CN110958226A - 一种基于tls的密码设备访问控制方法 - Google Patents
一种基于tls的密码设备访问控制方法 Download PDFInfo
- Publication number
- CN110958226A CN110958226A CN201911113164.4A CN201911113164A CN110958226A CN 110958226 A CN110958226 A CN 110958226A CN 201911113164 A CN201911113164 A CN 201911113164A CN 110958226 A CN110958226 A CN 110958226A
- Authority
- CN
- China
- Prior art keywords
- application
- tls
- certificate
- connection
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于TLS的密码设备访问控制方法,包括如下步骤:步骤1)连密码设备;步骤2)配置应用进程;步骤3)应用发起TLS连接,请求连接密码设备;步骤4)密码设备接收TLS连接,进入TLS双向认证,认证成功则进入下一步,否则返回应用连接失败;步骤5)TLS双向认证成功后,解析TLS的连接请求,得到应用源IP和对应的应用证书;步骤6)根据存储的IP白名单,判断应用源IP是否在IP白名单内,若在IP白名单内则进入下一步,否则返回应用连接失败;步骤7)根据应用源IP对应的应用证书,步骤8)应用接收密码设备返回的连接结果,连接成功,正常访问密码设备,连接失败,则无法访问密码设备。
Description
技术领域
本发明涉及一种计算机技术领域,尤其是一种基于TLS的密码设备访问控制方法。
背景技术
传统密码设备主要使用TCP/IP协议进行通讯,使用IP白名单作为应用访问控制的机制。具体来讲就是密码设备管理员将允许访问密码设备的应用实体的IP添加到密码设备的IP白名单内,只有在对应密码设备IP白名单内的应用实体上的应用才能够访问密码设备,否则无法访问密码设备。但这种基于IP白名单作为访问控制机制的方法,存在如下缺点:
1. 控制粒度粗糙,只能限制应用实体的IP,无法精确限制访问的具体应用,如果某一应用实体的IP在密码设备的IP白名单内,那么所有部署在该应用实体上的应用均可访问密码设备,无法做到应用实体上的部分应用访问可以访问密码设备,部分应用无法访问密码设备;
2. IP 地址存在易探测、易泄露、易伪造等风险,如果知道了密码设备内的某个白名单IP,可以很容易将自身IP伪造成白名单IP,然后正常访问密码设备;
3. 应用和密码设备之间的通讯采用 TCP/IP 协议,无法保证数据传输过程中的保密性和数据完整性。
发明内容
有鉴于此,本发明的主要目的是解决上述基于IP白名单机制的访问控制方法存在的问题,本文提出了一种基于 TLS 协议的密码设备访问控制方法。
本发明采用的技术方案是:
一种基于TLS的密码设备访问控制方法,包括如下步骤:
步骤1)连密码设备;
步骤2)配置应用进程;
步骤3)应用发起 TLS 连接,请求连接密码设备;
步骤4)密码设备接收TLS连接,进入TLS 双向认证,认证成功则进入下一步,否则返回应用连接失败;
步骤5)TLS 双向认证成功后,解析TLS的连接请求,得到应用源IP和对应的应用证书;
步骤6)根据存储的IP白名单,判断应用源IP是否在IP白名单内,若在IP白名单内则进入下一步,否则返回应用连接失败;
步骤7)根据应用源IP对应的应用证书,判断此次TLS连接中应用使用的应用证书是否在密码设别的可信证书列表内,若在证书可信列表内则表示应用合法,连接成功,否则应用非法,连接失败;
步骤8)应用接收密码设备返回的连接结果,连接成功,正常访问密码设备,连接失败,则无法访问密码设备。
优选的,在步骤1)中,连密码设备之前,需要进行TLS配置。
进一步优选的,所述TLS配置包括如下步骤:
所述密码设备生成TLS 服务端密钥和证书请求文件,
将证书请求文件提交给CA申请证书,
将CA颁发的证书和应用证书的CA证书导入到密码设备,
并配置密码设备可信证书列表。
进一步优选的,所述配置密码设备可信证书列表方法为:将可信的应用证书的哈希值存入可信证书列表。
优选的,在步骤2)中,配置应用进程的步骤为:
应用进行TLS 配置工,将应用密钥、证书和密码设备的CA证书导入到可信存储区。
优选的,所述应用为需要访问所述密码设备的程序。
在上述中,应用和密码设备直接使用TLS 通讯,代替了传统的 TCP通讯,增加了通讯过程中的保密性和数据完整性;
在上述中,密码设备的TLS 证书的密钥存储和密码算法均采用加密卡实现;
在上述中,基于传统的IP白名单机制上,增加了可信证书列表机制,规避了IP地址存在易探测、易泄露、易伪造等风险点,提高了访问控制的控制粒度。
附图说明
图1是本发明中传统技术方案的流程图。
图2是本发明的流程图。
具体实施方式
下面将结合附图以及具体实施例来详细说明本发明,在此本发明的示意性实施例以及说明用来解释本发明,但并不作为对本发明的限定。
释义:
TCP/IP:传输控制协议,用于在应用和密码设备之间提供通讯。
TLS:传输层安全协议,用于在应用和密码设备之间提供保密性和数据完整性。
IP 白名单:在白名单之内的IP,密码设备会允许通过,不在白名单之内的IP,密码设备不允许其通过。
应用:需要访问密码设备的程序。
应用实体:应用所在的环境。
直连密码机:串口直连密码机进入密码机管理模式。
参照图1,在传统的技术中,采用如下的技术方案:
步骤(1)应用通过 TCP/IP 方式连接密码设备,等待密码设备返回连接结果;
步骤(2)密码设备接收到应用的连接请求,解析得到应用源IP,根据预先配置的IP白名单,判断应用源IP是否在密码设备的IP白名单内,如果应用源IP在IP白名单内,应用连接请求成功,之后可以正常访问密码设备,否则,应用连接请求失败,无法访问密码设备;
步骤(3)应用接收密码设备返回的连接结果,如果连接成功,则可以正常访问密码设备;如果连接失败,根据返回结果分析错误原因。
在上述中,密码设备使用TCP/IP 协议进行通讯,使用 IP 白名单作为应用访问控制的机制,但是,TCP/IP 协议无法提供应用和密码设备通讯时的保密性和数据完整性,IP地址存在易探测,易泄露,易伪造等风险,在一些对密码设备访问控制安全性要求较高的场景中,例如云环境中的密码设备,公网环境中的密码设备的访问,以TCP/IP通讯方式和 IP白名单作为密码设备访问控制的机制往往是不够的。
因此,在上述的基础之上,提供了一种基于TLS的密码设备访问控制方法,参照图2,包括如下的步骤:
1)密码设备管理员直连密码设备,预先做好TLS配置工作:
使用密码设备生成TLS 服务端密钥和证书请求文件,
将证书请求文件提交给CA申请证书,
将CA颁发的证书和应用证书的CA证书导入到密码设备,
并配置密码设备可信证书列表:将可信的应用证书的哈希值存入可信证书列表;
2)应用也需要预先做好TLS 配置工作:将应用密钥、证书和密码设备的CA证书导入到可信存储区;
3)应用发起 TLS 连接,请求连接密码设备;
4)密码设备接收TLS连接,首先开始 TLS 双向认证,认证成功则进入下一步,否则返回应用连接失败;
5)TLS 双向认证成功后,解析连接请求,得到应用源IP+应用证书;
6)根据IP白名单,判断应用源IP是否在IP白名单内,若在IP白名单内则进入下一步,否则返回应用连接失败;
7)接着根据 应用证书,判断此次TLS连接中应用使用的证书是否在密码设别的可信证书列表内,若在证书可信列表内则表示应用合法,连接成功,否则应用非法,连接失败;
8)应用接收密码设备返回的连接结果,连接成功,表示可以正常访问密码设备,连接失败,则无法访问密码设备。
上述中,使用 TLS 替换 TCP,在应用和密码设备之间提供保密性和数据完整性;规避了IP 地址存在易探测、易泄露、易伪造等风险点;访问控制粒度更精确,可以更加精确的区分密码设备的可信应用和不可信应用;在IP白名单的基础上增加了 TLS 的双向认证,并根据可信证书列表进一步提高访问控制的安全性。
以上对本发明实施例所公开的技术方案进行了详细介绍,本文中应用了具体实施例对本发明实施例的原理以及实施方式进行了阐述,以上实施例的说明只适用于帮助理解本发明实施例的原理;同时,对于本领域的一般技术人员,依据本发明实施例,在具体实施方式以及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (6)
1.一种基于TLS的密码设备访问控制方法,其特征在于,包括如下步骤:
步骤1)连密码设备;
步骤2)配置应用进程;
步骤3)应用发起 TLS 连接,请求连接密码设备;
步骤4)密码设备接收TLS连接,进入TLS 双向认证,认证成功则进入下一步,否则返回应用连接失败;
步骤5)TLS 双向认证成功后,解析TLS的连接请求,得到应用源IP和对应的应用证书;
步骤6)根据存储的IP白名单,判断应用源IP是否在IP白名单内,若在IP白名单内则进入下一步,否则返回应用连接失败;
步骤7)根据应用源IP对应的应用证书,判断此次TLS连接中应用使用的应用证书是否在密码设别的可信证书列表内,若在证书可信列表内则表示应用合法,连接成功,否则应用非法,连接失败;
步骤8)应用接收密码设备返回的连接结果,连接成功,正常访问密码设备,连接失败,则无法访问密码设备。
2.根据权利要求1所述的基于TLS的密码设备访问控制方法,其特征在于,在步骤1)中,连密码设备之前,需要进行TLS配置。
3.根据权利要求2所述的基于TLS的密码设备访问控制方法,其特征在于,所述TLS配置包括如下步骤:
所述密码设备生成TLS 服务端密钥和证书请求文件,
将证书请求文件提交给CA申请证书,
将CA颁发的证书和应用证书的CA证书导入到密码设备,
并配置密码设备可信证书列表。
4.根据权利要求3所述的基于TLS的密码设备访问控制方法,其特征在于,所述配置密码设备可信证书列表方法为:将可信的应用证书的哈希值存入可信证书列表。
5.根据权利要求1所述的基于TLS的密码设备访问控制方法,其特征在于,在步骤2)中,配置应用进程的步骤为:
应用进行TLS 配置工,将应用密钥、证书和密码设备的CA证书导入到可信存储区。
6.根据权利要求1或5所述的基于TLS的密码设备访问控制方法,其特征在于,所述应用为需要访问所述密码设备的程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911113164.4A CN110958226A (zh) | 2019-11-14 | 2019-11-14 | 一种基于tls的密码设备访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911113164.4A CN110958226A (zh) | 2019-11-14 | 2019-11-14 | 一种基于tls的密码设备访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110958226A true CN110958226A (zh) | 2020-04-03 |
Family
ID=69977266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911113164.4A Pending CN110958226A (zh) | 2019-11-14 | 2019-11-14 | 一种基于tls的密码设备访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958226A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005107145A1 (en) * | 2004-05-03 | 2005-11-10 | Nokia Corporation | Handling of identities in a trust domain of an ip network |
| CN105721489A (zh) * | 2016-03-16 | 2016-06-29 | 四川长虹电器股份有限公司 | 基于数字证书对ip白名单中的ip认证方法与*** |
| CN107786515A (zh) * | 2016-08-29 | 2018-03-09 | ***通信有限公司研究院 | 一种证书认证的方法和设备 |
| CN108432180A (zh) * | 2015-11-13 | 2018-08-21 | 维萨国际服务协会 | 用于基于pki的认证的方法和*** |
| CN108809938A (zh) * | 2018-04-23 | 2018-11-13 | 广州江南科友科技股份有限公司 | 一种密码设备的远程管控实现方法及*** |
-
2019
- 2019-11-14 CN CN201911113164.4A patent/CN110958226A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005107145A1 (en) * | 2004-05-03 | 2005-11-10 | Nokia Corporation | Handling of identities in a trust domain of an ip network |
| CN108432180A (zh) * | 2015-11-13 | 2018-08-21 | 维萨国际服务协会 | 用于基于pki的认证的方法和*** |
| CN105721489A (zh) * | 2016-03-16 | 2016-06-29 | 四川长虹电器股份有限公司 | 基于数字证书对ip白名单中的ip认证方法与*** |
| CN107786515A (zh) * | 2016-08-29 | 2018-03-09 | ***通信有限公司研究院 | 一种证书认证的方法和设备 |
| CN108809938A (zh) * | 2018-04-23 | 2018-11-13 | 广州江南科友科技股份有限公司 | 一种密码设备的远程管控实现方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI475860B (zh) | 可攜式裝置關聯性 | |
| US9998438B2 (en) | Verifying the security of a remote server | |
| RU2512118C2 (ru) | Протокол привязки устройства к станции | |
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| WO2016095739A1 (zh) | 一种设备验证方法及装置 | |
| US8452954B2 (en) | Methods and systems to bind a device to a computer system | |
| US20200274870A1 (en) | Network-based nt lan manager (ntlm) relay attack detection and prevention | |
| US10257171B2 (en) | Server public key pinning by URL | |
| US9906518B2 (en) | Managing exchanges of sensitive data | |
| US20180367530A1 (en) | Certificate pinning in highly secure network environments using public key certificates obtained from a dhcp (dynamic host configuration protocol) server | |
| US20180288068A1 (en) | Methods and apparatuses for improved network communication using a message integrity secure token | |
| US11223489B1 (en) | Advanced security control implementation of proxied cryptographic keys | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| US11997210B2 (en) | Protection of online applications and webpages using a blockchain | |
| EP3794485B1 (en) | Method and network node for managing access to a blockchain | |
| KR20060024384A (ko) | 분산형 애플리케이션 환경에서 제 3 티어 서버를 인증하는방법, 서버 시스템, 클라이언트 시스템 및 컴퓨터 프로그램제품 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN112733129B (zh) | 一种服务器带外管理的可信接入方法 | |
| EP2506485A1 (en) | Method and device for enhancing security of user security model | |
| US11177958B2 (en) | Protection of authentication tokens | |
| CN113992387B (zh) | 资源管理方法、装置、***、电子设备和可读存储介质 | |
| CN110958226A (zh) | 一种基于tls的密码设备访问控制方法 | |
| CN114070573A (zh) | 一种网络访问的认证方法、装置与*** | |
| US11804969B2 (en) | Establishing trust between two devices for secure peer-to-peer communication | |
| CN113556365B (zh) | 认证结果数据传输***、方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200403 |