CN101217532B - 一种防止网络攻击的数据传输方法及系统 - Google Patents
一种防止网络攻击的数据传输方法及系统 Download PDFInfo
- Publication number
- CN101217532B CN101217532B CN2007101255807A CN200710125580A CN101217532B CN 101217532 B CN101217532 B CN 101217532B CN 2007101255807 A CN2007101255807 A CN 2007101255807A CN 200710125580 A CN200710125580 A CN 200710125580A CN 101217532 B CN101217532 B CN 101217532B
- Authority
- CN
- China
- Prior art keywords
- opposite end
- local terminal
- sequence number
- encryption
- data transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及通信领域,提供了一种防止网络攻击的数据传输方法及系统。所述方法包括以下步骤:A.本端发送握手消息至对端,接收对端反馈的序列数及传输数据,并接收对端根据所述序列数生成的第一加密数;B.本端根据所述第一加密数验证对端身份,再对所述序列数进行变换,根据变换后的序列数及传输数据计算第二加密数,将所述第二加密数发送至对端;C.对端接收到本端发送的第二加密数,则根据所述第二加密数验证本端身份;所述第一加密数和第二加密数通过一致的加密算法所得。本发明通过在数据传输时,采用动态的加密算法计算加密数,使得黑客无法捕捉或篡改数据包,提高了网络安全。
Description
技术领域
本发明涉及通信领域,更具体地说,涉及一种防止网络攻击的数据传输方法及系统。
背景技术
网管系统已为人们所熟知,在企业中其用于管理公司运营产品线中的每台服务器。如附图1所示,即目前网管系统的架构,其通过代理(Agent)收集每台服务器的状态,将收集到的数据集中到网络管理系统(Network ManagementSystem,NMS),NMS提供可视化的界面,可以监控每台服务器的运行状态,也可以管理服务器。NMS和每台服务器上的Agent通过用户数据报协议(UserDatagram Protocol,UDP)方式进行通讯,通讯数据中包括了Agent收集到的服务器运行的参数,还包括NMS下达的管理指令。NMS和Agent之间的数据通讯要能够做到绝对可靠,也即Agent不能谎报军情,NMS也不能随意下达命令。
但是目前常规的网络通讯协议中,客户端和服务器之间的数据采用不认证的方式进行传输,如:实时流协议(Real Time Streaming Protocol,RTSP)、实时传输协议(Real Time Transport Protocol,RTP)、超文本传输协议(HypertextTransfer Protocol,HTTP)、域名服务器(Domain Name Server,DNS)协议等,这些通讯协议既有文本的也有二进制的,它们都能实现某种既定的数据传输目的,但有一个致命的缺陷,一旦网络数据包被黑客截获,加以分析,并通过链路层模拟客户端或服务器,发出某些危险的指令,就可能非法获取某些信息或导致网络系统的瘫痪。
因此需要一种新的防止网络攻击的数据传输方法,从而防止遭受网络攻击,提高系统安全性。
发明内容
本发明的目的在于提供一种防止网络攻击的数据传输系统,旨在解决现有技术在网络数据传输过程中存在的易受网络攻击、安全性低的问题。
本发明的目的还在于提供一种防止网络攻击的数据传输方法,以更好地解决现有技术中存在的上述问题。
为了实现发明目的,所述防止网络攻击的数据传输系统,包括客户端和服务器,在所述系统中互为本端和对端,所述客户端和服务器均包括加密处理单元和认证单元,用于在数据传输过程中相互进行身份认证;
所述加密处理单元根据固定函数对对端发送的序列数进行变换,并基于所述序列数按照双方确定的加密算法得到加密数;
所述认证单元根据对端发送的序列数和加密数对对端分身进行验证。
优选地,所述加密处理单元进一步包括序列更替模块、加密数计算模块;
所述序列更替模块用于根据固定函数对对端发送的序列数进行变换;
所述加密数计算模块按照双方确定的加密算法,根据序列数计算得到加密数。
优选地,所述加密数计算模块存储有一个加密算法的配置文件,该配置文件中记载至少一种信息-摘要算法,供本端或对端选择并协商一致。
为了更好地实现发明目的,所述防止网络攻击的数据传输方法中,客户端和服务器互为本端和对端,所述方法包括以下步骤:
A.本端发送握手消息至对端,接收对端反馈的序列数及传输数据,并接收对端根据所述序列数生成的第一加密数;
B.本端根据所述第一加密数验证对端身份,再对所述序列数进行变换,根据变换后的序列数及传输数据计算第二加密数,将所述第二加密数发送至对端;
C.对端接收到本端发送的第二加密数,则根据所述第二加密数验证本端身份;
所述第一加密数和第二加密数通过一致的加密算法所得。
优选地,所述步骤B中计算加密数的过程进一步包括:
B1.按照固定函数对序列数进行变换;
B2.基于所述序列数,按照加密算法计算得到第二加密数。
优选地,所述步骤B1中的固定函数是一个单调函数,公式为x=x+a,其中a是非零整数。
优选地,所述步骤B1中a的取值为1。
优选地,所述加密算法从本端存储的配置文件中提取,并与对端协商一致。
优选地,所述配置文件中包括至少一种信息-摘要算法。
本发明通过在数据传输时,采用动态的加密算法计算加密数,也即:每次序列数固定变换(如每次加1),再根据加密算法计算加密数,然后双方认证。这样就使得黑客无法捕捉或篡改数据包,提高了网络安全。
附图说明
图1是现有技术中的数据传输系统结构图;
图2是本发明中防止网络攻击的数据传输系统结构图;
图3是本发明的一个实施例中客户端的结构图;
图4是本发明中防止网络攻击的数据传输方法流程图;
图5是本发明的一个实施例中防止网络攻击的数据传输方法的时序图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明通过在数据传输时,每次本端对接收到的序列数固定变换(如每次加1),再根据加密算法计算加密数,然后双方认证。这样就使得黑客无法捕捉或篡改数据包,提高了网络安全。
图2示出了本发明中防止网络攻击的数据传输系统结构,包括客户端100和服务器200,其中客户端100包括信息收发单元101、加密处理单元102、认证单元103,服务器200包括信息收发单元201、加密处理单元202、认证单元203。在本发明中,客户端100中各单元的功能与服务器200中是对等的,两者需要相互验证身份,因此在本发明中互为本端和对端。
现以客户端100为例,对各功能单元进行说明:
(1)信息收发单元101与加密处理单元102进行数据交互,用于与服务器200进行信息交互。包括:发送握手消息至服务器200;接收服务器200反馈的传输数据及序列数,并送入加密处理单元102;将加密处理单元102计算得到的加密数发送给服务器200进行验证;以及接收服务器200发送的加密数,并将其送入认证单元103进行验证。
(2)加密处理单元102与信息收发单元101进行数据交互,用于根据变换后的序列数及传输数据计算加密数。在本发明的一个示例方案中,如图3所示,该加密处理单元102进一步包括序列更替模块1021、加密数计算模块1022,其中:
序列更替模块1021用于根据固定函数对对端发送的序列数进行变换。在一个实施例中,该固定函数是一个单调函数,公式为x=x+a,其中a是非零整数,比如a的数值可以取1。
加密数计算模块1022按照双方确定的加密算法,根据序列数计算得到加密数。该加密算法可以是多种,例如是信息-摘要算法5(Message-Digest Algorithm5,MD5),只要双方确定均采用该算法即可。在一个典型实施例中,加密数计算模块1022存储有一个加密算法的配置文件,该配置文件中记载至少一种信息-摘要算法,并对各种算法进行编号,本端和对端在首次握手时,使用初始默认的同一编号的加密算法进行加密,此后若变换加密算法,则在本端发送的请求信息中更换加密算法的编号,对端根据请求信息在配置文件中启动与该编号对应的其他加密算法。由上可知,本发明中加密数的计算与序列数相关,而序列数每次都是不重复(每次加1)的,且加密数与实际传输的内容相关。因此只要通讯双方都知道加密方法就可以顺利进行相互认证,但是第三方则很难破解加密数,这就达到了防止黑客攻击的目的。
(3)认证单元203与信息收发单元101进行数据交互,用于根据对端(即服务器200)发送的序列数和加密数对对端分身进行验证。其具体的验证过程可参照现有技术。
如前所述,客户端100中各单元的功能与服务器200中是对等的,因此服务器200中各单元的功能不再赘述。
图4示出了本发明中防止网络攻击的数据传输方法流程,该方法流程基于图2所示的系统结构。在该方法流程中,客户端100和服务器200互为本端及对端,具体过程如下:
在步骤S401中,本端发送握手消息至对端,并接收对端反馈的序列数及传输数据,以及接收对端根据序列数生成的第一加密数。在一个示例方案中,本端是客户端100,对端是服务器200。那么客户端100发送握手消息至服务器200,并接收服务器200反馈的序列数及传输数据,以及接收服务器200根据序列数生成的第一加密数。在另一个示例方案中,本端是服务器200,对端是客户端100。那么服务器200发送握手消息至客户端100,并接收客户端100反馈的序列数及传输数据,以及接收客户端100根据序列数生成的第一加密数。
在本发明中,第一加密数及后续的第二加密数,直至第N加密数,都是根据本端和对端协商一致的加密算法进行计算所得。
在步骤S402中,本端接收到数据后,根据第一加密数对对端身份进行验证,然后对序列数进行变换,根据变换后的序列数及传输数据计算第二加密数,并将第二加密数发送至对端。该步骤中计算第二加密数的步骤进一步包括:(1)按照固定函数对序列数进行变换;(2)基于该序列数,按照加密算法计算得到第二加密数。在一个示例方案中,本端是客户端100,对端是服务器200。那么客户端100根据变换后的序列数及传输数据计算第二加密数,并将第二加密数发送至服务器200。在另一个示例方案中,本端是服务器200,对端是客户端100。那么服务器200根据变换后的序列数及传输数据计算第二加密数,并将第二加密数发送至客户端100。
在一个实施例中,前述步骤(1)中的固定函数是一个单调函数,公式为x=x+a,其中a是非零整数,比如a的数值可以取1。而步骤(2)中的加密算法可以是MD5,或者其他类型的加密算法,只要双方确定均采用该算法即可。在一个典型实施例中,加密数计算模块1022存储有一个加密算法的配置文件,该配置文件中记载至少一种信息-摘要算法,并对各种算法进行编号,本端和对端在首次握手时,使用初始默认的同一编号的加密算法进行加密,此后若变换加密算法,则在本端发送的请求信息中更换加密算法的编号,对端根据请求信息在配置文件中启动与该编号对应的其他加密算法。
在步骤S403中,对端根据加密数验证本端身份是否合法。在一个示例方案中,本端是客户端100,对端是服务器200。那么服务器200根据第二加密数验证客户端100身份是否合法。在另一个示例方案中,本端是服务器200,对端是客户端100。那么客户端100根据第二加密数验证服务器200身份是否合法。
图5是本发明的一个实施例中防止网络攻击的数据传输方法的时序图。该方法时序基于图2、图3所示的系统结构及图4所示的方法流程。该实施例是一个典型的应用场景,展示了双方在一次数据传输过程中进行身份验证的全过程。具体过程如下:
步骤1:客户端100发送握手消息至服务器200。
步骤2:服务器200生成序列数,根据该序列数计算第一加密数,然后将序列数、第一加密数和传输数据均发送给客户端100。该本实施例中,加密算法采用信息-摘要算法5(Message-Digest Algorithm 5,MD5)。
步骤3:服务器200反馈序列数、传输数据、第一加密数至客户端100。
步骤4:客户端100通过其信息收发单元101收到序列数及传输数据后,利用加密处理单元102按照固定函数对序列数进行变换。在该实施例中,固定函数是一个单调函数,公式为x=x+1,也即每次对序列数进行加1处理。
步骤5:客户端100进一步利用加密处理单元102根据序列数和此前的传输数据计算第二加密数。此时所采用的加密算法与第一加密数的计算方法一致,还是采用MD5。由上可知,加密数的计算与序列数相关,而序列数每次都是不重复(每次加1)的,且加密数与实际传输的内容相关。因此只要通讯双方都知道加密方法就可以顺利进行相互认证,但是第三方则很难破解加密数,这就达到了防止黑客攻击的目的。
步骤6:客户端100利用其信息收发单元101发送序列数及第二加密数至服务器200。
步骤7:服务器200根据序列数及加密数验证客户端100的身份是否合法:如不合法则结束,如合法则继续执行后续步骤。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种防止网络攻击的数据传输系统,包括客户端和服务器,在所述系统中互为本端和对端,其特征在于,所述客户端和服务器均包括加密处理单元和认证单元,用于在数据传输过程中相互进行身份认证;
本端加密处理单元根据固定函数对对端发送的序列数进行变换,并基于所述变换后的序列数和对端发送的传输数据按照双方确定的加密算法得到第二加密数;
本端认证单元根据对端发送的序列数和对端发送的第一加密数对对端身份进行验证;
对端认证单元,根据本端发送的所述变换后的序列数及第二加密数对本端身份进行验证。
2.根据权利要求1所述的防止网络攻击的数据传输系统,其特征在于,所述本端加密处理单元进一步包括本端序列更替模块、本端加密数计算模块;
所述本端序列更替模块用于根据固定函数对对端发送的序列数进行变换;
所述本端加密数计算模块按照双方确定的加密算法,根据变换后的序列数和所接收的来自对端的数据计算第二加密数。
3.根据权利要求2所述的防止网络攻击的数据传输系统,其特征在于,所述本端加密数计算模块存储有一个加密算法的配置文件,该配置文件中记载至少一种信息-摘要算法,供本端或对端选择并协商一致。
4.一种基于权利要求1所述系统防止网络攻击的数据传输方法,其中客户端和服务器互为本端和对端,其特征在于,所述方法包括以下步骤:
A.本端发送握手消息至对端,接收对端反馈的序列数及传输数据,并接收对端根据所述序列数生成的第一加密数;
B.本端根据所述第一加密数验证对端身份,再对所述序列数进行变换,根据变换后的序列数及所接收的来自对端的数据计算第二加密数,将所述第二加密数发送至对端;
C.对端接收到本端发送的第二加密数,则根据所述第二加密数验证本端身份;
所述第一加密数和第二加密数通过一致的加密算法所得。
5.根据权利要求4所述的防止网络攻击的数据传输方法,其特征在于,所述步骤B中计算加密数的过程进一步包括:
B1.按照固定函数对序列数进行变换;
B2.基于变换后的序列数和所接收的来自对端的数据,按照加密算法计算得到第二加密数。
6.根据权利要求5所述的防止网络攻击的数据传输方法,其特征在于,所述步骤B1中的固定函数是一个单调函数,公式为x=x+a,其中a是非零整数。
7.根据权利要求6所述的防止网络攻击的数据传输方法,其特征在于,所述步骤B1中a的取值为1。
8.根据权利要求4至7中任一权利要求所述的防止网络攻击的数据传输方法,其特征在于,所述加密算法从本端存储的配置文件中提取,并与对端协商一致。
9.根据权利要求8所述的防止网络攻击的数据传输方法,其特征在于,所述配置文件中包括至少一种信息-摘要算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101255807A CN101217532B (zh) | 2007-12-28 | 2007-12-28 | 一种防止网络攻击的数据传输方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101255807A CN101217532B (zh) | 2007-12-28 | 2007-12-28 | 一种防止网络攻击的数据传输方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101217532A CN101217532A (zh) | 2008-07-09 |
| CN101217532B true CN101217532B (zh) | 2011-05-18 |
Family
ID=39623894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101255807A Expired - Fee Related CN101217532B (zh) | 2007-12-28 | 2007-12-28 | 一种防止网络攻击的数据传输方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101217532B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103391289A (zh) * | 2013-07-16 | 2013-11-13 | 中船重工(武汉)凌久高科有限公司 | 一种基于完成端口模型的多链路安全通信方法 |
| CN107968773B (zh) * | 2016-10-20 | 2021-12-24 | 盛趣信息技术(上海)有限公司 | 一种实现数据安全性和完整性的方法和系统 |
| CN112351041B (zh) * | 2020-11-11 | 2023-04-21 | 宏图智能物流股份有限公司 | 一种应用于物流网络的网络请求防篡改方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1768502A (zh) * | 2002-06-19 | 2006-05-03 | 安全通信公司 | 相互认证方法和装置 |
| CN101056116A (zh) * | 2007-05-25 | 2007-10-17 | 北京航空航天大学 | 无线数据采集硬件模块及制作方法 |
-
2007
- 2007-12-28 CN CN2007101255807A patent/CN101217532B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1768502A (zh) * | 2002-06-19 | 2006-05-03 | 安全通信公司 | 相互认证方法和装置 |
| CN101056116A (zh) * | 2007-05-25 | 2007-10-17 | 北京航空航天大学 | 无线数据采集硬件模块及制作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101217532A (zh) | 2008-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Weinberg et al. | Stegotorus: a camouflage proxy for the tor anonymity system | |
| US8179818B2 (en) | Proxy terminal, server apparatus, proxy terminal communication path setting method, and server apparatus communication path setting method | |
| CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
| CN107395312A (zh) | 一种安全网络时间同步方法及装置 | |
| US8190764B2 (en) | Method and system for an intercept chain of custody protocol | |
| RU2530691C1 (ru) | Способ защищенного удаленного доступа к информационным ресурсам | |
| Musa et al. | Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security | |
| Alsmirat et al. | A security framework for cloud-based video surveillance system | |
| Park et al. | Inter-authentication and session key sharing procedure for secure M2M/IoT environment | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| CN101217532B (zh) | 一种防止网络攻击的数据传输方法及系统 | |
| Tonyali et al. | An attribute-based reliable multicast-over-broadcast protocol for firmware updates in smart meter networks | |
| KR100789354B1 (ko) | 네트워크 카메라, 홈 게이트웨이 및 홈 오토메이션장치에서의 데이터 보안 유지 방법 및 장치 | |
| CN100428748C (zh) | 一种基于双重身份的多方通信方法 | |
| Schulz et al. | d 2 Deleting Diaspora: Practical attacks for profile discovery and deletion | |
| CN112751661A (zh) | 一种基于同态加密的工业现场设备隐私数据保护方法 | |
| Suherman et al. | Embedding the three pass protocol messages into transmission control protocol header | |
| CN104469758A (zh) | 多设备安全登录方法 | |
| Menyah | A real time demonstrative analysis of lightweight payload encryption in resource constrained devices based on MQTT | |
| CN115296940B (zh) | 用于隔离网络的安全远程数据交互方法及相关设备 | |
| Zaghal et al. | Extending AES with DH key-exchange to enhance VoIP encryption in mobile networks | |
| Annessi | Securing group communication in critical Infrastructures | |
| CN102148704A (zh) | 一种加密型交换机通用网管接口的软件实现方法 | |
| Park et al. | A service protection mechanism using vpn gw hiding techniques | |
| Cengiz | A practical key agreement scheme for videoconferencing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHENZHEN TEMOBI SCIENCE + TECHNOLOGY CO., LTD. Free format text: FORMER NAME: SHENZHEN RONGCHUANG TIANXIA TECHNOLOGY DEVELOPMENT CO., LTD. |
|
| CP03 | Change of name, title or address |
Address after: 518057 Guangdong, Shenzhen Province, science and technology, South Road, No. twelve Changhong science and technology building, building 19, unit 01-11, unit 18 Patentee after: Shenzhen Temobi Science & Tech Development Co.,Ltd. Address before: Nine road 518000 Guangdong city of Shenzhen province Futian District Shennan Avenue and Tairan south-east of the junction of Jinrun building 407-410 Patentee before: Shenzhen Rongchuang Tianxia Technology Development Co., Ltd. |
|
| C56 | Change in the name or address of the patentee |
Owner name: SHENZHEN RONGCHANG TIANXIA TECHNOLOGY CO., LTD. Free format text: FORMER NAME: SHENZHEN TEMOBI SCIENCE + TECHNOLOGY CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 518057 Guangdong, Shenzhen Province, science and technology, South Road, No. twelve Changhong science and technology building, building 19, unit 01-11, unit 18 Patentee after: SHENZHEN TEMOBI TECHNOLOGY CO., LTD. Address before: 518057 Guangdong, Shenzhen Province, science and technology, South Road, No. twelve Changhong science and technology building, building 19, unit 01-11, unit 18 Patentee before: Shenzhen Temobi Science & Tech Development Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110518 Termination date: 20161228 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |