[发明专利]软件安全边界系统及方法

说明书

本申请涉及一种软件安全边界系统及方法，属于网络安全防护的技术领域，其包括软件安全边界服务器和中间修改服务器，软件安全边界服务器和中间修改服务器通过接口连接，软件安全边界服务器包括互联网连接模块、服务器连接模块、边界存储模块、本地登录模块、信息修改模块和请求认证模块，软件安全边界服务器修改认证信息需要通过中间修改服务器认证初始信息，并且需要中间修改服务器直接输入初始认证信息，本发明具有能够有效减少访问者恶意修改软件安全边界认证信息的可能的效果。

技术领域

本发明涉及网络安全防护的技术领域，尤其是涉及一种建立软件安全边界的系统及方法。

背景技术

目前软件安全边界由CSA国际云安全联盟定义，核心思想是通过SSB架构可以隐藏核心网络资产与设施使之不暴露在internet,极大减少各种攻击行为与安全威胁。软件安全边界采用先认证、再准入原则，动态、按需、最小化实现网络应用安全连接与访问。

上述中的现有技术方案存在以下缺陷：软件安全边界在运行过程中可能会出现有人通过互联网漏洞等修改软件安全边界的认证信息，从而通过软件安全边界对客户端进行恶意操作。

发明内容

为了减少恶意修改软件安全边界认证信息的可能，本申请提供一种建立软件安全边界的系统及方法。

本申请提供的一种建立软件安全边界的方法采用如下的技术方案：

一种建立软件安全边界的方法，包括以下步骤：

建立软件安全边界服务器，将软件安全边界服务器连接在客户端服务器与互联网之间，建立中间修改服务器，中间修改服务器直接与软件安全边界服务器连接，中间修改服务器和软件安全边界服务器均存储有初始认证信息；

软件安全边界服务器存储有本地登录信息，软件安全边界服务器接收本地输入的登录信息后经过本地登录信息验证开始接收本地输入信息，软件安全边界服务器接收认证信息，软件安全边界服务器接收确认信息后对认证信息进行存储，第一次存储后软件安全边界服务器锁定认证信息；

软件安全边界服务器接收到互联网传入的连接请求后通过认证信息对连接请求进行分包认证，每认证通过一个数据包，就将数据包传输给客户端服务器并使该请求来源与客户端服务器连接；

中间修改服务器接收修改信息后进行缓存，中间修改服务器接收登录信息并通过初始认证信息对登录信息进行认证，认证成功后中间修改服务器接收对缓存信息的修改指令和确认指令，中间修改服务器将确认的修改信息和初始认证信息发送给软件安全边界服务器，软件安全边界服务器接收修改信息和初始认证信息后先确认信息源是否为中间修改服务器，再对接收的初始认证信息进行认证，认证完成后解除对认证信息的锁定并根据修改信息对认证信息进行修改，修改后重新锁定认证信息；

中间修改服务器和软件安全边界服务器对初始认证信息进行锁定并监测双方的初始认证信息，当中间修改服务器或软件安全边界服务器中一方的初始认证信息被修改，另一方向被修改方传输初始认证信息并覆盖被修改的初始认证信息；中间修改服务器和软件安全边界服务器能够相互锁定初始认证信息，访问用户只有同时修改双方的初始认证信息才能改动初始认证信息，有效地保证了初始认证信息的安全。

通过采用上述方案，访问人员只能通过中间修改服务器对软件安全边界服务器的认证信息进行更改，并且需要初始认证信息，初始认证信息不通过软件安全边界服务器与互联网接触，避免初始认证信息通过互联网被盗取，并且初始认证信息需要管理员通过中间修改服务器进行输入，能够有效减少访问者恶意修改软件安全边界认证信息的可能。

优选的，建立信息中转平台和管理员APP，信息中转平台接收信息后发送给管理员APP，管理员APP根据接收的指令确认信息并将确认的信息发送给信息中转平台，信息中转平台将信息发送给中间修改服务器。