技術領域

本發明涉及局域網的安全技術，特別是一種在局域網中的實現認證的方法和系統，進一步加強網絡安全。

背景技術

隨著越來越多的設備搭載有線和無線通訊功能，居室內和辦公區域內的有線/無線設備增多，可以提供不同服務的網絡設備也隨之增加。單獨工作的設備通過網絡彼此連接，在局部區域內組成局域網，使得區域內的設備可以共享數據和協同工作。

目前，為網絡安全使用的技術包括網絡接入認證，也就是經常使用的ID認證，在此ID包括第三方、TPM(Trusted?Platform?Model，可信任平臺模塊)和生物(指紋、虹膜)識別提供的ID。

為了保障設備連接和通訊的安全性，需要對網絡上的設備劃歸群組(group)，并用群組ID(Group?ID)來進行標識。設備通過UUID(UniversalUnique?Identifier，見US?2005/0021793A1)，或者Group?ID(見US2002/0184310A1)來劃分所屬的的群組(group)。群組內的設備通過ID來區分組內和組外，并在數據安全方面形成屏障。對于需要加入群組的設備，必須得到批準，并分配給群組的ID。不論是有線網，還是無線網，每一個網絡上的設備只有通過ID的驗證，才能獲得進入網絡的通行證。

然而，每一個網絡結點并不是完全由設備組成，更多的是由人和設備共同組成一個結點，進入網絡的ID是由人來掌控。因此ID就存在被泄露的可能，如網絡ID被借給熟人使用，從而使得陌生人可以自由進入網絡組，造成安全的隱患。當網絡的參加人員增多時，這種潛在泄漏網絡ID的可能性也隨之增加。另外，網絡ID被盜或者被破解同樣嚴重危害網絡和信息的安全。比如：使用較短長度的ID，或者使用者姓名、生日等，均較易被盜取和破解。

如前所述，單純通過ID認證，不管是第三方認證，還是生物識別認證，都是一種被動的認證方式，其模式是：設備提交ID→網絡進行辨識→網絡決策接收(拒絕)→網絡通訊，這是一種單向的接收或者拒絕方式，只要提交的ID沒有問題，網絡的大門就洞開了。

因此，有必要提出一種方法或系統，在ID被盜取(猜測)、破解或被非授權人員使用的情況下，局域網絡依然可以識別，并拒絕非法的接入用戶。

發明內容

本發明的目的在于提供一種對用戶設備操作申請進行驗證的方法和系統，解決現有技術中由于ID被盜取(猜測)、破解或被非授權人員使用帶來的網絡安全問題，進一步鞏固網絡的安全。

為了實現上述目的，本發明提供了一種對用戶設備操作申請進行驗證的方法，包括一設備標識和ID驗證的步驟，其中，在設備標識和ID驗證通過的情況下，還包括：

交互信息驗證步驟，對比所述用戶設備的信息與可信設備的交互信息，并在二者匹配的情況下通過對所述操作申請的驗證，所述交互信息用于記錄可信用戶設備之間的通信行為。

上述的方法，其中，所述用戶設備的信息為用戶設備的交互信息或用戶設備的相關信息。

為了更好的實現上述目的，本發明還提供了一種對用戶設備操作申請進行驗證的系統，包括一第一驗證模塊，用于對結合設備標識和ID對所述操作申請進行驗證，其中，還包括：

交互信息保存模塊，用于記錄交互信息，所述交互信息用于記錄可信用戶設備之間的通信行為；

第二驗證模塊，根據所述用戶設備的信息與可信設備的交互信息對所述操作申請進行驗證；

上述的系統，其中，所述用戶設備的信息為用戶設備的交互信息或用戶設備的相關信息。

上述的系統，其中，所述交互信息保存模塊設置于中心服務器或設置于每個用戶設備/可信設備。

上述的系統，其中，還包括：

第三驗證模塊，用于在用戶設備交互信息和/或對應可信設備交互信息無法獲取時，根據用戶設備的其他信息對用戶設備進行驗證；

默認交互信息生成模塊，用于在用戶設備通過第三驗證模塊的驗證后生成默認交互信息，并發送給交互信息保存模塊保存。

本發明的對用戶設備操作申請進行驗證的方法和系統，通過在設備標識和ID驗證通過的情況下，進一步根據交互信息對用戶設備進行驗證，只有在交互用戶設備的信息與可信設備的交互信息匹配的情況下才能通過驗證，否則進行進一步更加嚴格的驗證，這樣，在用戶ID被盜取、破解、或被非授權人員使用時，大部分情況下，會被拒絕，有效地保護了網絡，鞏固了網絡安全。

附圖說明

圖1為本發明應用的網絡結構示意圖；

圖2為本發明第一實施例的流程示意圖；

圖3為本發明第二實施例的流程示意圖；