增强网络通信安全的方法
【专利摘要】本发明提出了一种增强网络通信安全的方法,服务器在收到请求报文后,回应发送确认报文;如果服务器在规定时间内未收到客户端对所述确认报文的回应,就放弃所述请求报文,不执行所述请求报文的内容;如果服务器在规定时间内收到客户端对所述确认报文的回应,则对所述请求报文作出响应,执行所述请求报文的内容。本发明服务器对收到的每个请求报文回应一个确认报文,在超过一定时间未收到对该确认报文的回应时,就认为该请求报文是非法的,不执行请求报文的内容。本发明有效提高了通信的安全性,既防止了设备信息的外泄,又阻止了非法配置的执行。
【专利说明】増强网络通信安全的方法
【技术领域】
[0001]本发明涉及网络通信领域,尤其是涉及一种增强通信安全的方法。
【背景技术】
[0002]随着计算机和通信技术的发展,Internet应用不再仅局限于PC,嵌入式设备网络化也成为信息技术发展的产物。嵌入式设备接入Internet以后,可方便地将信息共享到网络中,还可实现设备的远程控制、升级和维护。用户只需要有一个网页浏览器即可形象的了解到设备信息和运行状态,并可以通过改变页面上的元素来简单方便地配置设备,而不需要对设备内部有太多了解。
[0003]设备接入Internet,就将信息共享到了网络中,也可接受远程配置。这既为设备的使用提供了方便,同时却也为设备的安全带来了隐患。网络中的其它用户可通过抓取已与服务器之间建立合法连接的客户端与服务器之间通信的请求报文,进而获取到设备的运行状态和配置信息以及配置方法。当非法用户用获取到的配置方法,通过某些软件构造报文发送到服务器上,若服务器不能正确识别报文的合法性就执行配置,则会被非法用户更改设备的配置。
[0004]虽然采用加密算法对报文中用户名和密码进行加密给非法用户通过报文获取设备配置所需要的用户名和密码带来了一定的困难,但并不能保证百分之百的安全。网络中的非法用户只需要构造一个新的请求报文,源IP、用户名和密码等信息同抓取到报文中的内容一致,服务器就无法识别出哪个请求是有效的,哪个请求是无效的,因为对服务器而言,请求报文要验证的信息是一样的,处理过程自然也是一样的,所以会作出相同的响应。
【发明内容】
[0005]本发明需解决的技术问题是提供一种防止信息泄露、避免设备受恶意攻击或被更改配置的增强网络通信安全的方法。
[0006]为了解决上述的问题,本发明设计了一种增强网络通信安全的方法,其包括以下步骤:步骤1:服务器在收到请求报文后,回应发送确认报文;
[0007]步骤2:如果服务器在规定时间内未收到客户端对所述确认报文的回应,就放弃所述请求报文,不执行所述请求报文的内容;如果服务器在规定时间内收到客户端对所述确认报文的回应,则对所述请求报文作出响应,执行所述请求报文的内容。
[0008]作为本发明进一步改进,服务器发送确认报文时,还同时启动定时器。
[0009]作为本发明进一步改进,所述确认报文中还包括有当前系统时间。
[0010]作为本发明进一步改进,所述服务器为提供Web服务的交换机。
[0011]作为本发明进一步改进,所述客户端为装有Web浏览器的主机。
[0012]本发明服务器对收到的每个请求报文回应一个确认报文,在超过一定时间未收到对该确认报文的回应时,就认为该请求报文是非法的,不执行请求报文的内容。即使网络中的非法用户通过软件抓取到客户端向服务器发送的请求报文,再通过某些软件构造成同样的请求报文,但这些抓包软件构造不会对确认报文作出回应,该请求报文将得不到服务器的任何响应,也就不能取得服务器设备的信息和进行配置了。本发明有效提高了通信的安全性,既防止了设备信息的外泄,又阻止了非法配置的执行。
【专利附图】
【附图说明】
[0013]图1是本发明实施例主机和交换机的报文交互示意图。
【具体实施方式】
[0014]为了使本领域相关技术人员更好地理解本发明的技术方案,下面将结合图和实施方式,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。
[0015]本发明在客户端(通常为装有web浏览器的主机)通过正确的用户名和密码登录服务器后,服务器将用户名、密码、客户端IP地址作为客户端和服务器之间连接的标识,并记录客户端登入的绝对时间。
[0016]本发明在服务器上为每一个合法连接的客户端保存用户名、密码、客户端IP地址。在服务器收到客户端的请求报文时,通过检查报文中的用户名、密码、源IP地址,检查客户端与服务器的连接是否存在,对不存在的连接不作响应。对合法连接,本发明在服务器与客户端的报文传输之间再作交互,即对客户端的请求报文再次做确认,从而防止非法用户窃取正常报文后修改服务器设备的配置。
[0017]本发明服务器对客户端的请求除了检验用户名、密码和源IP地址之外,增加了对客户端确认报文的交互,对未收到确认报文回应的请求不作响应,有效提高了服务器的安全性,既防止了信息的外泄,又阻止了非法配置的执行。
[0018]本发明服务器在收到客户端发送过来的请求报文后,回应发送对应的确认报文。当然,该请求报文不一定是合法的客户端发出的请求报文,又可能是非法用户窃取到合法的用户名、密码以及客户端IP地址而构造的请求报文。无论是合法的还是非法的,本发明服务器均回应确认报文出去,并且,同时还启动一定时器。在规定时间内,如果服务器未收到客户端对所述确认报文的回应,就认为请求报文为非法的,放弃该请求报文,不执行所述请求报文的内容;在规定时间内,如果服务器收到客户端对确认报文的回应,就认为请求报文时合法的,则对请求报文作出响应,执行所述请求报文的内容。
[0019]更优的是,所述确认报文中还包括有当前系统时间,由于系统时间一直在变,这样就算遇到相同的请求报文时,也能通过系统时间区分开,确保了请求报文的唯一性。
[0020]本发明的实施例,交换机作为提供Web服务的服务器,用户的主机作为Web浏览器的客户端,在处理请求报文时,交换机与主机进行了三次握手过程,如图1所示。
[0021]首先,主机通过网页浏览器登录到交换机的配置界面,交换机会保存主机的IP地址、用户名、密码以及登录时间。
[0022]第一次握手:主机查看交换机信息或者对交换机进行配置,会向交换机发送请求报文“act1n = X”。X代表一个具体的请求,比如查看交换机信息或者对交换机进行配置。
[0023]第二次握手:交换机在收到请求报文“act1n = X”后,根据当前系统时间构造对应该请求报文的确认报文,即发送“act1n = X+ACK = now_time”确认报文,now_time为当前系统时间。
[0024]第三次握手:主机收到交换机发送的确认报文“act1n = X+ACK = now_time报文”,再向交换机作出回应,即发送“ACK = noW_time+l”报文,交换机在规定时间内收到后,则确认请求报文“act1n = X”是合法的,对请求报文“act1n = X”作出响应,执行“act1n=X”里的内容。
[0025]本发明实施例在主机与交换机的交互中增加了第二次握手和第三次握手,即交换机在收到请求报文后发送确认报文,以及主机对该确认报文的回应。这样可以确认之前收到的请求报文是合法的主机发出的,交换机会执行该请求报文。如果交换机在规定时间内未收到主机对该确认报文的回应,即没有第三次握手,交换机则认为之前对应的请求报文是非法的,放弃请求报文,不执行。
[0026]本发明服务器对收到的每个请求报文回应一个确认报文,在超过一定时间未收到对该确认报文的回应时,就认为该请求报文是非法的,不执行请求报文的内容。即使网络中的非法用户通过软件抓取到客户端向服务器发送的请求报文,再通过某些软件构造成同样的请求报文,但这些抓包软件构造不会对确认报文作出回应,该请求报文将得不到服务器的任何响应,也就不能取得服务器设备的信息和进行配置了。本发明有效提高了通信的安全性,既防止了设备信息的外泄,又阻止了非法配置的执行。
[0027]以上仅表达了本发明的一种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种增强网络通信安全的方法,其特征在于,包括以下步骤: 步骤1:服务器在收到请求报文后,回应发送确认报文; 步骤2:如果服务器在规定时间内未收到客户端对所述确认报文的回应,就放弃所述请求报文,不执行所述请求报文的内容;如果服务器在规定时间内收到客户端对所述确认报文的回应,则对所述请求报文作出响应,执行所述请求报文的内容。
2.根据权利要求1所述增强网络通信安全的方法,其特征在于,在步骤I中,服务器发送确认报文时,还同时启动定时器。
3.根据权利要求2所述的增强网络通信安全的方法,其特征在于,所述确认报文中还包括有当前系统时间。
4.根据权利要求1所述增强网络通信安全的方法,其特征在于,所述服务器为提供Web服务的交换机。
5.根据权利要求1所述增强网络通信安全的方法,其特征在于,所述客户端为装有Web浏览器的主机。
【文档编号】H04L29/06GK104468544SQ201410696433
【公开日】2015年3月25日 申请日期:2014年11月26日 优先权日:2014年11月26日
【发明者】黄小飞, 车任秋, 刘驰, 王旭仲 申请人:上海斐讯数据通信技术有限公司