反向互联的认证方法和装置转让专利
申请号 : CN201811137439.3
文献号 : CN109067798B
文献日 : 2021-03-05
发明人 : 刘金财 , 刘彦利 , 李岳
申请人 : 中国联合网络通信集团有限公司
摘要 :
本发明实施例提供了一种反向互联的认证方法和装置,方法包括:接收客户端发送的认证连接请求,根据认证连接请求与客户端建立认证连接通道;向客户端发送反向认证回连请求,根据反向认证回连请求与客户端建立数据连接通道;通过认证连接通道将预设的验证码发送至客户端,以使客户端根据验证码生成验证回复码,并通过数据连接通道反馈验证回复码;接收客户端反馈的验证回复码,并根据验证码和验证回复码对与客户端的连接进行双向认证。本发明提供的技术方案,通过与客户端之间建立认证连接通道和数据连接通道,并根据验证码和验证回复码对与客户端的连接进行双向认证,认证粒度较小,保证了认证机制的质量和效率。
权利要求 :
1.一种反向互联的认证方法,其特征在于,包括:接收客户端发送的认证连接请求,根据所述认证连接请求与所述客户端建立认证连接通道;
向所述客户端发送反向认证回连请求,根据所述反向认证回连请求与所述客户端建立数据连接通道;
通过所述认证连接通道将预设的验证码发送至客户端,以使所述客户端根据所述验证码生成验证回复码,并通过所述数据连接通道反馈所述验证回复码;
接收所述客户端反馈的验证回复码,并根据所述验证码和验证回复码对与所述客户端的连接进行双向认证;
其中,在根据所述认证连接请求与所述客户端建立认证连接通道之后,所述方法还包括:获取所述客户端基于SSL协议进行连接的IP地址;
根据所述IP地址对所述客户端的节点进行授权认证;
若所述客户端的节点授权认证通过,则向所述客户端发送反向认证回连请求;
其中,根据所述IP地址对所述客户端的节点进行授权认证,包括:获取所述客户端中的数字证书中的授权IP地址;
判断所述授权IP地址与所述IP地址是否匹配;
若匹配,则确定所述客户端的节点授权认证通过;
若不匹配,则确定所述客户端的节点授权认证未通过。
2.根据权利要求1所述的方法,其特征在于,接收客户端发送的认证连接请求,并根据所述认证连接请求与所述客户端建立认证连接通道,包括:接收所述客户端基于安全套接层SSL协议所发送的认证连接请求;
根据所述认证连接请求与所述客户端进行握手,并对预设的双向数字证书信任链进行认证;
若所述双向数字证书信任链认证通过,则确定所述认证连接通道建立成功。
3.根据权利要求1-2中任意一项所述的方法,其特征在于,根据所述验证码和验证回复码对与所述客户端的连接进行双向认证,包括:根据所述验证码对所述验证回复码进行验证;
若验证通过,则确定与所述客户端的连接为授权访问安全敏感数据的合法进程;
若验证未通过,则确定与所述客户端的连接为非法进程。
4.一种反向互联的认证装置,其特征在于,包括:接收模块,用于接收客户端发送的认证连接请求,根据所述认证连接请求与所述客户端建立认证连接通道;
建立模块,用于向所述客户端发送反向认证回连请求,根据所述反向认证回连请求与所述客户端建立数据连接通道;
发送模块,用于通过所述认证连接通道将预设的验证码发送至客户端,以使所述客户端根据所述验证码生成验证回复码,并通过所述数据连接通道反馈所述验证回复码;
认证模块,用于接收所述客户端反馈的验证回复码,并根据所述验证码和验证回复码对与所述客户端的连接进行双向认证;
所述装置还包括:
获取模块,用于在根据所述认证连接请求与所述客户端建立认证连接通道之后,获取所述客户端基于SSL协议进行连接的IP地址;
所述认证模块,还用于:
根据所述IP地址对所述客户端的节点进行授权认证;
若所述客户端的节点授权认证通过,则向所述客户端发送反向认证回连请求;
所述认证模块,用于:
获取所述客户端中的数字证书中的授权IP地址;
判断所述授权IP地址与所述IP地址是否匹配;
若匹配,则确定所述客户端的节点授权认证通过;
若不匹配,则确定所述客户端的节点授权认证未通过。
5.根据权利要求4所述的装置,其特征在于,所述接收模块,用于:接收所述客户端基于安全套接层SSL协议所发送的认证连接请求;
根据所述认证连接请求与所述客户端进行握手,并对预设的双向数字证书信任链进行认证;
若所述双向数字证书信任链认证通过,则确定所述认证连接通道建立成功。
6.根据权利要求4-5中任意一项所述的装置,其特征在于,所述认证模块,用于:根据所述验证码对所述验证回复码进行验证;
若验证通过,则确定与所述客户端的连接为授权访问安全敏感数据的合法进程;
若验证未通过,则确定与所述客户端的连接为非法进程。
说明书 :
反向互联的认证方法和装置
技术领域
[0001] 本发明涉及通信技术领域,尤其涉及一种反向互联的认证方法和装置。
背景技术
[0002] 随着互联网技术的迅速发展,信息的安全性越来越受到重视,因此,为了保证交互信息的安全可靠性,身份认证技术越来越广泛,而身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
[0003] 目前分布式系统中各个通讯进程在彼此的身份认证方面的机制有限,尤其是在进程防假冒方面,如何有效防止在授权节点上启动非授权进程窃取系统机密数据方面机制有限;而现有的认证实现方式大多是依靠口令进行身份认证,数字证书机制向通讯对端标识了自身授权身份。然而,上述的认证实现方式的认证粒度较大,有效地影响了认证效率,降低了认证机制的安全可靠性。
发明内容
[0004] 本发明实施例提供了一种反向互联的认证方法和装置,用于解决现有技术中存在的认证粒度较大,有效地影响了认证效率,降低了认证机制的安全可靠性的问题。
[0005] 本发明实施例第一方面提供了一种反向互联的认证方法,包括:
[0006] 接收客户端发送的认证连接请求,根据所述认证连接请求与所述客户端建立认证连接通道;
[0007] 向所述客户端发送反向认证回连请求,根据所述反向认证回连请求与所述客户端建立数据连接通道;
[0008] 通过所述认证连接通道将预设的验证码发送至客户端,以使所述客户端根据所述验证码生成验证回复码,并通过所述数据连接通道反馈所述验证回复码;
[0009] 接收所述客户端反馈的验证回复码,并根据所述验证码和验证回复码对与所述客户端的连接进行双向认证。
[0010] 如上所述的方法,接收客户端发送的认证连接请求,并根据所述认证连接请求与所述客户端建立认证连接通道,包括:
[0011] 接收所述客户端基于安全套接层SSL协议所发送的认证连接请求;
[0012] 根据所述认证连接请求与所述客户端进行握手,并对预设的双向数字证书信任链进行认证;
[0013] 若所述双向数字证书信任链认证通过,则确定所述认证连接通道建立成功。
[0014] 如上所述的方法,在根据所述认证连接请求与所述客户端建立认证连接通道之后,所述方法还包括:
[0015] 获取所述客户端基于SSL协议进行连接的IP地址;
[0016] 根据所述IP地址对所述客户端的节点进行授权认证;
[0017] 若所述客户端的节点授权认证通过,则向所述客户端发送反向认证回连请求。
[0018] 如上所述的方法,根据所述IP地址对所述客户端的节点进行授权认证,包括:
[0019] 获取所述客户端中的数字证书中的授权IP地址;
[0020] 判断所述授权IP地址与所述IP地址是否匹配;
[0021] 若匹配,则确定所述客户端的节点授权认证通过;
[0022] 若不匹配,则确定所述客户端的节点授权认证未通过。
[0023] 如上所述的方法,根据所述验证码和验证回复码对与所述客户端的连接进行双向认证,包括:
[0024] 根据所述验证码对所述验证回复码进行验证;
[0025] 若验证通过,则确定与所述客户端的连接为授权访问安全敏感数据的合法进程;
[0026] 若验证未通过,则确定与所述客户端的连接为非法进程。
[0027] 本发明实施例第二方面提供了一种反向互联的认证装置,包括:
[0028] 接收模块,用于接收客户端发送的认证连接请求,根据所述认证连接请求与所述客户端建立认证连接通道;
[0029] 建立模块,用于向所述客户端发送反向认证回连请求,根据所述反向认证回连请求与所述客户端建立数据连接通道;
[0030] 发送模块,用于通过所述认证连接通道将预设的验证码发送至客户端,以使所述客户端根据所述验证码生成验证回复码,并通过所述数据连接通道反馈所述验证回复码;
[0031] 认证模块,用于接收所述客户端反馈的验证回复码,并根据所述验证码和验证回复码对与所述客户端的连接进行双向认证。
[0032] 如上所述的装置,所述接收模块,用于:
[0033] 接收所述客户端基于安全套接层SSL协议所发送的认证连接请求;
[0034] 根据所述认证连接请求与所述客户端进行握手,并对预设的双向数字证书信任链进行认证;
[0035] 若所述双向数字证书信任链认证通过,则确定所述认证连接通道建立成功。
[0036] 如上所述的装置,所述装置还包括:
[0037] 获取模块,用于在根据所述认证连接请求与所述客户端建立认证连接通道之后,获取所述客户端基于SSL协议进行连接的IP地址;
[0038] 所述认证模块,还用于:
[0039] 根据所述IP地址对所述客户端的节点进行授权认证;
[0040] 若所述客户端的节点授权认证通过,则向所述客户端发送反向认证回连请求。
[0041] 如上所述的装置,所述认证模块,用于:
[0042] 获取所述客户端中的数字证书中的授权IP地址;
[0043] 判断所述授权IP地址与所述IP地址是否匹配;
[0044] 若匹配,则确定所述客户端的节点授权认证通过;
[0045] 若不匹配,则确定所述客户端的节点授权认证未通过。
[0046] 如上所述的装置,所述认证模块,用于:
[0047] 根据所述验证码对所述验证回复码进行验证;
[0048] 若验证通过,则确定与所述客户端的连接为授权访问安全敏感数据的合法进程;
[0049] 若验证未通过,则确定与所述客户端的连接为非法进程。
[0050] 本发明实施例第三方面提供了一种反向互联的认证终端,包括:
[0051] 存储器;
[0052] 处理器;以及
[0053] 计算机程序;
[0054] 其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面所述的一种反向互联的认证方法。
[0055] 本发明实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序;
[0056] 所述计算机程序被处理器执行以实现如第一方面所述的一种反向互联的认证方法。
[0057] 本发明实施例提供的反向互联的认证方法和装置,通过与客户端之间建立认证连接通道和数据连接通道,并通过认证连接通道将预设的验证码发送至客户端,接收客户端反馈的验证回复码,并根据验证码和验证回复码对与客户端的连接进行双向认证,有效地实现了对与客户端的连接的两端进行有效认证,认证粒度较小,保证了认证机制的质量和效率,进而提高了该方法使用的安全可靠性,有利于市场的推广与应用。
附图说明
[0058] 图1是本发明实施例提供的一种反向互联的认证方法的流程示意图;
[0059] 图2为本发明实施例提供的接收客户端发送的认证连接请求,并根据所述认证连接请求与所述客户端建立认证连接通道的流程示意图;
[0060] 图3为本发明实施例提供的另一种反向互联的认证方法的流程示意图;
[0061] 图4为本发明实施例提供的根据所述IP地址对所述客户端的节点进行授权认证的流程示意图;
[0062] 图5为本发明实施例提供的根据所述验证码和验证回复码对与所述客户端的连接进行双向认证的流程示意图;
[0063] 图6为本发明应用实施例提供的一种反向互联的认证方法的信令交互图;
[0064] 图7为本发明实施例提供的一种反向互联的认证装置的结构示意图;
[0065] 图8为本发明实施例提供的一种反向互联的认证终端的结构示意图。
具体实施方式
[0066] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0067] 本发明的说明书和权利要求书的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤的过程或结构的装置不必限于清楚地列出的那些结构或步骤而是可包括没有清楚地列出的或对于这些过程或装置固有的其它步骤或结构。
[0068] 图1是本发明实施例提供的一种反向互联的认证方法的流程示意图;参考附图1可知,本实施例提供了一种反向互联的认证方法,该认证方法的执行主体可以为服务器、通信装置,该服务器、通信装置可以与客户端进行通信连接,为了便于理解和说明,下面以服务器作为执行主体进行说明,具体的,该方法包括:
[0069] S101:接收客户端发送的认证连接请求,根据认证连接请求与客户端建立认证连接通道;
[0070] 在客户端启动后,可以向服务器的预设端口发送认证连接请求,该认证连接请求用于实现客户端与服务器之间认证连接通道的建立,当服务器接收到客户端发送的认证连接请求之后,可以对认证连接请求进行分析处理,并可以根据分析处理结果判断是否与客户端建立认证通道,例如:根据认证连接请求判断客户端是否为合法终端,若客户端为合法终端,则可以根据进认证连接请求与客户端建立认证连接通道,若客户端为非法终端,则可以进展与客户端建立认证连接通道;当然的,本领域技术人员还可以采用其他的方式建立认证连接通道,只要能够保证认证连接通道建立的安全可靠性即可,在此不再赘述。
[0071] S102:向客户端发送反向认证回连请求,根据反向认证回连请求与客户端建立数据连接通道;
[0072] 在建立完认证连接通道之后,服务器可以向客户端发送反向认证回连请求,该反向认证回连请求用于对服务器的合法性进行认证,当服务器的认证结果为合法时,则可以根据反向认证回连请求与客户端建立数据连接通道;若服务器的认证结果为非法时,则可以禁止与客户端建立数据连接通道。
[0073] S103:通过认证连接通道将预设的验证码发送至客户端,以使客户端根据验证码生成验证回复码,并通过数据连接通道反馈验证回复码;
[0074] 在认证连接通道和数据连接通道均建立完毕后,则可以将服务器预先生成的验证码发送至客户端,客户端可以根据该验证码生成验证回复码,其中,验证回复码可以与验证码相同,也可以与验证码不同,并将生成的验证回复码通过数据连接通道反馈至服务器端。
[0075] S104:接收客户端反馈的验证回复码,并根据验证码和验证回复码对与客户端的连接进行双向认证。
[0076] 在服务器端接收到验证回复码之后,可以根据验证码和验证回复码对与客户端的连接进行双向认证,具体的,可以获取验证码与验证回复码的匹配度,并将匹配度与预设的匹配度阈值进行分析比较,若匹配度大于或等于匹配度阈值,则可以确定验证码与验证回复码相匹配,此时,则可以确认与客户端的连接认证通过,也即服务器与客户端均为合法终端,所存在的连接状态为合法连接状态;若匹配度小于匹配度阈值,则可以确定验证码与验证回复码不匹配,此时,则可以确认与客户端的连接认证未通过,也即服务器与客户端中的至少一个为非法终端,所存在的连接状态为非法连接状态;当然的,本领域技术人员还可以采用其他的方式来实现对于客户端的连接进行双向认证的过程,只要能够保证认证的准确可靠性即可,在此不再赘述。
[0077] 本实施例提供的反向互联的认证方法,通过与客户端之间建立认证连接通道和数据连接通道,并通过认证连接通道将预设的验证码发送至客户端,接收客户端反馈的验证回复码,并根据验证码和验证回复码对与客户端的连接进行双向认证,有效地实现了对与客户端的连接的两端进行有效认证,认证粒度较小,保证了认证机制的质量和效率,进而提高了该方法使用的安全可靠性,有利于市场的推广与应用。
[0078] 图2为本发明实施例提供的接收客户端发送的认证连接请求,并根据认证连接请求与客户端建立认证连接通道的流程示意图;在上述实施例的基础上,继续参考附图2可知,本实施例对于接收客户端发送的认证连接请求,并根据认证连接请求与客户端建立认证连接通道的具体实现过程不做限定,本领域技术人员可以根据具体的设计需求进行设置,较为优选的,本实施例中的接收客户端发送的认证连接请求,并根据认证连接请求与客户端建立认证连接通道可以包括:
[0079] S1011:接收客户端基于安全套接层SSL协议所发送的认证连接请求;
[0080] 客户端启动后,可以向服务器的预设端口发起基于SSL协议的认证连接请求,申请建立认证连接,从而使得服务器可以接收到基于SSL协议的认证连接请求。
[0081] S1012:根据认证连接请求与客户端进行握手,并对预设的双向数字证书信任链进行认证;
[0082] 其中,服务器和客户端均可以基于Java技术采用netty框架进行编写,遵循标识SSL协议完成握手,并且服务器和客户端中各自设置有相对应的数字证书,在服务器根据认证连接请求与客户端进行握手之后,可以对双向数字证书信任链(包括:服务器侧的数字证书和客户端侧的数字证书)进行认证,以保证认证的准确可靠性。
[0083] S1013:若双向数字证书信任链认证通过,则确定认证连接通道建立成功。
[0084] 本实施例对于具体的认证过程不做限定,本领域技术人员可以根据具体的设计需求进行设置,例如,可以获取双向数字证书信任链中的关键标识,将所获取的关键标识与预先存储的标准标识进行分析对比,若相匹配,则可以判断为双向数字证书信任链认证通过,此时,则可以确认认证连接通道建立成功;若不匹配,则可以判断为双向数字证书信任链认证未通过,则可以确认认证连接通道建立失败。
[0085] 通过上述方式根据认证连接请求与客户端建立认证连接通道,有效地实现了对数字证书信任链进行认证的过程,保证了认证连接通道建立的准确可靠性,进一步提高了该方法使用的稳定可靠性。
[0086] 图3为本发明实施例提供的另一种反向互联的认证方法的流程示意图;
[0087] 图4为本发明实施例提供的根据IP地址对客户端的节点进行授权认证的流程示意图;在上述实施例的基础上,继续参考附图3-4可知,为了进一步提高该方法认证机制的全面可靠性,在根据认证连接请求与客户端建立认证连接通道之后,本实施例中的方法还可以包括:
[0088] S201:获取客户端基于SSL协议进行连接的IP地址;
[0089] S202:根据IP地址对客户端的节点进行授权认证;
[0090] 具体的,根据IP地址对客户端的节点进行授权认证可以包括:
[0091] S2021:获取客户端中的数字证书中的授权IP地址;
[0092] S2022:判断授权IP地址与IP地址是否匹配;
[0093] S2023:若匹配,则确定客户端的节点授权认证通过;
[0094] S2024:若不匹配,则确定客户端的节点授权认证未通过。
[0095] S203:若客户端的节点授权认证通过,则向客户端发送反向认证回连请求。
[0096] 通过上述根据IP地址对客户端的节点进行授权认证的过程,有效地实现了IP地址认证和节点认证相结合的过程,进一步保证了认证机制的准确可靠性,提高了该认证方法使用的精确程度。
[0097] 图5为本发明实施例提供的根据验证码和验证回复码对与客户端的连接进行双向认证的流程示意图,在上述实施例的基础上,继续参考附图5可知,本实施例对于根据验证码和验证回复码对与客户端的连接进行双向认证的具体实现过程不做限定,本领域技术人员可以根据具体的设计需求进行设置,较为优选的,本实施例中的根据验证码和验证回复码对与客户端的连接进行双向认证可以包括:
[0098] S1041:根据验证码对验证回复码进行验证;
[0099] 其中,在对验证回复码进行验证时,一种可实现的方式为:可以根据验证码判断验证回复码是否匹配,也即将验证码与验证回复码直接进行分析比较;另一种可实现的方式为:可以获取与验证码相关联的有效期间,根据验证码和有效期间判断验证回复码是否有效且匹配,也即,获取验证回复码的生成日期,根据有效期间对生成日期进行分析比较,根据验证码对验证回复码进行分析比较,其中,第二种实现方式的认证粒度较第一种实现方式的认证粒度较小,准确度较高。
[0100] S1042:若验证通过,则确定与客户端的连接为授权访问安全敏感数据的合法进程;
[0101] 对于第一种实现方式而言,当验证码与验证回复码相匹配(包括:验证码与验证回复码完全相同,或者,验证码与验证回复码的匹配度大于或等于预设的匹配度阈值)时,则可以确认验证回复码认证通过;对于第二种实现方式而言,当验证码与验证回复码相匹配、且验证回复码的生成日期在有效期间内时,则说明验证回复码有效且匹配,进而可以确认验证回复码认证通过;此时,则可以确定与客户端的连接为合法进程,进一步的,可以与客户端进行安全密码数据交换。
[0102] S1043:若验证未通过,则确定与客户端的连接为非法进程。
[0103] 对于第一种实现方式而言,当验证码与验证回复码不匹配(包括:验证码与验证回复码不同,或者,验证码与验证回复码的匹配度小于预设的匹配度阈值)时,则可以确认验证回复码认证未通过;对于第二种实现方式而言,当验证码与验证回复码不匹配,和/或,验证回复码的生成日期未在有效期间内时,则说明验证回复码无效和/或不匹配,进而可以确认验证回复码认证未通过;此时,则可以确定与客户端的连接为非法进程,进一步的,为了保证数据的安全可靠性,禁止与客户端进行安全密码数据交换。
[0104] 通过上述根据验证码对验证回复码进行验证的过程,有效地实现了验证码认证的过程,进一步保证了认证机制的准确可靠性,提高了该认证方法使用的精确程度。
[0105] 具体应用时,参考附图6可知,本实施例提供了一种反向互联的认证方法,该方法可以通过一个分布式通讯系统来实现,该系统可以为采用星型架构、主从模式通讯模型的分布式通讯系统,其可以包括管控中心(C1)和管控代理(A1),其中,管控中心(C1)为服务端,负责保管安全敏感数据(敏感数据解密密钥,以下称密钥);管控代理(A1)为客户端,接入管控中心,申请密钥,以密钥启动本节点的敏感数据解密分发进程。
[0106] 其中,密钥在整个系统中仅由管理员人脑记忆,不允许如何进程持久化存储,只能在内存中加密保存,每次启动后须从服务器获取此安全敏感数据。这种设计下,如何保障能够接触授权服务器的人员启动非授权管控代理进程,窃取密钥成为核心难点。为此,在管控中心设置了一个基于双向互联认证的进程防假冒机制,解决了上述难点。
[0107] 具体的,管控中心与管控代理通过SSL协议通讯,项目中各个涉密进程均由同一CA根证书为其签发进程自己的数字证书,在证书中绑定授权此进程启动的节点IP与授权其监听的供管控中心反向连接的端口号,从而建立一个信任证书链。
[0108] 启动管控中心时,由密钥保管员输入密钥,授权管控中心启动。管控中心启动后,自检其证书IP是否与节点IP一致,并监听其证书授权端口,等待管控代理接入。为防止管控中心的单点故障,引入Zookeeper系统支撑管控中心的主从热备。
[0109] 管控代理启动时,初始化IP自检并监听其证书授权端口。初始化完毕后,管控代理向管控中心发起SSL连接请求,管控中心收到连接请求后回连管控代理的证书授权端口从而完成授权认证建立敏感数据传送通道。在此通道建立过程中SSL协议自动完成了证书交换、认证,系统代码完成了IP、端口、验证码认证,通过此四阶段认证(数字证书信任链认证、IP+端口认证、验证码认证)算法,实现防假冒进程的接入,保障了后续数据的安全交换。
[0110] 进程监控告警中心实时监控各个管控中心及管控代理进程的生命周期变化,发生生命周期状态变更时,实时向运维人员发送告警。
[0111] 进一步的,在系统部署前,须创建系统的根CA证书,在系统部署阶段即同步由此CA根证书为部署的各个授权进程统一签发数字证书;此时,反向互联的认证的信令交互过程如下:
[0112] (1)首先,启动管控中心C1;
[0113] (2)管控代理A1启动后,向管控中心C1的1111端口发起SSL连接请求,申请建立认证连接;
[0114] (3)管控代理A1与管控中心C1均基于Java技术采用netty框架编写,遵循标识SSL协议完成握手、双向数字证书信任链认证;
[0115] (4)数字证书认证通过后,认证连接即建立成功,管控中心C1获取管控代理A1的SSL连接的IP地址,并与管控代理A1数字证书中的授权IP地址进行比对,进行节点授权认证;
[0116] (5)节点授权认证通过后,管控中心C1向管控代理A1数字证书中的授权IP、端口发起反向SSL连接请求,申请建立数据连接;
[0117] (6)数据连接建立成功,即通过端口授权认证;
[0118] (7)端口授权认证通过后,管控中心C1创建验证码R1,并设定其生存期,通过认证连接通道向管控代理A1发送R1,管控代理A1收到随机码R1后,立即通过数据连接通道向管控中心C1回送R1,以进行验证码认证;
[0119] (8)管控中心C1比对向管控代理A1发送的验证码与管控代理A1回传的验证码是否有效且相符,以完成验证码认证;
[0120] (9)通过上述数字证书信任链认证、授权IP+端口认证、验证码认证,即保证了管控代理A1、管控中心C1进程均为授权访问安全敏感数据的合法进程,管控代理A1、管控中心C1即可通过SSL加密数据连接通道进行安全敏感数据交换。
[0121] 图7为本发明实施例提供的一种反向互联的认证装置的结构示意图;参考附图7可知,本实施例提供了一种反向互联的认证装置,该认证装置的实体可以为服务器或者通信装置,并且该认证装置可以执行上述的认证方法,具体的,该认证装置包括:
[0122] 接收模块1,用于接收客户端发送的认证连接请求,根据认证连接请求与客户端建立认证连接通道;
[0123] 建立模块2,用于向客户端发送反向认证回连请求,根据反向认证回连请求与客户端建立数据连接通道;
[0124] 发送模块3,用于通过认证连接通道将预设的验证码发送至客户端,以使客户端根据验证码生成验证回复码,并通过数据连接通道反馈验证回复码;
[0125] 认证模块4,用于接收客户端反馈的验证回复码,并根据验证码和验证回复码对与客户端的连接进行双向认证。
[0126] 本实施例对于接收模块1、建立模块2、发送模块3和认证模块4的具体形状结构不做限定,本领域技术人员可以根据其实现的功能作用对其进行任意设置,在此不再赘述;另外,本实施例中接收模块1、建立模块2、发送模块3和认证模块4所实现的操作步骤的具体实现过程以及实现效果与上述实施例中步骤S101-S104的具体实现过程以及实现效果相同,具体可参考上述陈述内容,在此不再赘述。
[0127] 在上述实施例的基础上,继续参考附图7可知,本实施例对于接收模块1接收客户端发送的认证连接请求,并根据认证连接请求与客户端建立认证连接通道的具体实现过程不做限定,本领域技术人员可以根据具体的设计需求进行设置,较为优选的,在接收模块1接收客户端发送的认证连接请求,并根据认证连接请求与客户端建立认证连接通道时,该接收模块1可以用于执行:
[0128] 接收客户端基于安全套接层SSL协议所发送的认证连接请求;根据认证连接请求与客户端进行握手,并对预设的双向数字证书信任链进行认证;若双向数字证书信任链认证通过,则确定认证连接通道建立成功。
[0129] 进一步的,继续参考附图7可知,为了进一步提高该装置的认证机制的全面可靠性,本实施例中的装置还包括:
[0130] 获取模块5,用于在根据认证连接请求与客户端建立认证连接通道之后,获取客户端基于SSL协议进行连接的IP地址;
[0131] 认证模块4,还用于:根据IP地址对客户端的节点进行授权认证;若客户端的节点授权认证通过,则向客户端发送反向认证回连请求。
[0132] 其中,在认证模块4根据IP地址对客户端的节点进行授权认证时,该认证模块4可以具体用于执行:获取客户端中的数字证书中的授权IP地址;判断授权IP地址与IP地址是否匹配;若匹配,则确定客户端的节点授权认证通过;若不匹配,则确定客户端的节点授权认证未通过。
[0133] 进一步的,继续参考附图7可知,本实施例对于认证模块4根据验证码和验证回复码对与客户端的连接进行双向认证的具体实现过程不做限定,本领域技术人员可以根据具体的设计需求进行设置,较为优选的,在认证模块4根据验证码和验证回复码对与客户端的连接进行双向认证时,该认证模块4可以具体用于执行:
[0134] 根据验证码对验证回复码进行验证;若验证通过,则确定与客户端的连接为授权访问安全敏感数据的合法进程;若验证未通过,则确定与客户端的连接为非法进程。
[0135] 本实施例提供的反向互联的认证装置能够用于执行图2-图6实施例所对应的方法,其具体执行方式和有益效果类似,在这里不再赘述。
[0136] 本实施例的另一方面提供了一种反向互联的认证终端,包括:
[0137] 存储器;
[0138] 处理器;以及
[0139] 计算机程序;
[0140] 其中,计算机程序存储在存储器中,并被配置为由处理器执行以实现如上述的一种数据的可视化方法。
[0141] 具体的,图8为本发明实施例提供的一种反向互联的认证终端的结构示意图。
[0142] 如图8所示,认证终端800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)接口812,传感器组件
814,以及通信组件816。
814,以及通信组件816。
[0143] 处理组件802通常控制认证终端800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
[0144] 存储器804被配置为存储各种类型的数据以支持在认证终端800的操作。这些数据的示例包括用于在认证终端800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
[0145] 电源组件806为认证终端800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为认证终端800生成、管理和分配电力相关联的组件。
[0146] 多媒体组件808包括在认证终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。
[0147] 音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当认证终端800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
[0148] I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
[0149] 传感器组件814包括一个或多个传感器,用于为认证终端800提供各个方面的状态评估。例如,传感器组件814可以检测到认证终端800的打开/关闭状态,组件的相对定位,例如组件为认证终端800的显示器和小键盘,传感器组件814还可以检测认证终端800或认证终端800一个组件的位置改变,用户与认证终端800接触的存在或不存在,认证终端800方位或加速/减速和认证终端800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括摄像头组件,摄像头可采用如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
[0150] 通信组件816被配置为便于认证终端800和其他设备之间有线或无线方式的通信。认证终端800可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
[0151] 在示例性实施例中,认证终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
[0152] 本发明实施例另一方面提供了一种计算机可读存储介质,其上存储有计算机程序;计算机程序被处理器执行以实现上述的一种反向互联的认证方法。
[0153] 最后需要说明的是,本领域普通技术人员可以理解上述实施例方法中的全部或者部分流程,是可以通过计算机程序来指令相关的硬件完成,所述的程序可存储于一计算机可读存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可以为磁盘、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。
[0154] 本发明实施例中的各个功能单元可以集成在一个处理模块中,也可以是各个单元单独的物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现,并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。上述提到的存储介质可以是只读存储器、磁盘或光盘等。
[0155] 以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。