一种会话控制方法和设备技术

本发明专利技术公开了一种会话控制方法和设备，该方法包括：根据第一节点发送的认证信息和第一节点的第一数字证书确定认证结果，若认证结果为通过，将与所述认证结果对应的动态字符串发送到所述第一节点；当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时，根据所述会话标记判断所述会话请求报文是否匹配预设安全策略；若所述会话请求报文匹配所述预设安全策略，将所述会话请求报文发送到所述第二节点；其中，所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记，从而基于数字认证技术结合CIPSO网络标记技术以实现了数据安全的机密性、完整性、防伪性、防否性，并实现了会话认证和流量控制，进一步提高了报文处理的安全性。

【技术实现步骤摘要】
一种会话控制方法和设备
本申请涉及网络安全
，更具体地，涉及一种会话控制方法和设备。
技术介绍
在现有TCP/IP网络通信协议中，信息传递主要依靠各层相应的字段来控制，而这些字段是固定不变的，无法在数据传输过程中根据特定的要求来控制通信的进行，难以满足特殊用户特定的通信需求，如一些军事部门、安全部门对涉密数据的流转控制，需要根据诸如安全等级、部门级别等信息确定路径上的信息是否允许被传递，而此类信息无法体现在现有公共网络协议中。若无对此类特有信息的控制，就有可能导致某些隐私数据或涉密信息在公共网络环境下流转，造成不可估量的负面社会影响及经济损失。因此，如何进一步提高网络会话的安全性，是目前有待解决的技术问题。
技术实现思路
本专利技术提供一种会话控制方法，用以解决现有技术中进行会话控制时安全性低的技术问题，该方法应用于包括第一节点和第二节点的系统中，包括：接收所述第一节点发送的认证信息和所述第一节点的第一数字证书，并根据所述认证信息和所述第一数字证书确定认证结果；若所述认证结果为通过，将与所述认证结果对应的动态字符串发送到所述第一节点，以使所述第一节点根据所述动态字符串生成会话标记；当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时，根据所述会话标记判断所述会话请求报文是否匹配预设安全策略；若所述会话请求报文匹配所述预设安全策略，将所述会话请求报文发送到所述第二节点；其中，所述认证信息带有基于所述第一节点的私钥生成的签名信息，所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书，所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记。在本申请一些实施例中，所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书，根据所述认证信息和所述第一数字证书确定认证结果，具体为：基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密，并生成第一消息摘要；基于Hash算法对所述第一数字证书的内容进行处理，并生成第二消息摘要；基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密，并生成第三消息摘要；基于Hash算法对所述第二数字证书的内容进行处理，并生成第四消息摘要；基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密，并生成第五消息摘要；基于Hash算法对所述认证信息处理，并生成第六消息摘要；若所述第一消息摘要与所述第二消息摘要一致，且所述第三消息摘要与所述第四消息摘要一致，且所述第五消息摘要与所述第六消息摘要一致，且所述用户名与预设用户匹配，确定所述认证结果为通过。在本申请一些实施例中，在接收所述第一节点发送的认证信息和所述第一节点的第一数字证书之前，所述方法还包括：根据所述第一节点的信息创建所述预设用户，并将PKI根证书发送到所述第一节点；将从所述PKI获取的所述第一数字证书发送到所述第一节点；根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置，并将从所述PKI获取的所述第二数字证书发送到所述第一节点；其中，所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的，所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥，所述业务流程为所述第一节点至所述第二节点的访问业务。在本申请一些实施例中，根据所述会话标记判断所述会话请求报文是否匹配预设安全策略，具体为：基于所述会话标记确定级别信息和范畴信息；若所述级别信息匹配预设级别控制策略且所述范畴信息匹配预设范畴控制策略，确定所述会话请求报文匹配所述预设安全策略；若所述级别信息不匹配所述预设级别控制策略或所述范畴信息不匹配所述预设范畴控制策略，确定所述会话请求报文不匹配所述预设安全策略。在本申请一些实施例中，所述预设级别控制策略包括遵循BLP机密性模型的机密性级别控制策略和遵循BIBA完整性模型的完整性级别控制策略，所述级别信息匹配预设级别控制策略具体为：所述级别信息匹配所述机密性级别控制策略或所述级别信息匹配所述完整性级别控制策略。在本申请一些实施例中，所述范畴控制策略，具体为：当主体范畴信息为客体范畴信息的子集时，允许所述主体访问所述客体；或，当所述主体范畴信息和所述客体范畴信息之间存在交交集时，允许所述主体访问所述客体。在本申请一些实施例中，所述方法还包括：若接收到所述第一节点发送的未携带所述会话标记的非法会话请求报文，丢弃所述非法会话请求报文。相应的，本专利技术还提出了一种会话控制设备，该设备应用于包括第一节点和第二节点的系统中，该设备包括：确定模块，用于接收所述第一节点发送的认证信息和所述第一节点的第一数字证书，并根据所述认证信息和所述第一数字证书确定认证结果；发送模块，用于若所述认证结果为通过，将与所述认证结果对应的动态字符串发送到所述第一节点，以使所述第一节点根据所述动态字符串生成会话标记；判断模块，用于当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时，根据所述会话标记判断所述会话请求报文是否匹配预设安全策略；处理模块，用于若所述会话请求报文匹配所述预设安全策略，将所述会话请求报文发送到所述第二节点；其中，所述认证信息带有基于所述第一节点的私钥生成的签名信息，所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书，所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记。在本申请一些实施例中，所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书，所述确定模块，具体用于：基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密，并生成第一消息摘要；基于Hash算法对所述第一数字证书的内容进行处理，并生成第二消息摘要；基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密，并生成第三消息摘要；基于Hash算法对所述第二数字证书的内容进行处理，并生成第四消息摘要；基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密，并生成第五消息摘要；基于Hash算法对所述认证信息处理，并生成第六消息摘要；若所述第一消息摘要与所述第二消息摘要一致，且所述第三消息摘要与所述第四消息摘要一致，且所述第五消息摘要与所述第六消息摘要一致，且所述用户名与预设用户匹配，确定所述认证结果为通过。在本申请一些实施例中，所述设备还包括配置模块，用于：根据所述第一节点的信息创建所述预设用户，并将PKI根证书发送到所述第一节点；将从所述PKI获取的所述第一数字证书发送到所述第一节点；根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置，并将从所述PKI获取的所述第二数字证书发送到所述第一节点；其中，所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成本文档来自技高网...

【技术保护点】
1.一种会话控制方法，其特征在于，该方法应用于包括第一节点和第二节点的系统中，该方法包括：/n接收所述第一节点发送的认证信息和所述第一节点的第一数字证书，并根据所述认证信息和所述第一数字证书确定认证结果；/n若所述认证结果为通过，将与所述认证结果对应的动态字符串发送到所述第一节点，以使所述第一节点根据所述动态字符串生成会话标记；/n当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时，根据所述会话标记判断所述会话请求报文是否匹配预设安全策略；/n若所述会话请求报文匹配所述预设安全策略，将所述会话请求报文发送到所述第二节点；/n其中，所述认证信息带有基于所述第一节点的私钥生成的签名信息，所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书，所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记。/n

【技术特征摘要】
1.一种会话控制方法，其特征在于，该方法应用于包括第一节点和第二节点的系统中，该方法包括：
接收所述第一节点发送的认证信息和所述第一节点的第一数字证书，并根据所述认证信息和所述第一数字证书确定认证结果；
若所述认证结果为通过，将与所述认证结果对应的动态字符串发送到所述第一节点，以使所述第一节点根据所述动态字符串生成会话标记；
当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时，根据所述会话标记判断所述会话请求报文是否匹配预设安全策略；
若所述会话请求报文匹配所述预设安全策略，将所述会话请求报文发送到所述第二节点；
其中，所述认证信息带有基于所述第一节点的私钥生成的签名信息，所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书，所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记。


2.如权利要求1所述的方法，其特征在于，所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书，根据所述认证信息和所述第一数字证书确定认证结果，具体为：
基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密，并生成第一消息摘要；
基于Hash算法对所述第一数字证书的内容进行处理，并生成第二消息摘要；
基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密，并生成第三消息摘要；
基于Hash算法对所述第二数字证书的内容进行处理，并生成第四消息摘要；
基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密，并生成第五消息摘要；
基于Hash算法对所述认证信息处理，并生成第六消息摘要；
若所述第一消息摘要与所述第二消息摘要一致，且所述第三消息摘要与所述第四消息摘要一致，且所述第五消息摘要与所述第六消息摘要一致，且所述用户名与预设用户匹配，确定所述认证结果为通过。


3.如权利要求2所述的方法，其特征在于，在接收所述第一节点发送的认证信息和所述第一节点的第一数字证书之前，所述方法还包括：
根据所述第一节点的信息创建所述预设用户，并将PKI根证书发送到所述第一节点；
将从所述PKI获取的所述第一数字证书发送到所述第一节点；
根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置，并将从所述PKI获取的所述第二数字证书发送到所述第一节点；
其中，所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的，所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥，所述业务流程为所述第一节点至所述第二节点的访问业务。


4.如权利要求1所述的方法，其特征在于，根据所述会话标记判断所述会话请求报文是否匹配预设安全策略，具体为：
基于所述会话标记确定级别信息和范畴信息；
若所述级别信息匹配预设级别控制策略且所述范畴信息匹配预设范畴控制策略，确定所述会话请求报文匹配所述预设安全策略；
若所述级别信息不匹配所述预设级别控制策略或所述范畴信息不匹配所述预设范畴控制策略，确定所述会话请求报文不匹配所述预设安全策略。


5.如权利要求4所述的方法，其特征在于，所述预设级别控制策略包括遵循BLP机密性模型的机密性级别控制策略和遵循BIBA完整...

【专利技术属性】
技术研发人员：齐胜，张悦斌，朱贺，郑一友，文强，
申请(专利权)人：中铁信北京网络技术研究院有限公司，北京卓讯科信技术有限公司，
类型：发明
国别省市：北京;11