CN104618396B - 一种可信网络接入与访问控制方法 - Google Patents

一种可信网络接入与访问控制方法 Download PDF

Info

Publication number
CN104618396B
CN104618396B CN201510095892.2A CN201510095892A CN104618396B CN 104618396 B CN104618396 B CN 104618396B CN 201510095892 A CN201510095892 A CN 201510095892A CN 104618396 B CN104618396 B CN 104618396B
Authority
CN
China
Prior art keywords
network
requestor
secure
trusted
network insertion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510095892.2A
Other languages
English (en)
Other versions
CN104618396A (zh
Inventor
郭猛善
冯磊
赵斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Group Co Ltd filed Critical Inspur Group Co Ltd
Priority to CN201510095892.2A priority Critical patent/CN104618396B/zh
Publication of CN104618396A publication Critical patent/CN104618396A/zh
Application granted granted Critical
Publication of CN104618396B publication Critical patent/CN104618396B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种可信网络接入与访问控制系统,所述控制系统包括网络接入请求者、网络接入决策者、网络接入控制者,网络接入请求者在接入网络时进行平台身份认证,检测请求者安全可信状态,将安全可信状态发送到网络接入决策者,由决策者判断请求者安全可信等级,并给出网络访问决策,将网络访问决策发送到网络接入控制者,由控制者限制请求的网络访问本发明还公开了一种可信网络接入与方法。本发明基于TCM进行平台身份认证,保证网络接入控制同时,避免身份伪造;基于数字标签技术划分网络区域,网络区域动态动态更新,实现网络自适应,保证不同逻辑区域访问安全;配置安全可信策略,结合TCM密码算法保证请求者平台状态安全可信。

Description

一种可信网络接入与访问控制方法
技术领域
本发明涉及通信控制领域,具体涉及一种可信网络接入与访问控制系统及方法。
背景技术
随着信息技术的发展,越来越多的重要信息存储于企业内部服务器中,来自互联网的常规攻击可通过防火墙、UTM等产品进行保护,方案也比较成熟,而越来越多的信息泄密行为发生在网络内部,网络管理混乱、随意接入、终端主机感染病毒等都是影响网络安全的重要因素,因此加强对网络的管理、细化网络访问权限、控制网络接入成为必不可少的网络安全措施。
TNC@FHH是一个开源实现的可信网络连接架构,采用基于802.1x网络接入控制技术,使用FreeRedius作为接入认证服务器。用户通过交换机将网络划分不同的VLAN,不同VLAN之间无法相互访问,从而实现网络隔离;结合FreeRedius认证服务器实现网络接入认证,只有通过FreeRedius服务器认证的终端才允许接入网络,从而实现网络接入控制。该方案从物理端口上划分网络区域,会占用大量的物理资源,对于多层网络部署难度大、不灵活。
另外一种方案属于传统网络准入控制范畴,该方案集成多种身份认证方式(LDAP、AD等),加强了网络接入控制,除身份认证外,需要对终端安全状态进行检查,只有检查合格才可接入网络,但是该方案没有对网络细分,终端只要接入网络便可随意访问网络内资源,一旦攻击者获取用户身份便可获取网络内数据。
以上方案虽然一定程度上解决了网络接入控制、网络访问控制等问题,但是存在部署难度大、占用资源高、无法自适应不同网络环境等问题。
发明内容
本发明要解决的技术问题是:本发明为克服上述方案存在的问题,提供一种可信网络接入与访问控制方法及系统。
本发明所采用的技术方案为:
一种可信网络接入与访问控制系统,所述控制系统包括网络接入请求者、网络接入决策者、网络接入控制者,其中:
网络接入请求者包含身份认证模块、安全可信状态检测模块、信息上报模块、在线状态维持模块、数字标签标记模块;
网络接入决策者包含身份验证模块、安全可信状态验证模块、策略分发模块、请求者在线状态维持模块、安全域管理模块;
网络接入控制者包含数字标签验证模块、网络访问控制模块;
网络接入请求者在接入网络时进行平台身份认证,检测请求者安全可信状态,将安全可信状态发送到网络接入决策者,由决策者判断请求者安全可信等级,并给出网络访问决策,将网络访问决策发送到网络接入控制者,由控制者限制请求的网络访问。
所述控制系统的网络接入请求者、网络接入决策者、网络接入控制者操作过程全部使用TCM密码算法进行加解密与签名,保证信息交互安全。
为了保证网络接入终端安全可信,所述网络接入决策者预制安全可信域与安全可信域属性,安全可信域属性包含数字标签特征、安全等级。
所述网络接入决策者设置安全可信策略,用于终端进行安全可信状态检查。
一种可信网络接入与访问控制方法,网络接入决策者采用数字标签技术将整个网络划分为不同的安全域,网络接入请求者通过身份认证发起网络接入请求,然后从网络接入决策者接收安全可信策略,网络接入请求者按照安全可信策略执行安全可信检查,将检查结果发送到网络决策者,决策者根据检查结果判断请求者安全状态,并将对应的安全域数字标签特征发送到请求者,请求者在后续网络访问过程中对网络数据包打数字标签,网络接入控制者根据网络数据包中数字标签判断请求者网络访问是否合法。
结合国产TCM芯片与数字标签技术,所述控制方法包含步骤如下:
步骤V101:网络接入请求者首先将AIK证书(平台身份证书)发送到网络接入决策者,由网络接入决策者验证请求者的平台身份;
步骤V102:网络接入请求者AIK证书认证通过后,使用TCM对称加密算法对用户名、密码加密,并使用AIK私钥对加密信息签名,将签名后信息发送到网络接入决策者;
步骤V103:网络接入决策者首先使用AIK公钥对加密数据验签,验证通过后使用TCM对称加密算法解密加密用户名、密码并对用户名密码认证,如果认证失败拒绝接入网络;
步骤V104:身份认证通过后网络接入请求者从网络接入服务器请求安全可信策略;
步骤V105:网络请求者根据安全可信策略执行安全可信检查,检测结果包含平台完整性PCR值、系统文件完整性、杀毒软件版本及状态等,使用AIK私钥对检测结果签名,并将检测结果发送到所述网络接入决策者;
步骤V106:网络接入决策者对网络接入请求者安全可信检测结果进行对比评分,根据评分将对应的安全域数字标签特征发送到网络接入请求者,同时更新安全域,并将最新安全域信息发送到网络接入控制者;
步骤V107:网络接入请求者接收到对应安全域数字标签,对网络出口数据包打数字标签;
步骤V108:网络接入控制者对网络接入请求者数据包进行过滤,判断数字标签,当数字标签与网络数据包中目的地址所在安全域数字标签特征相同时则认为访问合法,放行数据包,反之,禁止网络访问。
为了支持不同的终端采用不同的安全等级,所述安全可信策略以策略组形式存在,并能根据用户名对不同用户分配不同安全可信策略,安全可信策略包含平台完整性、杀毒软件、服务程序、文件完整性、网络端口等。
所述网络接入决策者对网络接入请求者安全可信检测的具体实施步骤如下:具体实施步骤如下:
步骤S201:网络接入请求者身份认证通过后,接入决策者根据用户名查询对应的安全可信策略,并将策略下发到网络接入请求者;
步骤S202:网络接入请求者接收到安全可信策略后对策略解析,并开始安全可信策略的执行,收集网络接入请求者完整性、网络端口等状态,收集完成后对检测结果打包签名,发送到网络接入决策者;
步骤S203:网络接入决策者接收到检测结果后,对检测结果解析,并与对应的安全可信策略预期值对比,得出安全等级;
步骤S204:网络接入决策者得出网络接入请求者安全等级后,将对应等级的安全可信域数字标签特征下发到网络接入请求者,并更新安全可信域,并下发到网络接入控制者;
步骤S205:网络接入控制者接收到更新的安全可信域后解析保存到本地内存中。
对于不同等级的安全可信域,网络跨域访问控制操作步骤如下:
步骤S301:网络接入请求者接收到数字标签后,将数字标签下发到内核网络过滤驱动;
步骤S302:网络过滤驱动对流出的网络数据包进行拦截,修改数据包中IP部分,对网络数据包进行打标签,重新计算数据包校验和,更新到数据包中,将数据包通过网络设备发送出去;
步骤S303:网络数据包在到达目的地前流经网络接入控制者,网络接入控制者拦截网络数据包,解析出IP地址、数字标签信息;
步骤S304:在S205步骤保存在内存中的安全可信域查找对比IP地址与数字标签,根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中,处于同一域放行,否则禁止网络访问。
本发明的有益效果为:本发明所述方法,通过平台身份认证、数字标签技术,实现网络接入控制与网络访问控制,具有以下有益效果:
1.基于TCM进行平台身份认证,保证网络接入控制同时,避免身份伪造;
2.基于数字标签技术划分网络区域,网络区域动态动态更新,实现网络自适应,保证不同逻辑区域访问安全;
3.配置安全可信策略,结合TCM密码算法保证请求者平台状态安全可信。
附图说明
图1为可信网络部署方式示意图;
图2为网络接入请求者身份认证流程图;
图3为网络接入请求者安全可信状态检测流程图;
图4为网络跨域访问控制流程示意图。
具体实施方式
下面参照附图所示,通过具体实施方式对本发明进一步说明:
实施例1:
一种可信网络接入与访问控制系统,如图1所示,通常在原有网络基础上在增加网络接入控制者设备与网络接入决策设备,两者可为同一台设备,为了保证网络接入终端安全可信,网络接入决策服务器预制安全可信域与安全可信域属性,安全可信域属性包含数字标签特征、安全等级,另外网络接入决策服务器设置安全可信策略,用于终端进行安全可信状态检查。
实施例2:
一种可信网络接入与访问控制方法,网络接入决策者采用数字标签技术将整个网络划分为不同的安全域,网络接入请求者通过身份认证发起网络接入请求,然后从网络接入决策者接收安全可信策略,网络接入请求者按照安全可信策略执行安全可信检查,将检查结果发送到网络决策者,决策者根据检查结果判断请求者安全状态,并将对应的安全域数字标签特征发送到请求者,请求者在后续网络访问过程中对网络数据包打数字标签,网络接入控制者根据网络数据包中数字标签判断请求者网络访问是否合法。
实施例3:
如图2所示,网络接入请求者身份认证具体实施步骤如下:
步骤S101:接入终端发起网络接入请求,将平台身份AIK证书发送到网络接入决策服务器,网络接入决策服务器对平台身份进行认证,认证失败禁止网络接入;
步骤S102:认证成功,网络接入决策服务器将平台身份认证结果返回给终端,终端将用户输入的用户名、密码通过TCM对称密码算法加密后使用AIK私钥签名,签名后发送到决策服务器;
步骤S103:决策服务器接收到终端认证信息后,对认证信息进行验签,并解密认证信息,解密后进行身份认证,认证通过则下发安全可信策略,否则禁止网络接入;
终端认证成功后与接入策略服务器维持心跳,每隔一段时间发送一次心跳并接受服务器返回,接入策略服务器根据心跳判断终端用户的在线状态。
实施例4:
在实施例2或3的基础上,本实施例为了支持不同的终端采用不同的安全等级,安全可信策略以策略组形式存在,并可根据用户名对不同用户分配不同安全可信策略,安全可信策略包含平台完整性、杀毒软件、服务程序、文件完整性、网络端口等。
实施例5:
在实施例3的基础上,如图3所示,所述网络接入决策者对网络接入请求者安全可信检测的具体实施步骤如下:
步骤S201:终端身份认证通过后,接入决策服务器根据用户名查询对应的安全可信策略,并将策略下发到终端;
步骤S202:终端接收到安全可信策略后对策略解析,并开始安全可信策略的执行,收集终端完整性、网络端口等状态,收集完成后对检测结果打包签名,发送到网络接入决策服务器;
步骤S203:网络接入决策服务器接收到检测结果后,对检测结果解析,并与对应的安全可信策略预期值对比,得出安全等级;
步骤S204:网络接入决策服务器得出终端安全等级后,将对应等级的安全可信域数字标签特征下发到终端,并更新安全可信域,并下发到网络接入控制设备;
步骤S205:网络接入控制设备接收到更新的安全可信域后解析保存到本地内存中。
实施例5:
在实施例3的基础上,本实施例所述安全可信域根据终端安全等级自动调整,保证网络的安全实时性,另外,安全可信域还提供手动添加终端功能,可将某终端直接添加到安全可信域中,此时终端所处的安全可信域不再随终端安全可信状态更新。另外一种更新安全可信域的情况是终端在线状态改变,当终端下线时会将终端本地数字标签清空,同时服务器检测到终端下线立即更新安全可信域。
实施例6:
如图4所示,在实施例5的基础上,本实施例对于不同等级的安全可信域,网络跨域访问控制操作步骤如下:
步骤S301:终端接收到数字标签后,将数字标签下发到内核网络过滤驱动;
步骤S302:网络过滤驱动对流出的网络数据包进行拦截,修改数据包中IP部分,对网络数据包进行打标签,重新计算数据包校验和,更新到数据包中,将数据包通过网络设备发送出去;
步骤S303:网络数据包在到达目的地前流经网络接入控制设备,网络接入控制设备拦截网络数据包,解析出IP地址、数字标签信息;
步骤S304:在S205步骤保存在内存中的安全可信域查找对比IP地址与数字标签,根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中,处于同一域放行,否则禁止网络访问。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (4)

1.一种可信网络接入与访问控制方法,其特征在于:网络接入决策者采用数字标签技术将整个网络划分为不同的安全域,网络接入请求者通过身份认证发起网络接入请求,然后从网络接入决策者接收安全可信策略,网络接入请求者按照安全可信策略执行安全可信检查,将检查结果发送到网络决策者,决策者根据检查结果判断请求者安全状态,并将对应的安全域数字标签特征发送到请求者,请求者在后续网络访问过程中对网络数据包打数字标签,网络接入控制者根据网络数据包中数字标签判断请求者网络访问是否合法。
2.根据权利要求1所述的一种可信网络接入与访问控制方法,其特征在于:结合国产TCM芯片与数字标签技术,所述控制方法包含步骤如下:
步骤V101:网络接入请求者首先将AIK证书发送到网络接入决策者,由网络接入决策者验证请求者的平台身份;
步骤V102:网络接入请求者AIK证书认证通过后,使用TCM对称加密算法对用户名、密码加密,并使用AIK私钥对加密信息签名,将签名后信息发送到网络接入决策者;
步骤V103:网络接入决策者首先使用AIK公钥对加密数据验签,验证通过后使用TCM对称加密算法解密加密用户名、密码并对用户名密码认证,如果认证失败拒绝接入网络;
步骤V104:身份认证通过后网络接入请求者从网络接入服务器请求安全可信策略;
步骤V105:网络请求者根据安全可信策略执行安全可信检查,检测结果包含平台完整性PCR值、系统文件完整性、杀毒软件版本及状态,使用AIK私钥对检测结果签名,并将检测结果发送到所述网络接入决策者;
步骤V106:网络接入决策者对网络接入请求者安全可信检测结果进行对比评分,根据评分将对应的安全域数字标签特征发送到网络接入请求者,同时更新安全域,并将最新安全域信息发送到网络接入控制者;
步骤V107:网络接入请求者接收到对应安全域数字标签,对网络出口数据包打数字标签;
步骤V108:网络接入控制者对网络接入请求者数据包进行过滤,判断数字标签,当数字标签与网络数据包中目的地址所在安全域数字标签特征相同时则认为访问合法,放行数据包,反之,禁止网络访问。
3.根据权利要求2所述的一种可信网络接入与访问控制方法,其特征在于:所述网络接入决策者对网络接入请求者安全可信检测的具体实施步骤如下:
步骤S201:网络接入请求者身份认证通过后,接入决策者根据用户名查询对应的安全可信策略,并将策略下发到网络接入请求者;
步骤S202:网络接入请求者接收到安全可信策略后对策略解析,并开始安全可信策略的执行,收集网络接入请求者完整性、网络端口状态,收集完成后对检测结果打包签名,发送到网络接入决策者;
步骤S203:网络接入决策者接收到检测结果后,对检测结果解析,并与对应的安全可信策略预期值对比,得出安全等级;
步骤S204:网络接入决策者得出网络接入请求者安全等级后,将对应等级的安全可信域数字标签特征下发到网络接入请求者,并更新安全可信域,并下发到网络接入控制者;
步骤S205:网络接入控制者接收到更新的安全可信域后解析保存到本地内存中。
4.根据权利要求3所述的一种可信网络接入与访问控制方法,其特征在于:对于不同等级的安全可信域,网络跨域访问控制操作步骤如下:
步骤S301:网络接入请求者接收到数字标签后,将数字标签下发到内核网络过滤驱动;
步骤S302:网络过滤驱动对流出的网络数据包进行拦截,修改数据包中IP部分,对网络数据包进行打标签,重新计算数据包校验和,更新到数据包中,将数据包通过网络设备发送出去;
步骤S303:网络数据包在到达目的地前流经网络接入控制者,网络接入控制者拦截网络数据包,解析出IP地址、数字标签信息;
步骤S304:在S205步骤保存在内存中的安全可信域查找对比IP地址与数字标签,根据IP地址与数字标签判断网络中目的地址是否处于同一安全可信域中,处于同一域放行,否则禁止网络访问。
CN201510095892.2A 2015-03-04 2015-03-04 一种可信网络接入与访问控制方法 Active CN104618396B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510095892.2A CN104618396B (zh) 2015-03-04 2015-03-04 一种可信网络接入与访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510095892.2A CN104618396B (zh) 2015-03-04 2015-03-04 一种可信网络接入与访问控制方法

Publications (2)

Publication Number Publication Date
CN104618396A CN104618396A (zh) 2015-05-13
CN104618396B true CN104618396B (zh) 2018-01-02

Family

ID=53152671

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510095892.2A Active CN104618396B (zh) 2015-03-04 2015-03-04 一种可信网络接入与访问控制方法

Country Status (1)

Country Link
CN (1) CN104618396B (zh)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888091A (zh) * 2015-12-23 2017-06-23 北京奇虎科技有限公司 基于eap的可信网络接入方法和系统
CN106899561B (zh) * 2015-12-24 2020-04-07 北京奇虎科技有限公司 一种基于acl的tnc权限控制方法和系统
DE102016205122A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft Verfahren zum Austausch von Nachrichten zwischen sicherheitsrelevanten Vorrichtungen
CN106027518B (zh) * 2016-05-19 2019-04-12 中国人民解放军装备学院 一种基于准实时状态反馈的可信网络连接方法
CN106209848A (zh) * 2016-07-13 2016-12-07 国网河南省电力公司南阳供电公司 电力通信方法及装置
CN106161445A (zh) * 2016-07-13 2016-11-23 南阳理工学院 一种计算机信息安全控制方法及装置
CN106209844A (zh) * 2016-07-13 2016-12-07 国网河南省电力公司南阳供电公司 电力安全通讯方法
CN105959319A (zh) * 2016-07-13 2016-09-21 南阳理工学院 一种数据安全传输方法及装置
CN106209847A (zh) * 2016-07-13 2016-12-07 国网河南省电力公司南阳供电公司 电力数据传输方法及装置
CN106254322A (zh) * 2016-07-27 2016-12-21 南阳理工学院 一种英语教学数据传输方法及装置
CN106254329A (zh) * 2016-07-30 2016-12-21 南阳理工学院 用于保护计算机网络安全的方法
CN111917571B (zh) 2017-01-25 2022-09-23 华为技术有限公司 一种策略管理方法、装置和系统
CN107196906A (zh) * 2017-03-31 2017-09-22 山东超越数控电子有限公司 一种安全域网络接入控制方法及系统
CN109309690B (zh) * 2018-12-28 2019-04-02 中国人民解放军国防科技大学 一种基于报文认证码的软件白名单控制方法
CN109995783A (zh) * 2019-04-02 2019-07-09 山东超越数控电子股份有限公司 一种可信网络的接入方法、设备以及存储介质
CN110035076B (zh) * 2019-04-04 2021-05-25 华北电力科学研究院有限责任公司 面向能源互联网的可信接入方法、可信客户端及服务器
CN110166473B (zh) * 2019-05-29 2021-08-27 中国移动通信集团江苏有限公司 网络数据传输检测方法、装置、设备和介质
CN110298183B (zh) * 2019-06-26 2021-07-20 浪潮金融信息技术有限公司 一种分级保护数据安全的方法
CN110417776B (zh) * 2019-07-29 2022-03-25 大唐高鸿信安(浙江)信息科技有限公司 一种身份认证方法及装置
CN113271285B (zh) * 2020-02-14 2023-08-08 北京沃东天骏信息技术有限公司 接入网络的方法和装置
CN112257059B (zh) * 2020-10-12 2023-03-28 麒麟软件有限公司 一种动态可信文件执行控制方法及系统
CN112351005B (zh) * 2020-10-23 2022-11-15 杭州安恒信息技术股份有限公司 物联网通信方法、装置、可读存储介质及计算机设备
CN112422292B (zh) * 2020-11-19 2024-04-02 杭州世平信息科技有限公司 一种网络安全防护方法、系统、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101136928A (zh) * 2007-10-19 2008-03-05 北京工业大学 一种可信网络接入框架
CN101448264A (zh) * 2008-12-22 2009-06-03 杭州华三通信技术有限公司 接入用户的访问控制方法和系统
CN104038478A (zh) * 2014-05-19 2014-09-10 瑞达信息安全产业股份有限公司 一种嵌入式平台身份验证可信网络连接方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101136928A (zh) * 2007-10-19 2008-03-05 北京工业大学 一种可信网络接入框架
CN101448264A (zh) * 2008-12-22 2009-06-03 杭州华三通信技术有限公司 接入用户的访问控制方法和系统
CN104038478A (zh) * 2014-05-19 2014-09-10 瑞达信息安全产业股份有限公司 一种嵌入式平台身份验证可信网络连接方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
可信网络跨域接入技术研究;计龙,等;《计算机工程与设计》;20140131;第35卷(第1期);全文 *

Also Published As

Publication number Publication date
CN104618396A (zh) 2015-05-13

Similar Documents

Publication Publication Date Title
CN104618396B (zh) 一种可信网络接入与访问控制方法
US10630725B2 (en) Identity-based internet protocol networking
US7526792B2 (en) Integration of policy compliance enforcement and device authentication
US20070180225A1 (en) Method and system for performing authentication and traffic control in a certificate-capable session
US8336108B2 (en) Method and system for collaboration involving enterprise nodes
EP2180632B1 (en) A method for trusted network connect based on tri-element peer authentication
US9584587B2 (en) Managing transmission and storage of sensitive data
CN105282157B (zh) 一种安全通信控制方法
CN101778099B (zh) 可容忍非信任组件的可信网络接入架构及其接入方法
US20190253444A1 (en) Dynamic security method and system based on multi-fusion linkage response
US20030177387A1 (en) Secured web entry server
US20110173443A1 (en) Secure extranet server
CN114553568A (zh) 一种基于零信任单包认证与授权的资源访问控制方法
CN110830446B (zh) 一种spa安全验证的方法和装置
CN101808142B (zh) 通过路由器或交换机实现可信网络连接的方法和装置
CN106899561A (zh) 一种基于acl的tnc权限控制方法和系统
Rani et al. Cyber security techniques, architectures, and design
CN107196906A (zh) 一种安全域网络接入控制方法及系统
EP2311218B1 (en) Http authentication and authorization management
CN101764788B (zh) 基于扩展802.1x认证系统的安全接入方法
CN110830507B (zh) 资源访问方法、装置、电子设备及系统
Serrao Network access control (NAC): An open source analysis of architectures and requirements
George Amalarethinam et al. A survey on security challenges in cloud computing
Ahmad et al. Analysis of network security threats and vulnerabilities by development & implementation of a security network monitoring solution
Orucho et al. Security threats affecting user-data on transit in mobile banking applications: A review

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20180807

Address after: 250100 S06 tower, 1036, Chao Lu Road, hi tech Zone, Ji'nan, Shandong.

Patentee after: Shandong wave cloud Mdt InfoTech Ltd

Address before: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong

Patentee before: Inspur Group Co., Ltd.

TR01 Transfer of patent right
CP03 Change of name, title or address

Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Patentee after: Inspur cloud Information Technology Co., Ltd

Address before: 250100 Ji'nan science and technology zone, Shandong high tide Road, No. 1036 wave of science and Technology Park, building S06

Patentee before: SHANDONG LANGCHAO YUNTOU INFORMATION TECHNOLOGY Co.,Ltd.

CP03 Change of name, title or address