【技术实现步骤摘要】
本专利技术主要涉及网络信息安全,尤其是涉及一种基于零信任的数据共享系统及方法。
技术介绍
1、随着工业网络化、信息化、数字化的快速发展,工业企业积累足够多的数据,对数据价值释放的需求越来越迫切。
2、(1)现有的数据共享方法,基于加解密方式或基于区块链技术向特定对象授予数据访问权限,可访问数据信息面向全网公开,限制其在敏感度更高的工业数据共享应用场景的扩展;
3、(2)现有的数据共享方法无法进行精细化的定向分享,需建立多个数据安全共享通道,策略较为复杂。
技术实现思路
1、本专利技术所要解决的技术问题
2、提供一种基于零信任的数据共享方法及系统,解决基于加密方式或基于区块链技术向特定对象授予数据访问权限,可访问数据面向全网公开,不适用于敏感度更高的工业数据共享应用场景的问题,以及现有的数据共享方法无法进行化的定向分享,需要建立多个数据安全共享通道,实现较为复杂的问题。
3、本专利技术解决上述技术问题所采用的技术方案
4、一种基于零信任的数据共享系统,包括数据提供方、访问控制模块、数据转发模块和数据使用方;
5、所述数据提供方,用于将数据元上传至访问控制模块,将数据元对应的数据上传至数据转发模块;以及决定是否通过数据使用方的访问策略申请;
6、所述数据使用方,用于根据匹配到的数据元和自身属性生成访问策略;以及向访问控制模块发送访问策略和访问策略申请;
7、所述访问控制模块,用于对所述数据提
8、所述数据转发模块,用于根据访问策略中的数据元将对应的数据转发给数据使用方。
9、进一步的,还包括第一终端应用模块和第二终端应用模块;
10、所述第一终端应用模块,用于供数据提供方执行将数据元上传至访问控制模块,将数据元对应的数据上传至数据转发模块;以及决定是否通过数据使用方的访问策略申请;
11、所述第二终端应用模块,用于供数据使用方执行根据匹配到的数据元和自身属性生成访问策略;以及向访问控制模块发送访问策略和访问策略申请。
12、基于所述的一种基于零信任的数据共享系统,本专利技术还提供一种基于零信任的数据共享方法,所述方法具体包括:
13、数据提供方通过第一终端应用模块将数据元上传到访问控制模块,将数据元对应的数据上传至数据转发模块;
14、访问控制模块对数据提供方上传的数据元进行标识,区分不同数据使用方能够访问的数据资源;
15、数据使用方通过第二终端应用模块,进行标识匹配,获取访问控制模块中可访问的数据元,并从可访问的数据元中选取需要使用的数据元;根据所选取的数据元和数据使用方的自身属性生成访问策略;
16、数据使用方通过第二终端应用模块向访问控制模块发送访问策略申请,访问控制模块向数据提供方转达访问策略申请,数据提供方决定是否通过数据使用方生成的访问策略申请;
17、数据提供方通过数据使用方生成的访问策略申请后,数据使用方向访问控制模块提交数据访问策略,访问控制模块通过数据使用方的属性验证后,向数据转发模块下发数据使用方的访问策略,数据转发模块根据访问策略中数据使用方选择的数据元向数据使用方转发对应的数据。
18、进一步的,所述数据使用方获取访问控制模块中可访问的数据元的方法为:访问控制模块验证数据使用方身份,身份验证通过后,将数据访问方携带的标识与数据元的标识进行对比,若对比结果一致,访问控制模块控制数据使用方可见对应数据元,若对比结果不一致,访问控制模块不对数据使用方显示对应数据元。
19、进一步的,所述数据使用方的属性包括:数据使用方当前使用的第二终端应用模块的ip、mac地址和数据转发的时间窗。
20、进一步的,所述方法还包括:数据提供方通过数据使用方的访问策略申请后,访问控制模块向数据使用方发送访问策略申请通过凭证,获取数据时,访问控制模块根据访问策略申请通过凭证验证数据使用方的属性,验证通过后,将访问策略下发至数据转发模块。
21、进一步的,所述方法还包括,数据提供方将数据元写入数据列表中,将数据列表上传至访问控制模块中。
22、本专利技术的有益效果
23、本专利技术所述的一种基于零信任的数据共享系统及方法,对数据使用方的每次数据转发申请均进行基于多属性的验证,提升数据访问控制安全水平,降低数据非授权泄露风险。可部署于对数据敏感度要求更高的工业数据共享场景,实现工业数据的微隔离,通过单一数据通道支持多对多数据安全共享,降低数据共享应用成本。
本文档来自技高网...【技术保护点】
1.一种基于零信任的数据共享系统,其特征在于,包括数据提供方、访问控制模块、数据转发模块和数据使用方;
2.根据权利要求1所述的一种基于零信任的数据共享系统,其特征在于,还包括第一终端应用模块和第二终端应用模块;
3.一种基于零信任的数据共享方法,应用于权利要求1或2所述的一种基于零信任的数据共享系统,其特征在于,包括:
4.根据权利要求3所述的一种基于零信任的数据共享方法,其特征在于,所述数据使用方获取访问控制模块中可访问的数据元的方法为:访问控制模块验证数据使用方身份,身份验证通过后,将数据访问方携带的标识与数据元的标识进行对比,若对比结果一致,访问控制模块控制数据使用方可见对应数据元,若对比结果不一致,访问控制模块不对数据使用方显示对应数据元。
5.根据权利要求3所述的一种基于零信任的数据共享方法,其特征在于,所述数据使用方的属性包括:数据使用方当前使用的第二终端应用模块的IP、MAC地址和数据转发的时间窗。
6.根据权利要求3所述的一种基于零信任的数据共享方法,其特征在于,所述方法还包括:数据提供方通过数据使用方
7.根据权利要求3-6任意一项所述的一种基于零信任的数据共享方法,其特征在于,所述方法还包括,数据提供方将数据元写入数据列表中,将数据列表上传至访问控制模块中。
...【技术特征摘要】
1.一种基于零信任的数据共享系统,其特征在于,包括数据提供方、访问控制模块、数据转发模块和数据使用方;
2.根据权利要求1所述的一种基于零信任的数据共享系统,其特征在于,还包括第一终端应用模块和第二终端应用模块;
3.一种基于零信任的数据共享方法,应用于权利要求1或2所述的一种基于零信任的数据共享系统,其特征在于,包括:
4.根据权利要求3所述的一种基于零信任的数据共享方法,其特征在于,所述数据使用方获取访问控制模块中可访问的数据元的方法为:访问控制模块验证数据使用方身份,身份验证通过后,将数据访问方携带的标识与数据元的标识进行对比,若对比结果一致,访问控制模块控制数据使用方可见对应数据元,若对比结果不一致,访问控制模块不对数据使...
【专利技术属性】
技术研发人员:谭源泉,冯楚贤,胡章一,唐博,范佳,
申请(专利权)人:四川启睿克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。