一種物流大數據信息安全訪問控制系統的製作方法

2023-05-02 06:24:31

本發明涉及一種物流大數據信息安全訪問控制系統，屬於大數據安全信息訪問控制技術領域。

背景技術：

郵政業務與每個人的生活息息相關。隨著「電商」時代的到來，線上購物、線下配送的消費模式逐漸成為百姓消費的主旋律，各種郵件、快遞層出不窮，人們對郵政服務的依賴程度與日俱增，與此同時郵政業務在服務質量、服務可靠性等方面正面臨著前所未有的挑戰。傳統郵政業務在各個服務環節都存在諸多隱患。寄件耗時長、丟包率居高不下、無法實時追蹤等問題層出不窮，行業內各物流企業服務質量參差不齊，針對這些問題，郵政部門、各相關企業以及物流客戶紛紛呼籲物流業務的信息化管理，與此同時，研發人員嘗試運用大數據、物聯網等尖端技術對郵政服務進行改造，提出了一系列智能化、信息化的解決方案，郵件信息的整合和服務平臺隨之應運而生，使得線上郵寄申請、快件跟蹤等服務初步成型。

線上物流平臺的誕生基本實現了物流信息化管理，不僅為物流公司提供質量分析、客戶群體分析、決策制定方面的技術支持，也為客戶實時跟蹤物流狀態創造了便利，為物流行業的監管提供了強有力的數據支撐。但值得注意的是，物流數據包含了姓名、地址、電話號碼、寄送線路等相當多的敏感信息，使得各方不得不對平臺的信息安全產生擔憂。這樣的擔憂不無道理，2007年著名管理服務提供商salesforce被惡意訪問者攻擊導致百萬的訂閱者郵件和導致信息洩露。

目前多數平臺缺乏對物流數據安全性，以及不同用戶群實際需求和服務權限的考量。因此相當一部分平臺正遭受著非授權用戶非法接入敏感數據的威脅，甚至有可能造成平臺客戶的財產損失。因此，為了保證智能化、信息化平臺的正常使用，確保企業、私人用戶等客戶的數據安全，同時保障平臺對郵政業務的合理監督，有必要設計符合物流信息整合和服務平臺需求的訪問控制系統。

傳統的dac方法允許主體針對訪問資源的用戶來設定訪問控制權限，具有很大的靈活性，但該方案的訪問權限可以進行傳遞，一旦傳遞出去之後很難進行控制；另一方面dac不能保護客體產生的副本。mac方法賦予所有主體和客體以特定的標籤來標識所在的安全級別，當主體訪問客體時，強制根據主體的安全級別以及訪問方式來確定主體是否對客體進行訪問。mac很多時候增加了不可迴避的訪問限制，影響了系統的靈活性。

rbac方法部分解決了dac和mac存在的問題，通過在主體和客體之間增加角色管理來確定訪問權限。rbac系統只對角色進行認證，訪問者與角色之間是多對多映射，這種映射便於系統的授權管理。然而rbac對用戶的角色指派需要許多步驟，角色級別越高授權步驟越多，因此會加重安全管理員的工作量；另一方面rbac定義的操作權限都是模塊級別的，對於數據級別的操作相對疲軟，無法勝任更加細粒度的訪問控制任務。2012年wang等人提出了將任務與rbac結合的t-rbac，雲伺服器在授權管理任務中充當傳遞訪問請求的可信中間人，使得訪問控制不完全依賴於雲伺服器的可信度，同時減輕了用戶的授權負擔，但仍然存在細粒度和可擴展性方面的問題。

2016年西安電子科技大學申報了《一種基於屬性加密的政務雲訪問控制方法》的專利，方案提出由數據上傳者根據文件的密級制定訪問控制策略，籤名後將文件加密上傳，訪問者發出數據訪問請求並試圖最終解密密文。該解決了行政辦公系統中的用戶安全認證以及細粒度訪問控制問題，但是一方面由於訪問控制策略由數據上傳者自己制定，在海量數據管理上難免會造成安全密級的混亂；另一方面，屬性加密算法在加密大文件時的時間複雜度和計算複雜度都不容樂觀，因此所有文件全部經過屬性加密上傳會導致系統的可用性不高。同年北京郵電大學申報了《一種雲環境下基於屬性密碼的數字虛擬資產訪問控制方法》的專利，解決了雲環境下數字虛擬資產的保護問題。雖然該方案採用了外包解密的方法，但從系統的整體計算開銷角度，也無法避免上述的兩方面問題。

技術實現要素：

本發明所要解決的技術問題是提供一種能夠提高訪問效率，有效保證數據安全性的物流大數據信息安全訪問控制系統

本發明為了解決上述技術問題採用以下技術方案：本發明設計了一種物流大數據信息安全訪問控制系統，包括相互通信的信息檢索模塊和郵件信息整合服務終端；其中，郵件信息整合服務終端包括物流大數據智能感知系統、物流大數據服務中心存儲模塊、物流大數據服務訪問控制策略系統和物流大數據服務訪問控制執行模塊；其中，物流大數據服務訪問控制執行模塊中包括快速加密密鑰模塊、訪問策略加載模塊和校驗模塊；物流大數據服務中心存儲模塊包括結構化處理模塊、物流大數據快速加密模塊和存儲模塊；其中：

物流大數據智能感知系統用於接收來自物流各個階段的物流信息，並針對各條物流信息進行語義識別，然後按預設隱私等級針對各個語義識別結果進行隱私等級的標記；

物流大數據服務中心存儲模塊中的結構化處理模塊，用於接收來自物流大數據智能感知系統的處理結果數據，並進行結構化處理，獲得各條結構化物流信息；

物流大數據服務訪問控制執行模塊中的快速加密密鑰模塊，用於為結構化處理模塊所處理獲得的各條結構化物流信息，分別提供快速加密密鑰；

物流大數據服務中心存儲模塊中的物流大數據快速加密模塊，根據來自快速加密密鑰模塊所提供的快速加密密鑰，針對來自結構化處理模塊的各條結構化物流信息進行加密操作，獲得各條加密結構化物流信息；

信息檢索模塊用於接收來自執行數據查詢的註冊用戶終端的數據查詢指令，並生成檢索式；

物流大數據服務中心存儲模塊中的存儲模塊，用於針對來自物流大數據快速加密模塊的各條加密結構化物流信息進行存儲；以及用於根據信息檢索模塊所生成的檢索式，進行查找各條目標物流信息；

物流大數據服務訪問控制策略系統，用於根據預設註冊用戶終端訪問策略規則，針對由存儲模塊據檢索式所查找的各條目標物流信息，結合該各條目標物流信息分別對應的隱私等級，生成該各條目標物流信息所共同對應的訪問控制策略，並根據該訪問控制策略生成對應的公鑰；以及用於分別針對系統各個註冊用戶終端，根據註冊用戶終端的屬性集合生成其所對應的個人密鑰；

物流大數據服務訪問控制執行模塊中的快速加密密鑰模塊，還用於提供對應於存儲模塊據檢索式所查找的各條目標物流信息的快速加密密鑰；

物流大數據服務訪問控制執行模塊中的訪問策略加載模塊，用於接收、並採用物流大數據服務訪問控制策略系統所生成對應於存儲模塊據檢索式所查找目標物流信息的公鑰，針對快速加密密鑰模塊所提供對應於存儲模塊據檢索式所查找目標物流信息的快速加密密鑰進行加密，獲得密鑰加密結果；

物流大數據服務訪問控制執行模塊中的校驗模塊，用於接收來自存儲模塊據檢索式所查找的目標物流信息，以及訪問策略加載模塊所提供的密鑰加密結果，並生成相對應的校驗碼，並將該目標物流信息、校驗碼和密鑰加密結果經信息檢索模塊發送給執行數據查詢的註冊用戶終端；

註冊用戶終端，根據校驗碼去判斷所接收數據的完整性，並根據執行數據查詢的註冊用戶所對應的個人密鑰針對密鑰加密結果進行解密，解密成功則獲得目標物流信息的快速加密密鑰，再由該快速加密密鑰針對目標物流信息進行解密，獲得真實目標查詢數據；與之相應，若針對密鑰加密結果進行解密失敗，則執行數據查詢的註冊用戶無權限獲取所查詢物流數據。

作為本發明的一種優選技術方案：所述物流大數據智能感知系統包括分別對應於物流各個階段的信息採集源端與相應的感知節點，以及語義識別模塊，其中，對應於物流各個階段的各個信息採集源端分別與對應的感知節點相連接，各個感知節點均與語義識別模塊相連接；對應於物流各個階段的信息採集源端、感知節點依次工作，採集獲得對應物流階段的物流信息；語義識別模塊接收各個物流階段的物流信息，並針對各條物流信息進行語義識別，然後按預設隱私等級針對各個語義識別結果進行隱私等級的標記，最後語義識別模塊將處理結果數據發送給所述物流大數據服務中心存儲模塊中的結構化處理模塊。

作為本發明的一種優選技術方案：所述物流大數據服務訪問控制策略系統包括物流服務參與者屬性註冊機構、訪問策略制定模塊和訪問密鑰發布模塊，其中，物流服務參與者屬性註冊機構和訪問策略制定模塊分別與訪問密鑰發布模塊相通信；物流服務參與者屬性註冊機構用於存儲系統所有各個註冊用戶的屬性集，以及基於各個註冊用戶的的屬性集，生成、並存儲各個註冊用戶分別所對應的個人密鑰；訪問策略制定模塊用於存儲預設註冊用戶終端訪問策略規則，以及根據預設註冊用戶終端訪問策略規則，針對由存儲模塊據檢索式所查找的各條目標物流信息，結合該各條目標物流信息分別對應的隱私等級，生成該各條目標物流信息所共同對應的訪問控制策略；訪問密鑰發布模塊用於將當前執行數據查詢的註冊用戶的個人密鑰，轉發給當前的註冊用戶終端；以及根據訪問策略制定模塊所提供的該訪問控制策略生成對應的公鑰，並發送給所述物流大數據服務訪問控制執行模塊中的訪問策略加載模塊。

作為本發明的一種優選技術方案：所述物流大數據服務中心存儲模塊中的存儲模塊包括至少兩個存儲節點，來自所述物流大數據快速加密模塊的各條加密結構化物流信息存儲於各個存儲節點上。

作為本發明的一種優選技術方案：還包括緩存伺服器，所述物流大數據服務訪問控制執行模塊中的校驗模塊與緩存伺服器相通信，校驗模塊將該目標物流信息、校驗碼和密鑰加密結果經信息檢索模塊發送給緩存伺服器，再由緩存伺服器將上述數據經信息檢索模塊發送給執行數據查詢的註冊用戶終端。

本發明所述一種物流大數據信息安全訪問控制系統採用以上技術方案與現有技術相比，具有以下技術效果：本發明設計的一種物流大數據信息安全訪問控制系統，通過對郵件寄送信息大數據進行加密，並嚴格控制用戶地訪問，從而保證郵件寄送信息大數據地安全存儲和接入；其中，所有郵件信息大數據均經過結構化處理，並存儲在數據中心，對應每一個郵件的詳細信息均被打上不同級別的安全標籤，有利於有效控制用戶對隱私數據的訪問；而且本發明設計方案將所有訪問者的身份模糊化，用一組屬性來表示其身份信息，同時基於屬性加密，實現對加密郵件寄送信息大數據的訪問控制機制，訪問策略更加靈活、粒度更新，對系統的可擴展性支持也更好。並且針對其中的加密算法，設計採用tea加密算法對郵件寄送數據進行加密，算法安全性相當好而且計算快速，保障了訪問控制的安全性和高效性。

附圖說明

圖1是本發明所設計一種物流大數據信息安全訪問控制系統的架構示意圖。

具體實施方式

下面結合說明書附圖對本發明的具體實施方式作進一步詳細的說明。

如圖1所示，本發明設計了一種物流大數據信息安全訪問控制系統，在實際的應用過程當中，包括相互通信的信息檢索模塊和郵件信息整合服務終端；其中，郵件信息整合服務終端包括物流大數據智能感知系統、物流大數據服務中心存儲模塊、物流大數據服務訪問控制策略系統、物流大數據服務訪問控制執行模塊和緩存伺服器；其中，物流大數據服務訪問控制執行模塊中包括快速加密密鑰模塊、訪問策略加載模塊和校驗模塊；物流大數據服務中心存儲模塊包括結構化處理模塊、物流大數據快速加密模塊和存儲模塊。

物流大數據智能感知系統用於接收來自物流各個階段的物流信息，並針對各條物流信息進行語義識別，然後按預設隱私等級針對各個語義識別結果進行隱私等級的標記；在實際應用中，針對物流大數據智能感知系統具體來講，進一步具體設計物流大數據智能感知系統包括分別對應於物流各個階段的信息採集源端與相應的感知節點，以及語義識別模塊，其中，對應於物流各個階段的各個信息採集源端分別與對應的感知節點相連接，各個感知節點均與語義識別模塊相連接；對應於物流各個階段的信息採集源端、感知節點依次工作，採集獲得對應物流階段的物流信息；語義識別模塊接收各個物流階段的物流信息，並針對各條物流信息進行語義識別，然後按預設隱私等級針對各個語義識別結果進行隱私等級的標記，最後語義識別模塊將處理結果數據發送給所述物流大數據服務中心存儲模塊中的結構化處理模塊。

物流大數據服務中心存儲模塊中的結構化處理模塊，用於接收來自物流大數據智能感知系統的處理結果數據，並進行結構化處理，獲得各條結構化物流信息。

物流大數據服務訪問控制執行模塊中的快速加密密鑰模塊，用於為結構化處理模塊所處理獲得的各條結構化物流信息，分別提供快速加密密鑰。

物流大數據服務中心存儲模塊中的物流大數據快速加密模塊，根據來自快速加密密鑰模塊所提供的快速加密密鑰，針對來自結構化處理模塊的各條結構化物流信息進行加密操作，獲得各條加密結構化物流信息。

信息檢索模塊用於接收來自執行數據查詢的註冊用戶終端的數據查詢指令，並生成檢索式。

物流大數據服務中心存儲模塊中的存儲模塊，用於針對來自物流大數據快速加密模塊的各條加密結構化物流信息進行存儲；以及用於根據信息檢索模塊所生成的檢索式，進行查找各條目標物流信息；實際應用中，進一步具體設計物流大數據服務中心存儲模塊中的存儲模塊包括至少兩個存儲節點，來自所述物流大數據快速加密模塊的各條加密結構化物流信息存儲於各個存儲節點上。

物流大數據服務訪問控制策略系統，用於根據預設註冊用戶終端訪問策略規則，針對由存儲模塊據檢索式所查找的各條目標物流信息，結合該各條目標物流信息分別對應的隱私等級，生成該各條目標物流信息所共同對應的訪問控制策略，並根據該訪問控制策略生成對應的公鑰；以及用於分別針對系統各個註冊用戶終端，根據註冊用戶終端的屬性集合生成其所對應的個人密鑰；在實際應用當中，針對物流大數據服務訪問控制策略系統，我們進一步具體設計物流大數據服務訪問控制策略系統包括物流服務參與者屬性註冊機構、訪問策略制定模塊和訪問密鑰發布模塊，其中，物流服務參與者屬性註冊機構和訪問策略制定模塊分別與訪問密鑰發布模塊相通信；物流服務參與者屬性註冊機構用於存儲系統所有各個註冊用戶的屬性集，以及基於各個註冊用戶的的屬性集，生成、並存儲各個註冊用戶分別所對應的個人密鑰；訪問策略制定模塊用於存儲預設註冊用戶終端訪問策略規則，以及根據預設註冊用戶終端訪問策略規則，針對由存儲模塊據檢索式所查找的各條目標物流信息，結合該各條目標物流信息分別對應的隱私等級，生成該各條目標物流信息所共同對應的訪問控制策略；訪問密鑰發布模塊用於將當前執行數據查詢的註冊用戶的個人密鑰，轉發給當前的註冊用戶終端；以及根據訪問策略制定模塊所提供的該訪問控制策略生成對應的公鑰，並發送給所述物流大數據服務訪問控制執行模塊中的訪問策略加載模塊。

物流大數據服務訪問控制執行模塊中的快速加密密鑰模塊，還用於提供對應於存儲模塊據檢索式所查找的各條目標物流信息的快速加密密鑰。

物流大數據服務訪問控制執行模塊中的訪問策略加載模塊，用於接收、並採用物流大數據服務訪問控制策略系統所生成對應於存儲模塊據檢索式所查找目標物流信息的公鑰，針對快速加密密鑰模塊所提供對應於存儲模塊據檢索式所查找目標物流信息的快速加密密鑰進行加密，獲得密鑰加密結果。

物流大數據服務訪問控制執行模塊中的校驗模塊，用於接收來自存儲模塊據檢索式所查找的目標物流信息，以及訪問策略加載模塊所提供的密鑰加密結果，並生成相對應的校驗碼，並將該目標物流信息、校驗碼和密鑰加密結果經信息檢索模塊發送給執行數據查詢的註冊用戶終端。

註冊用戶終端，根據校驗碼去判斷所接收數據的完整性，並根據執行數據查詢的註冊用戶所對應的個人密鑰針對密鑰加密結果進行解密，解密成功則獲得目標物流信息的快速加密密鑰，再由該快速加密密鑰針對目標物流信息進行解密，獲得真實目標查詢數據；與之相應，若針對密鑰加密結果進行解密失敗，則執行數據查詢的註冊用戶無權限獲取所查詢物流數據。在實際的應用當中，註冊用戶終端基於物流大數據應用為載體，並配合物流大數據服務接口實現，註冊用戶通過物流大數據應用完成數據的查詢操作，即通過註冊用戶終端進行操作，自然信息檢索模塊同樣通過物流大數據應用為載體去應用。

對於緩存伺服器，所述物流大數據服務訪問控制執行模塊中的校驗模塊與緩存伺服器相通信，校驗模塊將該目標物流信息、校驗碼和密鑰加密結果經信息檢索模塊發送給緩存伺服器，再由緩存伺服器將上述數據經信息檢索模塊發送給執行數據查詢的註冊用戶終端。

上述所設計物流大數據信息安全訪問控制系統，在實際應用操作中，物流各個階段的工作人員分別將物流更新信息上傳至通過物流大數據智能感知系統中，物流大數據智能感知系統中分別對應於物流各個階段的信息採集源端接收對應物流更新信息，並分別發送給對應感知節點，最後發送至物流大數據智能感知系統中的語義識別模塊，語義識別模塊接收各個物流階段的物流信息，並針對各條物流信息進行語義識別，然後按預設隱私等級，針對各個語義識別結果進行隱私等級的標記，最後語義識別模塊將處理結果數據發送給所述物流大數據服務中心存儲模塊中的結構化處理模塊；物流大數據服務中心存儲模塊中的結構化處理模塊接收來自物流大數據智能感知系統的處理結果數據，並進行結構化處理，獲得各條結構化物流信息；物流大數據服務中心存儲模塊中的物流大數據快速加密模塊，根據來自快速加密密鑰模塊所提供的快速加密密鑰，針對來自結構化處理模塊的各條結構化物流信息進行加密操作，獲得各條加密結構化物流信息；最後將各條加密結構化物流信息存儲於物流大數據服務中心存儲模塊中的各個存儲節點上。由此通過上述操作完成針對更新物流信息的存儲。

基於物流信息的存儲，系統註冊用戶可以向系統進行數據查詢，本專利申請文件設計了基於用戶屬性信息的數據查詢方式，具體為：註冊用戶通過物流大數據應用向信息檢索模塊發送數據查詢指令，由信息檢索模塊根據數據查詢指令生成檢索式；物流大數據服務中心存儲模塊中的存儲模塊根據信息檢索模塊所生成的檢索式，進行查找各條目標物流信息，並發送給物流大數據服務訪問控制執行模塊中的校驗模塊；物流大數據服務訪問控制策略系統中的訪問策略制定模塊根據預設註冊用戶終端訪問策略規則，針對由存儲模塊據檢索式所查找的各條目標物流信息，結合該各條目標物流信息分別對應的隱私等級，生成該各條目標物流信息所共同對應的訪問控制策略，並發送給訪問密鑰發布模塊，訪問密鑰發布模塊根據訪問策略制定模塊所提供的該訪問控制策略生成對應的公鑰，並發送給所述物流大數據服務訪問控制執行模塊中的訪問策略加載模塊；訪問策略加載模塊採用所接收到的公鑰，針對由快速加密密鑰模塊所提供對應於存儲模塊據檢索式所查找的各條目標物流信息的快速加密密鑰進行加密，獲得密鑰加密結果，並發送給物流大數據服務訪問控制執行模塊中的校驗模塊；實際的加密過程，採用tea加密方式進行加密；基於上述設計，校驗模塊接收來自存儲模塊據檢索式所查找的目標物流信息，以及訪問策略加載模塊所提供的密鑰加密結果，並生成相對應的校驗碼，將該目標物流信息、校驗碼和密鑰加密結果經信息檢索模塊發送給緩存伺服器，再由緩存伺服器將上述數據經信息檢索模塊發送給執行數據查詢的註冊用戶終端；註冊用戶終端，根據校驗碼去判斷所接收數據的完整性，並根據執行數據查詢的註冊用戶所對應的個人密鑰針對密鑰加密結果進行解密，解密成功則獲得目標物流信息的快速加密密鑰，再由該快速加密密鑰針對目標物流信息進行解密，獲得真實目標查詢數據；與之相應，若針對密鑰加密結果進行解密失敗，則執行數據查詢的註冊用戶無權限獲取所查詢物流數據。

本發明將大數據郵件信息進行結構化處理，每一個郵件的所有信息都按照「常規」、「保密」、「敏感」等分級打上安全標籤，保證了數據級別的安全訪問控制，同時也便於數據中心的存儲、數據搜索等管理操作。所有訪問者的身份均由一系列屬性構成的集合來描述，這一模糊化的處理方法便於構造基於屬性的訪問控制機制，不但能實現對加密數據的嚴格訪問，而且訪問策略靈活性好，對訪問者的識別粒度更細，保證了系統的安全性、靈活性、可擴展性。本發明根據數據標籤表示的類型，對不同的數據塊採用不同的tea密鑰進行加密，安全性好而且實現快速，迭代次數可控，進一步保證了系統的存取安全和存取效率針。

上面結合附圖對本發明的實施方式作了詳細說明，但是本發明並不限於上述實施方式，在本領域普通技術人員所具備的知識範圍內，還可以在不脫離本發明宗旨的前提下做出各種變化。