采用分層防御模式提高用戶管理系統(tǒng)安全性的方法
【專利摘要】本發(fā)明涉及一種采用分層防御模式提高用戶管理系統(tǒng)安全性的方法�。本方法采用分層防御的模式對(duì)用戶管理系統(tǒng)的安全性進(jìn)行保障,在用戶管理系統(tǒng)網(wǎng)絡(luò)中的多個(gè)地方采取適當(dāng)?shù)姆绞皆鰪?qiáng)其安全性�����,從周邊安全���、端點(diǎn)安全�����、通信安全三個(gè)不同層面抵擋攻擊���,確保系統(tǒng)在抵制黑客攻擊的時(shí)候更具有彈性����,從而有效地解決單點(diǎn)防御容易被攻破的問題���。本發(fā)明對(duì)用戶管理系統(tǒng)網(wǎng)絡(luò)的不同區(qū)域針對(duì)性地采用增強(qiáng)安全的方式��,具有性能穩(wěn)定可靠����、安全性高����、對(duì)系統(tǒng)性能影響小等特點(diǎn)。
【專利說明】采用分層防御模式提高用戶管理系統(tǒng)安全性的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明針對(duì)用戶管理系統(tǒng)安全性而提出的一種分層防御體系����,特別是一種采用分 層防御模式提高用戶管理系統(tǒng)安全性的方法。
【背景技術(shù)】
[0002] 計(jì)算機(jī)技術(shù)的發(fā)展使得用戶管理系統(tǒng)能夠?yàn)檫\(yùn)營商提供功能更加全面���、性能更加 強(qiáng)大的運(yùn)營支撐服務(wù)����,同時(shí)能為用戶提供更便捷、更個(gè)性化的體驗(yàn)��。但是由于計(jì)算機(jī)網(wǎng)絡(luò) 環(huán)境比較復(fù)雜���,極易遭到黑客的惡意攻擊,而用戶管理系統(tǒng)現(xiàn)有的加密機(jī)制只是針對(duì)與CAS 之間的通信進(jìn)行簡(jiǎn)單加密��,容易遭到破解�����。為了解決用戶管理系統(tǒng)的安全性問題����,本發(fā)明設(shè) 計(jì)了一種分層防御體系,根據(jù)用戶管理系統(tǒng)網(wǎng)絡(luò)不同區(qū)域的不同安全需求����,針對(duì)性地增強(qiáng) 其安全性,在抵制黑客攻擊的時(shí)候可有效地解決單點(diǎn)防御容易被攻破的問題�,從而提高用 戶管理系統(tǒng)的安全性。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明的目的在于提供一種采用分層防御模式提高用戶管理系統(tǒng)安全性的方法�����。
[0004] 為實(shí)現(xiàn)上述目的,本發(fā)明的技術(shù)方案是:一種采用分層防御模式提高用戶管理系 統(tǒng)安全性的方法��,采用周邊安全�、通信安全、端點(diǎn)安全三個(gè)層面構(gòu)建分層防御體系�����,從而提 高用戶管理系統(tǒng)抵御攻擊的能力����,具體包括如下步驟, 51 :周邊安全����,即通過網(wǎng)絡(luò)分割從開放的網(wǎng)絡(luò)中把需要保護(hù)的用戶管理系統(tǒng)的內(nèi)部網(wǎng) 絡(luò)獨(dú)立出來,使其成為安全的�����、受控的網(wǎng)絡(luò)�,其具體實(shí)現(xiàn)過程為 : 511 :端口過濾:用戶管理系統(tǒng)實(shí)際運(yùn)營時(shí),需通過瀏覽器與服務(wù)器進(jìn)行數(shù)據(jù)交互���,故 防火墻對(duì)訪問規(guī)則進(jìn)行創(chuàng)建時(shí)�����,只讓源端口號(hào)為80的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)�; 512 :網(wǎng)絡(luò)地址檢測(cè):統(tǒng)計(jì)用戶管理系統(tǒng)實(shí)際運(yùn)營時(shí)每一個(gè)營業(yè)員的MAC地址和IP地 址所在區(qū)域,并將所述MAC地址和IP地址回傳至服務(wù)器進(jìn)行匹配��; 52 :通信安全����,即通過AES加密和認(rèn)證代碼雙重驗(yàn)證保證用戶管理系統(tǒng)在數(shù)據(jù)傳輸時(shí) 的完整性和可靠性����; 53 :端點(diǎn)安全,即通過身份驗(yàn)證���、權(quán)限管理及數(shù)據(jù)訪問體系實(shí)現(xiàn)用戶管理系統(tǒng)應(yīng)用程序 級(jí)的安全�����,其具體實(shí)現(xiàn)過程為: 531 :身份驗(yàn)證:通過登錄信息加密����,驗(yàn)證用戶身份的合法性,進(jìn)而確保通過身份驗(yàn)證 的用戶才能對(duì)用戶管理系統(tǒng)內(nèi)部的資源進(jìn)行訪問���; 532 :權(quán)限管理:采用基于角色的安全訪問控制機(jī)制�����,實(shí)現(xiàn)用戶權(quán)限管理���; 533 :數(shù)據(jù)訪問體系:采用多層數(shù)據(jù)訪問模型實(shí)現(xiàn)用戶管理系統(tǒng)與數(shù)據(jù)庫之間的交互。
[0005] 在本發(fā)明實(shí)施例中��,所述步驟S12的網(wǎng)絡(luò)地址檢測(cè)的具體實(shí)現(xiàn)過程如下��, 步驟S121 :通過用戶管理系統(tǒng)獲取用戶登錄時(shí)的MAC地址和IP地址���; 步驟S122 :判斷MAC地址是否異常�,若異常����,進(jìn)入步驟S123 ;若正常,進(jìn)入步驟S124 ; 步驟S123 :判斷IP地址是否異常��,若異常��,則鎖定賬戶;若正常���,則采用安全模式登 錄�; 步驟S124 :判斷IP地址是否異常���,若異常�����,則采用安全模式登錄�����;若正常,正常登錄��。
[0006] 在本發(fā)明實(shí)施例中��,所述步驟S2的加密驗(yàn)證過程��,具體如下���, 步驟S21 :客戶端將待發(fā)送的明文序列使用密鑰Key_A通過AES加密算法加密作為消 息數(shù)據(jù)��,同時(shí)使用密鑰Key_M加密散列算法生成消息認(rèn)證代碼MAC_S ; 步驟S22 :將所述步驟S21的消息數(shù)據(jù)和消息認(rèn)證代碼MAC_S -起發(fā)送至服務(wù)器端����; 步驟S23 :服務(wù)器端接收消息數(shù)據(jù),并使用密鑰Key_A通過AES解密程序進(jìn)行解密�����,同 時(shí)將解密后的明文數(shù)據(jù)使用密鑰過加密散列算法生成消息認(rèn)證代碼MAC_R ; 步驟S24 :將MAC_R與MAC_S進(jìn)行比對(duì)�����,若兩者一致���,則表明接收的消息數(shù)據(jù)合法有效�; 若不一致�,則表示接收的消息數(shù)據(jù)為非法數(shù)據(jù)。
[0007] 在本發(fā)明實(shí)施例中�����,所述步驟S31的登錄信息加密�,即在用戶輸入的明文密碼中 加入一個(gè)不定字長的隨機(jī)數(shù)后,再進(jìn)行散列運(yùn)算�����。
[0008] 在本發(fā)明實(shí)施例中,所述步驟S32的角色即在用戶管理系統(tǒng)設(shè)計(jì)時(shí)將每個(gè)職位與 其對(duì)應(yīng)的權(quán)限綁定�����,則該具有諸多權(quán)限的職位即為角色��。
[0009] 在本發(fā)明實(shí)施例中��,所述步驟S33的多層數(shù)據(jù)訪問模型包括四層:表示層���、業(yè)務(wù)邏 輯層�����、數(shù)據(jù)訪問層和LINQ to SQL�����。
[0010] 相較于現(xiàn)有技術(shù),本發(fā)明具有以下有益效果:本發(fā)明對(duì)用戶管理系統(tǒng)網(wǎng)絡(luò)的不同 區(qū)域針對(duì)性地采用增強(qiáng)安全的方式��,具有性能穩(wěn)定可靠�、安全性高�����、對(duì)系統(tǒng)性能影響小等特 點(diǎn)�����。
【專利附圖】
【附圖說明】
[0011] 圖1為本發(fā)明分層防御系統(tǒng)方案圖��。
[0012] 圖2為本發(fā)明分層防御系統(tǒng)結(jié)構(gòu)方框圖�����。
[0013] 圖3為本發(fā)明網(wǎng)絡(luò)地址檢測(cè)模塊操作流程圖����。
[0014] 圖4為本發(fā)明加密驗(yàn)證模塊數(shù)據(jù)處理流程圖�。
[0015] 圖5為本發(fā)明登錄信息加密數(shù)據(jù)處理流程圖。
[0016] 圖6為本發(fā)明用戶授權(quán)處理流程圖��。
[0017] 圖7為本發(fā)明多層數(shù)據(jù)訪問模型���。
【具體實(shí)施方式】
[0018] 下面結(jié)合附圖���,對(duì)本發(fā)明的技術(shù)方案進(jìn)行具體說明�����。
[0019] 如圖1所示�,本發(fā)明一種采用分層防御模式提高用戶管理系統(tǒng)安全性的方法�,采 用周邊安全、通信安全����、端點(diǎn)安全三個(gè)層面構(gòu)建分層防御體系,從而提高用戶管理系統(tǒng)抵御 攻擊的能力�,具體包括如下步驟, S1 :周邊安全���,即通過網(wǎng)絡(luò)分割從開放的網(wǎng)絡(luò)中把需要保護(hù)的用戶管理系統(tǒng)的內(nèi)部網(wǎng) 絡(luò)獨(dú)立出來�����,使其成為安全的��、受控的網(wǎng)絡(luò)�����,其具體實(shí)現(xiàn)過程為 : 511 :端口過濾:用戶管理系統(tǒng)實(shí)際運(yùn)營時(shí)���,需通過瀏覽器與服務(wù)器進(jìn)行數(shù)據(jù)交互,故 防火墻對(duì)訪問規(guī)則進(jìn)行創(chuàng)建時(shí)��,只讓源端口號(hào)為80的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)��; 512 :網(wǎng)絡(luò)地址檢測(cè):統(tǒng)計(jì)用戶管理系統(tǒng)實(shí)際運(yùn)營時(shí)每一個(gè)營業(yè)員的MAC地址和IP地 址所在區(qū)域���,并將所述MAC地址和IP地址回傳至服務(wù)器進(jìn)行匹配����; 所述步驟S12的網(wǎng)絡(luò)地址檢測(cè)的具體實(shí)現(xiàn)過程如下��, 步驟S121 :通過用戶管理系統(tǒng)獲取用戶登錄時(shí)的MAC地址和IP地址��; 步驟S122 :判斷MAC地址是否異常����,若異常,進(jìn)入步驟S123 ;若正常��,進(jìn)入步驟S124 ; 步驟S123 :判斷IP地址是否異常�,若異常,則鎖定賬戶;若正常���,則采用安全模式登 錄��; 步驟S124 :判斷IP地址是否異常��,若異常����,則采用安全模式登錄����;若正常,正常登錄�����; 52 :通信安全�����,即通過AES加密和認(rèn)證代碼雙重驗(yàn)證保證用戶管理系統(tǒng)在數(shù)據(jù)傳輸時(shí) 的完整性和可靠性��; 所述步驟S2的加密驗(yàn)證過程�,具體如下�, 步驟S21 :客戶端將待發(fā)送的明文序列使用密鑰Key_A通過AES加密算法加密作為消 息數(shù)據(jù)��,同時(shí)使用密鑰Key_M加密散列算法生成消息認(rèn)證代碼MAC_S ; 步驟S22 :將所述步驟S21的消息數(shù)據(jù)和消息認(rèn)證代碼MAC_S -起發(fā)送至服務(wù)器端��; 步驟S23 :服務(wù)器端接收消息數(shù)據(jù)�,并使用密鑰Key_A通過AES解密程序進(jìn)行解密���,同 時(shí)將解密后的明文數(shù)據(jù)使用密鑰過加密散列算法生成消息認(rèn)證代碼MAC_R ; 步驟S24 :將MAC_R與MAC_S進(jìn)行比對(duì)�����,若兩者一致��,則表明接收的消息數(shù)據(jù)合法有效���; 若不一致,則表示接收的消息數(shù)據(jù)為非法數(shù)據(jù)�; 53 :端點(diǎn)安全,即通過身份驗(yàn)證����、權(quán)限管理及數(shù)據(jù)訪問體系實(shí)現(xiàn)用戶管理系統(tǒng)應(yīng)用程序 級(jí)的安全,其具體實(shí)現(xiàn)過程為: 531 :身份驗(yàn)證:通過登錄信息加密��,驗(yàn)證用戶身份的合法性,進(jìn)而確保通過身份驗(yàn)證 的用戶才能對(duì)用戶管理系統(tǒng)內(nèi)部的資源進(jìn)行訪問���;所述的登錄信息加密�����,即在用戶輸入的 明文密碼中加入一個(gè)不定字長的隨機(jī)數(shù)后�����,再進(jìn)行散列運(yùn)算���; 532 :權(quán)限管理:采用基于角色的安全訪問控制機(jī)制,實(shí)現(xiàn)用戶權(quán)限管理����;所述的角色 即在用戶管理系統(tǒng)設(shè)計(jì)時(shí)將每個(gè)職位與其對(duì)應(yīng)的權(quán)限綁定,則該具有諸多權(quán)限的職位即為 角色�; 533 :數(shù)據(jù)訪問體系:采用多層數(shù)據(jù)訪問模型實(shí)現(xiàn)用戶管理系統(tǒng)與數(shù)據(jù)庫之間的交互; 所述的多層數(shù)據(jù)訪問模型包括四層:表示層�����、業(yè)務(wù)邏輯層�����、數(shù)據(jù)訪問層和LINQ to SQL。
[0020] 以下為本發(fā)明的具體實(shí)施例�。
[0021] 如圖2所示,本發(fā)明所設(shè)計(jì)之分層防御體系主要由周邊安全��、通信安全�、端點(diǎn)安全 這三個(gè)部分組成���,這三個(gè)部分從網(wǎng)絡(luò)分割�、保密通信到應(yīng)用程序本身的安全性����,在網(wǎng)絡(luò)的不 同區(qū)域使用一定的安全手段,逐層抵御黑客對(duì)用戶管理系統(tǒng)的攻擊�,從而大大加強(qiáng)系統(tǒng)的 安全性。
[0022] 其中: 1�����、網(wǎng)絡(luò)分割模塊�,其主要目的是從開放的網(wǎng)絡(luò)中把需要保護(hù)的用戶管理系統(tǒng)的內(nèi)部網(wǎng) 絡(luò)獨(dú)立出來,使其成為安全的����、受控的網(wǎng)絡(luò)��; (1) 端口過濾:用戶管理系統(tǒng)在實(shí)際運(yùn)營的時(shí)候���,由于廣電營業(yè)員都是通過瀏覽器與服 務(wù)器進(jìn)行數(shù)據(jù)交互,因此防火墻在對(duì)訪問規(guī)則進(jìn)行創(chuàng)建的時(shí)候可以只讓源端口號(hào)為80的 數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)�����; (2) 網(wǎng)絡(luò)地址檢測(cè):也就是在用戶管理系統(tǒng)實(shí)際運(yùn)營的時(shí)候統(tǒng)計(jì)每一個(gè)營業(yè)員常用電 腦的網(wǎng)絡(luò)地址�����,本設(shè)計(jì)采用的是統(tǒng)計(jì)MAC地址的方式����,因?yàn)闋I業(yè)廳的IP地址通常不是固定 的,但是我們可以通過IP地址顯示用戶所在地區(qū)作為判定的依據(jù)�。用戶登錄的時(shí)候SMS系 統(tǒng)會(huì)通過登錄模塊獲取用戶的MAC地址和IP地址所在地區(qū)并將它們回傳到服務(wù)器進(jìn)行匹 配,其操作流程如圖3所示�����。
[0023] 2����、加密驗(yàn)證模塊:應(yīng)用服務(wù)器與外部接口是自定義的數(shù)據(jù)傳輸通道��,兩者之間的 通信采用消息安全模式保障其安全性����,加密算法采用安全性高的AES算法�����。為了確保加密 數(shù)據(jù)的完整性和可靠性�����,本發(fā)明在加密的過程中對(duì)數(shù)據(jù)進(jìn)行了適當(dāng)?shù)奶幚?����,其流程如圖4 所示���; 在網(wǎng)絡(luò)通信的過程中,客戶端將待發(fā)送的明文序列使用密鑰Key_A通過AES加密作為 消息數(shù)據(jù)�,同時(shí)使用密鑰Key_M加密散列算法生成消息認(rèn)證代碼MAC_S,在網(wǎng)絡(luò)傳輸?shù)臅r(shí)候 同時(shí)將消息數(shù)據(jù)和MAC_S -起發(fā)送到服務(wù)器端�。服務(wù)器端接收到客戶端傳輸過來數(shù)據(jù)的時(shí) 候��,對(duì)消息數(shù)據(jù)使用密鑰Key_A通過AES解密程序進(jìn)行解密���,同時(shí)將解密后的明文數(shù)據(jù)使用 密鑰Key_M通過加密散列算法生成消息認(rèn)證代碼MAC_R,然后將MAC_R與MAC_S進(jìn)行比對(duì)��, 如果一致則表明接收的數(shù)據(jù)合法有效��,如果不一致則表明數(shù)據(jù)在傳輸?shù)耐局斜缓诳痛鄹幕?該數(shù)據(jù)不是由既定的客戶端發(fā)送��。
[0024] 3���、身份驗(yàn)證模塊����,其主要目的是對(duì)用戶身份的合法性進(jìn)行檢查�����,從而確保經(jīng)過身 份驗(yàn)證的用戶才能對(duì)系統(tǒng)內(nèi)部的資源進(jìn)行訪問��; 登錄信息加密:本發(fā)明在散列算法的基礎(chǔ)上對(duì)其進(jìn)行隨機(jī)化處理����,從而進(jìn)一步提高信 息加密的安全性�。具體做法是在用戶輸入的密碼中加入一個(gè)不定字長的隨機(jī)數(shù)����,然后再對(duì) 其進(jìn)行散列運(yùn)算。插入的隨機(jī)數(shù)必須保證其安全性����,也就是說該隨機(jī)數(shù)必須是統(tǒng)計(jì)學(xué)上的 隨機(jī)數(shù),因此我們采用的是偽隨機(jī)數(shù)���。數(shù)據(jù)處理流程如圖5所示���。
[0025] 4、用戶權(quán)限管理:本發(fā)明所設(shè)計(jì)的用戶管理系統(tǒng)采用的是基于角色的安全訪問控 制機(jī)制��,我們?cè)谙到y(tǒng)設(shè)計(jì)的時(shí)候?qū)⒚總€(gè)職位和它對(duì)應(yīng)的權(quán)限綁定�����,這樣這個(gè)職位擁有的諸 多權(quán)限就形成了一個(gè)集合��,從而職位本身也就成了這個(gè)權(quán)限集的代名詞���,稱為角色��。任何擁 有該角色的個(gè)體就自動(dòng)獲得了該角色代表的權(quán)限集��。SMS系統(tǒng)用戶授權(quán)的流程如圖6所示�。
[0026] 5��、多層數(shù)據(jù)訪問體系:如圖7所示�����,本發(fā)明所設(shè)計(jì)的多層數(shù)據(jù)訪問模型一共包括 四層����,各層之間相互調(diào)用,這與傳統(tǒng)的直接使用SQL語句進(jìn)行操作有明顯不同�。
[0027] (1) LINQ to SQL的主要目的是把需要執(zhí)行的LINQ查詢語句轉(zhuǎn)換成標(biāo)準(zhǔn)的SQL查 詢語句,以及把該SQL語句在數(shù)據(jù)庫執(zhí)行后的查詢結(jié)果返回給數(shù)據(jù)訪問層���,或者把對(duì)實(shí)體 的修改��、增刪等操作寫入數(shù)據(jù)庫�。
[0028] (2)數(shù)據(jù)訪問層包含了用戶管理系統(tǒng)與數(shù)據(jù)庫之間交互的所有方法����,通過這些方 法可以對(duì)數(shù)據(jù)庫進(jìn)行寫入���、查詢、修改�、刪除等操作,這些方法均使用LINQ查詢語句�����,并不 直接操作數(shù)據(jù)庫����。
[0029] (3)業(yè)務(wù)邏輯層的主要工作是對(duì)表示層接收的數(shù)據(jù)業(yè)務(wù)需求進(jìn)行處理,然后將其 傳遞給數(shù)據(jù)訪問層進(jìn)行相應(yīng)事務(wù)的處理����。
[0030] (4)表示層也就是用戶管理系統(tǒng)顯示給用戶操作的界面。
[0031] 以上是本發(fā)明的較佳實(shí)施例����,凡依本發(fā)明技術(shù)方案所作的改變�,所產(chǎn)生的功能作 用未超出本發(fā)明技術(shù)方案的范圍時(shí),均屬于本發(fā)明的保護(hù)范圍�����。
【權(quán)利要求】
1. 一種采用分層防御模式提高用戶管理系統(tǒng)安全性的方法,其特征在于:采用周邊安 全��、通信安全���、端點(diǎn)安全三個(gè)層面構(gòu)建分層防御體系���,從而提高用戶管理系統(tǒng)抵御攻擊的能 力,具體包括如下步驟�, 51 :周邊安全,即通過網(wǎng)絡(luò)分割從開放的網(wǎng)絡(luò)中把需要保護(hù)的用戶管理系統(tǒng)的內(nèi)部網(wǎng) 絡(luò)獨(dú)立出來���,使其成為安全的���、受控的網(wǎng)絡(luò),其具體實(shí)現(xiàn)過程為 : 511 :端口過濾:用戶管理系統(tǒng)實(shí)際運(yùn)營時(shí)����,需通過瀏覽器與服務(wù)器進(jìn)行數(shù)據(jù)交互,故 防火墻對(duì)訪問規(guī)則進(jìn)行創(chuàng)建時(shí)����,只讓源端口號(hào)為80的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)�; 512 :網(wǎng)絡(luò)地址檢測(cè):統(tǒng)計(jì)用戶管理系統(tǒng)實(shí)際運(yùn)營時(shí)每一個(gè)營業(yè)員的MAC地址和IP地 址所在區(qū)域�����,并將所述MAC地址和IP地址回傳至服務(wù)器進(jìn)行匹配�; 52 :通信安全,即通過AES加密和認(rèn)證代碼雙重驗(yàn)證保證用戶管理系統(tǒng)在數(shù)據(jù)傳輸時(shí) 的完整性和可靠性���; 53 :端點(diǎn)安全��,即通過身份驗(yàn)證�����、權(quán)限管理及數(shù)據(jù)訪問體系實(shí)現(xiàn)用戶管理系統(tǒng)應(yīng)用程序 級(jí)的安全����,其具體實(shí)現(xiàn)過程為: 531 :身份驗(yàn)證:通過登錄信息加密�����,驗(yàn)證用戶身份的合法性��,進(jìn)而確保通過身份驗(yàn)證 的用戶才能對(duì)用戶管理系統(tǒng)內(nèi)部的資源進(jìn)行訪問�����; 532 :權(quán)限管理:采用基于角色的安全訪問控制機(jī)制����,實(shí)現(xiàn)用戶權(quán)限管理; 533 :數(shù)據(jù)訪問體系:采用多層數(shù)據(jù)訪問模型實(shí)現(xiàn)用戶管理系統(tǒng)與數(shù)據(jù)庫之間的交互���。
2. 根據(jù)權(quán)利要求1所述的采用分層防御模式提高用戶管理系統(tǒng)安全性的方法�,其特征 在于:所述步驟S12的網(wǎng)絡(luò)地址檢測(cè)的具體實(shí)現(xiàn)過程如下����, 步驟S121 :通過用戶管理系統(tǒng)獲取用戶登錄時(shí)的MAC地址和IP地址; 步驟S122 :判斷MAC地址是否異常�����,若異常���,進(jìn)入步驟S123 ;若正常���,進(jìn)入步驟S124 ; 步驟S123 :判斷IP地址是否異常,若異常�,則鎖定賬戶���;若正常,則采用安全模式登 錄���; 步驟S124 :判斷IP地址是否異常��,若異常���,則采用安全模式登錄;若正常�,正常登錄。
3. 根據(jù)權(quán)利要求1所述的采用分層防御模式提高用戶管理系統(tǒng)安全性的方法�����,其特征 在于:所述步驟S2的加密驗(yàn)證過程���,具體如下�����, 步驟S21 :客戶端將待發(fā)送的明文序列使用密鑰Key_A通過AES加密算法加密作為消 息數(shù)據(jù)�����,同時(shí)使用密鑰Key_M加密散列算法生成消息認(rèn)證代碼MAC_S ; 步驟S22 :將所述步驟S21的消息數(shù)據(jù)和消息認(rèn)證代碼MAC_S -起發(fā)送至服務(wù)器端����; 步驟S23 :服務(wù)器端接收消息數(shù)據(jù)�����,并使用密鑰Key_A通過AES解密程序進(jìn)行解密�,同 時(shí)將解密后的明文數(shù)據(jù)使用密鑰過加密散列算法生成消息認(rèn)證代碼MAC_R ; 步驟S24 :將MAC_R與MAC_S進(jìn)行比對(duì),若兩者一致����,則表明接收的消息數(shù)據(jù)合法有效; 若不一致��,則表示接收的消息數(shù)據(jù)為非法數(shù)據(jù)��。
4. 根據(jù)權(quán)利要求1所述的采用分層防御模式提高用戶管理系統(tǒng)安全性的方法�����,其特征 在于:所述步驟S31的登錄信息加密���,即在用戶輸入的明文密碼中加入一個(gè)不定字長的隨 機(jī)數(shù)后��,再進(jìn)行散列運(yùn)算�。
5. 根據(jù)權(quán)利要求1所述的采用分層防御模式提高用戶管理系統(tǒng)安全性的方法,其特征 在于:所述步驟S32的角色即在用戶管理系統(tǒng)設(shè)計(jì)時(shí)將每個(gè)職位與其對(duì)應(yīng)的權(quán)限綁定�,則 該具有諸多權(quán)限的職位即為角色。
6.根據(jù)權(quán)利要求1所述的采用分層防御模式提高用戶管理系統(tǒng)安全性的方法��,其特 征在于:所述步驟S33的多層數(shù)據(jù)訪問模型包括四層:表示層�、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問層和 LINQ to SQL����。
【文檔編號(hào)】H04L12/24GK104065668SQ201410316161
【公開日】2014年9月24日 申請(qǐng)日期:2014年7月4日 優(yōu)先權(quán)日:2014年7月4日
【發(fā)明者】楊秀芝, 凌杰, 林淑真, 張麗麗 申請(qǐng)人:福州大學(xué)