[发明专利]一种适用私有加密通信的敏感数据阻断方法和系统

说明书

本申请提供一种适用私有加密通信的敏感数据阻断方法和系统。所述方法包括：第一通信主体获取发送给第二通信主体的明文数据，并在明文数据中包含敏感数据的情况下，根据敏感数据封装通知报文，并将通知报文发送给对应的第一网关，其中，通知报文用于从明文数据中定位敏感数据，并且通知报文早于敏感数据到达第一网关。整个方法通过发送时延小于敏感数据的通知报文来通知第一网关对敏感数据进行网关阻断，使得敏感数据的阻断不受加密方式是否提前知悉的局限，也无需修改加密后数据的发包逻辑，进而不会造成信息泄露，也不会影响通信进程，因此在适用私有加密通信的同时，也可以较好地适用标准加密通信，简单且高效。

技术领域

本申请涉及计算机技术领域，特别涉及一种适用私有加密通信的敏感数据阻断方法和系统。

背景技术

互联网的诞生极大地方便了互联网中各个通信主体之间的信息交互，为了提高信息交互的安全性，信息交互已经从早期的明文通信发展为现阶段的加密通信。加密通信是指利用特定的加密方法对传输信息进行加密，从而减小信息泄露的风险，根据加密方法的不同，加密通信可以分为标准加密通信和私有加密通信。由于传输信息中的敏感数据会对网络安全造成不利影响，因此需要对敏感数据进行阻断。

对加密信息中的敏感数据进行阻断，通常可以采用中间代理的方式，即在两个通信主体之间设置代理主体，代理主体获取第一通信主体发送的TCP（Transport ControlProtocol，传输控制协议）/UDP（User Data Protocol，用户数据报协议）传输层中的加密信息，按照与加密信息的加密方式相匹配的解密方式对加密信息进行解密，从解密信息中确定敏感数据，并将敏感数据去除后，将剩余信息按照与原先相同的加密方式进行加密后，再发送给第二通信主体中的TCP/UDP传输层，最终到达第二通信主体，如此完成第一通信主体与第二通信主体之间传输的加密信息中敏感数据的阻断。

由于标准加密通信的加密方式都是通用标准所规定的，而私有加密通信的加密方式只有通信主体和设计通信进程的厂商了解，代理主体无法获知，因此，上述敏感数据阻断方法仅能适用标准加密通信完成敏感数据阻断，无法适用私有加密通信。

发明内容

本申请提供了一种适用私有加密通信的敏感数据阻断方法和系统，可用于解决现有敏感数据阻断方法仅能适用标准加密通信完成敏感数据阻断，无法适用私有加密通信的技术问题。

第一方面，本申请实施例提供一种适用私有加密通信的敏感数据阻断方法，应用于第一通信主体，包括：

获取所述第一通信主体发送给第二通信主体的明文数据；

判断所述明文数据中是否包含敏感数据；

如果所述明文数据中包含敏感数据，则根据所述敏感数据封装通知报文，所述通知报文用于从所述明文数据中定位所述敏感数据，并且所述通知报文早于所述敏感数据到达所述第一通信主体对应的第一网关；

将所述通知报文发送给所述第一网关，所述第一网关用于根据所述通知报文生成阻断策略，并根据所述阻断策略对所述敏感数据进行网关阻断。

结合第一方面，在第一方面的一种可实现方式中，所述根据所述敏感数据封装通知报文，包括：

获取敏感数据包的信息，所述敏感数据包为原始发包序列中包含所述敏感数据的原始数据包，所述原始发包序列为所述明文数据被加密并进入所述第一通信主体对应的TCP/UDP传输层后，被分装成的多个按照预设的发包逻辑进行传输的原始数据包；

将所述敏感数据包的信息确定为通知报文中选项字段的携带信息；

将所述通知报文中URG控制位的值设置为1。

结合第一方面，在第一方面的一种可实现方式中，所述敏感数据包的信息包括所述敏感数据包在所述原始发包序列中的序号、通信源端口、通信目的端口和目的IP地址。