的权属关系,采用数据“天生加密,授权使用”方法,通过CA、DRC、DAC、DEC、PK1、DWR、DAUS等实现数据的安全管理和安全应用,建立从数据保护到授权应用的整套机制。基于DOSA的初步应用表明,面向数据的安全体系结构能有效解决和应对开放环境下数据的安全、数据所有权、数据交易、数据共享、数据管理、数据隐私保护、数字虚拟资产保护等问题和挑战。
[0030]从软件架构角度看,本发明技术强调以数据为核心和一切围绕数据来构建应用软件和系统软件,是未来数据社会的软件基础设施,是有序数据社会的技术支撑;从数据权属角度看,本发明技术明确网络人员身份与数据权属,区分数据生产者、数据所有者和数据使用者,明确了人和数据的关系、人和应用的关系,明确了数据需天生加密和授权使用的机制;从信息安全角度看,本发明技术从数据源头进行安全保护,实现数据天生加密,不论在存储时还是传输时都是加密状态,只有在安全的应用环境中才是解密状态,将过去的封闭环境下“门窗加固”的安全手段提升到“穿盔带甲”的安全方式,是一种互联网级别的开放环境下的数据安全解决方案;从信息共享角度看,本发明技术从机制上解决了数据权属问题,保障了数据所有者的利益;从技术上构建了不同部门和区域共同可访问的逻辑数据资源池,通过授权访问数据,是信息共享从机制到技术的完整解决方案;从应用系统角度看,本发明技术通过以数据注册中心构成的数据大平台,在其上生长碎片化的各种应用,是实现数据共享和应用可持续增长的数据应用生态系统;从软件工程角度看,本发明技术改变了过去面向业务软件工程开发方法的需求不可变更、开发周期长、维护复杂、生命周期短等弊端,是一种面向数据的增长型、灵活性和可持续的软件开发方法;从数据交易角度看,本发明技术是在确定数据所有者身份、保障数据所有者利益并保证数据安全的前提下,通过授权和过程记录来实现交易;从智慧城市角度看,本发明技术是各区域各部门数据资源的一种既可以自治又可以整合的数据路由器,可以实现跨区域、跨部门的数据共享和应用;从创新创业角度看,本发明技术是一种应用沉淀数据和数据生长应用的开放式的众创平台;从数据分析挖掘角度看,本发明技术是一种在原生数据之上可获得实时结果和多种算法共存的决策支持平台;从数据立法角度看,本发明技术是支持数据产权归属与界定、数据资产和用户隐私保护等的技术落地;从数据社会角度看,本发明技术是遵从数据特征和规律的、保障数据社会有序发展的基础技术支撑。
【附图说明】
[0031]图1是本发明实施例提供的面向数据的安全体系系统构成及数据、应用和人的关系示意图。
[0032]图2-11是本发明实施例提供的面向数据的安全体系方法流程图。其中:图2是CA中心与数据注册中心DRC实现人员身份认证示意图;图3是数据天生加密流程图;图4是数据使用授权申请流程图;图5是数据授权流程图;图6是数据使用流程图;图7是数据违规授权使用追踪流程图;图8是体量大的数据加密流程图;图9是体量大的数据授权流程图;图10是体量大的数据使用流程图;图11是数据所有者授权数据代理申请流程图。
[0033]图12是本发明实施实例提供的数据交易示意图。
【具体实施方式】
[0034]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0035]本发明提出了面向数据的体系结构(D0A,Data_0riented Architecture),来构建数据时代的底层架构,并试图去解决数据权属、信息共享、系统功能扩展、数据管理、大数据分析和挖掘支持、软件工程、信息安全、数据所有者利益保障等问题。本发明针对开放环境下数据安全性问题,进行了安全体系设计,引入了“面向数据”的技术架构,构建安全的数据访问机制;针对大数据、云计算、移动互联网等开放环境下日益严峻的信息安全问题,特别是利用系统漏洞和越权访问造成的数据泄露等安全问题,提出了一种以数据为核心和面向数据的信息安全解决方案,即面向数据的安全体系结构(D0SA,Data Oriented SecurityArchitecture)。
[0036]下面结合附图对本发明的应用原理作详细的描述。
[0037]如图1所示,本发明实施例的面向数据的安全体系系统主要包括:CA用户认证模块、DEC数据注册模块、PKI数据权属与加密呈现模块、DAC授权使用模块、DEC数据监管模块、DWR数字水印记录模块等。由此构成的安全体系系统可以明确数据所有者(DO,DataOwner ),并对应用用户(AU,Applicat1nUser)提供授权和应用服务。
[0038]如图2-图11,本发明实施例的面向数据的安全体系方法通过上述模块说明如下:
[0039]CA用户认证模块,DOSA—个核心理念是要确定数据与用户的关系,需要明确数据的所有者(数据权人)。这就需要对参与网络活动的用户进行注册和身份确认。数据注册中心DRC要对所有用户进行登记注册,而用户身份则通过CA来进行认证。CA认证采用第三方CA认证中心,对网络用户颁发数字证书,即公钥和私钥。私钥以多种形式安全地发放到用户手中,公钥则存储在数据注册中心DRC(图2)。
[0040]DRC数据注册模块,数据注册中心(DRC),是DOSA的核心部件,注册各种数据的属性信息,包括数据的安全属性、数据生产者、数据所有者等信息,以及网络人员的所有公钥。DRC用来构建逻辑的数据资源池,通过建立索引和搜索引擎,实现数据的管理和对应用提供服务(图2)。
[0041]PKI数据权属与加密呈现模块,一旦数据产生,要明确两件事情,一是要确认数据的生产者和数据的所有者(一般情况下生产者就是所有者,但有些情况下,两者不同),二是要对产生的数据进行加密。数据的生产者,可以通过生产者的私钥对数据加密(或签名)来确定;数据的所有者,通过用所有者的公钥对数据加密来明确,同时实现了数据的天生加密,只有数据所有者才能解密使用(图3)。
[0042]DAC数据授权使用模块,数据权限中心(DAC),是DOSA的关键部件,对数据进行授权管理。数据在生成、存储和传输时是加了密和不可使用的,而经过授权的用户在使用数据时才是解密和可访问的。数据授权,就是将数据的权属进行变更,也是数据解密和再加密的过程,即用数据所有者的私钥解密后再用数据使用者(被授权人)的公钥加密,授权过程通过水印和数据注册中心进行记录和管理(图4、图5)。对于体量较大的数据,采取的是对称密钥加密方法,授权只是对对称密钥进行(图8、图9、图10)。数据的使用和用户适合于网络安全的验证、授权和记账(AAA,Authorizat 1n,Authenti cat 1n ,Accounting)机制。
[0043]DEC数据监管模块,数据异常控制中心(DEC),是DOSA的重要部件,对数据资源进行自适应管理,保证数据的唯一性和一致性,监管和处置数据的各种异常行为。例如,可以通过DEC,由代理者对违规使用数据者进行追踪和发现(图7)。
[0044]DWR数字水印记录模块,数字水印记录(DffR)以水印的方式将数据的主人及授权使用过程记录下来,与原始数据一起进行加密管理,便于数据的溯源、记账和数据的非授权使用取证(图7)。
[0045]DAUs数据安全应用模块,是DOSA的关键部件,关联应用对数据的访问,对各种应用提供支持。要确定数据安全应用的环境,一般考虑数据在内存中解密使用,要通过多种手段实现内存数据的安全保障和不被侵入窃取(图6)。
[0046]如果数据所有者需要有代理者替他行使