CN102932354A - 一种ip地址的验证方法及装置 - Google Patents
一种ip地址的验证方法及装置 Download PDFInfo
- Publication number
- CN102932354A CN102932354A CN2012104344413A CN201210434441A CN102932354A CN 102932354 A CN102932354 A CN 102932354A CN 2012104344413 A CN2012104344413 A CN 2012104344413A CN 201210434441 A CN201210434441 A CN 201210434441A CN 102932354 A CN102932354 A CN 102932354A
- Authority
- CN
- China
- Prior art keywords
- address
- credible
- key
- allocation list
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种IP地址的验证方法及装置,应用于网络安全设备中,属于网络安全技术领域。所述验证方法包括:从管理层设备获取可信IP地址的配置表,其中,所述配置表中的可信IP地址采用预定的加密算法和密钥加密;接收到IP报文时,获取所述IP报文的源IP地址,并采用所述加密算法和密钥对所述源IP地址加密,得到加密后的IP地址;判断所述加密后的IP地址是否存在于所述配置表中,若是,确定该IP报文的源IP地址为可信IP地址。本发明能够提高IP地址验证过程的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种IP地址的验证方法及装置。
背景技术
随着网络的延伸,网络规模迅速扩大,网络安全问题变得日益复杂,在这样的网络环境下,以安全防护为目的的网络安全设备(比如防火墙)已经广泛应用于各种网络中。而在网络安全设备中,通常都具备可信IP地址校验功能,即网络安全设备中存储有可信IP地址的配置表,当根据所述配置表确定网络上的IP报文的源IP地址是可信IP地址的话,该IP报文在网络安全设备中将被视作具备了一定“特权”,一般都可直接放行,不会受到审计和过滤。
在网络安全设备中,提供可信IP地址是一个基本的功能,但同时也是一个容易被网络黑客利用的功能,因为一旦网络安全设备中可信IP地址的配置表被黑客截获并利用,那么该网络安全设备将失去对黑客攻击行为的控制能力。
发明内容
有鉴于此,本发明的目的是提供一种IP地址的验证方法及装置,以提高IP地址验证过程的安全性。
为实现上述目的,本发明提供技术方案如下:
一种IP地址的验证方法,应用于网络安全设备中,包括:
从管理层设备获取可信IP地址的配置表,其中,所述配置表中的可信IP地址采用预定的加密算法和密钥加密;
接收到IP报文时,获取所述IP报文的源IP地址,并采用所述加密算法和密钥对所述源IP地址加密,得到加密后的IP地址;
判断所述加密后的IP地址是否存在于所述配置表中,若是,确定该IP报文的源IP地址为可信IP地址。
一种IP地址的验证装置,应用于网络安全设备中,包括:
获取单元,用于从管理层设备获取可信IP地址的配置表,其中,所述配置表中的可信IP地址采用预定的加密算法和密钥加密;
加密单元,用于接收到IP报文时,获取所述IP报文的源IP地址,并采用所述加密算法和密钥对所述源IP地址加密,得到加密后的IP地址;
匹配单元,用于判断所述加密后的IP地址是否存在于所述配置表中,若是,确定该IP报文的源IP地址为可信IP地址。
与现有技术相比,本发明的技术方案中,管理层设备对可信IP地址的配置表进行加密,将加密后的配置表发送到网络安全设备,网络安全设备对IP地址进行的是加密验证,如此,提高了IP地址验证过程中的安全性,进而提高了数据通信的安全性。
附图说明
图1是本发明实施例的IP地址的验证方法流程图;
图2是本发明实施例的IP地址的验证装置结构图。
具体实施方式
在现有技术中,网络安全设备中可信IP地址的配置表采用的是明文配置,这就给了黑客或其他有特殊目的的不法分子截获可信IP地址的机会。本申请发明人发现,如果网络安全设备本身能够以加密的方式存储可信IP地址的配置表,即使该配置表被获取,如果不能同时获取加密的密钥,也无法破解真实的IP地址,这样会让可信IP地址更安全。因此,在这样的背景下对可信IP地址进行加密验证就变得很有必要,这样的加密验证在网络安全设备应用中具备很大的用武之地。
以下结合附图对本发明进行详细描述。
图1是本发明实施例的IP地址的验证方法流程图,该验证方法应用于网络安全设备中,所述网络安全设备是具有安全功能的物理网络设备,例如路由器、三层交换和防火墙等。参照图1,该验证方法可以包括如下步骤:
步骤101,从管理层设备获取可信IP地址的配置表,所述配置表中的可信IP地址采用预定的加密算法和密钥加密;
管理层设备是指能够对网络安全设备进行配置的设备。管理层设备可以采用DES算法对配置表中的可信IP地址进行加密,加密的密钥可以是1到5个,密钥可以由管理层设备动态生成。当然,也可以其他的加密算法,例如RSA、MD5等,本发明对此不做限制。管理层设备对可信IP地址的配置表加密后,将该配置表下发到网络安全设备。
步骤102,接收到IP报文时,获取所述IP报文的源IP地址,并采用所述加密算法和密钥对所述源IP地址加密,得到加密后的IP地址;
网络安全设备获取到IP报文的源IP地址后,可以从网络安全设备获取所述加密算法和密钥,并采用获取到的加密算法以及密钥对所述源IP地址加密。
步骤103,判断所述加密后的IP地址是否存在于所述配置表中,若是,确定该IP报文的源IP地址为可信IP地址。
网络安全设备将加密后的IP地址与配置表中的IP地址进行匹配,若匹配到,则能够确定该IP地址为可信IP地址,可以对该IP报文直接放行,若没有匹配到,则可以采用其他方式进行进一步的审计和过滤。
与本发明实施例的上述IP地址的验证方法相对应,本发明实施例还提供一种IP地址的验证装置,所述验证装置是一种逻辑装置,其可以采用硬件方式实现,也可以采用软件或固件方式实现。所述验证装置应用于网络安全设备中,所述网络安全设备是具有安全功能的物理网络设备,例如路由器、三层交换和防火墙等。
参照图2,所述验证装置可以包括:
获取单元10,用于从管理层设备获取可信IP地址的配置表,其中,所述配置表中的可信IP地址采用预定的加密算法和密钥加密;
加密单元20,用于接收到IP报文时,获取所述IP报文的源IP地址,并采用所述加密算法和密钥对所述源IP地址加密,得到加密后的IP地址;
匹配单元30,用于判断所述加密后的IP地址是否存在于所述配置表中,若是,确定该IP报文的源IP地址为可信IP地址。
其中,所述加密算法可以为DES算法,所述密钥可以是在所述管理层设备上动态生成的密钥,其数目为1到5个。当然,也可以其他的加密算法,例如RSA、MD5等,本发明对此不做限制。
加密单元20可以从管理层设备获取所述加密算法和密钥,这样,在获取到IP报文的源IP地址后,就可以采用所述加密算法以及密钥对所述源IP地址加密。
匹配单元将加密后的IP地址与配置表中的IP地址进行匹配,若匹配到,则能够确定该IP地址为可信IP地址,可以对该IP报文直接放行,若没有匹配到,则可以采用其他方式进行进一步的审计和过滤。
综上所述,本发明实施例针对可信IP地址的配置表进行加密保护,管理层设备利用可信IP加密方法传递配置信息来替代明文传递,这样解决了IP验证过程中IP信息的安全,即便验证过程中用于验证的可信IP的配置表信息被盗,对方得到的也不是IP明文,而是经过加密处理后的IP数据,即便是想要对加密IP进行解密,也要同时获得加密对应的密钥数据,而密钥数据是随机配送的,所以获取相应密钥数据几乎不可能,这会极大提高破解难度,从而有效保护了这些IP的安全,能够有效防止不法分子企图获取IP信息而进行其他操作的可能。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种IP地址的验证方法,应用于网络安全设备中,其特征在于,包括:
从管理层设备获取可信IP地址的配置表,其中,所述配置表中的可信IP地址采用预定的加密算法和密钥加密;
接收到IP报文时,获取所述IP报文的源IP地址,并采用所述加密算法和密钥对所述源IP地址加密,得到加密后的IP地址;
判断所述加密后的IP地址是否存在于所述配置表中,若是,确定该IP报文的源IP地址为可信IP地址。
2.如权利要求1所述的验证方法,其特征在于:
所述加密算法为DES算法。
3.如权利要求2所述的验证方法,其特征在于:
所述密钥是在所述管理层设备上动态生成的密钥。
4.如权利要求2所述的验证方法,其特征在于:
所述密钥的数目为1到5个。
5.一种IP地址的验证装置,应用于网络安全设备中,其特征在于,包括:
获取单元,用于从管理层设备获取可信IP地址的配置表,其中,所述配置表中的可信IP地址采用预定的加密算法和密钥加密;
加密单元,用于接收到IP报文时,获取所述IP报文的源IP地址,并采用所述加密算法和密钥对所述源IP地址加密,得到加密后的IP地址;
匹配单元,用于判断所述加密后的IP地址是否存在于所述配置表中,若是,确定该IP报文的源IP地址为可信IP地址。
6.如权利要求5所述的验证装置,其特征在于:
所述加密算法为DES算法。
7.如权利要求6所述的验证装置,其特征在于:
所述密钥是在所述管理层设备上动态生成的密钥。
8.如权利要求6所述的验证装置,其特征在于:
所述密钥的数目为1到5个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104344413A CN102932354A (zh) | 2012-11-02 | 2012-11-02 | 一种ip地址的验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104344413A CN102932354A (zh) | 2012-11-02 | 2012-11-02 | 一种ip地址的验证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102932354A true CN102932354A (zh) | 2013-02-13 |
Family
ID=47647056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104344413A Pending CN102932354A (zh) | 2012-11-02 | 2012-11-02 | 一种ip地址的验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932354A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107065750A (zh) * | 2017-05-15 | 2017-08-18 | 中国工程物理研究院计算机应用研究所 | 内生安全的工业控制网络动态防御方法 |
| CN108848071A (zh) * | 2018-05-30 | 2018-11-20 | 深圳市元征科技股份有限公司 | 一种数据传输方法、系统及设备和存储介质 |
| WO2021032016A1 (zh) * | 2019-08-19 | 2021-02-25 | 华为技术有限公司 | 数据处理方法及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030233452A1 (en) * | 2002-06-13 | 2003-12-18 | Nvidia Corp. | Method and apparatus for security protocol and address translation integration |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101378395A (zh) * | 2008-10-10 | 2009-03-04 | 福建星网锐捷网络有限公司 | 一种防止拒绝访问攻击的方法及装置 |
| CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
| CN101431516A (zh) * | 2008-12-04 | 2009-05-13 | 成都市华为赛门铁克科技有限公司 | 分布式安全策略的实现方法、客户端及通信系统 |
| CN101539977A (zh) * | 2009-04-29 | 2009-09-23 | 北京飞天诚信科技有限公司 | 一种计算机软件保护方法 |
| CN101977189A (zh) * | 2010-10-22 | 2011-02-16 | 青海师范大学 | Mpls网络的可信认证及安全接入控制方法 |
| CN102208992A (zh) * | 2010-06-13 | 2011-10-05 | 天津海量信息技术有限公司 | 面向互联网的不良信息过滤系统及其方法 |
-
2012
- 2012-11-02 CN CN2012104344413A patent/CN102932354A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030233452A1 (en) * | 2002-06-13 | 2003-12-18 | Nvidia Corp. | Method and apparatus for security protocol and address translation integration |
| US7143137B2 (en) * | 2002-06-13 | 2006-11-28 | Nvidia Corporation | Method and apparatus for security protocol and address translation integration |
| CN101188851A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
| CN101378395A (zh) * | 2008-10-10 | 2009-03-04 | 福建星网锐捷网络有限公司 | 一种防止拒绝访问攻击的方法及装置 |
| CN101431516A (zh) * | 2008-12-04 | 2009-05-13 | 成都市华为赛门铁克科技有限公司 | 分布式安全策略的实现方法、客户端及通信系统 |
| CN101539977A (zh) * | 2009-04-29 | 2009-09-23 | 北京飞天诚信科技有限公司 | 一种计算机软件保护方法 |
| CN102208992A (zh) * | 2010-06-13 | 2011-10-05 | 天津海量信息技术有限公司 | 面向互联网的不良信息过滤系统及其方法 |
| CN101977189A (zh) * | 2010-10-22 | 2011-02-16 | 青海师范大学 | Mpls网络的可信认证及安全接入控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| 徐江峰 等: "《一种基于动态密钥的数据库加密方案》", 《微计算机信息》 * |
| 王凤英: "《基于高维混沌离散系统的动态密钥3DES算法》", 《微电子学与计算机》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107065750A (zh) * | 2017-05-15 | 2017-08-18 | 中国工程物理研究院计算机应用研究所 | 内生安全的工业控制网络动态防御方法 |
| CN108848071A (zh) * | 2018-05-30 | 2018-11-20 | 深圳市元征科技股份有限公司 | 一种数据传输方法、系统及设备和存储介质 |
| WO2021032016A1 (zh) * | 2019-08-19 | 2021-02-25 | 华为技术有限公司 | 数据处理方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6938702B2 (ja) | 通信保護を備えた聴覚装置および関連する方法 | |
| CN103001976A (zh) | 一种安全的网络信息传输方法 | |
| IL261137A (en) | System and method for secure communication | |
| CN104580233A (zh) | 一种物联网智能家居安全网关系统 | |
| CN104753953A (zh) | 访问控制系统 | |
| CN104506515A (zh) | 一种固件的保护方法和保护装置 | |
| CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
| CN104361267A (zh) | 基于非对称加密算法的软件授权与保护装置及方法 | |
| CN106464488A (zh) | 信息传输方法及移动设备 | |
| CN103310161A (zh) | 一种用于数据库系统的防护方法及系统 | |
| JP6807153B2 (ja) | セキュアな聴覚装置の通信のための装置および関係する方法 | |
| JP6138958B2 (ja) | 指紋認証による図面管理システム及び図面管理方法 | |
| CN101795271A (zh) | 网络安全打印系统及打印方法 | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN109309566B (zh) | 一种认证方法、装置、系统、设备及存储介质 | |
| CN101789866A (zh) | 高可靠性安全隔离与信息交换方法 | |
| JP2019068413A (ja) | 安全にデータを転送する方法およびシステム | |
| CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其系统 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN106027473A (zh) | 身份证读卡终端与云认证平台数据传输方法和系统 | |
| CN101833620A (zh) | 一种基于自定义安全jdbc驱动的数据库防护方法 | |
| CN101188851A (zh) | 移动终端准入控制的方法 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
| CN102932354A (zh) | 一种ip地址的验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130213 |