消息队列的加密制造技术

在发布

【技术实现步骤摘要】
【国外来华专利技术】消息队列的加密

技术介绍

[0001]本专利技术总体上涉及消息排队(queuing)系统，并且尤其涉及以安全方式对消息排队系统中的消息进行处理。
[0002]对企业内、企业间、从企业到消费者以及从消费者到消费者的消息和信息交换进行管理是信息技术的核心竞争力之一。消息传递(messaging)系统已经被广泛地使用了几十年，以便将数据作为消息来存储、转发和分发。最近，诸如Kafka(卡夫卡)之类的消息传递系统也被认为是数据库的一种形式。在这种发展的同时，这些消息传递系统越来越多地在云计算系统中实例化。(注意：术语“KAFKA(卡夫卡)”可能受到全世界各种司法管辖区的商标权的约束，并且在这里仅用于指在这样的商标权可能存在的范围内由商标适当地命名的产品或服务。)
[0003]已知安全密钥管理和数据传输系统包括转换系统、数据消费者网络设备、用户网络设备和数据传输网络。传输管理系统被配置为经由数据传输网络从用户网络设备接收特定于用户的数据，并且接收对服务的请求，该服务与根据由数据消费者网络设备提供的专有处理来处理特定于用户的数据相对应。
[0004]另外，已知用于传播网络配置策略的系统使用发布/订阅消息传递系统。在操作期间，该系统通过发布/订阅消息传递系统从策略服务器接收包含配置策略的第一表示的一个或多个消息。

技术实现思路

[0005]在本专利技术的一个方面中，一种方法、计算机程序产品和系统包括：(i)通过参考基于话题(topic)的加密策略来确定与第一消息相关联的第一话题需要第一加密级别；(ii)向用户提供加密密钥，所述加密密钥用于根据所述第一加密级别对所述第一消息进行加密以产生第一经加密的消息；(iii)根据所述第一话题将所述第一经加密的消息存储在消息排队系统中；(iv)从消费者接收对包括所述第一经加密的消息的与所述第一话题相关联的消息的请求；(v)参考所述第一话题、根据所述基于话题的加密策略来识别与所述经加密的消息相对应的解密密钥；以及(vi)向所述消费者发送所述第一经加密的消息，以由所述消费者使用所述解密密钥来解密。
[0006]根据本专利技术的另一方面，可以提供一种用于在发布/订阅消息排队系统中进行有针对性(targeted)的基于策略的加密的计算机实现的方法。该方法可以包括由消息排队系统接收经加密的消息，其中，该消息已经通过参考加密策略系统和存储与话题相关的加密密钥的密钥管理系统进行了加密；存储接收到的与话题相关的经加密的消息；以及基于对话题的订阅来发送经加密的消息。
[0007]根据本专利技术的又一方面，可以提供一种用于在发布
‑
订阅消息队列(queue)中进行有针对性的基于策略的加密的系统。该系统可以包括：消息排队系统，所述消息排队系统适于接收经加密的消息，其中，该消息已经通过参考加密策略系统和存储与话题相关的加密密钥的密钥管理系统进行了加密；用于存储接收到的与话题相关的经加密的消息的装置；
以及用于基于对话题的订阅来发送经加密的消息的装置。
[0008]此外，实施例可以采用可从计算机可用或计算机可读介质访问的相关计算机程序产品的形式，该计算机可用或计算机可读介质提供由计算机或任何指令执行系统使用或与计算机或任何指令执行系统结合使用的程序代码。为了本说明书的目的，计算机可用或计算机可读介质可以是任何装置，其可以包含用于存储、传送、传播或传输程序的装置，该程序由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用。
附图说明
[0009]应当注意，参考不同主题描述了本专利技术的实施例。特别地，一些实施例是参考方法类型权利要求来描述的，而其他实施例是参考装置类型权利要求来描述的。然而，本领域技术人员将从以上和以下描述中了解到，除非另外指出，除了属于一种类型的主题的特征的任何组合之外，与不同主题相关的特征之间的任何组合，特别是方法类型权利要求的特征与装置类型权利要求的特征之间的任何组合，也被认为是在本文献内公开的。
[0010]从下文将描述的实施例的示例中，本专利技术的上述方面和其它方面是明显的，并且将参考实施例的示例进行解释，但是本专利技术不限于此。
[0011]将仅通过示例的方式并且参考以下附图来描述本专利技术的一些实施例：
[0012]图1是用于在发布
‑
订阅消息队列中进行有针对性的基于策略的加密的第一实施例方法的流程图。
[0013]图2是支持图1的第一实施例方法的第一实施例系统的示意图。
[0014]图3是使用图2的第一实施例系统来实现第一实施例方法的至少部分的活动的流程图。
[0015]图4是用于在发布/订阅消息队列中进行有针对性的基于策略的加密的第一实施例系统的机器逻辑(例如，软件)部分的示意图。
[0016]图5是用于在发布
‑
订阅消息队列中进行有针对性的基于策略的加密的第二实施例方法的流程图。
[0017]图6是根据本专利技术的计算系统的示意图。
具体实施方式
[0018]在发布
‑
订阅消息队列中进行有针对性的基于话题的加密。由用于存储和接收消息两者的加密策略所驱动的基于话题的加密使用活动跟踪和日志记录来确保与所存储的经加密的消息相关联的某些话题的机密性。对发布者和消费者两者的认证确保了加密密钥和解密密钥被秘密地使用。
[0019]当消息传递系统移动诸如个人信息或财务数据之类的高度敏感数据时，由于监管要求、隐私策略和/或最佳实践，可能经常需要在消息传递服务器处对数据进行加密。
[0020]一些消息传递系统存储所有想要通过消息传递服务器进行转发的数据。由于这个原因和其它原因，这些消息传递系统类似于数据库。对于这种类型的消息传递系统，因为完整敏感信息集合可能存在并且存储在消息传递服务器上，所以对加密存储的需求增加。如果没有加密，则整个敏感数据集合可能被暴露给未被允许的访问。
[0021]一些消息传递系统可以支持对存储在消息传递服务器上的数据进行本地加密。然
而，即使消息传递系统支持服务器上的加密存储，数据的原始生产者也不一定控制加密手段，并且尤其是不控制加密密钥。
[0022]通常，静态加密是利用消息传递服务器上的磁盘或文件系统加密来解决的。虽然这些方法可以防止在盘丢失或被盗时的暴露，但是当用户具有对消息传递服务器上的所有文件的读取和访问权限时，它们通常不阻止对解密数据的访问。因此，文件系统将为这样的拥有读取权限的用户解密数据。为了防止这种所谓的“sysadmin(系统管理员)攻击”，最佳安全实践要求对敏感数据进行加密，即，系统管理员不能访问相应解密密钥中的数据库或应用级别。
[0023]在本说明书的上下文中，可以使用以下惯例、术语和/或表述：
[0024]术语“基于策略的加密”可以表示：规则的储存库可以在例如加密策略数据库中可用。通过参考加密策略数据库并且请求标志、即对消息队列中的与特定话题相关的消息进行加密的要求，加密策略数据库可以通知请求者与所选择的话题相关的消息被加密或必须被加密。还可本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法，包括：通过参考基于话题的加密策略来确定与第一消息相关联的第一话题需要第一加密级别；向第一实体提供加密密钥，所述加密密钥用于根据所述第一加密级别对所述第一消息进行加密以产生第一经加密的消息；根据所述第一话题将所述第一经加密的消息存储在消息排队系统中；从第二实体接收对包括所述第一经加密的消息的与所述第一话题相关联的消息的请求；参考所述第一话题、根据所述基于话题的加密策略来识别与所述经加密的消息相对应的解密密钥；以及向所述第二实体发送所述第一经加密的消息，以由所述消费者使用所述解密密钥来解密。2.根据权利要求1所述的计算机实现的方法，还包括：把向所述第一实体提供用于产生所述第一经加密的消息的所述加密密钥以及向所述第二实体发送所述第一经加密的消息的所述解密密钥记录到日志记录系统。3.根据权利要求2所述的计算机实现的方法，还包括：响应于对所述基于话题的加密策略的更新，把所述更新记录到所述日志记录系统。4.根据权利要求1所述的计算机实现的方法，还包括：从所述第一实体接收请求以确定所述第一话题是否需要加密以存储在所述消息排队系统中。5.根据权利要求1所述的计算机实现的方法，还包括：为所述第二实体建立订阅账户，包括向所述第二实体分配认证凭证；以及当所述第二实体经由所述订阅账户订阅所述第一话题时，接收到所述请求。6.根据权利要求1所述的计算机实现的方法，其中，通过所述基于话题的加密策略将所述解密密钥分配给所述第一话题。7.一种计算机程序产品，所述计算机程序产品包括其中存储有指令集的计算机可读存储介质，所述指令集在由处理器执行时使处理器通过以下操作在发布
‑
订阅消息传递队列中进行基于话题的加密：通过参考基于话题的加密策略来确定与第一消息相关联的第一话题需要第一加密级别；向第一实体提供加密密钥，所述加密密钥用于根据所述第一加密级别对所述第一消息进行加密以产生第一经加密的消息；根据所述第一话题将所述第一经加密的消息存储在消息排队系统中；从第二实体接收对包括所述第一经加密的消息的与所述第一话题相关联的消息的请求；参考所述第一话题、根据所述基于话题的加密策略来识别与所述经加密的消息相对应的解密密钥；以及向所述第二实体发送所述第一经加密的消息，以由所述第二实体使用所述解密密钥来解密。
8.根据权利要求7所述的计算机程序产品，还使得所述处理器通过以下操作在发布
‑
订阅消息传递队列中进行基于话题的加密：把向所述用户提供用于产生所述第一经加密的消息的所述加密密钥以及向所述第二实体发送所述第一经加密的消息的所述解密密钥记录到日志记录系统。9.根据权利要求8所述的计算机程序产品，还使得所述处理器通过以下操作在发布
‑
订阅消息传递队列中进行基于话题的加密：响应于对所述基于话题的加密策略的更新，把所述更新记录到所述日志记录系统。10.根据权利要求7所述的计算机程序产品，还使得所述处理器通过以下操作在发布
‑
订阅消息传递队列中进行基于话题的加密：从所述第一实体接收请求以确定所述第一话题是否需要加密以存储在所述消息排队系统中。11.根据权利要求7所述的计算机程序产品，还使得所述处理器通过以下操作在发布
‑
订阅消息传递队列中进行基于话题的加密：为所述第二实体建立订阅账户，包括向所述第二实体分配认证凭证；以及当所述第二实体经由所述订阅账户订阅所述第一话题时，接收到所述请求。12.根据...

【专利技术属性】
技术研发人员：C，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：