CN111818015A - 一种适用于远程节点访问的安全保护系统 - Google Patents
一种适用于远程节点访问的安全保护系统 Download PDFInfo
- Publication number
- CN111818015A CN111818015A CN202010522577.4A CN202010522577A CN111818015A CN 111818015 A CN111818015 A CN 111818015A CN 202010522577 A CN202010522577 A CN 202010522577A CN 111818015 A CN111818015 A CN 111818015A
- Authority
- CN
- China
- Prior art keywords
- protection system
- computer terminal
- area network
- local area
- pct
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及远程节点访问安全技术领域,且公开了一种适用于远程节点访问的安全保护系统,包括:运行有安全保护系统软件且部署在局域网络LANi内的认证服务器ASV,部署在局域网络LANi内的访问节点服务器ANSi,运行有安全保护系统软件且部署在局域网络LANj内的计算机终端PCTj;运行在认证服务器ASV上的安全保护系统对计算机终端PCTj的身份进行安全认证,只有计算机终端PCTj的身份通过了安全保护系统的安全认证,才允许部署在局域网络LANj内的计算机终端PCTj访问部署在局域网络LANi内的访问节点服务器ANSi。本发明解决了远程节点访问模式没有独立的安全鉴别机制,存在入侵者容易盗取并破坏局域网信息的问题。
Description
技术领域
本发明涉及远程节点访问安全技术领域,具体为一种适用于远程节点访问的安全保护系统。
背景技术
远程访问在提升了便利性的同时,也给企业或者其他单位的局域网的安全性带来了新的隐患,由于大多数的远程访问程序并不提供安全策略,同时也没有独立的安全鉴别机制,从而增加了局城网被攻击的可能性。
对局城网的远程访问往往是要通过一台远程计算机连接到一个远程访问服务器之上,然后再访问服务器上的应用程序,这种访问模式被称之为远程节点访问模式。这种访问模式,同样有很强的安全隐患,入侵者可以依据Telent技术以及SSH技术在入侵之后盗取局域网共享资料或者其他信息,并且对信息造成破坏。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供一种适用于远程节点访问的安全保护系统,以解决远程节点访问模式没有独立的安全鉴别机制,存在入侵者容易盗取并破坏局域网信息的问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种适用于远程节点访问的安全保护系统,包括:运行有安全保护系统软件且部署在局域网络LANi内的认证服务器ASV,部署在局域网络LANi内的访问节点服务器ANSi,运行有安全保护系统软件且部署在局域网络LANj内的计算机终端PCTj;
计算机终端PCTj通过局域网络LANi和局域网络LANj与访问节点服务器ANSi进行通信连接,访问节点服务器ANSi通过局域网络LANi与认证服务器ASV进行通信连接,认证服务器ASV通过局域网络LANi和局域网络LANj与计算机终端PCTj进行通信连接;
运行在认证服务器ASV上的安全保护系统对计算机终端PCTj的身份进行安全认证,该认证方法包括以下步骤:
步骤一:计算机终端PCTj在认证服务器ASV的安全保护系统上进行用户注册,具体包括:
①安全保护系统随机生成并向计算机终端PCTj公开下述参数:
一个强素数p(p≥2512),一个数组arry:{a0,a1,a2,a3,a4,a5},其中数组元素均是有限域上的离散素数;设曲线E的定义域在有限域上,生成P∈E;
②计算机终端PCTj随机选择一个x(1<x<p)、设定yi=f(x)是y关于x的次多项式yi=∑aixi,其中i为正整数;
将多项式yi=∑aixi向安全保护系统公开;
步骤二:安全保护系统对计算机终端PCTj进行安全认证,具体的认证过程为:
①计算机终端PCTj随机产生一个数R1,计算V=R1P(modp),将V发送给安全保护系统;
②安全保护系统随机生成i的一个数值m,将i的一个数值m返回给计算机终端PCTj;
③计算机终端PCTj接收到数值m之后,开始计算ym=∑amxm、Y=ymP,将ym,Y发送给安全保护系统;
④安全保护系统随机产生一个数R2,计算r=V+R2Y(modp),将数值R2发送给计算机终端PCTj;
⑤计算机终端PCTj接收到R2,计算S=R1+R2ym(modp),将S发送给安全保护系统;
⑥安全保护系统接收到S后,开始计算r′=SP(modp),之后验证等式r=r′是否成立;
如果等式r=r′成立,则安全保护系统通过计算机终端PCTj的身份认证。
优选的,所述认证服务器ASV的安全保护系统对计算机终端PCTj的身份进行安全认证,只有计算机终端PCTj的身份通过了安全保护系统的安全认证,才允许部署在局域网络LANj内的计算机终端PCTj访问部署在局域网络LANi内的访问节点服务器ANSi。
优选的,所述数值x为计算机终端PCTj的私有密钥PSKi。
优选的,所述参数i的取值范围为[2,5]。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
本发明为了阻止部署在远程节点局域网络LANj内的计算机终端PCTj入侵破坏局域网络LANi的情况,当部署在局域网络LANj内的计算机终端PCTj向部署在局域网络LANi内的访问节点服务器ANSi发送访问请求时,运行在认证服务器ASV上的安全保护系统开始对计算机终端PCTj的身份进行安全认证,并且只有计算机终端PCTj的身份通过了安全保护系统的安全认证,才允许部署在局域网络LANj内的计算机终端PCTj访问部署在局域网络LANi内的访问节点服务器ANSi;
从而解决了远程节点访问模式没有独立的安全鉴别机制,存在入侵者容易盗取并破坏局域网信息的问题。
2.本发明中的认证协议是基于“挑战-应答”方式,可以有效地防止重放攻击,而且验证者可以通过产生的随机数i决定yi,每次交互时yi是随机的,当监听者想要冒充证明者计算机终端PCTj时它无法确定收到的“挑战”是什么,很难取得验证者安全保护系统的信任,这不仅有效改善了系统的可重置性,而且极大地提高了认证的安全性。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种适用于远程节点访问的安全保护系统,包括:运行有安全保护系统软件且部署在局域网络LANi内的认证服务器ASV,部署在局域网络LANi内的访问节点服务器ANSi,运行有安全保护系统软件且部署在局域网络LANj内的计算机终端PCTj;
计算机终端PCTj通过局域网络LANi和局域网络LANj与访问节点服务器ANSi进行通信连接,访问节点服务器ANSi通过局域网络LANi与认证服务器ASV进行通信连接,认证服务器ASV通过局域网络LANi和局域网络LANj与计算机终端PCTj进行通信连接;
为了阻止部署在远程节点局域网络LANj内的计算机终端PCTj入侵破坏局域网络LANi的情况,当部署在局域网络LANj内的计算机终端PCTj向部署在局域网络LANi内的访问节点服务器ANSi发送访问请求时,运行在认证服务器ASV上的安全保护系统开始对计算机终端PCTj的身份进行安全认证,并且只有计算机终端PCTj的身份通过了运行在认证服务器ASV上的安全保护系统的安全认证,才允许部署在局域网络LANj内的计算机终端PCTj访问部署在局域网络LANi内的访问节点服务器ANSi;
运行在认证服务器ASV上的安全保护系统对计算机终端PCTj的身份进行安全认证,该认证方法包括以下步骤:
步骤一:计算机终端PCTj在认证服务器ASV的安全保护系统上进行用户注册,具体包括:
①安全保护系统随机生成并向计算机终端PCTj公开下述参数:
一个强素数p(p≥2512),一个数组arry:{a0,a1,a2,a3,a4,a5},其中数组元素均是有限域上的离散素数;设曲线E的定义域在有限域上,生成P∈E,P能够产生的群元素足够多;
②计算机终端PCTj随机选择一个x(1<x<p)、设定yi=f(x)是y关于x的次多项式yi=∑aixi,其中i为正整数,且满足i∈[2,5];
将多项式yi=∑aixi向安全保护系统公开;
其中,数值x为计算机终端PCTj的私有密钥PSKi;
步骤二:运行在认证服务器ASV上的安全保护系统对计算机终端PCTj进行安全认证,具体的认证过程为:
①计算机终端PCTj随机产生一个数R1,计算V=R1P(modp),将V发送给安全保护系统;
②安全保护系统随机生成i的一个数值m,将i的一个数值m返回给计算机终端PCTj;
③计算机终端PCTj接收到数值m之后,开始计算ym=∑amxm、Y=ymP,将ym,Y发送给安全保护系统;
④安全保护系统随机产生一个数R2,计算r=V+R2Y(modp),将数值R2发送给计算机终端PCTj;
⑤计算机终端PCTj接收到R2,计算S=R1+R2ym(modp),将S发送给安全保护系统;
⑥安全保护系统接收到S后,开始计算r′=SP(modp),之后验证等式r=r′是否成立;
如果等式r=r′成立,证明计算机终端PCTj知道数值x这一私有密钥PSKi,则安全保护系统通过计算机终端PCTj的身份认证;
其中,任何攻击者,也包括不诚信的验证者,截获P、V或Y,若想求出R1或者yi均可视为求解有限域上的椭圆曲线E,这无疑是非常困难的;
本方案是基于“挑战-应答”方式,可以有效地防止重放攻击,而且验证者可以通过产生的随机数i决定yi,每次交互时yi是随机的,当监听者想要冒充证明者计算机终端PCTj时它无法确定收到的“挑战”是什么,很难取得验证者安全保护系统的信任,不仅有效改善了系统的可重置性,而且极大地提高了认证的安全性。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (4)
1.一种适用于远程节点访问的安全保护系统,其特征在于,包括:运行有安全保护系统软件且部署在局域网络LANi内的认证服务器ASV,部署在局域网络LANi内的访问节点服务器ANSi,运行有安全保护系统软件且部署在局域网络LANj内的计算机终端PCTj;
计算机终端PCTj通过局域网络LANi和局域网络LANj与访问节点服务器ANSi进行通信连接,访问节点服务器ANSi通过局域网络LANi与认证服务器ASV进行通信连接,认证服务器ASV通过局域网络LANi和局域网络LANj与计算机终端PCTj进行通信连接;
运行在认证服务器ASV上的安全保护系统对计算机终端PCTj的身份进行安全认证,该认证方法包括以下步骤:
步骤一:计算机终端PCTj在认证服务器ASV的安全保护系统上进行用户注册,具体包括:
①安全保护系统随机生成并向计算机终端PCTj公开下述参数:
一个强素数p(p≥2512),一个数组arry:{a0,a1,a2,a3,a4,a5},其中数组元素均是有限域上的离散素数;设曲线E的定义域在有限域上,生成P∈E;
②计算机终端PCTj随机选择一个x(1<x<p)、设定yi=f(x)是y关于x的次多项式yi=∑aixi,其中i为正整数;
将多项式yi=∑aixi向安全保护系统公开;
步骤二:安全保护系统对计算机终端PCTj进行安全认证,具体的认证过程为:
①计算机终端PCTj随机产生一个数R1,计算V=R1P(modp),将V发送给安全保护系统;
②安全保护系统随机生成i的一个数值m,将i的一个数值m返回给计算机终端PCTj;
③计算机终端PCTj接收到数值m之后,开始计算ym=∑amxm、Y=ymP,将ym,Y发送给安全保护系统;
④安全保护系统随机产生一个数R2,计算r=V+R2Y(modp),将数值R2发送给计算机终端PCTj;
⑤计算机终端PCTj接收到R2,计算S=R1+R2ym(modp),将S发送给安全保护系统;
⑥安全保护系统接收到S后,开始计算r′=SP(modp),之后验证等式r=r′是否成立;
如果等式r=r′成立,则安全保护系统通过计算机终端PCTj的身份认证。
2.根据权利要求1所述的适用于远程节点访问的安全保护系统,其特征在于,所述认证服务器ASV的安全保护系统对计算机终端PCTj的身份进行安全认证,只有计算机终端PCTj的身份通过了安全保护系统的安全认证,才允许部署在局域网络LANj内的计算机终端PCTj访问部署在局域网络LANi内的访问节点服务器ANSi。
3.根据权利要求2所述的适用于远程节点访问的安全保护系统,其特征在于,所述数值x为计算机终端PCTj的私有密钥PSKi。
4.根据权利要求3所述的适用于远程节点访问的安全保护系统,其特征在于,所述参数i的取值范围为[2,5]。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010522577.4A CN111818015A (zh) | 2020-06-10 | 2020-06-10 | 一种适用于远程节点访问的安全保护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010522577.4A CN111818015A (zh) | 2020-06-10 | 2020-06-10 | 一种适用于远程节点访问的安全保护系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111818015A true CN111818015A (zh) | 2020-10-23 |
Family
ID=72846552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010522577.4A Withdrawn CN111818015A (zh) | 2020-06-10 | 2020-06-10 | 一种适用于远程节点访问的安全保护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111818015A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112820077A (zh) * | 2021-01-18 | 2021-05-18 | 天津创通科技股份有限公司 | 一种室内环境检测警示系统 |
CN113872992A (zh) * | 2021-11-03 | 2021-12-31 | 管芯微技术(上海)有限公司 | 一种在BMC系统中实现远程Web访问强安全认证的方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090019134A1 (en) * | 2004-12-28 | 2009-01-15 | Fabio Bellifemine | Remote Access System and Method for Enabling a User to Remotely Access Terminal Equipment from a Subscriber Terminal |
CN101425897A (zh) * | 2007-10-29 | 2009-05-06 | 上海交通大学 | 一种用户认证方法、系统、服务器和用户节点 |
CN111031537A (zh) * | 2020-01-13 | 2020-04-17 | 熊亮 | 一种防止非法用户接入的无线局域网管理系统 |
CN111212430A (zh) * | 2020-01-13 | 2020-05-29 | 祝峰昆 | 一种基于零知识证明的无线局域网保护系统 |
CN111241562A (zh) * | 2020-01-13 | 2020-06-05 | 汪洵 | 一种基于微服务架构的进销存管理系统 |
CN111246259A (zh) * | 2020-01-13 | 2020-06-05 | 詹良蓉 | 一种基于零知识证明的广播加密系统 |
CN111259352A (zh) * | 2020-01-13 | 2020-06-09 | 熊国华 | 一种基于零知识证明的云存储数据访问控制系统 |
CN111262847A (zh) * | 2020-01-13 | 2020-06-09 | 万庆文 | 一种应用于微服务架构的访问客户端认证系统 |
-
2020
- 2020-06-10 CN CN202010522577.4A patent/CN111818015A/zh not_active Withdrawn
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090019134A1 (en) * | 2004-12-28 | 2009-01-15 | Fabio Bellifemine | Remote Access System and Method for Enabling a User to Remotely Access Terminal Equipment from a Subscriber Terminal |
CN101425897A (zh) * | 2007-10-29 | 2009-05-06 | 上海交通大学 | 一种用户认证方法、系统、服务器和用户节点 |
CN111031537A (zh) * | 2020-01-13 | 2020-04-17 | 熊亮 | 一种防止非法用户接入的无线局域网管理系统 |
CN111212430A (zh) * | 2020-01-13 | 2020-05-29 | 祝峰昆 | 一种基于零知识证明的无线局域网保护系统 |
CN111241562A (zh) * | 2020-01-13 | 2020-06-05 | 汪洵 | 一种基于微服务架构的进销存管理系统 |
CN111246259A (zh) * | 2020-01-13 | 2020-06-05 | 詹良蓉 | 一种基于零知识证明的广播加密系统 |
CN111259352A (zh) * | 2020-01-13 | 2020-06-09 | 熊国华 | 一种基于零知识证明的云存储数据访问控制系统 |
CN111262847A (zh) * | 2020-01-13 | 2020-06-09 | 万庆文 | 一种应用于微服务架构的访问客户端认证系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112820077A (zh) * | 2021-01-18 | 2021-05-18 | 天津创通科技股份有限公司 | 一种室内环境检测警示系统 |
CN113872992A (zh) * | 2021-11-03 | 2021-12-31 | 管芯微技术(上海)有限公司 | 一种在BMC系统中实现远程Web访问强安全认证的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112235235B (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
JP5651313B2 (ja) | 連続する再認証を必要としないsipシグナリング | |
Wang et al. | A smart card based efficient and secured multi-server authentication scheme | |
US6892308B1 (en) | Internet protocol telephony security architecture | |
CN108173827B (zh) | 基于区块链思维的分布式sdn控制平面安全认证方法 | |
CN107302438A (zh) | 一种基于密钥更新的私钥保护方法、系统及装置 | |
CN101715009A (zh) | 一种安全的地址分配方法、检测装置、设备和系统 | |
Duangphasuk et al. | Design and implementation of improved security protocols for DHCP using digital certificates | |
CN107222476A (zh) | 一种认证服务方法 | |
WO2011063744A1 (zh) | 一种eap认证中的标识认证方法、系统和设备 | |
WO2011009268A1 (zh) | 一种基于wapi的认证系统及方法 | |
CN107370599A (zh) | 一种远程销毁私钥的管理方法、装置和系统 | |
CN112436940A (zh) | 一种基于零知识证明的物联网设备可信启动管理方法 | |
CN111818015A (zh) | 一种适用于远程节点访问的安全保护系统 | |
CN113595985A (zh) | 一种基于国密算法安全芯片的物联网安全云平台实现方法 | |
CN111935067A (zh) | 一种基于云计算技术的企业用户身份认证系统 | |
CN114978773A (zh) | 一种单包认证方法及系统 | |
CN111901118A (zh) | 一种基于移动互联的港口企业安全认证系统 | |
CN112333705B (zh) | 一种用于5g通信网络的身份认证方法及系统 | |
CN111865604A (zh) | 一种基于远程控制技术的用户身份认证系统 | |
CN110891067B (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 | |
CN114764492A (zh) | 基于区块链的sdp访问控制方法及系统 | |
US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
CN115865520B (zh) | 移动云服务环境中具有隐私保护的认证和访问控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20201023 |