[发明专利]一种网络环境下可信设备的认证方法

说明书

技术领域

本发明涉及信息安全技术，特别涉及一种网络环境下可信设备的认证方法，属于计算机技术领域。

背景技术

移动存储设备，如U盘、移动硬盘等，因其体积小、容量大等优点，已得到广泛应用。作为数据交换的主要手段之一，移动存储设备正成为数据和信息的重要载体，但是我们也应该看到，移动存储设备在给我们带来极大方便的同时，也给我们带来了不少的安全隐患。近几年的安全防御调查也表明，政府、企业单位中超过70％的管理和安全问题来自单位内部人员，特别是因为移动存储介质的普遍应用。

移动存储设备使用灵活、方便的特性使得它在单位信息化过程中迅速得到了广泛的应用，越来越多的敏感信息、秘密数据和档案资料被随意的拷贝、存贮在移动存储介质里。单位和个人持有的移动存储设备不区分，单位信息和个人信息同时存储在同一个存储设备中，秘密信息保管不善，或把病毒、木马等恶意代码带入单位计算机网络，这都给单位的信息资源带来了巨大的安全隐患。

近年来屡屡发生的移动存储介质泄密、窃密案件给国家和企事业单位带来了不可估量的损失，也逐渐引起了国家和企事业单位的重视，单位通过各种行政管理手段对USB存储设备做了相应的规定，但往往由于使用人对于单位保密意识的淡漠或其他原因，仍然不可避免的产生了很多的问题，过去有的单位采用了用树脂胶填充甚至手工强制拆除USB硬件组件的办法，或者采用一些软件对USB口进行阻断等等，但这些办法又给工作效率的提高带来了极大的障碍，与信息化提高工作效率的初衷背道而驰，同时在使用过程中仍然缺乏相应的监管力度，安全隐患仍然存在。

同时，政府、企事业单位对如何监管、控制外来计算机等非授权设备的接入方面颇费脑筋。

目前，外来计算机等设备通过各种合法或非法手段接入单位内部网络，由于监管、有效防范手段缺失，导致机密信息的泄漏，引发各种严重的信息安全问题、甚至社会、安全问题。使用的随意与有效防范手段缺失使外来计算机设备监管成为现阶段的安全难点。

如何鉴别这些外来计算机、U盘、移动硬盘等设备，做好相关的监管、控制工作，是政府、企事业单位做好信息安全防范的重要方面。

在增强设备的可识别性基础上，做好设备的准入控制、访问权限控制等方面的管理，才能保证设备的安全、可信。

可信设备，指被准许在单位内部使用的移动存储设备或允许接入的计算机设备等；非法设备，指来源不明未被准许在内部使用的，或者是外来单位带入的移动存储设备、计算机等。

对于可信设备认证，要求做到“非法的设备在工作环境中不能使用”和“可信设备在工作环境中能够正常使用”。

要做到既有效的控制单位移动存储设备和计算机等设备的管理、防止泄密案件的发生、保护系统安全、又能不影响单位信息化效率的提高，关键在于这些外部设备的可识别、可监控、可管理性。

目前，对于移动存储设备的监控、可信认证，有很多的方法、系统，但这些方法、系统，大都是基于单机环境的，对于网络环境，就缺乏统一的管理机制，而且不能防范外来计算机等设备，通过各种合法或非法手段接入单位内部网络。

发明内容

本发明的目的在于克服上述现有技术中存在的缺陷，提供一种网络环境下可信设备的认证方法。

本发明的目的通过以下技术方案予以实现。

一种网络环境下可信设备的认证方法，它包括以下步骤：

(1)对网络中的所有计算机安装并运行监控程序；

(2)可信设备在使用前必须经过授权中心统一注册与授权，使可信设备具有唯一性的身份信息；

(3)当待认证设备与网络中的任一台计算机联接后，待接入的计算机读取并验证待认证设备的身份信息，如果验证通过，则判断该待认证设备为可信设备，允许接入；如果验证不通过，则直接判断该待认证设备为非法设备，拒绝接入。

所述待认证设备可以为计算机、U盘或移动硬盘等设备。

所述的身份信息是标识、私钥签名等信息。

所述的身份信息还包括授权内容，以进一步增强访问控制机制。

所述的标识为硬件管理ID号、设备内部代码、或它们的组合。

该授权内容包括：安全级别标签、硬件管理ID号、使用人、使用部门、使用期限以及是否采用序列号口令保护等，而这些授权内容全部或部分的组合，用私钥进行签名，根据访问者的身份、密级、时间期限等限制仅有“正确”的用户才能访问。