[发明专利]一种基于集合覆盖的非法连接判断方法

摘要

本发明公开了一种基于集合覆盖的非法连接判断方法，包括如下步骤：步骤一，建立服务器以及多个客户端，客户端中存储有与客户端信息单一对应的注册信息；步骤二，客户端向服务器发送认证请求，服务器将客户端的注册信息与合法终端列表进行比对；步骤三，合法客户端接收到合法终端列表，当合法客户端接收其他客户端发送的通讯请求时，合法客户端对发送通讯请求的客户端的注册信息进行识别，判断注册信息是否存在与合法终端列表中。本发明在建立通信环境时，将合法终端列表发送给各个合法客户端，无需服务器再单独进行身份识别，此判断方法方便快捷，将身份识别的工作分摊给各个客户端，减轻了服务器的工作负担，并提高了工作效率。

主权项

1.一种基于集合覆盖的非法连接判断方法，其特征在于，包括：步骤一，建立服务器以及多个客户端，客户端中存储有与客户端信息单一对应的注册信息，服务器内存储有合法终端列表，合法终端列表内含多个客户端的注册信息；步骤二，客户端向服务器发送认证请求，服务器将客户端的注册信息与合法终端列表进行比对；若比对成功，服务器持续建立与客户端进行通讯的通道，服务器向客户端发送合法终端列表，并将客户端记作合法客户端；若比对不成功，则服务器将客户端记作非法客户端，并停止与客户端进行通讯；步骤三，合法客户端采用可信网络连接技术形成网络信任链模型M-TNC,使用可信网络连接技术TNC,通过采用可信主机提供的终端技术， 在网络环境下实现终端访问控制；M-TNC的权限控制规则采用终端的完整性校验来检查终端的可信度； M-TNC的架构分为如下3类实体：终端访问者AP、规则判定者RJP、规则定义者RDP；终端访问者为终端访问设备，请求服务器的资源；规则判定者和规则定义者为终端安全接入控制系统；M-TNC的元素定义 包括如下两个定义：第一定义：资源集R={ri|i=1…N}，企业办公网络的资源集合；第二定义：资源服务域RS={R,SDP,AP,ISP}，R是企业网络提供的资源集，RJP是绝对可信的规则判定者，RDP管理整个域的AP及协助网络服务提供者ISP(Internet ServiceProvider)验证M-TNC的可信性，同时受理其他域M-TNC的跨域服务请求消息；终端可信接入算法包括如下步骤：步骤a，RDP根据AP的可信度制定相应的ACL规则：ACLPolicy←getACLPolicy()；步骤b，AP请求接入：发出访问请求，收集该终端的可信度评估值并发送给RJP，等待RJP对终端设备的可信度判定： APCredibility←CollectAPCredibility ()；CredibilityResult←SendJudgeRequest()；步骤c，RDP完成对MTAM(MobileTerminal Access Module)模块的完整性及真实性验证，负责为MTAM中的终端设备颁发可信证书： CredibilityCertificate←InRealityIntegrityCheck()；步骤d，RDP负责制定和分发AP的可信度判定规则，并对其证书进行验证，以评估该接入设备的可信性： CredibilityPolicy←RDPMakeAndAllocatePolicy()； 对MTAM的身份进行鉴别，验证AP证书的有效性，校验AP设备的可信性： VerifyAPValidity()；接入机制分析过程包括： MTAM向RDP注册服务，申请RDP颁发的可信评估证书，获得该证书后，MTAM即可与ISP进行交互，ISP通过验证可信评估证书的合法性完成对MTAM的可信度评估； RDP获得由终端可信判定中心CMJC签发的可信证书，证书包含RDP的公钥及CMJC签名等信息，并通过安全途径向终端等外部设备公布公钥，每个终端的实体身份证书格式如下： CertA={IDA,KPubA,DateA,LFA, EKSCAC{IDA,KPA,DateA,LFA}}其中KPubA是终端A 的公钥，EKSCA是CMJC 的私钥，DateA是证书的颁发日期， LFA是证书的有效期。