CN101330494A - 一种基于可信认证网关实现计算机终端安全准入的方法 - Google Patents
一种基于可信认证网关实现计算机终端安全准入的方法 Download PDFInfo
- Publication number
- CN101330494A CN101330494A CNA2007100524986A CN200710052498A CN101330494A CN 101330494 A CN101330494 A CN 101330494A CN A2007100524986 A CNA2007100524986 A CN A2007100524986A CN 200710052498 A CN200710052498 A CN 200710052498A CN 101330494 A CN101330494 A CN 101330494A
- Authority
- CN
- China
- Prior art keywords
- terminal
- information
- identity
- authentication gateway
- authentic authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于可信认证网关实现计算机终端安全准入的方法,属于计算机安全技术领域。包括以下程序:1)计算机终端向网关发出接入请求;2)向网关注册计算机终端的基本身份信息;3)网关形成该计算机终端的活性标签;4)可信认证网关验证活性标签的身份和权限;5)可信认证网关判断是否合法;5.1)当活性标签的身份和权限非法,则阻止计算机终端接入;5.2)当活性标签的身份和权限合法,则准许计算机终端接入。本发明的效果在于:1.实现了计算机终端在网络上身份的唯一性、可鉴别性;2.避免了终端标识被非法篡改的可能,具有不可伪造性。
Description
技术领域
本发明涉及一种基于可信认证网关实现计算机终端安全准入的方法,属于计算机安全技术领域。
背景技术
计算机网络的发展,TCP/IP协议被Internet广泛使用,而使用TCP/IP协议的两通信平台之间采用MAC和IP标识终端不是可信的,因为MAC和IP是可以被随意更改的,即计算机终端在网络中身份可被伪造,因此,通信实体之间在通信时无法验证对方的真实身份,也就是不能验证对方是否可信。
发明内容
本发明的目的在于:克服现有技术的缺点,提供一种基于可信认证网关实现计算机终端安全准入的方法,实现计算机终端在网络上身份的唯一性、不可伪造性、可鉴别性。
本发明的技术方案是这样实现的:所述的一种基于可信认证网关实现计算机终端安全准入的方法,它包括以下程序:
1)、计算机终端向可信认证网关发出接入请求;
2)、计算机终端向可信认证网关注册计算机终端的基本身份信息:该基本身份信息由计算机终端的硬件特征信息和软件特征信息组成;
3)、可信认证网关形成该计算机终端的活性标签:是根据计算机终端提交的基本身份信息,利用可信认证网关的私钥对计算机终端的基本身份信息、网关时间戳信息和计算机终端的公钥信息进行签名处理,形成该计算机终端的活性标签;
4)、可信认证网关验证活性标签的身份和权限;
5)、可信认证网关判断是否合法:它是判断活性标签的身份和权限是否合法;
5.1)、当活性标签的身份和权限非法,则可信认证网关阻止计算机终端接入;
5.2)、当活性标签的身份和权限合法,则可信认证网关准许计算机终端接入。
在上述技术方案基础上具有附加技术特征的、更进一步技术方案有:
所述的计算机终端的硬件特征信息至少包括有下述两种:机器标识、网卡硬件编号、硬盘序列号及硬盘数据特征、光驱类型及序列号、USB信息、声卡信息、显卡信息;所述的计算机终端的软件特征信息包括计算机操作***信息及所安装的软件信息。
所述的计算机终端的基本身份信息还包含由可信认证网关或第三方CA中心根据该计算机的硬件特征信息和软件特征信息颁发的一组非对称密钥信息和标准的X509数字证书。
所述的一组非对称密钥信息,包括计算机私钥信息和公钥信息,其中私钥信息作为数字签名使用,不对外公开;公钥信息作为验证身份信息使用,对外公开。
所述的标准的X509数字证书,包括计算机身份信息和计算机公钥信息,该标准的X509数字证书对外公开。
所述的对计算机终端的公钥信息进行签名处理是:该计算机终端与网络中的其他计算机或可信认证网关通信时,对本计算机终端发送出去的数据包用本机的私钥进行签名处理;所述的对网关时间戳信息进行签名处理是:可信认证网关将网关的时间信息、计算机终端身份信息进行签名处理,保证计算机终端在网络中身份的不可伪造性。
所述的计算机终端向可信认证网关发出接入请求,是计算机终端申请接入和访问网络同时向网络边界的可信认证网关提交标识自身身份的计算机终端活性标签。
本发明的效果在于:1、实现了计算机终端在网络上身份的唯一性、可鉴别性;2、利用安全协议的技术方案解决了通信双方身份认证的问题,改变了传统的基于IP与MAC标识一台终端的方法(IP与MAC可被随意更改),从而避免了终端标识被非法篡改的可能,具有不可伪造性。
附图说明
图1为本发明方法的程序示意图。
具体实施方式
结合附图和实施例对本发明作进一步说明如下:
如图1所示,所述的一种基于可信认证网关实现计算机终端安全准入的方法,其程序为:1)、计算机终端向可信认证网关发出接入请求;2)、计算机终端向可信认证网关注册计算机终端的基本身份信息,该基本身份信息由计算机终端的硬件特征信息和软件特征信息组成;所述的计算机终端的硬件特征信息是机器标识、网卡硬件编号、硬盘序列号及硬盘数据特征、光驱类型及序列号、USB信息、声卡信息、显卡信息,当硬件特征信息是上述其中的两种、或三种组合或其他任意组合,则是不同的实施例;所述的计算机终端的软件特征信息是计算机操作***信息及所安装的软件信息;所述的计算机终端的基本身份信息还是由可信认证网关或第三方CA中心根据该计算机的硬件特征信息和软件特征信息颁发的一组非对称密钥信息和标准的X 509数字证书;所述的一组非对称密钥信息,是计算机私钥信息和公钥信息,其中私钥信息作为数字签名使用,不对外公开;公钥信息作为验证身份信息使用,对外公开;所述的标准的X509数字证书,有计算机身份信息和计算机公钥信息,该标准的X509数字证书对外公开;3)、可信认证网关形成该计算机终端的活性标签:是根据计算机终端提交的基本身份信息,利用可信认证网关的私钥对计算机终端的基本身份信息、网关时间戳信息和计算机终端的公钥信息进行签名处理,形成该计算机终端的活性标签;4)、可信认证网关验证活性标签的身份和权限;5)、可信认证网关判断是否合法:它是判断活性标签的身份和权限是否合法;5.1)、当活性标签的身份和权限非法,则可信认证网关阻止计算机终端接入;5.2)、当活性标签的身份和权限合法,则可信认证网关准许计算机终端接入;所述的对计算机终端的公钥信息进行签名处理是:该计算机终端与网络中的其他计算机或可信认证网关通信时,对本计算机终端发送出去的数据包用本机的私钥进行签名处理;所述的对网关时间戳信息进行签名处理是:可信认证网关将网关的时间信息、计算机终端基本身份信息进行签名处理,保证计算机终端在网络中身份的不可伪造性。
在上述实施例基础上,就所述的计算机终端向可信认证网关发出接入请求的方式而言,还有不同的实施例是:计算机终端申请接入和访问网络同时向网络边界的可信认证网关提交标识自身身份的计算机终端活性标签。
结合本发明技术原理、技术方案再举例对求发明作进一步说明如下(该例用来说明利用终端活性标签的通信流程,省略了对终端活性标签的签名验证、IP数据包的加密、签名等。):
三台终端:HostA,HostB,HostC
A的地址为:IP:192.168.10.1合法标签:AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2合法标签:BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3无标签(没有经过网关的审核和授权)
现在A向B发送一段数据XXX 1234 XXX,当这个数据包经过网络层时,新增的安全协议将该包加入本机从服务器获得的终端活性标签,形成如下数据XXX AA-AA-AA-AA-AA-AA 1234 XXX(注:终端活性标签的签名,IP包的加密、签名操作略),当B接受到A发来的数据XXXAA-AA-AA-AA-AA-AA 1234 XXX时,首先验证该数据包里是否有A的合法标签AA-AA-AA-AA-AA-AA,如果判断A的标签合法,则将数据包还原成XXX 1234 XXX,并转发给上一层驱动;否则进行丢包处理;
A向C发送一段数据XXX 1234 XXX,当这个数据包经过网络层时,新增的安全协议将该包加入本机从服务器获得的终端活性标签,形成如下数据XXX AA-AA-AA-AA-AA-AA 1234 XXX(注:终端活性标签的签名,IP包的加密、签名操作略),当C接受到A发来的数据XXXAA-AA-AA-AA-AA-AA 1234 XXX时,其***层的程序会将它作为一个错误的数据包处理,执行丢包处理;
C向A发送一段数据XXX 1234 XXX,当C接受到A发来的数据XXX1234 XXX时,发现数据包内没有该机器的终端活性标签,执行丢包处理。
本发明保护范围不限于上述实施例。
Claims (7)
1.一种基于可信认证网关实现计算机终端安全准入的方法,其特征在于,包括以下程序:
1)、计算机终端向可信认证网关发出接入请求;
2)、计算机终端向可信认证网关注册计算机终端的基本身份信息:该基本身份信息由计算机终端的硬件特征信息利软件特征信息组成;
3)、可信认证网关形成该计算机终端的活性标签:是根据计算机终端提交的基本身份信息,利用可信认证网关的私钥对计算机终端的基本身份信息、网关时间戳信息和计算机终端的公钥信息进行签名处理,形成该计算机终端的活性标签;
4)、可信认证网关验证活性标签的身份和权限;
5)、可信认证网关判断是否合法:它是判断活性标签的身份和权限是否合法;
5.1)、当活性标签的身份和权限非法,则可信认证网关阻止计算机终端接入;
5.2)、当活性标签的身份和权限合法,则可信认证网关准许计算机终端接入。
2.根据权利要求1所述的方法,其特征在于,所述的计算机终端的硬件特征信息至少包括有下述两种:机器标识、网卡硬件编号、硬盘序列号及硬盘数据特征、光驱类型及序列号、USB信息、声卡信息、显卡信息;所述的计算机终端的软件特征信息至少包括计算机操作***信息及所安装的软件信息。
3.根据权利要求1所述的方法,其特征在于,所述的计算机终端的基本身份信息还包含由可信认证网关或第三方CA中心根据该计算机的硬件特征信息和软件特征信息颁发的一组非对称密钥信息和标准的X509数字证书。
4.根据权利要求3所述的方法,其特征在于,所述的一组非对称密钥信息,包括计算机私钥信息和公钥信息,其中私钥信息作为数字签名使用,不对外公开;公钥信息作为验证身份信息使用,对外公开。
5.根据权利要求3所述的方法,其特征在于,所述的标准的X509数字证书,包括计算机身份信息和计算机公钥信息,该标准的X509数字证书对外公开。
6.根据权利要求1所述的方法,其特征在于,所述的对计算机终端的公钥信息进行签名处理是:该计算机终端与网络中的其他计算机或可信认证网关通信时,对本计算机终端发送出去的数据包用本机的私钥进行签名处理;所述的对网关时间戳信息进行签名处理是:可信认证网关将网关的时间信息、计算机终端的基本身份信息进行签名处理,保证计算机终端在网络中身份的不可伪造性。
7.根据权利要求1所述的方法,其特征在于,所述的计算机终端向可信认证网关发出接入请求,是计算机终端申请接入和访问网络同时向网络边界的可信认证网关提交标识自身身份的计算机终端活性标签。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100524986A CN101330494A (zh) | 2007-06-19 | 2007-06-19 | 一种基于可信认证网关实现计算机终端安全准入的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100524986A CN101330494A (zh) | 2007-06-19 | 2007-06-19 | 一种基于可信认证网关实现计算机终端安全准入的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101330494A true CN101330494A (zh) | 2008-12-24 |
Family
ID=40206085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100524986A Pending CN101330494A (zh) | 2007-06-19 | 2007-06-19 | 一种基于可信认证网关实现计算机终端安全准入的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101330494A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045309A (zh) * | 2009-10-14 | 2011-05-04 | 上海可鲁***软件有限公司 | 一种用于防止计算机病毒攻击的方法和装置 |
| CN101562551B (zh) * | 2009-05-05 | 2012-02-22 | 候万春 | 一种提供图片识别服务或视频识别服务的***和方法 |
| CN103368916A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 基于硬件信息的计算机终端可信证明生成技术 |
| CN103973456A (zh) * | 2014-05-29 | 2014-08-06 | 深圳市密思科技有限公司 | 一种基于数字证书的小区管理***及其方法 |
| WO2015135305A1 (zh) * | 2014-03-12 | 2015-09-17 | 北京安兔兔科技有限公司 | 终端真伪验证方法及装置 |
| CN105207778A (zh) * | 2014-07-03 | 2015-12-30 | 清华大学深圳研究生院 | 一种在接入网关设备上实现包身份标识及数字签名的方法 |
| CN105282157A (zh) * | 2015-10-22 | 2016-01-27 | 中国人民解放军装备学院 | 一种安全通信控制方法 |
| CN112330423A (zh) * | 2020-11-30 | 2021-02-05 | 上海寻梦信息技术有限公司 | 订单数据管理***、方法、设备及存储介质 |
| CN112866210A (zh) * | 2020-12-31 | 2021-05-28 | 北京珞安科技有限责任公司 | 一种工控设备访问控制方法、装置及电子设备 |
| CN112953932A (zh) * | 2021-02-07 | 2021-06-11 | 北京中船信息科技有限公司 | 基于ca证书的身份认证网关集成设计方法及集成*** |
| CN113114858A (zh) * | 2021-04-13 | 2021-07-13 | 艾迪通证技术(北京)有限公司 | 一种基于网关为通话添加可信标识的方法和装置 |
| CN114157503A (zh) * | 2021-12-08 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 访问请求的认证方法及装置、api网关设备、存储介质 |
| CN114257458A (zh) * | 2022-01-08 | 2022-03-29 | 广州市成格信息技术有限公司 | 一种全光网络多功能网关 |
-
2007
- 2007-06-19 CN CNA2007100524986A patent/CN101330494A/zh active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562551B (zh) * | 2009-05-05 | 2012-02-22 | 候万春 | 一种提供图片识别服务或视频识别服务的***和方法 |
| CN102045309A (zh) * | 2009-10-14 | 2011-05-04 | 上海可鲁***软件有限公司 | 一种用于防止计算机病毒攻击的方法和装置 |
| CN103368916A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 基于硬件信息的计算机终端可信证明生成技术 |
| WO2015135305A1 (zh) * | 2014-03-12 | 2015-09-17 | 北京安兔兔科技有限公司 | 终端真伪验证方法及装置 |
| CN103973456A (zh) * | 2014-05-29 | 2014-08-06 | 深圳市密思科技有限公司 | 一种基于数字证书的小区管理***及其方法 |
| CN105207778B (zh) * | 2014-07-03 | 2019-04-16 | 清华大学深圳研究生院 | 一种在接入网关设备上实现包身份标识及数字签名的方法 |
| CN105207778A (zh) * | 2014-07-03 | 2015-12-30 | 清华大学深圳研究生院 | 一种在接入网关设备上实现包身份标识及数字签名的方法 |
| CN105282157A (zh) * | 2015-10-22 | 2016-01-27 | 中国人民解放军装备学院 | 一种安全通信控制方法 |
| CN105282157B (zh) * | 2015-10-22 | 2018-07-06 | 中国人民解放军装备学院 | 一种安全通信控制方法 |
| CN112330423A (zh) * | 2020-11-30 | 2021-02-05 | 上海寻梦信息技术有限公司 | 订单数据管理***、方法、设备及存储介质 |
| CN112866210A (zh) * | 2020-12-31 | 2021-05-28 | 北京珞安科技有限责任公司 | 一种工控设备访问控制方法、装置及电子设备 |
| CN112953932A (zh) * | 2021-02-07 | 2021-06-11 | 北京中船信息科技有限公司 | 基于ca证书的身份认证网关集成设计方法及集成*** |
| CN112953932B (zh) * | 2021-02-07 | 2022-12-20 | 北京中船信息科技有限公司 | 基于ca证书的身份认证网关集成设计方法及集成*** |
| CN113114858A (zh) * | 2021-04-13 | 2021-07-13 | 艾迪通证技术(北京)有限公司 | 一种基于网关为通话添加可信标识的方法和装置 |
| CN113114858B (zh) * | 2021-04-13 | 2023-03-14 | 艾迪通证技术(北京)有限公司 | 一种基于网关为通话添加可信标识的方法和装置 |
| CN114157503A (zh) * | 2021-12-08 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 访问请求的认证方法及装置、api网关设备、存储介质 |
| CN114257458A (zh) * | 2022-01-08 | 2022-03-29 | 广州市成格信息技术有限公司 | 一种全光网络多功能网关 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101330494A (zh) | 一种基于可信认证网关实现计算机终端安全准入的方法 | |
| KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
| CN104735068B (zh) | 基于国密的sip安全认证的方法 | |
| AU2002355593B2 (en) | Data certification method and apparatus | |
| US6052784A (en) | Network discovery system and method | |
| US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
| US9699158B2 (en) | Network user identification and authentication | |
| CN103532713B (zh) | 传感器认证和共享密钥产生方法和***以及传感器 | |
| US20140337619A1 (en) | Derived Certificate based on Changing Identity | |
| US9184917B2 (en) | Method and system for registering a DRM client | |
| WO2008009183A1 (fr) | Procédé d'authentification à distance par mot de passe reposant sur la carte intelligente, et carte intelligente, serveur, et système correspondants | |
| CN100344208C (zh) | 一种防止重放攻击的认证方法 | |
| CN101136748A (zh) | 一种身份认证方法及*** | |
| CN107454077A (zh) | 一种基于iki标识认证的单点登录方法 | |
| CN104601593A (zh) | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 | |
| EP2827529B1 (en) | Method, device, and system for identity authentication | |
| JP2013503513A (ja) | オンライン第三者を導入するエンティティ認証方法 | |
| CN112866236B (zh) | 一种基于简化数字证书的物联网身份认证*** | |
| CN113242554A (zh) | 一种基于无证书签名的移动终端认证方法及*** | |
| He et al. | An accountable, privacy-preserving, and efficient authentication framework for wireless access networks | |
| WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN102668450B (zh) | 基于身份的网络策略实现方法 | |
| CN110929231A (zh) | 数字资产的授权方法、装置和服务器 | |
| CN114513339A (zh) | 一种安全认证方法、***及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20081224 |