CN112688968B - 一种基于无线网络设备的网络安全配置方法及系统 - Google Patents
一种基于无线网络设备的网络安全配置方法及系统 Download PDFInfo
- Publication number
- CN112688968B CN112688968B CN202110270051.6A CN202110270051A CN112688968B CN 112688968 B CN112688968 B CN 112688968B CN 202110270051 A CN202110270051 A CN 202110270051A CN 112688968 B CN112688968 B CN 112688968B
- Authority
- CN
- China
- Prior art keywords
- monitoring server
- target
- security
- vector
- wireless network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于无线网络设备的网络安全配置方法及系统,涉及网络配置技术领域。本发明包括:通过上级路由器向多个监测服务器发起建立连接指示,监测服务器生成该访问指示对应的安全向量集合,每个安全向量由一个监测服务器生成,后续由本地无线网络设备对安全向量集合进行校验,并在校验通过的情况下对访问指示进行响应;由于各个授权方分别独立生成各自的安全向量,本地无线网络设备在校验各个授权方的安全向量通过之后,才对请求进行响应,使得本发明实施例能够适用于授权方有多层级依赖关系,有效解决了现有技术中多方验证权限需要隔离要求与多方安全向量完整性要求的矛盾,从根本上保证了网络安全配置的安全性。
Description
技术领域
本发明涉及网络配置技术领域,具体而言,涉及一种基于无线网络设备的网络安全配置方法及系统。
背景技术
随着生产环境规模的扩大,用户对于网络配置的要求也越来越高,同时网络配置的安全级别也越来越高。为了安全的实现网络配置,现有技术中存在采取本地无线网络设备的内网和外网(即本地终端设备和上级路由器)配置设置的方式,多方参与配置虽然提高了网络配置的完整程度,但内网与外网之间并没有进行有效的隔离,这又会进一步增加网络安全风险。
有鉴于此,如何提供一种安全性更高的基于无线网络设备的网络安全配置方案,是本领域技术人员需要解决的。
发明内容
本发明的目的在于提供.一种基于无线网络设备的网络安全配置方法及系统。
第一方面,本发明实施例提供一种基于无线网络设备的网络安全配置方法,应用于基于无线网络设备的网络安全配置系统,系统包括:上级路由器、多个监测服务器,以及本地无线网络设备;
方法包括:
上级路由器接收来自于本地终端设备的访问指示,访问指示用于访问本地无线网络设备;向多个监测服务器发起建立连接指示,建立连接指示用于获取监测服务器对应的安全向量;
监测服务器生成访问指示对应的安全向量集合,安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器生成;
本地无线网络设备对安全向量集合进行校验;响应于安全向量集合校验通过,对访问指示进行响应;其中,监测服务器生成访问指示对应的安全向量集合,包括:对于多个监测服务器中的目标监测服务器,目标监测服务器对接收到的建立连接指示进行校验,目标监测服务器接收到的建立连接指示中包括:之前监测服务器已生成的安全向量集合,以及访问指示的网络连接请求;
响应于目标监测服务器接收到的建立连接指示校验通过,目标监测服务器生成目标安全向量;其中,目标安全向量包括目标监测服务器的服务器标识、目标监测服务器的请求通过信息、目标安全向量的历史安全向量的数字指纹,以及目标监测服务器的数字签名。
可选地,目标监测服务器生成目标安全向量,包括:
创建目标安全向量;
在目标安全向量中写入目标监测服务器的服务器标识;在目标安全向量中写入目标监测服务器的请求通过信息;
采用哈希算法计算历史安全向量的数字指纹,并在目标安全向量中写入历史安全向量的数字指纹;
采用目标监测服务器的第一加密规则,对目标安全向量进行签名,并在目标安全向量中写入目标监测服务器的签名结果。
可选地,目标监测服务器对接收到的建立连接指示进行校验,包括:
对目标监测服务器接收到的建立连接指示中包括的安全向量集合进行校验;
响应于建立连接指示中包括的安全向量集合校验通过,对访问指示的请求内容进行校验;
响应于访问指示的请求内容校验通过,执行生成目标安全向量的步骤。
可选地,本地无线网络设备对安全向量集合进行校验,包括:
对于安全向量集合中的目标安全向量,响应于目标安全向量中包括的数字指纹与历史安全向量的数字指纹相匹配,根据目标安全向量中包括的目标监测服务器的服务器标识,获取目标监测服务器的第二加密规则;
采用目标监测服务器的第二加密规则,对目标安全向量中包括的目标监测服务器的签名结果进行验签;
响应于目标监测服务器的签名结果验签通过,确定目标安全向量校验通过;其中,安全向量集合校验通过是指多个安全向量均校验通过。
可选地,根据目标安全向量中包括的目标监测服务器的服务器标识,获取目标监测服务器的第二加密规则,包括:
从预设对应关系中,获取与目标监测服务器的服务器标识相对应的第二加密规则,得到目标监测服务器的第二加密规则;其中,预设对应关系包括监测服务器的服务器标识和第二加密规则之间的对应关系。
可选地,根据目标安全向量中包括的目标监测服务器的服务器标识,获取目标监测服务器的第二加密规则,包括:
从目标监测服务器的服务器标识中,获取目标监测服务器安全向量;
基于目标监测服务器安全向量,获取目标监测服务器的第二加密规则;其中,目标监测服务器安全向量以链状结构的形式记录在目标监测服务器的服务器标识中。
可选地,响应于安全向量集合校验通过,对访问指示进行响应,包括:
响应于安全向量集合校验通过,合并多个监测服务器的请求通过信息,确定本地终端设备具备的权限;
基于本地终端设备具备的权限,对访问指示进行响应。
可选地,系统还包括:管理服务器;
上级路由器接收来自于本地终端设备的访问指示之前,还包括:
管理服务器接收来自于本地终端设备的登录请求,登录请求包括请求登录的用户帐号和密码;
响应于用户帐号和密码验证通过,管理服务器生成本地终端设备的证明文件,证明文件包括本地终端设备登录的用户帐号信息和登录信息;
管理服务器向本地终端设备发送证明文件;其中,访问指示中携带证明文件。
可选地,本地无线网络设备包括多个桥接口,本地无线网络设备与本地终端设备和上级路由器均通过桥接口通信连接,响应于安全向量集合校验通过,对访问指示进行响应,包括:
本地无线网络设备响应于上级路由器发出的外网配置协议数据包,根据第一预设规则在本地无线网络设备配置的Forward链上拦截外网配置协议数据包,上级路由器通过外网配置协议数据包为本地终端设备配置外网IP地址;
本地无线网络设备响应于本地终端设备发出的内网配置协议数据包,根据第二预设规则在本地无线网络设备配置的Prerouting链上拦截内网配置协议数据包,上级路由器通过内网配置协议数据包获取本地终端设备的内网IP地址;
本地无线网络设备获取本地终端设备的访问指示,访问指示包括访问目的地址;
本地无线网络设备在当访问目的地址与本地终端设备预先配置的地址不匹配时,对访问目的地址进行网络地址转换;
本地无线网络设备在当访问目的地址与本地终端设备预先配置的地址匹配时,根据访问指示执行对应操作。
第二方面,本发明实施例提供一种基于无线网络设备的网络安全配置系统,系统包括:上级路由器、多个监测服务器,以及本地无线网络设备;
上级路由器用于接收来自于本地终端设备的访问指示,访问指示用于访问本地无线网络设备;向多个监测服务器发起建立连接指示,建立连接指示用于获取监测服务器对应的安全向量;
监测服务器用于生成访问指示对应的安全向量集合,安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器生成;
本地无线网络设备用于对安全向量集合进行校验;响应于安全向量集合校验通过,对访问指示进行响应;其中,监测服务器生成访问指示对应的安全向量集合,包括:对于多个监测服务器中的目标监测服务器,目标监测服务器对接收到的建立连接指示进行校验,目标监测服务器接收到的建立连接指示中包括:之前监测服务器已生成的安全向量集合,以及访问指示的网络连接请求;响应于目标监测服务器接收到的建立连接指示校验通过,目标监测服务器生成目标安全向量;其中,目标安全向量包括目标监测服务器的服务器标识、目标监测服务器的请求通过信息、目标安全向量的历史安全向量的数字指纹,以及目标监测服务器的数字签名。
相比现有技术,本发明提供的有益效果包括:采用本发明实施例提供的一种基于无线网络设备的网络安全配置方法及系统,应用于基于无线网络设备的网络安全配置系统,系统包括:上级路由器、多个监测服务器,以及本地无线网络设备;通过上级路由器接收来自于本地终端设备的访问指示,访问指示用于访问本地无线网络设备;向多个监测服务器发起建立连接指示,建立连接指示用于获取监测服务器对应的安全向量;通过监测服务器生成访问指示对应的安全向量集合,安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器生成;通过本地无线网络设备对安全向量集合进行校验;响应于安全向量集合校验通过,对访问指示进行响应;其中,监测服务器生成访问指示对应的安全向量集合,包括:对于多个监测服务器中的目标监测服务器,目标监测服务器对接收到的建立连接指示进行校验,目标监测服务器接收到的建立连接指示中包括:之前监测服务器已生成的安全向量集合,以及访问指示的网络连接请求;响应于目标监测服务器接收到的建立连接指示校验通过,目标监测服务器生成目标安全向量;其中,目标安全向量包括目标监测服务器的服务器标识、目标监测服务器的请求通过信息、目标安全向量的历史安全向量的数字指纹,以及目标监测服务器的数字签名。通过上述设置使得本发明实施例能够适用于授权方有多层级依赖关系,有效解决了多方验证权限需要隔离要求与多方安全向量完整性要求的矛盾,从根本上保证了网络安全配置的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的基于无线网络设备的网络安全配置系统的交互示意图;
图2为本发明实施例提供的基于无线网络设备的网络安全配置方法的一种步骤流程示意图;
图3为本发明实施例提供的基于无线网络设备的网络安全配置方法的另一种步骤流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,“设置”、“连接”等术语应做广义理解,例如,“连接”可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接连接,也可以通过中间媒介间接连接,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
下面结合附图,对本发明的具体实施方式进行详细说明。
图1是本公开一种实施例提供的基于无线网络设备的网络安全配置系统的交互示意图。基于无线网络设备的网络安全配置系统可以包括本地无线网络设备10以及与本地无线网络设备10通信连接的本地终端设备20和上级路由器30。图1所示的基于无线网络设备的网络安全配置系统仅为一种可行的示例,在其它可行的实施例中,该基于无线网络设备的网络安全配置系统也可以仅包括图1所示组成部分的其中一部分或者还可以包括其它的组成部分。
本实施例中,本地终端设备20可以包括移动设备、平板计算机、膝上型计算机等或其任意组合。在一些实施例中,移动设备可以包括智能家居设备、可穿戴设备、智能移动设备、虚拟现实设备、或增强现实设备等,或其任意组合。在一些实施例中,智能家居设备可以包括智能电器设备的控制设备、智能监控设备、智能电视、智能摄像机等,或其任意组合。在一些实施例中,可穿戴设备可包括智能手环、智能鞋带、智能玻璃、智能头盔、智能手表、智能服装、智能背包、智能配件等,或其任何组合。在一些实施例中,智能移动设备可以包括智能手机、个人数字助理、游戏设备等,或其任意组合。在一些实施例中,虚拟现实设备和/或增强现实设备可以包括虚拟现实头盔、虚拟现实玻璃、虚拟现实贴片、增强现实头盔、增强现实玻璃、或增强现实贴片等,或其任意组合。例如,虚拟现实设备和/或增强现实设备可以包括各种虚拟现实产品等。
本实施例中,基于无线网络设备的网络安全配置系统中的本地无线网络设备10、本地终端设备20和上级路由器30可以通过配合执行以下方法实施例所描述的基于无线网络设备的网络安全配置方法,具体本地无线网络设备10、本地终端设备20和上级路由器30的执行步骤部分可以参照以下方法实施例的详细描述。
为了解决前述背景技术中的技术问题,图2为本公开实施例提供的基于无线网络设备的网络安全配置方法的流程示意图,下面对该基于无线网络设备的网络安全配置方法进行详细介绍。
步骤101,上级路由器30接收来自于本地终端设备20的访问指示,访问指示用于访问本地无线网络设备10;向多个监测服务器40发起建立连接指示,建立连接指示用于获取监测服务器40对应的安全向量。
可选地,访问指示中包括本地无线网络设备10的服务器标识,该本地无线网络设备10的服务器标识用于对本地无线网络设备10起到唯一标识的作用,以便上级路由器30能够获知本地终端设备20所要请求访问的本地无线网络设备10。
可选地,访问指示中还包括本地终端设备20的标识信息,如本地终端设备20中登录的用户帐号,以便上级路由器30能够获知请求的发起方。
可选地,访问指示中还包括网络连接请求,该网络连接请求用于指示本地无线网络设备10所执行的操作,如提供某项数据或服务。
上级路由器30在接收到来自于本地终端设备20的访问指示之后,向多个监测服务器40发起建立连接指示。可选地,上级路由器30可以根据访问指示,从多个监测服务器40中选择需要发起建立连接指示的上述监测服务器40。也即,针对不同的访问指示,上级路由器30可以选择不同的监测服务器40发起建立连接指示。
可选地,上级路由器30可以根据访问指示,确定所要校验和授权的权限,然后向这些权限对应的监测服务器40,发起建立连接指示;其中,每个监测服务器40用于校验和授权一种或多种权限。例如,该资源访问系统包括4个监测服务器40,分别为监测服务器a、监测服务器b、监测服务器c和监测服务器d,且这4个监测服务器40用于校验和授权的权限分别为权限A、权限B、权限C和权限D。假设某一访问指示用于请求访问本地无线网络设备x,访问本地无线网络设备x所要校验和授权的权限包括权限A和权限B,那么上级路由器30向监测服务器a和监测服务器b发起建立连接指示。假设另一个访问指示用于请求访问本地无线网络设备y,访问本地无线网络设备y所要校验和授权的权限包括权限A、权限C和权限D,那么上级路由器30向监测服务器a、监测服务器c和监测服务器d发起建立连接指示。
在示例性实施例中,上级路由器30向多个监测服务器40逐个依次发起建立连接指示,也即该多个监测服务器40具有前后顺序关系,上级路由器30在向第1个监测服务器40发起建立连接指示并获得该第1个监测服务器40对应的安全向量之后,才会向第2个监测服务器40发起建立连接指示,上级路由器30在获得该第2个监测服务器40对应的安全向量之后,才会向第3个监测服务器40发起建立连接指示,以此类推,直至向最后一个监测服务器40发起建立连接指示。另外,如果未获得某个监测服务器40对应的安全向量,那么就不会继续向下一个监测服务器40发起建立连接指示,直接确定授权失败,拒接该访问指示对本地无线网络设备10的访问。各个监测服务器40之间的前后顺序关系,可以预定义也可以由上级路由器30实时确定,本发明实施例对此不作限定。其中,采用预定义各个监测服务器40之间的前后顺序关系的方式,可以节省上级路由器30的处理开销,不需要上级路由器30动态确定该前后顺序关系;采用由上级路由器30实时确定各个监测服务器40之间的前后顺序关系的方式,更具灵活性,能够更加灵活地适应监测服务器40的增减。
需要说明的一点是,当负责处理该访问指示的上级路由器30的数量为1个时,那么上级路由器30在向一个监测服务器40发起建立连接指示并获得相应的安全向量之后,该上级路由器30向下一个监测服务器40发起建立连接指示。当负责处理该访问指示的上级路由器30的数量为多个时,那么上级路由器30在向一个监测服务器40发起建立连接指示并获得相应的安全向量之后,如果下一个监测服务器40由其他的上级路由器30负责对接,那么该上级路由器30还可以将该访问指示以及相应已获得的安全向量发送给其他的上级路由器30,再由该其他的上级路由器30向下一个监测服务器40发起建立连接指示。
步骤102,监测服务器40生成访问指示对应的安全向量集合,安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器40生成。
上述多个监测服务器40在接收到建立连接指示之后,对接收到的建立连接指示进行校验,在该接收到的建立连接指示校验通过的情况下,生成相应的安全向量。安全向量是访问指示(或者说本地终端设备20)获得相应权限的凭证,获得某个监测服务器40对应的安全向量,即表明经过了该监测服务器40的授权验证,获得了该监测服务器40对应的权限。
在本发明实施例中,多个安全向量以二叉树结构形成安全向量集合。以二叉树结构形成安全向量集合,使得安全向量集合中的各个安全向量具备不可篡改的特性,保证安全向量的可信度和安全性。其中,二叉树结构是指各个安全向量通过哈希值连接形成链式结构,某个安全向量的前一个安全向量的哈希值,记录在该安全向量中。
在本发明实施例中,安全向量集合采用二叉树结构,以使得安全向量集合中的各个安全向量具备不可篡改的特性。可选地,生成访问指示对应的安全向量集合的过程如下:对于多个监测服务器40中的目标监测服务器40,该目标监测服务器40对接收到的建立连接指示进行校验,该目标监测服务器40接收到的建立连接指示中包括:之前监测服务器40已生成的安全向量集合,以及访问指示的网络连接请求。响应于目标监测服务器40接收到的建立连接指示校验通过,该目标监测服务器40生成目标安全向量。其中,目标安全向量包括目标监测服务器40的服务器标识、目标监测服务器40的请求通过信息、目标安全向量的历史安全向量的数字指纹,以及目标监测服务器40的数字签名。
安全向量集合包括多个呈二叉树结构的安全向量,每个安全向量由一个监测服务器40生成。安全向量中包括生成该安全向量的监测服务器40的服务器标识、请求通过信息、历史安全向量的数字指纹,以及数字签名。其中,监测服务器40的服务器标识用于对监测服务器40起到唯一标识的作用,如可以是该监测服务器40的全局唯一ID(identifier,标识)。请求通过信息可以记录监测服务器40对访问指示授予的权限(如某些数据的读权限或某些功能的调用权限等),还可以包括该安全向量的颁发时间、有效期等内容。历史安全向量的数字指纹,是指对该历史安全向量的向量信息采用不可逆方式进行计算得到的数据,可选地,该不可逆方式可以是哈希算法。
可选地,目标监测服务器40生成目标安全向量,包括如下几个步骤:
1、创建目标安全向量;
2、在目标安全向量中写入目标监测服务器40的服务器标识;
3、在目标安全向量中写入目标监测服务器40的请求通过信息;
4、采用哈希算法计算历史安全向量的数字指纹,并在目标安全向量中写入历史安全向量的数字指纹;
5、采用目标监测服务器40的第一加密规则,对目标安全向量进行签名,并在目标安全向量中写入目标监测服务器40的签名结果。
在计算历史安全向量的数字指纹时,可以采用哈希算法对该历史安全向量的全部或部分向量信息进行计算,得到的哈希值即为该历史安全向量的数字指纹。
在计算目标监测服务器40的签名结果时,可以采用预定义的摘要算法,生成目标安全向量中的某些信息的摘要,然后采用目标监测服务器40的第一加密规则对该摘要进行加密,得到签名结果。上述某些信息可以包括目标安全向量中包括的目标监测服务器40的请求通过信息和历史安全向量的数字指纹。
可选地,目标监测服务器40对接收到的建立连接指示进行校验,包括:对目标监测服务器40接收到的建立连接指示中包括的安全向量集合进行校验;响应于建立连接指示中包括的安全向量集合校验通过,对访问指示的网络连接请求进行校验;响应于访问指示的网络连接请求校验通过,执行生成目标安全向量的步骤。
在目标监测服务器40接收到建立连接指示之后,可以先对该建立连接指示中包括的安全向量集合(该安全向量集合包括位于目标监测服务器40之前的节点所生成安全向量)进行校验,在该安全向量集合校验通过的情况下,再对访问指示的网络连接请求进行校验,以确定该访问指示所能获得的权限,在访问指示的网络连接请求也校验通过的情况下,生成目标安全向量。但凡安全向量集合和访问指示的网络连接请求其中之一校验不通过,则该目标监测服务器40反馈授权失败,不生成相应的安全向量。另外,对访问指示的网络连接请求进行校验,在不同的应用场景下相应的校验内容也会有所不同,例如当访问指示用于访问消息发送服务时,对该网络连接请求的校验可以包括对发送方和接收方是否具备好友关系的校验,也可以包括对消息内容是否合规的校验等等,且不同方面的校验可以由不同的监测服务器40来执行。
需要说明的是,监测服务器40在对接收到的建立连接指示中包括的安全向量集合进行校验时,实则是对该建立连接指示中包括的安全向量集合中的各个安全向量进行校验,当安全向量集合中的各个安全向量均校验通过,则说明该建立连接指示中包括的安全向量集合校验通过,当安全向量集合中存在至少一个安全向量校验未通过,则说明该建立连接指示中包括的安全向量集合校验未通过。另外,监测服务器40可以从接收到的安全向量集合的第1个证书开始,进行逐个依次校验。另外,监测服务器40对其接收到的安全向量集合的校验过程,与下文介绍的本地无线网络设备10对安全向量集合的校验过程相同或类似,具体可参见下文介绍说明,此处不再赘述。
步骤103,本地无线网络设备10对安全向量集合进行校验;响应于安全向量集合校验通过,对访问指示进行响应;其中,监测服务器40生成访问指示对应的安全向量集合,包括:对于多个监测服务器40中的目标监测服务器40,目标监测服务器40对接收到的建立连接指示进行校验,目标监测服务器40接收到的建立连接指示中包括:之前监测服务器40已生成的安全向量集合,以及访问指示的网络连接请求。
上级路由器30在获得多个监测服务器40生成的安全向量集合之后,向本地无线网络设备10发送访问指示和该安全向量集合。本地无线网络设备10先对该安全向量集合进行校验,本地无线网络设备10可以从安全向量集合的第1个证书开始,进行逐个依次校验,该过程可以包括如下几个步骤:
1、对于安全向量集合中的目标安全向量,响应于目标安全向量中包括的数字指纹与历史安全向量的数字指纹相匹配,根据目标安全向量中包括的目标监测服务器40的服务器标识,获取目标监测服务器40的第二加密规则;
2、采用目标监测服务器40的第二加密规则,对目标安全向量中包括的目标监测服务器40的签名结果进行校验;
3、响应于目标监测服务器40的签名结果验签通过,确定目标安全向量校验通过;
其中,安全向量集合校验通过是指多个安全向量均校验通过。
从安全向量集合的起始证书开始,逐个校验安全向量,根据安全向量中包括的监测服务器40的服务器标识,获取该监测服务器40的第二加密规则,然后采用该监测服务器40的第二加密规则对安全向量进行校验。可选地,验签过程可以是采用预定义的摘要算法,生成安全向量中的某些信息的摘要,此处的摘要算法和信息与签名过程相同,然后采用监测服务器40的第二加密规则对签名结果进行解密,得到一个明文的摘要。对比该明文的摘要和自己生成的摘要是否相同,如果相同则验签通过,如果不同则验签不通过。在验签通过的情况下,采用哈希算法计算本安全向量的数字指纹,并与下一个安全向量中包含的数字指纹进行匹配校验。重复上述过程,直至安全向量集合中的全部多个安全向量均校验通过,则确定安全向量集合校验通过。
另外,本地无线网络设备10可以采用如下方式获取监测服务器40的第二加密规则:
在一种可能的实施方式中,本地无线网络设备10从预设对应关系中,获取与目标监测服务器40的服务器标识相对应的第二加密规则,得到目标监测服务器40的第二加密规则;其中,预设对应关系包括监测服务器40的服务器标识和第二加密规则之间的对应关系。上述预设对应关系可以采用键值对(key-value)的形式维护。
在另一种可能的实施方式中,本地无线网络设备10从目标监测服务器40的服务器标识中,获取目标监测服务器40安全向量;基于目标监测服务器40安全向量,获取目标监测服务器40的第二加密规则;其中,目标监测服务器40安全向量以链状结构的形式记录在目标监测服务器40的服务器标识中。将监测服务器40的第二加密规则采用链状结构的形式,记录在监测服务器40的服务器标识中,一方面有助于提升第二加密规则信息的安全性,另一方面在监测服务器40更换公第一加密规则对时,仅需在生成安全向量时在监测服务器40的服务器标识中指明即可,不需要更新维护预设对应关系,更具灵活性。
步骤104,响应于目标监测服务器40接收到的建立连接指示校验通过,目标监测服务器40生成目标安全向量;其中,目标安全向量包括目标监测服务器40的服务器标识、目标监测服务器40的请求通过信息、目标安全向量的历史安全向量的数字指纹,以及目标监测服务器40的数字签名。
为了能够能加清楚的描述前述步骤,请结合参考图3,本地无线网络设备10包括多个桥接口,本地无线网络设备10与本地终端设备20和上级路由器30均通过桥接口通信连接,前述步骤103可以通过以下具体的实施方式实现。
子步骤103-1,本地无线网络设备10响应于上级路由器30发出的外网配置协议数据包,根据第一预设规则在本地无线网络设备10配置的Forward链上拦截外网配置协议数据包。
上级路由器30通过外网配置协议数据包为本地终端设备20配置外网IP地址。
子步骤103-2,本地无线网络设备10响应于本地终端设备20发出的内网配置协议数据包,根据第二预设规则在本地无线网络设备10配置的Prerouting链上拦截内网配置协议数据包。
上级路由器30通过内网配置协议数据包获取本地终端设备20的内网IP地址。
子步骤103-3,本地无线网络设备10获取本地终端设备20的访问指示,访问指示包括访问目的地址。
子步骤103-4,本地无线网络设备10在当访问目的地址与本地终端设备20预先配置的地址不匹配时,对访问目的地址进行网络地址转换。
子步骤103-5,本地无线网络设备10在当访问目的地址与本地终端设备20预先配置的地址匹配时,根据访问指示执行对应操作。
在本发明实施例中,将所有端口划分成单独的vlan,然后都统一绑定到一个桥接口br-lan上,将br-lan既做为LAN口又做为WAN口使用,即本地无线网络设备10可以配置多个桥接口。为了能够实现上述设置,需要解决现有技术中本地无线网络设备10本身有DHCP服务器,会通过br-lan桥接口向LAN侧接入的主机(即本地终端设备20)分配IP地址,WAN口接上级路由器30,如果上级路由器30也有DHCP服务器,则也是通过br-lan桥接口去获取WAN口的IP地址的问题。
可选的,拦截上级路由DHCP服务器通过br-lan接口将IP地址传给LAN侧主机,由上图可看出,DHCP数据包经过路由判断后,会走防火墙FORWARD链,因此我们只需在FORWARD链上将所有DHCP数据包拦截掉即可(路由本身br-lan口获取IP,会走向INPUT链,并不冲突),我们在路由里下的第一预设规则如下:
iptables -I FORWARD 1 -m physdev --physdev-is-bridged -p udp --dport67 -j DROP(此条规则拦截DHCP请求包)。
iptables -I FORWARD 1 -m physdev --physdev-is-bridged -p udp --sport67 -j DROP (此条规则拦截DHCP的响应包)。
在防火墙filter表的FORWARD链,则会出现相应规则,其次,拦截路由器LAN侧的DHCP服务器将IP分配给上级路由,同样根据防火墙的走向表,我们在PREROUTING链里拦截掉外网获取IP地址的DHCP数据包就可以,在路由里下的第二预设规则如下:
iptables -t mangle -I PREROUTING 1 -m physdev --physdev-in eth3 -pudp --dport 67 -j DROP。
(这里必须判断哪个口是接外网,我们假定eth3口接外网,则下的规则如上。关于判断哪个网口接外网,我们用的方法是,当WAN口获取到IP地址时,从第一个网口开始,在防火墙里屏蔽第一个网口的ICMP包,然后去PING上级网关,如果能PING得通,则接着同样的方法屏蔽下一个网口,直到其中一个网口无法PING通,则证明该网口接了外网线。)防火墙mangle表的PREROUTING链也会配置响应规则。
而内外到外网之间NAT转换,主要是防止LAN侧主机间互访时,也会被当成访问外网而做NAT地址伪装,所以我们在下MASQUERADE规则时,我们只需加一个判断条件,访问的目的地址不是LAN侧IP时,做地址转换即可:
iptables -A zone_wan_postrouting ! -d 192.168.71.0/24 -j MASQUERADE。
而在判断清楚LAN侧主机间互访的情况时,可以根据是否是在LAN侧主机间互访执行对应的操作。
通过上述步骤,解决了防止LAN侧主机获取到外网IP,并防止内网DHCP服务器,把IP地址分配到外网的问题,实现了基于无线网络设备多网口不分LAN-WAN智能盲插功能防火墙的信息配置的方案。
本发明实施例一种基于无线网络设备的网络安全配置系统,系统包括:上级路由器30、多个监测服务器40,以及本地无线网络设备10。
上级路由器30用于接收来自于本地终端设备20的访问指示,访问指示用于访问本地无线网络设备10;向多个监测服务器40发起建立连接指示,建立连接指示用于获取监测服务器40对应的安全向量。
监测服务器40用于生成访问指示对应的安全向量集合,安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器40生成。
本地无线网络设备10用于对安全向量集合进行校验;响应于安全向量集合校验通过,对访问指示进行响应;其中,监测服务器40生成访问指示对应的安全向量集合,包括:对于多个监测服务器40中的目标监测服务器40,目标监测服务器40对接收到的建立连接指示进行校验,目标监测服务器40接收到的建立连接指示中包括:之前监测服务器40已生成的安全向量集合,以及访问指示的网络连接请求;响应于目标监测服务器40接收到的建立连接指示校验通过,目标监测服务器40生成目标安全向量;其中,目标安全向量包括目标监测服务器40的服务器标识、目标监测服务器40的请求通过信息、目标安全向量的历史安全向量的数字指纹,以及目标监测服务器40的数字签名。
进一步地,目标监测服务器40具体用于:
创建目标安全向量;在目标安全向量中写入目标监测服务器40的服务器标识;在目标安全向量中写入目标监测服务器40的请求通过信息;采用哈希算法计算历史安全向量的数字指纹,并在目标安全向量中写入历史安全向量的数字指纹;采用目标监测服务器40的第一加密规则,对目标安全向量进行签名,并在目标安全向量中写入目标监测服务器40的签名结果。
进一步地,目标监测服务器40具体用于:
对目标监测服务器40接收到的建立连接指示中包括的安全向量集合进行校验;响应于建立连接指示中包括的安全向量集合校验通过,对访问指示的请求内容进行校验;响应于访问指示的请求内容校验通过,执行生成目标安全向量的步骤。
进一步地,本地无线网络设备10具体用于:
对于安全向量集合中的目标安全向量,响应于目标安全向量中包括的数字指纹与历史安全向量的数字指纹相匹配,根据目标安全向量中包括的目标监测服务器40的服务器标识,获取目标监测服务器40的第二加密规则;采用目标监测服务器40的第二加密规则,对目标安全向量中包括的目标监测服务器40的签名结果进行验签;响应于目标监测服务器40的签名结果验签通过,确定目标安全向量校验通过;其中,安全向量集合校验通过是指多个安全向量均校验通过。
进一步地,本地无线网络设备10具体用于:
从预设对应关系中,获取与目标监测服务器40的服务器标识相对应的第二加密规则,得到目标监测服务器40的第二加密规则;其中,预设对应关系包括监测服务器40的服务器标识和第二加密规则之间的对应关系。
进一步地,本地无线网络设备10具体用于:
从目标监测服务器40的服务器标识中,获取目标监测服务器40安全向量;基于目标监测服务器40安全向量,获取目标监测服务器40的第二加密规则;其中,目标监测服务器40安全向量以链状结构的形式记录在目标监测服务器40的服务器标识中。
进一步地,本地无线网络设备10具体用于:
响应于安全向量集合校验通过,合并多个监测服务器40的请求通过信息,确定本地终端设备20具备的权限;基于本地终端设备20具备的权限,对访问指示进行响应。
进一步地,系统还包括:管理服务器;
管理服务器用于:
管理服务器接收来自于本地终端设备20的登录请求,登录请求包括请求登录的用户帐号和密码;响应于用户帐号和密码验证通过,管理服务器生成本地终端设备20的证明文件,证明文件包括本地终端设备20登录的用户帐号信息和登录信息;管理服务器向本地终端设备20发送证明文件;其中,访问指示中携带证明文件。
进一步地,本地无线网络设备10包括多个桥接口,本地无线网络设备10与本地终端设备20和上级路由器30均通过桥接口通信连接,本地无线网络设备10具体用于:
本地无线网络设备10响应于上级路由器30发出的外网配置协议数据包,根据第一预设规则在本地无线网络设备10配置的Forward链上拦截外网配置协议数据包,上级路由器30通过外网配置协议数据包为本地终端设备20配置外网IP地址;本地无线网络设备10响应于本地终端设备20发出的内网配置协议数据包,根据第二预设规则在本地无线网络设备10配置的Prerouting链上拦截内网配置协议数据包,上级路由器30通过内网配置协议数据包获取本地终端设备20的内网IP地址;本地无线网络设备10获取本地终端设备20的访问指示,访问指示包括访问目的地址;本地无线网络设备10在当访问目的地址与本地终端设备20预先配置的地址不匹配时,对访问目的地址进行网络地址转换;本地无线网络设备10在当访问目的地址与本地终端设备20预先配置的地址匹配时,根据访问指示执行对应操作。
需要说明的是,前述基于无线网络设备的网络安全配置系统的实现原理可以参考前述基于无线网络设备的网络安全配置方法的实现原理,在此不再赘述。应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。
本发明实施例提供一种可读存储介质,可读存储介质包括计算机程序,计算机程序运行时控制可读存储介质所在计算机设备执行前述的基于无线网络设备的网络安全配置方法。
综上,本发明实施例提供的技术方案,通过上级路由器在接收到访问指示之后,向多个监测服务器发起建立连接指示,监测服务器生成该访问指示对应的安全向量集合,该安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器生成,后续由本地无线网络设备对安全向量集合进行校验,并在校验通过的情况下对访问指示进行响应;由于各个授权方分别独立生成各自的安全向量,本地无线网络设备在校验各个授权方的安全向量通过之后,才对请求进行响应,使得本发明实施例能够适用于授权方有多层级依赖关系,有效解决了多方验证权限需要隔离要求与多方安全向量完整性要求的矛盾,从根本上保证了网络安全配置的安全性。
出于说明目的,前面的描述是参考具体实施例而进行的。但是,上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导,众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用,从而使本领域技术人员最佳地利用本公开,并利用具有不同修改的各种实施例以适于预期的特定应用。
Claims (10)
1.一种基于无线网络设备的网络安全配置方法,其特征在于,应用于基于无线网络设备的网络安全配置系统,所述系统包括:上级路由器、多个监测服务器以及本地无线网络设备;
所述方法包括:
所述上级路由器接收来自于本地终端设备的访问指示,所述访问指示用于访问所述本地无线网络设备;向所述多个监测服务器发起建立连接指示,所述建立连接指示用于获取所述监测服务器对应的安全向量;
所述监测服务器生成所述访问指示对应的安全向量集合,所述安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器生成;
所述本地无线网络设备对所述安全向量集合进行校验;响应于所述安全向量集合校验通过,对所述访问指示进行响应;其中,所述监测服务器生成所述访问指示对应的安全向量集合,包括:对于所述多个监测服务器中的目标监测服务器,所述目标监测服务器对接收到的建立连接指示进行校验,所述目标监测服务器接收到的建立连接指示中包括:之前监测服务器已生成的安全向量集合,以及所述访问指示的网络连接请求;
响应于所述目标监测服务器接收到的建立连接指示校验通过,所述目标监测服务器生成目标安全向量;其中,所述目标安全向量包括所述目标监测服务器的服务器标识、所述目标监测服务器的请求通过信息、所述目标安全向量的历史安全向量的数字指纹,以及所述目标监测服务器的数字签名。
2.根据权利要求1所述的方法,其特征在于,所述目标监测服务器生成目标安全向量,包括:
创建所述目标安全向量;
在所述目标安全向量中写入所述目标监测服务器的服务器标识;
在所述目标安全向量中写入所述目标监测服务器的请求通过信息;
采用哈希算法计算所述历史安全向量的数字指纹,并在所述目标安全向量中写入所述历史安全向量的数字指纹;
采用所述目标监测服务器的第一加密规则,对所述目标安全向量进行签名,并在所述目标安全向量中写入所述目标监测服务器的签名结果。
3.根据权利要求1所述的方法,其特征在于,所述目标监测服务器对接收到的建立连接指示进行校验,包括:
对所述目标监测服务器接收到的建立连接指示中包括的安全向量集合进行校验;
响应于所述建立连接指示中包括的安全向量集合校验通过,对所述访问指示的请求内容进行校验;
响应于所述访问指示的请求内容校验通过,执行所述生成目标安全向量的步骤。
4.根据权利要求1所述的方法,其特征在于,所述本地无线网络设备对所述安全向量集合进行校验,包括:
对于所述安全向量集合中的目标安全向量,响应于所述目标安全向量中包括的数字指纹与历史安全向量的数字指纹相匹配,根据所述目标安全向量中包括的目标监测服务器的服务器标识,获取所述目标监测服务器的第二加密规则;
采用所述目标监测服务器的第二加密规则,对所述目标安全向量中包括的所述目标监测服务器的签名结果进行验签;
响应于所述目标监测服务器的签名结果验签通过,确定所述目标安全向量校验通过;其中,所述安全向量集合校验通过是指所述多个安全向量均校验通过。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标安全向量中包括的目标监测服务器的服务器标识,获取所述目标监测服务器的第二加密规则,包括:
从预设对应关系中,获取与所述目标监测服务器的服务器标识相对应的第二加密规则,得到所述目标监测服务器的第二加密规则;其中,所述预设对应关系包括所述监测服务器的服务器标识和第二加密规则之间的对应关系。
6.根据权利要求4所述的方法,其特征在于,所述根据所述目标安全向量中包括的目标监测服务器的服务器标识,获取所述目标监测服务器的第二加密规则,包括:
从所述目标监测服务器的服务器标识中,获取所述目标监测服务器安全向量;
基于所述目标监测服务器安全向量,获取所述目标监测服务器的第二加密规则;其中,所述目标监测服务器安全向量以链状结构的形式记录在所述目标监测服务器的服务器标识中。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述响应于所述安全向量集合校验通过,对所述访问指示进行响应,包括:
响应于所述安全向量集合校验通过,合并所述多个监测服务器的请求通过信息,确定所述本地终端设备具备的权限;
基于所述本地终端设备具备的权限,对所述访问指示进行响应。
8.根据权利要求1至6任一项所述的方法,其特征在于,所述系统还包括:管理服务器;
所述上级路由器接收来自于本地终端设备的访问指示之前,还包括:
所述管理服务器接收来自于所述本地终端设备的登录请求,所述登录请求包括请求登录的用户帐号和密码;
响应于所述用户帐号和密码验证通过,所述管理服务器生成所述本地终端设备的证明文件,所述证明文件包括所述本地终端设备登录的用户帐号信息和登录信息;
所述管理服务器向所述本地终端设备发送所述证明文件;其中,所述访问指示中携带所述证明文件。
9.根据权利要求1所述的方法,其特征在于,所述本地无线网络设备包括多个桥接口,所述本地无线网络设备与本地终端设备和上级路由器均通过所述桥接口通信连接,所述响应于所述安全向量集合校验通过,对所述访问指示进行响应,包括:
所述本地无线网络设备响应于所述上级路由器发出的外网配置协议数据包,根据第一预设规则在所述本地无线网络设备配置的Forward链上拦截所述外网配置协议数据包,所述上级路由器通过所述外网配置协议数据包为所述本地终端设备配置外网IP地址;
所述本地无线网络设备响应于所述本地终端设备发出的内网配置协议数据包,根据第二预设规则在所述本地无线网络设备配置的Prerouting链上拦截所述内网配置协议数据包,所述上级路由器通过所述内网配置协议数据包获取所述本地终端设备的内网IP地址;
所述本地无线网络设备获取所述本地终端设备的访问指示,所述访问指示包括访问目的地址;
所述本地无线网络设备在当所述访问目的地址与所述本地终端设备预先配置的地址不匹配时,对所述访问目的地址进行网络地址转换;
所述本地无线网络设备在当所述访问目的地址与所述本地终端设备预先配置的地址匹配时,根据所述访问指示执行对应操作。
10.一种基于无线网络设备的网络安全配置系统,其特征在于,所述系统包括:上级路由器、多个监测服务器,以及本地无线网络设备;
所述上级路由器用于接收来自于本地终端设备的访问指示,所述访问指示用于访问所述本地无线网络设备;向所述多个监测服务器发起建立连接指示,所述建立连接指示用于获取所述监测服务器对应的安全向量;
所述监测服务器用于生成所述访问指示对应的安全向量集合,所述安全向量集合包括以二叉树结构记录的多个安全向量,每个安全向量由一个监测服务器生成;
所述本地无线网络设备用于对所述安全向量集合进行校验;响应于所述安全向量集合校验通过,对所述访问指示进行响应;其中,所述监测服务器生成所述访问指示对应的安全向量集合,包括:对于所述多个监测服务器中的目标监测服务器,所述目标监测服务器对接收到的建立连接指示进行校验,所述目标监测服务器接收到的建立连接指示中包括:之前监测服务器已生成的安全向量集合,以及所述访问指示的网络连接请求;响应于所述目标监测服务器接收到的建立连接指示校验通过,所述目标监测服务器生成目标安全向量;其中,所述目标安全向量包括所述目标监测服务器的服务器标识、所述目标监测服务器的请求通过信息、所述目标安全向量的历史安全向量的数字指纹,以及所述目标监测服务器的数字签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110270051.6A CN112688968B (zh) | 2021-03-12 | 2021-03-12 | 一种基于无线网络设备的网络安全配置方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110270051.6A CN112688968B (zh) | 2021-03-12 | 2021-03-12 | 一种基于无线网络设备的网络安全配置方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112688968A CN112688968A (zh) | 2021-04-20 |
| CN112688968B true CN112688968B (zh) | 2021-06-11 |
Family
ID=75455518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110270051.6A Active CN112688968B (zh) | 2021-03-12 | 2021-03-12 | 一种基于无线网络设备的网络安全配置方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688968B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及系统 |
| CN111133427A (zh) * | 2017-07-27 | 2020-05-08 | 赛普拉斯半导体公司 | 生成和分析网络配置文件数据 |
| US10791091B1 (en) * | 2018-02-13 | 2020-09-29 | Architecture Technology Corporation | High assurance unified network switch |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10440043B2 (en) * | 2016-02-26 | 2019-10-08 | Cable Television Laboratories, Inc. | System and method for dynamic security protections of network connected devices |
| CN106685956B (zh) * | 2016-12-27 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 一种路由器的vpn网络连接方法及系统 |
| US10951645B2 (en) * | 2018-08-28 | 2021-03-16 | Marlabs Innovations Private Limited | System and method for prevention of threat |
| CN111163035A (zh) * | 2018-11-07 | 2020-05-15 | 中国电信股份有限公司 | 家庭网关远程连接的管理方法、装置和系统 |
| US10938788B2 (en) * | 2018-12-12 | 2021-03-02 | Vmware, Inc. | Static routes for policy-based VPN |
| CN112469055A (zh) * | 2020-11-23 | 2021-03-09 | 深圳数联天下智能科技有限公司 | 设备配网方法、相关设备和存储介质 |
-
2021
- 2021-03-12 CN CN202110270051.6A patent/CN112688968B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及系统 |
| CN111133427A (zh) * | 2017-07-27 | 2020-05-08 | 赛普拉斯半导体公司 | 生成和分析网络配置文件数据 |
| US10791091B1 (en) * | 2018-02-13 | 2020-09-29 | Architecture Technology Corporation | High assurance unified network switch |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112688968A (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170201382A1 (en) | Secure Endpoint Devices | |
| WO2019005426A1 (en) | INTRODUCTION OF INTERMEDIATE BOXES IN SECURE COMMUNICATIONS BETWEEN A CLIENT AND A SERVER | |
| US11799844B2 (en) | Secure communication network | |
| US10164958B2 (en) | Open access network secure authentication systems and methods | |
| US10397047B2 (en) | Apparatus, system, and method for secure remote configuration of network devices | |
| CN107113319A (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| CN113055176B (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
| JP4783340B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
| KR102278808B1 (ko) | Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법 | |
| CN114584386B (zh) | 全局多级加密网络通信方法 | |
| CN110892695A (zh) | 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品 | |
| CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
| Walsh et al. | Intra-cloud and inter-cloud authentication | |
| US11943213B2 (en) | Device and method for mediating configuration of authentication information | |
| US9900300B1 (en) | Protection against unauthorized cloning of electronic devices | |
| CN112688968B (zh) | 一种基于无线网络设备的网络安全配置方法及系统 | |
| US20050097322A1 (en) | Distributed authentication framework stack | |
| CN111628960B (zh) | 用于连接至专用网络上的网络服务的方法和装置 | |
| Babu et al. | A review on security issues and challenges of IoT | |
| US20230017382A1 (en) | Cryptographic binding of native application and external browser sessions | |
| CN111869249B (zh) | 针对中间人攻击的安全ble just works配对方法 | |
| Liu | Residential Network Security: Using Software-defined Networking to Inspect and Label Traffic | |
| Moldamurat et al. | Enhancing cryptographic protection, authentication, and authorization in cellular networks: a comprehensive research study. | |
| CN117319080A (zh) | 隔离保密通信的移动终端及通信方法 | |
| CN111869249A (zh) | 针对中间人攻击的安全ble just works配对方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |