(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111398016.9 (22)申请日 2021.11.24 (65)同一申请的已公布的文献号 申请公布号 CN 113824743 A (43)申请公布日 2021.12.21 (73)专利权人 北京安博通科技股份有限公司 地址 100120 北京市西城区德胜门东滨河 路3号6号楼C 0310室 (72)发明人 乔志巍　 (74)专利代理 机构 北京弘权知识产权代理有限 公司 11363 代理人 郭放　许伟群 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 US 2003202663 A1,2003.10.30 WO 20181613 02 A1,2018.09.13 审查员 方苏叶 (54)发明名称 一种适用私有加密通信的敏感数据阻断方 法和系统 (57)摘要 本申请提供一种适用私有加密通信的敏感 数据阻断方法和系统。 所述方法包括： 第一通信 主体获取发送给第二通信主体的明文数据， 并在 明文数据中包含 敏感数据的情况下， 根据敏感数 据封装通知报文， 并将通知报文发送给对应的第 一网关， 其中， 通知报文用于从明文数据中定位 敏感数据， 并且通知报文早于敏感数据到达第一 网关。 整个方法通过发送时延小于敏感数据的通 知报文来通知第一网关对敏感数据进行网关阻 断， 使得敏感数据的阻断不受加密方式是否提前 知悉的局限， 也无需修改加密后数据的发包逻 辑， 进而不会造成信息泄露， 也不会影响通信进 程， 因此在适用 私有加密通信的同时， 也可以较 好地适用标准加密通信， 简单且高效。 权利要求书2页 说明书8页 附图3页 CN 113824743 B 2022.04.19 CN 113824743 B 1.一种适用私有加密通信的敏感数据阻断方法， 应用于第 一通信主体， 其特征在于， 包 括： 获取所述第一 通信主体发送给第二 通信主体的明文数据； 判断所述明文数据中是否包 含敏感数据； 如果所述明文数据中包含敏感数据， 则根据所述敏感数据封装通知报文， 所述通知报 文用于从所述明文数据中定位所述敏感数据， 并且所述通知报文早于所述敏感数据到达所 述第一通信主体对应的第一网关； 将所述通知报文发送给所述第 一网关， 所述第 一网关用于根据 所述通知报文生成阻断 策略， 并根据所述阻断策略对所述敏感数据进行网关阻断； 其中， 所述获取 所述第一 通信主体发送给第二 通信主体的明文数据， 包括： 启动内部的监听进程； 根据所述 监听进程获取 所述第一 通信主体发送给第二 通信主体的明文数据。 2.根据权利要求1所述的敏感数据阻断方法， 其特征在于， 所述根据所述敏感数据封装 通知报文， 包括： 获取敏感数据包的信 息， 所述敏感数据包为原始发包序列中包含所述敏感数据的原始 数据包， 所述原始发包序列为所述明文数据被加密并进入所述第一通信主体对应的TCP/ UDP传输层后， 被分装成的多个按照预设的发包逻辑进行传输的原 始数据包； 将所述敏感数据包的信息确定为 通知报文中选项字段的携带信息； 将所述通知报文中URG控制位的值设置为1。 3.根据权利要求2所述的敏感数据阻断方法， 其特征在于， 所述敏感数据包的信 息包括 所述敏感数据包在所述原 始发包序列中的序号、 通信源端口、 通信目的端口和目的IP地址 。 4.根据权利要求1所述的敏感数据阻断方法， 其特征在于， 所述判断所述明文数据中是 否包含敏感数据， 包括： 利用关键词匹配技 术， 将所述明文数据与预设的关键 字索引进行匹配； 如果所述明文数据与 所述关键字索引相匹配， 则将符合所述关键字索引的数据确定为 敏感数据。 5.根据权利要求1所述的敏感数据阻断方法， 其特征在于， 在启动内部的监听进程之 后， 所述敏感数据阻断方法还 包括： 将所述监听进程在所述第一 通信主体中的处 理优先级调节至最高。 6.一种适用私有加密通信的敏感数据阻断方法， 应用于第一通信主体对应的第一网 关， 其特征在于， 包括： 接收通知报文， 所述通知报文用于从明文数据中定位敏感数据， 并且所述通知报文早 于所述敏感数据到 达所述第一网关； 所述 通知报文是由所述第一 通信主体发送的； 根据所述 通知报文生成阻断策略； 根据所述阻断策略， 对所述敏感数据进行网关阻断。 7.根据权利要求6所述的敏感数据阻断方法， 其特征在于， 所述根据所述通知报文生成 阻断策略， 包括： 根据所述通知报文， 获取敏感数据包的信息， 所述敏感数据包为原始发包序列中包含 所述敏感数据的原始数据包， 所述原始发包序列为所述明文 数据被加密并进入所述第一通权　利　要　求　书 1/2 页 2 CN 113824743 B 2信主体对应的TCP/UDP传输层后， 被分装成的多个按照预设的发包逻辑进行传输的原始数 据包； 根据所述敏感数据包的信息， 生成阻断策略， 所述阻断策略用于指示在所述敏感数据 包到达时， 对所述敏感数据包进行阻断。 8.根据权利要求7所述的敏感数据阻断方法， 其特征在于， 所述敏感数据包的信 息包括 所述敏感数据包在所述原 始发包序列中的序号、 通信源端口、 通信目的端口和目的IP地址 。 9.一种适用私有加密通信的敏感数据阻断系统， 其特征在于， 包括第一通信主体以及 所述第一 通信主体对应的第一网关； 所述第一 通信主体 被配置为执 行以下步骤： 获取所述第一 通信主体发送给第二 通信主体的明文数据； 判断所述明文数据中是否包 含敏感数据； 如果所述明文数据中包含敏感数据， 则根据所述敏感数据封装通知报文， 所述通知报 文用于从所述明文数据中定位所述敏感数据， 并且所述通知报文早于所述敏感数据到达所 述第一网关； 将所述通知报文发送给 所述第一网关； 其中， 所述获取 所述第一 通信主体发送给第二 通信主体的明文数据， 包括： 启动内部的监听进程； 根据所述 监听进程获取 所述第一 通信主体发送给第二 通信主体的明文数据； 所述第一网关被 配置为执 行以下步骤： 接收所述 通知报文； 根据所述 通知报文生成阻断策略； 根据所述阻断策略， 对所述敏感数据进行网关阻断。权　利　要　求　书 2/2 页 3 CN 113824743 B 3