CN113312674B - 基于多因子环境感知数字证书的接入安全的方法和*** - Google Patents
基于多因子环境感知数字证书的接入安全的方法和*** Download PDFInfo
- Publication number
- CN113312674B CN113312674B CN202110680494.2A CN202110680494A CN113312674B CN 113312674 B CN113312674 B CN 113312674B CN 202110680494 A CN202110680494 A CN 202110680494A CN 113312674 B CN113312674 B CN 113312674B
- Authority
- CN
- China
- Prior art keywords
- accessed
- equipment
- identity
- environment
- electronic certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于多因子环境感知数字证书的安全接入的方法和***,包括采集待接入设备的第一环境身份信息,并根据第一环境身份信息,得到待接入设备的第一身份电子证书;当待接入设备接入时,采集待接入设备的第二环境身份信息,将第二环境身份信息和第一身份电子证书进行比对,根据比对结果,确定待接入设备是否允许接入;当待接入设备已接入时,根据第一身份电子证书,对预访问待接入设备的终端进行认证,根据认证结果确定终端是否允许访问所述待接入设备。本发明实现了对设备在接入前、接入中及接入后的环境身份的验证,满足了当前对应用设备的身份认证的全过程的管理,提升了接入网络的设备的安全性,防止假冒或非法设备的接入。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于多因子环境感知数字证书的接入安全的方法和***。
背景技术
随着互联网、物联网应用的广泛推广,设备接入的安全控制需求增长,传统CA证书的认证方式难以满足多样化的应用设备安全控制需求。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种基于多因子环境感知数字证书的接入安全的方法和***。
本发明解决上述技术问题的技术方案如下:
一种基于多因子环境感知数字证书的安全接入的方法,所述方法包括:
采集待接入设备的第一环境身份信息,并根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书;
当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入;
当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,所述采集待接入设备的第一环境身份信息,并根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书,具体包括:
所述第一环境身份信息包括所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息;
将所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息进行散列化,得到所述待接入设备的第一身份电子证书;
在所述待接入设备中存放第一身份电子证书副本。
进一步地,所述当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,并将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入,具体包括:
获取所述待接入电子设备中保存的所述第一身份电子证书副本;
将所述第一身份电子证书副本与所述第一身份电子证书进行验证,得到验证结果;
采集所述待接入电子设备的第二环境身份信息,并根据所述第二环境身份信息,得到所述待接入设备的第二身份电子证书;
根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入。
进一步地,所述根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入,具体包括:
当所述验证结果是验证成功且所述第一身份电子证书和所述第二身份电子证书不一致时,
重新采集所述待接入设备的第三环境身份信息,并根据所述第三环境身份信息,对所述待接入设备进行实时认证。
进一步地,所述根据所述第三环境身份信息,对所述待接入设备进行实时认证,具体包括:
当所述第三环境身份信息中包括物理地址时,验证所述物理地址是否与所述第一环境身份中的物理地址一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括IP地址时,验证所述IP地址是否与所述第一环境身份中的IP地址一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括CPU序列号时,验证所述CPU序列号是否与所述第一环境身份中的CPU序列号一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括主板序列号时,验证所述主板序列号是否与所述第一环境身份中的主板序列号一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括操作***信息时,验证所述操作***信息是否与所述第一环境身份中的操作***信息一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括浏览器信息时,验证所述浏览器信息是否与所述第一环境身份中的浏览器信息一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括应用***信息时,验证所述应用***信息是否与所述第一环境身份中的应用***信息一致,若否,则确定所述环境身份信息发生变化;
当所述环境身份信息发生变化时,根据所述第三环境身份信息生成所述待接入设备的第三身份电子证书,并在所述待接入设备中保存第三身份电子证书副本。
进一步地,所述当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备,具体包括:
接收所述终端发送的访问请求,所述访问请求中包括终端电子数字证书;
根据所述第一身份电子证书对所述终端电子数字证书进行验证;
若验证成功,则允许所述终端进行访问;
否则,判断所述终端电子数字证书是否符合预设安全策略;
若是,则根据所述终端电子数字证书进行实时验证;
若验证通过,则允许所述终端进行访问;
否则,拒绝所述终端进行访问。
本方法发明的有益效果是:提出了一种基于多因子环境感知数字证书的安全接入的方法,包括采集待接入设备的第一环境身份信息,并根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书;当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入;当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备。本发明实现了通过多因子环境感知生成的数字证书,识别授权用户以及授权用户权限,并且通过对设备在接入前、接入中及接入后的环境身份的验证,满足了当前对应用设备的身份认证的全过程的管理,提升了接入网络的设备的安全性,防止假冒或非法设备的接入。
本发明还解决上述技术问题的另一种技术方案如下:
一种基于多因子环境感知数字证书的安全接入的***,所述***包括:
采集装置,用于采集待接入设备的第一环境身份信息,
认证装置,用于根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书;
所述采集装置,用于当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,
所述认证装置,用于将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入;
所述认证装置,用于当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备。
进一步地,所述采集装置,具体用于采集所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息;
所述认证装置,具体用于所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息进行散列化,得到所述待接入设备的第一身份电子证书;
在所述待接入设备中存放第一身份电子证书副本。
进一步地,所述认证装置,具体用于获取所述待接入电子设备中保存的所述第一身份电子证书副本;
将所述第一身份电子证书副本与所述第一身份电子证书进行验证,得到验证结果;
获取所述采集装置重新采集的采集所述待接入电子设备的第二环境身份信息,并根据所述第二环境身份信息,得到所述待接入设备的第二身份电子证书;
根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入。
进一步地,所述认证装置,具体用于当所述验证结果是验证成功且所述第一身份电子证书和所述第二身份电子证书不一致时,
获取所述采集装置重新采集的所述待接入设备的第三环境身份信息,并根据所述第三环境身份信息,对所述待接入设备进行实时认证。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所述的一种基于多因子环境感知数字证书的安全接入的方法的流程示意图;
图2为本发明另一实施例所述的一种基于多因子环境感知数字证书的安全接入的***的示意图;
图3为本发明另一实施例所述的一种基于多因子环境感知数字证书的安全接入的***的安装示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
如图1本发明实施例所述的一种基于多因子环境感知数字证书的安全接入的方法包括以下步骤:
110、采集待接入设备的第一环境身份信息,并根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书。
应理解,待接入设备可以是服务网、存储设备或终端等设备,初始状态时,待接入设备还未接入时,通过在待接入设备中安装agent客户端,实现对待接入设备的环境信息的采集,环境身份信息包括硬件信息、应用软件信息和网络信息等。
通过对环境身份信息的处理,例如散列化,或是进行加密等处理,得到身份电子证书,具体的方法有很多,本实施例中不做赘述。
120、当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入。
应理解,当待接入设备接入网络时,采集当前状态时待接入设备的环境身份信息,此时为了验证待接入设备的硬件信息、软件信息或网络信息是否有变动,并且通过对待接入设备的验证,可以防止未进行身份验证的设备接入网络中,所造成的安全风险。
130、当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备。
应理解,当有其他终端或访问待接入设备时,对终端进行验证,可以防止未经过验证的终端访问设备。同时,通过待接入设备中所设置的安全策略,对终端的访问权限进行了限制。
基于上述实施例,进一步地,步骤110中具体包括:
所述第一环境身份信息包括所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息。
将所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息进行散列化,得到所述待接入设备的第一身份电子证书。
应理解,操作***信息包括操作***的名称和版本号,浏览器信息包括浏览器的名称和版本号,应用***信息中可以包括在该待接入设备中的所有应用***信息或部分应用***信息。
在所述待接入设备中存放第一身份电子证书副本。
进一步地,步骤120中具体包括:
121、获取所述待接入电子设备中保存的所述第一身份电子证书副本。
122、将所述第一身份电子证书副本与所述第一身份电子证书进行验证,得到验证结果。
123、采集所述待接入电子设备的第二环境身份信息,并根据所述第二环境身份信息,得到所述待接入设备的第二身份电子证书。
124、根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入。
进一步地,步骤124中具体包括:
当所述验证结果是验证成功且所述第一身份电子证书和所述第二身份电子证书不一致时,重新采集所述待接入设备的第三环境身份信息,并根据所述第三环境身份信息,对所述待接入设备进行实时认证。
进一步地,当所述第三环境身份信息中包括物理地址时,验证所述物理地址是否与所述第一环境身份中的物理地址一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括IP地址时,验证所述IP地址是否与所述第一环境身份中的IP地址一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括CPU序列号时,验证所述CPU序列号是否与所述第一环境身份中的CPU序列号一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括主板序列号时,验证所述主板序列号是否与所述第一环境身份中的主板序列号一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括操作***信息时,验证所述操作***信息是否与所述第一环境身份中的操作***信息一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括浏览器信息时,验证所述浏览器信息是否与所述第一环境身份中的浏览器信息一致,若否,则确定所述环境身份信息发生变化;
当所述第三环境身份信息中包括应用***信息时,验证所述应用***信息是否与所述第一环境身份中的应用***信息一致,若否,则确定所述环境身份信息发生变化;
当所述环境身份信息发生变化时,根据所述第三环境身份信息生成所述待接入设备的第三身份电子证书,并在所述待接入设备中保存第三身份电子证书副本。
进一步地,步骤130中具体包括:
接收所述终端发送的访问请求,所述访问请求中包括终端电子数字证书;
根据所述第一身份电子证书对所述终端电子数字证书进行验证;
若验证成功,则允许所述终端进行访问;
否则,判断所述终端电子数字证书是否符合预设安全策略;
若是,则根据所述终端电子数字证书进行实时验证;
若验证通过,则允许所述终端进行访问;
否则,拒绝所述终端进行访问。
应理解,如图3所示,上述实施例中在待接入设备(如服务器、存储、移动办公设备、移动通讯设备、工业终端等)部署一个数据采集的客户端agent,收集并向认证管理模块或***上传本终端设备的环境身份信息,包括但不限于IP、MAC地址、操作***名称和版本号、浏览器名称和版本号、或本产品的客户端特征信息和验证码等,同时,设置管理模块或***将应用终端的环境身份信息制作或电子数字证书。设备接入时或访问请求时,先验证是否有数字证书、终端设备环境身份与认证证书的一致性,从而分别采取拒绝接入、允许接入、需要增加实时验证接入等不同接入控制。
***部署时,在应用服务器或云计算设备部署本管理模块或***,应用终端下载安装或预先安装本***的客户端agent,进行初始配置;
启动应用终端的客户端agent采集应用终端的环境身份信息(包括但不限于IP、MAC、操作***名称和版本号、浏览器名称和版本号、客户端特征信息和验证码等、具体采集信息的种类可根据用户安全性需求通过安全策略预先设定),采集的信息上传认证管理模块或***;
认证管理模块或***终端上传的身份环境信息制作为身份电子数字证书,并发送一份电子数字证书副本到该应用终端。本***可差异化配置各电子数字证书的访问权限;
在工作状态中,应用终端启动时,先重新收集自己的环境身份信息,并与本地数字电子证书比对,如不一致,提示环境身份信息已发生变化,需要重新认证或补充实时认证;
在工作状态时,对受保护的应用***的访问或设备接入(物联网)需预先认证访问或接入设备的电子数字证书。对于没有电子数字证书的终端,拒绝接入或访问,对于可移动终端如笔记本电脑,可在ip地址不符时增加验证手段如微信验证或手机短信密码验证,对于固定终端,可设置证书全符合方可访问受保护应用***或设备的安全策略。
基于上述实施例所提出的一种基于多因子环境感知数字证书的安全接入的方法,包括采集待接入设备的第一环境身份信息,并根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书;当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入;当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备。本发明实现了通过多因子环境感知生成的数字证书,识别授权用户以及授权用户权限,并且通过对设备在接入前、接入中及接入后的环境身份的验证,满足了当前对应用设备的身份认证的全过程的管理,提升了接入网络的设备的安全性,防止假冒或非法设备的接入。
如图2本发明实施例所述的一种基于多因子环境感知数字证书的安全接入的方法包括以下步骤:
一种基于多因子环境感知数字证书的安全接入的***,所述***包括:
采集装置,用于采集待接入设备的第一环境身份信息,
认证装置,用于根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书;
所述采集装置,用于当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,
所述认证装置,用于将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入;
所述认证装置,用于当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备。
进一步地,所述采集装置,具体用于采集所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息;
所述认证装置,具体用于所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息进行散列化,得到所述待接入设备的第一身份电子证书;
在所述待接入设备中存放第一身份电子证书副本。
进一步地,所述认证装置,具体用于获取所述待接入电子设备中保存的所述第一身份电子证书副本;
将所述第一身份电子证书副本与所述第一身份电子证书进行验证,得到验证结果;
获取所述采集装置重新采集的采集所述待接入电子设备的第二环境身份信息,并根据所述第二环境身份信息,得到所述待接入设备的第二身份电子证书;
根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入。
进一步地,所述认证装置,具体用于当所述验证结果是验证成功且所述第一身份电子证书和所述第二身份电子证书不一致时,
获取所述采集装置重新采集的所述待接入设备的第三环境身份信息,并根据所述第三环境身份信息,对所述待接入设备进行实时认证。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种基于多因子环境感知数字证书的安全接入的方法,其特征在于,所述方法包括:
采集待接入设备的第一环境身份信息,并根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书;
当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入;
当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备;
所述采集待接入设备的第一环境身份信息,并根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书,具体包括:
所述第一环境身份信息包括所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息;
将所述物理地址、所述IP地址、所述CPU序列号、所述主板序列号、所述操作***信息、所述浏览器信息和所述应用***信息进行散列化,得到所述待接入设备的第一身份电子证书;
在所述待接入设备中存放第一身份电子证书副本;
所述当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,并将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入,具体包括:
获取待接入设备中保存的所述第一身份电子证书副本;
将所述第一身份电子证书副本与所述第一身份电子证书进行验证,得到验证结果;
采集所述待接入设备的第二环境身份信息,并根据所述第二环境身份信息,得到所述待接入设备的第二身份电子证书;
根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入。
2.根据权利要求1所述的基于多因子环境感知数字证书的安全接入的方法,其特征在于,所述根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入,具体包括:
当所述验证结果是验证成功且所述第一身份电子证书和所述第二身份电子证书不一致时,
重新采集所述待接入设备的第三环境身份信息,并根据所述第三环境身份信息,对所述待接入设备进行实时认证。
3.根据权利要求2所述的基于多因子环境感知数字证书的安全接入的方法,其特征在于,所述根据所述第三环境身份信息,对所述待接入设备进行实时认证,具体包括:
当所述第三环境身份信息中包括物理地址时,验证该物理地址是否与所述第一环境身份中的物理地址一致,若否,则确定环境身份信息发生变化;
当所述第三环境身份信息中包括IP地址时,验证该IP地址是否与所述第一环境身份中的IP地址一致,若否,则确定环境身份信息发生变化;
当所述第三环境身份信息中包括CPU序列号时,验证该CPU序列号是否与所述第一环境身份中的CPU序列号一致,若否,则确定环境身份信息发生变化;
当所述第三环境身份信息中包括主板序列号时,验证该主板序列号是否与所述第一环境身份中的主板序列号一致,若否,则确定环境身份信息发生变化;
当所述第三环境身份信息中包括操作***信息时,验证该操作***信息是否与所述第一环境身份中的操作***信息一致,若否,则确定环境身份信息发生变化;
当所述第三环境身份信息中包括浏览器信息时,验证该浏览器信息是否与所述第一环境身份中的浏览器信息一致,若否,则确定环境身份信息发生变化;
当所述第三环境身份信息中包括应用***信息时,验证该应用***信息是否与所述第一环境身份中的应用***信息一致,若否,则确定环境身份信息发生变化;
当环境身份信息发生变化时,根据所述第三环境身份信息生成所述待接入设备的第三身份电子证书,并在所述待接入设备中保存第三身份电子证书副本。
4.根据权利要求1所述的基于多因子环境感知数字证书的安全接入的方法,其特征在于,所述当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备,具体包括:
接收所述终端发送的访问请求,所述访问请求中包括终端电子数字证书;
根据所述第一身份电子证书对所述终端电子数字证书进行验证;
若验证成功,则允许所述终端进行访问;
否则,判断所述终端电子数字证书是否符合预设安全策略;
若是,则根据所述终端电子数字证书进行实时验证;
若验证通过,则允许所述终端进行访问;
否则,拒绝所述终端进行访问。
5.一种基于多因子环境感知数字证书的安全接入的***,其特征在于,所述***包括:
采集装置,用于采集待接入设备的第一环境身份信息,
认证装置,用于根据所述第一环境身份信息,得到所述待接入设备的第一身份电子证书;
所述采集装置,用于当所述待接入设备接入时,采集所述待接入设备的第二环境身份信息,
所述认证装置,用于将所述第二环境身份信息和所述第一身份电子证书进行比对,根据比对结果,确定所述待接入设备是否允许接入;
所述认证装置,用于当所述待接入设备已接入时,根据所述第一身份电子证书,对预访问所述待接入设备的终端进行认证,根据认证结果确定所述终端是否允许访问所述待接入设备;
所述采集装置,具体用于采集所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息;
所述认证装置,具体用于所述待接入设备的物理地址、IP地址、CPU序列号、主板序列号、操作***信息、浏览器信息和应用***信息进行散列化,得到所述待接入设备的第一身份电子证书;
在所述待接入设备中存放第一身份电子证书副本;
所述认证装置,具体用于获取待接入设备中保存的所述第一身份电子证书副本;
将所述第一身份电子证书副本与所述第一身份电子证书进行验证,得到验证结果;
获取所述采集装置重新采集的采集所述待接入设备的第二环境身份信息,并根据所述第二环境身份信息,得到所述待接入设备的第二身份电子证书;
根据所述验证结果、所述第一身份电子证书和所述第二身份电子证书,确定所述待接入设备是否允许接入。
6.根据权利要求5所述的基于多因子环境感知数字证书的安全接入的***,其特征在于,
所述认证装置,具体用于当所述验证结果是验证成功且所述第一身份电子证书和所述第二身份电子证书不一致时,
获取所述采集装置重新采集的所述待接入设备的第三环境身份信息,并根据所述第三环境身份信息,对所述待接入设备进行实时认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110680494.2A CN113312674B (zh) | 2021-06-18 | 2021-06-18 | 基于多因子环境感知数字证书的接入安全的方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110680494.2A CN113312674B (zh) | 2021-06-18 | 2021-06-18 | 基于多因子环境感知数字证书的接入安全的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113312674A CN113312674A (zh) | 2021-08-27 |
| CN113312674B true CN113312674B (zh) | 2022-06-24 |
Family
ID=77379288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110680494.2A Active CN113312674B (zh) | 2021-06-18 | 2021-06-18 | 基于多因子环境感知数字证书的接入安全的方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113312674B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114710340B (zh) * | 2022-03-25 | 2023-05-23 | 绿盟科技集团股份有限公司 | 一种安全认证***及方法 |
| CN114896572A (zh) * | 2022-05-23 | 2022-08-12 | 北京泰立鑫科技有限公司 | 基于多因子环境数字证书的电子水印方法及***、设备和介质 |
| CN115811423A (zh) * | 2022-11-17 | 2023-03-17 | 北京泰立鑫科技有限公司 | 一种基于多因子认证数据流向控制的方法和*** |
| CN116192447B (zh) * | 2022-12-20 | 2024-01-30 | 江苏云涌电子科技股份有限公司 | 一种多因子身份认证方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023911B (zh) * | 2012-12-25 | 2015-10-14 | 北京工业大学 | 可信网络设备接入可信网络认证方法 |
| CN104468595A (zh) * | 2014-12-15 | 2015-03-25 | 中电长城网际***应用有限公司 | Nas设备的授权方法、装置、nas设备和服务器 |
| CN110601855B (zh) * | 2019-09-20 | 2022-05-13 | 腾讯科技(深圳)有限公司 | 一种根证书管理方法、装置及电子设备、存储介质 |
| CN112073422A (zh) * | 2020-09-15 | 2020-12-11 | 南方电网科学研究院有限责任公司 | 一种智能家居防护***及其防护方法 |
| CN112165382B (zh) * | 2020-09-28 | 2023-09-08 | 大唐高鸿信安(浙江)信息科技有限公司 | 软件授权方法、装置、授权服务端及终端设备 |
-
2021
- 2021-06-18 CN CN202110680494.2A patent/CN113312674B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113312674A (zh) | 2021-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113312674B (zh) | 基于多因子环境感知数字证书的接入安全的方法和*** | |
| CN109005155B (zh) | 身份认证方法及装置 | |
| US8898759B2 (en) | Application registration, authorization, and verification | |
| CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
| CN106549957B (zh) | 一种终端应用正版的认证方法及*** | |
| CN112000951A (zh) | 一种访问方法、装置、***、电子设备及存储介质 | |
| US20150074759A1 (en) | Application trust-listing security service | |
| CN111800377B (zh) | 一种基于安全多方计算的移动终端身份认证*** | |
| CN112583607A (zh) | 一种设备访问管理方法、装置、***及存储介质 | |
| CN114021103A (zh) | 基于身份认证的单点登录方法、装置、终端及存储介质 | |
| CN112487450A (zh) | 一种文件服务器访问分级方法 | |
| CN110753029B (zh) | 一种身份验证方法及生物识别平台 | |
| CN109858235B (zh) | 一种便携式设备及其暗码获取方法和装置 | |
| CN112738005A (zh) | 访问处理方法、装置、***、第一认证服务器及存储介质 | |
| CN110971609A (zh) | Drm客户端证书的防克隆方法、存储介质及电子设备 | |
| CN114024682A (zh) | 跨域单点登录方法、服务设备及认证设备 | |
| CN115086090A (zh) | 基于UKey的网络登录认证方法及装置 | |
| CN115086042A (zh) | 用户身份认证方法、用户身份认证***及计算机存储介质 | |
| CN114615309A (zh) | 客户端接入控制方法、装置、***、电子设备及存储介质 | |
| CN108574657B (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
| CN112311716A (zh) | 一种基于openstack的数据访问控制方法、装置及服务器 | |
| CN108449759B (zh) | 无线接入方法和无线接入认证方法 | |
| CN114741664B (zh) | 一种软件的授权方法、装置及*** | |
| CN116781761B (zh) | 一种应用程序的调用方法及装置 | |
| CN115174181B (zh) | 一种单点登录的实现方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211123 Address after: 100045 No.416, building 22, Sanlihe Third District, Xicheng District, Beijing Applicant after: He Xiaolin Address before: 100192 room 101-02, building 10, yard 1, Baosheng South Road, Haidian District, Beijing Applicant before: Beijing tailixin Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |