CN110336782A - 数据访问安全认证方法及系统 - Google Patents

数据访问安全认证方法及系统 Download PDF

Info

Publication number
CN110336782A
CN110336782A CN201910385832.2A CN201910385832A CN110336782A CN 110336782 A CN110336782 A CN 110336782A CN 201910385832 A CN201910385832 A CN 201910385832A CN 110336782 A CN110336782 A CN 110336782A
Authority
CN
China
Prior art keywords
user
filtering
data
request data
filtering rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910385832.2A
Other languages
English (en)
Inventor
朱小军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Le Meters Information Polytron Technologies Inc
Original Assignee
Suzhou Le Meters Information Polytron Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Le Meters Information Polytron Technologies Inc filed Critical Suzhou Le Meters Information Polytron Technologies Inc
Priority to CN201910385832.2A priority Critical patent/CN110336782A/zh
Publication of CN110336782A publication Critical patent/CN110336782A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种数据访问安全认证方法及系统。其中方法包括以下步骤:获取用户请求数据,所述用户请求数据包括至少一个用户标识;拦截所述用户请求数据,以判断所述用户标识是否符合过滤规则;若所述用户请求数据所包含的用户标识均符合所述过滤规则,所述用户请求数据通过用户认证。本实施方式中上述数据访问安全认证方法可以实现用户访问认证和校验,接口访问校验,数据返回安全校验,数据安全性变高,集成简便,并且实时保存日志记录,可对日志进行分析,提升对数据的保护能力。

Description

数据访问安全认证方法及系统
技术领域
本发明涉及信息安全领域,特别是涉及数据访问安全认证方法及系统。
背景技术
在当今数字化社会,数据即的财富,如客户信息、身份证号码、银行记录及其他财务信息。若此类数据泄露将造成不可挽回的损失,那么数据的安全将显得尤为重要。到目前为止,大部分数据盗窃案起源于个体黑客对生产数据库的恶意侵入。针对此类袭击的防护措施和手段正在快速地变得成熟先进,但攻击者同样也在步步紧逼。尽管业界已经对最险恶的数据盗窃采取了应对措施,但许多计算机系统在某些层面上依然存在易受攻击的弱点。
数据访问包括安全认证和控制授权两个部分。安全认证指的是验证是否为合法主体,也就是说是否能访问该系统。控制授权指的是验证是否有权限执行操作。
发明内容
基于此,有必要针对计算机数据易受攻击及被盗的问题,提供一种数据访问安全认证方法及系统。
一种数据访问安全认证方法,其特征在于,包括以下步骤:
获取用户请求数据,所述用户请求数据包括至少一个用户标识;
拦截所述用户请求数据,以判断所述用户标识是否符合过滤规则;
若所述用户请求数据所包含的用户标识均符合所述过滤规则,所述用户请求数据通过用户认证。
在其中一个优选实施方式中,所述过滤规则包括用户过滤,用以过滤用户标识的关键字。
在其中一个优选实施方式中,所述过滤规则包括数据权限过滤,用以验证所述用户请求数据的权限。
在其中一个优选实施方式中,所述过滤规则包括IP地址过滤,用以过滤所述用户请求数据的异常IP地址。
在其中一个优选实施方式中,所述过滤规则包括白名单过滤,用以验证所述用户请求数据是否在白名单内,若在白名单内,通过所述白名单过滤。
在其中一个优选实施方式中,所述用户请求数据包括请求参数,所述过滤规则还包括参数过滤,用以对所述请求参数进行过滤。
在其中一个优选实施方式中,所述过滤规则采用XML文件。
本实施方式中上述数据访问安全认证方法可以实现用户访问认证和校验,接口访问校验,数据返回安全校验,数据安全性变高,集成简便,并且实时保存日志记录,可对日志进行分析,提升对数据的保护能力。
一种数据访问安全认证系统,包括:
数据获取模块,用以获取用户请求数据,所述用户请求数据包括至少一个用户标识;
拦截模块,用以拦截所述用户请求数据,以判断所述用户标识是否符合过滤规则;
过滤认证模块,用以若所述用户请求数据所包含的用户标识均符合所述过滤规则,所述用户请求数据通过用户认证。
在其中一个优选实施方式中,,所述过滤规则包括用户过滤、数据权限过滤、IP地址过滤、白名单过滤及/或请求参数过滤,所述用户过滤用以过滤用户标识的关键字,所述数据权限过滤用以验证所述用户请求数据的权限,所述IP地址过滤,用以过滤所述用户请求数据的异常IP地址,所述白名单过滤用以验证所述用户请求数据是否在白名单内,若在白名单内,通过所述白名单过滤,所述用户请求数据包括请求参数,所述参数过滤,用以对所述请求参数进行过滤。
在其中一个优选实施方式中,所述过滤规则采用XML文件。
本实施方式中上述数据访问安全认证系统可以实现用户访问认证和校验,接口访问校验,数据返回安全校验,数据安全性变高,集成简便,并且实时保存日志记录,可对日志进行分析,提升对数据的保护能力。
附图说明
图1为本发明一优选实施方式的数据访问安全认证方法的流程图;
图2为本发明一优选实施方式的数据访问安全认证系统的模块示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要说明的是,当元件被称为“设置于”另一个元件,它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件或者可能同时存在居中元件。本文所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述只是为了说明的目的,并不表示是唯一的实施方式。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
如图1所示,本发明一优选实施方式的一种数据访问安全认证方法,包括以下步骤:
S10:获取用户请求数据,所述用户请求数据包括至少一个用户标识;
本步骤中,用户调用接口发送用户请求数据,服务器获取用户请求数据,该用户请求数据包括至少一个用户标识。用户还可以通过其他方式调用请求数据,本实施方式对此不作限定。
S20:拦截所述用户请求数据,以判断所述用户标识是否符合过滤规则;
本步骤中,拦截上述用户请求数据,判断所述用户标识是否符合过滤规则。
具体地,上述过滤规则包括用户过滤,用以过滤用户标识的关键字。
上述过滤规则包括数据权限过滤,用以验证所述用户请求数据的权限。
上述过滤规则包括IP地址过滤,用以过滤所述用户请求数据的异常IP地址。
上述过滤规则包括白名单过滤,用以验证所述用户请求数据是否在白名单内,若在白名单内,通过所述白名单过滤。
上述用户请求数据包括请求参数,所述过滤规则还包括参数过滤,用以对所述请求参数进行过滤。所述过滤规则采用XML文件。
S30:若所述用户请求数据所包含的用户标识均符合所述过滤规则,所述用户请求数据通过用户认证。
本实施方式中,根据上一步骤中的判断结果,若上述用户请求数据所包含的用户标识均符合上述过滤规则的所有条件,则该用户请求数据通过用户认证,若上述用户请求数据所包含的用户标识不符合上述任一条上述过滤规则的条件,则该用户请求数据不能通过用户认证,该用户请求数据将被拦截。
本实施方式采用XML文件,进行申明,当用户发起请求,进入拦截器,传统方式是在拦截器里编写过滤代码。而本实施方式中只需在XML文件中申明自己的过滤规则,如认证规则,IP白名单,参数防注入,授权规则等,然后在过滤器里对XML进行扫描,当用户请求不符合自己申明的规则,则拦截请求。
本实施方式中上述数据访问安全认证方法可以实现用户访问认证和校验,接口访问校验,数据返回安全校验,数据安全性变高,集成简便,并且实时保存日志记录,可对日志进行分析,提升对数据的保护能力。
一种数据访问安全认证系统100,包括数据获取模块110、拦截模块120及过滤认证模块130:
上述数据获取模块110用以获取用户请求数据,所述用户请求数据包括至少一个用户标识;
用户调用接口发送用户请求数据,服务器的数据获取模块用以获取用户请求数据,该用户请求数据包括至少一个用户标识。用户还可以通过其他方式调用请求数据,本实施方式对此不作限定。
拦截模块120用以拦截所述用户请求数据,以判断所述用户标识是否符合过滤规则;
拦截模块拦截上述用户请求数据,判断所述用户标识是否符合过滤规则。
具体地,上述过滤规则包括用户过滤,用以过滤用户标识的关键字。
上述过滤规则包括数据权限过滤,用以验证所述用户请求数据的权限。
上述过滤规则包括IP地址过滤,用以过滤所述用户请求数据的异常IP地址。
上述过滤规则包括白名单过滤,用以验证所述用户请求数据是否在白名单内,若在白名单内,通过所述白名单过滤。
上述用户请求数据包括请求参数,所述过滤规则还包括参数过滤,用以对所述请求参数进行过滤。所述过滤规则采用XML文件。
过滤认证模块130用以若所述用户请求数据所包含的用户标识均符合所述过滤规则,所述用户请求数据通过用户认证。
本实施方式中,过滤认证模块若上述用户请求数据所包含的用户标识均符合上述过滤规则的所有条件,则该用户请求数据通过用户认证,若上述用户请求数据所包含的用户标识不符合上述任一条上述过滤规则的条件,则该用户请求数据不能通过用户认证,该用户请求数据将被拦截。
本实施方式采用XML文件,进行申明,当用户发起请求,进入拦截器,传统方式是在拦截器里编写过滤代码。而本实施方式中只需在XML文件中申明自己的过滤规则,如认证规则,IP白名单,参数防注入,授权规则等,然后在过滤器里对XML进行扫描,当用户请求不符合自己申明的规则,则拦截请求。
本实施方式中上述数据访问安全认证系统可以实现用户访问认证和校验,接口访问校验,数据返回安全校验,数据安全性变高,集成简便,并且实时保存日志记录,可对日志进行分析,提升对数据的保护能力。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种数据访问安全认证方法,其特征在于,包括以下步骤:
获取用户请求数据,所述用户请求数据包括至少一个用户标识;
拦截所述用户请求数据,以判断所述用户标识是否符合过滤规则;
若所述用户请求数据所包含的用户标识均符合所述过滤规则,所述用户请求数据通过用户认证。
2.根据权利要求1所述的数据访问安全认证方法,其特征在于,所述过滤规则包括用户过滤,用以过滤用户标识的关键字。
3.根据权利要求1所述的数据访问安全认证方法,其特征在于,所述过滤规则包括数据权限过滤,用以验证所述用户请求数据的权限。
4.根据权利要求1所述的数据访问安全认证方法,其特征在于,所述过滤规则包括IP地址过滤,用以过滤所述用户请求数据的异常IP地址。
5.根据权利要求1所述的数据访问安全认证方法,其特征在于,所述过滤规则包括白名单过滤,用以验证所述用户请求数据是否在白名单内,若在白名单内,通过所述白名单过滤。
6.根据权利要求1所述的数据访问安全认证方法,其特征在于,所述用户请求数据包括请求参数,所述过滤规则还包括参数过滤,用以对所述请求参数进行过滤。
7.根据权利要求1所述的数据访问安全认证方法,其特征在于,所述过滤规则采用XML文件。
8.一种数据访问安全认证系统,其特征在于,包括:
数据获取模块,用以获取用户请求数据,所述用户请求数据包括至少一个用户标识;
拦截模块,用以拦截所述用户请求数据,以判断所述用户标识是否符合过滤规则;
过滤认证模块,用以若所述用户请求数据所包含的用户标识均符合所述过滤规则,所述用户请求数据通过用户认证。
9.根据权利要求8所述的数据访问安全认证系统,其特征在于,所述过滤规则包括用户过滤、数据权限过滤、IP地址过滤、白名单过滤及/或请求参数过滤,所述用户过滤用以过滤用户标识的关键字,所述数据权限过滤用以验证所述用户请求数据的权限,所述IP地址过滤,用以过滤所述用户请求数据的异常IP地址,所述白名单过滤用以验证所述用户请求数据是否在白名单内,若在白名单内,通过所述白名单过滤,所述用户请求数据包括请求参数,所述参数过滤,用以对所述请求参数进行过滤。
10.根据权利要求8所述的数据访问安全认证方法,其特征在于,所述过滤规则采用XML文件。
CN201910385832.2A 2019-05-09 2019-05-09 数据访问安全认证方法及系统 Pending CN110336782A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910385832.2A CN110336782A (zh) 2019-05-09 2019-05-09 数据访问安全认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910385832.2A CN110336782A (zh) 2019-05-09 2019-05-09 数据访问安全认证方法及系统

Publications (1)

Publication Number Publication Date
CN110336782A true CN110336782A (zh) 2019-10-15

Family

ID=68140047

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910385832.2A Pending CN110336782A (zh) 2019-05-09 2019-05-09 数据访问安全认证方法及系统

Country Status (1)

Country Link
CN (1) CN110336782A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770097A (zh) * 2020-06-29 2020-10-13 中国科学院计算技术研究所 一种基于白名单的内容锁防火墙方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102530A1 (en) * 2003-11-06 2005-05-12 International Business Machines Corporation Method and apparatus for XSL/XML based authorization rules policy implementation
CN103581363A (zh) * 2013-11-29 2014-02-12 杜跃进 对恶意域名和非法访问的控制方法及装置
CN106982231A (zh) * 2017-05-12 2017-07-25 王振辉 一种基于Agent的内部威胁实时检测方法
CN109522707A (zh) * 2018-10-30 2019-03-26 珠海伟诚科技股份有限公司 一种基于角色和资源的用户数据读写安全权限控制方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102530A1 (en) * 2003-11-06 2005-05-12 International Business Machines Corporation Method and apparatus for XSL/XML based authorization rules policy implementation
CN103581363A (zh) * 2013-11-29 2014-02-12 杜跃进 对恶意域名和非法访问的控制方法及装置
CN106982231A (zh) * 2017-05-12 2017-07-25 王振辉 一种基于Agent的内部威胁实时检测方法
CN109522707A (zh) * 2018-10-30 2019-03-26 珠海伟诚科技股份有限公司 一种基于角色和资源的用户数据读写安全权限控制方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770097A (zh) * 2020-06-29 2020-10-13 中国科学院计算技术研究所 一种基于白名单的内容锁防火墙方法及系统

Similar Documents

Publication Publication Date Title
US20050071643A1 (en) Method of and system for enterprise information asset protection through insider attack specification, monitoring and mitigation
US7251831B2 (en) Method and system for architecting a secure solution
CN109151820A (zh) 一种基于“一人一机一卡一号”的安全认证方法和装置
JPH0695947A (ja) コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム
CN101213561B (zh) 安全对策应用的机密文件保护方法及机密文件保护装置
CN106548342B (zh) 一种可信设备确定方法及装置
CN113315637B (zh) 安全认证方法、装置及存储介质
CN106550031A (zh) 数据备份的方法及装置
CN107566375B (zh) 访问控制方法和装置
US8978150B1 (en) Data recovery service with automated identification and response to compromised user credentials
EP3407241B1 (en) User authentication and authorization system for a mobile application
CN101324913B (zh) 计算机文件保护方法和装置
CN114117539A (zh) 一种数据保护方法及装置
RU2311676C2 (ru) Способ обеспечения доступа к объектам корпоративной сети
CN105703909A (zh) 一种认证方法及电子设备
CN110336782A (zh) 数据访问安全认证方法及系统
KR20210110765A (ko) 인공지능 기반 빅데이터 비식별화 솔루션 제공방법
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法
CN105897708A (zh) 一种信息保护方法及移动终端
US20080068183A1 (en) Methods and apparatus for accessing, or providing access to, user-configurable or different response policies for different duress codes
Agarwal et al. Security Requirements Elicitation Using View Points for Online System
Paintsil A model for privacy and security risks analysis
CN112966235A (zh) 一种智慧教育平台的大数据组件访问控制方法及系统
CN111625803A (zh) 用于电信业务防越权访问的端到端验证方法及系统
Sheik et al. Considerations for secure mosip deployment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191015