CN110417776A - 一种身份认证方法及装置 - Google Patents
一种身份认证方法及装置 Download PDFInfo
- Publication number
- CN110417776A CN110417776A CN201910689919.9A CN201910689919A CN110417776A CN 110417776 A CN110417776 A CN 110417776A CN 201910689919 A CN201910689919 A CN 201910689919A CN 110417776 A CN110417776 A CN 110417776A
- Authority
- CN
- China
- Prior art keywords
- equipment
- identity
- information
- user
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种身份认证方法及装置,方法应用于身份认证系统的服务端,包括根据身份注册请求中的用户身份信息和设备身份信息以及反映设备运行状态的设备完整性信息等进行身份注册,通过身份注册将设备和用户进行绑定,生成认证证书;在有系统接入请求时,通过对用户和设备身份以及设备运行状态信息进行认证,实现多层级的身份认证,进一步依据对身份和设备状态的综合认证情况,制定多层次和多组合的访问控制策略,有效提高了网络系统的安全性,本发明的身份认证方法,基于多因子技术认证用户身份,基于可信计算认证设备身份以及设备完整性,实现了一种零信任的身份认证系统,有效提高了网络系统的安全性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种身份认证方法及装置。
背景技术
随着信息技术的发展,云计算、移动互联网、BYOD(Bring Your Own Device,携带自己的设备办公)等新兴应用和移动办公方式的普及,网络内外部之间的界限变得模糊,现有的以边界为中心的网络安全架构中,假设内部网络可以信任,仅基于用户身份信息进行身份认证,此种方法因为仅确认了用户身份没有对设备的安全性进行认证,一旦受信任用户的身份被恶意用户盗用或冒用,或者用户所使用设备存在安全隐患,将直接影响到内部网络资源的安全,造成信息泄露等损失,存在极大的安全风险问题。
发明内容
为了解决上述技术问题,本发明提供了一种身份认证方法及装置,解决了现有身份认证方法中仅针对用户身份进行身份认证所导致的安全风险较大的问题。
依据本发明的一个方面,提供了一种身份认证方法,应用于身份认证系统的服务端,包括:
接收代理客户端发送的身份注册请求;所述身份注册请求中包括:通过所述代理客户端获取的用户身份信息、设备身份信息和设备完整性信息;
根据所述用户身份信息和所述设备身份信息,生成认证证书,并发送给所述代理客户端;
接收所述代理客户端在获取到所述认证证书后发送的第一认证信息;
其中,所述第一认证信息包括:所述设备身份信息、所述用户身份信息、所述认证证书以及所述设备完整性信息;
根据所述用户身份信息、所述设备身份信息和所述认证证书,认证身份信息,并生成第一认证结果;以及根据所述设备完整性信息,认证设备的可信状态,并生成第二认证结果。
可选的,根据所述用户身份信息和所述设备身份信息,生成认证证书之前,还包括:
根据身份注册请求,验证用户身份和设备身份;
在用户身份和设备身份验证通过后,根据所述用户身份信息和所述设备身份信息,生成认证证书。
可选的,所述设备配置有可信模块,所述可信模块内置背书密钥和背书证书;
所述设备身份信息包括:所述背书证书和基于所述背书密钥生成的认证密钥,所述背书证书用于标识所述设备的身份。
可选的,根据所述用户身份信息和所述设备身份信息,生成认证证书,包括:
根据所述用户身份信息和所述设备身份信息中的所述认证密钥,生成认证证书,所述认证证书用以标识所述设备和所述用户的绑定关系。
可选的,所述设备完整性信息是在基于所述可信模块构建所述设备的可信链的过程中,通过对所述设备的各组件进行完整性度量时生成的一组度量值。
可选的,所述第一认证信息,还包括:
用于标识所述设备合规性的软件环境基线信息。
可选的,所述方法还包括:
根据所述软件环境基线信息,认证设备的合规性,并生成第三认证结果。
可选的,所述方法还包括:基于所述第一认证结果,判定所述用户和所述设备是否具备网络连接条件;若否,则将所述用户和所述设备接入隔离网络;
若判断所述用户和所述设备具备网络连接条件,则基于所述第二认证结果和所述第三认证结果,制定访问控制策略,并将所述访问控制策略发送至所述安全网关,以使所述设备和所述用户在所述安全网关执行所述访问控制策略时获得所述访问策略中设定的访问权限。
可选的,所述访问控制策略是综合所述第二认证结果和所述第三认证结果,并根据最小权限原则,为所述用户与所述设备分配的访问权限。
可选的,所述设备和所述用户获得所述访问策略中设定的访问权限之后,还包括:
根据需要注销已通过认证的所述用户身份信息和所述设备身份信息。
可选的,根据需要注销已通过认证的所述用户身份信息和所述设备身份信息,包括:
发送身份注销指令至所述代理客户端;
接收所述代理客户端根据所述身份注销指令,执行销毁所述认证证书后返回的销毁成功消息;
在获取到所述销毁成功消息后,封存所述设备信息,注销所述设备与所述用户的绑定关系,生成冻结所述设备和所述用户的所有访问权限的指令并发送给所述安全网关,以使所述安全网关执行冻结所述设备和所述用户的所有访问权限的指令。
依据本发明的第二个方面,提供一种身份认证装置,应用于身份认证系统的服务端,所述装置包括:
第一接收模块,用于接收代理客户端发送的身份注册请求;所述身份注册请求中包括:通过所述代理客户端获取的用户身份信息、设备身份信息和设备完整性信息;
第一处理模块,用于根据所述用户身份信息和所述设备身份信息,生成认证证书,并发送给所述代理客户端;
第二接收模块,用于接收所述代理客户端在获取到所述认证证书后发送的第一认证信息;其中,所述第一认证信息包括:所述设备身份信息、所述用户身份信息、所述认证证书以及所述设备完整性信息;
第二处理模块,用于根据所述用户身份信息、所述设备身份信息和所述认证证书,认证身份信息,并生成第一认证结果;以及根据所述设备完整性信息,认证设备的可信状态,并生成第二认证结果。
可选的,所述装置还包括:
验证模块,用于根据身份注册请求,验证用户身份和设备身份;
第三处理模块,用于在用户身份和设备身份验证通过后,根据所述用户身份信息和所述设备身份信息,生成认证证书。
可选的,所述设备配置有可信模块,所述可信模块内置背书密钥和背书证书;
所述设备身份信息包括:所述背书证书和基于所述背书密钥生成的认证密钥,所述背书证书用于标识所述设备的身份。
可选的,所述第一处理模块,包括:
第一处理子模块,用于根据所述用户身份信息和所述设备身份信息中的所述认证密钥,生成认证证书,所述认证证书用以标识所述设备和所述用户的绑定关系。
可选的,所述设备完整性信息是在基于所述可信模块构建所述设备的可信链的过程中,通过对所述设备的各组件进行完整性度量时生成的一组度量值。
可选的,所述第一认证信息,还包括:
用于标识所述设备合规性的软件环境基线信息。
可选的,所述第二处理模块,还可用于:
根据所述软件环境基线信息,认证设备的合规性,并生成第三认证结果。
可选的,所述装置还包括:
第四处理模块,用于基于所述第一认证结果,判定所述用户和所述设备是否具备网络连接条件;以及在判断不具备网络连接条件时,将所述用户和所述设备接入隔离网络;
第五处理模块,用于在判断所述用户和所述设备具备网络连接条件时,基于所述第二认证结果和所述第三认证结果,制定访问控制策略,并将所述访问控制策略发送至所述安全网关,以使所述设备和所述用户在所述安全网关执行所述访问控制策略时获得所述访问策略中设定的访问权限。
可选的,所述访问控制策略是综合所述第二认证结果和所述第三认证结果,并根据最小权限原则,为所述用户与所述设备分配访问权限。
可选的,所述装置还包括:
第六处理模块,用于根据需要注销已通过认证的所述用户身份信息和所述设备身份信息。
可选的,第六处理模块,可以包括:
第二处理子模块,用于发送身份注销指令至所述代理客户端;
第三处理子模块,用于接收所述代理客户端根据所述身份注销指令,执行销毁所述用户身份信息和所述认证证书后返回的销毁成功消息;
第四处理子模块,用于在获取到所述销毁成功消息后,封存所述设备信息,注销所述设备与所述用户的绑定关系,生成冻结所述设备和所述用户的所有访问权限的指令并发送给所述安全网关,以使所述安全网关执行冻结所述设备和所述用户的所有访问权限的指令。
依据本发明的第三个方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的身份认证方法的步骤。
本发明的实施例的有益效果是:
上述方案中,通过根据所述用户身份信息和所述设备身份信息生成认证证书,用以标识所述设备和所述用户的绑定关系,避免了非授权用户和设备访问网络,通过对用户身份和设备身份进行双重认证,实现了基于用户认证和设备认证的以身份认证为中心的零信任的身份认证方法,使安全体系架构从网络中心化走向身份中心化,避免了恶意用户利用受信任用户的被盗凭据,访问内部网络和敏感资源从而造成信息泄露等问题,提高了网络的安全性。进一步,通过对所述设备的安全可信状态进行认证,避免了信任用户使用不安全的设备访问网络,进一步提高了网络的安全性。更进一步,对所述用户身份、所述设备身份以及所述设备可信状态进行认证生成的认证结果能充分反映用户和设备的情况。在保证安全性的同时,可依据认证结果为所述设备和所述用户动态设定多层次访问控制策略。本方案基于用户认证和设备认证,实现了以用户身份和设备身份为中心的身份认证方法。
附图说明
图1表示本发明实施例的身份认证方法的流程图之一;
图2表示本发明实施例的身份认证方法的流程图之二;
图3表示本发明实施例的身份认证装置的结构示意图;
图4表示本发明实施例的身份认证系统的系统架构图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
如图1所示,本发明的实施例提供了一种身份认证方法,应用于身份认证系统的服务端,包括:
步骤11,接收代理客户端发送的身份注册请求;所述身份注册请求中包括:通过所述代理客户端获取的用户身份信息、设备身份信息和设备完整性信息。
该实施例中,所述设备包括所述用户访问网络所使用的终端设备,也包括对外提供服务的设备,所述代理客户端可以是安装配置在所述设备上的软件,具有用户身份信息和设备身份信息的收集机制。所述身份认证系统的服务端(身份认证中心),具有身份管理机制和身份认证机制和访问控制策略设定机制,负责管理设备身份的生命周期,对设备的身份进行认证,并根据身份认证结果设定访问控制策略的功能。所述设备可信启动,所述设备上部署的代理客户端启动,在所述代理客户端判断当前设备和用户未进行身份注册的情况下,获取用户的身份信息、设备身份信息、设备完整性信息,并生成携带有用户身份信息、设备身份信息和设备完整性信息的身份注册请求发送至身份认证系统的服务端,身份认证系统的服务端保存用户身份信息、设备身份信息和设备完整性信息,作为后续身份认证的依据。其中,所述身份注册请求可通过安全网关转发至所述身份认证系统的服务端。所述安全网关负责所述代理客户端与身份认证系统的服务端之间的消息的封装、转发。进一步的,用户身份采用U-Key,用户名,密码等多种身份认证因子来标识,保证用户身份的安全性。值得说明的是,为充分反映设备的运行状态,所述身份注册请求中还可以携带有可以反映设备运行状态的其他信息,如设备的合规性信息。
步骤12,根据所述用户身份信息和所述设备身份信息,生成认证证书,并发送给所述代理客户端。
该实施例中,接收到所述身份注册请求的身份认证系统的服务端,将根据用户身份信息和设备身份信息生成用于标识所述设备身份和所述用户身份绑定状态的所述认证证书。将所述认证证书发送至所述代理客户端,以使所述代理客户端将所述认证证书存储至可信存储区。通过将所述用户和所述设备进行绑定,可有效避免恶意用户盗用已认证的用户身份访问网络系统,提高了网络的安全性。此外,身份认证系统的服务端将所述用户的身份信息、所述设备身份信息、所述设备完整性信息以及所述认证证书进行存储,作为后续身份认证的依据。
步骤13,接收所述代理客户端在获取到所述认证证书后发送的第一认证信息;其中,所述第一认证信息包括:所述设备身份信息、所述用户身份信息、所述认证证书以及所述设备完整性信息。
该实施例中,接收所述代理客户端在获取到所述认证证书后发送的第一认证信息可以具体为:接受所述代理客户端在完成所述设备和所述用户的身份注册后发起的访问网络系统的接入请求,这里,所述接入请求通过安全网关转发至所述身份认证系统的服务端;所述身份认证系统的服务端在接入到所述接入请求后,发送对所述设备和所述用户的身份认证请求,并通过安全网关将所述身份认证请求转发给所述代理客户端,所述代理客户端在接收到所述身份认证请求后,收集用于身份认证的第一认证信息,并将所述第一认证信息发送至所述身份认证系统的服务端以进行认证。这里,所述第一认证信息包括:所述设备身份信息、所述用户身份信息、所述认证证书以及设备完整性信息。所述设备完整性信息用于标识设备的安全可信性。此方案实现了对需要访问网络系统的用户和设备进行身份认证以及对所述设备的可信状态进行安全认证,在认证了用户身份和设备身份的基础上,进一步认证了所述设备的安全可信状态,有效提高了网络系统的安全性。
步骤14,根据所述用户身份信息、所述设备身份信息和所述认证证书,认证身份信息,并生成第一认证结果;以及根据所述设备完整性信息,认证设备的可信状态,并生成第二认证结果。
该实施例中,所述身份认证系统的服务端根据所述代理客户端发送的所述第一认证信息,对所述设备和所述用户进行身份认证,并生成身份认证结果。具体在认证过程中,所述身份认证系统的服务端可以先认证身份信息,再验证设备的运行状态。在认证身份过程中,可以先利用多因子认证技术认证用户身份信息,利用可信认证技术认证设备身份信息,再验证所述设备与所述用户的绑定关系,即验证所述认证证书。进一步,在认证设备的运行状态过程中,主要验证设备的可信状态,即验证所述设备完整性信息。当然,为了充分反映设备的状态,也可进一步结合其他设备状态信息一并进行验证,如设备的合规性等。此外,综合用户身份信息、设备身份信息以及设备完整性信息的认证结果情况,可用于为所述设备和所述用户设定多层次和多组合的访问控制策略的依据。
上述方案,通过将所述用户和所述设备进行绑定,可有效避免恶意用户盗用已认证的用户身份访问网络系统,通过对用户身份和设备身份进行双重认证,实现了基于用户认证和设备认证的以身份认证为中心的零信任的身份认证方法,使安全体系架构从网络中心化走向身份中心化,避免了恶意用户利用受信任用户的身份凭据,访问内部网络和敏感资源从而造成信息泄露等问题,进一步的,通过对所述设备的可信状态进行认证,保证了用户访问网络所用设备的安全可信性,有效提高了网络安全性。本方案基于用户认证和设备认证,实现了以用户身份和设备身份为中心的身份认证方法,认证结果可以充分反映用户和设备的情况。
此外,上述方案还可进一步包括:综合对用户身份、设备身份、用户与设备的绑定关系进行认证,即依据所述第一认证结果,判定是否具备网络准入的基本条件,若否,则将所述设备和所述用户进行网络隔离。
以及综合对设备完整性和设备合规性等设备状态进行认证的认证结果,即综合所述第二认证结果和所述第三认证结果,为所述设备和所述用户动态设定多层次和多组合的访问控制策略,实现根据综合的认证结果,设定所述设备和所述用户设定的访问权限,控制其可以访问的资源,有效提高网络系统的安全性。
进一步的,如图2所示,步骤12之前,还可以包括:
步骤15,根据身份注册请求,验证用户身份和设备身份;
该实施例中,在用户身份和设备身份验证通过后,根据所述用户身份信息和所述设备身份信息,生成认证证书。
步骤16,在用户身份和设备身份有一项未验证未通过时,则直接返回注册失败消息,由安全网关转发给所述代理客户端。
该实施例中,在返回注册失败消息的同时,通过安全网关执行设定的访问控制策略,将所述设备接入隔离网络等待修复。避免了非授权用户和设备访问网络,提高了网络的安全性。
在本发明一可选的实施例中,所述设备配置有可信模块,所述可信模块内置背书密钥和背书证书;所述设备身份信息包括:所述背书证书和基于所述背书密钥生成的认证密钥,所述背书证书用于标识所述设备的身份。
该实施例中,通过在所述设备中配置可信模块,所述可信模块内置厂商提供的背书密钥和背书证书,利用所述背书证书标识所述设备的身份,并基于所述背书密钥创建认证密钥,所述认证密钥用于身份注册。这里,所述可信模块可以为可信平台模块TPM或类似于所述TPM的其他安全可信模块。
具体的,在本发明一可选的实施例中,根据所述用户身份信息和所述设备身份信息,生成认证证书,可以包括:根据所述用户身份信息和所述设备身份信息中的所述认证密钥,生成认证证书,所述认证证书用以标识所述设备和所述用户的绑定关系。
该实施例中,作为一种生成认证证书,实现标识所述设备和所述用户的绑定关系的实现方式,可以通过将所述用户身份信息和所述设备身份信息中的所述认证密钥进行合成处理,生成认证证书,用于标识所述设备和所述用户的绑定关系。
具体的,在本发明一可选的实施例中,所述设备完整性信息是在基于所述可信模块构建所述设备的可信链的过程中,通过对所述设备的各组件进行完整性度量时生成的一组度量值。
该实施例中,基于所述可信模块,对所述设备的各软件和各硬件的完整性进行度量,建立可信链,生成的一组度量值,并将所述度量值保存在所述可信模块的平台配置寄存器中。进一步通过对标识所述设备可信状态的所述度量值进行认证,获得所述设备的可信状态。
在本发明一可选实施例中,所述第一认证信息可以进一步包括:用于标识所述设备合规性的软件环境基线信息。
该实施例中,为了进一步提高网络的安全性,在认证用户身份、用户所用设备的设备身份,所述设备和所述用户的绑定关系以及设备的安全可信状态的情况下,可以进一步对所述设备的合规性进行认证。这里,利用所述软件环境基线信息标识设备的合规性,所述软件环境基线信息是基于基线管理技术生成的,通过所述代理客户端收集获取。本方案在对设备身份、设备安全可信状态进行认证的基础上,进一步对利用基线管理技术对所述设备的合规性进行认证,实现了对所述设备的综合性和多层次的认证和评估,充分反映设备的运行状态。此外,还可进一步结合地理位置、使用习惯、其他条件等进行智能、动态、持续的认证评估设备的运行状态,进一步,可以基于综合的设备认证评估结果,动态调整和设定所述设备的访问控制策略。
如图2所示,在本发明一可选的实施例中,还可以包括:
步骤17,根据所述软件环境基线信息,认证设备的合规性,并生成第三认证结果。
该实施例中,在步骤14中,根据所述用户身份信息、所述设备身份信息和所述认证证书,认证身份信息,并生成第一认证结果;以及根据所述设备完整性信息认证设备的可信状态,并生成第二认证结果的基础上,可以进一步对设备的合规性进行认证,通过进一步结合设备的合规性进行认证,可以更充分的反映设备的运行状态,实现对设备状态的多层次认证,为后续根据综合的认证结果,制定多组合和多层次的访问控制策略提供依据。如图2所示。在本发明一可选的实施例中,所述方法还可以包括:
步骤18,基于所述第一认证结果,判定所述用户和所述设备是否具备网络连接条件;
步骤19,若否,则将所述用户和所述设备接入隔离网络;
该实施例中,在判定所述用户和所述设备不具备网络准入的基本条件时,通过安全网关将认证失败消息发送至所述代理客户端,并通过所述安全网关将所述设备接入隔离网络。其中,所述安全网关具有访问控制策略的执行机制,可动态控制所述设备的访问权限。通过所述网关将未通过认证的所述设备和所述用户接入隔离网络,有效避免了非授权用户和设备的访问,提升了网络的安全性。这里,为保证安全性,可以定义在所述用户身份信息、所述设备身份信息以及标识所述设备和所述用户绑定关系的所述认证证书这三者中有一项未通过认证时,则一定判断所述用户和所述设备不具备接入网络系统的条件,即不具备网络连接条件。其他不具备网络连接条件的情况,可根据具体的实际需要以及对设备状态等其他认证信息进行综合判断后设定。
步骤20,若判断所述用户和所述设备具备网络连接条件,则基于所述第二认证结果和所述第三认证结果,制定访问控制策略,并将所述访问控制策略发送至所述安全网关,以使所述设备和所述用户在所述安全网关执行所述访问控制策略时获得所述访问策略中设定的访问权限。
进一步的,所述访问控制策略是综合所述第二认证结果和所述第三认证结果,并根据最小权限原则,为所述用户与所述设备分配的访问权限。
该实施例中,判断所述用户和所述设备具备网络连接条件时,基于所述第二认证结果和所述第三认证结果,制定访问控制策略,其中,所述访问控制策略是综合所述第二认证结果和所述第三认证结果这两种认证结果进行制定的,将所述第二认证结果和所述第三认证结果进行组合,即针对不同的认证结果进行组合,也就是不同的设备状态在进行认证时,可能对应会生成不同的所述第二认证结果和所述第三认证结果,进一步,可综合生成的两种认证结果(所述第二认证结果和所述第三认证结果)为被认证的所述设备和所述用户制定不同的访问控制策略,即为请求网络系统接入的所述设备和所述用户分配不同的访问权限,实现了多层次的访问控制策略的设定。此外,访问控制策略的制定也可结合设备的应用场景,设定多层次的访问控制策略组合,按照最小权限原则对设备进行细粒度的动态授权。同时,值得指出的是,对设备的动态授权,也可结合地理位置、使用习惯、其他条件等,智能、动态、持续的评估设备的运行状态,动态的调整访问控制策略组合,从而实现动态的访问控制。
如图2所示,在本发明一可选的实施例中,所述设备和所述用户获得所述访问策略中设定的访问权限之后,还包括:
步骤21,根据需要注销已通过认证的所述用户身份信息和所述设备身份信息。
该实施例中,可根据实际情况需要注销所述用户身份和所述设备身份,冻结所述设备和所述用户的访问权限,此方案可以实现在所述用户由授权用户变更为非授权用户,所述设备丢失或损坏以及临时认证授权的用户和设备在使用完成后需要注销身份等情况,可及时冻结所述设备和所述用户的访问权限,保证网络安全。
其中,在本发明一可选实施例中,步骤21,可包括:发送身份注销指令至所述代理客户端;接收所述代理客户端根据所述身份注销指令,执行销毁所述认证证书后返回的销毁成功消息;在获取到所述销毁成功消息后,封存所述设备信息,注销所述设备与所述用户的绑定关系,生成冻结所述设备和所述用户的所有访问权限的指令并发送给所述安全网关,以使所述安全网关执行冻结所述设备和所述用户的所有访问权限的指令。
该实施例中,身份认证系统的服务端(身份认证中心)下发身份注销指令,经所述安全网关转发给所述代理客户端。所述代理客户端在接收到身份注销指令后,执行清除存储在所述设备的所述可信模块中的认证密钥和认证证书的操作,返回销毁成功消息,经所述安全网关转发给身份认证中心;身份认证中心接收响应后,封存所述设备相关信息,注销所述设备与用户的绑定关系,冻结其所有访问权限,将访问控制策略下发给所述安全网关,在通过所述安全网关执行访问控制策略在封存所述设备信息冻结的同时,可根据实际情况需要注销所述用户身份。
如图3所示,本发明还提供一种用于实现上述方法的装置。
如图3,其示出的是本发明提供一种身份认证装置,应用于身份认证系统的服务端,所述装置300包括:
第一接收模块301,用于接收代理客户端发送的身份注册请求;所述身份注册请求中包括:通过所述代理客户端获取的用户身份信息、设备身份信息和设备完整性信息;
第一处理模块302,用于根据所述用户身份信息和所述设备身份信息,生成认证证书,并发送给所述代理客户端;
第二接收模块303,用于接收所述代理客户端在获取到所述认证证书后发送的第一认证信息;其中,所述第一认证信息包括:所述设备身份信息、所述用户身份信息、所述认证证书以及所述设备完整性信息;
第二处理模块304,用于根据所述用户身份信息、所述设备身份信息和所述认证证书,认证身份信息,并生成第一认证结果;以及根据所述设备完整性信息,认证设备的可信状态,并生成第二认证结果。
在本发明一可选实施例中,所述装置300还可以包括:
验证模块,用于根据身份注册请求,验证用户身份和设备身份;
第三处理模块,用于在用户身份和设备身份验证通过后,根据所述用户身份信息和所述设备身份信息,生成认证证书。
在本发明一可选实施例中,所述设备配置有可信模块,所述可信模块内置背书密钥和背书证书;
所述设备身份信息包括:所述背书证书和基于所述背书密钥生成的认证密钥,所述背书证书用于标识所述设备的身份。
在本发明一可选实施例中,所述第一处理模块,可以包括:
第一处理子模块,用于根据所述用户身份信息和所述设备身份信息中的所述认证密钥,生成认证证书,所述认证证书用以标识所述设备和所述用户的绑定关系。
在本发明一可选实施例中,所述设备完整性信息是在基于所述可信模块构建所述设备的可信链的过程中,通过对所述设备的各组件进行完整性度量时生成的一组度量值。
在本发明一可选实施例中,所述第一认证信息,还包括:用于标识所述设备合规性的软件环境基线信息。
进一步,在一可选实施例中,所述第二处理模块304,还可以用于:
根据所述软件环境基线信息,认证设备的合规性,并生成第三认证结果。
在本发明一可选实施例中,所述装置300还可以包括:
第四处理模块,用于基于所述第一认证结果,判定所述用户和所述设备是否具备网络连接条件;若否,则将所述用户和所述设备接入网络隔离;
第五处理模块,用于在判断所述用户和所述设备具备网络连接条件时,基于所述第二认证结果和所述第三认证结果,制定访问控制策略,并将所述访问控制策略发送至所述安全网关,以使所述设备和所述用户在所述安全网关执行所述访问控制策略时获得所述访问策略中设定的访问权限。
在本发明一可选实施例中,所述访问控制策略是综合所述第二认证结果和所述第三认证结果,并根据最小权限原则,为所述用户与所述设备分配的访问权限。
在本发明一可选实施例中,所述装置300还可以包括:
第六处理模块,用于根据需要注销已通过认证的所述用户身份信息和所述设备身份信息。
进一步的,在本发明一可选实施例中,所述第六处理模块,可以包括:
第二处理子模块,用于发送身份注销指令至所述代理客户端;
第三处理子模块,用于接收所述代理客户端根据所述身份注销指令,执行销毁所述认证证书后返回的销毁成功消息;
第四处理子模块,用于在获取到所述销毁成功消息后,封存所述设备信息,注销所述设备与所述用户的绑定关系,生成冻结所述设备和所述用户的所有访问权限的指令并发送给所述安全网关,以使所述安全网关执行冻结所述设备和所述用户的所有访问权限的指令。该装置是与上述方法实施例对应的装置,上述方法实施例中的所有实现方式均适用于该装置的实施例中,也能达到与方法实施例相同的技术效果。
上述方案,利用可信计算技术实现了一种零信任的身份认证系统,所谓零信任是指默认情况下不应该信任网络内部和外部的任何人,设备和系统,均需要在对身份认证的基础上,进行访问控制。如图4所示,其示出的是系统的架构图,由图4所示,所述系统可以包括设备、代理客户端、身份认证中心(所述身份认证系统的服务端)和安全网关。
作为一种完整的实现方式,本发明的身份认证方法可以包括:设备初始化、身份注册、身份认证和身份注销几个流程部分。其中,设备初始化的流程可以包括:
1)所述设备启动,启动时基于可信模块,对设备中的各个组件进行可信度量,构建设备信任链。可信度量过程中,将不同组件的度量结果存储在可信模块的平台配置寄存器中,用于表征当前设备的可信状态。
2)部署在所述设备上的所述代理客户端启动,启动时收集当前设备的用户身份信息和认证证书,用于判断用户信息是否创建以及是否完成了身份注册。如未搜集到用户身份信息和认证证书,则向安全网关发送身份注册请求,进入身份注册流程。如成功收集用户身份信息和认证证书,则收集设备的可信状态和设备的基线状态(软件环境基线信息),并向安全网关发送网络接入请求,进入身份认证流程。
进一步,身份注册的流程可以包括:
1)在通过设备初始化完成可信度量存储可信状态的基础上,通过代理客户端基于可信模块的背书密钥创建认证密钥,并向安全网关发送身份注册请求,安全网关收到请求后转发给身份认证中心,所述身份注册请求中包含背书证书、认证密钥、用户身份信息和设备完整性和设备合规性信息;
2)所述身份认证中心使用厂商提供的数字证书验证背书证书,以确认设备身份,在验证通过后,身份认证中心根据认证密钥和用户身份信息,颁发认证证书,绑定用户和设备使用关系,并保存设备完整性状态和设备合规性状态作为后续身份认证的依据。其中,身份认证中心发送认证证书,经所述安全网关转发给所述代理客户端,以使所述代理客户端将所述认证证书存储到所述可信模块中。在验证未通过时,则直接返回注册失败消息,由安全网关转发给所述代理客户端,同时安全网关执行访问控制策略,将所述设备接入隔离网络等待修复。
进一步,身份认证的流程可以包括:
1)收集设备的可信状态和设备的基线状态,并向身份认证中心发送网络接入请求,在身份认证中心收到接入请求后,发起身份认证请求,经安全网关转发给所述代理客户端,代理客户端接收请求后,将收集用户身份信息和设备身份信息以及设备状态信息和认证证书,经安全网关转发给身份认证中心。所述用户身份信息具体指多因子的用户身份信息;所述设备状态具体指设备可信状态和设备的基线状态。
2)身份认证中心认证身份信息,先利用多因子认证技术认证用户身份,利用可信认证技术认证设备身份,再验证设备与用户绑定关系。验证通过后,进一步的,再认证设备运行状态,先验证设备的可信状态,在验证设备的基线状态。如果用户身份、设备身份和用户与设备绑定关系有一个认证失败,即有一项未通过认证,则直接返回认证失败消息,由安全网关转发给代理客户端,同时安全网关将设备接入隔离网络等待修复,隔离网络没有任何访问权限。如果用户身份、设备身份和用户与设备绑定关系认证成功,身份认证中心再根据设备完整性状态和设备合规性状态的认证结果,设定其访问控制策略,身份认证中心发送访问控制策略到安全网关,安全网关执行访问控制策略,给予设备相应的访问权限。
此外,还可以包括身份注销的流程,具体如下:
1)身份认证中心下发身份注销消息,经所述安全网关转发给所述代理客户端。所述代理客户端接收身份注销请求后,清除存储在设备可信模块中的认证密钥和认证密钥证书,返回销毁成功消息,经所述安全网关转发给身份认证中心。
2)身份认证中心接收响应后,封存设备相关信息,注销设备与用户的绑定关系,冻结其所有访问权限,将访问控制策略下发给安全网关,安全网关执行访问控制策略;进一步根据需要注销用户身份。
通过上述方案,从用户和设备的角度出发,利用多因子认证技术确认用户身份;利用可信计算技术对设备身份及软硬件完整性进行认证;利用基线管理确认设备的合规性,实现多层级的身份认证。进一步的,基于以上身份认证结果,可以结合设备的应用场景,设定多层次的访问控制策略组合,按照最小权限原则对设备进行细粒度的动态授权。对所述设备的动态授权,也可结合地理位置、使用习惯、其他条件等,智能、动态、持续的评估设备的运行状态,动态的调整访问控制策略组合,从而实现动态的访问控制。实现了对身份的综合的、多层次的、动态的认证,充分反映用户和设备的情况,构筑了零信任网络安全架构的基石。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本发明的保护范围内。
Claims (13)
1.一种身份认证方法,其特征在于,应用于身份认证系统的服务端,包括:
接收代理客户端发送的身份注册请求;所述身份注册请求中包括:通过所述代理客户端获取的用户身份信息、设备身份信息和设备完整性信息;
根据所述用户身份信息和所述设备身份信息,生成认证证书,并发送给所述代理客户端;
接收所述代理客户端在获取到所述认证证书后发送的第一认证信息;
其中,所述第一认证信息包括:所述设备身份信息、所述用户身份信息、所述认证证书以及所述设备完整性信息;
根据所述用户身份信息、所述设备身份信息和所述认证证书,认证身份信息,并生成第一认证结果;以及根据所述设备完整性信息,认证设备的可信状态,并生成第二认证结果。
2.根据权利要求1所述的身份认证方法,其特征在于,根据所述用户身份信息和所述设备身份信息,生成认证证书之前,还包括:
根据身份注册请求,验证用户身份和设备身份;
在用户身份和设备身份验证通过后,根据所述用户身份信息和所述设备身份信息,生成认证证书。
3.根据权利要求1所述的身份认证方法,其特征在于,所述设备配置有可信模块,所述可信模块内置背书密钥和背书证书;
所述设备身份信息包括:所述背书证书和基于所述背书密钥生成的认证密钥,所述背书证书用于标识所述设备的身份。
4.根据权利要求3所述的身份认证方法,其特征在于,根据所述用户身份信息和所述设备身份信息,生成认证证书,包括:
根据所述用户身份信息和所述设备身份信息中的所述认证密钥,生成所述认证证书,所述认证证书用以标识所述设备和所述用户的绑定关系。
5.根据权利要求3所述的身份认证方法,其特征在于,所述设备完整性信息是在基于所述可信模块构建所述设备的可信链的过程中,通过对所述设备的各组件进行完整性度量生成的一组度量值。
6.根据权利要求1所述的身份认证方法,其特征在于,所述第一认证信息,还包括:
用于标识所述设备合规性的软件环境基线信息。
7.根据权利要求6所述的身份认证方法,其特征在于,还包括:
根据所述软件环境基线信息,认证设备的合规性,并生成第三认证结果。
8.根据权利要求7所述的身份认证方法,其特征在于,还包括:
基于所述第一认证结果,判定所述用户和所述设备是否具备网络连接条件;若否,则将所述用户和所述设备接入隔离网络;
若判断所述用户和所述设备具备网络连接条件,则基于所述第二认证结果和所述第三认证结果,制定访问控制策略,并将所述访问控制策略发送至安全网关,以使所述设备和所述用户在所述安全网关执行所述访问控制策略时获得所述访问策略中设定的访问权限。
9.根据权利要求8所述的身份认证方法,其特征在于,所述访问控制策略是综合所所述第二认证结果和所述第三认证结果,并根据最小权限原则为所述用户与所述设备分配的访问权限。
10.根据权利要求8所述的身份认证方法,其特征在于,所述设备和所述用户获得所述访问策略中设定的访问权限之后,还包括:
根据需要注销已通过认证的所述用户身份信息和所述设备身份信息。
11.根据权利要求10所述的身份认证方法,其特征在于,注销已通过认证的所述用户身份信息和所述设备身份信息,包括:
发送身份注销指令至所述代理客户端;
接收所述代理客户端根据所述身份注销指令,执行销毁所述认证证书后返回的销毁成功消息;
在获取到所述销毁成功消息后,封存所述设备信息,注销所述设备与所述用户的绑定关系,生成冻结所述设备和所述用户的所有访问权限的指令并发送给所述安全网关,以使所述安全网关执行冻结所述设备和所述用户的访问权限的指令。
12.一种身份认证装置,应用于身份认证系统的服务端,其特征在于,所述装置包括:
第一接收模块,用于接收代理客户端发送的身份注册请求;所述身份注册请求中包括:通过所述代理客户端获取的用户身份信息、设备身份信息和设备完整性信息;
第一处理模块,用于根据所述用户身份信息和所述设备身份信息,生成认证证书,并发送给所述代理客户端;
第二接收模块,用于接收所述代理客户端在获取到所述认证证书后发送的第一认证信息;其中,所述第一认证信息包括:所述设备身份信息、所述用户身份信息、所述认证证书以及所述设备完整性信息;
第二处理模块,用于根据所述用户身份信息、所述设备身份信息和所述认证证书,认证身份信息,并生成第一认证结果;以及根据所述设备完整性信息,认证设备的可信状态,并生成第二认证结果。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至11任一项所述的身份认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910689919.9A CN110417776B (zh) | 2019-07-29 | 2019-07-29 | 一种身份认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910689919.9A CN110417776B (zh) | 2019-07-29 | 2019-07-29 | 一种身份认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110417776A true CN110417776A (zh) | 2019-11-05 |
| CN110417776B CN110417776B (zh) | 2022-03-25 |
Family
ID=68363781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910689919.9A Active CN110417776B (zh) | 2019-07-29 | 2019-07-29 | 一种身份认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417776B (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111125665A (zh) * | 2019-12-04 | 2020-05-08 | 中国联合网络通信集团有限公司 | 认证方法及设备 |
| CN111818053A (zh) * | 2020-07-09 | 2020-10-23 | 华中科技大学 | 具有身份认证和安全通信网关的数控机床安全系统及方法 |
| CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
| CN112087303A (zh) * | 2020-09-15 | 2020-12-15 | 炬星科技(深圳)有限公司 | 一种证书预置和签发方法、机器人及服务端 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN112367188A (zh) * | 2020-10-16 | 2021-02-12 | 零氪科技(北京)有限公司 | 一种基于零信任模型的私有化安全系统及实现方法 |
| CN112491836A (zh) * | 2020-11-16 | 2021-03-12 | 新华三技术有限公司合肥分公司 | 通信系统、方法、装置及电子设备 |
| CN112788048A (zh) * | 2021-01-22 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
| WO2021114925A1 (zh) * | 2019-12-13 | 2021-06-17 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| CN113472758A (zh) * | 2021-06-21 | 2021-10-01 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| CN113992402A (zh) * | 2021-10-27 | 2022-01-28 | 北京房江湖科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
| CN113992532A (zh) * | 2021-12-27 | 2022-01-28 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
| CN114024704A (zh) * | 2020-10-28 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中证书分发方法 |
| CN114124583A (zh) * | 2022-01-27 | 2022-03-01 | 杭州海康威视数字技术股份有限公司 | 基于零信任的终端控制方法、系统及装置 |
| CN114598489A (zh) * | 2020-11-20 | 2022-06-07 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
| CN114915534A (zh) * | 2022-04-22 | 2022-08-16 | 中国人民解放军战略支援部队信息工程大学 | 面向信任增强的网络部署架构及其网络访问方法 |
| CN114978544A (zh) * | 2022-05-23 | 2022-08-30 | 中国电信股份有限公司 | 一种访问认证方法、装置、系统、电子设备及介质 |
| CN115174180A (zh) * | 2022-06-28 | 2022-10-11 | 珠海奔图电子有限公司 | 认证方法、装置、服务器及存储介质 |
| CN115361234A (zh) * | 2022-10-20 | 2022-11-18 | 北京云成金融信息服务有限公司 | 一种供应链平台用的安全认证方法及系统 |
| WO2023273933A1 (zh) * | 2021-06-30 | 2023-01-05 | 寒武纪行歌(南京)科技有限公司 | 用于对片上系统进行认证的方法及相关产品 |
| CN115622785A (zh) * | 2022-10-24 | 2023-01-17 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
| CN116760610A (zh) * | 2023-06-30 | 2023-09-15 | 中国科学院空天信息创新研究院 | 网络受限条件下的用户跨域认证系统、方法、设备及介质 |
| WO2023216084A1 (zh) * | 2022-05-09 | 2023-11-16 | 北京小米移动软件有限公司 | 认证方法、装置、介质和芯片 |
| WO2024103257A1 (zh) * | 2022-11-15 | 2024-05-23 | Oppo广东移动通信有限公司 | 用于访问控制的方法和装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090064292A1 (en) * | 2006-10-19 | 2009-03-05 | Carter Stephen R | Trusted platform module (tpm) assisted data center management |
| CN103023911A (zh) * | 2012-12-25 | 2013-04-03 | 北京工业大学 | 可信网络设备接入可信网络认证方法 |
| CN104618396A (zh) * | 2015-03-04 | 2015-05-13 | 浪潮集团有限公司 | 一种可信网络接入与访问控制系统及方法 |
| US20150281277A1 (en) * | 2014-03-27 | 2015-10-01 | Fortinet, Inc. | Network policy assignment based on user reputation score |
| US20160197962A1 (en) * | 2014-12-16 | 2016-07-07 | OPSWAT, Inc. | Network Access Control with Compliance Policy Check |
| CN106656499A (zh) * | 2015-07-15 | 2017-05-10 | 同方股份有限公司 | 一种数字版权保护系统中终端设备可信认证方法及其系统 |
| CN107070667A (zh) * | 2017-06-07 | 2017-08-18 | 国民认证科技(北京)有限公司 | 身份认证方法、用户设备和服务器 |
| US20170302554A1 (en) * | 2016-04-18 | 2017-10-19 | Nyansa, Inc. | System and method for using real-time packet data to detect and manage network issues |
| CN109729523A (zh) * | 2017-10-31 | 2019-05-07 | 华为技术有限公司 | 一种终端联网认证的方法和装置 |
-
2019
- 2019-07-29 CN CN201910689919.9A patent/CN110417776B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090064292A1 (en) * | 2006-10-19 | 2009-03-05 | Carter Stephen R | Trusted platform module (tpm) assisted data center management |
| CN103023911A (zh) * | 2012-12-25 | 2013-04-03 | 北京工业大学 | 可信网络设备接入可信网络认证方法 |
| US20150281277A1 (en) * | 2014-03-27 | 2015-10-01 | Fortinet, Inc. | Network policy assignment based on user reputation score |
| US20160197962A1 (en) * | 2014-12-16 | 2016-07-07 | OPSWAT, Inc. | Network Access Control with Compliance Policy Check |
| CN104618396A (zh) * | 2015-03-04 | 2015-05-13 | 浪潮集团有限公司 | 一种可信网络接入与访问控制系统及方法 |
| CN106656499A (zh) * | 2015-07-15 | 2017-05-10 | 同方股份有限公司 | 一种数字版权保护系统中终端设备可信认证方法及其系统 |
| US20170302554A1 (en) * | 2016-04-18 | 2017-10-19 | Nyansa, Inc. | System and method for using real-time packet data to detect and manage network issues |
| CN107070667A (zh) * | 2017-06-07 | 2017-08-18 | 国民认证科技(北京)有限公司 | 身份认证方法、用户设备和服务器 |
| CN109729523A (zh) * | 2017-10-31 | 2019-05-07 | 华为技术有限公司 | 一种终端联网认证的方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| ATANU MONDAL;SULATA MITRA: "Revocation of misbehaving vehicles during data dissemination among connected vehicles in VANET", 《2017 IEEE REGION 10 SYMPOSIUM (TENSYMP)》 * |
| 林璟锵; 荆继武; 张琼露; 王展: "PKI技术的近年研究综述", 《密码学报》 * |
| 金晓峰; 黎明; 梁添才; 徐俊; 王彪: "一种用于金融领域的高安全性身份认证系统", 《科技传播》 * |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111125665A (zh) * | 2019-12-04 | 2020-05-08 | 中国联合网络通信集团有限公司 | 认证方法及设备 |
| WO2021114925A1 (zh) * | 2019-12-13 | 2021-06-17 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| CN111818053A (zh) * | 2020-07-09 | 2020-10-23 | 华中科技大学 | 具有身份认证和安全通信网关的数控机床安全系统及方法 |
| CN111818053B (zh) * | 2020-07-09 | 2021-08-17 | 华中科技大学 | 具有身份认证和安全通信网关的数控机床安全系统及方法 |
| CN112087303A (zh) * | 2020-09-15 | 2020-12-15 | 炬星科技(深圳)有限公司 | 一种证书预置和签发方法、机器人及服务端 |
| CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
| CN112367188A (zh) * | 2020-10-16 | 2021-02-12 | 零氪科技(北京)有限公司 | 一种基于零信任模型的私有化安全系统及实现方法 |
| CN112367188B (zh) * | 2020-10-16 | 2023-08-29 | 零氪科技(北京)有限公司 | 一种基于零信任模型的私有化安全系统及实现方法 |
| CN114024704A (zh) * | 2020-10-28 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中证书分发方法 |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN112491836A (zh) * | 2020-11-16 | 2021-03-12 | 新华三技术有限公司合肥分公司 | 通信系统、方法、装置及电子设备 |
| CN112491836B (zh) * | 2020-11-16 | 2022-04-22 | 新华三技术有限公司合肥分公司 | 通信系统、方法、装置及电子设备 |
| CN114598489A (zh) * | 2020-11-20 | 2022-06-07 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
| CN112788048B (zh) * | 2021-01-22 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
| CN112788048A (zh) * | 2021-01-22 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
| CN113472758A (zh) * | 2021-06-21 | 2021-10-01 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| CN113472758B (zh) * | 2021-06-21 | 2023-05-30 | 北京沃东天骏信息技术有限公司 | 访问控制方法、装置、终端、连接器及存储介质 |
| WO2023273933A1 (zh) * | 2021-06-30 | 2023-01-05 | 寒武纪行歌(南京)科技有限公司 | 用于对片上系统进行认证的方法及相关产品 |
| CN113992402A (zh) * | 2021-10-27 | 2022-01-28 | 北京房江湖科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
| CN113992402B (zh) * | 2021-10-27 | 2023-11-21 | 贝壳找房(北京)科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
| CN113992532A (zh) * | 2021-12-27 | 2022-01-28 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
| CN113992532B (zh) * | 2021-12-27 | 2022-03-25 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
| CN114124583A (zh) * | 2022-01-27 | 2022-03-01 | 杭州海康威视数字技术股份有限公司 | 基于零信任的终端控制方法、系统及装置 |
| CN114915534A (zh) * | 2022-04-22 | 2022-08-16 | 中国人民解放军战略支援部队信息工程大学 | 面向信任增强的网络部署架构及其网络访问方法 |
| CN114915534B (zh) * | 2022-04-22 | 2023-06-16 | 中国人民解放军战略支援部队信息工程大学 | 面向信任增强的网络部署架构及其网络访问方法 |
| WO2023216084A1 (zh) * | 2022-05-09 | 2023-11-16 | 北京小米移动软件有限公司 | 认证方法、装置、介质和芯片 |
| CN114978544A (zh) * | 2022-05-23 | 2022-08-30 | 中国电信股份有限公司 | 一种访问认证方法、装置、系统、电子设备及介质 |
| CN115174180B (zh) * | 2022-06-28 | 2023-10-27 | 珠海奔图电子有限公司 | 认证方法、装置、服务器及存储介质 |
| CN115174180A (zh) * | 2022-06-28 | 2022-10-11 | 珠海奔图电子有限公司 | 认证方法、装置、服务器及存储介质 |
| CN115361234A (zh) * | 2022-10-20 | 2022-11-18 | 北京云成金融信息服务有限公司 | 一种供应链平台用的安全认证方法及系统 |
| CN115622785A (zh) * | 2022-10-24 | 2023-01-17 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
| CN115622785B (zh) * | 2022-10-24 | 2024-06-07 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
| WO2024103257A1 (zh) * | 2022-11-15 | 2024-05-23 | Oppo广东移动通信有限公司 | 用于访问控制的方法和装置 |
| CN116760610A (zh) * | 2023-06-30 | 2023-09-15 | 中国科学院空天信息创新研究院 | 网络受限条件下的用户跨域认证系统、方法、设备及介质 |
| CN116760610B (zh) * | 2023-06-30 | 2024-05-07 | 中国科学院空天信息创新研究院 | 网络受限条件下的用户跨域认证系统、方法、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110417776B (zh) | 2022-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417776A (zh) | 一种身份认证方法及装置 | |
| Yang et al. | A survey on security and privacy issues in Internet-of-Things | |
| US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
| US10992670B1 (en) | Authenticating identities for establishing secure network tunnels | |
| CN101951603B (zh) | 一种无线局域网接入控制方法及系统 | |
| KR101918827B1 (ko) | 결제 검증 시스템, 방법 및 장치 | |
| CN110324287A (zh) | 接入认证方法、装置及服务器 | |
| US8452954B2 (en) | Methods and systems to bind a device to a computer system | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| Jeong et al. | Integrated OTP-based user authentication scheme using smart cards in home networks | |
| WO2006089473A1 (fr) | Méthode pour effectuer l’authentification d’accès réseau | |
| CN106789059B (zh) | 一种基于可信计算的远程双向访问控制系统及方法 | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| Corradi et al. | Mobile agents protection in the Internet environment | |
| CN109344628A (zh) | 区块链网络中可信节点的管理方法,节点及存储介质 | |
| CN106169952A (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| CN103684793A (zh) | 一种基于可信计算增强配电网络通信安全的方法 | |
| CN110401640A (zh) | 一种基于可信计算双体系架构的可信连接方法 | |
| CN114584331A (zh) | 一种配电物联网边缘物联代理网络安全防护方法及系统 | |
| CN1848722B (zh) | 建立可信虚拟专用网连接的方法和系统 | |
| CN112733129B (zh) | 一种服务器带外管理的可信接入方法 | |
| CN115334506A (zh) | 一种面向5g边缘计算节点的用户可信接入系统及方法 | |
| CN115171245B (zh) | 一种基于hce的门锁安全认证方法及系统 | |
| CN106060087A (zh) | 一种多因素主机安全准入控制系统和方法 | |
| CN106850633A (zh) | 一种鉴权方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |