CN1284331C - 网络计算机通信系统和面向用户的网络层安全通信方法 - Google Patents
网络计算机通信系统和面向用户的网络层安全通信方法 Download PDFInfo
- Publication number
- CN1284331C CN1284331C CN 03136493 CN03136493A CN1284331C CN 1284331 C CN1284331 C CN 1284331C CN 03136493 CN03136493 CN 03136493 CN 03136493 A CN03136493 A CN 03136493A CN 1284331 C CN1284331 C CN 1284331C
- Authority
- CN
- China
- Prior art keywords
- user
- message
- network computer
- authentication center
- sign indicating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络计算机通信技术领域,特别是网络计算机通信系统和面向用户的网络层安全通信方法。该系统由多个注册用户、网络计算机、安全认证中心、安全通信服务器、互联网等组成。其中安全认证中心负责完成用户注册工作;在安全认证中心颁发给用户的智能卡中存放着用户的个人特征码、用户私钥和安全认证中心的自签名根证书;安全通信服务器用于网络计算机中的用户认证,基于角色的安全通信策略管理和用户证书管理,并基于用户角色和安全通信策略完成对网络层安全通信链路的管理。本发明可广泛用于电子政务、电子商务、企业信息化管理、证券、金融、军事等的计算机网络通信系统。
Description
发明领域
本发明涉及网络计算机通信技术领域,特别是涉及网络计算机通信系统和面向用户的网络层安全通信方法。
技术背景
网络计算机的概念最早由Oracle公司的CEO拉里·埃里森在1995年提出。在埃里森看来,所谓网络计算机是指配置简单却能充分利用网络资源的低价电脑。它不需要不断更新的硬件设备和越来越复杂、庞大的操作系统,没有软盘和硬盘,只要打开电源用浏览器连上网络,就可以获得信息和存储文件。这不仅将大大降低用户计算机的体积和价格,而且使用户不必总为硬件升级而烦恼。在网络计算机这个概念提出后的第二年,Oracle集合IBM、Sun、Apple和Netscape制定第一个有关网络计算机的标准。但由于当时网络带宽的限制,浏览器/服务器模式也没有在大多数应用系统中得到普及,加上1997年微软同Intel、康柏、Dell结成的Net PC联盟对网络计算机的打压,网络计算机并没有在市场上赢得真正的胜利。
今天,随着网络带宽的增加和CPU处理能力的提升,网络计算机的性能已经得到了很大的提高。加上网络计算机同传统的PC机相比,有着明显的价格优势,因此网络计算机系统重新得到了国人的关注,成为今天推进我国信息化进程的重要解决方案。和几年前相比,国内网络计算机的发展环境已今非昔比。一方面,政府成了网络计算机发展的第一推动力。这是因为我国发展网络计算机立足于国产CPU和源代码公开的操作系统(如Linux),这对于突破Wintel(Windows公司的操作系统和Intel公司的CPU)在信息技术核心领域的垄断,发展我国在信息领域具有自主知识产权的核心技术,彻底消除Wintel技术对我国信息化可能带来的信息安全隐患,将是非常重要的;另一方面,当前,国内适用于网络计算机的具备自主知识产权的软硬件技术,已经越来越走向完善。例如以龙芯、方舟CPU为代表的国产CPU技术已经走向市场化,国内桌面Linux技术也在各家软件厂商的努力下取得重要进展,同时,许多适用于网络计算机的面向行业客户的解决方案与应用系统也开始出现。这些为网络计算机的发展提供了良好的技术保障。
网络计算机必须在一个网络环境下,和各种服务器整合为一个系统,从而发挥它的功用,而不能像PC那样单独的使用。这样当网络计算机系统应用在诸如电子政务、电子商务、企业信息管理甚至军事领域时,就必须要解决网络计算机系统中各节点间信息通信的安全问题。
由于网络计算机的软/硬件系统通常是封闭式的,即它不提供PC机上常见的扩展槽,不允许随意的更改、升级网络计算机的硬件配置,也不允许随意添加、删除、替换网络计算机的应用程序和系统程序。这样对于定制一个安全可靠的网络计算机系统创造了非常有利的条件。正是基于网络计算机系统的这个特点,我们提出了面向用户的网络层安全通信方法。该方法针对的是摘要附图1所示的网络计算机硬件环境。在这个网络计算机环境中,注册用户可以利用任意一台网络计算机同其它注册用户或其它服务器在网络层建立起安全的通信链路。之所以选择在网络层建立安全通信链路,一方面是因为这种方式最大限度的兼容了已有的网络硬件环境;另一方面是这种方式对已有的应用程序来说是完全透明的,既不需要对已有应用程序做任何修改,这样就在最大限度上兼容了已有编程工作。
面向用户的网络层安全通信方法是对常用的网络层安全通信协议IPSec(网络层)的拓展。IPSec协议的初衷是为网络中任意两个节点建立安全的通信链路。但事实上,很多的网络应用是希望为网络用户提供安全通信连接。特别是在网络计算机环境下,注册用户希望能够通过任意一台网络计算机实现与其它用户或其它服务器的安全通信。因此必须在保留IPSec协议已有优点的基础上,将现有的IPSec安全通信技术拓展为面向用户的安全通信技术。
发明内容
本发明的面向用户的网络层安全通信方法是在网络计算机环境下,将面向网络节点的网络层安全通信技术进一步拓展为面向用户的网络层安全通信方法。适用于安全认证中心(Certificate Authority,简称CA)、智能卡、安全通信服务器(Communication Server,简称CS)和网络计算机(Network Computer,简称NC)可信的网络计算机环境;希望在网络计算机环境下实现安全通信的用户必须到安全认证中心注册;注册用户的私钥、个人特征码和安全认证中心自签名的根证书存储在安全认证中心颁发给该注册用户的智能卡内;所有注册用户的用户证书连同安全认证中心的私钥都将通过特定的安全信道存储到安全通信服务器上;注册用户在网络计算机环境中的任意一台网络计算机上登录后,必须立即将用户个人特征码和注册用户所在网络计算机的网络节点信息(包括该网络计算机的IP地址、网关IP地址和子网掩码)安全可靠的提交给安全通信服务器;安全通信服务器负责网络计算机环境中的用户认证,安全通信策略管理和用户证书管理;每当网络计算机环境的网络拓扑结构或安全通信策略发生变化时,网络计算机环境中的每个网络节点(包括网络计算机、安全通信服务器和其它服务器)所存储的安全通信配置信息都要重构一次;安全通信服务器根据自己所收集的登录用户信息和当前安全通信策略,完成对网络计算机环境中的安全通信链路的管理。
安全认证中心(Certificate Authority,简称CA)、智能卡、安全通信服务器(Communication Server,简称CS)和网络计算机(NetworkComputer,简称NC)可信的含义是:
a.安全认证中心不会将用户提交的所有个人特征信息泄露给第三方;不会将用户选择的个人识别号(Personal Identification Number,简称PIN)泄露给第三方;不会将注册用户的公钥/私钥对泄露给第三方;不会将自己的私钥泄露给第三方;
b.智能卡所存储的用户个人识别号、用户私钥信息、用户个人特征码和安全认证中心自签名的根证书不会被任何外力非法地篡改或替代;智能卡不会响应任何非法持卡人,即不知道注册用户个人识别号的持卡人的操作命令;注册用户个人识别号决不允许从智能卡中读出;
c.安全通信服务器不会将自己所存储的安全认证中心的私钥泄露给第三方;安全通信服务器的安全通信策略不能被非法修改或替代;安全通信服务器存储的当前登录用户信息不能被非法修改或替代;安全通信服务器所维护的用户证书撤销列表信息(Certificate Revocation List,简称CRL)不能被非法修改或替代;安全通信服务器所维护的退出用户列表不能被非法修改或替代;安全通信服务器必须根据安全通信策略和当前登录用户信息管理安全通信链路;
d.在网络计算机环境中,当注册用户之间或注册用户和其它服务器之间进行安全通信时,网络计算机不会破坏通信过程中所交互信息的完整性、私密性,不会破坏通信过程使用到的注册用户个人识别号、注册用户私钥和安全认证中心的自签名根证书的私密性和完整性。
本发明的方法用于将用户证书连同安全认证中心的自签名根证书存储到安全通信服务器上的特定安全信道的含义是:
在网络计算机环境尚未建立起基本的信任机制之前所使用的安全通信方法,比如:在安全认证中心和安全通信服务器之间架设的专用的、物理上安全的通信链路;通过移动存储设备(如软盘),由一个可信的系统管理员将用户证书连同安全认证中心的自签名根证书从安全认证中心复制到安全通信服务器。
安全通信服务器采用基于角色的安全通信管理策略。由于角色能够和政府、企/事业单位中实际的职位、职务等管理概念有机的统一起来,这使得基于角色的安全通信管理策略更容易表达人们在生活中各种实际的安全通信需求。举例来说,如果在一个公司中设置了部门经理、普通办事员两个职位(对于安全通信策略而言,这就是两个角色),而且为该公司设计的安全通信策略中有这样三条规则:
a.部门经理之间通信信息必须保证私密性和完整性;
b.部门经理和普通办事员之间的通信信息必须保证完整性;
c.普通办事员之间的通信不做安全性要求。
则当公司中的两个部门经理需要进行网络通信时,他们之间必须建立能够提供保证私密性和完整性保障的安全通信链路;而两个普通办事员之间的网络通信则可以没有任何信息安全保障。
以网络计算机环境中的任一网络节点δ为例,其对应的安全通信配置信息如表1所示:
| 安全通信配置符 | 角色(R1) | 角色(R2) | ... | 角色(Ri) | ... | 角色(Rn) |
| (IP1,GW1,Subnet1) | Conn1-1 | Conn1-2 | ... | Conn1-i | ... | Conn1-n |
| (IP2,GW2,Subnet2) | Conn2-1 | Conn2-2 | ... | Conn2-i | ... | Conn2-n |
| ... | ... | ... | ... | ... | ... | |
| (IPi,GWi,Subneti) | Conni-1 | Conni-2 | ... | Conni-i | ... | Conni-n |
| ... | ... | ... | ... | ... | ... | |
| (IPm,GWm,Subnetm) | Connm-1 | Connm-2 | ... | Connm-i | ... | Connm-n |
表1安全通信配置信息表
表中1的(IPj,GWj,Subnetj)表示网络计算机环境中第j个可能的通信节点的本机IP地址、对应的网关地址和子网掩码,且j≠δ。如果当前使用第j个通信节的注册用户所分配的角色为Ri,则网络节点δ需要打开安全通信配置符connj-i所描述的安全通信链路。
安全通信服务器根据自己所收集的登录用户信息和当前安全通信策略,对网络计算机环境中的安全通信链路的管理包含了以下两方面的意思:
a.从网络计算机上每新登录一个注册用户,安全通信服务器都将根据其已收集的登录用户信息和当前安全通信策略,确定网络计算机环境中已有登录用户所在网络计算机需要打开的安全通信链路;
b.采用批处理的方式处理注册用户退出所在网络计算机对网络计算机环境中安全通信链路的影响。即设定每退出m个注册用户,才将这m个注册用户所在网络计算机对应的安全通信链路关闭。这种批处理方式对于降低安全通信服务器和网络带宽的负荷是有帮助的。其中域值m的具体取值,是由网络计算机环境中的网络带宽、网络计算机和服务器的硬件配置情况来决定。
安全通信服务器负责维护一个退出用户列表,该列表如表2所示:
| 记录号 | 个人特征码 | 用户名 | 角色 | 所在网络计算机的节点信息 |
| 1 | Code1 | User1 | Role1 | {IP1,GW1,Subnet1} |
| 2 | Code2 | User2 | Role2 | {IP2,GW2,Subnet2} |
| ... | ... | ... | ... | ... |
| m | Codem | Userm | Rolem | {IPm,GWm,Subnetm} |
表2退出用户列表
当安全通信服务器收到一个用户退出所在网络计算机的消息后,将把该用户对应的个人信息填入表2所示的退出用户列表。
一种适用于网络计算机通信的系统,由多个注册用户、网络计算机、安全认证中心、安全通信服务器、互联网或局域网组成,其特征在于:
网络计算机是通过串口或USB接口连接着IC卡读卡器的无本地存储能力,无硬件扩展能力的低价计算机;
安全认证中心是通过串口或USB接口连接着IC卡读写器的台式计算机或工作站,负责完成用户注册工作;在安全认证中心颁发给用户的智能卡中存放着用户个人特征码、用户私钥和安全认证中心的自签名根证书;
安全通信服务器是具有100M或1000M以太网络接口的工作站,用于网络计算机系统中的用户认证,基于角色的安全通信策略管理和用户证书管理,并基于用户角色和安全通信策略完成对网络层安全通信链路的管理。
安全认证中心要求用户提供必要的个人身份信息和合法的个人识别号,安全认证中心将为注册用户生成个人特征码、用户私钥和用户证书。
本发明是一种面向用户的网络层安全通信方法,方法的关键是在网络计算机环境中引入安全通信服务器,并由安全通信服务器负责网络计算机环境中的用户认证,安全通信策略管理和用户证书管理;另外,安全通信服务器还根据自己所收集的登录用户信息和当前安全通信策略,完成对网络计算机环境中的当前安全通信链路的管理。网络层安全通信方法所对应的关键步骤和技术表述如下:
1.希望在网络计算机环境下实现安全通信的用户到安全认证中心注册的步骤如图2所示,图中的阿拉伯字母(a、b、c、d、e、f、g、h、i)分别代表注册的9个步骤。这些步骤的具体含义解释如下,
以下步骤包含了面向用户的网络层安全通信方法:
a.用户向安全认证中心提供足以表明自己身份的个人信息;
b.安全认证中心验证用户提供的个人信息。如果用户提供的个人信息通不过安全认证中心的验证,安全认证中心将立刻终止对用户的注册;
c.用户向安全认证中心提供自己选择的个人识别号;
d.安全认证中心为用户生成唯一的公钥/私钥对;
e.安全认证中心为用户生成唯一的个人特征码;
f.安全认证中心为用户生成包含用户名、用户角色、个人特征码和用户公钥的用户证书,并用自己的私钥为这个用户证书签名;
g.安全认证中心将用户的个人识别号、个人特征码、用户私钥和安全认证中心自签名的根证书存储到将要发放给用户的智能卡上;
h.安全认证中心将g中得到的智能卡发放给注册用户;
i.安全认证中心将f中得到的用户证书通过特定的安全信道存储到安全通信服务器上。
2.在网络计算机环境中的任意一台网络计算机上登录的注册用户被记做当前登陆用户,当前登陆用户需要将个人特征码和所在网络计算机的网络节点信息提交给安全通信服务器,其中网络节点信息包括网络计算机的IP地址、网关IP地址和子网掩码,而对应的提交步骤是:
a.当前登陆用户任选一台网络计算机,在该网络计算机配置的智能卡读写器上插入用户的智能卡;
b.网络计算机提示当前登陆用户输入用户个人识别号;
c.当前登陆用户通过网络计算机将用户个人识别号输入到用户的智能卡中;
d.当前登陆用户输入的个人识别号同智能卡内存储的个人识别号比较,如果二者不等,则智能卡将拒绝进一步执行任何其它指令;如果二者相等,则
e.网络计算机上的客户端软件将收集本机的网络节点信息;
f.网络计算机从智能卡中读取当前登陆用户的个人特征码,并和收集到的网络节点信息连结在一起得到登陆消息,该登陆消息是消息类型码I、个人特征码和网络节点信息之和,并被记做[消息类型码I|个人特征码|网络节点信息];
g.网络计算机利用从智能卡中读取的用户私钥为f中得到的登陆消息签名;
h.网络计算机将f中得到的登陆消息和g中得到的签名一起传给安全通信服务器。
3.安全通信服务器为当前登陆用户打开安全通信链路的步骤是:
a.网络计算机将网络计算机从智能卡中读取当前登陆用户的个人特征码,并和收集到的网络节点信息连结在一起得到登陆消息,该登陆消息是消息类型码I、个人特征码和网络节点信息之和,并被记做[消息类型码I|个人特征码|网络节点信息]和对应的签名一起传给安全通信服务器;
b.安全通信服务器从登陆消息中提取用户的个人特征码,并利用得到的个人特征码在本地数据库中查找相应用户的用户证书;
c.通过消息类型码I确认该消息对应用户登录事件,否则,停止进一步的处理;
d.安全通信服务器从用户证书中提取该用户的公钥,并利用这个公钥验证所收到的登陆消息,如果验证失败,则丢弃所收到的登陆消息;反之,则
e.从用户证书中提取用户的个人信息,然后将这些信息填写到当前用户信息数据库中;
f.安全通信服务器利用当前安全通信策略,判定在网络计算机环境中有那些已登陆用户需要启动与当前登陆用户对应的安全通信链路,并构造安全通信链路启动消息,安全通信链路启动消息是消息类型码II、当前登陆用户的角色和当前登陆用户所在网络计算机的网络节点信息之和,并被记做[消息类型码II|用户角色|网络节点信息];
g.安全通信服务器利用自己存储的安全认证中心的私钥为安全通信链路启动消息签名,并将该签名值连同安全通信链路启动消息传给所有需要启动安全通信链路的已登陆用户所在网络计算机;
h.利用消息类型码II确认消息类型为打开安全通信链路,否则,停止进一步的处理;
i.得到安全通信链路启动消息的网络计算机通过它所连接的IC卡读卡器,从正在使用该网络计算机的用户的智能卡上读取安全认证中心的自签名根证书,并从该根证书上提取安全认证中心的公钥,然后利用这个公钥验证所收到的安全通信链路启动消息,如果验证失败,则丢弃安全通信链路启动消息;反之,则
j.从安全通信链路启动信息中提取用户角色和网络节点信息,并利用这对消息在网络计算机的安全通信配置信息表中查找相应的安全通信配置符,并启动该安全通信配置符所描述的安全通信链路。
所述安全通信方法不改变已有网络应用程序的通信接口,不要求修改已有网络应用程序的代码,另外,所述安全通信方法不要求用户干预,整个通信过程对用户透明,方便了用户的使用。
附图说明
图1是本发明所适用的网络计算机系统的硬件环境图;
图2是本发明用户到安全认证中心注册的步骤示意图。
具体实施方式
图1所示本发明网络计算机通信的系统硬件环境,既可以建构在一个局域网(LAN)上,也可以建构在intetnet的基础上。网络计算机系统的普通用户必须通过了安全认证中心的身份认证,成为安全认证中心的注册用户后,才能享受网络层安全通信服务。安全认证中心负责整个网络计算机系统环境下的信任管理工作,正是在安全认证中心的支持下,注册用户之间,注册用户和安全通信服务器之间通过安全认证中心颁发的用户证书建立起了必要的信任关系。注册用户必须登录到一台网络计算机上,并在安全通信服务器的帮助下,才能完成同其它注册用户或服务器的安全通信。
图1所示的网络计算机通信系统,是由多个注册用户、网络计算机、互联网或局域网组成,安全认证中心用于验证注册用户的个人信息;安全通信服务器用于网络计算机中的用户认证,基于角色的安全通信策略管理和用户证书管理,还根据所收集的登录用户信息和当前安全通信策略,完成对网络计算机环境中的当前安全信息链路的管理。连接在安全认证中心和互联网或局域网之间。
安全认证中心要求用户提供必要的个人身份信息和合法的个人识别号,安全认证中心将为注册用户生成个人特征码、用户私钥和用户证书。
图2是本发明的用户到安全认证中心注册的步骤;实际上包含了面向用户的网络层安全通信方法。具体详细步骤已在发明内容中详述。在此省略。
一、本发明所适用网络计算机环境的硬件环境要求:
1.要求配置可信的安全认证中心;
2.要求配置可信的安全通信服务器;
3.要求配置可信的网络计算机;
4.要求配置可信的智能卡。
二、本发明对网络计算机环境中的用户的要求:
1.用户必须在安全认证中心注册;
2.用户在登录网络计算机时必须提供合法的智能卡。
Claims (6)
1.一种适用于网络计算机通信的系统,由多个注册用户、网络计算机、安全认证中心、安全通信服务器、互联网或局域网组成,其特征在于:
网络计算机是通过串口或USB接口连接着IC卡读卡器的无本地存储能力,无硬件扩展能力的低价计算机;
安全认证中心是通过串口或USB接口连接着IC卡读写器的台式计算机或工作站,负责完成用户注册工作;在安全认证中心颁发给用户的智能卡中存放着用户个人特征码、用户私钥和安全认证中心的自签名根证书;
安全通信服务器是具有100M或1000M以太网络接口的工作站,用于网络计算机系统中的用户认证,基于角色的安全通信策略管理和用户证书管理,并基于用户角色和安全通信策略完成对网络层安全通信链路的管理。
2.根据权利要求1的网络计算机通信系统,其特征在于,安全认证中心要求用户提供必要的个人身份信息和合法的个人识别号,安全认证中心将为注册用户生成个人特征码、用户私钥和用户证书。
3.一种面向用户的网络层安全通信方法,包括如下用户注册步骤:
a.用户向安全认证中心提供足以表明自己身份的个人信息;
b.安全认证中心验证用户提供的个人信息,如果用户提供的个人信息通不过安全认证中心的验证,安全认证中心将立刻终止对用户的注册;
c.用户向安全认证中心提供自己选择的个人识别号;
d.安全认证中心为用户生成唯一的公钥/私钥对;
e.安全认证中心为用户生成唯一的个人特征码;
f.安全认证中心为用户生成包含用户名、用户角色、个人特征码和用户公钥的用户证书,并用自己的私钥为这个用户证书签名;
g.安全认证中心将用户的个人识别号、个人特征码、用户私钥和安全认证中心自签名的根证书存储到将要发放给用户的智能卡上;
h.安全认证中心将g中得到的智能卡发放给注册用户;
i.安全认证中心将f中得到的用户证书通过特定的安全信道存储到安全通信服务器上。
4.根据权利要求3的面向用户的网络层安全通信方法,还包括:
在网络计算机环境中的任意一台网络计算机上登录的注册用户被记做当前登陆用户,当前登陆用户需要将个人特征码和所在网络计算机的网络节点信息提交给安全通信服务器,其中网络节点信息包括网络计算机的IP地址、网关IP地址和子网掩码,而对应的提交步骤是:
a.当前登陆用户任选一台网络计算机,在该网络计算机配置的智能卡读写器上插入用户的智能卡;
b.网络计算机提示当前登陆用户输入用户个人识别号;
c.当前登陆用户通过网络计算机将用户个人识别号输入到用户的智能卡中;
d.当前登陆用户输入的个人识别号同智能卡内存储的个人识别号比较,如果二者不等,则智能卡将拒绝进一步执行任何其它指令;如果二者相等,则
e.网络计算机上的客户端软件将收集本机的网络节点信息;
f.网络计算机从智能卡中读取当前登陆用户的个人特征码,并和收集到的网络节点信息连结在一起得到登陆消息,该登陆消息是消息类型码I、个人特征码和网络节点信息之和,并被记做[消息类型码I|个人特征码|网络节点信息];
g.网络计算机利用从智能卡中读取的用户私钥为f中得到的登陆消息签名;
h.网络计算机将f中得到的登陆消息和g中得到的签名一起传给安全通信服务器。
5.根据权利要求3的面向用户的网络层安全通信方法,还包括:
安全通信服务器为当前登陆用户打开安全通信链路的步骤是:
a.网络计算机将网络计算机从智能卡中读取当前登陆用户的个人特征码,并和收集到的网络节点信息连结在一起得到登陆消息,该登陆消息是消息类型码I、个人特征码和网络节点信息之和,并被记做[消息类型码I|个人特征码|网络节点信息]和对应的签名一起传给安全通信服务器;
b.安全通信服务器从登陆消息中提取用户的个人特征码,并利用得到的个人特征码在本地数据库中查找相应用户的用户证书;
c.通过消息类型码I确认该消息对应用户登录事件,否则,停止进一步的处理;
d.安全通信服务器从用户证书中提取该用户的公钥,并利用这个公钥验证所收到的登陆消息,如果验证失败,则丢弃所收到的登陆消息;反之,则
e.从用户证书中提取用户的个人信息,然后将这些信息填写到当前用户信息数据库中;
f.安全通信服务器利用当前安全通信策略,判定在网络计算机环境中有那些已登陆用户需要启动与当前登陆用户对应的安全通信链路,并构造安全通信链路启动消息,安全通信链路启动消息是消息类型码II、当前登陆用户的角色和当前登陆用户所在网络计算机的网络节点信息之和,并被记做[消息类型码II|用户角色|网络节点信息];
g.安全通信服务器利用自己存储的安全认证中心的私钥为安全通信链路启动消息签名,并将该签名值连同安全通信链路启动消息传给所有需要启动安全通信链路的已登陆用户所在网络计算机;
h.利用消息类型码II确认消息类型为打开安全通信链路,否则,停止进一步的处理;
i.得到安全通信链路启动消息的网络计算机通过它所连接的IC卡读卡器,从正在使用该网络计算机的用户的智能卡上读取安全认证中心的自签名根证书,并从该根证书上提取安全认证中心的公钥,然后利用这个公钥验证所收到的安全通信链路启动消息,如果验证失败,则丢弃安全通信链路启动消息;反之,则
j.从安全通信链路启动信息中提取用户角色和网络节点信息,并利用这对消息在网络计算机的安全通信配置信息表中查找相应的安全通信配置符,并启动该安全通信配置符所描述的安全通信链路。
6.根据权利要求3的面向用户的网络层安全通信方法,还包括:所述安全通信方法不改变已有网络应用程序的通信接口,不要求修改已有网络应用程序的代码,另外,所述安全通信方法不要求用户干预,整个通信过程对用户透明,方便了用户的使用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03136493 CN1284331C (zh) | 2003-05-22 | 2003-05-22 | 网络计算机通信系统和面向用户的网络层安全通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03136493 CN1284331C (zh) | 2003-05-22 | 2003-05-22 | 网络计算机通信系统和面向用户的网络层安全通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1463117A CN1463117A (zh) | 2003-12-24 |
| CN1284331C true CN1284331C (zh) | 2006-11-08 |
Family
ID=29748531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03136493 Expired - Fee Related CN1284331C (zh) | 2003-05-22 | 2003-05-22 | 网络计算机通信系统和面向用户的网络层安全通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1284331C (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100352229C (zh) * | 2003-12-26 | 2007-11-28 | 华为技术有限公司 | 一种802.1x认证方法 |
| CN100403814C (zh) * | 2004-11-25 | 2008-07-16 | 华为技术有限公司 | 一种组播广播业务密钥控制方法 |
| CN100367708C (zh) * | 2005-02-04 | 2008-02-06 | 联想(北京)有限公司 | 一种服务器向网络计算机发布应用软件的方法 |
| US7929703B2 (en) * | 2005-12-28 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Methods and system for managing security keys within a wireless network |
| CN101046899B (zh) * | 2006-03-31 | 2011-05-11 | 中国科学院软件研究所 | 基于公钥基础设施的电子门票系统及方法 |
| CN101547096B (zh) * | 2009-02-11 | 2012-02-15 | 广州杰赛科技股份有限公司 | 基于数字证书的网络会议系统及其管理方法 |
| CN106161035B (zh) * | 2016-06-07 | 2019-06-04 | 青岛博文广成信息安全技术有限公司 | Cfl个人隐私保护模式实现方法 |
| CN106059775B (zh) * | 2016-06-07 | 2019-03-26 | 青岛博文广成信息安全技术有限公司 | Cfl集中管理模式实现方法 |
| CN109088888B (zh) * | 2018-10-15 | 2021-02-05 | 山东科技大学 | 一种基于智能卡的安全通信方法及其系统 |
-
2003
- 2003-05-22 CN CN 03136493 patent/CN1284331C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1463117A (zh) | 2003-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10958418B2 (en) | System and method for a blockchain network with heterogeneous privacy | |
| CN111988338B (zh) | 基于区块链的权限可控的物联网云平台及数据交互方法 | |
| CN106464494B (zh) | 无线装置认证和服务访问 | |
| CN1191703C (zh) | 宽带无线ip系统移动终端的安全接入方法 | |
| US7793335B2 (en) | Computer-implemented method, system, and program product for managing log-in strikes | |
| CN106452772B (zh) | 终端认证方法和装置 | |
| CN112651011B (zh) | 运维系统登录验证方法、装置、设备以及计算机存储介质 | |
| WO2007124180A2 (en) | Peer-to-peer contact exchange | |
| CN1838594A (zh) | 用于适应认证的系统和方法 | |
| CN1608362A (zh) | 认证方法 | |
| US11398902B2 (en) | Systems and methods for non-deterministic multi-party, multi-user sender-receiver authentication and non-repudiatable resilient authorized access to secret data | |
| US11102204B1 (en) | Agreement and enforcement of rules for a shared resource | |
| CN1284331C (zh) | 网络计算机通信系统和面向用户的网络层安全通信方法 | |
| CN109639711A (zh) | 一种基于私有链会话id的分布式cas认证方法 | |
| US20060248578A1 (en) | Method, system, and program product for connecting a client to a network | |
| Tuan et al. | A blockchain-based authentication and access control for smart devices in sdn-enabled networks for metaverse | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| CN106295384A (zh) | 一种大数据平台访问控制方法、装置和认证服务器 | |
| Chen et al. | A self-sovereign decentralized identity platform based on blockchain | |
| CN201846357U (zh) | 非现场行业安全网络构架 | |
| CN106452730A (zh) | 基于轻量目录访问协议的md5加密认证方法和系统 | |
| JP2000207362A (ja) | ネットワ―クシステム及びネットワ―クシステムにおけるユ―ザ認証方法 | |
| CN112000937A (zh) | 一种基于企业多应用系统的统一登录平台 | |
| WO2024088145A1 (zh) | 数据处理方法、装置、程序产品、计算机设备和存储介质 | |
| Xu et al. | BUES: A blockchain-based upgraded email system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING SHENZHOUTIANMAI NETWORK COMPUTER CO., LTD. Free format text: FORMER OWNER: INST. OF COMPUTING TECHN. ACADEMIA SINICA Effective date: 20090508 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20090508 Address after: Four floor, No. 10 South Road, Haidian District Academy of Sciences, Beijing Patentee after: Beijing Skyvein Net Computer Co., Ltd. Address before: No. 6 South Road, Zhongguancun Academy of Sciences, Beijing Patentee before: Institute of Computing Technology, Chinese Academy of Sciences |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20061108 Termination date: 20120522 |