CN108989290A - 一种在外网中实现服务器网络访问限制的控制方法及控制装置 - Google Patents

一种在外网中实现服务器网络访问限制的控制方法及控制装置 Download PDF

Info

Publication number
CN108989290A
CN108989290A CN201810645477.3A CN201810645477A CN108989290A CN 108989290 A CN108989290 A CN 108989290A CN 201810645477 A CN201810645477 A CN 201810645477A CN 108989290 A CN108989290 A CN 108989290A
Authority
CN
China
Prior art keywords
user terminal
information
access
solicited message
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810645477.3A
Other languages
English (en)
Inventor
罗国庆
汪辉
阳求应
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHANGHAI 2345 NETWORK TECHNOLOGY Co Ltd
Original Assignee
SHANGHAI 2345 NETWORK TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI 2345 NETWORK TECHNOLOGY Co Ltd filed Critical SHANGHAI 2345 NETWORK TECHNOLOGY Co Ltd
Priority to CN201810645477.3A priority Critical patent/CN108989290A/zh
Publication of CN108989290A publication Critical patent/CN108989290A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种在外网中实现服务器网络访问限制的控制方法,其用于当用户终端接入服务器网络时进行限制访问,包括如下步骤:a.基于用户终端IP信息判断是否具有访问权限,若有,则进入步骤b;b.接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限,若有,则进入步骤c;c.所述用户终端与所述服务器网络实现数据交换,通过判断用户IP是否具有访问权限,再通过私钥加密后基于握手协议判断是否具有访问资格,并最终实现用户终端与所述服务器网络交换的效果,本发明操作简单,使用方便,提供了一种在外网中实现服务器网络访问显示的控制方法及控制装置,具有极高的商业价值。

Description

一种在外网中实现服务器网络访问限制的控制方法及控制 装置
技术领域
本发明属于互联网安全管理领域,特别涉及一种在外网中实现服务器网络访问限制的控制方法及控制装置。
背景技术
随着时代的进步,科技的飞速发展,人们的生活水平也逐渐提高,伴随着互联网的普及,越来越多的家庭及单位都离不开网络了,人们不论是购物、工作还是交友,都可以通过互联网轻松的完成。
现如今,生活的节奏越来越快,工作的压力也越来越大,稍有不慎就有可能面临淘汰的危机,所以,很多人们通常都通过加班来完成工作任务或多做一些业绩,所以,一天中绝大部分时间都是在公司或单位中度过的,根本没有时间在家中享受家庭温暖。
随着无纸化办公越来越普及,很多工作都可以通过互联网来完成,但是,一般公司的资料都需要进行商业保密,所以很多公司的办公网页或办公网站都会设置固定的域名,使得通过外网无法进入,所以为了使人们能够在家中也能够正常办公,就必须通过一些方式才能进行。
目前市场上常见的外网访问内网服务器通常只需要一个网址、用户名及密码就可以随意登录进入公司的内网,但是,这样的登录方式并不安全,现如今的网络中经常会出现一些安全隐患,从而使其账号密码全部被盗用,而一旦被盗用登录进入公司内网,对公司的损失将无法估量。
而目前,市场上并没有一种能够实现外网访问限制的方法,特别涉及一种在外网中实现服务器网络访问限制的控制方法及控制装置。
发明内容
针对现有技术存在的技术缺陷,本发明的目的是提供一种在外网中实现服务器网络访问限制的控制方法,其用于当用户终端接入服务器网络时进行限制访问,包括如下步骤:
a.基于用户终端IP信息判断是否具有访问权限,若有,则进入步骤b;
b.接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限,若有,则进入步骤c;
c.所述用户终端与所述服务器网络实现数据交换。
优选地,所述步骤a包括如下步骤:
a1:基于用户的网络信息获取用户终端的IP信息;
a2:将所述用户终端的IP信息与所述服务器网络中的IP访问段进行匹配,确定所述用户终端IP信息是否具有访问权限。
优选地,所述步骤b包括如下步骤:
b1:用户终端使用私钥加密所述请求信息;
b2:服务器网络使用与所述私钥相匹配的公钥进行解密,获取所述请求信息;
b3:基于所述请求信息验证所述用户终端的安全信息。
优选地,在所述步骤b中,所述请求信息包括:
TSL版本协议信息;
加密套件候选列表;
压缩算法候选列表;
随机数;以及
扩展字段。
优选地,在所述步骤b3中,所述安全信息包括:
协议证书的合法性;
证书链的可信性;
证书是否吊销;
有效期;以及
域名。
优选地,所述步骤b3包括如下步骤:
b31:用户终端基于请求信息以及安全信息确定协商密钥;
b32用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证。
根据本发明的另一个方面,提供了一种在外网中实现服务器网络访问限制的控制装置,包括:
第一判断装置1:基于用户终端IP信息判断是否具有访问权限;
第二判断装置2:接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限;
第一处理装置3:所述用户终端与所述服务器网络实现数据交换。
优选地,还包括:
第一获取装置11:基于用户的网络信息获取用户终端的IP信息;
第一确定装置12:将所述用户终端的IP信息与所述服务器网络中的IP访问段进行匹配,确定所述用户终端IP信息是否具有访问权限。
优选地,还包括:
第二处理装置21:用户终端使用私钥加密所述请求信息;
第二获取装置22:服务器网络使用与所述私钥相匹配的公钥进行解密,获取所述请求信息;
第三处理装置23:基于所述请求信息验证所述用户终端的安全信息。
优选地,包括:
第二确定装置231:用户终端基于请求信息以及安全信息确定协商密钥;
第四处理装置232:用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证。
本发明提供了一种在外网中实现服务器网络访问显示的控制方法及控制装置,其主要解决服务器集群的接入控制问题,在公网环境下服务器组建成的集群,提供一种安全的访问权限控制的方法,阻止未经授权的用户接入和访问。通过判断用户IP是否具有访问权限,再通过私钥加密后基于握手协议判断是否具有访问资格,并最终实现用户终端与所述服务器网络交换的效果,本发明操作简单,使用方便,提供了一种在外网中实现服务器网络访问显示的控制方法及控制装置,具有极高的商业价值。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出了本发明的具体实施方式的,一种在外网中实现服务器网络访问显示的控制方法的具体流程示意图;
图2示出了本发明的第一实施例的,用户终端关闭p2p网络发现协议并输入节点间通信的端口号的具体流程示意图;
图3示出了本发明的第二实施例的,基于用户终端IP信息判断是否具有访问权限的具体流程示意图;
图4示出了本发明的第三实施例的,接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限的具体流程示意图;
图5示出了本发明的第四实施例的,基于所述请求信息验证所述用户终端的安全信息的具体流程示意图;以及
图6示出了本发明的另一具体实施方式的,一种在外网中实现服务器网络访问显示的控制装置的模块连接示意图。
具体实施方式
为了更好的使本发明的技术方案清晰的表示出来,下面结合附图对本发明作进一步说明。
图1示出了本发明的具体实施方式的,一种在外网中实现服务器网络访问显示的控制方法的具体流程示意图,具体地,包括如下步骤:
首先,进入步骤S101,基于用户终端IP信息判断是否具有访问权限,若有,则进入步骤S102,此步骤为判断步骤,本领域技术人员理解,由于很多的服务器内包含了很多商业机密以及技术核心,所以必须设置访问权限,而最有效的办法就是设置固定的访问IP,只允许固定的人员通过外网进行访问,才能有效的控制安全隐患,防止机密或技术泄露,在这样的条件下,首先就需要在服务器中设置允许访问的IP地址,若访问的IP地址核对后,并不具有访问权限,则立即中断关联,若具有访问权限,则执行后续步骤S102。
然后,进入步骤S102,接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限,若有,则进入步骤S103,此步骤为判断步骤,本领域技术人员理解,在确认了访问的IP具备访问权限后,为了防止用户终端丢失或是用户IP被盗用等突发状况的发生,需进行第二部的验证,即用户通过账号及密码的登录方式或手机收取验证短信等方式进行二次验证,同时,由于用户通过外网对服务器进行访问,需基于握手协议的验证才能对服务器进行访问,客户端向服务器发出请求信息,以文明传输请求信息,所述请求信息包含SL版本协议信息、加密套件候选列表、压缩算法候选列表、随机数以及扩展字段等信息,具体地,SL版本协议信息支持最高TSL协议版本version,若版本从低到高依次为SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2,则当前基本不再使用低于TLSv1的版本,客户端支持的加墨套件cipher suites列表,每个加密套件对应前面TLS原理中的四个功能的组合,即认证算法Au(身份验证)、密钥交换算法KeyExchange(密钥协商)、对称加密算法Enc(信息加密)及信息摘要Mac(完整性校验),支持的压缩算法comoressionmethods列表,用于后续的信息压缩传输,随机数random_C,用于后续的密钥的生成,扩展字段extensions,支持协议与算法的相关参数以及其它辅助信息等,常见的SNI就属于扩展字段。
最后,进入步骤S103,所述用户终端与所述服务器网络实现数据交换,当用户通过外网与所述服务器实现了连接,则用户端上即可在服务器内进行访问及操作,而服务器基于用户的操作向用户终端传输相应的反馈,实现数据交换,相应的,若用户通过外网实现了与服务器的连接,当用户需要下载文件或访问加密文件时,则需要再一次的进行验证,所述服务器也会自动生成提醒信息,向该文件的负责人进行发送。
图2示出了本发明的第一实施例的,用户终端关闭p2p网络发现协议并输入节点间通信的端口号的具体流程示意图。
本领域技术人员理解,在步骤S201及步骤S202中,用户终端关闭p2p网络发现协议并输入节点间通信的端口号,在这样的实施例中,用户首先关闭p2p网络发现协议,避免被其他终端发现联入,然后修改节点间通信的端口号,并且监听在内网地址上,只有接入内网的终端可以直接连接,紧接着,基于私钥和公钥的身份信息认证,再然后基于协商秘钥的握手协议实现,同时基于防火墙的IP和端口限制,然后修改服务端口号,并且只有通过代理服务器才能访问服务。
本领域技术人员理解,服务器组网步骤和接入控制内容包括指定IP和端口号的服务器,可以相互连接;只有内网IP的服务器,可以相互连接;基于私钥和公钥的身份信息认证;基于协商秘钥的握手协议验证以及基于防火墙的IP和端口限制。
而对于用户终端的接入控制:用户终端不能直接连入服务器组成的网络,但可以访问服务器的提供的服务,用户终端只能通过代理服务器访问。
图3示出了本发明的第二实施例的,基于用户终端IP信息判断是否具有访问权限的具体流程示意图,本领域技术人员理解,所述图3为所述图1中步骤S101的子步骤,具体地,包括如下步骤:
首先,进入步骤S1011,基于用户的网络信息获取用户终端的IP信息,IP是英文Internet Protocol的缩写,意思是网络之间互联的协议,也就是为计算机网络相互连接进行通信而设计的协议,IP地址被用来给internet上的电脑一个编号,大家日常常见到的情况是每台联网的PC上都需要有IP地址,才能正常通信,而在这样的实施例中,就是要基于用户的网络信息以及PC信息获取到用户终端的IP信息。
在一个优选地实施例中,用户还可以通过某些IP代理软件来提供IP地址,例如,用户的公司为能够有权限从外网登录服务器的工作人员配置专属IP,而这种专属IP需要通过某些IP代理软件来进行操作,这样则可以使用户并不局限于某一台终端进行登录。
最后,进入步骤S1012将所述用户终端的IP信息与所述服务器网络中的IP访问段进行匹配,确定所述用户终端IP信息是否具有访问权限,本领域技术人员理解,在这样的实施例中,首先需要在待访问的服务器中设置数据库,用于储存具有访问权限的IP或IP访问段,然后,将用户终端中的IP地址在数据库中进行匹配,若匹配成功,则可以进行下一步的操作,若匹配后发现用户的终端IP不具备访问权限,则断开连接。
在一个优选地实施例中,用户通过终端向服务器进行访问,但通过IP地址的匹配,发现用户的终端IP并不具备访问权限,此时,用户可通过联系网络管理员,获取动态码进行访问,也可以通过网络管理员在服务器中添加用户IP地址,从而使用户终端能够具备访问资格。
图4示出了本发明的第三实施例的,接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限的具体流程示意图,本领域技术人员理解,所述图4是所述图1中步骤S102的子步骤,具体地,包括如下步骤:
首先,进入步骤S1021,用户终端使用私钥加密所述请求信息,在这样的实施例中,用户通过终端向所述服务器发出请求信息,所述请求信息被用户通过私钥加密的方式进行发送,所示私钥加密使用单个私钥来加密和解密数据,由于具有密钥的任意一方都可以使用该密钥解密,所以必须辅以公钥才能确保信息的隐秘及访问的安全。
而在接下来的步骤S1022中,服务器网络使用与所述私钥相匹配的公钥进行解密,获取所述请求信息,公钥和私钥成对出现,当用户通过终端向所述服务器发出请求信息并附带私钥时,所述服务器通过公钥对所述私钥进行解密,而通过私钥加密的数据若能够被公钥加密,则说明配对成功,即代表用户通过了配对,具备访问权限,如果可以通过公钥进行解密,则说明必然是对应的私钥加的密,反之,如果通过私钥进行解密,则必然是对应的公钥加的密。
在一个优选地实施例中,用户通过终端向待访问服务器发出访问请求信息,此时服务器会向用户发出公钥,需用户输入私钥进行配对,若配对成功,则证明用户具备访问权限。
最后,进入步骤S1023,基于所述请求信息验证所述用户终端的安全信息,用户通过私钥与服务器的公钥进行配对成功后,所述服务器需进一步地验证用户访问终端的安全信息,本领域技术人员理解,所述安全信息包括:协议证书的合法性、证书链的可信性、证书是否吊销、有效期以及域名,即协议证书的合法性,如果验证通过才会进行后续通信,否则会根据错误情况不同作出不同的提示和操作,而协议证书的合法性的验证包括验证证书链的可信性、证书书否被吊销、证书是否在有效的时间范围内及检查证书域名是否与当前的访问域名匹配。
图5示出了本发明的第四实施例的,基于所述请求信息验证所述用户终端的安全信息的具体流程示意图,本领域技术人员理解,所述图5是所述图4中步骤S1023的子步骤,具体地,包括如下步骤:
首先,进入步骤S10231,用户终端基于请求信息以及安全信息确定协商密钥,本领域技术人员理解,当服务器对访问的终端的合法性验证通过后,用户的终端计算产生随机数字,并用公证书公钥加密,发送至服务器,然后,此时用户终端已经获取到全部的计算协商密钥需要的信息,即两个明文随机数和用户的终端计算产生随机数字,由此计算出协商密钥,用户终端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信。
最后,进入步骤S10232,用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证,结合之前所有通信参数的hash值与其它相关信息生成一段数据,采用协商密钥与算法进行加密,然后发送给服务器用于数据与握手验证,服务器用私钥解密加密的用户终端的数据,基于之前交换的两个明文随机数,计算得到协商密钥,计算之前所有接收信息的hash值,然后解密用户终端发送的数据,验证数据即密钥的正确性,用户终端计算所有接受信息的hash值,验证服务器发送的数据及密钥,验证通过则握手完成,在握手协议完成后,则可以与服务器进行通信及数据交互了。
图6示出了本发明的另一具体实施方式的,一种在外网中实现服务器网络访问显示的控制装置的模块连接示意图,本领域技术人员理解,本发明提供了一种在外网中实现服务器网络访问限制的控制装置,包括:第一判断装置1:基于用户终端IP信息判断是否具有访问权限,由于很多的服务器内包含了很多商业机密以及技术核心,所以必须设置访问权限,而最有效的办法就是设置固定的访问IP,只允许固定的人员通过外网进行访问,才能有效的控制安全隐患,防止机密或技术泄露,在这样的条件下,首先就需要在服务器中设置允许访问的IP地址,若访问的IP地址核对后,并不具有访问权限,则立即中断关联,若具有访问权限,则执行第二判断装置2,所述第一判断装置1与所述第二判断装置2连接,并分别连接所述第一获取装置11及所述第一确定装置12。
进一步地,还包括第二判断装置2:接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限,在确认了访问的IP具备访问权限后,为了防止用户终端丢失或是用户IP被盗用等突发状况的发生,需进行第二部的验证,即用户通过账号及密码的登录方式或手机收取验证短信等方式进行二次验证,同时,由于用户通过外网对服务器进行访问,需基于握手协议的验证才能对服务器进行访问,客户端向服务器发出请求信息,以文明传输请求信息,所述请求信息包含SL版本协议信息、加密套件候选列表、压缩算法候选列表、随机数以及扩展字段等信息,所述第二判断装置2与所述第一判断装置1及所述第一处理装置3连接,并分别连接所述第二处理装置21、所述第二获取装置22及所述第三处理装置23。
进一步地,还包括第一处理装置3:所述用户终端与所述服务器网络实现数据交换,当用户通过外网与所述服务器实现了连接,则用户端上即可在服务器内进行访问及操作,而服务器基于用户的操作向用户终端传输相应的反馈,实现数据交换,相应的,若用户通过外网实现了与服务器的连接,当用户需要下载文件或访问加密文件时,则需要再一次的进行验证,所述服务器也会自动生成提醒信息,向该文件的负责人进行发送,所述第一处理装置3与所述第二判断装置2连接。
进一步地,还包括第一获取装置11:基于用户的网络信息获取用户终端的IP信息,IP是英文Internet Protocol的缩写,意思是网络之间互联的协议,也就是为计算机网络相互连接进行通信而设计的协议,IP地址被用来给internet上的电脑一个编号,大家日常常见到的情况是每台联网的PC上都需要有IP地址,才能正常通信,而在这样的实施例中,就是要基于用户的网络信息以及PC信息获取到用户终端的IP信息,所述第一获取装置11与所述第一判断装置1及所述第一确定装置12连接。
进一步地,还包括第一确定装置12:将所述用户终端的IP信息与所述服务器网络中的IP访问段进行匹配,确定所述用户终端IP信息是否具有访问权限,首先需要在待访问的服务器中设置数据库,用于储存具有访问权限的IP或IP访问段,然后,将用户终端中的IP地址在数据库中进行匹配,若匹配成功,则可以进行下一步的操作,若匹配后发现用户的终端IP不具备访问权限,则断开连接,所述第一确定装置12与所述第一判断装置1及所述第一获取装置11连接。
进一步地,还包括第二处理装置21:用户终端使用私钥加密所述请求信息,用户通过终端向所述服务器发出请求信息,所述请求信息被用户通过私钥加密的方式进行发送,所示私钥加密使用单个私钥来加密和解密数据,由于具有密钥的任意一方都可以使用该密钥解密,所以必须辅以公钥才能确保信息的隐秘及访问的安全,所述第二处理装置21与所述第二判断装置2连接,并分别连接所述第二获取装置22及所述第三处理装置23。
进一步地,还包括第二获取装置22:服务器网络使用与所述私钥相匹配的公钥进行解密,获取所述请求信息,公钥和私钥成对出现,当用户通过终端向所述服务器发出请求信息并附带私钥时,所述服务器通过公钥对所述私钥进行解密,而通过私钥加密的数据若能够被公钥加密,则说明配对成功,即代表用户通过了配对,具备访问权限,如果可以通过公钥进行解密,则说明必然是对应的私钥加的密,反之,如果通过私钥进行解密,则必然是对应的公钥加的密,所述第二获取装置22与所述第二判断装置2连接,并分别连接所述第二处理装置21及所述第三处理装置23。
进一步地,还包括第三处理装置23:基于所述请求信息验证所述用户终端的安全信息,用户通过私钥与服务器的公钥进行配对成功后,所述服务器需进一步地验证用户访问终端的安全信息,本领域技术人员理解,所述安全信息包括:协议证书的合法性、证书链的可信性、证书是否吊销、有效期以及域名,即协议证书的合法性,如果验证通过才会进行后续通信,否则会根据错误情况不同作出不同的提示和操作,而协议证书的合法性的验证包括验证证书链的可信性、证书书否被吊销、证书是否在有效的时间范围内及检查证书域名是否与当前的访问域名匹配,所述第三处理装置23与所述第二判断装置2、所述第二处理装置21及所述第二获取装置22连接,并分别连接所述第二确定装置231及所述第四处理装置232。
进一步地,还包括第二确定装置231:用户终端基于请求信息以及安全信息确定协商密钥,服务器对访问的终端的合法性验证通过后,用户的终端计算产生随机数字,并用公证书公钥加密,发送至服务器,然后,此时用户终端已经获取到全部的计算协商密钥需要的信息,即两个明文随机数和用户的终端计算产生随机数字,由此计算出协商密钥,用户终端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信,所述第二确定装置231与所述第三处理装置23及所述第四处理装置232连接。
进一步地,还包括第四处理装置232:用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证,结合之前所有通信参数的hash值与其它相关信息生成一段数据,采用协商密钥与算法进行加密,然后发送给服务器用于数据与握手验证,服务器用私钥解密加密的用户终端的数据,基于之前交换的两个明文随机数,计算得到协商密钥,计算之前所有接收信息的hash值,然后解密用户终端发送的数据,验证数据即密钥的正确性,用户终端计算所有接受信息的hash值,验证服务器发送的数据及密钥,验证通过则握手完成,在握手协议完成后,则可以与服务器进行通信及数据交互了,所述第四处理装置232与所述第三处理装置23及所述第二确定装置231连接。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。

Claims (13)

1.一种在外网中实现服务器网络访问限制的控制方法,其用于当用户终端接入服务器网络时进行限制访问,其特征在于,包括如下步骤:
a.基于用户终端IP信息判断是否具有访问权限,若有,则进入步骤b;
b.接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限,若有,则进入步骤c;
c.所述用户终端与所述服务器网络实现数据交换。
2.根据权利要求1所述的控制方法,其特征在于,在所述步骤a之前,包括如下步骤:
i:用户终端关闭p2p网络发现协议;
ii:用户终端输入节点间通信的端口号。
3.根据权利要求2所述的控制方法,其特征在于,在所述步骤ii之前,还包括:服务器指定IP以及与所述IP相匹配的服务端口号。
4.根据权利要求1至3中任一项所述的控制方法,其特征在于,所述步骤a包括如下步骤:
a1:基于用户的网络信息获取用户终端的IP信息;
a2:将所述用户终端的IP信息与所述服务器网络中的IP访问段进行匹配,确定所述用户终端IP信息是否具有访问权限。
5.根据权利要求4所述的控制方法,其特征在于,所述步骤b包括如下步骤:
b1:用户终端使用私钥加密所述请求信息;
b2:服务器网络使用与所述私钥相匹配的公钥进行解密,获取所述请求信息;
b3:基于所述请求信息验证所述用户终端的安全信息。
6.根据权利要求1或2或3或5中任一项所述的控制方法,其特征在于,在所述步骤b中,所述请求信息包括:
TSL版本协议信息;
加密套件候选列表;
压缩算法候选列表;
随机数;以及
扩展字段。
7.根据权利要求6所述的控制方法,其特征在于,在所述步骤b3中,所述安全信息包括:
协议证书的合法性;
证书链的可信性;
证书是否吊销;
有效期;以及
域名。
8.根据权利要求5所述的控制方法,其特征在于,所述步骤b3包括如下步骤:
b31:用户终端基于请求信息以及安全信息确定协商密钥;
b32用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证。
9.根据权利要求1或2或3或5或7或8所述的控制方法,其特征在于,在所述步骤c之前,还包括:基于防火墙的端口限制确认用户终端与服务器之间的连接。
10.一种在外网中实现服务器网络访问限制的控制装置,其特征在于,
第一判断装置(1):基于用户终端IP信息判断是否具有访问权限;
第二判断装置(2):接收来自用户终端使用私钥加密后的请求信息并基于与所述请求信息相关联的握手协议判断是否具有访问权限;
第一处理装置(3):所述用户终端与所述服务器网络实现数据交换。
11.根据权利要求10所述的控制装置,其特征在于,还包括:
第一获取装置(11):基于用户的网络信息获取用户终端的IP信息;
第一确定装置(12):将所述用户终端的IP信息与所述服务器网络中的IP访问段进行匹配,确定所述用户终端IP信息是否具有访问权限。
12.根据权利要求10所述的控制装置,其特征在于,还包括:
第二处理装置(21):用户终端使用私钥加密所述请求信息;
第二获取装置(22):服务器网络使用与所述私钥相匹配的公钥进行解密,获取所述请求信息;
第三处理装置(23):基于所述请求信息验证所述用户终端的安全信息。
13.根据权利要求11所述的控制装置,其特征在于,包括:
第二确定装置(231):用户终端基于请求信息以及安全信息确定协商密钥;
第四处理装置(232):用户终端基于协商密钥以及随机生成的数据与服务器网络完成数据握手验证。
CN201810645477.3A 2018-06-21 2018-06-21 一种在外网中实现服务器网络访问限制的控制方法及控制装置 Pending CN108989290A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810645477.3A CN108989290A (zh) 2018-06-21 2018-06-21 一种在外网中实现服务器网络访问限制的控制方法及控制装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810645477.3A CN108989290A (zh) 2018-06-21 2018-06-21 一种在外网中实现服务器网络访问限制的控制方法及控制装置

Publications (1)

Publication Number Publication Date
CN108989290A true CN108989290A (zh) 2018-12-11

Family

ID=64538014

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810645477.3A Pending CN108989290A (zh) 2018-06-21 2018-06-21 一种在外网中实现服务器网络访问限制的控制方法及控制装置

Country Status (1)

Country Link
CN (1) CN108989290A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861982A (zh) * 2018-12-29 2019-06-07 北京奇安信科技有限公司 一种身份认证的实现方法及装置
CN110501965A (zh) * 2019-07-18 2019-11-26 浙江工业大学 基于嵌入式的远程plc数据采集和预警系统
CN110708156A (zh) * 2019-09-26 2020-01-17 中电万维信息技术有限责任公司 一种通信方法、客户端及服务器
CN111400743A (zh) * 2020-04-07 2020-07-10 百度国际科技(深圳)有限公司 基于区块链网络的事务处理方法、装置、电子设备和介质
CN113438234A (zh) * 2021-06-24 2021-09-24 字极(上海)网络科技有限公司 一种网络数据安全防护加密方法
CN113572839A (zh) * 2021-07-23 2021-10-29 段采标 一种工控机的远程控制方法、装置及系统
CN113612790A (zh) * 2021-08-11 2021-11-05 上海观安信息技术股份有限公司 基于设备身份预认证的数据安全传输方法及装置
CN113836577A (zh) * 2021-09-09 2021-12-24 武汉市风奥科技股份有限公司 一种涉密计算机的内外网访问控制方法及访问控制系统
CN113973006A (zh) * 2021-09-18 2022-01-25 重庆云华科技有限公司 一种内网数据访问管理方法和系统
CN114363418A (zh) * 2022-01-07 2022-04-15 北京金山云网络技术有限公司 访问内网数据库的方法、装置、存储介质以及电子设备
CN116055542A (zh) * 2022-12-29 2023-05-02 南京先进计算产业发展有限公司 一种网络适配器与高性能计算集群的服务器通信连接方法
CN117478439A (zh) * 2023-12-28 2024-01-30 天津市品茗科技有限公司 一种网络与信息安全加密系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599967A (zh) * 2009-06-29 2009-12-09 杭州华三通信技术有限公司 基于802.1x认证系统的权限控制方法及系统
CN101917398A (zh) * 2010-06-28 2010-12-15 北京星网锐捷网络技术有限公司 一种客户端访问权限控制方法及设备
CN103001976A (zh) * 2012-12-28 2013-03-27 中国科学院计算机网络信息中心 一种安全的网络信息传输方法
CN106790194A (zh) * 2016-12-30 2017-05-31 中国银联股份有限公司 一种基于ssl协议的访问控制方法及装置
CN107786551A (zh) * 2017-10-18 2018-03-09 广东神马搜索科技有限公司 访问内网服务器的方法及控制访问内网服务器的装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599967A (zh) * 2009-06-29 2009-12-09 杭州华三通信技术有限公司 基于802.1x认证系统的权限控制方法及系统
CN101917398A (zh) * 2010-06-28 2010-12-15 北京星网锐捷网络技术有限公司 一种客户端访问权限控制方法及设备
CN103001976A (zh) * 2012-12-28 2013-03-27 中国科学院计算机网络信息中心 一种安全的网络信息传输方法
CN106790194A (zh) * 2016-12-30 2017-05-31 中国银联股份有限公司 一种基于ssl协议的访问控制方法及装置
CN107786551A (zh) * 2017-10-18 2018-03-09 广东神马搜索科技有限公司 访问内网服务器的方法及控制访问内网服务器的装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
管有庆: "《电子商务安全技术》", 31 October 2009 *
蒋睿: "《网络信息安全理论与技术》", 30 November 2007 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861982A (zh) * 2018-12-29 2019-06-07 北京奇安信科技有限公司 一种身份认证的实现方法及装置
CN110501965A (zh) * 2019-07-18 2019-11-26 浙江工业大学 基于嵌入式的远程plc数据采集和预警系统
CN110708156B (zh) * 2019-09-26 2023-05-30 中电万维信息技术有限责任公司 一种通信方法、客户端及服务器
CN110708156A (zh) * 2019-09-26 2020-01-17 中电万维信息技术有限责任公司 一种通信方法、客户端及服务器
CN111400743A (zh) * 2020-04-07 2020-07-10 百度国际科技(深圳)有限公司 基于区块链网络的事务处理方法、装置、电子设备和介质
CN111400743B (zh) * 2020-04-07 2023-08-15 百度国际科技(深圳)有限公司 基于区块链网络的事务处理方法、装置、电子设备和介质
CN113438234A (zh) * 2021-06-24 2021-09-24 字极(上海)网络科技有限公司 一种网络数据安全防护加密方法
CN113572839A (zh) * 2021-07-23 2021-10-29 段采标 一种工控机的远程控制方法、装置及系统
CN113612790B (zh) * 2021-08-11 2023-07-11 上海观安信息技术股份有限公司 基于设备身份预认证的数据安全传输方法及装置
CN113612790A (zh) * 2021-08-11 2021-11-05 上海观安信息技术股份有限公司 基于设备身份预认证的数据安全传输方法及装置
CN113836577A (zh) * 2021-09-09 2021-12-24 武汉市风奥科技股份有限公司 一种涉密计算机的内外网访问控制方法及访问控制系统
CN113973006A (zh) * 2021-09-18 2022-01-25 重庆云华科技有限公司 一种内网数据访问管理方法和系统
CN113973006B (zh) * 2021-09-18 2024-07-16 重庆云华科技有限公司 一种内网数据访问管理方法和系统
CN114363418A (zh) * 2022-01-07 2022-04-15 北京金山云网络技术有限公司 访问内网数据库的方法、装置、存储介质以及电子设备
CN116055542A (zh) * 2022-12-29 2023-05-02 南京先进计算产业发展有限公司 一种网络适配器与高性能计算集群的服务器通信连接方法
CN116055542B (zh) * 2022-12-29 2024-03-15 南京先进计算产业发展有限公司 一种网络适配器与高性能计算集群的服务器通信连接方法
CN117478439A (zh) * 2023-12-28 2024-01-30 天津市品茗科技有限公司 一种网络与信息安全加密系统及方法
CN117478439B (zh) * 2023-12-28 2024-04-19 天津市品茗科技有限公司 一种网络与信息安全加密系统及方法

Similar Documents

Publication Publication Date Title
CN108989290A (zh) 一种在外网中实现服务器网络访问限制的控制方法及控制装置
CN103229452B (zh) 移动手持设备的识别和通信认证
KR101099192B1 (ko) 보안 통신 방법 및 시스템
CA2714196C (en) Information distribution system and program for the same
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN113132388B (zh) 一种数据安全交互方法及系统
RU2713604C1 (ru) Регистрация и аутентификация пользователей без паролей
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
JP2009510644A (ja) 安全な認証のための方法及び構成
CN102624740A (zh) 一种数据交互方法及客户端、服务器
CN101771699A (zh) 一种提高SaaS应用安全性的方法及系统
CN101815091A (zh) 密码提供设备、密码认证系统和密码认证方法
CN105119894B (zh) 基于硬件安全模块的通信系统及通信方法
CN113411187B (zh) 身份认证方法和系统、存储介质及处理器
Mirkovic et al. Secure solution for mobile access to patient's health care record
CN111865609A (zh) 一种基于国密算法的私有云平台数据加解密系统
CN109815659A (zh) 基于web项目的安全认证方法、装置、电子设备及存储介质
JP2015508536A (ja) 無線idプロビジョニングを実行するための装置及び方法
KR100850506B1 (ko) 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법
KR20180087543A (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
CN102025748A (zh) 获取Kerberos认证方式的用户名的方法、装置和系统
CN107347073A (zh) 一种资源信息处理方法
CN102594564A (zh) 交通诱导信息安全管理设备
JPWO2019234801A1 (ja) サービス提供システム及びサービス提供方法
CN102629928A (zh) 一种基于公共密钥的互联网彩票系统安全链路实施方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181211