本发明涉及一种识别接入设备的认证系统。
背景技术:
网络安全是网络信息传输过程中的重要保障,在受限制的局域网中,对接入局域网的设备进行认证是实现局域网网络安全的重要措施。现有的认证方式主要包括:口令认证、生物学认证、硬件指纹认证等。口令认证是在认证服务器上为可以登录局域网的用户建立用户名和密码,当用户所输入的用户名和密码与认证服务器的用户名和密码一致时,允许用户登录并使用局域网。生物学认证主要是认证服务器存储有可以登录局域网的用户的指纹、声音、虹膜等具有唯一性的生物学特征,当用户在登录时提供的生物学特征与认证服务器存储的生物学特征在经过某些特定比对方式后,认为比对结果一致时,允许用户登录并使用局域网。硬件指纹认证是指认证服务器存储有可以登录局域网的计算设备(例如服务器设备、pc设备、移动终端设备等)所拥有的唯一标识信息(硬即件指纹),例如硬盘物理序列号、cpu序列号、mac地址、bios序列号、主板序列号、imei等,当用户使用的计算设备中的硬件指纹与认证服务器存储的硬件指纹在经过某些特定比对方式后,认为比对结果一致时,允许用户登录并使用局域网。上述认证方法存在的主要问题如下:
一、不适用于网络安全要求较高的环境。例如,生物学认证是“认人不认设备”,只要生物信息是准确的,具有合法身份的用户可以轻松的使用非保密设备接入局域网,而非保密设备的使用,必然带来整个局域网的安全隐患。再如,硬件指纹是“认设备不认人”,当管理出现松懈时,非认证用户也可以能够使用特定的接入局域网的计算设备访问局域网的资源,容易导致泄密等安全隐患。此外,口令认证术语“不认设备不认人”,一旦口令被破解,任何人使用任何设备都能够访问局域网的资源,非常不安全。
二、部分认证方式不能够兼容所有的局域网连接设备。例如,生物学认证和口令认证对于类似于网络打印机的设备存在明显的兼容缺陷,具体而言,如果对于此类设备不进行认证,则此类设备容易称为局域网被入侵的薄弱环节,如果进行认证,一方面此类设备没有接收用户方便输入生物学特征或口令的接口,难于操作,另一方面,此类设备的使用人员较多,如果都采用例如生物学认证,系统负担较重。
为克服上述缺陷cn107222477a号专利申请公开了一种设备接入识别认证方法和系统,区分设备使用类型,将生物学认证和硬件指纹认证相结合,能够做到对于第一类设备(例如pc、移动终端等)“认人又认设备”,提升了局域网的安全性,对第二类设备(例如网络打印机),简化认证过程。
但是,cn107222477a号专利申请所涉及的两类设备并不全面,无法包括中大型局域网内部所涉及的主要设备类型。例如,对于网吧内设置的公用计算设备,如果归类为第二类设备,“只认设备不认人”,那么非认证用户也可以能够使用网吧内的公用计算设备访问局域网的资源,容易导致泄密等安全隐患;如果归类于第一类设备,“认人又认设备”,那么由于使用公用计算设备的群体庞大,将导致生物学认证过程带来的负荷较高。
此外,cn107222477a号专利申请中要求认证信息中包括指示待认证设备类型(即第一类设备还是第二类设备)的设备标识,这使得每一台待认证设备需要自己标识自身的设备类型,在待认证设备较多的情况下,增加了标识设备类型的工作量。此外,由于在待认证设备端标识设备类型,因此还降低了系统的安全性,例如使用待认证设备的用户可以将待认证设备从第一类设备修改为第二类设备,从而达到“只认设备不认人”的状态。
技术实现要素:
为克服上述问题,本发明涉及一种识别接入设备的认证系统,包括认证服务器和多个待认证设备,认证服务器包括处理器、存储有计算机程序的存储介质,其特征在于,认证服务器还包括设备类型数据库;计算机程序被处理器执行以实现以下步骤:步骤s100,认证服务器接收待认证设备发送的硬件指纹;步骤s200,认证服务器根据硬件指纹在设备类型数据库中查询待认证设备的类型;如果为第三类设备,执行步骤s500;步骤s500,认证服务器要求待认证设备发送,并从待认证设备接收用户指纹图像;步骤s600,认证服务器根据用户指纹图像,确定待认证设备是否通过认证。
附图说明
图1是识别接入设备的认证系统的结构图;
图2是认证服务器实现认证步骤的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,将结合附图对本发明作进一步地详细描述。这种描述是通过示例而非限制的方式介绍了与本发明的原理相一致的具体实施方式,这些实施方式的描述是足够详细的,以使得本领域技术人员能够实践本发明,在不脱离本发明的范围和精神的情况下可以使用其他实施方式并且可以改变和/或替换各要素的结构。因此,不应当从限制性意义上来理解以下的详细描述。此外,cn107222477a号专利申请中体现的技术也一并引入本申请中。
如图1所示,本发明提供了认证系统,包括认证服务器和待认证的设备1……设备n,认证服务器和待认证的设备之间通过局域网互相连接。待认证的设备包括第一、二、三类设备,共三种类型,第一类设备为接入局域网的用户个体使用的设备,例如台式计算机(pc)、笔记本计算机、pad、移动终端等;第二类设备为接入局域网的公共用户使用的设备,例如网络打印机等,第三类设备为公用计算设备,例如网吧或公共机房中使用的公用计算机、为交流或访问人员配置的公用计算机,控制展厅等处演示效果的平板计算机等。与cn107222477a中介绍的类似,对于第一类设备,使用生物学特征和硬件指纹进行认证;对于第二类设备,使用硬件指纹进行认证;此外,对于第三类设备,由于使用人员较多,其生物学特征也较多,如仍然采用cn107222477a中的认证方式,将导致认证效率低下,因此本申请中将介绍快速生物学特征认证和硬件指纹认证相结合的方法。
与cn107222477a中介绍的内容类似,可选的,生物学特征包括用户指纹特征、用户虹膜特征、用户人脸特征、用户声音特征中的一种或多种。优选的,生物学特征使用用户指纹特征。可选的,硬件指纹包括硬盘物理序列号、cpu序列号、mac地址、bios序列号、主板序列号、国际移动设备身份码(imei)中的一种或多种。优选的,硬件指纹至少包括mac地址或者imei。根据本发明的一个方面,认证系统进一步包括第一认证数据库和第二认证数据库,第一认证数据库和第二认证数据库均可以位于认证服务器中,或者与认证服务器电连接,或者一个位于认证服务器中而另一个与认证服务器电连接。本领域技术人员清楚第一、二认证数据库与认证服务器的位置关系和连接关系不会影响本发明的保护范围。根据本发明的一个方面,第一认证数据库至少存储有生物学特征和硬件指纹的对应关系,用于第一类设备的认证,即第一认证数据库中的每条记录至少包括两个字段,第一字段指示用户的生物学特征,第二字段指示待认证设备的mac地址或imei。优选的,第一认证数据库中还包括存储有其他硬件指纹的字段,例如分别存储硬盘物理序列号的字段、存储cpu序列号的字段、存储有主板序列号的字段等。第二认证数据库至少存储有所硬件指纹,用于第二类设备的认证。根据本发明的一个方面,当有新的设备接入局域网时,认证服务器根据新的设备的类型更新第一或第二认证数据库。例如,在局域网中增加新的网络打印机时,具有管理权限的用户登录认证服务器,在第二认证数据库中增加一条记录,记录的主要内容为网络打印机的硬件指纹。再如,在局域网中增加新的pc或pad使用用户时,具有管理权限的用户登录认证服务器,在第一认证数据库中增加一条记录,记录的主要内容为该用户的生物学特征(例如用户的指纹特征)以及用户所使用的pc或pad的mac地址或imei。根据本发明的一个方面,当有用户离职或者更换设备时,具有管理权限的用户可以登录认证服务器,删除第一或第二数据库中与相应用户或设备对应的记录。
本发明提供的识别接入设备的认证系统中,认证服务器进一步包括处理器、存储有计算机程序的存储介质,认证服务器还包括设备类型数据库。
如图2所示,计算机程序被处理器执行以实现以下步骤:
步骤s100,认证服务器接收待认证设备发送的硬件指纹。
步骤s200,认证服务器根据硬件指纹在设备类型数据库中查询待认证设备的类型;如果待认证设备的类型为第一类设备,执行步骤s300-s340,如果为第二类设备,执行步骤s400,如果为第三类设备,执行步骤s500-s600。
根据本发明,设备类型数据库中至少存储有硬件指纹和设备类型的对应关系,即该数据库中的每条记录至少包括两个字段,第一个字段指示硬件指纹(例如mac地址或imei),第二个字段指示对应的设备类型,即第一、二或三类设备。
步骤s300,认证服务器要求待认证设备发送,并从待认证设备接收用户指纹图像。
步骤s320,认证服务器根据硬件指纹在第一认证数据库中检索,获得第一认证数据库中存储的与待认证设备的硬件指纹对应的用户指纹特征。
步骤s340,根据接收到的用户指纹图像和存储的用户指纹特征,确定待认证设备是否通过认证。
步骤s400,认证服务器判断硬件指纹与第二认证数据库中存储的硬件指纹是否匹配,确定待认证设备是否通过认证。
步骤s500,认证服务器要求待认证设备发送,并从待认证设备接收用户指纹图像。
步骤s600,认证服务器根据用户指纹图像,确定待认证设备是否通过认证。
本发明中,认证服务器根据设备类型数据库判断待认证的设备类型,并且根据不同的设备类型进行相应的处理。较cn107222477a来说,在保证“认人又认设备”的前提下,降低了待认证设备修改设备类型的风险,提升了系统安全性。
根据本发明,认证服务器还包括公用设备映射数据库、指纹快速缓存(即指纹cache)组c={c1,c2,...,cn};其中n为指纹快速缓存组中指纹快速缓存的数量。公用设备映射数据库包括第三硬件指纹和快速缓存id,快速缓存id的取值范围为1…n,公用设备映射数据库中至少存储有第三类设备的硬件指纹和快速缓存id的对应关系,即该数据库中的每条记录至少包括两个字段,第一个字段指示第三类设备的硬件指纹(例如mac地址或imei),第二个字段指示快速缓存id。
每个指纹快速缓存
根据本发明,指纹快速缓存用于缓存第一认证数据库中的指纹特征,这样,在对第三类设备的认证过程中,优先检索指纹快速缓存中缓存的指纹特征,将避免在第一认证数据库中进行检索。具体的,在本发明中,第三类设备为公用计算设备,但是公用的范围并非无限。例如,对于控制展厅等处演示效果的平板计算机,其使用人员绝大多数情况下为演示讲解班组的人员,对于网吧或公共机房中使用的公用计算机,其使用人员绝大多数情况下为特定部分或者特定楼层内的工作人员。因此,在本发明中还设置了多个(n个)指纹快速缓存,每个指纹快速缓存只对应特定的若干个第三类设备,从而提升第三类设备进行指纹认证的比对效率。快速缓存id被存储在公用设备映射数据库中,方便根据第三类设备的硬件指纹快速查询到指纹快速缓存。
根据本发明,步骤s600进一步包括:
步骤s610,认证服务器根据步骤s100中接收的硬件指纹,在公用设备映射数据库中进行检索,获得硬件指纹对应的快速缓存id。
步骤s620,认证服务器根据步骤s500中接收的用户指纹图像,在快速缓存id所对应的指纹快速缓存中检索f1…fm;如果f1…fm存在匹配的指纹特征fj,相当于指纹快速缓存命中,那么直接确定通过认证,并执行步骤s630,如果不存在,相当于指纹快速缓存未能命中,那么执行步骤s700。
步骤s630,将指纹特征fj对应的tj更新为当前时间,将对应的nj加1。在快速缓存命中情况下,意味着之前使用该第三类设备的某个用户再次使用该设备,因此对该用户的指纹特征对应的最近访问时间和访问次数进行更新,以方便后续步骤使用。
步骤s700,在第一认证数据库中检索步骤s500中接收的用户指纹图像,并根据检索结果确定待认证设备是否通过认证,以及确定是否更新快速缓存id所对应的指纹快速缓存。
具体的,步骤s700进一步包括:
步骤s710,如果第一认证数据库中不存在匹配的指纹特征,那么确定没有通过认证,不再更新指纹快速缓存。
步骤s720,如果第一认证数据库中存在匹配的指纹特征,那么确定通过认证,并使用匹配的指纹特征更新步骤s620中的指纹快速缓存。
进一步的,步骤s720中的指纹快速缓存的更新包括:
如果指纹快速缓存的f1…fm中的某个fk1为“null”,相当于指纹快速缓存中还有空余的存储空间,那么直接将步骤s720中匹配的指纹特征添加到fk1中,并且将对应的tk1更新为当前时间,将对应的nk1设置为1。这种情况下,不需要改变快速缓存中的其他指纹特征。
否则,也就是说如果指纹快速缓存已经满了,无法新增新的指纹特征,那么需要将已经存储的某个指纹特征替换为匹配的指纹特征。根据本发明,使用指纹快速缓存中的t1…tm和n1…nm,确定需要替换的指纹特征fk2,并且将对应的tk2更新为当前时间,将对应的nk2设置为1,具体包括:
步骤s722,获得当前时间t,扫描t1…tm,如果存在ti,使得t-ti>δt,那么将ti对应的fi确定为需要替换的指纹特征fk2;其中,i的取值为1…m,δt为时间阈值,例如1-3个月。
根据本发明,指纹快速缓存的更新过程中,首先考虑指纹特征的最近使用时间,能够将指纹快速缓存超长时间没有被使用的指纹特征尽早的替换出去。超长时间没有使用的情况往往是因为工作人员离职或者更换工作岗位,这种情况下,第一认证数据库中的数据也会相应更新,例如删除相应的指纹特征,而优先考虑指纹特征的最近使用时间,可以在第一认证数据库删除指纹特征时,不对指纹快速缓存进行更新,也就不需要将第一认证数据库关联到指纹快速缓存,从而简化了涉及。
步骤s724,如果不存在ti,那么计算ti和ni的权重
然后,综合考虑最近使用时间和使用次数,如果某个指纹特征使用次数越多,则权重越大,如果最近一次的使用时间越近,则权重越高,权重越高,意味着被命中的概率越大,因此将权重较小的替换出去。
本领域技术人员应当理解,虽然本发明的具体实施方式中是以用户指纹作为生物学特征进行示例性说明,但是本发明的精神仍然适用于虹膜、声音、人脸等所有的生物学特征,使用这些生物学特征的相应技术仍然属于本发明的保护范围。
本发明公开的方法包括用于实现本发明目的的一个或多个步骤,方法步骤可彼此相互交换而没有离开本发明的范围。换言之,除非实施例的正常操作需要特定顺序的步骤,可修改具体步骤的顺序,而不会离开本发明精神的范围。尽管本发明主要描述了具体实施例和应用,但本领域技术人员应理解本发明并不局限于此。根据本发明公开的方法和系统,对于本领域技术人员明显的各种修改、变化以及改变均不背离本发明的精神和范围。