Nothing Special   »   [go: up one dir, main page]

CN104580553A - 网络地址转换设备的识别方法和装置 - Google Patents

网络地址转换设备的识别方法和装置 Download PDF

Info

Publication number
CN104580553A
CN104580553A CN201510055929.9A CN201510055929A CN104580553A CN 104580553 A CN104580553 A CN 104580553A CN 201510055929 A CN201510055929 A CN 201510055929A CN 104580553 A CN104580553 A CN 104580553A
Authority
CN
China
Prior art keywords
address
client
authentication
request packet
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510055929.9A
Other languages
English (en)
Other versions
CN104580553B (zh
Inventor
任献永
刘洪亮
樊俊诚
王斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secworld Information Technology Beijing Co Ltd
Original Assignee
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secworld Information Technology Beijing Co Ltd filed Critical Secworld Information Technology Beijing Co Ltd
Priority to CN201510055929.9A priority Critical patent/CN104580553B/zh
Publication of CN104580553A publication Critical patent/CN104580553A/zh
Application granted granted Critical
Publication of CN104580553B publication Critical patent/CN104580553B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络地址转换设备的识别方法和装置。其中,该方法包括:获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址,其中,第一IP地址为认证请求数据包所指示的客户端的IP地址,第一属性数据用于描述客户端的源IP地址;使用第一属性数据对第一IP地址进行校验,得到校验结果;若校验结果指示第一IP地址校验成功,则识别出客户端所在的网络中未接入网络地址转换设备;若校验结果指示第一IP地址校验不成功,则识别出客户端所在的网络中接入网络地址转换设备。通过发明,解决了现有技术中网关无法识别非法接入的NAT设备,导致网络安全性低的问题,实现了简单、有效地识别网络中非法接入的NAT设备,提高了网络的安全性。

Description

网络地址转换设备的识别方法和装置
技术领域
本发明涉及互联网领域,具体而言,涉及一种网络地址转换设备的识别方法和装置。
背景技术
现有的安全网关设备,包括防火墙、路由器、交换机等为客户端接入互联网提供了接入功能,同时由于IPV4地址的稀缺,大部分网关设备都具有NAT(网络地址转换)功能,NAT技术解决内网客户端接入互联网的问题。
其中,NAT为Network Address Translation,即网络地址转换,是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet(即互联网)上;IPV4是互联网协议(Internet Protocol,即IP)的第四版。
现有的安全网关设备,为了对接入的客户端进行授权管理,一般都有客户端接入认证功能,客户端一旦认证通过后,网关最终是通过客户端对应的IP地址进行控制,即在需要客户端身份认证的网络环境下,一般认证设备都是通过将客户端名和IP地址绑定,一旦客户端认证通过,对应的IP地址便允许接入互联网。但是这种方式存在很大问题,就是当到达网关的数据包IP地址如果被修改,网关无法识别该数据包的准确来源,如,NAT设备可以将内网所有客户端的IP地址转换为同一个IP地址,这样就会导致一旦一个客户端认证通过,内网中的所有客户端都可以接入该互联网,导致一些非法客户端接入,造成一定的网络安全风险。
其中,IP地址为Internet Protocol Address,即互联网协议地址,是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
例如,客户端A的IP地址是1.1.1.1,客户端B的IP地址是1.1.1.2。正常情况下,当网关启用客户端认证时,客户端A和客户端B如果想通过网关接入网络,就必须先进行身份认证,如果客户端A通过认证,网关会把1.1.1.1这个地址记录在网关的白名单中,下次再遇到这个地址的数据包就直接转发;此时如果客户端B未通过认证,客户端B发起的数据包IP地址为1.1.1.2,当网关收到客户端B的数据包后,查找白名单中没有地址1.1.1.2,将直接拒绝转发该地址的数据包。但是,如果网络中非法接入了一台NAT设备,将数据包的地址由1.1.1.2改为1.1.1.1后,客户端B就可以在未进行身份认证的情况下接入网络。
如图1所示,最左侧为需要访问互联网的各个客户端(如图1所示的客户端11’、客户端12’、客户端13’、客户端14’、客户端15’、客户端16’、……、客户端N’,其中,N为自然数),防火墙40’为总出口,各个客户端如果访问Internet(即图1所示的互联网50’)首先必须经过交换机(如图1所示的交换机21’和交换机22’)访问防火墙进行客户端身份认证,在认证服务器30’对客户端的认证成功后,在防火墙上就会记录已经认证过的客户端的IP地址,后续对互联网的网络访问也只允许认证过的IP地址才能通过防火墙。
现有技术中的这种应用模式的主要问题是,如果在图1中将交换机(如交换机21’)换为一个三层NAT设备或在交换机21’与客户端11’、客户端12’以及客户端13’之间新接入一台NAT设备后,会将客户端11’、客户端12’以及客户端13’的源地址都转换为NAT设备的某个地址,这样到达防火墙的客户端11’、客户端12’以及客户端13’的数据包源地址会变为一个,导致的问题就是内网客户端(如,客户端11’、客户端12’或者客户端13’)只要有一个客户端(如客户端11’)通过客户端身份认证后,同一个局域网内的其他客户端(如客户端12’和客户端13’)就不需要进行客户端认证便可以访问Internet,因为防火墙上面看到的源地址只用一个经过NAT设备转换后的地址。
针对现有技术中网关无法识别非法接入的NAT设备,导致网络安全性低的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种网络地址转换设备的识别方法和装置,以解决现有技术中网关无法识别非法接入的NAT设备,导致网络安全性低的问题。
为了实现上述目的,根据本发明实施例的一个方面,提供了一种网络地址转换设备的识别方法,该方法包括:获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址,其中,第一IP地址为认证请求数据包所指示的客户端的IP地址,第一属性数据用于描述客户端的源IP地址;使用第一属性数据对第一IP地址进行校验,得到校验结果;若校验结果指示第一IP地址校验成功,则识别出客户端所在的网络中未接入网络地址转换设备;若校验结果指示第一IP地址校验不成功,则识别出客户端所在的网络中接入网络地址转换设备。
进一步地,在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之前,识别方法还包括:获取客户端的第二IP地址,其中,第二IP地址为客户端的源IP地址;对第二IP地址进行哈希计算,将得到的第一哈希值作为第一属性数据;将第二IP地址和第一哈希值封装入认证请求数据包;将认证请求数据包发送至网关。
进一步地,使用第一属性数据对第一IP地址进行校验,得到校验结果包括:对第一IP地址进行哈希计算,得到第二哈希值;判断第一哈希值与第二哈希值是否相同;若第一哈希值与第二哈希值相同,则判断出第一IP地址校验成功;若第一哈希值与第二哈希值不相同,则判断出第一IP地址校验不成功。
进一步地,在识别出客户端所在的网络中未接入网络地址转换设备之后,识别方法还包括:获取认证配置参数和认证请求数据包中携带的认证信息,其中,认证配置参数包括第三IP地址,认证信息包括客户端访问互联网的用户名和密码;将用户名和密码发送至第三IP地址对应的认证服务器;接收认证服务器使用用户名和密码对客户端进行身份认证得到的认证结果;若认证结果指示身份认证成功,则确定对应的客户端的身份认证成功;若认证结果指示身份认证失败,则确定对应的客户端的身份认证失败。
进一步地,在确定对应的客户端的身份认证成功之后,识别方法还包括:将对应的客户端的第一IP地址保存入网关的白名单;在识别出客户端所在的网络中未接入网络地址转换设备之后,识别方法还包括:判断认证请求数据包中的第一IP地址是否存在于网关的白名单;若认证请求数据包中的第一IP地址不存在于网关的白名单,则获取认证配置参数和认证请求数据包中携带的认证信息。
为了实现上述目的,根据本发明实施例的另一方面,提供了一种网络地址转换设备的识别装置,该装置包括:第一获取模块,用于获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址,其中,第一IP地址为认证请求数据包所指示的客户端的IP地址,第一属性数据用于描述客户端的源IP地址;校验模块,用于使用第一属性数据对第一IP地址进行校验,得到校验结果;第一识别模块,用于在校验结果指示第一IP地址校验成功的情况下,识别出客户端所在的网络中未接入网络地址转换设备;第二识别模块,用于在校验结果指示第一IP地址校验不成功的情况下,识别出客户端所在的网络中接入网络地址转换设备。
进一步地,识别装置还包括:第二获取模块,用于在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之前,获取客户端的第二IP地址,其中,第二IP地址为客户端的源IP地址;第一计算模块,用于对第二IP地址进行哈希计算,将得到的第一哈希值作为第一属性数据;封装模块,用于将第二IP地址和第一哈希值封装入认证请求数据包;第一发送模块,用于将认证请求数据包发送至网关。
进一步地,校验模块包括:第二计算模块,用于对第一IP地址进行哈希计算,得到第二哈希值;第一判断模块,用于判断第一哈希值与第二哈希值是否相同;第一确定模块,用于在第一哈希值与第二哈希值相同的情况下,确定第一IP地址校验成功;第二确定模块,用于在第一哈希值与第二哈希值不相同的情况下,确定第一IP地址校验不成功。
进一步地,识别装置还包括:第三获取模块,用于在识别出客户端所在的网络中未接入网络地址转换设备之后,获取认证配置参数和认证请求数据包中携带的认证信息,其中,认证配置参数包括第三IP地址,认证信息包括客户端访问互联网的用户名和密码;第二发送模块,用于将用户名和密码发送至第三IP地址对应的认证服务器;接收模块,用于接收认证服务器使用用户名和密码对客户端进行身份认证得到的认证结果;第三确定模块,用于在认证结果指示身份认证成功的情况下,确定对应的客户端的身份认证成功;第四确定模块,用于在认证结果指示身份认证失败的情况下,确定对应的客户端的身份认证失败。
进一步地,识别装置还包括:保存模块,用于在确定对应的客户端的身份认证成功之后,将对应的客户端的第一IP地址保存入网关的白名单;识别装置还包括:第二判断模块,用于在识别出客户端所在的网络中未接入网络地址转换设备之后,判断认证请求数据包中的第一IP地址是否存在于网关的白名单;第四获取模块,用于在认证请求数据包中的第一IP地址不存在于网关的白名单的情况下,获取认证配置参数和认证请求数据包中携带的认证信息。
采用本发明实施例,在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之后,使用第一属性数据对第一IP地址进行校验得到校验结果,若校验结果指示第一IP地址校验成功,则识别出客户端所在的网络中未接入网络地址转换设备;若校验结果指示第一IP地址校验不成功,则识别出客户端所在的网络中接入网络地址转换设备。在本发明上述实施例中,通过使用认证请求数据包中携带的第一属性数据对其携带的IP地址进行校验,以判断认证请求数据包的IP地址是否被NAT设备修改,从而识别出网络中是否非法接入了NAT设备,具体地,若对认证请求数据包的IP地址的校验成功,则表示该IP地址与客户端的源IP地址一致,即认证请求数据包的IP地址未被NAT设备修改,可以判断出网络中没有非法接入的NAT设备;若对认证请求数据包的IP地址的校验不成功,则表示该IP地址与客户端的源IP地址不一致,即认证请求数据包的IP地址被网络中非法接入的NAT设备修改,可以判断出网络中非法接入了NAT设备。通过本发明实施例,解决了现有技术中网关无法识别非法接入的NAT设备,导致网络安全性低的问题,实现了简单、有效地识别网络中非法接入的NAT设备,提高了网络的安全性。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的客户端访问互联网的示意图;
图2是根据本发明实施例的网络地址转换设备的识别方法的流程图;
图3是根据本发明实施例的一种可选的客户端认证系统的示意图;
图4是根据本发明实施例的一种可选的认证服务器认证客户端的时序图;
图5是根据本发明实施例的一种可选的网络地址转换设备的识别方法的流程图;以及
图6是根据本发明实施例的网络地址转换设备的识别装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供了一种网络地址转换设备的识别方法。
图2是根据本发明实施例的网络地址转换设备的识别方法的流程图。如图2所示,该识别方法可以包括步骤如下:
步骤S202,获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址。
其中,第一IP地址为认证请求数据包所指示的客户端的IP地址,第一属性数据用于描述客户端的源IP地址。
步骤S204,使用第一属性数据对第一IP地址进行校验,得到校验结果。
步骤S206,若校验结果指示第一IP地址校验成功,则识别出客户端所在的网络中未接入网络地址转换设备。
步骤S208,若校验结果指示第一IP地址校验不成功,则识别出客户端所在的网络中接入网络地址转换设备。
采用本发明实施例,在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之后,使用第一属性数据对第一IP地址进行校验得到校验结果,若校验结果指示第一IP地址校验成功,则识别出客户端所在的网络中未接入网络地址转换设备;若校验结果指示第一IP地址校验不成功,则识别出客户端所在的网络中接入网络地址转换设备。在本发明上述实施例中,通过使用认证请求数据包中携带的第一属性数据对其携带的IP地址进行校验,以判断认证请求数据包的IP地址是否被NAT设备修改,从而识别出网络中是否非法接入了NAT设备,具体地,若对认证请求数据包的IP地址的校验成功,则表示该IP地址与客户端的源IP地址一致,即认证请求数据包的IP地址未被NAT设备修改,可以判断出网络中没有非法接入的NAT设备;若对认证请求数据包的IP地址的校验不成功,则表示该IP地址与客户端的源IP地址不一致,即认证请求数据包的IP地址被网络中非法接入的NAT设备修改,可以判断出网络中非法接入了NAT设备。通过本发明实施例,解决了现有技术中网关无法识别非法接入的NAT设备,导致网络安全性低的问题,实现了简单、有效地识别网络中非法接入的NAT设备,提高了网络的安全性。
根据本发明上述实施例,在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之前,该识别方法还可以包括:获取客户端的第二IP地址,其中,第二IP地址为客户端的源IP地址;对第二IP地址进行哈希计算,将得到的第一哈希值作为第一属性数据;将第二IP地址和第一哈希值封装入认证请求数据包;将认证请求数据包发送至网关。
具体地,在获取客户端的第一属性数据和认证请求数据包中的第一IP地址之前,获取客户端的第二IP地址(即源IP地址),并对该IP地址进行哈希计算得到第一哈希值,将该第一哈希值作为第一属性数据,与第二IP地址一起封装入认证请求数据包中,并将该认证请求数据包发送至网关,以对发送该认证请求数据包的客户端进行互联网访问所需的身份认证。
在本发明上述实施例中,使用第一属性数据对第一IP地址进行校验,得到校验结果可以包括:对第一IP地址进行哈希计算,得到第二哈希值;判断第一哈希值与第二哈希值是否相同;若第一哈希值与第二哈希值相同,则判断出第一IP地址校验成功;若第一哈希值与第二哈希值不相同,则判断出第一IP地址校验不成功。
具体地,对获取到的认证请求数据包所指示的客户端的第一IP地址进行哈希计算,得到第二哈希值,然后判断客户端的源IP地址(即第二IP地址)的第一哈希值与该第二哈希值是否相同,若第一哈希值与第二哈希值相同,说明客户端的源IP地址与认证请求数据包的第一IP地址相同,则判断出第一IP地址校验成功,即认证请求数据包的第一IP地址未被NAT设备修改,客户端所在的网络中未接入NAT设备;若第一哈希值与第二哈希值不相同,说明客户端的源IP地址与认证请求数据包的第一IP地址不相同,则判断出第一IP地址校验不成功,即认证请求数据包的第一IP地址被NAT设备修改,客户端所在的网络中接入了NAT设备。
根据本发明上述实施例,在识别出客户端所在的网络中未接入网络地址转换设备之后,该识别方法还可以包括:获取认证配置参数和认证请求数据包中携带的认证信息,其中,认证配置参数可以包括第三IP地址,认证信息可以包括客户端访问互联网的用户名和密码;将用户名和密码发送至第三IP地址对应的认证服务器;接收认证服务器使用用户名和密码对客户端进行身份认证得到的认证结果;若认证结果指示身份认证成功,则确定对应的客户端的身份认证成功;若认证结果指示身份认证失败,则确定对应的客户端的身份认证失败。
具体地,在识别出网络中未接入NAT设备之后,通过验证客户端访问互联网的用户名和密码来对客户端进行身份认证,即将用户名和密码发送至第三IP地址对应的认证服务器,并接收认证服务器使用用户名和密码对客户端进行身份认证得到的认证结果,若认证结果指示该身份认证成功,则确定对应的客户端的身份认证成功;若认证结果指示该身份认证失败,则确定对应的客户端的身份认证失败。
在该实施例中,认证配置参数可以包括用于指示认证服务器的第三IP地址、认证端口的端口号以及认证协议的版本号等;认证信息为客户端访问互联网所需的信息,其可以包括客户端访问互联网的用户名和密码以及客户端的属性参数(如客户端所在的部门等)。
通过本发明上述实施例,在现有的认证流程中增加了地址校验,优化了现有技术中的认证流程,即,通过在认证请求的数据包中增加一个源IP地址的哈希值(即上述实施例中的第一哈希值)并使用该哈希值对认证请求数据包的IP地址(即上述实施例中的第一IP地址)进行校验,来判断客户端所在的网络链路中是否有NAT设备接入,操作方法简单,可以有效地解决现有技术中无法识别网络链路中非法接入的NAT设备的问题,从而保证了用户的上网安全。
进一步地,在确定对应的客户端的身份认证成功之后,该识别方法还可以包括:将对应的客户端的第一IP地址保存入网关的白名单;在识别出客户端所在的网络中未接入网络地址转换设备之后,该识别方法可以包括:判断认证请求数据包中的第一IP地址是否存在于网关的白名单;若认证请求数据包中的第一IP地址不存在于网关的白名单,则获取认证配置参数和认证请求数据包中携带的认证信息。
具体地,在确定对应的客户端成功通过身份认证之后,将该客户端的第一IP地址保存入网关的白名单中,网关在下次对接收到的认证请求数据包对应的客户端进行身份认证(即获取认证配置参数和认证请求数据包中携带的认证信息)之前,先判断网关的白名单中是否存储有该客户端的认证请求数据包中的IP地址(即上述实施例中的第一IP地址),若网关的白名单中存储有该客户端的认证请求数据包中的IP地址,则直接转发该客户端的数据包而不再对该客户端进行身份认证;若网关的白名单中未存储有该客户端的认证请求数据包中的IP地址,则对该客户端进行身份认证,即获取认证配置参数和认证请求数据包中携带的认证信息,并使用该认证信息中的用户名和密码对客户端进行身份认证。
通过本发明上述实施例,将认证成功的客户端的IP地址保存至网关的白名单,并在下次再接收到该客户端发送的访问互联网的请求时,不再对该客户端进行身份认证,节省了操作时间,加快了处理访问互联网的请求的速度。
在一个可选的实施例中,可以通过如图3所示的系统实现本发明上述实施例,其中,该系统可以包括:认证客户端20、认证参数配置模块40、认证服务模块60和会话管理模块80。
其中,认证客户端为运行在客户端的客户端软件,用于发起认证请求数据包;认证参数配置模块用于配置网关的用户参数(即本发明上述实施例中的认证配置参数),网关的用户参数可以包括认证服务器的IP地址、认证端口的端口号以及认证协议的版本等;认证服务模块用于根据网关的用户参数与客户端进行认证信息的交互(即本发明上述实施例中对客户端进行身份认证),并将认证结果下发到会话管理模块;会话管理模块用于管理通过认证后的会话,即在客户端的身份认证成功之后,网关直接转发该客户端的数据包而不再对其进行身份认证。
进一步地,图3所示的系统可以通过图4所示的流程实现其功能,下面结合图3和图4详细介绍本发明上述实施例。
具体地,客户端10上的认证客户端先发起作为用户认证请求的认证请求数据包(对应本发明上述实施例中的步骤S202),该认证请求数据包中包含一个特殊字段,该特殊字段记录了发起认证请求数据包的客户端的源IP地址的第一HASH值(即本发明上述实施例中的第一哈希值);网关30收到该认证请求数据包之后,先进行HASH值校验(对应本发明上述实施例中的步骤S204),即计算接收到的认证请求数据包的IP地址的第二HASH值(即本发明上述实施例中的第二哈希值),比较第一HASH值和第二HASH值,如果计算后的第二HASH值和认证请求数据包中记录的第一HASH值一致,则说明该认证请求数据包在传输过程中没有经过NAT设备;如果计算后的第二HASH值和认证请求数据包中记录的第一HASH值不一致,则说明该认证请求数据包在传输过程中经过了NAT设备。
在本发明实施例中,HASH值即为哈希值。
进一步地,在对用户认证请求执行HASH值校验之后,执行步骤S402:处理该用户认证请求。
具体地,若该用户认证请求的认证请求数据包在传输过程中经过了NAT设备,则执行步骤S404:拒绝该用户认证请求并生成认证结果,然后将该认证结果返回至对应的客户端;若该用户认证请求的认证请求数据包在传输过程中没有经过NAT设备,则网关将用户认证请求发送到认证防火墙50执行用户认证后续流程,认证服务模块将与该用户认证请求中的认证信息进行交互,以对客户端进行身份认证,并执行步骤S406:将得到的认证结果返回至客户端。
下面结合图5详细介绍该实施例。如图5所示的识别方法可以包括步骤:
步骤S502,接收客户端发起的用户认证请求。
具体地,接收客户端上的认证客户端发起的用户认证请求,其中,该用户认证请求的认证请求数据包中记录了该客户端的源IP地址的第一HASH值。
步骤S504,对用户认证请求中的IP地址进行哈希校验并获得校验结果。
具体地,计算用户认证请求中的IP地址(即上述实施例中的第一IP地址)的第二HASH值,并使用第一HASH值对第二HASH值进行校验(如比较第一HASH值与第二HASH值是否相同),得到校验结果。
步骤S506,判断校验结果是否为校验成功。
具体地,若校验结果指示第一HASH值与第二HASH值相同,则判断出校验结果为校验成功;若校验结果指示第一HASH值与第二HASH值不相同,则判断出校验结果为校验不成功。
其中,在校验结果为校验成功的情况下,执行步骤S508;在校验结果为校验不成功的情况下,执行步骤S514。
步骤S508,认证服务器对客户端进行身份认证并生成认证结果。
具体地,网关的认证服务模块将用户认证请求中的认证信息(如,客户访问互联网的用户名和密码等)上传至认证服务器,认证服务器通过认证信息对客户端进行身份认证,并生成认证结果。
步骤S510,判断认证结果是否为认证成功。
具体地,若认证结果指示客户端通过了身份认证,则判断出认证结果为认证成功;若认证结果指示客户端未通过身份认证,则判断出认证结果为认证不成功。
其中,在认证结果为认证成功的情况下,执行步骤S512;在认证结果为认证不成功的情况下,执行步骤S516。
步骤S512,会话管理模块记录客户端的IP地址。
具体地,在认证结果为认证成功的情况下,网关的会话管理模块记录该客户端的IP地址,网关在再次接收到该客户端发起的数据包时,不再进行客户端的身份认证步骤,而是直接转发该客户端的数据包。
步骤S514,确定检测到NAT设备。
步骤S516,确定认证失败,并将生成的失败提示信息返回至客户端。
其中,失败提示信息可以包括校验失败提示信息和认证失败提示信息。
具体地,在校验结果为校验不成功的情况下,生成校验失败提示信息,并将该校验失败提示信息返回至客户端,以提示客户端其所在的网络链路中接入了NAT设备,导致认证失败;在认证结果为认证不成功的情况下,生成认证失败提示信息,并将该认证失败提示信息返回至客户端,以提示客户端其认证信息不正确,导致认证失败。
通过本发明上述实施例,通过认证客户端与网关的各个模块(如,认证参数配置模块、认证服务模块以及会话管理模块)拒绝了经过NAT设备的客户端的用户认证请求,并拒绝了认证信息不正确的客户端的用户认证请求,从而保证了客户端可以安全地接入网络,同时防止非法客户端的非法接入,提高了客户端接入互联网的安全性。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例还提供了一种网络地址转换设备的识别装置。该装置可以通过本发明上述实施例中的网络地址转换设备的识别方法实现其功能。
图6是根据本发明实施例的网络地址转换设备的识别装置的示意图。如图6所示,该识别装置可以包括:第一获取模块70,用于获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址,其中,第一IP地址为认证请求数据包所指示的客户端的IP地址,第一属性数据用于描述客户端的源IP地址;校验模块90,用于使用第一属性数据对第一IP地址进行校验,得到校验结果;第一识别模块110,用于在校验结果指示第一IP地址校验成功的情况下,识别出客户端所在的网络中未接入网络地址转换设备;第二识别模块130,用于在校验结果指示第一IP地址校验不成功的情况下,识别出客户端所在的网络中接入网络地址转换设备。
采用本发明实施例,在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之后,使用第一属性数据对第一IP地址进行校验得到校验结果,若校验结果指示第一IP地址校验成功,则识别出客户端所在的网络中未接入网络地址转换设备;若校验结果指示第一IP地址校验不成功,则识别出客户端所在的网络中接入网络地址转换设备。在本发明上述实施例中,通过使用认证请求数据包中携带的第一属性数据对其携带的IP地址进行校验,以判断认证请求数据包的IP地址是否被NAT设备修改,从而识别出网络中是否非法接入了NAT设备,具体地,若对认证请求数据包的IP地址的校验成功,则表示该IP地址与客户端的源IP地址一致,即认证请求数据包的IP地址未被NAT设备修改,可以判断出网络中没有非法接入的NAT设备;若对认证请求数据包的IP地址的校验不成功,则表示该IP地址与客户端的源IP地址不一致,即认证请求数据包的IP地址被网络中非法接入的NAT设备修改,可以判断出网络中非法接入了NAT设备。通过本发明实施例,解决了现有技术中网关无法识别非法接入的NAT设备,导致网络安全性低的问题,实现了简单、有效地识别网络中非法接入的NAT设备,提高了网络的安全性。
根据本发明上述实施例,该识别装置还可以包括:第二获取模块,用于在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之前,获取客户端的第二IP地址,其中,第二IP地址为客户端的源IP地址;第一计算模块,用于对第二IP地址进行哈希计算,将得到的第一哈希值作为第一属性数据;封装模块,用于将第二IP地址和第一哈希值封装入认证请求数据包;第一发送模块,用于将认证请求数据包发送至网关。
具体地,在获取客户端的第一属性数据和认证请求数据包中的第一IP地址之前,获取客户端的第二IP地址(即源IP地址),并对该IP地址进行哈希计算得到第一哈希值,将该第一哈希值作为第一属性数据,与第二IP地址一起封装入认证请求数据包中,并将该认证请求数据包发送至网关,以对发送该认证请求数据包的客户端进行互联网访问所需的身份认证。
在本发明上述实施例中,校验模块可以包括:第二计算模块,用于对第一IP地址进行哈希计算,得到第二哈希值;第一判断模块,用于判断第一哈希值与第二哈希值是否相同;第一确定模块,用于在第一哈希值与第二哈希值相同的情况下,确定第一IP地址校验成功;第二确定模块,用于在第一哈希值与第二哈希值不相同的情况下,确定第一IP地址校验不成功。
具体地,对获取到的认证请求数据包所指示的客户端的第一IP地址进行哈希计算,得到第二哈希值,然后判断客户端的源IP地址(即第二IP地址)的第一哈希值与该第二哈希值是否相同,若第一哈希值与第二哈希值相同,说明客户端的源IP地址与认证请求数据包的第一IP地址相同,则判断出第一IP地址校验成功,即认证请求数据包的第一IP地址未被NAT设备修改,客户端所在的网络中未接入NAT设备;若第一哈希值与第二哈希值不相同,说明客户端的源IP地址与认证请求数据包的第一IP地址不相同,则判断出第一IP地址校验不成功,即认证请求数据包的第一IP地址被NAT设备修改,客户端所在的网络中接入了NAT设备。
根据本发明上述实施例,该识别装置还可以包括:第三获取模块,用于在识别出客户端所在的网络中未接入网络地址转换设备之后,获取认证配置参数和认证请求数据包中携带的认证信息,其中,认证配置参数可以包括第三IP地址,认证信息可以包括客户端访问互联网的用户名和密码;第二发送模块,用于将用户名和密码发送至第三IP地址对应的认证服务器;接收模块,用于接收认证服务器使用用户名和密码对客户端进行身份认证得到的认证结果;第三确定模块,用于在认证结果指示身份认证成功的情况下,确定对应的客户端的身份认证成功;第四确定模块,用于在认证结果指示身份认证失败的情况下,确定对应的客户端的身份认证失败。
具体地,在识别出网络中未接入NAT设备之后,通过验证客户端访问互联网的用户名和密码来对客户端进行身份认证,即将用户名和密码发送至第三IP地址对应的认证服务器,并接收认证服务器使用用户名和密码对客户端进行身份认证得到的认证结果,若认证结果指示该身份认证成功,则确定对应的客户端的身份认证成功;若认证结果指示该身份认证失败,则确定对应的客户端的身份认证失败。
在该实施例中,认证配置参数可以包括用于指示认证服务器的第三IP地址、认证端口的端口号以及认证协议的版本号等;认证信息为客户端访问互联网所需的信息,其可以包括客户端访问互联网的用户名和密码以及客户端的属性参数(如客户端所在的部门等)。
通过本发明上述实施例,在现有的认证流程中增加了地址校验,优化了现有技术中的认证流程,即,通过在认证请求的数据包中增加一个源IP地址的哈希值(即上述实施例中的第一哈希值)并使用该哈希值对认证请求数据包的IP地址(即上述实施例中的第一IP地址)进行校验,来判断客户端所在的网络链路中是否有NAT设备接入,操作方法简单,可以有效地解决现有技术中无法识别网络链路中非法接入的NAT设备的问题,从而保证了用户的上网安全。
进一步地,该识别装置还可以包括:保存模块,用于在确定对应的客户端的身份认证成功之后,将对应的客户端的第一IP地址保存入网关的白名单;该识别装置还可以包括:第二判断模块,用于在识别出客户端所在的网络中未接入网络地址转换设备之后,判断认证请求数据包中的第一IP地址是否存在于网关的白名单;第四获取模块,用于在认证请求数据包中的第一IP地址不存在于网关的白名单的情况下,获取认证配置参数和认证请求数据包中携带的认证信息。
具体地,在确定对应的客户端成功通过身份认证之后,将该客户端的第一IP地址保存入网关的白名单中,网关在下次对接收到的认证请求数据包对应的客户端进行身份认证(即获取认证配置参数和认证请求数据包中携带的认证信息)之前,先判断网关的白名单中是否存储有该客户端的认证请求数据包中的IP地址(即上述实施例中的第一IP地址),若网关的白名单中存储有该客户端的认证请求数据包中的IP地址,则直接转发该客户端的数据包而不再对该客户端进行身份认证;若网关的白名单中未存储有该客户端的认证请求数据包中的IP地址,则对该客户端进行身份认证,即获取认证配置参数和认证请求数据包中携带的认证信息,并使用该认证信息中的用户名和密码对客户端进行身份认证。
通过本发明上述实施例,将认证成功的客户端的IP地址保存至网关的白名单,并在下次再接收到该客户端发送的访问互联网的请求时,不再对该客户端进行身份认证,节省了操作时间,加快了处理访问互联网的请求的速度。
本实施例中所提供的各个模块与方法实施例对应步骤所提供的使用方法相同、应用场景也可以相同。当然,需要注意的是,上述模块涉及的方案可以不限于上述实施例中的内容和场景,且上述模块可以运行在计算机终端或移动终端,可以通过软件或硬件实现。
从以上的描述中,可以看出,本发明实现了如下技术效果:
采用本发明实施例,在获取客户端发送的认证请求数据包中的客户端的第一属性数据和第一IP地址之后,使用第一属性数据对第一IP地址进行校验得到校验结果,若校验结果指示第一IP地址校验成功,则识别出客户端所在的网络中未接入网络地址转换设备;若校验结果指示第一IP地址校验不成功,则识别出客户端所在的网络中接入网络地址转换设备。在本发明上述实施例中,通过使用认证请求数据包中携带的第一属性数据对其携带的IP地址进行校验,以判断认证请求数据包的IP地址是否被NAT设备修改,从而识别出网络中是否非法接入了NAT设备,具体地,若对认证请求数据包的IP地址的校验成功,则表示该IP地址与客户端的源IP地址一致,即认证请求数据包的IP地址未被NAT设备修改,可以判断出网络中没有非法接入的NAT设备;若对认证请求数据包的IP地址的校验不成功,则表示该IP地址与客户端的源IP地址不一致,即认证请求数据包的IP地址被网络中非法接入的NAT设备修改,可以判断出网络中非法接入了NAT设备。通过本发明实施例,解决了现有技术中网关无法识别非法接入的NAT设备,导致网络安全性低的问题,实现了简单、有效地识别网络中非法接入的NAT设备,提高了网络的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络地址转换设备的识别方法,其特征在于,包括:
获取客户端发送的认证请求数据包中的所述客户端的第一属性数据和第一IP地址,其中,所述第一IP地址为所述认证请求数据包所指示的所述客户端的IP地址,所述第一属性数据用于描述所述客户端的源IP地址;
使用所述第一属性数据对所述第一IP地址进行校验,得到校验结果;
若所述校验结果指示所述第一IP地址校验成功,则识别出所述客户端所在的网络中未接入网络地址转换设备;
若所述校验结果指示所述第一IP地址校验不成功,则识别出所述客户端所在的网络中接入所述网络地址转换设备。
2.根据权利要求1所述的识别方法,其特征在于,在获取客户端发送的认证请求数据包中的所述客户端的第一属性数据和第一IP地址之前,所述识别方法还包括:
获取所述客户端的第二IP地址,其中,所述第二IP地址为所述客户端的源IP地址;
对所述第二IP地址进行哈希计算,将得到的第一哈希值作为所述第一属性数据;
将所述第二IP地址和所述第一哈希值封装入所述认证请求数据包;
将所述认证请求数据包发送至网关。
3.根据权利要求2所述的识别方法,其特征在于,使用所述第一属性数据对所述第一IP地址进行校验,得到校验结果包括:
对所述第一IP地址进行哈希计算,得到第二哈希值;
判断所述第一哈希值与所述第二哈希值是否相同;
若所述第一哈希值与所述第二哈希值相同,则判断出所述第一IP地址校验成功;
若所述第一哈希值与所述第二哈希值不相同,则判断出所述第一IP地址校验不成功。
4.根据权利要求2或3所述的识别方法,其特征在于,在识别出所述客户端所在的网络中未接入网络地址转换设备之后,所述识别方法还包括:
获取认证配置参数和所述认证请求数据包中携带的认证信息,其中,所述认证配置参数包括第三IP地址,所述认证信息包括所述客户端访问互联网的用户名和密码;
将所述用户名和所述密码发送至所述第三IP地址对应的认证服务器;
接收所述认证服务器使用所述用户名和所述密码对所述客户端进行身份认证得到的认证结果;
若所述认证结果指示所述身份认证成功,则确定对应的所述客户端的身份认证成功;
若所述认证结果指示所述身份认证失败,则确定对应的所述客户端的身份认证失败。
5.根据权利要求4所述的识别方法,其特征在于,
在确定对应的所述客户端的身份认证成功之后,所述识别方法还包括:将对应的所述客户端的第一IP地址保存入所述网关的白名单;
在识别出所述客户端所在的网络中未接入网络地址转换设备之后,所述识别方法还包括:判断所述认证请求数据包中的所述第一IP地址是否存在于所述网关的白名单;若所述认证请求数据包中的所述第一IP地址不存在于所述网关的白名单,则获取所述认证配置参数和所述认证请求数据包中携带的所述认证信息。
6.一种网络地址转换设备的识别装置,其特征在于,包括:
第一获取模块,用于获取客户端发送的认证请求数据包中的所述客户端的第一属性数据和第一IP地址,其中,所述第一IP地址为所述认证请求数据包所指示的所述客户端的IP地址,所述第一属性数据用于描述所述客户端的源IP地址;
校验模块,用于使用所述第一属性数据对所述第一IP地址进行校验,得到校验结果;
第一识别模块,用于在所述校验结果指示所述第一IP地址校验成功的情况下,识别出所述客户端所在的网络中未接入网络地址转换设备;
第二识别模块,用于在所述校验结果指示所述第一IP地址校验不成功的情况下,识别出所述客户端所在的网络中接入所述网络地址转换设备。
7.根据权利要求6所述的识别装置,其特征在于,所述识别装置还包括:
第二获取模块,用于在获取客户端发送的认证请求数据包中的所述客户端的第一属性数据和第一IP地址之前,获取所述客户端的第二IP地址,其中,所述第二IP地址为所述客户端的源IP地址;
第一计算模块,用于对所述第二IP地址进行哈希计算,将得到的第一哈希值作为所述第一属性数据;
封装模块,用于将所述第二IP地址和所述第一哈希值封装入所述认证请求数据包;
第一发送模块,用于将所述认证请求数据包发送至网关。
8.根据权利要求7所述的识别装置,其特征在于,所述校验模块包括:
第二计算模块,用于对所述第一IP地址进行哈希计算,得到第二哈希值;
第一判断模块,用于判断所述第一哈希值与所述第二哈希值是否相同;
第一确定模块,用于在所述第一哈希值与所述第二哈希值相同的情况下,确定所述第一IP地址校验成功;
第二确定模块,用于在所述第一哈希值与所述第二哈希值不相同的情况下,确定所述第一IP地址校验不成功。
9.根据权利要求7或8所述的识别装置,其特征在于,所述识别装置还包括:
第三获取模块,用于在识别出所述客户端所在的网络中未接入网络地址转换设备之后,获取认证配置参数和所述认证请求数据包中携带的认证信息,其中,所述认证配置参数包括第三IP地址,所述认证信息包括所述客户端访问互联网的用户名和密码;
第二发送模块,用于将所述用户名和所述密码发送至所述第三IP地址对应的认证服务器;
接收模块,用于接收所述认证服务器使用所述用户名和所述密码对所述客户端进行身份认证得到的认证结果;
第三确定模块,用于在所述认证结果指示所述身份认证成功的情况下,确定对应的所述客户端的身份认证成功;
第四确定模块,用于在所述认证结果指示所述身份认证失败的情况下,确定对应的所述客户端的身份认证失败。
10.根据权利要求9所述的识别装置,其特征在于,
所述识别装置还包括:保存模块,用于在确定对应的所述客户端的身份认证成功之后,将对应的所述客户端的第一IP地址保存入所述网关的白名单;
所述识别装置还包括:第二判断模块,用于在识别出所述客户端所在的网络中未接入网络地址转换设备之后,判断所述认证请求数据包中的所述第一IP地址是否存在于所述网关的白名单;第四获取模块,用于在所述认证请求数据包中的所述第一IP地址不存在于所述网关的白名单的情况下,获取所述认证配置参数和所述认证请求数据包中携带的所述认证信息。4 -->
CN201510055929.9A 2015-02-03 2015-02-03 网络地址转换设备的识别方法和装置 Active CN104580553B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510055929.9A CN104580553B (zh) 2015-02-03 2015-02-03 网络地址转换设备的识别方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510055929.9A CN104580553B (zh) 2015-02-03 2015-02-03 网络地址转换设备的识别方法和装置

Publications (2)

Publication Number Publication Date
CN104580553A true CN104580553A (zh) 2015-04-29
CN104580553B CN104580553B (zh) 2021-05-04

Family

ID=53095707

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510055929.9A Active CN104580553B (zh) 2015-02-03 2015-02-03 网络地址转换设备的识别方法和装置

Country Status (1)

Country Link
CN (1) CN104580553B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959251A (zh) * 2015-11-06 2016-09-21 杭州迪普科技有限公司 一种防止nat穿越认证的方法及装置
CN107636712A (zh) * 2015-05-08 2018-01-26 维萨国际服务协会 使用从详细设备信息导出的风险评分来认证交易
CN110266656A (zh) * 2019-05-30 2019-09-20 世纪龙信息网络有限责任公司 免密认证身份识别方法、装置及计算机设备
CN110740490A (zh) * 2019-10-22 2020-01-31 深圳市信锐网科技术有限公司 终端入网方法、网关设备、系统、存储介质及装置
CN112887265A (zh) * 2020-12-31 2021-06-01 浙江远望信息股份有限公司 一种针对nat下防止未注册终端伪造为合法通信的准入方法
CN113973299A (zh) * 2020-07-22 2022-01-25 中国石油化工股份有限公司 具有身份认证功能的无线传感器以及身份认证方法
CN114844856A (zh) * 2022-04-26 2022-08-02 夏宇 网络穿透方法、装置、电子设备及存储介质
CN116032851A (zh) * 2022-12-30 2023-04-28 上海天旦网络科技发展有限公司 基于间隔时序轨迹特征的tcp短连接的nat识别方法及系统
CN116319103A (zh) * 2023-05-22 2023-06-23 拓尔思天行网安信息技术有限责任公司 一种网络可信接入认证方法、装置、系统及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7369537B1 (en) * 2001-07-18 2008-05-06 Global Ip Solutions, Inc. Adaptive Voice-over-Internet-Protocol (VoIP) testing and selecting transport including 3-way proxy, client-to-client, UDP, TCP, SSL, and recipient-connect methods
CN101325759A (zh) * 2007-06-15 2008-12-17 华为技术有限公司 一种用户终端接入ims早期鉴权的方法及系统
CN101540725A (zh) * 2009-04-27 2009-09-23 深圳华为通信技术有限公司 限制接入用户驻地设备的用户设备的数目的方法及设备
US7953868B2 (en) * 2007-01-31 2011-05-31 International Business Machines Corporation Method and system for preventing web crawling detection
CN102137090A (zh) * 2010-11-10 2011-07-27 华为技术有限公司 一种登陆voip网络的方法及鉴权服务器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7369537B1 (en) * 2001-07-18 2008-05-06 Global Ip Solutions, Inc. Adaptive Voice-over-Internet-Protocol (VoIP) testing and selecting transport including 3-way proxy, client-to-client, UDP, TCP, SSL, and recipient-connect methods
US7953868B2 (en) * 2007-01-31 2011-05-31 International Business Machines Corporation Method and system for preventing web crawling detection
CN101325759A (zh) * 2007-06-15 2008-12-17 华为技术有限公司 一种用户终端接入ims早期鉴权的方法及系统
CN101540725A (zh) * 2009-04-27 2009-09-23 深圳华为通信技术有限公司 限制接入用户驻地设备的用户设备的数目的方法及设备
CN102137090A (zh) * 2010-11-10 2011-07-27 华为技术有限公司 一种登陆voip网络的方法及鉴权服务器

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107636712B (zh) * 2015-05-08 2022-03-01 维萨国际服务协会 使用从详细设备信息导出的风险评分来认证交易
CN107636712A (zh) * 2015-05-08 2018-01-26 维萨国际服务协会 使用从详细设备信息导出的风险评分来认证交易
US12033151B2 (en) 2015-05-08 2024-07-09 Visa International Service Association Authenticating transactions using risk scores derived from detailed device information
US11074585B2 (en) 2015-05-08 2021-07-27 Visa International Service Association Authenticating transactions using risk scores derived from detailed device information
CN105959251B (zh) * 2015-11-06 2019-12-06 杭州迪普科技股份有限公司 一种防止nat穿越认证的方法及装置
CN105959251A (zh) * 2015-11-06 2016-09-21 杭州迪普科技有限公司 一种防止nat穿越认证的方法及装置
CN110266656A (zh) * 2019-05-30 2019-09-20 世纪龙信息网络有限责任公司 免密认证身份识别方法、装置及计算机设备
CN110740490A (zh) * 2019-10-22 2020-01-31 深圳市信锐网科技术有限公司 终端入网方法、网关设备、系统、存储介质及装置
CN113973299A (zh) * 2020-07-22 2022-01-25 中国石油化工股份有限公司 具有身份认证功能的无线传感器以及身份认证方法
CN113973299B (zh) * 2020-07-22 2023-09-29 中国石油化工股份有限公司 具有身份认证功能的无线传感器以及身份认证方法
CN112887265B (zh) * 2020-12-31 2024-03-26 浙江远望信息股份有限公司 一种针对nat下防止未注册终端伪造为合法通信的准入方法
CN112887265A (zh) * 2020-12-31 2021-06-01 浙江远望信息股份有限公司 一种针对nat下防止未注册终端伪造为合法通信的准入方法
CN114844856A (zh) * 2022-04-26 2022-08-02 夏宇 网络穿透方法、装置、电子设备及存储介质
CN114844856B (zh) * 2022-04-26 2024-03-22 夏宇 网络穿透方法、装置、电子设备及存储介质
CN116032851A (zh) * 2022-12-30 2023-04-28 上海天旦网络科技发展有限公司 基于间隔时序轨迹特征的tcp短连接的nat识别方法及系统
CN116032851B (zh) * 2022-12-30 2024-05-14 上海天旦网络科技发展有限公司 基于间隔时序轨迹特征的tcp短连接的nat识别方法及系统
CN116319103A (zh) * 2023-05-22 2023-06-23 拓尔思天行网安信息技术有限责任公司 一种网络可信接入认证方法、装置、系统及存储介质
CN116319103B (zh) * 2023-05-22 2023-08-08 拓尔思天行网安信息技术有限责任公司 一种网络可信接入认证方法、装置、系统及存储介质

Also Published As

Publication number Publication date
CN104580553B (zh) 2021-05-04

Similar Documents

Publication Publication Date Title
CN104580553A (zh) 网络地址转换设备的识别方法和装置
CN105119939B (zh) 无线网络的接入方法与装置、提供方法与装置以及系统
CN111586025B (zh) 一种基于sdn的sdp安全组实现方法及安全系统
CN108881308B (zh) 一种用户终端及其认证方法、系统、介质
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
CN105554098B (zh) 一种设备配置方法、服务器及系统
TW201706900A (zh) 終端的認證處理、認證方法及裝置、系統
CN107086979B (zh) 一种用户终端验证登录方法及装置
CN101534192B (zh) 一种提供跨域令牌的系统和方法
CN104125565A (zh) 一种基于oma dm实现终端认证的方法、终端及服务器
CN102271134B (zh) 网络配置信息的配置方法、系统、客户端及认证服务器
WO2015085848A1 (zh) 一种安全认证方法和双向转发检测bfd设备
CN103067337B (zh) 一种身份联合的方法、IdP、SP及系统
CN112187831A (zh) 设备入网方法和装置、存储介质及电子设备
US9398024B2 (en) System and method for reliably authenticating an appliance
US11805104B2 (en) Computing system operational methods and apparatus
CN113341798A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CN105721412A (zh) 多系统间的身份认证方法及装置
CN103905194A (zh) 身份溯源认证方法及系统
CN101986598A (zh) 认证方法、服务器及系统
CN112333214B (zh) 一种用于物联网设备管理的安全用户认证方法及系统
CN109218334A (zh) 数据处理方法、装置、接入控制设备、认证服务器及系统
CN110166471A (zh) 一种Portal认证方法及装置
CN107819888A (zh) 一种分配中继地址的方法、装置以及网元
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing, 100032

Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: 100085 1st floor, Section II, No.7 Kaifa Road, Shangdi Information Industry base, Haidian District, Beijing

Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.