[发明专利]一种用于管控中心向集中管控传输数据的加密方法

说明书

本发明公开了一种用于管控中心向集中管控传输数据的加密方法。该方法包括管控中心生成一对公钥和主密钥，根据主密钥为每个集中管控的属性生成私钥，对集中管控的若干属性赋值后分别嵌入至相应的私钥中，管控中心将嵌有赋值后的属性的私钥分发到所属的集中管控中，管控中心生成访问策略，管控中心使用公钥和访问策略对目标数据进行加密并分别发送到各个集中管控中，集中管控采用其私钥进行解密操作，解密过程中，集中管控首先对比其私钥中被嵌入的赋值后的属性是否满足访问策略，是，则进一步解密出所述目标数据，否则，终止本次解密操作。本发明解决了管控中心向多个集中管控传输数据的数据隐私和数据敏感性的问题。

技术领域

本发明涉及数据加密传输技术领域，具体涉及一种用于管控中心向集中管控传输数据的加密方法。

背景技术

网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行，是企业一切市场经营活动和正常运作的基础。

当前，企业的网络及信息系统都不同程度地部署了各种不同的集中管控的设备，有效地提高了劳动生产率，降低了运营成本，已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面，因为一旦网络及各业务系统出现安全事件或故障，如果不能及时发现、及时处理、及时恢复，这势必直接影响承载在其上所有业务的运行，影响企业的正常运营秩序，涉及到客户的系统将直接导致用户投诉，满意度下降，企业形象受到损害，对于企业网络的安全保障就显得格外重要。另一方面，现代的高级网络威胁，尤其是多阶段的网络攻击，例如，Stuxnet，利用了企业之间的相互依赖性，网络攻击者侵入了多个企业，将它们被用作到达目标的垫脚石。因此，为了应对这类威胁，多个企业之间需要一种协同机制来保护其业务，这种机制不完全使用从本企业采集的信息，而是另外还要采集其它企业共享或公开的相关观察结果，加以分析，及时披露此类网络攻击和迅速部署缓减策略等，并作出快速协同和协同反应。快速协同和协同反应是减轻网络威胁影响到越来越多的企业和/或减轻网络威胁进一步地在多个企业之间传播和连锁影响的关键；但是，现有的集中管控，仅负责本企业范围内的安全运维与管理服务。集中管控之间是相互隔离和孤立的，没有任何的联系。

由于各种网络攻击技术也变得越来越先进，越来越普及化，企业的网络系统面临着随时被攻击的危险，经常遭受不同程度的入侵和破坏，严重干扰了企业网络的正常运行；日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护，不断追求多层次、立体化的安全防御体系。建设集中管控中心，采用跨越企业边界的安全措施来预防、检测和应对网络威胁，消除或缩减攻击所造成的损失，尽一切可能来保护企业网络及业务系统正常运营。

集中管控中心使得已有的各个集中管控不再是孤岛。以集中管控中心为中央节点而各个集中管控为边缘节点的网络拓扑构成了一个星型的网络结构。集中管控中心接收多个集中管控发送过来的采集数据、多个集中管控共享的战略信息和公开的网络情报信息等，并进行分析，评估所获得的跨企业边界的网络攻击，一旦分析和评估结束，将向各个集中管控发布威胁信息与缓减策略、建议或早期警告等。

集中管控中心需要与各个集中管控之间交换信息，例如，威胁信息和缓减策略等；另一方面，传输这些数据时，要解决数据隐私和敏感性的问题。也就是说，当集中管控中心向各个集中管控传输加密数据时，必须建立一种特定的访问控制策略，以确定谁可以解密数据，或者说，以确定哪些集中管控能够解密数据。

然而，在不同的集中管控之间共享的数据可能包含敏感数据，需要保护这些数据不受未经授权的访问。对于传统的公钥加密系统，需要为每个能够访问数据的用户加密数据。每当新用户想要访问加密的数据时，有权访问数据的用户之一就需要使用新用户的密钥加密数据。

发明内容

本发明的目的是针对现有技术存在的不足，提供一种用于管控中心向集中管控传输数据的加密方法。

为实现上述目的，本发明提供了一种用于管控中心向集中管控传输数据的加密方法，应用在管控中心向多个集中管控发送数据中，包括：

所述管控中心生成一对公钥和主密钥；