CN115085966A - 一种建立openpts远程可信连接的方法 - Google Patents

一种建立openpts远程可信连接的方法 Download PDF

Info

Publication number
CN115085966A
CN115085966A CN202210459882.2A CN202210459882A CN115085966A CN 115085966 A CN115085966 A CN 115085966A CN 202210459882 A CN202210459882 A CN 202210459882A CN 115085966 A CN115085966 A CN 115085966A
Authority
CN
China
Prior art keywords
remote
local
openpts
trusted
establishing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210459882.2A
Other languages
English (en)
Other versions
CN115085966B (zh
Inventor
曹书浩
于珊珊
岳佳圆
李蕾
杨诏钧
孔金珠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kirin Software Co Ltd
Original Assignee
Kirin Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kirin Software Co Ltd filed Critical Kirin Software Co Ltd
Priority to CN202210459882.2A priority Critical patent/CN115085966B/zh
Publication of CN115085966A publication Critical patent/CN115085966A/zh
Application granted granted Critical
Publication of CN115085966B publication Critical patent/CN115085966B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种建立openpts远程可信连接的方法,所述方法包括如下步骤:在本地客户端上生成本地UU I D,在远端服务器上生成远端UU I D;在本地验证器上注册远端i p并验证所述远端UU I D;所述本地验证器对所述远端服务器进行远端可信状态验证;远端验证器对所述本地客户端进行本地可信状态验证。本发明提供了一种建立openpts远程可信连接的方法,该方法采用了双向认证机制,能够确保建立完全可信的远程连接,同时相比于单向认证机制无需执行额外的命令操作。

Description

一种建立openpts远程可信连接的方法
技术领域
本发明涉及通信连接技术领域,具体涉及一种建立openpts远程可信连接的方法。
背景技术
openpts:openpts命令允许本地客户端作为验证器,连接到远程主机(即收集器)来确定远程主机是否执行了可信引导启动。如果远程主机的可信平台模块(即TPM)的内容与本地验证器上所维护的度量参考清单一致,则当前的远程主机为可信状态。要获取参考测量集,本地客户端需首先使用“openpts-i远程主机ip”的命令来注册远端的主机。注册完成后可以在本地使用openpts的-v选项来验证远端的收集器,将远端当前值与本地测量集进行比较。并报告操作的结果、操作失败的原因等信息。在完成远端机器的验证后,可以使用openpts的-u选项,从而连接到验证后的可信远程主机。
双向认证:在本地验证器发起认证,当远程主机(收集器)认证完成后,互换身份,由远程服务器主机作为验证器,本地客户端作为收集器,进行针对本地客户端的反向认证。在双向的认证完成后,才允许建立远程可信连接。
在现有的openpts远程连接中,本地客户端通过向远程服务器发起验证,获取服务器可信状态,查看服务器是否为可信启动状态,从而完成认证工作。只有在认证成功后,客户端才可以远程到认证后的服务器,从而保证通信过程是可信的。
现有的openpts远程通信为单向的认证,在认证过程中仅由本地系统(验证器)连接到远程主机(收集器),来确定远程主机是否为可信启动,没有验证本地系统是否也执行了可信引导启动。如果本地系统处于不可信状态,则不能确保本地到远程主机通信过程的安全性,即不能认为该连接为可信连接。
发明内容
针对现有技术所存在的上述缺点,本发明提供了一种建立openpts远程可信连接的方法,以便于提供一种更加安全可靠的openpts远程可信连接的方法,避免现有技术中单向认证的openpts远程通信的安全性不能满足需求的情况。
为实现以上目的,本发明通过以下技术方案予以实现:
本发明提供了一种建立openpts远程可信连接的方法,所述方法包括如下步骤:
S1、在本地客户端上生成本地UUID,在远端服务器上生成远端UUID;
S2、在本地验证器上注册远端ip并验证所述远端UUID;
S3、所述本地验证器对所述远端服务器进行远端可信状态验证;
S4、远端验证器对所述本地客户端进行本地可信状态验证。
可选的,步骤S1中所述本地UUID和所述远端UUID通过执行ptsc-i指令生成。
可选的,步骤S2包括如下步骤:
在本地验证器上执行“openpts-i远端ip”的指令注册所述远端ip并验证所述远端UUID。
可选的,步骤S3还包括如下步骤:
用户在所述远端可信状态验证过程中输入远端密码,用于所述本地客户端通过ssh连接到所述远端服务器。
可选的,步骤S4还包括如下步骤:
用户输入远端密码,用于所述本地客户端通过ssh连接到所述远端服务器;
所述远端验证器发起远程验证对所述本地客户端进行本地可信状态验证;
用户在所述本地可信状态验证过程中输入本地密码。
可选的,所述方法还包括如下步骤:
在远端可信状态验证和本地可信状态验证均通过后,用户输入远端密码,用于所述本地客户端与所述远端服务器建立openpts连接。
可选的,在步骤S3之前还包括如下步骤:
执行“openpts-u”选项进入双向可信状态验证流程。
与现有技术相比,本发明提供的建立openpts远程可信连接的方法具有以下优点:本发明提供了一种建立openpts远程可信连接的方法,该方法建立的openpts远程可信连接完全可信,通过双向可信认证机制完成本地客户端与远程服务器的可信状态验证,确保建立完全可信的远程连接;并且该方法使用方便,无需执行额外的命令操作。此外,由于本发明在原openpts单向认证基础上增加了双向认证机制,更保证了可信通信的安全性,即在远端可信状态验证完成后,对调本地和远端的验证器和收集器身份,确保两端均为可信状态,从而加固可信连接的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的建立openpts远程可信连接的方法的流程图;
图2为本发明一实施例提供的openpts双向认证过程的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本发明提供了一种建立openpts远程可信连接的方法,所述方法包括如下步骤:
S1、在本地客户端上生成本地UUID,在远端服务器上生成远端UUID;
S2、在本地验证器上注册远端ip并验证所述远端UUID;
S3、所述本地验证器对所述远端服务器进行远端可信状态验证;
S4、远端验证器对所述本地客户端进行本地可信状态验证。
优选地,步骤S1中所述本地UUID和所述远端UUID通过执行ptsc-i指令生成。
优选地,步骤S2包括如下步骤:在本地验证器上执行“openpts-i远端ip”的指令注册所述远端ip并验证所述远端UUID。
参阅图2,图2为本发明一实施例提供的openpts双向认证过程的流程图。如图2所示,步骤S3还包括如下步骤:用户在所述远端可信状态验证过程中输入远端密码,用于所述本地客户端通过ssh连接到所述远端服务器,由此,步骤S3对远端可信状态验证,保证了现有技术中的技术特征,具有单项认证情况下具备的优势。
如图2所示,步骤S4还包括如下步骤:用户输入远端密码,用于所述本地客户端通过ssh连接到所述远端服务器;所述远端验证器发起远程验证对所述本地客户端进行本地可信状态验证;用户在所述本地可信状态验证过程中输入本地密码。由此,通过增加对本地可信状态的验证,极大的提高了openpts远程连接安全性和可靠性。
需要说明的是,用户在收到本地客户端或远端服务器的相应的密码请求后输入本地密码或者远端密码;在远端可信状态验证完成后,对调本地和远端的验证器和收集器身份,即在步骤S3中,本地验证器与远端收集器连接,在步骤S4中,远端验证器与本地收集器连接。
优选地,所述方法还包括如下步骤:在远端可信状态验证和本地可信状态验证均通过后,用户输入远端密码,用于所述本地客户端与所述远端服务器建立openpts连接。由此,经过双向认证后建立的openpts远程连接,确保了本地和远端均为可信状态,从而加固可信连接的安全性。
优选地,在步骤S3之前还包括如下步骤:执行“openpts-u”选项进入双向可信状态验证流程。
综上所述,与现有技术相比,本发明提供的建立openpts远程可信连接的方法具有以下优点:
本发明提供了一种建立openpts远程可信连接的方法,该方法建立的openpts远程可信连接完全可信,通过双向可信认证机制完成本地客户端与远程服务器的可信状态验证,确保建立完全可信的远程连接;并且该方法使用方便,无需执行额外的命令操作。此外,由于本发明在原openpts单向认证基础上增加了双向认证机制,更保证了可信通信的安全性,即在远端可信状态验证完成后,对调本地和远端的验证器和收集器身份,确保两端均为可信状态,从而加固可信连接的安全性。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的保护范围。

Claims (7)

1.一种建立openpts远程可信连接的方法,其特征在于,所述方法包括如下步骤:
S1、在本地客户端上生成本地UUID,在远端服务器上生成远端UUID;
S2、在本地验证器上注册远端ip并验证所述远端UUID;
S3、所述本地验证器对所述远端服务器进行远端可信状态验证;
S4、远端验证器对所述本地客户端进行本地可信状态验证。
2.根据权利要求1中所述的建立openpts远程可信连接的方法,其特征在于,步骤S1中所述本地UUID和所述远端UUID通过执行ptsc-i指令生成。
3.根据权利要求1中所述的建立openpts远程可信连接的方法,其特征在于,步骤S2包括如下步骤:
在本地验证器上执行“openpts-i远端ip”的指令注册所述远端ip并验证所述远端UUID。
4.根据权利要求1中所述的建立openpts远程可信连接的方法,其特征在于,步骤S3还包括如下步骤:
用户在所述远端可信状态验证过程中输入远端密码,用于所述本地客户端通过ssh连接到所述远端服务器。
5.根据权利要求1中所述的建立openpts远程可信连接的方法,其特征在于,步骤S4还包括如下步骤:
用户输入远端密码,用于所述本地客户端通过ssh连接到所述远端服务器;
所述远端验证器发起远程验证对所述本地客户端进行本地可信状态验证;
用户在所述本地可信状态验证过程中输入本地密码。
6.根据权利要求1中所述的建立openpts远程可信连接的方法,其特征在于,所述方法还包括如下步骤:
在远端可信状态验证和本地可信状态验证均通过后,用户输入远端密码,用于所述本地客户端与所述远端服务器建立openpts连接。
7.根据权利要求1中所述的建立openpts远程可信连接的方法,其特征在于,在步骤S3之前还包括如下步骤:
执行“openpts-u”选项进入双向可信状态验证流程。
CN202210459882.2A 2022-04-28 2022-04-28 一种建立openpts远程可信连接的方法 Active CN115085966B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210459882.2A CN115085966B (zh) 2022-04-28 2022-04-28 一种建立openpts远程可信连接的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210459882.2A CN115085966B (zh) 2022-04-28 2022-04-28 一种建立openpts远程可信连接的方法

Publications (2)

Publication Number Publication Date
CN115085966A true CN115085966A (zh) 2022-09-20
CN115085966B CN115085966B (zh) 2024-04-05

Family

ID=83248158

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210459882.2A Active CN115085966B (zh) 2022-04-28 2022-04-28 一种建立openpts远程可信连接的方法

Country Status (1)

Country Link
CN (1) CN115085966B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378740A (zh) * 2022-10-25 2022-11-22 麒麟软件有限公司 一种基于可信openssh双向认证登录的实现方法

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741842A (zh) * 2009-12-07 2010-06-16 北京交通大学 一种基于可信计算实现可信ssh的方法
CN101789939A (zh) * 2010-01-25 2010-07-28 北京交通大学 一种有效的可信OpenSSH的实现方法
WO2011126357A1 (en) * 2010-04-09 2011-10-13 Mimos Berhad A method and system for a remote attestation in a trusted foundation platform
CN102594558A (zh) * 2012-01-19 2012-07-18 东北大学 一种可信计算环境的匿名数字证书系统及验证方法
US20130117554A1 (en) * 2011-12-21 2013-05-09 Ssh Communications Security Corp User key management for the Secure Shell (SSH)
CN103179135A (zh) * 2013-04-19 2013-06-26 网宿科技股份有限公司 基于ssh中转机的远程管理方法
US20140281500A1 (en) * 2013-03-15 2014-09-18 Ologn Technologies Ag Systems, methods and apparatuses for remote attestation
US8868913B1 (en) * 2011-09-29 2014-10-21 Juniper Networks, Inc. Automatically authenticating a host key via a dynamically generated certificate using an embedded cryptographic processor
CN104243419A (zh) * 2013-06-18 2014-12-24 腾讯科技(深圳)有限公司 基于安全外壳协议的数据处理方法、装置及系统
CN105162764A (zh) * 2015-07-30 2015-12-16 北京石盾科技有限公司 一种ssh安全登录的双重认证方法、系统和装置
CN105721500A (zh) * 2016-04-10 2016-06-29 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
CN110557405A (zh) * 2019-09-30 2019-12-10 河海大学 一种高交互ssh蜜罐实现方法
US20200184078A1 (en) * 2018-12-11 2020-06-11 Oath Inc. Secure boot of remote servers
US20210409403A1 (en) * 2020-06-25 2021-12-30 Microsoft Technology Licensing, Llc Service to service ssh with authentication and ssh session reauthentication

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741842A (zh) * 2009-12-07 2010-06-16 北京交通大学 一种基于可信计算实现可信ssh的方法
CN101789939A (zh) * 2010-01-25 2010-07-28 北京交通大学 一种有效的可信OpenSSH的实现方法
WO2011126357A1 (en) * 2010-04-09 2011-10-13 Mimos Berhad A method and system for a remote attestation in a trusted foundation platform
US8868913B1 (en) * 2011-09-29 2014-10-21 Juniper Networks, Inc. Automatically authenticating a host key via a dynamically generated certificate using an embedded cryptographic processor
US20130117554A1 (en) * 2011-12-21 2013-05-09 Ssh Communications Security Corp User key management for the Secure Shell (SSH)
CN102594558A (zh) * 2012-01-19 2012-07-18 东北大学 一种可信计算环境的匿名数字证书系统及验证方法
US20140281500A1 (en) * 2013-03-15 2014-09-18 Ologn Technologies Ag Systems, methods and apparatuses for remote attestation
CN103179135A (zh) * 2013-04-19 2013-06-26 网宿科技股份有限公司 基于ssh中转机的远程管理方法
CN104243419A (zh) * 2013-06-18 2014-12-24 腾讯科技(深圳)有限公司 基于安全外壳协议的数据处理方法、装置及系统
CN105162764A (zh) * 2015-07-30 2015-12-16 北京石盾科技有限公司 一种ssh安全登录的双重认证方法、系统和装置
CN105721500A (zh) * 2016-04-10 2016-06-29 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
US20200184078A1 (en) * 2018-12-11 2020-06-11 Oath Inc. Secure boot of remote servers
CN110557405A (zh) * 2019-09-30 2019-12-10 河海大学 一种高交互ssh蜜罐实现方法
US20210409403A1 (en) * 2020-06-25 2021-12-30 Microsoft Technology Licensing, Llc Service to service ssh with authentication and ssh session reauthentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
码农教程: "Linux开发-openpts", 《HTTP://WWW.MANONGJC.COM/DETAIL/27-QYTZIOOOMWIQJVP.HTML》, pages 1 - 2 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378740A (zh) * 2022-10-25 2022-11-22 麒麟软件有限公司 一种基于可信openssh双向认证登录的实现方法

Also Published As

Publication number Publication date
CN115085966B (zh) 2024-04-05

Similar Documents

Publication Publication Date Title
CN106506494B (zh) 一种开放平台的应用接入方法
RU2437228C2 (ru) Система доверительного сетевого подключения для улучшения безопасности
CN102624720B (zh) 一种身份认证的方法、装置和系统
KR101114728B1 (ko) 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템
US8447977B2 (en) Authenticating a device with a server over a network
US8156551B2 (en) Preventing network traffic blocking during port-based authentication
US8452954B2 (en) Methods and systems to bind a device to a computer system
CN112822222B (zh) 登录验证方法、自动登录的验证方法、服务端及客户端
WO2016015589A1 (zh) 一种锁定和解锁应用的方法、装置及系统
CN113746633A (zh) 物联网设备绑定方法、装置、系统、云服务器和存储介质
CN108965341A (zh) 登录认证的方法、装置及系统
CN110365483A (zh) 云平台认证方法、客户端、中间件及系统
CN106973054B (zh) 一种基于可信平台的操作系统登录认证方法和系统
CN112733129B (zh) 一种服务器带外管理的可信接入方法
CN111404695A (zh) 令牌请求验证方法和装置
CN115085966A (zh) 一种建立openpts远程可信连接的方法
CN103780395B (zh) 网络接入证明双向度量的方法和系统
CN113766450A (zh) 车辆虚拟钥匙共享方法及移动终端、服务器、车辆
CN113852958A (zh) 5g鉴权方法、5g自动开户方法、设备、系统和存储介质
CN118200011A (zh) 基于openssl建立通信连接的方法、装置、设备
CN111953683A (zh) 一种设备的认证方法、装置、存储介质及认证系统
CN106802832B (zh) Jenkins节点状态管理方法及装置
CN114036496B (zh) 基于平台级联的快速认证方法及系统
KR20070078212A (ko) 공중 무선랜에서의 다중 모드 접속 인증 방법
CN111859406B (zh) 用于进行远程认证的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant