本公开实施例公开了一种终端设备的抗抵赖认证方法及装置。其中,该方法包括:接收交换机发送的认证挑战,其中,认证挑战是基于交换机获取到的终端设备的设备上线信息生成的;将响应于认证挑战的挑战响应发送至交换机,并获取交换机返回的终端设备的终端认证数据,其中,挑战响应中携带有唯一标识终端设备的终端ID和终端ID的签名信息;接收交换机基于终端认证数据、终端ID和终端ID的签名信息返回的终端设备的认证结果信息。该方法能够快速高效的基于终端ID和签名信息对终端设备进行精准定位和安全认证,实现终端设备身份认证的不可抵赖性,以加强企业对入网设备的高效认证和安全管控。控。控。
【技术实现步骤摘要】
终端设备的抗抵赖认证方法及装置
[0001]本公开涉及认证
,尤其涉及一种终端设备的抗抵赖认证方法及装置。
技术介绍
[0002]在企业现有网络中,终端设备接入网络大部分是采用基于用户名和密码的方式进行认证,然而该种终端设备的认证方式存在诸多缺陷,例如,不同的终端设备使用同一个用户名和密码即可完成设备认证,同一个终端设备的不同IP地址使用同一个用户名和密码也可以完成设备认证,这种设备认证方式存在用户名、密码与设备、IP地址存在多对应的关系。
[0003]相关技术的终端设备与身份识别信息的多映射性的认证方式导致无法精确定位唯一源头,在网络安全的追踪时存在终端设备身份抵赖的问题。而目前随着网络安全防护的要求的提高,企业需要一种能够以终端设备的唯一身份进行身份认证并具有抗抵赖特性的认证方式,以加强企业对入网设备的安全管控。
技术实现思路
[0004]有鉴于此,本公开实施例提供了一种终端设备的抗抵赖认证方法及装置,能够为企业的每一个入网设备设置唯一标识身份的终端ID和签名信息,并基于终端ID和签名信息对终端设备进行安全认证,实现终端设备身份认证的不可抵赖性,以加强企业对入网设备的安全管控。
[0005]第一方面,本公开实施例提供了一种终端设备的抗抵赖认证方法,采用如下技术方案:
[0006]接收交换机发送的认证挑战,其中,所述认证挑战是基于所述交换机获取到的所述终端设备的设备上线信息生成的;
[0007]将响应于所述认证挑战的挑战响应发送至交换机,并获取所述交换机返回的所述终端设备的终端认证数据,其中,所述挑战响应中携带有唯一标识所述终端设备的终端ID和所述终端ID的签名信息;
[0008]接收所述交换机基于所述终端认证数据、所述终端ID和所述终端ID的签名信息返回的所述终端设备的认证结果信息。
[0009]在一些实施例中,所述终端认证数据包括签名主公钥,接收所述交换机基于所述终端认证数据、所述终端ID和所述终端ID的签名信息返回的所述终端设备的认证结果信息包括:
[0010]在所述交换机基于所述签名主公钥和所述终端ID对所述签名信息验证通过的情况下,接收所述交换机返回的所述终端设备的认证成功信息;
[0011]根据所述认证成功信息,通过所述交换机访问网络;
[0012]或者,在所述交换机基于所述签名主公钥和所述终端ID对所述签名信息验证不通过的情况下,接收所述交换机返回的所述终端设备的认证失败信息;
[0013]根据所述认证失败信息,无法通过所述交换机访问网络。
[0014]在一些实施例中,所述方法还包括:
[0015]根据所述认证成功信息,通过所述交换机将所述终端设备的终端资产信息上传至所述服务器。
[0016]在一些实施例中,所述签名主公钥是基于所述终端设备的签名主私钥和随机数生成的,且所述签名主公钥公开存储在所述服务器上或所述交换机的本地缓存中;所述签名信息是基于所述终端设备的签名私钥进行加密的,所述签名私钥是基于所述签名主私钥和所述终端ID生成的,且所述签名私钥内置于所述终端认证装置中。
[0017]在一些实施例中,该认证方法还包括:
[0018]所述终端设备按照预设的周期接收所述交换机发送的认证挑战。
[0019]在一些实施例中,将响应于所述认证挑战的挑战响应发送至交换机,并获取所述交换机返回的所述终端设备的终端认证数据,包括:
[0020]获取所述交换机返回的本地缓存中存储的所述终端认证数据;
[0021]或者,在所述交换机的本地缓存中未存储所述终端认证数据的情况下,通过所述交换机获取服务器响应于数据请求的终端认证数据,其中,所述交换机发送的所述数据请求携带有所述终端ID。
[0022]在一些实施例中,通过所述交换机获取服务器响应于数据请求的终端认证数据,包括:
[0023]在所述服务器确定所述数据请求中携带的所述终端ID合法的情况下,通过所述交换机获取所述服务器返回的所述终端认证数据。
[0024]在一些实施例中,所述认证方法还包括:
[0025]基于SM9数字签名和验证算法对所述终端设备进行认证。
[0026]第二方面,本公开实施例还提供了一种终端设备的抗抵赖认证装置,采用如下技术方案:
[0027]接收模块,被配置用于接收交换机发送的认证挑战,其中,所述认证挑战是基于所述交换机获取到的所述终端设备的设备上线信息生成的;
[0028]数据获取模块,被配置用于将响应于所述认证挑战的挑战响应发送至交换机,并获取所述交换机返回的所述终端设备的终端认证数据,其中,所述挑战响应中携带有唯一标识所述终端设备的终端ID和所述终端ID的签名信息;
[0029]认证模块,被配置用于接收所述交换机基于所述终端认证数据、所述终端ID和所述终端ID的签名信息返回的所述终端设备的认证结果信息。
[0030]第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
[0031]所述电子设备包括:
[0032]至少一个处理器;以及,
[0033]与所述至少一个处理器通信连接的存储器;其中,
[0034]所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的终端设备的抗抵赖认证方法。
[0035]第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储
介质存储计算机指令,该计算机指令用于使计算机执行以上任一所述的终端设备的抗抵赖认证方法。
[0036]本公开实施例提供的一种终端设备的抗抵赖认证方法及装置,该该认证方法包括:终端设备接收交换机发送的认证挑战,其中,认证挑战是基于交换机获取到的终端设备的设备上线信息生成的;终端设备将响应于认证挑战的挑战响应发送至交换机,并获取交换机返回的终端设备的终端认证数据,其中,挑战响应中携带有唯一标识终端设备的终端ID和终端ID的签名信息;终端设备接收交换机基于终端认证数据、终端ID和终端ID的签名信息返回的终端设备的认证结果信息。
[0037]本公开实施例能够为企业的每一个入网设备设置唯一标识身份的终端ID和签名信息,并能够快速高效的基于终端ID和签名信息对终端设备进行精准定位和安全认证,实现终端设备身份认证的不可抵赖性,以加强企业对入网设备的高效认证和安全管控。
[0038]上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
[0039]为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种终端设备的抗抵赖认证方法,其特征在于,该方法包括:接收交换机发送的认证挑战,其中,所述认证挑战是基于所述交换机获取到的所述终端设备的设备上线信息生成的;将响应于所述认证挑战的挑战响应发送至所述交换机,并获取所述交换机返回的所述终端设备的终端认证数据,其中,所述挑战响应中携带有唯一标识所述终端设备的终端ID和所述终端ID的签名信息;接收所述交换机基于所述终端认证数据、所述终端ID和所述终端ID的签名信息返回的所述终端设备的认证结果信息。2.根据权利要求1所述的终端设备的抗抵赖认证方法,其特征在于,所述终端认证数据包括签名主公钥,接收所述交换机基于所述终端认证数据、所述终端ID和所述终端ID的签名信息返回的所述终端设备的认证结果信息包括:在所述交换机基于所述签名主公钥和所述终端ID对所述签名信息验证通过的情况下,接收所述交换机返回的所述终端设备的认证成功信息;根据所述认证成功信息,通过所述交换机访问网络;或者,在所述交换机基于所述签名主公钥和所述终端ID对所述签名信息验证不通过的情况下,接收所述交换机返回的所述终端设备的认证失败信息;根据所述认证失败信息,无法通过所述交换机访问网络。3.根据权利要求2所述的终端设备的抗抵赖认证方法,其特征在于,所述方法还包括:根据所述认证成功信息,通过所述交换机将所述终端设备的终端资产信息上传至所述服务器。4.根据权利要求2所述的终端设备的抗抵赖认证方法,其特征在于,所述签名主公钥是基于所述终端设备的签名主私钥和随机数生成的,且所述签名主公钥公开存储在所述服务器上或所述交换机的本地缓存中;所述签名信息是基于所述终端设备的签名私钥进行加密的,所述签名私钥是基于所述签名主私钥和所述终端ID生成的,且所述签名私钥内置于所述终端认证装置中。5.根据权利要求1所述的终端设备的抗抵赖认证方法,其特征在于,所述方法还包括:所述终端设备按照预设的周期接收所...
【专利技术属性】
技术研发人员:林皓,刘建兵,王振欣,
申请(专利权)人:北京北信源软件股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。