CN105162808A - 一种基于国密算法的安全登录方法 - Google Patents
一种基于国密算法的安全登录方法 Download PDFInfo
- Publication number
- CN105162808A CN105162808A CN201510681321.7A CN201510681321A CN105162808A CN 105162808 A CN105162808 A CN 105162808A CN 201510681321 A CN201510681321 A CN 201510681321A CN 105162808 A CN105162808 A CN 105162808A
- Authority
- CN
- China
- Prior art keywords
- client
- service end
- interface
- algorithm
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于国密算法的安全登录方法,分别在嵌入式设备和调试机电脑上安装服务端登录软件和客户端登录软件,嵌入式设备和调试机电脑通过网口连接,客户端通过网络远程登录到设备;登录软件采用密钥验证方法,客户端与服务端密钥通过各自身份验证后,用户才能登录设备,然后进行加密会话。本发明通过在客户端安装安全登录软件,可以在不改变设备原有功能的前提下,采用新的身份认证方式,并将明文传输变为密文传输,从而解决了现有远程登录软件中的风险漏洞,提高了网络设备与外部通信的安全性,有效地抵御针对网络管理发起的恶意攻击。
Description
技术领域
本发明属于信息安全技术的安全登录领域,具体涉及一种网络设备的安全登录方法。
背景技术
远程登录软件是一种通过网口进行设备维护和管理的通信软件。常见于服务器、嵌入式网络设备、路由器、交换机等电子产品。大多数登录软件采用明文传输,使用口令作为身份验证的唯一标识,口令破解后,设备信息可能被恶意篡改或盗取。因此,在较高安全等级的应用环境中,普通的远程登录软件存在很大的安全风险。
国密即国家密码局认定的国产密码算法,也可称为商用密码。具体指能够实现商用密码算法的加密、解密和认证等功能的技术,包括密码算法编程、密码算法芯片、加密卡等实现。国密的应用领域十分广泛,主要用于具有敏感性内部信息、行政事务信息、经济信息等进行加密保护。如:企业门禁管理、信息传输加密、存储加密、安全认证、网银、数字签名等。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于国密算法的安全登录方法,通过在客户端安装安全登录软件,可以在不改变设备原有功能的前提下,采用新的身份认证方式,并将明文传输变为密文传输,从而解决了现有远程登录软件中的风险漏洞,提高了网络设备与外部通信的安全性,有效地抵御针对网络管理发起的恶意攻击。
本发明解决其技术问题所采用的技术方案是:一种基于国密算法的安全登录方法,分别在嵌入式设备和调试机电脑上安装服务端登录软件和客户端登录软件,嵌入式设备和调试机电脑通过网口连接,客户端通过网络远程登录到设备;登录软件采用密钥验证方法,客户端与服务端密钥通过各自身份验证后,用户才能登录设备,然后进行加密会话。
与现有技术相比,本发明的积极效果是:
1)与设备进行通信时,只通过存储在设备和客户端的密钥进行身份认证,认证过程自动完成,不需要输入任何口令或信息。通过这种机制,可以阻止针对管理维护接口的攻击,利用密钥验签的方法实现对设备的访问权限进行控制,抵御类似暴力破解的非法攻击。
2)本发明中,在密钥认证完成后将进行会话加密。如:指令、文件等传输内容,在信道上均为双向加密传输,可大幅提升整个远程维护过程的安全性,防范中间人类的非法攻击,确保传输内容不被窃取。
3)本发明中,除软加密外,还支持硬件加密方式。密钥可存储于key盘等外接设备,密钥的验签过程全部在硬件加密卡中完成,保证密钥存放的安全性。
4)本安全登录软件适用于任何使用Linux系统的嵌入式设备,具有架构无关性,移植性强。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明的通信协议框架示意图;
图2是安全登录软件进行密钥和加密接口调用的过程示意图;
图3是安全登录软件的身份认证与数据传输示意图。
具体实施方式
一种基于国密算法的安全登录方法,设备登录软件由服务端和客户端两部分组成,分别安装到嵌入式设备和调试机电脑上,设备与电脑通过网口连接。客户端通过网络远程登录到设备,屏蔽安全风险较高的口令认证方式,软件采用密钥验证方法,客户端与服务端密钥通过各自验证后,用户才能登录设备。其中,核心的密钥协商和通信加密完全基于国密算法实现。
如图1所示,安全远程登录的通信协议框架:传输层协议(TransportLayerProtocol)提供服务端认证、传输数据加密和数据完整性校验;用户认证协议(UserAuthenticationProtocol)完成身份鉴别:连接协议(ConnectionProtocol)将加密信息隧道映射为若干逻辑通道,完成网络会话。
其中,传输层协议在服务端认证和数据加密过程中,调用国密算法和密钥管理接口。接口支持软件和硬件两种方式,两者调用过程一致。软件方式的算法库和密钥在本地存储,硬件方式则调用外部硬件加密卡的算法接口和密钥。
图2描述了在身份认证和数据传输时,安全登录软件进行密钥和加密接口调用的过程。
其中,密钥管理接口功能包括:公钥读取、添加密钥对、密钥对销毁和随机数生成。加密算法接口分为SM2和SM4两类,SM2用于设备密钥验证,SM4用于数据传输加密。
SM2加密算法接口包括:SM2加密、SM2解密、SM2签名和SM2验签。
SM4加密算法接口包括:SM4加密、SM4解密。
安全登录软件的客户端和服务端都至少包含一个密钥对。根据存储方式的不同,密钥对录入内核key保险柜或硬件加密卡。在身份认证阶段,客户与服务端依次交换公钥与各自本地的私钥进行验证,过程中网络交互内容使用SM2密文传输。验证通过后,开始建立会话。本软件的密钥算法支持国密SM2,不支持其他通用密钥算法。
图3描述了本发明的身份认证和会话传输过程:
1)客户端首先向服务端发起连接请求,服务器确认连接;
2)客户端与服务端协商软件版本号和通信协议;
3)客户端与服务端协商传输加密算法,设置为SM4;
4)客户端与服务端协商密钥验证算法,设置为SM2;
5)协商完成后,登录软件的服务端首先发起身份认证请求。客户端收到请求后,向服务端发送随机数和本地公钥。服务端调用SM2加密算法接口,验证其合法性。若验证失败则关闭连接,若成功,服务端通知客户端验证成功。随后,客户端发起身份认证请求,过程同上;
6)客户端通过公钥验证后,身份认证流程结束。客户端向服务端发送建立加密会话请求。
7)服务端根据请求建立加密信息隧道,传输层协议调用已协商的SM4加密算法接口,并分配一条逻辑隧道给客户端IP地址,开始加密会话。
Claims (8)
1.一种基于国密算法的安全登录方法,其特征在于:分别在嵌入式设备和调试机电脑上安装服务端登录软件和客户端登录软件,嵌入式设备和调试机电脑通过网口连接,客户端通过网络远程登录到设备;登录软件采用密钥验证方法,客户端与服务端密钥通过各自身份验证后,用户才能登录设备,然后进行加密会话。
2.根据权利要求1所述的一种基于国密算法的安全登录方法,其特征在于:远程登录的通信协议包括:用于提供服务端认证、传输数据加密和数据完整性校验的传输层协议;用于完成身份鉴别的用户认证协议;用于将加密信息隧道映射为若干逻辑通道,完成网络会话的连接协议。
3.根据权利要求2所述的一种基于国密算法的安全登录方法,其特征在于:所述传输层协议在服务端认证和传输数据加密过程中,调用加密算法接口和密钥管理接口。
4.根据权利要求3所述的一种基于国密算法的安全登录方法,其特征在于:所述加密算法接口包括用于设备密钥验证的SM2接口和用于数据传输加密的SM4接口,其中:SM2加密算法接口包括:SM2加密、SM2解密、SM2签名和SM2验签;SM4加密算法接口包括:SM4加密和SM4解密。
5.根据权利要求3所述的一种基于国密算法的安全登录方法,其特征在于:所述密钥管理接口功能包括:公钥读取、添加密钥对、密钥对销毁和随机数生成。
6.根据权利要求3所述的一种基于国密算法的安全登录方法,其特征在于:所述加密算法接口和密钥管理接口包括软件和硬件两种方式,软件方式的算法库和密钥在本地存储,硬件方式则调用外部硬件加密卡的算法接口和密钥。
7.根据权利要求1所述的一种基于国密算法的安全登录方法,其特征在于:所述身份验证和会话传输过程为:
1)客户端首先向服务端发起连接请求,服务器确认连接;
2)客户端与服务端协商软件版本号和通信协议;
3)客户端与服务端协商传输加密算法,设置为SM4;
4)客户端与服务端协商密钥验证算法,设置为SM2;
5)协商完成后,服务端与客户端进行公私密钥认证;
6)客户端向服务端发送建立加密会话请求;
7)服务端根据请求建立加密信息隧道,传输层协议调用已协商的SM4加密算法接口,并分配一条逻辑隧道给客户端IP地址,开始加密会话。
8.根据权利要求7所述的一种基于国密算法的安全登录方法,其特征在于:服务端与客户端进行公私密钥认证的过程为:服务端首先发起身份认证请求;客户端收到请求后,向服务端发送随机数和本地公钥;服务端调用SM2加密算法接口,对合法性进行验证:若验证失败则关闭连接,若验证成功则服务端通知客户端验证成功;随后,客户端发起身份认证请求,过程与服务端发起的身份认证请求相同。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510681321.7A CN105162808B (zh) | 2015-10-19 | 2015-10-19 | 一种基于国密算法的安全登录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510681321.7A CN105162808B (zh) | 2015-10-19 | 2015-10-19 | 一种基于国密算法的安全登录方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105162808A true CN105162808A (zh) | 2015-12-16 |
CN105162808B CN105162808B (zh) | 2019-09-06 |
Family
ID=54803562
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510681321.7A Active CN105162808B (zh) | 2015-10-19 | 2015-10-19 | 一种基于国密算法的安全登录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105162808B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105530090A (zh) * | 2015-12-31 | 2016-04-27 | 中国建设银行股份有限公司 | 密钥协商的方法及设备 |
CN105933118A (zh) * | 2016-06-13 | 2016-09-07 | 北京三未信安科技发展有限公司 | 通讯方法、系统、pci密码卡和远程管理介质 |
CN106534136A (zh) * | 2016-11-22 | 2017-03-22 | 北京中金国信科技有限公司 | 一种pci‑e密码卡 |
CN107105045A (zh) * | 2017-05-05 | 2017-08-29 | 恒鸿达科技有限公司 | 一种有线安全终端固件便捷灌装方法以及系统 |
CN109302404A (zh) * | 2018-10-30 | 2019-02-01 | 国电南瑞南京控制系统有限公司 | 一种广域运维系统的远程维护操作认证方法 |
CN110048855A (zh) * | 2019-04-23 | 2019-07-23 | 东软集团股份有限公司 | 国密算法的引入方法及调用方法、及装置、设备、Fabric平台 |
CN110430163A (zh) * | 2019-06-29 | 2019-11-08 | 苏州浪潮智能科技有限公司 | 保存第三方连接信息并验证连接有效性的方法、设备及介质 |
CN112565198A (zh) * | 2020-11-11 | 2021-03-26 | 浪潮电子信息产业股份有限公司 | 一种免密登录方法、装置及电子设备和存储介质 |
CN113347157A (zh) * | 2021-05-13 | 2021-09-03 | 浪潮软件股份有限公司 | 一种基于SM系列加密算法的Web应用加密系统及方法 |
CN113810373A (zh) * | 2021-08-11 | 2021-12-17 | 长沙证通云计算有限公司 | 一种基于国密算法的ceph可视化一键部署方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1787513A (zh) * | 2004-12-07 | 2006-06-14 | 上海鼎安信息技术有限公司 | 安全远程访问系统和方法 |
CN101588352A (zh) * | 2008-05-22 | 2009-11-25 | 北京飞天诚信科技有限公司 | 一种确保操作环境安全的方法及系统 |
EP2270710A1 (en) * | 2009-06-30 | 2011-01-05 | Axis AB | Method for restricting access to media data generated by a camera |
CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
CN103427989A (zh) * | 2012-05-16 | 2013-12-04 | 王志良 | 一种面向物联网环境的数据加密和身份认证方法 |
CN103747001A (zh) * | 2014-01-14 | 2014-04-23 | 中电长城(长沙)信息技术有限公司 | 基于安全算法的音频接入式移动支付终端及通信方法 |
CN104158653A (zh) * | 2014-08-14 | 2014-11-19 | 华北电力大学句容研究中心 | 一种基于商密算法的安全通信方法 |
CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
-
2015
- 2015-10-19 CN CN201510681321.7A patent/CN105162808B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1787513A (zh) * | 2004-12-07 | 2006-06-14 | 上海鼎安信息技术有限公司 | 安全远程访问系统和方法 |
CN101588352A (zh) * | 2008-05-22 | 2009-11-25 | 北京飞天诚信科技有限公司 | 一种确保操作环境安全的方法及系统 |
EP2270710A1 (en) * | 2009-06-30 | 2011-01-05 | Axis AB | Method for restricting access to media data generated by a camera |
CN103427989A (zh) * | 2012-05-16 | 2013-12-04 | 王志良 | 一种面向物联网环境的数据加密和身份认证方法 |
CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
CN103747001A (zh) * | 2014-01-14 | 2014-04-23 | 中电长城(长沙)信息技术有限公司 | 基于安全算法的音频接入式移动支付终端及通信方法 |
CN104158653A (zh) * | 2014-08-14 | 2014-11-19 | 华北电力大学句容研究中心 | 一种基于商密算法的安全通信方法 |
CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105530090A (zh) * | 2015-12-31 | 2016-04-27 | 中国建设银行股份有限公司 | 密钥协商的方法及设备 |
CN105933118A (zh) * | 2016-06-13 | 2016-09-07 | 北京三未信安科技发展有限公司 | 通讯方法、系统、pci密码卡和远程管理介质 |
CN106534136A (zh) * | 2016-11-22 | 2017-03-22 | 北京中金国信科技有限公司 | 一种pci‑e密码卡 |
CN107105045A (zh) * | 2017-05-05 | 2017-08-29 | 恒鸿达科技有限公司 | 一种有线安全终端固件便捷灌装方法以及系统 |
CN109302404A (zh) * | 2018-10-30 | 2019-02-01 | 国电南瑞南京控制系统有限公司 | 一种广域运维系统的远程维护操作认证方法 |
CN110048855B (zh) * | 2019-04-23 | 2022-03-15 | 东软集团股份有限公司 | 国密算法的引入方法及调用方法、及装置、设备、Fabric平台 |
CN110048855A (zh) * | 2019-04-23 | 2019-07-23 | 东软集团股份有限公司 | 国密算法的引入方法及调用方法、及装置、设备、Fabric平台 |
CN110430163A (zh) * | 2019-06-29 | 2019-11-08 | 苏州浪潮智能科技有限公司 | 保存第三方连接信息并验证连接有效性的方法、设备及介质 |
CN110430163B (zh) * | 2019-06-29 | 2022-02-22 | 苏州浪潮智能科技有限公司 | 保存第三方连接信息并验证连接有效性的方法、设备及介质 |
CN112565198A (zh) * | 2020-11-11 | 2021-03-26 | 浪潮电子信息产业股份有限公司 | 一种免密登录方法、装置及电子设备和存储介质 |
CN113347157A (zh) * | 2021-05-13 | 2021-09-03 | 浪潮软件股份有限公司 | 一种基于SM系列加密算法的Web应用加密系统及方法 |
CN113347157B (zh) * | 2021-05-13 | 2022-10-14 | 浪潮软件股份有限公司 | 一种基于SM系列加密算法的Web应用加密系统及方法 |
CN113810373A (zh) * | 2021-08-11 | 2021-12-17 | 长沙证通云计算有限公司 | 一种基于国密算法的ceph可视化一键部署方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105162808B (zh) | 2019-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109361668B (zh) | 一种数据可信传输方法 | |
CN105162808A (zh) | 一种基于国密算法的安全登录方法 | |
CN109309565B (zh) | 一种安全认证的方法及装置 | |
KR100980831B1 (ko) | 일회용 패스워드를 이용한 신뢰성 있는 통신 시스템 및방법 | |
CN101588245B (zh) | 一种身份认证的方法、系统及存储设备 | |
CN101102180B (zh) | 基于硬件安全单元的系统间绑定及平台完整性验证方法 | |
CN105553951A (zh) | 数据传输方法和装置 | |
CN104639516A (zh) | 身份认证方法、设备及系统 | |
CN102986161B (zh) | 用于对应用进行密码保护的方法和系统 | |
CN101610150B (zh) | 第三方数字签名方法和数据传输系统 | |
CN104660605A (zh) | 一种多因子身份验证方法及其系统 | |
CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
CN101325483B (zh) | 对称密钥更新方法和对称密钥更新装置 | |
CN104954137A (zh) | 一种基于国产密码技术的虚拟机安全认证的方法 | |
CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
WO2022143498A1 (zh) | 接入控制方法、装置、网络侧设备、终端及区块链节点 | |
CN103944721A (zh) | 一种基于web的保护终端数据安全的方法和装置 | |
CN104270346B (zh) | 双向认证的方法、装置和系统 | |
CN102594564A (zh) | 交通诱导信息安全管理设备 | |
CN112020037A (zh) | 一种适用于轨道交通的国产通信加密方法 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
Hoeper et al. | Where EAP security claims fail |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |