CN109218334A - 数据处理方法、装置、接入控制设备、认证服务器及系统 - Google Patents
数据处理方法、装置、接入控制设备、认证服务器及系统 Download PDFInfo
- Publication number
- CN109218334A CN109218334A CN201811349637.6A CN201811349637A CN109218334A CN 109218334 A CN109218334 A CN 109218334A CN 201811349637 A CN201811349637 A CN 201811349637A CN 109218334 A CN109218334 A CN 109218334A
- Authority
- CN
- China
- Prior art keywords
- terminal
- parameter
- characteristic parameter
- certificate server
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据处理方法、装置、接入控制设备、认证服务器及系统。该方法应用于接入控制设备,该方法包括:拦截来自未认证通过的终端的HTTP请求;获取与HTTP请求有关的特征参数;在特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对处理后特征参数进行加密,得到加密后的密文参数;将密文参数和认证服务器的地址封装为跳转报文返回给终端。通过拦截未认证终端的HTTP请求,获取HTTP请求中的特征参数并对加入了时间戳的特征参数进行加密,得到加密后的密文参数,以便认证服务器通过解密获取该特征参数,控制终端的请求,从而防止终端恶意攻击,使终端的每个请求可追溯、可识别、可控制。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种数据处理方法、装置、接入控制设备、认证服务器及系统。
背景技术
随着网络安全的要求越来越高,针对一些网络攻击,相应的网络服务提供者需要有一定防攻击能力。而在当前的无线WiFi系统的建设工程中,仅关注无线服务是否稳定可用,提供认证服务、内容服务等的服务中心对无线接入终端是完全开放的,相应服务可随意访问,这就存在访问攻击的隐患。例如:对于认证服务接口,黑客可通过模拟认证报文,暴力破解用户名密码。对于短信服务接口,黑客可通过模拟短信发送请求,对特定手机号码发送大量短信,形成短信炸弹,或对大量手机号码发送短信。
目前没有针对无线WiFi系统中的服务中心进行防攻击的方案,因此,如何防止终端设备通过随机参数对服务器端进行访问攻击便成为了需要解决的问题。
发明内容
鉴于此,本发明的目的在于提供一种数据处理方法、装置、接入控制设备、认证服务器及系统,以有效地改善上述问题。
本发明的实施例是这样实现的:
第一方面,本发明实施例提供了一种数据处理方法,应用于接入控制设备,所述方法包括:拦截来自未认证通过的终端的HTTP请求;获取与所述HTTP请求有关的特征参数;在所述特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的密文参数;将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证。
本申请实例中,通过接入控制设备拦截来自未认证通过的终端的HTTP请求,获取HTTP请求中的特征参数,并对加入了时间戳的特征参数进行加密,得到加密后的密文参数,并以跳转报文的形式返回给终端,以便终端基于跳转报文访问认证服务器时,认证服务器对该密文参数进行解密获取该特征参数,控制终端的请求,从而防止终端恶意攻击,使终端的每个请求可追溯、可识别、可控制。
结合第一方面的一种可选的实施方式,所述获取与所述HTTP请求有关的特征参数,包括:获取所述终端的MAC地址、所述终端接入的AP设备的标识信息以及从所述HTTP请求中获取请求参数;所述在所述特征参数中加入时间戳,包括:在所述终端的MAC地址、所述AP设备的标识信息以及所述请求参数中加入时间戳。本申请实施例中,通过获取表示终端以及AP设备真实身份的硬件信息,并利用该身份硬件信息对请求参数进行加密,以便终端基于真实身份向认证服务器发起请求,进而认证服务器基于真实身份控制终端请求,防止恶意攻击。
第二方面,本发明实施例还提供了一种数据处理方法,应用于认证服务器,所述方法包括:接收来自终端的携带密文参数的认证请求;利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;基于所述特征参数进行攻击判断,得到判断结果。本申请实施例中,利用与接入控制设备共享的密钥对认证请求中携带的密文参数进行解密,获取请求中的特征参数,以便基于特征参数进行攻击判断,得到判断结果,实现对终端的控制,防止恶意攻击。
结合第二方面的一种可选实施方式,所述特征参数包括:所述终端接入的AP设备的标识信息、所述终端的MAC地址、时间戳以及请求参数;所述基于所述特征参数进行攻击判断,得到判断结果,包括:基于标识信息判断所述AP设备是否可信;如否,获得所述认证请求为攻击请求的判断结果;在所述AP设备可信时,根据所述MAC地址和所述请求参数判断所述时间戳是否过期;在所述时间戳过期时,获得所述认证请求为攻击请求的判断结果。本申请实例中,通过解密获取终端、AP设备的硬件信息以及表示请求时效的时间戳来进行攻击判断,从而达到防攻击的目的。
结合第二方面的又一种可选实施方式,所述特征参数包括:所述终端接入的AP设备的标识信息、所述终端的MAC地址、时间戳以及请求参数;所述基于所述特征参数进行攻击判断,得到判断结果,包括:基于所述标识信息判断所述AP设备是否可信;在所述AP设备可信时,根据所述MAC地址和所述请求参数判断所述时间戳是否过期;在所述时间戳未过期时,在预设时间段内判断所述MAC地址和所述请求参数的访问次数是否超过预设阈值;在所述访问次数超过所述预设阈值时,获得所述认证请求为攻击请求的判断结果;在所述访问次数未超过所述预设阈值时,允许所述终端进行认证。本申请实例中,通过解密获取终端、AP设备的硬件信息、表示请求时效的时间戳以及请求参数来进行攻击判断,从而达到防攻击的目的。
第三方面,本发明实施例还提供了一种数据处理装置,应用于接入控制设备,所述装置包括:拦截模块、获取模块、加密模块以及返回模块;拦截模块,用于拦截来自未认证通过的终端的HTTP请求;获取模块,用于获取与所述HTTP请求有关的特征参数;加密模块,用于在所述特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的密文参数;返回模块,用于将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证。
结合第三方面的一种可选实施方式,所述获取模块,还用于获取所述终端的MAC地址、所述终端接入的AP设备的设备标识信息以及从所述HTTP请求中获取请求参数;相应地,所述加密模块,还用于在所述终端的MAC地址、所述AP设备的标识信息以及所述请求参数中加入时间戳。
第四方面,本发明实施例还提供了一种数据处理装置,应用于认证服务器,所述装置包括:接收模块、解密模块以及判断模块;接收模块,用于接收来自终端的携带密文参数的认证请求;解密模块,用于利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;判断模块,用于基于所述特征参数进行攻击判断,得到判断结果。结合第四方面的一种可选实施方式,所述特征参数包括:所述终端接入的AP设备的标识信息、所述终端的MAC地址、时间戳以及请求参数;所述判断模块,还用于基于所述标识信息判断所述AP设备是否可信;如否,获得所述认证请求为攻击请求的判断结果;在所述AP设备可信时,根据所述MAC地址和所述请求参数判断所述时间戳是否过期;在所述时间戳未过期时,获得所述认证请求为攻击请求的判断结果。
结合第四方面的又一种可选实施方式,所述特征参数包括:所述终端接入的AP设备的标识信息、所述终端的MAC地址、时间戳以及请求参数,基于所述特征参数进行攻击判断,得到判断结果,包括:基于所述标识信息判断所述AP设备是否可信;在所述AP设备可信时,根据所述MAC地址和所述请求参数判断所述时间戳是否过期;在所述时间戳未过期时,在预设时间段内判断所述终端标识信息和所述请求参数的访问次数是否超过预设阈值;在所述访问次数超过所述预设阈值时,获得所述认证请求为攻击请求的判断结果;在所述访问次数未超过所述预设阈值时,允许所述终端进行认证。
第五方面,本发明实施例还提供了一种认证系统,包括:接入控制设备和认证服务器;所述接入控制设备,用于拦截来自未认证通过的终端的HTTP请求;所述接入控制设备,还用于获取与所述HTTP请求有关的特征参数;所述接入控制设备,还用于在所述特征参数中加入时间戳,获得处理后特征参数,并利用与所述认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的密文参数;所述接入控制设备,还用于将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证;所述认证服务器,用于接收来自所述终端的携带密文参数的认证请求;所述认证服务器,还用于利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;所述认证服务器,还用于基于所述特征参数进行攻击判断,得到判断结果。
第六方面,本发明实施例还提供了一种接入控制设备,包括:存储器和处理器,所述存储器和所述处理器连接;所述存储器用于存储程序;所述处理器用于调用存储于所述存储器中的程序,以执行上述第一方面和/或结合第一方面的任一种可选的实施方式提供的方法。
第七方面,本发明实施例还提供了一种认证服务器,包括:存储器和处理器,所述存储器和所述处理器连接;所述存储器用于存储程序;所述处理器用于调用存储于所述存储器中的程序,以执行上述第二方面和/或结合第二方面的任一种可选的实施方式提供的方法。
第八方面,本发明实施例还提供了一种存储介质,其上存储有计算机代码,所述计算机代码被处理器运行时执行上述第一方面和/或结合第一方面的任一种可选的实施方式提供的方法。
第九方面,本发明实施例还提供了一种存储介质,其上存储有计算机代码,所述计算机代码被处理器运行时执行上述第二方面和/或结合第二方面的任一种可选的实施方式提供的方法。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本发明的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本发明的主旨。
图1示出了本发明实施例提供的一种认证系统的结构示意图。
图2示出了本发明实施例提供的一种数据处理方法的流程示意图。
图3示出了本申请实施例提供的一种应用于接入控制设备的数据处理装置的模块示意图;
图4示出了本申请实施例提供的一种应用于认证服务器的数据处理装置的模块示意图;
图5示出了本申请实施例提供的一种接入控制设备的结构示意图;
图6示出了本申请实施例提供的一种认证服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
请参阅图1中所示,为本申请实施例提供的认证系统的结构示意图,包括:终端11、AP(accesspoint,接入点)设备12、接入控制设备13(如AC控制器、网关等)以及认证服务器14。终端11通过AP设备12与接入控制设备13通信,由接入控制设备13进行接入网络控制,并重定向到认证服务器14以进行Portal页面认证。其中,需要说明的是,作为一种可选地实施方式,接入控制设备13与AP设备12可以是同一个设备。
终端11通过AP设备12连接上WiFi后,会探测当前网络是否可以连接互联网,由于含有Portal认证,并且未认证通过,所以会探测失败,此时终端11会发起访问互联网的HTTP请求,该HTTP请求会被接入控制设备13拦截。接入控制设备13拦截来自未认证通过的终端11的HTTP请求后,获取与HTTP请求有关的特征参数,如,从携带HTTP请求的报文中获得终端11的MAC地址,从接入控制设备13与AP设备12之间的连接链路可以知道终端11是从哪个AP设备12接入的,进而可以获得终端11接入的AP设备12的标识信息(如MAC地址或产品序列号),从HTTP请求中可以获取请求参数。在获取到与所述HTTP请求有关的特征参数后,接入控制设备13在特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器14共享的密钥对处理后特征参数进行加密,得到加密后的密文参数;并将密文参数和认证服务器14的地址封装为跳转报文返回给终端11,该跳转报文用于指示终端11跳转到认证服务器14进行认证。
终端11基于该跳转报文向认证服务器14发起认证请求时,认证服务器14利用与接入控制设备13共享的密钥对密文参数进行解密,获取认证请求中的特征参数;并基于特征参数进行攻击判断,得到判断结果。其中,该AP设备12与接入控制设备13可以是同一个设备。
本申请发明人在发明本申请的过程中发现:当前的认证系统,仅关注无线服务是否稳定可用,提供认证服务、内容服务等的服务中心对无线接入终端是完全开放的,相应服务可随意访问,这就存在访问攻击的隐患。
需要说明的是,针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
鉴于此,本申请实施例提供了一种数据处理方法,如图2所示。下面将结合图2所示的步骤进行说明。
步骤S101:终端连接WiFi后,发起HTTP请求。
终端通过AP设备连接上WiFi后,会探测当前网络是否可以连接互联网,由于含有Portal认证,并且未认证通过,所以会探测失败,此时,终端便可以确定出当前网络为一个Portal认证的网络,所以会打开浏览器,并发送HTTP请求。
步骤S102:接入控制设备向终端返回跳转报文,以指示终端跳转到认证服务器进行认证。
终端发起HTTP请求后,该HTTP请求会被接入控制设备拦截,接入控制设备在拦截来自未认证通过的终端的HTTP请求后,获取与HTTP请求有关的特征参数,如从携带HTTP请求的报文中获得终端的MAC地址,从接入控制设备与AP设备的连接链路可以知道终端是从哪个AP设备接入的,进而可以获得该AP设备的标识信息,从HTTP请求中可以获取请求参数。在获取到与所述HTTP请求有关的特征参数后,接入控制设备在特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对处理后特征参数进行加密,得到加密后的密文参数;并将密文参数和认证服务器的地址封装为跳转报文返回给终端,该跳转报文用于指示终端跳转到认证服务器进行认证。
其中,接入控制设备在所述特征参数中加入时间戳时,也即在所述终端的MAC地址、所述AP设备的标识信息以及所述请求参数中加入时间戳时,可以选取不同的排列方式,进而可以获得不同的处理后特征参数,例如,处理后特征参数可以是按照MAC地址+AP设备标识信息+时间戳+请求参数的方式排列,也可以是按照MAC地址+时间戳+AP设备的标识信息+请求参数的方式排列,也可以是按照时间戳+MAC地址+AP设备的标识信息+请求参数的方式排列等等,其中,需要说明的是,处理后特征参数可以是这4种参数进行任意组合而得到的参数。
其中,需要说明的是,接入控制设备与认证服务器会定期交换密钥,也即接入控制设备会将用于解密的密钥定期(有更新时)发送给认证服务器,以便认证服务器对接入控制设备加密的数据进行解密。接入控制设备在对处理后特征参数进行加密时,可以是基于BASE64编码方式对处理后特征参数进行加密。
其中,需要说明的是,接入控制设备会拦截未认证通过的终端发起的HTTP请求。其中,认证服务器在对终端进行认证时,若认证通过,认证服务器会告知接入控制设备,因此,接入控制设备在决定是否拦截哪个终端发起的HTTP请求时,通过匹配认证记录中是否存在该终端即可,若认证记录中存在该终端,则不拦截该HTTP请求,若不存在,则表示终端未认证通过,也即会拦截来自未通过认证的终端发起的HTTP请求。
步骤S103:终端基于所述跳转报文向认证服务器发起认证请求。
终端在接收到接入控制设备返回的跳转报文后,基于该跳转报文中认证服务器的访问地址向认证服务器发起认证请求。
步骤S104:认证服务器向终端返回认证登录页面。
认证服务器接收来自终端的携带密文参数的认证请求,利用与接入控制设备共享的密钥对密文参数进行解密,获取认证请求中的特征参数,并基于特征参数进行攻击判断,得到判断结果,并基于判断结果返回相应的内容。可选地,认证服务器在接收到携带密文参数的认证请求后,基于自身存储的密钥对该认证请求中的携带密文参数进行解密,例如对携带密文参数进行BASE64解码,若使用密钥解密成功,则获取认证请求中的特征参数,若解密不成功,则此次认证请求疑为攻击请求,则向终端返回错误。
其中,存储于本地的密钥是认证服务器与接入控制设备共享的密钥。
其中,该特征参数包括AP设备的标识信息、终端的MAC地址、时间戳以及请求参数。认证服务器在基于特征参数进行攻击判断时,会基于所述AP设备的标识信息判断所述AP设备是否可信,也即判断该AP设备是否在可信列表中;不在可信列表中,获得所述认证请求为攻击请求的判断结果,则认证服务器向终端返回错误。该AP设备在可信列表中即所述AP设备可信时,认证服务器根据终端的MAC地址和所述请求参数判断时间戳是否过期,由于认证服务器在同一时刻会接收到不同终端发起的不同需求的认证请求,因此,认证服务器在判断某一时间戳是否过期时,需要结合终端的MAC地址以及请求参数来判断。在确定该时间戳过期时,获得所述认证请求为攻击请求的判断结果,则认证服务器向终端返回错误。
在确定时间戳未过期时,认证服务器在预设时间段内判断所述终端的MAC地址和所述请求参数的访问次数是否超过预设阈值;在所述访问次数超过所述预设阈值时,获得所述认证请求为攻击请求的判断结果,则认证服务器向终端返回错误;在所述访问次数未超过所述预设阈值时,获得所述认证请求为非攻击请求的判断结果,则允许终端进行认证,也即认证服务器向终端返回认证页面。
其中,认证服务器在预设时间段内判断所述终端的MAC地址和所述请求参数的访问次数是否超过预设阈值,也即,认证服务器在预设时间段内判断同一终端访问同一个请求参数的频率是否超过阈值,例如,认证服务器判断同一终端在一分钟内访问同一个URL(Uniform Resource Locator,统一资源定位符)的频率是否超过阈值,假设,同一终端在一分钟内端访问同一个URL的频率为5次,若阈值为3,则表示该认证请求为攻击请求。
其中,预设时间段以及预设阈值均为事先定义,其根据不同的认证请求可以设置不用的值。
步骤S105:终端向接入控制设备发起对请求参数进行加密的加密请求。
终端在接收到认证服务器返回的认证登录页面后,响应用户在登录页面上的操作,如用户填写完手机号码后点击的“提交”操作,向接入控制设备发起对请求参数进行加密的加密请求。
步骤S106:接入控制设备基于所述加密请求返回加密后参数。
接入控制设备接收到来自终端的对请求参数进行加密的加密请求后,获取与所述加密请求有关的特征参数,在该特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对处理后特征参数进行加密,得到加密后参数。
其中,需要说明的是,加密的过程与上述步骤S102中涉及的加密过程相同,为了避免累赘,此处不再详细介绍。其中,需要说明的是,虽然两者的原理相同,但是前后两次获取的请求参数以及所加入的时间戳是不同的。本次中的请求参数是用户在认证登录页面上所填写的手机号码,而上一次的特征参数为URL。
步骤S107:终端向认证服务器发起携带有所述加密后参数的短信发送请求。
终端在接收到接入控制设备返回的加密后参数后,使用加密后参数向认证服务器发起“短信发送”的访问请求。
认证服务器在接收到终端发起的“短信发送”的访问请求后,认证服务器基于与接入控制设备共享的密钥对加密后参数进行解密,获取所述访问请求中的特征参数;基于所述特征参数进行攻击判断,得到判断结果,并基于所述判断结果执行相应的操作,也即若判断结果为攻击则返回错误,若判断结果为非攻击则发送短信。
其中,攻击性判断的过程与上述步骤S104中涉及的攻击性判断的原理相同为了避免累赘,此处不再详细介绍。其中,需要说明的是,虽然两者的原理相同,但是前后两次获取的特征参数是不同的。本次中的特征参数中的请求参数是用户在认证登录页面上所填写的手机号码,而上一次的特征参数为URL。此外,前后两次中的时间戳也不同。
综上所述,本申请实施例中,终端在连接WiFi并发起HTTP请求,该HTTP请求被接入控制设备拦截,接入控制设备获取与该HTTP请求有关的特征参数,如获取终端的MAC地址、AP设备的标识信息等硬件信息以及HTTP请求中的请求参数;并使用这些硬件信息对终端发起的HTTP请求进行身份加密,并加入时间戳,得到加密后的密文参数,并以跳转报文返给终端,以便终端基于该跳转报文向认证服务器发起认证请求。认证服务器利用与接入控制设备共享的密钥对该认证请求中的密文参数进行解密得到特征参数,并基于获取到的特征参数进行攻击判断,如判断结果为攻击,则返回错误;若判断结果为非攻击,则返回登录页面。用户在登录页面上输出请求参数如手机号码后,终端向接入控制设备发起对该请求参数进行加密的加密请求,接入控制设备使用这些硬件信息对终端发起的请求进行身份加密,并加入时间戳,得到加密后参数,并返回给终端,终端使用加密后参数发起短信发送请求,认证服务器获取密钥对该请求中携带的加密后参数进行解密,并基于获取到的特征参数进行攻击判断,如判断结果为攻击,则返回错误;若判断结果为非攻击,则发送短信。也就是说,通过接入控制设备获取表示终端真实身份的硬件信息,并基于该硬件信息对请求参数进行加密,同时加入表示请求时效性的时间戳,以便终端发起的每个请求都是基于真实身份发起的,认证服务器对终端发起的请求进行解密,在获取身份信息的基础上并根据身份信息进行攻击判断,从而达到防攻击的目的。
本申请实施例还提供了一种应用于认证系统中的接入控制设备13中的数据处理装置100,如图3所示。该数据处理装置100包括:拦截模块110、获取模块120、加密模块130以及返回模块140。
拦截模块110,用于拦截来自未认证通过的终端的HTTP请求;
获取模块120,用于获取与所述HTTP请求有关的特征参数;
加密模块130,用于在所述特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的参数;
返回模块140,用于将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证。
本申请实施例还提供了一种应用于认证系统中的认证服务器14中的数据处理装置200,如图4所示。该数据处理装置200包括:接收模块210、解密模块220以及判断模块230。
接收模块210,用于接收来自终端的携带密文参数的认证请求;
解密模块220,用于利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;
判断模块230,用于基于所述特征参数进行攻击判断,得到判断结果。
本申请实施例还提供了一种接入控制设备13,如图5所示。该接入控制设备13可以包括:至少一个收发器131,至少一个处理器132,例如CPU,至少一个存储器133和至少一个通信总线134。其中,通信总线134用于实现这些组件直接的连接通信。收发器131用于接收和发送数据。存储器133可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。其中,存储器133中存储有计算机可读取指令,如存储有图3中所示的软件功能模块,即数据处理装置100。其中,数据处理装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储器133中或固化在所述接入控制设备13的操作系统(operatingsystem,OS)中的软件功能模块。所述处理器132用于执行存储器133中存储的可执行模块,例如所述数据处理装置100包括的软件功能模块或计算机程序。例如,收发器131,用于拦截来自未认证通过的终端的HTTP请求;以及处理器132,用于获取与所述HTTP请求有关的特征参数;在所述特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的密文参数;所述收发器131,还用于将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证。
本申请实施例还提供了一种认证服务器14,如图6所示。该认证服务器14可以包括:至少一个收发器141,至少一个处理器142,例如CPU,至少一个存储器143和至少一个通信总线144。其中,通信总线144用于实现这些组件直接的连接通信。收发器141用于接收和发送数据。存储器143可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。其中,存储器143中存储有计算机可读取指令,如存储有图4中所示的软件功能模块,即数据处理装置200。其中,数据处理装置200包括至少一个可以软件或固件(firmware)的形式存储于所述存储器143中或固化在所述认证服务器14的操作系统(operatingsystem,OS)中的软件功能模块。所述处理器142用于执行存储器143中存储的可执行模块,例如所述数据处理装置200包括的软件功能模块或计算机程序。例如,收发器141,用于接收来自终端的携带密文参数的认证请求;以及,处理器142,利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;基于所述特征参数进行攻击判断,得到判断结果。
本申请实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述图2中的S101-S102以及S105-S106的步骤。
本申请实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述图2中的S103-S104以及S107的步骤。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,认证服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数据处理方法,其特征在于,应用于接入控制设备,所述方法包括:
拦截来自未认证通过的终端的HTTP请求;
获取与所述HTTP请求有关的特征参数;
在所述特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的密文参数;
将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证。
2.根据权利要求1所述的方法,其特征在于,所述获取与所述HTTP请求有关的特征参数,包括:
获取所述终端的MAC地址、所述终端接入的AP设备的标识信息以及从所述HTTP请求中获取请求参数;
所述在所述特征参数中加入时间戳,包括:
在所述终端的MAC地址、所述AP设备的标识信息以及所述请求参数中加入时间戳。
3.一种数据处理方法,其特征在于,应用于认证服务器,所述方法包括:
接收来自终端的携带密文参数的认证请求;
利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;
基于所述特征参数进行攻击判断,得到判断结果。
4.根据权利要求3所述的方法,其特征在于,所述特征参数包括:所述终端接入的AP设备的标识信息、所述终端的MAC地址、时间戳以及请求参数;
所述基于所述特征参数进行攻击判断,得到判断结果,包括:
基于所述标识信息判断所述AP设备是否可信;如否,获得所述认证请求为攻击请求的判断结果;在所述AP设备可信时,根据所述MAC地址和所述请求参数判断所述时间戳是否过期;
在所述时间戳过期时,获得所述认证请求为攻击请求的判断结果。
5.根据权利要求3所述的方法,其特征在于,所述特征参数包括:所述终端接入的AP设备的标识信息、所述终端的MAC地址、时间戳以及请求参数,
所述基于所述特征参数进行攻击判断,得到判断结果,包括:
基于所述标识信息判断所述AP设备是否可信;
在所述AP设备可信时,根据所述MAC地址和所述请求参数判断所述时间戳是否过期;
在所述时间戳未过期时,在预设时间段内判断所述MAC地址和所述请求参数的访问次数是否超过预设阈值;
在所述访问次数超过所述预设阈值时,获得所述认证请求为攻击请求的判断结果;在所述访问次数未超过所述预设阈值时,允许所述终端进行认证。
6.一种数据处理装置,其特征在于,应用于接入控制设备,所述装置包括:
拦截模块,用于拦截来自未认证通过的终端的HTTP请求;
获取模块,用于获取与所述HTTP请求有关的特征参数;
加密模块,用于在所述特征参数中加入时间戳,获得处理后特征参数,并利用与认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的密文参数;
返回模块,用于将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证。
7.一种数据处理装置,其特征在于,应用于认证服务器,所述装置包括:
接收模块,用于接收来自终端的携带密文参数的认证请求;
解密模块,用于利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;
判断模块,用于基于所述特征参数进行攻击判断,得到判断结果。
8.一种认证系统,其特征在于,包括:接入控制设备和认证服务器;
所述接入控制设备,用于拦截来自未认证通过的终端的HTTP请求;
所述接入控制设备,还用于获取与所述HTTP请求有关的特征参数;
所述接入控制设备,还用于在所述特征参数中加入时间戳,获得处理后特征参数,并利用与所述认证服务器共享的密钥对所述处理后特征参数进行加密,得到加密后的密文参数;
所述接入控制设备,还用于将所述密文参数和所述认证服务器的地址封装为跳转报文返回给所述终端,所述跳转报文用于指示所述终端跳转到所述认证服务器进行认证;
所述认证服务器,用于接收来自所述终端的携带密文参数的认证请求;
所述认证服务器,还用于利用与接入控制设备共享的密钥对所述密文参数进行解密,获取所述认证请求中的特征参数;
所述认证服务器,还用于基于所述特征参数进行攻击判断,得到判断结果。
9.一种接入控制设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器连接;
所述存储器用于存储程序;
所述处理器用于调用存储于所述存储器中的程序,以执行如权利要求1-2中任一项所述的方法。
10.一种认证服务器,其特征在于,包括:存储器和处理器,所述存储器和所述处理器连接;
所述存储器用于存储程序;
所述处理器用于调用存储于所述存储器中的程序,以执行如权利要求3-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811349637.6A CN109218334B (zh) | 2018-11-13 | 2018-11-13 | 数据处理方法、装置、接入控制设备、认证服务器及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811349637.6A CN109218334B (zh) | 2018-11-13 | 2018-11-13 | 数据处理方法、装置、接入控制设备、认证服务器及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109218334A true CN109218334A (zh) | 2019-01-15 |
| CN109218334B CN109218334B (zh) | 2021-11-16 |
Family
ID=64996242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811349637.6A Active CN109218334B (zh) | 2018-11-13 | 2018-11-13 | 数据处理方法、装置、接入控制设备、认证服务器及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218334B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912871A (zh) * | 2019-10-31 | 2020-03-24 | 全球能源互联网研究院有限公司 | 一种低功耗物联网防止入网攻击的方法和系统 |
| CN111818038A (zh) * | 2020-07-01 | 2020-10-23 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据获取识别方法以及装置 |
| CN112104636A (zh) * | 2020-09-10 | 2020-12-18 | 国铁吉讯科技有限公司 | 高铁WiFi场景下校验MAC地址方法和装置 |
| CN112422533A (zh) * | 2020-11-05 | 2021-02-26 | 杭州米络星科技(集团)有限公司 | 用户访问网络的验证方法、装置及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104936181A (zh) * | 2015-06-25 | 2015-09-23 | 杭州华三通信技术有限公司 | 一种连接指定ap的接入认证方法及装置 |
| CN105656854A (zh) * | 2014-11-12 | 2016-06-08 | 中国移动通信集团公司 | 一种验证无线局域网络用户来源的方法、设备及系统 |
| CN105828332A (zh) * | 2016-04-29 | 2016-08-03 | 上海斐讯数据通信技术有限公司 | 一种无线局域网认证机制的改进方法 |
| CN106102062A (zh) * | 2016-06-14 | 2016-11-09 | 中国联合网络通信集团有限公司 | 一种公共无线网络接入方法及装置 |
| CN106162641A (zh) * | 2016-07-25 | 2016-11-23 | 福建富士通信息软件有限公司 | 一种安全快捷公众WiFi认证方法及系统 |
| CN106789227A (zh) * | 2016-12-14 | 2017-05-31 | 迈普通信技术股份有限公司 | 一种上网行为分析方法及上网行为分析装置 |
| CN108063751A (zh) * | 2017-10-20 | 2018-05-22 | 国网宁夏电力有限公司 | 一种用于新能源电厂的公网安全接入方法 |
| US20180219851A1 (en) * | 2016-04-25 | 2018-08-02 | eStorm Co., LTD | Method and system for authentication |
-
2018
- 2018-11-13 CN CN201811349637.6A patent/CN109218334B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656854A (zh) * | 2014-11-12 | 2016-06-08 | 中国移动通信集团公司 | 一种验证无线局域网络用户来源的方法、设备及系统 |
| CN104936181A (zh) * | 2015-06-25 | 2015-09-23 | 杭州华三通信技术有限公司 | 一种连接指定ap的接入认证方法及装置 |
| US20180219851A1 (en) * | 2016-04-25 | 2018-08-02 | eStorm Co., LTD | Method and system for authentication |
| CN105828332A (zh) * | 2016-04-29 | 2016-08-03 | 上海斐讯数据通信技术有限公司 | 一种无线局域网认证机制的改进方法 |
| CN106102062A (zh) * | 2016-06-14 | 2016-11-09 | 中国联合网络通信集团有限公司 | 一种公共无线网络接入方法及装置 |
| CN106162641A (zh) * | 2016-07-25 | 2016-11-23 | 福建富士通信息软件有限公司 | 一种安全快捷公众WiFi认证方法及系统 |
| CN106789227A (zh) * | 2016-12-14 | 2017-05-31 | 迈普通信技术股份有限公司 | 一种上网行为分析方法及上网行为分析装置 |
| CN108063751A (zh) * | 2017-10-20 | 2018-05-22 | 国网宁夏电力有限公司 | 一种用于新能源电厂的公网安全接入方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912871A (zh) * | 2019-10-31 | 2020-03-24 | 全球能源互联网研究院有限公司 | 一种低功耗物联网防止入网攻击的方法和系统 |
| CN111818038A (zh) * | 2020-07-01 | 2020-10-23 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据获取识别方法以及装置 |
| CN111818038B (zh) * | 2020-07-01 | 2023-01-31 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据获取识别方法以及装置 |
| CN112104636A (zh) * | 2020-09-10 | 2020-12-18 | 国铁吉讯科技有限公司 | 高铁WiFi场景下校验MAC地址方法和装置 |
| CN112104636B (zh) * | 2020-09-10 | 2022-11-01 | 国铁吉讯科技有限公司 | 高铁WiFi场景下校验MAC地址方法和装置 |
| CN112422533A (zh) * | 2020-11-05 | 2021-02-26 | 杭州米络星科技(集团)有限公司 | 用户访问网络的验证方法、装置及电子设备 |
| CN112422533B (zh) * | 2020-11-05 | 2023-03-24 | 杭州米络星科技(集团)有限公司 | 用户访问网络的验证方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109218334B (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10667131B2 (en) | Method for connecting network access device to wireless network access point, network access device, and application server | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN103597799B (zh) | 服务访问认证方法和系统 | |
| CN105933353B (zh) | 安全登录的实现方法及系统 | |
| CN105007279B (zh) | 认证方法和认证系统 | |
| US9787672B1 (en) | Method and system for smartcard emulation | |
| CN104618108B (zh) | 安全通信系统 | |
| US20180191504A1 (en) | Verification information update | |
| CN109218334A (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
| US20160241536A1 (en) | System and methods for user authentication across multiple domains | |
| CN105721412A (zh) | 多系统间的身份认证方法及装置 | |
| WO2011095216A1 (en) | Improved identity management | |
| CN106302606B (zh) | 一种跨应用访问方法及装置 | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
| CN107579991A (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN112688773A (zh) | 一种令牌的生成和校验方法及装置 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN105516066B (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN105100268B (zh) | 一种物联网设备的安全控制方法、系统及应用服务器 | |
| Bates et al. | Forced perspectives: Evaluating an SSL trust enhancement at scale | |
| CN105763517A (zh) | 一种路由器安全接入和控制的方法及系统 | |
| CN104821951B (zh) | 一种安全通信的方法和装置 | |
| CN109257357A (zh) | 基于opc服务的工控网络安全防护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |