CN117240606A - 哑终端的认证方法及认证系统 - Google Patents
哑终端的认证方法及认证系统 Download PDFInfo
- Publication number
- CN117240606A CN117240606A CN202311491889.3A CN202311491889A CN117240606A CN 117240606 A CN117240606 A CN 117240606A CN 202311491889 A CN202311491889 A CN 202311491889A CN 117240606 A CN117240606 A CN 117240606A
- Authority
- CN
- China
- Prior art keywords
- authenticated
- dummy terminal
- password
- authentication
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000013507 mapping Methods 0.000 claims description 15
- 238000005336 cracking Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 12
- 230000002452 interceptive effect Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000007789 sealing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种哑终端的认证方法及认证系统。通过应用本申请的技术方案,可以在每个时间周期内预先由控制服务器为每个哑终端生成专属的密码,并在该时间周期的随后时间由认证设备基于同样的加密策略为每个哑终端生成对应的密码并发送给控制服务器,以使后续由控制服务器根据两个密码的匹配程度判断该哑终端是否在该时间周期内被恶意终端所替代。从而一方面避免相关技术中出现的,由于业务系统中的哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。另一方面采用每个时间周期为哑终端动态调整密码信息的方案,也能够提升恶意用户的密码破解难度,进一步了保证哑终端的安全性。
Description
技术领域
本申请中涉及设备安全认证技术,尤其是一种哑终端的认证方法及认证系统。
背景技术
随着网络的不断发展,对业务系统中各类终端的安全认证也有了更高的要求。
相关技术中,对于接入业务系统中的各个业务终端而言,通常需要在其上部署一个认证客户端,以由一台或多台安全认证设备基于该认证客户端主动发起的身份认证信息实现周期性的自动对各个业务终端进行安全认证和处理的目的,从而保证数据信息安全。
然而,对于部分自身系统具有一定封闭性的哑终端来说,由于业务人员无法在其上安装认证客户端,进而也就导致无法对该哑终端进行安全认证。
发明内容
本申请实施例提供一种哑终端的认证方法及认证系统。从而解决相关技术中出现的,由于哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。
其中,根据本申请实施例的一个方面,提供的一种哑终端的认证方法,应用于控制服务器,方法包括:
在当前时间周期中接收认证设备发送的待认证密码,所述待认证密码为所述认证设备基于待认证哑终端的设备参数,以预设加密策略为所述待认证哑终端所生成的密码;
从数据库中查找与所述待验证哑终端相关联的已生成密码,其中所述已生成密码为所述控制服务器在所述当前时间周期内,预先基于所述待认证哑终端的设备参数,以所述预设加密策略为所述待验证哑终端所生成的密码;
若检测到所述待认证密码与所述已生成密码相匹配,确定对所述待认证哑终端的认证通过。
可选地,在基于本申请上述方法的另一个实施例中,在所述基于每个哑终端信息中包含的设备参数,以所述预设加密策略为每一个哑终端信息生成对应的已生成密码之前,还包括:
接收扫描设备在所述当前时间周期内扫描得到的,与所述控制服务器相关联业务网络下的各哑终端信息;
基于每个哑终端信息中包含的设备参数,以所述预设加密策略为每一个哑终端信息生成对应的已生成密码;
建立每个哑终端与对应已生成密码之间的映射关系,并将所述映射关系存储到所述数据库中。
可选地,在基于本申请上述方法的另一个实施例中,所述基于所述预设加密策略,为每一个哑终端信息生成对应的已生成密码,包括:
获取所述哑终端对应的设备参数,以及用于表征所述当前时间周期的时间参数;
利用预设加密算法,为所述设备参数与所述时间参数生成对应的已生成密码。
可选地,在基于本申请上述方法的另一个实施例中,在所述获取扫描设备发送的与所述控制服务器相关联业务网络下的各哑终端信息之后,还包括:
获取本地预存的哑终端列表,所述哑终端列表中记录有在所述当前时间周期之前,在所述控制服务器记录过的哑终端信息;
基于所有哑终端信息,对所述哑终端列表上存储的所述哑终端信息进行更新。
可选地,在基于本申请上述方法的另一个实施例中,在所述在当前时间周期中接收认证设备发送的待认证密码之前,还包括:
向所述认证设备发送加密协商指令,所述加密协商指令用于告知所述认证设备以所述预设加密策略对所述待认证哑终端进行认证。
其中,根据本申请实施例的一个方面,提供的一种哑终端的认证方法,应用于认证设备,方法包括:
在当前时间周期中,基于待认证哑终端的设备参数,以预设加密策略为所述待认证哑终端生成待认证密码;
将包含所述待认证密码的认证请求发送给控制服务器,所述认证请求用于请求所述控制服务器在所述当前时间周期内对所述待认证哑终端进行认证。
可选地,在基于本申请上述方法的另一个实施例中,所述在当前时间周期中,基于预设加密策略为待认证哑终端生成待认证密码,包括:
获取所述待认证哑终端对应的设备参数,以及用于表征所述当前时间周期的时间参数;
利用预设加密算法,为所述设备参数与所述时间参数生成对应的待认证密码。
可选地,在基于本申请上述方法的另一个实施例中,在所述基于预设加密策略为待认证哑终端生成待认证密码之前,还包括:
接收所述控制服务器发送的加密协商指令,所述加密协商指令用于告知所述认证备以所述预设加密策略对所述待认证哑终端进行认证。
可选地,在基于本申请上述方法的另一个实施例中,在所述将包含所述待认证密码的认证请求发送给控制服务器之后,还包括:
丢弃所述待认证密码。
其中,根据本申请实施例的一个方面,提供的一种哑终端的认证系统,应用于包含认证设备、待验证哑终端以及控制服务器的业务系统中,所述系统包括:
所述控制服务器,用于在当前时间周期基于所述待验证哑终端的设备参数,以所述预设加密策略为所述待验证哑终端生成对应的已生成密码,并将所述已生成密码与所述待认证哑终端之间的映射关系存储到数据库中;
所述认证设备,用于在所述当前时间周期基于所述待验证哑终端的设备参数,以预设加密策略为所述待认证哑终端生成待认证密码后,将包含所述待认证密码的认证请求发送给控制服务器;
所述控制服务器,还用于在接收到所述认证设备发送的待认证密码后,若检测到所述待认证密码与所述已生成密码相匹配,确定对所述待认证哑终端的认证通过。
可选地,在基于本申请上述系统的另一个实施例中,设备参数包括地址参数、版本参数以及型号参数的其中至少一种。
可选地,在基于本申请上述系统的另一个实施例中,所述认证设备为路由器或者交换机。
其中,根据本申请实施例的又一个方面,提供的一种哑终端的认证装置,应用于控制服务器,装置包括:
接收模块,用于在当前时间周期中接收认证设备发送的待认证密码,所述待认证密码为所述认证设备基于待认证哑终端的设备参数,以预设加密策略为所述待认证哑终端所生成的密码;
查找模块,用于从数据库中查找与所述待验证哑终端相关联的已生成密码,其中所述已生成密码为所述控制服务器在所述当前时间周期内,预先基于所述待认证哑终端的设备参数,以所述预设加密策略为所述待验证哑终端所生成的密码;
确定模块,用于若检测到所述待认证密码与所述已生成密码相匹配,确定对所述待认证哑终端的认证通过。
根据本申请实施例的又一个方面,提供的一种电子设备,包括:
存储器,用于存储可执行指令;以及
显示器,用于与所述存储器执行所述可执行指令从而完成上述任一所述哑终端的认证方法的操作。
根据本申请实施例的还一个方面,提供的一种计算机可读存储介质,用于存储计算机可读取的指令,所述指令被执行时执行上述任一所述哑终端的认证方法的操作。
本申请中,可以在控制服务器在当前时间周期中接收认证设备发送的待认证密码,待认证密码为认证设备基于预设加密策略为待认证哑终端所生成的密码;从数据库中查找与待验证哑终端相关联的已生成密码,其中已生成密码为控制服务器在当前时间周期内,预先基于预设加密策略为待验证哑终端所生成的密码;若检测到待认证密码与已生成密码相匹配,确定对待认证哑终端的认证通过。
通过应用本申请的技术方案,可以在每个时间周期内预先由控制服务器为每个哑终端生成专属的密码,并在该时间周期的随后时间由认证设备基于同样的加密策略为每个哑终端生成对应的密码并发送给控制服务器,以使后续由控制服务器根据两个密码的匹配程度判断该哑终端是否在该时间周期内被恶意终端所替代。从而一方面避免相关技术中出现的,由于业务系统中的哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。另一方面采用每个时间周期为哑终端动态调整密码信息的方案,也能够提升恶意用户的密码破解难度,进一步了保证哑终端的安全性。
下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本申请的实施例,并且连同描述一起用于解释本申请的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本申请,其中:
图1为本申请提出的相关技术中,包含哑终端的业务系统架构图;
图2为本申请提出的一种应用于控制服务器中的哑终端的认证方法的示意图;
图3为本申请提出的一种哑终端的认证方法的业务系统架构图;
图4为本申请提出的一种应用于认证设备中的哑终端的认证方法的示意图;
图5为本申请提出的另外一种哑终端的认证方法的业务系统架构图;
图6为本申请提出的另外一种哑终端的认证系统的示意图;
图7为本申请提出的一种哑终端的认证方法的整体流程示意图;
图8为本申请提出的电子装置的结构示意图;
图9为本申请提出的电子设备的结构示意图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,不作为对本申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
另外,本申请各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
需要说明的是,本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
下面结合图1-图7来描述根据本申请示例性实施方式的用于进行哑终端的认证方法。需要注意的是,下述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
本申请还提出一种哑终端的认证方法及认证系统。
随着诸如零信任网络在内的各个业务网络的不断发展,对业务网络中各类终端的安全认证也有了更高的要求。即开启以每个终端身份为核心,持续进行环境检测和信任评估,动态调整用户权限,实现最小化授权的技术方案。从而保证整体业务系统的访问安全性,最终实现数据安全。
如图1所示,以业务网络为零信任网络进行举例,相关技术的零信任网络中通常包含有交互式终端以及哑终端。可以理解的,交互式终端例如包括电脑、手机、PAD等具备普适性的交互式接入终端。而哑终端例如包括打印机、摄像头等自身系统具备一定封闭性的接入终端。
可以理解的,出于哑终端的智能处理效率有限,以及其自身系统具备封闭特性等原因。导致业务人员无法在哑终端上安装认证客户端,进而也就无法主动向安全认证设备发起身份认证。
一种方式中,上述方式导致哑终端的身份无法被安全认证设备所确认,从而也就无法对此类终端进行认证、授权及鉴权等,从而导致哑终端无法进行安全管理。
基于相关技术中的问题,本申请提出一种哑终端的认证方法的流程示意图。如图2所示,该方法应用于控制服务器,包括:
S101,在当前时间周期中接收认证设备发送的待认证密码,待认证密码为认证设备基于待认证哑终端的设备参数,以预设加密策略为待认证哑终端所生成的密码。
一种方式中,本申请实施例不对每个时间周期进行具体限定。例如可以为1小时,也可以为2小时等等。
一种方式中,本申请实施例的认证设备可以为路由器或者交换机。
另一种方式中,本申请实施例中的设备参数可以包括待认证哑终端的地址参数、版本参数以及型号参数的其中至少一种。
可以理解的,由于相关技术中的哑终端地址参数、版本参数以及型号参数等设备参数一般都是固定的,因此本申请实施例为解决哑终端无法进行安全认证的方案中,可以以IP地址、MAC地址等设备参数作为哑终端的身份特征及密码进行身份认证,由接入交换机或者路由器等设备替代哑终端,向控制服务器发起认证流程。
S102,从数据库中查找与待验证哑终端相关联的已生成密码,其中已生成密码为控制服务器在当前时间周期内,预先基于待认证哑终端的设备参数,以预设加密策略为待验证哑终端所生成的密码。
一种方式中,本申请实施例可以由控制服务器在一个时间周期中,预先为每个认证设备基于预设加密策略生成一个对应的密码(即已生成密码)。并在该时间周期后续的某个时间点,由认证设备以同样的预设加密策略为该待认证哑终端生成一个密码(即待认证密码)。
可以理解的,如果该待认证哑终端没有被其他恶意终端所恶意替代,那么两个加密主体(即控制服务器和认证设备)对同一个终端的设备参数以及加密策略所生成的密码信息也应该一致。因此本申请实施例在后续检测到待认证密码与已生成密码相匹配,即可确定对待认证哑终端的认证通过。
S103,若检测到待认证密码与已生成密码相匹配,确定对待认证哑终端的认证通过。
在此以认证设备为交换机,且交换机、待验证哑终端以及控制服务器均部署在零信任网络下举例对本申请提出的哑终端的认证方法进行说明:
首先,业务系统上的每个哑终端需要在零信任网络下的控制服务器上进行身份注册,作为示例的,哑终端A对应的注册信息至少包括如下内容:
哑终端A的账号参数、地址参数、版本参数以及型号参数、生产厂家、操作系统、位置信息等。
作为示例的,哑终端的地址参数可以包括IP地址(IPv4或者IPv6地址)、MAC地址等。
一种方式中,以当前时间周期为3:00-4:00为例,控制服务器可以在3:01时,基于哑终端A的MAC地址参数、IP地址参数以及用于表征当前时间周期的时间参数(3:00-4:00),经过MD5加密算法(或HASH算法等其它预设加密算法)为哑终端A生成对应的已生成密码A。
需要说明的是,不同时间周期对应的时间参数各不相同。例如当前时间周期的时间参数用于表征XX年XX月XX日(3:00-4:00)。而下一时间周期的时间参数用于表征XX年XX月XX日(4:00-5:00)。
一种方式中,控制服务器需要将哑终端A-已生成密码A的映射关系存储到零信任网络的数据库中。
进一步的,交换机同样在该当前时间周期内获取与其关联的所有哑终端(包含哑终端A)的设备参数。也即在交换机接收到哑终端A的MAC地址参数、IP地址参数之后,即可同样基于MAC地址参数、IP地址参数以及用于表征当前时间周期的时间参数(3:00-4:00),经过相同的MD5加密算法,为哑终端A生成对应的待认证密码A。
一种方式中,在交换机计算得到哑终端A对应的待认证密码A之后,即可将待认证密码发送给控制服务器。可以理解的,如果控制服务器检测到二者一致,则代表待认证哑终端未被其他设备所篡位,也即代表对该哑终端的认证通过。反之则生成相应的告警事件。
也就是说,本申请实施例需要由控制服务器每个小时(或2个小时等其他事件周期)更新一次每个哑终端的密码,并由认证设备每小时会触发一次每个哑终端的认证。
可以理解的,只有每个时间周期内二者的密码均保持一致,才能确保对哑终端的认证成功。
需要说明的是,本申请实施例需要保证控制服务器的密码更新在前(也即在第一时间点更新),接入交换机的认证触发在后(也即在第二时间点更新),才能实现两者的密码相同的目的。
通过应用本申请的技术方案,可以在每个时间周期内预先由控制服务器为每个哑终端生成专属的密码,并在该时间周期的随后时间由认证设备基于同样的加密策略为每个哑终端生成对应的密码并发送给控制服务器,以使后续由控制服务器根据两个密码的匹配程度判断该哑终端是否在该时间周期内被恶意终端所替代。从而一方面避免相关技术中出现的,由于业务系统中的哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。另一方面采用每个时间周期为哑终端动态调整密码信息的方案,也能够提升恶意用户的密码破解难度,进一步了保证哑终端的安全性。方式所导致的,存储系统恢复时间较慢的弊端。
可选地,在基于本申请上述方法的另一个实施例中,在当前时间周期中接收认证设备发送的待认证密码之前,还包括:
接收扫描设备在当前时间周期内扫描得到的,与控制服务器相关联的业务网络下的各哑终端信息;
基于每个哑终端信息中包含的设备参数,以预设加密策略为每一个哑终端信息生成对应的已生成密码;
建立每个哑终端与对应已生成密码之间的映射关系,并将映射关系存储到数据库中。
一种方式中,本申请实施例利用扫描设备获知业务网络下的各哑终端信息。
作为示例的,扫描设备可以为扫描APP。其中,扫描APP多安装在开放交互式系统,在其上可以安装零信任客户端,进行身份认证。在控制服务器上对扫描APP进行身份化管理,并对其进行授权。
一种方式中,扫描APP的身份ID及密码可以进行复杂化设置,以提升抗攻击的能力。如身份ID为scanH3C&%Beijing2023等,密码可以根据管理员的要求进行数字、大小写字母、特殊字符等的组合,提升破解的复杂度。
另一种方式中,本申请实施例利用扫描APP的方式可以为利用其发现整个网络中的哑终端,由于哑终端的IP地址在网络规划过程中常常是进行预先的地址规划,如图3所示,哑终端的地址范围是192.168.1.1-192.168.1.25。
进一步的,扫描APP可以对该地址范围内的哑终端进行扫描及报文交互。扫描APP在认证通过后,会获取到授予的哑终端的访问权限。可以理解的,其在通过控制服务器对哑终端进行扫描时,交互报文才能被控制网关放行;否则,若无控制服务器的授权,扫描APP无法对哑终端进行访问,从而达到充分利用先认证后访问的特性,避免因为扫描APP的应用开通特殊权限而引入恶意终端带来的安全风险。
可选地,在基于本申请上述方法的另一个实施例中,基于预设加密策略,为每一个哑终端信息生成对应的已生成密码,包括:
获取哑终端对应的设备参数,以及用于表征当前时间周期的时间参数;
利用预设加密算法,为设备参数与时间参数生成对应的已生成密码。
可选地,在基于本申请上述方法的另一个实施例中,在获取扫描设备发送的与控制服务器相关联的业务网络下的各哑终端信息之后,还包括:
获取本地预存的哑终端列表,哑终端列表中记录有在当前时间周期之前,在控制服务器记录过的哑终端信息;
基于所有哑终端信息,对哑终端列表上存储的哑终端信息进行更新。
一种方式中,在控制服务器接收到扫描设备发送的,业务网络下的各哑终端信息之后,控制服务器对接收到的哑终端信息可以采取如下两种处理方式,其中包括:
第一种方式:
对哑终端列表中已存在的哑终端信息进行身份信息更新:
作为示例的,本申请实施例可以以哑终端的MAC地址作为关键字检索工作数据库账号,对于已经存在的哑终端,比对MAC、IP、设备信息描述、其他信息等描述,以确保哑终端信息的唯一性。
一种方式中,控制服务器在对哑终端信息进行身份信息更新之后,即可根据HASH算法等预设加密算法,以哑终端的MAC地址、IP地址,加上日期小时等时间参数作为加密基础从而形成已生成密码并更新到数据库中。
可以理解的,经过上述操作相当于控制服务器对每个哑终端的密码每隔一个时间周期即更新一次,密码的安全性会得到极大的提升。
第二种方式:
作为示例的,本申请实施例可以以哑终端的MAC地址作为关键字检索工作数据库账号,若没有发现,说明此哑终端为新增。
一种方式中,对于新增的哑终端信息来说,控制服务器可以不将其放在数据库中,只会放置到临时数据库中,也即不参与哑终端的身份认证流程。进一步的,新增哑终端的信息必须通过管理员确认,对相关信息进行核实,如终端的系统信息、位置信息等,确认信息正确性后,由管理员手动确认哑终端合法性,将其身份信息从临时数据库转移到工作数据库中,此哑终端才能够参与身份认证,上线工作。
可选地,在基于本申请上述方法的另一个实施例中,在当前时间周期中接收认证设备发送的待认证密码之前,还包括:
向认证设备发送加密协商指令,加密协商指令用于告知认证设备以预设加密策略对待认证哑终端进行认证。
可以理解的,由于控制服务器和认证设备必须采用同样的数据(即同样的设备参数)以及同样的加密算法才可以在后续执行二者的一致性比对。因此本申请实施例需要由控制服务器首先向认证设备发送一个用于告知认证设备以预设加密策略对待认证哑终端进行认证的加密协商指令。以使二者先对预设加密策略达成统一。
基于相关技术中的问题,本申请提出一种哑终端的认证方法的流程示意图。如图4所示,该方法应用于认证设备,包括:
S201,在当前时间周期中,基于待认证哑终端的设备参数,以预设加密策略为待认证哑终端生成待认证密码。
一种方式中,本申请实施例的认证设备可以为路由器或者交换机。
S202,将包含待认证密码的认证请求发送给控制服务器,认证请求用于请求控制服务器在当前时间周期内对待认证哑终端进行认证。
一种方式中,本申请实施例可以由控制服务器在一个时间周期中,预先为每个认证设备基于预设加密策略生成一个对应的密码(即已生成密码)。并在该时间周期后续的某个时间点,由认证设备以同样的预设加密策略为该待认证哑终端生成一个密码(即待认证密码)。
可以理解的,如果该待认证哑终端没有被其他恶意终端所恶意替代,那么两个加密主体(即控制服务器和认证设备)对同一个终端的设备参数以及加密策略所生成的密码信息也应该一致。因此本申请实施例在后续检测到待认证密码与已生成密码相匹配,即可确定对待认证哑终端的认证通过。
作为示例的,本申请实施例不对每个时间周期进行具体限定。例如可以为1小时,也可以为2小时等等。
作为另一示例的,本申请实施例中的设备参数可以包括待认证哑终端的地址参数、版本参数以及型号参数的其中至少一种。
通过应用本申请的技术方案,可以在每个时间周期内预先由控制服务器为每个哑终端生成专属的密码,并在该时间周期的随后时间由认证设备基于同样的加密策略为每个哑终端生成对应的密码并发送给控制服务器,以使后续由控制服务器根据两个密码的匹配程度判断该哑终端是否在该时间周期内被恶意终端所替代。从而一方面避免相关技术中出现的,由于业务系统中的哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。另一方面采用每个时间周期为哑终端动态调整密码信息的方案,也能够提升恶意用户的密码破解难度,进一步了保证哑终端的安全性。
可选地,在基于本申请上述方法的另一个实施例中,在当前时间周期中,基于预设加密策略为待认证哑终端生成待认证密码,包括:
获取待认证哑终端对应的设备参数,以及用于表征当前时间周期的时间参数;
利用预设加密算法,为设备参数与时间参数生成对应的待认证密码。
可选地,在基于本申请上述方法的另一个实施例中,在基于预设加密策略为待认证哑终端生成待认证密码之前,还包括:
接收控制服务器发送的加密协商指令,加密协商指令用于告知认证备以预设加密策略对待认证哑终端进行认证。
可以理解的,由于控制服务器和认证设备必须采用同样的数据(即同样的设备参数)以及同样的加密算法才可以在后续执行二者的一致性比对。因此本申请实施例需要由控制服务器首先向认证设备发送一个用于告知认证设备以预设加密策略对待认证哑终端进行认证的加密协商指令。以使二者先对预设加密策略达成统一。
可选地,在基于本申请上述方法的另一个实施例中,在将包含待认证密码的认证请求发送给控制服务器之后,还包括:
丢弃待认证密码。
一种方式中,如图5所示,以当前时间周期为一个小时为例,控制服务器可以在每个小时的第5分钟时,基于哑终端B的MAC地址参数、IP地址参数以及用于表征当前时间周期的时间参数(例如为3:00-4:00),经过MD5加密算法(或HASH算法等其它预设加密算法)为哑终端B生成对应的已生成密码B。
一种方式中,控制服务器需要将哑终端A-已生成密码A的映射关系存储到与自身相关联的数据库中。
进一步的,认证设备在每个小时的第35分钟时,获取与其关联的所有哑终端(包含哑终端B)的设备参数。也即在认证设备接收到哑终端B的MAC地址参数、IP地址参数之后,即可同样基于MAC地址参数、IP地址参数以及用于表征当前时间周期的时间参数(例如为3:00-4:00),经过相同的MD5加密算法,为哑终端B生成对应的待认证密码B。
一种方式中,在认证设备计算得到哑终端B对应的待认证密码B之后,即可将待认证密码发送给控制服务器。可以理解的,如果控制服务器检测到二者一致,则代表待认证哑终端未被其他设备所篡位,也即代表对该哑终端的认证通过。反之则生成相应的告警事件。
可以理解的,认证设备通过周期性的与控制服务器进行交互认证,从而实现对每个哑终端的身份化管理,进而满足哑终端能够如其他交互式终端一样的身份管理及认证授权的功能需求。
基于相关技术中的问题,本申请提出一种哑终端的认证系统的架构示意图。如图6所示,该方法应用于包含认证设备、待验证哑终端以及控制服务器的业务系统中,包括:
控制服务器,用于在当前时间周期基于待验证哑终端的设备参数,以预设加密策略为待验证哑终端生成对应的已生成密码,并将已生成密码与待认证哑终端之间的映射关系存储到数据库中;
认证设备,用于在当前时间周期基于待验证哑终端的设备参数,以预设加密策略为待认证哑终端生成待认证密码后,将包含待认证密码的认证请求发送给控制服务器;
控制服务器,还用于在接收到认证设备发送的待认证密码后,若检测到待认证密码与已生成密码相匹配,确定对待认证哑终端的认证通过。
其中,设备参数包括地址参数、版本参数以及型号参数的其中至少一种。认证设备为路由器或者交换机。
通过应用本申请的技术方案,可以在每个时间周期内预先由控制服务器为每个哑终端生成专属的密码,并在该时间周期的随后时间由认证设备基于同样的加密策略为每个哑终端生成对应的密码并发送给控制服务器,以使后续由控制服务器根据两个密码的匹配程度判断该哑终端是否在该时间周期内被恶意终端所替代。从而一方面避免相关技术中出现的,由于业务系统中的哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。另一方面采用每个时间周期为哑终端动态调整密码信息的方案,也能够提升恶意用户的密码破解难度,进一步了保证哑终端的安全性。
另外一种方式中,如图7所示,为本申请实施例提出的哑终端的认证方法的整体流程示意图,其中包括:
步骤1、控制服务器向认证设备发送加密协商指令。
其中,加密协商指令用于告知认证设备以预设加密策略对待认证哑终端进行认证的加密协商指令。
作为示例的,预设加密策略可以为以预设加密算法,对待认证哑终端的设备参数以及用于表征当前时间周期的时间参数进行加密运算的策略。
步骤2、控制服务器接收扫描设备在当前时间周期内扫描得到的,与控制服务器相关联的业务网络下的各哑终端信息。
作为示例的,扫描设备可以为扫描APP。
步骤3、控制服务器获取哑终端对应的设备参数,以及用于表征当前时间周期的时间参数。
作为示例的,设备参数可以为MAC地址参数、IP地址参数、版本参数以及型号参数、生产厂家、操作系统、位置信息等
步骤4、控制服务器在当前时间周期的第一时间点,利用预设加密算法,为设备参数与时间参数生成对应的已生成密码。
作为示例的,当前时间周期的第一时间点可以为该时间周期内的第5分钟或第10分钟等等。
步骤5、控制服务器建立每个哑终端与对应已生成密码之间的映射关系,并将映射关系存储到数据库中。
步骤6、认证设备在当前时间周期的第二时间点,基于待验证哑终端的设备参数,以预设加密策略为待认证哑终端生成待认证密码。
作为示例的,当前时间周期的第二时间点可以为该时间周期内的第35分钟或第45分钟等等。
步骤7、认证设备将包含待认证密码的认证请求发送给控制服务器。
步骤8、控制服务器从数据库中查找与待验证哑终端相关联的已生成密码。
步骤9、控制服务器检测到待认证密码与已生成密码相匹配,确定对待认证哑终端的认证通过。
通过应用本申请的技术方案,可以在每个时间周期内预先由控制服务器为每个哑终端生成专属的密码,并在该时间周期的随后时间由认证设备基于同样的加密策略为每个哑终端生成对应的密码并发送给控制服务器,以使后续由控制服务器根据两个密码的匹配程度判断该哑终端是否在该时间周期内被恶意终端所替代。从而一方面避免相关技术中出现的,由于业务系统中的哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。另一方面采用每个时间周期为哑终端动态调整密码信息的方案,也能够提升恶意用户的密码破解难度,进一步了保证哑终端的安全性。
可选的,在本申请的另外一种实施方式中,如图8所示,本申请还提供一种哑终端的认证装置。应用于控制服务器,包括:
检测模块301,用于接收模块,用于在当前时间周期中接收认证设备发送的待认证密码,所述待认证密码为所述认证设备基于待认证哑终端的设备参数,以预设加密策略为所述待认证哑终端所生成的密码;
查找模块302,用于从数据库中查找与所述待验证哑终端相关联的已生成密码,其中所述已生成密码为所述控制服务器在所述当前时间周期内,预先基于所述待认证哑终端的设备参数,以所述预设加密策略为所述待验证哑终端所生成的密码;
确定模块303,用于若检测到所述待认证密码与所述已生成密码相匹配,确定对所述待认证哑终端的认证通过。
通过应用本申请的技术方案,可以在每个时间周期内预先由控制服务器为每个哑终端生成专属的密码,并在该时间周期的随后时间由认证设备基于同样的加密策略为每个哑终端生成对应的密码并发送给控制服务器,以使后续由控制服务器根据两个密码的匹配程度判断该哑终端是否在该时间周期内被恶意终端所替代。从而一方面避免相关技术中出现的,由于业务系统中的哑终端无法主动发起身份认证请求进而导致无法对其进行安全认证的问题。另一方面采用每个时间周期为哑终端动态调整密码信息的方案,也能够提升恶意用户的密码破解难度,进一步了保证哑终端的安全性。方式所导致的,存储系统恢复时间较慢的弊端。
在本申请的另外一种实施方式中,查找模块302,用于:
接收扫描设备在所述当前时间周期内扫描得到的,与所述控制服务器相关联业务网络下的各哑终端信息;
基于每个哑终端信息中包含的设备参数,以所述预设加密策略为每一个哑终端信息生成对应的已生成密码;
建立每个哑终端与对应已生成密码之间的映射关系,并将所述映射关系存储到所述数据库中。
在本申请的另外一种实施方式中,查找模块302,用于:
获取所述哑终端对应的设备参数,以及用于表征所述当前时间周期的时间参数;
利用预设加密算法,为所述设备参数与所述时间参数生成对应的已生成密码。
在本申请的另外一种实施方式中,查找模块302,用于:
获取本地预存的哑终端列表,所述哑终端列表中记录有在所述当前时间周期之前,在所述控制服务器记录过的哑终端信息;
基于所有哑终端信息,对所述哑终端列表上存储的所述哑终端信息进行更新。
在本申请的另外一种实施方式中,查找模块302,用于:
向所述认证设备发送加密协商指令,所述加密协商指令用于告知所述认证设备以所述预设加密策略对所述待认证哑终端进行认证。
本申请实施方式还提供一种电子设备,以执行上述哑终端的认证方法。请参考图9,其示出了本申请的一些实施方式所提供的一种电子设备的示意图。如图9所示,电子设备3包括:处理器300,存储器301,总线302和通信接口303,所述处理器300、通信接口303和存储器301通过总线302连接;所述存储器301中存储有可在所述处理器300上运行的计算机程序,所述处理器300运行所述计算机程序时执行本申请前述任一实施方式所提供的哑终端的认证方法。
其中,存储器301可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口303(可以是有线或者无线)实现该装置网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线302可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器301用于存储程序,所述处理器300在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述视频传输方法可以应用于处理器300中,或者由处理器300实现。
处理器300可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器300中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器300可以是通用处理器,包括处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器301,处理器300读取存储器301中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的哑终端的认证方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (10)
1.一种哑终端的认证方法,其特征在于,应用于控制服务器,包括:
在当前时间周期中接收认证设备发送的待认证密码,所述待认证密码为所述认证设备基于待认证哑终端的设备参数,以预设加密策略为所述待认证哑终端所生成的密码;
从数据库中查找与所述待验证哑终端相关联的已生成密码,其中所述已生成密码为所述控制服务器在所述当前时间周期内,预先基于所述待认证哑终端的设备参数,以所述预设加密策略为所述待验证哑终端所生成的密码;
若检测到所述待认证密码与所述已生成密码相匹配,确定对所述待认证哑终端的认证通过。
2.如权利要求1所述的方法,其特征在于,在所述在当前时间周期中接收认证设备发送的待认证密码之前,还包括:
接收扫描设备在所述当前时间周期内扫描得到的,与所述控制服务器相关联业务网络下的各哑终端信息;
基于每个哑终端信息中包含的设备参数,以所述预设加密策略为每一个哑终端信息生成对应的已生成密码;
建立每个哑终端与对应已生成密码之间的映射关系,并将所述映射关系存储到所述数据库中。
3.如权利要求2所述的方法,其特征在于,所述基于每个哑终端信息中包含的设备参数,以所述预设加密策略为每一个哑终端信息生成对应的已生成密码,包括:
获取所述哑终端对应的设备参数,以及用于表征所述当前时间周期的时间参数;
利用预设加密算法,为所述设备参数与所述时间参数生成对应的已生成密码。
4.如权利要求2所述的方法,其特征在于,在所述基于每个哑终端信息中包含的设备参数,以所述预设加密策略为每一个哑终端信息生成对应的已生成密码之前,还包括:
获取本地预存的哑终端列表,所述哑终端列表中记录有在所述当前时间周期之前,在所述控制服务器记录过的哑终端信息;
基于所有哑终端信息,对所述哑终端列表上存储的所述哑终端信息进行更新。
5.如权利要求1或2所述的方法,其特征在于,在所述在当前时间周期中接收认证设备发送的待认证密码之前,还包括:
向所述认证设备发送加密协商指令,所述加密协商指令用于告知所述认证设备以所述预设加密策略对所述待认证哑终端进行认证。
6.一种哑终端的认证方法,其特征在于,应用于认证设备,包括:
在当前时间周期中,基于待认证哑终端的设备参数,以预设加密策略为所述待认证哑终端生成待认证密码;
将包含所述待认证密码的认证请求发送给控制服务器,所述认证请求用于请求所述控制服务器在所述当前时间周期内对所述待认证哑终端进行认证。
7.如权利要求6所述的方法,其特征在于,所述在当前时间周期中,基于预设加密策略为待认证哑终端生成待认证密码,包括:
获取所述待认证哑终端对应的设备参数,以及用于表征所述当前时间周期的时间参数;
利用预设加密算法,为所述设备参数与所述时间参数生成对应的待认证密码。
8.如权利要求6或7所述的方法,其特征在于,在所述基于预设加密策略为待认证哑终端生成待认证密码之前,还包括:
接收所述控制服务器发送的加密协商指令,所述加密协商指令用于告知所述认证备以所述预设加密策略对所述待认证哑终端进行认证。
9.如权利要求6所述的方法,其特征在于,在所述将包含所述待认证密码的认证请求发送给控制服务器之后,还包括:
丢弃所述待认证密码。
10.一种哑终端的认证系统,其特征在于,应用于包含认证设备、待验证哑终端以及控制服务器的业务系统中,所述系统包括:
所述控制服务器,用于在当前时间周期基于所述待验证哑终端的设备参数,以所述预设加密策略为所述待验证哑终端生成对应的已生成密码,并将所述已生成密码与所述待认证哑终端之间的映射关系存储到数据库中;
所述认证设备,用于在所述当前时间周期基于所述待验证哑终端的设备参数,以预设加密策略为所述待认证哑终端生成待认证密码后,将包含所述待认证密码的认证请求发送给控制服务器;
所述控制服务器,还用于在接收到所述认证设备发送的待认证密码后,若检测到所述待认证密码与所述已生成密码相匹配,确定对所述待认证哑终端的认证通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311491889.3A CN117240606A (zh) | 2023-11-10 | 2023-11-10 | 哑终端的认证方法及认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311491889.3A CN117240606A (zh) | 2023-11-10 | 2023-11-10 | 哑终端的认证方法及认证系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117240606A true CN117240606A (zh) | 2023-12-15 |
Family
ID=89084487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311491889.3A Pending CN117240606A (zh) | 2023-11-10 | 2023-11-10 | 哑终端的认证方法及认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117240606A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN106789986A (zh) * | 2016-12-08 | 2017-05-31 | 浙江宇视科技有限公司 | 监控设备认证方法及装置 |
| CN110602130A (zh) * | 2019-09-24 | 2019-12-20 | 中盈优创资讯科技有限公司 | 终端认证系统及方法、设备端、认证服务器 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN112637373A (zh) * | 2020-11-17 | 2021-04-09 | 新华三技术有限公司合肥分公司 | 一种保持哑终端在线的方法及设备 |
| CN115714678A (zh) * | 2022-11-10 | 2023-02-24 | 北京北信源软件股份有限公司 | 终端设备的认证方法及装置 |
-
2023
- 2023-11-10 CN CN202311491889.3A patent/CN117240606A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN106789986A (zh) * | 2016-12-08 | 2017-05-31 | 浙江宇视科技有限公司 | 监控设备认证方法及装置 |
| CN110602130A (zh) * | 2019-09-24 | 2019-12-20 | 中盈优创资讯科技有限公司 | 终端认证系统及方法、设备端、认证服务器 |
| CN112637373A (zh) * | 2020-11-17 | 2021-04-09 | 新华三技术有限公司合肥分公司 | 一种保持哑终端在线的方法及设备 |
| CN112615829A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种终端接入认证方法及系统 |
| CN115714678A (zh) * | 2022-11-10 | 2023-02-24 | 北京北信源软件股份有限公司 | 终端设备的认证方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108737418B (zh) | 一种基于区块链的身份认证方法及系统 | |
| US8064598B2 (en) | Apparatus, method and computer program product providing enforcement of operator lock | |
| TWI592051B (zh) | 網路輔助之詐欺偵測裝置及方法 | |
| CN109639661B (zh) | 服务器证书更新方法、装置、设备及计算机可读存储介质 | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
| CN110213276B (zh) | 一种微服务架构下的授权验证方法、服务器、终端及介质 | |
| CN111526159B (zh) | 建立数据连接的方法、装置、终端设备及存储介质 | |
| JP2016524248A (ja) | 身元情報の窃盗又は複製行為から保護する方法及びシステム | |
| JP2013532394A (ja) | 複数のクライアントを有する電子ネットワークにおける遠隔保守のためのシステム及び方法 | |
| CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| EP4231680A1 (en) | Identity authentication system, method and apparatus, device, and computer readable storage medium | |
| WO2018010480A1 (zh) | eSIM卡锁网方法、终端及锁网认证服务器 | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| CN114444134A (zh) | 一种数据使用授权方法、系统及装置 | |
| CN111800426A (zh) | 应用程序中原生代码接口的访问方法、装置、设备及介质 | |
| CN112468497B (zh) | 区块链的终端设备授权认证方法、装置、设备及存储介质 | |
| CN113992387B (zh) | 资源管理方法、装置、系统、电子设备和可读存储介质 | |
| CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 | |
| CN117240606A (zh) | 哑终端的认证方法及认证系统 | |
| US20190289090A1 (en) | Message Push Method and Terminal | |
| CN112866987B (zh) | 组网验证方法、设备及计算机可读存储介质 | |
| JP2005328373A (ja) | ネットワークセキュリティシステム | |
| US11245698B2 (en) | Registration system and registration method | |
| EP4336433A1 (en) | User data management method and related device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |