CN106603513A - 基于主机标识的资源访问控制方法以及系统 - Google Patents
基于主机标识的资源访问控制方法以及系统 Download PDFInfo
- Publication number
- CN106603513A CN106603513A CN201611087507.0A CN201611087507A CN106603513A CN 106603513 A CN106603513 A CN 106603513A CN 201611087507 A CN201611087507 A CN 201611087507A CN 106603513 A CN106603513 A CN 106603513A
- Authority
- CN
- China
- Prior art keywords
- access
- host
- resource
- access control
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于主机标识的资源访问控制方法以及系统,它包括主机标识分配的单元、主机标识注册的单元、访问策略配置的单元、访问请求发起的单元以及访问控制执行的单元,该方法中对用户的认证分为两个部分:身份认证和权限认证,前者用于判断用户身份是否真实,而后者用于判断用户是否具有访问某一资源的权限。通过这样的双重认证,有效提升了网络的安全性,并且由于用户的身份证书与其主机标识HIT相绑定,即使用户位置发生了移动,其HIT仍保持全网唯一,故而有效解决了以往基于IP地址鉴别身份时存在的问题,进一步增强安全性。
Description
技术领域
本发明属于网络数据通信领域,特别是在角色访问控制基础上,结合主机标识协议的身份认证能力,构建具有更高安全性的资源访问控制机制,具体地讲是提出一种基于主机标识的资源访问控制机制。
背景技术
访问控制技术是确保信息系统安全的主要手段之一,同时也是保护网络资源安全的重要途径。通过允许被授权主体对某些客体的访问、同时拒绝向非授权主体提供服务的策略,限制非法用户对关键资源的访问,防止因恶意用户侵入或合法用户不慎操作所造成的破坏。
现有访问控制机制本质上都是应用层的访问控制机制,需与具体的网络应用相关联,一方面增加了应用开发的复杂性,另一方面又造成系统功能的冗余,同时又可能存在实现或者设置不慎导致的安全漏洞等。并且,这种访问控制机制只能保护应用层的安全性,对因网络本身导致的安全隐患没有任何保护能力,例如一台具有严格访问控制的服务器还是同样可能会因为恶意主机的拒绝服务攻击而崩溃等。
一个好的访问控制机制,应当能够作为一个系统级的通用安全服务,面向各种网络应用提供多层次、立体的保护。为此,人们设计了基于IP地址的网络层访问控制机制,但这一机制仍存在诸多问题:
首先,基于IP地址的访问控制限制了节点移动条件下的资源访问。一些网络服务基于IP地址来区分服务对象,这就导致服务对象绑定了位置。当用户网络位置发生变化后,即使身份合法也无法获得原有服务,不能满足用户的移动性要求;
其次,存在IP地址语义过载问题,在一定程度上影响了访问控制的效能,
加大了访问控制的复杂性和难度,主要表现以下两个方面:a)由于IP地址本身的动态可变以及“地址欺骗”的存在,IP地址不能够准确反映节点的真实身份,非法用户可以匿名的发动各种形式的攻击,而很难在网络层定位访问源。b)IP地址与用户之间没有准确的对应关系,不同时刻一个IP地址可能对应不同的用户,一个IP地址也可能对应多个用户(如NAT)。这种情况便于网络犯罪的隐藏,增大了各种安全机制的复杂性,并影响其效能。由于上述情况的存在,使得访问控制的效能大打折扣,同时还可能会损害了合法用户的利益;
最后,由于网络拓扑或ISP自身策略的改变,会导致IP地址重分配,从而使得许多基于IP地址的访问控制策略、配置都需要改变。这无疑加大了基于IP地址访问控制的复杂性和更新的工作量。
可见,当前基于IP地址的访问控制机制仍存在着访问控制策略复杂且管理难度大、移动支持能力差、IP地址语义过载、安全保护能力受限等缺陷,需要设计一种更加灵活的访问控制机制。
发明内容
本发明的目的是针对当前基于IP地址的访问控制机制存在的访问控制策略复杂、管理难度大、对主机的移动支持能力差、安全保护能力受限等缺陷,提出一种基于主机标识的资源访问控制机制。
本发明的技术方案是:
一种基于主机标识的资源访问控制方法,它包括下列步骤:
A、建立全网唯一的认证中心,负责为网络中的每台主机分配IP地址、主机标识HIT,并在认证中心中通过公钥密码体系为每台主机的HIT生成用于可信性认证的HIT认证证书;
B、扩展现有网络中DNS服务器的功能,使其能够支持主机标识到IP地址的解析,随后将所有需要进行身份认证的主机在该DNS服务器上注册,记录每台主机的主机标识HIT和其IP地址的映射关系;
C、在网络内部署访问控制服务器,网络管理员在访问控制服务器中根据访问权限的限制为每台资源主机配置访问策略,该策略标识了每个用户主机能够访问的资源主机和具体资源;
D、用户主机向DNS服务器发起查询请求,获取其需要访问的资源主机的IP地址,并向该IP地址的资源主机发起访问请求;
E、资源主机收到访问请求报文后,解析出用户主机的HIT信息,并与认证中心进行通信,对发起访问请求的用户主机的可信性进行认证,如果认证未通过,表明该用户主机的身份非法,拒绝其访问请求;否则若认证通过,将访问请求发送至访问控制服务器进行决策,并根据决策结果判断该用户主机是否具有所请求资源的访问权限。
本发明的步骤D中,具体为:用户主机首先根据资源主机的HIT值Hs,通过DNS服务器查询获取该资源主机的IP地址IPs;随后向资源主机IPs发送资源访问请求,访问请求中必须包含用户主机的HIT值Hc、由认证中心为其颁发的HIT认证证书Certc、以及对相关资源的访问请求。
本发明的步骤E中,具体为:资源主机的IP地址IPs接到用户的访问请求后,需要对用户身份的合法性进行认证,该过程基于HIP协议的四次握手基本交换过程创建安全连接,并在连接建立过程中通过认证中心对用户主机身份可信性进行认证。若用户主机的HIT认证证书Certc不合法或者被篡改,表明用户主机的身份不可信,则拒绝该访问请求,若用户主机的HIT认证证书Certc合法,则证明该用户主机身份可信,资源主机随后将该用户主机的访问请求发送至访问控制服务器进行决策,并根据决策结果决定用户主机是否具有相应资源的访问权限。
本发明的步骤E中:
访问控制决策的步骤具体为:访问控制服务器根据预先设定的资源访问策略和用户的访问权限进行访问控制决策,判断用户是否对资源具有相应的操作权限,作出允许或者拒绝用户访问服务器资源的决定。
本发明的方法还包括以下步骤:
F、当需要定制新的访问策略或者调整用户的访问权限时,由访问控制服务器管理员进行访问策略或用户权限的动态更新。
本发明的步骤A、B和E中,通过为网络主机分配IP地址和全网唯一的主机标识HIT,并向DNS服务器注册主机标识和IP地址映射关系,在用户访问控制基础上,结合主机标识协议的身份认证能力,构建基于主机标识的资源访问控制机制。
一种基于主机标识的资源访问控制系统,它包括:
主机标识分配的单元:该单元用于建立全网唯一的认证中心,负责为网络中的每台主机分配IP地址、主机标识HIT,并在认证中心中通过公钥密码体系为每台主机的HIT生成用于可信性认证的HIT认证证书;
主机标识注册的单元:该单元扩展现有网络中DNS服务器的功能,使其能够支持主机标识到IP地址的解析,随后将所有需要进行身份认证的主机在该DNS服务器上注册,记录每台主机的主机标识HIT和其IP地址的映射关系;
访问策略配置的单元:该单元在网络内部署访问控制服务器,网络管理员在访问控制服务器中根据访问权限的限制为每台资源主机配置访问策略,该策略标识了每个用户主机能够访问的资源主机和具体资源;
访问请求发起的单元:该单元由用户主机向DNS服务器发起查询请求,获取其需要访问的资源主机的IP地址,并向该IP地址的资源主机发起访问请求;
访问控制执行的单元:该单元中资源主机收到访问请求报文后,解析出用户主机的HIT信息,并与认证中心进行通信,对发起访问请求的用户主机的可信性进行认证,如果认证未通过,表明该用户主机的身份非法,拒绝其访问请求;否则若认证通过,将访问请求发送至访问控制服务器进行决策,并根据决策结果判断该用户主机是否具有所请求资源的访问权限。
本发明的系统还包括:访问策略或用户权限更新的单元:当需要定制新的访问策略或者调整用户的访问权限时,由访问控制服务器管理员进行访问策略或用户权限的动态更新。
本发明的有益效果:
本发明中访问控制策略长期稳定,由于基于主机标识的资源访问控制机制利用网络实体的真实固定标识(Identifier),而不是IP地址或者网络设备端口,解决了IP地址语义过载问题,因此保证了访问控制策略的长期稳定性,避免了由于IP地址变化所导致的访问控制策略频繁更新,减轻了访问控制管理的复杂性和工作量。
本发明中,该方法的移动支持能力好,虽然网络节点在移动过程中地址标识会发生变化,但基于固定主机标识的访问控制策略不需要改变,合法用户可以继续访问相关服务。因此,基于主机标识的资源访问控制机制对移动节点访问控制的支持性好。
本发明的系统具有更高安全性的通用安全服务,基于主机标识的资源访问控制机制在网络层保证了端到端的访问控制,提供了网络行为的可追溯性。在应用层将角色权限与用户的实名身份标识相结合,实现了基于角色的多粒度多层次资源访问控制,能够有效防止网络资源受到假冒身份等恶意攻击,实现了具有更高安全性的通用安全服务。
附图说明
图1为本发明实施例运行的环境
图2为基于主机标识的资源访问控制机制
图3为基于主机标识的资源访问控制时序图
具体实施方式
下面结合附图和实施例对本发明作进一步的说明。
首先需要给出本发明提出的访问控制机制所需要的运行环境,如图1所示:在网络中部署用户主机、DNS服务器、CA认证中心、资源主机、访问控制服务器,每台主机和服务器均配置运行HIP协议。
运行本发明所提出的访问控制机制的系统配置如图2所示:首先由CA认证中心为网络中的每台主机发放全网唯一的主机标识HIT和相应的证书。用户主机首先根据资源主机的HIT值Hs查询DNS服务器获得其IP地址,随后通过HIP协议向资源主机发送访问请求,并在请求中携带自己的认证证书Certc。资源主机收到请求后通过HIT认证模块将该证书向CA认证中心查询,判断用户身份的合法性,若认证失败则拒绝用户的访问。认证成功表明用户身份可信、非假冒用户,则通过HIP协议与访问控制服务器进行交互,查询该用户是否具有访问相应资源的权限,并根据查询结果决定允许用户访问资源或者拒绝访问。
因此,在这一过程中,对用户的认证分为两个部分:身份认证和权限认证,前者用于判断用户身份是否真实,而后者用于判断用户是否具有访问某一资源的权限。通过这样的双重认证,有效提升了网络的安全性,并且由于用户的身份证书与其主机标识HIT相绑定,即使用户位置发生了移动,其HIT仍保持全网唯一,故而有效解决了以往基于IP地址鉴别身份时存在的问题,进一步增强安全性。
图3给出了本发明基于主机标识的资源访问控制机制的工作时序图,系统实际运行过程中实现了对通信双方的身份相互鉴别。
在步骤S1中,网络中的所有主机均向DNS注册其身份标识HIT和IP地址的映射关系;
当用户主机I要向资源主机R请求资源时,首先进行步骤S2,I根据R的域名向DNS查询R的主机标识HIT证书和IP地址信息,进行步骤S3;
在步骤S3中,I根据获取的R的IP地址,向R发起资源访问请求,请求中包含I的HIT证书、I的用户角色及对请求访问的相关资源。两者基于HIP协议的四次握手基本交换过程创建安全连接,并在连接建立过程中通过CA认证中心对主机身份可信性进行认证。若HIT证书被篡改,则拒绝该访问请求。若HIT证书可信,则证明该用户是合法用户,进行步骤S4;
在步骤S4中,R将I的访问请求发送至访问控制服务器,对用户主机的访问权限进行查询。访问控制服务器根据预先设定的资源访问策略和用户角色访问权限进行访问控制决策。若访问不合法,则拒绝该访问请求。若访问合法,则进行步骤S5;
在步骤S5中,R允许I获取请求的访问资源,随后两者可以进行正常的通信交互。
实施例
本实施例给出基于本发明访问控制机制的高可信安全视频服务系统。当网络中的用户希望访问某视频服务器所提供的视频服务时,需要经过两个层次的身份认证过程。首先基于HIP协议的四次握手基本交换过程创建安全连接,并在连接建立过程中通过PKI结构CA认证中心对主机身份的可信性进行认证。只有通过认证的合法用户才能够进行下一步的角色访问权限判别。两次认证全部通过后用户才可以正常访问资源获取视频服务,否则访问被拒绝。在这样一个视频服务系统中,通过基于主机标识的资源访问控制机制,用户对资源的访问都是在实现身份验证之后进行的,因此能够确保用户身份的可信性;实现了对不同安全级别的视频的访问控制,能够满足多媒体应用安全的需要。同时能够有效防止视频服务器受到假冒身份、DoS等恶意攻击,实现了视频服务系统的高可信性和高安全性。
本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
Claims (8)
1.一种基于主机标识的资源访问控制方法,其特征是它包括下列步骤:
A、建立全网唯一的认证中心,负责为网络中的每台主机分配IP地址、主机标识HIT,并在认证中心中通过公钥密码体系为每台主机的HIT生成用于可信性认证的HIT认证证书;
B、扩展现有网络中DNS服务器的功能,使其能够支持主机标识到IP地址的解析,随后将所有需要进行身份认证的主机在该DNS服务器上注册,记录每台主机的主机标识HIT和其IP地址的映射关系;
C、在网络内部署访问控制服务器,网络管理员在访问控制服务器中根据访问权限的限制为每台资源主机配置访问策略,该策略标识了每个用户主机能够访问的资源主机和具体资源;
D、用户主机向DNS服务器发起查询请求,获取其需要访问的资源主机的IP地址,并向该IP地址的资源主机发起访问请求;
E、资源主机收到访问请求报文后,解析出用户主机的HIT信息,并与认证中心进行通信,对发起访问请求的用户主机的可信性进行认证,如果认证未通过,表明该用户主机的身份非法,拒绝其访问请求;否则若认证通过,将访问请求发送至访问控制服务器进行决策,并根据决策结果判断该用户主机是否具有所请求资源的访问权限。
2.根据权利要求1所述的基于主机标识的资源访问控制方法,其特征是步骤D中,具体为:用户主机首先根据资源主机的HIT值Hs,通过DNS服务器查询获取该资源主机的IP地址IPs;随后向资源主机IPs发送资源访问请求,访问请求中必须包含用户主机的HIT值Hc、由认证中心为其颁发的HIT认证证书Certc、以及对相关资源的访问请求。
3.根据权利要求1所述的基于主机标识的资源访问控制方法,其特征是步骤E中,具体为:资源主机的IP地址IPs接到用户的访问请求后,需要对用户身份的合法性进行认证,该过程基于HIP协议的四次握手基本交换过程创建安全连接,并在连接建立过程中通过认证中心对用户主机身份可信性进行认证。若用户主机的HIT认证证书Certc不合法或者被篡改,表明用户主机的身份不可信,则拒绝该访问请求,若用户主机的HIT认证证书Certc合法,则证明该用户主机身份可信,资源主机随后将该用户主机的访问请求发送至访问控制服务器进行决策,并根据决策结果决定用户主机是否具有相应资源的访问权限。
4.根据权利要求3所述的基于主机标识的资源访问控制方法,其特征是步骤E中:
访问控制决策的步骤具体为:访问控制服务器根据预先设定的资源访问策略和用户的访问权限进行访问控制决策,判断用户是否对资源具有相应的操作权限,作出允许或者拒绝用户访问服务器资源的决定。
5.根据权利要求1-4之一所述的基于主机标识的资源访问控制方法,其特征是该方法还包括以下步骤:
F、当需要定制新的访问策略或者调整用户的访问权限时,由访问控制服务器管理员进行访问策略或用户权限的动态更新。
6.根据权利要求1的基于主机标识的资源访问控制方法,其特征是在步骤A、B和E中,通过为网络主机分配IP地址和全网唯一的主机标识HIT,并向DNS服务器注册主机标识和IP地址映射关系,在用户访问控制基础上,结合主机标识协议的身份认证能力,构建基于主机标识的资源访问控制机制。
7.一种基于主机标识的资源访问控制系统,其特征是它包括:
主机标识分配的单元:该单元用于建立全网唯一的认证中心,负责为网络中的每台主机分配IP地址、主机标识HIT,并在认证中心中通过公钥密码体系为每台主机的HIT生成用于可信性认证的HIT认证证书;
主机标识注册的单元:该单元扩展现有网络中DNS服务器的功能,使其能够支持主机标识到IP地址的解析,随后将所有需要进行身份认证的主机在该DNS服务器上注册,记录每台主机的主机标识HIT和其IP地址的映射关系;
访问策略配置的单元:该单元在网络内部署访问控制服务器,网络管理员在访问控制服务器中根据访问权限的限制为每台资源主机配置访问策略,该策略标识了每个用户主机能够访问的资源主机和具体资源;
访问请求发起的单元:该单元由用户主机向DNS服务器发起查询请求,获取其需要访问的资源主机的IP地址,并向该IP地址的资源主机发起访问请求;
访问控制执行的单元:该单元中资源主机收到访问请求报文后,解析出用户主机的HIT信息,并与认证中心进行通信,对发起访问请求的用户主机的可信性进行认证,如果认证未通过,表明该用户主机的身份非法,拒绝其访问请求;否则若认证通过,将访问请求发送至访问控制服务器进行决策,并根据决策结果判断该用户主机是否具有所请求资源的访问权限。
8.根据权利要求7的基于主机标识的资源访问控制系统,其特征是它还包括:访问策略或用户权限更新的单元:当需要定制新的访问策略或者调整用户的访问权限时,由访问控制服务器管理员进行访问策略或用户权限的动态更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611087507.0A CN106603513A (zh) | 2016-11-30 | 2016-11-30 | 基于主机标识的资源访问控制方法以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611087507.0A CN106603513A (zh) | 2016-11-30 | 2016-11-30 | 基于主机标识的资源访问控制方法以及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603513A true CN106603513A (zh) | 2017-04-26 |
Family
ID=58594585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611087507.0A Pending CN106603513A (zh) | 2016-11-30 | 2016-11-30 | 基于主机标识的资源访问控制方法以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603513A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
| CN109756446A (zh) * | 2017-11-01 | 2019-05-14 | 中车株洲电力机车研究所有限公司 | 一种车载设备的访问方法和系统 |
| CN109948362A (zh) * | 2019-03-08 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 数据访问处理方法及系统 |
| CN110012016A (zh) * | 2019-04-10 | 2019-07-12 | 山东师创云服务有限公司 | 混合云环境中资源访问控制的方法及系统 |
| CN110138878A (zh) * | 2019-06-03 | 2019-08-16 | 武汉思普崚技术有限公司 | 一种网络安全的方法和系统 |
| CN110213269A (zh) * | 2019-06-03 | 2019-09-06 | 武汉思普崚技术有限公司 | 一种网络行为数据认证方法和系统 |
| CN110545274A (zh) * | 2019-08-30 | 2019-12-06 | 南瑞集团有限公司 | 一种基于人证合一的uma服务的方法、装置和系统 |
| CN110832806A (zh) * | 2017-06-30 | 2020-02-21 | 华为技术有限公司 | 针对面向身份的网络的基于id的数据面安全 |
| CN111431901A (zh) * | 2020-03-23 | 2020-07-17 | 重庆长安汽车股份有限公司 | 外部设备安全访问车内ecu的系统及访问方法 |
| CN112260934A (zh) * | 2020-10-19 | 2021-01-22 | 四川大学 | 基于教育云平台的资源交互方法及系统 |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络系统的安全控制方法、系统、装置和存储介质 |
| CN113765905A (zh) * | 2021-08-27 | 2021-12-07 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
| CN113949563A (zh) * | 2021-10-15 | 2022-01-18 | 傲普(上海)新能源有限公司 | 一种基于策略的数据服务器资源访问控制方法 |
| CN119155083A (zh) * | 2024-09-06 | 2024-12-17 | 北京蔷薇灵动科技有限公司 | 基于身份认证的访问控制方法及装置 |
| CN119814401A (zh) * | 2024-12-18 | 2025-04-11 | 中国电子科技集团公司第三十研究所 | 一种基于用户身份标识的overlay网络访问控制与密码隔离方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1809075A (zh) * | 2006-01-23 | 2006-07-26 | 北京交通大学 | 一种建立一体化网络服务的方法 |
| CN1939000A (zh) * | 2004-04-15 | 2007-03-28 | 艾利森电话股份有限公司 | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 |
| CN101888372A (zh) * | 2009-05-14 | 2010-11-17 | 华为技术有限公司 | 生成主机标识协议包的方法和设备 |
| CN101895522A (zh) * | 2009-05-22 | 2010-11-24 | 华为技术有限公司 | 主机标识标签获取方法及系统 |
| US20110246667A1 (en) * | 2010-03-30 | 2011-10-06 | International Business Machines Corporation | Processing unit, chip, computing device and method for accelerating data transmission |
| CN102752266A (zh) * | 2011-04-20 | 2012-10-24 | 中国移动通信集团公司 | 访问控制方法及其设备 |
-
2016
- 2016-11-30 CN CN201611087507.0A patent/CN106603513A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1939000A (zh) * | 2004-04-15 | 2007-03-28 | 艾利森电话股份有限公司 | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 |
| CN1809075A (zh) * | 2006-01-23 | 2006-07-26 | 北京交通大学 | 一种建立一体化网络服务的方法 |
| CN101888372A (zh) * | 2009-05-14 | 2010-11-17 | 华为技术有限公司 | 生成主机标识协议包的方法和设备 |
| CN101895522A (zh) * | 2009-05-22 | 2010-11-24 | 华为技术有限公司 | 主机标识标签获取方法及系统 |
| US20110246667A1 (en) * | 2010-03-30 | 2011-10-06 | International Business Machines Corporation | Processing unit, chip, computing device and method for accelerating data transmission |
| CN102752266A (zh) * | 2011-04-20 | 2012-10-24 | 中国移动通信集团公司 | 访问控制方法及其设备 |
Non-Patent Citations (3)
| Title |
|---|
| 何智勇等: "MANET中基于HIP的访问控制模型研究与设计", 《计算机技术与发展》 * |
| 刘华春等: "基于PKI/HIP协议的下一代互联网实名访问研究", 《计算机工程与设计》 * |
| 王樱等: "Internet中基于主机标识协议的访问控制模型", 《通信技术》 * |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110832806A (zh) * | 2017-06-30 | 2020-02-21 | 华为技术有限公司 | 针对面向身份的网络的基于id的数据面安全 |
| CN109756446A (zh) * | 2017-11-01 | 2019-05-14 | 中车株洲电力机车研究所有限公司 | 一种车载设备的访问方法和系统 |
| CN108521408B (zh) * | 2018-03-22 | 2021-03-12 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
| CN109948362A (zh) * | 2019-03-08 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 数据访问处理方法及系统 |
| CN109948362B (zh) * | 2019-03-08 | 2022-11-22 | 创新先进技术有限公司 | 数据访问处理方法及系统 |
| CN110012016A (zh) * | 2019-04-10 | 2019-07-12 | 山东师创云服务有限公司 | 混合云环境中资源访问控制的方法及系统 |
| CN110012016B (zh) * | 2019-04-10 | 2021-04-27 | 山东师创云服务有限公司 | 混合云环境中资源访问控制的方法及系统 |
| CN110213269A (zh) * | 2019-06-03 | 2019-09-06 | 武汉思普崚技术有限公司 | 一种网络行为数据认证方法和系统 |
| CN110138878B (zh) * | 2019-06-03 | 2022-06-24 | 武汉思普崚技术有限公司 | 一种网络安全的方法和系统 |
| CN110138878A (zh) * | 2019-06-03 | 2019-08-16 | 武汉思普崚技术有限公司 | 一种网络安全的方法和系统 |
| CN110545274A (zh) * | 2019-08-30 | 2019-12-06 | 南瑞集团有限公司 | 一种基于人证合一的uma服务的方法、装置和系统 |
| CN111431901A (zh) * | 2020-03-23 | 2020-07-17 | 重庆长安汽车股份有限公司 | 外部设备安全访问车内ecu的系统及访问方法 |
| CN112260934A (zh) * | 2020-10-19 | 2021-01-22 | 四川大学 | 基于教育云平台的资源交互方法及系统 |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络系统的安全控制方法、系统、装置和存储介质 |
| CN113765905A (zh) * | 2021-08-27 | 2021-12-07 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
| CN113765905B (zh) * | 2021-08-27 | 2023-04-18 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
| CN113949563A (zh) * | 2021-10-15 | 2022-01-18 | 傲普(上海)新能源有限公司 | 一种基于策略的数据服务器资源访问控制方法 |
| CN113949563B (zh) * | 2021-10-15 | 2023-10-10 | 傲普(上海)新能源有限公司 | 一种基于策略的数据服务器资源访问控制方法 |
| CN119155083A (zh) * | 2024-09-06 | 2024-12-17 | 北京蔷薇灵动科技有限公司 | 基于身份认证的访问控制方法及装置 |
| CN119814401A (zh) * | 2024-12-18 | 2025-04-11 | 中国电子科技集团公司第三十研究所 | 一种基于用户身份标识的overlay网络访问控制与密码隔离方法 |
| CN119814401B (zh) * | 2024-12-18 | 2025-09-23 | 中国电子科技集团公司第三十研究所 | 一种基于用户身份标识的overlay网络访问控制与密码隔离方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603513A (zh) | 基于主机标识的资源访问控制方法以及系统 | |
| US20240129290A1 (en) | Authenticated name resolution | |
| Lear et al. | Manufacturer usage description specification | |
| US8990356B2 (en) | Adaptive name resolution | |
| CN104618396B (zh) | 一种可信网络接入与访问控制方法 | |
| CN105052069B (zh) | 用于隐私感知dhcp服务的用户设备、系统和方法 | |
| US20090070582A1 (en) | Secure Network Location Awareness | |
| CN111885604B (zh) | 一种基于天地一体化网络的认证鉴权方法、装置及系统 | |
| WO2009035829A1 (en) | Improved dynamic host configuration protocol | |
| CN1937499A (zh) | 基于域名的统一身份标识和认证方法 | |
| US8887296B2 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
| US20240195795A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity | |
| CN103297563B (zh) | 一种基于身份认证的防止重复地址检测攻击的方法 | |
| Lear et al. | Rfc 8520: Manufacturer usage description specification | |
| US20180103037A1 (en) | Resource access control using named capabilities | |
| CN101291220B (zh) | 一种身份安全认证的系统、装置及方法 | |
| US8112535B2 (en) | Securing a server in a dynamic addressing environment | |
| CN104052829A (zh) | 自适应名字解析 | |
| US8190755B1 (en) | Method and apparatus for host authentication in a network implementing network access control | |
| US12335240B2 (en) | Centralized management control lists for private networks | |
| CN102769621A (zh) | 一种面向真实用户身份的主机移动方法 | |
| He et al. | Network-layer accountability protocols: a survey | |
| CN1331328C (zh) | 一种基于身份认证的地址转换方法 | |
| WO2005046119A1 (fr) | Procede d'etablissement d'association entre l'identification d'une transaction de session et l'entite d'application de reseau | |
| US20250240175A1 (en) | Methods and systems for implementing secure communication channels between systems over a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |