CN109842626A - 分配安全区域访问凭证的方法和装置 - Google Patents
分配安全区域访问凭证的方法和装置 Download PDFInfo
- Publication number
- CN109842626A CN109842626A CN201910115388.2A CN201910115388A CN109842626A CN 109842626 A CN109842626 A CN 109842626A CN 201910115388 A CN201910115388 A CN 201910115388A CN 109842626 A CN109842626 A CN 109842626A
- Authority
- CN
- China
- Prior art keywords
- safety zone
- equipment
- fingerprint
- access credentials
- zone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 238000012795 verification Methods 0.000 claims abstract description 88
- 230000008569 process Effects 0.000 claims abstract description 62
- 230000000977 initiatory effect Effects 0.000 claims abstract description 5
- 238000010586 diagram Methods 0.000 description 10
- 238000012423 maintenance Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 3
- 230000003139 buffering effect Effects 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法和装置。该方法包括:在第一认证服务器处获取该第一安全区域中的第一计算设备的设备指纹;对设备指纹进行第一验证,从而得到第一验证结果,其中对设备指纹进行第一验证包括在第一验证的第一进程启动时,生成第一进程的第一验证进程指纹;在第一验证结果为通过的情况下,通过用所述网络的第二安全区域中的第二认证服务器的公钥对设备指纹、第一验证进程指纹和第一验证结果的组合进行加密来生成所述第一安全区域访问凭证;以及将第一安全区域访问凭证分配给第一计算设备。本公开还涉及一种分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法和装置。
Description
技术领域
本公开涉及跨网络的安全区域进行登录的技术,更具体地涉及与跨网络的安全区域进行登录有关的用于分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法和装置,以及分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法和装置。
背景技术
在传统的网络(例如,各种局域网)中,为了安全管理的需要,经常会对网络进行安全区域的划分。通常,将具有相同安全等级和/或相同安全需求的计算机划入同一安全区域内,并在各安全区域的边界处通过区域边界设备(例如,堡垒机、跳板机、专门的管理平台或WEB服务器)来进行访问控制。例如,出于商业秘密的考虑,各企业的企业网络(诸如,企业内网)往往会按照安全等级被划分成多个不同的安全区域。例如,在简单划分的情况下,企业网络可被划分为办公网和运维网两个安全区域,又如在复杂划分的情况下,企业网络还可按照部门的职能被划分多个安全区域。在这些情况下,任何两个不同的安全区域之间均仅通过处于相应的两个安全区域之间的边界处的区域边界设备来实现连通,因此当用户(例如,企业员工)需要利用其处于网络(例如,企业网络)的第一安全区域的第一计算设备登录到处于具有更高安全等级的第二安全区域的第二计算设备进行作业时,通常需要先登录到区域边界设备,并且在认证通过之后才能经由该跳板机之类的设备登录到处于该第二安全区域的计算设备来进行期望作业。
发明内容
针对以上技术问题以及其他潜在的技术问题,本公开的实施例提供了分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法和装置,以及分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法和装置,以使得在跨安全区域进行登录的过程中,不需要利用密码或密钥来进行维护,而且不会增加网络被攻击的风险。
具体而言,本公开的第一方面提供了一种分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法,所述方法包括:在所述第一安全区域中的第一认证服务器处获取所述第一安全区域中的第一计算设备的设备指纹;对所述设备指纹进行第一验证,从而得到第一验证结果,其中对所述设备指纹进行第一验证包括在所述第一验证的第一进程启动时,生成所述第一进程的第一验证进程指纹;在所述第一验证结果为通过的情况下,通过用所述网络的第二安全区域中的第二认证服务器的公钥对所述设备指纹、所述第一验证进程指纹和所述第一验证结果的组合进行加密来生成所述第一安全区域访问凭证;以及将所述第一安全区域访问凭证分配给所述第一计算设备。
本公开的第二方面提供了一种用于分配用于访问网络的第一安全区域的第一安全区域访问凭证的装置,包括:处理器;存储器,所述存储器耦合至所述处理器并且存储有指令,当所述指令执行时使得所述处理器执行以下操作:获取所述第一安全区域中的第一计算设备的设备指纹;对所述设备指纹进行第一验证,从而得到第一验证结果,其中对所述设备指纹进行第一验证包括在所述第一验证的第一进程启动时,生成所述第一进程的第一验证进程指纹;在所述第一验证结果为通过的情况下,通过用所述网络的第二安全区域中的第二认证服务器的公钥对所述设备指纹、所述第一验证进程指纹和所述第一验证结果的组合进行加密来生成所述第一安全区域访问凭证;以及将所述第一安全区域访问凭证分配给所述第一计算设备。
本公开的第三方面提供了一种分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法,所述方法包括:在所述第二安全区域中的第二认证服务器处从区域边界设备获取为所述网络的第一安全区域中的第一计算设备分配的第一安全区域访问凭证,其中所述区域边界设备位于所述第一安全区域和所述第二安全区域之间;利用所述第二认证服务器的私钥对所述第一安全区域访问凭证进行解密,从而得到经解密的第一安全区域访问凭证;对所述经解密的第一安全区域访问凭证进行第二验证;在所述第二验证结果为通过的情况下,向所述区域边界设备分配所述第二安全区域访问凭证。
本公开的第四方面提供了一种分配用于访问网络的第二安全区域的第二安全区域访问凭证的装置,包括:处理器;存储器,所述存储器耦合至所述处理器并且存储有指令,当所述指令执行时使得所述处理器执行以下操作:从所述区域边界设备获取为所述网络的第一安全区域中的第一计算设备分配的第一安全区域访问凭证,其中所述区域边界设备位于所述第一安全区域和所述第二安全区域之间;利用所述装置的私钥对所述第一安全区域访问凭证进行解密,从而得到经解密的第一安全区域访问凭证;对所述经解密的第一安全区域访问凭证进行第二验证;在所述第二验证结果为通过的情况下,向所述区域边界设备分配所述第二安全区域访问凭证。
本公开的第五方面提供了一种具有存储在其上的计算机可执行指令,所述计算机可执行指令在设备中运行时使得所述设备执行根据本公开的第一方面或第三方面所述的方法。
在本公开的实施例中,通过在分配与各安全区域相关联的安全区域访问凭证时利用公私钥以及进程指纹来建立这些安全区域中的认证服务器之间的信任关系,使得在跨安全区域进行登录的过程中,可以实现以下优点:摆脱了密码和密钥之类维护成本较高的登录方式,从而更加用户友好;可保持或缩小网络的攻击面,从而提高了网络的安全性;确保了跨安全边界认证的正确性;确保了认证服务的可用性;各个安全区域的安全认证服务相互独立,从而降低了耦合度和横向移动攻击的风险。
附图说明
参考附图示出并阐明本公开的各实施例。这些附图仅用于阐明基本原理,并示出对于理解该基本原理所必要的方面,而不旨在限制本公开所要求保护的范围。在附图中,相同的附图标记表示相似的特征。
图1例示了根据现有技术的跨安全区域进行登录的方法的第一方案的示意图。
图2例示了根据现有技术的跨安全区域进行登录的方法的第二方案的示意图。
图3例示了根据现有技术的跨安全区域进行登录的方法的第三方案的示意图。
图4例示了根据现有技术的跨安全区域进行登录的方法的第四方案的示意图。
图5例示了根据本公开的实施例的跨安全区域进行登录的方法500的示意图。
图6例示了根据本公开的实施例的为网络的第一安全区域中的第一计算设备分配第一安全区域访问凭证的方法600的流程图。
图7例示了根据本公开的实施例的由第二安全区域中的第二认证服务器执行的为区域边界设备分配与第二安全区域相关联的第二安全区域访问凭证的方法700的流程图。
图8例示了用于实施本发明的实施例的可用于实现方法500、600或700的装置800的示意性框图。
具体实施方式
下面将结合附图更详细地描述本公开的各个示例性实施例。虽然附图中流程图和示意图显示了本公开的一些实施例,然而应当理解的,本公开可以通过各种形式来实现,而且不应被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于说明性作用,并非用于限制本公开的保护范围。
值得注意的是,在本公开中多处提到了“第一安全区域”、“第二安全区域”、“第一安全区域访问凭证”、“第二安全区域访问凭证”、“第一认证服务器”、“第二认证服务器”、“第一计算设备”、“第二计算设备”等术语,其中的“第一”和“第二”实际上用于对不同的安全区域、安全区域访问凭证、认证服务器、计算设备等进行区分,而并非用来限制这些安全区域、安全区域访问凭证、认证服务器或计算设备等的编号或次序等。例如,“第一安全区域”可指示网络的任何安全区域,第二安全区域也可指示网络的不同于“第一安全区域”的任何安全区域。基于以上解释,本领域技术人员也应当可以理解本公开中其他以“第一”和“第二”进行限定的术语的含义。
目前,通常采用以下四种方案来实现跨网络的安全区域进行登录。以下将以网络的第一安全区域(例如,指示办公网的安全区域)中的第一计算设备(例如,个人计算机PC)登录该网络的第二安全区域(例如,指示比办公网安全等级更高的运维网的安全区域)中的第二计算设备(即,目标机器)的情况为例,对此四种方案进行简要的描述。
方案1:
如图1所示,方案1主要包括以下步骤:步骤101,用户(例如,企业员工)通过第一计算设备使用第一密码(或密钥)登录到处于第一安全区域和第一安全区域之间的边界处的区域边界设备(例如,跳板机),该区域边界设备用于连通第一安全区域和第二安全区域;步骤102,跳板机对该第一密码进行认证,在该认证通过之后,由区域边界设备使用用于登录目标机器的第二密码(或密钥)登录第二计算设备。
方案1实现起来较为简单,但是其存在如下缺点:仅可用于较小的网络和小企业,而当网络较复杂并且人员较多时,密钥或密码的管理成本非常高;另外,密钥或密码可能会被盗,因此存在安全风险;此外,该方案用户不友好。
方案2:
如图2所示,方案2主要包括以下步骤:步骤201,用户(例如,企业员工)的第一计算设备在接入第一安全区域时,向第一安全区域中的第一认证服务器申请与该第一安全区域相关联的第一安全区域访问凭证;步骤202,响应于该申请,第一认证服务器为第一计算设备分配第一安全区域访问凭证,第一计算设备可通过对由业务系统(例如,社交网站等)指定的参数(例如,用户的社交网站账号、第一计算设备的设备标识、第一设备的启动时间等等)进行散列或SHA1之类的算法来生成第一安全区域访问凭证并对其进行分配;步骤203,用户的第一计算设备使用第一安全区域访问凭证登录到处于第一安全区域和第一安全区域之间的边界处的区域边界设备(例如,跳板机),该区域边界设备用于连通第一安全区域和第二安全区域;步骤204,区域边界设备在接收到该第一安全区域访问凭证后将该第一安全区域访问凭证转发到第一认证服务器;步骤205,第一认证服务器对第一安全区域访问凭证进行验证,并将验证结果返回给区域边界设备;步骤206,区域边界设备可根据该验证结果来判断用户是否合法,在验证结果为验证为通过的情况下,通过区域边界设备使用用于登录第二计算设备的密码(或密钥)登录到第二计算设备。
方案2虽然相比于方案1要更用户友好一些,但是其存在以下缺点:由于用于登录第二安全区域中的计算设备的密码和密钥管理的成本很高,因此方案2也仅可用于较小的网络;方案2极其不安全,因为易遭受网际协议地址(IP)欺骗、地址解析协议(ARP)欺骗或域名系统(DNS)欺骗;由于跳板机之类的区域边界设备的认证服务部署在安全等级更低的区域,因此风险很大。
方案3:
如图3所示,方案3主要包括以下步骤:步骤301,用户(例如,企业员工)的第一计算设备在接入第一安全区域时,向第一安全区域中的第一认证服务器申请与该第一安全区域相关联的第一安全区域访问凭证;步骤302,响应于该申请,第一认证服务器为第一计算设备分配第一安全区域访问凭证,第一认证服务器可通过对由业务系统(例如,社交网站等)指定的参数(例如,用户的社交网站账号、第一计算设备的设备标识、第一设备的启动时间等等)进行散列或SHA1之类的算法来生成第一安全区域访问凭证,并将其分配给第一计算设备;步骤303,用户的第一计算设备在需要登录到第二安全区域中的第二计算设备时,向处于第一安全区域和第一安全区域之间的边界处的区域边界设备(例如,跳板机)发送登录请求,该登录请求可包括第一安全区域访问凭证;步骤304,区域边界设备在接收到该登录后,将其转发到第二安全区域中的第二认证服务器;步骤305,第二认证服务器将接收到的第一安全区域访问凭证发送到第一认证服务器进行验证;步骤306,第一认证服务器对接收到的第一安全区域访问凭证进行第一验证,并将第一验证结果返回给第二认证服务器;步骤307,在第一验证结果为验证通过的情况下,第二认证服务器根据该第一验证结果以及用户的权限产生该用户针对该第二安全区域的第二安全区域访问凭证,并将该第二安全区域访问凭证发送回区域边界设备;步骤308,用户使用第二安全区域访问凭证从区域边界设备登录到第二计算设备;步骤309,第二计算设备接收到第二安全区域访问凭证后,将第二安全区域访问凭证发送给第二认证服务器;步骤310,第二认证服务器对第二安全区域访问凭证进行验证,并且第二计算设备可根据该验证的验证结果判断该用户是否合法,在该用户合法的情况下允许该用户登录。
方案3具有用户友好以及适合于大型网络而无需维护密钥和密码的优点,但是其还存在以下缺点:在方案3中,由于网络抖动会可能会导致区域边界设备无法登录,因此方案3并不可靠;由于由第二安全区域的认证服务器访问第一安全区域的认证服务需要配置策略,因此方案3扩大了网络的攻击面;如果第一安全区域的认证服务是以域名方式访问的,则还存在DNS欺骗风险。
方案4:
在方案4中,需在第二安全区域中配置第三认证服务器,并且该第三认证服务器是第一安全区域中的第一认证服务器的备份,而且需使该第三认证服务器与第一认证服务器保持实时数据同步。并且,如图4所示,方案4主要包括以下步骤:步骤401,用户(例如,企业员工)的第一计算设备在接入第一安全区域时,向第一安全区域中的第一认证服务器申请与该第一安全区域相关联的第一安全区域访问凭证;步骤402,响应于该申请,第一认证服务器为第一计算设备分配第一安全区域访问凭证,第一认证服务器可通过对由业务系统(例如,社交网站等)指定的参数(例如,用户的社交网站账号、第一计算设备的设备标识、第一设备的启动时间等等)进行散列或SHA1之类的算法来生成第一安全区域访问凭证,并将其分配给第一计算设备;步骤403,用户的第一计算设备在需要登录到第二安全区域中的第二计算设备时,向处于第一安全区域和第一安全区域之间的边界处的区域边界设备(例如,跳板机)发送登录请求,该登录请求可包括第一安全区域访问凭证;步骤404,区域边界设备在接收到该登录后,将其转发到第二安全区域中的第二认证服务器;步骤405,第二认证服务器将第一安全区域访问凭证发送到第三认证服务器进行验证;步骤406,第三认证服务器对接收到的第一安全区域访问凭证进行第二验证,并将第二验证结果发送给第二认证服务器;步骤407,在第二验证结果为验证通过的情况下,第二认证服务器根据该第二验证结果以及员工权限,产生该用户针对第二安全区域的第二安全区域访问凭证,并将该第二安全区域访问凭证发送给区域边界设备;步骤408,用户使用第二安全区域访问凭证从区域边界设备登录到第二计算设备;步骤409,第二计算设备接收到第二安全区域访问凭证后,将第二安全区域访问凭证发送给第二认证服务器;步骤410,第二认证服务器对第二安全区域访问凭证进行验证,并且第二计算设备可根据该验证的验证结果判断该用户是否合法,在该用户合法的情况下允许该用户登录。
与方案3类似,方案4同样具有用户友好以及适合于大型网络而无需维护密钥和密码的优点,但是方案4还存在以下缺点:由于网络抖动可能会导致区域边界设备无法登录,因此该方案并不可靠;由于第一安全区域中的第一认证服务器需要与第二安全区域中的第三认证服务器进行跨安全区域的同步,并且需要开通网络策略,因此扩大了网络的攻击面;存在数据被篡改的风险。
因此,有必要提供一种跨安全区域进行登录的方法和装置,使得可以很好地克服以上提到的各个缺点。
图5例示了根据本公开的实施例的跨安全区域进行登录的方法500的示意图。在图5中,虽然以网络的两个安全区域为例对该方法进行了描述,但是本领域技术人员根据该方法的启示,应当可以料想到如何将其应用于具有三个或更多个安全区域的实例中。
在步骤501中,第一安全区域中的第一计算设备向第一安全区域中的第一认证服务器发送对与第一安全区域相关联(即,用于访问第一安全区域)的第一安全区域访问凭证的申请请求,该申请请求包括第一计算设备的设备指纹。在一种实现中,可预先为第一计算设备配置访问权限,以限定第一计算设备可使用第一安全区域访问凭证来访问的第一安全区域中的哪些设备。第一计算设备的设备指纹可包括以下中的一者或多者:第一计算设备的媒体访问控制(MAC)地址、第一计算设备的网际协议(IP)地址、针对用户登录第一计算设备的第二进程的标识、第一计算设备的用户的用户名、用户用来登录所述第一计算设备的密码或密钥。
在步骤502中,第一认证服务器可响应于该申请请求,为第一安全区域中的第一计算设备分配与该第一安全区域相关联的第一安全区域访问凭证。以下将结合图6对该步骤进行更详细的描述。
在步骤503中,第一计算设备向区域边界设备发送到第二计算设备的登录请求。该登录请求可包括第一安全区域访问凭证。该登录请求还可进一步包括第一计算设备的设备指纹以及此后将结合图6详述的第一验证进程指纹发送给区域边界设备。在本公开的实施例中,区域边界设备是处于第一安全区域和第二安全区域的边界处的用于连通第一安全区域和第二安全区域的设备,诸如为堡垒机、跳板机、专门的管理平台或WEB服务器等。
在步骤504中,区域边界设备将该登录请求转发给第二安全区域中的第二认证服务器。
在步骤505中,响应于该登录请求,第二认证服务器为区域边界设备分配与第二安全区域相关联(即,用于访问第二安全区域)的第二安全区域访问凭证。在一种实现中,也可预先为区域边界设备配置访问权限,以限定区域边界设备可使用第二安全区域访问凭证来访问的第二安全区域中的哪些设备。以下将结合图7对该步骤进行更详细的描述。
在步骤506中,区域边界设备使用第二安全区域访问凭证登录到第二计算设备。
在步骤507中,第二计算设备在接收到第二安全区域访问凭证以后,将接收到的第二安全区域访问凭证发送给第二认证服务器。
在步骤508中,第二认证服务器对接收到的第二安全区域访问凭证进行验证,并将通该验证产生的验证结果发送给第二计算设备。在该验证结果为通过的情况下,第二计算设备将允许第一计算设备登录第二计算设备。
图6例示了根据本公开的实施例的分配用于访问网络(例如,企业内网)的第一安全区域的第一安全区域访问凭证的方法600的流程图。在本公开的实施例中,以上结合图5描述的步骤502可根据该方法来实现。
在步骤601中,在第一安全区域中的第一认证服务器处获取该第一安全区域中的第一计算设备的设备指纹。在本公开的实施例中,当第一认证服务器接收到来自第一计算设备的对与第一安全区域相关联(即,用于访问第一安全区域中的设备)的第一安全区域访问凭证的申请请求后,就能从该申请请求中获取该第一计算设备的设备指纹。在一种实现中,设备指纹可取决于计算设备、登录计算设备的用户以及用户会话。例如,第一计算设备的设备指纹可包括以下中的一者或多者:第一计算设备的媒体访问控制(MAC)地址、第一计算设备的网际协议(IP)地址、针对用户登录第一计算设备的第二进程的标识、第一计算设备的用户的用户名、用户用来登录所述第一计算设备的密码或密钥或第一计算设备的其他标识。在本公开的示例中,第一计算设备的媒体访问控制(MAC)地址和第一计算设备的网际协议(IP)地址可用于唯一地标识第一计算设备,针对用户登录第一计算设备的第二进程(此后被称为用户会话)的标识可用于防止用户登录第一计算设备的汇报被劫持,并且该标识可定时更新,并且每当该标识被更新时,第一计算设备就会重新向第一认证服务器发送对第一安全区域访问凭证的申请请求(即,方法500中的步骤501)。
在步骤602中,对该设备指纹进行第一验证,从而得到第一验证结果,其中对该设备指纹进行第一验证包括在第一验证的第一进程启动时,生成第一进程的第一验证进程指纹。在一种实现中,与第一认证服务器相关联的存储设备中会存储第一安全区域中的所有计算设备的设备指纹。因此,对设备指纹进行验证还可包括将所获取的设备指纹与存储在与第一认证服务器设备相关联的存储设备中的第一计算设备的设备指纹进行比较,并且在两者相同的情况下,表示该第一验证结果为通过。在本发明的实施例中,第一验证进程指纹可包括以下中的一者或多者:第一认证服务器的媒体访问控制地址、第一认证服务器的网际协议地址、第一进程的第一进程标识符、第一进程的主线程的主线程标识符、第一进程的启动时间、或与第一验证进程相关联的其他标识。其中,第一认证服务器的媒体访问控制地址和第一认证服务器的网际协议地址可用于唯一地标识第一认证服务器,第一进程标识符、主线程标识符和启动时间可用于保证第一进程的唯一性。此外,在一种实现中,网络的第二安全区域中的第二认证服务器可预先获取该第一验证进程指纹。例如,第二认证服务器可向认证管理平台发送获取第一验证进程指纹的请求,认证管理平台在接收到请求以后会向管理员(例如,运维人员)发出获取第一验证进程指纹的提示。管理员在收到提示以后就会从第一认证服务器获取该第一验证进程指纹并将其上传到第二认证服务器处。
在步骤603中,在第一验证结果为通过的情况下,通过用网络的第二安全区域中的第二认证服务器的公钥对该设备指纹、第一验证进程指纹和第一验证结果的组合进行加密来生成第一安全区域访问凭证。在一种实现中,第二安全区域与第一安全区域通过区域边界设备相互连通,其中第二安全区域的安全等级比第一安全区域的安全等级高。在本公开的实施例中,第二认证服务器的公钥可例如由网络的管理员(例如,运维人员)通过认证管理平台(图中未示出)来生成,并且管理员在生成该公钥的同时还会生成相应的私钥。并且,该公钥可被转发给该第二认证服务器,该公钥可被分发给第一安全区域中的各个第一认证服务器。
在步骤604中,将第一安全区域访问凭证分配给所述第一计算设备。
该方法600还可包括还包括将第一验证结果发送给第一计算设备。例如,可在将第一安全区域访问凭证分配给第一计算设备的同时,将第一验证结果发送给第一计算设备。当然,也可在得到第一验证结果之后的任何其他时候将第一验证结果发送给第一计算设备。
图7例示了根据本公开的实施例的分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法700的流程图。在本公开的实施例中,以上结合图5描述的步骤505可根据该方法来实现。
在步骤701中,在第二安全区域中的第二认证服务器处从区域边界设备获取为网络的第一安全区域中的第一计算设备分配的第一安全区域访问凭证,其中该区域边界设备位于所述第一安全区域和所述第二安全区域之间。例如,当第二认证服务器接收到第二计算设备的登录请求时,就能够从该登录请求中获取为网络的第一安全区域中的第一计算设备分配的第一安全区域访问凭证。在本公开的实施例中,区域边界设备(例如,堡垒机、跳板机、专门的管理平台或WEB服务器)用于将网络的第一安全区域和所述第二安全区域相互连通,第二安全区域的安全等级比第一安全区域的安全等级高。
在步骤702中,利用第二认证服务器的私钥对第一安全区域访问凭证进行解密,从而得到经解密的第一安全区域访问凭证。
方法700还可包括:从区域边界设备获取第一安全区域中的第一计算设备的设备指纹以及第一验证结果,其中第一验证结果是对设备指纹进行第一验证所得到的验证结果。
在步骤703中,对经解密的第一安全区域访问凭证进行第二验证。在一种实现中,对所述经解密的第一安全区域访问凭证进行第二验证可包括:将经解密的第一安全区域访问凭证中包括的设备指纹、第一验证进程指纹和第一验证结果与从区域边界设备直接获得的设备指纹、第一验证结果以及第一验证进程指纹分别进行比较,其中,在所有比较的结果均为相同的情况下,所述第二验证结果为通过。
因此该方法700还可包括第二认证服务器获取该第一验证进程指纹,例如以上结合图6提到了该获取的示例过程。
在步骤704中,在第二验证结果为通过的情况下,向所述区域边界设备分配第二安全区域访问凭证。在本公开的实施例中,第二安全区域访问凭证可按与以上提到的方案3-4中类似的方法来生成。
在本公开的实施例中,通过以上结合图6-7所描述的方法,使得可以在第一安全区域和第二安全区域之间建立一种信任机制,但又不会像之前提到的方案3-4那样增加网络的攻击面。
图8例示了用于实施本发明的实施例的可用于实现方法500、600或700的装置800的示意性框图。
装置800可包括处理器810和存储器820,存储器820耦合至处理器810并且存储有指令,当这些指令执行时使得处理器810执行上文描述的方法500-700中的一个或多个动作或步骤。
具体地,图5-7中的方法的流程可代表机器可读指令,该机器可读指令包括由处理器执行的程序。该程序可被实体化在被存储于有形计算机可读介质的软件中,该有形计算机可读介质如CD-ROM、软盘、硬盘、数字通用光盘(DVD)、蓝光光盘或其它形式的存储器。替代的,图5-7中的示例方法中的一些步骤或所有步骤可利用专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程逻辑器件(EPLD)、离散逻辑、硬件、固件等的任意组合被实现。另外,虽然图5-7所示的流程图描述了该数据处理方法,但可对该处理方法中的步骤进行修改、删除或合并。
如上所述,可利用编码指令(如计算机可读指令)来实现图5-7的示例过程,该编程指令存储于有形计算机可读介质上,如硬盘、闪存、只读存储器(ROM)、光盘(CD)、数字通用光盘(DVD)、高速缓存器、随机访问存储器(RAM)和/或任何其他存储介质,在该存储介质上信息可以存储任意时间(例如,长时间,永久地,短暂的情况,临时缓冲,和/或信息的缓存)。如在此所用的,该术语有形计算机可读介质被明确定义为包括任意类型的计算机可读存储的信息。附加地或替代地,可利用编码指令(如计算机可读指令)实现图5-7的示例过程,该编码指令存储于非暂时性计算机可读介质,如硬盘,闪存,只读存储器,光盘,数字通用光盘,高速缓存器,随机访问存储器和/或任何其他存储介质,在该存储介质信息可以存储任意时间(例如,长时间,永久地,短暂的情况,临时缓冲,和/或信息的缓存)。可以理解的,该计算机可读指令还可以存储在网络服务器中、云端平台上,以便于用户使用。
另外,尽管操作以特定顺序被描绘,但这并不应该理解为要求此类操作以示出的特定顺序或以相继顺序完成,或者执行所有图示的操作以获取期望结果。在某些情况下,多任务或并行处理会是有益的。同样地,尽管上述讨论包含了某些特定的实施细节,但这并不应解释为限制任何公开或权利要求的范围,而应解释为对可以针对特定公开的特定实施例的描述。本说明书中在分开的实施例的上下文中描述的某些特征也可以整合实施在单个实施例中。反之,在单个实施例的上下文中描述的各种特征也可以分离地在多个实施例或在任意合适的子组合中实施。
因此,虽然参照特定的示例来描述了本公开,其中这些特定的示例仅仅旨在是示例性的,而不是对本公开进行限制,但对于本领域普通技术人员来说显而易见的是,在不脱离本公开的精神和保护范围的基础上,可以对所公开的实施例进行改变、增加或者删除。
Claims (19)
1.一种分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法,所述方法包括:
在所述第一安全区域中的第一认证服务器处获取所述第一安全区域中的第一计算设备的设备指纹;
对所述设备指纹进行第一验证,从而得到第一验证结果,其中对所述设备指纹进行第一验证包括在所述第一验证的第一进程启动时,生成所述第一进程的第一验证进程指纹;
在所述第一验证结果为通过的情况下,通过用所述网络的第二安全区域中的第二认证服务器的公钥对所述设备指纹、所述第一验证进程指纹和所述第一验证结果的组合进行加密来生成所述第一安全区域访问凭证;以及
将所述第一安全区域访问凭证分配给所述第一计算设备。
2.根据权利要求1所述的方法,其特征在于,所述第二安全区域与所述第一安全区域通过区域边界设备相互连通,其中所述第二安全区域的安全等级比所述第一安全区域的安全等级高。
3.根据权利要求1所述的方法,其特征在于,所述设备指纹包括以下中的一者或多者:所述第一计算设备的媒体访问控制地址、所述第一计算设备的网际协议地址、针对用户登录所述第一计算设备的第二进程的标识、所述第一计算设备的用户的用户名、用户用来登录所述第一计算设备的密码或密钥。
4.根据权利要求1所述的方法,其特征在于,所述第一验证进程指纹包括以下中的一者或多者:所述第一认证服务器的媒体访问控制地址、所述第一认证服务器的网际协议地址、所述第一进程的第一进程标识符、所述第一进程的主线程的主线程标识符、所述第一进程的启动时间。
5.根据权利要求1所述的方法,其特征在于,还包括:
将所述第一验证结果发送给所述第一计算设备。
6.一种分配用于访问网络的第一安全区域的第一安全区域访问凭证的装置,包括:
处理器;
存储器,所述存储器耦合至所述处理器并且存储有指令,当所述指令执行时使得所述处理器执行以下操作:
获取所述第一安全区域中的第一计算设备的设备指纹;
对所述设备指纹进行第一验证,从而得到第一验证结果,其中对所述设备指纹进行第一验证包括在所述第一验证的第一进程启动时,生成所述第一进程的第一验证进程指纹;
在所述第一验证结果为通过的情况下,通过用所述网络的第二安全区域中的第二认证服务器的公钥对所述设备指纹、所述第一验证进程指纹和所述第一验证结果的组合进行加密来生成所述第一安全区域访问凭证;以及
将所述第一安全区域访问凭证分配给所述第一计算设备。
7.根据权利要求6所述的装置,其特征在于,所述第二安全区域与所述第一安全区域通过区域边界设备相互连通,其中所述第二安全区域的安全等级比所述第一安全区域的安全等级高。
8.根据权利要求6所述的装置,其特征在于,所述设备指纹包括以下中的一者或多者:所述第一计算设备的媒体访问控制地址、所述第一计算设备的网际协议地址、针对用户登录所述第一计算设备的第二进程的标识、所述第一计算设备的用户的用户名、用户用来登录所述第一计算设备的密码或密钥。
9.根据权利要求6所述的装置,其特征在于,所述第一验证进程指纹包括以下中的一者或多者:所述装置的媒体访问控制地址、所述装置的网际协议地址、所述第一进程的第一进程标识符、所述第一进程的主线程的主线程标识符、所述第一进程的启动时间。
10.根据权利要求6所述的装置,其特征在于,当所述指令执行时还使得所述处理器执行以下操作:
将所述第一验证结果发送给所述第一计算设备。
11.一种分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法,所述方法包括:
在所述第二安全区域中的第二认证服务器处从区域边界设备获取为所述网络的第一安全区域中的第一计算设备分配的第一安全区域访问凭证,其中所述区域边界设备位于所述第一安全区域和所述第二安全区域之间;
利用所述第二认证服务器的私钥对所述第一安全区域访问凭证进行解密,从而得到经解密的第一安全区域访问凭证;
对所述经解密的第一安全区域访问凭证进行第二验证;
在所述第二验证结果为通过的情况下,向所述区域边界设备分配所述第二安全区域访问凭证。
12.根据权利要求11所述的方法,其特征在于,还包括:
从所述区域边界设备获取所述第一安全区域中的第一计算设备的设备指纹以及第一验证结果,其中所述第一验证结果是对所述设备指纹进行第一验证所得到的验证结果;以及
获取所述第一验证的第一验证进程指纹。
13.根据权利要求12所述的方法,其特征在于,对所述经解密的第一安全区域访问凭证进行第二验证包括:
将所述经解密的第一安全区域访问凭证中包括的设备指纹、第一验证进程指纹和第一验证结果与从所述区域边界设备获取的设备指纹、第一验证结果以及所述第一验证进程指纹分别进行比较,其中,在所有比较的结果均为相同的情况下,所述第二验证结果为通过。
14.根据权利要求11所述的方法,其特征在于,所述区域边界设备用于将所述网络的第一安全区域和所述第二安全区域相互连通,并且其中,所述第二安全区域的安全等级比所述第一安全区域的安全等级高。
15.一种分配用于访问网络的第二安全区域的第二安全区域访问凭证的装置,包括:
处理器;
存储器,所述存储器耦合至所述处理器并且存储有指令,当所述指令执行时使得所述处理器执行以下操作:
从区域边界设备获取为所述网络的第一安全区域中的第一计算设备分配的第一安全区域访问凭证,其中所述区域边界设备位于所述第一安全区域和所述第二安全区域之间;
利用所述装置的私钥对所述第一安全区域访问凭证进行解密,从而得到经解密的第一安全区域访问凭证;
对所述经解密的第一安全区域访问凭证进行第二验证;
在所述第二验证结果为通过的情况下,向所述区域边界设备分配所述第二安全区域访问凭证。
16.根据权利要求15所述的装置,其特征在于,当所述指令执行时还使得所述处理器执行以下操作:
从所述区域边界设备获取所述第一安全区域中的第一计算设备的设备指纹以及第一验证结果,其中所述第一验证结果是对所述设备指纹进行第一验证所得到的验证结果;以及
获取所述第一验证的第一验证进程指纹。
17.根据权利要求16所述的装置,其特征在于,对所述经解密的第一安全区域访问凭证进行第二验证包括:
将所述经解密的第一安全区域访问凭证中包括的设备指纹、第一验证进程指纹和第一验证结果与从所述区域边界设备获取的设备指纹、第一验证结果以及所述第一验证进程指纹分别进行比较,其中,在所有比较的结果均为相同的情况下,所述第二验证结果为通过。
18.根据权利要求15所述的装置,其特征在于,所述区域边界设备用于将所述网络的第一安全区域和所述第二安全区域相互连通,并且其中,所述第二安全区域的安全等级比所述第一安全区域的安全等级高。
19.一种计算机可读存储介质,其具有存储在其上的计算机可执行指令,所述计算机可执行指令在设备中运行时使得所述设备执行根据权利要求1-5或11-14中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910115388.2A CN109842626B (zh) | 2019-02-14 | 2019-02-14 | 分配安全区域访问凭证的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910115388.2A CN109842626B (zh) | 2019-02-14 | 2019-02-14 | 分配安全区域访问凭证的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109842626A true CN109842626A (zh) | 2019-06-04 |
| CN109842626B CN109842626B (zh) | 2021-07-02 |
Family
ID=66884654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910115388.2A Active CN109842626B (zh) | 2019-02-14 | 2019-02-14 | 分配安全区域访问凭证的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109842626B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110443070A (zh) * | 2019-08-12 | 2019-11-12 | 南京芯驰半导体科技有限公司 | 多主机共享存储系统及数据完整性保护方法 |
| CN111262889A (zh) * | 2020-05-06 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 一种云服务的权限认证方法、装置、设备及介质 |
| CN112532590A (zh) * | 2020-11-06 | 2021-03-19 | 北京冠程科技有限公司 | 软件安全边界系统及方法 |
| CN112738005A (zh) * | 2019-10-14 | 2021-04-30 | 中移(苏州)软件技术有限公司 | 访问处理方法、装置、系统、第一认证服务器及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547341A (zh) * | 2003-12-04 | 2004-11-17 | 上海格尔软件股份有限公司 | 数字证书跨信任域互通方法 |
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN104506480A (zh) * | 2014-06-27 | 2015-04-08 | 深圳市永达电子股份有限公司 | 基于标记与审计结合的跨域访问控制方法及系统 |
| CN105472052A (zh) * | 2014-09-03 | 2016-04-06 | 阿里巴巴集团控股有限公司 | 一种跨域服务器的登录方法和系统 |
| US20160269420A1 (en) * | 2015-03-10 | 2016-09-15 | Electronics And Telecommunications Research Institute | Apparatus for verifying safety of resource, server thereof, and method thereof |
-
2019
- 2019-02-14 CN CN201910115388.2A patent/CN109842626B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547341A (zh) * | 2003-12-04 | 2004-11-17 | 上海格尔软件股份有限公司 | 数字证书跨信任域互通方法 |
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN104506480A (zh) * | 2014-06-27 | 2015-04-08 | 深圳市永达电子股份有限公司 | 基于标记与审计结合的跨域访问控制方法及系统 |
| CN105472052A (zh) * | 2014-09-03 | 2016-04-06 | 阿里巴巴集团控股有限公司 | 一种跨域服务器的登录方法和系统 |
| US20160269420A1 (en) * | 2015-03-10 | 2016-09-15 | Electronics And Telecommunications Research Institute | Apparatus for verifying safety of resource, server thereof, and method thereof |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110443070A (zh) * | 2019-08-12 | 2019-11-12 | 南京芯驰半导体科技有限公司 | 多主机共享存储系统及数据完整性保护方法 |
| CN112738005A (zh) * | 2019-10-14 | 2021-04-30 | 中移(苏州)软件技术有限公司 | 访问处理方法、装置、系统、第一认证服务器及存储介质 |
| CN111262889A (zh) * | 2020-05-06 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 一种云服务的权限认证方法、装置、设备及介质 |
| CN112532590A (zh) * | 2020-11-06 | 2021-03-19 | 北京冠程科技有限公司 | 软件安全边界系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109842626B (zh) | 2021-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11115418B2 (en) | Registration and authorization method device and system | |
| US11468151B2 (en) | System and method for memetic authentication and identification | |
| CN108965299B (zh) | 一种数据访问方法、访问验证设备及数据存储系统 | |
| CN109842626A (zh) | 分配安全区域访问凭证的方法和装置 | |
| CN104980477B (zh) | 云存储环境下的数据访问控制方法和系统 | |
| US9996480B2 (en) | Resilient device authentication system with metadata binding | |
| CN105933315B (zh) | 一种网络服务安全通信方法、装置和系统 | |
| CN107483509A (zh) | 一种身份验证方法、服务器及可读存储介质 | |
| CN108235805A (zh) | 账户统一方法、装置及存储介质 | |
| CN112311530A (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
| CN107025409A (zh) | 一种数据安全存储平台 | |
| US10404472B2 (en) | Systems and methods for enabling trusted communications between entities | |
| TW201140366A (en) | Apparatus and methods for protecting network resources | |
| CN109600366A (zh) | 基于区块链的保护用户数据隐私的方法及装置 | |
| US11405198B2 (en) | System and method for storing and managing keys for signing transactions using key of cluster managed in trusted execution environment | |
| CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
| CN105516110A (zh) | 移动设备安全数据传送方法 | |
| CN110601855B (zh) | 一种根证书管理方法、装置及电子设备、存储介质 | |
| US20110078784A1 (en) | Vpn system and method of controlling operation of same | |
| US11917081B2 (en) | Issuing device and method for issuing and requesting device and method for requesting a digital certificate | |
| EP3552131A1 (en) | Password security | |
| US11716312B1 (en) | Platform for optimizing secure communications | |
| US20120239937A1 (en) | Information processing device, computer program product, and access control system | |
| CN111371588A (zh) | 基于区块链加密的sdn边缘计算网络系统、加密方法及介质 | |
| CN108521424A (zh) | 面向异构终端设备的分布式数据处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240320 Address after: Room 1179, W Zone, 11th Floor, Building 1, No. 158 Shuanglian Road, Qingpu District, Shanghai, 201702 Patentee after: Shanghai Zhongan Information Technology Service Co.,Ltd. Country or region after: China Address before: 518052 Room 201, building A, 1 front Bay Road, Shenzhen Qianhai cooperation zone, Shenzhen, Guangdong Patentee before: ZHONGAN INFORMATION TECHNOLOGY SERVICE Co.,Ltd. Country or region before: China |