防止数据泄露的数据共享方法技术

本发明专利技术公开了一种防止数据泄露的数据共享方法，在公有网络下部署管理端节点，并在其上设置管理服务器Sever，然后在各个数据提供方部署数据端节点，并在其上设置数据访问代理Agent，应用提供方开发数据应用程序，通过数据访问代理Agent部署到数据端节点，数据访问代理Agent为数据应用在数据源处创建账户，生成对应的数据访问凭证ds‑token，数据使用方在进行数据应用调用时，数据访问代理Agent将数据访问凭证ds‑token映射得到数据应用的账户，使用该账户从数据源查询数据并返回。本发明专利技术将数据应用部署到数据提供方，并通过设置数据访问代理隔离数据应用方的数据应用和数据提供方的数据源，既可以让数据应用合规地使用数据，也降低了数据泄露的风险。

【技术实现步骤摘要】
防止数据泄露的数据共享方法
本专利技术属于信息
，更为具体地讲，涉及一种防止数据泄露的数据共享方法。
技术介绍
在传统模式下，数据使用方若想使用数据，需要数据提供方将其数据传输到数据使用方，这种模式需要以符合法律法规和双方互相信任为前提。但是在实际的应用中，考虑到法律法规、商业利益以及数据在公共链路上直接传输带来的风险等方面的因素，很难直接让数据从数据提供方脱离出来。考虑到上述原因，业界开始分离应用与数据，将应用部署到数据提供方可控的环境内执行(称为“bringthecodetothedata”)，这一方式能够有效避免数据外传产生的权益、隐私以及安全等问题。但是在实际应用中，如何合理地搭建此类数据共享系统，降低数据泄露风险，仍然需要进一步研究。
技术实现思路
本专利技术的目的在于克服现有技术的不足，提供一种防止数据泄露的数据共享方法，将数据应用部署到数据提供方，并通过设置数据访问代理隔离数据应用方的数据应用和数据提供方的数据源，既可以让数据应用合规地使用数据，也降低了数据泄露的风险。为实现上述专利技术目的，本专利技术防止数据泄露的数据共享方法包括以下步骤：S1：在公有网络下部署管理端节点，并在其上设置管理服务器Sever，然后在各个数据提供方部署数据端节点，数据端节点部署的具体步骤包括：S1.1：数据提供方向管理端节点申请数据端节点，管理端节点审核通过后，为数据端节点分配入网凭证tunnel-token；S1.2：数据提供方在本地的私有网络下搭建数据端节点，并在其上设置数据访问代理Agent；S1.3：在数据端节点启动时，数据访问代理Agent使用websocket技术向管理端发起建立通信隧道的请求，并在请求中携带入网凭证tunnel-token；S1.4：管理端节点在接收到数据端节点的通信隧道建立请求之后，根据入网凭证tunnel-token对数据端节点进行鉴权，鉴权通过则建立与数据端节点的通信隧道，鉴权未通过则向数据端节点返回相应提示；S2：应用提供方根据所需要使用的数据源开发数据应用程序，然后向管理服务器Server发送包含数据应用程序的数据应用部署请求；管理端节点的管理服务器Server通过对应的通信隧道，将接收到的数据应用部署请求转发至对应数据端节点的数据访问代理Agent；S3：在数据访问代理Agent接收到数据应用部署请求后，从中提取出数据应用程序并在数据端节点部署数据应用，部署数据应用的具体步骤包括：S3.1：数据访问代理Agent使用容器技术在数据端节点为数据应用构建运行环境；S3.2：数据访问代理Agent从数据应用部署请求中提取出数据应用程序，在该步骤S3.1所建立的容器内运行数据应用程序；S3.3：数据访问代理Agent构建对调用请求进行合法性检查的规则request-validate-rule和对调用响应进行合法性检查的规则response-validate-rule；数据访问代理Agent使用UNIXsocket技术构建其与数据应用通信的通道，然后使用iptables设定防火墙规则，构建数据应用访问外部网络的白名单；数据访问代理Agent使用探针技术构建健康状态监测器，用于对数据应用的运行状态进行监测；S3.4：访问代理Agent在数据源处为数据应用创建账户，并为其分配相应的数据访问权限，然后为该账户生成对应的数据访问凭证ds-token，并建立账户与数据访问凭证ds-token的映射，最后将数据访问凭证ds-token通过数据访问代理Agent与数据应用的通信通道分发给数据应用；S4：数据访问代理Agent在对数据应用部署完毕后，向管理服务器Server发送部署完毕消息，管理服务器Server将数据应用相关信息加入数据应用目录进行发布，供数据使用方查询；S5：数据使用方在需要获取数据源中的数据时，从管理服务器Server查询得到对应的数据应用，然后对该数据应用进行调用，具体步骤包括：S5.1：数据使用方向管理服务器Sever发起对数据应用的调用请求，管理服务器Sever根据数据应用的标识获知对应数据端节点标识；S5.2：管理服务器Sever根据数据端节点标识确定对应的通信隧道，将数据应用调用请求经由该通信隧道发送给对应的数据访问代理Agent；S5.3：数据访问代理Agent接收到调用请求之后，根据调用请求的合法性检查规则request-validate-rule对其进行合法性检查，如果检查通过，则进入步骤S5.4，否则通过管理服务器Sever向数据使用方返回调用请求不合法消息；S5.4：数据访问代理Agent根据调用请求中的数据应用标识，使用对应的通信通道将该调用请求下发给对应的数据应用；S5.5：数据应用在接收到调用请求后则对该调用请求进行处理，具体步骤包括：S5.5.1：数据应用向数据访问代理Agent发起数据访问请求，并在该请求中携带对于所需访问数据源的数据访问凭证ds-token；S5.5.2：数据访问代理Agent根据数据访问请求中的数据访问凭证ds-token，映射得到数据源为该数据应用分配的用户名和密码，构建与数据源的访问通道，数据源根据用户名与密码进行鉴权，如果鉴权通过，则进入步骤S5.5.3，否则通过管理服务器Sever向数据使用方返回数据应用权限不符消息；S5.5.3：数据访问代理Agent将数据访问请求发送给数据源，数据源将数据操作结果通过数据访问代理Agent返回给数据应用；S5.6：数据应用在接收到数据访问代理Agent返回的数据后，构造调用响应并发送给数据访问代理Agent；S5.7：数据访问代理Agent根据调用响应的合法性检查规则response-validate-rule对所接收到的调用响应进行合法性检查，如果检查通过，则进入步骤S5.8，否则通过管理服务器Sever向数据使用方返回调用响应不合法消息；S5.8：数据访问代理Agent将调用响应转发至管理服务器Sever；S5.9：管理服务器Sever将调用响应反馈至数据使用方。本专利技术防止数据泄露的数据共享方法，在公有网络下部署管理端节点，并在其上设置管理服务器Sever，然后在各个数据提供方部署数据端节点，并在其上设置数据访问代理Agent，应用提供方开发数据应用程序，通过数据访问代理Agent部署到数据端节点，数据访问代理Agent为数据应用在数据源处创建账户，生成对应的数据访问凭证ds-token，数据使用方在进行数据应用调用时，数据访问代理Agent将数据访问凭证ds-token映射得到数据应用的账户，使用该账户从数据源查询数据并返回。本专利技术具有以下有益效果：1)本专利技术中使用websocket技术来构建数据端节点与管理端节点之间的通信隧道，能够支持多种复杂的网络环境，在不让数据端节点做特殊网络配置、不影响数据端节点网络安全的前提下达到数据端节点与管理端节点安全交互的本文档来自技高网...

【技术保护点】
1.一种防止数据泄露的数据共享方法，其特征在于，包括以下步骤：/nS1：在公有网络下部署管理端节点，并在其上设置管理服务器Sever，然后在各个数据提供方部署数据端节点，数据端节点部署的具体步骤包括：/nS1.1：数据提供方向管理端节点申请数据端节点，管理端节点审核通过后，为数据端节点分配入网凭证tunnel-token；/nS1.2：数据提供方在本地的私有网络下搭建数据端节点，并在其上设置数据访问代理Agent；/nS1.3：在数据端节点启动时，数据访问代理Agent使用websocket技术向管理端发起建立通信隧道的请求，并在请求中携带入网凭证tunnel-token；/nS1.4：管理端节点在接收到数据端节点的通信隧道建立请求之后，根据入网凭证tunnel-token对数据端节点进行鉴权，鉴权通过则建立与数据端节点的通信隧道，鉴权未通过则向数据端节点返回相应提示；/nS2：应用提供方根据所需要使用的数据源开发数据应用程序，然后向管理服务器Server发送包含数据应用程序的数据应用部署请求；管理端节点的管理服务器Server通过对应的通信隧道，将接收到的数据应用部署请求转发至对应数据端节点的数据访问代理Agent；/nS3：在数据访问代理Agent接收到数据应用部署请求后，从中提取出数据应用程序并在数据端节点部署数据应用，部署数据应用的具体步骤包括：/nS3.1：数据访问代理Agent使用容器技术在数据端节点为数据应用构建运行环境；/nS3.2：数据访问代理Agent从数据应用部署请求中提取出数据应用程序，在该步骤S3.1所建立的容器内运行数据应用程序；/nS3.3：数据访问代理Agent构建对调用请求进行合法性检查的规则request-validate-rule和对调用响应进行合法性检查的规则response-validate-rule；/n数据访问代理Agent使用UNIX socket技术构建其与数据应用通信的通道，然后使用iptables设定防火墙规则，构建数据应用访问外部网络的白名单；/n数据访问代理Agent使用探针技术构建健康状态监测器，用于对数据应用的运行状态进行监测；/nS3.4：访问代理Agent在数据源处为数据应用创建账户，并为其分配相应的数据访问权限，然后为该账户生成对应的数据访问凭证ds-token，并建立账户与数据访问凭证ds-token的映射，最后将数据访问凭证ds-token通过数据访问代理Agent与数据应用的通信通道分发给数据应用；/nS4：数据访问代理Agent在对数据应用部署完毕后，向管理服务器Server发送部署完毕消息，管理服务器Server将数据应用相关信息加入数据应用目录进行发布，供数据使用方查询；/nS5：数据使用方在需要获取数据源中的数据时，从管理服务器Server查询得到对应的数据应用，然后对该数据应用进行调用，具体步骤包括：/nS5.1：数据使用方向管理服务器Sever发起对数据应用的调用请求，管理服务器Sever根据数据应用的标识获知对应数据端节点标识；/nS5.2：管理服务器Sever根据数据端节点标识确定对应的通信隧道，将数据应用调用请求经由该通信隧道发送给对应的数据访问代理Agent；/nS5.3：数据访问代理Agent接收到调用请求之后，根据调用请求的合法性检查规则request-validate-rule对其进行合法性检查，如果检查通过，则进入步骤S5.4，否则通过管理服务器Sever向数据使用方返回调用请求不合法消息；/nS5.4：数据访问代理Agent根据调用请求中的数据应用标识，使用对应的通信通道将该调用请求下发给对应的数据应用；/nS5.5：数据应用在接收到调用请求后则对该调用请求进行处理，具体步骤包括：/nS5.5.1：数据应用向数据访问代理Agent发起数据访问请求，并在该请求中携带对于所需访问数据源的数据访问凭证ds-token；/nS5.5.2：数据访问代理Agent根据数据访问请求中的数据访问凭证ds-token，映射得到数据源为该数据应用分配的用户名和密码，构建与数据源的访问通道，数据源根据用户名与密码进行鉴权，如果鉴权通过，则进入步骤S5.5.3，否则通过管理服务器Sever向数据使用方返回数据应用权限不符消息；/nS5.5.3：数据访问代理Agent将数据访问请求发送给数据源，数据源将数据操作结果通过数据访问代理Agent返回给数据应用；/nS5.6：数据应用在接收到数据访问代理Agent返回的数据后，构造调用响应并发送给数据访问代理Agent；/nS5.7：数据访问代理Agent根据调用响应的合法性检查规则response-validate-rule对所接收到的调用响应进行合法性检查，如果检查通过，则进入步骤S5.8，否则通过管理...

【技术特征摘要】
1.一种防止数据泄露的数据共享方法，其特征在于，包括以下步骤：
S1：在公有网络下部署管理端节点，并在其上设置管理服务器Sever，然后在各个数据提供方部署数据端节点，数据端节点部署的具体步骤包括：
S1.1：数据提供方向管理端节点申请数据端节点，管理端节点审核通过后，为数据端节点分配入网凭证tunnel-token；
S1.2：数据提供方在本地的私有网络下搭建数据端节点，并在其上设置数据访问代理Agent；
S1.3：在数据端节点启动时，数据访问代理Agent使用websocket技术向管理端发起建立通信隧道的请求，并在请求中携带入网凭证tunnel-token；
S1.4：管理端节点在接收到数据端节点的通信隧道建立请求之后，根据入网凭证tunnel-token对数据端节点进行鉴权，鉴权通过则建立与数据端节点的通信隧道，鉴权未通过则向数据端节点返回相应提示；
S2：应用提供方根据所需要使用的数据源开发数据应用程序，然后向管理服务器Server发送包含数据应用程序的数据应用部署请求；管理端节点的管理服务器Server通过对应的通信隧道，将接收到的数据应用部署请求转发至对应数据端节点的数据访问代理Agent；
S3：在数据访问代理Agent接收到数据应用部署请求后，从中提取出数据应用程序并在数据端节点部署数据应用，部署数据应用的具体步骤包括：
S3.1：数据访问代理Agent使用容器技术在数据端节点为数据应用构建运行环境；
S3.2：数据访问代理Agent从数据应用部署请求中提取出数据应用程序，在该步骤S3.1所建立的容器内运行数据应用程序；
S3.3：数据访问代理Agent构建对调用请求进行合法性检查的规则request-validate-rule和对调用响应进行合法性检查的规则response-validate-rule；
数据访问代理Agent使用UNIXsocket技术构建其与数据应用通信的通道，然后使用iptables设定防火墙规则，构建数据应用访问外部网络的白名单；
数据访问代理Agent使用探针技术构建健康状态监测器，用于对数据应用的运行状态进行监测；
S3.4：访问代理Agent在数据源处为数据应用创建账户，并为其分配相应的数据访问权限，然后为该账户生成对应的数据访问凭证ds-token，并建立账户与数据访问凭证ds-token的映射，最后将数据访问凭证ds-token通过数据访问代理Agent与数据应用的通信通道分发...

【专利技术属性】
技术研发人员：陈虹，冉峰，丘志杰，
申请(专利权)人：北京链道科技有限公司，
类型：发明
国别省市：北京;11