CN111756702A - 数据安全防护方法、装置、设备和存储介质 - Google Patents

数据安全防护方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN111756702A
CN111756702A CN202010478689.4A CN202010478689A CN111756702A CN 111756702 A CN111756702 A CN 111756702A CN 202010478689 A CN202010478689 A CN 202010478689A CN 111756702 A CN111756702 A CN 111756702A
Authority
CN
China
Prior art keywords
data
request
access
current user
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010478689.4A
Other languages
English (en)
Other versions
CN111756702B (zh
Inventor
邱禹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Original Assignee
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jingdong Century Trading Co Ltd, Beijing Wodong Tianjun Information Technology Co Ltd filed Critical Beijing Jingdong Century Trading Co Ltd
Priority to CN202010478689.4A priority Critical patent/CN111756702B/zh
Publication of CN111756702A publication Critical patent/CN111756702A/zh
Application granted granted Critical
Publication of CN111756702B publication Critical patent/CN111756702B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种数据安全防护方法、装置、设备和存储介质。该方法包括:接收客户端发送的数据访问请求;依据所述数据访问请求,采用预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。通过上述技术方案,实现了更加高效地进行数据防护,提高了数据安全性。

Description

数据安全防护方法、装置、设备和存储介质
技术领域
本发明实施例涉及互联网技术,尤其涉及一种数据安全防护方法、装置、设备和存储介质。
背景技术
随着网络技术的迅猛发展,计算机系统的数据安全成为各领域关注的重点之一,尤其是大数据平台中的数据安全问题尤为突出。
传统的数据安全防护通常采用黑名单库及黑名单规则匹配。例如,将网际互连协议(Internet Protocol,IP)地址、用户代理字符串User-Agent及其他的用户访问参数作为黑名单匹配规则中的匹配项,在用户访问时,将用户的匹配项内容与黑名单库中的相应内容进行匹配。如果匹配一致,则认为该用户为异常用户,进而拦截该用户对数据平台中数据的访问及操作。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:1)规则匹配很难适应不同的web应用环境和逻辑,容易引起误报。例如,以IP地址为匹配项时,在网络地址转换(Network Address Translation,NAT)网络环境下可能出现误判。2)规则匹配比较固定,容易被绕过,防护效果不理想。例如,用户使用代理IP,或者篡改User-Agent及HTTP请求头信息等,就可绕过防御。
发明内容
本发明实施例提供一种数据安全防护方法、装置、设备和存储介质,以实现更加高效地进行数据防护,提高数据安全性。
第一方面,本发明实施例提供了一种数据防护方法,应用于数据防护服务端,包括:
接收客户端发送的数据访问请求;
依据所述数据访问请求,采用预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
第二方面,本发明实施例还提供了一种数据防护方法,应用于客户端,包括:
依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
将所述数据访问请求发送至数据防护服务端,以使所述数据防护服务端依据所述数据访问请求,采用所述预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,并依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
第三方面,本发明实施例还提供了一种数据安全防护装置,配置于数据防护服务端,该装置包括:
数据访问请求接收模块,用于接收客户端发送的数据访问请求;
用户异常检测模块,用于依据所述数据访问请求,采用预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
防护处理模块,用于依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
第四方面,本发明实施例还提供了一种数据安全防护装置,配置于客户端,该装置包括:
数据访问请求生成模块,用于依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
数据访问请求发送模块,用于将所述数据访问请求发送至数据防护服务端,以使所述数据防护服务端依据所述数据访问请求,采用所述预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,并依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
第五方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所提供的应用于数据防护服务端的数据防护方法或者应用于客户端的数据防护方法。
第六方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本发明任意实施例所提供的应用于数据防护服务端的数据防护方法或者应用于客户端的数据防护方法。
本发明实施例通过接收客户端发送的数据访问请求;依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。实现了采用包含一种或多种基于数据访问请求中携带的当前访问信息进行实时验证的预设数据防护方式对当前用户进行异常检测,解决了黑名单容易被绕过而导致数据风险的问题,提高了异常用户检测的准确性和全面性,从而提高了数据安全性。
附图说明
图1是本发明实施例一中的一种应用于数据防护服务端的数据防护方法的流程图;
图2是本发明实施例二中的一种应用于数据防护服务端的数据防护方法的流程图;
图3是本发明实施例三中的一种应用于客户端的数据防护方法的流程图;
图4是本发明实施例四中的一种配置于数据防护服务端的数据防护装置的结构示意图;
图5是本发明实施例五中的一种配置于客户端的数据防护装置的结构示意图;
图6是本发明实施例六中的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
本实施例提供的数据防护方法可适用于对存储于计算机系统的数据(如云端存储的大数据)进行安全防护。该方法可以由配置于数据防护服务端的数据防护装置来执行,该装置可以由软件和/或硬件的方式实现,该装置可以集成在数据防护服务端对应的电子设备中,例如可以是存储数据的数据平台对应的台式电脑、超级计算机、服务器或服务器集群,也可以是独立于数据平台的台式电脑、超级计算机、服务器或服务器集群等。参见图1,本实施例的方法具体包括如下步骤:
S110、接收客户端发送的数据访问请求。
其中,数据访问请求是指客户端访问数据平台中的数据时发出的访问请求,其可以包含请求访问的统一资源定位符(uniform resource locator,URL)、发出请求时客户端的系统时间(即请求时间戳)、该URL约定的请求参数(即正常请求参数)、以及后续的预设数据防护方式中约定的其他请求参数等。
具体地,客户端要访问数据平台中的数据时,会先根据要访问的网站和约定的预设数据防护方式,生成数据访问请求,并将其发送至对数据平台的数据进行安全防护的数据防护服务端。数据防护服务端便会接收到该客户端发送的数据访问请求。
S120、依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种。
其中,基于安全密钥验证的防护方式是指采用与用户对应的安全密钥对一些设定的字符串进行加解密验证的防护方式。基于安全算式验证的防护方式是指采用客户端与服务端约定的运算式构建方式来构建运算式,并在数据请求交互过程中加解密该运算式来验证的防护方式。基于异常请求参数验证的防护方式是指采用客户端与服务端约定的异常请求参数进行验证的防护方式。这里的异常请求参数是预先设定的无效访问参数,其是为了检测异常访问而设置的诱饵参数,在正常的数据访问过程中没有实际意义的参数。
具体地,数据防护服务端对数据平台中的数据进行安全防护的方式为对用户或用户的访问行为进行异常检测,以此来确定是否对用户进行访问拦截。考虑到异常用户(黑客)对数据防护方式的破解能力和攻击能力不同,为了全方位且高效率地进行数据访问的安全防护,本发明实施例中对用户或用户的访问行为进行检测的方式为预设数据防护方式,即基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的一种或几种的组合。其中,基于安全密钥验证的防护方式采用了独立维护、且与正常用户一一对应的安全密钥,故其是从用户针对性角度进行防护,只有用同一用户的安全密钥进行正确验证,才能通过该防护方式的检测。基于安全算式验证的防护方式采用了在一定程度上随机确定的运算因子和运算符,故其是从运算式构建的随机性角度进行防护,只有匹配出相同的随机运算符和确定出相同的随机运算因子,才能通过该防护方式的检测。基于异常请求参数验证的防护方式中采用了充当诱饵作用的异常请求参数,其是针对破解能力强的异常用户而设置的钓鱼式防护方式。
具体实施时,数据防护服务端按照预设数据防护方式,对数据访问请求进行相应的处理,便可利用相应的预设数据防护方式对当前用户是否是正常访问数据平台进行检测。如果采用一种预设数据防护方式,那么其基于数据访问请求检测出异常,便可确定该当前用户为异常用户。如果采用至少两种数据防护方式的组合,那么每种数据防护方式均独立执行,且只要有一个防护方式基于数据访问请求检测出异常,便可确定当前用户为异常用户。
示例性地,依据数据访问请求,采用基于安全密钥验证的防护方式,对触发数据访问请求的当前用户进行异常检测包括:依据当前用户对应的目标安全密钥和数据访问请求生成验证密文,并在验证密文与数据访问请求中的请求密钥密文不一致的情况下,确定当前用户为异常用户。具体地,如果预设数据防护方式为基于安全密钥验证的防护方式,那么客户端发送的数据访问请求中包含请求密钥密文,该请求密钥密文利用当前用户一一对应的安全密钥(即目标安全密钥)生成。数据防护服务端的验证过程为:先确定出与当前用户一一对应的目标安全密钥,然后利用该目标安全密钥对数据访问请求中的某些设定字符串进行加密,生成用于验证的密文(即验证密文)。之后,将该验证密文与数据访问请求中携带的请求密钥密文进行一致性比对。如果两者一致,则判定该当前用户为正常用户。如果两者不一致,那么,判定该当前用户为异常用户。这样设置的好处在于,基于与正常用户一一对应的安全密钥,可以从用户针对性角度进行数据防护,避免异常用户盗用正常用户的安全密钥进行数据访问,提高数据安全性。
示例性地,依据数据访问请求,采用基于安全算式验证的防护方式,对触发数据访问请求的当前用户进行异常检测包括:依据数据访问请求中的请求算式密文,确定运算因子、请求运算符和请求算式结果,并依据运算因子和请求运算符确定验证算式结果;若验证算式结果与请求算式结果不一致,则确定当前用户为异常用户。具体地,如果预设数据防护方式为基于安全算式验证的防护方式,那么客户端发送的数据访问请求中包含由安全运算式生成的请求算式密文。数据防护服务端的验证过程为:先解密请求算式密文获得运算因子、请求运算式和请求算式结果,然后利用运算因子和请求运算式进行运算结果的重新计算,获得用于验证的运算式结果(即验证算式结果)。之后,将该验证算式结果与解密所得的请求算式结果进行一致性比对。如果两者一致,则判定该当前用户为正常用户。如果两者不一致,那么,判定该当前用户为异常用户。这样设置的好处在于,可以从运算式构建的随机性角度进行防护,能够检测出未采用运算式或采用固定运算式进行数据访问的异常用户,提高数据安全性。
示例性地,依据数据访问请求,采用基于异常请求参数验证的防护方式,对触发数据访问请求的当前用户进行异常检测包括:若判断数据访问请求中包含异常请求参数,并且当前系统时间在异常请求参数的设定有效期之外,则确定当前用户为异常用户,其中,异常请求参数为预先设定的无效请求参数。具体地,为了对异常用户进行钓鱼式防盗,本实施例中设置了异常请求参数作为诱饵参数,并设置了该诱饵参数的有效期(即设定有效期)。在该设定有效期内,所有用户的数据访问请求中均携带该异常请求参数,在设定有效期之外,正常用户的数据访问请求中便不再携带该异常请求参数,而异常用户因不知该约定而继续携带该异常请求参数进行数据访问。故数据防护服务端先检测数据访问请求中是否携带有异常请求参数。如果没有,则该数据防护流程结束。如果有,则进一步判断当前系统时间是否处于该异常请求参数的设定有效期之外。如果不是,则该当前用户为正常用户;如果是,那么就可判定该当前用户为异常用户。这样设置的好处在于,能够以更加简单且高效的诱饵参数来检测破解能力强的异常用户,提高数据安全性。
S130、依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
具体地,如果S120中的异常检测结果为当前用户为正常用户,那么数据防护服务端就对其进行正常访问的数据防护处理,即允许其访问数据平台中的数据。如果S120中的异常检测结果为当前用户为异常用户,那么数据防护服务端就对其进行异常访问的数据防护处理,例如直接禁止其访问数据平台中的数据,或者对其发出警告信息,且当其警告次数未达到一定次数(即预设警告次数)时,允许其访问数据,但是当其警告次数达到预设警告次数时,便禁止其访问数据。
本实施例的技术方案,通过接收客户端发送的数据访问请求;依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。实现了采用包含一种或多种基于数据访问请求中携带的当前访问信息进行实时验证的预设数据防护方式对当前用户进行异常检测,解决了黑名单容易被绕过而导致数据风险的问题,提高了异常用户检测的准确性和全面性,从而提高了数据安全性。
在上述技术方案的基础上,预设数据防护方式还包括基于使用用户画像构建的用户访问模型的防护方式。
具体地,基于使用用户画像构建的用户访问模型的防护方式是指使用用户画像数据来构建能够识别正常用户和异常用户的用户访问模型,进而利用该用户访问模型来检测用户为正常用户或者异常用户的防护方式,其是全方位地利用用户行为数据来进行异常用户检测的一种数据防护方式。具体实施时,可以将基于使用用户画像构建的用户访问模型的防护方式与基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种进行组合防护。这样,至少需要使用两种数据防护方式进行异常用户的检测,能够进一步提高异常用户检测的准确性和全面性,从而更进一步提高数据安全性。
示例性地,依据数据访问请求,采用基于使用用户画像构建的用户访问模型的防护方式,对触发数据访问请求的当前用户进行异常检测包括:依据数据访问请求确定当前访问行为参数,并将当前访问行为参数输入用户访问模型,根据用户访问模型的输出结果确定当前用户为正常用户或异常用户,其中,用户访问模型是依据多个用户的历史访问日志对机器学习模型进行训练而得到。具体地,对数据访问请求进行计算来确定出当前访问行为参数,例如该请求的访问量和访问频率等。之后,将该当前访问行为参数输入用户访问模型,模型输出结果便为该当前用户为正常用户的概率值。如果概率值大于预先设定的概率阈值,那么确定该用户为正常用户,反之确定该用户为异常用户。这样设置的好处在于,能够更加快速地实现异常用户检测。
用户访问模型通过如下方式预先训练而获得:收集多个用户的历史访问日志作为样本数据,其中,多个用户包含正常用户和异常用户;对样本数据中的每个用户的每条请求对应的日志数据进行分析,生成正常用户的行为特征和异常用户的行为特征,并利用正常用户的行为特征和异常用户的行为特征对机器学习模型进行训练,生成用户访问模型。具体地,通过使用日志分析架构技术栈总称ELK(Elasticsearch、Logstash、Kibana)或分布式消息系统Kafka对注册至数据平台中的多个用户的历史访问日志进行收集、分析,将有价值的访问日志数据(例如用户请求的路径、参数、网际互连协议IP地址、用户名等信息)保存到分布式开源数据库HBase中。然后,使用大数据开源计算引擎Spark或Flink对HBase中的数据进行计算(例如用户某个请求访问量,用户某个请求的访问频率等),生成正常用户的行为特征和异常用户的行为特征。之后,利用正常用户的行为特征和异常用户的行为特征对机器学习模型进行训练,便可生成用户访问模型。
在上述技术方案的基础上,数据平台中的数据同时存储于外网区块链和内网区块链中,且外网区块链和内网区块链中的加解密方式和密钥均不同。其中,外网和内网为相对概念,例如外网为连接互联网的云端存储,内网为不与外接进行互联网通信的内部数据中心等。具体地,前述均是从异常用户拦截角度进行数据防护。为了提高数据防护全面性,本发明实施例中还从数据本身角度进行防护。首先,为了防止数据被篡改,将数据存储至区块链中。为了进一步确保数据安全性和数据可恢复性,本实施例中在布设了外网区块链外,还布设了内网区块链,其部署到网络物理隔离的内网机器节点上。如此,内外网双向参与记账,且内外网区块链的加解密方式和密钥都是独立的,那么该数据平台中的数据便分布式存储于内外网两条平行隔离的区块链中。当数据异常时,因为内网区块链中的节点网络物理隔离,即使内网部分机器被攻破,只要保证内网集群大部分节点完好,就能够保证信息安全,故以内网区块链为准来追溯数据,进行数据恢复。例如,将内网区块链中正确的区块链信息重新下发到外网,恢复外网的区块链。
示例性地,在依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理之后,还包括:若当前用户正常访问数据平台中的数据,则依据与当前用户匹配的接口密钥,加密数据平台中的设定数据,生成接口加密数据;将接口加密数据和接口密钥,通过服务接口下发至客户端,以使客户端依据当前用户的用户标识和接口密钥,解密接口加密数据。具体地,为了进一步从数据本身角度进行数据防护,避免网络爬虫直接抓取数据,本发明实施例中的数据通过服务接口下发时,需要根据具体的业务需求来确定重要的数据(即设定数据),然后利用当前用户对应的、用于接口数据加密的接口密钥,对设定数据进行加密处理后再通过服务接口下发至客户端。当客户端接收到该接口加密数据和接口密钥后,先根据诸如用户账号、手机号等用户标识来判断该接口密钥是否与当前用户匹配。若否,则该当前用户为异常用户,该接口密钥不能用于对该接口加密数据进行解密,客户端则无法获取到解密后的数据。若是,则利用该接口密钥来解密接口加密数据,客户端便可获得解密后数据。
实施例二
本实施例在上述实施例一的基础上,对“依据当前用户对应的目标安全密钥和数据访问请求生成验证密文”进行了进一步优化。在此基础上,可以进一步增加生成验证密文之前的请求时间戳验证步骤。在上述基础上,可以进一步对“依据数据访问请求中的请求算式密文,确定运算因子、请求运算符和请求算式结果,并依据运算因子和请求运算符确定验证算式结果”进行优化。在上述基础上,还可以进一步增加访问名单验证和访问名单更新的步骤。其中,与上述各实施例相同或相应的术语的解释在此不再赘述。参见图2,本实施例提供的数据防护方法包括:
S201、接收客户端发送的数据访问请求。
S202、依据触发数据访问请求的当前用户的访问属性信息,判断当前用户是否在访问黑名单、访问灰名单或访问白名单中。
其中,访问属性信息是指数据访问请求的基础信息,例如IP、域名、用户代理UserAgent字段或用户账号等。访问黑名单中存储禁止访问数据的用户信息,如访问属性信息中的至少一种信息。访问灰名单中存储被警告但未禁止访问数据的用户信息。访问白名单中存储允许访问数据的用户信息,例如平台测试人员或管理人员的用户信息。
具体地,在利用预设数据防护方式对当前用户进行异常用户检测之前,先利用访问名单(即访问白名单、访问灰名单、访问黑名单)对当前用户进行初步的检测,即将访问属性信息与各访问名单中的用户信息进行匹配,匹配一致则说明当前用户落在相应访问名单中。
S203、若当前用户在访问黑名单中,则禁止客户端访问数据平台中的数据。
具体地,如果判定当前用户落在访问黑名单中,那么该当前用户为异常用户,且需禁止其客户端访问数据平台中的数据。
S204、若当前用户在访问白名单中,则允许客户端访问数据平台中的数据。
具体地,如果判定当前用户落在访问白名单中,那么该当前用户为不拦截用户,需允许其客户端访问数据平台中的数据。
S205、若当前用户在访问灰名单中或不在任一名单中,则执行S206、S207、S210和S214中的至少一项,或者执行S215和S206、S207、S210和S214中的至少一项。
具体地,如果当前用户在访问灰名单中,说明当前用户属于疑似异常用户的用户,其需要重点检测,需对其实施后续预设数据防护方式的检测。如果当前用户为普通的正常访问用户,那么其不处于任一访问名单中。如果业务需求为较高的数据访问性能,那么可以允许其访问数据平台中的数据。如果业务需求为较高的数据安全性,那么为了进一步提高数据安全性,也可继续对其实施后续预设数据防护方式的检测。
S206、若判断数据访问请求中的请求时间戳与当前系统时间之间的时间差大于预设时间阈值,则确定当前用户为异常用户。
具体地,在用户访问数据的过程中,如果访问请求的时间过长,则认为该数据访问请求异常。基于此,在基于安全密钥验证的防护方式中,可以先基于数据访问请求中的请求时间戳和数据防护服务端中的当前系统时间来计算该数据访问请求的请求时间差。如果该时间差超过了正常的数据访问请求的请求时间差(即预设时间阈值),那么就判定该数据访问请求异常,确定当前用户为异常用户。
S207、若判断数据访问请求中的请求时间戳与当前系统时间之间的时间差小于或等于预设时间阈值,则依据数据访问请求中当前用户的用户标识,从用户与安全密钥之间的映射表中确定当前用户对应的目标安全密钥。
具体地,为了提高安全密钥的安全性,本实施例中设置了独立后台来维护用户与其安全密钥之间的映射表。当数据防护服务端要进行验证时,其需先利用该当前用户的用户标识,从该独立后台中存储的映射表中查找出当前用户对应的目标安全密钥。
需要说明的是,为了进一步提高安全密钥安全性及其与用户的关联性,可以采用用户标识、基础密钥和随机数作为安全密钥生成的基础数据,并利用诸如MD5的加密算法来加密该基础数据生成安全密钥。如果检测到某一用户的安全密钥有风险,则可通过修改基础密钥或者随机数来重新为该用户生成安全密钥。
S208、依据目标安全密钥、数据访问请求中的请求时间戳和统一资源定位符,采用预设加密算法,生成验证密文。
具体地,验证密文是对请求密钥密文进行验证,故其生成与请求密钥密文的生成过程保持一致。利用目标安全密钥,采用预设加密算法,对数据访问请求中的请求时间戳和URL(不带固定参数的请求地址)进行加密,便可生成验证密文。
S209、在验证密文与数据访问请求中的请求密钥密文不一致的情况下,确定当前用户为异常用户。
其中,请求密钥密文为客户端采用预设加密算法对目标安全密钥、请求时间戳和统一资源定位符进行加密而得到。
S210、对数据访问请求中包含的请求算式密文进行解密,获得运算因子、请求运算符和请求算式结果。
其中,运算因子中包含由请求时间戳生成的请求时间因子,请求运算符为客户端从本地运算符池中确定的。
具体地,为了均衡基于安全算式验证的防护方式的随机性和可追溯性,本实施例中客户端需利用请求时间戳来生成其中的一个运算因子(即请求时间因子),其余运算因子可采用随机数确定。并且,请求运算符需从客户端本地的运算符池中随机确定一个。基于此,客户端可生成请求算式密文。数据防护服务端需解密该请求算式密文获得其中的运算因子、请求运算符和请求算式结果。
S211、若验证运算符池中没有请求运算符,则确定当前用户为异常用户。
具体地,数据防护服务端首先从服务端本地的运算符池(即验证运算符池)中查找有没有请求运算符。如果没有,那么请求算式密文对应的请求运算符为非法运算符,可直接判定当前用户为异常用户。
S212、若从验证运算符池中匹配出请求运算符,则依据请求时间戳、当前系统时间和预设时间阈值,确定验证时间因子,并依据验证时间因子、运算因子中除请求时间因子之外的其他运算因子和请求运算符,确定验证算式结果。
具体地,如果验证运算符池中有请求运算符,数据防护服务端比较当前系统时间与请求时间戳之间的时间差和预设时间阈值。如果时间差大于预设时间阈值,则依据当前系统时间确定验证时间因子,该验证时间因子很可能与请求时间因子不一致。如果时间差不超过预设时间阈值,则依据请求时间戳确定验证时间因子。然后,根据请求时间戳来确定请求时间因子,进而确定出所有运算因子中除了请求时间因子之外的其他运算因子。之后,利用验证时间因子、其他运算因子和请求运算符,计算获得验证算式结果。
S213、若验证算式结果与请求算式结果不一致,则确定当前用户为异常用户。
S214、若判断数据访问请求中包含异常请求参数,并且当前系统时间在异常请求参数的设定有效期之外,则确定当前用户为异常用户。
S215、依据数据访问请求确定当前访问行为参数,并将当前访问行为参数输入用户访问模型,根据用户访问模型的输出结果确定当前用户为正常用户或异常用户。
S216、若当前用户的已警告次数小于或等于预设警告次数,则允许当前用户访问数据平台中的数据,并将当前用户加入访问灰名单,且向当前用户发送警告信息。
具体地,当前用户为异常用户,且其已警告次数不超过预设警告次数时,需将其加入访问灰名单,以更新访问灰名单。
S217、若当前用户的已警告次数大于预设警告次数,则禁止当前用户访问数据平台中的数据,并将当前用户加入访问黑名单。
具体地,当前用户为异常用户,且其已警告次数超过预设警告次数时,需将其加入访问黑名单,以更新访问黑名单。
本实施例的技术方案,通过依据触发数据访问请求的当前用户的访问属性信息,判断当前用户是否在访问黑名单、访问灰名单或访问白名单中;若在访问黑名单中,则禁止客户端访问数据平台中的数据;若在访问白名单中,则允许客户端访问数据平台中的数据。实现了在利用预设数据防护方式对当前用户进行异常检测之前,先利用访问名单对当前用户进行初步检测,在初步检测结果为当前用户为黑名单用户或白名单用户时,直接对其进行相应的数据访问处理,减少后续异常用户检测的步骤,从而一定程度上进一步提高异常用户检测的效率,进一步提高数据安全性。通过若当前用户的已警告次数小于或等于预设警告次数,则允许当前用户访问数据平台中的数据,并将当前用户加入访问灰名单,且向当前用户发送警告信息;若当前用户的已警告次数大于预设警告次数,则禁止当前用户访问数据平台中的数据,并将当前用户加入访问黑名单。实现了访问名单的动态更新,能够进一步提高基于访问名单进行异常用户检测的效率,从而进一步提高数据安全性。通过若判断请求时间戳与当前系统时间之间的时间差大于预设时间阈值,则确定当前用户为异常用户。实现了采用基于安全密钥验证的防护方式时,先利用请求时间戳进行异常用户检测,能够进一步减少异常用户检测的步骤,从而更进一步提高异常用户检测效率。通过依据数据访问请求中当前用户的用户标识,从用户与安全密钥之间的映射表中确定当前用户对应的目标安全密钥;依据目标安全密钥、数据访问请求中的请求时间戳和统一资源定位符,采用预设加密算法,生成验证密文。实现了利用与当前用户一一对应的目标安全密钥、与访问请求一一对应的统一资源定位符和请求时间戳来进行密文验证,提高了验证的个性化程度和实时性,从而进一步提高了异常用户检测准确性,进而更进一步提高数据安全性。通过对数据访问请求中包含的请求算式密文进行解密,获得运算因子、请求运算符和请求算式结果;若从验证运算符池中匹配出请求运算符,则依据请求时间戳、当前系统时间和预设时间阈值,确定验证时间因子,并依据验证时间因子、运算因子中除请求时间因子之外的其他运算因子和请求运算符,确定验证算式结果。实现了随机确定的运算符和基于时间戳的运算因子的双重验证,提高了验证的随机性和实时性,从而进一步提高了异常用户检测准确性,进而更进一步提高数据安全性。
实施例三
本实施例提供的数据防护方法可适用于对存储于计算机系统的数据(如云端存储的大数据)进行安全防护。该方法可以由配置于客户端的数据防护装置来执行,该装置可以由软件和/或硬件的方式实现,该装置可以集成在客户端端对应的电子设备中,例如手机、掌上电脑、便携式笔记本或台式电脑等。其中,与上述各实施例相同或相应的术语的解释在此不再赘述。
参见图3,本实施例的方法具体包括如下步骤:
S310、依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种。
具体地,客户端在访问数据平台时,先根据要访问的网站,以及基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种的预设数据防护方式,生成数据访问请求。若采用的预设数据防护方式不同,客户端生成的数据访问请求中携带的信息也会不同。
若预设数据防护方式为基于安全密钥验证的防护方式,则依据当前用户对应的目标安全密钥生成请求密钥密文,并将请求密钥密文作为请求参数生成数据访问请求。这样可以从用户针对性角度进行数据防护,避免异常用户盗用正常用户的安全密钥进行数据访问,提高数据安全性。
示例性地,依据基于安全密钥验证的防护方式,生成访问数据平台中数据的数据访问请求包括:依据当前用户的用户标识以及用户与安全密钥之间的映射表,确定当前用户对应的目标安全密钥;依据目标安全密钥、请求时间戳和请求的统一资源定位符,采用预设加密算法,生成请求密钥密文,并将请求密钥密文作为请求参数生成数据访问请求。具体地,为了提高客户端生成请求密钥密文的效率,本实施例中将用户与安全密钥之间的映射表同步存储至cookie、独立管理映射表的密钥服务端缓存空间和密钥服务端数据库中。当客户端要生成请求密钥密文时,先从cookie中存储的映射表中查找当前用户的用户标识对应的目标安全密钥。若未查到,则从密钥服务端缓存空间中存储的映射表中查找用户标识对应的目标安全密钥。若仍未查找到,则从密钥服务端数据库中存储的映射表中查找用户标识对应的目标安全密钥。确定了目标安全密钥之后,便利用该目标安全密钥,采用预设加密算法,对请求时间戳和不带固定参数的URL进行加密,生成请求密钥密文。将该请求密钥密文作为请求参数之一来生成数据访问请求。提高了请求密钥密文的个性化程度和实时性。
若预设数据防护方式为基于安全算式验证的防护方式,则依据运算因子和请求运算符生成请求算式结果,并将加密后的请求算式结果作为请求参数生成数据访问请求。该运算因子和运算符可以随机确定,也可以按照预先设定的规则(如从备选项中随机选择)来确定。这样可以从运算式构建的随机性角度进行防护,能够检测出未采用运算式或采用固定运算式进行数据访问的异常用户,提高数据安全性。
示例性地,依据基于安全算式的防护方式,生成访问数据平台中数据的数据访问请求包括:依据请求时间戳确定请求时间因子,并将至少一个随机数和请求时间因子作为运算因子;从本地运算符池中确定至少一个预设运算符作为请求运算符;依据运算因子和请求运算符构建请求算式密文,并将请求算式密文作为请求参数生成数据访问请求。具体地,为了提高运算式的可追溯性和实时性,本实施例中将其中一个运算因子设置为根据请求时间戳来确定,例如请求时间戳为8点59分,则将小时数8作为请求时间因子,其他的运算因子由随机数确定。同时,请求运算符从本地运算符池中的预设运算符中随机确定。客户端中的运算符池和数据防护服务端中的运算符池中的预设运算符相同。之后,客户端根据请求时间因子、其他随机确定的运算因子和请求运算符计算出请求算式结果,并对其加密生成请求算式密文。最后,将该请求算式密文作为请求参数之一生成数据访问请求。
若预设数据防护方式为基于异常请求参数的防护方式,则客户端根据异常请求参数是否处于其设定有效期内,确定数据访问请求中是否携带该异常请求参数。
示例性地,依据基于异常请求参数的防护方式,生成访问数据平台中数据的数据访问请求包括:若当前系统时间在异常请求参数的设定有效期内,则依据异常请求参数和正常请求参数生成数据访问请求,其中,异常请求参数为预先设定的无效请求参数,正常请求参数与请求的统一资源定位符中设定的请求参数一致;若当前系统时间在异常请求参数的设定有效期之外,则依据正常请求参数生成数据访问请求。具体地,对于防护破解能力强的异常用户,可以通过投放诱饵参数的方式来检测。客户端在生成数据访问请求时,先判断当前系统时间是否处于异常请求参数的设定有效期内。若是,则将该异常请求参数和URL约定的正常请求参数均作为请求参数来生成数据访问请求。若否,则将正常请求参数作为请求参数来生成数据访问请求。
示例性地,预设数据防护方式还包括基于使用用户画像构建的用户访问模型的防护方式。由于基于使用用户画像构建的用户访问模型的防护方式是全方位地利用用户行为数据来进行异常用户检测的一种数据防护方式,故可以将其与其他数据防护方式结合使用,来进一步增强数据防护效果。基于该防护方式生成数据访问请求时,只需将正常请求参数作为请求参数即可。
需要说明的是,如果是将多种预设数据防护方式组合,那么数据访问请求中就需携带更多的请求参数。例如,将四种防护方式组合,并假设当前系统时间处于异常请求参数的设定有效期内,那么客户端就需要按照前述说明来生成请求密钥密文和请求算式密文,然后将请求密钥密文、请求算式密文、异常请求参数和URL的正常访问参数全部作为请求参数来生成数据访问请求。当数据防护服务端接收到该数据访问请求后,会采用四种防护方式组合检测异常用户。
S320、将数据访问请求发送至数据防护服务端,以使数据防护服务端依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,并依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
具体地,客户端将生成的数据访问请求发送至数据防护服务端。数据防护服务端接收到后,便会根据其中包含的请求参数,来确定采用哪一种或哪几种数据防护方式进行异常用户检测。例如,数据防护服务端通过数据访问请求获得了请求密钥密文、请求算式密文和URL的正常访问参数,那么至少可以采用基于安全密钥验证的防护方式和基于安全算式验证的防护方式进行异常用户检测,同时可以叠加使用基于异常请求参数验证的防护方式和/或基于使用用户画像构建的用户访问模型的防护方式。
本实施例的技术方案,通过依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;将数据访问请求发送至数据防护服务端,以使数据防护服务端依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,并依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。实现了根据一种或多种预设数据防护方式来生成包含相应请求参数的数据访问请求,使得数据防护服务端可以基于该数据访问请求进行不同防护角度的实时信息验证,解决了黑名单容易被绕过而导致数据风险的问题,提高了数据防护的准确性和全面性,从而提高了数据安全性。
实施例四
本实施例提供一种数据安全防护装置,配置于数据防护服务端,参见图4,该装置具体包括:
数据访问请求接收模块410,用于接收客户端发送的数据访问请求;
用户异常检测模块420,用于依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
防护处理模块430,用于依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
可选地,预设数据防护方式还包括基于使用用户画像构建的用户访问模型的防护方式。
可选地,用户异常检测模块420包括第一检测子模块,用于:
若预设数据防护方式为基于安全密钥验证的防护方式,则依据当前用户对应的目标安全密钥和数据访问请求生成验证密文,并在验证密文与数据访问请求中的请求密钥密文不一致的情况下,确定当前用户为异常用户。
进一步地,第一检测子模块具体用于:
依据数据访问请求中当前用户的用户标识,从用户与安全密钥之间的映射表中确定当前用户对应的目标安全密钥;
依据目标安全密钥、数据访问请求中的请求时间戳和统一资源定位符,采用预设加密算法,生成验证密文;
相应地,请求密钥密文为客户端采用预设加密算法对目标安全密钥、请求时间戳和统一资源定位符进行加密而得到。
进一步地,第一检测子模块还用于:
在依据安全密钥、数据访问请求中的请求时间戳和统一资源定位符,采用预设加密算法,生成验证密文之前,若判断请求时间戳与当前系统时间之间的时间差大于预设时间阈值,则确定当前用户为异常用户。
可选地,用户异常检测模块420包括第二检测子模块,用于:
若预设数据防护方式为基于安全算式验证的防护方式,则依据数据访问请求中的请求算式密文,确定运算因子、请求运算符和请求算式结果,并依据运算因子和请求运算符确定验证算式结果;
若验证算式结果与请求算式结果不一致,则确定当前用户为异常用户。
进一步地,第二检测子模块具体用于:
对数据访问请求中包含的请求算式密文进行解密,获得运算因子、请求运算符和请求算式结果,其中,运算因子中包含由请求时间戳生成的请求时间因子,请求运算符为客户端从本地运算符池中确定的;
若从验证运算符池中匹配出请求运算符,则依据请求时间戳、当前系统时间和预设时间阈值,确定验证时间因子,并依据验证时间因子、运算因子中除请求时间因子之外的其他运算因子和请求运算符,确定验证算式结果。
可选地,用户异常检测模块420包括第三检测子模块,用于:
若预设数据防护方式为基于异常请求参数验证的防护方式,则若判断数据访问请求中包含异常请求参数,并且当前系统时间在异常请求参数的设定有效期之外,则确定当前用户为异常用户,其中,异常请求参数为预先设定的无效请求参数。
可选地,用户异常检测模块420包括第四检测子模块,用于:
若预设数据防护方式为基于使用用户画像构建的用户访问模型的防护方式,则依据数据访问请求确定当前访问行为参数,并将当前访问行为参数输入用户访问模型,根据用户访问模型的输出结果确定当前用户为正常用户或异常用户,其中,用户访问模型是依据多个用户的历史访问日志对机器学习模型进行训练而得到。
可选地,数据平台中的数据同时存储于外网区块链和内网区块链中,且外网区块链和内网区块链中的加解密方式和密钥均不同。
可选地,在上述装置的基础上,该装置还包括数据加密下发模块,用于:
在依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理之后,若当前用户正常访问数据平台中的数据,则依据与当前用户匹配的接口密钥,加密数据平台中的设定数据,生成接口加密数据;
将接口加密数据和接口密钥,通过服务接口下发至客户端,以使客户端依据当前用户的用户标识和接口密钥,解密接口加密数据。
可选地,在上述装置的基础上,该装置还包括基于名单检测模块,用于:
在依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测之前,依据触发数据访问请求的当前用户的访问属性信息,判断当前用户是否在访问黑名单、访问灰名单或访问白名单中,其中,访问黑名单中存储禁止访问数据的用户信息,访问灰名单中存储被警告但未禁止访问数据的用户信息,访问白名单中存储允许访问数据的用户信息;
若在访问黑名单中,则禁止客户端访问数据平台中的数据;
若在访问白名单中,则允许客户端访问数据平台中的数据;
若在访问灰名单中或不在任一名单中,则执行依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测的步骤。
进一步地,防护处理模块430具体用于:
若当前用户的已警告次数小于或等于预设警告次数,则允许当前用户访问数据平台中的数据,并将当前用户加入访问灰名单,且向当前用户发送警告信息;
若当前用户的已警告次数大于预设警告次数,则禁止当前用户访问数据平台中的数据,并将当前用户加入访问黑名单。
通过本发明实施例四的一种数据防护装置,实现了采用包含一种或多种基于数据访问请求中携带的当前访问信息进行实时验证的预设数据防护方式对当前用户进行异常检测,解决了黑名单容易被绕过而导致数据风险的问题,提高了异常用户检测的准确性和全面性,从而提高了数据安全性。
本发明实施例所提供的数据防护装置可执行本发明任意实施例所提供的应用于数据防护服务端的数据防护方法,具备执行方法相应的功能模块和有益效果。
实施例五
本实施例提供一种数据安全防护装置,配置于客户端,参见图5,该装置具体包括:
数据访问请求生成模块510,用于依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
数据访问请求发送模块520,用于将数据访问请求发送至数据防护服务端,以使数据防护服务端依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,并依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
可选地,预设数据防护方式还包括基于使用用户画像构建的用户访问模型的防护方式。
可选地,数据访问请求生成模块510包括第一请求生成子模块,用于:
若预设数据防护方式为基于安全密钥验证的防护方式,则依据当前用户对应的目标安全密钥生成请求密钥密文,并将请求密钥密文作为请求参数生成数据访问请求。
进一步地,第一请求生成子模块具体用于:
依据当前用户的用户标识以及用户与安全密钥之间的映射表,确定当前用户对应的目标安全密钥;
依据目标安全密钥、请求时间戳和请求的统一资源定位符,采用预设加密算法,生成请求密钥密文,并将请求密钥密文作为请求参数生成数据访问请求。
可选地,数据访问请求生成模块510包括第二请求生成子模块,用于:
若预设数据防护方式为基于安全算式验证的防护方式,则依据运算因子和请求运算符生成请求算式结果,并将加密后的请求算式结果作为请求参数生成数据访问请求。
进一步地,第二请求生成子模块具体用于:
依据请求时间戳确定请求时间因子,并将至少一个随机数和请求时间因子作为运算因子;
从本地运算符池中确定至少一个预设运算符作为请求运算符;
依据运算因子和请求运算符构建请求算式密文,并将请求算式密文作为请求参数生成数据访问请求。
可选地,数据访问请求生成模块510包括第三请求生成子模块,用于:
若预设数据防护方式为基于异常请求参数的防护方式,则客户端根据异常请求参数是否处于其设定有效期内,确定数据访问请求中是否携带该异常请求参数。
进一步地,第三请求生成子模块具体用于:
若当前系统时间在异常请求参数的设定有效期内,则依据异常请求参数和正常请求参数生成数据访问请求,其中,异常请求参数为预先设定的无效请求参数,正常请求参数与请求的统一资源定位符中设定的请求参数一致;
若当前系统时间在异常请求参数的设定有效期之外,则依据正常请求参数生成数据访问请求。
通过本发明实施例五的一种数据防护装置,实现了根据一种或多种预设数据防护方式来生成包含相应请求参数的数据访问请求,使得数据防护服务端可以基于该数据访问请求进行不同防护角度的实时信息验证,解决了黑名单容易被绕过而导致数据风险的问题,提高了数据防护的准确性和全面性,从而提高了数据安全性。
本发明实施例所提供的数据防护装置可执行本发明任意实施例所提供的应用于客户端的数据防护方法,具备执行方法相应的功能模块和有益效果。
值得注意的是,上述各数据防护装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
实施例六
参见图6,本实施例提供了一种电子设备,其包括:一个或多个处理器620;存储装置610,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器620执行,使得一个或多个处理器620实现本发明实施例所提供的应用于数据防护服务端的数据防护方法,包括:
接收客户端发送的数据访问请求;
依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
当然,本领域技术人员可以理解,处理器620还可以实现本发明任意实施例所提供的应用于数据防护服务端的数据防护方法的技术方案。
图6显示的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。如图6所示,该电子设备包括处理器620、存储装置610、输入装置630和输出装置640;电子设备中处理器620的数量可以是一个或多个,图6中以一个处理器620为例;电子设备中的处理器620、存储装置610、输入装置630和输出装置640可以通过总线或其他方式连接,图6中以通过总线650连接为例。
存储装置610作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的应用于数据防护服务端的数据防护方法对应的程序指令/模块(例如,应用于数据防护服务端的数据防护装置中的数据访问请求接收模块、用户异常检测模块和防护处理模块)。
存储装置610可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置610可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置610可进一步包括相对于处理器620远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置630可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置640可包括显示屏等显示设备。
本发明实施例还提供了另一电子设备,其包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本发明实施例所提供的应用于客户端的数据防护方法,包括:
依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
将数据访问请求发送至数据防护服务端,以使数据防护服务端依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,并依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
当然,本领域技术人员可以理解,处理器还可以实现本发明任意实施例所提供的应用于客户端的数据防护方法的技术方案。该电子设备的硬件结构以及功能可参见实施例六的内容解释。
实施例七
本实施例提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种应用于数据防护服务端的数据防护方法,该方法包括:
接收客户端发送的数据访问请求;
依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上的方法操作,还可以执行本发明任意实施例所提供的应用于数据防护服务端的数据防护方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所提供的应用于数据防护服务端的数据防护方法。
本发明实施例还提供了另一种计算机可读存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种应用于客户端的数据防护方法,该方法包括:
依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
将数据访问请求发送至数据防护服务端,以使数据防护服务端依据数据访问请求,采用预设数据防护方式,对触发数据访问请求的当前用户进行异常检测,并依据异常检测结果对当前用户进行正常访问或异常访问的数据防护处理。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上的方法操作,还可以执行本发明任意实施例所提供的应用于客户端的数据防护方法中的相关操作。对存储介质的介绍可参见实施例七中的内容解释。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (18)

1.一种数据防护方法,其特征在于,应用于数据防护服务端,包括:
接收客户端发送的数据访问请求;
依据所述数据访问请求,采用预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
2.根据权利要求1所述的方法,其特征在于,依据所述数据访问请求,采用基于安全密钥验证的防护方式,对触发所述数据访问请求的当前用户进行异常检测包括:
依据所述当前用户对应的目标安全密钥和所述数据访问请求生成验证密文,并在所述验证密文与所述数据访问请求中的请求密钥密文不一致的情况下,确定所述当前用户为异常用户。
3.根据权利要求2所述的方法,其特征在于,依据所述当前用户对应的目标安全密钥和所述数据访问请求生成验证密文包括:
依据所述数据访问请求中所述当前用户的用户标识,从用户与安全密钥之间的映射表中确定所述当前用户对应的目标安全密钥;
依据所述目标安全密钥、所述数据访问请求中的请求时间戳和统一资源定位符,采用预设加密算法,生成验证密文;
相应地,所述请求密钥密文为所述客户端采用所述预设加密算法对所述目标安全密钥、所述请求时间戳和所述统一资源定位符进行加密而得到。
4.根据权利要求3所述的方法,其特征在于,在依据所述安全密钥、所述数据访问请求中的请求时间戳和统一资源定位符,采用预设加密算法,生成验证密文之前,还包括:
若判断所述请求时间戳与当前系统时间之间的时间差大于预设时间阈值,则确定所述当前用户为异常用户。
5.根据权利要求1所述的方法,其特征在于,依据所述数据访问请求,采用基于安全算式验证的防护方式,对触发所述数据访问请求的当前用户进行异常检测包括:
依据所述数据访问请求中的请求算式密文,确定运算因子、请求运算符和请求算式结果,并依据所述运算因子和所述请求运算符确定验证算式结果;
若所述验证算式结果与所述请求算式结果不一致,则确定所述当前用户为异常用户。
6.根据权利要求5所述的方法,其特征在于,依据所述数据访问请求中的请求算式密文,确定运算因子、请求运算符和请求算式结果,并依据所述运算因子和所述请求运算符确定验证算式结果包括:
对所述数据访问请求中包含的请求算式密文进行解密,获得所述运算因子、所述请求运算符和所述请求算式结果,其中,所述运算因子中包含由请求时间戳生成的请求时间因子,所述请求运算符为所述客户端从本地运算符池中确定的;
若从所述验证运算符池中匹配出所述请求运算符,则依据所述请求时间戳、当前系统时间和预设时间阈值,确定验证时间因子,并依据所述验证时间因子、所述运算因子中除所述请求时间因子之外的其他运算因子和所述请求运算符,确定所述验证算式结果。
7.根据权利要求1所述的方法,其特征在于,依据所述数据访问请求,采用基于异常请求参数验证的防护方式,对触发所述数据访问请求的当前用户进行异常检测包括:
若判断所述数据访问请求中包含异常请求参数,并且当前系统时间在所述异常请求参数的设定有效期之外,则确定所述当前用户为异常用户,其中,所述异常请求参数为预先设定的无效请求参数。
8.根据权利要求1所述的方法,其特征在于,数据平台中的数据同时存储于外网区块链和内网区块链中,且所述外网区块链和所述内网区块链中的加解密方式和密钥均不同;或者
在依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理之后,还包括:
若所述当前用户正常访问数据平台中的数据,则依据与所述当前用户匹配的接口密钥,加密所述数据平台中的设定数据,生成接口加密数据;
将所述接口加密数据和所述接口密钥,通过服务接口下发至所述客户端,以使所述客户端依据所述当前用户的用户标识和所述接口密钥,解密所述接口加密数据。
9.根据权利要求1所述的方法,其特征在于,在依据所述数据访问请求,采用预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测之前,还包括:
依据触发所述数据访问请求的当前用户的访问属性信息,判断所述当前用户是否在访问黑名单、访问灰名单或访问白名单中,其中,所述访问黑名单中存储禁止访问数据的用户信息,所述访问灰名单中存储被警告但未禁止访问数据的用户信息,所述访问白名单中存储允许访问数据的用户信息;
若在所述访问黑名单中,则禁止所述客户端访问数据平台中的数据;
若在所述访问白名单中,则允许所述客户端访问所述数据平台中的数据;
若在所述访问灰名单中或不在任一名单中,则执行所述依据所述数据访问请求,采用预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测的步骤。
10.根据权利要求9所述的方法,其特征在于,对所述当前用户进行异常访问的数据防护处理包括:
若所述当前用户的已警告次数小于或等于预设警告次数,则允许所述当前用户访问数据平台中的数据,并将所述当前用户加入所述访问灰名单,且向所述当前用户发送警告信息;
若所述当前用户的已警告次数大于预设警告次数,则禁止所述当前用户访问数据平台中的数据,并将所述当前用户加入所述访问黑名单。
11.一种数据防护方法,其特征在于,应用于客户端,包括:
依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
将所述数据访问请求发送至数据防护服务端,以使所述数据防护服务端依据所述数据访问请求,采用所述预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,并依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
12.根据权利要求11所述的方法,其特征在于,依据所述基于安全密钥验证的防护方式,生成访问数据平台中数据的数据访问请求包括:
依据所述当前用户的用户标识以及用户与安全密钥之间的映射表,确定所述当前用户对应的目标安全密钥;
依据所述目标安全密钥、请求时间戳和请求的统一资源定位符,采用预设加密算法,生成请求密钥密文,并将所述请求密钥密文作为请求参数生成所述数据访问请求。
13.根据权利要求11所述的方法,其特征在于,依据所述基于安全算式的防护方式,生成访问数据平台中数据的数据访问请求包括:
依据请求时间戳确定请求时间因子,并将至少一个随机数和所述请求时间因子作为运算因子;
从本地运算符池中确定至少一个预设运算符作为请求运算符;
依据所述运算因子和所述请求运算符构建请求算式密文,并将所述请求算式密文作为请求参数生成所述数据访问请求。
14.根据权利要求11所述的方法,其特征在于,依据所述基于异常请求参数的防护方式,生成访问数据平台中数据的数据访问请求包括:
若当前系统时间在异常请求参数的设定有效期内,则依据所述异常请求参数和正常请求参数生成所述数据访问请求,其中,所述异常请求参数为预先设定的无效请求参数,所述正常请求参数与请求的统一资源定位符中设定的请求参数一致;
若当前系统时间在所述异常请求参数的设定有效期之外,则依据所述正常请求参数生成所述数据访问请求。
15.一种数据安全防护装置,其特征在于,配置于数据防护服务端,包括:
数据访问请求接收模块,用于接收客户端发送的数据访问请求;
用户异常检测模块,用于依据所述数据访问请求,采用预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
防护处理模块,用于依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
16.一种数据安全防护装置,其特征在于,配置于客户端,包括:
数据访问请求生成模块,用于依据预设数据防护方式,生成访问数据平台中数据的数据访问请求,其中,所述预设数据防护方式包括基于安全密钥验证的防护方式、基于安全算式验证的防护方式和基于异常请求参数验证的防护方式中的至少一种;
数据访问请求发送模块,用于将所述数据访问请求发送至数据防护服务端,以使所述数据防护服务端依据所述数据访问请求,采用所述预设数据防护方式,对触发所述数据访问请求的当前用户进行异常检测,并依据异常检测结果对所述当前用户进行正常访问或异常访问的数据防护处理。
17.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-10中任一所述的数据安全防护方法或权利要求11-14中任一所述的数据安全防护方法。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-10中任一所述的数据安全防护方法或权利要求11-14中任一所述的数据安全防护方法。
CN202010478689.4A 2020-05-29 2020-05-29 数据安全防护方法、装置、设备和存储介质 Active CN111756702B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010478689.4A CN111756702B (zh) 2020-05-29 2020-05-29 数据安全防护方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010478689.4A CN111756702B (zh) 2020-05-29 2020-05-29 数据安全防护方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN111756702A true CN111756702A (zh) 2020-10-09
CN111756702B CN111756702B (zh) 2022-11-08

Family

ID=72674279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010478689.4A Active CN111756702B (zh) 2020-05-29 2020-05-29 数据安全防护方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN111756702B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112733182A (zh) * 2020-12-22 2021-04-30 航天信息股份有限公司 一种区块链节点访问内网隐私数据的方法及系统
CN115022019A (zh) * 2022-05-31 2022-09-06 中国银行股份有限公司 基于区块链的异常文件检测方法、装置和设备
WO2023093206A1 (zh) * 2021-11-24 2023-06-01 中国银联股份有限公司 一种网页访问限流方法、装置及计算机可读存储介质
US11706241B1 (en) 2020-04-08 2023-07-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US11720686B1 (en) * 2020-04-08 2023-08-08 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal
US11777992B1 (en) 2020-04-08 2023-10-03 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US12015630B1 (en) 2020-04-08 2024-06-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with vulnerability remediation circuitry
CN115022019B (zh) * 2022-05-31 2024-10-25 中国银行股份有限公司 基于区块链的异常文件检测方法、装置和设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104901971A (zh) * 2015-06-23 2015-09-09 北京东方棱镜科技有限公司 对网络行为进行安全分析的方法和装置
CN105306473A (zh) * 2015-11-05 2016-02-03 北京奇虎科技有限公司 一种防止注入攻击的方法、客户端、服务器和系统
CN105657456A (zh) * 2016-03-10 2016-06-08 腾讯科技(深圳)有限公司 一种多媒体数据的处理方法、装置和系统
CN107230116A (zh) * 2016-03-23 2017-10-03 阿里巴巴集团控股有限公司 交易请求处理方法、装置以及分布式系统
US20170295180A1 (en) * 2016-04-06 2017-10-12 Guardtime Ip Holdings Limited System and Method for Access Control Using Context-Based Proof
CN109979051A (zh) * 2019-03-04 2019-07-05 北京旷视科技有限公司 用于核验用户身份的方法、装置和计算机可读存储介质
CN110401654A (zh) * 2019-07-23 2019-11-01 广州市百果园信息技术有限公司 一种业务访问的方法、装置、系统、设备和存储介质
CN110493258A (zh) * 2019-09-09 2019-11-22 平安普惠企业管理有限公司 基于token令牌的身份校验方法及相关设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104901971A (zh) * 2015-06-23 2015-09-09 北京东方棱镜科技有限公司 对网络行为进行安全分析的方法和装置
CN105306473A (zh) * 2015-11-05 2016-02-03 北京奇虎科技有限公司 一种防止注入攻击的方法、客户端、服务器和系统
CN105657456A (zh) * 2016-03-10 2016-06-08 腾讯科技(深圳)有限公司 一种多媒体数据的处理方法、装置和系统
CN107230116A (zh) * 2016-03-23 2017-10-03 阿里巴巴集团控股有限公司 交易请求处理方法、装置以及分布式系统
US20170295180A1 (en) * 2016-04-06 2017-10-12 Guardtime Ip Holdings Limited System and Method for Access Control Using Context-Based Proof
CN109979051A (zh) * 2019-03-04 2019-07-05 北京旷视科技有限公司 用于核验用户身份的方法、装置和计算机可读存储介质
CN110401654A (zh) * 2019-07-23 2019-11-01 广州市百果园信息技术有限公司 一种业务访问的方法、装置、系统、设备和存储介质
CN110493258A (zh) * 2019-09-09 2019-11-22 平安普惠企业管理有限公司 基于token令牌的身份校验方法及相关设备

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11706241B1 (en) 2020-04-08 2023-07-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US11720686B1 (en) * 2020-04-08 2023-08-08 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal
US11777992B1 (en) 2020-04-08 2023-10-03 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US12015630B1 (en) 2020-04-08 2024-06-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with vulnerability remediation circuitry
CN112733182A (zh) * 2020-12-22 2021-04-30 航天信息股份有限公司 一种区块链节点访问内网隐私数据的方法及系统
WO2023093206A1 (zh) * 2021-11-24 2023-06-01 中国银联股份有限公司 一种网页访问限流方法、装置及计算机可读存储介质
CN115022019A (zh) * 2022-05-31 2022-09-06 中国银行股份有限公司 基于区块链的异常文件检测方法、装置和设备
CN115022019B (zh) * 2022-05-31 2024-10-25 中国银行股份有限公司 基于区块链的异常文件检测方法、装置和设备

Also Published As

Publication number Publication date
CN111756702B (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
CN111756702B (zh) 数据安全防护方法、装置、设备和存储介质
Cabaj et al. Using software-defined networking for ransomware mitigation: the case of cryptowall
Ghafir et al. Botdet: A system for real time botnet command and control traffic detection
Khan A survey of security issues for cloud computing
US10268840B2 (en) Systems and methods of determining compromised identity information
Zhang et al. Cryptographic public verification of data integrity for cloud storage systems
US10642906B2 (en) Detection of coordinated cyber-attacks
CN113542253B (zh) 一种网络流量检测方法、装置、设备及介质
CN112468460A (zh) Http请求检测方法、装置、计算机设备及存储介质
Ng et al. Applying data mining techniques to intrusion detection
Keong Ng et al. VoterChoice: A ransomware detection honeypot with multiple voting framework
Selvakani et al. Genetic Algorithm for framing rules for Intrusion Detection
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Bedi et al. Analysis of detection and prevention of malware in cloud computing environment
Dong et al. User behaviour based phishing websites detection
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
Agrawal et al. A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS.
Kontaxis et al. Computational decoys for cloud security
Mithu et al. Secure industrial control system with intrusion detection
KR102086375B1 (ko) 악성 소프트웨어에 대한 실시간 예방 및 사후 복구를 위한 보안 시스템 및 그 방법
CN117354057B (zh) 恶意流量检测方法、装置及设备
Singh et al. Vulnerability of Cyber Security in Cloud Computing Environment
IL258345B2 (en) A rapid framework for ensuring cyber protection, inspired by biological systems
Khan et al. Prevention of Web-Form Spamming for Cloud Based Applications: A Proposed Model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant