本发明专利技术实施例公开了终端认证方法、装置、计算机设备及存储介质。方法包括:获取来自终端的单包认证凭证;对单包认证凭证进行验证,判断单包认证凭证是否合法;若合法,则生成通知信息,发送通知信息至终端,以使得终端在确定通知信息是合法的情况下发出请求内容;接收请求内容,对请求内容进行处理,以得到处理结果;验证处理结果;当验证结果合法时,生成会话凭证以及访问控制列表,并发送至终端以及服务端,以使得终端向服务端发起通信请求时,服务端根据通信请求的内容验证会话凭证,当会话凭证验证通过时,服务端应答通信请求并建立通信隧道。通过实施本发明专利技术的方法可实现基于软件定义边界技术进行终端的认证,保障了服务器的安全稳定。全稳定。全稳定。
【技术实现步骤摘要】
终端认证方法、装置、计算机设备及存储介质
[0001]本专利技术涉及主机安全分析
,更具体地说是指终端认证方法、装置、计算机设备及存储介质。
技术介绍
[0002]SDP(软件定义边界,Software Defined Perimeter)技术是零信任安全架构中的新兴技术理念,该技术采用基于零信任体系的思想设计设立核心控制组件对所有访问请求做评估、认证与授权,从而达到访问控制的目的。SDP对外提供零可见性和零连接,只有在端点证明他们可以被信任之后才可以建立连接,允许合法流量通过,使用这种方法基本上可以预防所有基于网络的攻击。
[0003]目前移动设备相当普及,但是随之而来需要考虑各种场景下设备的安全性也越来越多,尤其是访问服务器的安全。如何保证是合法可信任的终端设备访问服务器,是保证设备对外提供业务的基础,那对设备进行可信认证就显得尤其重要,目前技术方案没有将SDP技术应用在对终端认证的场景中,并不能预防所有基于网络的攻击。
[0004]因此,有必要设计一种新的方法,实现基于软件定义边界技术进行终端的认证,保障了服务器的安全稳定。
技术实现思路
[0005]本专利技术的目的在于克服现有技术的缺陷,提供终端认证方法、装置、计算机设备及存储介质。
[0006]为实现上述目的,本专利技术采用以下技术方案:终端认证方法,包括:获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;验证所述处理结果,以得到验证结果;当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
[0007]其进一步技术方案为:所述单包认证要素包括主体属性、环境属性以及客体属性;其中,所述主体属性包括主机MAC地址、操作系统、端口、协议、服务以及厂商;所述环境属性包括上线时间、IP、接入位置、业务流量大小;所述客体属性包括所属部门、管理人员、授权时间以及授权级别。
[0008]其进一步技术方案为:所述单包认证凭证是终端采集单包认证要素,由单包认证要素构成设备指纹信息,并对所述设备指纹信息采用内置的加密密钥进行加密后,根据加密结果采用单包认证凭证生成算法生成的凭证。
[0009]其进一步技术方案为:所述对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法,包括:对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;判断所述采集时间戳是否小于设定阈值;若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述确定所述单包认证凭证不合法;若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法;若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述确定所述单包认证凭证不合法。
[0010]其进一步技术方案为:所述通知信息包括加密后的发送通知信息时的时间戳以及加密后的连接端口。
[0011]其进一步技术方案为:所述生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容,包括:生成通知信息,并发送所述通知信息至终端,以使得所述终端对所述通知信息进行解密,并判断解密后所得的发送通知信息时的时间戳是否合法,在解密后所得的发送通知信息时的时间戳的情况下,对终端后续向服务端请求的服务内容、发送连接请求时的时间戳、任意生成的随机数、加密密钥组成的内容进行加密,形成请求内容,并由终端发出请求内容。
[0012]其进一步技术方案为:所述发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道,包括:发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端将内置的加密密钥和会话凭证合成会话密钥,通过哈希算法对会话密钥进行处理得到哈希内容,并根据授权访问列表中的服务端信息,向服务端发送哈希内容和会话凭证组成的通信请求;所述服务端根据所述通信请求中的会话凭证寻找在本地保存的对应的终端密钥,当所述服务端找到与会话凭证对应的终端密钥后,利用找到的终端密钥校验所述通信请求中的哈希内容,当所述通信请求中的哈希内容校验通过时,所述服务端将会话凭证作为终端和服务端协商一致的会话密钥,建立通信隧道。
[0013]本专利技术还提供了终端认证装置,包括:
单包认证凭证获取单元,用于获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;凭证验证单元,用于对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;通信信息处理单元,用于若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;接收单元,用于接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;结果验证单元,用于验证所述处理结果,以得到验证结果;生成单元,用于当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;发送单元,用于发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。
[0014]本专利技术还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
[0015]本专利技术还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现上述的方法。
[0016]本专利技术与现有技术相比的有益效果是:本专利技术通过对终端发送的单包认证凭证进行验证,在确保单包认证凭证合法之后,生成通知信息,以与终端发起连接,并对终端发起的连接请求内容进行解密和验证,确保合法后,生成终端与服务端之间的会话凭证以及访问控制列表,以供终端和服务端进行通信,实现基于软件定义边界技术进行终端的认证,保障了服务器的安全稳定。
[0017]下面结合附图和具体实施例对本专利技术作进一步描述。
附图说明
[0018]为本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.终端认证方法,其特征在于,包括:获取来自终端的单包认证凭证,其中,所述单包认证凭证是终端采集单包认证要素,并对所述单包认证要素进行处理后形成的凭证;对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法;若所述单包认证凭证合法,则生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容;接收所述请求内容,并对所述请求内容进行处理,以得到处理结果;验证所述处理结果,以得到验证结果;当所述验证结果是合法时,根据所述处理结果生成会话凭证以及访问控制列表;发送所述会话凭证以及访问控制列表至终端以及服务端,以使得终端向服务端发起通信请求时,所述服务端根据所述通信请求的内容验证会话凭证,当会话凭证验证通过时,所述服务端应答所述通信请求并建立通信隧道。2.根据权利要求1所述的终端认证方法,其特征在于,所述单包认证要素包括主体属性、环境属性以及客体属性;其中,所述主体属性包括主机MAC地址、操作系统、端口、协议、服务以及厂商;所述环境属性包括上线时间、IP、接入位置、业务流量大小;所述客体属性包括所属部门、管理人员、授权时间以及授权级别。3.根据权利要求2所述的终端认证方法,其特征在于,所述单包认证凭证是终端采集单包认证要素,由单包认证要素构成设备指纹信息,并对所述设备指纹信息采用内置的加密密钥进行加密后,根据加密结果采用单包认证凭证生成算法生成的凭证。4.根据权利要求3所述的终端认证方法,其特征在于,所述对所述单包认证凭证进行验证,以判断所述单包认证凭证是否合法,包括:对所述单包认证凭证进行解密,以得到设备指纹信息、采集时间戳以及内置的加密密钥;判断所述采集时间戳是否小于设定阈值;若所述采集时间戳不小于设定阈值,则确定所述单包认证凭证不合法;若所述采集时间戳小于设定阈值,则判断所述设备指纹信息内的主体属性信息是否存在威胁情报;若所述设备指纹信息内的主体属性信息存在威胁情报,则执行所述确定所述单包认证凭证不合法;若所述设备指纹信息内的主体属性信息不存在威胁情报,则判断所述单包认证凭证是否在已保存的认证凭证清单内;若所述单包认证凭证在已保存的认证凭证清单内,则确定所述单包认证凭证合法;若所述单包认证凭证不在已保存的认证凭证清单内,则执行所述确定所述单包认证凭证不合法。5.根据权利要求1所述的终端认证方法,其特征在于,所述通知信息包括加密后的发送通知信息时的时间戳以及加密后的连接端口。6.根据权利要求5所述的终端认证方法,其特征在于,所述生成通知信息,并发送所述通知信息至终端,以使得所述终端在确定所述通知信息是合法的情况下发出请求内容,包括:...
【专利技术属性】
技术研发人员:柳遵梁,王月兵,周杰,闻建霞,覃锦端,毛菲,刘聪,
申请(专利权)人:杭州美创科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。