CN115412271A - 数据水印添加方法及数据安全分析方法、装置 - Google Patents

数据水印添加方法及数据安全分析方法、装置 Download PDF

Info

Publication number
CN115412271A
CN115412271A CN202110587609.3A CN202110587609A CN115412271A CN 115412271 A CN115412271 A CN 115412271A CN 202110587609 A CN202110587609 A CN 202110587609A CN 115412271 A CN115412271 A CN 115412271A
Authority
CN
China
Prior art keywords
watermark
data
value
network data
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110587609.3A
Other languages
English (en)
Inventor
白浩
乔栋
张永涛
王静
杨雪莲
敖云达尔
刘佳
孙伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Inner Mongolia Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Inner Mongolia Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Inner Mongolia Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110587609.3A priority Critical patent/CN115412271A/zh
Publication of CN115412271A publication Critical patent/CN115412271A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/608Watermarking

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Technology Law (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Editing Of Facsimile Originals (AREA)

Abstract

本发明提供一种数据水印添加方法及数据安全分析方法、装置,该数据水印添加方法包括:获取待传输的网络数据;在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;将所述水印网路数据发送到目标设备;其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;通过将经过网关的网络数据添加数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识的水印,从而后续在进行安全研判时提取网络数据中的数字水印,对数据传输过程中的异常进行识别,以便从数据传输链的角度进行应对,在数据传输链路方面对网路数据安全进行保护,更全面地提高网络安全。

Description

数据水印添加方法及数据安全分析方法、装置
技术领域
本发明涉及数据处理技术领域,尤其涉及一种数据水印添加方法及数据安全分析方法、装置。
背景技术
随着攻击技术的发展和攻击方式的多元化,网络攻击防御的相关应用越来越广泛,信息安全保护越来越受重视,随着近年来爆出的大量安全事件,如利用安全漏洞入侵信息系统可以看出,攻击手段在不断的进步,呈现新型化,多样化,复杂化,网络安全威胁从单一的病毒威胁逐渐发展为黑客渗透、勒索软件、挖矿软件等新的趋势,危害不断加大。攻击方只要发现一个可以利用的漏洞,就有可能突破外部防御,渗透进入局域网内部,造成损失。
现有技术一般通过防火墙等专业防控软件对网络安全进行防护。然而,利用防火墙进行网络安全防护不够全面。
因此,如何提供一种数据安全方案,能够在数据传输链路方面对网路数据安全进行保护,更全面地提高网络安全是本领域技术人员亟待解决的技术问题。
发明内容
本发明提供一种数据水印添加方法及数据安全分析方法、装置,在数据传输链路方面对网路数据安全进行保护,更全面地提高网络安全。
第一方面,本发明提供一种数据水印添加方法,应用于网关,包括:
获取待传输的网络数据;
在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;
将所述水印网路数据发送到目标设备;
其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
在一种实施例中,所述在所述网络数据上添加第一水印包括:
获取所述网络数据的大小值M;
对所述大小值M进行哈希变换,得到哈希值;
将所述哈希值通过对称密钥进行加密得到数字验证水印;
其中,所述数字验证水印的长度为8个字节的正整数倍。
在一种实施例中,所述在所述网络数据上添加第一水印包括:
如果所述网络数据为当前网关作为源头产生的数据,则节点数量p=1;
如果所述网络数据不是网关A作为源头产生的数据,则在原有的网络节点的数量上加一得到当前的节点数量;
通过公式H=log2P确定传输链复杂度值。
在一种实施例中,所述在所述网络数据上添加第二水印包括:
如果当前节点为所述网络数据的转发节点,则处理属性值为0;
如果当前节点为所述网络数据的源节点,或者当前节点在获取到所述网络数据后对所述网络数据进行了修理,则处理属性值为1。
在一种实施例中,还包括:
将所述第一水印与所述第二水印组成二维水印信息;
所述第一水印中的数字验证水印在前部,传输链复杂度值在后部;所述第二水印中节点数量值在前部,处理属性值在中间以及唯一数据标识在后部。
第二方面,本发明实施例提供一种数据安全分析方法,用于分析上述第一方面所述的数据水印添加方法所产生的水印网络数据,包括:
获取待检测的水印网络数据;
对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;
对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;
基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
在一种实施例中,所述基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全包括:
获取水印网络数据的当前大小值N,在传输链复杂度值H=0的情况下,当|N-M|等于预设差异值时,确定所述水印网络数据安全;
在传输链复杂度值H≠0的情况下,则当|N-M|小于预设差异值除以传输链复杂度值H时,确定数据安全。
在一种实施例中,还包括:
若处理属性值的标识为1,则确定所述水印网络数据在上一节点处理之后发生异常,确定上一节点处理过程中发生异常或者在所述水印网络数据的传输过程中发生异常;
对上一节点和上一节点至当前节点的传输路径进行相应的报警;
若处理属性值的标识为0,则确定所述水印网络数据在上一节点并未进行处理,确定所述水印网络数据的传输过程中发生异常;
对上一节点至当前节点的传输路径全进行相应的报警。
第三方面,本发明实施例提供一种数据水印添加装置,应用于网关,包括:
数据获取模块,用于获取待传输的网络数据;
水印添加模块,用于在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;
数据发送模块,用于将所述水印网路数据发送到目标设备;
其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
在一种实施例中,所述水印添加模块包括:
大小获取单元,用于获取所述网络数据的大小值M;
哈希变换单元,用于对所述大小值M进行哈希变换,得到哈希值;
加密单元,用于将所述哈希值通过对称密钥进行加密得到数字验证水印;
其中,所述数字验证水印的长度为8个字节的正整数倍。
在一种实施例中,所述水印添加模块包括:
第一节点数量确定单元,用于如果所述网络数据为当前网关作为源头产生的数据,则节点数量p=1;
第二节点数量确定单元,用于如果所述网络数据不是网关A作为源头产生的数据,则在原有的网络节点的数量上加一得到当前的节点数量;
复杂度确定单元,用于通过公式H=log2P确定传输链复杂度值。
在一种实施例中,所述水印添加模块包括:
第一属性值确定单元,用于如果当前节点为所述网络数据的转发节点,则处理属性值为0;
第二属性值确定单元,用于如果当前节点为所述网络数据的源节点,或者当前节点在获取到所述网络数据后对所述网络数据进行了修理,则处理属性值为1。
在一种实施例中,还包括:
二维水印生成模块,用于将所述第一水印与所述第二水印组成二维水印信息;
水印位置确定模块,用于所述第一水印中的数字验证水印在前部,传输链复杂度值在后部;所述第二水印中节点数量值在前部,处理属性值在中间以及唯一数据标识在后部。
第四方面,本发明实施例提供一种数据安全分析装置,用于分析上述第一方面所述的数据水印添加方法所产生的水印网络数据,包括:
水印数据获取模块,用于获取待检测的水印网络数据;
水印解析模块,用于对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;
大小值解析模块,用于对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;
安全确定模块,用于基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
在一种实施例中,所述安全确定模块包括:
第一安全确定单元,用于获取水印网络数据的当前大小值N,在传输链复杂度值H=0的情况下,当|N-M|等于预设差异值时,确定所述水印网络数据安全;
第二安全确定单元,用于在传输链复杂度值H≠0的情况下,则当|N-M|小于预设差异值除以传输链复杂度值H时,确定数据安全。
在一种实施例中,还包括:
第一报警模块,用于若处理属性值的标识为1,则确定所述水印网络数据在上一节点处理之后发生异常,确定上一节点处理过程中发生异常或者在所述水印网络数据的传输过程中发生异常;对上一节点和上一节点至当前节点的传输路径进行相应的报警;
第二报警模块,用于若处理属性值的标识为0,则确定所述水印网络数据在上一节点并未进行处理,确定所述水印网络数据的传输过程中发生异常;对上一节点至当前节点的传输路径进行相应的报警。
第五方面,本发明提供一种电子设备,包括存储器和存储有计算机程序的存储器,所述处理器执行所述程序时实现第一方面所述的数据水印添加方法或第二方面所述的数据安全分析方法的步骤。
第六方面,本发明提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行第一方面所述的数据水印添加方法或第二方面所述的数据安全分析方法的步骤。
本发明提供的一种数据水印添加方法及数据安全分析方法、装置,通过将经过网关的网络数据添加数字验证水印、传输链复杂度值;、节点数量值、处理属性值以及唯一数据标识的水印,从而后续在进行安全研判时提取网络数据中的数字水印,基于该数字水印对数据进行安全分析,不仅是对现有防火墙等分析方案的一种补充,还可以对数据传输过程中的异常进行识别,以便从数据传输链的角度进行应对,在数据传输链路方面对网路数据安全进行保护,更全面地提高网络安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种数据水印添加方法的流程示意图;
图2为本发明实施例提供的一种数据安全分析方法的流程示意图;
图3为本发明实施例提供的一种数据水印添加装置的组成结构示意图;
图4为本发明实施例提供的一种数据安全分析装置的组成结构示意图;
图5为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1描述本发明的数据水印添加方法。图1为本发明实施例提供的一种数据水印添加方法的流程示意图。
在本发明一种具体实施方式中,本发明提供一种数据水印添加方法,应用于网关,包括:
步骤110:获取待传输的网络数据;
在本发明实施例中,首先需要获取带传输的网络数据,在获取到待传输的网络数据后,一般可以采用常规方法对这些网络数据进行安全检查,例如可以通过杀毒软件对该网络数据进行安全检查。对于网关来讲,该网络数据可以是该网关产生的源数据,也可以是由其他的网络设备发送到该网关的数据。
例如,在一种实施例中,网络数据可以是上行数据,也可以是下行数据,以网络拓扑为例,若网关A传输数据B至本地服务器C,这个数据传输链路中涉及对网关A传输的数据B(针对网关A,数据B为上行数据)进行分析的过程,对本地服务器C接收到的数据B(针对本地服务器C,数据B为下行数据)进行分析的过程。
步骤120:在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;
在网关接收到网络数据后,可以在该网路哦数据上添加第一水印以及第二水印,其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
步骤130:将所述水印网路数据发送到目标设备;
在将网路数据进行安全检查并且添加了水印后,可以继续将该水印网络数据发送到目标设备,例如,若网关A传输数据B至本地服务器C,这个数据传输链路中涉及对网关A传输的数据B(针对网关A,数据B为上行数据)进行分析的过程,对本地服务器C接收到的数据B(针对本地服务器C,数据B为下行数据),则本地服务器C为目标设备,网关A在对网络数据进行添加水印的处理得到水印网络数据后,可以继续将该水印网络数据发送到本地服务器C。
在一种实施例中,为了获得第一水印中的数字验证水印,可以首先获取所述网络数据的大小值M;对所述大小值M进行哈希变换,得到哈希值;将所述哈希值通过对称密钥进行加密得到数字验证水印;其中,所述数字验证水印的长度为8个字节的正整数倍。
具体地,Hash,也就是哈希,是把任意长度的输入通过散列算法变换成固定长度的输出,该输出就是散列值,这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。本发明实施例中对网路数据的大小值进行哈希变换,而不是对网络数据本身进行哈希变换。
在本发明又一种实施例中,为了得到第一水印中的传输连复杂度值,如果所述网络数据为当前网关作为源头产生的数据,则节点数量p=1;如果所述网络数据不是网关A作为源头产生的数据,则在原有的网络节点的数量上加一得到当前的节点数量;通过公式H=log2P确定传输链复杂度值。
也就是说,如果数据B为网关A为源头产生的数据,则p=1。
如果数据B非网关A为源头产生的数据,如数据B是其他终端发送给网关A,并由网关A转发的数据,或者,数据B是其他终端发送给网关A,经网关A处理后得到的数据。则p=p0+1。
本发明实施例通过H描述数据传输链路的复杂程度的度量,如果链路越复杂,安全风险越大,那么传输链路复杂度比较大。如果一个链路越简单,安全分析越小,此时的传输链路复杂度较小。其中p0为在网关A之前经过的节点总数。该数据可以通过其他终端发送的数据的第二水印得到,即p0=第二水印的第1位数值。
在本发明又一种实施例中,为了得到处理属性值,如果当前节点为所述网络数据的转发节点,则处理属性值为0;如果当前节点为所述网络数据的源节点,或者当前节点在获取到所述网络数据后对所述网络数据进行了修理,则处理属性值为1。其中该数据的标识可以基于该数据的源节点标识得到的一个针对数据的唯一标识。处理属性值为:如果当前节点仅是数据B的转发节点,即未对数据B进行处理,则处理属性值为0。如果当前节点是数据B的源节点,或者当前节点是收到数据进行修理后得到的数据B,则处理属性值为1。
对于节点数量:如果当前节点是数据B的源节点,则节点数量为1。如果当前节点非数据B的源节点,如当前节点是收到数据进行修理后得到的数据B,则节点数量为接收到的数据的节点数量(即p0)+1。
在上述实施例的基础上,还可以将所述第一水印与所述第二水印组成二维水印信息;所述第一水印中的数字验证水印在前部,传输链复杂度值在后部;所述第二水印中节点数量值在前部,处理属性值在中间以及唯一数据标识在后部。
请参考图2,图2为本发明实施例提供的一种数据安全分析方法的流程示意图。
在本发明又一具体实施方式中,本发明实施例提供一种数据安全分析方法,用于分析上述第一方面所述的数据水印添加方法所产生的水印网络数据,包括:
步骤210:获取待检测的水印网络数据;
步骤220:对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;
步骤230:对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;
步骤240:基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
在本实施例中,目标设备接收到水印网络数据后,获取数据B的数字水印,并基于数字水印进行安全分析。获取数据B的第二水印,解析出第一水印中的数字验证水印和传输链路复杂度H。对数字验证水印进行对称加密中的解密处理,得到哈希值,再基于该哈希值得到其对应的M。获取接收到的数据B大小,若H=0,则当|接收到的数据B大小-M|=预设的差异值时,确定数据安全。若H≠0,则当|接收到的数据B大小-M|<预设的差异/H时,确定数据安全。
在一种实施例中,所述基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全包括:
获取水印网络数据的当前大小值N,在传输链复杂度值H=0的情况下,当|N-M|等于预设差异值时,确定所述水印网络数据安全;
在传输链复杂度值H≠0的情况下,则当|N-M|小于预设差异值除以传输链复杂度值H时,确定数据安全。
在本发明又一种实施例中,若处理属性值的标识为1,则确定所述水印网络数据在上一节点处理之后发生异常,确定上一节点处理过程中发生异常或者在所述水印网络数据的传输过程中发生异常;对上一节点和上一节点至当前节点的传输路径进行相应的报警;若处理属性值的标识为0,则确定所述水印网络数据在上一节点并未进行处理,确定所述水印网络数据的传输过程中发生异常;对上一节点至当前节点的传输路径全进行相应的报警。
也就是说,当数据非安全时,进行风险溯源,并进行报警。具体地,若第二水印第2位标识为1,则说明数据在上一节点处理之后发生的异常,则可能上一节点处理过程中发生异常,也可能在数据B的传输过程中发生异常,因此,针对上一节点和上一节点至当前节点的传输路径全,进行相应的报警。若第二水印第2位标识为0,则说明数据在上一节点并未进行处理,仅是数据的转发,则可能在数据B的传输过程中发生异常,因此,针对上一节点至当前节点的传输路径全,进行相应的报警。
本发明实施例提供的数据安全分析方法,通过将经过网关的网络数据添加数字验证水印、传输链复杂度值;、节点数量值、处理属性值以及唯一数据标识的水印,从而后续在进行安全研判时提取网络数据中的数字水印,基于该数字水印对数据进行安全分析,不仅是对现有防火墙等分析方案的一种补充,还可以对数据传输过程中的异常进行识别,以便从数据传输链的角度进行应对,在数据传输链路方面对网路数据安全进行保护,更全面地提高网络安全。
下面对本发明提供的数据水印添加装置进行描述,下文描述的数据水印添加装置与上文描述的数据水印添加方法可相互对应参照。
请参考图3,图3为本发明实施例提供的一种数据水印添加装置的组成结构示意图。
在本发明又一具体实施方式中,本发明实施例提供一种数据水印添加装置300,应用于网关,包括:
数据获取模块310,用于获取待传输的网络数据;
水印添加模块320,用于在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;
数据发送模块330,用于将所述水印网路数据发送到目标设备;
其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
在一种实施例中,所述水印添加模块包括:
大小获取单元,用于获取所述网络数据的大小值M;
哈希变换单元,用于对所述大小值M进行哈希变换,得到哈希值;
加密单元,用于将所述哈希值通过对称密钥进行加密得到数字验证水印;
其中,所述数字验证水印的长度为8个字节的正整数倍。
在一种实施例中,所述水印添加模块包括:
第一节点数量确定单元,用于如果所述网络数据为当前网关作为源头产生的数据,则节点数量p=1;
第二节点数量确定单元,用于如果所述网络数据不是网关A作为源头产生的数据,则在原有的网络节点的数量上加一得到当前的节点数量;
复杂度确定单元,用于通过公式H=log2P确定传输链复杂度值。
在一种实施例中,所述水印添加模块包括:
第一属性值确定单元,用于如果当前节点为所述网络数据的转发节点,则处理属性值为0;
第二属性值确定单元,用于如果当前节点为所述网络数据的源节点,或者当前节点在获取到所述网络数据后对所述网络数据进行了修理,则处理属性值为1。
在一种实施例中,还包括:
二维水印生成模块,用于将所述第一水印与所述第二水印组成二维水印信息;
水印位置确定模块,用于所述第一水印中的数字验证水印在前部,传输链复杂度值在后部;所述第二水印中节点数量值在前部,处理属性值在中间以及唯一数据标识在后部。
下面对本发明提供的数据安全分析装置进行描述,下文描述的数据安全分析装置与上文描述的数据安全分析方法可相互对应参照。
请参考图4,图4为本发明实施例提供的一种数据安全分析装置的组成结构示意图。
在本发明又一具体实施方式中,本发明实施例提供一种数据安全分析装置400,用于分析上述第一方面所述的数据水印添加方法所产生的水印网络数据,包括:
水印数据获取模块410,用于获取待检测的水印网络数据;
水印解析模块420,用于对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;
大小值解析模块430,用于对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;
安全确定模块440,用于基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
在一种实施例中,所述安全确定模块包括:
第一安全确定单元,用于获取水印网络数据的当前大小值N,在传输链复杂度值H=0的情况下,当|N-M|等于预设差异值时,确定所述水印网络数据安全;
第二安全确定单元,用于在传输链复杂度值H≠0的情况下,则当|N-M|小于预设差异值除以传输链复杂度值H时,确定数据安全。
在一种实施例中,还包括:
第一报警模块,用于若处理属性值的标识为1,则确定所述水印网络数据在上一节点处理之后发生异常,确定上一节点处理过程中发生异常或者在所述水印网络数据的传输过程中发生异常;对上一节点和上一节点至当前节点的传输路径进行相应的报警;
第二报警模块,用于若处理属性值的标识为0,则确定所述水印网络数据在上一节点并未进行处理,确定所述水印网络数据的传输过程中发生异常;对上一节点至当前节点的传输路径进行相应的报警。
本发明实施例提供的一种数据水印添加装置及数据安全分析装置,通过将经过网关的网络数据添加数字验证水印、传输链复杂度值;、节点数量值、处理属性值以及唯一数据标识的水印,从而后续在进行安全研判时提取网络数据中的数字水印,基于该数字水印对数据进行安全分析,不仅是对现有防火墙等分析方案的一种补充,还可以对数据传输过程中的异常进行识别,以便从数据传输链的角度进行应对,在数据传输链路方面对网路数据安全进行保护,更全面地提高网络安全。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communication Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的计算机程序,以执行上述实施例所述的数据水印添加方法或数据安全分析方法的步骤,例如包括:
获取待传输的网络数据;在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;将所述水印网路数据发送到目标设备;其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
或获取待检测的水印网络数据;对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述实施例所述的数据水印添加方法或数据安全分析方法的步骤,该方法包括:
获取待传输的网络数据;在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;将所述水印网路数据发送到目标设备;其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
或获取待检测的水印网络数据;对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
另一方面,本申请实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行上述各实施例提供的数据水印添加方法或数据安全分析方法的步骤,例如包括:
获取待传输的网络数据;在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;将所述水印网路数据发送到目标设备;其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
或获取待检测的水印网络数据;对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (12)

1.一种数据水印添加方法,应用于网关,其特征在于,包括:
获取待传输的网络数据;
在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;
将所述水印网路数据发送到目标设备;
其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
2.根据权利要求1所述的数据水印添加方法,其特征在于,
所述在所述网络数据上添加第一水印包括:
获取所述网络数据的大小值M;
对所述大小值M进行哈希变换,得到哈希值;
将所述哈希值通过对称密钥进行加密得到数字验证水印;
其中,所述数字验证水印的长度为8个字节的正整数倍。
3.根据权利要求1所述的数据水印添加方法,其特征在于,
所述在所述网络数据上添加第一水印包括:
如果所述网络数据为当前网关作为源头产生的数据,则节点数量p=1;
如果所述网络数据不是网关A作为源头产生的数据,则在原有的网络节点的数量上加一得到当前的节点数量;
通过公式H=log2P确定传输链复杂度值。
4.根据权利要求1所述的数据水印添加方法,其特征在于,
所述在所述网络数据上添加第二水印包括:
如果当前节点为所述网络数据的转发节点,则处理属性值为0;
如果当前节点为所述网络数据的源节点,或者当前节点在获取到所述网络数据后对所述网络数据进行了修理,则处理属性值为1。
5.根据权利要求1至4任一项所述的数据水印添加方法,其特征在于,还包括:
将所述第一水印与所述第二水印组成二维水印信息;
所述第一水印中的数字验证水印在前部,传输链复杂度值在后部;所述第二水印中节点数量值在前部,处理属性值在中间以及唯一数据标识在后部。
6.一种数据安全分析方法,用于分析如权利要求1-5任一项所述的数据水印添加方法所产生的水印网络数据,其特征在于,包括:
获取待检测的水印网络数据;
对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;
对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;
基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
7.根据权利要求6所述的数据安全分析方法,其特征在于,所述基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全包括:
获取水印网络数据的当前大小值N,在传输链复杂度值H=0的情况下,当|N-M|等于预设差异值时,确定所述水印网络数据安全;
在传输链复杂度值H≠0的情况下,则当|N-M|小于预设差异值除以传输链复杂度值H时,确定数据安全。
8.根据权利要求6所述的数据安全分析方法,其特征在于,还包括:
若处理属性值的标识为1,则确定所述水印网络数据在上一节点处理之后发生异常,确定上一节点处理过程中发生异常或者在所述水印网络数据的传输过程中发生异常;
对上一节点和上一节点至当前节点的传输路径进行相应的报警;
若处理属性值的标识为0,则确定所述水印网络数据在上一节点并未进行处理,确定所述水印网络数据的传输过程中发生异常;
对上一节点至当前节点的传输路径全进行相应的报警。
9.一种数据水印添加装置,应用于网关,其特征在于,包括:
数据获取模块,用于获取待传输的网络数据;
水印添加模块,用于在所述网络数据上添加第一水印以及第二水印,得到水印网络数据;
数据发送模块,用于将所述水印网路数据发送到目标设备;
其中,所述第一水印包括数字验证水印、传输链复杂度值;所述第二水印包括节点数量值、处理属性值以及唯一数据标识;所述数字验证水印用于验证所述网络数据的完整性;所述传输链复杂度值用于衡量所述网络数据的传输链路的复杂程度;所述节点数量值为所述网络数据当前经过的所有网路节点的数量值;所述处理属性值为当前网络节点是否对所述网络数据进行处理的表达值;所述唯一数据标识用于唯一性地标识所述网络数据。
10.一种数据安全分析装置,用于分析如权利要求1-5任一项所述的数据水印添加方法所产生的水印网络数据,其特征在于,包括:
水印数据获取模块,用于获取待检测的水印网络数据;
水印解析模块,用于对所述水印网络数据进行解析得到数字验证水印、传输链复杂度值、节点数量值、处理属性值以及唯一数据标识;
大小值解析模块,用于对所述数字验证水印进行对称加密中的解密处理,得到哈希值,并基于该哈希值得到其对应的大小值M;
安全确定模块,用于基于所述大小值M与所述水印网路数据的当前大小值确定所述水印网络数据是否安全。
11.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述数据水印添加方法的步骤,或实现权利要求6至8任一项所述数据安全分析方法的步骤。
12.一种处理器可读存储介质,其特征在于,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行权利要求1至5任一项所述数据水印添加方法(终端侧)的步骤,或执行权利要求6至8任一项所述数据安全分析方法的步骤。
CN202110587609.3A 2021-05-27 2021-05-27 数据水印添加方法及数据安全分析方法、装置 Pending CN115412271A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110587609.3A CN115412271A (zh) 2021-05-27 2021-05-27 数据水印添加方法及数据安全分析方法、装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110587609.3A CN115412271A (zh) 2021-05-27 2021-05-27 数据水印添加方法及数据安全分析方法、装置

Publications (1)

Publication Number Publication Date
CN115412271A true CN115412271A (zh) 2022-11-29

Family

ID=84154775

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110587609.3A Pending CN115412271A (zh) 2021-05-27 2021-05-27 数据水印添加方法及数据安全分析方法、装置

Country Status (1)

Country Link
CN (1) CN115412271A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116866086A (zh) * 2023-09-01 2023-10-10 华能信息技术有限公司 一种基于水印添加的数据安全控制方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116866086A (zh) * 2023-09-01 2023-10-10 华能信息技术有限公司 一种基于水印添加的数据安全控制方法及系统
CN116866086B (zh) * 2023-09-01 2024-01-30 华能信息技术有限公司 一种基于水印添加的数据安全控制方法及系统

Similar Documents

Publication Publication Date Title
US11729186B2 (en) Blockchain architecture for computer security applications
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US9560059B1 (en) System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9426136B2 (en) Increased communication security
US10073980B1 (en) System for assuring security of sensitive data on a host
CN106919811B (zh) 文件检测方法和装置
US10412069B2 (en) Packet transmitting apparatus, packet receiving apparatus, and computer readable medium
CN106982188B (zh) 恶意传播源的检测方法及装置
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
US20210352092A1 (en) Attack signature generation
CN113746781A (zh) 一种网络安全检测方法、装置、设备及可读存储介质
CN111585995B (zh) 安全风控信息传输、处理方法、装置、计算机设备及存储介质
CN113518042A (zh) 一种数据处理方法、装置、设备及存储介质
JP4739962B2 (ja) 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
CN115412271A (zh) 数据水印添加方法及数据安全分析方法、装置
CN117390637B (zh) 一种安全接入区系统安全防护的方法及系统
Schmidbauer et al. Hunting shadows: Towards packet runtime-based detection of computational intensive reversible covert channels
CN111586013B (zh) 网络入侵检测方法、装置、节点终端及存储介质
CN111092723A (zh) 一种数据隐私保护量子计算方法
CN114257404B (zh) 异常外联统计告警方法、装置、计算机设备和存储介质
CN113347270B (zh) 一种网络传输文件防水平越权方法和装置
CN115935356A (zh) 一种软件安全性测试方法、系统及应用
KR20220073657A (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
CN112825093A (zh) 安全基线检查方法、主机、服务器、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination