專利名稱:一種網絡安全方法、及客戶端服務器的制作方法
技術領域:
本發明屬于計算機技術領域,尤其涉及一種網絡安全方法、客戶端及服務器。
背景技術:
隨著信息化、電子化進程的發展,信息安全越來越成為企業、事業單位日常運作的核心決策發展的依據。內網是指內部辦公網,包含了企業及事業單位大量重要信息數據。據有關資料顯示,現代企業的機密資料及信息泄露主要來源于企 業內部,其中多半來源于內部電子文檔的流失,一些機密文件、電子文檔可輕易通過電子郵件、黑客或木馬以及人為有意或無意的操作傳播到企業外部,考慮到企業信息數據的安全性,因此,防止用戶在使用網絡過程中,信息通過網絡外泄是亟待解決的問題。
發明內容
本發明實施例的目的在于提供一種網絡安全方法,旨在解決用戶在使用網絡過程中,信息通過網絡外泄的問題。本發明實施例是這樣實現的,一種網絡安全方法,其特征在于,所述方法包括下述步驟當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證;在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對所述請求消息及所述用戶的數字證書加密處理;發送已加密的請求消息及所述用戶的數字證書到服務器進行校驗;當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。本發明實施例還提供了一種網絡安全方法,所述方法包括下述步驟接收客戶端發送的認證信息;根據所述認證信息對客戶端進行安全認證;在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書;解密所述網絡訪問請求消息和數字證書,對所述數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。本發明實施例還提供了一種客戶端,所述客戶端包括第一發送單元,用于當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證;加密單元,用于在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對所述請求消息及所述用戶的數字證書加密處理;第二發送單元,用于發送已加密的請求消息及所述用戶的數字證書到服務器進行校驗;獲取單元,用于當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。
本發明實施例還提供了一種服務器,所述服務器包括第一接收單元,用于接收客戶端發送的認證信息;認證單元,用于根據所述認證信息對客戶端進行安全認證;第二接收單元,用于在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書;下發單元,用于解密所述網絡訪問請求消息和數字證書,對所述數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。本發明實施例當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證,在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對請求消息及用戶的數字證書加密處理,發送已加密的請求消息及用戶的數字證書到服務器進行校驗,當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。實現可以有效防止用戶在使用網絡的過程中,信息通過網絡信息外漏。
圖I是本發明實施例一提出的網絡安全方法的實現的流程圖;圖2是本發明實施例二提出的網絡安全方法的實現的流程圖;圖3是本發明實施例三提出的網絡安全方法的實現的流程圖;圖4是本發明實施例四提供的客戶端的結構5是本發明實施例五提供的客戶端的結構圖;
圖6是本發明實施例六提供的服務器的結構圖。
具體實施例方式為了使本發明的目的、技術方案及優點更加清楚明白,以下結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本發明,并不用于限定本發明。本發明實施例當檢測到用戶接入網絡的請求消息時,對其身份進行安全認證,認證成功后,當檢測到用戶發送的網絡訪問請求消息,通過加密的請求消息及用戶的數字證書再次進行校驗,當接收校驗通過時,則獲取該請求消息對應的請求資源。本發明實施例提供了一種網絡安全方法,其特征在于,所述方法包括下述步驟當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證;在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對所述請求消息及所述用戶的數字證書加密處理;發送已加密的請求消息及所述用戶的數字證書到服務器進行校驗;當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。本發明實施例還提供了一種網絡安全方法,所述方法包括下述步驟接收客戶端發送的認證信息;根據所述認證信息對客戶端進行安全認證;在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書;解密所述網絡訪問請求消息和數字證書,對所述數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。本發明實施例還提供了一種客戶端,所述客戶端包括第一發送單元,用于當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證;加密單元,用于在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡 訪問請求消息,對所述請求消息及所述用戶的數字證書加密處理;第二發送單元,用于發送已加密的請求消息及所述用戶的數字證書到服務器進行校驗;獲取單元,用于當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。本發明實施例還提供了一種服務器,所述服務器包括第一接收單元,用于接收客戶端發送的認證信息;認證單元,用于根據所述認證信息對客戶端進行安全認證;第二接收單元,用于在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書;下發單元,用于解密所述網絡訪問請求消息和數字證書,對所述數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。以下結合具體實施例對本發明的實現進行詳細描述實施例一圖I示出了本發明實施例一提出的網絡安全方法的實現的流程圖,詳述如下在步驟SlOl中,當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證。在步驟S102中,在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對請求消息及用戶的數字證書加密處理。在本發明實施例中,數字證書為用戶唯一的身份標識。在本發明實施例中,通過服務器對身份進行的安全認證的用戶可以進入網絡系統訪問網絡資源。在步驟S103中,發送已加密的請求消息及用戶的數字證書到服務器進行校驗。在本發明實施例中,通過對請求消息及用戶的數字證書進行加密,進一步提高系統的安全性。在步驟S104中,當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。在本發明實施例中,當用戶第一次進入網絡時,認證信息為用戶身份信息,認證成功信息為數字證書,且當接收到數字證書時,在本地存儲數字證書。具體為當判斷用戶是第一次請求接入網絡時,則可以向用戶輸出身份信息填寫界面框,提示用戶輸入身份信息,用戶輸入身份信息并提交給服務器驗證,并等待服務器返回驗證結果信息。服務器接受到用戶的請求驗證信息,根據接收到的用戶身份信息檢測用戶信息是否可信,如果是可信信息,服務器通過該用戶的認證請求,為用戶頒發唯一身份標識的數字證書并在服務器端保存該證書。服務器將該數字證書頒發給客戶端,客戶端接收到服務器的驗證成功的信息后,保存數字證書到硬盤,輸出允許用戶接入網絡的信息。如果不是可靠的信息,則服務器拒絕用戶的認證請求,返回驗證失敗信息。客戶端收到該驗證失敗信息后,輸出禁止用戶接入網絡的提示信息。當用戶非第一次進入網絡時,認證信息具體為本地已存儲的包含用戶身份信息的數字證書,認證成功信息為校驗證書。具體為當判斷上述用戶是非第一次請求接入網絡時,則將本地存儲的數字證書發送給服務器,等待服務器驗證信息返回。服務器收到用戶的唯一身份標識的數字證書后,會將該數字證書和服務器端保存的發放給該用戶的數字證書做比對,如果兩者一致,服務器會向客戶端返回校驗證書,表示該用戶通過服務器驗證;如果數字證書不一致,則服務器返回表示驗證錯誤的信息給客戶端。 在本發明實施例中,根據用戶訪問網絡的情況,對用戶身份實施相應的驗證,驗證通過才可以接入網絡,提高了用戶訪問網絡的權限,可以防止網絡信息外漏。本發明實施例當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證,在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對請求消息及用戶的數字證書加密處理,發送已加密的請求消息及用戶的數字證書到服務器進行校驗,當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。實現可以有效防止用戶在使用網絡的過程中,信息通過網絡信息外漏。實施例二圖2示出了本發明實施例二提出的網絡安全方法的實現的流程圖,詳述如下在步驟S201中,當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證。在步驟S202中,在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,解析網絡訪問請求消息,獲取訪問的目標IP地址。在步驟S203中,判斷目標IP地址與預設IP地址是否一致,當目標IP地址與預設IP 一致時,執行步驟S205,當目標IP地址與預設IP不一致時,執行步驟S204。在步驟S204中,丟棄用戶的訪問請求。在步驟S205中,對網絡訪問請求消息及用戶的數字證書加密處理。在步驟S206中,發送已加密的請求消息及用戶的數字證書到服務器進行校驗。在步驟S207中,當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。在本發明實施例中,用戶獲得網絡訪問權限時,發送訪問請求到服務器,在請求被發送之前,對用戶的接入網絡的請求消息進行解析,當上述目標IP地址與預設IP不一致時,丟棄上述用戶訪問請求,禁止用戶訪問網絡資源。當上述目標IP地址與預設IP —致時,則在訪問請求中附上標識用戶身份的數字證書,然后用哈希算法對該請求加密后發送到服務器。需要說明的是,數據傳輸加密算法不局限于哈希算法,其他加密算法如非對稱加密算法等均可。服務器接收到用戶的訪問請求,將該請求用哈希算法解密,從解密后的請求內容中提取用戶的數字證書,與服務器端備份的該用戶的數字證書進行比對,如果一致,則返回請求成功的響應信息以及用戶請求的資源,該響應信息以及請求的資源均經過加密后傳輸給用戶。如果不一致,則服務器拒絕用戶的訪問請求,返回給用戶經過加密的無法獲取請求資源的提示信息。用戶接收到服務器的響應信息后,解密接收到的響應信息,并對響應信息進行解析。若服務器拒絕用戶的請求,則用戶無法獲得請求的資源。若用戶通過服務器的驗證,則可獲得請求的資源。在本發明實施例中,在用戶獲取請求資源的過程中,對用戶請求訪問的網絡地址進行監測,并在傳 輸過程中的數據進行加密,有效防止數據在傳輸過程中的泄露。實施例三圖3示出了本發明實施例三提出的網絡安全方法的實現的流程圖,詳述如下在步驟S301中,接收客戶端發送的認證信息。在步驟S302中,根據認證信息對客戶端進行安全認證。在本發明實施例中,步驟S302具體為a、當接收到客戶端發送的數字證書時,則對比本地用戶已存儲的數字證書與服務器端存儲的與上述用戶相應的數字證書是否一致,否則返回認證未通過的認證結果信息至客戶端,是則返回認證成功的校驗證書信息至客戶端;b、當接收到用戶身份信息時,則檢測用戶是否是可信用戶,否則返回認證失敗信息至客戶端,是則返回認證成功的數字證書至客戶端。在步驟S303中,在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書。在步驟S304中,解密網絡訪問請求消息和數字證書,對數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。本發明實施例接收客戶端發送的認證信息,根據認證信息對客戶端進行安全認證,在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書,解密網絡訪問請求消息和數字證書,對數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。實現可以有效防止用戶在使用網絡的過程中,信息通過網絡信息外漏。實施例四圖4示出了本發明實施例四提供的客戶端的結構圖,為了便于說明,僅示出了與本發明實施例相關的部分。在本發明實施例中,客戶端包括第一發送單元41、加密單元42和第二發送單元43及獲取單元44。當檢測到用戶接入網絡的請求消息時,第一發送單元41發送認證信息到服務器進行安全認證。在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,加密單元42對請求消息及用戶的數字證書加密處理。第二發送單元43發送已加密的請求消息及用戶的數字證書到服務器進行校驗。當接收到服務器發送的校驗通過信息時,獲取單元44則獲取該請求消息對應的請求資源。在本發明實施例中,當用戶第一次進入網絡時,認證信息為用戶身份信息,認證成功信息為數字證書,且當接收到數字證書時,在本地可以通過存儲單元存儲數字證書。在本發明實施例中,當用戶非第一次進入網絡時,認證信息具體為本地已存儲的包含用戶身份信息的數字證書,認證成功信息為校驗證書。
本發明實施例當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證,在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對請求消息及用戶的數字證書加密處理,發送已加密的請求消息及用戶的數字證書到服務器進行校驗,當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。實現可以有效防止用戶在使用網絡的過程中,信息通過網絡信息外漏。實施例五
圖5示出了本發明實施例五提供的客戶端的結構圖,為了便于說明,僅示出了與本發明實施例相關的部分。在本發明實施例中,客戶端包括第一發送單元51、解析單元52、判斷單元53、加密單元54和第二發送單元55及獲取單元56。本發明實施例與實施例四的區別在于還包括解析單元52及判斷單元53。解析單元52解析網絡訪問請求消息,獲取訪問的目標IP地址;判斷單元53判斷目標IP地址與預設IP地址是否一致,當目標IP地址與預設IP一致時,啟動加密單元54 ;以及當判斷目標IP地址與預設IP地址不一致時,丟棄用戶的訪問請求。在本發明實施例中,在用戶獲取請求資源的過程中,對用戶請求訪問的網絡地址進行監測,并在傳輸過程中的數據進行加密,有效防止數據在傳輸過程中的泄露。實施例六圖6示出了本發明實施例六提供的服務器的結構圖,為了便于說明,僅示出了與本發明實施例相關的部分。服務器包括第一接收單元61、認證單元62、第二接收單元63及下發單元64。第一接收單元61接收客戶端發送的認證信息;認證單元62根據認證信息對客戶端進行安全認證;第二接收單元63在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書;下發單元64解密網絡訪問請求消息和數字證書,對數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。認證單元62具體包括第一認證模塊621和第二認證模塊622。第一認證模塊621當接收到客戶端發送的數字證書時,則判斷接收的數字證書與服務器端頒發給用戶的數字證書是否一致,是則返回認證成功的校驗證書至客戶端。第二認證模塊622當接收到客戶端發送的用戶身份信息時,則檢測用戶是否是可信用戶,是則頒發認證成功的數字證書信息至客戶端。綜上,本發明實施例的有益效果在于I、當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證,在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對請求消息及用戶的數字證書加密處理,發送已加密的請求消息及用戶的數字證書到服務器進行校驗,當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。實現可以有效防止用戶在使用網絡的過程中,信息通過網絡信息外漏。2、在用戶獲取請求資源的過程中,對用戶請求訪問的網絡地址進行監測,并在傳輸過程中的數據進行加密,有效防止數據在傳輸過程中的泄露。3、通過在用戶獲取請求資源的過程中,對用戶請求訪問的網絡地址進行監測,并在傳輸過程中的數據進行加密,有效防止數據在傳輸過程中的泄露。值得注意的是,上述實施例中,所包括的各個單元只是按照功能邏輯進行劃分的,但并不局限于上述的劃分,只要能夠實現相應的功能即可;另外,各功能單元的具體名稱也 只是為了便于相互區分,并不用于限制本發明的保護范圍。另外,本領域普通技術人員可以理解實現上述各實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成,相應的程序可以存儲于一計算機可讀取存儲介質中,所述的存儲介質,如R0M/RAM、磁盤或光盤等。以上所述僅為本發明的較佳實施例而已,并不用以限制本發明,凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發明的保護范圍之內。
權利要求
1.一種網絡安全方法,其特征在于,所述方法包括下述步驟 當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證; 在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對所述請求消息及所述用戶的數字證書加密處理; 發送已加密的請求消息及所述用戶的數字證書到服務器進行校驗; 當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。
2.如權利要求I所述的方法,其特征在于,所述認證信息具體為 當用戶第一次進入網絡時,所述認證信息為用戶身份信息,所述認證成功信息為數字證書,所述方法還包括下述步驟 存儲所述數字證書; 當用戶非第一次進入網絡時,所述認證信息具體為本地已存儲的包含用戶身份信息的數字證書,所述認證成功信息為校驗證書。
3.如權利要求I或2所述的方法,其特征在于,所述檢測到用戶發送的網絡訪問請求消息的步驟之后,所述方法還包括下述步驟 解析所述網絡訪問請求消息,獲取訪問的目標IP地址; 判斷所述目標IP地址與預設IP地址是否一致,當所述目標IP地址與預設IP —致時,執行對所述請求消息及所述用戶的數字證書加密處理的步驟; 當判斷所述目標IP地址與預設IP地址不一致時,丟棄用戶的訪問請求。
4.一種網絡安全方法,其特征在于,所述方法包括下述步驟 接收客戶端發送的認證信息; 根據所述認證信息對客戶端進行安全認證; 在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書; 解密所述網絡訪問請求消息和數字證書,對所述數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。
5.如權利要求4所述的方法,其特征在于,所述根據所述認證信息對客戶端進行安全認證的步驟具體為 當接收到客戶端發送的數字證書時,則判斷所述接收的數字證書與服務器端頒發給用戶的數字證書是否一致,是則返回認證成功的校驗證書至客戶端; 當接收到客戶端發送的用戶身份信息時,則檢測用戶是否是可信用戶,是則頒發認證成功的數字證書信息至客戶端。
6.一種客戶端,其特征在于,所述客戶端包括 第一發送單元,用于當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證; 加密單元,用于在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對所述請求消息及所述用戶的數字證書加密處理; 第二發送單元,用于發送已加密的請求消息及所述用戶的數字證書到服務器進行校驗; 獲取單元,用于當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。
7.如權利要求I所述的客戶端,其特征在于,所述認證信息具體為 當用戶第一次進入網絡時,所述認證信息為用戶身份信息,所述認證成功信息為數字證書,所述客戶端還包括 存儲單元,用于存儲所述數字證書; 當用戶非第一次進入網絡時,所述認證信息具體為本地已存儲的包含用戶身份信息的數字證書,所述認證成功信息為校驗證書。
8.如權利要求6或7所述的客戶端,其特征在于,所述客戶端還包括解析單元,用于解析所述網絡訪問請求消息,獲取訪問的目標IP地址; 判斷單元,用于判斷所述目標IP地址與預設IP地址是否一致,當所述目標IP地址與預設IP —致時,啟動加密單元;以及當判斷所述目標IP地址與預設IP地址不一致時,丟棄用戶的訪問請求。
9.一種服務器,其特征在于,所述服務器包括 第一接收單元,用于接收客戶端發送的認證信息; 認證單元,用于根據所述認證信息對客戶端進行安全認證; 第二接收單元,用于在認證成功后,接收客戶端發送的網絡訪問請求消息和數字證書; 下發單元,用于解密所述網絡訪問請求消息和數字證書,對所述數字證書進行校驗,在校驗成功后,向客戶端下發該請求消息對應的請求資源。
10.如權利要求9所述的服務器,其特征在于,所述認證單元具體包括 第一認證模塊,用于當接收到客戶端發送的數字證書時,則判斷所述接收的數字證書與服務器端頒發給用戶的數字證書是否一致,是則返回認證成功的校驗證書至客戶端;第二認證模塊,用于當接收到客戶端發送的用戶身份信息時,則檢測用戶是否是可信用戶,是則頒發認證成功的數字證書信息至客戶端。
全文摘要
本發明適用于計算機技術領域,提供了一種網絡安全方法、客戶端及服務器,所述方法包括下述步驟當檢測到用戶接入網絡的請求消息時,發送認證信息到服務器進行安全認證,在接收服務器發送的認證成功信息后,且檢測到用戶發送的網絡訪問請求消息,對請求消息及用戶的數字證書加密處理,發送已加密的請求消息及用戶的數字證書到服務器進行校驗,當接收到服務器發送的校驗通過信息時,則獲取該請求消息對應的請求資源。實現可以有效防止用戶在使用網絡的過程中,信息通過網絡信息外漏。
文檔編號H04L9/32GK102984115SQ20111025833
公開日2013年3月20日 申請日期2011年9月2日 優先權日2011年9月2日
發明者劉金萍, 劉欣房, 賈兵, 宋靖, 林詩達, 王淼 申請人:中國長城計算機深圳股份有限公司