CN104869111B - 一种终端可信接入认证系统及方法 - Google Patents
一种终端可信接入认证系统及方法 Download PDFInfo
- Publication number
- CN104869111B CN104869111B CN201510181176.6A CN201510181176A CN104869111B CN 104869111 B CN104869111 B CN 104869111B CN 201510181176 A CN201510181176 A CN 201510181176A CN 104869111 B CN104869111 B CN 104869111B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- access authentication
- terminal
- usb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种终端可信接入认证系统及方法,通过CA将用户的公钥和标识信息捆绑并存放在电子证书内,实现了用户的身份认证;结合数据加密和数字签名技术保证了用户信息的保密性、完整性和不可抵赖性;本发明对设备的整体性能要求不高,可以有效降低建网成本;支持组播业务;兼容PPP,扩展性和适应性良好;设计了可控端口和不可控端口,实现了业务和认证的分离;认证通过后,不再需要对数据包进行封装处理,效率高;可映射不同的用户等级到不同的VLAN,实现拥有不同权限的用户域的管理;具有实现方式简单、认证效率高、安全可靠、易于运营的优势。
Description
技术领域
本发明属于网络安全管理技术领域,涉及一种安全管控系统,具体涉及一种终端可信接入认证系统及方法。
背景技术
目前由于网络环境的复杂性、网络设备的多样性、网络终端接入技术多样性,以及终端用户的不合规性,使得终端随意接入访问的网络边界接入安全问题日益突出显现。网络终端是接入和访问网络的入口,单个终端坏点足以能够导致整个网络系统的瘫痪。终端可信接入系统是保障网络安全的第一道也是最重要的安全防线。如何有效管控网络终端的安全接入,构建终端可信接入认证控制体系,从源头上防范非法接入安全隐患已成为当前网络安全管理的关键。
发明内容
本发明的目的在于解决上述问题,提供一种终端可信接入认证系统及方法。
为了实现上述目的,本发明所采用的技术方案是:
一种终端可信接入认证系统,包括用于实现终端用户的可信身份认证的用户身份认证模块以及用于实现终端节点的可信接入认证的终端接入认证模块。
所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。
所述的终端接入认证模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
一种终端可信接入认证方法,包括以下步骤:
1)可信身份认证
1-1)首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
1-2)通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数CertificateSign_certThumbprint(strTexts,rtest)由相应CA认证中心提供;
1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,确保验证过程在允许的时间间隔内完成。
2)可信接入认证
2-1)用户插入USB-Key硬件设备,终端组件广播发送EAPOL-Start包,请求认证;
2-2)接入认证交换机返回请求用户名包;
2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
2-4)RADIUS服务器产生MD5-Challenge加密字,并由接入认证交换机返回给终端组件;
2-5)客户端发送用户名和加密密码包;
2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
与现有技术相比,本发明具有以下有益效果:
本发明是基于CA的802.1x的终端可信接入认证系统,通过CA将用户的公钥和标识信息(姓名、工作单位、e-mail、地址)捆绑并存放在电子证书内,实现了用户的身份认证;结合数据加密和数字签名技术保证了用户信息的保密性、完整性和不可抵赖性;结合802.1x协议开发的终端接入组件具有主动发起认证的功能,且随机加密字由设备端产生,下接的终端设备通过用户名和密码的认证结果来决定端口的开启和闭合。其检测效率高、性能稳定,能够主动防御非法终端,解决了终端身份不确定的问题。对设备的整体性能要求不高,可以有效降低建网成本;支持组播业务;兼容PPP,扩展性和适应性良好;设计了可控端口和不可控端口,实现了业务和认证的分离;认证通过后,不再需要对数据包进行封装处理,效率高;可映射不同的用户等级到不同的VLAN,实现拥有不同权限的用户域的管理;具有实现方式简单、认证效率高、安全可靠、易于运营的优势。
附图说明
图1为本发明用户身份认证流程图;
图2为本发明终端接入认证流程图。
具体实施方式
下面结合附图和实施例对本发明做进一步详细的说明:
本发明终端可信接入认证系统,包括用户身份认证模块和终端接入认证模块;用户身份认证模块完成终端用户的可信身份认证;用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口。终端节点可信接入模块完成终端用户的可信接入认证;终端节点可信接入模块包括接入认证交换机、CA认证服务器以及RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
如图1和图2所示,本发明还公开了一种终端可信接入认证方法,包括以下步骤:
1)可信身份认证
1-1)首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
1-2)通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数CertificateSign_certThumbprint(strTexts,rtest)由相应CA认证中心提供;
1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,确保验证过程在允许的时间间隔内完成。
2)可信接入认证
2-1)用户插入USB-Key硬件设备,终端组件广播发送EAPOL-Start包,请求认证;
2-2)接入认证交换机返回请求用户名包;
2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
2-4)RADIUS服务器产生MD5-Challenge加密字,并由接入认证交换机返回给终端组件;
2-5)客户端发送用户名和加密密码包;
2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
本发明的原理:
本发明利用CA身份认证技术、802.1x协议接入认证技术等关键技术,实现终端的可信身份认证、可信接入认证等功能。并在以上基础上,结合兼容性、安全性、稳定性、界面友好性等设计原则,开发一套结合身份认证的可信终端接入控制系统,并在真实的的网络环境下进行测试。主要实现了:1、采用CA身份认证技术,完成终端用户的可信身份认证;2、采用802.1x协议接入认证方式,完成终端节点的可信接入;
本发明的结构原理:
本发明的设计符合802.1x协议的终端通用认证组件,结合CA身份认证技术,通过储存有数字证书的USB-Key硬件设备与CA中心服务器的联动来完成用户身份认证;使用内置于USB-Key硬件设备中的入网号和PIN码作为终端认证节点的唯一标识,通过终端组件、中间接入设备和RADIUS认证服务器三个实体之间的信息交互完成终端接入认证。
本发明的工作流程:
本发明将可信的用户身份认证、可信终端接入认证等功能与现有业务流程相结合,达到安全接入、可信访问的目的。
本发明是在802.1x协议的原型上结合CA身份认证技术实现的。终端接入网络后首先会被接入层接入认证交换机划入客户区,该区域的终端计算机只可以访问隔离网络区。终端组件开始运行后,首先检测是否插入了USB-Key硬件设备,通过CA智能助手可查看USB-Key硬件设备中的证书信息;终端组件将证书信息提交给CA认证服务器进行签名认证,证书有效期经由CA认证服务器进行验证。
身份认证通过后,进入接入认证阶段。终端组件获取USB-Key硬件设备中的特定信息作为登录账号和密码,首次登录时需要在局域网内部数据库进行信息补全和注册,接入认证时终端组件通过中间设备将合法的用户名和密码提交给RADIUS认证服务器进行验证。
本发明功能模块的设计:
本发明主要包括用户身份认证模块、终端可信接入模块。
用户身份认证模块
本发明采用CA身份认证技术,由CA认证中心为每位用户配发一个USB-Key硬件设备硬件设备,设备中保存有数字证书、私钥以及用户的基本信息,USB-Key硬件设备还能够设置用户口令,进一步增强证书和私钥的安全性。USB-Key硬件设备具有通用的USB接口,能够满足用户移动办公的需求。此模块通过Internet连接CA认证中心,根据USB-Key硬件设备中的内置信息进行身份认证。根据数字证书的签名判定终端硬件是否合法,根据时间戳判定终端设备是否处于有效期。用户身份认证模块主要由硬件设备USB-Key硬件设备、终端接入组件和CA认证服务器组成,用户身份认证流程如图2所示。
主要实现过程如下:
①首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
②通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
③调用本地的USBKey中的私钥对该随机数进行签名,本发明采用PKCS#7签名,因为PKCS#7签名和其他签名相比,优势在于除了签名值外,还附带有证书信息,签名函数CertificateSign_certThumbprint(strTexts,rtest)由CA认证中心提供;
④签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息(可以是客服信任号、颁发者等信息)和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,看是否在一定的时间间隔内,验证完成。
终端节点可信接入模块
本发明在严格按照802.1x协议编写的基础上对终端组件进行了改进,实现了终端组件在不同Unix、Linux和Windows系列操作系统上与各厂家的网络设备使用的兼容性和通用性。系统采用EAP-MD5质询的认证方式主动触发802.1x协议认证,利用USB-Key硬件设备中的13位入网号和PIN码作为合法的登录账号和密码,接入认证主要流程如下:
①终端用户插入USB-Key硬件设备,终端组件发送EAPOL-Start包,请求认证;
②接入认证交换机返回请求用户名包;
③终端组件自动获取数字证书中的入网号作为用户名,发送封装用户名的数据包;
④RADIUS服务器产生MD5-Challenge加密字,由接入认证交换机返回给终端组件;
⑤客户端发送用户名和加密密码包;
⑥接入认证交换机将用户名和密码包转发给RADIUS服务器验证,合法则返回成功认证包,否则返回认证失败包。
此模块主要由终端组件、接入认证交换机和RADIUS认证服务器组成。终端首次接入内网时,首先开辟一个URL指向用户内网信息注册网页,注册成功后由管理员进行信息审核,审核通过后成为合法的内网终端。终端请求接入认证时,开辟一个URL指向RADIUS认证服务器,RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。
Claims (1)
1.一种终端可信接入认证方法,该方法基于一种终端可信接入认证系统,所述系统包括用于实现终端用户的可信身份认证的用户身份认证模块以及用于实现终端节点的可信接入认证的终端接入认证模块;所述的用户身份认证模块包括CA用户证书以及CA认证服务器;CA认证中心为每位用户配发一个USB-Key硬件设备,CA用户证书、私钥以及用户的基本信息保存在USB-Key硬件设备中;USB-Key硬件设备能够设置用户口令,且具有USB接口;所述的终端接入认证模块包括终端组件、接入认证交换机和RADIUS认证服务器;RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证;其特征在于,所述方法包括以下步骤:
1)可信身份认证
1-1)首先终端组件通过GetTimes()函数获取本地时间,然后将时间拼装成字符串格式;
1-2)通过GenSimpleKey(10)函数获取时间字符串的10位随机数;
1-3)调用本地的USB-Key硬件设备中的私钥对该随机数进行PKCS#7签名,签名函数CertificateSign_certThumbprint(strTexts, rtest)由相应CA认证中心提供;
1-4)签名完成后,调用CA认证服务器进行验证,服务器利用私钥解密出证书信息和本地时间,然后查看证书信息是否存在于白名单中,同时将本地时间与当前时间作比较,确保验证过程在允许的时间间隔内完成;
2)可信接入认证
2-1)用户插入USB-Key硬件设备,终端组件广播发送EAPOL-Start包,请求认证;
2-2)接入认证交换机返回请求用户名包;
2-3)终端组件自动获取数字证书设备中的入网号作为用户名,发送封装用户名的数据包;
2-4)RADIUS服务器产生MD5-Challenge加密字,并由接入认证交换机返回给终端组件;
2-5)客户端发送用户名和加密密码包;
2-6)接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证,合法则返回成功认证包,否则返回认证失败包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510181176.6A CN104869111B (zh) | 2015-04-16 | 2015-04-16 | 一种终端可信接入认证系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510181176.6A CN104869111B (zh) | 2015-04-16 | 2015-04-16 | 一种终端可信接入认证系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104869111A CN104869111A (zh) | 2015-08-26 |
CN104869111B true CN104869111B (zh) | 2018-05-01 |
Family
ID=53914635
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510181176.6A Active CN104869111B (zh) | 2015-04-16 | 2015-04-16 | 一种终端可信接入认证系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104869111B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656481B (zh) * | 2016-10-28 | 2019-08-30 | 美的智慧家居科技有限公司 | 身份认证方法、装置以及系统 |
CN107196905B (zh) * | 2017-03-31 | 2020-09-08 | 山东超越数控电子股份有限公司 | 一种Windows平台可信网络接入客户端及接入方法 |
CN107302535A (zh) * | 2017-06-28 | 2017-10-27 | 深圳市欧乐在线技术发展有限公司 | 一种接入鉴权方法及装置 |
CN107294983B (zh) * | 2017-06-30 | 2020-09-29 | 北京小米移动软件有限公司 | 网络连接方法、装置、用户设备及终端 |
CN109388940B (zh) * | 2018-09-20 | 2020-12-01 | 斑马网络技术有限公司 | 车机系统访问方法、装置、服务器及工程u盘 |
CN111224777A (zh) * | 2019-11-22 | 2020-06-02 | 苏州浪潮智能科技有限公司 | Sdn网络组播成员信息加密方法、系统、终端及存储介质 |
CN116962998A (zh) * | 2022-04-15 | 2023-10-27 | 华为技术有限公司 | 一种验证信息发送方法、电子设备及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104253813A (zh) * | 2014-09-05 | 2014-12-31 | 国电南瑞科技股份有限公司 | 一种基于调变一体化系统远程维护的安全防护方法 |
CN104252676A (zh) * | 2013-06-27 | 2014-12-31 | 黄金富知识产权咨询(深圳)有限公司 | 利用实时通讯及数字证书认证网银账户身份的系统和方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120030475A1 (en) * | 2010-08-02 | 2012-02-02 | Ma Felix Kuo-We | Machine-machine authentication method and human-machine authentication method for cloud computing |
-
2015
- 2015-04-16 CN CN201510181176.6A patent/CN104869111B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104252676A (zh) * | 2013-06-27 | 2014-12-31 | 黄金富知识产权咨询(深圳)有限公司 | 利用实时通讯及数字证书认证网银账户身份的系统和方法 |
CN104253813A (zh) * | 2014-09-05 | 2014-12-31 | 国电南瑞科技股份有限公司 | 一种基于调变一体化系统远程维护的安全防护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104869111A (zh) | 2015-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104869111B (zh) | 一种终端可信接入认证系统及方法 | |
CN103297437B (zh) | 一种移动智能终端安全访问服务器的方法 | |
JP6290932B2 (ja) | データセキュリティサービス | |
US9237142B2 (en) | Client and server group SSO with local openID | |
US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
CN107018134A (zh) | 一种配电终端安全接入平台及其实现方法 | |
CN110233868A (zh) | 一种基于Fabric的边缘计算数据安全与隐私保护方法 | |
CN109088870A (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
EP3017390B1 (en) | Method and system related to authentication of users for accessing data networks | |
CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
US20140359741A1 (en) | Mutually Authenticated Communication | |
CN109145540A (zh) | 一种基于区块链的智能终端身份认证方法及装置 | |
CN106488452A (zh) | 一种结合指纹的移动终端安全接入认证方法 | |
CN104394172A (zh) | 单点登录装置和方法 | |
CN106060078A (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
CN107864475A (zh) | 基于Portal+动态密码的WiFi快捷认证方法 | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
CN109309645A (zh) | 一种软件分发安全保护方法 | |
CN106559785A (zh) | 认证方法、设备和系统以及接入设备和终端 | |
Alizai et al. | Key-based cookie-less session management framework for application layer security | |
CN106375123A (zh) | 一种802.1x认证的配置方法及装置 | |
CN106888091A (zh) | 基于eap的可信网络接入方法和系统 | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |