投遞給接收端交換身份2; 56、數(shù)據(jù)交換模塊在交換成功后將數(shù)據(jù)交換行為形成概要日志記錄。2.根據(jù)權(quán)利要求1所述的一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，其特征在于，在步驟SI中，所述交換接口數(shù)字簽名身份具有交換接口類型信息、交換身份標(biāo)識(shí)信息、交換地位信息，通過(guò)交換接口類型信息能夠識(shí)別交換接口的協(xié)議類型，通過(guò)交換身份標(biāo)識(shí)信息能夠識(shí)別交換主體的身份，通過(guò)交換地位信息能判別交換主體是服務(wù)端還是客戶端。3.根據(jù)權(quán)利要求1所述的一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，其特征在于，在步驟S3中，通過(guò)掃描數(shù)據(jù)內(nèi)容發(fā)現(xiàn)敏感特征數(shù)據(jù)，對(duì)發(fā)現(xiàn)的敏感特征數(shù)據(jù)分配一個(gè)唯一的數(shù)字化標(biāo)簽，通過(guò)唯一的數(shù)字化標(biāo)簽標(biāo)識(shí)該交換數(shù)據(jù)的敏感特征身份。4.根據(jù)權(quán)利要求1所述的一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，其特征在于，在步驟S3中，敏感交換分配模塊通過(guò)將特定的敏感標(biāo)簽與交換連接號(hào)綁定，實(shí)現(xiàn)將特定的交換敏感數(shù)據(jù)分配到該連接號(hào)指定的交換接口連接上，確保敏感交換數(shù)據(jù)只能通過(guò)專用連接接口進(jìn)行交換。5.根據(jù)權(quán)利要求1所述的一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，其特征在于，在步驟S4中，交換接口連接管理模塊為通過(guò)交換接口身份驗(yàn)證的兩端交換主體建立交換接口連接，并且建立連接信息表，通過(guò)連接號(hào)唯一標(biāo)識(shí)并管理建立的交換接口連接，交換接口連接管理模塊建立的連接信息表包括連接號(hào)、連接發(fā)起端，客戶端地位的交換主體身份、連接接收端，服務(wù)端地位的交換主體身份，一個(gè)交換主體身份能夠參與多個(gè)交換接口連接。6.根據(jù)權(quán)利要求1所述的一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，其特征在于，在步驟S5中，數(shù)據(jù)交換模塊在建立交換接口連接的過(guò)程中，通過(guò)客戶端地位的交換主體發(fā)起連接建立請(qǐng)求，再由服務(wù)端地位的交換主體對(duì)連接建立請(qǐng)求進(jìn)行連接合法性校驗(yàn)，合法性校驗(yàn)的方法是在連接信息表中查找連接發(fā)起的客戶端地位的交換主體身份和對(duì)應(yīng)的連接號(hào)是否正確。7.根據(jù)權(quán)利要求1所述的一種可控可管的敏感數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)方法，其特征在于，在步驟S5中，數(shù)據(jù)交換模塊為已經(jīng)建立的交換接口連接創(chuàng)建一條交換尋址信息，包括連接號(hào)，左端交換主體的尋址標(biāo)識(shí)，右端交換主體的尋址標(biāo)識(shí)，尋址標(biāo)識(shí)由IP地址和端口號(hào)組成，數(shù)據(jù)交換模塊在創(chuàng)建接口交換尋址信息過(guò)程中，需要先通過(guò)對(duì)敏感交換數(shù)據(jù)的數(shù)字化標(biāo)簽進(jìn)行敏感交換接口的合法性校驗(yàn)，校驗(yàn)該敏感數(shù)據(jù)與該連接是否已經(jīng)被正確地進(jìn)行分配綁 bο ■*!>/
【文檔編號(hào)】H04L29/06GK105897783SQ201610512216
【公開(kāi)日】2016年8月24日
【申請(qǐng)日】2016年7月1日
【發(fā)明人】王富強(qiáng), 李昕, 葉雄
【申請(qǐng)人】中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司重慶市分公司