CN116684169A - 一种基于网络身份的应用层数据安全传输方法及*** - Google Patents
一种基于网络身份的应用层数据安全传输方法及*** Download PDFInfo
- Publication number
- CN116684169A CN116684169A CN202310753780.6A CN202310753780A CN116684169A CN 116684169 A CN116684169 A CN 116684169A CN 202310753780 A CN202310753780 A CN 202310753780A CN 116684169 A CN116684169 A CN 116684169A
- Authority
- CN
- China
- Prior art keywords
- storage access
- storage
- request message
- server
- service request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000007906 compression Methods 0.000 claims description 8
- 230000006835 compression Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000007792 addition Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000013144 data compression Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于网络身份的应用层数据安全传输方法及***。方法包括:业务应用端获取用户信息并进行身份认证;身份认证通过后,业务应用端发起存储访问服务请求消息;存储访问服务请求消息经加密后,由消息代理传输到存储访问服务端;存储访问服务端获取与存储访问服务请求消息相应的存储索引;存储访问服务端根据存储索引从存储服务器调取对应的业务应用数据;存储服务器将对应的业务应用数据加密后,返回给存储访问服务端;存储访问服务端向业务应用端反馈加密后的业务应用数据;业务应用端在身份认证通过后获得解密信息,并对收到的业务应用数据解密并展示。***包括:业务应用端、存储访问服务端和存储服务器。
Description
【技术领域】
本发明涉及网络安全技术领域,尤其一种基于网络身份的应用层数据安全传输方法及***。
【背景技术】
数据安全传输技术在网络安全技术领域中尤为重要,但现有技术不能满足数据在平台内部的全链路传输安全的需求。
【发明内容】
本发明提供了一种基于网络身份的应用层数据安全传输方法及***,目的在于实现数据在平台内部的全链路传输安全。
本发明实施例的一种基于网络身份的应用层数据安全传输方法,包括下列步骤:S1、业务应用端获取用户信息并进行身份认证;S2、所述的身份认证通过后,业务应用端发起存储访问服务请求消息;S3、所述的存储访问服务请求消息经加密后,由消息代理传输到存储访问服务端;S4、存储访问服务端获取与所述存储访问服务请求消息相应的存储索引;S5、存储访问服务端根据所述的存储索引从存储服务器调取对应的业务应用数据;S6、存储服务器将所述对应的业务应用数据加密后,返回给存储访问服务端;S7、存储访问服务端向业务应用端反馈加密后的所述业务应用数据;S8、业务应用端在身份认证通过后获得解密信息,并对收到的所述业务应用数据解密并展示。
其中,步骤S2中所述业务应用端发起存储访问服务请求消息之前,还对用户的访问权限进行认证,访问权限认证通过后,再发起存储访问服务请求消息。
其中,所述加密、解密算法包括:AES算法、DES算法、RSA算法或国密算法。
其中,步骤S6中存储服务器将所述对应的业务应用数据先进行数据压缩后再加密;步骤S7中存储访问服务端向业务应用端反馈压缩后加密的所述业务应用数据;以及,步骤S8中业务应用端对收到的所述业务应用数据解密并解压缩。
其中,步骤S3中所述的存储访问服务请求消息经加密后,由消息代理传输到存储访问服务端,具体包括:S31、所述存储访问服务请求消息经加密后,传输到业务应用端的消息代理服务器;S32、所述业务应用端的消息代理服务器解密所述存储访问服务请求消息,并获取存储访问服务端的地址信息;S33、所述业务应用端的消息代理服务器重新加密所述存储访问服务请求消息,并根据所述存储访问服务端的地址信息传输到存储访问服务端。
其中,步骤S4中所述的存储访问服务端获取与存储访问服务请求消息相应的存储索引,具体包括:S41、存储访问服务端的消息代理服务器解密所述存储访问服务请求消息,并获取对应的存储服务器信息;S42、所述存储访问服务端的消息代理服务器重新加密所述存储访问服务请求消息,并向对应的存储服务器路由;S43、存储访问服务端解密所述存储访问服务请求消息,并获取与存储访问服务请求消息相应的存储索引。
本发明实施例的一种基于网络身份的应用层数据安全传输***,包括:业务应用端、存储访问服务端和存储服务器;所述业务应用端,用于获取用户信息并进行身份认证,身份认证通过后,发起存储访问服务请求消息,并对所述存储访问服务请求消息加密,再由消息代理传输到存储访问服务端;还用于在身份认证通过后获得解密信息,并对收到的业务应用数据解密并展示;所述存储访问服务端,用于获取与所述存储访问服务请求消息相应的存储索引,并根据所述存储索引从存储服务器调取对应的业务应用数据,以及向业务应用端反馈加密后的业务应用数据;所述存储服务器,用于将所述对应的业务应用数据加密后,返回给存储访问服务端。
本发明的一种基于网络身份的应用层数据安全传输方法及***,采用网络身份识别技术对存储在平台中的数据进行访问时的用户访问权限和访问流程进行验证,并控制接入,验证或重新验证新的节点和应用,建立双向的信任,防止恶意的增加、修改或者提取数据,实现数据在平台内部的全链路传输安全,可应用于数据接入汇聚平台和数据处理整编平台。
【附图说明】
图1是本发明实施例1的一种基于网络身份的应用层数据安全传输方法的流程图;
图2是本发明实施例1的一种基于网络身份的应用层数据安全传输方法的消息路由过程示意图;
图3是本发明实施例2的一种基于网络身份的应用层数据安全传输***结构示意图。
【具体实施方式】
发明人经研究发现,应用层数据安全传输方案支持对数据传输过程中数据全生命周期的数据安全管理,包括对传输数据加解密,以及基于网络身份对参与数据传输的主体进行权限控制,可实现数据在平台内部的全链路传输安全,应用于数据接入汇聚平台和数据处理整编平台。可支持对数据传输过程加密,同时可以支持对落地文件进行加解密。平台默认支持多种加密算法包括AES、DES、RSA、国密算法等,同时也支持用户自定义数据加解密算法。以下通过实施例具体详述。
实施例1、本实施例的一种基于网络身份的应用层数据安全传输方法,参见图1、2所示,包括下列主要步骤:
101、业务应用端获取用户信息并进行身份认证。
具体以客户画像应用为例,在业务应用端业务层中,客户画像应用客户端通过用户通行证TGC(Token Granting Cookie)向客户画像应用服务端发起身份认证,业务应用端获取用户信息并进行身份认证。
102、身份认证通过后,对用户的访问权限进行认证。
具体的,根据权限列表对客户画像应用客户端进行鉴权,完成身份权限服务。
103、业务应用端发起存储访问服务请求消息。
具体的,完成上述访问权限认证后,客户画像应用客户端获得身份服务令牌ST(Service Token),并触发业务应用端数据层发起存储访问服务请求消息。
104、存储访问服务请求消息经加密后,由消息代理传输到存储访问服务端。
具体的,存储访问服务请求消息在业务应用端数据层经加密后,传输到业务应用端通讯层的消息代理服务器。该消息代理服务器解密存储访问服务请求消息,并获取存储访问服务端的地址信息,并重新加密存储访问服务请求消息,根据存储访问服务端的地址信息传输到存储访问服务端。
105、存储访问服务端获取与存储访问服务请求消息相应的存储索引。
具体的,存储访问服务端通讯层的消息代理服务器解密存储访问服务请求消息,并获取对应的存储服务器信息。该消息代理服务器重新加密存储访问服务请求消息,并向对应的存储服务器路由。经过存储访问服务端数据层时,存储访问服务端解密存储访问服务请求消息,并获取与存储访问服务请求消息相应的存储索引。
106、存储访问服务端根据存储索引从存储服务器调取对应的业务应用数据。
107、存储服务器将对应的业务应用数据加密后,返回给存储访问服务端。
本步骤的业务应用数据优选先压缩后再加密,以提升传输效率。
108、存储访问服务端向业务应用端反馈加密后的业务应用数据。
本步骤的存储访问服务端向业务应用端反馈压缩后加密的业务应用数据。
109、业务应用端在身份认证通过后获得解密信息,并对收到的业务应用数据解密并展示。
本步骤中业务应用端对收到的业务应用数据解密并解压缩后再进行展示。
本实施例的方法中,加密、解密、压缩算法包括但不限于:AES算法、DES算法、RSA算法或国密算法,以及第三方数据加密和压缩算法。图2中所示的硬件资源的应用服务器、网络等为常规配置,不再赘述。本实施例的方法采用先进的网络身份识别技术对存储在平台中的数据进行访问时的用户访问权限和访问流程进行验证。控制接入,验证或重新验证新的节点和应用,建立双向的信任,防止恶意的增加、修改或者提取数据。在数据存储层和数据传输层的数据加密和数据压缩功能。支持第三方数据加密和压缩算法的加载。
实施例2、本实施例的一种基于网络身份的应用层数据安全传输***,采用上述实施例的方法实现,参见图3所示,包括:业务应用端201、存储访问服务端202和存储服务器203,采用上述实施例1的方法实施。
业务应用端201,用于获取用户信息并进行身份认证,身份认证通过后,发起存储访问服务请求消息,并对存储访问服务请求消息加密,再由消息代理传输到存储访问服务端202;还用于在身份认证通过后获得解密信息,并对收到的业务应用数据解密并展示。
存储访问服务端202,用于获取与存储访问服务请求消息相应的存储索引,并根据存储索引从存储服务器203调取对应的业务应用数据,以及向业务应用端201反馈加密后的业务应用数据。
存储服务器203,用于将对应的业务应用数据加密后,返回给存储访问服务端202。
本实施例的***中,加密、解密、压缩算法包括但不限于:AES算法、DES算法、RSA算法或国密算法,以及第三方数据加密和压缩算法。本实施例的***采用先进的网络身份识别技术对存储在平台中的数据进行访问时的用户访问权限和访问流程进行验证。控制接入,验证或重新验证新的节点和应用,建立双向的信任,防止恶意的增加、修改或者提取数据。在数据存储层和数据传输层的数据加密和数据压缩功能。支持第三方数据加密和压缩算法的加载。
这里本发明的描述和应用都只是说明性和示意性的,并非是想要将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是完全可能的,对于那些本领域的普通技术人员来说,实施例的替换和等效的各种部件均是公知的。本领域技术人员还应该清楚的是,在不脱离本发明的精神或本质特征的情况下,本发明可以以其它形式、结构、布置、比例,以及用其它组件、材料和部件来实现,以及在不脱离本发明范围和精神的情况下,可以对这里所披露的实施例进行其它变形和改变。
Claims (7)
1.一种基于网络身份的应用层数据安全传输方法,其特征在于,包括下列步骤:
S1、业务应用端获取用户信息并进行身份认证;
S2、所述的身份认证通过后,业务应用端发起存储访问服务请求消息;
S3、所述的存储访问服务请求消息经加密后,由消息代理传输到存储访问服务端;
S4、存储访问服务端获取与所述存储访问服务请求消息相应的存储索引;
S5、存储访问服务端根据所述的存储索引从存储服务器调取对应的业务应用数据;
S6、存储服务器将所述对应的业务应用数据加密后,返回给存储访问服务端;
S7、存储访问服务端向业务应用端反馈加密后的所述业务应用数据;
S8、业务应用端在身份认证通过后获得解密信息,并对收到的所述业务应用数据解密并展示。
2.如权利要求1所述的基于网络身份的应用层数据安全传输方法,其特征在于,步骤S2中所述业务应用端发起存储访问服务请求消息之前,还对用户的访问权限进行认证,访问权限认证通过后,再发起存储访问服务请求消息。
3.如权利要求1所述的基于网络身份的应用层数据安全传输方法,其特征在于,所述加密、解密算法包括:AES算法、DES算法、RSA算法或国密算法。
4.如权利要求1所述的基于网络身份的应用层数据安全传输方法,其特征在于,步骤S6中存储服务器将所述对应的业务应用数据先进行数据压缩后再加密;
步骤S7中存储访问服务端向业务应用端反馈压缩后加密的所述业务应用数据;以及,
步骤S8中业务应用端对收到的所述业务应用数据解密并解压缩。
5.如权利要求1所述的基于网络身份的应用层数据安全传输方法,其特征在于,步骤S3中所述的存储访问服务请求消息经加密后,由消息代理传输到存储访问服务端,具体包括:
S31、所述存储访问服务请求消息经加密后,传输到业务应用端的消息代理服务器;
S32、所述业务应用端的消息代理服务器解密所述存储访问服务请求消息,并获取存储访问服务端的地址信息;
S33、所述业务应用端的消息代理服务器重新加密所述存储访问服务请求消息,并根据所述存储访问服务端的地址信息传输到存储访问服务端。
6.如权利要求1所述的基于网络身份的应用层数据安全传输方法,其特征在于,步骤S4中所述的存储访问服务端获取与存储访问服务请求消息相应的存储索引,具体包括:
S41、存储访问服务端的消息代理服务器解密所述存储访问服务请求消息,并获取对应的存储服务器信息;
S42、所述存储访问服务端的消息代理服务器重新加密所述存储访问服务请求消息,并向对应的存储服务器路由;
S43、存储访问服务端解密所述存储访问服务请求消息,并获取与存储访问服务请求消息相应的存储索引。
7.一种基于网络身份的应用层数据安全传输***,其特征在于,包括:业务应用端、存储访问服务端和存储服务器;
所述业务应用端,用于获取用户信息并进行身份认证,身份认证通过后,发起存储访问服务请求消息,并对所述存储访问服务请求消息加密,再由消息代理传输到存储访问服务端;还用于在身份认证通过后获得解密信息,并对收到的业务应用数据解密并展示;
所述存储访问服务端,用于获取与所述存储访问服务请求消息相应的存储索引,并根据所述存储索引从存储服务器调取对应的业务应用数据,以及
向业务应用端反馈加密后的业务应用数据;
所述存储服务器,用于将所述对应的业务应用数据加密后,返回给存储访问服务端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310753780.6A CN116684169A (zh) | 2023-06-26 | 2023-06-26 | 一种基于网络身份的应用层数据安全传输方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310753780.6A CN116684169A (zh) | 2023-06-26 | 2023-06-26 | 一种基于网络身份的应用层数据安全传输方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116684169A true CN116684169A (zh) | 2023-09-01 |
Family
ID=87779094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310753780.6A Pending CN116684169A (zh) | 2023-06-26 | 2023-06-26 | 一种基于网络身份的应用层数据安全传输方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116684169A (zh) |
-
2023
- 2023-06-26 CN CN202310753780.6A patent/CN116684169A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10313135B2 (en) | Secure instant messaging system | |
| US9137223B2 (en) | Apparatus and method for transmitting data, and recording medium storing program for executing method of the same in computer | |
| US9137017B2 (en) | Key recovery mechanism | |
| US8788811B2 (en) | Server-side key generation for non-token clients | |
| KR101265873B1 (ko) | 분산된 단일 서명 서비스 방법 | |
| CA2527718C (en) | System, method and computer product for sending encrypted messages to recipients where the sender does not possess the credentials of the recipient | |
| US20030081774A1 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| US20080285756A1 (en) | Random shared key | |
| US20080031459A1 (en) | Systems and Methods for Identity-Based Secure Communications | |
| US20110296171A1 (en) | Key recovery mechanism | |
| US20200162245A1 (en) | Method and system for performing ssl handshake | |
| WO2010078755A1 (zh) | 电子邮件的传送方法、***及wapi终端 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及*** | |
| CN110493272B (zh) | 使用多重密钥的通信方法和通信*** | |
| US20020018570A1 (en) | System and method for secure comparison of a common secret of communicating devices | |
| EP4096160A1 (en) | Shared secret implementation of proxied cryptographic keys | |
| CN113779619A (zh) | 一种基于国密算法的ceph分布式对象存储***加解密方法 | |
| CN111698203A (zh) | 一种云数据加密方法 | |
| US11265298B2 (en) | Method for end-to-end transmission of a piece of encrypted digital information, application of this method and object implementing this method | |
| CN113918971A (zh) | 基于区块链的消息传输方法、装置、设备及可读存储介质 | |
| CN116684169A (zh) | 一种基于网络身份的应用层数据安全传输方法及*** | |
| US20190379645A1 (en) | System for secure arbitrary data transport | |
| US11736462B1 (en) | Hybrid content protection architecture for email | |
| US20230041783A1 (en) | Provision of digital content via a communication network | |
| CN114244569A (zh) | Ssl vpn远程访问方法、***和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |