CN106209734A - 进程的身份认证方法和装置 - Google Patents
进程的身份认证方法和装置 Download PDFInfo
- Publication number
- CN106209734A CN106209734A CN201510218936.6A CN201510218936A CN106209734A CN 106209734 A CN106209734 A CN 106209734A CN 201510218936 A CN201510218936 A CN 201510218936A CN 106209734 A CN106209734 A CN 106209734A
- Authority
- CN
- China
- Prior art keywords
- machine
- authentication agent
- key
- authentication
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 736
- 230000006854 communication Effects 0.000 claims description 34
- 238000004891 communication Methods 0.000 claims description 33
- 238000012795 verification Methods 0.000 claims description 14
- 230000000977 initiatory effect Effects 0.000 claims 2
- 230000004044 response Effects 0.000 abstract description 4
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 20
- 238000010586 diagram Methods 0.000 description 8
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种进程的身份认证方法。该方法包括:在处于分布式计算环境中的机器上配置有一个专属于所述机器的认证代理;所述机器上的启动单元在启动进程前为所述进程生成进程信息,并将所述进程信息发送给所述机器上的认证代理;所述进程在被启动后向所述机器上的认证代理请求身份认证;响应于身份认证请求,所述机器上的认证代理从所述机器的系统资源中获取所述进程的进程信息,并将获取的所述进程的进程信息与启动单元发送的所述进程的进程信息进行比对,如果相同,将所述进程认定为合法进程,如果不同,将所述进程认定为非法进程。通过本申请,可以保证身份认证过程的安全性。本申请实施例还公开了一种进程的身份认证装置。
Description
技术领域
本申请涉及分布式计算领域,特别是涉及进程的身份认证方法和装置。
背景技术
在分布式计算环境中,分布在不同机器上的进程通过网络互相通信。然而,如果实现进程间通信的网络是一个开放的、不安全的网络,进程间通信的安全性是无法得到有效保证的,黑客很有可能会入侵并访问分布式计算环境,以使得黑客的非法进程与其它合法进程进行通信。
为了保证进程间通信的安全性,避免黑客的非法进程与合法进程进行通信,在通信之前,需要对通信的进程进行身份认证。
但是,在实现本申请的过程中,本申请的发明人发现现有技术中至少存在如下问题:目前现有的身份认证协议基本上都是对互联网中某一应用场景中的“用户”实现身份认证,实现方式一般都是“一般用户”采用普通的网络协议完成身份认证,获得“合法用户”的身份,进而获得通信用的会话密钥。但是,由于本申请中实现进程间通信的网络是一个开放的、不安全的网络,因此,如果“进程”采用普通的网络协议进行身份认证,不仅“合法进程”可以通过身份认证,黑客的“非法进程”也完全可以通过同样的手段通过身份认证,因此,无法保证身份认证的过程的安全性。
发明内容
为了解决上述技术问题,本申请实施例提供了进程的身份认证方法和装置,以尽可能地保证身份认证过程的安全性,阻止黑客的“非法进程”通过同样的手段通过身份认证。
本申请实施例公开了如下技术方案:
一种进程的身份认证方法,在机器上配置有一个专属于所述机器的认证代理,所述机器为处于分布式计算环境中的任一机器,所述方法包括:
所述机器上的启动单元在启动进程之前为所述进程生成进程信息,并将所述进程信息发送给所述机器上的认证代理;
所述进程在被启动后向所述机器上的认证代理请求身份认证;
响应于身份认证请求,所述机器上的认证代理从所述机器的系统资源中获取所述进程的进程信息,并将获取的所述进程的进程信息与启动单元发送的所述进程的进程信息进行比对,如果相同,将所述进程认定为合法进程,如果不同,将所述进程认定为非法进程。
优选的,所述进程信息包括进程的PID、进程的可执行文件的访问路径和进程的可执行文件的签名值中的至少一个。
优选的,所述方法还包括:
所述机器上的启动单元为所述进程生成初始密钥,将所述初始密钥发送给所述机器上的认证代理,并在启动所述进程后将所述初始密钥发送给所述进程;
在将所述进程认定为合法进程之前,所述机器上的认证代理利用所述启动单元发送的所述进程的初始密钥对所述进程请求身份认证时使用的初始密钥进行验证,如果验证通过,将所述进程认定为合法进程,如果验证不通过,将所述进程认定为非法进程;
则所述进程在被启动后向所述机器上的认证代理请求身份认证具体为:
所述进程在被启动后利用所述初始密钥向所述机器上的认证代理请求身份认证。
优选的,所述初始密钥的生命周期为一次。
优选的,当所述进程是子进程时,所述启动单元为所述子进程的父进程,当所述进程为父进程时,所述启动单元为所述机器上的认证代理。
优选的,所述方法还包括:
在将所述进程认定为合法进程之后,所述机器上的认证代理按照被启动关系从所述进程开始一直回溯到所述机器上的认证代理,并将回溯的路径作为所述进程唯一的身份标识。
优选的,所述方法还包括:
在将所述进程被认定为合法进程之后,所述机器上的认证代理与所述进程协商第一密钥;其中,所述第一密钥用于所述机器上的认证代理与所述进程之间的安全通信。
优选的,所述方法还包括:
所述进程向所述机器上的认证代理请求与目标进程通信;
响应于与目标进程通信的请求,所述机器上的认证代理与所述目标进程所在机器上的认证代理协商会话密钥,利用所述第一密钥加密所述会话密钥,生成第一票据,并将所述第一票据返回给所述进程;
所述进程利用所述第一密钥解密所述第一票据,获得会话密钥,所述会话密钥用于所述进程与所述目标进程之间的安全通信。
优选的,所述方法还包括:
在所述机器上的认证代理与所述目标进程所在机器上的认证代理协商会话密钥之后,所述机器上的认证代理接收所述目标进程所在机器上的认证代理发送的第二票据,并将所述第二票据返回给所述进程;其中,所述第二票据是利用第二密钥加密所述会话密钥生成的,所述第二密钥用于所述目标进程与所在机器上的认证代理之间的安全通信;
所述进程将所述第二票据发送给所述目标进程,以便所述目标进程解密所述第二票据获得会话密钥。
优选的,所述方法还包括:
所述机器上的认证代理从所述目标进程所在机器上的认证代理获取所述目标进程的身份标识;
所述机器上的认证代理利用所述第一密钥加密所述会话密钥,生成第一票据,并将所述第一票据返回给所述进程具体为:
所述机器上的认证代理利用所述第一密钥加密所述会话密钥和所述目标进程的身份标识,生成第一票据,并将所述第一票据返回给所述进程;
所述进程利用所述第一密钥解密所述第一票据,获得会话密钥具体为:
所述进程利用所述第一密钥解密所述第一票据,获得会话密钥和所述目标进程的身份标识。
优选的,所述方法还包括:
在所述进程利用所述会话密钥与所述目标进程进行通信之前,所述进程根据所述目标进程的身份标识确定所述目标进程是否为期望通信的对象,如果是,后续所述进程再利用所述会话密钥与所述目标进程进行通信。
一种进程的身份认证装置,所述装置位于分布式计算环境中的任一机器上,所述装置包括:认证代理、启动单元以及进程;其中,
所述启动单元,用于在启动所述进程之前为所述进程生成进程信息,并将所述进程信息发送给所述认证代理;
所述进程,用于在被启动后向所述认证代理请求身份认证;
所述认证代理,用于响应于身份认证请求,从所述机器的系统资源中获取所述进程的进程信息,并将获取的所述进程的进程信息与所述启动单元发送的所述进程的进程信息进行比对,如果相同,将所述进程认定为合法进程,如果不同,将所述进程认定为非法进程。
优选的,所述进程信息包括进程的PID、进程的可执行文件的访问路径和进程的可执行文件的签名值中的至少一个。
优选的,所述启动单元还用于,为所述进程生成初始密钥,将所述初始密钥发送给所述认证代理,并在启动所述进程后将所述初始密钥发送给所述进程;
则所述认证代理还用于,在将所述进程认定为合法进程之前,所述机器上的认证代理利用所述启动单元发送的所述进程的初始密钥对所述进程请求身份认证时使用的初始密钥进行验证,如果验证通过,将所述进程认定为合法进程,如果验证不通过,将所述进程认定为非法进程;
则所述进程具体用于,在被启动后利用所述初始密钥向所述认证代理请求身份认证。
优选的,所述认证代理还用于,按照被启动关系从所述进程开始一直回溯到所述认证代理,并将回溯的路径作为所述进程唯一的身份标识。
优选的,所述认证代理还用于,在将所述进程认定为合法进程之后,与所述进程协商第一密钥;其中,所述第一密钥用于所述认证代理与所述进程之间的安全通信。
优选的,所述进程还用于,向所述认证代理请求与目标进程通信,接收所述认证代理发送的第一票据,利用所述第一密钥解密所述第一票据,获得会话密钥,利用所述会话密钥与所述目标进程进行通信;
所述认证代理还用于,响应于与目标进程通信的请求,与所述目标进程所在机器上的认证代理协商会话密钥,利用所述第一密钥加密所述会话密钥,生成第一票据,将所述第一票据返回给所述进程。
优选的,所述认证代理还用于,在与所述目标进程所在机器上的认证代理协商会话密钥之后,接收所述目标进程所在机器上的认证代理发送的第二票据,并将所述第二票据返回给所述进程;其中,所述第二票据是利用第二密钥加密所述会话密钥生成的,所述第二密钥用于所述目标进程与所在机器上的认证代理之间的安全通信;
所述进程还用于,将所述第二票据发送给所述目标进程,以便所述目标进程解密所述第二票据获得会话密钥。
优选的,所述认证代理还用于,从所述目标进程所在机器上的认证代理获取所述目标进程的身份标识;
所述认证代理具体用于,利用所述第一密钥加密所述会话密钥和所述目标进程的身份标识,生成第一票据,并将所述第一票据返回给所述进程;
所述进程具体用于,利用所述第一密钥解密所述第一票据,获得会话密钥和所述目标进程的身份标识。
优选的,在利用所述会话密钥与所述目标进程进行通信之前,根据所述目标进程的身份标识确定所述目标进程是否为期望通信的对象,如果是,后续再利用所述会话密钥与所述目标进程进行通信。
由上述实施例可以看出,与现有技术相比,本申请的优点在于:
在机器上,由本地的认证代理完成对本地进程的身份认证。在认证过程中,对于每一个本地进程,在其被启动之前,启动单元已经向本地的认证代理报备了本地进程的进程信息,也就是说,凡是本地进程,其进程信息在本地的认证代理中都有记录,所有记录相当于构成了一个关于本地进程的“白名单”。当有进程请求身份认证时,本地的认证代理先从本地机器的系统资源中获取该进程的进程信息,并判断该进程信息是否在“白名单”中,如果是本地进程请求身份认证,获取的进程信息必然在“白名单”中,而如果是黑客的“非法进程”伪装本地进程请求身份认证,获取的进程信息必然不在“白名单”中。因此,保证了身份认证的过程的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示意性地示出了本申请的实施方式可以在其中实施的一个示例性应用场景;
图2示意性地示出了根据本申请的一个实施方式的进程的身份认证方法的流程图;
图3示意性地示出了根据本申请的另一个实施方式的进程的身份认证方法的流程图;
图4示意性地示出了根据本申请的另一个实施方式的进程的身份认证方法的流程图;
图5示意性地示出了本申请的实施方式可以在其中实施的另一个示例性应用场景;
图6示意性地示出了根据本申请的一个实施方式的进程间通信的方法的流程图;
图7示意性地示出了根据本申请的一个实施例的进程的身份认证装置的结构框图。
具体实施方式
首先参考图1,图1示意性地示出了本申请的实施方式可以在其中实施的示例性应用场景。其中,在分布式环境中包含多个机器,为了方便描述,假设在分布式环境中共包含两个机器10和20,为机器10设置专属于该机器的认证代理11,为机器20设置专属于该机器的认证代理21。认证代理11专门负责对机器10上运行的任一进程进行身份认证,而认证代理21专门负责对机器20上运行的任一进程进行身份认证。假设在机器10上存在3个合法进程和1个非法进程,合法进程为进程1、2和3,其中,认证代理11启动进程1和进程2,进程1进一步启动进程3,即,进程1为进程3的父进程,进程3为进程1的子进程。在机器20上存在3个合法进程,分别为进程4、5和6,认证代理21启动进程4,进程4进一步启动进程5和进程6,即,进程4是进程5和6的父进程,而进程5和6是进程4的子进程。本领域技术人员可以理解,图1所示的示意图仅是本申请的实施方式可以在其中得以实现的一个示例。本申请实施方式的应用范围不受到该框架任何方面的限制。例如,在分布式计算环境中除了可以包含机器10和20之外,还可以包含更多的机器,并且机器上运行的进程也不仅限于图1所示的数量。
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例进行详细描述。
方法实施例
请参阅图2,图2示意性地示出了根据本申请的一个实施方式的进程的身份认证方法的流程图,例如,针对机器10中的进程3,该认证方法例如包括以下步骤:
步骤201:机器10上的进程1在启动进程3之前为进程3生成一个进程信息,并将该进程信息发送给认证代理11。
进程信息可以包括进程3的PID、进程3的可执行文件的访问路径和进程3的可执行文件的签名值中的至少一个。
其中,进程1可以利用预设的签名算法计算可执行文件的签名值。例如,如果可执行文件的签名值为sha1值,进程1可以利用linux系统的sha1sum命令来计算可执行文件的sha1值。
例如,进程3的进程信息为:
PID:14632
可执行文件的访问路径:/bin/sleep
可执行文件的sha1值:5bbc30bb0b086b587d2a55b93d5cdbe6fb03cc3f
当然,除了进程3之外,机器10中所有被启动进程的进程信息都会被发送到认证代理11处,也就是说,在认证代理11中,维护了机器10中所有被启动进程的进程信息,并且,这些进程信息是进程的启动单元发送过来的。
步骤202:进程3被启动后向认证代理11请求身份认证。
进程3被启动后,可以先通过linux的domainsocket方式与认证代理进行通信,以请求身份认证。
步骤203:响应于身份认证请求,认证代理11从机器10的系统资源中获取进程3的进程信息,并将获取的进程3的进程信息与进程1发送的进程3的进程信息进行比对,如果相同,进入步骤204,如果不同,进入步骤205。
步骤204:认证代理11将进程3认定为合法进程,结束流程。
步骤205:认证代理11将进程3认定为非法进程,结束流程。
其中,认证代理11在接收到进程3的请求后,可以通过linux系统中的getsockopt接口以及SO_PEERCRED参数,从内核中获取进程3的PID,然后依据进程3的PID从/proc文件系统获取进程3的可执行文件的访问路径,最后利用预设的签名算法计算可执行文件的签名值。
如果是进程3向认证代理11请求身份认证,认证代理11从机器10的系统资源中获取的必然是进程3的进程信息,并且通过比对可以发现,获取到的进程3的进程信息与进程1发送的进程3的进程信息必然是相同的,说明当前请求身份认证的进程3确实是由进程1启动的,即,进程3不是伪装的,而是一个合法的进程。
如果一个非法进程伪装成进程3同样向认证代理11请求身份认证,由于认证代理从机器10的系统资源中获取到的是该非法进程的进行信息,而不是其伪装的进程3的进程信息,因此通过比对可以发现,获取到的非法进程的进程信息与进程1发送的进程3的进程信息必然是不同的,说明当前请求身份认证的进程3并不是由进程1启动的,而是由非法进程伪装的。
其中,认证代理11可以将获取到的进程3的进程信息与自身维护的所有进程信息进行逐一比对,如果与自身维护的其中一个进程相同,说明进程3是合法的,如果与自身维护的每一个进程都不同,说明进程3是非法的。
在申请的一个优选实施方式中,为了增强认证结果的可靠性,如图3所示,该方法例如包括以下步骤:
步骤301:机器10上的进程1在启动进程3之前为进程3生成一个进程信息以及一个初始密钥,将该进程信息和该初始密钥发送给认证代理11,并在启动进程3后将该初始密钥发送给进程3。
步骤302:进程3被启动后利用初始密钥向认证代理11请求身份认证。
步骤303:响应于身份认证请求,认证代理11从机器10的系统资源中获取进程3的进程信息,并将获取的进程3的进程信息与进程1发送的进程3的进程信息进行比对,如果相同,进入步骤304,如果不同,进入步骤305。
步骤304:认证代理11利用进程1发送的初始密钥对进程3请求身份认证时使用的初始密钥进行验证,如果验证通过,进入步骤306,如果验证不通过,进入步骤305。
其中,上述验证过程可以使用消息验证码(MAC)技术,或者,也可以使用Authenticated Encryption技术。
步骤305:认证代理11认定进程3为非法进程,结束流程。
步骤306:认证代理11认定进程3为合法进程,结束流程。
显然,对于认证代理来说,其除了比对进程信息之外,还需要验证初始密钥,与只比对进程信息相比,增加对初始密钥的验证,可以使认证的结果更可靠,更加保证了身份认证过程的安全性。
在本申请的另一个优选实施方式中个,可以将初始密钥的生命周期设置为一次。也就是说,初始密钥被进程3在身份认证时使用一次后,该初始密钥即失效。即使非法进程获取到了进程3的初始密钥,由于该初始密钥使用一次即失效,因此,该非法进程也无法再利用该初始密钥通过认证代理11的认证。
另外,认证代理11还可以将进程1发送的进程3的进程信息与初始密钥建立对应关系,在响应进程3的身份认证请求时,可以从自身维护的所有进程信息中查找与进程3使用的初始密钥对应的进程信息,进而直接将获取的进程3的进程信息与查找到的进程信息(即,进程1发送的进程3的进程信息)进行比对,而不再需要将获取得到的进程3的进程信息与自身维护的所有进程信息一一地进行比对,更有效地节约了比对的时间,加快了身份认证的处理进度。当然,在进程3的初始密钥失效后,认证代理11还需要解除进程信息与该初始密钥之间的对应关系。
当然,需要说明的是,通过上述方法,除了可以对进程3进行身份认证之外,还可以对机器10上的其它进程进行身份认证。例如,可以对进程1或进程2进行身份认证,并且,由于进程1和进程2是由认证代理11启动的,因此,认证代理11本身可以完成进程信息以及初始密钥的生成。
可以理解的,在机器10上,被认证通过的所有合法进程在认证代理11中都有记录,并且,按照启动和被启动关系,被认证通过的所有合法进程可以形成一个树状结构,而树的根节点就是认证代理11。在本申请中,从树上的某一个节点回溯到根节点的整个路径可以作为该节点唯一的身份标识。
因此,在本申请另一个优选实施方式中,认证代理11可以按照被启动关系从进程3开始一直回溯到认证代理11,并将回溯的路径作为进程3唯一的身份标识。
即,进程3的身份标识为:进程3@进程1@认证代理11;进程1的身份标识为:进程1@认证代理11;进程2的身份标识为:进程2@认证代理11。
类似的,进程5的身份标识为:进程5@进程4@认证代理21;进程6的身份标识为:进程6@进程4@认证代理21。
在本申请的另一个优选实施方式中,如图4所示,在将进程3认定为合法进程之后,认证代理11与进程3协商第一密钥,其中,第一密钥用于进程3与认证代理11之间的安全通信,以便于进程3通过安全通信从认证代理11获取到与目标进程实现进程间通信的会话密钥。
其中,秘钥协商在现有技术中有多种方案,本申请可以采用现有技术中提供的任意中方案实现第一密钥的协商。例如,采用现有技术中比较常用的Diffie–Hellman key exchange方案实现密钥协商。
如图5所示,假设机器1上的client进程与机器2上的server进程都通过了认证代理的认证,是合法进程,并且,client进程已经从机器1上的agent_c中获得了其与agent_c之间实现安全通信的密钥client_key;类似的,server也已经从机器2上的agent_s中获得了其与agent_s之间实现安全通信的会话密钥server_key。
当client进程需要与server进程实现进程间通信时,请参阅图6,图6示意性地示出了根据本申请的一个实施方式的进程间通信的方法的流程图,该通信方法例如包括以下步骤:
步骤601:机器1上的client进程向本地的agent_c请求与机器2上server进程通信。
步骤602:agent_c与agent_s通信,协商出一个session_key。
步骤603:agent_c产生一个client_ticket,agent_s产生一个server_ticket。
其中,client_ticket=Encrypt(session_key,client_key),即,利用client_key加密session_key。
类似的,server_ticket=Encrypt(session_key,server_key)即,利用server_key加密session_key。
步骤604:agent_s将server_ticket发送给agent_c。
步骤605:agent_c向client进程返回client_ticket和server_ticket。
步骤606:client进程持有client_key,直接利用client_key解密client_ticket,获得session_key。
步骤607:client进程将server_ticket发送给server进程。
步骤608:server进程持有server_key,直接利用server_key解密server_ticket,获得session_key。
步骤609:client进程与server进程之间通过session_key进行加密通信。
当然,在通过认证后,client进程具有自己唯一的身份标识client_info,类似的,server进程也具有自己唯一的身份标识server_info。在上述步骤602中,还可以通过以下方式产生client_ticket和server_ticket:
client_ticket=Encrypt(session_key+server_info,client_key),即,利用client_key加密session_key和server_info。
类似的,server_ticket=Encrypt(session_key+client_info,server_key)即,利用server_key加密session_key和client_info。
相应的,在步骤606中,client进程利用client_key解密client_ticket,不仅可以获得session_key,还可以获得server_info。而在步骤608中,server进程利用server_key解密server_ticket,也可以获得session_key和client_info。
在步骤609之前,client可以先根据获得的server_info确定server进程是否为自己期望通信的对象,server进程也可以根据获得的client_info确定client进程是否为自己期望通信的对象。
如果client进程确定server进程是自己期望通信的对象,在步骤608中,client进程就会通过session_key向server进程发送网络消息,如果client进程确定server进程不是自己期望通信的对象,则不会向server进程发送网络消息。当client进程向server进程发送网络消息时,如果server进程确定client进程是自己期望通信的对象,就会对client进程进行响应,如果server进程确定client进程不是自己期望通信的对象,则不会对client进程进行响应。
由上述实施例可以看出,与现有技术相比,本申请的优点在于:
在机器上,由本地的认证代理完成对本地进程的身份认证。在认证过程中,对于每一个本地进程,在其被启动之前,启动单元已经向本地的认证代理报备了本地进程的进程信息,也就是说,凡是本地进程,其进程信息在本地的认证代理中都有记录,所有记录相当于构成了一个关于本地进程的“白名单”。当有进程请求身份认证时,本地的认证代理先从本地机器的系统资源中获取该进程的进程信息,并判断该进程信息是否在“白名单”中,如果是本地进程请求身份认证,获取的进程信息必然在“白名单”中,而如果是黑客的“非法进程”伪装本地进程请求身份认证,获取的进程信息必然不在“白名单”中。因此,保证了身份认证的过程的安全性。
装置实施例
与上述一种进程的身份认证方法相对应,本申请实施例还提供了一种进程的身份认证装置。请参阅图7,图7示意性地示出了根据本申请的一个实施例的进程的身份认证装置的结构框图,该装置位于分布式计算环境中的任意机器上,该装置例如可以包括:认证代理71、启动单元72以及进程73。下面结合该装置的工作原理进一步介绍其内部结构以及连接关系。
启动单元72,用于在启动进程73前为进程73生成进程信息,并将所述进程信息发送给认证代理71;
进程73,用于在被启动后向认证代理71请求身份认证;
认证代理71,用于响应于身份认证请求,从所述机器的系统资源中获取进程73的进程信息,并将获取的进程73的进程信息与启动单元72发送的进程73的进程信息进行比对,如果相同,将进程73认定为合法进程,如果不同,将进程73认定为非法进程。
在本申请的一个优选实施方式中,所述进程信息包括进程的PID、进程的可执行文件的访问路径和进程的可执行文件的签名值中的至少一个。
在本申请的另一个优选实施方式中,启动单元72还用于,为进程73生成初始密钥,将所述初始密钥发送给认证代理71,并在启动进程73后将所述初始密钥发送给进程73;则认证代理71还用于,在将所述进程认定为合法进程之前,所述机器上的认证代理利用所述启动单元发送的所述进程的初始密钥对所述进程请求身份认证时使用的初始密钥进行验证,如果验证通过,将所述进程认定为合法进程,如果验证不通过,将所述进程认定为非法进程;
则进程73具体用于,在被启动后利用所述初始密钥向认证代理71请求身份认证。
在本申请的另一个优选实施方式中,所述初始密钥的生命周期为一次。
在本申请的另一个优选实施方式中,认证代理71还用于,按照被启动关系从进程73开始一直回溯到认证代理71,并将回溯的路径作为进程73唯一的身份标识。
在本申请的另一个优选实施方式中,认证代理71还用于,在将进程73认定为合法进程之后,与进程73协商第一密钥;其中,所述第一密钥用于进程73与认证代理71之间的安全通信。
在本申请的另一个优选实施方式中,进程73还用于,向认证代理71请求与目标进程通信,接收认证代理71发送的第一票据,利用所述第一密钥解密所述第一票据,获得会话密钥,利用所述会话密钥与所述目标进程进行通信;
认证代理71还用于,响应于与目标进程通信的请求,与所述目标进程所在机器上的认证代理协商会话密钥,利用所述第一密钥加密所述会话密钥,生成第一票据,将所述第一票据返回给进程73。
在本申请的另一个优选实施方式中,认证代理71还用于,在与所述目标进程所在机器上的认证代理协商会话密钥之后,接收所述目标进程所在机器上的认证代理发送的第二票据,并将所述第二票据返回给进程73;其中,所述第二票据是利用第二密钥加密所述会话密钥生成的,所述第二密钥用于所述目标进程与所在机器上的认证代理之间的安全通信;
进程73还用于,将所述第二票据发送给所述目标进程,以便所述目标进程解密所述第二票据获得会话密钥。
在本申请的另一个优选实施方式中,认证代理71还用于,从所述目标进程所在机器上的认证代理获取所述目标进程的身份标识;
认证代理71具体用于,利用所述第一密钥加密所述会话密钥和所述目标进程的身份标识,生成第一票据,并将所述第一票据返回给进程73;
进程73具体用于,利用所述第一密钥解密所述第一票据,获得会话密钥和所述目标进程的身份标识。
在本申请的另一个优选实施方式中,进程73还用于,在利用所述会话密钥与所述目标进程进行通信之前,根据所述目标进程的身份标识确定所述目标进程是否为期望通信的对象,如果是,后续再利用所述会话密钥与所述目标进程进行通信。
由上述实施例可以看出,与现有技术相比,本申请的优点在于:
在机器上,由本地的认证代理完成对本地进程的身份认证。在认证过程中,对于每一个本地进程,在其被启动之前,启动单元已经向本地的认证代理报备了本地进程的进程信息,也就是说,凡是本地进程,其进程信息在本地的认证代理中都有记录,所有记录相当于构成了一个关于本地进程的“白名单”。当有进程请求身份认证时,本地的认证代理先从本地机器的系统资源中获取该进程的进程信息,并判断该进程信息是否在“白名单”中,如果是本地进程请求身份认证,获取的进程信息必然在“白名单”中,而如果是黑客的“非法进程”伪装本地进程请求身份认证,获取的进程信息必然不在“白名单”中。因此,保证了身份认证的过程的安全性。
所述领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述到的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,可以采用软件功能单元的形式实现。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上对本申请所提供的一种进程的身份注册方法和装置进行了详细介绍,本文中应用了具体实施例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (20)
1.一种进程的身份认证方法,其特征在于,在机器上配置有一个专属于所述机器的认证代理,所述机器为处于分布式计算环境中的任一机器,所述方法包括:
所述机器上的启动单元在启动进程之前为所述进程生成进程信息,并将所述进程信息发送给所述机器上的认证代理;
所述进程在被启动后向所述机器上的认证代理请求身份认证;
响应于身份认证请求,所述机器上的认证代理从所述机器的系统资源中获取所述进程的进程信息,并将获取的所述进程的进程信息与启动单元发送的所述进程的进程信息进行比对,如果相同,将所述进程认定为合法进程,如果不同,将所述进程认定为非法进程。
2.根据权利要求所述的方法,其特征在于,所述进程信息包括进程的PID、进程的可执行文件的访问路径和进程的可执行文件的签名值中的至少一个。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述机器上的启动单元为所述进程生成初始密钥,将所述初始密钥发送给所述机器上的认证代理,并在启动所述进程后将所述初始密钥发送给所述进程;
在将所述进程认定为合法进程之前,所述机器上的认证代理利用所述启动单元发送的所述进程的初始密钥对所述进程请求身份认证时使用的初始密钥进行验证,如果验证通过,将所述进程认定为合法进程,如果验证不通过,将所述进程认定为非法进程;
则所述进程在被启动后向所述机器上的认证代理请求身份认证具体为:
所述进程在被启动后利用所述初始密钥向所述机器上的认证代理请求身份认证。
4.根据权利要求3所述的方法,其特征在于,所述初始密钥的生命周期为一次。
5.根据权利要求1所述的方法,其特征在于,当所述进程是子进程时,所述启动单元为所述子进程的父进程,当所述进程为父进程时,所述启动单元为所述机器上的认证代理。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在将所述进程认定为合法进程之后,所述机器上的认证代理按照被启动关系从所述进程开始一直回溯到所述机器上的认证代理,并将回溯的路径作为所述进程唯一的身份标识。
7.根据权利要求1至6中任意一项所述的方法,其特征在于,所述方法还包括:
在将所述进程被认定为合法进程之后,所述机器上的认证代理与所述进程协商第一密钥;其中,所述第一密钥用于所述机器上的认证代理与所述进程之间的安全通信。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述进程向所述机器上的认证代理请求与目标进程通信;
响应于与目标进程通信的请求,所述机器上的认证代理与所述目标进程所在机器上的认证代理协商会话密钥,利用所述第一密钥加密所述会话密钥,生成第一票据,并将所述第一票据返回给所述进程;
所述进程利用所述第一密钥解密所述第一票据,获得会话密钥,所述会话密钥用于所述进程与所述目标进程之间的安全通信。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在所述机器上的认证代理与所述目标进程所在机器上的认证代理协商会话密钥之后,所述机器上的认证代理接收所述目标进程所在机器上的认证代理发送的第二票据,并将所述第二票据返回给所述进程;其中,所述第二票据是利用第二密钥加密所述会话密钥生成的,所述第二密钥用于所述目标进程与所在机器上的认证代理之间的安全通信;
所述进程将所述第二票据发送给所述目标进程,以便所述目标进程解密所述第二票据获得会话密钥。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述机器上的认证代理从所述目标进程所在机器上的认证代理获取所述目标进程的身份标识;
所述机器上的认证代理利用所述第一密钥加密所述会话密钥,生成第一票据,并将所述第一票据返回给所述进程具体为:
所述机器上的认证代理利用所述第一密钥加密所述会话密钥和所述目标进程的身份标识,生成第一票据,并将所述第一票据返回给所述进程;
所述进程利用所述第一密钥解密所述第一票据,获得会话密钥具体为:
所述进程利用所述第一密钥解密所述第一票据,获得会话密钥和所述目标进程的身份标识。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
在所述进程利用所述会话密钥与所述目标进程进行通信之前,所述进程根据所述目标进程的身份标识确定所述目标进程是否为期望通信的对象,如果是,后续所述进程再利用所述会话密钥与所述目标进程进行通信。
12.一种进程的身份认证装置,其特征在于,所述装置位于分布式计算环境中的任一机器上,所述装置包括:认证代理、启动单元以及进程;其中,
所述启动单元,用于在启动所述进程之前为所述进程生成进程信息,并将所述进程信息发送给所述认证代理;
所述进程,用于在被启动后向所述认证代理请求身份认证;
所述认证代理,用于响应于身份认证请求,从所述机器的系统资源中获取所述进程的进程信息,并将获取的所述进程的进程信息与所述启动单元发送的所述进程的进程信息进行比对,如果相同,将所述进程认定为合法进程,如果不同,将所述进程认定为非法进程。
13.根据权利要求12所述的装置,其特征在于,所述进程信息包括进程的PID、进程的可执行文件的访问路径和进程的可执行文件的签名值中的至少一个。
14.根据权利要求12所述的装置,其特征在于,
所述启动单元还用于,为所述进程生成初始密钥,将所述初始密钥发送给所述认证代理,并在启动所述进程后将所述初始密钥发送给所述进程;
则所述认证代理还用于,在将所述进程认定为合法进程之前,所述机器上的认证代理利用所述启动单元发送的所述进程的初始密钥对所述进程请求身份认证时使用的初始密钥进行验证,如果验证通过,将所述进程认定为合法进程,如果验证不通过,将所述进程认定为非法进程;
则所述进程具体用于,在被启动后利用所述初始密钥向所述认证代理请求身份认证。
15.根据权利要求12所述的装置,其特征在于,所述认证代理还用于,按照被启动关系从所述进程开始一直回溯到所述认证代理,并将回溯的路径作为所述进程唯一的身份标识。
16.根据权利要求12至15中任意一项所述的装置,其特征在于,所述认证代理还用于,在将所述进程认定为合法进程之后,与所述进程协商第一密钥;其中,所述第一密钥用于所述认证代理与所述进程之间的安全通信。
17.根据权利要求16所述的装置,其特征在于,
所述进程还用于,向所述认证代理请求与目标进程通信,接收所述认证代理发送的第一票据,利用所述第一密钥解密所述第一票据,获得会话密钥,利用所述会话密钥与所述目标进程进行通信;
所述认证代理还用于,响应于与目标进程通信的请求,与所述目标进程所在机器上的认证代理协商会话密钥,利用所述第一密钥加密所述会话密钥,生成第一票据,将所述第一票据返回给所述进程。
18.根据权利要求16所述的装置,其特征在于,
所述认证代理还用于,在与所述目标进程所在机器上的认证代理协商会话密钥之后,接收所述目标进程所在机器上的认证代理发送的第二票据,并将所述第二票据返回给所述进程;其中,所述第二票据是利用第二密钥加密所述会话密钥生成的,所述第二密钥用于所述目标进程与所在机器上的认证代理之间的安全通信;
所述进程还用于,将所述第二票据发送给所述目标进程,以便所述目标进程解密所述第二票据获得会话密钥。
19.根据权利要求16所述的装置,其特征在于,
所述认证代理还用于,从所述目标进程所在机器上的认证代理获取所述目标进程的身份标识;
所述认证代理具体用于,利用所述第一密钥加密所述会话密钥和所述目标进程的身份标识,生成第一票据,并将所述第一票据返回给所述进程;
所述进程具体用于,利用所述第一密钥解密所述第一票据,获得会话密钥和所述目标进程的身份标识。
20.根据权利要求19所述的装置,其特征在于,所述进程还用于,在利用所述会话密钥与所述目标进程进行通信之前,根据所述目标进程的身份标识确定所述目标进程是否为期望通信的对象,如果是,后续再利用所述会话密钥与所述目标进程进行通信。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510218936.6A CN106209734B (zh) | 2015-04-30 | 2015-04-30 | 进程的身份认证方法和装置 |
| TW104141928A TWI679551B (zh) | 2015-04-30 | 2015-12-14 | 進程的身份認證方法和裝置 |
| PCT/US2016/029731 WO2016176424A1 (en) | 2015-04-30 | 2016-04-28 | System, method, and apparatus for secure identity authentication |
| US15/141,042 US11146554B2 (en) | 2015-04-30 | 2016-04-28 | System, method, and apparatus for secure identity authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510218936.6A CN106209734B (zh) | 2015-04-30 | 2015-04-30 | 进程的身份认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106209734A true CN106209734A (zh) | 2016-12-07 |
| CN106209734B CN106209734B (zh) | 2019-07-19 |
Family
ID=57199723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510218936.6A Active CN106209734B (zh) | 2015-04-30 | 2015-04-30 | 进程的身份认证方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11146554B2 (zh) |
| CN (1) | CN106209734B (zh) |
| TW (1) | TWI679551B (zh) |
| WO (1) | WO2016176424A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790075A (zh) * | 2016-12-21 | 2017-05-31 | 上海云熵网络科技有限公司 | 用于udp传输的认证系统及认证方法 |
| CN106775960A (zh) * | 2016-12-30 | 2017-05-31 | 武汉斗鱼网络科技有限公司 | 一种对Windows进程的唯一标示方法及系统 |
| CN110414209A (zh) * | 2019-03-14 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种应用程序的机密获取方法、应用装置及存储介质 |
| CN111090480A (zh) * | 2018-10-24 | 2020-05-01 | 武汉斗鱼网络科技有限公司 | 一种检测进程实例个数的方法及相关装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107257340B (zh) * | 2017-06-19 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 一种认证方法、基于区块链的认证数据处理方法及设备 |
| GB201710168D0 (en) * | 2017-06-26 | 2017-08-09 | Microsoft Technology Licensing Llc | Introducing middleboxes into secure communications between a client and a sever |
| CN109670312A (zh) | 2017-10-13 | 2019-04-23 | 华为技术有限公司 | 安全控制方法及计算机系统 |
| US11271933B1 (en) * | 2020-01-15 | 2022-03-08 | Worldpay Limited | Systems and methods for hosted authentication service |
| CN112800393B (zh) * | 2021-01-29 | 2022-08-26 | 深圳市商汤科技有限公司 | 授权认证、软件开发工具包生成方法、装置及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210253A1 (en) * | 2004-01-30 | 2005-09-22 | Canon Kabushiki Kaisha | Secure communication method, terminal device, authentication server, computer program, and computer-readable recording medium |
| CN102147845A (zh) * | 2011-04-18 | 2011-08-10 | 北京思创银联科技股份有限公司 | 进程监控方法 |
| CN102473221A (zh) * | 2009-09-01 | 2012-05-23 | 株式会社日立制作所 | 非法进程检测方法及非法进程检测系统 |
| CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
| CN102521101A (zh) * | 2011-12-08 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种基于进程扫描的非法作业监控方法 |
| CN103888252A (zh) * | 2012-12-19 | 2014-06-25 | 深圳市华营数字商业有限公司 | 一种基于uid、pid、appid控制应用访问权限方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0720165B2 (ja) * | 1989-07-26 | 1995-03-06 | 株式会社東芝 | 通信装置 |
| US8055527B1 (en) * | 2001-06-08 | 2011-11-08 | Servigistics, Inc. | Policy based automation for a supply chain |
| US7249379B2 (en) * | 2002-02-01 | 2007-07-24 | Systems Advisory Group Enterprises, Inc. | Method and apparatus for implementing process-based security in a computer system |
| JP2005196728A (ja) * | 2003-12-11 | 2005-07-21 | Nec Corp | セキュリティ検証システム、装置、方法、およびセキュリティ検証用プログラム |
| JP4447977B2 (ja) * | 2004-06-30 | 2010-04-07 | 富士通マイクロエレクトロニクス株式会社 | セキュアプロセッサ、およびセキュアプロセッサ用プログラム。 |
| US7890428B2 (en) * | 2005-02-04 | 2011-02-15 | Microsoft Corporation | Flexible licensing architecture for licensing digital application |
| US7350074B2 (en) * | 2005-04-20 | 2008-03-25 | Microsoft Corporation | Peer-to-peer authentication and authorization |
| US7665098B2 (en) * | 2005-04-29 | 2010-02-16 | Microsoft Corporation | System and method for monitoring interactions between application programs and data stores |
| JP4787263B2 (ja) * | 2005-10-24 | 2011-10-05 | サイエンスパーク株式会社 | 電子計算機のデータ管理方法、プログラム、及び記録媒体 |
| JP2007310656A (ja) * | 2006-05-18 | 2007-11-29 | Hitachi Ltd | 計算機システム及び論理パス差分検出方法 |
| US7684352B2 (en) * | 2006-11-02 | 2010-03-23 | Nortel Networks Ltd | Distributed storage of routing information in a link state protocol controlled network |
| JP5315748B2 (ja) * | 2008-03-28 | 2013-10-16 | 富士通株式会社 | マイクロプロセッサおよびシグネチャ生成方法ならびに多重化システムおよび多重化実行検証方法 |
| US8474044B2 (en) * | 2009-01-05 | 2013-06-25 | Cisco Technology, Inc | Attack-resistant verification of auto-generated anti-malware signatures |
| US9582590B2 (en) * | 2010-12-28 | 2017-02-28 | Verizon Patent And Licensing Inc. | Method and system for presenting a navigation path for enabling retrieval of content |
| JP2012212211A (ja) * | 2011-03-30 | 2012-11-01 | Hitachi Ltd | 認証連携システム、および、認証連携方法 |
| US8626543B2 (en) * | 2011-10-08 | 2014-01-07 | Sap Ag | Tracing software execution of a business process |
| EP3069241B1 (en) * | 2013-11-13 | 2018-08-15 | Microsoft Technology Licensing, LLC | Application execution path tracing with configurable origin definition |
-
2015
- 2015-04-30 CN CN201510218936.6A patent/CN106209734B/zh active Active
- 2015-12-14 TW TW104141928A patent/TWI679551B/zh not_active IP Right Cessation
-
2016
- 2016-04-28 US US15/141,042 patent/US11146554B2/en active Active
- 2016-04-28 WO PCT/US2016/029731 patent/WO2016176424A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210253A1 (en) * | 2004-01-30 | 2005-09-22 | Canon Kabushiki Kaisha | Secure communication method, terminal device, authentication server, computer program, and computer-readable recording medium |
| CN102473221A (zh) * | 2009-09-01 | 2012-05-23 | 株式会社日立制作所 | 非法进程检测方法及非法进程检测系统 |
| CN102147845A (zh) * | 2011-04-18 | 2011-08-10 | 北京思创银联科技股份有限公司 | 进程监控方法 |
| CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
| CN102521101A (zh) * | 2011-12-08 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种基于进程扫描的非法作业监控方法 |
| CN103888252A (zh) * | 2012-12-19 | 2014-06-25 | 深圳市华营数字商业有限公司 | 一种基于uid、pid、appid控制应用访问权限方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790075A (zh) * | 2016-12-21 | 2017-05-31 | 上海云熵网络科技有限公司 | 用于udp传输的认证系统及认证方法 |
| CN106775960A (zh) * | 2016-12-30 | 2017-05-31 | 武汉斗鱼网络科技有限公司 | 一种对Windows进程的唯一标示方法及系统 |
| CN106775960B (zh) * | 2016-12-30 | 2020-04-10 | 武汉斗鱼网络科技有限公司 | 一种对Windows进程的唯一标示方法及系统 |
| CN111090480A (zh) * | 2018-10-24 | 2020-05-01 | 武汉斗鱼网络科技有限公司 | 一种检测进程实例个数的方法及相关装置 |
| CN111090480B (zh) * | 2018-10-24 | 2022-06-21 | 武汉斗鱼网络科技有限公司 | 一种检测进程实例个数的方法及相关装置 |
| CN110414209A (zh) * | 2019-03-14 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种应用程序的机密获取方法、应用装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI679551B (zh) | 2019-12-11 |
| US20160323278A1 (en) | 2016-11-03 |
| WO2016176424A1 (en) | 2016-11-03 |
| CN106209734B (zh) | 2019-07-19 |
| US11146554B2 (en) | 2021-10-12 |
| TW201638822A (zh) | 2016-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106209734B (zh) | 进程的身份认证方法和装置 | |
| CN110968743B (zh) | 针对隐私数据的数据存储、数据读取方法及装置 | |
| JP7175269B2 (ja) | モノのインターネットデバイスの記録検証方法及び装置、ならびにid認証方法及び装置 | |
| CN107979514B (zh) | 一种对设备进行绑定的方法和设备 | |
| US10601801B2 (en) | Identity authentication method and apparatus | |
| CN106657152B (zh) | 一种鉴权方法及服务器、访问控制装置 | |
| WO2016180204A1 (zh) | 一种安全通讯方法和装置 | |
| TWI682297B (zh) | 防止跨網站請求偽造的方法、裝置及系統 | |
| CN105915338B (zh) | 生成密钥的方法和系统 | |
| CN107508791B (zh) | 一种基于分散密钥加密的终端身份验证方法及系统 | |
| CN104836784B (zh) | 一种信息处理方法、客户端和服务器 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| CN105391734A (zh) | 一种安全登录系统及方法、登录服务器和认证服务器 | |
| WO2014187210A1 (zh) | 一种电子签名令牌私钥的备份方法和系统 | |
| CN104462874B (zh) | 一种支持离线共享数字资源的drm方法与系统 | |
| CN114374522B (zh) | 一种可信设备认证方法、装置、计算机设备及存储介质 | |
| CN113505353B (zh) | 一种认证方法、装置、设备和存储介质 | |
| KR20200043855A (ko) | Dim을 이용한 드론 인증 방법 및 장치 | |
| TWI657350B (zh) | App認證的系統和方法 | |
| CN111404884B (zh) | 安全通信方法、客户机及非公开服务器 | |
| WO2014187208A1 (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN108390892B (zh) | 一种远程存储系统安全访问的控制方法和装置 | |
| CN112887983B (zh) | 设备身份认证方法、装置、设备及介质 | |
| CN111817860B (zh) | 一种通信认证方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1230817 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |