本发明专利技术公开了一种基于分级分类的结构化数据资产防泄露方法,包括:a.用户客户端通过应用服务器向数据库服务器发送访问结构化数据的请求;b.数据库防护服务器通过镜像的流量分析SQL语句,判断该访问请求中是否含有违规访问;c.若不含违规访问,则返回访问请求数据。本发明专利技术通过利用基于明文的结构化数据防泄漏方法,从而可以有效防止企业信息资产中的敏感结构化数据发生泄漏;此外,本发明专利技术还采用了基于密文的结构化数据防泄漏方法,即对高敏感数据、敏感数据和内部数据预先进行加密,访问时只有用户的密级和允许其访问的密级值都符合要求才能解密、访问相应的数据列,从而更进一步有效保护了高敏感数据、敏感数据和内部数据的安全性。
【技术实现步骤摘要】
本专利技术涉及一种,属于数据安全技术 领域。
技术介绍
企业信息网络中的结构化数据,它的生成、存储和应用都限制在关系型数据库 (如Oracle)中,用户可以通过结构化查询语言(SQL)实现对存储在该关系型数据库中的结 构化数据进行操作,如创建、查询、添加、删除等。然而这些结构化数据中往往存在着大量的 敏感信息,如果不对这些敏感信息的访问加以控制,则很有可能发生密级低的用户访问高 敏感级数据的现象,从而导致企业信息资产泄露,对企业造成严重损失。
技术实现思路
本专利技术的目的在于,提供一种,它可 以有效解决现有技术中存在的问题,防止企业信息资产中的敏感结构化数据发生泄漏。 为解决上述技术问题,本专利技术采用如下的技术方案:基于分级分类的结构化数据 资产防泄露方法,包括以下步骤: a.用户客户端通过应用服务器向数据库服务器发送访问结构化数据的请求; b.数据库防护服务器通过镜像的流量分析SQL语句,判断该访问请求中是否含有 违规访问; c.若不含违规访问,则返回访问请求数据。 优选的,本专利技术还包括: a0.数据库防护服务器生成系统根密钥、列密钥、密级值和各列高敏感数据、敏感 数据、内部数据的加密密钥,并利用所述的加密密钥对数据库中的各列高敏感数据、敏感数 据、内部数据进行加密; al.用户通过客户端请求注册数据库访问服务时,数据库防护服务器根据用户的 密级,将用于计算用户密级值的中间值以访问证书的形式分发给用户; a2.用户客户端根据该中间值的访问证书计算出允许其访问的各个密级值。 本专利技术中,通过将用于计算用户密级值的中间值以访问证书的形式分发给用户而 非直接给用户分发密级值,当用户需要访问高敏感数据、敏感数据、内部数据时,用户客户 端才根据该中间值的访问证书计算出允许其访问的各个密级值,并且算完使用后自动删除 密级值,客户端本地并不存储密级值,从而有效防止了密级值的泄露,进一步确保了高敏 感数据、敏感数据、内部数据存储和访问的安全性。 更优选的,本专利技术具体包括以下步骤: a.用户客户端通过应用服务器向数据库服务器发送访问结构化数据中某数据列 的请求; b.数据库防护服务器通过镜像的流量分析SQL语句,判断该访问请求中是否含有 违规访问; c.若不含违规访问且被访问的数据列是公开数据,则返回访问请求数据;若不含 违规访问且被访问的数据列是高敏感数据、敏感数据或内部数据,则用户客户端发送与高 敏感数据、敏感数据或内部数据相应的密级值,数据库防护服务器根据该密级值及相应的 列密钥,生成该数据列的解密密钥,利用解密密钥解密数据库服务器中的相应数据列,并返 回访问请求数据。 前述的,步骤c中,所述的数据列的 解密密钥通过以下方式生成: _8]KXjS=Hk(Kx| |vb(s)) 其中,Kx,s是数据列的解密密钥,Hk( ?)是一个带密钥的HMAC,K是系统访问根密 钥,Kx是列密钥,VMs)是密级值;通过该方式生成数据列的解密密钥,从而可以防止对数据 库的直接攻击,有效防护数据的安全,同时,本专利技术利用相应的密级值才能访问到相应敏感 级的数据,从而进一步保证了结构化数据的安全。 本专利技术中,通过密级树计算得到允许用户访问的各个密级值,由于通过密级树,使 用中间值计算允许用户访问的各个密级值时,中间值的个数少于密级值的个数,因而发送 给用户的数据量较少,不仅可以有效防止密级值泄露,而且采用密级树还可以大大提高密 级值的计算效率。 前述的中,步骤b中所述的判断该访 问请求中是否含有违规访问具体包括:判断用户密级是否与其访问数据的敏感等级相匹 配,同时判断该用户的身份及其对访问数据的操作是否合法,若非,则含有违规访问,从而 可以有效防止越级及越权访问造成的数据泄漏现象。 上述方法中,所述的判断用户密级是否与其访问数据的敏感等级相匹配包括以下 步骤: S1.数据库防护服务器通过利用用户的身份信息过滤用户-密级表,或通过利用 用户的电子密级证书,来获取用户的密级信息; S2.数据库防护服务器根据用户请求访问的数据列,获取该数据列的敏感等级信 息;并将用户的密级与其访问数据列的敏感等级进行匹配。 所述的用户的密级可以是高级涉密、涉密、普通,数据列的敏感等级可以是高敏感 数据、敏感数据、内部数据,用户的密级与其访问数据列的敏感等级匹配是指:若用户的密 级为高级涉密,则其访问高敏感数据、敏感数据、内部数据时均是匹配的;若用户的密级为 涉密,则其访问敏感数据、内部数据时均是匹配的;若用户的密级为普通,则其访问内部数 据时是匹配的。 上述方法中,所述的判断该用户的身份及其对访问数据的操作是否合法具体包 括:判断用户是否为数据的创建者,同时判断用户的访问中是否包含修改、增加或删除操 作;若该用户不是数据的创建者,且其对访问数据的操作包含修改、增加或删除,则该访问 为非法操作。 与现有技术相比,本专利技术通过利用基于明文的结构化数据防泄漏方法,即根据数 据的分类分级制定相应细粒度的防泄漏策略来实现结构化数据防泄漏,从而可以有效防止 企业信息资产中的敏感结构化数据发生泄漏;此外,本专利技术还采用了基于密文的结构化数 据防泄漏方法,即对高敏感数据、敏感数据和内部数据预先进行加密,访问时只有用户的密 级和允许其访问的密级值都符合要求才能解密、访问相应的数据列,从而更进一步有效保 护了高敏感数据、敏感数据和内部数据的安全性。另外,专利技术人经过大量的试验研宄发现: 本专利技术中采用基于密文的结构化数据防泄漏方法,若直接将各个数据列的加密密钥分配给 所有能访问它的人员,那么一个高级涉密人员需要保存所有数据列的数据,且一个数据列 的数据将会被分发给多个人员,这样很容易造成密钥泄露;因此本专利技术提出了一种新的密 钥管理方法,即使得一个数据列的加密密钥Kx,s由列密钥K 密级值VBte)构成,所述的数 据列的加密密钥通过以下公式生成:KX,S=Hk(Kx| |VMs)),且其中的密级值VMs)通过数据库 防护服务器根据用户的密级下发的中间值,利用密级树计算得到,从而可以有效保证密钥 的安全性和结构化数据的安全性。此外,本专利技术中的2种防泄露方法中,所有用户都只能 访问与自己密级相等或低于自己密级的结构化数据,而不能访问高于自己密级的结构化数 据,因而有效保证了敏感数据的安全性。【附图说明】 图1是本专利技术实施例1的工作流程图; 图2是本专利技术实施例2的工作流程图; 图3是本专利技术中基于明文的数据库泄露防护系统的整体架构与工作流程示意图;[当前第1页1 2 3 本文档来自技高网...
【技术保护点】
基于分级分类的结构化数据资产防泄露方法,其特征在于,包括以下步骤:a.用户客户端通过应用服务器向数据库服务器发送访问结构化数据的请求;b.数据库防护服务器通过镜像的流量分析SQL语句,判断该访问请求中是否含有违规访问;c.若不含违规访问,则返回访问请求数据。
【技术特征摘要】
【专利技术属性】
技术研发人员:林泽鑫,阮文锋,李皓,蔡徽,彭泽武,冯歆尧,唐亮亮,邹洪,陈锐忠,赵延帅,
申请(专利权)人:广东电网有限责任公司信息中心,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。