2. 技术
  3. 一种安全认证系统及方法与流程

一种安全认证系统及方法与流程

allin2024-10-18  38


1.本技术涉及网络安全技术领域,尤其涉及一种安全认证系统、方法、装置、设备及介质。


背景技术:

[0002]“零信任”是2010年由研究结构forrester的首席分析师提出的一种新的网络安全模型,它打破默认的“信任”,秉持“持续验证,永不信任”原则,建立起一套以身份为中心,以持续认证、动态访问控制、授权、审计以及监测为方法,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。其中环境感知和身份认证是整个安全架构的核心。
[0003]
由于“零信任”的发展时间并不是很长,难免有不足之处。例如现有“零信任”中环境感知和身份认证相结合使用的方案通常为:
[0004]
终端(环境感知终端)定时将其本地的环境信息上传到环境感知服务器上,由环境感知服务器基于该环境信息对终端进行安全认证。具体的,当用户触发对终端的访问请求时,该终端会将终端标识信息和用户的身份信息发送到认证服务器;认证服务器提取出终端标识信息,并向环境感知服务器发起对该终端是否安全的安全认证请求,环境感知服务器基于保存的该终端的环境信息对该终端进行安全认证,并向认证服务器返回安全认证结果。如果环境感知服务器返回的安全认证结果为该终端的安全风险过高,认证服务器则阻断终端本次的访问请求,否则,认证服务器继续进行后续的身份认证流程。
[0005]
然而,现有需要终端将其本地的环境信息通过网络上传到环境感知服务器,由环境感知服务器基于该环境信息对终端进行安全认证的方式,一方面,存在单点故障风险,例如当环境感知服务器出现故障时,可能会出现不能对终端进行安全认证的风险;另一方面,当网络出现故障时,终端可能不能及时地将其最新的环境信息上传到环境感知服务器,可能出现不能及时准确地对终端进行安全认证的风险。因此,亟需一种可以提高对终端进行安全认证的及时性和准确性的技术方案。


技术实现要素:

[0006]
本技术提供了一种安全认证系统、方法、装置、设备及介质,用以提高对终端进行安全认证的及时性和准确性。
[0007]
第一方面,本技术提供了一种安全认证系统,所述系统包括:终端、认证服务器及与所述终端位于同一对等网络p2p网络中的多个其他终端;
[0008]
所述终端,用于在接收到对安装在自身中的任一应用的访问请求时,向所述p2p网络中的目标其他终端发送第一认证请求,其中,所述第一认证请求中携带所述终端的标识信息;
[0009]
所述目标其他终端,用于根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信
息,确定所述终端的安全评分值;并将所述安全评分值发送给所述终端;
[0010]
所述终端,还用于向所述认证服务器发送携带所述安全评分值的第二认证请求;
[0011]
所述认证服务器,用于根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0012]
第二方面,本技术提供了一种安全认证方法,所述方法应用于第一终端,所述方法包括:
[0013]
在接收到对安装在终端自身中的任一应用的访问请求时,向与所述终端位于同一对等网络p2p网络中的多个其他终端中的目标其他终端发送第一认证请求,其中,所述第一认证请求中携带所述终端的标识信息;
[0014]
接收所述目标其他终端发送的安全评分值;其中,所述安全评分值为所述目标其他终端根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;
[0015]
向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0016]
第三方面,本技术提供了一种安全认证方法,所述方法应用于第二终端,所述方法包括:
[0017]
接收第一认证请求,其中所述第一认证请求为与所述第二终端位于同一对等网络p2p网络中的第一终端在接收到对安装在第一终端自身中的任一应用的访问请求时发送的,所述第一认证请求中携带所述第一终端的标识信息;
[0018]
根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定所述第一终端的安全评分值;并将所述安全评分值发送给所述第一终端;使所述第一终端向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述第一终端的环境信息进行安全认证。
[0019]
第四方面,本技术提供了一种安全认证方法,所述方法应用于认证服务器,所述方法包括:
[0020]
接收终端发送的携带安全评分值的第二认证请求;其中,所述第二认证请求为所述终端在接收到与所述终端位于同一对等网络p2p中的多个其他终端的目标其他终端发送的安全评分值时发送的;所述安全评分值为所述终端在接收到对安装在自身中的任一应用的访问请求时,向所述目标其他终端发送第一认证请求,所述目标其他终端根据所述第一认证请求中携带的终端的标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;
[0021]
根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0022]
第五方面,本技术提供了一种安全认证方法,所述方法应用于环境感知服务器,所述方法包括:
[0023]
接收终端发送的加入对等网络p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息;
[0024]
判断所述认证信息是否为设定的合规认证信息,若是,根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找所述目标网络地址所属的目标p2p网络,将所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息发送给所述终端;并将所述加入验证信息发送给已加入所述目标p2p网络中的已有终端;使所述终端接收所述网络标识信息、所述已有终端标识信息及加入验证信息,使所述终端向所述网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求;使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0025]
第六方面,本技术提供了一种安全认证装置,所述装置包括:
[0026]
第一发送模块,用于在接收到对安装在终端中的任一应用的访问请求时,向与所述终端位于同一对等网络p2p网络中的多个其他终端中的目标其他终端发送第一认证请求,其中,所述第一认证请求中携带所述终端的标识信息;
[0027]
第一接收模块,用于接收所述目标其他终端发送的安全评分值;其中,所述安全评分值为所述目标其他终端根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;
[0028]
第二发送模块,用于向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0029]
第七方面,本技术提供了一种安全认证装置,所述装置包括:
[0030]
第二接收模块,用于接收第一认证请求,其中所述第一认证请求为与所述第二终端位于同一对等网络p2p网络中的第一终端在接收到对安装在第一终端自身中的任一应用的访问请求时发送的,所述第一认证请求中携带所述第一终端的标识信息;
[0031]
第一确定模块,用于根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定所述第一终端的安全评分值;并将所述安全评分值发送给所述第一终端;使所述第一终端向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述第一终端的环境信息进行安全认证。
[0032]
第八方面,本技术提供了一种安全认证装置,所述装置包括:
[0033]
第三接收模块,用于接收终端发送的携带安全评分值的第二认证请求;其中,所述第二认证请求为所述终端在接收到与所述终端位于同一对等网络p2p中的多个其他终端的目标其他终端发送的安全评分值时发送的;所述安全评分值为所述终端在接收到对安装在自身中的任一应用的访问请求时,向所述目标其他终端发送第一认证请求,所述目标其他终端根据所述第一认证请求中携带的终端的标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;
[0034]
认证模块,用于根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0035]
第九方面,本技术提供了一种安全认证装置,所述装置包括:
[0036]
第四接收模块,用于接收终端发送的加入对等网络p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息;
[0037]
加入验证模块,用于判断所述认证信息是否为设定的合规认证信息,若是,根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找所述目标网络地址所属的目标p2p网络,将所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息发送给所述终端;并将所述加入验证信息发送给已加入所述目标p2p网络中的已有终端;使所述终端接收所述网络标识信息、所述已有终端标识信息及加入验证信息,使所述终端向所述网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求;使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0038]
第十方面,本技术提供了一种电子设备,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现如上述任一所述安全认证方法的步骤。
[0039]
第十一方面,本技术提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一所述安全认证方法的步骤。
[0040]
第十二方面,本技术提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行如上述任一所述安全认证方法的步骤。
[0041]
由于本技术可以基于与终端位于同一p2p网络中的任意其他终端(目标其他终端)中保存的该终端的环境信息,确定对该终端的安全评分值,并进而可以基于该安全评分值对终端的环境信息进行安全认证,相比相关技术中终端需要跨网络将终端的环境信息发送给环境感知服务器,基于一个环境感知服务器对终端的环境信息进行安全认证而言,一方面,由于本技术可以基于任意其他终端,确定对该终端的安全评分值,相比相关技术中只基于一个环境感知服务器对终端的环境信息进行安全认证,降低了单点故障风险;另一方面,由于基于p2p网络通信的稳定性和实时性均优于跨网络通信,因此,本技术可以提高对终端进行安全认证的及时性和准确性。
附图说明
[0042]
为了更清楚地说明本技术实施例或相关技术中的实施方式,下面将对实施例或相关技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本技术的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0043]
图1示出了一些实施例提供的一种安全认证系统示意图;
[0044]
图2示出了一些实施例提供的第一种安全认证过程示意图;
[0045]
图3示出了一些实施例提供的第二种安全认证过程示意图;
[0046]
图4示出了一些实施例提供的第三种安全认证过程示意图;
[0047]
图5示出了一些实施例提供的第四种安全认证过程示意图;
[0048]
图6示出了一些实施例提供的第五种安全认证过程示意图;
[0049]
图7示出了一些实施例提供的第六种安全认证过程示意图;
[0050]
图8示出了一些实施例提供的第七种安全认证过程示意图;
[0051]
图9示出了一些实施例提供的第八种安全认证过程示意图;
[0052]
图10示出了一些实施例提供的第九种安全认证过程示意图;
[0053]
图11示出了一些实施例提供的第一种安全认证装置示意图;
[0054]
图12示出了一些实施例提供的第二种安全认证装置示意图;
[0055]
图13示出了一些实施例提供的第三种安全认证装置示意图;
[0056]
图14示出了一些实施例提供的第四种安全认证装置示意图;
[0057]
图15示出了一些实施例提供的一种电子设备结构示意图。
具体实施方式
[0058]
为了提高对终端进行安全认证的及时性和准确性,本技术提供了一种安全认证系统、方法、装置、设备及介质。
[0059]
为使本技术的目的和实施方式更加清楚,下面将结合本技术示例性实施例中的附图,对本技术示例性实施方式进行清楚、完整地描述,显然,描述的示例性实施例仅是本技术一部分实施例,而不是全部的实施例。
[0060]
需要说明的是,本技术中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本技术的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
[0061]
本技术中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明。应该理解这样使用的用语在适当情况下可以互换。
[0062]
术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的所有组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
[0063]
术语“模块”是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合,能够执行与该元件相关的功能。
[0064]
最后应说明的是:以上各实施例仅用以说明本技术的技术方案,而非对其限制;尽管参照前述各实施例对本技术进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本技术各实施例技术方案的范围。
[0065]
为了方便解释,已经结合具体的实施方式进行了上述说明。但是,上述示例性的讨论不是意图穷尽或者将实施方式限定到上述公开的具体形式。根据上述的教导,可以得到多种修改和变形。上述实施方式的选择和描述是为了更好的解释原理以及实际的应用,从而使得本领域技术人员更好的使用所述实施方式以及适于具体使用考虑的各种不同的变形的实施方式。
[0066]
实施例1:
[0067]
图1示出了一些实施例提供的一种安全认证系统示意图,该系统包括:终端11、认
证服务器12及与所述终端11位于同一对等网络p2p网络中的多个其他终端13;
[0068]
所述终端11,用于在接收到对安装在自身中的任一应用的访问请求时,向所述p2p网络中的目标其他终端13发送第一认证请求,其中,所述第一认证请求中携带所述终端11的标识信息;
[0069]
所述目标其他终端13,用于根据所述标识信息,在保存的环境信息中查找所述标识信息的终端11对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定所述终端11的安全评分值;并将所述安全评分值发送给所述终端11;
[0070]
所述终端11,还用于向所述认证服务器12发送携带所述安全评分值的第二认证请求;
[0071]
所述认证服务器12,用于根据所述安全评分值及预设的分值阈值,对所述终端11的环境信息进行安全认证。
[0072]
在一种可能的实施方式中,用户可以发起对终端11(如pc、移动终端等)中安装的任一应用的访问请求,为了及时准确地对终端进行安全认证,终端11可以在接收到访问请求时,向与终端11自身位于同一p2p网络中的多个其他终端13中的全部或部分其他终端(为方便描述,称为目标其他终端)发送认证请求(为方便描述,称为第一认证请求)。可选的,目标其他终端13可以是多个其他终端13中的任意终端,可以理解的,目标其他终端13是当前可以正常工作不存在故障的终端。为了便于其他终端13获知需要对哪个终端进行安全认证,第一认证请求中可以携带终端11的标识信息。其中,终端11的标识信息可以根据需求灵活设置,本技术对此不作具体限定。
[0073]
在一种可能的实施方式中,位于p2p网络中的每个终端(环境感知终端)中安装有可以采集终端自身的环境信息的程序。针对位于同一p2p网络中的每个终端(环境感知终端),每个终端均可以按照设定的频率将自身环境信息发送给位于同一p2p网络中的每个其他终端。或者,每个终端还可以在识别到自身环境信息发生变化时,将当前最新的环境信息发送给位于同一p2p网络中的每个其他终端。每个终端中均保存有位于同一p2p网络中的其他终端的环境信息。示例性的,终端11的环境信息可以包括终端11的漏洞信息、安装的程序信息、文件信息以及访问流量信息等。
[0074]
当目标其他终端13接收到第一认证请求后,可以根据第一认证请求中携带的终端11的标识信息,在保存的环境信息中查找与该标识信息的终端11对应的环境信息(为方便描述,称为目标环境信息),并可以根据该目标环境信息中是否包含设定的风险环境信息,来确定该终端11的安全评分值。
[0075]
在一种可能的实施方式中,风险环境信息可以包括漏洞信息、程序信息、文件信息以及访问流量信息等多种风险类型的信息。目标其他终端13在根据目标环境信息中是否包含设定的风险环境信息,确定终端11的安全评分值时,可以是基于目标环境信息中是否存在每种风险类型的目标风险环境子信息,来确定终端11的安全评分值。示例性的,可以是基于目标环境信息中是否存在未修复漏洞信息、是否存在(安装)未允许安装的程序信息、是否存在病毒文件信息以及是否存在流量攻击信息等,来确定终端11的安全评分值。
[0076]
具体的,针对漏洞信息这种风险类型的信息,如果目标环境信息中存在未修复漏洞信息,则可以将设定的最低子评分值(如0分等),确定为漏洞信息对应的子评分值(为方便描述,称为第一子评分值)。
[0077]
或者,如果目标环境信息中存在未修复漏洞信息,还可以先基于保存的漏洞信息与扣分值的对应关系,确定存在的每个未修复漏洞信息对应的目标扣分值,然后将设定的最高子评分值(如100分等)与目标扣分值的差值,确定为漏洞信息对应的第一子评分值。示例性的,如果目标环境信息中包含的未修复漏洞分别为漏洞a和漏洞b,其中,漏洞a对应的目标扣分值为10分,漏洞b对应的目标扣分值为5分,设定的最高子评分值为100分,则可以将85分确定为漏洞信息对应的第一子评分值。
[0078]
而如果目标环境信息中不存在未修复漏洞信息,则可以将设定的最高子评分值,确定为漏洞信息对应的第一子评分值。
[0079]
针对程序信息这种风险类型的信息,如果目标环境信息中存在(安装)有未允许安装的程序信息,则可以将设定的最低子评分值(如0分等),确定为程序信息对应的子评分值(为方便描述,称为第二子评分值)。
[0080]
或者,如果目标环境信息中存在(安装)有未允许安装的程序信息,还可以先基于保存的程序信息与扣分值的对应关系,确定存在(安装)的未允许安装程序信息对应的目标扣分值,然后将设定的最高子评分值(如100分等)与该目标扣分值的差值,确定为程序信息对应的第二子评分值。其中,确定程序信息对应的第二子评分值的过程与确定漏洞信息对应的第一子评分值的过程类似,在此不再赘述。
[0081]
而如果目标环境信息中不存在(没有安装)未允许安装的程序信息,则可以将设定的最高子评分值,确定为程序信息对应的第二子评分值。
[0082]
针对文件信息这种风险类型的信息,如果目标环境信息中存在病毒文件信息,则可以将设定的最低子评分值(如0分等),确定为文件信息对应的子评分值(为方便描述,称为第三子评分值)。
[0083]
或者,如果目标环境信息中存在病毒文件信息,还可以先基于保存的文件信息与扣分值的对应关系,确定存在的病毒文件信息对应的目标扣分值,然后将设定的最高子评分值(如100分等)与该目标扣分值的差值,确定为文件信息对应的第三子评分值。其中,确定文件信息对应的第三子评分值的过程与确定漏洞信息对应的第一子评分值的过程类似,在此不再赘述。
[0084]
而如果目标环境信息中不存在病毒文件信息,则可以将设定的最高子评分值,确定为文件信息对应的第三子评分值。
[0085]
针对访问流量信息这种风险类型的信息,如果目标环境信息中存在流量攻击信息,则可以将设定的最低子评分值(如0分等),确定为访问流量信息对应的子评分值(为方便描述,称为第四子评分值)。
[0086]
或者,如果目标环境信息中存在流量攻击信息,还可以先基于保存的攻击信息(如攻击频率等)与扣分值的对应关系,确定存在的流量攻击信息对应的目标扣分值,然后将设定的最高子评分值(如100分等)与该目标扣分值的差值,确定为访问流量信息对应的第四子评分值。其中,确定访问流量信息对应的第四子评分值的过程与确定漏洞信息对应的第一子评分值的过程类似,在此不再赘述。
[0087]
而如果目标环境信息中不存在流量攻击信息,则可以将设定的最高子评分值,确定为访问流量信息对应的第四子评分值。
[0088]
在一种可能的实施方式中,确定了每种风险类型的目标风险环境子信息对应的子
评分值(第一子评分值、第二子评分值、第三子评分值、第四子评分值)之后,可以根据每种风险类型的目标风险环境子信息对应的子评分值及对应的预设权重系数,确定终端11的安全评分值。示例性的,针对每种风险类型,可以先确定该风险类型的目标风险环境子信息对应的子评分值与对应的预设权重系数的乘积,然后将每种风险类型对应的子评分值与对应的预设权重系数的乘积的和,确定为终端11的安全评分值。例如,如果漏洞信息这种风险类型对应的权重系数用第一权重系数表示,程序信息这种风险类型对应的权重系数用第二权重系数表示,文件信息这种风险类型对应的权重系数用第三权重系数表示,访问流量信息这种风险类型对应的权重系数用第四权重系数表示,则终端11的安全评分值可以为:第一子评分值*第一权重系数+第二子评分值*第二权重系数+第三子评分值*第三权重系数+第四子评分值*第四权重系数。其中,每个权重系数可以根据需求灵活设置,本技术对此不作具体限定。
[0089]
目标其他终端13确定了终端11的安全评分值之后,可以将确定的安全评分值发送给终端11。终端11接收到目标其他终端13发送的安全评分值后,可以向认证服务器12发送携带安全评分值的认证请求(为方便描述,称为第二认证请求)。
[0090]
认证服务器12接收到第二认证请求后,可以根据第二认证请求中携带的安全评分值及预设的分值阈值,对终端11的环境信息进行安全认证。示例性的,如果目标其他终端13的数量为多个,终端11可以将多个目标其他终端13对终端11的安全评分值均发送给认证服务器12,认证服务器12可以先确定多个目标其他终端13对终端11的安全评分值中的最小值或最大值或平均值或和值等,然后判断该最小值或最大值或平均值或和值等是否大于对应的预设的分值阈值,如果大于,则可以认为终端11的环境信息是安全的,安全认证结果可以为安全;而如果最小值或最大值或平均值或和值等不大于对应的预设的分值阈值,则可以认为终端11的环境信息是不安全的,安全认证结果可以为不安全。
[0091]
在一种可能的实施方式中,如果认证服务器12对终端11的环境信息的安全认证结果为安全,则认证服务器12可以进而根据第二认证请求中携带的用户的身份信息(如用户在访问应用时输入的用户名和密码等信息)和终端11的标识信息,从保存的安全身份信息中,查找与该标识信息的终端11对应的安全身份信息(为方便描述,称为目标安全身份信息),然后通过判断第二认证请求中携带的用户的身份信息与该目标安全身份信息是否一致,从而对终端11的身份信息进行安全认证。示例性的,可以是当第二认证请求中携带的用户的身份信息与目标安全身份信息一致时,认为身份信息是安全的,对身份信息的安全认证结果为安全,可以允许用户访问前述访问请求对应的应用。当第二认证请求中携带的用户的身份信息与目标安全身份信息不一致时,认为身份信息不安全,对身份信息的安全认证结果为不安全,可以不允许用户访问前述访问请求对应的应用。
[0092]
示例性的,第二认证请求中携带的用户的身份信息可以是用户在访问应用时输入的用户名和密码等信息,当第二认证请求中携带的用户名和密码等信息与目标安全身份信息中的用户名和密码等信息完全一致时,认为身份信息是安全的,可以允许用户访问前述访问请求对应的应用。当第二认证请求中携带的用户名和密码等中的任一信息与目标安全身份信息中的用户名和密码等中的任一信息不一致时,认为身份信息不安全,可以不允许用户访问前述访问请求对应的应用。
[0093]
为方便理解,下面通过一个具体实施例对本技术提供的安全认证过程进行说明。
图2示出了一些实施例提供的第一种安全认证过程示意图,如图2所示,该过程包括以下步骤:
[0094]
s201:终端11在接收到对安装在终端11自身中的任一应用的访问请求时,向与终端11自身位于同一p2p网络中的目标其他终端13发送第一认证请求,其中,第一认证请求中携带终端11自身的标识信息。
[0095]
s202:目标其他终端13根据第一认证请求中携带的标识信息,在保存的环境信息中查找该标识信息的终端11对应的目标环境信息;根据目标环境信息中是否包含设定的风险环境信息,确定终端11的安全评分值;并将该安全评分值发送给该标识信息对应的终端11。
[0096]
s203:终端11向认证服务器12发送携带安全评分值的第二认证请求。
[0097]
s204:认证服务器12根据安全评分值及预设的分值阈值,对终端11的环境信息进行安全认证;若对终端11的环境信息的安全认证结果为安全,则进行s205。
[0098]
s205:认证服务器12根据第二认证请求中携带的用户的身份信息和终端11的标识信息,以及保存的安全身份信息,查找该标识信息的终端11对应的目标安全身份信息;根据第二认证请求中携带的身份信息与目标安全身份信息是否一致,对终端11的身份信息进行安全认证。
[0099]
在一种可能的实施方式中,为了及时准确地对终端进行安全认证,当终端11接收到目标其他终端13发送的安全评分值后,可以先判断接收到的每个安全评分值是否高于设定的最低评分阈值,如果接收到的每个安全评分值均高于设定的最低评分阈值,则可以进行向认证服务器12发送携带安全评分值的第二认证请求的步骤。而如果有任一安全评分值不高于设定的最低评分阈值,可以不进行后续向认证服务器12发送携带安全评分值的第二认证请求的步骤,可以直接认为该终端11的环境信息是不安全的,可以输出预设的提示信息等,提示管理人员或者用户等对该终端11进行排查。
[0100]
为方便理解,下面通过一个具体实施例对本技术提供的安全认证过程进行说明。图3示出了一些实施例提供的第二种安全认证过程示意图,如图3所示,该过程包括以下步骤:
[0101]
s301:终端11在接收到对安装在终端11自身中的任一应用的访问请求时,向与终端11自身位于同一p2p网络中的目标其他终端13发送第一认证请求,其中,第一认证请求中携带终端11自身的标识信息。
[0102]
s302:目标其他终端13根据第一认证请求中携带的标识信息,在保存的环境信息中查找该标识信息的终端11对应的目标环境信息;根据目标环境信息中是否包含设定的风险环境信息,确定终端11的安全评分值;并将该安全评分值发送给该标识信息对应的终端11。
[0103]
s303:终端11判断接收到的安全评分值是否高于设定的最低评分阈值,若否,则进行s304;若是,则进行s305。
[0104]
s304:输出预设的环境信息不安全的提示信息。
[0105]
s305:终端11向认证服务器12发送携带安全评分值的第二认证请求。
[0106]
s306:认证服务器12根据安全评分值及预设的分值阈值,对终端11的环境信息进行安全认证;若对终端11的环境信息的安全认证结果为安全,则进行s307。
[0107]
s307:认证服务器12根据第二认证请求中携带的用户的身份信息和终端11的标识信息,以及保存的安全身份信息,查找该标识信息的终端11对应的目标安全身份信息;根据第二认证请求中携带的身份信息与目标安全身份信息是否一致,对终端11的身份信息进行安全认证。
[0108]
相关技术中当某一个终端(环境感知终端)的环境信息存在风险(不安全)时,可能会通过内网扫描等方式快速的将该风险扩散(横向漂移)到网络内的其他终端,进而威胁整个网络的安全。而本技术当p2p网络中的一个终端存在风险时,其他终端可以快速地感知到这种风险,可以通过将存在风险的终端的安全评分值设置为最低评分值(最低评分阈值)等,从而避免该风险的横向漂移,在一定程度上保证了整个网络的安全。
[0109]
为方便理解,下面再通过一个具体实施例对本技术提供的安全认证过程进行说明。图4示出了一些实施例提供的第三种安全认证过程示意图,如图4所示,该过程包括:
[0110]
终端11(环境感知终端)接收到对安装在终端11自身中的任一应用的访问请求,终端11向与终端11自身位于同一p2p网络中的目标其他终端(如目标其他终端131和目标其他终端132)发送第一认证请求,请求目标其他终端(目标其他终端131和目标其他终端132)对终端11自身的环境信息是否安全进行认证。其中,第一认证请求中携带终端11自身的标识信息。
[0111]
目标其他终端(目标其他终端131和目标其他终端132)根据第一认证请求中携带的标识信息,在保存的环境信息中查找该标识信息的终端11对应的目标环境信息;根据目标环境信息中是否包含设定的风险环境信息,确定终端11的安全评分值(签名信息);并将该安全评分值发送给终端11。
[0112]
终端11向认证服务器12发送携带用户的身份信息、终端11的标识信息以及安全评分值的第二认证请求。
[0113]
认证服务器12根据安全评分值及预设的分值阈值,对终端11的环境信息进行安全认证;若对终端11的环境信息的安全认证结果为安全,认证服务器12则根据第二认证请求中携带的用户的身份信息和终端11的标识信息,从保存的安全身份信息中,查找该标识信息的终端11对应的目标安全身份信息;根据第二认证请求中携带的身份信息与目标安全身份信息是否一致,对终端11(环境感知终端)的身份信息进行安全认证。
[0114]
由于本技术可以基于与终端位于同一p2p网络中的任意其他终端(目标其他终端)中保存的该终端的环境信息,确定对该终端的安全评分值,并进而可以基于该安全评分值对终端的环境信息进行安全认证,相比相关技术中终端需要跨网络将终端的环境信息发送给环境感知服务器,基于一个环境感知服务器对终端的环境信息进行安全认证而言,一方面,由于本技术可以基于任意其他终端确定对该终端的安全评分值,相比相关技术中只基于一个环境感知服务器对终端的环境信息进行安全认证,降低了单点故障风险;另一方面,由于基于p2p网络通信的稳定性和实时性均优于跨网络通信,因此,本技术可以提高对终端进行安全认证的及时性和准确性。
[0115]
另外,由于相关技术中终端(环境感知终端)需要跨网络将终端的环境信息发送给环境感知服务器,随着终端(环境感知终端)数量的不断增多,终端的环境信息的数量也不断增多,如果想要保证每个终端的环境信息均可以及时的发送给环境感知服务器,就存在需要不断的对网络带宽等资源进行横向扩容的问题。而本技术中由于终端的环境信息是通
过p2p网络发送给位于同一p2p网络中的其他终端,通常情况下,p2p网络都是在内网组建的,即使加入同一个p2p网络中的终端(环境感知终端)的数量不断增多,通常也无需对网络带宽等资源进行横向扩容。
[0116]
另外,相关技术中终端(环境感知终端)跨网络给环境感知服务器发送的终端的环境信息中通常不能包含终端的访问流量信息,而本技术中与终端位于同一p2p网络中的其他终端保存的该终端的环境信息中通常可以包含终端的访问流量信息,本技术其他终端可以基于该访问流量信息更准确的确定终端的环境信息的安全评分值,从而可以进一步提高对终端的环境信息进行安全认证的准确性。
[0117]
另外,相关技术中需要终端、环境感知服务器、认证服务器等多个设备之间跨网络实时联动对终端的环境信息进行安全认证,安全认证流程复杂,对各个设备及网络的稳定性和实时性的要求非常高。而本技术中只需要基于位于p2p网络中的终端以及认证服务器即可完成对终端的环境信息的安全认证环节,对环境信息的安全认证环节无需再与环境感知服务器进行联动,认证流程简单,保证了认证流程的稳定性和实时性。
[0118]
在一种可能的实施方式中,本技术实施例提供的系统中还可以包括环境感知服务器。当终端11需要加入某个p2p网络中时,可以向环境感知服务器发送加入p2p网络的加入请求(为方便描述,称为第一加入请求)。示例性的,第一加入请求中可以携带终端11的认证信息。其中,终端11的认证信息可以包括终端11的操作系统版本、网络地址等信息。
[0119]
环境感知服务器可以接收终端11发送的第一加入请求,并判断第一加入请求中携带的认证信息是否为设定的合规认证信息。示例性的,当终端11的操作系统版本为设定的合规版本、终端11的网络地址为设定的合规地址等时,可以认为(确定)第一加入请求中携带的认证信息为设定的合规认证信息。而当终端11的操作系统版本不是设定的合规版本、或者终端11的网络地址不是设定的合规地址等时,可以认为(确定)第一加入请求中携带的认证信息不是设定的合规认证信息。
[0120]
在一种可能的实施方式中,当确定第一加入请求中携带的认证信息为设定的合规认证信息时,可以根据认证信息中的网络地址(为方便描述,称为目标网络地址),在保存的p2p网络对应的网络地址中,查找该目标网络地址所属的p2p网络(为方便描述,称为目标p2p网络),然后将目标p2p网络的网络标识信息、已加入该目标p2p网络中的已有终端标识信息以及加入验证信息发送给该终端11。同时,还可以将该加入验证信息发送给已加入目标p2p网络中的已有终端。其中,网络标识信息、终端标识信息以及加入验证信息均可以根据需求灵活设置,本技术对此不作具体限定。示例性的,加入验证信息中可以携带加密后的随机字符串等。
[0121]
终端11在接收到环境感知服务器发送的网络标识信息、已加入目标p2p网络中的已有终端标识信息及加入验证信息后,可以向该网络标识信息对应的目标p2p网络中的部分或全部已有终端标识信息(为方便描述,称为目标已有终端标识信息)对应的已有终端(为方便描述,称为目标已有终端)发送加入请求(为方便描述,称为第二加入请求)。可选的,第二加入请求中可以携带从环境感知服务器处接收到的加入验证信息。
[0122]
目标已有终端可以接收终端11发送的第二加入请求,并可以在接收到第二加入请求后,对是否允许该终端11加入目标p2p网络进行验证。具体的,在对是否允许该终端11加入目标p2p网络进行验证时,可以是判断第二加入请求中携带的加入验证信息与目标已有
终端从环境感知服务器处接收到的加入验证信息是否一致,如果一致,则对是否允许该终端11加入目标p2p网络的验证结果为:允许该终端11加入目标p2p网络;如果不一致,则对是否允许该终端11加入目标p2p网络的验证结果为:不允许该终端11加入目标p2p网络。
[0123]
在一种可能的实施方式中,如果验证结果为允许终端11加入目标p2p网络,则目标已有终端可以向终端11发送允许加入信息。终端11可以在接收到任一目标已有终端发送的允许加入信息时,加入目标p2p网络。
[0124]
为方便理解,下面通过一个具体实施例对本技术提供的安全认证过程进行说明。图5示出了一些实施例提供的第四种安全认证过程示意图,如图5所示,该过程包括以下步骤:
[0125]
s501:终端11向环境感知服务器发送加入p2p网络的第一加入请求;其中,第一加入请求中携带终端11的认证信息。
[0126]
s502:环境感知服务器接收终端11发送的第一加入请求,判断认证信息是否为设定的合规认证信息,若是,根据认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找目标网络地址所属的目标p2p网络,将目标p2p网络的网络标识信息、已加入目标p2p网络中的已有终端标识信息以及加入验证信息发送给终端11;并将加入验证信息发送给已加入所述目标p2p网络中的已有终端。
[0127]
s503:终端11接收环境感知服务器发送的目标p2p网络的网络标识信息、已加入目标p2p网络中的已有终端标识信息以及加入验证信息,向网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求。
[0128]
s504:目标已有终端根据第二加入请求中携带的加入验证信息与从环境感知服务器处接收到的加入验证信息是否一致,对是否允许终端11加入目标p2p网络进行验证,若验证结果为允许终端11加入目标p2p网络,则向终端11发送允许加入信息。
[0129]
s505:终端11若接收到任一目标已有终端发送的允许加入信息,则加入目标p2p网络。
[0130]
s506:终端11将自身环境信息发送给与终端11位于同一p2p网络中的多个其他终端13。
[0131]
s507:终端11在接收到对安装在终端11自身中的任一应用的访问请求时,向与终端11自身位于同一p2p网络中的目标其他终端13发送第一认证请求,其中,第一认证请求中携带终端11自身的标识信息。
[0132]
s508:目标其他终端13根据第一认证请求中携带的标识信息,在保存的环境信息中查找该标识信息的终端11对应的目标环境信息;根据目标环境信息中是否包含设定的风险环境信息,确定终端11的安全评分值;并将该安全评分值发送给该标识信息对应的终端11。
[0133]
s509:终端11判断接收到的安全评分值是否高于设定的最低评分阈值,若否,则进行s510;若是,则进行s511。
[0134]
s510:输出预设的环境信息不安全的提示信息。
[0135]
s511:终端11向认证服务器12发送携带安全评分值的第二认证请求。
[0136]
s512:认证服务器12根据安全评分值及预设的分值阈值,对终端11的环境信息进行安全认证;若对终端11的环境信息的安全认证结果为安全,则进行s513。
[0137]
s513:认证服务器12根据第二认证请求中携带的用户的身份信息和终端11的标识信息,以及保存的安全身份信息,查找该标识信息的终端11对应的目标安全身份信息;根据第二认证请求中携带的身份信息与目标安全身份信息是否一致,对终端11的身份信息进行安全认证。
[0138]
为方便理解,下面再通过一个具体实施例对本技术提供的安全认证过程进行说明。图6示出了一些实施例提供的第五种安全认证过程示意图,如图6所示,该过程包括:
[0139]
终端11(环境感知终端)向环境感知服务器发送加入p2p网络的第一加入请求(上线请求);其中,第一加入请求中携带终端11的认证信息。
[0140]
环境感知服务器接收终端11发送的第一加入请求,判断认证信息是否为设定的合规认证信息,若是,根据认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找目标网络地址所属的目标p2p网络,将目标p2p网络的网络标识信息、已加入目标p2p网络中的已有终端标识信息以及加入验证信息发送给终端11;并将加入验证信息发送给已加入目标p2p网络中的已有终端(如目标其他终端131和目标其他终端132)。
[0141]
终端11接收环境感知服务器发送的目标p2p网络的网络标识信息、已加入目标p2p网络中的已有终端(如目标其他终端131和目标其他终端132)标识信息以及加入验证信息,向网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端(如目标其他终端131和目标其他终端132)发送第二加入请求。
[0142]
目标已有终端(如目标其他终端131和目标其他终端132)根据第二加入请求中携带的加入验证信息与从环境感知服务器处接收到的加入验证信息是否一致,对是否允许终端11加入目标p2p网络进行验证,若验证结果为允许终端11加入目标p2p网络,则向终端11发送允许加入信息。终端11(环境感知终端)若接收到任一目标已有终端发送的允许加入信息,则加入目标p2p网络。终端11(环境感知终端)将自身环境信息发送给与终端11位于同一p2p网络中的多个其他终端(如目标其他终端131和目标其他终端132)。位于同一p2p网络中的每个终端均将自身的环境信息发送给其他每个终端。
[0143]
本技术实施例终端只在请求加入p2p网络时,与环境感知服务器进行一次交互,后续对环境信息进行安全认证时,则可以无需再与环境感知服务器进行交互。
[0144]
实施例2:
[0145]
基于相同的技术构思,本技术提供了一种安全认证方法,所述方法应用于终端(为方便描述,称为第一终端),图7示出了一些实施例提供的第六种安全认证过程示意图,如图7所示,该过程包括:
[0146]
s701:在接收到对安装在终端自身中的任一应用的访问请求时,向与所述终端位于同一对等网络p2p网络中的多个其他终端中的目标其他终端发送第一认证请求,其中,所述第一认证请求中携带所述终端的标识信息。
[0147]
s702:接收所述目标其他终端发送的安全评分值;其中,所述安全评分值为所述目标其他终端根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值。
[0148]
s703:向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0149]
在一种可能的实施方式中,所述接收所述目标其他终端发送的安全评分值之后,所述向认证服务器发送携带所述安全评分值的第二认证请求之前,所述方法还包括:
[0150]
判断接收到的安全评分值是否高于设定的最低评分阈值,若是,则进行后续所述向认证服务器发送携带所述安全评分值的第二认证请求的步骤。
[0151]
在一种可能的实施方式中,所述向与所述终端位于同一对等网络p2p网络中的多个其他终端中的目标其他终端发送第一认证请求之前,所述方法还包括:
[0152]
向环境感知服务器发送加入p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息;
[0153]
接收环境感知服务器发送的目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息;其中,所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息是所述环境感知服务器在判断所述认证信息为设定的合规认证信息,且根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找到所述目标网络地址所属的目标p2p网络时发送的;
[0154]
向所述网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求;使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0155]
在一种可能的实施方式中,所述方法还包括:
[0156]
若接收到任一目标已有终端发送的允许加入信息,则加入所述目标p2p网络。
[0157]
在一种可能的实施方式中,所述方法还包括:
[0158]
将终端自身环境信息发送给与所述终端位于同一对等网络p2p网络中的每个其他终端。
[0159]
实施例3:
[0160]
基于相同的技术构思,本技术提供了一种安全认证方法,所述方法应用于终端(为方便描述,称为第二终端),图8示出了一些实施例提供的第七种安全认证过程示意图,如图8所示,该过程包括:
[0161]
s801:接收第一认证请求,其中所述第一认证请求为与所述第二终端位于同一对等网络p2p网络中的第一终端在接收到对安装在第一终端自身中的任一应用的访问请求时发送的,所述第一认证请求中携带所述第一终端的标识信息。
[0162]
s802:根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定所述第一终端的安全评分值;并将所述安全评分值发送给所述第一终端;使所述第一终端向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述第一终端的环境信息进行安全认证。
[0163]
在一种可能的实施方式中,所述方法还包括:
[0164]
接收第二加入请求,其中所述第二加入请求为所述第一终端在接收到环境感知服务器发送的目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息时发送的;其中,所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息是所述环境感知服务器在接收到所述第一
终端发送的加入p2p网络的第一加入请求时,判断所述第一加入请求中携带的终端的认证信息为设定的合规认证信息,且根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找到所述目标网络地址所属的目标p2p网络时发送的;
[0165]
根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0166]
在一种可能的实施方式中,所述方法还包括:
[0167]
若验证结果为允许所述第一终端加入所述目标p2p网络,则向所述第一终端发送允许加入信息。
[0168]
在一种可能的实施方式中,所述根据所述目标环境信息中是否包含设定的风险环境信息,确定所述第一终端的安全评分值包括:
[0169]
针对风险环境信息中包含的每种风险类型的信息,判断所述目标环境信息中是否存在该种风险类型的目标风险环境子信息;若否,则将设定的最高子评分值,确定为该种风险类型的目标风险环境子信息对应的子评分值;若所述目标环境信息中存在该种风险类型的目标风险环境子信息,则将设定的最低子评分值,确定为该种风险类型的目标风险环境子信息对应的子评分值;或者,若所述目标环境信息中存在该种风险类型的目标风险环境子信息,则基于保存的该种风险类型的风险环境子信息与扣分值的对应关系,确定该种风险类型的目标风险环境子信息对应的目标扣分值,基于设定的最高子评分值及所述目标扣分值,确定该种风险类型的目标风险环境子信息对应的子评分值;
[0170]
根据所述每种风险类型的目标风险环境子信息对应的子评分值及对应的预设权重系数,确定所述终端的安全评分值。
[0171]
实施例4:
[0172]
基于相同的技术构思,本技术提供了一种安全认证方法,所述方法应用于服务器(为方便描述,称为认证服务器),图9示出了一些实施例提供的第八种安全认证过程示意图,如图9所示,该过程包括:
[0173]
s901:接收终端发送的携带安全评分值的第二认证请求;其中,所述第二认证请求为所述终端在接收到与所述终端位于同一对等网络p2p中的多个其他终端的目标其他终端发送的安全评分值时发送的;所述安全评分值为所述终端在接收到对安装在自身中的任一应用的访问请求时,向所述目标其他终端发送第一认证请求,所述目标其他终端根据所述第一认证请求中携带的终端的标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值。
[0174]
s902:根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0175]
在一种可能的实施方式中,所述方法还包括:
[0176]
若对所述终端的环境信息的安全认证结果为安全,根据所述第二认证请求中携带的用户的身份信息和终端的标识信息,以及保存的安全身份信息,查找所述标识信息的终端对应的目标安全身份信息;根据所述身份信息与所述目标安全身份信息是否一致,对所述终端的身份信息进行安全认证。
[0177]
实施例5:
[0178]
基于相同的技术构思,本技术提供了一种安全认证方法,所述方法应用于服务器(为方便描述,称为环境感知服务器),图10示出了一些实施例提供的第九种安全认证过程示意图,如图10所示,该过程包括:
[0179]
s1001:接收终端发送的加入对等网络p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息。
[0180]
s1002:判断所述认证信息是否为设定的合规认证信息,若是,根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找所述目标网络地址所属的目标p2p网络,将所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息发送给所述终端;并将所述加入验证信息发送给已加入所述目标p2p网络中的已有终端;使所述终端接收所述网络标识信息、所述已有终端标识信息及加入验证信息,使所述终端向所述网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求;使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0181]
实施例6:
[0182]
基于相同的技术构思,本技术提供了一种安全认证装置,所述装置应用于第一终端,图11示出了一些实施例提供的第一种安全认证装置示意图,如图11所示,该装置包括:
[0183]
第一发送模块111,用于在接收到对安装在终端中的任一应用的访问请求时,向与所述终端位于同一对等网络p2p网络中的多个其他终端中的目标其他终端发送第一认证请求,其中,所述第一认证请求中携带所述终端的标识信息;
[0184]
第一接收模块112,用于接收所述目标其他终端发送的安全评分值;其中,所述安全评分值为所述目标其他终端根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;
[0185]
第二发送模块113,用于向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0186]
在一种可能的实施方式中,所述第二发送模块113,还用于判断接收到的安全评分值是否高于设定的最低评分阈值,若是,则进行后续所述向认证服务器发送携带所述安全评分值的第二认证请求的步骤。
[0187]
在一种可能的实施方式中,所述第一发送模块111,还用于向环境感知服务器发送加入p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息;
[0188]
第一接收模块112,还用于接收环境感知服务器发送的目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息;其中,所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息是所述环境感知服务器在判断所述认证信息为设定的合规认证信息,且根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找到所述目标网络地址所属的目标p2p网络时发送的;
[0189]
所述第一发送模块111,还用于向所述网络标识信息对应的目标p2p网络中的目标
已有终端标识信息对应的目标已有终端发送第二加入请求;使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0190]
在一种可能的实施方式中,所述第一接收模块112,还用于若接收到任一目标已有终端发送的允许加入信息,则加入所述目标p2p网络。
[0191]
在一种可能的实施方式中,所述第一发送模块111,还用于将终端自身环境信息发送给与所述终端位于同一对等网络p2p网络中的每个其他终端。
[0192]
实施例7:
[0193]
基于相同的技术构思,本技术提供了一种安全认证装置,所述装置应用于第二终端,图12示出了一些实施例提供的第二种安全认证装置示意图,如图12所示,该装置包括:
[0194]
第二接收模块121,用于接收第一认证请求,其中所述第一认证请求为与所述第二终端位于同一对等网络p2p网络中的第一终端在接收到对安装在第一终端自身中的任一应用的访问请求时发送的,所述第一认证请求中携带所述第一终端的标识信息;
[0195]
第一确定模块122,用于根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定所述第一终端的安全评分值;并将所述安全评分值发送给所述第一终端;使所述第一终端向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述第一终端的环境信息进行安全认证。
[0196]
在一种可能的实施方式中,所述第二接收模块121,还用于接收第二加入请求,其中所述第二加入请求为所述第一终端在接收到环境感知服务器发送的目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息时发送的;其中,所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息是所述环境感知服务器在接收到所述第一终端发送的加入p2p网络的第一加入请求时,判断所述第一加入请求中携带的终端的认证信息为设定的合规认证信息,且根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找到所述目标网络地址所属的目标p2p网络时发送的;
[0197]
根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0198]
在一种可能的实施方式中,所述第一确定模块122,还用于若验证结果为允许所述第一终端加入所述目标p2p网络,则向所述第一终端发送允许加入信息。
[0199]
在一种可能的实施方式中,所述第一确定模块122,具体用于针对风险环境信息中包含的每种风险类型的信息,判断所述目标环境信息中是否存在该种风险类型的目标风险环境子信息;若否,则将设定的最高子评分值,确定为该种风险类型的目标风险环境子信息对应的子评分值;若所述目标环境信息中存在该种风险类型的目标风险环境子信息,则将设定的最低子评分值,确定为该种风险类型的目标风险环境子信息对应的子评分值;或者,若所述目标环境信息中存在该种风险类型的目标风险环境子信息,则基于保存的该种风险类型的风险环境子信息与扣分值的对应关系,确定该种风险类型的目标风险环境子信息对应的目标扣分值,基于设定的最高子评分值及所述目标扣分值,确定该种风险类型的目标风险环境子信息对应的子评分值;
[0200]
根据所述每种风险类型的目标风险环境子信息对应的子评分值及对应的预设权重系数,确定所述终端的安全评分值。
[0201]
实施例8:
[0202]
基于相同的技术构思,本技术提供了一种安全认证装置,所述装置应用于认证服务器,图13示出了一些实施例提供的第三种安全认证装置示意图,如图13所示,该装置包括:
[0203]
第三接收模块1301,用于接收终端发送的携带安全评分值的第二认证请求;其中,所述第二认证请求为所述终端在接收到与所述终端位于同一对等网络p2p中的多个其他终端的目标其他终端发送的安全评分值时发送的;所述安全评分值为所述终端在接收到对安装在自身中的任一应用的访问请求时,向所述目标其他终端发送第一认证请求,所述目标其他终端根据所述第一认证请求中携带的终端的标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;
[0204]
认证模块1302,用于根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。
[0205]
在一种可能的实施方式中,所述认证模块1302,还用于若对所述终端的环境信息的安全认证结果为安全,根据所述第二认证请求中携带的用户的身份信息和终端的标识信息,以及保存的安全身份信息,查找所述标识信息的终端对应的目标安全身份信息;根据所述身份信息与所述目标安全身份信息是否一致,对所述终端的身份信息进行安全认证。
[0206]
实施例9:
[0207]
基于相同的技术构思,本技术提供了一种安全认证装置,所述装置应用于环境感知服务器,图14示出了一些实施例提供的第四种安全认证装置示意图,如图14所示,该装置包括:
[0208]
第四接收模块141,用于接收终端发送的加入对等网络p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息;
[0209]
加入验证模块142,用于判断所述认证信息是否为设定的合规认证信息,若是,根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找所述目标网络地址所属的目标p2p网络,将所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息发送给所述终端;并将所述加入验证信息发送给已加入所述目标p2p网络中的已有终端;使所述终端接收所述网络标识信息、所述已有终端标识信息及加入验证信息,使所述终端向所述网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求;使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。
[0210]
实施例10:
[0211]
基于相同的技术构思,本技术还提供了一种电子设备,图15示出了一些实施例提供的一种电子设备结构示意图,如图15所示,包括:处理器151、通信接口152、存储器153和通信总线154,其中,处理器151,通信接口152,存储器153通过通信总线154完成相互间的通信;
[0212]
所述存储器153中存储有计算机程序,当所述程序被所述处理器151执行时,使得所述处理器151执行如上述任一所述安全认证方法的步骤。
[0213]
上述电子设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect,pci)总线或扩展工业标准结构(extended industry standard architecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
[0214]
通信接口152用于上述电子设备与其他设备之间的通信。
[0215]
存储器可以包括随机存取存储器(random access memory,ram),也可以包括非易失性存储器(non-volatile memory,nvm),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
[0216]
上述处理器可以是通用处理器,包括中央处理器、网络处理器(network processor,np)等;还可以是数字指令处理器(digital signal processing,dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
[0217]
实施例11:
[0218]
基于相同的技术构思,本技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如上述任一所述安全认证方法的步骤。
[0219]
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(mo)等、光学存储器如cd、dvd、bd、hvd等、以及半导体存储器如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd)等。
[0220]
基于相同的技术构思,本技术提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行如上述任一所述安全认证方法的步骤。
[0221]
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本技术实施例所述的流程或功能。
[0222]
本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0223]
本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流
程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0224]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0225]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0226]
显然,本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样,倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内,则本技术也意图包含这些改动和变型在内。

技术特征:
1.一种安全认证系统,其特征在于,所述系统包括:终端、认证服务器及与所述终端位于同一对等网络p2p网络中的多个其他终端;所述终端,用于在接收到对安装在自身中的任一应用的访问请求时,向所述p2p网络中的目标其他终端发送第一认证请求,其中,所述第一认证请求中携带所述终端的标识信息;所述目标其他终端,用于根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定所述终端的安全评分值;并将所述安全评分值发送给所述终端;所述终端,还用于向所述认证服务器发送携带所述安全评分值的第二认证请求;所述认证服务器,用于根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。2.根据权利要求1所述的系统,其特征在于,所述终端,还用于判断接收到的安全评分值是否高于设定的最低评分阈值,若是,则进行所述向所述认证服务器发送携带所述安全评分值的第二认证请求的步骤。3.根据权利要求1所述的系统,其特征在于,所述认证服务器,还用于若对所述终端的环境信息的安全认证结果为安全,根据所述第二认证请求中携带的用户的身份信息和终端的标识信息,以及保存的安全身份信息,查找所述标识信息的终端对应的目标安全身份信息;根据所述身份信息与所述目标安全身份信息是否一致,对所述终端的身份信息进行安全认证。4.根据权利要求1所述的系统,其特征在于,所述目标其他终端为所述多个其他终端中的全部终端或部分终端。5.根据权利要求1所述的系统,其特征在于,所述系统还包括:环境感知服务器;所述终端,还用于向所述环境感知服务器发送加入p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息;所述环境感知服务器,用于接收所述终端发送的所述第一加入请求,判断所述认证信息是否为设定的合规认证信息,若是,根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找所述目标网络地址所属的目标p2p网络,将所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息发送给所述终端;并将所述加入验证信息发送给已加入所述目标p2p网络中的已有终端;所述终端,还用于接收所述网络标识信息、所述已有终端标识信息及加入验证信息,向所述网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求;所述目标已有终端,用于根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。6.根据权利要求5所述的系统,其特征在于,所述目标已有终端,还用于若验证结果为允许所述终端加入所述目标p2p网络,则向所述终端发送允许加入信息;所述终端,还用于若接收到任一目标已有终端发送的允许加入信息,则加入所述目标p2p网络。7.根据权利要求1-6任一所述的系统,其特征在于,所述终端,还用于将自身环境信息
发送给所述多个其他终端。8.根据权利要求1所述的系统,其特征在于,所述目标其他终端,具体用于针对风险环境信息中包含的每种风险类型的信息,判断所述目标环境信息中是否存在该种风险类型的目标风险环境子信息;若否,则将设定的最高子评分值,确定为该种风险类型的目标风险环境子信息对应的子评分值;若所述目标环境信息中存在该种风险类型的目标风险环境子信息,则将设定的最低子评分值,确定为该种风险类型的目标风险环境子信息对应的子评分值;或者,若所述目标环境信息中存在该种风险类型的目标风险环境子信息,则基于保存的该种风险类型的风险环境子信息与扣分值的对应关系,确定该种风险类型的目标风险环境子信息对应的目标扣分值,基于设定的最高子评分值及所述目标扣分值,确定该种风险类型的目标风险环境子信息对应的子评分值;根据所述每种风险类型的目标风险环境子信息对应的子评分值及对应的预设权重系数,确定所述终端的安全评分值。9.一种安全认证方法,其特征在于,所述方法应用于第一终端,所述方法包括:在接收到对安装在终端自身中的任一应用的访问请求时,向与所述终端位于同一对等网络p2p网络中的多个其他终端中的目标其他终端发送第一认证请求,其中,所述第一认证请求中携带所述终端的标识信息;接收所述目标其他终端发送的安全评分值;其中,所述安全评分值为所述目标其他终端根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。10.一种安全认证方法,其特征在于,所述方法应用于第二终端,所述方法包括:接收第一认证请求,其中所述第一认证请求为与所述第二终端位于同一对等网络p2p网络中的第一终端在接收到对安装在第一终端自身中的任一应用的访问请求时发送的,所述第一认证请求中携带所述第一终端的标识信息;根据所述标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定所述第一终端的安全评分值;并将所述安全评分值发送给所述第一终端;使所述第一终端向认证服务器发送携带所述安全评分值的第二认证请求;使所述认证服务器根据所述安全评分值及预设的分值阈值,对所述第一终端的环境信息进行安全认证。11.一种安全认证方法,其特征在于,所述方法应用于认证服务器,所述方法包括:接收终端发送的携带安全评分值的第二认证请求;其中,所述第二认证请求为所述终端在接收到与所述终端位于同一对等网络p2p中的多个其他终端的目标其他终端发送的安全评分值时发送的;所述安全评分值为所述终端在接收到对安装在自身中的任一应用的访问请求时,向所述目标其他终端发送第一认证请求,所述目标其他终端根据所述第一认证请求中携带的终端的标识信息,在保存的环境信息中查找所述标识信息的终端对应的目标环境信息;根据所述目标环境信息中是否包含设定的风险环境信息,确定的所述终端的安全评分值;
根据所述安全评分值及预设的分值阈值,对所述终端的环境信息进行安全认证。12.一种安全认证方法,其特征在于,所述方法应用于环境感知服务器,所述方法包括:接收终端发送的加入对等网络p2p网络的第一加入请求;其中,所述第一加入请求中携带所述终端的认证信息;判断所述认证信息是否为设定的合规认证信息,若是,根据所述认证信息中的目标网络地址,在保存的p2p网络对应的网络地址中查找所述目标网络地址所属的目标p2p网络,将所述目标p2p网络的网络标识信息、已加入所述目标p2p网络中的已有终端标识信息以及加入验证信息发送给所述终端;并将所述加入验证信息发送给已加入所述目标p2p网络中的已有终端;使所述终端接收所述网络标识信息、所述已有终端标识信息及加入验证信息,使所述终端向所述网络标识信息对应的目标p2p网络中的目标已有终端标识信息对应的目标已有终端发送第二加入请求;使所述目标已有终端根据所述第二加入请求中携带的加入验证信息与从所述环境感知服务器处接收到的加入验证信息是否一致,对是否允许所述终端加入所述目标p2p网络进行验证。

技术总结
本申请公开了一种安全认证系统、方法、装置、设备及介质,用以提高对终端进行安全认证的及时性和准确性。由于本申请可以基于与终端位于同一P2P网络中的任意其他终端(目标其他终端)中保存的该终端的环境信息,确定对该终端的安全评分值,并进而基于该安全评分值对终端的环境信息进行安全认证,相比相关技术中终端需要跨网络将终端的环境信息发送给环境感知服务器,基于一个环境感知服务器对终端的环境信息进行安全认证而言,一方面,由于本申请可以基于任意其他终端,确定对该终端的安全评分值,可以降低单点故障风险;另一方面,由于基于P2P网络通信的稳定性和实时性均优于跨网络通信,因此,本申请可以提高对终端进行安全认证的及时性和准确性。证的及时性和准确性。证的及时性和准确性。


技术研发人员:杨旭 吕文俊 杜强 薛霁 李梁
受保护的技术使用者:北京神州绿盟科技有限公司 神州绿盟成都科技有限公司
技术研发日:2022.03.25
技术公布日:2022/7/4
转载请注明原文地址: https://www.8miu.com/read-17146.html

专利

最新回复(0)