专利名称:一种综合平台的隐私信息保护方法
技术领域:
本发明涉及网络信息安全领域,特别是一种应用于综合业务平台实现隐私信息安全保护的技术。
背景技术:
随着信息技术应用的发展,计算机、数字电视等在日常工作生活中重要性的日益增强,信息安全特别是隐私信息安全已越来越被人们所重视。另外,随着各种网络应用种类繁多,越来越多的大型综合业务平台出现并实现将关联的应用统一起来,实现如云存储等更先进的跨业务、跨网络综合应用。通过对接入平台的不同系统之间信息共享过程中,对于一些重要的文件就存在一个使用权限的问题,防止被非法用户或系统读取,对非法用户或应用起到隐藏文件的效果。 目前,普遍的权限控制都在应用层实现,并且在一定程度上也起到了安全的效果,但是随着黑客技术的发展,恶意程序代码能够嵌入到内核层绕过应用层非法读取数据。中国专利申请201010152506. 6《一种数据共享中基于信任和替换的隐私信息保护方法》公开了 “提供一种数据共享中基于信任和替换的隐私信息保护方法。针对数据共享中,用户不希望和实体共享自己的所有数据而只希望与自己熟悉或信任的实体共享特定的数据的问题。本发明通过隐私信息范围设置、共享数据中包含隐私的信息的筛选来计算隐私信息量。当隐私信息量超过共享数据对象所能共享的范围时,采用替换的方法对共享数据集合中的数据进行替换,达到数据共享和隐私保护的目的,并能灵活应用于各种数据共享环境之中”的方案。该方案通过“隐私信息范围设置”、“替换的方法对共享数据集合中的数据进行替换”等手段来保护隐私信息,它同样属于在应用层的改进。
发明内容
本发明的目的提出一种综合平台的隐私信息保护方法,它通过一系列技术手段在平台应用层和驱动层的应用,实现信息安全保护。本发明通过如下方案实现—种综合平台的隐私信息保护方法,为各种应用系统通过与综合平台的对接实现远程业务的提供并产生存储于综合平台隐私信息,综合平台对隐私信息进行安全保护的方法,其特征在于,所述的隐私信息保护过程包括步骤步骤一,综合平台为新接入的应用系统分配唯一的身份标识;步骤二,综合平台的应用层为新接入的应用系统分配专属的存储空间;该存储空间的标识与应用系统或资源平台的身份标识关联;步骤三,利用综合平台的驱动层I/O管理器为专属的存储空间创建与其对应的新设备对象;步骤四,新设备对象放到设备堆栈上,并形成部署于综合平台驱动层的过滤驱动装置;
步骤五,新接入的应用系统通过综合平台的应用层及服务组策略设置其所属服务组;步骤六,应用系统生成隐私信息保护策略文件,并同步至综合平台;步骤七,综合平台应用层将隐私信息保护策略文件同步并存储于过滤驱动装置内;步骤八,对应用系统的专属存储空间进行读写时,过滤驱动装置调用隐私信息保护策略文件并进行过滤后才进行对硬件存储空间进行读写操作。作为优化,步骤二所述的专属的存储空间是一个或一个以上的单独存储介质或相同存储介质中的部分存储空间;步骤三所述的新设备对象与专属的存储空间为一一对应关系;步骤四所述的过滤驱动装置与新设备对象为一一对应关系;步骤五所述的应用系统对应一个或一个以上服务组。更进一步,上所述的综合平台的隐私信息保护方法还具有步骤九,即过滤驱动装置成功阻止对硬件存储空间进行读写后,综合平台将结果反馈至应用系统并提示是否授权其操作,如果允许则综合平台的应用层自动更新隐私信息保护策略文件并同步至过滤驱动
直ο综上所述的本发明方法具有如下显著特点1.从平台的驱动层入手,通过过滤驱动装置对读写请求进行过滤达到信息的安全保障目的;2.多种技术手段综合应用,如“专属的存储空间”,构建“新设备对象”的虚拟技术、 “服务组策略”等;3.实现综合平台各种应用之间数据共享同时也保障了各自私有信息的安全。
图1是综合平台结构示意图;图2是组策略示意图
图3是核心步骤流程图。
具体实施例方式综合平台是指多种应用业务公同运营的支撑平台,其内部将提供数据的跨系统或业务的共享,同时提供形成的各类业务数据集中存储和安全保护功能。隐私信息,这里指各应用系统产生的业务数据或信息,该部分数据或信息只提供给自己或部分应用系统访问。如图1,常见的综合平台结构中包括软件系统部分和硬件部分;其中,平台至少具有应用层和驱动层;其中驱动层具有I/O管理器,实现对与I/O总线连接的硬件管理。任何应用系统业务和平台自身的业务对硬件如存储媒介的操作最后都通过驱动层后才实现;同时驱动层也是对外输出的必经之路。所以,相对于传统的只在应用层来保护数据的方法,驱动层更能有效的保护数据安全。如图2,是本发明采用到的组策略示意图。根据应用系统业务的性质,可以分为不同的服务组,默认情况下,相同服务组内可以对在综合平台形成业务数据互相之间可以共
4享。同时服务组具有分级机制,默认情况下,上一级的服务组成员可以对下一级成员数据进行访问。如图所示,在组策略中,一个组可以包含多个应用系统成员,但是一个设备对象只对应一个应用系统。如图3所示,本发明方法包括如下几个核心的关键步骤,即分配专属的存储空间;创建对应的新设备对象;驱动层形成过滤驱动装置;过滤驱动装置装载隐私信息保护策略文件;过滤驱动装置过滤并控制读写请求;过滤驱动装置过滤并控制读写请求。更具体来说,首先综合平台为新接入的应用系统分配唯一的身份标识。身份标识可以是各种常见的编码。其次,综合平台的应用层为新接入的应用系统分配专属的存储空间;该存储空间同样具有唯一的标识,存储空间与标识应用系统或资源平台的身份标识关联。即互相之间具有一种映射关系。专属的存储空间是一个或一个以上的单独存储介质或相同存储介质中的部分存储空间。专属的存储空间只存储该应用系统需要保护的业务数据或信息,对于可以开放的业务数据,则存储在综合平台提供的公共存储空间内。综合平台的驱动层I/O管理器为专属的存储空间创建与其对应的新设备对象;新设备对象为虚拟的设备;新设备对象与专属的存储空间为一一对应关系。新设备对象放到设备堆栈上,综合平台形成部署于驱动层的过滤驱动装置;过滤驱动装置其作用是对涉及到新设备对象进行读写请求进行识别、过滤进而实现权限控制。 过滤驱动装置通过编程和建模形成。过滤驱动装置与新设备对象为一一对应关系。新接入的应用系统通过综合平台的应用层及服务组策略设置其所属服务组;设置方式可以通过应用系统运营方根据平台提供的界面进行设置;同时也可以通过平台提供的 API接口(应用程序编程接口)实现。如图2所示,一个组可以包含多个应用系统成员,但是一个设备对象只对应一个应用系统。应用系统生成隐私信息保护策略文件,并同步至综合平台;综合平台应用层将隐私信息保护策略文件装载于过滤驱动装置内;其它应用系统要对该应用系统的专属存储空间进行读写时,过滤驱动装置调用隐私信息保护策略文件并进行过滤后才进行对硬件存储空间进行读写操作。隐私信息保护策略文件的更新包括两方面一,过滤驱动装置成功阻止对硬件存储空间进行读写后,综合平台将结果反馈至应用系统并提示是否授权其操作,如果允许则综合平台的应用层自动更新隐私信息保护策略文件并同步至过滤驱动装置;二,应用系统主动修改了隐私信息保护策略文件,并同步至综合平台;综合平台应用层将隐私信息保护策略文件同步至过滤驱动装置内。综上所述为本发明实施必须的技术手段和步骤,更具体实施可以根据现有技术和公知知识进行。实施方,可以根据需要添加或改进个别步骤,在不脱离本发明核心基础上, 应属于本发明保护范围。
权利要求
1.一种综合平台的隐私信息保护方法,为各种应用系统通过与综合平台的对接实现远程业务的提供并产生存储于综合平台隐私信息,综合平台对隐私信息进行安全保护的方法,其特征在于,所述的隐私信息保护过程包括步骤步骤一,综合平台为新接入的应用系统分配唯一的身份标识;步骤二,综合平台的应用层为新接入的应用系统分配专属的存储空间;该存储空间的标识与应用系统或资源平台的身份标识关联;步骤三,利用综合平台的驱动层I/O管理器为专属的存储空间创建与其对应的新设备对象;步骤四,新设备对象放到设备堆栈上,并形成部署于综合平台驱动层的过滤驱动装置;步骤五,新接入的应用系统通过综合平台的应用层及服务组策略设置其所属服务组;步骤六,应用系统生成隐私信息保护策略文件,并同步至综合平台;步骤七,综合平台应用层将隐私信息保护策略文件同步并存储于过滤驱动装置内;步骤八,对应用系统的专属存储空间进行读写时,过滤驱动装置调用隐私信息保护策略文件并进行过滤后才进行对硬件存储空间进行读写操作。
2.如权利要求1所述的综合平台的隐私信息保护方法,其特征在于,步骤二所述的专属的存储空间是一个或一个以上的单独存储介质或相同存储介质中的部分存储空间。
3.如权利要求2所述的综合平台的隐私信息保护方法,其特征在于,步骤三所述的新设备对象与专属的存储空间为一一对应关系。
4.如权利要求3所述的综合平台的隐私信息保护方法,其特征在于,步骤四所述的过滤驱动装置与新设备对象为一一对应关系。
5.如权利要求4所述的综合平台的隐私信息保护方法,其特征在于,步骤五所述的应用系统对应一个或一个以上服务组。
6.如权利要求1至4任一所述的综合平台的隐私信息保护方法,其特征在于,还具有步骤九,过滤驱动装置成功阻止对硬件存储空间进行读写后,综合平台将结果反馈至应用系统并提示是否授权其操作,如果允许则综合平台的应用层自动更新隐私信息保护策略文件并同步至过滤驱动装置。
全文摘要
本发明涉及网络信息安全领域,特别是提出一种综合平台的隐私信息保护方法,为各种应用系统通过与综合平台的对接实现远程业务的提供并产生存储于综合平台隐私信息,综合平台对隐私信息进行安全保护的方法,其特征在于,所述的隐私信息保护过程包括步骤分配专属的存储空间;创建对应的新设备对象;驱动层形成过滤驱动装置;过滤驱动装置装载隐私信息保护策略文件;过滤驱动装置过滤并控制读写请求;过滤驱动装置过滤并控制读写请求等步骤。
文档编号H04L29/06GK102340501SQ20111020162
公开日2012年2月1日 申请日期2011年7月14日 优先权日2011年7月14日
发明者卢忠云, 卢林发, 叶灿才, 黄家祺 申请人:广东爱科数字科技有限公司