CN116015961B - 下挂终端设备的控制处理方法、安全cpe、系统及介质 - Google Patents
下挂终端设备的控制处理方法、安全cpe、系统及介质 Download PDFInfo
- Publication number
- CN116015961B CN116015961B CN202310011202.5A CN202310011202A CN116015961B CN 116015961 B CN116015961 B CN 116015961B CN 202310011202 A CN202310011202 A CN 202310011202A CN 116015961 B CN116015961 B CN 116015961B
- Authority
- CN
- China
- Prior art keywords
- terminal
- cpe
- hanging
- security
- logic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 77
- 238000012795 verification Methods 0.000 claims abstract description 71
- 238000000034 method Methods 0.000 claims abstract description 44
- 230000000903 blocking effect Effects 0.000 claims abstract description 14
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 14
- 230000006399 behavior Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 15
- 238000011217 control strategy Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 239000000243 solution Substances 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种下挂终端设备的控制处理方法、安全CPE、系统及介质,通过安全CPE获取下挂终端设备的网络连接请求,网络连接请求包括:下挂终端设备标识,且在确定存在与下挂终端设备标识对应的逻辑终端标识时,获取逻辑终端标识对应的逻辑终端信息,并获取安全CPE中的安全芯片中获取私钥,并根据私钥对逻辑终端信息进行签名,根据从下挂终端设备管控系统获取公钥,对逻辑终端标识和签名信息进行加密处理,并向该系统发送携带有加密信息的逻辑终端认证请求,以供该系统根据认证请求中的加密信息,进行验签处理,获取验签结果;根据验签结果,对下挂终端设备的连接进行相应的连接或者阻断操作。利用本申请方法可提高对下挂终端设备识别的安全性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种下挂终端设备的控制处理方法、安全CPE、系统及介质。
背景技术
随着计算机技术的发展,网络安全的重要性越发显著,尤其是对于不具备分析、处理能力的非智能终端设备的网络防护,鉴于非智能终端设备在当前网络中仍存在广泛的使用需求和应用场景,尚无法简单的进行升级或替换,因此在实际应用中也出现了很多用于保护此类终端安全运行的解决方法,其中主要有基于终端设备控制位址(Media AccessControl Address,MAC)的绑定认证、终端设备指纹信息及数字证书认证等方案。
但是,通过终端设备的MAC地址来对终端的真实身份进行识别验证时,当非真实身份的终端设备的MAC地址被篡改成真实身份的终端设备的MAC地址,该非真实身份的终端设备便会得到授权,这使得安全性较低;而利用终端设备指纹信息以及数字证书认证的方式对终端进行识别验证,由于终端设备指纹信息以及数字证书均是以静态信息形式存在的,同样,这些信息易被窜改,进而安全性也不高。
发明内容
本申请提供一种下挂终端设备的控制处理方法、安全CPE、系统及介质,用以解决现有技术中对下挂终端设备控制处理安全性较低的问题。
第一方面,本申请提供了一种下挂终端设备的控制处理方法,包括:
安全CPE获取下挂终端设备的网络连接请求,所述网络连接请求包括:所述下挂终端设备标识;
所述安全CPE在确定存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述逻辑终端标识对应的逻辑终端信息;
所述安全CPE在所述安全CPE中的安全芯片中获取与所述逻辑终端标识对应的私钥,并根据所述私钥对所述逻辑终端信息进行签名,获取签名信息;
所述安全CPE从下挂终端设备管控系统获取公钥,对所述逻辑终端标识和所述签名信息进行加密处理,获取加密信息,并向所述下挂终端设备管控系统发送携带有所述加密信息的逻辑终端认证请求,以供所述下挂终端设备管控系统根据所述认证请求中的所述加密信息,进行验签处理,获取验签结果;
所述安全CPE从所述下挂终端设备管控系统接收所述验签结果,并根据所述验签结果,对所述下挂终端设备的连接进行相应的连接或者阻断操作。
在一种可选的实施方式中,所述控制处理方法,还包括:
所述安全CPE在确定不存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述下挂终端设备的指纹信息;
所述安全CPE中的安全客户端根据所述下挂终端设备的指纹信息、所述安全CPE的标识和所述安全CPE的位置信息,生成所述下挂终端设备对应的逻辑终端标识;
所述安全CPE中的安全客户端根据所述逻辑终端标识,创建逻辑终端证书申请文件,并将所述逻辑终端证书申请文件中的私钥写入所述安全CPE的安全芯片;
所述安全CPE通过5GC与数字证书认证系统(Certificate AuthenticationSystem,CA)协商建立GBA安全通道,并通过所述GBA安全通道向所述CA系统发送所述逻辑终端证书申请文件,以供所述CA系统根据所述逻辑终端证书申请文件,为所述逻辑终端标识生成对应的公钥证书;
所述安全CPE通过所述GBA安全通道向所述下挂终端设备管控系统发送逻辑终端创建请求,以供所述下挂终端设备管控系统解析所述逻辑终端创建请求,从所述CA系统获取所述逻辑终端标识对应的公钥证书,以及存储所述逻辑终端创建请求中的逻辑终端信息,并向所述安全CPE返回逻辑终端创建应答。
在一种可选的实施方式中,所述根据所述验签结果,对所述下挂终端设备的连接进行相应的连接或者阻断操作,包括:
在所述验签结果为通过时,为所述下挂终端设备分配IP地址,并根据配置的访问规则,对所述下挂终端设备连入网络后进行的访问行为进行管控处理;
或者,
在所述验签结果为不通过时,对所述下挂终端设备进行阻断访问网络处理。
在一种可选的实施方式中,所述根据配置的访问规则,对所述下挂终端设备连入网络后进行的访问行为进行管控处理,包括:
根据所述访问规则,监测所述下挂终端设备的连入网络后进行的访问行为中是否存在异常行为,并将所述异常行为上报给所述下挂终端设备管控系统;
在监测获取到的异常行为达到预设预警阈值时,对所述下挂终端设备进行限流、限速或者断网下线处理,并将处理后的结果上报给所述下挂终端设备管控系统。
第二方面,本申请提供了一种下挂终端设备的控制处理方法,包括:
下挂终端设备管控系统接收安全CPE发送的认证请求,所述认证请求包括加密信息;
所述下挂终端设备管控系统根据所述认证请求,采用与所述安全CPE所属的下挂终端设备对应的的私钥对加密信息进行解密,获取逻辑终端标识和签名信息,并根据逻辑终端标识对应的公钥证书,对所述签名信息进行验签处理,获取验签结果。
在一种可选的实施方式中,所述控制处理方法,还包括:
所述下挂终端设备管控系统接收所述安全CPE发送的逻辑终端创建请求;
所述下挂终端设备管控系统解析所述逻辑终端创建请求,获取逻辑终端标识,并在从所述CA系统获取存储所述逻辑终端标识对应的公钥证书,以及存储所述逻辑终端信息后,向所述安全CPE返回逻辑终端创建应答。
在一种可选的实施方式中,所述控制处理方法,还包括:
所述下挂终端设备管控系统获取所述安全CPE发送的公钥证书下发请求,获取所述公钥证书下发请求中的逻辑终端标识,并将所述逻辑终端标识和所述公钥证书下发给所述安全CPE。
第三方面本申请,提供了一种安全CPE,包括:安全客户端和安全芯片;
所述安全客户端,用于获取下挂终端设备的网络连接请求,所述网络连接请求包括:所述下挂终端设备标识;
所述安全客户端,还用于在确定存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述逻辑终端标识对应的逻辑终端信息;
所述安全客户端,还用于在所述安全芯片中获取与所述逻辑终端标识对应的私钥,并根据所述私钥对所述逻辑终端信息进行签名,获取签名信息;
所述安全客户端,还用于根据从下挂终端设备管控系统获取公钥,对所述逻辑终端标识和所述签名信息进行加密处理,获取加密信息,并向所述下挂终端设备管控系统发送携带有所述加密信息的逻辑终端认证请求,以供所述下挂终端设备管控系统根据所述认证请求中的所述加密信息,进行验签处理,获取验签结果;
所述安全客户端,还用于从所述下挂终端设备管控系统接收所述验签结果,并根据所述验签结果,对所述下挂终端设备的连接进行相应的连接或者阻断操作。
第四方面,本申请提供了一种下挂终端设备管控系统,包括:
收发器,用于接收安全CPE发送的认证请求,所述认证请求包括加密信息;
处理器,用于根据所述认证请求,采用与所述安全CPE所属的下挂终端设备对应的私钥对加密信息进行解密,获取逻辑终端标识和签名信息,并根据逻辑终端标识对应的公钥证书,对所述签名信息进行验签处理,获取验签结果。
第五方面,本申请提供了一种下挂终端设备处理系统,包括:下挂终端设备、安全CPE、下挂终端设备管控系统和CA系统;其中,
所述安全CPE执行如第一方面所述的方法;所述下挂终端设备管控系统执行如第二方面所述的方法。
第六方面,本申请提供了一种可读存储介质,包括:所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前如第一方面所述的方法。
第七方面,申请提供了一种可读存储介质,包括:所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前如第二方面所述的方法。
本申请提供了一种下挂终端设备的控制处理方法、安全CPE、系统及介质,通过安全CPE获取下挂终端设备的网络连接请求,所述网络连接请求包括:所述下挂终端设备标识;所述安全CPE在确定存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述逻辑终端标识对应的逻辑终端信息;所述安全CPE在所述安全CPE中的安全芯片中获取与所述逻辑终端标识对应的私钥,并根据所述私钥对所述逻辑终端信息进行签名,获取签名信息;所述安全CPE从下挂终端设备管控系统获取公钥,对所述逻辑终端标识和所述签名信息进行加密处理,获取加密信息,并向所述下挂终端设备管控系统发送携带有所述加密信息的逻辑终端认证请求,以供所述下挂终端设备管控系统根据所述认证请求中的所述加密信息,进行验签处理,获取验签结果;所述安全CPE从所述下挂终端设备管控系统接收所述验签结果,并根据所述验签结果,对所述下挂终端设备的连接进行相应的连接或者阻断操作。相比于现有技术,利用本申请提供的方法,以动态的形式为下挂终端设备分配相应的逻辑终端信息,同时,基于5G核心网络建立GBA(General Bootstrapping Architecture,通用认证机制)通道,用以传输控制处理的通信信息,使得对下挂终端设备的控制处理更加私密,从而提高对下挂终端设备处理的安全性,使得网络环境中不易受到病毒侵扰、恶意代码注入、非法入侵以及非法控制等影响。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种网络架构示意图:
图2为本申请提供的一种下挂终端设备的控制处理方法流程的示意图;
图3为本申请提供的一种下挂终端设备的控制处理方法交互示意图;
图4为本申请提供的另一种下挂终端设备的控制处理方法流程的示意图;
图5为本申请提供的又一种安全CPE结构的示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在根据本实施例的启示下作出的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
随着万物互联时代的到来,物联网、工业互联网与传统互联网的关联日益紧密,物联网中的各类感知终端、穿戴设备,以及工业互联网中的工业生产控制设备、工业网络通信设备、工业主机等设备的应用越来越广泛。这些设备中大部分为非智能终端涉笔,即不具备或只具备有限的分析、处理功能的下挂终端设备,而这些非智能设备因其不具备自我分析及处理能力易受到到病毒侵扰、恶意代码注入、非法入侵、非法控制等影响,使得对后台应用系统的整体安全性较差。这使得对于非智能终端设备的控制处理成为本领域技术人员研究的热点。
现有技术中,对于非智能终端设备的控制处理主要是依靠媒体存取MAC,或是指纹信息及指纹信息结合数字证书的认证等方式进行处理的。其中,MAC地址的处理方式可理解为:通过分析下挂终端设备的物理地址来判断当前的下挂终端设备是否为具有访问相应网址的权限,若有,则为该下挂终端设备分配IP地址并访问该网络。而利用指纹信息以及指纹信息集和数字证书的方式,可理解为:在MAC地址的方式上额外增加下挂终端设备的操作系统版本以及设备固件信息(设备序列号等),或是增加下挂终端设备的操作系统版本等信息以及与下挂终端设备相连接的无线终端接入设备(Customer Premise Equipment,CPE)设备,且该CPE设备上携带有用以表示其是否可信的数字证书;进而在对下挂终端设备进行控制处理时,首先验证CPE设备的数字证书是否可信,且在可信的情况下验证下挂终端设备的指纹信息是否具有访问相应网络的权限。
可见,现有技术中对下挂终端设备的控制处理均是依靠静态的标识信息的形式作为控制处理的依据,但是,这种静态标识信息的形式存在极易被仿冒、恶意控制后无法被发现的问题,甚至对下挂终端设备待访问的网络产生严重的损坏影响。
基于上述技术问题,本申请的技术构思在于:如何实现以动态信息标识形式,对下挂终端设备进行更为安全且可靠的控制处理方法。
图1为本申请提供的一种网络架构示意图,如图1所示,该网络架构包括:服务器1、安全CPE2、5G核心网络(5G Core,5GC)3和下挂终端设备4。
其中,服务器1具体指的是具有处理海量数据的服务器集群,其内部承载有下挂终端设备管控系统102、CA系统101及应用系统103。其中,下挂终端设备管控系统102用于管理下挂终端设备4;CA系统101用于对下挂终端设备4进行证书申请处理;应用系统103具体可为挂终端设备4提供待访问的网络或系统。
安全CPE2可利用本申请提供的下挂终端设备4的控制处理方法,通过使用5G核心网络与服务器1建立GBA安全通道进行信息交互,以实现对下挂终端设备4的控制处理。
5G核心网络3可用于建立GBA安全通道,为服务器1与安全CPE提供了通信基础。
下挂终端设备4具体可为非智能终端设备,如显示器等。
下面,通过具体实施例对本申请的技术方案进行详细说明。需要说明的是,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2为本申请提供的一种下挂终端设备的控制处理方法流程的示意图,如图2所示,该方法包括:
步骤201、安全CPE获取下挂终端设备的网络连接请求,网络连接请求包括:下挂终端设备标识。
需要说明的是,CPE具体指的是具有指用于访问Internet或访问提供商网络上的服务的任何连接设备,而本申请中的安全CPE具备逻辑处理、存储及分析等能力,且能够兼容3G/4G/5G/WiFi及有线等网络应用环境,利用自身具备的安全能力,为通过无线及有线方式连接在其下的下挂终端设备提供基于身份验证的管控能力;此外,一个安全CPE可下挂多个下挂终端设备。
在本实施例中,安全CPE中预存有下挂终端设备的数据库,该数据库中,包括下挂终端设备标识及逻辑终端信息等信息。其中,下挂终端设备标识用于区分安全CPE下挂终端设备,而下挂终端设备的逻辑终端信息包括:逻辑终端标识等信息,而逻辑终端标识信息可包括:终端设备的指纹信息、安全CPE的标识以及安全CPE的GPS信息。可选的,下挂终端设备的指纹信息包括:MAC地址、下挂终端设备的操作系统版本及固本信息等。
其中,下挂终端设备的逻辑终端信息均是以动态形式生成的,从而防止下挂终端设备轻易被篡改,进而提高对下挂终端设备控制处理的安全性。
在下挂终端设备访问网络或是某一系统的时候,对相应的访问网络或某一系统发送相应的访问网络连接请求,在进行该数据通信传输时,访问连接请求首先传输至安全CPE中,安全CPE对该访问网络连接请求进行识别处理,获取到该访问网络连接请求中的下挂终端设备标识,以便后续进行控制处理。
步骤202、安全CPE在确定存在与下挂终端设备标识对应的逻辑终端标识时,获取逻辑终端标识对应的逻辑终端信息。
在本实施例中,安全CPE根据获取的下挂终端设备标识,在预存的下挂终端设备数据库中,确定是否存在该下挂终端设备标识,并在确定出存在该下挂终端设备标识后,即确定出当前发送当问请求的下挂终端设备为已配置的设备,获取与该下挂终端设备标识对应的下挂终端设备的逻辑找终端信息。可选的,该逻辑终端信息包括:逻辑终端标识、与逻辑终端标识对应的公私密钥对及申请证书等信息,可选的,上述的逻辑终端信息可存储在安全CPE的安全芯片中。
步骤203、安全CPE在安全CPE中的安全芯片中获取与逻辑终端标识对应的私钥,并根据私钥对逻辑终端信息进行签名,获取签名信息。
在安全CPE获取到该下挂终端设备中的逻辑终端信息后,将进行验证识别处理,为了增强验证识别处理的安全性,可选的,安全CPE可采用签名或是加密的方式进行验证识别处理,具体的,安全CPE根据获取到该下挂终端设备的逻辑终端标识,在逻辑终端信息中确定出与该逻辑终端标识对应的公私密钥对,对下挂终端设备的逻辑终端信息进行签名处理,以便提高对下挂终端设备控制处理的安全性。
在本实施例中,签名处理可为“数字签名”,即在CPE进行数据传输时,在逻辑终端信息中附加一些数据,或是逻辑终端信息所作的密码变换等。基于这种数据传输方式既保护了数据又提高了保持对传输数据的完整性,防止数据被篡改情况的发生。本实施例仅以此作为示例说明,但不限制其他可能的实施方式。
在安全CPE获取到签名信息后,将按照如下步骤对该下挂终端设备进行控制处理。
步骤204、安全CPE从下挂终端设备管控系统获取公钥,对逻辑终端标识和签名信息进行加密处理,获取加密信息,并向下挂终端设备管控系统发送携带有加密信息的逻辑终端认证请求,以供下挂终端设备管控系统根据认证请求中的加密信息,进行验签处理,获取验签结果。
需要说明的是,本实施例中的所提到的下挂终端设备均是由本实施例提供的下挂终端设备管控系统进行管理。该下挂终端设备管控系统承担着面向逻辑终端标识的验证、逻辑终端管理、逻辑终端访问策略管理定制等功能。
还需要说明的是,本实施例中的通行方式均是基于核心网络5GC建立的GBA安全通道,然后通过该通道进行加密传输,以提高对下挂终端设备控制处理的安全性。
其中,GBA是3GPP定义的一种基于移动通信网络和用户卡的通用认证和会话密钥提供方法,它利用用户终端侧(U)SIM卡内与网络侧共享的对称密钥实现接入认证和会话密钥协商,可以为应用层业务提供完整的安全认证及应用层会话通道加密服务。
在本实施例中,安全CPE为了使得数据传输更加安全,对签名信息还需要进行加密处理,可选的,安全CPE通过5GC网络与下挂终端设备管控系统建立GBA安全通道,并发送获取下挂终端设备管控系统的数字证书,该数字证书是用以作为下挂终端设备管控系统可信度的凭证,且该数字证书具有唯一性。
在一种可能的实施方式中,对于安全CPE获取下挂终端设备管控系统的数字证书的处理方式可为:预先将下挂终端设备管控系统的数字证书写入到安全CPE中,本实施例对于如何获取到该数字证书的具体实现方式不进行限制。
在获取到下挂终端设备管控系统的数字证书后,利用该数据证书中的公钥对逻辑终端标识以及签名信息进行加密处理生成加密信息,并将该加密信息以请求的形式发送给下挂终端设备管控系统,以便对下挂终端设备进行验签处理,从而可确定出当前下挂终端设备是否具有访问网络络某一系统的权限信息。
步骤205、安全CPE从下挂终端设备管控系统接收验签结果,并根据验签结果,对下挂终端设备的连接进行相应的连接或者阻断操作。
当下挂终端设备管控系统进行验签处理后,将验签处理的结果反馈给安全CPE,安全CPE根据该结果进行相应的处理。可选的,若验签结果为通过,表明当前下挂终端设备是可靠的设备,则为下挂终端设备分配其待访问的网络或是某一系统的IP地址,以进行相应的连接处理;若验签结果为不通过,表明当前下挂终端设备为不可靠的设备,则阻断该下挂终端设备联网,进行强制下线处理,以便保护待访问网络或是系统后台的安全性。
图3为本申请提供的一种下挂终端设备的控制处理方法交互示意图,如图3所示,图2所示的方法所对应的下挂终端设备、安全CPE与下挂终端设备管控系统之间的交互过程可为图3中“3001、3002、3004、3005、3006、3007、3008”所示的顺序。
其中,图3中的3003表示的是当安全CPE确定未为当前发送网络连接的下挂终端设备生成相应的逻辑终端标识时的具体处理步骤,该处理步骤如下图图4所示,本实施例中不进行赘述。
在本实施例中,提供了一种下挂终端设备的控制处理方法,通过安全CPE获取下挂终端设备的网络连接请求,网络连接请求包括:下挂终端设备标识;安全CPE在确定存在与下挂终端设备标识对应的逻辑终端标识时,获取逻辑终端标识对应的逻辑终端信息;安全CPE在安全CPE中的安全芯片中获取与逻辑终端标识对应的私钥,并根据私钥对逻辑终端信息进行签名,获取签名信息;安全CPE从下挂终端设备管控系统获取公钥,对逻辑终端标识和签名信息进行加密处理,获取加密信息,并向下挂终端设备管控系统发送携带有加密信息的逻辑终端认证请求,以供下挂终端设备管控系统根据认证请求中的加密信息,进行验签处理,获取验签结果;安全CPE从下挂终端设备管控系统接收验签结果,并根据验签结果,对下挂终端设备的连接进行相应的连接或者阻断操作。
相比于现有技术,本申请基于GBA安全通道,采用安全CPE动态生成下挂终端设备的逻辑终端信息,通过利用逻辑终端信息对发送网络连接请求的下挂终端设备进行控制处理,可提高对下挂终端设备识别的准确率,及增强待访问网络或系统的安全性。
图4为本申请提供的另一种下挂终端设备的控制处理方法流程的示意图,在上述实施例的基础上,具体阐释了安全CPE在预存的下挂终端设备中,未查找到与发送网络连接请求相关的下挂终端设备标识时的具体处理步骤,如图4所示,该处理步骤包括:
步骤301、安全CPE在确定不存在与下挂终端设备标识对应的逻辑终端标识时,获取下挂终端设备的指纹信息。
在本实施例中,当安全CPE确定出不存在下挂终端设备标识后,表示该设备为未经配置的设备,因此安全CPE需对该下挂终端设备进行配置,生成相应的逻辑终端信息以及申请证书,以便后续对该下挂终端设备进行控制处理。
具体的,安全CPE首先获取到该下挂终端设备的指纹信息,以便生成相应的逻辑终端信息。可选的,在下挂终端设备向安全CPE发出网络连接请求后,安全CPE为下挂终端设备分配临时IP地址,相应的,下挂终端设备尝试使用分配到的临时IP地址进行联网操作时,安全CPE阻断下挂终端设备发起的网络连接请求,并在此过程中获取该下挂终端设备信息,如:MAC地址、下挂终端设备的操作系统版本及型号信息,进而生成下挂终端设备指纹。
在获取到下挂终端设备指纹后,安全CPE将继续执行步骤302。
步骤302、安全CPE中的安全客户端根据下挂终端设备的指纹信息、安全CPE的标识和安全CPE的位置信息,生成下挂终端设备对应的逻辑终端标识。
具体的,为了以便后续可根据动态的终端设备标识信息进行控制处理,安全CPE将根据下挂终端设备指纹生成相应的逻辑终端信息,可选的,安全CPE将自身标识、自身GPS信息以及下挂终端设备指纹进行组合处理,以生成下挂终端设备对应的逻辑终端标识。
示例性的,逻辑终端标识为:安全CPE的ID+安全CPE的GPS信息+下挂终端设备指纹。
继而,安全CPE根据该下挂终端设备的逻辑终端标识,生成用于表征该下挂终端设备可信度的证书申请文件。
步骤303、安全CPE中的安全客户端根据逻辑终端标识,创建逻辑终端证书申请文件,并将逻辑终端证书申请文件中的私钥写入安全CPE的安全芯片。
具体的,安全CPE将获取到的逻辑终端标识输入至其内部的安全客户端进行处理,以获取该下挂终端设备的公私密钥对。
将公私密钥对中的私钥存储在安全CPE的安全芯片中,同时利用与私钥对应的公钥以及逻辑终端标识创建逻辑终端证书申请文件的请求,并按照如下步骤304创建下挂终端设备的逻辑终端证书申请文件。
步骤304、安全CPE通过5GC与CA系统协商建立GBA安全通道,并通过GBA安全通道向CA系统发送逻辑终端证书申请文件,以供CA系统根据逻辑终端证书申请文件,为逻辑终端标识生成对应的公钥证书。
具体的,安全CPE将携带有逻辑终端设备的标识以及公钥的证书申请文件请求发送给数字证书CA系统,且在发送请求之前,安全CPE通过5GC与CA系统协商建立GBA安全通道,以便于对发送的请求信息及接收到的反馈信息进行保密处理。
相应的,CA系统接收到该证书申请文件后,根据该证书申请文件中的逻辑终端标识以及公钥,生成与该逻辑终端标识对应的公钥证书,并将该公钥证书通过GBA安全通道反馈给安全CPE。
安全CPE接收到公钥证书后,将按照步骤205将该下挂终端设备的逻辑终端信息以及公钥证书同步到下挂终端设备管控系统中。
步骤305、安全CPE通过GBA安全通道向下挂终端设备管控系统发送逻辑终端创建请求,以供下挂终端设备管控系统解析逻辑终端创建请求,从CA系统获取逻辑终端标识对应的公钥证书,以及存储逻辑终端创建请求中的逻辑终端信息,并向安全CPE返回逻辑终端创建应答。
具体的,安全CPE基于该逻辑终端设备标识创建逻辑终端请求,基于与下挂终端设备管控系统创建的GBA安全通道,对下挂终端设备管控系统发送逻辑终端创建请求。
响应于该逻辑终端创建请求,下挂终端设备管控系统解析出该逻辑终端创建请求中的逻辑终端设备标识,并生成携带有该逻辑终端设备标识的获取公钥证书的请求;下挂终端设备管控系统基于5GC建立与CA系统的GBA安全通道,然后,利用该通道将获取公钥证书的请求发送给CA系统。
响应于获取公钥证书的请求,CA系统将该逻辑终端标识对应的公钥证书反馈给下挂终端设备管控系统,相应的,下挂终端设备管控系统将逻辑终端标识及其对应的公钥证书存储在相应的数据库中。
基于安全CPE与下挂终端设备管控系统的安全通道,下挂终端设备管控系统反馈逻辑终端创建请求已完成的信息给安全CPE,由此,完成对该下挂终端设备的配置。
此外,为了使得配置信息更加安全,安全CPE还需基于下挂终端设备管控系统的GBA安全通道,获取该下挂终端设备管控系统的公钥证书,并将该公钥证书存储在安全CPE的安全芯片中。
在本实施例中,具体阐释了如何对安全CPE下新增的终端设备进行首次配置,生成用于控制处理的动态识别信息,以便后续进行控制处理。利用这种处理方法,可避免因通过静态识别信息对下挂终端设备进行识别处理的造成识别不准确,而导致下挂终端设备待访问的网络或系统造成损害的情况发生。
下面将具体阐释安全CPE根据验签结果进行处理的步骤,可选的,在验签结果为通过时,为下挂终端设备分配IP地址,并根据配置的访问规则,对下挂终端设备连入网络后进行的访问行为进行管控处理;或者,在验签结果为不通过时,对下挂终端设备进行阻断访问网络处理。
具体的,安全CPE中预存有访问规则库,该访问规则库由相关的技术人员预先设置的,用于表示下挂终端设备的访问规则,如下挂终端设备A可访问网址B和系统C,且仅可以访问系统C的制定的模块。
更为具体的,当安全CPE接收到验签结果为通过时,即安全CPE确定出该下挂终端设备安全,且该下挂终端设备具有一定的访问权限,此时,安全CPE为该下挂终端设备分配与连接网络请求相关的IP地址,并根据与该逻辑终端标识对应的访问规则,对下挂终端设备连入网络后的访问行为进行管控处理,如访问规则规定下挂终端设备A仅可以访问系统C的模块1和模块2,当下挂终端设备A访问系统C的模块3时,则强制该下挂终端设备A下线。
相应的,当安全CPE接收到验签结果为通过时,即安全CPE确定出该下挂终端设备不安全,且该下挂终端设备不具有访问权限时,则强制该下挂终端设备下线,或是阻断该下挂终端设备连接的网络。
在一种可选的实施例中,具体阐释了如何对下挂终端设备连入网络后进行的访问行为进行管控处理的过程。具体的,根据访问规则,监测下挂终端设备的连入网络后进行的访问行为中是否存在异常行为,并将异常行为上报给下挂终端设备管控系统;在监测获取到的异常行为达到预设预警阈值时,对下挂终端设备进行限流、限速或者断网下线处理,并将处理后的结果上报给下挂终端设备管控系统。
具体的,安全CPE根据逻辑终端的访问控制策略,实时监测其下挂的各个终端的网络访问行为,可选的,根据下挂子终端设备的逻辑终端标识对应的访问规则,判断下挂终端设备是否存在违反策略的异常行为后,定位到特定的逻辑终端;并通过GBA安全通道向下挂终端设备管控系统上报相应逻辑终端的异常行为信息。
继而,下挂终端设备管控系统接收到该逻辑终端的异常行为信息后,根据其内部预存的告警等级数据表,判断该异常行为信息的告警等级。具体的,将当前异常行为信息与告警等级数据表中的预警阈值进行匹配,以确定当前异常行为对应的告警等级,并根据当前告警等级进行相应的处理。
示例性的,若告警等级为严重,安全CPE下发应急处置指令,将该逻辑终端标识对应的下挂终端设备强制下线;相应的,安全CPE收到应急处置指令,阻断该逻辑终端标识对应的下挂终端设备的网络连接,删除IP并阻断其联网。与此同时,安全CPE将处理后的结果上报给下挂终端设备管控系统,以对逻辑终端标识对应的下挂终端设备进行管理。
在本实施例中,具体阐释了安全CPE如何根据反馈回来的验签结果进行处理,以提高待访问网络以及系统的安全性;同时,还具体阐释了安全CPE如何对下挂终端设备的监测处理过程,进一步提高了安全性。
对应于安全CPE对下挂终端设备的控制处理方法,下述实施例从下挂终端设备管控系统角度,阐释如何对下挂终端设备进行控制处理的具体处理过程:下挂终端设备管控系统接收安全CPE发送的认证请求,认证请求包括加密信息;下挂终端设备管控系统根据认证请求,采用与安全CPE所属的下挂终端设备对应的私钥对加密信息进行解密,获取逻辑终端标识和签名信息,并根据逻辑终端标识对应的公钥证书,对签名信息进行验签处理,获取验签结果。
具体的,下挂终端设备管控系统接收到安全CPE的认证请求后,解析出当前认证请求中携带的加密信息,并利用器自身的私钥对加密信息进行解密,从而获取到逻辑终端标识和签名信息。
继而,根据该逻辑终端标识对应公钥证书中的公钥,对签名信息进行验签处理,以此获取到验签结果。
在一种可选的实施例中,具体阐释了下挂终端设备管控系统接收到安全CPE发出的逻辑终端创建请求后的具体处理步骤。具体的,下挂终端设备管控系统接收安全CPE发送的逻辑终端创建请求;下挂终端设备管控系统解析逻辑终端创建请求,获取逻辑终端标识,并在从CA系统获取存储逻辑终端标识对应的公钥证书,以及存储逻辑终端信息后,向安全CPE返回逻辑终端创建应答。
具体的,下挂终端设备管控系统基于GBA安全通道接收到逻辑终端创建请求后,解析出该请求信息中携带的逻辑终端标识,并基于其与CA系统的安全GBA通道,在CA系统中获取到与该逻辑终端标识对应的公钥证书信息,以及与逻辑终端标识相关的逻辑终端信息。
而后,基于终端设备管控系统与安全CPE的GBA安全通道,将已创建完成逻辑终端信息反馈给安全CPE。
综上,下挂终端设备管控系统将下挂终端设备信息同步到其内部,以便后续进行控制处理操作。
在其他一种可选的实施方式中,具体阐释了下挂终端设备管控系统如何将自身公钥证书下发送给安全CPE,具体的下挂终端设备管控系统获取安全CPE发送的公钥证书下发请求,获取公钥证书下发请求中的逻辑终端标识,并将逻辑终端标识和公钥证书下发给安全CPE。
类似的,下挂终端设备管控系统基于GBA安全通道,获取公钥证书下发请求,并解析出相应的逻辑终端标识,同时将该逻辑终端标识与其自身的公钥证书通过GBA安全通道发送给安全CPE。
相应的,安全CPE则将下挂终端设备管控系统的公钥证书与逻辑终端表示进行绑定,写入到相应的数据库中。
在一种可能的实施方式中,下挂终端设备管控系统还可以对访问规则进行下发处理或是更新处理。
具体的,安全CPE利用下挂终端设备管控系统的公钥对逻辑终端标识信息进行加密,向下挂终端设备管控系统申请该逻辑终端标识对应的访问规则控制策略;相应的,下挂终端设备管控系统利用自己的私钥对信息进行解密,并根据信息中的逻辑终端标识查询到其对应的访问规则控制策略,向安全CPE下发特定逻辑终端的访问控制策略;安全CPE接收到相关策略并存储在安全CPE当中,以便后续对下挂终端设备进行控制处理。
可选的,下挂终端设备管控系统中的访问规则控制策略可由技术人员进行设置和更新,示例性的,技术人员可在下挂终端设备管控系统中编辑修改访问规则控制策略内容,并在确定修改后的访问规则控制策略需要在哪些逻辑终端标识上生效时,发起访问规则控制策略更新指令。
需要说明的是,下挂终端设备管控系统与安全CPE之间通过心跳机制进行信息通信,如告知安全CPE其下的下挂终端设备标识对应的访问规则控制策略需要更新,或是告知其下的已下线的下挂终端设备进行恢复等。
具体的,基于GBA安全通道,利用加密解密的处理方式,下挂终端设备管控系统告知安全CPE需要进行访问规则控制策略更新。
相应的,安全CPE对下挂终端设备管控系统发送访问规则控制策略更新请求,以获取更新后的访问规则控制策略。
基于心跳机制,当下挂终端设备管控系统接收安全CPE访问规则控制策略更新请求,解析出代更新访问规则的逻辑终端标识,获取与该逻辑终端标识相关的访问规则控制策略并发送给安全CPE,以实现对下挂终端设备的访问规则控制策略的更新。
基于上述的GBA安全通道,及加密通信的方式实现对强制下线的下挂终端设备进行恢复处理,且处理过程与上述对访问规则控制策略更新一致,本实施例对此不在进行重复赘述。
图5为本申请提供的一种安全CPE结构的示意图,如图5所示,该安全CPE40,包括:安全客户端401和安全芯片402。其中,安全客户端401用于获取下挂终端设备的网络连接请求,网络连接请求包括:下挂终端设备标识;安全客户端401还用于在确定存在与下挂终端设备标识对应的逻辑终端标识时,获取逻辑终端标识对应的逻辑终端信息;安全客户端401还用于在安全芯片中获取与逻辑终端标识对应的私钥,并根据私钥对逻辑终端信息进行签名,获取签名信息;安全客户端401还用于根据从下挂终端设备管控系统获取公钥,对逻辑终端标识和签名信息进行加密处理,获取加密信息,并向下挂终端设备管控系统发送携带有加密信息的逻辑终端认证请求,以供下挂终端设备管控系统根据认证请求中的加密信息,进行验签处理,获取验签结果;安全客户端401还用于从下挂终端设备管控系统接收验签结果,并根据验签结果,对下挂终端设备的连接进行相应的连接或者阻断操作。
在一种可选的实施例中,本申请还提供了一种下挂终端设备管控系统,包括:收发器,用于接收安全CPE发送的认证请求,认证请求包括加密信息;处理器,用于根据认证请求,采用与安全CPE所属的下挂终端设备对应的私钥对加密信息进行解密,获取逻辑终端标识和签名信息,并根据逻辑终端标识对应的公钥证书,对签名信息进行验签处理,获取验签结果。
在一种可选的实施例中,本申请还提供了一种下挂终端设备处理系统,包括:下挂终端设备、安全CPE、下挂终端设备管控系统和CA系统;其中,安全CPE执行如图2所示的方法;下挂终端设备管控系统执行如图4的方法。
在一种可选的实施例中,本申请还提供了一种可读存储介质,包括:可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如图1所示的方法。
在一种可选的实施例中,本申请还提供了一种可读存储介质,包括:可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如图2所示的方法。
在一种可选的实施例中,本申请还提供了一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时用于实现前述任一方法实施例提供的技术方案。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或对其中部分或全部技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种下挂终端设备的控制处理方法,其特征在于,包括:
安全CPE获取下挂终端设备的网络连接请求,所述网络连接请求包括:下挂终端设备标识;
所述安全CPE在确定存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述逻辑终端标识对应的逻辑终端信息;
所述安全CPE在所述安全CPE中的安全芯片中获取与所述逻辑终端标识对应的私钥,并根据所述私钥对所述逻辑终端信息进行签名,获取签名信息;
所述安全CPE从下挂终端设备管控系统获取公钥,对所述逻辑终端标识和所述签名信息进行加密处理,获取加密信息,并向所述下挂终端设备管控系统发送携带有所述加密信息的逻辑终端认证请求,以供所述下挂终端设备管控系统根据所述认证请求中的所述加密信息,进行验签处理,获取验签结果;
所述安全CPE从所述下挂终端设备管控系统接收所述验签结果,并根据所述验签结果,对所述下挂终端设备的连接进行相应的连接或者阻断操作;
所述安全CPE在确定不存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述下挂终端设备的指纹信息;
所述安全CPE中的安全客户端根据所述下挂终端设备的指纹信息、所述安全CPE的标识和所述安全CPE的位置信息,生成所述下挂终端设备对应的逻辑终端标识;
所述安全CPE中的安全客户端根据所述逻辑终端标识,创建逻辑终端证书申请文件,并将所述逻辑终端证书申请文件中的私钥写入所述安全CPE的安全芯片;
所述安全CPE通过5GC与数字证书认证CA系统协商建立GBA安全通道,并通过所述GBA安全通道向所述CA系统发送所述逻辑终端证书申请文件,以供所述CA系统根据所述逻辑终端证书申请文件,为所述逻辑终端标识生成对应的公钥证书;
所述安全CPE通过所述GBA安全通道向所述下挂终端设备管控系统发送逻辑终端创建请求,以供所述下挂终端设备管控系统解析所述逻辑终端创建请求,从所述CA系统获取所述逻辑终端标识对应的公钥证书,以及存储所述逻辑终端创建请求中的逻辑终端信息,并向所述安全CPE返回逻辑终端创建应答。
2.根据权利要求1所述的方法,其特征在于,所述根据所述验签结果,对所述下挂终端设备的连接进行相应的连接或者阻断操作,包括:
在所述验签结果为通过时,为所述下挂终端设备分配IP地址,并根据配置的访问规则,对所述下挂终端设备连入网络后进行的访问行为进行管控处理;
或者,
在所述验签结果为不通过时,对所述下挂终端设备进行阻断访问网络处理。
3.根据权利要求2所述的方法,其特征在于,所述根据配置的访问规则,对所述下挂终端设备连入网络后进行的访问行为进行管控处理,包括:
根据所述访问规则,监测所述下挂终端设备的连入网络后进行的访问行为中是否存在异常行为,并将所述异常行为上报给所述下挂终端设备管控系统;
在监测获取到的异常行为达到预设预警阈值时,对所述下挂终端设备进行限流、限速或者断网下线处理,并将处理后的结果上报给所述下挂终端设备管控系统。
4.一种下挂终端设备的控制处理方法,其特征在于,包括:
下挂终端设备管控系统接收安全CPE发送的认证请求,所述认证请求包括加密信息;
所述下挂终端设备管控系统根据所述认证请求,采用与所述安全CPE所属的下挂终端设备对应的私钥对加密信息进行解密,获取逻辑终端标识和签名信息,并根据逻辑终端标识对应的公钥证书,对所述签名信息进行验签处理,获取验签结果;所述逻辑终端标识为安全CPE中的安全客户端根据所述下挂终端设备的指纹信息、所述安全CPE的标识和所述安全CPE的位置信息所生成的;
还包括:
所述下挂终端设备管控系统接收所述安全CPE发送的逻辑终端创建请求;
所述下挂终端设备管控系统解析所述逻辑终端创建请求,获取逻辑终端标识,并在从CA系统获取存储所述逻辑终端标识对应的公钥证书,以及存储所述逻辑终端信息后,向所述安全CPE返回逻辑终端创建应答。
5.根据权利要求4所述的方法,其特征在于,还包括:
所述下挂终端设备管控系统获取所述安全CPE发送的公钥证书下发请求,获取所述公钥证书下发请求中的逻辑终端标识,并将所述逻辑终端标识和所述公钥证书下发给所述安全CPE。
6.一种安全CPE,其特征在于,包括:安全客户端和安全芯片;
所述安全客户端,用于获取下挂终端设备的网络连接请求,所述网络连接请求包括:所述下挂终端设备标识;
所述安全客户端,还用于在确定存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述逻辑终端标识对应的逻辑终端信息;
所述安全客户端,还用于在所述安全芯片中获取与所述逻辑终端标识对应的私钥,并根据所述私钥对所述逻辑终端信息进行签名,获取签名信息;
所述安全客户端,还用于从下挂终端设备管控系统获取公钥,对所述逻辑终端标识和所述签名信息进行加密处理,获取加密信息,并向所述下挂终端设备管控系统发送携带有所述加密信息的逻辑终端认证请求,以供所述下挂终端设备管控系统根据所述认证请求中的所述加密信息,进行验签处理,获取验签结果;
所述安全客户端,还用于从所述下挂终端设备管控系统接收所述验签结果,并根据所述验签结果,对所述下挂终端设备的连接进行相应的连接或者阻断操作;
所述安全客户端,还用于在确定不存在与所述下挂终端设备标识对应的逻辑终端标识时,获取所述下挂终端设备的指纹信息;
所述安全客户端,还用于根据所述下挂终端设备的指纹信息、所述安全CPE的标识和所述安全CPE的位置信息,生成所述下挂终端设备对应的逻辑终端标识;
所述安全客户端,还用于根据所述逻辑终端标识,创建逻辑终端证书申请文件,并将所述逻辑终端证书申请文件中的私钥写入所述安全CPE的安全芯片;
所述安全客户端,还用于通过5GC与数字证书认证CA系统协商建立GBA安全通道,并通过所述GBA安全通道向所述CA系统发送所述逻辑终端证书申请文件,以供所述CA系统根据所述逻辑终端证书申请文件,为所述逻辑终端标识生成对应的公钥证书;
所述安全客户端,还用于通过所述GBA安全通道向所述下挂终端设备管控系统发送逻辑终端创建请求,以供所述下挂终端设备管控系统解析所述逻辑终端创建请求,从所述CA系统获取所述逻辑终端标识对应的公钥证书,以及存储所述逻辑终端创建请求中的逻辑终端信息,并向所述安全CPE返回逻辑终端创建应答。
7.一种下挂终端设备管控系统,其特征在于,包括:
收发器,用于接收安全CPE发送的认证请求,所述认证请求包括加密信息;
处理器,用于根据所述认证请求,采用与所述安全CPE所属的下挂终端设备对应的私钥对加密信息进行解密,获取逻辑终端标识和签名信息,并根据逻辑终端标识对应的公钥证书,对所述签名信息进行验签处理,获取验签结果;所述逻辑终端标识为安全CPE中的安全客户端根据所述下挂终端设备的指纹信息、所述安全CPE的标识和所述安全CPE的位置信息所生成的;
所述收发器,还用于接收所述安全CPE发送的逻辑终端创建请求;
所述处理器,还用于解析所述逻辑终端创建请求,获取逻辑终端标识;
所述收发器,还用于在从CA系统获取存储所述逻辑终端标识对应的公钥证书,以及存储所述逻辑终端信息后,向所述安全CPE返回逻辑终端创建应答。
8.一种下挂终端设备处理系统,其特征在于,包括:下挂终端设备、安全CPE、下挂终端设备管控系统和CA系统;其中,
所述安全CPE执行如权利要求1至3任一项所述的方法;所述下挂终端设备管控系统执行如权利要求4或5所述的方法。
9.一种可读存储介质,其特征在于,包括:所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的方法。
10.一种可读存储介质,其特征在于,包括:所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求4或5所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310011202.5A CN116015961B (zh) | 2023-01-05 | 2023-01-05 | 下挂终端设备的控制处理方法、安全cpe、系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310011202.5A CN116015961B (zh) | 2023-01-05 | 2023-01-05 | 下挂终端设备的控制处理方法、安全cpe、系统及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116015961A CN116015961A (zh) | 2023-04-25 |
CN116015961B true CN116015961B (zh) | 2024-05-28 |
Family
ID=86031517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310011202.5A Active CN116015961B (zh) | 2023-01-05 | 2023-01-05 | 下挂终端设备的控制处理方法、安全cpe、系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015961B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109492371A (zh) * | 2018-10-26 | 2019-03-19 | 中国联合网络通信集团有限公司 | 一种数字证书空发方法及装置 |
CN112351390A (zh) * | 2019-08-09 | 2021-02-09 | 华为技术有限公司 | 蓝牙设备互识或互信的方法 |
WO2022111102A1 (zh) * | 2020-11-24 | 2022-06-02 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置、电子设备和机器可读存储介质 |
CN114679293A (zh) * | 2021-06-15 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于零信任安全的访问控制方法、设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8073428B2 (en) * | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
EP2103082A2 (en) * | 2006-10-03 | 2009-09-23 | ViaSat, Inc. | Multi-service provider authentication |
US10588019B2 (en) * | 2016-05-05 | 2020-03-10 | Qualcomm Incorporated | Secure signaling before performing an authentication and key agreement |
-
2023
- 2023-01-05 CN CN202310011202.5A patent/CN116015961B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109492371A (zh) * | 2018-10-26 | 2019-03-19 | 中国联合网络通信集团有限公司 | 一种数字证书空发方法及装置 |
CN112351390A (zh) * | 2019-08-09 | 2021-02-09 | 华为技术有限公司 | 蓝牙设备互识或互信的方法 |
WO2022111102A1 (zh) * | 2020-11-24 | 2022-06-02 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置、电子设备和机器可读存储介质 |
CN114679293A (zh) * | 2021-06-15 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于零信任安全的访问控制方法、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
一种新的隐私保护型车载网络切换认证协议;周治平;张惠根;孙子文;李静;;电子与信息学报(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116015961A (zh) | 2023-04-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768630B (zh) | 区块链节点的加密通信方法和系统 | |
CN108737430B (zh) | 区块链节点的加密通信方法和系统 | |
US11616775B2 (en) | Network access authentication method, apparatus, and system | |
EP3090520B1 (en) | System and method for securing machine-to-machine communications | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
EP2963958B1 (en) | Network device, terminal device and information security improving method | |
CN107426174B (zh) | 一种可信执行环境的访问控制方法 | |
US11880450B2 (en) | Method and apparatus for updating password of electronic device, device and storage medium | |
US11394696B2 (en) | Resource request method, device and storage medium | |
US9781090B2 (en) | Enterprise computing environment with continuous user authentication | |
CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
US11968302B1 (en) | Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator | |
CN110474921A (zh) | 一种面向局域物联网的感知层数据保真方法 | |
CN111918284A (zh) | 一种基于安全通信模组的安全通信方法及系统 | |
KR20100044199A (ko) | 트러스트 센터 링크 키를 초기화하는 네트워크 및 방법 | |
KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
CN108989302B (zh) | 一种基于密钥的opc代理连接系统和连接方法 | |
CN108400967B (zh) | 一种鉴权方法及鉴权系统 | |
CN116015961B (zh) | 下挂终端设备的控制处理方法、安全cpe、系统及介质 | |
CN106878989B (zh) | 一种接入控制方法及装置 | |
JP7191999B2 (ja) | ミニプログラムパッケージ送信方法、装置、電子機器コンピュータ可読媒体およびコンピュータプログラム製品 | |
CN115438353A (zh) | 一种用户数据管理方法以及相关设备 | |
CN117692902B (zh) | 一种基于嵌入式家庭网关的智能家居的交互方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |