(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111567465.1 (22)申请日 2021.12.20 (71)申请人 上海颜硕信息科技有限公司 地址 201100 上海市闵行区外环路3 52号 108室 (72)发明人 完新说　马正鲍　谢富国　陈剑航　 喻广融　付豪　 (74)专利代理 机构 上海江沪专利代理事务所 (普通合伙) 31446 代理人 伍见 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 67/53(2022.01) G06F 21/62(2013.01) (54)发明名称 一种针对Web层的数据标签溯源技 术 (57)摘要 本发明公开了一种针对Web层的数据标签溯 源技术， 包括如下步骤： 从HTTP(S)格式数据里提 取基础数据， 并判断基础数据的种类为字符串还 是文档类别； 若字符串格式数据， 在数据里自动 添加身份特征标签， 再对特征进行加密处理， 以 及使用不可见特征技术处理， 并发送给第三方业 务系统； 若文档格式类别， 对文档其格式深度解 析， 解析成功之后再对文档数据添加身份特征标 签， 再对特征进行加密处理， 以及使用不可见特 征技术处理； 将泄露的数据导入到配套的溯源软 件中， 溯源 软件即可提取数据中的身份特征标签 信息， 对标签进行解密及可见处理， 以确定具体 泄露人员身份特征信息以及泄露数据的时间， 从 而实现溯源效果； 利用此 发明技术手段可极大地 降低数据泄 露风险。 权利要求书1页 说明书4页 附图3页 CN 114257449 A 2022.03.29 CN 114257449 A 1.一种针对Web层的数据标签溯源技 术， 其特征在于， 包括如下步骤： A.Web数据标签溯源系统接收第三方业务系统发送的HTTP(S)数据后， 从HTTP(S)格式 数据提取基础数据， 并判断数据的种类； B.当数据为字符串类型时， 在字符串数据里自动添加身份特征标签， 再对特征进行加 密处理， 以及使用不可见特征技术处理， 溯源系统需再将带身份特征标签的字符串数据以 HTTP(S)协议形式还原， 并发送给第三方业 务系统； C.当数据为流式文档或版式文档时， 需要先对各种格式的文档进行其格式深度解析， 解析成功之后再对数据添加身份特征标签， 再对标签进行加密处理， 以及使用不可见特征 技术处理， 针对文档类格式， 进一步可添加身份特征标签至文档扩展属性中， 多重形式添加 身份特征信息， 在添加身份特征标签之后再完成对各类文档格式组装还原， 并将带身份特 征标签的文档发送给第三方业 务系统； D.当第三方业务系统收到服务器Web接口返回的数据后可正常使用数据,若第三方业 务人员将收到的数据泄露出去， 则数据 的管理者可将泄露的数据导入到配套的溯源软件 中， 溯源软件即可提取数据中的身份特征标签信息， 以确定具体泄露人员身份特征信息以 及泄露数据的时间， 从而实现溯源效果。 2.根据权利要求1所述的一种针对Web层的数据标签溯源技术， 其特征在于： 经过步骤A 之前， 第三方业务系统通过HTTP(S)协议的URL地址向服务器Web接口发起请求并获取数据， Web数据标签溯源系统将接收到的请求转到服务器Web接口， 服务器Web接口接收请求并开 始处理请求。 3.根据权利要求1所述的一种针对Web层的数据标签溯源技术， 其特征在于： 溯源系统 作为中间 网络环节将完成请求接收以及请求 转发等所有网络底层操作。 4.根据权利要求1所述的一种针对Web层的数据标签溯源技术， 其特征在于： 身份特征 标签包括但不限于业 务系统的源IP地址、 登录账号、 Ap pID或AppKey身份标识信息 。 5.根据权利要求4所述的一种针对Web层的数据标签溯源技术， 其特征在于： 身份特征 标签选用源IP地址、 登录账号、 Ap pID或AppKey中的至少一个作为标识。 6.根据权利要求4所述的一种针对Web层的数据标签溯源技术， 其特征在于： 添加身份 特征标签的同时添加当前的时间戳信息 。 7.根据权利要求1所述的一种针对Web层的数据标签溯源技术， 其特征在于： 特征进行 加密方式包括但不限于AES、 RSA或国密SM等 算法处理。权　利　要　求　书 1/1 页 2 CN 114257449 A 2一种针对Web层的数据标签溯源 技术 技术领域 [0001]本发明属于网络信息安全技术领域， 具体涉及一种针对Web层的数据标签溯源技 术。 背景技术 [0002]当下计算机业务系统很多是基于Web形式， 且已逐渐成为主流。 Web系统间的数据 通讯及业务交互基本都是调用Web接口形式完成。 特别是数据库系统和核心 业务系统， 其服 务器Web接口需要提供各类数据给到外部使用， 如外部第三方业务系统使用的基础数据等， 如图5、 图6所示。 以Web接口形式给到外部或第三方的基础数据往往都是同类的， 即针对不 同第三方收到的底层数据几乎是无差异 性。 这种基于接口层面无差异性的数据在给到多个 第三方系统后， 若某个第三方将基础数据泄露出去， 作为管 理方将很难追溯， 或很难确定泄 漏源是第三方中的哪一方。 [0003]当下解决此类数据泄露风险更多是通过管理加技术手段来完成。 如管理手段要求 所有第三方接触服务器系统人员操作要严格管理， 所有接触服务器的人员都要申请才可以 操作等。 技术手段要求接触服务器人员权限分配最小化， 对服务器操作所有 日志进行记录 等。 [0004]目前也有一些对数据标识的手段进行溯源， 如在数据入库环节时添加元数据进行 标识， 这类数据标识一方面需要更改数据库结构并加元数据标识， 另一方面只能对数据溯 源， 不能对泄露者溯源。 此类管理加技术手段可以一定程度保障数据安全， 但 仍有很大的漏 洞或机率导致基础数据被第三方使用者传播泄露， 其主要原因是基础数据给到第三方都是 无差异的。 即第三方A拿到的基础数据和第三方B拿到的基础数据内容完全一样， 数据无差 异性， 也就意味任何一方把数据泄露后， 作为数据源管理方将很难确定具体泄漏源， 为此我 们提出一种针对Web层的数据标签溯源技 术。 发明内容 [0005]本发明的目的在于提供一种针对Web层的数据标签溯源技术， 使用不可见特征技 术实现数据溯源效果， 以此对多种泄露途径的数据精准溯源， 以解决上述背景技术中提出 的问题。 [0006]为了实现上述目的， 本发明采用了如下技术方案： 一种针对Web层的数据标签溯源 技术， 包括如下步骤： [0007]A.Web数据标签溯源系统接收第三方业务系统发送的HTTP(S)数据后， 从HTTP(S) 格式数据提取基础数据， 并判断数据的种类； [0008]B.当数据为字符串类型时， 在字符串数据里自动添加身份特征标签， 再对特征进 行加密处理， 以及使用不可见特征技术处理， 溯源系统需再将带加密特征标签的字符串数 据以HTTP(S)协议形式还原， 并发送给第三方业 务系统； [0009]C.当数据为流式文档或版式文档时， 需要先对各种格式的文档进行其格式深度解说　明　书 1/4 页 3 CN 114257449 A 3