技術領域

本發明實施例涉及信息安全技術，尤其涉及一種數據保護方法及設備。

背景技術

在業務運營支撐系統（Business?Support?System，簡稱：BSS）中，各業務子系統根據業務需求，需要保存一些個人敏感數據（Privacy?Data，簡稱：PD），例如，交易賬號、支付卡主賬號（Primary?Account?Number，簡稱：PAN）、卡校驗碼（Card?Verification?Value，簡稱：CVV）、地址信息等。

在現有的BSS業務解決方案中，通常在營業廳或呼叫中心（Call?Center）的操作員通過客戶關系管理（Customer?Relationship?Management，簡稱：CRM）提供的界面錄入客戶資料，需要采集的客戶資料包括：用戶基本信息（個人自然信息）、賬戶資料信息（含付費方式、支付卡PAN、賬單聯系人方式等）、賬單介質信息、Offer信息和合同信息等。根據用戶錄入的客戶資料生成和歸檔開戶信息，完成用戶創建操作。

下面以用戶錄入的支付卡PAN為例，說明在典型的后付費用戶開戶流程中，PD在各業務子系統中的獲取和保存過程。

客戶到相關受理渠道（如營業廳或網絡平臺）申請開戶，填寫受理的支付卡PAN（用于自動付費和自動充值），CRM對支付卡信息的有效性和合法性進行校驗，校驗通過后生成開戶的相關數據和開戶訂單；CRM本地創建后付費用戶和賬戶數據，并發送給融合計費系統（Convergent?Billing?System，簡稱：CBS），CBS本地保存后付費用戶和賬戶數據；在完成繳費和網元服務開通等操作后，CRM數據庫中保存后付費用戶和賬戶數據，其中，賬戶數據包括支付卡PAN。在客戶進行賬戶信息查詢時，CRM將在界面上顯示客戶開戶時注冊的支付卡PAN（以掩碼的形式），最多可顯示PAN的前六位和后四位。

在上述BSS業務解決方案中，PD的安全指數低，導致PD泄密事件頻繁發生。

發明內容

本發明實施例提供一種數據保護方法及設備，以實現BSS中PD的安全管理。

第一方面，本發明實施例提供一種數據保護方法，包括：

接收業務子系統發送的網絡服務請求報文，所述網絡服務請求報文中包含至少一個子服務請求，每一子服務請求中攜帶一虛擬敏感數據VPD；

對于每一子服務請求，根據該子服務請求中攜帶的VPD查找對應的敏感數據PD，并以找到的PD替換該子服務請求中攜帶的VPD；

將替換后的網絡服務請求報文發送至目標系統。

結合第一方面，在第一方面的第一種可能的實現方式中，所述將替換后的網絡服務請求報文發送至目標系統之后，所述方法還包括：

接收所述目標系統反饋的與所述替換后的網絡服務請求報文對應的響應報文，其中所述響應報文中包含至少一個子服務響應，每一子服務響應中攜帶一PD；

對于每一子服務響應，根據該子服務響應中攜帶的PD查找對應的VPD，并以找到的VPD替換該子服務響應中攜帶的PD；

將替換后的響應報文發送至所述業務子系統。

結合第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述網絡服務請求報文和響應報文采用可擴展標記語言架構XML?Schema定義。

結合第一方面、第一方面的第一種至第二種可能的實現方式中的任意一種，在第一方面的第三種可能的實現方式中，在接收業務子系統發送的網絡服務請求報文之前，所述方法還包括：

接收所述業務子系統發送的PD密文；

根據預先存儲的工作密匙，解密所述PD密文獲得PD明文；

對所述PD明文采用預置的算法生成VPD，記錄所述PD與所述VPD之間的對應關系，并將所述VPD發送給所述業務子系統。

第二方面，本發明實施例提供一種數據保護設備，包括：

接收模塊，用于接收業務子系統發送的網絡服務請求報文，所述網絡服務請求報文中包含至少一個子服務請求，每一子服務請求中攜帶一虛擬敏感數據VPD；

處理模塊，用于對于每一子服務請求，根據該子服務請求中攜帶的VPD查找對應的敏感數據PD，并以找到的PD替換該子服務請求中攜帶的VPD；

發送模塊，用于將所述處理模塊生成的所述替換后的網絡服務請求報文發送至目標系統。