专利汇可以提供一种基于信任管理的SDN认证方法专利检索,专利查询,专利分析的服务。并且本 发明 提供一种基于信任管理的SDN认证方法,包括:采用密码技术与 硬件 设备结合的方式,构建基于信任管理的SDN认证授权模型;通过单点登录获得 访问 权限;以评估访问安全等级和为用户分配受限会话时间为约束条件,建立TMUAM机制;实现用户的授权认证。通过对用户和终端行为进行评估,使得异常行为和威胁得到控制;从而解决SDN 控制器 的网络安全问题。,下面是一种基于信任管理的SDN认证方法专利的具体信息内容。
1.一种基于信任管理的SDN认证方法,其特征在于,所述方法包括:
(1)构建基于信任管理的SDN认证授权模型;
(2)通过单点登录获得访问权限;
(3)以评估访问安全等级和为用户分配受限会话时间为约束条件,建立TMUAM机制;实现用户的授权认证;
所述步骤(3)包括:将用户访问的安全等级和会话的时间约束作为获得权限的限制条件,对基于角色的访问控制标准RBAC模型进行扩展,建立TMUAM机制;
具体步骤包括:
3-1用户请求访问应用资源;
3-2针对用户访问请求进行授权认证;
3-3依据身份认证确定用户的访问等级,将用户信息给基本安全度收集器BSDC和元数据访问点服务器MAPS;
所述身份认证模式包括生物认证模式、数字证书模式和用户名/密码模式;
3-4所述元数据访问点服务器MAPS将动态行为信息发送至行为安全度收集器HSDC;
3-5获取用户的访问安全等级;
所述基本安全度收集器BSDC用于计算基本安全度值;行为安全度收集器HSDC用于计算行为安全度值HSDC;推荐安全度收集器RSDC用于计算推荐安全度值;
3-6将所述三个安全度值一起被发送给SDC或者CMC,计算用户访问安全等级;并发送至统一认证授权服务器;
3-7如果用户访问安全等级大于等于访问阈值,则触发统一认证授权服务器为用户创建会话窗口,并分配会话中的角色,授权用户连接到该区域网络;否则统一认证授权服务器进入预设隔离区以打补丁和更新;
3-8如果会话与时间约束相关,则将AMP下发信息至TCP;通过TCP分别计算会话时间并发送给AMP;
3-9AMP将授权信息发送给应用资源,应用资源根据授权信息控制用户的访问。
2.如权利要求1所述的方法,其特征在于,所述步骤(1)构建SDN认证授权模型包括:
将网络划分为多个网络区域,使用SDN控制器以集中控制的方式处理交换机请求;所述SDN控制器分布于不相交的网络区域内,采用扁平化管理模式管理各区域网络;
每个网络区域均包括统一认证授权服务器,利用统一认证授权服务器为该网络区域用户颁发证书,以实现单点登录和访问权限的获取;
各个统一认证授权服务器通过证书链验证或者交叉认证建立信任关系,以实现统一认证授权服务器之间相互认证与跨域访问,完成SDN认证授权模型的建立。
3.如权利要求2所述的方法,其特征在于,所述SDN认证授权模型为分布式架构,置于网络区域内;以实现用户对SDN控制器的统一操作管理。
4.如权利要求1所述的方法,其特征在于,所述步骤(2)通过单点登录获得访问权限包括:每个统一认证授权服务器内设有唯一的用户管理中心;用户利用统一认证授权服务器和用户管理中心获取当前网络区域应用的访问权限;具体为:用户通过用户管理中心写入用户身份信息,完成用户注册;
统一认证授权服务器从用户管理中心获取用户注册信息,生成证书;并通过SDN控制器开放接口将证书下发至相应用户;
用户单点登录统一认证授权服务器,建立会话窗口并获取会话密钥;所述会话密钥包括登录凭据和访问当前网络区域应用的权限信息;其中,所述登录凭据包括注册用户的身份标识和绑定信息;
用户访问完毕时退出系统,即时关闭会话;
当跨域访问时,建立各自统一认证授权服务器之间信任关系;通过被访问网络区域的统一认证授权服务器重新为其授权。
5.如权利要求4所述的方法,其特征在于,所述用户单点登录统一认证授权服务器包括:
将证书登录和USB Key硬件身份认证结合,若其中任一种方式登录失败,则无法获取会话密钥。
6.如权利要求5所述的方法,其特征在于,所述USB Key硬件身份认证包括:用户向集成在统一认证授权服务器中的USBKey设备发送认证请求;
接收客户端发送的认证请求,根据请求中携带的硬件标识信息进行认证,即检验此硬件标识是否合法,若合法则允许登录,否则拒绝登录。
7.如权利要求5所述的方法,其特征在于,所述证书登录包括:
设置服务器端和用户端分别为X和Y,M为一则消息;
IDX为用户X的身份标识,certx为X的公钥证书,rx为X产生的随机数,Kx为X的公钥,Kx_y为X和Y的共享密钥,{M}Kx_y表示根据X和Y的共享密钥对消息M进行对称加密,{M}kx表示由服务器端X的公钥加密消息M;用户为C,统一认证授权服务器AS;
用户C向认证授权服务器AS发送访问请求L1;
统一认证授权服务器AS收到访问请求L1后,验证其身份证书的有效性,若不成功则拒绝登录,成功则继续判断;其中,
所述访问请求L1,包括身份证书{Ktemp}kAS;通过统一认证授权服务器AS和公钥KAS加密获得的会话密钥Ktemp,以及用Ktemp加密的自身标识IDC和自身随机数rc;
通过用户管理中心查询用户是否注册,若未注册,则拒绝登录;若注册,则读取用户信息,并继续判断;
所述验证其证书的有效性包括:通过解密获得Ktemp,以及用Ktemp加密的自身标识IDC和自身随机数rc,并比较IDC是否与身份证书一致,若一致则生成消息L2;
用户C接收到消息L2后,若解密获得rc,则信任AS,并生成消息L3;即用KAS_C加密rAS发送至AS,AS收到消息后,若通过解密获得rAS,则信任C,否则拒绝登录。
8.如权利要求1所述的方法,其特征在于,所述步骤(3)评估用户的访问安全等级包括:
通过SEP评估用户的安全等级,分别根据完整性信息、动态行为特征和历史访问记录,生成安全度指标和安全等级指标;
所述SEP,包括基本安全度收集器BSDC、行为安全度收集器HSDC、推荐安全度收集器RSDC、安全度计算器SDC和云模型计算器CMC;其中,
所述基本安全度收集器BSDC、行为安全度收集器HSDC和推荐安全度收集器RSDC分别用于从相应的数据源获取用户访问的信任分项指标;
所述安全度计算器SDC用于计算安全度指标;
所述云模型计算器CMC用于计算安全等级指标。
9.如权利要求1所述的方法,其特征在于,所述步骤(3)为用户分配受限会话时间包括,通过TCP计算多个与时间相关的会话权重,并据此分配访问时间。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种基于Web的移动瘦终端访问控制方法、系统及瘦终端 | 2020-05-08 | 736 |
数据网安全防护方法、装置、计算机设备和存储介质 | 2020-05-11 | 955 |
基于负载均衡的智能电力终端的多级管理系统及认证方法 | 2020-05-12 | 638 |
用于执行轨道车辆的紧急制动的制动设备和方法 | 2020-05-15 | 65 |
一种智能网联交通系统的固定路径服务系统 | 2020-05-11 | 614 |
一种高安全可信移动终端安全体系架构及安全服务方法 | 2020-05-11 | 113 |
用于防喷器控制的安全性完整性等级(SIL)评级系统 | 2020-05-14 | 621 |
泛在电力物联网环境下的用电信息安全传输步骤与方法 | 2020-05-13 | 438 |
一种智能照明系统及其安全设计方法 | 2020-05-13 | 974 |
一种应用于电力公司的调控智能网络化交互系统 | 2020-05-11 | 179 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。