CN114036569A - 基于eBPF的数据安全传输方法及装置 - Google Patents
基于eBPF的数据安全传输方法及装置 Download PDFInfo
- Publication number
- CN114036569A CN114036569A CN202111412612.8A CN202111412612A CN114036569A CN 114036569 A CN114036569 A CN 114036569A CN 202111412612 A CN202111412612 A CN 202111412612A CN 114036569 A CN114036569 A CN 114036569A
- Authority
- CN
- China
- Prior art keywords
- data
- desensitization
- linux system
- ebpf
- system kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000005540 biological transmission Effects 0.000 title claims abstract description 39
- 238000000586 desensitisation Methods 0.000 claims abstract description 113
- 238000004519 manufacturing process Methods 0.000 claims abstract description 9
- 230000015654 memory Effects 0.000 claims description 22
- 238000003860 storage Methods 0.000 claims description 12
- 230000004048 modification Effects 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 7
- 230000008707 rearrangement Effects 0.000 claims description 4
- 230000000873 masking effect Effects 0.000 claims description 2
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据处理领域,具体涉及一种基于eBPF的数据安全传输方法及装置,包括如下步骤:在生产环境中,接收请求方发送的数据获取请求;其中,数据获取请求中包含请求获取的目标数据信息;根据目标数据信息获取包括目标数据的数据包,并将数据包发送给Linux系统内核;Linux系统内核接收数据包,并对数据包进行解析,得到目标数据;其中,Linux系统内核基于eBPF接收、解析数据包;对目标数据进行数据脱敏,得到脱敏数据;Linux系统内核将脱敏数据传输至请求方。利用所有外发数据均要经过Linux系统内核的特点,对数据进行拦截,再对所拦截的数据进行脱敏操作,能够保证所有外发的数据均进行了脱敏处理,避免未对外发数据进行脱敏处理,导致的安全隐患。
Description
技术领域
本发明涉及数据处理领域,具体涉及一种基于eBPF的数据安全传输方法及装置。
背景技术
数据脱敏是指对敏感信息通过脱敏规则进行数据的变形,实现对隐私数据的保护。例如涉及身份证号、手机号、卡号和客户号等隐私信息时,需要在不违反系统规则的条件下,对真实数据进行改造以完成数据脱敏。
数据脱敏分为静态数据脱敏和动态数据脱敏。静态数据脱敏指数据的“搬移并仿真替换”,是将数据抽取进行脱敏处理后,下发给下游环节随意取用和读写,数据脱敏后与生产环境相隔离,满足业务需求的同时保障生产数据库的安全。动态数据脱敏指在访问敏感数据的同时,实时进行脱敏处理,可以为不同角色、不同权限、不同数据类型执行不同的脱敏操作,从而确保返回的数据可用而安全。
现有技术中对数据进行脱敏,均只是针对数据库的数据进行脱敏,不能针对整个Linux系统的数据进行脱敏,这导致在系统被外界攻击时,仍然存在隐私数据泄露的隐患。
发明内容
因此,本发明要解决不能对整个Linux系统进行数据脱敏,存在隐私数据遭到泄露的技术问题,从而提供一种基于eBPF的数据安全传输方法,包括如下步骤:Linux系统内核接收请求方发送的数据获取请求对应的数据包,并对所述数据包进行解析,得到目标数据;其中,所述Linux系统内核基于eBPF接收、解析所述数据包;
基于预设匹配规则对所述目标数据进行数据脱敏,得到脱敏数据;
所述Linux系统内核将所述脱敏数据传输至请求方。
优选地,所述基于预设匹配规则对所述目标数据进行数据脱敏,得到脱敏数据,包括:所述Linux系统内核基于预设匹配规则,对目标数据进行规则匹配;
对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据;其中,所述Linux系统内核基于eBPF对目标数据进行规则匹配及更改。
优选地,所述基于预设匹配规则对目标数据进行数据脱敏,得到脱敏数据,包括:所述Linux系统内核将所述目标数据发送至规则匹配单元;
所述规则匹配单元基于预设匹配规则,对所述目标数据进行规则匹配;对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据。
优选地,所述更改包括替换、重排、加密、截断、掩码及日期偏移取整中的至少一种。
优选地,所述方法还包括:对所述规则匹配单元内的预设匹配规则进行更改。
优选地,所述Linux系统内核将所述脱敏数据传输至请求方,包括:所述规则匹配单元将所述脱敏数据发送至Linux系统内核;Linux系统内核将所述脱敏数据传输至请求方。
优选地,所述方法还包括:在生产环境中,接收请求方发送的数据获取请求;其中,所述数据获取请求中包含请求获取的目标数据信息;
根据所述目标数据信息获取包括目标数据的数据包,并将所述数据包发送给Linux系统内核。
本发明还提供了一种基于eBPF的数据安全传输装置,包括:
处理模块,用于接收请求方发送的数据获取请求对应的数据包,并对所述数据包进行解析,得到目标数据;
脱敏模块,用于基于预设匹配规则对所述目标数据进行数据脱敏,得到脱敏数据;
传输模块,用于将所述脱敏数据传输至请求方;其中,处理模块和传输模块位于所述Linux系统内核内,所述Linux系统内核基于eBPF接收、解析所述数据包。
优选地,所述脱敏模块包括:规则匹配子模块,用于基于预设匹配规则,对目标数据进行规则匹配;
更改子模块,用于对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据;其中,所述规则匹配单元、更改单元位于Linux系统内核内,所述规则匹配单元基于eBPF对目标数据进行规则匹配,所述更改单元基于eBPF对目标数据进行更改。
本发明还提供了一种计算机设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行上述的基于eBPF的数据安全传输方法。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行上述的基于eBPF的数据安全传输方法。
本发明技术方案,具有如下优点:
1.本发明提供的基于eBPF的数据安全传输方法,根据数据获取请求中包含的目标数据信息,获取到对应的数据包,由于所有外发的数据均要经过Linux系统内核,可在Linux系统内核中利用eBPF对数据包进行拦截及解析,得到目标数据。对目标数据进行脱敏处理,再将脱敏后的目标数据发送给请求方。利用所有外发数据均要经过Linux系统内核的特点,对数据进行拦截,再对所拦截的数据进行脱敏操作,能够保证所有外发的数据均进行了脱敏处理,避免未对外发数据进行脱敏处理,导致的安全隐患。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1基于eBPF的数据安全传输方法的流程图;
图2为本发明实施例1中数据脱敏的其一流程图;
图3为本发明实施例1中数据脱敏的又一流程图;
图4为本发明实施例1中数据脱敏的结构示意图;
图5为本发明实施例2基于eBPF的数据安全传输装置的结构框图;
图6为本发明实施例2中脱敏模块的结构框图;
图7为本发明实施例3计算机设备的原理框图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
当数据涉及敏感信息时,通常需要对数据进行脱敏处理,以防在数据遭到泄露时导致的泄密。目前,数据脱敏的操作通常是针对单个数据库进行的,即需要在各个数据库中构建对应的脱敏系统,不能针对整个Linux系统的数据进行脱敏处理,当Linux系统其他数据遭到泄露时,仍然存在隐私数据遭到泄露的隐患。
实施例1
本实施例提供了一种基于eBPF的数据安全传输方法,图1是说明根据本发明某些实施例,对整个Linux系统的数据进行脱敏操作,再将脱敏后的数据发送给请求方的流程图。虽然下文描述的过程包括以特定的顺序出现的多个操作,但是应该清楚地了解到,这些过程也可以包括更多或者更少的操作,这些操作可以顺序执行或者并行执行(例如使用并行处理器或者多线程环境)。
本实施例提供了一种基于eBPF的数据安全传输方法,用于对整个Linux系统内的数据进行动态脱敏处理,将脱敏后的数据传输至请求方,以确保整个Linux系统内所有的数据都是经过脱敏处理的,保证数据的安全。如图1所示,所述基于eBPF的数据安全传输方法包括如下步骤:
S101、在生产环境中,接收请求方发送的数据获取请求;其中,所述数据获取请求中包含请求获取的目标数据信息。
在上述实施步骤中,生产环境指线上环境,用户所使用的环境,此环境由特定人员来维护,一般人没有修改权限。请求方可与Linux系统进行交互,以发送数据获取请求至Linux系统和从Linux系统中获取数据。
请求方在需要从Linux系统中获取数据时,向Linux系统发送数据获取请求,数据获取请求中包括请求获取的目标数据信息,所述目标数据信息可与为目标数据的存储地址、标识或状态等,可利用所述目标数据信息确定出对应的目标数据。
S102、根据所述目标数据信息获取包括目标数据的数据包,并将所述数据包发送给Linux系统内核。
在上述实施步骤中,Linux系统内的所有数据导出至外界时,均需要经过Linux系统内核。即根据目标数据信息获取目标数据对应的数据包后,需要将所述数据包发送至Linux系统内核,再由Linux系统内核对所述数据包进行处理并传输给请求方。
S103、Linux系统内核接收所述数据包,并对数据包进行解析,得到所述目标数据;其中,所述Linux系统内核基于eBPF接收、解析所述数据包。
在上述实施步骤中,可采用eBPF对经过Linux系统内核中的数据包进行拦截,并对所述数据包进行解析,得到目标数据。其中,eBPF(Extended Berkeley Packet Filter)为在内核中运行的虚拟机,它可以去运行用户。在用户态实现的这种eBPF的代码,在内核以本地代码的形式和速度去执行,它可以跟内核的Trace系统相结合,提供了几乎无限的可观测性。
所述目标数据中可能存在身份证号、手机号、卡号、客户姓名、客户地址、邮箱地址、薪资等敏感数据,为保证数据的隐私安全,需要对所述目标数据进行处理。
S104、对所述目标数据进行数据脱敏,得到脱敏数据。
在上述实施步骤中,为防止数据导出Linux系统后,目标数据中存在的敏感数据被外界获知,需要对所述目标数据进行数据脱敏处理,得到脱敏数据。即对经过Linux系统内核的所有目标数据进行脱敏处理,得到脱敏数据,彻底防止敏感数据的泄露。
S105、所述Linux系统内核将所述脱敏数据传输至请求方。
在上述实施步骤中,对目标数据进行脱敏后,再次由Linux系统内核将脱敏数据传输给请求方,以使请求方获取到对应的数据,但所有外发的数据已经过脱敏处理,避免敏感数据的泄露。
在上述实施例中,根据数据获取请求中包含的目标数据信息,获取到对应的数据包,由于所有外发的数据均要经过Linux系统内核,可在Linux系统内核中利用eBPF对数据包进行拦截及解析,得到目标数据。对目标数据进行脱敏处理,再将脱敏后的目标数据发送给请求方。利用所有外发数据均要经过Linux系统内核的特点,对数据进行拦截,再对所拦截的数据进行脱敏操作,能够保证所有外发的数据均进行了脱敏处理,避免未对外发数据进行脱敏处理,导致的安全隐患。
在一个或多个实施例中,可直接在Linux系统内核中进行数据脱敏操作,如图2所示,基于预设匹配规则对所述目标数据进行数据脱敏,得到脱敏数据,包括如下步骤:
S201、所述Linux系统内核基于预设匹配规则,对目标数据进行规则匹配。
在上述实施步骤中,预先在Linux系统内核中设置预设匹配规则,预设匹配规则中设置有需要脱敏数据的相关信息,例如需要脱敏的数据包括身份证号、薪资、性别或者姓名等。利用预设匹配规则对目标数据进行规则匹配,得到需要脱敏的数据。本领域技术人员可根据实际情况对预设匹配规则进行设定,在此不作限制。
S202、对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据。
在上述实施步骤中,Linux系统内核基于eBPF对目标数据进行规则匹配及更改,对需要脱敏的数据进行更改,得到脱敏数据。Linux系统内核将脱敏数据传输至外界,以将脱敏数据发送给接收方。
利用Linux系统内核对目标数据进行脱敏操作,会存在一个问题——后期不能对Linux系统内核中的预设匹配规则进行修改。如图3所示,基于预设匹配规则对所述目标数据进行数据脱敏,得到脱敏数据,可包括如下步骤:
S301、所述Linux系统内核将所述目标数据发送至规则匹配单元。
在上述实施步骤中,规则匹配单元未设在Linux系统内核中,Linux系统内核对数据包进行解析后,得到目标数据,Linux系统内核将所述目标数据发送至规则匹配单元。
S302、所述规则匹配单元基于预设匹配规则,对所述目标数据进行规则匹配。
在上述实施步骤中,预先在规则匹配单元中设置预设匹配规则,预设匹配规则中设置有需要脱敏数据的相关信息,例如需要脱敏的数据包括身份证号、薪资、性别或者姓名等。利用预设匹配规则对目标数据进行规则匹配,得到需要脱敏的数据。
S303、对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据。
在上述实施步骤中,利用规则匹配单元对目标数据进行匹配,并对匹配到的数据进行更改,以实现对数据的脱敏操作。利用不同于Linux系统内核的功能模块对目标数据进行脱敏操作,后续如果需要对预设匹配规则进行规则修改,可直接在对规则匹配单元中的预设匹配规则进行更改,从而满足不同时刻的要求,增加脱敏系统的适用性。
需要说明的是,Linux系统中所有的数据均需要经过Linux系统内核发送至外界,规则匹配单元在对目标数据进行脱敏后,规则匹配单元将脱敏后的数据发送至Linux系统内核,再由Linux系统内核将脱敏后的数据传输至请求方,从而确保所有外发的数据均进行了脱敏操作,避免敏感数据的泄露。
规则匹配可以包括正则匹配和特征匹配,正则匹配比如说匹配到包含字符串或者数字的时候,将匹配到的数据进行替换。通过程序对敏感数据的自动识别,能够自动识别的敏感字段包括:电话号码,姓名、地址、邮件、身份证号、银行卡号等。特征匹配指通过目标数据中的特征数据,只要匹配到特征数据就把相关的所有字符进行扫描,将该文本内容全部进行脱敏。这种一般存在错误率等情况,但是效果较好,因为有些数据无法通过正则匹配的方式全部匹配到。通过用户录入的信息,只要匹配到了特征就把相关的所有的字符进行扫描,将该段文本内容全部进行脱敏。
举例来说,如图4所示,Linux系统101内包括Linux系统内核104和规则匹配单元102,请求方105与Linux系统101进行交互,将数据获取请求发送至Linux系统101。在根据数据获取请求中的目标数据信息,获取到目标数据的数据包103后,数据包103被传输至Linux系统内核104,Linux系统内核104对所述数据包103进行拦截并解析,得到目标数据。
Linux系统内核104将目标数据发送至规则匹配单元102,规则匹配单元102基于预设匹配规则对所述目标数据进行脱敏操作,得到脱敏数据。规则匹配单元102将所述脱敏数据发送至Linux系统内核104,Linux系统内核104对脱敏数据进行重新组装后,将脱敏数据发送给请求方105。
Linux系统101内的数据均是经过规则匹配单元102进行脱敏的,能够确保发送至外界的数据都不存在隐私数据的泄露。即使外界通过破解手段违规获取Linux系统的数据,所获取到的数据均经过脱敏处理,并不会导致敏感数据的泄露。利用外发数据均需要经过Linux系统内核的特性,对全局数据进行脱敏,极大地保证了数据的安全,避免数据的泄露。
对目标数据中匹配到的数据进行更改,包括替换、重排、加密、截断、掩码及日期偏移取整中的至少一种。例如:
1)替换:如统一将女性用户名替换为F,这种方法更像“障眼法”,对内部人员可以完全保持信息完整性,但易破解。
2)重排:如序号12345重排为54321,按照一定的顺序进行打乱,很像“替换”,可以在需要时方便还原信息,但同样易破解。
3)加密:编号12345加密为23456,安全程度取决于采用哪种加密算法,一般根据实际情况而定。
4)截断:13811001111截断为138,舍弃必要信息来保证数据的模糊性,是比较常用的脱敏方法,但往往对生产不够友好。
5)掩码:123456修改成1xxxx6,保留了部分信息并且保证信息的长度不变性,对信息持有者更易辨别。
6)日期偏移取整:日期:20130520、时间:12:30:45修改成日期:20130520、时间:12:00:00,舍弃精度来保证原始数据的安全性,一般此种方法可以保护数据的时间分布密度。
实时运行的系统,如果数据被泄露存在很大的安全隐患,因此需要能够有一种兜底的方法,能够在当前系统被攻破或者存在敏感数据泄露的时候,能够对数据进行脱敏,以有效避免真实数据泄露。
本实施例提供的基于eBPF的数据安全传输方法,优先在保证功能正常的情况下,对传输的数据进行脱敏操作,保证数据的安全性,保证传输过程中即使受到中间人攻击或者嗅探,数据依然能够安全,对数据脱敏,保证数据有效。
实施例2
本实施例提供了一种基于eBPF的数据安全传输装置,如图5所示,所述基于eBPF的数据安全传输装置包括:
接收模块201,用于在生产环境中,接收请求方发送的数据获取请求;其中,所述数据获取请求中包含请求获取的目标数据信息;详细内容请参见实施例1中步骤S101的相关描述,此处不再赘述。
获取发送模块202,用于根据所述目标数据信息获取包括目标数据的数据包,并将所述数据包发送给Linux系统内核;详细内容请参见实施例1中步骤S102的相关描述,此处不再赘述。
处理模块203,用于接收所述数据包,并对所述数据包进行解析,得到所述目标数据;详细内容请参见实施例1中步骤S103的相关描述,此处不再赘述。
脱敏模块204,用于对所述目标数据进行数据脱敏,得到脱敏数据;详细内容请参见实施例1中步骤S104的相关描述,此处不再赘述。
传输模块205,用于将所述脱敏数据传输至请求方;其中,处理模块和传输模块位于所述Linux系统内核内,所述Linux系统内核基于eBPF接收、解析所述数据包。详细内容请参见实施例1中步骤S105的相关描述,此处不再赘述。
本实施例基于eBPF的数据安全传输装置的相关描述可参见实施例1中的相关描述,在此不做赘述。
在一个或多个实施例中,如图6所示,所述脱敏模块204包括:
规则匹配子模块2041,用于基于预设匹配规则,对目标数据进行规则匹配;详细内容请参见实施例1中步骤S201的相关描述,此处不再赘述。
更改子模块2042,用于对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据;其中,所述规则匹配单元、更改单元位于Linux系统内核内,所述规则匹配单元基于eBPF对目标数据进行规则匹配,所述更改单元基于eBPF对目标数据进行更改。详细内容请参见实施例1中步骤S202的相关描述,此处不再赘述。
实施例3
本实施例提供了一种计算机设备,如图7所示,该计算机设备包括处理器301和存储器302,其中处理器301和存储器302可以通过总线或者其他方式连接,图7中以通过总线连接为例。
处理器301可以为中央处理器(Central Processing Unit,CPU)。处理器301还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、图形处理器(Graphics Processing Unit,GPU)、嵌入式神经网络处理器(Neural-network ProcessingUnit,NPU)或者其他专用的深度学习协处理器、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器302作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的基于eBPF的数据安全传输方法对应的程序指令/模块(如图5所示的接收模块201、获取发送模块202、处理模块203、脱敏模块204和传输模块205)。处理器301通过运行存储在存储器302中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例1中的基于eBPF的数据安全传输方法。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器301所创建的数据等。此外,存储器302可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至处理器301。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器302中,当被所述处理器301执行时,执行如图1所示实施例中的基于eBPF的数据安全传输方法。
在本实施例中,存储器302存储有基于eBPF的数据安全传输方法的程序指令或模块,处理器301执行存储在存储器302内的程序指令或模块时,根据数据获取请求中包含的目标数据信息,获取到对应的数据包,由于所有外发的数据均要经过Linux系统内核,可在Linux系统内核中利用eBPF对数据包进行拦截及解析,得到目标数据。对目标数据进行脱敏处理,再将脱敏后的目标数据发送给请求方。利用所有外发数据均要经过Linux系统内核的特点,对数据进行拦截,再对所拦截的数据进行脱敏操作,能够保证所有外发的数据均进行了脱敏处理,避免未对外发数据进行脱敏处理,导致的安全隐患。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的基于eBPF的数据安全传输方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种基于eBPF的数据安全传输方法,其特征在于,包括如下步骤:
Linux系统内核接收请求方发送的数据获取请求对应的数据包,并对所述数据包进行解析,得到目标数据;其中,所述Linux系统内核基于eBPF接收、解析所述数据包;
基于预设匹配规则对所述目标数据进行数据脱敏,得到脱敏数据;
所述Linux系统内核将所述脱敏数据传输至请求方。
2.如权利要求1所述的基于eBPF的数据安全传输方法,其特征在于,所述基于预设匹配规则对目标数据进行数据脱敏,得到脱敏数据,包括:
所述Linux系统内核基于预设匹配规则,对目标数据进行规则匹配;
对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据;其中,所述Linux系统内核基于eBPF对目标数据进行规则匹配及更改。
3.如权利要求1所述的基于eBPF的数据安全传输方法,其特征在于,所述基于预设匹配规则对目标数据进行数据脱敏,得到脱敏数据,包括:
所述Linux系统内核将所述目标数据发送至规则匹配单元;
所述规则匹配单元基于预设匹配规则,对所述目标数据进行规则匹配;
对所述目标数据中匹配到的数据进行更改,得到所述脱敏数据。
4.如权利要求2或3所述的基于eBPF的数据安全传输方法,其特征在于,所述更改包括替换、重排、加密、截断、掩码及日期偏移取整中的至少一种。
5.如权利要求3所述的基于eBPF的数据安全传输方法,其特征在于,所述方法还包括:
对所述规则匹配单元内的预设匹配规则进行更改。
6.如权利要求1-5任一所述的基于eBPF的数据安全传输方法,其特征在于,所述Linux系统内核将所述脱敏数据传输至请求方,包括:
所述规则匹配单元将所述脱敏数据发送至Linux系统内核;
Linux系统内核将所述脱敏数据传输至请求方。
7.如权利要求1-5任一所述的基于eBPF的数据安全传输方法,其特征在于,所述方法还包括:
在生产环境中,接收请求方发送的数据获取请求;其中,所述数据获取请求中包含请求获取的目标数据信息;
根据所述目标数据信息获取包括目标数据的数据包,并将所述数据包发送给Linux系统内核。
8.一种基于eBPF的数据安全传输装置,其特征在于,包括:
处理模块,用于接收请求方发送的数据获取请求对应的数据包,并对所述数据包进行解析,得到目标数据;
脱敏模块,用于基于预设匹配规则对所述目标数据进行数据脱敏,得到脱敏数据;
传输模块,用于将所述脱敏数据传输至请求方;其中,处理模块和传输模块位于Linux系统内核内,所述Linux系统内核基于eBPF接收、解析所述数据包。
9.一种计算机设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-7中任一项所述的基于eBPF的数据安全传输方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行权利要求1-7中任一项所述的基于eBPF的数据安全传输方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111412612.8A CN114036569A (zh) | 2021-11-25 | 2021-11-25 | 基于eBPF的数据安全传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111412612.8A CN114036569A (zh) | 2021-11-25 | 2021-11-25 | 基于eBPF的数据安全传输方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114036569A true CN114036569A (zh) | 2022-02-11 |
Family
ID=80145465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111412612.8A Pending CN114036569A (zh) | 2021-11-25 | 2021-11-25 | 基于eBPF的数据安全传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114036569A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116545978A (zh) * | 2023-05-16 | 2023-08-04 | 深圳市石犀科技有限公司 | 数据处理方法、装置、系统、可读存储介质及进口网卡 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150242639A1 (en) * | 2014-02-26 | 2015-08-27 | International Business Machines Corporation | Detection and prevention of sensitive information leaks |
| CN112153013A (zh) * | 2020-09-02 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种Socket数据转发方法、装置、电子设备和存储介质 |
| CN112395051A (zh) * | 2020-12-04 | 2021-02-23 | 北京优特捷信息技术有限公司 | 可观察性系统的数据融合实现方法和装置 |
| CN112906025A (zh) * | 2021-03-03 | 2021-06-04 | 江苏保旺达软件技术有限公司 | 数据库管控方法、装置、设备及存储介质 |
-
2021
- 2021-11-25 CN CN202111412612.8A patent/CN114036569A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150242639A1 (en) * | 2014-02-26 | 2015-08-27 | International Business Machines Corporation | Detection and prevention of sensitive information leaks |
| CN112153013A (zh) * | 2020-09-02 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种Socket数据转发方法、装置、电子设备和存储介质 |
| CN112395051A (zh) * | 2020-12-04 | 2021-02-23 | 北京优特捷信息技术有限公司 | 可观察性系统的数据融合实现方法和装置 |
| CN112906025A (zh) * | 2021-03-03 | 2021-06-04 | 江苏保旺达软件技术有限公司 | 数据库管控方法、装置、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116545978A (zh) * | 2023-05-16 | 2023-08-04 | 深圳市石犀科技有限公司 | 数据处理方法、装置、系统、可读存储介质及进口网卡 |
| CN116545978B (zh) * | 2023-05-16 | 2024-05-17 | 深圳市石犀科技有限公司 | 数据处理方法、装置、系统、可读存储介质及进口网卡 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220217169A1 (en) | Malware detection at endpoint devices | |
| CN110598442A (zh) | 一种敏感数据自适应的脱敏方法、系统 | |
| RU2018129947A (ru) | Система компьютерной безопасности, основанная на искусственном интеллекте | |
| KR102396643B1 (ko) | Api 및 암호화 키의 비밀 관리 시스템 및 방법 | |
| CN111324911A (zh) | 一种隐私数据保护方法、系统及装置 | |
| CN109600377B (zh) | 防越权方法、装置、计算机设备及存储介质 | |
| CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| CN112685771A (zh) | 日志脱敏方法、装置、设备及存储介质 | |
| CN115238286A (zh) | 一种数据防护方法、装置、计算机设备及存储介质 | |
| CN111259409A (zh) | 一种信息加密方法、装置、电子设备及存储介质 | |
| CN112395630A (zh) | 基于信息安全的数据加密方法、装置、终端设备及介质 | |
| CN114036569A (zh) | 基于eBPF的数据安全传输方法及装置 | |
| CN114595481A (zh) | 一种应答数据的处理方法、装置、设备和存储介质 | |
| CN117459327B (zh) | 一种云数据透明加密保护方法、系统及装置 | |
| WO2023031679A1 (en) | Systems and methods for inhibiting exploitations in runtime environments | |
| CN111008377B (zh) | 账号监控方法、装置、计算机设备和存储介质 | |
| Patsakis et al. | Assessing llms in malicious code deobfuscation of real-world malware campaigns | |
| CN117077198A (zh) | 一种数据返回方法、装置及网关 | |
| CN114666140B (zh) | 一种访问表单的方法、装置、计算机设备以及介质 | |
| CN111212418A (zh) | 移动端应用安全下载装置和方法 | |
| CN110971606B (zh) | 一种Web应用开发中的HACCP安全体系的构建方法以及应用方法 | |
| CN110909345B (zh) | 一种Java系统开源软件防篡改方法及系统 | |
| CN114722426A (zh) | 一种数据脱敏方法、装置、电子设备及存储介质 | |
| CN113569291A (zh) | 日志掩码方法及装置 | |
| CN112528339A (zh) | 一种基于Caché数据库的数据脱敏方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220211 |