专利名称:一种基于可信认证网关实现计算机终端安全准入的方法
技术领域:
本发明涉及 一 种基于可信认证网关实现计算机终端安全准入的方 法,属于计算机安全技术领域。
背景技术:
计算机网络的发展,TCP/IP协议被Internet广泛使用,而使用 TCP/IP协议的两通信平台之间采用MAC和IP标识终端不是可信的,因 为MAC和IP是可以被随意更改的,即计算机终端在网络中身份可被伪 造,因此,通信实体之间在通信时无法验证对方的真实身份,也就是不 能验证对方是否可信。发明内容本发明的目的在于克服现有技术的缺点,提供 一 种基于可信认证 网关实现计算机终端安全准入的方法,实现计算机终端在网络上身份的 唯一性、不可伪造性、可鉴别性。本发明的技术方案是这样实现的所述的 一 种基于可信认证网关实 现计算机终端安全准入的方法,它包括以下程序1 )、计算机终端向可信认证网关发出接入请求;2 )、计算机终端向可信认证网关注册计算机终端的基本身份信息 该基本身份信息由计算机终端的硬件特征信息和软件特征信息组成;3)、可信认证网关形成该计算机终端的活性标签是根据计算机终 端提交的基本身份信息,利用可信认证网关的私钥对计算机终端的基本 身份信息、网关时间戳信息和计算机终端的公钥信息进行签名处理,形成该计算机终端的活性标签;4 )、可信认证网关验证活性标签的身份和权限;5)、可信认证网关判断是否合法它是判断活性标签的身份和权限是否合法;5.1) 、当活性标签的身份和权限非法,则可信认证网关阻止计算机 终端接入;5.2) 、当活性标签的身份和权限合法,则可信认证网关准许计算机终端接入。在上述技术方案基础上具有附加技术特征的、更进 一 歩技术方案有所述的计算机终端的硬件特征信息至少包括有下述两种机器标 识、网卡硬件编号、硬盘序列号及硬盘数据特征、光驱类型及序列号、USB信息、声卡信息、显卡信息;所述的计算机终端的软件特征信息包 括计算机操作系统信息及所安装的软件信息。所述的计算机终端的基本身份信息还包含由可信认证网关或第三 方CA中心根据该计算机的硬件特征信息和软件特征信 对称密钥信息和标准的X509数字证书。所述的 一 组非对称密钥信息,包括计算机私钥信息 中私钥信息作为数字签名使用,不对外公开;公钥信息 息使用,对外公开。所述的标准的X509数字证书,包括计算机身份信 信息,该标准的X509数字证书对外公丌。所述的对计算机终端的公钥信息进行签名处理是 网络中的其他计算机或可信认证网关通信时,对本计算 的数据包用本机的私钥进行签名处理;所述的对网关时 名处理是可信认证网关将网关的时间信息、计算机终 签名处理,保证计算机终端在网络中身份的不可伪造性。所述的计算机终端向可信认证网关发出接入请求,是计算机终端申 请接入和访问网络同时向网络边界的可信认证网关提交标识自身身份 的计算机终端活性标签。本发明的效果在于1 、实现了计算机终端在网络上身份的唯 一 性、 可鉴别性;2 、利用安全协议的技术方案解决了通信双方身份认证的问 题,改变了传统的基于IP与MAC标识 一 台终端的方法(IP与MAC可被 随意更改),从而避免了终端标识被非法篡改的可能,具有不可伪造性。息颁发的一组非和公钥信息,其作为验证身份信息和计算机公钥该计算机终端与机纟冬端发送出去间;i叫 截信息进行签A山 顿身份信息进行
图1为本发明方法的程序示意图。
具体实施方式
结合附图和实施例对本发明作进 一 步说明如下 如图1所示,所述的 一 种基于可信认证网关实现计算机终端安全准 入的方法,其程序为1 )、计算机终端向可信认证网关发出接入请求;2 )、 计算机终端向可信认证网关注册计算机终端的基本身份信息,该基本身 份信息由计算机终端的硬件特征信息和软件特征信息组成;所述的计算 机终端的硬件特征信息是机器标识、网卡硬件编号、硬盘序列号及硬盘数据特征、光驱类型及序列号、USB信息、声卡信息、显卡信息,当硬件特征信息是上述其中的两种、或三种组合或其他任意组合,则是不同的实施例;所述的计算机终端的软件特征信息是计算机操作系统信息及 所安装的软件信息;所述的计算机终端的基本身份信息还是由可信认证 网关或第三方CA中心根据该计算机的硬件特征信息和软件特征信息颁 发的 一 组非对称密钥信息和标准的X509数字证书;所述的 一 组非对称 密钥信息,是计算机私钥信息和公钥信息,其中私钥信息作为数字签名 使用,不对外公丌;公钥信息作为验证身份信息使用,对外公开;所述 的标准的X509数字证书,有计算机身份信息和计算机公钥信息,该标 准的X509数字证书对外公开;3)、可信认证网关形成该计算机终端的 活性标签是根据计算机终端提交的基本身份信息,利用可信认证网关 的私钥对计算机终端的基本身份信息、网关时间戳信息和计算机终端的 公钥信息进行签名处理,形成该计算机终端的活性标签;4)、可信认证 网关验证活性标签的身份和权限;5)、可信认证网关判断是否合法它 是判断活性标签的身份和权限是否合法;5. 1)、当活性标签的身份和权 限非法,则可信认证网关阻止计算机终端接入;5.2)、当活性标签的身 份和权限合法,则可信认证网关准许计算机终端接入;所述的对计算机 终端的公钥信息进行签名处理是该计算机终端与网络中的其他计算机 或可信认证网关通信时,对本计算机终端发送出去的数据包用本机的私 钥进行签名处理;所述的对网关时间戳信息进行签名处理是可信认证网关将网关的时间信息、计算机终端基本身份信息进行签名处理,保证 计算机终端在网络中身份的不可伪造性。在上述实施例基础上,就所述的计算机终端向可信认证网关发出接 入请求的方式而言,还有不同的实施例是计算机终端申请接入和访问 网络同时向网络边界的可信认证网关提交标识自身身份的计算机终端 活性标签。结合本发明技术原理、技术方案再举例对求发明作进 一 歩说明如 下(该例用来说明利用终端活性标签的通信流程,省略了对终端活性标 签的签名验证、IP数据包的加密、签名等。)三台终端HostA, HostB, HostCA白勺地址为IP : 192. 168. 10. 1合法标签AA — AA — AA —AA — AA —AA B的地址为IP : 192. 168. 10. 2合法标签BB-BB-BB-BB-BB-BB C的地址为IP:192. 168. 10. 3无标签(没有经过网关的审核和授权)现在A向B发送一段数据XXX 1234 XXX,当这个数据包经过网络 层时,新增的安全协议将该包加入本机从服务器获得的终端活性标签, 形成如下数据XXX AA — AA — AA —AA-AA — AA 1234 XXX (注终端活性标签 的签名,I P包的加密、签名操作略),当B接受到A发來的数据XXX AA-AA —AA —AA — AA — AA 1234 XXX日寸,首先验证该数据包里是否有A白勺合 法标签AA-AA-AA-AA-AA-AA,如果判断A的标签合法,则将数据包还原 成XXX 1234 XXX,并转发给上一层驱动;否则进行丢包处理;A向C发送一段数据XXX 1234 XXX,当这个数据包经过网络层时, 新增的安全协议将该包加入本机从服务器获得的终端活性标签,形成如 下数据XXX AA-AA-AA-AA-AA-AA 1234 XXX (注终端活性标签的签名, IP包的加密、签名操作略),当C接受到 A发来的数据XXX AA-AA-AA-AA-AA-AA 1234 XXX时,其系统层的程序会将它作为 一 个错 误的数据包处理,执行丢包处理;C向A发送 一 段数据XXX 1 234 XXX ,当C接受至J A发来的数据XXX 1234 XXX时,发现数据包内没有该机器的终端活性标签,执行丢包处 理。本发明保护范围不限于上述实施例。
权利要求
1.一种基于可信认证网关实现计算机终端安全准入的方法,其特征在于,包括以下程序1)、计算机终端向可信认证网关发出接入请求;2)、计算机终端向可信认证网关注册计算机终端的基本身份信息该基本身份信息由计算机终端的硬件特征信息利软件特征信息组成;3)、可信认证网关形成该计算机终端的活性标签是根据计算机终端提交的基本身份信息,利用可信认证网关的私钥对计算机终端的基本身份信息、网关时间戳信息和计算机终端的公钥信息进行签名处理,形成该计算机终端的活性标签;4)、可信认证网关验证活性标签的身份和权限;5)、可信认证网关判断是否合法它是判断活性标签的身份和权限是否合法;5.1)、当活性标签的身份和权限非法,则可信认证网关阻止计算机终端接入;5.2)、当活性标签的身份和权限合法,则可信认证网关准许计算机终端接入。
2. 根据权利要求1所述的方法,其特征在于,所述的计算机终端的硬件特征信息至少包括有下述两种机器标识、网卡硬件编号、硬盘序列号及硬盘数据特征、光驱类型及序列号、USB信息、声卡信息、显 卡信息;所述的计算机终端的软件特征信息至少包括计算机操作系统信 息及所安装的软件信息。
3. 根据权利要求1所述的方法,其特征在于,所述的计算机终端 的基本身份信息还包含由可信认证网关或第三方CA中心根据该计算机 的硬件特征信息和软件特征信息颁发的 一 组非对称密钥信息和标准的 X509数字证书。
4. 根据权利要求3所述的方法,其特征在于,所述的一组非对称 密钥信息,包括计算机私钥信息和公钥信息,其中私钥信息作为数字签名使用,不对外公开;公钥信息作为验证身份信息使用,对外公开。
5. 根据权利要求3所述的方法,其特征在于,所述的标准的X509 数字证书,包括计算机身份信息和计算机公钥信息,该标准的X509数 字证书对外公开。
6. 根据权利要求1所述的方法,其特征在于,所述的对计算机终 端的公钥信息进行签名处理是该计算机终端与网络中的其他计算机或 可信认证网关通信时,对本计算机终端发送出去的数据包用本机的私钥 进行签名处理;所述的对网关时间戳信息进行签名处理是可信认证网 关将网关的时间信息、计算机终端的基本身份信息进行签名处理,保证 计算机终端在网络中身份的不可伪造性。
7. 根据权利要求1所述的方法,其特征在于,所述的计算机终端 向可信认证网关发出接入请求,是计算机终端申请接入和访问网络同时 向网络边界的可信认证网关提交标识自身身份的计算机终端活性标签。
全文摘要
本发明涉及一种基于可信认证网关实现计算机终端安全准入的方法,属于计算机安全技术领域。包括以下程序1)计算机终端向网关发出接入请求;2)向网关注册计算机终端的基本身份信息;3)网关形成该计算机终端的活性标签;4)可信认证网关验证活性标签的身份和权限;5)可信认证网关判断是否合法;5.1)当活性标签的身份和权限非法,则阻止计算机终端接入;5.2)当活性标签的身份和权限合法,则准许计算机终端接入。本发明的效果在于1.实现了计算机终端在网络上身份的唯一性、可鉴别性;2.避免了终端标识被非法篡改的可能,具有不可伪造性。
文档编号H04L9/32GK101330494SQ200710052498
公开日2008年12月24日 申请日期2007年6月19日 优先权日2007年6月19日
发明者乔 余, 毅 刘, 庆 吴, 张大鹏, 陈碧碧, 韩勇桥, 龚超雄 申请人:瑞达信息安全产业股份有限公司