一种基于应用服务的核心框架平台的安全管控方法和系统与流程

本发明涉及通讯技术领域，具体的说是一种基于应用服务的核心框架平台的安全管控方法和系统。

背景技术：

网络是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的。通信是人与人之间通过某种媒体进行的信息交流与传递。网络通信是通过网络将各个孤立的设备进行连接，通过信息交换实现人与人、人与计算机、计算机与计算机之间的通信。当客户端待传输的数据量更大时，只能依靠核心服务平台的扩容来改进网络的容纳度，从而提高数据的传输效率，但核心服务平台的扩容需要耗费很大的财力和物力，与此同时，对于大数据的处理，传输的安全性与准确性需要进一步得到提高。

故针对上述技术中存在的缺点及局限性，从数据的安全性、传输的准确性与高效性出发，本发明提出了一种基于应用服务的核心框架平台的安全管控方法和系统。

技术实现要素：

为了解决上述现有技术中存在的问题，本发明提供一种基于应用服务的核心框架平台技术的安全管控方法和系统。

本发明解决其技术问题所采用的技术方案是：

一种基于应用服务的核心框架平台的安全管控方法，该方法包括以下步骤：

步骤1：客户端服务组件与核心服务平台通过网络通道构成应用服务中间层，客户端服务组件对收到的操作指令进行解析与执行工作；

步骤2：核心服务平台接收客户端服务组件发送的数据文件后解析数据文件，反馈数据至客户端服务组件；

步骤3：客户端服务组件对反馈数据进行解析，将反馈执行结果发送至客户端服务组件com端。

步骤1包括以下具体步骤：

步骤101：客户端服务组件中的第一网络连接与通讯安全认证组件收到操作指令后，请求连接身份认证，发送身份认证信息至核心服务平台中的第二网络连接与通讯安全认证组件；

步骤102：第二网络连接与通讯安全认证组件接收到发送身份认证信息后，客户端接入验证身份认证，客户端认证失败则断开通道连接，客户端认证通过则认证连接通道生成通讯认证秘钥，再将反馈认证信息发送至第一网络连接与通讯安全认证组件；

步骤103：第一网络连接与通讯安全认证组件收到反馈认证信息后解析反馈认证信息，没有通过则断开连接，通过则发送信息至客户端服务组件中的第一交互数据安全操作组件，第一交互数据安全操作组件获取客户端数据指令后，通讯认证秘钥执行组合加密算法生成数据加密秘钥，使用数据加密秘钥对客户端数据指令进行加密，加密数据包封包处理后生成密文数据包。

步骤2包括以下具体步骤：

步骤201：客户端服务组件中的第一加密安全通道数据传输组件将第一交互数据安全操作组件生成的密文数据包与通讯认证秘钥生成网络传输数据包，使用https通道发送网络交互数据包至核心服务平台中的第二加密安全通道数据传输组件；

步骤202：第二加密安全通道数据传输组件使用https通道接收网络交互数据包，检查通讯认证秘钥的合法性，合法性认证没有通过，则认证失败断开通道连接，将反馈认证失败信息传送给第一加密安全通道数据传输组件，第一加密安全通道数据传输组件断开连接，结束执行；合法性认证通过，则将密文数据包发送至核心服务平台中的第二交互数据安全操作组件；

步骤203：第二交互数据安全操作组件获取密文数据包，对密文数据包进行解包处理后，将通讯认证秘钥执行组合加密算法加密，生成数据加密秘钥，使用数据加密秘钥对客户端数据指令进行解密，生成客户端数据指令并发送至核心服务平台中的指令与数据内容验证组件；

步骤204：指令与数据内容验证组件对客户端数据指令操作指令甄别，发现为异常指令，则数据指令执行失败断开连接；发现为正常指令，则使用指令与数据逻辑处理组件执行指令，将执行指令发送给指令与数据业务处理组件；

步骤205：指令与数据业务处理组件根据执行指令处理客户端数据指令得到执行反馈结果数据，并发送至第二交互数据安全操作组件；

步骤206：第二交互数据安全操作组件获取执行反馈结果数据，再将通讯认证秘钥执行组合加密算法加密生成数据加密秘钥，使用数据加密秘钥对客户端数据指令进行加密，将加密数据包封包处理，生成密文数据包并发送至第二加密安全通道数据传输组件；

步骤207：第二加密安全通道数据传输组件将通讯认证秘钥与密文数据包生成网络交互数据包，再使用https通道发送网络交互数据包至第一加密安全通道数据传输组件。

步骤3包括以下具体步骤：

步骤301：第一加密安全通道数据传输组件使用https通道接收网络交互数据包，检查通讯认证秘钥合法性，合法性认证没有通过，则认证失败断开通道连接；合法性认证通过，则发送密文数据包至第一交互数据安全操作组件；

步骤302：第一交互数据安全操作组件获取密文数据包，对加密数据包解包处理，用通讯认证秘钥执行组合加密算法生成数据解密秘钥，使用数据解密秘钥对客户端数据指令进行解密，反馈结果数据，再将反馈执行结果发送至客户端服务组件com端。

一种基于应用服务的核心框架平台的安全管控系统，包括应用服务中间层，所述应用服务中间层包括客户端服务组件和核心服务平台，系统通过客户端服务组件和核心服务平台进行信息交互，所述核心服务平台根据客户端服务组件接收的指令以及与客户端服务组件之间的对应关系获取操作指令并解析反馈数据至客户端服务组件，客户端服务组件将核心服务平台的反馈执行结果发送至客户端服务组件com端。

所述客户端服务组件包括：

第一网络连接与通讯安全认证组件，提供与核心服务平台的对应接口，完成客户端服务组件中认证信息的发送与反馈；

第一交互数据安全操作组件，对需网络传输的指令数据包的文本内容进行数据加密，为认证信息提供生成指令数据包的接口以及解析反馈数据包的接口；

第一加密安全通道数据传输组件，提供与核心服务平台的对应接口，完成客户端服务组件中数据的发送与反馈。

所述核心服务平台包括：

第二网络连接与通讯安全认证组件，提供发送与反馈认证信息至客户端服务组件的接口；

第二加密安全通道数据传输组件，提供发送与反馈数据至客户端服务组件的接口；

第二交互数据安全操作组件，对需网络传输的指令数据包的文本内容进行数据加密，提供解析数据包的接口以及执行结果生成反馈数据包的接口；

指令与数据内容验证组件，提供对数据包进行内容验证的接口；

指令与数据逻辑处理组件，提供执行指令的接口；

指令与数据业务处理组件，将客户端数据指令执行并反馈结果数据，提供执行及反馈数据的接口。

本发明的有益效果是：

1、通过建立以网络连接与通讯安全认证组件、加密安全通道数据传输组件、交互数据安全操作组件和指令与数据内容验证组件为核心的多层全面安全管理技术体系，从而覆盖现有技术中通道建立认证、通道单次传输认证、数据及指令包安全性和数据指令解析认证，以此保证了平台的安全接入、数据与指令传输的安全性以及内容的准确性；

2、通过建立网络连接与通讯安全认证组件，作为平台接入的第一道安全性认证，对接入平台的客户端服务组件进行了注册管理，对数据传输进行了时效性和单点使用管理，保证了数据的安全性能；

3、通过建立交互数据安全操作组件，对需网络传输的指令数据包的文本内容进行数据加密，使用配套的多级秘钥算法生成解密秘钥并对数据内容进行解密，从而保证数据内容的安全性和不可复制性；

4、通过建立加密安全通道数据传输组件，利用网络连接与通讯安全认证组件反馈的通讯认证秘钥和https数据传输通道的结合应用，来实现数据传输对象的安全认证识别以及避免在网络传输过程中数据的窃取与注入；

5、通过建立指令与数据内容验证组件，对交互的数据内容包含的操作指令安全性进行检索过滤，对非基于应用服务中间层数据通讯平台认可的数据文件和操作系统的操作指令进行实时监控，进一步保证了数据准确及安全地传输。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1是本发明系统整体框体；

图2是本发明系统原理控制流程示意图；

图3是本发明中数据认证信息流程框图；

图4是本发明中数据反馈断开信息流程框图；

图5是本发明中步骤203的流程框图；

图6是本发明中步骤204的流程框图；

图7是本发明中步骤205-206的流程框图；

图8是本发明中步骤207的流程框图；

图9是本发明中步骤301的流程框图；

图10是本发明中步骤302的流程框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1至图10，一种基于应用服务的核心框架平台的安全管控方法，该方法包括以下步骤：

步骤1：客户端服务组件1与核心服务平台2通过网络通道构成应用服务中间层，客户端服务组件1对收到的操作指令进行解析与执行工作；

步骤2：核心服务平台2接收客户端服务组件1发送的数据文件后解析数据文件，反馈数据至客户端服务组件1；

步骤3：客户端服务组件1对反馈数据进行解析，将反馈执行结果发送至客户端服务组件com端。

步骤1包括以下具体步骤：

步骤101：客户端服务组件1中的第一网络连接与通讯安全认证组件11收到操作指令后，请求连接身份认证，发送身份认证信息至核心服务平台2中的第二网络连接与通讯安全认证组件21；

步骤102：第二网络连接与通讯安全认证组件21接收到发送身份认证信息后，客户端接入验证身份认证，客户端认证失败则断开通道连接，客户端认证通过则认证连接通道生成通讯认证秘钥，再将反馈认证信息发送至第一网络连接与通讯安全认证组件11；

步骤103：第一网络连接与通讯安全认证组件11收到反馈认证信息后解析反馈认证信息，没有通过则断开连接，通过则发送信息至客户端服务组件1中的第一交互数据安全操作组件12，第一交互数据安全操作组件12获取客户端数据指令后，通讯认证秘钥执行组合加密算法生成数据加密秘钥，使用数据加密秘钥对客户端数据指令进行加密，加密数据包封包处理后生成密文数据包。

步骤2包括以下具体步骤：

步骤201：客户端服务组件1中的第一加密安全通道数据传输组件13将第一交互数据安全操作组件12生成的密文数据包与通讯认证秘钥生成网络传输数据包，使用https通道发送网络交互数据包至核心服务平台2中的第二加密安全通道数据传输组件22；

步骤202：第二加密安全通道数据传输组件22使用https通道接收网络交互数据包，检查通讯认证秘钥的合法性，合法性认证没有通过，则认证失败断开通道连接，将反馈认证失败信息传送给第一加密安全通道数据传输组件13，第一加密安全通道数据传输组件13断开连接，结束执行；合法性认证通过，则将密文数据包发送至核心服务平台2中的第二交互数据安全操作组件23；

步骤203：第二交互数据安全操作组件23获取密文数据包，对密文数据包进行解包处理后，将通讯认证秘钥执行组合加密算法加密，生成数据加密秘钥，使用数据加密秘钥对客户端数据指令进行解密，生成客户端数据指令并发送至核心服务平台2中的指令与数据内容验证组件24；

步骤204：指令与数据内容验证组件24对客户端数据指令操作指令甄别，发现为异常指令，则数据指令执行失败断开连接；发现为正常指令，则使用指令与数据逻辑处理组件25执行指令，将执行指令发送给指令与数据业务处理组件26；

步骤205：指令与数据业务处理组件26根据执行指令处理客户端数据指令得到执行反馈结果数据，并发送至第二交互数据安全操作组件23；

步骤206：第二交互数据安全操作组件23获取执行反馈结果数据，再将通讯认证秘钥执行组合加密算法加密生成数据加密秘钥，使用数据加密秘钥对客户端数据指令进行加密，将加密数据包封包处理，生成密文数据包并发送至第二加密安全通道数据传输组件22；

步骤207：第二加密安全通道数据传输组件22将通讯认证秘钥与密文数据包生成网络交互数据包，再使用https通道发送网络交互数据包至第一加密安全通道数据传输组件13。

步骤3包括以下具体步骤：

步骤301：第一加密安全通道数据传输组件13使用https通道接收网络交互数据包，检查通讯认证秘钥合法性，合法性认证没有通过，则认证失败断开通道连接；合法性认证通过，则发送密文数据包至第一交互数据安全操作组件12；

步骤302：第一交互数据安全操作组件12获取密文数据包，对加密数据包解包处理，用通讯认证秘钥执行组合加密算法生成数据解密秘钥，使用数据解密秘钥对客户端数据指令进行解密，反馈结果数据，再将反馈执行结果发送至客户端服务组件com端。

一种基于应用服务的核心框架平台的安全管控系统，包括应用服务中间层，所述应用服务中间层包括客户端服务组件1和核心服务平台2，系统通过客户端服务组件1和核心服务平台2进行信息交互，所述核心服务平台2根据客户端服务组件1接收的指令以及与客户端服务组件1之间的对应关系获取操作指令并解析反馈数据至客户端服务组件1，客户端服务组件1将核心服务平台2的反馈执行结果发送至客户端服务组件com端。

所述客户端服务组件1包括：

第一网络连接与通讯安全认证组件11，提供与核心服务平台的对应接口，完成客户端服务组件中认证信息的发送与反馈；

第一交互数据安全操作组件12，对需网络传输的指令数据包的文本内容进行数据加密，为认证信息提供生成指令数据包的接口以及解析反馈数据包的接口；

第一加密安全通道数据传输组件13，提供与核心服务平台的对应接口，完成客户端服务组件中数据的发送与反馈。

所述核心服务平台2包括：

第二网络连接与通讯安全认证组件21，提供发送与反馈认证信息至客户端服务组件的接口；

第二加密安全通道数据传输组件22，提供发送与反馈数据至客户端服务组件的接口；

第二交互数据安全操作组件23，对需网络传输的指令数据包的文本内容进行数据加密，提供解析数据包的接口以及执行结果生成反馈数据包的接口；

指令与数据内容验证组件24，提供对数据包进行内容验证的接口；

指令与数据逻辑处理组件25，提供执行指令的接口；

指令与数据业务处理组件26，将客户端数据指令执行并反馈结果数据，提供执行及反馈数据的接口。

在本发明中，第一网络连接与通讯安全认证组件11和第二网络连接与通讯安全认证组件21作为平台接入的第一道安全性认证，对接入平台的客户端服务组件1进行了注册管理。客户端连接平台时都需要提前在平台的后台服务端进行通讯身份注册，注册内容包括：接口所部属的pc硬件id信息和用户授权信息。在通道建立时会自动进行安全认证，由客户端服务组件1向核心服务平台2发送身份验证信息，第一网络连接与通讯安全认证组件11和第二网络连接与通讯安全认证组件21对身份验证信息验证通过后，将客户端服务组件1反馈通讯认证秘钥，并对通讯认证秘钥进行了时效性和单点使用管理，即一个秘钥只允许一台电脑使用，发现多台机器使用同一秘钥则秘钥失效，同时客户端服务组件连接通道停用。

第一交互数据安全操作组件12和第二交互数据安全操作组件23是对需网络传输的指令数据包的文本内容进行数据加密，由客户端服务组件1集成的组合数据加密算法使用配套的多级秘钥算法进行数据内容的加密，数据发送到核心服务平台2后由其集成的组合数据解密算法使用配套的多级秘钥算法生成解密秘钥并对数据内容进行解密，从而保证数据内容的安全性和不可复制性。

第一加密安全通道数据传输组件13和第二加密安全通道数据传输组件22是利用反馈的通讯认证秘钥和https数据传输通道的结合应用，来实现数据传输对象的安全认证识别以及避免在网络传输过程中数据的窃取与注入。

指令与数据内容验证组件24是对交互的数据内容包含的操作指令安全性进行检索过滤，对非基于应用服务中间层数据通讯平台认可的数据文件和操作系统的操作指令进行实时监控。发现非法指令，则禁止指令数据包执行并自动关闭此通讯连接，客户端信息硬件、网络、注册信息进入平台连接黑名单并进行平台攻击警报与注册信息停用操作。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。