本申请实施例提供一种基于临时证书的认证方法、装置、设备和存储介质,所述认证方法包括,向第一认证服务器发送第一次认证,以认证所述临时证书;在所述临时证书认证通过后,获取通过交换机设置的隔离网段IP;通过隔离网段IP向第二认证服务器发送第二次认证,以认证用户信息;在所述用户信息认证通过后,获取CA签发的正式证书;向所述第一认证服务器发送第三次认证,以认证所述正式证书;在所述正式证书认证通过后,获得正式网段IP,以访问授权的网络资源,本申请实施例通过在客户端加密内置的临时证书,使得在不改变标准802.1X流程及交换机特性前提下,通过辅助流程增强了企业内部网络资源安全性。络资源安全性。络资源安全性。
【技术实现步骤摘要】
基于临时证书的认证方法、装置、设备和存储介质
[0001]本申请实施例涉及网络安全的
,具体涉及基于临时证书的认证方法、装置、设备和存储介质。
技术介绍
[0002]由于现有技术中认证系统采用网络应用系统典型的Client/Server结构,包括两个部分:安装在终端设备客户端和认证服务器。
[0003]EAP传输层安全性(TLS)是一种在基于证书的安全性环境中使用的EAP类型,它提供了最强大的身份验证和密钥确定方法,它是使用最广泛,也是最安全的一种EAP类型,但该种方式需要客户端通过身份证之后才能获取证书,而要获取证书就需要在未认证前将认证服务器的接口曝露出来,这增加了了认证服务器被攻击的风险。
技术实现思路
[0004]本申请实施例的目的在于提供一种基于临时证书的认证方法、装置、设备和存储介质,本申请实施例通过在客户端加密内置的临时证书,使得在不改变标准802.1X协议流程及交换机特性前提下,通过辅助流程增强了企业内部网络资源安全性。
[0005]具体地说,本申请提供了一种基于临时证书的认证方法,所述认证方法应用于内置有加密的临时证书的客户端,所述认证方法包括:向第一认证服务器发送第一次认证,以认证所述临时证书;在所述临时证书认证通过后,获取通过交换机设置的隔离网段IP;通过所述隔离网段IP向第二认证服务器发送第二次认证,以认证用户信息;在所述用户信息认证通过后,获取CA签发的正式证书;向所述第一认证服务器发送第三次认证,以认证所述正式证书;在所述正式证书认证通过后,获得通过交换机设置的正式网段IP。
[0006]本申请通过在客户端加密内置的临时证书,通过临时证书认证后使得客户端获取隔离网段IP,之后认证用户信息并获取CA签发的证书,客户端再通过认证获取正式网段IP以访问网络资源,使得在不改变交换机特性前提下,通过辅助流程增强了企业内部网络资源安全性,使得外来的不明设备在未通过指定安全的客户端发起认证前无法连接企业网络资源。
[0007]在一实施例中,所述向第一认证服务器发送第一次认证,以认证所述临时证书之前,所述认证方法包括:所述客户端处于无法获取IP状态。
[0008]在一实施例中,所述获取通过交换机设置的隔离网段IP包括:通过DHCP协议获取通过所述交换机设置的隔离网段IP。
[0009]在一实施例中,所述获得正式网段IP包括:通过DHCP协议获取正式网段IP。
[0010]在一实施例中,向所述第一认证服务器发送第三次认证,以认证所述正式证书之后,所述认证方法包括:终止认证,且所述交换机将对应的端口状态改变为未认证状态,所述客户端恢复到无法获取IP状态。
[0011]在一实施例中,所述用户信息为所述客户端的登录账号和密码。
[0012]本申请还提供一种基于临时证书的认证装置,所述认证装置内置有加密的临时证书,所述认证装置包括:第一发送模块,用于向第一认证服务器发送第一次认证,以认证所述临时证书;第一获取模块,用于在所述临时证书认证通过后,获取通过交换机设置的隔离网段IP;第二发送模块,通过所述隔离网段IP向第二认证服务器发送第二次认证,以认证用户信息;第二获取模块,用于在所述用户信息认证通过后,获取CA签发的正式证书;第三发送模块,用于向所述第一认证服务器发送第三次认证,以认证正式证书;第三获取模块,用于在所述正式证书认证通过后,获得通过交换机设置的正式网段IP。
[0013]本申请还提供一种基于临时证书的认证设备,其特征在于,所述设备包括:处理器和存储器;所述存储器用于存储一个或多个程序指令;所述处理器,用于运行一个或多个程序指令,用以执行上述的认证方法。
[0014]本申请还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的认证方法。
附图说明
[0015]以示例的方式参考以下附图描述本申请的非限制性且非穷举性实施方案,其中:图1示出了根据本申请一实施例的基于临时证书的认证方法的流程图;图2示出了根据本申请一实施例的基于临时证书的认证方法的流程图;图3示出了根据本申请一实施例的基于临时证书的认证装置的结构示意图。
具体实施方式
[0016]为了使本申请的上述以及其他特征和优点更加清楚,下面结合附图进一步描述本申请。应当理解,本文给出的具体实施方案是出于向本领域技术人员解释的目的,仅是示例性的,而非限制性的。
[0017]为了使本
的人员更好地理解本申请的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0018]本申请实施例涉及一种安全认证流程,用于辅助客户端获取认证证书,连接特定
网络时不使用特定的客户端无法获取IP,特定客户端通过内置加密的临时证书,使用该临时证书进行临时认证,认证通过后,使得客户端能够获取隔离网段IP,之后认证用户信息并获取CA签发的证书,再通过正式认证获取正式IP以访问网络资源,其中,特定客户端包含了主机主动防御功能。
[0019]图1示出了根据本申请一实施例的基于临时证书的认证方法的流程图。
[0020]在一实施例中,参照图1,所述认证方法应用于内置有加密的临时证书的客户端,所述认证方法包括:步骤S110,向第一认证服务器发送第一次认证,以认证所述临时证书。
[0021]需要说明的是,在本申请实施例中,第一认证服务器为证书认证服务器,向第一认证服务器发送第一次认证主要是为了认证客户端内置的加密临时证书,在向第一认证服务器发送第一认证之前,用户启动终端设备上的客户端连接第一认证服务器获取正式证书,但网络不通连接第一认证服务器失败,然后客户端使用内置临时证书发起标准802.1X认证,也就是第一次认证。
[0022]步骤S120,在所述临时证书认证通过后,获取通过交换机设置的隔离网段IP。
[0023]需要说明的是,通过认证后交换机将客户端置于受限的隔离网段VLAN10,通过此隔离网段VLAN10不能访问授权的网络资源。
[0024]步骤S130,通过所述隔离网段IP向第二认证服务器发送第二次认证,以认证用户信息。
[0025]需要说明的是,客户端所在的用户终端通过DHCP协议获取到隔离网段IP,此时客户端仅能访问第二认证服务器,在本申请实施例中,第二认证服务器为用户信息认证服务器,此处的用户信息为用户为了访问公共网络资源的用户名,密码等等信息。
[0026]步骤S140,在所述用户信息认证通过后,获取CA签发的正式证书。步骤S150,向所述第一认证服务器发送第三次认证,以认证所述正式证书。
[0027]需要说明的是,客户端使用正式证书发起标准802.1X认证,第一认证服务器为证书认本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于临时证书的认证方法,其特征在于,所述认证方法应用于内置有加密的临时证书的客户端,所述认证方法包括:向第一认证服务器发送第一次认证,以认证所述临时证书;在所述临时证书认证通过后,获取通过交换机设置的隔离网段IP;通过所述隔离网段IP向第二认证服务器发送第二次认证,以认证用户信息;在所述用户信息认证通过后,获取CA签发的正式证书;向所述第一认证服务器发送第三次认证,以认证所述正式证书;在所述正式证书认证通过后,获得通过交换机设置的正式网段IP。2.如权利要求1所述的认证方法,其特征在于,所述向第一认证服务器发送第一次认证,以认证所述临时证书之前,所述认证方法包括:所述客户端处于无法获取IP状态。3.如权利要求1所述的认证方法,其特征在于,所述获取通过交换机设置的隔离网段IP包括:通过DHCP协议获取通过所述交换机设置的隔离网段IP。4.如权利要求1所述的认证方法,其特征在于,所述获得正式网段IP包括:通过DHCP协议获取通过交换机设置的正式网段IP。5.如权利要求1所述的认证方法,其特征在于,向所述第一认证服务器发送第三次认证,以认证所述正式证书之后,所述认证方法包括:终止认证,且所述交换机将对应的端口状态改变为...
【专利技术属性】
技术研发人员:张志宇,何艺,陈洪国,
申请(专利权)人:北京持安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。