CN110830444A - 一种单包增强安全验证的方法和装置 - Google Patents

一种单包增强安全验证的方法和装置 Download PDF

Info

Publication number
CN110830444A
CN110830444A CN201910974253.1A CN201910974253A CN110830444A CN 110830444 A CN110830444 A CN 110830444A CN 201910974253 A CN201910974253 A CN 201910974253A CN 110830444 A CN110830444 A CN 110830444A
Authority
CN
China
Prior art keywords
port
data packet
gateway
client
judging whether
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910974253.1A
Other languages
English (en)
Inventor
陈本峰
冀托
付安龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunshen Interconnection (beijing) Technology Co Ltd
Original Assignee
Yunshen Interconnection (beijing) Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunshen Interconnection (beijing) Technology Co Ltd filed Critical Yunshen Interconnection (beijing) Technology Co Ltd
Priority to CN201910974253.1A priority Critical patent/CN110830444A/zh
Publication of CN110830444A publication Critical patent/CN110830444A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例涉及网络安全技术领域,具体涉及一种单包增强安全验证的方法和装置。一种单包增强安全验证的方法,应用于网关;所述方法包括:实时监测网关上的端口是否接收到客户端发送的访问请求数据包;如果监测到所述端口接收到客户端发送的访问请求数据包;则根据预先设定的开门策略判断是否开放所述端口。

Description

一种单包增强安全验证的方法和装置
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种单包增强安全验证的方法和装置。
背景技术
网关在网络层以上实现网络互连,是最复杂的网络互连设备,既可以用于广域网互连,也可以用于局域网互连。是一种充当转换重任的计算机系统或设备。现有技术中的网关对网络的保护是被动形式,是防御的形式;表现为对于任何发送给网关的数据包,网关都能够接收,接收数据包之后再进行检测,如果检测到病毒,则拦截数据包。但是网关在进行病毒检测,无疑会增加网关的负担,并且网关可能由于病毒检测的能力不足,可能检测不出某些病毒的数据报文,会造成携带病毒的数据包进入所要保护的系统。
发明内容
为此,本发明实施例提供一种单包增强安全验证的方法和装置,以提高网关的防护能力。
为了实现上述目的,本发明实施例提供如下技术方案:
一种单包增强安全验证的方法,应用于网关;所述方法包括:
实时监测网关上的端口是否接收到客户端发送的访问请求数据包;
如果监测到所述端口接收到客户端发送的访问请求数据包;则根据预先设定的开门策略判断是否开放所述端口。
进一步地,所述开门策略包括:
如果确定用户非法、设备非法、端口非法或者时间点非法,则拒绝向所述客户端发送响应消息。
进一步地,所述开门策略包括:
如果确定用户合法、设备合法、端口合法和时间点合法,则开放所述端口。
进一步地,确定用户合法,包括:
获取所述数据包中携带的用户名;
判断所述用户名是否处于预先存储的用户名列表中;
如果是,则确定用户合法。
进一步地,获取所述数据包中携带的设备标识;
判断所述设备标识是否处于预先存储的设备标识列表中;
如果是,则确定设备合法。
进一步地,判断所述数据包访问的端口合法,包括:
获取所述数据包中携带的端口标识;
判断所述端口标识是否处于预先存储的端口标识列表中;
如果是,则确定端口合法。
进一步地,根据预先设定的开门策略判断是否开放所述端口,包括:
获取所述数据包中携带的时间点;
所述时间点为所述数据包的发送的时间点;
判断所述数据包的发送的时间点是否处在预先存储的时间段范围内;
如果是,则确定所述时间点合法。
第二方面,本申请还提出了一种单包增强安全验证的方法,应用于客户端;所述方法包括:
向网关发送访问请求数据包;
其中,所述访问请求数据包中携带了敲门参数信息;
接收所述网关根据所述敲门参数确定端口开放后发送的响应消息;
向所述网关发送访问数据。
进一步地,所述敲门参数信息包括:用户名称、设备标识、数据包产生的时间点和要访问的网关的端口。
第三方面,本申请还提出了一种单包增强安全验证的装置,应用于网关;所述装置包括:
端口监测模块,用于实时监测网关上的端口是否接收到客户端发送的访问请求数据包;
判断模块,用于如果所述端口监测模块监测到所述端口接收到客户端发送的访问请求数据包;则根据预先设定的开门策略判断是否开放所述端口。
第四方面,本申请还提出了一种单包增强安全验证的装置应用于客户端;所述装置包括:
发送模块,用于向网关发送访问请求数据包;其中,所述访问请求数据包中携带了敲门参数信息;以及向所述网关发送访问数据;
接收模块,用于如果接收到所述网关根据所述敲门参数确定端口开放后发送的响应消息。
本发明实施例具有如下优点:通过实时对网关上的端口进行监测;如果监测到所述端口接收到的客户端发送的访问请求数据包,则根据预先设定的开门策略判断所述端口是否开放;如果是,则开放所述端口以接收所述客户端发送的访问数据。本申请的端口在默认的状态是不开放的状态,接收到访问请求后,只有根据开门策略判断符合开门条件下才开放。提高了保护的能力。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例提供的一种客户端访问服务器的场景示意图;
图2为本发明实施例提供的一种单包增强安全验证的方法流程图;
图3为本发明实施例提供的一种单包增强安全验证的装置结构示意图。
图中:11-客户端;12-网关;13-服务器。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
客户端访问服务器的过程中,首先需要经过网关;参见附图1所示的本申请的一种应用场景示意图,客户端11要想访问到服务器13,需要首先访问到网关12上的端口;经过网关12后再访问到服务器13。现有技术中,网关可以接受任何的数据报文,接收到访问的报文后再对报文进行检测分析是否有病毒,是否是Dos攻击报文等,如果确定Dos攻击报文或者确定有病毒,则拒绝该报文访问服务器。这是一种被动形式的保护,是防御形式的保护;其缺点是如果网关的检测能力不足,检测不到病毒,或者不能够确定接收到的报文是Dos攻击报文,则可以将该报文放行,进入到了服务器中,造成损害。
基于此,本申请提出了一种单包增强安全验证的方法,用以改变被动的防御形式为主动的防御形式,提高网关保护的能力。
一种单包增强安全验证的方法,应用于网关;所述方法包括:
步骤S201,实时监测网关上的端口是否接收到客户端发送的访问请求数据包;
其中,端口默认状态是关闭的,不开放;可以设置程序对网关上的端口实时进行监听;监听是否接收到访问数据包;
步骤S202,如果监测到所述端口接收到客户端发送的访问请求数据包;则根据预先设定的开门策略判断是否开放所述端口。
其中,如果禁用的端口接收到了访问请求数据包,则首先获取访问请求数据包中携带的敲门参数;根据敲门参数和预先设定的开门策略来判断是否开放端口,如果不符合开门条件,则不开放端口,从而避免受到攻击,从而提高了网关的防护能力和安全性。
为了提高安全性能,进一步地,所述开门策略包括:
如果确定用户非法、设备非法、端口非法或者时间点非法,则拒绝向所述客户端发送响应消息。
其中,如果用户是非法用户,则拒绝响应;如果设备是非法的设备,则拒绝响应;如果要访问的端口是非法的端口则拒绝响应;如果数据包产生的时间点是非法的时间点则拒绝响应。通过上述的四个参数的验证,极大地提高了安全性能。
为了提高安全性,进一步地,所述开门策略包括:
如果确定用户合法、设备合法、端口合法和时间点合法,则开放所述端口。
其中,只有当上述的四个参数都是合法的情况下才开放端口,运行客户端和服务器建立后续的连接。
进一步地,确定用户合法,包括:
获取所述数据包中携带的用户名;
判断所述用户名是否处于预先存储的用户名列表中;
其中,网关中预先存储了合法的用户名清单列表;可以用此列表来对用户名进行比对,判断用户名是否在合法的用户名清单列表中;
如果是,则确定用户合法。
上述方法,实现了对于人的校验。
进一步地,获取所述数据包中携带的设备标识;
其中,针对一个用户可能会有多个设备的情况,每一个设备设置一个设备标识;并且网关中预先存储了一个合法的设备标识的列表。
判断所述设备标识是否处于预先存储的设备标识列表中;
如果是,则确定设备合法。
上述方法,实现了对于设备的校验。
进一步地,判断所述数据包访问的端口合法,包括:
获取所述数据包中携带的端口标识;
判断所述端口标识是否处于预先存储的端口标识列表中;
如果是,则确定端口合法。
上述方法,实现了对于端口的校验。
进一步地,根据预先设定的开门策略判断是否开放所述端口,包括:
获取所述数据包中携带的时间点;
所述时间点为所述数据包的发送的时间点;
判断所述数据包的发送的时间点是否处在预先存储的时间段范围内;
如果是,则确定所述时间点合法。
其中,开门的时间段范围可以预先设置,时间段的长度范围是从10秒到30秒。预定的开门时间段可以是,举例说明,每天的早上9点整的10秒到30秒之间。只在这个预定的时间段开放端口。其余的时间段端口关闭。开门后,客户端与服务器执行后续的连接动作,30秒结束之后,则端口关闭。
当然,网关端口开放的时间段的长度也可以设置其他的长度,具体可以根据实际的客户端的访问流量来确定;本申请不做限定。
第二方面,本申请还提出了一种单包增强安全验证的方法,应用于客户端;所述方法包括:
向网关发送访问请求数据包;
其中,所述访问请求数据包中携带了敲门参数信息;
接收所述网关根据所述敲门参数确定端口开放后发送的响应消息;
向所述网关发送访问数据。
进一步地,所述敲门参数信息包括:用户名称、设备标识、数据包产生的时间点和要访问的网关端口。
第三方面,本申请还提出了一种单包增强安全验证的装置,应用于网关;所述装置包括:
端口监测模块,用于实时监测网关上的端口是否接收到客户端发送的访问请求数据包;
判断模块,用于如果所述端口监测模块监测到所述端口接收到客户端发送的访问请求数据包;则根据预先设定的开门策略判断是否开放所述端口。
第四方面,本申请还提出了一种单包增强安全验证的装置应用于客户端;所述装置包括:
发送模块,用于向网关发送访问请求数据包;其中,所述访问请求数据包中携带了敲门参数信息;以及向所述网关发送访问数据;
接收模块,用于如果接收到所述网关根据所述敲门参数确定端口开放后发送的响应消息。
其中,本申请的应用场景广泛;比如,移动办公的场景,每一个员工可以在电脑上安装一个客户端;安装了软件的客户端可以穿透网关访问公司的服务器;对于没有安装客户端的人,会发现网关的端口都是关闭的,无法访问到公司的内网。安装了客户端的人访问到服务器,也需要发送敲门参数,网关根据敲门参数来确定是否开放端口。
为了提高安全性,还可以在上述的方法之前进行短信验证的步骤。
客户端向网关发送短信,短信中携带了;
网关接收到客户端发送的短信后,获取短信中携带的参数,参数可以包括账号和设备标识。
其中,为了提高安全性,还可以用密钥对所述短信进行加密;所述密钥是客户端和网关都预先存储的;网关接收到短信后,用相同的密钥解密获得短信内容。
网关对账号和设备标识进行验证;验证不通过,则不会向终端发送响应消息;验证通过则会向终端发送携带随机数的响应消息;
客户端接收到响应消息后,再向网关发送敲门信息;再次进行验证。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (10)

1.一种单包增强安全验证的方法,其特征在于,应用于网关;所述方法包括:
实时监测网关上的端口是否接收到客户端发送的访问请求数据包;
如果监测到所述端口接收到客户端发送的访问请求数据包;则根据预先设定的开门策略判断是否开放所述端口。
2.如权利要求1所述的单包增强安全验证的方法,其特征在于,
所述开门策略包括:
如果确定用户非法、设备非法、端口非法或者时间点非法,则拒绝向所述客户端发送响应消息。
3.如权利要求1所述的单包增强安全验证的方法,其特征在于,
所述开门策略包括:
如果确定用户合法、设备合法、端口合法和时间点合法,则开放所述端口。
4.如权利要求1所述的单包增强安全验证的方法,其特征在于,
确定用户合法,包括:
获取所述数据包中携带的用户名;
判断所述用户名是否处于预先存储的用户名列表中;
如果是,则确定用户合法。
5.如权利要求1所述的单包增强安全验证的方法,其特征在于,
获取所述数据包中携带的设备标识;
判断所述设备标识是否处于预先存储的设备标识列表中;
如果是,则确定设备合法。
6.如权利要求1所述的单包增强安全验证的方法,其特征在于,
判断所述数据包访问的端口合法,包括:
获取所述数据包中携带的端口标识;
判断所述端口标识是否处于预先存储的端口标识列表中;
如果是,则确定端口合法。
7.如权利要求4所述的单包增强安全验证的方法,其特征在于,
根据预先设定的开门策略判断是否开放所述端口,包括:
获取所述数据包中携带的时间点;
所述时间点为所述数据包的发送的时间点;
判断所述数据包的发送的时间点是否处在预先存储的时间段范围内;
如果是,则确定所述时间点合法。
8.一种单包增强安全验证的方法,其特征在于,应用于客户端;所述方法包括:
向网关发送访问请求数据包;
其中,所述访问请求数据包中携带了敲门参数;
接收所述网关根据敲门参数确定端口开放后发送的响应消息;
向所述网关发送访问数据。
9.如权利要求8所述的方法,其特征在于,所述敲门参数包括:用户名称、设备标识、数据包产生的时间点和要访问的网关的端口。
10.一种单包增强安全验证的装置,其特征在于,应用于网关;所述装置包括:
端口监测模块,用于实时监测网关上的端口是否接收到客户端发送的访问请求数据包;
判断模块,用于如果所述端口监测模块监测到所述端口接收到客户端发送的访问请求数据包;则根据预先设定的开门策略判断是否开放所述端口。
CN201910974253.1A 2019-10-14 2019-10-14 一种单包增强安全验证的方法和装置 Pending CN110830444A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910974253.1A CN110830444A (zh) 2019-10-14 2019-10-14 一种单包增强安全验证的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910974253.1A CN110830444A (zh) 2019-10-14 2019-10-14 一种单包增强安全验证的方法和装置

Publications (1)

Publication Number Publication Date
CN110830444A true CN110830444A (zh) 2020-02-21

Family

ID=69549083

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910974253.1A Pending CN110830444A (zh) 2019-10-14 2019-10-14 一种单包增强安全验证的方法和装置

Country Status (1)

Country Link
CN (1) CN110830444A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113852697A (zh) * 2021-11-26 2021-12-28 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质
WO2022052972A1 (zh) * 2020-09-11 2022-03-17 中国银联股份有限公司 一种网络终端认证的方法及装置
CN115065553A (zh) * 2022-07-27 2022-09-16 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130298218A1 (en) * 2006-03-22 2013-11-07 Michael B. Rash Method for secure single-packet authorization within cloud computing networks
CN108429730A (zh) * 2018-01-22 2018-08-21 北京智涵芯宇科技有限公司 无反馈安全认证与访问控制方法
US20180241718A1 (en) * 2017-02-23 2018-08-23 At&T Intellectual Property I, L.P. Single Packet Authorization in a Cloud Computing Environment
CN110049046A (zh) * 2019-04-19 2019-07-23 北京奇安信科技有限公司 访问控制方法、终端、服务器及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130298218A1 (en) * 2006-03-22 2013-11-07 Michael B. Rash Method for secure single-packet authorization within cloud computing networks
US20180241718A1 (en) * 2017-02-23 2018-08-23 At&T Intellectual Property I, L.P. Single Packet Authorization in a Cloud Computing Environment
CN108429730A (zh) * 2018-01-22 2018-08-21 北京智涵芯宇科技有限公司 无反馈安全认证与访问控制方法
CN110049046A (zh) * 2019-04-19 2019-07-23 北京奇安信科技有限公司 访问控制方法、终端、服务器及系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022052972A1 (zh) * 2020-09-11 2022-03-17 中国银联股份有限公司 一种网络终端认证的方法及装置
CN113852697A (zh) * 2021-11-26 2021-12-28 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质
CN113852697B (zh) * 2021-11-26 2022-03-25 杭州安恒信息技术股份有限公司 一种sdp终端流量代理方法、装置、设备及存储介质
CN115065553A (zh) * 2022-07-27 2022-09-16 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN112822158B (zh) 网络的访问方法、装置、电子设备及存储介质
CN110830446B (zh) 一种spa安全验证的方法和装置
CN110830447A (zh) 一种spa单包授权的方法及装置
US7716729B2 (en) Method for responding to denial of service attacks at the session layer or above
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
US20070294759A1 (en) Wireless network control and protection system
US20060026680A1 (en) System and method of characterizing and managing electronic traffic
US20030037258A1 (en) Information security system and method`
CN107222433A (zh) 一种基于sdn网络路径的访问控制方法及系统
CN115189927A (zh) 一种基于零信任的电力网络安全防护方法
CN110830444A (zh) 一种单包增强安全验证的方法和装置
CN106899561B (zh) 一种基于acl的tnc权限控制方法和系统
CN110611682A (zh) 一种网络访问系统及网络接入方法和相关设备
CN116346375A (zh) 访问控制方法、访问控制系统、终端及存储介质
CN113904826B (zh) 数据传输方法、装置、设备和存储介质
CN114726513A (zh) 数据传输方法、设备、介质及产品
CN116760633B (zh) 一种安全可信物理网网关的实现方法
CN111416824B (zh) 一种网络接入认证控制系统
CN114915427B (zh) 访问控制方法、装置、设备及存储介质
KR101047994B1 (ko) 네트워크 기반 단말인증 및 보안방법
CN115801347A (zh) 一种基于单包授权技术增强网络安全的方法和系统
Chen et al. Development and implementation of anti phishing wi-fi and information security protection app based on android
CN113343278A (zh) 一种防御csrf攻击的登录请求校验方法及装置
CN108494731B (zh) 一种基于双向身份认证的抗网络扫描方法
Bruschi et al. Disarming offense to facilitate defense

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200221

RJ01 Rejection of invention patent application after publication