CN106101113A - 一种云计算数据安全标记管理方法及系统 - Google Patents
一种云计算数据安全标记管理方法及系统 Download PDFInfo
- Publication number
- CN106101113A CN106101113A CN201610474894.7A CN201610474894A CN106101113A CN 106101113 A CN106101113 A CN 106101113A CN 201610474894 A CN201610474894 A CN 201610474894A CN 106101113 A CN106101113 A CN 106101113A
- Authority
- CN
- China
- Prior art keywords
- data
- labelling
- safety label
- client computer
- new cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
- H04L67/5682—Policies or rules for updating, deleting or replacing the stored data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种云计算数据安全标记管理方法及系统,涉及云计算及数据安全领域,该方法设置所述云数据安全标记的格式,生成新云数据安全标记,将所述新云数据安全标记分别存入客户机数据库与服务器数据库;在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存,并在所述客户机运行过程中将所述标记数据进行实时更新,同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。本发明定义了云数据安全标记的格式组成,分析了云计算数据安全标记的应用和管理中涉及的标记数据类型,并提供了一种分布式存储方案;设计三种响应方式来高效处理标记数据的创建、检索、修改和删除操作,减少对客户机执行效率的影响。
Description
技术领域
本发明涉及云计算及数据安全领域,特别涉及一种云计算数据安全标记管理方法及系统。
背景技术
云计算代表IT领域向规模化、专业化与集约化道路发展的重要趋势,是IT领域正在发生的深刻变革,云计算的动态虚拟化管理、按需服务以及多租户共享的运营模式等特点,使得云计算的安全受到了越来越广泛的关注,也已成为制约云计算技术及产业发展的重要因素,云计算安全面临诸多的挑战,其中,数据安全由于其在实际应用中的基础性地位,已经成为最亟待突破和解决的首要问题。
云计算数据安全问题的根源在于数据所有权和控制权的分离,云计算的服务模式是用户将数据交给云服务商存储或委托其运行某种应用,用户失去了对其数据的控制权,在此服务模式下,恶意的云服务可以直接窃取用户的隐私数据而不被用户发现;云平台中不可信组件以及黑客、木马等恶意软件可以非法读取、泄露或篡改用户的敏感数据;云平台中虚拟机逃逸等恶意行为将导致用户数据在虚拟机之间被非授权使用,由于缺乏有力的安全管控技术支撑,用户无法确保其数据在云平台中被正确使用。
《计算机信息系统安全保护等级划分准则(GB17859-1999)》中规定了计算机操作系统的5个保护等级,其中安全标记保护等级是第三等级,具有较高的保护等级,同时也是更高保护等级的基础,安全标记保护等级需要提供安全模型、安全标记信息、强制访问控制等,安全标记机制是安全标记保护等级的基础,同样也可用于保护云平台数据安全。
安全标记机制为云平台安全管控提供了技术支撑,已有的数据加密方法无法保护正在运算中的数据,基于标记的访问控制机制,例如信息流控制技术,在云服务和软件读写用户数据时执行强制访问控制,防止恶意云服务和恶意软件等非法读取、泄露或篡改用户的敏感数据,也可以减少虚拟机逃逸等恶意行为的发生,保证只有用户允许的云服务和软件正常使用数据。
在研究和实践过程中,本发明的发明人发现:云计算模式与以往计算模式的不同,云计算具有整合分布式资源、资源共享等特点,以往的数据安全标记管理方法不能直接使用,因此,提出针对云计算平台下的数据安全标记管理方法是急需解决的问题。
发明专利“一种基于标记及策略的云安全管理方法”,涉及云计算安全领域。该发明将STE的标签与中国墙的标签进行整合,使用同一安全标记同时支持两种安全机制,通过1)标签设计及安全策略和2)安全管理模块,设计安全管理模块进行安全数据维护、安全策略配置等管理及辅助工作,使得两种安全机制可以有效地协同运行在云计算环境中,来保证云计算虚拟化平台中客户虚拟机的安全。但该发明专利将STE的标签与中国墙的标签进行整合,使用同一安全标记同时支持两种安全机制,与本发明的标记设计不同,本发明提供一种更加一般化的标记设计,并采用分布式存储来高效处理标记操作。
发明内容
针对现有技术的不足,本发明提出一种云计算数据安全标记管理方法及系统。
本发明提出一种云计算数据安全标记管理方法,包括:
步骤1,设置所述云数据安全标记的格式,生成新云数据安全标记,将所述新云数据安全标记分别存入客户机数据库与服务器数据库;
步骤2,在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存,并在所述客户机运行过程中将所述标记数据进行实时更新,同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。
所述新云数据安全标记的格式为
Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets),
其中LabelIdentifier为标记标识符:用于标识所述新云数据安全标记,其值唯一不重复;
PolicyIdentifier为标记策略标识符:用于标识与所述新云数据安全标记相关的安全策略;
Classification为标记等级:用于描述数据的敏感程度,标记等级的取值为整数;
Categories为标记类型:用于进一步细化数据的敏感程度,标记类型指定了所述新云数据安全标记对应的安全策略;
PrivacyMark为标记标识:用于对所述新云数据安全标记进行补充说明,标记标识取值为字符串;
TagSets为标签集:描述同一种安全属性相关信息的多个安全标签组成一个TagSet。
所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份;
所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的所述新云数据安全标记相关联的数据的备份、每个所述客户机缓存数据的备份、每个所述客户机环境数据的备份以及云计算平台的环境数据。
还包括服务器创建所述新云数据安全标记,并保证LabelIdentifier的唯一性,同时完成所述新云数据安全标记的初始化操作。
还包括在所述客户机的数据块中创建缓存标记表,所述缓存标记表保存一定数量的预申请的标记数据,当所述缓存标记表中的标记数据少于一定数量时,向标记服务器申请一定数量的所述新云数据安全标记,以保证缓存标记表中的标记数据满足所述客户机的标记创建要求,其中每个所述客户机的所述缓存标记表存储在ClientDB中,动态运行时加载到内存中,并实时更新所述客户机的数据库。在接收到创建所述新云数据安全标记的请求后,从所述缓存标记表中取出从服务器预先申请的所述新云数据安全标记,然后创建所述新云数据安全标记并作为结果返回,同时将所述新云数据安全标记标记的创建信息同步到ClientDB与ServerDB。
本发明还提出一种云计算数据安全标记管理系统,包括:
设置格式模块,用于设置所述云数据安全标记的格式,生成新云数据安全标记,将所述新云数据安全标记分别存入客户机数据库与服务器数据库;
存储模块,用于在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存,并在所述客户机运行过程中将所述标记数据进行实时更新,同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。
所述新云数据安全标记的格式为
Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets),
其中LabelIdentifier为标记标识符:用于标识所述新云数据安全标记,其值唯一不重复;
PolicyIdentifier为标记策略标识符:用于标识与所述新云数据安全标记相关的安全策略;
Classification为标记等级:用于描述数据的敏感程度,标记等级的取值为整数;
Categories为标记类型:用于进一步细化数据的敏感程度,标记类型指定了所述新云数据安全标记对应的安全策略;
PrivacyMark为标记标识:用于对所述新云数据安全标记进行补充说明,标记标识取值为字符串;
TagSets为标签集:描述同一种安全属性相关信息的多个安全标签组成一个TagSet。
所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份;
所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的所述新云数据安全标记相关联的数据的备份、每个所述客户机缓存数据的备份、每个所述客户机环境数据的备份以及云计算平台的环境数据。
还包括服务器创建所述新云数据安全标记,并保证LabelIdentifier的唯一性,同时完成所述新云数据安全标记的初始化操作。
还包括在所述客户机的数据块中创建缓存标记表,所述缓存标记表保存一定数量的预申请的标记数据,当所述缓存标记表中的标记数据少于一定数量时,向标记服务器申请一定数量的所述新云数据安全标记,以保证缓存标记表中的标记数据满足所述客户机的标记创建要求,其中每个所述客户机的所述缓存标记表存储在ClientDB中,动态运行时加载到内存中,并实时更新所述客户机的数据库。在接收到创建所述新云数据安全标记的请求后,从所述缓存标记表中取出从服务器预先申请的所述新云数据安全标记,然后创建所述新云数据安全标记并作为结果返回,同时将所述新云数据安全标记标记的创建信息同步到ClientDB与ServerDB。
由以上方案可知,本发明的优点在于:
本发明所提出的技术方案,具有以下优势:第一,定义了云数据安全标记的格式组成,分析了云计算数据安全标记的应用和管理中涉及的标记数据类型,并提供了一种分布式存储方案;第二,结合标记数据的分布式存储方案,设计三种响应方式来高效处理标记数据的创建、检索、修改和删除操作,尽量减少对客户机执行效率的影响;第三,提供了一种云计算数据安全标记管理系统,适应云计算的分布式特点,容易实施,方便扩展。
附图说明
图1为云计算数据安全标记管理系统;
图2为标记客户端模块;
图3为标记服务器模块。
具体实施方式
针对现有技术不足,本发明提出一种云计算数据安全标记管理方法及系统。
以下为本发明的整体步骤,如下所示:
本发明方法通过以分布式存储为主的方法来高效处理云计算平台下的标记操作,包括标记数据的创建、检索、修改和删除。包括如下步骤:
步骤1:客户机的标记代理接收标记操作请求后,验证该标记操作的合法性,判断响应或拒绝请求;
步骤2:如果判断响应请求,则根据操作的标记数据和操作类型决定响应方式;
步骤21:使用代理响应方式处理操作请求,包括异步响应和同步响应;
步骤22:使用服务器响应方式处理操作请求,包括异步响应和同步响应;
步骤23:使用服务器广播响应方式处理操作请求,包括异步响应和同步响应;
步骤3:返回处理结果或拒绝信息。
其中步骤1中在接收操作请求后的验证操作包括身份验证和权限验证。
标记的属性包括:标记标识符、标记策略标识符、标记等级、标记类型、标记标识、标签集。
标记的格式如下:
Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets)
标记的各个组成部分含义描述如下:
标记标识符(LabelIdentifier):用于标识标记,其值唯一不重复,可用于标记的检索等操作。
标记策略标识符(PolicyIdentifier):用于标识与安全标记相关的安全策略。安全策略规定了与该安全标记相关的操作以及安全标记其它组成部分的语义等。
标记等级(Classification):用于描述数据的敏感程度,标记等级的取值为整数。一个与客体相关联的标记等级表明了所采用的安全策略对该客体的保护等级,而一个与主体相关联的标记等级表明了主体的特权等级。
标记类型(Categories):用于进一步细化数据的敏感程度,标记类型指定了标记对应的安全策略,包括安全类型域的语法和内容,以及如何利用安全等级进行访问控制。
标记标识(PrivacyMark):用于对安全标记进行补充说明,标记标识取值为字符串,一般对如何处理安全标记的信息为使用者提供简洁和明确的指导。
标签集(TagSets):一个安全标签(Tag)记录了一个特定的安全属性的相关信息。描述同一种安全属性相关信息的多个安全标签组成一个标签集(TagSet),该标签集描述了数据的一种安全属性。一个标记可能包含一个或多个标签集。
标签集的格式为:TagSet(tagSetName,tag)
标签的格式为:Tag(tagType,tagName,tagValue)
标签集名称(TagSetName):描述了标记数据的哪种安全属性,例如,标记中可能包含2个标签集,分别描述数据的机密性安全属性和完整性安全属性。
步骤2中的标记数据包括以下几个类型:标记、标记关联数据、缓存数据、客户机环境数据和云平台环境数据,如表1所示。
表1
标记:即数据的标记,每个文件或进程只能有一个标记。标记标识符的格式可设计为客户机ID+整数序列,由服务器统一创建;标签值的格式可设计为客户机ID+整数序列,由服务器统一创建。
标记关联数据:指与单个标记相关联的数据,如:标记创建者、标记拥有者等,文件的标识符格式可设计为客户机ID+文件路径,进程的标识符格式可设计为可执行文件标识符+整数序列,可分别由文件标识符表和进程标识表来存储。
缓存数据:指在为了提高效率而缓存的数据,如:缓存标记表等。
客户机环境数据:指与单个客户机相关联的数据。
云平台环境数据:指云平台所有客户机共有的数据。
步骤2中的标记数据的分布式存储方案如下:
客户机数据库(ClientDB):客户机中用于保存本客户机标记数据的数据库,标记数据在客户机启动时加载到内存中,并在客户机运行的过程中不断更新。该数据库中包含的数据有:本客户机的标记、本客户机的标记关联数据,本客户机的缓存数据,本客户机环境数据和云平台环境数据的备份。
服务器数据库(ServerDB):标记服务器中用于保存云平台标记数据的数据库,包含的数据有:每个客户机的标记的备份,每个客户机的标记关联数据的备份,每个客户机缓存数据的备份,每个客户机环境数据的备份以及云平台环境数据。
步骤2中的标记操作包括:创建、检索、修改和删除,如表2所示。
表2
创建操作包括:创建标记和创建标签。
检索操作包括:检索标记(以标记标识符检索标记、检索特定主体或客体的标记)、检索标签(检索特定主体或客体创建的标签、检索特定主体或客体拥有的标签)、检索标记关联数据、检索客户机环境数据和检索云平台环境数据。
修改操作包括:修改标记、修改标签、修改标记关联数据、修改客户机环境数据和修改云平台环境数据。
删除操作包括:删除标记、删除标签、修改标记关联数据、删除客户机环境数据和删除云平台环境数据。
创建操作的方法如下:
标记的创建方法如下:标记的创建操作由标记服务器负责,负责保证标记标识符的唯一性,同时完成标记的初始化操作。客户机数据库中缓存标记表保存一定数量的预申请的标记,当缓存标记表中的标记数据少于一定数量时,向标记服务器申请一定数量的缓存数据,以保证缓存标记表中的标记数据满足该客户机的标记创建要求。每个客户机的缓存标记表存储在ClientDB中,动态运行时加载到内存中,并不断地更新数据库。在接收到创建标记的请求后,从缓存标记表中取出从服务器预先申请的标记,然后创建标记并作为结果返回。同时将该标记的创建信息同步到ClientDB和ServerDB。
创建标签等其它创建或添加操作的方法同上述的创建标记的方法。
检索操作的方法如下
在客户机的标记代理接收到检索的请求并验证检索请求的合法性之后,如果检索信息在内存中已加载,则直接从内存中检索,否则在该客户机的ClientDB中检索,执行代理响应,或在ServerDB中检索,执行服务器响应。为尽量降低对客户机执行效率的影响,所有检索操作的检索位置的优先顺序是:内存>ClientDB>ServerDB。
修改操作的方法如下:
在客户机的标记代理接收到修改请求并验证修改请求的合法性之后,修改并同步ClientDB和ServerDB。对于标记、标记关联数据、缓存数据、客户机环境数据,执行服务器响应,修改并同步该客户机的ClientDB和ServerDB。如果需要修改云平台环境数据,则执行服务器广播响应,修改并同步所有客户机的ClientDB和ServerDB,保证数据的一致。
删除操作的方法如下:
在客户机的标记代理接收到删除请求并验证删除请求的合法性之后,删除并同步ClientDB和ServerDB。对于标记、标记关联数据、缓存数据、客户机环境数据,执行服务器响应,删除并同步该客户机的ClientDB和ServerDB。如果需要删除云平台环境数据,则执行服务器广播响应,删除并同步所有客户机的ClientDB和ServerDB,保证数据的一致。
步骤2的响应类型包括代理响应、服务器响应、服务器广播响应。响应类型优先级顺序为:代理响应>服务器响应>服务器广播响应。
代理响应:由客户机的标记代理完成操作并响应请求。执行代理响应的操作有:标记数据的检索。该响应只涉及对本客户机。
服务器响应:由客户机的转发请求到标记服务器,完成操作并响应请求。执行服务器响应的操作有:创建、修改和删除本客户机标记、标记关联数据、缓存数据、客户机环境数据。该响应涉及本客户机和标记服务器。
服务器广播响应:由客户机的转发请求到标记服务器,然后广播给所有客户机完成操作并响应请求。服务器广播响应的操作有:创建、修改和删除云平台环境数据。该响应涉及本客户机和标记服务器,以及云平台下的其它所有客户机。
同时每种响应方式又有同步响应和异步响应2种方式。同步响应,是阻塞响应,需要等待响应结果;异步响应不需要等待响应结果。应尽量采用异步响应方式,以尽量减少对客户机执行效率的影响。
标记及标记关联数据的管理方法如下:
客户机的标记存储在本客户机的ClientDB中,动态运行时加载到内存中,同时在标记服务器的ServerDB中有备份。所有对标记的检索可直接检索内存,亦可直接通过代理响应在ClientDB中检索,或通过服务器响应在ServerDB中检索。所有对标记的添加、修改、删除,需要通过服务器响应,同时更新ClientDB和ServerDB。
标记关联数据存储在ClientDB中,动态运行时加载到内存,并不断更新,同时在标记服务器的ServerDB中备份。所有对标记关联数据的检索可直接检索内存,亦可直接通过代理响应在ClientDB中检索,或通过服务器响应在ServerDB中检索。所有对标记关联数据的添加、修改、删除,需要通过服务器响应,同时更新本客户机的ClientDB和ServerDB。
缓存数据的管理方法如下:
客户机的缓存数据存储在本客户机的ClientDB中,动态运行时加载到内存中,并不断地更新数据库。每个客户机的缓存数据在ServerDB有备份,记录每个客户机预申请的数据信息。当缓存数据少于一定数量时,一个客户机会预申请数据后,标记服务器响应并分配预申请的数据,并更新ServerDB;当一个客户机使用一个预申请数据后,会更新ClientDB并向标签服务器发送消息更新ServerDB。
客户机环境数据的管理方法如下:
客户机环境数据静态存储在本客户机的ClientDB中,动态运行时加载到内存中,并不断地更新数据。客户机环境数据在标记服务器ServerDB中备份。所有对客户机环境数据的检索可直接检索内存,亦可直接通过代理响应在ClientDB中检索,或通过服务器响应在ServerDB中检索。所有对客户机环境数据的添加、修改、删除,需要通过服务器响应,同时更新本客户机的ClientDB和ServerDB。
云平台环境数据的管理方法如下:
云平台环境数据在标记服务器的数据库ServerDB中存储,并在每个客户机的ClientDB中备份,动态运行时加载到内存中,并不断更新数据库。所有对云平台环境数据的检索可直接检索内存,亦可通过代理响应在ClientDB中检索,或通过服务器响应在ServerDB中检索。所有对云平台环境数据的添加、修改、删除,需要通过服务器广播响应,同时更新每个客户机的ClientDB和ServerDB。
本发明系统,如图1所示,包括模块如下:
标记客户端(LabelClient)模块:每一个客户机上有一个标记客户端,负责响应客户机的标记操作请求。
标记服务器(LabelServer)模块:每个云计算平台有一个标记服务器,负责云计算平台的标记管理工作。
数据存储(DataStorage)模块:数据存储模块包括两部分。每个客户机有一个ClientDB,负责存储本机标记数据和云平台环境数据的备份;每个云平台有一个ServerDB,负责存储云平台环境数据和每个客户机标记数据的备份。
标记客户端模块负责三部分工作:
负责响应客户机的标记操作请求:负责对标记、标记关联数据、客户机环境数据和云平台环境数据进行检索。这部分操作需要和ClientDB交互。标记代理在接收到操作请求并验证其合法性之后,按照内存>ClientDB>ServerDB的优先级顺序,检索数据并返回结果。使用代理响应方式响应这部分请求。
转发客户机请求到标记服务器:负责对标记、标记关联数据、缓存数据、客户机环境数据和云平台环境数据的添加、修改和删除操作。这部分操作需要和ClientDB、ServerDB进行交互。标记代理在接收到操作请求并验证其合法性之后的过程如下(以修改操作为例说明):1)对于标记、标记关联数据、缓存数据、客户机环境数据,标记代理修改ClientDB数据并转发消息到标记服务器,标记服务器和ServerDB通信并修改数据。2)对于云平台环境数据,标记代理修改ClientDB数据并转发消息到标记服务器,标记服务器和ServerDB通信并修改数据,然后广播客户机更新所有客户机ClientDB中的数据。
响应标记服务器请求并完成数据同步:负责对云平台环境数据的添加、修改和删除操作的同步。这部分操作需要和ClientDB、ServerDB进行交互。
标记服务器模块负责两部分工作:
响应标记代理请求:负责响应标记、标记关联数据、缓存数据、客户机环境数据和云平台环境数据的添加、修改和删除操作。在标记服务器接收到标记代理的操作请求后,标记服务器和ServerDB通信并完成响应。
向客户机广播消息并同步数据:负责广播客户机对云平台环境数据进行添加、修改和删除。在标记服务器接收到标记代理的操作请求后,标记服务器和ServerDB通信,然后广播客户机更新所有客户机ClientDB中的数据。
标记客户端模块有三个子模块:标记代理(LabelAgent)、客户机RPC(ClientRPC)和客户机数据管理(ClientDataManager),如图2所示。
LabelAgent模块负责接收和响应客户机操作请求,以及响应标记服务器的广播消息。ClientRPC模块使用远程过程调用的方式和标记服务器通信,ClientRPC使用单播方式和ServerRPC一对一通信,分为异步RPC和同步RPC。ClientDataManager模块负责对内存数据、ClientDB数据库数据的读写工作。
LabelAgent模块在接收到客户机操作请求后,验证操作请求的合法性,然后根据操作类型与ClintDB通信或通过ClientRPC转发请求给标记服务器响应。LabelAgent模块在接收到标记服务器操作请求后,验证操作请求的合法性,然后与ClientDB通信响应标记服务器请求。
标记服务器模块有三个子模块:标记中心(LabelCenter)、服务器RPC(ServerRPC)和服务器数据管理(ServerDataManager),如图3所示。
LabelCenter模块负责接收和响应标记代理的请求,以及对客户机的广播工作。ServerRPC模块使用远程过程调用的方式和标记客户端通信,使用单播方式和广播方式和ClientRPC通信,分为异步RPC和同步RPC。ServerDataManager模块负责内存数据、ServerDB数据库数据的读写工作。
LabelCenter模块在接收到客户机操作请求,验证操作请求的合法性,然后和ServerDB通信处理请求;如果是处理云平台标记数据则需要通过ServerRPC广播客户机同步数据。
本发明通过如下技术方案实现。实例为在云计算平台下使用分布式信息流控制(DIFC)来保护云数据的安全。
本发明提出了一种云计算数据安全标记管理方法。
根据安全标记的具体应用场景确定具体的标记属性,将标记的格式设计如下:
DIFCLabel(labelIdentifier,policyIdentifier,tagSets)
TagSet(tagSetName,tags)
Tag(tagName,tagValue)
上述格式中,tagName包含2个类别,Integrity和Security,分别保护数据的完整性和机密性。tagSetName包含4个类别,IntegrityTag、SecurityTag、AddCap和RemoveCap,分别表示完整性标签、机密性标签、可添加能力、可删除能力。labelIdentifier的表示方法为:客户机ID+整数序列,该数值需保证唯一不可变。在DIFC中,文件(客体)的标记只包含完整性标签集和机密性标签集,且每个标签集中只有一个标签,分别为完整性标签和机密性标签;而进程(主体)的标记包含全部4个类别的标签集,且每个标签集中可包含多个标签。在进程创建一个文件时,可给其指定一个完整性标签和一个机密性标签,用于保护其完整性和机密性。而主体要读取多个不同的客体,所以需要有多个不同的标签。
可确定具体的标记数据为:标记,标记关联数据(标记拥有者、标签创建者、标签拥有者等),缓存数据(缓存标记表和缓存标签表等),客户机环境数据(客户机全局能力表等),云平台环境数据(云主机全局能力表和销毁标签列表等)。上述标记数据中,标签创建者和标签拥有者的标识方法为:客户机ID+文件路径,并建立一个文件标识符表和一个进程标识符表进行存储,当文件位置改变时需要修改该表。
确定标记数据后,标记数据的存储方案可设计为如表1所示,使用数据库存储,如关系型数据库MySQL等,在客户机上创建ClientDB,在标记服务器上创建ServerDB来保存标记数据。
客户机接收标记操作请求的响应过程如下。
步骤1:标记代理可提供给客户机进程一个标记操作API库,客户机进程在需要进行标记相关操作时,调用对应的函数向标记代理发出请求。标记代理在接收到进程的操作请求后可根据具体的安全策略判断该请求是否合法。如果是合法请求,标记代理执行操作并返回结果;如果是非法请求,标记代理拒绝响应。
步骤2:在标记操作API库中,可根据标记数据类型和操作类型确定每个函数的响应和实现方式。下面就不同类型标记数据的不同操作的响应方式和处理方法进行说明:
标记创建:使用服务器响应方式,在接收到创建标记的请求后,从缓存标记表中取出从标记服务器预先申请的标记,然后作为结果返回。同时发出异步消息,将该标记的创建信息同步到ClientDB和ServerDB,即删除缓存标记表中的该项,并添加新创建的标记信息(如标记拥有者等信息)。
缓存标记表中保存的预申请标记从标记服务器申请而来,标记服务器主要确定预申请标记的标记标识符项,以保证每个标记标识符唯一。
采用服务器响应方式需要标记客户端和标记服务器通信,此处采用远程过程调用技术来实现通信;同样,标记服务器和标记客户端的通信也采用远程过程调用技术来实现,且标记服务器需要实现对标记客户端的广播。
标记检索:使用代理响应方式,在接收到标记检索请求后,直接从内存中或ClientDB中读取标记信息。
标记修改操作:使用服务器响应方式,在接收到标记修改请求后,首先修改内存中的标记,然后更新ClientDB并发出异步消息更新ServerDB中的标记数据。
标记删除操作:同标记修改操作。
标签的创建、检索的过程同标记的对应操作过程。
标签的修改操作:不支持修改操作。
标签的删除操作:使用服务器广播响应方法,标签可能存在于多个客户机文件标记中,所以需要标记服务器对整个云平台进行广播。在接收到操作请求后,将删除标签加入标签删除列表,表示该标签已经被销毁,然后在使用每个标签前需要检查是否标签是已经被销毁的标签。同时,更新ClientDB并向服务器发出异步消息,服务器收到消息后,广播云平台所有客户机更新销毁标签列表和ClientDB。
标记关联数据的创建:使用服务器响应方式,创建标记关联数据后同时更新ClientDB和ServerDB。
标记关联数据的检索:使用代理响应方式,接收到检索请求后,从内存中读出标记关联数据。在系统启动后,立即将标记关联数据加载到内存,以提高效率。
标记关联数据的修改:使用服务器响应方式,接收到修改请求后,首先修改内存中的数据,然后修改ClientDB中的数据,最后向标记服务器发出异步消息,同步数据。
标记关联数据的删除:同修改过程。当删除标记时,伴随着标记关联数据的删除。
缓存数据以缓存标记表中的预申请标记为例。
预申请标记的创建:使用服务器响应方式,不提供API,当预申请标记小于一定数量时,标记代理自动向标记服务器发出缓存请求,标记服务器接收到请求后,根据标记创建规则,创建一定量的预申请标记返回给客户机,并更新ServerDB中的数据。
预申请标记的检索:使用代理响应方式,不提供API,由标记代理直接从内存中读出。
预申请标记不可修改。
预申请标记的删除:使用服务器响应方式,不提供API,当客户机使用缓存标记表中的一个预申请标记时,该标记就会被删除,同时向标记服务器发出删除请求。
客户机环境数据以客户机全局能力表为例。
客户机全局能力的添加:使用服务器响应方式,进程可选择将自己创建的标签添加到客户机全局能力表中,标记代理在接收到请求后,会验证请求合法性,然后更新内存数据和ClientDB中的数据,同时向标记服务器发出更新请求。
客户机全局能力的检索:使用代理响应方式,进程只能判断客户机全局能力表中是否有某个能力,而不能遍历能力表。标记代理在接收到请求后,直接利用内存中的客户机全局能力表来判断某个能力是否存在于其中。
客户机全局能力不可修改。
客户机全局能力的删除:使用服务去响应方式,进程可以选择删除之前添加到全局能力表中的能力。标记代理在接收到请求后,删除内存和ClientDB中的客户机全局能力表中的该能力,同时向标记服务器发出更新请求。
云平台环境数据以云平台全局能力表为例。
云平台全局能力的添加:使用服务器广播响应方式,进程可选择将自己创建的标签添加到云平台全局能力表中,标记代理在接收到请求后,会验证请求合法性,然后更新内存数据和ClientDB中的数据,同时向标记服务器发出更新请求,标记服务器在接收到请求后会更新ServerDB,并广播更新消息到所有的客户机。
云平台全局能力的检索:同客户机全局能力的检索。
云平台全局能力不可修改。
云平台全局能力的删除:使用服务器广播响应方式,进程可选择将添加到云平台全局能力表中的能力删除,标记代理在接收到请求后,会验证请求合法性,然后更新内存数据和ClientDB中的数据,同时向标记服务器发出更新请求,标记服务器在接收到请求后会更新ServerDB,并广播更新消息到所有的客户机。
步骤3:返回相应结果或拒绝信息。
本发明提出了一种云计算数据安全标记管理系统。该系统共三个模块:标记客户端模块、标记服务器模块和数据存储模块,如图1所示。
每一个客户机上有一个标记客户端,负责响应客户机的标记操作请求。该模块负责三部分工作:负责响应客户机的标记操作请求、转发客户机请求到标记服务器、响应标记服务器请求并完成数据同步。标记客户端提供的部分API如表6所示。标记客户端模块有三个子模块:标记代理、客户端RPC和客户机数据管理。三个模块的关系如图2所示。客户机进程使用LabelAgent提供的API来向LabelAgent发送请求和接收响应;标记服务器通过ServerRPC模块和ClientRPC模块,利用LabelAgent提供的API来向客户机发送广播;LabelAgent利用ClientDataManger提供的API来对客户机上的内存数据和ClientDB中数据进行读写操作。可设计LabelAgentAPI、LabelAgentRPCAPI和ClientDataManagerAPI来完成这部分的交互工作。
表6
每个云计算平台有一个标记服务器,负责云计算平台的标记管理工作。该模块负责三部分工作:响应标记代理请求和向客户机广播消息并同步数据。标记服务器提供的部分API如表7所示。标记服务器模块有三个子模块:标记中心、服务器RPC和服务器数据管理。三个模块的关系如图3所示。LabelAgent使用LabelCenter提供的API来向LabelCenter发送请求和接收响应;LabelCenter利用ServerDataManger提供的API来对服务器上的内存数据和ServerDB中数据进行读写操作。可设计LabelCenterRPCAPI和ServerDataMangerAPI和来完成这部分的交互工作。
表7
本发明还包括一种云计算数据安全标记管理系统,包括:
设置格式模块,用于设置所述云数据安全标记的格式,生成新云数据安全标记,将所述新云数据安全标记分别存入客户机数据库与服务器数据库;
存储模块,用于在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存,并在所述客户机运行过程中将所述标记数据进行实时更新,同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。
所述新云数据安全标记的格式为
Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets),
其中LabelIdentifier为标记标识符:用于标识所述新云数据安全标记,其值唯一不重复;
PolicyIdentifier为标记策略标识符:用于标识与所述新云数据安全标记相关的安全策略;
Classification为标记等级:用于描述数据的敏感程度,标记等级的取值为整数;
Categories为标记类型:用于进一步细化数据的敏感程度,标记类型指定了所述新云数据安全标记对应的安全策略;
PrivacyMark为标记标识:用于对所述新云数据安全标记进行补充说明,标记标识取值为字符串;
TagSets为标签集:描述同一种安全属性相关信息的多个安全标签组成一个TagSet。
所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份;
所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的所述新云数据安全标记相关联的数据的备份、每个所述客户机缓存数据的备份、每个所述客户机环境数据的备份以及云计算平台的环境数据。
还包括服务器创建所述新云数据安全标记,并保证LabelIdentifier的唯一性,同时完成所述新云数据安全标记的初始化操作。
还包括在所述客户机的数据块中创建缓存标记表,所述缓存标记表保存一定数量的预申请的标记数据,当所述缓存标记表中的标记数据少于一定数量时,向标记服务器申请一定数量的所述新云数据安全标记,以保证缓存标记表中的标记数据满足所述客户机的标记创建要求,其中每个所述客户机的所述缓存标记表存储在ClientDB中,动态运行时加载到内存中,并实时更新所述客户机的数据库。在接收到创建所述新云数据安全标记的请求后,从所述缓存标记表中取出从服务器预先申请的所述新云数据安全标记,然后创建所述新云数据安全标记并作为结果返回,同时将所述新云数据安全标记标记的创建信息同步到ClientDB与ServerDB。
以上对本发明所提供的一种云计算数据安全标记管理方法及系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种云计算数据安全标记管理方法,其特征在于,包括:
步骤1,设置所述云数据安全标记的格式,生成新云数据安全标记,将所述新云数据安全标记分别存入客户机数据库与服务器数据库;
步骤2,在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存,并在所述客户机运行过程中将所述标记数据进行实时更新,同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。
2.如权利要求1所述的元计算安全标记管理方法,其特征在于,所述新云数据安全标记的格式为
Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets),
其中LabelIdentifier为标记标识符:用于标识所述新云数据安全标记,其值唯一不重复;
PolicyIdentifier为标记策略标识符:用于标识与所述新云数据安全标记相关的安全策略;
Classification为标记等级:用于描述数据的敏感程度,标记等级的取值为整数;
Categories为标记类型:用于进一步细化数据的敏感程度,标记类型指定了所述新云数据安全标记对应的安全策略;
PrivacyMark为标记标识:用于对所述新云数据安全标记进行补充说明,标记标识取值为字符串;
TagSets为标签集:描述同一种安全属性相关信息的多个安全标签组成一个TagSet。
3.如权利要求1所述的云计算数据安全标记管理方法,其特征在于,所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份;
所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的所述新云数据安全标记相关联的数据的备份、每个所述客户机缓存数据的备份、每个所述客户机环境数据的备份以及云计算平台的环境数据。
4.如权利要求1所述的云计算数据安全标记管理方法,其特征在于,还包括服务器创建所述新云数据安全标记,并保证LabelIdentifier的唯一性,同时完成所述新云数据安全标记的初始化操作。
5.如权利要求1所述的云计算数据安全标记管理方法,其特征在于,还包括在所述客户机的数据块中创建缓存标记表,所述缓存标记表保存一定数量的预申请的标记数据,当所述缓存标记表中的标记数据少于一定数量时,向标记服务器申请一定数量的所述新云数据安全标记,以保证缓存标记表中的标记数据满足所述客户机的标记创建要求,其中每个所述客户机的所述缓存标记表存储在ClientDB中,动态运行时加载到内存中,并实时更新所述客户机的数据库。在接收到创建所述新云数据安全标记的请求后,从所述缓存标记表中取出从服务器预先申请的所述新云数据安全标记,然后创建所述新云数据安全标记并作为结果返回,同时将所述新云数据安全标记标记的创建信息同步到ClientDB与ServerDB。
6.一种云计算数据安全标记管理系统,其特征在于,包括:
设置格式模块,用于设置所述云数据安全标记的格式,生成新云数据安全标记,将所述新云数据安全标记分别存入客户机数据库与服务器数据库;
存储模块,用于在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存,并在所述客户机运行过程中将所述标记数据进行实时更新,同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。
7.如权利要求6所述的元计算安全标记管理系统,其特征在于,所述新云数据安全标记的格式为
Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets),
其中LabelIdentifier为标记标识符:用于标识所述新云数据安全标记,其值唯一不重复;
PolicyIdentifier为标记策略标识符:用于标识与所述新云数据安全标记相关的安全策略;
Classification为标记等级:用于描述数据的敏感程度,标记等级的取值为整数;
Categories为标记类型:用于进一步细化数据的敏感程度,标记类型指定了所述新云数据安全标记对应的安全策略;
PrivacyMark为标记标识:用于对所述新云数据安全标记进行补充说明,标记标识取值为字符串;
TagSets为标签集:描述同一种安全属性相关信息的多个安全标签组成一个TagSet。
8.如权利要求6所述的云计算数据安全标记管理系统,其特征在于,所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份;
所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的所述新云数据安全标记相关联的数据的备份、每个所述客户机缓存数据的备份、每个所述客户机环境数据的备份以及云计算平台的环境数据。
9.如权利要求6所述的云计算数据安全标记管理系统,其特征在于,还包括服务器创建所述新云数据安全标记,并保证LabelIdentifier的唯一性,同时完成所述新云数据安全标记的初始化操作。
10.如权利要求6所述的云计算数据安全标记管理系统,其特征在于,还包括在所述客户机的数据块中创建缓存标记表,所述缓存标记表保存一定数量的预申请的标记数据,当所述缓存标记表中的标记数据少于一定数量时,向标记服务器申请一定数量的所述新云数据安全标记,以保证缓存标记表中的标记数据满足所述客户机的标记创建要求,其中每个所述客户机的所述缓存标记表存储在ClientDB中,动态运行时加载到内存中,并实时更新所述客户机的数据库。在接收到创建所述新云数据安全标记的请求后,从所述缓存标记表中取出从服务器预先申请的所述新云数据安全标记,然后创建所述新云数据安全标记并作为结果返回,同时将所述新云数据安全标记标记的创建信息同步到ClientDB与ServerDB。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610474894.7A CN106101113B (zh) | 2016-06-24 | 2016-06-24 | 一种云计算数据安全标记管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610474894.7A CN106101113B (zh) | 2016-06-24 | 2016-06-24 | 一种云计算数据安全标记管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106101113A true CN106101113A (zh) | 2016-11-09 |
| CN106101113B CN106101113B (zh) | 2019-04-30 |
Family
ID=57252803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610474894.7A Expired - Fee Related CN106101113B (zh) | 2016-06-24 | 2016-06-24 | 一种云计算数据安全标记管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106101113B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107979595A (zh) * | 2017-11-23 | 2018-05-01 | 储明 | 私有数据保护方法及网关系统 |
| CN108959297A (zh) * | 2017-05-19 | 2018-12-07 | 海马云(天津)信息技术有限公司 | 文件系统返回指定标识的方法、装置及电子设备 |
| CN110324326A (zh) * | 2019-06-20 | 2019-10-11 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络数据传输控制方法及装置 |
| CN112580028A (zh) * | 2020-12-26 | 2021-03-30 | 重庆扬成大数据科技有限公司 | 通过分布式计算进行农业信息化数据安全优化方法 |
| CN112738076A (zh) * | 2020-12-26 | 2021-04-30 | 重庆扬成大数据科技有限公司 | 通过IoT物联网进行三农工作人员安全行为分析方法 |
| CN113297280A (zh) * | 2021-06-10 | 2021-08-24 | 北京开科唯识技术股份有限公司 | 一种数据处理方法、装置、电子设备和存储介质 |
| CN113364765A (zh) * | 2021-06-03 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 一种云运维审计方法及运维审计装置 |
| CN113392385A (zh) * | 2021-06-28 | 2021-09-14 | 中山大学 | 一种云环境下的用户信任度量方法及系统 |
| CN113395271A (zh) * | 2021-06-07 | 2021-09-14 | 武汉卓尔信息科技有限公司 | 一种云计算平台中数据安全访问方法及云计算平台 |
| CN114978743A (zh) * | 2022-06-08 | 2022-08-30 | 杭州指令集智能科技有限公司 | 一种跨网络段的服务通信系统 |
| CN115587233A (zh) * | 2022-10-11 | 2023-01-10 | 华能信息技术有限公司 | 一种数据标识及目录管理方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
| CN103605784A (zh) * | 2013-11-29 | 2014-02-26 | 北京航空航天大学 | 一种多重云环境下数据完整性验证方法 |
| CN103618693A (zh) * | 2013-10-31 | 2014-03-05 | 中国航天科工集团第二研究院七〇六所 | 一种基于标签的云制造用户数据管控方法 |
| CN103885725A (zh) * | 2014-03-19 | 2014-06-25 | 华存数据信息技术有限公司 | 一种基于云计算环境的虚拟机访问控制系统及其控制方法 |
| US20150205829A1 (en) * | 2014-01-23 | 2015-07-23 | International Business Machines Corporation | Tag management in a tag cloud |
| CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作系统强制访问控制方法 |
-
2016
- 2016-06-24 CN CN201610474894.7A patent/CN106101113B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
| CN103618693A (zh) * | 2013-10-31 | 2014-03-05 | 中国航天科工集团第二研究院七〇六所 | 一种基于标签的云制造用户数据管控方法 |
| CN103605784A (zh) * | 2013-11-29 | 2014-02-26 | 北京航空航天大学 | 一种多重云环境下数据完整性验证方法 |
| US20150205829A1 (en) * | 2014-01-23 | 2015-07-23 | International Business Machines Corporation | Tag management in a tag cloud |
| CN103885725A (zh) * | 2014-03-19 | 2014-06-25 | 华存数据信息技术有限公司 | 一种基于云计算环境的虚拟机访问控制系统及其控制方法 |
| CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作系统强制访问控制方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108959297A (zh) * | 2017-05-19 | 2018-12-07 | 海马云(天津)信息技术有限公司 | 文件系统返回指定标识的方法、装置及电子设备 |
| CN108959297B (zh) * | 2017-05-19 | 2021-09-28 | 海马云(天津)信息技术有限公司 | 文件系统返回指定标识的方法、装置及电子设备 |
| CN107979595A (zh) * | 2017-11-23 | 2018-05-01 | 储明 | 私有数据保护方法及网关系统 |
| CN107979595B (zh) * | 2017-11-23 | 2020-11-13 | 储明 | 私有数据保护方法及网关系统 |
| CN110324326A (zh) * | 2019-06-20 | 2019-10-11 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络数据传输控制方法及装置 |
| CN110324326B (zh) * | 2019-06-20 | 2020-12-22 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络数据传输控制方法及装置 |
| CN112580028A (zh) * | 2020-12-26 | 2021-03-30 | 重庆扬成大数据科技有限公司 | 通过分布式计算进行农业信息化数据安全优化方法 |
| CN112738076A (zh) * | 2020-12-26 | 2021-04-30 | 重庆扬成大数据科技有限公司 | 通过IoT物联网进行三农工作人员安全行为分析方法 |
| CN113364765A (zh) * | 2021-06-03 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 一种云运维审计方法及运维审计装置 |
| CN113395271A (zh) * | 2021-06-07 | 2021-09-14 | 武汉卓尔信息科技有限公司 | 一种云计算平台中数据安全访问方法及云计算平台 |
| CN113297280A (zh) * | 2021-06-10 | 2021-08-24 | 北京开科唯识技术股份有限公司 | 一种数据处理方法、装置、电子设备和存储介质 |
| CN113392385A (zh) * | 2021-06-28 | 2021-09-14 | 中山大学 | 一种云环境下的用户信任度量方法及系统 |
| CN113392385B (zh) * | 2021-06-28 | 2023-07-14 | 中山大学 | 一种云环境下的用户信任度量方法及系统 |
| CN114978743A (zh) * | 2022-06-08 | 2022-08-30 | 杭州指令集智能科技有限公司 | 一种跨网络段的服务通信系统 |
| CN114978743B (zh) * | 2022-06-08 | 2023-07-18 | 杭州指令集智能科技有限公司 | 一种跨网络段的服务通信系统 |
| CN115587233A (zh) * | 2022-10-11 | 2023-01-10 | 华能信息技术有限公司 | 一种数据标识及目录管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106101113B (zh) | 2019-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106101113B (zh) | 一种云计算数据安全标记管理方法及系统 | |
| KR102537275B1 (ko) | 구조화된 사용자 데이터 파일에서의 사용자 콘텐츠의 난독화 | |
| US7076805B2 (en) | Digital data system | |
| US9805209B2 (en) | Systems and methodologies for managing document access permissions | |
| TWI722592B (zh) | 資料結構的讀取及更新方法、裝置、電子設備 | |
| US8504532B2 (en) | System and method for deletion of data in a remote computing platform | |
| CN107370604B (zh) | 一种大数据环境下的多粒度访问控制方法 | |
| US11275850B1 (en) | Multi-faceted security framework for unstructured storage objects | |
| CN111177252A (zh) | 一种业务数据的处理方法及装置 | |
| TWI724570B (zh) | 資料結構的讀取及更新方法、裝置、電子設備及儲存媒體 | |
| CN109460656A (zh) | 应用程序启动控制方法及计算机终端 | |
| US11295027B2 (en) | System and method for protecting electronic documents containing confidential information from unauthorized access | |
| CN113743955A (zh) | 基于智能合约的食材溯源数据安全访问控制方法 | |
| Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
| AU2011254219A1 (en) | System and method for controlling and monitoring access to data processing applications | |
| CN109725985B (zh) | 虚拟机模板的管理方法及装置 | |
| Thomas et al. | Distributed identity and verifiable claims using Ethereum standards | |
| Buccafurri et al. | Range query integrity in cloud data streams with efficient insertion | |
| CN115906156A (zh) | 一种基于数据安全标识的数据全生命周期安全管理方法 | |
| RU2134931C1 (ru) | Способ обеспечения доступа к объектам в операционной системе мсвс | |
| US11436349B2 (en) | Method and system for implementing a cloud machine learning environment | |
| US20170031965A1 (en) | Indexing structured data with security information | |
| KR101304452B1 (ko) | 위치 기반 문서 관리 클라우드 시스템 | |
| CN111984996A (zh) | 人力资源信息共享处理方法、装置、计算机和存储介质 | |
| KR20210023372A (ko) | Qr코드를 이용한 파일 보안 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190430 Termination date: 20200624 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |