本發明專利技術提供一種網絡安全設備內存敏感數據殘余信息的安全保護方法,包括:通過初始化子模塊創建內存釋放隊列和隨機數環形池;通過初始化子模塊創建內存釋放工作線程和隨機數獲取工作線程;通過隨機數獲取工作線程向隨機數環形池填充隨機數;通過內存釋放子模塊檢查內存指針,若合法則將釋放內存地址保存至內存釋放隊列;通過內存釋放工作線程執行內存釋放工作流程。本發明專利技術的網絡安全設備內存敏感數據殘余信息的安全保護方法,在內存釋放過程中增加對敏感信息內存區域通過隨機次數的對釋放內存塊進行隨機數據填充,為了提升釋放效率,并且引入隨機數無鎖環形池,充分滿足對隨機數據獲取的時效性,可以最大限度保護敏感數據釋放時帶來的安全問題。放時帶來的安全問題。放時帶來的安全問題。
【技術實現步驟摘要】
一種網絡安全設備內存敏感數據殘余信息的安全保護方法
[0001]本專利技術涉及信息安全
,特別涉及一種網絡安全設備內存敏感數據殘余信息的安全保護方法。
技術介紹
[0002]網絡安全設備安全協議和服務實現中,會涉及多種敏感安全數據,如用于身份驗證的共享密鑰、簽名公私密鑰、加密公私密鑰等;用于數據機密性的對稱密鑰,如會話密鑰、工作密鑰等敏感信息;雖然非對稱密鑰已經通過使用硬件密碼卡的文件系統進行了加密存儲,密鑰使用也在密碼卡中,但是安全協議協商的會話密鑰和工作密鑰等敏感信息依然存儲于內存中;協商的相關密鑰等敏感信息雖然支持根據時間周期和數據流量等方式進行動態更新,但是其一密鑰等敏感信息內存地址固定,其二更新密鑰或釋放密鑰等敏感信息時系統內存機制并不會清理敏感信息數據,安全設備的其他進程申請內存時可能會包含敏感數據信息,導致安全服務的敏感信息泄露而被獲取和收集,用于竊聽分析,嚴重影響網絡安全設備的安全運行。
技術實現思路
[0003]本專利技術目的之一在于提供了一種網絡安全設備內存敏感數據殘余信息的安全保護方法,在內存釋放過程中增加對敏感信息內存區域通過隨機次數的對釋放內存塊進行隨機數據填充,為了提升釋放效率,并且引入隨機數無鎖環形池,充分滿足對隨機數據獲取的時效性,可以最大限度保護敏感數據釋放時帶來的安全問題。
[0004]本專利技術實施例提供的一種網絡安全設備內存敏感數據殘余信息的安全保護方法,包括:
[0005]通過安全內存管理模塊的初始化子模塊檢查硬件密碼卡的隨機數模塊功能;
[0006]當檢查正常時,通過初始化子模塊創建內存釋放隊列和隨機數環形池,并初始化;
[0007]通過初始化子模塊創建內存釋放工作線程和隨機數獲取工作線程;
[0008]通過隨機數獲取工作線程向隨機數環形池填充隨機數;
[0009]通過內存釋放子模塊檢查內存指針,若合法則將釋放內存地址保存至內存釋放隊列;
[0010]檢查內存釋放隊列,若非空則通過內存釋放工作線程執行內存釋放工作流程。
[0011]優選的,網絡安全設備內存敏感數據殘余信息的安全保護方法,還包括:
[0012]當內存釋放隊列中的內存釋放完畢后,通過銷毀子模塊銷毀內存釋放隊列和隨機數環形池,隨機數獲取工作線程釋放硬件加密卡設備句柄,安全退出隨機數獲取工作線程和內存釋放工作線程。
[0013]優選的,內存釋放工作線程執行內存釋放工作流程,包括:
[0014]從內存釋放隊列中獲取釋放內存的地址指針;
[0015]確定隨機覆蓋次數以及重置參數;
[0016]基于隨機覆蓋次數從隨機數環形池中獲取用于填充的隨機數;
[0017]基于地址指針和隨機數,對釋放內存進行寫隨機數,覆蓋釋放內存的原始數據;
[0018]基于重置參數,對釋放內存進行重置;
[0019]釋放內存。
[0020]優選的,確定隨機覆蓋次數以及重置參數,包括:
[0021]獲取一隨機數;
[0022]根據初始化配置參數對隨機數取余;
[0023]根據余數確定隨機覆蓋次數;
[0024]根據余數的奇偶確定重置參數。
[0025]優選的,隨機數獲取工作線程向隨機數環形池填充隨機數,包括:
[0026]當收到內存釋放工作線程發送的觸發信號時,檢查隨機數環形池;
[0027]若隨機數環形池未滿,則調用硬件密碼卡的隨機數接口獲取隨機數,填充至隨機數環形池;
[0028]若隨機數環形池處于滿狀態,則隨機數獲取工作線程進入休眠狀態。
[0029]優選的,觸發信號通過如下步驟生成:
[0030]配置第一初始參數;
[0031]配置第二初始參數;第二初始參數的值與釋放內存隊列中釋放內存的總數相等;
[0032]當每釋放一次釋放內存時,第二初始參數減一;
[0033]當每釋放一次釋放內存時,第一初始參數加一;
[0034]當第一初始參數大于等于隨機數環形池為滿狀態時隨機數的總量時,第一初始參數大于第一閾值,生成觸發信號;
[0035]當第一初始參數小于隨機數環形池為滿狀態時隨機數的總量時,第一初始參數大于第二閾值,生成觸發信號;
[0036]其中,第一閾值小于第二閾值;第二閾值小于隨機數環形池為滿狀態時隨機數的總量。
[0037]優選的,網絡安全設備內存敏感數據殘余信息的安全保護方法,還包括:
[0038]對內存釋放隊列中每隔預設個數的釋放內存進行標記;
[0039]當執行被標記的釋放內存的釋放時,獲取釋放內存被釋放前隨機數覆蓋后的數據,作為待使用數據;
[0040]提取網絡安全設備內未使用的內存,并將待使用數據存儲至提取的內存中,形成待釋放內存;
[0041]將待釋放內存添加進內存釋放隊列中。
[0042]優選的,網絡安全設備內存敏感數據殘余信息的安全保護方法,還包括:
[0043]配置第一預警參數和第二預警參數并初始化;
[0044]獲取訪問網絡安全設備的內存的訪問方的訪問信息;
[0045]基于預設的風險評估庫和訪問信息,確定訪問方對應的風險值;
[0046]將第一預警參數置為最近的訪問方對應的風險值,將第二預警參數置為各個訪問方的風險值的和值;
[0047]當第一預警參數大于預設的第一風險閾值或第二預警參數大于預設的第二風險
閾值時,重新配置內存地址映射集。
[0048]優選的,基于預設的風險評估庫和訪問信息,確定訪問方對應的風險值,包括:
[0049]對訪問信息進行特征提取,獲取多個特征值;
[0050]基于多個特征值,構建風險特征集;
[0051]將風險特征集與風險評估庫中的評估特征集一一匹配;
[0052]獲取風險評估庫中與風險特征集匹配的評估特征集所對應關聯的風險值。
[0053]優選的,網絡安全設備內存敏感數據殘余信息的安全保護方法,還包括:
[0054]在重新配置內存地址映射集后,構建隨機數環形池、隨機數獲取工作線程和重整工作線程;
[0055]通過重整工作線程對網絡安全設備內的內存進行重整;
[0056]其中,重整工作線程對網絡安全設備內的內存進行重整,執行如下操作:
[0057]提取隨機數環形池內的隨機數;
[0058]將提取的隨機數,寫入網絡安全設備內的內存;
[0059]當內存寫滿后,將內存統一重置。
[0060]本專利技術的其它特征和優點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本專利技術而了解。本專利技術的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。
[0061]下面通過附圖和實施例,對本專利技術的技術方案做進一步的詳細描述。
附圖說明
[0062]附圖用來提供對本專利技術的進一步理解,并且構成說明書本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1.一種網絡安全設備內存敏感數據殘余信息的安全保護方法,其特征在于,包括:通過安全內存管理模塊的初始化子模塊檢查硬件密碼卡的隨機數模塊功能;當檢查正常時,通過所述初始化子模塊創建內存釋放隊列和隨機數環形池,并初始化;通過所述初始化子模塊創建內存釋放工作線程和隨機數獲取工作線程;通過所述隨機數獲取工作線程向所述隨機數環形池填充隨機數;通過內存釋放子模塊檢查內存指針,若合法則將釋放內存地址保存至所述內存釋放隊列;檢查內存釋放隊列,若非空則通過所述內存釋放工作線程執行內存釋放工作流程。2.如權利要求1所述的網絡安全設備內存敏感數據殘余信息的安全保護方法,其特征在于,還包括:當所述內存釋放隊列中的內存釋放完畢后,通過銷毀子模塊銷毀所述內存釋放隊列和所述隨機數環形池,隨機數獲取工作線程釋放硬件加密卡設備句柄,安全退出所述隨機數獲取工作線程和內存釋放工作線程。3.如權利要求1所述的網絡安全設備內存敏感數據殘余信息的安全保護方法,其特征在于,所述內存釋放工作線程執行內存釋放工作流程,包括:從內存釋放隊列中獲取釋放內存的地址指針;確定隨機覆蓋次數以及重置參數;基于所述隨機覆蓋次數從隨機數環形池中獲取用于填充的隨機數;基于所述地址指針和所述隨機數,對所述釋放內存進行寫隨機數,覆蓋釋放內存的原始數據;基于所述重置參數,對釋放內存進行重置;釋放內存。4.如權利要求3所述的網絡安全設備內存敏感數據殘余信息的安全保護方法,其特征在于,所述確定隨機覆蓋次數以及重置參數,包括:獲取一隨機數;根據初始化配置參數對隨機數取余;根據余數確定所述隨機覆蓋次數;根據余數的奇偶確定所述重置參數。5.如權利要求1所述的網絡安全設備內存敏感數據殘余信息的安全保護方法,其特征在于,所述隨機數獲取工作線程向所述隨機數環形池填充隨機數,包括:當收到內存釋放工作線程發送的觸發信號時,檢查隨機數環形池;若所述隨機數環形池未滿,則調用硬件密碼卡的隨機數接口獲取隨機數,填充至所述隨機數環形池;若所述隨機數環形池處于滿狀態,則隨機數獲取工作線程進入休眠狀態。6.如權利要求5所述的網絡安全設備內存敏感數據殘余信息的安全保護方法,其特征在于,所述觸發信號通過如下步驟生成:配置第一初始參數;配置第二初始參數;所述第二初始參數的值與所述釋放內存隊列中釋放內存的總數相等;
當每釋放一次釋放內存時,所述第二...
【專利技術屬性】
技術研發人員:張凱,王志明,張冬,
申請(專利權)人:北京連山科技股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。