网络安全存储方法和装置与流程

本发明涉及互联网
技术领域：
，尤其涉及一种网络安全存储方法和装置。
背景技术：
：随着网页内容的越加丰富，很多网页已不再只是一个文档，而更像是一个应用程序。这种变化也促使浏览器已不再只是渲染和显示文档的工具，而更像是管理着这些复杂应用程序的操作系统。在传统的浏览器中，主进程中所有渲染进程的存储服务都通过同样的存储区域来实现，攻击者可以利用浏览器的存储数据进行攻击，如利用服务器暂存在计算机上的资料(Cookie)进行跨站请求伪造(Cross-SiteRequestForgery，CSRF)攻击，利用高速缓存(Cache)进行高速缓存计时攻击(CacheTimingAttack)等。技术实现要素：本发明实施例提供一种网络安全存储方法和装置，以提高浏览器的安全性。本发明实施例的技术方案是这样实现的：一种网络安全存储方法，应用于客户端的浏览器，包括：当监测到客户端请求新建窗口时，为所述客户端创建窗口，并为所述窗口创建或分配存储区域，建立所述窗口与所述存储区域之间的对应关系；为所述窗口新建或分配渲染进程，根据所建立的对应关系确定所述渲染进程所属窗口对应的存储区域，使用所确定出的存储区域为所述渲染进程提供存储服务。一种实现网络安全存储的装置，包括：窗口模块，用于当监测到客户端请求新建窗口时，为所述客户端创建窗口，并为所述窗口创建或分配存储区域，建立所述窗口与所述存储区域之间的对应 关系；渲染进程模块，用于为所述窗口新建或分配渲染进程，根据所建立的对应关系确定所述渲染进程所属窗口对应的存储区域，使用所确定出的存储区域为所述渲染进程提供存储服务。根据本发明实施例提供的方法和装置，为客户端创建窗口的同时为其创建或分配存储区域，并记录窗口与存储区域之间的对应关系，从而使得某些窗口的渲染进程可以由不同的存储区域提供存储服务，从而实现在同一个浏览器上进行网络安全存储的目的。这样，在用户需要进行敏感数据操作时，可以令所创建的窗口对应独立的存储区域，有效避免了利用浏览器的存储数据进行的攻击行为，为用户提供一个更安全、更稳定的浏览体验环境。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为一种进程存储模型示意图。图2为本发明技术方案的进程存储模型示意图。图3为本发明技术方案流程图。图4为本发明一种网络安全存储方法实施例的流程图。图5为本发明一种网络安全存储方法实施例的流程图。图6为本发明实现网络安全存储的装置结构图。图7为依据本发明一实施例的实现网络安全存储装置的组成示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全 部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图1为一种进程存储模型示意图，如图1所示，浏览器只为客户端创建了一个非安全存储区域，浏览器中的所有渲染进程的缓存服务都通过该非安全存储区域实现，即图1中的渲染进程1、渲染进程2需要存储的数据都保存在非安全存储区域中。本发明的发明人在发掘本发明的过程中发现，当用户在图1这种客户端上进行敏感数据操作时，一些重要数据的缓存也是由非安全存储区域进行保存的，这就增加了通过存储数据进行网页攻击的风险。为了保证用户敏感数据操作的安全性，本发明提出了一种技术方案。其中，当监测到客户端请求新建窗口时，创建窗口，并为创建的窗口创建或分配存储区域，建立窗口与存储区域之间的对应关系；同时为该窗口创建或分配渲染进程，根据所建立的对应关系确定渲染进程所属窗口对应的存储区域，使用所确定出的存储区域为所述渲染进程提供存储服务。本发明技术方案使得某些窗口的渲染进程可以由不同的存储区域提供存储服务，从而实现在同一个浏览器上进行网络安全存储的目的，有效降低了通过存储数据被攻击的风险。基于本发明技术方案的一个实例中，不同的非安全窗口共享相同的非安全存储区域，安全窗口和安全存储区域一一对应，即浏览器仅创建一个非安全存储区域，可以创建多个安全存储区域。图2为本发明技术方案的进程存储模型示意图，如图2所示，浏览器为客户端创建了非安全存储区域、安全存储区域1(根据实际需要还可以继续创建安全存储区域2、安全存储区域3等)，非安全窗口中建立的渲染进程1、渲染进程2的存储服务通过非安全存储区域提供，安全窗口1中新建的渲染进程3、渲染进程4的存储服务通过安全存储区域1提供。例如用户要进行网页新闻浏览时，首次通过客户端请求新建非安全窗口，则浏览器为客户端创建非安全窗口以及非安全存储区域，并为该非安全窗口新建渲染进程，将用户通过该渲染进程进行网页新闻浏览时产生的所有缓存数据保存在非安全存储区域中，后续如果用户通过客户端关闭该非安全窗口后再次要在非安全窗口中浏览网页时，浏览器为用户终端创建新的非安全窗口，以及为该 新的非安全窗口新建渲染进程，或者将其它非安全窗口新建的渲染进程分配给该新的非安全窗口进行复用，将用户通过为新的非安全窗口新建的或分配的渲染进程进行浏览网页时产生的所有缓存数据保存在之前创建的非安全存储区域中；当用户要进行网上银行相关操作时，通过客户端请求新建安全窗口，则客户端的浏览器为该客户端创建安全窗口1以及对应的安全存储区域1，并为安全窗口1新建渲染进程，使得用户通过为安全窗口1新建的渲染进程进行网银操作的账号等信息存储在安全存储区域1中；当用户想通过浏览器在同一客户端上同时登录两个不同的QQ账号(例如QQ1和QQ2)时，请求新建两个不同的安全窗口，则客户端的浏览器为客户端创建安全窗口3和安全窗口4，以及对应的安全存储区域3和安全存储区域4，并为安全窗口3新建渲染进程A，为安全窗口4新建渲染进程B，使得用户通过为安全窗口3建立的渲染进程A登录QQ1，并将相关信息存储在安全存储区域3中，通过安全窗口4的渲染进程B登录QQ2，并将相关信息存储在安全存储区域4中；或者，安全窗口3复用渲染进程C，安全窗口4复用渲染进程D，且渲染进程C和渲染进程D分别是浏览器之前为两个不同的安全窗口(这两个不同的安全窗口既非安全窗口3，也非安全窗口4)建立的渲染进程，用户通过安全窗口3复用的渲染进程C登录QQ1，并将相关信息存储在安全存储区域3中，通过安全窗口4复用的渲染进程D登录QQ2，并将相关信息存储在安全存储区域4中，这样可以实现多个QQ帐号在浏览器上的同时登录，同时还可以保证该多个QQ帐号的相关数据的安全性。通过图2可以得到，安全存储区域与非安全存储区域之间是隔离的，对于非安全存储区域来说，安全存储区域是不可见的，只有该安全存储区域对应的安全窗口的渲染进程可以访问本安全存储区域的数据，非安全窗口、或其它安全窗口的其它渲染进程均无权访问该安全存储区域中的数据，由此本发明技术方案提高了安全存储区域的数据的安全性。图3为本发明技术方案的流程图，如图3所示，本发明技术方案应用于客户端的浏览器，所述客户端是指具有数据计算处理功能的终端设备，包括但不限于(安装有通信模块的)智能手机、掌上电脑、平板电脑、智能电视(SmartTV)、 个人PC等。这些通信终端上都安装有操作系统，包括但不限于：Android操作系统、Symbian操作系统、Windowsmobile操作系统、以及苹果iPhoneOS操作系统等等。本发明技术方案包括以下步骤：步骤301：当监测到客户端请求新建窗口时，为所述客户端创建窗口，并为所述窗口创建或分配存储区域，建立所述窗口与所述存储区域之间的对应关系。在一个实例中，本步骤中客户端请求新建的窗口分为两类：安全窗口和非安全窗口。所创建的窗口为安全窗口时，为所述安全窗口创建匹配的安全存储区域，并建立所述匹配的安全存储区域与所述安全窗口之间的对应关系；所创建的窗口为非安全窗口时，若所述客户端是首次请求新建非安全窗口，则为首次新建的非安全窗口创建非安全存储区域，并建立首次新建的非安全窗口与当前创建的非安全存储区域之间的对应关系；若所述客户端并非首次请求新建非安全窗口，则将非首次新建的非安全窗口分配给已创建的非安全存储区域，并建立所述非首次新建的非安全窗口与所述已分配的非安全存储区域之间的对应关系。在一个实例中，建立所述窗口与所述存储区域之间的对应关系可以具体包括：为所创建的窗口分配一一对应的窗口属性值，将所述窗口属性值与为所述窗口创建或分配的存储区域的标识之间的对应关系保存在窗口存储列表中。表1为窗口存储列表的示例，如表1所示，窗口属性值为0匹配非安全存储区域，窗口属性值为1匹配安全存储区域1，窗口属性值为2匹配安全存储区域2，即窗口属性值为0的非安全窗口中所有渲染进程需要保存的数据均保存在非安全存储区域，窗口属性值为1的安全窗口中所有渲染进程需要保存的数据均保存在安全存储区域1，窗口属性值为2的安全窗口中所有渲染进程需要保存的数据均保存在安全存储区域2。表1窗口属性值存储区域0非安全存储区域1安全存储区域12安全存储区域2步骤302：为创建的窗口新建或分配渲染进程，根据所建立的对应关系确定所述渲染进程所属窗口对应的存储区域，使用所确定出的存储区域为所述渲染进程提供存储服务。本步骤进一步为步骤301中为客户端创建的窗口新建或分配渲染进程，步骤301中为客户端新建的窗口创建或分配的存储区域，用来为本步骤中为窗口新建或分配的渲染进程提供存储服务。在一个实例中，本步骤中根据所建立的对应关系确定所述渲染进程所属窗口对应的存储区域具体包括：根据所述渲染进程所属窗口的窗口属性值在所述窗口存储列表中确定匹配的表项，根据所述匹配的表项中记录的存储区域的标识确定所述渲染进程所属窗口对应的存储区域。在另一实例中，为了使得客户端的存储区域进行高效利用，当监测到客户端关闭安全窗口时，根据所建立的对应关系确定客户端关闭的安全窗口对应的安全存储区域并释放该安全存储区域，这一过程可具体包括：根据所述客户端关闭的安全窗口的窗口属性值在所述窗口存储列表中确定匹配的表项，根据所述匹配的表项中记录的存储区域的标识确定所述客户端关闭的安全窗口对应的安全存储区域并释放该安全存储区域，删除所述匹配的表项。由于安全窗口用于进行敏感数据操作，因此操作完关闭安全窗口后，释放安全窗口对应的安全存储区域既可以保证用户的安全和利益，又可以使得客户端的存储空间得到高效利用；非安全存储区域为非安全窗口中建立的渲染进程 提供服务，由于在非安全窗口进行的是非敏感数据操作，一些缓存数据或图片等保存在客户端，当用户再次访问时，保存在客户端非安全存储区域的数据可以给用户提供更加快速的浏览体验，因此，当客户端关闭非安全窗口时，本发明技术方案并不释放非安全存储区域。图4是本发明实施例的一种浏览器网络安全存储方法的流程图，如图4所示，该方法包括以下步骤。步骤401：监测到客户端首次请求新建非安全窗口，创建非安全窗口，分配一一对应的窗口属性值，为非安全窗口创建非安全存储区域，将窗口属性值与非安全存储区域的标识之间的对应关系保存在窗口存储列表中；为非安全窗口新建渲染进程，该渲染进程需要存储的信息保存在非安全存储区域中。本步骤中，监测到客户端首次请求新建非安全窗口，则创建非安全窗口，分配一一对应的窗口属性值，并且为非安全窗口创建对应的非安全存储区域，并在窗口存储列表中保存非安全窗口属性值与非安全存储区域的对应关系。假设本步骤创建的非安全窗口的属性值为0，则此时的窗口存储列表如表2所示。表2窗口属性值存储区域0非安全存储区域每个客户端的浏览器仅为客户端首次请求新建非安全窗口时创建一个非安全存储区域，当后续再次监测到客户端请求新建非安全窗口时，将已创建的非安全存储区域分配给再次创建的非安全窗口，用于为再次创建的非安全窗口建立的渲染进程提供存储服务，即客户端上所有非安全窗口共享同一个非安全存储区域。步骤402：监测到客户端请求新建安全窗口，创建携带窗口属性值的安全窗口。本步骤中，监测到客户端请求新建安全窗口，则为客户端创建携带窗口属性值的安全窗口，并将该安全窗口呈现给客户端。假设本步骤中客户端为新建 的安全窗口分配的窗口属性值为5。步骤403：为安全窗口创建安全存储区域，将窗口属性值与安全存储区域的一一对应关系保存在窗口存储列表中。本步骤中，继为客户端创建安全窗口之后，为该创建的安全窗口创建匹配的安全存储区域，并将该安全窗口的窗口属性值与安全存储区域的一一对应关系保存在窗口存储列表中，此时的窗口存储列表如表3所示。表3窗口属性值存储区域0非安全存储区域5安全存储区域1步骤404：为安全窗口新建渲染进程，根据该渲染进程所属窗口的窗口属性值查询窗口存储列表确定匹配的表项。本步骤中，进一步为安全窗口创建渲染进程，根据该渲染进程所属窗口的窗口属性值查询存储列表确定匹配的表项。每一个渲染进程都从属于一个窗口，每一个窗口都有唯一的窗口属性值，因此根据窗口属性值可以确定窗口存储列表中匹配的表项，进而确定该渲染进程对应的存储区域。本步骤假设为安全窗口5创建渲染进程，则渲染进程所属窗口的窗口属性值为5，则根据窗口属性值为5查询表3，得到的匹配的表项如表4所示。表45安全存储区域1步骤405：将渲染进程需要存储的信息保存在匹配的存储区域中。本步骤中，根据表4所示，将渲染进程需要存储的信息保存在确定出的匹配的存储区域中，即将步骤404中创建的渲染进程的所有存储数据都保存在安全存储区域1中。本实施例中，客户端新建安全窗口的场景可以是进行涉及金钱的网购或网 银操作，使得敏感数据保存在不同于非安全存储区域的安全存储区域中，避免利用cookie进行CSRF攻击、或cache进行cachetiming攻击等；也可以是进行同一应用程序的不同帐号操作，如同时在网页上登录不同的QQ号、不同的邮箱、不同的微博账号、不同的游戏账号等。由于本发明技术方案实现了网络安全存储，则可以将不同安全窗口的渲染进程产生的存储数据进行隔离，互不影响。图5是本发明实施例的一种浏览器网络安全存储方法的流程图。如图5所示，该方法包括以下步骤。步骤501：监测到客户端关闭安全窗口，根据关闭的安全窗口的窗口属性值查询窗口存储列表，确定匹配的表项。本步骤中，假设客户端关闭了窗口属性值为5的安全窗口，则根据该窗口属性值查询表5所示的窗口存储列表，确定匹配的表项，假设确定出的匹配的表项如表6所示。表5窗口属性值存储区域0非安全存储区域1安全存储区域12安全存储区域25安全存储区域3表65安全存储区域3步骤502：删除查询到的匹配的表项，并将该匹配表项对应的安全存储区域释放。为了节省客户端的存储空间，将步骤501确定出的匹配的表项删除，并释放该匹配的表项对应的全存储区域3，删除之前为窗口属性值为5的安全窗口创 建的安全存储区域3中保存的数据。本实施例通过释放失效的安全窗口所占的安全存储区域，使得客户端的存储空间能够及时进行清理，提高存储空间的利用率。图6为本发明实施例提供的一种实现网络安全存储装置的结构示意图。如图6所示，该装置包括以下模块：窗口模块601，用于当监测到客户端请求新建窗口时，为所述客户端创建窗口，并为所述窗口创建或分配存储区域，建立所述窗口与所述存储区域之间的对应关系；渲染进程模块602，用于为所述窗口新建或分配渲染进程，根据所建立的对应关系确定所述渲染进程所属窗口对应的存储区域，使用所确定出的存储区域为所述渲染进程提供存储服务。窗口模块601还用于，所创建的窗口为安全窗口时，为所述安全窗口创建匹配的安全存储区域，建立所述安全窗口与所述匹配的安全存储区域之间的对应关系，在所述安全窗口中新建渲染进程，通过所述对应关系使得所述匹配的安全存储区域为所述安全窗口新建的所述渲染进程提供存储服务；所创建的窗口为非安全窗口时，为所述非安全窗口新建或分配渲染进程；若所述客户端是首次请求新建非安全窗口，则为首次新建的非安全窗口创建非安全存储区域，并建立首次新建的非安全窗口与当前创建的非安全存储区域之间的对应关系；若所述客户端并非首次请求新建非安全窗口，则将非首次新建的非安全窗口分配给已创建的非安全存储区域，并建立非首次新建的非安全窗口与所述已分配的非安全存储区域之间的对应关系，所述非安全存储区域为所有为非安全窗口建立的渲染进程提供存储服务。窗口模块601进一步用于：为所创建的窗口分配一一对应的窗口属性值，将所述窗口属性值与为所述窗口创建或分配的存储区域的标识之间的对应关系保存在窗口存储列表中；所述渲染进程模块602还用于：根据所述渲染进程所属窗口的窗口属性值在所述窗口存储列表中确定匹配 的表项，根据所述匹配的表项中记录的存储区域的标识确定所述渲染进程所属窗口对应的存储区域。该装置还包括存储区域释放模块603，用于：当监测到客户端关闭安全窗口时，根据所建立的对应关系确定客户端关闭的安全窗口对应的安全存储区域并释放该安全存储区域。存储区域释放模块603进一步用于：根据所述客户端关闭的安全窗口的窗口属性值在所述窗口存储列表中确定匹配的表项，根据所述匹配的表项中记录的存储区域的标识确定所述客户端关闭的安全窗口对应的安全存储区域并释放该安全存储区域，删除所述匹配的表项。图7为依据本发明一实施例的实现网络安全存储装置的硬件结构示意图。该实现网络安全存储的装置可包括：处理器710，存储器720，端口730以及总线740。处理器710和存储器720通过总线740互联。处理器710可通过端口730接收和发送数据。其中，处理器710用于执行存储器720存储的机器可读指令模块。存储器720存储有处理器710可执行的机器可读指令模块，包括：读取模块721和调整模块722。其中，处理器710执行读取模块721、和调整模块722中的指令时，可以分别实现上述读取模块721和调整模块723的各种功能。上述实施例提供的实现网络安全存储的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，本发明的每一个实施例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然，数据处理程序构成了本发明。此外，通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序 安装或复制到数据处理设备的存储设备(如硬盘和或内存)中执行。因此，这样的存储介质也构成了本发明。存储介质可以使用任何类型的记录方式，例如纸张存储介质(如纸带等)、磁存储介质(如软盘、硬盘、闪存等)、光存储介质(如CD-ROM等)、磁光存储介质(如MO等)等。因此本发明还提供了一种存储介质，其中存储有数据处理程序，该数据处理程序用于执行本发明上述方法的任何一种实施例。本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。当前第1页1 2 3