專利名稱:一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)����,特別涉及一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法, 屬于計(jì)算機(jī)技術(shù)領(lǐng)域���。
背景技術(shù):
移動存儲設(shè)備�,如u盤����、移動硬盤等,因其體積小��、容量大等優(yōu)點(diǎn)�,已得到
廣泛應(yīng)用。作為數(shù)據(jù)交換的主要手段之一��,移動存儲設(shè)備正成為數(shù)據(jù)和信息的重 要載體����,但是我們也應(yīng)該看到����,移動存儲設(shè)備在給我們帶來極大方便的同時,也 給我們帶來了不少的安全隱患���。近幾年的安全防御調(diào)查也表明�����,政府���、企業(yè)單位
中超過70%的管理和安全問題來自單位內(nèi)部人員�����,特別是因?yàn)橐苿哟鎯橘|(zhì)的普 遍應(yīng)用��。
移動存儲設(shè)備使用靈活�����、方便的特性使得它在單位信息化過程中迅速得到了 廣泛的應(yīng)用����,越來越多的敏感信息�����、秘密數(shù)據(jù)和檔案資料被隨意的拷貝��、存貯在 移動存儲介質(zhì)里����。單位和個人持有的移動存儲設(shè)備不區(qū)分����,單位信息和個人信息 同時存儲在同一個存儲設(shè)備中���,秘密信息保管不善�����,或把病毒����、木馬等惡意代碼 帶入單位計(jì)算機(jī)網(wǎng)絡(luò)�����,這都給單位的信息資源帶來了巨大的安全隱患�����。
近年來屢屢發(fā)生的移動存儲介質(zhì)泄密����、竊密案件給國家和企事業(yè)單位帶來 了不可估量的損失,也逐漸引起了國家和企事業(yè)單位的重視��,單位通過各種行政 管理手段對USB存儲設(shè)備做了相應(yīng)的規(guī)定���,但往往由于使用人對于單位保密意識 的淡漠或其他原因�����,仍然不可避免的產(chǎn)生了很多的問題���,過去有的單位采用了用 樹脂膠填充甚至手工強(qiáng)制拆除USB硬件組件的辦法,或者采用一些軟件對USB 口進(jìn)行阻斷等等���,但這些辦法又給工作效率的提高帶來了極大的障礙�����,與信息化 提高工作效率的初衷背道而馳�����,同時在使用過程中仍然缺乏相應(yīng)的監(jiān)管力度�,安 全隱患仍然存在�����。
同時,政府����、企事業(yè)單位對如何監(jiān)管、控制外來計(jì)算機(jī)等非授權(quán)設(shè)備的接入 方面頗費(fèi)腦筋���。
目前����,外來計(jì)算機(jī)等設(shè)備通過各種合法或非法手段接入單位內(nèi)部網(wǎng)絡(luò)��,由于 監(jiān)管�����、有效防范手段缺失��,導(dǎo)致機(jī)密信息的泄漏���,引發(fā)各種嚴(yán)重的信息安全問題、 甚至社會�、安全問題�。使用的隨意與有效防范手段缺失使外來計(jì)算機(jī)設(shè)備監(jiān)管成 為現(xiàn)階段的安全難點(diǎn)��。
如何鑒別這些外來計(jì)算機(jī)���、u盤�、移動硬盤等設(shè)備�,做好相關(guān)的監(jiān)管、控制
工作�,是政府、企事業(yè)單位做好信息安全防范的重要方面�。
在增強(qiáng)設(shè)備的可識別性基礎(chǔ)上,做好設(shè)備的準(zhǔn)入控制�����、訪問權(quán)限控制等方面 的管理����,才能保證設(shè)備的安全、可信���。
可信設(shè)備�,指被準(zhǔn)許在單位內(nèi)部使用的移動存儲設(shè)備或允許接入的計(jì)算機(jī)設(shè)
備等��;非法設(shè)備,指來源不明未被準(zhǔn)許在內(nèi)部使用的����,或者是外來單位帶入的移 動存儲設(shè)備、計(jì)算機(jī)等�。
對于可信設(shè)備認(rèn)證,要求做到"非法的設(shè)備在工作環(huán)境中不能使用"和"可 信設(shè)備在工作環(huán)境中能夠正常使用"����。
要做到既有效的控制單位移動存儲設(shè)備和計(jì)算機(jī)等設(shè)備的管理、防止泄密案 件的發(fā)生����、保護(hù)系統(tǒng)安全、又能不影響單位信息化效率的提高��,關(guān)鍵在于這些外 部設(shè)備的可識別�、可監(jiān)控、可管理性����。
目前,對于移動存儲設(shè)備的監(jiān)控����、可信認(rèn)證�,有很多的方法�、系統(tǒng)�,但這些 方法、系統(tǒng)�����,大都是基于單機(jī)環(huán)境的���,對于網(wǎng)絡(luò)環(huán)境�,就缺乏統(tǒng)一的管理機(jī)制�����, 而且不能防范外來計(jì)算機(jī)等設(shè)備�����,通過各種合法或非法手段接入單位內(nèi)部網(wǎng)絡(luò)�。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)中存在的缺陷,提供一種網(wǎng)絡(luò)環(huán)境下可 信設(shè)備的認(rèn)證方法��。
本發(fā)明的目的通過以下技術(shù)方案予以實(shí)現(xiàn)。
一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法�����,它包括以下步驟
(1) 對網(wǎng)絡(luò)中的所有計(jì)算機(jī)安裝并運(yùn)行監(jiān)控程序�����;
(2) 可信設(shè)備在使用前必須經(jīng)過授權(quán)中心統(tǒng)一注冊與授權(quán)��,使可信設(shè)備具 有唯一性的身份信息�;
(3)當(dāng)待認(rèn)證設(shè)備與網(wǎng)絡(luò)中的任一臺計(jì)算機(jī)聯(lián)接后,待接入的計(jì)算機(jī)讀取 并驗(yàn)證待認(rèn)證設(shè)備的身份信息����,如果驗(yàn)證通過,則判斷該待認(rèn)證設(shè)備為可信設(shè)備�����, 允許接入��;如果驗(yàn)證不通過���,則直接判斷該待認(rèn)證設(shè)備為非法設(shè)備�����,拒絕接入�����。
所述待認(rèn)證設(shè)備可以為計(jì)算機(jī)�、U盤或移動硬盤等設(shè)備����。
所述的身份信息是標(biāo)識、私鑰簽名等信息�。
所述的身份信息還包括授權(quán)內(nèi)容,以進(jìn)一步增強(qiáng)訪問控制機(jī)制�����。
所述的標(biāo)識為硬件管理ID號�、設(shè)備內(nèi)部代碼、或它們的組合���。
該授權(quán)內(nèi)容包括安全級別標(biāo)簽���、硬件管理ID號�、使用人����、使用部門、使 用期限以及是否釆用序列號口令保護(hù)等�,而這些授權(quán)內(nèi)容全部或部分的組合,用 私鑰進(jìn)行簽名����,根據(jù)訪問者的身份、密級�����、時間期限等限制僅有"正確"的用戶才 能訪問��。
步驟(3)中所述的待接入的計(jì)算機(jī)讀取并驗(yàn)證待認(rèn)證設(shè)備的身份信息�,包 括以下步驟待認(rèn)證設(shè)備向待接入計(jì)算機(jī)發(fā)出接入請求,待接入計(jì)算機(jī)向待認(rèn)證 設(shè)備發(fā)送本次接入特征碼��,待認(rèn)證設(shè)備讀取私鑰信息���,并對接入特征碼簽名����,然 后向待接入計(jì)算機(jī)發(fā)送簽名的接入特征碼,待接入計(jì)算機(jī)用公鑰驗(yàn)證特征碼和簽 名���。
本發(fā)明通過對可信設(shè)備進(jìn)行統(tǒng)一注冊和授權(quán)��,同時對網(wǎng)絡(luò)中的每一臺計(jì)算機(jī) 安裝并運(yùn)行監(jiān)控程序���,來實(shí)現(xiàn)準(zhǔn)確、高效地鑒別和認(rèn)證網(wǎng)絡(luò)環(huán)境下�����,外來的計(jì)算 機(jī)����、U盤��、移動硬盤等設(shè)備的可信性��,建立統(tǒng)一的管理機(jī)制����,從而能有效地防范 外來計(jì)算機(jī)等設(shè)備,通過各種合法或非法手段接入單位內(nèi)部網(wǎng)絡(luò)�,切實(shí)做到了既 能有效的控制單位移動存儲設(shè)備和計(jì)算機(jī)等設(shè)備的管理�、防止泄密案件的發(fā)生�����、 保護(hù)系統(tǒng)安全���、又能不影響單位信息化效率的提高��。
圖l是本發(fā)明的方法流程圖�。
具體實(shí)施例方式
5
下面結(jié)合附圖和具體實(shí)施例對本發(fā)明作進(jìn)一步詳細(xì)描述
如圖1所示���, 一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法���,它包括以下步驟
(1) 對網(wǎng)絡(luò)中的所有計(jì)算機(jī)安裝并運(yùn)行監(jiān)控程序;
(2) 可信設(shè)備(計(jì)算機(jī)���、U盤或移動硬盤等)在使用前必須經(jīng)過授權(quán)中心 統(tǒng)一注冊與授權(quán)�����,使可信設(shè)備具有唯一性的身份信息(唯一的標(biāo)識���、授權(quán)內(nèi)容�����、 私鑰簽名等)��;所述的標(biāo)識為硬件管理ID號��、設(shè)備內(nèi)部代碼��、或它們的組合���;所 述授權(quán)內(nèi)容包括安全級別標(biāo)簽、硬件管理ID號�、使用人、使用部門�����、使用期 限以及是否釆用序列號口令保護(hù)等�����,而這些授權(quán)內(nèi)容全部或部分的組合�����,用私鑰 進(jìn)行簽名����;
(3) 當(dāng)待認(rèn)證設(shè)備(計(jì)算機(jī)、U盤或移動硬盤等)與網(wǎng)絡(luò)中的任一臺計(jì)算 機(jī)聯(lián)接后����,待認(rèn)證設(shè)備向待接入計(jì)算機(jī)發(fā)出接入請求,待接入計(jì)算機(jī)向待認(rèn)證設(shè) 備發(fā)送本次接入特征碼���,待認(rèn)證設(shè)備讀取私鑰信息����,并對接入特征碼簽名�����,然后. 向待接入計(jì)算機(jī)發(fā)送簽名的接入特征碼���,待接入計(jì)算機(jī)用公鑰驗(yàn)證特征碼和簽 名���,如果驗(yàn)證通過,則判斷該待認(rèn)證設(shè)備為可信設(shè)備,允許接入���;如果驗(yàn)證不通 過���,則直接判斷該待認(rèn)證設(shè)備為非法設(shè)備,拒絕接入�����。
本發(fā)明并不限于以上實(shí)施方式���,只要是本說明書及權(quán)利要求書中提及的方案 均是可以實(shí)施的�。
權(quán)利要求
1��、一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法���,包括以下步驟(1)對網(wǎng)絡(luò)中的所有計(jì)算機(jī)安裝并運(yùn)行監(jiān)控程序����;(2)可信設(shè)備在使用前必須經(jīng)過授權(quán)中心統(tǒng)一注冊與授權(quán)�����,使可信設(shè)備具有唯一性的身份信息�����;(3)當(dāng)待認(rèn)證設(shè)備與網(wǎng)絡(luò)中的任一臺計(jì)算機(jī)聯(lián)接后�����,待接入的計(jì)算機(jī)讀取并驗(yàn)證待認(rèn)證設(shè)備的身份信息���,如果驗(yàn)證通過�,則判斷該待認(rèn)證設(shè)備為可信設(shè)備��,允許接入���;如果驗(yàn)證不通過�����,則直接判斷該待認(rèn)證設(shè)備為非法設(shè)備����,拒絕接入�。
2、 根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法,其特征是, 所述待認(rèn)證設(shè)備為計(jì)算機(jī)���、U盤或移動硬盤設(shè)備�。
3����、 根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法,其特征是����, 所述的身份信息是標(biāo)識、私鑰簽名�����。
4�、 根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法,其特征是���, 所述的身份信息還包括授權(quán)內(nèi)容���。
5、 根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法����,其特征是, 所述的標(biāo)識為硬件管理ID號�����、設(shè)備內(nèi)部代碼�����、或它們的組合����。
6、 根據(jù)權(quán)利要求4所述的一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法���,其特征是��, 所述的授權(quán)內(nèi)容包括安全級別標(biāo)簽����、硬件管理ID號�、使用人、使用部門��、使 用期限以及序列號口令保護(hù),而這些授權(quán)內(nèi)容全部或部分的組合�,用私鑰進(jìn)行簽 名,根據(jù)訪問者的身份��、密級�、時間期限等限制僅有"正確"的用戶才能訪問。
7���、 根據(jù)權(quán)利要求6所述的一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法����,其特征是�, 其中的步驟(3)中所述的待接入的計(jì)算機(jī)讀取并驗(yàn)證待認(rèn)證設(shè)備的身份信息, 包括以下步驟待認(rèn)證設(shè)備向待接入計(jì)算機(jī)發(fā)出接入請求��,待接入計(jì)算機(jī)向待認(rèn) 證設(shè)備發(fā)送本次接入特征碼���,待認(rèn)證設(shè)備讀取私鑰信息�,并對接入特征碼簽名���, 然后向待接入計(jì)算機(jī)發(fā)送簽名的接入特征碼���,待接入計(jì)算機(jī)用公鑰驗(yàn)證特征碼和 簽名��。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)環(huán)境下可信設(shè)備的認(rèn)證方法���,包括以下步驟(1)對網(wǎng)絡(luò)中的所有計(jì)算機(jī)安裝并運(yùn)行監(jiān)控程序��;(2)可信設(shè)備在使用前必須經(jīng)過授權(quán)中心統(tǒng)一注冊與授權(quán)�����,使可信設(shè)備具有唯一性的身份信息���;(3)當(dāng)待認(rèn)證設(shè)備與網(wǎng)絡(luò)中的任一臺計(jì)算機(jī)聯(lián)接后���,待接入的計(jì)算機(jī)讀取并驗(yàn)證待認(rèn)證設(shè)備的身份信息,如果驗(yàn)證通過���,則判斷該待認(rèn)證設(shè)備為可信設(shè)備�,允許接入���;否則直接判斷該待認(rèn)證設(shè)備為非法設(shè)備��,拒絕接入��。本發(fā)明的方法能有效地防范外來計(jì)算機(jī)等設(shè)備�,通過各種合法或非法手段接入單位內(nèi)部網(wǎng)絡(luò),切實(shí)做到了既能有效的控制單位移動存儲設(shè)備和計(jì)算機(jī)等設(shè)備的管理�����、防止泄密案件的發(fā)生���、保護(hù)系統(tǒng)安全��、又能不影響單位信息化效率的提高���。
文檔編號H04L9/32GK101364986SQ20081019863
公開日2009年2月11日 申請日期2008年9月19日 優(yōu)先權(quán)日2008年9月19日
發(fā)明者張煉樞, 彭賢斌, 田文春, 程海龍, 蕭嘉杰, 鄭東曦 申請人:廣東南方信息安全產(chǎn)業(yè)基地有限公司