一种会话控制方法和设备转让专利
申请号 : CN202110538471.8
文献号 : CN113242249B
文献日 : 2022-03-08
发明人 : 齐胜 , 张悦斌 , 朱贺 , 郑一友 , 文强
申请人 : 中铁信(北京)网络技术研究院有限公司 , 北京卓讯科信技术有限公司
摘要 :
本发明公开了一种会话控制方法和设备,该方法包括:根据第一节点发送的认证信息和第一节点的第一数字证书确定认证结果,若认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点;当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;其中,所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记,从而基于数字认证技术结合CIPSO网络标记技术以实现了数据安全的机密性、完整性、防伪性、防否性,并实现了会话认证和流量控制,进一步提高了报文处理的安全性。
权利要求 :
1.一种会话控制方法,其特征在于,该方法应用于包括第一节点和第二节点的系统中,该方法包括:接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息还包括所述第一节点的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记;
所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书,根据所述认证信息和所述第一数字证书确定认证结果,具体为:基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密,并生成第一消息摘要;基于Hash算法对所述第一数字证书的内容进行处理,并生成第二消息摘要;基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密,并生成第三消息摘要;基于Hash算法对所述第二数字证书的内容进行处理,并生成第四消息摘要;基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密,并生成第五消息摘要;基于Hash算法对所述认证信息处理,并生成第六消息摘要;若所述第一消息摘要与所述第二消息摘要一致,且所述第三消息摘要与所述第四消息摘要一致,且所述第五消息摘要与所述第六消息摘要一致,且所述用户名与预设用户匹配,确定所述认证结果为通过。
2.如权利要求1所述的方法,其特征在于,在接收所述第一节点发送的认证信息和所述第一节点的第一数字证书之前,所述方法还包括:根据所述第一节点的信息创建所述预设用户,并将PKI根证书发送到所述第一节点;将从所述PKI获取的所述第一数字证书发送到所述第一节点;根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置,并将从所述PKI获取的所述第二数字证书发送到所述第一节点;其中,所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的,所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥,所述业务流程为所述第一节点至所述第二节点的访问业务。
3.如权利要求1所述的方法,其特征在于,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略,具体为:基于所述会话标记确定级别信息和范畴信息;若所述级别信息匹配预设级别控制策略且所述范畴信息匹配预设范畴控制策略,确定所述会话请求报文匹配所述预设安全策略;若所述级别信息不匹配所述预设级别控制策略或所述范畴信息不匹配所述预设范畴控制策略,确定所述会话请求报文不匹配所述预设安全策略。
4.如权利要求3所述的方法,其特征在于,所述预设级别控制策略包括遵循BLP机密性模型的机密性级别控制策略和遵循BIBA完整性模型的完整性级别控制策略,所述级别信息匹配预设级别控制策略具体为:所述级别信息匹配所述机密性级别控制策略或所述级别信息匹配所述完整性级别控制策略。
5.如权利要求3所述的方法,其特征在于,所述范畴控制策略,具体为:当主体范畴信息为客体范畴信息的子集时,允许所述主体访问所述客体;或,当所述主体范畴信息和所述客体范畴信息之间存在交集时,允许所述主体访问所述客体。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:若接收到所述第一节点发送的未携带所述会话标记的非法会话请求报文,丢弃所述非法会话请求报文。
7.一种会话控制设备,其特征在于,该设备应用于包括第一节点和第二节点的系统中,该设备包括:确定模块,用于接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;发送模块,用于若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;判断模块,用于当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;处理模块,用于若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息还包括所述第一节点的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记;
所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书,所述确定模块,具体用于:基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密,并生成第一消息摘要;基于Hash算法对所述第一数字证书的内容进行处理,并生成第二消息摘要;基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密,并生成第三消息摘要;基于Hash算法对所述第二数字证书的内容进行处理,并生成第四消息摘要;基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密,并生成第五消息摘要;基于Hash算法对所述认证信息处理,并生成第六消息摘要;若所述第一消息摘要与所述第二消息摘要一致,且所述第三消息摘要与所述第四消息摘要一致,且所述第五消息摘要与所述第六消息摘要一致,且所述用户名与预设用户匹配,确定所述认证结果为通过。
8.如权利要求7所述的设备,其特征在于,所述设备还包括配置模块,用于:根据所述第一节点的信息创建所述预设用户,并将PKI根证书发送到所述第一节点;将从所述PKI获取的所述第一数字证书发送到所述第一节点;根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置,并将从所述PKI获取的所述第二数字证书发送到所述第一节点;其中,所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的,所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥,所述业务流程为所述第一节点至所述第二节点的访问业务。
说明书 :
一种会话控制方法和设备
技术领域
[0001] 本申请涉及网络安全技术领域,更具体地,涉及一种会话控制方法和设备。
背景技术
[0002] 在现有TCP/IP网络通信协议中,信息传递主要依靠各层相应的字段来控制,而这些字段是固定不变的,无法在数据传输过程中根据特定的要求来控制通信的进行,难以满
足特殊用户特定的通信需求,如一些军事部门、安全部门对涉密数据的流转控制,需要根据
诸如安全等级、部门级别等信息确定路径上的信息是否允许被传递,而此类信息无法体现
在现有公共网络协议中。若无对此类特有信息的控制,就有可能导致某些隐私数据或涉密
信息在公共网络环境下流转,造成不可估量的负面社会影响及经济损失。
足特殊用户特定的通信需求,如一些军事部门、安全部门对涉密数据的流转控制,需要根据
诸如安全等级、部门级别等信息确定路径上的信息是否允许被传递,而此类信息无法体现
在现有公共网络协议中。若无对此类特有信息的控制,就有可能导致某些隐私数据或涉密
信息在公共网络环境下流转,造成不可估量的负面社会影响及经济损失。
[0003] 因此,如何进一步提高网络会话的安全性,是目前有待解决的技术问题。
发明内容
[0004] 本发明提供一种会话控制方法,用以解决现有技术中进行会话控制时安全性低的技术问题,该方法应用于包括第一节点和第二节点的系统中,包括:
[0005] 接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;
[0006] 若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;
[0007] 当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;
[0008] 若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;
[0009] 其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一
互联网协议安全选项CIPSO协议的标记。
互联网协议安全选项CIPSO协议的标记。
[0010] 在本申请一些实施例中,所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书,根据所述认证信息和所述第一数字证书确定认证结果,具体为:
[0011] 基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密,并生成第一消息摘要;
[0012] 基于Hash算法对所述第一数字证书的内容进行处理,并生成第二消息摘要;
[0013] 基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密,并生成第三消息摘要;
[0014] 基于Hash算法对所述第二数字证书的内容进行处理,并生成第四消息摘要;
[0015] 基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密,并生成第五消息摘要;
[0016] 基于Hash算法对所述认证信息处理,并生成第六消息摘要;
[0017] 若所述第一消息摘要与所述第二消息摘要一致,且所述第三消息摘要与所述第四消息摘要一致,且所述第五消息摘要与所述第六消息摘要一致,且所述用户名与预设用户
匹配,确定所述认证结果为通过。
匹配,确定所述认证结果为通过。
[0018] 在本申请一些实施例中,在接收所述第一节点发送的认证信息和所述第一节点的第一数字证书之前,所述方法还包括:
[0019] 根据所述第一节点的信息创建所述预设用户,并将PKI根证书发送到所述第一节点;
[0020] 将从所述PKI获取的所述第一数字证书发送到所述第一节点;
[0021] 根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置,并将从所述PKI获取的所述第二数字证书发送到所述第一节点;
[0022] 其中,所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的,所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥,所述业务
流程为所述第一节点至所述第二节点的访问业务。
流程为所述第一节点至所述第二节点的访问业务。
[0023] 在本申请一些实施例中,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略,具体为:
[0024] 基于所述会话标记确定级别信息和范畴信息;
[0025] 若所述级别信息匹配预设级别控制策略且所述范畴信息匹配预设范畴控制策略,确定所述会话请求报文匹配所述预设安全策略;
[0026] 若所述级别信息不匹配所述预设级别控制策略或所述范畴信息不匹配所述预设范畴控制策略,确定所述会话请求报文不匹配所述预设安全策略。
[0027] 在本申请一些实施例中,所述预设级别控制策略包括遵循BLP机密性模型的机密性级别控制策略和遵循BIBA完整性模型的完整性级别控制策略,所述级别信息匹配预设级
别控制策略具体为:所述级别信息匹配所述机密性级别控制策略或所述级别信息匹配所述
完整性级别控制策略。
别控制策略具体为:所述级别信息匹配所述机密性级别控制策略或所述级别信息匹配所述
完整性级别控制策略。
[0028] 在本申请一些实施例中,所述范畴控制策略,具体为:
[0029] 当主体范畴信息为客体范畴信息的子集时,允许所述主体访问所述客体;
[0030] 或,当所述主体范畴信息和所述客体范畴信息之间存在交交集时,允许所述主体访问所述客体。
[0031] 在本申请一些实施例中,所述方法还包括:
[0032] 若接收到所述第一节点发送的未携带所述会话标记的非法会话请求报文,丢弃所述非法会话请求报文。
[0033] 相应的,本发明还提出了一种会话控制设备,该设备应用于包括第一节点和第二节点的系统中,该设备包括:
[0034] 确定模块,用于接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;
[0035] 发送模块,用于若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;
[0036] 判断模块,用于当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;
[0037] 处理模块,用于若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;
[0038] 其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一
互联网协议安全选项CIPSO协议的标记。
互联网协议安全选项CIPSO协议的标记。
[0039] 在本申请一些实施例中,所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书,所述确定模块,具体用于:
[0040] 基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密,并生成第一消息摘要;
[0041] 基于Hash算法对所述第一数字证书的内容进行处理,并生成第二消息摘要;
[0042] 基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密,并生成第三消息摘要;
[0043] 基于Hash算法对所述第二数字证书的内容进行处理,并生成第四消息摘要;
[0044] 基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密,并生成第五消息摘要;
[0045] 基于Hash算法对所述认证信息处理,并生成第六消息摘要;
[0046] 若所述第一消息摘要与所述第二消息摘要一致,且所述第三消息摘要与所述第四消息摘要一致,且所述第五消息摘要与所述第六消息摘要一致,且所述用户名与预设用户
匹配,确定所述认证结果为通过。
匹配,确定所述认证结果为通过。
[0047] 在本申请一些实施例中,所述设备还包括配置模块,用于:
[0048] 根据所述第一节点的信息创建所述预设用户,并将PKI根证书发送到所述第一节点;
[0049] 将从所述PKI获取的所述第一数字证书发送到所述第一节点;
[0050] 根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置,并将从所述PKI获取的所述第二数字证书发送到所述第一节点;
[0051] 其中,所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的,所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥,所述业务
流程为所述第一节点至所述第二节点的访问业务。
流程为所述第一节点至所述第二节点的访问业务。
[0052] 与现有技术对比,本发明具备以下有益效果:
[0053] 本发明公开了一种会话控制方法和设备,该方法包括:接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定
认证结果,若认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点;
当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记
判断所述会话请求报文是否匹配预设安全策略;若所述会话请求报文匹配所述预设安全策
略,将所述会话请求报文发送到所述第二节点;其中,所述认证信息带有基于所述第一节点
的私钥生成的签名信息,所述认证信息包括所述第一节点的用户名和所述第二节点的第二
数字证书,所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记,从而基于数字
认证技术结合CIPSO网络标记技术以实现了数据安全的机密性、完整性、防伪性、防否性,并
实现了会话认证和流量控制,进一步提高了报文处理的安全性。
认证结果,若认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点;
当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记
判断所述会话请求报文是否匹配预设安全策略;若所述会话请求报文匹配所述预设安全策
略,将所述会话请求报文发送到所述第二节点;其中,所述认证信息带有基于所述第一节点
的私钥生成的签名信息,所述认证信息包括所述第一节点的用户名和所述第二节点的第二
数字证书,所述会话标记为基于统一互联网协议安全选项CIPSO协议的标记,从而基于数字
认证技术结合CIPSO网络标记技术以实现了数据安全的机密性、完整性、防伪性、防否性,并
实现了会话认证和流量控制,进一步提高了报文处理的安全性。
附图说明
[0054] 为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地 ,下面描述中的附图仅仅是本申请的一些实施例,对
于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的
附图。
于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的
附图。
[0055] 图1示出了本发明实施例提出的一种会话控制方法的流程示意图;
[0056] 图2示出了本发明实施例中公钥基础设施架构示意图;
[0057] 图3示出了本发明实施例中专用协议对IP包中CIPSO字段的定义示意图;
[0058] 图4示出了本发明另一实施例提出的一种会话控制方法的原理示意图;
[0059] 图5示出了本发明实施例中强制访问控制的流程示意图;
[0060] 图6示出了本发明实施例提出的一种会话控制设备的结构示意图。
具体实施方式
[0061] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
[0062] 本发明实施例提供一种会话控制方法,该方法应用于包括第一节点和第二节点的系统中,如图1所示,该方法包括以下步骤:
[0063] 步骤S101,接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果。
[0064] 本实施例中,第一节点和第二节点可以为设置有安全客户端的主机,当第一节点需要与第二节点建立会话连接时,需要先对第一节点进行认证,接收第一节点发送的认证
信息和所述第一节点的第一数字证书,该认证信息带有签名信息,该签名信息为基于第一
节点的私钥对认证信息做签名运算后形成的,认证信息包括第一节点的用户名和第二节点
的第二数字证书,根据该认证信息和第一数字证书确定认证结果。
信息和所述第一节点的第一数字证书,该认证信息带有签名信息,该签名信息为基于第一
节点的私钥对认证信息做签名运算后形成的,认证信息包括第一节点的用户名和第二节点
的第二数字证书,根据该认证信息和第一数字证书确定认证结果。
[0065] 为了准确的确定认证结果,在本申请一些实施例中,所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书,根据所述认证信息和所述第一数字证书
确定认证结果,具体为:
确定认证结果,具体为:
[0066] 基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密,并生成第一消息摘要;
[0067] 基于Hash算法对所述第一数字证书的内容进行处理,并生成第二消息摘要;
[0068] 基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密,并生成第三消息摘要;
[0069] 基于Hash算法对所述第二数字证书的内容进行处理,并生成第四消息摘要;
[0070] 基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密,并生成第五消息摘要;
[0071] 基于Hash算法对所述认证信息处理,并生成第六消息摘要;
[0072] 若所述第一消息摘要与所述第二消息摘要一致,且所述第三消息摘要与所述第四消息摘要一致,且所述第五消息摘要与所述第六消息摘要一致,且所述用户名与预设用户
匹配,确定所述认证结果为通过。
匹配,确定所述认证结果为通过。
[0073] 本实施例中,如图2所示,PKI(Public Key Infrastructure,公钥基础设施)包括安全服务器、注册服务器、LDAP服务器、签发服务器和数据库服务器。安全服务器用于提供
证书申请、浏览、赊销、下载等安全服务;注册服务器用于转发安全服务器证书申请请求至
签发服务器,向LDAP服务器与安全服务器转发证书列表; LDAP服务器为轻量级目录访问协
议,提供目录浏览服务器,负责将注册机构服务器传输的用户信息和数字证书加入到服务
器上;签发服务器用于产生自身的私钥和公钥,生成数字证书。将证书正常传输给安全服务
器;数据库服务器用于存放用户信息和密钥信息、日志、统计信息的存储和管理。
证书申请、浏览、赊销、下载等安全服务;注册服务器用于转发安全服务器证书申请请求至
签发服务器,向LDAP服务器与安全服务器转发证书列表; LDAP服务器为轻量级目录访问协
议,提供目录浏览服务器,负责将注册机构服务器传输的用户信息和数字证书加入到服务
器上;签发服务器用于产生自身的私钥和公钥,生成数字证书。将证书正常传输给安全服务
器;数据库服务器用于存放用户信息和密钥信息、日志、统计信息的存储和管理。
[0074] PKI收到证书申请并认证申请者的身份后将申请者的公钥,身份信息,证书有效期等作为消息原文,形成消息摘要,通过PKI的私钥进行数字签名,数字签名与证书拥有者的
公钥、身份信息、证书有效期等其他信息共同组成数字证书。
公钥、身份信息、证书有效期等其他信息共同组成数字证书。
[0075] 本实施例中,第一节点中预先配置有第一密钥对(即第一节点的公钥和私钥),所述第二节点中预先配置有第二密钥对(即第二节点的公钥和私钥),第一节点与第二节点通
过密钥对与PKI根证书获取第一数字证书、第二数字证书。
过密钥对与PKI根证书获取第一数字证书、第二数字证书。
[0076] 接收到第一节点发送的认证信息和第一数字证书后,先通过PKI的公钥对第一数字证书中的数字签名进行解密形成第一消息摘要,并对第一数字证书的内容进行Hash运算
生成第二消息摘要,通过比对两份消息摘要,来确定第一数字证书是否被篡改,并获取第一
数字证书内第一节点的公钥。
生成第二消息摘要,通过比对两份消息摘要,来确定第一数字证书是否被篡改,并获取第一
数字证书内第一节点的公钥。
[0077] 使用第一节点的公钥对所述签名信息进行数字验签运算,得出第五消息摘要,并对认证信息同样进行Hash运算生成第六消息摘要,通过比对两份消息摘要,来确定数字签
名的真实性。
名的真实性。
[0078] 对第二数字证书的认证方式与对第一数字证书的方式类似,即先通过PKI的公钥对第二数字证书中的数字签名进行解密形成第三消息摘要,并对第二数字证书的内容进行
Hash运算生成第四消息摘要,通过比对两份消息摘要,来确定第二数字证书是否被篡改。
Hash运算生成第四消息摘要,通过比对两份消息摘要,来确定第二数字证书是否被篡改。
[0079] 若第一消息摘要与第二消息摘要一致,且第三消息摘要与第四消息摘要一致,且第五消息摘要与第六消息摘要一致,且用户名与预设用户匹配,确定认证结果为通过。
[0080] 需要说明的是,以上实施例的方案仅为本申请所提出的一种具体实现方案,其他根据认证信息和第一数字证书确定认证结果的方式均属于本申请的保护范围。
[0081] 为了进一步提高会话的安全性,在本申请优选的实施例中,第一密钥对和第二密钥对是基于国密算法生成的,所述国密算法至少包括对称加密算法SM1、对称加密算法SM4、
非对称加密算法SM2、非对称加密算法SM9和哈希算法SM3中的一种。
非对称加密算法SM2、非对称加密算法SM9和哈希算法SM3中的一种。
[0082] 步骤S102,若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记。
[0083] 在认证结果为通过时会生成对应的动态字符串,将该动态字符串发送到第一节点,第一节点会根据动态字符串生成会话标记,该会话标记为基于统一互联网协议安全选
项CIPSO协议的标记。在本申请具体的应用场景中,所述会话标记为客体标记。
项CIPSO协议的标记。在本申请具体的应用场景中,所述会话标记为客体标记。
[0084] 其中,该动态字符串携带了主体(用户或会话)的属性信息,和或安全信息、和或控制信息,该属性信息包括用户属性、时间属性、空间属性、容量属性、应用属性中的至少一
种。主体可以是登录用户、进程等,客体可以是文件、数据库。
种。主体可以是登录用户、进程等,客体可以是文件、数据库。
[0085] 如图3所示,CIPSO(Common Internet Protocol Security Option,统一互联网协议安全选项)协议各字段含义说明如下:
[0086] (1)类型:该字段为CIPSO的类型字段,用1字节表示,对于CIPSO而言,其值为固定值134;
[0087] (2)CIPSO长度:该字段为CIPSO的长度字段,用1字节表示,由于CIPSO作为IP选项存在,所以其长度最大值为40,最小值为3;
[0088] (3)DOI(Digital Object Identifier,数字对象标识符)(解释域):该字段由多个安全选项的具体值组成,标识安全域的唯一身份,用4字节表示,域的标识又被称为DOI标
识,解释域由SDRC(Security Domain Registered Center,安全域注册中心)统一管理;
识,解释域由SDRC(Security Domain Registered Center,安全域注册中心)统一管理;
[0089] (4)标记域:该字段表示数据包的安全标记信息,包括标记类型、标记长度、安全级别(Level)、范畴(Category)等。可以定义不同的标记类型,用于表示多种安全标记信息。
[0090] 步骤S103,当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略。
[0091] 当接收到会话请求报文且会话请求报文中携带了会话标记,根据该会话标记可判断会话请求报文是否匹配预设安全策略。
[0092] 为了提高会话的安全性,在本申请优选的实施例中,在接收所述第一节点发送的认证信息和所述第一节点的第一数字证书之前,所述方法还包括:
[0093] 根据所述第一节点的信息创建所述预设用户,并将PKI根证书发送到所述第一节点;
[0094] 将从所述PKI获取的所述第一数字证书发送到所述第一节点;
[0095] 根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置,并将从所述PKI获取的所述第二数字证书发送到所述第一节点;
[0096] 其中,所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的,所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥,所述业务
流程为所述第一节点至所述第二节点的访问业务。
流程为所述第一节点至所述第二节点的访问业务。
[0097] 本实施例中,预先录入第一节点的信息和第二节点的信息,根据第一节点的信息创建预设用户,并将PKI根证书发送到所述第一节点,第一节点根据PKI根证书、第一节点的
私钥和第一节点的公钥向PKI进行证书申请,使PKI生成第一数字证书,从所述PKI获取该第
一数字证书并将其发送到第一节点,然后根据第一节点的信息和第二节点的信息对预设安
全策略和业务流程进行配置。
私钥和第一节点的公钥向PKI进行证书申请,使PKI生成第一数字证书,从所述PKI获取该第
一数字证书并将其发送到第一节点,然后根据第一节点的信息和第二节点的信息对预设安
全策略和业务流程进行配置。
[0098] 为了使第一节点在生成的会话标记中携带第二节点的信息(也即使会话标记中携带目的节点的信息),在对预设安全策略和业务流程进行配置时,还将从PKI获取的第二数
字证书发送到第一节点。
字证书发送到第一节点。
[0099] 另外,在录入第一节点的信息和第二节点的信息后,还包括:将PKI根证书发送到第二节点,第二节点根据PKI根证书、第二节点的私钥和第二节点的公钥向PKI进行证书申
请,使PKI生成第二数字证书,从所述PKI获取该第二数字证书并将其发送到第二节点。
请,使PKI生成第二数字证书,从所述PKI获取该第二数字证书并将其发送到第二节点。
[0100] 为了进一步提高会话的安全性,在本申请一些实施例中,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略,具体为:
[0101] 基于所述会话标记确定级别信息和范畴信息;
[0102] 若所述级别信息匹配预设级别控制策略且所述范畴信息匹配预设范畴控制策略,确定所述会话请求报文匹配所述预设安全策略;
[0103] 若所述级别信息不匹配所述预设级别控制策略或所述范畴信息不匹配所述预设范畴控制策略,确定所述会话请求报文不匹配所述预设安全策略。
[0104] 本实施例中,会话标记中包括级别信息和范畴信息,分别判断级别信息和范畴信息是否与对应的控制策略匹配,从而判断会话请求报文是否匹配预设安全策略。
[0105] 为了进一步提高会话的安全性,在本申请优选的实施例中,所述级别信息是基于所述CIPSO中的Level字段映射的,所述Level字段为取值范围为0 255的无符号整型数值,
~
所述范畴信息是基于所述CIPSO中的Category字段映射的,所述Category字段的范围为0
~
239,所述Category字段的标签类型为位图。
~
所述范畴信息是基于所述CIPSO中的Category字段映射的,所述Category字段的范围为0
~
239,所述Category字段的标签类型为位图。
[0106] 为了进一步提高会话的安全性,在本申请优选的实施例中,所述预设级别控制策略包括遵循BLP机密性模型的机密性级别控制策略和遵循BIBA完整性模型的完整性级别控
制策略,所述级别信息匹配预设级别控制策略具体为:所述级别信息匹配所述机密性级别
控制策略或所述级别信息匹配所述完整性级别控制策略。
制策略,所述级别信息匹配预设级别控制策略具体为:所述级别信息匹配所述机密性级别
控制策略或所述级别信息匹配所述完整性级别控制策略。
[0107] 具体的,遵循BLP机密性模型的机密性级别控制策略具体为:
[0108] 当所述主体的安全级别支配所述客体的安全级别,则允许所述主体对所述客体进行读操作;
[0109] 当所述客体的安全级别支配所述主体的安全级别,则允许所述主体对所述客体进行写操作。
[0110] 遵循BIBA完整性模型的完整性级别控制策略,具体为:
[0111] 当所述客体的完整性级别支配所述主体的完整性级别,则允许所述主体对所述客体进行读操作;
[0112] 当所述主体的完整性级别支配所述客体的完整性级别,则允许所述主体对所述客体进行写操作。
[0113] 本领域技术人员还可根据实际需要选择其他的级别控制策略,这并不影响本申请的保护范围。
[0114] 为了进一步提高会话的安全性,在本申请优选的实施例中,所述范畴控制策略,具体为:
[0115] 当主体范畴信息为客体范畴信息的子集时,允许所述主体访问所述客体;
[0116] 或,当所述主体范畴信息和所述客体范畴信息之间存在交交集时,允许所述主体访问所述客体。
[0117] 在本申请的具体应用场景中,发送端的Category值需为接收端的子集,或二者有交集,才允许访问。
[0118] 步骤S104,若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点。
[0119] 若所述会话请求报文匹配所述预设安全策略,将会话请求报文发送到第二节点,建立连接并完成会话过程。
[0120] 为了保证会话的安全性,在本申请优选的实施例中,若接收到所述第一节点发送的未携带所述会话标记的非法会话请求报文,丢弃所述非法会话请求报文。
[0121] 通过应用以上技术方案,接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;若所述认证结果为
通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据
所述动态字符串生成会话标记;当接收到所述第一节点发送的携带有所述会话标记的会话
请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;若所述会
话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;其中,所述
认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息包括所述第一节点
的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一互联网协议安全选项
CIPSO协议的标记,从而基于数字认证技术结合CIPSO网络标记技术以实现了数据安全的机
密性、完整性、防伪性、防否性,并实现了会话认证和流量控制,进一步提高了报文处理的安
全性。
通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据
所述动态字符串生成会话标记;当接收到所述第一节点发送的携带有所述会话标记的会话
请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;若所述会
话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;其中,所述
认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息包括所述第一节点
的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一互联网协议安全选项
CIPSO协议的标记,从而基于数字认证技术结合CIPSO网络标记技术以实现了数据安全的机
密性、完整性、防伪性、防否性,并实现了会话认证和流量控制,进一步提高了报文处理的安
全性。
[0122] 为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方案进行说明。
[0123] 一、关键设备
[0124] 本发明涉及到三种关键设备,如图4所示,分别为安全策略中心、安全标记网关以及安全客户端。
[0125] 1、安全策略中心
[0126] 对网络内的设备进行统一管理并下发安全策略,能够对异常操作进行实时告警,并且实时记录用户登录信息以及审计操作,方便管理员追溯。
[0127] 安全策略中心主要包括:认证管理、设备管理、策略管理、告警管理、统计报表五个功能模块。
[0128] 认证管理(IAM):作为全网的认证中心,为网络内所有用户或安全设备提供统一认证管理。
[0129] 设备管理:主要负责配置和管理设备相关的信息,如对安全网关、业务主机(安全客户端)、业务域等设备相关的基础信息管理。
[0130] 策略管理:主要负责对全网安全设备(安全标记网关,安全客户端)进行集中的策略配置和管理,如对安全标记策略、域间访问策略、QoS策略、防火墙策略等各种策略的统一
部署。
部署。
[0131] 告警管理:主要负责配置和管理告警相关的信息,如设置告警条件、告警方式,显示告警反馈信息等。
[0132] 统计报表:主要负责显示和管理设备流量监控信息,如提供策略部署日志、应用攻击日志、流量统计等信息的筛选功能,协助用户维护系统安全。
[0133] 2、安全标记网关
[0134] 安全标记网关是一款融合网络安全技术、主机安全技术、应用安全技术、数据安全技术于一体的高性能安全设备,在硬件、软件及功能设计上,融合运用多种安全机制。硬件
方面,集成了面向网络和基础安全防御的异构多核NPU,面向应用防御和AI计算的X86架构
或ARM架构CPU,面向密码处理的FPGA密码模块,面向专业隔离和多隧道处理的网络芯片;主
机操作系统采用国产安全操作系统,具有基于安全标记的强制访问控制能力。
方面,集成了面向网络和基础安全防御的异构多核NPU,面向应用防御和AI计算的X86架构
或ARM架构CPU,面向密码处理的FPGA密码模块,面向专业隔离和多隧道处理的网络芯片;主
机操作系统采用国产安全操作系统,具有基于安全标记的强制访问控制能力。
[0135] 该设备采用CIPSO网络标记技术(支持BLP、BIBA强制访问控制模型),将软件定义安全、标记控制技术、可视化、智能运维、态势感知以及密码等网络安全技术综合集成,从一
个崭新的角度审视了网络安全,将传统的“通过认证即被信任”变为“持续监控,动态授权”
的安全防护理念,构建了网络安全的纵深防御体系,确保了网络中多级别传输数据的完整
性、机密性与可用性,有效提升了全网的抗攻击能力。
个崭新的角度审视了网络安全,将传统的“通过认证即被信任”变为“持续监控,动态授权”
的安全防护理念,构建了网络安全的纵深防御体系,确保了网络中多级别传输数据的完整
性、机密性与可用性,有效提升了全网的抗攻击能力。
[0136] 设备主机为X86或者国产ARM平台,支持网络层、应用层安全;网络安全、标记安全处理模块支持硬件或软件模块;隔离交换卡为专有高性能安全芯片和存储单元,实现安全
隔离;主机安全操作系统为具有安全标记的强制访问控制系统;产品密码模块默认采用软
件处理方式,可依据应用场景要求选配硬件加密卡方式实现。
隔离;主机安全操作系统为具有安全标记的强制访问控制系统;产品密码模块默认采用软
件处理方式,可依据应用场景要求选配硬件加密卡方式实现。
[0137] 3、安全客户端
[0138] 安全客户端与安全策略中心通信,用于实现基于用户或应用的认证功能,并根据认证结果对用户或应用打上系统标记,然后将该标记与CIPSO网络标记形成映射;另外,安
全客户端从安全策略中心获取标记强访策略规则,用于对进入报文的强访控制。
全客户端从安全策略中心获取标记强访策略规则,用于对进入报文的强访控制。
[0139] 安全客户端主要包括:身份鉴别、标记代理(生成/映射)、标记强访等三个功能模块。
[0140] 身份鉴别:与安全策略中心的IAM模块对接,主要完成基于用户或应用、主机的身份认证功能。
[0141] 标记代理:根据认证结果,生成相应的系统标记,该标记可以包含多种属性信息(如用户信息、进程信息、安全信息、控制信息等),各种属性信息自由组合,通过特定的算法
生成标记字符串,该标记即为主体标记;该主体标记与目标主机主体标记组合运算,构成传
出报文的CIPSO网络标记。
生成标记字符串,该标记即为主体标记;该主体标记与目标主机主体标记组合运算,构成传
出报文的CIPSO网络标记。
[0142] 标记强访:该模块接收来自安全策略中心的下发标记策略,对传入报文的CIPSO网络标记读取并识别,再与标记策略进行匹配,匹配通过,则对报文放行,否则丢弃。
[0143] 二、会话控制过程
[0144] 1、安全标记策略
[0145] 安全标记策略方案由用户自定义,包括但不限于各安全域的安全级别定义/域内主机的标记信息定义(标记本身)、边界标记强制访问控制规则(计算方法)设定等。安全标
记网关设备对通过的报文进行标记字段进行检查,通过最小授权原则,对可信的通信报文
给予放行。
记网关设备对通过的报文进行标记字段进行检查,通过最小授权原则,对可信的通信报文
给予放行。
[0146] 2、标记强制访问控制
[0147] 各安全域之间以及安全域内部的主机之间访问,都需要经过数字认证模块,返回正确的数字签名/验签结果。对传入报文的CIPSO网络标记读取并识别,再与标记策略进行
匹配,匹配通过,则对报文放行,否则丢弃。
匹配,匹配通过,则对报文放行,否则丢弃。
[0148] 3、会话控制过程
[0149] 如图4所示,包括以下步骤:
[0150] 第一步:在主机1设备部署安全客户端(生成默认的密钥对)。
[0151] 第二步:安全策略中心录入主机1信息,并为主机1设备创建用户(此时会将PKI根证书发送给主机1,主机1的安全客户端利用自身的公/私钥与PKI根证书发起证书申请,并
获取主机1的数字证书)。
获取主机1的数字证书)。
[0152] 第三步:安全策略中心在配置(主机1至主机2)业务访问策略/规则时,会从PKI获取主机2的数字证书并发送给主机1的安全客户端,并将配置好的业务访问策略/规则下发
到安全标记网关。
到安全标记网关。
[0153] 第四步:主机1安全客户端在向主机2发送连接请求前,需先向安全策略中心发起认证请求(携带认证信息和主机1的数字证书,该认证信息带有基于主机1的私钥生成的签
名信息,即数字签名,该认证信息包括主机1的用户名和主机2的数字证书)。
名信息,即数字签名,该认证信息包括主机1的用户名和主机2的数字证书)。
[0154] 第五步:在标记策略管理中心的认证管理对签名信息进行数字验签运算,并对主机1的用户名、主机1的数字证书和主机2的数字证书进行认证处理(此时是对源主机与目的
主机的认证),认证通过后返回认证结果(认证结果即为生成的动态字符串)。
主机的认证),认证通过后返回认证结果(认证结果即为生成的动态字符串)。
[0155] 第六步:主机1的安全客户端结合认证结果(动态字符串),通过标记代理等技术,生成动态的客体标记,并开始访问主机2,其数据报文带有该客体标记。
[0156] 第七步:安全标记网关接收到主机1访问主机2的带有客体标记的数据流量。对客体标记进行校验,通过强访规则校验(包含MAC规则、应用安全策略等安全配置)后,方可与
主机2进行通信连接。
主机2进行通信连接。
[0157] 如图5所示,第七步包括以下步骤:
[0158] 步骤S201,开始。
[0159] 步骤S202,接收会话请求报文。
[0160] 步骤S203,认证判断,在建立通信前需要进行认证处理。若认证通过则执行步骤S204,否则执行步骤S210。
[0161] 步骤S204,判断是否带有会话标记,若是执行步骤S205,否则执行步骤S210。
[0162] 该会话标记即为客体标记。
[0163] 步骤S205,读取会话标记中的Level值并匹配强访策略。
[0164] 其中,Level值相当于所述级别信息,强访策略即预设安全策略。
[0165] 步骤S206,判断Level值是否匹配强访策略,若是执行步骤S207,否则执行步骤S210。
[0166] 步骤S207,读取会话标记中的Category值并匹配强访策略。
[0167] 其中,Category值相当于所述范畴信息。
[0168] 步骤S208,判断Category值是否匹配强访策略,若是执行步骤S209,否则执行步骤S210。
[0169] 步骤S209,建立连接并完成会话过程。
[0170] 步骤S210,对报文阻断。
[0171] 步骤S211,产生告警上报态势感知系统。
[0172] 态势感知系统为一种第三方监控平台,针对阻断的报文产生告警信息并上报态势感知系统,便于对阻断的报文进行记录与处理。
[0173] 步骤S212,结束。
[0174] 与本申请实施例中的一种会话控制方法相对应,本申请实施例还提出了一种会话控制设备,该设备应用于包括第一节点和第二节点的系统中,如图6所示,该设备包括:
[0175] 确定模块601,用于接收所述第一节点发送的认证信息和所述第一节点的第一数字证书,并根据所述认证信息和所述第一数字证书确定认证结果;
[0176] 发送模块602,用于若所述认证结果为通过,将与所述认证结果对应的动态字符串发送到所述第一节点,以使所述第一节点根据所述动态字符串生成会话标记;
[0177] 判断模块603,用于当接收到所述第一节点发送的携带有所述会话标记的会话请求报文时,根据所述会话标记判断所述会话请求报文是否匹配预设安全策略;
[0178] 处理模块604,用于若所述会话请求报文匹配所述预设安全策略,将所述会话请求报文发送到所述第二节点;
[0179] 其中,所述认证信息带有基于所述第一节点的私钥生成的签名信息,所述认证信息包括所述第一节点的用户名和所述第二节点的第二数字证书,所述会话标记为基于统一
互联网协议安全选项CIPSO协议的标记
互联网协议安全选项CIPSO协议的标记
[0180] 在本申请具体的应用场景中,所述第一数字证书和所述第二数字证书为基于证书管理中心PKI的数字证书,所述确定模块601,具体用于:
[0181] 基于所述PKI的公钥对所述第一数字证书中的数字签名进行解密,并生成第一消息摘要;
[0182] 基于Hash算法对所述第一数字证书的内容进行处理,并生成第二消息摘要;
[0183] 基于所述PKI的公钥对所述第二数字证书中的数字签名进行解密,并生成第三消息摘要;
[0184] 基于Hash算法对所述第二数字证书的内容进行处理,并生成第四消息摘要;
[0185] 基于所述第一数字证书中的所述第一节点的公钥对所述签名信息解密,并生成第五消息摘要;
[0186] 基于Hash算法对所述认证信息处理,并生成第六消息摘要;
[0187] 若所述第一消息摘要与所述第二消息摘要一致,且所述第三消息摘要与所述第四消息摘要一致,且所述第五消息摘要与所述第六消息摘要一致,且所述用户名与预设用户
匹配,确定所述认证结果为通过。
匹配,确定所述认证结果为通过。
[0188] 在本申请具体的应用场景中,所述设备还包括配置模块,用于:
[0189] 根据所述第一节点的信息创建所述预设用户,并将PKI根证书发送到所述第一节点;
[0190] 将从所述PKI获取的所述第一数字证书发送到所述第一节点;
[0191] 根据所述第一节点的信息和所述第二节点的信息对所述预设安全策略和业务流程进行配置,并将从所述PKI获取的所述第二数字证书发送到所述第一节点;
[0192] 其中,所述第一数字证书是所述PKI根据所述第一节点发送的证书申请生成的,所述证书申请中包括所述PKI根证书、所述第一节点的私钥和所述第一节点的公钥,所述业务
流程为所述第一节点至所述第二节点的访问业务。
流程为所述第一节点至所述第二节点的访问业务。
[0193] 最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以
对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而
这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和
范围。
对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而
这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和
范围。