CN116319103A - 一种网络可信接入认证方法、装置、系统及存储介质 - Google Patents
一种网络可信接入认证方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN116319103A CN116319103A CN202310574484.XA CN202310574484A CN116319103A CN 116319103 A CN116319103 A CN 116319103A CN 202310574484 A CN202310574484 A CN 202310574484A CN 116319103 A CN116319103 A CN 116319103A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- request
- client
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012795 verification Methods 0.000 claims abstract description 133
- 238000012216 screening Methods 0.000 claims description 29
- 238000010586 diagram Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种网络可信接入认证方法、装置、系统及存储介质,涉及网络安全技术领域。该方法应用于服务端,包括接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,所述身份安全接入验证包与所述使用者向服务端查询IP请求包的请求序列号相同;分别对所述身份安全接入验证包与所述使用者向服务端查询IP请求包进行校验,若校验成功,则缓存所述客户端的请求序列号,并向所述客户端对应的网络地址开放预设时长的请求IP服务端口,以及向所述客户端发送返回查询IP请求包。采用本公开的网络可信接入认证方法,能够高效可靠地实现网络可信接入,适用范围广泛。
Description
技术领域
本公开一般涉及网络安全技术领域,具体涉及一种网络可信接入认证方法、装置、系统及存储介质。
背景技术
随着信息化技术的不断发展和进步,网络服务在对外提供服务时经常会遭遇DDOS(Distributed Denial of Service,分布式阻断服务)攻击和重放攻击等各种攻击。
为了避免这些攻击,相关技术采用单包验证(Single Packet Authorization,SPA)、多包验证或者第三方通道验证等方式进行网络安全接入,然而这些方式验证过程复杂,同时没有从根本上解决中间人攻击的弊端,局限性大。
发明内容
鉴于相关技术中的上述缺陷或不足,期望提供一种网络可信接入认证方法、装置、系统及存储介质,能够高效地实现网络可信接入,适用范围广泛。
第一方面,本公开提供一种网络可信接入认证方法,所述方法应用于服务端,包括:
接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,所述身份安全接入验证包与所述使用者向服务端查询IP请求包的请求序列号相同;
分别对所述身份安全接入验证包与所述使用者向服务端查询IP请求包进行校验,若校验成功,则缓存所述客户端的请求序列号,并向所述客户端对应的网络地址开放预设时长的请求IP服务端口,以及向所述客户端发送返回查询IP请求包。
可选地,在本公开一些实施例中,所述对所述身份安全接入验证包进行校验,包括:
根据所述身份安全接入验证包的内容和属性,对所述身份安全接入验证包进行筛选;
当所述身份安全接入验证包筛选通过时,计算使用者信息和请求对应的终端账户密码的第一哈希值;
检测所述第一哈希值与所述身份安全接入验证包中基于使用者身份准入信息包和终端账户密码得到的第二哈希值是否一致,若一致,则校验成功。
可选地,在本公开一些实施例中,所述根据所述身份安全接入验证包的内容和属性,对所述身份安全接入验证包进行筛选,包括:
获取所述身份安全接入验证包的网络地址,并判断所述身份安全接入验证包的网络地址是否在黑名单中;
当所述身份安全接入验证包的网络地址不在所述黑名单中时,判断所述身份安全接入验证包的长度格式是否正确;
当所述身份安全接入验证包的长度格式正确时,根据所述身份安全接入验证包中终端身份识别号和请求序列号,判断所述身份安全接入验证包是否重复发送,并获得第一筛选结果。
可选地,在本公开一些实施例中,所述获得第一筛选结果之前,所述方法还包括:
比较所述客户端的前次发包时间戳和所述身份安全接入验证包中请求时间戳的差值;
当所述差值大于或者等于预设阈值时,获得所述第一筛选结果。
可选地,在本公开一些实施例中,所述方法还包括:
接收所述客户端发送的使用者身份和网络验证请求包,所述使用者身份和网络验证请求包由所述客户端在本地网络服务IP与所述返回查询IP请求包中请求者对外服务IP不一致时构建得到;
根据所述客户端对应的网络地址与所述使用者身份和网络验证请求包中IP信息,对所述使用者身份和网络验证请求包进行筛选;
当所述使用者身份和网络验证请求包筛选通过时,计算使用者身份和网络信息及请求对应的终端账户密码的第三哈希值;
检测所述第三哈希值与所述使用者身份和网络验证请求包中基于使用者身份和网络信息包及终端账户密码得到的第四哈希值是否一致,若一致,则将所述客户端对应的网络地址添加至开放服务白名单。
可选地,在本公开一些实施例中,所述根据所述客户端对应的网络地址与所述使用者身份和网络验证请求包中IP信息,对所述使用者身份和网络验证请求包进行筛选,包括:
判断所述客户端对应的网络地址是否在黑名单中;
当所述客户端对应的网络地址不在所述黑名单中时,判断所述客户端对应的网络地址与所述使用者身份和网络验证请求包中IP信息是否一致,并获得第二筛选结果。
可选地,在本公开一些实施例中,所述接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包之前,所述方法还包括:
关闭所有对外网络服务端口,以通过内核从网卡接收所述身份安全接入验证包与所述使用者向服务端查询IP请求包。
第二方面,本公开提供一种网络可信接入认证装置,所述装置应用于服务端,包括:
接收模块,用于接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,所述身份安全接入验证包与所述使用者向服务端查询IP请求包的请求序列号相同;
校验模块,用于分别对所述身份安全接入验证包与所述使用者向服务端查询IP请求包进行校验,若校验成功,则缓存所述客户端的请求序列号,并向所述客户端对应的网络地址开放预设时长的请求IP服务端口,以及向所述客户端发送返回查询IP请求包。
第三方面,本公开提供一种网络可信接入认证系统,所述系统包括客户端和服务端,所述服务端用于实现第一方面中任意一项所述的网络可信接入认证方法的步骤。
第四方面,本公开提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面中任意一项所述的网络可信接入认证方法的步骤。
从以上技术方案可以看出,本公开实施例具有以下优点:
本公开实施例提供了一种网络可信接入认证方法、装置、系统及存储介质,通过接收客户端使用不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,并分别对身份安全接入验证包与使用者向服务端查询IP请求包进行校验,能够将真正的服务端口与查询IP服务端口以及身份与网络安全验证接收通道相互分离,高效可靠地实现了网络可信接入,避免了非法请求者发送非法包进行拒绝服务攻击和服务端横向攻击, 同时缓存请求序列号还能够在一定程度上减少重放攻击,安全系数高。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1为本公开实施例提供的一种网络可信接入认证方法的流程示意图;
图2为本公开实施例提供的一种身份安全接入验证包的示意图;
图3为本公开实施例提供的一种使用者身份准入信息包的示意图;
图4为本公开实施例提供的一种预加密包的示意图;
图5为本公开实施例提供的一种使用者向服务端查询IP请求包的示意图;
图6为本公开实施例提供的一种客户端和服务端的信息交互示意图;
图7为本公开实施例提供的一种返回查询IP请求包的示意图;
图8为本公开实施例提供的一种使用者身份和网络信息包的示意图;
图9为本公开实施例提供的一种使用者身份和网络验证请求包的示意图;
图10为本公开实施例提供的一种网络可信接入认证装置的结构示意图;
图11为本公开实施例提供的另一种网络可信接入认证装置的结构示意图;
图12为本公开实施例提供的又一种网络可信接入认证装置的结构示意图;
图13为本公开实施例提供的一种网络可信接入认证系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本公开方案,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。
本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
此外,术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。为便于更好地理解,下面通过图1至图13详细地阐述本公开实施例提供的网络可信接入认证方法、装置、系统及存储介质。
请参考图1,其为本公开实施例提供的一种网络可信接入认证方法的流程示意图。该方法可以应用于服务端,具体包括以下步骤:
S101,接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,身份安全接入验证包与使用者向服务端查询IP请求包的请求序列号相同。
需要说明的是,如图2所示,本公开实施例中身份安全接入验证包可以包括使用者身份准入信息包、身份安全接入验证标志(例如0x01)及基于使用者身份准入信息包和终端账户密码得到的第二哈希值(HASH)等,而如图3所示,使用者身份准入信息包可以包括终端身份识别号(ID)、请求序列号和请求时间戳等。以及,如图4所示,预加密包可以包括使用者身份准入信息包和终端账户密码等,其中终端账户密码保存于服务端,预加密包可以使用HASH加密和HOTP(HMAC-based One-Time Password)加密等方式。可选地,哈希运算指的是SM3和SHA256之类(不包括MD5和SHA1)的直接HASH运算或者是HOTP之类的间接运算。
如图5所示,本公开实施例中使用者向服务端查询IP请求包可以包括终端身份识别号、请求序列号、查询IP标志(例如0x02)、请求时间戳及终端账户密码与前四项信息的哈希运算值等。
示例性地,本公开实施例可以使用UDP协议发送身份安全接入验证包,而使用TCP协议或者UDP协议的其它端口(与验证身份不是一个端口)来发送使用者向服务端查询IP请求包。
可选地,本公开实施例在接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包之前,还可以关闭所有对外网络服务端口,以通过内核从网卡接收身份安全接入验证包与使用者向服务端查询IP请求包,这样设置的好处是能够缩小攻击面,极大地提高了网络接入安全性。
S102,分别对身份安全接入验证包与使用者向服务端查询IP请求包进行校验,若校验成功,则缓存客户端的请求序列号,并向客户端对应的网络地址开放预设时长的请求IP服务端口,以及向客户端发送返回查询IP请求包。
示例性地,如图6所示,其为本公开实施例提供的一种客户端和服务端的信息交互示意图。本公开实施例以对身份安全接入验证包进行校验为例,使用者向服务端查询IP请求包的校验过程与此类似。首先,根据身份安全接入验证包的内容和属性,对身份安全接入验证包进行筛选;然后,当身份安全接入验证包筛选通过时,计算使用者信息和请求对应的终端账户密码的第一哈希值;进而,检测第一哈希值与身份安全接入验证包中基于使用者身份准入信息包和终端账户密码得到的第二哈希值是否一致,若一致,则校验成功。
其中,根据身份安全接入验证包的内容和属性,对身份安全接入验证包进行筛选的过程中,本公开实施例可以获取身份安全接入验证包的网络地址(IP),并判断身份安全接入验证包的网络地址是否在黑名单中。进一步地,当身份安全接入验证包的网络地址在黑名单中时,则丢弃该身份安全接入验证包;而当身份安全接入验证包的网络地址不在黑名单中时,则判断该身份安全接入验证包的长度格式是否正确。进一步地,当身份安全接入验证包的长度格式错误时,则丢弃该身份安全接入验证包;而当身份安全接入验证包的长度格式正确时,则根据身份安全接入验证包中终端身份识别号和请求序列号,判断身份安全接入验证包是否重复发送,并获得第一筛选结果。
可选地,本公开实施例获得第一筛选结果之前,还可以比较客户端的前次发包时间戳和身份安全接入验证包中请求时间戳的差值,并当差值大于或者等于预设阈值(例如2秒)时,获得第一筛选结果。这样设置的好处是能够及时发现和处理恶意攻击,提高网络安全系数。
可选地,本公开实施例中客户端在接收到返回查询IP请求包(如图7所示)中请求者对外服务IP之后,还可以与本地网络服务IP进行比较,若不一致,则根据设定进行提示或者中断连接。而后构建如图8所示的使用者身份和网络信息包,并与终端账户密码进行相关哈希运算来构建如图9所示的使用者身份和网络验证请求包,以及使用与身份验证请求方式相同的网络请求方式发送到服务端。
进一步地,服务端在接收到客户端发送的使用者身份和网络验证请求包之后,首先根据客户端对应的网络地址与使用者身份和网络验证请求包中IP信息,对使用者身份和网络验证请求包进行筛选;然后,当使用者身份和网络验证请求包筛选通过时,计算使用者身份和网络信息及请求对应的终端账户密码的第三哈希值;进而,检测第三哈希值与使用者身份和网络验证请求包中基于使用者身份和网络信息包及终端账户密码得到的第四哈希值是否一致,若一致,则将客户端对应的网络地址添加至开放服务白名单,即开放该客户端拥有权限的相关服务端口,之后客户端与服务端进行通信服务,如果通信是加密的,那么整个服务流程安全可信。
其中,根据客户端对应的网络地址与使用者身份和网络验证请求包中IP信息,对使用者身份和网络验证请求包进行筛选过程中,本公开实施例可以判断客户端对应的网络地址是否在黑名单中,并当客户端对应的网络地址不在黑名单中时,判断客户端对应的网络地址与使用者身份和网络验证请求包中IP信息是否一致,并获得第二筛选结果。
需要说明的是,本公开实施例在整个信息构造过程及验证请求过程中,都使用了终端账户密码来进行哈希运算,通过校验这个值,使得包无法被伪造,一旦校验发现伪造则将请求IP在黑名单中加入预设时长(例如30秒)。另外,缓存保留请求序列号能够在一定程度上减少重放攻击,即使攻击者截获一个合法身份安全接入验证包,其需要半小时之后才可使用,并且也只能用来发送查询IP请求包。由于查询IP请求必须与身份安全接入验证请求的IP保持一致,一旦不一致就会被列入黑名单,因此倘若终端账户密码未泄露,攻击者也无法发送查询IP请求包,大幅确保了网络安全。
本公开实施例提供的网络可信接入认证方法,通过接收客户端使用不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,并分别对身份安全接入验证包与使用者向服务端查询IP请求包进行校验,能够将真正的服务端口与查询IP服务端口以及身份与网络安全验证接收通道相互分离,高效可靠地实现了网络可信接入,避免了非法请求者发送非法包进行拒绝服务攻击和服务端横向攻击, 同时缓存请求序列号还能够在一定程度上减少重放攻击,安全系数高。
基于前述实施例,本公开实施例提供一种网络可信接入认证装置。该网络可信接入认证装置100可以应用于图1~图9对应实施例的网络可信接入认证方法中。请参考图10,该网络可信接入认证装置100包括:
接收模块101,用于接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,身份安全接入验证包与使用者向服务端查询IP请求包的请求序列号相同;
校验模块102,用于分别对身份安全接入验证包与使用者向服务端查询IP请求包进行校验,若校验成功,则缓存客户端的请求序列号,并向客户端对应的网络地址开放预设时长的请求IP服务端口,以及向客户端发送返回查询IP请求包。
可选地,如图11所示,本公开一些实施例中校验模块102包括:
筛选单元1021,用于根据身份安全接入验证包的内容和属性,对身份安全接入验证包进行筛选;
计算单元1022,用于当身份安全接入验证包筛选通过时,计算使用者信息和请求对应的终端账户密码的第一哈希值;
检测单元1023,用于检测第一哈希值与身份安全接入验证包中基于使用者身份准入信息包和终端账户密码得到的第二哈希值是否一致,若一致,则校验成功。
可选地,本公开一些实施例中筛选单元1021还用于获取身份安全接入验证包的网络地址,并判断身份安全接入验证包的网络地址是否在黑名单中;
当身份安全接入验证包的网络地址不在黑名单中时,判断身份安全接入验证包的长度格式是否正确;
当身份安全接入验证包的长度格式正确时,根据身份安全接入验证包中终端身份识别号和请求序列号,判断身份安全接入验证包是否重复发送,并获得第一筛选结果。
可选地,本公开一些实施例中筛选单元1021还用于在获得第一筛选结果之前,比较客户端的前次发包时间戳和身份安全接入验证包中请求时间戳的差值;
当差值大于或者等于预设阈值时,获得第一筛选结果。
可选地,本公开一些实施例中接收模块101还用于接收客户端发送的使用者身份和网络验证请求包,使用者身份和网络验证请求包由客户端在本地网络服务IP与返回查询IP请求包中请求者对外服务IP不一致时构建得到;
校验模块102还用于根据客户端对应的网络地址与使用者身份和网络验证请求包中IP信息,对使用者身份和网络验证请求包进行筛选;
当使用者身份和网络验证请求包筛选通过时,计算使用者身份和网络信息及请求对应的终端账户密码的第三哈希值;
检测第三哈希值与使用者身份和网络验证请求包中基于使用者身份和网络信息包及终端账户密码得到的第四哈希值是否一致,若一致,则将客户端对应的网络地址添加至开放服务白名单。
可选地,本公开一些实施例中校验模块102还用于判断客户端对应的网络地址是否在黑名单中;
当客户端对应的网络地址不在黑名单中时,判断客户端对应的网络地址与使用者身份和网络验证请求包中IP信息是否一致,并获得第二筛选结果。
可选地,如图12所示,本公开一些实施例中该网络可信接入认证装置100还包括:
控制模块103,用于关闭所有对外网络服务端口,以通过内核从网卡接收身份安全接入验证包与使用者向服务端查询IP请求包。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本公开实施例提供的网络可信接入认证装置,通过接收模块来接收客户端使用不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,并通过校验模块分别对身份安全接入验证包与使用者向服务端查询IP请求包进行校验,能够将真正的服务端口与查询IP服务端口以及身份与网络安全验证接收通道相互分离,高效可靠地实现了网络可信接入,避免了非法请求者发送非法包进行拒绝服务攻击和服务端横向攻击, 同时缓存请求序列号还能够在一定程度上减少重放攻击,安全系数高。
基于前述实施例,本公开实施例提供一种网络可信接入认证系统,如图13所示,该网络可信接入认证系统200包括客户端和服务端,而服务端能够实现图1~图9对应实施例的网络可信接入认证方法的步骤。
作为另一方面,本公开实施例提供一种计算机可读存储介质,用于存储程序代码,该程序代码用于执行前述图1~图9对应实施例的网络可信接入认证方法中的任意一种实施方式。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本公开所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。而集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例网络可信接入认证方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围。
Claims (10)
1.一种网络可信接入认证方法,其特征在于,所述方法应用于服务端,包括:
接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,所述身份安全接入验证包与所述使用者向服务端查询IP请求包的请求序列号相同;
分别对所述身份安全接入验证包与所述使用者向服务端查询IP请求包进行校验,若校验成功,则缓存所述客户端的请求序列号,并向所述客户端对应的网络地址开放预设时长的请求IP服务端口,以及向所述客户端发送返回查询IP请求包。
2.根据权利要求1所述的网络可信接入认证方法,其特征在于,所述对所述身份安全接入验证包进行校验,包括:
根据所述身份安全接入验证包的内容和属性,对所述身份安全接入验证包进行筛选;
当所述身份安全接入验证包筛选通过时,计算使用者信息和请求对应的终端账户密码的第一哈希值;
检测所述第一哈希值与所述身份安全接入验证包中基于使用者身份准入信息包和终端账户密码得到的第二哈希值是否一致,若一致,则校验成功。
3.根据权利要求2所述的网络可信接入认证方法,其特征在于,所述根据所述身份安全接入验证包的内容和属性,对所述身份安全接入验证包进行筛选,包括:
获取所述身份安全接入验证包的网络地址,并判断所述身份安全接入验证包的网络地址是否在黑名单中;
当所述身份安全接入验证包的网络地址不在所述黑名单中时,判断所述身份安全接入验证包的长度格式是否正确;
当所述身份安全接入验证包的长度格式正确时,根据所述身份安全接入验证包中终端身份识别号和请求序列号,判断所述身份安全接入验证包是否重复发送,并获得第一筛选结果。
4.根据权利要求3所述的网络可信接入认证方法,其特征在于,所述获得第一筛选结果之前,所述方法还包括:
比较所述客户端的前次发包时间戳和所述身份安全接入验证包中请求时间戳的差值;
当所述差值大于或者等于预设阈值时,获得所述第一筛选结果。
5.根据权利要求1至4中任意一项所述的网络可信接入认证方法,其特征在于,所述方法还包括:
接收所述客户端发送的使用者身份和网络验证请求包,所述使用者身份和网络验证请求包由所述客户端在本地网络服务IP与所述返回查询IP请求包中请求者对外服务IP不一致时构建得到;
根据所述客户端对应的网络地址与所述使用者身份和网络验证请求包中IP信息,对所述使用者身份和网络验证请求包进行筛选;
当所述使用者身份和网络验证请求包筛选通过时,计算使用者身份和网络信息及请求对应的终端账户密码的第三哈希值;
检测所述第三哈希值与所述使用者身份和网络验证请求包中基于使用者身份和网络信息包及终端账户密码得到的第四哈希值是否一致,若一致,则将所述客户端对应的网络地址添加至开放服务白名单。
6.根据权利要求5所述的网络可信接入认证方法,其特征在于,所述根据所述客户端对应的网络地址与所述使用者身份和网络验证请求包中IP信息,对所述使用者身份和网络验证请求包进行筛选,包括:
判断所述客户端对应的网络地址是否在黑名单中;
当所述客户端对应的网络地址不在所述黑名单中时,判断所述客户端对应的网络地址与所述使用者身份和网络验证请求包中IP信息是否一致,并获得第二筛选结果。
7.根据权利要求5所述的网络可信接入认证方法,其特征在于,所述接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包之前,所述方法还包括:
关闭所有对外网络服务端口,以通过内核从网卡接收所述身份安全接入验证包与所述使用者向服务端查询IP请求包。
8.一种网络可信接入认证装置,其特征在于,所述装置应用于服务端,包括:
接收模块,用于接收客户端通过不同网络通道发送的身份安全接入验证包与使用者向服务端查询IP请求包,所述身份安全接入验证包与所述使用者向服务端查询IP请求包的请求序列号相同;
校验模块,用于分别对所述身份安全接入验证包与所述使用者向服务端查询IP请求包进行校验,若校验成功,则缓存所述客户端的请求序列号,并向所述客户端对应的网络地址开放预设时长的请求IP服务端口,以及向所述客户端发送返回查询IP请求包。
9.一种网络可信接入认证系统,其特征在于,所述系统包括客户端和服务端,所述服务端用于实现权利要求1至7中任意一项所述的网络可信接入认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1至7中任意一项所述的网络可信接入认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310574484.XA CN116319103B (zh) | 2023-05-22 | 2023-05-22 | 一种网络可信接入认证方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310574484.XA CN116319103B (zh) | 2023-05-22 | 2023-05-22 | 一种网络可信接入认证方法、装置、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116319103A true CN116319103A (zh) | 2023-06-23 |
| CN116319103B CN116319103B (zh) | 2023-08-08 |
Family
ID=86827217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310574484.XA Active CN116319103B (zh) | 2023-05-22 | 2023-05-22 | 一种网络可信接入认证方法、装置、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116319103B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101366234A (zh) * | 2006-02-03 | 2009-02-11 | 米德耶公司 | 用于终端用户的身份验证的系统、装备和方法 |
| US20120066749A1 (en) * | 2009-03-02 | 2012-03-15 | Encap As | Method and computer program for generation and verification of otp between server and mobile device using multiple channels |
| US20130144620A1 (en) * | 2011-12-06 | 2013-06-06 | Telcordia Technologies, Inc. | Method, system and program for verifying the authenticity of a website using a reliable telecommunication channel and pre-login message |
| CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
| CN106454823A (zh) * | 2016-08-12 | 2017-02-22 | 中国南方电网有限责任公司 | 网络安全接入的认证方法及其实现该方法的认证系统 |
| CN110290433A (zh) * | 2019-05-20 | 2019-09-27 | 广州中卡智能科技有限公司 | 一种多通道的水控方法、水控终端和水控系统 |
| US20200169884A1 (en) * | 2017-08-02 | 2020-05-28 | Shanghai Lianshang Network Technology Co., Ltd. | Methods and devices for querying authentication information of a wireless access point |
| CN115334174A (zh) * | 2022-08-22 | 2022-11-11 | 卡斯柯信号有限公司 | 一种基于Subset-037协议的多通道匹配方法及通信方法 |
-
2023
- 2023-05-22 CN CN202310574484.XA patent/CN116319103B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101366234A (zh) * | 2006-02-03 | 2009-02-11 | 米德耶公司 | 用于终端用户的身份验证的系统、装备和方法 |
| US20120066749A1 (en) * | 2009-03-02 | 2012-03-15 | Encap As | Method and computer program for generation and verification of otp between server and mobile device using multiple channels |
| US20130144620A1 (en) * | 2011-12-06 | 2013-06-06 | Telcordia Technologies, Inc. | Method, system and program for verifying the authenticity of a website using a reliable telecommunication channel and pre-login message |
| CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
| CN106454823A (zh) * | 2016-08-12 | 2017-02-22 | 中国南方电网有限责任公司 | 网络安全接入的认证方法及其实现该方法的认证系统 |
| US20200169884A1 (en) * | 2017-08-02 | 2020-05-28 | Shanghai Lianshang Network Technology Co., Ltd. | Methods and devices for querying authentication information of a wireless access point |
| CN110290433A (zh) * | 2019-05-20 | 2019-09-27 | 广州中卡智能科技有限公司 | 一种多通道的水控方法、水控终端和水控系统 |
| CN115334174A (zh) * | 2022-08-22 | 2022-11-11 | 卡斯柯信号有限公司 | 一种基于Subset-037协议的多通道匹配方法及通信方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杨雄 等: ""伪造接入点技术的智能手机拒绝服务攻防策略"", 《计算机 技术与发展》, vol. 23, no. 10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116319103B (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108429730B (zh) | 无反馈安全认证与访问控制方法 | |
| US8713666B2 (en) | Methods and devices for enforcing network access control utilizing secure packet tagging | |
| WO2016180202A1 (zh) | 一种安全通讯的方法和装置 | |
| US8806572B2 (en) | Authentication via monitoring | |
| US8413248B2 (en) | Method for secure single-packet remote authorization | |
| US8302170B2 (en) | Method for enhancing network application security | |
| CN107579991B (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| US8074264B2 (en) | Secure key distribution to internet clients | |
| US8245298B2 (en) | Port scanning method and device, port scanning detection method and device, port scanning system, computer program and computer program product | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| CN111131310B (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
| US20110107104A1 (en) | METHOD, SYSTEM, AND DEVICE FOR NEGOTIATING SA ON IPv6 NETWORK | |
| AU2005207632A1 (en) | Upper-level protocol authentication | |
| CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
| CN112711759A (zh) | 一种防重放攻击漏洞安全防护的方法及系统 | |
| CN108924122B (zh) | 一种网络敌我识别方法及系统 | |
| CN113992354A (zh) | 一种身份验证方法、装置、设备及机器可读存储介质 | |
| CN110581836B (zh) | 一种数据处理方法、装置及设备 | |
| CN101090321B (zh) | 使用非周期精确测量发现仿真客户机的设备和方法 | |
| KR101463873B1 (ko) | 정보 유출 차단 장치 및 방법 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| CN113904826A (zh) | 数据传输方法、装置、设备和存储介质 | |
| CN116319103B (zh) | 一种网络可信接入认证方法、装置、系统及存储介质 | |
| CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 | |
| CN116418538A (zh) | 单包授权的状态检测方法、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |