增強網絡通信安全的方法
【專利摘要】本發(fā)明提出了一種增強網絡通信安全的方法����,服務器在收到請求報文后����,回應發(fā)送確認報文��;如果服務器在規(guī)定時間內未收到客戶端對所述確認報文的回應�,就放棄所述請求報文,不執(zhí)行所述請求報文的內容�;如果服務器在規(guī)定時間內收到客戶端對所述確認報文的回應,則對所述請求報文作出響應��,執(zhí)行所述請求報文的內容�����。本發(fā)明服務器對收到的每個請求報文回應一個確認報文�����,在超過一定時間未收到對該確認報文的回應時�����,就認為該請求報文是非法的�,不執(zhí)行請求報文的內容。本發(fā)明有效提高了通信的安全性����,既防止了設備信息的外泄�,又阻止了非法配置的執(zhí)行���。
【專利說明】増強網絡通信安全的方法
【技術領域】
[0001]本發(fā)明涉及網絡通信領域��,尤其是涉及一種增強通信安全的方法����。
【背景技術】
[0002]隨著計算機和通信技術的發(fā)展���,Internet應用不再僅局限于PC,嵌入式設備網絡化也成為信息技術發(fā)展的產物���。嵌入式設備接入Internet以后��,可方便地將信息共享到網絡中�����,還可實現設備的遠程控制�、升級和維護�����。用戶只需要有一個網頁瀏覽器即可形象的了解到設備信息和運行狀態(tài),并可以通過改變頁面上的元素來簡單方便地配置設備�,而不需要對設備內部有太多了解。
[0003]設備接入Internet�����,就將信息共享到了網絡中��,也可接受遠程配置�����。這既為設備的使用提供了方便�����,同時卻也為設備的安全帶來了隱患���。網絡中的其它用戶可通過抓取已與服務器之間建立合法連接的客戶端與服務器之間通信的請求報文�,進而獲取到設備的運行狀態(tài)和配置信息以及配置方法���。當非法用戶用獲取到的配置方法�����,通過某些軟件構造報文發(fā)送到服務器上��,若服務器不能正確識別報文的合法性就執(zhí)行配置���,則會被非法用戶更改設備的配置�����。
[0004]雖然采用加密算法對報文中用戶名和密碼進行加密給非法用戶通過報文獲取設備配置所需要的用戶名和密碼帶來了一定的困難����,但并不能保證百分之百的安全����。網絡中的非法用戶只需要構造一個新的請求報文��,源IP�、用戶名和密碼等信息同抓取到報文中的內容一致,服務器就無法識別出哪個請求是有效的��,哪個請求是無效的,因為對服務器而言�����,請求報文要驗證的信息是一樣的�,處理過程自然也是一樣的,所以會作出相同的響應�。
【發(fā)明內容】
[0005]本發(fā)明需解決的技術問題是提供一種防止信息泄露、避免設備受惡意攻擊或被更改配置的增強網絡通信安全的方法����。
[0006]為了解決上述的問題,本發(fā)明設計了一種增強網絡通信安全的方法�����,其包括以下步驟:步驟1:服務器在收到請求報文后����,回應發(fā)送確認報文;
[0007]步驟2:如果服務器在規(guī)定時間內未收到客戶端對所述確認報文的回應����,就放棄所述請求報文,不執(zhí)行所述請求報文的內容��;如果服務器在規(guī)定時間內收到客戶端對所述確認報文的回應,則對所述請求報文作出響應����,執(zhí)行所述請求報文的內容。
[0008]作為本發(fā)明進一步改進��,服務器發(fā)送確認報文時���,還同時啟動定時器��。
[0009]作為本發(fā)明進一步改進���,所述確認報文中還包括有當前系統時間。
[0010]作為本發(fā)明進一步改進���,所述服務器為提供Web服務的交換機�����。
[0011]作為本發(fā)明進一步改進���,所述客戶端為裝有Web瀏覽器的主機�����。
[0012]本發(fā)明服務器對收到的每個請求報文回應一個確認報文,在超過一定時間未收到對該確認報文的回應時�,就認為該請求報文是非法的,不執(zhí)行請求報文的內容�。即使網絡中的非法用戶通過軟件抓取到客戶端向服務器發(fā)送的請求報文,再通過某些軟件構造成同樣的請求報文��,但這些抓包軟件構造不會對確認報文作出回應�,該請求報文將得不到服務器的任何響應,也就不能取得服務器設備的信息和進行配置了����。本發(fā)明有效提高了通信的安全性,既防止了設備信息的外泄�,又阻止了非法配置的執(zhí)行。
【專利附圖】
【附圖說明】
[0013]圖1是本發(fā)明實施例主機和交換機的報文交互示意圖�。
【具體實施方式】
[0014]為了使本領域相關技術人員更好地理解本發(fā)明的技術方案,下面將結合圖和實施方式����,對本發(fā)明實施方式中的技術方案進行清楚、完整地描述�,顯然,所描述的實施方式僅僅是本發(fā)明一部分實施方式���,而不是全部的實施方式��。
[0015]本發(fā)明在客戶端(通常為裝有web瀏覽器的主機)通過正確的用戶名和密碼登錄服務器后���,服務器將用戶名����、密碼���、客戶端IP地址作為客戶端和服務器之間連接的標識�����,并記錄客戶端登入的絕對時間�。
[0016]本發(fā)明在服務器上為每一個合法連接的客戶端保存用戶名�����、密碼�����、客戶端IP地址�。在服務器收到客戶端的請求報文時��,通過檢查報文中的用戶名、密碼�、源IP地址,檢查客戶端與服務器的連接是否存在�,對不存在的連接不作響應。對合法連接�����,本發(fā)明在服務器與客戶端的報文傳輸之間再作交互��,即對客戶端的請求報文再次做確認����,從而防止非法用戶竊取正常報文后修改服務器設備的配置。
[0017]本發(fā)明服務器對客戶端的請求除了檢驗用戶名�����、密碼和源IP地址之外���,增加了對客戶端確認報文的交互�����,對未收到確認報文回應的請求不作響應���,有效提高了服務器的安全性��,既防止了信息的外泄�,又阻止了非法配置的執(zhí)行�。
[0018]本發(fā)明服務器在收到客戶端發(fā)送過來的請求報文后,回應發(fā)送對應的確認報文�。當然,該請求報文不一定是合法的客戶端發(fā)出的請求報文���,又可能是非法用戶竊取到合法的用戶名�����、密碼以及客戶端IP地址而構造的請求報文��。無論是合法的還是非法的���,本發(fā)明服務器均回應確認報文出去,并且���,同時還啟動一定時器���。在規(guī)定時間內��,如果服務器未收到客戶端對所述確認報文的回應���,就認為請求報文為非法的�����,放棄該請求報文����,不執(zhí)行所述請求報文的內容;在規(guī)定時間內���,如果服務器收到客戶端對確認報文的回應���,就認為請求報文時合法的,則對請求報文作出響應����,執(zhí)行所述請求報文的內容。
[0019]更優(yōu)的是,所述確認報文中還包括有當前系統時間�,由于系統時間一直在變,這樣就算遇到相同的請求報文時���,也能通過系統時間區(qū)分開�����,確保了請求報文的唯一性����。
[0020]本發(fā)明的實施例�,交換機作為提供Web服務的服務器,用戶的主機作為Web瀏覽器的客戶端�,在處理請求報文時,交換機與主機進行了三次握手過程���,如圖1所示��。
[0021]首先�����,主機通過網頁瀏覽器登錄到交換機的配置界面��,交換機會保存主機的IP地址����、用戶名、密碼以及登錄時間�。
[0022]第一次握手:主機查看交換機信息或者對交換機進行配置,會向交換機發(fā)送請求報文“act1n = X”��。X代表一個具體的請求�,比如查看交換機信息或者對交換機進行配置。
[0023]第二次握手:交換機在收到請求報文“act1n = X”后�����,根據當前系統時間構造對應該請求報文的確認報文����,即發(fā)送“act1n = X+ACK = now_time”確認報文���,now_time為當前系統時間�����。
[0024]第三次握手:主機收到交換機發(fā)送的確認報文“act1n = X+ACK = now_time報文”�,再向交換機作出回應,即發(fā)送“ACK = noW_time+l”報文�����,交換機在規(guī)定時間內收到后���,則確認請求報文“act1n = X”是合法的����,對請求報文“act1n = X”作出響應����,執(zhí)行“act1n=X”里的內容。
[0025]本發(fā)明實施例在主機與交換機的交互中增加了第二次握手和第三次握手���,即交換機在收到請求報文后發(fā)送確認報文���,以及主機對該確認報文的回應。這樣可以確認之前收到的請求報文是合法的主機發(fā)出的����,交換機會執(zhí)行該請求報文。如果交換機在規(guī)定時間內未收到主機對該確認報文的回應��,即沒有第三次握手,交換機則認為之前對應的請求報文是非法的�,放棄請求報文,不執(zhí)行�。
[0026]本發(fā)明服務器對收到的每個請求報文回應一個確認報文,在超過一定時間未收到對該確認報文的回應時���,就認為該請求報文是非法的�,不執(zhí)行請求報文的內容���。即使網絡中的非法用戶通過軟件抓取到客戶端向服務器發(fā)送的請求報文��,再通過某些軟件構造成同樣的請求報文����,但這些抓包軟件構造不會對確認報文作出回應��,該請求報文將得不到服務器的任何響應�,也就不能取得服務器設備的信息和進行配置了�����。本發(fā)明有效提高了通信的安全性��,既防止了設備信息的外泄,又阻止了非法配置的執(zhí)行����。
[0027]以上僅表達了本發(fā)明的一種實施方式,其描述較為具體和詳細����,但并不能因此而理解為對本發(fā)明專利范圍的限制。應當指出的是����,對于本領域的普通技術人員來說,在不脫離本發(fā)明構思的前提下�,還可以做出若干變形和改進,這些都屬于本發(fā)明的保護范圍����。因此,本發(fā)明專利的保護范圍應以所附權利要求為準����。
【權利要求】
1.一種增強網絡通信安全的方法,其特征在于�����,包括以下步驟: 步驟1:服務器在收到請求報文后,回應發(fā)送確認報文����; 步驟2:如果服務器在規(guī)定時間內未收到客戶端對所述確認報文的回應,就放棄所述請求報文�����,不執(zhí)行所述請求報文的內容���;如果服務器在規(guī)定時間內收到客戶端對所述確認報文的回應���,則對所述請求報文作出響應,執(zhí)行所述請求報文的內容���。
2.根據權利要求1所述增強網絡通信安全的方法�,其特征在于�����,在步驟I中�����,服務器發(fā)送確認報文時���,還同時啟動定時器��。
3.根據權利要求2所述的增強網絡通信安全的方法���,其特征在于,所述確認報文中還包括有當前系統時間�����。
4.根據權利要求1所述增強網絡通信安全的方法��,其特征在于����,所述服務器為提供Web服務的交換機。
5.根據權利要求1所述增強網絡通信安全的方法���,其特征在于�,所述客戶端為裝有Web瀏覽器的主機�����。
【文檔編號】H04L29/06GK104468544SQ201410696433
【公開日】2015年3月25日 申請日期:2014年11月26日 優(yōu)先權日:2014年11月26日
【發(fā)明者】黃小飛, 車任秋, 劉馳, 王旭仲 申請人:上海斐訊數據通信技術有限公司