CN112769784A - 文本的处理方法和装置、计算机可读存储介质及处理器 - Google Patents
文本的处理方法和装置、计算机可读存储介质及处理器 Download PDFInfo
- Publication number
- CN112769784A CN112769784A CN202011602817.8A CN202011602817A CN112769784A CN 112769784 A CN112769784 A CN 112769784A CN 202011602817 A CN202011602817 A CN 202011602817A CN 112769784 A CN112769784 A CN 112769784A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- module
- encryption
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 11
- 238000012545 processing Methods 0.000 claims abstract description 92
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000001514 detection method Methods 0.000 claims abstract description 26
- 230000000007 visual effect Effects 0.000 claims abstract description 7
- 238000012800 visualization Methods 0.000 claims description 26
- 238000007405 data analysis Methods 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 13
- 238000004806 packaging method and process Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 7
- 230000006399 behavior Effects 0.000 description 75
- 102100035606 Beta-casein Human genes 0.000 description 34
- 101000947120 Homo sapiens Beta-casein Proteins 0.000 description 34
- 238000007726 management method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000013475 authorization Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 230000010354 integration Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明公开了一种文本的处理方法和装置、计算机可读存储介质及处理器。其中,该方法包括:获取待验证的用户端数据,其中,用户端数据包括:客户设备产生的应用数据;反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果;基于用户端数据和安全处理结果,生成可视化结果。本发明解决了相关技术中云中数据的安全性较低的技术问题。
Description
技术领域
本发明涉及数据安全领域,具体而言,涉及一种文本的处理方法和装置、计算机可读存储介质及处理器。
背景技术
随着基于云的应用程序和服务的增长,云服务成为企业内部存储和交换信息的主要方式之一,但是,云安全策略的制动总滞后于云服务的使用,云中的数据存在泄漏风险,导致安全性较低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种文本的处理方法和装置、计算机可读存储介质及处理器,以至少解决相关技术中云中数据的安全性较低的技术问题。
根据本发明实施例的一个方面,提供了一种文本的处理方法,包括:获取待验证的用户端数据,其中,用户端数据包括:客户设备产生的应用数据;反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果;基于用户端数据和安全处理结果,生成可视化结果。
可选地,安全检测模块包括如下至少之一:身份认证模块、敏感数据分析模块、数据加解密模块。
可选地,在应用数据包括用户登录应用软件的身份信息的情况下,反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,包括:身份认证模块接收到身份信息;身份认证模块如果获取到用于身份认证的认证证书,采用认证证书对身份信息进行认证;如果认证成功,身份认证模块验证身份信息成功,且完成用户登录操作;身份认证模块获取身份信息对应的角色信息,并基于角色信息获取用户密钥;身份认证模块基于用户密钥判断登录成功的用户与角色信息是否符合;如果符合,身份认证模块返回安全认证结果。
可选地,基于角色信息获取用户密钥,包括:身份认证模块发送密钥操作请求,其中,密钥操作请求包括:请求密钥的登录用户的身份信息,身份信息包括如下至少之一:用户名、数据名和密钥长度;身份认证模块基于密钥操作请求获取到用户密钥。
可选地,身份认证模块基于密钥操作请求获取到用户密钥,包括:身份认证模块基于用户名查询用户表;如果查询成功,则获取与用户名匹配的用户密钥;如果查询失败,用户表中创建用户名对应的用户信息,并生成与用户名对应的用户密钥。
可选地,在应用数据包括应用软件执行用户操作后产生的行为数据的情况下,反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,包括:敏感数据分析模块接收到行为数据;敏感数据分析模块将行为数据与预存的样本数据进行相似性计算,获取行为数据的相似度计算结果,其中,样本数据为预先标记了安全级别的历史数据集合;敏感数据分析模块基于行为数据的相似度计算结果,确定行为数据的安全等级;敏感数据分析模块基于行为数据的安全等级,输出告警结果。
可选地,在应用数据包括应用软件执行用户操作后产生的行为数据的情况下,反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,包括:数据加解密模块接收到行为数据;数据加解密模块基于行为数据的类型,从数据库中查询与行为数据匹配的加密配置信息,其中,加密配置信息包括如下至少之一:加密算法、加密参数配置和加密后的数据封装格式;数据加解密模块采用加密配置信息对行为数据进行加密处理。
可选地,在数据加解密模块采用加密配置信息对行为数据进行加密处理之后,该方法还包括:数据加解密模块采用解密配置信息对行为数据进行解密处理,获取解密结果;数据加解密模块基于解密结果,确定行为数据是否为安全数据。
可选地,在数据加解密模块采用解密配置信息对行为数据进行解密处理之前,该方法还包括:数据加解密模块判断行为数据是否存在加密标识;如果检测到行为数据存在加密标识,数据加解密模块基于行为数据的类型,从数据库中查询与行为数据匹配的解密配置信息,其中,解密配置信息包括如下至少之一:解密算法、解密参数配置和解密后的数据封装格式。
可选地,基于用户端数据和安全处理结果,生成可视化结果,包括:基于可视化处理模块处理用户端数据和安全处理结果,生成可视化结果,其中,可视化结果包括如下至少之一:待访问的多维报表和可视化图形报表。
根据本发明实施例的另一方面,还提供了一种文本的处理装置,包括:获取模块,用于获取待验证的用户端数据,其中,用户端数据包括:客户设备产生的应用数据;处理模块,用于反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果;生成模块,用于基于用户端数据和安全处理结果,生成可视化结果。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,在程序运行时控制计算机可读存储介质所在设备执行上述的文本的处理方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述的文本的处理方法。
在本发明实施例中,在获取到待验证的用户端数据之后,可以反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,进一步基于用户端数据和安全处理结果,生成可视化结果。容易注意到的是,通过安全检测模块检查云服务中的数据和用户行为,实现了对云中的数据和威胁的可见性和控制,满足云安全性需求,实时阻断违反安全策略的数据访问操作,达到了全访问保护云数据安全的技术效果,进而解决了相关技术中云中数据的安全性较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种文本的处理方法的流程图;
图2是根据本发明实施例的一种可选的用户认证与鉴权流程的流程图;
图3是根据本发明实施例的一种可选的数据密钥的生命周期的流程图;
图4是根据本发明实施例的一种可选的用户密钥的生命周期的流程图;
图5是根据本发明实施例的一种可选的敏感数据分析标记流程的流程图;
图6是根据本发明实施例的一种可选的加密模块的示意图;
图7是根据本发明实施例的一种可选的解密模块的示意图;
图8是根据本发明实施例的一种可选的基于CASB的云保护系统的示意图;
图9是根据本发明实施例的一种文本的处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,对本发明中出现的技术名词或技术术语进行如下解释说明:
CASB:Cloud Access Security Broker,云访问安全代理,可以基于软件对云计算、云服务用户和云应用,进行监控所有活动,并在其之间强制执行安全策略。
SIEM:安全信息和事件管理,包含安全信息管理(SIM)和安全事件管理(SEM)。
Saas:软件即服务,可以是即通过网络提供软件服务。
IaaS:基础设施即服务,可以是指把IT基础设施作为一种服务通过网络对外提供,并根据用户对资源的实际使用量或占用量进行计费的一种服务模式。
Paas:平台即服务。
实施例1
根据本发明实施例,提供了一种文本的处理方法,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种文本的处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待验证的用户端数据,其中,用户端数据包括:客户设备产生的应用数据。
上述步骤中的客户设备可以是用户使用的智能手机(包括Android手机、iOS手机)、平板电脑、笔记本电脑、计算机终端等设备,但不仅限于此。用户通过客户设备可以访问云应用程序,通过这些应用程序处理和存储结构化和非结构化数据(即上述的应用数据)。
步骤S104,反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果。
上述步骤中的安全检测模块可以是CASB,CASB包含一组安全性机制,如审核器、授权者、身份验证器、加密器等,进行实时处理用户认证、授权、行为审计、加密等操作。
在本发明实施例中,可以采用基于API(Application Programming Interface,应用程序接口)技术的CASB,以外置组件单独存在和部署于云网络中,用户端与云服务器端之间直接沟通,无需经过CASB,而CASB可以通过调用各个云服务商提供的API实现与云端服务的整合,实现对用户行为的安全监控。目前,主流云服务商几乎都提供了与用户认证、授权、日志、行为审计相关的API,以及反向实时通知CASB的机制,从而确保了CASB可以实时了解相关安全事件并进行处理。
需要说明的是,用户和CASB可以相互认证,当用户尝试访问应用程序时,CASB可以为其强制执行权利,应用程序也可以由CASB控制。身份联合可以为用户和云服务商提供标识符以支持身份验证。
可选的,上述的安全检测模块可以包括如下至少之一:身份认证模块、敏感数据分析模块、数据加解密模块。在本发明实施例中,以CASB包含身份认证模块、敏感数据分析标记模块、数据加解密模块和可视化模块为例进行说明。
上述步骤中的安全处理结果可以是利用安全检测模块对用户端数据进行用户认证、授权策略实施、入侵防御、反恶意软件过滤、安全日志记录/审核和加密等安全处理,所得到的数据加密、访问情况。
步骤S106,基于用户端数据和安全处理结果,生成可视化结果。
上述步骤中的可视化结果可以是可视化图形报表,各种可视化图形报表可以直观地了解每个时段的统计量值,管理者可以通过图表报告,了解企业正在发生的数据安全事件,有的放矢调整管理策略,健全管理制度,使企业的数据安全管理更加有效和全面,满足监管部门要求。
在一种可选的实施例中,用户可以通过请求向云端请求服务,云端服务通反向实时调用通知CASB,由CASB进行实时处理用户认证、授权、行为审计、加密等操作,得到相应的安全处理结果,进一步地,基于用户端数据和安全处理结果可以生成所有用户访问云端应用的行为视图,方便管理者通过可视化结果了解云中的数据和威胁。
在本发明上述实施例中,在获取到待验证的用户端数据之后,可以反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,进一步基于用户端数据和安全处理结果,生成可视化结果。容易注意到的是,通过安全检测模块检查云服务中的数据和用户行为,实现了对云中的数据和威胁的可见性和控制,满足云安全性需求,实时阻断违反安全策略的数据访问操作,达到了全访问保护云数据安全的技术效果,进而解决了相关技术中云中数据的安全性较低的技术问题。
可选地,在本发明上述实施例中,在应用数据包括用户登录应用软件的身份信息的情况下,反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,包括:身份认证模块接收到身份信息;身份认证模块如果获取到用于身份认证的认证证书,采用认证证书对身份信息进行认证;如果认证成功,身份认证模块验证身份信息成功,且完成用户登录操作;身份认证模块获取身份信息对应的角色信息,并基于角色信息获取用户密钥;身份认证模块基于用户密钥判断登录成功的用户与角色信息是否符合;如果符合,身份认证模块返回安全认证结果。
上述步骤中的身份信息可以是用于用户的用户名、用户访问的数据名、以及用户密钥的密钥长度等,但不仅限于此。
需要说明的是,CASB中建立了独立于云应用的基于角色的统一访问控制模块,可以将DAC(Discretionary Access Control,自主访问控制)、MAC(Mandatory AccessControl,强制访问控制)和RBAC(Role-Based Access Control,基于角色的访问控制)集成一个模型URModel,并给出该模型的形式化定义、结构组成、操作规则及其特性等。CASB引入了平板电脑和智能手机标签、分类等概念,给每个访问云应用的私人终端打上标签并和应用唯一对应,建立可信通道,使得在分配权限的时候不需要考虑终端、权限与角色之间的标签关系,CASB可以自动地把符合安全策略的权限授予终端角色授权。CASB引入了外部角色、内部角色和基本角色,使得该模型可以同时实现自主访问控制和强制访问控制,而且也方便了管理。
在一种可选的实施例中,如图2所示,用户认证与鉴权流程如下:用户登录应用软件之后,可以建立SSL连接,身份认证模块可以从认证服务器获取认证证书,如果获取到认证证书,则可以利用认证证书对用户信息进行认证,如果认证成功,则可以完成用户登录操作,并获取用户角色,进一步获取用户密钥,然后基于用户密钥判断登录成功的用户与角色信息是否符合,如果符合,则返回操作结果(即上述的安全认证结果)。如果未获取到认证证书,则可以完成用户登录操作,并判断登录成功的用户与角色信息是否符合,如果符合,则返回操作结果(即上述的安全认证结果)。
可选地,在本发明上述实施例中,基于角色信息获取用户密钥,包括:身份认证模块发送密钥操作请求,其中,密钥操作请求包括:请求密钥的登录用户的身份信息,身份信息包括如下至少之一:用户名、数据名和密钥长度;身份认证模块基于密钥操作请求获取到用户密钥。
在一种可选的实施例中,如图3所示,云服务在接收到密钥操作请求之后,可以由消息处理模块处理,请求数据密钥管理模块生成密钥,数据密钥管理模块可以获取socket用户名、数据名、密钥长度等信息,并基于上述信息从数据库获取用户密钥,获取到的用户密钥经由消息处理模块传输给云服务,由CASB进行身份认证。
可选地,在本发明上述实施例中,身份认证模块基于密钥操作请求获取到用户密钥,包括:身份认证模块基于用户名查询用户表;如果查询成功,则获取与用户名匹配的用户密钥;如果查询失败,用户表中创建用户名对应的用户信息,并生成与用户名对应的用户密钥。
在一种可选的实施例中,如图3所示,数据密钥管理模块可以根据用户名查询socket用户表,若存在则直接返回用户密钥;不存在此用户,则生成用户密钥,并在用户表内创建用户信息,然后生成用户密钥,并计算数据密钥UUID,在dataKey和arributes表内保存用户密钥,并返回用户密钥。
需要说明的是,用户密钥的生命周期如图4所示,用户密钥生成后可以拆分存储在数据库中,当服务器请求用户密钥时便派发使用。若在派发过程中没有出现泄露情况,则按照正常的密钥生命周期流程管理,即更新、归档、销毁。若在派发过程中发生泄露,则无论是否达到更新的条件,都会对密钥进行更新,避免泄露更多的用户数据,且更新后,则立即对其进行销毁操作。
可选地,在本发明上述实施例中,在应用数据包括应用软件执行用户操作后产生的行为数据的情况下,反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,包括:敏感数据分析模块接收到行为数据;敏感数据分析模块将行为数据与预存的样本数据进行相似性计算,获取行为数据的相似度计算结果,其中,样本数据为预先标记了安全级别的历史数据集合;敏感数据分析模块基于行为数据的相似度计算结果,确定行为数据的安全等级;敏感数据分析模块基于行为数据的安全等级,输出告警结果。
上述的历史数据集合可以是企业关注数据定义集合、用户关注数据定义集合和自定义关注数据定义集合,但不仅限于此。如图5所示,企业关注数据定义集合标记了订单信息类和客户信息类等;用户关注数据定义集合标记了用户名类、密码类、手机号类等;定义关注数据定义集合标记了户籍类、年龄等。
需要说明的是,CASB可以将用户请求的元数据进行分析,如果允许请求,则允许用户和云端进行连接,并可选择记录,CASB可以提供通用的策略引擎,CASB管理员可以根据内容类型、位置、用户和其他标记来定义敏感数据。
在一种可选的实施例中,如图5所示,在获取到行为数据之后,可以将行为数据与历史数据集合进行相似性计算,得到相似性计算结果,进一步可以根据相似性计算结果对行为数据进行归类,并计算行为数据的安全等级,然后基于安全等级进行判定,输出告警结果。
可选地,在本发明上述实施例中,在应用数据包括应用软件执行用户操作后产生的行为数据的情况下,反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果,包括:数据加解密模块接收到行为数据;数据加解密模块基于行为数据的类型,从数据库中查询与行为数据匹配的加密配置信息,其中,加密配置信息包括如下至少之一:加密算法、加密参数配置和加密后的数据封装格式;数据加解密模块采用加密配置信息对行为数据进行加密处理。
上述的加密算法可以是国产安全信息编码算法,本发明对此不作具体限定。
上述的加密参数配置可以是加密列指定加密设备、密钥长度等策略,但不仅限于此。
需要说明的是,CASB提供了在云服务中的字段和文件级别加密,标记或编辑内容的功能,可以通过使用国产安全信息编码算法,按列加密,可以对指定的列采用指定的加密算法和密钥等进行加密处理。加密后的数据以密文的形式存储在数据库的表空间中。对于非授权用户,将无法读取加密列(查询)和更改加密列的数据。密钥的管理是由安全管理员通过安全管理子系统来维护的。可以对加密列指定加密设备、算法、密钥长度等策略进行配置;支持密文列进行密钥更新;支持对加密列已加密数据进行周期性的密钥轮转。
CASB提供了强制执行以数据为中心的安全策略的能力,以防止基于数据分类,数据发现以及对敏感数据访问或权限提升的用户活动监控的不必要活动。策略通过控制应用,例如审核,警报,阻止,隔离,删除和查看,通过配置的数据安全策略,对用户行为进行管控,防止非法人员恶意破坏和篡改数据。
在一种可选的实施例中,CASB可以对用户请求解析后与数据库中配置的参数进行匹配,如果参数存在,则可以将对应参数值(包括GET参数值、POST参数值和文件三种类型)加密并替换原始数据,把修改后的请求发送到远程服务器,起到保护用户云端数据的作用。如图6所示,CASB的数据加解密模块可以分为加密模块和解密模块,其中,加密模块可以根据云应用类别从数据库查询云应用参数和系统加密配置,包括加密算法、加密参数配置等,然后将加密后的数据封装为特定格式返回给CASB,也即,返回加密操作结果。
可选地,在本发明上述实施例中,在数据加解密模块采用加密配置信息对行为数据进行加密处理之后,该方法还包括:数据加解密模块采用解密配置信息对行为数据进行解密处理,获取解密结果;数据加解密模块基于解密结果,确定行为数据是否为安全数据。
在一种可选的实施例中,CASB的解密流程与加密流程相似,数据加解密模块可以与数据库中配置的参数进行匹配,如果参数存在,则可以将加密后的参数值进行解密,并将解密后的数据与原始数据进行比较,得到行为数据是否为安全数据的处理结果。
可选地,在本发明上述实施例中,在数据加解密模块采用解密配置信息对行为数据进行解密处理之前,该方法还包括:数据加解密模块判断行为数据是否存在加密标识;如果检测到行为数据存在加密标识,数据加解密模块基于行为数据的类型,从数据库中查询与行为数据匹配的解密配置信息,其中,解密配置信息包括如下至少之一:解密算法、解密参数配置和解密后的数据封装格式。
在一种可选的实施例中,如图7所示,解密模块首先可以判断行为数据是否存在加密标识,存在即通过数据库中查询相应的加密配置,并解密数据,再封装为特定的解密格式返回给CASB做进一步处理,也即,返回解密操作结果。
可选地,在本发明上述实施例中,基于用户端数据和安全处理结果,生成可视化结果,包括:基于可视化处理模块处理用户端数据和安全处理结果,生成可视化结果,其中,可视化结果包括如下至少之一:待访问的多维报表和可视化图形报表。
上述步骤中的多维报表可以是按终端类型、时间、访问数据量、核心数据被访问量等多维度生成的报表。
在一种可选的实施例中,CASB可以基于数据加密、访问情况,提供按终端类型、时间、访问数据量、核心数据被访问量等多维报表,便于管理者细粒度查看数据访问情况。
下面结合图8对本发明一种优选的实施例进行详细说明。如图8所示,本发明提供了一种基于CASB的云保护系统,该系统是基于API技术的CASB,用户通过请求向云平台请求服务,云平台将请求转发至云应用服务器,并通过云应用访问云存储为用户提供服务。同时,云平台通过反向实时调用通知CASB,CASB可以通过身份认证模块、WEB管理模块、加解密模块和分析数据采集模块,其中,身份认证模块用于对用户进行用户认证;WEB管理模块用于为用户授权;加解密模块用于实时对行为数据进行字段和文件级别加解密等操作;分析数据采集模块用于对敏感数据进行分析标记。
通过上述系统,该系统提供安全控制(身份验证和授权),可以监视用户对服务的使用,并且可以在用户访问云应用程序时执行恶意软件检测。另外,可以提供其他服务,例如性能,身份和搜索。将结构化数据资产上传至云服务商时,利用对该结构化数据资产中的敏感数据进行加密当外部请求通过云应用访问数据时,所述的访问请求通过本地网关对流行企业云服务中的结构化数据进行现场级加密和标记化。增加更多基于云的可见性和对更广泛的SaaS应用程序的控制,这些应用程序处理和存储结构化和非结构化数据。加密和标记化的数据可以与本地密钥管理,其中,利用防护服务器对该结构化数据资产中的敏感数据进行加密、通过本地密钥对数据进行解密。方便与企业内部的安全设备联动和安全方案进行集成,如单点登录集成、DLP集成、企业SIEM集成。以达到全方位保护云数据安全。
实施例2
根据本发明实施例,提供了一种文本的处理装置,该装置可以执行上述实施例中提供的文本的处理方法,具体实现方案和应用场景与上述实施例相同,在此不作赘述。
图9是根据本发明实施例的一种文本的处理装置的示意图,如图9所示,该装置包括:
获取模块92,用于获取待验证的用户端数据,其中,用户端数据包括:客户设备产生的应用数据;
处理模块94,用于反向调用安全检测模块对用户端数据进行安全处理,获取安全处理结果;
生成模块96,用于基于用户端数据和安全处理结果,生成可视化结果。
可选地,在本发明上述实施例中,在应用数据包括用户登录应用软件的身份信息的情况下,处理模块包括:第一接收单元,用于接收身份信息;认证单元,用于如果获取到用于身份认证的认证证书,采用认证证书对身份信息进行认证;第一确定单元,用于如果认证成功,验证身份信息成功,且完成用户登录操作;获取单元,用于获取身份信息对应的角色信息,并基于角色信息获取用户密钥;第一判断单元,用于基于用户密钥判断登录成功的用户与角色信息是否符合;返回单元,用于如果符合,返回安全认证结果。
可选地,在本发明上述实施例中,获取单元包括:发送子单元,用于发送密钥操作请求,其中,密钥操作请求包括:请求密钥的登录用户的身份信息,身份信息包括如下至少之一:用户名、数据名和密钥长度;获取子单元,用于基于密钥操作请求获取到用户密钥。
可选地,在本发明上述实施例中,获取子单元还用于基于用户名查询用户表;如果查询成功,则获取与用户名匹配的用户密钥;如果查询失败,用户表中创建用户名对应的用户信息,并生成与用户名对应的用户密钥。
可选地,在本发明上述实施例中,在应用数据包括应用软件执行用户操作后产生的行为数据的情况下,处理模块包括:第二接收单元,用于接收行为数据;计算单元,用于将行为数据与预存的样本数据进行相似性计算,获取行为数据的相似度计算结果,其中,样本数据为预先标记了安全级别的历史数据集合;第二确定单元,用于基于行为数据的相似度计算结果,确定行为数据的安全等级;输出单元,用于基于行为数据的安全等级,输出告警结果。
可选地,在本发明上述实施例中,在应用数据包括应用软件执行用户操作后产生的行为数据的情况下,处理模块包括:第三接收单元,用于接收到行为数据;查询单元,用于基于行为数据的类型,从数据库中查询与行为数据匹配的加密配置信息,其中,加密配置信息包括如下至少之一:加密算法、加密参数配置和加密后的数据封装格式;加密单元,用于采用加密配置信息对行为数据进行加密处理。
可选地,在本发明上述实施例中,处理模块还包括:解密单元,用于采用解密配置信息对行为数据进行解密处理,获取解密结果;第三确定单元,用于基于解密结果,确定行为数据是否为安全数据。
可选地,在本发明上述实施例中,处理模块还包括:第二判断单元,用于判断行为数据是否存在加密标识;查询单元还用于如果检测到行为数据存在加密标识,基于行为数据的类型,从数据库中查询与行为数据匹配的解密配置信息,其中,解密配置信息包括如下至少之一:解密算法、解密参数配置和解密后的数据封装格式。
可选地,在本发明上述实施例中,生成模块包括:生成单元,用于基于可视化处理模块处理用户端数据和安全处理结果,生成可视化结果,其中,可视化结果包括如下至少之一:待访问的多维报表和可视化图形报表。
实施例3
根据本发明实施例,提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,在程序运行时控制计算机可读存储介质所在设备执行上述实施例1中的文本的处理方法。
实施例4
根据本发明实施例,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述实施例1中的文本的处理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (13)
1.一种文本的处理方法,其特征在于,包括:
获取待验证的用户端数据,其中,所述用户端数据包括:客户设备产生的应用数据;
反向调用安全检测模块对所述用户端数据进行安全处理,获取安全处理结果;
基于所述用户端数据和所述安全处理结果,生成可视化结果。
2.根据权利要求1所述的方法,其特征在于,所述安全检测模块包括如下至少之一:身份认证模块、敏感数据分析模块、数据加解密模块。
3.根据权利要求2所述的方法,其特征在于,在所述应用数据包括用户登录应用软件的身份信息的情况下,反向调用安全检测模块对所述用户端数据进行安全处理,获取安全处理结果,包括:
所述身份认证模块接收到所述身份信息;
所述身份认证模块如果获取到用于身份认证的认证证书,采用所述认证证书对所述身份信息进行认证;
如果认证成功,所述身份认证模块验证所述身份信息成功,且完成用户登录操作;
所述身份认证模块获取所述身份信息对应的角色信息,并基于所述角色信息获取用户密钥;
所述身份认证模块基于所述用户密钥判断登录成功的用户与所述角色信息是否符合;
如果符合,所述身份认证模块返回安全认证结果。
4.根据权利要求3所述的方法,其特征在于,基于所述角色信息获取用户密钥,包括:
所述身份认证模块发送密钥操作请求,其中,所述密钥操作请求包括:请求密钥的登录用户的身份信息,所述身份信息包括如下至少之一:用户名、数据名和密钥长度;
所述身份认证模块基于所述密钥操作请求获取到所述用户密钥。
5.根据权利要求4所述的方法,其特征在于,所述身份认证模块基于所述密钥操作请求获取到所述用户密钥,包括:
所述身份认证模块基于所述用户名查询用户表;
如果查询成功,则获取与所述用户名匹配的所述用户密钥;
如果查询失败,所述用户表中创建所述用户名对应的用户信息,并生成与所述用户名对应的用户密钥。
6.根据权利要求2所述的方法,其特征在于,在所述应用数据包括应用软件执行用户操作后产生的行为数据的情况下,反向调用安全检测模块对所述用户端数据进行安全处理,获取安全处理结果,包括:
所述敏感数据分析模块接收到所述行为数据;
所述敏感数据分析模块将所述行为数据与预存的样本数据进行相似性计算,获取所述行为数据的相似度计算结果,其中,所述样本数据为预先标记了安全级别的历史数据集合;
所述敏感数据分析模块基于所述行为数据的相似度计算结果,确定所述行为数据的安全等级;
所述敏感数据分析模块基于所述行为数据的安全等级,输出告警结果。
7.根据权利要求2所述的方法,其特征在于,在所述应用数据包括应用软件执行用户操作后产生的行为数据的情况下,反向调用安全检测模块对所述用户端数据进行安全处理,获取安全处理结果,包括:
所述数据加解密模块接收到所述行为数据;
所述数据加解密模块基于所述行为数据的类型,从数据库中查询与所述行为数据匹配的加密配置信息,其中,所述加密配置信息包括如下至少之一:加密算法、加密参数配置和加密后的数据封装格式;
所述数据加解密模块采用所述加密配置信息对所述行为数据进行加密处理。
8.根据权利要求7所述的方法,其特征在于,在所述数据加解密模块采用所述加密配置信息对所述行为数据进行加密处理之后,所述方法还包括:
所述数据加解密模块采用解密配置信息对所述行为数据进行解密处理,获取解密结果;
所述数据加解密模块基于所述解密结果,确定所述行为数据是否为安全数据。
9.根据权利要求8所述的方法,其特征在于,在所述数据加解密模块采用解密配置信息对所述行为数据进行解密处理之前,所述方法还包括:
所述数据加解密模块判断所述行为数据是否存在加密标识;
如果检测到所述行为数据存在所述加密标识,所述数据加解密模块基于所述行为数据的类型,从数据库中查询与所述行为数据匹配的解密配置信息,其中,所述解密配置信息包括如下至少之一:解密算法、解密参数配置和解密后的数据封装格式。
10.根据权利要求1至9中任意一项所述的方法,其特征在于,基于所述用户端数据和所述安全处理结果,生成可视化结果,包括:
基于可视化处理模块处理所述用户端数据和所述安全处理结果,生成所述可视化结果,其中,所述可视化结果包括如下至少之一:待访问的多维报表和可视化图形报表。
11.一种文本的处理装置,其特征在于,包括:
获取模块,用于获取待验证的用户端数据,其中,所述用户端数据包括:客户设备产生的应用数据;
处理模块,用于反向调用安全检测模块对所述用户端数据进行安全处理,获取安全处理结果;
生成模块,用于基于所述用户端数据和所述安全处理结果,生成可视化结果。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至10中任意一项所述的文本的处理方法。
13.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至10中任意一项所述的文本的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011602817.8A CN112769784A (zh) | 2020-12-29 | 2020-12-29 | 文本的处理方法和装置、计算机可读存储介质及处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011602817.8A CN112769784A (zh) | 2020-12-29 | 2020-12-29 | 文本的处理方法和装置、计算机可读存储介质及处理器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112769784A true CN112769784A (zh) | 2021-05-07 |
Family
ID=75697260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011602817.8A Pending CN112769784A (zh) | 2020-12-29 | 2020-12-29 | 文本的处理方法和装置、计算机可读存储介质及处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769784A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157501A (zh) * | 2021-12-08 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 一种基于天睿数据库的参数解析方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109740363A (zh) * | 2019-01-04 | 2019-05-10 | 贵州大学 | 文档分级脱敏加密方法 |
| CN109818757A (zh) * | 2019-03-18 | 2019-05-28 | 广东工业大学 | 云存储数据访问控制方法、属性证书颁发方法及系统 |
| CN110287710A (zh) * | 2019-06-03 | 2019-09-27 | 深圳市琦迹技术服务有限公司 | 安全管理方法及其相关设备 |
| CN111090622A (zh) * | 2019-10-18 | 2020-05-01 | 西安电子科技大学 | 基于动态加密rbac模型的云存储信息处理系统及方法 |
-
2020
- 2020-12-29 CN CN202011602817.8A patent/CN112769784A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109740363A (zh) * | 2019-01-04 | 2019-05-10 | 贵州大学 | 文档分级脱敏加密方法 |
| CN109818757A (zh) * | 2019-03-18 | 2019-05-28 | 广东工业大学 | 云存储数据访问控制方法、属性证书颁发方法及系统 |
| CN110287710A (zh) * | 2019-06-03 | 2019-09-27 | 深圳市琦迹技术服务有限公司 | 安全管理方法及其相关设备 |
| CN111090622A (zh) * | 2019-10-18 | 2020-05-01 | 西安电子科技大学 | 基于动态加密rbac模型的云存储信息处理系统及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157501A (zh) * | 2021-12-08 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 一种基于天睿数据库的参数解析方法及装置 |
| CN114157501B (zh) * | 2021-12-08 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种基于天睿数据库的参数解析方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6941146B2 (ja) | データセキュリティサービス | |
| JP6514115B2 (ja) | フェデレーテッドキー管理 | |
| EP2957063B1 (en) | Policy enforcement with associated data | |
| US11372993B2 (en) | Automatic key rotation | |
| CN111082940A (zh) | 物联网设备控制方法、装置及计算设备、存储介质 | |
| CN104756127A (zh) | 通过虚拟机进行安全数据处理 | |
| US20140351924A1 (en) | Method and system for providing limited secure access to sensitive data | |
| WO2012151675A1 (en) | System, apparatus and method for securing electronic data independent of their location | |
| CN110650139B (zh) | 云平台的资源访问控制方法以及系统 | |
| Lei et al. | Research on key management infrastructure in cloud computing environment | |
| CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及系统 | |
| CN115622792A (zh) | 一种基于零信任的数据安全综合防护系统及方法 | |
| CN111614686A (zh) | 一种密钥管理方法、控制器及系统 | |
| CN112769784A (zh) | 文本的处理方法和装置、计算机可读存储介质及处理器 | |
| KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| CN114036490A (zh) | 外挂软件接口调用安全认证方法、USBKey驱动装置及认证系统 | |
| CN113806778B (zh) | 基于大数据平台的数据管理方法、系统及存储介质 | |
| US11032320B1 (en) | Systems and methods for dynamic application level encryption | |
| CN109063458B (zh) | 一种分层信息管理的终端安全方法和装置 | |
| Mahesh et al. | Review of Security Threats in Cloud Computing and its Protection | |
| CN114826644A (zh) | 一种数据保护加密管理系统 | |
| KR20230108155A (ko) | 합성곱 신경망(CNN: Convolutional Neual Network) 기반 영상 가치 판단 및 블록체인 기술을 이용한 데이터의 분산 저장 방법 | |
| CN117349883A (zh) | 一种基于区块链的数据访问管理方法和系统 | |
| CN117540408A (zh) | 一种基于属性的通配符可搜索加密方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210507 |