CN104065668A - 采用分层防御模式提高用户管理系统安全性的方法 - Google Patents
采用分层防御模式提高用户管理系统安全性的方法 Download PDFInfo
- Publication number
- CN104065668A CN104065668A CN201410316161.1A CN201410316161A CN104065668A CN 104065668 A CN104065668 A CN 104065668A CN 201410316161 A CN201410316161 A CN 201410316161A CN 104065668 A CN104065668 A CN 104065668A
- Authority
- CN
- China
- Prior art keywords
- management system
- subscriber management
- address
- security
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种采用分层防御模式提高用户管理系统安全性的方法。本方法采用分层防御的模式对用户管理系统的安全性进行保障,在用户管理系统网络中的多个地方采取适当的方式增强其安全性,从周边安全、端点安全、通信安全三个不同层面抵挡攻击,确保系统在抵制黑客攻击的时候更具有弹性,从而有效地解决单点防御容易被攻破的问题。本发明对用户管理系统网络的不同区域针对性地采用增强安全的方式,具有性能稳定可靠、安全性高、对系统性能影响小等特点。
Description
技术领域
本发明针对用户管理系统安全性而提出的一种分层防御体系,特别是一种采用分层防御模式提高用户管理系统安全性的方法。
背景技术
计算机技术的发展使得用户管理系统能够为运营商提供功能更加全面、性能更加强大的运营支撑服务,同时能为用户提供更便捷、更个性化的体验。但是由于计算机网络环境比较复杂,极易遭到黑客的恶意攻击,而用户管理系统现有的加密机制只是针对与CAS之间的通信进行简单加密,容易遭到破解。为了解决用户管理系统的安全性问题,本发明设计了一种分层防御体系,根据用户管理系统网络不同区域的不同安全需求,针对性地增强其安全性,在抵制黑客攻击的时候可有效地解决单点防御容易被攻破的问题,从而提高用户管理系统的安全性。
发明内容
本发明的目的在于提供一种采用分层防御模式提高用户管理系统安全性的方法。
为实现上述目的,本发明的技术方案是:一种采用分层防御模式提高用户管理系统安全性的方法,采用周边安全、通信安全、端点安全三个层面构建分层防御体系,从而提高用户管理系统抵御攻击的能力,具体包括如下步骤,
S1:周边安全,即通过网络分割从开放的网络中把需要保护的用户管理系统的内部网络独立出来,使其成为安全的、受控的网络,其具体实现过程为:
S11:端口过滤:用户管理系统实际运营时,需通过浏览器与服务器进行数据交互,故防火墙对访问规则进行创建时,只让源端口号为80的数据包进入内部网络;
S12:网络地址检测:统计用户管理系统实际运营时每一个营业员的MAC地址和IP地址所在区域,并将所述MAC地址和IP地址回传至服务器进行匹配;
S2:通信安全,即通过AES加密和认证代码双重验证保证用户管理系统在数据传输时的完整性和可靠性;
S3:端点安全,即通过身份验证、权限管理及数据访问体系实现用户管理系统应用程序级的安全,其具体实现过程为:
S31:身份验证:通过登录信息加密,验证用户身份的合法性,进而确保通过身份验证的用户才能对用户管理系统内部的资源进行访问;
S32:权限管理:采用基于角色的安全访问控制机制,实现用户权限管理;
S33:数据访问体系:采用多层数据访问模型实现用户管理系统与数据库之间的交互。
在本发明实施例中,所述步骤S12的网络地址检测的具体实现过程如下,
步骤S121:通过用户管理系统获取用户登录时的MAC地址和IP地址;
步骤S122:判断MAC地址是否异常,若异常,进入步骤S123;若正常,进入步骤S124;
步骤S123:判断IP地址是否异常,若异常,则锁定账户;若正常,则采用安全模式登录;
步骤S124:判断IP地址是否异常,若异常,则采用安全模式登录;若正常,正常登录。
在本发明实施例中,所述步骤S2的加密验证过程,具体如下,
步骤S21:客户端将待发送的明文序列使用密钥Key_A通过AES加密算法加密作为消息数据,同时使用密钥Key_M加密散列算法生成消息认证代码MAC_S;
步骤S22:将所述步骤S21的消息数据和消息认证代码MAC_S一起发送至服务器端;
步骤S23:服务器端接收消息数据,并使用密钥Key_A通过AES解密程序进行解密,同时将解密后的明文数据使用密钥Key_M通过加密散列算法生成消息认证代码MAC_R;
步骤S24:将MAC_R与MAC_S进行比对,若两者一致,则表明接收的消息数据合法有效;若不一致,则表示接收的消息数据为非法数据。
在本发明实施例中,所述步骤S31的登录信息加密,即在用户输入的明文密码中加入一个不定字长的随机数后,再进行散列运算。
在本发明实施例中,所述步骤S32的角色即在用户管理系统设计时将每个职位与其对应的权限绑定,则该具有诸多权限的职位即为角色。
在本发明实施例中,所述步骤S33的多层数据访问模型包括四层:表示层、业务逻辑层、数据访问层和LINQ to SQL。
相较于现有技术,本发明具有以下有益效果:本发明对用户管理系统网络的不同区域针对性地采用增强安全的方式,具有性能稳定可靠、安全性高、对系统性能影响小等特点。
附图说明
图1为本发明分层防御系统方案图。
图2为本发明分层防御系统结构方框图。
图3为本发明网络地址检测模块操作流程图。
图4为本发明加密验证模块数据处理流程图。
图5为本发明登录信息加密数据处理流程图。
图6为本发明用户授权处理流程图。
图7为本发明多层数据访问模型。
具体实施方式
下面结合附图,对本发明的技术方案进行具体说明。
如图1所示,本发明一种采用分层防御模式提高用户管理系统安全性的方法,采用周边安全、通信安全、端点安全三个层面构建分层防御体系,从而提高用户管理系统抵御攻击的能力,具体包括如下步骤,
S1:周边安全,即通过网络分割从开放的网络中把需要保护的用户管理系统的内部网络独立出来,使其成为安全的、受控的网络,其具体实现过程为:
S11:端口过滤:用户管理系统实际运营时,需通过浏览器与服务器进行数据交互,故防火墙对访问规则进行创建时,只让源端口号为80的数据包进入内部网络;
S12:网络地址检测:统计用户管理系统实际运营时每一个营业员的MAC地址和IP地址所在区域,并将所述MAC地址和IP地址回传至服务器进行匹配;
所述步骤S12的网络地址检测的具体实现过程如下,
步骤S121:通过用户管理系统获取用户登录时的MAC地址和IP地址;
步骤S122:判断MAC地址是否异常,若异常,进入步骤S123;若正常,进入步骤S124;
步骤S123:判断IP地址是否异常,若异常,则锁定账户;若正常,则采用安全模式登录;
步骤S124:判断IP地址是否异常,若异常,则采用安全模式登录;若正常,正常登录;
S2:通信安全,即通过AES加密和认证代码双重验证保证用户管理系统在数据传输时的完整性和可靠性;
所述步骤S2的加密验证过程,具体如下,
步骤S21:客户端将待发送的明文序列使用密钥Key_A通过AES加密算法加密作为消息数据,同时使用密钥Key_M加密散列算法生成消息认证代码MAC_S;
步骤S22:将所述步骤S21的消息数据和消息认证代码MAC_S一起发送至服务器端;
步骤S23:服务器端接收消息数据,并使用密钥Key_A通过AES解密程序进行解密,同时将解密后的明文数据使用密钥Key_M通过加密散列算法生成消息认证代码MAC_R;
步骤S24:将MAC_R与MAC_S进行比对,若两者一致,则表明接收的消息数据合法有效;若不一致,则表示接收的消息数据为非法数据;
S3:端点安全,即通过身份验证、权限管理及数据访问体系实现用户管理系统应用程序级的安全,其具体实现过程为:
S31:身份验证:通过登录信息加密,验证用户身份的合法性,进而确保通过身份验证的用户才能对用户管理系统内部的资源进行访问;所述的登录信息加密,即在用户输入的明文密码中加入一个不定字长的随机数后,再进行散列运算;
S32:权限管理:采用基于角色的安全访问控制机制,实现用户权限管理;所述的角色即在用户管理系统设计时将每个职位与其对应的权限绑定,则该具有诸多权限的职位即为角色;
S33:数据访问体系:采用多层数据访问模型实现用户管理系统与数据库之间的交互;所述的多层数据访问模型包括四层:表示层、业务逻辑层、数据访问层和LINQ to SQL。
以下为本发明的具体实施例。
如图2所示,本发明所设计之分层防御体系主要由周边安全、通信安全、端点安全这三个部分组成,这三个部分从网络分割、保密通信到应用程序本身的安全性,在网络的不同区域使用一定的安全手段,逐层抵御黑客对用户管理系统的攻击,从而大大加强系统的安全性。
其中:
1、网络分割模块,其主要目的是从开放的网络中把需要保护的用户管理系统的内部网络独立出来,使其成为安全的、受控的网络;
(1)端口过滤:用户管理系统在实际运营的时候,由于广电营业员都是通过浏览器与服务器进行数据交互,因此防火墙在对访问规则进行创建的时候可以只让源端口号为80的数据包进入内部网络;
(2)网络地址检测:也就是在用户管理系统实际运营的时候统计每一个营业员常用电脑的网络地址,本设计采用的是统计MAC地址的方式,因为营业厅的IP地址通常不是固定的,但是我们可以通过IP地址显示用户所在地区作为判定的依据。用户登录的时候SMS系统会通过登录模块获取用户的MAC地址和IP地址所在地区并将它们回传到服务器进行匹配,其操作流程如图3所示。
2、加密验证模块:应用服务器与外部接口是自定义的数据传输通道,两者之间的通信采用消息安全模式保障其安全性,加密算法采用安全性高的AES算法。为了确保加密数据的完整性和可靠性,本发明在加密的过程中对数据进行了适当的处理,其流程如图4所示;
在网络通信的过程中,客户端将待发送的明文序列使用密钥Key_A通过AES加密作为消息数据,同时使用密钥Key_M加密散列算法生成消息认证代码MAC_S,在网络传输的时候同时将消息数据和MAC_S一起发送到服务器端。服务器端接收到客户端传输过来数据的时候,对消息数据使用密钥Key_A通过AES解密程序进行解密,同时将解密后的明文数据使用密钥Key_M通过加密散列算法生成消息认证代码MAC_R,然后将MAC_R与MAC_S进行比对,如果一致则表明接收的数据合法有效,如果不一致则表明数据在传输的途中被黑客篡改或该数据不是由既定的客户端发送。
3、身份验证模块,其主要目的是对用户身份的合法性进行检查,从而确保经过身份验证的用户才能对系统内部的资源进行访问;
登录信息加密:本发明在散列算法的基础上对其进行随机化处理,从而进一步提高信息加密的安全性。具体做法是在用户输入的密码中加入一个不定字长的随机数,然后再对其进行散列运算。插入的随机数必须保证其安全性,也就是说该随机数必须是统计学上的随机数,因此我们采用的是伪随机数。数据处理流程如图5所示。
4、用户权限管理:本发明所设计的用户管理系统采用的是基于角色的安全访问控制机制,我们在系统设计的时候将每个职位和它对应的权限绑定,这样这个职位拥有的诸多权限就形成了一个集合,从而职位本身也就成了这个权限集的代名词,称为角色。任何拥有该角色的个体就自动获得了该角色代表的权限集。SMS系统用户授权的流程如图6所示。
5、多层数据访问体系:如图7所示,本发明所设计的多层数据访问模型一共包括四层,各层之间相互调用,这与传统的直接使用SQL语句进行操作有明显不同。
(1)LINQ to SQL的主要目的是把需要执行的LINQ查询语句转换成标准的SQL查询语句,以及把该SQL语句在数据库执行后的查询结果返回给数据访问层,或者把对实体的修改、增删等操作写入数据库。
(2)数据访问层包含了用户管理系统与数据库之间交互的所有方法,通过这些方法可以对数据库进行写入、查询、修改、删除等操作,这些方法均使用LINQ查询语句,并不直接操作数据库。
(3)业务逻辑层的主要工作是对表示层接收的数据业务需求进行处理,然后将其传递给数据访问层进行相应事务的处理。
(4)表示层也就是用户管理系统显示给用户操作的界面。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。
Claims (6)
1.一种采用分层防御模式提高用户管理系统安全性的方法,其特征在于:采用周边安全、通信安全、端点安全三个层面构建分层防御体系,从而提高用户管理系统抵御攻击的能力,具体包括如下步骤,
S1:周边安全,即通过网络分割从开放的网络中把需要保护的用户管理系统的内部网络独立出来,使其成为安全的、受控的网络,其具体实现过程为:
S11:端口过滤:用户管理系统实际运营时,需通过浏览器与服务器进行数据交互,故防火墙对访问规则进行创建时,只让源端口号为80的数据包进入内部网络;
S12:网络地址检测:统计用户管理系统实际运营时每一个营业员的MAC地址和IP地址所在区域,并将所述MAC地址和IP地址回传至服务器进行匹配;
S2:通信安全,即通过AES加密和认证代码双重验证保证用户管理系统在数据传输时的完整性和可靠性;
S3:端点安全,即通过身份验证、权限管理及数据访问体系实现用户管理系统应用程序级的安全,其具体实现过程为:
S31:身份验证:通过登录信息加密,验证用户身份的合法性,进而确保通过身份验证的用户才能对用户管理系统内部的资源进行访问;
S32:权限管理:采用基于角色的安全访问控制机制,实现用户权限管理;
S33:数据访问体系:采用多层数据访问模型实现用户管理系统与数据库之间的交互。
2.根据权利要求1所述的采用分层防御模式提高用户管理系统安全性的方法,其特征在于:所述步骤S12的网络地址检测的具体实现过程如下,
步骤S121:通过用户管理系统获取用户登录时的MAC地址和IP地址;
步骤S122:判断MAC地址是否异常,若异常,进入步骤S123;若正常,进入步骤S124;
步骤S123:判断IP地址是否异常,若异常,则锁定账户;若正常,则采用安全模式登录;
步骤S124:判断IP地址是否异常,若异常,则采用安全模式登录;若正常,正常登录。
3.根据权利要求1所述的采用分层防御模式提高用户管理系统安全性的方法,其特征在于:所述步骤S2的加密验证过程,具体如下,
步骤S21:客户端将待发送的明文序列使用密钥Key_A通过AES加密算法加密作为消息数据,同时使用密钥Key_M加密散列算法生成消息认证代码MAC_S;
步骤S22:将所述步骤S21的消息数据和消息认证代码MAC_S一起发送至服务器端;
步骤S23:服务器端接收消息数据,并使用密钥Key_A通过AES解密程序进行解密,同时将解密后的明文数据使用密钥Key_M通过加密散列算法生成消息认证代码MAC_R;
步骤S24:将MAC_R与MAC_S进行比对,若两者一致,则表明接收的消息数据合法有效;若不一致,则表示接收的消息数据为非法数据。
4.根据权利要求1所述的采用分层防御模式提高用户管理系统安全性的方法,其特征在于:所述步骤S31的登录信息加密,即在用户输入的明文密码中加入一个不定字长的随机数后,再进行散列运算。
5.根据权利要求1所述的采用分层防御模式提高用户管理系统安全性的方法,其特征在于:所述步骤S32的角色即在用户管理系统设计时将每个职位与其对应的权限绑定,则该具有诸多权限的职位即为角色。
6.根据权利要求1所述的采用分层防御模式提高用户管理系统安全性的方法,其特征在于:所述步骤S33的多层数据访问模型包括四层:表示层、业务逻辑层、数据访问层和LINQ to SQL。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410316161.1A CN104065668A (zh) | 2014-07-04 | 2014-07-04 | 采用分层防御模式提高用户管理系统安全性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410316161.1A CN104065668A (zh) | 2014-07-04 | 2014-07-04 | 采用分层防御模式提高用户管理系统安全性的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104065668A true CN104065668A (zh) | 2014-09-24 |
Family
ID=51553199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410316161.1A Pending CN104065668A (zh) | 2014-07-04 | 2014-07-04 | 采用分层防御模式提高用户管理系统安全性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104065668A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107634949A (zh) * | 2017-09-21 | 2018-01-26 | 明阳智慧能源集团股份公司 | 电力网络架构安全防御模块及其物理节点、网络防御方法 |
| CN112333145A (zh) * | 2020-09-21 | 2021-02-05 | 南方电网海南数字电网研究院有限公司 | 电网监控视频整合与安全防护系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340279A (zh) * | 2008-07-09 | 2009-01-07 | 深圳市金蝶移动互联技术有限公司 | 数据加密及解密方法、系统及设备 |
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| CN101662359A (zh) * | 2009-08-17 | 2010-03-03 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信数据安全防护方法 |
| CN103731413A (zh) * | 2013-11-18 | 2014-04-16 | 广州多益网络科技有限公司 | 一种处理异常登录的方法 |
| CN103853983A (zh) * | 2012-12-06 | 2014-06-11 | 三星电子株式会社 | 执行安全引导的片上系统、使用其的图像形成装置及方法 |
-
2014
- 2014-07-04 CN CN201410316161.1A patent/CN104065668A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340279A (zh) * | 2008-07-09 | 2009-01-07 | 深圳市金蝶移动互联技术有限公司 | 数据加密及解密方法、系统及设备 |
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| CN101662359A (zh) * | 2009-08-17 | 2010-03-03 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信数据安全防护方法 |
| CN103853983A (zh) * | 2012-12-06 | 2014-06-11 | 三星电子株式会社 | 执行安全引导的片上系统、使用其的图像形成装置及方法 |
| CN103731413A (zh) * | 2013-11-18 | 2014-04-16 | 广州多益网络科技有限公司 | 一种处理异常登录的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 凌杰,杨秀芝: "基于分层防御的用户管理系统设计", 《电视技术》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107634949A (zh) * | 2017-09-21 | 2018-01-26 | 明阳智慧能源集团股份公司 | 电力网络架构安全防御模块及其物理节点、网络防御方法 |
| CN107634949B (zh) * | 2017-09-21 | 2020-02-07 | 明阳智慧能源集团股份公司 | 电力网络架构安全防御模块及其物理节点、网络防御方法 |
| CN112333145A (zh) * | 2020-09-21 | 2021-02-05 | 南方电网海南数字电网研究院有限公司 | 电网监控视频整合与安全防护系统及方法 |
| CN112333145B (zh) * | 2020-09-21 | 2023-07-28 | 南方电网海南数字电网研究院有限公司 | 电网监控视频整合与安全防护系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7045837B2 (ja) | フェデレーテッドキー管理 | |
| JP6941146B2 (ja) | データセキュリティサービス | |
| CA2899019C (en) | Delayed data access | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| CA2899027C (en) | Data security service | |
| CN103051628A (zh) | 基于服务器获取认证令牌的方法及系统 | |
| CN102594842A (zh) | 一种基于设备指纹的网管消息认证与加密方案 | |
| CN104573549A (zh) | 一种可信的数据库机密性保护方法及系统 | |
| CN104243494A (zh) | 一种数据处理方法 | |
| CN112118242A (zh) | 零信任认证系统 | |
| CN104065668A (zh) | 采用分层防御模式提高用户管理系统安全性的方法 | |
| CN106576050B (zh) | 三层安全和计算架构 | |
| CN106972928B (zh) | 一种堡垒机私钥管理方法、装置及系统 | |
| CN114282189A (zh) | 一种数据安全存储方法、系统、客户端以及服务器 | |
| CN101572698B (zh) | 一种文件网络传输通用加密方法 | |
| CN102780812B (zh) | 一种利用移动终端实现安全输入的方法和系统 | |
| TWI811178B (zh) | 基於多方多因子動態強加密認證之資通安全方法與系統 | |
| US11962691B1 (en) | Systems, methods, and media for generating and using a multi-signature token for electronic communication validation | |
| Jianluan et al. | Computer Vision Operating System of Bank Economic Management Security under 5G Wireless Communication Technology | |
| CN108737438B (zh) | 防范暴库的身份认证方法 | |
| Deng et al. | Communication Security Design of Brain-Like System Based on Cloud Computing Platform | |
| Li et al. | OAuth 2.0 protocol optimization based on CPK technology | |
| Anand et al. | Enhancing Security for IoT Devices using Software Defined Networking (SDN) | |
| Gorbeko et al. | ANALYSIS OF BLOCKCHAIN VULNERABILITIES AND POSSIBILITIES OF THEIR BYPASSING |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140924 |
|
| RJ01 | Rejection of invention patent application after publication |