[发明专利]一种设备接入识别认证系统和方法

说明书

技术领域

本发明涉及设备接入识别认证系统和方法。

背景技术

网络安全是网络信息传输过程中的重要保障，在受限制的局域网中，对接入局域网的设备进行认证是实现局域网网络安全的重要措施。现有的认证方式主要包括：口令认证、生物学认证、硬件指纹认证等。口令认证是在认证服务器上为可以登录局域网的用户建立用户名和密码，当用户所输入的用户名和密码与认证服务器的用户名和密码一致时，允许用户登录并使用局域网。生物学认证主要是认证服务器存储有可以登录局域网的用户的指纹、声音、虹膜等具有唯一性的生物学特征，当用户在登录时提供的生物学特征与认证服务器存储的生物学特征在经过某些特定比对方式后，认为比对结果一致时，允许用户登录并使用局域网。硬件指纹认证是指认证服务器存储有可以登录局域网的计算设备(例如服务器设备、PC设备、移动终端设备等)所拥有的唯一标识信息(硬即件指纹)，例如硬盘物理序列号、CPU序列号、MAC地址、BIOS序列号、主板序列号、IMEI等，当用户使用的计算设备中的硬件指纹与认证服务器存储的硬件指纹在经过某些特定比对方式后，认为比对结果一致时，允许用户登录并使用局域网。上述认证方法存在的主要问题如下：

一、不适用于网络安全要求较高的环境。例如，生物学认证是“认人不认设备”，只要生物信息是准确的，具有合法身份的用户可以轻松的使用非保密设备接入局域网，而非保密设备的使用，必然带来整个局域网的安全隐患。再如，硬件指纹是“认设备不认人”，当管理出现松懈时，非认证用户也可以能够使用特定的接入局域网的计算设备访问局域网的资源，容易导致泄密等安全隐患。此外，口令认证术语“不认设备不认人”，一旦口令被破解，任何人使用任何设备都能够访问局域网的资源，非常不安全。

二、部分认证方式不能够兼容所有的局域网连接设备。例如，生物学认证和口令认证对于类似于网络打印机的设备存在明显的兼容缺陷，具体而言，如果对于此类设备不进行认证，则此类设备容易称为局域网被入侵的薄弱环节，如果进行认证，一方面此类设备没有接收用户方便输入生物学特征或口令的接口，难于操作，另一方面，此类设备的使用人员较多，如果都采用例如生物学认证，系统负担较重。

发明内容

为克服上述问题，本发明涉及一种设备接入识别认证方法，包括：认证服务器接收待认证设备发送的认证信息，所述认证信息包括设备标识；如果所述设备标识指示待认证设备为第一类设备，则使用生物学特征和硬件指纹进行认证，如果所述设备标识指示待认证设备为第二类设备，则使用硬件指纹进行认证。

本发明还提供了相应的设备接入识别系统，包括认证服务器、第一类设备、第二类设备；第一类设备使用生物学特征和硬件指纹进行认证，第二类设备使用硬件指纹进行认证。

本发明提供的设备接入识别认证方法和系统，区分设备使用类型，将生物学认证和硬件指纹认证相结合，能够做到对于第一类设备(例如PC、移动终端等)“认人又认设备”，提升了局域网的安全性，对第二类设备(例如网络打印机)，简化认证过程。

附图说明

图1是设备接入识别认证系统的结构图；

图2是使用认证服务器对接入网络的待认证设备进行认证的认证方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，将结合附图对本发明作进一步地详细描述。这种描述是通过示例而非限制的方式介绍了与本发明的原理相一致的具体实施方式，这些实施方式的描述是足够详细的，以使得本领域技术人员能够实践本发明，在不脱离本发明的范围和精神的情况下可以使用其他实施方式并且可以改变和/或替换各要素的结构。因此，不应当从限制性意义上来理解以下的详细描述。

如图1所示，本发明提供了认证系统，包括认证服务器和待认证的设备1……设备n，认证服务器和待认证的设备之间通过局域网互相连接。待认证的设备包括第一类设备和第二类设备两种类型，第一类设备为接入局域网的用户个体使用的设备，例如台式计算机(PC)、笔记本计算机、PAD、移动终端等；第二类设备为接入局域网的公共用户使用的设备，例如网络打印机等。由于第一类设备和第二类设备的自身特征和用户特征均存在较大差异，第一类设备的安全性要求也远高于第二类设备，因此对于两类设备采用不同的认证策略，即对于第一类设备，使用生物学特征和硬件指纹进行认证；对于第二类设备，使用硬件指纹进行认证。

可选的，生物学特征包括用户指纹特征、用户虹膜特征、用户人脸特征、用户声音特征中的一种或多种。优选的，生物学特征使用用户指纹特征。