本发明专利技术提供一种基于共享数据安全管理的方法,首先将原始信息资源库同步到信息资源共享库中,该信息资源共享库只响应来自数据共享安全网关的指令,数据共享安全网关根据该用户身份对应的权限列表,对信息资源共享库中返回的数据进行处理,然后对处理后的数据进行加密,回传给应用设备。该方案中,通过单独设置数据共享安全网关,来对信息资源共享库进行安全管理,在数据共享安全网关中,通过权限列表给用户分配了细化到行、列数据的权限,这样,就实现了不加密库表中的数据,而对结构化数据进行细粒度的管理,避免了现有技术中无法快速响应检索、数据库权限无法实现数据库行、列和某字段的控制的问题,增加了数据共享的安全性能。
【技术实现步骤摘要】
一种基于共享数据安全管理的方法和系统
本专利技术涉及数据安全领域,具体地说是一种基于共享数据安全管理的方法和系 统。
技术介绍
目前,数据从类型上来分,可以分为结构化数据和非结构化数据。结构化数据即行 数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据。相对于结构话数据而 言,不方便用数据库二维逻辑表来表现的数据即称为非结构化数据,非结构化数据包括所 有格式的办公文档、文本、图片、标准通用标记语言下的子集XMUHTML、各类报表、图像和音 频/视频息等等。 在当前社会信息化建设已经日渐成熟,很多企业或者机构已经积累了大量的数 据。数据作为信息价值的重要源泉,数据共享和第三方进行数据查询、挖掘分析是再创造价 值的重要手段。数据中包含了大量的信息,数据共享可提供数据信息的利用程度,充分发挥 数据的价值。但是企业或机构中的数据,可能包含有敏感的信息,特别是结构化数据,包括 商业秘密、用户隐私信息等,直接共享会带来意想不到风险,所以必须在数据可安全管理的 前提下提供共享。如公安人口信息资源库中包含了居民的基本信息,在铁路部门大力推广 火车票实名制时,需要对居民的身份信息进行核实,通过用户的姓名和身份证号来验证其 合法性,但是此时无需获取该用户的社会关系等信息。这就需要在数据检索和共享时,同时 兼顾数据的可利用性能和保密性能。 现有对数据的安全管理基本集中在非结构化数据,也就是文档类型数据的管理, 包括使用文档加密、文档权限控制等,但对结构化数据的防护主要依赖数据库系统自身的 技术,包括账号访问权限控制和加密数据库中的数据。但数据库账号的权限最小单位是表, 无法对表中的行、列或者某字段进行防护,另外数据库中数据加密后对数据检索效率影响 较大,应用场景有限。
技术实现思路
为此,本专利技术所要解决的技术问题在于现有技术中的数据库字段加密后无法快速 响应检索、数据库权限无法实现数据库行、列和某字段的控制,影响数据共享和使用的效 果,从而提出一种检索快速准确且保密性好的基于共享数据安全管理的方法和系统。 为解决上述技术问题,本专利技术的提供一种基于共享数据安全管理的方法,包括如 下步骤: 将原始信息资源库的数据同步到信息资源共享库中,信息资源共享库中的信息加 密存储; 信息资源共享库与数据共享安全网关通信,且该信息资源共享库只响应来自数据 共享安全网关的指令,数据共享安全网关中存储有用户身份及其对应的权限列表; 数据共享安全网关接收应用设备的请求,数据共享安全网关确认应用设备的用户 身份后向信息资源共享库发送请求; 信息资源共享库响应该请求,并获取该请求需要的数据,将数据返回数据共享安 全网关; 数据共享安全网关根据该用户身份对应的权限列表,对信息资源共享库中返回的 数据进行处理,然后对处理后的数据进行加密,回传给应用设备; 应用设备解密后获得所需数据。 优选地,信息资源共享库中的信息加密存储时,采用整盘加密方式,对存储的信息 资源整体加密。 优选地,信息资源共享库与数据共享安全网关通信时,采用链路加密方式。 优选地,权限列表包括对数据库中结构化数据的表、行、列字段的获取权限。 优选地,数据共享安全网关对处理后的数据进行加密时,使用应用设备的用户身 份的公钥进行加密,应用设备解密时采用自身的私钥进行解密。 优选地,数据共享安全网关根据该用户身份对应的权限列表,对信息资源共享库 中返回的查询数据进行处理的过程,包括 根据用户身份的权限列表,将返回的数据进行内容去除或者脱敏处理。 优选地,应用设备包括查询服务终端、共享服务终端 本专利技术还提供一种基于共享数据安全管理的系统,包括信息资源共享库和数据共 孚安全网关,其中: 信息资源共享库,只响应来自数据共享安全网关的指令,包括: 存储单元:采用加密的方式存储有与原始信息资源库同步的数据; 响应单元:响应来自数据共享安全网关发送的请求,获取该请求需要的数据,将数 据返回数据共享安全网关; 数据共享安全网关,包括: 权限管理单元:存储有用户身份及其对应的权限列表, 请求单元:接收应用设备的请求,确认应用设备的用户身份后向信息资源共享库 发送请求,与信息资源共享库通信; 处理单元:根据该用户身份对应的权限列表,对信息资源共享库中返回的数据进 行处理,然后对处理后的数据进行加密,回传给应用设备。 优选地,数据共享安全网关具备与信息资源共享库匹配的网络加密单元。 优选地,权限列表包括对数据库中结构化数据的表、行、列字段的获取权限。 本专利技术的上述技术方案相比现有技术具有以下优点, (1)本专利技术提供一种基于共享数据安全管理的方法,首先将原始信息资源库同步 到信息资源共享库中,该信息资源共享库只响应来自数据共享安全网关的指令,数据共享 安全网关中存储有用户身份及其对应的权限列表,数据共享安全网关接收应用设备的请求 (如共享数据的请求或查询请求)后,数据共享安全网关确认应用设备的用户身份后向信 息资源共享库发送请求,信息资源共享库响应该请求,并获取该请求需要的数据,将数据返 回数据共享安全网关;数据共享安全网关根据该用户身份对应的权限列表,对信息资源共 享库中返回的数据进行处理,然后对处理后的数据进行加密,回传给应用设备。该方案中, 通过单独设置数据共享安全网关,来对信息资源共享库进行安全管理,在数据共享安全网 关中,通过权限列表给用户分配了细化到行、列数据的权限,这样,就实现了不加密库表中 的数据,而对结构化数据进行细粒度的管理,增加了数据共享的安全性能,避免了现有技术 中无法快速响应检索、数据库权限无法实现数据库行、列和某字段的控制,影响数据共享和 使用的效果的问题。 (2)本专利技术的基于共享数据安全管理的方法,采用链路加密方式进行信息资源共 享库与数据共享安全网关之间的通信,信息资源共享库仅接受数据共享安全网关的数据请 求,数据安全管理网关接管所有的外部设备发送的数据共享或查询请求,这样,通过数据安 全管理网关提高了信息资源共享库共享数据时的安全性,但是由于外部设备的请求是在信 息资源共享库中进行的,因此其具有较好的数据共享或数据查询的效果,仅是通过数据安 全管理网关在返回的数据中进行处理,按照匹配的规则进行内容清洗或者脱敏,保证返回 给用户端的信息的安全性。 (3)本专利技术的基于共享数据安全管理的方法,权限列表包括对数据库中结构化数 据的表、行、列字段的获取权限,由于该权限列表针对用户的权限进行了详细的划分,细到 结构化数据中的表、行、列甚至具体的某一字段,都可以分别进行配置,实现了对数据的细 粒度管理。 (4)本专利技术还提供一种基于共享数据安全管理的系统,包括信息资源共享库和数 据共享安全网关,信息资源共享库中包括存储单元和响应单元,存储有数据信息资源,并仅 仅响应来自数据共享安全网关发送的请求,并根据请求获取相应的数据并返回;数据共享 安全网关包括权限管理单元、请求单元和处理单元,接收外部应用设备的请求,确定身份后 发送给信息资源共享库,并将该信息资源共享库返回的数据,根据用户身份对应的权限列 表,对数据进行处理,然后本文档来自技高网...
【技术保护点】
一种基于共享数据安全管理的方法,其特征在于,包括如下步骤: 将原始信息资源库的数据同步到信息资源共享库中,信息资源共享库中的信息加密存储; 信息资源共享库与数据共享安全网关通信,且该信息资源共享库只响应来自数据共享安全网关的指令,数据共享安全网关中存储有用户身份及其对应的权限列表; 数据共享安全网关接收应用设备的请求,数据共享安全网关确认应用设备的用户身份后向信息资源共享库发送请求; 信息资源共享库响应该请求,并获取该请求需要的数据,将数据返回数据共享安全网关; 数据共享安全网关根据该用户身份对应的权限列表,对信息资源共享库中返回的数据进行处理,然后对处理后的数据进行加密,回传给应用设备; 应用设备解密后获得所需数据。
【技术特征摘要】
1. 一种基于共享数据安全管理的方法,其特征在于,包括如下步骤: 将原始信息资源库的数据同步到信息资源共享库中,信息资源共享库中的信息加密存 储; 信息资源共享库与数据共享安全网关通信,且该信息资源共享库只响应来自数据共享 安全网关的指令,数据共享安全网关中存储有用户身份及其对应的权限列表; 数据共享安全网关接收应用设备的请求,数据共享安全网关确认应用设备的用户身份 后向信息资源共享库发送请求; 信息资源共享库响应该请求,并获取该请求需要的数据,将数据返回数据共享安全网 关; 数据共享安全网关根据该用户身份对应的权限列表,对信息资源共享库中返回的数据 进行处理,然后对处理后的数据进行加密,回传给应用设备; 应用设备解密后获得所需数据。2. 根据权利要求1所述的基于共享数据安全管理的方法,其特征在于,信息资源共享 库中的信息加密存储时,采用整盘加密方式,对存储的信息资源整体加密。3. 根据权利要求1或2所述的基于共享数据安全管理的方法,信息资源共享库与数据 共享安全网关通信时,采用链路加密方式。4. 根据权利要求1-3任一所述的基于共享数据安全管理的方法,其特征在于,权限列 表包括对数据库中结构化数据的表、行、列字段的获取权限。5. 根据权利要求1-4任一所述的基于共享数据安全管理的方法,其特征在于,数据共 享安全网关对处理后的数据进行加密时,使用应用设备的用户身份的公钥进行加密,应用 设备解密时采用自身的私钥进行解密...
【专利技术属性】
技术研发人员:李欣,吴昌明,
申请(专利权)人:中国人民公安大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。