CN107124408A - 一种安全受控终端的入网控制方法及系统 - Google Patents

一种安全受控终端的入网控制方法及系统 Download PDF

Info

Publication number
CN107124408A
CN107124408A CN201710268986.4A CN201710268986A CN107124408A CN 107124408 A CN107124408 A CN 107124408A CN 201710268986 A CN201710268986 A CN 201710268986A CN 107124408 A CN107124408 A CN 107124408A
Authority
CN
China
Prior art keywords
network
terminal device
security module
network address
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710268986.4A
Other languages
English (en)
Other versions
CN107124408B (zh
Inventor
王晨光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Kuke Track Equipment Co ltd
Original Assignee
Shenzhen Yuan Base Science And Technology Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Yuan Base Science And Technology Development Co Ltd filed Critical Shenzhen Yuan Base Science And Technology Development Co Ltd
Priority to CN201710268986.4A priority Critical patent/CN107124408B/zh
Publication of CN107124408A publication Critical patent/CN107124408A/zh
Application granted granted Critical
Publication of CN107124408B publication Critical patent/CN107124408B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种安全受控终端的入网控制方法,所述方法基于一系统实现,所述系统包括有终端设备和安全模块,所述方法包括如下步骤:步骤S1,所述终端设备登录安全模块;步骤S2,所述终端设备与安全模块建立网络通信;步骤S3,所述安全模块对终端设备进行身份验证,并在验证成功后执行步骤S4;步骤S4,所述终端设备获取网络地址,并将本地网络地址设置为所获取的网络地址;步骤S5,所述终端设备接入到网络中。本发明实现了为各种业务之间共享维护调试接口、最大限度地降低所需维护调试接口数量,进而提高各种业务维护调试人员的便利性与效率,降低各种业务维护调试工作的成本,以及有效保证各种业务之间的安全性互不干扰。

Description

一种安全受控终端的入网控制方法及系统
技术领域
本发明涉及终端入网方法,尤其涉及一种安全受控终端的入网控制方法及系统。
背景技术
随着网络的迅速发展及普及,网络功能越来越强大,多业务共享网络现象越发频繁;各个业务之间的安全越来越受到关注,一般都采用划分不同的vlan来实现业务应用的隔离,最大限度地将共享网络的各种业务相互隔离,以达到各种业务之间相互不干扰的效果;
然而,根据各种业务在共享网络过程中,将网络划分为不同的vlan之后就带来另外一个问题,那就是维护调试的隔离与授权问题,为提高整个系统的安全,往往按照相应的业务预留调试接口,该方法浪费接口,并且预留的调试维护接口安全性无法保障,况且预留的调试维护接口多且不通用,给日后具体维护调试工作带来很大的不便。
现有的网络中,根据各种业务的调试维护需要,均分别根据业务种类相应地预留了一定调试维护接口,由于不是每种业务的调试维护都同时需要,因此该技术方案带来较大的接口浪费,也为各种业务的维护调试人员带来很大的不便,容易搞错具体相对应的接口,导致维护调试成本高,更有甚至可能导致一定的接入安全隐患。
发明内容
本发明要解决的技术问题在于,针对现有技术的不足,提供一种安全受控终端的入网控制方法及系统,用以实现为各种业务之间共享维护调试接口、最大限度地降低所需维护调试接口数量,进而提高各种业务维护调试人员的便利性与效率,降低各种业务维护调试工作的成本,以及有效保证各种业务之间的安全性互不干扰。
为解决上述技术问题,本发明采用如下技术方案。
一种安全受控终端的入网控制方法,所述方法基于一系统实现,所述系统包括有终端设备和安全模块,所述方法包括如下步骤:步骤S1,所述终端设备登录安全模块;步骤S2,所述终端设备与安全模块建立网络通信;步骤S3,所述安全模块对终端设备进行身份验证,并在验证成功后执行步骤S4;步骤S4,所述终端设备获取网络地址,并将本地网络地址设置为所获取的网络地址;步骤S5,所述终端设备接入到网络中。
优选地,所述步骤S1的执行过程包括:步骤S10,所述终端设备对所述安全模块进行检测,并且当所述安全模块存在时执行步骤S11;步骤S11,所述终端设备获取登录安全模块的密码;步骤S12,所述终端设备登录安全模块,并判断是否登录成功,若是,则执行步骤S2,若否,则返回至步骤S11。
优选地,所述步骤S2的执行过程包括:步骤S20,所述终端设备判断是否能与安全模块进行网络通信,若是,则执行步骤S3,若否,则执行步骤S21;步骤S21,所述终端设备通过抓取链路层数据或者组播网络数据,根据设计规则计算本地目标网络地址;步骤S22,所述终端设备通过本地网络适配器或者本地网卡的网络地址接口访问方法将本地网络地址设置为所得出的网络地址。
优选地,所述步骤S3的执行过程包括:步骤S30,所述安全模块对终端设备进行身份验证后,向所述终端设备反馈验证结果信息;步骤S31,所述终端设备根据验证结果信息作出判断,若验证成功,则执行步骤S4,若验证失败,则提示不可接入到网络中。
优选地,所述步骤S30中身份验证过程包括:步骤S300,所述终端设备向安全模块获取数字签名用的明文;步骤S301,所述终端设备采用安全模块所提供的数字签名接口以及安全模块的私钥接口对该明文进行数字签名;步骤S302,所述终端设备将数字签名发送到安全模块;步骤S303,所述安全模块根据数字签名而生成验证结果信息。
优选地,所述步骤S300中,所述终端设备获取明文的方式包括:所述终端设备接收到利用安全模块公钥加密的密文之后,采用安全模块所提供的解密接口及其私钥接口解密该密文,以获取明文。
优选地,所述步骤S4的执行过程包括:步骤S40,所述终端设备通过获取链路层数据或者网络数据,结合对应的设计规则,计算本地网络适配器或者网卡需要设置的目标网络地址;步骤S41,所述终端设备将所获取的网络地址与本地当前网络地址进行比对,若相同,则返回至步骤S40,若不相同,则执行步骤S42;步骤S42,所述终端设备通过应用本地网络适配器或者网卡接口访问方法,将本地的网络地址设置为所获取的网络地址,以开通访问权限。
优选地,步骤S40中,所述终端设备计算得出的目标网络地址数据包括但不限于IP地址、子网掩码和网关地址。
一种安全受控终端的入网控制系统,其包括有终端设备和安全模块,所述终端设备用于登录安全模块,并且与安全模块建立网络通信,所述安全模块用于对终端设备进行身份验证,当身份验证成功后,所述终端设备获取网络地址,并将本地网络地址设置为所获取的网络地址,之后接入到网络中。
优选地,所述终端设备包括有:入网控制模块,用于检测安全模块是否存在、登录安全模块与安全模块建立网络通信以及将本地网卡设置为该网络地址;密码获取模块,用于保存密码以及为入网控制模块提供密码;本地网卡,用于为入网控制模块提供网络接口。
本发明公开的安全受控终端的入网控制方法及系统中,所述终端设备用于登录安全模块,并且与安全模块建立网络通信,之后由所述安全模块对终端设备进行身份验证,当身份验证成功后,所述终端设备获取网络地址,并将本地网络地址设置为所获取的网络地址,之后可接入到网络中。实际应用中,由于所接入的网络中划分了独立的调试vlan,整个网络中交换机所提供调试用的接口都在调试vlan中,因此任何终端必须在网络中通过身份认证才能够接入网络中维护调试相应的目标设备,因此,本发明通过执行智能完成入网认证、网络地址智能配置等步骤,有效避免了不安全设备接入到网络中,较好地实现了安全性可控,同时,降低了各业务调试维护预留接口数量,提高维护调试的便利性与效率,有效降低维护调试成本,提高各业务之间的安全隔离度,可根据网络数据要求重新设置终端本地网络地址获取访问相应业务终端的权限,此外,本发明智能化程度高,利用该入网控制方法能够智能切换到授权的业务vlan中,其中所有身份认证过程、网络地址调整过程均智能完成,大大提高了工作效率与便利性。
附图说明
图1为本发明入网控制系统的组成框图。
图2为本发明入网控制方法的流程图。
图3为本发明优选实施例中入网控制系统的组成框图。
图4为本发明优选实施例中入网控制方法的流程图。
具体实施方式
下面结合附图和实施例对本发明作更加详细的描述。
本发明公开了一种安全受控终端的入网控制方法,结合图1和图2所示,所述方法基于一系统实现,所述系统包括有终端设备1和安全模块2,所述方法包括如下步骤:
步骤S1,所述终端设备1登录安全模块2;
步骤S2,所述终端设备1与安全模块2建立网络通信;
步骤S3,所述安全模块2对终端设备1进行身份验证,并在验证成功后执行步骤S4;
步骤S4,所述终端设备1获取网络地址,并将本地网络地址设置为所获取的网络地址;
步骤S5,所述终端设备1接入到网络中。
上述入网控制方法中,所述终端设备1用于登录安全模块2,并且与安全模块2建立网络通信,之后由所述安全模块2对终端设备1进行身份验证,当身份验证成功后,所述终端设备1获取网络地址,并将本地网络地址设置为所获取的网络地址,之后可接入到网络中。实际应用中,由于所接入的网络中划分了独立的调试vlan,整个网络中交换机所提供调试用的接口都在调试vlan中,因此任何终端必须在网络中通过身份认证才能够接入网络中维护调试相应的目标设备,因此,本发明通过执行智能完成入网认证、网络地址智能配置等步骤,有效避免了不安全设备接入到网络中,较好地实现了安全性可控,同时,降低了各业务调试维护预留接口数量,提高维护调试的便利性与效率,有效降低维护调试成本,提高各业务之间的安全隔离度,可根据网络数据要求重新设置终端本地网络地址获取访问相应业务终端的权限,此外,本发明智能化程度高,利用该入网控制方法能够智能切换到授权的业务vlan中,其中所有身份认证过程、网络地址调整过程均智能完成,大大提高了工作效率与便利性。
作为一种优选方式,所述步骤S1的执行过程包括:
步骤S10,所述终端设备1对所述安全模块2进行检测,并且当所述安全模块2存在时执行步骤S11;
步骤S11,所述终端设备1获取登录安全模块2的密码;
步骤S12,所述终端设备1登录安全模块2,并判断是否登录成功,若是,则执行步骤S2,若否,则返回至步骤S11。
进一步地,终端设备通过硬件或者软件技术智能检测安全模块是否存在。获取密码的过程中,访问调用安全模块所提供的接口需要登录密码,而登陆密码具有尝试次数限制,一旦安全模块丢失,在不知道登录密码的情况下是无法访问安全模块,通过暴力破解安全模块的登录密码是无效的。其作用是为使用安全模块所提供的安全接口、安全数据提供密码;
获取安全模块的登录密码的具体方法包括但不限于:首先,采用人工手动输入方式;其次,通过非对称加密密钥公钥加密后存放到本地,获取时需要采用相应的私钥解密。其中,无论是通过人工输入还是通过获取本地密文的方式,其特征是确保登录安全模块的密码安全可控。
作为一种优选方式,所述步骤S2的执行过程包括:
步骤S20,所述终端设备1判断是否能与安全模块2进行网络通信,若是,则执行步骤S3,若否,则执行步骤S21;
步骤S21,所述终端设备1通过抓取链路层数据或者组播网络数据,根据设计规则计算本地目标网络地址;该步骤用于为本地网络适配器或者本地网卡的网络地址设置提供基础数据;
步骤S22,所述终端设备1通过本地网络适配器或者本地网卡的网络地址接口访问方法将本地网络地址设置为所得出的网络地址。该步骤用于确保终端能够与接入安全管控模块进行网络通信。
判断能否进行网络通信的过程中,先判断是否需要通过设置本地网络地址,以确保终端能够与接入安全管控模块通过网络通信方式进行身份认证。具体方法包括但不限于:
A、终端判定是否已经根据设计要求设置了本地网络地址;如果前面步骤已经根据设计要求设置了本地网络地址,则认定终端能与接入安全管控模块进行通信;
B、终端通过获取网络数据及相应的设计规则计算本地目标网络地址;如果本地目标网络地址与本地当前网络地址相同,则认定终端能够与接入安全管控模块进行通信;
C、终端通过网络可到达检测技术,以接入安全管控模块为目标地址,检测是否能够与接入安全管控模块通信;如果以接入安全管控模块为目标地址,通过网络可到达检测技术,能够与接入安全管控模块进行通信,则认定终端能与接入安全管控模块进行通信。
作为一种优选方式,所述步骤S3的执行过程包括:
步骤S30,所述安全模块2对终端设备1进行身份验证后,向所述终端设备1反馈验证结果信息;
步骤S31,所述终端设备1根据验证结果信息作出判断,若验证成功,则执行步骤S4,若验证失败,则提示不可接入到网络中。
进一步地,所述步骤S30中身份验证过程包括:
步骤S300,所述终端设备1向安全模块2获取数字签名用的明文;
步骤S301,所述终端设备1采用安全模块2所提供的数字签名接口以及安全模块2的私钥接口对该明文进行数字签名;
步骤S302,所述终端设备1将数字签名发送到安全模块2;
步骤S303,所述安全模块2根据数字签名而生成验证结果信息。
进一步地,所述步骤S300中,所述终端设备1获取明文的方式包括:所述终端设备1接收到利用安全模块2公钥加密的密文之后,采用安全模块2所提供的解密接口及其私钥接口解密该密文,以获取明文。另一种方式是预先将明文采用安全方式分别导入到接入安全管控模块及安全模块中。
作为一种优选方式,所述步骤S4的执行过程包括:
步骤S40,所述终端设备1通过获取链路层数据或者网络数据,结合对应的设计规则,计算本地网络适配器或者网卡需要设置的目标网络地址;进一步地,该步骤S40中,所述终端设备1计算得出的目标网络地址数据包括但不限于IP地址、子网掩码和网关地址;
步骤S41,所述终端设备1将所获取的网络地址与本地当前网络地址进行比对,若相同,则返回至步骤S40,若不相同,则执行步骤S42;其中,如果网络地址相同,说明访问权限尚未开放,因此必须等待直到网络访问权限开放为止,终端设备1所接入的交换机接口所属vlan在验证过程中,与成功通过验证之后终端设备1所接入的交换机接口所属vlan不同,当验证之后本地所使用的网络地址与验证终端身份过程中所用的网络地址必须不一致且为有效。
步骤S42,所述终端设备1通过应用本地网络适配器或者网卡接口访问方法,将本地的网络地址设置为所获取的网络地址,以开通访问权限。该步骤用于实现可以入网访问权限内的所有设备的效果。
为更好地实现上述方法,本发明还公开了一种安全受控终端的入网控制系统,其包括有终端设备1和安全模块2,所述终端设备1用于登录安全模块2,并且与安全模块2建立网络通信,所述安全模块2用于对终端设备1进行身份验证,当身份验证成功后,所述终端设备1获取网络地址,并将本地网络地址设置为所获取的网络地址,之后接入到网络中。
作为一种优选方式,所述终端设备1包括有:
入网控制模块3,用于检测安全模块2是否存在、登录安全模块2与安全模块2建立网络通信以及将本地网卡设置为该网络地址;
密码获取模块4,用于保存密码以及为入网控制模块3提供密码;
本地网卡5,用于为入网控制模块3提供网络接口。
其中:所述入网控制模块设置于受控终端中,入网控制模块检测安全模块是否存在,如果存在则通过登录安全模块密码的获取模块获取登录安全模块的密码,然后登录安全模块,如果登录成功,则判断终端是否能够与接入安全管控模块进行网络通信;如果无法与接入安全管控模块进行网络通信,则通过获取链路层数据或者网络数据及相应规则计算本地目标网络地址,然后将本地网卡设置为该网络地址;
入网控制模块如果能够与接入安全管控模块进行网络通信,则入网控制模块接收到使用安全模块公钥加密的密文之后,采用安全模块所提供的解密接口及其私钥接口解密该密文,获取明文;然后入网控制模块采用安全模块所提供的数字签名接口及安全模块的私钥接口将该明文进行数字签名,并且将该数字签名发送到接入安全管控模块;
入网控制模块接收到验证结果之后,如果验证成功,则重新获取成功验证之后的网络地址,并且利用本地网卡所提供的接口设置本地网卡为所获取的网络地址,并且通知上层或者其他应用该终端已经成功入网;如果验证失败,则通知上层或者其他应用该终端未能成功入网。
安全模块用于:提供安全模块的登录、私钥解密、私钥数字签名、私钥等接口,登录失败次数有限,防止暴力破解登录密码,将私钥存放到加密区,无法通过应用程序直接获取私钥,亦无法直接导出私钥到内存、硬盘等其他介质区,安全模块的表现形式可以是外接入到终端中的硬件设备,也可以是集成到终端硬件中的电路模块,也可以是驻留在终端中的软件。
密码获取模块的表现形式可以是人机界面,也可以是软件模块、文件等。本地网卡具有网络地址设置接口,支持以太网网络通信基本要求。
本发明公开的入网控制方法及系统,其实际应用过程可参考如下实施例:
在本发明优选的实施例中,结合图3和图4所示,入网控制系统包括:PTU设备10(即终端设备)和U盾(即安全模块),PTU设备10进一步包括有入网控制模块30、U盾登录密码输入界面40(即密码获取模块)和本地网卡50,其中,入网控制模块驻留在PTU中,U盾作为外部设备接入到PTU中,U盾登录密码输入界面驻留在PTU中,以便维护调试人员手动收入U盾登录pin密码,本地网卡即为PTU的接入网络交换机中的网卡。
本实施例中的入网控制方法包括如下步骤:
步骤S100,PTU检测U盾,PTU通过接口扫描技术,检测U盾是否接入到PTU;
步骤S101,判断是否检测到U盾,如果检测到,则跳转至步骤S102,若否,则跳转至步骤S100;
步骤S102,获取登录安全模块的密码,具体是指,PTU提示输入登录U盾的用户密码,手动输入U盾的用户密码;
步骤S103,PTU使用U盾登录密码登录U盾;
步骤S104,PTU判断是否登录成功,若是,则跳转至步骤S105,若否,则跳转至步骤S102;
步骤S105,PTU判断是否能够与认证服务器进行网络通信,如果PTU能够与认证服务器进行网络通信,则跳转至步骤S108;否则跳转至步骤S106;具体执行过程是,PTU获取链路层LLDP数据,计算获取网络地址,将本地网络地址与本地网络地址比对,如果相同,则能够与认证服务器进行网络通信,否则认定其不能与认证服务器进行网络通信;
步骤S106,PTU获取所分配的网络地址相关数据;具体过程为,PTU抓取链路层LLDP数据报文,分析计算获取网络地址;
步骤S107,PTU设置本地网络地址为获取的网络地址;
步骤S108,终端身份验证,具体过程为,PTU发送身份认证请求到认证服务器;认证服务器生成随机冲击数据,并且采用该PTU的公钥加密形成密文,将该密文发送给PTU,PTU接收到密文之后,采用U盾的解密接口与私钥接口将密文解密形成明文,然后应用U盾的数字签名接口与私钥接口将该明文进行数字签名,将该数字签名发送到认证服务器;认证服务器利用该PTU的公钥、随机冲击数据及所接收到的数字签名验证该数字签名,并且将验证结果发送给PTU,如果验证成功则调整PTU所接入交换机接口所属vlan;
步骤S109,PTU接收到验证结果信息
步骤S110,是否验证成功,若成功,则跳转至步骤S111,是失败,则跳转至步骤S115;
步骤S111,PTU重新获取所分配的网络地址相关数据;具体是,PTU抓取链路层LLDP数据,计算获取网络地址;
步骤S112,PTU判断本地网络地址与获取的网络地址是否相同,如果相同,则跳转至步骤S111,若不相同,则跳转至步骤S113;具体判断过程为,PTU将成功验证之后所获取的网络地址与验证过程中所使用的网络地址进行比对,以判断出是否相同;
步骤S113,PTU设置本地网络地址为所获取的网络地址;
步骤S114,PTU显示成功接入网络信息;
步骤S115,PTU显示不可接入网络信息。
本发明公开的安全受控终端的入网控制方法及系统中,通过检测登录安全模块,检测是否能与接入安全管控模块进行通信,通过设置本地网络地址满足与接入安全管控模块之间通信的要求,然后采用非对称秘钥机制,终端获取数字签名需使用的明文,并且利用安全模块的数字签名接口及私钥接口进行数字签名,并将其发送至接入安全管控模块,完成终端身份认证任务;终端接收到成功认证结果信息之后,通过重新计算获取网络地址来设置本地网络地址,达到成功接入网络的要求。通过应用本发明所提及的入网控制方法或者系统,对于合法的安全受控终端而言能智能通过身份认证并迅速接入到网络中。通过应用本发明所提及的方法及系统,能够有效共享维护调试接口,降低接口成本及维护调试成本,提高维护调试便利及效率,提高系统的安全性。
以上所述只是本发明较佳的实施例,并不用于限制本发明,凡在本发明的技术范围内所做的修改、等同替换或者改进等,均应包含在本发明所保护的范围内。

Claims (10)

1.一种安全受控终端的入网控制方法,其特征在于,所述方法基于一系统实现,所述系统包括有终端设备(1)和安全模块(2),所述方法包括如下步骤:
步骤S1,所述终端设备(1)登录安全模块(2);
步骤S2,所述终端设备(1)与安全模块(2)建立网络通信;
步骤S3,所述安全模块(2)对终端设备(1)进行身份验证,并在验证成功后执行步骤S4;
步骤S4,所述终端设备(1)获取网络地址,并将本地网络地址设置为所获取的网络地址;
步骤S5,所述终端设备(1)接入到网络中。
2.如权利要求1所述的安全受控终端的入网控制方法,其特征在于,所述步骤S1的执行过程包括:
步骤S10,所述终端设备(1)对所述安全模块(2)进行检测,并且当所述安全模块(2)存在时执行步骤S11;
步骤S11,所述终端设备(1)获取登录安全模块(2)的密码;
步骤S12,所述终端设备(1)登录安全模块(2),并判断是否登录成功,若是,则执行步骤S2,若否,则返回至步骤S11。
3.如权利要求1所述的安全受控终端的入网控制方法,其特征在于,所述步骤S2的执行过程包括:
步骤S20,所述终端设备(1)判断是否能与安全模块(2)进行网络通信,若是,则执行步骤S3,若否,则执行步骤S21;
步骤S21,所述终端设备(1)通过抓取链路层数据或者组播网络数据,根据设计规则计算本地目标网络地址;
步骤S22,所述终端设备(1)通过本地网络适配器或者本地网卡的网络地址接口访问方法将本地网络地址设置为所得出的网络地址。
4.如权利要求1所述的安全受控终端的入网控制方法,其特征在于,所述步骤S3的执行过程包括:
步骤S30,所述安全模块(2)对终端设备(1)进行身份验证后,向所述终端设备(1)反馈验证结果信息;
步骤S31,所述终端设备(1)根据验证结果信息作出判断,若验证成功,则执行步骤S4,若验证失败,则提示不可接入到网络中。
5.如权利要求1所述的安全受控终端的入网控制方法,其特征在于,所述步骤S30中身份验证过程包括:
步骤S300,所述终端设备(1)向安全模块(2)获取数字签名用的明文;
步骤S301,所述终端设备(1)采用安全模块(2)所提供的数字签名接口以及安全模块(2)的私钥接口对该明文进行数字签名;
步骤S302,所述终端设备(1)将数字签名发送到安全模块(2);
步骤S303,所述安全模块(2)根据数字签名而生成验证结果信息。
6.如权利要求5所述的安全受控终端的入网控制方法,其特征在于,所述步骤S300中,所述终端设备(1)获取明文的方式包括:所述终端设备(1)接收到利用安全模块(2)公钥加密的密文之后,采用安全模块(2)所提供的解密接口及其私钥接口解密该密文,以获取明文。
7.如权利要求1所述的安全受控终端的入网控制方法,其特征在于,所述步骤S4的执行过程包括:
步骤S40,所述终端设备(1)通过获取链路层数据或者网络数据,结合对应的设计规则,计算本地网络适配器或者网卡需要设置的目标网络地址;
步骤S41,所述终端设备(1)将所获取的网络地址与本地当前网络地址进行比对,若相同,则返回至步骤S40,若不相同,则执行步骤S42;
步骤S42,所述终端设备(1)通过应用本地网络适配器或者网卡接口访问方法,将本地的网络地址设置为所获取的网络地址,以开通访问权限。
8.如权利要求7所述的安全受控终端的入网控制方法,其特征在于,步骤S40中,所述终端设备(1)计算得出的目标网络地址数据包括但不限于IP地址、子网掩码和网关地址。
9.一种安全受控终端的入网控制系统,其特征在于,包括有终端设备(1)和安全模块(2),所述终端设备(1)用于登录安全模块(2),并且与安全模块(2)建立网络通信,所述安全模块(2)用于对终端设备(1)进行身份验证,当身份验证成功后,所述终端设备(1)获取网络地址,并将本地网络地址设置为所获取的网络地址,之后接入到网络中。
10.如权利要求1所述的安全受控终端的入网控制系统,其特征在于,所述终端设备(1)包括有:
入网控制模块(3),用于检测安全模块(2)是否存在、登录安全模块(2)与安全模块(2)建立网络通信以及将本地网卡设置为该网络地址;
密码获取模块(4),用于保存密码以及为入网控制模块(3)提供密码;
本地网卡(5),用于为入网控制模块(3)提供网络接口。
CN201710268986.4A 2017-04-24 2017-04-24 一种安全受控终端的入网控制方法及系统 Active CN107124408B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710268986.4A CN107124408B (zh) 2017-04-24 2017-04-24 一种安全受控终端的入网控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710268986.4A CN107124408B (zh) 2017-04-24 2017-04-24 一种安全受控终端的入网控制方法及系统

Publications (2)

Publication Number Publication Date
CN107124408A true CN107124408A (zh) 2017-09-01
CN107124408B CN107124408B (zh) 2020-03-31

Family

ID=59724847

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710268986.4A Active CN107124408B (zh) 2017-04-24 2017-04-24 一种安全受控终端的入网控制方法及系统

Country Status (1)

Country Link
CN (1) CN107124408B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756699A (zh) * 2020-05-28 2020-10-09 苏州浪潮智能科技有限公司 一种基于非对称加密的lldp协议优化方法与系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090265594A1 (en) * 2005-08-09 2009-10-22 Texas Instruments Incorporated Selectable jtag or trace access with data store and output
CN101668017A (zh) * 2009-09-16 2010-03-10 杭州华三通信技术有限公司 一种认证方法和设备
CN102257772A (zh) * 2010-06-07 2011-11-23 华为技术有限公司 业务配置方法、设备和系统
CN104378799A (zh) * 2013-08-15 2015-02-25 华为技术有限公司 用户接入方法、装置和系统
US9143400B1 (en) * 2012-05-01 2015-09-22 Google Inc. Network gateway configuration
CN106254495A (zh) * 2016-08-17 2016-12-21 杭州华三通信技术有限公司 一种重定向方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090265594A1 (en) * 2005-08-09 2009-10-22 Texas Instruments Incorporated Selectable jtag or trace access with data store and output
CN101668017A (zh) * 2009-09-16 2010-03-10 杭州华三通信技术有限公司 一种认证方法和设备
CN102257772A (zh) * 2010-06-07 2011-11-23 华为技术有限公司 业务配置方法、设备和系统
US9143400B1 (en) * 2012-05-01 2015-09-22 Google Inc. Network gateway configuration
CN104378799A (zh) * 2013-08-15 2015-02-25 华为技术有限公司 用户接入方法、装置和系统
CN106254495A (zh) * 2016-08-17 2016-12-21 杭州华三通信技术有限公司 一种重定向方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756699A (zh) * 2020-05-28 2020-10-09 苏州浪潮智能科技有限公司 一种基于非对称加密的lldp协议优化方法与系统
CN111756699B (zh) * 2020-05-28 2022-05-06 苏州浪潮智能科技有限公司 一种基于非对称加密的lldp协议优化方法与系统

Also Published As

Publication number Publication date
CN107124408B (zh) 2020-03-31

Similar Documents

Publication Publication Date Title
US10154049B2 (en) System and method for providing an in-line sniffer mode network based identity centric firewall
CN105027493B (zh) 安全移动应用连接总线
US9426653B2 (en) Secure remote access using wireless network
JP6337642B2 (ja) パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント
CN106027463B (zh) 一种数据传输的方法
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
CN109787988A (zh) 一种身份加强认证和鉴权方法及装置
CN105991647B (zh) 一种数据传输的方法
US12088573B2 (en) System and method for securely changing network configuration settings to multiplexers in an industrial control system
CN104718526A (zh) 安全移动框架
CN106027466B (zh) 一种身份证云认证系统及读卡系统
CN106992984A (zh) 一种基于电力采集网的移动终端安全接入信息内网的方法
CN110601889B (zh) 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
CN106027476B (zh) 一种身份证云认证系统及读卡系统
CN102307099A (zh) 认证方法、系统及认证服务器
US20110078784A1 (en) Vpn system and method of controlling operation of same
CN101355459A (zh) 一种基于可信协议的网络监控方法
CN107276983A (zh) 一种基于dpi和云同步的流量安全控制方法及系统
US11165773B2 (en) Network device and method for accessing a data network from a network component
Li Security Architecture in the Internet
CN103491054A (zh) Sam准入系统
CN107124408A (zh) 一种安全受控终端的入网控制方法及系统
US10298588B2 (en) Secure communication system and method
CN116962149A (zh) 网络故障的检测方法和装置、存储介质及电子设备
Raja et al. Threat Modeling and IoT Attack Surfaces

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20180626

Address after: 518000 8 unit 9A, Chunhua four seasons garden, Minkang Road, Longhua New District, Shenzhen, Guangdong, China.

Applicant after: Wang Chenguang

Address before: 518100 Shenzhen, Guangdong, Baoan District Xixiang street, silver Field Industrial Zone, West District B District ten plant B unit six building

Applicant before: SHENZHEN YAGER TECHNOLOGY Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20190515

Address after: Room A668-01, Building No. 2, 351 Guoshoujing Road, China (Shanghai) Free Trade Pilot Area, Pudong New Area, Shanghai, 20107

Applicant after: SHANGHAI YICHUXING INTELLIGENT TECHNOLOGY CO.,LTD.

Address before: 518000 8 unit 9A, Chunhua four seasons garden, Minkang Road, Longhua New District, Shenzhen, Guangdong, China.

Applicant before: Wang Chenguang

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230406

Address after: 412000 room 603, building E4, Yunlong headquarters economic Park, No. 5099, Yunlong Avenue, Yunlong demonstration zone, Zhuzhou City, Hunan Province

Patentee after: Hunan KUKE track equipment Co.,Ltd.

Address before: Room A668-01, Building No. 2, 351 Guoshoujing Road, China (Shanghai) Free Trade Pilot Area, Pudong New Area, Shanghai, 20107

Patentee before: SHANGHAI YICHUXING INTELLIGENT TECHNOLOGY CO.,LTD.