CN111526156B - 基于大数据的安全云平台系统 - Google Patents
基于大数据的安全云平台系统 Download PDFInfo
- Publication number
- CN111526156B CN111526156B CN202010366671.5A CN202010366671A CN111526156B CN 111526156 B CN111526156 B CN 111526156B CN 202010366671 A CN202010366671 A CN 202010366671A CN 111526156 B CN111526156 B CN 111526156B
- Authority
- CN
- China
- Prior art keywords
- document
- security
- data
- content
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了基于大数据的安全云平台系统,包括安全云平台引擎、管理终端、SaaS服务,所述安全云平台引擎包括监视单元,用于检测正在使用的平台SaaS服务的应用接口以及通过所述服务应用接口执行的活动;基于服务应用接口解析数据流并识别在云端服务中共享的内容,从而确定通过所述服务应用接口执行的活动;使用内容检验规则检索内容中与安全性相关的片段;并且响应于在所解析的数据流中发现与安全性相关的片段,触发安全操作。本发明提出了基于大数据的安全云平台系统,允许数据所有者建立可变粒度的访问策略,识别风险行为和可能发生的数据泄露,精确指定需要保护的数据范围,以提高与云端服务的交互的安全性和效率。
Description
技术领域
本发明涉及云安全,特别涉及基于大数据的安全云平台系统。
背景技术
随着SaaS服务的日益普及,企业都在依赖云平台来创建、编辑和存储数据。教育行业用户可以更容易地从多个设备访问云端提供的教育服务,数据共享变得更方便,但数据容易脱离所有者的控制。当机密信息泄露时,企业只能花费大量金钱和时间进行修复。而且现有的数据泄露预警技术缺乏基于用户活动的上下文,因此预警准确率不高。
发明内容
为解决上述现有技术所存在的问题,本发明提出了基于大数据的安全云平台系统,所述云平台系统包括安全云平台引擎、管理终端、SaaS服务,其特征在于,所述安全云平台引擎包括:
监视单元,用于检测正在使用的平台SaaS服务的应用接口以及通过所述服务应用接口执行的活动;基于服务应用接口解析数据流并识别在云端服务中共享的内容,从而确定通过所述服务应用接口执行的活动;使用内容检验规则检索内容中与安全性相关的片段;并且响应于在所解析的数据流中发现与安全性相关的片段,触发安全操作。
优选地,所述安全操作包括将相关内容进行隔离。
优选地,所述SaaS服务包括隔离存储区,其特征在于:
所述隔离操作进一步包括,在云端服务创建隔离存储区之后,将安全性相关的内容条件地存储在隔离存储区中,等待管理员用户的授权或拒绝;所述有条件地存储在隔离存储区中包括生成与目标内容相关联的镜像文件;所述隔离存储区是在不同于共享内容的第一服务的第二服务中创建的。
优选地,所述安全操作包括针对特定文档进行加密。
优选地,所述安全云平台引擎包含密钥管理器,所述密钥管理器托管在使用云平台服务的数据所有者的本地数据中心,并且所述加密操作进一步包括:
访问具有数据所有者标识、应用标识和区域代码的三元组的密钥管理器;接收三元组密钥和用于唯一识别三元组密钥的密钥组标识;对于具有文档标识的文档:
从三元组密钥、文档标识的组合中导出每个文档的独立密钥;广播加密的文档、文档标识和密钥三元组标识;使用每个文档的独立密钥来加密文档;其中导出每个文档密钥还包括,使用哈希密钥导出函数从三元组密钥、文档标识的组合导出每个文档的独立密钥。
优选地,基于文档的内容检查,将文档分类标签应用于文档;使用文档分类标签来控制对文档的访问。
优选地,生成验证文档完整性的数据完整性标签;以及保存数据完整性标签。
优选地,所述使用内容检验规则检索内容中与安全性相关的片段,还包括:基于多个内容检验规则来定义内容检查简档,并将其包括在云端服务的策略中。基于在云端服务的策略中定义的多个条件变量来触发安全操作。
本发明相比现有技术,具有以下优点:
本发明提出了基于大数据的安全云平台系统,允许数据所有者建立可变粒度的访问策略,识别风险行为和可能发生的数据泄露,精确指定需要保护的数据范围,以提高与云端服务的交互的安全性和效率。
附图说明
图1是根据本发明实施例的基于大数据的安全云平台系统的框图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
图1是根据本发明实施例的基于大数据的安全云平台系统框图。本发明的一方面提供了基于大数据的安全云平台系统,所述云平台系统包括安全云平台引擎、管理终端、SaaS服务。本发明允许数据所有者建立可变粒度的访问策略,识别风险行为和可能的数据丢失或泄露,以提高与云端服务的交互的安全性和效率。
对于云平台上的每一项数据内容,所述安全云平台引擎基于描述内容详细信息(如文档类型、文档名)的内容简档以及多个内容简档的对比,来识别与机密数据的共享相关的活动。内容简档提供了机密数据的上下文和活动感知检测。
基于内容配置文件,本发明安全云平台引擎的实时地实施可变粒度的访问策略,以防止可能发生的数据泄露。根据该内容简档可以追溯SaaS服务,从而发现可能已经被共享的机密数据。
一旦检测到任何不安全事件,安全云平台引擎触发多个安全操作,包括阻止、警报、隔离、记录或加密。安全操作的类型可以基于内容访问策略的类型、正在执行的内容的活动和内容类型中的至少一个。本发明通过在细粒度的上下文中保护数据,包括用户组、位置、设备、服务或类别、活动和内容,通过粒度的缩小,允许数据所有者精确指定需要保护的数据范围,以锁定真正风险而不必加密所有内容。
安全云平台引擎通过管理平面和数据平面提供各种功能。优选地,数据平面包括抽取引擎、分类引擎和安全引擎。这些功能连同普通客户端共同提供与SaaS服务的安全接口。
所述安全云平台引擎包括监视单元和存储单元。存储单元存储内容访问策略、内容简档、内容检验规则、企业数据、客户端和用户身份。优选地,存储单元将来自租户的信息存储到公共数据库映像的表中,以形成按需数据库服务。数据库映像可以包括关系数据库管理系统、面向对象的数据库管理系统、分布式文件系统或任何其他数据存储系统。
所述管理终端具有由安全云平台引擎提供的安全接口,以定义和管理内容访问策略。管理终端的用户只能改变与其数据所有者相关联的内容访问策略。优选地,管理终端被分配角色,并且基于角色来控制对安全云平台引擎的数据的访问。企业管理员可以配置SaaS服务,以对安全云平台引擎的对企业用户的请求提供响应,防止普通客户端绕过安全云平台引擎实施的策略。企业可以在内容访问策略中为所有用户建立策略。对于涉及内容操作的每个活动,安全云平台引擎将调用内容检验规则。如果确定内容属于机密数据,则触发安全操作以防止包含机密数据内容的的泄露或篡改。
云端服务被托管在公共云、私有云和数据中心中的至少一个。优选地,对存储在云平台服务上的内容进行监控的过程具体包括:
首先检测正在使用的平台SaaS服务应用接口。通过实时检查服务调用事务,发现与数据所有者的服务接口对应的SaaS服务。
然后,通过描述执行活动时的事务的事件日志项,确定通过服务应用接口执行的活动是否是基于内容的活动。可选地,所述抽取引擎基于服务应用接口来解析数据流,并识别包括内容操作的活动。如果确定被执行的活动不是基于内容的,则采用基于活动的策略。基于活动的策略包括但不限于,防止在数据所有者之外共享已经上传的文档,或执行应用签名的生成过程,该应用签名抽取云端服务的域名和地址,如果域名或地址在黑名单中,则根据基于活动的策略选择性地旁路该地址。
在上述步骤之后,采用内容检验规则来发现内容中与安全性相关的片段。优选地,分类引擎用于确定抽取的内容是否与在适用的内容检验规则中定义的参数相匹配。内容检验规则用于在与安全性相关的内容相关联的元数据中检索片段。更优选地,基于多个内容检验规则来定义内容检查简档,并将其包括在云端服务的策略中。此外,基于在云端服务的策略中定义的多个条件变量来触发安全操作。内容检验规则包括针对源代码或技术规范的多部分片段搜索模式。
响应于在解析的数据流中发现与安全性相关的片段的安全操作。优选地,安全引擎检索内容访问策略,以基于已分类内容的类型来确定应该采取哪些安全操作。安全操作可包括隔离内容。具体的,隔离内容涉及在云端服务中创建隔离存储区,生成代表所标识内容的镜像文件的数据,并将镜像文件存储在上传用户希望上传该内容的目的地。隔离存储区还可以在另一云端服务中创建,其不同于内容已经被传送到的当前服务。可选地,安全操作包括针对特定文档的内容加密。所述针对特定文档的加密包括访问具有数据所有者标识、应用标识和区域代码的三元组的密钥管理器,并接收用于唯一标识三元组密钥的三元组密钥和密钥组标识。对于具有文档标识ID的文档,方法还包括从密钥三元组、文档ID的组合中导出每个文档密钥,使用每个文档密钥来加密文档,以及广播加密的文档、文档ID和密钥三元组标识。
可以使用哈希密钥导出函数用于从密钥三元组、文档标识的组合中导出每个文档的独立密钥。基于文档的内容检查,文档分类标签用于文档,并用于控制对文档的访问。生成数据完整性标签,该标签认证文档的完整性,并被保存以在文档的处理时使用。所述密钥管理器是符合密钥管理互操作协议的密钥管理系统,其被托管在使用云平台服务的数据所有者的本地数据中心。
此外,通过考虑SaaS服务的各种属性可以衡量SaaS服务的完备性,包括:加密策略、数据中心数量、数据中心的合法性、身份和访问控制策略、文件共享策略、数据分类策略、数据访问日志保存策略、回收策略。基于上述完备性,SaaS服务被分类为不同的信任等级。信任等级可以用作实时内容访问策略中的匹配标准,例如可以阻止将个人身份信息上传到SaaS服务信任等级值低于预设等级的服务,或拒绝用户在低于预设等级的云端存储服务中共享内容。数据所有者可以通过调整索引的输入权重来定制信任等级,以匹配数据所有者的定义的标准。
使用基于内容配置文件定义的可变粒度的访问策略来监控企业数据的非限制性示例包括:允许特定用户共享所有公共资料,同时防止其将机密内容从云端存储服务下载到非托管系统;阻止境外的任何用户从任何客户关系管理服务下载联系人;仅允许将数据上传至信任等级值为中等以上的服务上;或阻止下载任何来自云端存储服务的可执行文件,或侦测用户将这种类型的文件下载到移动设备。
在又一实施方式中,该方法包括基于多个条件变量授权用户解密,包括至少一个数据分类标签。该方法还包括访问具有密钥标识符和区域代码的密钥管理器,并使用唯一标识主密钥的密钥标识符接收主密钥。对于具有文档标识ID的文档,该方法包括从主密钥、文档ID的组合中导出每个文档的独立密钥,使用每个文档的独立密钥解密文档,并将解密的文档广播给用户。
对于所述监视单元,本发明通过识别与数据所有者网络接口的每个SaaS服务,通过应用接口对SaaS服务的数据传输执行内容检查。监视单元指定要检查的存储在分组缓冲器中的数据分组和用于数据分组的内容检验规则。优选地,监视单元使用配置项来检索应用层对象、SIP分组,以检查通过网络发送的分组。待检查分组的特征包括分组签名、分组使用的带宽或压缩协议。除了配置项之外,监视单元还可通过使用四元组(源IP、目的IP、源端口、目的端口),对所有分组执行跟踪网络连接的上层分组检查。
此后,所述抽取引擎通过在多个层级解析业务分组,从存储在分组缓冲器中的分组中抽取内容。具体地,抽取引擎从内容简档中抽取文本和摘要表示、来自内容的语法信息、语义信息,或关于内容的元数据。优选地,抽取引擎在上层协议中使用解析功能从协议数据流中抽取应用层对象。
例如对于邮件内容而言,元数据的示例包括:IP地址、电子邮件地址、收件人地址、发件人地址、电子邮件的时间、网络链接、联系人列表、电子邮件中发送的文件名、在网络通信中共享的文件的数量、即时消息文本的类型、在网络通信中发送的音频和/或视频附件的名称,参与网络交流的实体数量等。
在抽取内容之后,将内容组织成数据集,并以列表、元组、字典、表格和/或集合的形态存储在存储单元中。然后分类引擎向数据库发出命令以检索和查看数据。所述分类引擎根据适用的内容访问策略、内容简档和内容检验规则来描述已抽取的内容。优选地,如果分组的特征满足内容检验规则的预设条件,则分组可以匹配内容检验规则。分类引擎确定抽取的内容中的片段是否匹配内容检验规则的相似性度量之一。作为示例,如果两个片段具有比预设阈值更高的Tanimoto相似性,则这两个片段是相似的。
在检测到与安全性相关的内容时,基于内容访问策略中定义的规则、正在执行的基于内容的活动以及内容类型来调用安全引擎中的各个模块。一旦检测到机密数据的潜在泄露,安全引擎中的警报模块就向网络管理员发送通知。安全引擎中的推荐模块对执行基于内容的活动的用户进行推荐,推荐关于数据所有者预先授权的更安全的替代SaaS服务。安全引擎中的隔离模块将共享的数据临时保存在SaaS服务的隔离存储区中,等待管理员用户的授权或拒绝。根据管理员用户的决定,允许内容共享到SaaS服务或拒绝共享。安全引擎中的加密模块使用哈希密钥导出函数,从所述密钥三元组的组合中导出每个文档的独立密钥来执行针对特定文档的加密。
所述数据平面还包括配置代理,用于从管理平面接收配置和策略信息的;事件队列,用于记录和/或存储要发送到管理平面的事件的、以及监控代理,用于监控数据平面的性能和状态。
用户与SaaS服务的交互是由会话上下文中发生的事件集合组成的。主要事件有(a)登录:向SaaS服务提供用户凭证以验证用户;(b)应用事务:执行一组应用级事务;和(c)注销:终止与服务的会话。因此,应用会话将这些交互连接到安全云平台引擎。使用深度应用接口检查逻辑来识别以上事件,并将策略描述与每个事务边界相关联。例如应用会话由HTTP头中的会话cookie来标识。安全云平台引擎可以使用会话cookie来定义会话,或者可选地使用包括用户ID、用户IP地址、设备、操作系统和浏览器/本地应用的元组来定义会话。
优选地,本发明使用基于监督和聚类的机器学习技术来分析原始事件数据以建立参考事件。参考事件数据和异常可以通过管理界面呈现。异常可以在多个SaaS服务之间进行跟踪。例如,从一个服务下载数据,然后上传到另一个服务,将自动检测到异常策略。也可以类似地建立与数据完整性和安全性相关的其他跨服务策略。
随着越来越多的企业数据转移到SaaS服务,内容访问策略需要会话上下文的支持。本发明使用多个条件变量来设置上下文,用于检查内容和实施内容访问策略。条件变量包括而不限于:内容服务名称、内容服务类别、信任等级、用户或组、用户或服务的位置、用户活动类型。由于在内容访问策略中包含上下文,有助于准确地识别可能的数据丢失,并实现数据保护。条件变量用于确定日志记录和数据流操作的策略匹配。策略本身可以根据针对简单直接匹配或更复杂的逻辑匹配而测试的条件变量来定义匹配。
上述执行框架也是可扩展的,定制策略动作可包括选择性地在线扫描数据,以检测和防止数据泄露。策略动作的目标是确保上传或存储在SaaS服务中的机密数据被加密。当数据从客户端移动到SaaS服务时,加密可以在安全云平台引擎中执行,而当数据从SaaS服务移动到客户端时,解密可以在安全云平台引擎或客户端执行。加密和解密的密钥或密码可以在策略和/或第三方系统中指定。密钥或密码可以是用户身份的密钥或密码。例如可以是普通用户组的企业加密密码。
内容访问策略的执行可分为主动和/或被动模式。在主动模式下,所有用户数据通过安全云平台引擎,并且实时调用内容检验规则。在被动模式下,可以使用API连接器调用内容检验规则,追溯数据所有者认可的SaaS服务上已经存在的目录、文件和存储区。在被动模式下,数据所有者手动查询存储在SaaS服务中并已离开数据所有者网络的内容。
具体而言,当企业用户试图将机密内容上传到云端存储服务时,隔离模块可以向管理员用户即数据所有者授权的合法人员发送请求。机密信息可以保持在隔离存储区中,直到事务被授权。隔离模块屏蔽了用户的上传操作,并生成表示标识企业数据的镜像文件的数据。并从逻辑上删除文件,并通知用户,由于企业策略,包括当前数据的文件正在被检查,并且上传的文件仅可由管理员用户访问。此外,由管理平面向管理员用户发送关于隔离安全操作的通知。然后从管理员用户接收关于上传尝试的响应。如果管理员用户授权共享,则镜像文件被企业数据替换。否则,如果管理员用户拒绝共享,则删除上述逻辑上被删除的文件。然后系统向企业用户发送关于处理企业数据的进一步指令。
可选地,所述调整模块接收企业用户关于所述上传操作的目的和有效性的调整。一旦接收到调整,由调整模块将企业数据共享到SaaS服务。还可以基于内容访问违规记录而生成报告。例如,管理员可以创建一个报告显示违反内容检验规则的企业用户、SaaS服务以及违反内容检验规则的设备。
在加密方面,本发明另一优选方面旨在检测到可能发生的数据泄露时,执行对企业数据的文档定制加密。所述文档定制加密即基于每个文档,对企业数据进行细粒度的加密和解密。传统的特定文档的加密技术的主要缺点需要存储用于单个文档的大量加密密钥。而本发明公开的方法不需要大量加密密钥,解决了粒度加密操作中低效密钥管理的问题。本发明从持久性的主密钥中实时导出非持久性的独立密钥,用于每个文档的加密和解密。主密钥基于每个应用而不是每个文档生成的,其数量级远低于每个文档的加密密钥。通过生成定制的加密密钥,实现了企业数据泄露的最小化。
定制的加密密钥是为各个数据所有者的不同应用实例而定制的。应用实例是指数据所有者在各种SaaS服务上的不同应用账户。因此,本发明为一个数据所有者在多个SaaS服务上拥有的不同应用帐户维护单独的加密密钥。加密密钥可以基于行业类型、用户组或分层标准来定制。
优选地,文档定制加密包括,响应于向密钥管理器提供以下三部分信息,从密钥管理器生成主密钥或密钥三元组:(1)数据所有者或租户标识,(2)SaaS服务或应用标识,以及(3)区域或其他用户终端标识。密钥管理器使用三元组来生成三元组密钥以及唯一的密钥组标识。唯一密钥三元组标识可以是作为对应于私钥三元组的公钥指针的ASCII值,并且存储在要加密的文档的报头中。文档的报头还包括唯一的文档标识以及唯一的密钥三元组标识。文档标识可为令牌、公钥证书等唯一标识的形式。
用所述公钥指针表示私有主密钥,使得在不损害私有主密钥的情况下自由分发加密文档。因此,如果企业的机密文档被有意或无意地泄露,企业的暴露仅限于泄露的文档,而不是存储泄露文档的私有主密钥的整个SaaS服务。
每个文档的独立密钥是使用密钥派生函数(KGF)生成的。具体地,加密模块计算KGF,其将密钥三元组、文档标识作为参数,并生成作为结果的每个文档的独立密钥。KGF可以是哈希函数SHA或可以包括用于确定加密或解密密钥的任何函数。一旦导出了每个文档的独立密钥,则使用该密钥根据AES等加密算法对文档进行加密。
关于密钥管理器,本发明优选的密钥管理器与企业的内部基础设施相集成,允许企业根据其内部策略集中管理其加密密钥。密钥管理器管理加密密钥,包括维护许可、管理密钥访问、提供密钥备份、执行密钥存档过程、执行客户端管理过程、监控安全设备、更新密钥、执行灾难恢复和其他管理功能。当授权客户端从安全存储单元的特定部分请求企业数据时,密钥管理器检索对应的加密密钥,并将其提供给加密模块以执行所需的加密操作。密钥管理器还可以执行其他操作,例如访问控制、认证、虚拟化和安全日志记录操作。
在上述实施例中,如果当前企业用户试图向SaaS服务进行企业数据的内容共享,在企业数据被识别为与安全性相关的机密数据的情况下,分类引擎拒绝该共享操作,并根据可采用的内容访问策略,企业数据以每个文档为单位被加密。加密模块将报头添加到文档中。报头包括用于实现不同加密操作的多个信息,例如加密、校验和以及解密。报头中例如包括唯一文档标识、报头的大小、文档大小和报头版本号。加密模块使用数据所有者标识、应用标识和区域代码的组合即三元组,以从密钥管理器接收三元组密钥和密钥组标识。数据所有者标识用于标识数据所有者。应用标识指定正在执行的基于内容的活动所涉及的SaaS服务。区域代码用于确定用户所属的数据所有者区域。此外,文档标识和密钥三元组标识被提供给KGF以生成每个文档的独立密钥,使用每个文档密钥加密文档。在加密之前,报头被更新为包括用于解密的密钥三元组标识。
在解密阶段,抽取引擎从加密报头中抽取文档标识和密钥三元组标识。优选地,设置校验和以验证报头的完整性,并使用具有完整性的信息来解密文档。优选地,校验和是无密钥的,例如MD5。在可选实施例中,用户被授权基于上述多个条件变量进行解密,包括数据分类标签。加密模块使用密钥三元组标识从密钥管理器接收密钥三元组。此外,文档标识和密钥组标识被提供给KGF以生成每个文档的独立密钥。然后使用每个文档的独立密钥解密文档,以产生原始文档。
在可选实施例中,只有每个文档的独立密钥被共享到安全引擎。内容访问策略响应于检测到机密数据的共享而触发加密安全操作。此外,加密安全操作仅针对上传内容等级的活动而触发。
在进一步方面,所述加密引擎利用终端标识的身份特征,将终端标识与客户端身份特征进行绑定,并与公共参数生成终端私钥,通过终端私钥进行数字签名。利用终端标识的密码特征,在服务的入口验证数字签名,确保到达数据为合法数据,如果签名不通过,安全引擎认为该客户端为非法设备,将拒绝其接入云平台,保证云平台系统不被恶意用户攻击。利用终端标识的标签特征,使终端标识成为路由表可识别的匹配字段,最后通过多级路由表匹配的方式实现基于终端标识定义网络转发行为。终端标识的身份特征、密码特征和标签特征共同作用,形成来源可验证、控制精细化的安全防护体系。
首先获取终端私钥和终端标识,并对IP分组签名,通过修改云平台的协议栈实现终端标识和属性签名封装,存储该设备的公共参数,提供给安全引擎读取。
通过收集数据层信息,获取网络拓扑结构;生成基于终端标识的路由规则实现对数据层的转发控制。在原有的云平台系统安全引擎的基础上,增加终端标识解析和数据来源验证引擎,将终端标识扩展为自定义匹配域,可根据终端标识转发IP分组,并根据安全引擎连接云平台的访问结构在出口对数据合法性进行验证。
假设终端的属性是可信的,通过哈希函数将标识集合中每个属性生成一串哈希值,将其生成的布尔函数作为终端标识。终端标识作为IP分组进出网络的许可证,负责分组的认证和转发。为了实现基于终端标识的分组转发和认证,采用基于终端标识的多级路由表匹配转发机制,通过路由表匹配的方式选择合适的分组进行数据来源验证和实现基于终端标识的匹配转发。未匹配的分组下发合适的路由规则,分组解析出终端标识、进行终端标识失效标记并生成匹配的路由规则。
安全引擎接收到的分组首先对分组进行解析,利用偏移字段对分组头进行解析,将分组解析成安全引擎可识别字段,如IP地址、协议类型、终端标识和端口。当终端与安全云平台通信连接后,安全引擎与终端通信获取终端地址,将终端设备地址与路由端口进行一一映射。使安全引擎与云端服务通信获取公共参数。
在接收到数据流匹配数据集后,首先获取分组匹配数据集的目的地址,并与云端服务通信获取对应的公共参数,并对数字签名进行验证,将验证通过的分组进行匹配。
由于不同流向的数据流处理方式不同,本文使用多级路由表的方式进行处理,根据输入端口的不同分配不同的路由表,通过路由表匹配的方式实现数据转发及合法性验证。多级路由表分为端口表、终端标识表、终端动作表和基本转发表。端口表用于区分数据来源;终端标识表用于鉴别终端标识的有效性,其在生命周期内存储从控制器接收的最近一次无效路由表,若终端标识匹配则丢弃分组;终端动作表通过匹配判断分组是否需要鉴别数据合法性;基本转发表用于转发收到的分组,实现分组转发的基本功能。
端口匹配表首先与匹配数据集进行匹配,其路由表匹配过程如下。
步骤1:将匹配数据集转发至终端标识表;若匹配,或终端标识为空,则丢弃分组,若不匹配则转发至终端动作表;
步骤2:对终端标识表发来的数据流的数据合法性进行验证,将其返回端口表进行重新匹配,若不匹配则将其上传给控制器;
步骤3:端口表与返回数据流数据集进行匹配,若匹配成功,则直接转发至基本转发表;基本转发表对数据集进行匹配,按匹配成功顺序进行转发。
对于非法分组,获取该分组的源IP地址和终端标识,并生成相应的终端标识失效路由表,将失效路由表下发至终端标识表,在分组入口禁止该类分组在云平台系统中传送。安全引擎收到分组后对分组进行解析,并将解析出的匹配数据集进行匹配转发,在匹配过程中,需要将服务入口处分组进行鉴别,将未匹配的分组和非法分组分别生成新的路由规则和失效路由规则。
本发明通过所述安全引擎实现分组中属性签名的验证和访问控制结构的更新。首先根据生成的公共参数;将公共参数发送给安全引擎;根据终端属性生成终端标识和终端私钥,不同终端拥有不同的终端标识和终端私钥。生成带终端标识和签名的分组,并发送至安全引擎,安全引擎获取设备公共参数,并在服务入口对分组进行签名验证。当终端需更新访问结构时,只需上传新的访问结构,获取新的访问结构的公共参数。
综上所述,本发明提出了基于大数据的安全云平台系统,允许数据所有者建立可变粒度的访问策略,识别风险行为和可能发生的数据泄露,精确指定需要保护的数据范围,以提高与云端服务的交互的安全性和效率。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (7)
1.基于大数据的安全云平台系统,所述云平台系统包括安全云平台引擎、管理终端、SaaS服务,其特征在于,所述安全云平台引擎包括:
监视单元,用于检测正在使用的平台SaaS服务的应用接口以及通过所述服务的应用接口执行的活动;基于服务应用接口解析数据流并识别在云端服务中共享的内容,从而确定通过所述服务应用接口执行的活动;使用内容检验规则检索内容中与安全性相关的片段;并且响应于在所解析的数据流中发现与安全性相关的片段,触发安全操作;
所述安全云平台引擎包含密钥管理器,所述密钥管理器托管在使用云平台服务的数据所有者的本地数据中心,并且加密操作进一步包括:
访问具有数据所有者标识、应用标识和区域代码的三元组的密钥管理器;接收三元组密钥和用于唯一识别三元组密钥的密钥组标识;对于具有文档标识的文档:
从三元组密钥、文档标识的组合中导出每个文档的独立密钥;广播加密的文档、文档标识和密钥三元组标识;使用每个文档的独立密钥来加密文档;其中导出每个文档密钥还包括,使用哈希密钥导出函数从三元组密钥、文档标识的组合导出每个文档的独立密钥。
2.根据权利要求1所述的基于大数据的安全云平台系统,其特征在于:
所述安全操作包括将相关内容进行隔离。
3.根据权利要求2所述的基于大数据的安全云平台系统,SaaS服务包括隔离存储区,其特征在于:
所述安全操作进一步包括,在云端服务创建隔离存储区之后,将安全性相关的内容有条件地存储在隔离存储区中,等待管理员用户的授权或拒绝;所述有条件地存储在隔离存储区中包括生成与目标内容相关联的镜像文件;所述隔离存储区是在不同于共享内容的第一服务的第二服务中创建的。
4.根据权利要求1所述的基于大数据的安全云平台系统,其特征在于:所述安全操作包括针对特定文档进行加密。
5.根据权利要求1所述的基于大数据的安全云平台系统,其特征在于,还包括:
基于文档的内容检查,将文档分类标签应用于文档;使用文档分类标签来控制对文档的访问。
6.根据权利要求1所述的基于大数据的安全云平台系统,其特征在于,还包括:
生成验证文档完整性的数据完整性标签;以及保存数据完整性标签。
7.根据权利要求1所述的基于大数据的安全云平台系统,其特征在于,所述使用内容检验规则检索内容中与安全性相关的片段,还包括:基于多个内容检验规则来定义内容检查简档,并将其包括在云端服务的策略中;基于在云端服务的策略中定义的多个条件变量来触发安全操作。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010366671.5A CN111526156B (zh) | 2020-04-30 | 2020-04-30 | 基于大数据的安全云平台系统 |
| CN202011114211.XA CN112217829A (zh) | 2020-04-30 | 2020-04-30 | 基于大数据的路由方法 |
| CN202010975547.9A CN112087463A (zh) | 2020-04-30 | 2020-04-30 | 一种基于大数据云平台系统的加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010366671.5A CN111526156B (zh) | 2020-04-30 | 2020-04-30 | 基于大数据的安全云平台系统 |
Related Child Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011114211.XA Division CN112217829A (zh) | 2020-04-30 | 2020-04-30 | 基于大数据的路由方法 |
| CN202010975547.9A Division CN112087463A (zh) | 2020-04-30 | 2020-04-30 | 一种基于大数据云平台系统的加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111526156A CN111526156A (zh) | 2020-08-11 |
| CN111526156B true CN111526156B (zh) | 2020-12-22 |
Family
ID=71906599
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011114211.XA Withdrawn CN112217829A (zh) | 2020-04-30 | 2020-04-30 | 基于大数据的路由方法 |
| CN202010975547.9A Withdrawn CN112087463A (zh) | 2020-04-30 | 2020-04-30 | 一种基于大数据云平台系统的加密方法 |
| CN202010366671.5A Active CN111526156B (zh) | 2020-04-30 | 2020-04-30 | 基于大数据的安全云平台系统 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011114211.XA Withdrawn CN112217829A (zh) | 2020-04-30 | 2020-04-30 | 基于大数据的路由方法 |
| CN202010975547.9A Withdrawn CN112087463A (zh) | 2020-04-30 | 2020-04-30 | 一种基于大数据云平台系统的加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (3) | CN112217829A (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112887318A (zh) * | 2021-01-29 | 2021-06-01 | 银盛通信有限公司 | 一种基于互联网的云端数据处理方法 |
| CN113032826B (zh) * | 2021-03-18 | 2022-08-23 | 韩绍强 | 一种基于多级授权的加密电子文档共享方法 |
| CN114143025B (zh) * | 2021-10-27 | 2023-09-05 | 浙江银盾云科技有限公司 | 云平台安全策略管理系统 |
| CN114422117B (zh) * | 2021-12-14 | 2023-09-22 | 杭州宇链科技有限公司 | 隐私保护的视频采集方法及其对应的播放方法 |
| CN114244763B (zh) * | 2021-12-20 | 2023-11-17 | 中电福富信息科技有限公司 | 基于规则引擎的动态网络拓扑管理方法及其系统 |
| CN114793169A (zh) * | 2022-03-21 | 2022-07-26 | 中国信息通信研究院 | 大数据平台全流程数据加密保护方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN103152352B (zh) * | 2013-03-15 | 2016-02-10 | 北京邮电大学 | 一种基于云计算环境的全信息安全取证监听方法和系统 |
| CN103309937A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种云平台内容监管的方法 |
| CN103647785A (zh) * | 2013-12-20 | 2014-03-19 | 北京奇虎科技有限公司 | 一种移动终端安全的控制方法、装置及系统 |
| CN104104679B (zh) * | 2014-07-18 | 2017-07-11 | 四川中亚联邦科技有限公司 | 一种基于私有云的数据处理方法 |
| CN104881748A (zh) * | 2015-06-02 | 2015-09-02 | 广西大学 | 基于“云计算”调度应用的电力调度自动化方法和系统 |
| CN107295021B (zh) * | 2017-08-16 | 2021-06-04 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及系统 |
| EP3528460A1 (en) * | 2018-02-20 | 2019-08-21 | Darktrace Limited | Artificial intelligence privacy protection for cybersecurity analysis |
| US11394691B2 (en) * | 2018-06-05 | 2022-07-19 | Acreto Cloud Corporation | Ecosystem per distributed element security through virtual isolation networks |
| CN110677411B (zh) * | 2019-09-27 | 2022-07-19 | 浙江宇视科技有限公司 | 一种基于云存储的数据共享方法及系统 |
-
2020
- 2020-04-30 CN CN202011114211.XA patent/CN112217829A/zh not_active Withdrawn
- 2020-04-30 CN CN202010975547.9A patent/CN112087463A/zh not_active Withdrawn
- 2020-04-30 CN CN202010366671.5A patent/CN111526156B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111526156A (zh) | 2020-08-11 |
| CN112217829A (zh) | 2021-01-12 |
| CN112087463A (zh) | 2020-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111526156B (zh) | 基于大数据的安全云平台系统 | |
| JP6476339B6 (ja) | クラウド・コンピューティング・サービス(ccs)上に保存された企業情報をモニター、コントロール、及び、ドキュメント当たりの暗号化を行うシステム及び方法 | |
| US11956235B2 (en) | Behavioral baselining from a data source perspective for detection of compromised users | |
| US8296855B2 (en) | Privileged access to encrypted data | |
| US20210377258A1 (en) | Attributed network enabled by search and retreival of privity data from a registry and packaging of the privity data into a digital registration certificate for attributing the data of the attributed network | |
| US11863557B2 (en) | Sidecar architecture for stateless proxying to databases | |
| US11836243B2 (en) | Centralized applications credentials management | |
| CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
| US9172711B2 (en) | Originator publishing an attestation of a statement | |
| US20240039914A1 (en) | Non-in line data monitoring and security services | |
| US20230334140A1 (en) | Management of applications’ access to data resources | |
| US11991192B2 (en) | Intruder detection for a network | |
| US20230198960A1 (en) | Data masking | |
| Zhang et al. | Controlling Network Risk in E-commerce | |
| US20240078337A1 (en) | Systems and Methods for Managing Data Security | |
| Sakhamuri et al. | An Invasion Detection System in the Cloud That Use Secure Hashing Techniques | |
| CN118233117A (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| WO2021034441A1 (en) | Intruder detection for a network | |
| CN115766067A (zh) | 一种函数服务管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201127 Address after: No. 25, Linquan East Road, Feidong Economic Development Zone, Hefei, Anhui Province Applicant after: ANHUI BAOHULU INFORMATION TECHNOLOGY GROUP Co.,Ltd. Address before: 510000 1011, building H5, Luogang Aoyuan Plaza, 1940 Chuang Kai Avenue, Huangpu District, Guangzhou City, Guangdong Province Applicant before: GUANGZHOU ZHIHONG TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |