一种基于网络身份的应用层数据安全传输方法及系统

【技术领域】

本发明涉及网络安全技术领域，尤其一种基于网络身份的应用层数据安全传输方法及系统。

【背景技术】

数据安全传输技术在网络安全技术领域中尤为重要，但现有技术不能满足数据在平台内部的全链路传输安全的需求。

【发明内容】

本发明提供了一种基于网络身份的应用层数据安全传输方法及系统，目的在于实现数据在平台内部的全链路传输安全。

本发明实施例的一种基于网络身份的应用层数据安全传输方法，包括下列步骤：S1、业务应用端获取用户信息并进行身份认证；S2、所述的身份认证通过后，业务应用端发起存储访问服务请求消息；S3、所述的存储访问服务请求消息经加密后，由消息代理传输到存储访问服务端；S4、存储访问服务端获取与所述存储访问服务请求消息相应的存储索引；S5、存储访问服务端根据所述的存储索引从存储服务器调取对应的业务应用数据；S6、存储服务器将所述对应的业务应用数据加密后，返回给存储访问服务端；S7、存储访问服务端向业务应用端反馈加密后的所述业务应用数据；S8、业务应用端在身份认证通过后获得解密信息，并对收到的所述业务应用数据解密并展示。

其中，步骤S2中所述业务应用端发起存储访问服务请求消息之前，还对用户的访问权限进行认证，访问权限认证通过后，再发起存储访问服务请求消息。

其中，所述加密、解密算法包括：AES算法、DES算法、RSA算法或国密算法。

其中，步骤S6中存储服务器将所述对应的业务应用数据先进行数据压缩后再加密；步骤S7中存储访问服务端向业务应用端反馈压缩后加密的所述业务应用数据；以及，步骤S8中业务应用端对收到的所述业务应用数据解密并解压缩。

其中，步骤S3中所述的存储访问服务请求消息经加密后，由消息代理传输到存储访问服务端，具体包括：S31、所述存储访问服务请求消息经加密后，传输到业务应用端的消息代理服务器；S32、所述业务应用端的消息代理服务器解密所述存储访问服务请求消息，并获取存储访问服务端的地址信息；S33、所述业务应用端的消息代理服务器重新加密所述存储访问服务请求消息，并根据所述存储访问服务端的地址信息传输到存储访问服务端。

其中，步骤S4中所述的存储访问服务端获取与存储访问服务请求消息相应的存储索引，具体包括：S41、存储访问服务端的消息代理服务器解密所述存储访问服务请求消息，并获取对应的存储服务器信息；S42、所述存储访问服务端的消息代理服务器重新加密所述存储访问服务请求消息，并向对应的存储服务器路由；S43、存储访问服务端解密所述存储访问服务请求消息，并获取与存储访问服务请求消息相应的存储索引。

本发明实施例的一种基于网络身份的应用层数据安全传输系统，包括：业务应用端、存储访问服务端和存储服务器；所述业务应用端，用于获取用户信息并进行身份认证，身份认证通过后，发起存储访问服务请求消息，并对所述存储访问服务请求消息加密，再由消息代理传输到存储访问服务端；还用于在身份认证通过后获得解密信息，并对收到的业务应用数据解密并展示；所述存储访问服务端，用于获取与所述存储访问服务请求消息相应的存储索引，并根据所述存储索引从存储服务器调取对应的业务应用数据，以及向业务应用端反馈加密后的业务应用数据；所述存储服务器，用于将所述对应的业务应用数据加密后，返回给存储访问服务端。

本发明的一种基于网络身份的应用层数据安全传输方法及系统，采用网络身份识别技术对存储在平台中的数据进行访问时的用户访问权限和访问流程进行验证，并控制接入，验证或重新验证新的节点和应用，建立双向的信任，防止恶意的增加、修改或者提取数据，实现数据在平台内部的全链路传输安全，可应用于数据接入汇聚平台和数据处理整编平台。

【附图说明】

图1是本发明实施例1的一种基于网络身份的应用层数据安全传输方法的流程图；

图2是本发明实施例1的一种基于网络身份的应用层数据安全传输方法的消息路由过程示意图；

图3是本发明实施例2的一种基于网络身份的应用层数据安全传输系统结构示意图。

【具体实施方式】

发明人经研究发现，应用层数据安全传输方案支持对数据传输过程中数据全生命周期的数据安全管理，包括对传输数据加解密，以及基于网络身份对参与数据传输的主体进行权限控制，可实现数据在平台内部的全链路传输安全，应用于数据接入汇聚平台和数据处理整编平台。可支持对数据传输过程加密，同时可以支持对落地文件进行加解密。平台默认支持多种加密算法包括AES、DES、RSA、国密算法等，同时也支持用户自定义数据加解密算法。以下通过实施例具体详述。

实施例1、本实施例的一种基于网络身份的应用层数据安全传输方法，参见图1、2所示，包括下列主要步骤：

101、业务应用端获取用户信息并进行身份认证。

具体以客户画像应用为例，在业务应用端业务层中，客户画像应用客户端通过用户通行证TGC(Token Granting Cookie)向客户画像应用服务端发起身份认证，业务应用端获取用户信息并进行身份认证。

102、身份认证通过后，对用户的访问权限进行认证。

具体的，根据权限列表对客户画像应用客户端进行鉴权，完成身份权限服务。

103、业务应用端发起存储访问服务请求消息。

具体的，完成上述访问权限认证后，客户画像应用客户端获得身份服务令牌ST(Service Token)，并触发业务应用端数据层发起存储访问服务请求消息。

104、存储访问服务请求消息经加密后，由消息代理传输到存储访问服务端。

具体的，存储访问服务请求消息在业务应用端数据层经加密后，传输到业务应用端通讯层的消息代理服务器。该消息代理服务器解密存储访问服务请求消息，并获取存储访问服务端的地址信息，并重新加密存储访问服务请求消息，根据存储访问服务端的地址信息传输到存储访问服务端。

105、存储访问服务端获取与存储访问服务请求消息相应的存储索引。

具体的，存储访问服务端通讯层的消息代理服务器解密存储访问服务请求消息，并获取对应的存储服务器信息。该消息代理服务器重新加密存储访问服务请求消息，并向对应的存储服务器路由。经过存储访问服务端数据层时，存储访问服务端解密存储访问服务请求消息，并获取与存储访问服务请求消息相应的存储索引。

106、存储访问服务端根据存储索引从存储服务器调取对应的业务应用数据。

107、存储服务器将对应的业务应用数据加密后，返回给存储访问服务端。

本步骤的业务应用数据优选先压缩后再加密，以提升传输效率。

108、存储访问服务端向业务应用端反馈加密后的业务应用数据。

本步骤的存储访问服务端向业务应用端反馈压缩后加密的业务应用数据。

109、业务应用端在身份认证通过后获得解密信息，并对收到的业务应用数据解密并展示。

本步骤中业务应用端对收到的业务应用数据解密并解压缩后再进行展示。

本实施例的方法中，加密、解密、压缩算法包括但不限于：AES算法、DES算法、RSA算法或国密算法，以及第三方数据加密和压缩算法。图2中所示的硬件资源的应用服务器、网络等为常规配置，不再赘述。本实施例的方法采用先进的网络身份识别技术对存储在平台中的数据进行访问时的用户访问权限和访问流程进行验证。控制接入，验证或重新验证新的节点和应用，建立双向的信任，防止恶意的增加、修改或者提取数据。在数据存储层和数据传输层的数据加密和数据压缩功能。支持第三方数据加密和压缩算法的加载。

实施例2、本实施例的一种基于网络身份的应用层数据安全传输系统，采用上述实施例的方法实现，参见图3所示，包括：业务应用端201、存储访问服务端202和存储服务器203，采用上述实施例1的方法实施。

业务应用端201，用于获取用户信息并进行身份认证，身份认证通过后，发起存储访问服务请求消息，并对存储访问服务请求消息加密，再由消息代理传输到存储访问服务端202；还用于在身份认证通过后获得解密信息，并对收到的业务应用数据解密并展示。

存储访问服务端202，用于获取与存储访问服务请求消息相应的存储索引，并根据存储索引从存储服务器203调取对应的业务应用数据，以及向业务应用端201反馈加密后的业务应用数据。

存储服务器203，用于将对应的业务应用数据加密后，返回给存储访问服务端202。

本实施例的系统中，加密、解密、压缩算法包括但不限于：AES算法、DES算法、RSA算法或国密算法，以及第三方数据加密和压缩算法。本实施例的系统采用先进的网络身份识别技术对存储在平台中的数据进行访问时的用户访问权限和访问流程进行验证。控制接入，验证或重新验证新的节点和应用，建立双向的信任，防止恶意的增加、修改或者提取数据。在数据存储层和数据传输层的数据加密和数据压缩功能。支持第三方数据加密和压缩算法的加载。

这里本发明的描述和应用都只是说明性和示意性的，并非是想要将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是完全可能的，对于那些本领域的普通技术人员来说，实施例的替换和等效的各种部件均是公知的。本领域技术人员还应该清楚的是，在不脱离本发明的精神或本质特征的情况下，本发明可以以其它形式、结构、布置、比例，以及用其它组件、材料和部件来实现，以及在不脱离本发明范围和精神的情况下，可以对这里所披露的实施例进行其它变形和改变。