CN112613000A - 一种敏感信息保护方法、装置、电子设备及可读存储介质 - Google Patents
一种敏感信息保护方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN112613000A CN112613000A CN202011531439.9A CN202011531439A CN112613000A CN 112613000 A CN112613000 A CN 112613000A CN 202011531439 A CN202011531439 A CN 202011531439A CN 112613000 A CN112613000 A CN 112613000A
- Authority
- CN
- China
- Prior art keywords
- information
- sensitive information
- sensitive
- processing
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000012545 processing Methods 0.000 claims abstract description 92
- 238000004891 communication Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 12
- 230000006399 behavior Effects 0.000 claims description 6
- 235000014510 cooky Nutrition 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims description 4
- 230000007123 defense Effects 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 229920001621 AMOLED Polymers 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000010410 layer Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000011241 protective layer Substances 0.000 description 1
- 239000002096 quantum dot Substances 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9566—URL specific, e.g. using aliases, detecting broken or misspelled links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及计算机信息安全技术领域,具体涉及一种敏感信息保护方法、装置、电子设备及计算机可读存储介质。所述方法包括:获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;根据所述信息流路径确定目标信息节点;在目标信息节点处对所述敏感信息进行动态混淆处理;将所述动态混淆处理后的敏感信息传送至下一个信息节点。本申请提供的技术方案从主动保护侧有效提高了敏感信息的安全性。
Description
技术领域
本发明涉及计算机信息安全技术领域,具体涉及一种敏感信息保护方法、装置、电子设备及可读存储介质。
背景技术
随着互联网应用领域的不断扩大,互联网上会存在很多敏感信息,例如用户隐私,商业秘密等,因此互联网系统安全和互联敏感信息的需求也在不断提升,尤其是互联网金融系统对敏感信息安全提出了更高的要求。但是目前大部分的互联网金融系统对于敏感信息的保护基本都是从防护角度出发,即采用例如防火墙、恶意软件拦截、攻击拦截等方式来防止敏感信息被泄露。随着互联网技术的不断发展,目前很多系统都存在被探测漏洞、被探查结构、分析代码的风险,不法分子经常会利用模拟浏览器或自动化工具对网络安全进行攻击,一旦攻击成功或防护层被破坏,系统信息就会被泄露。
发明内容
本申请的目的旨在至少能解决上述的技术缺陷之一。本申请所采用的技术方案如下:
第一方面,本申请实施例公开了一种敏感信息保护方法,所述方法包括:
获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;
根据所述信息流路径确定目标信息节点;
在目标信息节点处对所述敏感信息进行动态混淆处理;
将所述动态混淆处理后的敏感信息传送至下一个信息节点。
进一步地,所述敏感信息包括但不限于:用户信息、应用程序的签名信息、密钥信息、加减密规则。
进一步地,在目标信息节点处对所述敏感信息进行动态混淆处理之后,所述方法还包括:
从敏感信息中获取随机加密因子;
利用密钥信息和随机加密因子对所述用户信息和应用程序签名信息进行MD5算法加密处理。
进一步地,所述敏感信息来源包括但不限于:Cookie、表单数据、URL信息。当所述敏感信息为URL信息时,所述在目标信息节点处对所述敏感信息进行动态混淆处理包括:
获取应用程序或浏览器对用户请求指令的响应报文;
检测所述响应报文的URL是否属于预设的白名单;
如果不属于,则对所述响应报文里的链接及输入表单进行混淆处理。
进一步地,所述目标信息节点包括:敏感信息创建节点、敏感信息存储节点、敏感信息传输节点。
进一步地,所述将动态混淆处理后的敏感信息传送至下一个信息节点之前,所述方法还包括:
获取所述下一个信息节点的端口信息;其中所述端口信息包括端口对应的服务类型和端口传输协议;
根据所述端口信息判断所述端口是否属于安全授权端口;
如果否,则停止所述敏感信息传送进程。
进一步地,所述方法还包括:当接收到用户对URL的请求信息时,所述系统服务器向所述用户发送访问所述URL的动态令牌;当所述系统接收到用户输入的动态令牌与所述服务器发送的动态令牌相同时,创建所述用户对URL的访问接口。
进一步地,所述方法还包括:获取系统的不安全信息记录,其中所述不安全信息记录包括漏洞信息和被攻击记录;
根据所述不安全信息记录确定对所述敏感信息进行保护处理的处理规则;
根据所述处理规则,对所述经过动态混淆算法的敏感信息进行处理。
进一步地,所述被攻击记录包括但不限于:攻击时间、攻击者网络环境信息、攻击者指纹信息、攻击者行为信息;进一步地根据处理规则对所述经过动态混淆算法的敏感信息进行处理包括:
分析所述攻击记录绘制攻击者画像和攻击策略;
制定与所述攻击策略反向的防御策略和/或针对攻击者画像的攻击策略对所述敏感信息进行处理。
在进一步的实施例中,将所述动态混淆处理后的敏感信息传送至下一个信息节点之后,所述方法还包括:
当接收到用户对所述敏感信息的查询指令时,根据MD5算法对所述敏感信息进行解密获取所述密钥信息和随机加密因子;
根据所述密钥信息和随机加密因子解密获取经过动态混淆处理的敏感信息;
根据动态混淆特征,对所述经过混淆处理的敏感信息进行解密。
另一方面本申请实施例提供了一种敏感信息保护装置,所述装置包括:查询模块、确定模块、处理模块和通讯模块,其中,
所述查询模块,用于获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;
所述确定模块,用于根据所述信息流路径确定目标信息节点;
所述处理模块,用于在目标信息节点处对所述敏感信息进行动态混淆处理;
所述通讯模块,用于将所述动态混淆处理后的敏感信息传送至下一个信息节点。
进一步地,所述通讯模块还用于接收用户对URL的请求信息,并接受所述系统服务器向所述用户发送的访问所述URL的动态令牌;
所述通讯模块,还用于当所述系统接收到用户输入的动态令牌与所述服务器发送的动态令牌相同时,创建所述用户对URL的访问接口。
进一步地,所述通讯模块还用于获取系统的不安全信息记录,其中所述不安全信息记录包括漏洞信息和被攻击记录;
所述确定模块,还用于根据所述不安全信息记录确定对所述敏感信息进行保护处理的处理规则;
所述处理模块,还用于根据所述处理规则,对所述经过动态混淆算法的敏感信息进行处理。
第三方面,本申请实施例提供了一种电子设备,包括处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行上述任一实施例中所述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的方法。
本申请实施例提供的敏感信息保护方案主要包括获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;根据所述信息流路径确定目标信息节点;在目标信息节点处对所述敏感信息进行动态混淆处理;将所述动态混淆处理后的敏感信息传送至下一个信息节点。本申请实施例提供的技术方案带来的有益效果是从主动保护侧有效提高了敏感信息的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的一种敏感信息保护方法的流程示意图;
图2为本申请实施例提供的一种敏感信息保护装置的结构示意图;
图3为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本发明的限制。
需要说明的是,在本技术领域技术人员可以理解的范围内,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式,其中的“第一”“第二”等只是为了介绍清楚方案而进行的对象区分定义,并不对对象本身进行限制,当然“第一”和“第二”限定的对象可能是同一个终端、设备和用户等,也可能是同一种终端、设备和用户。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。此外应理解,本申请实施例中“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一(项)个”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b或c中的至少一项(个),可以表示:a,b,c,a和b,a和c,b和c,或a、b和c,其中a、b、c可以是单个,也可以是多个。
目前现有技术中的敏感信息保护方案如背景技术中介绍的存在着灵活性差问题,基于此,本发明的以下实施例就是提供一种敏感信息保护方法以解决上述至少之一的缺陷。
为了更清楚地介绍本申请的技术方案,以下介绍一些下述实施例可能涉及到的概念、术语或装置,以帮助理解本申请公开的敏感信息保护方案:
混淆是在无法阻止他人获取代码的情况下,采取的保护代码的逻辑不被他人理解的措施;对于混淆的代码,他人很难理解,无法进行修改和重新利用;动态代码混淆可以简单理解为在每一个信息流节点处对敏感信息都感染“不同的”混淆代码。
动态混淆是值通过在可控环境中运行代码,全程监控代码的所有操作,观察其状态和执行流程的变化,获得执行过程中的各种数据的分析方法。常用的动态分析方法有:调试、剖分、跟踪、模拟器等。动态分析框架相比于动态分析的优势就是可以跟踪并观察每一步的状态,从而获取更多的信息。但动态分析也有自身的不足,比如严重依赖程序的输入,必须构造良好的测试环境才能保证需要分析的代码正确执行。另外,许多经过保护的程序可以侦测到自己被调试或者在虚拟机运行,从而启动防御机制。
图1示出了本申请实施例提供的一种敏感信息保护的流程示意图,如图1所示,该方法主要可以包括:
S101、获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;进一步地,所述敏感信息包括但不限于:用户信息、应用程序的签名信息、密钥信息、加减密规则。所述敏感信息来源包括但不限于:Cookie、表单数据、URL信息。
S102、根据所述信息流路径确定目标信息节点;
进一步的可选实施例中,所述目标信息节点包括:敏感信息创建节点、敏感信息存储节点、敏感信息传输节点。
S103、在目标信息节点处对所述敏感信息进行动态混淆处理;
在具体实施例中,系统通过动态混淆算法,对终端用户的Cookie、表单数据、URL等进行加密,包括用户名、密码等各种敏感信息,提交表单中的字段名、数据,URL中的参数均会进行动态混淆,确保用户的信息安全。
在目标信息节点处对所述敏感信息进行动态混淆处理之后,还可以根据敏感信息的类型或对敏感信息安全性的更高要求对混淆处理后的敏感信息再次进行其他类型的加密处理以进一步提高敏感信息传输的安全性。在一个可选的实施例中,可以在混淆处理后对敏感信息再次采取以下步骤:
步骤1、从敏感信息中获取随机加密因子;
步骤2、利用密钥信息和随机加密因子对所述用户信息和应用程序签名信息进行MD5算法加密处理。当然在可选实施例中,对其进行加密处理的算法可以根据敏感信息的不同而适用不同的加密算法。
在一个实施例中,当所述敏感信息为URL信息时,所述在目标信息节点处对所述敏感信息进行动态混淆处理包括:
步骤1、获取应用程序或浏览器对用户请求指令的响应报文;
步骤2、检测所述响应报文的URL是否属于预设的白名单;
步骤3、如果不属于,则对所述响应报文里的链接及输入表单进行混淆处理。如果是,则可以直接进行传输。
在一个可选的实施例中,所述将动态混淆处理后的敏感信息传送至下一个信息节点之前,所述方法还包括:
获取所述下一个信息节点的端口信息;其中所述端口信息包括端口对应的服务类型和端口传输协议;
根据所述端口信息判断所述端口是否属于安全授权端口;
如果否,则停止所述敏感信息传送进程。
S104、将所述动态混淆处理后的敏感信息传送至下一个信息节点。
在进一步的实施例中,将所述动态混淆处理后的敏感信息传送至下一个信息节点之后,如果用户需要查询敏感信息,则需要首先对经过加密及混淆处理的敏感信息进行解密,在上述实施例的基础上,在一个可选实施例中,所述用户查询敏感信息的步骤可以包括:
步骤1、当接收到用户对所述敏感信息的查询指令时,根据MD5算法对所述敏感信息进行解密获取所述密钥信息和随机加密因子;
步骤2、根据所述密钥信息和随机加密因子解密获取经过动态混淆处理的敏感信息;
步骤3、根据动态混淆特征,对所述经过混淆处理的敏感信息进行解密。
在本申请实施例中,将系统中的敏感报文数据进行动态混淆变化,保障了包含敏感信息的请求内容无法被篡改或伪造,保证数据真实性、交易报文完整性,同时也提高了敏感信息的安全性。
在进一步的可选实施例中,所述方法还包括:当接收到用户对URL的请求信息时,所述系统服务器向所述用户发送访问所述URL的动态令牌;当所述系统接收到用户输入的动态令牌与所述服务器发送的动态令牌相同时,创建所述用户对URL的访问接口。其中动态令牌(Token)为用户端可以合法访问的URL地址分配的一次性“通行证识别码”,用户端每个请求附带的令牌都需要通过服务器端的校验,从而防止违规访问等恶意行为,保证正确执行业务原来的逻辑关系。
本申请实施例提供的敏感信息保护方案通过为每一个访问的URL配置动态校验码实现了抵御越权访问、网页后门、重放攻击、应用层DDoS等针对业务逻辑的自动化恶意攻击行为。
在进一步的可选实施例中,所述方法还包括:
步骤1、获取系统的不安全信息记录,其中所述不安全信息记录包括漏洞信息和被攻击记录;在进一步的可选实施例中,所述被攻击记录包括但不限于:攻击时间、攻击者网络环境信息(例如浏览器、插件等),指纹信息(例如浏览器指纹、IP、cookie等),行为信息(例如鼠标、键盘操作)等数据,对攻击者进行画像,精准描述攻击者的来源、目标、使用工具、手法,并留存攻击的证据和过程数据。
步骤2、根据所述不安全信息记录确定对所述敏感信息进行保护处理的处理规则;其中所述处理规则为根据不安全信息记录的确定的逆向处理;
步骤3、根据所述处理规则,对所述经过动态混淆算法的敏感信息进行处理。
在进一步的实施例中,所述被攻击记录包括但不限于:攻击时间、攻击者网络环境信息、攻击者指纹信息、攻击者行为信息;进一步地根据处理规则对所述经过动态混淆算法的敏感信息进行处理包括:
分析所述攻击记录绘制攻击者画像和攻击策略;
制定与所述攻击策略反向的防御策略和/或针对攻击者画像的攻击策略对所述敏感信息进行处理。
为了进一步介绍通过分析攻击记录确定对混淆处理的敏感信息的再次处理现以分析攻击记录中的IP信息为示例进行说明。可以首先对异常访问的IP进行拦截并登记到redis缓存中;再从每次请求中摘取IP地址,并到REDIS中检查当前IP是否为登记的攻击IP,如果是则进行告警处理或拦截处理。
本申请实施例公开的敏感信息保护方案有效防止用户敏感数据的泄露,同时能够实现防爬虫,以防数据遍历的问题。此外引入动态令牌实现了防止请求信息被篡改、保障了敏感数据的安全,避免相关攻击造成的损失。
基于图1所示的敏感信息保护方法,另一方面本申请实施例提供了一种敏感信息保护装置,如图2所示,装置可以包括:201查询模块、202确定模块、203处理模块和204通讯模块,其中,
所述201查询模块,用于获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;
所述202确定模块,用于根据所述信息流路径确定目标信息节点;
所述203处理模块,用于在目标信息节点处对所述敏感信息进行动态混淆处理;
所述204通讯模块,用于将所述动态混淆处理后的敏感信息传送至下一个信息节点。
在进一步的可选实施例中,所述202确定模块进一步用于确定:敏感信息创建节点、敏感信息存储节点、敏感信息传输节点。
在进一步的可选实施例中,所述204通讯模块还用于接收用户对URL的请求信息,并接受所述系统服务器向所述用户发送的访问所述URL的动态令牌;
所述204通讯模块,还用于当所述系统接收到用户输入的动态令牌与所述服务器发送的动态令牌相同时,创建所述用户对URL的访问接口。
在进一步的实施例中,所述204通讯模块还用于从敏感信息中获取随机加密因子;所述203处理模块利用密钥信息和随机加密因子对所述用户信息和应用程序签名信息进行MD5算法加密处理。
在一个可选的实施例中,所述装置还包括205检测模块,当所述敏感信息为URL信息时,所述204通讯模块还用于获取应用程序或浏览器对用户请求指令的响应报文;所述检测模块,用于检测所述响应报文的URL是否属于预设的白名单;如果不属于,则203处理模块对所述响应报文里的链接及输入表单进行混淆处理。
在一个可选实施例中,所述将动态混淆处理后的敏感信息传送至下一个信息节点之前,201查询模块还用于获取所述下一个信息节点的端口信息;其中所述端口信息包括端口对应的服务类型和端口传输协议;205检测模块,还用于根据所述端口信息判断所述端口是否属于安全授权端口;如果否,203处理模块则停止所述敏感信息传送进程。
在一个可选的实施例中,所述装置还包括206解密模块。当201查询模块接收到用户对所述敏感信息的查询指令时,206解密模块则根据MD5算法对所述敏感信息进行解密获取所述密钥信息和随机加密因子,进一步地,206解密模块根据所述密钥信息和随机加密因子解密获取经过动态混淆处理的敏感信息,后根据动态混淆特征,对所述经过混淆处理的敏感信息进行解密。
在进一步的可选实施例中,所述204通讯模块还用于获取系统的不安全信息记录,其中所述不安全信息记录包括漏洞信息和被攻击记录;
所述202确定模块,还用于根据所述不安全信息记录确定对所述敏感信息进行保护处理的处理规则;
所述203处理模块,还用于根据所述处理规则,对所述经过动态混淆算法的敏感信息进行处理。
可以理解的是,本实施例中的敏感信息保护装置的上述各组成设备具有实现图1中所示的实施例中的方法相应步骤的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或装置。上述模块和装置可以是软件和/或硬件,上述各模块和装置可以单独实现,也可以多个模块和装置集成实现。对于上述各模块和装置的功能描述具体可以参见图1中所示实施例中的方法的对应描述,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
可以理解的是,本发明实施例示意的结构并不构成对敏感信息保护装置的具体结构的具体限定。在本申请另一些实施例中,敏感信息保护装置可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
本申请实施例提供了一种电子设备,包括处理器和存储器;
存储器,用于存储操作指令;
处理器,用于通过调用操作指令,执行本申请任一实施方式中所提供的敏感信息保护方法。
作为一个示例,图3示出了本申请实施例所适用的一种电子设备的结构示意图,如图3所示,该电子设备300包括:处理器301和存储器303。其中,处理器301和存储器303相连,如通过总线302相连。可选的,电子设备300还可以包括收发器304。需要说明的是,实际应用中收发器304不限于一个。可以理解的是,本发明实施例示意的结构并不构成对电子设备300的具体结构的具体限定。在本申请另一些实施例中,电子设备300可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实。可选地,电子设备还可以包括显示屏305,用于显示图像,或需要时接收用户的操作指令。
其中,处理器301应用于本申请实施例中,用于实现上述方法实施例所示的方法。收发器304可以包括接收机和发射机,收发器304应用于本申请实施例中,用于执行时实现本申请实施例的电子设备与其他设备通信的功能。
处理器301可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器301也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
处理器301也可以包括一个或多个处理单元,例如:处理器301可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphicsprocessingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(Neural-network Processing Unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。其中,控制器可以是电子设备300的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。处理器301中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器301中的存储器为高速缓冲存储器。该存储器可以保存处理器301刚用过或循环使用的指令或数据。如果处理器301需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器301的等待时间,因而提高了系统的效率。
处理器301可以运行本申请实施例提供的敏感信息保护方法,以便于降低用户的操作复杂度、提高终端设备的智能化程度,提升用户的体验。处理器301可以包括不同的器件,比如集成CPU和GPU时,CPU和GPU可以配合执行本申请实施例提供的敏感信息保护方法,比如敏感信息保护方法中部分算法由CPU执行,另一部分算法由GPU执行,以得到较快的处理效率。
总线302可包括一通路,在上述组件之间传送信息。总线302可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线302可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器303可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘),也可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flashstorage,UFS),或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
可选的,存储器303用于存储执行本申请方案的应用程序代码,并由处理器301来控制执行。处理器301用于执行存储器303中存储的应用程序代码,以实现本申请任一实施方式中所提供的敏感信息保护方法。
存储器303可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。处理器301通过运行存储在存储器303的指令,从而执行电子设备300的各种功能应用以及数据处理。存储器303可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,应用程序的代码等。存储数据区可存储电子设备300使用过程中所创建的数据(比如相机应用采集的图像、视频等)等。
存储器303还可以存储本申请实施例提供的敏感信息保护方法对应的一个或多个计算机程序。该一个或多个计算机程序被存储在上述存储器303中并被配置为被该一个或多个处理器301执行,该一个或多个计算机程序包括指令,上述指令可以用于执行上述相应实施例中的各个步骤。
当然,本申请实施例提供的敏感信息保护方法的代码还可以存储在外部存储器中。这种情况下,处理器301可以通过外部存储器接口运行存储在外部存储器中的敏感信息保护方法的代码,处理器301可以控制运行敏感信息保护流程。
显示屏305包括显示面板。显示面板可以采用液晶显示屏(liquid crystaldisplay,LCD),有机发光二极管(organic light-emittingdiode,OLED),有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的,AMOLED),柔性发光二极管(flex light-emittingdiode,FLED),Miniled,MicroLed,Micro-oLed,量子点发光二极管(quantum dot lightemitting diodes,QLED)等。在一些实施例中,电子设备300可以包括1个或N个显示屏305,N为大于1的正整数。显示屏305可用于显示由用户输入的信息或提供给用户的信息以及各种图形用户界面(graphical userinterface,GUI)。例如,显示屏305可以显示照片、视频、网页、或者文件等。
本申请实施例提供的电子设备,适用于上述方法任一实施例,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述方法实施例所示的敏感信息保护方法。
本申请实施例提供的计算机可读存储介质,适用于上述方法任一实施例,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
本申请实施例还提供了一种计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述相关步骤,以实现上述实施例中的方法。本申请实施例提供的计算机程序产品,适用于上述方法任一实施例,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
本申请实施例提供的敏感信息保护方案,包括获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;根据所述信息流路径确定目标信息节点;在目标信息节点处对所述敏感信息进行动态混淆处理;将所述动态混淆处理后的敏感信息传送至下一个信息节点。本申请实施例提供的技术方案从主动保护侧有效提高了敏感信息的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其他的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,模块或单元的划分,仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以丢弃,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其他的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上内容,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,还可以做出若干改进和润饰,这些变化、替换、改进和润饰也应视为都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (15)
1.一种敏感信息保护方法,其特征在于,所述方法包括:
获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;
根据所述信息流路径确定目标信息节点;
在目标信息节点处对所述敏感信息进行动态混淆处理;
将所述动态混淆处理后的敏感信息传送至下一个信息节点。
2.根据权利要求1所述的敏感信息保护方法,其特征在于,所述敏感信息包括但不限于:
用户信息、应用程序的签名信息、密钥信息、加减密规则。
3.根据权利要求2所述的敏感信息保护方法,其特征在于,在目标信息节点处对所述敏感信息进行动态混淆处理之后,所述方法还包括:
从敏感信息中获取随机加密因子;
利用密钥信息和随机加密因子对所述用户信息和应用程序签名信息进行MD5算法加密处理。
4.根据权利要求3所述的敏感信息保护方法,其特征在于,所述敏感信息来源包括但不限于:
Cookie、表单数据、URL信息。
5.根据权利要求4所述的敏感信息保护方法,其特征在于,当所述敏感信息为URL信息时,所述在目标信息节点处对所述敏感信息进行动态混淆处理包括:
获取应用程序或浏览器对用户请求指令的响应报文;
检测所述响应报文的URL是否属于预设的白名单;
如果不属于,则对所述响应报文里的链接及输入表单进行混淆处理。
6.根据权利要求1或5所述的敏感信息保护方法,其特征在于,所述目标信息节点包括:
敏感信息创建节点、敏感信息存储节点、敏感信息传输节点。
7.根据权利要求6所述的敏感信息保护方法,其特征在于,所述将动态混淆处理后的敏感信息传送至下一个信息节点之前,所述方法还包括:
获取所述下一个信息节点的端口信息;其中所述端口信息包括端口对应的服务类型和端口传输协议;
根据所述端口信息判断所述端口是否属于安全授权端口;
如果否,则停止所述敏感信息传送进程。
8.根据权利要求1或7所述的敏感信息保护方法,其特征在于,所述方法还包括:
当接收到用户对URL的请求信息时,所述系统服务器向所述用户发送访问所述URL的动态令牌;
当所述系统接收到用户输入的动态令牌与所述服务器发送的动态令牌相同时,创建所述用户对URL的访问接口。
9.根据权利要求8所述的敏感信息保护方法,其特征在于,所述方法还包括:
获取系统的不安全信息记录,其中所述不安全信息记录包括漏洞信息和被攻击记录;
根据所述不安全信息记录确定对所述敏感信息进行保护处理的处理规则;
根据所述处理规则,对所述经过动态混淆算法的敏感信息进行处理。
10.根据权利要求9所述的敏感信息保护方法,其特征在于,所述被攻击记录包括但不限于:攻击时间、攻击者网络环境信息、攻击者指纹信息、攻击者行为信息;进一步地根据处理规则对所述经过动态混淆算法的敏感信息进行处理包括:
分析所述攻击记录绘制攻击者画像和攻击策略;
制定与所述攻击策略反向的防御策略和/或针对攻击者画像的攻击策略对所述敏感信息进行处理。
11.根据权利要求10所述的敏感信息保护方法,其特征在于,将所述动态混淆处理后的敏感信息传送至下一个信息节点之后,所述方法还包括:
当接收到用户对所述敏感信息的查询指令时,根据MD5算法对所述敏感信息进行解密获取所述密钥信息和随机加密因子;
根据所述密钥信息和随机加密因子解密获取经过动态混淆处理的敏感信息;
根据动态混淆特征,对所述经过混淆处理的敏感信息进行解密。
12.一种敏感信息保护装置,其特征在于,所述装置包括:查询模块、确定模块、处理模块和通讯模块,其中,
所述查询模块,用于获取敏感信息信息流路径;其中所述信息流路径包括至少两个信息节点;
所述确定模块,用于根据所述信息流路径确定目标信息节点;
所述处理模块,用于在目标信息节点处对所述敏感信息进行动态混淆处理;
所述通讯模块,用于将所述动态混淆处理后的敏感信息传送至下一个信息节点。
13.根据权利要求12所述的敏感信息保护装置,其特征在于,所述通讯模块还用于接收用户对URL的请求信息,并接受所述系统服务器向所述用户发送的访问所述URL的动态令牌;
所述通讯模块,还用于当所述系统接收到用户输入的动态令牌与所述服务器发送的动态令牌相同时,创建所述用户对URL的访问接口。
14.一种电子设备,其特征在于,包括处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行权利要求1-11中任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-11中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011531439.9A CN112613000A (zh) | 2020-12-22 | 2020-12-22 | 一种敏感信息保护方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011531439.9A CN112613000A (zh) | 2020-12-22 | 2020-12-22 | 一种敏感信息保护方法、装置、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112613000A true CN112613000A (zh) | 2021-04-06 |
Family
ID=75244135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011531439.9A Pending CN112613000A (zh) | 2020-12-22 | 2020-12-22 | 一种敏感信息保护方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112613000A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113536358A (zh) * | 2021-08-02 | 2021-10-22 | 浙江数秦科技有限公司 | 一种基于区块链的隐私数据安全存储方法 |
| CN114338155A (zh) * | 2021-12-28 | 2022-04-12 | 四川邦辰信息科技有限公司 | 基于多维度指纹混淆的网络隐私保护方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065651A (zh) * | 2014-06-09 | 2014-09-24 | 上海交通大学 | 一种面向云计算的信息流可信保障机制 |
| CN106407843A (zh) * | 2016-10-17 | 2017-02-15 | 深圳中兴网信科技有限公司 | 数据脱敏方法和数据脱敏装置 |
| WO2018112076A1 (en) * | 2016-12-16 | 2018-06-21 | Amazon Technologies, Inc. | Secure data distribution of sensitive data across content delivery networks |
| CN109726590A (zh) * | 2018-12-24 | 2019-05-07 | 平安普惠企业管理有限公司 | 系统日志脱敏方法、脱敏系统、计算机设备及存储介质 |
| CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
| CN111935193A (zh) * | 2020-10-13 | 2020-11-13 | 江苏开博科技有限公司 | 基于伪装代理与动态技术相关联的自动化安全防护方法 |
-
2020
- 2020-12-22 CN CN202011531439.9A patent/CN112613000A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065651A (zh) * | 2014-06-09 | 2014-09-24 | 上海交通大学 | 一种面向云计算的信息流可信保障机制 |
| CN106407843A (zh) * | 2016-10-17 | 2017-02-15 | 深圳中兴网信科技有限公司 | 数据脱敏方法和数据脱敏装置 |
| WO2018112076A1 (en) * | 2016-12-16 | 2018-06-21 | Amazon Technologies, Inc. | Secure data distribution of sensitive data across content delivery networks |
| CN109726590A (zh) * | 2018-12-24 | 2019-05-07 | 平安普惠企业管理有限公司 | 系统日志脱敏方法、脱敏系统、计算机设备及存储介质 |
| CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
| CN111935193A (zh) * | 2020-10-13 | 2020-11-13 | 江苏开博科技有限公司 | 基于伪装代理与动态技术相关联的自动化安全防护方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113536358A (zh) * | 2021-08-02 | 2021-10-22 | 浙江数秦科技有限公司 | 一种基于区块链的隐私数据安全存储方法 |
| CN113536358B (zh) * | 2021-08-02 | 2023-10-10 | 浙江数秦科技有限公司 | 一种基于区块链的隐私数据安全存储方法 |
| CN114338155A (zh) * | 2021-12-28 | 2022-04-12 | 四川邦辰信息科技有限公司 | 基于多维度指纹混淆的网络隐私保护方法及系统 |
| CN114338155B (zh) * | 2021-12-28 | 2024-04-30 | 四川邦辰信息科技有限公司 | 基于多维度指纹混淆的网络隐私保护方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9584543B2 (en) | Method and system for web integrity validator | |
| Nguyen et al. | Cloud-based secure logger for medical devices | |
| CN108780485A (zh) | 基于模式匹配的数据集提取 | |
| CN106687971A (zh) | 用来减少软件的攻击面的自动代码锁定 | |
| Xu et al. | Data-provenance verification for secure hosts | |
| Böck et al. | Towards more trustable log files for digital forensics by means of “trusted computing” | |
| Wood et al. | Keyloggers in Cybersecurity Education. | |
| CN112613000A (zh) | 一种敏感信息保护方法、装置、电子设备及可读存储介质 | |
| McIntosh et al. | Applying staged event-driven access control to combat ransomware | |
| Liu et al. | $ LiveForen $: Ensuring Live Forensic Integrity in the Cloud | |
| WO2023053101A1 (en) | Systems and methods for malicious code neutralization in execution environments | |
| Mayrhofer | An architecture for secure mobile devices | |
| Jeyavel et al. | Security vulnerabilities and intelligent solutions for iomt systems | |
| Sanfilippo et al. | Stride-based threat modeling for mysql databases | |
| CN111209544B (zh) | Web应用安全保护方法、装置、电子设备及存储介质 | |
| Sharma et al. | Smartphone security and forensic analysis | |
| Al-Wosabi et al. | Framework for software tampering detection in embedded systems | |
| Zheng et al. | TZ-KPM: Kernel protection mechanism on embedded devices on hardware-assisted isolated environment | |
| KR102086375B1 (ko) | 악성 소프트웨어에 대한 실시간 예방 및 사후 복구를 위한 보안 시스템 및 그 방법 | |
| Wang et al. | Malicious code detection for trusted execution environment based on paillier homomorphic encryption | |
| Gupta et al. | Machine learning forensics: A New Branch of digital forensics | |
| Zaidenberg et al. | Timing and side channel attacks | |
| Brunil et al. | Security vulnerabilities and mitigation strategies for application development | |
| Alauthman et al. | Unintended Data Behaviour Analysis Using Cryptography Stealth Approach Against Security and Communication Network | |
| Thakur et al. | Key Dumping Keylogger1 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |