CN116707962A - 网络接入控制与检测告警方法、装置及存储介质 - Google Patents
网络接入控制与检测告警方法、装置及存储介质 Download PDFInfo
- Publication number
- CN116707962A CN116707962A CN202310796513.7A CN202310796513A CN116707962A CN 116707962 A CN116707962 A CN 116707962A CN 202310796513 A CN202310796513 A CN 202310796513A CN 116707962 A CN116707962 A CN 116707962A
- Authority
- CN
- China
- Prior art keywords
- identity
- node
- information
- registration
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000001514 detection method Methods 0.000 title claims abstract description 22
- 230000008859 change Effects 0.000 claims abstract description 24
- 230000008569 process Effects 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims description 43
- 230000007704 transition Effects 0.000 claims description 13
- 239000003550 marker Substances 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 5
- 238000013475 authorization Methods 0.000 claims description 4
- 230000009849 deactivation Effects 0.000 claims description 3
- 230000009471 action Effects 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000013461 design Methods 0.000 abstract description 5
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 238000012986 modification Methods 0.000 abstract description 4
- 230000004048 modification Effects 0.000 abstract description 4
- 238000013075 data extraction Methods 0.000 abstract description 3
- 238000002372 labelling Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 33
- 238000013480 data collection Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000003672 processing method Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000002779 inactivation Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000017105 transposition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种网络接入控制与检测告警方法、装置及存储介质。该方法中数据采集方式提供了面向客户端代理和网页的方式进行数据提取,借助图形相关的理论对当前申请注册设备节点进行随机标号,利用已注册设备节点构建相互信任关系,确保凭证的唯一性、不可修改性,同时又利用权重设计支持可信网络对象属性的动态变化,通过基线和状态机控制发现不可信网络节点。在可信网络的检测过程中,利用高速、动态检测手段,实现高效的数据读取,从而实现对可信网络身份凭证唯一性的保证和异常接入的高效检测,大幅提高了可信网络的检测速度和判断效率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络接入控制与检测告警方法、装置及存储介质。
背景技术
信任管理是网络安全管理中非常困难的一项工作,唯一性的确认与信任关系的建立是获取访问网络资源的前提和根基。随着网络安全接入设备繁多、更换固件、身份伪造等情况的发生,网络安全态势动态变化,需要持续进行跟踪、优化和管理。
在物理空间中元素在时间维度上具有唯一性,物理空间在数字空间中确定事实具有多种方法:一方训练获得的事实(认知)、双方确认的事实(认证方法)、三方确认的事实(PKI体系)、多方确认的事实(区块链)。无论哪种方法,都是确认物理空间访问数字空间接口事实的唯一性。
所有设备和使用者或者网络中的流量可信,是基于认证和授权实现可信网络的边缘的控制,而网络安全策略的变化应该是动态的而不是一成不变的,接入可信网络的设备和使用者的身份应该进行动态认证,因此需要建立基于动态可信的身份认证方法。
信任和认证不可能在很长时间内一成不变,特别是设备数量足够大、用户足够多的场合和应用场景下,变化随时存在,要适应这种场景,需要给程序、管理人员一定的灵活性。大部分网络接入控制缺乏物理、逻辑、时态上的灵活性,难以权衡策略部署复杂性和策略有效性、身份的真实性、有效性和动态变化。
相关技术中,进行网络接入控制时,主要是采绑定策略、准入策略、三方共识策略等方式限制未经授权的设备或者用户对可信网络的访问。绑定策略具有一一的刚性关系;准入策略无法屏蔽跳板访问,两方共识凭证传递具有随意性;三方共识策略硬件投入大、管理相对复杂。因此研究新的、低成本的认证方式对安全技术领域具有相当大的吸引力。
发明内容
针对现有技术的不足,本发明旨在提供一种网络接入控制与检测告警方法、装置及存储介质。
为了实现上述目的,本发明采用如下技术方案:
一种网络接入控制与检测告警方法,具体包括为:
申请注册设备节点根据申请用户的角色,以管理员身份或使用者身份对申请身份凭证的行为进行认证,数据采集节点提交用户的账号口令至身份凭证注册模块;
同时,所述申请注册设备节点针对设备的固有属性构建初始镜像数据并通过用户的账号口令进行签名,数据采集节点将其提交至身份凭证注册模块,进行身份注册;
身份凭证注册模块根据当前网络中节点的状态,进行初始镜像注册和身份凭证颁发,身份凭证注册模块过程中结合已有的创世节点和已注册的其他设备节点的信息进行标号,生成当前申请注册设备节点的身份凭证信息,并颁发给当前申请注册设备节点,当前申请注册设备节点接入可信网络成为可信设备节点;
申请注册设备节点的固有属性和权重信息将被存入配置管理模块,配置管理模块保存所有申请注册设备节点的固有属性配置基线信息和权重信息,以便校对设备的固有属性变化情况;
在设备节点注册完成接入可信网络之后,分布式处理模块采用多进程扫描的方式,在消息队列中构建分布式主题分区,通过编辑处理相互独立策略链,控制各个网络设备中设备节点接入的扫描;告警模块对分布式处理模块传递过来的数据进行警示性提示。
进一步地,所述身份凭证注册模块维护设备节点身份凭证信息库;所述设备节点身份凭证信息库用于存储各个设备节点的身份凭证信息,是可信网络中身份凭证基线信息库,所述基线信息库在配置管理模块的作用下生成变迁信息库,变迁信息库为告警信息提供输入数据;
所述身份凭证注册模块根据设备节点的初始镜像及其参数对各个设备节点的身份凭证给予特定权重,关键初始镜像变化会对可信凭证权重有效性产生决定影响,身份凭证注入设备之后,设备认证时将权重和设备镜像参数提交到基线信息库和变迁信息库对身份凭证进行校验。
进一步地,申请注册设备节点在注册时使用的可信账号依托用户的身份信息或者第三方的身份信息,可信网络中普通用户在指定的可信设备上在原有的身份凭证注销前只能申请一个身份凭证,管理员身份可以多次申请身份凭证;依托用户的身份信息时,在内部创建可信账号,依托第三方的身份信息时,通过集成接口方式实现。
进一步地,身份凭证的权重由设备的固有属性、按照设定比例生成,采用身份信息签名后提交到身份凭证注册模块;设备在进行身份凭证注册申请时采用终端可安装的程序或网页进行。
进一步地,身份凭证注册模块所颁发的身份凭证信息由标记符、操作系统类、授权机构编号、邻居号和随机标号值组成;标记符用于标记身份凭证的类型,操作系统类用于标识申请身份凭证的设备的操作系统类型,授权机构编号用于标识身份凭证注册模块的唯一编码,邻居关系是已注册设备节点的邻居关系信息,随机标号值是该节点随机标号的哈希值,和邻居关系耦合。
进一步地,身份凭证信息的结构组成和身份凭证的权重是独立的,权重信息直接决定身份凭证的可用性,身份凭证的结构组成与可信网络中其他邻居关系构成相互信任关系,权重信息只在可信节点自身内部有效,不影响其他可信节点的信任关系,以便降低设备固有属性达到预定阈值后降低凭证校验的资源消耗。
进一步地,在可信网络中,身份凭证注册模块内含一个创世根节点,创世节点的标号为0且该节点是孤点,0节点之外的任一节点均在同一深度,可信网络节点是星图;
身份凭证注册模块颁发凭证信息时采用随机标号的方式,取自然数k,k≤已注册节点数,面向可信的注册设备节点随机进行k标号编码,产生一个随机标号,并选出在线邻居节点;由于每次注册k均不同,每次产生的随机标号是唯一的;对邻居关系随机标号进行哈希计算。
进一步地,当设备固有属性变化触发身份凭证信息失活,设备申请再次上线后,必须使用管理员的身份进行签名,否则其失活身份凭证无法在该设备上有效使用;触发重新签名申请的信息是身份凭证信息基线变更的一种驱动结果。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述方法。
本发明还提供一种计算机设备,包括处理器和存储器,所述存储器用于存储计算机程序;所述处理器用于执行所述计算机程序时,实现上述方法。
本发明的有益效果在于:本发明从数据采集方式提供了面向客户端代理和网页的两种方式进行数据提取,借助图形相关的理论实现对当前申请注册设备节点进行随机标号,利用已注册设备节点构建相互信任关系,确保凭证的唯一性、不可修改性,同时又利用权重设计兼顾了可信网络的动态变化,通过基线配置、基线变迁、告警设计、状态机控制发现不可信网络节点。在可信网络的检测过程中,利用高速、动态检测手段,实现高效的数据读取,从而实现的对可信网络异常接入进行高效检测,大幅提高了可信网络的检测速度和判断效率,该方法容易在计算机系统和检测装置中实现。
附图说明
图1为本发明实施例方法中的处理程序图;
图2为本发明实施例状态控制机制图;
图3为本发明实施例接入控制方法的部署结构示意图;
图4为本发明实施例各模块展开结构示意图;
图5为本发明实施例分布式处理模块队列负载调度示意图;
图6为本发明实施例分布式处理方法与传统方法效能对比图;
图7为本发明实施例方法实现的一种装置结构示意图。
具体实施方式
以下将结合附图对本发明作进一步的描述,需要说明的是,本实施例以本技术发明方法为出发点,给出了具体的实施方式和操作过程,容易理解本发明的保护范围并不限于本实施例和所枚举的图示。本领域技术人员容易理解,采用其他变换的图示和本发明所隐含的方法都是本发明的权利范围。
本实施例提供一种网络接入控制与检测告警方法,具体过程为:
申请注册设备节点根据申请用户的角色,以管理员身份或使用者身份对申请身份凭证的行为进行认证,数据采集节点提交用户的账号口令至身份凭证注册模块。
同时,所述申请注册设备节点针对设备的固有属性构建初始镜像数据并通过用户的账号口令进行签名,数据采集节点将其提交至身份凭证注册模块,进行身份注册。
在本实施例中,申请注册设备节点在注册时使用的可信账号可依托自身的身份信息或者第三方的身份信息,可信网络中普通用户在某一设备上在原有的身份凭证注销前只能申请一个身份凭证,管理员身份可以多次申请身份凭证;依托自身的身份信息时,在内部创建可信账号,依托第三方的身份信息时,通过集成接口方式实现。
身份凭证注册模块根据当前网络中节点的状态,进行初始镜像注册和身份凭证颁发,身份凭证注册模块过程中结合已有的创世节点和已注册的其他设备节点的信息进行标号,生成当前申请注册设备节点的身份凭证信息,并颁发给当前申请注册设备节点,当前申请注册设备节点接入可信网络成为可信设备节点。
申请注册设备节点的固有属性和权重信息将被存入配置管理模块,配置管理模块保存所有申请注册设备节点的固有属性配置基线信息和权重信息,以便校对设备的固有属性变化情况。
在设备节点注册完成接入可信网络之后,分布式处理模块采用多进程扫描的方式,在消息队列中构建分布式主题分区,通过编辑处理相互独立策略链,控制各个网络设备中设备节点接入的扫描;告警模块对分布式处理模块传递过来的数据进行警示性提示。
在本实施例中,所述身份凭证注册模块维护设备节点身份凭证信息库,所述设备节点身份凭证信息库用于存储各个设备节点的身份凭证信息;所述配置管理模块构建可信网络中设备节点的基线信息库;分布式处理模块在基线信息库的基础上生成变迁信息库,所述变迁信息库用于存储可信网络中设备节点的基线信息的变迁信息,变迁信息库为告警模块提供输入数据,告警模块据此进行警示性提示。
在本实施例中,所述配置管理模块根据设备节点的初始镜像数据及其参数对各个设备节点的身份凭证给予特定权重,初始镜像数据的关键变化会对可信身份凭证的权重的有效性产生影响,身份凭证注入设备之后,设备会周期性将权重和设备镜像参数提交到基线信息库和变迁信息库,以对身份凭证有效性进行校验。
本实施例中,身份凭证的权重由设备的MAC地址、BIOS ID和UUID(不限于此)按照比例生成,设备采用身份信息签名后提交到身份凭证注册模块,身份凭证注册申请采用设备可安装的程序或网页进行。
在本实施例中,身份凭证注册模块所颁发的身份凭证由标记符、操作系统类、授权机构编号、邻居关系和随机标号值组成;标记符用于标记身份凭证的类型,操作系统类用于标识申请身份凭证的设备的操作系统类型,授权机构编号用于标识注册机构的唯一编码,邻居关系是已注册设备节点的邻居标记信息,随机标号为节点随机标号的哈希值。
本实施例中,身份凭证的结构组成和身份凭证的权重是独立的,权重信息直接决定身份凭证的可用性,身份凭证的结构组成与可信网络中其他邻居关系构成相互信任关系,权重信息只在可信设备节点自身内部有效,不影响其他同深度的可信设备节点的信任关系,以便降低设备固有属性达到阈值后降低凭证校验的次数。
本实施例中,在可信网络中,身份凭证注册模块内含一个创世根节点,创世节点的标号为0且该节点是孤点,0节点之外的任一节点均在同一深度,可信网络节点是星图。
在本实施例中,身份凭证注册模块采用随机标号的方式,任取一个随机自然数k(k≤已注册节点数),面向可信的注册设备节点随机进行k标号编码,产生一个随机标号,由于当前已注册设备节点数和前一个已注册设备节点数不同,因此对各个已注册设备节点来说,产生的随机标号是不同的、唯一的;选择邻居节点作为邻居关系。
在本实施例中,当设备某一固有属性信息变化触发身份凭证失活时,设备申请再次上线后,必须使用管理员的身份进行签名激活身份凭证信息,否则该设备的失活身份凭证无法在该设备上使用,所使用的签名账号也无法在该设备上登录。
在本实施例中,分布式处理模块收集设备节点处于繁忙状态或空闲状态的信息,当收集通道很拥挤,数据将跳过拥挤通道直接投递到空闲通道,数据传输通道形成负载能力。
需要说明的是,本实施例方法中,面向设备固有属性的信任构建包含两层含义和措施:初始特征和后续特征,静态信任和动态信任。网络接入控制方案是一种信任关系,在设备与目标认证服务器之间构建一种可靠唯一的信任管理方法。使用者知道的信息、持有的凭证和设备固有的信息是本实施例方法的设计依据。
通常在设备注册时可选取的固有属性可以为一个或多个,如果选取1个固有属性,设备注册时1个属性的权重值为100%,属性变更时,身份凭证100%失活;选取2种属性时,权重值之和为100%,当1个属性更改时可以判定身份凭证部分概率失活。在本实施例中选取3个固有属性:设备的MAC地址、BIOS ID和UUID等信息,一方面降低对唯一参数的依赖,同时提高不可信访问者伪造、篡改原始凭证的成本。
需要说明的是,设备的初始特征镜像数据通过数据采集节点进行采集、维护和管理,数据采集节点支持管理员镜像复制、使用人员客户端和页面提取两种方式。设备的基线信息库构建以后的变更基于此进行持续滚动构建基线。
在本实施例中,所述配置管理模块提供配置模板,配置模板包含对设备固有属性、权重、告警策略等进行定义的控制界面。通过动态数据Sd(包括MAC地址、BIOS ID和UUID等信息的变化值和其权重值)和原始数据Bd(包括MAC地址、BIOS ID和UUID等信息的原始值和其权重值),可以得出变化部分数据为Dd(包括MAC地址、BIOS ID和UUID等信息的差异信息)并存入变迁信息库,同时配置管理模块将Sd中的权重值输入到身份凭证注册模块。数据Dd是激励告警模块输出警示性提示的输入信息。
需要说明的是,在进行身份凭证颁发时,身份凭证注册模块以自身为根节点作为创世节点,任一已注册设备节点作为悬挂节点,由创世节点和多个悬挂点构成的图是星型拓扑。在身份凭证注册过程中叶子节点(注册节点)和根节点(创世节点)组成一种图形关系,这种图表现出特定的数学编码特征。身份凭证注册模块取随机自然数k(k≤已注册节点数),以每条边及其邻接节点的标号形成编码表,标注当前拓扑的构成。星图中,不同的顶点可以标记为不同的整数,形成k编码表。悬挂点标记为0时,该注册拓扑在随机数k下,有且只有唯一标识。
在本实施例中,以0号编码作为中心节点生成T时刻的注册拓扑状态编码标识表并进行运算,将结果注入到数据采集模块中,申请注册设备节点以邻居关系生成注册信息,带到申请注册设备节点之中,邻居节点与申请注册设备节点建立了可信关系,完成注册。
在本实施例中,分布式处理模块采用链式结构,通过指针方式进行逐级扣连,接收数据并对数据进行实时分类和重组,根据预先定义好的命名表达式给扫描器下发查询规则,降低度读写频率从而降低系统的压力。
在本实施例中,分布式处理模块在扫描过程中,预置多个灵活的异步数据缓冲处理队列,数量主要视数据速度和应用场景而定,形成队列链结构,通过链接结构取代逐个端口扫描。
在本实施例中,分布式处理模块按照获取设备对象的属性数据进行批量获取,将列数据转换成行数据并对冗余数据进行整理剔除。
在本实施例中,所述告警模块对分布式处理模块清理过的整齐数据按照对象参数进行分类合并。具体地,所述告警模块按照设备节点定义的业务模型,对需要提取的属性进行关联,按照设定的告警提醒方式进行控制和告警。
需要说明的是,本实施例中,所述告警模块不对结构化、非结构化数据进行区分,对分布式处理模块入库后的数据在告警模块采取同等的处理措施,实现字段级别的预置和定义。
以下结合附图对本实施例方法进行更深一层的说明。
图1中,本实施例的实现包括几部分,数据采集节点110、身份凭证注册模块120、配置管理模块111、分布式处理模块130、告警模块140。
在本实施例中,数据采集节点安装在设备的操作系统内或者以网页的方式为设备提供注册的界面,从而获取设备终端的配置信息、注册信息提交以及注册身份凭证信息接收。
更具体地,初始接入网络的设备终端一般需要网络环境中下载代理程序;如果通过网页注册,则定向访问到注册界面,否则由管理员人工干预方式将设备初始镜像数据进行初始数据同步。
为了提供动态、灵活的信任机制,本实施例中,设备初始镜像数据的信任权重通过管理员在数据采集环节事先预置,设备初始镜像参数越多,权重分布就越广,提供的可信灵活度就越大。比如只有1个初始镜像参数时必须100%完全匹配,不可能提供灵活性的支持,此种情况需要的人工干预越多,越不能降低管理的成本。设备初始镜像参数越多设备凭证伪造的可能性越低。
更进一步地,本实施例中,数据采集节点中设置的权重按照数量及伪造难度进行格式化定义,例如MAC为20%、UUID为40%、BIOS为40%。实际应用时,不同环境依据管理员的经验进行配置,因此除非强制达到100%的占比,即使提交的信息不够全面也可注册、凭证也可发放,仅影响可信程度和变更的灵活性。
进一步地,配置管理模块为可信网络中管理员操作提供了便捷的管理通道,管理员为用户提交设备初始镜像是最为稳妥的方式之一。管理员通过在配置管理模块中预置设备初始镜像数据,设备终端比对成功后向身份凭证注册模块申请发放身份凭证。
具体地,配置管理模块与数据采集节点的信息比对的基础为:管理员录入的信息和设备采集提交的数据为基准将初始信息写入至配置管理模块。
更进一步地,对配置管理模块中的初始镜像数据进行改动有两种途径:一种是设备端远程变更了可信设备的固有属性,并提交到配置管理模块,未触发身份凭证失效,管理员确认后对初始镜像数据进行基线变更,权重可修复至100%。另一种是管理员操作配置信息,待设备固有属性更换后对可信权重进行确认,未触发身份凭证失效,可信权重可修复至100%占比。
在图1中,身份凭证注册模块接收数据采集节点提供的初始镜像数据,并根据设备的初始镜像数据生成身份凭证信息,将身份凭证信息保存到当前申请设备节点、在线邻居节点和身份凭证注册模块之中。
进一步地,身份凭证注册模块作为可信网络接入控制的中心节点,除了接收来自可信网络中设备节点的注册申请之外,自身也是可信网络节点之一,身份凭证注册模块标号为0。
进一步地,身份凭证注册模块将获取的设备初始镜像数据形成格式化数据写入数据采集节点当中,并由数据采集节点定时上报数据,按照时间轴进行记录,形成基线和配置变更记录。
在本实施例中,分布式处理模块采用数据批量一次性获取、整理、转置方法,通过插件方式实现逻辑功能定义以及实现对网络接口的批量扫描和信息比对。
更具体地,分布式处理模块根据配置的主机节点,实现独立的插件安装和处理的策略,插件自动分发至所有处理节点,采用链式接收结构,通过指针方式进行逐级扣连,对数据进行可视化定义处理,根据预定义好的命名表达式,解析进入数据库中,将原始数据保存在存储节点中,然后采用队列接收和实时数据处理方式对数据进行实时分类和重组。
在本实施例中,分布式处理模块获取网络边缘的数据,对在线和不在线的设备进行周期性扫描。
在本实施例中,设备在接入网络,激活网络端口传输数据时,分布式处理模块可检测处理如下3类数据:数据采集节点定时上报设备的初始镜像信息和后续的变更数据、正在注册过程中或任何相关身份信息不发出且还在使用网络这3种状态,如图2所示,在图2中状态S4对状态S1-S3三种状态进行判断:
(1)S1携带身份凭证信息或镜像信息至S4,S4对数据进行接收判断和确认,其时间周期可灵活定义,假设时间为T1。(2)S2是初始注册过程,发送设备固有初始镜像数据至S4,S4进行检测并将身份注册凭证发放至S2,很显然注册状态与S1的状态不同,状态S2并不携带身份凭证信息,仅仅携带注册信息。身份注册的过程在网络状态稳定条件下统计时间均值通常是固定的,假设为T2。(3)S3与S1、S2完全不同,S3不携带任何凭证信息或注册信息或初始镜像信息。因此状态S4可以对(3)的状态进行准确的判断,假设获取目标对象的时间周期是T3。设置一个判断时间周期为Tx,从(1)-(3)可以推断检测出S3的时间Tx应满足如下条件:Tx≤T3<T1<T2,因此分布式处理模块扫描网络端口的时间Tx要≤T3。分布式处理模块扫描到的在用接口未提供数据判断为异常接口。因此,对于不发任何信息的状态S3,不是由接入控制、客户端程序、网页登录激励网络端口的状态,根据单个被检测网络设备的扫描周期及3种状态,容易设计出时间窗口Tx,从而实现对状态S3的检测。
扫描状态结束后,进入分布式处理模块等待各个接口的反馈,上报初始镜像信息和后续的变更数据、正在注册、任何信息不上报三个状态,是分布式处理模块判断是否进行下一步的输入。
更进一步地,扫描被检测网络设备的接口状态信息,对于不发送任何关于注册及设备状态信息的接口,分布式处理模块会将状态数据传送给告警模块。
图3示出了本实施例的另一种宏观视图。在图3中,301代理客户端安装了数据采集模块,通过操作系统可通过网络访问链接资源。302网络设备提供设备的网络接入端口。303接入控制系统包含图1所示的120身份凭证注册模块、111配置管理模块、130分布式处理模块、140告警模块所示的代码运行程序。301提交设备初始镜像数据至接入控制系统,接入控制系统生成注册身份凭证发给代理客户端,并通过对可信网络进行扫描实现对网络的状态监测。Web客户端通过网页方式访问接入控制系统,接入控制系统生成适用该系统的注册凭证发送至客户端,并通过对网络进行扫描实现对网络的状态监测。
更一般的情况,如图4所示,本实施例展示了可信网络及接入控制系统更为细节的工作内容。在图4中,包含设备401、接入控制系统402、网络403,所述的网络控制检测模块4021-4024组成接入控制系统402。
在图4中,设备中的agent_x将参数1、参数2等参数信息账号密码签名后提交给身份凭证注册模块,身份凭证注册模块4021生成合法凭证。
通常,agent_x节点的普通用户签名信息在同一时刻在可信网络中只能使用一次,凭证一旦生成下发后,无法在可信网络中生成第二个可信凭证,除非对该用户名下的可信凭证进行吊销或注销。
更进一步地,注册的设备初始镜像数据提交进行设备凭证颁发时,将数据同步写入配置管理模块之中,由配置管理模块的固有属性数据(401中的f的参数信息)、权重等信息在配置管理模块4024中形成原始基线数据,合法凭证以及配置信息与告警模块4022存在接口,按照告警模块种设定的规则提供灵活的提示策略。
有区别的是,在图4中可信网络403中下方的null节点(agent_x节点在图中出现了2次,实质是同一节点的不同表示法)无法提供合法的身份信息也不是正在注册的节点,分布式处理模块4023根据状态机的时间规则从可信网络中发现此类设备,按照管理员对告警信息设定策略可对此类节点进行有效的隔离。
针对4023和403之间的工作细节,图5进一步示出的分布式处理模块的数据处理方式。本实施例示出的分布式处理模块工作原理图5中,预置了多达上百个异步数据缓冲队列(也可以是上千个,主要根据可信网络的规模和应用场景而定,本实例仅作为一个举例出现),形成队列链。数据流速大的情况下,每个队列在数据接收方面独立工作形成链式结构,调节数据获取周期以及突发大流量数据时程序均可分布式处理数据、形成负载关系。
更进一步地,在图中5,P1/B表示数据收集节点1处于繁忙状态、P2/F表示节点处于空闲状态(符号B、F是一个渐进式的占比数据),当通道很拥挤比如处于B状态,数据将跳过P1/B直接投递到P2/F节点,因此可以对进入的数据形成负载能力。在图5中P99/D表示接收节点出现错误或者锁死,那么P99'/W游离节点顺序补充到该数据队列,从而保持队列数量的相等和接收能力的平稳,P99'/W补充进队列后P99/D中的数据会按照先进先出规则压入P99'/W队列,从而保证负载均衡的稳定和数据传输的连续性。
更进一步地,在图4中分布式数据处理模块4023的工作方式为:批量获取可信网络403对象数据,一次获取得数据,对数据进行转置整理后得到新的数据集:/>采用这种方式,分布式处理模块4023处理数据的效率会倍增,容易理解多次获得一个对象数据和一次获得多个对象数据再通过计算能力将数据转化成有效数据的方式,将极大地压缩通信传输的时间、提高消息队列的传输效率、降低数据传输的时间。图6是本发明采用不同数据处理方式处理相同数量数据的对比图,图中显示本实施例的分布式处理方法与传统数据处理方法效率更高。
本实施例中,对可信网络中任一节点agent_x来讲,均是等价节点,任一注册节点相对与接入控制节点来说是星节点,由此组成的图为星图。更进一步地,信任关系是相互的,至少有两个及以上节点才能形成信任关系,实施例中注入当前申请节点的凭证,除了本身的标记符号外,至少还包含1个其他节点的标记符号,否则可信网络将成为一个孤立的节点,也不存在可信网络。为了使网络更加可信,身份凭证注册模块构建一个创世节点,这个节点始终存在,直至整个可信体系消亡。
进一步地,对星图来说,创世节点编作0号节点,根据如下的知识,对可信注册网络进行标号,任一k值(k≥2)整个可信网络有且只有唯一的一种标识。
可信网络中创世节点和注册节点构成的可信网络为G,可信网络G中节点V和边E的标识存在且唯一,标记创世节点为0,那么可信网络中节点的标记方法为:
f:V(G)→{0,1,…,n},{|f(u)-f(v)|:uv∈E(G)}={1,…,n}
据此:
进一步地,由于标记符号具唯一性,在当前时刻新注册的节点和已注册的节点形成一个唯一标识函数f,在新节点注册时,接入控制系统中402的0号节点,由身份凭证注册模块生成一个随机数k,根据随机生成函数f(xq),可信网络中节点编号通过采用函数对函数f和已注册节点的签名信息作为唯一标识码授权给当前注册节点(本实施例为2个邻居节点创建的邻居关系,容易理解可信网络中可以选取k-1个节点),随机标记符写入已注册和新注册对象中。
进一步地,在身份凭证注册模块4021合成参数阶段,身份凭证注册模块根据可信网络已注册的状态生成标记符序列,标记序列是随机的,从数量、随机序列、时间三个维度来看,在T时刻和T+1时刻的标记都不同。标记符一旦生成无法再次改变,标记符不可逆。身份凭证注册模块4021无法将两个相同的凭证颁发出去。
随着注册节点数量的增加,信任节点携带了其他节点的相关信息,信任变得更加稳固,一个注册节点不可能修改其他注册节点,一个节点无法改变已有的信任管理,除非整个信任关系被重新改写,这在实际操作中也不可能实现。
进一步地,在设备凭借可信身份凭证接入可信网络后,会将设备镜像数据携带至4024配置管理模块,当注册节点的设备参数发生变化,通常是不可信的固有参数带来的信任度降低,特别是设备关键参数发生变化时,参数会与凭证一起提交到身份凭证注册模块4021和配置管理模块4024当中,当权重达到临界点以下时,凭证将失活,节点将从可信网络中暂时脱离,同时4024将该节点的配置变化信息推送给4023告警模块。
进一步地,节点脱离可信网络包含两层含义,其一是客户端凭证中权重信息的变化造成凭证失活,在管理员确认其终端不可信情况下,配置管理模块将配置信息和权重信息发送给身份凭证注册模块,身份凭证将被置于失活状态,此时终端无法再接入可信网络;其二是终端已经确信无疑不再使用可信网络,身份凭证将会注销,注销的凭证需要在身份凭证注册模块中及已注册节点中达成共识,修改凭证中的邻居关系。
进一步地,凭证注销也可在管理员操作下,只对本身份凭证进行注销,对凭证的状态进行标识,除非可信网络中仅剩1个创世节点(没有其他可信关系存在),此时不需要与其他已注册的节点达成共识。
更进一步地,为保持整个注册网络数据的一致性,在凭证注销时刻恰巧有一个节点进行注册,这时注册节点需要等待注销结束才可以继续进行注册。通常情况下注销需要慎用,而只将凭证进行吊销保存在凭证库内,直至删除整个信任网络。
综上来看,本实施例从数据采集方式提供了面向客户端代理和网页的方式进行数据提取,借助图形相关的理论实现对当前申请注册设备节点进行随机标号,利用已注册设备节点构建相互信任关系,确保凭证的唯一性、不可修改性,同时又利用权重设计兼顾了可信网络的动态变化,通过基线和状态机控制发现不可信网络节点。在可信网络的检测过程中,利用高速、动态检测手段,实现高效的数据读取速度,从而实现的对可信网络异常接入进行高效检测,大幅提高了可信网络的检测速度和判断效率,该方法容易在计算机系统和检测装置中实现。
本实施例还提供一种计算机装置和硬件,如图7所示,该计算机装置承载程序代码,所述程序代码包括的指令可用于执行实施例中所述的网络接入控制方法。图7所示的装置由两部分组成:接入控制装置、网络设备。具体包括接入控制装置701,其中7013存储了包含身份凭证注册模块、配置管理模块、分布式处理模块、告警模块运行的程序代码,该程序代码被调入7011处理器后能够提供设备的注册并执行接入控制和检测告警功能,实现对设备接入702的控制。7012用于显示本实施例告警信息显示和人机交互式操作。
设备通过网络设备702的接口向接入控制装置701发送身份注册请求信息和提交凭证;发送的请求信息包括终端的若干个关键特征属性,并按照准入控制装置约定被赋予一定的特征权重;所述接入控制装置701按照所述接入控制方法和唯一性凭证生成方法将凭证颁发给接入申请设备。
更进一步地,接入控制装置内部控制程序周期性地扫描网络设备的相关信息,根据请求信息要求设备提交凭证或者注册请求信息,一旦提交的凭证与存储器中的凭证、配置信息不一致或者凭证可信权重降低到阈值以下时便会在显示设备7012中显示。
对于本领域的技术人员来说,可以根据以上的技术方案和构思,给出各种相应的改变和变形,而所有的这些改变和变形,都应该包括在本发明权利要求的保护范围之内。
Claims (10)
1.一种网络接入控制与检测告警方法,其特征在于,具体包括为:
申请注册设备节点根据申请用户的角色,以管理员身份或使用者身份对申请身份凭证的行为进行认证,数据采集节点提交用户的账号口令至身份凭证注册模块;
同时,所述申请注册设备节点针对设备的固有属性构建初始镜像数据并通过用户的账号口令进行签名,数据采集节点将其提交至身份凭证注册模块,进行身份注册;
身份凭证注册模块根据当前网络中节点的状态,进行初始镜像注册和身份凭证颁发,身份凭证注册模块过程中结合已有的创世节点和已注册的其他设备节点的信息进行标号,生成当前申请注册设备节点的身份凭证信息,并颁发给当前申请注册设备节点,当前申请注册设备节点接入可信网络成为可信设备节点;
申请注册设备节点的固有属性和权重信息将被存入配置管理模块,配置管理模块保存所有申请注册设备节点的固有属性配置基线信息和权重信息,以便校对设备的固有属性变化情况;
在设备节点注册完成接入可信网络之后,分布式处理模块采用多进程扫描的方式,在消息队列中构建分布式主题分区,通过编辑处理相互独立策略链,控制各个网络设备中设备节点接入的扫描;告警模块对分布式处理模块传递过来的数据进行警示性提示。
2.根据权利要求1所述的方法,其特征在于,所述身份凭证注册模块维护设备节点身份凭证信息库;所述设备节点身份凭证信息库用于存储各个设备节点的身份凭证信息,是可信网络中身份凭证基线信息库,所述基线信息库在配置管理模块的作用下生成变迁信息库,变迁信息库为告警信息提供输入数据;
所述身份凭证注册模块根据设备节点的初始镜像及其参数对各个设备节点的身份凭证给予特定权重,关键初始镜像变化会对可信凭证权重有效性产生决定影响,身份凭证注入设备之后,设备认证时将权重和设备镜像参数提交到基线信息库和变迁信息库对身份凭证进行校验。
3.根据权利要求1所述的方法,其特征在于,申请注册设备节点在注册时使用的可信账号依托用户的身份信息或者第三方的身份信息,可信网络中普通用户在指定的可信设备上在原有的身份凭证注销前只能申请一个身份凭证,管理员身份可以多次申请身份凭证;依托用户的身份信息时,在内部创建可信账号,依托第三方的身份信息时,通过集成接口方式实现。
4.根据权利要求1所述的方法,其特征在于,身份凭证的权重由设备的固有属性、按照设定比例生成,采用身份信息签名后提交到身份凭证注册模块;设备在进行身份凭证注册申请时采用终端可安装的程序或网页进行。
5.根据权利要求1所述的方法,其特征在于,身份凭证注册模块所颁发的身份凭证信息由标记符、操作系统类、授权机构编号、邻居号和随机标号值组成;标记符用于标记身份凭证的类型,操作系统类用于标识申请身份凭证的设备的操作系统类型,授权机构编号用于标识身份凭证注册模块的唯一编码,邻居关系是已注册设备节点的邻居关系信息,随机标号值是该节点随机标号的哈希值,和邻居关系耦合。
6.根据权利要求1所述的方法,其特征在于,身份凭证信息的结构组成和身份凭证的权重是独立的,权重信息直接决定身份凭证的可用性,身份凭证的结构组成与可信网络中其他邻居关系构成相互信任关系,权重信息只在可信节点自身内部有效,不影响其他可信节点的信任关系,以便降低设备固有属性达到预定阈值后降低凭证校验的资源消耗。
7.根据权利要求1所述的方法,其特征在于,在可信网络中,身份凭证注册模块内含一个创世根节点,创世节点的标号为0且该节点是孤点,0节点之外的任一节点均在同一深度,可信网络节点是星图;
身份凭证注册模块颁发凭证信息时采用随机标号的方式,取自然数k,k≤已注册节点数,面向可信的注册设备节点随机进行k标号编码,产生一个随机标号,并选出在线邻居节点;由于每次注册k均不同,每次产生的随机标号是唯一的;对邻居关系随机标号进行哈希计算。
8.根据权利要求1所述的方法,其特征在于,当设备固有属性变化触发身份凭证信息失活,设备申请再次上线后,必须使用管理员的身份进行签名,否则其失活身份凭证无法在该设备上有效使用;触发重新签名申请的信息是身份凭证信息基线变更的一种驱动结果。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-8任一所述的方法。
10.一种计算机设备,其特征在于,包括处理器和存储器,所述存储器用于存储计算机程序;所述处理器用于执行所述计算机程序时,实现权利要求1-8任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310796513.7A CN116707962B (zh) | 2023-06-30 | 网络接入控制与检测告警方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310796513.7A CN116707962B (zh) | 2023-06-30 | 网络接入控制与检测告警方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116707962A true CN116707962A (zh) | 2023-09-05 |
| CN116707962B CN116707962B (zh) | 2024-06-07 |
Family
ID=
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110781468A (zh) * | 2019-10-24 | 2020-02-11 | 腾讯科技(深圳)有限公司 | 一种身份认证的处理方法、装置、电子设备及存储介质 |
| CN113127904A (zh) * | 2021-04-26 | 2021-07-16 | 北京中启赛博科技有限公司 | 一种访问控制策略智能优化系统及方法 |
| CN113438088A (zh) * | 2021-06-28 | 2021-09-24 | 湖南天河国云科技有限公司 | 基于区块链分布式身份的社交网络信用监测方法及装置 |
| CN114374969A (zh) * | 2021-12-16 | 2022-04-19 | 国网河北省电力有限公司信息通信分公司 | 一种电力物联网环境下的信任评估方法 |
| US20220158855A1 (en) * | 2018-11-09 | 2022-05-19 | Ares Technologies, Inc. | Methods and systems for a distributed certificate authority |
| CN114679269A (zh) * | 2022-03-29 | 2022-06-28 | 中国工商银行股份有限公司 | 基于区块链的凭证传输方法及装置、电子设备及存储介质 |
| US20220272085A1 (en) * | 2021-02-24 | 2022-08-25 | International Business Machines Corporation | Blockchain network identity management using ssi |
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220158855A1 (en) * | 2018-11-09 | 2022-05-19 | Ares Technologies, Inc. | Methods and systems for a distributed certificate authority |
| CN110781468A (zh) * | 2019-10-24 | 2020-02-11 | 腾讯科技(深圳)有限公司 | 一种身份认证的处理方法、装置、电子设备及存储介质 |
| US20220272085A1 (en) * | 2021-02-24 | 2022-08-25 | International Business Machines Corporation | Blockchain network identity management using ssi |
| CN113127904A (zh) * | 2021-04-26 | 2021-07-16 | 北京中启赛博科技有限公司 | 一种访问控制策略智能优化系统及方法 |
| CN113438088A (zh) * | 2021-06-28 | 2021-09-24 | 湖南天河国云科技有限公司 | 基于区块链分布式身份的社交网络信用监测方法及装置 |
| CN114374969A (zh) * | 2021-12-16 | 2022-04-19 | 国网河北省电力有限公司信息通信分公司 | 一种电力物联网环境下的信任评估方法 |
| CN114679269A (zh) * | 2022-03-29 | 2022-06-28 | 中国工商银行股份有限公司 | 基于区块链的凭证传输方法及装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Huang et al. | Towards secure industrial IoT: Blockchain system with credit-based consensus mechanism | |
| CN110489485B (zh) | 联盟区块链网络及在其中存储产品数据的方法和存储介质 | |
| CN109257342B (zh) | 区块链跨链的认证方法、系统、服务器及可读存储介质 | |
| CN109687959B (zh) | 密钥安全管理系统和方法、介质和计算机程序 | |
| US8375425B2 (en) | Password expiration based on vulnerability detection | |
| US20180020008A1 (en) | Secure asynchronous communications | |
| CN107733863B (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| CN109005142B (zh) | 网站安全检测方法、装置、系统、计算机设备和存储介质 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN110069918A (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
| CN110474921B (zh) | 一种面向局域物联网的感知层数据保真方法 | |
| US20100180123A1 (en) | Procedure and architecture for the protection of real time data | |
| CN106603225B (zh) | 为企业信息服务器提供信息验证的验证方法 | |
| CN112487042B (zh) | 电能计量数据处理方法、装置、计算机设备和存储介质 | |
| CN114338242B (zh) | 一种基于区块链技术的跨域单点登录访问方法及系统 | |
| CN111988275A (zh) | 一种单点登录方法、单点登录服务器集群及电子设备 | |
| CN104394166B (zh) | 一种云环境下面向移动终端的证书防伪认证系统及方法 | |
| EP3817320A1 (en) | Blockchain-based system for issuing and validating certificates | |
| Yoon et al. | Blockchain-based object name service with tokenized authority | |
| CN101118639A (zh) | 安全电子人口普查系统 | |
| CN113612616A (zh) | 一种基于区块链的车辆通信方法和装置 | |
| CN116707962B (zh) | 网络接入控制与检测告警方法、装置及存储介质 | |
| CN112926979A (zh) | 结合区块链通信的支付信息处理方法及区块链信息平台 | |
| CN116707962A (zh) | 网络接入控制与检测告警方法、装置及存储介质 | |
| CN114189515B (zh) | 基于sgx的服务器集群日志获取方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |