CN115694927A - 安全管理方法、系统、服务器和存储介质 - Google Patents
安全管理方法、系统、服务器和存储介质 Download PDFInfo
- Publication number
- CN115694927A CN115694927A CN202211264117.1A CN202211264117A CN115694927A CN 115694927 A CN115694927 A CN 115694927A CN 202211264117 A CN202211264117 A CN 202211264117A CN 115694927 A CN115694927 A CN 115694927A
- Authority
- CN
- China
- Prior art keywords
- data request
- request
- data
- initiator
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供一种安全管理方法、系统、服务器和存储介质,属于网络安全技术领域。所述安全管理方法,通过对接收到的数据请求进行类型确认,将数据请求分为三类,处以不同的处理策略:第一类请求,终止所述数据请求流程;第二类请求,对所述数据请求进行安全评估;第三类请求,根据预设判断规则和数据请求对应的内容,确定是否对数据请求进行安全评估;在安全评估通过,或者无需进行安全评估时,向服务器请求所述数据请求对应的内容数据;根据预设的加密规则对所述服务器返回的内容数据进行加密处理;向所述数据请求发起方返回加密处理后的内容数据;能够提高数据传输过程的安全性,使得服务器在应对数据请求时兼顾数据请求响应效率与数据安全。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种安全管理方法、系统、服务器和存储介质。
背景技术
随着互联网的蓬勃发展,网络数据以及各类用户的访问请求也日益增多,在这种大数据交互与共享环境下,网络安全问题变得十分复杂,这对服务器运营商提出了严峻的挑战,不管是涉及用户的隐私数据还是服务器本身存储有的资源,都面临着安全风险。在数据交互的过程中,保证数据在传输过程中的安全露,以及服务器的安全,都是亟需解决的问题。尤其是,在面临非法渗透、异常访问等网络攻击行为与正常数据请求时,在保证对请求进行响应,并且对危险请求进行防御是服务器面临的重大挑战。
发明内容
本申请提出了一种安全管理方法、系统、服务器和存储介质,以提供一种兼顾数据请求响应效率与数据安全的管理方法。
为了解决上述技术问题,本申请是这样实现的:
第一方面,本申请实施例提供了一种安全管理方法,所述方法包括:
接收数据请求;
根据所述数据请求,确定所述数据请求的类型;
若所述数据请求为第一类请求,终止所述数据请求流程;
若所述数据请求为第二类请求,对所述数据请求进行安全评估;
若所述数据请求为第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估;
在安全评估通过,或者,无需进行安全评估时,向服务器请求所述数据请求对应的内容数据;
根据预设的加密规则对所述服务器返回的内容数据进行加密处理;
向所述数据请求发起方返回加密处理后的所述内容数据。
第二方面,本申请实施例提供了一种安全管理系统,所述系统包括:
请求接收模块,用于接收数据请求;
请求类型确定模块,用于根据所述数据请求,确定所述数据请求的类型;
安全评估判断模块,用于若所述数据请求为第一类请求,终止所述数据请求流程;若所述数据请求为第二类请求,对所述数据请求进行安全评估;若所述数据请求为第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估;
安全评估模块,用于在安全评估通过,或者,无需进行安全评估时,向服务器请求所述数据请求对应的内容数据;
加密模块,用于根据预设的加密规则对所述服务器返回的内容数据进行加密处理;
发送模块,用于向所述数据请求发起方返回加密处理后的所述内容数据。
第三方面,本申请实施例提供了一种服务器,包括安全管理模块、安全预启动单元、输入/输出路由单元、中断处理单元、缓存代理桥、RN环网、全局一致性处理模块、局部一致性处理模块和多个计算核心;
所述安全管理模块能够实现本申请实施例中提供的任一项所述的安全管理方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面的安全管理方法的步骤。
本申请实施例提供的技术方案带来的有益效果至少包括:本申请提供的安全管理方法,通过对接收到的数据请求进行类型确认,将数据请求分为三类,处以不同的处理策略,对于第一类请求,终止所述数据请求流程;对于第二类请求,对所述数据请求进行安全评估;对于第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估;在安全评估通过,或者,无需进行安全评估时,向服务器请求所述数据请求对应的内容数据;根据预设的加密规则对所述服务器返回的内容数据进行加密处理;最后向所述数据请求发起方返回加密处理后的所述内容数据;根据数据类型的不同进行区分处理,并且对于返回的数据根据预设的加密规则进行处理能够提高数据传输过程的安全性,使得服务器在应对数据请求时兼顾数据请求响应效率与数据安全。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本申请实施例提供的一种安全管理方法流程图;
图2为本申请实施例提供的一种安全管理系统的结构示意图;
图3为本申请实施例提供的另一种安全管理系统的结构示意图;
图4为本申请实施例提供的一种服务器的结构示意图;
图5为本申请实施例提供的一种服务器的核心结构示意图;
图6为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供的安全管理方法可部署于发生数据交换的网络设备上,以确保该网络设备在面对大量数据请求时候,提高数据请求双方的数据安全性以及数据请求对应的内容数据的返回效率。
对实施例及附图中出现的英文缩写进行解释:
SPBU,Security Pre-Boot Uint,安全预启动单元
IO,输入/输出(Input/Output);
ASP,Active Security Processor,主动安全管理核心;
IRU,I/O Route Unit,输入/输出路由单元;
LCPM,Local Coherent Process Module,局部一致性处理模块;
RN,RING NET,环网;
CAB,Cache Agent Bridge,缓存代理桥;
GCPM,Global Coherent Process Module,全局一致性处理模块;
INTPU,Interrupt Process Unit,中断处理单元。
具体的,如可以将上述安全管理方法应用于服务器的安全管理模块中,以此实现对数据请求、收发数据时候的安全管理,提高数据安全性。
请参考图1,图1示出了本申请实施例提供的一种安全管理方法流程图,所述方法包括:
步骤11,接收数据请求。
具体的,接收到的数据请求可以来自于内部网络中的访问者、外部网络中的访问者、已注册的用户、未注册的用户、匿名用户等。
步骤12,根据所述数据请求,确定所述数据请求的类型;
步骤131,若所述数据请求为第一类请求,终止所述数据请求流程;
步骤132,若所述数据请求为第二类请求,对所述数据请求进行安全评估;
步骤133,若所述数据请求为第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估。
具体的,数据请求中通常会携带有各种信息,根据所述数据请求能够获取以下信息中的至少一个:
数据请求发起方来源信息,数据请求对应的内容名、内容编号等;要求返回数据的时间;发起者的信息,如发起者的身份信息、发起者网络信息等。
具体的,第一类请求是绝对禁止的请求,因此一旦数据请求被确定为第一类请求,直接终止所述数据请求流程。如,该数据请求来自于黑名单用户、或者该数据请求来自于发生过较多网络攻击的发起者、或者发起者所在的网络地址在预设的观察周期内发生过进行网络攻击的次数大于预设阈值。
具体的,第二类请求,是被认为具有较高的风险,需要进行安全评估,根据安全评估的结果再决定通过与否,安全评估不通过则终止所述数据请求。
在一些实施例中,对于安全评估没有通过的数据请求,可向请求发起方返回安全评估不通过的原因,如再次接受到请求发起方发起相同的请求,再次进行安全评估;若连续预设次数都无法通过安全评估,如3次,则此后在预设时间内都不再接收该请求发起方发起的数据请求,或者之后对于接收到的所述请求发起方发起相同的请求,直接终止所述数据请求流程;既能够保证请求得到响应,也能及时排除疑似非法请求的行为。
具体的,第三类请求,是被认为无法判断是否需要安全评估的数据请求,这类数据请求通常具有一定的风险,需要根据其他的信息进行辅助判断,再确定是否需要进行安全评估。
步骤14,在安全评估通过,或者,无需进行安全评估时,向服务器请求所述数据请求对应的内容数据。
具体的,本申请实施例提供的安全管理方法能够应用于安全管理模块,该安全管理模块可以集成于服务器芯片,也可以作为外部模块与服务器芯片联合使用,其存储可与服务器隔离,以保证数据安全,只有当安全评估通过,或者,无需进行安全评估时,安全管理模块才会向服务器请求所述数据请求对应的内容数据,为服务器过滤了风险较高的数据请求,提高了服务器的安全管理效率。
此外,在一些实施例中,所述安全管理模块在进行数据传输时,也可以对不同类型的请求数据、或者是根据数据请求来源进行通道隔离,以确保数据的安全性,以及为不同风险级别的用户、或者是不同风险的数据请求配置不同的数据通讯通道,为每个通道提供不同的安全策略,以兼顾数据安全与请求响应效率。
步骤15,根据预设的加密规则对所述服务器返回的内容数据进行加密处理。
在返回数据时,对数据内容进行加密能够提高数据在传输过程中的安全性,尤其是保证数据请求方的数据安全、身份信息安全。
步骤16,向所述数据请求发起方返回加密处理后的所述内容数据。
本申请实施例提供的上述安全管理方法能够根据数据类型的不同进行区分处理,并且对于返回的数据根据预设的加密规则进行处理能够提高数据传输过程的安全性,使得服务器在应对数据请求时兼顾数据请求响应效率与数据安全。
在一些实施例中,所述根据所述数据请求,确定所述数据请求的类型包括:
根据所述数据请求,获取所述数据请求的来源信息;
根据所述来源信息,确定所述数据请求的发起方的身份信息和/或所述数据请求发起方的历史请求记录;
根据所述发起方的身份信息和/或历史请求记录,确定所述数据请求的类型。
具体的,所述来源信息至少包括以下之一:
身份信息、历史请求记录信息、数据安全权限信息、网络信息、数据请求对应的内容名、内容编号等。
其中,根据请求发起方来源信息可以获得包括发起该请求的来源方的身份信息数据安全权限信息。
所述身份信息至少包括以下之一:
数据请求发起方的用户风险级别、鉴权信息、加密规则信息。
若所述数据请求发起方是有记载的用户,如注册用户(在服务器提供服务的平台具有合法注册的身份信息等),身份信息中还会包含鉴权信息,用于在预设时间周期内发生首次数据请求时,进行身份鉴权。
在一些实施例中,所述根据所述发起方的身份信息和/或历史请求记录,确定所述数据请求的类型,包括:
所述身份信息中包括所述发起方的用户风险级别;
所述历史请求记录至少包括所述发起方的数据请求内容类型、数据请求频率、敏感数据请求频率、网络攻击频率。
在一些实施例中,历史请求记录根据发起方历次的数据请求内容V1、数据请求内容类型V2、内容的安全等级V3、数据请求频率V4、敏感数据请求频率V5、网络攻击频率V6等生成历史请求记录。
在一些实施例中,所述用户风险级别根据所述发起方的用户风险得分从低到高划分为至少3个风险级别;
所述用户风险得分根据所述发起方的历史请求风险系数和请求发起方的身份认证信息级别进行计算获得;
所述发起方的历史请求风险系数根据所述历史请求记录获得;
所述发起方的身份认证信息级别至少包括:可信用户、普通用户、低信任度用户、黑名单用户。
具体的,用户风险级别可根据需求划分成若干的风险级别,如低风险、中风险、高风险三个风险级别,也可以划分成低风险、中低风险、中风险、中高风险、高风险五个级别,也可以从低到高划分为7个甚至更多的风险级别。
具体的,风险级别可根据请求发起方的身份信息和历史请求记录进行评估,如根据数据请求发起方的历史请求风险系数和请求发起方的身份认证信息级别,对用户风险级别进行划分。
其中,所述身份认证信息级别至少包括:可信用户、普通用户、低信任度用户、黑名单用户。
可信用户具有身份注册信息并认证成功,且具有良好历史请求记录;
普通用户具有身份注册信息并认证成功,但是与服务器建立关联的时间周期较短,还无法形成良好历史请求记录的用户;
低信任度用户没有身份注册信息的用户,如匿名用户,或者是有身份注册信息但是还未认证成功;
黑名单用户是在预设访问周期内发起过网络攻击,或者是存在超过预设阈值的非正常数据请求行为的用户。
在一些实施例中,历史请求风险系数γ根据所述历史请求记录中的各项目的风险系数及各项目的情况计算获得,γ=∑{k1V1,……,knVn},其中k1-n是历史请求记录中的项目对应的风险系数;
给身份认证信息级的可信度级别赋予不同的风险权重,如可信用户δ1、普通用户δ2、低信任度用户δ3、黑名单用户δ4;
用户风险得分S2=γ·δ,根据S2分数值从低到高按级别划分用户风险级别β的等级,如:
低风险,S2≤R1;
中低风险,R1<S2≤R2;
中风险,R2<S2≤R3;
中高风险,R3<S2<R4;
高风险,S2≥R4;
其中,R1-R4为从低到高的风险得分值,根据实际使用进行调整。
示例性的,如发起方是经过身份认证的发起方、并且在历史数据请求记录中没有不良记录,则其风险等级较低;如发起方是匿名用户无法查看历史数据,则将至标为高风险用户,如发起方是黑名单中的用户,其属于禁止访问用户。
在一些实施例中,根据预设风险周期,计算本次数据请求所在的风险周期和历史请求记录的行为相似度,根据两者行为相似度的高低,计算行为相似度风险值S1,通过所述相似度风险值S1与用户风险级别β融合计算获得所述数据请求的风险评分P,根据风险评分P的高低将数据请求划分为3个类型,包括:
第一类请求,P>F1;
第二类请求,F1≥P≥F2;
第三类请求,P<F2;
其中F1,F2为风险评分的预设阈值,根据实际使用需求和风险值S1、用户级别β的参数进行调整。
在一些实施例中,相似度风险值S1=similar{TiVn,TallVn},Ti表示当前风险周期,Tall表示历史请求记录中的全部风险周期,Vn表示历史请求记录中需要参考的项目,如前文实施例中提供的V1-V6,可以包含其中的几个,也可以包含其中的全部,还可以设置更多关注的历史请求记录中的项目,需要进行相似度计算的项目根据需求与安全管理模块的计算性能,服务器当前的负载、响应时限要求进行调整。
在一些实施例中,风险评分P=S·qβ,其中qβ是用户风险级别β在用于计算风险评分P时的对应计算系数。
在一些实施例中,所述若所述数据请求为第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估包括:
根据所述数据请求发起方的身份认证信息级别和所述数据请求对应的内容的安全级别确定是否对所述数据请求进行安全评估。
在一些实施例中,所述对所述数据请求进行安全评估包括:
根据所述数据请求对应的内容的安全级别、所述数据请求发起方的身份认证信息级别、本次数据请求所在的风险周期和历史请求记录的行为相似度对所述数据请求进行安全评估;
若所述安全评估值低于预设安全阈值θA,确定所述据请求通过安全评估;
其中,所述安全评估值θ=kθ·S1·δj·mi;
kθ为调节系数,S1为相似度风险值,δj为所述数据请求发起方的身份认证信息级别对应的风险权重,mi为所述数据请求对应的内容的安全级别对应的风险权重。
在一些实施例中,所述方法还包括,对可信用户和普通用户进行身份鉴权,包括:
接收数据请求发起方发起的身份鉴权请求,或者向数据请求发起方发起身份鉴权请求;
若接收到进行身份鉴权确认信息,启动鉴权定时;
向所述数据请求发起方同步身份识别码信息,其中,所述服务器根据所述数据请求发起方的鉴权信息生成;
若在所述鉴权定时超期前接收到所述数据请求发起方解析的身份识别码信息,并验证通过,向所述数据请求发起方返回登录令牌;
接收所述数据请求发起方通过登录令牌发送的数据请求,并在进行安全评估时,根据预设规则加入身份鉴权系数h,对安全评估值进行调整;
所述安全评估值θ=kθ·S1·δj·mi·h。
值得注意的是,在登录令牌超期后,对于所述数据请求发起方发起的数据请求进行安全评估时不再加入身份鉴权系数h,对安全评估值进行调整。
在一些实施例中,所述根据预设的加密规则对所述服务器返回的内容数据进行加密处理包括:将数据请求发起方的预留身份信息与虚假身份信息进行混淆,并通过预先约定的加密规则对混淆后的身份信息进行加密;
当预设应答时间内没有收到数据请求发起方的预设回复信息,向所述数据请求方发送风险提示信息,并且向服务器管理员发送风险提示信息。
通过上述预设风险提示机制,能够使得在返回发送数据请求对应的内容给数据请求发起方时,设置一个应答时间,超过该时间范围数据请求发送方还未回复预设信息,则表示该返回内容数据在传输过程中遇到了安全隐患,如数据没有被正常接收,数据被劫持等问题,这时,向数据请求发送风险提示,并且向服务器管理员发送风险提示,管理员可以通过自动设置风险提示邮,或者是其他通信工具联系数据请求发起方进行风险排查,提高了数据安全性。
在一些实施例中,所述预设的加密规则对所述服务器返回的内容数据进行加密处理包括以下至少之一:
对于需要安全评估的数据请求和无需安全评估的数据请求可采用不同的加密处理方式;
可以根据数据请求的内容本身的安全级别来确定加密规则;
可以根据数据请求发起者要求的加密规则信息确定加密处理的方式。
具体的,在返回数据时,对数据内容进行加密能够提高数据在传输过程中的安全性,尤其是保证数据请求方的数据安全、身份信息安全。
在一些实施例中,加密处理方式可以是采用如MD5、sha、哈希等方式进行加密;也可以采用秘钥进行对称加密或非对称加密,具体的,随机生成特定长度的秘钥结合预定的,或者在数据请求过程中按预设规则选择的加密算法进行加密及解密计算。
示例性的,可对发送的数据进行如下操作:根据预定规则对数据中出现的每个敏感字符段落增加校验字符x,得到包含校验字符x和敏感字符段落的字符串U,对每个所述字符串U中的偶数位上的数字进行一次乱序操作生成字符串U2,使用预设加密算法L对字符串U2进行一次加密得到字符串U3,对字符串U3的奇数位进行一次乱序操作生成字符串U4,将字符串U4作为发送数据。
综上所述,本申请实施例提供的安全管理方法能够根据数据类型的不同进行区分处理,并且对于返回的数据根据预设的加密规则进行处理能够提高数据传输过程的安全性,使得服务器在应对数据请求时兼顾数据请求响应效率与数据安全。
请参考图2,本申请实施例提供了一种安全管理系统20,包括:
请求接收模块21,用于接收数据请求;
请求类型确定模块22,用于根据所述数据请求,确定所述数据请求的类型;
安全评估判断模块23,用于若所述数据请求为第一类请求,终止所述数据请求流程;若所述数据请求为第二类请求,对所述数据请求进行安全评估;若所述数据请求为第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估;
安全评估模块24,用于在安全评估通过,或者,无需进行安全评估时,向服务器请求所述数据请求对应的内容数据;
加密模块25,用于根据预设的加密规则对所述服务器返回的内容数据进行加密处理;
发送模块26,用于向所述数据请求发起方返回加密处理后的所述内容数据。
在一些实施例中,所述请求类型确定模块22,还用于根据所述数据请求,获取所述数据请求的来源信息;
根据所述来源信息,确定所述数据请求的发起方的身份信息和/或所述数据请求发起方的历史请求记录;
根据所述发起方的身份信息和/或历史请求记录,确定所述数据请求的类型。
在一些实施例中,,所述请求类型确定模块22,还用于:所述身份信息中包括所述发起方的用户风险级别;
所述历史请求记录至少包括所述发起方的数据请求内容类型、数据请求频率、敏感数据请求频率、网络攻击频率。
参考图3,在一些实施例中,所述安全管理系统20还包括风险划分模块27,用于:
将所述用户风险级别根据所述发起方的用户风险得分从低到高划分为至少3个风险级别;
所述用户风险得分根据所述发起方的历史请求风险系数和请求发起方的身份认证信息级别进行计算获得;
所述发起方的历史请求风险系数根据所述历史请求记录获得;
所述发起方的身份认证信息级别至少包括:可信用户、普通用户、低信任度用户、黑名单用户。
在一些实施例中,所述请求类型确定模块22,还用于:
根据预设风险周期,计算本次数据请求所在的风险周期和历史请求记录的行为相似度,根据两者行为相似度的高低,计算行为相似度风险值S1,通过所述相似度风险值S1与用户风险级别β融合计算获得所述数据请求的风险评分P,根据风险评分P的高低将数据请求划分为3个类型,包括:
第一类请求,P>F1;
第二类请求,F1≥P≥F2;
第三类请求,P<F2;
其中F1,F2为风险评分的预设阈值,根据实际使用需求和风险值S1、用户级别β的参数进行调整。
在一些实施例中,安全评估模块24,还用于:根据所述数据请求对应的内容的安全级别、所述数据请求发起方的身份认证信息级别、本次数据请求所在的风险周期和历史请求记录的行为相似度对所述数据请求进行安全评估;
若所述安全评估值低于预设安全阈值θA,确定所述据请求通过安全评估;
其中,所述安全评估值θ=kθ·S1·δj·mi;
kθ为调节系数,S1为相似度风险值,δj为所述数据请求发起方的身份认证信息级别对应的风险权重,mi为所述数据请求对应的内容的安全级别对应的风险权重。
参考图3,在一些实施例中,所述安全管理系统20还包括鉴权模块28,用于对可信用户和普通用户进行身份鉴权,包括:
接收数据请求发起方发起的身份鉴权请求,或者向数据请求发起方发起身份鉴权请求;
若接收到进行身份鉴权确认信息,启动鉴权定时;
向所述数据请求发起方同步身份识别码信息,其中,所述服务器根据所述数据请求发起方的鉴权信息生成;
若在所述鉴权定时超期前接收到所述数据请求发起方解析的身份识别码信息,并验证通过,向所述数据请求发起方返回登录令牌;
接收所述数据请求发起方通过登录令牌发送的数据请求,并在进行安全评估时,根据预设规则加入身份鉴权系数h,对安全评估值进行调整;
所述安全评估值θ=kθ·S1·δj·mi·h。
在一些实施例中,所述预设的加密规则对所述服务器返回的内容数据进行加密处理包括以下至少之一:
对于需要安全评估的数据请求和无需安全评估的数据请求可采用不同的加密处理方式;
可以根据数据请求的内容本身的安全级别来确定加密规则;
可以根据数据请求发起者要求的加密规则信息确定加密处理的方式。
具体的,在返回数据时,对数据内容进行加密能够提高数据在传输过程中的安全性,尤其是保证数据请求方的数据安全、身份信息安全。
通过上述安全管理系统20的各个模块,能够实现上述安全管理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
请参考图4,本申请实施例提供了一种服务器40,所述服务器40搭载有处理器401,参考图4所述处理器401包括:
ASP安全控制模块41,所述ASP安全控制模块41与SPBU安全预启动单元42连接,所述ASP安全控制模块41还与IRU输入/输出路由单元43连接;所述安全控制模块有专有IO输入/输出接口,用于与外部设备连接;
所述SPBU安全预启动单元42的另一端与IRU输入/输出路由单元43连接;
IRU输入/输出路由单元43还分别与INTPU中断处理单元49,以及CAB缓存代理桥44连接;
所述CAB缓存代理桥44还分别与RN环网46,以及GCPM全局一致性处理模块48连接;
所述环网与多个LCPM局部一致性处理模块45连接,并且所述环网还与多个Core计算核心47连接。
具体的,所述安全控制模块41中,包括处理单元411和存储单元412,使得所述安全控制模块41能够实现本申请实施例中提供的任意一种安全管理方法。
具体的所述处理器401的芯片包括如下特点:
所述处理器401所采用的芯片全芯片集成8个计算计算核心,最高工作频率为2.5GHz,每个物理核心支持一个线程;
ASP安全控制模块41的最高工作频率为750MHz;
所述处理器401集成16MB的三级Cache缓存,采用CC_NUMA方式共享片内三级缓存,采用SMP方式访问主存,支持核心与各类IO接口对存储空间访问的缓存一致性;
所述三级缓存分为4个分体(每个分体4MB),每个分体与两个计算核心组成一个核心组,4个核心组合IO接口利用环网进行片上互联,参考图4;
ASP安全控制模块41与片内IO路由部件IRU和SPBU相连,支持ASP向片内计算子系统发出连续的访存请求、IO请求。
具体的,所述处理器401为64位字长的RISC架构处理器,单芯片集成了8个同构计算核心,1个ASP模块,16MB三级共享缓存Cache,两路64位DDR4存储控制器,两路PCI-E4.0接口,支持符合IEEE1149.1标准的调试和测试接口。
具体的,所述处理器401的Core3B核心结构如图5所示,所述核心结构Core3B由指令部件、整数执行部件、浮点执行部件、数据Cache控制部件、二级Cache控制部#以及一级指令Cache、一级数据Cache和二级Cache组成。
具体的,Core3的指令系统,,行了少量的指令集扩展和修改。
具体的,核心为采用并行发射、乱序发射、乱序执行和推测执行技术的4译码7发射超标量结构。
所述核心还采用短向量加速计算技术提高整数和浮点运算性能,支持浮点双256位SIMD流水线、整数单256位SIMD流水线,每个时钟周期可产生11个整数运算结果或16个浮点运算结果。
其中,一级指令Cache容量为32KB,采用四路组相联结构,虚地址访问方式,Cache行大小为128字节,采用可容错的偶校验;
以及,所述一级数据Cache容量为32KB,采用四路组相联结构,物理地址访问方式,缓存Cache行大小为128字节,采用可纠错的ECC校验。
具体的,二级Cache容量为512KB,采用八路组相联结构,物理地址访问方式,Cache行大小为128字节,为指令和数据混合Cache,采用可纠错的ECC校验。
具体的,一级数据Cache与二级Cache为严格的包含关系,一级指令Cache与二级Cache为既不包含,也不互斥关系,硬件自动支持指令与数据的Cache一致性。
具体的,图中L3S#1表示Level 3cache#1,三级缓存1号;MC#0表示MemoryController#0,存储控制器;RN为Round Net环网。
请参考图6,本申请实施例还提供一种网络设备60,包括处理器61,存储器62,存储在存储器62上并可在所述处理器61上运行的计算机程序,该计算机程序被处理器61执行时实现上述安全管理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述安全管理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (11)
1.一种安全管理方法,其特征在于,所述方法包括:
接收数据请求;
根据所述数据请求,确定所述数据请求的类型;
若所述数据请求为第一类请求,终止所述数据请求流程;
若所述数据请求为第二类请求,对所述数据请求进行安全评估;
若所述数据请求为第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估;
在安全评估通过,或者,无需进行安全评估时,向服务器请求所述数据请求对应的内容数据;
根据预设的加密规则对所述服务器返回的内容数据进行加密处理;
向所述数据请求发起方返回加密处理后的所述内容数据。
2.根据权利要求1所述的安全管理方法,其特征在于,所述根据所述数据请求,确定所述数据请求的类型包括:
根据所述数据请求,获取所述数据请求的来源信息;
根据所述来源信息,确定所述数据请求的发起方的身份信息和/或所述数据请求发起方的历史请求记录;
根据所述发起方的身份信息和/或历史请求记录,确定所述数据请求的类型。
3.根据权利要求2所述的安全管理方法,其特征在于,所述根据所述发起方的身份信息和/或历史请求记录,确定所述数据请求的类型,包括:
所述身份信息中包括所述发起方的用户风险级别;
所述历史请求记录至少包括所述发起方的数据请求内容类型、数据请求频率、敏感数据请求频率、网络攻击频率。
4.根据权利要求3所述的安全管理方法,其特征在于,
所述用户风险级别根据所述发起方的用户风险得分从低到高划分为至少3个风险级别;
所述用户风险得分根据所述发起方的历史请求风险系数和请求发起方的身份认证信息级别进行计算获得;
所述发起方的历史请求风险系数根据所述历史请求记录获得;
所述发起方的身份认证信息级别至少包括:可信用户、普通用户、低信任度用户、黑名单用户。
5.根据权利要求4所述的安全管理方法,其特征在于,所述根据所述发起方的身份信息和/或历史请求记录,确定所述数据请求的类型包括:
根据预设风险周期,计算本次数据请求所在的风险周期和历史请求记录的行为相似度,根据两者行为相似度的高低,计算行为相似度风险值S1,通过所述相似度风险值S1与用户风险级别β融合计算获得所述数据请求的风险评分P,根据风险评分P的高低将数据请求划分为3个类型,包括:
第一类请求,P>F1;
第二类请求,F1≥P≥F2;
第三类请求,P<F2;
其中F1,F2为风险评分的预设阈值,根据实际使用需求和风险值S1、用户级别β的参数进行调整。
6.根据权利要求5所述的安全管理方法,其特征在于,所述对所述数据请求进行安全评估包括:
根据所述数据请求对应的内容的安全级别、所述数据请求发起方的身份认证信息级别、本次数据请求所在的风险周期和历史请求记录的行为相似度对所述数据请求进行安全评估;
若所述安全评估值低于预设安全阈值θA,确定所述据请求通过安全评估;
其中,所述安全评估值θ=kθ·S1·δj·mi;
kθ为调节系数,S1为相似度风险值,δj为所述数据请求发起方的身份认证信息级别对应的风险权重,mi为所述数据请求对应的内容的安全级别对应的风险权重。
7.根据权利要求6所述的安全管理方法,其特征在于,所述方法还包括,对可信用户和普通用户进行身份鉴权,包括:
接收数据请求发起方发起的身份鉴权请求,或者向数据请求发起方发起身份鉴权请求;
若接收到进行身份鉴权确认信息,启动鉴权定时;
向所述数据请求发起方同步身份识别码信息,其中,所述服务器根据所述数据请求发起方的鉴权信息生成;
若在所述鉴权定时超期前接收到所述数据请求发起方解析的身份识别码信息,并验证通过,向所述数据请求发起方返回登录令牌;
接收所述数据请求发起方通过登录令牌发送的数据请求,并在进行安全评估时,根据预设规则加入身份鉴权系数h,对安全评估值进行调整;
所述安全评估值θ=kθ·S1·δj·mi·h。
8.一种安全管理系统,其特征在于,所述系统包括:
请求接收模块,用于接收数据请求;
请求类型确定模块,用于根据所述数据请求,确定所述数据请求的类型;
安全评估判断模块,用于若所述数据请求为第一类请求,终止所述数据请求流程;若所述数据请求为第二类请求,对所述数据请求进行安全评估;若所述数据请求为第三类请求,根据预设判断规则和所述数据请求对应的内容,确定是否对所述数据请求进行安全评估;
安全评估模块,用于在安全评估通过,或者,无需进行安全评估时,向服务器请求所述数据请求对应的内容数据;
加密模块,用于根据预设的加密规则对所述服务器返回的内容数据进行加密处理;
发送模块,用于向所述数据请求发起方返回加密处理后的所述内容数据。
9.一种服务器,其特征在于,所述服务器包括安全管理模块、安全预启动单元、输入/输出路由单元、中断处理单元、缓存代理桥、RN环网、全局一致性处理模块、局部一致性处理模块和多个计算核心;
所述安全管理模块能够实现如权利要求1至7中任一项所述的安全管理方法的步骤。
10.根据权利要求9所述的安全管理方法,其特征在于,
所述安全控制模块与安全预启动单元连接,所述安全控制模块还与输入/输出路由单元连接;所述安全控制模块有专有IO输入/输出接口,用于与外部设备连接;
所述安全预启动单元的另一端与输入/输出路由单元连接;
输入/输出路由单元还分别与中断处理单元,以及缓存代理桥连接;
所述缓存代理桥还分别与RN环网,以及全局一致性处理模块连接;
所述环网与多个局部一致性处理模块连接,并且所述环网还与多个计算核心连接。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的安全管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211264117.1A CN115694927A (zh) | 2022-10-14 | 2022-10-14 | 安全管理方法、系统、服务器和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211264117.1A CN115694927A (zh) | 2022-10-14 | 2022-10-14 | 安全管理方法、系统、服务器和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115694927A true CN115694927A (zh) | 2023-02-03 |
Family
ID=85065942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211264117.1A Withdrawn CN115694927A (zh) | 2022-10-14 | 2022-10-14 | 安全管理方法、系统、服务器和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115694927A (zh) |
-
2022
- 2022-10-14 CN CN202211264117.1A patent/CN115694927A/zh not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3005641B1 (en) | Certificating authority trust evaluation | |
| US9639678B2 (en) | Identity risk score generation and implementation | |
| EP3029593B1 (en) | System and method of limiting the operation of trusted applications in the presence of suspicious programs | |
| Pal et al. | A new trusted and collaborative agent based approach for ensuring cloud security | |
| US8225378B2 (en) | Auditing authorization decisions | |
| US9514294B1 (en) | Accessing a computing resource | |
| US8880667B2 (en) | Self regulation of the subject of attestation | |
| US20210037060A1 (en) | System And Method For Distributed Network Access Control | |
| US20110302413A1 (en) | Authorizing Information Flows Based on a Sensitivity of an Information Object | |
| US20090119507A1 (en) | Reference Monitor for Enforcing Information Flow Policies | |
| EP3061027A1 (en) | Verifying the security of a remote server | |
| KR20100076071A (ko) | 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템 | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| US10812466B2 (en) | Using trusted platform module to build real time indicators of attack information | |
| CN113242230A (zh) | 一种基于智能合约的多级认证与访问控制系统及方法 | |
| US20060248578A1 (en) | Method, system, and program product for connecting a client to a network | |
| US20140033272A1 (en) | Evaluating a security stack in repsonse to a request to access a service | |
| US8261328B2 (en) | Trusted electronic communication through shared vulnerability | |
| US11336667B2 (en) | Single point secured mechanism to disable and enable the access to all user associated entities | |
| CN117201060A (zh) | 零信任访问主体身份认证授权访问资源方法及相关装置 | |
| RU2589333C2 (ru) | Ограничиваемая удаленной частью модель делегирования | |
| CN115694927A (zh) | 安全管理方法、系统、服务器和存储介质 | |
| CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
| US8789143B2 (en) | Method and apparatus for token-based conditioning | |
| KR20210123811A (ko) | 토큰 기반 계층적 접속 제어 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20230203 |