专利名称:安全数据处理方法及系统的制作方法
技术领域:
本发明涉及计算机安全技术领域,具体涉及一种安全数据处理方法及系统。
背景技术:
私有云是为企业单独部署的计算机安全系统,可以有效的保证内部数据的安全性。一般来说,在私有云系统中,终端将本地不能辨别安全的文件特征信息上传至安全控制服务器,安全控制服务器通过内部存储的安全信息数据库来对文件特征信息进行识别,将识别结果传输给终端,从而实现内部数据的安全管理。此种方式可以保证企业内部数据的安全,但是当终端上传给安全控制服务器的数据量较大,或者上传并发量较大时,安全控制服务器往往无法快速响应,降低了处理效率,在严重时,甚至可能导致安全控制服务器无法响应等问题。当安全控制服务器中没有相关 文件特征信息时,便无法对终端上传的文件特征信息进行识别,因此,此种方式对于安全控制服务器中安全信息数据库中的数据的时效性要求较高。为了保证有效准确的对终端上传的文件特征信息进行识别,安全控制服务器需要实时并快速对安全信息数据进行更新,但是目前往往需要通过人工操作的方式来实现,或者通过文件特征逐一比对的方式来实现,更新花费的时间较长,效率较低。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全数据处理方法及系统。依据本发明的一个方面,提供了一种安全数据处理方法,包括以下步骤安全控制服务器接收终端的数据上传请求,获取其中包含的文件特征、终端的识别码和具有文件特征的文件在终端中的目录路径;安全控制服务器根据识别码和/或目录路径判断终端是否为信任机和/或判断目录路径是否为授信目录,若终端为信任机和/或目录路径为授信目录,则将上传的文件特征加入到安全数据库中,反之,则不加入到安全数据库中;其中,信任机为其中的数据被认为是安全数据的终端。可选地,安全控制服务器根据识别码判断终端是否为信任机包括将识别码与安全控制服务器中预存的信任机识别码进行比较,若相同,则确定终端为信任机,反之,则确定终端不是信任机。可选地,判断目录路径是否为授信目录包括将目录路径与安全控制服务器中预存的授信目录进行比较,若相同,则确定目录路径为授信目录,反之,则不是授信目录。可选地,方法还包括采用加入到安全数据库中的文件特征识别其他终端的上传的文件特征信息的安全性。
可选地,安全数据处理方法在企业内网中实现。可选地,终端与安全控制服务器通过http协议get或post请求实现通信。根据本发明的另一方面,提供了一种安全数据处理系统,置于安全控制服务器中,包括信息获取模块,用于接收终端的数据上传请求,获取其中包含的文件特征、终端的识别码和具有文件特征的文件在终端中的目录路径;安全信息识别模块,用于根据识别码和/或目录路径判断终端是否为信任机和/或判断目录路径是否为授信目录,若终端为信任机和/或目录路径为授信目录,则将上传的文件特征加入到安全数据库中,反之,则不加入到安全数据库中,信任机为其中的数据被认为是安全数据的终端。可选地,安全信息识别模块包括信任机判断子模块,用于将识别码与安全控制服务器中预存的信任机识别码进行比较,若相同,则确定终端为信任机,反之,则确定终端不是信任机。 可选地,安全信息识别模块包括授信目录判断子模块,用于将目录路径与安全控制服务器中预存的授信目录进行比较,若相同,则确定目录路径为授信目录,反之,则不是授信目录。可选地,系统还包括识别对比模块,用于采用加入到安全数据库中的文件特征识别其他终端的上传的文件特征信息的安全性。可选地,系统还包括
通信模块,用于通过http协议get或post请求实现终端与安全控制服务器的通 目。本发明的安全数据处理方法及系统通过前述的判断终端是否为信任机,和/或在信任机中设置授信目录,除了通过判断终端是否为信任机,还可以通过判断文件在终端中的目录路径,如果终端为信任机和/或文件在终端中的目录路径为授信目录,该终端才会被安全控制服务器信任,安全控制服务器则可以根据判断结果将被其信任的终端上传的文件特征加入到安全数据库中,从而实现安全数据库的实时更新。在此更新的过程中,而是通过识别预先设置为安全的终端来对上传的文件特征的安全性进行判断,无需对文件特征进行比对,识别过程简单,具有较高的效率,同时可以保证数据的安全性。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1示出了根据本发明实施例一的安全数据处理方法的流程图;图2示出了根据本发明实施例一的安全数据处理系统的结构图;以及
图3示出了根据本发明实施例二的安全数据处理系统的结构图。
具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。本发明的安全数据处理方法是对企业内网的数据安全进行处理,应用在企业内部的私有云系统中。由私有云系统中的安全控制服务器来实现识别和判断,完成对企业内网的安全数据库的更新,保证安全数据库更新的时效性和效率。其中,安全控制服务器是指在私有云系统被设置为安全的服务端。一般来说,因为私有云系统中可能只有一个服务端,或者有多个服务端时,所有服务端都需要保证是安全的,此时,安全控制服务器也可以是所有的服务端。参照图1,示出本发明的安全数据处理方法实施例一,包括以下步骤 步骤101,安全控制服务器接收终端的数据上传请求,获取其中包含的文件特征、终端的识别码和具有所述文件特征的文件在终端中的目录路径。在私有云系统的安全控制服务器中,预先存储与该安全控制服务器进行数据交互的所有终端的识别码。具体的,可以以配置文件、关系表等方式进行存储。其中,终端的识别码可以是终端的编号、特征码等能够唯一识别出该终端的标识。文件特征可以是文件的MD5值或者其他能够识别出文件的标识数据。当终端向安全控制服务器上传数据时,在数据上传请求中会包含终端的识别码、需要上传的文件特征以及具有所述文件特征的文件在终端中的目录路径。安全控制服务器可以直接从终端的上传请求中获取这些信息。步骤102,安全控制服务器根据所述识别码判断所述终端是否为信任机,并判断所述目录路径是否为授信目录,若所述终端为信任机且目录路径为授信目录,则将所述上传的文件特征加入到安全数据库中,反之,则不加入到安全数据库中;其中,所述信任机为其中的数据被认为是安全数据的终端。其中,信任机可以通过人为设置和维护,即安全信息操作人员可以根据预定的规则和方式来将私有云系统中的某些终端的等级设置为安全,即将这些终端设置为信任机,并在安全控制服务器中存储相关的信息,安全控制服务器则可以信任这些终端,被设置为信任机的终端,其中的数据都会被认为是安全数据,对于其上传的文件或者文件特征信息都可以认为是安全的。具体的,安全控制服务器中会预先对终端是否为信任机进行标识,相关标识可以存储在配置文件或关系表中,当安全控制服务器获取到终端的识别码,并可以通过查询配置文件或关系表来判断该终端是否为信任机。此外,安全控制服务器还可以通过判断目录路径是否为授信目录,此时,可以通过将目录路径与安全控制服务器中预存的授信目录进行比较,若相同,则确定所述目录路径为授信目录,反之,则不是授信目录。其中,目录路径可以包含有终端的IP地址等能够识别出该路径所在终端信息,即每个目录路径是唯一的,此时,目录路径除了表示了具体的目录,还可以与具体的终端对应。在这种情况下,可以直接通过目录路径来进行判断,即只要能够判断出目录路径为授信目录,则可以通过确定该目录路径所在的终端为信任机,从而无需再进行终端是否为信任机的单独判断。可以理解,目录路径也可以是通用的路径,例如,c:\test\,在此种情况下,需要同时判断终端是否为信任机,以及目录路径是否为授信目录,通过二者相结合来判断是否将上传的文件特征信息加入到安全数据库中。因为通过了二次判断,可以进一步保证数据的安全性。可以理解,附图1中仅示出了前述几种可能的其中一种情况,即同时判断终端是否为信任机以及目录路径是否为授信目录。如前所述,本发明还可以包括仅判断终端是否为信任机或者目录路径是否为授信目录,在此不再赘述。根据前述描述,当终端为信任机,或者目录路径为授信目录,或者前述二者同时满足时,安全控制服务器会将上传的文件特征加入到安全数据库中,具体的可以根据实际情 况来确定。当前述条件无法满足时,则不会将文件特征加入到安全数据库中,此时,可以根据实际情况对上传请求进行处理,若上传请求是请求将文件特征加入安全数据库,则安全控制服务器可以拒绝本次上传请求或不做相应,若上传请求是请求对文件特征进行识别,那么则可以将文件特征与安全数据库中已经存储的信息进行比较,然后将识别结果返回给终端。可以理解,对于加入到安全数据库中的文件特征,安全控制服务器可以用于进行内网数据的安全管理,例如用于对其他终端上传的文件特征进行比对识别,例如判断后续上传的文件特征的安全性等等。其中,终端与安全控制服务器通过http协议get或post请求实现通信。下面结合具体实例对前述过程进行详细说明。譬如安全控制服务器ip是10. 20. 30. 40,端口号是54360,则请求安全控制服务器设置的协议会发送http的Get或者post方法请求urI http://10. 20. 30. 40:54360/get_confg,把终端的唯一码mid作为参数传给安全控制服务器,安全控制服务器收到这一请求便会调用相应脚本处理,并在相应的数据库中获取到该终端的相关设置,例如是否为信任机以及授信目录,并返回设置选项。选项格式是Κ/V方式的,譬如is_trust=true回车trust_dir=c: \test\; d: \program files\;回车。这样,安全控制服务器收到来自信任机的授权信任目录的文件的情况下,终端上传文件信息的时候,会把其文件的所在目录路径以及识别码也发送给安全控制服务器,安全控制服务器收到后,根据识别码判断终端是否为信任机,并把目录路径跟安全控制服务器端设置中的授信目录做比较,如果判断出在授信目录内安全控制服务器才把上传的文件特征加入到安全数据库中,否则,则不加入到安全数据库中。本发明的安全数据处理方法及系统通过前述的判断终端是否为信任机,和/或在信任机中设置授信目录,除了通过判断终端是否为信任机,还可以通过判断文件在终端中的目录路径,如果终端为信任机和/或文件在终端中的目录路径为授信目录,该终端才会被安全控制服务器信任,安全控制服务器则可以根据判断结果将被其信任的终端上传的文件特征加入到安全数据库中,从而实现安全数据库的实时更新。在此更新的过程中,而是通过识别预先设置为安全的终端来对上传的文件特征的安全性进行判断,无需对文件特征进行比对,识别过程简单,具有较高的效率,同时可以保证数据的安全性。参照图2,示出本发明的安全数据处理系统实施例一,置于安全控制服务器中,包括信息获取模块10、安全信息识别模块20。信息获取模块10,用于接收终端的数据上传请求,获取所述数据上传请求中包含的文件特征、所述终端的识别码和具有所述文件特征的文件在终端中的目录路径。安全信息识别模块20,用于根据所述识别码和/或目录路径判断所述终端是否为信任机和/或判断所述目录路径是否为授信目录,若所述终端为信任机和/或所述目录路径为授信目录,则将所述上传的文件特征加入到安全数据库中,反之,则不加入到安全数据库中,所述信任机为其中的数据被认为是安全数据的终端。
优选地,该安全信息识别模块20包括信任机判断子模块,用于将所述识别码与安全控制服务器中预存的信任机识别码进行比较,若相同,则确定所述终端为信任机,反之,则确定所述终端不是信任机。可以理解,该安全信息识别模块20还包括授信目录判断子模块,用于将所述目录路径与安全控制服务器中预存的授信目录进行比较,若相同,则确定所述目录路径为授信目录,反之,则不是授信目录。可以理解,该系统还包括识别对比模块,用于采用加入到安全数据库中的文件特征识别其他终端的上传的文件特征信息的安全性。参照图3,示出本申请的安全数据处理系统实施例二,安全数据处理系统还包括通信模块60,用于通过http协议get或post请求实现所述终端与所述安全控制服务器的通信。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP )来实现根据本发明实施例的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全 部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种安全数据处理方法,其特征在于,包括以下步骤 安全控制服务器接收终端的数据上传请求,获取其中包含的文件特征、终端的识别码和具有所述文件特征的文件在终端中的目录路径; 安全控制服务器根据所述识别码和/或目录路径判断所述终端是否为信任机和/或判断所述目录路径是否为授信目录,若所述终端为信任机和/或目录路径为授信目录,则将所述上传的文件特征加入到安全数据库中,反之,则不加入到安全数据库中;其中,所述信任机为其中的数据被认为是安全数据的终端。
2.如权利要求1所述的安全数据处理方法,其特征在于,所述安全控制服务器根据所述识别码判断所述终端是否为信任机包括 将所述识别码与安全控制服务器中预存的信任机识别码进行比较,若相同,则确定所述终端为信任机,反之,则确定所述终端不是信任机。
3.如权利要求1所述的安全数据处理方法,其特征在于,所述判断所述目录路径是否为授信目录包括 将所述目录路径与安全控制服务器中预存的授信目录进行比较,若相同,则确定所述目录路径为授信目录,反之,则不是授信目录。
4.如权利要求1所述的安全数据处理方法,其特征在于,所述方法还包括 采用加入到安全数据库中的文件特征识别其他终端的上传的文件特征信息的安全性。
5.如权利要求1至4任一项所述的安全数据处理方法,其特征在于,所述安全数据处理方法在企业内网中实现。
6.如权利要求5所述的安全数据处理方法,其特征在于,所述终端与所述安全控制服务器通过http协议get或post请求实现通信。
7.一种安全数据处理系统,置于安全控制服务器中,其特征在于,包括 信息获取模块,用于接收终端的数据上传请求,获取其中包含的文件特征、终端的识别码和具有所述文件特征的文件在终端中的目录路径; 安全信息识别模块,用于根据所述识别码和/或目录路径判断所述终端是否为信任机和/或判断所述目录路径是否为授信目录,若所述终端为信任机和/或所述目录路径为授信目录,则将所述上传的文件特征加入到安全数据库中,反之,则不加入到安全数据库中,所述信任机为其中的数据被认为是安全数据的终端。
8.如权利要求7所述的安全数据处理系统,其特征在于,所述安全信息识别模块包括 信任机判断子模块,用于将所述识别码与安全控制服务器中预存的信任机识别码进行比较,若相同,则确定所述终端为信任机,反之,则确定所述终端不是信任机。
9.如权利要求7所述的安全数据处理系统,其特征在于,所述安全信息识别模块包括 授信目录判断子模块,用于将所述目录路径与安全控制服务器中预存的授信目录进行比较,若相同,则确定所述目录路径为授信目录,反之,则不是授信目录。
10.如权利要求7所述的安全数据处理系统,其特征在于,所述系统还包括 识别对比模块,用于采用加入到安全数据库中的文件特征识别其他终端的上传的文件特征信息的安全性。
11.如权利要求7至10任一项所述的安全数据处理系统,其特征在于,所述系统还包括通 信模块,用于通过http协议get或post请求实现所述终端与所述安全控制服务器的通信。
全文摘要
本申请提供了一种安全数据处理方法,包括以下步骤安全控制服务器接收终端的数据上传请求,获取其中包含的文件特征、终端的识别码和具有文件特征的文件在终端中的目录路径;安全控制服务器根据识别码和/或目录路径判断终端是否为信任机和/或判断目录路径是否为授信目录,若终端为信任机和/或目录路径为授信目录,则将上传的文件特征加入到安全数据库中,反之,则不加入到安全数据库中;其中,信任机为其中的数据被认为是安全数据的终端。本发明还提供一种实现前述方法的安全数据处理系统。本发明的安全数据处理方法及系统能够提高安全数据的更新效率。
文档编号G06F17/30GK103023885SQ20121048872
公开日2013年4月3日 申请日期2012年11月26日 优先权日2012年11月26日
发明者张家柱 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司