CN112887265B - 一种针对nat下防止未注册终端伪造为合法通信的准入方法 - Google Patents
一种针对nat下防止未注册终端伪造为合法通信的准入方法 Download PDFInfo
- Publication number
- CN112887265B CN112887265B CN202011622370.0A CN202011622370A CN112887265B CN 112887265 B CN112887265 B CN 112887265B CN 202011622370 A CN202011622370 A CN 202011622370A CN 112887265 B CN112887265 B CN 112887265B
- Authority
- CN
- China
- Prior art keywords
- key
- nat
- terminal
- check code
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004891 communication Methods 0.000 title claims abstract description 26
- 230000000903 blocking effect Effects 0.000 abstract 2
- 238000013519 translation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提出了一种针对NAT下防止未注册终端伪造为合法通信的准入方法,包括以下步骤:NAT下客户端的终端开机或周期通过安全加密通讯方法向准入***请求密钥,准入***根据请求生成新密钥,将密钥内容及密钥ID返回给终端。客户端程序使用密钥对业务服务器IP地址、业务端口进行计算;已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码;如果是NAT数据流,且存在密钥ID及校验码则检索出密钥内容,则使用密钥对目标IP、端口计算校验码,否则进行阻断。如准入***判断数据流中的校验码与计算的校验码一致则放行该数据流,不一致则进行阻断。解决了无法有效发现并检测通过NAT形式接入网络的设备伪造为合法设备的问题。
Description
【技术领域】
本发明涉及网络安全准入控制的技术领域,特别是一种针对NAT下防止未注册终端伪造为合法通信的准入方法。
【背景技术】
NAT(Network Address Translation),即网络地址转换技术,作为目前IPv4地址资源日益枯竭的临时解决办法被广泛的运用,大至运营商,小至家庭网络都有它的身影。NAT的运用极大的降低了网络接入的门槛,同时使得网络拓扑变得更加复杂,大大增加了网络运维管理的难度。特别是有专用需求需要准入控制的网络,对于NAT内接入的私网设备必须进行有效的管理,并需要防止NAT内接入的私网设备伪造为同NAT下其他合法设备接入网络的问题。为解决以上问题,有必要提出针对NAT接入设备的准入控制方法,用于检测网络中NAT接入的设备的连接合法情况。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种NAT下防止未注册客户端的终端伪造为合法通信的准入方法,其旨在解决使用现有技术无法有效发现并检测通过NAT形式接入网络的设备伪造为合法设备的问题。
为实现上述目的,本发明提出了一种针对NAT下防止未注册终端伪造为合法通信的准入方法,具体包括以下步骤:
S1、NAT下客户端的终端开机或周期通过安全加密通讯方法向准入***请求密钥,准入***根据请求生成新密钥,将密钥内容及密钥ID返回给终端,执行完毕后转至步骤S2;
S2、当已注册客户端的终端发起访问业务服务器的同时,客户端程序使用密钥对业务服务器IP地址、业务服务器的业务端口进行计算,生成校验码,执行完毕后转至步骤S3;
S3、已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码,执行完毕后转至步骤S4;
S4、对于本次连接,判断是否为NAT数据流,如果是NAT数据流,转至步骤S5;
S5、准入***对截获的NAT数据流进行分析,判断是否存在密钥ID及校验码,存在则执行转至步骤S6,不存在则转至步骤S8;
S6、通过密钥ID,准入***检索出密钥内容,使用密钥对目标IP、端口计算校验码,执行完毕后转至步骤S7;
S7、准入***判断数据流中的校验码与计算的校验码是否一致,如一致则放行该数据流,如不一致则转至步骤S8;
S8、准入***对本次数据流进行阻断。
作为优选,步骤S1中,在向准入***请求密钥之前,先判断客户端是否为NAT环境,具体步骤为:NAT下已注册客户端的终端启动后通过安全加密通讯方法向准入***发送终端本机IP,准入***根据收到的终端本机IP和通信的对端IP是否一致来判断是否为NAT环境,并将判断结果发送回给客户端,客户端判断如果是NAT环境,则向准入***请求密钥。
作为优选,将判断结果发送回给客户端的同时,还需建立NAT列表。
作为优选,步骤S1中,准入***根据客户端的请求生成新密钥,并同时建立密钥列表,将密钥内容及密钥ID返回给终端,周期执行该流程,定期更新密钥,执行完毕后转至步骤S2。
作为优选,步骤S4中,通过判断源IP是否在NAT列表内,确认是否为NAT数据流。
作为优选,步骤S4中,如果不是NAT数据流,则判断源IP是否在放行名单中,若是则放行,若不是则转至步骤S8。
本发明的有益效果:本发明通过只在客户端和服务器之间使用双方一致的密钥对数据流进行加解密的方法,从而有效的解决了NAT接入设备内非法终端伪造合法通信来逃避准入控制的问题。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明一种针对NAT下防止未注册终端伪造为合法通信的准入方法的流程图。
【具体实施方式】
在NAT环境下的终端与业务服务器通信时,根据通讯中的数据流不但要区分已注册客户端的终端与未注册客户端的终端,还需要防止未注册客户端的终端通过伪造为合法通信从而欺骗***进入网络的情况。参阅图1,本发明一种针对NAT下防止未注册客户端的终端伪造为合法通信的准入方法,具体步骤如下:
S1、NAT下客户端的终端启动后通过安全加密通讯方法向准入***发送终端本机IP,准入***根据收到的终端本机IP和通信的对端IP是否一致来判断是否为NAT环境,并将判断结果发送回给客户端,并同时建立NAT列表。客户端判断如果是NAT环境,则向准入***请求密钥,准入***根据请求生成新密钥,并同时建立密钥列表,将密钥内容及密钥ID返回给终端。该流程还需周期执行,定期更新密钥,执行完毕后转至步骤S2。
S2、当已注册客户端的终端发起访问业务服务器的同时,客户端程序会使用密钥对业务服务器IP地址、业务服务器的业务端口进行计算,生成校验码,执行完毕后转至步骤S3。
S3、已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码,执行完毕后转至步骤S4。
S4、对于本次连接,通过判断源IP是否在内部的NAT列表内,来确认是否为NAT数据流,如果是NAT数据流,转至步骤S5。如果不是NAT数据流,则判断源IP设备是否为合法名单池内的设备,是则放行,不是则转至步骤S8。
S5、准入***对截获的NAT数据流进行分析,判断是否存在密钥ID及校验码,存在则执行转至步骤S6,不存在则转至步骤S8。
S6、通过密钥ID,准入***检索出密钥内容,使用密钥对目标IP、端口计算校验码,执行完毕后转至步骤S7。
S7、准入***判断数据流中的校验码与计算的校验码是否一致,如一致则放行该数据流,如不一致则转至步骤S8。
S8、准入***对本次数据流进行阻断。
上述实施例是对本发明的说明,不是对本发明的限定,任何对本发明简单变换后的方案均属于本发明的保护范围。
Claims (6)
1.一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:具体包括以下步骤:
S1、NAT下客户端的终端开机或周期通过安全加密通讯方法向准入***请求密钥,准入***根据请求生成新密钥,将密钥内容及密钥ID返回给终端,执行完毕后转至步骤S2;
S2、当已注册客户端的终端发起访问业务服务器的同时,客户端程序使用密钥对业务服务器IP地址、业务服务器的业务端口进行计算,生成校验码,执行完毕后转至步骤S3;
S3、已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码,执行完毕后转至步骤S4;
S4、对于本次连接,判断是否为NAT数据流,如果是NAT数据流,转至步骤S5;
S5、准入***对截获的NAT数据流进行分析,判断是否存在密钥ID及校验码,存在则执行转至步骤S6,不存在则转至步骤S8;
S6、通过密钥ID,准入***检索出密钥内容,使用密钥对目标IP、端口计算校验码,执行完毕后转至步骤S7;
S7、准入***判断数据流中的校验码与计算的校验码是否一致,如一致则放行该数据流,如不一致则转至步骤S8;
S8、准入***对本次数据流进行阻断。
2.如权利要求1所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S1中,在向准入***请求密钥之前,先判断客户端是否为NAT环境,具体步骤为:NAT下已注册客户端的终端启动后通过安全加密通讯方法向准入***发送终端本机IP,准入***根据收到的终端本机IP和通信的对端IP是否一致来判断是否为NAT环境,并将判断结果发送回给客户端,客户端判断如果是NAT环境,则向准入***请求密钥。
3.如权利要求2所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:将判断结果发送回给客户端的同时,还需建立NAT列表。
4.如权利要求3所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S1中,准入***根据客户端的请求生成新密钥,并同时建立密钥列表,将密钥内容及密钥ID返回给终端,周期执行该流程,定期更新密钥,执行完毕后转至步骤S2。
5.如权利要求3所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S4中,通过判断源IP是否在NAT列表内,确认是否为NAT数据流。
6.如权利要求1所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S4中,如果不是NAT数据流,则判断源IP是否在放行名单中,若是则放行,若不是则转至步骤S8。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011622370.0A CN112887265B (zh) | 2020-12-31 | 2020-12-31 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011622370.0A CN112887265B (zh) | 2020-12-31 | 2020-12-31 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112887265A CN112887265A (zh) | 2021-06-01 |
CN112887265B true CN112887265B (zh) | 2024-03-26 |
Family
ID=76046482
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011622370.0A Active CN112887265B (zh) | 2020-12-31 | 2020-12-31 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112887265B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010046990A (ko) * | 1999-11-17 | 2001-06-15 | 김진찬 | 대용량 통신처리시스템용 프레임릴레이 라우터 보안방법 |
CN101127454A (zh) * | 2006-08-18 | 2008-02-20 | 北京国智恒电力管理科技有限公司 | 电力监管信息安全接入设备 |
KR20080060010A (ko) * | 2006-12-26 | 2008-07-01 | 주식회사 케이티 | 사용자 단말 기반의 통합 인증 시스템 및 그 방법 |
WO2008082441A1 (en) * | 2006-12-29 | 2008-07-10 | Prodea Systems, Inc. | Display inserts, overlays, and graphical user interfaces for multimedia systems |
WO2014075485A1 (zh) * | 2012-11-14 | 2014-05-22 | 中兴通讯股份有限公司 | 网络地址转换技术的处理方法、nat设备及bng设备 |
CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
CN104717316A (zh) * | 2015-04-03 | 2015-06-17 | 山东华软金盾软件有限公司 | 一种跨nat环境下客户端接入方法和*** |
CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控***及方法 |
CN106788983A (zh) * | 2017-03-01 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 一种基于客户端/服务器模式的通讯数据加密方法及装置 |
CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
CN107483461A (zh) * | 2017-08-30 | 2017-12-15 | 北京奇安信科技有限公司 | 一种nat环境下的终端准入控制方法及装置 |
CN111917706A (zh) * | 2020-05-21 | 2020-11-10 | 西安交大捷普网络科技有限公司 | 一种识别nat设备及确定nat后终端数的方法 |
CN111970234A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种基于Cookie的NAT私网接入违规外联设备的取证方法 |
-
2020
- 2020-12-31 CN CN202011622370.0A patent/CN112887265B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010046990A (ko) * | 1999-11-17 | 2001-06-15 | 김진찬 | 대용량 통신처리시스템용 프레임릴레이 라우터 보안방법 |
CN101127454A (zh) * | 2006-08-18 | 2008-02-20 | 北京国智恒电力管理科技有限公司 | 电力监管信息安全接入设备 |
KR20080060010A (ko) * | 2006-12-26 | 2008-07-01 | 주식회사 케이티 | 사용자 단말 기반의 통합 인증 시스템 및 그 방법 |
WO2008082441A1 (en) * | 2006-12-29 | 2008-07-10 | Prodea Systems, Inc. | Display inserts, overlays, and graphical user interfaces for multimedia systems |
WO2014075485A1 (zh) * | 2012-11-14 | 2014-05-22 | 中兴通讯股份有限公司 | 网络地址转换技术的处理方法、nat设备及bng设备 |
CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
CN104717316A (zh) * | 2015-04-03 | 2015-06-17 | 山东华软金盾软件有限公司 | 一种跨nat环境下客户端接入方法和*** |
CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控***及方法 |
CN106788983A (zh) * | 2017-03-01 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 一种基于客户端/服务器模式的通讯数据加密方法及装置 |
CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
CN107483461A (zh) * | 2017-08-30 | 2017-12-15 | 北京奇安信科技有限公司 | 一种nat环境下的终端准入控制方法及装置 |
CN111917706A (zh) * | 2020-05-21 | 2020-11-10 | 西安交大捷普网络科技有限公司 | 一种识别nat设备及确定nat后终端数的方法 |
CN111970234A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种基于Cookie的NAT私网接入违规外联设备的取证方法 |
Non-Patent Citations (2)
Title |
---|
"Internet access denial by higher-tier ISPS: A NAT-based solution";A. Al-Baiz等;《2011 24th Canadian Conference on Electrical and Computer Engineering(CCECE)》;20110929;全文 * |
基于内网扫描和内网检测的非法外联监控方案;王琼;胡建钧;;信息通信技术;20081215(06);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112887265A (zh) | 2021-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109039436B (zh) | 一种卫星安全接入认证的方法及*** | |
US11140161B2 (en) | Uncloneable registration of an internet of things (IoT) device in a network | |
US10158608B2 (en) | Key establishment for constrained resource devices | |
CA2424067A1 (en) | Peer-to-peer name resolution protocol (pnrp) security infrastructure and method | |
CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
CN112769568B (zh) | 雾计算环境中的安全认证通信***、方法、物联网设备 | |
CN105553666A (zh) | 一种智能电力终端安全认证***及方法 | |
CN102025769B (zh) | 一种分布式互联网接入方法 | |
CN115499235A (zh) | 一种基于dns的零信任网络授权方法及*** | |
CN114726513A (zh) | 数据传输方法、设备、介质及产品 | |
US9686311B2 (en) | Interdicting undesired service | |
WO2013055037A1 (ko) | 위치정보 기반 인증 관제 시스템 및 방법 | |
CN112887265B (zh) | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 | |
JP2003283489A (ja) | パケット認証システムおよび認証方法、ならびにグループ管理サーバとグループメンバー装置 | |
US10079857B2 (en) | Method of slowing down a communication in a network | |
CN111835765B (zh) | 一种验证方法及装置 | |
CN105959251B (zh) | 一种防止nat穿越认证的方法及装置 | |
JP3263879B2 (ja) | 暗号通信システム | |
CN105516374A (zh) | 内部地址分配方法、装置、服务器及*** | |
CN110768983B (zh) | 一种报文处理方法和装置 | |
CN113347627B (zh) | 无线网络接入方法、装置和移动终端 | |
EP3907967A1 (en) | Method for preventing sip device from being attacked, calling device, and called device | |
KR101099082B1 (ko) | 서버 접근 제어 시스템 및 그 방법 | |
CN110519253B (zh) | 拟态防御中的虚拟专用网拟态方法 | |
CN116016426A (zh) | 一种数据的传输方法、装置、存储介质及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information |
Inventor after: Shao Senlong Inventor after: Pang Zhuo Inventor after: Zhao Yunong Inventor after: Yang Ling Inventor after: Shen Li Inventor before: Shao Senlong Inventor before: Meng Feifei Inventor before: Fu Yuhao Inventor before: Yang Ling |
|
CB03 | Change of inventor or designer information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |