CN116723042A - 一种数据包的安全保护方法及系统 - Google Patents
一种数据包的安全保护方法及系统 Download PDFInfo
- Publication number
- CN116723042A CN116723042A CN202310854146.1A CN202310854146A CN116723042A CN 116723042 A CN116723042 A CN 116723042A CN 202310854146 A CN202310854146 A CN 202310854146A CN 116723042 A CN116723042 A CN 116723042A
- Authority
- CN
- China
- Prior art keywords
- data packet
- sensitive data
- determining
- classified
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000005540 biological transmission Effects 0.000 claims abstract description 50
- 238000007726 management method Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 11
- 238000012502 risk assessment Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 8
- 238000013500 data storage Methods 0.000 claims description 7
- 230000006399 behavior Effects 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 description 10
- 230000006978 adaptation Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据包的安全保护方法及系统,其方法包括:获取敏感数据,以根据所述敏感数据确定原始的敏感数据包;对所述敏感数据包进行分类,得到分类后的敏感数据包;对所述分类后的敏感数据包进行安全储存;设置数据包的第一访问权限;确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输。通过本发明的技术方案,能够实现对数据包进行分类保护,且同时进行安全存储保护和传输时安全保护。
Description
技术领域
本发明涉及数据传输技术领域,尤其涉及一种数据包的安全保护方法及系统。
背景技术
数据包指的是在网络通信中传输的数据单元,它通常包含有关发送方和接收方之间的通信信息、数据内容和控制信息等。数据包在网络中通过各种协议(如TCP/IP)进行传输,可以是文本、图像、音频、视频或其他形式的数据。数据包安全保护的意义在于保护数据的隐私、完整性和机密性,防止未经授权的访问和篡改,维护网络的安全性和稳定性。这对于保护个人隐私、防止数据泄露以及维护商业和组织的利益都具有重要意义。
引用现有技术中国发明专利申请CN105072113A公开的一种基于数据包动态加密的无线传感器网络安全保护方法,该方法针对数据包内容的各个字段内容对数据包进行动态加密,这样每次加密的密钥都不固定,其只能粗略的对数据包进行加密,不能对数据包进行详细的分类后再加密,却不具备加密传输功能。其次引用现有技术中国发明专利申请CN114611130A公开的一种数据保护方法、装置、存储介质和电子设备,其主要通过从数据块包中过滤出命令快报,进行进行一系列查询操作后进行保护字段值的修改,最终是实现对外设存储设备的写保护,该方法只能对数据存储进行保护,不能同时保护数据传输。综上所述,现有的技术存在不能对数据包进行分类保护,且不能同时进行安全存储保护和传输时安全保护的问题。因此为了解决上述问题,本发明实施例公开了一种数据包的安全保护方法及系统。
发明内容
针对上述所显示出来的问题,本发明提供了一种数据包的安全保护方法及系统用以解决背景技术提到不能对数据包进行分类保护,且不能同时进行安全存储保护和传输时安全保护的问题。
一种数据包的安全保护方法,包括以下步骤:
获取敏感数据,以根据所述敏感数据确定原始的敏感数据包;
对所述敏感数据包进行分类,得到分类后的敏感数据包;
对所述分类后的敏感数据包进行安全储存;
设置数据包的第一访问权限;
确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输。
优选的,获取敏感数据,以根据所述敏感数据确定原始的敏感数据包,包括:
获取用户的业务需求,根据业务需求确定敏感数据的类型和属性;
根据所述敏感数据的类型和属性,确定敏感数据的来源;
根据所述敏感数据的类型和属性,确定所述原始的敏感数据包的组成方式;
基于所述原始的敏感数据包的组成方式,从所述敏感数据的来源获取敏感数据,以生成所述原始的敏感数据包。
优选的,对所述原始的敏感数据包进行分类,得到分类后的敏感数据包,包括:
根据数据包的机密性信息定义敏感数据包的分类标准;
确定所述原始的敏感数据包的属性;
基于所述分类标准及所述原始的敏感数据包的属性制订数据包分类规则;
通过所述数据包分类规则对所述原始的敏感数据包进行分类,得到分类后的敏感数据包;
对所述分类后的敏感数据包添加标识,以指示其所属的分类信息。
优选的,对所述分类后的敏感数据包进行安全储存,包括:
根据威胁和风险评估信息定义安全存储需求;
根据所述安全存储需求,选择目标存储介质;
根据所述安全存储需求确定加密标准,并根据所述加密标准选择目标加密算法,并通过所述目标加密算法对所述分类后的敏感数据包进行第一加密;
将加密后的敏感数据在所述目标存储介质上进行存储。
优选的,根据所述安全存储需求确定加密标准,以根据所述加密标准选择目标加密算法,并通过所述目标加密算法对所述分类后的敏感数据包进行第一加密,包括:
根据所述安全存储需求确定获取加密标准,以基于所述加密标准确定所述目标加密算法;
根据所述目标加密算法生成对敏感数据进行加密的加密密匙和解密时的解密密匙;
根据所述分类后的敏感数据包的大小信息选择目标加密模式;
基于所述目标加密模式,通过所述密匙对所述分类后的敏感数据包进行第一加密;
对所述加密密匙和解密密匙进行安全存储和管理。
优选的,设置数据包的第一访问权限,包括:
确定数据包访问控制需求信息;
基于所述访问控制需求信息确定强密码策略和多因素身份验证策略;
基于所述强密码策略和多因素身份验证策略建立用户身份管理系统;
基于所述用户身份管理系统根据用户角色和责任,对不同用户设置不同的数据包的第一访问权限;
在所述用户身份管理系统中设置数据包访问时的实时监控功能。
优选的,确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输,包括:
在用户通过身份验证完成时,获取用户的第二访问权限,确定用户的第二访问权限中是否包含第一访问权限;
若是,基于所述第二访问权限读取所述分类后的敏感数据包;
判断所述分类后的敏感数据包是否进行过加密,若进行过加密,则进行解密操作,解密完成时,确定为待传输的敏感数据包,若未进行过加密,则直接确定为所述待传输的敏感数据包;
确定数据传输加密算法和传输密匙长度;
基于所述传输加密算法和所述传输密匙长度对所述待传输的敏感数据包进行第二加密,得到加密后的敏感数据包;
通过传输层安全协议建立发送方和接收方的通信安全连接;
基于所述通信安全连接对所述加密后的敏感数据包进行安全传输。
优选的,确定数据包访问控制需求信息,包括:
分别获取数据包在不同规模用户下的访问行为信息;
根据所述访问行为信息确定在每个用户规模等级下的访问需求基准信息;
基于每个用户规模等级下的访问需求基准信息确定该用户规模等级下的业务配置信息;
根据每个用户规模等级下的业务配置信息确定在该用户规模等级下对于数据包的网络访问安全需求信息;
基于每个用户规模等级下对于数据包的网络访问安全需求信息配置该用户规模等级下的数据包网络访问规则;
根据每个用户规模等级下的数据包网络访问规则确定该用户规模等级下的设备优先接入参数;
根据每个用户规模等级下的设备优先接入参数确定该用户规模等级下的访问面信息;
根据每个用户规模等级下的业务配置信息确定在该用户规模等级下对于数据包的分配控制信息;
基于每个用户规模等级下对于数据包的分配控制信息配置该用户规模等级下的数据流输出参数;
根据每个用户规模等级下的数据流输出参数确定该用户规模等级下的控制面信息;
将每个用户规模等级下的控制面信息和访问面信息进行整合以生成数据包在不同用户规模等级下的访问控制需求信息。
优选的,根据威胁和风险评估信息定义安全存储需求,包括:
根据威胁和风险评估信息确定多个威胁场景和每个威胁场景的威胁条件参数;
基于每个威胁场景和该威胁场景的威胁条件参数的硬性触发规则确定每个威胁场景的潜在触发概率;
通过每个威胁场景的潜在触发概率确定该威胁场景的威胁级别;
选择威胁级别大于等于预设级别的目标威胁场景的损失参数信息,根据所述损失参数信息确定每个目标威胁场景的风险指数;
基于每个目标威胁场景的风险指数定义数据防护条件;
获取敏感数据包的数据属性,根据所述数据属性将敏感数据包中的数据进行划分,获取分类数据;
根据每项分类数据的数据权重设置该项分类数据的数据保护标签,基于每项分类数据的数据保护标签确定该项分类数据的数据保护方式;
确定每项分类数据的数据保护方式的兼容性,选择兼容性最大的目标数据保护方式;
获取目标数据保护方式的保护逻辑参数,根据所述保护逻辑参数定义数据保护条件;
确定敏感数据包的当前数据格式和数据内存,根据所述数据内存确定存储敏感数据包的配置需求空间;
基于所述当前数据格式和存储数据格式选择格式转化协议,根据格式转化协议和存储敏感数据包的配置需求空间定义数据存储条件;
根据数据防护条件、数据保护条件和数据存储条件确定安全存储需求参数,根据安全存储需求参数定义安全存储需求。
本发明还公开了一种数据包的安全保护系统,该系统包括:
确定模块,用于获取敏感数据,以根据所述敏感数据确定原始的敏感数据包;
分类模块,用于对所述敏感数据包进行分类,得到分类后的敏感数据包;
安全存储模块,用于对所述分类后的敏感数据包进行安全储存;
设置模块,用于设设置数据包的第一访问权限;
传输模块,确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输。
本发明公开的一种数据包的安全保护方法及系统具有以下技术效果:
1、本发明通过获取敏感数据,以根据敏感数据确定原始的敏感数据包,进而进行分类,得到分类后的敏感数据包,之后进行存储,进而设置数据包的第一访问权限,一般将用户的权限定义为第二访问权限,针对不同的用户,需要确定该用户的第二访问权限中是否包含第一访问权限,如果包含,则可以读取分类后的敏感数据包,并进行能够进行加密传输,实现了对数据包进行分类保护,且同时进行安全存储保护和传输时安全保护,如果是该用户的第二访问权限中不包含第一访问权限,则代表不能够针对分类后的敏感数据包进行读取。
2、本发明通过根据用户的的业务需求确定敏感数据的类型和属性,之后根据数据的类型和属性确定数据来源,能够更加有针对性、更加有目的的确定数据来源,之后确定组成方式,以生成原始的敏感数据包,能够确保生成的敏感数据包具有合理的格式和真实性
3、本发明通过根据数据包的机密性信息定义分类标准,能够定义针对不同级别敏感数据包的标准,之后制订数据包分类规则,并进行分类,能够有针对性、准确的对数据包进行分类,最后添加标识,能够清楚的表现是数据包的所属类别。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。
图1为本发明所提供的一种数据包的安全保护方法的工作流程图;
图2为本发明所提供的一种数据包的安全保护方法的另一工作流程图;
图3为本发明所提供的一种数据包的安全保护方法的又一工作流程图;
图4为本发明所提供的一种数据包的安全保护系统的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
数据包指的是在网络通信中传输的数据单元,它通常包含有关发送方和接收方之间的通信信息、数据内容和控制信息等。数据包在网络中通过各种协议(如TCP/IP)进行传输,可以是文本、图像、音频、视频或其他形式的数据。
数据包安全保护的意义在于保护数据的隐私、完整性和机密性,防止未经授权的访问和篡改,维护网络的安全性和稳定性。这对于保护个人隐私、防止数据泄露以及维护商业和组织的利益都具有重要意义。
引用现有技术中国发明专利申请CN105072113A公开的一种基于数据包动态加密的无线传感器网络安全保护方法,该方法针对数据包内容的各个字段内容对数据包进行动态加密,这样每次加密的密钥都不固定,其只能粗略的对数据包进行加密,不能对数据包进行详细的分类后再加密,却不具备加密传输功能。其次引用现有技术中国发明专利申请CN114611130A公开的一种数据保护方法、装置、存储介质和电子设备,其主要通过从数据块包中过滤出命令快报,进行进行一系列查询操作后进行保护字段值的修改,最终是实现对外设存储设备的写保护,该方法只能对数据存储进行保护,不能同时保护数据传输。综上所述,现有的技术存在不能对数据包进行分类保护,且不能同时进行安全存储保护和传输时安全保护的问题。因此为了解决上述问题,本发明实施例公开了一种数据包的安全保护方法及系统。
一种数据包的安全保护方法,如图1所示,包括以下步骤:
步骤S101、获取敏感数据,以根据敏感数据确定原始的敏感数据包;
步骤S102、对敏感数据包进行分类,得到分类后的敏感数据包;
步骤S103、对分类后的敏感数据包进行安全储存;
步骤S104、设置数据包的第一访问权限;
步骤S105、确定用户的第二访问权限中是否包含第一访问权限,若是,读取分类后的敏感数据包,并进行加密传输。
在本实施例中,敏感数据可以包括个人身份信息(如姓名、地址、身份证号码)、财务信息(如信用卡、银行账号)、医疗记录及商业机密等,而敏感数据包是指将敏感数据进行分组和封装后得到的结构信息。
在本实施例中,对敏感数据包进行分类是指根据敏感程度和风险级别将数据包进行分类。分类可能包括个人身份信息、财务数据、医疗记录、商业机密等多种类型的敏感数据包。
在本实施例中,数据包的第一访问权限是指,为数据包设置访问控制机制,其是用于对数据包实时进行保护的。
在本实施例中,第二访问权限是指,用户当时需要读取分类后的敏感书包时,先要通过访问权限,该访问权限即为第二访问权限。
上述技术方案的工作原理为:获取敏感数据,以根据敏感数据确定原始的敏感数据包;对敏感数据包进行分类,得到分类后的敏感数据包;对分类后的敏感数据包进行安全储存;设置数据包的第一访问权限;确定用户的第二访问权限中是否包含第一访问权限,若是,读取分类后的敏感数据包,并进行加密传输。
上述技术方案的有益效果为:通过获取敏感数据,以根据敏感数据确定原始的敏感数据包,进而进行分类,得到分类后的敏感数据包,之后进行存储,进而设置数据包的第一访问权限,一般将用户的权限定义为第二访问权限,针对不同的用户,需要确定该用户的第二访问权限中是否包含第一访问权限,如果包含,则可以读取分类后的敏感数据包,并进行能够进行加密传输,实现了对数据包进行分类保护,且同时进行安全存储保护和传输时安全保护,如果是该用户的第二访问权限中不包含第一访问权限,则代表不能够针对分类后的敏感数据包进行读取。
在一个实施例中,如图2所示,获取敏感数据,以根据所述敏感数据确定原始的敏感数据包,包括:
步骤S201、获取用户的业务需求,根据业务需求确定敏感数据的类型和属性;
步骤S202、根据敏感数据的类型和属性,确定敏感数据的来源;
步骤S203、根据敏感数据的类型和属性,确定原始的敏感数据包的组成方式;
步骤S204、基于原始的敏感数据包的组成方式,从敏感数据的来源获取敏感数据,以生成原始的敏感数据包。
在本实施例中,业务需求包括:数据的功能需求、数据的安全需求等,根据功能需求可以确定个人信息类型和属性、数据的安全需求可以确定个人账户安全类型和属性。
在本实施例中,敏感数据的类型和属性是指,敏感数据属于何种类型,例如个人身份信息类型、个人财务与支付信息类型等,而前者属于个人信息属性、第二个属于财产信息属性。
在本实施例中,敏感数据包的组成方式是由一个或多个字段组成,而每个字段对应一种类型和属性。
在本实施例中,敏感数据的来源包括:数据库、文件系统、应用程序或其它的存储介质。
上述技术方案的有益效果为:通过根据用户的的业务需求确定敏感数据的类型和属性,之后根据数据的类型和属性确定数据来源,能够更加有针对性、更加有目的的确定数据来源,之后确定组成方式,以生成原始的敏感数据包,能够确保生成的敏感数据包具有合理的格式和真实性。
在一个实施例中,对所述原始的敏感数据包进行分类,得到分类后的敏感数据包,包括:
根据数据包的机密性信息定义敏感数据包的分类标准;
确定所述原始的敏感数据包的属性;
基于所述分类标准及所述原始的敏感数据包的属性制订数据包分类规则;
通过所述数据包分类规则对所述原始的敏感数据包进行分类,得到分类后的敏感数据包;
对所述分类后的敏感数据包添加标识,以指示其所属的分类信息。
在本实施例中,数据包的机密性信息是指数据包的内容的机密性强弱信息,例如高级敏感数据包机密性强,其内容可以包含财务数据,而低级敏感数据包机密性弱,其内容可以包含个人身份信息。而分类标准是指将高级敏感数据包分类为机密级信息,而低级敏感数据包分类为公开级信息,将中级敏感数据包分类为内部级信息。
在本实施例中,原始的敏感数据包的属性是指数据包的内容类型、格式及大小等信息。
在本实施例中,分类规则可以理解为设定阈值和条件,用于将数据包归属为哪种类别。
在本实施例中,所属的分类信息可以是公开级信息、内部级信息和机密级信息等,即为标识。
上述技术方案的有益效果为:通过根据数据包的机密性信息定义分类标准,能够定义针对不同级别敏感数据包的标准,之后制订数据包分类规则,并进行分类,能够有针对性、准确的对数据包进行分类,最后添加标识,能够清楚的表现是数据包的所属类别。
在一个实施例中,对所述分类后的敏感数据包进行安全储存,包括:
根据威胁和风险评估信息定义安全存储需求;
根据所述安全存储需求,选择目标存储介质;
根据所述安全存储需求确定加密标准,并根据所述加密标准选择目标加密算法,并通过所述目标加密算法对所述分类后的敏感数据包进行第一加密;
将加密后的敏感数据在所述目标存储介质上进行存储。
在本实施例中,威胁和风险评估信息是指数据包丢失后造成风险大小的信息,例如个人身份信息丢失,风险可能就比较小,有可能会面临骚扰电话的威胁和风险,而企业商业秘密信息丢失,风险就会比较大,可能会面临企业遭受重挫或者造成重大经济损失。
在本实施例中,安全存储需求是指数据包加密需求、访问控制需求、存储备份需求、存储完整性需求及存储监控和日志记录需求。
在本实施例中,目标存储介质标包括:服务器、加密硬盘或虚拟介质(加密容器、虚拟专用网络等),当安全存储需求需要有存储监控和日志记录需求是,就可以选择服务器这一目标存储介质。
在本实施例中,根据安全存储需求确定加密标准是指根据具体的安全需求和要求,确定应该满足的加密算法的具体要求和规范,例如加密标准包括加密算法的强度和安全性、密匙长度和管理、加密性能和效率等,具体可以是FIPS 140-2加密标准,而目标加密算法可以是AES(AdvancedEncryptionStandard)算法。
上述技术方案的有益效果为:通过根据威胁和风险评估信息定义安全存储需求,能够指导如何保护敏感数据在存储过程中的机密性、完整性和可用性,以应对可能的威胁和风险,而根据安全存储需求来选择合适的加密标准和木鸟加密算法,以确保数据在存储过程中的安全性和保护。
在一个实施例中,如图3所示,根据所述安全存储需求确定加密标准,以根据所述加密标准选择目标加密算法,并通过所述目标加密算法对所述分类后的敏感数据包进行第一加密,包括:
步骤S301、根据安全存储需求确定获取加密标准,以基于加密标准确定所述目标加密算法;
步骤S302、根据目标加密算法生成对敏感数据进行加密的加密密匙和解密时的解密密匙;
步骤S303、根据分类后的敏感数据包的大小信息选择目标加密模式;
步骤S304、基于目标加密模式,通过加密密匙对分类后的敏感数据包进行第一加密;
步骤S305、对加密密匙和解密密匙进行安全存储和管理。
在本实施例中,目标加密方式包括电子密码本模式和密码分组链接模式,若数据包较小则可以选择电子密码本模式,若数据包较大则可以选择密码分组连接模式。
上述技术方案的有益效果为:基于目标加密模式,通过加密密匙对分类后的敏感数据包进行加密,引入加密模式,能够确保数据安全性和性能的平衡,而对加密密匙和解密密匙进行安全存储和管理,能够进一步的增加安全性。
在一个实施例中,设置数据包的第一访问权限,包括:
确定数据包访问控制需求信息;
基于所述访问控制需求信息确定强密码策略和多因素身份验证策略;
基于所述强密码策略和多因素身份验证策略建立用户身份管理系统;
基于所述用户身份管理系统根据用户角色和责任,对不同用户设置不同的数据包的第一访问权限,例如用户角色为管理人员时,用户的第一访问权限可以包括对数据包进行访问、抹去、修改等操作,如果用户角色为普通员工时,用户的第一访问权限可能仅包含对数据包进行访问,而不包含抹去、修改等操作;
在所述用户身份管理系统中设置数据包访问时的实时监控功能。
在本实施例中,访问控制需求信息包括哪些用户有权访问数据包、采取什么样的密码策略和身份验证策略、哪些操作可以执行以及在何时和何地可以进行访问。
在本实施例中,强密码策略是指密码较为复杂,多因素身份验证策略是指结合多个身份验证要素,如密码、指纹、短信验证码等。
在本实施例中,用户身份管理系统是指用于管理和验证用户身份信息的系统。
在本实施例中,用户角色和责任是指在一个组织或系统中,根据不同的职能和职责,为用户定义的不同角色以及对应的权限和责任。
上述技术方案的有益效果为:引入强密码策略和多因素身份验证策略能够增加身份验证的安全性、而设置实时监控功能,能够将用户的访问留下记录,提高追踪能力。
在一个实施例中,确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输,包括:
在用户通过身份验证完成时,获取用户的第二访问权限,确定用户的第二访问权限中是否包含第一访问权限;
若是,基于所述第二访问权限读取所述分类后的敏感数据包;
判断所述分类后的敏感数据包是否进行过加密,若进行过加密,则进行解密操作,解密完成时,确定为待传输的敏感数据包,若未进行过加密,则直接确定为所述待传输的敏感数据包;
确定数据传输加密算法和传输密匙长度;
基于所述传输加密算法和所述传输密匙长度对所述待传输的敏感数据包进行第二加密,得到加密后的敏感数据包;
通过传输层安全协议建立发送方和接收方的通信安全连接;
基于所述通信安全连接对所述加密后的敏感数据包进行安全传输。
在本实施例中,传输加密算法可以是对称加密算法(如AES),传输密匙长度可以为256位。
在本实施例中,传输层安全协议可以是TLS/SSL。
上述技术方案的有益效果为:首先进行用户身份验证,在确定有权限时才能进行数据包的读取,保证数据包存储的安全性,之后通过传输加密算法进行加密,为数据包在传输过程中提供安全保障,通过传输层安全协议建立通信安全连接,为数据包传输提供安全传输的环境。
在一个实施例中,确定数据包访问控制需求信息,包括:
分别获取数据包在不同规模用户下的访问行为信息;
根据所述访问行为信息确定在每个用户规模等级下的访问需求基准信息;
基于每个用户规模等级下的访问需求基准信息确定该用户规模等级下的业务配置信息;
根据每个用户规模等级下的业务配置信息确定在该用户规模等级下对于数据包的网络访问安全需求信息;
基于每个用户规模等级下对于数据包的网络访问安全需求信息配置该用户规模等级下的数据包网络访问规则;
根据每个用户规模等级下的数据包网络访问规则确定该用户规模等级下的设备优先接入参数;
根据每个用户规模等级下的设备优先接入参数确定该用户规模等级下的访问面信息;
根据每个用户规模等级下的业务配置信息确定在该用户规模等级下对于数据包的分配控制信息;
基于每个用户规模等级下对于数据包的分配控制信息配置该用户规模等级下的数据流输出参数;
根据每个用户规模等级下的数据流输出参数确定该用户规模等级下的控制面信息;
将每个用户规模等级下的控制面信息和访问面信息进行整合以生成数据包在不同用户规模等级下的访问控制需求信息。
上述技术方案的有益效果为:通过分别确定数据访问面的信息和数据控制面的信息进而来综合确定访问控制需求信息可以针对不同用户规模等级下的实际设备择优连接情况和数据流控制情况来客观精确地确定对于敏感数据包的访问控制需求信息,使得结果更加真实和有效,符合用户实际需求,提高了用户的体验感。
在一个实施例中,根据威胁和风险评估信息定义安全存储需求,包括:
根据威胁和风险评估信息确定多个威胁场景和每个威胁场景的威胁条件参数;
基于每个威胁场景和该威胁场景的威胁条件参数的硬性触发规则确定每个威胁场景的潜在触发概率;
通过每个威胁场景的潜在触发概率确定该威胁场景的威胁级别;
选择威胁级别大于等于预设级别的目标威胁场景的损失参数信息,根据所述损失参数信息确定每个目标威胁场景的风险指数;
基于每个目标威胁场景的风险指数定义数据防护条件;
获取敏感数据包的数据属性,根据所述数据属性将敏感数据包中的数据进行划分,获取分类数据;
根据每项分类数据的数据权重设置该项分类数据的数据保护标签,基于每项分类数据的数据保护标签确定该项分类数据的数据保护方式;
确定每项分类数据的数据保护方式的兼容性,选择兼容性最大的目标数据保护方式;
获取目标数据保护方式的保护逻辑参数,根据所述保护逻辑参数定义数据保护条件;
确定敏感数据包的当前数据格式和数据内存,根据所述数据内存确定存储敏感数据包的配置需求空间;
基于所述当前数据格式和存储数据格式选择格式转化协议,根据格式转化协议和存储敏感数据包的配置需求空间定义数据存储条件;
根据数据防护条件、数据保护条件和数据存储条件确定安全存储需求参数,根据安全存储需求参数定义安全存储需求。
上述技术方案的有益效果为:通过分别定义数据防护条件、数据存储条件和数据保护条件可以从多维度实现对于敏感数据包的基础安全存储要求,既保证了敏感数据包的安全性和数据完整性同时也保证了存储敏感数据包时的可靠性和稳定性,为后续存储介质的选择提供了良好的参照基础,进一步地提高了实用性。
本发明还提供一种数据包的安全保护系统,如图4所示,该系统包括:
确定模块401,用于获取敏感数据,以根据所述敏感数据确定原始的敏感数据包;
分类模块402,用于对所述敏感数据包进行分类,得到分类后的敏感数据包;
安全存储模块403,用于对所述分类后的敏感数据包进行安全储存;
设置模块404,用于设设置数据包的第一访问权限;
传输模块405,用于当第二访问权限通过时,读取所述分类后的敏感数据包,并进行加密传输。
上述技术方案的工作原理及有益效果在方法权利要求中已经说明,此处不再赘述。
本领域技术用户员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种数据包的安全保护方法,其特征在于,包括以下步骤:
获取敏感数据,以根据所述敏感数据确定原始的敏感数据包;
对所述敏感数据包进行分类,得到分类后的敏感数据包;
对所述分类后的敏感数据包进行安全储存;
设置数据包的第一访问权限;
确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输。
2.根据权利要求1所述数据包的安全保护方法,其特征在于,获取敏感数据,以根据所述敏感数据确定原始的敏感数据包,包括:
获取用户的业务需求,根据业务需求确定敏感数据的类型和属性;
根据所述敏感数据的类型和属性,确定敏感数据的来源;
根据所述敏感数据的类型和属性,确定所述原始的敏感数据包的组成方式;
基于所述原始的敏感数据包的组成方式,从所述敏感数据的来源获取敏感数据,以生成所述原始的敏感数据包。
3.根据权利要求1所述数据包的安全保护方法,其特征在于,对所述原始的敏感数据包进行分类,得到分类后的敏感数据包,包括:
根据数据包的机密性信息定义敏感数据包的分类标准;
确定所述原始的敏感数据包的属性;
基于所述分类标准及所述原始的敏感数据包的属性制订数据包分类规则;
通过所述数据包分类规则对所述原始的敏感数据包进行分类,得到分类后的敏感数据包;
对所述分类后的敏感数据包添加标识,以指示其所属的分类信息。
4.根据权利要求1所述数据包的安全保护方法,其特征在于,对所述分类后的敏感数据包进行安全储存,包括:
根据威胁和风险评估信息定义安全存储需求;
根据所述安全存储需求,选择目标存储介质;
根据所述安全存储需求确定加密标准,并根据所述加密标准选择目标加密算法,并通过所述目标加密算法对所述分类后的敏感数据包进行第一加密;
将加密后的敏感数据在所述目标存储介质上进行存储。
5.根据权利要求4所述数据包的安全保护方法,其特征在于,根据所述安全存储需求确定加密标准,以根据所述加密标准选择目标加密算法,并通过所述目标加密算法对所述分类后的敏感数据包进行第一加密,包括:
根据所述安全存储需求确定获取加密标准,以基于所述加密标准确定所述目标加密算法;
根据所述目标加密算法生成对敏感数据进行加密的加密密匙和解密时的解密密匙;
根据所述分类后的敏感数据包的大小信息选择目标加密模式;
基于所述目标加密模式,通过所述加密密匙对所述分类后的敏感数据包进行第一加密;
对所述加密密匙和解密密匙进行安全存储和管理。
6.根据权利要求1所述数据包的安全保护方法,其特征在于,设置数据包的第一访问权限,包括:
确定数据包访问控制需求信息;
基于所述访问控制需求信息确定强密码策略和多因素身份验证策略;
基于所述强密码策略和多因素身份验证策略建立用户身份管理系统;
基于所述用户身份管理系统根据用户角色和责任,对不同用户设置不同的数据包的第一访问权限;
在所述用户身份管理系统中设置数据包访问时的实时监控功能。
7.根据权利要求1所述数据包的安全保护方法,其特征在于,确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输,包括:
在用户通过身份验证完成时,获取用户的第二访问权限,确定用户的第二访问权限中是否包含第一访问权限;
若是,基于所述第二访问权限读取所述分类后的敏感数据包;
判断所述分类后的敏感数据包是否进行过加密,若进行过加密,则进行解密操作,解密完成时,确定为待传输的敏感数据包,若未进行过加密,则直接确定为所述待传输的敏感数据包;
确定数据传输加密算法和传输密匙长度;
基于所述传输加密算法和所述传输密匙长度对所述待传输的敏感数据包进行第二加密,得到加密后的敏感数据包;
通过传输层安全协议建立发送方和接收方的通信安全连接;
基于所述通信安全连接对所述加密后的敏感数据包进行安全传输。
8.根据权利要求6所述数据包的安全保护方法,其特征在于,确定数据包访问控制需求信息,包括:
分别获取数据包在不同规模用户下的访问行为信息;
根据所述访问行为信息确定在每个用户规模等级下的访问需求基准信息;
基于每个用户规模等级下的访问需求基准信息确定该用户规模等级下的业务配置信息;
根据每个用户规模等级下的业务配置信息确定在该用户规模等级下对于数据包的网络访问安全需求信息;
基于每个用户规模等级下对于数据包的网络访问安全需求信息配置该用户规模等级下的数据包网络访问规则;
根据每个用户规模等级下的数据包网络访问规则确定该用户规模等级下的设备优先接入参数;
根据每个用户规模等级下的设备优先接入参数确定该用户规模等级下的访问面信息;
根据每个用户规模等级下的业务配置信息确定在该用户规模等级下对于数据包的分配控制信息;
基于每个用户规模等级下对于数据包的分配控制信息配置该用户规模等级下的数据流输出参数;
根据每个用户规模等级下的数据流输出参数确定该用户规模等级下的控制面信息;
将每个用户规模等级下的控制面信息和访问面信息进行整合以生成数据包在不同用户规模等级下的访问控制需求信息。
9.根据权利要求4所述数据包的安全保护方法,其特征在于,根据威胁和风险评估信息定义安全存储需求,包括:
根据威胁和风险评估信息确定多个威胁场景和每个威胁场景的威胁条件参数;
基于每个威胁场景和该威胁场景的威胁条件参数的硬性触发规则确定每个威胁场景的潜在触发概率;
通过每个威胁场景的潜在触发概率确定该威胁场景的威胁级别;
选择威胁级别大于等于预设级别的目标威胁场景的损失参数信息,根据所述损失参数信息确定每个目标威胁场景的风险指数;
基于每个目标威胁场景的风险指数定义数据防护条件;
获取敏感数据包的数据属性,根据所述数据属性将敏感数据包中的数据进行划分,获取分类数据;
根据每项分类数据的数据权重设置该项分类数据的数据保护标签,基于每项分类数据的数据保护标签确定该项分类数据的数据保护方式;
确定每项分类数据的数据保护方式的兼容性,选择兼容性最大的目标数据保护方式;
获取目标数据保护方式的保护逻辑参数,根据所述保护逻辑参数定义数据保护条件;
确定敏感数据包的当前数据格式和数据内存,根据所述数据内存确定存储敏感数据包的配置需求空间;
基于所述当前数据格式和存储数据格式选择格式转化协议,根据格式转化协议和存储敏感数据包的配置需求空间定义数据存储条件;
根据数据防护条件、数据保护条件和数据存储条件确定安全存储需求参数,根据安全存储需求参数定义安全存储需求。
10.一种数据包的安全保护系统,其特征在于,该系统包括:
确定模块,用于获取敏感数据,以根据所述敏感数据确定原始的敏感数据包;
分类模块,用于对所述敏感数据包进行分类,得到分类后的敏感数据包;
安全存储模块,用于对所述分类后的敏感数据包进行安全储存;
设置模块,用于设设置数据包的第一访问权限;
传输模块,确定用户的第二访问权限中是否包含第一访问权限,若是,读取所述分类后的敏感数据包,并进行加密传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310854146.1A CN116723042B (zh) | 2023-07-12 | 2023-07-12 | 一种数据包的安全保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310854146.1A CN116723042B (zh) | 2023-07-12 | 2023-07-12 | 一种数据包的安全保护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116723042A true CN116723042A (zh) | 2023-09-08 |
| CN116723042B CN116723042B (zh) | 2024-01-26 |
Family
ID=87869834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310854146.1A Active CN116723042B (zh) | 2023-07-12 | 2023-07-12 | 一种数据包的安全保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116723042B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117113421A (zh) * | 2023-10-24 | 2023-11-24 | 北京三特信息技术有限公司 | 一种敏感数据保护系统及方法 |
| CN117270785A (zh) * | 2023-10-13 | 2023-12-22 | 北京泓鹏网络科技有限公司 | 一种基于大数据平台的数据安全存储方法及系统 |
| CN117592113A (zh) * | 2024-01-18 | 2024-02-23 | 石家庄学院 | 一种具备可视化权限的数据共享方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243510A (zh) * | 2013-06-07 | 2014-12-24 | 中国科学院声学研究所 | 一种安全网络存储系统与方法 |
| CN106936771A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种基于分级加密的安全云存储方法和系统 |
| CN107292183A (zh) * | 2017-06-29 | 2017-10-24 | 国信优易数据有限公司 | 一种数据处理方法及设备 |
| CN109413087A (zh) * | 2018-11-16 | 2019-03-01 | 京东城市(南京)科技有限公司 | 数据共享方法、装置、数字网关及计算机可读存储介质 |
| CN112597481A (zh) * | 2020-12-29 | 2021-04-02 | 平安银行股份有限公司 | 敏感数据访问方法、装置、计算机设备及存储介质 |
| CN112926082A (zh) * | 2021-02-08 | 2021-06-08 | 联想(北京)有限公司 | 一种基于区块链的信息处理方法及装置 |
| CN113282759A (zh) * | 2021-04-23 | 2021-08-20 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于威胁情报的网络安全知识图谱生成方法 |
| CN114036549A (zh) * | 2021-11-27 | 2022-02-11 | 国网新疆电力有限公司信息通信公司 | 一种基于数据标签的数据库访问控制方法及装置 |
| US11290483B1 (en) * | 2020-04-07 | 2022-03-29 | Anvilogic, Inc. | Platform for developing high efficacy detection content |
| CN114372286A (zh) * | 2021-12-17 | 2022-04-19 | 刘维炜 | 数据安全管理方法、装置、计算机设备及存储介质 |
| CN115238286A (zh) * | 2022-07-12 | 2022-10-25 | 平安资产管理有限责任公司 | 一种数据防护方法、装置、计算机设备及存储介质 |
| CN115344888A (zh) * | 2022-08-09 | 2022-11-15 | 平安银行股份有限公司 | 数据访问方法、装置、电子设备及存储介质 |
-
2023
- 2023-07-12 CN CN202310854146.1A patent/CN116723042B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243510A (zh) * | 2013-06-07 | 2014-12-24 | 中国科学院声学研究所 | 一种安全网络存储系统与方法 |
| CN106936771A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种基于分级加密的安全云存储方法和系统 |
| CN107292183A (zh) * | 2017-06-29 | 2017-10-24 | 国信优易数据有限公司 | 一种数据处理方法及设备 |
| CN109413087A (zh) * | 2018-11-16 | 2019-03-01 | 京东城市(南京)科技有限公司 | 数据共享方法、装置、数字网关及计算机可读存储介质 |
| US11290483B1 (en) * | 2020-04-07 | 2022-03-29 | Anvilogic, Inc. | Platform for developing high efficacy detection content |
| CN112597481A (zh) * | 2020-12-29 | 2021-04-02 | 平安银行股份有限公司 | 敏感数据访问方法、装置、计算机设备及存储介质 |
| CN112926082A (zh) * | 2021-02-08 | 2021-06-08 | 联想(北京)有限公司 | 一种基于区块链的信息处理方法及装置 |
| CN113282759A (zh) * | 2021-04-23 | 2021-08-20 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于威胁情报的网络安全知识图谱生成方法 |
| CN114036549A (zh) * | 2021-11-27 | 2022-02-11 | 国网新疆电力有限公司信息通信公司 | 一种基于数据标签的数据库访问控制方法及装置 |
| CN114372286A (zh) * | 2021-12-17 | 2022-04-19 | 刘维炜 | 数据安全管理方法、装置、计算机设备及存储介质 |
| CN115238286A (zh) * | 2022-07-12 | 2022-10-25 | 平安资产管理有限责任公司 | 一种数据防护方法、装置、计算机设备及存储介质 |
| CN115344888A (zh) * | 2022-08-09 | 2022-11-15 | 平安银行股份有限公司 | 数据访问方法、装置、电子设备及存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117270785A (zh) * | 2023-10-13 | 2023-12-22 | 北京泓鹏网络科技有限公司 | 一种基于大数据平台的数据安全存储方法及系统 |
| CN117270785B (zh) * | 2023-10-13 | 2024-05-28 | 周思华 | 一种基于大数据平台的数据安全存储方法及系统 |
| CN117113421A (zh) * | 2023-10-24 | 2023-11-24 | 北京三特信息技术有限公司 | 一种敏感数据保护系统及方法 |
| CN117113421B (zh) * | 2023-10-24 | 2024-02-09 | 北京三特信息技术有限公司 | 一种敏感数据保护系统及方法 |
| CN117592113A (zh) * | 2024-01-18 | 2024-02-23 | 石家庄学院 | 一种具备可视化权限的数据共享方法 |
| CN117592113B (zh) * | 2024-01-18 | 2024-03-29 | 石家庄学院 | 一种具备可视化权限的数据共享方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116723042B (zh) | 2024-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116723042B (zh) | 一种数据包的安全保护方法及系统 | |
| US7155745B1 (en) | Data storage device provided with function for user's access right | |
| CN104756127A (zh) | 通过虚拟机进行安全数据处理 | |
| CN111274599A (zh) | 一种基于区块链的数据共享方法及相关装置 | |
| CN106022154A (zh) | 数据库加密方法和数据库服务器 | |
| CN111967024A (zh) | 一种文件敏感数据保护方法及装置 | |
| CN102508792A (zh) | 一种实现硬盘数据安全访问的方法 | |
| CN108537537A (zh) | 一种安全可信的数字货币钱包系统 | |
| CN1322431C (zh) | 基于对称密钥加密保存和检索数据 | |
| CN107864157A (zh) | 基于权属的数据加密保护和权属授权解密应用方法及系统 | |
| CN112115199A (zh) | 一种基于区块链技术的数据管理系统 | |
| CN114021161A (zh) | 一种基于工业大数据共享服务的安全管理方法 | |
| CN106682521A (zh) | 基于驱动层的文件透明加解密系统及方法 | |
| CN111046405A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN107423583A (zh) | 一种软件保护设备重置方法及装置 | |
| CN114254269A (zh) | 基于区块链技术的生物数字资产确权系统和方法 | |
| Marsalek et al. | Unleashing the full potential of blockchain technology for security-sensitive business applications | |
| CN101478538B (zh) | 管理安全设备的存储方法、装置或系统 | |
| CN104202166A (zh) | 一种erp系统数据加密方法 | |
| CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
| CN113221139A (zh) | 一种电子信息加密方法 | |
| CN105915547A (zh) | 一种实现业务系统外的数据管控防泄露方法 | |
| CN110134339A (zh) | 一种基于文件虚拟盘的数据保护方法及系统 | |
| CN117252599B (zh) | 智能pos机双重安全认证方法及系统 | |
| JP4710232B2 (ja) | 電子データの証拠性を保証しながら同データを保管する電子データ保管システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |