一种身份证云认证系统及读卡系统的制作方法
【专利摘要】本发明一种身份证云认证系统及读卡系统。其中,该身份证云认证系统包括:边界路由,用于接收读卡终端发送的数据包,将数据包发送至被选择的边界防火墙;被选择的边界防火墙用于将数据包、目的IP地址和目的端口发送至核心交换机;核心交换机用于将数据包发送至调度服务器或者发送至业务区的业务区防火墙;调度服务器用于选择一个状态空闲的端口发送至读卡终端;业务区的业务区防火墙用于判断目的端口属于允许访问的端口时,将数据包发送至第一认证安全模块;第一认证安全控制模块,用于将解密后的数据包发送至第一验证安全控制模块;第一验证安全控制模块,用于根据解密后的数据包携带的数据内容向第一认证安全控制模块返回对应的第一数据包。
【专利说明】
一种身份证云认证系统及读卡系统
技术领域
[0001]本发明涉及一种电子技术领域,尤其涉及一种身份证云认证系统及读卡系统。【背景技术】
[0002]居民二代身份证中存储的是身份证信息的密文,需要经过公安部授权的验证安全控制模块才能解密居民身份证中存储的身份证信息的密文。现有的前端身份证读卡终端具有至少两个模块,包括读模块以及居民身份证验证安全控制模块。由于每个前端身份证读卡器均设置居民身份证验证安全控制模块,因此,现有的前端身份证读卡器的制造成本高; 并且,一个居民身份证验证安全控制模块只能对一个读模块读取的居民身份证信息进行身份验证,因此,现有的前端身份证读卡器利用率较低,为解决该问题,目前出现了改进方案: 前端身份证读卡器不再包括居民身份证验证安全控制模块,将居民身份证验证安全控制模块设于后台侧,从而提升居民身份证验证安全控制模块的利用率。
[0003]然而由于后台处于的网络环境为公开网络,任何读卡器均能够请求后台使其接入居民身份证验证安全控制模块,这就大大提升了居民身份证验证安全控制模块的安全隐患,一旦居民身份证验证安全控制模块被非法读卡器攻破,居民身份证验证安全控制模块中存储的身份证根证书就会被不法分子窃取甚至篡改,后果不堪设想。此外,由于后台侧可能配备多个居民身份证验证安全控制模块,由于任务分配不均也会导致出现部分居民身份证验证安全控制模块空闲而部分居民身份证验证安全控制模块则负荷过重的情况。
【发明内容】
[0004]本发明旨在解决上述问题之一。
[0005]本发明的主要目的在于提供一种身份证云认证系统。
[0006]本发明的另一目的在于提供一种读卡系统。[〇〇〇7]为达到上述目的,本发明的技术方案具体是这样实现的:
[0008]本发明一方面提供了一种身份证云认证系统,包括:互联网接入区、隔离区和业务区;其中,互联网接入区至少包括:边界路由和边界防火墙;隔离区至少包括:核心交换机、 调度服务器;业务区至少包括:业务区防火墙、n个认证安全控制模块以及n个验证安全控制模块,认证安全控制模块与验证安全控制模块一一对应,n为大于或等于1的整数,其中:边界路由,用于接收读卡终端发送的数据包,数据包中至少包含访问IP地址和访问端口;根据路径选择策略选择要发送的边界防火墙,将数据包发送至被选择的边界防火墙;被选择的边界防火墙,用于接收数据包,根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口,并将数据包、目的IP地址和目的端口发送至核心交换机;核心交换机,用于根据目的IP地址和目的端口将数据包发送至调度服务器,或者根据目的IP地址和目的端口将数据包、目的IP地址和目的端口发送至业务区的业务区防火墙;调度服务器,用于在接收到数据包的情况下,从业务区的认证数据库获取调度服务器的管辖范围内的端口状态列表,每个端口对应一个认证安全控制模块;并从端口状态列表中选择一个状态空闲的端口作为读卡终端的访问端口,并将访问端口发送至读卡终端;业务区的业务区防火墙,用于在接收到数据包的情况下,根据预设的业务区防火墙过滤策略,判断目的端口是否属于允许访问的端口,如果是,则将数据包发送至第一认证安全模块,第一认证安全模块为目的端口和目的IP 地址指向的认证安全控制模块;第一认证安全控制模块,用于在接收到数据包后,对数据包解密,并将解密后的数据包发送至第一验证安全控制模块,第一验证安全控制模块为与第一认证安全控制模块连接的验证安全控制模块;第一验证安全控制模块,用于接收解密后的数据包,根据解密后的数据包携带的数据内容向第一认证安全控制模块返回对应的第一数据包;第一认证安全控制模块,还用于接收第一验证安全控制模块返回的第一数据包,并对第一数据包加密,将加密后的第一数据包发送至读卡终端。
[0009]可选地,边界路由,还用于在根据路径选择策略选择要发送的边界防火墙,将数据包发送至被选择的边界防火墙之前,根据预设的边界路由过滤策略,判断访问IP地址是否允许通过边界路由,如果允许,则执行将数据包发送至被选择的边界防火墙的操作。
[0010]可选地,被选择的边界防火墙,还用于在根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口之前,根据预设的边界防火墙过滤策略,判断数据包是否包括非法数据,如果不是,则执行根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口的操作。
[0011]可选地,核心交换机,用于根据目的IP地址和目的端口将数据包发送至调度服务器,或者根据目的IP地址和目的端口将数据包、目的IP地址和目的端口发送至业务区,包括:如果目的IP地址和目的端口为调度服务器的IP地址和端口,则将数据包发送至调度服务器;如果目的IP地址和目的端口为业务区中的安全认证控制模块的IP地址和端口,则将数据包、目的IP地址和目的端口发送至业务区的业务区防火墙。
[0012]可选地,数据包至少还包括:读卡终端的标识信息以及读卡终端的数字证书;调度服务器,还用于根据读卡终端的标识信息判断是否允许读卡终端接入,以及判断读卡终端的数字证书是否异常;在判断允许读卡终端接入以及读卡终端的证书正常的情况下,执行从业务区的认证数据库获取调度服务器的管辖范围内的端口状态列表的操作。
[0013]可选地,业务区还包括:认证数据库,用于存储端口状态列表,以及读卡终端的认证密钥的密文,其中,读卡终端的认证密钥的密文为使用认证数据库的保护密钥对读卡终端的认证密钥进行加密得到的;调度服务器,还用于根据读卡终端的标识信息,从认证数据库中获取读卡终端的认证密钥的密文并发送至第一认证安全控制模块;第一认证安全控制模块,用于对数据包解密,包括:第一认证安全控制模块获取保护密钥,利用保护密钥对密文解密得到读卡终端的认证密钥,并利用认证密钥对数据包解密;第一验证安全控制模块, 用于根据解密后的数据包携带的数据内容向第一认证安全控制模块返回对应的第一数据包,包括:数据内容为身份证寻卡数据的情况下,第一验证安全控制模块向第一认证安全控制模块返回第一数据包,第一数据包至少包括:寻卡响应数据;数据内容为身份证选卡数据的情况下,第一验证安全控制模块向第一认证安全控制模块返回第一数据包,第一数据包至少包括:与读卡终端读取的身份证进行认证的相关数据;数据内容为身份证信息密文的情况下,第一验证安全控制模块对身份证信息密文解密得到身份证信息明文,向第一认证安全控制模块返回第一数据包,第一数据包至少包括:身份证信息明文。
[0014]可选地,互联网接入区还包括:与边界路由连接的流量清洗设备,用于监测流经边界路由的业务流量,如果根据流经边界路由的业务流量检测到边界路由受到分布式拒绝服务攻击,则对流经边界路由的业务流量进行流量清洗。
[0015]可选地,调度服务器包括多个;隔离区还包括:连接在核心交换机与多个调度服务器之间的负载均衡器,用于在核心交换机将数据包发送至多个调度服务器的情况下,根据均衡策略将数据包分配给多个调度服务器中的一个。
[0016]可选地,隔离区还包括:与核心交换机连接的入侵检测设备,用于监测流经核心交换机的业务流量,根据用户的历史行为模型、预存的专家知识以及神经网络模型对流经核心交换机的业务流量进行匹配,一旦匹配成功,则判断有入侵行为。
[0017]可选地,隔离区还包括:与核心交换机连接的入侵防御设备,用于监测核心交换机接收到的数据包,判断核心交换机接收到的数据包是否为非法数据,如果是,则将核心交换机接收到的数据包丢弃。
[0018]可选地,隔离区还包括:内管服务器,用于接收用户对系统的配置。[〇〇19]本发明另一方面提供了一种读卡系统,包括:上述的身份证云认证系统以及读卡终端,其中:读卡终端,用于在业务区的验证安全控制模块读取身份证信息的流程中,从身份证中读取与身份证信息相关的数据,并生成数据包发送至边界路由;还用于接收认证安全控制模块返回的加密的第一数据包,并对加密的第一数据包解密获得解密后的第一数据包。
[0020]由上述本发明提供的技术方案可以看出,本发明提供了一种身份证云认证系统, 将该系统划分为互联网接入区、隔离区和业务区三个层次,每个层次采用不同的安全策略, 通过一道道的安全防线,在网络层面上提升了整个系统的安全性,以避免业务区受到非法攻击,尤其保证认证安全控制模块与验证安全控制模块的安全。【附图说明】
[0021]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0022]图1为本发明实施例1提供的身份证云认证系统的结构示意图;
[0023]图2为本发明实施例1提供的身份证云认证系统的结构示意图;
[0024]图3为本发明实施例1提供的读卡系统的结构示意图;
[0025]图4为本发明实施例2提供的数据传输的方法的流程图;
[0026]图5为本发明实施例3提供的内管服务器的结构示意图;
[0027]图6为本发明实施例4提供的身份证读取方法的流程图。【具体实施方式】
[0028]下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
[0029]下面将结合附图对本发明实施例作进一步地详细描述。
[0030]实施例1
[0031]本实施例提供了一种身份证云认证系统。如图1所示,本实施例提供的身份证云认证系统,根据功能区不同可以包括:互联网接入区10、隔离区20和业务区30三个区,对每个区采取不同的技术措施,以从网络层面提升整个系统的安全性;其中,互联网接入区10定位为整个身份证云认证系统的互联网入口,该互联网接入区10至少包括:边界路由101和边界防火墙102。该互联网接入区10处于开放的网络环境,主要功能是负责互联网接入,通过边界路由和边界防火墙抵御非法访问,是从互联网进入内网的第一道防线;隔离区20是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该隔离区20位于互联网接入区和业务区之间,负责业务区与互联网的隔离,该隔离区20至少包括:核心交换机201、调度服务器202;通过核心交换机201、调度服务器202能够将不同读卡终端的数据包均衡分配到业务区30的认证安全控制模块。业务区30为身份证云认证系统的核心区,该区域不直接对互联网客户端(即读卡终端)提供服务。该业务区30至少包括:业务区防火墙301、n个认证安全控制模块302以及n个验证安全控制模块303,认证安全控制模块302与验证安全控制模块303—一对应,每个验证安全控制模块303只有一个对外接口,该对外接口与对应的认证安全控制模块302连接。互联网客户端 (即读卡终端)的数据从隔离区到业务区还需经过一道业务区防火墙301后才会进入核心区局域网,以此来保证核心区局域网的安全。
[0032]在本实施例中,边界路由101,用于接收读卡终端发送的数据包,数据包中至少包含访问IP地址和访问端口;根据路径选择策略选择要发送的边界防火墙,将数据包发送至被选择的边界防火墙;被选择的边界防火墙102,用于接收数据包,根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口,并将数据包、目的IP地址和目的端口发送至核心交换机201;核心交换机201,用于根据目的IP地址和目的端口将数据包发送至调度服务器202,或者,根据目的IP地址和目的端口将数据包、目的IP地址和目的端口发送至业务区 30的业务区防火墙301;调度服务器202,用于接收数据包,从业务区30的认证数据库获取调度服务器的管辖范围内的端口状态列表,每个端口对应一个认证安全控制模块;并根据工作任务均衡的原则,从端口状态列表中选择一个状态空闲的端口作为读卡终端的访问端口,并将访问端口发送至读卡终端;业务区的业务区防火墙301,用于接收数据包,根据预设的业务区防火墙过滤策略,判断目的端口是否属于允许访问的端口,如果是,则将数据包发送至第一认证安全模块,第一认证安全模块为目的端口和目的IP地址指向的认证安全控制模块302;第一认证安全控制模块302,用于接收到数据包,对数据包解密,并将解密后的数据包发送至第一验证安全控制模块,第一验证安全控制模块为与第一认证安全控制模块连接的验证安全控制模块303;第一验证安全控制模块303,用于接收解密后的数据包,根据解密后的数据包携带的数据内容向第一认证安全控制模块302返回对应的第一数据包;第一认证安全控制模块302,还用于接收第一验证安全控制模块303返回的第一数据包,并对第一数据包加密,将加密后的第一数据包发送至读卡终端。[〇〇33]通过本实施例提供的身份证云认证系统,将该系统划分为互联网接入区、隔离区和业务区三个层次,每个层次采用不同的安全策略,通过一道道的安全防线,在网络层面上提升了整个系统的安全性,以避免业务区受到非法攻击,尤其保证认证安全控制模块与验证安全控制模块的安全。
[0034]本实施例提供的系统中为了防止单点故障提升整个系统服务器的稳定性,各个区的网络设备都可以包括多个,例如,边界路由可以包括:一个或多个;边界防火墙包括:一个或多个;核心交换机201包括:一个或多个;业务区防火墙202包括:一个或多个。为了便于描述,本实施例中以每个网络设备为2个为例,如图2所示,采用双机热备的方式,防止单点故障提升整个系统服务器的稳定性。两个边界路由同时在工作,无论哪个边界路由接收到读卡终端发送的数据包,都将数据包转发至按照路径选择策略选择的要发送的边界防火墙, 两个核心交换机也同时在工作,均可以接收边界防火墙发送的数据包(业务流量),无论哪个核心交换机接收到边界防火墙发送的数据包都可以按照目的设备的标识进行转发,双机热备的主要目的就是防止某一网络设备发生故障而影响系统的正常运行,一旦有一个网络设备瘫痪,另一个还可以正常工作。
[0035]本实施例中,为了防止单点故障,边界防火墙可以部署多个,当存在多个边界防火墙时,边界路由就需要选择一条将数据包发送至核心交换机201的路径,即选择通过哪个边界防火墙发送至核心交换机201,本实施例中,边界路由根据路径选择策略选择要发送的边界防火墙,该路径选择策略可以为例如,随机选择一个边界防火墙、选择距离边界路由最近、数据传输时间最短的边界防火墙、选择业务处理能力强的边界防火墙等等。[〇〇36]边界路由是互联网外部网络接入身份证云认证系统的接入点,作为内外网之间的桥梁,它的安全运行关系到身份证云认证系统的安全运行。因此,边界路由首当其冲是黑客攻击的重点。基于此,边界路由理应成为网络管理者重点维护的对象。作为本实施例中的一种可选实施方式,边界路由,还用于在根据路径选择策略选择要发送的边界防火墙,将数据包发送至被选择的边界防火墙之前,根据预设的边界路由过滤策略,判断访问IP地址是否允许通过边界路由,如果允许,则执行将数据包发送至被选择的边界防火墙的操作。由此, 边界路由作为身份证云认证系统的第一道防线,可以将不符合边界路由过滤策略的非法访问挡在身份证云认证系统之外,在网络层面上提升了整个系统的安全性。
[0037]其中,作为一种可选的边界路由过滤策略,具体实施时可以为预先在边界路由上配置允许访问的网段,判断访问IP地址是否在该网段之内,如果是,则允许数据包通过边界路由,并将数据包向上转发,否则丢弃该读卡终端发送的数据包。此外,为了防止其他非法访问,边界路由过滤策略还可以包括以下方式至少之一:
[0038]方式一:修改默认口令:将边界路由的默认口令修改为无特殊意义的口令。[〇〇39] 方式二:关闭IP直接广播(IP Directed Broadcast),关闭IP直接广播后,可以有效防止Smurf攻击。[〇〇4〇] 方式三:关闭边界路由器的HTTP(HyperText Transfer Protocol,超文本传输协议)服务。[0041 ]方式四:封锁ICMPping( Internet Control Message Protocol,网络控制消息协议)请求,通过封锁ping可以是使系统更容易避开那些无人注意的扫描活动,使系统减小被攻击的可能性。[〇〇42]方式五:封锁不必要的端口,除了业务区正常对外服务的端口外,关闭其他一切端□ 〇
[0043]由此,通过对边界路的维护可以将不符合边界路由过滤策略允许通过的非法访问挡在身份证云认证系统之外,保证身份证云认证系统的安全。
[0044]边界防火墙102的主要功能是控制来自互联网的外部网络对内部网络的访问,保护内部网络不遭受互联网读卡终端(主要是指非法的黑客)的攻击。边界防火墙102通过网络地址转换技术将受保护的内部网络的全部主机地址(即目的IP地址和目的端口,调度服务器或安全控制模块的私有IP地址和端口)映射成防火墙上设置的少数几个有效公网IP地址(即访问IP地址和访问端口),这样,外部网络的设备(读卡终端)只能获取到访问IP地址和访问端口,而无法获取到实际要访问的设备的真实IP地址和端口(即目的IP地址和目的端口),这样就可以对外屏蔽内部网络构和IP地址,保护内部网络的安全。因此,当边界防火墙102接收到数据包后,首先要根据网络地址转换协议(Network Address Translat1n,简称NAT)将访问IP地址和访问端口映射出对应的目的IP地址和目的端口,而目的IP地址和目的端口才是内部网络设备的实际地址,根据目的IP地址和目的端口进行数据包的转发。 [〇〇45]边界防火墙是建立在内外网络边界上的过滤封锁机制,内部网络(即身份证云认证系统)被认为是安全和可信的,外部网络则被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全性。因此,作为本实施例中的一种可选实施方式,边界防火墙102,还用于在根据访问IP 地址和访问端口映射出对应的目的IP地址和目的端口之前,根据预设的边界防火墙过滤策略,判断数据包是否包括非法数据,如果不是,则执行根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口的操作。由此,通过边界防火墙可以极大地降低整体网络安全建设的管理成本,提高身份证云认证系统的安全。
[0046]其中,作为一种可选的边界防火墙过滤策略,具体实施时可以预先在边界防火墙配置DDoS(Distributed Denial of service,分布式拒绝服务)特征数据库,该数据库类似于病毒库,存储有DDoS特征值,边界防火墙将接收到数据包的内容与DDoS特征数据库中的 DDoS特征值进行匹配,如果能够匹配到,则说明书数据包为非法数据包,边界防火墙受到 DDoS攻击,则将该数据包丢弃,不会继续转发至核心交换机。通常,非法数据包的形式多种多样,有的非法数据包中并没有读卡终端的数据,而仅仅由一些攻击报文组成,有的非法数据包可能包含一部分合法数据,一部分攻击报文,此处不再详述。[〇〇47]作为本实施例中的一种可选实施方式,如图2所示,互联网接入区10还包括:与边界路由连接的流量清洗设备103,用于监测流经边界路由的业务流量,如果根据流经边界路由的业务流量检测到边界路由受到分布式拒绝服务DD0S攻击,则对流经边界路由的业务流量进行流量清洗。[〇〇48]在本实施例中,流量清洗设备103对互联网接入的数据(即边界路由接收到的数据包)进行实时监控,及时发现包括分布式拒绝服务DDoS攻击在内的异常流量。当异常流量达到或超过预设的安全基线时,流量清洗设备将开启清洗过滤流程。本系统通过流量清洗设备,减轻了来自于DDoS攻击流量对内部网络造成的压力,提升带宽利用的有效性;保护内部网络免受来自互联网的攻击,提高网络性能。
[0049]由此,本系统中的互联网接入区10通过边界路由和边界防火墙能够在拒绝对系统的非法访问的同时保证读卡终端对系统的正常访问,通过流量清洗设备能够对互联网进入的数据进行实时监控,在不影响正常业务的同时清洗掉异常流量,保护内部网络免受来自互联网的攻击,提尚网络性能。
[0050]核心交换机201为整个身份证云认证系统的基础网络设备,需要转发非常庞大的流量,因为读卡终端可以分布在全国各地,具有成千上万个,因此,核心交换机对冗余能力、可靠性和传输速度方面要求较高。在本实施例中,核心交换机201接收到边界防火墙发送的数据包以及映射出的实际访问设备的,并将接收到的数据包转发至目的IP地址和目的端口指向的实际访问设备。而本系统中读卡终端实际需要访问的设备主要包括两种:调度服务器202和业务区的认证安全控制模块302。读卡终端首次必须访问调度服务器202,需要调度服务器202为其分配一个空闲的认证安全控制模块302,而在读卡终端收到调度服务器为其分配的认证安全控制模块302的访问端口后,读卡终端便可以直接访问认证安全控制模块 302了。因此,本实施例中,核心交换机201,用于根据目的IP地址和目的端口将数据包发送至调度服务器202,或者根据目的IP地址和目的端口将数据包、目的IP地址和目的端口发送至业务区30,包括:[0051 ] 如果目的IP地址和目的端口为调度服务器202的IP地址和端口,则将数据包发送至调度服务器202;如果目的IP地址和目的端口为业务区中的认证安全控制模块302的IP地址和端口,则将数据包、目的IP地址和目的端口发送至业务区的业务区防火墙301。由此,核心交换机完成了大量的数据转发。[〇〇52]核心交换机201实际上是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能,比如非法获取核心交换机201的控制权,导致网络瘫痪,另一方面也会受到DDoS 攻击。为防止核心交换机201受到非法侵害,如图2所示,本实施例提供的隔离区20还包括: 与核心交换机201连接的入侵检测设备203和入侵防御设备204。其中,入侵检测设备203用于实时监测流经核心交换机201的业务流量,根据用户的历史行为模型、预存的专家知识以及神经网络模型对流经核心交换机201的业务流量进行匹配,一旦匹配成功,则判断有入侵行为,立即断开读卡终端与访问设备的连接,并收集证据和实施数据恢复,此外还可以结合异常检测的策略监测流经核心交换机201的业务流量。通过入侵检测设备203对核心交换机 201的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。[〇〇53]其中,入侵防御设备204,用于监测核心交换机201接收到的数据包,判断核心交换机201接收到的数据包是否为非法数据,如果是,则将核心交换机201接收到的数据包丢弃。 其中,入侵防御设备204判断核心交换机201接收到的数据包是否为非法数据,可以通过以下方式:比如,入侵防御设备204将核心交换机201接收到的数据包与预置的病毒数据库中的病毒特征进行匹配,如果能够匹配到,则确定该匹配到的数据包为非法数据,此外,还可以考虑应用程序或网路传输中的异常情况,比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象,来辅助识别入侵和攻击。入侵防御设备虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。入侵防御设备是对防病毒软件和防火墙的补充,以提高系统的安全性。[〇〇54]作为本实施例的一种可选实施方式,如图2所示,在本实施例提供的身份证云认证系统中还包括:内管服务器205,用于接收用户对身份证云认证系统的配置,内管服务器205 可以与核心交换机201连接,并通过核心交换机201将配置信息发送至云认证数据库存储, 身份证云认证系统的各个网络设备都可以从云认证数据库中调取配置信息进行相关配置。 对内管服务器205的描述可以具体请参见实施例3中的描述。[〇〇55]调度服务器202为读卡终端提供空闲的认证安全控制模块302的调度服务,业务区 30内的认证安全控制模块302由调度服务器202统一调度。读卡终端每次请求身份证读卡业务时,调度服务器202都会根据工作任务均衡的原则,查询业务区30的云认证数据库中的端口状态列表,从端口状态列表中选择个状态空闲的端口作为读卡终端的访问端口,并将访问端口发送至读卡终端,由此,实现业务区的多个认证安全控制模块302的统一调度。 [〇〇56]在身份证云认证系统中,为了避免调度服务器202单点故障造成数据流量的损失, 调度服务器202可以部署为集群方式,根据服务能力要求的不同部署不同的数量的调度服务器202。为了有效地解决单个调度服务器202的数据流量过大、网络负荷过重的问题,本实施例提供的身份证云认证系统还在多个调度服务器202前增加负载均衡器206,如图2所示, 负载均衡器206连接在入侵防御设备204上,通过核心交换机实现对集群的调度服务器202 的统一调度,负载均衡器可以根据均衡策略把数据包合理地分配给集群内的各个调度服务器202,有效解决调度服务器202负载不均的问题,且能够防止单点故障,提高系统服务的稳定性。
[0057]本实施例还提供了一种读卡系统,图3为读卡系统的结构示意图,如图3所示,该读卡系统包括:上述身份证云认证系统以及读卡终端40,其中,读卡终端40,用于在业务区30 的验证安全控制模块303读取身份证信息的流程中,从身份证中读取与身份证信息相关的数据,并生成数据包发送至边界路由201;还用于接收认证安全控制模块302返回的加密的第一数据包,并对加密的第一数据包解密获得解密后的第一数据包。该读卡系统中的读卡终端40可以为多个,分布在全国各地,由此,分布于全国各地的读卡终端对身份证的信息读取都可以由本读卡系统中的身份证云认证系统统一处理,大大提高了业务区的验证安全控制模块的工作效率。[〇〇58]作为本实施例的一种可选实施方式,数据包为读卡终端首次需要调度服务器分配空闲的认证安全控制模块的数据包的情况下,读卡终端40发送给边界路由的数据包至少还包括:读卡终端40的标识信息以及读卡终端40的数字证书(数字证书也可视为读卡终端的标识信息);调度服务器202还可以根据数据包中的信息对读卡终端进行接入认证,如果允许接入,才查询端口状态,分配空闲端口给读卡终端,如果不允许接入,则直接丢弃该数据包,并向读卡终端返回不允许接入的响应信息。具体地,调度服务器202,还用于根据读卡终端40的标识信息判断是否允许读卡终端40接入,以及判断读卡终端40的数字证书是否异常;在判断允许读卡终端40接入以及读卡终端40的证书正常的情况下,执行从业务区30的认证数据库获取调度服务器202的管辖范围内的端口状态列表的操作。由此,在调度服务器 202为读卡终端40分配空闲端口之前,先对读卡终端40进行认证,如果认证通过,则说明读卡终端40为合法终端,从而保证访问业务区的认证安全控制模块302的外网设备的合法性。 [〇〇59]其中,调度服务器202根据读卡终端40的标识信息判断是否允许读卡终端40接入, 包括:判断读卡终端40的标识信息是否在黑名单或管控名单中,其中,黑名单中记录了不允许接入的读卡终端40的标识信息,管控名单中记录了需要按照预设的管控策略对其接入进行控制的读卡终端40的标识信息;在判断读卡终端40的标识信息在黑名单中的情况下,不允许读卡终端40接入;在判断读卡终端40的标识信息在管控名单中的情况下,调度服务器 202按照预设的管控策略判断是否允许请求接入的读卡终端40接入,由此可以确定调度服务器202是否允许读卡终端40接入。
[0060]其中,调度服务器202按照预设的管控策略判断是否允许读卡终端40接入,至少包括以下之一:
[0061]根据预设的管控策略,判断读卡终端40当前是否处于允许的接入位置范围,如果是,则允许读卡终端40接入,否则,不允许读卡终端40接入,其中,预设的管控策略中记录了读卡终端40允许的接入位置范围;
[0062]根据预设的管控策略,判断当前时间是否在允许读卡终端40接入的时间范围内, 如果是,则允许读卡终端40接入,否则,不允许读卡终端40接入,其中,预设的管控策略中记录了允许读卡终端40接入的时间范围;
[0063]根据预设的管控策略,判断在预设时间段内,读卡终端40的历史接入次数是否超过预设次数阈值,如果是,则不允许读卡终端40接入,否则,允许读卡终端40接入,其中,预设的管控策略中记录了预设时间段的时长以及预设次数阈值;[〇〇64]根据预设的管控策略,判断在预设时间段内,读卡终端40连续两次接入的接入位置之间的距离是否超过预设距离,如果是,则不允许读卡终端40接入,否则,允许读卡终端 40接入,其中,预设的管控策略中记录了预设时间段的时长以及预设距离。[〇〇65]作为本实施例中的一种可选实施方式,如图2所示,业务区30还包括:认证数据库 304,用于存储认证安全控制模块302的端口状态列表,以及读卡终端40的认证密钥的密文, 其中,读卡终端40的认证密钥的密文为使用认证数据库304的保护密钥对读卡终端40的认证密钥进行加密得到的;[〇〇66]调度服务器202,还用于根据读卡终端40的标识信息,从认证数据库中获取读卡终端40的认证密钥的密文并发送至第一认证安全控制模块302;第一认证安全控制模块302, 用于对数据包解密,包括:第一认证安全控制模块302获取保护密钥,利用保护密钥对密文解密得到读卡终端40的认证密钥,并利用认证密钥对数据包解密。
[0067]在实际应用中,读卡终端读取身份证的信息大致包括3个阶段:寻卡阶段、选卡阶段和读卡阶段。在寻卡阶段中,读卡终端会向外广播寻卡指令,如果有身份证对寻卡指令有响应,则向读卡终端返回寻卡数据,读卡终端需要经过互联网接入区10和隔离区20最终将寻卡数据发送给业务区的第一验证安全控制模块303(第一验证安全控制模块303为与读卡终端被分配的空闲端口指向的第一认证安全控制模块302相连的验证安全控制模块),第一验证安全控制模块303会向读卡终端返回寻卡响应数据;在选卡阶段,读卡终端可以从身份证读取一些配置信息(如身份证卡片序列、身份证应用数据和身份证预设信息等),并将这些配置信息经过互联网接入区10和隔离区20最终发送至业务区30的第一验证安全控制模块303,第一验证安全控制模块303发起与身份证相互认证的流程,读卡终端转发该流程中的交互数据,待第一验证安全控制模块303与身份证完成相互认证后,进入读卡阶段;在读卡阶段,读卡终端可以从身份证读取到身份证信息密文,并经过互联网接入区10和隔离区 20最终转发至业务区30的第一验证安全控制模块303,第一验证安全控制模块303采用公安部指定的专用产品,符合GA 467-2013《居民身份证验证安全控制模块303接口技术规范》, 可以对身份证信息密文解密得到身份证信息明文,并通过第一认证安全控制模块302加密发送至读卡终端,读卡终端对由第一认证安全控制模块302加密后的密文解密得到身份证信息明文。因此,在本实施例中,第一验证安全控制模块303,用于根据解密后的数据包携带的数据内容向第一认证安全控制模块302返回对应的第一数据包,包括:[〇〇68]数据内容为身份证寻卡数据的情况下,第一验证安全控制模块303向第一认证安全控制模块302返回第一数据包,第一数据包至少包括:寻卡响应数据;
[0069]数据内容为身份证选卡数据(如身份证的身份证配置信息、签名数据、数字证书等需要第一验证安全控制模块303对身份证认证的数据)的情况下,第一验证安全控制模块 303向第一认证安全控制模块302返回第一数据包,第一数据包至少包括:与读卡终端40读取的身份证进行认证的相关数据(如第一验证安全控制模块303的签名数据、数字证书等需要身份证对第一验证安全控制模块303认证的数据);
[0070]数据内容为身份证信息密文的情况下,第一验证安全控制模块303对身份证信息密文解密得到身份证信息明文,向第一认证安全控制模块302返回第一数据包,第一数据包至少包括:身份证信息明文。
[0071]本实施例中,第一认证安全控制模块302在收到第一验证安全控制模块返回的第一数据包之后,为了保证传输安全,还需要对第一数据包加密后再返回给读卡终端,作为一种可选的实施方式,第一认证安全控制模块,还用于利用读卡终端40的认证密钥对第一数据包加密,将加密后的第一数据包发送至读卡终端40,读卡终端40可以利用自己的认证密钥对加密后的第一数据包解密得到第一数据包;由此,通过认证密钥加密第一数据包可以实现密文传输,保证了传输安全性。此外,如果没有与读卡终端对应的认证密钥即使截获该加密后的第一数据包也无法解密,只有拥有对应的认证密钥的读卡终端40才能对此密文解密,因此,即便该密文被截获,截获者也无法请以破解,进一步保证了身份证信息明文的传输安全。
[0072]作为另一种可选的实施方式,为了进一步避免总是重复使用同一个密钥加解密容易被破解密钥的弊端,第一认证安全控制模块302,还用于根据随机数生成会话密钥,利用会话密钥对第一数据包加密得到第一数据包密文;并利用读卡终端40的用于加密的数字证书的公钥对第一数据包密文和会话密钥加密生成会话密文,或者,利用读卡终端40的加密的数字证书的公钥对会话密钥加密生成会话密文,将会话密文和第一数据包密文发送至读卡终端40;读卡终端40,还用于利用本地存储的与用于加密的数字证书对应的私钥对会话密文解密得到第一数据包密文和会话密钥,或者,利用私钥对会话密文解密得到会话密钥, 并利用会话密钥对第一数据包密文解密得到第一数据包的明文。该可选实施方式与上一可选实施方式的区别在于:认证安全控制模块302没有继续使用读卡终端的认证密钥,而是根据随机数生成会话密钥,该会话密钥是随机的,利用该会话密钥加密比利用固定的传输密钥加密的可靠性更高,更不容易被破译。[〇〇73] 实施例2
[0074]本实施例提供了一种数据传输的方法,该方法可采用实施例1中提供的系统。如图 4所示,该方法包括以下步骤S101?S110:
[0075]S101:边界路由接收读卡终端发送的数据包,数据包中至少包含访问IP地址和访问端口;根据路径选择策略选择要发送的边界防火墙,将数据包发送至被选择的边界防火墙;
[0076]本实施例中,为了防止单点故障,边界防火墙可以部署多个,当存在多个边界防火墙时,边界路由就需要选择一条将数据包发送至核心交换机的路径,即选择通过哪个边界防火墙发送至核心交换机,本实施例中,边界路由根据路径选择策略选择要发送的边界防火墙,该路径选择策略可以为例如,随机选择一个边界防火墙、选择距离边界路由最近、数据传输时间最短的边界防火墙、选择业务处理能力强的边界防火墙等等。
[0077]边界路由是互联网外部网络接入身份证云认证系统的接入点,作为内外网之间的桥梁,它的安全运行关系到身份证云认证系统的安全运行。因此,边界路由首当其冲是黑客攻击的重点。基于此,边界路由理应成为网络管理者重点维护的对象。作为本实施例中的一种可选实施方式,边界路由在根据路径选择策略选择要发送的边界防火墙,将数据包发送至被选择的边界防火墙之前,本步骤还包括:根据预设的边界路由过滤策略,判断访问IP地址是否允许通过边界路由,如果允许,则执行将数据包发送至被选择的边界防火墙的操作。 由此,边界路由作为身份证云认证系统的第一道防线,可以将不符合边界路由过滤策略的非法访问挡在身份证云认证系统之外,在网络层面上提升了整个系统的安全性。
[0078]其中,作为一种可选的边界路由过滤策略,具体实施时可以为预先在边界路由上配置允许访问的网段,判断访问IP地址是否在该网段的范围之内,如果是,则允许数据包通过边界路由,并将数据包向上转发,否则丢弃该读卡终端发送的数据包。此外,为了防止其他非法访问,边界路由过滤策略还可以包括以下方式至少之一:
[0079]方式一:修改默认口令:将边界路由的默认口令修改为无特殊意义的口令。
[0080]方式二:关闭IP直接广播(IP Directed Broadcast),关闭IP直接广播后,可以有效防止Smurf攻击。[0081 ] 方式三:关闭边界路由器的HTTP(HyperText Transfer Protocol,超文本传输协议)服务。
[0082]方式四:封锁ICMPping( Internet Control Message Protocol,网络控制消息协议)请求,通过封锁ping可以是使系统更容易避开那些无人注意的扫描活动,使系统减小被攻击的可能性。[〇〇83]方式五:封锁不必要的端口,除了业务区正常对外服务的端口外,关闭其他一切端□ 〇
[0084]由此,通过对边界路的维护可以将不符合边界路由过滤策略允许通过的非法访问挡在身份证云认证系统之外,保证身份证云认证系统的安全。
[0085]S102:被选择的边界防火墙接收数据包,根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口,并将数据包、目的IP地址和目的端口发送至核心交换机;
[0086]本实施例中,边界防火墙的主要功能是控制来自互联网的外部网络对内部网络的访问,保护内部网络不遭受互联网读卡终端(主要是指非法的黑客)的攻击。边界防火墙通过网络地址转换技术将受保护的内部网络的全部主机地址(即目的IP地址和目的端口,调度服务器或安全控制模块的私有IP地址和端口)映射成防火墙上设置的少数几个有效公网 IP地址(即访问IP地址和访问端口),这样,外部网络的设备(读卡终端)只能获取到访问IP 地址和访问端口,而无法获取到实际要访问的设备的真实IP地址和端口(即目的IP地址和目的端口),这样就可以对外屏蔽内部网络构和IP地址,保护内部网络的安全。因此,当边界防火墙接收到数据包后,首先要根据网络地址转换协议(Network Address Translat1n, 简称NAT)将访问IP地址和访问端口映射出对应的目的IP地址和目的端口,而目的IP地址和目的端口才是内部网络设备的实际地址,根据目的IP地址和目的端口进行数据包的转发。 [〇〇87]边界防火墙是建立在内外网络边界上的过滤封锁机制,内部网络(即身份证云认证系统)被认为是安全和可信的,外部网络则被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全性。因此,作为本实施例中的一种可选实施方式,在步骤S102中,边界防火墙在根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口之前,本方法还包括:根据预设的边界防火墙过滤策略,判断数据包是否包括非法数据,如果不是,则执行根据访问IP地址和访问端口映射出对应的目的IP地址和目的端口的操作。由此,通过边界防火墙可以极大地降低整体网络安全建设的管理成本,提高身份证云认证系统的安全。
[0088]其中,作为一种可选的边界防火墙过滤策略,具体实施时可以预先在边界防火墙配置DDoS(Distributed Denial of service,分布式拒绝服务)特征数据库,该数据库类似于病毒库,存储有DDoS特征值,边界防火墙将接收到数据包的内容与DDoS特征数据库中的 DDoS特征值进行匹配,如果能够匹配到,则说明书数据包为非法数据包,边界防火墙受到 DDoS攻击,则将该数据包丢弃,不会继续转发至核心交换机。通常,非法数据包的形式多种多样,有的非法数据包中并没有读卡终端的数据,而仅仅由一些攻击报文组成,有的非法数据包可能包含一部分合法数据,一部分攻击报文,此处不再详述。[〇〇89]S103:核心交换机根据目的IP地址和目的端口将数据包发送至调度服务器,或者,根据目的IP地址和目的端口将数据包、目的IP地址和目的端口发送至业务区的业务区防火墙;
[0090]具体地,核心交换机对目的IP地址和目的端口进行判断,如果目的IP地址和目的端口指向调度服务器,则执行步骤S104,如果目的IP地址和目的端口指向业务区的认证安全控制模块,则执行步骤S106;
[0091]而本系统中读卡终端实际需要访问的设备主要包括两种:调度服务器和业务区的认证安全控制模块。读卡终端首次必须访问调度服务器,需要调度服务器为其分配一个空闲的认证安全控制模块,而在读卡终端收到调度服务器为其分配的认证安全控制模块的访问端口后,读卡终端便可以直接访问认证安全控制模块了。
[0092]S104:核心交换机将数据包发送至调度服务器;[〇〇93]在本实施例中,核心交换机为整个身份证云认证系统的基础网络设备,需要转发非常庞大的流量,因为读卡终端可以分布在全国各地,具有成千上万个,因此,核心交换机对冗余能力、可靠性和传输速度方面要求较高。在本实施例中,核心交换机接收到边界防火墙发送的数据包以及映射出的实际访问设备的目的IP地址和目的端口,并将接收到的数据包转发至目的IP地址和目的端口指向的实际访问设备。[〇〇94]S105:调度服务器接收数据包,从业务区的认证数据库获取调度服务器的管辖范围内的端口状态列表,每个端口对应一个认证安全控制模块;并根据工作任务均衡的原则, 从端口状态列表中选择一个状态空闲的端口作为读卡终端的访问端口,并将访问端口发送至读卡终端;
[0095]本实施例中,调度服务器为读卡终端提供空闲的认证安全控制模块的调度服务, 业务区内的认证安全控制模块由调度服务器统一调度。读卡终端每次请求身份证读卡业务时,调度服务器都会根据工作任务均衡的原则,查询业务区的云认证数据库中的端口状态列表,从端口状态列表中选择一个状态空闲的端口作为读卡终端的访问端口,并将访问端口发送至读卡终端,由此,实现业务区的多个认证安全控制模块的统一调度。
[0096]作为本实施例的一种可选实施方式,数据包为读卡终端首次需要调度服务器分配空闲的认证安全控制模块的数据包的情况下,读卡终端发送给边界路由的数据包至少还包括:读卡终端的标识信息以及读卡终端的数字证书(数字证书也可视为读卡终端的标识信息);调度服务器还可以根据数据包中的信息对读卡终端进行接入认证,如果允许接入,才查询端口状态,分配空闲端口给读卡终端,如果不允许接入,则直接丢弃该数据包,并向读卡终端返回不允许接入的响应信息。具体地,在调度服务器从业务区的认证数据库获取调度服务器的管辖范围内的端口状态列表之前,本实施例提供的方法还包括:调度服务器根据读卡终端的标识信息判断是否允许读卡终端接入,以及判断读卡终端的数字证书是否异常;且判断允许读卡终端接入以及读卡终端的证书正常。由此,在调度服务器为读卡终端分配空闲端口之前,先对读卡终端进行认证,如果认证通过,则说明读卡终端为合法终端,从而保证访问业务区的认证安全控制模块的外网设备的合法性。
[0097]其中,调度服务器根据读卡终端的标识信息判断是否允许读卡终端接入,包括:判断读卡终端的标识信息是否在黑名单或管控名单中,其中,黑名单中记录了不允许接入的读卡终端的标识信息,管控名单中记录了需要按照预设的管控策略对其接入进行控制的读卡终端的标识信息;在判断读卡终端的标识信息在黑名单中的情况下,不允许读卡终端接入;在判断读卡终端的标识信息在管控名单中的情况下,调度服务器按照预设的管控策略判断是否允许请求接入的读卡终端接入,由此可以确定调度服务器是否允许读卡终端接入。
[0098]其中,调度服务器按照预设的管控策略判断是否允许读卡终端接入,至少包括以下之一:
[0099]根据预设的管控策略,判断读卡终端当前是否处于允许的接入位置范围,如果是,则允许读卡终端接入,否则,不允许读卡终端接入,其中,预设的管控策略中记录了读卡终端允许的接入位置范围;
[0100]根据预设的管控策略,判断当前时间是否在允许读卡终端接入的时间范围内,如果是,则允许读卡终端接入,否则,不允许读卡终端接入,其中,预设的管控策略中记录了允许读卡终端接入的时间范围;
[0101]根据预设的管控策略,判断在预设时间段内,读卡终端的历史接入次数是否超过预设次数阈值,如果是,则不允许读卡终端接入,否则,允许读卡终端接入,其中,预设的管控策略中记录了预设时间段的时长以及预设次数阈值;
[0102]根据预设的管控策略,判断在预设时间段内,读卡终端连续两次接入的接入位置之间的距离是否超过预设距离,如果是,则不允许读卡终端接入,否则,允许读卡终端接入,其中,预设的管控策略中记录了预设时间段的时长以及预设距离。
[0103]S106:核心交换机将数据包、目的IP地址和目的端口发送至业务区的业务区防火m;
[0104]其中,目的设备的目的IP地址和目的端口指向的网络设备可以为调度服务器为读卡终端分配的空闲的认证安全控制模块,因此,本步骤中,需要将数据包和目的IP地址和目的端口一起转发给业务区防火墙,以便业务区防火墙可以根据目的IP地址和目的端口将数据包转发至对应的认证安全控制模块。
[0105]S107:业务区的业务区防火墙接收数据包,根据预设的业务区防火墙过滤策略,判断目的端口是否属于允许访问的端口,如果是,则将数据包发送至第一认证安全模块,第一认证安全模块为目的端口和目的IP地址指向的认证安全控制模块;
[0106]本实施例中,业务区防火墙是外部网络设备访问业务区核心设备(认证安全控制模块和验证安全控制模块)的最后一道防线,例如,业务区防火墙可以预设允许访问的端口表,在收到数据包后,可以到允许访问的端口表查询,如果目的端口存在于该表中,就标识可以将数据包发送至认证安全控制模块,由此,通过判断访问设备的端口过滤掉不允许通过的数据包,进一步从网络层面保护系统安全,尤其保护认证安全控制模块和验证安全控制模块的安全。
[0107]S108:第一认证安全控制模块接收到数据包,对数据包解密,并将解密后的数据包发送至第一验证安全控制模块,第一验证安全控制模块为与第一认证安全控制模块连接的验证安全控制模块;
[0108]在本实施例中,在第一认证安全控制模块对数据包解密之前,本实施例提供的方法还包括:调度服务器根据读卡终端的标识信息,从认证数据库中获取读卡终端的认证密钥的密文并发送至第一认证安全控制模块;其中,读卡终端的认证密钥的密文为使用认证数据库的保护密钥对读卡终端的认证密钥进行加密得到的;
[0109]在本步骤中,第一认证安全控制模块对数据包解密,包括:第一认证安全控制模块获取保护密钥,利用保护密钥对密文解密得到读卡终端的认证密钥,并利用认证密钥对数据包解密;
[0110]S109:第一验证安全控制模块接收解密后的数据包,根据解密后的数据包携带的数据内容向第一认证安全控制模块返回对应的第一数据包;
[0111]在实际应用中,读卡终端读取身份证的信息大致包括3个阶段:寻卡阶段、选卡阶段和读卡阶段。在寻卡阶段中,读卡终端会向外广播寻卡指令,如果有身份证对寻卡指令有响应,则向读卡终端返回寻卡数据,读卡终端需要经过互联网接入区和隔离区最终将寻卡数据发送给业务区的第一验证安全控制模块(第一验证安全控制模块为与读卡终端被分配的空闲端口指向的第一认证安全控制模块相连的验证安全控制模块),第一验证安全控制模块会向读卡终端返回寻卡响应数据;在选卡阶段,读卡终端可以从身份证读取一些配置信息(如身份证卡片序列、身份证应用数据和身份证预设信息等),并将这些配置信息经过互联网接入区和隔离区最终发送至业务区的第一验证安全控制模块,第一验证安全控制模块发起与身份证相互认证的流程,读卡终端转发该流程中的交互数据,待第一验证安全控制模块与身份证完成相互认证后,进入读卡阶段;在读卡阶段,读卡终端可以从身份证读取到身份证信息密文,并经过互联网接入区和隔离区最终转发至业务区的第一验证安全控制模块,第一验证安全控制模块采用公安部指定的专用产品,符合GA 467-2013《居民身份证验证安全控制模块接口技术规范》,可以对身份证信息密文解密得到身份证信息明文,并通过第一认证安全控制模块加密发送至读卡终端,读卡终端对由第一认证安全控制模块加密后的密文解密得到身份证信息明文。因此,在本实施例中,第一验证安全控制模块根据解密后的数据包携带的数据内容向第一认证安全控制模块返回对应的第一数据包,包括:
[0112]数据内容为身份证寻卡数据的情况下,第一验证安全控制模块向第一认证安全控制模块返回第一数据包,第一数据包至少包括:寻卡响应数据;
[0113]数据内容为身份证选卡数据(如身份证的身份证配置信息、签名数据、数字证书等需要第一验证安全控制模块对身份证认证的数据)的情况下,第一验证安全控制模块向第一认证安全控制模块返回第一数据包,第一数据包至少包括:与读卡终端读取的身份证进行认证的相关数据(如第一验证安全控制模块的签名数据、数字证书等需要身份证对第一验证安全控制模块认证的数据);
[0114]数据内容为身份证信息密文的情况下,第一验证安全控制模块对身份证信息密文解密得到身份证信息明文,向第一认证安全控制模块返回第一数据包,第一数据包至少包括:身份证信息明文。
[0115]S110:第一认证安全控制模块接收第一验证安全控制模块返回的第一数据包,并对第一数据包加密,将加密后的第一数据包发送至读卡终端。
[0116]本实施例中,第一认证安全控制模块在收到第一验证安全控制模块返回的第一数据包之后,为了保证传输安全,还需要对第一数据包加密后再返回给读卡终端,作为一种可选的实施方式,第一认证安全控制模块对第一数据包加密,将加密后的第一数据包发送至读卡终端,具体包括:第一认证安全控制模块利用读卡终端的认证密钥对第一数据包加密,将加密后的第一数据包发送至读卡终端,读卡终端可以利用自己的认证密钥对加密后的第一数据包解密得到第一数据包;由此,通过认证密钥加密第一数据包可以实现密文传输,保证了传输安全性。此外,如果没有与读卡终端对应的认证密钥即使截获该加密后的第一数据包也无法解密,只有拥有对应的认证密钥的读卡终端才能对此密文解密,因此,即便该密文被截获,截获者也无法请以破解,进一步保证了身份证信息明文的传输安全。
[0117]作为另一种可选的实施方式,为了进一步避免总是重复使用同一个密钥加解密容易被破解密钥的弊端,第一认证安全控制模块对第一数据包加密,将加密后的第一数据包发送至读卡终端,具体包括:第一认证安全控制模块根据随机数生成会话密钥,利用会话密钥对第一数据包加密得到第一数据包密文;并利用读卡终端的用于加密的数字证书的公钥对第一数据包密文和会话密钥加密生成会话密文,或者,利用读卡终端的加密的数字证书的公钥对会话密钥加密生成会话密文,将会话密文和第一数据包密文发送至读卡终端;读卡终端,还用于利用本地存储的与用于加密的数字证书对应的私钥对会话密文解密得到第一数据包密文和会话密钥,或者,利用私钥对会话密文解密得到会话密钥,并利用会话密钥对第一数据包密文解密得到第一数据包的明文。该可选实施方式与上一可选实施方式的区别在于:认证安全控制模块没有继续使用读卡终端的认证密钥,而是根据随机数生成会话密钥,该会话密钥是随机的,利用该会话密钥加密比利用固定的传输密钥加密的可靠性更高,更不容易被破译。
[0118]在本实施例提供的数据传输的方法的整个过程中,作为本实施例中的一种可选实施方式,本实施例提供的方法还包括:与边界路由连接的流量清洗设备监测流经边界路由的业务流量,如果根据流经边界路由的业务流量检测到边界路由受到分布式拒绝服务攻击,则对流经边界路由的业务流量进行流量清洗。
[0119]在本实施例中,流量清洗设备对互联网接入的数据(即边界路由接收到的数据包)进行实时监控,及时发现包括分布式拒绝服务DDoS攻击在内的异常流量。当异常流量达到或超过预设的安全基线时,流量清洗设备将开启清洗过滤流程。本系统通过流量清洗设备,减轻了来自于DDoS攻击流量对内部网络造成的压力,提升带宽利用的有效性;保护内部网络免受来自互联网的攻击,提高网络性能。
[0120]由此,本系统中的互联网接入区通过边界路由和边界防火墙能够在拒绝对系统的非法访问的同时保证读卡终端对系统的正常访问,通过流量清洗设备能够对互联网进入的数据进行实时监控,在不影响正常业务的同时清洗掉异常流量,保护内部网络免受来自互联网的攻击,提尚网络性能。
[0121]在本实施例中,核心交换机实际上是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能,比如非法获取核心交换机的控制权,导致网络瘫痪,另一方面也会受到DDoS攻击。因此,为防止核心交换机受到非法侵害,在上述步骤中,本实施例提供的方法还包括:与核心交换机连接的入侵检测设备监测流经核心交换机的业务流量,根据用户的历史行为模型、预存的专家知识以及神经网络模型对流经核心交换机的业务流量进行匹配,一旦匹配成功,则判断有入侵行为,立即断开读卡终端与访问设备的连接,并收集证据和实施数据恢复,此外还可以结合异常检测的策略监测流经核心交换机的业务流量。通过入侵检测设备对核心交换机的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。此外,为防止核心交换机受到非法侵害,进一步地,本实施例提供的方法还包括:与核心交换机连接的入侵防御设备监测核心交换机接收到的数据包,判断核心交换机接收到的数据包是否为非法数据,如果是,则将核心交换机接收到的数据包丢弃。其中,入侵防御设备判断核心交换机接收到的数据包是否为非法数据,可以通过以下方式:比如,入侵防御设备将核心交换机接收到的数据包与预置的病毒数据库中的病毒特征进行匹配,如果能够匹配到,则确定该匹配到的数据包为非法数据,此外,还可以考虑应用程序或网路传输中的异常情况,比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象,来辅助识别入侵和攻击。入侵防御设备虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。入侵防御设备是对防病毒软件和防火墙的补充,以提高系统的安全性。
[0122]通过本实施例提供的数据传输的方法,通过将该系统划分为互联网接入区、隔离区和业务区三个层次,每个层次采用不同的安全策略,通过一道道的安全防线,在网络层面上提升了整个系统的安全性,以避免业务区受到非法攻击,尤其保证认证安全控制模块与验证安全控制模块的安全。
[0123]实施例3
[0124]本实施例提供了一种内管服务器,如图5所示,该内管服务器可以是一个集中式的服务器,以便集中管理,内管服务器也可以是一个分布式的服务器,以便整合网络资源。该内管服务器包括:安全访问单元、显示单元、第一输入接口、安全处理器、主控处理器、系统管理单元、参数配置单元和第二输入接口。
[0125]安全访问单元,用于检测用户请求,在检测到用户请求为用户登录请求时,获取与用户登录请求对应的提示信息,并将提示信息发送至显示单元。
[0126]具体的,安全访问单元通过定时或者不定时地刷新或者检测是否接收到用户请求,当接收到用户请求时,判断该用户请求的类型,根据请求的特征来判断其是否是用户登录请求,例如,安全访问单元可以通过内管服务器的Web页面,Web页面设置有登录按钮,一旦安全访问单元检测到登录按钮被按下,则判定为检测到用户登录请求;或者内管服务器的web页面直接显示登录信息输入框,当在登录信息输入框中检测到光标时,则安全访问单元判定为检测到用户登录请求。
[0127]当然,内管服务器的用户登录请求可以根据不同的用户设有不同的登录请求,例如,可以区分管理员用户登录、普通用户登录、操作用户登录、运行用户登录等,针对不同的用户登录请求设置不同的登录接口,从而分别进行管控。
[0128]当安全访问单元检测到用户请求为用户登录请求时,执行后续操作,即获取与用户登录请求对应的提示信息,并将提示信息发送至显示单元;当安全访问单元没有检测到用户登录请求或者检测到无效请求时,则重复执行检测用户请求的操作。
[0129]在检测到用户登录请求时,内管服务器还获取用户登录请求的类型,当采取类似触发登录按钮来进行登录时,针对上述的不同用户的登录请求获取到与不同用户对应的登录提示信息,例如,当用户为管理员用户、操作用户或运行用户时,在提示信息可以弹出用户名和密码的输入框的同时,还提示“插入安全设备或电子签名令牌”等;当用户为普通用户时,提示信息可以仅为弹出用户名和密码的输入框。通过设置不同的用户登录时对应的提示信息,使得不同级别的用户可以执行不同的登录流程,从而兼顾不同用户的安全性和便捷性的需求。当然,本发明不限于上述提示信息的种类,任何可以提示用户进行登录的提示信息,均是本发明的保护范围。
[0130]显示单元,用于显示提示信息,其中:提示信息用于提示用户进行登录;具体的,显示单元可以是集成在内管服务器中,也可以是外接的显示器。
[0131]第一输入接口,用于接收与提示信息对应的身份验证信息,身份验证信息至少包括用户身份信息以及待验证信息,至少将身份验证信息发送至安全处理器;具体的,用户可以通过有线接口(USB接口、音频接口等)、无线接口(WiF1、NFC、RFID等)、键盘、触屏等设备输入设备输入与提示信息对应的身份验证信息,该身份验证信息中至少包括了能够代表用户身份的信息,该用户身份信息可以是用户序列号、用户类别、用户名、用户标识等信息,该身份验证信息中还包括了待验证信息(如用户证书、数字签名、用户识别信息等),该待验证信息可以是能够验证用户合法性的信息,用于内管服务器对用户登录的合法性进行验证。
[0132]安全处理器,用于获取验证信息,并从接收的身份验证信息中获取待验证信息,利用验证信息对待验证信息进行验证,如果验证通过,则将用户身份信息发送至主控处理器,否则,将登录失败信息发送至显示单元,并重新获取与用户登录请求对应的提示信息;具体来说,验证信息是内管服务器预存的信息或者通过安全设备或电子签名令牌等身份设备获取的信息,而待验证信息是用户输入的信息。
[0133]在本实施例中安全处理器进行身份验证的方式可以是以下一种或者几种方式,当然本发明并不局限于以下几种方式:
[0134]方式一、第一输入接口为USB接口、音频接口或无线接口;第一输入接口连接至安全设备,接收安全设备中存储并发送的用户证书;安全处理器获取预存的根证书,并从接收的身份验证信息中获取用户证书,利用预存的根证书对用户证书的合法性进行验证。具体的实施方式中,用户利用安全设备来验证身份时,该安全设备中存储有代表用户身份的数字证书,而安全处理器中存储有签发该数字证书的根证书(验证信息),当安全处理器接收到连接的安全设备发送来的用户证书(待验证信息)后,利用预存的根证书对该数字证书进行合法性校验,如果验证合法性通过,则认为验证通过。当然,在进行验证的过程中,当安全处理器需要进行验证时,可以先通过第一输入接口发送指令给安全设备,安全设备在接收到相应的指令后才将用户证书发送给安全处理器,保证验证正确和及时执行。关于证书校验的过程属于现有流程,此处不再赘叙。通过本方式的验证方式,利用安全设备的用户证书来验证登录,实现物理隔离,保证了登录的安全性。
[0135]方式二、第一输入接口包括USB接口、音频接口或无线接口;第一输入接口连接至电子签名令牌,接收电子签名令牌生成并发送的签名信息,签名信息包括:预设信息以及电子签名令牌根据预设信息进行签名得到的签名值;安全处理器获取电子签名令牌的公钥,利用电子签名令牌的公钥对签名信息进行验证;具体的实施方式中,用户利用电子签名令牌来验证身份时,该电子签名令牌存储有代表用户唯一身份的数字证书和私钥,并可以生成预设信息,该预设信息可以为随机生成的随机数或者用户的个人标识信息,电子签名令牌可以利用私钥对预设信息进行签名获得签名值,安全处理器在接收到连接的电子签名令牌发送来的预设信息和签名值(待验证信息)后,安全处理器可以获取电子签名令牌的公钥(验证信息)对签名信息进行验证,如果验证签名正确则认为验证通过。该电子签名令牌的公钥(验证信息)可以是安全处理器预存的,或安全处理器向其他服务器获取的,或者是接收电子签名令牌发送的数字证书获取的(即电子签名令牌在发送签名信息的同时还发送电子签名令牌的数字证书,该数字证书中包括有电子签名令牌的公钥)。当然,在进行验证的过程中,当安全处理器需要进行验证时,可以先通过第一输入接口发送指令给电子签名令牌,电子签名令牌在接收到相应的指令后才将签名信息发送给安全处理器,保证验证正确和及时执行。通过本方式的验证方式,利用电子签名令牌来验证登录,电子签名令牌存放代表用户唯一身份的数字证书和用户私钥,通过验证签名验证了用户的身份,阻止了其他非法登录,保证了登录的安全性。
[0136]方式三、第一输入接口包括键盘、触屏或信息输入设备;第一输入接口接收用户输入的用户识别信息;安全处理器获取预存的验证识别信息,利用预存的验证识别信息对输入的用户识别信息进行验证;具体的实施方式中,识别信息可以是用户名和密码、生物特征信息(指纹、虹膜等)等,安全处理器预存有用户的验证识别信息(验证信息),利用预存的验证识别信息对输入的用户识别信息(待验证信息)进行比对,比对一致则认为验证通过。通过用户的识别信息进行验证,验证了用户的身份,保证登录的安全性。
[0137]在具体的实现中,可以采取上述方式中的多种来同时保证登录,例如可以采用方式一和方式三的组合,也可以采用方式二和方式三的组合,利用多种方式来保证登录,可以进一步保证登录的安全性。上述第一输入接口根据登录方式的需求,第一输入接口可以仅是USB接口、音频接口或无线接口类型的接口,也可以是括键盘、触屏或信息输入设备类型的接口,还可以是同时具备上述两种类型接口的输入接口。
[0138]此外,在上述三种实现方式中,均采用安全处理器来独立处理对身份验证的过程,可以与主控处理器隔离,利用安全处理器的独立安全性来进一步保证用户登录的安全。
[0139]主控处理器,用于接收用户身份信息,根据用户身份信息确定用户的操作权限,操作权限为第一权限和/或第二权限;具体来说,第一权限和第二权限可以是能够处理不同指令和访问不同单元(系统管理单元和参数配置单元)的权限,在本实施例中,第一权限可以是能够进行系统管理指令的处理的权限,第二权限可以是是能够进行参数配置指令的处理的权限;一个用户身份可以仅具备第一权限,也可以仅具备第二权限,也可以同时具备第一权限和第二权限。在具体实施中,可以通过用户身份信息(如用户序列号、用户类别、用户名、用户标识)来确定用户的类别,通过用户的类别来确定用户的操作权限,例如,根据用户的身份信息确定该用户为管理员用户,则该管理员用户同时具备第一权限和第二权限,即该管理员可以处理系统管理指令和参数配置指令;或者根据用户的身份信息确定该用户为操作员用户,则该操作员用户具备第一权限,即该操作员可以处理系统管理指令;或者根据用户的身份信息确定该用户为运行员用户,则该运行员具备第二权限,即该运行员可以处理参数配置指令。当然,在实际的系统中,可以仅仅有一种用户,即仅有同时具备第一权限和第二权限的管理员用户。通过在用户登录系统后,根据其用户身份的不同赋予了不同的操作权限,在内管统内部构筑了一道道墙壁,使用户只能访问其被授权访问的系统资源。
[0140]第二输入接口,还用于接收用户的操作请求,将操作请求发送至主控处理器;具体来说,用户可以通过键盘输入或者在内管服务器的web页面选择的方式输入操作请求,此处第二输入接口和第一输入接口可以是不同的两个接口(例如第一输入接口为USB接口,第二输入接口为键盘),也可以是同一个接口实现第一输入接口和第二输入接口的功能。
[0141]主控处理器,还用于判断操作请求的类型,如果操作请求包括系统管理指令,且确定的用户对应的操作权限为第一权限或者用户对应的操作权限为第一权限和第二权限时,将操作请求发送至系统管理单元;如果操作请求包括参数配置指令,且确定的用户对应的操作权限为第二权限或者用户对应的操作权限为第一权限和第二权限时,将操作请求发送至参数配置单元:具体的,操作请求中至少包括操作指令,该操作指令可以是系统管理指令或参数配置指令,当将该操作指令与用户的操作权限匹配上时,则主控处理器调用不同的单元完成不同的操作。
[0142]系统管理单元,用于在接收到操作请求后,获取系统管理指令对应的系统管理条目,根据系统管理指令对系统管理条目执行对应的操作;具体来说,此时操作请求包括了系统管理指令,该系统管理指令用于实现对内管服务器信息的管理,该系统管理指令可以是包括查询指令、修改指令、增加指令或删除指令等指令,实现对内管服务器中各个管理条目的查询、修改、增加、删除等功能,当需要进行系统管理时,则需要确定用户具备相应的权限才允许其进行管理,例如,具备管理员或者操作员权限的用户可以对系统进行管理。系统管理条目是内管服务器中可供用户进行修改的条目,可以包括但不限于用户、角色、客户、产品、报表、黑名单等,系统管理条目可以是包含在操作请求中,也可以是用户通过键盘输入或内管服务器web页面选择来输入系统管理指令所对应的系统管理条目,必要时,还需要输入一些管理参数来实现管理功能。
[0143]参数配置单元,用于在接收到操作请求后,获取参数配置指令对应的待配置条目和更新参数,根据更新参数对待配置条目的参数进行配置;具体来说,此时操作请求包括了参数配置指令,该参数配置指令用于实现对内管服务器参数的配置,当需要进行参数配置时,则需要确定用户具备相应的权限才允许其进行管理,例如,具备管理员或者运行员权限的用户才可以对参数进行配置。参数配置指令对应的待配置条目可以包括:内管子系统参数、认证安全控制模块参数、读卡终端APP参数、黑名单策略、频度管控策略等,内管服务器通过更新参数对上述待配置条目进行配置,更新参数可以包含在操作请求中,也可以是用户通过键盘输入或内管服务器web页面选择来输入更新参数。
[0144]具体来说,当确定用户对应的权限对应的操作权限为第一权限和第二权限,即用户为管理员权限时,该用户可以对系统管理指令和参数配置指令进行处理,具体的处理参照前述。
[0145]通过本实施例的内管服务器,可以实现通过一个内管服务器对云认证平台内各个子系统部件进行有效管理,给用户提供可视化管理界面,提升用户的体验,也便于在运维工作中对系统参数进行配置。此外,通过内管服务器对整个云认证平台进行调度管理,对部分资源进行限制性访问,通过对不同用户设置不同的访问权限,保证访问的安全性。
[0146]在本发明的一种实施方式中,在用户进行登录时,还可以通过验证码来保护登录:提示信息还包括参照验证码;安全访问单元,还用于生成随机码,根据随机码生成参照验证码,获取参照验证码,并将参照验证码发送至显示单元和安全处理器;具体来说,在用户进行登录的界面,可以同时提示输入验证码进行验证,也可以进行身份验证之前或者之后提示输入验证码进行验证,内管服务器生成随机码作为参照验证码,该随机码可以是数字、图片等格式。
[0147]显示单元,还用于显示参照验证码;在显示其他登录提示信息时,还可以显示参照验证码,以便用户输入。
[0148]待验证信息还包括登录验证码;第一输入接口,还用于接收登录验证码;安全处理器,还用于获取参照验证码,并将登录验证码与参照验证码进行比对验证。具体来说,内管服务器在获得用户通过键盘或者其他方式输入的验证码后,利用自身存储或者生成的参照验证码对输入的验证码进行比对,在比对一致时确定验证码通过。
[0149]采用登录验证码的方式可以防止登录重放攻击,避免造成系统资源的浪费,保证系统运行的安全性。
[0150]在本发明的一个实施方式中,系统管理指令包括查询指令、修改指令、增加指令和/或删除指令;主控处理器,具体用于获取系统管理指令对应的系统管理条目,并判断系统管理指令的类型;如果系统管理指令的类型指示获取的系统管理指令为查询指令,则系统管理单元具体用于根据查询指令对系统管理条目执行查询操作;如果系统管理指令的类型指示获取的系统管理指令为修改指令,则系统管理单元具体用于根据修改指令对系统管理条目执行修改操作;如果系统管理指令的类型指示获取的系统管理指令为增加指令,则系统管理单元具体用于根据增加指令对系统管理条目执行增加操作;如果系统管理指令的类型指示获取的系统管理指令为删除指令,则系统管理单元具体用于根据删除指令对系统管理条目执行删除操作。
[0151]在本发明的一个实施方式,系统管理条目包括:用户、角色、客户、产品、报表和/或黑名单;
[0152]当系统管理单元根据查询指令对系统管理条目进行执行查询操作时:如果系统管理条目为用户,系统管理单元具体用于根据查询指令对用户进行查询,按照预设的查询输出规则输出用户信息;或如果系统管理条目为角色,系统管理单元具体用于根据查询指令对角色进行查询,按照预设的查询输出规则输出角色信息;或如果系统管理条目为客户,系统管理单元具体用于根据查询指令对客户进行查询,按照预设的查询输出规则输出客户信息;或如果系统管理条目为产品,系统管理单元具体用于根据查询指令对产品进行查询,按照预设的查询输出规则输出产品信息;或如果系统管理条目为报表,系统管理单元具体用于根据查询指令对报表进行查询,按照预设的查询输出规则输出报表信息;或如果系统管理条目为黑名单,系统管理单元具体用于根据查询指令对黑名单进行查询,按照预设的查询输出规则输出黑名单信息;
[0153]当系统管理单元根据修改指令对系统管理条目执行修改操作时:如果系统管理条目为用户,系统管理单元具体用于根据修改指令对用户信息进行修改,存储用户信息修改结果;或如果系统管理条目为角色,系统管理单元具体用于根据修改指令对角色信息进行修改,存储角色信息修改结果;或如果系统管理条目为客户,系统管理单元具体用于根据修改指令对客户信息进行修改,存储客户信息修改结果;或如果系统管理条目为产品,系统管理单元具体用于根据修改指令对产品信息进行修改,存储产品信息修改结果;或如果系统管理条目为报表,系统管理单元具体用于根据修改指令对报表信息进行修改,存储报表信息修改结果;或如果系统管理条目为黑名单,系统管理单元具体用于根据修改指令对黑名单信息进行修改,存储黑名单信息修改结果;
[0154]当系统管理单元根据增加指令对系统管理条目执行增加操作时:如果系统管理条目为用户,系统管理单元具体用于根据增加指令增加用户,存储增加的用户信息;或如果系统管理条目为角色,系统管理单元具体用于根据增加指令增加角色,存储增加的角色信息;或如果系统管理条目为客户,系统管理单元具体用于根据增加指令增加客户,存储增加的客户信息;或如果系统管理条目为产品,系统管理单元具体用于根据增加指令增加产品,存储增加的产品信息;或如果系统管理条目为报表,系统管理单元具体用于根据增加指令增加报表,存储增加的报表信息;或如果系统管理条目为黑名单,系统管理单元具体用于根据增加指令增加黑名单,存储增加的黑名单信息;
[0155]当系统管理单元根据删除指令对系统管理条目执行删除操作时:如果系统管理条目为用户,系统管理单元具体用于根据删除指令删除用户;或如果系统管理条目为角色,系统管理单元具体用于根据删除指令删除角色;或如果系统管理条目为客户,系统管理单元具体用于根据删除指令删除客户;或如果系统管理条目为产品,系统管理单元具体用于根据删除指令删除产品;或如果系统管理条目为报表,系统管理单元具体用于根据删除指令删除报表;或如果系统管理条目为黑名单,系统管理单元具体用于根据删除指令删除黑名单。
[0156]以下对各个系统管理条目的操作分别进行详细说明:
[0157]当系统管理条目为用户时,登录内管服务器的管理员或操作员可以对用户的信息进行查询、修改、增加、删除等操作。例如,当管理员或操作员需要对用户信息进行查询时,可以输入用户的唯一标识信息(如ID、姓名等)对用户进行查询,也可以进行默认查询,则可以查询到能够登录该内管服务器的所有用户信息,并将查询结果通过显示单元显示出来;同样的,当管理员或操作员需要进行修改、增加、删除操作时,可以根据用户的唯一标识信息(如ID、姓名等)确定用户,对用户的信息进行修改、增加、删除,并存储修改、增加、删除的结果。
[0158]当系统管理条目为角色时,登录内管服务器的管理员或操作员可以对角色的信息进行查询、修改、增加、删除等操作。内管服务器中为不同的用户设定了不同的角色,每种角色的权限不同,例如管理员、操作员、运行员等。当管理员或操作员需要对角色的信息进行查询时,可以通过角色的名称或者编号信息等对角色下的权限等信息查询,也可以进行默认查询,则可以查询到内管服务器的所有角色信息,并将查询结果通过显示单元显示出来;同样,当管理员或操作员需要对角色进行修改时,可以用过角色名称或者编号信息等对角色信息进行修改,例如可以修改某个角色的权限等;当管理员或操作员对角色需要进行增加和删除操作时,则根据角色名称或者编号信息对角色进行增加或者删除操作,并存储修改、增加、删除的结果。
[0159]当系统管理条目为客户时,登录内管服务器的管理员或操作员可以对客户的信息进行查询、修改、增加、删除等操作。内管服务器中的客户可以是云认证系统中不同行业的客户,例如银行、商户、电信等。互联网身份证云认证系统会为不同行业的客户提供身份证认证服务,不同的客户所用的读卡终端产品编号和产品类型可能会不同,获取身份证信息也有所不同,这就需要通过内管服务器对不同的客户进行管理。对于客户的管理也可以基于客户的唯一标识信息(如ID、名称等),根据客户的唯一信息标识确定客户,对客户的信息进行增加、修改、删除、查询操作,并显示查询结果,存储修改、增加、删除的结果。例如,通过查询指令查询客户时,在检测到输入的客户唯一信息标识后,在内管服务器中查找出与该客户相关的信息,输出并通过显示单元显示出来。
[0160]当系统管理条目为产品时,登录内管服务器的管理员或操作员可以对产品的信息进行查询、修改、增加、删除等操作。内管服务器中的产品对应于读卡终端,产品条目下记录读卡终端类型和读卡终端编号,读卡终端序列号是产品的唯一标识信息,同时,每个产品条目还绑定了客户信息。当管理员或操作员查询该产品条目时,可以对产品条目的读卡终端类型、读卡终端序列号、所属客户等信息进行查询,当然,可以进行默认查询或者根据唯一标识信息进行查询,并通过显示单元显示查询结果;同样的,当管理员或操作员需要进行修改、增加、删除操作时,可以根据产品的唯一标识信息确定产品,对产品的信息进行修改、增加、删除,并存储修改、增加、删除的结果。此外,当需要增加产品信息时,还可以通过产品信息管理进行批量增加操作。
[0161]当系统管理条目为报表时,登录内管服务器的管理员或操作员可以对报表进行查询、修改、增加、删除等操作。管理员或者操作员可以对内管服务器管理的各项条目状态生成报表,也可以查询、修改、增加、删除报表,此外还可以系统管理的数据项进行分类,为客户提供定制的数据项报表。报表的内容可以覆盖内管服务器的所有管理条目的信息以及所有可配置的参数信息,以及其他与交易相关的信息。
[0162]当系统管理条目为黑名单时,登录内管服务器的管理员或操作员可以对黑名单进行查询、修改、增加、删除等操作。内管服务器可以维持一系列黑名单,例如,可以对产品(读卡终端)采取黑名单机制,将异常状态的读卡终端加入到黑名单中,也可以将系统误判的读卡终端从黑名单中删除,从而对黑名单信息进行维护。当然,当管理员或操作员需要对黑名单进行查询时,可以输入查询要素对黑名单进行查询,也可以进行默认查询,则可以查询到所有黑名单信息,并将查询结果通过显示单元显示出来;同样的,当管理员或操作员需要进行修改、增加、删除操作时,可以根据要素来确定,对黑名单信息进行修改、增加、删除,并存储修改、增加、删除的结果。
[0163]在本发明的一个实施例中,待配置条目包括:内管子系统参数、认证安全控制模块参数、读卡终端APP参数、黑名单策略和/或频度管控策略;参数配置单元具体用于获取参数配置指令对应的待配置条目和更新参数,并判断待配置条目的类型;如果待配置条目为内管子系统参数,则参数配置单元具体用于根据更新参数,对内管子系统的参数进行配置;如果待配置条目为认证安全控制模块参数,则参数配置单元具体用于根据更新参数,对认证安全控制模块的参数进行配置;如果待配置条目为读卡终端APP参数,则参数配置单元具体用于根据更新参数,对读卡终端APP参数进行配置;如果待配置条目为黑名单策略,则参数配置单元具体用于根据更新参数,对黑名单策略进行配置;如果待配置条目为频度管控策略,则参数配置单元具体用于根据更新参数,对频度管控策略进行配置。
[0164]当登录到内管服务器的用户需要执行参数配置指令时,则该用户需要具备管理员或者运行员权限,在验证该登录用户的权限匹配通过时,才能允许该登录用户对参数配置指令进行处理。以下对各个待配置条目的操作分别进行详细说明:
[0165]当待配置条目为内管子系统参数时,主要实现的是对内管子系统的运行参数进行配置,如设置鉴权码生成规则、设置认证安全控制模块检测时间间隔等。具体来说,内管服务器接收参数配置指令,根据参数配置指令确定待配置条目,判断待配置条目的类型为内管子系统参数时,跳转到内管子系统参数配置的流程,通过键盘或其他输入设备获取确定的内管子系统参数配置对应的更新参数,例如,管理员或者运行员为认证安全控制模块检测时间间隔进行配置时,则通过键盘输入要设定的时间间隔作为更新参数。配置好的内管子系统参数可以为云认证平台提供统一的参数设置,方便其他系统通过内管服务器方便地获取到内管子系统的参数信息。
[0166]当待配置条目为认证安全控制模块参数时,主要实现对认证安全控制模块的各项参数配置,并将更新的参数信息发送至认证安全控制模块,以便认证安全控制模块可以执行。具体来说,内管服务器接收参数配置指令,根据参数配置指令确定待配置条目,判断待配置条目的类型为认证安全控制模块参数时,跳转到认证安全控制模块参数配置的流程,通过键盘或其他输入设备获取确定的认证安全控制模块参数配置对应的更新参数,利用该更新参数对认证安全控制模块进行配置,即将更新后的认证安全控制模块参数信息发送至认证安全控制模块以便其执行。
[0167]当待配置条目为读卡终端APP参数时,主要实现维护客户端软件的版本更新以及发布读卡终端APP软件。当读卡终端APP需要更新时,管理员或者运行员可以通过内管服务器配置读卡终端APP参数,例如,将读卡终端APP的版本号进行更新,以便客户端检测到新版本后进行软件的自动更新。此外,当需要进行版本更新时,内管服务器还存储有更新的读卡终端APP软件,以方便客户进行下载更新。
[0168]当待配置条目为黑名单策略时,主要实现的是对黑名单策略进行配置,为系统判断读卡终端是否异常行为提供依据。黑名单策略可以是为读卡终端的异常行为设定门槛,超过预设门槛的读卡终端被判断为发生了异常行为,可以将其纳入黑名单中;同时还可以设定从黑名单中释放的策略,例如设置异常行为消除的判断基准,当判断出异常行为消除时,则可以将其从黑名单中释放出来。当然,可以根据实际需求从其他方面设置不同的黑名单策略。具体来说,内管服务器接收参数配置指令,根据参数配置指令确定待配置条目,判断待配置条目的类型为内名单策略时,跳转到黑名单策略配置的流程,通过键盘或其他输入设备获取确定的黑名单策略对应的更新参数,利用该更新参数对黑名单策略进行配置。
[0169]当待配置条目为频度管控策略时,主要实现的是设置读卡终端的访问时间间隔,为调度系统进行频度管控提供依据。由于读卡终端频繁的访问会造成后台系统的崩溃,因此需要对读卡终端的访问时间间隔进行合理的设置,一旦读卡终端的访问时间间隔小于预设的合法访问时间间隔时,可以将该读卡终端的行为判断为异常行为。具体来说,内管服务器接收参数配置指令,根据参数配置指令确定待配置条目,判断待配置条目的类型为频度管控策略时,跳转到频度管控策略配置的流程,通过键盘或其他输入设备获取确定的频度管控策略配置对应的更新参数,利用该更新参数对频度管控策略进行配置。例如,当确定
0.1s为最低的访问频率时,低于0.1s间隔的访问将被视为异常行为,则可以通过键盘或者其他输入设备输入参数0.1s,以配置频度管控策略,当然,还可以从频度管控的开启时间、级别等其他方面对频度管控策略进行设置。
[0170]实施例4
[0171]本实施例提供了一种身份证读取方法,如图6所示,该方法包括步骤S201?S212:
[0172]S201:读卡终端通过互联网接入区向调度服务器发送接入请求,接入请求中携带有读卡中的标识信息;
[0173]其中,读卡终端的标识信息包括:读卡终端的数字证书。
[0174]S202:调度服务器接收到接入请求后,从接入请求中获取读卡终端的标识信息,根据标识信息判断是否允许读卡终端读取身份证,如果允许,则执行步骤S203,否则,向读卡终端返回不允许接入的反馈信息;
[0175]其中,调度服务器判断是否允许读卡终端读取身份证包括:
[0176]判断读卡终端的数字证书是否异常,如果是,则确定不允许读卡终端读取身份证,否则判断读卡终端的数字证书是否在黑名单或管控名单中,其中,黑名单中记录了不允许接入的读卡终端的数字证书,管控名单中记录了需要按照预设的管控策略对其接入进行控制的读卡终端的数字证书;
[0177]在判断读卡终端的数字证书在黑名单中的情况下,不允许读卡终端读取身份证,拒绝读卡终端的请求;
[0178]在判断读卡终端的数字证书在管控名单中的情况下,按照预设的管控策略判断是否允许读卡终端读取身份证。
[0179]S203:在确定允许读卡终端读取身份证的情况下,调度服务器查询端口状态列表,按照工作任务均衡的原则,选择一个空闲的认证安全控制模块对应的端口作为读卡终端的访问端口 ;
[0180]S204:调度服务器将选择的认证安全控制模块的端口号发送给读卡终端;
[0181]S205:读卡终端通过互联网接入区和隔离区向该端口号指向的认证安全控制模块发送寻卡请求;
[0182]S206:该端口号指向的认证安全控制模块接收到读卡终端发送的寻卡请求,将寻卡请求发送给与该端口号指向的认证安全控制模块对应的验证安全控制模块;
[0183]在本步骤中,认证安全控制模块接收到寻卡请求为密文时,可以利用读卡终端的认证密钥对该密文解密,将寻卡请求的明文发送给验证安全控制模块。
[0184]S207:该对应的验证安全控制模块接收寻卡请求,对寻卡请求进行确认,将确认结果信息发送给选择的认证安全控制模块;
[0185]S208:该端口号指向的认证安全控制模块获取会话密钥,使用会话密钥对确认结果信息进行加密,将加密的确认结果信息发送给读卡终端;
[0186]其中,该会话密钥可以由认证安全控制模块与读卡终端协商获取,或者,由一方生成,并将会话密钥加密后发送至对方。
[0187]S209:读卡终端通过互联网接入区和隔离区向该端口号指向的认证安全控制模块发送第一数据包;
[0188]其中,读卡终端接收到加密的确认结果后可以先对加密的会话密钥解密获取会话密钥,再利用会话密钥对加密的确认结果解密得到确认结果。
[0189]其中,第一数据包包括:读卡终端对读取到的身份证原始密文信息进行加密得到的身份证密文;
[0190]S210:该端口号指向的认证安全控制模块接收读卡终端发送的第一数据包,使用会话密钥对第一数据包进行解密,得到身份证原始密文信息,将身份证原始密文信息发送给对应的验证安全模块;
[0191]S211:对应的验证安全模块对身份证原始密文信息进行解密,得到身份证明文信息,将身份证明文信息返回给该端口号指向的认证安全控制模块;
[0192]S212:该端口号指向的认证安全控制模块使用会话密钥对身份证明文信息进行加密,将第二数据包发送给读卡终端,其中,第二数据包包括:加密的身份证明文信息;
[0193]S212:读卡终端接收到第二数据包,并使用会话密钥对第二数据包解密得到身份证明文信息。
[0194]上述流程均在互联网接入区以及业务区边界防火墙允许读卡终端的访问,且入侵检测设备和入侵防御设备没有检测到系统受到攻击时的情况下执行,读卡终端与验证安全控制模块之间的交互数据均通过互联网接入、核心区以及业务区的网络传输设备进行传输。
[0195]尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
【主权项】
1.一种身份证云认证系统,其特征在于,包括:互联网接入区、隔离区和业务区;其中, 所述互联网接入区至少包括:边界路由和边界防火墙;所述隔离区至少包括:核心交换机、 调度服务器;所述业务区至少包括:业务区防火墙、n个认证安全控制模块以及n个验证安全 控制模块,所述认证安全控制模块与所述验证安全控制模块一一对应,n为大于或等于1的 整数,其中:所述边界路由,用于接收读卡终端发送的数据包,所述数据包中至少包含访问IP地址 和访问端口;根据路径选择策略选择要发送的边界防火墙,将所述数据包发送至被选择的 边界防火墙;所述被选择的边界防火墙,用于接收所述数据包,根据所述访问IP地址和所述访问端 口映射出对应的目的IP地址和目的端口,并将所述数据包、所述目的IP地址和所述目的端 口发送至所述核心交换机;所述核心交换机,用于根据所述目的IP地址和所述目的端口将所述数据包发送至所述 调度服务器,或者根据所述目的IP地址和所述目的端口将所述数据包、所述目的IP地址和 所述目的端口发送至所述业务区的所述业务区防火墙;所述调度服务器,用于在接收到所述数据包的情况下,从所述业务区的认证数据库获 取所述调度服务器的管辖范围内的端口状态列表,每个端口对应一个认证安全控制模块; 并从所述端口状态列表中选择一个状态空闲的端口作为所述读卡终端的访问端口,并将所 述访问端口发送至所述读卡终端;所述业务区的所述业务区防火墙,用于在接收到所述数据包的情况下,根据预设的业 务区防火墙过滤策略,判断所述目的端口是否属于允许访问的端口,如果是,则将所述数据 包发送至第一认证安全模块,所述第一认证安全模块为所述目的端口和所述目的IP地址指 向的认证安全控制模块;所述第一认证安全控制模块,用于在接收到所述数据包后,对所述数据包解密,并将解 密后的数据包发送至第一验证安全控制模块,所述第一验证安全控制模块为与所述第一认 证安全控制模块连接的验证安全控制模块;所述第一验证安全控制模块,用于接收所述解密后的数据包,根据所述解密后的数据 包携带的数据内容向所述第一认证安全控制模块返回对应的第一数据包;所述第一认证安全控制模块,还用于接收所述第一验证安全控制模块返回的所述第一 数据包,并对所述第一数据包加密,将加密后的第一数据包发送至所述读卡终端。2.如权利要求1所述的系统,其特征在于:所述边界路由,还用于在根据路径选择策略选择要发送的边界防火墙,将所述数据包 发送至被选择的边界防火墙之前,根据预设的边界路由过滤策略,判断所述访问IP地址是 否允许通过所述边界路由,如果允许,则执行将所述数据包发送至所述被选择的边界防火 墙的操作。3.如权利要求1或2所述的系统,其特征在于:所述被选择的边界防火墙,还用于在根据所述访问IP地址和所述访问端口映射出对应 的目的IP地址和目的端口之前,根据预设的边界防火墙过滤策略,判断所述数据包是否包 括非法数据,如果不是,则执行根据所述访问IP地址和所述访问端口映射出对应的目的IP 地址和目的端口的操作。4.如权利要求1至3任一项所述的系统,其特征在于:所述核心交换机,用于根据所述目 的IP地址和所述目的端口将所述数据包发送至所述调度服务器,或者根据所述目的IP地址 和所述目的端口将所述数据包、所述目的IP地址和所述目的端口发送至所述业务区,包括:如果所述目的IP地址和所述目的端口为所述调度服务器的IP地址和端口,则将所述数 据包发送至所述调度服务器;如果所述目的IP地址和所述目的端口为所述业务区中的所述安全认证控制模块的IP 地址和端口,则将所述数据包、所述目的IP地址和所述目的端口发送至所述业务区的业务 区防火墙。5.如权利要求1至4任一项所述的系统,其特征在于:所述数据包至少还包括:所述读卡终端的标识信息以及所述读卡终端的数字证书;所述调度服务器,还用于根据所述读卡终端的标识信息判断是否允许所述读卡终端接 入,以及判断所述读卡终端的数字证书是否异常;在判断允许所述读卡终端接入以及所述 读卡终端的证书正常的情况下,执行从所述业务区的认证数据库获取所述调度服务器的管 辖范围内的端口状态列表的操作。6.如权利要求1至5任一项所述的系统,其特征在于:所述业务区还包括:认证数据库,用于存储所述端口状态列表,以及所述读卡终端的认 证密钥的密文,其中,所述读卡终端的认证密钥的密文为使用所述认证数据库的保护密钥 对所述读卡终端的认证密钥进行加密得到的;所述调度服务器,还用于根据所述读卡终端的标识信息,从所述认证数据库中获取所 述读卡终端的认证密钥的密文并发送至所述第一认证安全控制模块;所述第一认证安全控制模块,用于对所述数据包解密,包括:所述第一认证安全控制模块获取所述保护密钥,利用所述保护密钥对所述密文解密得 到所述读卡终端的认证密钥,并利用所述认证密钥对所述数据包解密;所述第一验证安全控制模块,用于根据所述解密后的数据包携带的数据内容向所述第 一认证安全控制模块返回对应的第一数据包,包括:所述数据内容为身份证寻卡数据的情况下,所述第一验证安全控制模块向所述第一认 证安全控制模块返回所述第一数据包,所述第一数据包至少包括:寻卡响应数据;所述数据内容为身份证选卡数据的情况下,所述第一验证安全控制模块向所述第一认 证安全控制模块返回所述第一数据包,所述第一数据包至少包括:与所述读卡终端读取的 身份证进行认证的相关数据;所述数据内容为身份证信息密文的情况下,所述第一验证安全控制模块对所述身份证 信息密文解密得到身份证信息明文,向所述第一认证安全控制模块返回所述第一数据包, 所述第一数据包至少包括:所述身份证信息明文。7.如权利要求1至6任一项所述的系统,其特征在于:所述互联网接入区还包括:与所述 边界路由连接的流量清洗设备,用于监测流经所述边界路由的业务流量,如果根据所述流 经所述边界路由的业务流量检测到所述边界路由受到分布式拒绝服务攻击,则对所述流经 所述边界路由的业务流量进行流量清洗。8.如权利要求1至7任一项所述的系统,其特征在于:所述调度服务器包括多个;所述隔 离区还包括:连接在所述核心交换机与所述多个调度服务器之间的负载均衡器,用于在所述核心交换机将所述数据包发送至所述多个调度服务器的情况下,根据均衡策略将所述数 据包分配给所述多个调度服务器中的一个。9.如权利要求1至8任一项所述的系统,其特征在于:所述隔离区还包括:与所述核心交 换机连接的入侵检测设备,用于监测流经所述核心交换机的业务流量,根据用户的历史行 为模型、预存的专家知识以及神经网络模型对流经所述核心交换机的业务流量进行匹配, 一旦匹配成功,则判断有入侵行为。10.如权利要求1至9任一项所述的系统,其特征在于:所述隔离区还包括:与所述核心 交换机连接的入侵防御设备,用于监测所述核心交换机接收到的数据包,判断所述核心交 换机接收到的数据包是否为非法数据,如果是,则将所述核心交换机接收到的数据包丢弃。11.如权利要求1至10任一项所述的系统,其特征在于:所述隔离区还包括:内管服务 器,用于接收用户对所述系统的配置。12.—种读卡系统,其特征在于:所述系统包括:如权利要求1至11任一项所述的身份证 云认证系统以及读卡终端,其中:所述读卡终端,用于在所述业务区的验证安全控制模块读取身份证信息的流程中,从 身份证中读取与身份证信息相关的数据,并生成所述数据包发送至所述边界路由;还用于 接收所述认证安全控制模块返回的所述加密的第一数据包,并对所述加密的第一数据包解 密获得解密后的所述第一数据包。
【文档编号】G06K7/00GK106027466SQ201610041108
【公开日】2016年10月12日
【申请日】2016年1月21日
【发明人】李明
【申请人】李明