【技术实现步骤摘要】
一种基于信任令牌的安全接入系统及其安全接入方法
本专利技术涉及一种网络通信领域中服务方与服务请求方之间进行相互认证并建立连接的系统及方法,尤其是涉及一种基于信任令牌的安全接入系统及其安全接入方法。
技术介绍
随着互联网、物联网、泛在网等新兴网络的快速发展,网络规模呈爆炸式的发展,DoS、DDoS攻击的规模越来越大,网络安全形势日益严峻。当前,依靠特征检测、流量过滤等被动方式来抵御危险因素的代价越来越大,非安全连接的流量难以追责。现有网络应该更多地考虑从源头上控制恶意网络流量,将流量和连接与网络用户身份进行关联。基于安全连接的流量识别方法能保障用户数据免于被篡改、被仿冒、被重发,同时可以快速区分非法流量与正常流量。常用的安全连接建立方法是基于SSL/TLS的,该类方法涉及的通信双方能够进行两方身份强认证,并建立安全连接。但是现有的基于SSL/TLS的安全连接建立方法缺少对DoS、DDoS的应对机制,不能同时保证安全和认证效率。在现有的认证和连接建立的安全防护机制中,工作量证明常被用于攻击防范。这一概念最早由CynthiaDwork和MoniNaor于1993年的学术论文“PricingviaProcessing,Or,CombattingJunkMail,AdvancesinCryptology”中提出;工作量证明一词则是在1999年由MarkusJakobsson与AriJuels所发布,目前主要用于加密货币和Email。目前,最常见是基于验证码的认证方法,通过改变验证码的识别难度来防止机器人发起大量连接,但是该方法只能针对有人的情况。在无人类参与的情况下 ...
【技术保护点】
1.一种基于信任令牌的安全接入系统,其特征在于:包括请求方、服务方和传输通道,其中:请求方:发起安全接入过程的用户侧装置;服务方:提供基于信任令牌的安全接入服务的服务侧装置;传输通道:用于提供请求方和服务方之间通信的传输手段。
【技术特征摘要】
1.一种基于信任令牌的安全接入系统,其特征在于:包括请求方、服务方和传输通道,其中:请求方:发起安全接入过程的用户侧装置;服务方:提供基于信任令牌的安全接入服务的服务侧装置;传输通道:用于提供请求方和服务方之间通信的传输手段。2.根据权利要求1所述的基于信任令牌的安全接入系统,其特征在于,所述的服务方包括令牌种子管理单元、证书管理单元、非对称加解密单元、对称加解密单元、散列运算单元、输入输出接口、无状态预判单元、缓冲单元和连接管理单元,其中:令牌种子管理单元:周期性地产生两个不同的信任令牌种子,所述的两个不同的信任令牌种子包括接入竞争信任令牌种子和接入认证信任令牌种子,所述的接入竞争信任令牌种子是用于计算接入竞争信任令牌的参数之一,所述的接入认证信任令牌种子是用于计算接入认证信任令牌的参数之一;证书管理单元:存储服务方的数字证书和服务方的私钥;非对称加解密单元:专用于进行非对称加解密运算;对称加解密单元:专用于进行对称加解密运算;散列运算单元:专用于进行散列运算;输入输出接口:完成接收数据和发送数据;连接管理单元:用于控制安全接入的执行过程,管理服务方的接入难度,该单元通过调用所述服务方的其它单元进行相关的安全接入计算,通过本地的输入输出接口向请求方发送消息;缓冲单元:主要缓存最近被使用过的信任令牌信息,通过缓冲检查后,相关信息被发送至连接管理单元;无状态预判单元:处理来自请求方的输入消息,能针对来自请求方的特定消息生成相应的响应消息,并将该响应消息通过所述的输入输出接口向所述的请求方发送,也能将来自请求方的且包含正确信任令牌的消息转发至缓冲单元。3.根据权利要求2所述的基于信任令牌的安全接入系统,其特征还在于,所述无状态预判单元生成的响应消息包括了被加密的所述的接入竞争信任令牌,加密的秘钥是由一个用于预防查表计算的掺杂随机数和一个用于提升计算量的难题随机数作为参数后计算获得。4.根据权利要求2所述的基于信任令牌的安全接入系统,其特征还在于,所述的无状态预判单元不存储与具体的请求者相关的信息。5.一种如权利要求1所述的基于信任令牌的安全接入系统的安全接入方法,其特征在于,包括以下步骤:步骤一,所述的请求方生成“接入竞争请求”消息,并向所述服务方发送,所述“接入竞争请求”消息包含了消息类型、所述请求方随机生成的接入竞争数、所述请求方的数字证书的关键信息;步骤二,所述服务方接收并处理“接入竞争请求”消息,计算接入竞争信任令牌,生成“接入竞争响应”消息,并向所述请求方发送,所述的“接入竞争响应”消息包含了消息类型、接入难度、散列算法类型、加密算法类型、所述的掺杂随机数、包含接入竞争信任令牌的密文数据、所述服务方的数字证书;步骤三,所述的请求方接收并处理“接入竞争响应”消息,通过遍历秘钥空间,所述的请求方从“接入竞争响应”消息的密文中可以获知正确的接入竞争信任令牌、接入竞争时戳等信息;所述的请求方生成“接入意图证明”消息,并向所述服务方发送,所述的“接入意图证明”消息包含了消息类型、接入竞争数、接入竞争时戳、接入竞争信任令牌、所述请求方的数字证书的关键信息;步骤四,所述服务方接收并处理“接入意图证明”消息,判断“接入意图证明”消息中载明的接入竞争信任令牌是否有效;当接入竞争信任令牌有效后,所述服务方检查该令牌是否已经被使用过;当该接入竞争令牌为首次被使用时,所述服务方所生成“接入认证请求”消息,并向所述请求方发送,所述的“接入认证请求”消息包含了消息类型、散列算法类型、加密算法类型、包含接入认证信任令牌和所述服务方的秘钥种子等信息的密文数据段;步骤五,所述请求方接收并处理“接入认...
【专利技术属性】
技术研发人员:张鹏,王芳,张满超,刘小毅,
申请(专利权)人:中国电子科技集团公司第二十八研究所,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。