[发明专利]一种适用私有加密通信的敏感数据阻断方法和系统

权利要求书

1.一种适用私有加密通信的敏感数据阻断方法，应用于第一通信主体，其特征在于，包括：

获取所述第一通信主体发送给第二通信主体的明文数据；

判断所述明文数据中是否包含敏感数据；

如果所述明文数据中包含敏感数据，则根据所述敏感数据封装通知报文，所述通知报文用于从所述明文数据中定位所述敏感数据，并且所述通知报文早于所述敏感数据到达所述第一通信主体对应的第一网关；

将所述通知报文发送给所述第一网关，所述第一网关用于根据所述通知报文生成阻断策略，并根据所述阻断策略对所述敏感数据进行网关阻断；

其中，所述获取所述第一通信主体发送给第二通信主体的明文数据，包括：

启动内部的监听进程；

根据所述监听进程获取所述第一通信主体发送给第二通信主体的明文数据。

2.根据权利要求1所述的敏感数据阻断方法，其特征在于，所述根据所述敏感数据封装通知报文，包括：

获取敏感数据包的信息，所述敏感数据包为原始发包序列中包含所述敏感数据的原始数据包，所述原始发包序列为所述明文数据被加密并进入所述第一通信主体对应的TCP/UDP传输层后，被分装成的多个按照预设的发包逻辑进行传输的原始数据包；

将所述敏感数据包的信息确定为通知报文中选项字段的携带信息；

将所述通知报文中URG控制位的值设置为1。

3.根据权利要求2所述的敏感数据阻断方法，其特征在于，所述敏感数据包的信息包括所述敏感数据包在所述原始发包序列中的序号、通信源端口、通信目的端口和目的IP地址。

4.根据权利要求1所述的敏感数据阻断方法，其特征在于，所述判断所述明文数据中是否包含敏感数据，包括：

利用关键词匹配技术，将所述明文数据与预设的关键字索引进行匹配；

如果所述明文数据与所述关键字索引相匹配，则将符合所述关键字索引的数据确定为敏感数据。

5.根据权利要求1所述的敏感数据阻断方法，其特征在于，在启动内部的监听进程之后，所述敏感数据阻断方法还包括：

将所述监听进程在所述第一通信主体中的处理优先级调节至最高。

6.一种适用私有加密通信的敏感数据阻断方法，应用于第一通信主体对应的第一网关，其特征在于，包括：

接收通知报文，所述通知报文用于从明文数据中定位敏感数据，并且所述通知报文早于所述敏感数据到达所述第一网关；所述通知报文是由所述第一通信主体发送的；

根据所述通知报文生成阻断策略；

根据所述阻断策略，对所述敏感数据进行网关阻断。

7.根据权利要求6所述的敏感数据阻断方法，其特征在于，所述根据所述通知报文生成阻断策略，包括：

根据所述通知报文，获取敏感数据包的信息，所述敏感数据包为原始发包序列中包含所述敏感数据的原始数据包，所述原始发包序列为所述明文数据被加密并进入所述第一通信主体对应的TCP/UDP传输层后，被分装成的多个按照预设的发包逻辑进行传输的原始数据包；

根据所述敏感数据包的信息，生成阻断策略，所述阻断策略用于指示在所述敏感数据包到达时，对所述敏感数据包进行阻断。

8.根据权利要求7所述的敏感数据阻断方法，其特征在于，所述敏感数据包的信息包括所述敏感数据包在所述原始发包序列中的序号、通信源端口、通信目的端口和目的IP地址。

9.一种适用私有加密通信的敏感数据阻断系统，其特征在于，包括第一通信主体以及所述第一通信主体对应的第一网关；

所述第一通信主体被配置为执行以下步骤：

获取所述第一通信主体发送给第二通信主体的明文数据；

判断所述明文数据中是否包含敏感数据；

如果所述明文数据中包含敏感数据，则根据所述敏感数据封装通知报文，所述通知报文用于从所述明文数据中定位所述敏感数据，并且所述通知报文早于所述敏感数据到达所述第一网关；

将所述通知报文发送给所述第一网关；

其中，所述获取所述第一通信主体发送给第二通信主体的明文数据，包括：

启动内部的监听进程；

根据所述监听进程获取所述第一通信主体发送给第二通信主体的明文数据；

所述第一网关被配置为执行以下步骤：

接收所述通知报文；

根据所述通知报文生成阻断策略；

根据所述阻断策略，对所述敏感数据进行网关阻断。