CN117579403A - 一种可信应用接入的装置 - Google Patents

一种可信应用接入的装置 Download PDF

Info

Publication number
CN117579403A
CN117579403A CN202410068613.2A CN202410068613A CN117579403A CN 117579403 A CN117579403 A CN 117579403A CN 202410068613 A CN202410068613 A CN 202410068613A CN 117579403 A CN117579403 A CN 117579403A
Authority
CN
China
Prior art keywords
application
information
user
subunit
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410068613.2A
Other languages
English (en)
Other versions
CN117579403B (zh
Inventor
许芬
邵珠峰
吴迪
张瑶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Yongdingyun Information Technology Co ltd
Yongding Xingyuan Guizhou Information Technology Co ltd
Yongding Xingyuan Nanjing Information Technology Co ltd
Original Assignee
Guizhou Yongdingyun Information Technology Co ltd
Yongding Xingyuan Guizhou Information Technology Co ltd
Yongding Xingyuan Nanjing Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Yongdingyun Information Technology Co ltd, Yongding Xingyuan Guizhou Information Technology Co ltd, Yongding Xingyuan Nanjing Information Technology Co ltd filed Critical Guizhou Yongdingyun Information Technology Co ltd
Priority to CN202410068613.2A priority Critical patent/CN117579403B/zh
Publication of CN117579403A publication Critical patent/CN117579403A/zh
Application granted granted Critical
Publication of CN117579403B publication Critical patent/CN117579403B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及电子信息技术安全访问领域,尤其涉及一种可信应用接入的装置,该装置包括:接收模块,接收访问请求中携带的用户令牌和应用令牌;校验模块解析用户令牌和应用令牌,获取用户解密信息和应用解密信息,并根据存储在云端内的用户终端的账号信息和应用信息校验用户解密信息和应用解密信息;访问模块在通过校验时,生成校验访问请求;传输模块建立若干传输通道,并通过若干传输通道传输校验访问请求;选择模块通过若干传输通道接收基于校验访问请求的应用反馈信息和应用反馈时刻,并根据应用反馈信息和应用反馈时刻选择最终传输通道。本发明提高了用户访问应用过程的安全性。

Description

一种可信应用接入的装置
技术领域
本发明涉及电子信息技术安全访问领域,尤其涉及一种可信应用接入的装置。
背景技术
保障信息安全的技术包括:硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术等。其中,硬件系统安全和操作系统安全是信息系统安全的基础,密码和网络安全等是关键技术;网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等。
中国专利公开号为CN110492994A的专利文献公开了一种可信网络接入方法和系统,该系统包括:采用垂直式的信息流处理架构,包括垂直解耦式的数据平面和防御平面,在数据平面上,通过接口形式进行网络包整流和传输功能调用,实现网络包的收发;在防御平面上,实现网络包的加解密、完整性认证、密钥管理的安全功能;而数据平面和防御平面相交的部分通过不可修改的方式实现于操作系统之下、计算环境的底层,用以完成网络包的加解密和完整性操作。
现有技术中在访问应用的过程中容易遭受外部系统的攻击,使访问信息被篡改,从而造成访问过程安全性低的问题。
发明内容
为此,本发明提供一种可信应用接入的装置,通过对用户令牌和应用令牌的接收、解析、校验,以及通过建立传输通道进行数据传输,并通过选择模块实时监测通道状态,根据反馈信息和应用反馈时刻选择最终传输通道可以实现用户访问应用过程中安全性提升。
为实现上述目的,本发明提供一种可信应用接入的装置,包括:
接收模块,接收访问请求中携带的用户令牌和应用令牌,所述用户令牌包含用户加密信息及校验数字加密信息,所述应用令牌包括应用加密信息及校验数字加密信息;
校验模块,与所述接收模块连接,解析所述用户令牌和应用令牌,获取用户解密信息和应用解密信息,并根据存储在云端内的用户终端的账号信息和应用信息校验所述用户解密信息和所述应用解密信息;
访问模块,与所述校验模块连接,用以在通过校验时,生成校验访问请求;
传输模块,用以建立若干传输通道,并通过若干所述传输通道传输所述校验访问请求;
选择模块,用以通过若干所述传输通道接收基于所述校验访问请求的应用反馈信息和应用反馈时刻,并根据所述应用反馈信息和所述应用反馈时刻选择最终传输通道。
进一步地,所述校验模块包括解析单元和校验单元,其中,
所述解析单元用以通过解密算法解析所述用户令牌和所述应用令牌,获取用户解密信息和应用解密信息;
所述校验单元,与所述解析单元连接,根据存储在云端内的用户终端的账号信息和应用信息校验所述用户解密信息和所述应用解密信息,获取校验结果;
所述用户解密信息包括解密用户信息及解密校验数字,所述应用解密信息包括解密应用信息及解密校验数字。
进一步地,所述解析单元包括识别子单元和解密子单元,其中,
所述识别子单元用以通过读取所述用户令牌和所述应用令牌的若干字节符号识别所述用户令牌和所述应用令牌的加密算法;
所述解密子单元,与所述识别子单元连接,用以根据所述加密算法采取对称的解密算法对所述用户令牌和所述应用令牌进行解密,获取所述用户解密信息和所述应用解密信息。
进一步地,所述识别子单元通过读取所述用户令牌和所述应用令牌的若干字节符号识别所述用户令牌和所述应用令牌的加密算法包括:
提取所述用户令牌和所述应用令牌中的若干所述字节符号;
通过正则表达式将若干所述字节符号与数据库中存储的加密算法对应的字节符号进行计算匹配,获取匹配结果;
将匹配结果按照由大到小进行排序,提取排序第一对应的所述加密算法。
进一步地,所述校验单元包括提取子单元、篡改校验子单元、比较子单元和信息校验子单元,其中,
所述提取子单元用以提取所述用户解密信息中解密校验数字;
所述篡改校验子单元,与所述提取子单元连接,用以将所述解密校验数字与所述校验数字通过相似度计算及逆行校验,获取校验结果;
所述比较子单元,与所述篡改校验子单元连接,当所述相似度计算结果大于等于预设相似度时,对所述用户解密信息中解密用户信息进行校验,当所述相似度计算结果小于所述预设相似度时,则所述用户解密信息被篡改,所述用户解密信息没有通过校验;
所述信息校验子单元,与所述比较子单元连接,用以对所述用户解密信息中解密用户信息和所述用户信息通过相似度计算进行校验,当相似度计算结果大于等于预设相似度时,所述用户解密信息通过校验。
进一步地,所述传输模块包括通道建立单元、校验请求接收单元、卸载封装单元和流量发送单元,其中,
所述通道建立单元用以根据所述可信应用接入的装置域名信息与所述应用信息建立若干传输通道;
所述校验请求接收单元用以通过网络通道接收通过所述可信应用接入装置校验后的所述校验访问请求;
所述卸载封装单元,与所述校验请求接收单元连接,当获取所述校验访问请求时,对所述校验访问请求进行流量卸载封装处理,获取访问流量,并对所述访问流量进行安全检测;
所述流量发送单元,与所述卸载封装单元连接,用以将所述访问流量传入应用;
所述校验访问请求包括所述用户解密信息和所述应用解密信息。
进一步地,所述卸载封装单元包括解析子单元、添加子单元和封装子单元,其中,
所述解析子单元,用以解析所述用户解密信息和所述应用解密信息的数据源地址和有效载荷数据;
所述添加子单元,与所述解析子单元连接,用以在所述数据源地址中添加所述应用的目标地址,获取组合数据;
所述封装子单元,与所述添加子单元连接,用以将所述组合数据与所述有效载荷数据进行组合封装,获取所述访问流量。
进一步地,所述卸载封装单元还包括入侵检测子单元和措施采取子单元,其中,
所述入侵检测子单元,用以提取所述访问流量的数据包大小,将数据包值与预设入侵数据包值进行匹配,若匹配结果相同,则所述访问流量存在入侵行为;
所述措施采取子单元,与所述入侵检测子单元连接,当所述访问流量存在入侵行为时,对所述访问流量进行隔离。
进一步地,所述选择模块包括接收单元、应用解析单元、应用校验单元和确定单元,其中,
所述接收单元用以对若干所述传输通道进行实时监测,获取若干应用反馈信号及应用反馈时刻;
所述应用解析单元,与所述接收单元连接,用以对若干所述应用反馈信号进行解析,获取应用反馈信息;
所述应用校验单元,与所述应用解析单元连接,用以对若干所述应用反馈信息进行校验,获取应用反馈信息校验结果;
所述确定单元,与所述应用校验单元连接,用以根据所述应用反馈信息校验结果和所述应用反馈时刻选择所述最终传输通道。
进一步地,所述确定单元根据所述应用反馈信息校验结果和所述应用反馈时刻选择所述最终传输通道包括:
将所述应用反馈信息与预设应用反馈信息进行相似度计算,提取相似度计算结果大于预设相似度值的若干传输通道;
根据若干所述传输通道的若干所述传输时刻由先到后进行排序,获取排序第一的所述传输通道为所述最终传输通道。
与现有技术相比,本发明的有益效果在于,通过设置所述接收模块对用户令牌和应用令牌进行使用,在用户端发送和所述装置接收过程中对用户和应用进行身份验证和授权,有效防止非法访问和数据泄露,所述用户令牌包含了用户加密信息和校验数字加密信息,应用令牌包含应用加密信息和校验数字加密信息,这些信息在校验模块中被解析并用于验证所述用户信息和所述应用信息,提高了系统的安全性,通过设置所述访问模块根据校验模块的校验结果生成校验访问请求,对通过校验的用户和应用进行访问授权,从而实现灵活的访问控制,提高了系统工作的效率,通过设置所述传输模块建立了多个传输通道,接收和发送多个数据流,从而提高系统的可用性,并根据应用反馈信息和应用反馈时刻选择最终传输通道,进一步优化了数据传输的效率和可靠性,提高了系统传输过程的准确性,提高系统的稳定性和可用性。
尤其,通过设置所述解析单元通过解密算法解析用户令牌和应用令牌,得到用户解密信息和应用解密信息,为后续校验结果提供校验基础,使得在信息传输过程中敏感信息不会被明文传输,从而提高了系统的安全性,通过设置所述校验单元使用存储在云端内的用户终端的账号信息和应用信息来校验用户解密信息和应用解密信息,确保所述账号信息和所述应用信息的准确性,防止在传输过程中被篡改,提高了信息的可靠性,如果用户解密信息或应用解密信息在传输过程中被篡改,系统会检测到并采取相应的错误处理措施,避免用户需要手动解决错误的情况,从而提高系统处理效率,提高了系统的稳定性。
尤其,通过设置所述识别子单元通过读取用户令牌和应用令牌的若干字节符号来识别加密算法,使得对于所述用户令牌和所述应用令牌加密过程的加密算法获取,从而保证后续解密过程的进行,通过设置所述解密子单元根据识别子单元识别的加密算法,采用相应的对称解密算法对用户令牌和应用令牌进行解密,获取用户解密信息和应用解密信息,保护解密过程中敏感信息的安全性,防止信息在传输过程中被泄露,如果在解密过程中出现错误,系统根据预设的错误处理策略进行相应的处理,例如重新尝试解密或者进行异常处理,从而提高系统的稳定性和可靠性。
尤其,通过设置所述篡改校验子单元,对解密校验数字和校验数字进行相似度计算和逆行校验,检测校验数字信息是否被篡改,提高了系统的安全性,通过设置所述比较子单元根据预设的相似度对用户解密信息进行校验,检测解密用户信息是否被更改,提高了系统传输数据的准确性及传输过程的安全性,通过设置所述信息校验子单元对用户解密信息和用户信息进行相似度计算,从而保护用户信息的安全性,防止用户信息在传输过程中被泄露,提高系统的稳定性和可靠性。
尤其,通过设置所述通道建立单元根据可信应用接入的装置域名信息与应用信息建立传输通道,使得数据传输过程更高效,减少了传输时间和延迟,通过设置所述卸载封装单元在获取校验访问请求时,对请求进行流量卸载封装处理,并进行安全检测,有效防止恶意攻击和数据篡改,提高了数据的安全性,通过设置所述校验请求接收单元通过网络通道接收通过可信应用接入装置校验后的校验访问请求,保证了数据的完整性和准确性。
尤其,通过设置所述接收单元对传输通道进行实时监测,获取应用反馈信号及应用反馈时刻,使得系统能够及时获取各通道的状态和反馈信息,通过设置所述应用解析单元对应用反馈信号进行解析,获取更详细、准确的应用反馈信息,有利于提高系统的可靠性和准确性,通过设置所述应用校验单元对应用反馈信息进行校验,获取校验结果,避免反馈信息的误判和错误,提高系统的稳定性和准确性,通过设置所述确定单元根据应用反馈信息校验结果和应用反馈时刻选择最终传输通道,使得系统根据实际情况选择合适的通道进行数据传输,提高了系统的灵活性和可靠性。
附图说明
图1为本发明实施例提供的一种可信应用接入的装置的第一种结构框图;
图2为本发明实施例提供的一种可信应用接入的装置的第二种结构框图;
图3为本发明实施例提供的一种可信应用接入的装置的第三种结构框图;
图4为本发明实施例提供的一种可信应用接入的装置的第四种结构框图。
实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,本发明实施例提供一种可信应用接入的装置,该装置包括:
接收模块10,接收访问请求中携带的用户令牌和应用令牌,所述用户令牌包含用户加密信息及校验数字加密信息,所述应用令牌包括应用加密信息及校验数字加密信息;
校验模块20,与所述接收模块10连接,解析所述用户令牌和应用令牌,获取用户解密信息和应用解密信息,并根据存储在云端内的用户终端的账号信息和应用信息校验所述用户解密信息和所述应用解密信息;
访问模块30,与所述校验模块20连接,用以在通过校验时,生成校验访问请求;
传输模块40,用以建立若干传输通道,并通过若干所述传输通道传输所述校验访问请求;
选择模块50,用以通过若干所述传输通道接收基于所述校验访问请求的应用反馈信息和应用反馈时刻,并根据所述应用反馈信息和所述应用反馈时刻选择最终传输通道。
具体而言,所述用户令牌和所述应用令牌由用户端获得,具体过程为:
在用户登录认证通过后,发送令牌生成指令;
通过哈希算法处理所述账号信息和所述应用信息,获取初始用户令牌和初始应用令牌;
在所述初始用户令牌和所述初始应用令牌中添加校验数字;
通过加密算法将所述初始用户令牌与所述校验数字进行加密,获取用户令牌,并通过加密算法将所述初始应用令牌和所述校验数字进行加密,获取应用令牌;
所述用户端与所述可信应用接入的装置连接。
具体而言,本发明实施例通过设置所述接收模块10对用户令牌和应用令牌进行使用,在用户端发送和所述装置接收过程中对用户和应用进行身份验证和授权,有效防止非法访问和数据泄露,所述用户令牌包含了用户加密信息和校验数字加密信息,应用令牌包含应用加密信息和校验数字加密信息,这些信息在校验模块20中被解析并用于验证所述用户信息和所述应用信息,提高了系统的安全性,通过设置所述访问模块30根据校验模块20的校验结果生成校验访问请求,对通过校验的用户和应用进行访问授权,从而实现灵活的访问控制,提高了系统工作的效率,通过设置所述传输模块40建立了多个传输通道,接收和发送多个数据流,从而提高系统的可用性,并根据应用反馈信息和应用反馈时刻选择最终传输通道,进一步优化了数据传输的效率和可靠性,提高了系统传输过程的准确性,提高系统的稳定性和可用性。
参阅图2所示,所述校验模块20包括解析单元21和校验单元22,其中,
所述解析单元21用以通过解密算法解析所述用户令牌和所述应用令牌,获取用户解密信息和应用解密信息;
所述校验单元22,与所述解析单元21连接,根据存储在云端内的用户终端的账号信息和应用信息校验所述用户解密信息和所述应用解密信息,获取校验结果;
所述用户解密信息包括解密用户信息及解密校验数字,所述应用解密信息包括解密应用信息及解密校验数字。
具体而言,所述用户令牌和所述应用令牌的加密算法可能为对称加密算法,例如AES、DES等,则其对应的解密算法也可能为相应的对称解密算法,例如AES解密算法、DES解密算法等,对称加密算法和解密算法使用相同的密钥。
具体而言,本发明实施例通过设置所述解析单元21通过解密算法解析用户令牌和应用令牌,得到用户解密信息和应用解密信息,为后续校验结果提供校验基础,使得在信息传输过程中敏感信息不会被明文传输,从而提高了系统的安全性,通过设置所述校验单元22使用存储在云端内的用户终端的账号信息和应用信息来校验用户解密信息和应用解密信息,确保所述账号信息和所述应用信息的准确性,防止在传输过程中被篡改,提高了信息的可靠性,如果用户解密信息或应用解密信息在传输过程中被篡改,系统会检测到并采取相应的错误处理措施,避免用户需要手动解决错误的情况,从而提高系统处理效率,提高了系统的稳定性。
具体而言,所述解析单元21包括识别子单元和解密子单元,其中,
所述识别子单元用以通过读取所述用户令牌和所述应用令牌的若干字节符号识别所述用户令牌和所述应用令牌的加密算法;
所述解密子单元,与所述识别子单元连接,用以根据所述加密算法采取对称的解密算法对所述用户令牌和所述应用令牌进行解密,获取所述用户解密信息和所述应用解密信息。
具体而言,本发明实施例通过设置所述识别子单元通过读取用户令牌和应用令牌的若干字节符号来识别加密算法,使得对于所述用户令牌和所述应用令牌加密过程的加密算法获取,从而保证后续解密过程的进行,通过设置所述解密子单元根据识别子单元识别的加密算法,采用相应的对称解密算法对用户令牌和应用令牌进行解密,获取用户解密信息和应用解密信息,保护解密过程中敏感信息的安全性,防止信息在传输过程中被泄露,如果在解密过程中出现错误,系统根据预设的错误处理策略进行相应的处理,例如重新尝试解密或者进行异常处理,从而提高系统的稳定性和可靠性。
具体而言,所述识别子单元通过读取所述用户令牌和所述应用令牌的若干字节符号识别所述用户令牌和所述应用令牌的加密算法包括:
提取所述用户令牌和所述应用令牌中的若干所述字节符号;
通过正则表达式将若干所述字节符号与数据库中存储的加密算法对应的字节符号进行计算匹配,获取匹配结果;
将匹配结果按照由大到小进行排序,提取排序第一对应的所述加密算法。
具体而言,所述校验单元22包括提取子单元、篡改校验子单元、比较子单元和信息校验子单元,其中,
所述提取子单元用以提取所述用户解密信息中解密校验数字;
所述篡改校验子单元,与所述提取子单元连接,用以将所述解密校验数字与所述校验数字通过相似度计算及逆行校验,获取校验结果;
所述比较子单元,与所述篡改校验子单元连接,当所述相似度计算结果大于等于预设相似度时,对所述用户解密信息中解密用户信息进行校验,当所述相似度计算结果小于所述预设相似度时,则所述用户解密信息被篡改,所述用户解密信息没有通过校验;
所述信息校验子单元,与所述比较子单元连接,用以对所述用户解密信息中解密用户信息和所述用户信息通过相似度计算进行校验,当相似度计算结果大于等于预设相似度时,所述用户解密信息通过校验。
具体而言,将所述解密校验数字与所述校验数字通过相似度计算及逆行校验,获取校验结果包括:通过余弦相似度算法计算解密校验数字与原始校验数字之间的相似度;
基于计算出的相似度值,进行逆行校验;
所述预设相似度为0.7。
具体而言,本发明实施例通过设置所述篡改校验子单元,对解密校验数字和校验数字进行相似度计算和逆行校验,检测校验数字信息是否被篡改,提高了系统的安全性,通过设置所述比较子单元根据预设的相似度对用户解密信息进行校验,检测解密用户信息是否被更改,提高了系统传输数据的准确性及传输过程的安全性,通过设置所述信息校验子单元对用户解密信息和用户信息进行相似度计算,从而保护用户信息的安全性,防止用户信息在传输过程中被泄露,提高系统的稳定性和可靠性。
参阅图3所示,所述传输模块40包括通道建立单元41、校验请求接收单元42、卸载封装单元43和流量发送单元44,其中,
所述通道建立单元41用以根据所述可信应用接入的装置域名信息与所述应用信息建立若干传输通道;
所述校验请求接收单元42用以通过网络通道接收通过所述可信应用接入装置校验后的所述校验访问请求;
所述卸载封装单元43,与所述校验请求接收单元42连接,当获取所述校验访问请求时,对所述校验访问请求进行流量卸载封装处理,获取访问流量,并对所述访问流量进行安全检测;
所述流量发送单元44,与所述卸载封装单元43连接,用以将所述访问流量传入应用;
所述校验访问请求包括所述用户解密信息和所述应用解密信息。
具体而言,本发明实施例通过设置所述通道建立单元41根据可信应用接入的装置域名信息与应用信息建立传输通道,使得数据传输过程更高效,减少了传输时间和延迟,通过设置所述卸载封装单元43在获取校验访问请求时,对请求进行流量卸载封装处理,并进行安全检测,有效防止恶意攻击和数据篡改,提高了数据的安全性,通过设置所述校验请求接收单元42通过网络通道接收通过可信应用接入装置校验后的校验访问请求,保证了数据的完整性和准确性。
具体而言,所述卸载封装单元43包括解析子单元、添加子单元和封装子单元,其中,
所述解析子单元,用以解析所述用户解密信息和所述应用解密信息的数据源地址和有效载荷数据;
所述添加子单元,与所述解析子单元连接,用以在所述数据源地址中添加所述应用的目标地址,获取组合数据;
所述封装子单元,与所述添加子单元连接,用以将所述组合数据与所述有效载荷数据进行组合封装,获取所述访问流量。
具体而言,所述卸载封装单元43还包括入侵检测子单元和措施采取子单元,其中,
所述入侵检测子单元,用以提取所述访问流量的数据包大小,将数据包值与预设入侵数据包值进行匹配,若匹配结果相同,则所述访问流量存在入侵行为;
所述措施采取子单元,与所述入侵检测子单元连接,当所述访问流量存在入侵行为时,对所述访问流量进行隔离。
参阅图4所示,所述选择模块50包括接收单元51、应用解析单元52、应用校验单元53和确定单元54,其中,
所述接收单元51用以对若干所述传输通道进行实时监测,获取若干应用反馈信号及应用反馈时刻;
所述应用解析单元52,与所述接收单元51连接,用以对若干所述应用反馈信号进行解析,获取应用反馈信息;
所述应用校验单元53,与所述应用解析单元52连接,用以对若干所述应用反馈信息进行校验,获取应用反馈信息校验结果;
所述确定单元54,与所述应用校验单元53连接,用以根据所述应用反馈信息校验结果和所述应用反馈时刻选择所述最终传输通道。
具体而言,本发明实施例通过设置所述接收单元51对传输通道进行实时监测,获取应用反馈信号及应用反馈时刻,使得系统能够及时获取各通道的状态和反馈信息,通过设置所述应用解析单元52对应用反馈信号进行解析,获取更详细、准确的应用反馈信息,有利于提高系统的可靠性和准确性,通过设置所述应用校验子单元53对应用反馈信息进行校验,获取校验结果,避免反馈信息的误判和错误,提高系统的稳定性和准确性,通过设置所述确定单元54根据应用反馈信息校验结果和应用反馈时刻选择最终传输通道,使得系统根据实际情况选择合适的通道进行数据传输,提高了系统的灵活性和可靠性。
具体而言,所述确定单元54根据所述应用反馈信息校验结果和所述应用反馈时刻选择所述最终传输通道包括:
将所述应用反馈信息与预设应用反馈信息进行相似度计算,提取相似度计算结果大于预设相似度值的若干传输通道;
根据若干所述传输通道的若干所述传输时刻由先到后进行排序,获取排序第一的所述传输通道为所述最终传输通道。
具体而言,将所述应用反馈信息与预设应用反馈信息进行相似度计算包括:
将所述应用反馈信息和预设应用反馈信息通过词袋模型将文本转化为向量形式;
通过余弦相似度计算应用反馈信息和预设应用反馈信息的向量间夹角作为相似度值;
所述预设相似度值为0.7。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种可信应用接入的装置,其特征在于,包括:
接收模块,接收访问请求中携带的用户令牌和应用令牌,所述用户令牌包含用户加密信息及校验数字加密信息,所述应用令牌包括应用加密信息及校验数字加密信息;
校验模块,与所述接收模块连接,解析所述用户令牌和应用令牌,获取用户解密信息和应用解密信息,并根据存储在云端内的用户终端的账号信息和应用信息校验所述用户解密信息和所述应用解密信息;
访问模块,与所述校验模块连接,用以在通过校验时,生成校验访问请求;
传输模块,用以建立若干传输通道,并通过若干所述传输通道传输所述校验访问请求;
选择模块,用以通过若干所述传输通道接收基于所述校验访问请求的应用反馈信息和应用反馈时刻,并根据所述应用反馈信息和所述应用反馈时刻选择最终传输通道。
2.根据权利要求1所述的可信应用接入的装置,其特征在于,所述校验模块包括解析单元和校验单元,其中,
所述解析单元用以通过解密算法解析所述用户令牌和所述应用令牌,获取用户解密信息和应用解密信息;
所述校验单元,与所述解析单元连接,根据存储在云端内的用户终端的账号信息和应用信息校验所述用户解密信息和所述应用解密信息,获取校验结果;
所述用户解密信息包括解密用户信息及解密校验数字,所述应用解密信息包括解密应用信息及解密校验数字。
3.根据权利要求2所述的可信应用接入的装置,其特征在于,所述解析单元包括识别子单元和解密子单元,其中,
所述识别子单元用以通过读取所述用户令牌和所述应用令牌的若干字节符号识别所述用户令牌和所述应用令牌的加密算法;
所述解密子单元,与所述识别子单元连接,用以根据所述加密算法采取对称的解密算法对所述用户令牌和所述应用令牌进行解密,获取所述用户解密信息和所述应用解密信息。
4.根据权利要求3所述的可信应用接入的装置,其特征在于,所述识别子单元通过读取所述用户令牌和所述应用令牌的若干字节符号识别所述用户令牌和所述应用令牌的加密算法包括:
提取所述用户令牌和所述应用令牌中的若干所述字节符号;
通过正则表达式将若干所述字节符号与数据库中存储的加密算法对应的字节符号进行计算匹配,获取匹配结果;
将匹配结果按照由大到小进行排序,提取排序第一对应的所述加密算法。
5.根据权利要求4所述的可信应用接入的装置,其特征在于,所述校验单元包括提取子单元、篡改校验子单元、比较子单元和信息校验子单元,其中,
所述提取子单元用以提取所述用户解密信息中解密校验数字;
所述篡改校验子单元,与所述提取子单元连接,用以将所述解密校验数字与所述校验数字通过相似度计算及逆行校验,获取校验结果;
所述比较子单元,与所述篡改校验子单元连接,当所述相似度计算结果大于等于预设相似度时,对所述用户解密信息中解密用户信息进行校验,当所述相似度计算结果小于所述预设相似度时,则所述用户解密信息被篡改,所述用户解密信息没有通过校验;
所述信息校验子单元,与所述比较子单元连接,用以对所述用户解密信息中解密用户信息和所述用户信息通过相似度计算进行校验,当相似度计算结果大于等于预设相似度时,所述用户解密信息通过校验。
6.根据权利要求5所述的可信应用接入的装置,其特征在于,所述传输模块包括通道建立单元、校验请求接收单元、卸载封装单元和流量发送单元,其中,
所述通道建立单元用以根据所述可信应用接入的装置域名信息与所述应用信息建立若干传输通道;
所述校验请求接收单元用以通过网络通道接收通过所述可信应用接入装置校验后的所述校验访问请求;
所述卸载封装单元,与所述校验请求接收单元连接,当获取所述校验访问请求时,对所述校验访问请求进行流量卸载封装处理,获取访问流量,并对所述访问流量进行安全检测;
所述流量发送单元,与所述卸载封装单元连接,用以将所述访问流量传入应用;
所述校验访问请求包括所述用户解密信息和所述应用解密信息。
7.根据权利要求6所述的可信应用接入的装置,其特征在于,所述卸载封装单元包括解析子单元、添加子单元和封装子单元,其中,
所述解析子单元,用以解析所述用户解密信息和所述应用解密信息的数据源地址和有效载荷数据;
所述添加子单元,与所述解析子单元连接,用以在所述数据源地址中添加所述应用的目标地址,获取组合数据;
所述封装子单元,与所述添加子单元连接,用以将所述组合数据与所述有效载荷数据进行组合封装,获取所述访问流量。
8.根据权利要求7所述的可信应用接入的装置,其特征在于,所述卸载封装单元还包括入侵检测子单元和措施采取子单元,其中,
所述入侵检测子单元,用以提取所述访问流量的数据包大小,将数据包值与预设入侵数据包值进行匹配,若匹配结果相同,则所述访问流量存在入侵行为;
所述措施采取子单元,与所述入侵检测子单元连接,当所述访问流量存在入侵行为时,对所述访问流量进行隔离。
9.根据权利要求8所述的可信应用接入的装置,其特征在于,所述选择模块包括接收单元、应用解析单元、应用校验单元和确定单元,其中,
所述接收单元用以对若干所述传输通道进行实时监测,获取若干应用反馈信号及应用反馈时刻;
所述应用解析单元,与所述接收单元连接,用以对若干所述应用反馈信号进行解析,获取应用反馈信息;
所述应用校验单元,与所述应用解析单元连接,用以对若干所述应用反馈信息进行校验,获取应用反馈信息校验结果;
所述确定单元,与所述应用校验单元连接,用以根据所述应用反馈信息校验结果和所述应用反馈时刻选择所述最终传输通道。
10.根据权利要求9所述的可信应用接入的装置,其特征在于,所述确定单元根据所述应用反馈信息校验结果和所述应用反馈时刻选择所述最终传输通道包括:
将所述应用反馈信息与预设应用反馈信息进行相似度计算,提取相似度计算结果大于预设相似度值的若干传输通道;
根据若干所述传输通道的若干所述传输时刻由先到后进行排序,获取排序第一的所述传输通道为所述最终传输通道。
CN202410068613.2A 2024-01-17 2024-01-17 一种可信应用接入的装置 Active CN117579403B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410068613.2A CN117579403B (zh) 2024-01-17 2024-01-17 一种可信应用接入的装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410068613.2A CN117579403B (zh) 2024-01-17 2024-01-17 一种可信应用接入的装置

Publications (2)

Publication Number Publication Date
CN117579403A true CN117579403A (zh) 2024-02-20
CN117579403B CN117579403B (zh) 2024-03-29

Family

ID=89895994

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410068613.2A Active CN117579403B (zh) 2024-01-17 2024-01-17 一种可信应用接入的装置

Country Status (1)

Country Link
CN (1) CN117579403B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108347411A (zh) * 2017-01-23 2018-07-31 北京京东尚科信息技术有限公司 一种统一安全保障方法、防火墙系统、设备及存储介质
US20190097994A1 (en) * 2017-09-27 2019-03-28 Oracle International Corporation Maintaining session stickiness across authentication and authorization channels for access management
WO2020102974A1 (zh) * 2018-11-20 2020-05-28 深圳市欢太科技有限公司 一种数据访问方法、数据访问装置及移动终端
CN112560067A (zh) * 2020-12-25 2021-03-26 平安普惠企业管理有限公司 基于令牌权限校验的访问方法、装置、设备及存储介质
CN113132362A (zh) * 2021-03-31 2021-07-16 青岛中瑞汽车服务有限公司 一种可信授权方法、装置、电子设备及存储介质
CN114598540A (zh) * 2022-03-18 2022-06-07 北京启明星辰信息安全技术有限公司 访问控制系统、方法、装置及存储介质
CN115913679A (zh) * 2022-11-04 2023-04-04 北京天融信网络安全技术有限公司 一种基于零信任网关的访问控制方法及系统
CN116170759A (zh) * 2023-02-10 2023-05-26 北京自如信息科技有限公司 一种基于微信的局域网访问方法及系统
CN116389105A (zh) * 2023-03-30 2023-07-04 广东省城乡规划设计研究院有限责任公司 一种远程接入管理平台及管理方法
CN116707983A (zh) * 2023-07-07 2023-09-05 中国工商银行股份有限公司 授权认证方法及装置、接入认证方法及装置、设备、介质
WO2023174038A1 (zh) * 2022-03-17 2023-09-21 北京字节跳动网络技术有限公司 数据传输方法及相关设备

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108347411A (zh) * 2017-01-23 2018-07-31 北京京东尚科信息技术有限公司 一种统一安全保障方法、防火墙系统、设备及存储介质
US20190097994A1 (en) * 2017-09-27 2019-03-28 Oracle International Corporation Maintaining session stickiness across authentication and authorization channels for access management
WO2020102974A1 (zh) * 2018-11-20 2020-05-28 深圳市欢太科技有限公司 一种数据访问方法、数据访问装置及移动终端
CN112560067A (zh) * 2020-12-25 2021-03-26 平安普惠企业管理有限公司 基于令牌权限校验的访问方法、装置、设备及存储介质
CN113132362A (zh) * 2021-03-31 2021-07-16 青岛中瑞汽车服务有限公司 一种可信授权方法、装置、电子设备及存储介质
WO2023174038A1 (zh) * 2022-03-17 2023-09-21 北京字节跳动网络技术有限公司 数据传输方法及相关设备
CN114598540A (zh) * 2022-03-18 2022-06-07 北京启明星辰信息安全技术有限公司 访问控制系统、方法、装置及存储介质
CN115913679A (zh) * 2022-11-04 2023-04-04 北京天融信网络安全技术有限公司 一种基于零信任网关的访问控制方法及系统
CN116170759A (zh) * 2023-02-10 2023-05-26 北京自如信息科技有限公司 一种基于微信的局域网访问方法及系统
CN116389105A (zh) * 2023-03-30 2023-07-04 广东省城乡规划设计研究院有限责任公司 一种远程接入管理平台及管理方法
CN116707983A (zh) * 2023-07-07 2023-09-05 中国工商银行股份有限公司 授权认证方法及装置、接入认证方法及装置、设备、介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈荻玲, 怀进鹏: "一种Web服务安全通信机制的研究与实现", 计算机研究与发展, no. 04, 16 April 2004 (2004-04-16) *

Also Published As

Publication number Publication date
CN117579403B (zh) 2024-03-29

Similar Documents

Publication Publication Date Title
EP3257227B1 (en) Confidential communication management
US7215771B1 (en) Secure disk drive comprising a secure drive key and a drive ID for implementing secure communication over a public network
EP1436937B1 (en) Arrangement and method for execution of code
CN108965215B (zh) 一种多融合联动响应的动态安全方法与系统
CN110891061B (zh) 数据的加解密方法、装置、存储介质及加密文件
CN106357690B (zh) 一种数据传输方法、数据发送装置及数据接收装置
CN113179240B (zh) 密钥保护方法、装置、设备及存储介质
CN105099705A (zh) 一种基于usb协议的安全通信方法及其系统
CN111614621A (zh) 物联网通信方法和系统
EP2344973A1 (en) Networked computer identity encryption and verification
Daily et al. Securing CAN traffic on J1939 networks
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN111600948A (zh) 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序
CN110958266A (zh) 数据处理方法、系统、计算机设备和存储介质
CN109086588B (zh) 一种认证方法及认证设备
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN117579403B (zh) 一种可信应用接入的装置
KR20060044049A (ko) 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법
CN114885326A (zh) 一种银行移动作业安全防护方法、装置和存储介质
WO2015084152A1 (en) System and method for authorising an access point in a network
KR100381710B1 (ko) 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템
US20230308260A1 (en) Apparatus for Receiving Cryptographically Protected Communication Data and Method for Receiving Cryptographically Protected Communication Data
US11706015B2 (en) Side channel timing attack mitigation in securing data in transit
CN113221189B (zh) 基于区块链的身份认证系统、认证方法、介质、终端
CN116132072B (zh) 一种网络信息的安全认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant