CN112800442A - 加密文件检测方法、装置及介质 - Google Patents
加密文件检测方法、装置及介质 Download PDFInfo
- Publication number
- CN112800442A CN112800442A CN202110007000.4A CN202110007000A CN112800442A CN 112800442 A CN112800442 A CN 112800442A CN 202110007000 A CN202110007000 A CN 202110007000A CN 112800442 A CN112800442 A CN 112800442A
- Authority
- CN
- China
- Prior art keywords
- file
- storage path
- encrypted file
- encrypted
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 42
- 238000000034 method Methods 0.000 claims abstract description 38
- 230000006870 function Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000010845 search algorithm Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开是关于一种加密文件检测方法、装置及介质。所述方法包括:获获取服务器上各文件的信息熵值;确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。采用该方法,可以确定加密文件的存储路径正确,以及加密文件中域名证书和私钥是否同时发生变更,从而提升用户的使用体验。
Description
技术领域
本公开涉及互联网技术领域,尤其涉及一种加密文件检测方法、装置及介质。
背景技术
当前网络中需要加密文件的场景越来越多。这就需要加密文件的存储路径正确,如果存储路径错误,恶意请求就有可能从错误的路径获取加密文件,从而造成损失。
另外,在一些场景中,加密文件包括证书和私钥,证书和私钥成对提供服务,缺一不可。因此,如果证书和私钥不能同时被更新,就会导致使用加密文件的验证失败,严重影响用户的使用体验。
因此,需要对加密文件的存储路径是否正确以及加密文件中包括的证书和私钥是否同时更新进行检测。
发明内容
为克服相关技术中存在的问题,本公开提供一种加密文件检测方法、装置及介质。
根据本公开实施例的第一方面,提供一种加密文件检测方法,所述方法包括:
获取服务器上各文件的信息熵值;
确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。其中,所述获取服务器上各文件的信息熵值,包括:
将每个文件划分为一个或多个字符块,所述字符块具有设定字节长度;
获取每个字符块中所有字符在相应字符块中的出现概率;
基于所述每个字符块中所有字符的所述出现概率,获取所述每个字符块的信息熵值;
将每个文件包含的各字符块的信息熵值作为所述文件的信息熵值。
其中,所述确定所述信息熵值满足设定条件的文件为加密文件,包括:
确定包含的各字符块的信息熵值均大于设定阈值的文件为所述加密文件。
其中,所述方法还包括:
获取所述加密文件所属文件集合内的各文件和所述各文件的存储路径;
所述基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确,包括:
基于获取的所述各文件和所述各文件的存储路径,获取确定的所述加密文件的当前存储路径;
获取所述加密文件的所述预设存储路径;
将所述当前存储路径与所述预设存储路径比较,在所述当前存储路径与所述预设存储路径一致的情况下,确定所述加密文件的预设存储路径正确,在所述当前存储路径与所述预设存储路径不一致的情况下,确定所述加密文件的预设存储路径不正确。
其中,所述确定所述加密文件中所述域名证书和所述私钥是否同时发生变更,包括:
确定所述加密文件的个数为偶数的情况下,确定所述加密文件中所述域名证书和所述私钥同时发生变更,确定所述加密文件的个数为奇数的情况下,确定所述加密文件中所述域名证书和所述私钥未同时发生变更。
其中,所述基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更,包括:
当所述各文件所属文件集合为项目文件集合时,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;
当所述各文件所属文件集合为变更文件集合时,确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
根据本公开实施例的第二方面,提供一种加密文件检测装置,所述装置包括:
第一获取模块,被设置为获取服务器上各文件的信息熵值;
确定模块,被设置为确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;
检测模块,被设置为基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
其中,所述第一获取模块还被设置为:
将每个文件划分为一个或多个字符块,所述字符块具有设定字节长度;
获取每个字符块中所有字符在相应字符块中的出现概率;
基于所述每个字符块中所有字符的所述出现概率,获取所述每个字符块的信息熵值;
将每个文件包含的各字符块的信息熵值作为所述文件的信息熵值。
其中,所述确定模块还被设置为:
确定包含的各字符块的信息熵值均大于设定阈值的文件为所述加密文件。
其中,所述装置还包括:
第二获取模块,被设置为获取所述加密文件所属文件集合内的各文件和所述各文件的存储路径;
所述检测模块还被设置为:
基于获取的所述各文件和所述各文件的存储路径,获取确定的所述加密文件的当前存储路径;
获取所述加密文件的所述预设存储路径;
将所述当前存储路径与所述预设存储路径比较,在所述当前存储路径与所述预设存储路径一致的情况下,确定所述加密文件的预设存储路径正确,在所述当前存储路径与所述预设存储路径不一致的情况下,确定所述加密文件的预设存储路径不正确。
其中,所述检测模块还被设置为:
确定所述加密文件的个数为偶数的情况下,确定所述加密文件中所述域名证书和所述私钥同时发生变更,确定所述加密文件的个数为奇数的情况下,确定所述加密文件中所述域名证书和所述私钥未同时发生变更。
其中,所述检测模块还被设置为:
当所述各文件所属文件集合为项目文件集合时,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;
当所述各文件所属文件集合为变更文件集合时,确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
根据本公开实施例的第三方面,提供一种加密文件检测装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为在运行所述可执行指令时实现上述加密文件检测方法的步骤。
根据本公开实施例的第四方面,提供一种非临时性计算机可读存储介质,当所述存储介质中的指令由装置的处理器执行时,使得装置能够执行上述加密文件检测方法。
本公开提出了一种加密文件检测方法,其中,获取服务器上各文件的信息熵值,将信息熵值满足设定条件的文件确定为加密文件。基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确,或确定加密文件中域名证书和私钥是否同时发生变更。采用该方法,可以确定加密文件的存储路径正确,以及加密文件中域名证书和私钥是否同时发生变更,从而提升用户的使用体验。另外,还可以减少人为配置错误带来的安全风险,增强了加密文件的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种加密文件检测方法的流程图。
图2是根据一示例性实施例示出的一种加密文件检测方法的流程图。
图3是根据一示例性实施例示出的一种加密文件检测方法的流程图。
图4是根据一示例性实施例示出的一种加密文件检测装置的框图。
图5是根据一示例性实施例示出的一种装置的框图。
图6是根据一示例性实施例示出的一种装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
当前网络中需要加密文件的场景越来越多。为了不影响用户的使用体验,需要检测加密文件的存储路径正确,以及加密文件中证书和私钥是否被同时更新,从而提升用户的使用体验。
本公开提出了一种加密文件检测方法,其中,获取服务器上各文件的信息熵值,将信息熵值满足设定条件的文件确定为加密文件。基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确,或确定加密文件中域名证书和私钥是否同时发生变更。采用该方法,可以确定加密文件的存储路径正确,以及加密文件中域名证书和私钥是否同时发生变更,从而提升用户的使用体验。另外,还可以减少人为配置错误带来的安全风险,增强了加密文件的安全性。
这种加密文件的检测方法特别适用于检测Nginx服务器上存储的域名https证书和域名私钥。目前互联网行业普遍使用Nginx服务器作为http/https服务的7层反向代理服务器和负载均衡服务器,但是由于http本身未加密,不够安全,各个互联网厂商均提供https服务。利用Nginx服务器代理https服务时,需要把https域名证书(简称为证书)和域名私钥(简称为私钥)存放在Nginx服务器上。互联网行业中,将新功能提交到线上环境并提供服务以及对线上环境已有服务进行变更或升级的频率很高,这就导致Nginx需要反复更新变更,此时存在以下隐患:
(1)如果Nginx服务器上的证书和私钥的配置路径错误,恶意请求有可能从错误的路径里下载到证书和私钥的静态资源,从而伪造域名网站,提供虚假的域名服务。
(2)证书和私钥成对提供服务,缺一不可。但是如果Nginx服务器没有同时更新某个域名的证书和私钥,则会导致https服务解析验证失败,浏览器会返回“该域名不可信”并拒绝访问,从而给用户带来糟糕的使用体验。
采用该方法,在Nginx服务器上线或变更前提前检测配置的加密文件(包括证书和私钥),避免加密文件配置错误,从而防止恶意提供虚假域名服务,也可避免https服务解析验证失败带来的糟糕用户体验。
以下的方案描述以应用于Nginx服务器为例,但是应该理解的是,本公开的方案也可以应用于其它场景,例如云计算领域,用于云计算厂商检测7层http/https的负载均衡ELB服务器中的加密文件。
图1是根据一示例性实施例示出的一种加密文件检测方法的流程图,如图1所示,该方法包括以下步骤:
步骤101,获取服务器上各文件的信息熵值;
步骤102,确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;
步骤103,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
本方法以应用于检测Nginx服务器上证书和密钥为例。具体的应用场景例如是,互联网http/https业务使用Nginx服务器提供7层接入层服务,在Nginx服务器进行配置或变更时,通过检测整体配置文件和本次变更文件,来检测域名和证书是否在正确的存储路径上或同时更新。在通过本方法进行检测确保域名和证书位于正确的存储路径上或同时更新时,再将新功能提交到线上环境并提供服务或者使用变更或升级后的线上环境提供服务,以保证用户的正常使用。
在步骤102中,获取各文件的信息熵值。根据https服务采用的ssl/tls协议,证书和私钥均使用了RSA等加密手段进行加密。在密码学中,信息熵值越大,越不容易破解,密码强度越高。Nginx服务器上的配置文件既包含.conf类可解析的配置文件,也包含了域名的证书和私钥文件。这种加密后的证书和私钥文件的信息熵值会显著高于普通的配置文件。因此可以通过获取各文件的信息熵,来判断哪些文件为证书或私钥文件。
根据香农定理,计算信息熵值的公式如下:
其中,p(xi)代表随机事件X为xi的概率,在信息论中,取对数log底为2,此时信息熵值的单位为bit。
在步骤103中,将信息熵值满足设定条件的文件确定为加密文件。如上分析,加密后的证书和私钥文件的信息熵值会显著高于普通的配置文件,因此可以选取信息熵值大于设定阈值的文件为加密文件,例如证书或私钥文件。
在步骤104中,可以针对加密文件进行两方面的检测。在新功能上线的情况下,基于确定的加密文件找到这些加密文件的存储路径,例如通过预先获取各文件及其相应的存储路径,并通过确定的加密文件来确定其存储路径。然后判断确定的加密文件的存储路径与服务器中加密文件的预设存储路径是否一致,以确保服务器上存储的证书和密钥的预设存储路径无误。在变更或升级已有功能的情况下,确定所确定的加密文件中域名证书和私钥是否同时发生变更。
采用该方法,在Nginx服务器上线或变更前提前检测配置的加密文件(包括证书和私钥),避免加密文件配置错误,从而防止恶意提供虚假域名服务,也可避免https服务解析验证失败带来的糟糕用户体验。
在可选实施方式中,所述获取服务器上各文件的信息熵值,包括:
将每个文件划分为一个或多个字符块,所述字符块具有设定字节长度;
获取每个字符块中所有字符在相应字符块中的出现概率;
基于所述每个字符块中所有字符的所述出现概率,获取所述每个字符块的信息熵值;
将每个文件包含的各字符块的信息熵值作为所述文件的信息熵值。
在获取文件的信息熵值时,可以将文件所包含的所有字符划分为字符块,通过分别计算各字符块的信息熵值,来获取该文件的信息熵值。当然也可以不将文件包含的字符划分为字符块,而是直接计算整个文件的信息熵值。
例如,可以通过将一文件划分为多个字符块的方式,来获取该文件的信息熵值。在这种情况下,按照每个字符块256字节(字符块的字节数可以根据具体情况进行设置),读取该文件,统计每个字符块中各字符(xi)在该字符块中出现的概率(p(xi)),然后利用上述的计算信息熵的公式,计算得到该字符块的信息熵值。需要说明的是,字符块的字节数可以根据具体情况进行设置,并一定限定为这里的256字节。另外,这里的字符包括英文字母和数字,英文字母区分大小写,各类符号不参与统计。
可以通过映射表,例如哈希表来统计各文件的信息熵值。在映射表中,当将一个文件作为一个字符块计算信息熵值时,该文件对应于一个信息熵值;当将一个文件划分为多个字符块并计算该多个字符块的信息熵值时,该文件对应于划分为的多个字符块的信息熵值。
在可选实施方式中,所述确定所述信息熵值满足设定条件的文件为加密文件,包括:
确定包含的各字符块的信息熵值均大于设定阈值的文件为所述加密文件。
由于加密后的证书和私钥文件的信息熵值会显著高于普通的配置文件,因此当映射表中记录的一文件中各字符块的信息熵值均大于设定阈值时,将该文件确定为加密文件。这里的设定阈值可以根据实际情况设置,例如是50%。通过该方法可以较准确地确定加密文件,从而基于确定的加密文件进一步检测其存储路径的准确性,以及是否所有的加密文件(包括证书和私钥)都被变更。
在可选实施方式中,所述方法还包括:
获取所述加密文件所属文件集合内的各文件和所述各文件的存储路径;
所述基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确,包括:
基于获取的所述各文件和所述各文件的存储路径,获取确定的所述加密文件的当前存储路径;
获取所述加密文件的所述预设存储路径;
将所述当前存储路径与所述预设存储路径比较,在所述当前存储路径与所述预设存储路径一致的情况下,确定所述加密文件的预设存储路径正确,在所述当前存储路径与所述预设存储路径不一致的情况下,确定所述加密文件的预设存储路径不正确。
在该实施方式中,确定加密文件所属文件集合,然后获取该文件集合中各文件及其存储路径。在新功能上线的情况下,所属文件集合为加密文件所属整个项目内的所有文件的集合;在变更或升级已有功能的情况下,所属文件集合为项目内变更文件的集合。
在已获取各文件及其存储路径后,通过确定的加密文件的名称可以获取该加密文件的当前存储路径。另外,服务器上配置有加密文件的预设存储路径,可以获取到该预设存储路径。通过比对当前存储路径与预设存储路径,可以检测加密文件的预设存储路径是否正确,并在不正确时进行提醒,从而避免预设存储路径错误时,恶意请求有可能从错误的路径里下载到证书和私钥的静态资源,从而伪造域名网站,提供虚假的域名服务。
在可选实施方式中,所述确定所述加密文件中所述域名证书和所述私钥是否同时发生变更,包括:
确定所述加密文件的个数为偶数的情况下,确定所述加密文件中所述域名证书和所述私钥同时发生变更,确定所述加密文件的个数为奇数的情况下,确定所述加密文件中所述域名证书和所述私钥未同时发生变更。
我们知道,当加密文件包括证书和密钥时,证书和密钥是同时变更的。因此变更后的证书文件和私钥文件同时出现在变更文件集合中。也即,当对已上线的服务进行变更或升级时,就需要变更证书文件和私钥文件,此时将变更后的证书文件和变更后的私钥文件成对存放于变更文件集合中。在这种情况下,确定的加密文件就是偶数个。因此通过判断确定的加密文件是否是偶数个,可以确定证书和私钥是否被同时变更。当加密文件的个数为奇数时,则确定证书和私钥没有被同时变更,从而发出提醒,以避免影响用户的使用体验。
在可选实施方式中,所述基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更,包括:
当所述各文件所属文件集合为项目文件集合时,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;
当所述各文件所属文件集合为变更文件集合时,确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
在新功能上线的情况下,所属文件集合为加密文件所属整个项目内的所有文件的集合,此时步骤103中,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确。在变更或升级已有功能的情况下,所属文件集合为项目内变更文件的集合,此时步骤103中,确定所述加密文件中域名证书和私钥是否同时发生变更。
在可选实施方式中,所述获取所述加密文件所属文件集合内的各文件和所述各文件的存储路径,包括:
通过遍历算法搜索所属文件集合内的各文件,获取所述各文件和所述各文件的存储路径。
在该实施方式中,通过遍历算法搜索所属文件集合内的文件,这里的遍历算法例如是深度优先搜索算法等。另外,该实施方式中获取的各文件的存储路径可以是树状结构形式的存储路径。
在可选实施方式中,所述加密文件包括Nginx服务器上的域名证书和域名私钥。
在本公开的方法应用于Nginx服务器上的加密文件时,由于Nginx服务器上存储有https域名证书和域名私钥,而为了保证https服务的安全性,域名证书和域名私钥都是通过加密手段加密的,因此在该应用场景下加密文件包括域名证书和域名私钥。
下面结合具体的应用场景描述根据本公开的具体实施例。在该实施例中,待检测的加密文件是Nginx服务器上存储的https域名证书和域名私钥。其应用场景是计划Nginx新功能上线时,对Nginx配置进行修改,然后采用本方法检查更改后的配置,即检测其上存储的https域名证书和域名私钥,如果检测正常,则进行后续的上线,如果检测不正常,则在正式上线前,先对错误配置进行修改,以保证用户的正常使用。如图2所示,该方法包括以下步骤:
步骤201,当新功能准备上线时,针对Nginx所在项目(通常为git项目)通过深度优先搜索算法遍历Nginx项目内所有文件,获取这些文件的名称和相应的存储路径。
步骤202,对于每个文件,以字符块(256字节)的方式读取文件,并统计每个字符块中各字符的出现概率。
步骤203,利用信息熵公式,计算该文件中各字符块的信息熵值,将这些信息熵值作为与该文件对应的信息熵值。
步骤204,将按照上述步骤获取的各文件及其包含的字符块的信息熵值记录在哈希表中。
步骤205,根据哈希表中的记录,确定包含的各字符块的信息熵值均大于50%的文件为加密文件(证书或私钥)。
步骤206,基于步骤201中获取的文件名及对应的存储路径,获取证书和私钥的当前存储路径。
步骤207,将当前存储路径与Nginx配置中存储的证书和私钥的预设存储路径比对,以检测预设存储路径是否正确。
当应用场景为已有功能变更时,如图3所示,该方法包括以下步骤:
步骤301,当已有功能变更时,针对Nginx所在项目内的变更文件,通过深度优先搜索算法遍历Nginx项目内所有变更文件,获取这些文件的名称和相应的存储路径。
步骤302,对于每个文件,以字符块(256字节)的方式读取文件,并统计每个字符块中各字符的出现概率。
步骤303,利用信息熵公式,计算该文件中各字符块的信息熵值,将这些信息熵值作为与该文件对应的信息熵值。
步骤304,将按照上述步骤获取的各文件及其包含的字符块的信息熵值记录在哈希表中。
步骤305,根据哈希表中的记录,确定包含的各字符块的信息熵值均大于50%的文件为加密文件(证书或私钥)。
步骤306,判断加密文件的个数是否为偶数,以检测证书和私钥是否被同时变更。
本公开还提供了一种加密文件检测装置,如图4所示,所述装置包括:
第一获取模块401,被设置为获取服务器上各文件的信息熵值;
确定模块402,被设置为确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;
检测模块403,被设置为基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
在可选实施方式中,所述第一获取模块401还被设置为:
将每个文件划分为一个或多个字符块,所述字符块具有设定字节长度;
获取每个字符块中所有字符在相应字符块中的出现概率;
基于所述每个字符块中所有字符的所述出现概率,获取所述每个字符块的信息熵值;
将每个文件包含的各字符块的信息熵值作为所述文件的信息熵值。
在可选实施方式中,所述确定模块403还被设置为:
确定包含的各字符块的信息熵值均大于设定阈值的文件为所述加密文件。
在可选实施方式中,所述装置还包括:
第二获取模块,被设置为获取所述加密文件所属文件集合内的各文件和所述各文件的存储路径;
所述检测模块403还被设置为:
基于获取的所述各文件和所述各文件的存储路径,获取确定的所述加密文件的当前存储路径;
获取所述加密文件的所述预设存储路径;
将所述当前存储路径与所述预设存储路径比较,在所述当前存储路径与所述预设存储路径一致的情况下,确定所述加密文件的预设存储路径正确,在所述当前存储路径与所述预设存储路径不一致的情况下,确定所述加密文件的预设存储路径不正确。
在可选实施方式中,检测模块403还被设置为:
确定所述加密文件的个数为偶数的情况下,确定所述加密文件中所述域名证书和所述私钥同时发生变更,确定所述加密文件的个数为奇数的情况下,确定所述加密文件中所述域名证书和所述私钥未同时发生变更。
在可选实施方式中,所述检测模块403还被设置为:
当所述各文件所属文件集合为项目文件集合时,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;
当所述各文件所属文件集合为变更文件集合时,确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
该装置例如应用于Nginx服务器上的加密文件检测时,在Nginx服务上线或变更前提前检测配置的加密文件(包括证书和私钥),避免加密文件配置错误,从而防止恶意提供虚假域名服务,也可避免https服务解析验证失败带来的糟糕用户体验。
图5是根据一示例性实施例示出的一种加密文件检测装置500的框图。
参照图5,装置500可以包括以下一个或多个组件:处理组件502,存储器504,电力组件506,多媒体组件508,音频组件510,输入/输出(I/O)的接口512,传感器组件514,以及通信组件516。
处理组件502通常控制装置500的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件502可以包括一个或多个处理器520来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件502可以包括一个或多个模块,便于处理组件502和其他组件之间的交互。例如,处理组件502可以包括多媒体模块,以方便多媒体组件508和处理组件502之间的交互。
存储器504被配置为存储各种类型的数据以支持在设备500的操作。这些数据的示例包括用于在装置500上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器504可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电力组件506为装置500的各种组件提供电力。电力组件506可以包括电源管理系统,一个或多个电源,及其他与为装置500生成、管理和分配电力相关联的组件。
多媒体组件508包括在所述装置500和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件508包括一个前置摄像头和/或后置摄像头。当设备500处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件510被配置为输出和/或输入音频信号。例如,音频组件510包括一个麦克风(MIC),当装置500处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器504或经由通信组件516发送。在一些实施例中,音频组件510还包括一个扬声器,用于输出音频信号。
I/O接口512为处理组件502和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件514包括一个或多个传感器,用于为装置500提供各个方面的状态评估。例如,传感器组件514可以检测到设备500的打开/关闭状态,组件的相对定位,例如所述组件为装置500的显示器和小键盘,传感器组件514还可以检测装置500或装置500一个组件的位置改变,用户与装置500接触的存在或不存在,装置500方位或加速/减速和装置500的温度变化。传感器组件514可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件514还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件514还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件516被配置为便于装置500和其他设备之间有线或无线方式的通信。装置500可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件516经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件516还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置500可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器504,上述指令可由装置500的处理器520执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由移动终端的处理器执行时,使得移动终端能够执行一种加密文件检测方法,所述方法包括:获获取服务器上各文件的信息熵值;确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
图6是根据一示例性实施例示出的一种用于加密文件检测装置600的框图。例如,装置600可以被提供为一服务器。参照图6,装置600包括处理组件622,其进一步包括一个或多个处理器,以及由存储器632所代表的存储器资源,用于存储可由处理组件622的执行的指令,例如应用程序。存储器632中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件622被配置为执行指令,以执行上述方法:获获取服务器上各文件的信息熵值;确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
装置600还可以包括一个电源组件626被配置为执行装置600的电源管理,一个有线或无线网络接口650被配置为将装置600连接到网络,和一个输入输出(I/O)接口658。装置600可以操作基于存储在存储器632的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (14)
1.一种加密文件检测方法,其特征在于,所述方法包括:
获取服务器上各文件的信息熵值;
确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
2.如权利要求1所述的方法,其特征在于,所述获取服务器上各文件的信息熵值,包括:
将每个文件划分为一个或多个字符块,所述字符块具有设定字节长度;
获取每个字符块中所有字符在相应字符块中的出现概率;
基于所述每个字符块中所有字符的所述出现概率,获取所述每个字符块的信息熵值;
将每个文件包含的各字符块的信息熵值作为所述文件的信息熵值。
3.如权利要求1所述的方法,其特征在于,所述确定所述信息熵值满足设定条件的文件为加密文件,包括:
确定包含的各字符块的信息熵值均大于设定阈值的文件为所述加密文件。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述加密文件所属文件集合内的各文件和所述各文件的存储路径;
所述基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确,包括:
基于获取的所述各文件和所述各文件的存储路径,获取确定的所述加密文件的当前存储路径;
获取所述加密文件的所述预设存储路径;
将所述当前存储路径与所述预设存储路径比较,在所述当前存储路径与所述预设存储路径一致的情况下,确定所述加密文件的预设存储路径正确,在所述当前存储路径与所述预设存储路径不一致的情况下,确定所述加密文件的预设存储路径不正确。
5.如权利要求1所述的方法,其特征在于,所述确定所述加密文件中所述域名证书和所述私钥是否同时发生变更,包括:
确定所述加密文件的个数为偶数的情况下,确定所述加密文件中所述域名证书和所述私钥同时发生变更,确定所述加密文件的个数为奇数的情况下,确定所述加密文件中所述域名证书和所述私钥未同时发生变更。
6.如权利要求1所述的方法,其特征在于,所述基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更,包括:
当所述各文件所属文件集合为项目文件集合时,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;
当所述各文件所属文件集合为变更文件集合时,确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
7.一种加密文件检测装置,其特征在于,所述装置包括:
第一获取模块,被设置为获取服务器上各文件的信息熵值;
确定模块,被设置为确定所述信息熵值满足设定条件的文件为加密文件,其中,所述加密文件为包括域名证书和/或私钥的文件;
检测模块,被设置为基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;或确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
8.如权利要求7所述的装置,其特征在于,所述第一获取模块还被设置为:
将每个文件划分为一个或多个字符块,所述字符块具有设定字节长度;
获取每个字符块中所有字符在相应字符块中的出现概率;
基于所述每个字符块中所有字符的所述出现概率,获取所述每个字符块的信息熵值;
将每个文件包含的各字符块的信息熵值作为所述文件的信息熵值。
9.如权利要求7所述的装置,其特征在于,所述确定模块还被设置为:
确定包含的各字符块的信息熵值均大于设定阈值的文件为所述加密文件。
10.如权利要求7所述的装置,其特征在于,所述装置还包括:
第二获取模块,被设置为获取所述加密文件所属文件集合内的各文件和所述各文件的存储路径;
所述检测模块还被设置为:
基于获取的所述各文件和所述各文件的存储路径,获取确定的所述加密文件的当前存储路径;
获取所述加密文件的所述预设存储路径;
将所述当前存储路径与所述预设存储路径比较,在所述当前存储路径与所述预设存储路径一致的情况下,确定所述加密文件的预设存储路径正确,在所述当前存储路径与所述预设存储路径不一致的情况下,确定所述加密文件的预设存储路径不正确。
11.如权利要求7所述的装置,其特征在于,所述检测模块还被设置为:
确定所述加密文件的个数为偶数的情况下,确定所述加密文件中所述域名证书和所述私钥同时发生变更,确定所述加密文件的个数为奇数的情况下,确定所述加密文件中所述域名证书和所述私钥未同时发生变更。
12.如权利要求7所述的装置,其特征在于,所述检测模块还被设置为:
当所述各文件所属文件集合为项目文件集合时,基于确定的所述加密文件的当前存储路径,确定所述加密文件的预设存储路径是否正确;
当所述各文件所属文件集合为变更文件集合时,确定所述加密文件中所述域名证书和所述私钥是否同时发生变更。
13.一种加密文件检测装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为在运行所述可执行指令时实现如权利要求1-6中任一项所述的加密文件检测方法的步骤。
14.一种非临时性计算机可读存储介质,当所述存储介质中的指令由装置的处理器执行时,使得装置能够执行如权利要求1-6中任一项所述的加密文件检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110007000.4A CN112800442A (zh) | 2021-01-05 | 2021-01-05 | 加密文件检测方法、装置及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110007000.4A CN112800442A (zh) | 2021-01-05 | 2021-01-05 | 加密文件检测方法、装置及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112800442A true CN112800442A (zh) | 2021-05-14 |
Family
ID=75808203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110007000.4A Pending CN112800442A (zh) | 2021-01-05 | 2021-01-05 | 加密文件检测方法、装置及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112800442A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113839773A (zh) * | 2021-08-17 | 2021-12-24 | 厦门市美亚柏科信息股份有限公司 | 一种luks密钥离线提取方法、终端设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567780A (zh) * | 2009-03-20 | 2009-10-28 | 武汉理工大学 | 一种针对加密数字证书的密钥管理与恢复方法 |
CN103227801A (zh) * | 2013-05-14 | 2013-07-31 | 网宿科技股份有限公司 | 基于内容分发网络的https证书部署方法及系统 |
CN108171060A (zh) * | 2017-12-29 | 2018-06-15 | 哈尔滨安天科技股份有限公司 | 基于信息熵识别加密变形脚本的方法、系统及存储介质 |
US10003467B1 (en) * | 2015-03-30 | 2018-06-19 | Amazon Technologies, Inc. | Controlling digital certificate use |
CN110224824A (zh) * | 2019-06-20 | 2019-09-10 | 平安普惠企业管理有限公司 | 数字证书处理方法、装置、计算机设备和存储介质 |
CN111694591A (zh) * | 2020-06-16 | 2020-09-22 | 深圳前海微众银行股份有限公司 | 证书更新方法、装置、系统、服务端及计算机存储介质 |
CN111708658A (zh) * | 2020-06-09 | 2020-09-25 | 孟磊 | 一种司法辅助案件数据风险管理系统及其应用方法 |
-
2021
- 2021-01-05 CN CN202110007000.4A patent/CN112800442A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567780A (zh) * | 2009-03-20 | 2009-10-28 | 武汉理工大学 | 一种针对加密数字证书的密钥管理与恢复方法 |
CN103227801A (zh) * | 2013-05-14 | 2013-07-31 | 网宿科技股份有限公司 | 基于内容分发网络的https证书部署方法及系统 |
US10003467B1 (en) * | 2015-03-30 | 2018-06-19 | Amazon Technologies, Inc. | Controlling digital certificate use |
CN108171060A (zh) * | 2017-12-29 | 2018-06-15 | 哈尔滨安天科技股份有限公司 | 基于信息熵识别加密变形脚本的方法、系统及存储介质 |
CN110224824A (zh) * | 2019-06-20 | 2019-09-10 | 平安普惠企业管理有限公司 | 数字证书处理方法、装置、计算机设备和存储介质 |
CN111708658A (zh) * | 2020-06-09 | 2020-09-25 | 孟磊 | 一种司法辅助案件数据风险管理系统及其应用方法 |
CN111694591A (zh) * | 2020-06-16 | 2020-09-22 | 深圳前海微众银行股份有限公司 | 证书更新方法、装置、系统、服务端及计算机存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113839773A (zh) * | 2021-08-17 | 2021-12-24 | 厦门市美亚柏科信息股份有限公司 | 一种luks密钥离线提取方法、终端设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10643054B2 (en) | Method and device for identity verification | |
US10021543B2 (en) | Short message service reading method and device | |
RU2643473C2 (ru) | Способ и аппаратура для идентификации отпечатков пальцев | |
RU2674311C1 (ru) | Способ и устройство для доступа к смарт-камере | |
CN106170004B (zh) | 处理验证码的方法及装置 | |
CN109039990B (zh) | 基于验证码进行行为验证的方法及装置 | |
CN106528389B (zh) | 系统流畅性的性能评测方法、装置及终端 | |
US20170105237A1 (en) | Methods and apparatuses for network connection | |
US11004163B2 (en) | Terminal-implemented method, server-implemented method and terminal for acquiring certification document | |
US20220382884A1 (en) | Method and device for parsing shared password | |
CN106454392A (zh) | 直播处理方法、装置及终端 | |
CN103914520B (zh) | 数据查询方法、终端设备和服务器 | |
CN109214187B (zh) | 一种控制计算机启动的方法、装置和电子设备 | |
KR101642019B1 (ko) | 단말기 검증방법, 장치, 프로그램 및 기록매체 | |
EP3324662A1 (en) | Identity verification method, apparatus and system, computer program and recording medium | |
CN104580409A (zh) | 业务请求处理方法、服务器及终端 | |
CN109672666B (zh) | 一种网络攻击检测方法及装置 | |
CN111368232A (zh) | 口令分享回流方法、装置、电子设备及存储介质 | |
CN109547480A (zh) | 一种登录方法及装置 | |
CN105100061A (zh) | 网址劫持检测的方法及装置 | |
CN115277198A (zh) | 一种工控系统网络的漏洞检测方法、装置及存储介质 | |
US10027629B2 (en) | Short message service reading method and device | |
CN107231338B (zh) | 网络连接方法、装置以及用于网络连接的装置 | |
CN112800442A (zh) | 加密文件检测方法、装置及介质 | |
CN110928425A (zh) | 信息监控方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |