一种哑终端仿冒识别方法及系统技术方案

本发明专利技术提供的一种哑终端仿冒识别方法及系统，网关设备检测到哑终端接入后向哑终端发送查询报文；哑终端接收到查询报文后，生成查询响应报文并发送给网关设备；网关设备从查询响应报文中解析出终端属性值，获取哑终端的接入信息，并将终端属性值和接入信息发送给终端安全准入系统；终端安全准入系统若确定终端属性值中存在终端身份签名和签名时间戳，则获取终端信息绑定的签名密钥，根据签名密钥、终端信息以及签名时间戳生成比对身份签名，基于终端身份签名和比对身份签名的一致性判断结果确定哑终端是否被仿冒。整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别，能够解决现在仿冒识别准确度和效率都低的问题。题。题。

【技术实现步骤摘要】
一种哑终端仿冒识别方法及系统


[0001]本专利技术涉及哑终端安全接入
，具体而言，涉及一种哑终端仿冒识别方法及系统。

技术介绍

[0002]在金融行业，打印机、ATM机、柜台哑终端、安防监控哑终端等各式各样哑终端繁多，由于缺乏统一管理规范标准，目前主要靠人工录入台账管理，准确性和人力成本问题突出；并且这类哑终端由于没有比较安全的网络接入控制方式，常规的802.1X认证、Portal认证、拨号认证等手段由于哑终端不具备智能交互所以不适用，只能通过MAC地址绑定或MAC地址认证的方式控制接入；由于这类哑终端数量多，MAC地址绑定或MAC地址认证涉及的配置较为繁琐，如果哑终端需要迁移位置管理不便，并且不法分子可以很容易的仿冒哑终端MAC地址和IP地址非法接入入侵用户网络，这类事件屡见不鲜，安全形势严峻。
[0003]目前的哑终端仿冒识别技术，基本都是基于哑终端流量特征和一些终端信息判断，准确性不高误报率高，不具备实用价值，比如哑终端在不同工作状态、软件版本差异都会影响流量特征和终端信息特征的判断。
[0004]因此，如何解决哑终端接入安全控制难，仿冒识别准确率和效率低，没有统一的防仿冒标准的问题，是本专利技术需要解决的技术问题。

技术实现思路

[0005]本专利技术的目的之一在于提供一种哑终端仿冒识别方法及系统，用于解决哑终端接入安全控制难，仿冒识别准确率和效率低，没有统一的防仿冒标准的问题，本专利技术技术方案可以这样实现：
[0006]第一方面，本专利技术提供一种哑终端仿冒识别方法，所述方法包括：网关设备检测到哑终端接入后向所述哑终端发送查询报文；所述哑终端接收到所述查询报文后，生成查询响应报文并发送给所述网关设备；所述查询响应报文中携带有终端属性值；所述终端属性值中包括终端信息；所述网关设备从所述查询响应报文中解析出所述终端属性值，获取所述哑终端的接入信息，并将所述终端属性值和接入信息发送给所述终端安全准入系统；所述终端安全准入系统若确定所述终端属性值中存在终端身份签名和签名时间戳，则获取所述终端信息绑定的签名密钥，根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名，基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。
[0007]第二方面，本专利技术提供一种哑终端仿冒识别系统，包括：哑终端、网关设备和终端安全准入系统；所述网关设备分别于所述哑终端和所述终端安全准入系统通信连接；所述网关设备，用于：检测到所述哑终端接入后向所述哑终端发送查询报文；所述哑终端，用于：接收到所述查询报文后，生成查询响应报文并发送给所述网关设备；所述查询响应报文中携带有终端属性值；所述终端属性值中包括终端信息；所述网关设备，还用于：从所述查询
响应报文中解析出所述终端属性值，获取所述哑终端的接入信息，并将所述终端属性值和接入信息发送给所述终端安全准入系统；所述终端安全准入系统，用于：若确定所述终端属性值中存在终端身份签名和签名时间戳，则获取所述终端信息绑定的签名密钥，根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名，基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。
[0008]本专利技术提供的一种哑终端仿冒识别方法及系统，方法包括：从上述哑终端仿冒识别方法中，网关设备检测到哑终端接入后先向哑终端发送查询报文，哑终端收到查询报文后再向网关设备发送查询响应报文，网关设备从查询报文中解析出终端身份签名和签名时间戳，则表明哑终端非首次接入，此时网关设备可以直接将终端身份签名发送给终端安全准入系统去进行终端身份签名验证，具体为根据与终端信息绑定的签名密钥和获得的签名时间戳以及终端信息生成一个比对身份签名，将自身生成的比对身份签名和自身收到的终端身份签名进行一致性判断从而确定这个哑终端是否被仿冒，整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别，能够解决现在仿冒识别准确度和效率都低的问题。
附图说明
[0009]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0010]图1为本专利技术实施例提供的哑终端仿冒识别系统的架构图；
[0011]图2为本专利技术实施例提供的哑终端的存储结构示意图；
[0012]图3为本专利技术实施例提供的终端安全准入系统的存储结构示意图；
[0013]图4为本专利技术实施例提供的哑终端仿冒识别方法的示意性流程图；
[0014]图5为本专利技术实施例提供的哑终端仿冒识别方法的另一种示意性流程图；
[0015]图6为本专利技术实施例提供的一种哑终端仿冒识别方法的信令交互图。
具体实施方式
[0016]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。
[0017]因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0018]应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
[0019]在本专利技术的描述中，需要说明的是，若出现术语“上”、“下”、“内”、“外”等指示的方
位或位置关系为基于附图所示的方位或位置关系，或者是该专利技术产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。
[0020]此外，若出现术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
[0021]需要说明的是，在不冲突的情况下，本专利技术的实施例中的特征可以相互结合。
[0022]为了解决哑终端接入安全控制难，仿冒识别准确度低，没有统一的防仿冒标准的问题，本专利技术实施例提供了一种哑终端仿冒识别系统，请参考图1，图1为本专利技术实施例提供的哑终端仿冒识别系统的架构图，包括：哑终端110、网关设备120和终端安全准入系统130。网关设备120分别与哑终端110和终端安全准入系统130通信连接。
[0023]其中，哑终端110可以但不限于是打印机、ATM机、安防监控终端等，哑终端110的存储结构如图2所示，图2为本专利技术实施例提供的哑终端的存储结构示意图，其主要存储有终端属性值，终端属性值主要有：公开密钥、私有密钥、签名本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种哑终端仿冒识别方法，其特征在于，所述方法包括：网关设备检测到哑终端接入后向所述哑终端发送查询报文；所述哑终端接收到所述查询报文后，生成查询响应报文并发送给所述网关设备；所述查询响应报文中携带有终端属性值；所述终端属性值中包括终端信息；所述网关设备从所述查询响应报文中解析出所述终端属性值，获取所述哑终端的接入信息，并将所述终端属性值和接入信息发送给终端安全准入系统；所述终端安全准入系统若确定所述终端属性值中存在终端身份签名和签名时间戳，则获取所述终端信息绑定的签名密钥，根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名，基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。2.根据权利要求1所述的哑终端仿冒识别方法，其特征在于，所述终端属性值中还包括公开密钥，所述方法还包括：所述终端安全准入系统若发现所述终端属性值中不存在所述终端身份签名和所述签名时间戳，确定所述哑终端为首次接入，基于所述接入信息和所述终端信息确定所述哑终端是否准入；若确定所述哑终端准入，则所述终端安全准入系统为所述哑终端分配所述签名密钥，并将所述签名密钥与所述终端信息绑定存储；所述终端安全准入系统利用所述公开密钥对所述签名密钥加密，并将加密后的所述签名密钥通过所述网关设备下发给所述哑终端。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：若确定所述哑终端不准入，则所述终端安全准入系统向所述网关设备发送验证失败的信息，以使所述网关设备对所述哑终端进行阻断。4.根据权利要求2所述的方法，其特征在于，所述终端安全准入系统利用所述公开密钥对所述签名密钥加密，并将加密后的所述签名密钥通过所述网关设备下发给所述哑终端，包括：所述终端安全准入系统将加密后的所述签名密钥发送给所述网关设备；所述网关设备基于加密后的所述签名密钥生成设置报文并发送给所述哑终端，并开通所述哑终端的接入权限；所述哑终端对所述设置报文进行解析，得到加密后的所述签名密钥。5.根据权利要求1所述的方法，其特征在于，所述哑终端收到所述查询报文后，生成查询响应报文并发送给所述网关设备，包括：所述哑终端收到所述查询报文后，确定自身是否存储有所述签名密钥；若存储有所述签名密钥，则根据所述终端信息、所述签名时间戳和所述签名密钥生成所述终端身份签名，将所述签名时间戳、所述终端身份签名以及所述终端信息作为所述终端属性值，生成所述查询响应报文并发送给所述网关设备；若未存储有所述签名密钥，则基于所述终...

【专利技术属性】
技术研发人员：宗润，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：