CN117938411A - 一种家庭智能网关和防窃取认证方法 - Google Patents
一种家庭智能网关和防窃取认证方法 Download PDFInfo
- Publication number
- CN117938411A CN117938411A CN202211313403.2A CN202211313403A CN117938411A CN 117938411 A CN117938411 A CN 117938411A CN 202211313403 A CN202211313403 A CN 202211313403A CN 117938411 A CN117938411 A CN 117938411A
- Authority
- CN
- China
- Prior art keywords
- information
- authentication
- message
- authentication information
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000000131 plasma-assisted desorption ionisation Methods 0.000 claims abstract description 35
- 238000013500 data storage Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000002265 prevention Effects 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种家庭智能网关和防窃取认证方法,其方法包括:以广播方式发送PADI报文,所述PADI报文中包括公钥信息;接收目标服务器反馈的PADO报文,所述PADO报文包括认证加密信息,所述认证加密信息由所述公钥信息进行加密;对所述认证加密信息进行解密,得到解密后的认证信息;所述认证信息与预设认证信息相同,发送PADR报文至所述目标服务器;所述认证信息与预设认证信息不同,发送PADT报文至所述目标服务器。通过添加自定义标签用于加密传输认证信息,可避免攻击者自建服务器与路由器建立会话进程,提高认证安全。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种家庭智能网关和防窃取认证方法。
背景技术
随着宽带用户爆发性增长,PPPoE被带进了各家各户,PPPoE(Point-to-PointProtocol Over Ethernet),是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。
路由器是家庭智能网关的一种,是连接因特网中用户与服务器之间的设备,为保证通信安全,路由器与服务器之间通过PPPoE协议进行通信。
PPPoE有两个截然不同的阶段,即发现阶段及PPP会话阶段。在发现阶段,路由器通过发送广播PADI寻找PPPoE认证设备。攻击者可通过自建认证设备来接收PADI请求并与路由器建立会话。进入会话阶段后,通过在LCP协商时要求使用明文传输的认证方式,随后利用Wireshark等工具就能嗅探到明文传输的PAP账号及密码,造成泄密。
发明内容
本申请提供了一种家庭智能网关和防窃取认证方法,以提高认证安全。
一方面,本申请提供了一种家庭智能网关防窃取认证方法包括:以广播方式发送PADI报文,所述PADI报文中包括公钥信息;
接收目标服务器反馈的PADO报文,所述PADO报文包括认证加密信息,所述认证加密信息由所述公钥信息进行加密;
对所述认证加密信息进行解密,得到解密后的认证信息;
所述认证信息与预设认证信息相同,发送PADR报文至所述目标服务器;
所述认证信息与预设认证信息不同,发送PADT报文至所述目标服务器。
另一方面,本申请提供了一种家庭智能网关,包括:第一输入输出接口,与外部输入设备连接,接收预留认证信息;
数据存储模块,与所述第一输入输出接口连接,存储所述预留认证信息;
第二输入输出接口,与外部服务器连接,接收或发送信息至服务器;
数据处理模块,与数据存储模块以及第二输入输出接口连接,将接收的PADO报文中认证加密信息进行解密,得到解密后的认证信息,与所述预留认证信息进行比对,如果解密后的认证信息与预留认证信息相同,则发送PADR报文。
有益效果:
本申请实施例提供了一种家庭智能网关和防窃取认证方法,其方法包括:以广播方式发送PADI报文,所述PADI报文中包括公钥信息;接收目标服务器反馈的PADO报文,所述PADO报文包括认证加密信息,所述认证加密信息由所述公钥信息进行加密;对所述认证加密信息进行解密,得到解密后的认证信息;所述认证信息与预设认证信息相同,发送PADR报文至所述目标服务器;所述认证信息与预设认证信息不同,发送PADT报文至所述目标服务器。通过添加自定义标签用于加密传输认证信息,可避免攻击者自建服务器与路由器建立会话进程,提高认证安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种家庭智能网关应用场景;
图2为常见的路由器与服务器建立PPPoE会话的发现阶段信令流程图;
图3为本申请示例的一种家庭智能网关防窃取认证方法流程示意图;
图4为本申请示例的一种路由器与服务器建立PPPoE会话的发现阶段信令流程图;
图5为本申请示例的一种路由器结构示意图;
图6为本申请示例的一种路由器与外部连接示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
图1为本申请实施例提供的一种智能网关应用场景。如图1所示,用户终端100提出访问信息。家庭智能网关包括路由器200,根据路由、桥或其他业务规则,选择报文路径,与外部服务器300连接。
外部服务器300对访问信息进行回应,发出响应信息。路由器200接收响应信息,并将响应信息转发至用户终端。
PPPoE(Point-to-Point Protocol Over Ethernet),是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。路由器在与外部服务器进行通信时,采用PPPoE协议。
PPPoE协议会话的发现和会话两个阶段。其中在发现阶段中路由器以广播方式寻找所连接的所有接入集中器(或交换机),并获得其以太网MAC地址,然后选择需要连接的服务器,并确定所要建立的PPP会话标识号码。发现阶段有4个步骤,当此阶段完成,通信的两端都知道PPPoESESSION-ID和对端的以太网地址,路由器与服务器一起唯一定义PPPoE会话。
图2为常见的路由器与服务器建立PPPoE会话的发现阶段信令流程图,如图2中所示PPPoE会话的发现阶段,主要步骤如下:
步骤1:路由器发送PADI报文至服务器。路由器以广播的方式发送PADI报文,所以PADI报文所对应的以太网帧的目的地址域填充为全1,而源地址域填充路由器的MAC地址。广播报文可能会被多个访问服务器接收到。
步骤2:服务器回应路由器发送的PADI报文,服务器发送PADO报文,此时PADO报文所对应的以太网帧的源地址填充服务器的MAC地址,而目的地址则填充从PADI中所获取的用户主机的MAC地址。
步骤3:由路由器向服务器发送单播的请求PADR报文。
因路由器发送的PADI报文是以广播形式进行发送的,因此有多个服务器接收到PADI报文,并进行信息反馈。因此,路由器接收到多个PADO报文。
当路由器收到多个PADO报文后,会从这些报文中挑选一个目标服务器作为后续会话的对象。由于路由器在收到PADO报文后,就获知了目标服务器的MAC地址,因此PADR报文所以应的以太网帧的源地址填充路由器的MAC地址,而以太网的目的地址填充为目标服务器的MAC地址。
步骤4:目标服务器在接收到PADR报文后,分配会话进程ID,并反馈PADS报文。
此时目标服务器当收到PADR报文时,就准备进入开始一个PPP的会话了,而此时目标服务器会为在当前会话分配一个唯一的会话进程ID,并在发送给路由器的PADS报文中携带上这个会话ID。
如果服务器不满足路由器所申请的服务的话,则会向用户发送一个PADS报文,而其中携带一个服务名错误的标记,而且此时该PADS报文中的会话ID填充0x0000。
在此过程中,如果恶意网站通过自建服务器与路由器建立会话进程,进入会话阶段后,通过在LCP协商时要求使用明文传输认证,随后利用Wireshark等工具就能嗅探到明文传输的PAP账号及密码,将造成PAP账号、密码泄露。
PAP是一种简单认证,明文传送,客户端直接发送包含用户名/口令的认证请求,服务器端处理并回应。
图3为本申请示例的一种家庭智能网关防窃取认证方法流程示意图。图4为本申请示例的一种路由器与服务器建立PPPoE会话的发现阶段信令流程图。结合图3和图4所示,为避免PAP认证阶段发生账号密码泄露,本申请提供了一种安全认证方式,适用于路由器端,包括:
以广播的方式发送PADI报文至服务器,其中PADI报文中附加公钥信息。在本申请示例中,公钥信息以标签数据的方式添加至PADI报文中。如示例性的:添加自定义TAG TAG_TYPE 0x0505,自定义的TAG命名为Auth。相关代码如下:
Tag:Unknown(0x0505)
Tag Length:7
Unknown Data:0007686973656e
接收由目标服务器发送的PADO报文,PADO报文中包括认证加密信息。目标服务器接收到附加公钥信息的PADI报文后,利用公钥信息将认证信息加密生成认证加密信息,并将该认证加密信息附加到PADO报文的Auth tag中发送至路由器。
路由器接收PADO报文,通过非对称加密中私钥解密的方式,将认证加密信息进行解密,得到解密后的认证信息,与路由器内预设的预留认证进行比对,如果解密后的认证信息与预留认证相同,则由路由器向服务器发送单播的请求PADR报文。目标服务器在接收到PADR报文后,分配会话进程ID,并反馈PADS报文至路由器。
如果解密后的认证信息与预留认证不同,则由路由器向服务器发送PADT报文,结束当前会话。
在本申请的示例中,路由器中预设有服务器厂商提供的预留认证信息。
非对称加密也叫做公钥加密。非对称加密与对称加密相比,其安全性更好。对称加密的通信双方使用相同的密钥,如果一方的密钥遭泄露,那么整个通信就会被破解。而非对称加密使用一对密钥,即公钥和私钥,且二者成对出现。私钥被自己保存,不能对外泄露。公钥指的是公共的密钥,任何人都可以获得该密钥。用公钥或私钥中的任何一个进行加密,用另一个进行解密。RSA、DSA等是常用的非对称加密的算法。
本申请实施例提供了一种安全认证方式,适用于路由器,包括:以广播的方式发送PADI报文至服务器,其中PADI报文中附加公钥信息。接收由目标服务器发送的PADO报文,PADO报文中包括认证加密信息。路由器接收PADO报文,通过非对称加密中私钥解密的方式,将认证加密信息进行解密,得到解密后的认证信息,与路由器内预设的预留认证进行比对,如果解密后的认证信息与预留认证相同,则由路由器向服务器发送单播的请求PADR报文。目标服务器在接收到PADR报文后,分配会话进程ID,并反馈PADS报文至路由器。如果解密后的认证信息与预留认证不同,则由路由器向服务器发送PADT报文,结束当前会话。通过添加自定义标签用于加密传输认证信息,可避免攻击者自建服务器与路由器建立会话进程。攻击者无法提供认证信息,则无法与路由器建立会话进行,可避免PAP账号、密码泄露。
另一方面,本示例还包括一种路由器,如图5和图6所示,包括:数据存储模块,用于存储预留认证信息、非对称加密的公钥、私钥以及加密算法。存储预留认证信息由用户通过输入设备输入。第一输入输出接口,与外部输入设备连接,用于接收输入信息。第二输入输出接口,与外部服务器连接,接收或发送信息至服务器。数据处理模块,接收第一输入输出接口以及第二输入输出接收的信息,并根据接收PADO报文,通过非对称加密中私钥解密的方式,将认证加密信息进行解密,得到解密后的认证信息,与数据存储模块内预设的预留认证进行比对,如果解密后的认证信息与预留认证相同,则第二输入输出接口向服务器发送单播的请求PADR报文。如果解密后的认证信息与预留认证不同,则由第二输入输出接口发送PADT报文,结束当前会话。
由用户通过输入设备经第一输入输出接口输入服务器预设的预留认证信息。数据处理模块接收第一输入输出接口输入服务器预设的预留认证信息并进行存储。
数据处理模块生成广播的方式发送PADI报文,经第二输入输出接口传送至服务器;第二输入输出接口接收目标服务器发送的PADO报文并传送至数据处理模块,PADO报文中包括认证加密信息。目标服务器接收到附加公钥信息的PADI报文后,利用公钥信息将认证信息加密生成认证加密信息,并将该认证加密信息附加到PADO报文的Auth tag中发送至第二输入输出接口。数据处理模块接收PADO报文,通过非对称加密中私钥解密的方式,将认证加密信息进行解密,得到解密后的认证信息,与数据存储模块预设的预留认证进行比对,如果解密后的认证信息与预留认证相同,则向服务器发送单播的请求PADR报文。如果解密后的认证信息与预留认证不同,则向服务器发送PADT报文,结束当前会话。
本申请示例公开了一种家庭智能网关,包括:数据存储模块,用于存储预留认证信息、非对称加密的公钥、私钥以及加密算法。存储预留认证信息由用户通过输入设备输入。第一输入输出接口,与外部输入设备连接,用于接收输入信息。第二输入输出接口,与外部服务器连接,接收或发送信息至服务器。数据处理模块,接收第一输入输出接口以及第二输入输出接收的信息,并根据接收PADO报文,通过非对称加密中私钥解密的方式,将认证加密信息进行解密,得到解密后的认证信息,与数据存储模块内预设的预留认证进行比对,如果解密后的认证信息与预留认证相同,则第二输入输出接口向服务器发送单播的请求PADR报文。如果解密后的认证信息与预留认证不同,则由第二输入输出接口发送PADT报文,结束当前会话。目标服务器在接收到PADR报文后,分配会话进程ID,并反馈PADS报文至路由器。如果解密后的认证信息与预留认证不同,则由路由器向服务器发送PADT报文,结束当前会话。通过添加自定义标签用于加密传输认证信息,可避免攻击者自建服务器与路由器建立会话进程。攻击者无法提供认证信息,则无法与路由器建立会话进行,可避免PAP账号、密码泄露。
相应的,本申请示例还公开了一种服务器,接收对端发送的PADI报文。路由器以广播的方式发送PADI报文,所以PADI报文所对应的以太网帧的目的地址域填充为全1,而源地址域填充路由器的MAC地址。广播报文可能会被多个访问服务器接收到。其中PADI报文中附加公钥信息。在本申请示例中,公钥信息以标签数据的方式添加至PADI报文中。
根据接收到的PADI报文和公钥信息,将预设的认证信息进行不对称加密,生成认证加密信息,写入PADO报文,将携带有认证加密信息的PADO报文发送至对端的路由器。
接收路由器返回的PADR报文后,分配会话进程ID,并反馈PADS报文至路由器。
本示例的服务器为运营商认证设备。
由于以上实施方式均是在其他方式之上引用结合进行说明,不同实施例之间均具有相同的部分,本说明书中各个实施例之间相同、相似的部分互相参见即可。在此不再详细阐述。
需要说明的是,在本说明书中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的电路结构、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种电路结构、物品或者设备所固有的要素。在没有更多限制的情况下,有语句“包括一个……”限定的要素,并不排除在包括所述要素的电路结构、物品或者设备中还存在另外的相同要素。
本领域技术人员在考虑说明书及实践这里发明的公开后,将容易想到本申请的其他实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求的内容指出。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。
Claims (9)
1.一种家庭智能网关防窃取认证方法,其特征在于,包括:
以广播方式发送PADI报文,所述PADI报文中包括公钥信息;
接收目标服务器反馈的PADO报文,所述PADO报文包括认证加密信息,所述认证加密信息由所述公钥信息进行加密;
对所述认证加密信息进行解密,得到解密后的认证信息;
所述认证信息与预设认证信息相同,发送PADR报文至所述目标服务器;
所述认证信息与预设认证信息不同,发送PADT报文至所述目标服务器。
2.根据权利要求1所述的防窃取认证方法,其特征在于,对所述认证加密信息进行解密包括:利用预设私钥对所述认证加密信息进行解密,所述私钥与所述公钥为不对称加密算法对应的秘钥;所述不对称加密算法为预存储数据。
3.根据权利要求1所述的防窃取认证方法,其特征在于,还包括:接收预设认证信息并进行存储。
4.根据权利要求1所述的防窃取认证方法,其特征在于,还包括:接收所述目标服务器发送的PADS报文,所述PADS报文包括会话进程ID。
5.一种家庭智能网关,其特征在于,包括:
第一输入输出接口,与外部输入设备连接,接收预留认证信息;
数据存储模块,与所述第一输入输出接口连接,存储所述预留认证信息;
第二输入输出接口,与外部服务器连接,接收或发送信息至服务器;
数据处理模块,与数据存储模块以及第二输入输出接口连接,将接收的PADO报文中认证加密信息进行解密,得到解密后的认证信息,与所述预留认证信息进行比对,如果解密后的认证信息与预留认证信息相同,则发送PADR报文。
6.根据权利要求5所述的家庭智能网关,其特征在于,数据存储模块还用于存储公钥、私钥以及不对称加密的加密算法,所述公钥与所述私钥相对应。
7.根据权利要求5所述的家庭智能网关,其特征在于,所述数据处理模块还用于发送PADI报文,所述PADI报文中包括公钥信息,以标签的形式将所述公钥信息嵌入所述PADI报文中。
8.根据权利要求5所述的家庭智能网关,其特征在于,所述数据处理模块还用于解密后的认证信息与预留认证信息不同,则发送PADT报文。
9.根据权利要求5所述的家庭智能网关,其特征在于,所述数据处理模块还用于接收PADS报文,所述PADS报文中包括会话进程ID。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211313403.2A CN117938411A (zh) | 2022-10-25 | 2022-10-25 | 一种家庭智能网关和防窃取认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211313403.2A CN117938411A (zh) | 2022-10-25 | 2022-10-25 | 一种家庭智能网关和防窃取认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117938411A true CN117938411A (zh) | 2024-04-26 |
Family
ID=90759874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211313403.2A Pending CN117938411A (zh) | 2022-10-25 | 2022-10-25 | 一种家庭智能网关和防窃取认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117938411A (zh) |
-
2022
- 2022-10-25 CN CN202211313403.2A patent/CN117938411A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| EP1484856B1 (en) | Method for distributing encryption keys in wireless lan | |
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| US9432185B2 (en) | Key exchange for a network architecture | |
| US8046577B2 (en) | Secure IP access protocol framework and supporting network architecture | |
| TWI313996B (en) | System and method for secure remote access | |
| US8935529B2 (en) | Methods and systems for end-to-end secure SIP payloads | |
| WO2017185999A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| EP1933498B1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
| EP1560396A2 (en) | Method and apparatus for handling authentication on IPv6 network | |
| US20050074122A1 (en) | Mass subscriber management | |
| US20080222714A1 (en) | System and method for authentication upon network attachment | |
| JPH07107083A (ja) | 暗号通信システム | |
| KR101318808B1 (ko) | 암호키 구축 방법, 암호키 구축 방법을 위한 네트워크 및 수신기, 및 신호 송신 방법 | |
| CA2414044C (en) | A secure ip access protocol framework and supporting network architecture | |
| CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| CN101471767B (zh) | 密钥分发方法、设备及系统 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN113452660A (zh) | 网状网络与云端服务器的通信方法、网状网络系统及其节点装置 | |
| CN114143050B (zh) | 一种视频数据加密系统 | |
| Seller | LoRaWAN security | |
| CN115459913A (zh) | 一种基于量子密钥云平台的链路透明加密方法及系统 | |
| CN117938411A (zh) | 一种家庭智能网关和防窃取认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |