CN105681300A - 一种基于地理位置信息的可信网络连接方法 - Google Patents
一种基于地理位置信息的可信网络连接方法 Download PDFInfo
- Publication number
- CN105681300A CN105681300A CN201610024578.XA CN201610024578A CN105681300A CN 105681300 A CN105681300 A CN 105681300A CN 201610024578 A CN201610024578 A CN 201610024578A CN 105681300 A CN105681300 A CN 105681300A
- Authority
- CN
- China
- Prior art keywords
- location information
- geographical location
- equipment
- trusted
- credible
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于地理位置信息的可信网络连接方法,设备在首次使用时,将当前的安全地理位置信息写入基于地理位置信息的可信终端中;设备将可信终端的可信安全地理位置信息和设备的平台身份证书传输给可信策略服务器;可信策略服务器保存设备身份信息,并与安全地理位置信息进行绑定;可信策略服务器要求设备传输实时的地理位置信息;设备的可信终端采集实时地理位置信息,并发送给可信策略服务器;可信策略服务器对比设备的实时地理位置信息与预期值,并做出相应的网络连接决定;本发明方法提高了设备的可信度,降低因设备丢失而造成数据丢失的风险,并采用模糊比对的方法,使设备的地理位置在不超出设定的区域的情况下也认为是可信的。
Description
技术领域
本发明属于计算机信息安全技术领域,具体涉及一种基于地理位置信息的可信网络连接方法。
背景技术
可信网络连接是通过对接入终端的组件进行度量后,由被接入方判断终端的可信度,从而判断终端是否可以接入网络。终端组件的度量值一般保存在终端的可信密码模块TCM的PCR中。通常,可信网络连接中度量的组件包括系统启动时的各模块,如主板的BIOS、bootloader以及操作系统中的某些文件。允许接入网络的可信终端一般需要有正确的平台身份证书和所有要求的组件完整性值。
但是,现有的可信网络连接机制仍然有不完善之处,会造成信息的泄露,例如,可信设备丢失或者被盗、设备在非安全环境下运行等。在这种情况下,虽然设备本身是安全的,但由于使用环境不安全,同样会造成设备中信息的不安全。
还有一些终端无法保证安全运行环境的情况,如用于监控的摄像头或者是用于数据采集的传感器,这些可信终端是暴露在室外环境下,即使安装有可信终端,能够保证传输数据是由该终端发送,但也不能够保证所搜集的视频和数据就是真实可行的,因为缺少和视频、数据相关的地理位置信息。
发明内容
为了克服现有技术的缺点和不足,本发明提供一种基于地理位置信息的可信网络连接方法,区别于之前的可信网络连接基于平台身份证书的方法,本发明将设备的地理位置信息也作为证明设备可信的一个参数,使可信网络连接机制更完善。
本发明解决其技术问题所采用的技术方案是:一种基于地理位置信息的可信网络连接方法,步骤如下:a),设备在首次使用时进行初始化,将设备当前的安全地理位置信息写入基于地理位置信息的可信终端中;b),设备将可信终端的可信安全地理位置信息和设备的平台身份证书传输给被接入网络中的可信策略服务器;c),可信策略服务器保存设备身份信息,并将该设备的身份信息与安全地理位置信息进行绑定;d),可信策略服务器要求设备传输实时的地理位置信息;e),设备的可信终端采集实时地理位置信息,并将该信息发送给可信策略服务器;f),可信策略服务器对比设备的实时地理位置信息与预期值,并做出相应的网络连接决定。
所述的一种基于地理位置信息的可信网络连接方法,所述的可信终端包含GPS模块、TCM模块以及支撑软件,所述的GPS模块用于搜集设备的实时地理位置,所述的TCM模块用于存储设备的安全地理位置信息和用于网络连接中的实时地理位置与预期值的对比,所述的支撑软件提供GPS模块和TCM模块间的通信接口以及对GPS数据的管理功能,所述的管理功能包括GPS数据的写入、读取、删除以及更新。
所述的一种基于地理位置信息的可信网络连接方法,所述的TCM模块中的安全地理位置更新步骤为:1),可信终端向可信策略服务器提出位置变更申请;2),可信策略服务器收到安全位置变更申请后,将接触安全位置与该终端平台身份证书的绑定;3),可信策略服务器发送新安全地理位置请求;4),当可信终端移动到新位置后,将当前地理位置信息、平台身份证书、带有时间戳的管理员身份证书和管理员平台身份证书发送到可信策略服务器;5),可信策略服务器绑定平台身份证书和新的安全地理位置信息;6),当设备的实时地理位置信息与预期值不相符时,策略可由被接入方制定;当实时地理位置与预期值之间的差值小于设定的值,则设备的地理位置被认为是安全可信的。
所述的一种基于地理位置信息的可信网络连接方法,其步骤1)中的申请包括可信终端的平台身份证书、当前安全地理位置信息、带有时间戳的管理员身份证书和管理员平台身份证书。
所述的一种基于地理位置信息的可信网络连接方法,其步骤5)中的地理位置信息包括绝对地理位置信息和相对地理位置信息;所述的绝对地理位置信息是指终端使用GPS模块通过接收卫星的地理位置信息;所述的相对地理位置信息是指终端相对于某一个拥有绝对地理位置信息的终端的位置信息。
所述的一种基于地理位置信息的可信网络连接方法,其步骤6)中策略可由被接入方制定是指:设备接入网络时,允许实时提交的地理位置信息和预期值不一致,此时,设备是否允许接入,取决于被接入方所能接受的差值范围,也就是可信地理区域的大小;当差值允许范围为0时,表示设备的实时地理位置信息必须和预期值一致,否则,拒绝设备接入网络。
所述的一种基于地理位置信息的可信网络连接方法,所述的设备为设置有TCM模块的服务器、计算机、摄像头、数据采集传感器、PDA或手机。
所述的一种基于地理位置信息的可信网络连接方法,所述的TCM模块为符合国家标准的TCM模块芯片或符合国际标准的TPM模块芯片。
所述的一种基于地理位置信息的可信网络连接方法,所述的GPS模块封装在可信终端模块内。或者为第三方GPS模块。
本发明的有益效果是:
1、本发明将设备的地理位置信息作为设备可信的一个参考参数,提高了设备的可信度;
2、本发明利用地理位置信息,可对丢失的可信设备进行追踪,降低因设备丢失而造成数据丢失的风险;
3、本发明区别于传统可信网络连接,收集值必须和预期值一致才能连接的情况,本发明的地理位置信息采用模糊比对的方法,也就是,设备的地理位置可以在一定范围内改变,在不超出设定的区域的情况下,设备的地理位置值也认为是可信的。
附图说明
图1为本发明的结构示意图;
图2为本发明基于绝对地理位置信息的工作原理图;
图3为本发明基于相对地理位置信息的工作原理图。
各附图标记为:1001—可信终端,1002—GPS模块,1003—软件接口,1004—TCM模块,1005—软件接口,1006—网络连接模块,2001—卫星,2002—信道,2003—可信终端,3001—卫星,3002—信道,3003—可信终端,3004—可信终端,3005—TCM模块,3006—网络连接模块。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明公开了一种基于地理位置信息的可信网络连接方法,步骤如下:
a),设备在首次使用时需要对设备进行初始化,将设备当前的安全地理位置信息写入基于地理位置信息的可信终端中;
b),设备将可信终端的可信安全地理位置信息和设备的平台身份证书传输给被接入网络中的可信策略服务器;
c),可信策略服务器保存设备身份信息,并将该设备的身份信息与安全地理位置信息进行绑定;
d),可信策略服务器要求设备传输实时的地理位置信息;
e),设备的可信终端采集实时地理位置信息,并将该信息发送给可信策略服务器;
f),可信策略服务器对比设备的实时地理位置信息与预期值,并做出相应的网络连接决定。
基于地理位置信息的可信模块包含两个硬件模块—GPS模块、TCM模块以及支撑软件,所述的GPS模块负责搜集设备的实时地理位置,所述的TCM模块用于存储设备的安全地理位置信息和用于网络连接中的实时地理位置与预期值的对比,所述的支撑软件提供GPS模块和TCM模块间的通信接口以及对GPS数据的管理功能,所述的管理功能包括GPS数据的写入、读取、删除以及更新,将设备当前的安全地理位置信息写入TCM模块的PCR寄存器中。
设备在使用首次使用本发明方法时,需要对设备进行初始化,也就是将设备运行的安全地理位置信息保存入可信密码模块TCM,当设备需要接入网络时,将实时的可信地理位置信息发送给网络中的被连接方,被连接方校验设备发送过来的地理位置信息,当符合预期值时,即设备位于它应该在的地理位置时,才能允许设备接入网络,否则,无法进行网络连接;设备初始化后就可以进行可信网络连接,步骤为:设备将TCM模块中的可信安全地理位置信息和设备的平台身份证书传输给被接入网络中的可信策略服务器;可信策略服务器保存设备身份信息,并将该设备的身份信息与安全地理位置信息进行绑定;可信策略服务器要求设备传输实时的地理位置信息;设备的GPS模块采集实时地理位置信息,设备将该信息发送给可信策略服务器;可信策略服务器对比设备的实时地理位置信息与预期值,并做出相应的网络连接决定。
所述的可信终端中保存在TCM模块中的安全地理位置更新步骤为:
1),可信终端向可信策略服务器提出位置变更申请;
2),可信策略服务器收到安全位置变更申请后,将接触安全位置与该终端平台身份证书的绑定;
3),可信策略服务器发送新安全地理位置请求;
4),当可信终端移动到新位置后,将当前地理位置信息、平台身份证书、带有时间戳的管理员身份证书和管理员平台身份证书发送到可信策略服务器;
5),可信策略服务器绑定平台身份证书和新的安全地理位置信息;
6),当设备的实时地理位置信息与预期值不相符时,策略可由被接入方制定;当实时地理位置与预期值之间的差值小于设定的值,则设备的地理位置被认为是安全可信的。
所述的步骤1)中的申请包括可信终端的平台身份证书、当前安全地理位置信息、带有时间戳的管理员身份证书和管理员平台身份证书。
所述的步骤5)中的地理位置信息包括绝对地理位置信息和相对地理位置信息;所述的绝对地理位置信息是指终端使用GPS模块通过接收卫星的地理位置信息;所述的相对地理位置信息是指终端相对于某一个拥有绝对地理位置信息的终端的位置信息。
所述的步骤6)中策略可由被接入方制定是指:设备接入网络时,允许实时提交的地理位置信息和预期值不一致,此时,设备是否允许接入,取决于被接入方所能接受的差值范围,也就是可信地理区域的大小;当差值允许范围为0时,表示设备的实时地理位置信息必须和预期值一致,否则,拒绝设备接入网络。
所述的设备为设置有TCM模块的服务器、计算机、摄像头、数据采集传感器、PDA或手机。
所述的TCM模块为符合国家标准的TCM模块芯片或符合国际标准的TPM模块芯片。
所述的GPS模块封装在可信终端模块内或者为第三方GPS模块,当使用第三方GPS模块时,必须留有和TCM模块交互的软件接口。
设备必须在设定的区域内工作,当可信设备被移出可信区域后,设备将不能连入网络,除非该设备的管理方提出申请并向网络中被连接方证明此次移动是安全的,设备仍然在可信地理位置区域范围内,设备才能再次接入网络。另外,当设备所发送的地理位置信息与预期值不相符时,可根据设备所发送的信息对设备进行追踪、搜索,并提醒设备的管理方。
根据图1所示,可信终端1001的基于地理位置信息的可信模块由三个硬件模块和模块间的接口组成,三个硬件模块分别是:GPS模块1002、TCM模块1004和网络连接模块1006,模块间的接口包括GPS模块1002与TCM模块1004间的软件接口1003以及TCM模块1004与网络连接模块1006间的软件接口1005。
根据图2所示,可信终端2003的地理位置信息由卫星2001通过信道2002发送,发送的地理位置信息为设备的东经和北纬度数。
根据图3所示,可信终端3003的地理位置信息由卫星3001通过信道3002发送,相对地理位置信息是指一个可信终端3004对另一个有绝对地理位置信息的可信终端3003的相对位置。
其中,使用相对地理位置信息的可信终端3004必须是通过网络连接模块3006和可信终端3003相连的;可信终端3004必须将其TCM模块3005中保存的身份信息传输给可信终端3003。
这样,可信终端3004的地理位置信息就是相对可信终端3003而言的位置信息。例如,“距离东经35度,北纬47度可信终端2跳的终端”就是一个相对地理位置描述。
上述实施例仅例示性说明本发明的原理及其功效,以及部分运用的实施例,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (10)
1.一种基于地理位置信息的可信网络连接方法,其特征在于:步骤如下
a),设备在首次使用时进行初始化,将设备当前的安全地理位置信息写入基于地理位置信息的可信终端中;
b),设备将可信终端的可信安全地理位置信息和设备的平台身份证书传输给被接入网络中的可信策略服务器;
c),可信策略服务器保存设备身份信息,并将该设备的身份信息与安全地理位置信息进行绑定;
d),可信策略服务器要求设备传输实时的地理位置信息;
e),设备的可信终端采集实时地理位置信息,并将该信息发送给可信策略服务器;
f),可信策略服务器对比设备的实时地理位置信息与预期值,并做出相应的网络连接决定。
2.根据权利要求1所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的可信终端包含GPS模块、TCM模块以及支撑软件,所述的GPS模块用于搜集设备的实时地理位置,所述的TCM模块用于存储设备的安全地理位置信息和用于网络连接中的实时地理位置与预期值的对比,所述的支撑软件提供GPS模块和TCM模块间的通信接口以及对GPS数据的管理功能,所述的管理功能包括GPS数据的写入、读取、删除以及更新。
3.根据权利要求2所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的TCM模块中的安全地理位置更新步骤为:
1),可信终端向可信策略服务器提出位置变更申请;
2),可信策略服务器收到安全位置变更申请后,将接触安全位置与该终端平台身份证书的绑定;
3),可信策略服务器发送新安全地理位置请求;
4),当可信终端移动到新位置后,将当前地理位置信息、平台身份证书、带有时间戳的管理员身份证书和管理员平台身份证书发送到可信策略服务器;
5),可信策略服务器绑定平台身份证书和新的安全地理位置信息;
6),当设备的实时地理位置信息与预期值不相符时,策略可由被接入方制定;当实时地理位置与预期值之间的差值小于设定的值,则设备的地理位置被认为是安全可信的。
4.根据权利要求3所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的步骤1)中的申请包括可信终端的平台身份证书、当前安全地理位置信息、带有时间戳的管理员身份证书和管理员平台身份证书。
5.根据权利要求3所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的步骤5)中的地理位置信息包括绝对地理位置信息和相对地理位置信息;所述的绝对地理位置信息是指终端使用GPS模块通过接收卫星的地理位置信息;所述的相对地理位置信息是指终端相对于某一个拥有绝对地理位置信息的终端的位置信息。
6.根据权利要求3所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的步骤6)中策略可由被接入方制定是指:设备接入网络时,允许实时提交的地理位置信息和预期值不一致,此时,设备是否允许接入,取决于被接入方所能接受的差值范围,也就是可信地理区域的大小;当差值允许范围为0时,表示设备的实时地理位置信息必须和预期值一致,否则,拒绝设备接入网络。
7.根据权利要求1至6任意一项所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的设备为设置有TCM模块的服务器、计算机、摄像头、数据采集传感器、PDA或手机。
8.根据权利要求7所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的TCM模块为TCM模块芯片或TPM模块芯片。
9.根据权利要求7所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的GPS模块封装在可信终端模块内。
10.根据权利要求7所述的一种基于地理位置信息的可信网络连接方法,其特征在于,所述的GPS模块为第三方GPS模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610024578.XA CN105681300A (zh) | 2016-01-15 | 2016-01-15 | 一种基于地理位置信息的可信网络连接方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610024578.XA CN105681300A (zh) | 2016-01-15 | 2016-01-15 | 一种基于地理位置信息的可信网络连接方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105681300A true CN105681300A (zh) | 2016-06-15 |
Family
ID=56300714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610024578.XA Pending CN105681300A (zh) | 2016-01-15 | 2016-01-15 | 一种基于地理位置信息的可信网络连接方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681300A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU175189U1 (ru) * | 2017-04-07 | 2017-11-27 | Валерий Аркадьевич Конявский | Компьютер для работы в доверенной вычислительной среде |
| RU182701U1 (ru) * | 2017-12-18 | 2018-08-28 | Валерий Аркадьевич Конявский | Доверенный компьютер |
| CN110582772A (zh) * | 2018-02-13 | 2019-12-17 | 指纹卡有限公司 | 传感器读取器处的数据注册以及传感器读取器处的数据请求 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1477878A (zh) * | 2003-07-03 | 2004-02-25 | 复旦大学 | 适用于jpeg2000标准的高速ebcot编码器 |
| CN101729979A (zh) * | 2008-10-31 | 2010-06-09 | 通用汽车环球科技运作公司 | 为与远程设备的通信提供基于位置的安全性的装置和方法 |
| CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
-
2016
- 2016-01-15 CN CN201610024578.XA patent/CN105681300A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1477878A (zh) * | 2003-07-03 | 2004-02-25 | 复旦大学 | 适用于jpeg2000标准的高速ebcot编码器 |
| CN101729979A (zh) * | 2008-10-31 | 2010-06-09 | 通用汽车环球科技运作公司 | 为与远程设备的通信提供基于位置的安全性的装置和方法 |
| CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU175189U1 (ru) * | 2017-04-07 | 2017-11-27 | Валерий Аркадьевич Конявский | Компьютер для работы в доверенной вычислительной среде |
| RU182701U1 (ru) * | 2017-12-18 | 2018-08-28 | Валерий Аркадьевич Конявский | Доверенный компьютер |
| CN110582772A (zh) * | 2018-02-13 | 2019-12-17 | 指纹卡有限公司 | 传感器读取器处的数据注册以及传感器读取器处的数据请求 |
| CN110582772B (zh) * | 2018-02-13 | 2021-09-17 | 指纹卡有限公司 | 用于传感器读取器处的数据的注册以及请求的方法及设备 |
| US11750655B2 (en) | 2018-02-13 | 2023-09-05 | Fingerprint Cards Anacatum Ip Ab | Registration of data at a sensor reader and request of data at the sensor reader |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104914455B (zh) | 一种解决移动设备gps定位不准确的方法及系统 | |
| US11668836B2 (en) | Global positioning system spoofing countermeasures | |
| CN104102358A (zh) | 隐私信息保护的方法及隐私信息保护装置 | |
| US9686650B2 (en) | Wireless beacon filtering and untrusted data detection | |
| BRPI0622255A2 (pt) | equipamento e métodos para associar uma posição geográfica a um evento que ocorre em um dispositivo sem fio | |
| CN105681300A (zh) | 一种基于地理位置信息的可信网络连接方法 | |
| CN106973384A (zh) | 一种无线保真Wi‑Fi连接方法及移动终端 | |
| US20150312527A1 (en) | Video surveillance system using mobile terminals | |
| WO2020232999A1 (zh) | 基于信息安全的定位数据监控方法及相关设备 | |
| US11477615B2 (en) | Alerting mobile devices based on location and duration data | |
| TW201620297A (zh) | 具通信模組之行車紀錄器及其方法 | |
| US9949231B2 (en) | Electronic device and method for managing information of electronic device | |
| US11653209B2 (en) | Identifying potential attacks against cellular networks | |
| WO2016209370A1 (en) | Handling risk events for a mobile device | |
| KR20190100532A (ko) | 감염병 확산 방지를 위한 시스템 및 방법 | |
| CN111402400A (zh) | 管道工程的展示方法、装置、设备及存储介质 | |
| WO2017140154A1 (zh) | 一种基于智能平台的安全信息管理方法及系统 | |
| US11483710B2 (en) | Subscriber account identifier transfer in a telecommunications system | |
| US11736900B2 (en) | Guardian service provision system, program, and guardian service provision method | |
| CN112735602A (zh) | 区块链风险值管理方法、装置、电子设备及存储介质 | |
| US20230370996A1 (en) | User equipment positioning method and device based on integrated access and backhaul | |
| CN105101189B (zh) | 移动终端防追踪方法及移动终端 | |
| CN114024719A (zh) | 一种基于区块链技术的医疗信息安全管理系统 | |
| CN116266899A (zh) | 跟踪区边界信息的处理方法、装置、电子设备和可读介质 | |
| KR102433798B1 (ko) | Lisp 기반의 서비스 이동성 제공 장치 및 방법, lisp 기반의 서비스 이동성 제공 시스템, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20190628 |
|
| AD01 | Patent right deemed abandoned |