【技术实现步骤摘要】
一种防DDOS一次性跨域信息全生命周期密态安全系统及方法
[0001]本专利技术属于涉及一种信息安全领域,尤其涉及一种防DDOS一次性跨域全生命周期密态信息安全系统及方法,以保护网站信息和用户信息、防止信息爬虫、反击或抑制DDOS攻击。
技术介绍
[0002]信息安全的重要性已经上升到国家战略层面。虽然传统信息安全设备商与服务商提供了诸多解决方案,国家的法律法规以及相对应标准也规定了严格的安全管理制度,但是信息安全问题仍然无法杜绝。例如:DDOS、网页防篡改事件、网站挂马事件、网站数据加密勒索事件等时有发生并造成经济损失以及恶劣的社会影响。
[0003]剖析网络安全现状,造成信息安全领域“易攻难守”局面的原因,主要是传统的Web应用安全的防护方案存在“短板”。现有信息安全采取的是“查漏补缺”的防御方式,而安全漏洞往往具有不可预知性。“事后补救”安全防御机制造成了的信息防御态势被动的局面。因此,传统的边界防御安全机制,对已知的为威胁和漏洞具备防御效果,但是对未知缺陷和威胁如未知漏洞后门、未知病毒木马等造成的系统脆弱性,缺乏良好防御手段,陷入“治标不治本”的困境。因此需要一种有效的安全机制,打破漏洞与安全间的因果关系,做到“有没有漏洞,都能确保安全”,扭转信息安全防御被动的态势。
[0004]目前Web应用安全往往采用应用防火墙或者入侵防御设备进行防护。这些设备采用传统的基于规则匹配的防御方式,无法实现对漏洞完备防御。一方面,对未知缺陷和威胁缺乏有效的防御手段,在攻防态势上完全被动,无法主动防御新出现的漏...
【技术保护点】
【技术特征摘要】
1.一种防DDOS一次性跨域信息全生命周期密态安全系统,其特征在于,所述系统包括浏览器或Web前端或微服务请求端,以及Web安全服务器、Web服务器、Web应用服务器、数据安全服务器、数据库和密码服务器,所述系统根据安全策略和设定的安全效果,发出或接收、代理或转发符合安全策略和设定的安全效果的请求或响应,并执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子或安全代码中至少一种,以备其他的设备、代码或信息在后续步骤中执行相关的安全处理;其中,信息包括:网络服务及微服务入口、资源地址、页面信息、请求返回结果、页面代码、脚本、SQL关键字、Web Tag关键字、处理脚本、Cookie、会话密钥、登录信息、密钥、证书、安全策略、设定的安全效果、用户输入和交互、服务器目录名、文件名、SQL语句结果对象、SQL光标、应用用户标识、信息安全度标识、加密方式标识、精细化权限标识、精细化权加密标识中至少一种;其中,安全策略包括:一次性随机化动态编码和加密、一次性使用及用后即焚、一次一密、保格式加密、同态加密、多方计算、无需解密情况下的密态转换、无需解密情况下的人机交互和可使用性、非密无用、在攻击者端反击DDOS、抑制DDOS、在爬虫者端防爬虫、防代码注入、防止零天漏洞以及传统WAF安全规则中至少一种;其中,数据库及数据安全服务器的安全策略还包括:通过用户标识、信息安全度标识、加密方式标识、加密方式变换标识、精细化权限标识、精细化权加密标识中至少一种信息以执行响应或转发数据精细化加解密和防火墙功能,并对数据服务、SQL请求、UDF名、UDF、表名、表里信息、视图名、视图、字段名、字段里信息、存储过程名、存储过程代码、触发器名、触发器代码及SQL返回结果中至少一项执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子或安全代码中至少一种,以备其他的设备、代码或信息执行相关的安全处理;其中,设定的安全效果包括信息的一次性、动态、跨域、全密态的信息全生命周期安全中至少一种安全效果;所述信息实现在无需解密的情况下可用、可交互、可渲染成用户可以看懂的点阵或图像、可流转、但不可窃取、不可更改、不可仿造、可追真朔源、不可重复使用中至少一种安全效果。2.一种防DDOS一次性跨域全生命周期密态信息安全方法,其特征在于,基于权利要求1所述的防DDOS一次性跨域全生命周期密态信息安全系统执行安全防御方法,所述方法包括以下步骤:步骤S1:所述浏览器或Web前端或微服务请求端在首次或首页请求返回后,根据安全策略和设定的安全效果,执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子、处理证明信息或安全代码中至少一种,以备其他的设备、代码或信息在后续步骤中执行相关的安全处理,发出符合被请求方安全策略和设定的安全效果的请求;步骤S2:所述Web安全服务器根据安全策略和设定的安全效果,首先将请求中用户及设备安全域中的密态信息及代码转换成指定安全域的密态信息及代码,执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子或安全代码中至少一种,以备其他的设备、代码或信息在后续步骤中执行相关的安全处理,将结果中的密态信息及代码转换成下一被请求方或接收方安全域的密态信息及代码,再转发或
响应;步骤S3:网站的Web服务器接收所述请求后,根据安全策略和设定的安全效果,首先将请求中用户及设备安全域中的密态信息及代码转换成指定安全域的密态信息及代码,对静态页面执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子或安全代码中至少一种,以备其他的设备、代码或信息在后续步骤中执行相关的安全处理,将结果中的密态信息及代码转换成下一被请求方或接收方安全域的密态信息及代码,再转发或响应;步骤S4:网站的Web应用服务器根据安全策略和设定的安全效果,首先将请求中用户及设备安全域中的密态信息及代码转换成指定安全域的密态信息及代码,对动态页面和微服务接口执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子或安全代码中至少一种,以备其他的设备、代码或信息在后续步骤中执行相关的安全处理,将结果中的密态信息及代码转换成下一被请求方或接收方安全域的密态信息及代码,再转发或响应;步骤S5:数据安全服务器根据安全策略和设定的安全效果,通过用户标识、信息安全度标识、加密方式标识、加密方式变换标识、精细化权限标识、精细化权加密标识中至少一种方式以执行响应或转发的数据精细化加解密和防火墙功能,并对数据服务、SQL请求、UDF名、表名、视图名、字段名、存储过程名、触发器名及SQL返回结果中至少一项执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子或安全代码中至少一种,以备其他的设备、代码或信息执行相关的安全处理;步骤S6:网站的数据库根据安全策略和设定的安全效果,首先将请求中用户及设备安全域中的密态信息及代码转换成指定安全域的密态信息及代码,对数据服务、SQL请求、UDF、存储过程及代码、表名、视图名、字段名、存储过程名、触发器名、表、视图、字段、存储过程、触发器及SQL返回结果至少一项执行相关的安全处理或嵌入和/或调整更新相关的安全因子,或者执行相关的信息密态人机交互、渲染因子或安全代码中至少一种,以备其他的设备、代码或信息在后续步骤中执行相关的安全处理,将结果中的密态信息及代码转换成下一被请求方或接收方安全域的密态信息及代码,再转发或响应。3.根据权利要求2所述的防DDOS一次性跨域全生命周期密态信息安全方法,其特征在于,所述方法还包括系统的初始化,所述初始化步骤包括:步骤S11:Web安全服务器初始化,从所述密码服务器上请求相对应安全策略和设定的安全效果并进行相关的初始化处理,初始化“证明显示工作时长”、用于反击DDOS及延缓请求的js脚本,初始化可验证“证明显示工作时长”的代码;步骤S12:Web服务器初始化,从所述密码服务器上请求相对应安全策略和设定的安全效果并进行相关的初始化处理,初始化所有的静态页面、代码文件及其中的变量参数,初始化所有的静态页面目录及静态页面的结构;步骤S13:Web应用服务器初始化,从所述密码服务器上请求相对应安全策略和设定的安全效果并进行相关的初始化处理,添加安全过滤器,AOP处理相对应代码,加密所有SQL语句,初始化数据库驱动,增加密文SQL语句执行模块;步骤S14:数据安全服务器初始化,从所述密码服务器上请求相对应安全策略和设定的安全效果并进行相关的初始化处理,初始化用户标识、信息安全度标识、加密方式标识、加
密方式变换标识、精细化权限标识、精细化权加密标识中至少一项以执行数据精细化加解密和防火墙规则及其代码;步骤S15:数据库初始化,从所述密码服务器上请求相对应安全策略和设定的安全效果并进行相关的初始化处理,安装UDF使得密文SQL语句可执行,加密相对应的表、字段、视图,加密存储过程、触发器;步骤S16:密码服务器初始化,产生所需的根密钥、所属的工作密钥以及所需的会话密钥,提供相对应安全策略和设定的安全效果管理及服务。4.根据权利要求3所述的防DDOS一次性跨域全生命周期密态信息安全方法,其特征在于,所述浏览器或Web前端或微服务请求端在用户的操作下在首次或首页请求后,必须按安全策略和设定的安全效果要求向网站发出满足网站安全规则的请求,其过程包括:按安全策略和设定的安全效果要...
【专利技术属性】
技术研发人员:曹耀和,
申请(专利权)人:浙江智贝信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。