本公开提供一种单包授权种子分发装置及方法,包括:地址围栏模块,限定接入控制器进行种子自动分发的用户接入地址范围;认证模块,对接入控制用户的身份进行识别;种子自动分发模块,自动生成并分发种子及共享密钥,并与用户终端绑定,不同终端对应不同密钥。本公开实现了种子的自动生成和分发,避免了管理员逐个分发的繁琐;同时,采用地址围栏、身份认证,以及动态生成、不同终端不同密钥等手段提升了种子分发过程中的安全性。子分发过程中的安全性。子分发过程中的安全性。
【技术实现步骤摘要】
一种连接发起主机到控制器的单包授权种子分发方法及装置
[0001]本专利技术涉及数据通信
,尤其涉及一种单包授权种子分发的方法及装置。
技术介绍
[0002]SDP软件定义边界架构中,连接发起主机IH到控制器、连接接收主机AH到控制器和IH到AH通信前,需要通过SPA单包授权认证后才允许建立连接。SPA认证基于RFC4226 HOTP标准,基于共享种子实现认证。那么,如何进行种子分发就成了问题。连接发起主机IH到控制器的常见分发种子方式是采用静态种子,所有用户采用同一种子进行SPA认证,这种方式一旦静态种子被非法用户获取,SPA认证将形同虚设;若采用管理员逐个分发,又需要消耗大量时间和精力,增加运维管理成本。
技术实现思路
[0003]本专利技术的目的在于克服现有技术的不足,提供一种连接发起主机IH到控制器的单包授权认证种子的分发方法和装置,在自动完成种子分发的同时保证安全性。
[0004]本公开提供的连接发起主机IH到控制器的单包授权认证种子分发方法,包括以下步骤:
[0005]设置允许接入控制器进行种子自动分发的用户接入地址范围;
[0006]对请求接入控制器的用户进行身份识别认证;
[0007]对认证通过的用户,自动生成并分发种子及共享密钥,并与用户终端绑定,不同终端对应不同种子及共享密钥。
[0008]进一步地,所述设置允许接入控制器进行种子自动分发的用户接入地址范围的步骤,具体包括:
[0009]通过配置指定允许用户接入控制器的地址范围;
[0010]通过配置指定,或控制器根据用户访问行为,自动生成不允许用户接入控制器的地址范围。
[0011]进一步地,所述对请求接入控制器的用户进行身份识别认证的方法,包括但不限于以下认证方法:口令认证、证书认证、短信认证、动态令牌认证、终端认证中的一种,或多种的组合。
[0012]进一步地,所述步骤“自动生成并分发种子及共享密钥,并与用户终端绑定,不同终端对应不同种子及共享密钥”,具体包括以下步骤:
[0013]连接发起主机IH计算终端唯一标识,并向控制器发起种子申请;
[0014]控制器检查终端是否已经绑定了种子;
[0015]对未绑定种子的终端,利用硬件随机数生成所述种子及共享密钥,并与终端建立一对一的绑定关系,响应给连接发起主机IH。
[0016]进一步地,对所述种子及共享密钥采用国密算法进行加密。
[0017]本公开还提供了一种连接发起主机IH到控制器的单包授权认证种子分发装置,包
括:地址围栏模块、认证模块和种子自动分发模块,其中:
[0018]地址围栏模块,被配置为限定接入控制器进行种子自动分发的用户接入地址范围;
[0019]认证模块,被配置为对接入控制用户的身份进行识别认证;
[0020]种子自动分发模块,被配置为对认证通过的用户,自动生成并分发种子及共享密钥,并与用户终端绑定,不同终端对应不同种子及密钥。
[0021]进一步地,所述地址围栏模块包含黑、白名单两个子模块,其中:
[0022]所述黑名单子模块中包含不允许接入控制器的用户地址范围;
[0023]所述白名单子模块中包含允许接入控制器的用户地址范围;
[0024]其中所述用户地址范围,包括单一地址、地址掩码和地址段中的一种或多种。
[0025]进一步地,所述认证模块支持口令认证、证书认证、短信认证、动态令牌认证、终端认证等中的一种或多种组合认证方式,包括但不限于以上认证方式。
[0026]进一步地,所述种子自动分发模块包括生成子模块,所述生成子模块根据硬件随机数生成所述种子及共享密钥,并与终端建立一对一的绑定关系。
[0027]进一步地,所述种子自动分发模块还包括加密子模块,用于对所述种子及共享密钥采用国密算法进行加密。
[0028]本专利技术提供的单包授权种子分发方法及装置,通过采用自动生成和分发种子及密钥,避免了管理员逐个分发所消耗的大量时间和精力,减少了运维管理成本;同时,通过地址围栏、身份认证,以及动态生成种子和密钥并与终端绑定等手段提升了种子分发过程中的安全性。
[0029]应了解的是,上述一般描述及以下具体实施方式仅为示例性及阐释性的,其并不能限制本公开所欲主张的范围。
附图说明
[0030]下面的附图是本公开的说明书的一部分,其绘示了本公开的示例实施例,所附附图与说明书的描述一起用来说明本公开的原理。
[0031]图1为连接发起主机IH到控制器单包授权种子分发流程图;
[0032]图2为示例性时序图。
具体实施方式
[0033]现详细说明本公开的多种示例性实施方式,该详细说明不应认为是对本公开的限制,而应理解为是对本公开的某些方面、特性和实施方案的更详细的描述。
[0034]本公开说明书和实施例仅是示例性的。在不背离本公开的范围或精神的情况下,可对本公开说明书的具体实施方式做多种改进和变化,这对本领域技术人员而言是显而易见的。由本公开的说明书得到的其他实施方式对技术人员而言是显而易见得的。
[0035]附图1给出了根据本公开所述的连接发起主机IH到控制器的单包授权认证种子分发方法示例性实施例流程图。
[0036]如图1所示,示例性实施例包括以下步骤:
[0037]S101:设置允许接入控制器进行种子自动分发的用户接入地址范围。
[0038]可通过以下步骤或方式完成该设置:
[0039]通过配置指定允许用户接入控制器的地址范围;
[0040]通过配置指定,或控制器根据用户访问行为,自动生成不允许用户接入控制器的地址范围。
[0041]其中的地址范围,包括单一地址、地址掩码和地址段的形式。
[0042]S102:对请求接入控制器的用户进行身份识别认证。
[0043]认证用于识别接入控制用户的合法身份。认证支持但不限于口令认证、证书认证、短信认证、动态令牌认证、终端认证等认证方式及其组合方式。
[0044]S103:对认证通过的用户,自动生成并分发种子及共享密钥,并与用户终端绑定,保证不同终端对应不同种子及共享密钥。具体可包括以下步骤:
[0045]连接发起主机IH计算终端唯一标识,并向控制器发起种子申请;
[0046]控制器检查终端是否已经绑定了种子;
[0047]对未绑定种子的终端,利用硬件随机数生成种子及共享密钥,并与终端建立一对一的绑定关系,响应给连接发起主机IH。为进一步提高种子及密钥的安全性,优选对种子及共享密钥采用国密算法进行加密。
[0048]在本实施例中,如果需要新增一个接入用户test,则其接入时序图如附图2所示:
[0049]步骤1、为接入用户分配账号test,将接入用户的接入IP加入白名单。其中,白名单为允许接入控制器的用户地址范围,由管理员通过配置指定;也可以通过黑名单,限定不允许用户接入控制器的地址本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种连接发起主机到控制器的单包授权种子分发方法,其特征在于,包括以下步骤:设置允许接入控制器进行种子自动分发的用户接入地址范围;对请求接入控制器的用户进行身份识别认证;对认证通过的用户,自动生成并分发种子及共享密钥,并与用户终端绑定,不同终端对应不同种子及共享密钥。2.如权1所述的单包授权种子分发方法,其特征在于,所述设置允许接入控制器进行种子自动分发的用户接入地址范围的步骤,具体包括:通过配置指定允许用户接入控制器的地址范围;通过配置指定,或控制器根据用户访问行为,自动生成不允许用户接入控制器的地址范围。3.如权1所述的单包授权种子分发方法,其特征在于,所述对请求接入控制器的用户进行身份识别认证的方法,包括但不限于以下认证方法:口令认证、证书认证、短信认证、动态令牌认证、终端认证中的一种,或多种的组合。4.如权1所述的单包授权种子分发方法,其特征在于,所述步骤“自动生成并分发种子及共享密钥,并与用户终端绑定,不同终端对应不同种子及共享密钥”,具体包括以下步骤:连接发起主机IH计算终端唯一标识,并向控制器发起种子申请;控制器检查终端是否已经绑定了种子;对未绑定种子的终端,利用硬件随机数生成所述种子及共享密钥,并与终端建立一对一的绑定关系,响应给连接发起主机IH。5.如权1所述的单包授权种子分发方法,其特征在于,对所述种子及共享密钥采用国...
【专利技术属性】
技术研发人员:李校慧,汪海,孟庆森,
申请(专利权)人:北京网御星云信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。