CN115865522B - 信息传输的控制方法及装置、电子设备及存储介质 - Google Patents
信息传输的控制方法及装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115865522B CN115865522B CN202310093293.1A CN202310093293A CN115865522B CN 115865522 B CN115865522 B CN 115865522B CN 202310093293 A CN202310093293 A CN 202310093293A CN 115865522 B CN115865522 B CN 115865522B
- Authority
- CN
- China
- Prior art keywords
- auditing
- information
- target client
- information acquisition
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种信息传输的控制方法及装置、电子设备及存储介质。信息传输的控制方法,包括:向多个审核端下发信息获取请求,信息获取请求用于请求获取目标客户端上传目标数据信息;接收多个审核端对信息获取请求进行审核的审核结果;基于审核结果,控制目标客户端上传目标数据信息,目标客户端与服务端具有认证关系。通过本发明,使服务端需要获取目标客户端上传的目标数据信息时,需基于多个审核端对服务端下发的信息获取请求进行审核的审核结果进行控制,以避免当服务端失去控制时,对目标客户端的信息安全产生威胁,进而能够有效保障目标客户端的信息安全,提高目标客户端的信息安全性。
Description
技术领域
本发明涉及安全通信领域,具体涉及一种信息传输的控制方法及装置、电子设备及存储介质。
背景技术
相关技术中,客户端始终对服务端保持信任,无论服务端对客户端下发任何指令,客户端都会去执行。
但采用该种方式,会导致当服务端失陷后,攻击者可以通过服务端对客户端下发关闭所有的安全机制的检测和防护策略,或者通过下发指令去获取客户端的敏感信息等不安全的行为,危害客户端的信息安全。
鉴于此,基于一种能够保障客户端信息安全的信息传输控制方法。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中目标客户端过于信任服务端,导致自身信息安全性低的缺陷,从而提供一种信息传输的控制方法及装置、电子设备及存储介质。
根据第一方面,本发明实施方式提供一种信息传输的控制方法,应用于服务端,所述方法包括:
向多个审核端下发信息获取请求,所述信息获取请求用于请求获取目标客户端上传目标数据信息;
接收所述多个审核端对所述信息获取请求进行审核的审核结果;
基于所述审核结果,控制所述目标客户端上传所述目标数据信息,所述目标客户端与所述服务端具有认证关系。
在该方式中,使服务端需要获取目标客户端上传的目标数据信息时,需基于多个审核端对服务端下发的信息获取请求进行审核的审核结果进行控制,以避免当服务端失去控制时,对目标客户端的信息安全产生威胁,进而能够有效保障目标客户端的信息安全,提高目标客户端的信息安全性。
结合第一方面,在第一方面的第一实施例中,若所述多个审核端对所述信息获取请求进行审核的结果均为通过,则所述审核结果为审核通过;若存在至少一个审核端对所述信息获取请求进行审核的结果为不通过,则所述审核结果为审核不通过。
结合第一方面的第一实施例,在第一方面的第二实施例中,所述基于所述审核结果,控制所述目标客户端上传所述目标数据信息,包括:
若所述审核结果为审核通过,则向所述目标客户端发送与所述信息获取请求对应的信息获取指令;
接收所述目标客户端响应所述信息获取请求上传的所述目标数据信息。
结合第一方面的第二实施例,在第一方面的第三实施例中,在向所述目标客户端发送与所述信息获取请求对应的信息获取指令之前,所述方法还包括:
激活所述目标客户端所在安全域的第一密钥;
所述接收所述目标客户端响应所述信息获取请求上传的所述目标数据信息,包括:
接收所述目标客户端上传的加密数据包;
通过所述第一密钥对所述加密数据包进行解密,得到所述目标数据信息。
结合第一方面的第三实施例,在第一方面的第四实施例中,所述方法还包括:
从所述加密数据包中提取所述目标客户端所在安全域的第二密钥;
响应所述第一密钥将所述加密数据包解密完成,删除所述第一密钥,并将所述第二密钥作为新的第一密钥。
结合第一方面的第三实施例,在第一方面的第五实施例中,在向多个审核端下发信息获取请求之前,所述方法还包括:
与多个客户端建立认证关系;
所述多个客户端包括所述目标客户端,所述多个客户端部署在至少一个安全域内,不同安全域采用不同第一密钥进行解密。
结合第一方面的第五实施例,在第一方面的第六实施例中,所述多个审核端分别部署在不同安全域内,所述审核端的数量大于或者等于3。
结合第一方面的第一实施例,在第一方面的第七实施例中,所述基于所述审核结果,控制所述目标客户端上传所述目标数据信息,包括:
若所述审核结果为审核未通过,则不向所述目标客户端发送与所述信息获取请求对应的信息获取指令,以使所述目标客户端不上传所述目标数据信息。
根据第二方面,本发明实施方式还提供一种信息传输的控制装置,应用于服务端,所述装置包括:
第一发送单元,用于向多个审核端下发信息获取请求,所述信息获取请求用于获取目标客户端的目标数据信息,所述目标客户端与所述服务端具有认证关系;
第一接收单元,用于接收所述多个审核端对所述信息获取请求进行审核的审核结果;
传输单元,用于基于所述审核结果,控制所述目标客户端上传所述目标数据信息。
根据第三方面,本发明实施方式还提供一种电子设备,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面及其可选实施方式中任一项的信息传输的控制方法。
根据第四方面,本发明实施方式还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行第一方面及其可选实施方式中任一项的信息传输的控制方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例提出的一种信息传输的控制方法的流程图。
图2是根据一示例性实施例提出的另一种信息传输的控制方法的流程图。
图3是根据一示例性实施例提出的又一种信息传输的控制方法的流程图。
图4是根据一示例性实施例提出的一种配置服务端的流程图。
图5是根据一示例性实施例提出的一种配置客户端的流程图。
图6是根据一示例性实施例提出的一种C-S系统的架构示意图。
图7是根据一示例性实施例提出的一种信息传输的控制装置的结构框图。
图8是根据一示例性实施例提出的一种电子设备的硬件结构示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,客户端始终对服务端保持信任,无论服务端对客户端下发任何指令,客户端都会去执行。
但采用该种方式,会导致当服务端失陷后,攻击者可以通过服务端对客户端下发关闭所有的安全机制的检测和防护策略,或者通过下发指令去获取客户端的敏感信息等不安全的行为,危害客户端的信息安全。
为解决上述问题,本发明实施例中提供一种信息传输的控制方法,用于电子设备中,需要说明的是,其执行主体可以是信息传输的控制装置,该装置可以通过软件、硬件或者软硬件结合的方式实现成为电子设备的部分或者全部,其中,该电子设备可以是终端或服务端或服务器,服务器可以是一台服务器,也可以为由多台服务器组成的服务器集群,本申请实施例中的终端可以是智能手机、个人电脑、平板电脑、可穿戴设备以及智能机器人等其他智能硬件设备。下述方法实施例中,均以执行主体是服务端为例来进行说明。
本发明适用于在服务端-客户端(Client-Server,C-S)系统中,服务端对至少一个客户端进行管理的应用场景。在本发明提供的信息传输的控制方法中,服务端向多个审核端下发信息获取请求,信息获取请求用于请求获取目标客户端上传目标数据信息;接收多个审核端对信息获取请求进行审核的审核结果;基于审核结果,控制目标客户端上传目标数据信息,目标客户端与服务端具有认证关系。通过本发明提供的信息传输的控制方法,使服务端需要获取目标客户端上传的目标数据信息时,需基于多个审核端对服务端下发的信息获取请求进行审核的审核结果进行控制,以避免当服务端失去控制时,对目标客户端的信息安全产生威胁,进而能够有效保障目标客户端的信息安全,提高目标客户端的信息安全性。
图1是根据一示例性实施例提出的一种信息传输的控制方法的流程图。如图1所示,信息传输的控制方法包括如下步骤S101至步骤S103。
在步骤S101中,向多个审核端下发信息获取请求。
在本发明实施例中,当服务端需要获取目标客户端上传的目标数据信息时,需通过多个审核端对信息获取请求进行审核,以避免服务端所需的目标数据信息会对目标客户端自身的信息安全产生影响。其中,信息获取请求用于请求获取目标客户端上传目标数据信息。在一例中,信息获取请求包括但不限于以下内容:待下发策略,应用范围,待下发的业务数据信息,生效时间,需要客户端反馈的信息等。
在一示例中,目标数据信息可以是目标客户端的运行信息,也可以是服务端所需的待管理信息。运行信息可以是目标客户端根据指定策略进行运行的运行情况以及日志信息等信息。目标客户端可在本地自行设置将部分或者全部运行信息上传至服务端,以供服务端进行分析。待管理信息为服务端所需的必要信息,可以包括目标客户端在运行过程中收到的包含来源的告警信息、主机关键核心系统的运行日志、审计日志等信息。
在步骤S102中,接收多个审核端对信息获取请求进行审核的审核结果。
在本发明实施例中,多个审核端分别对服务端下发信息获取请求,由各个审核端各自判断该信息获取请求是否为合法请求,进而得到每一个审核端对该信息获取请求进行审核的结果。结合每一个审核端对该信息获取请求进行审核的结果,得到最终发送至服务端的审核结果。
在一实施例中,若多个审核端对信息获取请求进行审核的结果均为通过,则表征每一个审核端都认为该信息获取请求为合法请求,可以判定审核结果为审核通过;
若存在至少一个审核端对信息获取请求进行审核的结果为不通过,则表征存在至少一个审核端认为该信息获取请求会对目标客户端的信息安全产生威胁,所下发的信息获取请求超过服务端本身权限,服务端可能失去控制,因此,为保障目标客户端的信息安全,则可以判定审核结果为审核不通过。
在另一实施例,为避免存在误审核的情况发生,则可以结合审核端的数量,基于各个审核端审核的结果为通过和不通过之间的比值是否大于或者等于指定比值,确定多个审核端发送的审核结果为审核通过还是审核不通过。例如:当审核端的数量为6,且指定比值为2/3时,若各个审核端审核的结果为通过和不通过之间的比值大于或者等于2/3,则确定多个审核端发送的审核结果为审核通过。若各个审核端审核的结果为通过和不通过之间的比值小于2/3,则确定多个审核端发送的审核结果为审核不通过。
在又一实施例中,可以预先在审核端中部署安装策略或业务信息审核软件(例如:SBIAS软件),以基于多种身份校验机制保障客户端到服务端的可信性。
在步骤S103中,基于审核结果,控制目标客户端上传目标数据信息。
在本发明实施例中,基于审核结果可以确定多个审核端对该信息获取请求的审核情况,进而可以确定服务端是否被允许向目标客户端发送信息获取命令,从而能够有效保障信息获取请求的合法性,避免目标客户端的信息安全受到威胁。例如:若审核结果为审核通过,则可以控制目标客户端上传目标数据信息,以满足服务端的需求。若审核结果为审核不通过,则不可以控制目标客户端上传目标数据信息,进而保障目标客户端的信息安全。其中,目标客户端与服务端具有认证关系,进而目标客户端可以将目标数据信息直接上传至服务端。
在一示例中,若审核结果为审核通过,则表征服务端下发的信息获取请求为合法请求,获取目标数据信息不会影响目标客户端的信息安全,因此,服务端可以向目标客户端发送与信息获取请求对应的信息获取指令。在服务端向目标客户端发送与信息获取请求对应的信息获取指令之后,目标客户端可以根据接收到的所述信息获取请求进行响应,并将服务端所需的目标数据上传至服务端,以满足服务端的使用需求。
通过上述实施例,使服务端需要获取目标客户端上传的目标数据信息时,需基于多个审核端对服务端下发的信息获取请求进行审核的审核结果进行控制,以避免当服务端失去控制时,对目标客户端的信息安全产生威胁,进而能够有效保障目标客户端的信息安全,提高目标客户端的信息安全性。
图2是根据一示例性实施例提出的另一种信息传输的控制方法的流程图。如图2所示,信息传输的控制方法包括如下步骤。
在步骤S201中,向多个审核端下发信息获取请求。
在步骤S202中,接收多个审核端对信息获取请求进行审核的审核结果。
在步骤S203中,若审核结果为审核通过,则向目标客户端发送与信息获取请求对应的信息获取指令。
在步骤S204中,激活目标客户端所在安全域的第一密钥。
在本发明实施例中,为保障目标客户端的信息安全,避免在目标数据信息在传输的过程中被拦截或者盗取,则目标客户端在将目标数据信息上传服务端之前,将目标数据信息按照目标客户端所在安全域所采用的加密机制对目标数据信息进行加密处理,得到包含目标数据信息的加密数据包。该加密数据包可以根据该目标客户端所在安全域的第一密钥进行解密。因此,若审核结果为审核通过,则表征服务端可以使用目标数据信息,进而将目标客户端所在安全域的第一密钥进行激活,以便服务端可以通过该第一密钥对接收到的加密数据包进行解密,得到所需的目标数据信息。
在步骤S205中,接收目标客户端上传的加密数据包。
在本发明实施例中,加密数据包中的目标数据信息可以是目标客户端根据自身需求对所接收到的信息获取请求进行部分或者全部响应,并将响应生成的目标数据信息经过加密处理后得到数据包,进而有助于减少客户端所在主机的资源消耗。
在步骤S206中,通过第一密钥对加密数据包进行解密,得到目标数据信息。
通过上述实施例,为保障目标客户端与服务端之间的通信安全,则将目标客户端需要上传的目标数据信息经过对应安全域所采用的加密机制进行加密处理,得到加密数据包。当服务端被允许可以接收目标客户端上传的目标数据信息时,则将目标客户端所在安全域的第一密钥进行激活,由被激活的第一密钥对接收的加密数据包进行解密,得到服务端所需的目标数据信息,进而满足服务端获的需求,同时,还可以有效保障客户端的信息安全。
在一实施例中,可以在服务端中部署与安全域相对应的安全装置,该安全装置用于保障对应安全域密钥的安全。若审核结果为审核通过,则在接收到审核结果后,触发该安全装置将目标客户端所在安全域的第一密钥激活,以使服务端可以使用第一密钥对接收的目标数据信息进行解密。其中,安全装置可以是软件进程,也可以是硬件结构,在本发明中不进行限制。安全装置的数量可以大于或者等于安全域的数量,进而能够有效保障C-S系统内的原有分区分域机制不被打破,可以保障各个安全域内的网络安全性。
在一例中,若在C-S系统中,存在多个客户端,且分布在多个安全域内,则在服务端中,针对每一个安全域对应部署一个安全装置,以对每一个安全域的第一密钥进行针对性保护。
在另一例中,为提高C-S系统的安全性以及通信复杂性,则针对不同安全域可以采用不同的加密机制,进而当其中一个安全域的加密机制被破解时,其他安全域的加密机制不会被同时破解,从而能够降低对其他安全域内客户端的信息安全的影响。
在另一实施例中,目标客户端对应的安全域的密钥具有时效性,即,目标客户端上传的加密数据包在不同时段上传时所需进行解密的密钥不同。因此,为保障服务端可以针对目标客户端在不同时期上传的加密数据包进行顺利解密,则将下一次服务端所需使用的第二密钥添加至加密数据包中,以使服务端在接收到的加密数据包后,可以从加密数据包中提取目标客户端所在安全域的第二密钥。响应第一密钥将加密数据包解密完成,删除第一密钥,并将第二密钥作为新的第一密钥,以通过第二密钥对目标客户端下一次上传的目标数据信息进行针对性的解密,进而能够有效保障目标客户端的信息安全,防止目标客户端所在安全域的安全密钥被泄露。
在又一实施例中,当服务端接收到加密数据包后,由部署在服务端内的与目标客户端所在安全域对应的安全装置从该加密数据包中提取待进行下一次解密的第二密钥,并将该第二密钥进行存储。响应第一密钥将加密数据包解密完成,删除第一密钥,并将第二密钥作为新的第一密钥,进而有助于提高目标客户端的信息安全性,提高身份验证机制的安全性。在一例中,可以将第一密钥称为老密钥(OAK),第二密钥称为新密钥(NAK)。
在又一实施例中,安全装置具有自保机制,当安全装置自身受到威胁且无法避免时,可以自动执行自我销毁任务,进而防止由于攻击造成的密钥泄露。
图3是根据一示例性实施例提出的又一种信息传输的控制方法的流程图。如图3所示,信息传输的控制方法包括如下步骤。
在步骤S301中,向多个审核端下发信息获取请求。
在步骤S302中,接收多个审核端对信息获取请求进行审核的审核结果。
在步骤S303中,若审核结果为审核通过,则向目标客户端发送与所述信息获取请求对应的信息获取指令。
在步骤S304中,接收目标客户端响应信息获取请求上传的目标数据信息。
在步骤S305中,若审核结果为审核未通过,则不向目标客户端发送与信息获取请求对应的信息获取指令,以使目标客户端不上传目标数据信息。
通过上述实施例,使服务端能够根据多个审核端对信息获取请求进行审核的审核结果,控制是否可以对目标客户端发送与所述信息获取请求对应的信息获取指令,进而在不改变原有客户端上传目标数据信息机制的情况下,确保目标客户端的目标数据信息的信息安全,从而能够有效解决客户端或服务器失陷后逻辑隔离被打破,身份验证失效的问题,为客户端上传目标数据信息的安全提供有效保障。
在一实施场景中,当服务器被攻击沦陷时,基于本发明提供的信息传输的控制方法,可以使客户端的数据信息能够被有效保护,进而有助于提高C-S系统的系统稳定性。
具体地,当服务端被攻击者入侵后,攻击者想从目标客户端中获取目标客户端中的敏感数据信息(例如:目标客户端所在主机存储的财务及账目信息)时,攻击者可以通过服务端下发请求目标客户端上传目标数据信息的信息获取请求。其中,目标数据信息为该敏感数据信息。信息获取请求中包括以下内容:请求目标客户端关闭安全防护以及安全软件,并使目标客户端将敏感数据信息上传。
由分布在不同安全域的多个审核端分别对该信息获取请求进行审核,若目标客户端所在安全域内的审核端认为该信息获取请求超出了正常请求范围,服务端可能被攻陷,则目标客户端所在安全域内的审核端可以判定该信息获取请求的审核结果通过,则可以确定多个审核端对信息获取请求进行审核的审核结果为审核不通过,进而服务端不能向目标客户端下发与该信息获取请求对应的信息获取指令。
当攻击者发现信息获取请求未被允许时,对将目标转移至其他安全域中的目标客户端,由于不同安全域内所采用的安全机制不同,进而导致该攻击者无法获取其他安全域内各客户端的主机信息,从而达到对C-S系统中其他客户端的信息安全进行有效保障的目的。
在一实施例中,为保障服务端能够获取所需的目标数据信息,则预先与多个客户端建立认证关系,以使多个客户端需要与服务端进行信息传输时,可以建立连接关系。其中,多个客户端包括目标客户端,多个客户端部署在至少一个安全域内,不同安全域采用不同第一密钥进行解密。
具体地,在与多个客户端建立认证关系的过程中,由运维人员分别在各个客户端和服务端中进行配置,以构建C-S系统的系统环境,实现环境初始化。其中,可以采用任意一种身份验证机制进行认证关系,在本发明中不进行限制。例如:身份验证机制可以是:会话控制(session)认证,公私钥认证体系,令牌(token)认证,数字证书,数字签名,外接零信任网关等。
在实现环境初始化的过程中,包括完成以下任务:客户端和服务端的双向互认、业务信息或安全策略的下发、安全域的划分以及主机分组等,以使配置完成后,能够各个客户端明确其所在的安全域,以及每一个客户端在对应安全域内运行的过程中所采用安全策略。该安全策略包括上传数据信息时所采用的加密机制。
在一例中,当配置完成,将服务端与各个客户端之间的认证关系断开,以避免服务端跳过审核端直接与客户端进行信息传输,进而增强C-S系统的系统稳定性以及安全性。
在一示例中,为保障审核结果的合理性和可靠性,则将多个审核端分别部署在不同安全域内,以由不同安全域内审核端的审核者共同对服务端下发的信息获取请求进行审核,进而保障审核结果的客观性。优选地,审核端的数量大于或者等于3。在一例中,审核端也可以是其对应安全域内的客户端,进而使客户端可以自主控制所需响应的信息获取请求,从而有助于保障自身数据信息安全的同时,能够减少客户端所在主机的资源消耗。
在一实施场景中,服务端配置的过程可以如图4所示。对服务端根据C-S系统进行初始化,生成相关配置信息。连接客户端,与客户端建立认证关系,对客户端下发运行策略,以使客户端可以根据该运行策略进行运行。当配置完成,与客户端断开认证关系。
客户端的配置过程可以如图5所示。对客户端根据C-S系统进行初始化。与服务端建立连接,接收服务端下发的运行策略,根据自身需求执行全部或者部分运行策略。当配置完成,解除与服务端之间的认证关系。
在一实施场景中,C-S系统的架构示意图可以如图6所示。服务端分别对4个安全域内的至少一个客户端进行管理。进而,在服务端中部署有4个安全装置,各安全装置分别与安全域甲、安全域乙、安全域丙和安全域丁对应。其中,安全域甲内包括客户端A和客户端B。安全域乙包括客户端C。安全域丙包括客户端D。安全域丁内包括客户端E、客户端F、客户端G、客户端H以及客户端I等。各个安全域内的客户端数量可以根据实际需求进行设定,在此不进行限定。将安全域内的至少一个客户端作为该安全域的审核端,以结合其他安全域内的审核端共同对服务端下发的信息获取请求及进行审核。其中,服务端可以是单一服务端,也可以是服务端集群,可以根据实际需求进行配置。
通过本发明提供的信息传输的控制方法,可以保障各个独立的安全域客户端的信息安全,不同自治域采用不同安全机制,能够有效防止因同种通信安全机制被破解后对其他客户端的信息安全所产生的风险。通过多个审核端对服务器下发的信息获取请求进行审核,能够有效防止服务端被攻陷后向客户端发送危害客户端信息安全的请求,进而有助于提高C-S系统的稳定性和安全性。
基于相同发明构思,本发明还提供一种应用于服务端的信息传输的控制装置。
图7是根据一示例性实施例提出的一种信息传输的控制装置的结构框图。如图7所示,信息传输的控制装置包括第一发送单元701、第一接收单元702和传输单元703。
第一发送单元701,用于向多个审核端下发信息获取请求,信息获取请求用于获取目标客户端的目标数据信息,目标客户端与服务端具有认证关系;
第一接收单元702,用于接收多个审核端对信息获取请求进行审核的审核结果;
传输单元703,用于基于审核结果,控制目标客户端上传目标数据信息。
在一实施例中,若多个审核端对信息获取请求进行审核的结果均为通过,则审核结果为审核通过;若存在至少一个审核端对信息获取请求进行审核的结果为不通过,则审核结果为审核不通过。
在另一实施例中,传输单元703包括:第二发送单元,用于若审核结果为审核通过,则向目标客户端发送与所述信息获取请求对应的信息获取指令;第二接收单元,用于接收目标客户端响应所述信息获取请求上传的目标数据信息。
在又一实施例中,装置还包括:激活单元,用于激活目标客户端所在安全域的第一密钥;激活所述目标客户端所在安全域的第一密钥;第二接收单元,包括:第一接收子单元,用于接收所述目标客户端上传的加密数据包;解密单元,用于通过所述第一密钥对所述加密数据包进行解密,得到所述目标数据信息。
在又一实施例中,装置还包括:提取单元,用于从加密数据包中提取目标客户端所在安全域的第二密钥;更新单元,用于响应第一密钥将加密数据包解密完成,删除第一密钥,并将第二密钥作为新的第一密钥。
在又一实施例中,装置还包括:配置单元,用于与多个客户端建立认证关系;所述多个客户端包括所述目标客户端,所述多个客户端部署在至少一个安全域内,不同安全域采用不同第一密钥进行解密。
在又一实施例中,所述多个审核端分别部署在不同安全域内,审核端的数量大于或者等于3。
在又一实施例中,传输单元703包括:控制单元,用于若审核结果为审核未通过,则不向目标客户端发送与所述信息获取请求对应的信息获取指令,以使目标客户端不上传目标数据信息。
上述信息传输的控制装置的具体限定以及有益效果可以参见上文中对于信息传输的控制方法的限定,在此不再赘述。上述各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备中的处理器中,也可以以软件形式存储于电子设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图8是根据一示例性实施例提出的一种电子设备的硬件结构示意图。如图8所示,该设备包括一个或多个处理器810以及存储器820,存储器820包括持久内存、易失内存和硬盘,图8中以一个处理器810为例。该设备还可以包括:输入装置830和输出装置840。
处理器810、存储器820、输入装置830和输出装置840可以通过总线或者其他方式连接,图8中以通过总线连接为例。
处理器810可以为中央处理器(Central Processing Unit,CPU)。处理器810还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器820作为一种非暂态计算机可读存储介质,包括持久内存、易失内存和硬盘,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本申请实施例中的业务管理方法对应的程序指令/模块。处理器810通过运行存储在存储器820中的非暂态软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述任意一种信息传输的控制方法。
存储器820可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据、需要使用的数据等。此外,存储器820可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器820可选包括相对于处理器810远程设置的存储器,这些远程存储器可以通过网络连接至数据处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置830可接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键信号输入。输出装置840可包括显示屏等显示设备。
一个或者多个模块存储在存储器820中,当被一个或者多个处理器810执行时,执行如图1-图6所示的方法。
上述产品可执行本发明实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,具体可参见如图1-图6所示的实施例中的相关描述。
本发明实施例还提供了一种非暂态计算机存储介质,计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的认证方法。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccess Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (9)
1.一种信息传输的控制方法,其特征在于,应用于服务端,所述方法包括:
向多个审核端下发信息获取请求,所述信息获取请求用于请求获取目标客户端上传目标数据信息;
接收所述多个审核端对所述信息获取请求进行审核的审核结果;
基于所述审核结果,控制所述目标客户端上传所述目标数据信息,所述目标客户端与所述服务端具有认证关系;
所述基于所述审核结果,控制所述目标客户端上传所述目标数据信息,包括:若所述审核结果为审核通过,则激活所述目标客户端所在安全域的第一密钥,向所述目标客户端发送与所述信息获取请求对应的信息获取指令;接收所述目标客户端上传的加密数据包;通过所述第一密钥对所述加密数据包进行解密,得到所述目标数据信息。
2.根据权利要求1所述的方法,其特征在于,
若所述多个审核端对所述信息获取请求进行审核的结果均为通过,则所述审核结果为审核通过;
若存在至少一个审核端对所述信息获取请求进行审核的结果为不通过,则所述审核结果为审核不通过。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述加密数据包中提取所述目标客户端所在安全域的第二密钥;
响应所述第一密钥将所述加密数据包解密完成,删除所述第一密钥,并将所述第二密钥作为新的第一密钥。
4.根据权利要求1所述的方法,其特征在于,在向多个审核端下发信息获取请求之前,所述方法还包括:
与多个客户端建立认证关系;
所述多个客户端包括所述目标客户端,所述多个客户端部署在至少一个安全域内,不同安全域采用不同第一密钥进行解密。
5.根据权利要求4所述的方法,其特征在于,所述多个审核端分别部署在不同安全域内,所述审核端的数量大于或者等于3。
6.根据权利要求2所述的方法,其特征在于,所述基于所述审核结果,控制所述目标客户端上传所述目标数据信息,包括:
若所述审核结果为审核未通过,则不向所述目标客户端发送与所述信息获取请求对应的信息获取指令,以使所述目标客户端不上传所述目标数据信息。
7.一种信息传输的控制装置,其特征在于,应用于服务端,所述装置包括:
第一发送单元,用于向多个审核端下发信息获取请求,所述信息获取请求用于获取目标客户端的目标数据信息,所述目标客户端与所述服务端具有认证关系;
第一接收单元,用于接收所述多个审核端对所述信息获取请求进行审核的审核结果;
传输单元,用于基于所述审核结果,控制所述目标客户端上传所述目标数据信息;
激活单元,用于激活目标客户端所在安全域的第一密钥;
所述传输单元包括:第二发送单元,用于若审核结果为审核通过,则向所述目标客户端发送与所述信息获取请求对应的信息获取指令;
第二接收单元,包括:第一接收子单元,用于接收所述目标客户端上传的加密数据包;解密单元,用于通过所述第一密钥对所述加密数据包进行解密,得到所述目标数据信息。
8.一种电子设备,其特征在于,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-6中任一项所述的信息传输的控制方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-6中任一项所述的信息传输的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310093293.1A CN115865522B (zh) | 2023-02-10 | 2023-02-10 | 信息传输的控制方法及装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310093293.1A CN115865522B (zh) | 2023-02-10 | 2023-02-10 | 信息传输的控制方法及装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115865522A CN115865522A (zh) | 2023-03-28 |
| CN115865522B true CN115865522B (zh) | 2023-06-02 |
Family
ID=85657874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310093293.1A Active CN115865522B (zh) | 2023-02-10 | 2023-02-10 | 信息传输的控制方法及装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115865522B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109784073A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 数据访问方法及装置、存储介质、计算机设备 |
| CN110990827A (zh) * | 2019-10-28 | 2020-04-10 | 上海隔镜信息科技有限公司 | 一种身份信息验证方法、服务器及存储介质 |
| CN112153050A (zh) * | 2020-09-24 | 2020-12-29 | 周丽君 | 一种主动式防入侵的大数据网络安全设备和防入侵方法 |
| CN114357404A (zh) * | 2021-12-23 | 2022-04-15 | 山东伏羲智库互联网研究院 | 数据交换方法、装置、电子设备、及介质 |
| CN114679320A (zh) * | 2022-03-29 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种服务器防护方法、装置及可读存储介质 |
| CN114780327A (zh) * | 2021-12-06 | 2022-07-22 | 支付宝(杭州)信息技术有限公司 | 一种服务器监控方法、资产管理方法和pcie卡 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2349244A (en) * | 1999-04-22 | 2000-10-25 | Visage Developments Limited | Providing network access to restricted resources |
| US11233790B2 (en) * | 2019-02-22 | 2022-01-25 | Crowd Strike, Inc. | Network-based NT LAN manager (NTLM) relay attack detection and prevention |
-
2023
- 2023-02-10 CN CN202310093293.1A patent/CN115865522B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109784073A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 数据访问方法及装置、存储介质、计算机设备 |
| CN110990827A (zh) * | 2019-10-28 | 2020-04-10 | 上海隔镜信息科技有限公司 | 一种身份信息验证方法、服务器及存储介质 |
| CN112153050A (zh) * | 2020-09-24 | 2020-12-29 | 周丽君 | 一种主动式防入侵的大数据网络安全设备和防入侵方法 |
| CN114780327A (zh) * | 2021-12-06 | 2022-07-22 | 支付宝(杭州)信息技术有限公司 | 一种服务器监控方法、资产管理方法和pcie卡 |
| CN114357404A (zh) * | 2021-12-23 | 2022-04-15 | 山东伏羲智库互联网研究院 | 数据交换方法、装置、电子设备、及介质 |
| CN114679320A (zh) * | 2022-03-29 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种服务器防护方法、装置及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115865522A (zh) | 2023-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10367834B2 (en) | Systems and methods for implementing intrusion prevention | |
| US10097520B2 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
| CN107211016B (zh) | 会话安全划分和应用程序剖析器 | |
| US20170324728A1 (en) | Resource access control for virtual machines | |
| US9843590B1 (en) | Method and apparatus for causing a delay in processing requests for internet resources received from client devices | |
| US9928359B1 (en) | System and methods for providing security to an endpoint device | |
| US20150113259A1 (en) | Computer with Flexible Operating System | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| CN115001870B (zh) | 信息安全防护系统、方法及存储介质 | |
| US10958670B2 (en) | Processing system for providing console access to a cyber range virtual environment | |
| US10587485B2 (en) | Federated mobile device management | |
| CN112559994B (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN114124556B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| US9680950B1 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
| US10924481B2 (en) | Processing system for providing console access to a cyber range virtual environment | |
| JP6289656B2 (ja) | セキュアなコンピュータシステム間の通信のための方法及びコンピュータネットワーク・インフラストラクチャ | |
| US11310265B2 (en) | Detecting MAC/IP spoofing attacks on networks | |
| US8904487B2 (en) | Preventing information theft | |
| CN115865522B (zh) | 信息传输的控制方法及装置、电子设备及存储介质 | |
| US10785242B1 (en) | Intrusion detection in airborne platform | |
| WO2015175841A1 (en) | Three-tiered security and computational architecture | |
| US10375056B2 (en) | Providing a secure communication channel during active directory disaster recovery | |
| EP2479696A1 (en) | Data security | |
| KR102150484B1 (ko) | 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 | |
| KR102472556B1 (ko) | 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |