本发明涉及大数据信息安全领域,具体为一种基于大数据的教学系统信息安全管理系统及访问方法。
背景技术:
教学系统是教育系统的子系统,是指为了实现某种教学目的、由各教学要素有机结合而成的具有一定教学功能的整体,随着科学技术和全球信息化的发展,教学系统种类越来越多,同时其包含信息量也越来越大,而教学信息的大数据环境,是在计算机网络和各种终端成熟发展下的教学信息的集成化体现,同时涉及到教学系统的不同技术和不同领域,在信息网络建设的时候一般对安全性作出了较为充分的考虑,但是传统的网络安全主要时边界防护、病毒防护、系统维护以及简单的身份认证措施,随着教学系统的信息量逐渐增加,分散在各个内网主机和服务器上的有价值信息越来越多,内网的信息安全成为网络安全和建设的要务之一,计算机终端是信息化计算机网络主要的组成部分,也是用户操作和数据使用的主要环境,对于内部信息来说,其安全威胁的起源也主要集中在计算机终端中。
技术实现要素:
为了克服现有技术方案的不足,本发明提供一种基于大数据的教学系统信息安全管理系统及访问方法,能有效的解决背景技术提出的问题。
本发明解决其技术问题所采用的技术方案是:
一种基于大数据的教学系统信息安全管理系统,包括依附于管理终端的访问监控终端、用于计算机终端的系统认证模块,以及位于系统终端的大数据采集模块,其中访问监控终端通过子网切换装置进行保密网络的划分,系统将数据访问信息传输至主体服务器时,主体服务器同时提供集群代理模块访问本地集群服务器,并在访问前通过vcn网关进行关系信任,同时访问信息和主体服务器将通过大数据采集模块进行数据采集,同时转存至本地集群服务器中,系统的主体信息和访问信息将通过大数据采集模块同步转存至云端服务器,在访问监控终端和主体服务器访问的路径上设置控制台和认证服务器,通过认证服务器提供系统认证模块的数据基础和执行手段。
进一步地,该系统认证模块通过usbkey硬件来确认用户身份,并在次从认证服务器的数据读取基础上实现认证和授权,系统认证模块将接入网络的计算机终端分成已认证区域和未认证区域,未认证区域将转至认证服务器中的临时注册授权模块。
进一步地,在访问监控终端包括实时监控、外设监控、应用监控和网络监控,同时访问监控终端通过对客户端状态的检测利用离线状态和在线状态进行管理。
进一步地,在子网切换状装置将已认证区域和未认证区域的计算机终端访问信息,以及未认证区域转向临时注册授权模块划分在不同的保密子网内部。
进一步地,大数据采集模块将临时注册授权模块的计算机终端的短时间访问信息和访问类型实行统计,并通过云端服务器的分析,给予短时间免系统认证模块的请求认证,但必须通过vcn网关的认证信息获取服务器访问权限。
进一步地,同时大数据采集模块会将在已认证区域的计算机终端上使用移动存储设备的使用的详细信息进行自动记录,并生成日志文件保存在云端服务器中,同时禁止未认证区域的计算机终端、以及临时注册授权模块授权的计算机终端用户的移动存储设备访问。
进一步地,该系统基于可信任第三方的网络安全平台,并由该平台提供系统数据和用户密钥,用户密钥通过gid信息作为身份区分,在管理终端和部分授权计算机终端对云端服务器访问过程中,用户密钥能由第三方网络安全平台产生相应的属性函数,且任意生成,并通过加密和解密的形式获取最后明文。
另外本发明还设计了一种基于大数据的教学系统信息安全管理系统的访问方法,其特征在于:包括如下步骤:
s001、在计算机终端插入用户usbkey硬件,并键入正确的usbkey附带pin码;
s002、计算机终端的代理发起认证请求,并通过系统认证模块向认证服务器发送硬件的证书信息;
s003、认证服务器验证用户发送的认证信息,并通过交互确认身份信息和认证服务器数据的一致性;
s004、认证服务器通过认证,用户获得合法的访问授权,登录计算机终端,访问相关网络资源。
s005、当计算机终端访问网络资源时,必须通过vcn网关实现对服务器的访问授权。
与现有技术相比,本发明的有益效果是:
(1)本发明的双重认证措施实现统一计算机终端的用户认证,以及移动终端设备的访问控制,通过usbkey硬件来确定内置计算机终端身份和访问授权,并且在授权网络中划分“虚拟安全域”即已认证区域和未认证区域的方式实现了信息中心的分域分级管理,所有的内网终端统化管理,隔离非认证终端,且提供了移动设备的管理权限。
(2)本发明的基于第三方可信任网络平台的技术支持,对内网计算机终端进行集中的资源和用户行为授权管理,并通过大数据采集模块的终端数据采集实现了详细的数据记录备份,便于通过管理终端进行查看,并通过划分云端服务器和本地服务器以及本地集群服务器的差异化访问,大数据采集模块和云端服务器的智能统计计算,提供服务终端访问的权限变化,并提供短时间的临时系统高层次认证,避免了无法提高访问等级情况下,无法访问更高级数据信息的情况,提高了信息管理的更高层次安全性,减少了内网的安全漏洞和信息泄露盗用的风险,提高了管理效率。
附图说明
图1为本发明的整体系统示意图;
图中标号:
1-管理终端;2-访问监控终端;3-计算机终端;4-系统认证模块;5-大数据采集模块;6-子网切换装置;7-主体服务器;8-集群代理模块;9-本地集群服务器;10-vcn网关;11-云端服务器;12-控制台;13-认证服务器;14-usbkey硬件;15-临时注册授权模块;16-已认证区域;17-未认证区域;18-移动终端设备;
201-实时监控;202-外设监控;203-应用监控;204-网络监控。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供了一种基于大数据的教学系统信息安全管理系统,包括依附于管理终端1的访问监控终端2、用于计算机终端3的系统认证模块4,以及位于系统终端的大数据采集模块5,其中访问监控终端2通过子网切换装置6进行保密网络的划分,系统将数据访问信息传输至主体服务器7时,主体服务器7同时提供集群代理模块8访问本地集群服务器9,并在访问前通过vcn网关11进行关系信任,同时访问信息和主体服务器7将通过大数据采集模块5进行数据采集,同时转存至本地集群服务器9中,系统的主体信息和访问信息将通过大数据采集模块5同步转存至云端服务器11,在访问监控终端2和主体服务器7访问的路径上设置控制台12和认证服务器13,通过认证服务器13提供系统认证模块4的数据基础和执行手段。
该系统认证模块4通过usbkey硬件14来确认用户身份,并在次从认证服务器13的数据读取基础上实现认证和授权,系统认证模块4将接入网络的计算机终端分成已认证区域16和未认证区域17,未认证区域17将转至认证服务器13中的临时注册授权模块15,已认证区域(16)的计算机终端3网络访问连接系统的方法,包括如下步骤:
s001、在计算机终端插入用户usbkey硬件,并键入正确的usbkey附带pin码;
s002、计算机终端的代理发起认证请求,并通过系统认证模块向认证服务器发送硬件的证书信息;
s003、认证服务器验证用户发送的认证信息,并通过交互确认身份信息和认证服务器数据的一致性;
s004、认证服务器通过认证,用户获得合法的访问授权,登录计算机终端,访问相关网络资源。
s005、当计算机终端访问网络资源时,必须通过vcn网关实现对服务器的访问授权。
如果计算机终端3的访问经过授权可以访问vcn网关后面的服务器将会获得相应的授权,并顺利通过vcn网关,否则将无法建立有效的网络连接,而通过内置的部分具有usbkey硬件支持,使得在内网的访问过程中实现不同形式的等级访问层次限制,且在具有usbkey硬件并输入正确附带pin码避免了内置认证的计算机终端3被盗用的风险。
在访问监控终端2包括实时监控201、外设监控202、应用监控203和网络监控204,同时访问监控终端2通过对客户端状态的检测利用离线状态和在线状态进行管理,在线状态是指客户端计算机在认证服务器和系统认证模块的实时管理网络中,能实时接受服务器的管理,比如接入单位内部网络的时候,这时候自动启用在线状态,离线状态则是指计算机终端不能接入服务器所在的网络的时候,基于这两种策略模式,管理终端可以根据计算机终端的不同环境设置不同的用户使用策略,实时监控201包括管理终端2对计算机终端3的网络连接状态,以及计算机数据访问记录和安装打开的程序进程记录,并由云端服务器(11)记录备份,在应用监控203中提供管理终端2中对计算机终端3对访问服务器上的文件操作记录,包括复制和创建,并对计算机终端的打印程序进行禁止允许操作。
在子网切换状装置6将已认证区域16和未认证区域17的计算机终端3访问信息,以及未认证区域17转向临时注册授权模块15划分在不同的保密子网内部,同一保密子网内部的计算机终端3可以实现相互自由的数据交换,不在同一保密子网内部的计算机终端3之间不能进行正常的数据交换。
大数据采集模块5将临时注册授权模块15的计算机终端3的短时间访问信息和访问类型实行统计,并通过云端服务器11的分析,给予短时间免系统认证模块4的请求认证,但必须通过vcn网关10的认证信息获取服务器访问权限,通过保密子网的划分,可以在保障网络统一维护的前提下,对信息实现有效的数据隔离,通过保密子网,还可以有效防止非法外连或者非法接入,非法外连不管是基于modem、adsl拨号或者双网卡,都能够有效防止;非法接入不管是通过交换机接入或者通过网线将两台计算机直连,也都能够有效防止,不同保密子网之间可以通过管理终端2设定信任关系,从而允许他们的计算机之间进行数据交换。
同时大数据采集模块5会将在已认证区域的计算机终端3上使用移动存储设备18的使用的详细信息进行自动记录,并生成日志文件保存在云端服务器11中,同时禁止未认证区域17的计算机终端3、以及临时注册授权模块15授权的计算机终端3用户的移动存储设备18访问。
该系统基于可信任第三方的网络安全平台19,并由该平台提供系统数据和用户密钥,用户密钥通过gid信息作为身份区分,在管理终端和部分授权计算机终端对云端服务器访问过程中,用户密钥能由第三方网络安全平台产生相应的属性函数,且任意生成,并通过加密和解密的形式获取最后明文,其中:属性的i私钥是授权方在zp中任意选取生成的,且计算该属性公钥为:
用户属性密钥确定函数:对于用户身份信息gid和目标属性i,用户属性密钥对应为:
加密函数:设定γ为访问控制由(m,p)代表,其对应协议为lsss。矩阵m中的行与属性通过函数p关联起来,设定l为代表m的行,n代表列数,首先任意选取一个向量v=(s,y2,…,yn),则密文的表达式为
式中,(pki)-s计算得出生成元
解密函数:控制结构γ的属性集合a满足条件构成集合i={i:ρ(i)∈a}={1,2,…,l}。对应lsss协议获得常量集合{wi|i∈i}使得
s=∑i∈iμiwi。
通过解密算法得出
m=c/e(g,g)αs
最后获得明文,在需要访问数据库时引入可信任机制与角色相结合的模型,实现了良好的访问控制,最大程度上保护了数据库的数据安全,完成数据库访问信息安全管理,提高了数据访问的安全性能,也解决了在访问数据库时造成的大量网络拥塞。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。