CN105897783B - 一种可控可管的敏感数据交换技术实现方法 - Google Patents

一种可控可管的敏感数据交换技术实现方法 Download PDF

Info

Publication number
CN105897783B
CN105897783B CN201610512216.5A CN201610512216A CN105897783B CN 105897783 B CN105897783 B CN 105897783B CN 201610512216 A CN201610512216 A CN 201610512216A CN 105897783 B CN105897783 B CN 105897783B
Authority
CN
China
Prior art keywords
exchange
data
sensitive
fabric interface
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610512216.5A
Other languages
English (en)
Other versions
CN105897783A (zh
Inventor
王富强
李昕
叶雄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing City Branch Co Of China Joint Network Communication Co Ltd
Original Assignee
Chongqing City Branch Co Of China Joint Network Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing City Branch Co Of China Joint Network Communication Co Ltd filed Critical Chongqing City Branch Co Of China Joint Network Communication Co Ltd
Priority to CN201610512216.5A priority Critical patent/CN105897783B/zh
Publication of CN105897783A publication Critical patent/CN105897783A/zh
Application granted granted Critical
Publication of CN105897783B publication Critical patent/CN105897783B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种可控可管的敏感数据交换技术实现方法,包括以下步骤:S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份;S2、交换身份1提交交换数据,申请交换接口;S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识;S4、交换接口连接管理模块依据交换身份1和识别的敏感标签匹配查找对应的交换接口连接;S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。本发明能够在运维活动过程中,对一些重要的敏感数据的跨应用交换和接口行为进行有效监管,防止敏感数据无序的流转失控。

Description

一种可控可管的敏感数据交换技术实现方法
技术领域
本发明涉及敏感数据交换,具体涉及一种可控可管的敏感数据交换技术实现方法。
背景技术
在信息化运维活动过程中经常需要将数据信息包括敏感数据信息进行跨应用系统的交换传递。传统的实现方法是通过各种接口,包括数据库接口、文件接口、API接口等实现数据传递交换。这种数据交换传递过程缺乏必要的安全管控措施,包括缺乏对各参与主体身份的安全校验,缺乏对交换传递活动的有序监管,缺乏对传递数据内容的安全审计。因而使得跨应用系统或跨主机之间的数据交换传递成为重要的敏感泄密安全隐患。
发明内容
针对现有技术的上述缺陷和问题,本发明所要解决的技术问题是现有跨应用系统或跨主机之间的数据交换传递过程缺乏必要的安全管控措施。
为了达到上述目的,本发明提供如下技术方案:
一种可控可管的敏感数据交换技术实现方法,包括以下步骤:S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份,交换身份1准备交换数据,交换身份1可以是客户端地位身份也可以是服务端地位身份;S2、交换身份1提交交换数据,申请交换接口;S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识,敏感交换分配模块为通过敏感标签标识的待交换敏感数据分配一个唯一的交换接口连接;S4、交换接口连接管理模块依据交换身份1和识别的敏感标签匹配查找对应的交换接口连接;S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。
上述技术方案中,在步骤S1中,所述交换接口数字签名身份具有交换接口类型信息、交换身份标识信息、交换地位信息,通过交换接口类型信息能够识别交换接口的协议类型,通过交换身份标识信息能够识别交换主体的身份,通过交换地位信息能判别交换主体是服务端还是客户端。
上述技术方案中,在步骤S3中,通过扫描数据内容发现敏感特征数据,对发现的敏感特征数据分配一个唯一的数字化标签,通过唯一的数字化标签标识该交换数据的敏感特征身份。
上述技术方案中,在步骤S3中,敏感交换分配模块通过将特定的敏感标签与交换连接号绑定,实现将特定的交换敏感数据分配到该连接号指定的交换接口连接上,确保敏感交换数据只能通过专用连接接口进行交换。
上述技术方案中,在步骤S4中,交换接口连接管理模块为通过交换接口身份验证的两端交换主体建立交换接口连接,并且建立连接信息表,通过连接号唯一标识并管理建立的交换接口连接,交换接口连接管理模块建立的连接信息表包括连接号、连接发起端,客户端地位的交换主体身份、连接接收端,服务端地位的交换主体身份,一个交换主体身份能够参与多个交换接口连接。
上述技术方案中,在步骤S5中,数据交换模块在建立交换接口连接的过程中,通过客户端地位的交换主体发起连接建立请求,再由服务端地位的交换主体对连接建立请求进行连接合法性校验,合法性校验的方法是在连接信息表中查找连接发起的客户端地位的交换主体身份和对应的连接号是否正确。
上述技术方案中,在步骤S5中,数据交换模块为已经建立的交换接口连接创建一条交换寻址信息,包括连接号,左端交换主体的寻址标识,右端交换主体的寻址标识,寻址标识由IP地址和端口号组成,数据交换模块在创建接口交换寻址信息过程中,需要先通过对敏感交换数据的数字化标签进行敏感交换接口的合法性校验,校验该敏感数据与该连接是否已经被正确地进行分配绑定。
通过本发明,能够在运维活动过程中,对一些重要的敏感数据的跨应用交换和接口行为进行有效监管,防止敏感数据无序的流转失控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的方法流程示意图;
图2为本发明的总体结构示意图。
具体实施方式
下面将结合本发明的附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据图1所示,作为实施例所示的一种可控可管的敏感数据交换技术实现方法包括以下步骤:S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份,交换身份1准备交换数据,交换身份1可以是客户端地位身份也可以是服务端地位身份;S2、交换身份1提交交换数据,申请交换接口;S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识,敏感交换分配模块为通过敏感标签标识的待交换敏感数据分配一个唯一的交换接口连接;S4、交换接口连接管理模块依据交换身份1和识别的敏感标签匹配查找对应的交换接口连接;S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。本发明提出的数据交换模块能够在完成数据交换过程后,对交换数据进行记录,以支持接口交换内容审计分析。
在步骤S1中,交换接口数字签名身份具有交换接口类型信息、交换身份标识信息、交换地位信息,通过交换接口类型信息能够识别交换接口的协议类型,通过交换身份标识信息能够识别交换主体的身份,通过交换地位信息能判别交换主体是服务端还是客户端。本方法提供的交换接口身份只有当交换接口的注册身份被审核通过后才能创建,交换数据敏感标签管理模块能够将多个数字化标签标记的敏感特征数据进行组合,通过组合和的数字化标签标识组合后的敏感特征数据内容。
在步骤S3中,通过扫描数据内容发现敏感特征数据,对发现的敏感特征数据分配一个唯一的数字化标签,通过唯一的数字化标签标识该交换数据的敏感特征身份。
在步骤S3中,敏感交换分配模块通过将特定的敏感标签与交换连接号绑定,实现将特定的交换敏感数据分配到该连接号指定的交换接口连接上,确保敏感交换数据只能通过专用连接接口进行交换。
在步骤S4中,交换接口连接管理模块为通过交换接口身份验证的两端交换主体建立交换接口连接,并且建立连接信息表,通过连接号唯一标识并管理建立的交换接口连接,交换接口连接管理模块建立的连接信息表包括连接号、连接发起端,客户端地位的交换主体身份、连接接收端,服务端地位的交换主体身份,一个交换主体身份能够参与多个交换接口连接。
在步骤S5中,数据交换模块在建立交换接口连接的过程中,通过客户端地位的交换主体发起连接建立请求,再由服务端地位的交换主体对连接建立请求进行连接合法性校验,合法性校验的方法是在连接信息表中查找连接发起的客户端地位的交换主体身份和对应的连接号是否正确。
本方法的数据交换模块提供了基于交换接口连接表和交换寻址表实现的数据交换传递的功能。在步骤S5中,数据交换模块为已经建立的交换接口连接创建一条交换寻址信息,包括连接号,左端交换主体的寻址标识,右端交换主体的寻址标识,寻址标识由IP地址和端口号组成,数据交换模块在创建接口交换寻址信息过程中,需要先通过对敏感交换数据的数字化标签进行敏感交换接口的合法性校验,校验该敏感数据与该连接是否已经被正确地进行分配绑定。
本方法的数据交换模块在进行接口数据交换处理过程时,安全如下流程,具体流程见图1。
本发明提出了基于敏感标签实现数据交换的方法。本方法是通过为数据交换接口建立敏感标签,并依据敏感标签建立特定敏感数据的交换表,从而基于交换表实现敏感数据的安全交换。本方法所提出的基于敏感标签实现数据交换的方法包括有交换接口身份管理、交换数据敏感标签管理、交换接口连接管理、敏感交换连接分配、数据交换模块、交换数据审计模块组织。如图2所示。
本发明提出的基于敏感标签进行安全管控的敏感数据交换传递方法,通过在敏感数据传递过程中介入有效的身份校验、过程监管和内容审计,实现敏感数据交换传递过程的可管可控,从而有效提升数据交换传递过程的信息安全保障水平。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (6)

1.一种可控可管的敏感数据交换技术实现方法,其特征在于,包括以下步骤:
S1、交换接口身份管理模块为每个交换主体创建交换接口数字签名身份,并通过数字签名来唯一识别交换身份,交换身份1准备交换数据,交换身份1可以是客户端地位身份也可以是服务端地位身份;
S2、交换身份1提交交换数据,申请交换接口;
S3、交换数据敏感标签管理模块对交换数据进行敏感扫描,识别已定义的敏感数据,并对敏感数据进行敏感标签标识,敏感交换分配模块为通过敏感标签标识的待交换敏感数据分配一个唯一的交换接口连接;
S4、交换接口连接管理模块依据交换身份1和识别的敏感标签在匹配查找对应的交换接口连接,交换接口连接管理模块为通过交换接口身份验证的两端交换主体建立交换接口连接,并且建立连接信息表,通过连接号唯一标识并管理建立的交换接口连接,交换接口连接管理模块建立的连接信息表包括连接号、连接发起端,客户端地位的交换主体身份、连接接收端,服务端地位的交换主体身份,一个交换主体身份能够参与多个交换接口连接;
S5、数据交换模块依据该交换接口连接对应的交换寻址表,获得下一跳投递地址,将交换数据投递给接收端交换身份2;
S6、数据交换模块在交换成功后将数据交换行为形成概要日志记录。
2.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S1中,所述交换接口数字签名身份具有交换接口类型信息、交换身份标识信息、交换地位信息,通过交换接口类型信息能够识别交换接口的协议类型,通过交换身份标识信息能够识别交换主体的身份,通过交换地位信息能判别交换主体是服务端还是客户端。
3.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S3中,通过扫描数据内容发现敏感特征数据,对发现的敏感特征数据分配一个唯一的数字化标签,通过唯一的数字化标签标识该交换数据的敏感特征身份。
4.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S3中,敏感交换分配模块通过将特定的敏感标签与交换连接号绑定,实现将特定的交换敏感数据分配到该连接号指定的交换接口连接上,确保敏感交换数据只能通过专用连接接口进行交换。
5.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S5中,数据交换模块在建立交换接口连接的过程中,通过客户端地位的交换主体发起连接建立请求,再由服务端地位的交换主体对连接建立请求进行连接合法性校验,合法性校验的方法是在连接信息表中查找连接发起的客户端地位的交换主体身份和对应的连接号是否正确。
6.根据权利要求1所述的一种可控可管的敏感数据交换技术实现方法,其特征在于,在步骤S5中,数据交换模块为已经建立的交换接口连接创建一条交换寻址信息,包括连接号,左端交换主体的寻址标识,右端交换主体的寻址标识,寻址标识由IP地址和端口号组成,数据交换模块在创建接口交换寻址信息过程中,需要先通过对敏感交换数据的数字化标签进行敏感交换接口的合法性校验,校验该敏感数据与该连接是否已经被正确地进行分配绑定。
CN201610512216.5A 2016-07-01 2016-07-01 一种可控可管的敏感数据交换技术实现方法 Expired - Fee Related CN105897783B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610512216.5A CN105897783B (zh) 2016-07-01 2016-07-01 一种可控可管的敏感数据交换技术实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610512216.5A CN105897783B (zh) 2016-07-01 2016-07-01 一种可控可管的敏感数据交换技术实现方法

Publications (2)

Publication Number Publication Date
CN105897783A CN105897783A (zh) 2016-08-24
CN105897783B true CN105897783B (zh) 2018-11-27

Family

ID=56718547

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610512216.5A Expired - Fee Related CN105897783B (zh) 2016-07-01 2016-07-01 一种可控可管的敏感数据交换技术实现方法

Country Status (1)

Country Link
CN (1) CN105897783B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733902A (zh) * 2017-10-23 2018-02-23 中国移动通信集团广东有限公司 一种目标数据扩散过程的监控方法及装置
CN108449324B (zh) * 2018-02-14 2021-05-14 北京明朝万达科技股份有限公司 一种网间数据的安全交换方法及系统
CN109587134B (zh) * 2018-12-03 2021-11-23 中国移动通信集团江苏有限公司 接口总线的安全认证的方法、装置、设备和介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102916963A (zh) * 2012-10-26 2013-02-06 中国人民解放军信息工程大学 一种数据安全交换方法、装置、节点及系统
CN105471968A (zh) * 2015-11-17 2016-04-06 北京皮尔布莱尼软件有限公司 一种数据交换方法、系统以及数据平台服务器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8689296B2 (en) * 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102916963A (zh) * 2012-10-26 2013-02-06 中国人民解放军信息工程大学 一种数据安全交换方法、装置、节点及系统
CN105471968A (zh) * 2015-11-17 2016-04-06 北京皮尔布莱尼软件有限公司 一种数据交换方法、系统以及数据平台服务器

Also Published As

Publication number Publication date
CN105897783A (zh) 2016-08-24

Similar Documents

Publication Publication Date Title
CN105897783B (zh) 一种可控可管的敏感数据交换技术实现方法
CN107205258A (zh) 无线网络配置方法、装置和系统
CN103955747B (zh) 一种基于传感技术的图书馆座位分配系统的分配方法
CN108009825A (zh) 一种基于区块链技术的身份管理系统及方法
CN108846752A (zh) 数据处理方法、系统、区块链平台以及可读存储介质
CN108520577A (zh) 基于人脸识别的访客预约管理方法
CN106372868A (zh) 一种对写入区块链的交易数据的验证方法和装置
CN106778343A (zh) 一种基于区块链的涉及隐私数据的数据共享方法
CN107079034A (zh) 一种身份认证的方法、终端设备、认证服务器及电子设备
CN109299943A (zh) 一种基于区块链的知识产权交易的方法及装置
CN108696502A (zh) 区块链节点权限控制方法、区块链系统及存储介质
CN108769230A (zh) 交易数据存储方法、装置、服务器及存储介质
CN104166827B (zh) 基于二维码的业务处理系统和基于二维码的业务处理方法
US20080082434A1 (en) System and Method for Making Payment
CN106559483B (zh) 彩票投注系统及基于该彩票投注系统的信息处理方法
CN107547565A (zh) 一种网络接入认证方法及装置
CN108022100A (zh) 一种基于区块链技术的交叉认证系统及方法
CN107180353A (zh) 一种可撤销智能合约交易的实现方法及装置
CN108960832A (zh) 区块链实名通信的隐私保护方法和系统
CN110557276B (zh) 基于Fabric架构的区块链机房管理系统
US20210174373A1 (en) Ticket validity confirmation device, method, and program
CN110417790A (zh) 区块链实名制排队系统及方法
CN109636395A (zh) 一种多区块链跨链交易处理系统及方法
CN113744104B (zh) 一种基于区块链的城市事件治理平台的系统
CN104392368A (zh) 一种电子商务平台中用户体系管理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20181127

Termination date: 20190701

CF01 Termination of patent right due to non-payment of annual fee