CN112532649B - 安全态势管理平台的安全设备入网管理方法及相关装置 - Google Patents
安全态势管理平台的安全设备入网管理方法及相关装置 Download PDFInfo
- Publication number
- CN112532649B CN112532649B CN202011444826.9A CN202011444826A CN112532649B CN 112532649 B CN112532649 B CN 112532649B CN 202011444826 A CN202011444826 A CN 202011444826A CN 112532649 B CN112532649 B CN 112532649B
- Authority
- CN
- China
- Prior art keywords
- certificate
- security
- equipment
- information
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种安全态势管理平台的安全设备入网管理方法,包括:安全设备连接网络并发送设备信息;当接收到所述注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将所述注册申请信息发送至安管节点;根据所述证书编号和所述下载码进行签名处理,并向所述安管节点请求证书;将所述签证证书、所述安管节点证书、所述安全设备证书进行导入,以便实现入网注册。通过安管节点首先实现设备信息的验证,然后对该安全设备的注册申请信息进行验证,当验证通过再进行证书签名处理,实现安全设备统一的入网注册。本申请还公开了一种安全设备、服务器以及计算机可读存储介质,具有以上有益效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种安全态势管理平台的安全设备入网管理方法、安全设备、服务器以及计算机可读存储介质。
背景技术
随着对信息安全的重视,企业部署了大量的安全设备,但是大量的昂贵安全产品并没有起到理想的效果,信息安全建设是一个***工程,需要有统一的协同作战和联合监控的管理平台,才能整合现有的信息安全资源,达到资源利用最大化,最大限度的降低信息安全分析,从而保护信息***安全。
目前,内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了防病毒软件、防火墙、IDS等外网安全解决方案。这种解决策略是针对外部入侵的防范,但对于来自网络内部的安全防护则显得无可奈何。随着各单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网安全的关注。在对安全设备进行管理的过程中,存在安全设备需要和安管平台对接认证的过程。
相关技术中,安全管理平台在对安全设备管理之前,仅仅对安全设备进行简单验证。但是,大部分安全管理平台无安全方面的认证,安全设备真实性及正确性无法把控,以及安全设备数据传输过程容易被伪造等问题。以及不同安全设备入网流程不一致,随着环境发生改变带来的安全设备更换位置等问题。也就是说,相关技术中不存在统一的设备入网注册过程,造成安全设备需要适配不同的入网流程,以便实现入网。但是,会造成安全设备的成本上升,及入网流程复杂的问题。
因此,如何统一安全设备入网的注册流程是本领域技术人员关注的重点问题。
发明内容
本申请的目的是提供一种安全态势管理平台的安全设备入网管理方法、安全设备、服务器以及计算机可读存储介质,通过安管节点首先实现设备信息的验证,然后对该安全设备的注册申请信息进行验证,当验证通过再进行证书签名处理,实现安全设备统一的入网注册,并提高入网注册的安全性。
为解决上述技术问题,本申请提供一种安全态势管理平台的安全设备入网管理方法,包括:
安全设备连接网络并发送设备信息,以便安管节点当所述设备信息验证通过后,向所述安全设备发送注册通知;
当接收到所述注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将所述注册申请信息发送至安管节点,以便所述安管节点当所述注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给所述安全设备;
根据所述证书编号和所述下载码进行签名处理,并向所述安管节点请求证书,以便所述安管节点对所述签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至所述安全设备;
将所述签证证书、所述安管节点证书、所述安全设备证书进行导入,以便实现入网注册。
可选的,还包括:
在安全设备连接网络并发送设备信息之前,所述安全设备将设备信息进行报备录入处理。
可选的,还包括:
在安全设备连接网络并发送设备信息之前,所述安全设备对应的主机监管***服务端通过所述安管节点进行入网注册并获取对应的证书。
可选的,还包括:
当所述安全设备接收到阻断入网通知时,所述安全设备发送报备未通过提示,以便对所述安全设备的报备情况进行检查。
本申请还提供一种安全设备,包括:
入网验证模块,用于连接网络并发送设备信息,以便安管节点当所述设备信息验证通过后,向所述安全设备发送注册通知;
注册申请模块,用于当接收到所述注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将所述注册申请信息发送至安管节点,以便所述安管节点当所述注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给所述安全设备;
证书请求模块,用于根据所述证书编号和所述下载码进行签名处理,并向所述安管节点请求证书,以便所述安管节点对所述签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至所述安全设备;
证书导入模块,用于将所述签证证书、所述安管节点证书、所述安全设备证书进行导入,以便实现入网注册。
可选的,还包括:
设备报备模块,用于在安全设备连接网络并发送设备信息之前,将设备信息进行报备录入处理。
可选的,还包括:
安全***证书检验模块,用于在安全设备连接网络并发送设备信息之前,对主机监管***服务端通过所述安管节点进行入网注册并获取对应的证书。
可选的,还包括:
设备检查模块,用于当所述安全设备接收到阻断入网通知时,发送报备未通过提示,以便对所述安全设备的报备情况进行检查。
本申请还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的安全设备入网管理方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的安全设备入网管理方法的步骤。
本申请所提供的一种安全态势管理平台的安全设备入网管理方法,包括:安全设备连接网络并发送设备信息,以便安管节点当所述设备信息验证通过后,向所述安全设备发送注册通知;当接收到所述注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将所述注册申请信息发送至安管节点,以便所述安管节点当所述注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给所述安全设备;根据所述证书编号和所述下载码进行签名处理,并向所述安管节点请求证书,以便所述安管节点对所述签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至所述安全设备;将所述签证证书、所述安管节点证书、所述安全设备证书进行导入,以便实现入网注册。
通过安管节点首先实现设备信息的验证,然后对该安全设备的注册申请信息进行验证,当验证通过再进行证书签名处理,实现安全设备统一的入网注册,并提高入网注册的安全性。
本申请还提供一种安全设备、服务器以及计算机可读存储介质,具有以上有益效果,在此不做赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种安全态势管理平台的安全设备入网管理方法的流程图;
图2为本申请实施例所提供的一种安全设备报备录入流程的示意图;
图3为本申请实施例所提供的一种网络与主机监管防护***注册流程的示意图;
图4为本申请实施例所提供的一种标准设备类和物理安全软件类首次入网注册流程的示意图;
图5为本申请实施例所提供的一种安全设备常规入网管控流程的示意图;
图6为本申请实施例所提供的一种安全设备的结构示意图。
具体实施方式
本申请的核心是提供一种安全态势管理平台的安全设备入网管理方法、安全设备、服务器以及计算机可读存储介质,通过安管节点首先实现设备信息的验证,然后对该安全设备的注册申请信息进行验证,当验证通过再进行证书签名处理,实现安全设备统一的入网注册,并提高入网注册的安全性。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
相关技术中,安全管理平台在对安全设备管理之前,仅仅对安全设备进行简单验证。但是,大部分安全管理平台无安全方面的认证,安全设备真实性及正确性无法把控,以及安全设备数据传输过程容易被伪造等问题。以及不同安全设备入网流程不一致,随着环境发生改变带来的安全设备更换位置等问题。降低了安全设备入网注册的安全性,对安全管理平台带来了严重的安全问题。
因此,本申请提供一种安全态势管理平台的安全设备入网管理方法,通过安管节点首先实现设备信息的验证,然后对该安全设备的注册申请信息进行验证,当验证通过再进行证书签名处理,实现安全设备统一的入网注册,并提高入网注册的安全性。
以下通过一个实施例,对本申请提供的一种安全态势管理平台的安全设备入网管理方法进行说明。
请参考图1,图1为本申请实施例所提供的一种安全态势管理平台的安全设备入网管理方法的流程图。
本实施例中,该方法可以包括:
S101,安全设备连接网络并发送设备信息,以便安管节点当设备信息验证通过后,向安全设备发送注册通知;
可见,本步骤主要是当安全设备接入到网络时,连接网络并发送初步的验证信息,即设备信息。当安管节点接收到该设备信息后,即可通过预先存储的设备信息进行验证处理,以便判断此时连接的安全设备是否提前报备过。
其中,主要是安全设备对应的主机监管***服务端对该设备信息进行验证,当验证通过时,通知安管节点,以便该安管节点发送注册通知。
进一步的,本实施例还可以包括:
在安全设备连接网络并发送设备信息之前,安全设备将设备信息进行报备录入处理。
可见,本可选方案中在安全设备连接网络并发送设备信息之前,安全设备将设备信息进行报备录入处理。也就是,将该安全设备的设备信息报备在***平台中,在***平台将安全设备的设备进行提前录入,避免其他设备无门槛的连接网络。
进一步的,本实施例还可以包括:
在安全设备连接网络并发送设备信息之前,安全设备对应的主机监管***服务端通过安管节点进行入网注册并获取对应的证书。
可见,本可选方案中主要是在安全设备连接网络并发送设备信息之前,安全设备对应的主机监管***服务端通过安管节点进行入网注册并获取对应的证书。也就是,提高安全设备对应的主机监管***服务端的安全性。
进一步的,本实施例还可以包括:
当安全设备接收到阻断入网通知时,安全设备发送报备未通过提示,以便对安全设备的报备情况进行检查。
可见,本可选方案中主要是当安全设备接收到阻断入网通知时,安全设备发送报备未通过提示,以便对安全设备的报备情况进行检查。避免出现安全设备的报备情况。
S102,当接收到注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将注册申请信息发送至安管节点,以便安管节点当注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给安全设备;
在S101的基础上,本步骤旨在当接收到注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr(Certificate Signing Request,证书请求文件)封装为注册申请信息并添加签名信息,将注册申请信息发送至安管节点,以便安管节点当注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给安全设备。也就是向安管节点进行注册申请,当申请通过时安管节点向该安全设备返回对应的证书信息。
S103,根据证书编号和下载码进行签名处理,并向安管节点请求证书,以便安管节点对签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至安全设备;
在S102的基础上,本步骤旨在根据证书编号和下载码进行签名处理,并向安管节点请求证书,以便安管节点对签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至安全设备。该安全设备,在获取到证书信息的基础上,进一步获取证书的数据。
S104,将签证证书、安管节点证书、安全设备证书进行导入,以便实现入网注册。
在S103的基础上,本步骤旨在将签证证书、安管节点证书、安全设备证书进行导入,以便实现入网注册。也就是将获取到的各个证书的信息导入到该安全设备的本地,最终实现将该安全设备进行入网注册。
综上,本实施例通过安管节点首先实现设备信息的验证,然后对该安全设备的注册申请信息进行验证,当验证通过再进行证书签名处理,实现安全设备统一的入网注册,并提高入网注册的安全性。
以下通过一个具体的实施例,对本申请提供的一种安全态势管理平台的安全设备入网管理方法做进一步说明。
本实施例中,针对安全设备入网管理的过程可以包括以下过程。包括但不限于安全设备报备录入流程、网络与主机监管防护***注册流程、标准设备类和物理安全软件类首次入网注册流程、安全设备常规入网管控流程。
请参考图2,图2为本申请实施例所提供的一种安全设备报备录入流程的示意图。
部署单位在***署安全设备时,首先进行安全设备的报备录入。其中,设备报备录入流程可以如下:
步骤1,设备出厂,产生设备序列号,对于可多次安装的虚拟安全软件,可修改其出厂的设备序列号,以保证实际安装部署的虚拟安全软件设备序列号的唯一性。
步骤2,由部署单位登记设备序列号及实例所属单位(到二级单位)、部署位置(至少到机房,可以到U位)、IP地址、Mac地址。其中,U位特指安装在数据中心机柜内部的IT硬件产品,如服务器、存储、网络设备等,这些产品是数据中心的核心部件,担任了数据中心的数据采集、处理、传输、储存的功能,是保证整个数据中心运行的核心资产。
步骤3,部署单位在安管节点报备安全设备的设备序列号、所属单位、部署位置、IP地址、Mac地址。
步骤4,安管节点管理员审核信息来源真实性及正确性(设备序列号是否报备过),如果信息核查不合规,删除记录,记录日志并由管理员通知到部署单位,由部署单位联系厂商解决。
步骤5,如果信息核查合规,安管节点将序列号上报给安管中心,由安管中心检查设备序列号的全网唯一性。
步骤6,安管中心检查设备序列号的全网唯一性,并将检查结果返回给安管子节点。
步骤7,安管子节点根据安管中心返回的检查结果,如果未通过,删除对应的记录、记录日志并通知部署单位失败情况,由部署单位联系厂商解决。如果检查通过,则由管理员确认后保存该设备的报备信息。
请参考图3,图3为本申请实施例所提供的一种网络与主机监管防护***注册流程的示意图。
此外,还需要网络与主机监管防护***首先到安管注册并获取设备证书。其中,网络与主机监管防护***是指安装在安全设备上的安全软件***。其中,进行注册并获取设备证书的过程可以包括:
步骤1,双方均已接入网络可以互相访问,部署人员在网络主机监管防护平台的管理页面上录入安管平台的节点信息(IP和端口)、部署位置(到U位),单位名称(二级单位),设备序列号。
步骤2,主机监管产生公私钥对,并根据页面注册信息生成证书请求文件,然后将证书请求文和注册信息一起打包并签名上报安管平台。
步骤3,安管接收注册信息并验签,判断设备序列号是否报备过,若未报备则通知网络与主机监管***注册失败及原因。
步骤4,审核注册申请中的部署位置信息是否与报备录入的部署位置信息一致,若不一致推送到页面供管理员进行选择,管理员可以手动选择更为准确的那条记录且若报备部署位置与注册部署位置差异过大时管理员可以将该注册申请打回。
步骤5,安管节点通过主机监管***提供的基线核查接口进行基线核查,若核查不通过则返回审核失败并告知原因,主机监管接收到信息后进行安全加固然后重新进行注册。
步骤6,审核通过后安管节点将注册信息提交安管总中心,总中心检测网络与主机监管***的密钥强度,若强度不够则记录信息并告知安管节点,安管节点接收到信息后记录信息并通知网络与主机监管***,然后网络与主机监管***应重新生成公私钥对然后重新申请注册。
步骤7,若检测通过,安管返回证书序列号和下载码给主机监管。
步骤8,安全设备提交证书序列号和下载码并签名发送安管请求证书,安管验证后将签证证书、安管节点证书、安全设备证书、部署位置信息打包并签名返回安全设备。
可选的,还可以继续执行步骤9,主机监管导入设备证书和部署位置信息。
请参考图4,图4为本申请实施例所提供的一种标准设备类和物理安全软件类首次入网注册流程的示意图。
标准安全设备和物理安全软件经过报备录入后,就可以进行首次入网注册的过程。其中,需要网络与主机监管防护***配合综合******进行,过程可以如下:
步骤1,主机监管和安管平台之间同步入网白名单数据,数据内容包括设备序列号、IP地址、Mac地址、入网状态等。
步骤2,安全设备接入网络。
步骤3,主机监管检测其设备序列号是否在白名单中,若不在则阻断设备联网,部署人员应先对该设备进行报备;若存在则允许设备联网并告知安管平台该设备上线。
步骤4,安管平台接受到消息后设置该设备联网时长(默认30分钟)。
步骤5,部署人员登陆并打开安全设备自身注册页面上向综合******发起注册:配置安管节点地址(IP、端口)、录入详细的部署位置信息(到U位),单位名称(二级单位)。
步骤6,安全设备产生公私钥,并根据界面填入元素生成证书申请文件csr,封装注册申请信息和证书申请文件并签名,上报安管节点。
步骤7,安管平台接收其注册申请信息并验签,检测其部署位置信息是否和报备录入时的一致,若不一致推送给管理员进行人工选择,且若管理员判断其报备部署位置与其注册部署位置信息差异过大则管理员可以将该注册打回。
步骤8,安管平台通过安全设备提供的基线核查接口进行安全基线审核,若存在不符合项则告知安全设备,安全设备进行安全加固后重新申请注册;通过则提交注册申请。
步骤9,安管总中心进行密钥强度检测,若不合规则告知安管节点,安管节点记录消息并告知安全设备,安全设备接收消息后重新生成公私钥对然后重新注册申请;若检测合规则签发安全设备证书。
步骤10,安管总中心证书签发后将证书下发安管节点并将该资产的状态设置为已注册,同时取消其联网时长限制。
步骤11,若此时网络限制时长到达(如30分钟),检查设备状态,若还是未注册则通知主机监管将该设备断网,部署人员需要重启设备重新进行入网注册流程。
步骤12,安管返回证书序列号和下载码给安全设备。
步骤13,安全设备提交证书序列号和下载码并签名发送安管请求证书,安管验证后将签证证书、安管节点证书、安全设备证书、部署位置信息(可选)打包并签名返回给安全设备。
可选的,还可以继续执行步骤14,安全设备导入设备证书和部署位置信息。
请参考图5,图5为本申请实施例所提供的一种安全设备常规入网管控流程的示意图。
步骤1,前置条件:安全设备完成首次入网;主机监管同步安管节点的入网白名单(包括设备IP、Mac地址、设备序列号)。
步骤2,安全设备开机上线并通知主机监管,同时主机监管也通知安管。
步骤3,主机监管根据其提供的设备序列号在本地查询,若查到则允许设备联网,若未找到则不允许联网。
步骤4,安管在本地查找设备证书,若未找到则继续向上级查询,接步骤5,若找到则验证其证书有效性,若证书过期,则将错误信息记录在注册入网管理界面并提醒管理员,若验证通过跳转步骤8。
步骤5,若查找到总中心才找到设备证书,则表示跨了二级大单位,安管应逐级告知其本级安管,管理员应通知部署人员对该设备进行重新报备注册流程。
步骤6,若在上级安管中找到该设备信息,则将其信息逐级下发到本级安管节点。
步骤7,本级安管节点验证证书有效性,若证书过期,则将错误信息记录并通知安全设备重新生成公私钥对申请新证书。
步骤8,本级安管节点检测其证书通过后存储设备证书并将其写入资产白名单,主机监管同步消息后允许安全设备正常联网。
步骤9,检测其当前实际IP地址是否和之前报备时一致,若不一致则代表该设备部署位置变动了,安管会在页面上标记该资产“位置待更新”,且安管会进行计时(30分钟)。
步骤10,安管在计时期间会轮询通知安全设备更新部署位置,部署人员打开设备的注册入网页面,页面会根据安管的通知提示部署人员进行部署位置更新并且会显示断网倒计时,部署人员应及时更新部署位置信息。
步骤11,若部署人员没有及时更新设备的部署位置信息,安管会通知网络与主机监管防护***将其断网并记录,部署人员应重新进行上线步骤。
步骤12,管理员线下告知部署人员打开设备注册入网界面,根据提示更新该设备部署位置信息。
进一步的,本实施例包括802.1x客户端的认证流程,具体的可以包括:
步骤1,安全设备实现802.1x客户端功能。
步骤2,安全设备根据构建规则构建deviceId并将其作为802.1X的认证用户名和认证密码。
步骤3,安全设备在入网之前将自己的deviceId通过报备录入的方式导入安管平台中。
步骤4,安管合主机监管之间同步入网白名单信息,其中包括设备序列号、Ip、mac等。
步骤5,安全设备接入网络后立即启动802.1x客户端进行认证操作。
步骤6,若认证成功则允许入网、若失败则不允许联网。
其中,本实施例中安全设备证书请求文件生成的过程,可以包括:
步骤1,证书签发基于openssl,一般linux***自带有openssl。
步骤2,查看openssl版本(ca使用的版本是:OpenSSL 1.0.2k-fips)。
指令:openssl version。
步骤3,使用openssl生成私钥文件。
指令:openssl genrsa-out testPrivate.pem 2048。
步骤4,使用openssl生成证书请求文件。
指令:openssl req-new-key testPrivate.pem-out testcsr.csr-subj"/C=CN/ST=JiangSu/L=WuXi/O=AG/OU=AGWUXI/CN=deviceId"。
其中,以上testPrivate.pem文件、testcsr.csr文件和“-subj”后面的信息均为示例信息。各个参数的说明可以参考下表。
表1参数说明示意表
可见,本实施例可以通过安管节点首先实现设备信息的验证,然后对该安全设备的注册申请信息进行验证,当验证通过再进行证书签名处理,实现安全设备统一的入网注册,并提高入网注册的安全性。
下面对本申请实施例提供的安全态势管理平台的安全设备入网管理装置进行介绍,下文描述的安全态势管理平台的安全设备入网管理装置与上文描述的安全态势管理平台的安全设备入网管理方法可相互对应参照。
请参考图6,图6为本申请实施例所提供的一种安全设备的结构示意图。
本实施例中,该装置可以包括:
入网验证模块100,用于连接网络并发送设备信息,以便安管节点当设备信息验证通过后,向安全设备发送注册通知;
注册申请模块200,用于当接收到注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将注册申请信息发送至安管节点,以便安管节点当注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给安全设备;
证书请求模块300,用于根据证书编号和下载码进行签名处理,并向安管节点请求证书,以便安管节点对签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至安全设备;
证书导入模块400,用于将签证证书、安管节点证书、安全设备证书进行导入,以便实现入网注册。
可选的,该装置还可以包括:
设备报备模块,用于在安全设备连接网络并发送设备信息之前,将设备信息进行报备录入处理。
可选的,该装置还可以包括:
安全***证书检验模块,用于在安全设备连接网络并发送设备信息之前,对主机监管***服务端通过安管节点进行入网注册并获取对应的证书。
可选的,该装置还可以包括:
设备检查模块,用于当安全设备接收到阻断入网通知时,发送报备未通过提示,以便对安全设备的报备情况进行检查。
本申请实施例还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如以上实施例所述的安全设备入网管理方法的步骤。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如以上实施例所述的安全设备入网管理方法的步骤。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种安全态势管理平台的安全设备入网管理方法、安全设备、服务器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (8)
1.一种安全态势管理平台的安全设备入网管理方法,其特征在于,包括:
安全设备将设备信息进行报备录入处理;
所述安全设备连接网络并发送所述设备信息,以便安管节点当所述设备信息验证通过后,向所述安全设备发送注册通知;
当接收到所述注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将所述注册申请信息发送至安管节点,以便所述安管节点当所述注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给所述安全设备;
根据所述证书编号和所述下载码进行签名处理,并向所述安管节点请求证书,以便所述安管节点对所述签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至所述安全设备;
将所述签证证书、所述安管节点证书、所述安全设备证书进行导入,以便实现入网注册。
2.根据权利要求1所述的安全设备入网管理方法,其特征在于,还包括:
在安全设备连接网络并发送设备信息之前,所述安全设备对应的主机监管***服务端通过所述安管节点进行入网注册并获取对应的证书。
3.根据权利要求1所述的安全设备入网管理方法,其特征在于,还包括:
当所述安全设备接收到阻断入网通知时,所述安全设备发送报备未通过提示,以便对所述安全设备的报备情况进行检查。
4.一种安全设备,其特征在于,包括:
设备报备模块,用于将设备信息进行报备录入处理;
入网验证模块,用于连接网络并发送所述设备信息,以便安管节点当所述设备信息验证通过后,向所述安全设备发送注册通知;
注册申请模块,用于当接收到所述注册通知时,将获取的部署位置信息、设备序列号、证书申请文件csr封装为注册申请信息并添加签名信息,将所述注册申请信息发送至安管节点,以便所述安管节点当所述注册申请信息校验通过时向安管中心请求设备证书,并将对应的证书编号以及下载码发送给所述安全设备;
证书请求模块,用于根据所述证书编号和所述下载码进行签名处理,并向所述安管节点请求证书,以便所述安管节点对所述签名验证通过后,将签证证书、安管节点证书、安全设备证书发送至所述安全设备;
证书导入模块,用于将所述签证证书、所述安管节点证书、所述安全设备证书进行导入,以便实现入网注册。
5.根据权利要求4所述的安全设备,其特征在于,还包括:
安全***证书检验模块,用于在安全设备连接网络并发送设备信息之前,对主机监管***服务端通过所述安管节点进行入网注册并获取对应的证书。
6.根据权利要求4所述的安全设备,其特征在于,还包括:
设备检查模块,用于当所述安全设备接收到阻断入网通知时,发送报备未通过提示,以便对所述安全设备的报备情况进行检查。
7.一种服务器,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述的安全设备入网管理方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的安全设备入网管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011444826.9A CN112532649B (zh) | 2020-12-11 | 2020-12-11 | 安全态势管理平台的安全设备入网管理方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011444826.9A CN112532649B (zh) | 2020-12-11 | 2020-12-11 | 安全态势管理平台的安全设备入网管理方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112532649A CN112532649A (zh) | 2021-03-19 |
| CN112532649B true CN112532649B (zh) | 2022-10-21 |
Family
ID=75000167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011444826.9A Active CN112532649B (zh) | 2020-12-11 | 2020-12-11 | 安全态势管理平台的安全设备入网管理方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112532649B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE202022102514U1 (de) | 2022-05-07 | 2022-05-20 | Tanweer ALAM | Kryptographiebasiertes intelligentes System für die Sicherheitsverwaltung von Mikrocodesignaturen |
| CN117155704B (zh) * | 2023-10-26 | 2024-01-16 | 西安热工研究院有限公司 | 一种可信dcs上位机节点快速添加方法、***、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8875223B1 (en) * | 2011-08-31 | 2014-10-28 | Palo Alto Networks, Inc. | Configuring and managing remote security devices |
| CN104703182A (zh) * | 2015-02-13 | 2015-06-10 | 深圳市睿祺智尚科技有限公司 | 一种基于Zigbee的入网方法及网络*** |
| WO2018157247A1 (en) * | 2017-02-28 | 2018-09-07 | Bioconnect Inc. | System and method for securing communications with remote security devices |
| CN109542458A (zh) * | 2017-09-19 | 2019-03-29 | 华为技术有限公司 | 一种应用程序管理的方法及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR0314673A (pt) * | 2002-09-23 | 2005-08-02 | Koninkl Philips Electronics Nv | Método e sistema para distribuição segura de conteúdo entre dispositivos em uma rede, e, dispositivo central para administrar uma rede |
| US9118486B2 (en) * | 2013-05-21 | 2015-08-25 | Cisco Technology, Inc. | Revocation of public key infrastructure signatures |
| US20160380776A1 (en) * | 2015-06-29 | 2016-12-29 | Cisco Technology, Inc. | Secured neighbor discovery registration upon device movement |
-
2020
- 2020-12-11 CN CN202011444826.9A patent/CN112532649B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8875223B1 (en) * | 2011-08-31 | 2014-10-28 | Palo Alto Networks, Inc. | Configuring and managing remote security devices |
| CN104703182A (zh) * | 2015-02-13 | 2015-06-10 | 深圳市睿祺智尚科技有限公司 | 一种基于Zigbee的入网方法及网络*** |
| WO2018157247A1 (en) * | 2017-02-28 | 2018-09-07 | Bioconnect Inc. | System and method for securing communications with remote security devices |
| CN109542458A (zh) * | 2017-09-19 | 2019-03-29 | 华为技术有限公司 | 一种应用程序管理的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112532649A (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109712278B (zh) | 智能门锁身份认证方法、***、可读存储介质及移动终端 | |
| CN106936835B (zh) | 设备接入的方法及*** | |
| CN107124431B (zh) | 鉴权方法、装置、计算机可读存储介质和鉴权*** | |
| CN108416589A (zh) | 区块链节点的连接方法、***及计算机可读存储介质 | |
| CN101291228B (zh) | 一种超级密码的生成、认证方法和***、设备 | |
| CN112532649B (zh) | 安全态势管理平台的安全设备入网管理方法及相关装置 | |
| CN111490981B (zh) | 访问管理方法、装置、堡垒机及可读存储介质 | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| EP1266481A2 (en) | System and method for installing an auditable secure network | |
| CN106533807A (zh) | 一种远程升级终端设备的方法及*** | |
| WO2019134234A1 (zh) | 防刷登录的方法、装置、终端设备及存储介质 | |
| CN113542399B (zh) | 车辆的远程控制方法、装置、车辆以及存储介质 | |
| CN113676452B (zh) | 基于一次性密钥的重放攻击抵御方法及*** | |
| CN111159656A (zh) | 一种防止软件非授权使用的方法、装置、设备和存储介质 | |
| CN106330828A (zh) | 网络安全接入的方法、终端设备及认证服务器 | |
| CN111460410A (zh) | 服务器登录方法、装置、***与计算机可读存储介质 | |
| CN111770087A (zh) | 一种服务节点验证方法及相关设备 | |
| CN113852628B (zh) | 一种去中心化的单点登录方法、装置及存储介质 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和***、用户代理设备 | |
| CN101854357B (zh) | 网络认证监控方法及*** | |
| CN112487470B (zh) | 信息校验方法、装置、终端设备和计算机可读存储介质 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN113922975A (zh) | 一种安全控制方法、服务器、终端、***和存储介质 | |
| CN115021995B (zh) | 多渠道登录方法、装置、设备及存储介质 | |
| CN112887099B (zh) | 数据签名方法、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |