CN114615309B - 客户端接入控制方法、装置、***、电子设备及存储介质 - Google Patents
客户端接入控制方法、装置、***、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114615309B CN114615309B CN202210056377.3A CN202210056377A CN114615309B CN 114615309 B CN114615309 B CN 114615309B CN 202210056377 A CN202210056377 A CN 202210056377A CN 114615309 B CN114615309 B CN 114615309B
- Authority
- CN
- China
- Prior art keywords
- client
- certificate
- ssl
- module
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000012795 verification Methods 0.000 claims abstract description 87
- 238000004590 computer program Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 9
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 description 4
- 102100024990 Tetraspanin-10 Human genes 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000052 comparative effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种客户端接入控制方法、装置、***、电子设备及存储介质,接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种客户端接入控制方法、装置、***、电子设备及存储介质。
背景技术
目前,终端管理***中有以下几个典型的控制终端接入的需求:
(1)对客户端访问的认证。客户端调用API访问服务端,服务端需要对客户端进行认证,在现有技术中,通常是在应用层实现,服务端和客户端约定一个认证的方法,比如客户端和服务端约定一个token,客户端在请求中带上token,服务端会检查这个token是否匹配,此方法很容易被识破并被伪造攻击。
(2)授权日期的控制。服务端或者客户端会对授权的日期做检查,对于超过授权日期的会做一些功能限制,一般会在应用层跑一个定时的任务对授权日期做检查。
(3)服务端能强制拒绝某一个客户端的访问,比如强制取消某个客户端的授权。一般会在API的代码里做检查然后返回错误码。
以上控制终端接入需求的实现,都是在建立连接后,由应用层的代码完成,不够安全和高效,也增加了应用层软件实现的复杂度。
发明内容
本发明提供一种客户端接入控制方法、装置、***、电子设备及存储介质,用以解决现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
第一方面,本发明提供一种客户端接入控制方法,包括:
接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;
根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;
将所述第一客户端证书状态获取请求信息发送至CA服务模块;
接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
进一步,所述方法还包括:
在验证不通过的情况下,禁止所述第一客户端的接入。
进一步,所述接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,具体包括:
在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;
在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入。
进一步,所述预存的证书验证信息包括:
预先存储的SSL证书的标识信息、有效时间信息以及CA证书的签发信息。
进一步,所述客户端接入控制方法还包括:
接收SSL模块所发送的第一客户端证书状态获取请求信息;
对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
进一步,所述对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,包括:
根据预先保存的SSL证书的状态信息,对第一客户端证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果;
在状态分析结果为良好的情况下,向所述SSL模块返回SSL证书状态正常的状态分析结果。
进一步,所述方法还包括:
接收服务端程序模块所发送的第二客户端的证书配置文件;
根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端。
进一步,所述方法还包括:
接收服务端程序模块所发送的吊销第三客户端的SSL证书的指令;
在已签发的客户端的SSL证书中查找第三客户端的SSL证书;
将所述第三客户端的SSL证书的状态信息设置为吊销状态。
进一步,所述客户端接入控制方法还包括:
为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
进一步,所述方法还包括:
向所述CA服务模块发送吊销第三客户端的SSL证书的指令。
进一步,所述方法还包括:
为SSL模块配置CA证书以及CA服务模块的地址信息,并启动所述SSL模块;其中,所述CA证书为CA服务模块在签发第二客户端SSL证书时所使用的公钥。
第二方面,本发明还提供了一种客户端接入控制装置,包括:第一接收模块、验证模块、第一发送模块、第一控制模块,其中:
第一接收模块,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;
验证模块,用于根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;
第一发送模块,用于将所述第一客户端证书状态获取请求信息发送至CA服务模块;
第一控制模块,用于接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
进一步,本发明还提供了一种客户端接入控制装置,包括:第二接收模块、第二控制模块,其中:
第二接收模块,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;
第二控制模块,用于对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
进一步,本发明还提供了一种客户端接入控制装置,包括:生成模块、第二发送模块,其中:
生成模块,用于为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
第二发送模块,用于从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
第三方面,本发明还提供了一种客户端接入控制***,包括:SSL模块,CA服务模块以及服务端程序模块,用于执行如上述任一种所述客户端接入控制方法的步骤。
第四方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述客户端接入控制方法的步骤。
第五方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述客户端接入控制方法的步骤。
第六方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述客户端接入控制方法的步骤。
本发明提供的一种客户端接入控制方法、装置、***、电子设备及存储介质,接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种客户端接入控制***的结构示意图;
图2是本发明一个实施例提供的一种客户端接入控制方法的流程示意图;
图3是本发明另一个实施例提供的一种客户端接入控制方法的流程示意图;
图4是本发明又一个实施例提供的一种客户端接入控制方法的流程示意图;
图5是本发明另一个实施例提供的一种客户端接入控制方法的流程示意图;
图6是本发明另一个实施例提供的一种客户端接入控制方法的流程示意图;
图7是本发明一个实施例提供的一种客户端接入控制装置的结构框图;
图8是本发明另一个实施例提供的一种客户端接入控制装置的结构框图;
图9是本发明另一个实施例提供的一种客户端接入控制装置的结构框图;
图10是本发明另一个实施例提供的一种客户端接入控制***的结构框图;
图11是本发明另一个实施例提供的一种客户端接入控制电子设备的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明中所涉及到的SSL模块,CA服务模块以及服务端程序模块构成了客户端接入控制***,如图1所示,具体如下:
SSL模块,用来接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
CA服务模块,用来接收SSL模块所发送的第一客户端证书状态获取请求信息;对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
服务端程序模块,用来为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
图2是本实施例提供的一种客户端接入控制方法的流程示意图,参见图2,应用于SSL模块,该方法包括:
步骤201:接收第一客户端发起的SSL连接请求信息;
其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;SSL为安全网络连接层,是目前标准的安全接入方法,为网络通信提供安全及数据完整性的一种安全协议,SSL直接在传输层与应用层之间对网络连接进行加密,确保数据发送到正确的客户端和服务端以及防止数据中途被窃取;SSL模块是标准和通用的,比如直接使用nginx的SSL客户端认证。
需要进一步说明的是,所述第一客户端的SSL证书可以是已签发的SSL证书,如自签发的SSL证书,或权威机构签发的SSL证书,也可以是已吊销的SSL证书,第一客户端为待验证的客户端,为部署在windows或者linux主机上的Agent程序,受服务端管理的客户端。第一客户端可采用有线或无线方式与SSL模块所属的终端管理***进行通信连接,第一客户端可通过手机、平板电脑、电脑或是公司专用电子设备向SSL模块发送SSL连接请求信息。
具体地,第一客户端向SSL模块发送SSL连接请求信息,SSL模块接收第一客户端发起的SSL连接请求信息。
举例来说,一信息技术公司为该公司每个员工配有专属电脑,员工A通过身份码为01的电脑向公司终端管理***的SSL模块发送SSL连接请求信息,SSL模块接收员工A通过身份码为01的电脑发起的SSL连接请求信息。
步骤202:根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;
其中,预存的证书验证信息包括预先存储的SSL证书的标识信息、有效时间信息以及CA证书的签发信息。
具体地,SSL模块根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息。
举例来说,一信息技术公司的终端管理***中的SSL模块根据预存的SSL证书的标识信息、有效时间信息以及CA证书的签发信息对员工A通过身份码为01的电脑发起的SSL连接请求信息中的证书信息进行验证,其中,员工A所使用的身份码为01的电脑证书信息中标识信息即为身份码01,有效时间信息为2021年1月1日至2023年1月1日,CA证书的签发信息为a机构,经过SSL模块中预存的证书验证信息作比较验证发现,员工A所使用的身份码为01的电脑中的证书信息验证通过,之后,生成身份码为01的电脑SSL证书状态获取请求信息。
步骤203:将所述第一客户端证书状态获取请求信息发送至CA服务模块;
其中,CA为证书颁发机构,可以颁发各种数字证书,由CA机构颁发的证书都可以成为CA证书,上述SSL证书为CA机构颁发证书的其中一种,除此之外,CA机构颁发证书还可以是邮件证书、加密证书、软件数字证书,在此不作具体限定。
需要进一步说明的是,在第一客户端证书信息验证通过的情况下,即已拥有证书,证书处于有效期内且签发者信息无误的第一客户端,但依然无法确定其证书是否为吊销或伪造状态,在此情况下,为了防止已被吊销或存在伪造嫌疑的客户端接入,需要进一步通过向CA服务模块发送第一客户端证书状态获取请求信息。
具体地,根据预存的证书验证信息,在第一客户端发送的SSL连接请求信息中的证书信息与SSL模块中预存的证书验证信息匹配的情况下,即验证通过,生成第一客户端SSL证书状态获取请求信息,SSL模块将第一客户端证书状态获取请求信息发送至CA服务模块。
举例来说,一信息技术公司的终端管理***中的SSL模块根据预存的证书验证信息,在员工A通过身份码为01的电脑发送的SSL连接请求信息中的证书信息与SSL模块中预存的证书验证信息匹配的情况下,即验证通过,生成第一客户端SSL证书状态获取请求信息,SSL模块将第一客户端证书状态获取请求信息发送至CA服务模块。
步骤204:接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
其中,状态分析结果可以为正常、吊销或伪造状态,在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入。
具体地,SSL模块接收CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
举例来说,一信息技术公司的终端管理***中的SSL模块在接收到CA服务模块对员工A所使用的身份码为01的电脑证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制员工A所使用的身份码为01的电脑的接入。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的SSL模块,接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
基于上述实施例的内容,在本实施例中,所述步骤202,根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,具体还包括:
在验证不通过的情况下,禁止所述第一客户端的接入。
需要进一步说明的是,在第一客户端所发送的SSL连接请求信息中的证书信息与预存的证书验证信息,也就是预存的SSL证书的标识信息、有效时间信息以及CA证书的签发信息中的任意一个及以上不匹配的情况下,即禁止第一客户端的接入。
具体地,SSL模块根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证不通过的情况下,禁止所述第一客户端的接入。
举例来说,一信息技术公司的终端管理***中的SSL模块根据预存的SSL证书的标识信息、有效时间信息以及CA证书的签发信息对员工A通过身份码为01的电脑发起的SSL连接请求信息中的证书信息进行验证,其中,员工A所使用的身份码为01的电脑证书信息中标识信息即为身份码01,有效时间信息为2021年1月1日至2022年1月1日,CA证书的签发信息为a机构,经过SSL模块中预存的证书验证信息作比较验证发现,员工A所使用的身份码为01的电脑证书信息已过期,即不在有效时间内,因此,验证不通过,禁止员工A所使用的身份码为01的电脑的接入。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的SSL模块,在根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证不通过的情况下,禁止所述第一客户端的接入,避免了由于客户端所拥有的证书在过期或身份信息、签发信息不正确的情况下依然能够接入的问题,保证了客户端能够更安全、更有效的接入。
基于上述实施例的内容,在本实施例中,所述步骤204,接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,具体可通过如下方式实现:
在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;
在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入。
具体地,SSL模块接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入。
举例来说,一信息技术公司的终端管理***中的SSL模块根据预存的SSL证书的标识信息、有效时间信息以及CA证书的签发信息对员工A通过身份码为01的电脑以及员工B通过身份码为02的电脑发起的SSL连接请求信息中的证书信息进行验证,其中,员工A所使用的身份码为01的电脑证书信息中标识信息即为身份码01,有效时间信息为2021年1月1日至2023年1月1日,CA证书的签发信息为a机构,员工B所使用的身份码为02的电脑证书信息中标识信息即为身份码02,有效时间信息为2021年1月1日至2022年1月1日,CA证书的签发信息为a机构,经过SSL模块中预存的证书验证信息作比较验证发现,员工A所使用的身份码为01的电脑证书信息验证通过,允许员工A所使用的身份码为01的电脑接入;员工B所使用的身份码为02的电脑已过期,即不在有效时间内,因此,验证不通过,禁止员工B所使用的身份码为02的电脑的接入。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的SSL模块,在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
图3是本实施例提供的另一种客户端接入控制方法的流程示意图,参见图3,应用于CA服务模块,该方法包括:
步骤301:接收SSL模块所发送的第一客户端证书状态获取请求信息;
步骤302:对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
需要进一步说明的是,CA服务模块存在于终端管理***中。
具体地,CA服务模块接收SSL模块所发送的第一客户端证书状态获取请求信息,对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
举例来说,一信息技术公司的终端管理***中的CA服务模块接收SSL模块所发送的身份码为01的电脑的证书状态获取请求信息;在接收到SSL模块发送的身份码为01的电脑的证书状态获取请求信息之后,对身份码为01的电脑的证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制身份码为01的电脑的接入。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的CA服务模块,接收SSL模块所发送的第一客户端证书状态获取请求信息;对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
基于上述实施例的内容,在本实施例中,所述步骤302,所述对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,具体可通过如下方式实现:
根据预先保存的SSL证书的状态信息,对第一客户端证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果;
在状态分析结果为良好的情况下,向所述SSL模块返回SSL证书状态正常的状态分析结果。
其中,预先保存的SSL证书的状态信息为分析验证客户端证书是否存在吊销或伪造嫌疑状态的信息。
具体地,CA服务模块根据预先保存的SSL证书的状态信息,对第一客户端证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果;在状态分析结果为良好的情况下,向所述SSL模块返回SSL证书状态正常的状态分析结果。
举例来说,CA服务模块根据预先保存的SSL证书的状态信息,对员工A所使用的身份码为01的电脑证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果,此时即使是员工A所使用的身份码为01的电脑所发送的SSL连接请求信息中的证书信息与预存的证书验证信息匹配,即验证通过的情况下,也无法实现身份码为01的电脑的接入;在状态分析结果为良好的情况下,向SSL模块返回SSL证书状态正常的状态分析结果,此时可实现身份码为01的电脑的接入。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的CA服务模块,根据预先保存的SSL证书的状态信息,对第一客户端证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果;在状态分析结果为良好的情况下,向所述SSL模块返回SSL证书状态正常的状态分析结果,避免了由于客户端中途被吊销或为伪造证书客户端而导致的正常接入的问题,通过设置CA服务模块,更安全、高效地实现客户端的接入。
基于上述实施例的内容,在本实施例中,所述客户端接入控制方法应用于CA服务模块,具体包括:
接收服务端程序模块所发送的第二客户端的证书配置文件;
根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;
将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端。
其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;第二客户端的标识信息,如用户电脑的身份ID。
需要进一步说明的是,为了区分发起SSL连接请求信息的待验证的第一客户端,此处第二客户端为需要生成SSL证书的客户端,也就是未被签发SSL证书的客户端,例如新入职的员工C,公司为其配备新电脑,但新电脑未配备有SSL证书,因此,需要为员工C的新电脑签发SSL证书;第二客户端可采用有线或无线方式与服务端程序模块进行通信连接,第二客户端可以是手机、平板电脑、电脑或是公司专用电子设备等一切可进行通行连接的电子设备,在此不作具体限定。
具体地,CA服务模块接收服务端程序模块所发送的第二客户端的证书配置文件;根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端。
举例来说,CA服务模块接收服务端程序模块所发送的员工C所使用的新电脑的证书配置文件;根据员工C所使用的新电脑的证书配置文件生成员工C所使用的新电脑的SSL证书以及员工C所使用的新电脑的SSL证书的状态信息,并在本地保存;其中,员工C所使用的新电脑的SSL证书包括员工C所使用的新电脑的标识信息,即身份码为03,以及员工C所使用的新电脑的SSL证书的有效时间信息为2022年1月1日至2024年1月1日;将员工C所使用的新电脑的SSL证书发送至服务端程序模块,以通过服务端程序模块将员工C所使用的新电脑的SSL证书签发给员工C所使用的新电脑。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的CA服务模块,接收服务端程序模块所发送的第二客户端的证书配置文件;根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端,通过设置CA服务模块,实现了新客户端的SSL证书的签发,将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
基于上述实施例的内容,在本实施例中,所述客户端接入控制方法应用于CA服务模块,方法还包括:
接收服务端程序模块所发送的吊销第三客户端的SSL证书的指令。
其中,第三客户端为已经具有CA服务模块签发的SSL证书,但是需要被CA服务模块取消授权的客户端。
需要进一步说明的是,在已签发的客户端的SSL证书中查找第三客户端的SSL证书的方式可以是输入第三客户端的标识信息,也可以是根据上述所提及的在本地保存的第二客户端的SSL证书。
可以理解的是,当所述第三客户端的SSL证书的状态为吊销状态之后,第三客户端即使是拥有CA服务模块已签发的SSL证书,而且仍然在授权有效期内,也无法进行接入。
具体地,CA服务模块接收服务端程序模块所发送的吊销第三客户端的SSL证书的指令。
举例来说,一信息技术公司的员工D由于泄露公司机密而被公司开除,员工D被开除时,由于先前公司的终端管理***中的CA服务模块签发的SSL证书仍然在有效期内,所以即使是离职只要是通过此电脑仍然可以进行登录,所以为了安全起见,公司在开除员工D那一刻,就可对终端管理***进行操作,CA服务模块会接收到服务端程序模块所发送的吊销员工D所使用的身份码为04的电脑的SSL证书的指令,在已签发的客户端的SSL证书中查找员工D所使用的身份码为04的电脑的SSL证书;将员工D所使用的身份码为04的电脑的SSL证书的状态设置为吊销状态,即使是员工D的SSL证书还在有效期内也无法接入。
本实施例提供了一种客户端接入控制方法,CA服务模块接收服务端程序模块所发送的吊销第三客户端的SSL证书的指令,通过设置CA服务模块,实现了新客户端的SSL证书的吊销,避免了由于客户端中途被吊销而导致的能够正常接入的问题,从而实现更安全、更高效地控制客户端的接入。
图4是本实施例提供的又一种客户端接入控制方法的流程示意图,参见图4,应用于服务端程序模块,该方法包括:
步骤401:为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
步骤402:从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
其中,服务端程序模块为第二客户端生成的证书配置文件,包括第二客户端的标识信息,如用户电脑的身份ID,或该客户端的授权有效日期等能够判断客户端能否接入的相关信息。
具体地,服务端程序模块为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
举例来说,一信息技术公司的服务端程序模块为新入职的员工C的新电脑生成证书配置文件,并将员工C的新电脑的证书配置文件发送至CA服务模块,以使得CA服务模块根据员工C的新电脑的证书配置文件生成员工C的新电脑的SSL证书;其中,员工C的新电脑的标识信息为身份码03,以及员工C的新电脑的SSL证书的有效时间信息为2022年1月1日至2024年1月1日;从CA服务模块接收员工C的新电脑的SSL证书,将员工C的新电脑的SSL证书发送至员工C的新电脑。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的服务端程序模块,为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端,实现了新客户端SSL证书的签发,从而更安全、更高效地控制客户端的接入。
基于上述实施例的内容,在本实施例中,所述客户端接入控制方法应用于服务端程序模块,方法还包括:
向所述CA服务模块发送吊销第三客户端的SSL证书的指令。
需要进一步说明的是,在服务端程序模块向所述CA服务模块发送吊销第三客户端的SSL证书的指令之前,负责终端管理***的相关人员可通过相关操作,如下发指令的相关图标或按键实现对服务端程序模块的操控,使得服务端程序模块向所述CA服务模块发送吊销第三客户端的SSL证书的指令。
具体地,服务端程序模块向所述CA服务模块发送吊销第三客户端的SSL证书的指令。
本实施例提供了一种客户端接入控制方法,服务端程序模块向所述CA服务模块发送吊销第三客户端的SSL证书的指令,实现了新客户端的SSL证书的吊销,避免了由于客户端中途被吊销而导致的能够正常接入的问题,从而实现更安全、更高效地控制客户端的接入。
基于上述实施例的内容,在本实施例中,所述客户端接入控制方法应用于服务端程序模块,方法还包括:
为SSL模块配置CA证书以及CA服务模块的地址信息,并启动所述SSL模块;
其中,所述CA证书为CA服务模块在签发第二客户端SSL证书时所使用的公钥。
需要进一步说明的是,服务端程序模块为SSL模块配置的CA证书是为了与待验证客户端发送的SSL连接请求信息中的证书信息进行对比验证,判断待接入的客户端中CA证书的签发信息是否与SSL模块中配置的CA证书匹配。
具体地,服务端程序模块为SSL模块配置CA证书以及CA服务模块的地址信息,并启动所述SSL模块;其中,所述CA证书为CA服务模块在签发第二客户端SSL证书时所使用的公钥。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的服务端程序模块,为SSL模块配置CA证书以及CA服务模块的地址信息,并启动所述SSL模块;其中,所述CA证书为CA服务模块在签发第二客户端SSL证书时所使用的公钥,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
图5是本实施例提供的又一种客户端接入控制方法的流程示意图,参见图5,该方法为客户端证书签发和认证流程,具体包括:
准备CA证书,CA证书可以是自签名的,也可以是权威机构签发的;
启动CA服务程序,CA服务端程序会使用CA证书签发客户端证书;
将CA证书和CA OCSP服务程序的url配置到SSL模块并启动;其中,OCSP为在线证书状态协议,协议规定了服务器和客户端应用程序的通讯语法,OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态,当客户端试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求,服务器回复一个“有效”、“过期”或“未知”的响应;
当部署客户端时,服务端程序为客户端生成证书配置文件,包括但不限于,将客户端的唯一标识(比如机器ID)填入主体的CN字段,根据授权日期填入证书的Validity字段;
服务端程序调用CA服务程序接口,传入客户端证书配置文件,生成客户端证书;
客户端使用SSL证书进行连接服务端;
SSL模块对证书进行验证,验证信息包括证书是否为服务端签发,证书是否吊销或在有效期内,以决定是否允许客户端接入。
图6是本实施例提供的另一种客户端接入控制方法的流程示意图,参见图6,该方法为禁止客户端接入的流程,具体包括:
禁止某个客户端接入,比如强制取消某个客户端的授权;
服务端程序调用CA的api吊销该客户端对应的证书,传入证书的主体和证书的序列号,CA将该证书设置为吊销状态;
客户端使用服务端已经吊销的证书继续建立连接;
SSL模块通过OCSP查询证书状态,发现证书已经吊销,拒绝连接,返回错误信息。
图7为本实施例提供的一种客户端接入控制装置的结构框图,该装置包括第一接收模块701、验证模块702、第一发送模块703、第一控制模块704,其中:
第一接收模块701,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;
其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;SSL为安全网络连接层,是目前标准的安全接入方法,为网络通信提供安全及数据完整性的一种安全协议,SSL直接在传输层与应用层之间对网络连接进行加密,确保数据发送到正确的客户端和服务端以及防止数据中途被窃取;SSL模块是标准和通用的,比如直接使用nginx的SSL客户端认证。
需要进一步说明的是,所述第一客户端的SSL证书可以是已签发的SSL证书,如自签发的SSL证书,或权威机构签发的SSL证书,也可以是已吊销的SSL证书,第一客户端为待验证的客户端,为部署在windows或者linux主机上的Agent程序,受服务端管理的客户端。第一客户端可采用有线或无线方式与SSL模块所属的终端管理***进行通信连接,第一客户端可通过手机、平板电脑、电脑或是公司专用电子设备向SSL模块发送SSL连接请求信息。
具体地,第一客户端向SSL模块发送SSL连接请求信息,SSL模块接收第一客户端发起的SSL连接请求信息。
举例来说,一信息技术公司为该公司每个员工配有专属电脑,员工A通过身份码为01的电脑向公司终端管理***的SSL模块发送SSL连接请求信息,SSL模块接收员工A通过身份码为01的电脑发起的SSL连接请求信息。
验证模块702,用于根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;
其中,预存的证书验证信息包括预先存储的SSL证书的标识信息、有效时间信息以及CA证书的签发信息。
具体地,SSL模块根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息。
举例来说,一信息技术公司的终端管理***中的SSL模块根据预存的SSL证书的标识信息、有效时间信息以及CA证书的签发信息对员工A通过身份码为01的电脑发起的SSL连接请求信息中的证书信息进行验证,其中,员工A所使用的身份码为01的电脑证书信息中标识信息即为身份码01,有效时间信息为2021年1月1日至2023年1月1日,CA证书的签发信息为a机构,经过SSL模块中预存的证书验证信息作比较验证发现,员工A所使用的身份码为01的电脑中的证书信息验证通过,之后,生成身份码为01的电脑SSL证书状态获取请求信息。
第一发送模块703,用于将所述第一客户端证书状态获取请求信息发送至CA服务模块;
其中,CA为证书颁发机构,可以颁发各种数字证书,由CA机构颁发的证书都可以成为CA证书,上述SSL证书为CA机构颁发证书的其中一种,除此之外,CA机构颁发证书还可以是邮件证书、加密证书、软件数字证书,在此不作具体限定。
需要进一步说明的是,在第一客户端证书信息验证通过的情况下,即已拥有证书,证书处于有效期内且签发者信息无误的第一客户端,但依然无法确定其证书是否为吊销或伪造状态,在此情况下,为了防止已被吊销或存在伪造嫌疑的客户端接入,需要进一步通过向CA服务模块发送第一客户端证书状态获取请求信息。
具体地,根据预存的证书验证信息,在第一客户端发送的SSL连接请求信息中的证书信息与SSL模块中预存的证书验证信息匹配的情况下,即验证通过,生成第一客户端SSL证书状态获取请求信息,SSL模块将第一客户端证书状态获取请求信息发送至CA服务模块。
举例来说,一信息技术公司的终端管理***中的SSL模块根据预存的证书验证信息,在员工A通过身份码为01的电脑发送的SSL连接请求信息中的证书信息与SSL模块中预存的证书验证信息匹配的情况下,即验证通过,生成第一客户端SSL证书状态获取请求信息,SSL模块将第一客户端证书状态获取请求信息发送至CA服务模块。
第一控制模块704,用于接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
其中,状态分析结果可以为正常、吊销或伪造状态,在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入。
具体地,SSL模块接收CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
举例来说,一信息技术公司的终端管理***中的SSL模块在接收到CA服务模块对员工A所使用的身份码为01的电脑证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制员工A所使用的身份码为01的电脑的接入。
本实施例提供了一种客户端接入控制装置,应用于终端管理***的SSL模块,第一接收模块701,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;验证模块702,用于根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;第一发送模块703,用于将所述第一客户端证书状态获取请求信息发送至CA服务模块;第一控制模块704,用于接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
可选的,所述验证模块702,还包括:
用于在验证不通过的情况下,禁止所述第一客户端的接入。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的SSL模块,在根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证不通过的情况下,禁止所述第一客户端的接入,避免了由于客户端所拥有的证书在过期或身份信息、签发信息不正确的情况下依然能够接入的问题,保证了客户端能够更安全、更有效的接入。
可选的,所述第一控制模块704,具体包括:
用于在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;
在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的SSL模块,在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
可选的,所述验证模块702中的预存的证书验证信息包括:
预先存储的SSL证书的标识信息、有效时间信息以及CA证书的签发信息。
图8为本实施例提供的另一种客户端接入控制装置的结构框图,该装置包括第二接收模块801、第二控制模块802,其中:
第二接收模块801,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;
第二控制模块802,用于对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
需要进一步说明的是,CA服务模块存在于终端管理***中。
具体地,CA服务模块接收SSL模块所发送的第一客户端证书状态获取请求信息,对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
举例来说,一信息技术公司的终端管理***中的CA服务模块接收SSL模块所发送的身份码为01的电脑的证书状态获取请求信息;在接收到SSL模块发送的身份码为01的电脑的证书状态获取请求信息之后,对身份码为01的电脑的证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制身份码为01的电脑的接入。
本实施例提供了一种客户端接入控制装置,应用于终端管理***的CA服务模块,第二接收模块801,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;第二控制模块802,用于对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
可选的,第二控制模块802,具体包括:
用于根据预先保存的SSL证书的状态信息,对第一客户端证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果;
在状态分析结果为良好的情况下,向所述SSL模块返回SSL证书状态正常的状态分析结果。
本实施例提供了一种客户端接入控制装置,应用于终端管理***的CA服务模块,根据预先保存的SSL证书的状态信息,对第一客户端证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果;在状态分析结果为良好的情况下,向所述SSL模块返回SSL证书状态正常的状态分析结果,避免了由于客户端中途被吊销或为伪造证书客户端而导致的正常接入的问题,通过设置CA服务模块,更安全、高效地实现客户端的接入。
可选的,所述装置还包括:
用于接收服务端程序模块所发送的第二客户端的证书配置文件;
根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端。
本实施例提供了一种客户端接入控制装置,应用于终端管理***的CA服务模块,接收服务端程序模块所发送的第二客户端的证书配置文件;根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端,通过设置CA服务模块,实现了新客户端的SSL证书的签发,将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
可选的,所述装置还包括:
用于接收服务端程序模块所发送的吊销第三客户端的SSL证书的指令;
在已签发的客户端的SSL证书中查找第三客户端的SSL证书;
将所述第三客户端的SSL证书的状态信息设置为吊销状态。
本实施例提供了一种客户端接入控制装置,CA服务模块接收服务端程序模块所发送的吊销第三客户端的SSL证书的指令,通过设置CA服务模块,实现了新客户端的SSL证书的吊销,避免了由于客户端中途被吊销而导致的能够正常接入的问题,从而实现更安全、更高效地控制客户端的接入。
图9为本实施例提供的又一种客户端接入控制装置的结构框图,该装置包括生成模块901、第二发送模块902,其中:
生成模块901,用于为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
第二发送模块902,用于从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
其中,服务端程序模块为第二客户端生成的证书配置文件,包括第二客户端的标识信息,如用户电脑的身份ID,或该客户端的授权有效日期等能够判断客户端能否接入的相关信息。
具体地,服务端程序模块为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
举例来说,一信息技术公司的服务端程序模块为新入职的员工C的新电脑生成证书配置文件,并将员工C的新电脑的证书配置文件发送至CA服务模块,以使得CA服务模块根据员工C的新电脑的证书配置文件生成员工C的新电脑的SSL证书;其中,员工C的新电脑的标识信息为身份码03,以及员工C的新电脑的SSL证书的有效时间信息为2022年1月1日至2024年1月1日;从CA服务模块接收员工C的新电脑的SSL证书,将员工C的新电脑的SSL证书发送至员工C的新电脑。
本实施例提供了一种客户端接入控制装置,应用于终端管理***的服务端程序模块,生成模块901,用于为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;第二发送模块902,用于从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端,实现了新客户端SSL证书的签发,从而更安全、更高效地控制客户端的接入。
可选的,所述装置还包括:
用于向所述CA服务模块发送吊销第三客户端的SSL证书的指令。
本实施例提供了一种客户端接入控制装置,服务端程序模块向所述CA服务模块发送吊销第三客户端的SSL证书的指令,实现了新客户端的SSL证书的吊销,避免了由于客户端中途被吊销而导致的能够正常接入的问题,从而实现更安全、更高效地控制客户端的接入。
可选的,所述装置还包括:
用于为SSL模块配置CA证书以及CA服务模块的地址信息,并启动所述SSL模块;其中,所述CA证书为CA服务模块在签发第二客户端SSL证书时所使用的公钥。
本实施例提供了一种客户端接入控制方法,应用于终端管理***的服务端程序模块,为SSL模块配置CA证书以及CA服务模块的地址信息,并启动所述SSL模块;其中,所述CA证书为CA服务模块在签发第二客户端SSL证书时所使用的公钥,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
图10为本实施例提供的客户端接入控制***的结构框图,该***包括SSL模块,CA服务模块以及服务端程序模块,其中:
SSL模块,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入。
CA服务模块,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入。
服务端程序模块,用于为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
本实施例提供了一种客户端接入控制***,解决了现有终端管理***在应用层实现客户端接入的控制,不够安全和高效,也增加了应用层软件实现的复杂度的问题,通过将客户端接入控制需求的实现从***的应用层下移到SSL连接层,更加安全和高效,也减少了应用层软件的实现复杂度。
图11为本发明实施例提供的一种电子设备的实体结构示意图,如图11所示,该电子设备可以包括:处理器(processor)1110、通信接口(Communications Interface)1120、存储器(memory)1130和总线1140,其中,处理器1110,通信接口1120,存储器1130通过总线1140完成相互间的通信。总线1140可以用于电子设备与传感器之间的信息传输。处理器1110可以调用存储器1130中的逻辑指令,以执行如下方法:SSL模块,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入;CA服务模块,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入;服务端程序模块,用于为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
此外,上述的存储器1130中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令使计算机执行上述实施例所提供的一种客户端接入控制方法,例如包括:SSL模块,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入;CA服务模块,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入;服务端程序模块,用于为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
又一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的一种客户端接入控制方法,该方法包括:SSL模块,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的;根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;将所述第一客户端证书状态获取请求信息发送至CA服务模块;接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入;CA服务模块,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入;服务端程序模块,用于为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种客户端接入控制方法,其特征在于,应用于SSL模块,包括:
接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的,所述第一客户端为待验证的客户端;
根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;
将所述第一客户端证书状态获取请求信息发送至CA服务模块;
接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,所述方法还包括:在验证不通过的情况下,禁止所述第一客户端的接入。
2.根据权利要求1所述的客户端接入控制方法,其特征在于,所述接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,具体包括:
在所述状态分析结果为正常的情况下,允许所述第一客户端的接入;
在所述状态分析结果为吊销或伪造的情况下,禁止所述第一客户端的接入。
3.根据权利要求1所述的客户端接入控制方法,其特征在于,所述预存的证书验证信息包括:
预先存储的SSL证书的标识信息、有效时间信息以及CA证书的签发信息。
4.一种客户端接入控制方法,其特征在于,应用于CA服务模块,包括:
接收SSL模块所发送的第一客户端证书状态获取请求信息;
对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入,所述方法还包括:
接收服务端程序模块所发送的第二客户端的证书配置文件;
根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端,所述第二客户端为需要生成SSL证书的客户端。
5.根据权利要求4所述的客户端接入控制方法,其特征在于,所述对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,包括:
根据预先保存的SSL证书的状态信息,对第一客户端证书状态获取请求信息进行状态分析,在状态分析结果为异常的情况下,向所述SSL模块返回SSL证书吊销或伪造的状态分析结果;
在状态分析结果为良好的情况下,向所述SSL模块返回SSL证书状态正常的状态分析结果。
6.根据权利要求4所述的客户端接入控制方法,其特征在于,方法还包括:
接收服务端程序模块所发送的吊销第三客户端的SSL证书的指令;
在已签发的客户端的SSL证书中查找第三客户端的SSL证书;
将所述第三客户端的SSL证书的状态信息设置为吊销状态。
7.一种客户端接入控制装置,其特征在于,应用于SSL模块,包括第一接收模块、验证模块、第一发送模块、第一控制模块,其中:
第一接收模块,用于接收第一客户端发起的SSL连接请求信息;其中,所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的,所述第一客户端为待验证的客户端;
验证模块,用于根据预存的证书验证信息,对所述SSL连接请求信息中的证书信息进行验证,在验证通过的情况下,生成第一客户端SSL证书状态获取请求信息;
第一发送模块,用于将所述第一客户端证书状态获取请求信息发送至CA服务模块;
第一控制模块,用于接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果,并根据所述状态分析结果控制所述第一客户端的接入,所述验证模块还用于:在验证不通过的情况下,禁止所述第一客户端的接入。
8.一种客户端接入控制装置,其特征在于,应用于CA服务模块,包括第二接收模块、第二控制模块,其中:
第二接收模块,用于接收SSL模块所发送的第一客户端证书状态获取请求信息;
第二控制模块,用于对第一客户端证书状态获取请求信息进行状态分析,将状态分析结果发送至SSL模块,以使得所述SSL模块根据所述状态分析结果控制所述第一客户端的接入,所述第二接收模块还用于:接收服务端程序模块所发送的第二客户端的证书配置文件;
所述第二控制模块还用于:根据第二客户端的证书配置文件生成第二客户端的SSL证书以及所述第二客户端的SSL证书的状态信息,并在本地保存;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
将所述第二客户端的SSL证书发送至所述服务端程序模块,以通过所述服务端程序模块将所述第二客户端的SSL证书签发给所述第二客户端,所述第二客户端为需要生成SSL证书的客户端。
9.一种客户端接入控制***,其特征在于,包括:SSL模块,CA服务模块以及服务端程序模块;其中,
所述SSL模块,用于执行如权利要求1至3任一项所述的客户端接入控制方法的步骤;
所述CA服务模块,用于执行如权利要求4至6任一项所述的客户端接入控制方法的步骤;
所述服务端程序模块,用于执行如下步骤:
为第二客户端生成证书配置文件,并将第二客户端的证书配置文件发送至CA服务模块,以使得所述CA服务模块根据第二客户端的证书配置文件生成第二客户端的SSL证书;其中,所述第二客户端的SSL证书包括第二客户端的标识信息以及第二客户端的SSL证书的有效时间信息;
从所述CA服务模块接收所述第二客户端的SSL证书,将所述第二客户端的SSL证书发送至所述第二客户端。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述的客户端接入控制方法的步骤,或如权利要求4至6任一项所述的客户端接入控制方法的步骤。
11.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的客户端接入控制方法的步骤,或如权利要求4至6任一项所述的客户端接入控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210056377.3A CN114615309B (zh) | 2022-01-18 | 2022-01-18 | 客户端接入控制方法、装置、***、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210056377.3A CN114615309B (zh) | 2022-01-18 | 2022-01-18 | 客户端接入控制方法、装置、***、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114615309A CN114615309A (zh) | 2022-06-10 |
CN114615309B true CN114615309B (zh) | 2024-03-15 |
Family
ID=81857725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210056377.3A Active CN114615309B (zh) | 2022-01-18 | 2022-01-18 | 客户端接入控制方法、装置、***、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114615309B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116233352B (zh) * | 2023-05-06 | 2023-07-07 | 北京电信易通信息技术股份有限公司 | 一种视频会议场景下终端数据传输方法及*** |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、***及其装置 |
CN101883106A (zh) * | 2010-06-30 | 2010-11-10 | 赛尔网络有限公司 | 基于数字证书的网络接入认证方法和网络接入认证服务器 |
CN103441991A (zh) * | 2013-08-12 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种移动终端安全接入平台 |
CN105592059A (zh) * | 2015-10-14 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种数字证书的验证方法和装置 |
CN106789897A (zh) * | 2016-11-15 | 2017-05-31 | 沃通电子认证服务有限公司 | 用于移动终端应用程序的数字证书验证方法及*** |
CN107306182A (zh) * | 2016-04-19 | 2017-10-31 | 大唐移动通信设备有限公司 | 一种生成数字证书的方法、客户端及服务器 |
CN109413201A (zh) * | 2018-11-27 | 2019-03-01 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
US10521581B1 (en) * | 2017-07-14 | 2019-12-31 | EMC IP Holding Company LLC | Web client authentication and authorization |
CN111585976A (zh) * | 2020-04-09 | 2020-08-25 | 北京理工大学 | 通信方法、装置、存储介质和电子设备 |
CN113014546A (zh) * | 2021-01-29 | 2021-06-22 | 深圳市风云实业有限公司 | 一种基于证书的认证注册状态管理方法及*** |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030126433A1 (en) * | 2001-12-27 | 2003-07-03 | Waikwan Hui | Method and system for performing on-line status checking of digital certificates |
US9455980B2 (en) * | 2014-12-16 | 2016-09-27 | Fortinet, Inc. | Management of certificate authority (CA) certificates |
-
2022
- 2022-01-18 CN CN202210056377.3A patent/CN114615309B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、***及其装置 |
CN101883106A (zh) * | 2010-06-30 | 2010-11-10 | 赛尔网络有限公司 | 基于数字证书的网络接入认证方法和网络接入认证服务器 |
CN103441991A (zh) * | 2013-08-12 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种移动终端安全接入平台 |
CN105592059A (zh) * | 2015-10-14 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种数字证书的验证方法和装置 |
CN107306182A (zh) * | 2016-04-19 | 2017-10-31 | 大唐移动通信设备有限公司 | 一种生成数字证书的方法、客户端及服务器 |
CN106789897A (zh) * | 2016-11-15 | 2017-05-31 | 沃通电子认证服务有限公司 | 用于移动终端应用程序的数字证书验证方法及*** |
US10521581B1 (en) * | 2017-07-14 | 2019-12-31 | EMC IP Holding Company LLC | Web client authentication and authorization |
CN109413201A (zh) * | 2018-11-27 | 2019-03-01 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
CN111585976A (zh) * | 2020-04-09 | 2020-08-25 | 北京理工大学 | 通信方法、装置、存储介质和电子设备 |
CN113014546A (zh) * | 2021-01-29 | 2021-06-22 | 深圳市风云实业有限公司 | 一种基于证书的认证注册状态管理方法及*** |
Non-Patent Citations (1)
Title |
---|
基于用户行为的可信网络接入关键技术研究;庄俊玺;中国博士学位论文全文数据库 信息科技辑;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114615309A (zh) | 2022-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2578186C (en) | System and method for access control | |
EP2013758B1 (en) | Dynamic authentication in secured wireless networks | |
US7640430B2 (en) | System and method for achieving machine authentication without maintaining additional credentials | |
CN102624720B (zh) | 一种身份认证的方法、装置和*** | |
EP2770662A1 (en) | Centralized security management method and system for third party application and corresponding communication system | |
US8751791B2 (en) | Method and device for confirming authenticity of a public key infrastructure (PKI) transaction event | |
JP2012530965A (ja) | 共有登録システムの多要素認証 | |
CN112396735B (zh) | 网联汽车数字钥匙安全认证方法及装置 | |
WO2008094725A1 (en) | Method for generating digital fingerprint using pseudo random number code | |
CN101986598B (zh) | 认证方法、服务器及*** | |
CN111027035A (zh) | 一种基于区块链的多重身份认证方法及*** | |
WO2019033822A1 (zh) | 数字证书的生成、认证方法、通信设备及存储介质 | |
CN1268157C (zh) | 一种用于动态身份认证的手机 | |
CN1885770B (zh) | 一种认证方法 | |
JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
KR20150079845A (ko) | 제3자 포탈을 이용한 단말과 원격 서버 사이의 상호 인증을 위한 방법 | |
CN102264050A (zh) | 网络接入方法、***及认证服务器 | |
EP3787250B1 (en) | Authentication between a telematic control unit and a core server system | |
CN114615309B (zh) | 客户端接入控制方法、装置、***、电子设备及存储介质 | |
CN115134154A (zh) | 认证方法、装置、远程控制车辆的方法及*** | |
CN101282215A (zh) | 证书鉴别方法和设备 | |
KR20050071768A (ko) | 원타임 패스워드 서비스 시스템 및 방법 | |
EP1636963A1 (en) | Method and apparatuses for bootstrapping a local authorization system in ip networks | |
CN110807854A (zh) | 一种开锁策略配置方法及设备 | |
CN112887308B (zh) | 一种无感网络身份认证方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |