CN112887265B - 一种针对nat下防止未注册终端伪造为合法通信的准入方法 - Google Patents

一种针对nat下防止未注册终端伪造为合法通信的准入方法 Download PDF

Info

Publication number
CN112887265B
CN112887265B CN202011622370.0A CN202011622370A CN112887265B CN 112887265 B CN112887265 B CN 112887265B CN 202011622370 A CN202011622370 A CN 202011622370A CN 112887265 B CN112887265 B CN 112887265B
Authority
CN
China
Prior art keywords
key
nat
terminal
check code
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011622370.0A
Other languages
English (en)
Other versions
CN112887265A (zh
Inventor
邵森龙
庞卓
赵雨农
杨玲
沈立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co ltd
Original Assignee
Zhejiang Yuanwang Information Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co ltd filed Critical Zhejiang Yuanwang Information Co ltd
Priority to CN202011622370.0A priority Critical patent/CN112887265B/zh
Publication of CN112887265A publication Critical patent/CN112887265A/zh
Application granted granted Critical
Publication of CN112887265B publication Critical patent/CN112887265B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提出了一种针对NAT下防止未注册终端伪造为合法通信的准入方法,包括以下步骤:NAT下客户端的终端开机或周期通过安全加密通讯方法向准入***请求密钥,准入***根据请求生成新密钥,将密钥内容及密钥ID返回给终端。客户端程序使用密钥对业务服务器IP地址、业务端口进行计算;已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码;如果是NAT数据流,且存在密钥ID及校验码则检索出密钥内容,则使用密钥对目标IP、端口计算校验码,否则进行阻断。如准入***判断数据流中的校验码与计算的校验码一致则放行该数据流,不一致则进行阻断。解决了无法有效发现并检测通过NAT形式接入网络的设备伪造为合法设备的问题。

Description

一种针对NAT下防止未注册终端伪造为合法通信的准入方法
【技术领域】
本发明涉及网络安全准入控制的技术领域,特别是一种针对NAT下防止未注册终端伪造为合法通信的准入方法。
【背景技术】
NAT(Network Address Translation),即网络地址转换技术,作为目前IPv4地址资源日益枯竭的临时解决办法被广泛的运用,大至运营商,小至家庭网络都有它的身影。NAT的运用极大的降低了网络接入的门槛,同时使得网络拓扑变得更加复杂,大大增加了网络运维管理的难度。特别是有专用需求需要准入控制的网络,对于NAT内接入的私网设备必须进行有效的管理,并需要防止NAT内接入的私网设备伪造为同NAT下其他合法设备接入网络的问题。为解决以上问题,有必要提出针对NAT接入设备的准入控制方法,用于检测网络中NAT接入的设备的连接合法情况。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种NAT下防止未注册客户端的终端伪造为合法通信的准入方法,其旨在解决使用现有技术无法有效发现并检测通过NAT形式接入网络的设备伪造为合法设备的问题。
为实现上述目的,本发明提出了一种针对NAT下防止未注册终端伪造为合法通信的准入方法,具体包括以下步骤:
S1、NAT下客户端的终端开机或周期通过安全加密通讯方法向准入***请求密钥,准入***根据请求生成新密钥,将密钥内容及密钥ID返回给终端,执行完毕后转至步骤S2;
S2、当已注册客户端的终端发起访问业务服务器的同时,客户端程序使用密钥对业务服务器IP地址、业务服务器的业务端口进行计算,生成校验码,执行完毕后转至步骤S3;
S3、已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码,执行完毕后转至步骤S4;
S4、对于本次连接,判断是否为NAT数据流,如果是NAT数据流,转至步骤S5;
S5、准入***对截获的NAT数据流进行分析,判断是否存在密钥ID及校验码,存在则执行转至步骤S6,不存在则转至步骤S8;
S6、通过密钥ID,准入***检索出密钥内容,使用密钥对目标IP、端口计算校验码,执行完毕后转至步骤S7;
S7、准入***判断数据流中的校验码与计算的校验码是否一致,如一致则放行该数据流,如不一致则转至步骤S8;
S8、准入***对本次数据流进行阻断。
作为优选,步骤S1中,在向准入***请求密钥之前,先判断客户端是否为NAT环境,具体步骤为:NAT下已注册客户端的终端启动后通过安全加密通讯方法向准入***发送终端本机IP,准入***根据收到的终端本机IP和通信的对端IP是否一致来判断是否为NAT环境,并将判断结果发送回给客户端,客户端判断如果是NAT环境,则向准入***请求密钥。
作为优选,将判断结果发送回给客户端的同时,还需建立NAT列表。
作为优选,步骤S1中,准入***根据客户端的请求生成新密钥,并同时建立密钥列表,将密钥内容及密钥ID返回给终端,周期执行该流程,定期更新密钥,执行完毕后转至步骤S2。
作为优选,步骤S4中,通过判断源IP是否在NAT列表内,确认是否为NAT数据流。
作为优选,步骤S4中,如果不是NAT数据流,则判断源IP是否在放行名单中,若是则放行,若不是则转至步骤S8。
本发明的有益效果:本发明通过只在客户端和服务器之间使用双方一致的密钥对数据流进行加解密的方法,从而有效的解决了NAT接入设备内非法终端伪造合法通信来逃避准入控制的问题。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明一种针对NAT下防止未注册终端伪造为合法通信的准入方法的流程图。
【具体实施方式】
在NAT环境下的终端与业务服务器通信时,根据通讯中的数据流不但要区分已注册客户端的终端与未注册客户端的终端,还需要防止未注册客户端的终端通过伪造为合法通信从而欺骗***进入网络的情况。参阅图1,本发明一种针对NAT下防止未注册客户端的终端伪造为合法通信的准入方法,具体步骤如下:
S1、NAT下客户端的终端启动后通过安全加密通讯方法向准入***发送终端本机IP,准入***根据收到的终端本机IP和通信的对端IP是否一致来判断是否为NAT环境,并将判断结果发送回给客户端,并同时建立NAT列表。客户端判断如果是NAT环境,则向准入***请求密钥,准入***根据请求生成新密钥,并同时建立密钥列表,将密钥内容及密钥ID返回给终端。该流程还需周期执行,定期更新密钥,执行完毕后转至步骤S2。
S2、当已注册客户端的终端发起访问业务服务器的同时,客户端程序会使用密钥对业务服务器IP地址、业务服务器的业务端口进行计算,生成校验码,执行完毕后转至步骤S3。
S3、已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码,执行完毕后转至步骤S4。
S4、对于本次连接,通过判断源IP是否在内部的NAT列表内,来确认是否为NAT数据流,如果是NAT数据流,转至步骤S5。如果不是NAT数据流,则判断源IP设备是否为合法名单池内的设备,是则放行,不是则转至步骤S8。
S5、准入***对截获的NAT数据流进行分析,判断是否存在密钥ID及校验码,存在则执行转至步骤S6,不存在则转至步骤S8。
S6、通过密钥ID,准入***检索出密钥内容,使用密钥对目标IP、端口计算校验码,执行完毕后转至步骤S7。
S7、准入***判断数据流中的校验码与计算的校验码是否一致,如一致则放行该数据流,如不一致则转至步骤S8。
S8、准入***对本次数据流进行阻断。
上述实施例是对本发明的说明,不是对本发明的限定,任何对本发明简单变换后的方案均属于本发明的保护范围。

Claims (6)

1.一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:具体包括以下步骤:
S1、NAT下客户端的终端开机或周期通过安全加密通讯方法向准入***请求密钥,准入***根据请求生成新密钥,将密钥内容及密钥ID返回给终端,执行完毕后转至步骤S2;
S2、当已注册客户端的终端发起访问业务服务器的同时,客户端程序使用密钥对业务服务器IP地址、业务服务器的业务端口进行计算,生成校验码,执行完毕后转至步骤S3;
S3、已注册客户端的终端在本次访问业务服务器的数据流中,使用密钥ID及生成的校验码,执行完毕后转至步骤S4;
S4、对于本次连接,判断是否为NAT数据流,如果是NAT数据流,转至步骤S5;
S5、准入***对截获的NAT数据流进行分析,判断是否存在密钥ID及校验码,存在则执行转至步骤S6,不存在则转至步骤S8;
S6、通过密钥ID,准入***检索出密钥内容,使用密钥对目标IP、端口计算校验码,执行完毕后转至步骤S7;
S7、准入***判断数据流中的校验码与计算的校验码是否一致,如一致则放行该数据流,如不一致则转至步骤S8;
S8、准入***对本次数据流进行阻断。
2.如权利要求1所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S1中,在向准入***请求密钥之前,先判断客户端是否为NAT环境,具体步骤为:NAT下已注册客户端的终端启动后通过安全加密通讯方法向准入***发送终端本机IP,准入***根据收到的终端本机IP和通信的对端IP是否一致来判断是否为NAT环境,并将判断结果发送回给客户端,客户端判断如果是NAT环境,则向准入***请求密钥。
3.如权利要求2所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:将判断结果发送回给客户端的同时,还需建立NAT列表。
4.如权利要求3所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S1中,准入***根据客户端的请求生成新密钥,并同时建立密钥列表,将密钥内容及密钥ID返回给终端,周期执行该流程,定期更新密钥,执行完毕后转至步骤S2。
5.如权利要求3所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S4中,通过判断源IP是否在NAT列表内,确认是否为NAT数据流。
6.如权利要求1所述的一种针对NAT下防止未注册终端伪造为合法通信的准入方法,其特征在于:步骤S4中,如果不是NAT数据流,则判断源IP是否在放行名单中,若是则放行,若不是则转至步骤S8。
CN202011622370.0A 2020-12-31 2020-12-31 一种针对nat下防止未注册终端伪造为合法通信的准入方法 Active CN112887265B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011622370.0A CN112887265B (zh) 2020-12-31 2020-12-31 一种针对nat下防止未注册终端伪造为合法通信的准入方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011622370.0A CN112887265B (zh) 2020-12-31 2020-12-31 一种针对nat下防止未注册终端伪造为合法通信的准入方法

Publications (2)

Publication Number Publication Date
CN112887265A CN112887265A (zh) 2021-06-01
CN112887265B true CN112887265B (zh) 2024-03-26

Family

ID=76046482

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011622370.0A Active CN112887265B (zh) 2020-12-31 2020-12-31 一种针对nat下防止未注册终端伪造为合法通信的准入方法

Country Status (1)

Country Link
CN (1) CN112887265B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010046990A (ko) * 1999-11-17 2001-06-15 김진찬 대용량 통신처리시스템용 프레임릴레이 라우터 보안방법
CN101127454A (zh) * 2006-08-18 2008-02-20 北京国智恒电力管理科技有限公司 电力监管信息安全接入设备
KR20080060010A (ko) * 2006-12-26 2008-07-01 주식회사 케이티 사용자 단말 기반의 통합 인증 시스템 및 그 방법
WO2008082441A1 (en) * 2006-12-29 2008-07-10 Prodea Systems, Inc. Display inserts, overlays, and graphical user interfaces for multimedia systems
WO2014075485A1 (zh) * 2012-11-14 2014-05-22 中兴通讯股份有限公司 网络地址转换技术的处理方法、nat设备及bng设备
CN104580553A (zh) * 2015-02-03 2015-04-29 网神信息技术(北京)股份有限公司 网络地址转换设备的识别方法和装置
CN104717316A (zh) * 2015-04-03 2015-06-17 山东华软金盾软件有限公司 一种跨nat环境下客户端接入方法和***
CN104796261A (zh) * 2015-04-16 2015-07-22 长安大学 一种网络终端节点的安全接入管控***及方法
CN106788983A (zh) * 2017-03-01 2017-05-31 深圳市中博睿存信息技术有限公司 一种基于客户端/服务器模式的通讯数据加密方法及装置
CN107018134A (zh) * 2017-04-06 2017-08-04 北京中电普华信息技术有限公司 一种配电终端安全接入平台及其实现方法
CN107483461A (zh) * 2017-08-30 2017-12-15 北京奇安信科技有限公司 一种nat环境下的终端准入控制方法及装置
CN111917706A (zh) * 2020-05-21 2020-11-10 西安交大捷普网络科技有限公司 一种识别nat设备及确定nat后终端数的方法
CN111970234A (zh) * 2020-06-30 2020-11-20 浙江远望信息股份有限公司 一种基于Cookie的NAT私网接入违规外联设备的取证方法

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010046990A (ko) * 1999-11-17 2001-06-15 김진찬 대용량 통신처리시스템용 프레임릴레이 라우터 보안방법
CN101127454A (zh) * 2006-08-18 2008-02-20 北京国智恒电力管理科技有限公司 电力监管信息安全接入设备
KR20080060010A (ko) * 2006-12-26 2008-07-01 주식회사 케이티 사용자 단말 기반의 통합 인증 시스템 및 그 방법
WO2008082441A1 (en) * 2006-12-29 2008-07-10 Prodea Systems, Inc. Display inserts, overlays, and graphical user interfaces for multimedia systems
WO2014075485A1 (zh) * 2012-11-14 2014-05-22 中兴通讯股份有限公司 网络地址转换技术的处理方法、nat设备及bng设备
CN104580553A (zh) * 2015-02-03 2015-04-29 网神信息技术(北京)股份有限公司 网络地址转换设备的识别方法和装置
CN104717316A (zh) * 2015-04-03 2015-06-17 山东华软金盾软件有限公司 一种跨nat环境下客户端接入方法和***
CN104796261A (zh) * 2015-04-16 2015-07-22 长安大学 一种网络终端节点的安全接入管控***及方法
CN106788983A (zh) * 2017-03-01 2017-05-31 深圳市中博睿存信息技术有限公司 一种基于客户端/服务器模式的通讯数据加密方法及装置
CN107018134A (zh) * 2017-04-06 2017-08-04 北京中电普华信息技术有限公司 一种配电终端安全接入平台及其实现方法
CN107483461A (zh) * 2017-08-30 2017-12-15 北京奇安信科技有限公司 一种nat环境下的终端准入控制方法及装置
CN111917706A (zh) * 2020-05-21 2020-11-10 西安交大捷普网络科技有限公司 一种识别nat设备及确定nat后终端数的方法
CN111970234A (zh) * 2020-06-30 2020-11-20 浙江远望信息股份有限公司 一种基于Cookie的NAT私网接入违规外联设备的取证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Internet access denial by higher-tier ISPS: A NAT-based solution";A. Al-Baiz等;《2011 24th Canadian Conference on Electrical and Computer Engineering(CCECE)》;20110929;全文 *
基于内网扫描和内网检测的非法外联监控方案;王琼;胡建钧;;信息通信技术;20081215(06);全文 *

Also Published As

Publication number Publication date
CN112887265A (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
CN109039436B (zh) 一种卫星安全接入认证的方法及***
US11140161B2 (en) Uncloneable registration of an internet of things (IoT) device in a network
US10158608B2 (en) Key establishment for constrained resource devices
CA2424067A1 (en) Peer-to-peer name resolution protocol (pnrp) security infrastructure and method
CN101674306B (zh) 地址解析协议报文处理方法及交换机
CN112769568B (zh) 雾计算环境中的安全认证通信***、方法、物联网设备
CN105553666A (zh) 一种智能电力终端安全认证***及方法
CN102025769B (zh) 一种分布式互联网接入方法
CN115499235A (zh) 一种基于dns的零信任网络授权方法及***
CN114726513A (zh) 数据传输方法、设备、介质及产品
US9686311B2 (en) Interdicting undesired service
WO2013055037A1 (ko) 위치정보 기반 인증 관제 시스템 및 방법
CN112887265B (zh) 一种针对nat下防止未注册终端伪造为合法通信的准入方法
JP2003283489A (ja) パケット認証システムおよび認証方法、ならびにグループ管理サーバとグループメンバー装置
US10079857B2 (en) Method of slowing down a communication in a network
CN111835765B (zh) 一种验证方法及装置
CN105959251B (zh) 一种防止nat穿越认证的方法及装置
JP3263879B2 (ja) 暗号通信システム
CN105516374A (zh) 内部地址分配方法、装置、服务器及***
CN110768983B (zh) 一种报文处理方法和装置
CN113347627B (zh) 无线网络接入方法、装置和移动终端
EP3907967A1 (en) Method for preventing sip device from being attacked, calling device, and called device
KR101099082B1 (ko) 서버 접근 제어 시스템 및 그 방법
CN110519253B (zh) 拟态防御中的虚拟专用网拟态方法
CN116016426A (zh) 一种数据的传输方法、装置、存储介质及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Shao Senlong

Inventor after: Pang Zhuo

Inventor after: Zhao Yunong

Inventor after: Yang Ling

Inventor after: Shen Li

Inventor before: Shao Senlong

Inventor before: Meng Feifei

Inventor before: Fu Yuhao

Inventor before: Yang Ling

CB03 Change of inventor or designer information
GR01 Patent grant
GR01 Patent grant