CN117439823B - 云端数据智能化权限认证安全防护方法及系统 - Google Patents
云端数据智能化权限认证安全防护方法及系统 Download PDFInfo
- Publication number
- CN117439823B CN117439823B CN202311758152.3A CN202311758152A CN117439823B CN 117439823 B CN117439823 B CN 117439823B CN 202311758152 A CN202311758152 A CN 202311758152A CN 117439823 B CN117439823 B CN 117439823B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- data
- access
- intrusion prevention
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000002265 prevention Effects 0.000 claims abstract description 88
- 230000007246 mechanism Effects 0.000 claims abstract description 84
- 238000012795 verification Methods 0.000 claims abstract description 49
- 230000008569 process Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 13
- 230000010076 replication Effects 0.000 claims description 9
- 238000011084 recovery Methods 0.000 claims description 6
- 230000007123 defense Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 claims description 4
- 241000700605 Viruses Species 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 3
- 230000000295 complement effect Effects 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 239000012634 fragment Substances 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 230000003362 replicative effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 239000013589 supplement Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了云端数据智能化权限认证安全防护方法及系统,涉及安全防护技术领域,包括:云端对用户使用预认证接口进行预认证,通过预认证的用户进入预访问空间;通过身份验证的用户进入终端访问空间,根据访问控制管理分配的权限,获取密钥,解密机密数据,完成访问;使用入侵防范机制进行防护;在预认证接口和预访问空间进行防御漏洞检索,当预认证接口和预访问空间出现安全漏洞时,判断预访问空间的非机密数据是否出现损坏;对预认证接口和预访问空间出现的安全漏洞进行分析,对入侵防范机制进行更新。通过设置预认证模块、入侵防范模块和漏洞修复模块,从而使得入侵防范机制能对新产生的攻击进行防护。
Description
技术领域
本发明涉及安全防护技术领域,具体是涉及云端数据智能化权限认证安全防护方法及系统。
背景技术
随着云计算技术的快速发展,云数据安全问题日益突出。越来越多的用户开始注意到云数据的价值,在依赖互联网传播的社会中,云数据的价值是不可估量的,只有做好云安全数据防护工作,才能让我们的信息在互联网上不受到威胁。同时,云数据安全防护策略也是保护企业核心数据资产安全的重要措施。
现有的云端数据使用基于权限认证的安全防护方法保护数据,但网络上的攻击云端的手段在实时更新中,依据已有的攻击作出的安全防护策略无法抵挡新出现的安全攻击手段,因此,容易因为防护被突破,导致云端数据遭到复制窃取。
发明内容
为解决上述技术问题,提供云端数据智能化权限认证安全防护方法及系统,本技术方案解决了上述背景技术中提出的现有的云端数据使用基于权限认证的安全防护方法保护数据,但网络上的攻击云端的手段在实时更新中,依据已有的攻击作出的安全防护策略无法抵挡新出现的安全攻击手段,因此,容易因为防护被突破,导致云端数据遭到复制窃取的问题。
为达到以上目的,本发明采用的技术方案为:
云端数据智能化权限认证安全防护方法,包括:
对云端数据进行分布式备份,备份数据存储在备份端口;
将云端数据分为两部分,分别为机密数据和非机密数据,非机密数据设置在预访问空间,机密数据设置在终端访问空间,机密数据被加密;
云端对用户使用预认证接口进行预认证,通过预认证的用户进入预访问空间,用户在预访问空间中访问非机密数据;
对通过预认证的用户进行身份验证,对通过身份验证的用户进行访问控制管理;
通过身份验证的用户进入终端访问空间,根据访问控制管理分配的权限,获取密钥,解密机密数据,完成访问;
用户在终端访问空间和预访问空间访问过程,均使用入侵防范机制进行防护;
在预认证接口和预访问空间进行防御漏洞检索,当预认证接口和预访问空间出现安全漏洞时,判断预访问空间的非机密数据是否出现损坏,若是,则启用备份数据,在预访问空间中恢复非机密数据,若否,则不作任何处理;
对预认证接口和预访问空间出现的安全漏洞进行分析,根据分析结果,对入侵防范机制进行更新。
优选的,所述对云端数据进行分布式备份包括以下步骤:
将云端数据进行划分和分片,将数据均匀存储在多个分布式数据库节点上;
在分布式数据库中设置数据复制和冗余备份策略,采用主从复制或多主复制方式,复制数据至多个分布式数据库节点;
采用分布式事务处理技术,在分布式数据库中实现数据一致性和同步;
采用数据分片路由方法,在分布式数据库中实施负载均衡和性能优化策略;
在分布式数据库中,设置包括故障检测和自动切换的容灾和故障恢复机制。
优选的,所述对通过预认证的用户进行身份验证包括以下步骤:
用户使用动态令牌,获得关于时间和日期的动态密码,动态密码在预设时间内有效,超出预设时间,动态密码失效;
用户在云端输入动态密码,若动态密码核验正确,则云端分配身份私钥至用户;
用户使用身份私钥解密自身的身份验证书,上载身份验证书至云端,云端识别身份验证书;
若身份验证书核验无误,则用户身份验证成功,若否,则身份验证失败;
身份验证完毕,身份验证书重新加密,返回加密的身份验证书给用户。
优选的,所述对通过身份验证的用户进行访问控制管理包括以下步骤:
对不同机密程度的机密数据进行分级别设置,为每个级别的机密数据设置验证问题;
通过身份验证的用户进行验证问题答复,若答复结果正确,则获得验证问题对应级别的机密数据的访问权限,若否,则不作任何处理。
优选的,所述云端对用户使用预认证接口进行预认证包括以下步骤:
获取用户的生物体征,将用户与自身的生物体征一一对应,存储用户与生物体征及其对应关系在云端;
预认证时,接收用户的验证生物体征,在云端调取与用户对应的生物体征;
将生物体征与验证生物体征进行比对,若生物体征与验证生物体征比对一致,则用户通过预认证,若否,则用户未通过预认证。
优选的,所述使用入侵防范机制进行防护包括以下步骤:
获取传统入侵攻击的手段,传统入侵攻击的手段为恶意代码、间谍软件、网络蠕虫和已知病毒的其中一种或多种;
提取传统入侵攻击的手段的至少一个恶意特征;
针对传统入侵攻击的手段,形成至少一个防御对策,汇总防御对策,得到入侵防范机制,存储防御对策;
当入侵防范机制运行时,入侵防范机制接收来自云端外部的数据包;
入侵防范机制对接收到的数据包进行分析,提取其中的特征,所述特征包括源地址、目的地址、协议类型和端口号;
判断数据包中是否包含有恶意特征,若否,则不作任何处理;
若是,在防御对策中检索与入侵攻击匹配的防御对策;
使用匹配的防御对策对攻击进行防御。
优选的,所述在预认证接口和预访问空间进行防御漏洞检索包括以下步骤:
获取访问预认证接口或预访问空间的访问代码;
判断访问代码是否损坏预访问空间中的非机密数据,若是,则判断访问代码为防御漏洞,若否,则判断访问代码是否能突破入侵防范机制进入预认证接口或预访问空间;
若是,则访问代码为防御漏洞,若否,则访问代码为常规代码。
优选的,所述对预认证接口和预访问空间出现的安全漏洞进行分析包括以下步骤:
获取防御漏洞,对防御漏洞攻击入侵防范机制的过程进行重新模拟;
记录防御漏洞攻击入侵防范机制的过程,截取防御漏洞中突破入侵防范机制的突破代码;
在所述突破代码中提取突破特征。
优选的,所述根据分析结果,对入侵防范机制进行更新包括以下步骤:
将所述突破特征在入侵防范机制的恶意特征中进行补充更新;
获取突破特征攻击入侵防范机制的过程,分析突破特征攻击入侵防范机制的第一路径,将第一路径作为防御路径;
分析第一路径中每个节点,根据突破特征用于攻击的代码,生成用于阻断的插入代码;
将插入代码及阻断的位置汇总作为第一防御对策,并在入侵防范机制中的防御对策进行补充更新;
将突破特征在入侵防范机制中对应的恶意特征与第一防御对策一一对应。
云端数据智能化权限认证安全防护系统,用于实现上述的云端数据智能化权限认证安全防护方法,包括:
分布式备份模块,所述分布式备份模块对云端数据进行分布式备份;
数据分类模块,所述数据分类模块将云端数据分为两部分,分别为机密数据和非机密数据;
预认证模块,所述预认证模块控制云端对用户使用预认证接口进行预认证;
身份验证模块,所述身份验证模块对通过预认证的用户进行身份验证,对通过身份验证的用户进行访问控制管理;
终端访问模块,所述终端访问模块根据访问控制管理分配的权限,获取密钥,解密机密数据,辅助通过身份验证的用户完成访问;
入侵防范模块,所述入侵防范模块使用入侵防范机制进行防护,防护用户在终端访问空间和预访问空间的访问过程;
漏洞修复模块,所述漏洞修复模块在预认证接口和预访问空间进行防御漏洞检索,在预访问空间中恢复非机密数据,对预认证接口和预访问空间出现的安全漏洞进行分析,根据分析结果,对入侵防范机制进行更新。
与现有技术相比,本发明的有益效果在于:
通过设置数据分类模块、预认证模块、入侵防范模块和漏洞修复模块,能将云端数据分为两部分,分别为机密数据和非机密数据,在预访问空间进行首次访问,并对首次访问进行检测,当与传统攻击不同的外部攻击能突破入侵防范机制,进入预访问空间时,则能监测到与传统攻击不同的外部攻击,在入侵防范机制中进行更新,从而使得入侵防范机制能对新产生的攻击进行防护,并且,由于预访问空间中存储的是非机密数据,因此,无论数据遭到破坏会复制窃取,都不会产生过大的损失。
附图说明
图1为本发明的云端数据智能化权限认证安全防护方法流程示意图;
图2为本发明的对通过预认证的用户进行身份验证流程示意图;
图3为本发明的对通过身份验证的用户进行访问控制管理流程示意图;
图4为本发明的云端对用户使用预认证接口进行预认证流程示意图;
图5为本发明的使用入侵防范机制进行防护流程示意图;
图6为本发明的在预认证接口和预访问空间进行防御漏洞检索流程示意图;
图7为本发明的对预认证接口和预访问空间出现的安全漏洞进行分析流程示意图;
图8为本发明的根据分析结果,对入侵防范机制进行更新流程示意图。
具体实施方式
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
参照图1所示,云端数据智能化权限认证安全防护方法,包括:
对云端数据进行分布式备份,备份数据存储在备份端口;
将云端数据分为两部分,分别为机密数据和非机密数据,非机密数据设置在预访问空间,机密数据设置在终端访问空间,机密数据被加密;
云端对用户使用预认证接口进行预认证,通过预认证的用户进入预访问空间,用户在预访问空间中访问非机密数据;
对通过预认证的用户进行身份验证,对通过身份验证的用户进行访问控制管理;
通过身份验证的用户进入终端访问空间,根据访问控制管理分配的权限,获取密钥,解密机密数据,完成访问;
用户在终端访问空间和预访问空间访问过程,均使用入侵防范机制进行防护;
在预认证接口和预访问空间进行防御漏洞检索,当预认证接口和预访问空间出现安全漏洞时,判断预访问空间的非机密数据是否出现损坏,若是,则启用备份数据,在预访问空间中恢复非机密数据,若否,则不作任何处理;
对预认证接口和预访问空间出现的安全漏洞进行分析,根据分析结果,对入侵防范机制进行更新。
对云端数据进行分布式备份包括以下步骤:
将云端数据进行划分和分片,将数据均匀存储在多个分布式数据库节点上;
在分布式数据库中设置数据复制和冗余备份策略,采用主从复制或多主复制方式,复制数据至多个分布式数据库节点;
采用分布式事务处理技术,在分布式数据库中实现数据一致性和同步;
采用数据分片路由方法,在分布式数据库中实施负载均衡和性能优化策略;
在分布式数据库中,设置包括故障检测和自动切换的容灾和故障恢复机制;
使用分布式备份,可以将云端数据进行多点备份,多次备份,当其中一点出现故障时,可以从其余的备份点位调取数据进行补充,因此,能增强整个数据备份机制的稳定性和容错性,避免因为存储节点的故障导致云端数据遗失后,不可恢复。
参照图2所示,对通过预认证的用户进行身份验证包括以下步骤:
用户使用动态令牌,获得关于时间和日期的动态密码,动态密码在预设时间内有效,超出预设时间,动态密码失效;
用户在云端输入动态密码,若动态密码核验正确,则云端分配身份私钥至用户;
用户使用身份私钥解密自身的身份验证书,上载身份验证书至云端,云端识别身份验证书;
若身份验证书核验无误,则用户身份验证成功,若否,则身份验证失败;
身份验证完毕,身份验证书重新加密,返回加密的身份验证书给用户;
使用加密的方法将用户用于验证的身份验证书加密,当用户使用动态令牌获取动态密码后,才能从云端获得私钥,对身份验证书进行解密,进而使用身份验证书完成身份验证,而即使身份验证书被盗取,也无法使用身份验证书通过身份验证,因为身份验证书在平时总是处于加密状态。
参照图3所示,对通过身份验证的用户进行访问控制管理包括以下步骤:
对不同机密程度的机密数据进行分级别设置,为每个级别的机密数据设置验证问题;
通过身份验证的用户进行验证问题答复,若答复结果正确,则获得验证问题对应级别的机密数据的访问权限,若否,则不作任何处理;
具体的,将机密数据进行级别分类,一级机密数据为最高级机密度,二级机密数据为次级机密度,三级机密数据为再次级机密度,以此类推,有四级机密数据和五级机密数据,并且为五个级别的机密数据设置验证问题,分别为一级验证问题、二级验证问题、三级验证问题、四级验证问题和五级验证问题;
答出一级验证问题,则访问一级机密数据及更低级的机密数据;
答出二级验证问题,则访问二级机密数据及更低级的机密数据;
答出三级验证问题,则访问三级机密数据及更低级的机密数据;
答出四级验证问题,则访问四级机密数据及更低级的机密数据;
答出五级验证问题,则访问五级机密数据;
参照图4所示,云端对用户使用预认证接口进行预认证包括以下步骤:
获取用户的生物体征,将用户与自身的生物体征一一对应,存储用户与生物体征及其对应关系在云端;
预认证时,接收用户的验证生物体征,在云端调取与用户对应的生物体征;
将生物体征与验证生物体征进行比对,若生物体征与验证生物体征比对一致,则用户通过预认证,若否,则用户未通过预认证;
使用生物体征进行预认证,由于生物体征具有唯一性,且伪造起来相对较为困难,因此,能起到较好的防范作用。
参照图5所示,使用入侵防范机制进行防护包括以下步骤:
获取传统入侵攻击的手段,传统入侵攻击的手段为恶意代码、间谍软件、网络蠕虫和已知病毒的其中一种或多种;
提取传统入侵攻击的手段的至少一个恶意特征;
针对传统入侵攻击的手段,形成至少一个防御对策,汇总防御对策,得到入侵防范机制,存储防御对策;
当入侵防范机制运行时,入侵防范机制接收来自云端外部的数据包;
入侵防范机制对接收到的数据包进行分析,提取其中的特征,所述特征包括源地址、目的地址、协议类型和端口号;
判断数据包中是否包含有恶意特征,若否,则不作任何处理;
若是,在防御对策中检索与入侵攻击匹配的防御对策;
使用匹配的防御对策对攻击进行防御;
使用入侵防范机制进行防护的目的是对预认证和身份验证进行保护,防止云端外部的恶意代码通过预认证和身份验证运作时的漏洞,越过预认证和身份验证运作,直接进入预访问空间,并随后进入到终端访问空间中,获取其中存储的云端数据,导致云端数据外泄,同时,还可能对云端数据进行破坏,导致数据遗失,造成损失。
参照图6所示,在预认证接口和预访问空间进行防御漏洞检索包括以下步骤:
获取访问预认证接口或预访问空间的访问代码;
判断访问代码是否损坏预访问空间中的非机密数据,若是,则判断访问代码为防御漏洞,若否,则判断访问代码是否能突破入侵防范机制进入预认证接口或预访问空间;
若是,则访问代码为防御漏洞,若否,则访问代码为常规代码;
在预认证接口和预访问空间进行防御漏洞检索即是要找到可以突破入侵防范机制的代码,这些代码必然是不在入侵防范机制防御范围的已知的攻击手段,因此,将预认证接口和预访问空间作为第一道防线,一旦代码可以突破入侵防范机制,则在其破坏预访问空间中内容时,就作出防范措施,避免其进入终端访问空间,窃取数据。
参照图7所示,对预认证接口和预访问空间出现的安全漏洞进行分析包括以下步骤:
获取防御漏洞,对防御漏洞攻击入侵防范机制的过程进行重新模拟;
记录防御漏洞攻击入侵防范机制的过程,截取防御漏洞中突破入侵防范机制的突破代码;
在所述突破代码中提取突破特征;
对预认证接口和预访问空间出现的安全漏洞进行分析,可以将突破代码的特征提取,因此,可以将其在入侵防范机制的恶意特征中更新。
参照图8所示,根据分析结果,对入侵防范机制进行更新包括以下步骤:
将所述突破特征在入侵防范机制的恶意特征中进行补充更新;
获取突破特征攻击入侵防范机制的过程,分析突破特征攻击入侵防范机制的第一路径,将第一路径作为防御路径;
分析第一路径中每个节点,根据突破特征用于攻击的代码,生成用于阻断的插入代码;
将插入代码及阻断的位置汇总作为第一防御对策,并在入侵防范机制中的防御对策进行补充更新;
将突破特征在入侵防范机制中对应的恶意特征与第一防御对策一一对应;
对入侵防范机制进行更新可以将在入侵防范机制防护范围外的攻击手段在入侵防范机制中补充,并且,分析攻击手段的攻击过程,针对性制定防御对策,并在入侵防范机制中补充更新,因此,当攻击来到终端访问空间时,更新后的入侵防范机制能对该攻击进行防御。
云端数据智能化权限认证安全防护系统,用于实现上述的云端数据智能化权限认证安全防护方法,包括:
分布式备份模块,所述分布式备份模块对云端数据进行分布式备份;
数据分类模块,所述数据分类模块将云端数据分为两部分,分别为机密数据和非机密数据;
预认证模块,所述预认证模块控制云端对用户使用预认证接口进行预认证;
身份验证模块,所述身份验证模块对通过预认证的用户进行身份验证,对通过身份验证的用户进行访问控制管理;
终端访问模块,所述终端访问模块根据访问控制管理分配的权限,获取密钥,解密机密数据,辅助通过身份验证的用户完成访问;
入侵防范模块,所述入侵防范模块使用入侵防范机制进行防护,防护用户在终端访问空间和预访问空间的访问过程;
漏洞修复模块,所述漏洞修复模块在预认证接口和预访问空间进行防御漏洞检索,在预访问空间中恢复非机密数据,对预认证接口和预访问空间出现的安全漏洞进行分析,根据分析结果,对入侵防范机制进行更新。
上述云端数据智能化权限认证安全防护系统的工作过程如下:
步骤一:分布式备份模块对云端数据进行分布式备份,备份数据存储在备份端口;
步骤二:数据分类模块将云端数据分为两部分,分别为机密数据和非机密数据,非机密数据设置在预访问空间,机密数据设置在终端访问空间,机密数据被加密;
步骤三:预认证模块控制云端对用户使用预认证接口进行预认证,通过预认证的用户进入预访问空间,用户在预访问空间中访问非机密数据;
步骤四:身份验证模块对通过预认证的用户进行身份验证,对通过身份验证的用户进行访问控制管理;
步骤五:终端访问模块控制通过身份验证的用户进入终端访问空间,根据访问控制管理分配的权限,获取密钥,解密机密数据,完成访问;
步骤六:用户在终端访问空间和预访问空间访问过程,入侵防范模块使用入侵防范机制进行防护;
步骤七:漏洞修复模块在预认证接口和预访问空间进行防御漏洞检索,当预认证接口和预访问空间出现安全漏洞时,判断预访问空间的非机密数据是否出现损坏,若是,则启用备份数据,在预访问空间中恢复非机密数据,若否,则不作任何处理;
步骤八:漏洞修复模块对预认证接口和预访问空间出现的安全漏洞进行分析,根据分析结果,对入侵防范机制进行更新。
再进一步的,本方案还提出一种存储介质,其上存储有计算机可读程序,计算机可读程序被调用时执行上述的云端数据智能化权限认证安全防护方法。
可以理解的是,存储介质可以是磁性介质,例如,软盘、硬盘、磁带;光介质例如,DVD;或者半导体介质例如固态硬盘SolidStateDisk,SSD等。
综上所述,本发明的优点在于:通过设置数据分类模块、预认证模块、入侵防范模块和漏洞修复模块,能将云端数据分为两部分,分别为机密数据和非机密数据,在预访问空间进行首次访问,并对首次访问进行检测,当与传统攻击不同的外部攻击能突破入侵防范机制,进入预访问空间时,则能监测到与传统攻击不同的外部攻击,在入侵防范机制中进行更新,从而使得入侵防范机制能对新产生的攻击进行防护,并且,由于预访问空间中存储的是非机密数据,因此,无论数据遭到破坏会复制窃取,都不会产生过大的损失。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。本发明要求的保护范围由所附的权利要求书及其等同物界定。
Claims (10)
1.云端数据智能化权限认证安全防护方法,其特征在于,包括:
对云端数据进行分布式备份,备份数据存储在备份端口;
将云端数据分为两部分,分别为机密数据和非机密数据,非机密数据设置在预访问空间,机密数据设置在终端访问空间,机密数据被加密;
云端对用户使用预认证接口进行预认证,通过预认证的用户进入预访问空间,用户在预访问空间中访问非机密数据;
对通过预认证的用户进行身份验证,对通过身份验证的用户进行访问控制管理;
通过身份验证的用户进入终端访问空间,根据访问控制管理分配的权限,获取密钥,解密机密数据,完成访问;
用户在终端访问空间和预访问空间访问过程,均使用入侵防范机制进行防护;
在预认证接口和预访问空间进行防御漏洞检索,当预认证接口和预访问空间出现安全漏洞时,判断预访问空间的非机密数据是否出现损坏,若是,则启用备份数据,在预访问空间中恢复非机密数据,若否,则不作任何处理;
对预认证接口和预访问空间出现的安全漏洞进行分析,根据分析结果,对入侵防范机制进行更新。
2.根据权利要求1所述的云端数据智能化权限认证安全防护方法,其特征在于,所述对云端数据进行分布式备份包括以下步骤:
将云端数据进行划分和分片,将数据均匀存储在多个分布式数据库节点上;
在分布式数据库中设置数据复制和冗余备份策略,采用主从复制或多主复制方式,复制数据至多个分布式数据库节点;
采用分布式事务处理技术,在分布式数据库中实现数据一致性和同步;
采用数据分片路由方法,在分布式数据库中实施负载均衡和性能优化策略;
在分布式数据库中,设置包括故障检测和自动切换的容灾和故障恢复机制。
3.根据权利要求2所述的云端数据智能化权限认证安全防护方法,其特征在于,所述对通过预认证的用户进行身份验证包括以下步骤:
用户使用动态令牌,获得关于时间和日期的动态密码,动态密码在预设时间内有效,超出预设时间,动态密码失效;
用户在云端输入动态密码,若动态密码核验正确,则云端分配身份私钥至用户;
用户使用身份私钥解密自身的身份验证书,上载身份验证书至云端,云端识别身份验证书;
若身份验证书核验无误,则用户身份验证成功,若否,则身份验证失败;
身份验证完毕,身份验证书重新加密,返回加密的身份验证书给用户。
4.根据权利要求3所述的云端数据智能化权限认证安全防护方法,其特征在于,所述对通过身份验证的用户进行访问控制管理包括以下步骤:
对不同机密程度的机密数据进行分级别设置,为每个级别的机密数据设置验证问题;
通过身份验证的用户进行验证问题答复,若答复结果正确,则获得验证问题对应级别的机密数据的访问权限,若否,则不作任何处理。
5.根据权利要求4所述的云端数据智能化权限认证安全防护方法,其特征在于,所述云端对用户使用预认证接口进行预认证包括以下步骤:
获取用户的生物体征,将用户与自身的生物体征一一对应,存储用户与生物体征及其对应关系在云端;
预认证时,接收用户的验证生物体征,在云端调取与用户对应的生物体征;
将生物体征与验证生物体征进行比对,若生物体征与验证生物体征比对一致,则用户通过预认证,若否,则用户未通过预认证。
6.根据权利要求5所述的云端数据智能化权限认证安全防护方法,其特征在于,所述使用入侵防范机制进行防护包括以下步骤:
获取传统入侵攻击的手段,传统入侵攻击的手段为恶意代码、间谍软件、网络蠕虫和已知病毒的其中一种或多种;
提取传统入侵攻击的手段的至少一个恶意特征;
针对传统入侵攻击的手段,形成至少一个防御对策,汇总防御对策,得到入侵防范机制,存储防御对策;
当入侵防范机制运行时,入侵防范机制接收来自云端外部的数据包;
入侵防范机制对接收到的数据包进行分析,提取其中的特征,所述特征包括源地址、目的地址、协议类型和端口号;
判断数据包中是否包含有恶意特征,若否,则不作任何处理;
若是,在防御对策中检索与入侵攻击匹配的防御对策;
使用匹配的防御对策对攻击进行防御。
7.根据权利要求6所述的云端数据智能化权限认证安全防护方法,其特征在于,所述在预认证接口和预访问空间进行防御漏洞检索包括以下步骤:
获取访问预认证接口或预访问空间的访问代码;
判断访问代码是否损坏预访问空间中的非机密数据,若是,则判断访问代码为防御漏洞,若否,则判断访问代码是否能突破入侵防范机制进入预认证接口或预访问空间;
若是,则访问代码为防御漏洞,若否,则访问代码为常规代码。
8.根据权利要求7所述的云端数据智能化权限认证安全防护方法,其特征在于,所述对预认证接口和预访问空间出现的安全漏洞进行分析包括以下步骤:
获取防御漏洞,对防御漏洞攻击入侵防范机制的过程进行重新模拟;
记录防御漏洞攻击入侵防范机制的过程,截取防御漏洞中突破入侵防范机制的突破代码;
在所述突破代码中提取突破特征。
9.根据权利要求8所述的云端数据智能化权限认证安全防护方法,其特征在于,所述根据分析结果,对入侵防范机制进行更新包括以下步骤:
将所述突破特征在入侵防范机制的恶意特征中进行补充更新;
获取突破特征攻击入侵防范机制的过程,分析突破特征攻击入侵防范机制的第一路径,将第一路径作为防御路径;
分析第一路径中每个节点,根据突破特征用于攻击的代码,生成用于阻断的插入代码;
将插入代码及阻断的位置汇总作为第一防御对策,并在入侵防范机制中的防御对策进行补充更新;
将突破特征在入侵防范机制中对应的恶意特征与第一防御对策一一对应。
10.云端数据智能化权限认证安全防护系统,用于实现如权利要求1-9任一项所述的云端数据智能化权限认证安全防护方法,其特征在于,包括:
分布式备份模块,所述分布式备份模块对云端数据进行分布式备份;
数据分类模块,所述数据分类模块将云端数据分为两部分,分别为机密数据和非机密数据;
预认证模块,所述预认证模块控制云端对用户使用预认证接口进行预认证;
身份验证模块,所述身份验证模块对通过预认证的用户进行身份验证,对通过身份验证的用户进行访问控制管理;
终端访问模块,所述终端访问模块根据访问控制管理分配的权限,获取密钥,解密机密数据,辅助通过身份验证的用户完成访问;
入侵防范模块,所述入侵防范模块使用入侵防范机制进行防护,防护用户在终端访问空间和预访问空间的访问过程;
漏洞修复模块,所述漏洞修复模块在预认证接口和预访问空间进行防御漏洞检索,在预访问空间中恢复非机密数据,对预认证接口和预访问空间出现的安全漏洞进行分析,根据分析结果,对入侵防范机制进行更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311758152.3A CN117439823B (zh) | 2023-12-20 | 2023-12-20 | 云端数据智能化权限认证安全防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311758152.3A CN117439823B (zh) | 2023-12-20 | 2023-12-20 | 云端数据智能化权限认证安全防护方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117439823A CN117439823A (zh) | 2024-01-23 |
CN117439823B true CN117439823B (zh) | 2024-03-12 |
Family
ID=89558620
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311758152.3A Active CN117439823B (zh) | 2023-12-20 | 2023-12-20 | 云端数据智能化权限认证安全防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117439823B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118018326B (zh) * | 2024-04-08 | 2024-06-07 | 深圳众投互联信息技术有限公司 | 基于分布式存储的数据安全加密方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103763355A (zh) * | 2014-01-07 | 2014-04-30 | 天地融科技股份有限公司 | 一种云数据的上传、访问控制方法 |
CN107483491A (zh) * | 2017-09-19 | 2017-12-15 | 山东大学 | 一种云环境下分布式存储的访问控制方法 |
CN114584343A (zh) * | 2022-01-24 | 2022-06-03 | 厦门理工学院 | 一种云计算中心的数据保护方法、系统和可读存储介质 |
CN115604028A (zh) * | 2022-11-28 | 2023-01-13 | 北京鸿迪鑫业科技有限公司(Cn) | 一种云服务器数据安全保护系统 |
CN116136911A (zh) * | 2021-11-16 | 2023-05-19 | 中国移动通信集团贵州有限公司 | 一种数据访问方法及装置 |
-
2023
- 2023-12-20 CN CN202311758152.3A patent/CN117439823B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103763355A (zh) * | 2014-01-07 | 2014-04-30 | 天地融科技股份有限公司 | 一种云数据的上传、访问控制方法 |
CN107483491A (zh) * | 2017-09-19 | 2017-12-15 | 山东大学 | 一种云环境下分布式存储的访问控制方法 |
CN116136911A (zh) * | 2021-11-16 | 2023-05-19 | 中国移动通信集团贵州有限公司 | 一种数据访问方法及装置 |
CN114584343A (zh) * | 2022-01-24 | 2022-06-03 | 厦门理工学院 | 一种云计算中心的数据保护方法、系统和可读存储介质 |
CN115604028A (zh) * | 2022-11-28 | 2023-01-13 | 北京鸿迪鑫业科技有限公司(Cn) | 一种云服务器数据安全保护系统 |
Non-Patent Citations (1)
Title |
---|
云计算存储数据安全访问控制机制研究;张雪亚;;计算机测量与控制;20180525(05);第248-250页 * |
Also Published As
Publication number | Publication date |
---|---|
CN117439823A (zh) | 2024-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Schneier | Cryptographic design vulnerabilities | |
Almeshekah et al. | Ersatzpasswords: Ending password cracking and detecting password leakage | |
CN117439823B (zh) | 云端数据智能化权限认证安全防护方法及系统 | |
Moe et al. | Improved hashing and honey-based stronger password prevention against brute force attack | |
CN110837634B (zh) | 基于硬件加密机的电子签章方法 | |
US20090019289A1 (en) | Negative authentication system for a networked computer system | |
US11256824B2 (en) | Securing database backups with unique global identifier | |
AlMuhanna et al. | Enhanced system for securing password manager using honey encryption | |
Kuchin et al. | Vulnerability analysis of corporate blockchain systems to network attacks | |
Kim et al. | Secure IoT Device Authentication Scheme using Key Hiding Technology | |
Thakur et al. | Malicious User Detection using Honeywords | |
Zhang | Analysis of Information Security Processing Technology Based on Computer Big Data | |
Rajkumar et al. | A Survey on Alerting Using Honeyword System | |
Monteiro et al. | An authentication and validation mechanism for analyzing syslogs forensically | |
CN112307519B (zh) | 一种基于选择性泄露的分级可验证查询系统 | |
KR102591450B1 (ko) | 윈도우 운영체제 중요 정보 탈취 방지를 위한 레지스트리 파서 및 암/복호화 모듈 및 그 운용방법 | |
Schneier | Security pitfalls in cryptographic design | |
CN116305071B (zh) | 一种基于人工智能的账号密码安全系统 | |
RU2785484C1 (ru) | Способ криптографического рекурсивного контроля целостности реляционной базы данных | |
Pasupuleti et al. | Secure Database Authentication from Vulnerability Detection using Encryption Mode of Standardization | |
Almeshekah et al. | Ersatzpasswords–ending password cracking | |
Aljoaey et al. | ISeCure | |
CN118631552A (zh) | 一种计算机网络安全防护方法 | |
Aghayeva | Technical means of information security | |
BĂRBULESCU et al. | A new comparative study of database security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |