CN117394973A - 协同验证方法、协同认证方法、运营商设备、企业设备 - Google Patents
协同验证方法、协同认证方法、运营商设备、企业设备 Download PDFInfo
- Publication number
- CN117394973A CN117394973A CN202210780513.3A CN202210780513A CN117394973A CN 117394973 A CN117394973 A CN 117394973A CN 202210780513 A CN202210780513 A CN 202210780513A CN 117394973 A CN117394973 A CN 117394973A
- Authority
- CN
- China
- Prior art keywords
- trust
- trust domain
- terminal
- domain
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 123
- 238000012795 verification Methods 0.000 claims abstract description 209
- 238000012790 confirmation Methods 0.000 claims description 38
- 238000004590 computer program Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 abstract description 23
- 238000001514 detection method Methods 0.000 abstract description 8
- 238000012546 transfer Methods 0.000 abstract description 7
- 230000007246 mechanism Effects 0.000 abstract description 5
- 101000945093 Homo sapiens Ribosomal protein S6 kinase alpha-4 Proteins 0.000 description 41
- 102100033644 Ribosomal protein S6 kinase alpha-4 Human genes 0.000 description 41
- 238000007726 management method Methods 0.000 description 35
- 230000004044 response Effects 0.000 description 25
- 101000945096 Homo sapiens Ribosomal protein S6 kinase alpha-5 Proteins 0.000 description 18
- 102100033645 Ribosomal protein S6 kinase alpha-5 Human genes 0.000 description 18
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种协同验证方法、协同认证方法、运营商设备、企业设备、终端、中继设备、存储介质,协同验证方法通过建立第二信任域与第一信任域的信任协同关系,第一信任域、第二信任域分别与终端建立信任关系,从而建立终端、第一信任域与第二信任域之间的信任传递机制,终端在访问目标资源时,由第一信任域对终端进行验证,第一信任域将完成第二信任域的相关信息验证,然后将访问请求转发至第二信任域,再由第二信任域对终端进行验证。在此过程中,第一信任域对终端进行验证时,完成了第二信任的相关信息验证,从而实现近源检测和防护,进而提高了第二信任域的安全性。
Description
技术领域
本申请实施例涉及网络通信安全领域,具体而言,涉及一种协同验证方法、协同认证方法、运营商设备、企业设备、终端、中继设备、存储介质。
背景技术
网络访问控制的基础是信任,在传统移动网络中,网络端(例如,运营商网络)对用户终端进行入网认证,并作为管道承载用户终端与服务间的业务认证,用户终端与网络端构成二元信任模型。用户终端在网络端和服务端(例如,企业端)分别完成了一次独立的身份认证,例如,网络系统对用户终端的认证,服务端对用户终端的认证。
目前,在基于二元信任模式的攻击防御中,由于用户终端访问资源进行验证时,网络端与服务端分别独立地对用户终端的访问请求进行验证,这种验证方式无法实现针对访问资源时的恶意攻击进行近源检测和防护,导致服务端的安全性降低,因此,如何提高服务端的安全性是当下亟待讨论和解决的问题。
发明内容
本申请实施例提供一种协同验证方法、协同认证方法、运营商设备、企业设备、终端、中继设备、存储介质,旨在提高服务端的安全性。
第一方面,本申请实施例提供一种协同验证方法,应用于第一信任域,所述方法包括:建立与第二信任域的第一信任协同关系:获取终端发送的访问请求,根据所述第一信任协同关系与所述访问请求,对所述终端进行访问验证,使得在第一信任域完成所述第二信任域的相关信息验证。
第二方面,本申请实施例提供一种协同认证方法,应用于第二信任域,所述方法包括:建立与至少一个第一信任域的第二信任协同关系;对终端进行接入认证,得到第二认证结果,根据所述第二认证结果建立与所述终端的第二信任关系;根据所述第二信任关系与所述第二信任协同关系,向所述终端发送第二信任凭证信息;其中,所述第二信任凭证信息用于所述第一信任域完成所述第二信任域的相关信息验证。
第三方面,本申请实施例提供一种协同验证方法,应用于终端,所述方法包括:
向第一信任域发送访问请求,所述访问请求中携带有终端信息、目标资源信息、信任域信息和待验证凭证信息,其中所述待验证凭证信息根据第二信任域或所述第一信任域发送的第二信任凭证信息得到,所述第二信任凭证信息根据所述第一信任域生成的第二验证信息得到,其中,所述第二验证信息在所述第一信任域与所述第二信任域建立信任协同关系后由所述第一信任域生成。
第四方面,本申请实施例提供一种协同验证方法,应用于中继网络,所述方法包括:
建立与第一信任域的第三信任协同关系;基于所述第三信任协同关系,建立与第二信任域的第四信任协同关系;获取由所述第一信任域发送的访问请求,其中,所述访问请求为所述第一信任域完成对所述中继设备的相关信息验证后转发;根据所述第二信任协同关系与所述访问请求,对所述终端进行验证。
第五方面,本申请实施例提供一种运营商设备,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现第一方面的协同验证方法。
第六方面,本申请实施例提供一种企业设备,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现第二方面的协同认证方法。
第七方面,本申请实施例提供一种终端,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现第三方面的协同验证方法。
第八方面,本申请实施例提供一种中继设备,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现第四方面的协同验证方法。
第九方面,本申请实施例提供一种计算机存储介质,包括计算机程序或计算机指令,所述计算机程序或所述计算机指令存储在计算机可读存储介质中,计算机设备的处理器从所述计算机可读存储介质读取所述计算机程序或所述计算机指令,所述处理器执行所述计算机程序或所述计算机指令,使得所述计算机设备执行第一方面、第三方面与第四方面的协同验证方法,或执行第二方面的协同认证方法。
本申请实施例提供的协同验证方法,通过建立第二信任域与第一信任域的信任协同关系,第一信任域、第二信任域分别与终端建立信任关系,从而建立终端、第一信任域与第二信任域之间的信任传递机制,终端在访问目标资源时,由第一信任域对终端进行验证,第一信任域将完成第二信任域的相关信息验证,然后将访问请求转发至第二信任域,再由第二信任域对终端进行验证。在此过程中,第一信任域对终端进行验证时,完成了第二信任的相关信息验证,从而实现近源检测和防护,进而提高了第二信任域的安全性。
附图说明
图1为本申请一实施例提供的协同验证方法的应用场景示意图;
图2为本申请一实施例提供的协同验证方法的流程示意图;
图3为本申请一实施例提供的协同验证方法的流程示意图;
图4为本申请一实施例提供的协同验证方法的流程示意图;
图5为本申请一实施例提供的协同认证方法的流程示意图;
图6为本申请一实施例提供的协同验证方法的流程示意图;
图7为本申请一实施例提供的协同验证方法的流程示意图;
图8为本申请一实施例提供的协同验证方法的流程示意图;
图9为本申请一实施例提供的协同验证方法的流程示意图;
图10为本申请一实施例提供的协同验证方法的流程示意图;
图11为本申请一实施例提供的协同验证方法的流程示意图;
图12为本申请一实施例提供的协同验证方法的流程示意图。
具体实施方式
需要说明的是,虽然在系统示意图中进行了单元模块划分,在流程示意图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程示意图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例的描述中,除非另有明确的限定,设置、安装、连接等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本申请实施例中的具体含义。本申请实施例中,“进一步地”、“示例性地”或者“可选地”等词用于表示作为例子、例证或说明,不应被解释为比其它实施例或设计方案更优选或更具有优势。使用“进一步地”、“示例性地”或者“可选地”等词旨在以具体方式呈现相关概念。
网络访问控制的基础是信任,在传统移动网络中,网络端(例如,运营商网络)对用户入网认证,并作为管道承载用户与服务间的业务认证,用户终端与网络端构成二元信任模型。用户终端在网络端和服务端(例如,企业端)分别完成了一次独立的身份认证,例如,网络系统对用户终端的认证,服务端对用户终端的认证。
目前,在基于二元信任模式的攻击防御中,由于用户终端访问资源进行验证时,网络端与服务端分别独立地对用户终端的访问请求进行验证,这种验证方式无法实现针对访问资源时的恶意攻击进行近源检测和防护,导致服务端的安全性降低。
基于此,本申请实施例提出了一种协同验证方法、协同认证方法、运营商设备、企业设备、终端、中继设备、存储介质,通过通过建立第二信任域与第一信任域的信任协同关系,第一信任域、第二信任域分别与终端建立信任关系,从而建立终端、第一信任域与第二信任域之间的信任传递机制,终端在访问目标资源时,由第一信任域对终端进行验证,第一信任域将完成第二信任域的相关信息验证,然后将访问请求转发至第二信任域,再由第二信任域对终端进行验证。在此过程中,第一信任域对终端进行验证时,完成了第二信任的相关信息验证,从而实现近源检测和防护,进而提高了第二信任域的安全性。
本申请实施例应用于第一信任域、第二信任域、第三信任域和/或终端,第一信任域可以是运营商网络,第二信任域可以是企业网络,第三信任域可以是中继网络、终端可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)或称为笔记本电脑、个人数字助理(Personal Digital Assistant,PDA)、掌上电脑、上网本、超级移动个人计算机(ultra-mobile personal computer,UMPC)、移动上网装置(MobileInternet Device,MID)、可穿戴式设备(Wearable Device)或车载设备(VUE)、行人终端(PUE)等终端侧设备,可穿戴式设备包括:手环、耳机、眼镜等。需要说明的是,在本申请实施例并不限定终端的具体类型。
图1为本申请实施例应用于第一信任域、第二信任域和终端的应用场景示意图。如图1所示,在第一信任域、第二信任域和终端之间建立信任传递机制,建立第一信任域第二信任域的第一协同关系,使在不同系统间共享对终端的认证结果,能够将传统的二元信任模型转换为多元信任模型。具体地,第一信任域与第二信任域建立第一信任协同关系,终端向第一信任域发送认证请求信息,从第一信任域获取信任,终端向第二信任域发送第二认证请求信息,从第二信任域获取信任,从而实现了终端、第一信任域与第二信任域之间建立信任传递机制,终端在访问目标资源时,由第一信任域首先对终端进行验证,第一信任域将完成第二信任域的相关信息验证,然后将访问请求转发至第二信任域,再由第二信任域对终端进行验证。在此过程中,第一信任域对终端进行验证时,完成了第二信任的相关信息验证,从而实现了近源检测和防护,进而提高了第二信任域的安全性,并且降低了第二信任域对终端验证时的数据里处理压力,提高了服务端验证的数据处理效率。
在另一实施例中,可以只由第一信任域对终端的访问请求进行验证,第二信任域不需要对终端的访问进行验证,第一信任域完成对终端的访问请求验证后,允许终端访问目标资源,因此,进一步在保证近源检测和防护的同时,进一步降低了第二信任域的数据处理压力。
图2为本申请一实施例提供的协同验证方法的流程示意图,如图2所示,协同验证方法应用于第一信任域,至少包括但不限于步骤S1000、步骤S2000。
步骤S1000:建立与第二信任域的第一信任协同关系。
步骤S2000:获取终端发送的访问请求,根据第一信任协同关系与访问请求,对终端进行访问验证,使得在第一信任域完成第二信任域的相关信息验证。
需要说明的是,第一信任域可以是接入网,例如运营商网络,第二信任域可以是服务网,例如,企业网络。当然,随着通信技术的发展,本实施例中第一信任域与第二信任域不仅限于存在于接入网与核心网,可根据网络升级情况进行调整。例如,第一信任域与第二信任域均处于核心网中,第一信任域属于第一级,第二信任域属于第二级。
在一些实施例中,第一信任域为一个。第二信任域在与第一信任域建立第一协同信任关系的过程中生成第二验证信息;终端接入第二信任域时进行接入认证,第二信任域根据终端身份信息与第二验证信息生成第二信任凭证信息。需要说明的是,该第二信任凭证信息由第二信任域生成。
在一些实施例中,第一信任域为多个,且第二信任域对终端进行接入认证过程中,第二信任域会获取终端发送的第一信任域的第一信任域标识,从而根据第一信任域标识得到对应的第二验证信息,该第二验证信息可以是由第一信任域生成,第二验证信息可以是秘钥、验证码、令牌、权证等。
在一些实施例中,第一信任域为多个,且第二信任域对终端进行接入认证过程中,第二信任域不会获取终端发送的第二信任域的第二信任域标识。第二信任域获取到终端发送的认请求,获取认证请求的上一跳地址,根据上一跳地址对多个第一信任域进行识别,得到目标信任域,将目标信任域的标识信息添加至终端发送的认证请求中,根据目标信任域的标识信息得到对应的第二验证信息,该第二验证信息可以是由第一信任域生成,第二验证信息可以是秘钥、验证码、令牌、权证等。
在一些实施例中,第一信任域与第二信任域建立第一信任协同关系的过程,可以在终端接入认证之前。
在一些实施例中,第一信任域与第二信任域建立第一信任协同关系的过程,可以在终端接入认证过程中,第二信任域需要获取终端在第一信任域的相关信息,例如,接入位置信息、终端类型信息。
在一些实施例中,第一信任域、第二信任域可以分别与中继信任域建立信任协同关系,从而通过信任传递,使得第一信任域与第二信任域形成第一信任协同关系。
在一些实施例中,终端访问的目标资源可以是服务标识或切片标识,则第一信任域与第二信任域需要对终端访问的服务标识或切片标识进行验证,因此,在终端与第二信任域建立第第二信任关系时,终端需要根据服务标识或切片标识与第二信任域建立第二信任关系。需要说明的是,服务或切片与企业网络比较而言,“粒度”更小,能够提供更精细化、定制化的服务,因此,终端若访问服务或切片时,需要对该服务标识或切片标识进行验证。
在一些实施例中,基于第一信任域与第二信任域已建立第一信任协同关系,终端只需要完成一次接入认证,由第一信任域对终端进行接入认证,第二信任域不需要对终端进行接入认证。具体地,第一信任域与第二信任域建立第一协同认证关系时,第一信任域会生成第二信任域对应的第二验证信息,在第一信任域对终端进行接入认证时,第一信任域可以通过据预设信任关系根据第二验证信息生成第二信任凭证信息。需要说明的是,该第二信任凭证信息由第一信任域生成。
具体地,步骤S1000至少包括以下步骤:步骤S1100、步骤S1200、步骤S1300。
步骤S1100:接收第二信任域发送的信任协同请求。
步骤S1200:根据预设信任关系与信任协同请求,得到信任协同结果。
步骤S1300:根据信任协同结果,向第二信任域发送信任协同确认信息,以建立与第二信任域的第一信任协同关系,其中,信任协同确认信息包括第二验证信息。
需要说明的是,本实施例中的第一验证信息、第二验证信息可以是秘钥、验证码、令牌、权证等。第一信任域首先接收第二信任域发送的信任协同请求,第一信任域根据第二信任域发送的信任协同请求,结合预设信任关系与第二信任域进行信任协同认证,得到信任协同结果,第一信任域根据信任协同结果向第二信任域发送协同确认信息,以建立与第二信任域的第一信任协同关系。终端访问目标资源时,第一信任域与第二信任域分别对终端进行验证。
图3为本申请一实施例提供的协同验证方法的流程示意图,如图3所示,在一些实施例中,第一信任域与第二信任域建立第一信任协同关系的过程,可以在终端接入认证之前。
具体地,第一信任域包括第一信任管理单元与第一信任验证单元,第二信任域包括第二信任管理单元与第二信任验证单元,第一信任管理单元启动后,向第一信任验证单元发送第一验证信息。其中,第一信任域可以是运营商网络,第一信任管理单元可以是运营商服务器(例如,运营商认证服务器、运营商秘钥服务器),第一信任验证单元可以是运营商网关;第二信任域可以是企业网络,第二信任管理单元可以是企业服务器(例如,企业认证服务器、企业秘钥服务器),第二信任验证单元可以是企业网关。
第一信任域与第二信任域进行信任协同认证,具体地,第二信任管理单元启动后,向第一信任管理单元发送信任协同请求;第一信任管理单元根据第一信任域与第二信任域之间的预设信任关系,确认两信任域可以建立信任协同关系,生成第二验证信息,向第二信任管理单元发送协同确认信息,该协同确认信息包括第二验证信息;第二信任管理单元收到第二验证信息,将第二信任验证信息同步给第二信任验证单元。其中,信任协同请求包括第二信任域标识。
终端与第一信任域进行接入认证,具体地,终端向第一信任域的第一信任管理单元发送第一认证请求信息,第一信任管理单元根据第一认证请求信息判断终端是否被允许接入,若终端被允许接入,第一信任管理单元向终端发送第一响应消息,完成第一信任域对终端的接入认证,以建立第一信任域与终端的第一信任关系。其中,第一响应消息包括第一信任凭证信息。
终端与第二信任域进行接入认证,具体地,终端向第二信任域第二信任管理单元发送第二认证请求信息,请求第二信任域对其进行认证;第二信任管理单元在对终端进行认证,生成第二信任凭证信息,并向终端发送第二响应消息,完成第二信任域对终端的接入认证,建立第二信任域与终端的第二信任关系。终端接收第二信任域发送的第二响应消息。其中,第二响应消息包括第二信任凭证信息与第二信任域标识。
终端访问目标资源,根据第二响应消息生成待验证凭证信息,根据待验证凭证信息向第一信任域发送访问请求。第一信任域的第一信任验证单元接收该访问请求,根据访问请求中的终端标识信息、第二信任域标识、本地保存的第一验证信息等生成第一待匹配凭证信息,将第一待匹配凭证信息与待验证凭证信息进行匹配,若匹配,则将终端发送的访问请求发送至第二信任域。若不配,则拒绝放行该访问请求,或降低优先级处理。
第二信任域的第二信任验证单元接收该访问请求,根据访问请求中的终端标识与本地保存的第二验证信息生成第二待匹配凭证信息,并将第二待匹配凭证信息与待验证凭证信息进行匹配,若匹配,则第二信任验证单元向目标资源转发该访问请求。若不匹配,则拒绝放行该访问请求,或降低优先级处理。
图4为本申请一实施例提供的协同验证方法的流程示意图,如图4所示,在一些实施例中,第一信任域与第二信任域建立第一信任协同关系的过程,可以在终端接入认证过程中。
具体地,步骤S1000至少包括以下步骤:步骤S1400、步骤S1500、步骤S1600。
步骤S1400:接收第二信任域发送的信任协同请求;
步骤S1500:根据预设信任关系、信任协同请求与终端的相关信息,得到信任协同结果;
步骤S1600:根据信任协同结果,向第二信任域发送信任协同确认信息,其中,信任协同确认信息包括终端的相关信息与第二验证信息。
需要说明的是,由于第一信任域与第二信任域的协同认证可以在第一信任域、第二信任域对终端进行接入认证之间进行,因此在第一信任域与第二信任域建立第一信任协同关系过程中,第二信任域向第一信任域发送信任协同请求,该信任协同请求包括终端的相关信息。第一信任域根据第二信任域发送的信任协同请求,结合预设信任关系与终端的相关信息进行信任协同认证,得到信任协同结果,第一信任域根据信任协同结果向第二信任域发送协同确认信息,以建立与第二信任域的第一信任协同关系。终端访问目标资源时,第一信任域与第二信任域分别对终端进行验证。
具体地,终端与第一信任域进行接入认证,具体地,终端向第一信任域的第一信任管理单元发送第一认证请求信息,第一信任管理单元根据第一认证请求信息判断终端是否被允许接入,若终端被允许接入,第一信任管理单元向终端发送第一响应消息,完成第一信任域对终端的接入认证,以建立第一信任域与终端的第一信任关系。其中,第一响应消息包括第一信任凭证信息。
终端向第二信任域的第二信任管理单元发送第二认证请求信息,请求第二信任域对其进行认证;第二信任域的第二信任管理单元接收第二认证请求信息,向第一信任域的第一信任管理单元发送信任协同请求,该信任协同请求包括终端的相关信息与第二信任域的第二信任域标识信息;第一信任管理单元接收信任协同请求,通过预设信任关系根据终端的身份信息查询终端的相关信息(例如,接入位置信息、终端类型信息、终端身份信息),并生成第二验证信息,向第二信任管理单元发送信任协同确认信息,其中,该信任协同确认信息包括终端的相关信息与第二验证信息等;第二信任管理单元接收信任协同确认信息,根据终端的相关信息,判断终端是否满足认证条件,若终端满足认证条件,则第二信任域对终端的第二认证结果为认证成功结果,则第二信任域与终端可以建立第二信任关系,第二信任管理单元根据终端身份信息与第二验证信息生成第二信任凭证信息,并向终端发送第二响应消息,完成第二信任域对终端的接入认证,以建立第二信任域与终端的第二信任关系。终端接收第二信任域发送的第二响应消息。其中,第二响应消息包括第二信任凭证信息与第二信任域标识。
终端访问目标资源,根据第二响应消息生成待验证凭证信息,根据待验证凭证信息向第一信任域发送访问请求。第一信任域的第一信任验证单元接收该访问请求,根据访问请求中的终端标识信息、第二信任域标识、本地保存的第一验证信息等生成第一待匹配凭证信息,将第一待匹配凭证信息与待验证凭证信息进行匹配,若匹配,则将终端发送的访问请求发送至第二信任域。若不配,则拒绝放行该访问请求,或降低优先级处理。第二信任域根据终端身份信息与第二验证信息对待验证凭证信息进行验证。其中,第二响应消息包括第二信任凭证与终端身份信息。
在一些实施例中,第一信任域为多个,该第二信任域可以使用不同的第二信任域标识连接多个第一信任域,第二信任域分别与不同的第一信任域建立信任协同关系,多个第一信任域为同一个第二信任域生成不同的第二验证信息,终端向第二信任域认证时,终端向第二信任域发送的第二认证请求中包括第一信任域的第一信任域标识,第二信任域根据第一信任域标识选择对应的第二验证信息,并生成第二信任凭证信息。终端根据第二信任凭证与终端身份信息生成待验证凭证信息,终端在访问目标资源时,第一信任域将根据终端身份信息、第二信任域标识与第一验证信息,对待验证凭证信息进行验证,若验证成功,则将访问请求发送至第二信任域,第二信任域根据终端身份信息与第二验证信息,对待验证凭证信息进行验证。
在一些实施例中,第一信任域为多个,第二信任域使用相同的第二信任域标识分别与不同的第一信任域建立信任协同关系,多个第一信任域分别为同一个第二信任域生成不同的第二验证信息。终端向第二信任域认证时,终端向第二信任域发送的第二认证请求中不包括第一信任域的第一信任域标识,由第二信任域的第二信任管理单元连接的第一信任域的地址识别出对应的目标信任域,得到目标信任域的标识信息,第二信任域根据目标信任域的标识信息选择对应的第二验证信息,生成第二信任凭证信息。终端根据第二信任凭证与终端身份信息生成待验证凭证信息,终端在访问目标资源时,第一信任域将根据终端身份信息、第二信任域标识与第一验证信息,对待验证凭证信息进行验证,若验证成功,则将访问请求发送至第二信任域,第二信任域根据终端身份信息与第二验证信息,对待验证凭证信息进行验证。
在一些实施例中,第二信任域在更精细化的安全防护要求下,需要基于业务的服务标识、切片标识进行验证,终端需要识别出访问请求中的服务标识或切片标识,并在第二信任域对终端进行接入认证,以及在业务访问请求中携带服务标识或切片标识,因此,终端向第二信任域发送的第二信任请求信息中包括服务标识或切片标识,第二信任域将根据服务标识或切片标识,结合终端身份信息、第二验证信息生成第二信任凭证,并将第二信任凭证发送至终端。终端根据第二信任凭证与终端身份信息生成待验证凭证信息,终端在访问目标资源时,第一信任域将根据终端身份信息、第二信任域标识、第一验证信息,以及服务标识或切片标识,对待验证凭证信息进行验证,若验证成功,则将访问请求发送至第二信任域,第二信任域根据终端身份信息、第二验证信息以及服务标识或切片标识,对待验证凭证信息进行验证。
在一些实施例中,为了简化验证的过程,在第二信任域与第二信任域建立第一信任协同挂你的前提下,终端只需要与第一信任域进行接入认证,获取第二验证信息,第二信任域不需要对终端进行接入认证。
在一些实施例中,第一信任域与第二信任域通过第三信任域互联,为了实现近源防护和多点验证,需要第一信任域与第三信任域、第三信任域与第二信任域之间分别建立信任协同关系,生成对应的第二信任凭证信息。
具体地,该协同验证方法还包括第三信任域,还包括步骤S3000。
步骤S3000:建立与第三信任域的第二信任协同关系,第二信任协同关系用于建立第二信任域与第三信任域的第三信任协同关系。
需要说明的是,第三信任域可以是中继网络,第一信任域与第三信任域建立第二信任协同关系,第二信任域与第三信任域建立第三信任协同关系,从而通过中继网络实现信任传递,使得第一信任域与第二信任域间接建立第一信任协同关系。
具体地,第三信任域向第一信任域发送信任协同请求,建立与第一信任域的第二信任协同关系,其中,第三信任域发送的信任协同请求中包括第三信任域的第三信任域标识(可以是中继网络的中继标识信息);第二信任域向第三信任域发送信任协同请求,建立与第三信任域的第三信任协同关系,其中,第三信任域发送的信任协同请求中包括第二信任域的第二信任域标识。
终端向第一信任域发送第一认证请求信息,第一信任域对终端进行接入认证,建立与终端的第一信任关系;终端向第二信任域发送第二认证请求信息,第二信任域对终端进行接入认证,建立终端的第二信任关系。
终端访问目标资源,第一信任域、第二信任域、第三信任域分别对终端的访问请求进行验证。具体地,包括以下步骤:步骤S2100、步骤S2200。
步骤S2100:根据第一信任协同关系、第二信任协同关系,对终端进行验证,使得在第一信任域完成对第二信任域的相关信息验证。
步骤S2200:将访问请求转发至第三信任域,使得在第三信任域完成对第二信任域的相关信息验证。
需要说明的是,访问请求包括终端身份信息、企业标识信息、中继标识信息与待验证凭证信息,根据访问请求与第一验证信息,生成第一待匹配凭证信息。具体地,第一信任域根据访问请求,得到终端身份信息、第二信任域标识与第三信任域标识,根据第三信任域标识与第一验证信息,生成第一待验证信息,根据第二信任域标识与第一待验证信息,生成第二待验证信息,根据终端身份信息与第二待验证信息,生成第二信任凭证信息,根据终端身份信息与第二信任证凭证信息,生成第一待匹配凭证信息。将第一待匹配凭证信息与待验证凭证信息进行匹配,若匹配,则将访问请求发送至第三信任域。该过程中根据第三信任域标识、第二信任域标识与第一待验证凭证信息,实现了在第一信任域完成了对第二信任域的相关信息验证,并将访问请求发送至第三信任域,使得在第三信任域完成对第二信任域的相关信息验证,实现近源检测和防护,进而提高了第二信任域的安全性。同时,第二信任域对终端验证时的数据处理量将降低,因此,降低了第二信任域对终端验证时的数据里处理压力,提高了服务端验证的数据处理效率。
本申请还提出了一种协同认证方法,应用于第二信任域。
图5为本申请一实施例提供的协同认证方法的流程示意图,如图4所示该协同认证方法至少包括以下步骤:步骤S4000、步骤S5000、步骤S6000。
步骤S4000:建立与至少一个第一信任域的第二信任协同关系;
步骤S5000:对终端进行接入认证,得到第二认证结果,根据第二认证结果建立与终端的第二信任关系;
步骤S6000:根据第二信任关系与第二信任协同关系,向终端发送第二信任凭证信息;其中,第二信任凭证信息用于第一信任域完成第二信任域的相关信息验证。
需要说明的是,本实施例中第一信任域与第二信任域不仅限于接入网与服务网,可根据产业链的需求进行调整。第一信任域可以是一个或多个。第一信任域可以在终端接入认证之前与第二信任域建立第一信任协同关系,也可以在终端接入认证的过程中与第二信任域建立第二信任协同关系。
在一些实施例中,参照图5,第一信任域可以在终端接入认证之前与第二信任域建立第一信任协同关系。
第一信任域与第二信任域进行信任协同认证,第二信任域向第一信任域发送信任协同请求,在第一信任域对第二信任域完成信任协同关系的确定后,第一信任域发送信任协同确认信息至第二信任域,第二信任域根据该协同确认信息,建立与第一信任域的第一信任协同关系,具体地,第二信任管理单元启动后,向第一信任管理单元发送信任协同请求;第一信任管理单元根据第一信任域与第二信任域之间的预设信任关系,确认两信任域可以建立信任协同关系,生成第二验证信息,向第二信任管理单元发送协同确认信息,该协同确认信息包括第二验证信息;第二信任管理单元收到第二验证信息,将第二信任验证信息同步给第二信任验证单元。其中,信任协同请求包括信任域标识信息。
第二信任域对终端进行接入认证,若认证成功,则向终端发送第二响应消息,具体地,终端向第二信任域第二信任管理单元发送第二认证请求信息,请求第二信任域对其进行认证;第二信任管理单元在对终端进行认证,生成第二信任凭证信息,并向终端发送第二响应消息,完成第二信任域对终端的接入认证,建立第二信任域与终端的第二信任关系。终端接收第二信任域发送的第二响应消息。其中,第二响应消息包括第二信任凭证信息与第二信任域标识。需要说明的是,该第二信任凭证信息由第二信任域生成。
第二信任域对终端进行验证时,根据第一信任域发送的访问请求、第二信任关系、第二信任协同关系,对终端进行验证。其中,第一信任域对终端发送的访问请求进行验证,验证成功后,将该访问请求转发至第二信任域,由第二信任域对终端进行验证。
在一些实施例中,第一信任域与第二信任域的协同认证可以在第一信任、第二信任域对终端进行接入认证之间进行,因此在第一信任域与第二信任域建立第一信任协同关系过程中,第二信任域向第一信任域发送信任协同请求,该信任协同请求包括终端的相关信息。第一信任域根据第二信任域发送的信任协同请求,根据第二信任域的预设信任关系与终端的相关信息,判断终端是否满足认证条件,若满足认证条件,通过预设信任关系根据终端的身份信息查询终端的相关信息(例如,接入位置信息、终端类型信息、终端身份信息),并生成第二验证信息,向第二信任域发送信任协同确认信息,其中,该信任协同确认信息包括第二信任域的第二信任域标识、终端的相关信息与第二验证信息等;第二信任域接收信任协同确认信息,根据终端的相关信息,判断终端是否满足认证条件,若终端满足认证条件,则第二信任域对终端的第二认证结果为认证成功结果,则第二信任域与终端可以建立第二信任关系;若第二认证结果为认证失败结果,则向终端返回认证失败的消息,则终端不满足第二信任域的接入条件。第二信任域根据终端身份信息与第二验证信息生成第二信任凭证信息,并向终端发送第二响应消息,完成第二信任域对终端的接入认证,以建立第二信任域与终端的第二信任关系。终端接收第二信任域发送的第二响应消息。终端访问目标资源时,第一信任域与第二信任域分别对终端进终端进行验证。在本实施例中,第二信任域通过终端的相关信息决策是否允许终端接入,从而在第一信任域与第二信任域建立信任关系的同时对终端进行认证,实现了第二信任域的访问控制。
在一些实施例中,第一信任域可以是多个,该协同认证方法还包括以下步骤:步骤S7000至步骤S8000。
步骤S7000:获取终端发送的认证请求,认证请求中携带有信任域标识。
步骤S8000:根据信任域标识,选择与信任域标识对应的至少一个第一信任域作为目标信任域,其中,目标信任域为对终端进行验证的信任域。
需要说明的是,第二信任域获取终端发送的认证请求,该认证请求包括信任域标识,该信任域标识可以是第二信任域标识或第三信任域标识;第二信任域根据该信任域标识选择对应的第一信任域,得到目标信任域,由目标信任域对终端进行验证。
在一些实施例中,第一信任域可以是多个,该协同认证方法还包括以下步骤:步骤S9000至步骤S10000。
步骤S9000:获取终端发送的认证请求。
步骤S10000:获取第一信任域的地址,根据地址对第一信任域进行识别,得到目标信任域;其中,目标信任域为对终端进行验证的信任域。
需要说明的是,第二信任域获取终端发送的认证请求,该认证请求不包括信任域标识,第二信任域获取第一信任域的地址,根据第一信任域的地址识别出对应的第一信任域,得到目标信任域,由目标信任域对终端进行验证。
在一些实施例中,该协同认证方法还包括第三信任域,该协同认证方法包括以下步骤:
步骤S11000:根据第一信任域与第三信任域之间的第三信任协同关系,建立与第三信任域的第四信任协同关系;其中,第四信任协同关系用于在第三信任域完成第二信任域的相关信息验证。
需要说明的是,第一信任域与第三信任域建立第三信任协同关系,根据该第三信任协同关系,第二信任域与第三信任域建立第四信任协同关系,从而在第三信任域在对终端进行验证过程中,第三信任域完成第二信任域的相关信息验证。其中,该第三信任域可以是中继网络。
本申请还提供了一种协同验证方法,应用于终端。
在一些实施例中,该终端可以与第一信任域建立第一信任关系,与第二信任域建立第二信任关系;第一信任域与第二信任域建立第一信任协同关系。终端访问目标资源,向第一信任域发送访问请求,访问请求中携带终端信息、目标资源信息、信任域信息和待验证凭证信息,该待验证凭证信息根据第二信任域或第一信任域发送的第二信任凭证信息得到,第二信任凭证信息根据第一信任域生成的第二验证信息得到,其中,第二验证信息在第一信任域与第二信任域建立信任协同关系后由第一信任域生成。该目标资源信息包括至少以下之一:应用标识、服务标识、切片标识。
本申请还提供一种协同验证方法,应用于中继设备,该中继网络与第一信信任域建立第三信任协同关系,并根据第三信任协同关系与第二信任域建立第四信任协同关系,获取由第一信任域发送的访问请求,其中,访问请求为在第三信任域完成第二信任域的相关信息验证后转发,第三信任域根据第二信任协同关系与访问请求,对终端进行验证。
下述示例能够进一步详细说明本申请实施例提供的协同验证方法。下述示例对终端与第一信任域、第二信任域、第三信任域进行接入认证,第一信任域、第二信任域、第三信任域对终端进行验证的过程进行详细描述。
其中,运营商网络包括第一运营商服务器与第一运营商网关;第二信任域包括企业网络;企业网络包括企业服务器与企业网关;第三信任域包括中继网络,中继网络包括中继服务器与中继网关。
示例1:
图6是本申请一实施例提供的协同验证方法的流程示意图,如图6所示。
步骤101-106为终端访问企业应用前的准备过程。
步骤101,运营商网关启动后,运营商服务器发送第一验证信息MSK1,运营商网关从运营商服务器获得验证第一验证信息MSK1。
步骤102,企业服务器与所签约的运营商间进行信任协商。企业服务器向运营商服务器发送信任协同请求,携带第二信任域标识AF_ID。
步骤103,运营商服务器根据第二信任域标识AF_ID与第一验证信息MSK1,派生出第二验证信息MSK2。
步骤104,运营商服务器发送信任协同确认消息,携带第二验证信息MSK2。
步骤105,企业服务器收到协同确认后,保存第二验证信息MSK2。
步骤106,企业服务器将第二验证信息MSK2同步给企业网关。
步骤107,终端接入运营商网络,向运营商服务器认证。认证成功后,获得第一信任凭证SK1。
步骤108,终端访问企业应用前,向企业服务器发送认证请求,携带端身份ID(终端身份信息)。
步骤109,企业服务器认证成功后,根据终端身份ID和第二验证信息MSK2生成第二信任凭证SK2。
步骤110,企业服务器向终端发送第二响应消息,携带第二信任凭证SK2及第二信任域标识AF_ID。
步骤111,终端保存第二信任凭证SK2。
步骤112,终端根据终端身份ID及第二信任凭证SK2,生成待验证凭证信息CODE。
步骤113,终端开始访问企业应用,发送访问请求至第一信任验证单元,该访问请求携带终端身份ID,第二信任域标识AF_ID及待验证凭证信息CODE。
步骤114,运营商网关收到该访问请求后,首先根据访问请求中的第二信任域标识AF_ID及本地保存的第一信任凭证MSK1,计算出第一待验证信息msk2。再根据ID2及第一待验证信息msk2计算出第二待验证信息sk2,最后根据ID2及第二待验证信息sk2生成第一待匹配凭证信息code1。比较第一待匹配凭证信息code1与访问请求中的待验证凭证信息CODE是否相等。
步骤115,运营商网关判断验证通过后,向企业网关转发该访问请求。否则,拒绝服务请求或降低优先级处理。
步骤116,企业网关收到访问请求后,根据访问请求中的终端身份ID及本地保存的第二验证信息MSK2,生成第二待匹配凭证信息code2。比较第二待匹配凭证信息code2与访问请求中的待验证凭证信息CODE是否相等。
步骤117,企业网关判断验证通过后,向企业应用转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
示例2:
图7是本申请一实施例提供的协同验证方法的流程示意图,如图6所示。
第一信任域与第二信任域的协同认证可以在第一信任、第二信任域对终端进行接入认证之间进行。
步骤201,终端向运营商网络请求接入认证,认证成功后,获得第一信任凭证SK1。
步骤202,运营商服务器向运营商网关发送第一验证信息MSK1。
步骤203,终端向企业服务器发送认证请求,携带终端身份ID。
步骤204,企业服务器在对终端认证成功后,向运营商服务器发送信任协同请求,携带终端身份ID及第二信任域标识AF_ID。
步骤205,运营商服务器根据AF_ID派生第二验证信息MSK2。
步骤206,运营商服务器向企业发送信任协同确认消息,携带MSK2及根据终端身份ID查询到的终端当前接入位置信息和终端设备等信息。
步骤207,企业服务器保存派生的第二验证信息MSK2。
步骤208,企业服务器根据终端当前接入位置信息及终端设备信息决策是否允许终端访问当前服务。如拒绝,则向终端返回认证失败消息。
步骤209,企业服务器将第二验证信息同步给企业网关。
步骤210,企业服务器认证成功后,根据终端身份ID和企业根密钥生成第二信任凭证SK2。
步骤211,企业服务器向终端发送认证响应消息,携带SK2及第二信任域标识AF_ID。
步骤212,终端保存第二信任凭证SK2。
步骤213,终端根据终端身份ID及第二信任凭证SK2,生成待验证凭证信息CODE。
步骤214,终端开始访问企业应用,发送访问请求至第一信任验证单元,该访问请求携带终端身份ID,第二信任域标识AF_ID及待验证凭证信息CODE。
步骤215,运营商网关收到该访问请求后,首先根据访问请求中的第二信任域标识AF_ID及本地保存的第一信任凭证MSK1,计算出第一待验证信息msk2。再根据ID2及第一待验证信息msk2计算出第二待验证信息sk2,最后根据ID2及第二待验证信息sk2生成第一待匹配凭证信息code1。比较第一待匹配凭证信息code1与访问请求中的待验证凭证信息CODE是否相等。
步骤216,运营商网关判断验证通过后,向企业网关转发该访问请求。否则,拒绝服务请求或降低优先级处理。
步骤217,企业网关收到访问请求后,根据访问请求中的终端身份ID及本地保存的第二验证信息MSK2,生成第二待匹配凭证信息code2。比较第二待匹配凭证信息code2与访问请求中的待验证凭证信息CODE是否相等。
步骤218,企业网关判断验证通过后,向企业应用转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
示例3:
图8是本申请一实施例提供的协同验证方法的流程示意图,如图8所示
需要说明的是,第一信任域包括多个运营商,企业服务器需要根据运营商标志查询对应运营商的第二验证信息。
步骤步骤301-308为终端访问企业应用前的准备过程。
步骤301,运营商A网关启动后,运营商A服务器发送第一验证信息MSK1,运营商A网关从运营商A服务器获得验证第一验证信息MSK1。
步骤302,企业服务器与所签约的运营商A进行信任协商。企业服务器向运营商A服务器发送信任协同请求,携带第二信任域标识AF_ID。
步骤303,运营商A服务器根据第二信任域标识AF_ID与第一验证信息MSK1,派生出第二验证信息MSK2。
步骤304,运营商A服务器发送信任协同确认消息,携带第二验证信息MSK2。
步骤305,企业服务器收到协同确认后,保存第二验证信息MSK2。
步骤306,企业服务器将第二验证信息MSK2同步给企业网关。
步骤307,企业服务器与所签约的运营商B进行信任协商,生成第三验证信息MSK3.
步骤S308,企业服务器保存第三验证信息MSK3。
以上过程中,企业服务器需记录根密钥与运营商的对应关系。
步骤309,终端接入运营商网络A,向运营商服务器A认证。认证成功后,获得第一信任凭证SK1。
步骤310,终端访问企业应用前,向企业服务器认证发送认证请求,携带端身份ID和接入的运营商A的标识。
步骤311,企业服务器根据运营商A的标识查询得到所对应的第二验证信息,根据终端身份ID和第二验证信息MSK2生成第二信任凭证SK2。
步骤312,企业服务器向终端发送认证响应消息,携带SK2及第二信任域标识AF_ID。
步骤313,终端保存第二信任凭证SK2。
步骤314,终端根据终端身份ID及第二信任凭证SK2,生成待验证凭证信息CODE。
步骤315,终端开始访问企业应用,发送访问请求至第一信任验证单元,该访问请求携带终端身份ID,第二信任域标识AF_ID及待验证凭证信息CODE。
步骤316,运营商网关收到该访问请求后,首先根据访问请求中的第二信任域标识AF_ID及本地保存的第一信任凭证MSK1,计算出第一待验证信息msk2。再根据ID2及第一待验证信息msk2计算出第二待验证信息sk2,最后根据ID2及第二待验证信息sk2生成第一待匹配凭证信息code1。比较第一待匹配凭证信息code1与访问请求中的待验证凭证信息CODE是否相等。
步骤317,运营商网关判断验证通过后,向企业网关转发该访问请求。否则,拒绝服务请求或降低优先级处理。
步骤318,企业网关收到访问请求后,根据访问请求中的终端身份ID及本地保存的第二验证信息MSK2,生成第二待匹配凭证信息code2。比较第二待匹配凭证信息code2与访问请求中的待验证凭证信息CODE是否相等。
步骤319,企业网关判断验证通过后,向企业应用转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
示例4:
图9是本申请一实施例提供的协同验证方法的流程示意图,如图9所示。
需要说明的是,第一信任域包括多个运营商,由企业网关根据连接的运营商网关地址识别出运营商网络,企业根据运营商标识选择不同的根密钥,并生成终端的第一信任凭证。
步骤步骤401-408为终端访问企业应用前的准备过程。
步骤401,运营商A网关启动后,运营商A服务器发送第一验证信息MSK1,运营商A网关从运营商A服务器获得验证第一验证信息MSK1。
步骤402,企业服务器与所签约的运营商A进行信任协商。企业服务器向运营商A服务器发送信任协同请求,携带第二信任域标识AF_ID。
步骤403,运营商A服务器根据第二信任域标识AF_ID与第一验证信息MSK1,派生出第二验证信息MSK2。
步骤404,运营商A服务器发送信任协同确认消息,携带第二验证信息MSK2。
步骤405,企业服务器收到协同确认后,保存第二验证信息MSK2。
步骤406,企业服务器将第二验证信息MSK2同步给企业网关。
步骤407,企业服务器与所签约的运营商B进行信任协商,生成第三验证信息MSK3.
步骤S408,企业服务器保存第三验证信息MSK3。
以上过程中,企业服务器需记录根密钥与运营商的对应关系。
步骤409,终端接入运营商网络A,向运营商A服务器认证。认证成功后,获得第一信任凭证SK1。
步骤410,终端访问企业应用前,向企业服务器认证发送认证请求,携带端身份ID。
步骤411-412,网关识别接入网,企业网关根据认证请求的上一跳的运营商网关地址识别出运营商网络A,在认证请求中添加运营商A的标识。
步骤413,企业服务器根据运营商标识查询得到所对应的第二验证信息,根据终端身份ID和第二验证信息MSK2生成第二信任凭证SK2。
步骤414,企业服务器向终端发送认证响应消息,携带SK2及第二信任域标识AF_ID。
步骤415,终端保存第二信任凭证SK2。
步骤416,终端根据终端身份ID及第二信任凭证SK2,生成待验证凭证信息CODE。
步骤417,终端开始访问企业应用,发送访问请求至第一信任验证单元,该访问请求携带终端身份ID,第二信任域标识AF_ID及待验证凭证信息CODE。
步骤418,运营商网关收到该访问请求后,首先根据访问请求中的第二信任域标识AF_ID及本地保存的第一信任凭证MSK1,计算出第一待验证信息msk2。再根据ID2及第一待验证信息msk2计算出第二待验证信息sk2,最后根据ID2及第二待验证信息sk2生成第一待匹配凭证信息code1。比较第一待匹配凭证信息code1与访问请求中的待验证凭证信息CODE是否相等。
步骤419,运营商网关判断验证通过后,向企业网关转发该访问请求。否则,拒绝服务请求或降低优先级处理。
步骤420,企业网关收到访问请求后,根据访问请求中的终端身份ID及本地保存的第二验证信息MSK2,生成第二待匹配凭证信息code2。比较第二待匹配凭证信息code2与访问请求中的待验证凭证信息CODE是否相等。
步骤421,企业网关判断验证通过后,向企业应用转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
示例5:
图10是本申请一实施例提供的协同验证方法的流程示意图,如图10所示。
需要说明的是,第二信任域为企业网络,企业网络需要基于业务的服务标识、切片标识进行验证,终端需要识别出访问中的服务标识、切片标识,企业网络基于业务切片或服务进行认证。
步骤步骤501-506为终端访问企业应用前的准备过程。
步骤501,运营商网关启动后,运营商服务器发送第一验证信息MSK1,运营商网关从运营商服务器获得验证第一验证信息MSK1。
步骤502,企业服务器与所签约的运营商间进行信任协商。企业服务器向运营商服务器发送信任协同请求,携带第二信任域标识AF_ID。
步骤503,运营商服务器根据第二信任域标识AF_ID与第一验证信息MSK1,派生出第二验证信息MSK2。
步骤504,运营商服务器发送信任协同确认消息,携带第二验证信息MSK2。
步骤505,企业服务器收到协同确认后,保存第二验证信息MSK2。
步骤506,企业服务器将第二验证信息MSK2同步给企业网关。
步骤507,终端接入运营商网络,向运营商服务器认证。认证成功后,获得第一信任凭证SK1。
步骤508,终端访问企业应用前,向企业服务器认证发送认证请求,携带端身份ID和业务SliceID或ServiceID(服务标识或切片标识)。需要说明的是,服务标识或切片标识能够获得更加精细化、定制化的服务。
步骤509,企业服务器根据认证成功后,根据终端身份ID、业务服务标识或切片标识和第二验证信息MSK2生成第二信任凭证SK2。
步骤510,企业服务器向终端发送认证响应消息,携带SK2及第二信任域标识AF_ID。
步骤511,终端保存第二信任凭证SK2。
步骤512,终端根据终端身份ID及第二信任凭证SK2,生成待验证凭证信息CODE。
步骤513,终端开始访问企业应用,携带终端身份ID、业务SliceID/ServiceID,第二信任域标识AF_ID及待验证凭证信息CODE。
步骤514,运营商网关收到该数据报文后,首先根据访问请求中的AF_ID及本地保存的MSK1,计算出msk2。再根据ID2、业务SliceID/ServiceID及msk2计算出sk2,最后根据ID2及sk2生成第二待匹配凭证信息code1。比较本地code与访问请求中的待验证凭证信息CODE是否相等。
步骤515,运营商网关判断验证通过后,向企业网关转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
步骤516,企业网关收到服务请求后,根据访问请求中的终端身份ID、业务SliceID/ServiceID及本地保存的第二验证信息MSK2,生成第二待匹配凭证信息code。比较本地code与访问请求中的待验证凭证信息CODE是否相等。
步骤517,企业网关判断验证通过后,向企业应用转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
示例6:
图11是本申请一实施例提供的协同验证方法的流程示意图,如图11所示。
在一些实施场景下,运营商网络与企业网络通过中继网络互联,为了实现近源防护和多点验证,需要第一信任域与第三信任域、第三信任域与第二信任域之间分别建立信任协同关系,生成对应的第二信任凭证信息。
步骤步骤601-607为终端访问企业应用前的准备过程。
步骤601,运营商网关启动后,运营商服务器发送第一验证信息MSK1,运营商网关从运营商服务器获得验证第一验证信息MSK1。
步骤602,中继服务器与运营商进行信任协商。中继服务器向运营商服务器发送信任协同请求,携带中继标识BK_ID。
步骤603,运营商服务器根据根据中继标识BK_ID与第一验证信息MSK1,生成第二验证信息MSK2,发送信任协同确认消息至中继服务器,携带第二验证信息MSK2。
步骤604,中继服务器向中继网关同步第二验证信息MSK2;
步骤605,中继服务器与企业服务器进行信任协商。企业服务器向中继服务器发送信任协同请求,携带第二信任域标识AF_ID;
步骤606,中继服务器根据根据第二信任域标识AF_ID与第二验证信息MSK2,生成第三验证信息MSK3,发送信任协同确认消息至企业服务器,携带第二验证信息MSK3。
步骤607,企业服务器向企业网关同步MSK3。
步骤608,终端接入运营商网络,向运营商服务器认证。认证成功后,获得第一信任凭证SK1。
步骤609,终端访问企业应用前,向企业服务器发送认证请求,携带端身份ID。
步骤610,企业服务器认证成功后,根据终端身份ID和第三验证信息MSK3生成第二信任凭证SK2。
步骤611,企业服务器向终端发送认证响应消息,携带SK2及第二信任域标识AF_ID、中继标识BK_ID。
步骤612,终端保存第二信任凭证SK2,并根据终端身份ID及第二信任凭证SK2,生成待验证凭证信息CODE。
步骤613,终端开始访问企业应用,携带终端身份ID,第二信任域标识AF_ID、中继标识BK_ID及待验证凭证信息CODE。
步骤614,运营商网关收到该数据报文后,首先根据访问请求中的BK_ID及本地保存的MSK1,计算出msk2;然后根据AF_ID与msk2,计算出msk3。再根据ID2及msk3计算出sk2,最后根据ID2及sk2生成第二待匹配凭证信息code。比较本地code与访问请求中的待验证凭证信息CODE是否相等。
步骤615,运营商网关判断验证通过后,向中继网关转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
步骤616,中继网关收到该数据报文后,首先根据访问请求中的AF_ID及本地保存的MSK2,计算出msk3。再根据ID2及msk3计算出sk2,最后根据ID2及sk2生成第二待匹配凭证信息code。比较本地code与访问请求中的待验证凭证信息CODE是否相等。
步骤617,中继网关判断验证通过后,向企业网关转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
步骤618,企业网关收到服务请求后,根据访问请求中的终端身份ID及本地保存的企业根密钥MSK3,生成第二待匹配凭证信息code。比较本地code与访问请求中的待验证凭证信息CODE是否相等。
步骤619,企业网关判断验证通过后,向企业应用转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
示例7:
图12是本申请一实施例提供的协同验证方法的流程示意图,如图12所示。
需要说明的是,基于企业网络与运营商网络已建立的信任协同关系,终端只做一次认证,获取派生出的企业应用密钥,如图10所示。
步骤步骤701-706为终端访问企业应用前的准备过程。
企业网络与运营商网络进行信任协同,获取运营商派生的第二验证信息的过程,见步骤701-706,与实施例1中步骤101-106类似。
步骤701,运营商网关启动后,运营商服务器发送第一验证信息MSK1,运营商网关从运营商服务器获得验证第一验证信息MSK1。
步骤702,企业服务器与所签约的运营商间进行信任协商。企业服务器向运营商服务器发送信任协同请求,携带第二信任域标识AF_ID。
步骤703,运营商服务器根据第二信任域标识AF_ID与第一验证信息MSK1,派生出第二验证信息MSK2。
步骤704,运营商服务器发送信任协同确认消息,携带第二验证信息MSK2。
步骤705,企业服务器收到协同确认后,保存第二验证信息MSK2。
步骤706,企业服务器将第二验证信息MSK2同步给企业网关。
步骤707,终端接入运营商网络,向终端发送认证请求,向运营商服务器认证。
步骤708,认证成功后,运营商服务器根据预设的信任关系,获取将要访问的企业的根密钥,结合终端身份ID,生成企业会话密钥ASK。
步骤709,运营商服务器向终端响应认证结果,包含企业会话密钥ASK及第二信任域标识AF_ID。
步骤710-711,终端保存企业会话密钥ASK,并基于终端身份ID及ASK。生成待验证凭证信息CODE。
步骤712,终端开始访问企业应用,携带终端身份ID,第二信任域标识AF_ID及待验证凭证信息CODE。
步骤713,运营商网关收到该数据报文后,首先根据访问请求中的AF_ID及本地保存的MSK1,计算出msk2。再根据ID及msk2计算出ASK,最后根据ID及ASK生成第二待匹配凭证信息code。比较本地code与访问请求中的待验证凭证信息CODE是否相等。
步骤714,运营商网关判断验证通过后,向企业网关转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
步骤715,企业网关收到服务请求后,根据访问请求中的终端身份ID及本地保存的第二验证信息MSK2,生成第二待匹配凭证信息code。比较本地code与访问请求中的待验证凭证信息CODE是否相等。
步骤716,企业网关判断验证通过后,向企业应用转发该服务请求报文。否则,拒绝服务请求或降低优先级处理。
本申请还提供了一种运营商设备,包括存储器和处理器,存储器存储有程序,程序在被处理器读取执行时,实现上述实施例步骤S1000-步骤S2000、步骤S1100-步骤S1600、步骤S3000、步骤S2100-步骤S2200中的协同验证方法。
本申请还提供一种企业设备,包括存储器和处理器,存储器存储有程序,程序在被处理器读取执行时,实现步骤S4000-步骤S11000中的协同认证方法。
本申请还提供一种终端,包括存储器和处理器,存储器存储有程序,程序在被处理器读取执行时,实现上述应用于终端的协同验证方法。
本申请还提供一种中继设备,包括存储器和处理器,存储器存储有程序,程序在被处理器读取执行时,实现实现上述上述应用于中继网络的协同验证方法。
一种计算机存储介质,包括计算机程序或计算机指令,计算机程序或计算机指令存储在计算机可读存储介质中,计算机设备的处理器从计算机可读存储介质读取计算机程序或计算机指令,处理器执行计算机程序或计算机指令,使得计算机设备执行上述实施例中的协同验证方法或协同认证方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
实现上述实施例的协同验证方法所需的非暂态软件程序以及指令存储在存储器中,当被处理器执行时,执行上述实施例中的协同验证方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多单元盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
此外,本申请实施例还提供了一种计算机程序产品,包括计算机程序或计算机指令,计算机程序或计算机指令存储在计算机可读存储介质中,计算机设备的处理器从计算机可读存储介质读取计算机程序或计算机指令,处理器执行计算机程序或计算机指令,使得计算机设备执行如上的协同验证方法。
以上是对本申请的较佳实施进行了具体说明,但本申请并不局限于上述实施方式,熟悉本领域的技术人员在不违背本申请精神的前提下还可作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (22)
1.一种协同验证方法,应用于第一信任域,所述协同验证方法包括:
建立与第二信任域的第一信任协同关系:
获取终端发送的访问请求,根据所述第一信任协同关系与所述访问请求,对所述终端进行访问验证,使得在第一信任域完成所述第二信任域的相关信息验证。
2.如权利要求1所述的协同验证方法,其特征在于,所述建立与第二信任域的第一信任协同关系,包括:
接收所述第二信任域发送的信任协同请求;
根据预设信任关系与所述信任协同请求,得到信任协同结果;
根据所述信任协同结果,向所述第二信任域发送信任协同确认信息,以建立与所述第二信任域的所述第一信任协同关系,其中,所述信任协同确认信息包括第二验证信息。
3.如权利要求1所述的协同验证方法,其特征在于,所述建立与第二信任域的第一信任协同关系,包括:
接收所述第二信任域发送的信任协同请求;其中,所述信任协同请求中包括所述终端的相关信息;
根据预设信任关系、所述信任协同请求,得到信任协同结果;
根据所述信任协同结果,向所述第二信任域发送信任协同确认信息,其中,所述信任协同确认信息包括所述终端的相关信息与第二验证信息。
4.如权利要求2或3所述的协同验证方法,其特征在于,所述第二验证信息用于生成第二信任凭证信息,所述第二信任凭证信息用于所述终端生成待验证凭证信息,所述待验证凭证信息用于所述第一信任域完成所述第二信任域的相关信息验证。
5.如权利要求4所述的协同验证方法,所述第二信任凭证信息由所述第一信任域与所述第二信任域中的至少一个生成。
6.如权利要求1所述的协同验证方法,其特征在于,还包括第三信任域,所述协同验证方法还包括:
建立与第三信任域的第二信任协同关系,所述第二信任协同关系用于建立所述第二信任域与所述第三信任域的第三信任协同关系。
7.如权利要求6所述的协同验证方法,其特征在于,所述根据所述第一信任协同关系与所述访问请求,对所述终端进行访问验证,使得在第一信任域完成所述第二信任域的相关信息验证,包括:
根据所述第一信任协同关系、所述第二信任协同关系,对所述终端进行验证,使得在第一信任域完成对所述第二信任域的相关信息验证;
将所述访问请求转发至第三信任域,使得在第三信任域完成对所述第二信任域的相关信息验证。
8.一种协同认证方法,应用于第二信任域,所述协同认证方法包括:
建立与至少一个第一信任域的第二信任协同关系;
对终端进行接入认证,得到第二认证结果,根据所述第二认证结果建立与所述终端的第二信任关系;
根据所述第二信任关系与所述第二信任协同关系,向所述终端发送第二信任凭证信息;其中,所述第二信任凭证信息用于所述第一信任域完成所述第二信任域的相关信息验证。
9.如权利要求8所述的协同认证方法,其特征在于,所述建立与至少一个第一信任域的第二信任协同关系,包括:
向至少一个所述第一信任域发送信任协同请求;
接收所述第一信任域发送的信任协同确认信息,其中,所述信任协同确认信息包括第二验证信息,所述第二验证信息用于生成所述第二信任凭证信息。
10.如权利要求8所述的协同认证方法,其特征在于,所述第二信任凭证信息用于所述终端生成待验证凭证信息,所述待验证凭证信息用于所述第一信任域完成所述第二信任域的相关信息验证。
11.如权利要求9所述的协同认证方法,其特征在于,所述信任协同确认信息还包括终端的相关信息;对终端进行接入认证,得到第二认证结果,根据所述第二认证结果建立与所述终端的第二信任关系,包括:
根据所述终端的相关信息,判断所述终端是否满足认证条件;
若所述终端满足认证条件,则所述第二认证结果为认证成功结果,与所述终端建立所述第二信任关系。
12.如权利要求8所述的协同认证方法,其特征在于,所述对终端进行接入认证,包括:
获取所述终端发送的认证请求,所述认证请求中携带有信任域标识;
根据所述信任域标识,选择与所述信任域标识对应的至少一个所述第一信任域作为目标信任域,其中,所述目标信任域为对所述终端进行验证的信任域。
13.如权利要求8所述的协同认证方法,其特征在于,建立与多个第一信任域的第二信任协同关系;所述对终端进行接入认证,包括:
获取所述终端发送的认证请求;
获取所述认证请求的上一跳地址,根据所述上一跳地址对多个所述第一信任域进行识别,得到目标信任域;其中,所述目标信任域为对所述终端进行验证的信任域。
14.如权利要求8所述的协同认证方法,其特征在于,还包括第三信任域,所述协同认证方法还包括:
根据所述第一信任域与所述第三信任域之间的第三信任协同关系,建立与所述第三信任域的第四信任协同关系;其中,所述第四信任协同关系用于在所述第三信任域完成所述第二信任域的相关信息验证。
15.一种协同验证方法,应用于终端,所述协同验证方法包括:
向第一信任域发送访问请求,所述访问请求中携带有终端信息、目标资源信息、信任域信息和待验证凭证信息,其中所述待验证凭证信息根据第二信任域或所述第一信任域发送的第二信任凭证信息得到,所述第二信任凭证信息根据所述第一信任域生成的第二验证信息得到,其中,所述第二验证信息在所述第一信任域与所述第二信任域建立信任协同关系后由所述第一信任域生成。
16.如权利要15所述的协同验证方法,其特征在于,所述目标资源信息包括至少以下之一:
应用标识、服务标识、切片标识。
17.一种协同验证方法,应用于中继设备,所述协同验证方法包括:
建立与第一信任域的第三信任协同关系;
根据所述第三信任协同关系,建立与第二信任域的第四信任协同关系;
获取由所述第一信任域发送的访问请求,其中,所述访问请求为在第三信任域完成所述第二信任域的相关信息验证后转发;
根据所述第二信任协同关系与所述访问请求,对终端进行验证。
18.一种运营商设备,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求1至7任一所述的协同验证方法。
19.一种企业设备,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求8至14任一所述的协同认证方法。
20.一种终端,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求15至16任一所述的协同验证方法。
21.一种中继设备,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求17所述的协同验证方法。
22.一种计算机存储介质,包括计算机程序或计算机指令,其特征在于,所述计算机程序或所述计算机指令存储在计算机可读存储介质中,计算机设备的处理器从所述计算机可读存储介质读取所述计算机程序或所述计算机指令,所述处理器执行所述计算机程序或所述计算机指令,使得所述计算机设备执行如权利要求1至7、15至17任意一项所述的协同验证方法,或如权利要求8至14任意一项所述的协同认证方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210780513.3A CN117394973A (zh) | 2022-07-04 | 2022-07-04 | 协同验证方法、协同认证方法、运营商设备、企业设备 |
| PCT/CN2023/098614 WO2024007803A1 (zh) | 2022-07-04 | 2023-06-06 | 协同验证方法、协同认证方法、运营商设备、企业设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210780513.3A CN117394973A (zh) | 2022-07-04 | 2022-07-04 | 协同验证方法、协同认证方法、运营商设备、企业设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117394973A true CN117394973A (zh) | 2024-01-12 |
Family
ID=89436034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210780513.3A Pending CN117394973A (zh) | 2022-07-04 | 2022-07-04 | 协同验证方法、协同认证方法、运营商设备、企业设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117394973A (zh) |
| WO (1) | WO2024007803A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101453476B (zh) * | 2009-01-06 | 2011-12-07 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
| CN102340487B (zh) * | 2010-07-21 | 2014-04-02 | 航天信息股份有限公司 | 多信任域之间的完整性报告传递方法和系统 |
| CN111835528B (zh) * | 2020-07-16 | 2023-04-07 | 广州大学 | 一种去中心化的物联网跨域访问授权方法及系统 |
| CN114553480B (zh) * | 2022-01-13 | 2023-05-26 | 中国科学院信息工程研究所 | 跨域单点登录方法、装置、电子设备及可读存储介质 |
| CN114553527B (zh) * | 2022-02-22 | 2024-07-02 | 中国人民解放军31309部队 | 一种基于区块链的跨ca信任域的身份认证服务系统 |
-
2022
- 2022-07-04 CN CN202210780513.3A patent/CN117394973A/zh active Pending
-
2023
- 2023-06-06 WO PCT/CN2023/098614 patent/WO2024007803A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024007803A1 (zh) | 2024-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11863543B2 (en) | Network device proximity-based authentication | |
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| US7640430B2 (en) | System and method for achieving machine authentication without maintaining additional credentials | |
| CN107547573B (zh) | 应用于eSIM的认证方法、RSP终端及管理平台 | |
| DK2924944T3 (en) | Presence authentication | |
| US20130283040A1 (en) | Method, system and device for binding and operating a secure digital memory card | |
| CN107086979B (zh) | 一种用户终端验证登录方法及装置 | |
| CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
| US9787678B2 (en) | Multifactor authentication for mail server access | |
| CN110266656B (zh) | 免密认证身份识别方法、装置及计算机设备 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| US20160173473A1 (en) | Method for authenticating a user, corresponding server, communications terminal and programs | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| US11848926B2 (en) | Network authentication | |
| US11234132B1 (en) | Autonomous device authentication for private network access | |
| CN108848505A (zh) | 一种无线连接方法及设备 | |
| CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| CN117118841A (zh) | 网络切片连接管理方法、终端及计算机可读存储介质 | |
| CN111163063B (zh) | 边缘应用管理方法及相关产品 | |
| CN104009850B (zh) | 一种用户身份认证方法及系统 | |
| WO2018099407A1 (zh) | 账户认证登录方法及装置 | |
| WO2017219976A1 (zh) | 一种登录云服务器的方法及装置 | |
| CN109699015A (zh) | 机卡绑定关系认证方法、装置以及通信系统 | |
| CN109361659B (zh) | 一种认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |