CN105721489A - 基于数字证书对ip白名单中的ip认证方法与系统 - Google Patents
基于数字证书对ip白名单中的ip认证方法与系统 Download PDFInfo
- Publication number
- CN105721489A CN105721489A CN201610149558.5A CN201610149558A CN105721489A CN 105721489 A CN105721489 A CN 105721489A CN 201610149558 A CN201610149558 A CN 201610149558A CN 105721489 A CN105721489 A CN 105721489A
- Authority
- CN
- China
- Prior art keywords
- white list
- address
- digital certificate
- authentication
- authentication method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于数字证书对IP白名单中的IP认证方法,它包括:ⅰ)通过统一认证平台对IP白名单中的IP地址进行加密存储,并且对IP白名单中的一个IP地址绑定并发放一个唯一的数字证书;ⅱ)相应IP地址的终端设备在进行访问的情况下,首先将所述终端设备的IP地址与后台存储的IP白名单表进行校对,如果所述IP白名单表中有相应的IP地址,则相应IP地址的终端设备应提供数字证书并对其进行验证;在所述数字证书验证通过后,则允许相应IP地址的终端设备进行访问。本发明通过统一认证平台的认证,在终端实体和云端之间建立了一个相互信任的安全机制,增强了系统的安全性。
Description
技术领域
本发明涉及终端设备与云端安全认证的技术领域,具体涉及一种基于数字证书对IP白名单中的IP认证方法与系统。
背景技术
在现今科技化信息迅速发展的时代,信息安全的问题也日益突出,确保信息系统的安全已经成为全社会关注的问题。针对IP地址的安全访问,提出了IP白名单的方法来防止不被允许的IP地址进行访问。后台的数据库管理系统会存有可以通过并且正常访问的IP地址表,在终端PC机或移动设备进行访问时,后台的管理人员会对其IP地址与IP地址表进行校对,如果在其IP地址存在IP白名单中,则允许终端访问;否则拒绝访问请求。但是,黑客或攻击者的技术发展的速度是及其迅猛的,他们可以通过相应的技术手段获取到数据库存储的IP白名单,并伪造这些正确的IP地址。所以,黑客或攻击者只要掌握了IP白名单中的IP地址,就可以伪造表中的IP地址进行资源访问,并发动相应的攻击,从而对系统造成一定的破坏。
发明内容
本发明克服了现有技术的不足,提供一种基于数字证书对IP白名单中的IP认证方法与系统,用于解决恶意攻击者伪造IP地址,从而非法访问的技术问题。
考虑到现有技术的上述问题,根据本发明公开的一个方面,本发明采用以下技术方案:
一种基于数字证书对IP白名单中的IP认证方法,它包括:
ⅰ)通过统一认证平台对IP白名单中的IP地址进行加密存储,并且对IP白名单中的一个IP地址绑定并发放一个唯一的数字证书;
ⅱ)相应IP地址的终端设备在进行访问的情况下,首先将所述终端设备的IP地址与后台存储的IP白名单表进行校对,如果所述IP白名单表中有相应的IP地址,则相应IP地址的终端设备应提供数字证书并对其进行验证;在所述数字证书验证通过后,则允许相应IP地址的终端设备进行访问。
为了更好地实现本发明,进一步的技术方案是:
根据本发明的一个实施方案,所述IP白名单中的IP地址通过注册审批系统RA进行审核和录入,以及通过注册审批系统RA进行数字证书的制作和管理。
根据本发明的另一个实施方案,IP白名单中的IP地址对应的数字证书通过认证中心CA系统进行发放、绑定、更新或注销。
根据本发明的另一个实施方案,IP白名单中的IP地址对应的数字证书通过密钥管理系统KMS为其配置密匙。
本发明还可以是:
一种基于数字证书对IP白名单中的IP认证系统,它包括统一认证平台,所述统一认证平台中包括:
注册审批系统RA,用于对IP白名单中的IP地址的信息进行审核和录入,并进行数字证书的制作和管理;
认证中心CA系统,用于对IP白名单中的IP地址进行数字证书的发放、绑定、更新、注销;
密钥管理系统KMS,用于为IP白名单中的IP地址配置数字证书的密钥。
与现有技术相比,本发明的有益效果之一是:
本发明的一种基于数字证书对IP白名单中的IP认证方法与系统,通过统一认证平台的认证,在终端实体和云端之间建立了一个相互信任的安全机制,防止了黑客通过相应的技术手段获取数据库存储的IP白名单、并伪造这些正确IP地址进行攻击的风险,从而增加了系统的安全性。
附图说明
为了更清楚的说明本申请文件实施例或现有技术中的技术方案,下面将对实施例或现有技术的描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅是对本申请文件中一些实施例的参考,对于本领域技术人员来讲,在不付出创造性劳动的情况下,还可以根据这些附图得到其它的附图。
图1示出了根据本发明一个实施例的基于数字证书对IP白名单中的IP认证框图。
图2示出了根据本发明一个实施例的统一认证平台模块框图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
参见图1所示,一种基于数字证书对IP白名单中的IP认证方法,IP地址在进行访问时,首先通过与IP白名单的比对,如果在IP白名单中有此IP地址,则让此IP提交数字证书,通过统一认证平台对其进行身份认证,当认证通过之后,则IP可以正常访问。对于非法的IP直接拒绝访问请求;对于IP白名单中有的IP,却没能正确提交数字证书的IP可以断定是伪造的IP,系统应对正确的IP地址的用户提出预警,并对其进行重点标记。
参见图2所示,统一认证平台的建设主要是基于数字认证中心CA进行设计的,在统一认证平台中,有认证中心CA系统,注册审批系统RA、密钥管理系统KMS。RA系统对IP白名单中的IP地址的信息进行审核和录入,并进行数字证书的制作和管理。CA系统对IP白名单中的IP地址进行数字证书的发放、绑定、更新、注销等。KMS系统为IP白名单中的IP地址配置数字证书的密钥。
一个实施例的IP地址的数字证书的格式和内容,如下表所示:
IP白名单中的IP的数字证书以软生成的方式进行生成,在后台管理(权限)系统进行IP白名单的确定时,RA进行审核并录入信息,CA对这些IP发放数字证书,并将这些IP的数字证书导入到本机的浏览器中。
综上所述,本发明IP白名单中的IP地址要访问云端资源或服务器的资源时,不仅要通过IP白名单的校对,还要通过统一认证平台的认证,统一认证平台产品如主要是基于智能终端(电视、空调、冰箱等)、服务器、其他设备以及移动APP在于云端进行交互时进行的身份认证。本发明在终端实体和云端之间建立了一个相互信任的安全机制。此外,统一认证平台上还可扩展了IP白名单、数据库Durid监控等功能,从而更好防止本发明以上描述的风险。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似部分相互参见即可。
在本说明书中所谈到的“一个实施例”、“另一个实施例”、“实施例”、等,指的是结合该实施例描述的具体特征、结构或者特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出现同种表述不是一定指的是同一个实施例。进一步来说,结合任一实施例描述一个具体特征、结构或者特点时,所要主张的是结合其他实施例来实现这种特征、结构或者特点也落在本发明的范围内。
尽管这里参照本发明的多个解释性实施例对本发明进行了描述,但是,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说,在本申请公开和权利要求的范围内,可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外,对于本领域技术人员来说,其他的用途也将是明显的。
Claims (5)
1.一种基于数字证书对IP白名单中的IP认证方法,其特征在于它包括:
ⅰ)通过统一认证平台对IP白名单中的IP地址进行加密存储,并且对IP白名单中的一个IP地址绑定并发放一个唯一的数字证书;
ⅱ)相应IP地址的终端设备在进行访问的情况下,首先将所述终端设备的IP地址与后台存储的IP白名单表进行校对,如果所述IP白名单表中有相应的IP地址,则相应IP地址的终端设备提供数字证书,然后对数字证书进行验证;在所述数字证书验证通过后,则允许相应IP地址的终端设备进行访问。
2.根据权利要求1所述的基于数字证书对IP白名单中的IP认证方法,其特征在于所述IP白名单中的IP地址通过注册审批系统RA进行审核和录入,以及通过注册审批系统RA进行数字证书的制作和管理。
3.根据权利要求1所述的基于数字证书对IP白名单中的IP认证方法,其特征在于IP白名单中的IP地址对应的数字证书通过认证中心CA系统进行发放、绑定、更新或注销。
4.根据权利要求1所述的基于数字证书对IP白名单中的IP认证方法,其特征在于IP白名单中的IP地址对应的数字证书通过密钥管理系统KMS为其配置密匙。
5.一种基于数字证书对IP白名单中的IP认证系统,其特征在于它包括统一认证平台,所述统一认证平台中包括:
注册审批系统RA,用于对IP白名单中的IP地址的信息进行审核和录入,并进行数字证书的制作和管理;
认证中心CA系统,用于对IP白名单中的IP地址进行数字证书的发放、绑定、更新、注销;
密钥管理系统KMS,用于为IP白名单中的IP地址配置数字证书的密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610149558.5A CN105721489A (zh) | 2016-03-16 | 2016-03-16 | 基于数字证书对ip白名单中的ip认证方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610149558.5A CN105721489A (zh) | 2016-03-16 | 2016-03-16 | 基于数字证书对ip白名单中的ip认证方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105721489A true CN105721489A (zh) | 2016-06-29 |
Family
ID=56158711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610149558.5A Pending CN105721489A (zh) | 2016-03-16 | 2016-03-16 | 基于数字证书对ip白名单中的ip认证方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721489A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230781A (zh) * | 2016-07-18 | 2016-12-14 | 杭州迪普科技有限公司 | 基于Web认证技术的防止网络攻击的方法及装置 |
| CN108346191A (zh) * | 2018-02-06 | 2018-07-31 | 中国平安人寿保险股份有限公司 | 考勤方法、装置、计算机设备和存储介质 |
| US20180323977A1 (en) * | 2017-05-05 | 2018-11-08 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
| CN110958226A (zh) * | 2019-11-14 | 2020-04-03 | 广州江南科友科技股份有限公司 | 一种基于tls的密码设备访问控制方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003242109A (ja) * | 2002-02-15 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | 認証アクセス制御サーバ装置と、ゲートウェイ装置と、認証アクセス制御方法と、ゲートウェイ制御方法と、認証アクセス制御プログラム及びそのプログラムを記録した記録媒体と、ゲートウェイ制御プログラム及びそのプログラムを記録した記録媒体 |
| US20060004896A1 (en) * | 2004-06-16 | 2006-01-05 | International Business Machines Corporation | Managing unwanted/unsolicited e-mail protection using sender identity |
| CN101035135A (zh) * | 2007-04-27 | 2007-09-12 | 清华大学 | 适用于无/弱本地存储客户端系统的数字证书系统 |
| EP1855440A1 (en) * | 2006-05-12 | 2007-11-14 | Palo Alto Research Center Incorporated | Personal domain controller |
| CN101883106A (zh) * | 2010-06-30 | 2010-11-10 | 赛尔网络有限公司 | 基于数字证书的网络接入认证方法和网络接入认证服务器 |
| CN102597981A (zh) * | 2009-09-30 | 2012-07-18 | 亚马逊技术股份有限公司 | 模块化装置认证框架 |
| CN102883321A (zh) * | 2012-09-21 | 2013-01-16 | 哈尔滨工业大学深圳研究生院 | 一种面向移动微技的数字签名认证方法 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN103780389A (zh) * | 2012-10-26 | 2014-05-07 | 华为技术有限公司 | 基于端口认证的方法及网络设备 |
-
2016
- 2016-03-16 CN CN201610149558.5A patent/CN105721489A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003242109A (ja) * | 2002-02-15 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | 認証アクセス制御サーバ装置と、ゲートウェイ装置と、認証アクセス制御方法と、ゲートウェイ制御方法と、認証アクセス制御プログラム及びそのプログラムを記録した記録媒体と、ゲートウェイ制御プログラム及びそのプログラムを記録した記録媒体 |
| US20060004896A1 (en) * | 2004-06-16 | 2006-01-05 | International Business Machines Corporation | Managing unwanted/unsolicited e-mail protection using sender identity |
| EP1855440A1 (en) * | 2006-05-12 | 2007-11-14 | Palo Alto Research Center Incorporated | Personal domain controller |
| CN101035135A (zh) * | 2007-04-27 | 2007-09-12 | 清华大学 | 适用于无/弱本地存储客户端系统的数字证书系统 |
| CN102597981A (zh) * | 2009-09-30 | 2012-07-18 | 亚马逊技术股份有限公司 | 模块化装置认证框架 |
| CN101883106A (zh) * | 2010-06-30 | 2010-11-10 | 赛尔网络有限公司 | 基于数字证书的网络接入认证方法和网络接入认证服务器 |
| CN102883321A (zh) * | 2012-09-21 | 2013-01-16 | 哈尔滨工业大学深圳研究生院 | 一种面向移动微技的数字签名认证方法 |
| CN103780389A (zh) * | 2012-10-26 | 2014-05-07 | 华为技术有限公司 | 基于端口认证的方法及网络设备 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 刘宏: "《电子商务概论》", 31 January 2010 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230781A (zh) * | 2016-07-18 | 2016-12-14 | 杭州迪普科技有限公司 | 基于Web认证技术的防止网络攻击的方法及装置 |
| US20180323977A1 (en) * | 2017-05-05 | 2018-11-08 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
| US10749692B2 (en) * | 2017-05-05 | 2020-08-18 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
| CN108346191A (zh) * | 2018-02-06 | 2018-07-31 | 中国平安人寿保险股份有限公司 | 考勤方法、装置、计算机设备和存储介质 |
| CN110958226A (zh) * | 2019-11-14 | 2020-04-03 | 广州江南科友科技股份有限公司 | 一种基于tls的密码设备访问控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107231351B (zh) | 电子证件的管理方法及相关设备 | |
| CN109067539B (zh) | 联盟链交易方法、设备及计算机可读存储介质 | |
| EP3460693A1 (en) | Methods and apparatus for implementing identity and asset sharing management | |
| CN101379487B (zh) | 以授权的方式产生权限对象的方法和设备 | |
| CN101547095B (zh) | 基于数字证书的应用服务管理系统及管理方法 | |
| CN110677376B (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| TW202117603A (zh) | 二維條碼的處理方法、裝置及系統 | |
| CN101136748B (zh) | 一种身份认证方法及系统 | |
| JP4790574B2 (ja) | 複数の認証書を管理する装置および方法 | |
| CN106452782A (zh) | 为终端设备生成安全通信信道的方法和系统 | |
| CN106411528A (zh) | 一种基于隐式证书的轻量级认证密钥协商方法 | |
| CN113676334B (zh) | 基于区块链的分布式边缘设备身份认证系统及认证方法 | |
| CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
| CN104683306A (zh) | 一种安全可控的互联网实名认证机制 | |
| CN105721489A (zh) | 基于数字证书对ip白名单中的ip认证方法与系统 | |
| CN103634265A (zh) | 安全认证的方法、设备及系统 | |
| CN106789925A (zh) | 车联网中车辆信息安全传输方法和装置 | |
| CN112543184A (zh) | 一种基于区块链的设备认证激活方法 | |
| KR102157695B1 (ko) | 익명 디지털 아이덴티티 수립 방법 | |
| CN105791244A (zh) | 用于控制域间路由变更的方法、边界路由器和系统 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| Suresh et al. | A TPM-based architecture to secure VANET | |
| WO2016171844A1 (en) | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key | |
| CN105578464A (zh) | 一种增强的wlan证书鉴别方法、装置及系统 | |
| CN110365492A (zh) | 一种鉴权方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160629 |
|
| RJ01 | Rejection of invention patent application after publication |