CN110492994B - 一种可信网络接入方法和系统 - Google Patents
一种可信网络接入方法和系统 Download PDFInfo
- Publication number
- CN110492994B CN110492994B CN201910673889.2A CN201910673889A CN110492994B CN 110492994 B CN110492994 B CN 110492994B CN 201910673889 A CN201910673889 A CN 201910673889A CN 110492994 B CN110492994 B CN 110492994B
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- tunnel
- component
- network packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种可信网络接入方法和系统,本发明的系统解决了高安全性、高敏感场景远程可信网络接入问题,在提高了工作效率的同时,有效化解计算平台漏洞和缺陷导致的安全功能被旁路或者安全边界设备被攻破的安全风险,实现对内网资源的高安全保护;本发明的接入方法,有效提高安全边界设备安全性,从而实现对内网资源高安全保护的目的,具有极高的推广应用价值,因此本发明解决了现有安全边界设备由于自身存在安全隐患而造成的可信网络接入并不可信的问题,能够提供可信的网络接入机制。
Description
技术领域
本专利申请属于通信安全技术领域,更具体地说,是涉及一种可信网络接入方法和系统。
背景技术
当前,随着互联网的发展,各种各样的安全边界设备广泛应用于电子政务、电子商务、移动办公等多个领域,为用户、工作人员、分支机构、商业合作伙伴和各类网络设备提供可信的内部网络远程接入通道和安全认证机制。
伴随着安全边界设备的广泛应用,其自身的安全问题也逐渐暴露出来,通过安全边界设备自身的漏洞、后门,攻击者可以非授权地穿过安全边界设备,进入敏感的内部网络,从而导致信息泄漏、信息窃取等事故。
现有的安全边界设备,如防火墙、VPN、网关等,其自身系统是否安全一直是一个复杂的难以被验证的核心关键问题。一方面,安全边界设备所采用的CPU和操作系统具有极高的复杂度,存在有各种各样的软硬件漏洞。另一方面,安全边界设备所采用的CPU、操作系统以及所运行的软件中,存在严重的后门风险。
首先,现代CPU和操作系统,本身的复杂程度已经很高,各种漏洞被不断的曝出。例如,2018年曝出熔断和幽灵漏洞几乎横扫全部CPU,而操作系统的各类零日漏洞更是数不胜数。根据软件工程原理可知,漏洞和代码量有着正比例关系,操作系统的代码量达到亿级数量级,没有漏洞是不可能的事情。现代CPU的复杂程度,已经不亚于操作系统,其晶体管的数量也达到几十亿级,同样面临着各种各样的安全问题。
影响安全边界设备安全性的不仅是漏洞,安全边界设备上所使用的硬件和应用软件还存在各类后门等安全威胁。 “棱镜门”事件曝出思科等公司的安全边界设备预留大量后门,用于监控网络数据。再比如Intel CPU 内部的ME模块,就可以在操作系统无感知的情况下,直接使用网口访问数据,考虑到目前大量的安全边界设备的核心处理器离不开Intel支持的现状,这也给安全边界设备本身的安全性埋下了隐患。安全边界设备通常需要执行密码协议来实现相应的安全功能,而上述密码协议通常由OpenSSL等开源安全软件实现。此类开源安全软件同样存在漏洞和后门等安全风险:例如,开源安全软件在实现密码协议时存在诸如Heartbleed和DROWN等漏洞和后门。
因此,需要对安全边界设备进行特定的保护,防止因为安全边界设备的操作系统或代码本身漏洞导致的安全功能被旁路或者安全边界设备被攻破的安全风险,使其具备更强的安全性,解决高安全性、高敏感场景远程可信网络接入问题,实现对内网资源的高安全保护。
发明内容
本发明需要解决的技术问题是提供一种可信网络接入方法和系统,以解决现有安全边界设备由于自身存在安全隐患而造成的可信网络接入并不可信的问题,能够提供可信的网络接入机制。
为了解决上述问题,本发明所采用的技术方案是:
一种可信网络接入系统,包括采用垂直式的信息流处理架构,包括垂直解耦式的数据平面和防御平面,在数据平面上,通过接口形式进行网络包整流和传输功能调用,实现网络包的收发;在防御平面上,实现网络包的加解密、完整性认证、密钥管理的安全功能;而数据平面和防御平面相交的部分通过不可修改的方式实现于操作系统之下、计算环境的底层,用以完成网络包的加解密和完整性操作。
本发明技术方案的进一步改进在于:不可修改的方式为硬件模块方式的硬件电路,硬件电路直接完成网络包的处理,该硬件电路的实现不依赖于任何第三方的代码,硬件电路结构极为简洁,仅仅不到500行的硬件代码,是整个系统的可信基,极小的代码量非常方便安全性审计,保证了安全根的可信性。
本发明技术方案的进一步改进在于:数据平面包括依次连接的网络包收发模块、硬件加密认证模块和数据整流模块,其中网络包收发模块与外网双向连接,数据整流模块与内网双向连接;防御平面包括硬件加密认证模块、与硬件加密认证模块双向连接的密码管理模块。
由于本系统特殊的系统架构,本系统的核心安全功能(加解密和完整性认证)通过不可修改的硬件模块方式实现于本系统的操作系统之前,从网络结构图上看,硬件安全功能位于操作系统之下、计算环境的底层,即硬件加密认证模块负责对所接收到的外部网络包进行处理,所有无法通过加密认证处理的非法网络包将被直接丢弃,保证本系统的操作系统只能接触到合法网络包。因此,外部攻击者无法绕过硬件加密认证模块,直接对本系统的操作系统实施各类已知或未知漏洞/后门攻击,即只有合法的用户才能在外部进行可信网络接入。
此外,本系统将数据平面和防御平面的垂直解耦,密钥管理等安全功能与网络包的收发通过不同的数据通路进行数据传输,而外部攻击者发送的全部网络包均处于数据平面,无法直接获得防御平面中的密钥信息。数据平面和防御平面相交的部分仅为硬件加密认证模块执行的加解密和完整性认证功能,外部攻击者同样无法绕过硬件加密认证模块,直接对本系统的密码管理模块实施攻击。
本发明技术方案的进一步改进在于:网络包收发模块包括与外网双向连接的第一外部网络接口、与第一外部网络接口单向连接的配置部件、与第一外部网络接口双向连接的第一内部网络接口,第一内部网络接口连接硬件加密认证模块;
硬件加密认证模块包括与网络包收发模块的第一内部网络接口双向连接的第二外部网络接口、与第二外部网络接口双向连接的包处理部件、与包处理部件分别双向连接的第二通信接口和第二内部网络接口,第二通信接口双向连接密码管理模块,第二通信接口同时单向连接第二内部网络接口,第二内部网络接口双向连接数据整流模块;
密码管理模块包括与硬件加密认证模块的第二通信接口连接的第三通信接口、与第三通信接口双向连接的密码管理部件和隧道协商部件,密码管理部件和隧道协商部件之间也双向连接;
数据整流模块包括与硬件加密认证模块的第二内部网络接口双向连接的第三外部网络接口、与第三外部网络接口双向连接的网络包整流部件、与网络包整流部件双向连接的第三内部网络接口和IP地址映射部件,其中第三外部网络接口包括单向IP映射接口和数据包传输接口,单向IP映射接口与硬件加密认证模块的第二内部网络接口和IP地址映射部件单向连接,数据包传输接口与硬件加密认证模块的第二内部网络接口和网络包整流部件双向连接。
本发明技术方案的进一步改进在于:网络包收发模块的第一外部网络接口包括有线网络接口和无线网络接口,有线网络接口和无线网络接口均与外网和第一内部网络接口双向连接、并均与配置部件单向连接;
硬件加密认证模块的包处理部件包括依次连接的网络包解析组件、包策略组件、加解密组件、完整性保护/认证组件,其中网络包解析组件与第二外部网络接口、第二内部网络接口、第二通信接口、加解密组件分别连接,包策略组件分别双向连接第二内部网络接口和第二通信接口,完整性保护/认证组件分别连接包策略组件和第二外部网络接口。
本发明技术方案的进一步改进在于:网络包收发模块收发的网络包基于UDP协议,该基于UDP协议的网络包包括IP报头、UDP报头、安全参数索引SPI、序列号SeqNum、初始化向量IV、载荷 Payload、完整性校验值ICV。
一种可信网络接入方法,利用了上述的接入系统,应用于成对使用的安全边界设备上,也就是本接入系统也是成对使用,具体接入过程为:根据降维防御原则,通过硬件加密认证模块将外网与安全边界设备操作系统进行隔离,将网络包的认证加密功能部署于安全边界设备操作系统之前,阻止攻击者对安全边界设备的攻击;通过建立认证加密隧道,将数据平面和防御平面进行硬件解耦,实现对接入网络数据包的认证和机密性保护。
本发明技术方案的进一步改进在于:建立认证加密隧道包括如下步骤:
步骤a、隧道建立流程:隧道的建立由终端节点发起,作为终端节点的远程可信网络接入设备首先通过其密码管理模块获取中心节点设备的设备公钥以及自身的设备公钥,然后利用中心节点设备公钥构造包含自身设备公钥的握手消息,发送给中心节点;作为中心节点的设备接收到握手消息后进行解析,由其密码管理模块验证终端节点的设备公钥,如果终端节点的设备公钥合法,则由密码管理模块计算响应数据和隧道密钥,否则中止隧道建立流程;
中心节点先将计算出来的隧道密钥以及相关信息进行存储,再将内外网IP映射关系、索引参数、初始化向量信息发送给其数据整流模块,完成中心节点处的隧道建立;同时,中心节点利用终端节点设备公钥构造响应消息,并将响应消息发送回终端节点;终端节点收到响应消息后,由其密码管理模块计算隧道密钥,如果成功则将隧道密钥以及相关信息进行存储,并将内外网IP映射关系、索引参数、初始化向量等信息发送给其数据整流模块,完成隧道建立流程,否则中止隧道建立流程;
步骤b、隧道更新流程:一旦隧道建立,作为终端节点的设备立即启动隧道的更新流程;首先,如果存在旧的隧道,则销毁旧的隧道;同时启动隧道定时器和网络包计数器,一旦定时器超时,或者网络包计数器达到预设阈值,则重新发起新的隧道建立流程;作为中心节点的设备,则是在隧道建立完成之后,启动定时器和网络包计数器,一旦定时器超时或者网络包计数器达到预设阈值,则销毁该隧道,等待新的隧道建立;
步骤c、外部网络包接收流程:由硬件加密认证模块对从网络包收发模块接收的网络包进行解密和完整性认证,只有通过认证的网络包才可以转发到数据整流模块,由数据整流模块解除隧道封装,然后转发进内网;从网络包收发模块接收的ARP包可以通过硬件加密认证模块,由数据整流模块处理,从而实现网络的连通性;从网络包收发模块接收的隧道协商包也可以通过硬件加密认证模块,由密码管理模块处理,从而实现隧道的建立和更新;
步骤d、内部网络包发送流程:将数据整流模块连接内网,由数据整流模块将对接收的内网网络包将进行隧道封装,然后交由硬件加密认证模块完成加密和完整性保护操作,并对网络包的相关域进行更新,最后由网络包收发模块将封装好的网络包发送出去;接收到的ARP包则由数据整流模块直接处理,实现网络的连通性。
本发明技术方案的进一步改进在于:步骤a在建立隧道后,内外网IP映射关系、索引参数、初始化向量这些隧道信息在不同模块间流转的方向如下:
1)密码管理模块的第三通信接口将上述隧道信息发送给硬件加密认证模块的第二通信接口;
2)硬件加密认证模块的第二通信接口单向将上述隧道信息发送给第二内部网络接口,再由第二内部网络接口发送给数据整流模块;
3)数据整流模块的第三外部网络接口收到隧道信息后,通过单向IP映射接口将隧道信息单向发送给IP地址映射部件;
对于网络包,在数据整流模块内部的处理如下:
1)对于从第三内部网络接口接收的ARP包,由网络包整流部件直接处理,保证网络连通性;
2)对于从第三内部网络接口接收的普通网络包,由网络包整流部件根据网络包报头信息,通过查询IP地址映射部件,获取对应的IP地址映射信息,对网络包进行整流操作,构造新的网络包,并通过第三外部网络接口的数据包传输接口发送给硬件加密认证模块;
3)对于从第三外部网络接口接收的普通网络包,通过数据包传输接口发送给网络包整流部件,由网络包整流部件根据网络包报头信息,通过查询IP地址映射部件,获取对应的IP地址映射信息,对网络包进行解包操作,还原原有的网络包,并通过第三内部网络接口发送给内网。
本发明技术方案的进一步改进在于:硬件加密认证模块的包处理部件的网络包解析组件、包策略组件、加解密组件、完整性保护/认证组件的工作流程如下:
Step1、当包处理部件从第二外部网络接口接收到网络包后:
1)首先由网络包解析组件进行网络包解析,确认网络包的报头信息;
2)然后根据上述信息到包策略组件查询策略是否是ARP包,如果是ARP包则直接发送到内部网络接口;
3)对于非ARP包的其它网络包,根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行解密和完整性认证的密钥等信息,获取上述信息后由加解密组件和完整性保护/认证组件对网络包执行解密和完整性认证,并丢弃未通过认证的网络包;
4)对于通过认证的网络包,根据包策略组件查询隧道协商包和普通数据包的策略:
a)对于隧道协商包,则通过第二通信接口发送给密码管理模块处理;
b)对于普通数据包,则通过第二内部网络接口发送给数据整流模块处理;
Step2、当包处理部件从第二内部网络接口接收到网络包后:
1)首先由网络包解析组件进行网络包解析,确认网络包的报头信息;
2)根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行加密和完整性保护的密钥等信息,获取上述信息后由加解密组件和完整性保护/认证组件对网络包执行加密和完整性保护;
3)接下来将处理完的网络包发送给第二外部网络接口。
本发明技术方案的进一步改进在于:。
由于采用了上述技术方案,本发明取得的有益效果是:本发明的系统解决了高安全性、高敏感场景远程可信网络接入问题,在提高了工作效率的同时,有效化解计算平台漏洞和缺陷导致的安全功能被旁路或者安全边界设备被攻破的安全风险,实现对内网资源的高安全保护。本发明的远程可信网络接入方法,有效提高安全边界设备安全性,从而实现对内网资源高安全保护的目的,具有极高的推广应用价值。
和传统的安全边界设备相比,本系统具有不同的网络包的处理方式和流程。网络包直接进入本系统硬件加密认证模块,由硬件电路直接完成网络包的处理,该电路的实现不依赖于任何第三方的代码,电路结构极为简洁,仅仅不到500行的硬件代码,是整个系统的可信基,极小的代码量非常方便安全性审计,保证了安全根的可信性。
由于本系统特殊的系统架构,本系统的核心安全功能(加解密和完整性认证)通过不可修改的硬件模块方式实现于本系统的操作系统之前,从网络结构图上看,硬件安全功能位于操作系统之下、计算环境的底层,即硬件加密认证模块负责对所接收到的外部网络包进行处理,所有无法通过加密认证处理的非法网络包将被直接丢弃,保证本系统的操作系统只能接触到合法网络包。因此,外部攻击者无法绕过硬件加密认证模块,直接对本系统的操作系统实施各类已知或未知漏洞/后门攻击,即只有合法的用户才能在外部进行可信网络接入。
此外,本系统将数据平面和防御平面的垂直解耦,密钥管理等安全功能与网络包的收发通过不同的数据通路进行数据传输,而外部攻击者发送的全部网络包均处于数据平面,无法直接获得防御平面中的密钥信息。数据平面和防御平面相交的部分仅为硬件加密认证模块执行的加解密和完整性认证功能,外部攻击者同样无法绕过硬件加密认证模块,直接对本系统的密码管理模块实施攻击。
附图说明
图1是传统安全边界设备的安全威胁示意图;
图2是本发明系统的结构图;
图3是本发明的网络包收发模块逻辑结构图;
图4是本发明的硬件加密认证模块逻辑结构图;
图5是本发明的密码管理模块逻辑结构图;
图6是本发明的数据整流模块逻辑结构图;
图7是本发明的网络包格式示意图;
图8是本发明的典型应用场景示意图;
图9是本发明的隧道建立流程图;
图10是本发明的隧道更新流程图;
图11是本发明的外部网络包接收流程图;
图12是本发明的内部网络包发送流程图。
具体实施方式
下面结合实施例对本发明做进一步详细说明。
本发明公开了一种可信网络接入方法和系统,参见图1-图12,包括采用垂直式的信息流处理架构,包括垂直解耦式的数据平面和防御平面,在数据平面上,通过接口形式进行网络包整流和传输功能调用,实现网络包的收发;在防御平面上,实现网络包的加解密、完整性认证、密钥管理的安全功能;而数据平面和防御平面相交的部分通过不可修改的方式实现于操作系统之下、计算环境的底层,用以完成网络包的加解密和完整性操作。
不可修改的方式为硬件模块方式的硬件电路,硬件电路直接完成网络包的处理,该硬件电路的实现不依赖于任何第三方的代码,硬件电路结构极为简洁,仅仅不到500行的硬件代码,是整个系统的可信基,极小的代码量非常方便安全性审计,保证了安全根的可信性。
数据平面包括依次连接的网络包收发模块、硬件加密认证模块和数据整流模块,其中网络包收发模块与外网双向连接,数据整流模块与内网双向连接;防御平面包括硬件加密认证模块、与硬件加密认证模块双向连接的密码管理模块。
由于本系统特殊的系统架构,本系统的核心安全功能(加解密和完整性认证)通过不可修改的硬件模块方式实现于本系统的操作系统之前,从网络结构图上看,硬件安全功能位于操作系统之下、计算环境的底层,即硬件加密认证模块负责对所接收到的外部网络包进行处理,所有无法通过加密认证处理的非法网络包将被直接丢弃,保证本系统的操作系统只能接触到合法网络包。因此,外部攻击者无法绕过硬件加密认证模块,直接对本系统的操作系统实施各类已知或未知漏洞/后门攻击,即只有合法的用户才能在外部进行可信网络接入。
此外,本系统将数据平面和防御平面的垂直解耦,密钥管理等安全功能与网络包的收发通过不同的数据通路进行数据传输,而外部攻击者发送的全部网络包均处于数据平面,无法直接获得防御平面中的密钥信息。数据平面和防御平面相交的部分仅为硬件加密认证模块执行的加解密和完整性认证功能,外部攻击者同样无法绕过硬件加密认证模块,直接对本系统的密码管理模块实施攻击。
数据平面包括依次连接的网络包收发模块、硬件加密认证模块和数据整流模块,其中网络包收发模块与外网双向连接,数据整流模块与内网双向连接;防御平面包括硬件加密认证模块、与硬件加密认证模块双向连接的密码管理模块。
网络包收发模块包括与外网双向连接的第一外部网络接口、与第一外部网络接口单向连接的配置部件、与第一外部网络接口双向连接的第一内部网络接口,第一内部网络接口连接硬件加密认证模块;网络包收发模块负责将外网数据包接收,并将数据包发送给硬件加密认证模块;以及将从硬件加密认证模块接收的数据包发送到外网。网络包收发模块的第一外部网络接口包括有线网络接口和无线网络接口,有线网络接口和无线网络接口均与外网和第一内部网络接口双向连接、并均与配置部件单向连接;
第一外部网络接口包含有线网络接口和无线网络接口,负责接收外网发送过来的网络包,并转发给第一内部网络接口;以及将第一内部网络接口接收的网络包接收,并发送到外网。第一内部网络接口包含有线网络接口,负责接收硬件加密认证模块发送过来的网络包,并转发给第一外部网络接口;以及接收第一外部网络接口发送过来的网络包,并转发给硬件加密认证模块。配置部件负责配置第一外部网络接口的工作模式和工作参数,包括是否开启无线网络接口、选择无线网络、配置IP地址、配置通信参数等。
硬件加密认证模块负责对从网络包收发模块接收的数据包进行完整性验证和解密操作,并将通过完整性验证的数据包发送给数据整流模块;对从数据整流模块发送过来的数据包进行加密操作和完整性保护,并将其发送到网络包收发模块。硬件加密认证模块包括与网络包收发模块的第一内部网络接口双向连接的第二外部网络接口、与第二外部网络接口双向连接的包处理部件、与包处理部件分别双向连接的第二通信接口和第二内部网络接口,第二通信接口双向连接密码管理模块,第二通信接口同时单向连接第二内部网络接口,第二内部网络接口双向连接数据整流模块。
密码管理模块负责对远程可信网络接入系统所使用的全部安全功能和密码操作进行管理,协商产生通信隧道。密码管理模块包括与硬件加密认证模块的第二通信接口连接的第三通信接口、与第三通信接口双向连接的密码管理部件和隧道协商部件,密码管理部件和隧道协商部件之间也双向连接;
第三通信接口负责将硬件加密认证模块发送的请求转发给密码管理部件,并将密码管理部件反馈的密钥等信息发送给硬件认证加密模块;以及将隧道建立或更新时的隧道协商网络包等信息发送给隧道协商部件,并将隧道协商部件产生的隧道协商网络包等信息发送给硬件加密认证模块。密码管理部件负责处理第三通信接口和隧道协商部件发送过来的各类密码请求,包括密钥管理、密码计算等,并将各类密码请求的结果反馈给第三通信接口和隧道协商部件。隧道协商部件负责进行隧道建立和更新操作,包括接收并解析第三通信接口发送的隧道协商网络包,向密码管理部件发送隧道协商相关的密码请求,将所产生的隧道协商网络包和建立隧道后的内外网IP映射关系、索引参数、初始化向量等信息发送给第三通信接口。
数据整流模块负责将内网待发的数据包进行整流、封装,使其符合通信隧道的数据格式,并发送给硬件加密认证模块;对从外网接收并通过硬件加密认证模块验证和解密的数据包进行解封装、整流,并将其发送到内网。
数据整流模块包括与硬件加密认证模块的第二内部网络接口双向连接的第三外部网络接口、与第三外部网络接口双向连接的网络包整流部件、与网络包整流部件双向连接的第三内部网络接口和IP地址映射部件,其中第三外部网络接口包括单向IP映射接口和数据包传输接口,单向IP映射接口与硬件加密认证模块的第二内部网络接口和IP地址映射部件单向连接,数据包传输接口与硬件加密认证模块的第二内部网络接口和网络包整流部件双向连接。
第三外部网络接口包含有单向IP映射接口和数据包传输接口,其中单向IP映射接口负责在隧道建立或更新后,接收由硬件加密认证模块传输过来的内外网IP映射关系、索引参数等信息,并转发给IP地址映射部件;数据包传输接口负责将网络包整流部件封装后的网络包转发给硬件加密认证模块,并将通过硬件加密认证模块认证解密的网络包转发给网络包整流部件。IP地址映射部件接收并存储内外网IP映射关系、索引参数、初始化向量等信息,并根据网络包整流部件的请求,将对应信息发送给网络包整流部件。网络包整流部件负责将第三内部网络接口接收的网络包进行封装,以及将第三外部网络接口接收的网络包进行解封装;进行封装操作时,根据所接收网络包的IP报头,向IP地址映射部件发送请求,并根据IP地址映射部件返回的相关信息完成网络包封装。第三内部网络接口负责将内网网络包转发给网络包整流部件,并将网络包整流部件解封装后的网络包转发到内网。
硬件加密认证模块的包处理部件包括依次连接的网络包解析组件、包策略组件、加解密组件、完整性保护/认证组件,其中网络包解析组件与第二外部网络接口、第二内部网络接口、第二通信接口、加解密组件分别连接,包策略组件分别双向连接第二内部网络接口和第二通信接口,完整性保护/认证组件分别连接包策略组件和第二外部网络接口。
第二外部网络接口负责接收网络包收发模块发送过来的网络包,并转发给包处理部件;以及将包处理部件处理后的网络包发送到网络包收发模块。包处理部件负责对收到的网络包进行处理:对于从第二外部网络接口接收的网络包,首先进行网络包解析,如果是ARP包则直接发送到第二内部网络接口,然后根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行解密和完整性认证的密钥等信息,获取上述信息后对网络包执行解密和完整性认证,并丢弃未通过认证的网络包,通过认证的网络包如果是隧道协商包,则通过第二通信接口发送给密码管理模块处理,如果是普通数据包,则通过第二内部网络接口发送给数据整流模块处理;
对于从第二内部网络接口或第二通信接口接收的网络包,首先进行网络包解析,然后根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行加密和完整性保护的密钥等信息,获取上述信息后对网络包执行加密和完整性保护,最后通过第二外部网络接口发送给网络包收发模块。第二通信接口负责将包处理部件发送的请求、通过认证的隧道协商包转发给密码管理模块,并将密码管理模块反馈的密钥等信息、隧道协商包发送给包处理部件;以及建立隧道后,将内外网IP映射关系、索引参数、初始化向量等隧道信息单向通过第二内部网络接口发送给数据整流模块。第二内部网络接口负责接收数据整流模块发送过来的网络包,并转发给包处理部件;以及将包处理部件处理后的网络包、第二通信接口发送过来的隧道信息转发给数据整流模块。
本系统所定义的网络包基于UDP协议,除了原有的IP报头和UDP报头,增添了新的数据格式,包括安全参数索引SPI、序列号SeqNum、初始化向量IV、载荷 Payload、完整性校验值ICV。
·安全参数索引 SPI:安全参数索引表示该网络包所使用的加解密密钥和完整性认证密钥的索引信息。
·序列号 SeqNum:序列号表示所发送网络包的序号,每次增加1(大端表示)。
·初始化向量 IV:部分加解密或完整性认证算法所需要的初始化向量。
·载荷 Payload:通过加密操作封装的原始IP报文,包括原始报文IP Packet,填充Padding,以及填充长度Padding Length。
·完整性校验值 ICV:Payload域明文对应的校验值。
远程可信网络接入系统采用Client/Serve架构,即需要区分中心节点和终端节点。一般而言,受保护的内网边界上部署远程可信网络接入系统的中心节点,而从外部网络申请接入内网时需要使用终端节点。因此,远程可信网络接入系统应成对使用,其典型应用场景包括驻外办公网络远程接入受保护的内网、外地出差的办公人员接入受保护的内网,如图8所示。
一种可信网络接入方法,利用了上述的系统,应用于成对使用的安全边界设备上,接入过程为:根据降维防御原则,通过硬件加密认证模块将外网与安全边界设备操作系统进行隔离,将网络包的认证加密功能部署于安全边界设备操作系统之前,阻止攻击者对安全边界设备的攻击;通过建立认证加密隧道,将数据平面和防御平面进行硬件解耦,实现对接入网络数据包的认证和机密性保护。
建立认证加密隧道包括如下步骤:
步骤a、隧道建立流程:隧道的建立由终端节点发起,作为终端节点的远程可信网络接入设备首先通过其密码管理模块获取中心节点设备的设备公钥以及自身的设备公钥,然后利用中心节点设备公钥构造包含自身设备公钥的握手消息,发送给中心节点;作为中心节点的设备接收到握手消息后进行解析,由其密码管理模块验证终端节点的设备公钥,如果终端节点的设备公钥合法,则由密码管理模块计算响应数据和隧道密钥,否则中止隧道建立流程;
中心节点先将计算出来的隧道密钥以及相关信息进行存储,再将内外网IP映射关系、索引参数、初始化向量信息发送给其数据整流模块,完成中心节点处的隧道建立;同时,中心节点利用终端节点设备公钥构造响应消息,并将响应消息发送回终端节点;终端节点收到响应消息后,由其密码管理模块计算隧道密钥,如果成功则将隧道密钥以及相关信息进行存储,并将内外网IP映射关系、索引参数、初始化向量等信息发送给其数据整流模块,完成隧道建立流程,否则中止隧道建立流程,具体见图9;
步骤b、隧道更新流程:一旦隧道建立,作为终端节点的设备立即启动隧道的更新流程;首先,如果存在旧的隧道,则销毁旧的隧道;同时启动隧道定时器和网络包计数器,一旦定时器超时,或者网络包计数器达到预设阈值,则重新发起新的隧道建立流程;作为中心节点的设备,则是在隧道建立完成之后,启动定时器和网络包计数器,一旦定时器超时或者网络包计数器达到预设阈值,则销毁该隧道,等待新的隧道建立,具体见图10;
步骤c、外部网络包接收流程:由硬件加密认证模块对从网络包收发模块接收的网络包进行解密和完整性认证,只有通过认证的网络包才可以转发到数据整流模块,由数据整流模块解除隧道封装,然后转发进内网;从网络包收发模块接收的ARP包可以通过硬件加密认证模块,由数据整流模块处理,从而实现网络的连通性;从网络包收发模块接收的隧道协商包也可以通过硬件加密认证模块,由密码管理模块处理,从而实现隧道的建立和更新,具体见图11;
步骤d、内部网络包发送流程:将数据整流模块连接内网,由数据整流模块将对接收的内网网络包将进行隧道封装,然后交由硬件加密认证模块完成加密和完整性保护操作,并对网络包的相关域进行更新,最后由网络包收发模块将封装好的网络包发送出去;接收到的ARP包则由数据整流模块直接处理,实现网络的连通性,具体见图12。
步骤a在建立隧道后,内外网IP映射关系、索引参数、初始化向量这些隧道信息在不同模块间流转的方向如下:
1)密码管理模块的第三通信接口将上述隧道信息发送给硬件加密认证模块的第二通信接口;
2)硬件加密认证模块的第二通信接口单向将上述隧道信息发送给第二内部网络接口,再由第二内部网络接口发送给数据整流模块;
3)数据整流模块的第三外部网络接口收到隧道信息后,通过单向IP映射接口将隧道信息单向发送给IP地址映射部件;
对于网络包,在数据整流模块内部的处理如下:
1)对于从第三内部网络接口接收的ARP包,由网络包整流部件直接处理,保证网络连通性;
2)对于从第三内部网络接口接收的普通网络包,由网络包整流部件根据网络包报头信息,通过查询IP地址映射部件,获取对应的IP地址映射信息,对网络包进行整流操作,构造新的网络包,并通过第三外部网络接口的数据包传输接口发送给硬件加密认证模块;
3)对于从第三外部网络接口接收的普通网络包,通过数据包传输接口发送给网络包整流部件,由网络包整流部件根据网络包报头信息,通过查询IP地址映射部件,获取对应的IP地址映射信息,对网络包进行解包操作,还原原有的网络包,并通过第三内部网络接口发送给内网。
硬件加密认证模块的包处理部件的网络包解析组件、包策略组件、加解密组件、完整性保护/认证组件的工作流程如下:
Step1、当包处理部件从第二外部网络接口接收到网络包后:
1)首先由网络包解析组件进行网络包解析,确认网络包的报头信息;
2)然后根据上述信息到包策略组件查询策略是否是ARP包,如果是ARP包则直接发送到内部网络接口;
3)对于非ARP包的其它网络包,根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行解密和完整性认证的密钥等信息,获取上述信息后由加解密组件和完整性保护/认证组件对网络包执行解密和完整性认证,并丢弃未通过认证的网络包;
4)对于通过认证的网络包,根据包策略组件查询隧道协商包和普通数据包的策略:
a)对于隧道协商包,则通过第二通信接口发送给密码管理模块处理;
b)对于普通数据包,则通过第二内部网络接口发送给数据整流模块处理;
Step2、当包处理部件从第二内部网络接口接收到网络包后:
1)首先由网络包解析组件进行网络包解析,确认网络包的报头信息;
2)根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行加密和完整性保护的密钥等信息,获取上述信息后由加解密组件和完整性保护/认证组件对网络包执行加密和完整性保护;
3)接下来将处理完的网络包发送给第二外部网络接口。
Claims (7)
1.一种可信网络接入系统,其特征在于:采用垂直式的信息流处理架构,包括垂直解耦式的数据平面和防御平面,在数据平面上,通过接口形式进行网络包整流和传输功能调用,实现网络包的收发;在防御平面上,实现网络包的加解密、完整性认证、密钥管理的安全功能;而数据平面和防御平面相交的部分通过不可修改的方式实现于操作系统之下、计算环境的底层,用以完成网络包的加解密和完整性操作;
不可修改的方式为硬件模块方式;
数据平面包括依次连接的网络包收发模块、硬件加密认证模块和数据整流模块,其中网络包收发模块与外网双向连接,数据整流模块与内网双向连接;防御平面包括硬件加密认证模块、与硬件加密认证模块双向连接的密码管理模块;
网络包收发模块包括与外网双向连接的第一外部网络接口、与第一外部网络接口单向连接的配置部件、与第一外部网络接口双向连接的第一内部网络接口,第一内部网络接口连接硬件加密认证模块;
硬件加密认证模块包括与网络包收发模块的第一内部网络接口双向连接的第二外部网络接口、与第二外部网络接口双向连接的包处理部件、与包处理部件分别双向连接的第二通信接口和第二内部网络接口,第二通信接口双向连接密码管理模块,第二通信接口同时单向连接第二内部网络接口,第二内部网络接口双向连接数据整流模块;
密码管理模块包括与硬件加密认证模块的第二通信接口连接的第三通信接口、与第三通信接口双向连接的密码管理部件和隧道协商部件,密码管理部件和隧道协商部件之间也双向连接;
数据整流模块包括与硬件加密认证模块的第二内部网络接口双向连接的第三外部网络接口、与第三外部网络接口双向连接的网络包整流部件、与网络包整流部件双向连接的第三内部网络接口和IP地址映射部件,其中第三外部网络接口包括单向IP映射接口和数据包传输接口,单向IP映射接口与硬件加密认证模块的第二内部网络接口和IP地址映射部件单向连接,数据包传输接口与硬件加密认证模块的第二内部网络接口和网络包整流部件双向连接。
2.根据权利要求1所述的一种可信网络接入系统,其特征在于:网络包收发模块的第一外部网络接口包括有线网络接口和无线网络接口,有线网络接口和无线网络接口均与外网和第一内部网络接口双向连接、并均与配置部件单向连接;
硬件加密认证模块的包处理部件包括依次连接的网络包解析组件、包策略组件、加解密组件、完整性保护/认证组件,其中网络包解析组件与第二外部网络接口、第二内部网络接口、第二通信接口、加解密组件分别连接,包策略组件分别双向连接第二内部网络接口和第二通信接口,完整性保护/认证组件分别连接包策略组件和第二外部网络接口。
3.根据权利要求2所述的一种可信网络接入系统,其特征在于:网络包收发模块收发的网络包基于UDP协议,该基于UDP协议的网络包包括IP报头、UDP报头、安全参数索引SPI、序列号SeqNum、初始化向量IV、载荷 Payload、完整性校验值ICV。
4.一种可信网络接入方法,其特征在于:利用了上述权利要求3所述的系统,应用于成对使用的安全边界设备上,接入过程为:根据降维防御原则,通过硬件加密认证模块将外网与安全边界设备操作系统进行隔离,将网络包的认证加密功能部署于安全边界设备操作系统之前,阻止攻击者对安全边界设备的攻击;通过建立认证加密隧道,将数据平面和防御平面进行硬件解耦,实现对接入网络数据包的认证和机密性保护。
5.根据权利要求4所述的一种可信网络接入方法,其特征在于:建立认证加密隧道包括如下步骤:
步骤a、隧道建立流程:隧道的建立由终端节点发起,作为终端节点的远程可信网络接入设备首先通过其密码管理模块获取中心节点设备的设备公钥以及自身的设备公钥,然后利用中心节点设备公钥构造包含自身设备公钥的握手消息,发送给中心节点;作为中心节点的设备接收到握手消息后进行解析,由其密码管理模块验证终端节点的设备公钥,如果终端节点的设备公钥合法,则由密码管理模块计算响应数据和隧道密钥,否则中止隧道建立流程;
中心节点先将计算出来的隧道密钥以及相关信息进行存储,再将内外网IP映射关系、索引参数、初始化向量信息发送给其数据整流模块,完成中心节点处的隧道建立;同时,中心节点利用终端节点设备公钥构造响应消息,并将响应消息发送回终端节点;终端节点收到响应消息后,由其密码管理模块计算隧道密钥,如果成功则将隧道密钥以及相关信息进行存储,并将内外网IP映射关系、索引参数、初始化向量信息发送给其数据整流模块,完成隧道建立流程,否则中止隧道建立流程;
步骤b、隧道更新流程:一旦隧道建立,作为终端节点的设备立即启动隧道的更新流程;首先,如果存在旧的隧道,则销毁旧的隧道;同时启动隧道定时器和网络包计数器,一旦定时器超时,或者网络包计数器达到预设阈值,则重新发起新的隧道建立流程;作为中心节点的设备,则是在隧道建立完成之后,启动定时器和网络包计数器,一旦定时器超时或者网络包计数器达到预设阈值,则销毁该隧道,等待新的隧道建立;
步骤c、外部网络包接收流程:由硬件加密认证模块对从网络包收发模块接收的网络包进行解密和完整性认证,只有通过认证的网络包才转发到数据整流模块,由数据整流模块解除隧道封装,然后转发进内网;从网络包收发模块接收的ARP包通过硬件加密认证模块,由数据整流模块处理,从而实现网络的连通性;从网络包收发模块接收的隧道协商包通过硬件加密认证模块,由密码管理模块处理,从而实现隧道的建立和更新;
步骤d、内部网络包发送流程:将数据整流模块连接内网,由数据整流模块将对接收的内网网络包将进行隧道封装,然后交由硬件加密认证模块完成加密和完整性保护操作,并对网络包的相关域进行更新,最后由网络包收发模块将封装好的网络包发送出去;接收到的ARP包则由数据整流模块直接处理,实现网络的连通性。
6.根据权利要求5所述的一种可信网络接入方法,其特征在于:步骤a在建立隧道后,内外网IP映射关系、索引参数、初始化向量这些隧道信息在不同模块间流转的方向如下:
1)密码管理模块的第三通信接口将上述隧道信息发送给硬件加密认证模块的第二通信接口;
2)硬件加密认证模块的第二通信接口单向将上述隧道信息发送给第二内部网络接口,再由第二内部网络接口发送给数据整流模块;
3)数据整流模块的第三外部网络接口收到隧道信息后,通过单向IP映射接口将隧道信息单向发送给IP地址映射部件;
对于网络包,在数据整流模块内部的处理如下:
1)对于从第三内部网络接口接收的ARP包,由网络包整流部件直接处理,保证网络连通性;
2)对于从第三内部网络接口接收的普通网络包,由网络包整流部件根据网络包报头信息,通过查询IP地址映射部件,获取对应的IP地址映射信息,对网络包进行整流操作,构造新的网络包,并通过第三外部网络接口的数据包传输接口发送给硬件加密认证模块;
3)对于从第三外部网络接口接收的普通网络包,通过数据包传输接口发送给网络包整流部件,由网络包整流部件根据网络包报头信息,通过查询IP地址映射部件,获取对应的IP地址映射信息,对网络包进行解包操作,还原原有的网络包,并通过第三内部网络接口发送给内网。
7.根据权利要求6所述的一种可信网络接入方法,其特征在于: 硬件加密认证模块的包处理部件的网络包解析组件、包策略组件、加解密组件、完整性保护/认证组件的工作流程如下:
Step1、当包处理部件从第二外部网络接口接收到网络包后:
1)首先由网络包解析组件进行网络包解析,确认网络包的报头信息;
2)然后根据上述信息到包策略组件查询策略是否是ARP包,如果是ARP包则直接发送到内部网络接口;
3)对于非ARP包的其它网络包,根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行解密和完整性认证的密钥信息,获取上述信息后由加解密组件和完整性保护/认证组件对网络包执行解密和完整性认证,并丢弃未通过认证的网络包;
4)对于通过认证的网络包,根据包策略组件查询隧道协商包和普通数据包的策略:
a)对于隧道协商包,则通过第二通信接口发送给密码管理模块处理;
b)对于普通数据包,则通过第二内部网络接口发送给数据整流模块处理;
Step2、当包处理部件从第二内部网络接口接收到网络包后:
1)首先由网络包解析组件进行网络包解析,确认网络包的报头信息;
2)根据网络包的报头信息,通过第二通信接口向密码管理模块请求执行加密和完整性保护的密钥信息,获取上述信息后由加解密组件和完整性保护/认证组件对网络包执行加密和完整性保护;
3)接下来将处理完的网络包发送给第二外部网络接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910673889.2A CN110492994B (zh) | 2019-07-25 | 2019-07-25 | 一种可信网络接入方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910673889.2A CN110492994B (zh) | 2019-07-25 | 2019-07-25 | 一种可信网络接入方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110492994A CN110492994A (zh) | 2019-11-22 |
| CN110492994B true CN110492994B (zh) | 2022-08-09 |
Family
ID=68548222
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910673889.2A Active CN110492994B (zh) | 2019-07-25 | 2019-07-25 | 一种可信网络接入方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110492994B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116319105B (zh) * | 2023-05-22 | 2023-08-15 | 北京中鼎昊硕科技有限责任公司 | 一种基于多路安全隧道的高可靠数据传输管理系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101291244B (zh) * | 2007-04-16 | 2011-07-20 | 深圳市维信联合科技有限公司 | 网络安全管理方法及其系统 |
| CN102664896A (zh) * | 2012-04-28 | 2012-09-12 | 郑州信大捷安信息技术股份有限公司 | 基于硬件加密的安全网络传输系统及传输方法 |
| CN102932338B (zh) * | 2012-10-24 | 2015-01-21 | 中国航天科工集团第二研究院七〇六所 | 一种安全的射频识别系统的网络接入系统及方法 |
| CN103812861B (zh) * | 2014-01-20 | 2017-02-08 | 广东电网公司电力科学研究院 | Ipsec vpn设备的隔离方法与系统 |
| CN103905451B (zh) * | 2014-04-03 | 2017-04-12 | 国网河南省电力公司电力科学研究院 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
| CN104580233B (zh) * | 2015-01-16 | 2017-09-01 | 重庆邮电大学 | 一种物联网智能家居安全网关系统 |
| CN106060003A (zh) * | 2016-05-09 | 2016-10-26 | 北京航天数控系统有限公司 | 一种网络边界单向隔离传输装置 |
| CN106506540A (zh) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | 一种抗攻击的内网数据传输方法及系统 |
| CN109005179B (zh) * | 2018-08-10 | 2020-11-06 | 常州中价之星软件技术有限公司 | 基于端口控制的网络安全隧道建立方法 |
-
2019
- 2019-07-25 CN CN201910673889.2A patent/CN110492994B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110492994A (zh) | 2019-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Breiling et al. | Secure communication for the robot operating system | |
| US9781114B2 (en) | Computer security system | |
| Yang et al. | A security analysis of the OAuth protocol | |
| CN103491072B (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| JP5911893B2 (ja) | 論理装置、処理方法及び処理装置 | |
| US6804777B2 (en) | System and method for application-level virtual private network | |
| JP2016530814A (ja) | 大量のvpn接続を遮断するためのゲートウェイデバイス | |
| Islam et al. | An analysis of cybersecurity attacks against internet of things and security solutions | |
| US20110107410A1 (en) | Methods, systems, and computer program products for controlling server access using an authentication server | |
| Rani et al. | Cyber security techniques, architectures, and design | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| CN110492994B (zh) | 一种可信网络接入方法和系统 | |
| Koilpillai | Software defined perimeter (SDP) a primer for cios | |
| KR20060044049A (ko) | 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 | |
| US20230351028A1 (en) | Secure element enforcing a security policy for device peripherals | |
| CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质 | |
| US8590031B2 (en) | Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server | |
| Kleberger et al. | Securing vehicle diagnostics in repair shops | |
| Kurnikov et al. | Using safekeeper to protect web passwords | |
| Ma et al. | Security modeling and analysis of mobile agent systems | |
| Schmidt et al. | Building a demilitarized zone with data encryption for grid environments | |
| KR101628094B1 (ko) | 보안 장비 및 그것의 접근 허용 방법 | |
| US12041168B2 (en) | Internet packet provenance to verify packet validity and control packet usage | |
| US20240015016A1 (en) | Internet packet provenance to verify packet validity and control packet usage | |
| CN108833395A (zh) | 一种基于硬件接入卡的外网接入认证系统及认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |