[發(fā)明專利]一種基于零信任體系的數(shù)據(jù)安全訪問系統(tǒng)、方法、裝置及介質(zhì)在審

申請?zhí)枺?/td>	202210977160.6	申請日：	2022-08-15
公開（公告）號：	CN115514523A	公開（公告）日：	2022-12-23
發(fā)明（設(shè)計）人：	孫運(yùn)傳;石玉峰	申請（專利權(quán)）人：	北京師范大學(xué);山東大學(xué)
主分類號：	H04L9/40	分類號：	H04L9/40;H04L9/06;H04L9/32
代理公司：	北京萬馳專利代理事務(wù)所(普通合伙) 16106	代理人：	王軍
地址：	100875 北***	國省代碼：	北京;11
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	一種基于信任體系數(shù)據(jù) 安全訪問系統(tǒng) 方法裝置介質(zhì)
鉆瓜網(wǎng) 技術(shù)展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種基于零信任體系的數(shù)據(jù)安全訪問系統(tǒng)，包括數(shù)據(jù)源、數(shù)據(jù)庫、可信數(shù)據(jù)代理、零信任系統(tǒng)、數(shù)據(jù)網(wǎng)關(guān)、應(yīng)用和和客戶端；

數(shù)據(jù)源提供數(shù)據(jù)并存儲至數(shù)據(jù)庫；

可信數(shù)據(jù)代理用于在用戶或者數(shù)據(jù)源通過數(shù)據(jù)服務(wù)訪問數(shù)據(jù)時，接收數(shù)據(jù)服務(wù)然后向零信任系統(tǒng)進(jìn)行用戶或者數(shù)據(jù)源的權(quán)限鑒權(quán)，在零信任系統(tǒng)確認(rèn)用戶或者數(shù)據(jù)源有權(quán)限訪問數(shù)據(jù)服務(wù)后反饋至可信數(shù)據(jù)代理，可信數(shù)據(jù)代理放行數(shù)據(jù)服務(wù)訪問請求，將請求送到數(shù)據(jù)網(wǎng)關(guān)；

所述零信任系統(tǒng)用于對用戶、數(shù)據(jù)源、應(yīng)用、數(shù)據(jù)網(wǎng)關(guān)進(jìn)行統(tǒng)一身份管理，并為用戶及數(shù)據(jù)源生成數(shù)字身份標(biāo)識和數(shù)字身份密鑰；

所述數(shù)據(jù)網(wǎng)關(guān)是提供數(shù)據(jù)服務(wù)的系統(tǒng)，在接收數(shù)據(jù)服務(wù)請求后，和數(shù)據(jù)庫進(jìn)行交互，完成數(shù)據(jù)庫的讀、寫；

所述客戶端通過應(yīng)用進(jìn)行業(yè)務(wù)訪問和數(shù)據(jù)的獲取。

2.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征還在于，所述數(shù)據(jù)網(wǎng)關(guān)為存儲的數(shù)據(jù)記錄及文件生成唯一數(shù)據(jù)身份標(biāo)識，所述數(shù)據(jù)身份標(biāo)識與數(shù)據(jù)源的數(shù)字身份標(biāo)識及數(shù)字身份密鑰相關(guān)聯(lián)，數(shù)據(jù)身份標(biāo)識作為標(biāo)簽記錄在數(shù)據(jù)記錄中，同時將數(shù)據(jù)身份標(biāo)識、記錄索引進(jìn)行安全存儲；所述數(shù)據(jù)網(wǎng)關(guān)還對存儲的數(shù)據(jù)使用數(shù)據(jù)源或用戶的身份密鑰進(jìn)行加密。

3.根據(jù)權(quán)利要求2所述的系統(tǒng)，其特征還在于，所述數(shù)據(jù)身份標(biāo)識與數(shù)據(jù)源的數(shù)字身份標(biāo)識及數(shù)字身份密鑰關(guān)系如下：數(shù)據(jù)身份標(biāo)識＝(數(shù)據(jù)源數(shù)字身份標(biāo)識|MD5(數(shù)據(jù)內(nèi)容|數(shù)據(jù)源數(shù)字身份密鑰))。

4.根據(jù)權(quán)利要求2所述的系統(tǒng)，其特征還在于，所述數(shù)據(jù)網(wǎng)關(guān)在用戶或數(shù)據(jù)源讀取數(shù)據(jù)時，包括兩種讀取方式：

方式一：用戶或數(shù)據(jù)源攜帶令牌調(diào)用“單人使用get文件”接口，數(shù)據(jù)網(wǎng)關(guān)根據(jù)令牌獲取用戶數(shù)字身份標(biāo)識和數(shù)字身份密鑰，將數(shù)據(jù)使用數(shù)字身份密鑰加密生成密文，然后生成hash值，將hash值附加在密文之后，返回數(shù)據(jù)至客戶端；

方式二：用戶或數(shù)據(jù)源攜帶令牌調(diào)用“多人使用get文件”接口，在客戶端顯示的界面輸入可共享使用的成員，數(shù)據(jù)網(wǎng)關(guān)根據(jù)令牌獲取用戶或數(shù)據(jù)源數(shù)字身份標(biāo)識和數(shù)字身份密鑰，然后將數(shù)據(jù)使用數(shù)字身份密鑰加密生成密文，再根據(jù)待共享數(shù)據(jù)的成員列表依次生成與各成員相關(guān)的hash值，將hash值以列表形式附加在密文之后，同時將用戶或數(shù)據(jù)源的數(shù)字身份標(biāo)識附加在hash值的列表之后，整理后的報文發(fā)送至客戶端。

5.根據(jù)權(quán)利要求4所述的系統(tǒng)，其特征還在于，所述客戶端嵌合沙箱，同時客戶端對文件的數(shù)據(jù)身份標(biāo)識進(jìn)行校驗，校驗成功后對文件進(jìn)行解密，解密后的文件以明文形式存儲在沙箱，從數(shù)據(jù)網(wǎng)關(guān)讀取的源文件可以復(fù)制出客戶端，而解密后的明文文件無法從客戶端取出，經(jīng)過零信任系統(tǒng)認(rèn)證后的用戶可以在客戶端打開文件查看內(nèi)容。

6.一種基于零信任體系的數(shù)據(jù)安全訪問方法，其應(yīng)用于權(quán)利要求1-5任一項所述的系統(tǒng)，所述方法包括以下步驟：

S1：用戶啟動客戶端，客戶端訪問零信任系統(tǒng)進(jìn)行認(rèn)證，獲得用戶令牌；

S2：客戶端攜帶用戶令牌訪問應(yīng)用，要求下載數(shù)據(jù)文件，選擇單人使用下載；

S3：應(yīng)用調(diào)用“單人使用get文件”API服務(wù)接口，進(jìn)行數(shù)據(jù)網(wǎng)關(guān)的API訪問；

S4：經(jīng)過可信數(shù)據(jù)代理核驗權(quán)限通過后，達(dá)到數(shù)據(jù)網(wǎng)關(guān)，數(shù)據(jù)網(wǎng)關(guān)提取用戶令牌，根據(jù)令牌獲取用戶數(shù)字身份標(biāo)識、數(shù)字身份密鑰；

S5：將數(shù)據(jù)進(jìn)行基于用戶數(shù)字身份秘鑰密碼加密，生成密文，然后根據(jù)用戶數(shù)字身份標(biāo)識計算hash值，將hash值附加在密文之后，返回處理的數(shù)據(jù)至客戶端；

S6：客戶端接收數(shù)據(jù)后，將文件下載存儲到沙箱目錄，用客戶端打開文件，開始處理文件：客戶端從零信任系統(tǒng)獲取數(shù)字身份標(biāo)識，讀取文件內(nèi)容，將尾部的hash值取出為assertHashVal，并去掉該內(nèi)容得到數(shù)據(jù)內(nèi)容content，基于得到的數(shù)據(jù)內(nèi)容content和用戶數(shù)字身份標(biāo)識計算得到tmpHash，如果assertHashVal＝tmpHash，報文合法；

S7：客戶端攜帶數(shù)字身份標(biāo)識從零信任系統(tǒng)獲得數(shù)字身份密鑰，使用數(shù)字身份密鑰解密，獲得明文文件，存在沙箱目錄，該明文文件被客戶端的沙箱保護(hù)，無法拷貝出來；

S8：用戶可以在客戶端查看明文文件，如果客戶端更換賬號，文件自動清除。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會員可以免費(fèi)下載。

免登錄下載普通用戶下載升級VIP會員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京師范大學(xué);山東大學(xué)，未經(jīng)北京師范大學(xué);山東大學(xué)許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202210977160.6/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。