CN101150390B - 基于信任检测的应用指纹通信方法及系统 - Google Patents
基于信任检测的应用指纹通信方法及系统 Download PDFInfo
- Publication number
- CN101150390B CN101150390B CN 200610122297 CN200610122297A CN101150390B CN 101150390 B CN101150390 B CN 101150390B CN 200610122297 CN200610122297 CN 200610122297 CN 200610122297 A CN200610122297 A CN 200610122297A CN 101150390 B CN101150390 B CN 101150390B
- Authority
- CN
- China
- Prior art keywords
- employing fingerprint
- data message
- module
- edge device
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于信任检测的应用指纹通信方法及系统,其系统包括:客户机模块:用于与管理服务器认证并取得应用指纹,并用该应用指纹对预先指定的应用程序发出的数据进行标识和加密等;管理服务器认证子模块:用于与客户机模块认证,并产生应用指纹发给边界设备模块和认证子模块等;管理服务器管理子模块:用于日常维护、管理、配置、结果查看、报表输出等;边界设备模块:用于识别并解密信任的数据报文,阻断非信任的报文,并产生告警等。本发明具有以下优点:保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文,无需关心非信任内容的特征,没有特征库升级等需求。
Description
【技术领域】
本发明涉及一种网络安全通信实现形式-一种基于信任检测的应用指纹通信方法及系统。
【背景技术】
现有的防火墙、VPN等安全产品都将建立一个安全的通信隧道,然而在这有效的安全隧道里却难保证是何应用程序发出的数据报文到目的机器;IDS、反病毒产品对此是个补充,必须预先给出知识库又给此补充带来诸多麻烦和对不可预见威胁防范不可行;本方法通过基于信任检测的应用指纹通信方法及系统,来保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文到目的机器。
【发明内容】
本发明的目的就是设计一种网络安全通信实现形式,通过基于信任检测的应用指纹通信方法及系统,使得客户机与边界设备间使用同一应用指纹进行做标识与识别加密与解密的步骤来保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文,基于信任检测的应用指纹通信系统,其特征在于:包括客户机模块:用于与管理服务器认证并取得应用指纹,并用该应用指纹对预先指定的应用程序发出的数据进行标识和加密等;
管理服务器认证子模块:用于与客户机模块认证,并产生应用指纹发给边界设备模块和客户机模块;
管理服务器管理子模块:用于日常维护、管理、配置、结果查看、报表输出;
边界设备模块:用于识别并解密信任的数据报文,阻断非信任的报文,并
产生告警;
客户机模块向管理服务器验证身份并请求获得该次认证的应用指纹;确认了客户机身份后,管理服务器将随机产生本次认证的应用指纹,将客户机的IP地址和MAC地址以及对应的应用指纹发给边界设备,在边界设备上形成白名单和应用指纹表;当得到边界设备接受回应,服务器又将认证成功信号以及该应用指纹发回给客户机模块,否则给客户机模块发回认证失败信号;客户机模块在应用指纹有效期内,对预先指定的应用程序发出的数据报文进行与应用指纹加密及做记号后发出,对其他应用程序发出的数据报文将不予理会或进行阻断,在认证期间所有应用程序数据报文暂缓发送;边界设备收到客户机发来的数据报文后,判断客户机在白名单内则将数据报文与应用指纹表对应并解密,将解密后的数据报文发向目的机器,对与应用指纹无法匹配的数据报文将不予转发,并按预先的设定给予报警;边界设备对客户机到管理服务器之间的认证信号将被特殊识别并通行。
所述管理服务器认证子模块、管理服务器管理子模块、边界设备模块均可以被物理地归并为一到三个模块。
基于信任检测的应用指纹通信方法,其特征在于:包括:
步骤一:客户机模块向管理服务器验证身份并请求获得该次认证的应用指纹;
步骤二:当确认了客户机身份,管理服务器将随机产生本次认证的应用指纹,将客户机的IP地址和MAC地址以及对应的应用指纹发给边界设备,在边界设备上形成白名单和应用指纹表;
步骤三:当得到边界设备接受回应,服务器又将认证成功信号以及该应用指纹发回给客户机模块,否则给客户机模块发回认证失败信号;
步骤四:客户机模块在应用指纹有效期内,对预先指定的应用程序发出的数据报文进行与应用指纹加密及做记号后发出,对其他应用程序发出的数据报文将不予理会或进行阻断,在认证期间所有应用程序数据报文暂缓发送;
步骤五:边界设备收到客户机发来的数据报文后,判断客户机在白名单内则将数据报文与应用指纹表对应并解密,将解密后的数据报文发向目的机器,对与应用指纹无法匹配的数据报文将不予转发,并按预先的设定给予报警;
步骤六:边界设备对客户机到管理服务器之间的认证信号将被特殊识别并通行。
当新的连接产生或应用指纹有效时间到达之前,客户机模块将重新以上步骤一到步骤五,如此保证只有指定的应用程序发出的数据报文才能从客户机发到目的机器,使得目的机器不受客户机的网络攻击威胁。
上述步骤一为客户机模块在新的连接创建或者旧的应用指纹将失效的时候主动向管理服务器发起的认证请求数据报文。
上述步骤二为管理服务器将认证内容与预先通过管理服务器管理子模块存放在数据库里的客户机身份信息对比,确认身份后产生应用指纹。
上述步骤三明确表明边界设备较客户机更先接收到新的应用指纹。
上述步骤四,在认证期间所有应用程序数据报文暂缓发送。
本发明具有以下优点:
1、保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文。
2、无需关心非信任内容的特征,没有特征库升级等需求。
3、数据报文加密计算量小,传输效率高。
4、告警数据可进行二次挖掘,进行更深层的分析。
【附图说明】
图1是本实用新型基于信任检测的应用指纹通信系统的结构示意图;
图2为客户机模块数据流程图;
图3为管理服务器的数据流程图;
图4为边界设备的数据流程图。
【具体实施方式】
图1为本发明基于信任检测的应用指纹通信系统的结构示意图,见说明书附图1。如图所述本发明系统包括客户机模块11、管理服务器12,以及边界设备13,
客户机模块11:用于与管理服务器认证并取得应用指纹,并用该应用指纹对预先指定的应用程序发出的数据进行标识和加密等;
其中管理服务器12包括管理服务器认证子模块121和管理服务器管理子模块122
管理服务器认证子模块121:用于与客户机模块认证,并产生应用指纹发给边界设备模块和客户机模块等;
管理服务器管理子模块122:用于日常维护、管理、配置、结果查看、报表输出等;
边界设备模块13:用于识别并解密信任的数据报文,阻断非信任的报文,并产生告警等;
应用指纹是个代名词,其实是随机产生一段数据内容,由于其随机性导致其相对唯一性,与现实生活中指纹相类似,并且是针对预先指定的应用程序而使用的,故而用应用指纹代名。
其中客户机模块11将从操作系统底层驱动方式拦截数据报文,可以撰改数据报文内容,并控制其是否被发出,由此可以完成客户机模块所承担的工作。客户机还将从数据报文中的协议和端口从操作系统反查出是哪个应用程序发出。
边界设备13也将从操作系统底层捕获数据报文、撰改数据报文并控制是否转发。实现的方式可以驱动抓包发包方式、操作系统接口、应用程序挂接(如Linux的Iptable接口编程)等。
管理服务器12内含管理服务器管理模块和管理服务器认证模块,实际应用中可根据容量和性能需求剥离这两个模块,甚至添加数据库服务器和证书服务器,也可用第三方的证书服务器。客户机模块11到管理服务器12之间的认证方式将采用加密的TCP数据报文进行传输,同样管理服务器12与边界设备13间也将采用加密的TCP数据报文进行传输以保证内容保密性、完整性和可用性。管理服务器管理12模块主要用客户机/服务器模式(C/S)或者浏览器/服务器模式(B/S)来进行客户机用户的注册、变更等操作,后者更为被推荐。
以上管理服务器认证子模块121、管理服务器管理子模块122、边界设备模块13均可以被物理地归并为一到三个模块。
图2为客户机模块数据流程图,如图2所示,步骤一:当客户机模块拦截到所有应用程序发出的数据报文,步骤二:对其是否为指令的应用程序发出的数据报文进行判断,步骤三:如果是应用程序发出的数据报文,进一步判断本次连接是否已经认证(即是否获得应用指纹),步骤四:如果是再判断应用指纹是否到期,步骤五:如果没有到期,即利用应用指纹对其发出的数据报文进行标记和加密,而发出此数据报文。
其中,如果步骤二中如果发送的不是为指定的应用程序发出的数据报文,则不用关心其是否发出或者阻断;
步骤三中,如果本次连接没有认证,则回到步骤一,请求认证,而后等待认证信号,符合条件从而获得认证结果,步骤六:判断认证是否通过,如果认证通过,转到步骤五对其数据报文进行加密而后发出此数据报文;
上述当在等待认证信号超时和如果认证没有通过,则丢弃此数据报文。
图3为管理服务器的数据流程图,如图3所示,步骤一:管理服务器接收到认证请求信号,对其进行认证,步骤二:判断其认证是否通过,如果通过,则生成应用指纹,而后向边界设备发送客户机IP地址,MAC地址以及应用指纹,步骤三:等待边界设备的回应,是否超时,如果不超时,向客户机模块发送认证成功及应用指纹。
其中,步骤二中认证没有通过或者或步骤三中已经超时则该管理服务器回应认证失败。
图4为边界设备的数据流程图,如图4所示,包括步骤一:当边界设备受到所有的数据报文,对其进行判断,是否为管理服务器的认证信号,步骤二:如果不是,进一步判断其是否为管理服务器发出的白名单与应用指纹更新信号,步骤三:再进一步判断客户机的IP地址,MAC地址是否在白名单中,如果是,步骤四:判断是否与应用指纹相符合,利用应用指纹解密,而发送到目的机器。
其中,步骤一中判断如果是管理服务器的认证信号,则转发到管理服务器;
其中,步骤二中,如果不是为管理服务器发出的白名单与应用指纹更新信号,则更新白名单与应用指纹列表,而后向管理服务器发送更新成功信号;
其中,步骤三、步骤四中如果客户机的IP地址,MAC地址不在白名单中或者与应用指纹不相符合则不转发该数据文报。
本发明具有以下优点:
1、保证在预先提供的通信隧道里,不论其是否相对安全,只传输指定的应用程序数据报文。
2、无需关心非信任内容的特征,没有特征库升级等需求。
3、数据报文加密计算量小,传输效率高。
4、告警数据可进行二次挖掘,进行更深层的分析。
以上所述者,仅为本发明最佳实施例而已,并非用于限制本发明的范围,凡依本发明申请专利范围所作的等效变化或修饰,皆为本发明所涵盖。
Claims (7)
1.基于信任检测的应用指纹通信系统,其特征在于:
包括客户机模块:用于与管理服务器认证并取得应用指纹,并用该应用指纹对预先指定的应用程序发出的数据进行标识和加密;
管理服务器认证子模块:用于与客户机模块认证,并产生应用指纹发给边界设备模块和客户机模块;
管理服务器管理子模块:用于日常维护、管理、配置、结果查看、报表输出;
边界设备模块:用于识别并解密信任的数据报文,阻断非信任的报文,并产生告警;
客户机模块向管理服务器验证身份并请求获得该次认证的应用指纹;确认了客户机身份后,管理服务器将随机产生本次认证的应用指纹,将客户机的IP地址和MAC地址以及对应的应用指纹发给边界设备,在边界设备上形成白名单和应用指纹表;当得到边界设备接受回应,服务器又将认证成功信号以及该应用指纹发回给客户机模块,否则给客户机模块发回认证失败信号;客户机模块在应用指纹有效期内,对预先指定的应用程序发出的数据报文进行与应用指纹加密及做记号后发出,对其他应用程序发出的数据报文将不予理会或进行阻断,在认证期间所有应用程序数据报文暂缓发送;边界设备收到客户机发来的数据报文后,判断客户机在白名单内则将数据报文与应用指纹表对应并解密,将解密后的数据报文发向目的机器,对与应用指纹无法匹配的数据报文将不予转发,并按预先的设定给予报警;边界设备对客户机到管理服务器之间的认证信号将被特殊识别并通行。
2.如权利要求1所述的基于信任检测的应用指纹通信系统,其特征在于:所述管理服务器认证子模块、管理服务器管理子模块、边界设备模块均可以被物理地归并为一到三个模块。
3.基于信任检测的应用指纹通信方法,其特征在于:包括:
步骤一:客户机模块向管理服务器验证身份并请求获得该次认证的应用指纹;
步骤二:当确认了客户机身份,管理服务器将随机产生本次认证的应用指纹,将客户机的IP地址和MAC地址以及对应的应用指纹发给边界设备,在边界设备上形成白名单和应用指纹表;
步骤三:当得到边界设备接受回应,服务器又将认证成功信号以及该应用指纹发回给客户机模块,否则给客户机模块发回认证失败信号;
步骤四:客户机模块在应用指纹有效期内,对预先指定的应用程序发出的数据报文进行与应用指纹加密及做记号后发出,对其他应用程序发出的数据报文将不予理会或进行阻断,在认证期间所有应用程序数据报文暂缓发送;
步骤五:边界设备收到客户机发来的数据报文后,判断客户机在白名单内则将数据报文与应用指纹表对应并解密,将解密后的数据报文发向目的机器,对与应用指纹无法匹配的数据报文将不予转发,并按预先的设定给予报警;
步骤六:边界设备对客户机到管理服务器之间的认证信号将被特殊识别并通行。
4.如权利要求3所述的基于信任检测的应用指纹通信方法,其特征在于:当新的连接产生或应用指纹有效时间到达之前,客户机模块将重新以上步骤一到步骤五,如此保证只有指定的应用程序发出的数据报文才能从客户机发到目的机器,使得目的机器不受客户机的网络攻击威胁。
5.如权利要求3所述的基于信任检测的应用指纹通信方法,其特征在于:上述步骤一为客户机模块在新的连接创建或者旧的应用指纹将失效的时候主动向管理服务器发起的认证请求数据报文。
6.如权利要求3所述的基于信任检测的应用指纹通信方法,其特征在于:上述步骤二为管理服务器将认证内容与预先通过管理服务器管理子模块存放在数据库里的客户机身份信息对比,确认身份后产生应用指纹。
7.如权利要求3所述的基于信任检测的应用指纹通信方法,其特征在于:上述步骤三明确表明边界设备较客户机更先接收到新的应用指纹。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610122297 CN101150390B (zh) | 2006-09-22 | 2006-09-22 | 基于信任检测的应用指纹通信方法及系统 |
| PCT/CN2007/000052 WO2008037144A1 (fr) | 2006-09-22 | 2007-01-08 | Procédé et système de communication d'empreinte de demande fondés sur une vérification de crédit |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610122297 CN101150390B (zh) | 2006-09-22 | 2006-09-22 | 基于信任检测的应用指纹通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101150390A CN101150390A (zh) | 2008-03-26 |
| CN101150390B true CN101150390B (zh) | 2013-05-08 |
Family
ID=39229716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610122297 Expired - Fee Related CN101150390B (zh) | 2006-09-22 | 2006-09-22 | 基于信任检测的应用指纹通信方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101150390B (zh) |
| WO (1) | WO2008037144A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103106736B (zh) * | 2012-12-28 | 2016-07-06 | 华为软件技术有限公司 | 一种身份认证方法、终端及服务器 |
| EP3157272A1 (en) * | 2015-10-16 | 2017-04-19 | Gemalto Sa | Method of managing an application |
| CN107483514A (zh) * | 2017-10-13 | 2017-12-15 | 北京知道创宇信息技术有限公司 | 攻击监控设备及智能设备 |
| CN110933028B (zh) * | 2019-10-24 | 2022-04-15 | 中移(杭州)信息技术有限公司 | 报文传输方法、装置、网络设备及存储介质 |
| CN112989315B (zh) * | 2021-02-03 | 2023-03-24 | 杭州安恒信息安全技术有限公司 | 物联网终端的指纹生成方法、装置、设备和可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
| CN1477584A (zh) * | 2002-08-19 | 2004-02-25 | 英保达股份有限公司 | 应用指纹识别的信息存储系统及其方法 |
| CN1804751A (zh) * | 2005-01-14 | 2006-07-19 | 沈阳上方电子有限公司 | 应用指纹认证控制外部设备的计算机安全系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7200230B2 (en) * | 2000-04-06 | 2007-04-03 | Macrovision Corporation | System and method for controlling and enforcing access rights to encrypted media |
| CN100334850C (zh) * | 2003-09-10 | 2007-08-29 | 华为技术有限公司 | 一种无线局域网接入认证的实现方法 |
-
2006
- 2006-09-22 CN CN 200610122297 patent/CN101150390B/zh not_active Expired - Fee Related
-
2007
- 2007-01-08 WO PCT/CN2007/000052 patent/WO2008037144A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
| CN1477584A (zh) * | 2002-08-19 | 2004-02-25 | 英保达股份有限公司 | 应用指纹识别的信息存储系统及其方法 |
| CN1804751A (zh) * | 2005-01-14 | 2006-07-19 | 沈阳上方电子有限公司 | 应用指纹认证控制外部设备的计算机安全系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101150390A (zh) | 2008-03-26 |
| WO2008037144A1 (fr) | 2008-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103354543B (zh) | 确定目标节点对于源节点的邻近性的方法和相应的节点 | |
| CN113099443A (zh) | 设备认证方法、装置、设备和系统 | |
| US20130268444A1 (en) | Three-factor user authentication method for generating otp using iris information and secure mutual authentication system using otp authentication module of wireless communication terminal | |
| CN112968971B (zh) | 会话连接建立的方法、装置、电子设备和可读存储介质 | |
| CN101150390B (zh) | 基于信任检测的应用指纹通信方法及系统 | |
| KR101972110B1 (ko) | 블록체인 기술을 활용한 포그 컴퓨터의 보안 및 디바이스 제어 방법 | |
| Babu et al. | EV-Auth: Lightweight authentication protocol suite for dynamic charging system of electric vehicles with seamless handover | |
| CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
| CN114866245B (zh) | 一种基于区块链的电力数据采集方法及系统 | |
| CN116743850B (zh) | 基于物联网平台的设备自发现方法、装置、计算机设备和存储介质 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| CN103744711A (zh) | 基于3g及加密短信的电力应用程序远程重启方法及系统 | |
| US20220021663A1 (en) | Communication module | |
| CN101167331B (zh) | 传输网络事件日志协议报文的方法、系统和装置 | |
| CN113014592B (zh) | 物联网设备自动注册系统和方法 | |
| JP2009277024A (ja) | 接続制御方法、通信システムおよび端末 | |
| CN114157693A (zh) | 通信设备的上电认证方法、通信模块和服务器 | |
| CN109150661A (zh) | 一种设备发现方法及装置 | |
| CN114124572A (zh) | 基于单向网络的数据传输方法、装置、设备和介质 | |
| JP2002016592A (ja) | 暗号鍵管理システム及び暗号鍵管理方法 | |
| CN111641657A (zh) | 智能医疗环境下基于rfid的信息匿名检索方法和系统 | |
| CN101753353B (zh) | 基于SNMP的安全管理方法、Trap报文的处理方法及装置 | |
| CN113315764B (zh) | 防arp攻击的数据包发送方法、装置、路由器及存储介质 | |
| CN110768831B (zh) | 一种获取监控插件方法及系统 | |
| CN116319949B (zh) | 会话迁移方法、装置、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130508 Termination date: 20150922 |
|
| EXPY | Termination of patent right or utility model |