CN106357658A - 用户安全接入方法 - Google Patents

用户安全接入方法 Download PDF

Info

Publication number
CN106357658A
CN106357658A CN201610867081.4A CN201610867081A CN106357658A CN 106357658 A CN106357658 A CN 106357658A CN 201610867081 A CN201610867081 A CN 201610867081A CN 106357658 A CN106357658 A CN 106357658A
Authority
CN
China
Prior art keywords
access
user terminal
ping
access device
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610867081.4A
Other languages
English (en)
Other versions
CN106357658B (zh
Inventor
李强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201610867081.4A priority Critical patent/CN106357658B/zh
Publication of CN106357658A publication Critical patent/CN106357658A/zh
Application granted granted Critical
Publication of CN106357658B publication Critical patent/CN106357658B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及信息安全技术。本发明是要解决现有用户安全接入方式的安全性不足的问题,提供了一种用户安全接入方法,其技术方案可概括为:首先接入设备启动,初始化终端黑名单和访问信息表,然后接入设备发布PING接入策略并关闭PING响应,用户终端再根据PING接入策略访问接入设备,然后接入设备判断用户终端的IP是否在黑名单上,若是则接入设备拒绝该用户终端的访问,若不是则接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致并判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则接入设备响应该用户终端PING,否则将其记录在黑名单上。本发明的有益效果是,提高安全性,适用于用户安全接入。

Description

用户安全接入方法
技术领域
本发明涉及信息安全技术,特别涉及用户安全接入技术。
背景技术
随着互联网和移动信息化的迅速发展,上网的用户越来越多,上网设备种类也越来越多,网络安全隐患逐步成为比较突出的一个问题。网络上各种窃取用户私密信息、盗刷用户账户等现象层出不穷。如何有效的向合法用户提供安全的连接,引起了业界的广泛关注,因为只有首先保证了用户的安全接入,才是随后向用户提供优质服务的基础。
目前服务器端识别合法用户,向真正的用户提供安全接入的方法有多种,而实施的技术方案可能是这几种方式的组合,例如服务器安装杀毒软件和防火墙,抵御非法用户的攻击行为;服务器和客户端之间实施HTTPS安全连接访问,保证连接的安全;服务器对客户端启用权限认证,让合法的授权用户才能继续访问服务……以上种种安全接入方式,在目前已经得到广泛的实施。但这些安全接入方式并非万无一失的,而且很多安全手段的接入控制策略也显得比较复杂。
发明内容
本发明的目的是要解决目前用户安全接入方式的安全性不足的问题,提供了一种用户安全接入方法。
本发明解决其技术问题,采用的技术方案是,用户安全接入方法,其特征在于,包括以下步骤:
步骤1、接入设备启动,初始化终端黑名单和访问信息表;
步骤2、接入设备发布PING接入策略;
步骤3、接入设备关闭PING响应;
步骤4、用户终端根据PING接入策略访问接入设备;
步骤5、接入设备判断用户终端的IP是否在黑名单上,若是则进入步骤6,若不是则进入步骤7;
步骤6、接入设备拒绝该用户终端的访问,本次接入控制完成;
步骤7、接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则进入步骤10,若不是则进入步骤8;
步骤8、接入设备记录用户终端的访问信息到访问信息表中;
步骤9、接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则进入步骤10;
步骤10、接入设备响应该用户终端PING;
步骤11、该用户终端向接入设备请求真实服务的地址;
步骤12、接入设备返回真实服务的地址;
步骤13、用户终端开始访问真实服务,本次接入控制完成。
具体的,步骤1中,所述黑名单中至少包括用户终端的IP地址及对应用户终端最后一次访问信息。
进一步的,步骤6中,所述接入设备拒绝该用户终端的访问后,还在黑名单中更新该用户终端最后一次访问信息。
具体的,步骤1中,所述访问信息表中至少包括用户终端的IP地址3001、用户终端的访问次数及其是否满足PING接入策略。
再进一步的,所述访问信息表中的各用户终端是否满足PING接入策略,初始时均默认为否。
具体的,步骤10中,所述接入设备响应该用户终端PING后,还更新访问信息表中的该用户终端是否满足PING接入策略为是。
再进一步的,步骤2中,所述PING接入策略是指对接入设备约定好的端口进行PING访问的一组行为。
具体的,步骤9中,所述接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上的判断方法为:根据该用户终端的访问次数进行判断,若其访问次数超过了设置的阀值,则判定为需要记录在黑名单上,反之判定为不记录。
再进一步的,所述阀值为一分钟内访问超过10次。
具体的,还包括以下步骤:
步骤14、接入设备根据实际需要设置清理策略,以按照一定时间周期清除访问信息表中的数据。
本发明的有益效果是,在本发明方案中,通过上述用户安全接入方法,既能够单独保障安全性,也可以与其他安全手段相结合使安全性更高,又可以针对少量VIP客户(将其是否满足PING接入策略直接设置为是即可)提供优质服务的同时,又可以满足海量用户的使用。
具体实施方式
下面结合实施例,详细描述本发明的技术方案。
本发明的用户安全接入方法:首先接入设备启动,初始化终端黑名单和访问信息表,然后接入设备发布PING接入策略并关闭PING响应,用户终端再根据PING接入策略访问接入设备,然后接入设备判断用户终端的IP是否在黑名单上,若是则接入设备拒绝该用户终端的访问,本次接入控制完成,若不是则接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则接入设备响应该用户终端PING,若不是则接入设备记录用户终端的访问信息到访问信息表中,再判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则接入设备响应该用户终端PING,当接入设备响应该用户终端PING后,该用户终端向接入设备请求真实服务的地址,接入设备再返回真实服务的地址,最后用户终端开始访问真实服务,本次接入控制完成。
实施例
本发明实施例的用户安全接入方法,其具体包括以下步骤:
步骤1、接入设备启动,初始化终端黑名单和访问信息表。
本步骤中,黑名单中可以至少包括用户终端的IP地址及对应用户终端最后一次访问信息等。访问信息表中可以至少包括用户终端的IP地址3001、用户终端的访问次数及其是否满足PING接入策略等,而访问信息表中的各用户终端是否满足PING接入策略,初始时优选默认为否。
步骤2、接入设备发布PING接入策略。
本步骤中,PING接入策略是指对接入设备约定好的端口进行PING访问的一组行为。
步骤3、接入设备关闭PING响应。
步骤4、用户终端根据PING接入策略访问接入设备。
步骤5、接入设备判断用户终端的IP是否在黑名单上,若是则进入步骤6,若不是则进入步骤7。
步骤6、接入设备拒绝该用户终端的访问,本次接入控制完成。
本步骤中,若步骤1的黑名单中具有对应用户终端最后一次访问信息,则接入设备拒绝该用户终端的访问后,还在黑名单中更新该用户终端最后一次访问信息。
步骤7、接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则进入步骤10,若不是则进入步骤8。
步骤8、接入设备记录用户终端的访问信息到访问信息表中。
步骤9、接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则进入步骤10。
本步骤中,接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上的判断方法可以为:根据该用户终端的访问次数进行判断,若其访问次数超过了设置的阀值,则判定为需要记录在黑名单上,反之判定为不记录,其中,阀值可以设置为一分钟内访问超过10次,通常这个阀值会根据业务的实际情况有所增减。
步骤10、接入设备响应该用户终端PING。
本步骤中,若步骤1的访问信息表中具有对应用户终端是否满足PING接入策略,则接入设备响应该用户终端PING后,还更新访问信息表中的该用户终端是否满足PING接入策略为是。
步骤11、该用户终端向接入设备请求真实服务的地址。
步骤12、接入设备返回真实服务的地址。
步骤13、用户终端开始访问真实服务,本次接入控制完成。
还可以包括以下步骤:
步骤14、接入设备根据实际需要设置清理策略,以按照一定时间周期清除访问信息表中的数据,从而节省存储空间。

Claims (10)

1.用户安全接入方法,其特征在于,包括以下步骤:
步骤1、接入设备启动,初始化终端黑名单和访问信息表;
步骤2、接入设备发布PING接入策略;
步骤3、接入设备关闭PING响应;
步骤4、用户终端根据PING接入策略访问接入设备;
步骤5、接入设备判断用户终端的IP是否在黑名单上,若是则进入步骤6,若不是则进入步骤7;
步骤6、接入设备拒绝该用户终端的访问,本次接入控制完成;
步骤7、接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则进入步骤10,若不是则进入步骤8;
步骤8、接入设备记录用户终端的访问信息到访问信息表中;
步骤9、接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则进入步骤10;
步骤10、接入设备响应该用户终端PING;
步骤11、该用户终端向接入设备请求真实服务的地址;
步骤12、接入设备返回真实服务的地址;
步骤13、用户终端开始访问真实服务,本次接入控制完成。
2.如权利要求1所述的用户安全接入方法,其特征在于,步骤1中,所述黑名单中至少包括用户终端的IP地址及对应用户终端最后一次访问信息。
3.如权利要求2所述的用户安全接入方法,其特征在于,步骤6中,所述接入设备拒绝该用户终端的访问后,还在黑名单中更新该用户终端最后一次访问信息。
4.如权利要求1所述的用户安全接入方法,其特征在于,步骤1中,所述访问信息表中至少包括用户终端的IP地址、用户终端的访问次数及其是否满足PING接入策略。
5.如权利要求4所述的用户安全接入方法,其特征在于,所述访问信息表中的各用户终端是否满足PING接入策略,初始时均默认为否。
6.如权利要求5所述的用户安全接入方法,其特征在于,步骤10中,所述接入设备响应该用户终端PING后,还更新访问信息表中的该用户终端是否满足PING接入策略为是。
7.如权利要求1所述的用户安全接入方法,其特征在于,步骤2中,所述PING接入策略是指对接入设备约定好的端口进行PING访问的一组行为。
8.如权利要求1所述的用户安全接入方法,其特征在于,步骤9中,所述接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上的判断方法为:根据该用户终端的访问次数进行判断,若其访问次数超过了设置的阀值,则判定为需要记录在黑名单上,反之判定为不记录。
9.如权利要求8所述的用户安全接入方法,其特征在于,所述阀值为一分钟内访问超过10次。
10.如权利要求1或2或3或4或5或6或7或8或9所述的用户安全接入方法,其特征在于,还包括以下步骤:
步骤14、接入设备根据实际需要设置清理策略,以按照一定时间周期清除访问信息表中的数据。
CN201610867081.4A 2016-09-30 2016-09-30 用户安全接入方法 Active CN106357658B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610867081.4A CN106357658B (zh) 2016-09-30 2016-09-30 用户安全接入方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610867081.4A CN106357658B (zh) 2016-09-30 2016-09-30 用户安全接入方法

Publications (2)

Publication Number Publication Date
CN106357658A true CN106357658A (zh) 2017-01-25
CN106357658B CN106357658B (zh) 2019-10-11

Family

ID=57866090

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610867081.4A Active CN106357658B (zh) 2016-09-30 2016-09-30 用户安全接入方法

Country Status (1)

Country Link
CN (1) CN106357658B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107659983A (zh) * 2017-10-12 2018-02-02 上海斐讯数据通信技术有限公司 一种用户无法连接无线ap的处理方法及装置
CN113079165A (zh) * 2021-04-02 2021-07-06 北京天空卫士网络安全技术有限公司 一种访问处理方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101540757A (zh) * 2008-03-19 2009-09-23 北京艾科网信科技有限公司 网络认证方法、系统和认证设备
US20140112130A1 (en) * 2012-10-23 2014-04-24 Electronics And Telecommunications Research Institute Method for setting packet forwarding rule and control apparatus using the method
US20150341269A1 (en) * 2014-05-22 2015-11-26 International Business Machines Corporation Supporting access control list rules that apply to tcp segments belonging to 'established' connection
CN105429933A (zh) * 2014-09-19 2016-03-23 中国电信股份有限公司 一种局域网中网络设备的访问方法、接入设备及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101540757A (zh) * 2008-03-19 2009-09-23 北京艾科网信科技有限公司 网络认证方法、系统和认证设备
US20140112130A1 (en) * 2012-10-23 2014-04-24 Electronics And Telecommunications Research Institute Method for setting packet forwarding rule and control apparatus using the method
US20150341269A1 (en) * 2014-05-22 2015-11-26 International Business Machines Corporation Supporting access control list rules that apply to tcp segments belonging to 'established' connection
CN105429933A (zh) * 2014-09-19 2016-03-23 中国电信股份有限公司 一种局域网中网络设备的访问方法、接入设备及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107659983A (zh) * 2017-10-12 2018-02-02 上海斐讯数据通信技术有限公司 一种用户无法连接无线ap的处理方法及装置
CN113079165A (zh) * 2021-04-02 2021-07-06 北京天空卫士网络安全技术有限公司 一种访问处理方法和装置
CN113079165B (zh) * 2021-04-02 2023-04-07 北京天空卫士网络安全技术有限公司 一种访问处理方法和装置

Also Published As

Publication number Publication date
CN106357658B (zh) 2019-10-11

Similar Documents

Publication Publication Date Title
CN106096343B (zh) 消息访问控制方法及设备
US9576145B2 (en) Alternate files returned for suspicious processes in a compromised computer network
CN104954350B (zh) 账号信息保护方法和系统
CN108920937A (zh) 投屏系统、投屏方法和装置
CN103731413B (zh) 一种处理异常登录的方法
JP6086562B2 (ja) Emuクラスインターネットゲームのプラグインの識別
CN107707435B (zh) 一种报文处理方法和装置
WO2007106687A3 (en) Role aware network security enforcement
CN103888418B (zh) 策略认证方法及系统
CN107019916A (zh) 异地监控游戏防作弊的方法及系统
WO2006118829A3 (en) Preventing fraudulent internet account access
JP2006339933A5 (zh)
WO2005036852A8 (en) Apparatuses and method for authentication in heterogeneuous ip networks
CN105022939B (zh) 信息验证方法及装置
CN103473502A (zh) 一种获取基于安卓的移动终端Root权限的方法和系统
JP2003085059A5 (zh)
Stone-Gross et al. Peering through the iframe
CN113949520B (zh) 欺骗诱捕的方法、装置、计算机设备和可读存储介质
CN106357658A (zh) 用户安全接入方法
CN108449368A (zh) 一种应用层攻击检测方法、装置和电子设备
CN105791322A (zh) 一种管控app对安装软件鉴权的方法
US9674195B1 (en) Use of highly authenticated operations to detect network address translation
CN103095825B (zh) 一种互联网的信息管理方法和系统、服务器
CN107154934A (zh) 一种移动终端浏览器过滤网址的方法
CN104866774B (zh) 账户权限管理的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant