一种哑终端仿冒识别方法及系统与流程

本发明涉及哑终端安全接入，具体而言，涉及一种哑终端仿冒识别方法及系统。

背景技术：

1、在金融行业，打印机、atm机、柜台哑终端、安防监控哑终端等各式各样哑终端繁多，由于缺乏统一管理规范标准，目前主要靠人工录入台账管理，准确性和人力成本问题突出；并且这类哑终端由于没有比较安全的网络接入控制方式，常规的802.1x认证、portal认证、拨号认证等手段由于哑终端不具备智能交互所以不适用，只能通过mac地址绑定或mac地址认证的方式控制接入；由于这类哑终端数量多，mac地址绑定或mac地址认证涉及的配置较为繁琐，如果哑终端需要迁移位置管理不便，并且不法分子可以很容易的仿冒哑终端mac地址和ip地址非法接入入侵用户网络，这类事件屡见不鲜，安全形势严峻。

2、目前的哑终端仿冒识别技术，基本都是基于哑终端流量特征和一些终端信息判断，准确性不高误报率高，不具备实用价值，比如哑终端在不同工作状态、软件版本差异都会影响流量特征和终端信息特征的判断。

3、因此，如何解决哑终端接入安全控制难，仿冒识别准确率和效率低，没有统一的防仿冒标准的问题，是本发明需要解决的技术问题。

技术实现思路

1、本发明的目的之一在于提供一种哑终端仿冒识别方法及系统，用于解决哑终端接入安全控制难，仿冒识别准确率和效率低，没有统一的防仿冒标准的问题，本发明技术方案可以这样实现：

2、第一方面，本发明提供一种哑终端仿冒识别方法，所述方法包括：网关设备检测到哑终端接入后向所述哑终端发送查询报文；所述哑终端接收到所述查询报文后，生成查询响应报文并发送给所述网关设备；所述查询响应报文中携带有终端属性值；所述终端属性值中包括终端信息；所述网关设备从所述查询响应报文中解析出所述终端属性值，获取所述哑终端的接入信息，并将所述终端属性值和接入信息发送给所述终端安全准入系统；所述终端安全准入系统若确定所述终端属性值中存在终端身份签名和签名时间戳，则获取所述终端信息绑定的签名密钥，根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名，基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。

3、第二方面，本发明提供一种哑终端仿冒识别系统，包括：哑终端、网关设备和终端安全准入系统；所述网关设备分别于所述哑终端和所述终端安全准入系统通信连接；所述网关设备，用于：检测到所述哑终端接入后向所述哑终端发送查询报文；所述哑终端，用于：接收到所述查询报文后，生成查询响应报文并发送给所述网关设备；所述查询响应报文中携带有终端属性值；所述终端属性值中包括终端信息；所述网关设备，还用于：从所述查询响应报文中解析出所述终端属性值，获取所述哑终端的接入信息，并将所述终端属性值和接入信息发送给所述终端安全准入系统；所述终端安全准入系统，用于：若确定所述终端属性值中存在终端身份签名和签名时间戳，则获取所述终端信息绑定的签名密钥，根据所述签名密钥、所述终端信息以及所述签名时间戳生成比对身份签名，基于所述终端身份签名和所述比对身份签名的一致性判断结果确定所述哑终端是否被仿冒。

4、本发明提供的一种哑终端仿冒识别方法及系统，方法包括：从上述哑终端仿冒识别方法中，网关设备检测到哑终端接入后先向哑终端发送查询报文，哑终端收到查询报文后再向网关设备发送查询响应报文，网关设备从查询报文中解析出终端身份签名和签名时间戳，则表明哑终端非首次接入，此时网关设备可以直接将终端身份签名发送给终端安全准入系统去进行终端身份签名验证，具体为根据与终端信息绑定的签名密钥和获得的签名时间戳以及终端信息生成一个比对身份签名，将自身生成的比对身份签名和自身收到的终端身份签名进行一致性判断从而确定这个哑终端是否被仿冒，整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别，能够解决现在仿冒识别准确度和效率都低的问题。

技术特征：

1.一种哑终端仿冒识别方法，其特征在于，所述方法包括：

2.根据权利要求1所述的哑终端仿冒识别方法，其特征在于，所述终端属性值中还包括公开密钥，所述方法还包括：

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

4.根据权利要求2所述的方法，其特征在于，所述终端安全准入系统利用所述公开密钥对所述签名密钥加密，并将加密后的所述签名密钥通过所述网关设备下发给所述哑终端，包括：

5.根据权利要求1所述的方法，其特征在于，所述哑终端收到所述查询报文后，生成查询响应报文并发送给所述网关设备，包括：

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

7.根据权利要求2所述的方法，其特征在于，所述终端安全准入系统基于所述接入信息和所述终端信息确定所述哑终端是否准入，包括：

8.根据权利要求2所述的方法，其特征在于，所述终端安全准入系统基于所述接入信息和所述终端信息确定所述哑终端是否准入，包括：

9.一种哑终端仿冒识别系统，其特征在于，包括：哑终端、网关设备和终端安全准入系统；所述网关设备分别于所述哑终端和所述终端安全准入系统通信连接；

10.根据权利要求9所述的哑终端仿冒识别系统，其特征在于，所述终端属性值中还包括公开密钥，

技术总结
本发明提供的一种哑终端仿冒识别方法及系统，网关设备检测到哑终端接入后向哑终端发送查询报文；哑终端接收到查询报文后，生成查询响应报文并发送给网关设备；网关设备从查询响应报文中解析出终端属性值，获取哑终端的接入信息，并将终端属性值和接入信息发送给终端安全准入系统；终端安全准入系统若确定终端属性值中存在终端身份签名和签名时间戳，则获取终端信息绑定的签名密钥，根据签名密钥、终端信息以及签名时间戳生成比对身份签名，基于终端身份签名和比对身份签名的一致性判断结果确定哑终端是否被仿冒。整个过程不需要进行终端流量以及行为特征的提取就能实现仿冒识别，能够解决现在仿冒识别准确度和效率都低的问题。

技术研发人员：宗润
受保护的技术使用者：迈普通信技术股份有限公司
技术研发日：
技术公布日：2024/1/11