CN106357658A - 用户安全接入方法 - Google Patents
用户安全接入方法 Download PDFInfo
- Publication number
- CN106357658A CN106357658A CN201610867081.4A CN201610867081A CN106357658A CN 106357658 A CN106357658 A CN 106357658A CN 201610867081 A CN201610867081 A CN 201610867081A CN 106357658 A CN106357658 A CN 106357658A
- Authority
- CN
- China
- Prior art keywords
- access
- user terminal
- ping
- access device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及信息安全技术。本发明是要解决现有用户安全接入方式的安全性不足的问题,提供了一种用户安全接入方法,其技术方案可概括为:首先接入设备启动,初始化终端黑名单和访问信息表,然后接入设备发布PING接入策略并关闭PING响应,用户终端再根据PING接入策略访问接入设备,然后接入设备判断用户终端的IP是否在黑名单上,若是则接入设备拒绝该用户终端的访问,若不是则接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致并判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则接入设备响应该用户终端PING,否则将其记录在黑名单上。本发明的有益效果是,提高安全性,适用于用户安全接入。
Description
技术领域
本发明涉及信息安全技术,特别涉及用户安全接入技术。
背景技术
随着互联网和移动信息化的迅速发展,上网的用户越来越多,上网设备种类也越来越多,网络安全隐患逐步成为比较突出的一个问题。网络上各种窃取用户私密信息、盗刷用户账户等现象层出不穷。如何有效的向合法用户提供安全的连接,引起了业界的广泛关注,因为只有首先保证了用户的安全接入,才是随后向用户提供优质服务的基础。
目前服务器端识别合法用户,向真正的用户提供安全接入的方法有多种,而实施的技术方案可能是这几种方式的组合,例如服务器安装杀毒软件和防火墙,抵御非法用户的攻击行为;服务器和客户端之间实施HTTPS安全连接访问,保证连接的安全;服务器对客户端启用权限认证,让合法的授权用户才能继续访问服务……以上种种安全接入方式,在目前已经得到广泛的实施。但这些安全接入方式并非万无一失的,而且很多安全手段的接入控制策略也显得比较复杂。
发明内容
本发明的目的是要解决目前用户安全接入方式的安全性不足的问题,提供了一种用户安全接入方法。
本发明解决其技术问题,采用的技术方案是,用户安全接入方法,其特征在于,包括以下步骤:
步骤1、接入设备启动,初始化终端黑名单和访问信息表;
步骤2、接入设备发布PING接入策略;
步骤3、接入设备关闭PING响应;
步骤4、用户终端根据PING接入策略访问接入设备;
步骤5、接入设备判断用户终端的IP是否在黑名单上,若是则进入步骤6,若不是则进入步骤7;
步骤6、接入设备拒绝该用户终端的访问,本次接入控制完成;
步骤7、接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则进入步骤10,若不是则进入步骤8;
步骤8、接入设备记录用户终端的访问信息到访问信息表中;
步骤9、接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则进入步骤10;
步骤10、接入设备响应该用户终端PING;
步骤11、该用户终端向接入设备请求真实服务的地址;
步骤12、接入设备返回真实服务的地址;
步骤13、用户终端开始访问真实服务,本次接入控制完成。
具体的,步骤1中,所述黑名单中至少包括用户终端的IP地址及对应用户终端最后一次访问信息。
进一步的,步骤6中,所述接入设备拒绝该用户终端的访问后,还在黑名单中更新该用户终端最后一次访问信息。
具体的,步骤1中,所述访问信息表中至少包括用户终端的IP地址3001、用户终端的访问次数及其是否满足PING接入策略。
再进一步的,所述访问信息表中的各用户终端是否满足PING接入策略,初始时均默认为否。
具体的,步骤10中,所述接入设备响应该用户终端PING后,还更新访问信息表中的该用户终端是否满足PING接入策略为是。
再进一步的,步骤2中,所述PING接入策略是指对接入设备约定好的端口进行PING访问的一组行为。
具体的,步骤9中,所述接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上的判断方法为:根据该用户终端的访问次数进行判断,若其访问次数超过了设置的阀值,则判定为需要记录在黑名单上,反之判定为不记录。
再进一步的,所述阀值为一分钟内访问超过10次。
具体的,还包括以下步骤:
步骤14、接入设备根据实际需要设置清理策略,以按照一定时间周期清除访问信息表中的数据。
本发明的有益效果是,在本发明方案中,通过上述用户安全接入方法,既能够单独保障安全性,也可以与其他安全手段相结合使安全性更高,又可以针对少量VIP客户(将其是否满足PING接入策略直接设置为是即可)提供优质服务的同时,又可以满足海量用户的使用。
具体实施方式
下面结合实施例,详细描述本发明的技术方案。
本发明的用户安全接入方法:首先接入设备启动,初始化终端黑名单和访问信息表,然后接入设备发布PING接入策略并关闭PING响应,用户终端再根据PING接入策略访问接入设备,然后接入设备判断用户终端的IP是否在黑名单上,若是则接入设备拒绝该用户终端的访问,本次接入控制完成,若不是则接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则接入设备响应该用户终端PING,若不是则接入设备记录用户终端的访问信息到访问信息表中,再判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则接入设备响应该用户终端PING,当接入设备响应该用户终端PING后,该用户终端向接入设备请求真实服务的地址,接入设备再返回真实服务的地址,最后用户终端开始访问真实服务,本次接入控制完成。
实施例
本发明实施例的用户安全接入方法,其具体包括以下步骤:
步骤1、接入设备启动,初始化终端黑名单和访问信息表。
本步骤中,黑名单中可以至少包括用户终端的IP地址及对应用户终端最后一次访问信息等。访问信息表中可以至少包括用户终端的IP地址3001、用户终端的访问次数及其是否满足PING接入策略等,而访问信息表中的各用户终端是否满足PING接入策略,初始时优选默认为否。
步骤2、接入设备发布PING接入策略。
本步骤中,PING接入策略是指对接入设备约定好的端口进行PING访问的一组行为。
步骤3、接入设备关闭PING响应。
步骤4、用户终端根据PING接入策略访问接入设备。
步骤5、接入设备判断用户终端的IP是否在黑名单上,若是则进入步骤6,若不是则进入步骤7。
步骤6、接入设备拒绝该用户终端的访问,本次接入控制完成。
本步骤中,若步骤1的黑名单中具有对应用户终端最后一次访问信息,则接入设备拒绝该用户终端的访问后,还在黑名单中更新该用户终端最后一次访问信息。
步骤7、接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则进入步骤10,若不是则进入步骤8。
步骤8、接入设备记录用户终端的访问信息到访问信息表中。
步骤9、接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则进入步骤10。
本步骤中,接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上的判断方法可以为:根据该用户终端的访问次数进行判断,若其访问次数超过了设置的阀值,则判定为需要记录在黑名单上,反之判定为不记录,其中,阀值可以设置为一分钟内访问超过10次,通常这个阀值会根据业务的实际情况有所增减。
步骤10、接入设备响应该用户终端PING。
本步骤中,若步骤1的访问信息表中具有对应用户终端是否满足PING接入策略,则接入设备响应该用户终端PING后,还更新访问信息表中的该用户终端是否满足PING接入策略为是。
步骤11、该用户终端向接入设备请求真实服务的地址。
步骤12、接入设备返回真实服务的地址。
步骤13、用户终端开始访问真实服务,本次接入控制完成。
还可以包括以下步骤:
步骤14、接入设备根据实际需要设置清理策略,以按照一定时间周期清除访问信息表中的数据,从而节省存储空间。
Claims (10)
1.用户安全接入方法,其特征在于,包括以下步骤:
步骤1、接入设备启动,初始化终端黑名单和访问信息表;
步骤2、接入设备发布PING接入策略;
步骤3、接入设备关闭PING响应;
步骤4、用户终端根据PING接入策略访问接入设备;
步骤5、接入设备判断用户终端的IP是否在黑名单上,若是则进入步骤6,若不是则进入步骤7;
步骤6、接入设备拒绝该用户终端的访问,本次接入控制完成;
步骤7、接入设备判断用户终端的访问序列是否与接入设备PING接入策略的序列一致,若是则进入步骤10,若不是则进入步骤8;
步骤8、接入设备记录用户终端的访问信息到访问信息表中;
步骤9、接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上,若是则将其记录在黑名单上,并拒绝该用户终端的访问,本次接入控制完成,若不是则进入步骤10;
步骤10、接入设备响应该用户终端PING;
步骤11、该用户终端向接入设备请求真实服务的地址;
步骤12、接入设备返回真实服务的地址;
步骤13、用户终端开始访问真实服务,本次接入控制完成。
2.如权利要求1所述的用户安全接入方法,其特征在于,步骤1中,所述黑名单中至少包括用户终端的IP地址及对应用户终端最后一次访问信息。
3.如权利要求2所述的用户安全接入方法,其特征在于,步骤6中,所述接入设备拒绝该用户终端的访问后,还在黑名单中更新该用户终端最后一次访问信息。
4.如权利要求1所述的用户安全接入方法,其特征在于,步骤1中,所述访问信息表中至少包括用户终端的IP地址、用户终端的访问次数及其是否满足PING接入策略。
5.如权利要求4所述的用户安全接入方法,其特征在于,所述访问信息表中的各用户终端是否满足PING接入策略,初始时均默认为否。
6.如权利要求5所述的用户安全接入方法,其特征在于,步骤10中,所述接入设备响应该用户终端PING后,还更新访问信息表中的该用户终端是否满足PING接入策略为是。
7.如权利要求1所述的用户安全接入方法,其特征在于,步骤2中,所述PING接入策略是指对接入设备约定好的端口进行PING访问的一组行为。
8.如权利要求1所述的用户安全接入方法,其特征在于,步骤9中,所述接入设备判断该用户终端的访问行为是否需要将其记录在黑名单上的判断方法为:根据该用户终端的访问次数进行判断,若其访问次数超过了设置的阀值,则判定为需要记录在黑名单上,反之判定为不记录。
9.如权利要求8所述的用户安全接入方法,其特征在于,所述阀值为一分钟内访问超过10次。
10.如权利要求1或2或3或4或5或6或7或8或9所述的用户安全接入方法,其特征在于,还包括以下步骤:
步骤14、接入设备根据实际需要设置清理策略,以按照一定时间周期清除访问信息表中的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610867081.4A CN106357658B (zh) | 2016-09-30 | 2016-09-30 | 用户安全接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610867081.4A CN106357658B (zh) | 2016-09-30 | 2016-09-30 | 用户安全接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106357658A true CN106357658A (zh) | 2017-01-25 |
| CN106357658B CN106357658B (zh) | 2019-10-11 |
Family
ID=57866090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610867081.4A Active CN106357658B (zh) | 2016-09-30 | 2016-09-30 | 用户安全接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106357658B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107659983A (zh) * | 2017-10-12 | 2018-02-02 | 上海斐讯数据通信技术有限公司 | 一种用户无法连接无线ap的处理方法及装置 |
| CN113079165A (zh) * | 2021-04-02 | 2021-07-06 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101540757A (zh) * | 2008-03-19 | 2009-09-23 | 北京艾科网信科技有限公司 | 网络认证方法、系统和认证设备 |
| US20140112130A1 (en) * | 2012-10-23 | 2014-04-24 | Electronics And Telecommunications Research Institute | Method for setting packet forwarding rule and control apparatus using the method |
| US20150341269A1 (en) * | 2014-05-22 | 2015-11-26 | International Business Machines Corporation | Supporting access control list rules that apply to tcp segments belonging to 'established' connection |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
-
2016
- 2016-09-30 CN CN201610867081.4A patent/CN106357658B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101540757A (zh) * | 2008-03-19 | 2009-09-23 | 北京艾科网信科技有限公司 | 网络认证方法、系统和认证设备 |
| US20140112130A1 (en) * | 2012-10-23 | 2014-04-24 | Electronics And Telecommunications Research Institute | Method for setting packet forwarding rule and control apparatus using the method |
| US20150341269A1 (en) * | 2014-05-22 | 2015-11-26 | International Business Machines Corporation | Supporting access control list rules that apply to tcp segments belonging to 'established' connection |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107659983A (zh) * | 2017-10-12 | 2018-02-02 | 上海斐讯数据通信技术有限公司 | 一种用户无法连接无线ap的处理方法及装置 |
| CN113079165A (zh) * | 2021-04-02 | 2021-07-06 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
| CN113079165B (zh) * | 2021-04-02 | 2023-04-07 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106357658B (zh) | 2019-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106096343B (zh) | 消息访问控制方法及设备 | |
| US9576145B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| CN108920937A (zh) | 投屏系统、投屏方法和装置 | |
| CN103731413B (zh) | 一种处理异常登录的方法 | |
| JP6086562B2 (ja) | Emuクラスインターネットゲームのプラグインの識別 | |
| CN105024975B (zh) | 账号登录的方法、装置及系统 | |
| CN107707435B (zh) | 一种报文处理方法和装置 | |
| CN104580364B (zh) | 一种资源分享的方法和装置 | |
| WO2007106687A3 (en) | Role aware network security enforcement | |
| CN103888418B (zh) | 策略认证方法及系统 | |
| CN107019916A (zh) | 异地监控游戏防作弊的方法及系统 | |
| JP2006339933A5 (zh) | ||
| WO2005036852A8 (en) | Apparatuses and method for authentication in heterogeneuous ip networks | |
| CN105022939B (zh) | 信息验证方法及装置 | |
| CN103473502A (zh) | 一种获取基于安卓的移动终端Root权限的方法和系统 | |
| JP2003085059A5 (zh) | ||
| Stone-Gross et al. | Peering through the iframe | |
| CN113949520B (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
| CN106357658A (zh) | 用户安全接入方法 | |
| CN108449368A (zh) | 一种应用层攻击检测方法、装置和电子设备 | |
| CN105791322A (zh) | 一种管控app对安装软件鉴权的方法 | |
| US9674195B1 (en) | Use of highly authenticated operations to detect network address translation | |
| CN103095825B (zh) | 一种互联网的信息管理方法和系统、服务器 | |
| CN104866774B (zh) | 账户权限管理的方法及系统 | |
| CN107154934A (zh) | 一种移动终端浏览器过滤网址的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |