CN107180172A - 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 - Google Patents
一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 Download PDFInfo
- Publication number
- CN107180172A CN107180172A CN201710259083.XA CN201710259083A CN107180172A CN 107180172 A CN107180172 A CN 107180172A CN 201710259083 A CN201710259083 A CN 201710259083A CN 107180172 A CN107180172 A CN 107180172A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- certificate
- remote server
- ipsan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明揭示了一种基于USBKey数字证书认证的IPSAN访问控制方法及装置,所述方法包括:iSCSI启动程序发起登录请求命令时,客户端通过与远程服务器通信进行USBkey身份认证,若服务器通过认证判断当前用户合法,则客户端通过认证并被允许登录。本发明在Initiator登录时,加入USB Key数字证书认证方式,通过对登录用户的合法性进行校验,进而对存储数据进行强身份认证保护。
Description
技术领域
本发明涉及一种存储数据的访问技术,尤其是涉及一种基于USBKey数字证书认证的IPSAN访问控制方法及装置。
背景技术
随着Intemet(互联网)环境下企业数据的爆炸性增长、企业商务模式的转变和以数据为本的企业知识产权价值的体现,传统的信息存储方式已经无法满足新的需求,存储区域网络化(Storage Area Network,SAN)成为了IT技术新的研究亮点。SAN使得SCSI(Small Computer Systems Interface,小型计算机系统接口)协议应用于高速数据传输网络成为可能,这种传输以数据块级别(block-level)在多个数据存储网络间进行。
iSCSI(internet Small Computer System Interface,网络小型计算机系统接口)通过IP地址、主机系统和存储设备的名称、内部/外部CHAP(Challenge HandshakeAuthentication Protocol,PPP(点对点协议)询问握手认证协议)身份验证等方式限制访问,从而保证存储安全,实行多种iSCSI身份验证方式似乎让人不知所从。
在iSCSI网络中,CHAP身份认证方式即是“用户账号+口令”方式,这种认证方式使用起来简单、方便,但是可靠性最差,一旦盗用者通过某种方式获得了他人的账号、密码,则该用户的数据安全将无法得到保障。
发明内容
本发明的目的在于克服现有iSCSI网络中CHAP身份认证安全性差的的缺陷,提供一种基于USBKey数字证书认证的IPSAN访问控制方法及装置,以保障用户的数据访问安全。
为实现上述目的,本发明提出如下技术方案:一种基于USBKey数字证书认证的IPSAN访问控制方法,包括:iSCSI启动程序发起登录请求命令时,客户端通过与远程服务器通信进行USBkey身份认证,若服务器通过认证判断当前用户合法,则客户端通过认证并被允许登录。
优选地,所述客户端通过与远程服务器通信进行USBkey身份认证的过程包括:
S1,客户端将自身的证书发送给远程服务器进行身份认证,
S2,远程服务器端接收客户端证书并验证,验证客户端证书的合法性,若合法,则返回认证成功信息给客户端。
优选地,在所述步骤S1之前,还包括:
客户端与远程服务器建立连接;
客户端验证远程服务器的合法性。
优选地,所述客户端与远程服务器建立连接的过程包括:
客户端向远程服务器端发送客户端Hello消息;
远程服务器回应服务器Hello消息给客户端,则两者建立起连接。
优选地,所述客户端验证远程服务器的合法性的过程包括:
在服务器端发送完Hello消息给客户端之后,发送自身的证书消息以及请求验证客户端身份消息,并发送服务器Hello完成消息给客户端;
客户端根据服务器传过来的所述服务器证书消息,验证服务器的合法性。
优选地,所述服务器的合法性包括:服务器证书是否过期,发行服务器证书的CA是否可靠。
优选地,所述S1具体包括:所述客户端的认证模块将USBKey中用户信息读取出来,并将所述用户信息发送到远程服务器进行身份认证,并且发送客户端验证服务器返回信息给服务器,最后发送客户端Hello完成消息给远程服务器。
优选地,所述S2中,远程服务器端通过检索其管理的用户信息列表来判断当前用户是否合法;且远程服务器端验证客户端证书的合法性具体包括:验证客户的证书使用日期是否有效,为客户提供证书的CA是否可靠,发行CA的公钥能否正确解开客户证书的发行CA的数字签名,检查客户的证书是否在证书黑名单中,根据客户端证书DN查找数据检验是否有对应的用户存在。
本发明还提供了另外一种技术方案:一种基于USBKey数字证书认证的IPSAN访问控制装置,所述装置包括:客户端和远程服务器,所述客户端在iSCSI启动程序发起登录请求命令时与远程服务器通信进行USBkey身份认证,所述远程服务器中具有服务器认证模块,所述服务器认证模块用于对客户端进行USBkey身份认证并返回认证消息给客户端。
优选地,所述客户端中对应具有客户端认证模块,用于对远程服务器的合法性进行认证。
与现有技术相比,本发明在Initiator(启动程序)登录时,加入USB Key数字证书认证方式,通过对登录用户的合法性进行校验,进而对存储数据进行强身份认证保护,可靠性高,且保障了用户的数据安全。
附图说明
图1是本发明的流程示意图;
图2是本发明的原理示意图;
图3是图1中步骤2的流程示意图;
图4是图1中步骤3的流程示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
结合图1和图2所示,本发明实施例所揭示的一种基于USBKey数字证书认证的IPSAN访问控制方法,包括:
步骤1,在iSCSI Initiator发起程序发起登录请求命令时,首先,本地客户端与远程服务器端建立起连接。
具体地,客户端向服务器端发送客户端Hello消息,服务器向客户端回应服务器Hello消息,否则产生一个错误信息并断开连接,也就是说,若客户端接收不到服务器端返回回的Hello消息,则会产生一个错误信息,两者就建立不上连接。
步骤2,客户端与服务器端建立上连接后,客户端验证远程服务器的合法性。
结合图3所示,步骤2具体包括以下步骤:
步骤201,服务器端在发送完Hello消息之后,接着发送自身的证书消息以及请求验证客户端身份消息,然后发送服务器Hello完成消息,表示Hello消息阶段已经结束,服务器等待客户端的返回消息。
步骤202,客户端利用服务器传过来的证书信息验证服务器的合法性。
其中,服务器的合法性包括:服务器证书是否过期,发行服务器证书的CA(Certificate Authority,证书授权机构)是否可靠。
如果服务器合法性验证没有通过,则客户端与服务器端通信断开连接;如果合法性验证通过,则进入步骤3。
步骤3,客户端通过与远程服务器通信进行USBkey身份认证,验证客户端用户的合法性。
结合图4所示,步骤3具体包括:
步骤301,客户端将自身的证书发送给远程服务器进行身份认证。
具体地,客户端的认证模块将USBKey中用户信息读取出来,并将用户信息发送到远程服务器进行身份认证,并且一并发送客户端验证服务器返回信息给服务器,最后发送客户端Hello完成消息给远程服务器。
步骤302,远程服务器端接收客户端证书并验证,验证客户端证书的合法性。
具体地,远程服务器端通过检索其管理的用户信息列表来判断当前用户是否合法,若合法,则返回认证成功信息给Initiator客户端。
客户合法性验证过程具体包括:客户的证书使用日期是否有效;为客户提供证书的CA是否可靠;发行CA的公钥能否正确解开客户证书的发行CA的数字签名;检查客户的证书是否在证书黑名单中;根据客户端证书DN查找数据,检验是否有对应的用户存在等等。
通过上述身份认证步骤,若检验没有通过,则客户端与服务器端通信立刻中断;若验证条件均满足,则服务器判断当前用户合法,即认证完成,服务器端发送认证信息及认证完成消息给客户端,客户端启动,即客户端被系统允许登录。
结合图2所示,本发明所揭示的一种基于USBKey数字证书认证的IPSAN访问控制装置,包括:客户端和远程服务器,客户端中具有客户端认证模块,用于在iSCSI启动程序发起登录请求命令时,及客户端与远程服务器建立连接(即与远程服务器通信)之后对远程服务器的合法性进行USBkey身份验证,具体连接及验证过程详见上述步骤1和步骤2中的描述。
远程客户端中具有服务器认证模块,用于在客户端验证远程服务器合法之后对客户端进行USBkey身份认证并返回认证消息给客户端。服务器对客户端的用户合法性验证过程详见上述步骤3的描述。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (10)
1.一种基于USBKey数字证书认证的IPSAN访问控制方法,其特征在于,包括:iSCSI启动程序发起登录请求命令时,客户端通过与远程服务器通信进行USBkey身份认证,若服务器通过认证判断当前用户合法,则客户端通过认证并被允许登录。
2.根据权利要求1所述的一种IPSAN访问控制方法,其特征在于,所述客户端通过与远程服务器通信进行USBkey身份认证的过程包括:
S1,客户端将自身的证书发送给远程服务器进行身份认证,
S2,远程服务器端接收客户端证书并验证,验证客户端证书的合法性,若合法,则返回认证成功信息给客户端。
3.根据权利要求1所述的一种IPSAN访问控制方法,其特征在于,在所述步骤S1之前,还包括:
客户端与远程服务器建立连接;
客户端验证远程服务器的合法性。
4.根据权利要求3所述的一种IPSAN访问控制方法,其特征在于,所述客户端与远程服务器建立连接的过程包括:
客户端向远程服务器端发送客户端Hello消息;
远程服务器端回应服务器Hello消息给客户端,则两者建立起连接。
5.根据权利要求4所述的一种IPSAN访问控制方法,其特征在于,所述客户端验证远程服务器的合法性的过程包括:
在服务器端发送完Hello消息给客户端之后,发送自身的证书消息以及请求验证客户端身份消息,并发送服务器Hello完成消息给客户端;
客户端根据服务器传过来的所述服务器证书消息,验证服务器的合法性。
6.根据权利要求5所述的一种IPSAN访问控制方法,其特征在于,所述服务器的合法性包括:服务器证书是否过期,发行服务器证书的CA是否可靠。
7.根据权利要求5所述的一种IPSAN访问控制方法,其特征在于,所述S1具体包括:所述客户端的认证模块将USBKey中用户信息读取出来,并将所述用户信息发送到远程服务器进行身份认证,并且发送客户端验证服务器返回信息给服务器,最后发送客户端Hello完成消息给远程服务器。
8.根据权利要求2所述的一种IPSAN访问控制方法,其特征在于,所述S2中,远程服务器端通过检索其管理的用户信息列表来判断当前用户是否合法;且远程服务器端验证客户端证书的合法性具体包括:验证客户的证书使用日期是否有效,为客户提供证书的CA是否可靠,发行CA的公钥能否正确解开客户证书的发行CA的数字签名,检查客户的证书是否在证书黑名单中,根据客户端证书DN查找数据检验是否有对应的用户存在。
9.一种基于USBKey数字证书认证的IPSAN访问控制装置,其特征在于,所述装置包括:客户端和远程服务器,所述客户端在iSCSI启动程序发起登录请求命令时与远程服务器通信进行USBkey身份认证,所述远程服务器中具有服务器认证模块,所述服务器认证模块用于对客户端进行USBkey身份认证并返回认证消息给客户端。
10.根据权利要求9所述的一种IPSAN访问控制装置,其特征在于,所述客户端中对应具有客户端认证模块,用于对远程服务器的合法性进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710259083.XA CN107180172A (zh) | 2017-04-19 | 2017-04-19 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710259083.XA CN107180172A (zh) | 2017-04-19 | 2017-04-19 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107180172A true CN107180172A (zh) | 2017-09-19 |
Family
ID=59831955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710259083.XA Pending CN107180172A (zh) | 2017-04-19 | 2017-04-19 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107180172A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924140A (zh) * | 2018-07-10 | 2018-11-30 | 广东电网有限责任公司 | 电网认证通信装置及系统 |
| CN109672526A (zh) * | 2018-12-17 | 2019-04-23 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
| CN111625804A (zh) * | 2020-05-22 | 2020-09-04 | 浙江大华技术股份有限公司 | 一种登录方法及设备 |
| CN112229438A (zh) * | 2020-08-31 | 2021-01-15 | 深圳技术大学 | 一种自然生态可信监测系统及方法 |
| CN112600813A (zh) * | 2020-12-08 | 2021-04-02 | 武汉卓尔信息科技有限公司 | 一种基于ukey的多应用统一认证方法 |
| CN113872989A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050216767A1 (en) * | 2004-03-29 | 2005-09-29 | Yoshio Mitsuoka | Storage device |
| US20090049535A1 (en) * | 2007-03-23 | 2009-02-19 | Dean Kalman | Controlled discovery of san-attached scsi devices and access control via login authentication |
| CN101588352A (zh) * | 2008-05-22 | 2009-11-25 | 北京飞天诚信科技有限公司 | 一种确保操作环境安全的方法及系统 |
| CN101917438A (zh) * | 2010-08-23 | 2010-12-15 | 浪潮(北京)电子信息产业有限公司 | 在网络通信系统中访问控制方法和系统 |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
| CN102420692A (zh) * | 2011-12-28 | 2012-04-18 | 广州杰赛科技股份有限公司 | 一种基于云计算的客户终端USBKey安全认证方法及其系统 |
| CN103607450A (zh) * | 2013-11-20 | 2014-02-26 | 浪潮电子信息产业股份有限公司 | 一种存储系统访问控制方法 |
| CN103905466A (zh) * | 2014-04-22 | 2014-07-02 | 郭伟 | 一种存储系统数据访问控制系统及其方法 |
| CN104133776A (zh) * | 2014-07-14 | 2014-11-05 | 华为技术有限公司 | 存储阵列自动化配置方法、装置及存储系统 |
-
2017
- 2017-04-19 CN CN201710259083.XA patent/CN107180172A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050216767A1 (en) * | 2004-03-29 | 2005-09-29 | Yoshio Mitsuoka | Storage device |
| US20090049535A1 (en) * | 2007-03-23 | 2009-02-19 | Dean Kalman | Controlled discovery of san-attached scsi devices and access control via login authentication |
| CN101588352A (zh) * | 2008-05-22 | 2009-11-25 | 北京飞天诚信科技有限公司 | 一种确保操作环境安全的方法及系统 |
| CN101917438A (zh) * | 2010-08-23 | 2010-12-15 | 浪潮(北京)电子信息产业有限公司 | 在网络通信系统中访问控制方法和系统 |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
| CN102420692A (zh) * | 2011-12-28 | 2012-04-18 | 广州杰赛科技股份有限公司 | 一种基于云计算的客户终端USBKey安全认证方法及其系统 |
| CN103607450A (zh) * | 2013-11-20 | 2014-02-26 | 浪潮电子信息产业股份有限公司 | 一种存储系统访问控制方法 |
| CN103905466A (zh) * | 2014-04-22 | 2014-07-02 | 郭伟 | 一种存储系统数据访问控制系统及其方法 |
| CN104133776A (zh) * | 2014-07-14 | 2014-11-05 | 华为技术有限公司 | 存储阵列自动化配置方法、装置及存储系统 |
Non-Patent Citations (2)
| Title |
|---|
| 湖北省电力公司信息通信分公司组编: "《电力信息通信实用技术 电力信息部分》", 31 October 2013, 中国电力出版社 * |
| 赵安新 等: "《电子商务安全》", 31 October 2016, 北京理工大学出版社 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924140A (zh) * | 2018-07-10 | 2018-11-30 | 广东电网有限责任公司 | 电网认证通信装置及系统 |
| CN109672526A (zh) * | 2018-12-17 | 2019-04-23 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
| CN109672526B (zh) * | 2018-12-17 | 2021-11-09 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
| CN111625804A (zh) * | 2020-05-22 | 2020-09-04 | 浙江大华技术股份有限公司 | 一种登录方法及设备 |
| CN111625804B (zh) * | 2020-05-22 | 2023-08-11 | 浙江大华技术股份有限公司 | 一种登录方法及设备 |
| CN112229438A (zh) * | 2020-08-31 | 2021-01-15 | 深圳技术大学 | 一种自然生态可信监测系统及方法 |
| CN112600813A (zh) * | 2020-12-08 | 2021-04-02 | 武汉卓尔信息科技有限公司 | 一种基于ukey的多应用统一认证方法 |
| CN113872989A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
| CN113872989B (zh) * | 2021-10-19 | 2023-12-05 | 南方电网数字平台科技(广东)有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107180172A (zh) | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 | |
| CN101515932B (zh) | 一种安全的Web service访问方法和系统 | |
| US10136313B2 (en) | Method and device for control of a lock mechanism using a mobile terminal | |
| CN104917727B (zh) | 一种帐户鉴权的方法、系统及装置 | |
| CN105516163B (zh) | 一种登录方法及终端设备及通信系统 | |
| CN101163000B (zh) | 一种二次认证方法及系统 | |
| CA2914426C (en) | Method for authenticating a user, corresponding server, communications terminal and programs | |
| CN111783068B (zh) | 设备认证方法、系统、电子设备及存储介质 | |
| US8474014B2 (en) | Methods for the secure use of one-time passwords | |
| CN103874069B (zh) | 一种无线终端mac认证装置和方法 | |
| CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| JP2005339093A (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| JP2010525448A5 (zh) | ||
| EP2359576A2 (en) | Domain based authentication scheme | |
| US20070283143A1 (en) | System and method for certificate-based client registration via a document processing device | |
| CN103200159B (zh) | 一种网络访问方法和设备 | |
| CN104283886A (zh) | 一种基于智能终端本地认证的web安全访问的实现方法 | |
| CN103856332A (zh) | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 | |
| CN100512107C (zh) | 一种安全认证方法 | |
| CN101262342A (zh) | 分布式授权与验证方法、装置及系统 | |
| CA2451313A1 (en) | Systems and methods for controlling access to a public data network from a visited access provider | |
| CN107872445A (zh) | 接入认证方法、设备和认证系统 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| JP5391551B2 (ja) | 認証システム、サーバ装置および認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170919 |