CN109413111B - 一种基于智慧数据中心的安全访问系统及方法 - Google Patents
一种基于智慧数据中心的安全访问系统及方法 Download PDFInfo
- Publication number
- CN109413111B CN109413111B CN201811572197.0A CN201811572197A CN109413111B CN 109413111 B CN109413111 B CN 109413111B CN 201811572197 A CN201811572197 A CN 201811572197A CN 109413111 B CN109413111 B CN 109413111B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- security
- request
- end module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000012544 monitoring process Methods 0.000 claims abstract description 40
- 238000012795 verification Methods 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 5
- 238000011084 recovery Methods 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 73
- 238000011161 development Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000004134 energy conservation Methods 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005057 refrigeration Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/103—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for protecting copy right
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于计算机安全领域,涉及一种基于智慧数据中心的安全访问系统及方法,该系统包括:安全前端模块,用于接收来自客户端的数据,对来自安全访问管理模块的数据进行签名验证;安全访问管理服务模块用于根据请求,找到相应数据,发送至安全前端模块;监控管理模块用于处理来自安全前端模块的请求和告警信息;业务管理发布模块用于对系统中所有数据计算hash值,进行数字签名;数据库用于存储系统中的所有数据及所有数据的hash值和数字签名。本发明的系统及方法能够保证未经认证的数据不能被下载到客户端,从而大大减小了由于网站页面被篡改或非公开文件被黑客获取而造成损失的风险。
Description
技术领域
本发明属于计算机安全领域,涉及一种基于智慧数据中心的安全访问系统及方法。
背景技术
智慧数据中心是基于云计算的新一代数据中心部署形式,为了应对云计算、虚拟化、集中化、高密化等服务器发展的趋势,其采用模块化设计理念,最大程度的降低基础设施对机房环境的耦合。集成了供配电、制冷、机柜、气流遏制、综合布线、动环监控等子系统,提高数据中心的整体运营效率,实现快速部署、弹性扩展和绿色节能。
随着大数据信息行业的飞速发展,智慧数据中心的发展也进入到一个新的阶段。针对智慧数据中心的安全访问的黑客攻击也与日俱增。目前,多数应用采用防火墙和入侵检测等技术手段抵御攻击。这些手段对于一些利用系统未知缺陷的入侵缺乏有效的防范;一旦入侵者成功入侵服务器并取得相应权限后,即可肆意篡改网站内容。而智慧数据中心业务应用无法阻止这些被篡改的内容发送到客户端。
目前流行的基于智慧数据中心的安全访问管理使用的软件系统,如MicrosoftIIS、Apache等,都是一套复杂的系统,虽然可以通过修改基于智慧数据中心的安全访问管理软件系统来加入认证机,但如果想对这些系统进行修改,首先要建立在对系统结构非常了解的基础上,其次还要求有全部或部分的源码,并且要考虑新安全机制的加入对原系统结构的影响,工作量和开发成本都非常高。
也有技术方案使用S-HTTP协议,建立客户端与服务器可信通道的方式来保证WWW安全。S-HTTP可信通道可以进行数据起源认证,并保证数据的完整性和机密性。但这需要客户端与服务器配合进行双向认证,对客户端有一定的要求。还有技术方案提出了一种以PKCS#7和S/MIME技术为基础的双向认证和加密机制,以保证HTTP内容的完整性、机密性和非否认性。它需要在客户端增加一个加密和认证模块来处理外发的HTML数据,对客户端要求较高,对于面向公众的网站并不适合。
发明内容
本发明为了解决上述问题提出一种基于智慧数据中心的安全访问系统及方法,保证未经认证的文件不能被下载到客户端,从而大大减小了由于网站页面被篡改或非公开文件被黑客获取而造成损失的风险。
为了实现上述目的,本发明的技术方案是:
一种基于智慧数据中心的安全访问系统,包括安全前端模块、安全访问管理服务模块、监控管理模块、业务管理发布模块和数据库,
所述安全前端模块用于接收来自客户端的请求并转发至安全访问管理服务模块,对来自安全访问管理模块的数据进行签名验证;
所述安全访问管理服务模块用于根据客户端的请求,找到相应的数据,发送至安全前端模块;
所述监控管理模块用于处理来自安全前端模块的请求和告警信息;
所述业务管理发布模块用于对系统中的所有数据计算hash值,进行数字签名;
所述数据库用于存储系统中的所有数据以及所有数据的hash值和数字签名。
如上所述的一种基于智慧数据中心的安全访问系统,还包括内部签名验证和加密模块,所述内部签名验证和加密模块用于对来自于安全访问管理服务模块的数据进行内部签名验证和加密,加密后发送至安全前端模块。
如上所述的一种基于智慧数据中心的安全访问系统,所述监控管理模块还用于对系统中的所有数据做完整性检查,检查其数字签名以确认数据的合法性。
如上所述的一种基于智慧数据中心的安全访问系统,所述安全前端模块对来自安全访问管理模块的数据如果签名验证成功,则删除数字签名把其余数据发送回客户端,如果签名验证失败,则不发送回客户端,通过安全前端监控线路向监控管理模块报警。
本发明还提供一种基于智慧数据中心的安全访问方法,该安全访问方法包括以下步骤:
安全前端模块接收客户端的请求,将请求发送给监控管理模块;
监控管理模块处理安全前端模块的请求,提取相应数据的hash值,进行数字签名认证;
如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求;
安全前端模块验证相应数据的数字签名,若验证通过,删除数字把相应数据发送至客户端,否则,该数据不发送至客户端,向监控管理模块报警。
如上所述的一种基于智慧数据中心的安全访问方法,所述如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求的具体步骤为:如果数字签名认证成功,则通过该请求,安全访问管理服务模块将相应数据发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于相应数据的请求,检查数据库,恢复该数据的合法版本后再通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
如上所述的一种基于智慧数据中心的安全访问方法,所述如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求的具体步骤为:如果数字签名认证成功,则通过该请求,安全访问管理服务模块将相应数据发送至内部签名验证和加密模块,内部签名验证和加密模块对该数据进行内部签名验证和加密,加密后发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于相应数据的请求,检查数据库,恢复该数据的合法版本后再通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
如上所述的一种基于智慧数据中心的安全访问方法,当安全前端模块对相应数据的数字签名验证失败,向监控管理模块报警后,监控管理模块在数据库中提取该数据,对该数据进行数字签名认证,如果数字签名认证成功,安全访问管理服务模块将该数据发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于相应数据的请求,检查数据库,恢复该数据的合法版本后再通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
如上所述的一种基于智慧数据中心的安全访问方法,还包括定时对所有数据做完整性检查,检查其数字签名以确认其合法性,如果检查失败,向安全前端模块发送信号,禁止客户端对于相应数据的请求,检查数据库,恢复该数据的合法版本后再通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
本发明的有益效果为:
本发明的基于智慧数据中心的安全访问管理系统主要包括安全前端模块、安全访问管理服务模块、监控管理模块、业务管理发布模块和数据库,使得数据中心安全访问管理方法统一纳入所设计的服务框架之下,构建了一个高效、稳定的基于智慧数据中心的安全访问管理系统,通过本发明的安全访问管理系统及安全访问管理方法,能够保证未经认证的数据不能被下载到客户端,从而大大减小了由于网站页面被篡改或非公开文件被黑客获取而造成损失的风险。
本发明的安全访问管理系统还设有内部签名验证和加密模块,安全访问管理服务模块将数据发送至内部签名验证和加密模块进行签名验证和加密,然后发送至安全前端模块,安全前端模块再次进行签名认证,可以避免如果内部网络有其他接口与互联网连接,或者可以直接访问基于智慧数据中心的安全访问管理的内部工作人员作案,则从基于智慧数据中心的安全访问管理发出的文件绕过安全前端模块,可以直接被攻击者获取的情况。
附图说明
图1为本发明的基于智慧数据中心的安全访问管理系统的结构示意图。
图2为本发明的基于智慧数据中心的安全访问管理方法的流程示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。根据下述实施例,可以更好地理解本发明。然而,本领域的技术人员容易理解,以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1为一种基于智慧数据中心的安全访问管理系统的结构示意图。如图1所示,一种基于智慧数据中心的安全访问系统,包括安全前端模块、安全访问管理服务模块、监控管理模块、业务管理发布模块和数据库。
安全前端模块用于接收来自客户端的请求并转发至安全访问管理服务模块,对来自安全访问管理模块的数据进行签名验证。
安全前端模块是基于硬件的签名验证设备,是保证非法文件不能发出的关键部件,它对外部网络开放有限端口,接收所有来自客户端的数据,一般使用http请求。该模块与安全访问管理服务模块和客户端的连接可以使用TCP连接,安全前端模块对来自安全访问管理模块的数据如果签名验证成功,则删除数字签名把其余数据发送回客户端,如果签名验证失败,则不发送回客户端,通过安全前端监控线路向监控管理模块报警。
安全访问管理服务模块用于根据客户端的请求,找到相应的数据,发送至安全前端模块。
监控管理模块用于处理来自安全前端模块的请求和告警信息。
当接收到来自安全前端模块的请求后,监控管理模块提取相应数据的hash值,进行数字签名认证,认证通过后,安全访问管理服务模块将相应数据发送至安全前端模块,若认证失败,或数据库中没有相应数据等情况时,监控管理模块向安全前端模块发送信号,暂时禁止对该数据的所有获取请求,同时对于其他数据的请求则照常通过,从而使此系统具备入侵容忍的特性;然后检查数据库,恢复该数据的合法版本,并计入事件日志;如果恢复失败或者该文件的合法版本不存在,则发出告警提醒管理人员干预,并计入事件日志。
当接收到来自安全前端模块的告警信息后,监控管理模块在数据库中提取该数据,对该数据进行数字签名认证,如果数字签名认证成功,安全访问管理服务模块将该数据重新发送至安全前端模块,若认证失败,或数据库中没有相应数据等情况时,监控管理模块向安全前端模块发送信号,暂时禁止对该数据的所有获取请求,同时对于其他数据的请求则照常通过,从而使此系统具备入侵容忍的特性;然后检查数据库,恢复该数据的合法版本后再向安全前端模块发送信号,通过对于该数据的请求,并计入事件日志;如果恢复失败或者该文件的合法版本不存在,则发出告警提醒管理人员干预,并计入事件日志。
所述监控管理模块还用于对系统中的所有数据做完整性检查,检查其数字签名以确认数据的合法性。对于该完整性检查,可以在网络负荷较轻时,比如每天凌晨左右,扫描所有数据,检查其数字签名以确认其合法性。
业务管理发布模块用于对系统中的所有数据计算hash值,进行数字签名。数字签名的主要目的是证明数据是由业务管理发布模块生成的合法数据。
数据库用于存储系统中的所有数据及所有数据的hash值和数字签名。
在其他实施例中,该基于智慧数据中心的安全访问系统还包括内部签名验证和加密模块,所述内部签名验证和加密模块用于对来自于安全访问管理服务模块的数据进行内部签名验证和加密,加密后发送至安全前端模块。内部签名验证和加密模块与安全前端模块和安全访问管理服务模块之间SSL连接。
如果内部网络有其他接口与互联网连接,或者可以直接访问该系统内部工作人员作案,则从安全访问管理服务模块发出的数据可以直接被攻击者获取。在这种安全前端模块可以被绕过的情况下,无法再依靠安全前端模块来控制不会发出非法文件。所以设置内部签名验证和加密模块,对安全访问管理服务模块发出的数据进行数字签名验证和加密后再发送至安全前端模块。内部签名验证和加密模块可以使用传统的防火墙技术来实现。
在其他实施例中,该基于智慧数据中心的安全访问系统还包括备份数据库,业务管理发布模块将hash值经过安全访问管理服务模块和监控管理模块同步到备份数据库中,数据库中至存储系统中的所有数据。
图2为一种基于智慧数据中心的安全访问管理方法的流程示意图。如图2所示,一种基于智慧数据中心的安全访问方法包括以下步骤:
S1:安全前端模块接收客户端的请求,将请求发送给监控管理模块;
在系统接收客户端请求之前,业务管理发布模块计算该系统中涉及的所有网络中的所有数据的hash值,将数据保存在数据库中,业务管理发布模块可以采用SHA-1算法计算所有数据的hash值;
S2:监控管理模块处理安全前端模块的请求,提取相应数据的hash值,进行数字签名认证:
监控管理模块接收安全前端模块的请求,根据请求提取相应数据的hash值,进行数字签名认证;
S3:如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求:
如果数字签名认证成功,则通过该请求,安全访问管理服务模块将相应数据发送至安全前端模块,否则,当出现若认证失败,或数据库中没有相应数据等情况时,监控管理模块向安全前端模块发送信号,暂时禁止对该数据的所有获取请求,同时对于其他数据的请求则照常通过,从而使此系统具备入侵容忍的特性;然后检查数据库,恢复该数据的合法版本后再向安全前端模块发送信号,通过对于该数据的请求,并计入事件日志;如果恢复失败或者该文件的合法版本不存在,则发出告警提醒管理人员干预,并计入事件日志;
S4:安全前端模块验证相应数据的数字签名,若验证通过,删除数字把相应数据发送至客户端,否则,该数据不发送至客户端,向监控管理模块报警。
当安全前端模块对相应数据的数字签名验证失败,向监控管理模块报警后,监控管理模块在数据库中提取该数据,对该数据进行数字签名认证,如果数字签名认证成功,安全访问管理服务模块将该数据发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于相应数据的请求,检查数据库,恢复该数据的合法版本后再向安全前端模块发送信号,通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
另一实施例中的所述如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求的具体步骤为:如果数字签名认证成功,则通过该请求,安全访问管理服务模块将相应数据发送至内部签名验证和加密模块,内部签名验证和加密模块对该数据进行内部签名验证和加密,加密后发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于相应数据的请求,检查数据库,恢复该数据的合法版本后再向安全前端模块发送信号,通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
该基于智慧数据中心的安全访问方法还包括定时对所有数据做完整性检查,检查其数字签名以确认其合法性,如果检查失败,向安全前端模块发送信号,禁止客户端对于相应数据的请求,检查数据库,恢复该数据的合法版本后再向安全前端模块发送信号,通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请,并不能以此限制本申请的保护范围。凡根据本申请精神实质所做的等效变化或修饰,都应涵在盖本申请的保护范围内。
Claims (9)
1.一种基于智慧数据中心的安全访问系统,其特征在于,包括安全前端模块、安全访问管理服务模块、监控管理模块、业务管理发布模块和数据库,
所述安全前端模块用于接收来自客户端的请求并转发至安全访问管理服务模块,对来自安全访问管理服务模块的数据进行签名验证;
所述安全访问管理服务模块用于根据客户端的请求,找到相应的数据,发送至安全前端模块;
所述监控管理模块用于处理来自安全前端模块的请求和告警信息,处理请求的具体方式为:当接收到来自安全前端模块的请求后,监控管理模块提取相应数据的hash值,进行数字签名认证;
所述业务管理发布模块用于对系统中的所有数据计算hash值,进行数字签名;
所述数据库用于存储系统中的所有数据以及所有数据的hash值和数字签名。
2.如权利要求1所述的一种基于智慧数据中心的安全访问系统,其特征在于,还包括内部签名验证和加密模块,所述内部签名验证和加密模块用于对来自于安全访问管理服务模块的数据进行内部签名验证和加密,加密后发送至安全前端模块。
3.如权利要求1所述的一种基于智慧数据中心的安全访问系统,其特征在于,所述监控管理模块还用于对系统中的所有数据做完整性检查,检查其数字签名以确认数据的合法性。
4.如权利要求1所述的一种基于智慧数据中心的安全访问系统,其特征在于,所述安全前端模块对来自安全访问管理服务模块的数据如果签名验证成功,则删除数字签名并把其余数据发送回客户端,如果签名验证失败,则不发送回客户端,通过安全前端监控线路向监控管理模块报警。
5.一种基于智慧数据中心的安全访问方法,其特征在于,包括以下步骤:
安全前端模块接收客户端的请求,将请求发送给监控管理模块;
监控管理模块处理安全前端模块的请求,提取请求数据的hash值,进行数字签名认证;
如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求;
安全前端模块验证相应数据的数字签名,若验证通过,删除数字并把相应数据发送至客户端,否则,该数据不发送至客户端,向监控管理模块报警。
6.如权利要求5所述的一种基于智慧数据中心的安全访问方法,其特征在于,所述如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求的具体步骤为:如果数字签名认证成功,则通过该请求,安全访问管理服务模块将相应数据发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于该数据的请求,并检查数据库,恢复该数据的合法版本后再通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
7.如权利要求5所述的一种基于智慧数据中心的安全访问方法,其特征在于,所述如果数字签名认证成功,则通过该请求,否则,向安全前端模块发送信号,禁止对于相应数据的请求的具体步骤为:如果数字签名认证成功,则通过该请求,安全访问管理服务模块将相应数据发送至内部签名验证和加密模块,内部签名验证和加密模块对该数据进行内部签名验证和加密,加密后发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于相应数据的请求,并检查数据库,恢复该数据的合法版本后再通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
8.如权利要求5所述的一种基于智慧数据中心的安全访问方法,其特征在于,当安全前端模块对相应数据的数字签名验证失败,向监控管理模块报警后,监控管理模块在数据库中提取该数据,对该数据进行数字签名认证,如果数字签名认证成功,安全访问管理服务模块将该数据发送至安全前端模块,否则,向安全前端模块发送信号,禁止对于相应数据的请求,并检查数据库,恢复该数据的合法版本后再通过对于该数据的请求,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
9.如权利要求5所述的一种基于智慧数据中心的安全访问方法,其特征在于,还包括定时对所有数据做完整性检查,检查其数字签名以确认其合法性,如果检查失败,向安全前端模块发送信号,禁止客户端对于相应数据的请求,并检查数据库,恢复该数据的合法版本,如果恢复失败或该数据的合法版本不存在,则发出告警提醒管理人员。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811572197.0A CN109413111B (zh) | 2018-12-21 | 2018-12-21 | 一种基于智慧数据中心的安全访问系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811572197.0A CN109413111B (zh) | 2018-12-21 | 2018-12-21 | 一种基于智慧数据中心的安全访问系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109413111A CN109413111A (zh) | 2019-03-01 |
CN109413111B true CN109413111B (zh) | 2021-10-26 |
Family
ID=65461092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811572197.0A Active CN109413111B (zh) | 2018-12-21 | 2018-12-21 | 一种基于智慧数据中心的安全访问系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109413111B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110493236B (zh) * | 2019-08-23 | 2020-09-25 | 星环信息科技(上海)有限公司 | 一种通信方法、计算机设备及存储介质 |
CN117113411B (zh) * | 2023-09-11 | 2024-03-08 | 北京发祥地科技发展有限责任公司 | 基于人工智能的物联网数据处理技术 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1858738B (zh) * | 2006-02-15 | 2010-08-25 | 华为技术有限公司 | 访问数据库的方法及装置 |
CN101674304B (zh) * | 2009-10-15 | 2013-07-10 | 浙江师范大学 | 一种网络身份认证系统及方法 |
US9215076B1 (en) * | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
CN102970299B (zh) * | 2012-11-27 | 2015-06-03 | 西安电子科技大学 | 文件安全保护系统及其方法 |
CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
CN104506527B (zh) * | 2014-12-23 | 2021-12-17 | 苏州海博智能系统有限公司 | 多维信息指针平台及其数据访问方法 |
CN105187447B (zh) * | 2015-09-30 | 2018-06-08 | 成都汇合乾元科技有限公司 | 一种终端安全登录方法 |
CN105227380B (zh) * | 2015-10-29 | 2019-07-16 | 邱彼特 | 用户数据处理的方法、装置及系统 |
CN108881310B (zh) * | 2018-08-15 | 2020-05-19 | 飞天诚信科技股份有限公司 | 一种注册系统及其工作方法 |
-
2018
- 2018-12-21 CN CN201811572197.0A patent/CN109413111B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109413111A (zh) | 2019-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105430000A (zh) | 云计算安全管理系统 | |
KR102152360B1 (ko) | IoT 서비스를 위한 블록체인 기반 데이터 신뢰성 제공 시스템 및 방법 | |
CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
CN105099705B (zh) | 一种基于usb协议的安全通信方法及其系统 | |
CN111683157A (zh) | 一种物联网设备的网络安全防护方法 | |
US20130347125A1 (en) | Secondary Asynchronous Background Authorization (SABA) | |
CN113225351B (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
CN109413111B (zh) | 一种基于智慧数据中心的安全访问系统及方法 | |
CN112016073B (zh) | 一种服务器零信任连接架构的构建方法 | |
CN112651021A (zh) | 一种基于大数据的信息安全防御系统 | |
CN110740140A (zh) | 一种基于云平台的网络信息安全监管系统 | |
CN111586021A (zh) | 一种远程办公业务授权方法、终端及系统 | |
CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
CN110851837B (zh) | 一种基于可信计算的自助设备、其安全管理系统及方法 | |
CN112564985A (zh) | 一种基于区块链的安全运维管理的方法 | |
US20130311385A1 (en) | Third Party Security Monitoring & Audit | |
CN106130996B (zh) | 一种网站防攻击验证系统及方法 | |
CN111769956B (zh) | 业务处理方法、装置、设备及介质 | |
CN115022044A (zh) | 一种基于多云架构的存储方法和系统 | |
US10412097B1 (en) | Method and system for providing distributed authentication | |
CN116760639B (zh) | 一种用于多租户的数据安全隔离与共享框架实现方法 | |
CN113904934B (zh) | 一种基于异构校验的高安全设备配置方法和装置 | |
CN114513359A (zh) | 一种端到端保护的网页防篡改系统 | |
KR102648908B1 (ko) | 사용자 인증 시스템 및 방법 | |
KR102211846B1 (ko) | 랜섬웨어 탐지 시스템 및 그의 동작 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |