一種終端設(shè)備網(wǎng)絡(luò)安全增強接入與認證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全領(lǐng)域����,尤其涉及一種終端設(shè)備網(wǎng)絡(luò)安全增強接入與認證方 法�����。
【背景技術(shù)】
[0002] 身份認證是安全技術(shù)的一個重要方面��,用于鑒別用戶身份��,限制非法用戶訪問系 統(tǒng)資源。在任何一個安全的網(wǎng)絡(luò)通信中��,通信各方必須通過某種形式的身份驗證機制來證 明他們的身份��,然后才能實現(xiàn)對于不同用戶的訪問控制����。身份認證是安全系統(tǒng)的第一道關(guān) 卡,用戶在訪問系統(tǒng)之前��,首先經(jīng)過身份認證系統(tǒng)識別其身份是否與所宣稱的一致�,然后由 安全系統(tǒng)根據(jù)用戶的身份和售前數(shù)據(jù)庫決定用戶是否能夠訪問某個資源。一旦身份認證系 統(tǒng)被攻破�����,那么系統(tǒng)的所有安全措施將形同虛設(shè)�����。黑客攻擊的目標(biāo)往往就是身份認證系統(tǒng)�, 完善的身份認證體系對維護網(wǎng)絡(luò)安全起著十分重要的作用���,因此構(gòu)建一個安全的身份認證 模型很必要����。
[0003]目前主要的身份認證方式大致可分為三類:(1)只有該主體知道的秘密,通常使 用"用戶名+ 口令"的形式�;客戶端將上述信息傳送到認證中心,認證中心從數(shù)據(jù)庫中查詢 相應(yīng)項����,如果和用戶提供的信息相符則認證通過。(2)主體擁有的物品��,如手機����、智能終端、 智能卡或USBKey�、紙片等物理介質(zhì);系統(tǒng)合法用戶都持有一個令牌才可在認證網(wǎng)關(guān)通過����, 其中產(chǎn)生或存儲用戶的個人參數(shù)如動態(tài)密碼、電子證書等����。當(dāng)用戶訪問資源時,通過物理介 質(zhì)中的數(shù)據(jù)將認證識別語言發(fā)送給系統(tǒng)����。(3)只有該主體具有的獨一無二的特征或能力����,如 指紋��、瞳孔���、聲音等��;認證方根據(jù)提取被認證方的某些特征來認證身份�����,典型的特征如指紋�����、 虹膜����,DNA等��。
[0004] 通過研究�����,我們認為:目前導(dǎo)致安全事件的主要原因是主機軟����、硬件結(jié)構(gòu)存在設(shè)計 漏洞并且對用戶沒有進行嚴格的認證和授權(quán)控制。傳統(tǒng)安全防范的重點放在對服務(wù)器和網(wǎng) 絡(luò)的保護上�,而忽略終端接入者本身的安全。但大多數(shù)的攻擊事件都是由終端接入者本身 不安全而引起的���,所以只有從終端接入的源頭上建立起安全體系���,內(nèi)外共防來構(gòu)造真正安 全可信的網(wǎng)絡(luò)環(huán)境。
[0005] 本發(fā)明人在參考現(xiàn)有認證技術(shù)和可信計算的特點基礎(chǔ)上�,提出了一種終端設(shè)備網(wǎng) 絡(luò)安全增強接入與認證方法。該方法的基本思想是通過評估接入終端設(shè)備的安全狀態(tài)信息 來實施網(wǎng)絡(luò)訪問控制�,在向終端設(shè)備提供內(nèi)部網(wǎng)絡(luò)服務(wù)或資源前,根據(jù)其身份認證結(jié)果和 完整性狀態(tài)允許接入與否����。將"隱患終端"擯棄在網(wǎng)絡(luò)之外,構(gòu)建一個"干凈的"����、"可信賴" 的網(wǎng)絡(luò)�����,從而減少網(wǎng)絡(luò)安全事件發(fā)生的頻率�����,提高網(wǎng)絡(luò)應(yīng)對安全威脅的能力�����。
[0006] 在實現(xiàn)本發(fā)明的過程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有對終端設(shè)備網(wǎng)絡(luò)安全接入的方法至少存 在如下問題:1�����、終端設(shè)備的認證因子較多��,填寫的信息包含了名稱���、類型、代理服務(wù)器、端 口�����、用戶名�、密碼等輸入項�,一些專有術(shù)語非專業(yè)人員不了解或很難理解;2��、傳統(tǒng)的終端設(shè) 備安全系統(tǒng)如主機防火墻�����、主機病毒軟件等可以發(fā)現(xiàn)系統(tǒng)的安全隱患�,進行安全評估,但無 法控制該終端的網(wǎng)絡(luò)訪問權(quán)限����,因此也無法降低不安全終端給網(wǎng)絡(luò)造成的危害。當(dāng)前終端 設(shè)備安全系統(tǒng)只重視保護本地終端使其免受病毒危害與網(wǎng)絡(luò)攻擊����,卻忽視了終端設(shè)備的安 全隱患會影響到整個網(wǎng)絡(luò)的安全,并未把主機安全納入到全網(wǎng)安全的領(lǐng)域���。3���、傳統(tǒng)的以防 火墻�、入侵監(jiān)測和病毒防范軟件為主要構(gòu)成的信息安全系統(tǒng)以防外為重點����,不能有效解決 由不安全終端引起的內(nèi)部安全威脅。4��、認證過程中��,認證因子直接暴露在網(wǎng)絡(luò)上進行傳輸�, 很容易被非法獲取�;5、對于有較高安全要求的系統(tǒng)或者網(wǎng)絡(luò)�,安全域采取多因子安全認證 技術(shù)提高安全認證級別,現(xiàn)有的授權(quán)與認證技術(shù)需要示證用戶傳輸所有的認證因子����,例如 用戶密碼、用戶特征值���、系統(tǒng)終端介質(zhì)等多重信息���,導(dǎo)致網(wǎng)絡(luò)流量大���,在網(wǎng)絡(luò)帶寬有限的情 況下,尤其是移動通信網(wǎng)絡(luò)下�����,因認證數(shù)據(jù)傳輸時間較長而直接導(dǎo)致認證過程耗時很長��; 與現(xiàn)有技術(shù)相比��,本發(fā)明能有效的解決現(xiàn)有技術(shù)不能對終端設(shè)備進行自驗證和阻止中 間人攻擊的問題�。對比以前�,在本發(fā)明在對終端設(shè)備的登記注冊、接入申請���、接入認證方面 有了明顯的創(chuàng)新�。本方法在較以往終端設(shè)備接入方式上有了明顯的創(chuàng)新���,采用了多重認證 因子組合編碼的做法��,在認證過程中不傳輸認證因子���,更能有效的保護接入安全�����,防止認證 因子被竊取�,其次對終端設(shè)備的接入認證進行二次認證����,保障了終端設(shè)備的接入安全,防止 了中間人對接入點信息的竊取和盜用���。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明實施例提供一種終端設(shè)備網(wǎng)絡(luò)安全增強接入與認證方法�����,以在安全域內(nèi)對 終端設(shè)備進行認證時提高多認證因子傳輸安全性�����、減少認證數(shù)據(jù)網(wǎng)絡(luò)傳輸流量�,減少認證 時長���。
[0008] 根據(jù)本發(fā)明的第一方面�����,提供一種終端設(shè)備網(wǎng)絡(luò)安全增強接入與認證方法�����,用于 安全域的終端設(shè)備的認證過程��,所述安全域包括驗證網(wǎng)關(guān)���,該終端設(shè)備網(wǎng)絡(luò)安全增強接入 與認證方法包括: 終端設(shè)備接入登記注冊步驟,在該注冊步驟中��,選取終端設(shè)備部分關(guān)鍵基礎(chǔ)信息做為 認證因子存儲到驗證網(wǎng)關(guān)��,把認證因子存儲到驗證網(wǎng)關(guān)的過程稱為登記注冊�; 生成安全增強認證碼步驟,驗證網(wǎng)關(guān)將存儲的認證因子按照特定的排列順序組合�,采 用特殊的計算方法生成安全增強認證碼,并將生成的安全增強認證碼賦予到終端設(shè)備中存 儲���,終端設(shè)備申請接入時先讀取自身存儲的認證因子采用約定的排列順序組合�,同時按照 約定的特殊計算方法�����,將讀取到的多個認證因子生成安全增強認證碼; 終端設(shè)備安全增強認證步驟��,終端設(shè)備先對自身驗證�,終端設(shè)備讀取自身存儲的部分 認證因子按照約定的排列順序組合,并采用約定的特殊計算方法生成的安全增強認證碼與 自身存儲的安全增強認證碼相匹配�,若不匹配,提示自驗證失敗���,若匹配發(fā)出接入申請�,同 時將終端設(shè)備生成的安全增強認證碼發(fā)送到驗證網(wǎng)關(guān)���,驗證網(wǎng)關(guān)接收到安全增強認證碼與 自身存儲的安全增強認證碼匹配�����,匹配相同����,接入網(wǎng)絡(luò)�,否則提示接入失敗。
[0009] 根據(jù)本發(fā)明的第二方面的一種終端設(shè)備網(wǎng)絡(luò)安全增強接入與認證方法����,所述終端 設(shè)備接入登記注冊步驟包括: 在該注冊步驟中��,選取終端設(shè)備部分關(guān)鍵基礎(chǔ)信息做為認證因子存儲到驗證網(wǎng)關(guān)��,把 認證因子存儲到驗證網(wǎng)關(guān)的過程稱為登記注冊�,登記注冊不限定在線方式或離線方式�,本 方法支持驗證網(wǎng)關(guān)手工錄入認證因子,同時也支持驗證網(wǎng)關(guān)自動獲取終端設(shè)備的認證因 子�����; 根據(jù)本發(fā)明的第三方面的一種終端設(shè)備網(wǎng)絡(luò)安全增強接入與認證方法��,所述生成安全 增強認證碼的步驟包括: 驗證網(wǎng)關(guān)將存儲的認證因子按照特定的排列順序組合�����,采用特殊的計算方法生成安全 增強認證碼���,生成的安全增強認證碼存儲到驗證網(wǎng)關(guān)中,同時把生成的安全增強認證碼賦 予到終端設(shè)備中存儲���,終端設(shè)備申請接入時��,自動讀取終端設(shè)備中存儲的認證因子�,將讀取 到的認證因子按照約定的排列順序組合,經(jīng)約定的計算方法生成安全增強認證碼�����; 根據(jù)本發(fā)明的第四方面的一種終端設(shè)備網(wǎng)絡(luò)安全增強接入與認證方法����,所述終端設(shè)備 安全增強認證方法包括: 終端設(shè)備啟動接入申請時先讀取自身存儲的認證因子,按照約定排列順序組合����,經(jīng)特 殊計算方法生成安全增強認證碼,生成的安全增強認證碼與自身存儲的安全增強認證碼相 匹配����,不同提示自驗證失敗,若相同發(fā)出接入認證申請�����,發(fā)出的接入的認證申請包含生成的 安全增強認證碼�����,驗證網(wǎng)關(guān)接收到認證