一种防水墙系统及其验证方法技术方案

一种防水墙系统，包括LDAP认证系统、动态密码认证系统、动态密码库、VPN认证服务器、核心数据库服务器和客户端，其中：LDAP认证系统用于验证用户及其访问权限；动态密码认证系统用于验证用户的合法身份；动态密码库用于组织、存储和管理动态密码；VPN认证服务器用于对用户进行许可认证以及为用户开通VPN隧道；核心数据库服务器为核心数据组织、存储和管理机构；客户端为为用户提供本地服务的程序。用户信息经过二层过滤，能够有效地保护身份认证的可靠性；由于客户端接入必须经过动态密码认证，因此可以在认证系统中进行安全监控和审计，从而进一步增强系统的安全性。

Waterproof wall system and verification method thereof

A waterproof wall system, including the LDAP authentication system, dynamic password authentication system, dynamic password authentication server, VPN database, core database server and the client, including: LDAP authentication system is used to authenticate users and access; dynamic password authentication system used to verify the user's legal identity; dynamic password for the organization, storage and management of dynamic password VPN; authentication server for authentication of user and permission for users to open VPN tunnel; core database server is the core of the data organization, storage and management mechanism; the client to provide local service for users of the program. The user information through two layers of filter, reliability can effectively protect the identity authentication; because the client access must pass through the dynamic password authentication, so can carry out the safety monitoring and auditing authentication system, so as to further enhance the security of the system.

【技术实现步骤摘要】
一种防水墙系统及其验证方法
本专利技术涉及一种网络数据防泄漏系统，特别是一种防水墙系统及其验证方法。
技术介绍
随着网络信息化的发展，企业对信息安全级别要求越来越高，特别是针对一些重要信息、敏感信息，如何防止这些信息的外泄，已经成为企业关注的问题。据国际权威机构CSI/FBI提供的统计数据，在众多的攻击行为和事件中，最主要的、最多的安全事件是信息泄漏事件；攻击者主要来自企业内部，而不是来自外部的黑客等攻击者；安全事件造成的经济损失最主要的是内部人员有意或无意的信息泄漏事件造成的经济损失。传统的信息安全产品包括加密、防病毒、防火墙、防电磁辐射、平台系统、电子身份认证、漏洞扫描、入侵检测、识别鉴别、实体安全保护、IDS和漏洞扫描等系列的防护体系。很多机构仅仅注重网络外部安全，设置了快速有效的网络防火墙和IPS等设备，可以对网络入侵进行监控和防护，抵御低阶通信层次的攻击、防止主机及个人电脑被入侵、检测恶意的可执行程序和隔绝网络信息的滥用；也有些中小企业对员工的泄密行为，采取的措施大致有：禁止网络联接；禁止可移动存储器使用等。但这些都不能从本质上解决内部失泄密的问题，早已不能满足企业信息保密的要求。防水墙系统（WaterWall）是一种防止内部信息外泄的安全系统。与防火墙不同，它是综合利用各种手段构建事前预防、事中保护和事后审计三个层面的信息防护体系，对涉密信息、重要的业务数据与技术专利等敏感信息、其载体及其处理过程等实施安全保护的软件系统，使之不被非法或违规的入侵、外传、破坏、拷贝、监用的技术方法，从本质上阻止了敏感信息的泄露。身份认证作为网络安全的第一道防线，目的是验证访问者的身份，防止非法用户和假冒合法用户通过认证服务器认证，非法访问企业的核心数据，盗取企业内部信息，给企业带来不必要的损失。作为简单有效的安全措施，口令一直是身份认证普遍采用的方式。而在广泛应用的口令认证中，使用的大多数是静态口令。静态口令认证使用方便，但它也显示出了一些安全隐患：其一，静态口令在传输过程中就存在安全问题。静态口令的数据包，在Internet/Intranet的传输过程中用户端到认证服务器的传送过程中容易被非法用户截获与数据包回放，盗取口令和访问权；其二，容易破解。用户弱口令易被攻击，采用窥探、字典攻击、穷举尝试、重放攻击等很容易获得用户口令；其三，入侵者在窃取口令的情况下，即使不用口令身份者的机器也能够伪装成合法身份登陆企业内部网络，获取系统的网络资源。因此，针对静态身份认证存在的安全隐患，设计了扩展硬件ID身份和基于混沌理论的一次一密动态密码认证机制。混沌是确定论系统所表现的随机行为的总称。混沌学研究的是无序中的有序，许多现象即使遵循严格的确定规则，但大体上仍是无法预测的，它的根源在于非线性的相互作用。混沌序列信号是一个伪随机信号，它可以很容易从迭代方程，非线性常微分方程产生。基于角色的访问控制(RoleBasedAccessControl,RBAC)其基本思想来自实际中的“不同角色有不同的权力”这一普遍现象。RBAC较之传统的强制访问控制和自主访问控制技术，具有更强的可操作性和可管理性。基于角色的访问控制的核心思想就是将访问权限与角色相联系。安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。
技术实现思路
本专利技术提供一种防水墙系统及其验证方法，以解决目前绝大部分防水墙认证系统存在的安全隐患。本专利技术采用如下技术方案：一种防水墙系统，包括LDAP认证系统、动态密码认证系统、动态密码库、VPN认证服务器、核心数据库服务器和客户端，其中：LDAP认证系统用于验证由客户端登陆的用户是否存在及其访问权限，若存在则将用户名及相关信息发送到动态密码认证系统；动态密码认证系统用于验证通过LDAP认证系统认证的用户的合法身份，对通过验证的用户生成访问许可，并发送合法身份认证到客户端和VPN认证服务器端，同时进行新的密码口令迭代，并将迭代生成的新用户口令发送到动态密码库中；动态密码库用于组织、存储和管理来自客户端和动态密码认证系统传送的动态密码；VPN认证服务器用于对通过动态密码认证系统认证的用户进行许可认证，并对通过许可认证的用户开通连接核心数据库服务器的VPN隧道；核心数据库服务器为核心数据组织、存储和管理机构，为通过VPN隧道进入核心数据库服务器的用户提供相关的数据；客户端为为用户提供本地服务的程序，用于接收用户在登录界面输入的用户名和动态密码口令，并向LDAP认证系统提交认证，同时对动态密码口令进行新的密码口令许可迭代，并将迭代生成的新用户口令发送到动态密码库中。防水墙系统验证方法，其实现过程包括以下步骤：客户端接收用户在登录界面输入的用户名和动态密码口令，并向LDAP认证系统提交认证，检查是否有该用户；通过LDAP认证系统认证后，将用户名及相关信息发送到动态密码认证系统；用户名通过动态密码认证系统认证后，生产访问许可，发送合法身份认证到客户端和VPN认证服务器端；客户端进行新的密码口令许可迭代，动态密码认证系统也进行新的密码口令迭代，并将迭代生成的新用户口令发送到动态密码库中；VPN认证服务器进行许可认证，认证通过后为用户开通VPN隧道；客户端用户根据自己的访问权限访问核心数据库服务器相关资料。上述LDAP认证系统的认证操作进一步包括：用户向服务器提交身份信息和需求信息；系统对用户的身份进行分析，判断用户的角色和系统分配的相应权限；系统根据用户的角色、权限和系统内部资源描述信息，在访问控制规则指导下确定用户可访问的资源；系统根据用户的需求在用户可访问资源中选择满足用户要求的信息输出。另外，上述LDAP认证系统于用户与系统的输入、输出接口后面建立有安全审计机制，用于对流入、流出系统的数据进行系统安全、信息安全的审计。上述动态密码认证系统的认证操作进一步包括：用户初次访问，客户端发送用户名和密码访问服务器申请；LDAP认证系统认证是否有当前用户；通过LDAP认证系统认证后提取该用户的用户名、访问权限、初始密码等信息交由动态密码认证系统进行认证，通过认证后迭代生成新的动态密码，并将用户名、动态密码、访问权限、生成时间等信息写入动态密码库；客户端软件也进行迭代生成新的秘密；用户通过认证后，VPN认证服务器为其开辟VPN隧道连接，用户可以根据自己所拥有的权限访问核心数据库服务器相关的信息。用户非初次访问，客户端发送用户名和密码访问服务器申请；LDAP认证系统认证是否有当前用户；通过LDAP认证系统认证后，提取该用户的用户名、访问权限、密码等信息交由动态密码认证系统进行认证，通过认证后迭代生成新的动态密码，并将用户名、新的动态密码、访问权限、生成时间等信息写入动态密码库；客户端软件进行迭代生成新的密码；用户通过认证后，VPN认证服务器为其开辟VPN隧道连接，用户可以根据自己所拥有的权限访问核心数据库服务器相关的信息。由上述对本专利技术的描述可知，和现有技术相比，本专利技术具有如下优点：用户信息经过二层过滤，能够有效地保护身份认证的可靠性；基于混沌动态密码随机序列，一次有效而且有时效性，难以破解；动态密码客户端和服务器端同时迭代生成，保证了密码更新的同步性；动态密码的迭代的初始值、有效长度可以自本文档来自技高网...

【技术保护点】
一种防水墙系统，包括ＬＤＡＰ认证系统、动态密码认证系统、动态密码库、ＶＰＮ认证服务器、核心数据库服务器和客户端，其中：ＬＤＡＰ认证系统用于验证由客户端登陆的用户是否存在及其访问权限，若存在则将用户名及相关信息发送到动态密码认证系统；动态密码认证系统用于验证通过ＬＤＡＰ认证系统认证的用户的合法身份，对通过验证的用户生成访问许可，并发送合法身份认证到客户端和ＶＰＮ认证服务器端，同时进行新的密码口令迭代，并将迭代生成的新用户口令发送到动态密码库中；动态密码库用于组织、存储和管理来自客户端和动态密码认证系统传送的动态密码；ＶＰＮ认证服务器用于对通过动态密码认证系统认证的用户进行许可认证，并对通过许可认证的用户开通连接核心数据库服务器的ＶＰＮ隧道；核心数据库服务器为核心数据组织、存储和管理机构，为通过ＶＰＮ隧道进入核心数据库服务器的用户提供相关的数据；客户端为为用户提供本地服务的程序，用于接收用户在登录界面输入的用户名和动态密码口令，并向ＬＤＡＰ认证系统提交认证，同时对动态密码口令进行新的密码口令许可迭代，并将迭代生成的新用户口令发送到动态密码库中。

【技术特征摘要】
1.一种防水墙系统，包括LDAP认证系统、动态密码认证系统、动态密码库、VPN认证服务器、核心数据库服务器和客户端，其中：LDAP认证系统用于验证由客户端登陆的用户是否存在及其访问权限，若存在则将用户名及相关信息发送到动态密码认证系统；动态密码认证系统用于验证通过LDAP认证系统认证的用户的合法身份，对通过验证的用户生成访问许可，并发送合法身份认证到客户端和VPN认证服务器端，同时进行新的动态密码迭代，并将迭代生成的新的动态密码发送到动态密码库中；动态密码库用于组织、存储和管理来自客户端和动态密码认证系统传送的动态密码；VPN认证服务器用于对通过动态密码认证系统认证的用户进行许可认证，并对通过许可认证的用户开通连接核心数据库服务器的VPN隧道；核心数据库服务器为核心数据组织、存储和管理机构，为通过VPN隧道进入核心数据库服务器的用户提供相关的数据；客户端为用户提供本地服务的程序，用于接收用户在登录界面输入的用户名和动态密码，并向LDAP认证系统提交认证，同时对动态密码进行新的动态密码许可迭代，并将迭代生成的新的动态密码发送到动态密码库中。2.防水墙系统验证方法，其实现过程包括以下步骤：a.客户端接收用户在登录界面输入的用户名和动态密码，并向LDAP认证系统提交认证，检查是否有该用户；b.通过LDAP认证系统认证后，将用户名及相关信息发送到动态密码认证系统；c.用户名通过动态密码认证系统认证后，生成访问许可，发送合法身份认证到客户端和VPN认证服务器端；d.客户端进行新的动态密码许可迭代，动态密码认证系统也进行新的动态密码迭代，并将迭代生成的新的动态密码发送到动态密码库中；e.VPN认证服务器进行许可认证，认证通过后为用户开通VPN隧道；f.客户端用户根据自己的访问权限访问核心数据库服务器相关资料；上述LDAP认证系统的认证...

【专利技术属性】
技术研发人员：黄泽鑫，
申请(专利权)人：黄泽鑫，
类型：发明
国别省市：35