[发明专利]无反馈安全认证与访问控制方法

说明书

本发明涉及信息安全领域，公开了一种无反馈安全认证与访问控制方法，方法依据的认证控制系统包括认证端、认证服务器、若干个客户端及若干个服务端，客户端和认证服务器均设有认证值，认证服务器处于侦听状态，服务端的端口默认处于关闭状态，不接受访问请求，客户端通过认证端发送含有认证值的认证报文至认证服务器，由认证服务器认证成功后，认证服务器通知服务端执行相应服务操作，打开相应端口允许客户端访问，同时客户端和认证服务器的认证值均更新。本发明无反馈安全认证与访问控制方法采用认证服务器对所有发往服务端的访问请求进行合法性认证，并根据认证结果控制对服务端的访问，防止服务端被非法扫描、探测和访问。

技术领域

本发明涉及信息安全领域，具体涉及一种无反馈安全认证与访问控制方法。

背景技术

计算机网络的开放性、交互性、分散性的等特征使人们的信息共享、信息传播等需求得到极大满足的同时，也带来了日益严重的网络安全问题。现有通信网络往往依托于开放的标准通信协议(如TCP)，信息的内容被裸露于网络上潜在的监听者面前，使得网络设备面临着被大规模恶意攻击的危险。采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，难以解决重要网络设备的安全保护问题。

所有网络攻击的前提是获取目标设备的地址、协议、服务端口等信息，再根据上述信息查找漏洞并实施攻击，端口扫描是一种检测目标网络设备或者目标系统开放端口的信息收集技术，通过这些开放端口，攻击者能够获知网络设备上运行的服务，然后进一步整理、分析这些服务可能的漏洞，发起下一步攻击行为。如果网络设备只对授权用户开放端口而对非授权用户关闭，则可以有效阻止被非法设备扫描、探测和访问，有效的提升网络设备的安全性。因此，有必要对所有连接请求进行认证，并根据认证结果允许合法用户访问并拒绝所有非法的请求连接。

现有典型端口认证技术包括端口试探(port knocking)和单包认证技术SPA等。1、端口试探是一种通过连接尝试，从外部打开原先关闭端口的方法，一旦收到正确的连接尝试，防火墙就会动态打开一些特定的端口给尝试连接的客户端，其中一种连接尝试方法是利用TCP连接建立前的SYN三步握手机制，将认证信息填充到SYN包头的几个特殊字段中并发送到认证服务器进行合法性认证，打开相应端口允许该设备访问。但是，由于SYN包头中只有有限的几个字节能够填充认证信息，无法传送加密信息或者服务操作请求信息。尽管可以利用多个SYN包头来传送更多信息，但是所费时间较多且无法保证认证服务器能可靠的接收；2、单包认证技术SPA则通过构建专用的认证包来实现认证，结合防火墙技术实现对合法客户端的认证与访问授权，但SPA技术需要结合防火墙来实现，无法应用在物联网终端等无法运行防火墙的设备中，同时SPA认证方式也存在安全缺陷，它在打开相应的服务端口之后，仅仅根据网络客户端的IP地址来判断是否接收数据包，但在此期间，攻击者完全有可能仿冒已授权网络客户端的IP地址来实施非法访问。

中国发明专利申请(公开日：2011年07月11日、公开号：102571771B)公开了一种云存储系统的安全认证方法，属于计算机存储技术和信息安全技术领域，解决现有安全认证方法存在的认证过程复杂、认证消耗巨大的问题，为云存储系统服务安全提供简单、灵活、高效、高可扩展性和高安全性的认证，防止外部或者内部攻击者对存储系统的侵入。本发明包括客户端进程、认证端进程和存储端进程；客户端装载所有登陆用户的用户标识，认证端装载访问控制库。本发明通过计算验证标识来检验用户的操作权限是否合法，存储端不再需要维护访问控制库，对用户访问请求验证通过简单计算就可以完成，极大程度地减少了存储系统用于访问控制的开销，为大规模云存储系统中具有操作权限的用户提供了灵活、安全、可靠和高效的文件访问。但是本发明的信息内容被裸露于网络上潜在的监听者面前，使得网络设备面临着被大规模恶意攻击的危险。

发明内容

本发明的目的就是针对上述技术的不足，提供一种无反馈安全认证与访问控制方法，采用认证服务器对所有发往服务端的访问请求进行合法性认证，并根据认证结果控制对服务端的访问，防止服务端被非法扫描、探测和访问。