CN101834867A - 一种客户端安全保护方法及其装置 - Google Patents
一种客户端安全保护方法及其装置 Download PDFInfo
- Publication number
- CN101834867A CN101834867A CN 201010164730 CN201010164730A CN101834867A CN 101834867 A CN101834867 A CN 101834867A CN 201010164730 CN201010164730 CN 201010164730 CN 201010164730 A CN201010164730 A CN 201010164730A CN 101834867 A CN101834867 A CN 101834867A
- Authority
- CN
- China
- Prior art keywords
- client
- safety verification
- verification parameter
- command sequence
- descriptor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种客户端安全保护方法及其装置,本发明公开的客户端安全保护方法,应用于客户端/服务器系统,包括:网络侧根据客户端函数指令序列为客户端生成安全验证参数并保存,并将所述客户端函数指令序列的描述信息发送给所述客户端;网络侧在随后触发的客户端安全保护流程中,接收所述客户端根据所述函数指令序列的描述信息所指示的函数指令序列生成的安全验证参数,并根据该安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,以及根据验证结果对所述客户端进行安全保护。采用本发明,可提高客户端安全保护效果。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种客户端安全保护方法及其装置。
背景技术
在目前的客户端/服务器的网络应用中,网络架构一般由三个部分组成:网络客户端、网络接入设备和认证服务器。其中,网络客户端工作在用户PC,为用户提供信息输入界面并与网络接入设备交互,通过网络接入协议(如802.1x、Portal、ADSL、WLAN、VPN等;其中,Portal表示门户,ADSL表示非对称数字用户环路,是Asymmetric Digital Subscriber Line的简写;WLAN表示无线局域网,是Wireless Local Area Network的简写;VPN表示虚拟专用网络,是Virtual Private Network的简写)完成身份认证和转发数据报文;网络接入设备工作在网络接入层,将客户端传来的接入协议信息转发给认证服务器,并根据认证服务器的结果赋予用户相应的网络访问权限;认证服务器用来验证用户身份信息,并可根据数据库中存储的响应策略予以响应。
正常情况下只有用户首先通过了身份认证,才能获得网络的使用权。而一些非法用户为了能够绕开身份认证或者绕开客户端对主机的安全检查,采用破解、篡改或仿冒网络客户端的方式,以求获得不受控制的网络权限。由于客户端工作在用户的PC环境中,用户可以利用各种反汇编或内存查看工具对其进行不受限制的攻击和观察,因此常常给网络安全造成隐患。目前已有通过加密算法的方式尝试解决此问题,但仍然不能完全防御。
现有的客户端保护机制可如图1所示,包括以下过程:
在客户端接入认证过程中(步骤101~106),客户端发起网络接入协议认证,接入设备终结接入协议报文,并向认证服务器发起认证;如果该用户认证成功,认证服务器根据私有算法生成一随机字符串Rand_Key,再根据私有算法并利用Rand_Key产生一HASH字符串Rand_Hash,然后随验证成功回应报文传送给接入设备;接入设备将Rand_Key直接通过接入协议报文透传给客户端,并将Rand_Hash值保存在在线用户列表中;客户端收到接入设备发过来的Rand_Key,根据服务器相应的私有算法也生成一HASH字符串Rand_Hash,并在随后的所有接入协议握手报文中都将携带该Rand_Hash。
在安全保护过程中(步骤107~109),接入设备向客户端发送接入协议心跳报文,接收客户端通过心跳回应报文返回的Rand_Hash,并将其与在线用户列表中的Rand_Hash比较,如果相同则继续握手,否则,接入设备向客户端和服务器发送下线报文,强制用户下线。
认证服务器可根据接入设备的请求周期更新Rand_Key和Rand_Hash。在一个更新周期过程中(步骤110~113),接入设备向认证服务器发送更新请求报文,与接入认证过程相同,认证服务器在回应时,根据私有算法生成一新的随机字符串Rand_Key,再根据私有算法并利用Rand_Key产生一新的HASH字符串Rand_Hash,然后随更新回应报文传送给接入设备;接入设备将Rand_Key直接通过接入协议报文透传给客户端,同时在设备的在线用户列表中将新Rand_Hash值替换原值;客户端收到接入设备发过来的新的Rand_Key,并在随后的所有握手报文中都携带根据新的Rand_Key生成的Rand_hash。
在随后的安全保护过程中,接入设备收到客户端发送过来的新的Rand_Hash,将其与用户在线列表中的新的Rand_Hash比较,如果相同,则继续握手,否则,接入设备向客户端和服务器发送下线报文,强制用户下线。
上述流程中,认证服务器周期更新Rand_Key和Rand_Hash,接入设备周期进行安全保护过程,直至其中一方触发下线。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷:
由于Hash加密算法保障安全较为简单,且Hash算法本身就几种,很容易破解,Hash算法的数据源也容易找到,因此为非法用户仿冒合法用户提供了可能性,客户端安全保护效果较低。
发明内容
本发明提供了一种客户端安全保护方法及其装置,用以解决现有技术中客户端安全保护效果差的问题。
本发明提供的客户端安全保护方法,应用于客户端/服务器系统,该方法包括:
网络侧根据客户端函数指令序列为客户端生成安全验证参数并保存,并将所述客户端函数指令序列的描述信息发送给所述客户端;
网络侧在随后触发的客户端安全保护流程中,接收所述客户端根据所述函数指令序列的描述信息所指示的函数指令序列生成的安全验证参数,并根据该安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,以及根据验证结果对所述客户端进行安全保护。
根据本发明的上述方法,根据客户端函数指令序列生成安全验证参数,具体为:选择客户端函数,并从该函数的指令序列中选择部分或全部的连续指令序列,根据选择的指令序列生成hash值,将生成的hash值作为安全验证参数;
客户端函数指令序列的描述信息包括:客户端函数标识、生成hash值所使用的指令序列在整个函数指令序列中的起始位置和位置偏移量;
客户端根据所述函数指令序列的描述信息所指示的函数指令序列生成安全验证参数,具体为:客户端根据所述描述信息中的客户端函数标识选择对应的客户端函数指令序列,根据所述描述信息中的起始位置和位置偏移量从选择的客户端函数指令序列中选取对应的指令序列,并根据选取的指令序列生成安全验证参数。
根据本发明的上述方法,根据所述客户端生成的安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,具体为:如果客户端生成的安全验证参数与网络侧保存的安全验证参数相同,所述客户端合法;否则,所述客户端非法。
根据本发明的上述方法,所述客户端/服务器系统包括客户端、网络接入设备和认证服务器;
网络侧生成安全验证参数并保存,并将所述客户端函数指令的描述信息发送给所述客户端,具体为:
认证服务器生成所述安全验证参数和所述客户端函数指令序列的描述信息,并发送给网络接入设备;网络接入设备将所述安全验证参数保存到在线用户列表中,并将所述函数指令序列的描述信息发送给客户端;
网络侧根据所述客户端生成的安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,具体为:
网络接入设备接收客户端生成的安全验证参数,并根据客户端生成的安全验证参数和在线用户列表中保存的该客户端的安全验证参数,验证所述客户端的合法性。
根据本发明的上述方法,所述客户端/服务器系统包括客户端和认证服务器;
网络侧生成安全验证参数并保存,并将所述客户端函数指令序列的描述信息发送给所述客户端,具体为:
认证服务器生成所述安全验证参数和所述客户端函数指令序列的描述信息,并将所述安全验证参数保存到在线用户列表中,将所述函数指令序列的描述信息发送给客户端;
网络侧根据所述客户端生成的安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,具体为:
认证服务器根据接收客户端生成的安全验证参数,并根据客户端生成的安全验证参数和在线用户列表中保存的该客户端的安全验证参数,验证所述客户端的合法性。
根据本发明的上述方法,网络侧在所述客户端接入过程中对该客户端的身份认证通过后生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端;
或者,网络侧在周期触发的安全验证参数更新过程中生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端。
上述方法中,所述客户端/服务器系统包括客户端、网络接入设备和认证服务器;网络侧在周期触发的安全验证参数更新过程中生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端,包括:网络接入设备周期请求认证服务器更新安全验证参数,并将认证服务器更新后的客户端函数指令序列的描述信息携带于心跳报文发送给客户端;
或者,所述客户端/服务器系统包括客户端和认证服务器;网络侧在周期触发的安全验证参数更新过程中生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端,包括:认证服务器周期更新安全验证参数,并将更新后的客户端函数指令序列的描述信息携带于心跳响应报文发送给客户端。
本发明提供的网络接入设备,应用于客户端/服务器系统,包括:
接口单元,用于接收认证服务器发送的、由该认证服务器根据客户端函数指令序列为客户端生成的安全验证参数和所述客户端函数指令序列的描述信息,并将所述描述信息发送给客户端;以及,接收客户端根据所述描述信息生成并发送的安全验证参数;
保存单元,与所述接口单元连接,用于保存所述接口单元从认证服务器接收到的所述安全验证参数;
验证单元,与所述接口单元和所述保存单元连接,用于根据所述保存单元保存的安全验证参数和所述接口单元从客户端接收到的安全验证参数,对所述客户端进行安全验证,以及根据验证结果对所述客户端进行安全保护。
根据本发明提供的网络接入设备,所述接口单元具体用于,接收所述认证服务器在所述客户端接入过程中对该客户端的身份认证通过后生成的安全验证参数和所述描述信息;或者,接收所述认证服务器在周期触发的安全验证参数更新过程中生成的安全验证参数和所述描述信息。
上述网络接入设备中,所述接口单元具体用于,周期请求认证服务器更新安全验证参数,并将认证服务器更新后的客户端函数指令序列的描述信息携带于心跳报文发送给客户端。
本发明的有益技术效果包括:
本发明中,网络侧根据客户端函数指令序列为客户端生成安全验证参数以及该客户端函数指令序列的描述信息,客户端根据该客户端函数指令序列描述信息生成客户端的安全验证参数,使网络侧根据自己生成的安全验证参数与接收到的客户端生成的安全验证参数对该客户端进行安全验证以及安全保护。由于生成安全验证参数的依据是客户端函数指令序列,而通常客户端函数指令序列相对于现有技术中的hash算法不易被破解,因此,利用客户端函数指令序列生成安全验证参数并进一步进行安全验证和安全保护,与现有技术相比,可以提高安全保护效果。
附图说明
图1为现有技术中的客户端安全保护流程示意图;
图2为本发明实施例一提供的客户端安全保护流程示意图;
图3为本发明实施例二提供的客户端安全保护流程示意图;
图4为本发明实施例提供的网络接入设备的结构示意图。
具体实施方式
针对现有技术存在的问题,本发明实施例提供了一种解决方案,其中,网络侧根据客户端函数指令序列为客户端生成安全验证参数,并将生成该安全验证参数所使用的客户端函数指令序列的描述信息发送给客户端,使客户端可根据该描述信息使用相应的客户端函数指令序列生成安全验证参数,从而使网络侧根据客户端生成的安全验证参数和网络侧保存的安全验证参数,对客户端进行安全保护。
下面结合附图对本发明实施例进行详细描述。
实施例一
本实施例提供的客户端安全保护流程所涉及的网络架构可包括:客户端、网络接入设备(如交换机、路由器、防火墙等)和认证服务器(如RADIUS服务器)。在本实施例提供的客户端安全保护流程中,认证服务器可以在客户端接入过程中以及后续的安全验证码更新过程中,根据客户端的函数指令序列生成安全验证码以及该函数指令序列的描述信息并发送给接入设备,接入设备将函数指令序列描述信息发送给客户端,使客户端能够根据该描述信息使用相应的函数指令序列生成安全验证码,从而使接入设备能够根据认证服务器生成的安全验证码与客户端生成的安全验证码对该客户端进行安全验证以及安全保护。
如图2所示,本发明实施例一所提供的客户端安全保护流程可包括如下步骤:
步骤201、客户端向网络接入设备发送接入协议认证请求报文。
步骤202、接入设备终结接入协议报文,并通过请求服务器验证报文向认证服务器发起对该客户端的认证。
步骤203、认证服务器对该客户端进行身份验证,并在成功验证客户端身份后,根据该客户端的函数指令序列为该客户端生成安全验证码(Rand_Hash1),以及生成所使用的函数指令序列的描述信息(Rand_Key1)。
其中,认证服务器保存的该客户端的函数指令序列,可以是客户端在编译完成函数指令(如函数机器指令)后提交给认证服务器进行保存的,进一步的,还可以在每次客户端程序升级后,将升级后的函数指令序列提交给认证服务器保存。认证服务器保存的函数指令序列的相关信息可包括:函数名、函数入口编码和完整的函数指令序列。其中,函数名是客户端源代码中的函数名;函数入口编码是指每一个函数的唯一编码(或称标识),客户端和认证服务器均持有相同函数编码,以便查找对应的函数指令序列;完整函数指令序列是指客户端函数源代码经编译完成后生成的最终可执行的机器指令序列。
该步骤中,与现有技术不同的是,认证服务器在生成Rand_Key和Rand_Hash时,使用在认证服务器中保存的客户端函数机器指令序列的hash值;其中,Rand_Hash作为安全验证码,用于对客户端进行安全验证,Rand_Key作为客户端函数指令序列的描述信息,用于通知客户端生成安全验证码的依据。具体的,认证服务器生成Rand_Key和Rand_Hash时,可以随机从数据库取一个客户端函数入口编码,然后在该函数入口编码对应的函数指令序列中,再随机取出一段或几段连续的指令序列(也就是函数指令序列的起始地址和偏移量可以随机指定,只要保证不超出整个函数指令序列的范围),用取出的指令序列计算hash值,之后就可以构造Rand_Key1和Rand_Hash1。该步骤中生成的Rand_Hash1就是根据函数指令序列计算出的hash值,生成的Rand_Key1中可包括客户端函数的入口编码、所使用的指令序列在整个函数指令序列中的起始地址和偏移量,其构造可如下所示:
函数入口编码+起始地址+偏移量。
步骤204、认证服务器将安全验证码(Rand_Hash1)和函数指令序列的描述信息(Rand_Key1),携带于验证成功回应报文传送给接入设备。
步骤205、接入设备将Rand_Key1通过接入协议报文透传给客户端,将Rand_Hash1值保存在在线用户列表中,并使该Rand_Hash1与给客户端的身份标识对应保存。
步骤206、客户端接收接入设备发过来的Rand_Key1,根据该Rand_Key1中所指示的函数入口编码、起始地址以及偏移量,从对应的函数指令序列中取对应段的指令序列,并根据取得到的函数指令序列、采用与认证服务器相应的算法生成hash值(Rand_Hash2),该Rand_Hash2将在随后的所有接入协议握手报文中携带,以便接入设备根据该Rand_Hash2以及在线用户列表中保存的该客户端的Rand_Hash1对该客户端进行安全验证。
步骤207~209、接入设备向客户端发送接入协议心跳报文,接收客户端通过心跳回应报文返回的Rand_Hash2,并将Rand_Hash2与在线用户列表中的该客户端的Rand_Hash1比较,如果两者相同,则表明该客户端是合法客户端,则继续握手;否则表明该客户端是非法客户端,接入设备分别向客户端和认证服务器发送下线报文,以强制用户下线。
步骤210~213、接入设备根据设定周期触发认证服务器对Rand_Key和Rand_Hash进行更新。
具体的,在一个更新周期过程中,接入设备向认证服务器发送定时请求服务器更新报文,认证服务器根据该请求重新选择该客户端的函数入口编码,采用与本实施例上述的接入认证过程相同的方式,根据所选择的函数入口编码对应的函数指令序列生成Rand_Key3和Rand_Hash3,并将生成的Rand_Key3和Rand_Hash3随更新回应报文传送给接入设备;接入设备将在线用户列表中该客户端的Rand_Hash2替换为Rand_Hash3,并在心跳周期到达时,将Rand_Key3通过接入协议心跳报文透传给客户端;客户端采用与本实施例前述流程相同的方式,根据接入设备发过来的Rand_Key3生成Rand_Hash4,并在随后的所有握手报文中都携带根据Rand_Key3生成的Rand_Hash4,以便接入设备根据客户端生成的Rand_Hash4与在线用户列表中该客户端的Rand_Hash3,对该客户端进行安全验证。此后的验证过程与本实施例前述的验证过程相同,在此不再赘述。
上述流程中,认证服务器可根据接入设备的请求,周期更新Rand_Key和Rand_Hash,随后,接入设备可通过心跳机制、使用更新后的Rand_Hash周期进行安全保护过程,直至其中一方触发下线。
上述流程的步骤203中,如果认证服务器对客户端身份验证失败,则结束流程。
根据以上流程可以看出,只要函数的源码不变,经过同一个编译器生成的机器指令序列也不变,因而就可以在任意编译器支持的机器系统上运行,以保证认证服务器存储的函数指令与实际运行客户端存储的函数指令的一致性,即保证认证服务器与合法客户端生成验证码所依据的函数指令相同,从而为客户端安全验证提供保证。
由于认证服务器和客户端使用函数指令生成安全验证码,因此使非法客户端不易构造仿冒回应,这是因为:
现有的客户端安全保护方案中主要靠未公开的hash算法来进行安全验证和保护,一旦hash算法被破解,非法客户端就可以通过仿冒合法客户端的安全验证码来回应接入设备的心跳,从而绕开客户端本身的安全检查功能。而本发明实施例由于不再依赖hash算法,而是从生成hash值的数据源着手,将生成hash值的数据源从现有技术方案的简单随机数改进为随机选取的一段函数指令。这样,如果非法客户端要构造仿冒安全验证码以及回应报文,则需要清晰解析出合法客户端的所有函数的指令序列,也就是说必须完整的解析出合法客户端的函数源代码,而就目前已知的技术实现这一结果很困难。而且,客户端通常要不断升级的,每次升级后的函数源码均不一样,即使非法客户端破解了其个版本的函数源码,随着合法客户端的不断升级,也不能长久对合法客户端造成危害。另外,破解技术中断点设置和跟踪需要不断尝试,且需要多次尝试和跟踪才能找到正确的突破口,而本发明实施例的心跳周期一般较长(比如30分钟),恶意用户即使想跟踪,也只能等一个心跳周期才有一次机会,大大提高了跟踪的时间成本。
另一方面,采用本发明上述实施例,还可以防止非法客户端恶意修改合法客户端的函数代码或进程代码,导致给合法客户端带来危害。这是因为:每次心跳客户端都要检查其自身的函数代码或进程代码,以便生成安全验证码,因此一旦有恶意用户篡改当前进程指令序列就会导致安全验证失败以及客户端下行,即能够及时发现以及防范该恶意行为。
实施例二
本实施例提供的客户端安全保护流程所涉及的网络架构可包括:客户端和认证服务器。在本实施例提供的客户端安全保护流程中,认证服务器可以在客户端接入过程中以及后续的安全验证码更新过程中,根据客户端的函数指令序列生成安全验证码,并将所使用的函数指令序列的描述信息发送给客户端,使客户端能够根据该描述信息所指示的函数指令序列生成安全验证码,从而根据认证服务器生成的安全验证码与客户端生成的安全验证码对该客户端进行安全验证以及安全保护。
如图3所示,本发明实施例二所提供的客户端安全保护流程可包括如下步骤:
步骤301~303、客户端向认证服务器发送认证请求报文,认证服务器对该客户端身份验证成功后,根据该客户端的函数指令序列为该客户端生成安全验证码(Rand_Hash1),以及生成该函数指令序列的描述信息(Rand_Key1),认证服务器将Rand_Hash1保存于在线用户列表中,将Rand_Key1携带于验证成功回应报文传送给客户端。其中,认证服务器生成Rand_Hash1和Rand_Key1的方式与实施例一相似,在此不再赘述。
步骤304、客户端接收认证服务器发过来的Rand_Key1,根据该Rand_Key1中所指示的函数入口编码、起始地址以及偏移量,从对应的函数指令序列中取对应段的指令序列,并根据取得到的函数指令序列、采用与认证服务器相应的算法生成Rand_Hash2。
后续在周期性的安全验证及保护过程中,执行以下步骤:
步骤305~310、客户端向认证服务器发送携带有Rand_Hash2的心跳报文,认证服务器将Rand_Hash2与在线用户列表中的该客户端的Rand_Hash1比较,如果两者相同,则继续握手;否则强制用户下线。认证服务器向客户端返回心跳回应报文,以通知客户端验证结果。
当一段时间后,即在心跳几次(次数可由系统设定)后,认证服务器重新为该客户端生成验证码(Rand_Hash3)以及所使用的函数指令序列的描述信息(Rand_Key3),并将Rand_Hash3存储于在线用户列表,将Rand_Key3随心跳回应报文发送给客户端(步骤309~301),并且在下一次心跳中根据Rand_Hash3对客户端进行安全验证和保护处理,如此往复。
客户端根据Rand_Key3重新生成Rand_Hash4,并在随后的周期性安全验证及保护过程中,在心跳报文中携带该重新生成的Rand_Hash。
根据以上流程可以看出,该流程除具有实施例一中所述的技术效果以外,与实施例一相比,由于没有接入设备,因此处理环节得到简化。该种方式由于Rand_Hash值的心跳和比较、验证均在认证服务器进行,因此适合于中小规模网络中实现。
基于相同的技术构思,本发明的实施例还提供了网络接入设备、安全认证服务器和客户端设备。
如图4所示,本发明实施例提供网络接入设备,可应用于如图2所示的流程,该网络接入设备可包括:接口单元401、保存单元402、验证单元403,该设备可应用于上述图2所示流程,其中:
接口单元401,用于接收认证服务器发送的、由该认证服务器根据客户端函数指令序列为客户端生成的安全验证参数(如上述流程中的Rand_Hash)和所述客户端函数指令序列的描述信息(如上述流程中的Rand_Key),并将所述描述信息发送给客户端;以及,接收客户端根据所述描述信息生成并发送的安全验证参数;
保存单元402,与接口单元401连接,用于保存接口单元401从认证服务器接收到的所述安全验证参数;
验证单元403,与接口单元401和保存单元402连接,用于根据保存单元402保存的安全验证参数和接口单元401从客户端接收到的安全验证参数,对所述客户端进行安全验证,以及根据验证结果对所述客户端进行安全保护。
上述网络接入设备中,接口单元401可接收所述认证服务器在所述客户端接入过程中对该客户端的身份认证通过后生成的安全验证参数和所述描述信息;或者,接收所述认证服务器在周期触发的安全验证参数更新过程中生成的安全验证参数和所述描述信息。
上述网络接入设备中,接口单元401可周期请求认证服务器更新安全验证参数,并将认证服务器更新后的客户端函数指令序列的描述信息携带于心跳报文发送给客户端。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (10)
1.一种客户端安全保护方法,应用于客户端/服务器系统,其特征在于,包括:
网络侧根据客户端函数指令序列为客户端生成安全验证参数并保存,并将所述客户端函数指令序列的描述信息发送给所述客户端;
网络侧在随后触发的客户端安全保护流程中,接收所述客户端根据所述函数指令序列的描述信息所指示的函数指令序列生成的安全验证参数,并根据该安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,以及根据验证结果对所述客户端进行安全保护。
2.如权利要求1所述的方法,其特征在于,根据客户端函数指令序列生成安全验证参数,具体为:选择客户端函数,并从该函数的指令序列中选择部分或全部的连续指令序列,根据选择的指令序列生成hash值,将生成的hash值作为安全验证参数;
客户端函数指令序列的描述信息包括:客户端函数标识、生成hash值所使用的指令序列在整个函数指令序列中的起始位置和位置偏移量;
客户端根据所述函数指令序列的描述信息所指示的函数指令序列生成安全验证参数,具体为:客户端根据所述描述信息中的客户端函数标识选择对应的客户端函数指令序列,根据所述描述信息中的起始位置和位置偏移量从选择的客户端函数指令序列中选取对应的指令序列,并根据选取的指令序列生成安全验证参数。
3.如权利要求1所述的方法,其特征在于,根据所述客户端生成的安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,具体为:
如果客户端生成的安全验证参数与网络侧保存的安全验证参数相同,所述客户端合法;否则,所述客户端非法。
4.如权利要求1所述的方法,其特征在于,所述客户端/服务器系统包括客户端、网络接入设备和认证服务器;
网络侧生成安全验证参数并保存,并将所述客户端函数指令的描述信息发送给所述客户端,具体为:
认证服务器生成所述安全验证参数和所述客户端函数指令序列的描述信息,并发送给网络接入设备;网络接入设备将所述安全验证参数保存到在线用户列表中,并将所述函数指令序列的描述信息发送给客户端;
网络侧根据所述客户端生成的安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,具体为:
网络接入设备接收客户端生成的安全验证参数,并根据客户端生成的安全验证参数和在线用户列表中保存的该客户端的安全验证参数,验证所述客户端的合法性。
5.如权利要求1所述的方法,其特征在于,所述客户端/服务器系统包括客户端和认证服务器;
网络侧生成安全验证参数并保存,并将所述客户端函数指令序列的描述信息发送给所述客户端,具体为:
认证服务器生成所述安全验证参数和所述客户端函数指令序列的描述信息,并将所述安全验证参数保存到在线用户列表中,将所述函数指令序列的描述信息发送给客户端;
网络侧根据所述客户端生成的安全验证参数和网络侧为所述客户端保存的安全验证参数,对所述客户端进行安全验证,具体为:
认证服务器根据接收客户端生成的安全验证参数,并根据客户端生成的安全验证参数和在线用户列表中保存的该客户端的安全验证参数,验证所述客户端的合法性。
6.如权利要求1所述的方法,其特征在于,网络侧在所述客户端接入过程中对该客户端的身份认证通过后生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端;
或者,网络侧在周期触发的安全验证参数更新过程中生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端。
7.如权利要求6所述的方法,其特征在于,所述客户端/服务器系统包括客户端、网络接入设备和认证服务器;网络侧在周期触发的安全验证参数更新过程中生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端,包括:网络接入设备周期请求认证服务器更新安全验证参数,并将认证服务器更新后的客户端函数指令序列的描述信息携带于心跳报文发送给客户端;
或者,所述客户端/服务器系统包括客户端和认证服务器;网络侧在周期触发的安全验证参数更新过程中生成安全验证参数,并将客户端函数指令序列的描述信息发送给所述客户端,包括:认证服务器周期更新安全验证参数,并将更新后的客户端函数指令序列的描述信息携带于心跳响应报文发送给客户端。
8.一种网络接入设备,应用于客户端/服务器系统,其特征在于,包括:
接口单元,用于接收认证服务器发送的、由该认证服务器根据客户端函数指令序列为客户端生成的安全验证参数和所述客户端函数指令序列的描述信息,并将所述描述信息发送给客户端;以及,接收客户端根据所述描述信息生成并发送的安全验证参数;
保存单元,与所述接口单元连接,用于保存所述接口单元从认证服务器接收到的所述安全验证参数;
验证单元,与所述接口单元和所述保存单元连接,用于根据所述保存单元保存的安全验证参数和所述接口单元从客户端接收到的安全验证参数,对所述客户端进行安全验证,以及根据验证结果对所述客户端进行安全保护。
9.如权利要求8所述的网络接入设备,其特征在于,所述接口单元具体用于,接收所述认证服务器在所述客户端接入过程中对该客户端的身份认证通过后生成的安全验证参数和所述描述信息;或者,接收所述认证服务器在周期触发的安全验证参数更新过程中生成的安全验证参数和所述描述信息。
10.如权利要求9所述的网络接入设备,其特征在于,所述接口单元具体用于,周期请求认证服务器更新安全验证参数,并将认证服务器更新后的客户端函数指令序列的描述信息携带于心跳报文发送给客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010164730 CN101834867A (zh) | 2010-05-07 | 2010-05-07 | 一种客户端安全保护方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010164730 CN101834867A (zh) | 2010-05-07 | 2010-05-07 | 一种客户端安全保护方法及其装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101834867A true CN101834867A (zh) | 2010-09-15 |
Family
ID=42718797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010164730 Pending CN101834867A (zh) | 2010-05-07 | 2010-05-07 | 一种客户端安全保护方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101834867A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271140A (zh) * | 2011-09-05 | 2011-12-07 | 盛大计算机(上海)有限公司 | 身份认证方法、装置及系统 |
| CN103078719A (zh) * | 2012-12-25 | 2013-05-01 | 无锡北洋清安物联科技有限公司 | 一种rfid阅读器无线通信系统方法与系统 |
| CN103281187A (zh) * | 2013-05-17 | 2013-09-04 | 北京网秦天下科技有限公司 | 安全认证方法、设备和系统 |
| WO2014127630A1 (zh) * | 2013-02-19 | 2014-08-28 | 中兴通讯股份有限公司 | 802.1x接入会话保活的方法、设备及系统 |
| CN104134021A (zh) * | 2013-06-20 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 软件的防篡改验证方法及装置 |
| CN105577627A (zh) * | 2014-11-11 | 2016-05-11 | 腾讯数码(天津)有限公司 | 通信方法、装置、网络设备、终端设备和通信系统 |
| CN107483987A (zh) * | 2017-06-30 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 一种视频流地址的鉴权方法及装置 |
| CN109714298A (zh) * | 2017-10-25 | 2019-05-03 | 腾讯科技(深圳)有限公司 | 验证方法、装置及存储介质 |
| CN116684870A (zh) * | 2023-08-03 | 2023-09-01 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350718A (zh) * | 2008-09-05 | 2009-01-21 | 清华大学 | 一种基于用户识别模块的播放内容权限范围的保护方法 |
| CN101605130A (zh) * | 2009-07-20 | 2009-12-16 | 杭州华三通信技术有限公司 | 心跳握手方法及系统 |
| US20100031000A1 (en) * | 2007-12-06 | 2010-02-04 | David Flynn | Apparatus, system, and method for validating that a correct data segment is read from a data storage device |
-
2010
- 2010-05-07 CN CN 201010164730 patent/CN101834867A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031000A1 (en) * | 2007-12-06 | 2010-02-04 | David Flynn | Apparatus, system, and method for validating that a correct data segment is read from a data storage device |
| CN101350718A (zh) * | 2008-09-05 | 2009-01-21 | 清华大学 | 一种基于用户识别模块的播放内容权限范围的保护方法 |
| CN101605130A (zh) * | 2009-07-20 | 2009-12-16 | 杭州华三通信技术有限公司 | 心跳握手方法及系统 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271140A (zh) * | 2011-09-05 | 2011-12-07 | 盛大计算机(上海)有限公司 | 身份认证方法、装置及系统 |
| CN103078719B (zh) * | 2012-12-25 | 2016-06-01 | 无锡北洋清安物联科技有限公司 | 一种rfid阅读器无线通信系统方法与系统 |
| CN103078719A (zh) * | 2012-12-25 | 2013-05-01 | 无锡北洋清安物联科技有限公司 | 一种rfid阅读器无线通信系统方法与系统 |
| WO2014127630A1 (zh) * | 2013-02-19 | 2014-08-28 | 中兴通讯股份有限公司 | 802.1x接入会话保活的方法、设备及系统 |
| US9918353B2 (en) | 2013-02-19 | 2018-03-13 | Zte Corporation | 802.1X access session keepalive method, device, and system |
| CN103281187A (zh) * | 2013-05-17 | 2013-09-04 | 北京网秦天下科技有限公司 | 安全认证方法、设备和系统 |
| CN103281187B (zh) * | 2013-05-17 | 2016-12-28 | 北京网秦天下科技有限公司 | 安全认证方法、设备和系统 |
| CN104134021A (zh) * | 2013-06-20 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 软件的防篡改验证方法及装置 |
| US9607147B2 (en) | 2013-06-20 | 2017-03-28 | Tencent Technology (Shenzhen) Company Limited | Method and device for detecting software-tampering |
| CN104134021B (zh) * | 2013-06-20 | 2016-03-02 | 腾讯科技(深圳)有限公司 | 软件的防篡改验证方法及装置 |
| CN105577627A (zh) * | 2014-11-11 | 2016-05-11 | 腾讯数码(天津)有限公司 | 通信方法、装置、网络设备、终端设备和通信系统 |
| CN105577627B (zh) * | 2014-11-11 | 2020-08-28 | 腾讯数码(天津)有限公司 | 通信方法、装置、网络设备、终端设备和通信系统 |
| CN107483987A (zh) * | 2017-06-30 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 一种视频流地址的鉴权方法及装置 |
| WO2019001082A1 (zh) * | 2017-06-30 | 2019-01-03 | 武汉斗鱼网络科技有限公司 | 一种视频流地址的鉴权方法及装置 |
| CN107483987B (zh) * | 2017-06-30 | 2020-02-07 | 武汉斗鱼网络科技有限公司 | 一种视频流地址的鉴权方法及装置 |
| CN109714298A (zh) * | 2017-10-25 | 2019-05-03 | 腾讯科技(深圳)有限公司 | 验证方法、装置及存储介质 |
| CN109714298B (zh) * | 2017-10-25 | 2020-08-11 | 腾讯科技(深圳)有限公司 | 验证方法、装置及存储介质 |
| CN116684870A (zh) * | 2023-08-03 | 2023-09-01 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
| CN116684870B (zh) * | 2023-08-03 | 2023-10-20 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101834867A (zh) | 一种客户端安全保护方法及其装置 | |
| EP3258663B1 (en) | Verification method, apparatus and system for network application access | |
| US11451614B2 (en) | Cloud authenticated offline file sharing | |
| CN101369893B (zh) | 一种对临时用户进行局域网络接入认证的方法 | |
| CN105933353B (zh) | 安全登录的实现方法及系统 | |
| CN105516195B (zh) | 一种基于应用平台登录的安全认证系统及其认证方法 | |
| CN108370381A (zh) | 用于使用客户端蜜标检测先进攻击者的系统以及方法 | |
| CN109561066A (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN105812367A (zh) | 一种量子网络中网络接入设备的认证系统及认证方法 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN106453361B (zh) | 一种网络信息的安全保护方法及系统 | |
| CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN104660605A (zh) | 一种多因子身份验证方法及其系统 | |
| CN111695152B (zh) | 一种基于安全代理的MySQL数据库防护方法 | |
| CN102187619A (zh) | 认证系统 | |
| CN102916970B (zh) | 一种基于网络的pin码缓存方法 | |
| CN103220673B (zh) | Wlan用户认证方法、认证服务器及用户设备 | |
| CN1268157C (zh) | 一种用于动态身份认证的手机 | |
| CN109726578B (zh) | 一种动态二维码防伪解决办法 | |
| CN103795728A (zh) | 一种隐藏身份且适合资源受限终端的eap认证方法 | |
| JP2011077769A (ja) | Vpnシステムおよびその動作制御方法 | |
| KR20130055829A (ko) | 시간 기반 인증 시스템 및 방법 | |
| US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
| CN109981677A (zh) | 一种授信管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100915 |