CN115378654A - 一种网络威胁数据脱敏共享系统 - Google Patents

一种网络威胁数据脱敏共享系统 Download PDF

Info

Publication number
CN115378654A
CN115378654A CN202210877504.6A CN202210877504A CN115378654A CN 115378654 A CN115378654 A CN 115378654A CN 202210877504 A CN202210877504 A CN 202210877504A CN 115378654 A CN115378654 A CN 115378654A
Authority
CN
China
Prior art keywords
unit
data
sharing
shared
desensitization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210877504.6A
Other languages
English (en)
Inventor
丁勇
卢洁
李振宇
杨炳年
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Electronic Technology
Original Assignee
Guilin University of Electronic Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Electronic Technology filed Critical Guilin University of Electronic Technology
Priority to CN202210877504.6A priority Critical patent/CN115378654A/zh
Publication of CN115378654A publication Critical patent/CN115378654A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及网络空间安全技术领域,具体涉及一种网络威胁数据脱敏共享系统,包括共享成员审核模块、共享成员身份认证模块、敏感信息安全脱敏模块和区块链威胁数据上传储存模块,通过共享成员审核模块对申请加入共享中心的多个用户进行审核,共享成员身份认证模块对每一共享成员将对应的身份凭证通过隐蔽通道发送到共享中心进行身份认证,敏感信息安全脱敏模块用于身份认证成功且读取共享数据的共享成员身份信息进行脱敏后返回给共享成员,区块链威胁数据上传储存模块,用于获取凭证向区块链发起储存信号,并基于储存信号储存共享数据;从而解决了现有的共享系统传输无法保护信息提供方隐私的问题。

Description

一种网络威胁数据脱敏共享系统
技术领域
本发明涉及网络空间安全技术领域,尤其涉及一种网络威胁数据脱敏共享系统。
背景技术
随着互联网技术的飞速发展,新的网络安全事件和漏洞被频繁爆出,攻击手段与技术不断提高,所使用的攻击武器日益复杂,网络空间安全正面临着严峻的风险与挑战。各网络系统若只依靠内部防御措施与对抗手段已不能完全应对与阻止未知的攻击行为。因此,网络威胁情报及其交换计划成为近年来安全建设的一个热点。
由于安全分布在不同地区的工控网络系统可能存在一定的相似性,工控威胁数据的共享能够帮助各工控系统加强自身安全能力,协助解决其他地区的相似系统被同一手段攻击的问题。但是现有的威胁数据共享方案无法保证信息共享组织成员的身份安全可信以及数据的安全传输,若威胁数据情报被攻击组织获取,反而会对工控网络系统安全造成更大的威胁。此外,信息提供方提炼出威胁数据后,如何保证数据安全存储,不被篡改,以及自身的敏感信息保护策略也是值得考虑的点。
隐蔽通道技术是一种常见的网络数据传输方式,它通常使用一些特殊的编译码技术,利用授权的公开通信作为载体,实现数据隐藏传输。它是一种安全有效的在公开网络环境中传输机密信息,保障数据安全性的手段。隐蔽通道技术对传输数据这一动作进行隐藏,使攻击者无法察觉数据传输这一行为从而无法截取传输的数据。区块链技术具有分布式、公开透明和数据不可篡改的技术特性,为威胁数据的安全安全存储提供了解决方案。工业互联网数据共享场景下,存在部分敏感数据不便于直接进行共享,例如上传共享数据的信息提供方隐私,导致信息提供方的隐私泄露。
发明内容
本发明的目的在于提供一种网络威胁数据脱敏共享系统,旨在解决现有的网络数据传输无法保护信息提供方隐私的问题。
为实现上述目的,本发明提供了一种网络威胁数据脱敏共享系统,包括共享成员审核模块、共享成员身份认证模块、敏感信息安全脱敏模块和区块链威胁数据上传储存模块,所述共享成员审核模块、所述共享成员身份认证模块、所述敏感信息安全脱敏模块和所述区块链威胁数据上传储存模块依次连接;
所述共享成员审核模块,用于对申请加入共享中心的多个用户进行审核,审核通过得到多个共享成员;
所述共享成员身份认证模块,用于每一所述共享成员对应的身份凭证通过隐蔽通道发送到共享中心进行身份认证,身份认证成功后的共享成员通过对应的隐蔽通道发送共享数据到共享中心;
所述敏感信息安全脱敏模块,用于共享成员通过身份认证后,对共享中心数据进行访问,共享中心按照该共享成员的身份选择脱敏算法,对共享数据进行脱敏,然后发送给该共享成员;
所述区块链威胁数据上传储存模块,用于每一所述共享成员获取凭证向区块链发起储存信号,并基于所述储存信号储存所述共享数据。
其中,所述共享成员审核模块包括申请单元、验证单元和判断单元,所述申请单元、所述验证单元和所述判断单元依次连接;
所述申请单元,用于每一用户提交身份信息和签名向共享中心发送加入申请;
所述验证单元,用于所述共享中心基于所述加入申请对所述签名进行验证,验证通过,触发所述判断单元;
所述判断单元,基于所述身份信息获取对应的用户在网络空间安全保护的表现,并基于所述表现判断是否允许对应的用户加入共享组织,若允许,得到共享成员。
其中,所述共享成员身份认证模块包括生成单元、加密单元、认证单元和数据发送单元,所述生成单元、所述加密单元、所述认证单元和所述数据发送单元依次连接;
所述生成单元,用于给需要共享数据的共享成员发送随机码;
所述加密单元,用于对共享成员的随机码和密码进行加密;
所述认证单元,用于对共享成员的身份进行认证;
所述数据发送单元,用于身份认证成功后的共享成员通过对应的隐蔽通道发送共享数据到共享中心。
其中,所述敏感信息安全脱敏模块包括接发单元和脱敏单元,所述接发单元和所述脱敏单元依次连接;
所述接发单元,用于将身份认证成功且读取所述共享数据的共享成员的数据访问请求和将方位请求接收后发送至区块链数据存储中心,得到结果集。
所述脱敏单元,基于用户身份,选择符合身份的脱敏算法对结果集进行脱敏,然后将脱敏后的数据发送给共享成员。
其中,所述平台开放单元,用于共享成员在平台授权上传前预先与所述共享成员之间达成数据共识;
所述审核单元,用于审核共享成员发起的正式请求;
所述数据分流单元,用于对所述共享成员的业务分流至对应的区块链多通道,选择对应通道,减少并发压力;
所述哈希树单元,基于链表插删以及树的高效存读效率模拟链上交易执行,得到时数据响应;
所述储存单元,基于所述时数据响应每一所述区块链通道上传的所述共享数据进行储存;
所述审计单元,用于对储存的所述共享数据进行监管审计。
本发明的一种网络威胁数据脱敏共享系统,通过所述共享成员审核模块、所述共享成员身份认证模块、所述敏感信息安全脱敏模块和所述区块链威胁数据上传储存模块,当需要进行数据传输时,所述共享成员审核模块对申请加入共享中心的多个用户进行审核,审核通过得到多个共享成员,所述共享成员身份认证模块对每一所述共享成员对应的身份凭证通过隐蔽通道发送到共享中心进行身份认证,身份认证成功后的共享成员通过对应的隐蔽通道发送共享数据到共享中心,所述敏感信息安全脱敏模块对用于共享成员通过身份认证后,对共享中心数据进行访问,共享中心按照该共享成员的身份选择脱敏算法,对共享数据进行脱敏,然后发送给该共享成员,所述区块链威胁数据上传储存模块对每一所述共享成员获取凭证向区块链发起储存信号,并基于所述储存信号储存所述共享数据;从而解决了现有的共享系统传输无法保护信息提供方隐私的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种网络威胁数据脱敏共享系统的结构示意图。
图2是身份认证流程图。
图3是威胁数据上传图。
图4是威胁数据请求多通道图。
图5是数据存储结构图。
图6是系统总体框架图。
图7是共享成员审核模块的结构示意图。
图8是共享成员身份认证模块的结构示意图。
图9是敏感信息安全脱敏模块的结构示意图。
图10是区块链威胁数据上传储存模块的结构示意图。
1-共享成员审核模块、11-申请单元、12-验证单元、13-判断单元、2-共享成员身份认证模块、21-生成单元、22-加密单元、23-认证单元、24-数据发送单元、3-敏感信息安全脱敏模块、31-接发单元、32-脱敏单元、4-区块链威胁数据上传储存模块、41-平台开放单元、42-审核单元、43-数据分流单元、44-哈希树单元、45-储存单元、46-审计单元。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
请参阅图1至图10,本发明提供一种网络威胁数据脱敏共享系统,包括共享成员审核模块1、共享成员身份认证模块2、敏感信息安全脱敏模块3和区块链威胁数据上传储存模块4,所述共享成员审核模块1、所述共享成员身份认证模块2、所述敏感信息安全脱敏模块3和所述区块链威胁数据上传储存模块4依次连接;
所述共享成员审核模块1,用于对申请加入共享中心的多个用户进行审核,审核通过得到多个共享成员;
所述共享成员身份认证模块1,用于每一所述共享成员对应的身份凭证通过隐蔽通道发送到共享中心进行身份认证,身份认证成功后的共享成员通过对应的隐蔽通道发送共享数据到共享中心;
所述敏感信息安全脱敏模块2,用于共享成员通过身份认证后,对共享中心数据进行访问,共享中心按照该共享成员的身份选择脱敏算法,对共享数据进行脱敏,然后发送给该共享成员;
所述区块链威胁数据上传储存模块3,用于每一所述共享成员获取凭证向区块链发起储存信号,并基于所述储存信号储存所述共享数据
具体的,首先通过所述共享成员审核模块1对申请加入该共享计划的用户身份进行审核,防止黑客组织加入,扰乱威胁数据共享计划,其次使用所述共享成员认证模块对共享成员身份凭证通过隐蔽通道发送到数据共享中心,防止恶意攻击者通过窃听、劫持、密码分析和伪造等手段,窃取和伪造共享成员身份,另外通过所述敏感信息安全脱敏模块3,对访问的结果集进行脱敏;最后通过所述区块链威胁数据上传储存模块4,在成员用户获取平台下的凭证后可向区块链平台发起信息存储信号,为突破区块链交易自身的性能瓶颈以及链上信息安全性。
进一步的,所述共享成员审核模块1包括申请单元11、验证单元12和判断单元13,所述申请单元11、所述验证单元12和所述判断单元13依次连接;
所述申请单元11,用于每一用户提交身份信息和签名向共享中心发送加入申请;
所述验证单元12,用于所述共享中心基于所述加入申请对所述签名进行验证,验证通过,触发所述判断单元;
所述判断单元13,基于所述身份信息获取对应的用户在网络空间安全保护的表现,并基于所述表现判断是否允许对应的用户加入共享组织,若允许,得到共享成员。
具体的,通过所述申请单元11,接收各用户将自己的身份信息以及签名,向威胁数据共享中心发起加入该共享组织的申请,然后通过共享中心对用户的身份信息进行验证,验证通过后根据该用户平时在网络空间安全保护的表现(是否有违法违纪行为、是否为网络安全做出贡献等)邀请共享组织中现有成员的投票选举来决定是否允许该用户加入共享组织。只有该共享组织的成员才能够在共享组织内部进行数据共享。
进一步的所述共享成员身份认证模块2包括生成单元21、加密单元22、认证单元23和数据发送单元24,所述生成单元21、所述加密单元22、所述认证单元23和所述数据发送单元24依次连接;
所述生成单元21,用于给需要共享数据的共享成员发送随机码;
所述加密单元22,用于对共享成员的随机码和密码进行加密;
所述认证单元23,用于对共享成员的身份进行认证;
所述数据发送单元24,用于身份认证成功后的共享成员通过对应的隐蔽通道发送共享数据到共享中心。
所述敏感信息安全脱敏模块3包括接发单元31和脱敏单元32,所述接发单元31和所述脱敏单元32依次连接;
所述接发单元31,用于将身份认证成功且读取所述共享数据的共享成员的数据访问请求和将方位请求接收后发送至区块链数据存储中心,得到结果集。
所述脱敏单元32,基于用户身份,选择符合身份的脱敏算法对结果集进行脱敏,然后将脱敏后的数据发送给共享成员。
具体的,例如某成员UserA在访问或者上传威胁数据之前,共享中心会对UserA的身份进行认证,基于隐蔽通道的共享用户身份认证方法包括以下步骤:
(1)UserA首先将账号UID发送到共享中心,共享中心在该账号的基础上通过真随机数生成器TRNG生成一个随机数DM(UID)发送给UserA;
DM(UID)=TRNG(UID)
(2)UserA收到随机数DM(UID)后,将该随机数和密码传入本地SM3加密平台进行加密C,然后将C发送给共享中心;
C=En(DM(UID)||passwd,k)
(3)共享中心接收到C后,对C进行解密,验证UserA的身份;验证通过后,使用该成员公钥加密通信凭证发送给UserA;
(4)UserA保存通信凭证,作为之后访问数据共享中心威胁数据的凭证。
(5)UserA需要与数据共享中心协商隐蔽通道的构建方式以及通信凭证的编码方式、加解密算法等,本系统采用的是基于Linux操作系统的ICMP报文的timestamp字段构建隐蔽通道;
(6)在正式访问数据或者上传数据时,UserA按照约定的规则将需要身份凭证嵌入或者调制到网络数据报中,利用网络数据报作为载体,伪装成普通通信流量在合法网络中进行传输;
(7)数据共享中心收到数据报后,执行与UserA相反的操作,即提取数据并将其进行解码或解密以获取原始的凭证,对UserA身份进行认证。
进一步的,所述敏感信息安全脱敏模块3包括接发单元31和脱敏单元32,所述接发单元31和所述脱敏单元32依次连接;
所述接发单元31,用于接收共享成员的数据访问请求和将方位请求发送至区块链数据访问中心。
所述脱敏单元32,用于对共享成员的访问信息进行脱敏计算得到计算数据,再将计算数据返回给共享成员。
具体的,为保护威胁数据提供方的隐私不被泄露,同时又不影响相关人员对威胁数据的分析以及开发、测试等业务,本系统采取动态脱敏的方式,根据不同角色的权限采取不同的脱敏算法。其中。具体步骤如下:
(1)数据共享中心的敏感信息安全脱敏代理模块收到成员的数据访问请求后,直接将该请求发送到区块链数据存储中心;
(2)敏感信息安全脱敏代理模块将截取数据存储中心返回的结果集,根据成员IP地址、身份、访问时间以及访问的数据内容动态获取对应脱敏算法,对结果集进行脱敏后返回给成员。
进一步的,所述区块链威胁数据上传储存模块4包括平台开放单元、审核单元42、数据分流单元43、哈希树单元44、储存单元45和审计单元46;所述平台开放单元、所述审核单元42、所述数据分流单元43、所述哈希树单元44、所述储存单元45和所述审计单元46依次连接;
所述平台开放单元41,用于所述共享成员在平台授权上传前预先与所述共享成员之间达成数据共识;
所述审核单元42,用于审核共享成员发起的正式请求;
所述数据分流单元43,用于对共享成员的业务分流至对应的区块链多通道,选择对应通道,减少并发压力;
所述哈希树单元44,基于链表插删以及树的高效存读效率模拟链上交易执行,得到时数据响应;
所述储存单元45,基于所述时数据响应每一所述区块链通道上传的所述共享数据进行储存;
所述审计单元46,用于对储存的所述共享数据进行监管审计。
具体的,在成员用户获取平台下的凭证后可向区块链平台发起信息存储信号,为突破区块链交易自身的性能瓶颈以及链上信息安全性问题。本方法在威胁数据共享上传处理的前、中、后时期依次完善流程,其中涉及平台内访问方式与数据体统一公告、用户提交前认证与审核、业务数据分流、预处理哈希树缓存算法、资源异步式分片存储、链上数据回溯监管审计、平台激励与惩罚策略。
基于区块链的威胁数据上传与存储方法包括以下具体步骤:
在区块链平台开放用户授权上传前,需首先在平台内部发布开放式API,预先达成用户之间的数据共识,要求请求中定义必要的数据结构,需包含平台许可共享的威胁数据类型、威胁数据资源、发起者信息、认证凭证等几类必要参数,其余参数可提供预留字段处理。
用户结合自身数据类型,向平台中发起数据提交预请求,区块链平台将解析请求体数据,将首先检验当次请求中凭证的真实性,若凭证被验证为已通过共享成员认证,立即接受该用户请求并本地中心化存储用户信息,最后返回用户的区块链平台内具有时效性交易通信凭证。
随后用户向区块链平台中心发起存储正式请求,请求中包含威胁数据类型、数据资源、平台内通信凭证。平台接受批量的用户请求后,过滤其中无通信凭证、凭证失效、无威胁类型、空数据源、请求异常等不能被正常处理的请求。在解析合理请求后,平台将依赖威胁类型组织区块链多通道机制,维持区块链多账本状态,不同通道间处理不同威胁数据类型下的业务威胁数据,请求多通道图,数据彼此隔离更加便捷了成员访问订阅通道下的链上交易此外为应对批量并发请求带来的平台运行负载、算法执行压力,以及区块链自身存储效率底下导致用户体验不当与交互阻塞的问题,本方法中设计一种预处理的哈希树缓存算法。在批处理数据上链前,构建类区块链结构的哈希树链表,利用链表插删以及树的高效存读效率模拟链上交易执行,即时数据响应用户交互。本算法需动态计算链表的长度、自身容量、缓存时间,当达到合适阈值后再异步提交数据记录于区块链账本中。算法主要利用散列函数SHA256生成数据请求中参数的哈希值,并通过数据请求的时序特征彼此链接构建交易哈希树的单向链式结构,在链表中每个节点是多叉哈希树,树下每个节点以键值对形式存储请求必要参数、资源数据、时间戳等值数据存储结构图
缓存哈希树的数据解析需处理威胁数据资源上传。由于资源本身格式多样且自身大小未知,对于其中大文件的处理会引起区块链存储容量以及运行效率问题。本方案是遵循时间切片原则的异步资源分块存储流程。首选为资源文件设置切片大小,由于上传过程属于异步,需要动态计算切片文件md5值,用以判断文件是否已传输成功。为提高哈希计算效率,本方案设计一种抽样哈希计算算法:
1.初始实例化Md5、依赖文件大小切取的对象File、文件数组转换二进制数的对象Blob;
2.初始切片大小offset、文件大小size为输入参数、设置变量output为输出参数;
3.使用数组承载初始化分块;
4.当前已接受分块大小cur=offset;
5.若cur<size则继续执行流程6进行当次文件抽样切片,否则跳转流程11;
6.若cur+offset>=size则表明文件分块拼接完成继续执行流程7,否则跳转流程8;
7.执行最终分块拼接并跳转流程11;
8.获取当次切分的中间与尾部值mid=cur+offset/2,end=cur+offset;
9.取当次切片的首、中、尾三处各2个字节进行合并:
File=slice(cur,cur+2)+slice(mid,mid+2)+slice(end-2,end)
10.更新已分块的大小cur=cur+offset,跳转流程5继续执行判断;
11.计算文件二进制值blob=Blob(chunks);
12.最终输出抽样md5值output=Md5(blob)。
在本方案中考虑平台服务器并发处理资源数据的压力,会引起资源上传的拥塞现象。故在抽样计算文件哈希后,对分块文件上传进行拥塞控制,通过动态调整文件切片的大小,减轻服务器运行负载,提高威胁数据资源上传的并发处理效率。本方案中提出动态切片拥塞控制算法,主要流程如下:
1.初始化文件上传函数PutFile、抽样md5计算函数CaculateMd5、文件读取对象File、当前毫秒时间戳的获取对象Time、整数转换函数Int;
2.初始化切片大小offset、文件大小size、文件抽样计算hash=CaculateMd5作为执行入参数;
3.初始化切片位置count=0、已接受分块大小cur=0、最大传输速率maxRate=2、最小传输速率minRate=0.5;
4.若cur<size,则继续执行流程5,否则跳转流程12;
5.对当前文件执行切片处理,区块chunk=slice(cur,cur+offset),继续执行文件分块上传;
6.记录此刻时间戳start,继续执行流程7;
7.上传当前分块文件,记录异步执行结束时间戳finish;
8.记录文件上传结束时间戳time=(finish-start)/1000,继续执行流程9;
9.计算此时速率rate=time/30,若rate<minRate,动态调整下一切片传输速率rate=0.5,若rate>maxRate,则调整传输速率rate=2;
10.调整新的切片大小offset=offset/rate;
11.调整计数器count=count+1,切片位置cur=cur+offset,继续跳转流程4执行判断;
12.文件切片上传结束,发出流程结束信号。
此外为加强区块链共享平台的文明合法以及公平公证,本平台推出数据监管审计模块。对于已完成链上交易的数据进行回溯安全质量检测,同时鼓励平台内部成员对异议数据进行自发投诉,回溯监管审计的主要流程规则如下:
1.威胁数据是否包含不符合社会主义价值观的不正当言论及观点、透漏他人隐私、故意诱导他人错误危险动作以及散播不文明不健康信息等违法网络行为;
2.对满足1规则下的数据提交者进行背景调查,数据提交个人的身份信息是否完善、提交组织或单位是否持有合法性证明。调差中若身份信息完善将被系统标注为告警用户,而对于身份虚假伪造、机构无牌无证的提交者将列为危险用户;
3.告警用户将被系统进行一个月的行为观察,危险用户将在两周内平台登入时被弹窗提示,引导其完善个人信息或提供组织材料,并给出一周的观察时间;
在观察时间范围内告警用户与未完善信息的危险用户,再次处罚1规则的行为将被平台纳入管理黑名单,不再被接受为合法用户,同时标注其链上危险数据,已提交数据不被公示。
若在观察期内无恶意违法行为,平台将恢复提交者为正常用户,继续使用平台基本功能。
用户User想要申请加入某共享组织,UserA先想对应共享中心C发送身份信息以及签名。C对该用户身份进行验证,通过后在共享组织的成员中发起投票,各成员根据申请者UserA平时在网络空间安全保护的表现(是否有违法违纪行为、是否为网络安全做出贡献等)综合判断,然后进行投票。当UserA获取的投票率达到95%以上时,即可加入该共享组织。UserA将账号发送到数据共享中心,共享中心在该账号的基础上为用户生成一个随机数。UserA将该随机数和密码传入本地SM3加密平台进行加密,然后将密文发送给共享中心。共享中心接收密文后验证UserA的身份,验证通过后,使用该成员公钥加密通信凭证发送给UserA。
获取通信凭证后,UserA需要与数据共享中心协商隐蔽通道的构建方式以及通信凭证的编码方式、加解密算法等。UserA申请访问数据之前,首先将自己的身份凭证通过base64进行编码,然后序列化成字节流。在Linux操作系统中根据身份凭证的长度生成对应数量的ICMP数据包。将身份凭证字节流逐一替换掉生成的ICMP数据报中时间戳字段的末位字节。接着将修改后的数据报发送给数据共享中心,数据共享中心对ICMP数据包的相应字段进行提取并解码,恢复UserA的身份凭证,对其进行验证。
UserA申请访问数据共享中心数据,该访问请求首先会到达敏感信息安全脱敏代理模块,代理模块不会对该请求做任何处理,直接交付给区块链数据存储中心。存储中心将结果集返回,代理模块拦截查询结果。根据成员IP地址、身份、访问时间以及访问的数据内容动态获取对应脱敏算法,对结果集进行脱敏后返回给UserA。
UserA在上传数据之前,首先在共享中心发布开放式API,预先达成数据共识,要求请求中定义必要的数据结构,需包含共享中心许可共享的威胁数据类型、威胁数据资源、发起者信息、认证凭证等几类必要参数,其余参数可提供预留字段处理。UserA结合自身数据类型,向平台中发起数据提交预请求,共享中心将解析请求体数据,将首先检验当次请求中凭证的真实性,若凭证被验证为已通过共享成员认证,立即接受该用户请求并本地中心化存储用户信息,最后返回用户的区块链平台内具有时效性交易通信凭证。接着,UserA向共享中心发送威胁数据类型、数据资源、通信凭证等,代理模块对无效请求进行过滤;对于正常的请求,依赖威胁类型组织区块链多通道机制,维持区块链多账本状态,不同通道间处理不同威胁数据类型下的业务。
UserA提交的数据到达共享中心服务器后,会被代理模块拦截,代理模块动态计算链表的长度、自身容量、缓存时间,当达到合适阈值后再异步提交数据记录于区块链账本中。此过程首先生成数据请求中参数的哈希值,并通过数据请求的时序特征彼此链接构建交易哈希树的单向链式结构,在链表中每个节点是多叉哈希树,树下每个节点以键值对形式存储请求必要参数、资源数据、时间戳等值。接着采用异步资源分块存储,将上传的威胁数据进行分块上传,数据存储中心根据分块原则对接收的分块进行整合,恢复原始威胁数据。代理模块到数据存储中心的文件数据传输需要采取一定的拥塞控制手段,通过动态调整文件分块的大小,减轻服务器运行负载,提高威胁数据资源上传的并发处理效率。
有益效果:
1.本系统首先对申请加入该共享组织的人员的身份进行严格审核并进行投票,防止网络攻击组织计入该组织获取重要威胁数据并扰乱威胁数据共享计划。
2.对共享成员身份认证阶段,首先为每位用户生成一个随机值,更好地避免了字典攻击;采用隐蔽通道的方式传输共享成员身份凭证,防止恶意攻击者通过窃听、劫持、密码分析和伪造等手段,窃取和伪造共享成员身份。
3.根据申请访问共享数据中心的成员不同权限,采取动态脱敏方式,保护威胁数据提供方的隐私不被泄露,同时又不影响相关人员对威胁数据的分析以及开发、测试等业务。
4.本方法在威胁数据共享上传处理的前、中、后时期依次完善流程,包括平台内访问方式与数据结构体统一公告、用户提交前认证与审核、威胁数据多通道分流、预处理哈希树缓存算法、资源异步式分块存储、数据回溯监管审计,突破区块链交易自身的性能瓶颈以及链上信息安全性问题。
以上所揭露的仅为本发明一种网络威胁数据脱敏共享系统较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (5)

1.一种网络威胁数据脱敏共享系统,其特征在于,
包括共享成员审核模块、共享成员身份认证模块、敏感信息安全脱敏模块和区块链威胁数据上传储存模块,所述共享成员审核模块、所述共享成员身份认证模块、所述敏感信息安全脱敏模块和所述区块链威胁数据上传储存模块依次连接;
所述共享成员审核模块,用于对申请加入共享中心的多个用户进行审核,审核通过得到多个共享成员;
所述共享成员身份认证模块,用于每一所述共享成员对应的身份凭证通过隐蔽通道发送到共享中心进行身份认证,身份认证成功后的共享成员通过对应的隐蔽通道发送共享数据到共享中心;
所述敏感信息安全脱敏模块,用于共享成员通过身份认证后,对共享中心数据进行访问,共享中心按照该共享成员的身份选择脱敏算法,对共享数据进行脱敏,然后发送给该共享成员;
所述区块链威胁数据上传储存模块,用于每一所述共享成员获取凭证向区块链发起储存信号,并基于所述储存信号储存所述共享数据。
2.如权利要求1所述的一种网络威胁数据脱敏共享系统,其特征在于,
所述共享成员审核模块包括申请单元、验证单元和判断单元,所述申请单元、所述验证单元和所述判断单元依次连接;
所述申请单元,用于每一用户提交身份信息和签名向共享中心发送加入申请;
所述验证单元,用于所述共享中心基于所述加入申请对所述签名进行验证,验证通过,触发所述判断单元;
所述判断单元,基于所述身份信息获取对应的用户在网络空间安全保护的表现,并基于所述表现判断是否允许对应的用户加入共享组织,若允许,得到共享成员。
3.如权利要求1所述的一种网络威胁数据脱敏共享系统,其特征在于,
所述共享成员身份认证模块包括生成单元、加密单元、认证单元和数据发送单元,所述生成单元、所述加密单元、所述认证单元和所述数据发送单元依次连接;
所述生成单元,用于给需要共享数据的共享成员发送随机码;
所述加密单元,用于对共享成员的随机码和密码进行加密;
所述认证单元,用于对共享成员的身份进行认证;
所述数据发送单元,用于身份认证成功后的共享成员通过对应的隐蔽通道发送共享数据到共享中心。
4.如权利要求1所述的一种网络威胁数据脱敏共享系统,其特征在于,
所述敏感信息安全脱敏模块包括接发单元和脱敏单元,所述接发单元和所述脱敏单元依次连接;
所述接发单元,用于将身份认证成功且读取所述共享数据的共享成员的数据访问请求和将方位请求接收后发送至区块链数据存储中心,得到结果集。
所述脱敏单元,基于用户身份,选择符合身份的脱敏算法对结果集进行脱敏,然后将脱敏后的数据发送给共享成员。
5.如权利要求1所述的一种网络威胁数据脱敏共享系统,其特征在于,
所述区块链威胁数据上传储存模块包括平台开放单元、审核单元、数据分流单元、哈希树单元、储存单元和审计单元;所述平台开放单元、所述审核单元、所述数据分流单元、所述哈希树单元、所述储存单元和所述审计单元依次连接;
所述平台开放单元,用于所述共享成员在平台授权上传前预先与所述共享成员之间达成数据共识;
所述审核单元,用于审核共享成员发起的正式请求;
所述数据分流单元,用于对共享成员的业务分流至对应的区块链多通道,选择对应通道,减少并发压力;
所述哈希树单元,基于链表插删以及树的高效存读效率模拟链上交易执行,得到时数据响应;
所述储存单元,基于所述数据响应每一所述区块链通道上传的所述共享数据进行储存;
所述审计单元,用于对储存的所述共享数据进行监管审计。
CN202210877504.6A 2022-07-25 2022-07-25 一种网络威胁数据脱敏共享系统 Pending CN115378654A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210877504.6A CN115378654A (zh) 2022-07-25 2022-07-25 一种网络威胁数据脱敏共享系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210877504.6A CN115378654A (zh) 2022-07-25 2022-07-25 一种网络威胁数据脱敏共享系统

Publications (1)

Publication Number Publication Date
CN115378654A true CN115378654A (zh) 2022-11-22

Family

ID=84062870

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210877504.6A Pending CN115378654A (zh) 2022-07-25 2022-07-25 一种网络威胁数据脱敏共享系统

Country Status (1)

Country Link
CN (1) CN115378654A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116260657A (zh) * 2023-05-09 2023-06-13 南京汇荣信息技术有限公司 适用于网络安全系统的信息加密方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116260657A (zh) * 2023-05-09 2023-06-13 南京汇荣信息技术有限公司 适用于网络安全系统的信息加密方法及系统

Similar Documents

Publication Publication Date Title
CN111327643B (zh) 一种多方数据共享方法和装置
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
US7231526B2 (en) System and method for validating a network session
US11063941B2 (en) Authentication system, authentication method, and program
KR102179497B1 (ko) 멀티 클라우드 기반의 데이터 저장 및 관리 시스템 및 그 구동방법
CN113872944A (zh) 一种面向区块链的零信任安全架构及其集群部署框架
CN106936579A (zh) 基于可信第三方代理的云存储数据存储及读取方法
CN110941809A (zh) 文件加解密方法、装置、指纹密码装置及可读存储介质
Jabbari et al. Improvement in new three-party-authenticated key agreement scheme based on chaotic maps without password table
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
Aljawarneh et al. A web client authentication system using smart card for e-systems: initial testing and evaluation
CN115378654A (zh) 一种网络威胁数据脱敏共享系统
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
Said et al. A multi-factor authentication-based framework for identity management in cloud applications
Chen et al. Privacy-preserving anomaly detection of encrypted smart contract for blockchain-based data trading
CN113259124A (zh) 一种区块链数据写入、访问方法及装置
Patel A survey on security techniques used for confidentiality in cloud computing
Yang et al. A High Security Signature Algorithm Based on Kerberos for REST-style Cloud Storage Service
Gupta et al. Design & Implementation of Enhanced Security Architecture to Improve Performance of Cloud Computing
McLaren et al. Discovering encrypted bot and ransomware payloads through memory inspection without a priori knowledge
Wang et al. BSVMS: novel autonomous trustworthy scheme for video monitoring
Nurkifli et al. Computer and Information Sciences
Mohammed AN ANALYSIS OF THE ROBUST KEY REVEAL MECHANISM USED IN THE PUBLIC AUDIT MODEL FOR SECURE CLOUD STORAGE.
Pasupuleti et al. Secure Database Authentication from Vulnerability Detection using Encryption Mode of Standardization

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination