CN114640497B - 一种网络安全隔离*** - Google Patents

一种网络安全隔离*** Download PDF

Info

Publication number
CN114640497B
CN114640497B CN202210096314.0A CN202210096314A CN114640497B CN 114640497 B CN114640497 B CN 114640497B CN 202210096314 A CN202210096314 A CN 202210096314A CN 114640497 B CN114640497 B CN 114640497B
Authority
CN
China
Prior art keywords
security
resource
access request
authentication
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210096314.0A
Other languages
English (en)
Other versions
CN114640497A (zh
Inventor
李鹏
袁畅
陈强
孙杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Zhongwang Yunan Intelligent Technology Co ltd
Original Assignee
Shandong Zhongwang Yunan Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Zhongwang Yunan Intelligent Technology Co ltd filed Critical Shandong Zhongwang Yunan Intelligent Technology Co ltd
Priority to CN202210096314.0A priority Critical patent/CN114640497B/zh
Publication of CN114640497A publication Critical patent/CN114640497A/zh
Application granted granted Critical
Publication of CN114640497B publication Critical patent/CN114640497B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种网络安全隔离***,包括:至少一个网络设备;一个或者多个应用服务器;处理机;识别机被配置成基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下以获取访问请求的物理地址和认证资源,使具有认证证书的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的安全执行逻辑,若访问请求中不含有认证资源,使得不具有认证资源的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的第二安全执行逻辑,第二安全执行逻辑具有设定的第二安全执行策略,第二安全执行策略具有许可库、许可单元、追踪单元、隔离单元、安全写入程序和安全写入接口以及时钟单元。

Description

一种网络安全隔离***
技术领域
本发明涉及网络安全技术领域,具体为一种网络安全隔离***。
背景技术
一般客户端的访问请求是基于MD5参数签名的方式来保证API接口的安全性,一般地,客户端均具有用于访问服务器的凭证(Token),其基本原理是用户用密码登录或者验证码登录成功后,服务器返回token给客户端,并将Token-UserId以键值对的形式存放在缓存服务器中。
然而Token被劫持之后,可以伪造请求和篡改参数,以达到服务器的授信,这样会使得给服务器造成安全隐患,为此,现在的技术手段均是基于MD5 参数签名的方式来保证API接口的安全性,由于MD5参数签名包含了时间戳验证、Token、业务参数以及客户端签名,这这些可以进行顺序调整,即使被劫持之后,也无法得到通过访问的应用凭证。
上述的方式通过有效凭证来完成验证访问,都是被动防御,不能实现不安全的隔离以达到主动防御的目的。
发明内容
本发明的目的在于提供一种网络安全隔离***,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种网络安全隔离***,包括:
至少一个网络设备;
一个或者多个应用服务器;
处理机,具有由多个处理器或者处理电路构成的处理模块;
识别机,连接所述处理机,
所述识别机被配置成基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下以获取访问请求的物理地址和认证资源,所述认证资源包含认证证书,使具有认证证书的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的第一安全执行逻辑,所述第一安全执行逻辑具有设定的第一安全执行策略,所述第一安全执行策略具有安全等级确定部、第一关联控制单元,所述安全等级确定部以认证证书的属性确定所述认证资源的安全等级,并依据确定的安全等级通过处理器或者处理电路中的认证单元按照设定管理模式形成关联证书,通过第一关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中;
所述识别机被配置成基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下以获取访问请求的物理地址和认证资源,若访问请求中不含有认证资源,使得不具有认证资源的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的第二安全执行逻辑,所述第二安全执行逻辑具有设定的第二安全执行策略,所述第二安全执行策略具有许可库、许可单元、追踪单元、隔离单元、安全写入程序和安全写入接口以及时钟单元;
所述许可库中具有基于时间启用的多个许可证书;
所述许可单元加载许可库为不含有认证资源的访问请求匹配一个许可证书;
所述关联控制单元将许可证书部署在陷阱服务器的第二安全管理机中,以供不含有认证资源的访问请求基于许可证书形成对陷阱服务器的陷阱服务器资源一次响应;
所述追踪单元用于追踪不含有认证资源的访问请求在访问陷阱服务器资源的响应中的反馈结果;
基于所述反馈结果以确定是否执行安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
或,基于所述反馈结果以确定是否执行隔离单元将不含有认证资源的访问请求的物理地址标记并隔离至黑名单中;
或,通过安全写入接口由人工接入安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
基于所述安全证书确定安全等级,并依据确定的安全等级通过处理器或者处理电路中的认证单元按照设定管理模式形成关联证书,通过关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中。
进一步地,所述处理模块具有第一子模块和第二子模块;
所述第一子模块具有第一驱动单元;
所述第二子模块具有第二驱动单元;
基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下获取的识别结果来确定第一驱动单元和第二驱动单元的启用。
进一步地,所述应用服务器具有基于与客户端形成的签名库,所述签名库通过设定的周期传输至识别机中,所述识别机接收到签名库后以更新设置在识别机中的验证库。
进一步地,所述识别机具有识别部、验证库、第一输出通道和第二输出通道;
所述识别部加载验证库以验证访问请求的签名,如果所述签名与验证库中的一致,则通过第一输出通道输入至第一驱动单元;
如果所述签名与验证库中的不一致,则通过第二输出通道输入至第二驱动单元。
进一步地,所述许可证书以启用时间戳为唯一性的验证,并在设定的时间内具有访问许可。
进一步地,所述陷阱服务器设置有监视器,所述监视器用于监视带有许可证书的一次访问请求在陷阱服务器访问执行状况,所述监视器与追踪单元连接。
与现有技术相比,本发明的有益效果是:
本申请可以通过识别机将访问请求按照是否加载认证证书,当访问请求中具有认证证书时,通过第一输出通道输入至第一驱动单元,第一驱动单元驱动第一子模块,使具有认证证书的访问请求交由第一子模块以提供供访问请求获取应用服务器的应用服务器资源的第一安全执行逻辑,所述第一安全执行逻辑具有设定的第一安全执行策略,所述第一安全执行策略具有安全等级确定部、第一关联控制单元,所述安全等级确定部以认证证书的属性确定所述认证资源的安全等级,比如基于MD5参数签名、具有Token+时间戳验证+ 业务参数、具有Token+时间戳验证、Token验证的安全等级依次降低,在客户端首次与应用服务器建立访问请求时,通过所述处理器或者处理电路中的认证单元按照设定管理模式形成关联证书,通过第一关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中;
当访问请求不具有认证证书时,通使不具有认证资源的访问请求交由处理机以提供供访问请求获取应用服务器的应用服务器资源的第二安全执行逻辑,所述第二安全执行逻辑具有设定的第二安全执行策略,所述第二安全执行策略具有许可库、许可单元、追踪单元、隔离单元、安全写入程序和安全写入接口以及时钟单元;所述许可库中具有基于时间启用的多个许可证书;所述许可单元加载许可库为不含有认证资源的访问请求匹配一个许可证书;所述关联控制单元将许可证书部署在陷阱服务器的第二安全管理机中,以供不含有认证资源的访问请求基于许可证书形成对陷阱服务器的陷阱服务器资源一次响应;所述追踪单元用于追踪不含有认证资源的访问请求在访问陷阱服务器资源的响应中的反馈结果;基于所述反馈结果以确定是否执行安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书。
附图说明
图1为本发明***的框架原理总图;
图2为本发明***的详细原理示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1至图2,本申请提供了一种网络安全隔离***,包括:
一种网络安全隔离***,包括:
至少一个网络设备;
一个或者多个应用服务器;
处理机,具有由多个处理器或者处理电路构成的处理模块;
识别机,连接所述处理机,
所述识别机被配置成基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下以获取访问请求的物理地址和认证资源,所述认证资源包含认证证书,使具有认证证书的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的第一安全执行逻辑,所述第一安全执行逻辑具有设定的第一安全执行策略,所述第一安全执行策略具有安全等级确定部、第一关联控制单元,所述安全等级确定部以认证证书的属性确定所述认证资源的安全等级,并依据确定的安全等级通过处理器或者处理电路中的认证单元按照设定管理模式形成关联证书,通过第一关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中;
所述识别机被配置成基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下以获取访问请求的物理地址和认证资源,若访问请求中不含有认证资源,使得不具有认证资源的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的第二安全执行逻辑,所述第二安全执行逻辑具有设定的第二安全执行策略,所述第二安全执行策略具有许可库、许可单元、追踪单元、隔离单元、安全写入程序和安全写入接口以及时钟单元;
所述许可库中具有基于时间启用的多个许可证书;
所述许可单元加载许可库为不含有认证资源的访问请求匹配一个许可证书;
所述关联控制单元将许可证书部署在陷阱服务器的第二安全管理机中,以供不含有认证资源的访问请求基于许可证书形成对陷阱服务器的陷阱服务器资源一次响应;
所述追踪单元用于追踪不含有认证资源的访问请求在访问陷阱服务器资源的响应中的反馈结果;
基于所述反馈结果以确定是否执行安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
或,基于所述反馈结果以确定是否执行隔离单元将不含有认证资源的访问请求的物理地址标记并隔离至黑名单中;
或,通过安全写入接口由人工接入安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
基于所述安全证书确定安全等级,并依据确定的安全等级通过处理器或者处理电路中的认证单元按照设定管理模式形成关联证书,通过关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中。
进一步地,所述处理模块具有第一子模块和第二子模块;
所述第一子模块具有第一驱动单元;
所述第二子模块具有第二驱动单元;
基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下获取的识别结果来确定第一驱动单元和第二驱动单元的启用。
进一步地,所述应用服务器具有基于与客户端形成的签名库,所述签名库通过设定的周期传输至识别机中,所述识别机接收到签名库后以更新设置在识别机中的验证库。
进一步地,所述识别机具有识别部、验证库、第一输出通道和第二输出通道;
所述识别部加载验证库以验证访问请求的签名,如果所述签名与验证库中的一致,则通过第一输出通道输入至第一驱动单元;
如果所述签名与验证库中的不一致,则通过第二输出通道输入至第二驱动单元。
进一步地,所述许可证书以启用时间戳为唯一性的验证,并在设定的时间内具有访问许可。
进一步地,所述陷阱服务器设置有监视器,所述监视器用于监视带有许可证书的一次访问请求在陷阱服务器访问执行状况,所述监视器与追踪单元连接。
本申请可以通过识别机将访问请求按照是否加载认证证书,当访问请求中具有认证证书时,通过第一输出通道输入至第一驱动单元,第一驱动单元驱动第一子模块,使具有认证证书的访问请求交由第一子模块以提供供访问请求获取应用服务器的应用服务器资源的第一安全执行逻辑,所述第一安全执行逻辑具有设定的第一安全执行策略,所述第一安全执行策略具有安全等级确定部、第一关联控制单元,所述安全等级确定部以认证证书的属性确定所述认证资源的安全等级,比如基于MD5参数签名、具有Token+时间戳验证+ 业务参数、具有Token+时间戳验证、Token验证的安全等级依次降低,在客户端首次与应用服务器建立访问请求时,通过所述处理器或者处理电路中的认证单元按照设定管理模式形成关联证书,通过第一关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中;
在上述中,所述设定管理模式按照如下的方式执行:
当所述安全等级确定部以认证证书的属性确定所述认证资源的安全等级为一级时,比如基于MD5参数签名为一级安全等级,基于MD5参数签名包含了Token+时间戳验证+业务参数+一次有效的随机字符串,在基于MD5参数签名中要求每次请求时,一次有效的随机字符串要保证不同,一次有效的随机字符串与时间戳验证建立绑定,因此,基于MD5参数签名是最高安全等级的认证资源,当所述安全等级确定部以认证证书的属性确定所述认证资源是基于MD5参数签名时,则所述设定管理模式对此次请求再次注入一次有效的随机字符串并与时间戳验证建立绑定,以形成认证资源+关联证书的认证方式。
当所述安全等级确定部以认证证书的属性确定所述认证资源的安全等级为二级时,比如具有Token+时间戳验证+业务参数,则所述设定管理模式对此次访问请求注入两个不同的一次有效的随机字符串与时间戳验证建立绑定。同理其他方式安全等级与上述的原理一致。这样,当下次客户端建立与应用服务器端的访问请求时,由于之前的访问请求在被写入关联证书后,所以再次请求时验证会出现错误,会显示认证证书过期,这时客户端需要再发起一次认证请求,更新新的认证,新的认证是为认证资源+关联证书,这样可以将不同安全等级的访问请求统一形成新的安全认证资源。
在上述中,即便低级别的认证资源被劫持后,其仅能形成一次设定时间的有效访问,当重放攻击和篡改攻击时,二次就不能完成验证,有效的放置了重放攻击和篡改攻击,增强了***的安全等级。
当访问请求不具有认证证书时,通过第二输出通道输入至第二驱动单元,第二驱动单元驱动第二子模块,使不具有认证资源的访问请求交由第二子模块以提供供访问请求获取应用服务器的应用服务器资源的第二安全执行逻辑,所述第二安全执行逻辑具有设定的第二安全执行策略,所述第二安全执行策略具有许可库、许可单元、追踪单元、隔离单元、安全写入程序和安全写入接口以及时钟单元;所述许可库中具有基于时间启用的多个许可证书;所述许可单元加载许可库为不含有认证资源的访问请求匹配一个许可证书;所述关联控制单元将许可证书部署在陷阱服务器的第二安全管理机中,以供不含有认证资源的访问请求基于许可证书形成对陷阱服务器的陷阱服务器资源一次响应;所述追踪单元用于追踪不含有认证资源的访问请求在访问陷阱服务器资源的响应中的反馈结果;基于所述反馈结果以确定是否执行安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
或,基于所述反馈结果以确定是否执行隔离单元将不含有认证资源的访问请求的物理地址标记并隔离至黑名单中;
或,通过安全写入接口由人工接入安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
基于所述安全证书确定安全等级,并依据确定的安全等级通过处理器或者处理电路中的认证单元按照设定管理模式形成关联证书,通过关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中。
在上述中,如果客户端建立的访问请求被认为是安全的时(可以通过人工确认和客户端发起认证请求),则可以将上述的许可证书修改为统一格式的认证方式,以部署在应用服务器的第一安全管理机中。
本发明中未涉及部分均与现有技术相同或可采用现有技术加以实现。尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (5)

1.一种网络安全隔离***,其特征在于,包括:
至少一个网络设备;
一个或者多个应用服务器;
陷阱服务器,连接一个或者多个所述应用服务器;
处理机,具有由多个处理器或者处理电路构成的处理模块;
识别机,连接所述处理机,
所述识别机被配置成基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下以获取访问请求的物理地址和认证资源,所述认证资源包含认证证书,使具有认证证书的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的第一安全执行逻辑,所述第一安全执行逻辑具有设定的第一安全执行策略,所述第一安全执行策略通过安全等级确定部和第一关联控制单元执行,所述安全等级确定部以认证证书的属性确定所述认证资源的安全等级,并依据确定的安全等级通过处理模块的认证单元按照设定管理模式形成关联证书,通过第一关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中;
若访问请求中不含有认证资源,使得不具有认证资源的访问请求交由处理模块以提供供访问请求获取应用服务器的应用服务器资源的第二安全执行逻辑,所述第二安全执行逻辑具有设定的第二安全执行策略,所述第二安全执行策略具有许可库、许可单元、追踪单元、隔离单元、安全写入程序和安全写入接口以及时钟单元;
所述许可库中具有基于时间启用的多个许可证书;
所述许可单元加载许可库为不含有认证资源的访问请求匹配一个许可证书;
所述第一关联控制单元将许可证书部署在陷阱服务器的第二安全管理机中,以供不含有认证资源的访问请求基于许可证书形成对陷阱服务器的陷阱服务器资源一次响应;
所述追踪单元用于追踪不含有认证资源的访问请求在访问陷阱服务器资源的响应中的反馈结果;
基于所述反馈结果以确定是否执行安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
或,基于所述反馈结果以确定是否执行隔离单元将不含有认证资源的访问请求的物理地址标记并隔离至黑名单中;
或,通过安全写入接口由人工接入安全写入程序为不含有认证资源的访问请求写有一个有限次访问的安全证书;
基于所述安全证书确定安全等级,并依据确定的安全等级通过处理模块中的认证单元按照设定管理模式形成关联证书,通过第一关联控制单元将认证资源和关联证书写入属性表后部署在应用服务器的第一安全管理机中。
2.根据权利要求1所述的网络安全隔离***,其特征在于,所述处理模块具有第一子模块和第二子模块;
所述第一子模块具有第一驱动单元;
所述第二子模块具有第二驱动单元;
基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识别响应下获取的识别结果来确定第一驱动单元和第二驱动单元的启用。
3.根据权利要求1所述的网络安全隔离***,其特征在于,所述识别机具有识别部、验证库、第一输出通道和第二输出通道;
所述识别部加载验证库以验证访问请求的签名,如果所述签名与验证库中的一致,则通过第一输出通道输入至第一驱动单元;
如果所述签名与验证库中的不一致,则通过第二输出通道输入至第二驱动单元。
4.根据权利要求1所述的网络安全隔离***,其特征在于,所述许可证书以启用时间戳为唯一性的验证,并在设定的时间内具有访问许可。
5.根据权利要求1所述的网络安全隔离***,其特征在于,所述陷阱服务器设置有监视器,所述监视器用于监视带有许可证书的一次访问请求在陷阱服务器访问执行状况,所述监视器与追踪单元连接。
CN202210096314.0A 2022-01-26 2022-01-26 一种网络安全隔离*** Active CN114640497B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210096314.0A CN114640497B (zh) 2022-01-26 2022-01-26 一种网络安全隔离***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210096314.0A CN114640497B (zh) 2022-01-26 2022-01-26 一种网络安全隔离***

Publications (2)

Publication Number Publication Date
CN114640497A CN114640497A (zh) 2022-06-17
CN114640497B true CN114640497B (zh) 2023-03-17

Family

ID=81946652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210096314.0A Active CN114640497B (zh) 2022-01-26 2022-01-26 一种网络安全隔离***

Country Status (1)

Country Link
CN (1) CN114640497B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102487383B (zh) * 2010-12-02 2015-01-28 上海可鲁***软件有限公司 一种工业互联网分布式***安全接入控制装置
US10333977B1 (en) * 2018-08-23 2019-06-25 Illusive Networks Ltd. Deceiving an attacker who is harvesting credentials
CN110957025A (zh) * 2019-12-02 2020-04-03 重庆亚德科技股份有限公司 一种医疗卫生信息安全管理***
CN111131336B (zh) * 2020-03-30 2020-07-17 腾讯科技(深圳)有限公司 多方授权场景下的资源访问方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114640497A (zh) 2022-06-17

Similar Documents

Publication Publication Date Title
EP1914658B1 (en) Identity controlled data center
US10447682B1 (en) Trust management in an electronic environment
US8566918B2 (en) Method and apparatus for token-based container chaining
US9485255B1 (en) Authentication using remote device locking
US10333925B2 (en) Seamless provision of authentication credential data to cloud-based assets on demand
CN112597472A (zh) 单点登录方法、装置及存储介质
CN108462687B (zh) 防刷登录的方法、装置、终端设备及存储介质
CN107124431A (zh) 鉴权方法、装置、计算机可读存储介质和鉴权***
CN102281286A (zh) 用于分布式混合企业的灵活端点顺从和强认证
CN111414612B (zh) 操作***镜像的安全保护方法、装置及电子设备
CN112580006A (zh) 一种多云***的访问权限控制方法、装置及认证服务器
US20130047259A1 (en) Method and apparatus for token-based virtual machine recycling
CN111371725A (zh) 一种提升会话机制安全性的方法、终端设备和存储介质
CN111062023A (zh) 多应用***实现单点登录的方法及装置
WO2019178763A1 (zh) 一种证书导入方法及终端
WO2023093500A1 (zh) 一种访问验证方法及装置
US9361443B2 (en) Method and apparatus for token-based combining of authentication methods
CN115242546A (zh) 一种基于零信任架构的工业控制***访问控制方法
CN112929388B (zh) 网络身份跨设备应用快速认证方法和***、用户代理设备
CN111988279A (zh) 通过sasl认证访问内存缓存服务的方法、***、设备及介质
JP2009003501A (ja) ワンタイムパスワード認証システム
CN111783047A (zh) Rpa自动化安全防护方法及装置
CN116996305A (zh) 一种多层次安全认证方法、***、设备、存储介质及入口网关
CN114640497B (zh) 一种网络安全隔离***
CN115021995B (zh) 多渠道登录方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant