[发明专利]采用分层防御模式提高用户管理系统安全性的方法

说明书

技术领域

本发明针对用户管理系统安全性而提出的一种分层防御体系，特别是一种采用分层防御模式提高用户管理系统安全性的方法。

背景技术

计算机技术的发展使得用户管理系统能够为运营商提供功能更加全面、性能更加强大的运营支撑服务，同时能为用户提供更便捷、更个性化的体验。但是由于计算机网络环境比较复杂，极易遭到黑客的恶意攻击，而用户管理系统现有的加密机制只是针对与CAS之间的通信进行简单加密，容易遭到破解。为了解决用户管理系统的安全性问题，本发明设计了一种分层防御体系，根据用户管理系统网络不同区域的不同安全需求，针对性地增强其安全性，在抵制黑客攻击的时候可有效地解决单点防御容易被攻破的问题，从而提高用户管理系统的安全性。

发明内容

本发明的目的在于提供一种采用分层防御模式提高用户管理系统安全性的方法。

为实现上述目的，本发明的技术方案是：一种采用分层防御模式提高用户管理系统安全性的方法，采用周边安全、通信安全、端点安全三个层面构建分层防御体系，从而提高用户管理系统抵御攻击的能力，具体包括如下步骤，

S1：周边安全，即通过网络分割从开放的网络中把需要保护的用户管理系统的内部网络独立出来，使其成为安全的、受控的网络，其具体实现过程为：

S11：端口过滤：用户管理系统实际运营时，需通过浏览器与服务器进行数据交互，故防火墙对访问规则进行创建时，只让源端口号为80的数据包进入内部网络；

S12：网络地址检测：统计用户管理系统实际运营时每一个营业员的MAC地址和IP地址所在区域，并将所述MAC地址和IP地址回传至服务器进行匹配；

S2：通信安全，即通过AES加密和认证代码双重验证保证用户管理系统在数据传输时的完整性和可靠性；

S3：端点安全，即通过身份验证、权限管理及数据访问体系实现用户管理系统应用程序级的安全，其具体实现过程为：

S31：身份验证：通过登录信息加密，验证用户身份的合法性，进而确保通过身份验证的用户才能对用户管理系统内部的资源进行访问；

S32：权限管理：采用基于角色的安全访问控制机制，实现用户权限管理；

S33：数据访问体系：采用多层数据访问模型实现用户管理系统与数据库之间的交互。

在本发明实施例中，所述步骤S12的网络地址检测的具体实现过程如下，

步骤S121：通过用户管理系统获取用户登录时的MAC地址和IP地址；

步骤S122：判断MAC地址是否异常，若异常，进入步骤S123；若正常，进入步骤S124；

步骤S123：判断IP地址是否异常，若异常，则锁定账户；若正常，则采用安全模式登录；

步骤S124：判断IP地址是否异常，若异常，则采用安全模式登录；若正常，正常登录。

在本发明实施例中，所述步骤S2的加密验证过程，具体如下，

步骤S21：客户端将待发送的明文序列使用密钥Key_A通过AES加密算法加密作为消息数据，同时使用密钥Key_M加密散列算法生成消息认证代码MAC_S；

步骤S22：将所述步骤S21的消息数据和消息认证代码MAC_S一起发送至服务器端；

步骤S23：服务器端接收消息数据，并使用密钥Key_A通过AES解密程序进行解密，同时将解密后的明文数据使用密钥Key_M通过加密散列算法生成消息认证代码MAC_R；

步骤S24：将MAC_R与MAC_S进行比对，若两者一致，则表明接收的消息数据合法有效；若不一致，则表示接收的消息数据为非法数据。

在本发明实施例中，所述步骤S31的登录信息加密，即在用户输入的明文密码中加入一个不定字长的随机数后，再进行散列运算。

在本发明实施例中，所述步骤S32的角色即在用户管理系统设计时将每个职位与其对应的权限绑定，则该具有诸多权限的职位即为角色。

在本发明实施例中，所述步骤S33的多层数据访问模型包括四层：表示层、业务逻辑层、数据访问层和LINQ to SQL。

相较于现有技术，本发明具有以下有益效果：本发明对用户管理系统网络的不同区域针对性地采用增强安全的方式，具有性能稳定可靠、安全性高、对系统性能影响小等特点。

附图说明

图1为本发明分层防御系统方案图。

图2为本发明分层防御系统结构方框图。

图3为本发明网络地址检测模块操作流程图。

图4为本发明加密验证模块数据处理流程图。

图5为本发明登录信息加密数据处理流程图。