网络安全管理方法及服务器与流程
本发明涉及网络安全技术领域,特别涉及一种网络安全管理方法及服务器。
背景技术:
目前常见的大数据系统一般采用用户权限管理模块对用户的权限进行管理。而在权限管理模块对于权限的安全性控制方面一般采用数据库自身的安全机制来保证,例如,采用用户名和密码登录数据库的方式进行安全验证。通常,权限管理模块中的数据库的用户名和密码以明文的形式保存在数据库配置文件中。但是,一旦配置文件被非法用户读取,非法用户可以直接登录数据库,对数据库中存储的权限处理文件进行修改,进而导致通过访问权限管理模块而威胁整个大数据系统的数据安全。
技术实现要素:
有鉴于此,本发明的目的是提供一种权限处理文件进行加密的网络安全管理方法及服务器。
为了实现上述目的,本发明提供了一种网络安全管理方法,包括:
检测到一主体使用权限处理文件发送请求时,获取所述权限处理文件;
将所述权限处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述权限处理文件进行解密操作;
利用解密后的权限处理文件对所述一主体的请求做出响应。
作为优选,所述方法还包括:
在发送权限处理文件时,调用所述可信加密硬件模块对所述权限处理文件进行加密。
作为优选,在所述可信加密硬件模块对所述权限处理文件进行解密操作之前,所述方法还包括:
根据所述请求的身份认证信息,获得第一判断结果;
在所述第一判断结果表明所述请求具备合法身份认证信息时,所述可信可加密硬件模块对所述权限处理文件进行解密操作。
作为优选,所述方法还包括:
验证所述请求的访问权限,获得第二判断结果;
在所述第二判断结果表明所述请求具备访问权限时,根据一主体的访问权限,对所述请求做出响应。
本发明还提供一种网络安全管理方法,包括:
检测到一主体发送了对权限处理文件的操作请求时,对所述一主体的进行认证操作;
根据所述认认证操作获得的一主体的认证信息,向所述一主体发送对权限处理文件的操作响应;
将所述一主体操作后的权限处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述权限处理文件进行加密操作;并保存。
作为优选,对所述一主体的进行认证操作,包括:
将所述权限处理文件发送至可信加密硬件模块;
所述可信加密硬件模块对所述权限处理文件进行解密操作;
利用解密后的权限处理文件进行认证操作。
作为优选,向所述一主体发送对权限处理文件的操作响应,包括:
调用所述权限处理文件对所述权限处理文件进行解密操作;
根据所述操作请求的内容,对所述权限处理文件进行操作;
向所述一主体发送操作结果。
本发明还提供一种服务器,包括:
处理器,配置为检测到一主体使用权限处理文件发送请求时,获取所述权限处理文件,将所述权限处理文件发送至可信加密硬件模块;
可信加密硬件模块,配置为对所述权限处理文件进行解密操作;
其中,所述处理器还配置为利用解密后的权限处理文件对所述一主体的请求做出响应。
作为优选,包括:
所述处理器,还配置为在发送权限处理文件时,调用所述可信加密硬件模块对所述权限处理文件进行加密。
作为优选,包括:
所述处理器还配置为:在所述可信加密硬件模块对所述权限处理文件进行解密操作之前,根据所述请求的身份认证信息,获得第一判断结果,并在所述第一判断结果表明所述请求具备合法身份认证信息时,所述可信可加密硬件模块对所述权限处理文件进行解密操作。
与现有技术相比,本发明具有以下有益效果:本实施例的技术方案通过对权限处理文件采用可信加密硬件模块进行解密,使一主体在调用权限处理文件时,进行权限的验证,提高网络的安全性。
附图说明
图1为本发明的网络安全管理方法的实施例一的流程图;
图2为本发明的网络安全管理方法的基于一种实施例的一种应用场景示意图;
图3为本发明的网络安全管理方法的实施例三的流程图;
图4为本发明的服务器的实施例一的示意图。
具体实施方式
此处参考附图描述本公开的各种方案以及特征。
应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一种实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
目前的大数据集群都具有权限管理模块,并且这些权限管理模块都使用了主流的数据库来存储集群中的主体的权限处理文件。这样,存储集群中的主体的权限处理文件的数据安全就变得十分重要。若存在主体想登录数据库的可以通过用户名和密码的方式进行身份验证,用户名和密码通常以明文的形式存储在权限处理文件中,如果被第三方读取该权限处理文件,进而引发非法的数据访问,则给网络安全带来了危险。因此,为解决上述问题本发明实施例提供了一种网络安全管理方法及装置;进一步地,为了能够更加详尽地了解本发明的特点与技术内容,下面结合附图对本发明的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明。
实施例一
本实施例提供了一种网络安全管理方法,具体地,所述方法应用于大数据集群,集群中有多个主体(principle),其中主体可以是服务器,并且各主体之间可以互相通信。当前集群的管理平台对各主体的权限进行管理时,主要是将主体的权限处理文件存储在数据库中,当任一主体想要使用权限处理文件进行操作时,需要对权限处理文件进行验证。即服务器检测到一主体使用权限处理文件发送请求时,获取所述权限处理文件,并将所述权限处理文件发送至可信加密硬件模块;所述可信加密硬件模块对所述权限处理文件进行解密操作;如果能够将所述权限处理文件进行解密,则说明主体具有请求权限,则对所述一主体的请求做出响应。由于可信加密硬件模块设置于本地,因此,即使非法用户获得了权限处理文件,仍无法对其解密,无法利用权限处理文件进行其他操作。这样,主体不仅需要需要具有登录数据库的权限,还需要有对权限处理文件进行操作的权限,提高了网络的安全性。
图1为本发明的网络安全管理方法的实施例一的流程图,如图1所示,本实施例的网络安全管理方法,具体可以包括如下步骤:
s101:检测到一主体使用权限处理文件发送请求时,获取所述权限处理文件。
本实施例的执行主体是集群中的任一服务器。服务器检测到主体使用权限处理文件发送请求时,需要对权限处理文件进行验证。
s102:将所述权限处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述权限处理文件进行解密操作。
本实施例的集群中的服务器均按约定遵守这一验证规则。当服务器获得权限处理文件后,将权限处理文件进行发送至可信加密硬件模块,进行解密,如果解密成功,则说明主体具有向服务器发送请求的权限。同时,服务器可以根据解密后得到的权限处理文件的内容获知主体的其他操作权限,从而根据主体的其他操作权限向主体做出响应。
其中,权限处理文件可以包括存储于数据库中的授权数据。
其中,可信加密硬件模块可以是可信密码模块(trustedcryptographymodule,tcm),这是一种是一颗储存密钥、密码和数据证书的微控制器,它能确保计算机内储存的数据的安全性,不会受到外部软件攻击或实体窃取的风险。
s103:利用解密后的权限处理文件对所述一主体的请求做出响应。
具体地,如果所述一主体能够所述权限处理文件进行解密操作,则说明一主体具有向服务器发送请求的权限。服务器可以根据解密后的权限处理文件中的内容,对主体做出相应权限的响应。例如,权限处理文件中记载主体具有修改服务器的数据库中的授权数据的权限,则服务器可以对主体的修改请求进行响应。
在一个应用场景中,如图2所示,集群中的a主体和b服务器,b服务器具有c数据库,a主体向b服务器发送修改c数据库中存储的数据的请求时。b服务器首先对a主体进行身份验,当a主体通过身份验证后,再对a使用的权限处理文件进行验证,即将权限处理文件发送至可信加密硬件模块进行解密,由解密后的权限处理文件可以获得a的授权数据。从而b服务器根据a主体的授权数据,也就是说对授权数据进行解密,如果解密成功,则说明a通过了权限验证,可以对授权数据进行修改或删除等操作。
本实施例的可信加密硬件模块是设置于本地的硬件模块,因此在对权限处理文件进行解密时,必须从本地来调用可信加密硬件模块进行解密,也就是说,即使非法用户获得了权限处理文件,也无法调用服务器的可信加密模块对权限处理文件进行解密,因此无法获得权限处理文件中记载的权限。从而保护了网络的安全性。
本实施例的技术方案通过对权限处理文件采用可信加密硬件模块进行解密,使一主体在调用权限处理文件时,进行权限的验证,提高网络的安全性。
实施例二
基于实施例一所述的方法,本实施例给出了对主体进行验证的几种具体方式。
方式一,服务器在调用可信加密硬件模块对所述权限处理文件进行解密之前,还需要对发送所述请求进行身份验证,确定所述请求是否合法。根据所述请求的身份认证信息,获得第一判断结果;在所述第一判断结果表明所述请求具备合法身份认证信息时,所述可信可加密硬件模块对所述权限处理文件进行解密操作。例如,在其中一个应用场景中,请求已经超时,服务器对于超时的请求可以不做出响应。
方式二,服务器在判断请求合法后,还要判断请求是否具有访问权限,也就是说验证所述请求的访问权限,获得第二判断结果;在所述第二判断结果表明所述请求具备访问权限时,根据一主体的访问权限,对所述请求做出响应。例如,在另一应用场景中,服务器判断出发送请求的ip地址不合法,则对该请求可以不做出响应,如果请求具备合法的身份认证信息,同时ip地址合法,服务器可以对请求的内容做出相应的响应。
进一步地,主体在使用权限处理文件向服务器发送请求前,在发送权限处理文件时,调用所述可信加密硬件模块对所述权限处理文件进行加密。
具体地,为保证网络的安全性,主体在向服务器发送请求前,需要调用本地的可信加密硬件模块对权限处理文件进行加密操作。
本实施例的技术方案通过对权限处理文件采用可信加密硬件模块进行解密,使一主体在调用权限处理文件时,进行权限的验证,提高网络的安全性。
实施例三
本实施例提供了一种网络安全管理方法,具体地,所述方法应用于大数据集群,集群中有多个主体(principle),其中主体可以是服务器,并且各主体之间可以互相通信。当前集群的管理平台对各主体的权限进行管理时,主要是将主体的权限处理文件存储在数据库中,当任一主体想要使用权限处理文件进行操作时,需要对权限处理文件进行验证。即服务器检测到一主体使用权限处理文件发送请求时,获取所述权限处理文件,并将所述权限处理文件发送至可信加密硬件模块;所述可信加密硬件模块对所述权限处理文件进行解密操作;如果能够将所述权限处理文件进行解密,则说明主体具有请求权限,则对所述一主体的请求做出响应。相应地,对于主体端,在发送权限处理文件之前,也需要对权限处理文件进行相应的加密处理,以保证权限处理文件的安全性。
图3为本发明的网络安全管理方法的实施例三的流程图,如图3所示,本实施例的网络安全管理方法,具体可以包括如下步骤:
s301,检测到一主体发送了对权限处理文件的操作请求时,对所述一主体的进行认证操作。
具体地,本实施例的执行主体可以为集群中的任一主体,也就是说一主向可以向另一主体获取权限处理文件,并进行操作,也可以由本地获得权限处理文件,并进行操作,在此不做限定。为了保证权限处理文件的安全性,在主体发送请求时,可以首先对主体进行认证操作。
s302,根据所述认认证操作获得的一主体的认证信息,向所述一主体发送对权限处理文件的操作响应。
具体地,根据对该主体的认证操作可以获得其认证信息,如果该认证信息表明该主体具有访问权限,则再对权限处理文件的操作进行响应。如果该认证信息表明主体不具有访问权限,则对权限处理文件的操作可以不做响应。
s303,将所述一主体操作后的权限处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述权限处理文件进行加密操作;并保存。
具体地,可信加密硬件模块是可信密码模块(trustedcryptographymodule,tcm),这是一种是一颗储存密钥、密码和数据证书的微控制器,它能确保计算机内储存的数据的安全性,不会受到外部软件攻击或实体窃取的风险。而且该模块设置于本地,也就是说,对权限处理文件的加密、解密操作都是在本地进行的,即使非法用户获得了权限处理文件也不可能对其加密、解密操作。
在一具体的实施例中,给出对所述一主体的进行认证操作的具体方式,包括以下步骤:a,将所述权限处理文件发送至可信加密硬件模块;b,所述可信加密硬件模块对所述权限处理文件进行解密操作;c,利用解密后的权限处理文件进行认证操作。在一个应用场景中,权限处理文件包括与a主体相对应的授权数据,a主体在使用授权数据,或者对授权数据进行修改或删除数操作,将权限处理文件发送至可信加密硬件模块,可信加密硬件模块对所述权限处理文件进行解密操作,如果解密成功,则说明a主体具有相应的权限。
在另一具体的实施例中,给出了向所述一主体发送对权限处理文件的操作响应的具体方式,包括以下步骤:d,调用所述权限处理文件对所述权限处理文件进行解密操作;e,根据所述操作请求的内容,对所述权限处理文件进行操作;f,向所述一主体发送操作结果。在一应用场景中,主体a想要修改主体b的数据库中存储的数据,在发送修改请求时,使用权限处理文件,主体b首先对所述权限处理文件进行解密操作,如果解密成功,再根据主体a的权限,如a具有修改数据库中存储的数据的权限,则对主体a的修改结果做出响应,如操作结果表明修改成功。
本实施例的技术方案通过对权限处理文件采用可信加密硬件模块进行解密,使一主体在调用权限处理文件时,进行权限的验证,提高网络的安全性。
实施例四
本实施例提供了一种服务器,所述服务器为集群中的服务器。对于集群中的各主体在通信时,为提高网络的安全性,对于主体之间的通信需要进行身份验证,而且在主体发送对数据进行操作请求时,进一步地需要对主体的权限处理文件进行验证,本实施例中的主体在发送权限处理文件之前对权限处理文件调用可信加密硬件模块进行加密,接收请求的服务器对权限处理文件调用可信加密硬件模块进行解密操作,由于可信加密硬件模块设置于本地,所以加、解密过程均发生在本地,即使非法用户获得了权限处理文件,也无法对权限处理文件进行解密,因此提高了网络的安全性。进一步地,如图4所示,所述服务器包括:
处理器41,配置为检测到一主体使用权限处理文件发送请求时,获取所述权限处理文件,将所述权限处理文件发送至可信加密硬件模块;
可信加密硬件模块42,配置为对所述权限处理文件进行解密操作;
其中,所述处理器还配置为利用解密后的权限处理文件对所述一主体的请求做出响应。
在一具体实施例中,所述处理器41,还配置为在发送权限处理文件时,调用所述可信加密硬件模块对所述权限处理文件进行加密。
在另一具体实施例中,所述处理器41还配置为:在所述可信加密硬件模块对所述权限处理文件进行解密操作之前,根据所述请求的身份认证信息,获得第一判断结果,并在所述第一判断结果表明所述请求具备合法身份认证信息时,所述可信可加密硬件模块对所述权限处理文件进行解密操作。
这里需要指出的是:以上电子设备实施例项的描述,与上述方法描述是类似的,具有同方法实施例相同的有益效果,因此不做赘述。对于本发明电子设备实施例中未披露的技术细节,本领域的技术人员请参照本发明方法实施例的描述而理解,为节约篇幅,这里不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(rom,readonlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、只读存储器(rom,readonlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
这里需要指出的是:以上电子设备实施例项的描述,与上述方法描述是类似的,具有同方法实施例相同的有益效果,因此不做赘述。对于本发明电子设备实施例中未披露的技术细节,本领域的技术人员请参照本发明方法实施例的描述而理解,为节约篇幅,这里不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(rom,readonlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、只读存储器(rom,readonlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!