敏感用戶數據處理系統和方法與流程
本發明涉及安全技術領域,特別是涉及一種敏感用戶數據處理系統和方法。
背景技術:
數據服務平臺可以向各業務處理系統提供各種用戶數據,包括敏感用戶數據。其中敏感用戶數據是指涉及用戶隱私的數據,包括用戶社交網絡賬號的密碼、出生日期、證件號碼、年齡、出生地、常住地等。目前各業務處理系統在接收到用戶發起的業務請求后,就可以讀取敏感用戶數據并提供給用戶。這樣各業務處理系統都可以隨意獲取敏感用戶數據,容易造成敏感用戶數據的泄露,安全性低。
技術實現要素:
基于此,有必要針對目前的提供敏感用戶數據的方式安全性低的問題,提供一種敏感用戶數據處理系統和方法。
一種敏感用戶數據處理系統,包括:統一外網接入子系統和數據接入子系統;
所述統一外網接入子系統用于接收來自用戶端的用于獲取敏感用戶數據的業務請求,并將所述業務請求轉發給相應的業務處理系統;
所述數據接入子系統用于接收所述業務處理系統根據所述業務請求觸發的數據請求;根據所述數據請求讀取相應的敏感用戶數據,根據讀取的敏感用戶數據生成數據請求反饋數據并反饋給所述業務處理系統;
所述統一外網接入子系統用于接收所述業務處理系統發送的根據所述數據請求反饋數據生成的業務反饋數據,向所述用戶端反饋所述業務反饋數據。
上述敏感用戶數據處理系統,通過統一外網接入子系統來統一接收用戶端的業務請求,再將業務請求轉發給業務處理系統處理。數據接入子系統在接收 到業務處理系統處理的數據請求后,讀取敏感用戶數據,生成數據請求反饋數據反饋給業務處理系統。最后再通過統一外網接入子系統將根據數據請求反饋數據生成的業務反饋數據反饋給用戶端。這樣各業務處理系統不再直接接收用戶端的業務請求,且不直接向用戶端反饋業務反饋數據,而是通過統一外網接入子系統控制用戶端與業務處理系統的通信,使得敏感用戶數據在處理過程中都是可控的,提高了安全性。
一種敏感用戶數據處理方法,所述方法包括:
通過統一外網接入接口接收來自用戶端的用于獲取敏感用戶數據的業務請求,并將所述業務請求轉發給相應的業務處理系統;
接收所述業務處理系統根據所述業務請求觸發的數據請求;
根據所述數據請求讀取相應的敏感用戶數據,根據讀取的敏感用戶數據生成數據請求反饋數據并反饋給所述業務處理系統;
通過所述統一外網接入接口將所述業務處理系統根據所述數據請求反饋數據生成的業務反饋數據發送給所述用戶端。
上述敏感用戶數據處理方法,通過統一外網接入接口來統一接收用戶端的業務請求,再將業務請求轉發給業務處理系統處理。在接收到業務處理系統處理的數據請求后,讀取敏感用戶數據,生成數據請求反饋數據反饋給業務處理系統。最后再通過統一外網接入接口將根據數據請求反饋數據生成的業務反饋數據反饋給用戶端。這樣各業務處理系統不再直接接收用戶端的業務請求,且不直接向用戶端反饋業務反饋數據,而是通過統一外網接入接口控制用戶端與業務處理系統的通信,使得敏感用戶數據在處理過程中都是可控的,提高了安全性。
附圖說明
圖1為一個實施例中敏感用戶數據處理系統的應用環境圖;
圖2為另一個實施例中敏感用戶數據處理系統的應用環境圖;
圖3為一個實施例中敏感用戶數據處理方法的流程示意圖;
圖4為再一個實施例中敏感用戶數據處理系統的系統架構環境圖。
具體實施方式
為了使本發明的目的、技術方案及優點更加清楚明白,以下結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本發明,并不用于限定本發明。
如圖1所示,在一個實施例中,提供了一種敏感用戶數據處理系統,包括統一外網接入子系統102和數據接入子系統104。用戶端110可通過網絡連接到統一外網接入子系統102,統一外網接入子系統102可與業務處理系統120連接,業務處理系統120可與數據接入子系統104連接,數據接入子系統104可與數據存儲系統130連接。
其中,統一外網接入子系統102、數據接入子系統104、業務處理系統120和數據存儲系統130各自可由一個或者多個物理服務器實現。用戶端110包括臺式計算機和移動終端,移動終端包括手機、平板電腦、智能遙控器和運動手表等。業務處理系統120用于具體實現各種業務的邏輯處理,業務處理系統120包括社交網站業務處理系統、即時通信業務處理系統、游戲業務處理系統、電子交易業務處理系統等。數據存儲系統130用于存儲敏感用戶數據。
統一外網接入子系統102用于接收來自用戶端的用于獲取敏感用戶數據的業務請求,并將業務請求轉發給相應的業務處理系統120。
具體地,敏感用戶數據是指涉及用戶隱私的數據,包括用戶身份資料、社交關系鏈以及用戶網絡行為記錄等,用戶身份資料包括用戶社交網絡賬號的密碼、出生日期、證件號碼、年齡、出生地以及常住地等。用戶網絡行為記錄包括網頁瀏覽記錄、網上購物記錄等。
統一外網接入子系統102用于提供統一外網接入接口,通過該統一外網接入接口接收用戶端發來的業務請求。用于獲取敏感用戶數據的業務請求,包括拉取用戶資料的請求、查詢用戶網絡行為記錄的業務請求、交易請求等。相應的業務處理系統120是指用于處理該業務請求的業務處理系統120,即該業務請 求對應的業務處理系統120。業務請求可攜帶有業務處理系統120的系統標識,從而統一外網接入子系統102可將業務請求轉發給該業務請求攜帶的系統標識所對應的業務處理系統120。業務處理系統120用于接收統一外網接入子系統102所轉發的業務請求。
在一個實施例中,統一外網接入子系統102可用于接收用戶端通過安全傳輸通道發來的業務請求。在一個實施例中,安全傳輸通道可以是HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,基于安全套接字層的超文本傳輸協議)通道。在一個實施例中,安全傳輸通道可以是基于SSO的傳輸通道。其中單點登錄是指在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統的方式。
在一個實施例中,統一外網接入子系統102可用于將業務請求的流水號進行上報。具體可將流水號上報到日志系統以記錄對應于流水號的日志。其中流水號是單條請求的唯一標識,可用來關聯各系統及子系統的日志記錄,方便在需要時回溯和對賬。
在一個實施例中,統一外網接入子系統102與業務處理系統120之間的傳輸內容經過加密,可防止內網監聽造成數據泄露。
數據接入子系統104用于接收業務處理系統120根據業務請求觸發的數據請求;根據數據請求讀取相應的敏感用戶數據,根據讀取的敏感用戶數據生成數據請求反饋數據并反饋給業務處理系統120。
具體地,業務處理系統120根據業務請求觸發向數據接入子系統104發送數據請求,數據接入子系統104接收到數據請求,根據該數據請求從數據存儲系統130讀取相應的敏感用戶數據,根據讀取的敏感用戶數據生成數據請求反饋數據并反饋給業務處理系統120。其中,數據請求反饋數據是指對應數據請求的反饋數據。
在一個實施例中,數據接入子系統104與業務處理系統120之間的傳輸內容經過加密,可防止內網監聽造成數據泄露。在一個實施例中,數據存儲系統130存儲的敏感用戶數據經過加密。在一個實施例中,數據存儲系統130存儲的敏感用戶數據采用非對稱加密方式加密。具體地,數據存儲系統130存儲的敏 感用戶數據采用密鑰對中的公鑰進行加密,密鑰對中的私鑰保存在用戶端110。這樣加密的敏感用戶數據只有傳輸到用戶端110,用戶端110采用相應的私鑰才能解密。在傳輸過程中即使發生了數據泄露,惡意用戶也無法看到具體的敏感用戶數據。
在一個實施例中,數據接入子系統104還用于根據數據請求讀取相應的敏感用戶數據,對敏感用戶數據進行脫敏處理,將處理獲得的脫敏用戶數據作為數據請求反饋數據反饋給業務處理系統120。
具體地,脫敏處理是指減少或者去除敏感用戶數據的敏感屬性的處理,對敏感用戶數據進行脫敏處理得到脫敏用戶數據。脫敏處理可以采用多種方式,以下做詳細說明。
在一個實施例中,數據接入子系統104還用于對敏感用戶數據進行局部掩碼處理,獲得脫敏用戶數據。
具體地,掩碼處理是指用原碼與掩碼進行經過按位運算或邏輯運算得出新的字串的處理。局部掩碼處理則是對敏感用戶數據的局部進行掩碼處理,剩余的保留。比如若敏感用戶數據包括18位數字的身份證號碼,則可對身份證號碼的前14位號碼做掩碼處理,僅保留最后4位,獲得的脫敏用戶數據包括經過掩碼處理的身份證號碼。比如,若身份證號碼為123456789123456789,掩碼為00000000000000,掩碼處理后得到6789。還比如若敏感用戶數據包括11位數字的手機號碼,則可以對手機號碼從首位起的預設位數或者從末位起的預設位數進行掩碼處理。
本實施例中,通過對敏感用戶數據進行局部掩碼處理獲得脫敏用戶數據,可以在避免敏感用戶數據被暴露,安全性高。
在一個實施例中,數據接入子系統104還用于對敏感用戶數據進行局部加密處理,獲得脫敏用戶數據。
具體地,局部加密處理是指對敏感用戶數據的局部進行加密處理。比如可以對身份證號碼的前14位進行加密,還可以對敏感用戶數據中的關鍵字(key)進行加密,還可以對敏感用戶數據中的敏感字段的數據進行加密。
本實施例中,通過對敏感用戶數據進行局部加密處理獲得脫敏用戶數據, 可以在避免敏感用戶數據被暴露,安全性高。
數據接入子系統104還用于根據數據請求對應的字段訪問權限,按字段從敏感用戶數據中提取數據,獲得脫敏用戶數據。
具體地,傳統技術中拉取資料時一般返回全量數據。本實施例中,按字段劃分訪問權限,實現權限粒度最小化。業務處理系統120請求數據需要向數據接入子系統104申請,數據接入子系統104需要校驗數據請求對應的字段訪問權限,若具有權限則從敏感用戶數據中提取相應字段的數據,獲得脫敏用戶數據;若沒有權限則返回錯誤提示。
本實施例中,通過權限粒度最小化,對請求的數據進行嚴格控制,避免請求非敏感用戶數據時一并返回敏感用戶數據的情況,安全性高。
上述實施例中對敏感用戶數據進行局部掩碼處理、對敏感用戶數據進行局部加密處理以及權限粒度最小化的脫敏處理方式可以根據需要任意組合。上述脫敏處理方式可以防止敏感用戶數據被濫用。
在一個實施例中,數據請求攜帶業務處理系統120的系統標識和所請求數據的數據類型標識;數據接入子系統104還用于校驗系統標識對應于數據類型標識的數據訪問權限,校驗通過后根據數據請求讀取相應的敏感用戶數據。
具體地,業務處理系統120的系統標識是指能夠區分業務處理系統120的標識數據,可以用字符串表示。數據請求所請求數據的數據類型標識,是區分不同的敏感用戶數據的標識,比如用戶資料、社交關系鏈以及用戶網絡行為記錄可以分別采用不同的數據類型標識。
系統標識對應于數據類型標識的數據訪問權限,表示的是該系統標識對應的業務處理系統120訪問該數據類型標識對應的數據的權限。數據接入子系統104還用于校驗系統標識對應于數據類型標識的數據訪問權限,具體是校驗該系統標識對應的業務處理系統120是否具有訪問該數據類型標識對應的數據的權限。若具有權限則校驗通過,否則校驗未通過。校驗通過后根據數據請求讀取相應的敏感用戶數據。
本實施例中,通過校驗系統標識對應于數據類型標識的數據訪問權限,保證特定的業務處理系統120才可以訪問特定類型的敏感用戶數據,提高了安全 性。
在一個實施例中,數據請求還攜帶程序數字簽名信息;數據接入子系統104還用于校驗程序數字簽名信息,在對數據訪問權限以及程序數字簽名信息校驗通過后,根據數據請求讀取相應的敏感用戶數據。
具體地,數字簽名信息具有可驗證性以及難以偽造的特性,程序簽名信息是指對于特定程序的數字簽名信息,根據該程序簽名信息可以驗證相應的程序是否具有訪問數據的權限。
本實施例中,在對數據訪問權限以及程序數字簽名信息校驗通過后,根據數據請求讀取相應的敏感用戶數據,可以保證特定的業務處理系統120上的特定程序才能夠訪問特定類型的敏感用戶數據,可以克服內部工作人員編寫惡意代碼冒充業務處理系統120請求敏感用戶數據的風險。
在一個實施例中,數據接入子系統104還用于校驗數據請求的直接獲取敏感用戶數據的權限,校驗通過后讀取相應的敏感用戶數據作為數據請求反饋數據反饋給業務處理系統120。
具體地,直接獲取敏感用戶數據的權限,是指直接獲取完整的敏感用戶數據的權限。考慮到在一些情況下用戶端110僅需要脫敏用戶數據,比如查看好友用戶資料、查看好友社交關系鏈等。而一些情況下需要獲取完整的敏感用戶數據,比如進行身份驗證的時候,或者系統后臺進行數據統計的時候,此時業務處理系統120需要向數據接入子系統104申請權限,數據接入子系統104還用于校驗數據請求相應的權限,校驗通過后讀取相應的敏感用戶數據作為數據請求反饋數據反饋給業務處理系統120。
本實施例中,考慮到敏感用戶數據不同的使用場景,對于需要完整的敏感用戶數據的使用場景,通過權限校驗來保證安全性。
統一外網接入子系統102用于接收業務處理系統120發送的根據數據請求反饋數據生成的業務反饋數據,向用戶端反饋業務反饋數據。
具體地,業務反饋數據是指對應于業務請求的反饋數據。根據數據請求反饋數據生成的業務反饋數據,具體可以是將數據請求反饋數據直接作為業務反饋數據,或者可以對數據請求反饋數據進行進一步處理得到業務反饋數據。進 一步處理包括按照業務處理系統120的業務處理邏輯對數據請求反饋數據所進行的處理。
上述敏感用戶數據處理系統,通過統一外網接入子系統來統一接收用戶端的業務請求,再將業務請求轉發給業務處理系統處理。數據接入子系統在接收到業務處理系統處理的數據請求后,讀取敏感用戶數據,生成數據請求反饋數據反饋給業務處理系統。最后再通過統一外網接入子系統將根據數據請求反饋數據生成的業務反饋數據反饋給用戶端。這樣各業務處理系統不再直接接收用戶端的業務請求,且不直接向用戶端反饋業務反饋數據,而是通過統一外網接入子系統控制用戶端與業務處理系統的通信,使得敏感用戶數據在處理過程中都是可控的,提高了安全性。
在一個實施例中,業務處理系統120用于與統一外網接入子系統102或者數據接入子系統104通過數據包傳輸數據;且在發送數據時,對發送的數據進行組包并加密后生成數據包發送出去;在接收到數據包時,對接收的數據包進行解密和解包后獲得數據內容。其中,發送數據是指業務處理系統120向統一外網接入子系統102或者數據接入子系統104發送數據,接收數據包則是指接收統一外網接入子系統102或者數據接入子系統104發來的數據包。解包和組包互為逆過程,組包可以將需要傳輸的數據組裝成適合傳輸的數據包。加密和解密可以采用事先約定的加密和解密算法。
在一個實施例中,業務處理系統120可用于上報所處理的請求的日志到日志系統,上報的日志可用于回溯和對賬。所處理的請求包括業務請求和數據請求。
在一個實施例中,統一外網接入子系統102還用于接收來自用戶端的登錄請求并驗證,驗證通過后接收來自用戶端的攜帶有效的已登錄狀態信息的業務請求;數據接入子系統104還用于校驗數據請求是否攜帶有效的已登錄狀態信息,校驗通過后根據數據請求讀取相應的敏感用戶數據。
具體地,用戶端110可獲取用戶賬號和用戶密碼,并生成攜帶有用戶賬號和用戶密碼的登錄請求,將登錄請求發送給統一外網接入子系統102。統一外網接入子系統102可直接從數據存儲系統130讀取相應的用戶賬號所對應的用戶 密碼,通過比較登錄請求中的用戶密碼和讀取到的用戶密碼對登錄請求進行驗證。對登錄請求驗證通過后統一外網接入子系統102向用戶端110返回有效的已登錄狀態信息,用戶端110后續發出的業務請求攜帶有效的已登錄狀態信息。
已登錄狀態信息用于表示用戶端110處于已登錄的狀態,有效的已登錄狀態信息是指該已登錄狀態信息本身是有效的。具體已登錄狀態信息包括有效期限,若當前時間在該有效期限之內,則該已登錄狀態信息是有效的;若當前時間超出了該有效期限,則該已登錄狀態信息是無效的。
業務處理系統120根據業務請求觸發數據請求時,將業務請求攜帶的有效的已登錄狀態信息傳遞給數據請求。數據接入子系統104校驗數據請求是否攜帶有效的已登錄狀態信息,在核實用戶身份的前提下才提供敏感用戶數據,可以防止敏感用戶數據被惡意獲取。
在一個實施例中,統一外網接入子系統102可用于根據登錄請求和業務請求的流水號進行上報。具體可將流水號上報到日志系統以記錄對應于流水號的日志。其中流水號是單條請求的唯一標識,可用來關聯各系統及子系統的日志記錄,方便在需要時回溯和對賬。
如圖2所示,在一個實施例中,敏感用戶數據處理系統還包括安全旁路子系統106,與統一外網接入子系統102、數據接入子系統104和數據存儲系統130分別連接。安全旁路子系統106是敏感用戶數據處理系統中在統一外網接入子系統102和數據接入子系統104的基礎上,附加的用于保證安全性的子系統。安全旁路子系統106可用于為敏感用戶數據處理系統提供實時保護。
在一個實施例中,安全旁路子系統106用于獲取統一外網接入子系統102接收到的業務請求并進行安全檢測,當檢測到業務請求為惡意請求時,通知統一外網接入子系統102拒絕業務請求。
具體地,統一外網接入子系統102在接收到業務請求后,可轉發一份給安全旁路子系統106。安全旁路子系統106可以采用多種安全檢測手段對業務請求進行安全檢測,比如檢測用戶端110對應的用戶標識是否屬于惡意用戶標識列表中,若是則屬于惡意請求;或者檢測業務請求是否包含惡意代碼,若是則屬于惡意請求;或者檢測業務請求是否攜帶有效的已登錄狀態信息,若否則屬于 惡意請求。安全旁路子系統106通知統一外網接入子系統102拒絕業務請求,可以保證敏感用戶數據處理系統在處理敏感用戶數據時的安全。
在一個實施例中,安全旁路子系統106用于統計統一外網接入子系統102接收到的業務請求,并統計數據接入子系統104所接收到的數據請求;比對統計的業務請求和統計的數據請求,根據比對結果判斷業務處理系統120是否緩存敏感用戶數據。
具體地,業務處理系統120可能會緩存敏感用戶數據,這樣業務處理系統120就可以繞過數據接入子系統104向用戶端110提供敏感用戶數據,但這樣容易造成敏感用戶數據的泄露,存在安全風險。每個用于請求敏感用戶數據的業務請求都應當通過數據接入子系統104從數據存儲系統130讀取敏感用戶數據,這里通過統計業務請求以及數據請求進行比對,若存在不對應的情況,則說明業務處理系統120很可能緩存了敏感用戶數據,此對比的過程稱為對賬審計。比對統計的業務請求和統計的數據請求,包括比對統計的業務請求的次數和統計的數據請求的次數,還可以包括比對業務請求中的關鍵字(key)和數據請求中的關鍵字(key)是否一致。安全旁路子系統106可用于在判定業務處理系統120緩存了敏感用戶數據后,向相應的業務處理系統120發送警告,或者對該業務處理系統120的訪問權限進行限制。
在一個實施例中,安全旁路子系統106用于根據用戶端110發送的業務請求判斷用戶端110是否符合批量獲取敏感用戶數據行為特征,若符合則對用戶端110發送的業務請求進行權限限制。
具體地,批量拉取敏感用戶數據,容易造成敏感用戶數據的泄露,這里通過判斷用戶端110是否符合批量獲取敏感用戶數據行為特征,檢測出批量獲取敏感用戶數據的行為,從而對該用戶端110的業務請求進行權限限制。
其中,批量獲取敏感用戶數據行為特征包括用戶端110在單位時間段內業務請求的數量超過預設閾值,還包括用戶端110對應的網絡地址段在單位時間段內業務請求的數量超過預設閾值。
對用戶端110發送的業務請求進行權限限制,包括對用戶端110在單位時間段內超出預設閾值的數量的業務請求拒絕處理或者延遲處理,還包括在判定 符合批量獲取敏感用戶數據行為特征后在預設時長內拒絕處理用戶端110發送的業務請求。
在一個實施例中,安全旁路子系統106還用于對業務處理系統120的權限報備進行審計。其中權限報備是指業務處理系統120在特定條件下,在不具備有效的已登錄狀態信息的情況下,可以在上報并登記后獲得獲取敏感用戶數據的權限。這里的特定條件包括信任的業務處理系統120在系統后臺對敏感用戶數據進行統計。通過對權限報備進行審計,簡稱報備審計,可以防止權限報備被濫用。
如圖3所示,在一個實施例中,提供了一種敏感用戶數據處理方法,本實施例以該方法應用于上述圖1和圖2中的敏感用戶數據處理系統來舉例說明。參照圖4,統一外網接入子系統102構成統一外網接入層,業務處理系統120構成業務邏輯層,數據接入子系統104構成數據接入層,安全旁路子系統106實現安全旁路的功能。該方法具體包括如下步驟:
步驟302,通過統一外網接入接口接收來自用戶端的用于獲取敏感用戶數據的業務請求,并將業務請求轉發給相應的業務處理系統。
具體地,敏感用戶數據是指涉及用戶隱私的數據,包括用戶身份資料、社交關系鏈以及用戶網絡行為記錄等,用戶身份資料包括用戶社交網絡賬號的密碼、出生日期、證件號碼、年齡、出生地以及常住地等。用戶網絡行為記錄包括網頁瀏覽記錄、網上購物記錄等。
統一外網接入子系統102提供用戶端110與統一外網接入子系統102交互的統一外網接入接口(API1),提供統一外網接入子系統102與業務處理系統120交互的業務處理接口(API2),提供業務處理系統120與數據接入子系統104交互的數據接入接口(API3)。
統一外網接入子系統102通過該統一外網接入接口接收用戶端發來的業務請求。用于獲取敏感用戶數據的業務請求,包括拉取用戶資料的請求、查詢用戶網絡行為記錄的業務請求、交易請求等。相應的業務處理系統120是指用于處理該業務請求的業務處理系統120,即該業務請求對應的業務處理系統120。 業務請求可攜帶有業務處理系統120的系統標識,從而統一外網接入子系統102可將業務請求轉發給該業務請求攜帶的系統標識所對應的業務處理系統120。
在一個實施例中,統一外網接入子系統102可用于接收用戶端通過安全傳輸通道發來的業務請求。在一個實施例中,安全傳輸通道可以是HTTPS通道。在一個實施例中,安全傳輸通道可以是基于SSO的傳輸通道。其中單點登錄是指在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統的方式。
在一個實施例中,統一外網接入子系統102可將業務請求的流水號進行上報。具體可將流水號上報到日志系統以記錄對應于流水號的日志。其中流水號是單條請求的唯一標識,可用來關聯各系統及子系統的日志記錄,方便在需要時回溯和對賬。
在一個實施例中,統一外網接入子系統102與業務處理系統120之間的傳輸內容經過加密,可防止內網監聽造成數據泄露。
步驟304,接收業務處理系統根據業務請求觸發的數據請求。
步驟306,根據數據請求讀取相應的敏感用戶數據,根據讀取的敏感用戶數據生成數據請求反饋數據并反饋給業務處理系統。
具體地,業務處理系統120根據業務請求觸發向數據接入子系統104發送數據請求,數據接入子系統104接收到數據請求,根據該數據請求從數據存儲系統130讀取相應的敏感用戶數據,根據讀取的敏感用戶數據生成數據請求反饋數據并反饋給業務處理系統120。其中,數據請求反饋數據是指對應數據請求的反饋數據。
在一個實施例中,數據接入子系統104與業務處理系統120之間的傳輸內容經過加密,可防止內網監聽造成數據泄露。在一個實施例中,數據存儲系統130存儲的敏感用戶數據經過加密。在一個實施例中,數據存儲系統130存儲的敏感用戶數據采用非對稱加密方式加密。具體地,數據存儲系統130存儲的敏感用戶數據采用密鑰對中的公鑰進行加密,密鑰對中的私鑰保存在用戶端110。這樣加密的敏感用戶數據只有傳輸到用戶端110,用戶端110采用相應的私鑰才能解密。在傳輸過程中即使發生了數據泄露,惡意用戶也無法看到具體的敏感 用戶數據。
在一個實施例中,步驟306包括:根據數據請求讀取相應的敏感用戶數據,對敏感用戶數據進行脫敏處理,將處理獲得的脫敏用戶數據作為數據請求反饋數據反饋給業務處理系統。
具體地,脫敏處理是指減少或者去除敏感用戶數據的敏感屬性的處理,對敏感用戶數據進行脫敏處理得到脫敏用戶數據。脫敏處理可以采用多種方式,以下做詳細說明。
在一個實施例中,對敏感用戶數據進行脫敏處理,包括:對敏感用戶數據進行局部掩碼處理,獲得脫敏用戶數據。
具體地,掩碼處理是指用原碼與掩碼進行經過按位運算或邏輯運算得出新的字串的處理。局部掩碼處理則是對敏感用戶數據的局部進行掩碼處理,剩余的保留。比如若敏感用戶數據包括18位數字的身份證號碼,則可對身份證號碼的前14位號碼做掩碼處理,僅保留最后4位,獲得的脫敏用戶數據包括經過掩碼處理的身份證號碼。比如,若身份證號碼為123456789123456789,掩碼為00000000000000,掩碼處理后得到6789。還比如若敏感用戶數據包括11位數字的手機號碼,則可以對手機號碼從首位起的預設位數或者從末位起的預設位數進行掩碼處理。
本實施例中,通過對敏感用戶數據進行局部掩碼處理獲得脫敏用戶數據,可以在避免敏感用戶數據被暴露,安全性高。
在一個實施例中,對敏感用戶數據進行脫敏處理,包括:對敏感用戶數據進行局部加密處理,獲得脫敏用戶數據。
具體地,局部加密處理是指對敏感用戶數據的局部進行加密處理。比如可以對身份證號碼的前14位進行加密,還可以對敏感用戶數據中的關鍵字(key)進行加密,還可以對敏感用戶數據中的敏感字段的數據進行加密。
本實施例中,通過對敏感用戶數據進行局部加密處理獲得脫敏用戶數據,可以在避免敏感用戶數據被暴露,安全性高。
在一個實施例中,對敏感用戶數據進行脫敏處理,包括:根據數據請求對應的字段訪問權限,按字段從敏感用戶數據中提取數據,獲得脫敏用戶數據。
具體地,傳統技術中拉取資料時一般返回全量數據。本實施例中,按字段劃分訪問權限,實現權限粒度最小化。業務處理系統120請求數據需要向數據接入子系統104申請,數據接入子系統104需要校驗數據請求對應的字段訪問權限,若具有權限則從敏感用戶數據中提取相應字段的數據,獲得脫敏用戶數據;若沒有權限則返回錯誤提示。
本實施例中,通過權限粒度最小化,對請求的數據進行嚴格控制,避免請求非敏感用戶數據時一并返回敏感用戶數據的情況,安全性高。
上述實施例中對敏感用戶數據進行局部掩碼處理、對敏感用戶數據進行局部加密處理以及權限粒度最小化的脫敏處理方式可以根據需要任意組合。上述脫敏處理方式可以防止敏感用戶數據被濫用。
在一個實施例中,步驟306包括:校驗數據請求的直接獲取敏感用戶數據的權限,校驗通過后讀取相應的敏感用戶數據作為數據請求反饋數據反饋給業務處理系統。
具體地,直接獲取敏感用戶數據的權限,是指直接獲取完整的敏感用戶數據的權限。考慮到在一些情況下用戶端110僅需要脫敏用戶數據,比如查看好友用戶資料、查看好友社交關系鏈等。而一些情況下需要獲取完整的敏感用戶數據,比如進行身份驗證的時候,或者系統后臺進行數據統計的時候,此時業務處理系統120需要向數據接入子系統104申請權限,數據接入子系統104校驗數據請求相應的權限,校驗通過后讀取相應的敏感用戶數據作為數據請求反饋數據反饋給業務處理系統120。
本實施例中,考慮到敏感用戶數據不同的使用場景,對于需要完整的敏感用戶數據的使用場景,通過權限校驗來保證安全性。
步驟308,通過統一外網接入接口將業務處理系統根據數據請求反饋數據生成的業務反饋數據發送給用戶端。
具體地,業務反饋數據是指對應于業務請求的反饋數據。根據數據請求反饋數據生成的業務反饋數據,具體可以是將數據請求反饋數據直接作為業務反饋數據,或者可以對數據請求反饋數據進行進一步處理得到業務反饋數據。進一步處理包括按照業務處理系統120的業務處理邏輯對數據請求反饋數據所進 行的處理。統一外網接入子系統102通過提供的統一外網接入接口向用戶端反饋業務反饋數據。
上述敏感用戶數據處理方法,通過統一外網接入接口來統一接收用戶端的業務請求,再將業務請求轉發給業務處理系統處理。在接收到業務處理系統處理的數據請求后,讀取敏感用戶數據,生成數據請求反饋數據反饋給業務處理系統。最后再通過統一外網接入接口將根據數據請求反饋數據生成的業務反饋數據反饋給用戶端。這樣各業務處理系統不再直接接收用戶端的業務請求,且不直接向用戶端反饋業務反饋數據,而是通過統一外網接入接口控制用戶端與業務處理系統的通信,使得敏感用戶數據在處理過程中都是可控的,提高了安全性。
在一個實施例中,該敏感用戶數據處理方法還包括:業務處理系統120通過數據包傳輸數據;且在發送數據時,對發送的數據進行組包并加密后生成數據包發送出去;在接收到數據包時,對接收的數據包進行解密和解包后獲得數據內容。具體地,業務處理系統120與統一外網接入子系統102或者數據接入子系統104通過數據包傳輸數據。
在一個實施例中,業務處理系統120可上報所處理的請求的日志到日志系統,上報的日志可用于回溯和對賬。所處理的請求包括業務請求和數據請求。
在一個實施例中,該敏感用戶數據處理方法還包括:通過統一外網接入接口接收來自用戶端的登錄請求并驗證,驗證通過后接收來自用戶端的攜帶有效的已登錄狀態信息的業務請求。步驟304之后,還包括:校驗數據請求是否攜帶有效的已登錄狀態信息,校驗通過后執行步驟306。
具體地,用戶端110可獲取用戶賬號和用戶密碼,并生成攜帶有用戶賬號和用戶密碼的登錄請求,將登錄請求發送給統一外網接入子系統102。統一外網接入子系統102可直接從數據存儲系統130讀取相應的用戶賬號所對應的用戶密碼,通過比較登錄請求中的用戶密碼和讀取到的用戶密碼對登錄請求進行驗證。對登錄請求驗證通過后統一外網接入子系統102向用戶端110返回有效的已登錄狀態信息,用戶端110后續發出的業務請求攜帶有效的已登錄狀態信息。
已登錄狀態信息用于表示用戶端110處于已登錄的狀態,有效的已登錄狀 態信息是指該已登錄狀態信息本身是有效的。具體已登錄狀態信息包括有效期限,若當前時間在該有效期限之內,則該已登錄狀態信息是有效的;若當前時間超出了該有效期限,則該已登錄狀態信息是無效的。
業務處理系統120根據業務請求觸發數據請求時,將業務請求攜帶的有效的已登錄狀態信息傳遞給數據請求。數據接入子系統104校驗數據請求是否攜帶有效的已登錄狀態信息,在核實用戶身份的前提下才提供敏感用戶數據,可以防止敏感用戶數據被惡意獲取。
在一個實施例中,統一外網接入子系統102可根據登錄請求和業務請求的流水號進行上報。具體可將流水號上報到日志系統以記錄對應于流水號的日志。其中流水號是單條請求的唯一標識,可用來關聯各系統及子系統的日志記錄,方便在需要時回溯和對賬。
在一個實施例中,數據請求攜帶業務處理系統的系統標識和所請求數據的數據類型標識;該敏感用戶數據處理方法還包括:校驗系統標識對應于數據類型標識的數據訪問權限,校驗通過后執行步驟306。
具體地,業務處理系統120的系統標識是指能夠區分業務處理系統120的標識數據,可以用字符串表示。數據請求所請求數據的數據類型標識,是區分不同的敏感用戶數據的標識,比如用戶資料、社交關系鏈以及用戶網絡行為記錄可以分別采用不同的數據類型標識。
系統標識對應于數據類型標識的數據訪問權限,表示的是該系統標識對應的業務處理系統120訪問該數據類型標識對應的數據的權限。數據接入子系統104校驗系統標識對應于數據類型標識的數據訪問權限,具體是校驗該系統標識對應的業務處理系統120是否具有訪問該數據類型標識對應的數據的權限。若具有權限則校驗通過,否則校驗未通過。校驗通過后根據數據請求讀取相應的敏感用戶數據。
本實施例中,通過校驗系統標識對應于數據類型標識的數據訪問權限,保證特定的業務處理系統120才可以訪問特定類型的敏感用戶數據,提高了安全性。
在一個實施例中,數據請求還攜帶程序數字簽名信息;該敏感用戶數據處 理方法還包括:校驗程序數字簽名信息,在對數據訪問權限以及程序數字簽名信息校驗通過后,執行步驟306。
具體地,數字簽名信息具有可驗證性以及難以偽造的特性,程序簽名信息是指對于特定程序的數字簽名信息,根據該程序簽名信息可以驗證相應的程序是否具有訪問數據的權限。
本實施例中,在對數據訪問權限以及程序數字簽名信息校驗通過后,根據數據請求讀取相應的敏感用戶數據,可以保證特定的業務處理系統120上的特定程序才能夠訪問特定類型的敏感用戶數據,可以克服內部工作人員編寫惡意代碼冒充業務處理系統120請求敏感用戶數據的風險。
在一個實施例中,該敏感用戶數據處理方法還包括:獲取通過統一外網接入接口接收到的業務請求并進行安全檢測,當檢測到業務請求為惡意請求時,拒絕用戶端的業務請求。
具體地,統一外網接入子系統102在接收到業務請求后,可轉發一份給安全旁路子系統106。安全旁路子系統106可以采用多種安全檢測手段對業務請求進行安全檢測,比如檢測用戶端110對應的用戶標識是否屬于惡意用戶標識列表中,若是則屬于惡意請求;或者檢測業務請求是否包含惡意代碼,若是則屬于惡意請求;或者檢測業務請求是否攜帶有效的已登錄狀態信息,若否則屬于惡意請求。安全旁路子系統106通知統一外網接入子系統102拒絕業務請求,可以保證敏感用戶數據處理系統在處理敏感用戶數據時的安全。
在一個實施例中,該敏感用戶數據處理方法還包括:統計通過統一外網接入接口接收到的業務請求,并統計通過統一外網接入接口接收到的數據請求;比對統計的業務請求和統計的數據請求,根據比對結果判斷業務處理系統是否緩存敏感用戶數據。
具體地,業務處理系統120可能會緩存敏感用戶數據,這樣業務處理系統120就可以繞過數據接入子系統104向用戶端110提供敏感用戶數據,但這樣容易造成敏感用戶數據的泄露,存在安全風險。每個用于請求敏感用戶數據的業務請求都應當通過數據接入子系統104從數據存儲系統130讀取敏感用戶數據,這里通過統計業務請求以及數據請求進行比對,若存在不對應的情況,則說明 業務處理系統120很可能緩存了敏感用戶數據,此對比的過程稱為對賬審計。比對統計的業務請求和統計的數據請求,包括比對統計的業務請求的次數和統計的數據請求的次數,還可以包括比對業務請求中的關鍵字(key)和數據請求中的關鍵字(key)是否一致。安全旁路子系統106可在判定業務處理系統120緩存了敏感用戶數據后,向相應的業務處理系統120發送警告,或者對該業務處理系統120的訪問權限進行限制。
在一個實施例中,該敏感用戶數據處理方法還包括:根據用戶端發送的業務請求判斷用戶端是否符合批量獲取敏感用戶數據行為特征,若符合則對用戶端發送的業務請求進行權限限制。
具體地,批量拉取敏感用戶數據,容易造成敏感用戶數據的泄露,這里通過判斷用戶端110是否符合批量獲取敏感用戶數據行為特征,檢測出批量獲取敏感用戶數據的行為,從而對該用戶端110的業務請求進行權限限制。
其中,批量獲取敏感用戶數據行為特征包括用戶端110在單位時間段內業務請求的數量超過預設閾值,還包括用戶端110對應的網絡地址段在單位時間段內業務請求的數量超過預設閾值。
對用戶端110發送的業務請求進行權限限制,包括對用戶端110在單位時間段內超出預設閾值的數量的業務請求拒絕處理或者延遲處理,還包括在判定符合批量獲取敏感用戶數據行為特征后在預設時長內拒絕處理用戶端110發送的業務請求。
在一個實施例中,安全旁路子系統106對業務處理系統120的權限報備進行審計。其中權限報備是指業務處理系統120在特定條件下,在不具備有效的已登錄狀態信息的情況下,可以在上報并登記后獲得獲取敏感用戶數據的權限。這里的特定條件包括信任的業務處理系統120在系統后臺對敏感用戶數據進行統計。通過對權限報備進行審計,簡稱報備審計,可以防止權限報備被濫用。
本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質中,該程序在執行時,可包括如上述各方法的實施例的流程。 其中,所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory,ROM)等非易失性存儲介質,或隨機存儲記憶體(Random Access Memory,RAM)等。
以上所述實施例的各技術特征可以進行任意的組合,為使描述簡潔,未對上述實施例中的各個技術特征所有可能的組合都進行描述,然而,只要這些技術特征的組合不存在矛盾,都應當認為是本說明書記載的范圍。
以上所述實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但并不能因此而理解為對發明專利范圍的限制。應當指出的是,對于本領域的普通技術人員來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬于本發明的保護范圍。因此,本發明專利的保護范圍應以所附權利要求為準。
- 還沒有人留言評論。精彩留言會獲得點贊!