本發(fā)明涉及安全技術(shù)領(lǐng)域,特別是涉及一種敏感用戶數(shù)據(jù)處理系統(tǒng)和方法。
背景技術(shù):
數(shù)據(jù)服務(wù)平臺可以向各業(yè)務(wù)處理系統(tǒng)提供各種用戶數(shù)據(jù),包括敏感用戶數(shù)據(jù)。其中敏感用戶數(shù)據(jù)是指涉及用戶隱私的數(shù)據(jù),包括用戶社交網(wǎng)絡(luò)賬號的密碼、出生日期、證件號碼、年齡、出生地、常住地等。目前各業(yè)務(wù)處理系統(tǒng)在接收到用戶發(fā)起的業(yè)務(wù)請求后,就可以讀取敏感用戶數(shù)據(jù)并提供給用戶。這樣各業(yè)務(wù)處理系統(tǒng)都可以隨意獲取敏感用戶數(shù)據(jù),容易造成敏感用戶數(shù)據(jù)的泄露,安全性低。
技術(shù)實現(xiàn)要素:
基于此,有必要針對目前的提供敏感用戶數(shù)據(jù)的方式安全性低的問題,提供一種敏感用戶數(shù)據(jù)處理系統(tǒng)和方法。
一種敏感用戶數(shù)據(jù)處理系統(tǒng),包括:統(tǒng)一外網(wǎng)接入子系統(tǒng)和數(shù)據(jù)接入子系統(tǒng);
所述統(tǒng)一外網(wǎng)接入子系統(tǒng)用于接收來自用戶端的用于獲取敏感用戶數(shù)據(jù)的業(yè)務(wù)請求,并將所述業(yè)務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的業(yè)務(wù)處理系統(tǒng);
所述數(shù)據(jù)接入子系統(tǒng)用于接收所述業(yè)務(wù)處理系統(tǒng)根據(jù)所述業(yè)務(wù)請求觸發(fā)的數(shù)據(jù)請求;根據(jù)所述數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),根據(jù)讀取的敏感用戶數(shù)據(jù)生成數(shù)據(jù)請求反饋數(shù)據(jù)并反饋給所述業(yè)務(wù)處理系統(tǒng);
所述統(tǒng)一外網(wǎng)接入子系統(tǒng)用于接收所述業(yè)務(wù)處理系統(tǒng)發(fā)送的根據(jù)所述數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù),向所述用戶端反饋所述業(yè)務(wù)反饋數(shù)據(jù)。
上述敏感用戶數(shù)據(jù)處理系統(tǒng),通過統(tǒng)一外網(wǎng)接入子系統(tǒng)來統(tǒng)一接收用戶端的業(yè)務(wù)請求,再將業(yè)務(wù)請求轉(zhuǎn)發(fā)給業(yè)務(wù)處理系統(tǒng)處理。數(shù)據(jù)接入子系統(tǒng)在接收 到業(yè)務(wù)處理系統(tǒng)處理的數(shù)據(jù)請求后,讀取敏感用戶數(shù)據(jù),生成數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)。最后再通過統(tǒng)一外網(wǎng)接入子系統(tǒng)將根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù)反饋給用戶端。這樣各業(yè)務(wù)處理系統(tǒng)不再直接接收用戶端的業(yè)務(wù)請求,且不直接向用戶端反饋業(yè)務(wù)反饋數(shù)據(jù),而是通過統(tǒng)一外網(wǎng)接入子系統(tǒng)控制用戶端與業(yè)務(wù)處理系統(tǒng)的通信,使得敏感用戶數(shù)據(jù)在處理過程中都是可控的,提高了安全性。
一種敏感用戶數(shù)據(jù)處理方法,所述方法包括:
通過統(tǒng)一外網(wǎng)接入接口接收來自用戶端的用于獲取敏感用戶數(shù)據(jù)的業(yè)務(wù)請求,并將所述業(yè)務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的業(yè)務(wù)處理系統(tǒng);
接收所述業(yè)務(wù)處理系統(tǒng)根據(jù)所述業(yè)務(wù)請求觸發(fā)的數(shù)據(jù)請求;
根據(jù)所述數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),根據(jù)讀取的敏感用戶數(shù)據(jù)生成數(shù)據(jù)請求反饋數(shù)據(jù)并反饋給所述業(yè)務(wù)處理系統(tǒng);
通過所述統(tǒng)一外網(wǎng)接入接口將所述業(yè)務(wù)處理系統(tǒng)根據(jù)所述數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù)發(fā)送給所述用戶端。
上述敏感用戶數(shù)據(jù)處理方法,通過統(tǒng)一外網(wǎng)接入接口來統(tǒng)一接收用戶端的業(yè)務(wù)請求,再將業(yè)務(wù)請求轉(zhuǎn)發(fā)給業(yè)務(wù)處理系統(tǒng)處理。在接收到業(yè)務(wù)處理系統(tǒng)處理的數(shù)據(jù)請求后,讀取敏感用戶數(shù)據(jù),生成數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)。最后再通過統(tǒng)一外網(wǎng)接入接口將根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù)反饋給用戶端。這樣各業(yè)務(wù)處理系統(tǒng)不再直接接收用戶端的業(yè)務(wù)請求,且不直接向用戶端反饋業(yè)務(wù)反饋數(shù)據(jù),而是通過統(tǒng)一外網(wǎng)接入接口控制用戶端與業(yè)務(wù)處理系統(tǒng)的通信,使得敏感用戶數(shù)據(jù)在處理過程中都是可控的,提高了安全性。
附圖說明
圖1為一個實施例中敏感用戶數(shù)據(jù)處理系統(tǒng)的應(yīng)用環(huán)境圖;
圖2為另一個實施例中敏感用戶數(shù)據(jù)處理系統(tǒng)的應(yīng)用環(huán)境圖;
圖3為一個實施例中敏感用戶數(shù)據(jù)處理方法的流程示意圖;
圖4為再一個實施例中敏感用戶數(shù)據(jù)處理系統(tǒng)的系統(tǒng)架構(gòu)環(huán)境圖。
具體實施方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
如圖1所示,在一個實施例中,提供了一種敏感用戶數(shù)據(jù)處理系統(tǒng),包括統(tǒng)一外網(wǎng)接入子系統(tǒng)102和數(shù)據(jù)接入子系統(tǒng)104。用戶端110可通過網(wǎng)絡(luò)連接到統(tǒng)一外網(wǎng)接入子系統(tǒng)102,統(tǒng)一外網(wǎng)接入子系統(tǒng)102可與業(yè)務(wù)處理系統(tǒng)120連接,業(yè)務(wù)處理系統(tǒng)120可與數(shù)據(jù)接入子系統(tǒng)104連接,數(shù)據(jù)接入子系統(tǒng)104可與數(shù)據(jù)存儲系統(tǒng)130連接。
其中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102、數(shù)據(jù)接入子系統(tǒng)104、業(yè)務(wù)處理系統(tǒng)120和數(shù)據(jù)存儲系統(tǒng)130各自可由一個或者多個物理服務(wù)器實現(xiàn)。用戶端110包括臺式計算機(jī)和移動終端,移動終端包括手機(jī)、平板電腦、智能遙控器和運動手表等。業(yè)務(wù)處理系統(tǒng)120用于具體實現(xiàn)各種業(yè)務(wù)的邏輯處理,業(yè)務(wù)處理系統(tǒng)120包括社交網(wǎng)站業(yè)務(wù)處理系統(tǒng)、即時通信業(yè)務(wù)處理系統(tǒng)、游戲業(yè)務(wù)處理系統(tǒng)、電子交易業(yè)務(wù)處理系統(tǒng)等。數(shù)據(jù)存儲系統(tǒng)130用于存儲敏感用戶數(shù)據(jù)。
統(tǒng)一外網(wǎng)接入子系統(tǒng)102用于接收來自用戶端的用于獲取敏感用戶數(shù)據(jù)的業(yè)務(wù)請求,并將業(yè)務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的業(yè)務(wù)處理系統(tǒng)120。
具體地,敏感用戶數(shù)據(jù)是指涉及用戶隱私的數(shù)據(jù),包括用戶身份資料、社交關(guān)系鏈以及用戶網(wǎng)絡(luò)行為記錄等,用戶身份資料包括用戶社交網(wǎng)絡(luò)賬號的密碼、出生日期、證件號碼、年齡、出生地以及常住地等。用戶網(wǎng)絡(luò)行為記錄包括網(wǎng)頁瀏覽記錄、網(wǎng)上購物記錄等。
統(tǒng)一外網(wǎng)接入子系統(tǒng)102用于提供統(tǒng)一外網(wǎng)接入接口,通過該統(tǒng)一外網(wǎng)接入接口接收用戶端發(fā)來的業(yè)務(wù)請求。用于獲取敏感用戶數(shù)據(jù)的業(yè)務(wù)請求,包括拉取用戶資料的請求、查詢用戶網(wǎng)絡(luò)行為記錄的業(yè)務(wù)請求、交易請求等。相應(yīng)的業(yè)務(wù)處理系統(tǒng)120是指用于處理該業(yè)務(wù)請求的業(yè)務(wù)處理系統(tǒng)120,即該業(yè)務(wù)請 求對應(yīng)的業(yè)務(wù)處理系統(tǒng)120。業(yè)務(wù)請求可攜帶有業(yè)務(wù)處理系統(tǒng)120的系統(tǒng)標(biāo)識,從而統(tǒng)一外網(wǎng)接入子系統(tǒng)102可將業(yè)務(wù)請求轉(zhuǎn)發(fā)給該業(yè)務(wù)請求攜帶的系統(tǒng)標(biāo)識所對應(yīng)的業(yè)務(wù)處理系統(tǒng)120。業(yè)務(wù)處理系統(tǒng)120用于接收統(tǒng)一外網(wǎng)接入子系統(tǒng)102所轉(zhuǎn)發(fā)的業(yè)務(wù)請求。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102可用于接收用戶端通過安全傳輸通道發(fā)來的業(yè)務(wù)請求。在一個實施例中,安全傳輸通道可以是HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,基于安全套接字層的超文本傳輸協(xié)議)通道。在一個實施例中,安全傳輸通道可以是基于SSO的傳輸通道。其中單點登錄是指在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)的方式。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102可用于將業(yè)務(wù)請求的流水號進(jìn)行上報。具體可將流水號上報到日志系統(tǒng)以記錄對應(yīng)于流水號的日志。其中流水號是單條請求的唯一標(biāo)識,可用來關(guān)聯(lián)各系統(tǒng)及子系統(tǒng)的日志記錄,方便在需要時回溯和對賬。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102與業(yè)務(wù)處理系統(tǒng)120之間的傳輸內(nèi)容經(jīng)過加密,可防止內(nèi)網(wǎng)監(jiān)聽造成數(shù)據(jù)泄露。
數(shù)據(jù)接入子系統(tǒng)104用于接收業(yè)務(wù)處理系統(tǒng)120根據(jù)業(yè)務(wù)請求觸發(fā)的數(shù)據(jù)請求;根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),根據(jù)讀取的敏感用戶數(shù)據(jù)生成數(shù)據(jù)請求反饋數(shù)據(jù)并反饋給業(yè)務(wù)處理系統(tǒng)120。
具體地,業(yè)務(wù)處理系統(tǒng)120根據(jù)業(yè)務(wù)請求觸發(fā)向數(shù)據(jù)接入子系統(tǒng)104發(fā)送數(shù)據(jù)請求,數(shù)據(jù)接入子系統(tǒng)104接收到數(shù)據(jù)請求,根據(jù)該數(shù)據(jù)請求從數(shù)據(jù)存儲系統(tǒng)130讀取相應(yīng)的敏感用戶數(shù)據(jù),根據(jù)讀取的敏感用戶數(shù)據(jù)生成數(shù)據(jù)請求反饋數(shù)據(jù)并反饋給業(yè)務(wù)處理系統(tǒng)120。其中,數(shù)據(jù)請求反饋數(shù)據(jù)是指對應(yīng)數(shù)據(jù)請求的反饋數(shù)據(jù)。
在一個實施例中,數(shù)據(jù)接入子系統(tǒng)104與業(yè)務(wù)處理系統(tǒng)120之間的傳輸內(nèi)容經(jīng)過加密,可防止內(nèi)網(wǎng)監(jiān)聽造成數(shù)據(jù)泄露。在一個實施例中,數(shù)據(jù)存儲系統(tǒng)130存儲的敏感用戶數(shù)據(jù)經(jīng)過加密。在一個實施例中,數(shù)據(jù)存儲系統(tǒng)130存儲的敏感用戶數(shù)據(jù)采用非對稱加密方式加密。具體地,數(shù)據(jù)存儲系統(tǒng)130存儲的敏 感用戶數(shù)據(jù)采用密鑰對中的公鑰進(jìn)行加密,密鑰對中的私鑰保存在用戶端110。這樣加密的敏感用戶數(shù)據(jù)只有傳輸?shù)接脩舳?10,用戶端110采用相應(yīng)的私鑰才能解密。在傳輸過程中即使發(fā)生了數(shù)據(jù)泄露,惡意用戶也無法看到具體的敏感用戶數(shù)據(jù)。
在一個實施例中,數(shù)據(jù)接入子系統(tǒng)104還用于根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),對敏感用戶數(shù)據(jù)進(jìn)行脫敏處理,將處理獲得的脫敏用戶數(shù)據(jù)作為數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)120。
具體地,脫敏處理是指減少或者去除敏感用戶數(shù)據(jù)的敏感屬性的處理,對敏感用戶數(shù)據(jù)進(jìn)行脫敏處理得到脫敏用戶數(shù)據(jù)。脫敏處理可以采用多種方式,以下做詳細(xì)說明。
在一個實施例中,數(shù)據(jù)接入子系統(tǒng)104還用于對敏感用戶數(shù)據(jù)進(jìn)行局部掩碼處理,獲得脫敏用戶數(shù)據(jù)。
具體地,掩碼處理是指用原碼與掩碼進(jìn)行經(jīng)過按位運算或邏輯運算得出新的字串的處理。局部掩碼處理則是對敏感用戶數(shù)據(jù)的局部進(jìn)行掩碼處理,剩余的保留。比如若敏感用戶數(shù)據(jù)包括18位數(shù)字的身份證號碼,則可對身份證號碼的前14位號碼做掩碼處理,僅保留最后4位,獲得的脫敏用戶數(shù)據(jù)包括經(jīng)過掩碼處理的身份證號碼。比如,若身份證號碼為123456789123456789,掩碼為00000000000000,掩碼處理后得到6789。還比如若敏感用戶數(shù)據(jù)包括11位數(shù)字的手機(jī)號碼,則可以對手機(jī)號碼從首位起的預(yù)設(shè)位數(shù)或者從末位起的預(yù)設(shè)位數(shù)進(jìn)行掩碼處理。
本實施例中,通過對敏感用戶數(shù)據(jù)進(jìn)行局部掩碼處理獲得脫敏用戶數(shù)據(jù),可以在避免敏感用戶數(shù)據(jù)被暴露,安全性高。
在一個實施例中,數(shù)據(jù)接入子系統(tǒng)104還用于對敏感用戶數(shù)據(jù)進(jìn)行局部加密處理,獲得脫敏用戶數(shù)據(jù)。
具體地,局部加密處理是指對敏感用戶數(shù)據(jù)的局部進(jìn)行加密處理。比如可以對身份證號碼的前14位進(jìn)行加密,還可以對敏感用戶數(shù)據(jù)中的關(guān)鍵字(key)進(jìn)行加密,還可以對敏感用戶數(shù)據(jù)中的敏感字段的數(shù)據(jù)進(jìn)行加密。
本實施例中,通過對敏感用戶數(shù)據(jù)進(jìn)行局部加密處理獲得脫敏用戶數(shù)據(jù), 可以在避免敏感用戶數(shù)據(jù)被暴露,安全性高。
數(shù)據(jù)接入子系統(tǒng)104還用于根據(jù)數(shù)據(jù)請求對應(yīng)的字段訪問權(quán)限,按字段從敏感用戶數(shù)據(jù)中提取數(shù)據(jù),獲得脫敏用戶數(shù)據(jù)。
具體地,傳統(tǒng)技術(shù)中拉取資料時一般返回全量數(shù)據(jù)。本實施例中,按字段劃分訪問權(quán)限,實現(xiàn)權(quán)限粒度最小化。業(yè)務(wù)處理系統(tǒng)120請求數(shù)據(jù)需要向數(shù)據(jù)接入子系統(tǒng)104申請,數(shù)據(jù)接入子系統(tǒng)104需要校驗數(shù)據(jù)請求對應(yīng)的字段訪問權(quán)限,若具有權(quán)限則從敏感用戶數(shù)據(jù)中提取相應(yīng)字段的數(shù)據(jù),獲得脫敏用戶數(shù)據(jù);若沒有權(quán)限則返回錯誤提示。
本實施例中,通過權(quán)限粒度最小化,對請求的數(shù)據(jù)進(jìn)行嚴(yán)格控制,避免請求非敏感用戶數(shù)據(jù)時一并返回敏感用戶數(shù)據(jù)的情況,安全性高。
上述實施例中對敏感用戶數(shù)據(jù)進(jìn)行局部掩碼處理、對敏感用戶數(shù)據(jù)進(jìn)行局部加密處理以及權(quán)限粒度最小化的脫敏處理方式可以根據(jù)需要任意組合。上述脫敏處理方式可以防止敏感用戶數(shù)據(jù)被濫用。
在一個實施例中,數(shù)據(jù)請求攜帶業(yè)務(wù)處理系統(tǒng)120的系統(tǒng)標(biāo)識和所請求數(shù)據(jù)的數(shù)據(jù)類型標(biāo)識;數(shù)據(jù)接入子系統(tǒng)104還用于校驗系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,校驗通過后根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù)。
具體地,業(yè)務(wù)處理系統(tǒng)120的系統(tǒng)標(biāo)識是指能夠區(qū)分業(yè)務(wù)處理系統(tǒng)120的標(biāo)識數(shù)據(jù),可以用字符串表示。數(shù)據(jù)請求所請求數(shù)據(jù)的數(shù)據(jù)類型標(biāo)識,是區(qū)分不同的敏感用戶數(shù)據(jù)的標(biāo)識,比如用戶資料、社交關(guān)系鏈以及用戶網(wǎng)絡(luò)行為記錄可以分別采用不同的數(shù)據(jù)類型標(biāo)識。
系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,表示的是該系統(tǒng)標(biāo)識對應(yīng)的業(yè)務(wù)處理系統(tǒng)120訪問該數(shù)據(jù)類型標(biāo)識對應(yīng)的數(shù)據(jù)的權(quán)限。數(shù)據(jù)接入子系統(tǒng)104還用于校驗系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,具體是校驗該系統(tǒng)標(biāo)識對應(yīng)的業(yè)務(wù)處理系統(tǒng)120是否具有訪問該數(shù)據(jù)類型標(biāo)識對應(yīng)的數(shù)據(jù)的權(quán)限。若具有權(quán)限則校驗通過,否則校驗未通過。校驗通過后根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù)。
本實施例中,通過校驗系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,保證特定的業(yè)務(wù)處理系統(tǒng)120才可以訪問特定類型的敏感用戶數(shù)據(jù),提高了安全 性。
在一個實施例中,數(shù)據(jù)請求還攜帶程序數(shù)字簽名信息;數(shù)據(jù)接入子系統(tǒng)104還用于校驗程序數(shù)字簽名信息,在對數(shù)據(jù)訪問權(quán)限以及程序數(shù)字簽名信息校驗通過后,根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù)。
具體地,數(shù)字簽名信息具有可驗證性以及難以偽造的特性,程序簽名信息是指對于特定程序的數(shù)字簽名信息,根據(jù)該程序簽名信息可以驗證相應(yīng)的程序是否具有訪問數(shù)據(jù)的權(quán)限。
本實施例中,在對數(shù)據(jù)訪問權(quán)限以及程序數(shù)字簽名信息校驗通過后,根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),可以保證特定的業(yè)務(wù)處理系統(tǒng)120上的特定程序才能夠訪問特定類型的敏感用戶數(shù)據(jù),可以克服內(nèi)部工作人員編寫惡意代碼冒充業(yè)務(wù)處理系統(tǒng)120請求敏感用戶數(shù)據(jù)的風(fēng)險。
在一個實施例中,數(shù)據(jù)接入子系統(tǒng)104還用于校驗數(shù)據(jù)請求的直接獲取敏感用戶數(shù)據(jù)的權(quán)限,校驗通過后讀取相應(yīng)的敏感用戶數(shù)據(jù)作為數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)120。
具體地,直接獲取敏感用戶數(shù)據(jù)的權(quán)限,是指直接獲取完整的敏感用戶數(shù)據(jù)的權(quán)限。考慮到在一些情況下用戶端110僅需要脫敏用戶數(shù)據(jù),比如查看好友用戶資料、查看好友社交關(guān)系鏈等。而一些情況下需要獲取完整的敏感用戶數(shù)據(jù),比如進(jìn)行身份驗證的時候,或者系統(tǒng)后臺進(jìn)行數(shù)據(jù)統(tǒng)計的時候,此時業(yè)務(wù)處理系統(tǒng)120需要向數(shù)據(jù)接入子系統(tǒng)104申請權(quán)限,數(shù)據(jù)接入子系統(tǒng)104還用于校驗數(shù)據(jù)請求相應(yīng)的權(quán)限,校驗通過后讀取相應(yīng)的敏感用戶數(shù)據(jù)作為數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)120。
本實施例中,考慮到敏感用戶數(shù)據(jù)不同的使用場景,對于需要完整的敏感用戶數(shù)據(jù)的使用場景,通過權(quán)限校驗來保證安全性。
統(tǒng)一外網(wǎng)接入子系統(tǒng)102用于接收業(yè)務(wù)處理系統(tǒng)120發(fā)送的根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù),向用戶端反饋業(yè)務(wù)反饋數(shù)據(jù)。
具體地,業(yè)務(wù)反饋數(shù)據(jù)是指對應(yīng)于業(yè)務(wù)請求的反饋數(shù)據(jù)。根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù),具體可以是將數(shù)據(jù)請求反饋數(shù)據(jù)直接作為業(yè)務(wù)反饋數(shù)據(jù),或者可以對數(shù)據(jù)請求反饋數(shù)據(jù)進(jìn)行進(jìn)一步處理得到業(yè)務(wù)反饋數(shù)據(jù)。進(jìn) 一步處理包括按照業(yè)務(wù)處理系統(tǒng)120的業(yè)務(wù)處理邏輯對數(shù)據(jù)請求反饋數(shù)據(jù)所進(jìn)行的處理。
上述敏感用戶數(shù)據(jù)處理系統(tǒng),通過統(tǒng)一外網(wǎng)接入子系統(tǒng)來統(tǒng)一接收用戶端的業(yè)務(wù)請求,再將業(yè)務(wù)請求轉(zhuǎn)發(fā)給業(yè)務(wù)處理系統(tǒng)處理。數(shù)據(jù)接入子系統(tǒng)在接收到業(yè)務(wù)處理系統(tǒng)處理的數(shù)據(jù)請求后,讀取敏感用戶數(shù)據(jù),生成數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)。最后再通過統(tǒng)一外網(wǎng)接入子系統(tǒng)將根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù)反饋給用戶端。這樣各業(yè)務(wù)處理系統(tǒng)不再直接接收用戶端的業(yè)務(wù)請求,且不直接向用戶端反饋業(yè)務(wù)反饋數(shù)據(jù),而是通過統(tǒng)一外網(wǎng)接入子系統(tǒng)控制用戶端與業(yè)務(wù)處理系統(tǒng)的通信,使得敏感用戶數(shù)據(jù)在處理過程中都是可控的,提高了安全性。
在一個實施例中,業(yè)務(wù)處理系統(tǒng)120用于與統(tǒng)一外網(wǎng)接入子系統(tǒng)102或者數(shù)據(jù)接入子系統(tǒng)104通過數(shù)據(jù)包傳輸數(shù)據(jù);且在發(fā)送數(shù)據(jù)時,對發(fā)送的數(shù)據(jù)進(jìn)行組包并加密后生成數(shù)據(jù)包發(fā)送出去;在接收到數(shù)據(jù)包時,對接收的數(shù)據(jù)包進(jìn)行解密和解包后獲得數(shù)據(jù)內(nèi)容。其中,發(fā)送數(shù)據(jù)是指業(yè)務(wù)處理系統(tǒng)120向統(tǒng)一外網(wǎng)接入子系統(tǒng)102或者數(shù)據(jù)接入子系統(tǒng)104發(fā)送數(shù)據(jù),接收數(shù)據(jù)包則是指接收統(tǒng)一外網(wǎng)接入子系統(tǒng)102或者數(shù)據(jù)接入子系統(tǒng)104發(fā)來的數(shù)據(jù)包。解包和組包互為逆過程,組包可以將需要傳輸?shù)臄?shù)據(jù)組裝成適合傳輸?shù)臄?shù)據(jù)包。加密和解密可以采用事先約定的加密和解密算法。
在一個實施例中,業(yè)務(wù)處理系統(tǒng)120可用于上報所處理的請求的日志到日志系統(tǒng),上報的日志可用于回溯和對賬。所處理的請求包括業(yè)務(wù)請求和數(shù)據(jù)請求。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102還用于接收來自用戶端的登錄請求并驗證,驗證通過后接收來自用戶端的攜帶有效的已登錄狀態(tài)信息的業(yè)務(wù)請求;數(shù)據(jù)接入子系統(tǒng)104還用于校驗數(shù)據(jù)請求是否攜帶有效的已登錄狀態(tài)信息,校驗通過后根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù)。
具體地,用戶端110可獲取用戶賬號和用戶密碼,并生成攜帶有用戶賬號和用戶密碼的登錄請求,將登錄請求發(fā)送給統(tǒng)一外網(wǎng)接入子系統(tǒng)102。統(tǒng)一外網(wǎng)接入子系統(tǒng)102可直接從數(shù)據(jù)存儲系統(tǒng)130讀取相應(yīng)的用戶賬號所對應(yīng)的用戶 密碼,通過比較登錄請求中的用戶密碼和讀取到的用戶密碼對登錄請求進(jìn)行驗證。對登錄請求驗證通過后統(tǒng)一外網(wǎng)接入子系統(tǒng)102向用戶端110返回有效的已登錄狀態(tài)信息,用戶端110后續(xù)發(fā)出的業(yè)務(wù)請求攜帶有效的已登錄狀態(tài)信息。
已登錄狀態(tài)信息用于表示用戶端110處于已登錄的狀態(tài),有效的已登錄狀態(tài)信息是指該已登錄狀態(tài)信息本身是有效的。具體已登錄狀態(tài)信息包括有效期限,若當(dāng)前時間在該有效期限之內(nèi),則該已登錄狀態(tài)信息是有效的;若當(dāng)前時間超出了該有效期限,則該已登錄狀態(tài)信息是無效的。
業(yè)務(wù)處理系統(tǒng)120根據(jù)業(yè)務(wù)請求觸發(fā)數(shù)據(jù)請求時,將業(yè)務(wù)請求攜帶的有效的已登錄狀態(tài)信息傳遞給數(shù)據(jù)請求。數(shù)據(jù)接入子系統(tǒng)104校驗數(shù)據(jù)請求是否攜帶有效的已登錄狀態(tài)信息,在核實用戶身份的前提下才提供敏感用戶數(shù)據(jù),可以防止敏感用戶數(shù)據(jù)被惡意獲取。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102可用于根據(jù)登錄請求和業(yè)務(wù)請求的流水號進(jìn)行上報。具體可將流水號上報到日志系統(tǒng)以記錄對應(yīng)于流水號的日志。其中流水號是單條請求的唯一標(biāo)識,可用來關(guān)聯(lián)各系統(tǒng)及子系統(tǒng)的日志記錄,方便在需要時回溯和對賬。
如圖2所示,在一個實施例中,敏感用戶數(shù)據(jù)處理系統(tǒng)還包括安全旁路子系統(tǒng)106,與統(tǒng)一外網(wǎng)接入子系統(tǒng)102、數(shù)據(jù)接入子系統(tǒng)104和數(shù)據(jù)存儲系統(tǒng)130分別連接。安全旁路子系統(tǒng)106是敏感用戶數(shù)據(jù)處理系統(tǒng)中在統(tǒng)一外網(wǎng)接入子系統(tǒng)102和數(shù)據(jù)接入子系統(tǒng)104的基礎(chǔ)上,附加的用于保證安全性的子系統(tǒng)。安全旁路子系統(tǒng)106可用于為敏感用戶數(shù)據(jù)處理系統(tǒng)提供實時保護(hù)。
在一個實施例中,安全旁路子系統(tǒng)106用于獲取統(tǒng)一外網(wǎng)接入子系統(tǒng)102接收到的業(yè)務(wù)請求并進(jìn)行安全檢測,當(dāng)檢測到業(yè)務(wù)請求為惡意請求時,通知統(tǒng)一外網(wǎng)接入子系統(tǒng)102拒絕業(yè)務(wù)請求。
具體地,統(tǒng)一外網(wǎng)接入子系統(tǒng)102在接收到業(yè)務(wù)請求后,可轉(zhuǎn)發(fā)一份給安全旁路子系統(tǒng)106。安全旁路子系統(tǒng)106可以采用多種安全檢測手段對業(yè)務(wù)請求進(jìn)行安全檢測,比如檢測用戶端110對應(yīng)的用戶標(biāo)識是否屬于惡意用戶標(biāo)識列表中,若是則屬于惡意請求;或者檢測業(yè)務(wù)請求是否包含惡意代碼,若是則屬于惡意請求;或者檢測業(yè)務(wù)請求是否攜帶有效的已登錄狀態(tài)信息,若否則屬于 惡意請求。安全旁路子系統(tǒng)106通知統(tǒng)一外網(wǎng)接入子系統(tǒng)102拒絕業(yè)務(wù)請求,可以保證敏感用戶數(shù)據(jù)處理系統(tǒng)在處理敏感用戶數(shù)據(jù)時的安全。
在一個實施例中,安全旁路子系統(tǒng)106用于統(tǒng)計統(tǒng)一外網(wǎng)接入子系統(tǒng)102接收到的業(yè)務(wù)請求,并統(tǒng)計數(shù)據(jù)接入子系統(tǒng)104所接收到的數(shù)據(jù)請求;比對統(tǒng)計的業(yè)務(wù)請求和統(tǒng)計的數(shù)據(jù)請求,根據(jù)比對結(jié)果判斷業(yè)務(wù)處理系統(tǒng)120是否緩存敏感用戶數(shù)據(jù)。
具體地,業(yè)務(wù)處理系統(tǒng)120可能會緩存敏感用戶數(shù)據(jù),這樣業(yè)務(wù)處理系統(tǒng)120就可以繞過數(shù)據(jù)接入子系統(tǒng)104向用戶端110提供敏感用戶數(shù)據(jù),但這樣容易造成敏感用戶數(shù)據(jù)的泄露,存在安全風(fēng)險。每個用于請求敏感用戶數(shù)據(jù)的業(yè)務(wù)請求都應(yīng)當(dāng)通過數(shù)據(jù)接入子系統(tǒng)104從數(shù)據(jù)存儲系統(tǒng)130讀取敏感用戶數(shù)據(jù),這里通過統(tǒng)計業(yè)務(wù)請求以及數(shù)據(jù)請求進(jìn)行比對,若存在不對應(yīng)的情況,則說明業(yè)務(wù)處理系統(tǒng)120很可能緩存了敏感用戶數(shù)據(jù),此對比的過程稱為對賬審計。比對統(tǒng)計的業(yè)務(wù)請求和統(tǒng)計的數(shù)據(jù)請求,包括比對統(tǒng)計的業(yè)務(wù)請求的次數(shù)和統(tǒng)計的數(shù)據(jù)請求的次數(shù),還可以包括比對業(yè)務(wù)請求中的關(guān)鍵字(key)和數(shù)據(jù)請求中的關(guān)鍵字(key)是否一致。安全旁路子系統(tǒng)106可用于在判定業(yè)務(wù)處理系統(tǒng)120緩存了敏感用戶數(shù)據(jù)后,向相應(yīng)的業(yè)務(wù)處理系統(tǒng)120發(fā)送警告,或者對該業(yè)務(wù)處理系統(tǒng)120的訪問權(quán)限進(jìn)行限制。
在一個實施例中,安全旁路子系統(tǒng)106用于根據(jù)用戶端110發(fā)送的業(yè)務(wù)請求判斷用戶端110是否符合批量獲取敏感用戶數(shù)據(jù)行為特征,若符合則對用戶端110發(fā)送的業(yè)務(wù)請求進(jìn)行權(quán)限限制。
具體地,批量拉取敏感用戶數(shù)據(jù),容易造成敏感用戶數(shù)據(jù)的泄露,這里通過判斷用戶端110是否符合批量獲取敏感用戶數(shù)據(jù)行為特征,檢測出批量獲取敏感用戶數(shù)據(jù)的行為,從而對該用戶端110的業(yè)務(wù)請求進(jìn)行權(quán)限限制。
其中,批量獲取敏感用戶數(shù)據(jù)行為特征包括用戶端110在單位時間段內(nèi)業(yè)務(wù)請求的數(shù)量超過預(yù)設(shè)閾值,還包括用戶端110對應(yīng)的網(wǎng)絡(luò)地址段在單位時間段內(nèi)業(yè)務(wù)請求的數(shù)量超過預(yù)設(shè)閾值。
對用戶端110發(fā)送的業(yè)務(wù)請求進(jìn)行權(quán)限限制,包括對用戶端110在單位時間段內(nèi)超出預(yù)設(shè)閾值的數(shù)量的業(yè)務(wù)請求拒絕處理或者延遲處理,還包括在判定 符合批量獲取敏感用戶數(shù)據(jù)行為特征后在預(yù)設(shè)時長內(nèi)拒絕處理用戶端110發(fā)送的業(yè)務(wù)請求。
在一個實施例中,安全旁路子系統(tǒng)106還用于對業(yè)務(wù)處理系統(tǒng)120的權(quán)限報備進(jìn)行審計。其中權(quán)限報備是指業(yè)務(wù)處理系統(tǒng)120在特定條件下,在不具備有效的已登錄狀態(tài)信息的情況下,可以在上報并登記后獲得獲取敏感用戶數(shù)據(jù)的權(quán)限。這里的特定條件包括信任的業(yè)務(wù)處理系統(tǒng)120在系統(tǒng)后臺對敏感用戶數(shù)據(jù)進(jìn)行統(tǒng)計。通過對權(quán)限報備進(jìn)行審計,簡稱報備審計,可以防止權(quán)限報備被濫用。
如圖3所示,在一個實施例中,提供了一種敏感用戶數(shù)據(jù)處理方法,本實施例以該方法應(yīng)用于上述圖1和圖2中的敏感用戶數(shù)據(jù)處理系統(tǒng)來舉例說明。參照圖4,統(tǒng)一外網(wǎng)接入子系統(tǒng)102構(gòu)成統(tǒng)一外網(wǎng)接入層,業(yè)務(wù)處理系統(tǒng)120構(gòu)成業(yè)務(wù)邏輯層,數(shù)據(jù)接入子系統(tǒng)104構(gòu)成數(shù)據(jù)接入層,安全旁路子系統(tǒng)106實現(xiàn)安全旁路的功能。該方法具體包括如下步驟:
步驟302,通過統(tǒng)一外網(wǎng)接入接口接收來自用戶端的用于獲取敏感用戶數(shù)據(jù)的業(yè)務(wù)請求,并將業(yè)務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的業(yè)務(wù)處理系統(tǒng)。
具體地,敏感用戶數(shù)據(jù)是指涉及用戶隱私的數(shù)據(jù),包括用戶身份資料、社交關(guān)系鏈以及用戶網(wǎng)絡(luò)行為記錄等,用戶身份資料包括用戶社交網(wǎng)絡(luò)賬號的密碼、出生日期、證件號碼、年齡、出生地以及常住地等。用戶網(wǎng)絡(luò)行為記錄包括網(wǎng)頁瀏覽記錄、網(wǎng)上購物記錄等。
統(tǒng)一外網(wǎng)接入子系統(tǒng)102提供用戶端110與統(tǒng)一外網(wǎng)接入子系統(tǒng)102交互的統(tǒng)一外網(wǎng)接入接口(API1),提供統(tǒng)一外網(wǎng)接入子系統(tǒng)102與業(yè)務(wù)處理系統(tǒng)120交互的業(yè)務(wù)處理接口(API2),提供業(yè)務(wù)處理系統(tǒng)120與數(shù)據(jù)接入子系統(tǒng)104交互的數(shù)據(jù)接入接口(API3)。
統(tǒng)一外網(wǎng)接入子系統(tǒng)102通過該統(tǒng)一外網(wǎng)接入接口接收用戶端發(fā)來的業(yè)務(wù)請求。用于獲取敏感用戶數(shù)據(jù)的業(yè)務(wù)請求,包括拉取用戶資料的請求、查詢用戶網(wǎng)絡(luò)行為記錄的業(yè)務(wù)請求、交易請求等。相應(yīng)的業(yè)務(wù)處理系統(tǒng)120是指用于處理該業(yè)務(wù)請求的業(yè)務(wù)處理系統(tǒng)120,即該業(yè)務(wù)請求對應(yīng)的業(yè)務(wù)處理系統(tǒng)120。 業(yè)務(wù)請求可攜帶有業(yè)務(wù)處理系統(tǒng)120的系統(tǒng)標(biāo)識,從而統(tǒng)一外網(wǎng)接入子系統(tǒng)102可將業(yè)務(wù)請求轉(zhuǎn)發(fā)給該業(yè)務(wù)請求攜帶的系統(tǒng)標(biāo)識所對應(yīng)的業(yè)務(wù)處理系統(tǒng)120。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102可用于接收用戶端通過安全傳輸通道發(fā)來的業(yè)務(wù)請求。在一個實施例中,安全傳輸通道可以是HTTPS通道。在一個實施例中,安全傳輸通道可以是基于SSO的傳輸通道。其中單點登錄是指在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)的方式。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102可將業(yè)務(wù)請求的流水號進(jìn)行上報。具體可將流水號上報到日志系統(tǒng)以記錄對應(yīng)于流水號的日志。其中流水號是單條請求的唯一標(biāo)識,可用來關(guān)聯(lián)各系統(tǒng)及子系統(tǒng)的日志記錄,方便在需要時回溯和對賬。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102與業(yè)務(wù)處理系統(tǒng)120之間的傳輸內(nèi)容經(jīng)過加密,可防止內(nèi)網(wǎng)監(jiān)聽造成數(shù)據(jù)泄露。
步驟304,接收業(yè)務(wù)處理系統(tǒng)根據(jù)業(yè)務(wù)請求觸發(fā)的數(shù)據(jù)請求。
步驟306,根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),根據(jù)讀取的敏感用戶數(shù)據(jù)生成數(shù)據(jù)請求反饋數(shù)據(jù)并反饋給業(yè)務(wù)處理系統(tǒng)。
具體地,業(yè)務(wù)處理系統(tǒng)120根據(jù)業(yè)務(wù)請求觸發(fā)向數(shù)據(jù)接入子系統(tǒng)104發(fā)送數(shù)據(jù)請求,數(shù)據(jù)接入子系統(tǒng)104接收到數(shù)據(jù)請求,根據(jù)該數(shù)據(jù)請求從數(shù)據(jù)存儲系統(tǒng)130讀取相應(yīng)的敏感用戶數(shù)據(jù),根據(jù)讀取的敏感用戶數(shù)據(jù)生成數(shù)據(jù)請求反饋數(shù)據(jù)并反饋給業(yè)務(wù)處理系統(tǒng)120。其中,數(shù)據(jù)請求反饋數(shù)據(jù)是指對應(yīng)數(shù)據(jù)請求的反饋數(shù)據(jù)。
在一個實施例中,數(shù)據(jù)接入子系統(tǒng)104與業(yè)務(wù)處理系統(tǒng)120之間的傳輸內(nèi)容經(jīng)過加密,可防止內(nèi)網(wǎng)監(jiān)聽造成數(shù)據(jù)泄露。在一個實施例中,數(shù)據(jù)存儲系統(tǒng)130存儲的敏感用戶數(shù)據(jù)經(jīng)過加密。在一個實施例中,數(shù)據(jù)存儲系統(tǒng)130存儲的敏感用戶數(shù)據(jù)采用非對稱加密方式加密。具體地,數(shù)據(jù)存儲系統(tǒng)130存儲的敏感用戶數(shù)據(jù)采用密鑰對中的公鑰進(jìn)行加密,密鑰對中的私鑰保存在用戶端110。這樣加密的敏感用戶數(shù)據(jù)只有傳輸?shù)接脩舳?10,用戶端110采用相應(yīng)的私鑰才能解密。在傳輸過程中即使發(fā)生了數(shù)據(jù)泄露,惡意用戶也無法看到具體的敏感 用戶數(shù)據(jù)。
在一個實施例中,步驟306包括:根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),對敏感用戶數(shù)據(jù)進(jìn)行脫敏處理,將處理獲得的脫敏用戶數(shù)據(jù)作為數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)。
具體地,脫敏處理是指減少或者去除敏感用戶數(shù)據(jù)的敏感屬性的處理,對敏感用戶數(shù)據(jù)進(jìn)行脫敏處理得到脫敏用戶數(shù)據(jù)。脫敏處理可以采用多種方式,以下做詳細(xì)說明。
在一個實施例中,對敏感用戶數(shù)據(jù)進(jìn)行脫敏處理,包括:對敏感用戶數(shù)據(jù)進(jìn)行局部掩碼處理,獲得脫敏用戶數(shù)據(jù)。
具體地,掩碼處理是指用原碼與掩碼進(jìn)行經(jīng)過按位運算或邏輯運算得出新的字串的處理。局部掩碼處理則是對敏感用戶數(shù)據(jù)的局部進(jìn)行掩碼處理,剩余的保留。比如若敏感用戶數(shù)據(jù)包括18位數(shù)字的身份證號碼,則可對身份證號碼的前14位號碼做掩碼處理,僅保留最后4位,獲得的脫敏用戶數(shù)據(jù)包括經(jīng)過掩碼處理的身份證號碼。比如,若身份證號碼為123456789123456789,掩碼為00000000000000,掩碼處理后得到6789。還比如若敏感用戶數(shù)據(jù)包括11位數(shù)字的手機(jī)號碼,則可以對手機(jī)號碼從首位起的預(yù)設(shè)位數(shù)或者從末位起的預(yù)設(shè)位數(shù)進(jìn)行掩碼處理。
本實施例中,通過對敏感用戶數(shù)據(jù)進(jìn)行局部掩碼處理獲得脫敏用戶數(shù)據(jù),可以在避免敏感用戶數(shù)據(jù)被暴露,安全性高。
在一個實施例中,對敏感用戶數(shù)據(jù)進(jìn)行脫敏處理,包括:對敏感用戶數(shù)據(jù)進(jìn)行局部加密處理,獲得脫敏用戶數(shù)據(jù)。
具體地,局部加密處理是指對敏感用戶數(shù)據(jù)的局部進(jìn)行加密處理。比如可以對身份證號碼的前14位進(jìn)行加密,還可以對敏感用戶數(shù)據(jù)中的關(guān)鍵字(key)進(jìn)行加密,還可以對敏感用戶數(shù)據(jù)中的敏感字段的數(shù)據(jù)進(jìn)行加密。
本實施例中,通過對敏感用戶數(shù)據(jù)進(jìn)行局部加密處理獲得脫敏用戶數(shù)據(jù),可以在避免敏感用戶數(shù)據(jù)被暴露,安全性高。
在一個實施例中,對敏感用戶數(shù)據(jù)進(jìn)行脫敏處理,包括:根據(jù)數(shù)據(jù)請求對應(yīng)的字段訪問權(quán)限,按字段從敏感用戶數(shù)據(jù)中提取數(shù)據(jù),獲得脫敏用戶數(shù)據(jù)。
具體地,傳統(tǒng)技術(shù)中拉取資料時一般返回全量數(shù)據(jù)。本實施例中,按字段劃分訪問權(quán)限,實現(xiàn)權(quán)限粒度最小化。業(yè)務(wù)處理系統(tǒng)120請求數(shù)據(jù)需要向數(shù)據(jù)接入子系統(tǒng)104申請,數(shù)據(jù)接入子系統(tǒng)104需要校驗數(shù)據(jù)請求對應(yīng)的字段訪問權(quán)限,若具有權(quán)限則從敏感用戶數(shù)據(jù)中提取相應(yīng)字段的數(shù)據(jù),獲得脫敏用戶數(shù)據(jù);若沒有權(quán)限則返回錯誤提示。
本實施例中,通過權(quán)限粒度最小化,對請求的數(shù)據(jù)進(jìn)行嚴(yán)格控制,避免請求非敏感用戶數(shù)據(jù)時一并返回敏感用戶數(shù)據(jù)的情況,安全性高。
上述實施例中對敏感用戶數(shù)據(jù)進(jìn)行局部掩碼處理、對敏感用戶數(shù)據(jù)進(jìn)行局部加密處理以及權(quán)限粒度最小化的脫敏處理方式可以根據(jù)需要任意組合。上述脫敏處理方式可以防止敏感用戶數(shù)據(jù)被濫用。
在一個實施例中,步驟306包括:校驗數(shù)據(jù)請求的直接獲取敏感用戶數(shù)據(jù)的權(quán)限,校驗通過后讀取相應(yīng)的敏感用戶數(shù)據(jù)作為數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)。
具體地,直接獲取敏感用戶數(shù)據(jù)的權(quán)限,是指直接獲取完整的敏感用戶數(shù)據(jù)的權(quán)限??紤]到在一些情況下用戶端110僅需要脫敏用戶數(shù)據(jù),比如查看好友用戶資料、查看好友社交關(guān)系鏈等。而一些情況下需要獲取完整的敏感用戶數(shù)據(jù),比如進(jìn)行身份驗證的時候,或者系統(tǒng)后臺進(jìn)行數(shù)據(jù)統(tǒng)計的時候,此時業(yè)務(wù)處理系統(tǒng)120需要向數(shù)據(jù)接入子系統(tǒng)104申請權(quán)限,數(shù)據(jù)接入子系統(tǒng)104校驗數(shù)據(jù)請求相應(yīng)的權(quán)限,校驗通過后讀取相應(yīng)的敏感用戶數(shù)據(jù)作為數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)120。
本實施例中,考慮到敏感用戶數(shù)據(jù)不同的使用場景,對于需要完整的敏感用戶數(shù)據(jù)的使用場景,通過權(quán)限校驗來保證安全性。
步驟308,通過統(tǒng)一外網(wǎng)接入接口將業(yè)務(wù)處理系統(tǒng)根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù)發(fā)送給用戶端。
具體地,業(yè)務(wù)反饋數(shù)據(jù)是指對應(yīng)于業(yè)務(wù)請求的反饋數(shù)據(jù)。根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù),具體可以是將數(shù)據(jù)請求反饋數(shù)據(jù)直接作為業(yè)務(wù)反饋數(shù)據(jù),或者可以對數(shù)據(jù)請求反饋數(shù)據(jù)進(jìn)行進(jìn)一步處理得到業(yè)務(wù)反饋數(shù)據(jù)。進(jìn)一步處理包括按照業(yè)務(wù)處理系統(tǒng)120的業(yè)務(wù)處理邏輯對數(shù)據(jù)請求反饋數(shù)據(jù)所進(jìn) 行的處理。統(tǒng)一外網(wǎng)接入子系統(tǒng)102通過提供的統(tǒng)一外網(wǎng)接入接口向用戶端反饋業(yè)務(wù)反饋數(shù)據(jù)。
上述敏感用戶數(shù)據(jù)處理方法,通過統(tǒng)一外網(wǎng)接入接口來統(tǒng)一接收用戶端的業(yè)務(wù)請求,再將業(yè)務(wù)請求轉(zhuǎn)發(fā)給業(yè)務(wù)處理系統(tǒng)處理。在接收到業(yè)務(wù)處理系統(tǒng)處理的數(shù)據(jù)請求后,讀取敏感用戶數(shù)據(jù),生成數(shù)據(jù)請求反饋數(shù)據(jù)反饋給業(yè)務(wù)處理系統(tǒng)。最后再通過統(tǒng)一外網(wǎng)接入接口將根據(jù)數(shù)據(jù)請求反饋數(shù)據(jù)生成的業(yè)務(wù)反饋數(shù)據(jù)反饋給用戶端。這樣各業(yè)務(wù)處理系統(tǒng)不再直接接收用戶端的業(yè)務(wù)請求,且不直接向用戶端反饋業(yè)務(wù)反饋數(shù)據(jù),而是通過統(tǒng)一外網(wǎng)接入接口控制用戶端與業(yè)務(wù)處理系統(tǒng)的通信,使得敏感用戶數(shù)據(jù)在處理過程中都是可控的,提高了安全性。
在一個實施例中,該敏感用戶數(shù)據(jù)處理方法還包括:業(yè)務(wù)處理系統(tǒng)120通過數(shù)據(jù)包傳輸數(shù)據(jù);且在發(fā)送數(shù)據(jù)時,對發(fā)送的數(shù)據(jù)進(jìn)行組包并加密后生成數(shù)據(jù)包發(fā)送出去;在接收到數(shù)據(jù)包時,對接收的數(shù)據(jù)包進(jìn)行解密和解包后獲得數(shù)據(jù)內(nèi)容。具體地,業(yè)務(wù)處理系統(tǒng)120與統(tǒng)一外網(wǎng)接入子系統(tǒng)102或者數(shù)據(jù)接入子系統(tǒng)104通過數(shù)據(jù)包傳輸數(shù)據(jù)。
在一個實施例中,業(yè)務(wù)處理系統(tǒng)120可上報所處理的請求的日志到日志系統(tǒng),上報的日志可用于回溯和對賬。所處理的請求包括業(yè)務(wù)請求和數(shù)據(jù)請求。
在一個實施例中,該敏感用戶數(shù)據(jù)處理方法還包括:通過統(tǒng)一外網(wǎng)接入接口接收來自用戶端的登錄請求并驗證,驗證通過后接收來自用戶端的攜帶有效的已登錄狀態(tài)信息的業(yè)務(wù)請求。步驟304之后,還包括:校驗數(shù)據(jù)請求是否攜帶有效的已登錄狀態(tài)信息,校驗通過后執(zhí)行步驟306。
具體地,用戶端110可獲取用戶賬號和用戶密碼,并生成攜帶有用戶賬號和用戶密碼的登錄請求,將登錄請求發(fā)送給統(tǒng)一外網(wǎng)接入子系統(tǒng)102。統(tǒng)一外網(wǎng)接入子系統(tǒng)102可直接從數(shù)據(jù)存儲系統(tǒng)130讀取相應(yīng)的用戶賬號所對應(yīng)的用戶密碼,通過比較登錄請求中的用戶密碼和讀取到的用戶密碼對登錄請求進(jìn)行驗證。對登錄請求驗證通過后統(tǒng)一外網(wǎng)接入子系統(tǒng)102向用戶端110返回有效的已登錄狀態(tài)信息,用戶端110后續(xù)發(fā)出的業(yè)務(wù)請求攜帶有效的已登錄狀態(tài)信息。
已登錄狀態(tài)信息用于表示用戶端110處于已登錄的狀態(tài),有效的已登錄狀 態(tài)信息是指該已登錄狀態(tài)信息本身是有效的。具體已登錄狀態(tài)信息包括有效期限,若當(dāng)前時間在該有效期限之內(nèi),則該已登錄狀態(tài)信息是有效的;若當(dāng)前時間超出了該有效期限,則該已登錄狀態(tài)信息是無效的。
業(yè)務(wù)處理系統(tǒng)120根據(jù)業(yè)務(wù)請求觸發(fā)數(shù)據(jù)請求時,將業(yè)務(wù)請求攜帶的有效的已登錄狀態(tài)信息傳遞給數(shù)據(jù)請求。數(shù)據(jù)接入子系統(tǒng)104校驗數(shù)據(jù)請求是否攜帶有效的已登錄狀態(tài)信息,在核實用戶身份的前提下才提供敏感用戶數(shù)據(jù),可以防止敏感用戶數(shù)據(jù)被惡意獲取。
在一個實施例中,統(tǒng)一外網(wǎng)接入子系統(tǒng)102可根據(jù)登錄請求和業(yè)務(wù)請求的流水號進(jìn)行上報。具體可將流水號上報到日志系統(tǒng)以記錄對應(yīng)于流水號的日志。其中流水號是單條請求的唯一標(biāo)識,可用來關(guān)聯(lián)各系統(tǒng)及子系統(tǒng)的日志記錄,方便在需要時回溯和對賬。
在一個實施例中,數(shù)據(jù)請求攜帶業(yè)務(wù)處理系統(tǒng)的系統(tǒng)標(biāo)識和所請求數(shù)據(jù)的數(shù)據(jù)類型標(biāo)識;該敏感用戶數(shù)據(jù)處理方法還包括:校驗系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,校驗通過后執(zhí)行步驟306。
具體地,業(yè)務(wù)處理系統(tǒng)120的系統(tǒng)標(biāo)識是指能夠區(qū)分業(yè)務(wù)處理系統(tǒng)120的標(biāo)識數(shù)據(jù),可以用字符串表示。數(shù)據(jù)請求所請求數(shù)據(jù)的數(shù)據(jù)類型標(biāo)識,是區(qū)分不同的敏感用戶數(shù)據(jù)的標(biāo)識,比如用戶資料、社交關(guān)系鏈以及用戶網(wǎng)絡(luò)行為記錄可以分別采用不同的數(shù)據(jù)類型標(biāo)識。
系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,表示的是該系統(tǒng)標(biāo)識對應(yīng)的業(yè)務(wù)處理系統(tǒng)120訪問該數(shù)據(jù)類型標(biāo)識對應(yīng)的數(shù)據(jù)的權(quán)限。數(shù)據(jù)接入子系統(tǒng)104校驗系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,具體是校驗該系統(tǒng)標(biāo)識對應(yīng)的業(yè)務(wù)處理系統(tǒng)120是否具有訪問該數(shù)據(jù)類型標(biāo)識對應(yīng)的數(shù)據(jù)的權(quán)限。若具有權(quán)限則校驗通過,否則校驗未通過。校驗通過后根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù)。
本實施例中,通過校驗系統(tǒng)標(biāo)識對應(yīng)于數(shù)據(jù)類型標(biāo)識的數(shù)據(jù)訪問權(quán)限,保證特定的業(yè)務(wù)處理系統(tǒng)120才可以訪問特定類型的敏感用戶數(shù)據(jù),提高了安全性。
在一個實施例中,數(shù)據(jù)請求還攜帶程序數(shù)字簽名信息;該敏感用戶數(shù)據(jù)處 理方法還包括:校驗程序數(shù)字簽名信息,在對數(shù)據(jù)訪問權(quán)限以及程序數(shù)字簽名信息校驗通過后,執(zhí)行步驟306。
具體地,數(shù)字簽名信息具有可驗證性以及難以偽造的特性,程序簽名信息是指對于特定程序的數(shù)字簽名信息,根據(jù)該程序簽名信息可以驗證相應(yīng)的程序是否具有訪問數(shù)據(jù)的權(quán)限。
本實施例中,在對數(shù)據(jù)訪問權(quán)限以及程序數(shù)字簽名信息校驗通過后,根據(jù)數(shù)據(jù)請求讀取相應(yīng)的敏感用戶數(shù)據(jù),可以保證特定的業(yè)務(wù)處理系統(tǒng)120上的特定程序才能夠訪問特定類型的敏感用戶數(shù)據(jù),可以克服內(nèi)部工作人員編寫惡意代碼冒充業(yè)務(wù)處理系統(tǒng)120請求敏感用戶數(shù)據(jù)的風(fēng)險。
在一個實施例中,該敏感用戶數(shù)據(jù)處理方法還包括:獲取通過統(tǒng)一外網(wǎng)接入接口接收到的業(yè)務(wù)請求并進(jìn)行安全檢測,當(dāng)檢測到業(yè)務(wù)請求為惡意請求時,拒絕用戶端的業(yè)務(wù)請求。
具體地,統(tǒng)一外網(wǎng)接入子系統(tǒng)102在接收到業(yè)務(wù)請求后,可轉(zhuǎn)發(fā)一份給安全旁路子系統(tǒng)106。安全旁路子系統(tǒng)106可以采用多種安全檢測手段對業(yè)務(wù)請求進(jìn)行安全檢測,比如檢測用戶端110對應(yīng)的用戶標(biāo)識是否屬于惡意用戶標(biāo)識列表中,若是則屬于惡意請求;或者檢測業(yè)務(wù)請求是否包含惡意代碼,若是則屬于惡意請求;或者檢測業(yè)務(wù)請求是否攜帶有效的已登錄狀態(tài)信息,若否則屬于惡意請求。安全旁路子系統(tǒng)106通知統(tǒng)一外網(wǎng)接入子系統(tǒng)102拒絕業(yè)務(wù)請求,可以保證敏感用戶數(shù)據(jù)處理系統(tǒng)在處理敏感用戶數(shù)據(jù)時的安全。
在一個實施例中,該敏感用戶數(shù)據(jù)處理方法還包括:統(tǒng)計通過統(tǒng)一外網(wǎng)接入接口接收到的業(yè)務(wù)請求,并統(tǒng)計通過統(tǒng)一外網(wǎng)接入接口接收到的數(shù)據(jù)請求;比對統(tǒng)計的業(yè)務(wù)請求和統(tǒng)計的數(shù)據(jù)請求,根據(jù)比對結(jié)果判斷業(yè)務(wù)處理系統(tǒng)是否緩存敏感用戶數(shù)據(jù)。
具體地,業(yè)務(wù)處理系統(tǒng)120可能會緩存敏感用戶數(shù)據(jù),這樣業(yè)務(wù)處理系統(tǒng)120就可以繞過數(shù)據(jù)接入子系統(tǒng)104向用戶端110提供敏感用戶數(shù)據(jù),但這樣容易造成敏感用戶數(shù)據(jù)的泄露,存在安全風(fēng)險。每個用于請求敏感用戶數(shù)據(jù)的業(yè)務(wù)請求都應(yīng)當(dāng)通過數(shù)據(jù)接入子系統(tǒng)104從數(shù)據(jù)存儲系統(tǒng)130讀取敏感用戶數(shù)據(jù),這里通過統(tǒng)計業(yè)務(wù)請求以及數(shù)據(jù)請求進(jìn)行比對,若存在不對應(yīng)的情況,則說明 業(yè)務(wù)處理系統(tǒng)120很可能緩存了敏感用戶數(shù)據(jù),此對比的過程稱為對賬審計。比對統(tǒng)計的業(yè)務(wù)請求和統(tǒng)計的數(shù)據(jù)請求,包括比對統(tǒng)計的業(yè)務(wù)請求的次數(shù)和統(tǒng)計的數(shù)據(jù)請求的次數(shù),還可以包括比對業(yè)務(wù)請求中的關(guān)鍵字(key)和數(shù)據(jù)請求中的關(guān)鍵字(key)是否一致。安全旁路子系統(tǒng)106可在判定業(yè)務(wù)處理系統(tǒng)120緩存了敏感用戶數(shù)據(jù)后,向相應(yīng)的業(yè)務(wù)處理系統(tǒng)120發(fā)送警告,或者對該業(yè)務(wù)處理系統(tǒng)120的訪問權(quán)限進(jìn)行限制。
在一個實施例中,該敏感用戶數(shù)據(jù)處理方法還包括:根據(jù)用戶端發(fā)送的業(yè)務(wù)請求判斷用戶端是否符合批量獲取敏感用戶數(shù)據(jù)行為特征,若符合則對用戶端發(fā)送的業(yè)務(wù)請求進(jìn)行權(quán)限限制。
具體地,批量拉取敏感用戶數(shù)據(jù),容易造成敏感用戶數(shù)據(jù)的泄露,這里通過判斷用戶端110是否符合批量獲取敏感用戶數(shù)據(jù)行為特征,檢測出批量獲取敏感用戶數(shù)據(jù)的行為,從而對該用戶端110的業(yè)務(wù)請求進(jìn)行權(quán)限限制。
其中,批量獲取敏感用戶數(shù)據(jù)行為特征包括用戶端110在單位時間段內(nèi)業(yè)務(wù)請求的數(shù)量超過預(yù)設(shè)閾值,還包括用戶端110對應(yīng)的網(wǎng)絡(luò)地址段在單位時間段內(nèi)業(yè)務(wù)請求的數(shù)量超過預(yù)設(shè)閾值。
對用戶端110發(fā)送的業(yè)務(wù)請求進(jìn)行權(quán)限限制,包括對用戶端110在單位時間段內(nèi)超出預(yù)設(shè)閾值的數(shù)量的業(yè)務(wù)請求拒絕處理或者延遲處理,還包括在判定符合批量獲取敏感用戶數(shù)據(jù)行為特征后在預(yù)設(shè)時長內(nèi)拒絕處理用戶端110發(fā)送的業(yè)務(wù)請求。
在一個實施例中,安全旁路子系統(tǒng)106對業(yè)務(wù)處理系統(tǒng)120的權(quán)限報備進(jìn)行審計。其中權(quán)限報備是指業(yè)務(wù)處理系統(tǒng)120在特定條件下,在不具備有效的已登錄狀態(tài)信息的情況下,可以在上報并登記后獲得獲取敏感用戶數(shù)據(jù)的權(quán)限。這里的特定條件包括信任的業(yè)務(wù)處理系統(tǒng)120在系統(tǒng)后臺對敏感用戶數(shù)據(jù)進(jìn)行統(tǒng)計。通過對權(quán)限報備進(jìn)行審計,簡稱報備審計,可以防止權(quán)限報備被濫用。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。 其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory,ROM)等非易失性存儲介質(zhì),或隨機(jī)存儲記憶體(Random Access Memory,RAM)等。
以上所述實施例的各技術(shù)特征可以進(jìn)行任意的組合,為使描述簡潔,未對上述實施例中的各個技術(shù)特征所有可能的組合都進(jìn)行描述,然而,只要這些技術(shù)特征的組合不存在矛盾,都應(yīng)當(dāng)認(rèn)為是本說明書記載的范圍。
以上所述實施例僅表達(dá)了本發(fā)明的幾種實施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。