CN108429730B - 无反馈安全认证与访问控制方法 - Google Patents

无反馈安全认证与访问控制方法 Download PDF

Info

Publication number
CN108429730B
CN108429730B CN201810058324.9A CN201810058324A CN108429730B CN 108429730 B CN108429730 B CN 108429730B CN 201810058324 A CN201810058324 A CN 201810058324A CN 108429730 B CN108429730 B CN 108429730B
Authority
CN
China
Prior art keywords
authentication
server
client
information
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810058324.9A
Other languages
English (en)
Other versions
CN108429730A (zh
Inventor
贺章擎
刘玖阳
郑朝霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhihan Xinyu Technology Co ltd
Original Assignee
Beijing Zhihan Xinyu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhihan Xinyu Technology Co ltd filed Critical Beijing Zhihan Xinyu Technology Co ltd
Priority to CN201810058324.9A priority Critical patent/CN108429730B/zh
Publication of CN108429730A publication Critical patent/CN108429730A/zh
Application granted granted Critical
Publication of CN108429730B publication Critical patent/CN108429730B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

本发明涉及信息安全领域,公开了一种无反馈安全认证与访问控制方法,方法依据的认证控制系统包括认证端、认证服务器、若干个客户端及若干个服务端,客户端和认证服务器均设有认证值,认证服务器处于侦听状态,服务端的端口默认处于关闭状态,不接受访问请求,客户端通过认证端发送含有认证值的认证报文至认证服务器,由认证服务器认证成功后,认证服务器通知服务端执行相应服务操作,打开相应端口允许客户端访问,同时客户端和认证服务器的认证值均更新。本发明无反馈安全认证与访问控制方法采用认证服务器对所有发往服务端的访问请求进行合法性认证,并根据认证结果控制对服务端的访问,防止服务端被非法扫描、探测和访问。

Description

无反馈安全认证与访问控制方法
技术领域
本发明涉及信息安全领域,具体涉及一种无反馈安全认证与访问控制方法。
背景技术
计算机网络的开放性、交互性、分散性的等特征使人们的信息共享、信息传播等需求得到极大满足的同时,也带来了日益严重的网络安全问题。现有通信网络往往依托于开放的标准通信协议(如TCP),信息的内容被裸露于网络上潜在的监听者面前,使得网络设备面临着被大规模恶意攻击的危险。采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求,难以解决重要网络设备的安全保护问题。
所有网络攻击的前提是获取目标设备的地址、协议、服务端口等信息,再根据上述信息查找漏洞并实施攻击,端口扫描是一种检测目标网络设备或者目标系统开放端口的信息收集技术,通过这些开放端口,攻击者能够获知网络设备上运行的服务,然后进一步整理、分析这些服务可能的漏洞,发起下一步攻击行为。如果网络设备只对授权用户开放端口而对非授权用户关闭,则可以有效阻止被非法设备扫描、探测和访问,有效的提升网络设备的安全性。因此,有必要对所有连接请求进行认证,并根据认证结果允许合法用户访问并拒绝所有非法的请求连接。
现有典型端口认证技术包括端口试探(port knocking)和单包认证技术SPA等。1、端口试探是一种通过连接尝试,从外部打开原先关闭端口的方法,一旦收到正确的连接尝试,防火墙就会动态打开一些特定的端口给尝试连接的客户端,其中一种连接尝试方法是利用TCP连接建立前的SYN三步握手机制,将认证信息填充到SYN包头的几个特殊字段中并发送到认证服务器进行合法性认证,打开相应端口允许该设备访问。但是,由于SYN包头中只有有限的几个字节能够填充认证信息,无法传送加密信息或者服务操作请求信息。尽管可以利用多个SYN包头来传送更多信息,但是所费时间较多且无法保证认证服务器能可靠的接收;2、单包认证技术SPA则通过构建专用的认证包来实现认证,结合防火墙技术实现对合法客户端的认证与访问授权,但SPA技术需要结合防火墙来实现,无法应用在物联网终端等无法运行防火墙的设备中,同时SPA认证方式也存在安全缺陷,它在打开相应的服务端口之后,仅仅根据网络客户端的IP地址来判断是否接收数据包,但在此期间,攻击者完全有可能仿冒已授权网络客户端的IP地址来实施非法访问。
中国发明专利申请(公开日:2011年07月11日、公开号:102571771B)公开了一种云存储系统的安全认证方法,属于计算机存储技术和信息安全技术领域,解决现有安全认证方法存在的认证过程复杂、认证消耗巨大的问题,为云存储系统服务安全提供简单、灵活、高效、高可扩展性和高安全性的认证,防止外部或者内部攻击者对存储系统的侵入。本发明包括客户端进程、认证端进程和存储端进程;客户端装载所有登陆用户的用户标识,认证端装载访问控制库。本发明通过计算验证标识来检验用户的操作权限是否合法,存储端不再需要维护访问控制库,对用户访问请求验证通过简单计算就可以完成,极大程度地减少了存储系统用于访问控制的开销,为大规模云存储系统中具有操作权限的用户提供了灵活、安全、可靠和高效的文件访问。但是本发明的信息内容被裸露于网络上潜在的监听者面前,使得网络设备面临着被大规模恶意攻击的危险。
发明内容
本发明的目的就是针对上述技术的不足,提供一种无反馈安全认证与访问控制方法,采用认证服务器对所有发往服务端的访问请求进行合法性认证,并根据认证结果控制对服务端的访问,防止服务端被非法扫描、探测和访问。
为实现上述目的,本发明所设计的无反馈安全认证与访问控制方法依据的认证控制系统包括认证端、认证服务器、与所述认证端连接的m个客户端及与所述认证服务器连接的n个服务端,所述方法包括如下步骤:
A)将每个所述客户端的IP地址和设备码d进行登记并储存在所述认证服务器的数据库中,每个所述客户端设置有客户端认证值Kcm(i),i为客户端认证值的序号,i为自然数,所述认证服务器对应每个所述客户端的客户端认证值Kcm(i)设有对应的服务器认证值Ksm(i),Kcm(1)=Ksm(1),每个所述客户端与所述认证服务器之间设有一个共享密钥Km
B)使所述认证服务器处于侦听状态,监听和接收所有发送给所述认证服务器的数据包,每个所述服务端的端口默认处于关闭状态,不接受访问请求;
C)当其中一个所述客户端x试图第z次访问所述服务端y时,所述客户端x通过认证端向所述认证服务器发送认证报文Ax(z),并延时时间T1后连接所述服务端y,所述认证报文Ax(z)包括报文主体ax(z)及所述客户端x的设备码dx,所述报文主体ax(z)依据所述客户端x的共享密钥Kx使用密码算法C计算而来,ax(z)=C(bx(z),H(bx(z))),bx(z)为包括发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z)的信息包,所述服务操作请求包括请求所述服务端y打开指定端口并在时间T2内允许所述客户端x通过指定端口访问,H(bx(z))为对信息包bx(z)的Hash运算值,通过发送时间戳和客户端认证值Kcx(z),确保认证报文Ax(z)的新鲜性、完整性,防止重放、假冒等攻击;
D)所述认证服务器接收到所述客户端x通过所述认证端发送的认证报文Ax(z)后,依据所述认证报文Ax(z)的来源IP地址及所述认证报文Ax(z)内含的所述客户端x的设备码dx检查所述客户端x是否已在所述认证服务器中登记,若没有登记,则丢弃所述认证报文Ax(z)且不响应任何信息,返回所述步骤B);若有登记,所述认证服务器查询与所述客户端x对应的共享密钥Kx及此时的服务器认证值Ksx(z),通过共享密钥Kx使用密码算法C对所述认证报文Ax(z)的报文主体ax(z)进行解密获取信息包bx(z)和信息包bx(z)的Hash值H(bx(z)),并通过H(bx(z))对信息包bx(z)进行完整性验证,若验证失败则返回所述步骤B);若通过验证,则从bx(z)中提取发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z),检查所述发送时间戳与所述认证服务器本地UTC时间的误差是否在预设范围内,若不是,则认证失败,返回所述步骤B);若是,则验证Kcx(z)是否等于Ksx(z),若相等,则认证成功,进入下一步;若Kcx(z)与Ksx(z)不相等,则采用认证服务器上一次与客户端x对应的服务器认证值Ksx(z-1)验证是否等于Kcx(z),若相等则更新服务器认证值Ksx(z)=Ksx(z-1),同时进入下一步,若不相等,则计算K′sx(z)=Hash(Ksx(z),bx(z-1)),式中bx(z-1)为客户端x上次认证发送过来的认证报文Ax(z-1)中的信息包,若K′sx(z)=Kcx(z),则更新服务器认证值Ksx(z)=K′sx(z),同时进入下一步,若不相等,则认证失败,丢弃所接收到的认证报文Ax(z),返回步骤B);
E)所述认证服务器通知所述服务端y执行所述服务操作请求中的操作信息,所述服务端y打开指定端口并在时间T2内允许所述客户端x通过指定端口访问;
F)所述客户端x按照所述服务操作请求中规定的操作信息向所述服务端y发送访问请求信息;
G)所述服务端y接收所述客户端x发送过来的访问请求信息后,所述服务端y接受所述客户端x的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至所述认证服务器;
H)所述客户端x与所述服务端y连接成功后,计算并更新客户端认证值Kcx(z+1)=Hash(Kcx(z),bx(z)),若连接不成功,则不更新客户端认证值并返回所述步骤C)重新发送认证报文;
I)所述认证服务器在通知所述服务端y执行所述服务操作请求中的操作信息后T3时间内接收到所述服务端y反馈的与所述客户端x连接成功信息,则更新服务器认证值Ksx(z+1)=Hash(Ksx(z),bx(z)),若所述认证服务器在T3时间内未接收到所述服务端y反馈的与所述客户端x连接成功信息,则不更新服务器认证值。
优选地,所述步骤E)中,所述认证服务器将所述客户端x的IP地址、设备码dx及所述步骤C)中的发送时间戳发送至所述服务端y,所述步骤F)中将所述访问请求信息的包头闲置字段中加入身份信息,所述身份信息为将所述客户端x的IP地址、设备码dx及所述步骤C)中的发送时间戳进行Hash计算后得到的字节信息,所述步骤G)中所述服务端y接收所述客户端x发送过来的访问请求信息后,将所述访问请求信息中的身份信息与所述步骤E)中接收到的所述客户端x的IP地址、设备码dx及所述步骤C)中的发送时间戳进行认证,若认证不通过,所述服务端y不接受所述客户端x的访问请求,若认证通过,所述服务端y接受所述客户端x的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至所述认证服务器,通过身份信息进行二次认证,提高了安全性;
优选地,所述认证服务器储存所有客户端发送的认证报文、请求时间和认证结果。
优选地,所述客户端、认证端、认证服务器及服务端之间通信均采用加密通道,确保传输数据的机密性。
本发明与现有技术相比,具有以下优点:
1、认证服务器处于侦听状态,服务端的端口默认处于关闭状态,不接受访问请求,大幅度降低了被攻击的可能;
2、客户端和认证服务器的认证值基于区块链思想的动态更新基数,记录了所有客户端发送给认证服务器的服务操作信息,便于验证和追溯;
3、认证报文附带时间戳和认证值,确保了认证报文的新鲜性、完整性,防止重放、假冒等攻击;
4、服务端通过身份信息进行二次认证,提高了安全性;
5、认证服务器采用白名单技术,只对白名单中的客户端发来的认证报文进行后续解密拆包验证,丢弃白名单之外的客户端发来的所有认证报文,降低了验证的工作量,同时,认证服务器通过记录所接收的所有认证报文、请求时间和认证结果等信息,可供安全审计和安全态势感知分析使用。
附图说明
图1为本发明无反馈安全认证与访问控制方法的流程示意图;
图2为本发明无反馈安全认证与访问控制方法中客户端的工作流程示意图;
图3为本发明无反馈安全认证与访问控制方法中认证服务器的工作流程示意图;
图4为本发明无反馈安全认证与访问控制方法中认证服务器的认证流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的详细说明。
一种无反馈安全认证与访问控制方法,如图1所示,依据的认证控制系统包括认证端、认证服务器、与认证端连接的m个客户端及与认证服务器连接的n个服务端,如图2及图3所示,方法包括如下步骤:
A)将每个客户端的IP地址和设备码d进行登记并储存在认证服务器的数据库中,每个客户端设置有客户端认证值Kcm(i),i为客户端认证值的序号,i为自然数,认证服务器对应每个客户端的客户端认证值Kcm(i)设有对应的服务器认证值Ksm(i),Kcm(1)=Ksm(1),每个客户端与认证服务器之间设有一个共享密钥Km
B)使认证服务器处于侦听状态,监听和接收所有发送给认证服务器的数据包,每个服务端的端口默认处于关闭状态,不接受访问请求;
C)当其中一个客户端x试图第z次访问服务端y时,如图2所示,客户端x通过认证端向认证服务器发送认证报文Ax(z),并延时时间T1后连接服务端y,认证报文Ax(z)包括报文主体ax(z)及客户端x的设备码dx,报文主体ax(z)依据客户端x的共享密钥Kx使用密码算法C计算而来,ax(z)=C(bx(z),H(bx(z))),bx(z)为包括发送时间戳、服务操作请求及客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z)的信息包,服务操作请求包括请求服务端y打开指定端口并在时间T2内允许客户端x通过指定端口访问,H(bx(z))为对信息包bx(z)的Hash运算值;
D)认证服务器接收到客户端x通过认证端发送的认证报文Ax(z)后,如图3所示,依据认证报文Ax(z)的来源IP地址及认证报文Ax(z)内含的客户端x的设备码dx检查客户端x是否已在认证服务器中登记,若没有登记,则丢弃认证报文Ax(z)且不响应任何信息,返回步骤B);若有登记,认证服务器查询与客户端x对应的共享密钥Kx及此时的服务器认证值Ksx(z),通过共享密钥Kx使用密码算法C对认证报文Ax(z)的报文主体ax(z)进行解密获取信息包bx(z)和信息包bx(z)的Hash值H(bx(z)),并通过H(bx(z))对信息包bx(z)进行完整性验证,若验证失败则返回步骤B);若通过验证,则从bx(z)中提取发送时间戳、服务操作请求及客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z),检查发送时间戳与认证服务器本地UTC时间的误差是否在预设范围内,若不是,则认证失败,返回步骤B);若是,如图4所示,则验证Kcx(z)是否等于Ksx(z),若相等,则认证成功,进入下一步;若Kcx(z)与Ksx(z)不相等,则采用认证服务器上一次与客户端x对应的服务器认证值Ksx(z-1)验证是否等于Kcx(z),若相等则更新服务器认证值Ksx(z)=Ksx(z-1),同时进入下一步,若不相等,则计算K′sx(z)=Hash(Ksx(z),bx(z-1)),式中bx(z-1)为客户端x上次认证发送过来的认证报文Ax(z-1)中的信息包,若K′sx(z)=Kcx(z),则更新服务器认证值Ksx(z)=K′sx(z),同时进入下一步,若不相等,则认证失败,丢弃所接收到的认证报文Ax(z),返回步骤B)
E)认证服务器通知服务端y执行服务操作请求中的操作信息,服务端y打开指定端口并在时间T2内允许客户端x通过指定端口访问,同时,认证服务器将客户端x的IP地址、设备码dx及步骤C)中的发送时间戳发送至服务端y;
F)客户端x按照服务操作请求中规定的操作信息向服务端y发送访问请求信息,同时,将访问请求信息的包头闲置字段中加入身份信息,身份信息为将客户端x的IP地址、设备码dx及步骤C)中的发送时间戳进行Hash计算后得到的字节信息;
G)服务端y接收客户端x发送过来的访问请求信息后,将访问请求信息中的身份信息与步骤E)中接收到的客户端x的IP地址、设备码dx及步骤C)中的发送时间戳进行认证,若认证不通过,服务端y不接受客户端x的访问请求,若认证通过,服务端y接受客户端x的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至认证服务器;
H)客户端x与服务端y连接成功后,计算并更新客户端认证值Kcx(z+1)=Hash(Kcx(z),bx(z)),若连接不成功,则不更新客户端认证值并返回步骤C)重新发送认证报文;
I)认证服务器在通知服务端y执行服务操作请求中的操作信息后T3时间内接收到服务端y反馈的与客户端x连接成功信息,则更新服务器认证值Ksx(z+1)=Hash(Ksx(z),bx(z)),若认证服务器在T3时间内未接收到服务端y反馈的与客户端x连接成功信息,则不更新服务器认证值。
另外,在认证过程中,认证服务器储存所有客户端发送的认证报文、请求时间和认证结果,客户端、认证端、认证服务器及服务端之间通信均采用加密通道。
在一个实施例中,无反馈安全认证与访问控制方法依据的认证控制系统包括认证端、认证服务器、与认证端连接的5个客户端及与认证服务器连接的6个服务端,无反馈安全认证与访问控制方法包括如下步骤:
A)将5个客户端的IP地址和设备码d进行登记并储存在认证服务器的数据库中,每个客户端设置有客户端认证值Kcm(i),i为客户端认证值的序号,i为自然数,认证服务器对应每个客户端的客户端认证值Kcm(i)设有对应的服务器认证值Ksm(i),Kcm(1)=Ksm(1),每个客户端与认证服务器之间设有一个共享密钥Km
B)使认证服务器处于侦听状态,监听和接收所有发送给认证服务器的数据包,每个服务端的端口均处于关闭状态,不接受访问请求;
C)当第二个客户端试图第一次访问第三个服务端时,第二个客户端通过认证端向认证服务器发送认证报文A2(1),并延时时间T1后连接第三个服务端,认证报文A2(1)包括报文主体a2(1)及第二个客户端的设备码d2,报文主体a2(1)依据第二个客户端的共享密钥K2使用密码算法Cryp计算而来,a2(1)=Cryp(b2(1),H(b2(1))),b2(1)为包括发送时间戳、服务操作请求及第二个客户端在发送认证报文A2(1)时的客户端认证值Kc2(1)的信息包,服务操作请求包括请求第三个服务端打开指定端口并在时间T2内允许第二个客户端通过指定端口访问,H(b2(1))为对信息包b2(1)的Hash运算值;
D)认证服务器接收到第二个客户端通过认证端发送的认证报文A2(1)后,依据认证报文A2(1)的来源IP地址及认证报文A2(1)内含的第二个客户端的设备码d2检查第二个客户端与认证服务器中的登记信息进行对比,确认已有登记后,认证服务器查询与第二个客户端对应的共享密钥K2及此时的服务器认证值Ks2(1),通过共享密钥K2使用密码算法Cryp对认证报文A2(1)的报文主体a2(1)进行解密获取信息包b2(1)和信息包b2(1)的Hash值H(b2(1)),并通过H(b2(1))对信息包b2(1)进行完整性验证,验证通过后,从b2(1)中提取发送时间戳、服务操作请求及第二个客户端在发送认证报文A2(1)时的客户端认证值Kc2(1),通过检查发送时间戳与认证服务器本地UTC时间的误差是在预设范围内,验证Kc2(1)是否等于Ks2(1),两者相等,认证成功,进入下一步;
E)认证服务器通知第三个服务端执行服务操作请求中的操作信息,第三个服务端打开指定端口并在时间T2内允许第二个客户端通过指定端口访问,同时,认证服务器将第二个客户端的IP地址、设备码d2及步骤C)中的发送时间戳发送至第三个服务端;
F)第二个客户端按照服务操作请求中规定的操作信息向第三个服务端发送访问请求信息,同时将访问请求信息的包头闲置字段中加入身份信息,身份信息为将第二个客户端的IP地址、设备码d2及步骤C)中的发送时间戳进行Hash计算后得到的字节信息;
G)第三个服务端接收第二个客户端发送过来的访问请求信息后,将访问请求信息中的身份信息与步骤E)中接收到的第二个客户端的IP地址、设备码d2及步骤C)中的发送时间戳进行认证,认证通过后,第三个服务端接受第二个客户端的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至认证服务器;
H)第二个客户端与第三个服务端连接成功后,计算并更新客户端认证值Kc2(2)=Hash(Kc2(1),b2(1));
I)认证服务器在通知第三个服务端执行服务操作请求中的操作信息后T3时间内接收到第三个服务端反馈的与第二个客户端连接成功信息,更新服务器认证值Ks2(2)=Hash(Ks2(1),b2(1))。
在另一个实施例中,当第三个客户端试图第四次访问第五个服务端时,第三个客户端通过认证端向认证服务器发送认证报文A3(4),并延时时间T1后连接第五个服务端,认证报文A3(4)包括报文主体a3(4)及第三个客户端的设备码d3,报文主体a3(4)依据第三个客户端的共享密钥K3使用密码算法Cryp计算而来,a3(4)=Cryp(b3(4),H(b3(4))),b3(4)为包括发送时间戳、服务操作请求及第三个客户端在发送认证报文A3(4)时的客户端认证值Kc3(4)的信息包,服务操作请求包括请求第五个服务端打开指定端口并在时间T2内允许第三个客户端通过指定端口访问,H(b3(4))为对信息包b3(4)的Hash运算值;
D)认证服务器接收到第三个客户端通过认证端发送的认证报文A3(4)后,依据认证报文A3(4)的来源IP地址及认证报文A3(4)内含的第三个客户端的设备码d3检查第三个客户端与认证服务器中的登记信息进行对比,确认已有登记后,认证服务器查询与第三个客户端对应的共享密钥K3及此时的服务器认证值Ks3(4),通过共享密钥K3使用密码算法Cryp对认证报文A3(4)的报文主体a3(4)进行解密获取信息包b3(4)和信息包b3(4)的Hash值H(b3(4)),并通过H(b3(4))对信息包b3(4)进行完整性验证,验证通过后,从b3(4)中提取发送时间戳、服务操作请求及第三个客户端在发送认证报文A3(4)时的客户端认证值Kc3(4),通过检查发送时间戳与认证服务器本地UTC时间的误差是在预设范围内,验证Kc3(4)是否等于Ks3(4),两者相等,认证成功,进入下一步,若Kc3(4)与Ks3(4)不相等时,则采用认证服务器上一次与第三个客户端对应的服务器认证值Ks3(3)验证是否等于Kc3(4),若相等则更新服务器认证值Ks3(4)=Ks3(3),同时进入下一步,若不相等,则计算K′s3(4)=Hash(Ks3(4),b3(3)),式中b3(3)为第三个客户端上次认证发送过来的认证报文A3(3)中的信息包,若K′s3(4)=Kc3(4),则更新服务器认证值Ks3(4)=K′s3(4),同时进入下一步,若不相等,则认证失败,丢弃所接收到的认证报文A3(4),返回步骤B)
E)认证服务器通知第五个服务端执行服务操作请求中的操作信息,第五个服务端打开指定端口并在时间T2内允许第三个客户端通过指定端口访问,同时,认证服务器将第三个客户端的IP地址、设备码d3及步骤C)中的发送时间戳发送至第五个服务端;
F)第三个客户端按照服务操作请求中规定的操作信息向第五个服务端发送访问请求信息,同时将访问请求信息的包头闲置字段中加入身份信息,身份信息为将第三个客户端的IP地址、设备码d3及步骤C)中的发送时间戳进行Hash计算后得到的字节信息;
G)第五个服务端接收第三个客户端发送过来的访问请求信息后,将访问请求信息中的身份信息与步骤E)中接收到的第三个客户端的IP地址、设备码d3及步骤C)中的发送时间戳进行认证,认证通过后,第五个服务端接受第三个客户端的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至认证服务器;
H)第三个客户端与第五个服务端连接成功后,计算并更新客户端认证值Kc3(5)=Hash(Kc3(4),b3(4));
I)认证服务器在通知第五个服务端执行服务操作请求中的操作信息后T3时间内接收到第五个服务端反馈的与第三个客户端连接成功信息,更新服务器认证值Ks3(5)=Hash(Ks3(4),b3(4))。

Claims (4)

1.一种无反馈安全认证与访问控制方法,其特征在于:所述方法依据的认证控制系统包括认证端、认证服务器、与所述认证端连接的m个客户端及与所述认证服务器连接的n个服务端,所述方法包括如下步骤:
A)将每个所述客户端的IP地址和设备码d进行登记并储存在所述认证服务器的数据库中,每个所述客户端设置有客户端认证值Kcm(i),i为客户端认证值的序号,i为自然数,所述认证服务器对应每个所述客户端的客户端认证值Kcm(i)设有对应的服务器认证值Ksm(i),Kcm(1)=Ksm(1),每个所述客户端与所述认证服务器之间设有一个共享密钥Km
B)使所述认证服务器处于侦听状态,监听和接收所有发送给所述认证服务器的数据包,每个所述服务端的端口默认处于关闭状态,不接受访问请求;
C)当其中一个所述客户端x试图第z次访问所述服务端y时,所述客户端x通过认证端向所述认证服务器发送认证报文Ax(z),并延时时间T1后连接所述服务端y,所述认证报文Ax(z)包括报文主体ax(z)及所述客户端x的设备码dx,所述报文主体ax(z)依据所述客户端x的共享密钥Kx使用密码算法C计算而来,ax(z)=C(bx(z),H(bx(z))),bx(z)为包括发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z)的信息包,所述服务操作请求包括请求所述服务端y打开指定端口并在时间T2内允许所述客户端x通过指定端口访问,H(bx(z))为对信息包bx(z)的Hash运算值;
D)所述认证服务器接收到所述客户端x通过所述认证端发送的认证报文Ax(z)后,依据所述认证报文Ax(z)的来源IP地址及所述认证报文Ax(z)内含的所述客户端x的设备码dx检查所述客户端x是否已在所述认证服务器中登记,若没有登记,则丢弃所述认证报文Ax(z)且不响应任何信息,返回所述步骤B);若有登记,所述认证服务器查询与所述客户端x对应的共享密钥Kx及此时的服务器认证值Ksx(z),通过共享密钥Kx使用密码算法C对所述认证报文Ax(z)的报文主体ax(z)进行解密获取信息包bx(z)和信息包bx(z)的Hash值H(bx(z)),并通过H(bx(z))对信息包bx(z)进行完整性验证,若验证失败则返回所述步骤B);若通过验证,则从bx(z)中提取发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z),检查所述发送时间戳与所述认证服务器本地UTC时间的误差是否在预设范围内,若不是,则认证失败,返回所述步骤B);若是,则验证Kcx(z)是否等于Ksx(z),若相等,则认证成功,进入下一步;若Kcx(z)与Ksx(z)不相等,则采用认证服务器上一次与客户端x对应的服务器认证值Ksx(z-1)验证是否等于Kcx(z),若相等则更新服务器认证值Ksx(z)=Ksx(z-1),同时进入下一步,若不相等,则计算K′sx(z)=Hash(Ksx(z),bx(z-1)),式中bx(z-1)为客户端x上次认证发送过来的认证报文Ax(z-1)中的信息包,若K′sx(z)=Kcx(z),则更新服务器认证值Ksx(z)=K′sx(z),同时进入下一步,若不相等,则认证失败,丢弃所接收到的认证报文Ax(z),返回步骤B);
E)所述认证服务器通知所述服务端y执行所述服务操作请求中的操作信息,所述服务端y打开指定端口并在时间T2内允许所述客户端x通过指定端口访问;
F)所述客户端x按照所述服务操作请求中规定的操作信息向所述服务端y发送访问请求信息;
G)所述服务端y接收所述客户端x发送过来的访问请求信息后,所述服务端y接受所述客户端x的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至所述认证服务器;
H)所述客户端x与所述服务端y连接成功后,计算并更新客户端认证值Kcx(z+1)=Hash(Kcx(z),bx(z)),若连接不成功,则不更新客户端认证值并返回所述步骤C)重新发送认证报文;
I)所述认证服务器在通知所述服务端y执行所述服务操作请求中的操作信息后T3时间内接收到所述服务端y反馈的与所述客户端x连接成功信息,则更新服务器认证值Ksx(z+1)=Hash(Ksx(z),bx(z)),若所述认证服务器在T3时间内未接收到所述服务端y反馈的与所述客户端x连接成功信息,则不更新服务器认证值。
2.根据权利要求1所述无反馈安全认证与访问控制方法,其特征在于:所述步骤E)中,所述认证服务器将所述客户端x的IP地址、设备码dx及所述步骤C)中的发送时间戳发送至所述服务端y,所述步骤F)中将所述访问请求信息的包头闲置字段中加入身份信息,所述身份信息为将所述客户端x的IP地址、设备码dx及所述步骤C)中的发送时间戳进行Hash计算后得到的字节信息,所述步骤G)中所述服务端y接收所述客户端x发送过来的访问请求信息后,将所述访问请求信息中的身份信息与所述步骤E)中接收到的所述客户端x的IP地址、设备码dx及所述步骤C)中的发送时间戳进行认证,若认证不通过,所述服务端y不接受所述客户端x的访问请求,若认证通过,所述服务端y接受所述客户端x的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至所述认证服务器。
3.根据权利要求1所述无反馈安全认证与访问控制方法,其特征在于:所述认证服务器储存所有客户端发送的认证报文、请求时间和认证结果。
4.根据权利要求1所述无反馈安全认证与访问控制方法,其特征在于:所述客户端、认证端、认证服务器及服务端之间通信均采用加密通道。
CN201810058324.9A 2018-01-22 2018-01-22 无反馈安全认证与访问控制方法 Active CN108429730B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810058324.9A CN108429730B (zh) 2018-01-22 2018-01-22 无反馈安全认证与访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810058324.9A CN108429730B (zh) 2018-01-22 2018-01-22 无反馈安全认证与访问控制方法

Publications (2)

Publication Number Publication Date
CN108429730A CN108429730A (zh) 2018-08-21
CN108429730B true CN108429730B (zh) 2020-07-07

Family

ID=63156003

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810058324.9A Active CN108429730B (zh) 2018-01-22 2018-01-22 无反馈安全认证与访问控制方法

Country Status (1)

Country Link
CN (1) CN108429730B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110049046A (zh) * 2019-04-19 2019-07-23 北京奇安信科技有限公司 访问控制方法、终端、服务器及系统
CN110351298A (zh) * 2019-07-24 2019-10-18 中国移动通信集团黑龙江有限公司 访问控制方法、装置、设备及存储介质
CN110830444A (zh) * 2019-10-14 2020-02-21 云深互联(北京)科技有限公司 一种单包增强安全验证的方法和装置
CN113139178A (zh) * 2020-01-17 2021-07-20 华为技术有限公司 一种端口的管理方法及服务器
CN111478887B (zh) * 2020-03-19 2022-04-01 深圳市芯链科技有限公司 区块链物联网系统和运行方法
CN111526150A (zh) * 2020-04-28 2020-08-11 吴飞 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法
CN114531250A (zh) * 2020-10-30 2022-05-24 中国电信股份有限公司 终端身份认证实现方法、系统和控制器
CN112988333B (zh) * 2021-04-26 2021-09-03 武汉深之度科技有限公司 一种容器应用认证方法、系统、计算设备及可读存储介质
CN113676487B (zh) * 2021-08-31 2022-09-02 中国电信股份有限公司 端口连接控制方法、管理方法、装置及存储介质
CN113992387B (zh) * 2021-10-25 2022-09-16 北京天融信网络安全技术有限公司 资源管理方法、装置、系统、电子设备和可读存储介质
CN114448706A (zh) * 2022-02-08 2022-05-06 恒安嘉新(北京)科技股份公司 一种单包授权方法、装置、电子设备及存储介质
CN114710544B (zh) * 2022-03-23 2023-11-03 新华三信息安全技术有限公司 一种通道建立方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
CN101202631A (zh) * 2007-12-21 2008-06-18 任少华 基于密钥和时间戳的身份认证系统和方法
JP2009213020A (ja) * 2008-03-06 2009-09-17 Panasonic Corp 情報更新システム
CN101272244A (zh) * 2008-04-30 2008-09-24 北京航空航天大学 一种无线自组织网络密钥更新和撤销方法
CN101552672A (zh) * 2009-04-15 2009-10-07 胡祥义 一种基于标识认证的全球网络实名制实现方法
CN102685093B (zh) * 2011-12-08 2015-12-09 陈易 一种基于移动终端的身份认证系统及方法

Also Published As

Publication number Publication date
CN108429730A (zh) 2018-08-21

Similar Documents

Publication Publication Date Title
CN108429730B (zh) 无反馈安全认证与访问控制方法
US9210126B2 (en) Method for secure single-packet authorization within cloud computing networks
CN111586025B (zh) 一种基于sdn的sdp安全组实现方法及安全系统
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US8302170B2 (en) Method for enhancing network application security
Lee et al. maTLS: How to Make TLS middlebox-aware?
CN111245862A (zh) 一种物联网终端数据安全接收、发送的系统
CN111770071B (zh) 一种网络隐身场景下网关认证可信设备的方法和装置
Al-Bahadili et al. Network security using hybrid port knocking
CN113824705B (zh) 一种Modbus TCP协议的安全加固方法
CA2506418C (en) Systems and apparatuses using identification data in network communication
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
CN113904826B (zh) 数据传输方法、装置、设备和存储介质
CN114726513A (zh) 数据传输方法、设备、介质及产品
CN112615866B (zh) Tcp连接的预认证方法、装置和系统
Manzanares et al. Attacks on port knocking authentication mechanism
KR20130035600A (ko) 정보 유출 차단 장치 및 방법
CN116321136A (zh) 一种支持多因素身份认证的隐身网关设计方法
CN113783868B (zh) 一种基于商用密码保护闸机物联网安全的方法及系统
CN108282337B (zh) 一种基于可信密码卡的路由协议加固方法
CN108494731B (zh) 一种基于双向身份认证的抗网络扫描方法
Zhang et al. EDP: An eBPF-based Dynamic Perimeter for SDP in Data Center
CN116319103B (zh) 一种网络可信接入认证方法、装置、系统及存储介质
Kasslin et al. Replay attack on Kerberos V and SMB
CN117675175A (zh) 用于http的保密通信方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: He Zhangqing

Inventor after: Liu Jiuyang

Inventor after: Zheng Chaoxia

Inventor before: He Zhangqing

Inventor before: Lu Hongyi

Inventor before: Liu Jiuyang

Inventor before: Zheng Chaoxia

GR01 Patent grant
GR01 Patent grant