[发明专利]一种基于共享数据安全管理的方法和系统

说明书

技术领域

本发明涉及数据安全领域，具体地说是一种基于共享数据安全管理的方法和系统。

背景技术

目前，数据从类型上来分，可以分为结构化数据和非结构化数据。结构化数据即行数据，存储在数据库里，可以用二维表结构来逻辑表达实现的数据。相对于结构话数据而言，不方便用数据库二维逻辑表来表现的数据即称为非结构化数据，非结构化数据包括所有格式的办公文档、文本、图片、标准通用标记语言下的子集XML、HTML、各类报表、图像和音频/视频信息等等。

在当前社会信息化建设已经日渐成熟，很多企业或者机构已经积累了大量的数据。数据作为信息价值的重要源泉，数据共享和第三方进行数据查询、挖掘分析是再创造价值的重要手段。数据中包含了大量的信息，数据共享可提供数据信息的利用程度，充分发挥数据的价值。但是企业或机构中的数据，可能包含有敏感的信息，特别是结构化数据，包括商业秘密、用户隐私信息等，直接共享会带来意想不到风险，所以必须在数据可安全管理的前提下提供共享。如公安人口信息资源库中包含了居民的基本信息，在铁路部门大力推广火车票实名制时，需要对居民的身份信息进行核实，通过用户的姓名和身份证号来验证其合法性，但是此时无需获取该用户的社会关系等信息。这就需要在数据检索和共享时，同时兼顾数据的可利用性能和保密性能。

现有对数据的安全管理基本集中在非结构化数据，也就是文档类型数据的管理，包括使用文档加密、文档权限控制等，但对结构化数据的防护主要依赖数据库系统自身的技术，包括账号访问权限控制和加密数据库中的数据。但数据库账号的权限最小单位是表，无法对表中的行、列或者某字段进行防护，另外数据库中数据加密后对数据检索效率影响较大，应用场景有限。

发明内容

为此，本发明所要解决的技术问题在于现有技术中的数据库字段加密后无法快速响应检索、数据库权限无法实现数据库行、列和某字段的控制，影响数据共享和使用的效果，从而提出一种检索快速准确且保密性好的基于共享数据安全管理的方法和系统。

为解决上述技术问题，本发明的提供一种基于共享数据安全管理的方法，包括如下步骤：

将原始信息资源库的数据同步到信息资源共享库中，信息资源共享库中的信息加密存储；

信息资源共享库与数据共享安全网关通信，且该信息资源共享库只响应来自数据共享安全网关的指令，数据共享安全网关中存储有用户身份及其对应的权限列表；

数据共享安全网关接收应用设备的请求，数据共享安全网关确认应用设备的用户身份后向信息资源共享库发送请求；

信息资源共享库响应该请求，并获取该请求需要的数据，将数据返回数据共享安全网关；

数据共享安全网关根据该用户身份对应的权限列表，对信息资源共享库中返回的数据进行处理，然后对处理后的数据进行加密，回传给应用设备；

应用设备解密后获得所需数据。

优选地，信息资源共享库中的信息加密存储时，采用整盘加密方式，对存储的信息资源整体加密。

优选地，信息资源共享库与数据共享安全网关通信时，采用链路加密方式。

优选地，权限列表包括对数据库中结构化数据的表、行、列字段的获取权限。

优选地，数据共享安全网关对处理后的数据进行加密时，使用应用设备的用户身份的公钥进行加密，应用设备解密时采用自身的私钥进行解密。

优选地，数据共享安全网关根据该用户身份对应的权限列表，对信息资源共享库中返回的查询数据进行处理的过程，包括

根据用户身份的权限列表，将返回的数据进行内容去除或者脱敏处理。

优选地，应用设备包括查询服务终端、共享服务终端

本发明还提供一种基于共享数据安全管理的系统，包括信息资源共享库和数据共享安全网关，其中：

信息资源共享库，只响应来自数据共享安全网关的指令，包括：

存储单元：采用加密的方式存储有与原始信息资源库同步的数据；

响应单元：响应来自数据共享安全网关发送的请求，获取该请求需要的数据，将数据返回数据共享安全网关；

数据共享安全网关，包括：

权限管理单元：存储有用户身份及其对应的权限列表，

请求单元：接收应用设备的请求，确认应用设备的用户身份后向信息资源共享库发送请求，与信息资源共享库通信；

处理单元：根据该用户身份对应的权限列表，对信息资源共享库中返回的数据进行处理，然后对处理后的数据进行加密，回传给应用设备。