一种基于标签的云制造用户数据管控方法

一种基于标签的云制造用户数据管控方法
【专利摘要】一种基于标签的云制造用户数据管控方法属于数据管控【技术领域】。本发明为了解决云制造数据链中用户数据传递、分享和使用过程中面临的各种安全问题，提出一种数据非集中存储情况下，云制造用户之间数据传递、分享和使用的管控方法。该方法采用数字标签技术，将数据与数字标签进行不可分的融合，保证用户数据在使用、分享、传递等过程中的安全和可控，实现对数据的全生命周期进行控制和管理，以及对数据泄露行为的源头追溯。
【专利说明】一种基于标签的云制造用户数据管控方法【技术领域】
[0001]本发明属于数据管控【技术领域】，特别是一种针对云制造的用户数据链的数据管控方法。
【背景技术】
[0002]云制造是一种基于网络的、面向服务的智慧化制造新模式，是制造领域中的云计算。云制造带来了制造业的巨大变革，它丰富和拓展了云计算的资源共享内容和服务模式，促进了制造的敏捷化、服务化、绿色化、智能化。云制造能够实现制造资源、能力、知识的全面共享和协同，用户间知识和数据的传递、分享和使用等构成了云制造的数据链，云制造的数据链贯穿云制造全生命周期，对数据链中进行防护和管控是云制造信息安全的一项重点内容。云制造虽然采用云计算架构，但是在实际部署中，用户的仿真、设计、制造等设备和能力仍然处于分散状态，现有的云计算数据集中管控方案在应用于云制造数据链防护和管控时还存在以下问题:
[0003]1.存在数据管控失效风险。云制造中，虽然用户将制造资源和能力经过封装后接入云，但是在一般制造场景下，用户仅将特定的接口提供给云，在用户执行具体任务时，数据将脱离云的管控，用户可以直接接触各种数据，因此存在数据管控失效风险。
[0004]2.现有方案无法满足云制造数据链防护需求。目前云计算环境下的数据安全防护产品主要实现对静态数据隐私性、完整性的保证和对动态数据可靠性和可用性保证，但是在云制造的数据链防护和管控中，更加关注的是数据在用户间传递、分享和使用的安全和可控，期望的目标是数据在使用过程中的可控和不可抵赖，因此现有数据防护方案无法直接应用于动态数据的安全防护。
[0005]3.现有方案难以实现对授权用户数据使用行为的管控。目前云计算环境下的数据安全防护能够防止非授权用户对数据的访问，但是在云制造的数据链中，授权用户要在严格受控的条件下(限定数据的使用时限、次数等)接触数据，对授权用户的行为管控是现有的方案难以做到的。

【发明内容】

[0006]本发明为了解决云制造数据链中用户数据传递、分享和使用过程中面临的各种安全问题，提出一种数据非集中存储情况下，云制造用户之间数据传递、分享和使用的管控方法。该方法采用数字标签技术，将数据与数字标签进行不可分的融合，保证用户数据在使用、分享、传递等过程中的安全和可控，实现对数据的全生命周期进行控制和管理，以及对数据泄露行为的源头追溯。
[0007]本发明的核心为数据管控系统软件，如图1所示，由7个模块组成。
[0008]图1所示的模块主要功能分别为:
[0009]安全通信模块:实现数据、控制信息传输过程中的安全防护；
[0010]标签注册模块:根据数据使用协议，生成所需密钥、标签；[0011]标签融合模块:在密钥控制下将标签与数据进行不可分融合；
[0012]文件解析模块:在密钥控制下对含有标签的数据进行解析，并根据标签内容提供对外数据访问接口；
[0013]运行监控模块:监控服务过程的中间数据，验证并反馈运行结果；
[0014]行为管控模块:管理用户对数据的处置行为，负责数据回收、二次授权等过程的管理；
[0015]安全管理模块:负责整个软件系统的策略配置、安全管理和审计等。
[0016]数据管控系统软件的体系架构如图2所示:
[0017]如图2所示，本发明中的数据管控系统软件分为服务器端和客户端，服务器端部署在云端的数据管控服务器上，客户端软件部署在云制造用户本地工作站或者云端虚拟机中。数据管控系统通过采用加密技术和和文件重构编码，保证标签无法从数据中剥离，并且仅有授权用户能够正常在授权范围内使用数据；通过文件驱动技术改变数据在系统中读取和应用的模式，防止用户绕过数据管控系统对数据进行访问；通过修改底层驱动，实现数据的回收和销毁、以及对数据非法拷贝的控制。
[0018]数据管控系统软件的工作流程如图3所示。
[0019]如图3所示，数据管控系统软件的工作流程如下:
[0020]工作流程如下:
[0021]步骤1:数据拥有方和服务提供方双方用户达成数据使用协议，以下简称协议，并将协议通过安全通信模块上报数据管控服务器，下文中数据和协议的传输都是基于安全通信模块，不再做单独说明；
[0022]步骤2:数据管控服务器根据协议，生成标签、密钥组，将标签与密钥组发送至数据拥有方和服务提供方双方；
[0023]步骤3:数据拥有方将数据与标签进行融合，并将融合标签的数据发送至服务提供方；
[0024]步骤4:服务提供方解析融合标签的数据，并依据协议提供服务；
[0025]步骤5:服务结束后，服务提供方依据协议处置数据，反馈服务内容；
[0026]全程安全管理模块对数据全生命周期进行审计和管理。
[0027]当服务提供方需要第三方服务时:
[0028]步骤4.a.1:服务提供方向数据管控服务器验证二次授权权限，若具备权限，则建立新的数据使用协议，并上报数据管控服务器，若不具备，则服务结束，跳转至步骤5 ；
[0029]步骤4.a.2:数据管控服务器根据新的数据使用协议，生成新的标签、密钥组，将新的标签、密钥组按照策略发送至数据拥有方和服务提供方双方；
[0030]步骤4.a.3:服务提供方收到新协议和密钥组后，将原有标签转换为水印，将新的标签与含水印数据进行融合后发送至第三方，之后第三方转变为服务提供方，之后跳转至步骤4。
[0031]步骤I中具体如下:
[0032]数据拥有方通过云制造平台，搜索匹配所需服务的服务提供方，数据拥有方和服务提供方双方需要就数据传递、分享和使用中涉及的数据类型、使用时间、允许的操作类型、中间过程数据的处理、是否允许二次授权、是否允许数据脱离云制造环境以及数据使用后的处理达成协议；。
[0033]安全通信模块采用网络过滤驱动技术，或者基于终端和服务器硬件平台的可信接入认证，或者同时采用。
[0034]步骤2中标签具体如下:
[0035]数据管控服务器接收来自数据拥有方和服务提供方双方的身份信息，根据协议和双方身份生成标签，标签包含的内容如下:
[0036]基本属性标签包括数据在系统内唯一编号、数据类型、数据摘要以及数据归属权；
[0037]安全属性标签包括数据和标签提供安全信息标识，主要内容包括数字签名、流转信息、水印信息和日志信息，；
[0038]授权属性标签包括使用主体、授权的操作类型、授权使用期限、是否允许二次授权、中间数据授权、是否运行脱离云、数据到期后的处置；
[0039]数据管控服务器完成标签后，将标签发送至数据拥有方。
[0040]步骤4具体如下:
[0041]服务提供方接收到带标签数据后，借助文件解析模块，使用密钥解析数据，并在运行监控模块的监督下按照约定内容提供服务。
[0042]其中文件解析模块的工作过程如下，文件解析模块只接受含标签数据和文件解析密钥作为输入，只对外提供预设的数据对外接口，
[0043]实现密钥扩充、标签与数据还原功能、标签与数据验证功能、数据操作权限控制功能以及数据接口控制功能；
[0044]通过数据操作权限控制，提供数据对外接口中提供的操作类型的管理；通过数据接口控制，控制数据对外接口的访问主体、开放时间；
[0045]数据操作权限控制模块控制过程如下:
[0046]a)数据操作权限控制模块获取数据对应的密钥，并将其放入密钥缓存序列中；
[0047]b)数据操作权限控制模块对数据标签中的控制信息进行提取，并将控制信息发送至密钥缓存序列；
[0048]c)密钥缓存序列根据控制信息，生成密钥计时器；
[0049]d)密钥计时器将密钥及控制信息，控制信息包括操作权限，操作限定次数、限定时间，下发至嵌入数据使用软件的解码控制功能模块；
[0050]e)解码控制功能模块根据下发的控制信息，为数据使用软件开放指定数据操作权限，并记录操作类型；
[0051]当密钥计时器中的使用时间到期时，向密钥缓存序列和解码控制功能模块发送到期通知，密钥缓存序列将指定密钥进行销毁，解码控制功能模块终止应用程序；
[0052]当解码控制功能模块记录的操作限定次数用尽时，解码控制功能模块终止应用程序，并将到期信息反馈密钥计时器和密钥缓存序列，进行密钥销毁。
[0053]本发明充分考虑云制造中非集中管控状态的数据(包括文本、图像、音频、视频等多种类型、格式的电子数据)传递、分享和使用过程中的保密性、完整性、可用性和不可抵赖性保障要求，能够对数据的传递、使用、二次授权、回收、销毁等行为进行监控和管制，可以有效防止用户数据以及服务中间过程数据的泄露，并且能够对脱离云环境控制的非授权数据拷贝行为进行源头追溯。
[0054]本发明涵盖了云制造用户间数据传递、分享和使用的全过程，有效提升了云制造数据链管控能力，能够使云制造用户具备对整个任务周期中的数据监管和控制能力，达到云制造数据链中数据传递、分享和使用的“安全”、“可控”目标。
【专利附图】

【附图说明】:
[0055]图1软件系统组成
[0056]图2数据管控系统软件的体系架构
[0057]图3工作流程图
[0058]图4安全通信模块
[0059]图5标签内容
[0060]图6文件解析模块工作原理
[0061]图7数据操作权限控制模块实现原理
[0062]图8用户行为管控模块工作原理
【具体实施方式】:
[0063]下面结合本发明工作流程，对本
【发明内容】
进行详细说明。
[0064]步骤1:双方用户达成数据使用协议，并将协议通过安全通信模块上报数据管控服务器。
[0065]数据拥有者通过云制造平台，搜索匹配所需服务的提供者，双方需要就数据传递、分享和使用中涉及的数据类型、使用时间、允许的操作类型、中间过程数据的处理、是否允许二次授权、是否允许数据脱离云制造环境以及数据使用后的处理等内容达成协议。数据拥有者和服务提供者分别将自身的身份信息以及达成的协议通过安全通信模块上报至数据管控服务器。其中安全通信模块结构如图4所示。
[0066]安全通信模块采用网络过滤驱动技术来实现对网络传输协议及网络应用协议数据的过滤和控制，以及基于终端和服务器硬件平台的可信接入认证(需要可信计算系统支持)，从而防止传输过程中的恶意监听与篡改，保证数据传输的私密性、一致性和不可抵赖性。
[0067]步骤2:数据管控服务器根据服务协议，生成标签、密钥组，将标签与密钥按照策略发送至双方。
[0068]数据管控服务器接收来自双方的数据使用协议和身份信息，根据协议内容和双方身份生成标签，标签包含的内容如图5所示。
[0069]如图5所示，标签内容实现的功能分别为:
[0070]基本属性标签主要记录文件的基本属性，如数据在系统内唯一编号、数据类型、数据摘要以及数据归属权；
[0071]安全属性标签主要为数据和标签提供安全信息标识，主要内容包括数字签名、流转信息、水印信息和日志信息，其中数字签名信息是数据管控服务器对标签的签名，保证标签内容不被恶意篡改，水印信息包含文件编号以及数据拥有者和服务提供方的身份标识，提供版权声明和非法拷贝溯源的功能；[0072]授权属性标签主要包括协议商定的数据授权内容，主要包括使用主体、授权的操作类型、授权使用期限、是否允许二次授权、中间数据授权、是否运行脱离云、数据到期后的处置等内容。数据管控服务器完成标签后，将标签至数据拥有方。
[0073]数据管控服务器利用双方身份信息、文件编号、数据版权归属信息以及服务器生成的一个随机数等信息，生成一组密钥，数据管控服务器将服务提供方身份信息(SP_ID)、文件编号(D_ID)、数据版权归属信息(DR_ID)以及服务器生成的随机数(R)按照密钥生成算法KGen生成标签融合密钥Km (KM=KGen (SP_ID, D_ID, DR_ID, R))，将数据拥有方身份信息(D0_ID)、文件编号、数据版权归属信息以及服务器生成的随机数按照密钥生成算法生成文件解析密钥Kd (Kn=KGen (D0_ID, D_ID, DR_ID, R))，分别将Km发送至数据拥有方，将Kd发送至服务提供方。
[0074]服务双方出将各自密钥进行扩充，并将扩充密钥用于控制标签与数据的融合以及含标签数据的读取，并且当服务提供方需要进行二次授权或需要在云环境外使用数据时，扩充密钥可以当作数据水印信息内容嵌入数据，声明数据版权和对非法拷贝的溯源。
[0075]步骤3:数据拥有方将数据与标签进行融合，并将融合标签的数据发送至服务提供方。
[0076]数据拥有方在接收到数据管控服务器发送的标签与标签融合密钥后，将数据、标签、标签融合密钥，自己的身份信息送入标签融合模块，标签融合模块首先对密钥进行扩充KGen (KM, D0_ID)，计算得到控制密钥K。，之后以K。为控制参数，对数据与标签进行融合重构，再通过重新编码和加密，使数据与标签做到深度融合，实现数据与标签无法分离以及数据无法非授权使用。
[0077]步骤4:服务提供方解析融合标签的数据，并依据协议提供服务。
[0078]服务提供方接收到带标签数据后，借助文件解析模块(分为独立于应用程序、与应用程序结合两种部署模式)，使用密钥解析数据，并在运行监控模块的监督下按照约定内容提供服务。其中文件解析模块的工作原理如图6所示内容。
[0079]如图6所示，文件解析模块只接受含标签数据和文件解析密钥作为输入，只对外提供预设的数据对外接口，模块不接受来自用户的其他访问请求，主要实现密钥扩充、标签与数据还原功能、标签与数据验证功能、数据操作权限控制功能以及数据接口控制功能。
[0080]密钥扩充实现将文件解析密钥扩充为控制密钥的过程。该过程读取文件解析模块中固化的用户身份信息KGen (KM, D0_ID)，计算得到控制密钥K。。
[0081]标签与数据还原是对加密、重构的数据进行还原的过程。该过程为标签融合过程的逆过程，文件解析模块将含标签数据在控制密钥K。控制下还原为标签和数据。
[0082]标签与数据验证是对还原的标签和数据进行验证的过程。在该过程中首先验证标签中数据管控服务器对标签的签名，检验标签的完整性和真实性；标签验证通过后，文件解析模块计算还原数据内容的摘要，并将其与标签中的摘要进行对比，进而验证数据内容的完整性和真实性。若标签或内容验证不通过，则终止服务，并将日志发送至数据拥有方和数据管控服务器。
[0083]数据操作权限控制与数据接口控制是根据标签内容，实现对数据使用进行管理和控制的过程。通过数据操作权限控制，提供数据对外接口中提供的操作类型的管理；通过数据接口控制,控制数据对外接口的访问主体、开发时间等。[0084]数据操作权限控制的实现原理如图7所示。
[0085]数据操作权限控制模块与数据使用软件相融合，通过驱动技术更改数据读取顺序，使对数据的操作必须经过数据操作权限控制模块的验证，实现基于标签内容对数据的使用控制功能。控制过程如下:数据操作权限控制模块获取数据对应的密钥，并将其放入密钥缓存序列中；
[0086]数据操作权限控制模块对数据标签中的控制信息进行提取，并将控制信息发送至密钥缓存序列；
[0087]密钥缓存序列根据控制信息，生成密钥计时器；
[0088]密钥计时器将密钥及控制信息(包括操作权限，操作限定次数、限定时间等)下发至嵌入数据使用软件的解码控制功能模块；
[0089]解码控制功能模块根据下发的策略，为数据使用软件开放指定数据操作权限，并记录操作类型；
[0090]当密钥计时器中的使用时间到期时，向密钥缓存序列和解码控制功能模块发送到期通知，密钥缓存序列将指定密钥进行销毁，解码控制功能模块终止应用程序；
[0091]当解码控制功能模块记录的操作限定用尽时，解码控制功能模块终止应用程序，并将到期信息反馈密钥计时器和密钥缓存序列，进行密钥销毁。
[0092]另外，访问数据对外接口的应用中需要预置运行监控模块，运行监控模块能够监控应用中数据的使用行为，并且能够对提供更多服务进行评估。
[0093]步骤5:服务结束后，服务提供方依据协议处置数据，反馈服务内容。
[0094]服务完成后，服务提供方应用中的运行监控模块负责将运行结果反馈至数据拥有方和数据管控服务器，收到确认信息后，运行监控模块按照协议对应用中相关数据进行处置。同时服务提供方的文件解析模块和行为控制模块将相关的数据、标签和密钥进行消除，仅保留工作日志等内容。
[0095]步骤6:安全管理模块对数据全生命周期进行审计和管理。
[0096]安全管理模块采用集中化的管理方式和基于角色的权限管理体系，可以完成数据管控服务器和用户端的配置和维护。
[0097]同时，安全管理模块提供对各模块的日志进行集中采集、集中管理、集中审计，并集中存储到安全审计子系统数据库中，同时审计系统能够对各类日志中的异常事件如:非法访问、协议欺诈等违规行为进行预警、告警。
[0098]当服务提供方需要第三方服务时:
[0099]步骤4.a.1:服务提供方向数据管控服务器验证二次授权权限，若具备权限，则建立新的数据使用协议，并上报数据管控服务器，若不具备，则服务结束，跳转至步骤5。
[0100]如服务提供方具备二次授权权限，则可以在权限范围内，与第三方签订数据使用协议,协议中规定的授权操作、授权时间等内容不得超过其自身权限。
[0101]步骤4.a.2:数据管控服务器根据新的数据使用协议，生成新的标签、密钥组，将新的标签、密钥组按照策略发送至双方。
[0102]数据管控服务器在验证新的数据使用协议之后，将原协议中服务提供方和第三方视为协议双方，然后根据步骤2过程处理协议，生成新的标签和密钥。
[0103]步骤4.a.3:服务提供方收到新协议和密钥后，将原有标签转换为水印，将新的标签与含水印数据进行融合后发送至第三方(之后第三方角色转变为服务提供方)，之后跳转至步骤4。
[0104]服务提供方收到数据管控服务器发送的新标签、密钥后，将原有的含标签数据借助用户行为管控模块进行标签剥离和水印嵌入，用户行为管控模块的工作原理如图8所
/Jn ο
[0105]如图8所示，文件解析模块只接受含标签数据和密钥作为输入，只对外提供含水印数据作为输出，模块不接受来自用户的其他访问请求，主要实现标签的剥离和水印的嵌入功能。其中标签与数据还原和标签与数据验证功能与文件解析模块相同，水印嵌入模块将原有密钥作为水印内容，嵌入剥离标签的数据中。
[0106]服务提供方将含水印的数据以及新的标签和密钥送入标签融合模块，生成新的含标签数据，并发送至第三方(之后第三方角色转变为服务提供方)，后续过程参照正常的流程。
【权利要求】
1.一种基于标签的云制造用户数据管控方法，其特征在于:包括以下7个模块:: 1)安全通信模块:实现数据、控制信息传输过程中的安全防护； 2)标签注册模块:根据数据使用协议，生成所需密钥、标签； 3)标签融合模块:在密钥控制下将标签与数据进行不可分融合； 4)文件解析模块:在密钥控制下对含有标签的数据进行解析，并根据标签内容提供对外数据访问接口； 5)运行监控模块:监控服务过程的中间数据，验证并反馈运行结果； 6)行为管控模块:管理用户对数据的处置行为，负责数据回收、二次授权过程的管理； 7)安全管理模块:负责策略配置、安全管理和审计； 工作流程如下: 步骤1:数据拥有方和服务提供方双方用户达成数据使用协议，以下简称协议，并将协议通过安全通信模块上报数据管控服务器，下文中数据和协议的传输都是基于安全通信模块，不再做单独说明； 步骤2:数据管控服务器根据协议，生成标签、密钥组，将标签与密钥组发送至数据拥有方和服务提供方双方； 步骤3:数据拥有方将数据与标签进行融合，并将融合标签的数据发送至服务提供方； 步骤4:服务提供方解析融合标签的数据，并依据协议提供服务； 步骤5:服务结束后，服务提供方依据协议处置数据，反馈服务内容； 全程安全管理模块对数据全生命周期进行审计和管理。
2.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于: 当服务提供方需要第三方服务时: 步骤4.a.1:服务提供方向数据管控服务器验证二次授权权限，若具备权限，则建立新的数据使用协议，并上报数据管控服务器，若不具备，则服务结束，跳转至步骤5 ; 步骤4.a.2:数据管控服务器根据新的数据使用协议，生成新的标签、密钥组，将新的标签、密钥组按照策略发送至数据拥有方和服务提供方双方； 步骤4.a.3:服务提供方收到新协议和密钥组后，将原有标签转换为水印，将新的标签与含水印数据进行融合后发送至第三方，之后第三方转变为服务提供方，之后跳转至步骤4。
3.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于: 步骤I中具体如下: 数据拥有方通过云制造平台，搜索匹配所需服务的服务提供方，数据拥有方和服务提供方双方需要就数据传递、分享和使用中涉及的数据类型、使用时间、允许的操作类型、中间过程数据的处理、是否允许二次授权、是否允许数据脱离云制造环境以及数据使用后的处理达成协议；。 安全通信模块采用网络过滤驱动技术，或者基于终端和服务器硬件平台的可信接入认证，或者同时采用。
4.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于: 步骤2中标签具体如下: 数据管控服务器接收来自数据拥有方和服务提供方双方的身份信息，根据协议和双方身份生成标签，标签包含的内容如下: 基本属性标签包括数据在系统内唯一编号、数据类型、数据摘要以及数据归属权；安全属性标签包括数据和标签提供安全信息标识，主要内容包括数字签名、流转信息、水印信息和日志信息，； 授权属性标签包括使用主体、授权的操作类型、授权使用期限、是否允许二次授权、中间数据授权、是否运行脱离云、数据到期后的处置； 数据管控服务器完成标签后，将标签发送至数据拥有方。
5.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于: 步骤4具体如下: 服务提供方接收到带标签数据后，借助文件解析模块，使用密钥解析数据，并在运行监控模块的监督下按照约定内容提供服务。 其中文件解析模块的工作过程如下，文件解析模块只接受含标签数据和文件解析密钥作为输入，只对外提供预设的数据对外接口， 实现密钥扩充、标签与数据还原功能、标签与数据验证功能、数据操作权限控制功能以及数据接口控制功能； 通过数据操作权限控制，提供数据对外接口中提供的操作类型的管理；通过数据接口控制,控制数据对外接口的访问主体、开放时间； 数据操作权限控制模块控制过程如下: a)数据操作权限控制模块获取数据对应的密钥，并将其放入密钥缓存序列中； b)数据操作权限控制模块对数据标签中的控制信息进行提取，并将控制信息发送至密钥缓存序列； c)密钥缓存序列根据控制信息，生成密钥计时器； d)密钥计时器将密钥及控制信息，控制信息包括操作权限，操作限定次数、限定时间，下发至嵌入数据使用软件的解码控制功能模块； e)解码控制功能模块根据下发的控制信息，为数据使用软件开放指定数据操作权限，并记录操作类型； 当密钥计时器中的使用时间到期时，向密钥缓存序列和解码控制功能模块发送到期通知，密钥缓存序列将指定密钥进行销毁，解码控制功能模块终止应用程序； 当解码控制功能模块记录的操作限定次数用尽时，解码控制功能模块终止应用程序，并将到期信息反馈密钥计时器和密钥缓存序列，进行密钥销毁。
【文档编号】H04L29/06GK103618693SQ201310529208
【公开日】2014年3月5日 申请日期:2013年10月31日 优先权日:2013年10月31日
【发明者】孟宪哲, 曾淑娟, 陈志浩, 段翼真, 毛俐旻, 王斌, 王晓程, 郭丽娜 申请人:中国航天科工集团第二研究院七〇六所