CN116032591A - 一种哑终端仿冒识别方法及系统 - Google Patents
一种哑终端仿冒识别方法及系统 Download PDFInfo
- Publication number
- CN116032591A CN116032591A CN202211665652.8A CN202211665652A CN116032591A CN 116032591 A CN116032591 A CN 116032591A CN 202211665652 A CN202211665652 A CN 202211665652A CN 116032591 A CN116032591 A CN 116032591A
- Authority
- CN
- China
- Prior art keywords
- terminal
- dumb
- signature
- information
- gateway equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000004044 response Effects 0.000 claims abstract description 54
- 238000012795 verification Methods 0.000 claims description 17
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的一种哑终端仿冒识别方法及系统,网关设备检测到哑终端接入后向哑终端发送查询报文;哑终端接收到查询报文后,生成查询响应报文并发送给网关设备;网关设备从查询响应报文中解析出终端属性值,获取哑终端的接入信息,并将终端属性值和接入信息发送给终端安全准入系统;终端安全准入系统若确定终端属性值中存在终端身份签名和签名时间戳,则获取终端信息绑定的签名密钥,根据签名密钥、终端信息以及签名时间戳生成比对身份签名,基于终端身份签名和比对身份签名的一致性判断结果确定哑终端是否被仿冒。整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别,能够解决现在仿冒识别准确度和效率都低的问题。
Description
技术领域
本发明涉及哑终端安全接入技术领域,具体而言,涉及一种哑终端仿冒识别方法及系统。
背景技术
在金融行业,打印机、ATM机、柜台哑终端、安防监控哑终端等各式各样哑终端繁多,由于缺乏统一管理规范标准,目前主要靠人工录入台账管理,准确性和人力成本问题突出;并且这类哑终端由于没有比较安全的网络接入控制方式,常规的802.1X认证、Portal认证、拨号认证等手段由于哑终端不具备智能交互所以不适用,只能通过MAC地址绑定或MAC地址认证的方式控制接入;由于这类哑终端数量多,MAC地址绑定或MAC地址认证涉及的配置较为繁琐,如果哑终端需要迁移位置管理不便,并且不法分子可以很容易的仿冒哑终端MAC地址和IP地址非法接入入侵用户网络,这类事件屡见不鲜,安全形势严峻。
目前的哑终端仿冒识别技术,基本都是基于哑终端流量特征和一些终端信息判断,准确性不高误报率高,不具备实用价值,比如哑终端在不同工作状态、软件版本差异都会影响流量特征和终端信息特征的判断。
因此,如何解决哑终端接入安全控制难,仿冒识别准确率和效率低,没有统一的防仿冒标准的问题,是本发明需要解决的技术问题。
发明内容
本发明的目的之一在于提供一种哑终端仿冒识别方法及系统,用于解决哑终端接入安全控制难,仿冒识别准确率和效率低,没有统一的防仿冒标准的问题,本发明技术方案可以这样实现:
第一方面,本发明提供一种哑终端仿冒识别方法,所述方法包括:网关设备检测到哑终端接入后向所述哑终端发送查询报文;所述哑终端接收到所述查询报文后,生成查询响应报文并发送给所述网关设备;所述查询响应报文中携带有终端属性值;所述终端属性值中包括终端信息;所述网关设备从所述查询响应报文中解析出所述终端属性值,获取所述哑终端的接入信息,并将所述终端属性值和接入信息发送给所述终端安全准入系统;所述终端安全准入系统若确定所述终端属性值中存在终端身份签名和签名时间戳,则获取所述终端信息绑定的签名密钥,根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名,基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。
第二方面,本发明提供一种哑终端仿冒识别系统,包括:哑终端、网关设备和终端安全准入系统;所述网关设备分别于所述哑终端和所述终端安全准入系统通信连接;所述网关设备,用于:检测到所述哑终端接入后向所述哑终端发送查询报文;所述哑终端,用于:接收到所述查询报文后,生成查询响应报文并发送给所述网关设备;所述查询响应报文中携带有终端属性值;所述终端属性值中包括终端信息;所述网关设备,还用于:从所述查询响应报文中解析出所述终端属性值,获取所述哑终端的接入信息,并将所述终端属性值和接入信息发送给所述终端安全准入系统;所述终端安全准入系统,用于:若确定所述终端属性值中存在终端身份签名和签名时间戳,则获取所述终端信息绑定的签名密钥,根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名,基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。
本发明提供的一种哑终端仿冒识别方法及系统,方法包括:从上述哑终端仿冒识别方法中,网关设备检测到哑终端接入后先向哑终端发送查询报文,哑终端收到查询报文后再向网关设备发送查询响应报文,网关设备从查询报文中解析出终端身份签名和签名时间戳,则表明哑终端非首次接入,此时网关设备可以直接将终端身份签名发送给终端安全准入系统去进行终端身份签名验证,具体为根据与终端信息绑定的签名密钥和获得的签名时间戳以及终端信息生成一个比对身份签名,将自身生成的比对身份签名和自身收到的终端身份签名进行一致性判断从而确定这个哑终端是否被仿冒,整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别,能够解决现在仿冒识别准确度和效率都低的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的哑终端仿冒识别系统的架构图;
图2为本发明实施例提供的哑终端的存储结构示意图;
图3为本发明实施例提供的终端安全准入系统的存储结构示意图;
图4为本发明实施例提供的哑终端仿冒识别方法的示意性流程图;
图5为本发明实施例提供的哑终端仿冒识别方法的另一种示意性流程图;
图6为本发明实施例提供的一种哑终端仿冒识别方法的信令交互图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
为了解决哑终端接入安全控制难,仿冒识别准确度低,没有统一的防仿冒标准的问题,本发明实施例提供了一种哑终端仿冒识别系统,请参考图1,图1为本发明实施例提供的哑终端仿冒识别系统的架构图,包括:哑终端110、网关设备120和终端安全准入系统130。网关设备120分别与哑终端110和终端安全准入系统130通信连接。
其中,哑终端110可以但不限于是打印机、ATM机、安防监控终端等,哑终端110的存储结构如图2所示,图2为本发明实施例提供的哑终端的存储结构示意图,其主要存储有终端属性值,终端属性值主要有:公开密钥、私有密钥、签名密钥和终端信息。
哑终端110首次入网时,可以将公开密钥提供给终端安全准入系统130,终端安全准入系统130在对哑终端110首次信任通过后会为哑终端分配一个签名密钥,并用哑终端110提供的公开密钥对签名密钥进行加密,并将加密后的签名密钥提供给哑终端110。
为了安全考虑,哑终端110获得加密后的签名密钥后,直接存储加密后的签名密钥,后续需要进行终端身份签名验证时,可以使用私有密钥做解密。
签名密钥是哑终端100通过终端安全准入系统130的首次信任之后,由终端安全准入系统130随机分配的。终端安全准入系统130可以根据签名密钥进行仿冒识别。
终端信息主要包括:终端类型、MAC地址、IP地址、版本号等不随时间或空间变换的固有信息。
网关设备120可以但不限于是:三层接入交换机、接入路由器等,负责哑终端的安全接入,哑终端110和网关设备120共同实现了本发明提供的安全管理协议。
安全管理协议指的是哑终端110和网关设备120预先协定的统一标准协议,由网关设120备发起、哑终端110响应,其中,一条报文包含报文协议版本Ver(值固定为1)、报文类型Type、报文标识ReqID、属性值列表Attrs。
其中,报文类型通过不同值来表示,如表1所示。
表1
| 报文类型值 | 说明 | 报文方向 |
| 1 | 查询报文 | 网关设备→哑终端 |
| 2 | 查询响应报文 | 网关设备←哑终端 |
| 3 | 设置报文 | 网关设备→哑终端 |
| 4 | 设置响应报文 | 网关设备←哑终端 |
报文标识ReqID可以用来标识响应报文是针对哪一个报文响应的,比如网关设备120向哑终端110发送一个查询报文,哑终端发送查询响应报文时需要带查询报文的ID,以表明是对ID这个查询报文的响应。
属性值列表Attrs是T(Type,类型)-L(Length,长度)-V(Value,值)格式的列表,用来携带终端属性值。
本发明实施例中的哑终端110和网关设备120按照上述安全管理协议进行通信,可以解决由于没有统一的协议标准,各类哑终端的类型、厂商、型号等终端信息收集维护难的问题。
终端安全准入系统130可以但不限于是SDN控制器,负责终端准入认证、终端身份签名验证、终端仿冒识别,终端安全准入系统130可以设置在服务器或者其他控制设备中,终端安全准入系统130的存储结构如图3所示,图3为本发明实施例提供的终端安全准入系统130的存储结构示意图,其用来存储终端属性值队列,每个终端的终端属性值包括公开密钥、签名密钥和终端信息。
结合上述图1所示的架构图,本发明实施例提供一种哑终端仿冒识别方法,应用于图1所示的哑终端仿冒识别系统,请参见图4,图4为本发明实施例提供的哑终端仿冒识别方法的示意性流程图,可以包括如下步骤:
S411:网关设备检测到哑终端接入后向哑终端发送查询报文;
本发明实施例中,如表1所示,网关设备在检测到哑终端接入后,向网关设备发送报文类型为1的查询报文。
S412:哑终端接收到查询报文后,生成查询响应报文并发送给网关设备;查询响应报文中携带有终端属性值;终端属性值中包括终端信息;
本发明实施例中,如表1所示,哑终端在向网关设备发送报文类型为1的查询响应报文,查询响应报文和网关设备发送的查询报文中的ReqID相同,哑终端还可以基于实际情况在属性值列表中写入终端属性值。
在一种实际情况中,哑终端是首次接入网关设备,则属性值列表中包含的终端属性值有:公开密钥和终端信息,终端信息可以但不限于是:终端类型、MAC地址、IP地址、版本号等。
在另一种实际情况中,哑终端非首次接入网关设备,则属性值列表中包含的终端属性值有:公开密钥、终端信息、签名时间戳和终端身份签名。
本发明实施例中,终端身份签名信息计算方式:MD5(MAC地址+IP地址+终端类型+签名时间戳+签名密钥)。
S413:网关设备从查询响应报文中解析出终端属性值,获取哑终端的接入信息,并将终端属性值和接入信息发送给终端安全准入系统;
本发明实施例中,接入信息可以包括接入时间、接入位置等信息,在哑终端是首次接入的情况下,接入信息和终端信息可以提供给终端安全准入系统以确定哑终端是否允许上网。
S414:终端安全准入系统若确定终端属性值中存在终端身份签名和签名时间戳,则获取终端信息绑定的签名密钥,根据签名密钥、终端信息以及签名时间戳生成比对身份签名,基于终端身份签名和比对身份签名的一致性判断结果确定哑终端是否被仿冒。
本发明实施例中,终端安全准入系统将自身收到的终端身份签名和自身生成的比对身份签名进行一致性判断,若两者一致,则表明哑终端没有被仿冒,若不一致则表明哑终端被仿冒。
从上述哑终端仿冒识别方法中,网关设备检测到哑终端接入后先向哑终端发送查询报文,哑终端收到查询报文后再向网关设备发送查询响应报文,网关设备从查询报文中解析出终端身份签名和签名时间戳,则表明哑终端非首次接入,此时网关设备可以直接将终端身份签名发送给终端安全准入系统去进行终端身份签名验证,具体为根据与终端信息绑定的签名密钥和获得的签名时间戳以及终端信息生成一个比对身份签名,将自身生成的比对身份签名和自身收到的终端身份签名进行一致性判断从而确定这个哑终端是否被仿冒,整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别,能够解决现在仿冒识别准确度和效率都低的问题。
作为可选的实施方式,从上述内容还可以看出,哑终端在非首次接入的时候,其发送给网关设备的查询响应报文才会携带有身份签名,在首次接入时,查询响应报文中不存在终端身份签名,因此,上述步骤S420可以包括入如下步骤:
步骤a1:哑终端收到查询报文后,确定自身是否存储有签名密钥;
步骤a2:若存储有签名密钥,则根据终端信息、签名时间戳和签名密钥生成终端身份签名,将签名时间戳、终端身份签名以及终端信息作为终端属性值,生成查询响应报文并发送给网关设备;
步骤a3:若未存储有签名密钥,则基于终端信息和公开密钥作为终端属性值,生成查询响应报文并发送给网关设备。
可以理解的是,将公开密钥提供给终端安全准入系统后,终端安全准入系统可以用公开密钥将分配给哑终端的签名密钥进行加密,哑终端收到加密后的签名密钥可以用自身存储的私有密钥解密,保证了签名密钥的安全。
作为可选的实施方式,当哑终端为首次接入,终端安全准入系统可以在验证哑终端是否允许接入(准入),若允许接入,则可以给哑终端分配一个签名密钥,哑终端利用签名密钥生成终端身份签名,并可以拿终端身份签名去做验证,一旦通过验证就可以为哑终端开通接入权限,因此,在图4的基础上,本发明实施例还给出一种实施方式,请参见图5,图5为本发明实施例提供的哑终端仿冒识别方法的另一种示意性流程图,可以包括:
S415:终端安全准入系统若发现终端属性值中不存在终端身份签名和签名时间,确定哑终端为首次接入,并基于接入信息和终端信息确定哑终端是否准入;
本发明实施例中,终端准入系统确定终端属性值中不存在终端身份签名和签名时间戳,则确定哑终端是首次接入,此时可以对哑终端进行验证以确定其是否准入。
在其中一种可选的实施方式,终端安全准入系统通过用户界面显示接入信息和终端信息,当接收到准入确认操作时确定哑终端准入。
在另外一种可选的实施方式,终端安全准入系统确定接入信息和终端信息是否满足预设准入规则,若是则确定哑终端准入。
也就是说,终端安全准入系统将终端信息和接入信息通过界面呈现给管理员,由管理员验证确认并允许接入;或者,管理员也可以根据实施规划提前在终端安全准入系统中按终端信息和接入信息录入首次接入准入的规则,哑终端首次接入时终端安全准入系统按规则自动验证。
S416:若确定哑终端准入,则终端安全准入系统为哑终端分配签名密钥,并将签名密钥与终端信息绑定存储;
本发明实施例中,终端安全准入系统可以随机为述哑终端分配一个签名密钥,也可以根据哑终端的终端信息生成一个签名密钥,此处不作限定。
可以理解的是,将签名密钥与终端信息绑定存储,可以提高后续进行终端身份签名验证过程中快速确定其收到的基本信息所对应的签名密钥,提高生成比对身份签名的效率。
S417:终端安全准入系统利用公开密钥对签名密钥加密,并将加密后的签名密钥通过网关设备下发给哑终端。
具体地,终端安全准入系统将加密后的签名密钥发送给网关设备,网关设备基于加密后的签名密钥生成设置报文并发送给哑终端,并开通哑终端的接入权限;哑终端对设置报文进行解析,得到加密后的签名密钥。
可以理解的是,在将加密后的签名密钥下发给网关设备的过程中,连同哑终端的终端信息也一起下发给网关设备,网关设备向哑终端发起Type为3的设置报文,并在Attrs属性中带上加密的签名密钥;哑终端从设置报文中解析出加密后的签名密钥并存储。
为了安全考虑,哑终端上直接存储加密后的签名密钥,后续终端身份签名使用签名密钥时再临时用私有密钥做解密。
在可选的实施方式中,若不允许哑终端接入,还可以执行S418:若确定哑终端不准入,则终端安全准入系统向网关设备发送验证失败的信息,以使网关设备对哑终端阻断上网。
在可选的实施方式中,当确定哑终端被仿冒就通过网关设备阻断哑终端上网的上网行为,当确定哑终端没有被仿冒就通过网关设备开通哑终端的接入权限,因此,在步骤S440之后还可以执行如下步骤:
步骤c1:当确定哑终端被仿冒,向网关设备发送验证失败信息,以使网关设备对哑终端进行阻断;
步骤c2:当确定哑终端未被仿冒,向网关设备发送验证成功信息,以使网关设备对哑终端开通接入权限。
通过上述哑终端仿冒识别方法的整个实施过程利用了哑终端的终端信息以及终端安全准入系统为其分配的签名密钥等信息,安全性较高,仿冒识别效率快,解决现有根据终端流量、行为等特征做仿冒判断方案的仿冒识别准确度低,误报率高的问题。
基于相同的发明构思,为了解决有根据终端流量、行为等特征做仿冒判断方案的仿冒识别准确度低,误报率高的问题,上述图1所示的架构中,哑终端110、网关设备120和终端安全准入系统130分别可以用于:
网关设备120,用于检测到哑终端110接入后向哑终端110发送查询报文。
哑终端110,用于接收到查询报文后,生成查询响应报文并发送给网关设备120。查询响应报文中携带有终端属性值;终端属性值中包括终端信息。
网关设备120,用于从查询响应报文中解析出终端属性值,获取哑终端的接入信息,并将终端属性值和接入信息发送给终端安全准入系统。
终端安全准入系统130,用于若确定终端属性值中存在终端身份签名和签名时间戳,则获取终端信息绑定的签名密钥,根据签名密钥、终端信息以及签名时间戳生成比对身份签名,基于终端身份签名和比对身份签名的一致性判断结果确定哑终端是否被仿冒。
通过上述哑终端仿冒识别系统,哑终端入网之后,由网关设备先向哑终端发送查询报文,哑终端收到查询报文后再向网关设备发送查询响应报文,网关设备从查询报文中解析出终端身份签名和签名时间戳,则表明哑终端非首次接入,此时网关设备可以直接将终端身份签名发送给终端安全准入系统去进行终端身份签名验证,具体为根据与终端信息绑定的签名密钥和获得的签名时间戳以及终端信息生成一个比对身份签名,将自身生成的比对身份签名和自身收到的终端身份签名进行一致性判断从而确定这个哑终端是否被仿冒,整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别,能够解决现在仿冒识别准确度低,误报率高的问题。
在可选的实施方式中,哑终端110、网关设备120和终端安全准入系统130可以协同的执行图4中的各个步骤以实现相应的技术效果。
在可选的实施方式中,哑终端110还可以用来执行上述步骤a1至a3、终端安全准入系统130还可以用来执行步骤S415至S418以及步骤c1至步骤c2、哑终端110和网关设备120还可以协同执行步骤b1至步骤b2,此处不再赘述。
通过上述哑终端仿冒识别系统可以解决由于哑终端没有安全的接入验证机制,存在安全接入管控风险、易被仿冒被不法分子利用作为网络入侵点的安全风险,还可以解决现有根据终端流量、行为等特征做仿冒判断方案的仿冒识别准确度低,误报率高的问题。
为了方便进一步理解上述哑终端仿冒识别方法,请参见图6,图6为本发明实施例提供的一种哑终端仿冒识别方法的信令交互图,可以包括:
当哑终端为首次接入时,执行如下步骤S1至步骤S10:
S1:哑终端接入网关设备。
S2:网关设备向哑终端发起查询报文。
S3:哑终端向网关设备发送查询相应报文(携带终端信息和公开密钥)。
S4:网关设备向终端安全准入系统发送安全准入请求(携带有终端信息、接入信息和公开密钥)。
S5:终端安全准入系统判断是否为首次接入。
S6:终端安全准入系统判断哑终端是首次接入,等待管理员验证。
S7:终端安全准入系统收到验证通过确认,分配签名密钥。
S8:终端安全准入系统向网关设备发送安全准入响应(携带有终端信息和经过公开密钥加密后的签名密钥)。
S9:网关设备向哑终端发送设置报文(携带有经过公开密钥加密后的签名密钥)。
S10:哑终端向网关设备向发送设置响应报文。
当哑终端非首次接入时,执行下述步骤S11至步骤S17:
S11:网关设备向哑终端发送查询报文。
S12:哑终端使用私有密钥解密签名密钥,并计算终端身份签名。
S13:哑终端向网关设备发送查询响应报文(携带终端信息、签名时间戳和终端身份签名)。
S14:网关设备向终端安全准入系统发送安全准入请求(携带终端信息、签名时间戳和终端身份签名)。
S15:终端安全准入系统验证终端身份签名的合法性(使用为哑终端分配的签名密钥生成比对身份签名进行一致性判断)。
S16:终端安全准入系统向网关设备发送安全准入响应(携带有验证结果)。
S17:网关设备收到验证信息,若成功则开通接入权限,若失败则阻断哑终端接入。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种哑终端仿冒识别方法,其特征在于,所述方法包括:
网关设备检测到哑终端接入后向所述哑终端发送查询报文;
所述哑终端接收到所述查询报文后,生成查询响应报文并发送给所述网关设备;所述查询响应报文中携带有终端属性值;所述终端属性值中包括终端信息;
所述网关设备从所述查询响应报文中解析出所述终端属性值,获取所述哑终端的接入信息,并将所述终端属性值和接入信息发送给终端安全准入系统;
所述终端安全准入系统若确定所述终端属性值中存在终端身份签名和签名时间戳,则获取所述终端信息绑定的签名密钥,根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名,基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。
2.根据权利要求1所述的哑终端仿冒识别方法,其特征在于,所述终端属性值中还包括公开密钥,所述方法还包括:
所述终端安全准入系统若发现所述终端属性值中不存在所述终端身份签名和所述签名时间戳,确定所述哑终端为首次接入,基于所述接入信息和所述终端信息确定所述哑终端是否准入;
若确定所述哑终端准入,则所述终端安全准入系统为所述哑终端分配所述签名密钥,并将所述签名密钥与所述终端信息绑定存储;
所述终端安全准入系统利用所述公开密钥对所述签名密钥加密,并将加密后的所述签名密钥通过所述网关设备下发给所述哑终端。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若确定所述哑终端不准入,则所述终端安全准入系统向所述网关设备发送验证失败的信息,以使所述网关设备对所述哑终端进行阻断。
4.根据权利要求2所述的方法,其特征在于,所述终端安全准入系统利用所述公开密钥对所述签名密钥加密,并将加密后的所述签名密钥通过所述网关设备下发给所述哑终端,包括:
所述终端安全准入系统将加密后的所述签名密钥发送给所述网关设备;
所述网关设备基于加密后的所述签名密钥生成设置报文并发送给所述哑终端,并开通所述哑终端的接入权限;
所述哑终端对所述设置报文进行解析,得到加密后的所述签名密钥。
5.根据权利要求1所述的方法,其特征在于,所述哑终端收到所述查询报文后,生成查询响应报文并发送给所述网关设备,包括:
所述哑终端收到所述查询报文后,确定自身是否存储有所述签名密钥;
若存储有所述签名密钥,则根据所述终端信息、所述签名时间戳和所述签名密钥生成所述终端身份签名,将所述签名时间戳、所述终端身份签名以及所述终端信息作为所述终端属性值,生成所述查询响应报文并发送给所述网关设备;
若未存储有所述签名密钥,则基于所述终端信息和公开密钥作为所述终端属性值,生成所述查询响应报文并发送给所述网关设备。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述终端安全准入系统确定所述哑终端被仿冒,向所述网关设备发送验证失败信息,以使所述网关设备对所述哑终端进行阻断;
当所述终端安全准入系统确定所述哑终端未被仿冒,向所述网关设备发送验证成功信息,以使所述网关设备对所述哑终端开通接入权限。
7.根据权利要求2所述的方法,其特征在于,所述终端安全准入系统基于所述接入信息和所述终端信息确定所述哑终端是否准入,包括:
所述终端安全准入系统通过用户界面显示所述接入信息和所述终端信息,当接收到准入确认操作时确定所述哑终端准入。
8.根据权利要求2所述的方法,其特征在于,所述终端安全准入系统基于所述接入信息和所述终端信息确定所述哑终端是否准入,包括:
所述终端安全准入系统确定所述接入信息和所述终端信息是否满足预设准入规则,若是则确定所述哑终端准入。
9.一种哑终端仿冒识别系统,其特征在于,包括:哑终端、网关设备和终端安全准入系统;所述网关设备分别于所述哑终端和所述终端安全准入系统通信连接;
所述网关设备,用于检测到所述哑终端接入后向所述哑终端发送查询报文;
所述哑终端,用于接收到所述查询报文后,生成查询响应报文并发送给所述网关设备;所述查询响应报文中携带有终端属性值;所述终端属性值中包括终端信息;
所述网关设备,还用于从所述查询响应报文中解析出所述终端属性值,获取所述哑终端的接入信息,并将所述终端属性值和接入信息发送给所述终端安全准入系统;
所述终端安全准入系统,用于若确定所述终端属性值中存在终端身份签名和签名时间戳,则获取所述终端信息绑定的签名密钥,根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名,基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。
10.根据权利要求9所述的哑终端仿冒识别系统,其特征在于,所述终端属性值中还包括公开密钥,
所述终端安全准入系统,还用于若发现所述终端属性值中不存在所述终端身份签名和所述签名时间,确定所述哑终端为首次接入,基于所述接入信息和所述终端信息确定所述哑终端是否准入;
若确定所述哑终端准入,所述终端安全准入系统,还用于为所述哑终端分配所述签名密钥,并将所述签名密钥与所述终端信息绑定存储;
所述终端安全准入系统还用于利用所述公开密钥对所述签名密钥加密,并将加密后的所述签名密钥通过所述网关设备下发给所述哑终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211665652.8A CN116032591A (zh) | 2022-12-23 | 2022-12-23 | 一种哑终端仿冒识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211665652.8A CN116032591A (zh) | 2022-12-23 | 2022-12-23 | 一种哑终端仿冒识别方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116032591A true CN116032591A (zh) | 2023-04-28 |
Family
ID=86079214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211665652.8A Pending CN116032591A (zh) | 2022-12-23 | 2022-12-23 | 一种哑终端仿冒识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116032591A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294673A (zh) * | 2023-11-16 | 2023-12-26 | 深圳万物安全科技有限公司 | 数据资源的处理方法、数据资源的处理装置及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0940675A1 (en) * | 1998-03-06 | 1999-09-08 | STMicroelectronics S.r.l. | Method and system for authentication and electronic signature |
| WO2007089179A1 (en) * | 2006-02-03 | 2007-08-09 | Mideye Ab | A system, an arrangement and a method for end user authentication |
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和系统 |
| WO2011144174A1 (zh) * | 2010-09-09 | 2011-11-24 | 华为技术有限公司 | 配置接入设备的方法、装置及系统 |
| CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控系统及方法 |
| CN105577616A (zh) * | 2014-10-15 | 2016-05-11 | 中国电信股份有限公司 | 一种终端接入的认证方法、系统及业务管理服务器 |
| EP1766847B1 (en) * | 2004-06-25 | 2018-08-08 | Buypass AS | Method for generating and verifying an electronic signature |
| CN110691101A (zh) * | 2019-10-28 | 2020-01-14 | 锐捷网络股份有限公司 | 哑终端免认证名单的配置方法及装置 |
| CN113556413A (zh) * | 2021-08-13 | 2021-10-26 | 中国互联网络信息中心 | 一种报文处理方法及装置 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114629725A (zh) * | 2022-04-26 | 2022-06-14 | 中国农业银行股份有限公司 | 一种用户域哑终端管理方法、装置、系统和存储介质 |
| CN114697061A (zh) * | 2020-12-29 | 2022-07-01 | 中国移动通信有限公司研究院 | 接入控制方法、装置、网络侧设备、终端及区块链节点 |
-
2022
- 2022-12-23 CN CN202211665652.8A patent/CN116032591A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0940675A1 (en) * | 1998-03-06 | 1999-09-08 | STMicroelectronics S.r.l. | Method and system for authentication and electronic signature |
| EP1766847B1 (en) * | 2004-06-25 | 2018-08-08 | Buypass AS | Method for generating and verifying an electronic signature |
| WO2007089179A1 (en) * | 2006-02-03 | 2007-08-09 | Mideye Ab | A system, an arrangement and a method for end user authentication |
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和系统 |
| WO2011144174A1 (zh) * | 2010-09-09 | 2011-11-24 | 华为技术有限公司 | 配置接入设备的方法、装置及系统 |
| CN105577616A (zh) * | 2014-10-15 | 2016-05-11 | 中国电信股份有限公司 | 一种终端接入的认证方法、系统及业务管理服务器 |
| CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控系统及方法 |
| CN110691101A (zh) * | 2019-10-28 | 2020-01-14 | 锐捷网络股份有限公司 | 哑终端免认证名单的配置方法及装置 |
| CN114697061A (zh) * | 2020-12-29 | 2022-07-01 | 中国移动通信有限公司研究院 | 接入控制方法、装置、网络侧设备、终端及区块链节点 |
| CN113556413A (zh) * | 2021-08-13 | 2021-10-26 | 中国互联网络信息中心 | 一种报文处理方法及装置 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114629725A (zh) * | 2022-04-26 | 2022-06-14 | 中国农业银行股份有限公司 | 一种用户域哑终端管理方法、装置、系统和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| W. XIE等: ""A Secure DHCPv6 System Based on MAC Address Whitelist Authentication and DHCP Fingerprint Recognition"", 《2021 7TH ANNUAL INTERNATIONAL CONFERENCE ON NETWORK AND INFORMATION SYSTEMS FOR COMPUTERS (ICNISC)》, 23 November 2021 (2021-11-23) * |
| 姜新超;王进;孙佳伟;: "多类型网络终端的准入控制实现", 数码世界, no. 07, 1 July 2018 (2018-07-01) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294673A (zh) * | 2023-11-16 | 2023-12-26 | 深圳万物安全科技有限公司 | 数据资源的处理方法、数据资源的处理装置及存储介质 |
| CN117294673B (zh) * | 2023-11-16 | 2024-02-23 | 深圳万物安全科技有限公司 | 数据资源的处理方法、数据资源的处理装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766673B (zh) | 一种联盟式音视频版权区块链系统及音视频版权上链方法 | |
| CN108564182B (zh) | 一种基于区块链技术的设备全生命周期管理系统及其方法 | |
| CN109257342A (zh) | 区块链跨链的认证方法、系统、服务器及可读存储介质 | |
| CN103200176A (zh) | 一种基于银行独立通信渠道的认证方法、装置及系统 | |
| CN111800378B (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| US10587420B2 (en) | Method implemented in an identity document and associated identity document | |
| CN108011873B (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| US8724810B2 (en) | Method for authenticating onboard units | |
| CN109360008B (zh) | 产品防伪认证更新方法和系统 | |
| CN113609213B (zh) | 设备密钥的同步方法、系统、设备和存储介质 | |
| CN113379420B (zh) | 区块链的执行智能合约方法、计算机设备及区块链系统 | |
| CN103391194B (zh) | 对用户的安全设备进行解锁的方法和系统 | |
| CN116032591A (zh) | 一种哑终端仿冒识别方法及系统 | |
| CN113569213A (zh) | 一种基于5g技术的工业园区应用安全支撑系统及方法 | |
| CN111490968A (zh) | 一种基于区块链技术的联盟多节点网络身份认证方法 | |
| CN109522988B (zh) | 产品防伪电子标签信息更新方法和系统 | |
| CN106712959B (zh) | 一种通信安全的实现方法及系统 | |
| CN110958598B (zh) | 一种移动终端和sim卡的绑定认证方法和装置 | |
| CN106162644B (zh) | 一种可防止伪装设备的WiFi系统及其安全验证方法 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN109583555B (zh) | 产品防伪电子标签认证方法和系统 | |
| CN109640288A (zh) | 一种基于手持机终端的在线激活obu的方法及系统 | |
| CN113992336B (zh) | 基于区块链的加密网络离线数据可信交换方法及装置 | |
| EP2770663A1 (en) | Encryption Key-Based Product Authentication System and Method | |
| CN116097618A (zh) | 用于给车辆安全配备专属证书的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |