CN111770071B - 一种网络隐身场景下网关认证可信设备的方法和装置 - Google Patents

一种网络隐身场景下网关认证可信设备的方法和装置 Download PDF

Info

Publication number
CN111770071B
CN111770071B CN202010580070.4A CN202010580070A CN111770071B CN 111770071 B CN111770071 B CN 111770071B CN 202010580070 A CN202010580070 A CN 202010580070A CN 111770071 B CN111770071 B CN 111770071B
Authority
CN
China
Prior art keywords
message
gateway
port
authentication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010580070.4A
Other languages
English (en)
Other versions
CN111770071A (zh
Inventor
张越
秦益飞
杨正权
尹烁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Yianlian Network Technology Co ltd
Original Assignee
Jiangsu Yianlian Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Yianlian Network Technology Co ltd filed Critical Jiangsu Yianlian Network Technology Co ltd
Priority to CN202010580070.4A priority Critical patent/CN111770071B/zh
Publication of CN111770071A publication Critical patent/CN111770071A/zh
Application granted granted Critical
Publication of CN111770071B publication Critical patent/CN111770071B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

本发明提供一种网络隐身场景下网关认证可信设备的方法和装置,包括以下步骤:客户端采用单个UDP报文去服务端认证;对于需网关侧认证信息进行加密通过报文载荷传输到服务端非知名端口上;同时对于此非知名端口采用防ping模式;服务端在该非知名端口收到报文进行校验匹配;匹配相应规则后可进行对该端口放行一个时间窗口供可信设备访问,时间窗老化后,该端口针对该设备进行关闭。本发明解决端口碰撞带来的抗重放攻击等缺陷,同时叠加更详细的客户端认证信息,从而让网关更精确的过滤非法访问,在完成端口默认关闭的情况下敲开网关侧端口大门,最终接入可信设备进行安全访问。

Description

一种网络隐身场景下网关认证可信设备的方法和装置
技术领域
本发明属于网络安全技术领域,具体涉及一种网络隐身场景下网关认证可信设备的方法和装置。
背景技术
基于网络安全体系架构上,传统企业除了部署物理防火墙外,也会部署安全网关或者软件防火墙来进行外网的访问控制;按照此部署有在防火墙上通过打开指定端口对外提供必要服务,但也会带来被攻击的风险;相反如果关闭网关上所有公网端口确实能够保障安全,但无法对外提供服务。兼顾应用性和安全性,需要提供一种端口默认关闭场景下保证内部应用能够被可信终端安全访问的方案。业界一般有利用端口碰撞技术来进行解决的方案。端口碰撞是客户端侧生成一系列数据包去匹配网关侧的相应端口的序列,如果与网关侧预置相符合则打开相应端口供访问。但此方案存在以下缺陷:
1.端口碰撞最致命的缺陷是重放攻击;只要报文被第三方拦截,同时猜测到目的主机使用端口碰撞技术就能够构成破解;
2.端口的序列是有限的组合,最终还是可以被破解;
3.通过数据包头去认证携带的数据信息量太少,无法再网关侧进行详细认证,加大网关被黑客欺骗入侵的风险。
在寻求网络安全的世界中,哪怕一个细小的网络漏洞,都能给企业带来致命的灾难。
发明内容
本发明的目的是提供一种网络隐身场景下网关认证可信设备的方法和装置,解决端口碰撞带来的抗重放攻击等缺陷,同时叠加更详细的客户端认证信息,从而让网关更精确的过滤非法访问,在完成端口默认关闭的情况下敲开网关侧端口大门,最终接入可信设备进行安全访问。
本发明提供了如下的技术方案:
一种网络隐身场景下网关认证可信设备的方法,包括以下步骤:
客户端采用单个UDP报文去服务端认证;
对于需网关侧认证信息进行加密通过报文载荷传输到服务端非知名端口上;同时对于此非知名端口采用防ping模式;
服务端在该非知名端口收到报文进行校验匹配;
匹配相应规则后可进行对该端口放行一个时间窗口供可信设备访问,时间窗老化后,该端口针对该设备进行关闭。
优选的,客户端侧的C/S或B/S应用在对网关侧进行业务访问之前得到及时捕获,前置一个UDP的报文认证;在组装UDP报文时,先采集客户端侧各类信息,再使用密钥对此类信息进行加密处理;通过UDP发送到网关侧进行验证;关于密钥通过统一管理分发机制来保证,以此完成对称加解密;UDP报文在网关侧认证成功后,针对指定源保证在有效时间内业务访问正常;如果没有认证成功,则无论C/S或B/S应用将请求失败。
优选的,关于UDP载荷区内采集的各类信息加密包括以下步骤:
报文载荷具体信息包括:随机数、时间戳、用户名、本机地址、硬件特征码、消息类别和本机地址;
将上述信息进行摘要计算和转最终码后,结合网关提供的内部私有标识,以此形成待加密的明文信息;
通过加密和添加HMAC,最后需要待上可信设备标识;而后将报文发送至网关服务器协商好的非知名端口上。
优选的,网关侧通过PCAP抓包方式实时获取该端口的UDP报文,并进行终端业务流程处理,处理包括以下步骤:
解密,对抓取的UDP报文进行识别处理;
认证,对解密出来的报文信息进行各维度校验;
控制,对终端设备的业务访问放行和控制。
优选的,所述解密过程包括以下步骤:
首先检查载荷数据尾部是否携带了外部私有标识;没有则直接丢弃该报文;存在则执行下一步;
按照规则拆分出密文和HMAC;通过服务端存储的密钥,基于密文验证数据签名HMAC是否匹配;不匹配则报文有篡改的可能,丢弃该报文;匹配则执行下一步;
对密文进行解密,解密完成后首先查看解密数据尾部是否携带了内部私有标识,没有则直接丢弃该报文;存在则执行下一步;
按照规则拆分出明文和摘要;对明文进行摘要算法,将计算的摘要和携带的摘要做比对,不相同则内层信息有篡改的可能,丢弃该报文;匹配则执行下一步;
对明文进行BASE64解码;解码完成后按照相应规则提取出随机数,时间戳,用户名,硬件特征码,消息类别,客户端地址;
解析出明文,获取到终端设备的详细信息后,开始进入业务认证流程。
优选的,所述认证过程包括以下步骤:
收到报文的时间戳和随机数与服务端存储的映射冲突,说明为重放攻击,可以丢弃;
对收到报文的用户名,客户端地址进行用户访问控制认证,不在存储范围内则丢弃;
对收到该用户名下的设备标识与存储不一致,说明为不可信设备,可以丢弃;
通过携带时间戳与部署在网关侧服务器端时间访问策略进行匹配,不匹配则可以丢弃;
上述参数信息均认证通过,开始控制流程处理。
优选的,所述控制过程包括以下步骤:
根据携带的消息类别,网关可以知晓在软件防火墙上需放行对应的协议类别和端口号;
对于端口放行的时间窗口,根据网关自身策略配置,时间窗越小,安全级别越高;
在这时间窗,设备能够访问网关背后的应用服务;时间窗口老化后,该端口针对此设备则会关闭;
再次业务访问,则需重复所述UDP报文认证流程。
同时在控制模块中,会设置防ping攻击,加固网关侧业务网络安全。
一种网络隐身场景下网关认证可信设备的装置,包括:
设在客户端侧的UDP报文加密装置,用于组装UDP报文,采集客户端侧各类信息,使用密钥对此类信息进行加密处理,并通过UDP发送到网关侧进行验证;
设在网关侧的网关认证设备,通过PCAP抓包方式实时获取该端口的UDP报文并包括:解密模块,用于对抓取的UDP报文进行识别处理;认证模块,用于对解密出来的报文信息进行各维度校验;控制模块,用于对终端设备的业务访问放行和控制。
优选的,所述UDP报文加密装置采集的各类信息包括:随机数、时间戳、用户名、本机地址、硬件特征码、消息类别和本机地址;所述UDP报文加密装置将采集的信息信息进行摘要计算和转最终码后,结合网关提供的内部私有标识以此形成待加密的明文信息,并通过加密和添加HMAC,最后需要待上可信设备标识,而后将报文发送至网关服务器协商好的非知名端口上。
优选的,所述解密模块用于检查载荷数据尾部是否携带了外部私有标识,按照规则拆分出密文和HMAC,并通过服务端存储的密钥;用于基于密文验证数据签名HMAC是否匹配,对密文进行解密,解密完成后首先查看解密数据尾部是否携带了内部私有标识;用于按照规则拆分出明文和摘要;用于对明文进行摘要算法,将计算的摘要和携带的摘要做比对;用于对明文进行BASE64解码;用于解码完成后按照相应规则提取出随机数,时间戳,用户名,硬件特征码,消息类别,客户端地址;
所述认证模块用于收到报文的时间戳和随机数与服务端存储的映射冲突,说明为重放攻击,进行丢弃;用于对收到报文的用户名,客户端地址进行用户访问控制认证,不在存储范围内则丢弃;用于对收到该用户名下的设备标识与存储不一致,说明为不可信设备,进行丢弃;用于通过携带时间戳与部署在网关侧服务器端时间访问策略进行匹配,不匹配则可以丢弃;
所述控制模块用于根据携带的消息类别,网关可以知晓在软件防火墙上需放行对应的协议类别和端口号;用于对于端口放行的时间窗口,根据网关自身策略可配置;用于在相应时间窗,设备能够访问网关背后的应用服务;用于时间窗口老化后,该端口针对此设备则会关闭。
优选的,在控制模块中,设置防ping攻击模块,加固网关侧业务网络安全。
本发明的有益效果是:发明保证了网关以一个黑盒方式隐身网络中,并保证了大部分网络攻击在此部署面前无计可施,通过端口扫描等工具也无法探知具体端口状态;在全闭合的业务场景下,也弥补了端口碰撞等业务访问方式带来的漏洞;高安全性可靠性的同时也为客户端业务访问提供了解决方案;在细颗粒度控制,短时间窗口的举措下,允许指定源地址,指定可信设备在具体时间范围内请求访问;在提供业务访问的同时,还能对传统网络攻击提供针对性防护措施。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明的可信设备加密流程图;
图2是本发明的网关认证设备框架图;
图3是本发明的解密模块流程图;
图4是本发明的认证模块流程图;
图5是本发明的控制模块流程图。
具体实施方式
本发明提供了一种网络隐身场景下网关认证可信设备的方法,同时具备抗重放攻击功能,细颗粒度控制端口访问策略,并能识别终端设备是否可信接入,解决端口碰撞等传统业务访问带来的风险漏洞。发明需要在终端侧,网关侧均部署装置,同时附加密钥等数据的对称配置。具体措施如下:
发明客户端侧的C/S,B/S应用在对网关侧进行业务访问之前会得到及时捕获,前置一个UDP的报文认证;再组装UDP报文时,先采集客户端侧各类信息,再使用密钥对此类信息进行加密处理;通过UDP发送到网关侧进行验证。关于密钥通过统一管理分发机制来保证,以此完成对称加解密。UDP报文在网关侧认证成功后,针对指定源保证在有效时间内业务访问正常;如果没有认证成功,则无论C/S,B/S应用将请求失败。
关于UDP载荷区内采集的各类信息加密流程,如图1所示:
报文载荷具体信息包含:随机数,时间戳可用做抗重放攻击;用户名,本机地址,硬件特征码可用作匹配网关数据库进行全闭合认证;消息类别,本机地址,时间戳可作为打开端口的规则以及对源的访问控制;
将上述信息进行摘要计算和转最终码后,结合网关提供的内部私有标识(方便服务器端解密报文后首次校验匹配,匹配上服务器侧再去计算摘要与携带的摘要比对),以此形成待加密的明文信息;
通过加密和添加HMAC,最后需要待上可信设备标识;而后将报文发送至网关服务器协商好的非知名端口上。
网关侧通过PCAP抓包方式实时获取该端口的UDP报文,并按照图2进行终端业务流程处理:
解密模块,负责对抓取的UDP报文进行识别处理;
认证模块,对解密出来的报文信息进行各维度校验(诸如设备标识,用户信息,时间戳等);
控制模块,对终端设备的业务访问放行和控制。
具体的,如图3所示,解密模块:
(1)首先检查载荷数据尾部是否携带了外部私有标识;没有则直接丢弃该报文;存在则执行下一步;
(2)按照规则拆分出密文和HMAC;通过服务端存储的密钥,基于密文验证数据签名HMAC是否匹配;不匹配则报文有篡改的可能,丢弃该报文;匹配则执行下一步;
(3)对密文进行解密,解密完成后首先查看解密数据尾部是否携带了内部私有标识,没有则直接丢弃该报文;存在则执行下一步;
(4)按照规则拆分出明文和摘要;对明文进行摘要算法,将计算的摘要和携带的摘要做比对,不相同则内层信息有篡改的可能,丢弃该报文;匹配则执行下一步;
(5)对明文进行BASE64解码;解码完成后按照相应规则提取出随机数,时间戳,用户名,硬件特征码,消息类别,客户端地址;
解析出明文,获取到终端设备的详细信息后,开始进入业务认证流程。
具体的,如图4所示,认证模块:
(1)收到报文的时间戳和随机数与服务端存储的映射冲突,说明为重放攻击,可以丢弃;
(2)对收到报文的用户名,客户端地址进行用户访问控制认证,不在存储范围内则丢弃;
(3)对收到该用户名下的设备标识与存储不一致,说明为不可信设备,可以丢弃;
(4)通过携带时间戳与部署在网关侧服务器端时间访问策略进行匹配,不匹配则可以丢弃;
上述参数信息均认证通过,开始控制模块的流程处理。
具体的,如图5所示,控制模块:
(1)根据携带的消息类别,网关可以知晓在软件防火墙上需放行对应的协议类别和端口号;
(2)对于端口放行的时间窗口,根据网关自身策略可配置为5s,10s等;当然时间窗越小,安全级别越高;
(3)在这时间窗,设备能够访问网关背后的应用服务;时间窗口老化后,该端口针对此设备则会关闭;
(4)再次业务访问,则需重复上述UDP报文认证流程。
同时在控制模块中,会设置防ping攻击,加固网关侧业务网络安全。
该发明解决方案还提供了高可配置性,对于日益增长叠加的网络需求,可以在认证管理模块增加更严格的维度校验信息,来达到认证目的。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (11)

1.一种网络隐身场景下网关认证可信设备的方法,其特征在于,包括以下步骤:
客户端采用单个UDP报文去服务端认证;
对于需网关侧认证的信息进行加密后通过所述UDP报文载荷传输到服务端非知名端口上;同时对于此非知名端口采用防ping模式;
服务端在该非知名端口收到报文进行校验匹配;
匹配相应规则后能够进行对该非知名端口放行一个时间窗口供可信设备访问,时间窗口老化后,该非知名端口针对该可信设备进行关闭。
2.根据权利要求1所述的一种网络隐身场景下网关认证可信设备的方法,其特征在于,客户端侧的C/S或B/S应用在对网关侧进行业务访问之前得到及时捕获,前置一个UDP的报文认证;在组装UDP报文时,先采集客户端侧各类信息,再使用密钥对此类信息进行加密处理;通过UDP发送到网关侧进行验证;关于密钥通过统一管理分发机制来保证,以此完成对称加解密;UDP报文在网关侧认证成功后,针对指定源保证在有效时间内业务访问正常;如果没有认证成功,则无论C/S或B/S应用将请求失败。
3.根据权利要求2所述的一种网络隐身场景下网关认证可信设备的方法,其特征在于,关于UDP载荷区内采集的各类信息加密包括以下步骤:
报文载荷具体信息包括:随机数、时间戳、用户名、本机地址、硬件特征码、消息类别和本机地址;
将上述信息进行摘要计算和转最终码后,结合网关提供的内部私有标识,以此形成待加密的明文信息;
通过加密和添加密钥相关的哈希运算消息认证码HMAC,最后需要带上可信设备标识;而后将报文发送至网关服务器协商好的非知名端口上。
4.根据权利要求2所述的一种网络隐身场景下网关认证可信设备的方法,其特征在于,网关侧通过数据包抓取库PCAP抓包方式实时获取该非知名端口的UDP报文,并进行终端业务流程处理,处理包括以下步骤:
解密,对抓取的UDP报文进行识别处理;
认证,对解密出来的报文信息进行各维度校验;
控制,对终端设备的业务访问放行和控制。
5.根据权利要求4所述的一种网络隐身场景下网关认证可信设备的方法,其特征在于,所述解密过程包括以下步骤:
首先检查载荷数据尾部是否携带了外部私有标识;没有则直接丢弃该报文;存在则执行下一步;
按照规则拆分出密文和HMAC;通过服务端存储的密钥,基于密文验证数据签名HMAC是否匹配;不匹配则报文有篡改的可能,丢弃该报文;匹配则执行下一步;
对密文进行解密,解密完成后首先查看解密数据尾部是否携带了内部私有标识,没有则直接丢弃该报文;存在则执行下一步;
按照规则拆分出明文和摘要;对明文进行摘要算法,将计算的摘要和携带的摘要做比对,不相同则内层信息有篡改的可能,丢弃该报文;匹配则执行下一步;
对明文进行BASE64解码;解码完成后按照相应规则提取出随机数,时间戳,用户名,硬件特征码,消息类别,客户端地址;
解析出明文,获取到终端设备的详细信息后,开始进入业务认证流程。
6.根据权利要求4所述的一种网络隐身场景下网关认证可信设备的方法,其特征在于,所述认证过程包括以下步骤:
收到报文的时间戳和随机数与服务端存储的映射冲突,说明为重放攻击,可以丢弃;
对收到报文的用户名,客户端地址进行用户访问控制认证,不在存储范围内则丢弃;
对收到该用户名下的设备标识与存储不一致,说明为不可信设备,可以丢弃;
通过携带时间戳与部署在网关侧服务器端时间访问策略进行匹配,不匹配则可以丢弃;
上述参数信息均认证通过,开始控制流程处理。
7.根据权利要求4所述的一种网络隐身场景下网关认证可信设备的方法,其特征在于,所述控制过程包括以下步骤:
根据携带的消息类别,网关可以知晓在软件防火墙上需放行对应的协议类别和端口号;
对于端口放行的时间窗口,根据网关自身策略配置,时间窗口越小,安全级别越高;
在这时间窗口,设备能够访问网关背后的应用服务;时间窗口老化后,该非知名端口针对此设备则会关闭;
再次业务访问,则需重复所述认证,对解密出来的报文信息进行各维度校验。
8.一种网络隐身场景下网关认证可信设备的装置,其特征在于,包括:
设在客户端侧的UDP报文加密装置,用于组装UDP报文,采集客户端侧各类信息,使用密钥对此类信息进行加密处理,并通过UDP发送到网关侧的非知名端口进行验证;
设在网关侧的网关认证设备,通过数据包抓取库PCAP抓包方式实时获取该非知名端口的UDP报文并包括:解密模块,用于对抓取的UDP报文进行识别处理;认证模块,用于对解密出来的报文信息进行各维度校验;控制模块,用于对终端设备的业务访问放行和控制,即根据携带的消息类别,网关可以知晓在软件防火墙上需放行对应的协议类别和端口号,对于端口放行的时间窗口,根据网关自身策略可配置,在相应时间窗口,设备能够访问网关背后的应用服务,时间窗口老化后,该非知名端口针对此设备则会关闭,再次业务访问,则需重复进入所述认证模块。
9.根据权利要求8所述的一种网络隐身场景下网关认证可信设备的装置,其特征在于,所述UDP报文加密装置采集的各类信息包括:随机数、时间戳、用户名、本机地址、硬件特征码、消息类别和本机地址;所述UDP报文加密装置将采集的信息进行摘要计算和转最终码后,结合网关提供的内部私有标识以此形成待加密的明文信息,并通过加密和添加密钥相关的哈希运算消息认证码HMAC,最后需要带上可信设备标识,而后将报文发送至网关服务器协商好的非知名端口上。
10.根据权利要求8所述的一种网络隐身场景下网关认证可信设备的装置,其特征在于,所述解密模块用于检查载荷数据尾部是否携带了外部私有标识,按照规则拆分出密文和HMAC,并通过服务端存储的密钥;用于基于密文验证数据签名HMAC是否匹配,对密文进行解密,解密完成后首先查看解密数据尾部是否携带了内部私有标识;用于按照规则拆分出明文和摘要;用于对明文进行摘要算法,将计算的摘要和携带的摘要做比对;用于对明文进行BASE64解码;用于解码完成后按照相应规则提取出随机数,时间戳,用户名,硬件特征码,消息类别,客户端地址;
所述认证模块用于收到报文的时间戳和随机数与服务端存储的映射冲突,说明为重放攻击,进行丢弃;用于对收到报文的用户名,客户端地址进行用户访问控制认证,不在存储范围内则丢弃;用于对收到该用户名下的设备标识与存储不一致,说明为不可信设备,进行丢弃;用于通过携带时间戳与部署在网关侧服务器端时间访问策略进行匹配,不匹配则可以丢弃。
11.根据权利要求8所述的一种网络隐身场景下网关认证可信设备的装置,其特征在于,在控制模块中,设置防ping攻击模块,加固网关侧业务网络安全。
CN202010580070.4A 2020-06-23 2020-06-23 一种网络隐身场景下网关认证可信设备的方法和装置 Active CN111770071B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010580070.4A CN111770071B (zh) 2020-06-23 2020-06-23 一种网络隐身场景下网关认证可信设备的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010580070.4A CN111770071B (zh) 2020-06-23 2020-06-23 一种网络隐身场景下网关认证可信设备的方法和装置

Publications (2)

Publication Number Publication Date
CN111770071A CN111770071A (zh) 2020-10-13
CN111770071B true CN111770071B (zh) 2021-03-09

Family

ID=72722083

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010580070.4A Active CN111770071B (zh) 2020-06-23 2020-06-23 一种网络隐身场景下网关认证可信设备的方法和装置

Country Status (1)

Country Link
CN (1) CN111770071B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499821A (zh) * 2020-11-12 2022-05-13 华为技术有限公司 加解密系统、光模块和相关装置、系统
CN112615866B (zh) * 2020-12-22 2022-07-05 南京易安联网络技术有限公司 Tcp连接的预认证方法、装置和系统
CN114389803A (zh) * 2021-12-24 2022-04-22 奇安信科技集团股份有限公司 Spa密钥分发方法及装置
CN114064784A (zh) * 2022-01-17 2022-02-18 湖南科德信息咨询集团有限公司 一种企业研发费用智能归集方法、系统及电子设备
CN114726606B (zh) * 2022-03-31 2023-03-24 北京九州恒盛电力科技有限公司 一种用户认证方法、客户端、网关及认证服务器
CN114745138B (zh) * 2022-05-20 2022-08-26 长扬科技(北京)有限公司 一种设备认证方法、装置、控制平台及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109152065A (zh) * 2018-10-31 2019-01-04 重庆邮电大学 一种基于IPv6的工业无线网络多节点安全入网方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9438574B2 (en) * 2008-12-30 2016-09-06 Avago Technologies General Ip (Singapore) Pte. Ltd. Client/server authentication over Fibre channel
CN103237038B (zh) * 2013-05-09 2016-01-13 中国电子科技集团公司第三十研究所 一种基于数字证书的双向入网认证方法
CN110062016B (zh) * 2018-01-18 2023-05-09 阿里巴巴集团控股有限公司 用于可信服务管理的方法及装置
CN110943996B (zh) * 2019-12-03 2022-03-22 迈普通信技术股份有限公司 一种业务加解密的管理方法、装置及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109152065A (zh) * 2018-10-31 2019-01-04 重庆邮电大学 一种基于IPv6的工业无线网络多节点安全入网方法

Also Published As

Publication number Publication date
CN111770071A (zh) 2020-10-13

Similar Documents

Publication Publication Date Title
CN111770071B (zh) 一种网络隐身场景下网关认证可信设备的方法和装置
CN108429730B (zh) 无反馈安全认证与访问控制方法
US8413248B2 (en) Method for secure single-packet remote authorization
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
Pradhan et al. Solutions to vulnerabilities and threats in software defined networking (SDN)
US8082578B2 (en) Intelligent firewall
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
US20110179267A1 (en) Method, system and server for implementing security access control
CN105812367A (zh) 一种量子网络中网络接入设备的认证系统及认证方法
CN112615866B (zh) Tcp连接的预认证方法、装置和系统
CN113824705B (zh) 一种Modbus TCP协议的安全加固方法
CN111770090A (zh) 一种单包授权方法及系统
CA2506418C (en) Systems and apparatuses using identification data in network communication
CN110830446A (zh) 一种spa安全验证的方法和装置
CN111988289A (zh) Epa工业控制网络安全测试系统及方法
CN113572773A (zh) 一种接入设备及终端接入控制方法
CN114584331A (zh) 一种配电物联网边缘物联代理网络安全防护方法及系统
CN113645115B (zh) 虚拟专用网络接入方法和系统
CN116321136A (zh) 一种支持多因素身份认证的隐身网关设计方法
CN101938428B (zh) 一种报文的传输方法和设备
CN116248405A (zh) 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质
Gu et al. Wireless LAN attacks and vulnerabilities
CN108494731B (zh) 一种基于双向身份认证的抗网络扫描方法
Jung et al. ZTA-based Federated Policy Control Paradigm for Enterprise Wireless Network Infrastructure
WO2024066059A1 (zh) 基于sdp和边缘计算的工业互联网安全系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant