一种信创终端制造技术

本发明专利技术属于信创终端

【技术实现步骤摘要】
一种信创终端/服务器安全加固框架


[0001]本专利技术涉及信创终端
/
服务器安全加固软件开发的框架设计领域，具体是涉及一种信创终端
/
服务器安全加固框架
。

技术介绍

[0002][0003]目前，信创终端
/
服务器的系统级软硬件国产化替代正在全国范围内有序进行
。
信创终端
/
服务器往往集中存储着重要的数据信息，运行着关键业务软件，所以数据安全和稳定性是至关重要的
。
信创终端
/
服务器面临着
CPU
架构和操作系统多样化的问题，而信创终端
/
服务器本身也面临着非授权访问
、
远程提权攻击
、
使用非授权设备
/
软件进行摆渡攻击等安全问题
。
[0004]传统的包含登陆模块安全加固
、
网络访问控制
、
软件使用管理
、
外设使用授权等功能的终端权限控制类产品，绝大部分基于
X86
架构
+WINDOWS
操作系统配套开发
。
由于
WINDOS
与国产化操作系统的架构与系统是完全不同的两类产品，相关的管控类软件产品向信创终端移植等同于全新的开发
。
目前，国产化信创终端
/
服务器终端安全管控面临着没有可选方案的困境
。
[0005]本专利技术通过信创终端
/
服务器身份识别与校验模块
、
信创终端
/
服务器使用权识别与校验模块
、
信创终端
/
服务器办公场所识别与校验模块
、
信创终端
/
服务器外设识别与校验模块
、
信创终端
/
服务器软件识别与校验模块
、
信创终端
/
服务器网络管控模块的研发与迭加共用，通过技术手段实现了信创终端
/
服务器“专机
、
专地
、
专人
、
专网
、
专用”，降低信创终端
/
服务器遭受远程网络攻击
、
社交工程攻击
、
丢失被盗破解攻击
、
外设摆渡攻击等可能，阻绝非授权访问
、
远程提权攻击
、
使用非授权设备
/
软件进行摆渡攻击等危害信创终端
/
服务器安全的行为，加固接触与非接触条件下的信创终端
/
服务器安全
。

技术实现思路

[0006]为解决相关问题，本专利技术提供了一种终端安全加固的整体技术框架
。
[0007]本专利技术是通过以下技术方案来实现的：一种信创终端
/
服务器安全加固框架，是由信创终端
/
服务器身份识别与校验模块（1）
、
信创终端
/
服务器使用权识别与校验模块（2）
、
信创终端
/
服务器办公场所识别与校验模块（3）
、
信创终端
/
服务器外设识别与校验模块（4）
、
信创终端
/
服务器软件识别与校验模块（5）
、
信创终端
/
服务器网络管控模块（6）组成的，各模块可独立
、
组合
、
完全使用（7），如完全使用，可实现信创终端
/
服务器“专机
、
专地
、
专人
、
专网
、
专用”的效果，其特征在于：前述的信创终端
/
服务器身份识别与校验模块（1）通过基于标准
LINUX
的
PAM
登陆身份验证模块改造和基于信创终端
/
服务器的系统登陆模块进行适配性技术改造，实现了只能使用
UKEY
来登陆信创终端
/
服务器；前述的信创终端
/
服务器使用权识别与校验模块（2）通过用户与
UKEY
的绑定和终端使用权的管理与分发，实现了特定人（
UKEY
）才能登陆使用特定的信创终端
/
服务器；前述的信创终端
/
服务器办公场所识
别与校验模块（3）通过场所码的统一编制管理与校验，实现了信创终端
/
服务器系统及各应用只能在指定的场所开机使用；前述的信创终端
/
服务器外设识别与校验模块（4）通过连接到信创终端
/
服务器的外设信息采集与管理和使用权限的分发，实现了信创终端
/
服务器只能使用指定的外设；前述的信创终端
/
服务器软件识别与校验模块（5）通过拟使用于信创终端
/
服务器的软件
/
应用信息的采集与管理和使用权限的分发，实现了信创终端
/
服务器只能使用指定的软件；前述的信创终端
/
服务器网络管控模块（6）通过网络访问策略拟制
、
管理与分发，实现了信创终端只能访问特定网络，或者特定网址才能访问信创服务器
。
[0008]前述的信创终端
/
服务器身份识别与校验模块（1），其特征在于：所述的基于标准
LINUX
的
PAM
登陆身份验证模块改造，改造了基于标准
LINUX
终端与服务器的
PAM
认证模块，使之由原来的双要素，即由原来的账号
+
密码实现身份校验并登陆，转变为账号与
UKEY
绑定，并发展成为账号
、
密码
、UKEY、PIN
码四个要素来实现身份校验并登陆；所述的基于信创终端
/
服务器的系统登陆模块（1）进行适配性技术改造，将基于标准
LINUX
的
PAM
登陆身份验证模块改造的成果，迁移到信创终端
/
服务器，包括：基于
ARM64、MIPS64、LOONGARCH64
等
CPU
架构的国产化终端
/
服务器的操作系统，如麒麟或者统信
UOS
，使之同样实现能基于账号
、
密码
、UKEY、PIN
码四个要素来进行身份校验并登陆
。
[0009]前述的信创终端
/
服务器使用权识别与校验模块（2），其特征在于：所述的用户与
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种信创终端
/
服务器安全加固框架，是由信创终端
/
服务器身份识别与校验模块（1）
、
信创终端
/
服务器使用权识别与校验模块（2）
、
信创终端
/
服务器办公场所识别与校验模块（3）
、
信创终端
/
服务器外设识别与校验模块（4）
、
信创终端
/
服务器软件识别与校验模块（5）
、
信创终端
/
服务器网络管控模块（6）组成的，各模块可独立
、
组合
、
完全使用（7），如完全使用，可实现信创终端
/
服务器“专机
、
专地
、
专人
、
专网
、
专用”的效果，其特征在于：前述的信创终端
/
服务器身份识别与校验模块（1）通过基于标准
LINUX
的
PAM
登陆身份验证模块改造和基于信创终端
/
服务器的系统登陆模块进行适配性技术改造，实现了只能使用
UKEY
来登陆信创终端
/
服务器；前述的信创终端
/
服务器使用权识别与校验模块（2）通过用户与
UKEY
的绑定和终端使用权的管理与分发，实现了特定人（
UKEY
）才能登陆使用特定的信创终端
/
服务器；前述的信创终端
/
服务器办公场所识别与校验模块（3）通过场所码的统一编制管理与校验，实现了信创终端
/
服务器系统及各应用只能在指定的场所开机使用；前述的信创终端
/
服务器外设识别与校验模块（4）通过连接到信创终端
/
服务器的外设信息采集与管理和使用权限的分发，实现了信创终端
/
服务器只能使用指定的外设；前述的信创终端
/
服务器软件识别与校验模块（5）通过拟使用于信创终端
/
服务器的软件
/
应用信息的采集与管理和使用权限的分发，实现了信创终端
/
服务器只能使用指定的软件；前述的信创终端
/
服务器网络管控模块（6）通过网络访问策略拟制
、
管理与分发，实现了信创终端只能访问特定网络，或者特定网址才能访问信创服务器
。2.
如权利要求1所述的信创终端
/
服务器身份识别与校验模块（1），其特征在于：所述的基于标准
LINUX
的
PAM
登陆身份验证模块改造，改造了基于标准
LINUX
终端与服务器的
PAM
认证模块，使之由原来的双要素，即由原来的账号
+
密码实现身份校验并登陆，转变为账号与
UKEY
绑定，并发展成为账号
、
密码
、UKEY、PIN
码四个要素来实现身份校验并登陆；所述的基于信创终端
/
服务器的系统登陆模块（1）进行适配性技术改造，将基于标准
LINUX
的
PAM
登陆身份验证模块改造的成果，迁移到信创终端
/
服务器，包括：基于
ARM64、MIPS64、LOONGARCH64
等
CPU
架构的国产化终端
/
服务器的操作系统，如麒麟或者统信
UOS
，使之同样实现能基于账号
、
密码
、UKEY、PIN
码四个要素来进行身份校验并登陆
。3.
如权利要求1所述的信创终端
/
服务器使用权识别与校验模块（2），其特征在于：所述的用户与
UKEY
的绑定，是由组织采集
、
管理
、
汇总用户信息，并将用户信息通过系统或者工具烧录到
UKEY
中；所述的终端使用权的管理，是由组织通过系统或者工具，拟定特定信创终端
/
服务器可由特定的用户（即特定的
UKEY
）才有权登陆使用；所述的终端使用权的分发，是指终端使用权的管理者通过系统或者工具，将使用权策略信息传输到信创终端，终端在进行
PAM
认证的时候，会基于使用权进行检验，只有经过授权的
UKEY
才可能通过校验；通过使用权识别与校验模块，实现了只接受使用授权的
UKEY
登陆使用指定的信创终端
/
服务器；信创终端
/
服务器使用权识别与校验模块（2）适配于基于
ARM64、MIPS64、LOONGARCH64
等
CPU
架构的国产化终端
/
服务器的操作系统，如麒麟或者统信
UOS。4.
如权利要求1所述的信创终端
/
服务器场所识别与校验模块（3），其特征在于：所述的场所码的统一编制管理与校验，是由组织对场所（含办公与非办公场所）进行统一编码与信息管理保存，信创终端在登陆使用前进行场所码校验，只有校验通过才能正常登陆使用信创终端；流程包括统一编码
、
编码保存
、

【专利技术属性】
技术研发人员：胡溢轩，胡茂帮，朱章宇，林熙瑜，
申请(专利权)人：福州市必达网络科技有限公司，
类型：发明
国别省市：