CN116015977A - 一种用于物联网设备的网络访问控制方法及系统 - Google Patents
一种用于物联网设备的网络访问控制方法及系统 Download PDFInfo
- Publication number
- CN116015977A CN116015977A CN202310097751.9A CN202310097751A CN116015977A CN 116015977 A CN116015977 A CN 116015977A CN 202310097751 A CN202310097751 A CN 202310097751A CN 116015977 A CN116015977 A CN 116015977A
- Authority
- CN
- China
- Prior art keywords
- policy
- network access
- point
- network connection
- integrity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于物联网设备的网络访问控制方法及系统,属于网络安全技术领域,包括:访问请求者向策略执行点发送连接请求,由策略执行点向策略决策点发送网络访问决策请求;根据网络访问决策请求,策略决策点依次完成与策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;策略决策点发送网络访问策略至策略执行点,策略执行点执行网络访问策略,完成网络连接。本发明通过基于可信任模块和物联网设备,提出新的访问控制策略,可以根据特定的网络访问策略校验访问请求者的状态,决定是否授权该网络实体的访问请求的机制,还提出该过程中的数据传输协议,保证数据传输过程的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种用于物联网设备的网络访问控制方法及系统。
背景技术
随着互联网的快速发展和日益普及,网络对安全保障提出了非常高的要求,网络安全己经成为人们关注的焦点。传统的网络安全防范体系主要是指通过防火墙、入侵检测、防病毒等被动的防御手段来抗击来自计算机外部的病毒、黑客攻击与入侵,但这些并不能从根源上解决计算机网络的安全。实际上,一切计算机的入侵攻击都是从个人计算机终端上发起的。因此,网络安全技术提出直接保护终端计算机的安全,从终端出发确保网络资源的安全从而来实现整个网络的安全。而网络访问控制技术的提出很好的满足了此理论。
而随着物联网的蓬勃发展,在保障物联网的网络安全方面,网络访问控制技术具有非常重要的作用。它采用现有的解决方案或一些新技术,来确保任何一台欲连接受保护网络的物联网设备,必须经过身份验证而且服从于该网络的安全策略,才能允许访问。否则,该设备将被隔离,直到它们符合受保护网络的安全策略为止。另外对于大多数局域网,管理者一般也会为局域网安装防火墙与安全网关来保护其自身的安全。事实证明,这些防护手段在一定程度上可以阻止来自外部网络的病毒感染与恶意攻击,但其对于来自内部攻击与破坏的防范却收效甚微。举例来说,局域网内部有一台主机接入了网络,但其并没有经过授权而且自身系统存在着安全漏洞,那么它诱发蠕虫、木马病毒或者拒绝服务等恶意破坏的可能性是非常大的。更甚者,如果此终端主机感染了病毒并被允许访问其他主机,那么病毒会肆意传播,从而扩散到整个网络。综上所述,如果有不安全的终端接入网络,那么对网络带来的安全隐患也将是无法估量的。
因此,需要提出一种针对物联网设备的网络访问控制方法。
发明内容
本发明提供一种用于物联网设备的网络访问控制方法及系统,用以解决现有技术中存在的缺陷。
第一方面,本发明提供一种用于物联网设备的网络访问控制方法,包括:
访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;
根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;
所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
根据本发明提供的一种用于物联网设备的网络访问控制方法,所述访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求之前,还包括:
所述访问请求者中的可信网络连接客户端对每一个完整性收集器进行初始化;
所述策略决策点中的可信网络连接服务器对每一个完整性验证器进行初始化。
根据本发明提供的一种用于物联网设备的网络访问控制方法,所述访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求,包括:
待网络访问请求者发起与网络访问授权者的网络连接时,由所述网络访问请求者向所述策略执行点发送连接请求;
所述策略执行点接收到所述连接请求,向所述网络访问授权者发送所述网络访问决策请求。
根据本发明提供的一种用于物联网设备的网络访问控制方法,所述策略决策点完成与所述策略执行点之间的用户身份认证,包括:
网络访问请求者接收终端设备身份信息,对所述终端设备身份信息进行加密得到加密身份信息;
所述网络访问请求者将所述加密身份信息发送至所述策略执行点,由所述策略执行点转发所述加密身份信息至网络访问授权者;
所述网络访问管理者验证所述加密身份信息,若确定验证通过,则向可信任网络连接服务器发送平台身份验证连接请求,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
根据本发明提供的一种用于物联网设备的网络访问控制方法,所述策略决策点依次完成与所述策略执行点之间的平台身份认证,包括:
可信任网络连接客户端确定平台认证信息,并对所述平台认证信息进行加密,得到加密平台信息;
所述可信任网络连接客户端发送所述加密平台信息至可信任网络连接服务端;
所述可信任网络连接服务端验证所述加密平台信息,若确定验证通过,则向可信任网络连接客户端发送平台完整性验证连接请求,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
根据本发明提供的一种用于物联网设备的网络访问控制方法,所述策略决策点完成与所述策略执行点之间的平台完整性认证,包括:
所述可信任网络连接服务端向完整性度量验证器发送平台完整性验证请求,所述可信任网络连接客户端向完整性度量收集器发送平台完整性信息获取请求;
所述可信任网络连接服务端接收所述可信任网络连接客户端发送的平台完整性验证信息,并转发所述平台完整性验证信息至所述完整性度量验证器;
所述完整性度量验证器验证所述平台完整性验证信息,若确定验证通过,则向所述策略执行点发送所有认证通过消息,打开网络连接,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
根据本发明提供的一种用于物联网设备的网络访问控制方法,所述可信任网络连接服务端向完整性度量验证器发送平台完整性验证请求,所述可信任网络连接客户端向完整性度量收集器发送平台完整性信息获取请求,包括:
所述可信任网络连接服务端与所述可信任网络连接客户端进行所述平台完整性验证信息的交互,由网络访问请求者、所述策略执行点和网络访问授权者转发所述平台完整性验证信息,直至所述访问请求者的完整性状态满足所述可信任网络连接服务端要求;
所述可信任网络连接服务端将每一个完整性度量收集器信息发送至对应的完整性度量验证器,所述完整性度量验证器根据所述每一个完整性度量收集器信息向所述可信任网络连接服务端发送完整性需求获取信息,或向所述可信任网络连接服务端发送完整性分析结果;
所述可信任网络连接客户端将所述可信任网络连接服务端发送的所述平台完整性验证信息转发至对应的完整性度量收集器,并将所述对应的完整性度量收集器发送的反馈信息转发至所述可信任网络连接服务端。
根据本发明提供的一种用于物联网设备的网络访问控制方法,所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接,包括:
可信任网络连接服务端向网络访问授权者发送所述网络访问策略;
所述网络访问授权者将所述网络访问策略转发至所述策略执行点,所述策略执行点执行所述网络访问策略之后,分别向所述网络访问授权者和可信任网络连接客户端反馈执行结果。
第二方面,本发明还提供一种用于物联网设备的网络访问控制系统,包括:
请求模块,用于访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;
认证模块,用于根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;
连接模块,用于所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
第三方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述用于物联网设备的网络访问控制方法。
本发明提供的用于物联网设备的网络访问控制方法及系统,通过基于可信任模块和物联网设备,提出新的访问控制策略,可以根据特定的网络访问策略校验访问请求者的状态,决定是否授权该网络实体的访问请求的机制,还提出该过程中的数据传输协议,保证数据传输过程的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的用于物联网设备的网络访问控制方法的流程示意图之一;
图2是本发明提供的用于物联网设备的网络访问控制方法的流程示意图之二;
图3是本发明提供的用户身份认证流程图;
图4是本发明提供的平台身份认证流程图;
图5是本发明提供的平台完整性认证流程图;
图6是本发明提供的用于物联网设备的网络访问控制系统的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有的物联网设备在接入过程中的问题,本发明提出一种新的用于物联网设备的网络访问控制方法,如图1所示,包括:
步骤100:访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;
步骤200:根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;
步骤300:所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
需要说明的是,物联网设备作为典型的终端设备,其安全性对于保护接入的网络至关重要,因此需要对接入网络的物联网设备进行安全性认证。越来越多的物联网设备开始配备TPM模块,可利用TPM模块收集认证信息,然后由鉴别服务器对信息进行鉴别,并根据策略决定是否授权该网络实体的访问请求,解决上述所提的关于物联网设备安全隐患的问题,本发明设计了可由用户设定策略,并根据特定的网络访问策略校验访问请求者的状态,决定是否授权该网络实体的访问请求的方法,具体的实现流程参见图2,其中,涉及的具体设备和接口如下:
AR:访问请求者;
NAR:网络访问请求者;
NAA:网络访问授权者;
PDP:策略决定点;
PEP:策略执行点;
TNCC:可信网络连接客户端;
TNCS:可信网络连接服务器;
IMC:完整性度量收集器;
IMV:完整性度量验证器;
IMCs:完整性度量收集器集群,例如包括图2中所示的IMC1、IMC2和IMC3,本发明对具体数量不做任何限制;
IMVs:完整性度量验证器集群,例如包括图2中所示的IMV1、IMV2和IMV3,本发明对具体数量不做任何限制;
IF-PEP:为PDP与PEP的接口,维护PDP和PEP之间的信息传输;
IF-T:维护AR与PDP之间的信息传输,并对上层接口协议提供封装,针对EAP方法和TLS分别制定了规范;
IF-TNCCS:TNCC和TNCS之间的接口,定义了TNCC与TNCS之间传递信息的协议;
IF-IMC:TNCC与IMC组件之间的接口,定义了TNCC与IMC之间的传递信息的协议;
IF-IMV:TNCS与IMV组件之间的接口,定义了TNCS与IMV之间的传递信息的协议;
IF-M:IMC与IMV组件之间的接口,定义了IMC与IMV之间传递信息的协议。
本发明通过基于可信任模块和物联网设备,提出新的访问控制策略,可以根据特定的网络访问策略校验访问请求者的状态,决定是否授权该网络实体的访问请求的机制,还提出该过程中的数据传输协议,保证数据传输过程的安全性。
基于上述实施例,步骤100之前还包括:
所述访问请求者中的可信网络连接客户端对每一个完整性收集器进行初始化;
所述策略决策点中的可信网络连接服务器对每一个完整性验证器进行初始化。
具体地,在进行接入控制之前,对设备进行初始化,在进行网络连接和平台完整性验证之前,TNCC需要对每一个IMC进行初始化。同样,TNCS也要对IMV进行初始化。
基于上述实施例,步骤100包括:
待网络访问请求者发起与网络访问授权者的网络连接时,由所述网络访问请求者向所述策略执行点发送连接请求;
所述策略执行点接收到所述连接请求,向所述网络访问授权者发送所述网络访问决策请求。
具体地,当NAR在需要主动与NAA进行网络连接时,NAR向PEP发送一个连接请求;
接收到NAR的访问请求之后,PEP向NAA发送一个网络访问决策请求。假定NAA己经设置成按照用户认证、平台认证和完整性检查的顺序进行操作,如果有一个认证失败,则其后的认证将不会发生。用户认证可以发生在NAA和AR之间,平台认证和完整性检查发生在AR和TNCS之间。
假定AR和NAA之间的用户认证成功完成,则NAA通知TNCS有一个连接请求到达。
基于上述实施例,所述策略决策点完成与所述策略执行点之间的用户身份认证,如图3所示,包括:
网络访问请求者接收终端设备身份信息,对所述终端设备身份信息进行加密得到加密身份信息;
所述网络访问请求者将所述加密身份信息发送至所述策略执行点,由所述策略执行点转发所述加密身份信息至网络访问授权者;
所述网络访问管理者验证所述加密身份信息,若确定验证通过,则向可信任网络连接服务器发送平台身份验证连接请求,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
基于上述实施例,如图4所示,所述策略决策点依次完成与所述策略执行点之间的平台身份认证,包括:
可信任网络连接客户端确定平台认证信息,并对所述平台认证信息进行加密,得到加密平台信息;
所述可信任网络连接客户端发送所述加密平台信息至可信任网络连接服务端;
所述可信任网络连接服务端验证所述加密平台信息,若确定验证通过,则向可信任网络连接客户端发送平台完整性验证连接请求,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
基于上述实施例,如图5所示,所述策略决策点完成与所述策略执行点之间的平台完整性认证,包括:
所述可信任网络连接服务端向完整性度量验证器发送平台完整性验证请求,所述可信任网络连接客户端向完整性度量收集器发送平台完整性信息获取请求;
所述可信任网络连接服务端接收所述可信任网络连接客户端发送的平台完整性验证信息,并转发所述平台完整性验证信息至所述完整性度量验证器;
所述完整性度量验证器验证所述平台完整性验证信息,若确定验证通过,则向所述策略执行点发送所有认证通过消息,打开网络连接,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
其中,所述可信任网络连接服务端向完整性度量验证器发送平台完整性验证请求,所述可信任网络连接客户端向完整性度量收集器发送平台完整性信息获取请求,包括:
所述可信任网络连接服务端与所述可信任网络连接客户端进行所述平台完整性验证信息的交互,由网络访问请求者、所述策略执行点和网络访问授权者转发所述平台完整性验证信息,直至所述访问请求者的完整性状态满足所述可信任网络连接服务端要求;
所述可信任网络连接服务端将每一个完整性度量收集器信息发送至对应的完整性度量验证器,所述完整性度量验证器根据所述每一个完整性度量收集器信息向所述可信任网络连接服务端发送完整性需求获取信息,或向所述可信任网络连接服务端发送完整性分析结果;
所述可信任网络连接客户端将所述可信任网络连接服务端发送的所述平台完整性验证信息转发至对应的完整性度量收集器,并将所述对应的完整性度量收集器发送的反馈信息转发至所述可信任网络连接服务端。
基于上述实施例,步骤300包括:
可信任网络连接服务端向网络访问授权者发送所述网络访问策略;
所述网络访问授权者将所述网络访问策略转发至所述策略执行点,所述策略执行点执行所述网络访问策略之后,分别向所述网络访问授权者和可信任网络连接客户端反馈执行结果。
具体地,当TNCS完成和TNCC的完整性检查握手之后,它发送TNCS推荐操作给NAA;
NAA发送网络访问决策给PEP来实施。NAA也必须向TNCS说明它最后的网络访问决定,这个决定也将会发送给TNCC。PEP执行NAA的决策,这一次的网络连接过程结束。
下面根据图2所示的流程步骤,本发明所涉及的完整实现流程如下:
步骤0:在进行网络连接和平台完整性验证之前,TNCC需要对每一个IMC进行初始化,如图2中示例了IMCs集群中包含多个IMC,包括但不限于IMC1、IMC2和IMC3。同样,TNCS也要对IMV进行初始化,如图2中示例了IMVs集群中包含多个IMV,包括但不限于IMV1、IMV2和IMV3。
步骤1:NAR在需要主动与NAA进行网络连接时,NAR向PEP发送一个连接请求。
步骤2:接收到NAR的访问请求之后,PEP向NAA发送一个网络访问决策请求。假定NAA己经设置成按照用户认证、平台认证和完整性检查的顺序进行操作,如果有一个认证失败,则其后的认证将不会发生。用户认证可以发生在NAA和AR之间。平台认证和完整性检查发生在AR和TNCS之间。
步骤3:假定AR和NAA之间的用户认证成功完成,则NAA通知TNCS有一个连接请求到达。
步骤4:TNCS和TNCC进行平台验证。
步骤5:假定TNCC和TNCS之间的平台验证成功完成。TNCS通知IMV新的连接请求已经发生,需要进行完整性验证。同时TNCC通知IMC新的连接请求己经发生,需要准备完整性相关信息。IMC通过IF-IMC向TNCC返回IF-M消息。
步骤6A:TNCC和TNCS交换完整性验证相关的各种信息。这些信息将会被NAR、PEP和NAA转发,直到AR的完整性状态满足TNCS的要求。
步骤6B:TNCS将每个IMC信息发送给相应的IMV。IMV对IMC信息进行分析。如果IMV需要更多的完整性信息,它将通过IF-IMV向TNCS发送信息。如果IMV已经对IMC的完整性信息做出判断,它将结果通过IF-IMV发送给TNCS。
步骤6C:TNCC也要转发来自TNCS的信息给相应的IMC,并将来自IMC的信息发给TNCS。
步骤7:当TNCS完成和TNCC的完整性检查握手之后,它发送TNCS推荐操作给NAA。
步骤8:NAA发送网络访问决策给PEP来实施。NAA也必须向TNCS说明它最后的网络访问决定,这个决定也将会发送给TNCC。PEP执行NAA的决策,这一次的网络连接过程结束。
可以理解的是,通过本发明的技术方案,引入可信计算技术,利用TPM模块和物联网设备实现访问控制策略。
下面对本发明提供的用于物联网设备的网络访问控制系统进行描述,下文描述的用于物联网设备的网络访问控制系统与上文描述的用于物联网设备的网络访问控制方法可相互对应参照。
图6是本发明提供的用于物联网设备的网络访问控制系统的结构示意图,如图6所示,包括:请求模块61、认证模块62和连接模块63,其中:
请求模块61用于访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;认证模块62用于根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;连接模块63用于所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行用于物联网设备的网络访问控制方法,该方法包括:访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的用于物联网设备的网络访问控制方法,该方法包括:访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的用于物联网设备的网络访问控制方法,该方法包括:访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种用于物联网设备的网络访问控制方法,其特征在于,包括:
访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;
根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;
所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
2.根据权利要求1所述的用于物联网设备的网络访问控制方法,其特征在于,所述访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求之前,还包括:
所述访问请求者中的可信网络连接客户端对每一个完整性收集器进行初始化;
所述策略决策点中的可信网络连接服务器对每一个完整性验证器进行初始化。
3.根据权利要求1所述的用于物联网设备的网络访问控制方法,其特征在于,所述访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求,包括:
待网络访问请求者发起与网络访问授权者的网络连接时,由所述网络访问请求者向所述策略执行点发送连接请求;
所述策略执行点接收到所述连接请求,向所述网络访问授权者发送所述网络访问决策请求。
4.根据权利要求1所述的用于物联网设备的网络访问控制方法,其特征在于,所述策略决策点完成与所述策略执行点之间的用户身份认证,包括:
网络访问请求者接收终端设备身份信息,对所述终端设备身份信息进行加密得到加密身份信息;
所述网络访问请求者将所述加密身份信息发送至所述策略执行点,由所述策略执行点转发所述加密身份信息至网络访问授权者;
所述网络访问管理者验证所述加密身份信息,若确定验证通过,则向可信任网络连接服务器发送平台身份验证连接请求,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
5.根据权利要求1所述的用于物联网设备的网络访问控制方法,其特征在于,所述策略决策点依次完成与所述策略执行点之间的平台身份认证,包括:
可信任网络连接客户端确定平台认证信息,并对所述平台认证信息进行加密,得到加密平台信息;
所述可信任网络连接客户端发送所述加密平台信息至可信任网络连接服务端;
所述可信任网络连接服务端验证所述加密平台信息,若确定验证通过,则向可信任网络连接客户端发送平台完整性验证连接请求,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
6.根据权利要求1所述的用于物联网设备的网络访问控制方法,其特征在于,所述策略决策点完成与所述策略执行点之间的平台完整性认证,包括:
所述可信任网络连接服务端向完整性度量验证器发送平台完整性验证请求,所述可信任网络连接客户端向完整性度量收集器发送平台完整性信息获取请求;
所述可信任网络连接服务端接收所述可信任网络连接客户端发送的平台完整性验证信息,并转发所述平台完整性验证信息至所述完整性度量验证器;
所述完整性度量验证器验证所述平台完整性验证信息,若确定验证通过,则向所述策略执行点发送所有认证通过消息,打开网络连接,否则,依次向可信任网络连接客户端和所述策略执行点发送认证失败消息,断开网络连接。
7.根据权利要求6所述的用于物联网设备的网络访问控制方法,其特征在于,所述可信任网络连接服务端向完整性度量验证器发送平台完整性验证请求,所述可信任网络连接客户端向完整性度量收集器发送平台完整性信息获取请求,包括:
所述可信任网络连接服务端与所述可信任网络连接客户端进行所述平台完整性验证信息的交互,由网络访问请求者、所述策略执行点和网络访问授权者转发所述平台完整性验证信息,直至所述访问请求者的完整性状态满足所述可信任网络连接服务端要求;
所述可信任网络连接服务端将每一个完整性度量收集器信息发送至对应的完整性度量验证器,所述完整性度量验证器根据所述每一个完整性度量收集器信息向所述可信任网络连接服务端发送完整性需求获取信息,或向所述可信任网络连接服务端发送完整性分析结果;
所述可信任网络连接客户端将所述可信任网络连接服务端发送的所述平台完整性验证信息转发至对应的完整性度量收集器,并将所述对应的完整性度量收集器发送的反馈信息转发至所述可信任网络连接服务端。
8.根据权利要求1所述的用于物联网设备的网络访问控制方法,其特征在于,所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接,包括:
可信任网络连接服务端向网络访问授权者发送所述网络访问策略;
所述网络访问授权者将所述网络访问策略转发至所述策略执行点,所述策略执行点执行所述网络访问策略之后,分别向所述网络访问授权者和可信任网络连接客户端反馈执行结果。
9.一种用于物联网设备的网络访问控制系统,其特征在于,包括:
请求模块,用于访问请求者向策略执行点发送连接请求,由所述策略执行点向策略决策点发送网络访问决策请求;
认证模块,用于根据所述网络访问决策请求,所述策略决策点依次完成与所述策略执行点之间的用户身份认证、平台身份认证和平台完整性认证,生成网络访问策略;
连接模块,用于所述策略决策点发送所述网络访问策略至所述策略执行点,所述策略执行点执行所述网络访问策略,完成网络连接。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述用于物联网设备的网络访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310097751.9A CN116015977A (zh) | 2023-01-28 | 2023-01-28 | 一种用于物联网设备的网络访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310097751.9A CN116015977A (zh) | 2023-01-28 | 2023-01-28 | 一种用于物联网设备的网络访问控制方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116015977A true CN116015977A (zh) | 2023-04-25 |
Family
ID=86024921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310097751.9A Pending CN116015977A (zh) | 2023-01-28 | 2023-01-28 | 一种用于物联网设备的网络访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015977A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116614318A (zh) * | 2023-07-20 | 2023-08-18 | 深圳市中科云科技开发有限公司 | 一种基于防火墙的网络安全防护方法和系统 |
-
2023
- 2023-01-28 CN CN202310097751.9A patent/CN116015977A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116614318A (zh) * | 2023-07-20 | 2023-08-18 | 深圳市中科云科技开发有限公司 | 一种基于防火墙的网络安全防护方法和系统 |
CN116614318B (zh) * | 2023-07-20 | 2023-10-03 | 深圳市中科云科技开发有限公司 | 一种基于防火墙的网络安全防护方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pradhan et al. | Solutions to vulnerabilities and threats in software defined networking (SDN) | |
US20240121211A1 (en) | Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks | |
US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
JP5248621B2 (ja) | 3値同等識別に基づく、信頼されているネットワークアクセス制御システム | |
US8959650B1 (en) | Validating association of client devices with sessions | |
US8826378B2 (en) | Techniques for authenticated posture reporting and associated enforcement of network access | |
US9699158B2 (en) | Network user identification and authentication | |
CN114039750B (zh) | 一种保护sdp控制器的实现方法 | |
RU2437228C2 (ru) | Система доверительного сетевого подключения для улучшения безопасности | |
US20080005359A1 (en) | Method and apparatus for OS independent platform based network access control | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
EP2421215B1 (en) | Method for establishing trusted network connect framework of tri-element peer authentication | |
WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
WO2023159994A1 (zh) | 一种运维处理方法和终端设备 | |
US9237143B1 (en) | User authentication avoiding exposure of information about enumerable system resources | |
US20160014077A1 (en) | System, Method and Process for Mitigating Advanced and Targeted Attacks with Authentication Error Injection | |
CN110401640A (zh) | 一种基于可信计算双体系架构的可信连接方法 | |
Singh et al. | On the IEEE 802.11 i security: a denial‐of‐service perspective | |
CN115065564B (zh) | 一种基于零信任机制的访问控制方法 | |
CN114143343A (zh) | 雾计算环境中远程访问控制系统、控制方法、终端及介质 | |
CN116015977A (zh) | 一种用于物联网设备的网络访问控制方法及系统 | |
CN106576050B (zh) | 三层安全和计算架构 | |
US10298588B2 (en) | Secure communication system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |