CN116260661A - 终端认证方法、装置、计算机设备及存储介质 - Google Patents

终端认证方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN116260661A
CN116260661A CN202310541064.1A CN202310541064A CN116260661A CN 116260661 A CN116260661 A CN 116260661A CN 202310541064 A CN202310541064 A CN 202310541064A CN 116260661 A CN116260661 A CN 116260661A
Authority
CN
China
Prior art keywords
terminal
server
authentication
session
credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310541064.1A
Other languages
English (en)
Inventor
柳遵梁
王月兵
周杰
闻建霞
覃锦端
毛菲
刘聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Meichuang Technology Co ltd
Original Assignee
Hangzhou Meichuang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Meichuang Technology Co ltd filed Critical Hangzhou Meichuang Technology Co ltd
Priority to CN202310541064.1A priority Critical patent/CN116260661A/zh
Publication of CN116260661A publication Critical patent/CN116260661A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了终端认证方法、装置、计算机设备及存储介质。方法包括:获取来自终端的单包认证凭证;对单包认证凭证进行验证,判断单包认证凭证是否合法;若合法,则生成通知信息,发送通知信息至终端,以使得终端在确定通知信息是合法的情况下发出请求内容;接收请求内容,对请求内容进行处理,以得到处理结果;验证处理结果;当验证结果合法时,生成会话凭证以及访问控制列表,并发送至终端以及服务端,以使得终端向服务端发起通信请求时,服务端根据通信请求的内容验证会话凭证,当会话凭证验证通过时,服务端应答通信请求并建立通信隧道。通过实施本发明的方法可实现基于软件定义边界技术进行终端的认证,保障了服务器的安全稳定。

Description

终端认证方法、装置、计算机设备及存储介质
技术领域
本发明涉及主机安全分析技术领域,更具体地说是指终端认证方法、装置、计算机设备及存储介质。
背景技术
SDP(软件定义边界,Software Defined Perimeter)技术是零信任安全架构中的新兴技术理念,该技术采用基于零信任体系的思想设计设立核心控制组件对所有访问请求做评估、认证与授权,从而达到访问控制的目的。SDP对外提供零可见性和零连接,只有在端点证明他们可以被信任之后才可以建立连接,允许合法流量通过,使用这种方法基本上可以预防所有基于网络的攻击。
目前移动设备相当普及,但是随之而来需要考虑各种场景下设备的安全性也越来越多,尤其是访问服务器的安全。如何保证是合法可信任的终端设备访问服务器,是保证设备对外提供业务的基础,那对设备进行可信认证就显得尤其重要,目前技术方案没有将SDP技术应用在对终端认证的场景中,并不能预防所有基于网络的攻击。
因此,有必要设计一种新的方法,实现基于软件定义边界技术进行终端的认证,保障了服务器的安全稳定。
发明内容
本发明的目的在于克服现有技术的缺陷,提供终端认证方法、装置、计算机设备及存储介质。
为实现上述目的,本发明采用以下技术方案:终端认证方法,包括:
获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;
对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;
若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;
接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;
验证所述处理结果,以得到验证结果;
当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;
发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
其进一步技术方案为:所述单包认证要素包括主体属性、环境属性以及客体属性;其中,所述主体属性包括主机MAC地址、操作系统、端口、协议、服务以及厂商;所述环境属性包括上线时间、IP、接入位置、业务流量大小;所述客体属性包括所属部门、管理人员、授权时间以及授权级别。
其进一步技术方案为:所述单包认证凭证是终端采集单包认证要素,由单包认证要素构成设备指纹信息,并对所述设备指纹信息采用内置的加密密钥进行加密后,根据加密结果采用单包认证凭证生成算法生成的凭证。
其进一步技术方案为:所述对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法,包括:
对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;
判断所述采集时间戳是否小于设定阈值;
若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;
若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;
若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述确定所述单包认证凭证不合法;
若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;
若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法;
若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述确定所述单包认证凭证不合法。
其进一步技术方案为:所述通知信息包括加密后的发送通知信息时的时间戳以及加密后的连接端口。
其进一步技术方案为:所述生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容,包括:
生成通知信息,并发送所述通知信息至终端,以使得所述终端对所述通知信息进行解密,并判断解密后所得的发送通知信息时的时间戳是否合法,在解密后所得的发送通知信息时的时间戳的情况下,对终端后续向服务端请求的服务内容、发送连接请求时的时间戳、任意生成的随机数、加密密钥组成的内容进行加密,形成请求内容,并由终端发出请求内容。
其进一步技术方案为:所述发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道,包括:
发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端将内置的加密密钥和会话凭证合成会话密钥,通过哈希算法对会话密钥进行处理得到哈希内容,并根据授权访问列表中的服务端信息,向服务端发送哈希内容和会话凭证组成的通信请求;所述服务端根据所述通信请求中的会话凭证寻找在本地保存的对应的终端密钥,当所述服务端找到与会话凭证对应的终端密钥后,利用找到的终端密钥校验所述通信请求中的哈希内容,当所述通信请求中的哈希内容校验通过时,所述服务端将会话凭证作为终端和服务端协商一致的会话密钥,建立通信隧道。
本发明还提供了终端认证装置,包括:
单包认证凭证获取单元,用于获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;
凭证验证单元,用于对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;
通信信息处理单元,用于若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;
接收单元,用于接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;
结果验证单元,用于验证所述处理结果,以得到验证结果;
生成单元,用于当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;
发送单元,用于发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
本发明还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
本发明还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现上述的方法。
本发明与现有技术相比的有益效果是:本发明通过对终端发送的单包认证凭证进行验证,在确保单包认证凭证合法之后,生成通知信息,以与终端发起连接,并对终端发起的连接请求内容进行解密和验证,确保合法后,生成终端与服务端之间的会话凭证以及访问控制列表,以供终端和服务端进行通信,实现基于软件定义边界技术进行终端的认证,保障了服务器的安全稳定。
下面结合附图和具体实施例对本发明作进一步描述。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的终端认证方法的应用场景示意图;
图2为本发明实施例提供的终端认证方法的流程示意图;
图3为本发明实施例提供的终端认证方法的子流程示意图;
图4为本发明实施例提供的终端认证方法的认证阶段的流程示意图;
图5为本发明实施例提供的终端认证方法的通信阶段的流程示意图;
图6为本发明实施例提供的终端认证装置的示意性框图;
图7为本发明实施例提供的终端认证装置的凭证验证单元的示意性框图;
图8为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1和图2,图1为本发明实施例提供的终端认证方法的应用场景示意图。图2为本发明实施例提供的终端认证方法的示意性流程图。该终端认证方法应用于服务器中。该服务器与终端以及服务端进行数据交互,服务器实则是图4和图5中的控制端,终端实则为图4和图5中的客户端,整体可分为两个阶段:终端认证阶段:客户端单包认证要素采集;客户端单包认证凭证生成;客户端发起认证请求;控制端基于单包授权认证;控制端发送TCP连接通知;客户端建立TCP连接并发起请求信息;控制端应答服务信息并生成会话凭证;控制端向服务端发送终端信息及会话凭证。终端通信阶段:客户端根据服务信息与服务端建立TCP连接并完成身份认证;服务端通过会话凭证形成会话密钥,建立双向加密隧道从而进行通信。通过采集的单包认证要素进行单包认证,在认证完成后进行请求信息校验,只有通过单包授权后才能获得正式的会话凭证及服务信息。在通信阶段,客户端通过获取到的服务列表和服务端建立连接,并通过会话凭证形成会话密钥,从而建立双向隧道,从而保证在所有通信过程中,实现全流程客户端与服务端间交互数据的保密性和完整性保护。
图2是本发明实施例提供的终端认证方法的流程示意图。如图2所示,该方法包括以下步骤S110至S180。
S110、获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证。
在本实施例中,所述单包认证要素包括主体属性、环境属性以及客体属性;其中,所述主体属性包括主机MAC地址、操作系统、端口、协议、服务以及厂商;所述环境属性包括上线时间、IP、接入位置、业务流量大小;所述客体属性包括所属部门、管理人员、授权时间以及授权级别。
具体地,所述单包认证凭证是终端采集单包认证要素,由单包认证要素构成设备指纹信息,并对所述设备指纹信息采用内置的加密密钥进行加密后,根据加密结果采用单包认证凭证生成算法生成的凭证。
在本实施例中,Agent采集上述单包认证要素,并进行处理。针对单包认证要素,生成单包认证凭证。其中主体属性信息为H1,环境属性信息为H2,客体属性为H3,得到客户端设备指纹信息ID=(H1,H2,H3)。针对客户端设备指纹信息ID,存在指纹加密算法PubsEnc1(),对设备指纹信息进行加密。其中ID为客户端设备指纹信息,Ts1为采集时的时间戳。ID2为客户端设备内置的控制端加密密钥。其中,PubsEnc1((ID,Ts1),ID2);在生成设备指纹加密信息后,存在单包认证凭证生成算法Voucher(),将加密后的设备指纹信息进行计算,从而生成单包认证凭证S1,并将上述数据发送到控制端。其中,S1即为单包认证凭证生成算法的结果,Voucher(PubsEnc1((ID,Ts1),ID2))。
S120、对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法。
在一实施例中,请参阅图3,上述的步骤S120可包括步骤S121~S126。
S121、对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;
S122、判断所述采集时间戳是否小于设定阈值;
S123、若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;
S124、若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;
若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述步骤S123;
S125、若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;
S126、若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法;
若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述步骤S123。
在本实施例中,控制端对单包认证凭证进行验证,具体在于验证单包认证凭证的合法性。控制端接收到数据(S1,PubsEnc1((ID,Ts1),ID2))之后,通过自身密钥对PubsEnc1((ID,Ts1),ID2)进行解密:PubsDec1((ID,Ts1),ID2),在解密得到ID,Ts1之后,首先判定Ts1的合法性。获取当前时间戳T1,存在时间戳合法判定算法如下,其中T为常量,默认为60s。Ts_Ok(Ts1,T1,T),当T1-Ts1<T时,Ts_Ok(Ts1,T1,T)=1,则认为Ts1不合法。当T1-Ts1>=T时,Ts_Ok(Ts1,T1,T)=0,则认为Ts1不合法。若Ts1验证不合法,则阻断连接。若Ts1合法,进一步验证客户端设备指纹信息是否合法,主要对设备客户端的主体属性信息H1进行威胁检测,存在威胁检测算法如下,Threat_Ok(H1,H4),其中H4为公开威胁情报中的数据,若H1中的主体属性信息如MAC地址存在于H4中,则Threat_Ok(H1,H4)=1,认为客户端设备指纹信息不合法,则阻断连接。若不在威胁情报中,则Threat_Ok(H1,H4)=0,认为客户端设备指纹信息合法。若客户端设备指纹信息合法,则进一步验证单包认证凭证S1是否合法,存在单包认证凭证合法判定算法如下,其中S为控制端保存的认证凭证清单。Auth_Ok(S,S1),当S1
Figure SMS_1
S,则Auth_Ok(S,S1)=1,单包认证凭证不合法;反之则Auth_Ok(S,S1)=0,单包认证凭证合法。
S130、若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容。
在本实施例中,所述通知信息包括加密后的发送通知信息时的时间戳以及加密后的连接端口。
具体地,生成通知信息,并发送所述通知信息至终端,以使得所述终端对所述通知信息进行解密,并判断解密后所得的发送通知信息时的时间戳是否合法,在解密后所得的发送通知信息时的时间戳的情况下,对终端后续向服务端请求的服务内容、发送连接请求时的时间戳、任意生成的随机数、加密密钥组成的内容进行加密,形成请求内容,并由终端发出请求内容。
在本实施例中,控制端向客户端发送连接通知,具体在于连接通知的发送内容。当单包认证凭证验证通过后,向客户端发送TCP连接通知,通知内容包含有发送通知包时的时间戳Ts2以及后续连接的控制端端口Port,存在加密算法如下所示,对相关信息进行加密。其中ID1为客户端的加密密钥。PubsEnc2((Port,Ts2),ID1);终端向控制端发起连接请求,具体在于终端对控制端的发送内容进行合法性验证并发送连接服务请求。通过解密算法PubsDec2()对控制端发送的信息进行解密。PubsDec2((Port,Ts2),ID1);解密得到控制端端口Port以及时间戳Ts2,通过时间戳合法判定算法Ts_OK()对时间戳Ts2进行合法判定,若不合法,则拒绝回应。若合法,则向控制端的端口Port发送连接请求。通过加密算法PubsEnc1()对请求内容进行加密。PubsEnc1((Service,Ts3,R1),ID2);其中Service为客户端后续向服务器请求的服务内容,Ts3为发送连接请求时的时间戳,R1为任意生成的随机数,ID2为控制端的加密密钥。
S140、接收所述请求内容,并对所述请求内容进行处理,以得到处理结果。
在本实施例中,处理结果是指对请求内容进行解密处理后形成的内容。
S150、验证所述处理结果,以得到验证结果。
在本实施例中,验证结果是指处理结果中的时间戳是否符合要求判定结果。
在本实施例中,控制端对终端请求进行授权,具体在于服务端访问控制列表的生成及授权。通过解密算法获得Service、R1、Ts3。PubsDec1((Service,Ts3,R1),ID2),获取此时的本地时间戳T3,验证Ts3的合法性:Ts_Ok(Ts3,T3,T),若Ts3合法,通过会话凭证算法生成客户端与服务端的会话凭证IDs。会话凭证算法如下,其中R1为解密得到的随机数。IDs =Session(R1);同时根据Service生成服务端访问控制列表Service_list,存在服务端访问控制列表算法Service_get(),Service_list=Service_get(Service)。
S160、当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表。
在本实施例中,会话凭证是指终端与服务端进行会话的标识,访问控制列表是指允许访问的终端ID等列表。
具体地,控制端向终端及服务端发送授权访问列表及会话凭证,具体在于客户端和服务端的会话凭证的分发及授权访问列表的同步。将控制端生成的会话凭证IDs和授权访问列表Service_list分别发送给客户端和服务端。当发送给客户端时,过程中通过加密算法PubsEnc1进行加密,使用客户端的加密密钥ID1进行加密处理。PubsEnc1((Service_list,IDs),ID1);当发送给服务端时,将授权访问列表Service_list、会话凭证IDs以及客户端的加密密钥ID1一同发送给服务端。
S170、发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
在本实施例中,发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端将内置的加密密钥和会话凭证合成会话密钥,通过哈希算法对会话密钥进行处理得到哈希内容,并根据授权访问列表中的服务端信息,向服务端发送哈希内容和会话凭证组成的通信请求;所述服务端根据所述通信请求中的会话凭证寻找在本地保存的对应的终端密钥,当所述服务端找到与会话凭证对应的终端密钥后,利用找到的终端密钥校验所述通信请求中的哈希内容,当所述通信请求中的哈希内容校验通过时,所述服务端将会话凭证作为终端和服务端协商一致的会话密钥,建立通信隧道。
具体地,终端向服务端发起通信请求,具体在于将自身加密密钥ID1和会话凭证IDs合成会话密钥M1=ID1+IDs,通过哈希算法对M1进行处理得到hash(M1),哈希算法常为MD5算法,并根据授权访问列表Service_list中的服务端信息,向服务端发送hash(M1)和IDs信息。服务端基于通信请求中的要素进行会话凭证验证,具体在于服务端根据客户端请求的IDs信息,寻找在本地保存的对应客户端密钥IDn,存在匹配算法Find_id(),IDn=Find_id(IDs);若IDn为空,则表示未发现与IDs匹配的客户端密钥,则断开连接。若IDn不为空,则与IDs合成会话密钥M2=IDs+IDn。进一步校验会话密钥的合法性,存在匹配算法Check_IDs()如下:Check_IDs(hash(M2),hash(M1)),其中hahs(M2)为经过hash算法处理后的会话密钥,hash(M1)为客户端发送给服务端中的会话密钥。若hash(M2) != hash(M1),则会话凭证验证不合法,断开连接。若hash(M2) == hash(M1),则会话凭证验证合法。服务端应答验证请求并建立通信隧道,具体在于将IDs作为客户端和服务端协商一致的会话密钥,建立通信隧道,保证通信的保密性。
S180、若所述单包认证凭证不合法,则进行阻断连接。
举个例子:所述客户端中均正确安装Agent,本实施例中哈希算法为md5算法,认证阶段PubsEnc1()及PubsEnc2()加密算法均为RSA非对称算法,通信阶段使用对称加密算法为AES算法,认证的有效时间T=60s。终端上的Agent软件采集单包认证要素,在本实例中,主体属性信息H1=(主机MAC地址、操作系统、端口、协议、服务、厂商)=(ac:de:48:00:11:22、Windows10、[445、3389]、[TCP、RDP]、[SMB、mstsc]、联想),环境属性信息H2=(上线时间、IP、接入位置、业务流量大小)=(2023.1.8 15:29、192.168.99.88、生产部3楼12室、2.8Mb/s),客体属性信息H3=(所属部门、管理人员、授权时间、授权级别)=(生产部、刘小红、2023.1.7、操作员)。
终端单包认证凭证生成及下发,在本实例中,得到客户端设备指纹信息ID=(H1,H2,H3)=(ac:de:48:00:11:22、Windows10、[445、3389]、[TCP、RDP]、[SMB、mstsc]、联想、上线时间、IP、接入位置、业务流量大小)=(2023.1.8 15:29、192.168.99.88、生产部3楼12室、2.8Mb/s、所属部门、管理人员、授权时间、授权级别)=(生产部、刘小红、2023.1.7、操作员),采集时时间戳Ts1=1673163015,客户端设备内置的控制端加密密钥ID2如下所示:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6z9sKmT4xTXSH7dI+86I;
5VHkDbSTMQTudD6h9J/DXpEwOz/dt2rTet5EzTQJFUbgw+K4vsqm/8z3HveBev1+;
lSV7pq/8Qz9OHqyX6y1oUNLKZcQZK93wCnCbfF+BUQgE/NOvt47euexImdc85E15;
s8XyWtxjNI0fjgOnkCPKAZ6+ecoO8GukZBkikE1iaM5W9vqxV1vbohiS4p8MVTDW;
w077D9zvnapa8bwbhKwz+n8E3npzCnikrI1N3/O0pTnxZxxAebUxXveYLpx5gFaa;
gyxX4n1LwdJyUvIS5b1CI/jjpM3raaK3JPwK6rKUhOtMNcgN78EWlaKqFmrOXsCl;
tQIDAQAB
-----END PUBLIC KEY-----
此时的设备指纹加密信息为PubsEnc1((ID,Ts1),ID2),通过单包认证算法生成的单包认证凭证;S1=Voucher(PubsEnc1((ID,Ts1),ID2))=Z6+ecoO8GukZBkikE1iaM5W9,并将上述数据发送到控制端。
控制端对单包认证凭证进行验证,在本实例中,控制端对接收到的数据(S1,PubsEnc1((ID,Ts1),ID2))进行解密,控制端中的加密密钥ID2对应的解密密钥如下所示:
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDrP2wqZPjFNdIf;
t0j7zojlUeQNtJMxBO50PqH0n8NekTA7P923atN63kTNNAkVRuDD4ri+yqb/zPce;
94F6/X6VJXumr/xDP04erJfrLWhQ0splxBkr3fAKcJt8X4FRCAT806+3jt657EiZ;
1zzkTXmzxfJa3GM0jR+OA6eQI8oBnr55yg7wa6RkGSKQTWJozlb2+rFXW9uiGJLi;
nwxVMNbDTvsP3O+dqlrxvBuErDP6fwTeenMKeKSsjU3f87SlOfFnHEB5tTFe95gu;
nHmAVpqDLFfifUvB0nJS8hLlvUIj+OOkzetporck/ArqspSE60w1yA3vwRaVoqoW;
as5ewKW1AgMBAAECggEAJf3gIhicdHz0qlqXVtNMGHzZL71x6AC74dobnb4Pdz5L;
Y8Y0sGJ4NOeghONadC02L2x2GZnwzm7zmfSu3IYD42JiTdEuFE4s95c4EasLpcHl;
HfpFdmgpVAZLlhJ2d/erlok5X5ObNLuMHgw8sUIx3W6ibToaa2o/JlhAv26IOSpy;
mRmrAgUlb8lG0hl42aWfr90YinjuFXwh3ukJyedypQY/XKEaXFAjSUPUXp5f7Eyp;
Sgo6ERNsv8dNZWYXOFvHxBWfodEBmkkTwq9UGljYMTF4/vvMtUVdwQstUKh6CnqU;
zCUjdsAG+izJsAtvYkQ4X6Bcfi/IgJznEbIxWWV2IQKBgQD90lWiDmpY+dC9oiPt;
v8bm1kjJLSBQXZboa3YBHwPY36857mNeIWcpXKxcvqWspkUP+tO+EEFEDIgP6jQk;
Dm3viuL2PjFfKtHe6ygStUlKHHEM4dV+4rFd3AuzkcZsQum59O0ZaPEpnUCjo1KD;
kTnPLI1IOqUq2Sktex/OTPvEhwKBgQDtREegpspalRPLyluAMd7FVAzXiNF+JeFF;
MQsI0YaqYfUs1yjnRKrrTtewAiMzrChoDY46BnesAzAS46siuAGaiON60H6DkDA4;
TT+a/17o1GfXeOVv90Q5RJFFsXpZlLVlglvlQjSbaK5YdLlIirq2aZMaG8EB+qaU;
cOLS5a4O4wKBgH39sRoPE8T0xCPNXw49uqqMxXZu2vJpcmYOKXYnAg7eAam85kAs;
Tnvej4Q98hkAM5naBM78XJk9qzBTLeyT6QgVpdFbT8CQjbqcebjHmgiak5c0Znhk;
aGxRtNE+1AKbOE9g/2w0hjkE4LgZcvTx2oM29y5aRfA9+U2lJ0WNOw/zAoGBAMD4;
xaDdxrqBgQZAYMcUyHCJeaBbALeuq1cRGj5j2zj8TuHXZMcjzDdxem8Gbgb6wCpQ;
zBpZZD+coB7c2DV2nqdHKmya4iqyvOUtvsubY1/OUV6oT0MPQoepQtYCENaG4jnb;
Gk6N2CeFrjb3SDK90jnGCAQ2CnZHm/AjF/gbIcOtAoGASQfaFVAnwUvm/9v0Nxo5;
DQWzIVHjuvhi7oajMjiXZj12VaayqKR5yHDWrNXGRpokXgAFzuGvhjmoTFo2/Gmr;
TsAebTE6Mqmbou9ftNb6msYV+ZTNL8IExONo+EYmoZS9JCeq2OkrlaOE0jTWhGN5;
Gs0xVEvkOngOlESz30/AUio=
-----END PRIVATE KEY-----
利用该解密密钥进行解密PubsDec1((ID,Ts1),ID2),解密得到ID,Ts1。获取当前时间戳T1=1673163020,进行时间戳合法判断,其中T为常量,默认为60s。Ts_Ok(Ts1,T1,T),在本实例中T1-Ts1 = 1673163020 -1673163015 = 15 <T,因此Ts1验证合法,继续对设备客户端的主体属性信息H1进行威胁检测,将H1的信息导入到公开威胁情报中,在本实例中,未发现H1主体属性信息有包含任何威胁,因此Threat_Ok(H1,H4)=0,认为客户端设备指纹信息合法。进一步验证单包认证凭证S1是否合法,在本实例中,控制端保存的认证凭证清单:S=(Z6+ecoO8GukZBkikE1iaM5W9,wz+n8E3npzCnikrI1N3/O0)。
由于S中包含有S1的单包认证凭证,因此Auth_Ok(S,S1)=0,单包认证凭证合法。
控制端向客户端发送连接通知,在本实例中,向客户端发送TCP连接通知,发送通知包中的时间戳Ts2=1673163022,控制端端口Port=678,通过RSA加密算法对相关信息进行加密得到PubsEnc2((Port,Ts2),ID1)。其中ID1为客户端的加密密钥,如下所示:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqlk6PVhC3fLjiT2S1NXu;
sWtmLbsAQIKh6+GUSG6mD0Oqrxl6jvEQh607UHF9hDN2Y0unbY8LkYdwn0IArh3X;
oIfLx7ApFUv3wL27LxfRmsXoc6gyDlBWjRuvR2OQJ5W907+M8x2/yMZU99Cs0sd3;
k0FwzmXYf2XtrFWkFA8GMnfigLkZxEc1AfajrL95EMu54Of57JFLxPYiBQHx3tFd;
iVKKzOA9kteDv9Hs1ssxugG/4o4MjK4UrdAa8Bnvk1gzLcxeC2v0NFEvxrhq5s++;
fxU/16d/aQNWmNMzMXnJkNG7dBvf4l1ywiD6BYoO3lhC8uGO5DkrdJxYMV9ZdhIl;
DwIDAQAB;
-----END PUBLIC KEY-----
终端向控制端发起连接请求,在本实例中,通过解密算法PubsDec2()对控制端发送的信息进行解密得到控制端端口Port以及时间戳Ts2。
客户端的加密密钥ID1对应的解密密钥如下所示:
-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQCqWTo9WELd8uOJ;
PZLU1e6xa2YtuwBAgqHr4ZRIbqYPQ6qvGXqO8RCHrTtQcX2EM3ZjS6dtjwuRh3Cf;
QgCuHdegh8vHsCkVS/fAvbsvF9GaxehzqDIOUFaNG69HY5Anlb3Tv4zzHb/IxlT3;
0KzSx3eTQXDOZdh/Ze2sVaQUDwYyd+KAuRnERzUB9qOsv3kQy7ng5/nskUvE9iIF;
AfHe0V2JUorM4D2S14O/0ezWyzG6Ab/ijgyMrhSt0BrwGe+TWDMtzF4La/Q0US/G;
uGrmz75/FT/Xp39pA1aY0zMxecmQ0bt0G9/iXXLCIPoFig7eWELy4Y7kOSt0nFgx;
X1l2EiUPAgMBAAECggEBAJC26oYQxAV/gRMnDuTmtTdeENjKo0UqdNpJscnyzfnr;
t0W3dGmYmz1XyirlrwavHWTvcVXejqpcEC4LST6htXv3wQNsQQqJlfjUdf9k0bkV;
ZgtTGOsWDuEjYr1X9K/cQv5vHROv8yxiaO56BUevEoMztdxxowFfmxCrVI+Bz/bw;
hMxRrEG2Gec8rEwi9yVBkl9xCKAP7BmnTDtNkulc+48+pS4f1GPilWXBo+TJwvWt;
ZSyCUSh4x+pomJS2lIGuwPTx5vbugt0GKgCdiy4BlktTkoT1eXYTXCi/YxvLG7J5;
CuBFUeQ6e5lXsF03w4BvxpTk/5UKGUoMF3GvA7ApXhECgYEA1D9zpsxvToao90Cf;
US8kYGEvyO6f/dTfbRLnapFFlP0ebi4flzMrJC+0AnaZR2GyKdXyAIin6vbQe6jk;
teyfZttuAiZoZWSjSrHtEQVUcxhB0Yg3jycyrehZrbZUu6Liz+B9kGbAX3IaanLs;
HDTgMniiSCn4O5iXqFiSXEpKqskCgYEAzXa0LHMfKxMjwl665229vCRmKlHVKcoX;
uAvzVU2lzfHfG+50ybBE6hfnUbKw+xk1ls3E/Egtd0GuDTs/WpTtDFQx1ycDVo0F;
McwTxuUbIyxUTY40xcuq180XQXqLxiZzLJaCfI4/faY+WLQv7hvjH0aZNpQsbYei;
9f8qUK5f5RcCgYEApRS5AgnNpNjtwGl9wKoW8/ODNBgNTmLsaCyk22kkIo6AxZeQ;
MIy2yE1mB+hwrWlaJlnmAO5JFGJlo1iokqr5DAotVPTEi+ArdWRQC8YGegJq5uq4;
s9n7+/FVFtxSqSI2oRJs9wxEIbhgvVynMgUaP4c+STyDeu7jPietpqSN0KkCgYBC;
VP5aE1iOqYEz8S1aJd3Jbd7l7sFo2mvJ6WHHume7E0k6VUOzEYtOICV4BL6KclsQ;
sqHT6OF0zOmKMASGE+prvorQsTGssZ5psz73SWP3eQpGd5CmAtjHDtlhNFUHxcYN;
MRIzcCEjSZZ7QMDwmGQ85qf0LOYi/lUoIhbhMUqYRQKBgQDRorKRPWVQNI13bVHz;
EcKLGMHtbHzUTm5wOlk6xSz7ArRN5rlzXvuMpgS9wMwTofmI3VsIWQ+3A3VCOzDF;
XtS0CyD8AAn/lzjQ+nIDHVkVjTAubnKfFqIxYe1qSFwxD3EtFOrAbJDtCLs38hwj;
OU47EQTNrtVtO4182aoe+3p/UQ==
-----END PRIVATE KEY-----
解密得到控制端的端口Port=678以及时间戳Ts2=1673163022,通过时间戳合法判定算法Ts_OK()对时间戳Ts2判定为合法,客户端向控制端的端口Port发送连接请求。通过加密算法PubsEnc1()对请求内容进行加密。PubsEnc1((Service,Ts3,R1),ID2);其中客户端后续向服务器请求的服务内容Service=(SSH),发送连接请求时的时间戳Ts3=1673163023,任意生成的随机数R1=9888,ID2为控制端的加密密钥。
控制端对终端请求进行授权,在本实例中,利用控制端的解密密钥解密获得Service,R1,Ts3。PubsDec1((Service,Ts3,R1),ID2);获取此时的本地时间戳T3=1673163028,由于T3-Ts3<60,Ts3合法,通过会话凭证算法生成客户端与服务端的会话凭证IDs。会话凭证算法如下,其中解密得到的随机数R1=9888。IDs = Session(R1)=Aa8Bnvk1gzLcxeC2v0NFE;同时根据Service生成服务端访问控制列表Service_list,Service_list=Service_get(Service)=(SSH,192.168.6.3:22),SSH表示授权的服务,192.168.6.3:22表示将要连接的服务器IP地址和端口。
控制端向终端及服务端发送授权访问列表及会话凭证,在本实例中,当发送给客户端时,过程中通过加密算法PubsEnc1进行加密,使用客户端的加密密钥ID1进行加密处理。PubsEnc1((Service_list,IDs),ID1);当发送给服务端时,将授权访问列表Service_list、会话凭证IDs以及客户端的加密密钥ID1一同发送给服务端。
终端向服务端发起通信请求,在本实例中,将自身加密密钥ID1和会话凭证IDs合成会话密钥M1=ID1+IDs,通过MD5算法对M1进行处理得到hash(M1)=29AF1FD522991064A0254448DB84ED98,哈希算法常为MD5算法,并根据授权访问列表Service_list中的服务端信息,向服务端发送hash(M1)和IDs信息。
服务端基于通信请求中的要素进行会话凭证验证,在本实例中,依据解密得到的IDs寻找到在本地保存的对应客户端密钥IDn=Find_id(IDs),与IDs合成会话密钥M2=IDs+IDn。对M2进行Md5计算得到hash(M2)=29AF1FD522991064A0254448DB84ED98,此时hash(M1)==hash(M2),Check_IDs(hash(M2),hash(M1))=0,则会话凭证验证合法。
服务端应答验证请求并建立通信隧道,在本实例子中,将IDs作为客户端和服务端协商一致的会话密钥,建立对称加密通信隧道,正常保持通信。
本实施例的方法通过获取终端上的多重信息作为设备指纹进行终端环境风险性检查,并利用单包认证技术对单包认证凭证进行验证,判定终端的合法性。通过控制端对客户端进行访问服务列表进行授权,保证授权范围的可控性。同时客户端与服务端的通信基于控制端随机生成的密钥,保证了通信双方的保密性。从而实现控制通道与数据通道的双向分离,保障了服务器的安全稳定。
上述的终端认证方法,通过对终端发送的单包认证凭证进行验证,在确保单包认证凭证合法之后,生成通知信息,以与终端发起连接,并对终端发起的连接请求内容进行解密和验证,确保合法后,生成终端与服务端之间的会话凭证以及访问控制列表,以供终端和服务端进行通信,实现基于软件定义边界技术进行终端的认证,保障了服务器的安全稳定。
图6是本发明实施例提供的一种终端认证装置300的示意性框图。如图6所示,对应于以上终端认证方法,本发明还提供一种终端认证装置300。该终端认证装置300包括用于执行上述终端认证方法的单元,该装置可以被配置于服务器中。具体地,请参阅图6,该终端认证装置300包括单包认证凭证获取单元301、凭证验证单元302、通信信息处理单元303、接收单元304、结果验证单元305、生成单元306以及发送单元307。
单包认证凭证获取单元301,用于获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;凭证验证单元302,用于对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;通信信息处理单元303,用于若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;接收单元304,用于接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;结果验证单元305,用于验证所述处理结果,以得到验证结果;生成单元306,用于当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;发送单元307,用于发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
在一实施例中,如图7所示,所述凭证验证单元302包括解密子单元3021、时间戳判断子单元3022、第一确定子单元3023、主体判断子单元3024、清单判断子单元3025以及第二确定子单元3026。
解密子单元3021,用于对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;时间戳判断子单元3022,用于判断所述采集时间戳是否小于设定阈值;第一确定子单元3023,用于若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;主体判断子单元3024,用于若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述确定所述单包认证凭证不合法;清单判断子单元3025,用于若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述确定所述单包认证凭证不合法。第二确定子单元3026,用于若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法。
在一实施例中,所述通信信息处理单元303,用于生成通知信息,并发送所述通知信息至终端,以使得所述终端对所述通知信息进行解密,并判断解密后所得的发送通知信息时的时间戳是否合法,在解密后所得的发送通知信息时的时间戳的情况下,对终端后续向服务端请求的服务内容、发送连接请求时的时间戳、任意生成的随机数、加密密钥组成的内容进行加密,形成请求内容,并由终端发出请求内容。
在一实施例中,所述发送单元307,用于发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端将内置的加密密钥和会话凭证合成会话密钥,通过哈希算法对会话密钥进行处理得到哈希内容,并根据授权访问列表中的服务端信息,向服务端发送哈希内容和会话凭证组成的通信请求;所述服务端根据所述通信请求中的会话凭证寻找在本地保存的对应的终端密钥,当所述服务端找到与会话凭证对应的终端密钥后,利用找到的终端密钥校验所述通信请求中的哈希内容,当所述通信请求中的哈希内容校验通过时,所述服务端将会话凭证作为终端和服务端协商一致的会话密钥,建立通信隧道。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述终端认证装置300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述终端认证装置300可以实现为一种计算机程序的形式,该计算机程序可以在如图8所示的计算机设备上运行。
请参阅图8,图8是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图8,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行一种终端认证方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种终端认证方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;验证所述处理结果,以得到验证结果;当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
其中,所述单包认证要素包括主体属性、环境属性以及客体属性;其中,所述主体属性包括主机MAC地址、操作系统、端口、协议、服务以及厂商;所述环境属性包括上线时间、IP、接入位置、业务流量大小;所述客体属性包括所属部门、管理人员、授权时间以及授权级别。
所述单包认证凭证是终端采集单包认证要素,由单包认证要素构成设备指纹信息,并对所述设备指纹信息采用内置的加密密钥进行加密后,根据加密结果采用单包认证凭证生成算法生成的凭证。
所述通知信息包括加密后的发送通知信息时的时间戳以及加密后的连接端口。
在一实施例中,处理器502在实现所述对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法步骤时,具体实现如下步骤:
对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;判断所述采集时间戳是否小于设定阈值;若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述确定所述单包认证凭证不合法;若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法;若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述确定所述单包认证凭证不合法。
在一实施例中,处理器502在实现所述生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容步骤时,具体实现如下步骤:
生成通知信息,并发送所述通知信息至终端,以使得所述终端对所述通知信息进行解密,并判断解密后所得的发送通知信息时的时间戳是否合法,在解密后所得的发送通知信息时的时间戳的情况下,对终端后续向服务端请求的服务内容、发送连接请求时的时间戳、任意生成的随机数、加密密钥组成的内容进行加密,形成请求内容,并由终端发出请求内容。
在一实施例中,处理器502在实现所述发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道步骤时,具体实现如下步骤:
发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端将内置的加密密钥和会话凭证合成会话密钥,通过哈希算法对会话密钥进行处理得到哈希内容,并根据授权访问列表中的服务端信息,向服务端发送哈希内容和会话凭证组成的通信请求;所述服务端根据所述通信请求中的会话凭证寻找在本地保存的对应的终端密钥,当所述服务端找到与会话凭证对应的终端密钥后,利用找到的终端密钥校验所述通信请求中的哈希内容,当所述通信请求中的哈希内容校验通过时,所述服务端将会话凭证作为终端和服务端协商一致的会话密钥,建立通信隧道。
应当理解,在本申请实施例中,处理器502可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,其中该计算机程序被处理器执行时使处理器执行如下步骤:
获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;验证所述处理结果,以得到验证结果;当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
其中,所述单包认证要素包括主体属性、环境属性以及客体属性;其中,所述主体属性包括主机MAC地址、操作系统、端口、协议、服务以及厂商;所述环境属性包括上线时间、IP、接入位置、业务流量大小;所述客体属性包括所属部门、管理人员、授权时间以及授权级别。
所述单包认证凭证是终端采集单包认证要素,由单包认证要素构成设备指纹信息,并对所述设备指纹信息采用内置的加密密钥进行加密后,根据加密结果采用单包认证凭证生成算法生成的凭证。
所述通知信息包括加密后的发送通知信息时的时间戳以及加密后的连接端口。
在一实施例中,所述处理器在执行所述计算机程序而实现所述对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法步骤时,具体实现如下步骤:
对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;判断所述采集时间戳是否小于设定阈值;若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述确定所述单包认证凭证不合法;若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法;若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述确定所述单包认证凭证不合法。
在一实施例中,所述处理器在执行所述计算机程序而实现所述生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容步骤时,具体实现如下步骤:
生成通知信息,并发送所述通知信息至终端,以使得所述终端对所述通知信息进行解密,并判断解密后所得的发送通知信息时的时间戳是否合法,在解密后所得的发送通知信息时的时间戳的情况下,对终端后续向服务端请求的服务内容、发送连接请求时的时间戳、任意生成的随机数、加密密钥组成的内容进行加密,形成请求内容,并由终端发出请求内容。
在一实施例中,所述处理器在执行所述计算机程序而实现所述发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道步骤时,具体实现如下步骤:
发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端将内置的加密密钥和会话凭证合成会话密钥,通过哈希算法对会话密钥进行处理得到哈希内容,并根据授权访问列表中的服务端信息,向服务端发送哈希内容和会话凭证组成的通信请求;所述服务端根据所述通信请求中的会话凭证寻找在本地保存的对应的终端密钥,当所述服务端找到与会话凭证对应的终端密钥后,利用找到的终端密钥校验所述通信请求中的哈希内容,当所述通信请求中的哈希内容校验通过时,所述服务端将会话凭证作为终端和服务端协商一致的会话密钥,建立通信隧道。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.终端认证方法,其特征在于,包括:
获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;
对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;
若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;
接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;
验证所述处理结果,以得到验证结果;
当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;
发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
2.根据权利要求1所述的终端认证方法,其特征在于,所述单包认证要素包括主体属性、环境属性以及客体属性;其中,所述主体属性包括主机MAC地址、操作系统、端口、协议、服务以及厂商;所述环境属性包括上线时间、IP、接入位置、业务流量大小;所述客体属性包括所属部门、管理人员、授权时间以及授权级别。
3.根据权利要求2所述的终端认证方法,其特征在于,所述单包认证凭证是终端采集单包认证要素,由单包认证要素构成设备指纹信息,并对所述设备指纹信息采用内置的加密密钥进行加密后,根据加密结果采用单包认证凭证生成算法生成的凭证。
4.根据权利要求3所述的终端认证方法,其特征在于,所述对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法,包括:
对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;
判断所述采集时间戳是否小于设定阈值;
若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;
若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;
若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述确定所述单包认证凭证不合法;
若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;
若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法;
若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述确定所述单包认证凭证不合法。
5.根据权利要求1所述的终端认证方法,其特征在于,所述通知信息包括加密后的发送通知信息时的时间戳以及加密后的连接端口。
6.根据权利要求5所述的终端认证方法,其特征在于,所述生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容,包括:
生成通知信息,并发送所述通知信息至终端,以使得所述终端对所述通知信息进行解密,并判断解密后所得的发送通知信息时的时间戳是否合法,在解密后所得的发送通知信息时的时间戳的情况下,对终端后续向服务端请求的服务内容、发送连接请求时的时间戳、任意生成的随机数、加密密钥组成的内容进行加密,形成请求内容,并由终端发出请求内容。
7.根据权利要求1所述的终端认证方法,其特征在于,所述发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道,包括:
发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端将内置的加密密钥和会话凭证合成会话密钥,通过哈希算法对会话密钥进行处理得到哈希内容,并根据授权访问列表中的服务端信息,向服务端发送哈希内容和会话凭证组成的通信请求;所述服务端根据所述通信请求中的会话凭证寻找在本地保存的对应的终端密钥,当所述服务端找到与会话凭证对应的终端密钥后,利用找到的终端密钥校验所述通信请求中的哈希内容,当所述通信请求中的哈希内容校验通过时,所述服务端将会话凭证作为终端和服务端协商一致的会话密钥,建立通信隧道。
8.终端认证装置,其特征在于,包括:
单包认证凭证获取单元,用于获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;
凭证验证单元,用于对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;
通信信息处理单元,用于若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;
接收单元,用于接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;
结果验证单元,用于验证所述处理结果,以得到验证结果;
生成单元,用于当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;
发送单元,用于发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现如权利要求1至7中任一项所述的方法。
CN202310541064.1A 2023-05-15 2023-05-15 终端认证方法、装置、计算机设备及存储介质 Pending CN116260661A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310541064.1A CN116260661A (zh) 2023-05-15 2023-05-15 终端认证方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310541064.1A CN116260661A (zh) 2023-05-15 2023-05-15 终端认证方法、装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN116260661A true CN116260661A (zh) 2023-06-13

Family

ID=86688373

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310541064.1A Pending CN116260661A (zh) 2023-05-15 2023-05-15 终端认证方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN116260661A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221752A (zh) * 2022-02-23 2022-03-22 杭州美创科技有限公司 基于同态加密技术的可信实体认证通信方法
CN114553430A (zh) * 2022-01-21 2022-05-27 华北电力大学 一种基于sdp的新型电力业务终端的安全接入系统
CN115242430A (zh) * 2022-06-06 2022-10-25 公安部第一研究所 一种软件定义边界的实现方法及系统
WO2023279782A1 (zh) * 2021-07-08 2023-01-12 华为技术有限公司 一种访问控制方法、访问控制系统及相关设备
CN116015928A (zh) * 2022-12-30 2023-04-25 北京天融信网络安全技术有限公司 单包认证方法、装置和计算机可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023279782A1 (zh) * 2021-07-08 2023-01-12 华为技术有限公司 一种访问控制方法、访问控制系统及相关设备
CN114553430A (zh) * 2022-01-21 2022-05-27 华北电力大学 一种基于sdp的新型电力业务终端的安全接入系统
CN114221752A (zh) * 2022-02-23 2022-03-22 杭州美创科技有限公司 基于同态加密技术的可信实体认证通信方法
CN115242430A (zh) * 2022-06-06 2022-10-25 公安部第一研究所 一种软件定义边界的实现方法及系统
CN116015928A (zh) * 2022-12-30 2023-04-25 北京天融信网络安全技术有限公司 单包认证方法、装置和计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN109246053B (zh) 一种数据通信方法、装置、设备和存储介质
US9847882B2 (en) Multiple factor authentication in an identity certificate service
US11128477B2 (en) Electronic certification system
CN110035433B (zh) 采用共享密钥、公钥和私钥的验证方法及装置
CN109728909B (zh) 基于USBKey的身份认证方法和系统
US7945779B2 (en) Securing a communications exchange between computers
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US8181227B2 (en) System and method for client-side authenticaton for secure internet communications
US20160337321A1 (en) Secure communication method and apparatus
CN111869249A (zh) 针对中间人攻击的安全ble just works配对方法
WO2017185913A1 (zh) 一种无线局域网认证机制的改进方法
TW201735578A (zh) 受控的安全碼認證
WO2018202109A1 (zh) 一种证书请求消息发送方法、接收方法和装置
CN107026823B (zh) 应用于无线局域网wlan中的接入认证方法和终端
CN112312393A (zh) 5g应用接入认证方法及5g应用接入认证网络架构
US20210392004A1 (en) Apparatus and method for authenticating device based on certificate using physical unclonable function
KR20190033380A (ko) 장치 결합 정보를 포함하는 인증서를 이용한 네트워크 카메라 인증
CN114374522B (zh) 一种可信设备认证方法、装置、计算机设备及存储介质
KR102026375B1 (ko) 웨어러블 디바이스 통신 지원 장치 및 방법
CN115277168A (zh) 一种访问服务器的方法以及装置、系统
EP4145763A1 (en) Exporting remote cryptographic keys
CN113645115B (zh) 虚拟专用网络接入方法和系统
KR20200060193A (ko) 상호인증 기반 안전한 패치파일 배포를 위한 통합관리 서버 및 그 동작 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20230613

RJ01 Rejection of invention patent application after publication