CN106330968A - 一种访问设备的身份认证方法及装置 - Google Patents
一种访问设备的身份认证方法及装置 Download PDFInfo
- Publication number
- CN106330968A CN106330968A CN201610932528.1A CN201610932528A CN106330968A CN 106330968 A CN106330968 A CN 106330968A CN 201610932528 A CN201610932528 A CN 201610932528A CN 106330968 A CN106330968 A CN 106330968A
- Authority
- CN
- China
- Prior art keywords
- key
- request message
- access request
- random number
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种访问设备的身份认证方法及装置。本申请中,身份认证设备通过采用一种动态的身份认证方式,对发送访问请求报文的访问设备进行身份认证,相比于现有技术中的静态认证方式而言,可以有效避免非法访问设备对白名单中合法访问设备标识的伪造,从而保证了被访问设备的安全运行。
Description
技术领域
本申请涉及通信领域,特别是涉及一种访问设备的身份认证方法及装置。
背景技术
在计算机网络技术快速发展的今天,身份认证技术扮演着愈发重要的角色。身份认证技术通过在计算机及计算机网络系统中确认访问设备的身份,可以有效防止非法访问设备伪装成合法用户为网络系统或数据安全带来威胁。
在如图1所示的网络系统中,身份认证设备通常会通过匹配白名单的方式,对发送访问请求报文的访问设备进行身份认证,若该报文包含的设备标识在白名单中已有记录,则允许该访问设备通过身份认证,并对该访问请求报文进行透传。而事实上,白名单中记录的访问设备标识极易遭到非法访问设备的伪造,在这种情况下,非法访问请求报文将无法被白名单有效过滤,致使身份认证设备形同虚设。
发明内容
本申请提供一种访问设备的身份认证方法及装置,以避免非法访问设备通过伪造身份认证设备上的白名单而通过身份认证,对被访问设备实施攻击。
根据本申请的第一方面,提供一种访问设备的身份认证方法,该方法包括:
接收访问设备发送的访问请求报文;
判断所述访问请求报文是否包含第一暗文,所述第一暗文由所述访问设备利用密钥加密访问请求报文的报文内容获得,所述密钥由所述访问设备与所述身份认证设备预先协商获得;
在所述访问请求报文包含第一暗文时,为所述访问请求报文执行以下步骤:
利用所述密钥对所述访问请求报文的报文内容进行加密,得到第二暗文;
判断所述第一暗文和第二暗文是否匹配,如果匹配,则对所述访问请求报文进行透传。
根据本申请的第二方面,提供一种访问设备的身份认证装置,该装置包括:
接收单元,用于接收访问设备发送的访问请求报文;
暗文判断单元,用于判断所述访问请求报文是否包含第一暗文,所述第一暗文由所述访问设备利用密钥加密访问请求报文的报文内容获得,所述密钥由所述访问设备与所述身份认证设备预先协商获得;
第一加密单元,用于在所述访问请求报文包含第一暗文时,利用所述密钥对所述访问请求报文的报文内容进行加密,得到第二暗文;
匹配判断单元,用于判断所述第一暗文和第二暗文是否匹配,如果匹配,则对所述访问请求报文进行透传。
本申请中,身份认证设备通过采用一种动态的身份认证方式,对发送访问请求报文的访问设备进行身份认证,相比于现有技术中的静态认证方式而言,可以有效避免非法访问设备对白名单中合法访问设备标识的伪造,从而保证了被访问设备的安全运行。
附图说明
图1是本申请实施例一种访问设备的身份认证方法的场景示意图。
图2是本申请提供的一种访问设备的身份认证方法流程图。
图3是本申请提供的一种访问设备的身份认证方法的一个实施例流程图。
图4是本申请提供的一种访问设备的身份认证装置的一个结构图。
图5是本申请提供的一种访问设备的身份认证装置的另一个结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是本申请实施例一种访问设备的身份认证方法的场景示意图。如图1所示,该网络架构包括:访问设备11、身份认证设备12以及被访问设备13。其中,访问设备11在向被访问设备13发送访问请求报文时,需要接受身份认证设备12的身份认证,当访问设备11通过身份认证设备12的身份认证时,访问设备11发送的访问请求报文会由身份认证设备12透传至被访问设备13;否则,身份认证设备12会进一步检测该访问请求报文的攻击性,并根据检测结果对该访问请求报文进行透传或过滤。需要指出的是,访问设备11可进一步包括合法访问设备和非法访问设备,其中,合法访问设备可以为漏洞扫描设备、普通客户端等,非法访问设备可以为发送非法访问请求报文的设备,所述非法访问请求报文是指,不被授予访问权限的访问请求报文,或者携带有恶意行为的访问请求报文,比如攻击报文。进一步的,身份认证设备12可以为搭建有入侵防御系统IPS(IPS:Intrusion Prevention System)或具有防火墙功能的防护设备,而被访问设备13则可以为存放有网络资源的万维网服务器等。
现有技术中,身份认证设备12通常使用静态的认证方式对发送访问请求报文的访问设备11进行身份认证。具体的,在接收到访问设备11发送的访问请求报文后,身份认证设备12会提取到该报文中包含的访问设备11的设备标识,在此之后,身份认证设备12会将提取到的设备标识与本地白名单中记录的设备标识进行逐一匹配,并在匹配通过时,将该访问请求报文透传至被访问设备13。但是,如果白名单中记录的设备标识遭到非法访问设备的伪造,身份认证设备12将无法通过白名单,对非法访问设备发送的非法访问请求报文进行过滤,致使被访问设备13无法安全运行。
本申请中,身份认证设备12采用了一种动态的认证方式对发送访问请求报文的访问设备11进行身份认证,相比于现有技术中的静态认证方式而言,该动态认证方式可以对非法访问请求报文进行有效过滤,从而保证被访问设备13的安全运行。通过与合法认证设备预先协商,身份认证设备12可以获得用于对访问请求报文的报文内容进行加密的密钥,该密钥由身份认证设备12与合法认证设备共同所有。具体地,合法访问设备在向身份认证设备12发送访问请求报文时,会在报文中携带第一暗文,该第一暗文由合法访问设备利用所述密钥加密所述访问请求报文的报文内容获得;身份认证设备12在接收到所述访问请求报文后,也将使用协商得到密钥对所述访问请求报文的报文内容进行加密,以得到第二暗文;若身份认证设备12判断得到,所述第一暗文与第二暗文相匹配,则允许该访问设备通过身份认证,并将所述访问请求报文透传至被访问设备13;否则,身份认证设备12将进一步检测该访问请求报文的攻击性,并根据检测结果对该访问请求报文进行透传或过滤。需要指出的是,所述第一暗文与第二暗文相匹配是指,第一暗文与第二暗文一致或者相似度达到一可靠阈值,即本申请并不严格限定所述第一暗文与第二暗文为同一暗文,从而在一定程度上增强身份认证设备12的容错性。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
参见图2,图2是本申请提供的一种访问设备的身份认证方法流程图,该流程可以包括以下步骤:
步骤201:身份认证设备接收访问设备发送的访问请求报文。
本实施例中,访问请求报文可以包括合法访问请求报文和非法访问请求报文。
步骤202:身份认证设备判断访问请求报文中是否包含第一暗文,所述第一暗文由访问设备利用密钥加密访问请求报文的报文内容获得,所述密钥由访问设备与身份认证设备预先协商获得。
作为一个优选的实施例,合法访问设备与身份认证设备的密钥协商过程可以通过以下步骤完成:身份认证设备接收合法访问设备发送的协商报文,该协商报文包含由该合法访问设备生成的第一随机数;在此之后,身份认证设备会在本地生成第二随机数,并根据预设的协商算法,对第一随机数与第二随机数进行协商运算,将运算结果作为所述密钥;与此同时,身份认证设备会向该访问设备返回包含第二随机数的协商应答报文,以使该访问设备可以根据预设的协商算法,对第一随机数与二随机数进行所述协商运算、并将运算结果确定为所述密钥。至此,合法访问设备与身份认证设备完成所述密钥的协商过程。
作为另一个优选的实施例,当身份认证设备需要在本地保存与多个合法访问设备分别协商获得的密钥时,身份认证设备可以预先保存一个对应关系表,该对应关系表用于记录每一合法访问设备的设备标识与协商密钥的对应关系,以便身份认证设备可以根据访问请求报文中包含的设备标识,在该对应关系表中唯一找到所需密钥,从而实现对合法访问请求报文的正确透传。
步骤203:身份认证设备在访问请求报文中包含第一暗文时,利用所述密钥对访问请求报文的报文内容进行加密,得到第二暗文;
步骤204:身份认证设备判断第一暗文和第二暗文是否匹配,如果匹配,则对访问请求报文进行透传。
本实施例中,如果身份认证设备判断出该访问请求报文中包含的第一暗文,与本地得到的第二暗文相匹配,则认为该访问请求报文对应的访问设备可以通过身份认证,并对该访问请求报文进行透传。
作为一个优选的实施例,如果身份认证设备判断出该访问请求报文中包含的第一暗文,与本地得到的第二暗文不相匹配,则会进一步检测该访问请求报文的攻击性,并根据检测结果对该访问请求报文进行透传或过滤。
通过图2所示的流程可以看出,身份认证设备通过采用一种动态的身份认证方式,对发送访问请求报文的访问设备进行身份认证,相比于现有技术中的静态认证方式而言,可以有效避免非法访问设备对白名单中合法访问设备标识的伪造,从而保证了被访问设备的安全运行。
参见图3,图3是本申请提供的一种访问设备的身份认证方法的一个实施例流程图,该流程可以包括以下步骤:
步骤301:合法访问设备向身份认证设备发送包含第一随机数的协商报文。
本实施例中,该协商报文可以为基于网络之间互联的协议IP的协商报文,则上述第一随机数可以添加在IP协商报文的IP选项中传递给身份认证设备。
步骤302:身份认证设备在本地生成第二随机数,该第二随机数用于与第一随机数进行协商运算。
本实施例中,身份认证设备可以使用与合法访问设备预先协商设定的算法,对第一随机数与第二随机数进行协商运算,比如,该算法可以为对第一随机数与第二随机数进行乘法运算。
步骤303:身份认证设备根据预设的协商算法,对第一随机数与第二随机数进行协商运算,得到运算结果。
步骤304:身份认证设备将上述运算结果确定为密钥。
作为一个优选的实施例,身份认证设备可以在本地生成一对应关系表项,该对应关系表项记录有该合法访问设备的设备标识与所述密钥的对应关系,以在身份认证设备再次需要对该合法访问设备进行身份认证时,可以根据该对应关系表项唯一找到所述密钥,从容实现对合法访问请求报文的正确透传。假设该合法访问设备的IP地址为168.192.1.101,该合法访问设备与身份认证设备协商确定的密钥为k,则上述对应关系表项可以表示为如下表1的形式:
设备标识 | 协商确定的密钥 |
168.192.1.101 | k |
表1
步骤305:身份认证设备向合法访问设备返回包含第二随机数的协商应答报文。
本实施例中,该协商应答报文可以为基于IP的协商应答报文,则上述第二随机数可以添加在IP协商报文的IP选项中传递给合法访问设备。
作为一个可选的实施例,步骤305可以在步骤303之前执行,本申请不对该顺序做出严格限定。
步骤306:合法访问设备根据预设的协商算法,对第一随机数与第二随机数进行协商运算,得到运算结果。
步骤307:合法访问设备将上述运算结果确定为所述密钥。
需要指出的是,本步骤中合法访问设备确定的密钥,与步骤304中身份认证设备确定的密钥相互匹配,即使用该密钥对同一报文的相同报文内容进行加密,可以得到相互匹配的暗文。
本领域技术人员可以理解的是,密钥类型通常与加密算法相适应,具体于本实施例,由于合法访问设备已经与身份认证设备协商得到相互匹配的密钥,则二者将默认使用相同的加密算法对访问请求报文的报文内容进行加密,所述加密算法与二者协商得到的密钥相适应。
通过上述步骤301至步骤307,本实施例完成了合法访问设备与身份认证设备的密钥协商过程。以下将对身份认证设备对于访问设备的身份认证过程加以描述:
步骤308:访问设备向身份认证设备发送访问请求报文。
本实施例中,访问请求报文可以包括合法访问请求报文和非法访问请求报文。
步骤309:身份认证设备判断访问请求报文是否包含第一暗文,如果是,则执行步骤310。
本实施例中,合法访问请求报文会包含第一暗文,该第一暗文由合法访问设备利用密钥加密该合法访问请求报文的报文内容获得,该密钥由合法访问设备与身份认证设备预先协商获得。
需要指出的是,非法访问请求报文可以包含第一暗文,也可以不包含第一暗文。如果身份认证设备判断出某访问请求报文不包含第一暗文,则会进一步检测该访问请求报文的攻击性,并根据检测结果对该访问请求报文进行透传或过滤。
步骤310:身份认证设备提取访问请求报文中包含的设备标识,根据该设备标识在本地对应关系表中查找该设备标识对应的密钥。
本实施例中,上述对应关系表已经在步骤202中详细说明,在此不再赘述。
作为一个优选的实施例,如果身份认证设备没有在对应关系表中查找到访问请求报文中包含的设备标识,则会进一步检测该访问请求报文的攻击性,并根据检测结果对该访问请求报文进行透传或过滤。
步骤311:身份认证设备利用查找到的密钥,对访问请求报文的报文内容进行加密,得到第二暗文。
步骤312:身份认证设备判断第一暗文与第二暗文是否匹配,如果匹配,则对访问请求报文进行透传。
作为一个优选的实施例,如果身份认证设备判断出上述第一暗文与第二暗文不匹配,则会进一步检测该访问请求报文的攻击性,并根据检测结果对该访问请求报文进行透传或过滤。
通过以上步骤312,身份认证设备可以过滤到包含第一暗文的非法访问请求报文,而仅对合法访问设备发送的合法访问请求报文进行透传。需要指出的是,在本申请中,身份认证设备与合法访问设备协商确定的密钥,并未参与信息传递的过程,而是根据第一随机数、第二随机数以及预设的协商算法,分别在身份认证设备与合法访问设备本地生成,这一特征可以有效地规避非法访问设备从上述信息传递过程中窃取密钥的风险,从而提高了本申请中身份认证方法的可靠性。
以上通过一个优选的实施例对本申请的方法进行了说明,通过该说明可以看出,身份认证设备通过采用一种动态的身份认证方式,对发送访问请求报文的访问设备进行身份认证,相比于现有技术中的静态认证方式而言,可以有效避免非法访问设备对白名单中合法访问设备标识的伪造,从而保证了被访问设备的安全运行。
为使上述实施例更加清晰易懂,下面将以一个具体的实施例,对以上实施例进行具体说明:
本实施例对图1场景图中的各个设备做出了具体的设定,即将合法访问设备设定为漏洞扫描设备、将非法访问设备设定为攻击设备、将身份认证设备设定为防护设备、将被访问设备设定为Web服务器,则在上述设定场景下,漏洞扫描设备会预先与防护设备协商得到密钥,其具体过程如下:
漏洞扫描设备向访问设备发送包含随机数m的IP协商报文。
防护设备在接收到漏洞扫描设备发送的IP协商报文后,会在本地生成随机数n,并对随机数m与随机数n进行协商运算,比如对随机数m与随机数n进行乘法运算,之后将运算结果确定为所述密钥。
防护设备向漏洞扫描设备返回包含随机数n的IP协商应答报文,以使漏洞扫描设备同样可以通过以上协商算法对随机数m与随机数n进行运算,并将运算结果确定为所述密钥。
需要指出的是,上述协商算法可由漏洞扫描设备和防护设备预先协商得到。
至此,漏洞扫描设备完成了与防护设备的密钥协商过程。
以下将具体描述,防护设备如何对发送访问请求报文的访问设备进行身份认证:
防护设备接收访问设备发送的访问请求报文。
防护设备判断访问请求报文中是否包含第一暗文,所述第一暗文由访问设备利用密钥加密访问请求报文的报文内容获得,所述密钥由访问设备与防护设备预先协商获得。
具体的,如果上述访问请求报文为漏洞扫描设备发送的IP检测报文,该IP检测报文用于检测Web服务器的安全漏洞,则该IP检测报文应该包含第一暗文,比如该第一暗文的长度可以为固定长度16字节,且该第一暗文可以是由漏洞扫描设备利用协商得到的密钥,加密IP检测报文的所有字段获得;防护设备在接收到上述IP检测报文后,会利用同一协商得到的密钥对该IP检测报文的所有字段进行加密,以得到第二暗文;在此之后,防护设备会判断上述第一暗文与第二暗文是否匹配,并在匹配的情况下,允许该漏洞扫描设备通过身份认证,并将上述IP检测报文透传至Web服务器。否则,防护设备会进一步检测该IP检测报文的攻击性,并根据检测结果对该IP检测报文进行透传或过滤。
如果上述访问请求报文为攻击设备发送的攻击报文,此处可假设该攻击报文不含有第一暗文,则防护设备会直接过滤掉报文,以保证Web服务器的安全运行。
本实施例中,防护设备通过采用一种动态身份认证方式,对发送IP检测报文的漏洞扫描设备进行身份认证,可以有效防止攻击设备对白名单中漏洞扫描设备的设备标识进行伪造,从而保证了Web服务器的安全运行。
需要指出的是,上述具体实施例仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
以上对本发明提供的方法进行了描述,下面对本发明提供的装置进行描述:
对于装置实施例而言,由于其基本对应方法实施例,所以相关之处参见方法实施例的部分说明即可。以下所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方法的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
请参考图4,图4是本申请提供的一种访问设备的身份认证装置的一个结构图,该装置包括:接收单元410、暗文判断单元420、第一加密单元440、匹配判断单元450。
其中,接收单元410,用于接收访问设备发送的访问请求报文;
暗文判断单元420,用于判断所述访问请求报文是否包含第一暗文,所述第一暗文由所述访问设备利用密钥加密访问请求报文的报文内容获得,所述密钥由所述访问设备与所述身份认证设备预先协商获得;
第一加密单元440,用于在所述访问请求报文包含第一暗文时,利用所述密钥对所述访问请求报文的报文内容进行加密,得到第二暗文;
匹配判断单元450,用于判断所述第一暗文和第二暗文是否匹配,如果匹配,则对所述访问请求报文进行透传。
作为一个优选的实施例,上述装置还包括:第一密钥协商单元400,用于预先与所述访问设备协商获得密钥。
作为另一个优选的实施例,上述第一密钥协商单元400包括:第一接收子单元401、第一密钥确定单元402、返回子单元403。
其中,第一接收子单元401,用于接收访问设备发送的包含第一随机数的协商报文;
第一密钥确定子单元402,用于根据预设的协商算法,对所述第一随机数与本地生成的第二随机数进行协商运算,将运算结果作为所述密钥;
返回子单元403,用于向所述访问设备返回包含所述第二随机数的协商应答报文,以使所述访问设备根据所述预设的协商算法,对所述第一随机数与二随机数进行协商运算、并将运算结果确定为所述密钥,其中,所述第二随机数由身份认证设备生成。
作为另一个优选的实施例,上述装置还包括:密钥查找单元430,用于在利用所述密钥对所述访问请求报文的报文内容进行加密之前,根据访问请求报文中包含的访问设备标识在本地关系表中查找到所述密钥,所述关系表预先保存了所述访设备标识与所述密钥的对应关系。
请参考图5,图5是本申请提供的一种访问设备的身份认证装置的另一个结构图,该装置包括:第二加密单元510、发送单元520。
其中,第二加密单元510,用于利用密钥对访问请求报文的报文内容进行加密,得到第一暗文,所述密钥由访问设备与身份认证设备预先协商获得;
发送单元520,用于向所述身份认证设备发送包含所述第一暗文的访问请求报文,以使所述身份认证设备在所述第一暗文与第二暗文匹配时,对所述访问请求报文进行透传,其中,所述第二暗文由所述身份认证设备利用所述密钥加密所述访问请求报文的报文内容获得。
作为一个优选的实施例,所述装置还包括:第二密钥协商单元500,用于预先与所述身份认证设备协商获得密钥。
作为另一个优选的实施例,第二密钥协商单元500包括:发送子单元501、第二接收子单元502、第二密钥确定子单元503。
其中,发送子单元501,用于向所述身份认证设备发送包含本地生成的第一随机数的访问请求报文,以使所述身份认证设备根据预设的协商算法,对所述第一随机数与第二随机数进行协商运算、并将运算结果确定为所述密钥,其中,所述第二随机数由身份认证设备生成;
第二接收子单元502,用于接收所述身份认证设备返回的包含第二随机数的访问请求报文;
第二密钥确定子单元503,用于根据所述预设的协商算法,对所述第一随机数与第二随机数进行协商运算,将运算结果作为所述密钥。
由以上装置实施例可以看出,身份认证设备通过采用一种动态的身份认证方式,对发送访问请求报文的访问设备进行身份认证,相比于现有技术中的静态认证方式而言,可以有效避免非法访问设备对白名单中合法访问设备标识的伪造,从而保证了被访问设备的安全运行。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种访问设备的身份认证方法,所述方法应用于身份认证设备,其特征在于,所述方法包括:
接收访问设备发送的访问请求报文;
判断所述访问请求报文是否包含第一暗文,所述第一暗文由所述访问设备利用密钥加密访问请求报文的报文内容获得,所述密钥由所述访问设备与所述身份认证设备预先协商获得;
在所述访问请求报文包含第一暗文时,为所述访问请求报文执行以下步骤:
利用所述密钥对所述访问请求报文的报文内容进行加密,得到第二暗文;
判断所述第一暗文和第二暗文是否匹配,如果匹配,则对所述访问请求报文进行透传。
2.根据权利要求1所述的方法,其特征在于,所述密钥的协商过程,包括:
接收访问设备发送的包含第一随机数的协商报文;
根据预设的协商算法,对所述第一随机数与本地生成的第二随机数进行协商运算,将运算结果作为所述密钥;
向所述访问设备返回包含所述第二随机数的协商应答报文,以使所述访问设备根据所述预设的协商算法,对所述第一随机数与二随机数进行协商运算、并将运算结果确定为所述密钥,其中,所述第二随机数由身份认证设备生成。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:在利用所述密钥对所述访问请求报文的报文内容进行加密之前,
根据访问请求报文中包含的访问设备标识在本地关系表中查找到所述密钥,所述关系表预先保存了所述访设备标识与所述密钥的对应关系。
4.一种访问设备的身份认证方法,所述方法应用于访问设备,其特征在于,所述方法包括:
利用密钥对访问请求报文的报文内容进行加密,得到第一暗文,所述密钥由访问设备与身份认证设备预先协商获得;
向所述身份认证设备发送包含所述第一暗文的访问请求报文,以使所述身份认证设备在所述第一暗文与第二暗文匹配时,对所述访问请求报文进行透传,其中,所述第二暗文由所述身份认证设备利用所述密钥加密所述访问请求报文的报文内容获得。
5.根据权利要求4所述的方法,其特征在于,所述密钥的协商过程,包括:
向所述身份认证设备发送包含本地生成的第一随机数的访问请求报文,以使所述身份认证设备根据预设的协商算法,对所述第一随机数与第二随机数进行协商运算、并将运算结果确定为所述密钥,其中,所述第二随机数由身份认证设备生成;
接收所述身份认证设备返回的包含第二随机数的访问请求报文;
根据所述预设的协商算法,对所述第一随机数与第二随机数进行协商运算,将运算结果作为所述密钥。
6.一种访问设备的身份认证装置,所述装置应用于身份认证设备,其特征在于,所述装置包括:
接收单元,用于接收访问设备发送的访问请求报文;
暗文判断单元,用于判断所述访问请求报文是否包含第一暗文,所述第一暗文由所述访问设备利用密钥加密访问请求报文的报文内容获得,所述密钥由所述访问设备与所述身份认证设备预先协商获得;
第一加密单元,用于在所述访问请求报文包含第一暗文时,利用所述密钥对所述访问请求报文的报文内容进行加密,得到第二暗文;
匹配判断单元,用于判断所述第一暗文和第二暗文是否匹配,如果匹配,则对所述访问请求报文进行透传。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:第一密钥协商单元,用于预先与所述访问设备协商获得密钥;所述第一密钥协商单元包括:
第一接收子单元,用于接收访问设备发送的包含第一随机数的协商报文;
第一密钥确定子单元,用于根据预设的协商算法,对所述第一随机数与本地生成的第二随机数进行协商运算,将运算结果作为所述密钥;
返回子单元,用于向所述访问设备返回包含所述第二随机数的协商应答报文,以使所述访问设备根据所述预设的协商算法,对所述第一随机数与二随机数进行协商运算、并将运算结果确定为所述密钥,其中,所述第二随机数由身份认证设备生成。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
密钥查找单元,用于在利用所述密钥对所述访问请求报文的报文内容进行加密之前,根据访问请求报文中包含的访问设备标识在本地关系表中查找到所述密钥,所述关系表预先保存了所述访设备标识与所述密钥的对应关系。
9.一种访问设备的身份认证装置,所述装置应用于访问设备,其特征在于,所述装置包括:
第二加密单元,用于利用密钥对访问请求报文的报文内容进行加密,得到第一暗文,所述密钥由访问设备与身份认证设备预先协商获得;
发送单元,用于向所述身份认证设备发送包含所述第一暗文的访问请求报文,以使所述身份认证设备在所述第一暗文与第二暗文匹配时,对所述访问请求报文进行透传,其中,所述第二暗文由所述身份认证设备利用所述密钥加密所述访问请求报文的报文内容获得。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:第二密钥协商单元,用于预先与所述身份认证设备协商获得密钥;所述第二密钥协商单元包括:
发送子单元,用于向所述身份认证设备发送包含本地生成的第一随机数的访问请求报文,以使所述身份认证设备根据预设的协商算法,对所述第一随机数与第二随机数进行协商运算、并将运算结果确定为所述密钥,其中,所述第二随机数由身份认证设备生成;
第二接收子单元,用于接收所述身份认证设备返回的包含第二随机数的访问请求报文;
第二密钥确定子单元,用于根据所述预设的协商算法,对所述第一随机数与第二随机数进行协商运算,将运算结果作为所述密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610932528.1A CN106330968B (zh) | 2016-10-31 | 2016-10-31 | 一种访问设备的身份认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610932528.1A CN106330968B (zh) | 2016-10-31 | 2016-10-31 | 一种访问设备的身份认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106330968A true CN106330968A (zh) | 2017-01-11 |
CN106330968B CN106330968B (zh) | 2021-02-26 |
Family
ID=57818465
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610932528.1A Active CN106330968B (zh) | 2016-10-31 | 2016-10-31 | 一种访问设备的身份认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106330968B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108228211A (zh) * | 2017-12-15 | 2018-06-29 | 中国移动通信集团江苏有限公司 | 智能卡、智能卡数据安全更新的方法及系统 |
CN109407528A (zh) * | 2018-09-19 | 2019-03-01 | 北京小米移动软件有限公司 | 安全访问方法、装置、服务器及存储介质 |
CN110391902A (zh) * | 2019-07-08 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种互联网密钥交换ike协商的方法及装置 |
CN111490910A (zh) * | 2020-03-27 | 2020-08-04 | 深圳融安网络科技有限公司 | 设备信息的扫描方法、终端设备及计算机可读存储介质 |
CN111835779A (zh) * | 2020-07-20 | 2020-10-27 | 安徽华速达电子科技有限公司 | 一种设备接入平台的认证方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101324912A (zh) * | 2008-07-30 | 2008-12-17 | 中国航天科工集团第二研究院七○六所 | 一种可信安全计算机 |
CN101594611A (zh) * | 2009-06-29 | 2009-12-02 | 钱袋网(北京)信息技术有限公司 | 身份认证的方法和移动终端、服务器以及身份认证系统 |
CN102111273A (zh) * | 2010-12-30 | 2011-06-29 | 中国电力科学研究院 | 一种基于预共享的电力负荷管理系统数据安全传输方法 |
US20110247086A1 (en) * | 2010-04-02 | 2011-10-06 | Hitachi Consumer Electronics Co., Ltd. | Content transmitting method, content transmitting apparatus, and content receiving apparatus |
CN102622435A (zh) * | 2012-02-29 | 2012-08-01 | 百度在线网络技术(北京)有限公司 | 一种检测黑链的方法和装置 |
CN102725995A (zh) * | 2010-01-28 | 2012-10-10 | 英特尔公司 | 至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查 |
CN102761790A (zh) * | 2011-04-27 | 2012-10-31 | 航天信息股份有限公司 | 基于数字水印的iptv终端的数字版权管理方法及装置 |
US20130170643A1 (en) * | 2010-09-01 | 2013-07-04 | Huawei Technologies Co., Ltd. | Method and system for transmitting subscriber identity information, user equipment, network device |
US8751804B1 (en) * | 2011-06-30 | 2014-06-10 | Decho Corporation | Controlling access to data within encrypted copies of files using salt parameters |
CN104767747A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 点击劫持安全检测方法和装置 |
CN105592058A (zh) * | 2015-09-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种提高网络通信安全的方法和装置 |
-
2016
- 2016-10-31 CN CN201610932528.1A patent/CN106330968B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101324912A (zh) * | 2008-07-30 | 2008-12-17 | 中国航天科工集团第二研究院七○六所 | 一种可信安全计算机 |
CN101594611A (zh) * | 2009-06-29 | 2009-12-02 | 钱袋网(北京)信息技术有限公司 | 身份认证的方法和移动终端、服务器以及身份认证系统 |
CN102725995A (zh) * | 2010-01-28 | 2012-10-10 | 英特尔公司 | 至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查 |
US20110247086A1 (en) * | 2010-04-02 | 2011-10-06 | Hitachi Consumer Electronics Co., Ltd. | Content transmitting method, content transmitting apparatus, and content receiving apparatus |
US20130170643A1 (en) * | 2010-09-01 | 2013-07-04 | Huawei Technologies Co., Ltd. | Method and system for transmitting subscriber identity information, user equipment, network device |
CN102111273A (zh) * | 2010-12-30 | 2011-06-29 | 中国电力科学研究院 | 一种基于预共享的电力负荷管理系统数据安全传输方法 |
CN102761790A (zh) * | 2011-04-27 | 2012-10-31 | 航天信息股份有限公司 | 基于数字水印的iptv终端的数字版权管理方法及装置 |
US8751804B1 (en) * | 2011-06-30 | 2014-06-10 | Decho Corporation | Controlling access to data within encrypted copies of files using salt parameters |
CN102622435A (zh) * | 2012-02-29 | 2012-08-01 | 百度在线网络技术(北京)有限公司 | 一种检测黑链的方法和装置 |
CN104767747A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 点击劫持安全检测方法和装置 |
CN105592058A (zh) * | 2015-09-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种提高网络通信安全的方法和装置 |
Non-Patent Citations (1)
Title |
---|
谢永: "面向车联网的多服务器架构的匿名双向认证与密钥协商协议", 《计算机研究与发展》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108228211A (zh) * | 2017-12-15 | 2018-06-29 | 中国移动通信集团江苏有限公司 | 智能卡、智能卡数据安全更新的方法及系统 |
CN108228211B (zh) * | 2017-12-15 | 2021-05-25 | 中国移动通信集团江苏有限公司 | 智能卡、智能卡数据安全更新的方法及系统 |
CN109407528A (zh) * | 2018-09-19 | 2019-03-01 | 北京小米移动软件有限公司 | 安全访问方法、装置、服务器及存储介质 |
CN110391902A (zh) * | 2019-07-08 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种互联网密钥交换ike协商的方法及装置 |
CN111490910A (zh) * | 2020-03-27 | 2020-08-04 | 深圳融安网络科技有限公司 | 设备信息的扫描方法、终端设备及计算机可读存储介质 |
CN111835779A (zh) * | 2020-07-20 | 2020-10-27 | 安徽华速达电子科技有限公司 | 一种设备接入平台的认证方法 |
CN111835779B (zh) * | 2020-07-20 | 2023-04-18 | 安徽华速达电子科技有限公司 | 一种设备接入平台的认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106330968B (zh) | 2021-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101495956B (zh) | 扩展一次性密码方法和装置 | |
CN106330968A (zh) | 一种访问设备的身份认证方法及装置 | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
CN101141243A (zh) | 一种对通信数据进行安全检查和内容过滤的装置和方法 | |
Wang et al. | A server independent authentication scheme for RFID systems | |
Zhao et al. | Analysis of privacy disclosure in DNS query | |
WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
Hwang et al. | Current status and security trend of osint | |
US9516059B1 (en) | Using mock tokens to protect against malicious activity | |
CN106453378A (zh) | 数据认证的方法、装置及系统 | |
Rani et al. | Cyber security techniques, architectures, and design | |
CN105162763B (zh) | 通讯数据的处理方法和装置 | |
JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
CN111464532A (zh) | 信息加密方法及系统 | |
CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
CN107888548A (zh) | 一种信息验证方法及装置 | |
CN105071993B (zh) | 加密状态检测方法和系统 | |
CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
CN106576050A (zh) | 三层安全和计算架构 | |
Alhassan et al. | Threat modeling of electronic health systems and mitigating countermeasures | |
Phumkaew et al. | Android forensic and security assessment for hospital and stock-and-trade applications in thailand | |
Maidamwar et al. | Internet of Things: A Review on Architecture, Security Threats and Countermeasures | |
KR102042086B1 (ko) | 암호화 통신 프로토콜 제어 모듈 | |
Xie et al. | TOA: a tag‐owner‐assisting RFID authentication protocol toward access control and ownership transfer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |