CN107465671A - 数据传输方法和系统 - Google Patents
数据传输方法和系统 Download PDFInfo
- Publication number
- CN107465671A CN107465671A CN201710632717.1A CN201710632717A CN107465671A CN 107465671 A CN107465671 A CN 107465671A CN 201710632717 A CN201710632717 A CN 201710632717A CN 107465671 A CN107465671 A CN 107465671A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- user
- processing module
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出一种数据传输方法和系统,其中,系统包括:依次连接的数据存储模块、数据抽取模块、数据总线和用户处理模块,密钥分发中心和授权模块;密钥分发中心与数据抽取模块和用户处理模块连接,用于为数据抽取模块和对应的用户处理模块分发密钥对,以通过数据总线进行数据加密传输;授权模块与数据抽取模块和用户处理模块连接,用于根据数据抽取模块和用户处理模块所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块和用户处理模块所执行的操作进行权限控制。通过本系统,能够提升数据抽取、传输和加载的可靠性,保证数据安全,解决现有技术中数据安全性不高的技术问题。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种数据传输方法和系统。
背景技术
数据分析作为互联网大数据以及云计算的核心技术,能够充分挖掘出数据的价值。在数据分析之前,一般还需要对数据进行抽取、传输和加载,从数据仓库中抽取出数据,之后利用实时、离线等计算框架进行迭代、Map Reduce计算,获得分析结果。
然而,现有技术无法保证数据抽取、传输和加载过程中的数据安全,信息安全性不高。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的第一个目的在于提出一种数据传输系统,通过设置密钥分发中心和授权模块,由授权模块对所执行的操作进行权限控制,由密钥分发中心分发密钥对,对在数据传输前对数据进行加密,以全面提升数据抽取、传输和加载的可靠性,保证数据安全,解决现有技术中数据安全性不高的技术问题。
本发明的第二个目的在于提出一种数据传输方法。
本发明的第三个目的在于提出一种计算机设备。
本发明的第四个目的在于提出一种非临时性计算机可读存储介质。
本发明的第五个目的在于提出一种计算机程序产品。
为达上述目的,本发明第一方面实施例提出了一种数据传输系统,包括:依次连接数据存储模块、数据抽取模块、数据总线和用户处理模块;所述数据传输系统还包括密钥分发中心和授权模块;
其中,所述密钥分发中心,与所述数据抽取模块和所述用户处理模块连接,用于为所述数据抽取模块和对应的所述用户处理模块分发密钥对;所述密钥对,用于所述数据抽取模块和对应的所述用户处理模块,通过所述数据总线进行数据加密传输;
所述授权模块,与所述数据抽取模块和所述用户处理模块连接,用于根据所述数据抽取模块和所述用户处理模块所拥有的角色是否具有针对所述数据进行操作的权限,对所述数据抽取模块和所述用户处理模块所执行的操作进行权限控制。
本发明实施例的数据传输系统,通过设置数据存储模块、数据抽取模块、数据总线、用户处理模块、密钥分发中心以及授权模块,密钥分发中心为数据抽取模块和对应的用户处理模块分发密钥对,以使数据总线进行数据加密传输,授权模块根据数据抽取模块和用户处理模块所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块和用户处理模块所执行的操作进行权限控制。由此,能够全面提升数据抽取、传输和加载的可靠性,保证数据安全。通过授权模块对所执行的操作进行权限控制,避免了数据抽取前未进行身份验证的问题,能够解决现有技术中无法保证执行角色的合法性的技术问题。通过密钥分发中心分发密钥对,对数据进行加密传输,避免了数据传输过程中被监听拦截的问题,能够解决现有技术中无法保证数据安全性的技术问题。
为达上述目的,本发明第二方面实施例提出了一种数据传输方法,包括:
当数据抽取模块需从所述数据存储模块抽取数据时,授权模块根据所述数据抽取模块所拥有的角色是否具有针对所述数据进行操作的权限,对所述数据抽取模块进行权限控制;
若从所述授权模块获取到授权,在数据抽取模块和对应的用户处理模块之间,根据密钥分发中心分发的密钥对,通过数据总线对所述数据进行加密传输;
当所述用户处理模块需从所述数据总线获取所述数据时,所述授权模块根据所述用户处理模块所拥有的角色是否具有针对所述数据进行操作的权限,对所述用户处理模块进行权限控制。
本发明实施例的数据传输方法,通过数据抽取模块需从数据存储模块抽取数据时,授权模块根据数据抽取模块所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块进行权限控制,在获取到授权时,在数据抽取模块和对应的用户处理模块之间,根据密钥分发中心分发的密钥对,通过数据总线对数据进行加密传输,当用户处理模块需从数据总线获取数据时,授权模块根据用户处理模块所拥有的角色是否具有针对数据进行操作的权限,对用户处理模块进行权限控制。由此,能够全面提升数据抽取、传输和加载的可靠性,保证数据安全。通过授权模块对所执行的操作进行权限控制,避免了数据抽取前未进行身份验证的问题,能够解决现有技术中无法保证执行角色的合法性的技术问题。通过密钥分发中心分发密钥对,对数据进行加密传输,避免了数据传输过程中被监听拦截的问题,能够解决现有技术中无法保证数据安全性的技术问题。
为达上述目的,本发明第三方面实施例提出了一种计算机设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如第二方面实施例所述的数据传输方法。
为了实现上述目的,本发明第四方面实施例提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第二方面实施例所述的数据传输方法。
为了实现上述目的,本发明第五方面实施例提出了一种计算机程序产品,当所述计算机程序产品中的指令由处理器执行时,执行如第二方面实施例所述的数据传输方法。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明一实施例提出的数据传输系统的结构示意图;
图2为本发明一具体实施例的数据传输系统的结构示意图;
图3为本发明一实施例提出的数据传输方法的流程示意图;
图4为本发明另一实施例提出的数据传输方法的流程示意图;以及
图5为本发明一实施例提出的计算机设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的数据传输方法和系统。
在进行数据分析之前,一般需要对数据进行抽取、传输和加载,从数据仓库中抽取出数据,之后利用实时、离线等计算框架进行迭代、Map Reduce计算,获得分析结果。
然而,现有技术中,数据抽取以及数据加载之前未进行身份验证,无法保证执行角色的合法性;数据传输过程中未对数据进行加密,容易被拦截监听,无法保证数据安全性。
针对上述问题,本发明提出了一种数据传输系统,通过设置密钥分发中心和授权模块,由授权模块对所执行的操作进行权限控制,由密钥分发中心分发密钥对,对在数据传输前对数据进行加密,能够全面提升数据抽取、传输和加载的可靠性,保证数据安全。
图1为本发明一实施例提出的数据传输系统的结构示意图。
如图1所示,该数据传输系统10包括:数据存储模块101、数据抽取模块102、数据总线103、用户处理模块104、密钥分发中心105,以及授权模块106。其中,
数据存储模块101、数据抽取模块102、数据总线103和用户处理模块104依次连接。
密钥分发中心105与数据抽取模块102和用户处理模块104连接,用于为数据抽取模块102和对应的用户处理模块104分发密钥对。
其中,密钥对用于数据抽取模块102和对应的用户处理模块104通过数据总线103进行数据加密传输。
授权模块106与数据抽取模块102和用户处理模块104连接,用于根据数据抽取模块102和用户处理模块104所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块102和用户处理模块104所执行的操作进行权限控制。
在本发明实施例一种可能的实现方式中,授权模块106具体用于当数据抽取模块102需从数据存储模块101抽取数据时,根据数据抽取模块102所拥有的角色,查询预先存储的角色元数据,得到数据抽取模块102的授权列表;根据数据抽取模块102所需执行的操作相关信息,查询数据抽取模块102的授权列表,当得到匹配的授权时,授予数据抽取模块102抽取数据的权限。
其中,操作相关信息可以包括但不限于操作标识、操作针对资源的标识、操作执行者(数据抽取模块102)的标识。角色元数据是由权限管理员授权生成的,并预先存储于授权模块106中。生成角色元数据的过程可以描述如下:对于某一具体权限A,可以根据主体类型、主体标识、资源标识等获取授权实例,当该授权实例已经存在时,更新该授权实例的权限为权限A;当该授权实例不存在时,则创建该授权实例,并为该授权实例设置权限A;授权实例以及该授权实例对应的权限组成一条角色元数据。
在获取数据抽取模块102的授权列表时,可以先获取授予数据抽取模块102拥有的角色的所有权限列表,并获取直接授予数据抽取模块102的权限列表,将授予数据抽取模块102拥有的角色的权限列表和直接授予数据抽取模块102的权限列表进行合并,使优先级高的授权覆盖优先权低的授权,得到数据抽取模块102的授权列表。由于直接授予数据抽取模块102的权限(非继承的权限)的优先级高于授予数据抽取模块102拥有的角色的权限(从所拥有角色继承的权限)的优先级,因而,数据抽取模块102的授权列表中的权限优先为非继承的权限,通过合并,能够达到不继承的目的。进一步地,从数据抽取模块102的授权列表中删除没有读取权限的授权,得到最终的授权列表。
对数据抽取模块102进行授权时,可以先根据操作标识、操作针对资源的标识、操作执行者的标识等查找授权实例,当该授权实例存在时,判断该授权实例是否有确定的授权,若有,则返回对应的权限;若无(该授权实例的权限为继承权限),或者当该授权实例不存在时,则进一步查找数据抽取模块102所拥有的角色,并按照优先级从高到低的顺序根据角色标识和所操作资源的标识查找角色对应的授权实例,当角色对应的授权实例没有对应的权限时,则继续查找下一个角色的授权实例;当角色对应的授权实例有权限时,则返回对应的权限。进而,授权模块102根据返回的权限对数据抽取模块102进行授权。
当数据抽取模块102需要从数据存储模块101抽取数据时,授权模块106先查询预先存储的角色元数据,当角色元数据中包含与数据抽取模块102所拥有的角色相同的授权实例时,获取授权实例的权限作为数据抽取模块102的授权列表。进而,根据数据抽取模块102所需执行的操作相关信息,当从授权列表中匹配到对应的权限时,授权模块106授予数据抽取模块102从数据存储模块101抽取数据的权限。
在本发明实施例一种可能的实现方式中,授权模块106具体还用于当用户处理模块104需从数据总线103获取数据时,根据用户处理模块104所拥有的角色,查询预先存储的角色元数据,得到用户处理模块104的授权列表;根据用户处理模块104所需执行的操作相关信息,查询用户处理模块的授权列表,当得到匹配的授权时,授予用户处理模块104从数据总线103获取数据的权限。
需要说明的是,前述对授权模块106用于对数据抽取模块102进行授权的过程中,对生成角色元数据、获取授权列表、对数据抽取模块102进行授权等过程的描述,也适用于授权模块106用于对用户处理模块104进行授权的过程,其实现原理类似,此处不再赘述。
当用户处理模块104需要从数据总线103获取数据时,授权模块106先查询预先存储的角色元数据,当角色元数据中包含与用户处理模块104所拥有的角色相同的授权实例时,获取授权实例的权限作为用户处理模块104的授权列表。进而,根据用户处理模块104所需执行的操作相关信息,当从授权列表中匹配到对应的权限时,授权模块106授予用户处理模块104从数据总线103获取数据的权限。
可选地,在本发明实施例一种可能的实现方式中,数据抽取模块102还用于从数据存储模块101抽取出数据之后,根据密钥分发中心105分发的密钥,对抽取出的数据进行TLS/SSL加密。对应地,用户处理模块104还用于从数据总线103获取到数据之后,根据密钥分发中心105分发的密钥,对获取到的数据进行TLS/SSL解密。
其中,TLS是Transport Layer Security Protocol的简称,是安全传输层协议,能够保证数据的安全性和完整性。SSL是Secure Socket Layer的简称,能够保障数据传输安全,确保数据传输过程中不会被拦截和窃听。
图2为本发明一具体实施例的数据传输系统的结构示意图。在实际应用中,通常采用Hadoop分布式文件系统(Hadoop Distributed File System,HDFS)作为数据仓库的底层分布式存储系统,能够提供高吞吐量的数据访问,且具有较强的容错性。一般采用Kafka作为数据总线,Kafka是一种高吞吐量的分布式发布订阅消息系统,能够适应Hadoop的实时性要求。基于HDFS和Kafka自身的ACL API,可以进行ACL授权模块的开发,以用于在数据抽取前和从数据总线获取数据前进行身份认证。
图2中,Kerberos是一种通用的客户端/服务端双向认证密钥管理系统;KDC为Kerberos的密钥分发中心(Key Distribution Center),用于对密钥对进行集中式存储,并提供API接口供管理员进行密钥的管理和配置。principal是用来表示Kerberos的客户端/服务端身份的实体,可以表示Kerberos系统的用户,也可以表示某一个主机。如图2所示,抽取模块从HDFS抽取数据之前,先从ACL授权模块获取授权,之后再进行数据抽取。数据抽取完成进行传输之前,从KDC获取密钥对需要传输的数据进行TLS/SSL加密,之后将加密后的数据经过Kafka传输。消费者从Kafka获取数据之前,需要先从ACL授权模块获取授权,之后再从Kafka获取数据,并从KDC获取密钥对获取的数据进行解密后使用。
本实施例的数据传输系统,通过设置数据存储模块、数据抽取模块、数据总线、用户处理模块、密钥分发中心以及授权模块,密钥分发中心为数据抽取模块和对应的用户处理模块分发密钥对,以使数据总线进行数据加密传输,授权模块根据数据抽取模块和用户处理模块所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块和用户处理模块所执行的操作进行权限控制。由此,能够全面提升数据抽取、传输和加载的可靠性,保证数据安全。通过授权模块对所执行的操作进行权限控制,避免了数据抽取前未进行身份验证的问题,能够解决现有技术中无法保证执行角色的合法性的技术问题。通过密钥分发中心分发密钥对,对数据进行加密传输,避免了数据传输过程中被监听拦截的问题,能够解决现有技术中无法保证数据安全性的技术问题。
本发明还提出一种数据传输方法。
图3为本发明一实施例提出的数据传输方法的流程示意图。
如图3所示,该数据传输方法包括以下步骤:
S11,当数据抽取模块需从数据存储模块抽取数据时,授权模块根据数据抽取模块所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块进行权限控制。
本实施例中,当数据抽取模块需要从数据存储模块抽取数据时,授权模块需要对数据抽取模块进行身份验证,以对数据抽取模块进行权限控制。授权模块通过对数据抽取模块所拥有的角色具有的权限进行验证,判断数据抽取模块所拥有的角色是否具有针对数据进行操作的权限,进而对数据抽取模块进行权限控制。
S12,若从授权模块获取到授权,在数据抽取模块和对应的用户处理模块之间,根据密钥分发中心分发的密钥对,通过数据总线对数据进行加密传输。
数据抽取模块从授权模块获取到授权后,即可从数据存储模块抽取数据,并根据密钥分发中心分发的密钥对,对数据进行加密,进而通过数据总线对数据进行加密传输,将加密的数据从数据抽取模块传输至对应的用户处理模块。
S13,当用户处理模块需从数据总线获取数据时,授权模块根据用户处理模块所拥有的角色是否具有针对所述数据进行操作的权限,对用户处理模块进行权限控制。
本实施例中,当用户处理模块需要从数据总线获取数据时,授权模块需要对用户处理模块进行身份验证,以对用户处理模块进行权限控制。授权模块通过对用户处理模块所拥有的角色具有的权限进行验证,判断用户处理模块所拥有的角色是否具有针对数据进行操作的权限,进而对用户处理模块进行权限控制。
本实施例的数据传输方法,通过数据抽取模块需从数据存储模块抽取数据时,授权模块根据数据抽取模块所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块进行权限控制,在获取到授权时,在数据抽取模块和对应的用户处理模块之间,根据密钥分发中心分发的密钥对,通过数据总线对数据进行加密传输,当用户处理模块需从数据总线获取数据时,授权模块根据用户处理模块所拥有的角色是否具有针对数据进行操作的权限,对用户处理模块进行权限控制。由此,能够全面提升数据抽取、传输和加载的可靠性,保证数据安全。通过授权模块对所执行的操作进行权限控制,避免了数据抽取前未进行身份验证的问题,能够解决现有技术中无法保证执行角色的合法性的技术问题。通过密钥分发中心分发密钥对,对数据进行加密传输,避免了数据传输过程中被监听拦截的问题,能够解决现有技术中无法保证数据安全性的技术问题。
图4为本发明另一实施例提出的数据传输方法的流程示意图。
如图4所示,该数据传输方法可以包括以下步骤:
S21,当数据抽取模块需从数据存储模块抽取数据时,授权模块根据数据抽取模块所拥有的角色是否具有针对数据进行操作的权限,对数据抽取模块进行权限控制。
具体地,授权模块根据数据抽取模块所拥有的角色,通过查询预先存储的角色元数据,得到对应的授权列表,根据数据抽取模块所需执行的操作信息,查询授权列表,当从授权列表中得到匹配的授权时,对数据抽取模块授予权限,数据抽取模块可以从数据存储模块抽取数据;若从授权列表中未匹配到授权,则不对数据抽取模块进行授权,数据抽取模块无法从数据存储模块中抽取数据。
通过对数据抽取模块进行权限控制,能够保证数据抽取过程中的数据安全,提高数据可靠性。
S22,若从授权模块获取到授权,数据抽取模块从数据存储模块抽取出数据之后,根据密钥分发中心分发的密钥,对抽取出的数据进行TLS/SSL加密。
本实施例中,若数据抽取模块从授权模块获得授权,则数据抽取模块可以从数据存储模块中抽取数据。在数据抽取模块从数据存储模块抽取出数据之后,可以根据密钥分发中心分发的密钥对抽取出的数据进行TLS/SSL加密,以保证数据传输过程中的安全性,防止数据被拦截监听。
S23,通过数据总线对数据进行TLS/SSL加密传输。
本实施例中,数据抽取模块可以通过数据总线对数据进行TLS/SSL加密传输,将加密后的数据传输给用户处理模块。
S24,当用户处理模块需从数据总线获取数据时,授权模块根据用户处理模块所拥有的角色是否具有针对数据进行操作的权限,对用户处理模块进行权限控制。
具体地,授权模块根据用户处理模块所拥有的角色,通过查询预先存储的角色元数据,得到对应的授权列表,根据用户处理模块所需执行的操作信息,查询授权列表,当从授权列表中得到匹配的授权时,对用户处理模块授予权限,用户处理模块可以从数据总线获取数据;若从授权列表中未匹配到授权,则不对用户处理模块进行授权,用户处理模块无法从数据总线获取数据。
通过对用户处理模块进行权限控制,能够保证数据加载过程中的数据安全,提高数据可靠性。
S25,若从授权模块获取到授权,用户处理模块从数据总线获取到数据之后,根据密钥分发中心分发的密钥,对获取到的数据进行TLS/SSL解密。
本实施例中,用户处理模块从授权模块获取到授权后,即可从数据总线获取数据。在用户处理模块从数据总线获取到数据之后,根据密钥分发中心分发的密钥,可以对获取到的数据进行TLS/SSL解密。
本实施例的数据传输方法,通过在数据传输之前,根据密钥分发中心分发的密钥对抽取的数据进行TLS/SSL加密,通过数据总线对数据进行TLS/SSL加密传输,用户处理模块从数据总线获取到数据之后,根据密钥分发中心分发的密钥对获取到的数据进行TLS/SSL解密,能够避免数据在传输过程中遭到拦截监听,保证数据安全性。
为了实现上述实施例,本发明还提出一种计算机设备。
图5为本发明一实施例提出的计算机设备的结构示意图。
如图5所示,该计算机设备50包括:存储器501、处理器502及存储在存储器501上并可在处理器502上运行的计算机程序503,当处理器502执行该计算机程序503时,实现如前述实施例所述的数据传输方法。
为了实现上述实施例,本发明还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前述实施例所述的数据传输方法。
为了实现上述实施例,本发明还提出一种计算机程序产品,当所述计算机程序产品中的指令由处理器执行时,执行如前述实施例所述的数据传输方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种数据传输系统,其特征在于,包括:依次连接数据存储模块、数据抽取模块、数据总线和用户处理模块;所述数据传输系统还包括密钥分发中心和授权模块;
其中,所述密钥分发中心,与所述数据抽取模块和所述用户处理模块连接,用于为所述数据抽取模块和对应的所述用户处理模块分发密钥对;所述密钥对,用于所述数据抽取模块和对应的所述用户处理模块,通过所述数据总线进行数据加密传输;
所述授权模块,与所述数据抽取模块和所述用户处理模块连接,用于根据所述数据抽取模块和所述用户处理模块所拥有的角色是否具有针对所述数据进行操作的权限,对所述数据抽取模块和所述用户处理模块所执行的操作进行权限控制。
2.根据权利要求1所述的数据传输系统,其特征在于,所述授权模块,具体用于:
当所述数据抽取模块需从所述数据存储模块抽取数据时,根据所述数据抽取模块所拥有的角色,查询预先存储的角色元数据,得到所述数据抽取模块的授权列表;
根据所述数据抽取模块所需执行的操作相关信息,查询所述数据抽取模块的授权列表,当得到匹配的授权时,授予所述数据抽取模块抽取所述数据的权限。
3.根据权利要求1所述的数据传输系统,其特征在于,所述授权模块,具体用于:
当所述用户处理模块需从所述数据总线获取所述数据时,根据所述用户处理模块所拥有的角色,查询预先存储的角色元数据,得到所述用户处理模块的授权列表;
根据所述用户处理模块所需执行的操作相关信息,查询所述用户处理模块的授权列表,当得到匹配的授权时,授予所述用户处理模块从所述数据总线获取所述数据的权限。
4.根据权利要求1-3任一项所述的数据传输系统,其特征在于,
所述数据抽取模块,用于从所述数据存储模块抽取出所述数据之后,根据所述密钥分发中心分发的密钥,对抽取出的数据进行TLS/SSL加密。
5.根据权利要求1-3任一项所述的数据传输系统,其特征在于,
所述用户处理模块,用于从所述数据总线获取到数据之后,根据所述密钥分发中心分发的密钥,对获取到的数据进行TLS/SSL解密。
6.一种数据传输方法,其特征在于,包括以下步骤:
当数据抽取模块需从所述数据存储模块抽取数据时,授权模块根据所述数据抽取模块所拥有的角色是否具有针对所述数据进行操作的权限,对所述数据抽取模块进行权限控制;
若从所述授权模块获取到授权,在数据抽取模块和对应的用户处理模块之间,根据密钥分发中心分发的密钥对,通过数据总线对所述数据进行加密传输;
当所述用户处理模块需从所述数据总线获取所述数据时,所述授权模块根据所述用户处理模块所拥有的角色是否具有针对所述数据进行操作的权限,对所述用户处理模块进行权限控制。
7.根据权利要求6所述的数据传输方法,其特征在于,所述进行权限控制,包括:
所述授权模块根据角色,查询预先存储的角色元数据,得到对应的授权列表;
根据所需执行的操作相关信息,查询所述授权列表,当得到匹配的授权时,授予权限。
8.根据权利要求6或7所述的数据传输方法,其特征在于,所述通过数据总线对数据进行加密传输,包括:
通过所述数据总线对数据进行TLS/SSL加密传输。
9.根据权利要求8所述的数据传输方法,其特征在于,所述通过所述数据总线对数据进行TLS/SSL加密传输之前,还包括:
所述数据抽取模块从所述数据存储模块抽取出所述数据之后,根据所述密钥分发中心分发的密钥,对抽取出的数据进行TLS/SSL加密。
10.根据权利要求8所述的数据传输方法,其特征在于,所述通过所述数据总线对数据进行TLS/SSL加密传输之后,还包括:
所述用户处理模块从所述数据总线获取到数据之后,根据所述密钥分发中心分发的密钥,对获取到的数据进行TLS/SSL解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710632717.1A CN107465671A (zh) | 2017-07-28 | 2017-07-28 | 数据传输方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710632717.1A CN107465671A (zh) | 2017-07-28 | 2017-07-28 | 数据传输方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107465671A true CN107465671A (zh) | 2017-12-12 |
Family
ID=60548001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710632717.1A Withdrawn CN107465671A (zh) | 2017-07-28 | 2017-07-28 | 数据传输方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107465671A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1979511A (zh) * | 2005-12-09 | 2007-06-13 | 北京书生国际信息技术有限公司 | 一种文档数据安全管理系统和方法 |
CN102012989A (zh) * | 2010-12-07 | 2011-04-13 | 江苏风云网络服务有限公司 | 软件即服务中基于门限与密钥的授权方法 |
CN102958021A (zh) * | 2012-11-07 | 2013-03-06 | 华东师范大学 | 一种手机短信加解密通信系统及其通信方法 |
CN103354498A (zh) * | 2013-05-31 | 2013-10-16 | 北京鹏宇成软件技术有限公司 | 一种基于身份的文件加密传输方法 |
CN103427998A (zh) * | 2013-08-20 | 2013-12-04 | 航天恒星科技有限公司 | 一种面向互联网数据分发的身份验证和数据加密方法 |
CN105072107A (zh) * | 2015-08-03 | 2015-11-18 | 四川效率源信息安全技术有限责任公司 | 增强数据传输及存储安全的系统和方法 |
-
2017
- 2017-07-28 CN CN201710632717.1A patent/CN107465671A/zh not_active Withdrawn
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1979511A (zh) * | 2005-12-09 | 2007-06-13 | 北京书生国际信息技术有限公司 | 一种文档数据安全管理系统和方法 |
CN102012989A (zh) * | 2010-12-07 | 2011-04-13 | 江苏风云网络服务有限公司 | 软件即服务中基于门限与密钥的授权方法 |
CN102958021A (zh) * | 2012-11-07 | 2013-03-06 | 华东师范大学 | 一种手机短信加解密通信系统及其通信方法 |
CN103354498A (zh) * | 2013-05-31 | 2013-10-16 | 北京鹏宇成软件技术有限公司 | 一种基于身份的文件加密传输方法 |
CN103427998A (zh) * | 2013-08-20 | 2013-12-04 | 航天恒星科技有限公司 | 一种面向互联网数据分发的身份验证和数据加密方法 |
CN105072107A (zh) * | 2015-08-03 | 2015-11-18 | 四川效率源信息安全技术有限责任公司 | 增强数据传输及存储安全的系统和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zuo | Making smart manufacturing smarter–a survey on blockchain technology in Industry 4.0 | |
KR102373685B1 (ko) | 블록체인 iot장치를 위한 동작 시스템 | |
CN106503098B (zh) | 内置于Paas服务层的区块链云服务框架系统 | |
CN104718526B (zh) | 安全移动框架 | |
CN102170440B (zh) | 适用于存储云间数据安全迁移的方法 | |
CN105931337A (zh) | 一种电子锁装置、系统及其授权方法 | |
EP3577625A1 (en) | Aerospace commerce exchange | |
EP3491612A1 (en) | Blockchain-implemented method and system | |
CN104158827B (zh) | 密文数据共享方法、装置、查询服务器和上传数据客户端 | |
Kaynak et al. | Cloud manufacturing architecture based on public blockchain technology | |
CN109714348A (zh) | 基于区块链实现的权限处理方法、装置、设备和介质 | |
CN105871821A (zh) | 设备绑定的方法 | |
CN109446259B (zh) | 数据处理方法及装置、处理机及存储介质 | |
CN107004094A (zh) | 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 | |
CN106127888B (zh) | 智能锁操作方法和智能锁操作系统 | |
CN109711175A (zh) | 一种数据库加密方法和装置 | |
Kikitamara et al. | Digital identity management on blockchain for open model energy system | |
CN107257346A (zh) | 单点登录的业务访问处理方法及其设备 | |
CN102694867A (zh) | 一种soa中基于属性的跨安全域访问控制方法和系统 | |
CN106326666A (zh) | 一种健康档案信息管理服务系统 | |
CN104579681A (zh) | 互信应用系统间身份认证系统 | |
CN113127927B (zh) | 一种许可链数据共享及监管的属性重构加密方法及系统 | |
CN110138736A (zh) | 物联网多重动态随机加密的身份认证方法和装置及设备 | |
CN110189440A (zh) | 一种基于区块链的智能锁监管设备及其方法 | |
CN109949457B (zh) | 智能门锁控制方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20171212 |
|
WW01 | Invention patent application withdrawn after publication |