CN104270347A - 安全控制的方法、装置和系统 - Google Patents
安全控制的方法、装置和系统 Download PDFInfo
- Publication number
- CN104270347A CN104270347A CN201410465431.5A CN201410465431A CN104270347A CN 104270347 A CN104270347 A CN 104270347A CN 201410465431 A CN201410465431 A CN 201410465431A CN 104270347 A CN104270347 A CN 104270347A
- Authority
- CN
- China
- Prior art keywords
- main frame
- corresponding side
- side main
- opposite equip
- control command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全控制的方法、装置和系统,属于互联网安全技术领域,所述安全控制的方法包括:步骤1:对端设备接收控制命令请求;步骤2:对端设备将控制命令请求中的控制命令进行白名单检查;步骤3:对端设备对控制命令对应的执行程序进行验证;步骤4:对端设备执行控制命令对应的执行程序,并将执行结果返回所述相应侧主机。与现有技术相比,本发明的安全控制的方法避免了相应侧主机对对端设备的系统造成破坏;实现了对相应侧主机的权限限制;保证了执行文件不被篡改。能够实现外网主机对导入前置机以及内网主机对导入服务器的安全的远程控制。
Description
技术领域
本发明涉及互联网安全领域,特别是指一种安全控制的方法、装置和系统。
背景技术
随着网络化电子政务的不断发展,各级政府部门建设了大量的网络和应用系统,这些网络和应用系统由于不同的应用场景、不同的用户、不同的数据安全保密要求而被在物理或逻辑上进行了多重划分。
在这些联网应用中,往往存在多个不同安全级别要求的网络之间需要交换数据内容的情况,甚至一些高安全级别的网络本身就是涉密网络。面对这种情况,按照国家保密局物理隔离的要求,同时又需要满足不同网络之间的数据传输,由此提出了单向物理隔离传输技术,例如,申请人原有的单向隔离光闸,该单向隔离光闸包括内网主机、外网主机以及位于中间的分光器,其中内网主机与政府内部网络相连,外网主机与外部互联网相连,网络数据只能从外网主机一侧传输到内网主机一侧,实现单向物理隔离传输。
由于单向隔离光闸采用的是单设备,安全防护能力以及审计功能有所不足,随着互联网的飞速发展,数据量不断加大,网络威胁越来越多,逐渐无法满足现有纵深性防御的需求。所以申请人在单向隔离光闸的基础上开发了单向导入系统,在原有单向隔离光闸的基础上增加了导入前置机和导入服务器,以提高安全防护和审计能力,其中导入前置机与单向隔离光闸的外网主机相连,导入服务器与单向隔离光闸的内网主机相连。
这样,虽然单向导入系统增加了安全防护和审计能力,但是整个系统的安全性有待于进一步提高,尤其是单向隔离光闸的外网主机需要对导入前置机以及单向隔离光闸的内网主机需要对导入服务器进行控制。
现有技术中通常采用远程登录进行控制,具体的:外网主机直接登录到导入前置机上对导入前置机进行远程控制,内网主机直接登录到导入服务器上对导入服务器进行远程控制,这样虽然实现了远程控制,但是直接登录的方式存在着很大的安全隐患:首先,外网主机或内网主机直接登录后容易对导入前置机或导入服务器的系统造成破坏;其次,导入前置机或导入服务器不能对登录的外网主机或内网主机的权限进行限制;最后,导入前置机或导入服务器没有对控制指令进行验证,无法保证执行文件不被篡改。
因此,有必要提供一种安全控制的方法装置和系统,保证整个单向导入系统的安全性。
发明内容
本发明提供一种安全控制的方法、装置和系统,实现外网主机对导入前置机以及内网主机对导入服务器的安全的远程控制。
为解决上述技术问题,本发明提供技术方案如下:
一方面,提供一种安全控制的方法,包括:
步骤1:对端设备接收所述相应侧主机发送的控制命令请求;
步骤2:对端设备将接收到的控制命令请求中的控制命令进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令;
步骤3:对端设备对控制命令对应的执行程序进行验证,若验证通过,则执行步骤4,否则,终止控制命令请求,结束整个过程;
步骤4:对端设备执行控制命令对应的执行程序,并将执行结果返回所述相应侧主机;
其中,当对端设备为单向隔离光闸的外网主机时,所述相应侧主机为导入前置机;当对端设备为单向隔离光闸的内网主机时,所述相应侧主机为导入服务器。
进一步的,在安全控制之前,还包括对端设备与相应侧主机的双向身份认证过程,包括:
步骤201:单向隔离光闸的相应侧主机生成第一加密关键字;
步骤202:所述相应侧主机向与该相应侧主机连接的对端设备发送认证请求和所述第一加密关键字;
步骤203:所述相应侧主机接收对端设备使用所述第一加密关键字加密后返回的认证信息,所述认证信息包括对端设备的硬件信息;
步骤204:所述相应侧主机使用所述第一加密关键字对接收到的认证信息进行解密;
步骤205:所述相应侧主机对解密后的认证信息进行验证,若验证通过,则对端设备的身份合法,执行步骤206,否则,对端设备的身份不合法,双向认证过程结束;
步骤206:所述相应侧主机向对端设备发送登录请求;
步骤207:所述相应侧主机接收对端设备生成并返回的第二加密关键字;
步骤208:所述相应侧主机根据接收到的第二加密关键字对登录信息进行加密,所述登录信息包括所述相应侧主机的硬件信息;
步骤209:所述相应侧主机将加密后的登录信息发送给对端设备进行解密验证,若验证通过,则所述相应侧主机的身份合法,执行步骤210,否则,所述相应侧主机的身份不合法,双向认证过程结束;
步骤210:双向认证通过,并建立连接。
进一步的,所述认证信息包括:对端设备的用户名、密码、IP地址和MAC;所述登录信息包括:所述相应侧主机的用户名、密码、IP地址和MAC;所述第一加密关键字与所述第二加密关键字相同或不相同。
进一步的,当所述相应侧主机需要向对端设备上传文件时,包括:
步骤401:所述相应侧主机向对端设备传输文件认证信息;
步骤402:所述相应侧主机读取要上传的文件的内容,对文件的内容进行加密;
步骤403:所述相应侧主机将加密后的文件内容传输至对端设备,供对端设备解密使用;
步骤404:所述相应侧主机接收对端设备返回的结果信息。
进一步的,当所述相应侧主机监控到有文件需要上传至对端设备时,触发所述步骤401至步骤404。
进一步的,当所述相应侧主机需要从对端设备下载文件时,包括:
步骤601:所述相应侧主机从对端设备接收文件认证信息;
步骤602:所述相应侧主机从对端设备接收文件信息;
步骤603:所述相应侧主机将接收的数据进行解密,并将解密后的数据写入指定文件并保存;
步骤604:所述相应侧主机对保存的文件进行完整性检查,并将结果返回对端设备。
进一步的,所述文件认证信息为文件大小和/或文件MD5码。
另一方面,提供一种导入前置机或导入服务器,包括:
命令接收单元,用于接收所述相应侧主机发送的控制命令请求;
命令检查单元,用于对接收到的控制命令请求中的控制命令进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令;
程序验证单元,用于对控制命令对应的执行程序进行验证,若验证通过,则转至命令执行单元,否则,终止控制命令请求,结束整个过程;
命令执行单元,用于执行控制命令对应的执行程序,并将执行结果返回所述相应侧主机。
再一方面,提供一种单向隔离光闸,包括外网主机、内网主机以及分光器,所述外网主机或所述内网主机包括:
命令发送单元,用于向对端设备发送控制命令请求;
结果接收单元,用于接收对端设备返回的执行结果。
再一方面,提供一种单向导入系统,包括上述的导入前置机和导入服务器以及上述的单向隔离光闸,所述导入前置机与所述外网主机连接,所述导入服务器与所述内网主机连接。
本发明具有以下有益效果:
与现有技术相比,本发明的安全控制的方法中,相应侧主机不能直接登录对端设备对其进行操作,只能将要执行的操作以控制命令的形式发送到对端设备,避免了相应侧主机对对端设备的系统造成破坏;对端设备接收控制命令后对其进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令,实现了对相应侧主机的权限限制;同时对端设备对控制指令进行验证,保证执行文件不被篡改。
故本发明的安全控制的方法能够实现外网主机对导入前置机以及内网主机对导入服务器的安全的远程控制。
附图说明
图1为本发明的安全控制的方法的流程示意图;
图2为本发明的双向认证过程的流程示意图;
图3为本发明的文件上传过程的流程示意图;
图4为本发明的文件下载过程的流程示意图;
图5为本发明的单向隔离光闸的结构示意图;
图6为本发明的导入前置机和导入服务器的结构示意图;
图7为本发明的单向导入系统的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明提供一种安全控制的方法,如图1所示,包括:
步骤1:对端设备接收相应侧主机发送的控制命令请求;
本步骤中,相应侧主机向对端设备发送控制命令请求,该控制命令请求可以是单个控制命令,也可以是以命令行形式的连续多个控制命令;
步骤2:对端设备将接收到的控制命令请求中的控制命令进行白名单检查,以验证相应侧主机的权限是否支持该控制命令;
本步骤中,对端设备可以将相应侧主机的权限信息预先存储在本地数据库中,将接收到的控制命令与数据库中的信息进行比对,验证相应侧主机的权限是否支持该控制命令;
步骤3:对端设备对控制命令对应的执行程序进行验证,若验证通过,则执行步骤4,否则,终止控制命令请求,结束整个过程;
本步骤中,对端设备可以预先存储执行程序的验证信息(如程序大小和/或MD5码),使用此验证信息对执行程序进行验证,保证执行文件不被篡改;
步骤4:对端设备执行控制命令对应的执行程序,并将执行结果返回所述相应侧主机;
其中,当相应侧主机为单向隔离光闸的外网主机时,对端设备为导入前置机;当相应侧主机为单向隔离光闸的内网主机时,对端设备为导入服务器。
与现有技术相比,本发明的安全控制的方法中,相应侧主机不能直接登录对端设备对其进行操作,只能将要执行的操作以控制命令的形式发送到对端设备,避免了相应侧主机对对端设备的系统造成破坏;对端设备接收控制命令后对其进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令,实现了对相应侧主机的权限限制;同时对端设备对控制指令进行验证,保证执行文件不被篡改。
故本发明的安全控制的方法能够实现外网主机对导入前置机以及内网主机对导入服务器的安全的远程控制。
作为本发明的一种改进,在安全控制之前,还包括对端设备与相应侧主机的双向身份认证过程,如图2所示,包括:
步骤201:单向隔离光闸相应侧主机生成第一加密关键字;
步骤202:相应侧主机向与该相应侧主机连接的对端设备发送认证请求和第一加密关键字;
步骤203:相应侧主机接收对端设备使用第一加密关键字加密后返回的认证信息,认证信息包括对端设备的硬件信息;
本步骤中,对端设备使用相应侧主机发送的第一加密关键字加密认证信息并将其返回至相应侧主机;
步骤204:相应侧主机使用所述第一加密关键字对接收到的认证信息进行解密;
步骤205:相应侧主机对解密后的认证信息进行验证,若验证通过,则对端设备的身份合法,执行步骤206,否则,对端设备的身份不合法,双向认证过程结束;
本步骤中,相应侧主机预先存储有对端设备的认证信息,将解密后的认证信息与预先存储的认证信息进行比对验证,以确定对端设备的身份是否合法;
上述步骤201-205是相应侧主机对对端设备进行身份认证的步骤;
步骤206:相应侧主机向对端设备发送登录请求;
步骤207:相应侧主机接收对端设备生成并返回的第二加密关键字;
本步骤中,对端设备接收相应侧主机发送的登录请求后,则生成第二加密关键字并返回相应侧主机;
步骤208:相应侧主机根据接收到的第二加密关键字对登录信息进行加密,登录信息包括所述相应侧主机的硬件信息;
步骤209:相应侧主机将加密后的登录信息发送给对端设备进行解密验证,若验证通过,则相应侧主机的身份合法,执行步骤210,否则,相应侧主机的身份不合法,双向认证过程结束;
本步骤中,对端设备预先存储有相应侧主机的登录信息,对端设备接收相应侧主机发送的登录信息后,先将登录信息进行解密,将解密后的登录信息与预先存储的登录信息进行比对验证,以确定相应侧主机是否合法;
步骤210:双向认证通过,并建立连接。
上述步骤206-210是对端设备对相应侧主机进行身份认证的步骤;
与现有技术相比,本发明中的认证信息包括对端设备的硬件信息,相应侧主机通过认证信息对对端设备的身份进行认证,登录信息包括所述相应侧主机的硬件信息,对端设备通过登录信息对相应侧主机的身份进行认证,从而能够对单向隔离光闸的对端设备和相应侧主机的硬件信息进行双向验证,避免连接欺骗;
同时,第一加密关键字和第二加密关键字分别对认证信息和登录信息进行加密,确保信息传递过程的安全性。
故本发明能够实现单向隔离光闸的对端设备和相应侧主机的双向硬件认证,避免连接欺骗,并且确保了信息传递过程的安全性,从而保证整个单向导入系统的安全性。
认证信息可以为包括对端设备硬件信息的任意格式的信息,优选的,包括:对端设备的用户名、密码、IP地址和MAC;登录信息可以为包括相应侧主机硬件信息的任意格式的信息,优选的,包括:相应侧主机的用户名、密码、IP地址和MAC;
第一加密关键字与第二加密关键字相同或不相同,不相同时,相应侧主机和对端设备采用非对称动态加密,极大地减少了秘钥泄露的可能。
作为本发明的另一种改进,当相应侧主机需要向对端设备上传文件时,如图3所示,包括:
步骤401:相应侧主机向对端设备传输文件认证信息;
步骤402:相应侧主机读取要上传的文件的内容,对文件的内容进行加密;
本步骤中可以使用固定的加密关键字进行加密,也可以使用上述双向认证过程中使用过的第二加密关键字,还可以使用对端设备新生成并发送给相应侧主机的加密关键字;
步骤403:相应侧主机将加密后的文件内容传输至对端设备,供对端设备解密使用;
本步骤中,对端设备接收相应侧主机发送的文件后,先根据步骤402使用的加密关键字对其进行解密,并将解密后的文件根据接收到的文件认证信息进行完整性认证,根据认证结果将结果信息返回相应侧主机;
步骤404:相应侧主机接收对端设备返回的结果信息。
相应侧主机对要上传的文件内容进行加密并传输至对端设备,对端设备接收文件后对其进行解密,并根据相应侧主机提供的文件认证信息对文件进行完整性验证,验证通过后,向相应侧主机返回成功信息,否则返回错误信息。
步骤401-404实现了相应侧主机向对端设备上传文件的过程,并且通过加密手段保证文件传输过程的安全性,通过文件认证信息保证文件的完整性。
相应侧主机是否需要向对端设备上传文件可以通过监控来实现,当相应侧主机监控到有文件需要上传至对端设备时,触发步骤401至步骤404。如此,当满足相应的条件时,相应侧主机可以自动向对端设备上传文件。
作为本发明的再一种改进,当相应侧主机需要从对端设备下载文件时,如图4所示,包括:
步骤601:相应侧主机从对端设备接收文件认证信息;
本步骤中,对端设备将要下载的文件的文件文件认证信息传输至相应侧主机;
步骤602:相应侧主机从对端设备接收文件信息;
本步骤中,对端设备读取要下载的文件的内容,对文件的内容进行加密,可以使用固定的加密关键字进行加密,也可以使用上述双向认证过程中使用过的第一加密关键字,还可以使用相应侧主机新生成并发送给对端设备的加密关键字,并且将加密后的文件信息发送至相应侧主机;
步骤603:相应侧主机将接收的数据进行解密,并将解密后的数据写入指定文件并保存;
本步骤中,解密所用的加密关键字与步骤602加密所用的加密关键字相同;
步骤604:相应侧主机对保存的文件进行完整性检查,并将结果返回对端设备;
本步骤中,相应侧主机使用接收到的文件认证信息对保存的文件进行完整性检查,必要时,也可以使用通用或专用的杀毒软件对保存的文件进行病毒查杀。
对端设备对要下载的文件内容进行加密并传输至相应侧主机,相应侧主机接收文件后对其进行解密,并根据对端设备提供的文件认证信息对文件进行完整性验证,验证通过后,向对端设备返回成功信息,否则返回错误信息。
步骤601-604实现了相应侧主机从对端设备下载文件的过程,并且通过加密手段保证文件传输过程的安全性,通过文件认证信息保证文件的完整性,必要时,也可以通过病毒查杀保证文件本身的安全。
上述文件认证信息可以是多种方式,具体的,文件信息为文件大小和/或文件MD5码。
与上述方法相对应,本发明还提供一种导入前置机90或导入服务器90’,如图6所示,包括:
命令接收单元901(或901’),用于接收相应侧主机发送的控制命令请求;
命令检查单元902(或902’),用于对接收到的控制命令请求中的控制命令进行白名单检查,以验证相应侧主机的权限是否支持该控制命令;
程序验证单元903(或903’),用于对控制命令对应的执行程序进行验证,若验证通过,则转至命令执行单元,否则,终止控制命令请求,结束整个过程;
命令执行单元904(或904’),用于执行控制命令对应的执行程序,并将执行结果返回所述相应侧主机。
与上述方法相对应,本发明还提供一种单向隔离光闸,如图5所示,包括外网主机80、内网主机80’以及分光器,外网主机80或内网主机80’包括:
命令发送单元801(或801’),用于向对端设备发送控制命令请求;
结果接收单元802(或802’),用于接收对端设备返回的执行结果。
与现有技术相比,本发明的命令发送单元与命令接收单元功能相互配合,使相应侧主机不能直接登录对端设备对其进行操作,只能将要执行的操作以控制命令的形式发送到对端设备,避免了相应侧主机对对端设备的系统造成破坏;命令检查单元接收控制命令后对其进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令,实现了对相应侧主机的权限限制;同时程序验证单元对控制指令进行验证,保证执行文件不被篡改。
故本发明能够实现外网主机对导入前置机以及内网主机对导入服务器的安全的远程控制。
相对应的,本发明还提供一种单向导入系统,如图7所示,包括上述导入前置机90和导入服务器90’以及上述的单向隔离光闸,导入前置机90与外网主机80连接,导入服务器90’与内网主机80’连接。
与现有技术相比,本发明的单向导入系统中,相应侧主机不能直接登录对端设备对其进行操作,只能将要执行的操作以控制命令的形式发送到对端设备,避免了相应侧主机对对端设备的系统造成破坏;对端设备接收控制命令后对其进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令,实现了对相应侧主机的权限限制;同时对端设备对控制指令进行验证,保证执行文件不被篡改。
故本发明的单向导入系统能够实现外网主机对导入前置机以及内网主机对导入服务器的安全的远程控制。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种安全控制的方法,其特征在于,包括:
步骤1:对端设备接收所述相应侧主机发送的控制命令请求;
步骤2:对端设备将接收到的控制命令请求中的控制命令进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令;
步骤3:对端设备对控制命令对应的执行程序进行验证,若验证通过,则执行步骤4,否则,终止控制命令请求,结束整个过程;
步骤4:对端设备执行控制命令对应的执行程序,并将执行结果返回所述相应侧主机;
其中,当相应侧主机为单向隔离光闸的外网主机时,所述对端设备为导入前置机;当相应侧主机为单向隔离光闸的内网主机时,所述对端设备为导入服务器。
2.根据权利要求1所述的安全控制的方法,其特征在于,在安全控制之前,还包括对端设备与相应侧主机的双向身份认证过程,包括:
步骤201:单向隔离光闸的相应侧主机生成第一加密关键字;
步骤202:所述相应侧主机向与该相应侧主机连接的对端设备发送认证请求和所述第一加密关键字;
步骤203:所述相应侧主机接收对端设备使用所述第一加密关键字加密后返回的认证信息,所述认证信息包括对端设备的硬件信息;
步骤204:所述相应侧主机使用所述第一加密关键字对接收到的认证信息进行解密;
步骤205:所述相应侧主机对解密后的认证信息进行验证,若验证通过,则对端设备的身份合法,执行步骤206,否则,对端设备的身份不合法,双向认证过程结束;
步骤206:所述相应侧主机向对端设备发送登录请求;
步骤207:所述相应侧主机接收对端设备生成并返回的第二加密关键字;
步骤208:所述相应侧主机根据接收到的第二加密关键字对登录信息进行加密,所述登录信息包括所述相应侧主机的硬件信息;
步骤209:所述相应侧主机将加密后的登录信息发送给对端设备进行解密验证,若验证通过,则所述相应侧主机的身份合法,执行步骤210,否则,所述相应侧主机的身份不合法,双向认证过程结束;
步骤210:双向认证通过,并建立连接。
3.根据权利要求2所述的安全控制的方法,其特征在于,所述认证信息包括:对端设备的用户名、密码、IP地址和MAC;所述登录信息包括:所述相应侧主机的用户名、密码、IP地址和MAC;所述第一加密关键字与所述第二加密关键字相同或不相同。
4.根据权利要求1所述的安全控制的方法,其特征在于,当所述相应侧主机需要向对端设备上传文件时,包括:
步骤401:所述相应侧主机向对端设备传输文件认证信息;
步骤402:所述相应侧主机读取要上传的文件的内容,对文件的内容进行加密;
步骤403:所述相应侧主机将加密后的文件内容传输至对端设备,供对端设备解密使用;
步骤404:所述相应侧主机接收对端设备返回的结果信息。
5.根据权利要求4所述的安全控制的方法,其特征在于,当所述相应侧主机监控到有文件需要上传至对端设备时,触发所述步骤401至步骤404。
6.根据权利要求1所述的安全控制的方法,其特征在于,当所述相应侧主机需要从对端设备下载文件时,包括:
步骤601:所述相应侧主机从对端设备接收文件认证信息;
步骤602:所述相应侧主机从对端设备接收文件信息;
步骤603:所述相应侧主机将接收的数据进行解密,并将解密后的数据写入指定文件并保存;
步骤604:所述相应侧主机对保存的文件进行完整性检查,并将结果返回对端设备。
7.根据权利要求4或6所述的安全控制的方法,其特征在于,所述文件认证信息为文件大小和/或文件MD5码。
8.一种导入前置机或导入服务器,其特征在于,包括:
命令接收单元,用于接收所述相应侧主机发送的控制命令请求;
命令检查单元,用于对接收到的控制命令请求中的控制命令进行白名单检查,以验证所述相应侧主机的权限是否支持该控制命令;
程序验证单元,用于对控制命令对应的执行程序进行验证,若验证通过,则转至命令执行单元,否则,终止控制命令请求,结束整个过程;
命令执行单元,用于执行控制命令对应的执行程序,并将执行结果返回所述相应侧主机。
9.一种单向隔离光闸,包括外网主机、内网主机以及分光器,其特征在于,所述外网主机或所述内网主机包括:
命令发送单元,用于向对端设备发送控制命令请求;
结果接收单元,用于接收对端设备返回的执行结果。
10.一种单向导入系统,其特征在于,包括权利要求8所述的导入前置机和导入服务器以及权利要求9所述的单向隔离光闸,所述导入前置机与所述外网主机连接,所述导入服务器与所述内网主机连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410465431.5A CN104270347B (zh) | 2014-09-12 | 2014-09-12 | 安全控制的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410465431.5A CN104270347B (zh) | 2014-09-12 | 2014-09-12 | 安全控制的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104270347A true CN104270347A (zh) | 2015-01-07 |
| CN104270347B CN104270347B (zh) | 2017-08-25 |
Family
ID=52161837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410465431.5A Active CN104270347B (zh) | 2014-09-12 | 2014-09-12 | 安全控制的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104270347B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635139A (zh) * | 2015-12-31 | 2016-06-01 | 深圳市安之天信息技术有限公司 | 一种防溢出攻击的文档安全操作与分析的方法及系统 |
| CN105760743A (zh) * | 2015-11-24 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种高交互设备间安全通讯的装置及方法 |
| CN107733907A (zh) * | 2017-10-25 | 2018-02-23 | 国家电网公司 | 动态防护方法与装置 |
| CN109474585A (zh) * | 2018-10-30 | 2019-03-15 | 浙江理工大学 | 基于互联网的针织机械远程控制方法及系统 |
| CN109840414A (zh) * | 2018-12-13 | 2019-06-04 | 北京华胜天成信息技术发展有限公司 | 基板管理控制器的安全防护方法、装置与电子设备 |
| CN110545225A (zh) * | 2019-09-06 | 2019-12-06 | 四川长虹电器股份有限公司 | 一种本地和互联网的设备认证授权机制 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040111501A1 (en) * | 2002-12-06 | 2004-06-10 | Lg Electronics Inc. | Network system connected with multiple master devices and method for operating the same |
| US20090089868A1 (en) * | 2007-10-01 | 2009-04-02 | Brother Kogyo Kabushiki Kaisha | Information processing device and computer implemented method for information processing device |
| US20090327436A1 (en) * | 2008-06-30 | 2009-12-31 | Chen Shihn-Cheng | Instant messaging network control module |
| CN202385106U (zh) * | 2011-12-15 | 2012-08-15 | 北京天行网安信息技术有限责任公司 | 一种单向隔离光闸 |
| CN103368809A (zh) * | 2013-07-06 | 2013-10-23 | 马钢(集团)控股有限公司 | 一种互联网反向穿透隧道的实现方法 |
| CN104270346A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 双向认证的方法、装置和系统 |
-
2014
- 2014-09-12 CN CN201410465431.5A patent/CN104270347B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040111501A1 (en) * | 2002-12-06 | 2004-06-10 | Lg Electronics Inc. | Network system connected with multiple master devices and method for operating the same |
| US20090089868A1 (en) * | 2007-10-01 | 2009-04-02 | Brother Kogyo Kabushiki Kaisha | Information processing device and computer implemented method for information processing device |
| US20090327436A1 (en) * | 2008-06-30 | 2009-12-31 | Chen Shihn-Cheng | Instant messaging network control module |
| CN202385106U (zh) * | 2011-12-15 | 2012-08-15 | 北京天行网安信息技术有限责任公司 | 一种单向隔离光闸 |
| CN103368809A (zh) * | 2013-07-06 | 2013-10-23 | 马钢(集团)控股有限公司 | 一种互联网反向穿透隧道的实现方法 |
| CN104270346A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 双向认证的方法、装置和系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105760743A (zh) * | 2015-11-24 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种高交互设备间安全通讯的装置及方法 |
| CN105635139A (zh) * | 2015-12-31 | 2016-06-01 | 深圳市安之天信息技术有限公司 | 一种防溢出攻击的文档安全操作与分析的方法及系统 |
| CN105635139B (zh) * | 2015-12-31 | 2019-04-05 | 深圳市安之天信息技术有限公司 | 一种防溢出攻击的文档安全操作与分析的方法及系统 |
| CN107733907A (zh) * | 2017-10-25 | 2018-02-23 | 国家电网公司 | 动态防护方法与装置 |
| CN109474585A (zh) * | 2018-10-30 | 2019-03-15 | 浙江理工大学 | 基于互联网的针织机械远程控制方法及系统 |
| CN109840414A (zh) * | 2018-12-13 | 2019-06-04 | 北京华胜天成信息技术发展有限公司 | 基板管理控制器的安全防护方法、装置与电子设备 |
| CN110545225A (zh) * | 2019-09-06 | 2019-12-06 | 四川长虹电器股份有限公司 | 一种本地和互联网的设备认证授权机制 |
| CN110545225B (zh) * | 2019-09-06 | 2021-06-22 | 四川长虹电器股份有限公司 | 一种本地和互联网的设备认证授权方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104270347B (zh) | 2017-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347835B (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| CN104270347A (zh) | 安全控制的方法、装置和系统 | |
| CN105072125B (zh) | 一种http通信系统及方法 | |
| CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输系统 | |
| CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| CN105162808B (zh) | 一种基于国密算法的安全登录方法 | |
| CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| EP3123689A1 (de) | Verfahren und system zur verbesserung der datensicherheit bei einem kommunikationsvorgang | |
| CN102986161B (zh) | 用于对应用进行密码保护的方法和系统 | |
| CN111815812B (zh) | 一种电子锁第三方开锁控制方法和系统 | |
| CN103780609A (zh) | 一种云数据的处理方法、装置和云数据安全网关 | |
| CN107368737A (zh) | 一种防止拷贝攻击的处理方法、服务器及客户端 | |
| CN103500202A (zh) | 一种轻量级数据库的安全保护方法及系统 | |
| CN103413100A (zh) | 文档安全防范系统 | |
| CN105450658A (zh) | 一种系统登录方法及装置 | |
| CN105516066A (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
| CN106411948A (zh) | 一种基于json验证码的安全认证拦截的方法 | |
| CN104270346B (zh) | 双向认证的方法、装置和系统 | |
| CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN103905557A (zh) | 用于云环境的数据存储方法和装置、及下载方法和装置 | |
| CN111815810A (zh) | 一种电子锁安全开锁方法和装置 | |
| CN105871858A (zh) | 一种保证数据安全的方法及系统 | |
| CN105516210A (zh) | 终端安全接入认证的系统及方法 | |
| CN111815813A (zh) | 一种电子锁安全系统 | |
| CN103441851A (zh) | 一种终端设备接入vpn设备的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 100084 No. 2 Building 2A201, 202, No. 1 Yuan, Nongda South Road, Haidian District, Beijing Patentee after: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100084 Beijing Haidian District Nongda South Road 1 Silicon Valley Liangcheng 2A Block 2 Floor Patentee before: BEIJING TOPWALK INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP02 | Change in the address of a patent holder |
Address after: 100096 101, 1st to 7th floors, Building 3, Yard 6, Jianfeng Road (South Extension), Haidian District, Beijing Patentee after: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100084 2a201, 202, building 2, yard 1, Nongda South Road, Haidian District, Beijing Patentee before: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |