一种基于以太坊的资产信息安全保护方法和装置
技术领域
本发明涉及数据安全
技术领域
,具体涉及一种基于以太坊的资产信息安全保护技术。背景技术
在经济全球化日益加速的今天,信息技术的不断优化和更新,信息行业的发展速度越来越快,商业运营模式也越来越多,尤其是近几年云计算、虚拟化等技术的发展,智能网络终端的增加、大数据平台技术的广泛应用等,随之产生的数据量呈爆炸式增长。而数据的增多,带来的是蕴含在数据中更大的价值,在这一情况下,数据的安全就变得尤为重要。当前的绝大部分互联网恶意行为都是以盗取数据信息为目的,从中牟取暴利。因此计算机信息安全工作则更加重要和迫切,这不仅能够降低信息风险,而且还能提高数据信息的真实性。
面对此类问题,当前的一般解决方法为恶意程序发现、数据文件加密,以及数据网关监控等技术手段。
诸如木马、病毒等恶意程序,一般会隐藏在正常程序体内或伪装成常规程序被系统执行,进而获取系统或用户的重要数据。对于这类问题的做法是通过恶意特征代码发现判断程序是否正常,当程序被判定为异常时禁止程序执行,从而做到防止恶意程序执行的效果,并达到保护数据安全的目的。但由于此类方法需要利用经验数据提取恶意代码的特征,需要恶意程序出现后才能有应对策略,但对0-day攻击这种并无先例的恶意程序则无能为力。
数据文件加密是通过对文件内容加密的方法,使文件的内容虽然能够被盗取,但无法解析出其中的真正内容,从而达到数据保护的目的。但从本质上讲,虽然数据的内容不能直接解读,但数据本身已被盗取,数据仍存在被破解的可能。
网关监控流量数据可视为一个系统外的数据信息安全防护手段,通过监控流量包中的数据信息,匹配敏感信息,当发现传输数据中有违规内容存在时,即刻控制传输网络,从而达到数据信息安全管控。但在实际的情况中,数据往往是加密后在网络上传输的,网关需要对数据包进行组织以及对内容进行解密,不仅效率难以达到,对于特定的加密方式网关也不能做到全部数据的安全监控。因此该类方法也难以做到数据信息安全防护。
综上所述,就当前的各类数据信息安全技术来看,还没有真正意义上的做到数据信息安全,如何从本质上解决数据信息安全仍是一个重要的问题。
发明内容
本发明的目的在于提供一种基于以太坊的资产信息安全保护方法,所述方法包含:
对资产进行价值等级划分和安全等级划分,根据资产及其价值等级和安全等级通过以太坊智能合约创建存储并发布资产价值信息文件;
根据所述资产的安全等级配置与所述资产安全等级相应的安全策略;
监控所述资产的访问和操作动作,根据所述资产价值信息文件结合所述资产对应的安全策略实施应对操作;
将监控所述资产的日志信息增加记录在所述资产价值信息文件中。
优选的:
对资产的自身属性进行价值等级划分和安全等级划分;
将所述资产的数据内容、资产的价值等级和安全等级、资产的存储地址区域形成资产价值信息文件,并将所述资产价值信息文件以智能合约形式分布式存储在区块链上。
具体的:
所述安全策略包含访问权限、访问时长、告警触发条件、告警类型、应对操作。
进一步的,所述监控所述资产的访问和操作动作,根据所述资产价值信息文件结合所述资产对应的安全策略实施应对操作的方法具体为:
监控所述资产与所述资产价值文件中的资产相匹配时,根据所述资产对应的安全策略予以响应。
更具体的:
所述日志信息包含监控信息及其响应策略,登录账户信息、用户权限、网络参数。
本发明还公开一种基于以太坊的资产信息安全保护装置,所述装置包含:
资产价值配置单元,用于配置资产,对所述资产进行价值等级划分和安全等级划分;
区块链存储,用于将所述资产价值配置单元配置的资产及其价值等级和安全等级通过以太坊智能合约创建存储并发布资产价值信息文件;并存储日志信息;
安全策略配置单元,用于根据所述资产价值配置单元配置的所述资产的安全等级配置与所述资产安全等级相应的安全策略;
系统监控单元,用于监控所述资产的访问和操作动作,根据所述区块链存储单元存储的资产价值信息文件结合所述安全策略单元配置的资产对应安全策略实施应对操作;
日志管理单元,用于将监控所述资产的日志信息增加记录在所述区块链存储单元存储的资产价值信息文件中。
具体的:
所述资产价值配置单元对资产的自身属性进行价值等级划分和安全等级划分;
所述区块链存储单元将所述资产的数据内容、资产的价值等级和安全等级、资产的存储地址区域形成资产价值信息文件,并将所述资产价值信息文件以智能合约形式分布式存储在区块链上;并监控所述资源的日志信息存储在所述资源的资源价值信息文件中。
具体的:
所述安全策略配置单元配置的安全策略包含访问权限、访问时长、告警触发条件、告警类型、应对操作。
具体的,所述系统监控单元进一步包含:
监控匹配模块,用于监控所述资产与所述资产价值文件中的资产匹配结果,
策略响应模块,用于根据所述监控匹配模块获得的资产匹配结果,根据所述安全策略配置单元配置的所述资产对应的安全策略予以响应。
具体的:
所述日志信息包含监控信息及其响应策略,登录账户信息、用户权限、网络参数。
为了解决如何安全保护资产信息的问题,本发明提供了一种资产信息安全保护技术。通过对数据资产进行评价,对不同的数据、文件或设备进行定级划分,实现对数据信息资产的等级划分,针对不同等级的资产执行不同的监控和告警策略。通过对系统读取文件的监控,获取所读取文件的信息,并与数据资产进行匹配,判断文件对应的安全等级,实时反馈数据资产的安全情况。在文件读取后,还需获得当前系统的状态信息,例如操作用户、用户权限等级、网络参数设置等关键信息,并记录在日志中,除了可以实时呈现数据安全情况,还可为决策者提供综合判断的信息,有助于深入理解和判断导致数据信息不安全的原因,并做出相应对策。为了实现真正的数据信息安全,本发明结合以太坊技术,将监控信息、资产评价信息与监控日志存储于区块数据链上,利用分布式账簿存储技术,实现资产与日志信息的防篡改,防止攻击者为其自身制造后门和隐藏身份,真正实现了对数据信息的安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于以太坊的资产信息安全保护方法流程图;
图2为本申请实施例二提供的方法流程图;
图3为本申请实施例三提供的一种基于以太坊的资产信息安全保护装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,是发明一种基于以太坊的资产信息安全保护方法的流程图,本实例包括如下步骤:
步骤S01:对资产进行价值等级划分和安全等级划分,根据资产及其价值等级和安全等级通过以太坊智能合约创建存储并发布资产价值信息文件。
可采用白名单数据表的形式完成录入。
可对资产唯一标识和访问地址划分安全等级,可对资产存储空间划分安全等级。
以太坊是一个运行智能合约的分布式平台。这些智能合约运行在“以太坊虚拟机”上,这是一个由所有运行以太网节点的设备组成的分布式计算网络。“分布式平台”部分意味着任何人都可以建立并运行以太坊节点。
智能合约是在以太坊虚拟机上运行的应用程序。这是一个分布的“世界计算机”,计算能力由所有以太坊节点提供。
智能合约可以用于许多不同的事情。开发人员可以创建智能合约,为其他智能合约提供功能,类似于软件库的工作方式。或者,智能合约可以简单地用作应用程序来存储以太坊区块链上的信息。
以太坊除了能以区块链技术存储虚拟货币的交易信息,还可支持智能合约,智能合约可以创建、存储以及实施合同或者协议,同时也可以用来操作任意文件。因此本发明利用以太坊技术,将资产价值信息通过以太坊的智能合约的形式,存储在区块链上。首先通过智能合约创建资产价值信息文件,并发布在以太坊的数据链上,这样无论是资产价值信息文件的修改还是删除,都需要经过区块链技术的共识机制通过,当各个保存资产价值信息文件的各个节点都能够合法地接受资产价值信息文件的修改操作,该操作才能够被允许,并被存储至智能合约中的资产价值信息文件中。而任意的恶意修改资产价值信息文件的行为,均是通过非法、非合规渠道完成的修改,修改后的资产价值信息文件并不能生效,本方法可通过共识机制有效保护资产价值信息。
数据资产价值信息上链,所需存储信息较少,时效要求较低,实际生产过程更易于实现和维护。
利用区块链ETH的防篡改以及智能合约技术,将数据资产价值信息通过Solidity编程语言以智能合约的形式分布式地存储在链上,智能合约中记录的资产价值信息文件是资产信息、文件、资产对应的价值等级、资产对应的安全等级、磁盘地址区域等信息。
步骤S02:根据所述资产的安全等级配置与所述资产安全等级相应的安全策略。
根据不同的安全等级配置不同的安全策略。
高危险等级的访问可限制访问时间、访问时长、来访者或等待授权。
所述安全策略可根据实际情况进行调整,也可根据资产的变化进行相应调整。
步骤S03:监控所述资产的访问和操作动作,根据所述资产价值信息文件结合所述资产对应的安全策略实施应对操作。
步骤S04:将监控所述资产的日志信息增加记录在所述资产价值信息文件中。
本发明通过对数据资产进行评价,实现对数据信息资产的等级划分,针对不同等级的资产执行不同的安全策略;通过对资产的监控,获取所读取资产的信息,并与数据资产进行匹配,判断文件对应的安全等级,实时反馈数据资产的安全情况;同时还获得当前系统的状态信息,例如操作用户、用户权限等级、网络设置等关键信息,并记录在日志中,除了可以实时呈现数据安全情况,还可为决策者提供综合判断的信息,有助于深入理解和判断导致数据信息不安全的原因,并做出相应对策。更重要的是本发明结合以太坊技术,将监控配置信息、资产评价信息与监控日志存储于区块数据链上,利用分布式账簿存储技术,实现资产与日志信息的防篡改,防止攻击者为其自身制造后门和隐藏身份,真正实现了资产的安全保护。
为了更好的说明本发明,给出实施例二,详细阐述各个步骤的工作原理,如图2所示。
步骤S201:对资产的自身属性进行价值等级划分和安全等级划分。
所述资产的自身属性通常指资产的唯一标识和资产存储的地址,通过这两个属性可以获得资产本身。由于数据资产通常以文件形式存在,因此多数情况下对于资产的自身属性进行的价值等级划分和安全等级划分,可以是对文件的自身属性进行价值等级划分和安全等级划分。
因此对这两个属性的监控既是对数据本身的监控。对文件的访问地址以及存储的地址空间进行安全等级的划分。
文件或存储空间的划分采用白名单的形式的数据表由人工完成录入,一是对特定的文件名和文件地址定义安全等级,如“05”为普通危险等级,“09”为高危险等级。二是对存储地址空间定义安全等级,如磁盘访问地址空间A区为普通危险等级,D区为高危险等级。通过该方法可对数据进行安全等级的划分,该方法的优势是无论操作系统是以何种方式访问数据,正常或异常,都需要首先确认数据的地址,当地址经过操作系统的数据读写驱动时,即可根据安全等级判断该读写操作的危险等级,若安全等级判断读写为危险,则访问的文件或者访问的地址行为就是高危险等级行为,无论是否为正常访问,都将第一时间进行告警,高危险等级告警需由专家判断疑似恶意访问的实际情况,弱危险等级可由监控系统根据策略执行,并进行相应记录。
步骤S202:将所述资产的数据内容、资产的价值等级和安全等级、资产的存储地址区域形成资产价值信息文件,并将所述资产价值信息文件以智能合约形式分布式存储在区块链上。
将资产价值信息文件以智能合约的形式存储在区块链上,对资产价值文件的所有操作都需要经过区块链技术的共识机制,恶意篡改、删除、读取资产价值文件的非法操作,都不能允许,进一步保证了资产价值文件的安全。
步骤S203:根据所述资产的安全等级配置与所述资产安全等级相应的安全策略。
所述安全策略包含访问权限、访问时长、告警触发条件、告警类型、应对操作。
由于无法对所有的数据访问判断其合法性,所以可针对不同数据的不同安全级别配置相应安全策略进行应对。
安全配置类似于一般的数据表操作。高危险等级的访问可限制其访问时间、访问时长、受限访问或等待授权访问等。如磁盘地址空间D区为高危险等级,可供访问时间为每日10时AM,单次访问10分钟,管理员权限以上可访问,访问时需管理员ADMIN提供访问服务等。而当数据访问操作触及系统监控,数据的访问地址通过数据资产价值判断为危险访问时,针对高危险访问,可将访问指令等信息通过系统提示、日志、短信等形式为管理员发布实时消息,通知当前疑似高危访问发生,而后管理员采取相应措施。针对较低或特定危险访问时,系统无需管理员干预,可根据危险等级执行相应的操作指令,如中断访问、限制访问等操作。
步骤S204:监控所述资产的访问和操作动作。
步骤S205:监控所述资产与所述资产价值文件中的资产相匹配时,根据所述资产对应的安全策略予以响应。
由于是根据资产的自身属性(资产唯一标识和资产存储地址)进行价值等级划分和安全等级划分,在对资产的访问和操作动作进行监控时,即若资产名(文件名)和访问地址与资产价值信息的内容中对应的文件名和访问地址相匹配时,即可触发安全策略,若没有出现在资产价值中,可根据安全策略中的对于没有资产匹配成功时的应对策略实施操作。
以linux为例,由于系统的文件访问均通过VFS虚拟文件系统,所以本系统将监控Hook在文件访问方法上,在虚拟文件系统访问数据时,截获其访问地址,而后与数据资产价值表的内容进行比对,进而触发安全策略以及日志记录。
步骤S206:将监控所述资产的日志信息增加记录在所述资产价值信息文件中。
所述日志信息包含监控信息及其响应策略,登录账户信息、用户权限、网络参数。
本发明结合以太坊技术,将监控配置信息、资产评价信息与监控日志存储于区块数据链上,利用分布式账簿存储技术,实现资产与日志信息的防篡改,防止攻击者为其自身制造后门和隐藏身份,实现对数据信息的高质量安全保护。
本发明还公开了一种基于以太坊的资产信息安全保护装置,先给出本发明的实施例三,如图3所示,用以说明该装置的结构特点。
该装置包括:
资产价值配置单元1,用于配置资产,对所述资产进行价值等级划分和安全等级划分。
区块链存储2,用于将所述资产价值配置单元配置的资产及其价值等级和安全等级通过以太坊智能合约创建存储并发布资产价值信息文件;并存储日志信息。
所述资产价值配置单元对资产的自身属性进行价值等级划分和安全等级划分。
所述区块链存储单元将所述资产的数据内容、资产的价值等级和安全等级、资产的存储地址区域形成资产价值信息文件,并将所述资产价值信息文件以智能合约形式分布式存储在区块链上;并将监控所述资源的日志信息存储在所述资源的资源价值信息文件中。
安全策略配置单元3,用于根据所述资产价值配置单元配置的所述资产的安全等级配置与所述资产安全等级相应的安全策略。
所述安全策略配置单元配置的安全策略包含访问权限、访问时长、告警触发条件、告警类型、应对操作。
系统监控单元4,用于监控所述资产的访问和操作动作,根据所述区块链存储单元存储的资产价值信息文件结合所述安全策略单元配置的资产对应安全策略实施应对操作。
系统监控单元进一步包含:
监控匹配模块41,用于监控所述资产与所述资产价值文件中的资产匹配结果。
策略响应模块42,用于根据所述监控匹配模块获得的资产匹配结果,根据所述安全策略配置单元配置的所述资产对应的安全策略予以响应。
日志管理单元5,用于将监控所述资产的日志信息增加记录在所述区块链存储单元存储的资产价值信息文件中。
所述日志信息包含监控信息及其响应策略,登录账户信息、用户权限、网络参数。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置实施例中的对应过程,可以参考前述方法的具体工作过程,在此不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件单元,或者二者的结合来实施。软件单元可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的部分,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请实施例能够在除了这里图示的以外的顺序实施。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
