CN111865924A - 一种监控用户端方法及系统 - Google Patents
一种监控用户端方法及系统 Download PDFInfo
- Publication number
- CN111865924A CN111865924A CN202010590478.XA CN202010590478A CN111865924A CN 111865924 A CN111865924 A CN 111865924A CN 202010590478 A CN202010590478 A CN 202010590478A CN 111865924 A CN111865924 A CN 111865924A
- Authority
- CN
- China
- Prior art keywords
- user side
- service request
- data packet
- central server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种监控用户端方法及系统,包括:用户端周期性采集自身的指标数据并根据采集到的指标数据形成相应的第一数据包,并将生成的第一数据包上传给中心服务器;中心服务器根据接收到的第一数据包判断上传第一数据包的用户端是否为合法用户端;当上传第一数据包的用户端为合法用户端,中心服务器在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求;当合法用户端向中心服务器发送的服务请求是最新服务请求,中心服务器响应所述合法用户端发送的最新服务请求。根据服务器提供的数据包验证其是否合法从而快速辨别出合法服务,只接受合法服务器的服务请求可及时防止非法服务器造成的恶意攻击。
Description
技术领域
本发明涉及数据安全,具体涉及一种监控用户端方法及系统。
背景技术
通常,判断服务器(用户侧)是否为安全时,通常采集在用户侧安装agent,通过agent采集服务器自身指标数据,agent工作流通常如下:
agent采集服务器自身指标数据并写入本地文本文件;然后利用rsync文件同步技术将存有自服务器指标数据的本地文本文件同步到中心服务器;中心服务器读取每个存有自服务器指标数据的文件并解析其内容。
在实现本发明过程中,申请人发现现有技术中至少存在如下问题:
采用上述方法分析服务器自身指标数据慢,分析效率低,对正常用户侧回传数据慢。
发明内容
本发明实施例提供一种监控用户端方法及系统,根据服务器提供的数据包验证服务器是否合法,从而快速辨别出合法服务,只接受合法服务器的服务请求可及时防止非法服务器可能造成的恶意攻击。
为达上述目的,一方面,本发明实施例提供一种监控用户端方法,包括:
用户端周期性采集自身的指标数据并根据采集到的指标数据形成相应的第一数据包,并将生成的第一数据包上传给中心服务器;
中心服务器根据接收到的第一数据包判断上传第一数据包的用户端是否为合法用户端;
如果上传第一数据包的用户端为合法用户端,则中心服务器在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求;
如果合法用户端向中心服务器发送的服务请求是最新服务请求,则中心服务器响应所述合法用户端发送的最新服务请求。
另一方面,本发明实施例提供一种监控用户端系统,包括:
用户端,用于周期性采集自身的指标数据并根据采集到的指标数据形成相应的第一数据包,并将生成的第一数据包上传给中心服务器;
中心服务器,用于根据接收到的第一数据包判断上传第一数据包的用户端是否为合法用户端;
如果上传第一数据包的用户端为合法用户端,则在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求;如果合法用户端向其发送的服务请求是最新服务请求,则响应所述合法用户端发送的最新服务请求。
上述技术方案具有如下有益效果:根据服务器提供的数据包验证服务器是否合法,从而快速辨别出合法服务,只接受合法服务器的服务请求可及时防止非法服务器可能造成的恶意攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的监控用户端方法的流程图;
图2是本发明实施例的监控用户端系统的结构图;
图3是本发明实施例的用户端数据监控框架示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,结合本发明的实施例,提供一种监控用户端方法,包括:
S101:用户端21周期性采集自身的指标数据并根据采集到的指标数据形成相应的第一数据包,并将生成的第一数据包上传给中心服务器22;
S102:中心服务器22根据接收到的第一数据包判断上传第一数据包的用户端21是否为合法用户端;
S103:如果上传第一数据包的用户端21为合法用户端,则中心服务器22在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求;
S104:如果合法用户端向中心服务器22发送的服务请求是最新服务请求,则中心服务器22响应所述合法用户端发送的最新服务请求。
优选地,步骤101具体包括:
S1011:用户端21采集自身的指标数据;
S1012:通过用户端私钥将用户端21采集到的指标数据加密生成签名,其中,所述用户端私钥通过中心服务器22生成并安装在用户端21内;
S1013:将用户端21的唯一标识、用户端21所采集的原始指标数据、以及根据采集到的指标数据生成的签名形成第一数据包,并将形成的第一数据包上传给中心服务器22。
优选地,步骤102具体包括:
S1021:中心服务器22生成与用户端私钥对应的用户端公钥,并将用户端公钥以键值对形式保存;其中公钥键值对的键为用户端21的唯一标识,公钥键值对的值为用户端公钥;
S1022:在接收到用户端21的第一数据包后,中心服务器22根据所述第一数据包内用户端21的唯一标识自公钥键值对获取用户端公钥,采用用户端公钥解密所述第一数据包内的签名;
S1023:将采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据进行比对;
S1024:当采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据一致时,判定上传第一数据包的用户端21为合法用户端;否则,为非法用户端。
优选地,还包括:
S105:如果中心服务器22在距离上次接收到用户端21的第一数据包超过预设时间段后接收到该用户端新的第一数据包,则移除该用户端21在中心服务器22内相应的用户端公钥。
优选地,还包括:
S106:如果上传第一数据包的用户端21为合法用户端,则将合法用户端的IP地址标记为白名单;
S107:如果上传第一数据包的用户端21为非法用户端,则将非法用户端的IP地址标记为黑名单,所述中心服务器22在链路层拦截标记为黑名单的IP地址发送的服务请求。
优选地,合法用户端通过上传第二数据包向中心服务器22发送服务请求,所述合法用户端上传的第二数据包包括用户端21的唯一标识、用户端21向中心服务器22发送的服务请求、以及用户端21向中心服务器22发送此次服务请求所对应的服务请求累计值;并将发送此次服务请求的时间点更新为用户端21采集自身的指标数据的本周期起点;
步骤103具体包括:
S1031:中心服务器22根据第二数据包中的合法用户端的唯一标识自服务请求累计键值对获取合法用户端的最新服务请求累计值,将接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值与最新服务请求累计值进行比较;其中,最新服务请求累计值以键值对形式保存在中心服务器22内,服务请求累计键值对的键为用户端21的唯一标识,服务请求累计键值对的值为最新服务请求累计值;
S1032:如果接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值大于最新服务请求累计值,则判定合法用户端此次发送的服务请求为最新服务请求;以及,根据接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值更新服务请求累计键值对的值;
S1033:如果接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值不大于最新服务请求累计值,则判定合法用户端此次发送的服务请求是已发送的服务请求被重新发送,不是最新服务请求。
优选地,如果上传第一数据包的用户端为合法用户端,则中心服务器在接收到合法用户端向其发送的服务请求时之后,在进一步判断合法用户端发送的服务请求是否为最新服务请求之前,验证该合法用户端是否还为合法用户端,那么第二数据包里除了用户端21的唯一标识、用户端21向中心服务器22发送的服务请求、以及用户端21向中心服务器22发送此次服务请求所对应的服务请求累计值,还包括用户端21即时所采集的原始指标数据、以及根据即时采集到的指标数据生成的签名。通过采用用户端公钥解密所述第二数据包内的签名;当采用用户端公钥解密签名后得到的解密数据与所述第二数据包内的原始指标数据一致时,则上传第二数据包的合法用户端依然合法;否则为非法。
如图2所示,结合本发明的实施例,提供一种监控用户端系统,包括:
用户端21,用于周期性采集自身的指标数据并根据采集到的指标数据形成相应的第一数据包,并将生成的第一数据包上传给中心服务器22;
中心服务器22,用于根据接收到的第一数据包判断上传第一数据包的用户端21是否为合法用户端;
如果上传第一数据包的用户端21为合法用户端,则在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求;
如果合法用户端向其发送的服务请求是最新服务请求,则响应所述合法用户端发送的最新服务请求。
优选地,所述用户端21包括:
指标数据采集子单元211,用于采集用户端21自身的指标数据;
签名生成子单元212,用于通过用户端私钥将指标数据采集子单元采集到的指标数据加密生成签名,其中,所述用户端私钥通过中心服务器22生成并安装在用户端21内;
数据包子单元213,用于将用户端21的唯一标识、用户端21所采集的原始指标数据、以及根据采集到的指标数据生成的签名形成第一数据包,并将形成的第一数据包上传给中心服务器22。
优选地,所述中心服务器22包括:
公钥子单元221,用于生成与用户端私钥对应的用户端公钥,并将用户端公钥以键值对形式保存;其中公钥键值对的键为用户端21的唯一标识,公钥键值对的值为用户端公钥;
解密子单元222,用于在接收到用户端21的第一数据包后,根据所述第一数据包内用户端21的唯一标识自公钥键值对获取用户端公钥,采用用户端公钥解密所述第一数据包内的签名;
判定子单元223,用于将采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据进行比对;当采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据一致时,判定上传第一数据包的用户端21为合法用户端;否则,为非法用户端。
优选地,所述中心服务器22还包括:
清除子单元224,用于如果在距离上次接收到用户端21的第一数据包超过预设时间段后接收到该用户端新的第一数据包,则移除该用户端21在中心服务器22内相应的用户端公钥。
优选地,所述中心服务器22还包括:
标记子单元225,用于当中心服务器22判定上传第一数据包的用户端21为合法用户端时,标将合法用户端的IP地址标记为白名单;当中心服务器22判定上传第一数据包的用户端21为非法用户端时,将非法用户端的IP地址标记为黑名单,以使所述中心服务器22在链路层拦截标记为黑名单的IP地址发送的服务请求。
优选地,所述中心服务器22包括服务请求累计比较子单元226、确认最新请求子单元227和确认非最新请求子单元228,其中:
用户端,具体用于如果本用户端21包括合法用户端,通过上传第二数据包向中心服务器22发送服务请求,所述上传的第二数据包包括用户端21的唯一标识、用户端21向中心服务器22发送的服务请求、以及用户端21向中心服务器22发送此次服务请求所对应的服务请求累计值;并将发送此次服务请求的时间点更新为用户端21采集自身的指标数据的本周期起点;
服务请求累计比较子单元226,用于根据第二数据包中的合法用户端21的唯一标识自服务请求累计键值对获取合法用户端的最新服务请求累计值,将接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值与最新服务请求累计值进行比较;其中,最新服务请求累计值以键值对形式保存在中心服务器22内,服务请求累计键值对的键为用户端21的唯一标识,服务请求累计键值对的值为最新服务请求累计值;
确认最新请求子单元227,用于当接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值大于最新服务请求累计值时,判定合法用户端此次发送的服务请求为最新服务请求;以及,根据接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值更新服务请求累计键值对的值;
确认非最新请求子单元228,用于当接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值不大于最新服务请求累计值,判定合法用户端此次发送的服务请求是已发送的服务请求被重新发送,不是最新服务请求。
本发明实施例所取得的有益效果为:
结合盘点号提高签名验证机制,提高了签名验证速度,提高服务器合法验证速度;根据签名验证服务器是否合法,从而实时更新黑名单的策略可及时防止恶意非法节点的攻击;通过确认是否为最新服务请求可以防止旧数据重复这种重放攻击。
下面结合具体的应用实例对本发明实施例上述技术方案进行详细说明,实施过程中没有介绍到的技术细节,可以参考前文的相关描述。
本发明为一种服务器监控数据采集架构设计,如图3所示,用于保障中心服务器的数据安全、防止重放攻击,实时屏蔽非法节点能够及时防止非法服务器回传数据。
每台服务器(用户端)会预先安装数据采集程序(称为”agent”),同时为每台服务器会分配一个私钥(私钥可为1024位)。
数据采集程序agent启动后将私钥加载内存并常驻内存,周期性(比如30s)采集服务器指标数据,在采集服务器指标数据后使用私钥根据服务器指标数据生成签名,将服务器指标原始数据、服务器唯一标识(盘点号或主板序列号)、nonce值(nonce值:为该服务器累计向中心服务器发送服务请求的次数;在向中心服务器发送服务请求时才会发送nonce值)、和签名形成数据包并同时发送给中心服务器data_center,也就是数据采集程序agent向data_center实时推送数据。
data_center收到agent发送的数据后处理流程如下:
在中心服务器存有每个服务器私钥所对应的公钥,服务器私钥对应的公钥和服务器的唯一标识(主板序列号或盘点号)以键值对key-value形式存储在接收服务器监控数据的中心数据接收集群(data_center)的盘点号:公钥键值对存储模块;其中key为主板序列号(盘点号),value为公钥。
将服务器数据包中服务器唯一标识(序列号)取出,之后根据序列号找到服务器私钥相应的公钥;data_center使用公钥对数据包内的签名进行解密,将签名解密后的数据与服务器指标原始数据进行比对,以验证私钥是否合法。也就是将签名解密后的数据与服务器指标原始数据一致,则表示服务器的私钥合法,私钥验证通过,如果私钥验证通过则认为该服务器是合法服务器,才允许进行与服务器有关的后续工作和以下步骤。否则数据包被丢弃,将来源(服务器)IP加入黑名单,加入黑名单后该ip在链路层被拒绝。
如果服务器是合法服务器,那么在合法服务器在向中心服务器发送服务请求时,Data_center取出nonce值,根据服务器唯一标识(盘点号)找到保存在中心服务中的该服务器最新nonce值。其中,最新nonce值以键值对保存在中心服务器内的盘点号:nonce值键值对存储模块,最新nonce值键值对的键为服务器唯一标识,最新nonce值键值对的值为最新nonce值。
如果数据包的nonce值小于等于data_center的最新nonce值,则数据包被认为是重放数据(旧数据被重新放入到中心服务器),那么该数据就会被丢弃,停止下一步操作;否则将数据包写入数据库,并更新data_center中的最新nonce值键值对的值,即将nonce值加1。
还有,data_center为集群中的每个服务器都会监控公钥增加或删除的动态及时更新本地公钥信息。data_center会更新每台服务器最后回传数据的时间,如果服务器超过预设时间段(比如1小时)不回传数据,该服务器对的公钥会被从data_center集群中移除。
本发明实施例所取得的有益效果为:
结合盘点号提高签名验证机制,提高了签名验证速度,提高服务器合法验证速度;根据签名验证服务器是否合法,从而实时更新黑名单的策略可及时防止恶意非法节点的攻击;通过确认是否为最新服务请求可以防止旧数据重复这种重放攻击。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种监控用户端方法,其特征在于,包括:
用户端周期性采集自身的指标数据并根据采集到的指标数据形成相应的第一数据包,并将生成的第一数据包上传给中心服务器;
中心服务器根据接收到的第一数据包判断上传第一数据包的用户端是否为合法用户端;
如果上传第一数据包的用户端为合法用户端,则中心服务器在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求;
如果合法用户端向中心服务器发送的服务请求是最新服务请求,则中心服务器响应所述合法用户端发送的最新服务请求。
2.根据权利要求1所述的监控用户端方法,其特征在于,所述用户端采集自身的指标数据并根据采集到的指标数据形成第一数据包,并将生成的第一数据包上传给中心服务器,具体包括:
用户端采集自身的指标数据;
通过用户端私钥将用户端采集到的指标数据加密生成签名,其中,所述用户端私钥通过中心服务器生成并安装在用户端内;
将用户端的唯一标识、用户端所采集的原始指标数据、以及根据采集到的指标数据生成的签名形成第一数据包,并将形成的第一数据包上传给中心服务器。
3.根据权利要求2所述的监控用户端方法,其特征在于,所述中心服务器根据接收到的第一数据包判断上传第一数据包的用户端是否为合法用户端,具体包括:
中心服务器生成与用户端私钥对应的用户端公钥,并将用户端公钥以键值对形式保存;其中公钥键值对的键为用户端的唯一标识,公钥键值对的值为用户端公钥;
在接收到用户端的第一数据包后,中心服务器根据所述第一数据包内用户端的唯一标识自公钥键值对获取用户端公钥,采用用户端公钥解密所述第一数据包内的签名;
并将采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据进行比对;
当采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据一致时,判定上传第一数据包的用户端为合法用户端;否则,为非法用户端。
4.根据权利要求3所述的监控用户端方法,其特征在于,还包括:
如果中心服务器在距离上次接收到用户端的第一数据包超过预设时间段后接收到该用户端新的第一数据包,则移除该用户端在中心服务器内相应的用户端公钥。
5.根据权利要求1所述的监控用户端方法,其特征在于,所述中心服务器根据接收到的第一数据包判断上传第一数据包的用户端是否为合法用户端之后,还包括:
如果上传第一数据包的用户端为合法用户端,则将合法用户端的IP地址标记为白名单;
如果上传第一数据包的用户端为非法用户端,则将非法用户端的IP地址标记为黑名单,所述中心服务器在链路层拦截标记为黑名单的IP地址发送的服务请求。
6.根据权利要求2所述的监控用户端方法,其特征在于,合法用户端通过上传第二数据包向中心服务器发送服务请求,所述合法用户端上传的第二数据包包括用户端的唯一标识、用户端向中心服务器发送的服务请求、以及用户端向中心服务器发送此次服务请求所对应的服务请求累计值;并将发送此次服务请求的时间点更新为用户端采集自身的指标数据的本周期起点;
所述中心服务器在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求,具体包括:
中心服务器根据第二数据包中的合法用户端的唯一标识自服务请求累计键值对获取合法用户端的最新服务请求累计值,将接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值与最新服务请求累计值进行比较;其中,最新服务请求累计值以键值对形式保存在中心服务器内,服务请求累计键值对的键为用户端的唯一标识,服务请求累计键值对的值为最新服务请求累计值;
如果接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值大于最新服务请求累计值,则判定合法用户端此次发送的服务请求为最新服务请求;以及,根据接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值更新服务请求累计键值对的值;
如果接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值不大于最新服务请求累计值,则判定合法用户端此次发送的服务请求是已发送的服务请求被重新发送,不是最新服务请求。
7.一种监控用户端系统,其特征在于,包括:
用户端,用于周期性采集自身的指标数据并根据采集到的指标数据形成相应的第一数据包,并将生成的第一数据包上传给中心服务器;
中心服务器,用于根据接收到的第一数据包判断上传第一数据包的用户端是否为合法用户端;
如果上传第一数据包的用户端为合法用户端,则在接收到合法用户端向其发送的服务请求时进一步判断合法用户端发送的服务请求是否为最新服务请求;
如果合法用户端向其发送的服务请求是最新服务请求,则响应所述合法用户端发送的最新服务请求。
8.根据权利要求7所述的监控用户端系统,其特征在于,所述用户端包括:
指标数据采集子单元,用于采集用户端自身的指标数据;
签名生成子单元,用于通过用户端私钥将指标数据采集子单元采集到的指标数据加密生成签名,其中,所述用户端私钥通过中心服务器生成并安装在用户端内;
数据包子单元,用于将用户端的唯一标识、用户端所采集的原始指标数据、以及根据采集到的指标数据生成的签名形成第一数据包,并将形成的第一数据包上传给中心服务器。
9.根据权利要求8所述的监控用户端系统,其特征在于,所述中心服务器包括:
公钥子单元,用于生成与用户端私钥对应的用户端公钥,并将用户端公钥以键值对形式保存;其中公钥键值对的键为用户端的唯一标识,公钥键值对的值为用户端公钥;
解密子单元,用于在接收到用户端的第一数据包后,根据所述第一数据包内用户端的唯一标识自公钥键值对获取用户端公钥,采用用户端公钥解密所述第一数据包内的签名;
判定子单元,用于将采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据进行比对;当采用用户端公钥解密签名后得到的解密数据与所述第一数据包内的原始指标数据一致时,判定上传第一数据包的用户端为合法用户端;否则,为非法用户端。
10.根据权利要求9所述的监控用户端系统,其特征在于,所述中心服务器还包括:
清除子单元,用于如果在距离上次接收到用户端的第一数据包超过预设时间段后接收到该用户端新的第一数据包,则移除该用户端在中心服务器内相应的用户端公钥。
11.根据权利要求7所述的监控用户端系统,其特征在于,所述中心服务器包括:
标记子单元,用于当中心服务器判定上传第一数据包的用户端为合法用户端时,将合法用户端的IP地址标记为白名单;当中心服务器判定上传第一数据包的用户端为非法用户端时,将非法用户端的IP地址标记为黑名单,以使所述中心服务器在链路层拦截标记为黑名单的IP地址发送的服务请求。
12.根据权利要求7所述的监控用户端系统,其特征在于,所述中心服务器包括服务请求累计比较子单元、确认最新请求子单元和非最新请求子单元,其中:
用户端,具体用于如果本用户端为合法用户端,则通过上传第二数据包向中心服务器发送服务请求,所述上传的第二数据包包括用户端的唯一标识、用户端向中心服务器发送的服务请求、以及用户端向中心服务器发送此次服务请求所对应的服务请求累计值;并将发送此次服务请求的时间点更新为用户端采集自身的指标数据的本周期起点;
服务请求累计比较子单元,用于根据第二数据包中的合法用户端的唯一标识自服务请求累计键值对获取合法用户端的最新服务请求累计值,将接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值与最新服务请求累计值进行比较;其中,最新服务请求累计值以键值对形式保存在中心服务器内,服务请求累计键值对的键为用户端的唯一标识,服务请求累计键值对的值为最新服务请求累计值;
确认最新请求子单元,用于当接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值大于最新服务请求累计值时,判定合法用户端此次发送的服务请求为最新服务请求;以及,根据接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值更新服务请求累计键值对的值;
确认非最新请求子单元,用于当接收到的合法用户端的第二数据包内的发送此次服务请求所对应的服务请求累计值不大于最新服务请求累计值,判定合法用户端此次发送的服务请求是已发送的服务请求被重新发送,不是最新服务请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010590478.XA CN111865924B (zh) | 2020-06-24 | 2020-06-24 | 一种监控用户端方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010590478.XA CN111865924B (zh) | 2020-06-24 | 2020-06-24 | 一种监控用户端方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111865924A true CN111865924A (zh) | 2020-10-30 |
| CN111865924B CN111865924B (zh) | 2022-07-19 |
Family
ID=72988541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010590478.XA Active CN111865924B (zh) | 2020-06-24 | 2020-06-24 | 一种监控用户端方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111865924B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511811A (zh) * | 2021-02-03 | 2021-03-16 | 北京拓课网络科技有限公司 | 一种多摄像头处理方法、装置和电子设备 |
| CN114499829A (zh) * | 2020-11-11 | 2022-05-13 | 快撮撮(成都)科技有限公司 | 一种密钥对管理方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030031151A1 (en) * | 2001-08-10 | 2003-02-13 | Mukesh Sharma | System and method for secure roaming in wireless local area networks |
| CN102164033A (zh) * | 2010-02-24 | 2011-08-24 | 腾讯科技(深圳)有限公司 | 防止服务被攻击的方法、设备及系统 |
| US20110231650A1 (en) * | 2001-05-01 | 2011-09-22 | Frank Coulier | Use and generation of a session key in a secure socket layer connection |
| CN102882847A (zh) * | 2012-08-24 | 2013-01-16 | 山东省计算中心 | 基于sd密码卡的物联网健康医疗服务系统及安全通信方法 |
| CN110086796A (zh) * | 2019-04-22 | 2019-08-02 | 南京联创北斗技术应用研究院有限公司 | 一种基于公私钥加密技术收集监控数据的传输方法 |
-
2020
- 2020-06-24 CN CN202010590478.XA patent/CN111865924B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110231650A1 (en) * | 2001-05-01 | 2011-09-22 | Frank Coulier | Use and generation of a session key in a secure socket layer connection |
| US20030031151A1 (en) * | 2001-08-10 | 2003-02-13 | Mukesh Sharma | System and method for secure roaming in wireless local area networks |
| CN102164033A (zh) * | 2010-02-24 | 2011-08-24 | 腾讯科技(深圳)有限公司 | 防止服务被攻击的方法、设备及系统 |
| CN102882847A (zh) * | 2012-08-24 | 2013-01-16 | 山东省计算中心 | 基于sd密码卡的物联网健康医疗服务系统及安全通信方法 |
| CN110086796A (zh) * | 2019-04-22 | 2019-08-02 | 南京联创北斗技术应用研究院有限公司 | 一种基于公私钥加密技术收集监控数据的传输方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499829A (zh) * | 2020-11-11 | 2022-05-13 | 快撮撮(成都)科技有限公司 | 一种密钥对管理方法、装置、电子设备及存储介质 |
| CN114499829B (zh) * | 2020-11-11 | 2023-07-07 | 蓝婷 | 一种密钥对管理方法、装置、电子设备及存储介质 |
| CN112511811A (zh) * | 2021-02-03 | 2021-03-16 | 北京拓课网络科技有限公司 | 一种多摄像头处理方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111865924B (zh) | 2022-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107480555B (zh) | 基于区块链的数据库访问权限控制方法及设备 | |
| JP2018121328A (ja) | 電子デバイスのためのイベント証明書 | |
| JP4219965B2 (ja) | ワンタイムidによる認証 | |
| CN110099064B (zh) | 一种基于物联网的文件处理方法、装置、设备和存储介质 | |
| CN111865924B (zh) | 一种监控用户端方法及系统 | |
| CN102769549A (zh) | 网络安全监控的方法和装置 | |
| US8284944B2 (en) | Unified and persistent system and method for automatic configuration of encryption | |
| CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
| JP4175386B2 (ja) | 情報処理システム、情報処理装置、および集積回路チップ | |
| US20140173283A1 (en) | Key management device, communication device, communication system, and computer program product | |
| CN107483407B (zh) | 一种防盗链的方法和系统 | |
| CN110995446B (zh) | 证据验证方法、装置、服务器及存储介质 | |
| JP2007529056A5 (zh) | ||
| CN110446075A (zh) | 加密方法及装置、解密方法及装置、电子设备 | |
| CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
| CN109831782B (zh) | 一种电子卡信息的安全传输验证方法 | |
| US8418256B2 (en) | Memory control apparatus, content playback apparatus, control method and recording medium | |
| KR20170085423A (ko) | 사용자 단말 장치 및 이에 의한 개인 정보 제공 방법 | |
| US20210365433A1 (en) | Method and apparatus for managing data based on blockchain | |
| CN111224826B (zh) | 基于分布式系统的配置更新方法、设备、系统及介质 | |
| JP2008527892A (ja) | セキュアホストインタフェース | |
| US20210035018A1 (en) | Apparatus for verifying integrity of AI learning data and method therefor | |
| CN115118504B (zh) | 知识库更新方法、装置、电子设备及存储介质 | |
| KR101633778B1 (ko) | 패킷 데이터의 무결성 보장을 위한 블랙박스를 이용하는 보안 시스템 및 보안시스템 제어방법 | |
| KR100797600B1 (ko) | 유해 동영상 파일의 이용 제한 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230414 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee before: Sina.com Technology (China) Co.,Ltd. |