[发明专利]无反馈安全认证与访问控制方法在审
申请号: | 201810058324.9 | 申请日: | 2018-01-22 |
公开(公告)号: | CN108429730A | 公开(公告)日: | 2018-08-21 |
发明(设计)人: | 贺章擎;陆洪毅;刘玖阳;郑朝霞 | 申请(专利权)人: | 北京智涵芯宇科技有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/32 |
代理公司: | 武汉开元知识产权代理有限公司 42104 | 代理人: | 王和平 |
地址: | 100085 北京市海淀区上地信息路2号(北*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | 本发明涉及信息安全领域,公开了一种无反馈安全认证与访问控制方法,方法依据的认证控制系统包括认证端、认证服务器、若干个客户端及若干个服务端,客户端和认证服务器均设有认证值,认证服务器处于侦听状态,服务端的端口默认处于关闭状态,不接受访问请求,客户端通过认证端发送含有认证值的认证报文至认证服务器,由认证服务器认证成功后,认证服务器通知服务端执行相应服务操作,打开相应端口允许客户端访问,同时客户端和认证服务器的认证值均更新。本发明无反馈安全认证与访问控制方法采用认证服务器对所有发往服务端的访问请求进行合法性认证,并根据认证结果控制对服务端的访问,防止服务端被非法扫描、探测和访问。 | ||
搜索关键词: | 认证服务器 客户端 安全认证 访问控制 无反馈 访问请求 服务端 认证端 认证 认证服务器认证 认证控制系统 信息安全领域 侦听 合法性认证 客户端访问 服务操作 认证报文 认证结果 通知服务 服务 探测 访问 扫描 发送 更新 非法 成功 | ||
【主权项】:
1.一种无反馈安全认证与访问控制方法,其特征在于:所述方法依据的认证控制系统包括认证端、认证服务器、与所述认证端连接的m个客户端及与所述认证服务器连接的n个服务端,所述方法包括如下步骤:A)将每个所述客户端的IP地址和设备码d进行登记并储存在所述认证服务器的数据库中,每个所述客户端设置有客户端认证值Kcm(i),i为客户端认证值的序号,i为自然数,所述认证服务器对应每个所述客户端的客户端认证值Kcm(i)设有对应的服务器认证值Ksm(i),Kcm(1)=Ksm(1),每个所述客户端与所述认证服务器之间设有一个共享密钥Km;B)使所述认证服务器处于侦听状态,监听和接收所有发送给所述认证服务器的数据包,每个所述服务端的端口默认处于关闭状态,不接受访问请求;C)当其中一个所述客户端x试图第z次访问所述服务端y时,所述客户端x通过认证端向所述认证服务器发送认证报文Ax(z),并延时时间T1后连接所述服务端y,所述认证报文Ax(z)包括报文主体ax(z)及所述客户端x的设备码dx,所述报文主体ax(z)依据所述客户端x的共享密钥Kx使用密码算法C计算而来,ax(z)=C(bx(z),H(bx(z))),bx(z)为包括发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z)的信息包,所述服务操作请求包括请求所述服务端y打开指定端口并在时间T2内允许所述客户端x通过指定端口访问,H(bx(z))为对信息包bx(z)的Hash运算值;D)所述认证服务器接收到所述客户端x通过所述认证端发送的认证报文Ax(z)后,依据所述认证报文Ax(z)的来源IP地址及所述认证报文Ax(z)内含的所述客户端x的设备码dx检查所述客户端x是否已在所述认证服务器中登记,若没有登记,则丢弃所述认证报文Ax(z)且不响应任何信息,返回所述步骤B);若有登记,所述认证服务器查询与所述客户端x对应的共享密钥Kx及此时的服务器认证值Ksx(z),通过共享密钥Kx使用密码算法C对所述认证报文Ax(z)的报文主体ax(z)进行解密获取信息包bx(z)和信息包bx(z)的Hash值H(bx(z)),并通过H(bx(z))对信息包bx(z)进行完整性验证,若验证失败则返回所述步骤B);若通过验证,则从bx(z)中提取发送时间戳、服务操作请求及所述客户端x在发送认证报文Ax(z)时的客户端认证值Kcx(z),检查所述发送时间戳与所述认证服务器本地UTC时间的误差是否在预设范围内,若不是,则认证失败,返回所述步骤B);若是,则验证Kcx(z)是否等于Ksx(z),若相等,则认证成功,进入下一步;若Kcx(z)与Ksx(z)不相等,则采用认证服务器上一次与客户端x对应的服务器认证值Ksx(z‑1)验证是否等于Kcx(z),若相等则更新服务器认证值Ksx(z)=Ksx(z‑1),同时进入下一步,若不相等,则计算K′sx(z)=Hash(Ksx(z),bx(z‑1)),式中bx(z‑1)为客户端x上次认证发送过来的认证报文Ax(z‑1)中的信息包,若K′sx(z)=Kcx(z),则更新服务器认证值Ksx(z)=K′sx(z),同时进入下一步,若不相等,则认证失败,丢弃所接收到的认证报文Ax(z),返回步骤B);E)所述认证服务器通知所述服务端y执行所述服务操作请求中的操作信息,所述服务端y打开指定端口并在时间T2内允许所述客户端x通过指定端口访问;F)所述客户端x按照所述服务操作请求中规定的操作信息向所述服务端y发送访问请求信息;G)所述服务端y接收所述客户端x发送过来的访问请求信息后,所述服务端y接受所述客户端x的访问请求,并在T2时间后关闭连接,同时在T3时间内将连接成功的信息反馈至所述认证服务器;H)所述客户端x与所述服务端y连接成功后,计算并更新客户端认证值Kcx(z+1)=Hash(Kcx(z),bx(z)),若连接不成功,则不更新客户端认证值并返回所述步骤C)重新发送认证报文;I)所述认证服务器在通知所述服务端y执行所述服务操作请求中的操作信息后T3时间内接收到所述服务端y反馈的与所述客户端x连接成功信息,则更新服务器认证值Ksx(z+1)=Hash(Ksx(z),bx(z)),若所述认证服务器在T3时间内未接收到所述服务端y反馈的与所述客户端x连接成功信息,则不更新服务器认证值。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京智涵芯宇科技有限公司,未经北京智涵芯宇科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810058324.9/,转载请声明来源钻瓜专利网。