CN113271302B - 身份认证方法、装置和电子设备 - Google Patents
身份认证方法、装置和电子设备 Download PDFInfo
- Publication number
- CN113271302B CN113271302B CN202110521344.7A CN202110521344A CN113271302B CN 113271302 B CN113271302 B CN 113271302B CN 202110521344 A CN202110521344 A CN 202110521344A CN 113271302 B CN113271302 B CN 113271302B
- Authority
- CN
- China
- Prior art keywords
- server
- authentication
- external network
- identity authentication
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
本发明公开了一种身份认证方法、装置和电子设备。该方法包括:接收外网主机设备的消息回复请求,消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复;发送认证请求至外网主机设备,以请求获取外网主机设备的身份认证信息;接收认证请求的响应消息,以获取外网主机设备的身份认证信息;基于预先存储的与外网主机设备对应的密码,计算外网主机设备的身份认证信息;对响应消息中的身份认证信息与本服务器计算得到的身份认证信息进行对比,若对比结果一致,则确定对外网主机设备认证通过,并发送外网主机设备回复的消息至内网设备。根据本发明实施例提供的方法,可以完善NAT对于外网发送数据包的主机进行身份认证的机制。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种身份认证方法、装置和电子设备。
背景技术
网络地址转换(Network Address Translation,NAT)是用于为互联网协议(Internet Protocol,IP)地址不足而提供的解决方法,并可以避免来自网络外部的攻击。该方法可以在内部网络(例如私有专用网)的私网IP地址连接到外部网的公网IP地址的路由器上安装NAT软件,将内部IP地址集中在该路由器设备上,通过网络地址转换隐藏内部IP地址,让任何离开内部网络的数据帧都只有该路由器的源地址,而不是发送消息的内部网络的实际源地址。
伴随着云计算等技术的发展,网络环境也越来越复杂,在复杂的网络环境中,对于需要完善NAT中对于外网数据包来源的认证机制则更为必要。
发明内容
为此,本发明提供一种身份认证方法、装置和电子设备,以解决现有技术中由于缺少对外网数据包的来源进行身份认证而导致的安全认证问题。
为了实现上述目的,本发明第一方面提供一种身份验证方法,应用于基于网络地址转换协议的服务器,包括:接收外网主机设备的消息回复请求,所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复;发送认证请求至所述外网主机设备,所述认证请求用于请求获取所述外网主机设备的身份认证信息;接收所述认证请求的响应消息,从所述响应消息中获取所述外网主机设备的身份认证信息;基于预先存储的与所述外网主机设备对应的密码,计算所述外网主机设备的身份认证信息;对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比,若对比结果一致,则确定对所述外网主机设备认证通过,并发送所述外网主机设备回复的消息至所述内网设备。
本发明第二方面提供一种身份认证,应用于外网主机设备,该方法包括:发送消息回复请求至基于网络地址转换协议的服务器,所述消息回复请求用于请求对接收到的内网主机设备通过所述服务器发送的消息进行回复;响应于所述服务器的认证请求,基于预先存储的与所述服务器设备对应的密码,计算本设备的身份认证信息;生成并发送所述认证请求的响应消息至所述服务器,以使所述服务器对本设备进行身份认证;其中,所述响应消息中包含本设备的身份认证信息,且本设备的身份认证信息在所述服务器中被用于:与所述服务器计算得到的本设备的身份认证信息进行对比,以使所述服务器根据对比结果确定是否将所述外网主机设备回复的消息发送至所述内网设备。
本发明第三方面提供一种身份认证装置,包括:应用于基于网络地址转换协议的服务器;该装置包括:回复消息接收模块,用于接收外网主机设备的消息回复请求,所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复;认证请求发送模块,用于发送认证请求至所述外网主机设备,所述认证请求用于请求获取所述外网主机设备的身份认证信息;响应消息接收模块,用于接收所述认证请求的响应消息,从所述响应消息中获取所述外网主机设备的身份认证信息;认证信息计算模块,用于基于预先存储的与所述外网主机设备对应的密码,计算所述外网主机设备的身份认证信息;认证信息比对模块,用于对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比,若对比结果一致,则确定对所述外网主机设备认证通过,并发送所述外网主机设备回复的消息至所述内网设备。
本发明第四方面提供一种身份认证装置,应用于外网设备,该装置包括:回复消息发送模块,用于发送消息回复请求至基于网络地址转换协议的服务器,所述消息回复请求用于请求对接收到的内网主机设备通过所述服务器发送的消息进行回复;认证请求响应模块,用于响应于所述服务器的认证请求,基于预先存储的与所述服务器设备对应的密码,计算本设备的身份认证信息;响应消息发送模块,用于生成并发送所述认证请求的响应消息至所述服务器,以使所述服务器对本设备进行身份认证;其中,所述响应消息中包含本设备的身份认证信息,且本设备的身份认证信息在所述服务器中被用于:与所述服务器计算得到的本设备的身份认证信息进行对比,以使所述服务器根据对比结果确定是否将所述外网主机设备回复的消息发送至所述内网设备。
本发明第五方面提供一种电子设备,包括:一个或多个处理器;存储器,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本申请实施例中的任意一种方法。
本发明具有如下优点:根据本发明实施例中的身份认证方法、装置和电子设备,在接收到外网主机发送至内网主机的消息时,通过对外网主机进行身份认证,完善NAT对于外网发送数据包的主机进行身份认证的机制。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1是示出根据本发明实施例的身份认证方法的流程图;
图2是示出根据本发明另一实施例的身份认证方法的流程图;
图3示出本申请一实施例的网络架构示意图;
图4示出了根据本发明一实施例提供的身份认证装置的结构示意图;
图5是示出了根据本发明另一实施例的身份认证装置的结构示意图;
图6是示出能够实现根据本发明实施例的身份认证方法和装置的计算设备的示例性硬件架构的结构图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本申请实施例中,NAT是位于一个内部网络和互联网之间的网管,或者是位于内部网络和另一个网络之间的网关,执行透明的路由选择和地址转换。在本公开实施例中,可以将位于内部网络或专用网络的主机设备称为是内网主机设备,将位于外部网络或另一个网络的主机设备称为是为外网主机设备。
通过将内部地址集中在一个设备上,NAT隐藏了内部地址,任何离开网络的数据帧都只有那台设备的源地址,从而隐藏了实际内部计算机的地址。由于这个原因,NAT很大程度上保障了安全利益。但是当外部主机响应内部主机而向内网发送数据包的时候,数据包通过NAT时,NAT并不对数据包进行扫描以发现恶意特征,也不会对外网中发送数据包的主机进行身份认证,在这种情况下很容易会发生攻击者利用外部主机发送恶意数据包进入内网,从而对内网安全构成威胁的情况。
目前针对NAT中不对外来数据包进行扫描以发现恶意特征的情况并没有实际解决方法,如果恶意攻击者利用外部主机发送恶意数据包,而NAT又不对发送主机进行身份认证,那么通过NAT进入内网的恶意数据包会对内网环境造成安全威胁。
本申请实施例提供一种身份认证方法、装置和电子设备,可以完善NAT对外部主机的身份认证,从而消除可能存在的由外部恶意主机发送的恶意数据包的安全风险。
为了更好的理解本发明,下面将结合附图,详细描述根据本发明实施例的身份认证方法,应注意,这些实施例并不是用来限制本发明公开的范围。
图1是示出根据本发明一实施例的身份认证方法的流程图。如图1所示,本发明实施例中的身份认证方法可以应用于基于网络地址转换协议的服务器,该方法可以包括以下步骤。
S110,接收外网主机设备的消息回复请求,消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复。
S120,发送认证请求至外网主机设备,认证请求用于请求获取外网主机设备的身份认证信息。
S130,接收认证请求的响应消息,从响应消息中获取外网主机设备的身份认证信息。
S140,基于预先存储的与外网主机设备对应的密码,计算外网主机设备的身份认证信息。
S150,对响应消息中的身份认证信息与本服务器计算得到的身份认证信息进行对比,若对比结果一致,则确定对外网主机设备认证通过,并发送外网主机设备回复的消息至内网设备。
根据本发明实施例的身份认证方法,当NAT服务器接收到外网主机响应内网主机,而向内网主机发送数据包时,在NAT服务器增加对外网主机进行身份认证的模块(Authentication Module),以确保发送数据包的来源是可以信赖的外网主机,保证内网仅接受其信赖的外网主机发送的消息,从而消除攻击者利用外网主机发送恶意数据包进入内网,给内网安全造成威胁的可能性。
在一些实施例中,在步骤S110之前,该方法还包括:S10,接收内网主机设备的消息发送请求,对消息发送请求中的请求发送消息的数据帧首部进行修改,以将消息携带的内部地址修改为基于网络地址转换协议的网络地址,得到经地址转换后的请求发送消息;S12,发送经地址转换后的请求发送消息至外网主机设备。
在该实施例中,NAT服务器接收到内网主机向外网主机发送的消息请求时,通过修改该消息请求中请求发送的数据帧的首部,将该数据帧中所携带的内部地址修改为NAT的IP地址后,发送修改IP地址后的数据帧至外网主机设备,从而保障内网主机设备的网络安全。
在一些实施例中,认证请求中包括本服务器生成的随机数据和预设的本服务器的认证用户名;认证请求的响应消息中包括:外网主机设备的认证用户名和身份认证信息;响应消息中的身份认证信息,包括外网主机设备在接收到认证请求后,根据随机数据和外网主机设备存储的与本服务器的认证用户名对应的密码,生成的哈希值。
在该实施例中,S140具体可以包括:S21,在本服务器的本地数据中查找预先存储的与外网主机设备的认证用户名对应的密码;S22,根据随机数据和查找到的与外网主机设备的认证用户名对应的密码,生成第二哈希值,作为本服务器计算得到的身份认证信息。
在该实施例中,NAS服务器可以根据接收到的认证用户名到本地数据库中查找对应的密码,根据查到的外网主机设备对应的密码,,再结合随机数据计算哈希值,得到外网服务器的身份认证信息。
在一些实施例中,若认证请求中还包括认证序列号,则认证请求的响应消息中包括:认证序列号、外网主机设备的认证用户名和外网主机设备的身份认证信息。
其中,响应消息中的身份认证信息,包括外网主机设备在接收到认证请求后,根据认证序列号、随机数据和外网主机设备存储的与本服务器的认证用户名对应的密码,生成的哈希值;
在该步骤中,S140具体可以包括:S31,在本服务器的本地数据中查找预先存储的与外网主机设备的认证用户名对应的密码;S32,根据认证序列号、随机数据和查找到的与外网主机设备的认证用户名对应的密码,生成第四哈希值,作为响应消息中的身份认证信息。
在该实施例中,在认证过程中,通过增加认证序列号可以避免重放攻击,从而增强网络安全;NAS服务器可以根据接收到的认证用户名到本地数据库中查找对应的密码,根据查到的外网主机设备对应的密码,再结合认证序列号和随机数据计算哈希值,得到外网服务器的身份认证信息。
通过本申请实施例的身份认证方法,在涉及云计算等技术发展下的复杂网络环境中,完善NAT对于外网发送数据包的主机进行身份认证的机制。
图2是示出根据本发明另一实施例的身份认证方法的流程图。如图2所示,本发明实施例中的身份认证方法可以应用于外网主机设备,该方法可以包括以下步骤。
S210,发送消息回复请求至基于网络地址转换协议的服务器,消息回复请求用于请求对接收到的内网主机设备通过服务器发送的消息进行回复。
S220,响应于服务器的认证请求,基于预先存储的与服务器设备对应的密码,计算本设备的身份认证信息。
S230,生成并发送认证请求的响应消息至服务器,以使服务器对本设备进行身份认证。
其中,响应消息中包含本设备的身份认证信息,且本设备的身份认证信息在服务器中被用于:与服务器计算得到的本设备的身份认证信息进行对比,以使服务器根据对比结果确定是否将外网主机设备回复的消息发送至内网设备。
根据本申请实施例的身份认证方法,当外网主机设备接收到内网主机通过NAT服务器发送的消息,会发送消息回复请求至NAT服务器,并接收到NAT服务器增加的对外网主机进行身份认证的请求,本设备可以根据该请求计算自身的身份认证信息,并发送包含该身份认证信息的响应消息至NAT服务器,以使NAT服务器验证本主机设备是可以信赖的外网主机,保证内网仅接受其信赖的外网主机发送的消息,从而消除攻击者利用外网主机发送恶意数据包进入内网,给内网安全造成威胁的可能性。
在一些实施例中,认证请求包括服务器生成的随机数据和服务器的认证用户名;认证请求的响应消息中包括:本设备的认证用户名和本设备的身份认证信息。
在该实施例中,步骤S220中基于预先存储的与服务器设备对应的密码,计算本设备的身份认证信息的步骤,具体可以包括:S41,在本设备的本地数据中查找预先存储的与服务器的认证用户名对应的密码;S42,根据随机数据和查找到的与服务器的认证用户名对应的密码,生成第一哈希值,作为本设备的身份认证信息。
在该实施例中,外网主机可以根据服务端的认证用户名到本地数据库中查找对应的密码,根据查到的服务端的认证用户名对应的密码,再结合随机数据计算哈希值,作为本设备的身份认证信息。
在一些实施例中,认证请求中包括还包括认证序列号;认证请求的响应消息中包括:本设备的认证用户名、认证序列号和本设备的身份认证信息。
在该实施例中,步骤S220中基于预先存储的与服务器设备对应的密码,计算本设备的身份认证信息,具体可以包括:S51,在本设备的本地数据中查找预先存储的与服务器的认证用户名对应的密码;S52,根据认证序列号、随机数据和查找到的与服务器的认证用户名对应的密码,生成第三哈希值,作为本设备的身份认证信息。
在该实施例中,通过增加认证序列号可以防止重放攻击,从而增强网络安全;外网主机可以根据服务端的认证用户名到本地数据库中查找对应的密码,根据查到的服务端的认证用户名对应的密码,再结合随机数据计算哈希值,作为本设备的身份认证信息。
根据本申请实施例的身份认证方法,在涉及云计算等技术发展下的复杂网络环境中,完善NAT对于外网发送数据包的主机进行身份认证的机制。
图3示出本申请一实施例的网络架构示意图。如图3所示,该架构可以包括NAT服务器310、内网主机320和外网主机330。外网主机例如可以是互联网上的计算机。NAT服务器310可以包括认证模块311。
下面结合图3,描述本申请实施例的身份认证步骤。在一些实施例中,该身份认证方法可以包括如下步骤。
S61,内网主机320向外部发送消息请求,消息到达NAT服务器310。
S62,NAT服务器310修改所接收消息的数据帧的首部,将数据帧中携带的内部地址修改为NAT的IP地址并发送至外网主机330。
S63,当外网主机330回复这条消息时,外网主机330向NAT服务器310内部的认证模块311发送消息回复请求。
在该步骤中,该消息回复请求是外网主机330对接收到的内网主机320发送的消息进行回复的请求。
S64,NAT服务器310的认证模块311向外网主机330发送认证请求消息。
该步骤中,认证请求消息中包括:此认证的序列号、随机数据、和认证模块的认证用户名,该步骤中的认证序列号是为了防止重放攻击。
S65,外网主机330接收认证请求消息,根据接收到的认证模块的认证用户名到自身的本地数据库中查找对应的密码,根据查到的对应的密码、认证模块发来的认证序列号和随机数据,计算出对应的哈希值;根据该哈希值生成认证请求消息的响应消息。
在该步骤中,计算哈希值的算法例如可以是单向散列算法,即(Message-DigestAlgorithm 5,MD5)算法或安全散列算法(Secure Hash Algorithm,SHA)等算法。
例如在该步骤中,可以根据MD5算法计算哈希值。外网主机330回复NAT服务器310的认证模块311的认证请求消息的响应消息中可以包括:此认证的序列号,哈希值和外网主机330的认证用户名。
S66,NAT服务器310内部的认证模块311处理外网主机330发送来的响应消息,根据处理结果确定对外网主机330的身份认证结果。
在该步骤中,认证模块311在NAT服务器的本地数据库中查找外网主机330对应的密码,根据查找到的外网主机330对应的密码、并结合接收到的响应消息中的认证序列号、先前保存的发送给外网主机的随机数据,根据MD5算法算出一个哈希值,将计算出的哈希值与外网主机发送过来的哈希值对比,如果结果一致,则认证通过,如果结果不一致,则认证不通过。
S67,若身份认证的结果为认证通过,则可以授权将认证通过的外网主机330发送的消息传送给内网主机。
在该步骤中,若身份认证的结果为认证不通过,则NAT服务器可以发送认证结果的通知消息至对应的主机设备。
根据本申请实施例的身份认证方法,在已有NAT功能的基础上,完善其对于外网主机数据包的安全认证机制,通过在NAT服务器内增加一个认证模块,确保外网中发送数据包的来源是可以信赖的外网主机,保证内网主机仅接受其信赖的外网主机发送的消息,从而消除攻击者利用外网主机发送恶意数据包进入内网,给内网安全造成威胁的可能性。
下面结合附图,详细介绍根据本发明实施例的身份认证装置。
图4示出了根据本发明一实施例提供的身份认证装置的结构示意图。如图4所示,身份认证装置可以包括如下模块。
回复消息接收模块410,用于接收外网主机设备的消息回复请求,消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复;
认证请求发送模块420,用于发送认证请求至外网主机设备,认证请求用于请求获取外网主机设备的身份认证信息;
响应消息接收模块430,还用于接收认证请求的响应消息,从响应消息中获取外网主机设备的身份认证信息;
认证信息计算模块440,用于基于预先存储的与外网主机设备对应的密码,计算外网主机设备的身份认证信息;
认证信息比对模块450,用于对响应消息中的身份认证信息与本服务器计算得到的身份认证信息进行对比,若对比结果一致,则确定对外网主机设备认证通过,并发送外网主机设备回复的消息至内网设备。
在一些实施例中,该服务器还可以包括:内网消息发送模块,用于在接收外网主机设备的消息回复请求之前,接收内网主机设备的消息发送请求,对消息发送请求中的请求发送消息的数据帧首部进行修改,以将消息携带的内部地址修改为基于网络地址转换协议的网络地址,得到经地址转换后的请求发送消息;内网消息发送模块,用于发送经地址转换后的请求发送消息至外网主机设备。
在一些实施例中,认证请求中包括本服务器生成的随机数据和预设的本服务器的认证用户名;认证请求的响应消息中包括:外网主机设备的认证用户名和身份认证信息;其中,响应消息中的身份认证信息,包括外网主机设备在接收到认证请求后,根据随机数据和外网主机设备存储的与本服务器的认证用户名对应的密码,生成的哈希值。
认证信息计算模块,具体用于:在本服务器的本地数据中查找预先存储的与外网主机设备的认证用户名对应的密码;根据随机数据和查找到的与外网主机设备的认证用户名对应的密码,生成第二哈希值,作为本服务器计算得到的身份认证信息。
在一些实施例中,若认证请求中还包括认证序列号,则认证请求的响应消息中包括:认证序列号、外网主机设备的认证用户名和外网主机设备的身份认证信息;其中,响应消息中的身份认证信息,包括外网主机设备在接收到认证请求后,根据认证序列号、随机数据和外网主机设备存储的与本服务器的认证用户名对应的密码,生成的哈希值。
认证信息计算模块,具体用于:在本服务器的本地数据中查找预先存储的与外网主机设备的认证用户名对应的密码;根据认证序列号、随机数据和查找到的与外网主机设备的认证用户名对应的密码,生成第四哈希值,作为响应消息中的身份认证信息。
在该实施例中,当NAT服务器接收到外网主机响应内网主机,而向内网主机发送数据包时,在NAT服务器增加对外网主机进行身份认证的模块(Authentication Module),以确保发送数据包的来源是可以信赖的外网主机,保证内网仅接受其信赖的外网主机发送的消息,从而消除攻击者利用外网主机发送恶意数据包进入内网,给内网安全造成威胁的可能性。
图5是示出了根据本发明另一实施例的身份认证装置的结构示意图,该身份认证装置可以应用于外网设备,该装置可以包括如下模。
回复消息发送模块510,用于发送消息回复请求至基于网络地址转换协议的服务器,消息回复请求用于请求对接收到的内网主机设备通过服务器发送的消息进行回复;
认证请求响应模块520,用于响应于服务器的认证请求,基于预先存储的与服务器设备对应的密码,计算本设备的身份认证信息;
响应消息发送模块530,用于生成并发送认证请求的响应消息至服务器,以使服务器对本设备进行身份认证;
其中,响应消息中包含本设备的身份认证信息,且本设备的身份认证信息在服务器中被用于:与服务器计算得到的本设备的身份认证信息进行对比,以使服务器根据对比结果确定是否将外网主机设备回复的消息发送至内网设备。
在一些实施例中,认证请求包括服务器生成的随机数据和服务器的认证用户名;认证请求的响应消息中包括:本设备的认证用户名和本设备的身份认证信息。
在该实施例中,认证请求响应模块520在用于基于预先存储的与服务器设备对应的密码,计算本设备的身份认证信息时,具体可以用于:在本设备的本地数据中查找预先存储的与服务器的认证用户名对应的密码;根据随机数据和查找到的与服务器的认证用户名对应的密码,生成第一哈希值,作为本设备的身份认证信息。
在一些实施例中,认证请求中包括还包括认证序列号;认证请求的响应消息中包括:本设备的认证用户名、认证序列号和本设备的身份认证信息;认证请求响应模块520在用于基于预先存储的与服务器设备对应的密码,计算本设备的身份认证信息时,具体可以用于:在本设备的本地数据中查找预先存储的与服务器的认证用户名对应的密码;根据认证序列号、随机数据和查找到的与服务器的认证用户名对应的密码,生成第三哈希值,作为本设备的身份认证信息。
根据该实施例的认证请求装置,当外网主机设备接收到内网主机通过NAT服务器发送的消息,会发送消息回复请求至NAT服务器,并接收到NAT服务器增加的对外网主机进行身份认证的请求,本设备可以根据该请求计算自身的身份认证信息,并发送包含该身份认证信息的响应消息至NAT服务器,以使NAT服务器验证本主机设备是可以信赖的外网主机,保证内网仅接受其信赖的外网主机发送的消息,从而消除攻击者利用外网主机发送恶意数据包进入内网,给内网安全造成威胁的可能性。
需要明确的是,本发明并不局限于上文实施例中所描述并在图中示出的特定配置和处理。为了描述的方便和简洁,这里省略了对已知方法的详细描述,并且上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图6是示出能够实现根据本发明实施例的身份认证方法和装置的计算设备的示例性硬件架构的结构图。
如图6所示,计算设备600包括输入设备601、输入接口602、中央处理器603、存储器604、输出接口605、以及输出设备606。其中,输入接口602、中央处理器603、存储器604、以及输出接口605通过总线610相互连接,输入设备601和输出设备606分别通过输入接口602和输出接口605与总线610连接,进而与计算设备600的其他组件连接。
具体地,输入设备601接收来自外部的输入信息,并通过输入接口602将输入信息传送到中央处理器603;中央处理器603基于存储器604中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器604中,然后通过输出接口605将输出信息传送到输出设备606;输出设备606将输出信息输出到计算设备600的外部供用户使用。
在一个实施例中,图6所示的计算设备600可以被实现为一种电子设备,该电子设备可以包括:存储器,被配置为存储程序;处理器,被配置为运行存储器中存储的程序,以执行上述实施例描述的身份认证方法。
根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以从网络上被下载和安装,和/或从可拆卸存储介质被安装。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令,当其在计算机上运行时,使得计算机执行上述各个实施例中描述的方法。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘)等。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种身份认证方法,其特征在于,应用于基于网络地址转换协议的服务器,所述基于网络地址转换协议的服务器用于执行透明的路由选择和地址转换,不支持扫描数据包的功能,所述方法包括:
接收外网主机设备的消息回复请求,所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复;
发送认证请求至所述外网主机设备,所述认证请求用于请求获取所述外网主机设备的身份认证信息;
接收所述认证请求的响应消息,从所述响应消息中获取所述外网主机设备的身份认证信息;
基于预先存储的与所述外网主机设备对应的密码,计算所述外网主机设备的身份认证信息;
对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比,若对比结果一致,则确定对所述外网主机设备认证通过,并发送所述外网主机设备回复的消息至所述内网主机设备。
2.根据权利要求1所述的方法,其特征在于,在所述接收外网主机设备的消息回复请求之前,所述方法还包括:
接收内网主机设备的消息发送请求,对所述消息发送请求中的请求发送消息的数据帧首部进行修改,以将所述消息携带的内部地址修改为基于网络地址转换协议的网络地址,得到经地址转换后的请求发送消息;
发送所述经地址转换后的请求发送消息至所述外网主机设备。
3.根据权利要求1所述的方法,其特征在于,
所述认证请求中包括本服务器生成的随机数据和预设的本服务器的认证用户名;所述认证请求的响应消息中包括:所述外网主机设备的认证用户名和身份认证信息;其中,
所述响应消息中的身份认证信息,包括所述外网主机设备在接收到所述认证请求后,根据所述随机数据和所述外网主机设备存储的与本服务器的认证用户名对应的密码,生成的哈希值;
所述基于预先存储的与所述外网主机设备对应的密码,计算所述外网主机设备的身份认证信息,包括:
在本服务器的本地数据中查找预先存储的与所述外网主机设备的认证用户名对应的密码;
根据所述随机数据和查找到的与所述外网主机设备的认证用户名对应的密码,生成第二哈希值,作为本服务器计算得到的所述身份认证信息。
4.根据权利要求3所述的方法,其特征在于,
若所述认证请求中还包括认证序列号,则所述认证请求的响应消息中包括:所述认证序列号、所述外网主机设备的认证用户名和所述外网主机设备的身份认证信息;其中,
所述响应消息中的身份认证信息,包括所述外网主机设备在接收到所述认证请求后,根据所述认证序列号、所述随机数据和所述外网主机设备存储的与本服务器的认证用户名对应的密码,生成的哈希值;
所述基于预先存储的与所述外网主机设备对应的密码,计算所述外网主机设备的身份认证信息,包括:
在本服务器的本地数据中查找预先存储的与所述外网主机设备的认证用户名对应的密码;
根据所述认证序列号、所述随机数据和查找到的与所述外网主机设备的认证用户名对应的密码,生成第四哈希值,作为本服务器计算得到的所述身份认证信息。
5.一种身份认证方法,其特征在于,应用于外网主机设备,所述方法包括:
发送消息回复请求至基于网络地址转换协议的服务器,所述消息回复请求用于请求对接收到的内网主机设备通过所述服务器发送的消息进行回复,所述基于网络地址转换协议的服务器用于执行透明的路由选择和地址转换,不支持扫描数据包的功能;
响应于所述服务器的认证请求,基于预先存储的与所述服务器设备对应的密码,计算本设备的身份认证信息;
生成并发送所述认证请求的响应消息至所述服务器,以使所述服务器对本设备进行身份认证;
其中,所述响应消息中包含本设备的身份认证信息,且本设备的身份认证信息在所述服务器中被用于:与所述服务器计算得到的本设备的身份认证信息进行对比,以使所述服务器根据对比结果确定是否将所述外网主机设备回复的消息发送至所述内网主机设备。
6.根据权利要求5所述的方法,其特征在于,所述认证请求包括所述服务器生成的随机数据和所述服务器的认证用户名;所述认证请求的响应消息中包括:本设备的认证用户名和本设备的身份认证信息;
所述基于预先存储的与所述服务器设备对应的密码,计算本设备的身份认证信息,包括:
在本设备的本地数据中查找预先存储的与所述服务器的认证用户名对应的密码;
根据所述随机数据和查找到的与所述服务器的认证用户名对应的密码,生成第一哈希值,作为本设备的身份认证信息。
7.根据权利要求6所述的方法,其特征在于,所述认证请求中包括还包括认证序列号;所述认证请求的响应消息中包括:本设备的认证用户名、认证序列号和本设备的身份认证信息;
所述基于预先存储的与所述服务器设备对应的密码,计算本设备的身份认证信息,包括:
在本设备的本地数据中查找预先存储的与所述服务器的认证用户名对应的密码;
根据所述认证序列号、所述随机数据和查找到的与所述服务器的认证用户名对应的密码,生成第三哈希值,作为本设备的身份认证信息。
8.一种身份认证装置,其特征在于,应用于基于网络地址转换协议的服务器,该装置包括:
回复消息接收模块,用于接收外网主机设备的消息回复请求,所述消息回复请求用于请求对接收到的内网主机设备通过本服务器发送的消息进行回复;
认证请求发送模块,用于发送认证请求至所述外网主机设备,所述认证请求用于请求获取所述外网主机设备的身份认证信息;
响应消息接收模块,用于接收所述认证请求的响应消息,从所述响应消息中获取所述外网主机设备的身份认证信息;
认证信息计算模块,用于基于预先存储的与所述外网主机设备对应的密码,计算所述外网主机设备的身份认证信息;
认证信息比对模块,用于对所述响应消息中的身份认证信息与本服务器计算得到的所述身份认证信息进行对比,若对比结果一致,则确定对所述外网主机设备认证通过,并发送所述外网主机设备回复的消息至所述内网主机设备。
9.一种身份认证装置,其特征在于,应用于外网主机设备,该装置包括:
回复消息发送模块,用于发送消息回复请求至基于网络地址转换协议的服务器,所述消息回复请求用于请求对接收到的内网主机设备通过所述服务器发送的消息进行回复;
认证请求响应模块,用于响应于所述服务器的认证请求,基于预先存储的与所述服务器设备对应的密码,计算本设备的身份认证信息;
响应消息发送模块,用于生成并发送所述认证请求的响应消息至所述服务器,以使所述服务器对本设备进行身份认证;
其中,所述响应消息中包含本设备的身份认证信息,且本设备的身份认证信息在所述服务器中被用于:与所述服务器计算得到的本设备的身份认证信息进行对比,以使所述服务器根据对比结果确定是否将所述外网主机设备回复的消息发送至所述内网主机设备。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现权利要求1-4中任一项或权利要求5-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110521344.7A CN113271302B (zh) | 2021-05-13 | 2021-05-13 | 身份认证方法、装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110521344.7A CN113271302B (zh) | 2021-05-13 | 2021-05-13 | 身份认证方法、装置和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113271302A CN113271302A (zh) | 2021-08-17 |
CN113271302B true CN113271302B (zh) | 2023-04-07 |
Family
ID=77230610
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110521344.7A Active CN113271302B (zh) | 2021-05-13 | 2021-05-13 | 身份认证方法、装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113271302B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116032879A (zh) * | 2022-12-30 | 2023-04-28 | 中国联合网络通信集团有限公司 | 内网设备与外网设备的互访方法、路由设备及服务器 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201194396Y (zh) * | 2008-05-08 | 2009-02-11 | 天津市国瑞数码安全系统有限公司 | 基于透明代理网关的安全网关平台 |
CN106209815A (zh) * | 2016-07-04 | 2016-12-07 | 安徽天达网络科技有限公司 | 一种多网络连接认证方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7305481B2 (en) * | 2003-01-07 | 2007-12-04 | Hexago Inc. | Connecting IPv6 devices through IPv4 network and network address translator (NAT) using tunnel setup protocol |
-
2021
- 2021-05-13 CN CN202110521344.7A patent/CN113271302B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201194396Y (zh) * | 2008-05-08 | 2009-02-11 | 天津市国瑞数码安全系统有限公司 | 基于透明代理网关的安全网关平台 |
CN106209815A (zh) * | 2016-07-04 | 2016-12-07 | 安徽天达网络科技有限公司 | 一种多网络连接认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113271302A (zh) | 2021-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10785037B2 (en) | Managing secure content in a content delivery network | |
US10721320B2 (en) | Redirection method, apparatus, and system | |
CN109309657B (zh) | 未授权访问点探测系统及方法、用于其的用户终端及计算机程序 | |
US20220045992A1 (en) | Concealing internal applications that are accessed over a network | |
JP6494149B2 (ja) | 認可処理方法およびデバイス | |
JP6349579B2 (ja) | 条件付きログインプロモーション | |
WO2017016252A1 (zh) | 令牌生成并认证的方法及认证服务器 | |
EP3226506A1 (en) | Authorization processing method, device and system | |
KR20160062085A (ko) | 비공개 데이터를 보호하는 보안 프록시 | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN113381979B (zh) | 一种访问请求代理方法及代理服务器 | |
CN112261172B (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
CN113271302B (zh) | 身份认证方法、装置和电子设备 | |
CN108055299B (zh) | Portal页面推送方法、网络接入服务器及Portal认证系统 | |
US11296878B2 (en) | Private key updating | |
US20200137044A1 (en) | System, server and method | |
CN112202805A (zh) | 用于可信网络连接的方法及相应装置、计算机设备和介质 | |
US9565210B2 (en) | Appliance for processing a session in network communications | |
CN112929388A (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
US10623449B2 (en) | Communication mediation system, communication mediation device, communication mediation method, and communication mediation program | |
WO2024046157A1 (zh) | 云桌面接入方法、电子设备、计算机可读介质 | |
US20220278846A1 (en) | Systems and methods for verifying or ensuring communication paths | |
CN114363083B (zh) | 智能网关的安全防范方法、装置、设备 | |
US11915077B2 (en) | URL validation and redirection for scannable codes | |
US11799910B2 (en) | Network connection management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |