CN104468544A - 增强网络通信安全的方法 - Google Patents
增强网络通信安全的方法 Download PDFInfo
- Publication number
- CN104468544A CN104468544A CN201410696433.5A CN201410696433A CN104468544A CN 104468544 A CN104468544 A CN 104468544A CN 201410696433 A CN201410696433 A CN 201410696433A CN 104468544 A CN104468544 A CN 104468544A
- Authority
- CN
- China
- Prior art keywords
- request message
- message
- server
- client
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种增强网络通信安全的方法,服务器在收到请求报文后,回应发送确认报文;如果服务器在规定时间内未收到客户端对所述确认报文的回应,就放弃所述请求报文,不执行所述请求报文的内容;如果服务器在规定时间内收到客户端对所述确认报文的回应,则对所述请求报文作出响应,执行所述请求报文的内容。本发明服务器对收到的每个请求报文回应一个确认报文,在超过一定时间未收到对该确认报文的回应时,就认为该请求报文是非法的,不执行请求报文的内容。本发明有效提高了通信的安全性,既防止了设备信息的外泄,又阻止了非法配置的执行。
Description
技术领域
本发明涉及网络通信领域,尤其是涉及一种增强通信安全的方法。
背景技术
随着计算机和通信技术的发展,Internet应用不再仅局限于PC,嵌入式设备网络化也成为信息技术发展的产物。嵌入式设备接入Internet以后,可方便地将信息共享到网络中,还可实现设备的远程控制、升级和维护。用户只需要有一个网页浏览器即可形象的了解到设备信息和运行状态,并可以通过改变页面上的元素来简单方便地配置设备,而不需要对设备内部有太多了解。
设备接入Internet,就将信息共享到了网络中,也可接受远程配置。这既为设备的使用提供了方便,同时却也为设备的安全带来了隐患。网络中的其它用户可通过抓取已与服务器之间建立合法连接的客户端与服务器之间通信的请求报文,进而获取到设备的运行状态和配置信息以及配置方法。当非法用户用获取到的配置方法,通过某些软件构造报文发送到服务器上,若服务器不能正确识别报文的合法性就执行配置,则会被非法用户更改设备的配置。
虽然采用加密算法对报文中用户名和密码进行加密给非法用户通过报文获取设备配置所需要的用户名和密码带来了一定的困难,但并不能保证百分之百的安全。网络中的非法用户只需要构造一个新的请求报文,源IP、用户名和密码等信息同抓取到报文中的内容一致,服务器就无法识别出哪个请求是有效的,哪个请求是无效的,因为对服务器而言,请求报文要验证的信息是一样的,处理过程自然也是一样的,所以会作出相同的响应。
发明内容
本发明需解决的技术问题是提供一种防止信息泄露、避免设备受恶意攻击或被更改配置的增强网络通信安全的方法。
为了解决上述的问题,本发明设计了一种增强网络通信安全的方法,其包括以下步骤:步骤1:服务器在收到请求报文后,回应发送确认报文;
步骤2:如果服务器在规定时间内未收到客户端对所述确认报文的回应,就放弃所述请求报文,不执行所述请求报文的内容;如果服务器在规定时间内收到客户端对所述确认报文的回应,则对所述请求报文作出响应,执行所述请求报文的内容。
作为本发明进一步改进,服务器发送确认报文时,还同时启动定时器。
作为本发明进一步改进,所述确认报文中还包括有当前系统时间。
作为本发明进一步改进,所述服务器为提供Web服务的交换机。
作为本发明进一步改进,所述客户端为装有Web浏览器的主机。
本发明服务器对收到的每个请求报文回应一个确认报文,在超过一定时间未收到对该确认报文的回应时,就认为该请求报文是非法的,不执行请求报文的内容。即使网络中的非法用户通过软件抓取到客户端向服务器发送的请求报文,再通过某些软件构造成同样的请求报文,但这些抓包软件构造不会对确认报文作出回应,该请求报文将得不到服务器的任何响应,也就不能取得服务器设备的信息和进行配置了。本发明有效提高了通信的安全性,既防止了设备信息的外泄,又阻止了非法配置的执行。
附图说明
图1是本发明实施例主机和交换机的报文交互示意图。
具体实施方式
为了使本领域相关技术人员更好地理解本发明的技术方案,下面将结合图和实施方式,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。
本发明在客户端(通常为装有web浏览器的主机)通过正确的用户名和密码登录服务器后,服务器将用户名、密码、客户端IP地址作为客户端和服务器之间连接的标识,并记录客户端登入的绝对时间。
本发明在服务器上为每一个合法连接的客户端保存用户名、密码、客户端IP地址。在服务器收到客户端的请求报文时,通过检查报文中的用户名、密码、源IP地址,检查客户端与服务器的连接是否存在,对不存在的连接不作响应。对合法连接,本发明在服务器与客户端的报文传输之间再作交互,即对客户端的请求报文再次做确认,从而防止非法用户窃取正常报文后修改服务器设备的配置。
本发明服务器对客户端的请求除了检验用户名、密码和源IP地址之外,增加了对客户端确认报文的交互,对未收到确认报文回应的请求不作响应,有效提高了服务器的安全性,既防止了信息的外泄,又阻止了非法配置的执行。
本发明服务器在收到客户端发送过来的请求报文后,回应发送对应的确认报文。当然,该请求报文不一定是合法的客户端发出的请求报文,又可能是非法用户窃取到合法的用户名、密码以及客户端IP地址而构造的请求报文。无论是合法的还是非法的,本发明服务器均回应确认报文出去,并且,同时还启动一定时器。在规定时间内,如果服务器未收到客户端对所述确认报文的回应,就认为请求报文为非法的,放弃该请求报文,不执行所述请求报文的内容;在规定时间内,如果服务器收到客户端对确认报文的回应,就认为请求报文时合法的,则对请求报文作出响应,执行所述请求报文的内容。
更优的是,所述确认报文中还包括有当前系统时间,由于系统时间一直在变,这样就算遇到相同的请求报文时,也能通过系统时间区分开,确保了请求报文的唯一性。
本发明的实施例,交换机作为提供Web服务的服务器,用户的主机作为Web浏览器的客户端,在处理请求报文时,交换机与主机进行了三次握手过程,如图1所示。
首先,主机通过网页浏览器登录到交换机的配置界面,交换机会保存主机的IP地址、用户名、密码以及登录时间。
第一次握手:主机查看交换机信息或者对交换机进行配置,会向交换机发送请求报文“action=X”。X代表一个具体的请求,比如查看交换机信息或者对交换机进行配置。
第二次握手:交换机在收到请求报文“action=X”后,根据当前系统时间构造对应该请求报文的确认报文,即发送“action=X+ACK=now_time”确认报文,now_time为当前系统时间。
第三次握手:主机收到交换机发送的确认报文“action=X+ACK=now_time报文”,再向交换机作出回应,即发送“ACK=now_time+1”报文,交换机在规定时间内收到后,则确认请求报文“action=X”是合法的,对请求报文“action=X”作出响应,执行“action=X”里的内容。
本发明实施例在主机与交换机的交互中增加了第二次握手和第三次握手,即交换机在收到请求报文后发送确认报文,以及主机对该确认报文的回应。这样可以确认之前收到的请求报文是合法的主机发出的,交换机会执行该请求报文。如果交换机在规定时间内未收到主机对该确认报文的回应,即没有第三次握手,交换机则认为之前对应的请求报文是非法的,放弃请求报文,不执行。
本发明服务器对收到的每个请求报文回应一个确认报文,在超过一定时间未收到对该确认报文的回应时,就认为该请求报文是非法的,不执行请求报文的内容。即使网络中的非法用户通过软件抓取到客户端向服务器发送的请求报文,再通过某些软件构造成同样的请求报文,但这些抓包软件构造不会对确认报文作出回应,该请求报文将得不到服务器的任何响应,也就不能取得服务器设备的信息和进行配置了。本发明有效提高了通信的安全性,既防止了设备信息的外泄,又阻止了非法配置的执行。
以上仅表达了本发明的一种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (5)
1.一种增强网络通信安全的方法,其特征在于,包括以下步骤:
步骤1:服务器在收到请求报文后,回应发送确认报文;
步骤2:如果服务器在规定时间内未收到客户端对所述确认报文的回应,就放弃所述请求报文,不执行所述请求报文的内容;如果服务器在规定时间内收到客户端对所述确认报文的回应,则对所述请求报文作出响应,执行所述请求报文的内容。
2.根据权利要求1所述增强网络通信安全的方法,其特征在于,在步骤1中,服务器发送确认报文时,还同时启动定时器。
3.根据权利要求2所述的增强网络通信安全的方法,其特征在于,所述确认报文中还包括有当前系统时间。
4.根据权利要求1所述增强网络通信安全的方法,其特征在于,所述服务器为提供Web服务的交换机。
5.根据权利要求1所述增强网络通信安全的方法,其特征在于,所述客户端为装有Web浏览器的主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410696433.5A CN104468544A (zh) | 2014-11-26 | 2014-11-26 | 增强网络通信安全的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410696433.5A CN104468544A (zh) | 2014-11-26 | 2014-11-26 | 增强网络通信安全的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104468544A true CN104468544A (zh) | 2015-03-25 |
Family
ID=52913916
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410696433.5A Pending CN104468544A (zh) | 2014-11-26 | 2014-11-26 | 增强网络通信安全的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104468544A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257450A (zh) * | 2008-03-28 | 2008-09-03 | 华为技术有限公司 | 网络安全防护方法、网关设备、客户端及网络系统 |
| CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN103347016A (zh) * | 2013-06-28 | 2013-10-09 | 天津汉柏汉安信息技术有限公司 | 一种攻击的防御方法 |
| US20140189823A1 (en) * | 2003-04-15 | 2014-07-03 | Microsoft Corporation | Pass-Thru for Client Authentication |
-
2014
- 2014-11-26 CN CN201410696433.5A patent/CN104468544A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140189823A1 (en) * | 2003-04-15 | 2014-07-03 | Microsoft Corporation | Pass-Thru for Client Authentication |
| CN101257450A (zh) * | 2008-03-28 | 2008-09-03 | 华为技术有限公司 | 网络安全防护方法、网关设备、客户端及网络系统 |
| CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN103347016A (zh) * | 2013-06-28 | 2013-10-09 | 天津汉柏汉安信息技术有限公司 | 一种攻击的防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
| CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
| US20080028458A1 (en) | Client server distributed system, client apparatus, server apparatus, and mutual authentication method used therein | |
| CN104811455A (zh) | 一种云计算身份认证方法 | |
| US10630636B1 (en) | Anti-censorship framework using moving target defense systems and methods | |
| CN104253833B (zh) | 远端进程操作方法及系统 | |
| CN105704157A (zh) | 远程控制方法及系统、所适用的智能终端和服务端 | |
| JP2010200300A (ja) | Tcp通信方式 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| US9225703B2 (en) | Protecting end point devices | |
| CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其系统 | |
| JP2008158903A (ja) | 認証システム、および主端末 | |
| CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
| Lee et al. | Threats analysis, requirements and considerations for secure Internet of Things | |
| CN103036883A (zh) | 一种安全服务器的安全通讯方法与系统 | |
| CN103745139A (zh) | 一种软件授权控制方法 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN101567787B (zh) | 一种计算机系统、计算机网络及数据通信方法 | |
| CN102333098A (zh) | 一种安全私有云系统的实现方法 | |
| CN106548096B (zh) | 数据传输方法及装置 | |
| CN104580154A (zh) | Web服务安全访问方法、系统及相应的服务器 | |
| KR20130035600A (ko) | 정보 유출 차단 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150325 |