CN101227452B - 一种网络接入认证的方法及系统 - Google Patents
一种网络接入认证的方法及系统 Download PDFInfo
- Publication number
- CN101227452B CN101227452B CN2007100009966A CN200710000996A CN101227452B CN 101227452 B CN101227452 B CN 101227452B CN 2007100009966 A CN2007100009966 A CN 2007100009966A CN 200710000996 A CN200710000996 A CN 200710000996A CN 101227452 B CN101227452 B CN 101227452B
- Authority
- CN
- China
- Prior art keywords
- information
- module
- agent client
- credential request
- trusting relationship
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例中公开了一种网络接入认证的方法。包括:建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系;建立端点侧单元的信息收集模块和网络侧单元的信息评估模块直接信任关系;建立信息收集模块和代理客户端模块直接信任关系;和/或,建立信息评估模块和代理服务器模块直接信任关系。本发明实施例中还公开了一种网络接入认证的系统。包含代理客户端模块、信息收集模块、代理服务器模块及信息评估模块,增加代理客户端模块和信息收集模块;和/或,信息评估模块和代理服务器模块间直接信任关系。应用本发明能够保证各实体的行为符合网络端点评估系统架构的要求,增强了系统的安全性。
Description
技术领域
本发明涉及网络认证技术,特别涉及一种网络接入认证的方法及系统。
背景技术
随着互联网在全球的快速发展及传输控制协议/网际协议(TCP/IP,Transfer Control Protocol/Internet Protocol)在网络中的广泛应用,互联网在带给人们方便的同时,其不安全因素问题也日趋严重,由于TCP/IP技术的开放架构和协议本身在安全上的缺陷,大多数攻击,比如病毒,蠕虫,黑客攻击等都是基于TCP/IP协议的,互联网安全问题主要包括:网络环境下计算机系统、计算机网络自身的安全保护;基于计算机网络的通信和分布式应用系统的安全保护。
网络端点评估(NEA,Network Endpoint Assessment)系统的目的是保护互联网不受那些来自不安全节点的威胁,这些不安全节点包括:已经被病毒感染或存在某些安全漏洞的节点。NEA系统中网络管理者通过安装在试图接入网络的节点上的代理软件,收集端点的系统状态信息,主要是与安全相关的一些信息,如端点系统安装的操作系统及其版本信息、补丁安装信息、防火墙信息、杀毒软件及版本信息、用户身份ID(Identification)信息等,并进行评估,考察其对网络安全策略的符合程度,然后根据对某个节点的评估结果决定是否允许该节点进入网络:只有符合要求的节点才允许接入网络;对于不符合策略的节点,网络管理者不允许其接入网络,同时还可以将更新途径通知该节点。
NEA系统的核心功能之一是对端点的各种系统状态信息进行收集和评估,实施决定接入控制策略的网络系统。由于系统状态信息的涉及的内容很广,因此需要在端点侧安装可能由不同厂商提供的信息收集模块,由信息收集模块完成相关方面的系统信息收集,并转交给代理客户端发送给网络侧;同样的,在网络侧需要部署信息评估模块,由信息评估模块完成代理客户端发送过来的相关系统信息评估,并将评估结果信息转交给代理服务器发送给端点侧。
由于NEA系统是一个端点侧与网络侧之间的联动系统,为了保证网络侧能够获得端点侧的真实信息,并且该信息能够被正确处理,端点侧与网络侧的各个实体(代理客户端,代理服务器,信息收集模块,信息评估模块)之间必须建立信任关系。如果没有建立起这一系列的信任关系,端点侧就不应该将自己的系统信息发送到网络侧,而网络侧对发送过来的无法辨别真伪的端点信息进行相应评估。
目前,端点侧与网络侧各个实体间信任关系的建立主要包括两个环节:代理客户端与代理服务器之间建立直接信任关系及信息收集模块与信息评估模块之间建立直接信任关系。
图1是现有NEA系统中各实体之间建立信任关系的示意图,如图1所示,该NEA系统包含:端点侧单元11及网络侧单元12,其中,
端点侧单元11包含信息收集模块111及代理客户端模块112;网络侧单元12包含信息评估模块121及代理服务器模块122。
代理客户端模块112,用于与代理服务器模块122建立信任关系,并转发信息收集模块111输出的端点信息、网络信息评估结果信息、代理服务器模块122输出的网络信息及端点信息评估结果信息。建立信任关系的过程如下:
代理客户端模块112发出信任请求信息,代理服务器模块122接收信任请求信息并对此信息进行评估,如果评估成功,建立代理服务器模块122对代理客户端模块112的信任关系;否则拒绝建立信任关系。代理客户端模块112建立对代理服务器模块122的信任关系相类似,在此不再赘述。
信息收集模块111,用于与信息评估模块121建立直接信任关系:收集端点信息,发出信任请求信息给代理客户端模块112,代理客户端模块112将信任请求信息转发给代理服务器模块122,代理服务器模块122再转发给信息评估模块121,信息评估模块121接收信任请求信息并对此信息进行评估,如果评估成功,建立信息评估模块121对信息收集模块111的信任关系,否则拒绝建立信任关系;同样地,信息收集模块111也可以建立或拒绝对信息评估模块121的直接信任关系。
但是,上述所示的NEA系统,只是在属于端点侧和网络侧的同一层次实体之间建立了信任关系,即在代理客户端模块112与代理服务器模块122之间以及信息收集模块111与信息评估模块121之间建立了直接信任关系,而不同层次的实体之间没有建立信任关系,如信息收集模块111与代理客户端模块112之间及信息评估模块121与代理服务器模块122之间没有建立信任关系,因此可能使得代理客户端模块112在没有和信息收集模块111之间建立信任关系的情况下,就将信息收集模块111获取的系统信息发送到网络侧,造成端点用户对信息收集模块111获取了哪些信息并不知情,降低了NEA系统的安全性。
发明内容
有鉴于此,本发明实施例的主要目的在于提供一种网络接入认证的方法,提高NEA系统的安全性。
本发明实施例的另一个目的在于提供一种网络接入认证的系统,增强NEA系统的安全性。
为达到上述目的,本发明实施例的技术方案具体是这样实现的:
一种网络接入认证的方法,其特征在于,该方法包括:
建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系,过程如下:代理客户端模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,代理客户端模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对代理客户端模块的直接信任关系,依据与建立代理服务器模块对代理客户端模块的直接信任关系相似的方法建立代理客户端模块对代理服务器模块的直接信任关系;
建立端点侧单元的信息收集模块和网络侧单元的信息评估模块直接信任关系,过程如下:信息收集模块收集端点信息,发出信任请求信息给代理客户端模块,代理客户端模块将信任请求信息转发给代理服务器模块,代理服务器模块再转发给信息评估模块,信息评估模块接收信任请求信息并对此信息进行评估,输出评估结果信息,经代理服务器模块及代理客户端模块转发,信息收集模块接收评估结果信息,如果评估结果信息为成功,建立信息评估模块对信息收集模块的直接信任关系,依据与建立信息评估模块对信息收集模块的直接信任关系相似的方法建立信息收集模块对信息评估模块的直接信任关系;
建立所述信息收集模块和代理客户端模块直接信任关系,过程如下:
A.信息收集模块和代理客户端模块互相向对方发送信任请求信息;
B.代理客户端模块和信息收集模块分别根据接收的信任请求信息进行信任评估,如果信任评估成功,建立代理客户端模块和信息收集模块间直接信任关系;和/或,
建立所述信息评估模块和代理服务器模块直接信任关系,过程如下:信息评估模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,信息评估模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对信息评估模块的直接信任关系,依据与建立代理服务器模块对信息评估模块的直接信任关系相似的方法建立信息评估模块对代理服务器模块的直接信任关系。
一种网络接入认证的方法,其特征在于,该方法包括:
建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系,过程如下:代理客户端模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,代理客户端模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对代理客户端模块的直接信任关系,依据与建立代理服务器模块对代理客户端模块的直接信任关系相似的方法建立代理客户端模块对代理服务器模块的直接信任关系;
建立端点侧单元的信息收集模块和代理客户端模块直接信任关系,过程如下:
A.信息收集模块和代理客户端模块互相向对方发送信任请求信息;
B.代理客户端模块和信息收集模块分别根据接收的信任请求信息进行信任评估,如果信任评估成功,建立代理客户端模块和信息收集模块间直接信任关系;
建立网络侧单元的信息评估模块和代理服务器模块直接信任关系,过程如下:信息评估模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,信息评估模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对信息评估模块的直接信任关系,依据与建立代理服务器模块对信息评估模块的直接信任关系相似的方法建立信息评估模块对代理服务器模块的直接信任关系。
一种网络接入认证的系统,包含:端点侧单元及网络侧单元,其中,端点侧单元包含信息收集模块及代理客户端模块,网络侧单元包含信息评估模块与代理服务器模块,代理客户端模块用于与代理服务器模块建立直接信任关系,信息收集模块用于与信息评估模块建立直接信任关系,其特征在于,所述信息收集模块进一步用于与代理客户端模块建立直接信任关系;和/或,所述信息评估模块进一步用于与代理服务器模块建立直接信任关系,其中,
信息收集模块,用于与代理客户端模块建立信任关系,过程为:接收代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评估,向代理客户端模块输出评估结果信息及自身的信任请求信息;
代理客户端模块,用于与所述信息收集模块建立信任关系,过程为:接收信息收集模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息收集模块输出评估结果信息及自身的信任请求信息;和/或,
信息评估模块,用于与所述代理服务器模块建立信任关系,过程为:接收代理服务器模块发出的信任请求信息并根据信任请求信息进行信任评估,向代理服务器模块输出评估结果信息及自身的信任请求信息;
代理服务器模块,用于与所述信息评估模块建立信任关系,过程为:接收信息评估模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息评估模块及代理客户端模块输出评估结果信息及自身的信任请求信息。
一种网络接入认证的系统,包含:端点侧单元及网络侧单元,其中,端点侧单元包含信息收集模块及代理客户端模块,网络侧单元包含信息评估模块与代理服务器模块,其特征在于,所述信息收集模块进一步用于与代理客户端模块建立直接信任关系;所述信息评估模块进一步用于与代理服务器模块建立直接信任关系,其中,
信息收集模块,用于与代理客户端模块建立信任关系,过程为:收集端点信息,接收代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评估,输出评估结果信息及自身的信任请求信息;
代理客户端模块,用于与所述信息收集模块及代理服务器模块建立信任关系,过程为:接收信息收集模块及代理服务器模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息收集模块及代理服务器模块输出评估结果信息及自身的信任请求信息;
信息评估模块,用于与所述代理服务器模块建立信任关系,过程为:收集网络信息,接收代理服务器模块发出的信任请求信息并根据信任请求信息进行信任评估,输出评估结果信息及自身的信任请求信息;
代理服务器模块,用于与所述信息评估模块及代理客户端模块建立信任关系,过程为:接收信息评估模块及代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息评估模块及代理客户端模块输出评估结果信息及自身的信任请求信息。
由上述技术方案可见,本发明实施例的网络接入认证的方法及系统,通过在网络端点评估系统端点侧单元的信息收集模块与代理客户端模块以及网络侧的信息评估模块与代理服务器模块之间增加直接信任关系,免除信息收集模块与信息评估模块之间冗余信任关系的建立,从而保证各实体的行为符合NEA架构的要求,增强了NEA系统的安全性,提高了NEA系统的运行效率。
附图说明
图1为现有NEA系统中各实体之间建立信任关系示意图。
图2为本发明实施例网络接入认证的系统各实体之间建立信任关系示意图。
图3为本发明基于图2的一个较佳实施例各实体之间建立信任关系示意图。
图4为本发明第三较佳实施例各实体之间建立信任关系示意图。
图5为本发明第四较佳实施例各实体之间建立信任关系示意图。
图6为本发明实施例网络接入认证系统各实体间建立信任关系的流程示意图。
图7为本发明实施例使用证书方式建立实体2对实体1信任关系的流程示意图。
图8为本发明实施例使用证书方式同时建立实体2与实体1相互信任关系的流程示意图。
图9为本发明实施例使用预共享密钥方式建立实体2对实体1信任关系的流程示意图。
图10为本发明实施例使用哈希Hash列表方式建立实体2对实体1信任关系的流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
本发明实施例,通过在网络端点评估系统的信息收集模块与代理客户端模块以及网络侧的信息评估模块与代理服务器模块之间增加直接信任关系以及删除信息收集模块与信息评估模块间建立的直接信任关系,从而保证各实体的行为符合NEA架构的要求,增强NEA系统的安全性及运行效率。
图2为本发明实施例网络接入认证的系统各实体之间建立信任关系示意图。参见图2,该NEA系统包含:端点侧单元21及网络侧单元22,其中,
端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧单元12包含信息评估模块221及代理服务器模块222,其中,
信息收集模块211,用于与信息评估模块221和代理客户端模块212分别建立直接信任关系,与信息评估模块221建立直接信任关系过程如下:
信息收集模块211收集端点信息,发出信任请求信息给代理客户端模块212,代理客户端模块212将信任请求信息转发给代理服务器模块222,代理服务器模块222再转发给信息评估模块221,信息评估模块221接收信任请求信息并对此信息进行评估,输出评估结果信息,经代理服务器模块222及代理客户端模块212转发,信息收集模块211接收评估结果信息,如果评估结果信息为成功,建立信息评估模块221对信息收集模块211的直接信任关系,否则,拒绝建立直接信任关系;同样地,信息收集模块211也通过同样的方式建立或拒绝对信息评估模块221的直接信任关系。
信息收集模块211与代理客户端模块212建立直接信任关系过程如下:
信息收集模块211收集端点信息,发出信任请求信息,代理客户端模块212接收信任请求信息并对此信息进行评估,输出评估结果信息,信息收集模块211接收评估结果信息,如果评估结果信息为成功,建立代理客户端模块212对信息收集模块211的直接信任关系;否则拒绝建立直接信任关系。信息收集模块211建立对代理客户端模块212的信任关系、代理客户端模块212与代理服务器模块222及代理服务器模块222与信息评估模块221建立相互直接信任关系相类似,在此不再赘述。
实际应用中,两个模块建立直接信任关系可以是先由一方发起请求,另一方响应,然后另一方发起请求,对方响应,也可以是双方同时向对方发起请求,然后根据相应请求响应。
由上述实施例可见,本发明实施例通过在网络端点评估系统端点侧单元的信息收集模块211与代理客户端模块212以及网络侧的代理服务器模块222与信息评估模块221间增加直接信任关系,增强了NEA系统的安全性。
图3为本发明基于图2的一个较佳实施例各实体之间建立信任关系示意图。参见图3,该系统包含:端点侧单元21及网络侧单元22,其中,
端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧单元12包含信息评估模块221及代理服务器模块222。
与图2不同的是,图3中免除了信息收集模块211与信息评估模块221间建立的直接信任关系,由于网络侧单元22和端点侧单元21的信息交互是通过代理客户端模块212和代理服务器模块222进行的,因此要求代理客户端模块212与代理服务器模块222之间在传输信任请求信息之前必须建立信任关系。而信息收集模块211和信息评估模块221间的信任关系可以由信息收集模块211与代理客户端模块212,代理客户端模块212与代理服务器模块222,代理服务器模块222与信息评估模块221之间的信任关系间接得到,所以信息收集模块211和信息评估模块221间可以不必建立直接的信任关系,相对于图2,这种系统结构会有更高的运行效率。
图4为本发明第三较佳实施例各实体之间建立信任关系示意图。参见图4,该系统包含:端点侧单元21及网络侧单元22,其中,
端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧单元12包含信息评估模块221及代理服务器模块222,其中,
信息收集模块211,用于与信息评估模块221建立直接信任关系及与代理客户端模块212建立直接信任关系。
代理客户端模块212,用于与信息收集模块211建立直接信任关系及与代理服务器模块222建立直接信任关系,接收信息收集模块向信息评估模块发送的评估结果信息及自身的信任请求信息以及,信息评估模块向信息收集模块发送的评估结果信息及自身的信任请求信息,进行转发。
代理服务器模块222,用于与代理客户端模块212建立直接信任关系,接收信息评估模块向信息收集模块发送的评估结果信息及自身的信任请求信息以及,信息收集模块向信息评估模块发送的评估结果信息及自身的信任请求信息,进行转发。
信息评估模块221,接收信息收集模块211发送的信任请求信息,进行评估,输出评估结果信息,向信息收集模块211发送自身的信任请求信息,建立与信息收集模块211的直接信任关系。
图5为本发明第四较佳实施例各实体之间建立信任关系示意图。参见图5,该系统包含:端点侧单元21及网络侧单元22,其中,
端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧单元12包含信息评估模块221及代理服务器模块222。
与图4不同的是,图5通过在网络侧的信息评估模块221与代理服务器模块222之间而不是在端点侧的信息收集模块211与代理客户端模块212之间建立直接信任关系,同样可以提高NEA系统的安全性。
图6为本发明实施例网络接入认证系统各实体间建立信任关系的流程示意图。参见图6,该流程包括:
步骤601,建立代理客户端模块与代理服务器模块间直接信任关系;
本步骤中,代理客户端模块向代理服务器模块发送信任请求信息,包括:通知信息、用户身份ID信息、公钥信息及签名信息的一种或多种组合。代理服务器模块根据信任请求信息进行评估,建立或拒绝建立直接信任关系;同样地,代理服务器模块向代理客户端模块发送信任请求信息,代理客户端模块根据信任请求信息进行评估,建立或拒绝建立直接信任关系,建立直接信任关系的方式包括但不限于使用证书、预共享密钥或哈希Hash列表方式。
步骤602,建立信息收集模块与信息评估模块间直接信任关系;
本步骤中,信息收集模块收集端点信息,发出信任请求信息给代理客户端模块,代理客户端模块将信任请求信息转发给代理服务器模块,代理服务器模块再转发给信息评估模块,信息评估模块接收信任请求信息并对此信息进行评估,输出评估结果信息,经代理服务器模块及代理客户端模块转发,信息收集模块接收评估结果信息,如果评估结果信息为成功,建立信息评估模块对信息收集模块的直接信任关系,否则,拒绝建立直接信任关系;同样地,信息收集模块也通过同样的方式建立或拒绝对信息评估模块的直接信任关系,建立直接信任关系的方式包括但不限于使用证书、预共享密钥或哈希Hash列表方式。
步骤603,建立信息收集模块与代理客户端模块间直接信任关系;和/或,
步骤604,建立信息评估模块与代理服务器模块间直接信任关系。
上述步骤601~604中,并没有严格的先后顺序,步骤601~604的先后顺序可以随意组合,颠倒,步骤603~604中,也没有严格的先后顺序;本实施例中,可以是执行步骤601~603及其全组合,或是执行步骤601、602和步骤604及其全组合,还可以是执行步骤601~604及其全组合。
实际应用中,还可以免除步骤602,执行步骤601、603和步骤604及其全组合。
图7为本发明实施例使用证书方式建立实体2对实体1信任关系的流程示意图。参见图7,该流程包括:
步骤701,实体1发出信任请求信息;
本步骤中,信任请求信息为实体1的证书信息,如基于X.509协议的证书信息,包含用户ID信息、公钥信息及签名信息,其中,签名信息为实体1利用第三方颁发者的私钥信息对用户ID信息及公钥信息进行加密形成的信息;也可以为通知信息;实体1可以为信息收集模块,则相应的实体2为代理客户端模块;实体1也可以为信息评估模块,相应的实体2为代理服务器模块。
步骤702,实体2对信任请求信息进行评估,输出第一评估结果信息;
本步骤中,如果信任请求信息为通知信息,实体2输出挑战信息及实体1证书请求信息,挑战信息为一随机数;
如果信任请求信息为实体1的证书信息,实体2将证书中包含的实体1的用户ID信息及公钥信息存储,并利用第三方颁发者的相应公钥信息对签名信息进行解密,恢复出用户ID信息及公钥信息,并与实体2存储的实体2进行比较评估,如果评估成功,输出挑战信息;否则,结束本流程。
步骤703,实体1对第一评估结果信息进行评估,输出第二评估结果信息;
本步骤中,如果第一评估结果信息为挑战信息,实体1利用自身的私钥信息对挑战信息签名后输出;
如果第一评估结果信息为挑战信息及实体1证书请求信息,将实体1的证书信息及签名后的挑战信息输出。
步骤704,实体2对第二评估结果信息进行评估。
本步骤中,如果第二评估结果信息为签名后的挑战信息,利用预先存储的实体1公钥信息对签名的挑战信息进行评估,如果评估成功,表明实体2对实体1的信任评估成功,输出评估成功信息至实体1;否则,拒绝建立直接信任关系,输出评估不成功信息至实体1;
如果第二评估结果信息为实体1的证书信息及签名后的挑战信息,则首先对实体1的证书进行评估,如果证书评估不成功,结束本流程;否则,利用实体1证书中的公钥信息评估签名后的挑战信息,如果评估成功,表明实体2对实体1的信任评估成功;否则,拒绝建立直接信任关系。
使用证书方式建立实体1对实体2信任关系的流程与上述流程相类似。
具体应用中,也可以使用证书方式同时建立实体1与实体2的相互信任关系,图8为本发明实施例使用证书方式同时建立实体2与实体1相互信任关系的流程示意图。参见图8,该流程包括:
步骤801,实体1发出信任请求信息;
本步骤中,信任请求信息为实体1的证书信息与实体2的证书请求信息。
步骤802,实体2对信任请求信息进行评估,输出第一评估结果信息;
本步骤中,实体2将证书中包含的实体1的用户ID信息及公钥信息存储,并利用第三方颁发者的相应公钥信息对签名信息进行评估,如果评估成功,输出第一挑战信息及实体2的证书信息;否则,结束本流程。
步骤803,实体1对第一评估结果信息进行评估,输出第二评估结果信息;
本步骤中,首先,实体1将证书中包含的实体2的用户ID信息及公钥信息存储,并对实体2的证书信息进行评估,如果评估成功,产生第二挑战信息,然后,利用实体1的私钥信息对第一挑战信息进行签名,输出签名后的第一挑战信息及第二挑战信息;否则,结束本流程。
步骤804,实体2对第二评估结果信息进行评估,输出第三评估结果信息;
本步骤中,首先,利用实体2的私钥信息对第二挑战信息进行签名,然后,利用存储的实体1公钥信息对签名后的第一挑战信息进行评估,如果评估成功,表明实体2对实体1的信任评估成功,输出签名后的第二挑战信息;否则,结束本流程。
步骤805,实体1接收第三评估结果信息,对签名后的第二挑战信息进行评估。
本步骤中,实体1利用存储的实体2公钥信息对签名后的第二挑战信息进行评估,如果评估成功,表明实体1对实体2的信任评估成功,输出评估成功信息至实体2;否则,拒绝建立直接信任关系,向实体2输出评估不成功信息。
图9为本发明实施例使用预共享密钥方式建立实体2对实体1信任关系的流程示意图。参见图9,该流程包括:
步骤901,实体1发出信任请求信息;
本步骤中,信任请求信息为实体1的用户ID信息,也可以为一通知消息,用户ID信息在后续流程中再放入。
步骤902,实体2接收信任请求信息,输出第一评估结果信息;
本步骤中,如果信任请求信息为通知信息,实体2输出挑战信息及实体1用户ID请求信息;否则,存储用户ID信息,输出挑战信息。
步骤903,实体1对第一评估结果信息进行签名,输出第二评估结果信息;
本步骤中,如果第一评估结果信息为挑战信息,实体1利用预先分配的共享密钥对挑战信息进行签名后输出;
如果第一评估结果信息为挑战信息及实体1用户ID请求信息,将实体1的用户ID信息及签名后的挑战信息输出。
步骤904,实体2对第二评估结果信息进行评估。
本步骤中,如果第二评估结果信息为签名后的挑战信息,实体2根据用户ID信息找到预先分配给实体1的密钥,然后用该密钥对挑战信息进行签名,并将该签名结果信息与第二评估结果信息相比较,如果一致,则表明实体2对实体1的信任请求通过,输出评估成功信息至实体1;否则,结束本流程。
图10为本发明实施例使用哈希Hash列表方式建立实体2对实体1信任关系的流程示意图。参见图10,该流程包括:
步骤1001,实体2发出信任指示信息;
本步骤中,信任指示信息为通知信息。
步骤1002,实体1接收信任指示信息,输出结果信息;
本步骤中,输出结果信息包含实体1用户ID信息及预先分配给自己的加密Hash值,加密Hash值可以采用下面方法得到:
将实体1的特征(比如代码本身,配置文件等)进行Hash,然后将Hash结果用实体1并不知道的密钥进行签名并发放给实体1。
步骤1003,实体2对结果信息进行评估。
本步骤中,实体2根据实体1输出的用户ID信息找到预先分配给实体1的加密Hash值,然后将此加密Hash值与实体1输出的加密Hash值比较,如果一致,则实体2对实体1的信息评估成功,输出评估成功信息至实体1;否则,结束本流程。
在实体1与实体2建立直接信任关系后,双方实体可以视情况决定是否需要发起进行会话密钥的传递,如实体2向实体1发送通信内容的密钥通知,密钥通知中采用对方的公钥加密会话密钥。
实际应用中,两个实体建立直接信任关系可以是先由一方发起请求,另一方响应,然后另一方发起请求,对方响应,也可以是双方同时向对方发起请求,然后双方根据相应请求响应。
以上举较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种网络接入认证的方法,其特征在于,该方法包括:
建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系,过程如下:代理客户端模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,代理客户端模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对代理客户端模块的直接信任关系,依据与建立代理服务器模块对代理客户端模块的直接信任关系相似的方法建立代理客户端模块对代理服务器模块的直接信任关系;
建立端点侧单元的信息收集模块和网络侧单元的信息评估模块直接信任关系,过程如下:信息收集模块收集端点信息,发出信任请求信息给代理客户端模块,代理客户端模块将信任请求信息转发给代理服务器模块,代理服务器模块再转发给信息评估模块,信息评估模块接收信任请求信息并对此信息进行评估,输出评估结果信息,经代理服务器模块及代理客户端模块转发,信息收集模块接收评估结果信息,如果评估结果信息为成功,建立信息评估模块对信息收集模块的直接信任关系,依据与建立信息评估模块对信息收集模块的直接信任关系相似的方法建立信息收集模块对信息评估模块的直接信任关系;
建立所述信息收集模块和代理客户端模块直接信任关系,过程如下:
A.信息收集模块和代理客户端模块互相向对方发送信任请求信息;
B.代理客户端模块和信息收集模块分别根据接收的信任请求信息进行信任评估,如果信任评估成功,建立代理客户端模块和信息收集模块间直接信任关系;和/或,
建立所述信息评估模块和代理服务器模块直接信任关系,过程如下:信息评估模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,信息评估模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对信息评估模块的直接信任关系,依据与建立代理服务器模块对信息评估模块的直接信任关系相似的方法建立信息评估模块对代理服务器模块的直接信任关系。
2.根据权利要求1所述的方法,其特征在于,当所述网络接入认证的方法为使用证书方式时,所述信任请求信息包括:用户ID信息、公钥信息和签名信息;所述步骤B包含:
B1.代理客户端模块和信息收集模块分别接收对方发送的信任请求信息,存储用户ID信息及公钥信息,对签名信息进行评估,如果确定评估成功,向对方输出挑战信息,所述挑战信息为一随机数;
B2.信息收集模块和代理客户端模块接收挑战信息,利用自身的私钥信息对挑战信息签名后向对方输出;
B3.代理客户端模块和信息收集模块接收签名后的挑战信息,利用步骤B1存储的公钥信息对签名后的挑战信息进行评估,如果确定评估成功,建立直接信任关系。
3.根据权利要求2所述的方法,其特征在于,所述公钥信息为发送方的公钥信息,所述签名信息为利用第三方颁发者的私钥信息对用户ID信息和公钥信息加密形成的信息,所述对签名信息进行评估包括:利用第三方颁发者的公钥信息,对签名信息进行解密,恢复用户ID信息和公钥信息,再与接收到的相应用户ID信息和公钥信息进行比较;所述挑战信息为随机数。
4.根据权利要求1所述的方法,其特征在于,当所述网络接入认证的方法为使用预共享密钥方式时,所述信任请求信息包括用户ID信息;所述步骤B 包含:
B11.代理客户端模块和信息收集模块分别接收对方发送的信任请求信息,存储用户ID信息,向对方输出挑战信息,所述挑战信息为一随机数;
B12.信息收集模块和代理客户端模块接收挑战信息,利用预先分配的共享密钥对挑战信息进行签名后向对方输出;
B13.代理客户端模块和信息收集模块接收签名后的挑战信息,根据步骤B11中得到的用户ID信息查找到预先分配的密钥,用该密钥对挑战信息进行签名,对该签名结果信息与签名后的挑战信息进行评估,如果确定评估成功,建立直接信任关系。
5.根据权利要求1所述的方法,其特征在于,当所述网络接入认证的方法为使用哈希Hash列表方式时,所述信任请求信息包括通知信息;所述步骤B包含:
B111.代理客户端模块和信息收集模块分别接收对方发送的信任请求信息,向对方输出用户ID信息及预先分配的加密Hash值;
B112.信息收集模块和代理客户端模块根据接收的用户ID信息查找到预先分配的加密Hash值,将该加密Hash值与接收的加密Hash值进行评估,如果确定评估成功,建立直接信任关系。
6.一种网络接入认证的方法,其特征在于,该方法包括:
建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系,过程如下:代理客户端模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,代理客户端模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对代理客户端模块的直接信任关系,依据与建立代理服务器模块对代理客户端模块的直接信任关系相似的方法建立代理客户端模块对代理服务器模块的直接信任关系;
建立端点侧单元的信息收集模块和代理客户端模块直接信任关系,过程如下:
A.信息收集模块和代理客户端模块互相向对方发送信任请求信息;
B.代理客户端模块和信息收集模块分别根据接收的信任请求信息进行信任评估,如果信任评估成功,建立代理客户端模块和信息收集模块间直接信任关系;
建立网络侧单元的信息评估模块和代理服务器模块直接信任关系,过程如下:信息评估模块发出信任请求信息,代理服务器模块接收信任请求信息并对此信息进行评估,输出评估结果信息,信息评估模块接收评估结果信息,如果评估结果信息为成功,建立代理服务器模块对信息评估模块的直接信任关系,依据与建立代理服务器模块对信息评估模块的直接信任关系相似的方法建立信息评估模块对代理服务器模块的直接信任关系。
7.一种网络接入认证的系统,包含:端点侧单元及网络侧单元,其中,端点侧单元包含信息收集模块及代理客户端模块,网络侧单元包含信息评估模块与代理服务器模块,代理客户端模块用于与代理服务器模块建立直接信任关系,信息收集模块用于与信息评估模块建立直接信任关系,其特征在于,所述信息收集模块进一步用于与代理客户端模块建立直接信任关系;和/或,所述信息评估模块进一步用于与代理服务器模块建立直接信任关系,其中,
信息收集模块,用于与代理客户端模块建立信任关系,过程为:接收代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评估,向代理客户端模块输出评估结果信息及自身的信任请求信息;
代理客户端模块,用于与所述信息收集模块建立信任关系,过程为:接收信息收集模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息收集模块输出评估结果信息及自身的信任请求信息;和/或,
信息评估模块,用于与所述代理服务器模块建立信任关系,过程为:接收代理服务器模块发出的信任请求信息并根据信任请求信息进行信任评估,向代理服务器模块输出评估结果信息及自身的信任请求信息;
代理服务器模块,用于与所述信息评估模块建立信任关系,过程为:接收信息评估模块及代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息评估模块输出评估结果信息及自身的信任请求信息。
8.根据权利要求7所述的系统,其特征在于,当使用证书方式建立所述信息收集模块与代理客户端模块直接信任关系时,所述信任请求信息包括:用户ID信息、公钥信息和签名信息;
所述代理客户端模块,接收对方发送的信任请求信息,存储用户ID信息及公钥信息,对签名信息进行评估,如果确定评估成功,向对方输出挑战信息,所述挑战信息为一随机数;否则,向对方输出评估不成功信息;接收挑战信息及评估不成功信息,利用自身的私钥信息对挑战信息签名后向对方输出;接收签名后的挑战信息,根据预先存储的公钥信息对签名后的挑战信息进行评估,如果评估成功,输出直接信任关系建立成功信息;否则,输出直接信任关系建立失败信息;
信息收集模块,接收对方发送的信任请求信息,存储用户ID信息及公钥信息,对签名信息进行评估,如果确定评估成功,向对方输出挑战信息;否则,向对方输出评估不成功信息;接收挑战信息及评估不成功信息,利用自身的私钥信息对挑战信息签名后向对方输出;接收签名后的挑战信息,根据预先存储的公钥信息对签名后的挑战信息进行评估,如果评估成功,输出直接信任关系建立成功信息;否则,输出直接信任关系建立失败信息。
9.根据权利要求8所述的系统,其特征在于,所述公钥信息为发送方的公钥信息,所述签名信息为利用第三方颁发者的私钥信息对用户ID信息和公钥信息加密形成的信息,所述对签名信息进行评估包括:利用第三方颁发者的公钥信息,对接收的签名信息进行解密,恢复用户ID信息和公钥信息,再与接收到的相应用户ID信息和公钥信息进行比较;所述挑战信息为随机数。
10.根据权利要求7所述的系统,其特征在于,当使用预共享密钥方式建立所述信息收集模块与代理客户端模块直接信任关系时,所述信任请求信息包括:用户ID信息;
所述代理客户端模块,接收对方发送的信任请求信息,存储用户ID信息,向对方输出挑战信息,所述挑战信息为一随机数;接收挑战信息,利用预先分配的共享密钥对挑战信息进行签名后向对方输出;接收签名后的挑战信息,根据预先存储的用户ID信息查找到预先分配的密钥,用该密钥对挑战信息进行签名,对该签名结果信息与签名后的挑战信息进行评估,如果确定评估成功,输出直接信任关系建立成功信息;否则,输出直接信任关系建立失败信息;
信息收集模块,接收对方发送的信任请求信息,存储用户ID信息,向对方输出挑战信息;接收挑战信息,利用预先分配的共享密钥对挑战信息进行签名后向对方输出;接收签名后的挑战信息,根据预先存储的用户ID信息查找到预先分配的密钥,用该密钥对挑战信息进行签名,对该签名结果信息与签名后的挑战信息进行评估,如果确定评估成功,输出直接信任关系建立成功信息;否则,输出直接信任关系建立失败信息。
11.根据权利要求7所述的系统,其特征在于,当使用哈希Hash列表方式建立所述信息收集模块与代理客户端模块直接信任关系时,所述信任请求信息包括:通知信息;
所述代理客户端模块,接收对方发送的信任请求信息,输出用户ID信息及预先分配的加密Hash值;接收用户ID信息,根据接收的用户ID信息查找到预先分配的加密Hash值,将该加密Hash值与接收的加密Hash值进行评估,如果确定评估成功,输出直接信任关系建立成功信息;否则,输出直接信任关系建立失败信息;
信息收集模块,接收对方发送的信任请求信息,输出用户ID信息及预先分配的加密Hash值;接收用户ID信息,根据接收的用户ID信息查找到预先分配的加密Hash值,将该加密Hash值与接收的加密Hash值进行评估,如果确定评估成功,输出直接信任关系建立成功信息;否则,输出直接信任关系建立失败信息。
12.一种网络接入认证的系统,包含:端点侧单元及网络侧单元,其中,端点侧单元包含信息收集模块及代理客户端模块,网络侧单元包含信息评估模块与代理服务器模块,其特征在于,所述信息收集模块进一步用于与代理客户端模块建立直接信任关系;所述信息评估模块进一步用于与代理服务器模块建立直接信任关系,其中,
信息收集模块,用于与代理客户端模块建立信任关系,过程为:收集端点信息,接收代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评估,输出评估结果信息及自身的信任请求信息;
代理客户端模块,用于与所述信息收集模块及代理服务器模块建立信任关系,过程为:接收信息收集模块及代理服务器模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息收集模块及代理服务器模块输出评估结果信息及自身的信任请求信息;
信息评估模块,用于与所述代理服务器模块建立信任关系,过程为:收集网络信息,接收代理服务器模块发出的信任请求信息并根据信任请求信息进行信任评估,输出评估结果信息及自身的信任请求信息;
代理服务器模块,用于与所述信息评估模块及代理客户端模块建立信任关系,过程为:接收信息评估模块及代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评估,向信息评估模块及代理客户端模块输出评估结果信息及自身的信任请求信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100009966A CN101227452B (zh) | 2007-01-17 | 2007-01-17 | 一种网络接入认证的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100009966A CN101227452B (zh) | 2007-01-17 | 2007-01-17 | 一种网络接入认证的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101227452A CN101227452A (zh) | 2008-07-23 |
| CN101227452B true CN101227452B (zh) | 2010-12-15 |
Family
ID=39859211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100009966A Expired - Fee Related CN101227452B (zh) | 2007-01-17 | 2007-01-17 | 一种网络接入认证的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101227452B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860546A (zh) * | 2010-06-18 | 2010-10-13 | 杭州电子科技大学 | 一种改进ssl握手协议的方法 |
| CN104836825A (zh) * | 2014-02-11 | 2015-08-12 | 中兴通讯股份有限公司 | 一种信息共享方法及装置 |
| CN103986724B (zh) * | 2014-05-29 | 2018-01-30 | 华翔腾数码科技有限公司 | 电子邮件实名认证方法及系统 |
| CN105468939B (zh) * | 2015-11-24 | 2018-12-14 | 苏州铭冠软件科技有限公司 | 移动终端安全防护系统 |
| US10904763B2 (en) | 2016-10-27 | 2021-01-26 | Huawei Technologies Co., Ltd. | Network access method and device |
| JP6644037B2 (ja) * | 2017-09-08 | 2020-02-12 | 株式会社東芝 | 通信制御システム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004073252A1 (ja) * | 2003-02-14 | 2004-08-26 | Sony Corporation | 認証処理装置及びセキュリティ処理方法 |
| CN1859772A (zh) * | 2006-01-07 | 2006-11-08 | 华为技术有限公司 | 一种基于通用鉴权框架的安全业务通信方法 |
| CN1859097A (zh) * | 2006-01-19 | 2006-11-08 | 华为技术有限公司 | 一种基于通用鉴权框架的认证方法及系统 |
-
2007
- 2007-01-17 CN CN2007100009966A patent/CN101227452B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004073252A1 (ja) * | 2003-02-14 | 2004-08-26 | Sony Corporation | 認証処理装置及びセキュリティ処理方法 |
| CN1859772A (zh) * | 2006-01-07 | 2006-11-08 | 华为技术有限公司 | 一种基于通用鉴权框架的安全业务通信方法 |
| CN1859097A (zh) * | 2006-01-19 | 2006-11-08 | 华为技术有限公司 | 一种基于通用鉴权框架的认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101227452A (zh) | 2008-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Grammatikis et al. | Securing the Internet of Things: Challenges, threats and solutions | |
| Shahidinejad et al. | Light-edge: A lightweight authentication protocol for IoT devices in an edge-cloud environment | |
| CN101227452B (zh) | 一种网络接入认证的方法及系统 | |
| US20140109190A1 (en) | Policy-Based Control Layer in a Communication Fabric | |
| CN104335546A (zh) | 使用邻居发现来为其它应用创建信任信息 | |
| Carlos et al. | An updated threat model for security ceremonies | |
| Gonzalez et al. | A trust-based approach against IP-spoofing attacks | |
| CN104135494A (zh) | 一种基于可信终端的同账户非可信终端登录方法及系统 | |
| US20100235625A1 (en) | Techniques and architectures for preventing sybil attacks | |
| CN101335692A (zh) | 协商pcc和pce之间安全能力的方法及其网络系统 | |
| CN101527729A (zh) | 一种ike可靠报文协商的方法、设备及系统 | |
| Kajwadkar et al. | A novel algorithm for DoS and DDoS attack detection in Internet of things | |
| CN110198297A (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| CN107046577B (zh) | 一种云混合方法以及系统 | |
| Li et al. | BlockCSDN: towards blockchain-based collaborative intrusion detection in software defined networking | |
| Qian et al. | A design for secure and survivable wireless sensor networks | |
| Soni et al. | A L-IDS against dropping attack to secure and improve RPL performance in WSN aided IoT | |
| Oniga et al. | A secure LoRaWAN sensor network architecture | |
| Sudha et al. | A review on privacy requirements and application layer security in internet of things (IoT) | |
| CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
| Abdulghani et al. | Vulnerabilities and security issues in IoT protocols | |
| CN102045310A (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| Fan et al. | The security investigation of ban score and misbehavior tracking in bitcoin network | |
| CN109600745A (zh) | 一种新型的5g蜂窝网信道安全系统及安全实现方法 | |
| CN105828330A (zh) | 一种接入方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 Termination date: 20170117 |