技术领域
[0001] 本
发明涉及网络安全技术领域,尤其涉及一种应用程序敏感信息管控方法、装置、电子设备及存储介质。
背景技术
[0002] 随着计算机技术的发展与普及,计算机应用已经全面渗透到人们的工作与生活中,成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。
[0003] 现有应用程序的敏感信息诸如
数据库账号密码,系统间
接口调用的账号密码等信息都以硬编码的方式存储在配置文件中,这种方式存在一些问题:
[0005] 整个项目的参与人员都能看到这些敏感信息,无法对
访问权限做细粒度控制;
[0007] 即使发生泄露问题,由于没有日志追踪,也无法定位到具体人员;
[0008] 3.数量庞大,难以管理维护
[0009] 对于大型系统,内部有众多模
块儿,相应配置文件数量众多,手动维护工作量大,容易出错。
[0010] 目前,并未有一种方法能够有效的管控应用程序的敏感信息,防止上述问题的发生。
发明内容
[0011] 本发明
实施例提供了一种应用程序敏感信息管控方法、装置、电子设备及存储介质,用以解决
现有技术中配置文件的敏感信息接触人员广泛,存在泄露风险,并且配置文件众多,手动维护复杂,不易管理的问题。
[0012] 基于上述问题,本发明实施例提供的一种应用程序敏感信息管控方法,包括:
[0013] 对应用程序敏感信息进行加密,再将加密后的系统内所有应用程序敏感信息分别存储至
指定路径中;若应用程序
请求进行交互,则需要对应用程序进行身份验证;若通过身份验证,返回给应用程序一个令牌,应用程序携带所述令牌请求其敏感信息的存储路径;返回应用程序所请求的敏感信息的存储路径,所述存储路径携带一个动态凭证。
[0014] 进一步地,所述身份验证包括验证用户名及密码,身份验证关联应用程序对应的操作权限及动态凭证;其中,所述用户名及密码通过受信任实体分发给对应的应用程序。
[0015] 进一步地,存储路径为应用程序的用户名及密码配置连接至MySql用户的路径。
[0016] 进一步地,以键值对的方式管理所述应用程序敏感信息及所述应用程序敏感信息的读写操作。
[0017] 进一步地,建立访问控制列表限制或者授权应用程序请求的细粒度访问行为。
[0018] 进一步地,应用程序提出的每个请求及来针对所述请求的响应进行日志记录。
[0019] 进一步地,通过超文本传输协议,客户端完成对应用程序敏感信息的管控行为。
[0020] 本发明实施例提供的一种应用程序敏感信息管控装置,包括:存储加密模块:用于对应用程序敏感信息进行加密,再将加密后的系统内所有应用程序敏感信息分别存储至指定路径中;身份验证模块:用于若应用程序请求进行交互,则需要对应用程序进行身份验证;存储路径请求模块:用于若通过身份验证,返回给应用程序一个令牌,应用程序携带所述令牌请求其敏感信息的存储路径;存储路径返回模块:用于返回应用程序所请求的敏感信息的存储路径,并携带一个动态凭证。
[0021] 进一步地,身份验证模块中身份验证包括验证用户名及密码,身份验证关联应用程序对应的操作权限及动态凭证;其中,所述用户名及密码通过受信任实体分发给对应的应用程序。
[0022] 进一步地,存储路径为应用程序的用户名及密码配置连接至MySql用户的路径。
[0023] 进一步地,还包括:应用程序敏感信息管理模块,用于以键值对的方式管理所述应用程序敏感信息及所述应用程序敏感信息的读写操作。
[0024] 进一步地,还包括:访问控制列表,用于限制或者授权对应用程序请求的细粒度访问行为。
[0025] 进一步地,还包括:日志模块,用于应用程序提出的每个请求及针对所述请求的响应进行日志记录。
[0026] 进一步地,还包括:外接模块,用于通过超文本传输协议,客户端完成对应用程序敏感信息的管控行为。
[0027] 本发明实施例同时公开一种应用程序敏感信息管控的电子设备,所述电子设备包括:壳体、处理器、
存储器、
电路板和电源电路,其中,
电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一项所述的应用程序敏感信息管控方法。
[0028] 本发明实施例提供了计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一项所述的应用程序敏感信息管控的方法。
[0029] 与现有技术相比,本发明实施例提供的一种应用程序敏感信息管控方法、装置、电子设备及存储介质,至少实现了如下的有益效果:对应用程序敏感信息进行加密,再将加密后的系统内所有应用程序敏感信息分别存储至指定路径中;若应用程序请求进行交互,则需要对应用程序进行身份验证;若通过身份验证,返回给应用程序一个令牌,应用程序携带所述令牌请求其敏感信息的存储路径;返回应用程序所请求的敏感信息的存储路径,所述存储路径携带一个动态凭证。本发明实施例解决了应用程序账号密码安全存储、审计、管理等一系列难题,使所有高度敏感的数字集中并安全地存放在指定的路径中,实现程序账号密码与人的逻辑隔离,用户只需专注与业务开发,而无需担心配置文件中敏感信息的管理。
附图说明
[0030] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0031] 图1为本发明实施例提供的一种应用程序敏感信息管控方法的
流程图;
[0032] 图2为本发明实施例提供的又一种应用程序敏感信息管控方法的流程图;
[0033] 图3为本发明实施例提供的一种应用程序敏感信息管控装置的结构图;
[0034] 图4为本发明实施例提供的电子设备的结构示意图。
具体实施方式
[0035] 下面结合
说明书附图,对本发明实施例提供的一种应用程序敏感信息管控方法、装置、电子设备及存储介质的具体实施方式进行说明。
[0036] 本发明实施例提供的一种应用程序敏感信息管控方法,如图1所示,具体包括以下步骤:
[0037] S101、对应用程序敏感信息进行加密,再将加密后的系统内所有应用程序敏感信息分别存储至指定路径中;
[0038] 其中,所述应用程序敏感信息为配置文件中的数据库的账号密码、系统之间接口调用的账号密码等数据,通常会以硬编码的方式存储;
[0039] 对所述应用程序敏感信息进行加密,可使用256位AES在GCM模式下使用随机生成的随机数对保险库中存储的数据进行加密,这种加密会在内存中进行,然后再发送到后端存储,保证机密信息永远以密文的方式存储;其中,AES是
密码学中的高级加密标准(Advanced Encryption Standard,AES),是美国联邦政府采用的一种区块加密标准。AES的区块长度固定为128位,密钥长度则可以是128,192或256位;GCM是对称加密
算法分组密码的一种工作模式,分组密码工作模式可以分为加密模式、认证模式和认证加密模式等,GCM模式为认证模式的一种,提供认证和加密两种功能,GCM模式使用128位的分组大小。
[0040] S102、应用程序请求进行交互,则需要进行身份验证;
[0041] 所述身份验证包括验证用户名及密码,身份验证关联应用程序对应的操作权限及动态凭证;其中,所述用户名及密码通过受信任实体分发给对应的应用程序,受信任实体可以为配置中心。
[0042] S103、若通过身份验证,返回给应用程序一个令牌,应用程序携带所述令牌请求其敏感信息的存储路径;
[0043] S104、返回应用程序所请求的敏感信息的存储路径,并携带一个动态凭证;
[0044] 存储路径可以为应用程序的用户名及密码配置连接至MySql用户的路径;据此,返回应用程序所请求的敏感信息的存储路径,所述存储路径携带一个动态凭证,具体返回一个只读权限的MySql用户的路径,并携带一个动态凭证;该动态凭证的有效期可以根据实际需求指定。
[0045] 本发明实施例解决了应用程序账号密码安全存储、审计、管理等一系列难题,使所有高度敏感的数字集中并安全地存放在指定的路径中,实现程序账号密码与人的逻辑隔离,用户只需专注与业务开发,而无需担心配置文件中敏感信息的管理。
[0046] 本发明实施例提供的又一种应用程序敏感信息管控方法,如图2所示,具体包括以下步骤:
[0047] S200、对应用程序敏感信息进行加密;
[0048] 对于应用程序敏感程序的收集,可以自动收集新增的应用程序敏感信息,也可以通过HTTP,利用客户端完成对应用程序敏感信息加密,访问控制列表(ACL)实施和敏感信息添加或注销等一系列操作;以键值对的方式管理应用程序敏感信息及应用程序敏感信息的读写操作,其中,键值对(“key=value”)字符串,在开发中经常使用,每个键后面对应着相应的值,当按下相应的键时,就会输出相应的结果。
[0049] S201、将加密后的系统内所有应用程序敏感信息分别存储至指定路径中;
[0050] S202、应用程序请求进行交互,查看访问控制列表是否允许该应用程序访问,若允许,则执行步骤S203,否则不响应应用程序的请求;
[0051] S203、对应用程序进行身份验证,若通过身份验证,则执行步骤S204,否则不响应应用程序的请求;
[0052] S204、若通过身份验证,返回给应用程序一个令牌;
[0053] 后续应用程序请求的一系列交互均会携带该令牌(token)。
[0054] S205、应用程序携带所述令牌请求其敏感信息的存储路径;
[0055] S206、返回给应用程序一个只读权限的MySql用户的路径,并携带一个动态凭证;
[0056] 管理员指定连接MySql的用户名/密码,同时可以指定动态生成的凭据的有效期,动态凭据是通过MySql执行脚本创建用户并对用户授权实现的。
[0057] S207、对应用程序提出的请求及针对所述请求的响应进行日志记录;
[0058] S208、应用程序使用所述敏感信息;
[0059] S209、应用程序丢弃所述敏感信息。
[0060] 本发明实施例实现了对应用程序配置文件中敏感信息的自动管理,应用程序不再需要存储敏感信息,只需在需要时询问并在使用后将其丢弃,实现敏感数据与应用程序脱离;通过对应用程序请求进行授权,设定不同账户的权限,并设置访问策略和加密密钥管理,保障敏感信息的使用过程中密码安全;根据日志,可提供历史操作记录管理,对于所有操作均有记录,方便追踪审计。
[0061] 本发明实施例还提供的一种应用程序敏感信息管控装置,如图3所示,包括:
[0062] 存储加密模块31:用于对应用程序敏感信息进行加密,再将加密后的系统内所有应用程序敏感信息分别存储至指定路径中;
[0063] 身份验证模块32:用于若应用程序请求进行交互,则需要对应用程序进行身份验证;
[0064] 存储路径请求模块33:用于若通过身份验证,返回给应用程序一个令牌,应用程序携带所述令牌请求其敏感信息的存储路径;
[0065] 存储路径返回模块34:用于返回应用程序所请求的敏感信息的存储路径,并携带一个动态凭证。
[0066] 进一步地,身份验证模块32中身份验证包括用户名及密码,并关联应用程序对应的操作权限及动态凭证;其中,所述用户名及密码由本装置生成,并通过受信任实体分发给对应的应用程序。
[0067] 进一步地,存储路径为应用程序的用户名及密码配置连接至MySql用户的路径。
[0068] 进一步地,存储路径返回模块34中,返回应用程序所请求的敏感信息的存储路径,所述存储路径携带一个动态凭证,具体返回一个只读权限的MySql用户的路径,并携带一个动态凭证。
[0069] 进一步地,还包括:应用程序敏感信息管理模块35,用于以键值对的方式管理所述应用程序敏感信息及所述应用程序敏感信息的读写操作。
[0070] 进一步地,还包括:访问控制列表36,用于限制或者授权应用程序请求的细粒度访问行为。
[0071] 进一步地,还包括:日志模块37,用于应用程序提出的每个请求及来针对所述请求的响应进行日志记录。
[0072] 进一步地,还包括:外接模块38,用于通过超文本传输协议,客户端完成对应用程序敏感信息的管控行为。
[0073] 本发明实施例还提供一种电子设备,图4为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-2所示实施例的流程,如图4所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
[0074] 处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-2所示实施例的描述,在此不再赘述。
[0075] 该电子设备以多种形式存在,包括但不限于:
[0076] (1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
[0077] (2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
[0078] (3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上
游戏机,电子书,以及智能玩具和便携式车载导航设备。
[0079] (4)
服务器:提供计算服务的设备,服务器的构成包括处理器、
硬盘、内存、
系统总线等,服务器和通用的计算
机架构类似,但是由于需要提供高可靠的服务,因此在处理能
力、
稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
[0080] (5)其他具有数据交互功能的电子设备。
[0081] 本发明的实施例还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的方法。
[0082] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0083] 本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
[0084] 尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0085] 为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个
软件和/或
硬件中实现。
[0086] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过
计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
[0087] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉
本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以
权利要求的保护范围为准。
