專利名稱:用于判斷數據安全性的方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機安全技術領域,具體涉及一種用于判斷數據安全性的方法及系統(tǒng)�����。
背景技術:
私有云是為企業(yè)單獨部署的計算機安全系統(tǒng)�,可以有效的保證內部數據的安全性。一般來說���,在私有云系統(tǒng)中��,終端將本地不能辨別安全的文件特征信息上傳至安全控制服務器��,安全控制服務器通過內部存儲的安全信息數據庫來對文件特征信息進行識別,將識別結果傳輸給終端�����,從而實現內部數據的安全管理���。此種方式可以保證企業(yè)內部數據的安全�����,但是當終端上傳給安全控制服務器的數 據量較大����,或者上傳并發(fā)量較大時,安全控制服務器往往無法快速響應�����,降低了處理效率���,在嚴重時���,甚至可能導致安全控制服務器無法響應等問題。當安全控制服務器中沒有相關文件特征信息時�,便無法對終端上傳的文件特征信息進行識別,因此�,此種方式對于安全控制服務器中安全信息數據庫中的數據的時效性要求較高。為了保證有效準確的對終端上傳的文件特征信息進行識別�,安全控制服務器需要實時并快速對安全信息數據進行更新,但是目前往往需要通過人工操作的方式來實現���,或者通過文件特征逐一比對的方式來實現�����,更新花費的時間較長�,效率較低。
發(fā)明內容
鑒于上述問題��,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的用于判斷數據安全性的方法及系統(tǒng)��。依據本發(fā)明的一個方面����,提供了一種用于判斷數據安全性的方法,包括以下步驟安全控制服務器接收終端的數據上傳請求���,獲取其中包含的文件特征�����、終端的識別碼和具有文件特征的文件在終端中的目錄路徑����;安全控制服務器根據識別碼和/或目錄路徑判斷終端是否為信任機和/或判斷目錄路徑是否為授信目錄�����,若終端為信任機和/或目錄路徑為授信目錄��,則將上傳的文件特征加入到安全數據庫中��,反之����,則不加入到安全數據庫中;其中���,信任機為其中的數據被認為是安全數據的終端�;采用加入到安全數據庫中的文件特征識別其他終端的上傳的文件特征信息的安全性�。可選地���,安全控制服務器根據識別碼判斷終端是否為信任機包括將識別碼與安全控制服務器中預存的信任機識別碼進行比較����,若相同�,則確定終端為信任機,反之,則確定終端不是信任機��?��?蛇x地����,判斷目錄路徑是否為授信目錄包括將目錄路徑與安全控制服務器中預存的授信目錄進行比較�,若相同,則確定目錄路徑為授信目錄�,反之,則不是授信目錄����。可選地���,用于判斷數據安全性的方法在企業(yè)內網中實現���。可選地,終端與安全控制服務器通過http協(xié)議get或post請求實現通信����。根據本發(fā)明的另一方面�,提供了一種用于判斷數據安全性的系統(tǒng)�����,置于安全控制服務器中���,包括信息獲取模塊,用于接收終端的數據上傳請求����,獲取其中包含的文件特征、終端的識別碼和具有文件特征的文件在終端中的目錄路徑��;安全信息識別模塊����,用于根據識別碼和/或目錄路徑判斷終端是否為信任機和/或判斷目錄路徑是否為授信目錄,若終端為信任機和/或目錄路徑為授信目錄��,則將上傳的文件特征加入到安全數據庫中��,反之���,則不加入到安全數據庫中����,信任機為其中的數據被認為是安全數據的終端; 識別對比模塊�����,用于采用加入到安全數據庫中的文件特征識別其他終端的上傳的文件特征信息的安全性���?�?蛇x地�����,安全信息識別模塊包括信任機判斷子模塊���,用于將識別碼與安全控制服務器中預存的信任機識別碼進行比較,若相同����,則確定終端為信任機,反之���,則確定終端不是信任機�����。 可選地�,安全信息識別模塊包括授信目錄判斷子模塊,用于將目錄路徑與安全控制服務器中預存的授信目錄進行比較�,若相同,則確定目錄路徑為授信目錄��,反之���,則不是授信目錄?���?蛇x地,系統(tǒng)還包括通信模塊���,用于通過http協(xié)議get或post請求實現終端與安全控制服務器的通 目���。本發(fā)明的用于判斷數據安全性的方法及系統(tǒng)通過前述的判斷終端是否為信任機,和/或在信任機中設置授信目錄����,除了通過判斷終端是否為信任機�����,還可以通過判斷文件在終端中的目錄路徑�,如果終端為信任機和/或文件在終端中的目錄路徑為授信目錄��,該終端才會被安全控制服務器信任����,安全控制服務器則可以根據判斷結果將被其信任的終端上傳的文件特征加入到安全數據庫中,從而實現安全數據庫的實時更新�。在此更新的過程中,而是通過識別預先設置為安全的終端來對上傳的文件特征的安全性進行判斷�����,無需對文件特征進行比對��,識別過程簡單��,具有較高的效率�,同時可以保證數據的安全性。上述說明僅是本發(fā)明技術方案的概述�����,為了能夠更清楚了解本發(fā)明的技術手段,而可依照說明書的內容予以實施���,并且為了讓本發(fā)明的上述和其它目的��、特征和優(yōu)點能夠更明顯易懂���,以下特舉本發(fā)明的具體實施方式
。
通過閱讀下文優(yōu)選實施方式的詳細描述����,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了�。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明的限制���。而且在整個附圖中���,用相同的參考符號表示相同的部件。在附圖中圖1示出了根據本發(fā)明實施例一的用于判斷數據安全性的方法的流程圖���;圖2示出了根據本發(fā)明實施例一的用于判斷數據安全性的系統(tǒng)的結構圖���;以及
圖3示出了根據本發(fā)明實施例二的用于判斷數據安全性的系統(tǒng)的結構圖���。
具體實施例方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例����,然而應當理解,可以以各種形式實現本公開而不應被這里闡述的實施例所限制�。相反,提供這些實施例是為了能夠更透徹地理解本公開�,并且能夠將本公開的范圍完整的傳達給本領域的技術人員。本發(fā)明的用于判斷數據安全性的方法是對企業(yè)內網的數據安全進行處理���,應用在企業(yè)內部的私有云系統(tǒng)中���。由私有云系統(tǒng)中的安全控制服務器來實現識別和判斷,完成對企業(yè)內網的安全數據庫的更新�����,保證安全數據庫更新的時效性和效率�����。其中�,安全控制服務器是指在私有云系統(tǒng)被設置為安全的服務端����。一般來說�����,因為私有云系統(tǒng)中可能只有一個服務端����,或者有多個服務端時,所有服務端都需要保證是安全的�����,此時��,安全控制服務器也可以是所有的服務端�����。
參照圖1�,示出本發(fā)明的用于判斷數據安全性的方法實施例一����,包括以下步驟步驟101���,安全控制服務器接收終端的數據上傳請求,獲取其中包含的文件特征���、終端的識別碼和具有所述文件特征的文件在終端中的目錄路徑�。在私有云系統(tǒng)的安全控制服務器中���,預先存儲與該安全控制服務器進行數據交互的所有終端的識別碼���。具體的,可以以配置文件�����、關系表等方式進行存儲��。其中���,終端的識別碼可以是終端的編號����、特征碼等能夠唯一識別出該終端的標識。文件特征可以是文件的MD5值或者其他能夠識別出文件的標識數據����。當終端向安全控制服務器上傳數據時,在數據上傳請求中會包含終端的識別碼����、需要上傳的文件特征以及具有所述文件特征的文件在終端中的目錄路徑。安全控制服務器可以直接從終端的上傳請求中獲取這些信息�。步驟102,安全控制服務器根據所述識別碼判斷所述終端是否為信任機���,并判斷所述目錄路徑是否為授信目錄�����,若所述終端為信任機且目錄路徑為授信目錄�����,則將所述上傳的文件特征加入到安全數據庫中���,反之�,則不加入到安全數據庫中;其中,所述信任機為其中的數據被認為是安全數據的終端�����。其中����,信任機可以通過人為設置和維護,即安全信息操作人員可以根據預定的規(guī)則和方式來將私有云系統(tǒng)中的某些終端的等級設置為安全��,即將這些終端設置為信任機�,并在安全控制服務器中存儲相關的信息,安全控制服務器則可以信任這些終端�,被設置為信任機的終端,其中的數據都會被認為是安全數據����,對于其上傳的文件或者文件特征信息都可以認為是安全的。具體的�����,安全控制服務器中會預先對終端是否為信任機進行標識�����,相關標識可以存儲在配置文件或關系表中,當安全控制服務器獲取到終端的識別碼�,并可以通過查詢配置文件或關系表來判斷該終端是否為信任機。此外�����,安全控制服務器還可以通過判斷目錄路徑是否為授信目錄���,此時��,可以通過將目錄路徑與安全控制服務器中預存的授信目錄進行比較��,若相同�����,則確定所述目錄路徑為授信目錄�,反之�����,則不是授信目錄���。其中�����,目錄路徑可以包含有終端的IP地址等能夠識別出該路徑所在終端信息���,即每個目錄路徑是唯一的,此時�,目錄路徑除了表示了具體的目錄,還可以與具體的終端對應��。在這種情況下���,可以直接通過目錄路徑來進行判斷�����,即只要能夠判斷出目錄路徑為授信目錄��,則可以通過確定該目錄路徑所在的終端為信任機����,從而無需再進行終端是否為信任機的單獨判斷�����。可以理解����,目錄路徑也可以是通用的路徑,例如�����,c:\test\�����,在此種情況下��,需要同時判斷終端是否為信任機�,以及目錄路徑是否為授信目錄,通過二者相結合來判斷是否將上傳的文件特征信息加入到安全數據庫中�。因為通過了二次判斷,可以進一步保證數據的安全性���?��?梢岳斫猓綀D1中僅示出了前述幾種可能的其中一種情況��,即同時判斷終端是否為信任機以及目錄路徑是否為授信目錄。如前所述�����,本發(fā)明還可以包括僅判斷終端是否為信任機或者目錄路徑是否為授信目錄�����,在此不再贅述�����。根據前述描述�����,當終端為信任機�����,或者目錄路徑為授信目錄�,或者前述二者同時滿足時�,安全控制服務器會將上傳的文件特征加入到安全數據庫中,具體的可以根據實際情 況來確定����。當前述條件無法滿足時����,則不會將文件特征加入到安全數據庫中�����,此時�����,可以根據實際情況對上傳請求進行處理�,若上傳請求是請求將文件特征加入安全數據庫,則安全控制服務器可以拒絕本次上傳請求或不做相應,若上傳請求是請求對文件特征進行識別��,那么則可以將文件特征與安全數據庫中已經存儲的信息進行比較���,然后將識別結果返回給終端�?��?梢岳斫?�,對于加入到安全數據庫中的文件特征�����,安全控制服務器可以用于進行內網數據的安全管理�,例如用于對其他終端上傳的文件特征進行比對識別,例如判斷后續(xù)上傳的文件特征的安全性等等�。其中,終端與安全控制服務器通過http協(xié)議get或post請求實現通信����。下面結合具體實例對前述過程進行詳細說明����。譬如安全控制服務器ip是10. 20. 30. 40,端口號是54360��,則請求安全控制服務器設置的協(xié)議會發(fā)送http的Get或者post方法請求urI http://10. 20. 30. 40:54360/get_config,把終端的唯一碼mid作為參數傳給安全控制服務器�,安全控制服務器收到這一請求便會調用相應腳本處理,并在相應的數據庫中獲取到該終端的相關設置����,例如是否為信任機以及授信目錄,并返回設置選項����。選項格式是Κ/V方式的����,譬如is_trust=true回車trust_dir = c: \test\; d: \program files';回車���。這樣,安全控制服務器收到來自信任機的授權信任目錄的文件的情況下�����,終端上傳文件信息的時候���,會把其文件的所在目錄路徑以及識別碼也發(fā)送給安全控制服務器,安全控制服務器收到后�,根據識別碼判斷終端是否為信任機,并把目錄路徑跟安全控制服務器端設置中的授信目錄做比較����,如果判斷出在授信目錄內安全控制服務器才把上傳的文件特征加入到安全數據庫中,否則����,則不加入到安全數據庫中。本發(fā)明的用于判斷數據安全性的方法及系統(tǒng)通過前述的判斷終端是否為信任機�,和/或在信任機中設置授信目錄,除了通過判斷終端是否為信任機,還可以通過判斷文件在終端中的目錄路徑�,如果終端為信任機和/或文件在終端中的目錄路徑為授信目錄,該終端才會被安全控制服務器信任����,安全控制服務器則可以根據判斷結果將被其信任的終端上傳的文件特征加入到安全數據庫中,從而實現安全數據庫的實時更新�。在此更新的過程中,而是通過識別預先設置為安全的終端來對上傳的文件特征的安全性進行判斷����,無需對文件特征進行比對,識別過程簡單�,具有較高的效率����,同時可以保證數據的安全性。參照圖2���,示出本發(fā)明的用于判斷數據安全性的系統(tǒng)實施例一���,置于安全控制服務器中,包括信息獲取模塊10���、安全信息識別模塊20����。信息獲取模塊10,用于接收終端的數據上傳請求��,獲取所述數據上傳請求中包含的文件特征�����、所述終端的識別碼和具有所述文件特征的文件在終端中的目錄路徑�����。安全信息識別模塊20�,用于根據所述識別碼和/或目錄路徑判斷所述終端是否為信任機和/或判斷所述目錄路徑是否為授信目錄,若所述終端為信任機和/或所述目錄路徑為授信目錄�,則將所述上傳的文件特征加入到安全數據庫中,反之��,則不加入到安全數據庫中��,所述信任機為其中的數據被認為是安全數據的終端����。
優(yōu)選地����,該安全信息識別模塊20包括信任機判斷子模塊���,用于將所述識別碼與安全控制服務器中預存的信任機識別碼進行比較���,若相同,則確定所述終端為信任機��,反之���,則確定所述終端不是信任機�?�?梢岳斫?��,該安全信息識別模塊20還包括授信目錄判斷子模塊,用于將所述目錄路徑與安全控制服務器中預存的授信目錄進行比較���,若相同�,則確定所述目錄路徑為授信目錄���,反之�����,則不是授信目錄����。可以理解����,該系統(tǒng)還包括識別對比模塊,用于采用加入到安全數據庫中的文件特征識別其他終端的上傳的文件特征信息的安全性�����。參照圖3�����,示出本申請的用于判斷數據安全性的系統(tǒng)實施例二�����,用于判斷數據安全性的系統(tǒng)還包括通信模塊60,用于通過http協(xié)議get或post請求實現所述終端與所述安全控制服務器的通信��。在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設備固有相關����。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據上面的描述�,構造這類系統(tǒng)所要求的結構是顯而易見的。此外�����,本發(fā)明也不針對任何特定編程語言���。應當明白���,可以利用各種編程語言實現在此描述的本發(fā)明的內容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式�。在此處所提供的說明書中,說明了大量具體細節(jié)��。然而�����,能夠理解���,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐��。在一些實例中�����,并未詳細示出公知的方法���、結構和技術,以便不模糊對本說明書的理解����。類似地,應當理解�����,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個�,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例�����、圖���、或者對其的描述中�。然而,并不應將該公開的方法解釋成反映如下意圖即所要求保護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征����。更確切地說,如下面的權利要求書所反映的那樣��,發(fā)明方面在于少于前面公開的單個實施例的所有特征����。因此,遵循具體實施方式
的權利要求書由此明確地并入該具體實施方式
�,其中每個權利要求本身都作為本發(fā)明的單獨實施例。本領域那些技術人員可以理解��,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中��??梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件��。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外�,可以采用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述�,本說明書(包括伴隨的權利要求����、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替��。此外���,本領域的技術人員能夠理解��,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征���,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內并且形成不同的實施例。例如��,在下面的權利要求書中���,所要求保護的實施例的任意之一都可以以任意的組合方式來使用����。本發(fā)明的各個部件實施例可以以硬件實現�����,或者以在一個或者多個處理器上運行的軟件模塊實現,或者以它們的組合實現��。本領域的技術人員應當理解����,可以在實踐中使用微處理器或者數字信號處理器(DSP )來實現根據本發(fā)明實施例的設備中的一些或者全部部 件的一些或者全部功能。本發(fā)明還可以實現為用于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如�,計算機程序和計算機程序產品)。這樣的實現本發(fā)明的程序可以存儲在計算機可讀介質上��,或者可以具有一個或者多個信號的形式��。這樣的信號可以從因特網網站上下載得到���,或者在載體信號上提供���,或者以任何其他形式提供。應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制����,并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。在權利要求中��,不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包含”不排除存在未列在權利要求中的元件或步驟�。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現���。在列舉了若干裝置的單元權利要求中���,這些裝置中的若干個可以是通過同一個硬件項來具體體現����。單詞第一、第二�����、以及第三等的使用不表示任何順序�����?����?蓪⑦@些單詞解釋為名稱�����。
權利要求
1.一種用于判斷數據安全性的方法,包括 安全控制服務器接收終端的數據上傳請求��,獲取其中包含的文件特征�����、終端的識別碼和具有所述文件特征的文件在終端中的目錄路徑��; 安全控制服務器根據所述識別碼和/或目錄路徑判斷所述終端是否為信任機和/或判斷所述目錄路徑是否為授信目錄����,若所述終端為信任機和/或目錄路徑為授信目錄,則將所述上傳的文件特征加入到安全數據庫中��,反之�,則不加入到安全數據庫中;其中�����,所述信任機為其中的數據被認為是安全數據的終端����; 采用加入到安全數據庫中的文件特征識別其他終端的上傳的文件特征信息的安全性��。
2.如權利要求1所述的用于判斷數據安全性的方法��,其特征在于����,所述安全控制服務器根據所述識別碼判斷所述終端是否為信任機包括 將所述識別碼與安全控制服務器中預存的信任機識別碼進行比較��,若相同��,則確定所述終端為信任機��,反之����,則確定所述終端不是信任機�。
3.如權利要求1所述的用于判斷數據安全性的方法,其特征在于�����,所述判斷所述目錄路徑是否為授信目錄包括 將所述目錄路徑與安全控制服務器中預存的授信目錄進行比較�,若相同,則確定所述目錄路徑為授信目錄����,反之��,則不是授信目錄����。
4.如權利要求1至3任一項所述的用于判斷數據安全性的方法��,其特征在于���,所述用于判斷數據安全性的方法在企業(yè)內網中實現��。
5.如權利要求4所述的用于判斷數據安全性的方法�,其特征在于����,所述終端與所述安全控制服務器通過http協(xié)議get或post請求實現通信。
6.一種用于判斷數據安全性的系統(tǒng)���,置于安全控制服務器中����,其特征在于��,包括 信息獲取模塊,用于接收終端的數據上傳請求���,獲取其中包含的文件特征���、終端的識別碼和具有所述文件特征的文件在終端中的目錄路徑; 安全信息識別模塊�����,用于根據所述識別碼和/或目錄路徑判斷所述終端是否為信任機和/或判斷所述目錄路徑是否為授信目錄��,若所述終端為信任機和/或所述目錄路徑為授信目錄����,則將所述上傳的文件特征加入到安全數據庫中�,反之,則不加入到安全數據庫中���,所述信任機為其中的數據被認為是安全數據的終端��; 識別對比模塊�,用于采用加入到安全數據庫中的文件特征識別其他終端的上傳的文件特征信息的安全性��。
7.如權利要求6所述的用于判斷數據安全性的系統(tǒng),其特征在于����,所述安全信息識別模塊包括 信任機判斷子模塊,用于將所述識別碼與安全控制服務器中預存的信任機識別碼進行比較��,若相同�����,則確定所述終端為信任機����,反之,則確定所述終端不是信任機�����。
8.如權利要求6所述的用于判斷數據安全性的系統(tǒng)���,其特征在于���,所述安全信息識別模塊包括 授信目錄判斷子模塊,用于將所述目錄路徑與安全控制服務器中預存的授信目錄進行比較�,若相同��,則確定所述目錄路徑為授信目錄��,反之����,則不是授信目錄�。
9.如權利要求6至8任一項所述的用于判斷數據安全性的系統(tǒng),其特征在于����,所述系統(tǒng)還包括通信模塊,用于通過http協(xié)議get或post請求實現所述終端與所述安全控制服務器的 通信�����。
全文摘要
本發(fā)明提供了一種用于判斷數據安全性方法及系統(tǒng)����,該系統(tǒng)包括信息獲取模塊����,用于接收終端的數據上傳請求,獲取其中包含的文件特征�����、終端的識別碼和具有文件特征的文件在終端中的目錄路徑;安全信息識別模塊����,用于根據識別碼和/或目錄路徑判斷所述終端是否為信任機和/或判斷目錄路徑是否為授信目錄,若終端為信任機和/或所述目錄路徑為授信目錄���,則將所述上傳的文件特征加入到安全數據庫中����,反之��,則不加入到安全數據庫中�����,所述信任機為其中的數據被認為是安全數據的終端�����;識別對比模塊�����,用于采用加入到安全數據庫中的文件特征識別其他終端的上傳的文件特征信息的安全性。本發(fā)明的用于判斷數據安全性的方法及系統(tǒng)能夠提高安全數據的更新效率���。
文檔編號H04L29/06GK103023882SQ20121048737
公開日2013年4月3日 申請日期2012年11月26日 優(yōu)先權日2012年11月26日
發(fā)明者張家柱 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司