CN102843375B - 基于ip协议中的标识控制网络访问的方法 - Google Patents
基于ip协议中的标识控制网络访问的方法 Download PDFInfo
- Publication number
- CN102843375B CN102843375B CN201210328838.4A CN201210328838A CN102843375B CN 102843375 B CN102843375 B CN 102843375B CN 201210328838 A CN201210328838 A CN 201210328838A CN 102843375 B CN102843375 B CN 102843375B
- Authority
- CN
- China
- Prior art keywords
- terminal computer
- data bag
- tcp data
- control server
- security control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了基于IP协议中的标识控制网络访问的方法,该方法通过对合法终端计算机网络数据包中IP协议中的Identification(标识)进行加密、网络安全控制服务器对接收到的网络数据包中IP协议中的Identification进行解密的方法,使网络安全控制服务器可以准确、快速地识别终端计算机的合法性,解决了由于在终端计算机与网络安全控制服务器之间放置NAT地址转换设备,使终端计算机所发送的TCP数据包的源IP地址发生了转换,网络安全控制服务器无法判断终端计算机合法性的问题。本发明可以广泛应用于各种网络结构。
Description
技术领域
本发明涉及网络管理技术领域,特别涉及网络安全控制服务器的控制管理技术领域,具体是基于IP协议中的标识控制网络访问的方法。
背景技术
随着社会信息化程度不断提高,企业规模不断扩大,企业中计算机的数量越来越多,对终端计算机进行管理的要求也越来越高。为了有效地管理终端计算机,需要在局域网中安装网络安全控制服务器,通过网络安全控制服务器来判断入网的终端计算机是否合法。
现有技术中,网络安全控制服务器通过识别终端计算机的IP地址判断终端计算机是否合法,对非法终端计算机发送的TCP数据包进行阻断,达到控制非法终端计算机访问指定网络(互联网、局域网内指定服务器群或任何指定网络区域)的目的。但这种技术有两个明显的缺点,一是判别时间较长。该技术判别终端计算机合法性的方法是通过在合法列表中比对IP地址来实现的,局域网的规模越大,合法列表中的内容就越多,比对的次数就越多,因此判别的时间就越长;二是当终端计算机与网络安全控制服务器之间设置NAT地址转换设备(网络地址转换设备)时,网络安全控制服务器无法识别终端计算机是否合法。终端计算机向指定网络所发送的TCP数据包在经过NAT地址转换设备后,TCP数据包的源IP地址(即终端计算机的IP地址)转换为NATIP地址(即NAT地址转换设备指定的IP地址),TCP数据包的源端口(即终端计算机的端口)转换成NAT端口,网络安全控制服务器接收到TCP数据包后,无法通过识别终端计算机IP地址的方法区分出是哪台终端计算机发送的,因此无法识别终端计算机是否合法。
发明内容
为了克服上述现有技术的不足,本发明提供基于IP协议中的标识控制网络访问的方法。该方法通过对合法终端计算机网络数据包中IP协议中的Identification(标识)进行加密、网络安全控制服务器对接收到的网络数据包中IP协议中的Identification进行解密的方法,使网络安全控制服务器可以准确、快速地识别终端计算机的合法性。
为了实现上述目的,本发明采用如下技术方案:
基于IP协议中的标识控制网络访问的方法,包括如下步骤:
a.网络安全控制服务器每个设定间隔时间随机产生一个新的密钥:
网络安全控制服务器中首先产生并保存新、旧两个密钥,之后每个设定间隔时间随机产生一个新的密钥,当新的密钥产生后,原有新密钥变为旧密钥保存,新产生的新的密钥作为新密钥保存,以此类推,所述新、旧密钥用于对TCP数据包中IP协议中的Identification进行解密;
b.网络安全控制服务器将所述新的密钥发送给安装有对应终端软件的终端计算机;
c.安装有对应终端软件的终端计算机接收从网络安全控制服务器发送的新的密钥:
安装有对应终端软件的终端计算机能够每个设定间隔时间接收从网络安全控制服务器发送的新的密钥,并将最新接收的新的密钥作为最新的密钥进行保存以更新上一次接收的密钥,该最新的密钥用于对所述安装有对应终端软件的终端计算机所要发送的TCP数据包中IP协议中的Identification进行加密;
而未安装有对应终端软件的终端计算机,因为其没有安装对应终端软件,因此不能够接收从网络安全控制服务器发送的新的密钥;
d.终端计算机访问指定网络,发送TCP数据包:
终端计算机访问指定网络,新建立一个TCP连接,向指定网络发送TCP数据包;
如果是安装有对应终端软件的终端计算机,安装有对应终端软件的终端计算机通过其驱动拦截其向指定网络发送的TCP数据包,并用其保存的最新的密钥对TCP数据包中IP协议中的Identification进行加密,然后发送对Identification进行加密后的TCP数据包;
如果是未安装有对应终端软件的终端计算机,未安装有对应终端软件的终端计算机不能够接收从网络安全控制服务器发送的新的密钥,其驱动也不能够拦截其向指定网络发送的TCP数据包,因此无法对其发送的TCP数据包中IP协议中的Identification进行加密,因此直接发送TCP数据包;
e.网络安全控制服务器接收终端计算机发送的TCP数据包:
网络安全控制服务器接收终端计算机发送的TCP数据包,并获取TCP数据包中IP协议中的Identification;
f.网络安全控制服务器对其所获取的TCP数据包中IP协议中的Identification进行校验:
网络安全控制服务器用其保存的新、旧密钥分别对其所获取的TCP数据包中IP协议中的Identification进行解密,如果有一个密钥解密成功,则校验成功,执行步骤g;如果新、旧密钥都解密失败,则校验失败,执行步骤h;
g.判定向网络安全控制服务器发送TCP数据包的终端计算机合法,允许该终端计算机访问指定网络,结束;
h.判定向网络安全控制服务器发送TCP数据包的终端计算机非法,阻断该终端计算机访问指定网络,结束。
所述步骤a中,所述每个设定间隔时间为一分钟。
所述步骤d、步骤g和步骤h中,所述指定网络为互联网、局域网内指定服务器群或任何指定网络区域。
本发明的有益效果是:通过对合法终端计算机网络数据包中IP协议中的Identification(标识)进行加密、网络安全控制服务器对接收到的网络数据包中IP协议中的Identification进行解密的方法,使网络安全控制服务器可以准确、快速地识别终端计算机的合法性,判断时间短,识别速度快。而且,在终端计算机与网络安全控制服务器之间设置了NAT地址转换设备的环境,由于TCP数据包中IP协议中的Identification在经过NAT地址转换设备后不会发生改变,网络安全控制服务器仍可以判别终端计算机的合法性,解决了网络安全控制服务器无法通过终端计算机IP地址识别终端计算机合法性的问题。
附图说明
图1为本发明的基于IP协议中的标识控制网络访问的方法的流程图;
图2为本发明的实施例的应用环境示意图。
具体实施方式
下面将结合附图及实施例,对本发明做进一步详细描述。
本发明的基于IP协议中的标识控制网络访问的方法,本实施例的应用环境如图2所示,包括互联网、路由器、交换机、网络安全控制服务器、NAT路由器、终端计算机1、终端计算机2;所述路由器的一端连接互联网,另一端连接交换机的以太网端口J1,该交换机的以太网端口J2连接网络安全控制服务器的以太网端口W1,该交换机的以太网端口J3连接NAT路由器的以太网端口N1,所述NAT路由器的以太网端口N2连接终端计算机1,所述NAT路由器的以太网端口N3连接终端计算机2;交换机的以太网端口J2是对以太网端口J1的镜像,因此,当终端计算机1或终端计算机2访问互联网时,终端计算机发送的TCP数据包通过交换机的以太网端口J1时,会被镜像到交换机的以太网端口J2上,此时网络安全控制服务器通过交换机的以太网端口J2可以接收到终端计算机1或终端计算机2访问互联网时发送的TCP数据包,并对接收到的TCP数据包进行分析、处理;
本实施例具体采用如下设备:
路由器:TP-LINK TL-R4148
交换机:Huawei Quidway S3900
网络安全控制服务器:航天联志 2000R
NAT路由器:H3C Aolynk WBR204g
实施例
本实施例,其中终端计算机1安装有对应终端软件,因此是合法终端计算机,终端计算机2未安装有对应终端软件,因此是非法终端计算机;
本发明的基于IP协议中的标识控制网络访问的方法,包含如下步骤:
a.网络安全控制服务器每个设定间隔时间随机产生一个新的密钥:
本实施例设定间隔时间为一分钟;
网络安全控制服务器中之前产生并保存新密钥123和旧密钥100,此时随机产生一个新的密钥456,原有新密钥123变为旧密钥保存,新产生的新的密钥456作为新密钥保存,这时当前新密钥为456,当前旧密钥为123,该新、旧密钥用于对TCP数据包中IP协议中的Identification进行解密;
b.网络安全控制服务器将所述新的密钥发送给安装有对应终端软件的终端计算机1;
c.安装有对应终端软件的终端计算机1接收从网络安全控制服务器发送的新的密钥:
安装有对应终端软件的终端计算机1从网络安全控制服务器接收新的密钥456,并将该新的密钥456作为最新的密钥456保存,用于对其发送的TCP数据包中IP协议中的Identification进行加密;
未安装有对应终端软件的终端计算机2,因为其没有安装对应终端软件,因此不能够接收从网络安全控制服务器发送的新的密钥456;
d.终端计算机访问互联网,发送TCP数据包:
终端计算机1访问互联网,新建立一个TCP连接1,该终端计算机1通过其驱动拦截其向互联网发送的TCP数据包1,并用其保存的最新的密钥456对TCP数据包中IP协议中的Identification进行加密;然后发送对Identification进行加密后的TCP数据包1;
终端计算机2访问互联网,新建立一个TCP连接2,因为该终端计算机2不能够接收从网络安全控制服务器发送新的密钥456,其驱动也不能够拦截其向互联网发送的TCP数据包2,因此无法对其发送的TCP数据包2中IP协议中的Identification进行加密,因此直接发送TCP数据包2;
e.网络安全控制服务器接收终端计算机发送的TCP数据包:
网络安全控制服务器接收终端计算机1发送的加密后的TCP数据包1,并获取TCP数据包1中IP协议中的Identification;
网络安全控制服务器接收终端计算机2发送的TCP数据包2,获取TCP数据包2中IP协议中的Identification;
f.网络安全控制服务器对其所获取的TCP数据包中IP协议中的Identification进行校验:
网络安全控制服务器用其保存的新密钥456和旧密钥123分别对其所获取的TCP数据包1中IP协议中的Identification和TCP数据包2中IP协议中的Identification进行解密:
对于TCP数据包1:网络安全控制服务器用其保存的新密钥456和旧密钥123对其所获取的TCP数据包1中IP协议中的Identification进行解密,解密成功,校验成功,执行步骤g;
对于TCP数据包2:网络安全控制服务器用其保存的旧密钥123和新密钥456对其所获取的TCP数据包2中IP协议中的Identification进行解密,解密失败,校验失败,执行步骤h;
g.判定向网络安全控制服务器发送TCP数据包1的终端计算机1合法,允许终端计算机1访问互联网,结束;
h.判定向网络安全控制服务器发送TCP数据包2的终端计算机2非法,阻断终端计算机2访问互联网,结束。
本发明的方法也可用于控制局域网内指定服务器群或任何指定网络区域的访问。
通过上述网络安全控制服务器对终端计算机发送的TCP数据包中IP协议中的Identification的进行解密的方法,识别访问指定网络(互联网、局域网内指定服务器群或任何指定网络区域)的终端计算机是否合法,从而有效地控制了网络中非法终端计算机的访问,实现了通过对TCP数据包中IP协议中的Identification(标识)控制终端计算机的网络访问。
Claims (1)
1.基于IP协议中的标识控制网络访问的方法,包括如下步骤:
a.网络安全控制服务器每个设定间隔时间随机产生一个新的密钥:
网络安全控制服务器中首先产生并保存新、旧两个密钥,之后每个设定间隔时间随机产生一个新的密钥,当新的密钥产生后,原有新密钥变为旧密钥保存,新产生的新的密钥作为新密钥保存,以此类推,所述新、旧密钥用于对TCP数据包中IP协议中的Identification进行解密;
b.网络安全控制服务器将所述新的密钥发送给安装有对应终端软件的终端计算机;
c.安装有对应终端软件的终端计算机接收从网络安全控制服务器发送的新的密钥:
安装有对应终端软件的终端计算机能够每个设定间隔时间接收从网络安全控制服务器发送的新的密钥,并将最新接收的新的密钥作为最新的密钥进行保存以更新上一次接收的密钥,该最新的密钥用于对所述安装有对应终端软件的终端计算机所要发送的TCP数据包中IP协议中的Identification进行加密;
而未安装有对应终端软件的终端计算机,因为其没有安装对应终端软件,因此不能够接收从网络安全控制服务器发送的新的密钥;
d.终端计算机访问指定网络,发送TCP数据包:
终端计算机访问指定网络,新建立一个TCP连接,向指定网络发送TCP数据包;
如果是安装有对应终端软件的终端计算机,安装有对应终端软件的终端计算机通过其驱动拦截其向指定网络发送的TCP数据包,并用其保存的最新的密钥对TCP数据包中IP协议中的Identification进行加密,然后发送对Identification进行加密后的TCP数据包;
如果是未安装有对应终端软件的终端计算机,则不能够接收从网络安全控制服务器发送的新的密钥,其驱动也不能够拦截其向指定网络发送的TCP数据包,因此无法对其发送的TCP数据包中IP协议中的Identification进行加密,因此直接发送TCP数据包;
e.网络安全控制服务器接收终端计算机发送的TCP数据包:
网络安全控制服务器接收终端计算机发送的TCP数据包,并获取TCP数据包中IP协议中的Identification;
f.网络安全控制服务器对其所获取的TCP数据包中IP协议中的Identification进行校验:
网络安全控制服务器用其保存的新、旧密钥分别对其所获取的TCP数据包中IP协议中的Identification进行解密,如果有一个密钥解密成功,则校验成功,执行步骤g;如果新、旧密钥都解密失败,则校验失败,执行步骤h;
g.判定向网络安全控制服务器发送TCP数据包的终端计算机合法,允许该终端计算机访问指定网络,结束;
h.判定向网络安全控制服务器发送TCP数据包的终端计算机非法,阻断该终端计算机访问指定网络,结束。
2.如权利要求1所述的基于IP协议中的标识控制网络访问的方法,其特征在于:步骤a中所述每个设定间隔时间为一分钟。
3.如权利要求1所述的基于IP协议中的标识控制网络访问的方法,其特征在于:步骤d、步骤g和步骤h中所述指定网络为互联网、局域网、指定服务器群。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210328838.4A CN102843375B (zh) | 2012-09-07 | 2012-09-07 | 基于ip协议中的标识控制网络访问的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210328838.4A CN102843375B (zh) | 2012-09-07 | 2012-09-07 | 基于ip协议中的标识控制网络访问的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102843375A CN102843375A (zh) | 2012-12-26 |
| CN102843375B true CN102843375B (zh) | 2014-11-26 |
Family
ID=47370435
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210328838.4A Active CN102843375B (zh) | 2012-09-07 | 2012-09-07 | 基于ip协议中的标识控制网络访问的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102843375B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105812137A (zh) * | 2014-12-29 | 2016-07-27 | 中兴通讯股份有限公司 | 签名方法和装置 |
| CN106572086A (zh) * | 2016-10-19 | 2017-04-19 | 盛科网络(苏州)有限公司 | 一种基于芯片实现网络协议密钥动态更新的装置及方法 |
| CN111510915B (zh) * | 2020-03-23 | 2023-12-05 | 三六零数字安全科技集团有限公司 | 一种无线准入环境下通用的扩展认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
| CN101009597A (zh) * | 2006-12-30 | 2007-08-01 | 华为技术有限公司 | 细分用户上网类型的方法及网络系统 |
| CN101039319A (zh) * | 2006-08-20 | 2007-09-19 | 科博技术有限公司 | 一种基于tcp协议实时传输媒体数据的方法 |
| US7921282B1 (en) * | 2007-08-20 | 2011-04-05 | F5 Networks, Inc. | Using SYN-ACK cookies within a TCP/IP protocol |
-
2012
- 2012-09-07 CN CN201210328838.4A patent/CN102843375B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
| CN101039319A (zh) * | 2006-08-20 | 2007-09-19 | 科博技术有限公司 | 一种基于tcp协议实时传输媒体数据的方法 |
| CN101009597A (zh) * | 2006-12-30 | 2007-08-01 | 华为技术有限公司 | 细分用户上网类型的方法及网络系统 |
| US7921282B1 (en) * | 2007-08-20 | 2011-04-05 | F5 Networks, Inc. | Using SYN-ACK cookies within a TCP/IP protocol |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102843375A (zh) | 2012-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
| US9787643B2 (en) | Transport layer security latency mitigation | |
| WO2019153701A1 (zh) | 一种获得设备标识的方法及装置 | |
| US20190140823A1 (en) | Method for Detecting Encrypted Content, and Device | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US20110179267A1 (en) | Method, system and server for implementing security access control | |
| CN109561066A (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN104219041A (zh) | 一种适用于移动互联网的数据传输加密方法 | |
| US11075907B2 (en) | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same | |
| CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| CN102843375B (zh) | 基于ip协议中的标识控制网络访问的方法 | |
| CN105656854B (zh) | 一种验证无线局域网络用户来源的方法、设备及系统 | |
| WO2017020530A1 (zh) | 一种增强的wlan证书鉴别方法、装置及系统 | |
| CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
| CN101938428B (zh) | 一种报文的传输方法和设备 | |
| CN105188057A (zh) | 一种提高网络接入认证安全的方法及系统 | |
| CN105790932A (zh) | 一种通过使用机器码为基础的加密方法 | |
| Kim et al. | Self-certifying id based trustworthy networking system for iot smart service domain | |
| JP6527115B2 (ja) | 機器リスト作成システムおよび機器リスト作成方法 | |
| CN107835196B (zh) | 一种基于hdlc的安全通信方法 | |
| Kammueller et al. | Engineering security protocols with model checking-Radius-SHA256 and secured simple protocol | |
| KR101448711B1 (ko) | 통신 암호화를 통한 보안시스템 및 보안방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: Hunnan New District Wenhui street Shenyang city Liaoning province 110002 No. 19 Jin Penglong high tech Industrial Park No. 21 Applicant after: Shenyang GeneralSoft Co.,Ltd. Address before: 2, 8-1 floor, 110002 Antu street, Heping District, Liaoning, Shenyang Applicant before: Shenyang GeneralSoft Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210715 Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Beijing Hongteng Intelligent Technology Co.,Ltd. Address before: 110002 No.21, jinpenglong high tech Industrial Park, No.19, Wenhui street, Hunnan New District, Shenyang City, Liaoning Province Patentee before: SHENYANG GENERALSOFT Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee before: Beijing Hongteng Intelligent Technology Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |