【技术实现步骤摘要】
一种基于可信根的安全域隔离方法、系统及装置
本专利技术涉及安全域隔离
,尤其是一种基于可信根的安全域隔离方法、系统及装置。
技术介绍
众多企业中存在大量的计算设备,出于安全的考虑,这些设备根据使用场景常常划分到不同的域中,同一域内的设备具有相同的安全保护需求且相互信任。比如,企业中的外网办公设备之间可以相互访问,但外网办公设备无法与内网研发设备相互通信。目前,设备间的隔离主要是通过网络层隔离实现的,比如使用交换机划分不同的子网,或者使用防火墙进行IP隔离。或则采用强制访问控制实现,比如为企业内的每一员工分配数字证书或者令牌,不同身份的员工能访问不同的资源。使用网络层面的隔离技术可以实现不同域的隔离,但无法管控设备网络环境的变更,比如,将办公设备接入研发网,办公设备就能跨过网络隔离与研发网中的设备通信,这会对研发网中的设备带来安全隐患。
技术实现思路
本专利技术提供了一种基于可信根的安全域隔离方法、系统及装置,用于解决现有网络层面的域隔离手段存在安全隐患的问题。为实现上述目的,...
【技术保护点】
1.一种基于可信根的安全域隔离方法,其特征是,所述方法包括以下步骤:/n根据应用场景划分域,并通过企业CA为域颁发证书来构建域;/n设备入域时,通过可信根创建密钥,向域CA申请身份证书,并在设备本地创建域内设备信息缓存;/n域内设备通信时,进行域内设备的身份验证及消息的可信验证。/n
【技术特征摘要】
1.一种基于可信根的安全域隔离方法,其特征是,所述方法包括以下步骤:
根据应用场景划分域,并通过企业CA为域颁发证书来构建域;
设备入域时,通过可信根创建密钥,向域CA申请身份证书,并在设备本地创建域内设备信息缓存;
域内设备通信时,进行域内设备的身份验证及消息的可信验证。
2.根据权利要求1所述基于可信根的安全域隔离方法,其特征是,对所述域的管理包括域注册和域注销。
3.根据权利要求2所述基于可信根的安全域隔离方法,其特征是,所述域注册的过程为:
域内随机创建一非对称密钥,作为域CA的根密钥;
利用所述非对称密钥中的私钥对公钥签名生成证书请求文件;
企业CA提取所述证书请求文件中的公钥验证所述证书请求的签名有效性,利用企业CA私钥对所述公钥签名,生成证书颁发给域CA;
在域CA中创建域内设备信息缓存,其中存储域内所有的设备信息。
4.根据权利要求2所述基于可信根的安全域隔离方法,其特征是,所述域注销的过程为:
吊销域CA的证书,并删除域内设备;
删除域内设备创建的身份密钥及对应的身份证书;
删除当前域CA中的域内设备信息缓存。
5.根据权利要求1所述基于可信根的安全域隔离方法,其特征是,所述设备入域时,进行设备注册,其具体过程为:
通过可信根创建设备密钥,并生成设备证书申请文件;
域CA基于设备证书申请,使用域CA的根密钥颁发证书,并将该证书记录到域内设备信息缓存中;
设备通过自身密钥解密域CA下发的消息...
【专利技术属性】
技术研发人员:王杰,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。