一种基于可信终端代理服务的信任边界实现方法技术

本发明专利技术涉及一种基于可信终端代理服务的信任边界实现方法，本发明专利技术采用可信终端代理服务来收集设备信息，并利用可信接入安全控制中心服务对该终端设备的设备信息和设备签名进行验证

【技术实现步骤摘要】
一种基于可信终端代理服务的信任边界实现方法


[0001]本专利技术涉及一种基于可信终端代理服务的信任边界实现方法，属于计算机网络安全

。

技术介绍

[0002]计算机网络安全是指保护网络与信息系统中的软件
、
硬件及其中承载的数据，不因偶然的或者恶意的原因而遭受到破坏
、
更改
、
泄露，系统连续可靠正常地运行，网络服务不中断
。
[0003]现有专利号如“CN112187724B”的专利技术专利公开了一种访问控制方法
、
装置
、
网关
、
客户端和安全令牌服务，通过客户端向网关发送
API
访问请求，
API
访问请求中包含用于请求签名验证的参数和用于权限鉴定的参数，因此，网关收到
API
访问请求之后，可以直接根据
API
访问请求中携带的用于请求签名验证的参数进行请求签名验证，根据用于权限鉴定的参数进行权限鉴定，无需访问数据库获取所需要的参数，减少了网络
I/O
和查询数据库的时间，请求签名验证通过并且权限鉴定通过，网关将所述
API
访问请求转发至对应的业务线接口，从而，提高了
API
的访问效率
。
[0004]现有专利号如“CN102984252B”的专利技术专利公开了一种基于动态跨域安全令牌的云资源访问控制方法，具体步骤为：在云资源服务提供方预设一访问代理；代理对动态临时用户身份认证后，为每一动态临时用户向云资源提供方请求一动态安全令牌；云资源提供方生成动态安全令牌并设定其访问策略，发送给动态临时用户；每一动态临时用户与云资源提供方之间分别设定一共享密钥；动态临时用户用共享密钥对访问请求进行签名，并发送一认证请求消息给云资源提供方；云资源提供方用共享密钥对该认证请求消息签名，如果签名相同，则认证通过；判定动态安全令牌及其访问代理的访问策略，根据判定结果响应该动态临时用户的访问请求
。
本专利技术实现了高效的跨域鉴权机制，判定效率高
。
[0005]传统第三方系统接口对接，一般通过
APPID
和
APPKEY
进行身份认证，如果
APPID
和
APPKEY
被泄露或者设计不当，可能导致未经授权的访问和攻击，同时无法将第三方系统终端设备和身份进行绑定
,
发生异常活动或违规行为时无法进行溯源
。

技术实现思路

[0006]为了解决上述现有技术中存在的问题，本专利技术提出了一种基于可信终端代理服务的信任边界实现方法
。
[0007]本专利技术的技术方案如下：
[0008]一方面，本专利技术提供了一种基于可信终端代理服务的信任边界实现方法，包括以下步骤：
[0009]通过可信终端代理收集设备信息并通过本地签名服务器对设备信息进行签名，将设备信息与设备签名发送至服务端，服务端中的可信接入安全控制中心接收到设备信息与设备签名后通过设备签名验证设备否为信任设备，若验证为信任设备则对设备进行注册并
生成设备的唯一设备令牌返回至可信终端代理中存储；
[0010]可信终端代理基于对应设备的设备令牌通过可信接入安全控制中心生成该设备的访问令牌并返回至可信终端代理进行存储，当通过设备上的可信终端代理向服务端发送请求时，可信终端代理生成一次性令牌，将请求信息通过访问令牌加密后携带一次性令牌发送至可信接入网关，可信接入网关对一次性令牌进行验证后对加密请求信息进行解密，解密后的请求信息经过服务端内的服务进行响应处理，最终将响应处理结果返回至可信终端代理
。
[0011]作为本专利技术的优选实施方式，所述服务端内存储有公钥，本地签名服务器内存有与公钥配对的私钥，通过本地签名服务器对设备信息进行私钥签名，可信接入安全控制中心通过服务端内存储的公钥对签名进行解密验证
。
[0012]作为本专利技术的优选实施方式，所述可信接入安全控制中心生成对应设备的设备令牌并使用服务端内的公钥加密后返回至可信终端代理保存
。
[0013]作为本专利技术的优选实施方式，可信终端代理通过本地签名服务器存储的私钥解密存储的设备令牌，并基于解密后的设备令牌生成请求码，通过本地签名服务器对请求码进行签名，将设备令牌
、
请求码以及请求码签名发送至服务端，服务端内的可信接入安全控制中心根据请求码签名验证是否信任请求码，若信任请求码则生成访问令牌并通过服务端内的公钥加密后返回至可信终端代理中
。
[0014]作为本专利技术的优选实施方式，所述访问令牌设有过期时间，可信终端代理需定期通过可信接入安全控制中心更新访问令牌
。
[0015]另一方面，本专利技术还提供了一种基于可信终端代理服务的信任边界系统，包括本地可信终端代理
、
签名服务器
、
可信接入网关
、
可信接入安全控制中心以及远程服务器；
[0016]所述可信终端代理
、
签名服务器设置在本地，所述可信接入安全控制中心以及远程服务器设置在服务端，通过可信终端代理服务收集本地设备信息并通过本地签名服务器对设备信息进行签名，将设备信息与设备签名发送至服务端，服务端中的可信接入安全控制中心接收到设备信息与设备签名后通过设备签名验证设备否为信任设备，若验证为信任设备则对设备进行注册并生成设备的唯一设备令牌返回至可信终端代理中存储；
[0017]可信终端代理基于对应设备的设备令牌通过可信接入安全控制中心生成该设备的访问令牌并返回至可信终端代理进行存储，当通过设备上的可信终端代理向服务端发送请求时，可信终端代理生成一次性令牌，将请求信息通过访问令牌加密后携带一次性令牌发送至可信接入网关，可信接入网关对一次性令牌进行验证后对加密请求信息进行解密，解密后的请求信息经过服务端内的服务进行响应处理，最终将响应处理结果返回至可信终端代理
。
[0018]再一方面，本专利技术还提供一种电子设备，包括存储器
、
处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如本专利技术任一实施例所述的方法
。
[0019]再一方面，本专利技术还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本专利技术任一实施例所述的方法
。
[0020]本专利技术具有如下有益效果：
[0021]1、
本专利技术通过将终端设备信息与第三方系统身份进行绑定，可以增加身份认证的
可靠性
。
设备注册可以确保只有具备合法终端设备的第三方系统才能进行接口调用，从而防止未经授权的设备访问系统或执行敏感操作
。
[0022]2、
本专利技术设备令牌和访问令牌的生成算法和加密存储机制可以增加本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于可信终端代理服务的信任边界实现方法，其特征在于，包括以下步骤：通过可信终端代理收集设备信息并通过本地签名服务器对设备信息进行签名，将设备信息与设备签名发送至服务端，服务端中的可信接入安全控制中心接收到设备信息与设备签名后通过设备签名验证设备否为信任设备，若验证为信任设备则对设备进行注册并生成设备的唯一设备令牌返回至可信终端代理中存储；可信终端代理基于对应设备的设备令牌通过可信接入安全控制中心生成该设备的访问令牌并返回至可信终端代理进行存储，当通过设备上的可信终端代理向服务端发送请求时，可信终端代理生成一次性令牌，将请求信息通过访问令牌加密后携带一次性令牌发送至可信接入网关，可信接入网关对一次性令牌进行验证后对加密请求信息进行解密，解密后的请求信息经过服务端内的服务进行响应处理，最终将响应处理结果返回至可信终端代理
。2.
根据权利要求1所述的一种基于可信终端代理服务的信任边界实现方法，其特征在于，所述服务端内存储有公钥，本地签名服务器内存有与公钥配对的私钥，通过本地签名服务器对设备信息进行私钥签名，可信接入安全控制中心通过服务端内存储的公钥对签名进行解密验证
。3.
根据权利要求1所述的一种基于可信终端代理服务的信任边界实现方法，其特征在于，所述可信接入安全控制中心生成对应设备的设备令牌并使用服务端内的公钥加密后返回至可信终端代理保存
。4.
根据权利要求1所述的一种基于可信终端代理服务的信任边界实现方法，其特征在于，可信终端代理通过本地签名服务器存储的私钥解密存储的设备令牌，并基于解密后的设备令牌生成请求码，通过本地签名服务器对请求码进行签名，将设备令牌
、
请求码以及请求码签名发送至服务端，服务端内的可信接入安全控制中心根据请求码签名验证是否信任请求码，若信任请求码则生成访问令牌并通过服务端内的公钥加密后...

【专利技术属性】
技术研发人员：陈海量，张文，刘盈，张洁，
申请(专利权)人：福建博思软件股份有限公司，
类型：发明
国别省市：