CN115396885A - 一种密钥安全管理方法、装置、电子设备及存储介质 - Google Patents
一种密钥安全管理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115396885A CN115396885A CN202211031506.XA CN202211031506A CN115396885A CN 115396885 A CN115396885 A CN 115396885A CN 202211031506 A CN202211031506 A CN 202211031506A CN 115396885 A CN115396885 A CN 115396885A
- Authority
- CN
- China
- Prior art keywords
- key
- level
- security
- category
- api
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 59
- 238000012544 monitoring process Methods 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 22
- 239000003086 colorant Substances 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 6
- 230000035515 penetration Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000035945 sensitivity Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明提供一种密钥安全管理方法、装置、电子设备及存储介质,属于信息安全技术领域。所述方法包括:根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合;获取每一类别的密钥集合中各密钥的安全等级;根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别,确定各密钥的监测等级;根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施。以至少解决相关技术中存在的密钥管理的颗粒度较粗,导致系统存在安全风险,或易造成网络安全事故的问题,适应于密钥安全、密钥管理的场景。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种密钥安全管理方法、装置、电子设备及存储介质。
背景技术
5G(5th generation mobile networks,第五代移动通信网络)中密钥的安全尤为重要,且身份和数据是密钥安全防护的基础和重要特征。
而目前的密钥安全存在如下问题:一方面,密钥管理的颗粒度较粗,使得对各密钥的防护水平无差别化,将导致系统存在安全风险,例如,对于高要求的系统或场景,其密码算法的选择和应用与常规系统或场景中的密码算法无区别;另一方面,由于系统之间存在相互联系且密钥管理的颗粒度较粗,当其中一个系统被攻陷,很可能成为攻击者的跳板,实现攻击“渗透”的横向移动,造成网络安全事故。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种密钥安全管理方法、装置、电子设备及存储介质,以至少解决相关技术中存在的密钥管理的颗粒度较粗,导致系统存在安全风险,或易造成网络安全事故的问题。
第一方面,本发明提供一种密钥安全管理方法,所述方法包括:根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合;获取每一类别的密钥集合中各密钥的安全等级;根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别,确定各密钥的监测等级;根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施。
优选地,所述业务特征包括身份业务特征和数据业务特征。所述根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合,具体包括:根据身份业务特征和数据业务特征对各系统对应的密钥进行分类,以得到身份类的密钥集合和数据类的密钥集合。
优选地,所述获取每一类别的密钥集合中各密钥的安全等级,具体包括:根据系统的重要程度获取每一类别的密钥集合中各密钥的安全等级。
优选地,所述系统的重要程度包括系统所处位置的重要程度和系统所承载的数据的重要程度。所述根据系统的重要程度获取每一类别的密钥集合中各密钥的安全等级,具体包括:根据系统所处位置的重要程度获取身份类的密钥集合中各密钥的安全等级;以及,根据系统所承载的数据的重要程度获取数据类的密钥集合中各密钥的安全等级。
优选地,所述根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别确定各密钥的监测等级,具体包括:根据每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数确定API的接口调用级别;根据API的接口调用级别确定各密钥相应的监测等级。
优选地,在所述根据每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数确定API的接口调用级别之前,所述方法还包括:获取每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数,其中,所述API接口调用次数为当前系统在预设时长内调用次数最小值对应的API接口的调用次数。
优选地,所述安全管理措施包括以下至少之一:提示预警、增加密钥长度、使用高级别的密码算法。所述根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施,具体包括:根据各密钥的所述安全等级和所述监测等级,采用不同的颜色标识各密钥,以生成实时的密钥安全态势图;根据实时的密钥安全态势图的颜色变化定位目标密钥;对所述目标密钥采取相应的安全管理措施。
第二方面,本发明还提供一种密钥安全管理装置,包括:分类模块,用于根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合。获取模块,与分类模块连接,用于获取每一类别的密钥集合中各密钥的安全等级。确定模块,与分类模块连接,用于根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别,确定各密钥的监测等级。管理模块,与获取模块和确定模块连接,用于根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施。
优选地,管理模块包括:生成单元,用于根据各密钥的所述安全等级和所述监测等级,采用不同的颜色标识各密钥,以生成实时的密钥安全态势图。定位单元,与生成单元连接,用于根据实时的密钥安全态势图的颜色变化定位目标密钥。管理单元,与定位单元连接,用于对所述目标密钥采取相应的安全管理措施。
第三方面,本发明还提供一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如第一方面所述的密钥安全管理方法。
第四方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如第一方面所述的密钥安全管理方法。
本发明提供的密钥安全管理方法、装置、电子设备及存储介质,通过对密钥进行分类,然后获取每一类别中各密钥的安全等级,以及根据同一类别中各密钥对应的系统之间的关联度确定每一类别中各密钥的监测等级,继而根据各密钥的不同的安全等级和不同的监测等级,对各密钥采取相应的安全管理措施,从而实现密钥安全的细粒度管理,且由于密钥安全的细粒度管理中考虑了系统之间的关联度而设置安全管理措施,从而能够防止攻击“渗透”的横向移动,避免了发生网络安全事故,提高了网络安全性。
附图说明
图1为本发明实施例1的一种密钥安全管理方法的流程示意图;
图2为本发明实施例1的另一种密钥安全管理方法的流程示意图;
图3为本发明实施例2的一种密钥安全管理装置的结构示意图;
图4为本发明实施例3的一种电子设备的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面将结合附图对本发明实施方式作进一步地详细描述。
可以理解的是,此处描述的具体实施例和附图仅仅用于解释本发明,而非对本发明的限定。
可以理解的是,在不冲突的情况下,本发明中的各实施例及实施例中的各特征可相互组合。
可以理解的是,为便于描述,本发明的附图中仅示出了与本发明相关的部分,而与本发明无关的部分未在附图中示出。
可以理解的是,本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构,也可由多个实体结构组成,或者,多个单元、模块也可集成为一个实体结构。
可以理解的是,在不冲突的情况下,本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
可以理解的是,本发明的流程图和框图中,示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可代表一个单元、模块、程序段、代码,其包含用于实现规定的功能的可执行指令。而且,框图和流程图中的每个方框或方框的组合,可用实现规定的功能的基于硬件的系统实现,也可用硬件与计算机指令的组合来实现。
可以理解的是,本发明实施例中所涉及的单元、模块可通过软件的方式实现,也可通过硬件的方式来实现,例如单元、模块可位于处理器中。
实施例1:
由于现有的密钥安全管理方法存在颗粒度较粗,使得对各密钥的防护水平无差别化,使得系统存在安全风险,且容易发生当其中一个系统被攻陷,很可能成为攻击者的跳板,实现攻击“渗透”的横向移动,造成网络安全事故。故本实施例提供的密钥安全管理方法中通过建立基于身份和数据的密钥分类方法,然后根据系统的重要程度、系统所承载的数据的重要程度(或敏感程度)等进一步分级,相应的把相关的密钥进行分类分级,实现密钥的细粒度管控,建立密钥安全管理的基本骨架;然后,根据分类分级的结果,对处于同一类别级别中的系统之间API接口调用情况进行监测分析,也就是系统之间的关联程度,通过API接口调用的监测分析结果进一步给出密钥安全的态势图,并使用不同的颜色来监测预警密钥安全,进一步生成密钥的安全态势图,实现对重要系统、敏感数据等相关的密钥安全监测“宁可误报,也勿漏报”的态势效应,有助于提前发现网络异常问题,提前预警,从而筑牢网络安全防线。
如图1所示,本实施例提供一种密钥安全管理方法,所述方法包括:
步骤101,根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合。
具体地,所述业务特征包括身份业务特征和数据业务特征。所述根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合,包括:根据身份业务特征和数据业务特征对各系统对应的密钥进行分类,以得到身份类的密钥集合和数据类的密钥集合。
本实施例中,由于身份和数据是安全防护的基础与重要业务特征,故将身份业务特征与数据业务特征作为密钥分类的条件,因为密钥的重要使用场景在于身份的认证、数据的机密性、完整性等,为此把身份与数据作为密钥分类的条件具有重要的价值意义,当然本实施例并不局限于这两种分类的条件。具体地,梳理并分别标识涉及身份认证和关键数据的系统或设备,本实施例以系统进行示例说明,如与身份认证(即身份业务特征)相关的系统标识为ID,如身份认证服务器、身份认证管理系统、身份认证访问服务器、数字证书服务器等均可标识为ID,则该身份类的系统对应的各密钥也相应标识为ID;与数据(即数据业务特征)相关的系统标识为DT,则该数据类的系统对应的各密钥也相应标识为DT。综上,由于系统与密钥具有一一对应的关系,通过对系统根据业务特征进行分类,即完成对系统对应的密钥进行分类,从而得到身份类的密钥集合和数据类的密钥集合。
步骤102,获取每一类别的密钥集合中各密钥的安全等级。
本实施例中,安全等级可分为A、B、C三级,等级A的密钥安全等级最高,等级B次之,等级C的密钥安全等级最低。可根据系统的重要程度、或系统所承载的业务量大小、或系统的吞吐量大小、或系统的响应时延获取每一类别的密钥集合中各密钥的安全等级。
可选地,所述获取每一类别的密钥集合中各密钥的安全等级,具体包括:根据系统的重要程度获取每一类别的密钥集合中各密钥的安全等级。系统越重要,系统对应的密钥的安全等级越高。
具体地,所述系统的重要程度包括系统所处位置的重要程度和系统所承载的数据的重要程度。所述根据系统的重要程度获取每一类别的密钥集合中各密钥的安全等级,包括:根据系统所处位置的重要程度获取身份类的密钥集合中各密钥的安全等级;以及,根据系统所承载的数据的重要程度获取数据类的密钥集合中各密钥的安全等级。
本实施例中,根据系统所处位置的重要程度和系统所承载的数据的敏感程度(即重要程度)进行分级。例如,与身份ID相关的分级,参考的标准包括该系统所处的位置,身份的特点,如内网、DMZ(demilitarized zone,隔离区)和外网的与身份认证相关的系统。如图2所示,按照系统所处位置的重要程度划分为A、B、C三级,相应的密钥安全等级逐级递减,如处内网的一个身份认证系统N1,其密钥的分类分级后的标识为IDA,写成键值对K1<N1,IDA>;相应的处于外网或者其他位置的系统N2,其对应的密钥则标识为IDB,键值对K2<N2,IDB>;根据这一分类分级的划分方法,得到一个基于身份相关的系统集(或密钥集合)S{K1,K2,……,Kn},其中n表示符合身份业务特征、且具有一定的安全等级的密钥的数量。数据分级则根据系统所承载的数据的敏感程度划分为1、2、3级,系统对应的密钥的安全等级逐级递减,如承载高敏感程度数据的系统M1,则其对应的密钥标识为DT1,相应的键值对是J1<M1,DT1>;又如承载较不敏感或不敏感数据的系统M2,则系统对应的密钥则标识为DT3,键值对J2<M2,DT3>;得到一个基于数据敏感程度的系统集(或密钥集合)P{J1,J2,……,Jg},其中g表示符合数据业务特征、且具有一定的安全等级的密钥的数量。经过对身份和数据相关的密钥进行了分类分级,到此,密钥呈现细粒度的划分。本实施例对密钥的分类分级,其目的是为了对不同类别的不同安全等级的密钥进行细粒度的管理,从而实现不同安全等级的密钥的区别管理,合理匹配密钥的管理措施,从而降低因管理措施与密钥等级不匹配造成的系统安全风险。如安全等级高的身份类密钥采用高级别的密钥算法,如安全等级低的数据类密钥采用普通的密钥算法。
步骤103,根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API(Application Programming Interface)的接口调用级别,确定各密钥的监测等级。
具体地,所述根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别确定各密钥的监测等级,包括:根据每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数确定API的接口调用级别;根据API的接口调用级别确定各密钥相应的监测等级。
可选地,在所述根据每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数确定API的接口调用级别之前,所述方法还包括:获取每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数,其中,所述API接口调用次数为当前系统在预设时长内调用次数最小值对应的API接口的调用次数。
本实施例中,为获取系统之间的关联度,本实施例考虑根据系统间的AIP接口调用级别确定系统之间的关联度。在身份类的系统集合(即密钥集合)S中,同一个系统(即密钥对应的系统)被S集中其他系统(即S集中其他密钥对应的系统)调用的接口越多,则说明该系统越重要,该系统对应的密钥的重要程度也越高,说明该系统对应的密钥是密钥态势监测的重点对象,其相应的监测等级越高,用H、L、LL表示监测等级,则该密钥是H级。例如,S集中N1系统的API接口调用次数是20次/小时,N2系统的API接口调用次数是15次/小时,N3系统的API接口调用次数是5次/小时,为此,得到系统对应的密钥监测等级分别为H、L、LL,使用键值对标识更新为K1<N1,IDA,H>,K2<N2,IDB,L>,K3<N3,IDC,LL>,综上,基于身份的密钥分级集合S中均是带有两个关键元素(ID的安全等级和API接口调用的监测等级)的特征集。需要说明的是,由于一个系统中有多个API接口,且每个API接口在预设时长内被调用的次数不同,故本实施例以系统在预设时长内调用次数最少的API接口的调用次数作为当前系统的API接口调用次数,其中,预设时长可取值为1小时或半小时。此外,API接口调用次数的获取方法并不局限于本实施例中示例方法。
步骤104,根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施。
本实施例中,所述安全管理措施包括以下至少之一:提示预警、增加密钥长度、使用高级别的密码算法。例如,对于安全等级为最低且监测等级为最低的密钥,采取的安全管理措施为使用普通级别的密码算法。对于安全等级为A且监测等级为1的密钥,采取的安全管理措施为增加密钥长度且使用高级别的密码算法。由于本实施例中基于同一类别的系统之间的API接口调用级别确定系统对应的密钥的监测等级,继而综合密钥自身的安全等级,采取相应的安全管理措施,使得在提高密钥安全的基础上,有效防止攻击“渗透”的横向移动,进一步提高网络安全。
可选地,所述根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施,具体包括步骤1041-步骤1043:
步骤1041,根据各密钥的所述安全等级和所述监测等级,采用不同的颜色标识各密钥,以生成实时的密钥安全态势图。
步骤1042,根据实时的密钥安全态势图的颜色变化定位目标密钥。
步骤1043,对所述目标密钥采取相应的安全管理措施。
本实施例中,为便于监测人员快速识别网络安全的异常情况,采用不同的颜色标识各密钥或各密钥对应的系统,以生成实时的密钥安全态势图。例如,如图2所示,使用不同的颜色等级(红、橙、黄)来监测系统或密钥,如果一个系统的密钥中安全等级和监测等级这两个关键元素同时都是高等级(IDA,H)时,则该密钥是重点监测对象,该密钥或系统标识为红色。若安全等级和监测等级这两个元素都是低(IDC,LL)时,则该密钥或系统标识为黄色,其余组合情况的密钥或系统则标识为橙色。如按照上述规则,S集中N1系统的密钥,颜色是红色,N2系统的密钥颜色是橙色,N3系统的密钥颜色是黄色,更新S集中键值对的状态则是K1<N1,IDA,H,红>,K2<N2,IDB,L,橙色>,K3<N3,IDC,LL,黄>,按照此规则,相应的基于数据业务特征划分的系统集(或密钥集合)P中也得到了更新,J1<M1,DT1,H,红>,J2<M2,DT3,LL,黄>。综上,经过基于身份业务特征和数据业务特征的分类,系统重要程度的安全分级、API接口调用的监测分级的方法,形成了细粒度的密钥安全态势监测图,当系统某一参数(如API接口调用次数、或系统所处的位置、或数据的重要程度)的变化均会导致系统对应的密钥的等级变化时,能够清晰的定位目标密钥。如当S集中N3系统API接口调用频次增加到20次/小时以上,则对应的密钥或系统的颜色由黄色变为橙色时,将引起监测人员的关注,监测人员能够迅速研判分析,及时采取技术手段,加固系统安全,防止密钥泄露,如增强密钥长度,或者使用具有更高安全性的密码算法等,及时阻断异常事件,本实施例的密钥安全管理方法还能够应用到渗透测试中,某一API接口的调用异常,能够及时从密钥的监测态势图中看出,进而追踪溯源。
本实施例的密钥安全管理方法,通过对密钥进行分类,然后获取每一类别中各密钥的安全等级,以及根据同一类别中各密钥对应的系统之间的关联度确定每一类别中各密钥的监测等级,继而根据各密钥的不同的安全等级和不同的监测等级,对各密钥采取相应的安全管理措施,从而实现密钥安全的细粒度管理,合理匹配密钥的管理措施,从而降低因管理措施与密钥等级不匹配造成的安全风险。此外,为合理评价系统之间的关联度,本实施例考虑根据系统间的AIP接口调用级别确定系统之间的关联度。故基于同一类别的系统之间的API接口调用级别确定系统对应的密钥的监测等级,继而结合密钥自身的安全等级,采取相应的安全管理措施,使得在提高密钥安全的基础上,有效防止攻击“渗透”的横向移动,进一步提高网络安全。最后,采用不同的颜色标识各密钥或各密钥对应的系统,以生成实时的密钥安全态势图,有利于监测人员快速识别网络安全的异常情况,识别方法直观有效,从而提高网络安全。
实施例2:
如图3所示,本实施例提供一种密钥安全管理装置,包括:
分类模块31,用于根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合。
获取模块32,与分类模块31连接,用于获取每一类别的密钥集合中各密钥的安全等级。
确定模块33,与分类模块31连接,用于根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别,确定各密钥的监测等级。
管理模块34,与获取模块32和确定模块33连接,用于根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施。
可选地,所述业务特征包括身份业务特征和数据业务特征。
分类模块具体用于根据身份业务特征和数据业务特征对各系统对应的密钥进行分类,以得到身份类的密钥集合和数据类的密钥集合。
可选地,获取模块具体用于根据系统的重要程度获取每一类别的密钥集合中各密钥的安全等级。
可选地,所述系统的重要程度包括系统所处位置的重要程度和系统所承载的数据的重要程度。获取模块包括第一获取单元和第二获取单元。
第一获取单元,与分类模块连接,用于根据系统所处位置的重要程度获取身份类的密钥集合中各密钥的安全等级。
第二获取单元,与分类模块连接,用于根据系统所承载的数据的重要程度获取数据类的密钥集合中各密钥的安全等级。
可选地,确定模块包括第一确定单元和第二确定单元。
第一确定单元,与分类模块连接,用于根据每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数确定API的接口调用级别。
第二确定单元,与第一确定单元连接,用于根据API的接口调用级别确定各密钥相应的监测等级。
可选地,密钥安全管理装置还包括统计模块。统计模块与分类模块连接,用于获取每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数,其中,所述API接口调用次数为当前系统在预设时长内调用次数最小值对应的API接口的调用次数。
可选地,所述安全管理措施包括以下至少之一:提示预警、增加密钥长度、使用高级别的密码算法。
可选地,管理模块包括生成单元、定位单元和管理单元。
生成单元,用于根据各密钥的所述安全等级和所述监测等级,采用不同的颜色标识各密钥,以生成实时的密钥安全态势图。
定位单元,与生成单元连接,用于根据实时的密钥安全态势图的颜色变化定位目标密钥。
管理单元,与定位单元连接,用于对所述目标密钥采取相应的安全管理措施。
本实施例的密钥安全管理装置,用于对密钥进行分类,还用于获取每一类别中各密钥的安全等级,以及根据同一类别中各密钥对应的系统之间的关联度确定每一类别中各密钥的监测等级,以及用于根据各密钥的不同的安全等级和不同的监测等级,对各密钥采取相应的安全管理措施,从而实现密钥安全的细粒度管理,合理匹配密钥的管理措施,从而降低因管理措施与密钥等级不匹配造成的安全风险。用于根据同一类别的系统之间的API接口调用级别确定系统对应的密钥的监测等级,继而结合密钥自身的安全等级,以及,用于采取相应的安全管理措施,使得在提高密钥安全的基础上,能够有效防止攻击“渗透”的横向移动,进一步提高了网络安全。特别地,用于采用不同的颜色标识各密钥或各密钥对应的系统,以生成实时的密钥安全态势图,有利于监测人员快速识别网络安全的异常情况,识别方法直观有效,从而提高了网络安全。
实施例3:
如图4所示,本实施例提供一种电子设备,包括存储器41和处理器42,所述存储器41中存储有计算机程序,所述处理器42被设置为运行所述计算机程序以实现如实施例1所述的密钥安全管理方法。
实施例4:
本实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如实施例1所述的密钥安全管理方法。
实施例3的电子设备和实施例4的计算机可读存储介质,可实现密钥安全的细粒度管理,合理匹配密钥的管理措施,从而降低因管理措施与密钥等级不匹配造成的安全风险。并在提高密钥安全的基础上,能够有效防止攻击“渗透”的横向移动,进一步提高了网络安全。特别地,由于采用不同的颜色标识各密钥或各密钥对应的系统,以生成实时的密钥安全态势图,有利于监测人员快速识别网络安全的异常情况,识别方法直观有效,从而了提高网络安全。可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (11)
1.一种密钥安全管理方法,其特征在于,所述方法包括:
根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合;
获取每一类别的密钥集合中各密钥的安全等级;
根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别,确定各密钥的监测等级;
根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施。
2.根据权利要求1所述的密钥安全管理方法,其特征在于,所述业务特征包括身份业务特征和数据业务特征,
所述根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合,具体包括:
根据身份业务特征和数据业务特征对各系统对应的密钥进行分类,以得到身份类的密钥集合和数据类的密钥集合。
3.根据权利要求2所述的密钥安全管理方法,其特征在于,所述获取每一类别的密钥集合中各密钥的安全等级,具体包括:
根据系统的重要程度获取每一类别的密钥集合中各密钥的安全等级。
4.根据权利要求3所述的密钥安全管理方法,其特征在于,所述系统的重要程度包括系统所处位置的重要程度和系统所承载的数据的重要程度,
所述根据系统的重要程度获取每一类别的密钥集合中各密钥的安全等级,具体包括:
根据系统所处位置的重要程度获取身份类的密钥集合中各密钥的安全等级;
以及,根据系统所承载的数据的重要程度获取数据类的密钥集合中各密钥的安全等级。
5.根据权利要求1所述的密钥安全管理方法,其特征在于,所述根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别确定各密钥的监测等级,具体包括:
根据每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数确定API的接口调用级别;
根据API的接口调用级别确定各密钥相应的监测等级。
6.根据权利要求5所述的密钥安全管理方法,其特征在于,在所述根据每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数确定API的接口调用级别之前,还包括:
获取每一类别的密钥集合中各密钥对应的系统之间的API接口调用次数,其中,所述API接口调用次数为当前系统在预设时长内调用次数最小值对应的API接口的调用次数。
7.根据权利要求1所述的密钥安全管理方法,其特征在于,所述安全管理措施包括以下至少之一:提示预警、增加密钥长度、使用高级别的密码算法,
所述根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施,具体包括:
根据各密钥的所述安全等级和所述监测等级,采用不同的颜色标识各密钥,以生成实时的密钥安全态势图;
根据实时的密钥安全态势图的颜色变化定位目标密钥;
对所述目标密钥采取相应的安全管理措施。
8.一种密钥安全管理装置,其特征在于,包括:
分类模块,用于根据业务特征对各系统对应的密钥进行分类,以得到不同类别的密钥集合,
获取模块,与分类模块连接,用于获取每一类别的密钥集合中各密钥的安全等级,
确定模块,与分类模块连接,用于根据每一类别的密钥集合中各密钥对应的系统之间的应用程序编程接口API的接口调用级别,确定各密钥的监测等级,
管理模块,与获取模块和确定模块连接,用于根据各密钥的所述安全等级和所述监测等级,对各密钥采取相应的安全管理措施。
9.根据权利要求8所述的密钥安全管理装置,其特征在于,管理模块包括:
生成单元,用于根据各密钥的所述安全等级和所述监测等级,采用不同的颜色标识各密钥,以生成实时的密钥安全态势图,
定位单元,与生成单元连接,用于根据实时的密钥安全态势图的颜色变化定位目标密钥,
管理单元,与定位单元连接,用于对所述目标密钥采取相应的安全管理措施。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如权利要求1-7中任一项所述的密钥安全管理方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-7任意一项所述的密钥安全管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211031506.XA CN115396885A (zh) | 2022-08-26 | 2022-08-26 | 一种密钥安全管理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211031506.XA CN115396885A (zh) | 2022-08-26 | 2022-08-26 | 一种密钥安全管理方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115396885A true CN115396885A (zh) | 2022-11-25 |
Family
ID=84122998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211031506.XA Pending CN115396885A (zh) | 2022-08-26 | 2022-08-26 | 一种密钥安全管理方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115396885A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117235761A (zh) * | 2023-09-22 | 2023-12-15 | 北京宝联之星科技股份有限公司 | 一种基于云计算的数据安全处理方法、系统和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090249448A1 (en) * | 2008-03-28 | 2009-10-01 | Samsung Electronics Co., Ltd. | Method and apparatus for handling security level of device on network |
CN106716343A (zh) * | 2014-09-25 | 2017-05-24 | 电子湾有限公司 | 通过增强认证的交易验证 |
CN107733639A (zh) * | 2017-08-24 | 2018-02-23 | 上海壹账通金融科技有限公司 | 密钥管理方法、装置及可读存储介质 |
CN110635905A (zh) * | 2019-09-30 | 2019-12-31 | 重庆小雨点小额贷款有限公司 | 一种密钥管理方法、相关设备及计算机可读存储介质 |
CN110879880A (zh) * | 2019-10-24 | 2020-03-13 | 南京东科优信网络安全技术研究院有限公司 | 一种用户自主控制数据安全等级保护的密码装置 |
CN112632550A (zh) * | 2021-03-05 | 2021-04-09 | 北京邮电大学 | 口令和密钥的应用安全的检测方法及其电子设备 |
-
2022
- 2022-08-26 CN CN202211031506.XA patent/CN115396885A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090249448A1 (en) * | 2008-03-28 | 2009-10-01 | Samsung Electronics Co., Ltd. | Method and apparatus for handling security level of device on network |
CN106716343A (zh) * | 2014-09-25 | 2017-05-24 | 电子湾有限公司 | 通过增强认证的交易验证 |
CN107733639A (zh) * | 2017-08-24 | 2018-02-23 | 上海壹账通金融科技有限公司 | 密钥管理方法、装置及可读存储介质 |
CN110635905A (zh) * | 2019-09-30 | 2019-12-31 | 重庆小雨点小额贷款有限公司 | 一种密钥管理方法、相关设备及计算机可读存储介质 |
CN110879880A (zh) * | 2019-10-24 | 2020-03-13 | 南京东科优信网络安全技术研究院有限公司 | 一种用户自主控制数据安全等级保护的密码装置 |
CN112632550A (zh) * | 2021-03-05 | 2021-04-09 | 北京邮电大学 | 口令和密钥的应用安全的检测方法及其电子设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117235761A (zh) * | 2023-09-22 | 2023-12-15 | 北京宝联之星科技股份有限公司 | 一种基于云计算的数据安全处理方法、系统和存储介质 |
CN117235761B (zh) * | 2023-09-22 | 2024-04-19 | 北京宝联之星科技股份有限公司 | 一种基于云计算的数据安全处理方法、系统和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
US8418247B2 (en) | Intrusion detection method and system | |
US5557742A (en) | Method and system for detecting intrusion into and misuse of a data processing system | |
Saxena et al. | General study of intrusion detection system and survey of agent based intrusion detection system | |
CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及系统 | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
CN111641634B (zh) | 一种基于蜜网的工业控制网络主动防御系统及其方法 | |
CN109344042B (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
CN115396885A (zh) | 一种密钥安全管理方法、装置、电子设备及存储介质 | |
CN109660515A (zh) | 攻击链检测方法及装置 | |
CN109388949B (zh) | 一种数据安全集中管控方法和系统 | |
Klement et al. | Open or not open: Are conventional radio access networks more secure and trustworthy than Open-RAN? | |
CN110365673B (zh) | 一种隔离网络攻击面的方法、服务器和系统 | |
CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
CN116232770B (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
CN116707927A (zh) | 态势感知方法、系统、计算机设备及存储介质 | |
CN114124453A (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
Bazrafkan et al. | National cyber situation awareness model | |
KR100798755B1 (ko) | 위협 관리 시스템 및 그 방법 | |
KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
CN117955646A (zh) | 基于跨链技术的数据共享安全管控方法及系统 | |
CN117354060B (zh) | 一种针对云计算IaaS层漏洞检测方法、系统和介质 | |
CN117972789A (zh) | 一种人工智能水务数据管理方法、装置、设备及介质 | |
Vardeva | Generalized net model of an automated system for monitoring, analysing and managing events related to information security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |