CN1703004A - 一种实现网络接入认证的方法 - Google Patents
一种实现网络接入认证的方法 Download PDFInfo
- Publication number
- CN1703004A CN1703004A CNA2005100511173A CN200510051117A CN1703004A CN 1703004 A CN1703004 A CN 1703004A CN A2005100511173 A CNA2005100511173 A CN A2005100511173A CN 200510051117 A CN200510051117 A CN 200510051117A CN 1703004 A CN1703004 A CN 1703004A
- Authority
- CN
- China
- Prior art keywords
- equipment
- integrity value
- accessed
- system integrity
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000003780 insertion Methods 0.000 claims description 13
- 230000037431 insertion Effects 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 7
- 238000005192 partition Methods 0.000 claims description 3
- 230000002093 peripheral effect Effects 0.000 claims description 3
- 230000010354 integration Effects 0.000 abstract 4
- 239000003999 initiator Substances 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种实现网络接入认证的方法,其关键是网络接入认证设备内预先保存待接入设备的系统完整性值,以及每个待接入设备与其系统完整性值的对应关系。当待接入设备需要接入网络时,其获取自身当前的系统完整性值,将当前的系统完整性值发送给网络接入认证设备;网络接入认证设备判断接收到的该待接入设备当前的系统完整性值与自身已保存的该待接入设备的完整性值是否一致,如果一致,则通过网络接入认证,否则网络接入认证失败。这样,使网络接入认证设备能够确认当前待接入设备的真正状态,确保了接入网络的设备是真正安全的,进而保证了网络的安全。
Description
技术领域
本发明涉及网络接入认证技术和可信计算技术领域,特别是指一种实现网络接入认证的方法。
背景技术
目前,网络接入认证设备对待接入网络的设备进行的认证处理主要基于以下技术协议实现:
(1)口令字认证协议;
(2)基于与共享密钥和挑战应答协议;
(3)基于动态一次口令协议;
(4)基于公钥体制的认证协议。
上述所有认证处理的思路都是:网络接入认证设备通过判断待接入的设备是否拥有认证协议需要的口令和/或密钥来确认是否允许该待接入设备接入。上述认证处理的目的就是为了保证接入网络的是一个安全的设备,而不是一个攻击者。但是,如果待接入设备自身已受到了攻击,如已被植入木马病毒程序,那么,当该设备接入网络时,其内的木马病毒程序是可以监听认证过程的,并且,通过监听可以窃取该接入设备的关键信息,用其他设备假冒该待接入设备,或利用该待接入设备对网络发起攻击。
由此可以看出,仅验证待接入设备的口令和/或密钥是无法保证待接入设备是否真正是安全的,进而无法保证网络的安全。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现网络接入认证的方法,使网络接入认证设备能够确认当前待接入设备的真正状态,以确保接入网络的设备是真正安全的。
为达到上述目的,本发明的技术方案是这样实现的:
一种实现网络接入认证的方法,网络接入认证设备预先保存待接入设备已计算出的其自身的系统完整性值,以及每个待接入设备与其自身的系统完整性值的对应关系,该方法包括以下步骤:
a、待接入设备获取自身当前的系统完整性值,向网络接入认证设备发送包含当前的系统完整性值信息的认证请求;
b、网络接入认证设备根据接收到的认证请求以及所述对应关系,判断接收到的该待接入设备当前的系统完整性值与自身已保存的该待接入设备的系统完整性值是否一致,如果一致,则网络接入认证通过,否则网络接入认证失败。
较佳地,所述当前的系统完整性值为基本系统完整性值;
步骤a所述待接入设备获取自身当前的系统完整性值的方法为:
所述待接入设备启动时,计算自身的当前的基本系统完整性值,保存该当前的基本系统完整性值于安全存储部件中;当需要接入网络时,待接入设备从安全存储部件中直接取出该基本系统完整性值作为当前的系统完整性值。
较佳地,所述当前的系统完整性值为基本系统完整性值和用于网络接入的模块一起计算出的完整性值;
步骤a所述待接入设备获取自身当前的系统完整性值的方法为:所述待接入设备启动时,计算自身的基本系统完整性值,保存该当前的基本系统完整性值于安全存储部件中;当需要接入网络时,待接入设备从安全存储部件中取出基本系统完整性值,与用于网络接入的模块一起进行完整性计算,获取该计算出的值为自身当前的系统完整性值。
较佳地,所述用于网络接入的模块包括链路层网络驱动模块、网络层和传输层协议软件模块和网络接入应用软件模块。
较佳地,所述待接入设备为计算机,所述计算自身的基本系统完整性值的过程包括以下步骤:
i、计算机电源开启后,CPU计算系统ROM,以及BIOS或EFI的固件代码以及硬件配置参数的完整性值,并将其存储在安全存储部件中;
ii、在BIOS或EFI启动后,计算系统所有已经配置完成的参数信息、主引导扇区和系统引导分区的完整性值,并将其存储在安全存储部件中;
iii、在BIOS或EFI装入引导操作系统之前,计算操作系统装入代码的完整性值,并将其存储在安全存储部件中;
iv、在操作系统装入代码后,计算操作系统内核、系统启动文件、系统配置文件和驱动软件的完整性值,并将其存储在安全存储部件中;
v、在操作系统启动后,计算应用软件的完整性值,并将其存储在安全存储部件中;
vi、根据步骤i至步骤vi所述的所有完整性值,计算基本系统完整性值。
较佳地,所述已经配置完成的参数信息包括:CPU微码软件,系统各类功能的使能(enable或disable)状态配置,各类认证口令,磁盘配置参数,外设配置参数,安全功能配置参数。
较佳地,安全存储部件为安全芯片TPM、或具有安全保护功能的硬盘、或USB-key,或smart-card。
较佳地,步骤a所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文。
较佳地,步骤b所述网络接入认证设备接收到来自待接入设备的信息后,进一步包括:对接收到的信息的可信性进行验证,验证通过后再继续执行后续步骤。
较佳地,待接入设备预先生成公私钥,且该公私钥经可信第三方签署;
步骤a所述待接入设备发送认证请求之前,进一步包括:应用所述私钥对当前的系统完整性值进行签名;所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文,且该认证请求中进一步包括:当前的系统完整性值的签名以及所述公钥;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用接收到的公钥验证接收到的签名是否正确,如果签名正确,则接收到的信息可信,如果签名不正确则接收到的信息不可信。
较佳地,待接入设备预先生成公私钥,且该公私钥经可信第三方签署,网络接入认证设备中预先存储有所述公钥;
步骤a所述待接入设备发送认证请求之前,进一步包括:应用所述私钥对当前的系统完整性值进行签名;所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文,且该认证请求中进一步包括:当前的系统完整性值的签名;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用预先存储的公钥验证接收到的签名是否正确,如果签名正确,则接收到的信息可信,如果签名不正确则接收到的信息不可信。
较佳地,待接入设备预先生成公私钥,该公私钥未经可信第三方签署;
步骤a所述待接入设备发送认证请求之前,进一步包括:应用所述私钥对当前的系统完整性值进行签名;所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文,且该认证请求中进一步包括:将当前的系统完整性值的签名、匿名身份证书以及所述公钥;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用接收到的匿名身份证书验证发送方身份合法后,应用接收到的公钥验证签名是否正确,如果签名正确,则接收到的信息可信,如果签名不正确则接收到的信息不可信。
较佳地,待接入设备和网络接入认证设备中预先存储有对称密钥;
步骤a所述待接入设备发送认证请求之前进一步包括:应用所述对称密钥对当前的系统完整性值进行加密,所述认证请求中的当前的系统完整性值信息是经对称密钥加密后的当前系统完整性值;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用自身已保存的对称密钥对接收到的信息进行解密,如果解密成功,则接收到的信息可信,如果解密未成功,则接收到的信息不可信。
较佳地,该方法进一步包括:待接入设备中预先保存有网络接入认证设备的系统完整性值;
待接入设备获取网络接入认证设备当前的系统完整性值,验证所获取网络接入认证设备的当前系统完整性值与自身已保存的该网络接入认证设备的系统完整性值一致后,再执行步骤a。
较佳地,所述网络接入认证设备由一个服务器构成,或者,由防火墙、交换机或路由器与认证服务器共同构成。
较佳地,认证失败后,该方法进一步包括:网络接入认证设备向待接入设备发送指示该待接入设备当前不安全的告警提示。
较佳地,所述网络接入认证设备和待接入设备之间交互的信息由SSL协议、TLS协议、IPv6协议、或IPSec的IKE协议承载。
较佳地,所述网络接入认证设备和待接入设备之间交互的信息由SSL协议或TLS协议承载时,步骤a所述待接入设备在接收到来自server的ServerHello信息后,将完整性值信息随握手协议发送给网络接入认证设备,或者,步骤a所述待接入设备在发送的ClientHello中包含完整性值信息;所述网络接入认证设备和待接入设备之间交互的信息由IPv6协议或IPSec的IKE协议承载时,步骤a所述待接入设备发送HDR,SA时将完整性值信息随握手协议发送给网络接入认证设备。
应用本发明,其关键是网络接入认证设备内预先保存待接入设备的系统完整性值,以及该待接入设备与其系统完整性值的对应关系。当待接入设备需要接入网络时,其获取自身当前的系统完整性值,将当前的系统完整性值发送给网络接入认证设备;网络接入认证设备判断接收到的该待接入设备当前的系统完整性值与自身已保存的该待接入设备的完整性值是否一致,如果一致,则通过网络接入认证,否则网络接入认证失败。这样,使网络接入认证设备能够确认当前待接入设备的真正状态,确保了接入网络的设备是真正安全的,进而保证了网络的安全。
附图说明
图1所示为应用本发明的一实施例的实现流程示意图;
图2所示为应用本发明的待接入设备计算自身的基本系统完整性值的流程示意图。
具体实施方式
下面结合附图及具体实施例对本发明再做进一步地详细说明。
本发明的思路是:网络接入认证设备内预先保存待接入设备的系统完整性值,以及每个待接入设备与其系统完整性值的对应关系。当待接入设备需要接入网络时,其获取自身当前的系统完整性值,将当前的系统完整性值发送给网络接入认证设备;网络接入认证设备判断接收到的该待接入设备当前的系统完整性值与自身已保存的该待接入设备的完整性值是否一致,如果一致,则网络接入认证通过,否则网络接入认证失败。
图1所示为应用本发明的一实施例的实现流程示意图。网络接入认证设备预先保存待接入设备已计算出的其自身的系统完整性值,以及每个待接入设备与其自身的系统完整性值的对应关系,且待接入设备预先生成有公私钥,该公私钥已经可信第三方签署。
步骤101,待接入设备获取自身当前的系统完整性值,应用上述私钥对当前的系统完整性值进行签名;之后,向网络接入认证设备发送认证请求,该认证请求中包括:当前的系统完整性值,当前的系统完整性值的签名以及所述公钥;
步骤102,网络接入认证设备接收到来自待接入设备的信息后,应用接收到的公钥验证接收到的签名是否正确,如果签名正确,则表示接收到的信息可信,执行步骤103;如果签名不正确则表示接收到的信息不可信,网络接入认证失败。
步骤103,网络接入认证设备根据接收到的认证请求以及所述对应关系,获取该待接入设备的系统完整性值,判断该接收到的待接入设备的当前系统完整性值与自身已保存的该待接入设备所对应的系统完整性值是否一致,如果一致,则网络接入认证通过,否则网络接入认证失败。
如果网络接入认证失败,网络接入认证设备可以进一步向待接入设备发送指示该待接入设备当前不安全的告警提示,如提示待接入设备存在安全漏洞,或提示待接入设备已受到攻击等。
至此,网络接入认证设备完成了对待接入设备的接入认证。
上述当前的系统完整性值可以为基本系统完整性值,也可以为基本系统完整性值和用于网络接入的模块一起计算出的完整性值。
如果当前的系统完整性值是基本系统完整性值,则步骤101所述待接入设备获取自身当前的系统完整性值的方法为:待接入设备每次启动时,计算自身当前的基本系统完整性值,保存该当前的基本系统完整性值于安全存储部件中;当需要接入网络时,待接入设备从安全存储部件中直接取出该基本系统完整性值作为当前的系统完整性值。
如果当前的系统完整性值是基本系统完整性值和用于网络接入的模块一起计算出的完整性值,则步骤101所述待接入设备获取自身当前的系统完整性值的方法为:待接入设备每次启动时,计算自身当前的基本系统完整性值,保存该当前的基本系统完整性值于安全存储部件中;当需要接入网络时,待接入设备从安全存储部件中取出基本系统完整性值,与用于网络接入的模块一起进行计算,将计算出的值作为自身当前的系统完整性值。所述用于网络接入的模块包括链路层网络驱动模块、网络层和传输层协议软件模块和网络接入应用软件模块。
参见图2,图2所示为应用本发明的待接入设备计算自身的基本系统完整性值的流程示意图。在本实施例中,待接入设备为计算机。
步骤201,计算机每次电源开启后,由CPU计算系统ROM,以及基本输入输出系统(BIOS)或可扩展固件界面(EFI)的固件代码以及硬件配置参数的完整性值,并将其存储在安全存储部件中。
步骤202,在BIOS或EFI启动后,计算系统所有已经配置完成的参数信息、主引导扇区和系统引导分区的完整性值,并将其存储在安全存储部件中;所述已经配置完成的参数信息包括:CPU微码软件,系统各类功能的使能(enable或disable)状态配置,各类认证口令,磁盘配置参数,外设配置参数以及安全功能配置参数等。
步骤203,在BIOS或EFI装入引导操作系统之前,计算操作系统装入代码的完整性值,并将其存储在安全存储部件中。
步骤204,在操作系统装入代码后,计算操作系统内核、系统启动文件、系统配置文件和驱动软件的完整性值,并将其存储在安全存储部件中。
步骤205,在操作系统启动后,计算应用软件的完整性值,并将其存储在安全存储部件中。
步骤206,根据步骤201至步骤205所述的所有完整性值,计算基本系统完整性值。
上述安全存储部件为安全芯片(TPM,Trusted Platform Module)、或具有安全保护功能的硬盘、或USB-key,或smart-card。
图1所示流程仅为一实施例而已,当然还可以有多种实现方式,比如:
待接入设备预先生成公私钥,且该公私钥经可信第三方签署后,已将公钥预先存储在了网络接入认证设备中;此时,步骤101中所述向网络接入认证设备发送的认证请求中只需包含当前的系统完整性值,以及当前的系统完整性值的签名即可;其它实现步骤不变。
再比如:待接入设备预先生成了公私钥,但该公私钥未经可信第三方签署;此时,步骤101中所述向网络接入认证设备发送的认证请求中需包含当前的系统完整性值,当前的系统完整性值的签名、匿名身份证书以及所述公钥;网络接入认证设备接收到来自待接入设备的信息后,首先应用接收到的匿名身份证书验证发送方身份是否合法,如合法,再应用接收到的公钥验证签名是否准确,并继续执行后续步骤,如果验证发送方的身份不合法,则网络接入认证失败,并结束。
再比如:待接入设备和网络接入认证设备之间传送的信息不使用公私钥保护,而使用对称密钥的方式保护,即不需要待接入设备生成公私钥,而是待接入设备和网络接入认证设备中预先存储有对称密钥;此时,待接入设备应用对称密钥对当前的系统完整性值进行加密后,将加密后的当前系统完整性值包含在认证请求信息中发送给网络接入认证设备,网络接入认证设备则对接收到的信息进行解密,解密成功后,进行完整性判断操作。
上述待接入设备无论采用公私钥的方式还是对称密钥的方式保护当前的系统完整性值,都是为了保证网络接入认证设备所接收到的系统完整性值是可信的,是传输途中未被更改过的。
当然,待接入设备也可以直接将自身当前的系统完整性值以文明的方式传送给网络接入认证设备,而不对所传输出的系统完整性值进行保护,该传送方式不安全,在此并不推荐。
上述计算系统完整性值的操作是由待接入设备内的完整性信息采集模块执行的,上述签名或加密操作,是由待接入设备内的签名加密模块完成的。网络接入认证设备所执行的验证操作是由其内的认证模块完成的。
为了进一步保证网络接入认证的安全可信性,待接入设备也可以对网络接入认证设备进行完整性验证,以确认该网络接入认证设备是否为安全可信的。此时待接入设备内还具有用于执行的验证操作的验证模块,网络接入认证设备还具有用于计算系统完整性值的完整性信息采集模块以及执行签名或加密操作的签名加密模块。
具体实现过程与网络接入认证设备验证待接入设备的过程一致,即:
待接入设备中预先保存网络接入认证设备的系统完整性值;待接入设备接收来自网络接入认证设备的当前系统完整性值后,验证所接收的当前系统完整性值与自身已保存的该网络接入认证设备的系统完整性值是否一致,如果一致,再执行图1所述流程,如果不一致,则直接结束。
网络接入认证设备将自身的当前系统完整性值传送给待接入设备时,也可以采用上述公私钥或对称密钥的方式加以保护,以确保所传送的信息在传输途中的安全。具体应用公私钥或对称密钥的方式与上述方式相同,在此不再重复描述。
以上所述网络接入认证设备由一个服务器构成,或者,由防火墙、交换机或路由器与认证服务器共同构成。当网络接入认证设备由一个服务器构成时,该服务器完成接收信息、验证信息可信以及验证完整性的操作;当网络接入认证设备由防火墙、交换机或路由器与认证服务器共同构成时,由防火墙、交换机或路由器将接收到来自待接入设备的信息传送给服务器,由服务器执行验证信息可信以及验证完整性的操作,之后,服务器将验证结果返回给防火墙或路由器,由防火墙或路由器将验证结果信息返回给待接入设备。
上述网络接入认证设备和待接入设备之间交互的信息由安全套接字(SSL,Secure Socket Layer)协议、传输层安全(TLS,Transport LayerSecurity)协议、IPv6协议、或IP安全协议(IPSec,Internet protocol Security)中的密钥交换(IKE,Internet Key Exchange)协议承载。下面再进一步说明当网络接入认证设备和待接入设备之间由上述协议承载时,待接入设备发送完整性值的时机。对于待接入设备的具体发送方式,以及网络接入认证设备的认证方式,均与上述方式相同,下面不再详细说明。
当网络接入认证设备和待接入设备之间为SSL或TLS协议时,所述待接入设备为客户端(client),所述网络接入认证设备为server。此时,当client接收到来自server的ServerHello后,将已计算出的完整性值随握手协议发送给server,由server验证接收到的完整性值与预先存储的是否一致,如果一致,则继续握手协议,否则停止握手协议。或者,client将已计算出的完整性值随ClientHello发送给server;在server接收到来自client的ClientHello后验证收到的完整性值与预先存储的是否一致,如果一致,则继续握手协议,否则停止握手协议。
当网络接入认证设备和待接入设备之间为IPv6或IPSec的IKE协议时,所述待接入设备作为发起方(Initiator),所述网络接入认证设备作为响应方(Responder)。在Initiator发送HDR,SA时将完整性值随握手协议发送给网络接入认证设备,由网络接入认证设备则验证接收到的完整性值与预先存储的是否一致,如果一致,则表明认证成功,并继续后续操作,否则停止握手协议。
如果是单独发送包含完整性值的报文,则该报文中至少包含完整性值的标识信息、长度信息以及具体的完整性值信息。如果是随现有的报文一起发送完整性值,则在现有的报文中增加多个字段,以承载完整性值的标识信息、长度信息以及具体的完整性值信息,或应用现有报文中的保留字段承载完整性值的标识信息、长度信息以及具体的完整性值信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1、一种实现网络接入认证的方法,其特征在于,网络接入认证设备预先保存待接入设备已计算出的其自身的系统完整性值,以及每个待接入设备与其自身的系统完整性值的对应关系,该方法包括以下步骤:
a、待接入设备获取自身当前的系统完整性值,向网络接入认证设备发送包含当前的系统完整性值信息的认证请求;
b、网络接入认证设备根据接收到的认证请求以及所述对应关系,判断接收到的该待接入设备当前的系统完整性值与自身已保存的该待接入设备的系统完整性值是否一致,如果一致,则网络接入认证通过,否则网络接入认证失败。
2、根据权利要求1所述的方法,其特征在于,
所述当前的系统完整性值为基本系统完整性值;
步骤a所述待接入设备获取自身当前的系统完整性值的方法为:
所述待接入设备启动时,计算自身的当前的基本系统完整性值,保存该当前的基本系统完整性值于安全存储部件中;当需要接入网络时,待接入设备从安全存储部件中直接取出该基本系统完整性值作为当前的系统完整性值。
3、根据权利要求1所述的方法,其特征在于,
所述当前的系统完整性值为基本系统完整性值和用于网络接入的模块一起计算出的完整性值;
步骤a所述待接入设备获取自身当前的系统完整性值的方法为:所述待接入设备启动时,计算自身的基本系统完整性值,保存该当前的基本系统完整性值于安全存储部件中;当需要接入网络时,待接入设备从安全存储部件中取出基本系统完整性值,与用于网络接入的模块一起进行完整性计算,获取该计算出的值为自身当前的系统完整性值。
4、根据权利要求3所述的方法,其特征在于,所述用于网络接入的模块包括链路层网络驱动模块、网络层和传输层协议软件模块和网络接入应用软件模块。
5、根据权利要求2或3所述的方法,其特征在于,所述待接入设备为计算机,所述计算自身的基本系统完整性值的过程包括以下步骤:
i、计算机电源开启后,CPU计算系统ROM,以及BIOS或EFI固件代码以及硬件配置参数的完整性值,并将其存储在安全存储部件中;
ii、在BIOS或EFI启动后,计算系统所有已经配置完成的参数信息、主引导扇区和系统引导分区的完整性值,并将其存储在安全存储部件中;
iii、在BIOS或EFI装入引导操作系统之前,计算操作系统装入代码的完整性值,并将其存储在安全存储部件中;
iv、在操作系统装入代码后,计算操作系统内核、系统启动文件、系统配置文件和驱动软件的完整性值,并将其存储在安全存储部件中;
v、在操作系统启动后,计算应用软件的完整性值,并将其存储在安全存储部件中;
vi、根据步骤i至步骤vi所述的所有完整性值,计算基本系统完整性值。
6、根据权利要求5所述的方法,其特征在于,所述已经配置完成的参数信息包括:CPU微码软件,系统各类功能的使能(enable或disable)状态配置,各类认证口令,磁盘配置参数,外设配置参数,安全功能配置参数。
7、根据权利要求2或3所述的方法,其特征在于,安全存储部件为安全芯片TPM、或具有安全保护功能的硬盘、或USB-key,或smart-card。
8、根据权利要求1所述的方法,其特征在于,步骤a所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文。
9、根据权利要求1所述的方法,其特征在于,步骤b所述网络接入认证设备接收到来自待接入设备的信息后,进一步包括:对接收到的信息的可信性进行验证,验证通过后再继续执行后续步骤。
10、根据权利要求9所述的方法,其特征在于,
待接入设备预先生成公私钥,且该公私钥经可信第三方签署;
步骤a所述待接入设备发送认证请求之前,进一步包括:应用所述私钥对当前的系统完整性值进行签名;所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文,且该认证请求中进一步包括:当前的系统完整性值的签名以及所述公钥;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用接收到的公钥验证接收到的签名是否正确,如果签名正确,则接收到的信息可信,如果签名不正确则接收到的信息不可信。
11、根据权利要求9所述的方法,其特征在于,待接入设备预先生成公私钥,且该公私钥经可信第三方签署,网络接入认证设备中预先存储有所述公钥;
步骤a所述待接入设备发送认证请求之前,进一步包括:应用所述私钥对当前的系统完整性值进行签名;所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文,且该认证请求中进一步包括:当前的系统完整性值的签名;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用预先存储的公钥验证接收到的签名是否正确,如果签名正确,则接收到的信息可信,如果签名不正确则接收到的信息不可信。
12、根据权利要求9所述的方法,其特征在于,待接入设备预先生成公私钥,该公私钥未经可信第三方签署;
步骤a所述待接入设备发送认证请求之前,进一步包括:应用所述私钥对当前的系统完整性值进行签名;所述认证请求中的当前的系统完整性值信息为当前的系统完整性值的明文,且该认证请求中进一步包括:将当前的系统完整性值的签名、匿名身份证书以及所述公钥;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用接收到的匿名身份证书验证发送方身份合法后,应用接收到的公钥验证签名是否正确,如果签名正确,则接收到的信息可信,如果签名不正确则接收到的信息不可信。
13、根据权利要求9所述的方法,其特征在于,待接入设备和网络接入认证设备中预先存储有对称密钥;
步骤a所述待接入设备发送认证请求之前进一步包括:应用所述对称密钥对当前的系统完整性值进行加密,所述认证请求中的当前的系统完整性值信息是经对称密钥加密后的当前系统完整性值;
所述对接收到的信息的可信性进行验证的方法为:网络接入认证设备应用自身已保存的对称密钥对接收到的信息进行解密,如果解密成功,则接收到的信息可信,如果解密未成功,则接收到的信息不可信。
14、根据权利要求1或9所述的方法,其特征在于,该方法进一步包括:待接入设备中预先保存有网络接入认证设备的系统完整性值;
待接入设备获取网络接入认证设备当前的系统完整性值,验证所获取网络接入认证设备的当前系统完整性值与自身已保存的该网络接入认证设备的系统完整性值一致后,再执行步骤a。
15、根据权利要求1所述的方法,其特征在于,所述网络接入认证设备由一个服务器构成,或者,由防火墙、交换机或路由器与认证服务器共同构成。
16、根据权利要求1所述的方法,其特征在于,认证失败后,该方法进一步包括:网络接入认证设备向待接入设备发送指示该待接入设备当前不安全的告警提示。
17、根据权利要求1或9所述的方法,其特征在于,
所述网络接入认证设备和待接入设备之间交互的信息由SSL协议或TLS协议承载时,步骤a所述待接入设备在接收到来自server的ServerHello信息后,将完整性值信息随握手协议发送给网络接入认证设备,或者,步骤a所述待接入设备在发送的ClientHello中包含完整性值信息;
所述网络接入认证设备和待接入设备之间交互的信息由IPv6协议或IPSec的IKE协议承载时,步骤a所述待接入设备发送HDR,SA时将完整性值信息随握手协议发送给网络接入认证设备。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005100511173A CN1703004B (zh) | 2005-02-28 | 2005-02-28 | 一种实现网络接入认证的方法 |
| JP2007556479A JP2008532124A (ja) | 2005-02-28 | 2005-12-08 | ネットワークアクセス認証を実現する方法 |
| PCT/CN2005/002129 WO2006089473A1 (fr) | 2005-02-28 | 2005-12-08 | Méthode pour effectuer l’authentification d’accès réseau |
| US11/817,189 US8037306B2 (en) | 2005-02-28 | 2005-12-08 | Method for realizing network access authentication |
| GB0718493A GB2439240B (en) | 2005-02-28 | 2005-12-08 | A method for realizing network access authentication |
| DE112005003479.8T DE112005003479B4 (de) | 2005-02-28 | 2005-12-08 | Ein Verfahren zum Realisieren einer Netzzugriffsauthentifizierung |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005100511173A CN1703004B (zh) | 2005-02-28 | 2005-02-28 | 一种实现网络接入认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1703004A true CN1703004A (zh) | 2005-11-30 |
| CN1703004B CN1703004B (zh) | 2010-08-25 |
Family
ID=35632541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100511173A Expired - Fee Related CN1703004B (zh) | 2005-02-28 | 2005-02-28 | 一种实现网络接入认证的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8037306B2 (zh) |
| JP (1) | JP2008532124A (zh) |
| CN (1) | CN1703004B (zh) |
| DE (1) | DE112005003479B4 (zh) |
| GB (1) | GB2439240B (zh) |
| WO (1) | WO2006089473A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010060292A1 (zh) * | 2008-11-03 | 2010-06-03 | 华为技术有限公司 | 平台完整性认证方法及系统、无线接入设备和网络设备 |
| WO2010083680A1 (zh) * | 2009-01-21 | 2010-07-29 | 华为技术有限公司 | 平台完整性验证的方法、接入设备、网络设备和网络系统 |
| CN101102180B (zh) * | 2006-07-03 | 2010-08-25 | 联想(北京)有限公司 | 基于硬件安全单元的系统间绑定及平台完整性验证方法 |
| CN101193426B (zh) * | 2006-11-24 | 2010-12-01 | 中兴通讯股份有限公司 | 保护通信系统接入过程完整性的方法 |
| CN101917438A (zh) * | 2010-08-23 | 2010-12-15 | 浪潮(北京)电子信息产业有限公司 | 在网络通信系统中访问控制方法和系统 |
| CN101232372B (zh) * | 2007-01-26 | 2011-02-02 | 华为技术有限公司 | 认证方法、认证系统和认证装置 |
| CN101483522B (zh) * | 2008-01-09 | 2012-04-04 | 华为技术有限公司 | 一种控制接入可信网络的方法、系统和设备 |
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN106375301A (zh) * | 2016-08-30 | 2017-02-01 | 成都源知信息技术有限公司 | 一种网络设备认证方法及认证设备 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340281B (zh) * | 2007-07-02 | 2010-12-22 | 联想(北京)有限公司 | 针对在网络上进行安全登录输入的方法和系统 |
| US8200736B2 (en) | 2007-12-24 | 2012-06-12 | Qualcomm Incorporated | Virtual SIM card for mobile handsets |
| US8649789B2 (en) * | 2009-06-08 | 2014-02-11 | Qualcomm Incorporated | Method and apparatus for switching virtual SIM service contracts when roaming |
| US8811969B2 (en) * | 2009-06-08 | 2014-08-19 | Qualcomm Incorporated | Virtual SIM card for mobile handsets |
| US20100311402A1 (en) * | 2009-06-08 | 2010-12-09 | Prasanna Srinivasan | Method and apparatus for performing soft switch of virtual sim service contracts |
| US8634828B2 (en) * | 2009-06-08 | 2014-01-21 | Qualcomm Incorporated | Method and apparatus for switching virtual SIM service contracts based upon a user profile |
| US8639245B2 (en) * | 2009-06-08 | 2014-01-28 | Qualcomm Incorporated | Method and apparatus for updating rules governing the switching of virtual SIM service contracts |
| US8676180B2 (en) * | 2009-07-29 | 2014-03-18 | Qualcomm Incorporated | Virtual SIM monitoring mode for mobile handsets |
| US20110191581A1 (en) * | 2009-08-27 | 2011-08-04 | Telcordia Technologies, Inc. | Method and system for use in managing vehicle digital certificates |
| US9721101B2 (en) * | 2013-06-24 | 2017-08-01 | Red Hat, Inc. | System wide root of trust chaining via signed applications |
| US9208318B2 (en) | 2010-08-20 | 2015-12-08 | Fujitsu Limited | Method and system for device integrity authentication |
| CN101984577B (zh) * | 2010-11-12 | 2013-05-01 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
| US8863256B1 (en) | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| CN102184111B (zh) * | 2011-04-29 | 2015-08-19 | 杭州海康威视数字技术股份有限公司 | 操作系统在线升级方法及带操作系统的设备 |
| US9992024B2 (en) * | 2012-01-25 | 2018-06-05 | Fujitsu Limited | Establishing a chain of trust within a virtual machine |
| US9510194B2 (en) * | 2013-06-28 | 2016-11-29 | Intel Corporation | Open and encrypted wireless network access |
| US10097513B2 (en) * | 2014-09-14 | 2018-10-09 | Microsoft Technology Licensing, Llc | Trusted execution environment extensible computing device interface |
| CN105119940A (zh) * | 2015-09-16 | 2015-12-02 | 北京博维亚讯技术有限公司 | 基于本地认证802.1x认证系统认证方法及认证设备 |
| CN109547400A (zh) * | 2017-09-22 | 2019-03-29 | 三星电子株式会社 | 通信方法、完整性验证方法和客户端的服务器注册方法 |
| CN109861824A (zh) * | 2018-12-25 | 2019-06-07 | 航天信息股份有限公司 | 一种用于物联网的可信装置 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6185678B1 (en) * | 1997-10-02 | 2001-02-06 | Trustees Of The University Of Pennsylvania | Secure and reliable bootstrap architecture |
| US7409546B2 (en) * | 1999-10-20 | 2008-08-05 | Tivo Inc. | Cryptographically signed filesystem |
| GB0020441D0 (en) * | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Performance of a service on a computing platform |
| EP1187415A1 (de) * | 2000-09-05 | 2002-03-13 | Siemens Aktiengesellschaft | Verfahren zur Identifikation von Internet-Nutzern |
| TW480444B (en) * | 2000-11-29 | 2002-03-21 | Mitac Technology Corp | Computer system boot-up method capable of completing the startup procedure even the system BIOS code is damaged |
| JP3989197B2 (ja) | 2001-07-06 | 2007-10-10 | 日本電信電話株式会社 | パケット廃棄装置 |
| JP2003079483A (ja) | 2001-09-13 | 2003-03-18 | Tm:Kk | クッション |
| CN1200532C (zh) * | 2001-12-05 | 2005-05-04 | 上海卓扬科技有限公司 | 一种宽带接入网络的用户识别方法 |
| US7661134B2 (en) * | 2001-12-21 | 2010-02-09 | Cybersoft, Inc. | Apparatus, methods and articles of manufacture for securing computer networks |
| US6715085B2 (en) * | 2002-04-18 | 2004-03-30 | International Business Machines Corporation | Initializing, maintaining, updating and recovering secure operation within an integrated system employing a data access control function |
| CA2431076A1 (en) * | 2002-05-29 | 2003-11-29 | F. Mervyn Cavers | Access system, device and method |
| CN1180566C (zh) * | 2002-08-26 | 2004-12-15 | 联想(北京)有限公司 | 一种实现网络设备间安全可靠互连的方法 |
| US7661127B2 (en) * | 2002-11-12 | 2010-02-09 | Millipore Corporation | Instrument access control system |
| JP4399704B2 (ja) * | 2003-03-27 | 2010-01-20 | ソニー株式会社 | 情報処理装置および方法、プログラム、並びに記録媒体 |
| US20040250121A1 (en) * | 2003-05-06 | 2004-12-09 | Keith Millar | Assessing security of information technology |
| US7591017B2 (en) * | 2003-06-24 | 2009-09-15 | Nokia Inc. | Apparatus, and method for implementing remote client integrity verification |
| US7475427B2 (en) * | 2003-12-12 | 2009-01-06 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network |
| KR20070098835A (ko) * | 2004-11-29 | 2007-10-05 | 시그나서트, 인크. | 정보 시스템 구성요소 분석에 의해 계산된 트러스트스코어에 기초하여 네트워크 단말간의 액세스를 제어하는방법 |
| US7603422B2 (en) * | 2004-12-27 | 2009-10-13 | Microsoft Corporation | Secure safe sender list |
-
2005
- 2005-02-28 CN CN2005100511173A patent/CN1703004B/zh not_active Expired - Fee Related
- 2005-12-08 WO PCT/CN2005/002129 patent/WO2006089473A1/zh active Application Filing
- 2005-12-08 DE DE112005003479.8T patent/DE112005003479B4/de not_active Expired - Fee Related
- 2005-12-08 US US11/817,189 patent/US8037306B2/en active Active
- 2005-12-08 GB GB0718493A patent/GB2439240B/en not_active Expired - Fee Related
- 2005-12-08 JP JP2007556479A patent/JP2008532124A/ja active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102180B (zh) * | 2006-07-03 | 2010-08-25 | 联想(北京)有限公司 | 基于硬件安全单元的系统间绑定及平台完整性验证方法 |
| CN101193426B (zh) * | 2006-11-24 | 2010-12-01 | 中兴通讯股份有限公司 | 保护通信系统接入过程完整性的方法 |
| CN101232372B (zh) * | 2007-01-26 | 2011-02-02 | 华为技术有限公司 | 认证方法、认证系统和认证装置 |
| CN101483522B (zh) * | 2008-01-09 | 2012-04-04 | 华为技术有限公司 | 一种控制接入可信网络的方法、系统和设备 |
| WO2010060292A1 (zh) * | 2008-11-03 | 2010-06-03 | 华为技术有限公司 | 平台完整性认证方法及系统、无线接入设备和网络设备 |
| CN101729289B (zh) * | 2008-11-03 | 2012-04-04 | 华为技术有限公司 | 平台完整性认证方法及系统、无线接入设备和网络设备 |
| WO2010083680A1 (zh) * | 2009-01-21 | 2010-07-29 | 华为技术有限公司 | 平台完整性验证的方法、接入设备、网络设备和网络系统 |
| CN101784051B (zh) * | 2009-01-21 | 2012-11-21 | 华为技术有限公司 | 一种平台完整性验证的方法、网络设备和网络系统 |
| CN101917438A (zh) * | 2010-08-23 | 2010-12-15 | 浪潮(北京)电子信息产业有限公司 | 在网络通信系统中访问控制方法和系统 |
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN106375301A (zh) * | 2016-08-30 | 2017-02-01 | 成都源知信息技术有限公司 | 一种网络设备认证方法及认证设备 |
| CN106375301B (zh) * | 2016-08-30 | 2020-01-03 | 成都源知信息技术有限公司 | 一种网络设备认证方法及认证设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8037306B2 (en) | 2011-10-11 |
| CN1703004B (zh) | 2010-08-25 |
| WO2006089473A1 (fr) | 2006-08-31 |
| DE112005003479B4 (de) | 2015-06-03 |
| JP2008532124A (ja) | 2008-08-14 |
| GB2439240A (en) | 2007-12-19 |
| US20090019528A1 (en) | 2009-01-15 |
| GB0718493D0 (en) | 2007-10-31 |
| DE112005003479T5 (de) | 2008-03-27 |
| GB2439240B (en) | 2009-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1703004A (zh) | 一种实现网络接入认证的方法 | |
| US8037295B2 (en) | Hardware-bonded credential manager method and system | |
| US7299354B2 (en) | Method to authenticate clients and hosts to provide secure network boot | |
| US9258113B2 (en) | Username based key exchange | |
| US10242176B1 (en) | Controlled access communication between a baseboard management controller and PCI endpoints | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| CN1553349A (zh) | 一种安全芯片及基于该芯片的信息安全处理设备和方法 | |
| CN1703014A (zh) | 一种对被管理设备进行监控的方法 | |
| US10680816B2 (en) | Method and system for improving the data security during a communication process | |
| CN1897006A (zh) | 用于建立虚拟认证凭证的方法与装置 | |
| CN1722658A (zh) | 计算机系统的有效的和安全的认证 | |
| WO2014026518A1 (zh) | 软件密钥更新方法和装置 | |
| CN101064595A (zh) | 一种计算机网络安全输入认证系统和方法 | |
| CN104135494A (zh) | 一种基于可信终端的同账户非可信终端登录方法及系统 | |
| CN1929381A (zh) | 一种基于网络的软件保护方法 | |
| CN110855427B (zh) | 一种无人机身份认证方法及系统 | |
| Dua et al. | Replay attack prevention in Kerberos authentication protocol using triple password | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及系统 | |
| CN114584331A (zh) | 一种配电物联网边缘物联代理网络安全防护方法及系统 | |
| CN1702592A (zh) | 建立可信输入输出通道的方法 | |
| CN1897520A (zh) | 进行通信安全认证的方法和系统 | |
| CN1703005A (zh) | 一种实现网络接入认证的方法 | |
| US20050210247A1 (en) | Method of virtual challenge response authentication | |
| CN1728636A (zh) | 一种客户端认证的方法 | |
| KR101707602B1 (ko) | 해시 트리 기반 보안 메시지 인증 방법 및 이를 위한 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100825 Termination date: 20210228 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |