CN111563269A

CN111563269A - 基于影子系统的敏感数据安全保护方法及系统

Info

Publication number: CN111563269A
Application number: CN202010191679.2A
Authority: CN
Inventors: 夏洪涛; 卞蓓蕾; 王彬栩; 李鹏; 杨跃平; 王辉华; 杨扬; 王猛; 徐重酉; 叶楠; 苏建华; 赵剑; 叶斌; 琚小明; 潘富城; 胡妙; 于晓蝶; 张朋飞; 刘宇; 冉清文
Original assignee: State Grid Zhejiang Yuyao Power Supply Co ltd; Yongyao Science And Technology Branch Of Ningbo Transmission And Transfer Construction Co ltd; East China Normal University; Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Current assignee: State Grid Zhejiang Yuyao Power Supply Co ltd; Yongyao Science And Technology Branch Of Ningbo Transmission And Transfer Construction Co ltd; East China Normal University; Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date: 2020-03-18
Filing date: 2020-03-18
Publication date: 2020-08-21
Anticipated expiration: 2040-03-18
Also published as: CN111563269B

Abstract

本发明公开了一种基于影子系统的敏感数据安全保护方法及系统，包括：影子系统用户读/写请求发送给真实数据访问系统；真实数据访问系统识别请求数据是敏感数据还是普通数据；对于普通数据，直接返回结果；对于敏感数据，加密所述敏感数据，判断用户的权限；若无敏感数据访问权限，则拒绝用户访问敏感数据；若仅有敏感数据读权限，则返回敏感数据的影子页面地址给影子系统；若具有敏感数据读写权限，则开放敏感数据的可信安全区，并回应给影子系统。本方面还公开了响应的系统。本公开的技术方案基于影子系统提高敏感数据的安全性。

Description

基于影子系统的敏感数据安全保护方法及系统

技术领域

本发明属于数据安全领域，具体涉及一种基于影子系统的敏感数据安全保护方法及系统。

背景技术

随着大数据时代的到来，云计算和深度学习的发展，更高效的数据处理技术在带来更高生产力的同时，也引发了如何确保数据安全的安全危机。特别是国家电网这类涉及国民经济命脉和国家能源安全的企业，一旦发生数据泄密事件，其必然对于国家和人民都带来重大损失。因此，数据安全已经成为国家智能电网计划中必不可少的一部分，如何确保国网数据安全越来越受研究者关注。

目前对于电力企业大量数据的安全保护方案并不完善，大部分普遍倾向于对于敏感数据直接加密保护以防止数据泄密及未授权行为。然而，这些方案并没有解决敏感数据安全问题，而且也会产生一系列不可预估的不良副作用，如如何保护密钥安全，加密开销，数据迁移以及高效检索问题。尽管电网已经开始使用一些访问控制策略用于限定非法行为，然而面对黑客的高级未授权访问攻击仍然无法避免。因此现有的数据安全保护技术方案仍然存在较大缺陷，有待于继续改进和发展。

另一个构建电网数据安全体系的核心问题是如何精准地在大量数据中识别敏感数据，而后对于敏感数据实现有效保护。目前电力企业通用的敏感数据文件识别方法是通过建立敏感数据词库，然后通过分词算法统计相应关键词评率，从而判断敏感数据。这些方案尽管速度较快，但是具有很高的误报率和漏报率，造成人工复核成本较高，同时增加了敏感数据泄密风险，导致敏感数据安全性低，大部分这种方案需要大量人工维护，极大增加了识别成本。

发明内容

本发明的目的在于解决现有所存在的敏感数据安全性低的问题，提供一种基于影子系统的敏感数据安全保护方法及系统，提高敏感数据的安全性。

为了实现所述目的，本公开的一方面，基于影子系统的敏感数据安全保护方法，应用于敏感数据安全保护系统，所述敏感数据安全保护系统包括影子系统和真实数据访问系统，所述方法包括：

步骤S1：影子系统接收用户读/写请求，将用户读/写请求发送给真实数据访问系统；

步骤S2：真实数据访问系统接收影子系统发送的用户读/写请求；识别请求数据是敏感数据还是普通数据；对于普通数据，直接返回结果；对于敏感数据，则进入步骤S3；

步骤S3：加密所述敏感数据，并进入步骤S4；

步骤S4：判断所述用户的权限；

若用户无敏感数据访问权限，则拒绝用户访问敏感数据；

若用户仅有敏感数据读权限，则返回敏感数据的影子页面地址给影子系统，以供用户通过影子系统访问影子页面；

若用户具有敏感数据读写权限，则开放敏感数据的可信安全区，并回应给影子系统，以供用户通过影子系统根据所述可信安全区进行敏感数据的读写控制。

可选的，所述方法包括：

步骤A1.用户终端向影子系统发送用户读请求；

步骤A2.影子系统接收到用户终端的用户读请求后，将用户读请求转发给内部真实数据访问系统；

步骤A3.真实数据访问系统接收影子系统发送的用户读请求后，提取用户读请求的数据，并判断用户读请求的数据是敏感数据还是普通数据；

步骤A4.若读请求的数据均为普通数据，则执行步骤A5；若请求均为敏感数据，则执行步骤A6；若既包含普通数据和敏感数据的，分别进行操作A5和A6；

步骤A5.对于普通数据的读请求，真实数据访问系统直接返回数据给影子系统；

步骤A6.敏感数据采用基于属性的CP-ABE加密，对读请求的用户进行权限认证，若用户无敏感数据权限，则直接返回拒绝响应；若用户有敏感数据读权限，则解密敏感数据，将解密的敏感数据的影子页面地址发送给影子系统，其中，所述影子页面包含敏感数据完整拷贝但无法篡改，其与真实数据访问系统隔离；

步骤A7.影子系统接收到真实数据访问系统的回应后，对信息进行重组，接受相应数据，将数据或者拒绝请求返回给用户终端；

步骤A8.用户终端收到数据或者拒绝请求后，结束本次读请求。

可选的，步骤A6中，在用户有敏感数据读权限时，构建影子页面；

所述构建影子页面包括：解密加密的敏感数据，使用缓冲区存放需要读取的敏感数据，以将读权限用户对于文件的读操作，转化为针对影子文件的读操作。

可选的，所述方法包括：

步骤B1.用户终端向影子系统发送用户写请求，所述用户写请求包含用户秘钥；

步骤B2.影子系统接收到用户终端的用户写请求后，将用户写请求转发给内部真实数据访问系统；

步骤B3.真实数据访问系统接收影子系统发送的用户写请求后，提取用户写请求的数据，并判断用户写请求的数据是敏感数据还是普通数据；

步骤B4.若写请求的数据均为普通数据，则执行步骤B5；若请求均为敏感数据，则执行步骤B6；若既包含普通数据和敏感数据的，分别进行操作A5和A6；

步骤B5.对于普通数据的写请求，直接写入磁盘，返回成功写入响应；

步骤B6.敏感数据采用基于属性的CP-ABE加密，对写请求的用户进行权限认证，若用户无敏感数据权限，则直接返回拒绝响应；若用户有敏感数据写权限，则使用用户秘钥解密可信安全区，将解密后的敏感数据地址存入可信安全区并返回是否写入安全区响应；接收到确认响应后，将相应数据通过敏感数据地址修改写入磁盘并返回成功修改响应；

步骤B7.影子系统接收到真实数据访问系统的回应后，将回应转发到用户终端给用户终端；

步骤B8.用户终端在用户确认修改并收到成功修改响应后，结束本次写请求。

可选的，所述对请求数据进行敏感数据识别包括：通过神经网络模型自动识别敏感数据。

可选的，所述方法还包括：

收集已知敏感数据样本和普通数据样本，使用word2vec构建词向量模型，训练词向量表示；

使用卷积神经网络和递归神经网络的组合模型进行敏感数据训练，获取可以识别敏感数据的神经网络模型。

可选的，所述加密所述敏感数据包括：采用CP-ABE加密算法加密所述敏感数据。

本公开的另一方面，一种基于影子系统的敏感数据安全保护系统，其特征在于，包括影子系统和真实数据访问系统，所述真实数据访问系统包括敏感数据识别模块；

所述影子系统用于接收用户读/写请求，将用户读/写请求发送给真实数据访问系统；

真实数据访问系统，用于接收影子系统发送的用户读/写请求；并通过敏感数据识别模块识别请求数据是敏感数据还是普通数据；对于普通数据，直接返回结果；对于敏感数据，加密所述敏感数据，并判断所述用户的权限；

若用户无敏感数据访问权限，则拒绝用户访问敏感数据；

可选的，所述敏感数据识别模块包括词向量训练集模块、敏感数据训练模块和检测模块；

所述词向量训练集模块用于收集已知敏感数据样本和普通数据样本，使用word2vec构建词向量模型，训练词向量表示；

所述敏感数据训练模块，用于使用卷积神经网络和递归神经网络的组合模型进行敏感数据训练，获取可以识别敏感数据的神经网络模型；

所述检测模块，用于对待检测数据通过所述敏感数据监测模型进行计算得到相应结果。

通过实施本公开的技术方案可以取得以下有益技术效果：本公开的方法中，真实数据访问系统的数据与影子系统交互，用户与影子系统交互，影子系统隔离用户与真实数据访问系统，真实数据访问系统的数据访问安全和数据存储安全，提高数据安全性。

仅有敏感数据读权限的用户读取敏感数据时，只能通过影子系统访问影子页面，不直接访问真实数据访问系统中的敏感数据，进而用户和木马无法修改真实数据访问系统中的敏感数据，提高敏感数据的安全性。

附图说明

图1为本公开一个实施方式中的一种基于影子系统的敏感数据安全保护方法的流程图；

图2为本公开一个实施方式中的一种敏感数据安全保护系统的框图；

图3为本公开一个实施方式中的一种影子页面示意图；

图4为本公开一个实施方式中的一种基于CP-ABE的加密流程图；

图5为本公开一个实施方式中的一种敏感数据识别模块的框图

具体实施方式

为了便于本领域技术人员的理解，下面结合具体实施例对本发明作进一步的说明：

参见图1和图2，一种基于影子系统的敏感数据安全保护方法，应用于敏感数据安全保护系统，敏感数据安全保护系统包括影子系统1和真实数据访问系统2，方法包括：

步骤S2：请求数据即用户读/写请求的数据；

步骤S3：加密所述敏感数据，并进入步骤S4；

步骤S4：判断所述用户的权限；

若用户无敏感数据访问权限，则拒绝用户访问敏感数据；

步骤S4中，影子页面存放的敏感数据不是真实数据访问系统中存储地的敏感数据，目的在于让影子页面中的敏感数据不会因为用户操作而导致修改或破坏真实数据访问系统中的实际敏感数据；影子页面存放的敏感数据可以是存在缓冲区的敏感数据。可信安全区中的敏感数据或敏感数据的地址是真实数据访问系统中存储地的敏感数据或敏感数据地址，用户可以通过可信安全区修改真实数据访问系统的敏感数据。

上述影子系统隔离了用户与真实数据访问系统，用户只能通过影子系统进行数据的访问。

本公开的方法中，真实数据访问系统的数据仅通过影子系统交互，保证敏感数据访问安全和数据存储安全。本公开的方法还可以极大提高敏感数据的识别效率，减少人力成本，达到智能维护，实现敏感数据安全保护的流水线。

上述公开的实施例的敏感数据安全保护方法，其有益效果包括：

1、有效减少了病毒和网络攻击对数据的影响，通过影子系统中间转发交互，实现用户与数据的高效交互和安全性，丰富了数据安全保护手段，提高了数据安全性。

2、极大提高了数据访问系统的数据访问安全性。将加密的“一道防线”升级为加密+访问控制的“两道防线”和影子系统的“防火墙”，提高了数据安全性。针对更加高级的访问行为还可以更加针对性控制。

3.保护了敏感数据的存储安全性，敏感数据可以自动识别并加密，所有信息的交互总是用户和影子系统交互，影子系统和真实数据访问系统交互。此外，影子页面和可信安全区的设置使存储更加灵活，极大提升了敏感数据的存储安全性。

本实施方式的方法中，本实施方式的方法，影子页面访问和可行安全区功能通过真实数据系统和影子系统合作完成。

在一个实施方式中，参见图3，影子页面3通过影子系统和真实数据访问系统间的虚拟机监控器控制，其底层采用影子页表实现。影子页表的属性设置为只读，其对于影子系统是透明的，影子系统无法访问到影子页表的内容，通过虚拟机控制器，同时维护影子页面到两个系统间物理页的映射，这种技术为影子系统和真实访问系统提供内容相同内存地址不同的视图，实现了影子页面，对于影子页面的修改不会影响数据本身。无写权限的用户对于影子页面的所有修改都不会影响数据内容，所有病毒和攻击对于真实数据系统都不会有影响从而保护数据安全。对于具有写权限的用户则采用可信安全区访问。

在一个实施方式中，一种基于影子系统的敏感数据安全保护方法的读请求流程包括：

步骤A1.用户终端向影子系统发送用户读请求；

步骤A6.敏感数据采用基于属性的CP-ABE(密文策略属性基加密系统)加密，对读请求的用户进行权限认证，若用户无敏感数据权限，则直接返回拒绝响应；若用户有敏感数据读权限，则解密敏感数据，将解密的敏感数据的影子页面地址发送给影子系统，其中，所述影子页面包含敏感数据完整拷贝但无法篡改，其与真实数据访问系统隔离；

本实施方式的方法，提高了数据访问系统的读数据的访问安全性。

在步骤A6中，可以在用户有敏感数据读权限时，构建影子页面；

构建影子页面包括：解密加密的敏感数据，使用缓冲区存放需要读取的敏感数据，以将读权限用户对于文件的读操作，转化为针对影子文件的读操作。

本实施方式的方法，影子页面通过缓冲区存放敏感数据，不但可以节省存储空间，而且可以防止真实数据访问系统中存储的敏感数据被篡改或损坏，提高了数据访问系统的读数据的访问安全性。

在一个实施方式中，一种基于影子系统的敏感数据安全保护方法的写请求流程包括：

本实施方式的方法，提高了数据访问系统的写数据的安全性。

在一个实施方式中，对请求数据进行敏感数据识别包括：通过神经网络模型自动识别敏感数据。

进一步的，在一个实施方式中，方法还包括：

上述的word2vec，是用来产生词向量的相关模型，这些模型为浅而双层的神经网络，用来训练以重新建构语言学之词文本。训练完成之后，word2vec模型可用来映射每个词到一个向量，可用来表示词对词之间的关系，该向量为神经网络之隐藏层。

基于敏感数据样本和普通数据样本的词向量，通过所述组合模型进行敏感数据训练，可以精准得识别敏感数据。

在识别待识别数据时，可以通过word2vec模型得到词向量，输入组合模型后，识别敏感数据。

本公开的实施例的方法，降低了数据维护代价并保证了一定的拓展性，通过神经网络模型进行识别，效率更高而且维护成本低，基于影子系统的敏感数据安全访问流水线，部分组件可以免维护或者动态更新，敏感数据的有区别、有重点的访问控制既能保障数据安全性，同时并未影响系统性能。

参见图4，本公开的实施例的方法，通过词向量训练集、已知敏感数据和普通数据，进行词向量特征提取，并通过卷积神经网络和循环神经网络4识别得到敏感特征库，未知数据通过词向量特征提取，并通过卷积神经网络和循环神经网络识别，后与敏感特征库进行交叉验证，然后判断是否为敏感文件。

在一个实施方式中，采用CP-ABE加密算法加密所述敏感数据。

本公开的实施例的方法，通过基于属性的CP-ABE(ciphertext policy attributebased encryption，密文策略属性基加密系统)加密算法，减少密钥管理和访问控制开销，进一步提升访问控制，使非授权用户不能访问和破坏敏感数据。

在一个实施方式中，CP-ABE加密算法加密流程包括：初始化；数据加密；解密秘钥生成和数据解密。

实施例2：

参见图2和图5，一种基于影子系统的敏感数据安全保护系统，包括影子系统1和真实数据访问系统2，真实数据访问系统2包括敏感数据识别模块21；

若用户无敏感数据访问权限，则拒绝用户访问敏感数据；

在一个实施例中，参见图5，敏感数据识别模块21包括词向量训练集模块211、敏感数据训练模块212和检测模块213；

词向量训练集模块211，用于收集已知敏感数据样本和普通数据样本，使用word2vec构建词向量模型，训练词向量表示；

敏感数据训练模块212，用于使用卷积神经网络和递归神经网络的组合模型进行敏感数据训练，获取可以识别敏感数据的神经网络模型；

检测模块213，用于对待检测数据通过所述敏感数据监测模型进行计算得到相应结果。

在一个实施例中，所述加密所述敏感数据包括：采用CP-ABE加密算法加密所述敏感数据。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本发明的具体实施例，但本发明的技术特征并不局限于此，任何本领域的技术人员在本发明的领域内，所作的变化或修饰皆涵盖在本发明的专利范围之中。

Claims

1.基于影子系统的敏感数据安全保护方法，其特征在于，应用于敏感数据安全保护系统，所述敏感数据安全保护系统包括影子系统和真实数据访问系统，所述方法包括：

步骤S3：加密所述敏感数据，并进入步骤S4；

步骤S4：判断所述用户的权限；

若用户无敏感数据访问权限，则拒绝用户访问敏感数据；

2.如权利要求1所述的方法，其特征在于，所述方法包括：

步骤A1.用户终端向影子系统发送用户读请求；

3.如权利要求2所述的方法，其特征在于，步骤A6中，在用户有敏感数据读权限时，构建影子页面；

4.如权利要求1所述的方法，其特征在于，所述方法包括：

5.如权利要求4所述的方法，其特征在于，所述对请求数据进行敏感数据识别包括：通过神经网络模型自动识别敏感数据。

6.如权利要求5所述的方法，其特征在于，所述方法还包括：

7.如权利要求1所述的方法，其特征在于，加密所述敏感数据包括：采用CP-ABE加密算法加密所述敏感数据。

8.一种基于影子系统的敏感数据安全保护系统，其特征在于，包括影子系统和真实数据访问系统，所述真实数据访问系统包括敏感数据识别模块；

若用户无敏感数据访问权限，则拒绝用户访问敏感数据；

9.如权利要求8所述的系统，其特征在于，所述敏感数据识别模块包括词向量训练集模块、敏感数据训练模块和检测模块；

10.如权利要求8所述的系统，其特征在于，所述加密所述敏感数据包括：采用CP-ABE加密算法加密所述敏感数据。