CN114666129B - 网络安全认证方法、系统、计算机设备、存储介质 - Google Patents

网络安全认证方法、系统、计算机设备、存储介质 Download PDF

Info

Publication number
CN114666129B
CN114666129B CN202210287026.3A CN202210287026A CN114666129B CN 114666129 B CN114666129 B CN 114666129B CN 202210287026 A CN202210287026 A CN 202210287026A CN 114666129 B CN114666129 B CN 114666129B
Authority
CN
China
Prior art keywords
network
terminal
network terminal
authentication
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210287026.3A
Other languages
English (en)
Other versions
CN114666129A (zh
Inventor
车向北
李曼
康文倩
欧阳宇宏
黄颖祺
曾诗钦
白帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Bureau Co Ltd
Original Assignee
Shenzhen Power Supply Bureau Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Bureau Co Ltd filed Critical Shenzhen Power Supply Bureau Co Ltd
Priority to CN202210287026.3A priority Critical patent/CN114666129B/zh
Publication of CN114666129A publication Critical patent/CN114666129A/zh
Application granted granted Critical
Publication of CN114666129B publication Critical patent/CN114666129B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种网络安全认证方法、系统、计算机设备、存储介质和计算机程序产品。所述方法包括:响应于用户终端的登录操作,确定与用户终端配对的网络终端,所述网络终端用于接收用户终端发送的用户信息,并根据用户信息生成第一认证信息;接收网络终端发送的第一认证信息;将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果;将认证结果反馈至网络终端,以使网络终端根据认证结果控制用户终端执行后续操作。采用本方法能够实时响应用户终端的登录操作,接收根据用户信息生成的第一认证信息,根据第一认证信息与已存储的第二认证信息生成认证结果,以提高网络安全认证方法的准确率和安全性。

Description

网络安全认证方法、系统、计算机设备、存储介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络安全认证方法、系统、计算机设备、存储介质和计算机程序产品。
背景技术
网络安全通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机网络的根本目的在于资源共享,而计算机通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。
传统技术中,通过采用防护墙或口令认证等方式进行网络安全认证。然而采用传统技术中的网络安全认证方法时,由于防护墙、口令认证等方式是一种静态的防御系统,容易被黑客攻击,非法入侵主机窃取信息,从而导致网络安全认证方法安全性低。
发明内容
基于此,有必要针对上述技术问题,提供一种安全性高的网络安全认证方法、系统、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种网络安全认证方法。所述方法包括:
响应于用户终端的登录操作,确定与所述用户终端配对的网络终端,所述网络终端用于接收所述用户终端发送的用户信息,并根据所述用户信息生成第一认证信息;
接收所述网络终端发送的所述第一认证信息;
将所述第一认证信息与已存储的第二认证信息进行匹配,生成认证结果;
将所述认证结果反馈至所述网络终端,以使所述网络终端根据所述认证结果控制所述用户终端执行后续操作。
在其中一个实施例中,所述响应于用户终端的登录操作,确定与所述用户终端配对的网络终端,包括:
响应于所述用户终端的所述登录操作,获取与所述用户终端匹配的初始网络终端;
采集与所述初始网络终端对应的网络安全数据;
当对所述网络安全数据进行检测,判断所述初始网络终端存在异常情况时,生成网络安全策略,根据所述网络安全策略对所述初始网络终端进行安全配置,将安全配置后的所述初始网络终端作为所述网络终端。
在其中一个实施例中,在所述当对所述网络安全数据进行检测,判断所述初始网络终端存在异常情况之前,还包括:
对所述网络安全数据进行分类,确定所述网络安全数据对应的类别;
采用与所述类别对应的异常条件对所述网络安全数据进行检测。
在其中一个实施例中,所述采集与所述初始网络终端对应的网络安全数据,包括:
采集与所述初始网络终端对应的网络包;
根据预设通信协议对所述网络包进行解析,得到所述网络安全数据;
所述对所述网络安全数据进行分类,确定所述网络安全数据对应的类别,包括:
根据所述网络安全数据对应的通信协议,确定所述网络安全数据对应的所述类别。
在其中一个实施例中,所述用户信息用于指示所述网络终端根据所述用户信息以及物理地址,生成第一认证信息。
在其中一个实施例中,在所述将所述第一认证信息与已存储的第二认证信息进行匹配,生成认证结果之前,还包括:
对所述网络终端的网络状态进行检测,确定所述网络状态为安全状态。
在其中一个实施例中,所述登录操作是所述用户终端在判断当前登录操作为非首次登录时发送的。
第二方面,本申请还提供了一种网络安全认证系统。所述系统包括:
网络优化模块,用于响应于用户终端的登录操作,确定与所述用户终端配对的网络终端,所述网络终端用于接收所述用户终端发送的用户信息,并根据所述用户信息生成第一认证信息;
网络安全匹配模块,用于接收所述网络终端发送的所述第一认证信息;
认证模块,用于将所述第一认证信息与已存储的第二认证信息进行匹配,生成认证结果;
认证结果反馈模块,用于将所述认证结果反馈至所述网络终端,以使所述网络终端根据所述认证结果控制所述用户终端执行后续操作。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面任一项实施例所述的网络安全认证方法。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面任一项实施例所述的网络安全认证方法。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面任一项实施例所述的网络安全认证方法。
上述网络安全认证方法、系统、计算机设备、存储介质和计算机程序产品,通过响应于用户终端的登录操作,确定与用户终端配对的网络终端,网络终端用于接收用户终端发送的用户信息,并根据用户信息生成第一认证信息,能够实时响应用户终端的登录操作,为用户终端匹配网络终端,指示与用户终端配对的网络终端接收用户终端发送的信息,并根据用户终端发送的信息生成第一认证信息,以提高网络安全认证的安全性;通过接收网络终端发送的第一认证信息,将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果,将认证结果反馈至网络终端,以使网络终端根据认证结果控制用户终端执行后续操作,能够根据网络终端发送的第一认证信息与服务器中已存储的第二认证信息之间的匹配结果,生成用户终端此次登录操作的认证结果,以提高网络安全认证方法的准确率,并且能够避免服务器中未存储相应认证信息的用户非法登录,进一步提高网络安全认证的安全性。
附图说明
图1为一个实施例中网络安全认证方法的应用环境图;
图2为一个实施例中网络安全认证方法的流程示意图;
图3为一个实施例中网络终端确定步骤的流程示意图;
图4为一个实施例中网络安全数据类别确定步骤的流程示意图;
图5为另一个实施例中网络安全认证方法的流程示意图;
图6为一个实施例中网络安全认证系统的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的网络安全认证方法,可以应用于如图1所示的应用环境中。其中,用户终端102通过网络终端104与服务器106进行通信。数据存储系统可以存储服务器106需要处理的数据。数据存储系统可以集成在服务器106上,也可以放在云上或其他网络服务器上。服务器106响应于用户终端102的登录操作,确定与用户终端102配对的网络终端104,网络终端104用于接收用户终端发送的用户信息,并根据用户信息生成第一认证信息。服务器106接收网络终端104发送的第一认证信息,从数据存储系统中获取已存储的第二认证信息,将第一认证信息与第二认证信息进行匹配,生成认证结果,将认证结果反馈至网络终端104,以使网络终端104根据认证结果控制用户终端102执行后续操作。其中,用户终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。网络终端104可以但不限于是网络适配器、网络收发器、路由器、网关和交换机等设备中的至少一种。服务器106可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种网络安全认证方法,以该方法应用于图1中的服务器106为例进行说明,包括以下步骤:
步骤S202,响应于用户终端的登录操作,确定与用户终端配对的网络终端。
其中,网络终端可以用于接收用户终端发送的用户信息,并根据用户信息生成第一认证信息。
用户信息可以包括但不仅限于用户名、指纹或人脸识别等信息中的至少一种。
具体地,服务器响应于用户终端的登录操作,查询可配对的网络终端。建立网络终端与服务器之间的第一通信连接,以及网络终端与用户终端之间的第二通信连接,指示网络终端通过第二通信连接接收用户终端发送的用户信息,并根据用户信息生成第一认证信息,并通过第一通信连接将第一认证信息发送至服务器。其中,第一认证信息可以是采用网络终端的IP地址(Internet Protocol Address,互联网协议地址)对用户信息进行加密生成的,也可以是将用户终端的MAC地址(Media Access Control,物理地址)和用户信息组装生成的。
步骤S204,接收网络终端发送的第一认证信息。
具体地,服务器中存储有多个用户对应的认证信息。通过第一通信连接接收网络终端发送的第一认证信息。按照第一认证信息中的用户信息从已存储的认证信息中确定与第一认证信息对应的第二认证信息。
步骤S206,将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果。
具体地,服务器将第一认证信息与第二认证信息进行字符串匹配,根据匹配结果生成针对第一认证信息的认证结果。当确定第一认证信息与第二认证信息匹配成功时,生成通过的认证结果;当确定第一认证信息与第二认证信息匹配失败时,生成失败的认证结果。
步骤S208,将认证结果反馈至网络终端。
具体地,服务器通过第一通信连接将认证结果反馈至网络终端,指示网络终端根据认证结果控制用户终端执行后续操作。当网络终端接收到的认证结果为通过时,从服务器中获取与登录操作对应的登录数据,将登录数据发送至用户终端,指示用户终端向用户显示登录数据;当网络终端接收到的认证结果为失败时,指示用户终端向用户显示重新进行网络安全认证的提示信息。
上述网络安全认证方法中,通过响应于用户终端的登录操作,确定与用户终端配对的网络终端,网络终端用于接收用户终端发送的用户信息,并根据用户信息生成第一认证信息,能够实时响应用户终端的登录操作,为用户终端匹配网络终端,指示与用户终端配对的网络终端接收用户终端发送的信息,并根据用户终端发送的信息生成第一认证信息,以提高网络安全认证的安全性;通过接收网络终端发送的第一认证信息,将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果,将认证结果反馈至网络终端,以使网络终端根据认证结果控制用户终端执行后续操作,能够根据网络终端发送的第一认证信息与服务器中已存储的第二认证信息之间的匹配结果,生成用户终端此次登录操作的认证结果,以提高网络安全认证方法的准确率,并且能够避免服务器中未存储相应认证信息的用户非法登录,进一步提高网络安全认证的安全性。
在一个实施例中,如图3所示,步骤S202,响应于用户终端的登录操作,确定与用户终端配对的网络终端,包括:
步骤S302,响应于用户终端的登录操作,获取与用户终端匹配的初始网络终端。
步骤S304,采集与初始网络终端对应的网络安全数据。
其中,网络安全数据可以用于表征通信网络的安全性。
具体地,服务器响应于用户终端的登录操作,获取与用户终端匹配的初始网络终端,建立用户终端与初始网络终端之间的第三通信连接。对第三通信连接中传输的网络数据进行检测,采集与初始网络终端对应的网络安全数据。
步骤S306,对网络安全数据进行检测,判断初始网络终端存在异常情况,生成网络安全策略,根据网络安全策略对初始网络终端进行安全配置。
具体地,服务器中预先存储了异常条件。采用异常条件对网络安全数据进行检测,判断初始网络终端是否存在异常情况。当服务器确定初始网络终端存在异常情况时,根据初始网络终端的异常情况,生成对应的网络安全策略,采用网络安全策略对初始网络终端进行安全配置,将安全配置后的初始网络终端作为网络终端。一个示例中,网络安全策略可以包括但不仅限于:更换初始网络终端、更换与初始网络终端连接的局域网、制定数据通信的加密协议等策略中的任一种或至少一种。
一个示例中,当服务器确定初始网络终端不存在异常情况时,将此时的初始网络终端作为网络终端。另一个示例中,异常情况可以但不仅限于是登录超时、丢包、传输延迟、病毒攻击等情况中的任一种或至少一种。
本实施例中,通过采集与初始网络终端对应的网络安全数据,对网络安全数据进行检测,判断初始网络终端是否存在异常情况,在确定存在异常情况时,生成网络安全策略,并采用网络安全策略对初始网络终端进行安全配置,能够实时检测网络终端的安全性,避免用户终端的信息通过存在异常情况的网络终端进行传输,以提高网络安全认证方法的安全性。此外,采用本实施例中提供的网络安全认证方法能够无需人工参与网络安全策略的配置,免去了人工配置的复杂度,提高了网络安全配置的效率,实现了安全策略的智能化配置。
在一个实施例中,在步骤S306,对网络安全数据进行检测,判断初始网络终端存在异常情况,生成网络安全策略,根据网络安全策略对初始网络终端进行安全配置之前,还包括:对网络安全数据进行分类,确定网络安全数据对应的类别,采用与类别对应的异常条件对网络安全数据进行检测。
具体地,服务器中存储有分类规则,以及与类别对应的异常条件。采用分类规则对网络安全数据进行分类,确定网络安全数据对应的类别。获取与网络安全数据的类别对应的目标异常条件,采用与类别对应的目标异常条件对网络安全数据进行检测。其中,分类规则可以是按采集时间进行分类,将预设时间间隔内采集到的若干网络安全数据作为一类,设置与每个时间间隔对应的异常条件,例如与时间间隔A对应的异常条件为:当数据发送的次数超过第一阈值时,确定存在多次请求的异常情况,与时间间隔B对应的异常条件为:当数据接收的次数低于第二阈值时,确定存在丢包的异常情况;也可以是根据通信协议进行分类,将报文格式符合通信协议的若干网络安全数据作为一类,设置与每个通信协议对应的异常条件,例如与数据链路层的通信协议对应的异常条件为:对用户终端发送的第一数据和网络终端接收到的第二数据进行比对,确定第一数据和第二数据不匹配,确定存在数据传输错误的异常情况。
本实施例中,通过对网络安全数据进行分类,采用与网络安全数据的类别对应的异常条件对网络安全数据进行检测,能够提高网络安全认证方法的效率。
在一个实施例中,如图4所示,步骤S304,采集与初始网络终端对应的网络安全数据,包括:
步骤S402,采集与初始网络终端对应的网络包。
步骤S404,根据预设通信协议对网络包进行解析,得到网络安全数据。
步骤S406,根据网络安全数据对应的通信协议,确定网络安全数据对应的类别。
其中,通信协议可以但不仅限于包括TCP协议(Transmission Control Protocol传输控制协议)、DNS协议(Domain Name System域名解析协议)、IP协议(InternetProtocol网络之间互连的协议)和ARP协议(Address Resolution Protocol地址解析协议)等协议中的任一种或多种。
具体地,服务器中预先存储有预设通信协议。对初始网络终端以及用户终端之间的第三通信连接进行检测,采集初始网络终端通过第三通信连接发送以及接收的网络包。采用通信协议对网络包进行解析,得到与每个通信协议对应的网络安全数据。根据网络安全数据对应的通信协议对网络安全数据进行分类,将通信协议对应在网络模型中的位置作为网络安全数据对应的类别。一个示例中,网络模型可以包括应用层、物理层、数据链路层、网络层、传输层、应用层。当网络安全数据对应的通信协议为TCP协议时,确定与网络安全数据对应的类别为传输层数据。当网络安全数据对应的通信协议为ARP协议时,确定与网络安全数据对应的类别为网络层数据。一个示例中,网络安全数据可以是根据对网络包进行协议解析后得到的包头数据和载荷数据生成的。服务器对包头数据和载荷数据的攻击特性进行检测,以判断初始网络终端是否存在异常情况。
本实施例中,通过预设通信协议对网络包进行解析得到网络安全数据,根据网络安全数据对应的通信协议,确定网络安全数据对应的类别,能够进一步提升对通信网络的检测精度,以提升网络安全认证方式的安全性。
在一个实施例中,用户信息用于指示网络终端根据用户信息以及物理地址,生成第一认证信息。
其中,物理地址可以但不仅限于用户终端的物理地址和网络终端的物理地址中的任一种或多种。
一个示例中,第一认证信息中包括络终端的物理地址。服务器可以将第一认证信息中的用户信息以及网络终端的物理地址与已存储的第二认证信息中的用户信息和网络终端的物理地址进行匹配,生成认证结果。
本实施例中,通过根据用户信息以及物理地址,生成第一认证信息,能够避免存在终端被伪造的情况,从而提高网络安全认证方法的安全性。
在一个实施例中,在步骤S206,将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果之前,还包括:对网络终端的网络状态进行检测,确定网络状态为安全状态。
具体地,服务器存储有异常状态条件。采用异常状态条件对网络终端的网络状态进行检测。当确定网络终端的网络状态不符合异常状态条件时,确定网络状态为安全状态;当确定网络终端的网络状态符合异常状态条件时,指示网络终端向用户终端发送网络状态异常信息,以使得用户终端向用户显示网络状态存在异常。其中,异常状态条件可以但不仅限于包括,病毒攻击、主页篡改、非法入侵等条件中的任一种或多种。一个示例中,当服务器确定网络状态存在异常时,生成异常记录并存储。另一个示例中,服务器对网络状态进行检测的方式可以包括:基于模式匹配的入侵检测方式或基于异常发现的入侵检测方式中的任一种或多种。
本实施例中,通过对网络终端的网络状态进行检测,确定网络状态为安全状态,再对第一认证信息与已存储的第二认证信息进行匹配,能够对防火墙或防病毒软件进行有效补充,进一步提高网络安全认证方法的安全性。
在一个实施例中,用户信息是用户终端在判断当前登录操作为非首次登录时发送的。
具体地,用户终端中部署有储存模块,储存模块中存储有合法用户的登录记录。响应于登录操作,接收用户输入的用户信息,将用户信息与已存储的合法用户的登录记录进行比对,确定用户信息与已存储的合法用户的登录记录匹配,生成当前登录操作为非首次登录的判断结果,将用户信息发送至网络终端。一个示例中,当用户终端确定用户信息与已存储的合法用户的登录记录不匹配时,生成当前登录操作为首次登录的判断结果。采用合法用户的判定条件对用户信息进行字符串比对,当确定用户信息符合判定条件时,获取与当前用户匹配的安全认证方式,提示用户通过安全认证方式(例如短信验证码、密码、人脸识别等方式)进行登录认证,并将此次登录操作存储至储存模块。用户终端接收用户通过安全认证方式发送的登录认证信息,当确定登录认证信息为通过时,将用户信息发送至网络终端。其中,用户终端每隔预设有效期限对储存模块中存储的登录记录进行更新,将登录时间超过有效期限的登录记录删除。
本实施例中,通过用户终端在判断当前登录操作为非首次登录时向网络终端发送用户信息,能够进一步提高网络安全认证方法的安全性。
在一个实施例中,如图5所示,提供了一种网络安全认证方法,包括:
步骤S502,响应于用户终端的登录操作,获取与用户终端匹配的初始网络终端。
具体地,服务器响应于用户终端的登录操作,获取与用户终端匹配的初始网络终端。建立用户终端与初始网络终端之间的第三通信连接。其中,用户终端的登录操作是在用户终端确定当前登录操作为非首次登录时发送的。具体的非首次登录的判断方式可以参照上述实施例中提供的方法实现,在此不做具体阐述。
步骤S504,采集与初始网络终端对应的网络包,根据预设通信协议对网络包进行解析,得到网络安全数据。
步骤S506,根据网络安全数据对应的通信协议,确定网络安全数据对应的类别,采用与类别对应的异常条件对网络安全数据进行检测。
步骤S508,当对网络安全数据进行检测,判断初始网络终端存在异常情况时,生成网络安全策略,根据网络安全策略对初始网络终端进行安全配置。
具体地,服务器对第三通信连接进行检测,采集与初始网络终端对应的网络包。根据预设通信协议对网络包进行解析,得到网络安全数据,确定网络安全数据的类别。采用与网络安全数据的类别对应的异常条件对网络安全数据进行检测,判断初始网络终端是否存在异常情况。当确定存在异常情况时,生成网络安全策略,根据网络安全策略对初始网络终端进行安全配置,将安全配置后的初始网络终端作为网络终端。当确定不存在异常情况时,将当前的初始网络终端作为网络终端。具体的网络安全数据获取方式以及检测方式可以参照上述实施例中提供的方法实现,在此不做具体阐述。
步骤S510,接收网络终端发送的第一认证信息。对网络终端的网络状态进行检测,确定网络状态为安全状态。
步骤S512,将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果,将认证结果反馈至网络终端,以使网络终端根据认证结果控制用户终端执行后续操作。
具体地,服务器接收网络终端发送的第一认证信息。对网络终端的网络状态进行检测,当确定网络状态为安全状态时,将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果,将认证结果反馈至网络终端,以使网络终端根据认证结果控制用户终端执行后续操作。当确定网络状态为非安全状态时,向用户终端提示当前网络状态不安全的信息。具体的认证结果生成操作可以参照上述实施例中提供的方法实现,在此不做具体阐述。
一个示例中,当服务器对网络安全数据以及网络状态的检测过程中,确定当前通信连接中存在可疑数据时,立即停止数据传输,禁止执行认证操作。当服务器确定存在系统漏洞时,启动漏洞修复,对系统进行及时修复。
本实施例中,通过响应于用户终端的登录操作,确定与用户终端配对的网络终端,网络终端用于接收用户终端发送的用户信息,并根据用户信息生成第一认证信息,能够实时响应用户终端的登录操作,为用户终端匹配网络终端,指示与用户终端配对的网络终端接收用户终端发送的信息,并根据用户终端发送的信息生成第一认证信息,以提高网络安全认证的安全性;通过接收网络终端发送的第一认证信息,将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果,将认证结果反馈至网络终端,以使网络终端根据认证结果控制用户终端执行后续操作,能够根据网络终端发送的第一认证信息与服务器中已存储的第二认证信息之间的匹配结果,生成用户终端此次登录操作的认证结果,以提高网络安全认证方法的准确率,并且能够避免服务器中未存储相应认证信息的用户非法登录,进一步提高网络安全认证的安全性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的网络安全认证方法的网络安全认证系统。该系统所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个网络安全认证系统实施例中的具体限定可以参见上文中对于网络安全认证方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种网络安全认证方法系统600,包括:网络优化模块602、网络安全匹配模块604、认证模块606和认证结果反馈模块608,其中:
网络优化模块602,用于响应于用户终端的登录操作,确定与用户终端配对的网络终端,网络终端用于接收用户终端发送的用户信息,并根据用户信息生成第一认证信息。
网络安全匹配模块604,用于接收网络终端发送的第一认证信息。
认证模块606,用于将第一认证信息与已存储的第二认证信息进行匹配,生成认证结果。
认证结果反馈模块608,用于将认证结果反馈至网络终端,以使网络终端根据认证结果控制用户终端执行后续操作。
在一个实施例中,网络优化模块602包括:初始终端获取单元,用于响应于用户终端的登录操作,获取与用户终端匹配的初始网络终端;数据采集单元,用于采集与初始网络终端对应的网络安全数据;安全配置单元,用于当对网络安全数据进行检测,判断初始网络终端存在异常情况时,生成网络安全策略,根据网络安全策略对初始网络终端进行安全配置,将安全配置后的初始网络终端作为网络终端。
在一个实施例中,安全配置单元还用于对网络安全数据进行分类,确定网络安全数据对应的类别;采用与类别对应的异常条件对网络安全数据进行检测。
在一个实施例中,数据采集单元包括:网络包采集子单元,用于采集与初始网络终端对应的网络包;解析子单元,用于根据预设通信协议对网络包进行解析,得到网络安全数据。安全配置单元,还用于根据网络安全数据对应的通信协议,确定网络安全数据对应的类别。
在一个实施例中,用户信息用于指示网络终端根据用户信息以及物理地址,生成第一认证信息。
在一个实施例中,网络安全认证方法系统600还包括:状态检测模块,用于对网络终端的网络状态进行检测,确定网络状态为安全状态。
在一个实施例中,用户信息是用户终端在判断当前登录操作为非首次登录时发送的。
上述网络安全认证系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储第二认证信息。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全认证方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种网络安全认证方法,其特征在于,所述方法包括:
响应于用户终端的登录操作,获取与所述用户终端匹配的初始网络终端,采集与所述初始网络终端对应的网络安全数据;
当对所述网络安全数据进行检测,判断所述初始网络终端存在异常情况时,根据所述初始网络终端的异常情况,生成对应的网络安全策略,其中,所述异常情况包括登录超时、丢包、传输延迟、病毒攻击中的任一种或至少一种情况,所述网络安全策略包括更换所述初始网络终端、更换与所述初始网络终端连接的局域网、制定数据通信的加密协议中的任一种或至少一种策略;
根据所述网络安全策略对所述初始网络终端进行安全配置,将安全配置后的所述初始网络终端作为网络终端,所述网络终端用于接收所述用户终端发送的用户信息,并根据所述用户信息生成第一认证信息;
接收所述网络终端发送的所述第一认证信息;
采用异常状态条件对所述网络终端的网络状态进行检测,当确定所述网络终端的网络状态不符合所述异常状态条件时,确定所述网络状态为安全状态,将所述第一认证信息与已存储的第二认证信息进行匹配,生成认证结果,所述异常状态条件包括病毒攻击、主页篡改、非法入侵条件中的任一种或多种;
将所述认证结果反馈至所述网络终端,以使所述网络终端根据所述认证结果控制所述用户终端执行后续操作。
2.根据权利要求1所述的方法,其特征在于,在所述当对所述网络安全数据进行检测,判断所述初始网络终端存在异常情况之前,还包括:
对所述网络安全数据进行分类,确定所述网络安全数据对应的类别;
采用与所述类别对应的异常条件对所述网络安全数据进行检测。
3.根据权利要求2所述的方法,其特征在于,所述采集与所述初始网络终端对应的网络安全数据,包括:
采集与所述初始网络终端对应的网络包;
根据预设通信协议对所述网络包进行解析,得到所述网络安全数据;
所述对所述网络安全数据进行分类,确定所述网络安全数据对应的类别,包括:
根据所述网络安全数据对应的通信协议,确定所述网络安全数据对应的所述类别。
4.根据权利要求1所述的方法,其特征在于,所述用户信息用于指示所述网络终端根据所述用户信息以及物理地址,生成第一认证信息。
5.根据权利要求1所述的方法,其特征在于,所述用户信息是所述用户终端在判断当前登录操作为非首次登录时发送的。
6.根据权利要求5所述的方法,其特征在于,所述非首次登录的判断方式包括:
通过所述用户终端响应于登录操作,接收所述用户信息,将所述用户信息与已存储的合法用户的登录记录进行比对;
确定所述用户信息与所述已存储的合法用户的登录记录匹配,生成当前登录操作为非首次登录的判断结果。
7.一种网络安全认证系统,其特征在于,所述系统包括:
网络优化模块,包括:
初始终端获取单元,用于响应于用户终端的登录操作,获取与所述用户终端匹配的初始网络终端;
数据采集单元,用于采集与所述初始网络终端对应的网络安全数据;
安全配置单元,用于当对所述网络安全数据进行检测,判断所述初始网络终端存在异常情况时,根据所述初始网络终端的异常情况,生成对应的网络安全策略,根据所述网络安全策略对所述初始网络终端进行安全配置,将安全配置后的所述初始网络终端作为所述网络终端,其中,所述异常情况包括登录超时、丢包、传输延迟、病毒攻击中的任一种或至少一种情况,所述网络安全策略包括更换所述初始网络终端、更换与所述初始网络终端连接的局域网、制定数据通信的加密协议中的任一种或至少一种策略,所述网络终端用于接收所述用户终端发送的用户信息,并根据所述用户信息生成第一认证信息;
网络安全匹配模块,用于接收所述网络终端发送的所述第一认证信息;
状态检测模块,用于采用异常状态条件对所述网络终端的网络状态进行检测,当确定所述网络终端的网络状态不符合所述异常状态条件时,确定所述网络状态为安全状态,所述异常状态条件包括病毒攻击、主页篡改、非法入侵条件中的任一种或多种;
认证模块,用于当确定所述网络状态为安全状态时,将所述第一认证信息与已存储的第二认证信息进行匹配,生成认证结果;
认证结果反馈模块,用于将所述认证结果反馈至所述网络终端,以使所述网络终端根据所述认证结果控制所述用户终端执行后续操作。
8.根据权利要求7所述的系统,其特征在于,所述数据采集单元,包括:
网络包采集子单元,用于采集与所述初始网络终端对应的网络包;
解析子单元,用于根据预设通信协议对所述网络包进行解析,得到所述网络安全数据;
所述安全配置单元,还用于根据所述网络安全数据对应的通信协议,确定所述网络安全数据对应的类别。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202210287026.3A 2022-03-23 2022-03-23 网络安全认证方法、系统、计算机设备、存储介质 Active CN114666129B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210287026.3A CN114666129B (zh) 2022-03-23 2022-03-23 网络安全认证方法、系统、计算机设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210287026.3A CN114666129B (zh) 2022-03-23 2022-03-23 网络安全认证方法、系统、计算机设备、存储介质

Publications (2)

Publication Number Publication Date
CN114666129A CN114666129A (zh) 2022-06-24
CN114666129B true CN114666129B (zh) 2024-02-20

Family

ID=82031414

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210287026.3A Active CN114666129B (zh) 2022-03-23 2022-03-23 网络安全认证方法、系统、计算机设备、存储介质

Country Status (1)

Country Link
CN (1) CN114666129B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007011791A (ja) * 2005-06-30 2007-01-18 Canon Inc 認証方法およびサーバ装置
CN101753305A (zh) * 2008-12-22 2010-06-23 康佳集团股份有限公司 一种网络安全认证方法、装置及系统
CN108337677A (zh) * 2017-01-19 2018-07-27 阿里巴巴集团控股有限公司 网络鉴权方法及装置
US10068089B1 (en) * 2015-09-25 2018-09-04 Symantec Corporation Systems and methods for network security
CN110049525A (zh) * 2019-04-08 2019-07-23 Oppo广东移动通信有限公司 网络连接方法、装置、电子设备及介质
CN110336807A (zh) * 2019-06-28 2019-10-15 苏州浪潮智能科技有限公司 一种基于Web服务的身份认证方法、设备以及存储介质
CN111800408A (zh) * 2020-06-30 2020-10-20 深信服科技股份有限公司 策略配置装置、终端的安全策略配置方法和可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7523484B2 (en) * 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007011791A (ja) * 2005-06-30 2007-01-18 Canon Inc 認証方法およびサーバ装置
CN101753305A (zh) * 2008-12-22 2010-06-23 康佳集团股份有限公司 一种网络安全认证方法、装置及系统
US10068089B1 (en) * 2015-09-25 2018-09-04 Symantec Corporation Systems and methods for network security
CN108337677A (zh) * 2017-01-19 2018-07-27 阿里巴巴集团控股有限公司 网络鉴权方法及装置
CN110049525A (zh) * 2019-04-08 2019-07-23 Oppo广东移动通信有限公司 网络连接方法、装置、电子设备及介质
CN110336807A (zh) * 2019-06-28 2019-10-15 苏州浪潮智能科技有限公司 一种基于Web服务的身份认证方法、设备以及存储介质
CN111800408A (zh) * 2020-06-30 2020-10-20 深信服科技股份有限公司 策略配置装置、终端的安全策略配置方法和可读存储介质

Also Published As

Publication number Publication date
CN114666129A (zh) 2022-06-24

Similar Documents

Publication Publication Date Title
Schiller et al. Landscape of IoT security
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
US20200220875A1 (en) Methods and systems for data traffic based adaptive security
US9762611B2 (en) Endpoint-based man in the middle attack detection using machine learning models
Babun et al. Z-iot: Passive device-class fingerprinting of zigbee and z-wave iot devices
JP5886422B2 (ja) プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法
US10158658B1 (en) System for determining network anomalies
US11146532B2 (en) Information security using blockchain technology
CN112468518B (zh) 访问数据处理方法、装置、存储介质及计算机设备
US9699202B2 (en) Intrusion detection to prevent impersonation attacks in computer networks
CN102752269A (zh) 基于云计算的身份认证的方法、系统及云端服务器
Yuan et al. Bringing execution assurances of pattern matching in outsourced middleboxes
Dai et al. Eclipse attack detection for blockchain network layer based on deep feature extraction
CN111163114A (zh) 用于检测网络攻击的方法和设备
Benzaïd et al. Intelligent detection of MAC spoofing attack in 802.11 network
CN113839945A (zh) 一种基于身份的可信接入控制系统和方法
CN114666129B (zh) 网络安全认证方法、系统、计算机设备、存储介质
Bartos et al. IFS: Intelligent flow sampling for network security–an adaptive approach
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
US20150256505A1 (en) Electronic mail monitoring
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
US11973773B2 (en) Detecting and mitigating zero-day attacks
Rosell et al. A frequency-based data mining approach to enhance in-vehicle network intrusion detection
Cherukuri et al. Integrity of IoT network flow records in encrypted traffic analytics
US10454965B1 (en) Detecting network packet injection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant