CN102932244A - 基于双向可信性验证的可信接入网关 - Google Patents
基于双向可信性验证的可信接入网关 Download PDFInfo
- Publication number
- CN102932244A CN102932244A CN2012104139654A CN201210413965A CN102932244A CN 102932244 A CN102932244 A CN 102932244A CN 2012104139654 A CN2012104139654 A CN 2012104139654A CN 201210413965 A CN201210413965 A CN 201210413965A CN 102932244 A CN102932244 A CN 102932244A
- Authority
- CN
- China
- Prior art keywords
- authentication
- module
- access
- credible
- safety label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
基于双向可信性验证的可信接入网关,属于数据通信技术领域。硬件平台包括:交换控制板、网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板;交换控制板与网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板连接,认证处理板、可信度量处理板、完整性修复处理板、访问控制处理板、安全标签管理处理板通过交换控制板与网络接口板连接。本发明采用双向认证,即终端和可信接入网关相互认证,而不是仅认证终端,安全性更高;其次对终端的可信性进行验证,对终端完整性验证,终端可信性包括安全性和完整性;通过安全标签将网络接入和访问控制统一处理。
Description
技术领域
本发明涉及一种网关,特别是基于双向可信性验证的可信接入网关,属于数据通信技术领域。
背景技术
接入网关是一种重要的网络安全设备,主要用于对位于不可信网络中的终端设备接入本地可信网络进行认证和访问控制。目前国内外常见的接入网关设备主要是通过对用户身份进行认证,认证的方式包括口令、证书或USB KEY等。但这些接入网关设备存在以下不足:仅能对用户身份进行认证而无法对终端设备进行认证;无法验证终端设备是否可信;无法保证接入终端设备是否符合本地的安全策略。
发明内容
本发明的目的在于提供基于双向可信性验证的可信接入网关,解决目前接入网关无法保证接入终端设备安全可信的问题。
基于双向可信性验证的可信接入网关,硬件平台包括:交换控制板、网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板;
交换控制板与网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板连接,认证处理板、可信度量处理板、完整性修复处理板、访问控制处理板、安全标签管理处理板通过交换控制板与网络接口板连接。
主控模块位于交换控制板,网络处理模块位于接口板,端系统认证模块位于认证处理板,可信度量与修复模块分为可信度量子模块和完整性修复子模块,分别位于可信度量处理板和完整性修复处理板,可信接入与访问控制模块位于访问控制处理板,安全标签管理模块位于安全标签管理处理板。
在基于双向可信性认证的可信接入网关软件系统中,主控模块负责各模块的初始化、状态检测、日志管理的管理控制功能;网络数据处理模块负责网络数据的转发以及其它模块在处理可信接入控制业务时的数据的接收、发送。端系统认证模块实现与端系统的互认证功能。可信性度量与修复模块,负责对通过认证的端系统的动态可信性度量与修复。安全标签管理模块负责安全标签的管理,包括安全标签颁发、安全标签回收和安全标签交换。可信接入与访问控制模块根据安全标签对端系统的接入请求进行控制,并且对端系统间访问进行仲裁,可信接入与访问控制模块将仲裁结果与网络数据处理模块同步,使通过仲裁的网络通信直接在网络数据处理模块中转发,以提高网络处理性能。
处理过程如下:
S1:终端系统发出认证请求,要求认证接入网关;
S2:认证请求由网络接口板接收,并通过交换控制板传递给认证处理板;
S3:认证处理板通过交换控制板返回网关的认证信息至终端系统;
S4:终端系统完成对于接入网关的认证,向接入网关发出终端系统的认证信息;
S5:终端系统的认证信息通过网络接口和交换控制板进行认证处理板;
S6:认证处理板完成对于终端系统的认证;
S7:将认证信息转发给可信性度量处理板进行度量,并与可介入网关的安全策略进行对比,得到终端系统可信性;
S8:当可信性满足要求时,可信处理板颁发可信度标签给终端系统,并将可信度标签返回给终端系统,可信性标签附着于该终端系统的网络报文上,由访问控制板根据可信度标签进行访问控制;当可信性不满足要求时,完整性修复处理板对于终端系统进行完整性修复后跳转至步骤S7。
所述的完整性修复包括修复的内容包括操作系统补丁安装,防病毒软件库更新,安全策略。
基于双向可信性认证的可信接入网关软件系统需要实现端系统认证、可信性度量与修复、安全标签生成与管理、可信接入控制、访问控制等功能,这些功能分布在基于双向可信性认证的可信接入网关各个板卡上,通过可信网络协议进行通信。基于双向可信性认证的可信接入网关软件系统包括主控模块、端系统认证模块、可信性度量与修复模块、安全标签管理模块、可信接入与访问控制模块和网络数据处理模块。
本发明可以获得如下有益效果:
与目前现有技术相比,本发明在如下方面有优势:一是采用双向认证,即终端和可信接入网关相互认证,而不是仅认证终端,安全性更高;二是对终端的可信性进行验证,不只是对终端完整性验证,终端可信性包括安全性和完整性;三是通过安全标签将网络接入和访问控制统一处理。
附图说明
图1基于双向可信性验证的可信接入网关的结构示意图;
图2基于双向可信性验证的可信接入网关的控制流程图。
具体实施方式:
下面结合附图和具体实施方式对于本发明做进一步说明:
如图1所示,基于双向可信性验证的可信接入网关,硬件平台包括:交换控制板、网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板。交换控制板分别与、网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板相连。
当终端系统发起接入请求时,首先要求可信认证网关提供身份信息,请求达到可信认证网关时,首先由网络数据处理板接收,并传递给端系统认证板,端系统认证板返回可信认证网关身份信息。如终端系统对可信接入网关完成认证,则会发起进行认证请求,请求通过可信认证网关的接口板进入认证处理板,通过认证的请求,会转发给可信性度量处理板,对端系统的安全性和完整性进行度量,并将度量结果与可信接入网关安全策略进行对比,得出终端系统可信性,可信性满足要求的终端系统被颁发可信度标签,并返回给终端系统。如可信新不满足要求,则完整性修复处理板与端系统直接进行完整性修复,修复的内容包括操作系统补丁安装,防病毒软件库更新,安全策略等;修复完成的终端再次进行可信性度量。通过可信性度量并被颁发可信度标签的终端,可以将标签附着在每个网络报文上,在进行可信接入访问时,可信认证网关访问控制处理板根据可信度标签进行访问控制。
Claims (2)
1.基于双向可信性验证的可信接入网关,其特征在于:其硬件平台包括:交换控制板、网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板;
交换控制板与网络接口板、认证处理板、可信性度量处理板、完整性修复处理板、访问控制处理板和安全标签管理处理板连接,认证处理板、可信度量处理板、完整性修复处理板、访问控制处理板、安全标签管理处理板通过交换控制板与网络接口板连接;
主控模块位于交换控制板,网络处理模块位于接口板,端系统认证模块位于认证处理板,可信度量与修复模块分为可信度量子模块和完整性修复子模块,分别位于可信度量处理板和完整性修复处理板,可信接入与访问控制模块位于访问控制处理板,安全标签管理模块位于安全标签管理处理板;
在基于双向可信性认证的可信接入网关软件系统中,主控模块负责各模块的初始化、状态检测、日志管理的管理控制功能;网络数据处理模块负责网络数据的转发以及其它模块在处理可信接入控制业务时的数据的接收、发送;端系统认证模块实现与端系统的互认证功能;可信性度量与修复模块,负责对通过认证的端系统的动态可信性度量与修复;安全标签管理模块负责安全标签的管理,包括安全标签颁发、安全标签回收和安全标签交换;可信接入与访问控制模块根据安全标签对端系统的接入请求进行控制,并且对端系统间访问进行仲裁,可信接入与访问控制模块将仲裁结果与网络数据处理模块同步,使通过仲裁的网络通信直接在网络数据处理模块中转发,以提高网络处理性能;
处理过程如下:
S1:终端系统发出认证请求,要求认证接入网关;
S2:认证请求由网络接口板接收,并通过交换控制板传递给认证处理板;
S3:认证处理板通过交换控制板返回网关的认证信息至终端系统;
S4:终端系统完成对于接入网关的认证,向接入网关发出终端系统的认证信息;
S5:终端系统的认证信息通过网络接口和交换控制板进行认证处理板;
S6:认证处理板完成对于终端系统的认证;
S7:将认证信息转发给可信性度量处理板进行度量,并与可介入网关的安全策略进行对比,得到终端系统可信性;
S8:当可信性满足要求时,可信处理板颁发可信度标签给终端系统,并将可信度标签返回给终端系统,可信性标签附着于该终端系统的网络报文上,由访问控制板根据可信度标签进行访问控制;当可信性不满足要求时,完整性修复处理板对于终端系统进行完整性修复后跳转至步骤S7。
2.根据权利要求1所述的基于双向可信性验证的可信接入网关,其特征在于:所述的完整性修复包括修复的内容包括操作系统补丁安装,防病毒软件库更新,安全策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210413965.4A CN102932244B (zh) | 2012-10-25 | 2012-10-25 | 基于双向可信性验证的可信接入网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210413965.4A CN102932244B (zh) | 2012-10-25 | 2012-10-25 | 基于双向可信性验证的可信接入网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102932244A true CN102932244A (zh) | 2013-02-13 |
| CN102932244B CN102932244B (zh) | 2015-08-12 |
Family
ID=47646951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210413965.4A Active CN102932244B (zh) | 2012-10-25 | 2012-10-25 | 基于双向可信性验证的可信接入网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932244B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270346A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 双向认证的方法、装置和系统 |
| CN104780121A (zh) * | 2015-04-30 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种报文发送方法及装置 |
| CN105812367A (zh) * | 2016-03-15 | 2016-07-27 | 浙江神州量子网络科技有限公司 | 一种量子网络中网络接入设备的认证系统及认证方法 |
| CN107911159A (zh) * | 2017-10-12 | 2018-04-13 | 北京电子工程总体研究所 | 一种基于wifi协议的星载无线容错通讯系统 |
| CN112966260A (zh) * | 2021-03-03 | 2021-06-15 | 北京中安星云软件技术有限公司 | 一种基于国产化可信计算平台的数据安全代理系统及方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6654883B1 (en) * | 1998-02-25 | 2003-11-25 | Matsushita Electric Industrial Co., Ltd. | Device authentication and encrypted communication system offering increased security |
| CN101345723A (zh) * | 2007-07-11 | 2009-01-14 | 华为技术有限公司 | 客户网关的管理认证方法和认证系统 |
| CN101369995A (zh) * | 2008-05-30 | 2009-02-18 | 国网南京自动化研究院 | 一种基于安全可信连接技术的拨号网关 |
| CN101414909A (zh) * | 2008-11-28 | 2009-04-22 | 中国移动通信集团公司 | 网络应用用户身份验证系统、方法和移动通信终端 |
| CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
| CN101778099A (zh) * | 2009-12-31 | 2010-07-14 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的可信网络接入的架构及其接入方法 |
| US20120036553A1 (en) * | 2009-04-16 | 2012-02-09 | China Iwncomm Co., Ltd | Method for establishing trusted network connect framework of tri-element peer authentication |
| CN102546179A (zh) * | 2011-12-31 | 2012-07-04 | 珠海市君天电子科技有限公司 | 一种服务器端和客户端之间的身份验证方法 |
-
2012
- 2012-10-25 CN CN201210413965.4A patent/CN102932244B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6654883B1 (en) * | 1998-02-25 | 2003-11-25 | Matsushita Electric Industrial Co., Ltd. | Device authentication and encrypted communication system offering increased security |
| CN101345723A (zh) * | 2007-07-11 | 2009-01-14 | 华为技术有限公司 | 客户网关的管理认证方法和认证系统 |
| CN101369995A (zh) * | 2008-05-30 | 2009-02-18 | 国网南京自动化研究院 | 一种基于安全可信连接技术的拨号网关 |
| CN101414909A (zh) * | 2008-11-28 | 2009-04-22 | 中国移动通信集团公司 | 网络应用用户身份验证系统、方法和移动通信终端 |
| US20120036553A1 (en) * | 2009-04-16 | 2012-02-09 | China Iwncomm Co., Ltd | Method for establishing trusted network connect framework of tri-element peer authentication |
| CN101778099A (zh) * | 2009-12-31 | 2010-07-14 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的可信网络接入的架构及其接入方法 |
| CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
| CN102546179A (zh) * | 2011-12-31 | 2012-07-04 | 珠海市君天电子科技有限公司 | 一种服务器端和客户端之间的身份验证方法 |
Non-Patent Citations (2)
| Title |
|---|
| TONG LIU等: "《A Trusted Integrity Measurement Architecture for Securing Enterprise Network》", 《TRUST, SECURITY AND PRIVACY IN COMPUTING AND COMMUNICATIONS (TRUSTCOM), 2011 IEEE 10TH INTERNATIONAL CONFERENCE ON》 * |
| 常朝稳等: "《一种新的可信网络接入架构ETNA》", 《小型微型计算机系统》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270346A (zh) * | 2014-09-12 | 2015-01-07 | 北京天行网安信息技术有限责任公司 | 双向认证的方法、装置和系统 |
| CN104270346B (zh) * | 2014-09-12 | 2017-10-13 | 北京天行网安信息技术有限责任公司 | 双向认证的方法、装置和系统 |
| CN104780121A (zh) * | 2015-04-30 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种报文发送方法及装置 |
| CN104780121B (zh) * | 2015-04-30 | 2018-05-08 | 新华三技术有限公司 | 一种报文发送方法及装置 |
| CN105812367A (zh) * | 2016-03-15 | 2016-07-27 | 浙江神州量子网络科技有限公司 | 一种量子网络中网络接入设备的认证系统及认证方法 |
| CN105812367B (zh) * | 2016-03-15 | 2018-08-17 | 浙江神州量子网络科技有限公司 | 一种量子网络中网络接入设备的认证系统及认证方法 |
| CN107911159A (zh) * | 2017-10-12 | 2018-04-13 | 北京电子工程总体研究所 | 一种基于wifi协议的星载无线容错通讯系统 |
| CN112966260A (zh) * | 2021-03-03 | 2021-06-15 | 北京中安星云软件技术有限公司 | 一种基于国产化可信计算平台的数据安全代理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102932244B (zh) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9043600B2 (en) | Security model for industrial devices | |
| CN104811455B (zh) | 一种云计算身份认证方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN103079200B (zh) | 一种无线接入的认证方法、系统及无线路由器 | |
| CN111783068B (zh) | 设备认证方法、系统、电子设备及存储介质 | |
| CN102932244A (zh) | 基于双向可信性验证的可信接入网关 | |
| CN103533403B (zh) | 一种面向智能云电视终端的设备证书激活的实现方法 | |
| CN104717192A (zh) | 合法性验证方法及中间服务器 | |
| US11424915B2 (en) | Terminal registration system and terminal registration method with reduced number of communication operations | |
| CN103746969A (zh) | 车载终端认证的方法及认证服务器 | |
| CN106302550A (zh) | 一种用于智能变电站自动化的信息安全方法及系统 | |
| CN113221093B (zh) | 一种基于区块链的单点登录系统、方法、设备和产品 | |
| CN112818056A (zh) | 一种区块链的日志安全共享方法、系统与装置 | |
| CN114827150B (zh) | 一种物联网终端数据上链适配方法、系统及存储介质 | |
| WO2017124922A1 (zh) | 一种跨域系统登录验证的方法和装置 | |
| CN102833754B (zh) | 一种基于数字证书的移动设备可信接入方法 | |
| CN102255904A (zh) | 一种通信网络以及对终端的认证方法 | |
| CN102255870A (zh) | 一种分布式网络中的安全认证方法及系统 | |
| CN103138919A (zh) | 一种密钥灌装前置系统及其方法 | |
| CN102842000A (zh) | 通用软件注册系统的实现方法 | |
| CN105790935A (zh) | 基于自主软硬件技术的可信认证服务器 | |
| CN104580997A (zh) | 一种视频监控管理系统 | |
| CN104581006A (zh) | 一种视频监控管理方法 | |
| CN114495352A (zh) | 一种基于缴费终端身份认证管控机制的电子化解款系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |