CN113630393A - 计算机网络安全中的信息防泄漏防盗窃管理方法及装置 - Google Patents

计算机网络安全中的信息防泄漏防盗窃管理方法及装置 Download PDF

Info

Publication number
CN113630393A
CN113630393A CN202110852540.2A CN202110852540A CN113630393A CN 113630393 A CN113630393 A CN 113630393A CN 202110852540 A CN202110852540 A CN 202110852540A CN 113630393 A CN113630393 A CN 113630393A
Authority
CN
China
Prior art keywords
key
data
request message
party
acquisition request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110852540.2A
Other languages
English (en)
Inventor
齐鑫
王永东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110852540.2A priority Critical patent/CN113630393A/zh
Publication of CN113630393A publication Critical patent/CN113630393A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种计算机网络安全中的信息防泄漏防盗窃管理方法及装置,由于网络安全设备可以利用第一密钥集合解密载荷包,并确定出第一密钥集合中成功解密载荷包的第一密钥;如此,网络安全设备便可以基于第一密钥的特征,有效识别出第三方是否受信任,比如识别伪装了身份的第三方,如此可以提高防护安全,有效避免信息的盗窃泄露。

Description

计算机网络安全中的信息防泄漏防盗窃管理方法及装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种计算机网络安全中的信息防泄漏防盗窃管理方法及装置。
背景技术
在当今网络时代,网络与人们的生活息息相关,如打车、购物、餐饮、娱乐等生活的方方面面都可以在网络。如果在发生网络信息的盗窃泄露,将引发严重后果。因此,如何避免网络信息的盗窃泄露在当今时代显得尤其重要。
具体地,在现有技术中,可以采用防火墙来避免网络信息的盗窃泄露。比如,防火墙可以对访问请求进行身份验证,若验证不通过,则访问者的身份不可信,因而拒绝访问者的访问。这种方式虽能够在一定程度上避免网络信息的盗窃泄露,但其缺陷也十分明显。比如,若访问者进行了有效的身份伪装,则防火墙无法识别出该访问者不可信,从而无法避免发生信息的盗窃泄露。
发明内容
本申请实施例提供一种计算机网络安全中的信息防泄漏防盗窃管理方法及装置,能够提高防护安全,以有效避免信息的盗窃泄露。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种计算机网络安全中的信息防泄漏防盗窃管理方法,应用于网络安全设备,所述网络安全设备分别与内部的数据中心和外部的网络侧连接,包括:接收来自所述网络侧且发往所述数据中心的数据获取请求消息;根据所述数据获取请求消息携带的设备标识,确定所述设备标识对应的第一密钥集合;利用所述第一密钥集合解析所述数据获取请求消息携带的载荷包,确定出所述第一密钥集合中成功解密所述载荷包的第一密钥;根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方;若来自所述不受信任的第三方,则丢弃所述数据获取请求消息;否则,向所述数据中心转发所述数据获取请求消息。
根据第一方面所述方法,由于网络安全设备可以利用第一密钥集合解密载荷包,并确定出第一密钥集合中成功解密载荷包的第一密钥;如此,网络安全设备便可以基于第一密钥的特征,有效识别出第三方是否受信任,比如识别伪装了身份的第三方,如此可以提高防护安全,有效避免信息的盗窃泄露。
可选地,根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方,包括:根据所述第一密钥的数量,确定所述数据获取请求消息是否来自所述不受信任的第三方,其中,若所述第一密钥的数量小于预设的第一数量,则表示所述数据获取请求消息来自不受信任的第三方,所述第一数量小于所述第一密钥集合中元素的数量。
应理解,由于第一密钥集合中的每个密钥可以对应解密载荷包中的一部分数据,比如,密钥A可以解密载荷包中的部分数据1,密钥B可以解密载荷包中的部分数据2。这样,伪装身份的痕迹,如篡改了小部分数据,便会被识别出,从而有效地识别第三方是否可信。
可选地,根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方,包括:根据所述第一密钥在所述第一密钥集合中对应的序号,确定所述网络加密数据是否被篡改;其中,若所述第一密钥在所述第一密钥集合中对应的序号与预设的第一序号不同,则表示所述数据获取请求消息来自不受信任的第三方。
应理解,由于第一密钥集合中的第一部分密钥可以解密载荷包,而第一密钥集合中的第二部分密钥则不可以解密载荷包,且第一部分密钥还具有预设的第一序号。这样,一旦载荷包中有至少一部分数据被篡改,便会导致第一部分密钥中有至少一个密钥无法解密网络加密数据。因此,根据第一密钥在第一密钥集合中对应的序号与预设的第一序号是否相同,便可以准确地确定载荷包是否被篡改,从而有效地识别第三方是否可信。
可选地,所述第一密钥在所述第一密钥集合中对应的序号表示所述第一密钥在所述第一密钥集合中的排列顺序,或者,表示所述第一密钥与所述第一密钥集合中预设的第一锚点密钥之间间隔的密钥数量,其中,所述第一锚点密钥为所述第一密钥集合中的一个元素。
应理解,第一锚点密钥可以作为一个序号的参考点,如此,通过第一锚点密钥能够准确地定位第一密钥集合中每个密钥的相对位置,以便通过相对位置能够准确地确定第一密钥在第一密钥集合中对应的序号与预设的第一序号是否相同。
可选地,在向所述数据中心转发所述数据获取请求消息之后,所述方法还包括:接收来自所述数据中心且发往所述网络侧的第一数据,其中,所述第一数据为所述数据中心根据所述数据获取请求消息而反馈的数据;利用所述第二密钥集合解析所述第一数据,确定出所述第二密钥集合中成功解密所述载荷包的第二密钥,其中,所述第二密钥集合与所述设备标识对应;根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方;若要发往自不受信任的第三方,则丢弃所述第一数据;否则,向所述网络侧转发所述第一数据。
应理解,由于网络安全设备还可以对来自数据中心且发往网络侧的第一数据进行检测,从而实现了请求和响应的配合检测,以进一步提高安全性。
可选地,根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方,包括:根据所述第二密钥的数量,确定所述第一数据是否要发往自不受信任的第三方,其中,若所述第二密钥的数量大于预设的第二数量,则表示所述第一数据要发往自不受信任的第三方,所述第二数量小于或等于所述第二密钥集合中元素的数量。
应理解,由于第二密钥集合中只有第二数量的密钥不可以解密网络加密数据。这样,一旦第一数据中有至少一部分数据被篡改,便可能导致第二密钥集合中有新的密钥能够解密网络加密数据,进而导致第二密钥的数量大于预设的第二数量。因此,根据第二密钥的数量也能够准确地确定网络加密数据是否被篡改。
可选地,根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方,包括:根据所述第二密钥在所述第二密钥集合中对应的序号,确定所述第一数据是否要发往自不受信任的第三方;其中,若所述第二密钥在所述第二密钥集合中对应的序号与预设的第二序号相同,则表示所述第一数据要发往自不受信任的第三方。
应理解,由于第二密钥集合中不可以解密网络加密数据的密钥还具有预设的第二序号。这样,一旦第一数据中有至少一部分数据被篡改,便可能导致不可以解密第一数据的密钥的序号产生变化,比如,若有新的密钥不能够解密该网络加密数据,则导致序号增加。因此,根据第二密钥在第一密钥集合中对应的序号与预设的第二序号是否相同,便可以准确地确定第一数据是否被篡改。
可选地,所述第二密钥在所述第二密钥集合中对应的序号表示所述第二密钥在所述第二密钥集合中的排列顺序,或者,表示所述第二密钥与所述第二密钥集合中预设的第二锚点密钥之间间隔的密钥数量,其中,所述第二锚点密钥为所述第二密钥集合中的一个元素。
应理解,第二锚点密钥可以作为一个序号的参考点,如此,通过第二锚点密钥能够准确地定位第二密钥集合中每个密钥的相对位置,以便通过相对位置能够准确地确定第二密钥在第二密钥集合中对应的序号与预设的第二序号是否相同。
第二方面,提供一种计算机网络安全中的信息防泄漏防盗窃管理装置,所述装置分别与内部的数据中心和外部的网络侧连接,包括:收发模块,用于接收来自所述网络侧且发往所述数据中心的数据获取请求消息;处理模块,用于根据所述数据获取请求消息携带的设备标识,确定所述设备标识对应的第一密钥集合;利用所述第一密钥集合解析所述数据获取请求消息携带的载荷包,确定出所述第一密钥集合中成功解密所述载荷包的第一密钥;根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方;若来自所述不受信任的第三方,则丢弃所述数据获取请求消息;否则,控制所述收发模块向所述数据中心转发所述数据获取请求消息。
可选地,所述处理模块,还用于根据所述第一密钥的数量,确定所述数据获取请求消息是否来自所述不受信任的第三方,其中,若所述第一密钥的数量小于预设的第一数量,则表示所述数据获取请求消息来自不受信任的第三方,所述第一数量小于所述第一密钥集合中元素的数量。
可选地,所述处理模块,还用于根据所述第一密钥在所述第一密钥集合中对应的序号,确定所述网络加密数据是否被篡改;其中,若所述第一密钥在所述第一密钥集合中对应的序号与预设的第一序号不同,则表示所述数据获取请求消息来自不受信任的第三方。
可选地,所述第一密钥在所述第一密钥集合中对应的序号表示所述第一密钥在所述第一密钥集合中的排列顺序,或者,表示所述第一密钥与所述第一密钥集合中预设的第一锚点密钥之间间隔的密钥数量,其中,所述第一锚点密钥为所述第一密钥集合中的一个元素。
可选地,在向所述数据中心转发所述数据获取请求消息之后,所述接收模块,还用于接收来自所述数据中心且发往所述网络侧的第一数据,其中,所述第一数据为所述数据中心根据所述数据获取请求消息而反馈的数据;所述处理模块,还用于利用所述第二密钥集合解析所述第一数据,确定出所述第二密钥集合中成功解密所述载荷包的第二密钥,其中,所述第二密钥集合与所述设备标识对应;根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方;若要发往自不受信任的第三方,则丢弃所述第一数据;否则,向所述网络侧转发所述第一数据。
可选地,所述处理模块,还用于根据所述第二密钥的数量,确定所述第一数据是否要发往自不受信任的第三方,其中,若所述第二密钥的数量大于预设的第二数量,则表示所述第一数据要发往自不受信任的第三方,所述第二数量小于或等于所述第二密钥集合中元素的数量。
可选地,所述处理模块,还用于根据所述第二密钥在所述第二密钥集合中对应的序号,确定所述第一数据是否要发往自不受信任的第三方;其中,若所述第二密钥在所述第二密钥集合中对应的序号与预设的第二序号相同,则表示所述第一数据要发往自不受信任的第三方。
可选地,所述第二密钥在所述第二密钥集合中对应的序号表示所述第二密钥在所述第二密钥集合中的排列顺序,或者,表示所述第二密钥与所述第二密钥集合中预设的第二锚点密钥之间间隔的密钥数量,其中,所述第二锚点密钥为所述第二密钥集合中的一个元素。
第三方面,提供一种计算机可读存储介质,所述计算机可读存储介质包括:计算机程序或指令,当所述计算机程序或指令在计算机上运行时,使得所述计算机执行如第一方面所述的方法。
附图说明
图1为本申请实施例提供的通信系统的架构示意图;
图2为本申请实施例提供的方法的流程示意图一;
图3为本申请实施例提供的方法的流程示意图二;
图4为本申请实施例提供的装置的结构示意图一;
图5为本申请实施例提供的装置的结构示意图二。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如无线保真(wirelessfidelity,WiFi)系统,车到任意物体(vehicle to everything,V2X)通信系统、设备间(device-todevie,D2D)通信系统、车联网通信系统、第4代(4th generation,4G)移动通信系统,如长期演进(long term evolution,LTE)系统、全球互联微波接入(worldwideinteroperability for microwave access,WiMAX)通信系统、第五代(5th generation,5G)移动通信系统,如新空口(new radio,NR)系统,以及未来的通信系统,如第六代(6thgeneration,6G)移动通信系统等。
本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是,各个系统可以包括另外的设备、组件、模块等,并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外,还可以使用这些方案的组合。
另外,在本申请实施例中,“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方式呈现概念。
本申请实施例中,“信息(information)”,“信号(signal)”,“消息(message)”,“信道(channel)”、“信令(singaling)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。“的(of)”,“相应的(corresponding,relevant)”和“对应的(corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
本申请实施例中,有时候下标如W1可能会笔误为非下标的形式如W1,在不强调其区别时,其所要表达的含义是一致的。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
为便于理解本申请实施例,首先以图1中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地,图1为本申请实施例提供的方法所适用的一种通信系统的架构示意图。
如图1所示,该通信系统包括网络安全设备,网络安全设备可以是网络设备和终端设备。
其中,上述网络设备为位于上述通信系统的网络侧,且具有无线收发功能的设备或可设置于该设备的芯片或芯片系统。该网络设备包括但不限于:无线保真(wirelessfidelity,WiFi)系统中的接入点(access point,AP),如家庭网关、路由器、服务器、交换机、网桥等,演进型节点B(evolved Node B,eNB)、无线网络控制器(radio networkcontroller,RNC)、节点B(Node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved NodeB,或homeNode B,HNB)、基带单元(baseband unit,BBU),无线中继节点、无线回传节点、传输点(transmission and reception point,TRP或者transmission point,TP)等,还可以为5G,如,新空口(new radio,NR)系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributed unit,DU)、具有基站功能的路边单元(road sideunit,RSU)等。
上述终端设备为接入上述通信系统,且具有无线收发功能的终端或可设置于该终端的芯片或芯片系统。该终端设备也可以称为用户装置、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmentedreality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端。
需要说明的是,本申请实施例提供的方法,可以适用于图1所示的网络安全设备,具体实现可以参考下述方法实施例,此处不再赘述。
应当指出的是,本申请实施例中的方案还可以应用于其他通信系统中,相应的名称也可以用其他通信系统中的对应功能的名称进行替代。
应理解,图1仅为便于理解而示例的简化示意图,该通信系统中还可以包括网络安全设备,图1中未予以画出。
下面将结合图2对本申请实施例提供的方法进行具体阐述。
示例性地,图2为本申请实施例提供的计算机网络安全中的信息防泄漏防盗窃管理方法的流程示意图。该方法可以适用于图1所示的网络安全设备,且网络安全设备分别与内部的数据中心和外部的网络侧连接。
如图2所示,该方法包括如下步骤:
S201,接收来自网络侧且发往数据中心的数据获取请求消息。
其中,网络安全设备是数据中心与网络侧之间的中间节点。
S202,根据所述数据获取请求消息携带的设备标识,确定所述设备标识对应的第一密钥集合,并利用所述第一密钥集合解析所述数据获取请求消息携带的载荷包,确定出所述第一密钥集合中成功解密所述载荷包的第一密钥,以及根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方;若来自不受信任的第三方,则丢弃数据获取请求消息;否则,向数据中心转发数据获取请求消息。
其中,作为一种可能的方式,第一密钥的密钥特征可以是数量。具体地,网络安全设备可以根据第一密钥的数量,确定数据获取请求消息是否来自所述不受信任的第三方,其中,若第一密钥的数量小于预设的第一数量,则表示数据获取请求消息来自不受信任的第三方,第一数量小于第一密钥集合中元素的数量。
应理解,由于第一密钥集合中的每个密钥可以对应解密载荷包中的一部分数据,比如,密钥A可以解密载荷包中的部分数据1,密钥B可以解密载荷包中的部分数据2。这样,伪装身份的痕迹,如篡改了小部分数据,便会被识别出,从而有效地识别第三方是否可信。
其中,作为另一种可能的方式,第一密钥的密钥特征可以是序号。具体地,网络安全设备可以根据第一密钥在第一密钥集合中对应的序号,确定网络加密数据是否被篡改;其中,若所述第一密钥在第一密钥集合中对应的序号与预设的第一序号不同,则表示数据获取请求消息来自不受信任的第三方。
应理解,由于第一密钥集合中的第一部分密钥可以解密载荷包,而第一密钥集合中的第二部分密钥则不可以解密载荷包,且第一部分密钥还具有预设的第一序号。这样,一旦载荷包中有至少一部分数据被篡改,便会导致第一部分密钥中有至少一个密钥无法解密网络加密数据。因此,根据第一密钥在第一密钥集合中对应的序号与预设的第一序号是否相同,便可以准确地确定载荷包是否被篡改,从而有效地识别第三方是否可信。
可选地,第一密钥在第一密钥集合中对应的序号表示所述第一密钥在第一密钥集合中的排列顺序,或者,表示第一密钥与第一密钥集合中预设的第一锚点密钥之间间隔的密钥数量,其中,第一锚点密钥为第一密钥集合中的一个元素。应理解,由于第一锚点密钥可以作为一个序号的参考点,如此,通过第一锚点密钥能够准确地定位第一密钥集合中每个密钥的相对位置,以便通过相对位置能够准确地确定第一密钥在第一密钥集合中对应的序号与预设的第一序号是否相同。
如图3所示,网络安全设备在向数据中心转发数据获取请求消息后,该方法还包括如下步骤:
S301,接收来自所述数据中心且发往所述网络侧的第一数据,其中,所述第一数据为所述数据中心根据所述数据获取请求消息而反馈的数据。
S302,利用所述第二密钥集合解析所述第一数据,确定出所述第二密钥集合中成功解密所述载荷包的第二密钥,其中,所述第二密钥集合与所述设备标识对应;根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方;若要发往自不受信任的第三方,则丢弃所述第一数据;否则,向所述网络侧转发所述第一数据。
其中,作为一种方式,第二密钥的密钥特征也可以是数量,具体地,网络安全设备可以根据第二密钥的数量,确定第一数据是否要发往自不受信任的第三方。其中,若第二密钥的数量大于预设的第二数量,则表示第一数据要发往自不受信任的第三方,第二数量小于或等于第二密钥集合中元素的数量。
应理解,由于第二密钥集合中只有第二数量的密钥不可以解密网络加密数据。这样,一旦第一数据中有至少一部分数据被篡改,便可能导致第二密钥集合中有新的密钥能够解密网络加密数据,进而导致第二密钥的数量大于预设的第二数量。因此,根据第二密钥的数量也能够准确地确定网络加密数据是否被篡改。
其中,作为另一种方式,第二密钥的密钥特征也可以是序号,具体地,网络安全设备可以根据第二密钥在第二密钥集合中对应的序号,确定第一数据是否要发往自不受信任的第三方;其中,若第二密钥在所述第二密钥集合中对应的序号与预设的第二序号相同,则表示第一数据要发往自不受信任的第三方。
应理解,由于第二密钥集合中不可以解密网络加密数据的密钥还具有预设的第二序号。这样,一旦第一数据中有至少一部分数据被篡改,便可能导致不可以解密第一数据的密钥的序号产生变化,比如,若有新的密钥不能够解密该网络加密数据,则导致序号增加。因此,根据第二密钥在第一密钥集合中对应的序号与预设的第二序号是否相同,便可以准确地确定第一数据是否被篡改。
可选地,第二密钥在第二密钥集合中对应的序号表示第二密钥在所述第二密钥集合中的排列顺序,或者,表示第二密钥与所述第二密钥集合中预设的第二锚点密钥之间间隔的密钥数量,其中,第二锚点密钥为第二密钥集合中的一个元素。应理解,第二锚点密钥可以作为一个序号的参考点,如此,通过第二锚点密钥能够准确地定位第二密钥集合中每个密钥的相对位置,以便通过相对位置能够准确地确定第二密钥在第二密钥集合中对应的序号与预设的第二序号是否相同。
示例性地,图4是本申请实施例提供的计算机网络安全中的信息防泄漏防盗窃管理装置的结构示意。该装置400分别与内部的数据中心和外部的网络侧连接。如图4所示,该装置400包括:处理模块401和收发模块402。为了便于说明,图4仅示出了该装置的主要部件。
收发模块402,用于接收来自所述网络侧且发往所述数据中心的数据获取请求消息;
处理模块401,用于根据所述数据获取请求消息携带的设备标识,确定所述设备标识对应的第一密钥集合;利用所述第一密钥集合解析所述数据获取请求消息携带的载荷包,确定出所述第一密钥集合中成功解密所述载荷包的第一密钥;根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方;若来自所述不受信任的第三方,则丢弃所述数据获取请求消息;否则,控制所述收发模块402向所述数据中心转发所述数据获取请求消息。
可选地,所述处理模块401,还用于根据所述第一密钥的数量,确定所述数据获取请求消息是否来自所述不受信任的第三方,其中,若所述第一密钥的数量小于预设的第一数量,则表示所述数据获取请求消息来自不受信任的第三方,所述第一数量小于所述第一密钥集合中元素的数量。
可选地,所述处理模块401,还用于根据所述第一密钥在所述第一密钥集合中对应的序号,确定所述网络加密数据是否被篡改;其中,若所述第一密钥在所述第一密钥集合中对应的序号与预设的第一序号不同,则表示所述数据获取请求消息来自不受信任的第三方。
可选地,所述第一密钥在所述第一密钥集合中对应的序号表示所述第一密钥在所述第一密钥集合中的排列顺序,或者,表示所述第一密钥与所述第一密钥集合中预设的第一锚点密钥之间间隔的密钥数量,其中,所述第一锚点密钥为所述第一密钥集合中的一个元素。
可选地,在向所述数据中心转发所述数据获取请求消息之后,所述接收模块402,还用于接收来自所述数据中心且发往所述网络侧的第一数据,其中,所述第一数据为所述数据中心根据所述数据获取请求消息而反馈的数据;所述处理模块401,还用于利用所述第二密钥集合解析所述第一数据,确定出所述第二密钥集合中成功解密所述载荷包的第二密钥,其中,所述第二密钥集合与所述设备标识对应;根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方;若要发往自不受信任的第三方,则丢弃所述第一数据;否则,向所述网络侧转发所述第一数据。
可选地,所述处理模块401,还用于根据所述第二密钥的数量,确定所述第一数据是否要发往自不受信任的第三方,其中,若所述第二密钥的数量大于预设的第二数量,则表示所述第一数据要发往自不受信任的第三方,所述第二数量小于或等于所述第二密钥集合中元素的数量。
可选地,所述处理模块401,还用于根据所述第二密钥在所述第二密钥集合中对应的序号,确定所述第一数据是否要发往自不受信任的第三方;其中,若所述第二密钥在所述第二密钥集合中对应的序号与预设的第二序号相同,则表示所述第一数据要发往自不受信任的第三方。
可选地,所述第二密钥在所述第二密钥集合中对应的序号表示所述第二密钥在所述第二密钥集合中的排列顺序,或者,表示所述第二密钥与所述第二密钥集合中预设的第二锚点密钥之间间隔的密钥数量,其中,所述第二锚点密钥为所述第二密钥集合中的一个元素。
示例性地,图5为本申请实施例提供的计算机网络安全中的信息防泄漏防盗窃管理装置的结构示意图二。该装置可以是网络安全设备,也可以是设置于网络安全设备的芯片(系统)或其他部件或组件。如图5所示,装置500可以包括处理器501。可选地,装置500还可以包括存储器502和/或收发器503。其中,处理器501与存储器502和收发器503耦合,如可以通过通信总线连接。
下面结合图5对装置500的各个构成部件进行具体的介绍:
其中,处理器501是装置500的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器501是一个或多个中央处理器(central processing unit,CPU),也可以是特定集成电路(application specific integrated circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个微处理器(digital signalprocessor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)。
可选地,处理器501可以通过运行或执行存储在存储器502内的软件程序,以及调用存储在存储器502内的数据,执行装置500的各种功能。
在具体的实现中,作为一种实施例,处理器501可以包括一个或多个CPU,例如图5中所示出的CPU0和CPU1。
在具体实现中,作为一种实施例,装置500也可以包括多个处理器,例如图2中所示的处理器501和处理器504。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
其中,所述存储器502用于存储执行本申请方案的软件程序,并由处理器501来控制执行,具体实现方式可以参考上述方法实施例,此处不再赘述。
可选地,存储器502可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器502可以和处理器501集成在一起,也可以独立存在,并通过装置500的接口电路(图5中未示出)与处理器501耦合,本申请实施例对此不作具体限定。
收发器503,用于与其他装置之间的通信。
可选地,收发器503可以包括接收器和发送器(图5中未单独示出)。其中,接收器用于实现接收功能,发送器用于实现发送功能。
可选地,收发器503可以和处理器501集成在一起,也可以独立存在,并通过装置500的接口电路(图5中未示出)与处理器501耦合,本申请实施例对此不作具体限定。
需要说明的是,图5中示出的装置500的结构并不构成对该装置的限定,实际的装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,装置500的技术效果可以参考上述方法实施例所述的方法的技术效果,此处不再赘述。
应理解,在本申请实施例中的处理器可以是中央处理单元(central processingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random accessmemory,RAM)可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
上述实施例,可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,应用于网络安全设备,所述网络安全设备分别与内部的数据中心和外部的网络侧连接,包括:
接收来自所述网络侧且发往所述数据中心的数据获取请求消息;
根据所述数据获取请求消息携带的设备标识,确定所述设备标识对应的第一密钥集合;
利用所述第一密钥集合解析所述数据获取请求消息携带的载荷包,确定出所述第一密钥集合中成功解密所述载荷包的第一密钥;
根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方;
若来自所述不受信任的第三方,则丢弃所述数据获取请求消息;否则,向所述数据中心转发所述数据获取请求消息。
2.根据权利要求1所述的计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方,包括:
根据所述第一密钥的数量,确定所述数据获取请求消息是否来自所述不受信任的第三方,其中,若所述第一密钥的数量小于预设的第一数量,则表示所述数据获取请求消息来自不受信任的第三方,所述第一数量小于所述第一密钥集合中元素的数量。
3.根据权利要求1所述的计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方,包括:
根据所述第一密钥在所述第一密钥集合中对应的序号,确定所述网络加密数据是否被篡改;其中,若所述第一密钥在所述第一密钥集合中对应的序号与预设的第一序号不同,则表示所述数据获取请求消息来自不受信任的第三方。
4.根据权利要求3所述的计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,
所述第一密钥在所述第一密钥集合中对应的序号表示所述第一密钥在所述第一密钥集合中的排列顺序,或者,表示所述第一密钥与所述第一密钥集合中预设的第一锚点密钥之间间隔的密钥数量,其中,所述第一锚点密钥为所述第一密钥集合中的一个元素。
5.根据权利要求1-4中任一项所述的计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,在向所述数据中心转发所述数据获取请求消息之后,所述方法还包括:
接收来自所述数据中心且发往所述网络侧的第一数据,其中,所述第一数据为所述数据中心根据所述数据获取请求消息而反馈的数据;
利用所述第二密钥集合解析所述第一数据,确定出所述第二密钥集合中成功解密所述载荷包的第二密钥,其中,所述第二密钥集合与所述设备标识对应;
根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方;
若要发往自不受信任的第三方,则丢弃所述第一数据;否则,向所述网络侧转发所述第一数据。
6.根据权利要求5所述的计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方,包括:
根据所述第二密钥的数量,确定所述第一数据是否要发往自不受信任的第三方,其中,若所述第二密钥的数量大于预设的第二数量,则表示所述第一数据要发往自不受信任的第三方,所述第二数量小于或等于所述第二密钥集合中元素的数量。
7.根据权利要求5所述的计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,根据所述第二密钥的密钥特征,确定所述第一数据是否要发往自不受信任的第三方,包括:
根据所述第二密钥在所述第二密钥集合中对应的序号,确定所述第一数据是否要发往自不受信任的第三方;其中,若所述第二密钥在所述第二密钥集合中对应的序号与预设的第二序号相同,则表示所述第一数据要发往自不受信任的第三方。
8.根据权利要求7所述的计算机网络安全中的信息防泄漏防盗窃管理方法,其特征在于,
所述第二密钥在所述第二密钥集合中对应的序号表示所述第二密钥在所述第二密钥集合中的排列顺序,或者,表示所述第二密钥与所述第二密钥集合中预设的第二锚点密钥之间间隔的密钥数量,其中,所述第二锚点密钥为所述第二密钥集合中的一个元素。
9.一种计算机网络安全中的信息防泄漏防盗窃管理装置,其特征在于,所述装置分别与内部的数据中心和外部的网络侧连接,包括:
收发模块,用于接收来自所述网络侧且发往所述数据中心的数据获取请求消息;
处理模块,用于根据所述数据获取请求消息携带的设备标识,确定所述设备标识对应的第一密钥集合;利用所述第一密钥集合解析所述数据获取请求消息携带的载荷包,确定出所述第一密钥集合中成功解密所述载荷包的第一密钥;根据所述第一密钥的密钥特征,确定所述数据获取请求消息是否来自不受信任的第三方;若来自所述不受信任的第三方,则丢弃所述数据获取请求消息;否则,控制所述收发模块向所述数据中心转发所述数据获取请求消息。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括:计算机程序或指令,当所述计算机程序或指令在计算机上运行时,使得所述计算机执行如权利要求1-8任一项所述的方法。
CN202110852540.2A 2021-07-27 2021-07-27 计算机网络安全中的信息防泄漏防盗窃管理方法及装置 Withdrawn CN113630393A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110852540.2A CN113630393A (zh) 2021-07-27 2021-07-27 计算机网络安全中的信息防泄漏防盗窃管理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110852540.2A CN113630393A (zh) 2021-07-27 2021-07-27 计算机网络安全中的信息防泄漏防盗窃管理方法及装置

Publications (1)

Publication Number Publication Date
CN113630393A true CN113630393A (zh) 2021-11-09

Family

ID=78381224

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110852540.2A Withdrawn CN113630393A (zh) 2021-07-27 2021-07-27 计算机网络安全中的信息防泄漏防盗窃管理方法及装置

Country Status (1)

Country Link
CN (1) CN113630393A (zh)

Similar Documents

Publication Publication Date Title
CN110312305B (zh) 终端设备的位置确定方法和设备
CN113225176B (zh) 密钥获取方法及装置
EP2850773B1 (en) System for protection and authentication of location services with distributed security
US8526917B2 (en) Authenticity verification of authentication messages
US20150172925A1 (en) Method and Apparatus for Wireless Network Access Parameter Sharing
US11641376B2 (en) Protection of traffic between network functions
CN114268943A (zh) 授权方法及装置
US9479998B2 (en) Systems and methods for authenticating devices by complying with wireless guidelines based on device location
CN110621016B (zh) 一种用户身份保护方法、用户终端和基站
US20190158489A1 (en) Authorization Of User Equipment For Mobile Communications Network That Has Previously Been Authorized By Trusted Traffic Authority
CN110730447B (zh) 一种用户身份保护方法、用户终端和核心网
CN111147436A (zh) 一种网络切片授权的方法及通信装置
CN114189343A (zh) 互相认证的方法和装置
CN115296938B (zh) 云计算管理系统及云计算管理方法
CN113630393A (zh) 计算机网络安全中的信息防泄漏防盗窃管理方法及装置
CN114584969A (zh) 基于关联加密的信息处理方法及装置
CN113783833A (zh) 计算机安全知识图谱的构建方法及装置
CN113542269A (zh) 计算机通信的网络安全监测方法及监测网元
CN114731513A (zh) 一种控制通信接入的方法、ap及通信设备
CN115623483B (zh) 键合丝设备的工作信息的完整性保护方法及装置
CN114172738B (zh) 基于智能安全箱的抗DDoS攻击方法、装置及智能安全箱
CN116488693B (zh) 一种天线波束的干扰调节方法
CN114640988B (zh) 基于隐式指示加密的信息处理方法及装置
CN116528234B (zh) 一种虚拟机的安全可信验证方法及装置
CN113285805B (zh) 一种通信方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20211109

WW01 Invention patent application withdrawn after publication