CN101860541A - 一种端口认证安全策略实现方法 - Google Patents
一种端口认证安全策略实现方法 Download PDFInfo
- Publication number
- CN101860541A CN101860541A CN201010196593A CN201010196593A CN101860541A CN 101860541 A CN101860541 A CN 101860541A CN 201010196593 A CN201010196593 A CN 201010196593A CN 201010196593 A CN201010196593 A CN 201010196593A CN 101860541 A CN101860541 A CN 101860541A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- server end
- password
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种端口认证安全策略实现方法,旨在提供一种通信设备端口安全策略的实现方法。其技术方案的要点是,客户端设备和服务器端设备认证过程中,使用添加随机值的方法,使每一次随机值不一致,从而通过单向加密的数据也不一致,认证通过后发送业务报文;采用重认证机制,服务器端设备不断轮循被认证端口状态,特定次数收不到回复报文,拒绝业务报文通过,此时客户端设备需要重新认证。本发明的用途:采用单向加密算法,即不可能通过解密算法来达到还原密码的可能,解决了工业以太网内认证和安全方面的问题,提高了系统安全性能,可以双向认证,认证过程高效、简捷,用户密码保存采用RC4加密,防止密码被窃取,而且使用非常方便,不可模仿、破解。
Description
技术领域
本发明涉及到通信领域,更具体地说,涉及到通信设备端口安全策略的实现方法。
背景技术
在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给网络安全造成了潜在的隐患。
发明内容
本发明的目的是克服现有技术中的不足,提供一种私有协议即一种适用于工业以太网络,具有端口认证的安全策略协议:DT-PSEC。
本发明的技术方案是:客户端设备和服务器端设备认证过程中,使用添加随机值的方法,使每一次随机值不一致,从而通过单向加密的数据也不一致,认证通过后发送业务报文;采用重认证机制,服务器端设备不断轮循被认证端口状态,特定次数收不到回复报文,拒绝业务报文通过,此时客户端设备需要重新认证。
认证过程具体实现方法如下:
A1、由客户端设备发送Request报文,报文携带用户名信息;
A2、服务器端设备接收到客户端设备发送来的请求,向客户端设备发送Challenge报文,报文携带随机数,长度为64Bytes;
A3、客户端设备用接收到的随机数和本地用户密码进行加密,生成密文,发送ChallengeResponse报文给服务器端设备;
A4、服务器端设备接收到Challenge Response报文,校验接收到的密文是否和本地生成的密文一致,若一致,证明认证通过,允许业务报文通过,否则拒绝。
重认证具体实现方法如下:
A5、服务器端设备定期向客户端设备发送Challenge Hello报文,报文中携带随机数,长度为64Bytes;
A6、客户端设备用接收到的随机数和本地用户密码进行加密,生成密文,发送Challenge HelloResponse报文给服务器端设备;
A7、服务器端设备校验接收到的密文,是否和本地生成的密文一致,若一致,允许业务报文通过,否则拒绝;
A8、服务器端设备若特定次数收不到Challenge Hello Response报文,拒绝业务报文通过,此时客户端设备需要重新认证。
用户需要在服务器端全局使能DT-PSEC协议,再使能相应端口以支持DT-PSEC协议,添加包括用户名和密码的表项,密码保存使用RC4加密,使密码保存更安全;在客户端全局使能DT-PSEC协议,再使能相应端口以支持DT-PSEC协议,输入用户名和密码以及相应端口号,完成认证,用户就可以访问服务器。当客户端和服务器端的链路link down后,如果用户需要重新访问服务器,就要求用户在客户端重新发起认证,以防止非法用户访问服务器。
本发明的有益效果是:采用单向加密算法,即不可能通过解密算法来达到还原密码的可能,解决了工业以太网内认证和安全方面的问题,提高了系统安全性能,可以双向认证,认证过程高效、简捷,用户密码保存采用RC4加密,防止密码被窃取,而且使用非常方便,从而使整个认证过程,不可模仿、破解。
附图说明
图1协议认证过程示意图;
图2客户端设备处理DT-PSEC协议报文的流程图;
图3服务器端设备处理DT-PSEC协议报文的流程图。
具体实施方式
DT-PSEC协议:该端口认证安全策略实现方法定义为DT-PSEC协议。
DT-PSEC协议认证报文具体说明如下:
B1、协议报文体格式
注释:“TYPE”定义报文类型,FF-8E表示DT-PSEC协议报文。
B2、协议报文类型(PROTOCOL TYPE)
| 协议报文类型 | 说明 |
| 88-01 | Request |
| 88-02 | Challenge |
| 88-03 | Challenge Response |
| 88-04 | Challenge Hello |
| 88-05 | Challenge Hello Response |
| 88-06 | Stop |
注释:“88-01”表示“Request”报文。
B3、“协议报文体”TLV
| 类型 | 说明 |
| TYPE | 1----user name(16 Bytes)2----Challenge(64Bytes,Random number)3----密文(64 Bytes)4----success5----failure |
| LENTH | 长度 |
| VALUE | 内容 |
注释:“1”表示“-user name(16 Bytes)”。
下面结合幅图对本发明进行说明。
图1指示了协议认证过程示意图;客户端设备发送Request报文,报文携带用户名信息→服务器端设备接收到Request报文,向客户端设备发送Challenge报文,携带随机数,长度为64Bytes→客户端设备利用接收到的随机数和本地用户密码用MD5加密,生成密文,给服务器端设备发送Challenge Response报文→服务器端设备收到Challenge Response报文,检查得到的密文与本地生成的密文是否一致,若一致,则允许业务报文通过;否则,拒绝→服务器端设备定期(10秒)给客户端发送Challenge Hello报文,报文中携带随机数,长度为64Bytes→客户端利用接收到Challenge Hello报文中的随机数和本地用户密码用MD5加密,生成密文,发送Challenge Hello Response报文到服务器端→服务器端接收到Challenge Hello Response报文,检验得到的密文与本地生成的密文是否一致,若一致,则允许业务报文通过;否则,拒绝通过→服务器端设备若三次接收不到Challenge Hello Response报文,拒绝业务报文通过,客户端设备需要重新发起认证。
图2指示了客户端设备处理DT-PSEC协议报文的流程图;客户端设备上电后创建一个任务,并处理DT-PSEC协议报文,具体实施过程包括:
1、创建一个处理DT-PSEC协议的任务;
2、判断DT-PSEC协议是否使能,若使能,则检测相应的端口是否使能,若使能,则发送Request报文;
3、判断接收到的报文类型;
4、若是Challenge报文,则利用接收到的随机数和本地用户密码通过MD5方式加密,生成密文,发送Challenge Response报文;若是Challenge Hello报文,则利用接收到的随机数和本地用户密码通过MD5方式加密,生成密文,发送Challenge Response Hello报文;若是Stop报文,则打印相关信息;若是没有定义的报文类型,则不做任何处理;
最后,重复以上步骤2-4。
图3指示了服务器端设备处理DT-PSEC协议报文的流程图;包括:服务器端设备上电后创建一个处理DT-PSEC协议的任务,如果DT-PSEC协议使能,就创建一个10秒的定时器。具体实施过程包括:
1、创建一个处理DT-PSEC协议的任务,同时,如果DT-PSEC协议使能,则创建一个10秒钟的定时器;
2、判断接收到的消息类型;若是协议报文消息,则按照步骤3;如果是定时器超时消息,则按照步骤4;
3、判断接收到的报文类型,若是Request报文,则检验接收到的用户名和服务器端的用户名和密码的表项中的用户名是否一致,如果一致,就发送Challenge报文,否则发送失败的Stop报文;若是Challenge Response报文,则比较接收的密文和本地生成的密文是否一致,如果一致,则打开此端口,允许业务报文通过,发送成功的Stop报文,否则,发送失败的Stop报文;若是Challenge Hello Response报文,则比较接收的密文和本地生成的密文是否一致,如果一致,则Challenge Hello Response报文统计数增加1,否则,关闭该端口,发送失败的Stop报文,客户端需重新认证;若是没有定义的报文类型,则不做任何处理;
服务器端设备每发出一个随机数,在本地生成一个密文,内容含随机数和客户端用户密码。
4、发送携带随机数的Challenge Hello报文,同时,如果三次接收不到Challenge HelloResponse报文,就关闭该端口,拒绝业务报文通过,发送失败的Stop报文,客户端需要重新发起认证;
最后,重复以上步骤2-4。
用户需要在服务器端全局使能DT-PSEC协议,再使能相应端口以支持DT-PSEC协议,添加包括用户名和本地用户密码的表项,本地用户密码保存使用RC4加密,使密码保存更安全;在客户端也全局使能DT-PSEC协议,再使能相应端口以支持DT-PSEC协议,输入用户名和用户密码以及相应端口号,完成认证,用户就可以访问服务器。当客户端和服务器端的链路link down后,如果用户需要重新访问服务器,就要求用户在客户端重新发起认证,以防止非法用户访问服务器。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和实质之内所做的任何修改、等同替换、改进等,均应包含在本发明保护范围之内。
Claims (6)
1.一种端口认证安全策略实现方法,其特征在于,客户端设备和服务器端设备认证过程中,使用添加随机值的方法,使每一次随机值不一致,从而通过单向加密的数据也不一致,认证通过后发送业务报文;采用重认证机制,服务器端设备不断轮循被认证端口状态,特定次数收不到回复报文,拒绝业务报文通过,此时客户端设备需要重新认证。
2.根据权利要求1所述的方法,其特征在于,认证过程具体实现方法如下:
A1、由客户端设备发送Request报文,报文携带用户名信息;
A2、服务器端设备接收到客户端设备发送来的请求,向客户端设备发送Challenge报文,报文携带随机数,长度为64Bytes;
A3、客户端设备用接收到的随机数和本地用户密码进行加密,生成密文,发送ChallengeResponse报文给服务器端设备;
A4、服务器端设备接收到Challenge Response报文,校验接收到的密文是否和本地生成的密文一致,若一致,证明认证通过,允许业务报文通过,否则拒绝。
3.根据权利要求1所述的方法,其特征在于,重认证具体实现方法如下:
A5、服务器端设备定期向客户端设备发送Challenge Hello报文,报文中携带随机数,长度为64Bytes;
A6、客户端设备用接收到的随机数和本地用户密码进行加密,生成密文,发送Challenge HelloResponse报文给服务器端设备;
A7、服务器端设备校验接收到的密文,是否和本地生成的密文一致,若一致,允许业务报文通过,否则拒绝;
A8、服务器端设备若特定次数收不到Challenge Hello Response报文,拒绝业务报文通过,此时客户端设备需要重新认证。
4.根据权利要求1所述的方法,其特征在于,用户需要在服务器端全局使能DT-PSEC协议,再使能相应端口以支持DT-PSEC协议,添加包括用户名和密码的表项,密码保存使用RC4加密,使密码保存更安全;
5.根据权利要求1所述的方法,其特征在于,在客户端全局使能DT-PSEC协议,再使能相应端口以支持DT-PSEC协议,输入用户名和密码以及相应端口号,完成认证,用户就可以访问服务器。
6.根据权利要求1所述的方法,其特征在于,当客户端和服务器端的链路link down后,如果用户需要重新访问服务器,就要求用户在客户端重新发起认证,以防止非法用户访问服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010196593A CN101860541A (zh) | 2010-06-10 | 2010-06-10 | 一种端口认证安全策略实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010196593A CN101860541A (zh) | 2010-06-10 | 2010-06-10 | 一种端口认证安全策略实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101860541A true CN101860541A (zh) | 2010-10-13 |
Family
ID=42946199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010196593A Pending CN101860541A (zh) | 2010-06-10 | 2010-06-10 | 一种端口认证安全策略实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101860541A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516105A (zh) * | 2015-12-01 | 2016-04-20 | 浙江宇视科技有限公司 | 硬件标识变化的安全接入目的设备方法及系统 |
| CN108737438A (zh) * | 2018-06-02 | 2018-11-02 | 桂林电子科技大学 | 防范暴库的身份认证方法 |
| CN109413061A (zh) * | 2018-10-22 | 2019-03-01 | 智强通达科技(北京)有限公司 | 一种网络接入装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1338841A (zh) * | 2000-08-11 | 2002-03-06 | 海南格方网络安全有限公司 | 计算机安全认证智能密钥 |
| CN101064610A (zh) * | 2007-05-25 | 2007-10-31 | 四川长虹电器股份有限公司 | 一种身份认证方法 |
-
2010
- 2010-06-10 CN CN201010196593A patent/CN101860541A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1338841A (zh) * | 2000-08-11 | 2002-03-06 | 海南格方网络安全有限公司 | 计算机安全认证智能密钥 |
| CN101064610A (zh) * | 2007-05-25 | 2007-10-31 | 四川长虹电器股份有限公司 | 一种身份认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘阳 等: "一个CHAP认证协议的改进方案", 《计算机工程》, vol. 31, no. 5, 31 March 2005 (2005-03-31), pages 168 - 169 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516105A (zh) * | 2015-12-01 | 2016-04-20 | 浙江宇视科技有限公司 | 硬件标识变化的安全接入目的设备方法及系统 |
| CN105516105B (zh) * | 2015-12-01 | 2019-08-02 | 浙江宇视科技有限公司 | 硬件标识变化的安全接入目的设备方法及系统 |
| CN108737438A (zh) * | 2018-06-02 | 2018-11-02 | 桂林电子科技大学 | 防范暴库的身份认证方法 |
| CN109413061A (zh) * | 2018-10-22 | 2019-03-01 | 智强通达科技(北京)有限公司 | 一种网络接入装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101005359B (zh) | 一种实现终端设备间安全通信的方法及装置 | |
| CN105553648B (zh) | 量子密钥分发、隐私放大及数据传输方法、装置及系统 | |
| CN103560879B (zh) | 一种轻量级认证与密钥协商的实现方法 | |
| CN101420297B (zh) | 协商密钥的方法和系统 | |
| CN109327313A (zh) | 一种具有隐私保护特性的双向身份认证方法、服务器 | |
| CN107483195A (zh) | 物联网环境下安全的双方认证与密钥协商协议 | |
| CN105162599B (zh) | 一种数据传输系统及其传输方法 | |
| CN104158653A (zh) | 一种基于商密算法的安全通信方法 | |
| CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
| CN101022455A (zh) | 一种Web通信加密方法 | |
| EP2375627B1 (en) | Three-way handshake protocol method | |
| CN110519300A (zh) | 基于口令双向认证的客户端密钥安全存储方法 | |
| CN101420298B (zh) | 协商密钥的方法和系统 | |
| CN102868531A (zh) | 一种网络交易认证系统和网络交易认证方法 | |
| CN103051450A (zh) | 应用于电力信息采集系统的安全任务下发的系统和方法 | |
| CN109691156A (zh) | 无线装置的增强型聚合式重新认证 | |
| CN103179128A (zh) | 安卓平台浏览器与网站服务器间的通信安全增强代理系统 | |
| CN110300396A (zh) | 智能设备的wifi配网方法、装置及终端 | |
| Gilchrist | Secure authentication for DNP3 | |
| CN103220279A (zh) | 数据安全传输的方法和系统 | |
| CN111541776A (zh) | 一种基于物联网设备的安全通信装置及系统 | |
| CN101778387A (zh) | 抵抗无线局域网接入认证拒绝服务攻击的方法 | |
| CN103685181A (zh) | 一种基于srtp的密钥协商方法 | |
| CN101860541A (zh) | 一种端口认证安全策略实现方法 | |
| CN106230840A (zh) | 一种高安全性的口令认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101013 |