本发明专利技术公开了一种无需修改应用前提下支持数据跨域安全使用的方法,该方法包括以下步骤,数据使用方部署具有Hook功能的组件;Hook组件基于用户配置参数文件连接数据拥有方建立安全连接;数据拥有方核实用户信息的有效性,并基于用户需求信息将数据基于安全连接发送给Hook组件,同时生成数据对应的加密秘钥K也基于安全连接发送给Hook组件;数据使用方需要调用或读取数据时,此类函数将会被Hook组件中定义的程序替换,将内存中的明文数据直接返回给应用实现数据调取。在不改变现有原生应用的基础上,赋能数据密态流转、使用,在不对现有使用流程做改变前提下,实现数据全生命周期密态操作,保证数据隐私可控。保证数据隐私可控。保证数据隐私可控。
【技术实现步骤摘要】
一种无需修改应用前提下支持数据跨域安全使用的方法
[0001]本专利技术属于数据跨域使用
,具体涉及一种无需修改应用前提下支持数据跨域安全使用的方法。
技术介绍
[0002]随着信息技术产业的高速发展,数据跨域使用交互共享已经成为了众多应用软件的主要数据来源渠道之一。但是数据一旦共享,数据拥有方便失去了数据所有权,数据的隐私性也不复存在。数据使用方一般已经部署了使用数据的应用软件,应用软件直接加载数据进行使用、运算,没有安全的加密、解密模块,数据使用方在读取、写入数据都是以明文形式,操作员可以方便的、以极低的成本接触到应用进出的所有明文数据,由此会导致数据可以被复制,散播,存在比较突出的安全隐患。
[0003]而在一些有数据加密保障的场景中,数据使用方应用需要重新定制化设计,修改已部署的一般应用以适配安全的接收秘钥并且在内存中解密、使用数据,应用修改难度较大的同时还大幅增加了应用的运营成本。因此,在不改变现有原生应用的基础上,保证数据密态流转、使用,在不对现有使用流程做改变前提下,实现数据全生命周期密态操作,保证数据隐私可控是目前亟待解决的问题。
技术实现思路
[0004]针对现有技术的不足,本专利技术提出一种无需修改应用前提下支持数据跨域安全使用的方法,在不改变现有原生应用的基础上,赋能数据密态流转、使用,在不对现有使用流程做改变前提下,实现数据全生命周期密态操作,保证数据隐私可控。具体实现方式如下:
[0005]一种无需修改应用前提下支持数据跨域安全使用的方法,包括以下步骤:
[0006]S1数据使用方部署具有Hook功能的组件,应用启动时加载Hook组件;
[0007]S2 Hook组件基于用户配置参数文件连接数据拥有方建立安全连接,发送用户信息和用户需求信息;
[0008]S3数据拥有方核实用户信息的有效性,并基于用户需求信息将数据及与数据对应的加密秘钥K基于安全连接发送给Hook组件,Hook组件基于秘钥K将收到的数据加密并落盘存储;
[0009]S4当数据使用方调用打开数据文件或读取数据的函数时,此类函数将会被Hook组件中定义的程序替换,Hook组件将步骤S3中加密落盘存储的数据加载到内存并在内存中基于秘钥K解密,将内存中的明文数据直接返回给应用实现数据调取;
[0010]S5当数据使用方调用写操作的函数时,此类函数也会被Hook组件中定义的程序替换,由Hook组件在内存中把需要写入的数据用加密秘钥K加密后落盘。
[0011]钩子编程(Hooking),也称作“挂钩”,指通过拦截软件模块间的函数调用、消息传递、事件传递来修改或扩展操作系统、应用程序或其他软件组件的行为的各种技术。处理被拦截的函数调用、事件、消息的代码,被称为钩子(Hook)。由于一般应用都是可以基于Hook
启动,只要用户启动时候去加载Hook即可。
[0012]本申请无需修改应用前提下支持数据跨域安全使用的方法,利用hook组件可以集成秘钥拉取加解密功能,提供了一种数据可用不可见的操作方法,数据跨域交互的应用场景中,数据流转至数据使用方时能被处于加密状态,无需修改一般应用即可将加密数据可信安全的解密、被应用使用,保证了数据全生命周期的安全隐私性。
[0013]在上述的一种无需修改应用前提下支持数据跨域安全使用的方法中,所述hook组件为能在客户端设备上安装的Hook插件或者独立的应用Hook2。
[0014]本申请所述用户均为原生应用,不作任何修改,即不修改代码,不重新编译。启动应用时,无论是Hook插件还是独立的应用Hook2均能够加载Hook功能,即应用以加载Hook方式启动。
[0015]在上述的一种无需修改应用前提下支持数据跨域安全使用的方法中,所述步骤S1中:数据使用方使用的主机根据硬件信息生成唯一标识的机器码。
[0016]用户在注册时候将指定使用的主机,主机相关硬件信息提供给数据提供方,基于这些硬件信息现有技术即可以生成唯一标识的机器码。
[0017]在上述的一种无需修改应用前提下支持数据跨域安全使用的方法中,所述步骤S2为:Hook组件计算机器码并与数据拥有方建立安全连接,基于安全连接发送计算生成的机器码、用户信息和用户需求信息。
[0018]应用启动时候会触发Hook组件中安全拉取数据的函数,基于保存在目录下或在Hook组件相关文件同一目录下的用户配置参数文件,参数文件包含但不限于数据提供者方信息,例如IP、端口号等等,基于参数文件Hook组件知道如何连接数据拥有方去拉取数据。
[0019]在上述的一种无需修改应用前提下支持数据跨域安全使用的方法中,所述步骤S3为:数据拥有方核实机器码与用户信息的有效性,基于用户需求信息将数据通过安全连接发送给Hook组件,数据对应的加密秘钥K以及操作模式也基于安全连接发送给Hook组件,Hook组件基于秘钥K将收到的数据加密并落盘存储。
[0020]本申请提供的无需修改应用前提下支持数据跨域安全使用的方法,在已开发好的原生应用没有集成远程拉取数据的能力情况下,即使应用只能打开、处理拷贝到本地数据的能力,无需修改也可以密态使用数据,解密明文数据不落盘。
[0021]在上述的一种无需修改应用前提下支持数据跨域安全使用的方法中,所述操作模式即MODE,可选取以下多个选项中的任意一个:SAVE_FORBID即禁止写入任何数据;SAVE_DIRECT即直接写明文数据;SAVE_ENCRYPT即所有数据写入加密;SAVE_AUTO即自动智能化判断,根据数据的输入输出内容,自动判断是否有数据泄露的嫌疑,并由程序自动选取以上三种模式中的一种;
[0022]所述步骤S5中,数据使用方根据数据拥有方决定的操作模式进行数据落盘。
[0023]一般情况下,应用的数据输出包含图表,不泄密前提下可以以明文形式存储返回给数据使用方。
[0024]在上述的一种无需修改应用前提下支持数据跨域安全使用的方法中,还包括步骤S6,具体如下:
[0025]APP重启,Hook组件基于用户配置参数文件重新与数据拥有方建立安全连接,基于Hook配置文件判断是否需要远程拉取数据还是读取本地上次已写入的加密数据。
[0026]在上述的一种无需修改应用前提下支持数据跨域安全使用的方法中,所述步骤S6还包括,如Hook配置文件判断读取本地上次已写入的加密数据作为本次使用的数据来源,当用户调用打开数据文件或读取数据的函数时,Hook组件将本地加密数据加载到内存并在内存中基于秘钥K解密,解密的明文数据直接返回给应用实现数据调取。
[0027]如果APP重启,将会重新与数据拥有方建立安全连接,远程拉取K,并基于Hook配置文件判断是否需要远程拉取数据还是可以读取本地上次已写入的加密数据。如读取本地上次已写入的加密数据作为本次使用的数据来源,则数据的读取、拉取操作将会被Hook组件中定义的以下程序替换,即将盘上加密数据加载到内存并在内存中基于秘钥K来解密,并将内存本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种无需修改应用前提下支持数据跨域安全使用的方法,其特征在于,包括以下步骤:S 1数据使用方部署具有hook功能的Hook组件,应用启动时加载Hook组件;S2 Hook组件基于用户配置参数文件与数据拥有方建立安全连接,发送用户信息和用户需求信息;S3数据拥有方核实用户信息的有效性,并基于用户需求信息将数据及与数据对应的加密秘钥K基于安全连接发送给Hook组件,Hook组件基于秘钥K将收到的数据加密并落盘存储;S4当数据使用方调用打开数据文件或读取数据的函数时,此类函数将会被Hook组件中定义的程序替换,Hook组件将步骤S3中加密落盘存储的数据加载到内存并在内存中基于秘钥K解密,将内存中的明文数据直接返回给应用实现数据调取;S5当数据使用方调用写操作的函数时,此类函数也会被Hook组件中定义的程序替换,由Hook组件在内存中把需要写入的数据用加密秘钥K加密后落盘。2.根据权利要求1所述的一种无需修改应用前提下支持数据跨域安全使用的方法,其特征在于,所述hook组件为能在客户端设备上安装的Hook插件或者独立的应用Hook2。3.根据权利要求1所述的一种无需修改应用前提下支持数据跨域安全使用的方法,其特征在于,所述步骤S1中:数据使用方使用的主机根据硬件信息生成唯一标识的机器码。4.根据权利要求3所述的一种无需修改应用前提下支持数据跨域安全使用的方法,其特征在于,所述步骤S2为:Hook组件计算机器码并与数据拥有方建立安全连接,基于安全连接发送计算生成的机器码、用户信息和用户需求信息。5.根据权利要求4所述的一种无需修改应用前提下支持数据跨域安全使用的方法,其特征在于,所述步骤S3为:数据拥有方核实机器码与用户信息的有效性,基于用户需求信息将数据通过安全连接发送给Hook组件,数据对应的加密秘钥K以及操作模...
【专利技术属性】
技术研发人员:张磊,
申请(专利权)人:南湖实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。