CN105897783A - 一种可控可管的敏感数据交换技术实现方法 - Google Patents
一种可控可管的敏感数据交换技术实现方法 Download PDFInfo
- Publication number
- CN105897783A CN105897783A CN201610512216.5A CN201610512216A CN105897783A CN 105897783 A CN105897783 A CN 105897783A CN 201610512216 A CN201610512216 A CN 201610512216A CN 105897783 A CN105897783 A CN 105897783A
- Authority
- CN
- China
- Prior art keywords
- exchange
- data
- sensitive
- identity
- fabric interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000005516 engineering process Methods 0.000 title claims abstract description 16
- 238000007726 management method Methods 0.000 claims abstract description 22
- 238000012384 transportation and delivery Methods 0.000 claims abstract description 4
- 239000004744 fabric Substances 0.000 claims description 63
- 238000012795 verification Methods 0.000 claims description 8
- 230000035945 sensitivity Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract 2
- 238000012423 maintenance Methods 0.000 abstract 1
- 238000012550 audit Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000002834 transmittance Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种可控可管的敏感数据交换技术实现方法,包括以下步骤:S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份;S2、交换身份1提交交换数据,申请交换接口;S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识;S4、交换接口连接管理模块依据交换身份1和识别的敏感标签匹配查找对应的交换接口连接;S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。本发明能够在运维活动过程中,对一些重要的敏感数据的跨应用交换和接口行为进行有效监管,防止敏感数据无序的流转失控。
Description
技术领域
本发明涉及敏感数据交换,具体涉及一种可控可管的敏感数据交换技术实现方法。
背景技术
在信息化运维活动过程中经常需要将数据信息包括敏感数据信息进行跨应用系统的交换传递。传统的实现方法是通过各种接口,包括数据库接口、文件接口、API接口等实现数据传递交换。这种数据交换传递过程缺乏必要的安全管控措施,包括缺乏对各参与主体身份的安全校验,缺乏对交换传递活动的有序监管,缺乏对传递数据内容的安全审计。因而使得跨应用系统或跨主机之间的数据交换传递成为重要的敏感泄密安全隐患。
发明内容
针对现有技术的上述缺陷和问题,本发明所要解决的技术问题是现有跨应用系统或跨主机之间的数据交换传递过程缺乏必要的安全管控措施。
为了达到上述目的,本发明提供如下技术方案:
一种可控可管的敏感数据交换技术实现方法,包括以下步骤:S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份,交换身份1准备交换数据,交换身份1可以是客户端地位身份也可以是服务端地位身份;S2、交换身份1提交交换数据,申请交换接口;S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识,敏感交换分配模块为通过敏感标签标识的待交换敏感数据分配一个唯一的交换接口连接;S4、交换接口连接管理模块依据交换身份1和识别的敏感标签匹配查找对应的交换接口连接;S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。
上述技术方案中,在步骤S1中,所述交换接口数字签名身份具有交换接口类型信息、交换身份标识信息、交换地位信息,通过交换接口类型信息能够识别交换接口的协议类型,通过交换身份标识信息能够识别交换主体的身份,通过交换地位信息能判别交换主体是服务端还是客户端。
上述技术方案中,在步骤S3中,通过扫描数据内容发现敏感特征数据,对发现的敏感特征数据分配一个唯一的数字化标签,通过唯一的数字化标签标识该交换数据的敏感特征身份。
上述技术方案中,在步骤S3中,敏感交换分配模块通过将特定的敏感标签与交换连接号绑定,实现将特定的交换敏感数据分配到该连接号指定的交换接口连接上,确保敏感交换数据只能通过专用连接接口进行交换。
上述技术方案中,在步骤S4中,交换接口连接管理模块为通过交换接口身份验证的两端交换主体建立交换接口连接,并且建立连接信息表,通过连接号唯一标识并管理建立的交换接口连接,交换接口连接管理模块建立的连接信息表包括连接号、连接发起端,客户端地位的交换主体身份、连接接收端,服务端地位的交换主体身份,一个交换主体身份能够参与多个交换接口连接。
上述技术方案中,在步骤S5中,数据交换模块在建立交换接口连接的过程中,通过客户端地位的交换主体发起连接建立请求,再由服务端地位的交换主体对连接建立请求进行连接合法性校验,合法性校验的方法是在连接信息表中查找连接发起的客户端地位的交换主体身份和对应的连接号是否正确。
上述技术方案中,在步骤S5中,数据交换模块为已经建立的交换接口连接创建一条交换寻址信息,包括连接号,左端交换主体的寻址标识,右端交换主体的寻址标识,寻址标识由IP地址和端口号组成,数据交换模块在创建接口交换寻址信息过程中,需要先通过对敏感交换数据的数字化标签进行敏感交换接口的合法性校验,校验该敏感数据与该连接是否已经被正确地进行分配绑定。
通过本发明,能够在运维活动过程中,对一些重要的敏感数据的跨应用交换和接口行为进行有效监管,防止敏感数据无序的流转失控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的方法流程示意图;
图2为本发明的总体结构示意图。
具体实施方式
下面将结合本发明的附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据图1所示,作为实施例所示的一种可控可管的敏感数据交换技术实现方法包括以下步骤:S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份,交换身份1准备交换数据,交换身份1可以是客户端地位身份也可以是服务端地位身份;S2、交换身份1提交交换数据,申请交换接口;S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识,敏感交换分配模块为通过敏感标签标识的待交换敏感数据分配一个唯一的交换接口连接;S4、交换接口连接管理模块依据交换身份1和识别的敏感标签匹配查找对应的交换接口连接;S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。本发明提出的数据交换模块能够在完成数据交换过程后,对交换数据进行记录,以支持接口交换内容审计分析。
在步骤S1中,交换接口数字签名身份具有交换接口类型信息、交换身份标识信息、交换地位信息,通过交换接口类型信息能够识别交换接口的协议类型,通过交换身份标识信息能够识别交换主体的身份,通过交换地位信息能判别交换主体是服务端还是客户端。本方法提供的交换接口身份只有当交换接口的注册身份被审核通过后才能创建,交换数据敏感标签管理模块能够将多个数字化标签标记的敏感特征数据进行组合,通过组合和的数字化标签标识组合后的敏感特征数据内容。
在步骤S3中,通过扫描数据内容发现敏感特征数据,对发现的敏感特征数据分配一个唯一的数字化标签,通过唯一的数字化标签标识该交换数据的敏感特征身份。
在步骤S3中,敏感交换分配模块通过将特定的敏感标签与交换连接号绑定,实现将特定的交换敏感数据分配到该连接号指定的交换接口连接上,确保敏感交换数据只能通过专用连接接口进行交换。
在步骤S4中,交换接口连接管理模块为通过交换接口身份验证的两端交换主体建立交换接口连接,并且建立连接信息表,通过连接号唯一标识并管理建立的交换接口连接,交换接口连接管理模块建立的连接信息表包括连接号、连接发起端,客户端地位的交换主体身份、连接接收端,服务端地位的交换主体身份,一个交换主体身份能够参与多个交换接口连接。
在步骤S5中,数据交换模块在建立交换接口连接的过程中,通过客户端地位的交换主体发起连接建立请求,再由服务端地位的交换主体对连接建立请求进行连接合法性校验,合法性校验的方法是在连接信息表中查找连接发起的客户端地位的交换主体身份和对应的连接号是否正确。
本方法的数据交换模块提供了基于交换接口连接表和交换寻址表实现的数据交换传递的功能。在步骤S5中,数据交换模块为已经建立的交换接口连接创建一条交换寻址信息,包括连接号,左端交换主体的寻址标识,右端交换主体的寻址标识,寻址标识由IP地址和端口号组成,数据交换模块在创建接口交换寻址信息过程中,需要先通过对敏感交换数据的数字化标签进行敏感交换接口的合法性校验,校验该敏感数据与该连接是否已经被正确地进行分配绑定。
本方法的数据交换模块在进行接口数据交换处理过程时,安全如下流程,具体流程见图1。
本发明提出了基于敏感标签实现数据交换的方法。本方法是通过为数据交换接口建立敏感标签,并依据敏感标签建立特定敏感数据的交换表,从而基于交换表实现敏感数据的安全交换。本方法所提出的基于敏感标签实现数据交换的方法包括有交换接口身份管理、交换数据敏感标签管理、交换接口连接管理、敏感交换连接分配、数据交换模块、交换数据审计模块组织。如图2所示。
本发明提出的基于敏感标签进行安全管控的敏感数据交换传递方法,通过在敏感数据传递过程中介入有效的身份校验、过程监管和内容审计,实现敏感数据交换传递过程的可管可控,从而有效提升数据交换传递过程的信息安全保障水平。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种可控可管的敏感数据交换技术实现方法,其特征在于,包括以下步骤:
S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份,交换身份1准备交换数据,交换身份1可以是客户端地位身份也可以是服务端地位身份;
S2、交换身份1提交交换数据,申请交换接口;
S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识,敏感交换分配模块为通过敏感标签标识的待交换敏感数据分配一个唯一的交换接口连接;
S4、交换接口连接管理模块依据交换身份1和识别的敏感标签在匹配查找对应的交换接口连接;
S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;
S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。
2.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S1中,所述交换接口数字签名身份具有交换接口类型信息、交换身份标识信息、交换地位信息,通过交换接口类型信息能够识别交换接口的协议类型,通过交换身份标识信息能够识别交换主体的身份,通过交换地位信息能判别交换主体是服务端还是客户端。
3.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S3中,通过扫描数据内容发现敏感特征数据,对发现的敏感特征数据分配一个唯一的数字化标签,通过唯一的数字化标签标识该交换数据的敏感特征身份。
4.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S3中,敏感交换分配模块通过将特定的敏感标签与交换连接号绑定,实现将特定的交换敏感数据分配到该连接号指定的交换接口连接上,确保敏感交换数据只能通过专用连接接口进行交换。
5.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S4中,交换接口连接管理模块为通过交换接口身份验证的两端交换主体建立交换接口连接,并且建立连接信息表,通过连接号唯一标识并管理建立的交换接口连接,交换接口连接管理模块建立的连接信息表包括连接号、连接发起端,客户端地位的交换主体身份、连接接收端,服务端地位的交换主体身份,一个交换主体身份能够参与多个交换接口连接。
6.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S5中,数据交换模块在建立交换接口连接的过程中,通过客户端地位的交换主体发起连接建立请求,再由服务端地位的交换主体对连接建立请求进行连接合法性校验,合法性校验的方法是在连接信息表中查找连接发起的客户端地位的交换主体身份和对应的连接号是否正确。
7.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S5中,数据交换模块为已经建立的交换接口连接创建一条交换寻址信息,包括连接号,左端交换主体的寻址标识,右端交换主体的寻址标识,寻址标识由IP地址和端口号组成,数据交换模块在创建接口交换寻址信息过程中,需要先通过对敏感交换数据的数字化标签进行敏感交换接口的合法性校验,校验该敏感数据与该连接是否已经被正确地进行分配绑定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610512216.5A CN105897783B (zh) | 2016-07-01 | 2016-07-01 | 一种可控可管的敏感数据交换技术实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610512216.5A CN105897783B (zh) | 2016-07-01 | 2016-07-01 | 一种可控可管的敏感数据交换技术实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105897783A true CN105897783A (zh) | 2016-08-24 |
CN105897783B CN105897783B (zh) | 2018-11-27 |
Family
ID=56718547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610512216.5A Expired - Fee Related CN105897783B (zh) | 2016-07-01 | 2016-07-01 | 一种可控可管的敏感数据交换技术实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105897783B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107733902A (zh) * | 2017-10-23 | 2018-02-23 | 中国移动通信集团广东有限公司 | 一种目标数据扩散过程的监控方法及装置 |
CN108449324A (zh) * | 2018-02-14 | 2018-08-24 | 北京明朝万达科技股份有限公司 | 一种网间数据的安全交换方法及系统 |
CN109587134A (zh) * | 2018-12-03 | 2019-04-05 | 中国移动通信集团江苏有限公司 | 接口总线的安全认证的方法、装置、设备和介质 |
CN112836237B (zh) * | 2021-02-05 | 2023-08-15 | 广州海量数据库技术有限公司 | 一种在内容数据库中进行强制访问控制的方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080184339A1 (en) * | 2007-01-26 | 2008-07-31 | Microsoft Corporation | Remote access of digital identities |
CN102916963A (zh) * | 2012-10-26 | 2013-02-06 | 中国人民解放军信息工程大学 | 一种数据安全交换方法、装置、节点及系统 |
CN105471968A (zh) * | 2015-11-17 | 2016-04-06 | 北京皮尔布莱尼软件有限公司 | 一种数据交换方法、系统以及数据平台服务器 |
-
2016
- 2016-07-01 CN CN201610512216.5A patent/CN105897783B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080184339A1 (en) * | 2007-01-26 | 2008-07-31 | Microsoft Corporation | Remote access of digital identities |
CN102916963A (zh) * | 2012-10-26 | 2013-02-06 | 中国人民解放军信息工程大学 | 一种数据安全交换方法、装置、节点及系统 |
CN105471968A (zh) * | 2015-11-17 | 2016-04-06 | 北京皮尔布莱尼软件有限公司 | 一种数据交换方法、系统以及数据平台服务器 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107733902A (zh) * | 2017-10-23 | 2018-02-23 | 中国移动通信集团广东有限公司 | 一种目标数据扩散过程的监控方法及装置 |
CN108449324A (zh) * | 2018-02-14 | 2018-08-24 | 北京明朝万达科技股份有限公司 | 一种网间数据的安全交换方法及系统 |
CN109587134A (zh) * | 2018-12-03 | 2019-04-05 | 中国移动通信集团江苏有限公司 | 接口总线的安全认证的方法、装置、设备和介质 |
CN109587134B (zh) * | 2018-12-03 | 2021-11-23 | 中国移动通信集团江苏有限公司 | 接口总线的安全认证的方法、装置、设备和介质 |
CN112836237B (zh) * | 2021-02-05 | 2023-08-15 | 广州海量数据库技术有限公司 | 一种在内容数据库中进行强制访问控制的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105897783B (zh) | 2018-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109189962B (zh) | 一种基于区块链的证照服务实现系统 | |
CN108009825A (zh) | 一种基于区块链技术的身份管理系统及方法 | |
CN104166827B (zh) | 基于二维码的业务处理系统和基于二维码的业务处理方法 | |
CN108022100A (zh) | 一种基于区块链技术的交叉认证系统及方法 | |
CN109155731A (zh) | 密码交易的管理 | |
CN107547565A (zh) | 一种网络接入认证方法及装置 | |
CN112702402A (zh) | 基于区块链技术实现政务信息资源共享和交换的系统、方法、装置、处理器及其存储介质 | |
CN108769230A (zh) | 交易数据存储方法、装置、服务器及存储介质 | |
CN105897783A (zh) | 一种可控可管的敏感数据交换技术实现方法 | |
CN110599275A (zh) | 一种基于区块链网络的数据处理方法、装置及存储介质 | |
CN106097167A (zh) | 一种金融押运信息服务系统 | |
CN113114796B (zh) | 主动标识载体及其管理方法、服务平台 | |
CN108985930A (zh) | 信息处理方法及装置、区块链节点及存储介质 | |
CN103051643B (zh) | 云计算环境下虚拟主机安全连接动态建立方法与系统 | |
CN109743321A (zh) | 区块链、应用程序、应用程序的用户认证方法及系统 | |
CN113098861A (zh) | 主动标识载体及其认证方法、服务平台 | |
CN105227592A (zh) | 一种互联网架构及实现方法 | |
US8661517B2 (en) | Method and system for accessing network through public equipment | |
CN104392368A (zh) | 一种电子商务平台中用户体系管理方法及装置 | |
CN109658246A (zh) | 将托管登记的链下资产发布为链上数字资产的系统和方法 | |
CN101325493B (zh) | 用于认证用户的方法和系统 | |
CN109150857A (zh) | 信息认证的方法和装置 | |
CN205621081U (zh) | 一种etc车载单元二次发行数据补录系统 | |
CN109543953A (zh) | 数据分析方法、装置、终端及存储介质 | |
KR101597035B1 (ko) | 하이브리드 클라우드기반 아이씨티 서비스시스템을 이용한 소프트웨어 등록처리방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181127 Termination date: 20190701 |
|
CF01 | Termination of patent right due to non-payment of annual fee |