CN112532590B - 软件安全边界***及方法 - Google Patents

软件安全边界***及方法 Download PDF

Info

Publication number
CN112532590B
CN112532590B CN202011230167.9A CN202011230167A CN112532590B CN 112532590 B CN112532590 B CN 112532590B CN 202011230167 A CN202011230167 A CN 202011230167A CN 112532590 B CN112532590 B CN 112532590B
Authority
CN
China
Prior art keywords
information
server
modification
module
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011230167.9A
Other languages
English (en)
Other versions
CN112532590A (zh
Inventor
吴国华
陈华
范平
任帅帅
吴新泽
丁聪霜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Gctech Technology Co ltd
Original Assignee
Beijing Gctech Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Gctech Technology Co ltd filed Critical Beijing Gctech Technology Co ltd
Priority to CN202011230167.9A priority Critical patent/CN112532590B/zh
Publication of CN112532590A publication Critical patent/CN112532590A/zh
Application granted granted Critical
Publication of CN112532590B publication Critical patent/CN112532590B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种软件安全边界***及方法,属于网络安全防护的技术领域,其包括软件安全边界服务器和中间修改服务器,软件安全边界服务器和中间修改服务器通过接口连接,软件安全边界服务器包括互联网连接模块、服务器连接模块、边界存储模块、本地登录模块、信息修改模块和请求认证模块,软件安全边界服务器修改认证信息需要通过中间修改服务器认证初始信息,并且需要中间修改服务器直接输入初始认证信息,本发明具有能够有效减少访问者恶意修改软件安全边界认证信息的可能的效果。

Description

软件安全边界***及方法
技术领域
本发明涉及网络安全防护的技术领域,尤其是涉及一种建立软件安全边界的***及方法。
背景技术
目前软件安全边界由CSA国际云安全联盟定义,核心思想是通过SSB架构可以隐藏核心网络资产与设施使之不暴露在internet,极大减少各种攻击行为与安全威胁。软件安全边界采用先认证、再准入原则,动态、按需、最小化实现网络应用安全连接与访问。
上述中的现有技术方案存在以下缺陷:软件安全边界在运行过程中可能会出现有人通过互联网漏洞等修改软件安全边界的认证信息,从而通过软件安全边界对客户端进行恶意操作。
发明内容
为了减少恶意修改软件安全边界认证信息的可能,本申请提供一种建立软件安全边界的***及方法。
本申请提供的一种建立软件安全边界的方法采用如下的技术方案:
一种建立软件安全边界的方法,包括以下步骤:
建立软件安全边界服务器,将软件安全边界服务器连接在客户端服务器与互联网之间,建立中间修改服务器,中间修改服务器直接与软件安全边界服务器连接,中间修改服务器和软件安全边界服务器均存储有初始认证信息;
软件安全边界服务器存储有本地登录信息,软件安全边界服务器接收本地输入的登录信息后经过本地登录信息验证开始接收本地输入信息,软件安全边界服务器接收认证信息,软件安全边界服务器接收确认信息后对认证信息进行存储,第一次存储后软件安全边界服务器锁定认证信息;
软件安全边界服务器接收到互联网传入的连接请求后通过认证信息对连接请求进行分包认证,每认证通过一个数据包,就将数据包传输给客户端服务器并使该请求来源与客户端服务器连接;
中间修改服务器接收修改信息后进行缓存,中间修改服务器接收登录信息并通过初始认证信息对登录信息进行认证,认证成功后中间修改服务器接收对缓存信息的修改指令和确认指令,中间修改服务器将确认的修改信息和初始认证信息发送给软件安全边界服务器,软件安全边界服务器接收修改信息和初始认证信息后先确认信息源是否为中间修改服务器,再对接收的初始认证信息进行认证,认证完成后解除对认证信息的锁定并根据修改信息对认证信息进行修改,修改后重新锁定认证信息;
中间修改服务器和软件安全边界服务器对初始认证信息进行锁定并监测双方的初始认证信息,当中间修改服务器或软件安全边界服务器中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息;中间修改服务器和软件安全边界服务器能够相互锁定初始认证信息,访问用户只有同时修改双方的初始认证信息才能改动初始认证信息,有效地保证了初始认证信息的安全。
通过采用上述方案,访问人员只能通过中间修改服务器对软件安全边界服务器的认证信息进行更改,并且需要初始认证信息,初始认证信息不通过软件安全边界服务器与互联网接触,避免初始认证信息通过互联网被盗取,并且初始认证信息需要管理员通过中间修改服务器进行输入,能够有效减少访问者恶意修改软件安全边界认证信息的可能。
优选的,建立信息中转平台和管理员APP,信息中转平台接收信息后发送给管理员APP,管理员APP根据接收的指令确认信息并将确认的信息发送给信息中转平台,信息中转平台将信息发送给中间修改服务器。
通过采用上述方案,访问用户可以将修改信息发送到信息中转平台上,管理员通过管理员APP确认后再将修改信息发送到中间修改服务器上,减少了中间修改服务器被攻击的风险,使得***更加安全。
优选的,软件安全边界服务器第一次存储认证信息后锁定认证信息,并监测向软件安全边界服务器发送认证信息修改请求的源地址,当认证成功后的数据包中含有修改请求,软件安全边界服务器则向源地址发送信息中转平台IP地址。
通过采用上述方案,如果访问用户直接向软件安全边界服务器发送修改信息的话,软件安全边界服务器会首先判断访问用户是否已认证,若已认证则向访问用户发送信息中转平台IP地址,提示访问用户需要去信息中转平台修改认证信息。
优选的,信息中转平台向中间修改服务器发送信息的同时向管理员APP发送相同的信息。
通过采用上述方案,信息中转平台会提醒管理员有访问用户要求修改认证信息并显示修改内容,帮助管理员及时进行操作。
优选的,中间修改服务器和软件安全边界服务器对初始认证信息进行锁定并监测双方的初始认证信息,当中间修改服务器或软件安全边界服务器中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息。
通过采用上述方案,中间修改服务器和软件安全边界服务器能够相互锁定初始认证信息,访问用户只有同时修改双方的初始认证信息才能改动初始认证信息,有效地保证了初始认证信息的安全。
另一方面,本申请提供的一种建立软件安全边界的***采用如下的技术方案:
一种建立软件安全边界的***,包括软件安全边界服务器和中间修改服务器,软件安全边界服务器和中间修改服务器通过接口连接;
所述软件安全边界服务器包括互联网连接模块、服务器连接模块、边界存储模块、本地登录模块、信息修改模块和请求认证模块;
所述互联网连接模块连接互联网并与互联网进行信息交互;
所述服务器连接模块连接客户端并与客户端进行信息交互;
所述边界存储模块存储有初始认证信息和本地登录信息,并将接收的认证信息进行存储,当边界存储模块第一次存储认证信息后对认证信息进行锁定;
所述本地登录模块接收输入的登录信息并根据输入的登录信息检索边界存储模块中存储的本地登录信息,若检索到对应的本地登录信息则向信息修改模块传输登录信号;
所述信息修改模块接收登录信号后调用互联网连接模块发送的认证信息并传输给边界存储模块;
所述请求认证模块接收互联网连接模块传输的数据并将数据进行分包,通过边界存储模块存储的认证信息对数据包进行认证,将认证通过的数据包发送给服务器连接模块;
所述中间修改服务器包括中间存储模块、信息缓存模块、管理员登录模块和确认修改模块;
所述中间存储模块存储有初始认证信息;
所述信息缓存模块接收修改信息并进行缓存;
所述管理员登录模块接收登陆信息并通过中间存储模块存储的初始认证信息进行认证,认证成功后向确认修改模块发送登陆信号;
所述确认修改模块接收登陆信号后调用信息缓存模块缓存的修改信息,并根据接收的指令对修改信息进行修改和确认,确认修改模块将确认后的修改信息和初始认证信息发送给边界存储模块,边界存储模块接收修改信息和初始认证信息后先确认信息源是否为中间修改服务器,再通过存储的初始认证信息对接收的初始认证信息进行认证,认证完成后解除对认证信息的锁定并根据修改信息对认证信息进行修改,修改后重新锁定认证信息;
中间修改服务器和软件安全边界服务器对初始认证信息进行锁定并监测双方的初始认证信息,当中间修改服务器或软件安全边界服务器中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息;中间修改服务器和软件安全边界服务器能够相互锁定初始认证信息,访问用户只有同时修改双方的初始认证信息才能改动初始认证信息,有效地保证了初始认证信息的安全。
通过采用上述方案,访问人员只能通过中间修改服务器对软件安全边界服务器的认证信息进行更改,并且需要初始认证信息,初始认证信息不通过软件安全边界服务器与互联网接触,避免初始认证信息通过互联网被盗取,并且初始认证信息需要管理员通过中间修改服务器进行输入,能够有效减少访问者恶意修改软件安全边界认证信息的可能。
优选的,还包括信息中转平台和管理员APP;
所述信息中转平台接收信息并将信息发送给管理员APP,信息中转平台接收到管理员APP发送的信息后将信息发送给信息缓存模块;
所述管理员APP接收信息中转平台发出的信息和输入的指令,管理员APP根据接收的指令确认信息并将确认的信息发送给信息中转平台。
通过采用上述方案,访问用户可以将修改信息发送到信息中转平台上,管理员通过管理员APP确认后再将修改信息发送到中间修改服务器上,减少了中间修改服务器被攻击的风险,使得***更加安全。
优选的,所述软件安全边界服务器还包括地址反馈模块,所述地址反馈模块存储有信息中转平台IP地址,地址反馈模块监测请求认证模块接收的信息及该信息的源地址,当认证成功后的数据包中含有修改请求,地址反馈模块则向源地址发送信息中转平台IP地址。
通过采用上述方案,如果访问用户直接向软件安全边界服务器发送修改信息的话,软件安全边界服务器会首先判断访问用户是否已认证,若已认证则向访问用户发送信息中转平台IP地址,提示访问用户需要去信息中转平台修改认证信息。
优选的,所述确认修改模块发送确认后的修改信息时将确认后的修改信息发送给管理员APP。
通过采用上述方案,信息中转平台会提醒管理员有访问用户要求修改认证信息并显示修改内容,帮助管理员及时进行操作。
优选的,边界存储模块和中间存储模块检测对面存储的初始认证信息,当边界存储模块和中间存储模块中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息。
通过采用上述方案,中间修改服务器和软件安全边界服务器能够相互锁定初始认证信息,访问用户只有同时修改双方的初始认证信息才能改动初始认证信息,有效地保证了初始认证信息的安全。
综上所述,本发明具有以下有益效果:
访问人员只能通过中间修改服务器对软件安全边界服务器的认证信息进行更改,并且需要初始认证信息,初始认证信息不通过软件安全边界服务器与互联网接触,避免初始认证信息通过互联网被盗取,并且初始认证信息需要管理员通过中间修改服务器进行输入,能够有效减少访问者恶意修改软件安全边界认证信息的可能。
附图说明
图1是本申请实施例建立软件安全边界的***的整体***框图;
图2是本申请实施例建立软件安全边界的***的中间修改服务器和软件安全边界服务器的模块框图。
图中,1、软件安全边界服务器;11、本地登录模块;12、信息修改模块;13、边界存储模块;14、互联网连接模块;15、请求认证模块;16、地址反馈模块;17、服务器连接模块;2、中间修改服务器;21、中间存储模块;22、管理员登录模块;23、确认修改模块;24、信息缓存模块;3、信息中转平台;4、管理员APP。
具体实施方式
以下结合附图1-2对本申请作进一步详细说明。
本申请实施例公开一种建立软件安全边界的方法,具体步骤如下:
建立软件安全边界服务器1,将软件安全边界服务器1连接在客户端服务器与互联网之间,建立中间修改服务器2,中间修改服务器2直接与软件安全边界服务器1连接,中间修改服务器2和软件安全边界服务器1均存储有初始认证信息。建立信息中转平台3,信息中转平台3为云平台。建立管理员APP4,管理员APP4安装于管理员的移动设备内。
软件安全边界服务器1存储有本地登录信息,软件安全边界服务器1接收本地输入的登录信息后经过本地登录信息验证开始接收本地输入信息,软件安全边界服务器1接收认证信息。软件安全边界服务器1接收确认信息后对认证信息进行存储,第一次存储后软件安全边界服务器1锁定认证信息,并监测向软件安全边界服务器1发送认证信息修改请求的源地址。当认证成功后的数据包中含有修改请求,软件安全边界服务器1则向源地址发送信息中转平台3IP地址。如果访问用户直接向软件安全边界服务器1发送修改信息的话,软件安全边界服务器1会首先判断访问用户是否已认证,若已认证则向访问用户发送信息中转平台3IP地址,提示访问用户需要去信息中转平台3修改认证信息。
软件安全边界服务器1接收到互联网传入的连接请求后通过认证信息对连接请求进行分包认证,每认证通过一个数据包,就将数据包传输给客户端服务器并使该请求来源与客户端服务器连接。
信息中转平台3接收信息后发送给管理员APP4,管理员APP4根据接收的指令确认信息并将确认的信息发送给信息中转平台3,信息中转平台3将信息发送给中间修改服务器2。访问用户可以将修改信息发送到信息中转平台3上,管理员通过管理员APP4确认后再将修改信息发送到中间修改服务器2上,减少了中间修改服务器2被攻击的风险,使得***更加安全。
中间修改服务器2接收修改信息后进行缓存,中间修改服务器2接收登录信息并通过初始认证信息对登录信息进行认证。认证成功后中间修改服务器2接收对缓存信息的修改指令和确认指令。中间修改服务器2将确认的修改信息和初始认证信息发送给软件安全边界服务器1,同时向管理员APP4发送相同的信息。软件安全边界服务器1接收修改信息和初始认证信息后先确认信息源是否为中间修改服务器2,再对接收的初始认证信息进行认证。认证完成后解除对认证信息的锁定并根据修改信息对认证信息进行修改,修改后重新锁定认证信息。信息中转平台3会提醒管理员有访问用户要求修改认证信息并显示修改内容,帮助管理员及时进行操作。
中间修改服务器2和软件安全边界服务器1对初始认证信息进行锁定并监测双方的初始认证信息,当中间修改服务器2或软件安全边界服务器1中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息。中间修改服务器2和软件安全边界服务器1能够相互锁定初始认证信息,访问用户只有同时修改双方的初始认证信息才能改动初始认证信息,有效地保证了初始认证信息的安全。
本申请实施例一种建立软件安全边界的方法的实施原理为:访问人员只能通过中间修改服务器2对软件安全边界服务器1的认证信息进行更改,并且需要初始认证信息。初始认证信息不通过软件安全边界服务器1与互联网接触,避免初始认证信息通过互联网被盗取,并且初始认证信息需要管理员通过中间修改服务器2进行输入,能够有效减少访问者恶意修改软件安全边界认证信息的可能。
本申请实施例公开一种建立软件安全边界的***,如图1所示,包括软件安全边界服务器1、中间修改服务器2、信息中转平台3和管理员APP4。软件安全边界服务器1和中间修改服务器2通过接口连接,信息中转平台3设置为云服务器,管理员APP4安装于管理员移动设备内。软件安全边界服务器1连接于互联网和客户端之间。
如图1和图2所示,软件安全边界服务器1包括互联网连接模块14、服务器连接模块17、边界存储模块13、本地登录模块11、信息修改模块12、请求认证模块15和地址反馈模块16。中间修改服务器2包括中间存储模块21、信息缓存模块24、管理员登录模块22和确认修改模块23。
如图1和图2所示,互联网连接模块14连接互联网并与互联网进行信息交互。服务器连接模块17连接客户端并与客户端进行信息交互。软件安全边界服务器1通过互联网连接模块14接收互联网传输的信息并向互联网侧发送信息。软件安全边界服务器1通过服务器连接模块17向客户端传输信息。
如图1和图2所示,边界存储模块13存储有初始认证信息和本地登录信息,并将接收的认证信息进行存储,当边界存储模块13第一次存储认证信息后对认证信息进行锁定。本地登录模块11接收输入的登录信息并根据输入的登录信息检索边界存储模块13中存储的本地登录信息,若检索到对应的本地登录信息则向信息修改模块12传输登录信号。信息修改模块12接收登录信号后调用互联网连接模块14发送的认证信息并传输给边界存储模块13。管理员通过本地登录模块11进行第一次认证信息的录入。
如图1和图2所示,请求认证模块15接收互联网连接模块14传输的数据并将数据进行分包,通过边界存储模块13存储的认证信息对数据包进行认证,将认证通过的数据包发送给服务器连接模块17。建立软件安全边界的***通过请求认证模块15保证与客户端进行连接的源地址安全。
如图1和图2所示,信息中转平台3接收信息并将信息发送给管理员APP4,信息中转平台3接收到管理员APP4发送的信息后将信息发送给信息缓存模块24。管理员APP4接收信息中转平台3发出的信息和输入的指令,管理员APP4根据接收的指令确认信息并将确认的信息发送给信息中转平台3。中间存储模块21存储有初始认证信息。信息缓存模块24接收信息中转平台3发送的修改信息并进行缓存。访问用户可以将修改信息发送到信息中转平台3上,管理员通过管理员APP4确认后再将修改信息发送到中间修改服务器2上,减少了中间修改服务器2被攻击的风险,使得***更加安全。
如图1和图2所示,管理员登录模块22接收登陆信息并通过中间存储模块21存储的初始认证信息进行认证,认证成功后向确认修改模块23发送登陆信号。确认修改模块23接收登陆信号后调用信息缓存模块24缓存的修改信息,并根据接收的指令对修改信息进行修改和确认。确认修改模块23将确认后的修改信息和初始认证信息发送给边界存储模块13,同时将确认后的修改信息发送给管理员APP4。边界存储模块13接收修改信息和初始认证信息后先确认信息源是否为中间修改服务器2,再通过存储的初始认证信息对接收的初始认证信息进行认证。认证完成后解除对认证信息的锁定并根据修改信息对认证信息进行修改,修改后重新锁定认证信息。访问人员只能通过中间修改服务器2对软件安全边界服务器1的认证信息进行更改,并且需要管理员通过中间修改服务器2输入的初始认证信息。信息中转平台3会提醒管理员有访问用户要求修改认证信息并显示修改内容,帮助管理员及时进行操作。
如图1和图2所示,地址反馈模块16存储有信息中转平台3IP地址,地址反馈模块16监测请求认证模块15接收的信息及该信息的源地址,当认证成功后的数据包中含有修改请求,地址反馈模块16则向源地址发送信息中转平台3IP地址。如果访问用户直接向软件安全边界服务器1发送修改信息的话,软件安全边界服务器1会首先判断访问用户是否已认证,若已认证则向访问用户发送信息中转平台3IP地址,提示访问用户需要去信息中转平台3修改认证信息。
如图1和图2所示,边界存储模块13和中间存储模块21检测对面存储的初始认证信息,当边界存储模块13和中间存储模块21中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息。中间修改服务器2和软件安全边界服务器1能够相互锁定初始认证信息,访问用户只有同时修改双方的初始认证信息才能改动初始认证信息,有效地保证了初始认证信息的安全。
本申请实施例一种建立软件安全边界的***的实施原理为:访问人员只能通过中间修改服务器2对软件安全边界服务器1的认证信息进行更改,并且需要初始认证信息,初始认证信息不通过软件安全边界服务器1与互联网接触,避免初始认证信息通过互联网被盗取,并且初始认证信息需要管理员通过中间修改服务器进行输入,能够有效减少访问者恶意修改软件安全边界认证信息的可能。
本具体实施方式的实施例均为本发明的较佳实施例,并非依此限制本发明的保护范围,故:凡依本发明的结构、形状、原理所做的等效变化,均应涵盖于本发明的保护范围之内。

Claims (8)

1.一种建立软件安全边界的方法,其特征在于,包括以下步骤:
建立软件安全边界服务器(1),将软件安全边界服务器(1)连接在客户端服务器与互联网之间,建立中间修改服务器(2),中间修改服务器(2)直接与软件安全边界服务器(1)连接,中间修改服务器(2)和软件安全边界服务器(1)均存储有初始认证信息;
软件安全边界服务器(1)存储有本地登录信息,软件安全边界服务器(1)接收本地输入的登录信息后经过本地登录信息验证开始接收本地输入信息,软件安全边界服务器(1)接收认证信息,软件安全边界服务器(1)接收确认信息后对认证信息进行存储,第一次存储后软件安全边界服务器(1)锁定认证信息;
软件安全边界服务器(1)接收到互联网传入的连接请求后通过认证信息对连接请求进行分包认证,每认证通过一个数据包,就将数据包传输给客户端服务器并使该请求来源与客户端服务器连接;
中间修改服务器(2)接收修改信息后进行缓存,中间修改服务器(2)接收登录信息并通过初始认证信息对登录信息进行认证,认证成功后中间修改服务器(2)接收对缓存信息的修改指令和确认指令,中间修改服务器(2)将确认的修改信息和初始认证信息发送给软件安全边界服务器(1),软件安全边界服务器(1)接收修改信息和初始认证信息后先确认信息源是否为中间修改服务器(2),再对接收的初始认证信息进行认证,认证完成后解除对认证信息的锁定并根据修改信息对认证信息进行修改,修改后重新锁定认证信息;
中间修改服务器(2)和软件安全边界服务器(1)对初始认证信息进行锁定并监测双方的初始认证信息,当中间修改服务器(2)或软件安全边界服务器(1)中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息;访问用户只有同时修改双方的初始认证信息才能改动初始认证信息。
2.根据权利要求1所述的建立软件安全边界的方法,其特征在于:建立信息中转平台(3)和管理员APP(4),信息中转平台(3)接收信息后发送给管理员APP(4),管理员APP(4)根据接收的指令确认信息并将确认的信息发送给信息中转平台(3),信息中转平台(3)将信息发送给中间修改服务器(2)。
3.根据权利要求2所述的建立软件安全边界的方法,其特征在于:软件安全边界服务器(1)第一次存储认证信息后锁定认证信息,并监测向软件安全边界服务器(1)发送认证信息修改请求的源地址,当认证成功后的数据包中含有修改请求,软件安全边界服务器(1)则向源地址发送信息中转平台(3)IP地址。
4.根据权利要求2所述的建立软件安全边界的方法,其特征在于:信息中转平台(3)向中间修改服务器(2)发送信息的同时向管理员APP(4)发送相同的信息。
5.一种建立软件安全边界的***,其特征在于:包括软件安全边界服务器(1)和中间修改服务器(2),软件安全边界服务器(1)和中间修改服务器(2)通过接口连接;
所述软件安全边界服务器(1)包括互联网连接模块(14)、服务器连接模块(17)、边界存储模块(13)、本地登录模块(11)、信息修改模块(12)和请求认证模块(15);
所述互联网连接模块(14)连接互联网并与互联网进行信息交互;
所述服务器连接模块(17)连接客户端并与客户端进行信息交互;
所述边界存储模块(13)存储有初始认证信息和本地登录信息,并将接收的认证信息进行存储,当边界存储模块(13)第一次存储认证信息后对认证信息进行锁定;
所述本地登录模块(11)接收输入的登录信息并根据输入的登录信息检索边界存储模块(13)中存储的本地登录信息,若检索到对应的本地登录信息则向信息修改模块(12)传输登录信号;
所述信息修改模块(12)接收登录信号后调用互联网连接模块(14)发送的认证信息并传输给边界存储模块(13);
所述请求认证模块(15)接收互联网连接模块(14)传输的数据并将数据进行分包,通过边界存储模块(13)存储的认证信息对数据包进行认证,将认证通过的数据包发送给服务器连接模块(17);
所述中间修改服务器(2)包括中间存储模块(21)、信息缓存模块(24)、管理员登录模块(22)和确认修改模块(23);
所述中间存储模块(21)存储有初始认证信息;
所述信息缓存模块(24)接收修改信息并进行缓存;
所述管理员登录模块(22)接收登陆信息并通过中间存储模块(21)存储的初始认证信息进行认证,认证成功后向确认修改模块(23)发送登陆信号;
所述确认修改模块(23)接收登陆信号后调用信息缓存模块(24)缓存的修改信息,并根据接收的指令对修改信息进行修改和确认,确认修改模块(23)将确认后的修改信息和初始认证信息发送给边界存储模块(13),边界存储模块(13)接收修改信息和初始认证信息后先确认信息源是否为中间修改服务器(2),再通过存储的初始认证信息对接收的初始认证信息进行认证,认证完成后解除对认证信息的锁定并根据修改信息对认证信息进行修改,修改后重新锁定认证信息;
边界存储模块(13)和中间存储模块(21)检测对面存储的初始认证信息,当边界存储模块(13)和中间存储模块(21)中一方的初始认证信息被修改,另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息;访问用户只有同时修改双方的初始认证信息才能改动初始认证信息。
6.根据权利要求5所述的建立软件安全边界的***,其特征在于:还包括信息中转平台(3)和管理员APP(4);
所述信息中转平台(3)接收信息并将信息发送给管理员APP(4),信息中转平台(3)接收到管理员APP(4)发送的信息后将信息发送给信息缓存模块(24);
所述管理员APP(4)接收信息中转平台(3)发出的信息和输入的指令,管理员APP(4)根据接收的指令确认信息并将确认的信息发送给信息中转平台(3)。
7.根据权利要求6所述的建立软件安全边界的***,其特征在于:所述软件安全边界服务器(1)还包括地址反馈模块(16),所述地址反馈模块(16)存储有信息中转平台(3)IP地址,地址反馈模块(16)监测请求认证模块(15)接收的信息及该信息的源地址,当认证成功后的数据包中含有修改请求,地址反馈模块(16)则向源地址发送信息中转平台(3)IP地址。
8.根据权利要求6所述的建立软件安全边界的***,其特征在于:所述确认修改模块(23)发送确认后的修改信息时将确认后的修改信息发送给管理员APP(4)。
CN202011230167.9A 2020-11-06 2020-11-06 软件安全边界***及方法 Active CN112532590B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011230167.9A CN112532590B (zh) 2020-11-06 2020-11-06 软件安全边界***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011230167.9A CN112532590B (zh) 2020-11-06 2020-11-06 软件安全边界***及方法

Publications (2)

Publication Number Publication Date
CN112532590A CN112532590A (zh) 2021-03-19
CN112532590B true CN112532590B (zh) 2022-11-29

Family

ID=74979935

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011230167.9A Active CN112532590B (zh) 2020-11-06 2020-11-06 软件安全边界***及方法

Country Status (1)

Country Link
CN (1) CN112532590B (zh)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102801699B (zh) * 2011-12-28 2015-07-29 北京安天电子设备有限公司 防止服务器数据篡改的***、方法及设备
US9432357B2 (en) * 2013-08-28 2016-08-30 Chung Jong Lee Computer network security management system and method
CN103490893B (zh) * 2013-09-06 2016-06-29 中国工商银行股份有限公司 一种信息泄密检控方法、装置、***及信息通道安全认证装置
CN103491072B (zh) * 2013-09-06 2017-03-15 中国航天***科学与工程研究院 一种基于双单向隔离网闸的边界访问控制方法
CN103888451B (zh) * 2014-03-10 2017-09-26 百度在线网络技术(北京)有限公司 认证的授权方法、装置及***
CN106027476B (zh) * 2016-01-21 2019-06-28 李明 一种身份证云认证***及读卡***
CN107196971A (zh) * 2017-07-19 2017-09-22 中国银行股份有限公司 信息处理方法、装置、电子设备及服务器
CN107612895B (zh) * 2017-09-05 2020-07-10 网宿科技股份有限公司 一种互联网防攻击方法及认证服务器
CN109379347B (zh) * 2018-09-29 2021-03-23 成都亚信网络安全产业技术研究院有限公司 一种安全防护方法及设备
CN109787989B (zh) * 2019-01-30 2022-05-31 广东工业大学 一种密码修改方法、***及目标服务器和存储介质
CN109842626B (zh) * 2019-02-14 2021-07-02 众安信息技术服务有限公司 分配安全区域访问凭证的方法和装置
CN111092869B (zh) * 2019-12-10 2022-03-08 中盈优创资讯科技有限公司 终端接入办公网络安全管控方法及认证服务器

Also Published As

Publication number Publication date
CN112532590A (zh) 2021-03-19

Similar Documents

Publication Publication Date Title
CN112073400B (zh) 一种访问控制方法、***、装置及计算设备
CA2744971C (en) Secure transaction authentication
CN104754582B (zh) 维护byod安全的客户端及方法
US20040003084A1 (en) Network resource management system
CN106453361B (zh) 一种网络信息的安全保护方法及***
CN101741860B (zh) 一种计算机远程安全控制方法
US20080148046A1 (en) Real-Time Checking of Online Digital Certificates
CN109756446B (zh) 一种车载设备的访问方法和***
CN107426174A (zh) 一种可信执行环境的访问控制***及方法
CN103747036A (zh) 一种桌面虚拟化环境下的可信安全增强方法
CN105229987A (zh) 主动联合的移动认证
WO2011037226A1 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
CN101986598B (zh) 认证方法、服务器及***
MXPA06002182A (es) Prevencion del acceso no autorizado de recursos de red de computadora.
CN107634973B (zh) 一种服务接口安全调用方法
CN115333840B (zh) 资源访问方法、***、设备及存储介质
CN102271136A (zh) Nat网络环境下的访问控制方法和设备
CN113595985A (zh) 一种基于国密算法安全芯片的物联网安全云平台实现方法
CN113487321A (zh) 基于区块链钱包的身份识别与验证方法及***
CN115589295A (zh) 基于网关Token的安全认证方法、***、装置和介质
CN116915493A (zh) 安全登录方法、装置、***、计算机设备和存储介质
CN112825521A (zh) 区块链应用可信身份管理方法、***、设备及存储介质
CN116260656B (zh) 基于区块链的零信任网络中主体可信认证方法和***
CN112532590B (zh) 软件安全边界***及方法
CN101232379B (zh) 一种实现***登录的方法、信息技术***和通信***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant