一种使用网络隔离和密码编译的门户安全设计方法技术

本发明专利技术公开了一种使用网络隔离和密码编译的门户安全设计方法，属于网络信息安全技术领域，包括使用微服务架构建立安全管理中心，并将用户注册、登录信息保存在内部加密数据库中，采用离线部署方式，在使用之前将所需的数据和程序部署在本地，使用非对称加密算法对内部加密数据库进行加密，将配置数据保存在内部加密数据库中，只有掌握解密私钥的人才能解密该数据，确保数据的机密性和完整性，利用虚拟化技术进行网络隔离，使客户端与外网隔离，同时选择强类型语言进行编程开发使源码难以被逆向破解，本发明专利技术能在交易门户平台，使得程序流程不会被篡改，确保系统的安全性并保障用户的隐私，保护公民的财产和信息安全。保护公民的财产和信息安全。保护公民的财产和信息安全。

【技术实现步骤摘要】
一种使用网络隔离和密码编译的门户安全设计方法


[0001]本专利技术属于网络信息安全
，具体地说，涉及一种使用网络隔离和密码编译的门户安全设计方法。

技术介绍

[0002]随着互联网的普及，人们已普遍使用网上开展的各种金融服务，通过互联网进行交易的机会越来越多，但是一些不法之徒却利用网络的某些漏洞，潜伏在网络中，利用网络伺机盗窃用户的帐户和密码，给不少用户带来经济损失，网络交易的安全性就成了大家关注的问题。
[0003]在网络交易中，最常见也是最基本的访问控制方法是“用户名/密码”的方式，即：用户在申请某项网络服务时，首先要选择一个用户名及与之对应的密码进行注册，服务提供方将该用户的用户名/密码存储到“用户登陆信息数据库”中，之后，当用户再次登陆服务时，需要提供用户名/密码，服务方通过调取数据库中的信息进行比对，决定是否提供服务。这种直接用明文存储用户密码的方式是极不安全的：首先，数据库容易被攻击，当攻击者入侵到数据库，全部密码将泄密；其次，服务方的网络管理员可以接触所有用户密码，他可以进行数据库的备份，在此过程中会有意或无意地泄露密码。
[0004]当前针对网络安全交易，有多种解决方案，比如通过下载数字证书的方式，安装于用户端，这种模式比较容易在个人电脑受到木马病毒等攻击的情况下，发生个人帐号、密码、数字证书丢失的情形，另外，有采用u key实现交易的方式，这种方法可以简化用户输入的步骤，用程序自动完成。但使用这种方法关键校验流程是由电脑控制的，在遇到用户电脑被木马控制时，程序流程就有可能被篡改，风险也比较大，当前电话银行业务，主要是用静态密码来进行用户身份的认证，极不安全，再加上财产损失时索赔举证困难，所以用户对当前帐户安全的信任度仍旧不够高，特别是移动支付领域，造成支付领域推广困难，支付领域虽然也有小额免密，但不够灵活，所以人们迫切希望能有更安全的措施或方法来保护公民的财产和信息安全，因此，在进行安全交易的过程中，需要有一种更为安全的交易确认方式来满足当前非常流行的网络交易的应用。

技术实现思路

[0005]要解决的问题
[0006]针对现有方法关键校验流程是由电脑控制的，在遇到用户电脑被木马控制时，程序流程就有可能被篡改，风险也比较大，无法保护公民的财产和信息安全的问题，本专利技术提供一种使用网络隔离和密码编译的门户安全设计方法。
[0007]技术方案
[0008]为解决上述问题，本专利技术采用如下的技术方案。
[0009]一种使用网络隔离和密码编译的门户安全设计方法，包括以下步骤：
[0010]步骤1、使用微服务架构建立安全管理中心，并将用户注册、登录信息保存在内部
加密数据库中；
[0011]步骤2、采用离线部署方式，在使用之前将所需的数据和程序部署在本地，使用非对称加密算法对内部加密数据库进行加密；
[0012]步骤3、将配置数据保存在内部加密数据库中，只有掌握解密私钥的人才能解密该数据，确保数据的机密性和完整性；
[0013]步骤4、利用虚拟化技术进行网络隔离，使系统与外网隔离，同时选择强类型语言进行编程开发使源码难以被逆向破解。
[0014]优选地，所述安全管理中心的微服务架构设计时采用具有服务自治的轻量级通讯协议，实现系统功能模块化，功能模块包括认证服务、配置服务、文件服务、通信服务、接口服务和监控服务。
[0015]进一步地，所述认证服务采用Spring Security框架进行搭建，对用户账号密码进行管理、JWT身份验证、权限控制，通过生成token令牌并返回给客户端验证用户身份；
[0016]所述配置服务使用Spring Cloud Config实现，负责对系统配置文件的管理、存储和调用，让管理员可以动态更改系统的配置信息；
[0017]所述文件服务采用FastDFS对象存储技术来实现文件的分布式存储，同时管理系统中的文件上传、下载和存储，并使用CDN加速技术提高文件传输效率，减轻网络负载；
[0018]所述通信服务通过第三方平台进行发送和接收信息消息通知，同时使用Twilio平台发送短信验证码；
[0019]所述接口服务采用Spring Boot技术搭建微服务架构，并使用Swagger工具生成API文档，通过架构接口接收并处理用户客户端发送的请求并响应相应的数据
[0020]所述监控服务对整个系统的运行状态进行监控和警告，然后使用Prometheus/Grafana技术对监控的数据进行统计和分析，生成系统日志、性能指标、异常警报，还能够使用第三方平台对异常情况进行及时通知。
[0021]更进一步地，所述安全管理中心是先让用户通过API Service服务向系统发送请求，API Service完成相关操作，将操作结果返回给请求方，并记录操作日志，在更改系统配置时，管理员通过Configuration Service进行配置文件修改，并向API Service同步更新，当系统需要进行升级、部署和扩容时，管理员通过API Service接口服务来进行操作，API Service会将操作传递给其他微服务来完成对应的功能。
[0022]再进一步地，所述请求包括用户身份认证、配置文件获取、文件上传下载、消息通知，若是请求为用户进行身份验证，API Service会将请求传递给Authentication Service进行身份验证，验证成功后，Authentication Service会生成token令牌，并返回给API Service；若是请求为配置文件获取，API Service根据请求的内容，调用Configuration Service服务获取相应的系统配置文件；若是请求为文件上传下载，API Service会将请求转发给File Service进行操作；若是请求为消息通知，则会将请求传递给Mail Service来发送消息。
[0023]还进一步地，所述安全管理中心在检测发现异常情况时，API Service会将异常信息发送给Monitoring Service，Monitoring Service会进行统计和分析，对系统日志、性能指标、异常警报等进行监控和警告，并通过第三方通知软件实时通知相关负责人员处理。
[0024]优选地，所述内部加密数据库加密采用RSA算法，通过RSA算法对配置信息和账号
数据的加密存储，先由安全管理中心生成一对RSA密钥，RSA密钥分为公钥和私钥，密钥位数长度较长，将公钥发送给用户客户端进行使用，用户客户端将配置信息和账号数据使用公钥进行加密，并将密文传递给安全管理中心进行存储，后续使用时，安全管理中心通过私钥进行解密，获取明文数据并进行相应处理。
[0025]进一步地，所述内部加密数据库加密同时采用密钥轮换技术，定期更换密钥。
[0026]优选地，所述虚拟化技术进行网络隔离是先综合考虑安全性、可靠性、性能和易用性，根据实际情况进行权衡和选择，确定虚拟化技术；再针对需要隔离的客户端，在虚本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种使用网络隔离和密码编译的门户安全设计方法，其特征在于，包括以下步骤：步骤1、使用微服务架构建立安全管理中心，并将用户注册、登录信息保存在内部加密数据库中；步骤2、采用离线部署方式，在使用之前将所需的数据和程序部署在本地，使用非对称加密算法对内部加密数据库进行加密；步骤3、将配置数据保存在内部加密数据库中，只有掌握解密私钥的人才能解密该数据，确保数据的机密性和完整性；步骤4、利用虚拟化技术进行网络隔离，使系统与外网隔离，同时选择强类型语言进行编程开发使源码难以被逆向破解。2.根据权利要求1所述的一种使用网络隔离和密码编译的门户安全设计方法，其特征在于：所述安全管理中心的微服务架构设计时采用具有服务自治的轻量级通讯协议，实现系统功能模块化，功能模块包括认证服务、配置服务、文件服务、通信服务、接口服务和监控服务。3.根据权利要求2所述的一种使用网络隔离和密码编译的门户安全设计方法，其特征在于：所述认证服务采用Spring Security框架进行搭建，对用户账号密码进行管理、JWT身份验证、权限控制，通过生成token令牌并返回给客户端验证用户身份；所述配置服务使用Spring Cloud Config实现，负责对系统配置文件的管理、存储和调用，让管理员可以动态更改系统的配置信息；所述文件服务采用FastDFS对象存储技术来实现文件的分布式存储，同时管理系统中的文件上传、下载和存储，并使用CDN加速技术提高文件传输效率，减轻网络负载；所述通信服务通过第三方平台进行发送和接收信息消息通知，同时使用Twilio平台发送短信验证码；所述接口服务采用Spring Boot技术搭建微服务架构，并使用Swagger工具生成API文档，通过架构接口接收并处理用户客户端发送的请求并响应相应的数据所述监控服务对整个系统的运行状态进行监控和警告，然后使用Prometheus/Grafana技术对监控的数据进行统计和分析，生成系统日志、性能指标、异常警报，还能够使用第三方平台对异常情况进行及时通知。4.根据权利要求3所述的一种使用网络隔离和密码编译的门户安全设计方法，其特征在于：所述安全管理中心是先让用户通过API Service服务向系统发送请求，API Service完成相关操作，将操作结果返回给请求方，并记录操作日志，在更改系统配置时，管理员通过Configuration Service进行配置文件修改，并向API Service同步更新，当系统需要进行升级、部署和扩容时，管理员通过APIService接口服务来进行操作，APIService会将操作传递给其他微服务来完成对应的功能。5.根据权利要求4所述的一种使用网络隔离和密码编译的门户安全设计方法，其特征在于：所述请求包括用户身份认证、配置文件获取、文件上传下载、消息通知，若是请求为用户进行身份验证，API Service会将请求传递给Authentication Service进行身份验证，验证成功后，Authentication Service会生成token令牌，并返回给APIService；若是请求为配置文件获取，A...

【专利技术属性】
技术研发人员：鲍蓉，陈磊，臧昊，康晓凤，张海军，张凯亮，
申请(专利权)人：江苏智先生信息科技有限公司，
类型：发明
国别省市：