一種面向數(shù)據(jù)的安全體系方法及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明屬于信息安全技術領域�����,尤其涉及一種面向數(shù)據(jù)的安全體系方法及系統(tǒng)。
【背景技術】
[0002]信息安全關乎國家安全��、社會穩(wěn)定�����、企業(yè)利益和個人隱私����。環(huán)境的開放���,數(shù)據(jù)的急劇擴張�,人們對數(shù)據(jù)的依賴程度越來越高��。由于數(shù)據(jù)集中存放����、系統(tǒng)安全漏洞、數(shù)據(jù)越權訪問等情況����,使信息安全問題愈發(fā)突出�����。而隨著數(shù)據(jù)時代的到來�,也要求我們以新的數(shù)據(jù)體系結構去適應新的社會發(fā)展要求�����。
[0003](I)開放環(huán)境下需要有新一代的數(shù)據(jù)安全解決方案�。
[0004]我國政府提出的“互聯(lián)網(wǎng)+”行動計劃,要將移動互聯(lián)網(wǎng)���、云計算���、大數(shù)據(jù)、物聯(lián)網(wǎng)等作為我國新時期經(jīng)濟發(fā)展的重要推力���,信息系統(tǒng)或應用體系所面臨的環(huán)境更為開放���,對數(shù)據(jù)和信息安全的要求更高。通常情況下�����,一個相對安全的信息系統(tǒng)或應用體系,是建立在一個相對封閉和安全的環(huán)境中�����,通過“門窗加固”等方式來保證這個封閉環(huán)境是安全的或可信的�����,更加強調的是網(wǎng)絡空間安全��、系統(tǒng)安全��、環(huán)境安全和應用安全�。雖然和外部交換信息時是通過數(shù)據(jù)加密或VPN通道來傳輸數(shù)據(jù)�����,但在這個相對“安全”的內部環(huán)境里�����,大多數(shù)數(shù)據(jù)卻是處于“裸露”狀態(tài)的�����。一旦有不速之客通過各種漏洞或非法獲得權限進入到這個環(huán)境,“裸露”的數(shù)據(jù)就面臨著極大的危險���。一些數(shù)據(jù)中心所涉及的數(shù)據(jù)安全�,多是指利用數(shù)據(jù)備份����、數(shù)據(jù)災備等技術來保障數(shù)據(jù)不丟失、不被破壞��,但仍存在著越權訪問等危險行為���,造成數(shù)據(jù)和信息泄露的隱患��。封閉環(huán)境下的安全方法在開放環(huán)境下的面臨著極大的挑戰(zhàn)�,開放環(huán)境下的數(shù)據(jù)安全成為重要的研究課題�����。朱靜波(2006年)提出了開放網(wǎng)絡環(huán)境下數(shù)據(jù)的發(fā)布與管理�����,涉及了單向加密、新人憑證等屬性概念���。陳珂(2007年)較系統(tǒng)地了開放環(huán)境下敏感數(shù)據(jù)的安全問題����。閆璽璽(2012年)提出了開放環(huán)境下敏感數(shù)據(jù)防泄露若干關鍵技術�,其中主要涉及威脅模型、數(shù)據(jù)管理機制���、可信執(zhí)行�、數(shù)據(jù)封裝加密��、秘鑰保存等問題�。劉逸敏(2012年)提出基于R-PAACEE模型的隱私分析算法,可以判斷用戶隱私���,且該方法,對于結構化數(shù)據(jù)���、日志數(shù)據(jù)��、XML數(shù)據(jù)均有判斷力�,并且依據(jù)不同場景進行了實驗分析。在開放環(huán)境下�,除了網(wǎng)絡安全和系統(tǒng)安全保障之外,還需要在安全的體系結構和安全的數(shù)據(jù)保護機制等方面有相應的舉措����。2012年,美國一些知名的數(shù)據(jù)管理領域的專家學者聯(lián)合發(fā)布白皮書“Challenges and Opportunities with Big Data”�����,提出數(shù)據(jù)安全及系統(tǒng)架構問題的挑戰(zhàn)���。信息安全的核心就是數(shù)據(jù)的安全�,開展面向數(shù)據(jù)和以數(shù)據(jù)為核心的數(shù)據(jù)安全體系研究是十分必要的C3Xiangrong Xiao(2009年)在無線傳感網(wǎng)絡上的應用中對“面向數(shù)據(jù)的安全模型”進行過研究�����,但沒有從面向數(shù)據(jù)的安全體系結構上開展研究�。因此,需要有一種新的安全體系結構����,即面向數(shù)據(jù)的安全體系結構,來應對這個挑戰(zhàn)���。
[0005](2)信息社會和數(shù)據(jù)時代要求有更底層的體系結構來保證數(shù)據(jù)安全和數(shù)據(jù)的安全應用���。
[0006]“互聯(lián)網(wǎng)+”行動計劃帶給我們兩點啟示:一是以互聯(lián)網(wǎng)為代表的信息技術集合由過去的行業(yè)性質�����,轉變?yōu)榱丝梢灾纹渌袠I(yè)發(fā)展的基礎;二是只有互聯(lián)網(wǎng)+數(shù)據(jù)����,才能把傳統(tǒng)行業(yè)加到互聯(lián)網(wǎng)上去發(fā)展��。
[0007]由于數(shù)據(jù)集中存放����、系統(tǒng)安全漏洞、數(shù)據(jù)越權訪問等情況�,使信息安全問題愈發(fā)突出。
【發(fā)明內容】
[0008]本發(fā)明的目的在于提供一種面向數(shù)據(jù)的安全體系方法及系統(tǒng)��,旨在解決由于數(shù)據(jù)集中存放�、系統(tǒng)安全漏洞、數(shù)據(jù)越權訪問等情況�����,使信息安全問題愈發(fā)突出的問題�����。
[0009]本發(fā)明是這樣實現(xiàn)的���,一種面向數(shù)據(jù)的安全體系方法��,所述面向數(shù)據(jù)的安全體系方法包括:
[0010]明確數(shù)據(jù)的權屬����,即數(shù)據(jù)的生產者�����、數(shù)據(jù)的所有者和數(shù)據(jù)的使用者���,對參與網(wǎng)絡活動的人員進行注冊和身份確認(見圖2);
[0011 ]通過建立索引和搜索引擎�,實現(xiàn)數(shù)據(jù)的管理和對應用提供服務�;
[0012]通過用數(shù)據(jù)生產者的私鑰對數(shù)據(jù)簽名來明確數(shù)據(jù)的生產者,用數(shù)據(jù)所有者的公鑰對數(shù)據(jù)加密來明確數(shù)據(jù)的所有者�����,并實現(xiàn)數(shù)據(jù)的天生加密(見圖3、圖8);
[0013]用數(shù)據(jù)所有者的私鑰對數(shù)據(jù)解密后再用數(shù)據(jù)使用者(被授權人)的公鑰對數(shù)據(jù)加密��,實現(xiàn)數(shù)據(jù)授權使用;授權過程用所有者私鑰加密��,在數(shù)據(jù)注冊中心進行記錄和管理(見圖4����、圖5、圖9);
[0014]對數(shù)據(jù)資源進行自適應管理���,保證數(shù)據(jù)的唯一性和一致性��,監(jiān)管和處置數(shù)據(jù)的各種異常行為����;
[0015]以水印的方式將數(shù)據(jù)生產者���、所有者及授權給使用者的過程及時間戳記錄下來��,與原始數(shù)據(jù)一起進行加密管理(見圖5����、圖9);
[0016]關聯(lián)應用對數(shù)據(jù)的訪問�,對各種應用提供支持���,確定數(shù)據(jù)安全應用的環(huán)境����,通過多種手段實現(xiàn)內存數(shù)據(jù)的安全保障和不被侵入竊取。
[0017]本發(fā)明的另一目的在于提供一種面向數(shù)據(jù)的安全體系的系統(tǒng)����,所述面向數(shù)據(jù)的安全體系的系統(tǒng)包括:
[0018]CA用戶認證模塊,對參與網(wǎng)絡活動的人員進行注冊和身份確認��;
[0019]DRC數(shù)據(jù)注冊模塊�,對所有數(shù)據(jù)及人員進行注冊和登記,并保存網(wǎng)絡人員的公鑰�����。通過分類�����、建立索引和搜索引擎����,實現(xiàn)數(shù)據(jù)的管理���、人員的管理和對應用提供服務;
[0020]PKI數(shù)據(jù)權屬與加密呈現(xiàn)模塊��,明確數(shù)據(jù)的生產者����、所有者和使用者;通過用數(shù)據(jù)生產者的私鑰簽名來明確數(shù)據(jù)的生產者,用數(shù)據(jù)所有者的公鑰加密來明確數(shù)據(jù)的所有者�����,并實現(xiàn)數(shù)據(jù)的天生加密�����;
[0021]DAC數(shù)據(jù)授權使用模塊����,用數(shù)據(jù)所有者的私鑰解密后再用數(shù)據(jù)使用者(被授權人)的公鑰加密實現(xiàn)數(shù)據(jù)授權,授權過程通過水印和數(shù)據(jù)注冊中心進行記錄和管理���;
[0022]DEC數(shù)據(jù)監(jiān)管模塊����,對數(shù)據(jù)資源進行自適應管理,保證數(shù)據(jù)的唯一性和一致性��,監(jiān)管和處置數(shù)據(jù)的各種異常行為(例子見圖7);
[0023]DWR數(shù)字水印記錄模塊��,以水印的方式將數(shù)據(jù)所有者及授權使用過程記錄下來���,與原始數(shù)據(jù)一起進行管理;
[0024]DAUs數(shù)據(jù)安全應用模塊�����,關聯(lián)應用對數(shù)據(jù)的訪問���,對各種應用提供支持�����,確定數(shù)據(jù)安全應用的環(huán)境����,通過多種手段實現(xiàn)內存數(shù)據(jù)的安全保障和不被侵入竊取(例子見圖6���、圖10)���。
[0025]本發(fā)明的另一目的在于提供一種所述面向數(shù)據(jù)的安全體系方法的數(shù)據(jù)安全應用系統(tǒng)�。
[0026]本發(fā)明的另一目的在于提供一種所述面向數(shù)據(jù)的安全體系方法的數(shù)據(jù)交易平臺(例子見圖12)�����。
[0027]本發(fā)明的另一目的在于提供一種所述面向數(shù)據(jù)的安全體系方法的數(shù)據(jù)隱私保護系統(tǒng)����。
[0028]本發(fā)明的另一目的在于提供一種所述面向數(shù)據(jù)的安全體系方法的數(shù)字虛擬資產保護系統(tǒng)。
[0029]本發(fā)明提供的面向數(shù)據(jù)的安全體系方法及系統(tǒng)�,針對大數(shù)據(jù)、云計算�、移動互聯(lián)網(wǎng)等開放環(huán)境下日益嚴峻的信息安全問題,特別是利用系統(tǒng)漏洞和越權訪問造成的數(shù)據(jù)泄露等安全問題���,提出了一種以數(shù)據(jù)為核心和面向數(shù)據(jù)的信息安全解決方案�����,即面向數(shù)據(jù)的安全體系結構(D0SA���,Data Oriented Security Architecture) ;D0SA將通過網(wǎng)絡用戶身份認證、數(shù)據(jù)權屬確立、數(shù)據(jù)注冊����、加密呈現(xiàn),授權使用����,水印記錄、過程溯源�、數(shù)據(jù)監(jiān)管、安全應用等方法�����,建立一套開放環(huán)境下的數(shù)據(jù)安全體系��,可以從數(shù)據(jù)的采集�����、管理���、應用等層面上,最大限度地保護數(shù)據(jù)安全�����,在數(shù)據(jù)交易、數(shù)據(jù)存儲���、數(shù)據(jù)傳輸�����、數(shù)據(jù)應用��、數(shù)據(jù)隱私保護����、數(shù)字虛擬資產保護等方面�,具有較大的應用前景。開放環(huán)境下信息安全問題集中體現(xiàn)在數(shù)據(jù)的安全上�����。本發(fā)明DOSA采用“面向數(shù)據(jù)和以數(shù)據(jù)為核心”的理念���,建立數(shù)據(jù)與用戶之間