【技术实现步骤摘要】
一种会话控制方法和设备
本申请涉及网络安全
,更具体地,涉及一种会话控制方法和设备。
技术介绍
在现有TCP/IP网络通信协议中,信息传递主要依靠各层相应的字段来控制,而这些字段是固定不变的,无法在数据传输过程中根据特定的要求来控制通信的进行,难以满足特殊用户特定的通信需求,如一些军事部门、安全部门对涉密数据的流转控制,需要根据诸如安全等级、部门级别等信息确定路径上的信息是否允许被传递,而此类信息无法体现在现有公共网络协议中。若无对此类特有信息的控制,就有可能导致某些隐私数据或涉密信息在公共网络环境下流转,造成不可估量的负面社会影响及经济损失。因此,如何进一步提高网络会话的安全性,是目前有待解决的技术问题。
技术实现思路
本专利技术提供一种会话控制方法,用以解决现有技术中进行会话控制时安全性低的技术问题,该方法应用于包括第一节点和第二节点的系统中,包括:接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信 ...
【技术保护点】
1.一种会话控制方法,其特征在于,该方法应用于包括第一节点和第二节点的系统中,该方法包括:/n接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;/n若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;/n当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;/n若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;/n其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记。/n
【技术特征摘要】
1.一种会话控制方法,其特征在于,该方法应用于包括第一节点和第二节点的系统中,该方法包括:
接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;
若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;
当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;
若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;
其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记。
2.如权利要求1所述的方法,其特征在于,所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书,根据所述认证信息和所述第一数字证书确定认证结果,具体为:
基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密,并生成第一消息摘要;
基于Hash算法对所述第一数字证书的内容进行处理,并生成第二消息摘要;
基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密,并生成第三消息摘要;
基于Hash算法对所述第二数字证书的内容进行处理,并生成第四消息摘要;
基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密,并生成第五消息摘要;
基于Hash算法对所述认证信息处理,并生成第六消息摘要;
若所述第一消息摘要与所述第二消息摘要一致,且所述第三消息摘要与所述第四消息摘要一致,且所述第五消息摘要与所述第六消息摘要一致,且所述用户名与预设用户匹配,确定所述认证结果为通过。
3.如权利要求2所述的方法,其特征在于,在接收所述第一节点发送的认证信息和所述第一节点的第一数字证书之前,所述方法还包括:
根据所述第一节点的信息创建所述预设用户,并将PKI根证书发送到所述第一节点;
将从所述PKI获取的所述第一数字证书发送到所述第一节点;
根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置,并将从所述PKI获取的所述第二数字证书发送到所述第一节点;
其中,所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的,所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥,所述业务流程为所述第一节点至所述第二节点的访问业务。
4.如权利要求1所述的方法,其特征在于,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略,具体为:
基于所述会话标记确定级别信息和范畴信息;
若所述级别信息匹配预设级别控制策略且所述范畴信息匹配预设范畴控制策略,确定所述会话请求报文匹配所述预设安全策略;
若所述级别信息不匹配所述预设级别控制策略或所述范畴信息不匹配所述预设范畴控制策略,确定所述会话请求报文不匹配所述预设安全策略。
5.如权利要求4所述的方法,其特征在于,所述预设级别控制策略包括遵循BLP机密性模型的机密性级别控制策略和遵循BIBA完整...
【专利技术属性】
技术研发人员:齐胜,张悦斌,朱贺,郑一友,文强,
申请(专利权)人:中铁信北京网络技术研究院有限公司,北京卓讯科信技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。