发布信息

请求接入公网的安全管理方法、公网服务系统及存储介质与流程

作者:admin      2022-08-31 15:28:34     821



电子通信装置的制造及其应用技术1.本发明涉及网络通信技术领域,尤其涉及一种请求接入公网的安全管理方法、公网服务系统及存储介质。背景技术:2.随着互联网行业的不断发展,社会网络化的大范围普及,信息的资源性和战略地位大幅度提高和增强,随之而来的就是信息的安全和保密问题。有些企业为了更好的服务用户端,提供了公网服务平台,对外暴露了一些数据接入服务,如何保障用户信息在传输中的安全性和自身服务平台的安全运行成了企业在解决公网服务对外开放过程中重要问题。3.目前,大部分采用的是通过设置物理防火墙的被动防御手段,仅由被动防御手段仍无法保证用户信息与公网服务平台的安全;因此一种主动防御手段是目前本领域内所亟需的。技术实现要素:4.为解决上述技术问题,在本发明的一个方面,提出了一种请求接入公网的安全管理方法,所述方法包括由公网服务平台执行的以下步骤:接收用户端的信息注册请求,对获得的用户信息进行安全验证;响应于安全验证通过,向所述用户端返回入网凭证;向证书颁发中心发送所述用户信息及对应的入网凭证;接收证书颁发中心的第一加密信息,并解密所述第一加密信息获得用户信息及对应的电子证书,绑定所述用户信息与所述电子证书并关系保存;接收用户端的入网请求,获得所述入网请求中的入网凭证及电子证书,响应于所述入网凭证与所述电子证书的对应关系存在,接受所述用户端的入网请求。5.在一个或多个实施例中,所述入网凭证由所述公网服务平台管理,且具有唯一性,所述方法还包括:响应于用户端以相同的用户信息再次提出信息注册请求,而生成新的入网凭证;绑定所述用户信息与所述新的入网凭证;向证书颁发中心发送所述用户信息与所述新的入网凭证。6.在一个或多个实施例中,在接收用户端的入网请求之后,且在验证所述入网凭证与所述电子证书的对应关系之前,所述方法还包括:对发送所述入网请求的用户端进行https双向认证验证;响应于所述双向验证通过,建立与所述用户端的网络连接。7.在一个或多个实施例中,所述方法还包括:响应于入网请求被接受,统计同一用户端的服务请求频次,并根据所述服务请求频次评定所述用户端的危险级别;根据所述用户端的危险级别执行相应的处理。8.在一个或多个实施例中,所述根据所述用户端的危险级别执行相应的处理,包括:响应于所述同一用户端的服务请求频次达到第一预设阈值,限制所述用户端访问的ip服务;响应于所述同一用户端的服务请求频次达到第二预设阈值,将所述用户端的用户信息加入黑名单;响应于所述同一用户端的服务请求频次达到第三预设阈值,吊销所述用户端的数字证书和入网凭证;其中,所述第三预设阈值大于所述第二预设阈值,所述第二预设阈值大于所述第一预设阈值。9.在一个或多个实施例中,所述方法还包括:为所述黑名单中的用户信息配置禁用时长;响应于对应的用户信息达到禁用时长,将所述用户信息移除所述黑名单,并降低所述用户信息的危险级别为限制级别。10.在一个或多个实施例中,所述方法还包括:响应于所述数字证书和入网凭证被吊销,由所述公网服务平台向对应所述数字证书和入网凭证的用户端发送相关信息以提醒所述用户重新申请入网凭证和数字证书。11.在一个或多个实施例中,本发明的请求接入公网的安全管理方法还包括由证书颁发中心执行的以下步骤:接收公网服务平台发送的用户信息与入网凭证,关系保存所述用户信息与所述入网凭证;接收用户端的证书请求,获得所述证书请求中的用户信息与入网凭证;响应于所述证书请求中的所述用户信息与所述入网凭证的对应关系存在,向所述用户端返回电子证书;加密所述用户信息与对应的电子证书为第一加密信息,向所述公网服务平台返回所述第一加密信息。12.在本发明的第二方面,提出了一种公网服务系统,包括:公网服务平台,配置用于接收用户端的信息注册请求,对获得的用户信息进行安全验证;响应于安全验证通过,向所述用户端返回入网凭证;向证书颁发中心发送所述用户信息及对应的入网凭证;接收证书颁发中心的第一加密信息,并解密所述第一加密信息获得用户信息及对应的电子证书,绑定所述用户信息与所述电子证书并关系保存;接收用户端的入网请求,获得所述入网请求中的入网凭证及电子证书,响应于所述入网凭证与所述电子证书的对应关系存在,接受所述用户端的入网请求并提供相应服务;证书颁发中心,配置用于接收公网服务平台发送的用户信息与入网凭证,关系保存所述用户信息与所述入网凭证;接收用户端的证书请求,获得所述证书请求中的用户信息与入网凭证;响应于所述证书请求中的所述用户信息与所述入网凭证的对应关系存在,向所述用户端返回电子证书;加密所述用户信息与对应的电子证书为第一加密信息,向所述公网服务平台返回所述第一加密信息;其中,所述公网服务平台与所述证书颁发中心通过加密网络进行通信。13.在本发明的第三方面,提出了一种可读存储介质,所述可读存储介质中存储有可执行的计算机程序;其中,所述计算机程序被执行时用于实现如上述涉及公网服务管理平台和证书颁发中心的请求接入公网的安全管理方法的步骤。14.本发明方法的有益效果包括:在一个方面,用户端在请求加入公网平台时,无需携带用户端的用户信息,而仅需携带入网凭证和电子证书,从而保证了用户信息的安全。在另一个方面,用户端请求加入公网服务平台的过程需要分别由不同服务平台获得入网凭证和电子证书,且由于入网凭证和电子证书均与用户信息绑定,因此,在对入网请求的验证过程中,不但要分别验证入网凭证和电子证书的正确性还需要验证二者之间的对应关系,从而使得二者任一被盗用时也无法成功加入公网服务平台,从而提升了公网服务平台的抗恶意攻击的能力,有助于公网服务平台的安全运行。附图说明15.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。16.图1为本发明的请求接入公网的安全管理方法在公网服务平台侧的流程框图;17.图2为本发明的请求接入公网的安全管理方法在证书颁发中心侧的流程框图;18.图3为本发明的请求接入公网的安全管理方法的完整流程框图;19.图4为本发明的公网服务系统的结构示意图;20.图5为本发明的可读存储介质的结构示意图。具体实施方式21.为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。22.需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。23.鉴于目前针对公网服务平台缺乏一种能够主动防御恶意攻击的手段,在本发明的一个方面,提出了一种请求接入公网的安全管理方法。本发明通过对用户端的接入公网服务平台的请求过程进行了优化,使得用户端必须分别由公网服务平台获得入网凭证以及由证书颁发中心获得电子证书,且同时持有具有对应关系的入网凭证和电子证书时,才被允许加入该公网服务平台从而获得服务支持。24.图1为本发明的请求接入公网的安全管理方法在公网服务平台侧的流程框图。其中,公网服务平台用于对外提供服务接口,并在请求通过后允许加入公网服务平台以获得服务支持。由于服务接口对公众开放,因此,如何避免通过服务接口进行的恶意攻击是本领域内亟需解决的技术问题,仅通过物理防火墙这一种手段无法有效的保证用户信息及公网服务平台的安全。本发明提出的请求接入公网的安全管理方法从软件策略层面实现了对接入请求的筛选和管理,其能够与物理防火墙相结合来提供更好的保护。请参见图1,本发明的提出的请求接入公网的安全管理方法在公网服务平台层的工作流程包括:步骤100、接收用户端的信息注册请求,对获得的用户信息进行安全验证;步骤300、响应于安全验证通过,向用户端返回入网凭证;步骤500、向证书颁发中心发送用户信息及对应的入网凭证;步骤700、接收证书颁发中心的第一加密信息,并解密第一加密信息获得用户信息及对应的电子证书,绑定用户信息与所述电子证书并关系保存;步骤900、接收用户端的入网请求,获得入网请求中的入网凭证及电子证书,响应于入网凭证与电子证书的对应关系存在,接受用户端的入网请求。25.具体的,在步骤100中,用户端首先需要在公网服务平台进行信息注册,上传用户信息,用户信息包括用户端名、用户端密码以及预留的联系邮箱,在此过程中,公网服务平台将自动获得用户端的设备id,并与用户端上传的用户信息绑定保存。公网服务平台在获得用户信息后,会对用户信息进行安全验证,主要是验证用户端的设备id是否记录在本地的黑名单中,若结果为否则通过安全验证。在验证通过后会执行步骤300、向用户端返回入网凭证。入网凭证的发放代表该用户端已被初步认可;与此同时,公网服务平台还将进一步的执行步骤500向证书颁发中心发送用户信息及对应的入网凭证,这一步的作用是为了后续证书颁发中心对用户信息与入网凭证及其二者对应关系的验证;例如,当用户端b获取了用户端的a的入网凭证,则用户端b无法凭借用户端a的入网凭证申请到证书颁发中心的电子证书,进而无法在后续过程中实现成功加入公网服务平台。在步骤500之后,公网服务平台会执行步骤700、接收到来自证书颁发中心返回的第一加密信息,通过解密该加密信息即可获得与该用户信息以及入网凭证唯一对应的电子证书;当用户端的入网请求中具有对应该用户信息(如用户端的设备id)的入网凭证和电子证书时,则被允许加入该公网服务平台,反之则会被拒绝加入。26.在一个可选实施例中,当连续三次以同一入网凭证或同一电子证书请求加入均失败后,吊销具有该入网凭证以及与该入网凭证具有对应关系的电子证书,或者吊销该电子证书或与该电子证书具有对应关系的入网凭证。其中,上述次数“三次”可选择性的配置为一次或更多次。27.由上述过程可知,在一个方面,用户端在请求加入公网平台时,无需携带用户端的用户信息,而仅需携带入网凭证和电子证书,从而保证了用户信息的安全。其中,用户信息(如用户端名及用户端密码)仅用于用户端管理,如登录公网服务平台后,选择更改预留的联系邮箱时,公网服务平台可以要求用户端需输入正确的用户端名及用户端密码以实现对用户端操作的验证。在另一个方面,用户端请求加入公网服务平台的过程需要分别由不同服务平台获得入网凭证和电子证书,且由于入网凭证和电子证书均与用户信息(如,用户端的设备id)进行绑定,因此,在对入网请求的验证过程中,不但要分别验证入网凭证和电子证书的正确性还需要验证二者之间的对应关系,从而使得二者任一被盗用时也无法成功加入公网服务平台,从而提升了公网服务平台的抗恶意攻击的能力,有助于公网服务平台的安全运行。28.在进一步的实施例中,入网凭证由公网服务平台管理,且具有唯一性,相应的,公网服务平台还将执行以下步骤:响应于用户端以相同的用户信息再次提出信息注册请求,而生成新的入网凭证;绑定用户信息与新的入网凭证;向证书颁发中心发送用户信息与新的入网凭证。29.具体的,在本发明方案中用户端可选择定期自行重新申请入网凭证和电子证书以保证自身账户的安全性;另一种情况是,公网服务平台发现该用户端的入网凭证或电子证书已经被其它用户端盗用而吊销被盗用的用户端凭证及电子证书的情况,此时用户端不得不重新申请入网凭证和电子证书。30.在一个优选的实施中,公网服务平台在平台内部根据用户信息(如,用户端的设备id)将入网凭证和获得的电子证书关联保存,而在外部的数据传输过程中,具有对应关系的入网凭证和电子证书不会同时出现,从而大大降低了二者同时被同时盗用的可能性,从而进一步保证了加入公网服务平台的安全性。31.在一个优选的实施例中,在接收用户端的入网请求之后,且在验证入网凭证与电子证书的对应关系之前,公网服务平台与用户端的设备之间还执行包括:对发送入网请求的用户端进行https双向认证验证;响应于双向验证通过,建立与用户端网络连接。其中,https双向认证验证主要是验证通信双方是否具有对方的公钥,从而验证对方是否为想要通信的对象,如果双方均能通过对方的公钥解析对方发送的消息并做出正确的反馈则验证通过,并建立稳固的网络连接,否则则将断开二者之间的网络连接。32.在进一步的实施例中,为了进一步增强公网服务平台的主动防御能力,公网服务平台还将执行包括:响应于入网请求被接受,统计同一用户端的服务请求频次,并根据服务请求频次评定所述用户端的危险级别;并根据用户端的危险级别执行相应的处理。其中,根据用户端的危险级别执行相应的处理,包括:响应于同一用户端的服务请求频次达到第一预设阈值,限制用户端访问的ip服务;响应于同一用户端的服务请求频次达到第二预设阈值,将用户端的用户信息加入黑名单;响应于同一用户端的服务请求频次达到第三预设阈值,吊销用户端的数字证书和入网凭证;其中,第三预设阈值大于第二预设阈值,第二预设阈值大于第一预设阈值。33.在一个可选的实施例中,公网服务平台将对其提供的多种功能服务进行分级,可选的设置为限制级用户可调用以及限制级用户不可调用。具体的限制手段为允许用户访问对应的ip服务器或者禁止用户访问对应的ip服务器。34.在另一个可选的实施例中,通过公网服务平台还可以执行包括:为黑名单中的用户信息(如,用户的设备id)配置禁用时长;响应于对应的用户信息(如,用户的设备id)达到禁用时长,将用户信息移除该黑名单,并降低该用户信息的危险级别为限制级别。当达到限制时间后恢复为正常的用户级别。35.在另一个可选的实施例中,公网服务平台还执行包括:响应于数字证书和入网凭证被吊销,由公网服务平台向对应数字证书和入网凭证的用户端发送相关信息以提醒用户重新申请入网凭证和数字证书。具体的,可以通过预留的联系邮箱发送至对应的客户端。36.以上即为由公网服务平台执行的主要步骤,上述各实施例通过相互组合形成的新的方案也应在本发明的保护范围之内。以下,将对在证书颁发中心侧执行的请求接入公网的安全管理方法的步骤进行详细说明。37.图2为本发明的请求接入公网的安全管理方法在证书颁发中心侧的流程框图。如图2所示,证书颁发中心侧的工作流程包括:步骤200、接收公网服务平台发送的用户信息与入网凭证,关系保存用户信息与入网凭证;步骤400、接收用户端的证书请求,获得证书请求中的用户信息与入网凭证;步骤600、响应于证书请求中的用户信息与入网凭证的对应关系存在,向用户端返回电子证书;步骤800、加密用户信息与对应的电子证书为第一加密信息,向公网服务平台返回第一加密信息。38.在进一步的实施例中,公网服务平台与证书颁发中心会定期交换公钥。客户端分别由公网服务平台获得入网凭证以及由证书颁发中心获得电子证书后,会使用公网服务平台的公钥解密该电子证书并安装,从而使得每次发起的入网请求均携带对应的入网凭证和该电子证书。39.图3为本发明的请求接入公网的安全管理方法的完整流程框图。如图3所示,用户需要分别由两处分别获得入网凭证和电子证书,且用户的身份会需要分别被公网服务平台以及证书颁发中心认可后才能获得入网资格,从而大大保证了加入公网服务平台的用户的安全性,能够有效避免危险用户的恶意攻击。40.在本发明的另第二方面,还公开了一种公网服务系统。图4为本发明的公网服务系统的结构示意图。如图4所示,本发明的公网服务系统包括:公网服务平台10,配置用于执行包括接收用户端的信息注册请求,对获得的用户信息进行安全验证;响应于安全验证通过,向用户端返回入网凭证;向证书颁发中心发送用户信息及对应的入网凭证;接收证书颁发中心的第一加密信息,并解密第一加密信息获得用户信息及对应的电子证书,绑定用户信息与电子证书并关系保存;接收用户端的入网请求,获得入网请求中的入网凭证及电子证书,响应于入网凭证与电子证书的对应关系存在,接受用户端的入网请求并提供相应服务;以及证书颁发中心20,配置用于执行包括:接收公网服务平台发送的用户信息与入网凭证,关系保存用户信息与入网凭证;接收用户端的证书请求,获得证书请求中的用户信息与入网凭证;响应于证书请求中的用户信息与入网凭证的对应关系存在,向用户端返回电子证书;加密用户信息与对应的电子证书为第一加密信息,向公网服务平台返回所述第一加密信息;其中,公网服务平台与证书颁发中心通过加密网络进行通信。41.本发明系统的有益效果包括:在一个方面,用户端在请求加入公网平台时,无需携带用户端的用户信息,而仅需携带入网凭证和电子证书,从而保证了用户信息的安全。在另一个方面,用户端请求加入公网服务平台的过程需要分别由不同服务平台获得入网凭证和电子证书,且由于入网凭证和电子证书均与用户信息绑定,因此,在对入网请求的验证过程中,不但要分别验证入网凭证和电子证书的正确性还需要验证二者之间的对应关系,从而使得二者任一被盗用时也无法成功加入公网服务平台,从而提升了公网服务平台的抗恶意攻击的能力,有助于公网服务平台的安全运行。42.在本发明的第三方面,还公开了一种可读存储介质。图5为本发明的可读存储介质的结构示意图。如图5所示,本发明的可读存储介质30中存储有可执行的计算机程序31;其中,计算机程序31被执行时用于实现如上述由公网服务平台及证书颁发中心所执行的请求接入公网的安全管理方法的步骤。43.以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。44.应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。45.上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。46.所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。









图片声明:本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明:本文中引用的各种信息及资料(包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主体(包括但不限于公司、媒体、协会等机构)的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理!本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明:我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理,本文部分文字与图片资源来自于网络,部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益,请立即通知我们,情况属实,我们会第一时间予以删除,并同时向您表示歉意,谢谢!

相关内容 查看全部