CN109635583B - 一种基于数据安全标签的信息安全共享交换方法及系统 - Google Patents
一种基于数据安全标签的信息安全共享交换方法及系统 Download PDFInfo
- Publication number
- CN109635583B CN109635583B CN201811606476.4A CN201811606476A CN109635583B CN 109635583 B CN109635583 B CN 109635583B CN 201811606476 A CN201811606476 A CN 201811606476A CN 109635583 B CN109635583 B CN 109635583B
- Authority
- CN
- China
- Prior art keywords
- data
- sharing
- model
- exchange
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及信息安全技术领域,公开了一种基于数据安全标签的信息安全共享交换方法。包括:数据共享提供方建立交换数据模型,并设置数据安全标签;数据共享使用方建立数据模型与本地目标数据格式的映射;基于提供方形成的数据模型和安全标签进行数据提取,形成数据交换包,数据交换包进行数据共享,根据映射关系将数据放置到使用方的目标数据库\目录;通过数据收发的服务,实现数据交换过程。本发明的技术方案能够简化共享数据业务,提升效率;保留了共享数据出去后的控制权;能够掌握共享数据出去后的安全状态、使用状态等;能够降低误操作、误流转等带来的风险。本发明还公开了一种基于数据安全标签的信息安全共享交换系统。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种基于数据安全标签的信息安全共享交换方法及系统。
背景技术
目前,跨领域信息交换的应用场景中,主要有数据提供方、数据使用方和平台服务方。平台服务方通过共享目录、交换系统等产品构建了数据交换平台,形成了供需双方信息交换的通道。在该通道上,可以叠加存储加密、传输加密、基于角色的访问控制等技术手段。
现有技术状况有两大问题没有解决,一是跨领域的数据互操作问题,数据没有统一规范的格式定义和模型设计,在多对多的应用场景中,仍然是人对人的沟通,无法实现“机读”,沟通成本高、共享效率低。二是跨系统的数据安全问题,叠加的安全手段并不能解决数据责权不明、责任移交和数据全程可控等问题。
发明内容
本发明所要解决的技术问题是:本发明针对以下两个问题:(1)数据交互各方,对共享数据的共同理解问题(语义互操作问题),以及基于数据的共同理解,数据如何高效抽取、映射流转问题;(2)异构信息系统中,基于数据属性的加密保护、责权明晰和安全管控问题。提供了一种基于数据安全标签的信息安全共享交换方法及系统。
本发明采用的技术方案如下:一种基于数据安全标签的信息安全共享交换方法,包括以下过程:
数据标签管控过程:数据共享提供方建立交换数据模型,并设置数据安全标签;数据共享使用方建立数据模型与本地目标数据格式的映射;
数据安全管控过程:基于提供方形成的数据模型和安全标签进行数据提取,形成数据交换包,数据交换包进行数据共享,根据映射关系将数据放置到使用方的目标数据库\目录;
数据交换过程:通过数据收发的服务,实现数据交换过程。
进一步的,所述数据标签管控的具体方法为:
数据共享提供方建立共享交换数据模型,完成源数据到模型数据的映射;
数据共享提供方验证数据模型与已有模型的冲突,检验数据映射正确性;
数据共享提供方配置数据安全防护和管控策略,形成数据安全标签;
数据共享提供方发布数据模型;
数据共享使用方基于提供方发布的数据模型进行查询和订阅数据模型,数据共享使用方建立数据模型与本地目标数据格式的映射。
进一步的,所述数据安全管控的具体方法为:
从源数据按照数据模型抽取数据,并按模型组装;
依据交换数据模型的安全策略,对抽取的数据进行保护,形成数据交换包(DEP,Data Exchange Package);
数据交换包交给业务系统进行数据共享;
使用方根据自身建立的映射关系(MT),将数据放置到使用方的目标数据库\目录。
进一步的,将形成的数据交换包缓存起来,用于提升数据发布后业务系统提取数据。
进一步的,业务系统将数据从提供方交换到使用方后,使用方对数据进行二次授权。
进一步的,所述数据交换的方法为:直接将数据交换包通过企业服务总线类产品(ESB,Enterprise Service Bus)发布成服务,数据使用方调用接口获取数据,完成交换过程。
进一步的,所述数据交换的方法为:业务软件通过发送单元和接收单元搬移数据交换包,完成交换过程。
本发明还公开了一种基于数据安全标签的信息安全共享交换系统,包括:
数据标签管控单元,用于数据共享提供方建立交换数据模型,并设置数据安全标签;数据共享使用方建立数据模型与本地目标数据格式的映射;
数据安全管控过程,用于提供方形成的数据模型和安全标签进行数据提取,形成数据交换包,数据交换包进行数据共享,根据映射关系将数据放置到使用方的目标数据库\目录;
数据交换单元,用于通过数据收发的服务,实现数据交换过程。
与现有技术相比,采用上述技术方案的有益效果为:
(1)本发明的技术方案能够简化共享数据业务,提升效率:不需要针对不同的需求方,配置不同的共享数据,只需要配置不同的规则;
(2)本发明的技术方案保留了共享数据出去后的控制权,可要求数据使用方二次授权进一步细化管控策略,必要时也可以收回管控授权;
(3)本发明的技术方案能够掌握共享数据出去后的安全状态、使用状态等(反馈机制);
(4)本发明的技术方案能够降低误操作、误流转等带来的风险。
附图说明
图1是本发明基于数据安全标签的信息安全共享交换方法的流程示意图。
图2是本发明数据安全标签主要组成的示意图。
图3是本发明基于数据安全标签的信息安全共享交换技术实现架构系统示意图。
具体实施方式
下面结合附图对本发明做进一步描述。
如图1所示,一种基于数据安全标签的信息安全共享交换方法,本实施例将数据安全共享交换划分为数据标签管控、数据安全管控和数据交换3个层次,以业务驱动的建模为起点,以安全的数据利用为终点,包括以下过程:
数据标签管控过程:数据共享提供方建立交换数据模型,并设置数据安全标签;数据共享使用方建立数据模型与本地目标数据格式的映射;
数据安全管控过程:基于提供方形成的数据模型和安全标签进行数据提取,形成数据交换包,数据交换包进行数据共享,根据映射关系将数据放置到使用方的目标数据库\目录;
数据交换过程:通过数据收发的服务,实现数据交换过程。
(1)数据标签管控过程
由参与数据共享的提供方和使用方执行。
(a)数据共享提供方建立共享交换数据模型(DEM, Data Exchange Model),完成源数据到模型数据的映射;
(b)数据共享提供方验证数据模型与已有模型的冲突,检验数据映射正确性;
(c)数据共享提供方配置数据安全防护和管控策略,形成数据安全标签;
如图2所示,数据安全标签的组成包括:版本号(Version)、标签ID(LabelID)、数据模型(DataModel)、安全策略(SecurityPolicy)、标签摘要(LabelDigest)。其中数据模型包括数据属性和数据集。数据属性包括版本号、版本基本信息、数据版权、数据提供方、更新策略、扩展属性。数据集包括各个数据单元。其中安全策略包括版本号、加密规则、授权规则。
(d)数据共享提供方发布数据模型;
(e)数据共享使用方基于提供方发布的数据模型进行查询和订阅数据模型,数据共享使用方建立数据模型与本地目标数据格式的映射(MT)。
(2)数据安全管控
由独立的数据安全防护服务方实施。
(a)从源数据按照数据模型抽取数据,并按模型组装;
(b)依据交换数据模型的安全策略,对抽取的数据进行保护,形成数据交换包(DEP,Data Exchange Package);
(c)数据交换包交给业务系统进行数据共享;
(d)使用方根据自身建立的映射关系(MT),将数据放置到使用方的目标数据库\目录。
优选地,形成的数据交换包可以缓存起来,提升数据发布后业务系统提取数据的效率。
优选地,业务系统将数据从提供方交换到使用方后,使用方对数据进行二次授权。
(3)数据交换
由交换平台、数据总线等业务应用提供数据收发的服务。主要有两类方式:
如图3所示,一种基于数据安全标签的信息安全共享交换系统,包括:
数据标签管控单元,用于数据共享提供方建立交换数据模型,并设置数据安全标签;数据共享使用方建立数据模型与本地目标数据格式的映射;数据标签管控单元通过外部接口与数据交换单元连接。数据标签管控单元通过内部接口与提供方和接收方进行安全对接,包括库表安全套件、文件安全套件、电子文档安全插件、服务接口安全套件。数据标签管控单元通过内部接口与基于区块链的数据安全策略服务单元连接,基于提供方和接收方的安全对接,设置数据安全标签服务。
数据安全管控过程,用于提供方形成的数据模型和安全标签进行数据提取,形成数据交换包,数据交换包进行数据共享,根据映射关系将数据放置到使用方的目标数据库\目录;
数据交换单元,用于通过数据收发的服务,实现数据交换过程。数据交换单元通过内部接口与提供方、接收方安全对接。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。
Claims (6)
1.一种基于数据安全标签的信息安全共享交换方法,其特征在于,包括以下过程:
数据标签管控过程:数据共享提供方建立交换数据模型,并设置数据安全标签;数据共享使用方建立数据模型与本地目标数据格式的映射;
数据安全管控过程:基于提供方形成的数据模型和安全标签进行数据提取,形成数据交换包,数据交换包进行数据共享,根据映射关系将数据放置到使用方的目标数据库\目录;
数据交换过程:通过数据收发的服务,实现数据交换过程;
所述数据标签管控的具体方法为:
数据共享提供方建立共享交换数据模型,完成源数据到模型数据的映射;
数据共享提供方验证数据模型与已有模型的冲突,检验数据映射正确性;
数据共享提供方配置数据安全防护和管控策略,形成数据安全标签;
数据共享提供方发布数据模型;
数据共享使用方基于提供方发布的数据模型进行查询和订阅数据模型,数据共享使用方建立数据模型与本地目标数据格式的映射;
所述数据安全管控的具体方法为:
从源数据按照数据模型抽取数据,并按模型组装;
依据交换数据模型的安全策略,对抽取的数据进行保护,形成数据交换包;
数据交换包交给业务系统进行数据共享;
使用方根据自身建立的映射关系,将数据放置到使用方的目标数据库\目录。
2.如权利要求1所述的基于数据安全标签的信息安全共享交换方法,其特征在于,将形成的数据交换包缓存起来,用于提升数据发布后业务系统提取数据。
3.如权利要求2所述的基于数据安全标签的信息安全共享交换方法,其特征在于,业务系统将数据从提供方交换到使用方后,使用方对数据进行二次授权。
4.如权利要求3所述的基于数据安全标签的信息安全共享交换方法,其特征在于,所述数据交换过程为:直接将数据交换包通过企业服务总线类产品发布成服务,数据使用方调用接口获取数据,完成交换过程。
5.如权利要求4所述的基于数据安全标签的信息安全共享交换方法,其特征在于,所述数据交换过程为:业务软件通过发送单元和接收单元搬移数据交换包,完成交换过程。
6.一种基于数据安全标签的信息安全共享交换系统,其特征在于,包括:
数据标签管控单元,用于数据共享提供方建立交换数据模型,并设置数据安全标签;数据共享使用方建立数据模型与本地目标数据格式的映射;
所述数据标签管控单元具体用于:
数据共享提供方建立共享交换数据模型,完成源数据到模型数据的映射;
数据共享提供方验证数据模型与已有模型的冲突,检验数据映射正确性;
数据共享提供方配置数据安全防护和管控策略,形成数据安全标签;
数据共享提供方发布数据模型;
数据共享使用方基于提供方发布的数据模型进行查询和订阅数据模型,数据共享使用方建立数据模型与本地目标数据格式的映射;
数据安全管控单元,用于提供方形成的数据模型和安全标签进行数据提取,形成数据交换包,数据交换包进行数据共享,根据映射关系将数据放置到使用方的目标数据库\目录;
所述数据安全管控单元具体用于:
从源数据按照数据模型抽取数据,并按模型组装;
依据交换数据模型的安全策略,对抽取的数据进行保护,形成数据交换包;
数据交换包交给业务系统进行数据共享;
使用方根据自身建立的映射关系,将数据放置到使用方的目标数据库\目录;
数据交换单元,用于通过数据收发的服务,实现数据交换过程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811606476.4A CN109635583B (zh) | 2018-12-27 | 2018-12-27 | 一种基于数据安全标签的信息安全共享交换方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811606476.4A CN109635583B (zh) | 2018-12-27 | 2018-12-27 | 一种基于数据安全标签的信息安全共享交换方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109635583A CN109635583A (zh) | 2019-04-16 |
CN109635583B true CN109635583B (zh) | 2021-07-27 |
Family
ID=66078127
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811606476.4A Active CN109635583B (zh) | 2018-12-27 | 2018-12-27 | 一种基于数据安全标签的信息安全共享交换方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109635583B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101354696A (zh) * | 2008-09-08 | 2009-01-28 | 北京航空航天大学 | 基于电信领域共享信息模型的数据整合与应用服务系统 |
CN107045534A (zh) * | 2017-01-20 | 2017-08-15 | 中国航天系统科学与工程研究院 | 大数据环境下基于HBase的异构数据库在线交换与共享系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102916963B (zh) * | 2012-10-26 | 2014-12-31 | 中国人民解放军信息工程大学 | 一种数据安全交换方法、装置、节点及系统 |
CN103034703A (zh) * | 2012-12-10 | 2013-04-10 | 江西省电力公司信息通信分公司 | 基于规则配置的多系统间数据交换的方法 |
CN103092951B (zh) * | 2013-01-15 | 2016-07-13 | 福建特力惠信息科技股份有限公司 | 一种基于信息展现层的通用数据交换方法及系统 |
CN103281368B (zh) * | 2013-05-22 | 2016-08-10 | 河海大学 | 一种基于云计算的数据共享交换系统 |
CN103618693B (zh) * | 2013-10-31 | 2017-01-11 | 中国航天科工集团第二研究院七〇六所 | 一种基于标签的云制造用户数据管控方法 |
EP3002649B1 (en) * | 2014-10-01 | 2018-09-26 | Rockwell Automation Technologies, Inc. | Industrial simulation using redirected i/o module configurations |
CN106650326B (zh) * | 2016-10-14 | 2019-08-23 | 杭州优稳自动化系统有限公司 | 一种加密狗装置以及基于加密狗的二次授权管理方法 |
CN106682235A (zh) * | 2017-01-18 | 2017-05-17 | 济南浪潮高新科技投资发展有限公司 | 一种异构数据映射系统及方法 |
CN107025411B (zh) * | 2017-03-22 | 2019-11-26 | 红有软件股份有限公司 | 一种细粒度的数据权限动态控制的系统及方法 |
CN108563768B (zh) * | 2018-04-19 | 2023-05-23 | 中国平安财产保险股份有限公司 | 不同数据模型的数据转换方法、装置、设备及存储介质 |
CN108964971A (zh) * | 2018-05-23 | 2018-12-07 | 国政通科技股份有限公司 | 一种数据交换平台 |
CN108615143A (zh) * | 2018-06-12 | 2018-10-02 | 湖南建工集团有限公司 | 智能建筑管理中基于bim模型与运维信息交互的装置及方法 |
-
2018
- 2018-12-27 CN CN201811606476.4A patent/CN109635583B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101354696A (zh) * | 2008-09-08 | 2009-01-28 | 北京航空航天大学 | 基于电信领域共享信息模型的数据整合与应用服务系统 |
CN107045534A (zh) * | 2017-01-20 | 2017-08-15 | 中国航天系统科学与工程研究院 | 大数据环境下基于HBase的异构数据库在线交换与共享系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109635583A (zh) | 2019-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113364735A (zh) | 多链场景下数据跨链访问控制方法、系统、设备及终端 | |
CN102624915A (zh) | 一种闹钟云服务方法及系统 | |
CN104253840A (zh) | 用于支持多种类型安全载体之间通信的装置及其通信方法 | |
US20090318126A1 (en) | Arrangement for using erp-systems on, preferably, mobile devices | |
CN101616126A (zh) | 实现数据访问权限控制的方法、装置及系统 | |
CN101931613A (zh) | 集中认证方法和集中认证系统 | |
CN101771541A (zh) | 一种用于家庭网关的密钥证书生成方法和系统 | |
CN104052768A (zh) | 分布式多点同步系统及其同步方法 | |
CN108419232A (zh) | 共享用户身份模块卡的方法和移动终端 | |
CN102172005A (zh) | 客户端和服务器之间传输和协商网络控制的功能数据的方法 | |
CN106326766A (zh) | 一种HBase数据读取控制方法 | |
CN102968861B (zh) | 抄税方法 | |
CN104348848A (zh) | 管理图片的方法、终端设备和服务器 | |
CN101730085B (zh) | 通信录数据同步方法和系统 | |
CN111988260B (zh) | 一种对称密钥管理系统、传输方法及装置 | |
CN102629345B (zh) | 链式沟通协作方法、装置及系统 | |
CN109635583B (zh) | 一种基于数据安全标签的信息安全共享交换方法及系统 | |
CN103092951A (zh) | 一种基于信息展现层的通用数据交换方法及系统 | |
CN103067910A (zh) | 远程开卡方法 | |
CN104463619A (zh) | 基于ldap的互联网产品目录销售系统及控制方法 | |
CN107169733A (zh) | 一种用于实现企业和企业伙伴之间的信息交互方法 | |
CN103269371A (zh) | 一种基于Anycast的物联网DS查询方法及系统 | |
CN109525550A (zh) | 一种数据报文的处理方法、装置以及系统 | |
CN1860733B (zh) | 对在交换设备中的软件模块进行许可和/或访问授权的方法 | |
CN103685680A (zh) | 手机状态显示方法、系统和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |